问题描述

对于任何网络，用户管理都是最基本的安全管理要求之一；

解决方案

AAA（Authentication, Authorization, Accounting）是种管理框架，它提供了授权部分用户访问指定资源和记录这些用户操作行为的安全机制。因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用；

AAA 能够通过多种协议来实现，在实际应用中，最常使用 RADIUS（Remote Authentication Dial-In User Service）协议；

原理简述

在常见 AAA 网络架构中，包括 User、NAS（Network Access Server）、AAA Server 部分：
1）NAS 负责集中收集和管理 User 的访问请求；
2）在 NAS 上，能够创建多个 Domain 来管理 User。不同的 Domain 能够关联不同 AAA 方案（认证方案，授权方案，计费方案）；
3）当收到 User 接入网络的请求时，NAS 会根据用户名来判断用户所在的 Domain ，根据该域对应的 AAA 方案对用户进行管控；

协议特性

认证、授权、计费

AAA 支持的认证方式包括：
1）不认证
2）本地认证
3）远端认证：支持通过 RADIUS（Remote Authentication Dial In User Service）协议或 HWTACACS（HuaWei Terminal Access Controller Access Control System）协议进行

应用场景

通过 RADIUS 提供上网用户的 AAA：
1）通过在 NAS 上配置 AAA 方案，实现 NAS 与 RADIUS 服务器的对接；
2）用户在客户端上输入用户名和密码后，NAS 可以将这些信息发送至 RADIUS 服务器进行认证；
3）如果认证通过，则授予用户访问 Internet 的权限；
4）在用户访问过程中，RADIUS 服务器还可以记录用户使用网络资源的情况；

对管理用户进行本地认证和授权：
1）在 Router 上配置本地 AAA 方案后，当网络管理员登录 Router 时，Router 将网络管理员的的用户名密码等信息，与本地配置的用户名信息进行比对认证；
2）认证通过后，Router 将授予网络管理员一定的管理员权限；

概念术语

认证（Authentication）

意图：验证用户是否可以获得访问权，确定哪些用户可以访问网络；

AAA 支持的认证方式有：
1）不认证，
2）本地认证：在本地认证
3）远端认证：在 AAA Server 中，完成认证；

能够针对不同用户，采用不同的认证策略；

授权（Authorization）

意图：授权用户可以使用哪些服务；

AAA 支持的授权方式有：不授权，本地授权，远端授权；

授权信息包括：所属用户组、所属 VLAN、ACL 编号等；

计费（Accouting）

意图：记录用户使用网络资源的情况；

计费功能用于监控授权用户的网络行为和网络资源的使用情况。通常 NAS 无法进行计费，所以不支持本地计费；

AAA 支持的计费方式有：不计费，远端计费；

配置使用

AAA 能够通过多种协议来实现，在实际应用中，最常使用 RADIUS（Remote Authentication Dial-In User Service）协议：
1）Huawei VRP (RADIUS, AAA)