1.AAA简介
AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为:
1) 验证(Authentication): 验证用户是否可以获得访问权限。
2) 授权(Authorization) : 授权用户可以使用哪些服务。
3) 记账(Accounting) : 记录用户使用网络资源的情况。
AAA服务器AAA服务器(AAA server)是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。
RADIUS协议RADIUS(Remote Authentication Dial In User Service)是基于 UDP 的一种客户机/服务器协议RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点。RADIUS 协议的认证端口是1812 ,计费端口是1813。
RADIUS协议的主要特点 1) 客户/服务模式(Client/Server)RADIUS是一种C/S结构的协议,运行在任何硬件上的RADIUS客户端软件都可以成为RADIUS的客户端。客户端的任务是把用户信息(用户名,口令等)传递给指定的RADIUS服务器,并负责执行返回的响应。
RADIUS服务器负责接收用户的连接请求,对用户身份进行认证,并为客户端返回所有为用户提供服务所必须的配置信息。 一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。
2) 网络安全
客户端和RADIUS服务器之间的交互经过了共享保密字的认证。另外,为了避免某些人在不安全的网络上监听获取用户密码的可能性,在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的。
3) 灵活的认证机制
RADIUS服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后,RADIUS服务器可以支持点对点的PAP认证(PPP PAP)、点对点的CHAP认证(PPP CHAP)和其他认证机制。
扩展协议
所有的交互都包括可变长度的属性字段。为满足实际需要,用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性。
RADIUS协议旨在简化认证流程。其典型认证授权工作过程是:
1)用户输入用户名、密码等信息到客户端或连接到NAS;
2)客户端或NAS产生一个“接入请求(Access-Request)”报文到RADIUS服务器,其中包括用户名、口
令、客户端(NAS)ID 和用户访问端口的ID。口令经过MD5算法进行加密。
3)RADIUS服务器对用户进行认证;
4)若认证成功,RADIUS服务器向客户端或NAS发送允许接入包(Access-Accept),否则发送拒绝加接
入包(Access-Reject);
5)若客户端或NAS接收到允许接入包,则为用户建立连接,对用户进行授权和提供服务,并转入6;若
接收到拒绝接入包,则拒绝用户的连接请求,结束协商过程;
6)客户端或NAS发送计费请求包给RADIUS服务器;
7)RADIUS服务器接收到计费请求包后开始计费,并向客户端或NAS回送开始计费响应包;
8)用户断开连接,客户端或NAS发送停止计费包给RADIUS服务器;
9)RADIUS服务器接收到停止计费包后停止计费,并向客户端或NAS回送停止计费响应包,完成该用户的
一次计费,记录计费信息。
新一代的AAA协议——Diameter 1) Diameter的基础协议 Diameter基本协议为移动IP(Mobile IP)、网络接入服务(NAS)等应用提供最基本的服务,例如用户会话、计费等,具有能力协商、差错通知等功能。协议元素由众多命令和AVP(属性值对)构成,可以在客户机、代理、服务器之间传递鉴别、授权和计费信息。但是不管客户机、代理还是服务器,都可以主动发出会话请求,对方给予应答,所以也叫对等实体之间的协议。命令代码、AVP值和种类都可以按应用需要和规则进行扩展。 2)Diameter的NAS协议 Diameter的NAS协议既是Network Access Service(网络接入服务)协议。由NAS客户机处理用户MN的接入请求(RegReq),将收到的客户认证信息转送给NAS服务器;服务器对客户进行鉴别,将结果(Success/Fail)发给客户机;客户机通过RegReply将结果发回给MN,并根据结果对MN进行相应处理。NAS作为网络接入服务器,在其用户端口接收到呼叫或服务请求时便开始与AAA服务器之间进行消息交换,有关呼叫的信息、用户身份和用户鉴别信息被打包成一种AAA消息发给AAA服务器。实际上,移动IP中的FA可以看成是通过空中的MPPP链路接收移动终端MN的服务连接请求的NAS服务器,它作为AAA服务器的客户机,在两者之间交换NAS消息请求和应答。
3)Diameter的EAP协议 Diameter EAP (Extensible Authentication Protocol ——可扩展鉴别协议)协议提供了一个支持各种鉴别方法的标准机制。EAP其实是一种框架,一种帧格式,可以容纳各种鉴别信息。EAP所提供的多回合鉴别是PAP和CHAP所不具备的。EAP协议描述用户、NAS(AAA客户机)和AAA服务器之间有关EAP鉴别消息的请求和应答的关系,完成一次对鉴别请求的应答,中间可能需要多次消息交换过程。在移动终端MN移动的环境下,MN与FA之间的鉴别扩展采用EAP,即把FA看做是一个NAS,它作为Diameter AAA的客户机,Diameter AAA服务器作为EAP的后端服务器,两者之间载送EAP分组。端到端的EAP鉴别发生在用户和它的H-AAA之间。
4)Diameter的CMS协议 Diameter CMS(Cryptographic Message Syntax ——密码消息语法)协议实现了协议数据的Peer-to-Peer(端到端)加密。由于Diameter网络中存在不可信的Relay(中继)和Proxy(代理),而IPSec和TLS又只能实现跳到跳的安全,所以IETF定义了Diameter CMS应用协议来保证数据安全。 5)Diameter的MIP协议由于未来移动通信网络正逐步向全IP网络演进,这就不可避免碰到用户移动到外部域的问题。 Diameter MIP应用协议允许用户漫游到外部域,并在经过鉴权后接受外部域Server(服务器)和Agent(代理)提供的服务。在未来移动通信中,这种情况将十分常见,因此MIP协议对于移动通信系统来说至关重要. 当用户移动到外部域的时候,需要进行一系列的消息交换才能安全地接入外部网络,接受其提供的服务。MIP协议的实现环境中MN和HA都可以在家乡域或在外地域,其中比较典型的一种情况是MN在外地域而HA在家乡域。
