AAA简介

AAA简介
访问控制是用来控制哪些用户可以访问网络以及可以访问的网络资源。AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，提供了在NAS（Network Access Server，网络接入服务器）设备上配置访问控制的管理框架。
定义
AAA作为网络安全的一种管理机制，以模块化的方式提供以下服务：
认证：确认访问网络的用户的身份，判断访问者是否为合法的网络用户。
授权：对不同用户赋予不同的权限，限制用户可以使用的服务。
计费：记录用户使用网络服务过程中的所有操作，包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监视作用。
基本架构
AAA采用客户端/服务器结构，AAA客户端运行在接入设备上，通常被称为NAS设备，负责验证用户身份与管理用户接入；AAA服务器是认证服务器、授权服务器和计费服务器的统称，负责集中管理用户信息。AAA的基本架构如图1-1。
图1-1 AAA基本架构

AAA可以通过多种协议来实现，目前设备支持基于RADIUS或HWTACACS协议来实现AAA，在实际应用中，最常使用RADIUS协议。
图1-1中所示的AAA服务器，用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。用户也可以只使用AAA提供的一种或两种安全服务。例如，公司仅仅想让员工在访问某些特定资源时进行身份认证，那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。
目的
提供对用户进行认证、授权和计费等安全功能，防止非法用户登录设备，增强设备系统安全性。

AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称。它提供对用户进行认证、授权和计费三种功能。具体如下：

• 认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。

• 授权（Authorization）：授权用户可以使用哪些服务。

• 计费（Accounting）：记录用户使用网络资源的情况。

由于涉及到用户的认证、授权和计费，和业务强相关，配置也是非常灵活的。

AAA根据用户信息存储位置的不同，可分为远端认证和本地认证：

• 远端认证：将用户信息（包括用户名、密码和各种属性）配置在远端认证服务器上。支持通过RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS （HUAWEI Terminal Access Controller Access Control System，是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议）协议进行远端认证。
• 本地认证：将用户信息（包括用户名、密码和各种属性）配置在设备上，设备充当认证服务器。同时，设备为有缺省的管理员用户全局默认域，例如当管理员用户通过Telnet或者SSH等方式登录设备时，如果认证时输入的用户名中未包含域名，则设备默认该管理员用户属于管理员用户全局默认域。

NAC网络准入控制、radius、802.1X（列表、list、全）radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html