基本概念

AAA的基本架构

AAA通常采用“客户端—服务器”结构。这种结构既具有良好的可扩展性，又便于集中管理用户信息。如图1-1所示。

图1-1 AAA的基本架构示意图

认证

AAA支持以下认证方式：

• 不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。

• 本地认证：将用户信息配置在设备上。本地认证的优点是速度快，可以为运营降低成本，缺点是存储信息量受设备硬件条件限制。

• 远端认证：将用户信息配置在认证服务器上。支持通过远程认证拨号用户服务协议RADIUS（Remote Authentication Dial In User Service）或华为终端访问控制器控制系统协议HWTACACS（Huawei Terminal Access Controller Access Control System）进行远端认证。

授权

AAA支持以下授权方式：

• 不授权：不对用户进行授权处理。

• 本地授权：根据设备为本地用户帐号配置的相关属性进行授权。

• HWTACACS授权：由HWTACACS服务器对用户进行授权。

• RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。

• if-authenticated授权：适用于用户必须认证且认证过程与授权过程可分离的场景，即只有本地认证和HWTACACS认证支持该授权模式，RADIUS认证不支持该授权模式。

  • 本地认证成功后采用本地授权。
  • HWTCACS认证成功后放开所有权限（免HWTACACS授权）。

计费

AAA支持以下计费方式：

• 不计费：不对用户计费。

• 远端计费：支持通过RADIUS服务器或HWTACACS服务器进行远端计费。