2.AAA服务器的案例配置
案例1:
1)用到的平台 HUAWEI Quidway s3526 交换机一台;安装windows server2008 + cisco ACS4主机一台;安装华为dot1x客户端的客户机一台。
2)案例拓扑图:
3)按照上图搭建拓扑服务器ip 192.168.101.20 ,client1 ip192.168.101.31 ,sw1 vlan1 ip 192.168.101.10
4) 在AAA服务器上安装ciscoACS
由于ciscoACS依赖于java在安装此软件之前先安装jdk,ciscoACS 安装完成后把华为的私有属性导入到acs
来到acs安装目录下
把h3c.ini文件导入
h3c.ini 文件内容如下:
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
查看是否导入成功
5)配置acs
配置服务器的选项如下图
完成后单击submit+apply
6) 配置客户端
7)配置接口选项
8)新建用户
9)编辑组选项
10) 配置sw1
sw1的配置如下:
[Quidway]radius scheme xht //方案名
[Quidway-radius-xht]primary authentication 192.168.101.20 //服务器地址
[Quidway-radius-xht]accounting optional
[Quidway-radius-xht]key authentication 123456 //密钥
[Quidway-radius-xht]server-type huawei
[Quidway-radius-xht]user-name-format without-domain //不带域名
[Quidway]domain tec
[Quidway-isp-tec]radius-scheme xht // 应用方案
[Quidway-isp-tec]access-limit enable 6
[Quidway]interface vlan 1
[Quidway-Vlan-interface1]ip address 192.168.101.10 255.255.255.0 //vlan 1地址
[Quidway]local-interface vty 0 4
[Quidway-ui-vty0-4]authentication-mode scheme //用radius验证
[Quidway]dot1x authentication-mode pap
[Quidway]interface ethernet0/4
[Quidway-interface] dot1x
11) 客户机配置及测试
dot1x 测试
案例2
用到的平台
1)安装windows server2008 + cisco ACS4主机一台 ;华为路由器R2621一台作为客户端:测试主机一台
2)用到的拓扑
4)由于cisco acs已经安装过了现在只需要配置客户端,添加账户就可以了。
创建用户
配置组
配置服务器,客户端
5)路由器配置
[Router]radius server 192.168.101.20
[Router]radius shared-key 123456
[Router]aaa authentication-scheme login xht radius
[Router]login-method authentication-mode telnet xht
[Router]interface e1
[Router-Ethernet1]ip address 192.168.101.10 24
[Router]aaa-enable
6)测试
案例3:
1)所用平台
安装windows server2008 + cisco ACS4主机一台 ;一台客户机;一台华为F-100C防火墙
2)拓扑图
3)ACS 配置
AAA服务器配置
客户端配置
创建用户
配置group2
4)FIREWALL 的配置
H3C]firewall zone trust
[H3C-zone-trust]add interface ethernet 0/1 //把端口加入信任区域
[H3C]interface ethernet 0/1
[H3C-Ethernet0/1]ip address 192.168.101.10 24
[H3C]radius scheme xht //创建radius方案
[H3C-radius-xht]primary authentication 192.168.101.20
[H3C-radius-xht]key authentication 123456 //验证的共享密钥
[H3C-radius-xht]accounting optional
[H3C-radius-xht]server-type standard
[H3C-radius-xht]user-name-format without-domain // 服务器与客户端之间验证时不加域名
[H3C]domain tec // tec 域
[H3C-isp-tec]radius-scheme xht // 应用方案
[H3C-isp-tec]access-limit enable 6
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]protocol inbound all
[H3C-ui-vty0-4]authentication-mode scheme //用radius验证
[H3C]ssh authentication default password
[H3C]super password level 3 simple 123
5)测试
首先用telnet测试
用ssh验证
至此完毕!(由于本人对acs不熟难免有不足还请高手不吝赐教)。