AAA服务器技术

一、AAA框架概述

AAA 包含三个核心功能：

     认证（Authentication）：验证用户身份（如用户名、密码、证书）。

     授权（Authorization）：授予用户访问权限（如目录、服务级别）。

     计费（Accounting）：记录用户使用情况（如流量、时长）。

AAA基本结构

支持的服务包括FTP、TELNET、PPP、端口接入等。

可使用远程服务器（如RADIUS、TACACS+）或本地认证（如交换机内置）。

二、RADIUS协议

RADIUS（Remote Authentication Dial-In User Service 远程认证拨号系统）是一种分布式客户端/服务器协议。

传输方式：基于UDP，端口1812（认证，授权）、1813（计费）。

特点：

     使用共享密钥进行安全通信。

     报文结构为TLV（Type-Length-Value），易于扩展。

RADIUS报文结构：

交互流程：

属性扩展：通过26号属性（Vendor-Specific）支持厂商自定义扩展。

三、TACACS+协议

TACACS+（Terminal Access Controller Access Control System 终端访问控制器控制系统协议）是一种增强型安全协议。

HWTACACS是H3C在TACACS+基础上的增强版本。

与RADIUS的区别：

     使用TCP传输，更可靠。

     认证、授权、计费分离，更灵活。

报文结构：包含版本号、类型、序列号、会话ID等字段。

交互流程：支持Start/Continue/Reply等多种报文类型，适用于Telnet等交互式登录场景。

四、典型应用场景

用户接入认证授权：

     本地认证、RADIUS认证、CA认证等。

     适用于VPN接入、LAN/WLAN接入等场景。

登录设备认证授权：

     设备登录可使用本地或RADIUS认证。

设备间协议认证：

     设备间的协议认证大多采用本地认证