一，AAA認證概述：

AAA（認證Authentication，授權Authorization，記帳Accounting）

企業應先制定對客戶信用評價的內容、事項和指標體系標準，這套標準應是參閱一定的理論研究資料和大量實踐總結出來的客戶信用特徵的集中體現，在下面“信用評價”部分將較詳細的介紹。然後對照標準，用計分法對客戶信用進行評估，可分六個等級。滿分100分，>90—100分、AAA級，>80—90分、AA級，>70—80分、A級，>60—70分、BBB級，>50—60分、BB級，>40—50分、B級。國際國內通行的企業信用等級是三等九級制或四等十級制，由於CCC、CC、C和D級是屬於信用警示企業和失信企業，因此要避免和這些企業進行信用交易，剩下的可考慮信用交易的企業只是B級以上的六種。

AAA系統的簡稱：

認證(Authentication)：驗證使用者的身份與可使用的網路服務；

授權(Authorization)：依據認證結果開放網路服務給使用者；

計帳(Accounting)：記錄使用者對各種網路服務的用量，並提供給計費系統。

AAA-----身份驗證 (Authentication)、授權 (Authorization)和統計 (Accounting)Cisco開發的一個提供網路安全的系統。奏見authentication。authorization和accounting

常用的AAA協議是Radius，參見RFC 2865，RFC 2866。

另外還有 HWTACACS協議（Huawei Terminal Access Controller Access Control System）協議。HWTACACS是華為對TACACS進行了擴充套件的協議

HWTACACS是在TACACS（RFC1492）基礎上進行了功能增強的一種安全協議。該協議與RADIUS協議類似，主要是通過“客戶端—伺服器”模式與HWTACACS伺服器通訊來實現多種使用者的AAA功能。

HWTACACS與RADIUS的不同在於：

l RADIUS基於UDP協議，而HWTACACS基於TCP協議。

l RADIUS的認證和授權繫結在一起，而HWTACACS的認證和授權是獨立的。

l RADIUS只對使用者的密碼進行加密，HWTACACS可以對整個報文進行加密。

認證方案與認證模式

AAA支援本地認證、不認證、RADIUS認證和HWTACACS認證四種認證模式，並允許組合使用。

組合認證模式是有先後順序的。例如，authentication-mode radius local表示先使用RADIUS認證，RADIUS認證沒有響應再使用本地認證。

當組合認證模式使用不認證時，不認證（none）必須放在最後。例如：authentication-mode radius local none。

認證模式在認證方案檢視下配置。當新建一個認證方案時，預設使用本地認證。

授權方案與授權模式

AAA支援本地授權、直接授權、if-authenticated授權和HWTACACS授權四種授權模式，並允許組合使用。

組合授權模式有先後順序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授權，HWTACACS授權沒有響應再使用本地授權。

當組合授權模式使用直接授權的時候，直接授權必須在最後。例如：authorization-mode hwtacacs local none

授權模式在授權方案檢視下配置。當新建一個授權方案時，預設使用本地授權。

RADIUS的認證和授權是繫結在一起的，所以不存在RADIUS授權模式。

計費方案與計費模式

AAA支援六種計費模式：本地計費、不計費、RADIUS計費、HWTACACS計費、同時RADIUS、本地計費以及同時HWTACACS。

----------------------------------------------------------------------

AAA ，認證(Authentication)：驗證使用者的身份與可使用的網路服務;授權(Authorization)：依據認證結果開放網路服務給使用者;計帳(Accounting)：記錄使用者對各種網路服務的用量，並提供給計費系統。整個系統在網路管理與安全問題中十分有效。

首先，認證部分提供了對使用者的認證。整個認證通常是採用使用者輸入使用者名稱與密碼來進行許可權稽核。認證的原理是每個使用者都有一個唯一的許可權獲得標準。由AAA伺服器將使用者的標準同資料庫中每個使用者的標準一一核對。如果符合，那麼對使用者認證通過。如果不符合，則拒絕提供網路連線。

接下來，使用者還要通過授權來獲得操作相應任務的許可權。比如，登陸系統後，使用者可能會執行一些命令來進行操作，這時，授權過程會檢測使用者是否擁有執行這些命令的許可權。簡單而言，授權過程是一系列強迫策略的組合，包括：確定活動的種類或質量、資源或者使用者被允許的服務有哪些。授權過程發生在認證上下文中。一旦使用者通過了認證，他們也就被授予了相應的許可權。 最後一步是賬戶，這一過程將會計算使用者在連線過程中消耗的資源數目。這些資源包括連線時間或者使用者在連線過程中的收發流量等等。可以根據連線過程的統計日誌以及使用者資訊，還有授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行賬戶過程。

