点击关注即到哥,带你看更深一层的IT知识!
第一个A:认证
第二个A:授权
第三个A:计费、审计
AAA的基本网络架构,就是在我们的网络中,添加一台AAA服务器,主要用于用户的认证、授权和审计工作。
1、公司有一台AAA服务器,那我们用户使用的电脑,是直接到AAA服务器上进行认证、授权、审计上网的吗?当然不是,当用户接入网络时,用户发起连接请求认证报文,用户电脑首先发送到的是网络设备、路由器或者防火墙网络设备。
2、当这个路由器或者防火墙收到来自用户的请求认证,它就把用户的认证的用户名和密码发送到RAIUS服务器。这里的防火墙或者路由器,就是用来集中替用户电脑转发这些认证数据的。用户的电脑只识别路由器或者防火墙,你后面用的是AAA认证还是其它的认证,用户侧是不关心的。
3、当这个RAIDUS服务器接收到路由器或者防火墙转发过来的认证时,如果用户名和密码正确,则接受这个用户,并完成认证,然后把授权信息通过网络设备转发到电脑。对于用户名和密码不正确的用户,则拒绝接入。
4、然后用户就可以访问这些授权资源了。然后访问授权资源之后RAIDUS服务器就开始对用户进行一些审计了和计费等。
5、如果用户请求断开这些访问资源后,审计也就随着结束了。
AAA支持认证三种方式
在不同的域中,可以管理不同的认证。如果用户属于不通的域,用户属性那个域是由用户名中的域名分隔符来确定的。当user1@domain1,这个用户属于domain1域。如果域用户后面不带@,则这个用户属于系统缺省域。
AAA支持的认证方式有:不认证,本地认证,远端认证。
不认证:不需要对用户侧接入的设备进行认证,连接进来就能上网,就和你到一家公司一样,如果他们公司有线网没有任何认证,拿网线一连接就能上网,这就是不认证,但是这种方式不太安全。
本地认证:将用户侧的认证用户名和密码都放在路由器或者防火墙上,让路由器、防火墙充当AAA服务器。使用路由器或者防火墙开始AAA服务,然后创建用户名和密码,供用户使用,使用本地认证,简单方便,不需要再单独购买服务器,这种本地认证常通供电脑通过telnet或者ssh访问路由器或者防火墙使用。
远端认证:将用户侧的用户名和密码等信息都配置在AAA服务器,然后通过RADIUS协议或者HWTACACS协议进行远端认证。让路由器或者防火墙作为用户的认证转发,让路由器或者防火墙作为RADIUS服务器的客户端,当RADIUS客户端接收到用户侧发过来的用户名和密码,就转发到RAIUDS服务器上进行认证。
下面我们来看一下,本地认证配置。
[SW2-aaa]local-user admin password cipher Aa123456
[SW2-aaa]local-user admin service-type telnet ssh
[SW2-aaa]local-user admin privilege level 15
[SW2]user-interface vty 0 4
[SW2-ui-vty0-4]authentication-mode aaa
下一篇我们讲解,RADIUS远程认证方式!
相关文章:
