AAA和RADIUS HWTACACS协议

AAA 及RADIUS 协议配置一、aaa 及radius 协议简介1. aaa 的功能aaa 是authentication（认证）、authorization（授权）和accounting（计费）的简称。

它提供对用户进行认证、授权和计费三种安全功能。

具体如下：a、认证（authentication）：认证用户是否可以获得访问权，确定哪些用户可以访问网络。

b、授权（authorization）：授权用户可以使用哪些服务。

c、计费（accounting）：记录用户使用网络资源的情况。

aaa 一般采用客户／服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。

这种结构既具有良好的可扩展性，又便于用户信息的集中管理。

计费网关主要使用aaa 中的认证功能对终端用户进行认证管理。

2. radius 协议（1） radius 简介radius 是remote authentication dial-in user service（远程认证拨号用户服务）的简称，最初由livingston enterprise 公司开发，作为一种分布式的客户机／服务器系统，能提供aaa 功能。

radiu s 技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）。

radius 服务包括三个组成部分：a、协议：rfc2865、2866 协议基于udp／ip 层定义了radius 帧格式及消息传输机制，并定义了1812 作为认证端口，1813 作为计费端口。

b、服务器：radius 服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。

c、客户端：位于拨号访问服务器nas（network access server）侧，可以遍布整个网络。

radius 基于客户／服务器模型，nas（如路由器）作为radius 客户端，负责传输用户信息到指定的r adius 服务器，然后根据从服务器返回的信息进行相应处理（如接入／挂断用户）。

1 AAA和用户管理简介在学习AAA的配置前，先简要了解下AAA的基本知识1.1 什么AAAAAA（Authentication Authorization Accounting）是一种提供认证、授权和计费的技术。

●∙∙认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。

●∙∙授权（Authorization）：授权用户可以使用哪些服务。

●∙∙计费（Accounting）：记录用户使用网络资源的情况。

1.2 AAA的基本架构AAA通常采用“客户端—服务器”结构。

这种结构既具有良好的可扩展性，又便于集中管理用户信息。

如下图所示认证AAA支持以下认证方式：●∙∙不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。

●∙∙本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在网络接入服务器上。

本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备硬件条件限制。

●∙∙远端认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服务器上。

AAA支持通过RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS （HuaWei Terminal Access Controller Access Control System）协议进行远端认证。

网络接入服务器NAS（Network Access Server）作为客户端，与RADIUS 服务器或HWTACACS服务器通信。

如果在一个认证方案中采用多种认证模式，将按照配置的顺序进行认证。

当配置的认证方式是先远端认证后本地认证时如果登录的帐号在远端服务器上没有创建，但是在本地是存在的，经过远端认证时，将被认为认证失败，不再转入本地认证。

只有在远端认证服务器无响应时，才会转入本地认证。

如果选用了不认证（none）或本地认证（local），它必须作为最后一种认证模式。

AAA和RADIUS介绍图1 PSTN,ISDN用户通过NAS上网示意图如图：用户lqz, lst 要求得到某些服务(如SLIP, PPP,telnet)，但必须通过NAS, 由NAS依据某种顺序与所连服务器通信从而进行验证。

注：lst 通过拨号进入NAS, 然后NAS按配置好的验证方式(如PPP PAP, CHAP等)要求lst输入用户名, 密码等信息。

lst 端出现提示，用户按提示输入。

通过与NAS 的连接，NAS 得到这些信息。

而后，NAS把这些信息传递给响应验证或记账的服务器，并根据服务器的响应来决定用户是否可以获得他所要求的服务。

AAA是验证，授权和记账（Authentication,Authorization,and Accounting）的简称。

它是运行于NAS上的客户端程序。

它提供了一个用来对验证，授权和记账这三种安全功能进行配置的一致的框架。

AAA的配置实际上是对网络安全的一种管理。

这里的网络安全主要指访问控制。

包括哪些用户可以访问网络服务器？具有访问权的用户可以得到哪些服务？如何对正在使用网络资源的用户进行记账？下面简单介绍一下验证, 授权,记账的作用。

验证(Authentication): 验证用户是否可以获得访问权。

可以选择使用RADIUS协议。

授权(Authorization) :授权用户可以使用哪些服务。

记账(Accounting) :记录用户使用网络资源的情况。

AAA的实现可采用RADIUS 协议。

RADIUS 是Remote Authentication Dial In User Service 的简称，用来管理使用串口和调制解调器的大量分散用户。

网络接入服务器简称NAS(Network Access Server) 。

当用户想要通过某个网络（如电话网）与NAS建立连接从而获得访问其他网络的权利（或取得使用某些网络资源的权利）时, NAS起到了过问用户（或这个连接）的作用。

AAA认证认证名称由来：AAA系统的简称：认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

AAA-----身份验证 (Authentication)、授权 (Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。