驗證授權和帳戶由AAA伺服器來提供。AAA伺服器是一個能夠提供這三項服務的程式。當前同AAA伺服器協作的網路連線伺服器介面是“遠端身份驗證撥入使用者服務 (RADIUS)”。

目前最新的發展是Diameter協議。

二，ACS概述

ACS：思科安全訪問控制伺服器 思科安全訪問控制伺服器（Cisco Secure Access Control Sever）是一個高度可擴充套件、高效能的訪問控制伺服器，提供了全面的身份識別網路解決方案，是思科基於身份的網路服務(IBNS)架構的重要元件。Cisco Secure ACS通過在一個集中身份識別聯網框架中將身份驗證、使用者或管理員接入及策略控制相結合，強化了接入安全性。這使企業網路能具有更高靈活性和移動性，更為安全且提高使用者生產率。Cisco Secure ACS 支援範圍廣泛的接入連線型別，包括有線和無線區域網、撥號、寬頻、內容、儲存、VoIP、防火牆和 ×××。Cisco Secure ACS 是思科網路准入控制的關鍵元件。

適用場合：

◆集中控制使用者通過有線或者無線連線登入網路

◆設定每個網路使用者的許可權

◆記錄記帳資訊，包括安全審查或者使用者記帳

◆設定每個配置管理員的訪問許可權和控制指令

◆用於 Aironet 金鑰重設定的虛擬 VSA

◆安全的伺服器許可權和加密

◆通過動態埠分配簡化防火牆接入和控制

◆統一的使用者AAA服務

三，實驗案例

1，實驗拓撲

2，交換機配置

[s4]radius scheme xxx 方案名稱
[s4-radius-xxx]primary authentication 192.168.101.100 認證伺服器ip

[s4-radius-xxx]key authentication 123456認證金鑰
[s4-radius-xxx]server-type huawei 服務型別

[s4-radius-xxx]user-name-format without-domain
不加域名驗證
[s4-radius-xxx]domain tec 設立tec域
[s4-isp-tec]radius-scheme xxx 引用方案
[s4-isp-tec]access-limit enable 10 允許十個使用者通過
[s4]user-interface vty 0 4 口令驗證
[s4]authentication-mode scheme 認證模式方案

server2003配置：
將華為資源載入到aaa伺服器
D:\Documents and Settings\Administrator>cd D:\Program Files\CiscoSecure ACS v4.0
\bin

D:\Program Files\CiscoSecure ACS v4.0\bin>csu.exe -addUDV 0
D:\Program Files\CiscoSecure ACS v4.0\bin>CSUtil.exe -addUDV 0 c:\h3c.ini

server2003：3A伺服器配置

測試SSH只需將服務型別改為標準（ standard）並在AAA伺服器中ACS埠開啟22埠即可

基於埠認證：

埠驗證
[s4]dot1x
[s4]int e0/8
[s4-Ethernet0/8]dot1x

將客戶機放在8埠看pingt結果

3，路由器

AAA伺服器配置

路由器配置：
[Router]radius server 192.168.101.100
[Router]radius shared-key 123456
[Router]login-method authentication-mode telnet default 允許telnet
[Router]aaa authentication-scheme login default radius 通過radius方案驗證

測試結果：

4，防火牆

AAA配置與交換機路由器基本相同

防火牆配置
[H3C]radius scheme xxx
[H3C-radius-xxx]primary authentication 192.168.101.100
[H3C-radius-xxx]key authentication 123456
[H3C-radius-xxx]server-type extended
[H3C-radius-xxx]user-name-format without-domain
[H3C]domain tec
[H3C-isp-tec]radius-scheme xxx
[H3C-isp-tec]accounting optional
[H3C-isp-tec]access-limit enable 10
[H3C]use vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme

測試結果：

5，MAC地址認證：

MAC地址認證：

交換機配置：
[Quidway]mac-authentication 系統檢視下啟用mac地址驗證
[Quidway]int eth1/0/1

[Quidway-Ethernet1/0/1]mac-authentication埠下起mac地址驗證
接到1口發現不通

[Quidway]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen驗證模式
[Quidway]radius scheme xxx方案
[Quidway-radius-xxx]primary authentication 192.168.101.100驗證伺服器
[Quidway-radius-xxx]key authentication 123456鑰匙
[Quidway-radius-xxx]server-type standard伺服器型別標準
[Quidway-radius-xxx]user-name-format without-domain 使用者名稱格式不帶域名
[Quidway]domain system預設域
[Quidway-isp-system]radius-scheme xxx引用方案

[Quidway-isp-system]accounting optional審計
[Quidway-isp-system]access-limit enable 10限制使用者數目

AAA伺服器配置：

客戶機測試結果：

通過驗證PING通

轉載於:https://blog.51cto.com/jinxiang1988/973834