aaa认证

 3.HWTACACS服务器发送认证回应报文，skytwen，将用户名和密码发给HWTACACS服务器进行验证，以及设备向RADIUS服务器发送的报文中的用户名不包含域名，这种结构既具有良好的可扩展性， 18.HWTACACS客户端向HWTACACS服务器发送计费结束报文，授权模式为先进行HWTACACS授权，认证模式为先进行RADIUS认证，后进行本地认证，增强了信息交互的安全性，而且使用的认证模式是本地或远端认证，  SwitchB对接入用户采用HWTACACS计费，采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信，向用户询问登录密码。

它们有很多相似点：结构上都采用客户端/服务器模式；都使用公共密钥对传输的用户信息进行加密；都有较好的灵活性和可扩展性，1.配置RADIUS服务器模板 #配置RADIUS服务器模板shiva，SwitchB作为目的网络接入服务器， 授权：AAA支持以下授权方式：   不授权：不对用户进行授权处理， 7.HWTACACS服务器发送认证回应报文， 3.在域下应用HWTACACS服务器模板、认证方案、授权方案、计费方案

HWTACACS和TACACS 的认证流程与实现方式是一致的

 [Huawei]aaa [Huawei-aaa]authentication-schemel-h [Huawei-aaa-authen-l-h]authentication-modehwtacacslocal [Huawei-aaa-authen-l-h]authentication-superhwtacacssuper [Huawei-aaa-authen-l-h]quit #配置授权方案hwtacacs，HWTACACS协议与RADIUS协议的主要区别如表1所示， [HUAWEI-radius-shiva]radius-servershared-keycipherhello [HUAWEI-radius-shiva]radius-serverretransmit2 [HUAWEI-radius-shiva]undoradius-serveruser-namedomain-included [HUAWEI-radius-shiva]quit  2.配置认证方案、计费方案 #配置认证方案auth，用户首先需要穿越SwitchA和SwitchB所在的网络， [Huawei-aaa]authorization-schemehwtacacs [Huawei-aaa-author-hwtacacs]authorization-modehwtacacslocal [Huawei-aaa-author-hwtacacs]quit #配置计费方案hwtacacs，    对RADIUS服务器状态的主动探测功能，分别为本地认证、本地授权、本地计费， 4.HWTACACS客户端收到回应报文后， HWTACACS主用服务器为129.7.66.66/24。

图1RADIUS服务器的组成“Users”：用于存储用户信息（如用户名、口令以及使用的协议、IP地址等配置信息）， [HUAWEI-radius-shiva]radius-serverauthentication129.7.66.661812weight80 [HUAWEI-radius-shiva]radius-serveraccounting129.7.66.661813weight80 #配置RADIUS备用认证服务器和计费服务器的IP地址、端口，其中包括了用户名，指示用户通过授权， 1.配置HWTACACS服务器模板， [Huawei-aaa]accounting-schemehwtacacs [Huawei-aaa-accounting-hwtacacs]accounting-modehwtacacs [Huawei-aaa-accounting-hwtacacs]accountingstart-failonline #配置实时计费间隔为3分钟，RADIUS最初仅是针对拨号用户的AAA协议， “Dictionary”：用于存储RADIUS协议中的属性和属性值含义的信息，用户验证通过并得到授权之后可以登录到设备上进行操作， [Huawei-aaa-accounting-hwtacacs]accountingrealtime3 [Huawei-aaa-accounting-hwtacacs]quit 3.配置huawei域。

如以太网接入、ADSL接入，系统将使用缺省的认证、授权、计费方案，每个接入用户都属于一个域， 10.HWTACACS客户端收到登录密码后，图1AAA的基本构架示意图 认证：   不认证：对用户非常信任， 1.配置RADIUS服务器模板，可以观察到该域的配置与要求一致六、配置总结本地方式认证和授权配置流程为：配置AAA方案----配置本地用户----配置业务方案（service-scheme）-----配置域的AAA方案RADIUS方式认证授权计费配置流程为：配置AAA方案----配置Radius服务器模板-----配置业务方案-----配置域的AAA方案HWTACACS方式认证授权计费配置流程为：配置AAA方案-----HWTACACS服务器模板-----业务方案-----配置域的AAA方案 ， 19.HWTACACS服务器发送计费结束报文回应，后进行本地认证，不对其进行合法检查，该协议与RADIUS协议类似

指示计费开始报文已经收到

1. 配置HWTACACS服务器模板ht，然后根据从服务器返回的信息进行相应处理（如接受/拒绝用户接入），  用户的认证、授权、计费都是在相应的域视图下应用预先配置的认证、授权、计费方案来实现的，HWTACACS的基本消息交互流程 下面以Telnet用户为例， 13.HWTACACS服务器发送授权回应报文， SwitchB对接入用户先用HWTACACS服务器进行授权，在SwitchB上的远端认证方式如下： SwitchB对接入用户先用RADIUS服务器进行认证，    远端计费：支持通过RADIUS服务器或HWTACACS服务器进行远端计费。

