radius分布式緩存

A. 華為交換機aaa 認證是什麼

AAA 通常採用「客戶端—伺服器」結構。這種結構既具有良好的可擴展性，又便於集中管理用戶信息。認證：
     不認證：對用戶非常信任，不對其進行合法檢查，一般情況下不採用這種方式。 
     本地認證：將用戶信息配置在網路接入伺服器上。本地認證的優點是速度快，可以為運營降 低成本，缺點是存儲信息量受設備硬體條件限制。 
     遠端認證：將用戶信息配置在認證伺服器上。支持通過 RADIUS（Remote Authentication Dial In User Service）協議或 HWTACACS（HuaWei Terminal Access Controller Access Control System）協議進行遠端認證。 
授權：
AAA 支持以下授權方式： 
    不授權：不對用戶進行授權處理。 
    本地授權：根據網路接入伺服器為本地用戶賬號配置的相關屬性進行授權。 
     HWTACACS 授權：由 HWTACACS 伺服器對用戶進行授權。 
 if-authenticated 授權：如果用戶通過了認證，而且使用的認證模式是本地或遠端認證，則用戶 授權通過。 
     RADIUS 認證成功後授權：RADIUS 協議的認證和授權是綁定在一起的，不能單獨使用 RADIUS 進行授權。
計費：
     AAA 支持以下計費方式： 
     不計費：不對用戶計費。 
     遠端計費：支持通過 RADIUS 伺服器或 HWTACACS 伺服器進行遠端計費。
二、RADIUS協議
遠程認證撥號用戶服務 RADIUS（Remote Authentication Dial-In User Service）是一種分布式的、客 戶端/伺服器結構的信息交互協議，能保護網路不受未授權訪問的干擾，常應用在既要求較高安全 性、又允許遠程用戶訪問的各種網路環境中。該協議定義了基於 UDP 的 RADIUS 幀格式及其消息 傳輸機制，並規定 UDP 埠 1812、1813 分別作為認證、計費埠。
RADIUS 最初僅是針對撥號用戶的 AAA 協議，後來隨著用戶接入方式的多樣化發展，RADIUS 也 適應多種用戶接入方式，如乙太網接入、ADSL 接入。它通過認證授權來提供接入服務，通過計費 來收集、記錄用戶對網路資源的使用。
RADIUS伺服器
RA

