认证方案
- 不认证 完全信任用户,不对用户身份进行合法性检查,不建议采用
- 本地认证 将本地用户信息(包括用户名、密码和各种属性)配置在NAS上
- 远端认证 将将用户信息(包括用户名、密码和各种属性)配置在AAA服务器上
- PS 可以指定一种或者多种认证方法 按照配置顺序 仅当一种认证方法无响应时(不是失败),后面的认证方法才会被启用
授权方案
- 不授权 不对用户进行授权处理
- 本地授权 根据NAS上配置的本地用户账号的相关属性进行授权
- 远端授权 使用AAA服务器对用户授权
- PS 可以指定一种或者多种认证方法:按照配置顺序,仅当前一种授权方式无响应时,后面的授权方法才会被启用
计费方案
- 不计费 为用户提供免费上网服务 不产生相关活动日志
- 远端计费 通过AAA服务器对用户进行计费
- PS 只能指定一种计费方法
AAA协议:运行在AAA客户端与服务端之间
- PS 在实际应用中 最常使用radius协议
- PS HWTACACS完全兼容思科、华三使用的TACACS+ 机制完全一致
radius工作原理
AAA域
- AAA对用户的管理是基于域的 每个用户都属于某一个域
-
域统一管理AAA方案 服务器模板和授权等配置信息
-
简单的说 用户属于哪个域就使用哪个域下的AAA配置信息
-
用户输入的用户名决定域,完整格式 用户名@域名后缀
全局默认域
AAA配置
# 服务器模板
# s5700创建服务器模板
radius-server template demo
# 配置认证服务器ip地址、端口
radius-server authentication 地址 端口
# 配置计费服务器的ip地址、端口
radius-server accounting 地址 端口
# 配置服务器密钥
radius-server shared-key cipher 密钥
---------------------------------------
# AAA方案
aaa
# 创建认证方案
authentication-scheme demo-rz
# 配置认证方法
authentication-mode {hwtacacs | local | none | radius}
# 创建计费方案
accounting-scheme demo-jf
# 配置计费方法
accounting-mode {hwtacacs | none | radius}
--------------------------------------
# 配置域
# 创建域
domain huawei.com
# 绑定服务器模板
radius-server demo
authentication-scheme demo-rz
accounting-scheme demo-jf
CE6800配置举例
radius server group demo
radius server authentication 192.168.3.3 1812
radius server authentication 192.168.135.1 1812 secondary
radius server accounting 192.168.3.3 1813
radius server shared-key-cipher !QAZ2wsx123456789
aaa
authentication-scheme demo-rz
authentication-mode radius
accounting-scheme demo-jf
accounting-mode radius
domain huawei.com
authentication-scheme demo-rz
accounting-scheme demo-jf
radius server group demo
local-user operator password cipher !QAZ2wsx
local-user operator service-type telnet
local-user operator level 3
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
