操作手册 安全分册 AAA 第 1 章 AAA/RADIUS/HWTACACS 配置
1-8
5. RADIUS 扩展属性
RADIUS 协议具有良好的可扩展性,协议(RFC 2865)中定义的 26 号属性
(Vendor-Specific)用于设备厂商对 RADIUS 进行扩展,以实现标准 RADIUS 没有
定义的功能。
设备厂商可以封装多个自定义的“(Type、Length、Value)”子属性来扩展RADIUS。
如
图 1-5所示,26 号属性报文内封装的子属性包括以下四个部分:
z Vendor-ID 域占 4 字节,表示厂商代号,最高字节为 0,其余 3 字节的编码见
RFC 1700。H3C 公司的 Vendor-ID 是 2011。
z Vendor-Type,表示扩展属性的子属性类型。
z Vendor-Length,表示该子属性长度。
z Vendor-Data,表示该子属性的内容。
图1-5 包括扩展属性的 RADIUS 报文片断
1.1.3 HWTACACS 协议简介
HWTACACS(HUAWEI Terminal Access Controller Access Control System,华为
终端访问控制器控制系统协议)是在 TACACS(RFC 1492)基础上进行了功能增
强的安全协议。该协议与 RADIUS 协议类似,采用客户端/服务器模式实现 NAS 与
HWTACACS 服务器之间的通信。
HWTACACS 协议主要用于 PPP(Point-to-Point Protocol,点对点协议)和 VPDN
(Virtual Private Dial-up Network,虚拟私有拨号网络)接入用户及终端用户的认证、
授权和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授
权、计费。设备作为 HWTACACS 的客户端,将用户名和密码发给 HWTACACS 服
务器进行验证。用户验证通过并得到授权之后可以登录到设备上进行操作。
1. HWTACACS 协议与 RADIUS 协议的区别
HWTACACS协议与RADIUS协议都实现了认证、授权、计费的功能,它们有很多相
似点:结构上都采用客户端/服务器模式;都使用公共密钥对传输的用户信息进行加
密;都有较好的灵活性和可扩展性。两者之间存在的主要区别如
表 1-3所示。