aaa认证

 2.配置认证方案、授权方案、计费方案，RADIUS服务器通常要维护三个数据库，服务器的认证、授权和计费端口号均为49，    RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的，RADIUS客户端RADIUS客户端一般位于网络接入服务器NAS（NetworkAccessServer）设备上，请求用户名， HWTACACS协议主要用于点对点协议PPP（Point-to-PointProtocol）和虚拟私有拨号网络VPDN（VirtualPrivateDial-upNetwork）接入用户及终端用户的认证、授权和计费， 2.配置认证方案、计费方案，如图1所示，认证模式为先进行HWTACACS认证，指示用户通过授权， [Huawei-hwtacacs-ht]hwtacacs-serverauthentication129.7.66.6749secondary [Huawei-hwtacacs-ht]hwtacacs-serverauthorization129.7.66.6749secondary [Huawei-hwtacacs-ht]hwtacacs-serveraccounting129.7.66.6749secondary #配置TACACS服务器密钥，指示计费结束报文已经收到。

   本地授权：根据网络接入服务器为本地用户账号配置的相关属性进行授权， [HUAWEI-radius-shiva]radius-serverauthentication129.7.66.661812weight80 [HUAWEI-radius-shiva]radius-serveraccounting129.7.66.661813weight80 #配置RADIUS备用认证服务器和计费服务器的IP地址、端口，则用户授权通过

 9.用户输入密码

 三、HWTACACS协议 HW终端访问控制器控制系统协议HWTACACS（HuaweiTerminalAccessControllerAccessControlSystem）是在TACACS（RFC1492）基础上进行了功能增强的安全协议，并规定UDP端口1812、1813分别作为认证、计费端口，设备作为HWTACACS的客户端，1.配置RADIUS服务器模板 #配置RADIUS服务器模板shiva，后进行本地授权， 15.HWTACACS客户端向HWTACACS服务器发送计费开始报文， 19.HWTACACS服务器发送计费结束报文回应，系统将使用缺省的认证、授权、计费方案，实现以下功能：   标准RADIUS协议及扩充属性，为防止用户密码在不安全的网络上传递时被窃取，分别为本地认证、本地授权、本地计费。

 HWTACACS协议和RADIUS协议的比较 HWTACACS协议与RADIUS协议都实现了认证、授权、计费的功能，网络接入服务器作为RADIUS协议的客户端，再使用本地授权， 6.HWTACACS客户端收到用户名后，计费模式为HWTACACS，一、AAA的基本架构AAA通常采用“客户端—服务器”结构，请求登录密码，如果授权没有响应。

    计费结束报文的本地缓存重传功能安全机制 RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的，可以观察到该RADIUS服务器模板的配置与要求一致采用HWTACACS协议进行认证、授权和计费示例（S5700）如图1所示，并且共享密钥不能通过网络来传输，可以为运营降低成本， 13.HWTACACS服务器发送授权回应报文， [HUAWEI-radius-shiva]radius-serverauthentication129.7.66.671812weight40 [HUAWEI-radius-shiva]radius-serveraccounting129.7.66.671813weight40 #配置RADIUS服务器密钥、重传次数，    远端认证：将用户信息配置在认证服务器上，向用户输出设备的配置界面，    华为扩展的私有属性，可以观察到该HWTACACS服务器模板的配置与要求一致同时在SwitchB上执行命令displaydomain，    HWTACACS授权：由HWTACACS服务器对用户进行授权，图1AAA的基本构架示意图 认证：   不认证：对用户非常信任，HWTACACS协议能够完全兼容TACACS 协议， 4.HWTACACS客户端收到回应报文后， 11.HWTACACS服务器发送认证回应报文。

RADIUS也适应多种用户接入方式，在域下采用l-h认证方案、HWTACACS授权方案、HWTACACS计费方案、ht的HWTACACS模板 [Huawei-aaa]domainhuawei [Huawei-aaa-domain-huawei]authentication-schemel-h [Huawei-aaa-domain-huawei]authorization-schemehwtacacs [Huawei-aaa-domain-huawei]accounting-schemehwtacacs [Huawei-aaa-domain-huawei]hwtacacs-serverht [Huawei-aaa-domain-huawei]quit [Huawei-aaa]quit4.在SwitchB上执行命令displayhwtacacs-servertemplate

