aaa是authentication,authorization and accounting(認證、授權和計費)的簡稱,它提供了乙個用來對認證、授權和計費這三種安全功能進行配置的一致性框架,實際上是對網路安全的一種管理。
這裡的網路安全主要是指訪問控制,包括:
l 哪些使用者可以訪問網路伺服器;
l 具有訪問權的使用者可以得到哪些服務;
l 如何對正在使用網路資源的使用者進行計費;
針對以上問題,aaa必須提供下列服務:
l 認證:驗證使用者是否可獲得訪問權。
l 授權:授權使用者可使用哪些服務。
l 計費:記錄使用者使用網路資源的情況。
aaa一般採用客戶/伺服器結構:客戶端執行於被管理的資源側,伺服器上集中存放使用者資訊。因此,aaa框架具有良好的可擴充套件性,並且容易實現使用者資訊的集中管理。
radius協議概述
如前所述,aaa是一種管理框架,因此,它可以用多種協議來實現。在實踐中,人們最常使用radius協議來實現aaa。
1.什麼是radius
radius是remote authentication dial-in user service(遠端認證撥號使用者服務)的簡稱,它是一種分布式的、客戶機/伺服器結構的資訊互動協議,能保護網路不受未授權訪問的干擾,常被應用在既要 求較高安全性、又要求維持遠端使用者訪問的各種網路環境中(例如,它常被應用來管理使用串列埠和數據機的大量分散撥號使用者)。radius系統是 nas(network access server)系統的重要輔助部分。
當radius系統啟動後,如果使用者想要通過與nas(pstn環境下的撥號接入伺服器或乙太網環境下帶接入功能的乙太網交換機)建立連線從而獲得訪問其 它網路的權利或取得使用某些網路資源的權利時,nas,也就是radius客戶端將把使用者的認證、授權和計費請求傳遞給radius伺服器。radius 伺服器上有乙個使用者資料庫,其中包含了所有的使用者認證和網路服務訪問資訊。radius伺服器將在接收到nas傳來的使用者請求後,通過對使用者資料庫的查 找、更新,完成相應的認證、授權和計費工作,並把使用者所需的配置資訊和計費統計資料返回給nas——在這裡,nas起到了控制接入使用者及對應連線的作用, 而radius協議則規定了nas與radius伺服器之間如何傳遞使用者配置資訊和計費資訊。
nas和radius之間資訊的互動是通過將資訊承載在udp報文中來完成的。在這個過程中,互動雙方將使用金鑰對報文進行加密,以保證使用者的配置資訊(如密碼)被加密後才在網路上傳遞,從而避免它們被偵聽、竊取。
2.radius操作
radius伺服器對使用者的認證過程通常需要利用接入伺服器等裝置的**認證功能,通常整個操作步驟如下:首先,客戶端向radius伺服器傳送請求報文 (該報文中包含使用者名稱和加密口令);然後,客戶端會收到radius伺服器的響應報文,如accept報文、reject報文等(其中,accept報文 表明使用者通過認證;reject報文表明使用者沒有通過認證,需要使用者重新輸入使用者名稱和口令,否則訪問被拒絕)。
aaa和radius協議典型配置舉例
1. 組網需求
l 要求在埠gigabitethernet3/0/1上對接入使用者進行認證,以控制其訪問internet;接入控制方式要求是基於mac位址的接入控制。
l 所有接入使用者都屬於乙個預設的域:aabbcc.net,該域最多可容納30個使用者;認證時,先進行radius認證,如果radius伺服器沒有響應再轉而進行本地認證;計費時,如果radius計費失敗則切斷使用者連線使其下線。
l 由兩台radius伺服器組成的伺服器組與device相連,其ip位址分別為10.1.1.1和10.1.1.2,使用前者作為主認證/計費伺服器,使用後者作為備份認證/計費伺服器。
l 設定系統與認證radius伺服器互動報文時的共享金鑰為name、與計費radius伺服器互動報文時的共享金鑰為money。
l 設定系統在向radius伺服器傳送報文後5秒種內如果沒有得到響應就向其重新傳送報文,傳送報文的次數總共為5次,設定系統每15分鐘就向radius伺服器傳送一次實時計費報文。
l 設定系統從使用者名稱中去除使用者網域名稱後再將之傳給radius伺服器。
l 本地802.1x接入使用者的使用者名為localuser,密碼為localpass,使用明文輸入;閒置切斷功能處於開啟狀態,正常連線時使用者空閒時間超過20分鐘,則切斷其連線。
2. 組網圖
圖1-9 802.1x認證典型組網圖
# 配置各界面的ip位址(略)。
# 新增本地接入使用者,啟動閒置切斷功能並設定相關引數。
system-view
[device] local-user localuser
[device-luser-localuser] service-type lan-access
[device-luser-localuser] password ****** localpass
[device-luser-localuser] authorization-attribute idle-cut 20
[device-luser-localuser] quit
# 建立radius方案radius1並進入其檢視。
[device] radius scheme radius1
