AAA简介

AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简

称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实

际上是对网络安全的一种管理

1). 认证功能

AAA支持以下认证方式:

(1)不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。

(2)本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设

备上(AAA客户机)。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制,而且不利于管理控制

(3)远端认证:支持通过RADIUS协议或HWTACACS协议进行远端认证,设备

(如h3cd的Quidway系列交换机)作为客户端,与RADIUS服务器或TACACS服务

器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。

2. 授权功能

AAA支持以下授权方式:

(1)直接授权:对用户非常信任,直接授权通过。

(2)本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。

(3)RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能

单独使用RADIUS进行授权。

(4)HWTACACS授权:由TACACS服务器对用户进行授权。(华为特有的)

3. 计费功能

AAA支持以下计费方式:

(1)不计费:不对用户计费。

(2)远端计费:支持通过RADIUS服务器或TACACS服务器进行远端计费。

AAA一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存

放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中

管理。

RADIUS协议简介

AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用

RADIUS协议来实现AAA

1. 什么是RADIUS

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)

是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问

的干扰,常被应用在既要求较高安全性,又要求维持远程用户访问的各种网络环境

中。

RADIUS服务包括三个组成部分:

(1)协议:RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消

息传输机制,并定义了1812作为认证端口,1813作为计费端口。

(2)服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认

证和网络服务访问信息。

(3)客户端:位于拨号访问服务器设备侧,可以遍布整个网络

AAA及RADIUS/HWTACACS协议配置

RADIUS基于客户端/服务器模型。交换机作为RADIUS客户端,负责传输用户信息

到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如

接入/挂断用户)。RADIUS服务器负责接收用户连接请求,认证用户,然后给交换

机返回所有需要的信息。

RADIUS服务器通常要维护三个数据库,

clip_p_w_picpath002

(1)第一个数据库“Users”用于存储用户信息(如用户名、口令以及使用的协议、

IP地址等配置)。

(2)第二个数据库“Clients”用于存储RADIUS客户端的信息(如共享密钥)。

(3)第三个数据库“Dictionary”存储的信息用于解释RADIUS协议中的属性和属

性值的含义。

RADIUS的基本消息交互流程

基本交互步骤如下:

clip_p_w_picpath004

(1) 用户输入用户名和口令。

(2) RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求

包(Access-Request)。

(3) RADIUS服务器将该用户信息与Users数据库信息进行对比分析,如果认证成

功,则将用户的权限信息以认证响应包(Access-Accept)发送给RADIUS客

户端;如果认证失败,则返回Access-Reject响应包。

(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,

则RADIUS客户端向RADIUS服务器发送计费开始请求包

(Accounting-Request),Status-Type取值为start。

(5) RADIUS服务器返回计费开始响应包(Accounting-Response)。

(6) 用户开始访问资源。

(7) RADIUS客户端向RADIUS服务器发送计费停止请求包

(Accounting-Request),Status-Type取值为stop。

(8) RADIUS服务器返回计费结束响应包(Accounting-Response)。

(9) 用户访问资源结束。

ACS

什么是ACS

ACS是access control server 的缩写, 思科访问控制服务器,我们利用ACS来实现AAA

ACS是基于Java的

实验简介

如果公司有几十个用户,每个用户接入到网络中都需要身份验证(802.1X),如果在路由器上敲命令要实现就更为困难了,而且工作量太大,这完全是一个体力活。这时候你可能期盼我们能否把认证,授权,审计,由公司内部一台服务器来完成了,让路由器或者交换机只需要把客户端的访问请求转发给这台服务器,其实就是ACS Server,ACS Server查询本地的数据库,如果客户端发送的用户名和密码和本地数据库的一样,则认证通过,再依据你的授权配置完成相应的授权,审计也更加容易实现,可以和SQL等数据库结合起来,把用户的访问记录从开始到结束,全部记录下来,然后管理员可以随时查看处理这些问题

实验步骤

1在服务器上安装ACS
2 配置ACS
3配置radius客户机
4 验证

ACS的客户端的配置(radius客户机)

1 ) 配置方案

2 )说明验证服务器是谁

3 )与aaa服务器验证的钥匙

4 )表明服务器类型

5 )用户验证时书写的格式

6 )进入某个域 在域里引用此方案

7 )还可以做限定用户登陆的数量

8)进入到虚拟链路模式 将登陆认证方式改为scheme 认证方式

@实验方案1

方案背景

某公司内部网络采用统一式管理,将交换机设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员通过telnet方式登录设备管理设备,利用华为交换机充当radius客户机来实现telnet功能

拓扑图

clip_p_w_picpath006

******************************安装ACS

安装ACS:

ACS是基于Java的

所以要确保服务器安装有Java的jdk 保持默认安装就行

clip_p_w_picpath008clip_p_w_picpath010clip_p_w_picpath012clip_p_w_picpath014clip_p_w_picpath016clip_p_w_picpath018clip_p_w_picpath020

密码必须是8位以上,并且同时使用字符和数字;

浏览器安全级别必须调到中级或中级以下;

clip_p_w_picpath022

安装完成!

