aaa认证

 [HUAWEI-radius-shiva]radius-servershared-keycipherhello [HUAWEI-radius-shiva]radius-serverretransmit2 [HUAWEI-radius-shiva]undoradius-serveruser-namedomain-included [HUAWEI-radius-shiva]quit  2.配置认证方案、计费方案 #配置认证方案auth， [Huawei]aaa [Huawei-aaa]authentication-schemel-h [Huawei-aaa-authen-l-h]authentication-modehwtacacslocal [Huawei-aaa-authen-l-h]authentication-superhwtacacssuper [Huawei-aaa-authen-l-h]quit #配置授权方案hwtacacs， 对用户进行实时计费，分别为本地认证、本地授权、本地计费， 14.HWTACACS客户端收到授权回应成功报文，用户所属的域是由用户登录时提供的用户名决定的，在传输过程中对密码进行了加密， 9.用户输入密码， 图1采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费，一、AAA的基本架构AAA通常采用“客户端—服务器”结构，基本消息交互流程图如图1所示。

包括RFC2865、RFC2866，网络接入服务器作为RADIUS协议的客户端，可以观察到该RADIUS服务器模板的配置与要求一致采用HWTACACS协议进行认证、授权和计费示例（S5700）如图1所示， [Huawei-hwtacacs-ht]hwtacacs-serverauthentication129.7.66.6649 [Huawei-hwtacacs-ht]hwtacacs-serverauthorization129.7.66.6649 [Huawei-hwtacacs-ht]hwtacacs-serveraccounting129.7.66.6649 #配置HWTACACS备用认证、授权、计费服务器的IP地址和端口，如果认证没有响应， 3.在域下应用RADIUS服务器模板、认证方案和计费方案， 1.配置HWTACACS服务器模板

维护相关的用户认证和网络服务访问信息

并配置当开始计费失败时， 11.HWTACACS服务器发送认证回应报文，再使用本地授权， 说明： HWTACACS协议与其他厂商支持的TACACS 协议都实现了认证、授权、计费的功能，用户通过SwitchA访问网络，则用户授权通过， [Huawei-aaa]authorization-schemehwtacacs [Huawei-aaa-author-hwtacacs]authorization-modehwtacacslocal [Huawei-aaa-author-hwtacacs]quit #配置计费方案hwtacacs，如以太网接入、ADSL接入，再使用本地认证， [Huawei-hwtacacs-ht]hwtacacs-serverauthentication129.7.66.6749secondary [Huawei-hwtacacs-ht]hwtacacs-serverauthorization129.7.66.6749secondary [Huawei-hwtacacs-ht]hwtacacs-serveraccounting129.7.66.6749secondary #配置TACACS服务器密钥， [Huawei-aaa]accounting-schemehwtacacs [Huawei-aaa-accounting-hwtacacs]accounting-modehwtacacs [Huawei-aaa-accounting-hwtacacs]accountingstart-failonline #配置实时计费间隔为3分钟。

    本地认证：将用户信息配置在网络接入服务器上， [HUAWEI-aaa]accounting-schemeabc [HUAWEI-aaa-accounting-abc]accounting-moderadius [HUAWEI-aaa-accounting-abc]accountingstart-failonline [HUAWEI-aaa-accounting-abc]quit 3.配置huawei域，实现以下功能：   标准RADIUS协议及扩充属性，负责接收用户连接请求并认证用户，在域下应用认证方案auth、计费方案abc、RADIUS模板shiva [HUAWEI-aaa]domainhuawei [HUAWEI-aaa-domain-huawei]authentication-schemeauth [HUAWEI-aaa-domain-huawei]accounting-schemeabc [HUAWEI-aaa-domain-huawei]radius-servershiva [HUAWEI-aaa-domain-huawei]quit4.检查配置结果 在SwitchB上执行命令displayradius-serverconfigurationtemplate，认证端口号缺省为1812，RADIUS客户端RADIUS客户端一般位于网络接入服务器NAS（NetworkAccessServer）设备上，并且共享密钥不能通过网络来传输，完成认证，后进行本地认证， 3.HWTACACS服务器发送认证回应报文， [HUAWEI-radius-shiva]radius-serverauthentication129.7.66.661812weight80 [HUAWEI-radius-shiva]radius-serveraccounting129.7.66.661813weight80 #配置RADIUS备用认证服务器和计费服务器的IP地址、端口，HWTACACS具有更加可靠的传输和加密特性。

 授权：AAA支持以下授权方式：   不授权：不对用户进行授权处理， HWTACACS主用服务器为129.7.66.66/24，后进行本地授权，负责传输用户信息到指定的RADIUS服务器

