AAA 技术详解：认证、授权与计费的原理、应用与配置实践

news2025/3/10 18:44:41

AAA（Authentication, Authorization, Accounting，即认证、授权和计费）是网络安全的“身份管理员”，负责验证用户身份、分配访问权限并记录行为轨迹。它如同网络世界中的“物业管理系统”，通过三重机制确保接入安全、权限清晰、操作可追溯。

一、AAA 概述：网络安全的“三道防线”

1.1 AAA 的定义与背景

AAA 是一种网络安全框架，起源于远程访问管理需求，最早用于拨号网络（如 PPP）。随着局域网、Wi-Fi 和设备管理的普及，AAA 扩展到更广泛的场景，成为现代网络不可或缺的一部分。它通过三步流程——认证（确认“你是谁”）、授权（决定“你能做什么”）、计费（记录“你做了什么”）——实现对用户和设备的精细控制。

AAA 的历史与网络接入技术的演进密切相关。早期的网络多依赖简单密码或无认证接入，难以应对日益增长的安全威胁。AAA 的出现，结合 RADIUS（1991 年提出）和 TACACS+ 等协议，提供了标准化的解决方案，广泛应用于企业、ISP 和教育网络。

1.2 AAA 的核心功能与特性

认证（Authentication）：验证用户或设备身份，支持密码、证书等多因子方式。
授权（Authorization）：根据身份分配权限，如访问范围、带宽限制等。
计费（Accounting）：记录访问时间、流量使用或操作日志，便于审计。
集中管理：通过服务器统一处理，提升效率和一致性。
灵活性：支持有线、无线、VPN 和设备管理等多种场景。
安全性：防止未授权访问，保护网络资源。

1.3 AAA 的典型应用场景

企业网络：管理员工和访客的接入权限。
公共 Wi-Fi：验证用户身份，限制非法使用。
ISP 服务：计费用户流量，提供差异化服务。
设备管理：控制管理员对路由器、交换机的操作。
远程访问：结合 VPN 确保安全登录。

二、AAA 的工作机制：三步协同的基石

2.1 核心组件及其分工

AAA 的运行依赖三个角色协同工作：

客户端（Client/Supplicant）：请求接入的设备，如电脑、手机或 IoT 设备，提供身份凭据。
网络访问服务器（NAS，Network Access Server）：网络接入点（如交换机、路由器、AP），拦截用户请求并发起认证。
AAA 服务器（AAA Server）：后台处理中心，通常运行 RADIUS 或 TACACS+ 协议，负责身份验证、权限分配和行为记录。

通信方式：

客户端与 NAS：通过 PPP、802.1X 或 Web 认证协议交互。
NAS 与 AAA 服务器：通过 RADIUS（UDP）或 TACACS+（TCP）传输数据。

比喻：客户端是“访客”，NAS 是“门卫”，AAA 服务器是“物业大脑”。

2.2 AAA 的工作流程

AAA 的运行像一场有条不紊的“入场检查”：

认证阶段：
- 客户端连接 NAS（如插上网线或连 Wi-Fi）。
- NAS 发送认证请求（如“请输入用户名和密码”）。
- 客户端提交凭据（如“zhangsan/password123”）。
- NAS 将凭据转发至 AAA 服务器，服务器查验后返回“通过”或“拒绝”。
授权阶段：
- 服务器根据身份分配权限（如“仅限外网”或“全网访问”）。
- NAS 执行授权策略，放行或限制流量。
计费阶段：
- NAS 记录用户行为（如“zhangsan 上网 2 小时，用 500MB”）。
- 数据定期上传至服务器，形成审计日志。

关键点：

三步可独立执行，也可集成运行。
未通过认证，NAS 拒绝所有非认证流量。

2.3 协议支持与状态管理

协议：RADIUS 和 TACACS+ 是主要承载协议，详见下节。
状态：
- 未认证：仅允许认证流量。
- 已认证未授权：等待权限分配。
- 已授权：正常访问并记录。
异常处理：超时、重试、备用服务器切换。

三、RADIUS 与 TACACS+：AAA 的“两种语言”

3.1 RADIUS（远程认证拨号用户服务）

定义：开源协议（RFC 2865），广泛用于认证和计费。
特点：
- 使用 UDP（端口 1812/1813），传输快速。
- 仅加密密码，报文整体不加密。
- 认证和授权绑定，计费功能强大。
优势：简单高效，易于部署。
局限：授权粒度较粗，安全性稍弱。
场景：Wi-Fi 接入、ISP 计费。

3.2 TACACS+（终端访问控制访问控制系统+）

定义：思科专有协议，强化管理功能。
特点：
- 使用 TCP（端口 49），传输可靠。
- 报文全加密，安全性高。
- 认证、授权、计费独立控制。
优势：权限细化，支持复杂策略。
局限：非开源，兼容性有限。
场景：设备管理（如路由器登录）。

3.3 对比表

特性	RADIUS	TACACS+
协议类型	UDP	TCP
加密范围	仅密码	整包加密
功能分离	认证授权绑定	三者独立
部署复杂度	低	中高
典型应用	Wi-Fi、VPN	设备管理

选择建议：上网认证选 RADIUS，设备管理选 TACACS+。

四、AAA 的优势与局限：实用性的平衡

4.1 核心优势

安全性：严格身份验证，杜绝非法接入。
权限管理：细化控制，满足多样化需求。
可追溯性：行为记录便于审计和问题排查。
集中化：统一管理，降低运维成本。
扩展性：支持大规模用户和设备。

4.2 局限性分析

部署成本：需搭建服务器，初期投入较高。
配置复杂：小型网络可能显得“杀鸡用牛刀”。
依赖性：服务器故障可能影响接入。

4.3 应用实例

场景：企业区分员工和访客网络。

需求：员工全网访问，访客仅外网。
结果：员工认证后访问内部资源，访客受限，行为全记录。

五、AAA 配置与实践：企业网络场景

5.1 场景描述

网络结构：企业 LAN（192.168.1.0/24），包含交换机（NAS）、无线 AP 和 RADIUS 服务器（192.168.1.100）。需求：

员工通过 802.1X 认证，授权全网访问。
访客通过 Web 认证，授权外网访问。
记录所有用户行为。

5.2 交换机配置（NAS）

system-view
# 配置 RADIUS 服务器
radius scheme MYRADIUS
 server-type standard
 primary authentication 192.168.1.100 1812
 primary accounting 192.168.1.100 1813
 key authentication cipher MySecureKey
 key accounting cipher MySecureKey
# 配置 AAA
aaa
 authentication lan-access radius-scheme MYRADIUS
 authorization lan-access radius-scheme MYRADIUS
 accounting lan-access radius-scheme MYRADIUS
# 启用 802.1X
dot1x
interface GigabitEthernet0/0/1
 dot1x authentication-method eap
 dot1x port-control auto

5.3 无线 AP 配置

system-view
# 配置 RADIUS
radius scheme MYRADIUS
 primary authentication 192.168.1.100 1812
 key authentication cipher MySecureKey
# 配置 WLAN
wlan service-template 1
 ssid COMPANY-WIFI
 authentication-method radius MYRADIUS
 accounting-method radius MYRADIUS