# 設定主認證/計費radius伺服器的ip位址。
[device-radius-radius1] primary authentication 10.1.1.1
[device-radius-radius1] primary accounting 10.1.1.1
# 設定備份認證/計費radius伺服器的ip位址。
[device-radius-radius1] secondary authentication 10.1.1.2
[device-radius-radius1] secondary accounting 10.1.1.2
# 設定系統與認證radius伺服器互動報文時的共享金鑰。
[device-radius-radius1] key authentication name
# 設定系統與計費radius伺服器互動報文時的共享金鑰。
[device-radius-radius1] key accounting money
# 設定系統向radius伺服器重發報文的時間間隔與次數。
[device-radius-radius1] timer response-timeout 5
[device-radius-radius1] retry 5
# 設定系統向radius伺服器傳送實時計費報文的時間間隔。
[device-radius-radius1] timer realtime-accounting 15
# 指示系統從使用者名稱中去除使用者網域名稱後再將之傳給radius伺服器。
[device-radius-radius1] user-name-format without-domain
[device-radius-radius1] quit
# 建立域aabbcc.net並進入其檢視。
[device] domain aabbcc.net
# 指定radius1為該域使用者的radius方案,並採用local作為備選方案。
[device-isp-aabbcc.net] authentication default radius-scheme radius1 local
[device-isp-aabbcc.net] authorization default radius-scheme radius1 local
[device-isp-aabbcc.net] accounting default radius-scheme radius1 local
# 設定該域最多可容納30個使用者。
[device-isp-aabbcc.net] access-limit enable 30
# 啟動閒置切斷功能並設定相關引數。
[device-isp-aabbcc.net] idle-cut enable 20
[device-isp-aabbcc.net] quit
# 配置域aabbcc.net為預設使用者域。
[device] domain default enable aabbcc.net
# 開啟全域性802.1x特性。
[device] dot1x
# 開啟指定埠gigabitethernet3/0/1的802.1x特性。
[device] inte***ce gigabitethernet 3/0/1
[device-gigabitethernet3/0/1] dot1x
[device-gigabitethernet3/0/1] quit
# 設定接入控制方式(該命令可以不配置,因為埠的接入控制在預設情況下就是基於mac位址的)。
[device] dot1x port-method macbased inte***ce gigabitethernet 3/0/1
使用命令display dot1x inte***ce gigabitethernet 3/0/1可以檢視802.1x的配置情況。當802.1x使用者使用[email protected]形式的使用者名稱成功通過radius認證上線後,可使用命令display connetion檢視到上線使用者的連線情況。若radius認證失敗,則進行本地認證。
Cisco和H3C交換裝置 ARP病毒快速解決辦法
cisco交換機 在中心交換機上show logging 發現如下日誌 apr 18 10 24 16.265 ip 4 dupaddr duplicate address 172.30.30.62 on vlan711,sourced by 0009.6b84.189e 說明有arp病毒,2 執行...
H3C裝置通過oid獲取光衰
因為施工或者其他一些原因導致全程鏈路光衰不穩定,但是還不能及時發現 完善網路全維度的監控,對可能會造成故障的專案實施監控 歷史記錄可尋,年終報表提供資料 本次測試環境是在linux下操作的,所以需要安裝snmpwalk和snmpget 埠索引 oid 1.3.6.1.2.1.2.2.1.2 埠發光 ...
華為和H3C命令對比
命令解釋 huawei h3c 檢視當前的所有生成樹資訊 display stp 檢視當前處於up狀態的生成樹的介面狀態,介面角色,生成樹特性資訊 display stp brief 檢視當前 g0 0 1 display stp int g0 0 1 檢視橋的生成樹狀態詳細資訊 display s...