portal认证与aaa服务器什么关系

①STA连接无线网络，发起http请求，此请求在会被AC重定向到Portal服务器的WebPortal认证主页上；

②用户在认证主页/认证对话框中输入用户名密码后，将认证信息提交给PortalServer，PortalServer会将用户的认证信息传递给AC；

③然后AC将认证信息封装成标准Raiuds认证报文传递给Radius进行认证；

④认证通过后，AC会打开STA与互联网的通路，允许用户访问互联网，同时开始进行记账。

AAA 通常采用“客户端—服务器”结构。这种结构既具有良好的可扩展性，又便于集中管理用户信息。认证：

     不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。 

     本地认证：将用户信息配置在网络接入服务器上。本地认证的优点是速度快，可以为运营降 低成本，缺点是存储信息量受设备硬件条件限制。 

     远端认证：将用户信息配置在认证服务器上。支持通过 RADIUS（Remote Authentication Dial In User Service）协议或 HWTACACS（HuaWei Terminal Access Controller Access Control System）协议进行远端认证。 

授权：

　 AAA 支持以下授权方式： 

    不授权：不对用户进行授权处理。 

    本地授权：根据网络接入服务器为本地用户账号配置的相关属性进行授权。 

     HWTACACS 授权：由 HWTACACS 服务器对用户进行授权。 

 if-authenticated 授权：如果用户通过了认证，而且使用的认证模式是本地或远端认证，则用户 授权通过。 

     RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能单独使用 RADIUS 进行授权。

计费：

     AAA 支持以下计费方式： 

     不计费：不对用户计费。 

     远端计费：支持通过 RADIUS 服务器或 HWTACACS 服务器进行远端计费。

二、RADIUS协议

远程认证拨号用户服务 RADIUS（Remote Authentication Dial-In User Service）是一种分布式的、客 户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全 性、又允许远程用户访问的各种网络环境中。该协议定义了基于 UDP 的 RADIUS 帧格式及其消息 传输机制，并规定 UDP 端口 1812、1813 分别作为认证、计费端口。

RADIUS 最初仅是针对拨号用户的 AAA 协议，后来随着用户接入方式的多样化发展，RADIUS 也 适应多种用户接入方式，如以太网接入、ADSL 接入。它通过认证授权来提供接入服务，通过计费 来收集、记录用户对网络资源的使用。

RADIUS服务器

RA

AAA是认证，授权，和记帐的缩写！

A选项就经过了认证，可是还没有授权，所以不对！

B选项完全和AAA的概念没关系

C选项正好把AAA的三个要素都概括了！

D选项我就不说了！

不一样。华为的一层一层套模板，思科的简单一点，以tacacs+为例：\x0d\aaa new-model //启用aaa\x0d\aaa authentication login TEST group tacacs+ line //配置登录认证\x0d\aaa authorization exec TEST group tacacs+ none //配置认证exec\x0d\aaa authorization commands 1 TEST group tacacs+ none //配置授权命令为1级\x0d\aaa authorization commands 15 TEST group tacacs+ none //配置授权命令为15级 \x0d\aaa accounting exec TELNET start-stop group tacacs+ //配置授权exec\x0d\aaa accounting commands 1 TELNET start-stop group tacacs+ //配置命令审计为1级\x0d\aaa accounting commands 15 TELNET start-stop group tacacs+ //配置命令审计为15级\x0d\aaa accounting network TELNET start-stop group tacacs+ //审计网络\x0d\aaa accounting connection TELNET start-stop group tacacs+ //审计连接\x0d\ \x0d\tacacs-server host 1111 //指向aaa服务器\x0d\tacacs-server key cisco //配置共享密钥\x0d\ \x0d\line vty 0 4\x0d\ authorization commands 1 TEST\x0d\ authorization commands 15 TEST\x0d\ authorization exec TEST\x0d\ accounting connection TEST\x0d\ accounting commands 1 TEST\x0d\ accounting commands 15 TEST\x0d\ accounting exec TEST\x0d\ login authentication TEST\x0d\//在远程line下调用AAA组，注意前面和后面的TEST都是名称\x0d\ \x0d\OK 了，telnet测试就可以了。\x0d\AAA服务器上的配置就不多说了，百度一下ACS配置，很多。

AAA信用等级是一种等级划分。代指企业的信用经过行业、机构评审达到A级的信用标准，获评企业会得到机构出具的牌匾、证书。另外，信用等级证书我国采用的是国际通行的“四等十级制”评级等级，其中AAA级是高等级，D级低。信用等级越高表明企业信用程度越高，经营状况、盈利水平越好，履约能力、偿债能力越强。我们有专业的团队，周期短，下证快。

a NAC系统组件

网络准入控制主要组件有：

。终端安全检查软件

。网络接入设备（接入交换机和无线访问点）

。 策略/AAA服务器

终端安全检查软件 — 主要负责对接入的终端进行主机健康检查和进行网络接入认证。当前更倾向于采用轻量级或可溶解的客户端。以降低终端的部署和使用压力。

网络接入设备 — 实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设备。这些设备接受主机委托，然后将信息传送到策略服务器，在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策：允许、拒绝、隔离或限制。

策略/AAA服务器——策略服务器负责评估来自网络设备的端点安全信息，并决定应该使用哪种接入策略（接入、拒绝、隔离或打补丁）。

b NAC系统基本工作原理

当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、***等）进行交互通讯。然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后， 策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制。