AAA 及 RADIUS協議配置

1.1 簡介
1.1.1 AAA 簡介
AAA 是 Authentication，Authorization and Accounting（認證、授權和計費）的簡
稱，它提供了一個對認證、授權和計費這三種安全功能進行配置的一致性框架，實
際上是對網絡安全的一種管理。
這裏的網絡安全主要是指訪問控制，包括：
哪些用戶可以訪問網絡服務器。
具有訪問權的用戶可以得到哪些服務。
如何對正在使用網絡資源的用戶進行計費。
針對以上問題，AAA 必須提供認證功能、授權功能和計費功能。
1. 認證功能
AAA 支持以下認證方式：
不認證：對用戶非常信任，不對其進行合法檢查。一般情況下不採用這種方式。
本地認證：將用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在設
備上。本地認證的優點是速度快，可以降低運營成本；缺點是存儲信息量受設
備硬件條件限制。
遠端認證：支持通過 RADIUS 協議或 HWTACACS 協議進行遠端認證，設備
（如 Quidway 系列交換機）作爲客戶端，與 RADIUS 服務器或 TACACS 服務
器通信。對於 RADIUS 協議，可以採用標準或擴展的 RADIUS 協議。
2. 授權功能
AAA 支持以下授權方式：
直接授權：對用戶非常信任，直接授權通過。
本地授權：根據設備上爲本地用戶帳號配置的相關屬性進行授權。
RADIUS 認證成功後授權：RADIUS 協議的認證和授權是綁定在一起的，不能
單獨使用 RADIUS 進行授權。
HWTACACS 授權：由 TACACS 服務器對用戶進行授權。
3. 計費功能
AAA 支持以下計費方式：
不計費：不對用戶計費。
遠端計費：支持通過 RADIUS 服務器或 TACACS 服務器進行遠端計費。
AAA 一般採用客戶端/服務器結構：客戶端運行於被管理的資源側，服務器上集中存
放用戶信息。因此，AAA 框架具有良好的可擴展性，並且容易實現用戶信息的集中
管理。
1.1.2 ISP 域簡介
ISP 域即 ISP 用戶羣，一個 ISP 域是由屬於同一個 ISP 的用戶構成的用戶羣。
在“userid@isp-name”形式的用戶名中，“@”後的“isp-name”即爲 ISP 域的
域名。接入設備將“userid”作爲用於身份認證的用戶名，將“isp-name”作爲域
名。
在多 ISP 的應用環境中，同一個接入設備接入的有可能是不同 ISP 的用戶。由於各
ISP 用戶的用戶屬性（例如用戶名及密碼構成、服務類型/權限等）有可能各不相同，
因此有必要通過設置 ISP 域的方法把它們區別開。
在 ISP 域視圖下，可以爲每個 ISP 域配置包括使用的 AAA 策略（使用的 RADIUS
方案等）在內的一整套單獨的 ISP 域屬性。
1.1.3 RADIUS 協議簡介
AAA 是一種管理框架，因此，它可以用多種協議來實現。在實踐中，人們最常使用
RADIUS 協議來實現 AAA。
1. 什麼是 RADIUS
RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）
是一種分佈式的、客戶端/服務器結構的信息交互協議，能保護網絡不受未授權訪問
的干擾，常被應用在既要求較高安全性，又要求維持遠程用戶訪問的各種網絡環境
中。
RADIUS 服務包括三個組成部分：
協議：RFC 2865 和 RFC 2866 基於 UDP/IP 層定義了 RADIUS 幀格式及其消
息傳輸機制，並定義了 1812 作爲認證端口，1813 作爲計費端口。
服務器：RADIUS 服務器運行在中心計算機或工作站上，包含了相關的用戶認
證和網絡服務訪問信息。
客戶端：位於撥號訪問服務器設備側，可以遍佈整個網絡。
RADIUS 基於客戶端/服務器模型。交換機作爲 RADIUS 客戶端，負責傳輸用戶信息
到指定的 RADIUS 服務器，然後根據從服務器返回的信息對用戶進行相應處理（如
接入/掛斷用戶）。RADIUS 服務器負責接收用戶連接請求，認證用戶，然後給交換
機返回所有需要的信息。
RADIUS服務器通常要維護三個數據庫，如圖 1-1所示。

