3a认证

1、AAA认证是什么？

AAA指的是Authentication、Authorization、Accounting，意思是认证、授权、计费，是网络安全的一种管理机制。

• 认证是确认访问网络的远程用户的身份，判断访问者是否为合法的网络用户。

• 授权是对不同用户赋予不同的权限，限制用户可以使用的服务。例如，管理员授权办公用户才能对服务器中的文件进行访问和打印操作，而其它临时访客不具备此权限。

• 计费是记录用户使用网络服务过程中的所有操作，包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监视作用。

AAA支持以下认证方式：

不认证：对用户非常信任，不对其检查，一般情况下不采用这种方式。

本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在接入服务器上。本地认证的优点是速度快，降低运营成本；但存储信息量受设备硬件条件限制。

远端认证：支持通过RADIUS协议或HWTACACS协议进行远端认证，由接入服务器作为Client端，与RADIUS服务器或TACACS服务器通信。

AAA采用客户端/服务器结构，客户端运行于NAS（Network Access Server，网络接入服务器）上，负责验证用户身份与管理用户接入，服务器上则集中管理用户信息。

当用户想要通过NAS获得访问其它网络的权利或取得某些网络资源的权利时，首先需要通过AAA认证，而NAS就起到了验证用户的作用。NAS负责把用户的认证、授权、计费信息透传给服务器。服务器根据自身的配置对用户的身份进行判断并返回相应的认证、授权、计费结果。NAS根据服务器返回的结果，决定是否允许用户访问外部网络、获取网络资源。

AAA可以通过多种协议来实现，这些协议规定了NAS与服务器之间如何传递用户信息。目前设备支持RADIUS协议、HWTACACS协议和LDAP协议，但是在实际应用中，更常使用RADIUS协议，因此本文中以RADIUS协议为例进行讲解。

02RADIUS协议

RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。

RADIUS协议通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便。在协议栈中位置如下：

客户端：RADIUS客户端一般位于NAS上，可以遍布整个网络，负责将用户信息传输到指定的RADIUS服务器，然后根据服务器返回的信息进行相应处理（如接受/拒绝用户接入）。