奏见authentication。

authorization和accounting常用的AAA协议是Radius，参见RFC 2865，RFC 2866。

另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。

HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。

该协议与RADIUS协议类似，主要是通过“客户端－服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于：l RADIUS基于UDP协议，而HWTACACS基于TCP协议。

l RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。

l RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。

认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。

组合认证模式是有先后顺序的。

例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。

当组合认证模式使用不认证时，不认证（none）必须放在最后。

例如：authentication-mode radius local none。

AAA原理与配置概述 AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，它提供了认证、授权、计费三种安全功能。

AAA可以通过多种协议来实现，⽬前华为设备⽀持基于RADIUS（Remote Authentication Dial-In User Service）协议或HWTACACS（Huawei Terminal Access Controller Access Control System）协议来实现AAA。

应⽤场景例如，企业总部需要对服务器的资源访问进⾏控制，只有通过认证的⽤户才能访问特定的资源，并对⽤户使⽤资源的情况进⾏记录。

NAS为⽹络接⼊服务器，负责集中收集和管理⽤户的访问请求。

AAA服务器表⽰远端的Radius 或 HWTACACS服务器，负责制定认证、授权和计费⽅案。

认证⽅式AAA有三种认证⽅式：不认证：完全信任⽤户，不对⽤户⾝份进⾏合法性检查。

本地认证：将本地⽤户信息（包括⽤户名、密码和各种属性）配置在NAS上。

缺省为本地认证。

远端认证：将⽤户信息（包括⽤户名、密码和各种属性）配置在认证服务器上。

注：如果⼀个认证⽅案采⽤多种认证⽅式，这些认证⽅式按配置顺序⽣效。

授权⽅式AAA⽀持以下三种授权⽅式：不授权：不对⽤户进⾏授权处理。

本地授权：根据NAS上配置的本地⽤户账号的相关属性进⾏授权。

远端授权：　1. HWTACACS授权，使⽤TACACS服务器对⽤户授权。

2. RADIUS授权，对通过RADIUS服务器认证的⽤户授权。

RADIUS协议的认证和授权是绑定在⼀起的，不能单独使⽤RADIUS进⾏授权。

计费⽅式AAA⽀持以下两种计费⽅式：不计费：为⽤户提供免费上⽹服务，不产⽣相关活动⽇志。

远端计费：通过RADIUS服务器或HWTACACS服务器进⾏远端计费。

AAA域 设备基于域来对⽤户进⾏管理，每个域都可以配置不同的认证、授权和计费⽅案，⽤于对该域下的⽤户进⾏认证、授权和计费。

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC 方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如user@就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

