计算机网络 | AAA(认证、授权和计费)
管理员可以通过控制台访问路由器或设备,但如果他坐在远离该设备的位置,则非常不方便。因此,最终,他必须远程访问该设备。
但是由于使用 IP 地址可以进行远程访问,因此,未经授权的用户可能会使用相同的 IP 地址进行访问,因此为了安全措施,我们必须进行身份验证。此外,设备之间交换的数据包应加密,以便任何其他人无法捕获该敏感信息。因此,使用称为 AAA 的框架来提供额外的安全级别。
AAA(认证、授权、记账)——
AAA 是一个基于标准的框架,用于控制允许谁使用网络资源(通过身份验证)、授权他们做什么(通过授权),并捕获访问网络时执行的操作(通过记帐)。
- 验证 -
通过询问一些凭据(例如用户名和密码)来识别想要访问网络资源的用户是否有效的过程。常见的方法是在控制台端口、AUX 端口或 vty 线路上进行身份验证。作为网络管理员,如果有人想访问网络,我们可以控制用户的身份验证方式。其中一些方法包括使用该设备(路由器)的本地数据库或向外部服务器(如 ACS 服务器)发送身份验证请求。要指定用于身份验证的方法,使用默认或自定义的身份验证方法列表。
- 授权 -
它提供了在用户通过身份验证获得对网络资源的访问权后对网络资源实施策略的能力。认证成功后,可以通过授权来确定用户允许访问哪些资源以及可以进行的操作。例如,如果初级网络工程师(不应访问所有资源)想要访问设备,那么管理员可以创建一个视图,该视图将只允许用户执行特定命令(方法中允许的命令)列表)。管理员可以使用授权方法列表来指定如何授权用户访问网络资源,即通过本地数据库或 ACS 服务器。
- 会计 –
它提供了监视和捕获用户在访问网络资源时所做的事件的方法。它甚至监控用户访问网络的时间。管理员可以创建一个记帐方法列表来指定应记帐的内容以及应将记帐记录发送给谁。
AAA实现:可以通过设备本地数据库实现AAA,也可以通过外部ACS服务器实现。
- 本地数据库——如果我们想使用路由器或交换机的本地运行配置来实现AAA,我们应该首先创建用户进行身份验证,并为用户提供权限级别进行授权。
- ACS 服务器 –这是常用的方法。需要在路由器和 ACS 上进行配置的 AAA 使用外部 ACS 服务器(可以是 ACS 设备或安装在 Vmware 上的软件)。配置包括创建用户、单独的自定义方法列表,用于身份验证、授权和计费。
客户端或网络访问服务器 (NAS) 向 ACS 服务器发送身份验证请求,服务器根据用户提供的凭据决定是否允许用户访问网络资源。
注 –如果 ACS 服务器验证失败,管理员应在方法列表中提及使用设备的本地数据库作为备份来实施 AAA。