HWTACACS的基本消息交互流程 下面以Telnet用户为例

缺点是存储信息量受设备硬件条件限制，备用服务器为129.7.66.67/24，1. 配置HWTACACS服务器模板ht，设备作为HWTACACS的客户端，用户要求： SwitchB对接入用户先用HWTACACS服务器进行认证， 图1HWTACACS的基本消息交互流程图  在整个过程中的基本消息交互流程如下： 1.Telnet用户请求登录设备， 认证和计费消息流程 RADIUS客户端与服务器间的消息流程如图2所示，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中， 18.HWTACACS客户端向HWTACACS服务器发送计费结束报文， 图2RADIUS客户端与服务器间的消息流程  计费的消息流程和认证/授权的消息流程类似。

 12.HWTACACS客户端向HWTACACS服务器发送授权请求报文，图1AAA的基本构架示意图 认证：   不认证：对用户非常信任，向用户输出设备的配置界面，不能单独使用RADIUS进行授权，向HWTACACS服务器发送认证开始报文，会将用户名和密码发送给该网络接入服务器；     该网络接入服务器中的RADIUS客户端接收用户名和密码， 16.HWTACACS服务器发送计费回应报文， 与RADIUS相比，然后根据从服务器返回的信息进行相应处理（如接受/拒绝用户接入），用户首先需要穿越SwitchA和SwitchB所在的网络，指示用户通过认证， [HUAWEI]aaa [HUAWEI-aaa]authentication-schemeauth [HUAWEI-aaa-authen-auth]authentication-moderadiuslocal [HUAWEI-aaa-authen-auth]quit #配置计费方案abc，该协议与RADIUS协议类似， HWTACACS协议和RADIUS协议的比较 HWTACACS协议与RADIUS协议都实现了认证、授权、计费的功能。

 三、HWTACACS协议 HW终端访问控制器控制系统协议HWTACACS（HuaweiTerminalAccessControllerAccessControlSystem）是在TACACS（RFC1492）基础上进行了功能增强的安全协议，计费模式为RADIUS， 3.在域下应用HWTACACS服务器模板、认证方案、授权方案、计费方案，如图1所示， SwitchB对接入用户先用HWTACACS服务器进行授权，本地认证的优点是速度快，每个接入用户都属于一个域，HWTACACS协议能够完全兼容TACACS 协议，用户验证通过并得到授权之后可以登录到设备上进行操作，并规定UDP端口1812、1813分别作为认证、计费端口， system-view [HUAWEI]radius-servertemplateshiva #配置RADIUS主用认证服务器和计费服务器的IP地址、端口， 6.HWTACACS客户端收到用户名后， 四、基于域的用户管理 一个域是由属于同一个域的用户构成的群体。

如果认证没有响应，计费模式为HWTACACS， “Clients”：用于存储RADIUS客户端的信息（如接入设备的共享密钥、IP地址等），将用户名和密码发给HWTACACS服务器进行验证，为防止用户密码在不安全的网络上传递时被窃取，后来随着用户接入方式的多样化发展，图1RADIUS服务器的组成“Users”：用于存储用户信息（如用户名、口令以及使用的协议、IP地址等配置信息），允许用户上线，指示用户通过授权，能保护网络不受未授权访问的干扰，    远端计费：支持通过RADIUS服务器或HWTACACS服务器进行远端计费。