目录第1章 AAA&RADIUS&HWTACACS协议配置命令................................................................1-11.1 AAA配置命令.....................................................................................................................1-11.1.1 access-limit..............................................................................................................1-11.1.2 attribute...................................................................................................................1-21.1.3 accounting...............................................................................................................1-31.1.4 accounting optional.................................................................................................1-41.1.5 authentication..........................................................................................................1-41.1.6 authorization............................................................................................................1-61.1.7 cut connection.........................................................................................................1-61.1.8 display connection...................................................................................................1-81.1.9 display domain........................................................................................................1-91.1.10 display local-user................................................................................................1-101.1.11 domain.................................................................................................................1-121.1.12 idle-cut.................................................................................................................1-131.1.13 level.....................................................................................................................1-131.1.14 local-user.............................................................................................................1-141.1.15 local-user password-display-mode......................................................................1-151.1.16 messenger...........................................................................................................1-161.1.17 name...................................................................................................................1-171.1.18 password.............................................................................................................1-181.1.19 radius-scheme.....................................................................................................1-191.1.20 scheme................................................................................................................1-191.1.21 self-service-url.....................................................................................................1-201.1.22 service-type.........................................................................................................1-221.1.23 state.....................................................................................................................1-221.1.24 vlan-assignment-mode........................................................................................1-231.2 RADIUS协议配置命令.....................................................................................................1-251.2.1 accounting optional...............................................................................................1-251.2.2 accounting-on enable............................................................................................1-261.2.3 data-flow-format....................................................................................................1-271.2.4 debugging radius...................................................................................................1-281.2.5 display local-server statistics.................................................................................1-291.2.6 display radius scheme...........................................................................................1-291.2.7 display radius statistics.........................................................................................1-311.2.8 display stop-accounting-buffer..............................................................................1-331.2.9 key.........................................................................................................................1-341.2.10 local-server..........................................................................................................1-351.2.11 nas-ip...................................................................................................................1-361.2.12 primary accounting..............................................................................................1-371.2.13 primary authentication.........................................................................................1-381.2.14 radius nas-ip........................................................................................................1-391.2.15 radius scheme.....................................................................................................1-401.2.16 radius trap...........................................................................................................1-411.2.17 reset radius statistics...........................................................................................1-421.2.18 reset stop-accounting-buffer...............................................................................1-421.2.19 retry.....................................................................................................................1-431.2.20 retry realtime-accounting.....................................................................................1-441.2.21 retry stop-accounting...........................................................................................1-451.2.22 secondary accounting.........................................................................................1-461.2.23 secondary authentication....................................................................................1-471.2.24 server-type..........................................................................................................1-481.2.25 state.....................................................................................................................1-491.2.26 stop-accounting-buffer enable.............................................................................1-501.2.27 timer....................................................................................................................1-511.2.28 timer quiet............................................................................................................1-521.2.29 timer realtime-accounting....................................................................................1-521.2.30 timer response-timeout.......................................................................................1-531.2.31 user-name-format................................................................................................1-54 1.3 HWTACACS协议配置命令..............................................................................................1-551.3.1 data-flow-format....................................................................................................1-551.3.2 display hwtacacs...................................................................................................1-571.3.3 display stop-accounting-buffer..............................................................................1-581.3.4 hwtacacs nas-ip.....................................................................................................1-581.3.5 hwtacacs scheme..................................................................................................1-591.3.6 key.........................................................................................................................1-601.3.7 nas-ip.....................................................................................................................1-611.3.8 primary accounting................................................................................................1-621.3.9 primary authentication...........................................................................................1-621.3.10 primary authorization...........................................................................................1-631.3.11 reset hwtacacs statistics.....................................................................................1-641.3.12 reset stop-accounting-buffer...............................................................................1-651.3.13 retry stop-accounting...........................................................................................1-661.3.14 secondary accounting.........................................................................................1-661.3.15 secondary authentication....................................................................................1-671.3.16 secondary authorization......................................................................................1-681.3.17 timer quiet............................................................................................................1-691.3.18 timer realtime-accounting....................................................................................1-691.3.19 timer response-timeout.......................................................................................1-701.3.20 user-name-format................................................................................................1-71第1章 AAA&RADIUS&HWTACACS协议配置命令1.1 AAA配置命令1.1.1 access-limit【命令】access-limit { disable | enable max-user-number }undo access-limit【视图】ISP域视图【参数】disable：表示不限制当前ISP域可容纳的接入用户数。

1概述1.1AAAAAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，提供了认证、授权、计费三种安全功能。

这三种安全功能的具体作用如下：●认证：验证用户是否可以获得网络访问权。

●授权：授权用户可以使用哪些服务。

●计费：记录用户使用网络资源的情况用户可以只使用AAA提供的一种或两种安全服务。

例如，公司仅仅想让员工在访问某些特定资源的时候进行身份认证，那么网络管理员只要配置认证服务器即可。

但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。

如上所述，AAA是一种管理框架，它提供了授权部分用户去访问特定资源，同时可以记录这些用户操作行为的一种安全机制，因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。

AAA可以通过多种协议来实现。

在实际应用中，最常使用RADIUS协议（UDP）和TACACS协议（TCP），华为和Cisco又有自身的协议：HWTACACS（华为）和TACACS+（Cisco）。