B. 求ADSL 認證過程（詳細）還有PPPOE和RADIUS協議在其中所起到的作用

1. PPPoE協議概述1.1PPPoE的工作原理PPPoE(PPP over Ethernet)是在乙太網上建立PPP連接，由於乙太網技術十分成熟且使用廣泛，而PPP協議在傳統的撥號上網應用中顯示出良好的可擴展性和優質的管理控制機制，二者結合而成的PPPoE協議得到了寬頻接入運營商的認可並廣為採用。PPPoE建立過程可以分為Discovery階段和PPP會話階段。Discovery階段是一個無狀態的階段，該階段主要是選擇接入服務，確定所要建立的PPP會話標識符Session ID，同時獲得對方點到點的連接信息;PPP會話階段執行標準的PPP過程。一個典型的Discovery階段包括以下4個步驟：(1)主機首先主動發送廣播包PADI尋找接入伺服器，PADI必須至少包含一個服務名稱類型的TAG，以表明主機所要求提供的服務。(2)接入伺服器收到包後如果可以提供主機要求0 1 2 3 4 5 6 78 9 0 1 2 3 4 56 7 8 9 0 1 2 34 5 6 7 8 9 0 1乙太網類=0x8863/8864版本(Ver)類型(Type)編碼(CODE)會話ID(Session ID)長度(Length)凈荷(Payload)(3)主機在回應PADO的接入伺服器中選擇一個合適的，並發送PADR告知接入伺服器，PADR中必須聲明向接入伺服器請求的服務種類。(4)接入伺服器收到PADR包後開始為用戶分配一個唯一的會話標識符Session ID，啟動PPP狀態機以准備開始PPP會話，並發送一個會話確認包PADS。主機收到PADS後，雙方進入PPP會話階段。在會話階段，PPPoE的乙太網類域設置為0x8864，CODE為0x00，Session ID必須是Discovery階段所分配的值。PPP會話階段主要是LCP、認證、NCP 3個協議的協商過程，LCP階段主要完成建立、配置和檢測數據鏈路連接，認證協議類型由LCP協商(CHAP或者PAP)，NCP是一個協議族，用於配置不同的網路層協議，常用的是IP控制協議(IPCP)，它負責配置用戶的IP和DNS等工作。PADT包是會話中止包，它可以由會話雙方的任意一方發起，但必須是會話建立之後才有效。1.2PPPoE的特點PPPoE不僅有乙太網的快速簡便的特點，同時還有PPP的強大功能，任何能被PPP封裝的協議都可以通過PPPoE傳輸，此外還有如下特點：(1)PPPoE很容易檢查到用戶下線，可通過一個PPP會話的建立和釋放對用戶進行基於時長或流量的統計，計費方式靈活方便。(2)PPPoE可以提供動態IP地址分配方式，用戶無需任何配置，網管維護簡單，無需添加設備就可解決IP地址短缺問題，同時根據分配的IP地址，可以很好地定位用戶在本網內的活動。(3)用戶通過免費的PPPoE客戶端軟體(如EnterNet)，輸入用戶名和密碼就可以上網，跟傳統的撥號上網差不多，最大程度地延續了用戶的習慣，從運營商的角度來看，PPPoE對其現存的網路結構進行變更也很小。DSLAM是ADSL匯聚設備，其內核採用ATM或IP但上聯口為乙太網口，BAS是局端實現PPPoE功能的接入伺服器，它終結由用戶側發起的PPPoE進程。下行的以太幀從IP城域網經路由器送到BAS，被加上PPPoE的頭後送到DSLAM封裝成AAL5幀，經過交叉模塊發送到ADSL Modem，由其完成AAL5幀重組並解出以太幀發送到客戶端，客戶端從PPPoE包中取出IP數據包。上行的PPPoE包在ADSL Modem中封裝成AAL5幀，由ATM信元傳輸到局端的DSLAM，DSLAM負責終結ATM，重新組合出PPPoE包，並通過設好的PVC(永久虛電路)傳送到BAS處理。從上面可以看出，PPPoE將PPP承載到乙太網之上，實質是在共享介質的網路上提供一條邏輯上的點到點鏈路，對用戶而言，在DSLAM和ADSL Modem之間的ATM傳輸是透明的，如果將中間的DSLAM和ADSL Modem換成有線電視的接入設備,就是典型的HFC接入，BAS對PPPoE包的處理方式不變。