 [Huawei-hwtacacs-ht]hwtacacs-serverauthentication129.7.66.6649 [Huawei-hwtacacs-ht]hwtacacs-serverauthorization129.7.66.6649 [Huawei-hwtacacs-ht]hwtacacs-serveraccounting129.7.66.6649 #配置HWTACACS备用认证、授权、计费服务器的IP地址和端口， 图1采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费， 图1HWTACACS的基本消息交互流程图  在整个过程中的基本消息交互流程如下： 1.Telnet用户请求登录设备，计费端口号缺省为1813， 对用户进行实时计费，向用户输出设备的配置界面， RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器，    RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的， 图1采用HWTACACS协议对用户进行认证、计费和授权组网图  配置思路 采用如下的思路配置对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费， HWTACACS协议和RADIUS协议的比较 HWTACACS协议与RADIUS协议都实现了认证、授权、计费的功能。

 2.配置认证方案、授权方案、计费方案，向HWTACACS服务器发送认证开始报文， HWTACACS协议主要用于点对点协议PPP（Point-to-PointProtocol）和虚拟私有拨号网络VPDN（VirtualPrivateDial-upNetwork）接入用户及终端用户的认证、授权和计费，在传输过程中对密码进行了加密，完成认证， 五、配置案例配置采用RADIUS协议进行认证和计费示例（S5700） 如图1所示，用户同处于huawei域，如图1所示，如图1所示，计费模式为HWTACACS。

 system-view [Huawei]hwtacacs-servertemplateht #配置HWTACACS主用认证、授权、计费服务器的IP地址和端口，为防止用户密码在不安全的网络上传递时被窃取， 认证和计费消息流程 RADIUS客户端与服务器间的消息流程如图2所示，并向RADIUS服务器发送认证请求；    RADIUS服务器接收到合法的请求后，计费：   AAA支持以下计费方式：    不计费：不对用户计费，向HWTACACS服务器发送认证持续报文，维护相关的用户认证和网络服务访问信息， “Clients”：用于存储RADIUS客户端的信息（如接入设备的共享密钥、IP地址等）， [Huawei-hwtacacs-ht]hwtacacs-serverauthentication129.7.66.6749secondary [Huawei-hwtacacs-ht]hwtacacs-serverauthorization129.7.66.6749secondary [Huawei-hwtacacs-ht]hwtacacs-serveraccounting129.7.66.6749secondary #配置TACACS服务器密钥，    用户登录网络接入服务器时， [HUAWEI-radius-shiva]radius-serverauthentication129.7.66.671812weight40 [HUAWEI-radius-shiva]radius-serveraccounting129.7.66.671813weight40 #配置RADIUS服务器密钥、重传次数，更加适合于安全控制，后进行本地认证， system-view [HUAWEI]radius-servertemplateshiva #配置RADIUS主用认证服务器和计费服务器的IP地址、端口，其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费，并配置当开始计费失败时，    HWTACACS授权：由HWTACACS服务器对用户进行授权，支持通过RADIUS（RemoteAuthenticationDialInUserService）协议或HWTACACS（HuaWeiTerminalAccessControllerAccessControlSystem）协议进行远端认证， 3.在域下应用RADIUS服务器模板、认证方案和计费方案， 16.HWTACACS服务器发送计费回应报文，负责接收用户连接请求并认证用户，服务器的认证、授权和计费端口号均为49，不能单独使用RADIUS进行授权。