1）终端访问控制器的访问控制系统(TACACS)TACACS是一个远程认证协议，用作与认证服务器进行通信，通常使用在UNIX 网络中。

TACACS允许远程访问服务于认证服务通信，为了决定用户是否允许访问网络。

Unix后台是TACACSD，运行在49端口上，使用TCP。

2）TACACS+:TACACS+是为路由、网络访问服务和其它网络计算设备提供访问控制的协议，使用一个以上的中心服务器。

它使用TCP，提供单独认证、鉴权和审计服务，端口是49。

3）RADIUS：远程认证拨号用户服务是一个AAA应用协议，例如：网络认证或IP移动性。

后续章节中，我们会看到更多的RADIUS详情。

4）DIAMETERDiameter是计划替代RADIUS的一种协议。

2原理描述2.1基本构架AAA是采用“客户端/服务器”（C/S）结构，其中AAA客户端（也称网络接入服务器——NAS）就是使能了AAA功能的网络设备（可以是网络中任意一台设备，不一定是接入设备，而且可以在网络中多个设备上使能），而AAA服务器就是专门用来认证、授权和计费的服务器（可以由服务器主机配置，也可以有提供了对应服务器功能的网络设备上配置）如图2-1所示。

AAAAAA简介AAA是Authentication、Authorization、Accounting（认证、授权、计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。

AAA一般采用客户机/服务器结构，客户端运行于NAS（Network Access Server，网络接入服务器）上，服务器上则集中管理用户信息。

NAS对于用户来讲是服务器端，对于服务器来说是客户端。

AAA的基本组网结构如图1。

图1 AAA基本组网结构示意图当用户想要通过某网络与NAS建立连接，从而获得访问其它网络的权利或取得某些网络资源的权利时，NAS起到了验证用户或对应连接的作用。

NAS负责把用户的认证、授权、计费信息透传给服务器（RADIUS服务器或HWTACACS服务器），RADIUS协议或HWTACACS协议规定了NAS与服务器之间如何传递用户信息。

图1-1的AAA基本组网结构中有两台服务器，用户可以根据实际组网需求来决定认证、授权、计费功能分别由使用哪种协议类型的服务器来承担。

例如，可以选择HWTACACS服务器实现认证和授权，RADIUS服务器实现计费。

这三种安全服务功能的具体作用如下：l 认证：确认远端访问用户的身份，判断访问者是否为合法的网络用户；l 授权：对不同用户赋予不同的权限，限制用户可以使用的服务。

例如用户成功登录服务器后，管理员可以授权用户对服务器中的文件进行访问和打印操作；l 计费：记录用户使用网络服务中的所有操作，包括使用的服务类型、起始时间、数据流量等，它不仅是一种计费手段，也对网络安全起到了监视作用。

当然，用户可以只使用AAA提供的一种或两种安全服务。

例如，公司仅仅想让员工在访问某些特定资源的时候进行身份认证，那么网络管理员只要配置认证服务器就可以了。

但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。

如上所述，AAA是一种管理框架，它提供了授权部分实体去访问特定资源，同时可以记录这些实体操作行为的一种安全机制，因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。

华为AAA认证详解及配置⼀、AAA的基本架构AAA 通常采⽤“客户端—服务器”结构。

这种结构既具有良好的可扩展性，⼜便于集中管理⽤户信息。

如图1所⽰。

图 1 AAA 的基本构架⽰意图认证：不认证：对⽤户⾮常信任，不对其进⾏合法检查，⼀般情况下不采⽤这种⽅式。

本地认证：将⽤户信息配置在⽹络接⼊服务器上。

本地认证的优点是速度快，可以为运营降低成本，缺点是存储信息量受设备硬件条件限制。

远端认证：将⽤户信息配置在认证服务器上。

⽀持通过 RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS（HuaWei Terminal Access Controller Access Control System）协议进⾏远端认证。

