AAA
认证(Authentication):验证用户的身份与可使用的网络服务;
授权(Authorization):依据认证结果开放网络服务给用户;
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统
 
    整个系统在网络管理与安全问题中十分有效。首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。最后一步是账户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行账户过程。验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。目前最新的发展是Diameter协议。
 
【实验目的】
 ①防火墙的单臂路由实现多Vlan间通信。
 ②利用防火墙的DHCP中继实现多Vlan动态获得地址。
 ③用户通过AAA认证,访问外网。
 ④远程带内管理(Telnet)各设备,需要AAA验证。
【拓扑规划】

AAA在手,你想上网?我来决定!_H3C

【实验设备】
 H3C防火墙(一台
 H3C二层交换机(一台
   AAA服务器(WinServer2003虚拟机)
   DHCP服务器(Linux RH5.4虚拟机)
   测试PC(2台)
【准备工作】
 ①按照拓扑规划进行相应的配置(地址、单臂路由、DHCP中继)
 ②开启dot1x协议,并应用于相应的接口上。
 ③配置AAA方案,域,并在域内关联相应方案。
 ④依照拓扑配置相应的服务器,按照地址规划分配IP地址。

AAA在手,你想上网?我来决定!_H3C_02

AAA在手,你想上网?我来决定!_H3C_03 

AAA在手,你想上网?我来决定!_AAA_04 

AAA在手,你想上网?我来决定!_上网_05 

AAA在手,你想上网?我来决定!_H3C_06

AAA在手,你想上网?我来决定!_H3C_07 

【实验配置】
(防火墙配置)
<GATEWAY>dis cu
#
 sysname GATEWAY
#
 super password level 3 simple 123456
#
 domain default enable zzu
#
 firewall packet-filter enable
 firewall packet-filter default permit
#
 undo insulate
#
 firewall statistic system enable
#
radius scheme system
 server-type standard
radius scheme zzu
 server-type standard
 primary authentication 192.168.30.2
 key authentication 123456
 user-name-format without-domain
#
domain system
domain zzu
 scheme radius-scheme zzu                
 access-limit enable 10
 accounting optional
#
local-user admin
 password cipher .]@USE=B,53Q=^Q`MAF4<1!!
 service-type telnet terminal
 level 3
 service-type ftp
#
interface Aux0
 async mode flow
#
interface Ethernet0/0
 ip address 192.168.1.254 255.255.255.0
 dhcp select relay
#
interface Ethernet0/0.10
 ip address 192.168.10.254 255.255.255.0
 ip relay address 192.168.30.1
 dhcp select relay
 vlan-type dot1q vid 10
#
interface Ethernet0/0.20
 ip address 192.168.20.254 255.255.255.0 
 ip relay address 192.168.30.1
 dhcp select relay
 vlan-type dot1q vid 20
#
interface Ethernet0/0.30
 ip address 192.168.30.254 255.255.255.0
 dhcp select relay
 vlan-type dot1q vid 30
#
interface Ethernet0/4
 dhcp select relay
#
interface Encrypt1/0
#
interface NULL0
#
firewall zone local
 set priority 100
#
firewall zone trust
 add interface Ethernet0/0
 add interface Ethernet0/0.10
 add interface Ethernet0/0.20
 add interface Ethernet0/0.30            
 set priority 85
#
firewall zone untrust
 set priority 5
#
firewall zone DMZ
 set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
 FTP server enable
#
user-interface con 0
user-interface aux 0                     
user-interface vty 0 4
authentication-mode scheme
(NAS交换机配置)
[NAS]dis cu
#
 sysname NAS
#
 super password level 3 simple 123456
#
 local-server nas-ip 192.168.30.2 key 123456
#
 domain default enable zzu
#
 dot1x
 dot1x authentication-method pap
#
radius scheme system
radius scheme radius
 server-type standard
 primary authentication 192.168.30.2
 key authentication 123456
 user-name-format without-domain
#
domain system
domain zzu
 scheme radius-scheme radius
 access-limit enable 10
 accounting optional
#                                        
local-user user1
#
vlan 1
#
vlan 10
 description student
#
vlan 20
 description teacher
#
vlan 30
 description server
#
interface Vlan-interface1
 ip address 192.168.1.1 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
 port access vlan 10
 dot1x
#
interface Ethernet1/0/2
 port access vlan 10                     
 dot1x
#
interface Ethernet1/0/3
 port access vlan 10
 dot1x
#
interface Ethernet1/0/4
 port access vlan 10
 dot1x
#
interface Ethernet1/0/5
 port access vlan 10
 dot1x
#
interface Ethernet1/0/6
 port access vlan 10
 dot1x
#
interface Ethernet1/0/7
 port access vlan 10
 dot1x
#
interface Ethernet1/0/8
 port access vlan 10                     
 dot1x
#
interface Ethernet1/0/9
 port access vlan 10
 dot1x
#
interface Ethernet1/0/10
 port access vlan 10
 dot1x
#
interface Ethernet1/0/11
 port access vlan 20
 dot1x
#
interface Ethernet1/0/12
 port access vlan 20
 dot1x
#
interface Ethernet1/0/13
 port access vlan 20
 dot1x
#
interface Ethernet1/0/14
 port access vlan 20                     
 dot1x
#
interface Ethernet1/0/15
 port access vlan 20
 dot1x
#
interface Ethernet1/0/16
 port access vlan 20
 dot1x
#
interface Ethernet1/0/17
 port access vlan 20
 dot1x
#
interface Ethernet1/0/18
 port access vlan 20
 dot1x
#
interface Ethernet1/0/19
 port access vlan 20
 dot1x
#
interface Ethernet1/0/20
 port access vlan 20                     
 dot1x
#
interface Ethernet1/0/21
 port access vlan 30
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
 port link-type trunk
 port trunk permit vlan all
#
interface NULL0
#
 ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 preference 60
#
user-interface aux 0
idle-timeout 35791 0
user-interface vty 0 4
authentication-mode scheme
idle-timeout 35791 0
【验证过程】

AAA在手,你想上网?我来决定!_AAA_08

AAA在手,你想上网?我来决定!_H3C_09 

AAA在手,你想上网?我来决定!_H3C_10 

AAA在手,你想上网?我来决定!_H3C_11 

AAA在手,你想上网?我来决定!_上网_12

AAA在手,你想上网?我来决定!_AAA_13 

AAA在手,你想上网?我来决定!_上网_14

AAA在手,你想上网?我来决定!_AAA_15