AAA 可以看做一种网络安全的管理机制,开启AAA后你的所有认证都要在AAA服务器或AAA本地验证 8021x是利用AAA服务 解决接入者的身份验证机制 所以 配置8021x要使用AAA!! 望采纳
AAA是Authentication(验证)、Authorization(授权)和Accounting(审计)的简称。
AAA是一种提供验证、授权和审计的安全技术。该技术可以用于验证用户是否合法,授权用户可以访问哪些服务,并记录用户使用网络资源的情况。
例如,企业总部需要对服务器的资源访问进行控制,只有通过验证的用户才能访问特定的资源,并对用户使用资源的情况进行记录。在这种场景下,可以按照如图1-1所示的方案进行AAA部署。NAS为网络接入服务器,也称为AAA的客户端,负责集中收集和管理用户的访问请求。AAA服务器可以一台专属的硬件设备,也可以是以软件的形式安装在服务器 *** 作系统上(本文将使用思科的ACS软件来实现AAA服务器),用户的验证、授权和审计服务均由AAA服务器来完成。
图1-1
如图1-1所示,当分支站点的用户需要访问总部的服务器资源时,NAS设备会对用户的访问进行控制,用户向NAS设备提交账户信息(用户名和密码)后,NAS设备会将用户信息发送给AAA服务器,由AAA服务器进行账户信息的验证,并对用户进行授权。如果用户验证通过,则分支站点的用户可以访问到特性的服务器资源(可以访问哪些服务器,由授权来决定),同时AAA服务器也会对用户的访问行为进行审计。
RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)由IETF定义的一种公有协议,是AAA客户端和AAA服务器之间通讯的一种协议。除了RADIUS协议外,不同的网络设备厂商也提出了各自的私有协议,例如,思科公司提出的TACACS+协议,华为提出的HWTACACS,也可以使用在AAA客户端和AAA服务器之间。(本文将使用RADIUS协议作为AAA的通讯协议)
图2-1
Step 1 - 基础IP配置(略)
Step 2 - 配置AAA服务器
在页面的左下角点击Create
配置AAA客户端
Step 3 - 配置AAA客户端
ARG3系列路由设备支持两种缺省域:
进入default-admin域绑定认证模板和radius-server模板(这个default-admin域是专门用来管理用的,所以telnet,ssh等登陆设备时必须使用这个默认的域,自己定义的不行)
Step 4 - 在PC机上进行测试
网络接入服务器位于公用交换电话网与IP网的接口处,用户拨号通过交换机经用户线或中继线接入网络接入服务器。NAS是一种接入网关。有时指RAS(远程接入服务器)或媒体网关。总之,它是一种在外部通信网络和内部网络之间的网关。通常的配置为一台控制调制解调器组的服务器。用户拨号至调制解调器,然后与接入服务器相连,该服务器验证用户身份并授权用户到内部网络的访问。用户通常使用TCP/IP通过PPP连接访问内部资源。除了那些在由接入服务器授权后允许访问因特网的用户之外,当用户拨号至因特网服务提供商时也使用这种相同的配置。
网络接入服务器的功能组成可归类为四大功能模块:
★ 接入功能模块
接入功能模块包括电话网侧的接口模块,分为PSTN的接口模块和ISDN的接口模块;还包括IP网侧的接口模块,包括LAN接口模块和同步专线接口模块,根据需要也可采用FR和ATM接口模块。
★ 通信协议模块
接入服务器中包含众多通信协议:电话网侧通信协议(PPP)、IP网侧通信协议(TCP/IP、UDP)、VPDN协议等。
★ 管理模块
网络接入服务器的管理控制模块包括3个功能模块:SNMP代理功能模块、Telnet服务器功能模块和远端拨号监控功能模块。通过3种不同的途径对网络接入服务器进行控制管理。
★ 接入认证、授权、计费和统计模块
网络接入服务器中包含网络接人认证与授权模块、计费模块和统计模块。
除了上述4个主要的功能模块外,还有一些其它的模块诸如VPDN模块、来电指示模块和系统控制模块。 名为“Network Access Server Requirements (网络接入服务器要求) (nasreq)”的IETF工作组已经为现代网络接入服务器定义了有关AAA(身份验证、授权、记帐)的新要求。该工作组考虑了如***、智能身份验证方法和漫游等服务。它还开发了两个因特网RFC,它们提供了网络接入服务器的完整描述。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)