【H3C技术】H3C金桥世纪-关于RADIUS和TACACS+

　　RADIUS和TACACS+

　　1. AAA一般采用客户机/服务器结构，客户端运行于NAS(网络接入服务器)，服务器上则集中管理用户信息。

　　2. AAA认证方案分为本地认证和远程认证，后者则需呀配置RADIUS方案或TACACS+方案。

　　3. RADIUS是分布式的交互协议，基于UDP传输，1812(用于认证)、1813(计费)端口，认证方式如基于PPP的PAP、CHAP等，采用三元组格式(Type、Length、Value)

　　4. RASIUS报文中Attribute(属性)携带认证、授权、和计费信息，其中26号属性为厂商私有属性用于扩张。

　　5. 配置： [h3c]radius scheme radius-scheme-name 创建RADIUS方案

　　[h3c-radius-name]primary authentication ip-add port-num (配置主认证/授权

　　服务器ip和端口号，缺省IP地址为0.0.0.0端口号为1812)

　　[h3c-radius-name]service-type{extended|standard} 配置服务器类型

　　6. Display [h3c]dis domain system (显示指定的ISP域的配置信息)

　　[h3c]dis connection (显示AAA用户的连接信息)

　　[h3c]dis local-user user-name test (显示本地用户的信息)

　　7. TACACS+是一种增强的安全协议，H3C设备实现的HWTACACS，是在TACACS+基础上进行了功能增强的安全协议，基于TCP传输，端口号为49三种报文：Start和Continue、(这两个由NAS发送)Replay(则由TACACS+服务器发送)