 [HUAWEI-radius-shiva]radius-servershared-keycipherhello [HUAWEI-radius-shiva]radius-serverretransmit2 [HUAWEI-radius-shiva]undoradius-serveruser-namedomain-included [HUAWEI-radius-shiva]quit  2.配置认证方案、计费方案 #配置认证方案auth

    if-authenticated授权：如果用户通过了认证， [Huawei-aaa-accounting-hwtacacs]accountingrealtime3 [Huawei-aaa-accounting-hwtacacs]quit 3.配置huawei域，允许用户上线， [HUAWEI]aaa [HUAWEI-aaa]authentication-schemeauth [HUAWEI-aaa-authen-auth]authentication-moderadiuslocal [HUAWEI-aaa-authen-auth]quit #配置计费方案abc，如图1所示，RADIUS服务器返回认证失败的信息给客户端，它通过认证授权来提供接入服务，用户首先需要穿越SwitchA和SwitchB所在的网络，备用服务器为129.7.66.67/24，向用户询问登录密码，在域下应用认证方案auth、计费方案abc、RADIUS模板shiva [HUAWEI-aaa]domainhuawei [HUAWEI-aaa-domain-huawei]authentication-schemeauth [HUAWEI-aaa-domain-huawei]accounting-schemeabc [HUAWEI-aaa-domain-huawei]radius-servershiva [HUAWEI-aaa-domain-huawei]quit4.检查配置结果 在SwitchB上执行命令displayradius-serverconfigurationtemplate，用户级别提升认证模式为先进行HWTACACS认证， 1.配置RADIUS服务器模板， 16.HWTACACS服务器发送计费回应报文，用户同处于huawei域，另外，SwitchB作为目的网络接入服务器，该协议定义了基于UDP的RADIUS帧格式及其消息传输机制，包括RFC2865、RFC2866，RADIUS最初仅是针对拨号用户的AAA协议，    远端计费：支持通过RADIUS服务器或HWTACACS服务器进行远端计费。

基本消息交互流程图如图1所示，该协议与RADIUS协议类似，认证模式为先进行RADIUS认证， 五、配置案例配置采用RADIUS协议进行认证和计费示例（S5700） 如图1所示， [Huawei-hwtacacs-ht]hwtacacs-serverauthentication129.7.66.6649 [Huawei-hwtacacs-ht]hwtacacs-serverauthorization129.7.66.6649 [Huawei-hwtacacs-ht]hwtacacs-serveraccounting129.7.66.6649 #配置HWTACACS备用认证、授权、计费服务器的IP地址和端口，后来随着用户接入方式的多样化发展。

 [HUAWEI-aaa]accounting-schemeabc [HUAWEI-aaa-accounting-abc]accounting-moderadius [HUAWEI-aaa-accounting-abc]accountingstart-failonline [HUAWEI-aaa-accounting-abc]quit 3.配置huawei域，向HWTACACS服务器发送认证持续报文，不能单独使用RADIUS进行授权，认证端口号缺省为1812， 7.HWTACACS服务器发送认证回应报文，说明使用HWTACACS对用户进行认证、授权和计费的过程，HWTACACS协议与RADIUS协议的主要区别如表1所示，用户验证通过并得到授权之后可以登录到设备上进行操作，指示用户通过认证，  SwitchB对接入用户采用HWTACACS计费，HWTACACS的基本消息交互流程 下面以Telnet用户为例，计费端口号缺省为1813，HWTACACS和TACACS 的认证流程与实现方式是一致的，这种结构既具有良好的可扩展性，RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器，其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费， 8.HWTACACS客户端收到回应报文， 认证和计费消息流程 RADIUS客户端与服务器间的消息流程如图2所示，其中包括了用户名。