第一個數據庫“Users”用於存儲用戶信息（如用戶名、口令以及使用的協議、
IP 地址等配置）。
第二個數據庫“Clients”用於存儲 RADIUS 客戶端的信息（如共享密鑰）。
第三個數據庫“Dictionary”存儲的信息用於解釋 RADIUS 協議中的屬性和屬
性值的含義。
RADIUS Server
Users
Clients
Dictionary
圖1-1 RADIUS 服務器的組成
另外，RADIUS 服務器還能夠作爲其他 AAA 服務器的客戶端進行代理認證或計費。
2. RADIUS 的基本消息交互流程
RADIUS客戶端（交換機）和RADIUS服務器之間通過共享密鑰來認證交互的消息，
增強了安全性。RADIUS協議合併了認證和授權過程，即響應報文中攜帶了授權信
息。用戶、交換機、RADIUS服務器之間的交互流程如圖 1-2所示。

基本交互步驟如下：
(1)
(2)
用戶輸入用戶名和口令。
RADIUS 客戶端根據獲取的用戶名和口令，向 RADIUS 服務器發送認證請求
包（Access-Request）。
(3)
RADIUS 服務器將該用戶信息與 Users 數據庫信息進行對比分析，如果認證成
功，則將用戶的權限信息以認證響應包（Access-Accept）發送給 RADIUS 客
戶端；如果認證失敗，則返回 Access-Reject 響應包。
(4)
RADIUS 客戶端根據接收到的認證結果接入/拒絕用戶。如果可以接入用戶，
則 RADIUS 客戶端向 RADIUS 服務器發送計費開始請求包
（Accounting-Request），Status-Type 取值爲 start。
(5)
(6)
(7)
RADIUS 服務器返回計費開始響應包（Accounting-Response）。
用戶開始訪問資源。
RADIUS 客戶端向
RADIUS 服務器發送計費停止請求包
（Accounting-Request），Status-Type 取值爲 stop。
(8)
(9)
RADIUS 服務器返回計費結束響應包（Accounting-Response）。
用戶訪問資源結束。
3. RADIUS 協議的報文結構
RADIUS協議採用UDP報文來承載數據，通過定時器管理機制、重傳機制、備用服
務器機制，確保RADIUS服務器和客戶端之間交互消息正確收發。RADIUS報文結構
如圖 1-3所示。

圖1-3 RADIUS 報文結構

(1) Code 域（1 字節）決定RADIUS 報文的類型，如表1-1所示。

表1-1 Code域主要取值的說明

(2)
Identifier 域（1 字節）用於匹配請求包和響應包，隨着 Attribute 域改變、接收
到有效響應包而不斷變化，而在重傳時保持不變化。
(3)
Length 域（2 字節）指明整個包的長度，內容包括 Code，Identifier，Length，
Authenticator 和 Attribute。超過長度域的字節被視爲填充，在接收時應被忽略；
如果包比長度域所指示的短時，則應被丟棄。
(4)
Authenticator 域（16 字節）用於驗證 RADIUS 服務器傳輸回來的報文，並且
還用於密碼隱藏算法中，分爲 Request Authenticator 和 Response
Authenticator。
(5)
Attribute 域攜帶專門的認證、授權和計費信息，提供請求和響應報文的配置細
節，該域採用（Type、Length、Value）三元組的形式提供。
類型（Type）域 1 個字節，取值爲 1～255，用於指明屬性的類型。表 1-2列
出了RADIUS授權、認證常用的屬性。
長度（Length）域 1 個字節，指明此屬性的長度，單位爲字節，包括類型字段、
長度字段和屬性值字段。
屬性值（Value）域包括該屬性的信息，其格式和內容由類型域和長度域決定，
最大長度爲 253 字節。

RADIUS 協議具有良好的可擴展性，協議中定義的 26 號屬性（Vendor-Specific）用
於設備廠商對 RADIUS 進行擴展，以實現標準 RADIUS 沒有定義的功能。
如圖 1-4所示的報文結構，Vendor-ID域佔 4 字節，表示廠商代號，最高字節爲 0，
其餘 3 字節的編碼見RFC1700。廠商可以封裝多個自己定義的“（Type、Length、
Value）”子屬性，從而在應用中得以擴展。