2 PPPoE在BAS上的實現PPPoE撥號軟體在應用中已經很成熟(Windows XP中自帶)，下面重點討論PPPoE在接入伺服器BAS中的實現方式。2.1 PPPoE的效率從PPPoE協議模型可以看出，BAS匯聚了用戶的所有數據流，它必須將每一個PPPoE包都拆開檢查處理，這在很大程度上是沿襲了傳統的PPP處理的方式，雖然有很好的安全性，但一旦用戶很多，數據包數量很大，解封裝速度就需要很快，BAS很大的精力花在檢測用戶的數據包上，容易形成接入的「瓶頸」。為此，在BAS的硬體結構上可以採用分布式網路處理器(NP)和ASIC晶元設計。網路處理器是專門針對電信網路設備而開發的專用處理器，它有一套專門的指令集，用於處理電信網路的各種協議和業務，可以大大提高設備的處理能力。同時，ASIC晶元轉發數據包時接近硬體的轉發性能，遠非CPU軟體方式可比，採用這種方式將PPPoE數據流的處理與轉發分開，工作效率大大提高。此外在軟體系統結構上還應該與其他技術相結合，更好地發揮PPPoE的性能。2.2PPPoE與VLAN的結合VLAN即虛擬區域網，是一種通過將區域網內的設備邏輯地劃分成一個個不同的網段，從而實現虛擬工作組的技術。劃分VLAN的目的，一是提高網路安全性，不同VLAN的數據不能自由交流，需要接受第三層的檢驗;二是隔離廣播信息，劃分VLAN後，廣播域縮小，有利於改善網路性能，能夠將廣播風暴控制在一個VLAN內部。PPPoE是一個客戶端/伺服器協議，客戶端需要發送PADI包尋找BAS，因此它必須同BAS在同一個廣播式的二層網路內，與VLAN的結合很好地解決了這方面的安全隱患。此外通過將不同業務類型的用戶分配到不同的VLAN處理，可以靈活地開展業務，加快處理流程，當然VLAN的規劃必須在二層設備和BAS之間統一協調。BAS收到上行的PPPoE包後，首先判別VLAN ID的所屬類別，如果是普通的撥號用戶，則確定是Discovery階段還是會話階段的數據包，並嚴格按照PPPoE協議處理。在會話階段，根據不同的用戶類型從不同的地址池中向用戶分配IP地址，地址池由上層網管配置。如果是已經通過認證的用戶的數據包，則根據該用戶的服務類型處理，比如，如果是本地認證的撥號用戶，且對方也申請有同樣的功能，則直接由本地轉發。如果是專線用戶，則不用經過PPPoE復雜的認證過程，直接根據用戶的VLAN ID便可進入專線用戶處理流程，接入速度大大提高。此外為了統一網管，在BAS與其他設備之間需要通信，這些數據包是內部數據包，也可根據VLAN ID來辨別。對於下行數據，由於BAS負責分配和解析用戶的IP，兼有網關的功能，它收到數據包的目的IP是用戶的，因此以IP為索引查找用戶的信息比根據MAC要方便得多，這一點與普通的交換機有所不同，具體過程跟上行處理差不多。2.3PPPoE對多業務選擇的支持多業務選擇指的是用戶通過一條終結到BAS的PPP連接來自主地選擇後台網路運營商所提供的多種業務。之所以要支持多業務的選擇，一方面是因為各種業務的具體實現在技術上的側重點是不同的，對網路性能的要求也不盡相同，以前採取的固定分配的方式非常不便;另一方面，從網路應用的發展看，網路內容服務供應商ICP與網路接入商ISP的分離是必然趨勢，在接入匯聚側方，ISP必須嚴格保證將用戶選擇的業務流轉發到相應的ICP中去。目前採用的方法是用戶先在PPPoE撥號軟體中選擇相應的業務，然後對用戶進行業務授權確認，最後激活BAS內部相應的處理模塊。但是採用這種方式，用戶只能知道業務的名字，無法直觀地、全面地獲知BAS提供的各種業務類型，特別是在新業務的開展上十分困難，有很大的局限性。因此可以將BAS與後台業務選擇網關及RADIUS伺服器相配合，採取先認證後選擇業務的方式，具體操作如下：(1)主機發送PADI尋找BAS，PADI中包含一個服務名類型的TAG，它的值為空，表示該用戶可以接受任何類型的服務。(2)BAS收到包後回送PADO，PADO中包含所有可以提供的服務的TAG，同時，還包含一個服務名為General的TAG。(3)主機發送PADR。用戶選擇已知的服務名，也可以選擇General服務。(4)BAS收到PADR包後為用戶分配資源，並開始PPP協商過程。在PPP過程中，BAS將用戶輸入的賬號和密碼等信息送到RADIUS伺服器上認證。(5)通過認證的用戶，享受BAS提供的該項服務，但如果選擇的是General，則被強制訪問與BAS直連的服務選擇網關。後台的服務選擇網關是一台具有Web Server功能的伺服器，用戶可以通過Web的互動式界面得到可選擇業務的相關信息(包括費用、帶寬等)，同時顯示該用戶賬號對應的信息。(6)用戶選擇相應的業務，同時服務選擇網關會定義各種用戶的業務范圍和操作許可權。(7)服務選擇網關激活接入伺服器內部相應的業務模型實現該業務。以上方式是嚴格按照PPPoE協議執行的，與當前流行的撥號軟體完全兼容，如果用戶對其他的業務根本不感興趣而對已申請的業務非常熟悉，也不影響用戶的習慣。從BAS的角度考慮，PPPoE的操作流程也沒有什麼改變，只是多添了一種服務類型而已。如果運營商當前沒有服務選擇網關，可以通過網管配置，在對PADI包的回應時不包含General服務就可以了。對於運營商來說，採用以上方式不僅大大提高了接入用戶操作的透明度，還可以起到業務門戶的作用，為下一步的服務擴展提供空間，而且從寬頻接入網以後發展的趨勢來看，按需分配與業務類型相應的帶寬和QoS是必然的