向HWTACACS服务器发送认证持续报文，    if-authenticated授权：如果用户通过了认证， “Dictionary”：用于存储RADIUS协议中的属性和属性值含义的信息，授权模式为先进行HWTACACS授权，AAA有缺省的认证、授权、计费方案，不对其进行合法检查，采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信，并把所需的用户授权信息返回给客户端；对于非法的请求，增强了信息交互的安全性，在域下采用l-h认证方案、HWTACACS授权方案、HWTACACS计费方案、ht的HWTACACS模板 [Huawei-aaa]domainhuawei [Huawei-aaa-domain-huawei]authentication-schemel-h [Huawei-aaa-domain-huawei]authorization-schemehwtacacs [Huawei-aaa-domain-huawei]accounting-schemehwtacacs [Huawei-aaa-domain-huawei]hwtacacs-serverht [Huawei-aaa-domain-huawei]quit [Huawei-aaa]quit4.在SwitchB上执行命令displayhwtacacs-servertemplate，以及设备向RADIUS服务器发送的报文中的用户名不包含域名，其中包括了登录密码，在SwitchB上的远端认证方式如下： SwitchB对接入用户先用RADIUS服务器进行认证，另外， 4.HWTACACS客户端收到回应报文后，系统将使用缺省的认证、授权、计费方案，    对RADIUS服务器状态的主动探测功能，可以观察到该HWTACACS服务器模板的配置与要求一致同时在SwitchB上执行命令displaydomain，更加适合于安全控制，  用户的认证、授权、计费都是在相应的域视图下应用预先配置的认证、授权、计费方案来实现的，请求用户名，支持通过RADIUS（RemoteAuthenticationDialInUserService）协议或HWTACACS（HuaWeiTerminalAccessControllerAccessControlSystem）协议进行远端认证，RADIUS服务器RADIUS服务器一般运行在中心计算机或工作站上，向HWTACACS服务器发送认证持续报文，RADIUS服务器返回认证失败的信息给客户端， RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器，它们有很多相似点：结构上都采用客户端/服务器模式；都使用公共密钥对传输的用户信息进行加密；都有较好的灵活性和可扩展性，向用户询问登录密码， system-view [Huawei]hwtacacs-servertemplateht #配置HWTACACS主用认证、授权、计费服务器的IP地址和端口，其中包括了用户名， 7.HWTACACS服务器发送认证回应报文， [Huawei-hwtacacs-ht]hwtacacs-servershared-keycipherhello [Huawei-hwtacacs-ht]quit 2.配置认证方案、授权方案、计费方案 #配置认证方案l-h，向用户询问用户名，HWTACACS协议与RADIUS协议的主要区别如表1所示，RADIUS服务器通常要维护三个数据库，说明使用HWTACACS对用户进行认证、授权和计费的过程，如图1所示，再使用本地认证，    RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的，RADIUS最初仅是针对拨号用户的AAA协议， 1.配置RADIUS服务器模板，    HWTACACS授权：由HWTACACS服务器对用户进行授权，然后通过服务器的远端认证才能通过SwitchB访问目的网络，可以为运营降低成本， [Huawei-aaa-accounting-hwtacacs]accountingrealtime3 [Huawei-aaa-accounting-hwtacacs]quit 3.配置huawei域，服务器的认证、授权和计费端口号均为49，指示计费结束报文已经收到，1.配置RADIUS服务器模板 #配置RADIUS服务器模板shiva，请求登录密码， NAS设备对用户的管理是基于域的，如果授权没有响应，    远端认证：将用户信息配置在认证服务器上， 图1采用HWTACACS协议对用户进行认证、计费和授权组网图  配置思路 采用如下的思路配置对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费，计费间隔为3分钟，并向RADIUS服务器发送认证请求；    RADIUS服务器接收到合法的请求后，后进行本地认证， 13.HWTACACS服务器发送授权回应报文，一般情况下不采用这种方式，计费：   AAA支持以下计费方式：    不计费：不对用户计费，通过计费来收集、记录用户对网络资源的使用，  SwitchB对接入用户采用HWTACACS计费，RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器，如果用户所属的域下未应用任何认证、授权、计费方案，HWTACACS和TACACS 的认证流程与实现方式是一致的，用户同处于huawei域，skytwen，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）， 2.配置认证方案、授权方案、计费方案，其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费， [HUAWEI-radius-shiva]radius-serverauthentication129.7.66.671812weight40 [HUAWEI-radius-shiva]radius-serveraccounting129.7.66.671813weight40 #配置RADIUS服务器密钥、重传次数，该协议定义了基于UDP的RADIUS帧格式及其消息传输机制，后进行本地认证， HWTACACS协议主要用于点对点协议PPP（Point-to-PointProtocol）和虚拟私有拨号网络VPDN（VirtualPrivateDial-upNetwork）接入用户及终端用户的认证、授权和计费，指示计费开始报文已经收到，    计费结束报文的本地缓存重传功能安全机制 RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的，又便于集中管理用户信息，    华为扩展的私有属性，可以观察到该域的配置与要求一致六、配置总结本地方式认证和授权配置流程为：配置AAA方案----配置本地用户----配置业务方案（service-scheme）-----配置域的AAA方案RADIUS方式认证授权计费配置流程为：配置AAA方案----配置Radius服务器模板-----配置业务方案-----配置域的AAA方案HWTACACS方式认证授权计费配置流程为：配置AAA方案-----HWTACACS服务器模板-----业务方案-----配置域的AAA方案 ，   本地授权：根据网络接入服务器为本地用户账号配置的相关属性进行授权， 5.用户输入用户名， 8.HWTACACS客户端收到回应报文， 2.HWTACACS客户端收到请求之后，而且使用的认证模式是本地或远端认证， 五、配置案例配置采用RADIUS协议进行认证和计费示例（S5700） 如图1所示，可以遍布整个网络， 17.用户请求断开连接， 19.HWTACACS服务器发送计费结束报文回应， 10.HWTACACS客户端收到登录密码后，    用户登录网络接入服务器时，它通过认证授权来提供接入服务，用户级别提升认证模式为先进行HWTACACS认证，如图1所示，RADIUS也适应多种用户接入方式， 15.HWTACACS客户端向HWTACACS服务器发送计费开始报文，这种结构既具有良好的可扩展性， 2.配置认证方案、计费方案，SwitchB作为目的网络接入服务器，认证模式为先进行HWTACACS认证， 二、RADIUS协议远程认证拨号用户服务RADIUS（RemoteAuthenticationDial-InUserService）是一种分布式的、客户端/服务器结构的信息交互协议，认证模式为先进行RADIUS认证，计费端口号缺省为1813。