1.AAA簡介
AAA是驗證、授權和記賬(Authentication、Authorization、Accounting )三個英文單詞的簡稱。其主要目的是管理哪些用戶可以訪問網絡服務器,具有訪問權的用戶可以得到哪些服務,如何對正在使用網絡資源的用戶進行記賬。具體爲:
1) 驗證(Authentication): 驗證用戶是否可以獲得訪問權限。
2) 授權(Authorization) : 授權用戶可以使用哪些服務。
3) 記賬(Accounting) : 記錄用戶使用網絡資源的情況。
AAA服務器AAA服務器(AAA server)是一個能夠處理用戶訪問請求的服務器程序。提供驗證授權以及帳戶服務。AAA服務器通常同網絡訪問控制、網關服務器、數據庫以及用戶信息目錄等協同工作。同AAA服務器協作的網絡連接服務器接口是“遠程身份驗證撥入用戶服務 (RADIUS)”。
RADIUS協議RADIUS(Remote Authentication Dial In User Service)是基於 UDP 的一種客戶機/服務器協議RADIUS客戶機是網絡訪問服務器,它通常是一個路由器、交換機或無線訪問點。RADIUS 協議的認證端口是1812 ,計費端口是1813。
RADIUS協議的主要特點 1) 客戶/服務模式(Client/Server)RADIUS是一種C/S結構的協議,運行在任何硬件上的RADIUS客戶端軟件都可以成爲RADIUS的客戶端。客戶端的任務是把用戶信息(用戶名,口令等)傳遞給指定的RADIUS服務器,並負責執行返回的響應。
RADIUS服務器負責接收用戶的連接請求,對用戶身份進行認證,併爲客戶端返回所有爲用戶提供服務所必須的配置信息。 一個RADIUS服務器可以爲其他的RADIUS Server或其他種類認證服務器擔當代理。
2) 網絡安全
客戶端和RADIUS服務器之間的交互經過了共享保密字的認證。另外,爲了避免某些人在不安全的網絡上監聽獲取用戶密碼的可能性,在客戶端和RADIUS服務器之間的任何用戶密碼都是被加密後傳輸的。
3) 靈活的認證機制
RADIUS服務器可以採用多種方式來鑑別用戶的合法性。當用戶提供了用戶名和密碼後,RADIUS服務器可以支持點對點的PAP認證(PPP PAP)、點對點的CHAP認證(PPP CHAP)和其他認證機制。
擴展協議
所有的交互都包括可變長度的屬性字段。爲滿足實際需要,用戶可以加入新的屬性值。新屬性的值可以在不中斷已存在協議執行的前提下自行定義新的屬性。
RADIUS協議旨在簡化認證流程。其典型認證授權工作過程是:
1)用戶輸入用戶名、密碼等信息到客戶端或連接到NAS;
2)客戶端或NAS產生一個“接入請求(Access-Request)”報文到RADIUS服務器,其中包括用戶名、口
令、客戶端(NAS)ID 和用戶訪問端口的ID。口令經過MD5算法進行加密。
3)RADIUS服務器對用戶進行認證;
4)若認證成功,RADIUS服務器向客戶端或NAS發送允許接入包(Access-Accept),否則發送拒絕加接
入包(Access-Reject);
5)若客戶端或NAS接收到允許接入包,則爲用戶建立連接,對用戶進行授權和提供服務,並轉入6;若
接收到拒絕接入包,則拒絕用戶的連接請求,結束協商過程;
6)客戶端或NAS發送計費請求包給RADIUS服務器;
7)RADIUS服務器接收到計費請求包後開始計費,並向客戶端或NAS回送開始計費響應包;
8)用戶斷開連接,客戶端或NAS發送停止計費包給RADIUS服務器;
9)RADIUS服務器接收到停止計費包後停止計費,並向客戶端或NAS回送停止計費響應包,完成該用戶的
一次計費,記錄計費信息。
新一代的AAA協議——Diameter 1) Diameter的基礎協議 Diameter基本協議爲移動IP(Mobile IP)、網絡接入服務(NAS)等應用提供最基本的服務,例如用戶會話、計費等,具有能力協商、差錯通知等功能。協議元素由衆多命令和AVP(屬性值對)構成,可以在客戶機、代理、服務器之間傳遞鑑別、授權和計費信息。但是不管客戶機、代理還是服務器,都可以主動發出會話請求,對方給予應答,所以也叫對等實體之間的協議。命令代碼、AVP值和種類都可以按應用需要和規則進行擴展。 2)Diameter的NAS協議 Diameter的NAS協議既是Network Access Service(網絡接入服務)協議。由NAS客戶機處理用戶MN的接入請求(RegReq),將收到的客戶認證信息轉送給NAS服務器;服務器對客戶進行鑑別,將結果(Success/Fail)發給客戶機;客戶機通過RegReply將結果發回給MN,並根據結果對MN進行相應處理。NAS作爲網絡接入服務器,在其用戶端口接收到呼叫或服務請求時便開始與AAA服務器之間進行消息交換,有關呼叫的信息、用戶身份和用戶鑑別信息被打包成一種AAA消息發給AAA服務器。實際上,移動IP中的FA可以看成是通過空中的MPPP鏈路接收移動終端MN的服務連接請求的NAS服務器,它作爲AAA服務器的客戶機,在兩者之間交換NAS消息請求和應答。
3)Diameter的EAP協議 Diameter EAP (Extensible Authentication Protocol ——可擴展鑑別協議)協議提供了一個支持各種鑑別方法的標準機制。EAP其實是一種框架,一種幀格式,可以容納各種鑑別信息。EAP所提供的多回合鑑別是PAP和CHAP所不具備的。EAP協議描述用戶、NAS(AAA客戶機)和AAA服務器之間有關EAP鑑別消息的請求和應答的關係,完成一次對鑑別請求的應答,中間可能需要多次消息交換過程。在移動終端MN移動的環境下,MN與FA之間的鑑別擴展采用EAP,即把FA看做是一個NAS,它作爲Diameter AAA的客戶機,Diameter AAA服務器作爲EAP的後端服務器,兩者之間載送EAP分組。端到端的EAP鑑別發生在用戶和它的H-AAA之間。
4)Diameter的CMS協議 Diameter CMS(Cryptographic Message Syntax ——密碼消息語法)協議實現了協議數據的Peer-to-Peer(端到端)加密。由於Diameter網絡中存在不可信的Relay(中繼)和Proxy(代理),而IPSec和TLS又只能實現跳到跳的安全,所以IETF定義了Diameter CMS應用協議來保證數據安全。 5)Diameter的MIP協議由於未來移動通信網絡正逐步向全IP網絡演進,這就不可避免碰到用戶移動到外部域的問題。 Diameter MIP應用協議允許用戶漫遊到外部域,並在經過鑑權後接受外部域Server(服務器)和Agent(代理)提供的服務。在未來移動通信中,這種情況將十分常見,因此MIP協議對於移動通信系統來說至關重要. 當用戶移動到外部域的時候,需要進行一系列的消息交換才能安全地接入外部網絡,接受其提供的服務。MIP協議的實現環境中MN和HA都可以在家鄉域或在外地域,其中比較典型的一種情況是MN在外地域而HA在家鄉域。
