摘要：AAA 管理，即认证、授权、审计，是网络安全和系统管理领域中一套标准化的访问控制框架。它主要用于解决“谁能访问资源、能访问哪些资源、访问行为如何记录”这三个关键问题，是保证网络设备、服务器和云资源等安全访问的基础。

本期内容探讨下 AAA 认证协议。

AAA 管理，即认证、授权、审计，是网络安全和系统管理领域中一套标准化的访问控制框架。它主要用于解决“谁能访问资源、能访问哪些资源、访问行为如何记录”这三个关键问题，是保证网络设备、服务器和云资源等安全访问的基础。

RADIUS 和 TACACS+ 是 AAA 服务器实现能力的两种主要协议，不过这俩协议之间区别很大。

RADIUS 是通用的网络接入认证协议，最初为拨号接入设计，如今已拓展到各种网络准入认证场景。RADIUS 作为开放性行业标准，得到众多厂商支持，且实现差异较小。

TACACS+ 则是专门用于设备管理的认证协议，最初由 Cisco 主导开发，有少量厂商扩展，比如 HWTACACS。虽本质上是 Cisco 私有协议，但也获得部分其他厂商支持，成为事实标准，不过厂商实现差异较大。

RADIUS 的加密方式是在认证客户端和认证服务器之间使用共享密钥，报文头部和授权信息不加密但做了混淆处理。相比之下，TACACS+ 除标准 TCP 头部外，对整个报文体进行加密，加密性更强，安全性更高。

RADIUS 侧重于对用户做准入控制，应用场景丰富多样，涵盖企业有线网络及无线 Wi-Fi 接入、VPN 接入、动态令牌认证及网络设备管理员认证等。具体介绍可点击查看码住不亏！RADIUS认证的3个实用场景一次性讲清。

TACACS+ 则专注于网络设备场景（如路由器、交换机、防火墙等），主要验证管理员身份及控制管理权限，侧重于对管理员进行命令级授权与审计，也可视为特权身份管理的一种机制。

在使用上有明显区别的是，RADIUS 是粗粒度授权，基于用户组及接入类型，比如员工组可访问内网，访客组只能访问互联网，无法针对用户单个操作授权，比如限制管理员仅能执行“show ip”，因此 RADIUS 也不支持命令级审计，无法记录管理员执行了哪些命令。

TACACS+ 是精细粒度授权，能做到命令级授权和命令级审计。例如，管理员 A 仅允许执行“show”类查询命令，管理员 B 允许执行“configure terminal”等配置命令，管理员 C 禁止执行“delete 删除”等高风险命令。它与网络设备的命令体系深度集成，自动识别命令风险等级并授权，当发现高危命令操作时，还能联动短信及邮件网关自动告警提醒。

企业在技术选型时，如果是针对终端用户的准入认证（有线/VPN/Wi-Fi Portal），由于 RADIUS 提供丰富的接入认证场景及粗粒度管控，优先选择 RADIUS 协议（RADIUS 认证服务器）。

若针对核心网络设备（路由器/交换机/防火墙等）的管理员权限管控，TACACS+ 提供了 IT 运维管理场景的高安全接入和细粒度管控，优先选择 TACACS+协议。

如果是混合复杂、全场景 AAA 统一管控的情况，则可以 RADIUS 和 TACACS+ 协同，共用 AAA 服务器。比如认证走 RADIUS，但授权和审计基于 TACACS+。这种组合既利用了 RADIUS 的通用接入认证优势，又借助 TACACS+的命令级管控保障核心设备安全，一般大型金融、能源、互联网企业多采用这种架构设计。

一类是网络设备厂商，例如 Cisco 的 ISE、ACS 以及 Aruba 的 ClearPass 等。这类方案在设备管理上更精细，但主要适配自家设备。

另一类就是像宁盾这样的第三方供应商，能够兼容异构网络设备。如今由于国产化改造、本地化服务需求以及成本考虑等因素，越来越多企业选择采用宁盾 AAA 管理替代 ISE、ACS、ClearPass 等外来方案。

来源：宁盾