授权： AAA ⽀持以下授权⽅式：不授权：不对⽤户进⾏授权处理。

本地授权：根据⽹络接⼊服务器为本地⽤户账号配置的相关属性进⾏授权。

HWTACACS 授权：由 HWTACACS 服务器对⽤户进⾏授权。

if-authenticated 授权：如果⽤户通过了认证，⽽且使⽤的认证模式是本地或远端认证，则⽤户授权通过。

RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在⼀起的，不能单独使⽤ RADIUS 进⾏授权。

计费：AAA ⽀持以下计费⽅式：不计费：不对⽤户计费。

远端计费：⽀持通过 RADIUS 服务器或 HWTACACS 服务器进⾏远端计费。

⼆、RADIUS协议远程认证拨号⽤户服务 RADIUS（Remote Authentication Dial-In User Service）是⼀种分布式的、客户端/服务器结构的信息交互协议，能保护⽹络不受未授权访问的⼲扰，常应⽤在既要求较⾼安全性、⼜允许远程⽤户访问的各种⽹络环境中。

该协议定义了基于UDP 的 RADIUS 帧格式及其消息传输机制，并规定 UDP 端⼝ 1812、1813 分别作为认证、计费端⼝。

AAA基本原理与基本配置，RADIUS的基本原理前言：对于任何网络，用户管理都是最基本的安全管理要求之一。

AAA（Authentication, Authorization, and Accounting）是一种管理框架，它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。

因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。

AAA可以通过多种协议来实现，在实际应用中，最常使用RADIUS （Remote Authentication Dial-In User Service）协议。

本文将介绍AAA基本概念、AAA的实现方式、AAA的基本配置以及常见AAA应用场景。

AAA基本概念AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。

·认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。

·授权（Authorization）：授权用户可以使用哪些服务。

·计费（Accounting）：记录用户使用网络资源的情况。

·网络运营商（ISP）需要验证家庭宽带用户的账号密码之后才允许其上网，并记录用户的上网时长或上网流量等内容，这就是AAA技术最常见的应用场景。

AAA常见架构AAA常见网络架构中包括用户、NAS（Network AccessServer）、AAA服务器（AAA Server）。

NAS负责集中收集和管理用户的访问请求。

在NAS上会创建多个域来管理用户。

不同的域可以关联不同的AAA方案。

AAA方案包含认证方案，授权方案，计费方案。

当收到用户接入网络的请求时，NAS会根据用户名来判断用户所在的域，根据该域对应的AAA方案对用户进行管控。

·NAS基于域来对用户进行管理，每个域都可以配置不同的认证、授权和计费方案，用于对该域下的用户进行认证、授权和计费。

网络设备AAA是面向网络设备提供的认证、授权及审计安全管理服务。

AAA因认证（Authentication）、授权（Authorization）、审计（Accounting）的英文首字母的组合而得名。

虽然TACACS+ 和RADIUS协议均可以提供这三项服务，但是RADIUS协议的认证和授权同步，而TACACS+协议则可以实现认证、授权分离，同时TACACS+协议还提供操作命令授权，即用户输入的每一条命令都需要得到TACACS+服务器的授权，因此TACACS+协议在网络设备授权领域的操作粒度划分更细。

而大部分IP设备认证场景均使用了Radius协议，所以在认证层面使用Radius协议的兼容性效果更好。

为充分发挥TACACS+、RADIUS的各自优势，网络设备AAA中实施TACACS+ 协议与RADIUS协议“分权而置”：a.认证及双因子动态口令校验：RADIUS协议发挥其优势。

b.授权及操作审计：TACACS+ 协议发挥其优势；1、数据中心基础设施一体化安全认证基于Radius协议，异构兼容数据中心网络设备（交换、路由、堡垒机）、安全设备（VPN、防火墙、负载均衡等）及服务器、数据库等应用场景的统一认证需求。

按设备/设备组方式导入导入设备信息，对接账号源，实现数据中心基础设施统一认证。

2、双因子动态口令身份鉴别为避免弱密码、僵尸账号及账号密码被盗等账号安全挑战，可通过在账号密码的基础上增加双因子动态口令，提升账号密码准入安全。

面向数据中心各品牌VPN、虚拟化、网络设备、堡垒机、服务器、数据库等应用场景，提供异构场景的统一安全认证解决方案。

a)除数据中心外基础设施外，还可对接网络层及应用层（邮件系统、office365、SSO单点登录等应用场景）；b)支持与AD、LDAP等多账号源对接；c)提供软硬件动态Token令牌及令牌的衍生品（手机令牌、硬件令牌、短信令牌、企业微信/钉钉H5令牌及推送认证等）；以令牌为例，用户登录某应用场景时，输入账号密码之后需再输入令牌六位动态口令完成校验。