2.AAA服務器的案例配置
案例1:
1)用到的平臺 HUAWEI Quidway s3526 交換機一臺;安裝windows server2008 + cisco ACS4主機一臺;安裝華爲dot1x客戶端的客戶機一臺。
2)案例拓撲圖:
3)按照上圖搭建拓撲服務器ip 192.168.101.20 ,client1 ip192.168.101.31 ,sw1 vlan1 ip 192.168.101.10
4) 在AAA服務器上安裝ciscoACS
由於ciscoACS依賴於java在安裝此軟件之前先安裝jdk,ciscoACS 安裝完成後把華爲的私有屬性導入到acs
來到acs安裝目錄下
把h3c.ini文件導入
h3c.ini 文件內容如下:
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
查看是否導入成功
5)配置acs
配置服務器的選項如下圖
完成後單擊submit+apply
6) 配置客戶端
7)配置接口選項
8)新建用戶
9)編輯組選項
10) 配置sw1
sw1的配置如下:
[Quidway]radius scheme xht //方案名
[Quidway-radius-xht]primary authentication 192.168.101.20 //服務器地址
[Quidway-radius-xht]accounting optional
[Quidway-radius-xht]key authentication 123456 //密鑰
[Quidway-radius-xht]server-type huawei
[Quidway-radius-xht]user-name-format without-domain //不帶域名
[Quidway]domain tec
[Quidway-isp-tec]radius-scheme xht // 應用方案
[Quidway-isp-tec]access-limit enable 6
[Quidway]interface vlan 1
[Quidway-Vlan-interface1]ip address 192.168.101.10 255.255.255.0 //vlan 1地址
[Quidway]local-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode scheme //用radius驗證
[Quidway]dot1x authentication-mode pap
[Quidway]interface ethernet0/4
[Quidway-interface] dot1x
11) 客戶機配置及測試
dot1x 測試
案例2
用到的平臺
1)安裝windows server2008 + cisco ACS4主機一臺 ;華爲路由器R2621一臺作爲客戶端:測試主機一臺
2)用到的拓撲
4)由於cisco acs已經安裝過了現在只需要配置客戶端,添加賬戶就可以了。
創建用戶
配置組
配置服務器,客戶端
5)路由器配置
[Router]radius server 192.168.101.20
[Router]radius shared-key 123456
[Router]aaa authentication-scheme login xht radius
[Router]login-method authentication-mode telnet xht
[Router]interface e1
[Router-Ethernet1]ip address 192.168.101.10 24
[Router]aaa-enable
6)測試
案例3:
1)所用平臺
安裝windows server2008 + cisco ACS4主機一臺 ;一臺客戶機;一臺華爲F-100C防火牆
2)拓撲圖
3)ACS 配置
AAA服務器配置
客戶端配置
創建用戶
配置group2
4)FIREWALL 的配置
H3C]firewall zone trust
[H3C-zone-trust]add interface ethernet 0/1 //把端口加入信任區域
[H3C]interface ethernet 0/1
[H3C-Ethernet0/1]ip address 192.168.101.10 24
[H3C]radius scheme xht //創建radius方案
[H3C-radius-xht]primary authentication 192.168.101.20
[H3C-radius-xht]key authentication 123456 //驗證的共享密鑰
[H3C-radius-xht]accounting optional
[H3C-radius-xht]server-type standard
[H3C-radius-xht]user-name-format without-domain // 服務器與客戶端之間驗證時不加域名
[H3C]domain tec // tec 域
[H3C-isp-tec]radius-scheme xht // 應用方案
[H3C-isp-tec]access-limit enable 6
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]protocol inbound all
[H3C-ui-vty0-4]authentication-mode scheme //用radius驗證
[H3C]ssh authentication default password
[H3C]super password level 3 simple 123
5)測試
首先用telnet測試
用ssh驗證
至此完畢!(由於本人對acs不熟難免有不足還請高手不吝賜教)。