【技术分享】AAA原理
发布作者:微思网络 发布时间:2022-08-15 浏览量:0次
什么是AAA(认证、授权。审计):
Authentication——主要用于识别用户身份,包括通过“用户知道什么,拥有什么,用户是谁”等多种方式来实现识别,认证强度与认证元素有关
Authorization——认证通过后能做什么(例如,管理员和普通用户,都可以登录目标设备,但能执行的指令或能使用的服务是不一样的)
Accounting——记流水账,记录哪位用户在什么时间做了什么行为,便于后续的审查和计费
什么情况下需要使用AAA:
1.网络设备数量大(NAS网络访问服务器)
2.用户人数多
3.人员变动频繁
4.有审计需求
AAA基本拓扑:
一分为二来看,Client和NAS之间是C/S关系,Client登录NAS,或者Client访问NAS后面的网络资源(穿越认证),都是C/S关系
NAS和AAA服务器之间也是一组C/S关系,NAS作为AAA客户端,与AAA服务器之间通讯使用两种协议,要么Radius,要么Tacacs+
Client和NAS之间没有固定的通讯协议,而在NAS和AAA服务器之间则是固定的通讯协议(两种)
AAA的三大运用:
AAA主要用在三个方面,认证授权审计,而应用方面,主要就三种:
1.登录NAS设备进行管理(本地网管),什么样的用户能访问,访问之后能执行什么指令
2.穿越NAS设备访问外部资源,以HTTP访问为例,NAS会中断访问,并弹出网页对话框收集用户名密码,发送到AAA服务器认证,通过的话获得授权,用户可以继续访问外部资源
3.VPN拨入,包括IOS/ASA的easyVPN,ASA的SSLVPN
