在現(xiàn)實的網(wǎng)絡(luò)環(huán)境中,如果我們遇到以下問題會怎樣呢龙誊?
1.??? 如果公司僅僅想讓員工在訪問某些特定資源的時候進(jìn)行身份認(rèn)證才避,該怎樣實現(xiàn)迎吵?
2.??? 如果公司讓員工在訪問某些特定資源的時候權(quán)限的設(shè)定,該怎樣實現(xiàn)精偿?
3.??? 若希望對員工使用網(wǎng)絡(luò)的情況進(jìn)行記錄弧圆,該怎樣實現(xiàn)?
此時一個很好的解決辦法就是使用AAA的機(jī)制笔咽,也就是Authentication(認(rèn)證)搔预、 Authorization(授權(quán))和Accounting(計費)的機(jī)制,是網(wǎng)絡(luò)安全的一種管理機(jī)制叶组。
為了實現(xiàn)對用戶進(jìn)行認(rèn)證拯田、授權(quán)和審計的功能,防止非法用戶登錄甩十,增加安全性船庇。AAA 功能的實現(xiàn),可以通過多種協(xié)議方式實現(xiàn)侣监,目前主要是基于RADIUS協(xié)議或TACACS協(xié)議來實現(xiàn)AAA.
AAA 可采用一下幾種方式進(jìn)行認(rèn)證:
1.對非常信任的用戶鸭轮,可以不對其進(jìn)行合法性檢查。
2.為減少成本橄霉、實現(xiàn)快速認(rèn)證窃爷,可以采取將用戶信息配置在設(shè)備上的本地認(rèn)證方式,缺點是存儲信息量受設(shè)備硬件條件限制姓蜂。
3.為避免本地認(rèn)證的缺點按厘,可采取遠(yuǎn)端認(rèn)證方式。將用戶信息配置在認(rèn)證服務(wù)器上覆糟,也就是我們提到的RADIUS或者TACACS的方式刻剥。
AAA的授權(quán)方式也可以采取相應(yīng)的三種方式:
1.不進(jìn)行授權(quán)處理
2.進(jìn)行本地授權(quán)方式
3.進(jìn)行遠(yuǎn)端授權(quán)方式
AAA的審計方式也可以采取不審計以及遠(yuǎn)端審計的方式兩種
部分內(nèi)容來源于<<華為交換配置指南>>
Ielab 李強偉
華為hcie認(rèn)證 華為hcia認(rèn)證