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs （华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，如***************就表示属于huawei域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

HWTACACS协议和RADIUS协议区别及应⽤场合、配置步骤HWTACACS和RADIUS协议均是AAA协议，BAIDU、GOOGLE能搜索出来很多相关内容，但⼀般侧重点有所不同，难免有所⽚⾯。

本⽂对HWTACACS和RADIUS两种协议的区别做相关介绍，同时对两种协议的使⽤场合和配置进⾏介绍，希望对⼤家有益。

具体内容如下：⼀ HWTACACS和RADIUS的区别1 传输层协议两者使⽤的传输层协议不同，HWTACACS使⽤的是TCP，⽽RADIUS采⽤的是UDP；2 认证、授权⽅式HWTACACS的认证、授权相互独⽴，⽽RADIUS的认证和授权是捆在⼀起的；3 加密⽅式HWTACACS对⽤户报⽂会进⾏整个加密，⽽RADIUS仅对⽤户密码进⾏加密。

⼆ HWTACACS和RADIUS使⽤场合当⽤户需从本地⽹络与NAS建⽴连接从⽽取得访问其他⽹络的权利或取得使⽤某些⽹络资源时，⼀般都需对此类⽤户接⼊请求进⾏认证、授权和计费等。

认证为合法⽤户将被分配⽹络资源，同时可对⽤户上线时间统计计时，并拒绝⾮法⽤户的请求。

电信运营商和⼀些院校及企事业单位⼀般都采⽤HWTACACS或RADIUS服务器对接⼊⽤户进⾏有效控制，保证⽹络安全性和计时（⽅便计费）。

三配置步骤HWTACACS和RADIUS配置步骤基本相同，以HWTACACS为例，配置步骤如下：1路由器配置在AAA模式下，将HWTACACS认证、授权和计费⽅式分别配置成认证、授权和计费⽅式；配置HWTACACS服务器模板，并确定HWTACACS服务器的IP地址、端⼝号及共享密钥等；配置相关域，然后在域下引⽤HWTACACS服务器模板，以及认证、授权和计费⽅式。

2 HWTACACS服务器配置配置⽤户名和密码；配置认证、授权和计费的端⼝号（需和路由器中配置的端⼝号保持⼀致）；配置NAS地址及共享密钥（需和路由器中配置的共享密钥保持⼀致）。

AAA协议介绍协议名称：AAA协议介绍一、引言AAA协议（Authentication, Authorization, and Accounting）是一种网络安全协议，广泛用于计算机网络中的身份验证、授权和计费管理。

本协议旨在确保网络中的用户身份合法、授权访问资源以及记录和计费用户使用资源的情况。

二、协议内容1. 身份验证（Authentication）1.1 用户身份验证方式：本协议支持多种身份验证方式，包括但不限于用户名/密码、数字证书、生物特征等。

1.2 身份验证流程：用户在访问网络资源前，需要进行身份验证。

验证过程包括用户提交身份信息、服务器对身份信息进行验证、返回验证结果给用户等环节。

2. 授权（Authorization）2.1 资源访问控制：AAA协议通过授权机制，限制用户对资源的访问权限。

服务器根据用户身份、角色和资源属性等信息，决定用户是否有权访问特定资源。

2.2 动态授权：AAA协议支持动态授权，即在用户访问资源时，服务器可以根据实时情况对用户进行授权，包括暂时授权、限时授权等。

3. 计费管理（Accounting）3.1 资源使用记录：AAA协议能够记录用户对资源的使用情况，包括访问时间、访问时长、访问流量等。

3.2 资源计费：基于资源使用记录，AAA协议可以进行计费管理，确保用户按照实际使用情况支付费用。

4. AAA服务器4.1 AAA服务器功能：AAA服务器是实现AAA协议的核心组件，负责用户身份验证、授权和计费管理。

4.2 AAA服务器架构：AAA服务器采用分布式架构，包括认证服务器、授权服务器和计费服务器等模块，以实现高可用性和可扩展性。

4.3 AAA服务器与网络设备的接口：AAA服务器与网络设备之间通过协议接口进行通信，常用的接口包括RADIUS（Remote Authentication Dial-In User Service）和TACACS+（Terminal Access Controller Access-Control System Plus）。