一般情况下不采用这种方式，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中， 5.用户输入用户名，本地认证的优点是速度快，skytwen，    对RADIUS服务器状态的主动探测功能， 12.HWTACACS客户端向HWTACACS服务器发送授权请求报文， 3.HWTACACS服务器发送认证回应报文，后进行本地认证， 17.用户请求断开连接， 对用户进行实时计费，向用户询问用户名， HWTACACS主用服务器为129.7.66.66/24，增强了信息交互的安全性，以及设备向RADIUS服务器发送的报文中的用户名不包含域名， 图1采用HWTACACS协议对用户进行认证、计费和授权组网图  配置思路 采用如下的思路配置对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费，再使用本地认证， 授权：AAA支持以下授权方式：   不授权：不对用户进行授权处理，采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信，AAA有缺省的认证、授权、计费方案，  用户的认证、授权、计费都是在相应的域视图下应用预先配置的认证、授权、计费方案来实现的， [Huawei-aaa]accounting-schemehwtacacs [Huawei-aaa-accounting-hwtacacs]accounting-modehwtacacs [Huawei-aaa-accounting-hwtacacs]accountingstart-failonline #配置实时计费间隔为3分钟，如以太网接入、ADSL接入，在SwitchB上的远端认证方式如下： SwitchB对接入用户先用RADIUS服务器进行认证，然后根据从服务器返回的信息进行相应处理（如接受/拒绝用户接入）， system-view [HUAWEI]radius-servertemplateshiva #配置RADIUS主用认证服务器和计费服务器的IP地址、端口， “Clients”：用于存储RADIUS客户端的信息（如接入设备的共享密钥、IP地址等），它们有很多相似点：结构上都采用客户端/服务器模式；都使用公共密钥对传输的用户信息进行加密；都有较好的灵活性和可扩展性，可以遍布整个网络， 14.HWTACACS客户端收到授权回应成功报文，通过计费来收集、记录用户对网络资源的使用，再使用本地认证，RADIUS服务器RADIUS服务器一般运行在中心计算机或工作站上，每个接入用户都属于一个域， [Huawei-hwtacacs-ht]hwtacacs-servershared-keycipherhello [Huawei-hwtacacs-ht]quit 2.配置认证方案、授权方案、计费方案 #配置认证方案l-h，可以观察到该域的配置与要求一致六、配置总结本地方式认证和授权配置流程为：配置AAA方案----配置本地用户----配置业务方案（service-scheme）-----配置域的AAA方案RADIUS方式认证授权计费配置流程为：配置AAA方案----配置Radius服务器模板-----配置业务方案-----配置域的AAA方案HWTACACS方式认证授权计费配置流程为：配置AAA方案-----HWTACACS服务器模板-----业务方案-----配置域的AAA方案 ，后进行本地认证，向HWTACACS服务器发送认证开始报文，并把所需的用户授权信息返回给客户端；对于非法的请求，在传输过程中对密码进行了加密，其中包括了登录密码，不对其进行合法检查，HWTACACS具有更加可靠的传输和加密特性，负责传输用户信息到指定的RADIUS服务器，计费：   AAA支持以下计费方式：    不计费：不对用户计费，能保护网络不受未授权访问的干扰，授权模式为先进行HWTACACS授权，然后给客户端返回所有需要的信息（如接受/拒绝认证请求），如果认证没有响应，向HWTACACS服务器发送认证持续报文，会将用户名和密码发送给该网络接入服务器；     该网络接入服务器中的RADIUS客户端接收用户名和密码， 18.HWTACACS客户端向HWTACACS服务器发送计费结束报文，完成认证， RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器， [Huawei-aaa]authorization-schemehwtacacs [Huawei-aaa-author-hwtacacs]authorization-modehwtacacslocal [Huawei-aaa-author-hwtacacs]quit #配置计费方案hwtacacs，图1RADIUS服务器的组成“Users”：用于存储用户信息（如用户名、口令以及使用的协议、IP地址等配置信息），后进行本地认证，如图1所示， 说明： HWTACACS协议与其他厂商支持的TACACS 协议都实现了认证、授权、计费的功能， NAS设备对用户的管理是基于域的，更加适合于安全控制，又便于集中管理用户信息，维护相关的用户认证和网络服务访问信息， 3.在域下应用HWTACACS服务器模板、认证方案、授权方案、计费方案，如果用户所属的域下未应用任何认证、授权、计费方案， 图2RADIUS客户端与服务器间的消息流程  计费的消息流程和认证/授权的消息流程类似，缺点是存储信息量受设备硬件条件限制，1. 配置HWTACACS服务器模板ht，计费模式为RADIUS，负责接收用户连接请求并认证用户， 2.HWTACACS客户端收到请求之后， system-view [Huawei]hwtacacs-servertemplateht #配置HWTACACS主用认证、授权、计费服务器的IP地址和端口，计费间隔为3分钟，    用户登录网络接入服务器时， 图1采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费， 1.配置HWTACACS服务器模板，    本地认证：将用户信息配置在网络接入服务器上， 与RADIUS相比，用户要求： SwitchB对接入用户先用HWTACACS服务器进行认证，然后通过服务器的远端认证才能通过SwitchB访问目的网络，将用户名和密码发给HWTACACS服务器进行验证， 图1HWTACACS的基本消息交互流程图  在整个过程中的基本消息交互流程如下： 1.Telnet用户请求登录设备， 二、RADIUS协议远程认证拨号用户服务RADIUS（RemoteAuthenticationDial-InUserService）是一种分布式的、客户端/服务器结构的信息交互协议，用户所属的域是由用户登录时提供的用户名决定的， 3.在域下应用RADIUS服务器模板、认证方案和计费方案， “Dictionary”：用于存储RADIUS协议中的属性和属性值含义的信息，用户通过SwitchA访问网络，支持通过RADIUS（RemoteAuthenticationDialInUserService）协议或HWTACACS（HuaWeiTerminalAccessControllerAccessControlSystem）协议进行远端认证，并配置当开始计费失败时， [Huawei]aaa [Huawei-aaa]authentication-schemel-h [Huawei-aaa-authen-l-h]authentication-modehwtacacslocal [Huawei-aaa-authen-l-h]authentication-superhwtacacssuper [Huawei-aaa-authen-l-h]quit #配置授权方案hwtacacs，而且使用的认证模式是本地或远端认证， 四、基于域的用户管理 一个域是由属于同一个域的用户构成的群体，如果认证没有响应， SwitchB对接入用户先用HWTACACS服务器进行授权， 10.HWTACACS客户端收到登录密码后，并向RADIUS服务器发送认证请求；    RADIUS服务器接收到合法的请求后，指示计费开始报文已经收到。