在ACS中导入华为私有属性:

Radius客户机利用华为的的设备实现,所以要在ACS中导入华为设备的私有属性

就是telnet进入设备后能有管理员的权限

私有属性的编辑:

文件名:(h3c.ini),将文件保存到c盘根目录下;

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

clip_p_w_picpath024

首先,切换到ACS安装路径的bin目录下:

clip_p_w_picpath026

执行以下命令:

clip_p_w_picpath028

配置ACS的AAA服务器:

选择网络配置页面:

clip_p_w_picpath030

添加AAA客户端(如:交换机的管理地址);

clip_p_w_picpath032

填写客户端信息、密钥和验证方式:

clip_p_w_picpath034

Key的值必须与AAA Client的向对应;

修改AAA服务器的验证标准:

clip_p_w_picpath036

编辑AAA服务器地址,并将AAA服务器的类型改为RADIUS方式:

clip_p_w_picpath038

然后进入接口配置页面:

clip_p_w_picpath040

选择华为验证:

clip_p_w_picpath042

在一个组中应用华为的私用属性:

clip_p_w_picpath044

提交配置:

clip_p_w_picpath046

然后,在AAA上设置集中的telnet的AAA验证:

进入组设置页面:

clip_p_w_picpath048

选择所使用的组,并编辑:
clip_p_w_picpath050

选择为用户提供的登录服务(telnet):

clip_p_w_picpath052

如果需要其他的登录方式,则可以更改Login-TCP-Port所对应的端口;

在华为私有属性验证中选择用户的登录级别(3级别,管理员级别):

clip_p_w_picpath054

提交并重启服务:

clip_p_w_picpath056

创建AAA的一个用户:

填写用户名:

clip_p_w_picpath058

验证密码,并选择验证组:

clip_p_w_picpath060

提交:

clip_p_w_picpath062

**************************配置radius客户机(交换机)

交换机配置:

#配置交换机管理ip:

[Quidway]interface Vlan-interface1

[Quidway-Vlan-interface1]ip address 192.168.10.2 255.255.255.0

[Quidway-Vlan-interface1]quit

[Quidway]

#添加一条Radius认证策略,策略名为AAA:

[Quidway]radius scheme AAA

New Radius scheme

[Quidway-radius-AAA]primary authentication 192.168.10.1 1812 #指明认证服务器地址和端口号;

[Quidway-radius-AAA]server-type huawei #服务器类型,huawei;

[Quidway-radius-AAA]accounting optional #由于不需要审计,所以选择审计可选;

[Quidway-radius-AAA]key authentication 123456 #与验证服务器之间沟通的密码,必须与AAA服务器的密码对应;

[Quidway-radius-AAA]user-name-format without-domain #在交换机上取消域名信息;

[Quidway-radius-AAA]quit

[Quidway]

#创建一个域tec:

[Quidway]domain tec

New Domain added.

[Quidway-isp-tec]radius-scheme AAA #在tec域中应用AAA的验证策略;

[Quidway-isp-tec]access-limit enable 10 #设置域的用户数量为10;

[Quidway-isp-tec]quit

#将tec域设置为默认域;

[Quidway]domain default enable tec

[Quidway]

#开启802.1x服务;

[Quidway]dot1x

802.1X is enabled globally.

[Quidway]dot1x authentication-method pap #设置验证方式为pap;

PAP authentication is enabled.

[Quidway]

#进入用户虚拟接口视图

[Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4]authentication-mode scheme #设置验证方式为scheme;

[Quidway-ui-vty0-4]quit

[Quidway]

*******************************测试

配置自己的ip

clip_p_w_picpath064

管理PC通过 telnet连接交换机:

clip_p_w_picpath066

进行验证登录:

clip_p_w_picpath068

clip_p_w_picpath070

@实验案例2

方案背景

某公司内部网络采用统一式管理,将交换机设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员通过telnet方式登录设备管理设备,利用华为路由器充当radius客户机来实现telnet功能

拓扑图:

clip_p_w_picpath072

**************radius客户机的配置

路由器配置:

[Router]int e0

[Router-Ethernet0]ip add 192.168.10.2 24

[Router]

[Router]int e1

[Router-Ethernet1]ip add 192.168.20.2 24

[Router-Ethernet1]quit

[Router]

#开启AAA验证

[Router]aaa-enable

[Router]aaa authentication-scheme login default radius #登录验证方式为Radius;

[Router]

# 配置 RADIUS 服务器 IP 地址和端口(默认为1812)。

[Router]

[Router]radius server 192.168.10.1

[Router]

配置 RADIUS 服务器密钥、重传次数及计费选项。

[Router]radius shared-key 123456

[Router]radius retry 2

[Router]radius timer response-timeout 5

[Router]aaa accounting-scheme optional

[Router]

**********************测试

clip_p_w_picpath074