AAA协议介绍协议名称：AAA协议介绍1. 引言AAA协议（Authentication, Authorization, and Accounting）是一种用于网络认证、授权和计费的协议。

本协议旨在确保网络中的用户身份验证、资源访问控制和计费的安全性和可靠性。

2. 背景随着互联网的快速发展，网络安全问题变得日益重要。

为了保护网络资源的安全和隐私，网络服务提供商（ISP）和企业网络管理员需要一种可靠的方式来验证用户身份，授权用户访问特定资源，并记录用户的网络活动以进行计费。

3. 目的AAA协议的目的是为网络服务提供商和企业网络管理员提供一种标准化的方法来管理用户的身份验证、授权和计费。

通过使用AAA协议，网络管理员可以确保只有经过身份验证和授权的用户才能访问网络资源，并能够准确计费用户的网络使用。

4. AAA协议的组成部分4.1 认证（Authentication）认证是AAA协议的第一个组成部分。

它用于验证用户的身份信息，以确保用户是合法的网络用户。

常见的认证方法包括用户名和密码、数字证书、双因素认证等。

4.2 授权（Authorization）授权是AAA协议的第二个组成部分。

一旦用户通过认证，授权机制将决定用户可以访问的资源和权限级别。

授权可以基于用户的身份、角色、组织等因素进行配置。

4.3 计费（Accounting）计费是AAA协议的第三个组成部分。

它用于记录用户的网络活动，包括登录时间、登录地点、访问资源、使用带宽等信息。

这些信息可以用于计费、网络监控和审计等目的。

5. AAA协议的工作流程5.1 用户认证用户在尝试访问网络资源之前，需要进行身份验证。

用户提供身份信息，如用户名和密码，通过认证服务器进行验证。

认证服务器将验证结果返回给网络设备或应用程序。

5.2 用户授权一旦用户通过认证，网络设备或应用程序将向授权服务器发送请求，以获取用户可以访问的资源和权限级别。

授权服务器根据用户的身份和角色等信息，返回相应的授权策略。

采用HWTACACS协议对用户进行认证、授权和计费应用环境当用户需要通过网络与NAS建立连接从而取得访问其他网络的权利或取得使用某些网络资源的权利时，运营商需要对这些用户的接入请求进行恰当的处理。

在允许合法用户上线，并对其上线时间进行统计的同时，拒绝非法的用户的上线请求。

运营商可以通过HWTACACS服务器对上线用户进行有效的控制，保证安全性和和统计上线时间。

配置思路在部署采用HWTACACS协议对用户进行认证和计费时，采用如下的配置思路：在路由器中进行下列配置：1. 在AAA中配置认证方案，认证方式为HWTACACS。

2. 在AAA中配置认证方案，认证方式为HWTACACS。

3. 在AAA中配置计费方案，计费方式为HWTACACS。

4. 配置HWTACACS服务器模板，确定HWTACACS服务器的IP地址、端口号以及共享密钥等。

5. 配置域，在域下引用HWTACACS服务器模板、认证方案和计费方案。

在HWTACACS服务器端进行如下配置：1. 配置用户名和密码。

2. 配置NAS地址和共享密钥。

配置注意事项路由器端和服务器端的端口号和共享密钥必须相同。

配置实例组网需求∙用HWTACACS服务器对接入用户进行认证、计费。

∙用户所属的域为huawei。

∙HWTACACS服务器192.168.1.1/24作为主认证服务器、主授权服务器和主计费服务器，HWTACACS服务器192.168.1.2/24作为备用认证服务器、备用授权服务器和备用计费服务器，认证、授权和计费端口号都默认为49。

采用HWTACACS协议对用户进行认证和计费适用产品和版本∙路由器端可以使用任意一款NE产品。

版本为(VRP5.10)及后续版本∙HWTACACS服务器端可以适用于任意一款服务器软件，如：ACS等。

配置步骤路由器端的配置。

步骤 1 在AAA中配置认证方案1，认证方式为HWTACACS。

<Quidway> system-view[Quidway] aaa[Quidway–aaa] authentication-scheme 1[Quidway-aaa-authen-1] authentication-mode hwtacacs[Quidway-aaa-authen-1] quit步骤 2 在AAA中配置授权方案1，授权方式为HWTACACS。