AAA
认证、授权、计费
认证(Authentication)验证用户是否可以获得访问权,确定哪些用户可以访问网络。
认证方式:
不认证:完全信任用户,不对用户身份进行合法性检查。鉴于安全性,这种方式很少被采用。
本地认证:将本地用户信息配置在NAS上,此时NAS就是AAA Server。优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制。常用于对用户登陆设备进行管理,如Telnet,FTP用户等。
远端认证:将用户信息配置在认证服务器上。
授权(Authorization)授权用户可以使用哪些服务。
授权方式有:不授权、本地授权、远端授权
授权信息有:所属用户组、所属VLAN、ACL编号等。
计费(Accounting)记录用户使用网络资源的情况。
计费功能用于监控授权用户的网络行为和网络资源的使用情况。
AAA支持的计费方式有不计费,远端计费
AAA常见架构
包括用户、NAS、AAA服务器
NAS负责集中收集和管理用户的访问请求。
NAS基于域对用户进行管理。每个用户都属于某一个域。用户属于哪个域是由用户名的域名分隔符@后的字符串决定。例如,用户名是user1@domain1,则用户属于domain1域。如果不带@,则用户属于系统缺省域。