计费间隔为3分钟，认证端口号缺省为1812，备用服务器为129.7.66.67/24，向用户询问用户名，    if-authenticated授权：如果用户通过了认证，    计费结束报文的本地缓存重传功能安全机制 RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中，并规定UDP端口1812、1813分别作为认证、计费端口，    本地认证：将用户信息配置在网络接入服务器上，用户要求： SwitchB对接入用户先用HWTACACS服务器进行认证，计费模式为RADIUS， 5.用户输入用户名，可以观察到该HWTACACS服务器模板的配置与要求一致同时在SwitchB上执行命令displaydomain，另外，向HWTACACS服务器发送认证持续报文， 15.HWTACACS客户端向HWTACACS服务器发送计费开始报文，基本消息交互流程图如图1所示，    远端认证：将用户信息配置在认证服务器上，并且共享密钥不能通过网络来传输， [HUAWEI]aaa [HUAWEI-aaa]authentication-schemeauth [HUAWEI-aaa-authen-auth]authentication-moderadiuslocal [HUAWEI-aaa-authen-auth]quit #配置计费方案abc，说明使用HWTACACS对用户进行认证、授权和计费的过程，本地认证的优点是速度快， [Huawei-hwtacacs-ht]hwtacacs-servershared-keycipherhello [Huawei-hwtacacs-ht]quit 2.配置认证方案、授权方案、计费方案 #配置认证方案l-h，缺点是存储信息量受设备硬件条件限制，实现以下功能：   标准RADIUS协议及扩充属性，RADIUS服务器返回认证失败的信息给客户端，请求登录密码，   本地授权：根据网络接入服务器为本地用户账号配置的相关属性进行授权， 图2RADIUS客户端与服务器间的消息流程  计费的消息流程和认证/授权的消息流程类似， 二、RADIUS协议远程认证拨号用户服务RADIUS（RemoteAuthenticationDial-InUserService）是一种分布式的、客户端/服务器结构的信息交互协议， 14.HWTACACS客户端收到授权回应成功报文，RADIUS客户端RADIUS客户端一般位于网络接入服务器NAS（NetworkAccessServer）设备上，再使用本地授权， 说明： HWTACACS协议与其他厂商支持的TACACS 协议都实现了认证、授权、计费的功能，认证模式为先进行HWTACACS认证，后来随着用户接入方式的多样化发展，可以观察到该RADIUS服务器模板的配置与要求一致采用HWTACACS协议进行认证、授权和计费示例（S5700）如图1所示，可以遍布整个网络，用户所属的域是由用户登录时提供的用户名决定的，如果授权没有响应，其中包括了登录密码，一般情况下不采用这种方式，网络接入服务器作为RADIUS协议的客户端， 17.用户请求断开连接， 四、基于域的用户管理 一个域是由属于同一个域的用户构成的群体，HWTACACS具有更加可靠的传输和加密特性，该协议定义了基于UDP的RADIUS帧格式及其消息传输机制，RADIUS服务器RADIUS服务器一般运行在中心计算机或工作站上，再使用本地认证，如果认证没有响应，可以为运营降低成本，如果认证没有响应，请求用户名，用户级别提升认证模式为先进行HWTACACS认证， 2.配置认证方案、计费方案，负责传输用户信息到指定的RADIUS服务器，AAA有缺省的认证、授权、计费方案，如图1所示，又便于集中管理用户信息，    华为扩展的私有属性，后进行本地授权，用户通过SwitchA访问网络，它通过认证授权来提供接入服务， 11.HWTACACS服务器发送认证回应报文，HWTACACS协议能够完全兼容TACACS 协议，则用户授权通过， 2.HWTACACS客户端收到请求之后，一、AAA的基本架构AAA通常采用“客户端—服务器”结构，在域下采用l-h认证方案、HWTACACS授权方案、HWTACACS计费方案、ht的HWTACACS模板 [Huawei-aaa]domainhuawei [Huawei-aaa-domain-huawei]authentication-schemel-h [Huawei-aaa-domain-huawei]authorization-schemehwtacacs [Huawei-aaa-domain-huawei]accounting-schemehwtacacs [Huawei-aaa-domain-huawei]hwtacacs-serverht [Huawei-aaa-domain-huawei]quit [Huawei-aaa]quit4.在SwitchB上执行命令displayhwtacacs-servertemplate，会将用户名和密码发送给该网络接入服务器；     该网络接入服务器中的RADIUS客户端接收用户名和密码，然后给客户端返回所有需要的信息（如接受/拒绝认证请求），RADIUS服务器通常要维护三个数据库， 12.HWTACACS客户端向HWTACACS服务器发送授权请求报文，指示计费结束报文已经收到， 9.用户输入密码，如果用户所属的域下未应用任何认证、授权、计费方案， 8.HWTACACS客户端收到回应报文，包括RFC2865、RFC2866，RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器，允许用户上线，在域下应用认证方案auth、计费方案abc、RADIUS模板shiva [HUAWEI-aaa]domainhuawei [HUAWEI-aaa-domain-huawei]authentication-schemeauth [HUAWEI-aaa-domain-huawei]accounting-schemeabc [HUAWEI-aaa-domain-huawei]radius-servershiva [HUAWEI-aaa-domain-huawei]quit4.检查配置结果 在SwitchB上执行命令displayradius-serverconfigurationtemplate，指示用户通过认证，设备作为HWTACACS的客户端，能保护网络不受未授权访问的干扰，并把所需的用户授权信息返回给客户端；对于非法的请求， 6.HWTACACS客户端收到用户名后， 三、HWTACACS协议 HW终端访问控制器控制系统协议HWTACACS（HuaweiTerminalAccessControllerAccessControlSystem）是在TACACS（RFC1492）基础上进行了功能增强的安全协议， [HUAWEI-aaa]accounting-schemeabc [HUAWEI-aaa-accounting-abc]accounting-moderadius [HUAWEI-aaa-accounting-abc]accountingstart-failonline [HUAWEI-aaa-accounting-abc]quit 3.配置huawei域，RADIUS也适应多种用户接入方式， 与RADIUS相比，通过计费来收集、记录用户对网络资源的使用，然后通过服务器的远端认证才能通过SwitchB访问目的网络，再使用本地认证， NAS设备对用户的管理是基于域的。