本文共 875 字，大约阅读时间需要 2 分钟。

华为HCIA-datacom 学习笔记11——AAA原理与配置

---

AAA原理与配置

1、AAA概述

认证（authentication）：验证用户是否获得访问权，确定哪些用户可以访问网络

授权（authorization）：授权用户可以使用哪些服务

计费（accounting）：记录用户使用网络资源的情况

---

2、最常用的场景

ISP需要验证家庭宽带用户之后才允许其上网，并记录用户使用网络资源的情况

---

3、常见架构

3.1 NAS

基于域来管理用户，每个域都可以配置不同的AAA方案

3.2 认证

3.2.1不认证 完全信任用户，不对用户身份进行合法性检查 3.2.2本地认证 将本地用户信息配置在NAS上，优点是处理速度快，运营成本低，缺点是存储信息受设备硬件条件限制 3.2.3远端认证 将用户信息配置在认证服务器上，支持通过RADIUS协议或HWTACACS协议进行远端认证，NAS作为客户端，与RADIUS服务器或HWTACACS服务器进行通信

3.3 授权

3.3.1不授权 不对用户进行授权处理 3.3.2本地授权 根据NAS上对应域下的配置进行授权 3.3.3远端授权 支持RADIUS服务器或HWTACACS服务器授权 3.3.4 HWTACACS授权 使用HWTACACS服务器对所有用户授权 3.3.5 RADIUS授权 只支持对通过RADIUS服务器认证的用户授权，RADIUS认证和授权是绑定在一起的，不能单独使用RADIUS进行授权 3.3.6当采用远端授权时 用户可以同时从授权服务器和NAS获取授权信息，NAS配置的授权信息优先级比授权服务器下发的授权信息低

3.4 计费、

3.4.1不计费 为用户提供免费上网服务 3.4.2远端计费 支持通过RADIUS服务器或HWTACACS服务器进行远端计费

---

4、AAA实现协议

4.1 RADIUS

使用UDP作为传输协议，认证端口号为1812、计费端口号为1813

---

整理： 毛尚杰、陈诺、江泽明、梁文婷

排版： 何颖连

审核： 蔡宗唐

---

点击下方“正月十六工作室”查看更多学习资源

转载地址：http://zkfsf.baihongyu.com/