RCCP培训-认证计费技术原理及配置.ppt

rccp培训 认证计费技术原理及配置,议程,认证计费原理及技术（aaa、radius） ieee 802.1x协议以及应用 锐捷rg-sam的安装与配置 锐捷安全交换机的802.1x配置,网络接入的现状,无法控制用户的接入 无法保证网络的安全 无法有效的收取费用,aaa概述,authentication，authorization，and accounting三种安全功能，简称aaa。 authentication：认证，用于判定用户是否可以获得访问权，限制非法用户 authorization：授权，授权用户可以使用哪些服务，控制合法用户的权限 accounting：计账，记录用户使用网络资源的情况；为收费提供依据,aaa工作过程,一个aaa的工作过程可以分为如下几步： 终端用户（客户端系统）向nas发出网络连接请求。 nas收集用户输入用户名和口令，并转发给aaa服务器。 aaa服务器按照一定算法和自身数据库信息匹配，然后将结果返回给nas，可能是接受、拒绝或其他（如challenge） nas根据返回的结果决定接通或者断开终端用户。 如果认证通过继续以下步骤： 服务器对用户进行授权，nas根据授权结果对用户上网环境进行配置。 如需计费，nas将在用户上下线及上网期间内收集用户网络资源使用情况，数据送交记帐服务器。,aaa承载协议,radius (rfc2865/2866以及rfc2869) tacacs/tacacs+ 其他：kerberos v5(rfc1510)等等 优缺点比较： tacacs+使用tcp可靠连接，较少应用； radius使用udp封装，开销小、可实现灵活备份，更安全的密钥管理；得到了广泛应用。,radius协议概述,radius是远程认证拨号用户服务（remote authentication dial-in user service）的简称，它是一种分布式的客户机/服务器系统，与aaa配合对试图连接的用户进行身份认证，防止未经授权的访问。 radius协议主要特征： 客户/服务器模型：一般nas为radius客户端。 网络安全性： radius服务器与nas之间使用共享密钥对敏感信息进行加密，该密钥不会在网上传输。 可扩展的协议设计：radius使用独特的类型-长度-值（tlv)数据对封装格式，用户可以自行定义其它的私有属性，扩展radius应用。 灵活的鉴别机制：支持不同的鉴别协议，如pap、chap、eap等等。,radius报文格式,封装在udp数据域的radius报文：,radius报文格式,id：用于匹配request和reply length：radius协议报文长度 authenticator：用来对来自于radius服务器的应答进行认证，而且还用于口令隐藏算法中。,radius属性,radius属性类型用一个字节来表示，分别为1-255号属性，区分为三类： 标准属性radius最基本的属性定义在rfc2865和rfc2866中，如用户名、密码、计费和常用授权信息等； 扩展标准属性rfc2867-2869是radius的扩展协议，在其中定义了一些针对特殊应用（如支持隧道应用、支持eap等）的属性； 扩展私有属性即26号属性，属性值由厂商自己定义。,radius与pap、chap的结合,radius提供了不同的属性来支持pap、chap等本地认证方式。 如pap及其他类似认证方式使用radius的user-name(1)、user-password(2)等属性 chap使用user-name(1)、chap-password(3)、chap-challenge(60)等属性,radius的组网示意图,常用的认证计费技术/方式,pppoe + radius web portal + radius 802.1x + radius,pppoe认证计费技术,internet,核心三层交换机,pppoe的bas设备,二层的楼栋交换机,pppoe的客户端软件,radius服务器,瓶颈！,dhcp+web认证计费技术,internet,核心交换机,web portal的bas设备,radius服务器,普通的接入交换机,用户,瓶颈！,802.1x认证计费技术,802.1x交换机,认证报文流,业务数据流,internet,radius服务器,核心交换机,汇聚交换机,高效！,汇聚交换机,几种认证计费技术比较,议程,认证计费原理及技术（aaa、radius） ieee 802.1x协议以及应用 锐捷rg-sam的安装与配置 锐捷安全交换机的802.1x配置,ieee802.1x协议概述,ieee802.1x（port-based network access control）是一个基于端口的网络访问控制标准，为lan接入提供点对点式的安全接入。这是ieee标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用ieee 802 lan的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。 ieee 802.1x标准定义了一种基于“客户端服务器”（client-server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前，只有eapol报文（extensible authentication protocol over lan）可以在网络上通行。在认证成功之后，通常的数据流便可在网络上通行。,ieee802.1x协议的目标,802.1x首先是一个认证协议，是一种对用户进行认证的方法和策略。 802.1x是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像vlan一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 802.1x的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1x的认证报文eapol（extensible authentication protocol over lan）通过。,802.1x角色说明,认证者（交换机）,恳请者,eapol,eapol,extensible authentication protocol over lan,认证服务器,802.1x机制,controlled,un-controlled,非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯,连接在受控端口的用户只有通过认证才能访问网络资源,eapol,eapol,基于mac的802.1x端口状态,认证前后端口的状态,802.1x的认证中，端口的状态决定了客户端是否能接入网络，在启用802.1x认证时端口初始状态一般为非授权（unauthorized），在该状态下，除802.1x 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后，则端口状态切换到授权状态（authorized），允许客户端通过端口进行正常通讯。,802.1x认证过程,基本的认证过程,认证通过前：通道的状态为unauthorized，此时只能通过eapol的802.1x认证报文； 认证通过时：通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如vlan、car参数、优先级、用户的访问控制列表等等； 认证通过后：用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有dhcp等过程。,认证通过后,认证通过之后的保持： 认证端authenticator可以定时要求client重新认证，时间可设。重新认证的过程对user是透明的(应该是user不需要重新输入密码)。 下线方式： 物理端口down； 重新认证不通过或者超时； 客户端发起eap_logoff帧； 网管控制导致下线；,ppp帧格式,一个典型的ppp协议的帧格式,flag,address,control,protocol,information,protocol域表明协议类型为c227(ppp eap)时，在ppp数据链路层帧的information域中封装且仅封装ppp eap数据包,eap报文格式,code域：为一个字节，表示了eap数据包的类型，eap的code的值指定和意义如下： code1request code2 response code3 success code4 failure indentifier域：为一个字节，辅助进行request和response的匹配每一个request都应该有一个response相对应，这样的一个indentifier域就建立了这样的一个对应关系相同的indentifier相匹配。 length域：为两个字节，表明了eap数据包的长度，包括code,identifier,length以及data等各域。超出length域范围的字节应该视为数据链路层填充（padding）,在接收时应该被忽略掉。 data域：为0个或者多个字节，data域的格式由code的值来决定。,request和response报文,code域 identifier域 length域 type域 type data域,success和failure报文,当code域为3或者4的时候，这个时候为eap的success和failure报文，报文的格式如上： 当code域为3的时候是successs报文，当code为4的时候是failure报文。 identifier域为一个字节，辅助匹配response应答。identifier域必须与其正在应答的response域中的identifier域相匹配。,802.1x典型应用（一）,802.1x典型应用（二）,议程,认证计费原理及技术（aaa、radius） ieee 802.1x协议以及应用 锐捷rg-sam的安装与配置 锐捷安全交换机的802.1x配置,锐捷网络的安全认证计费产品,radius server rg-radius、rg-sam nas（radius client） 锐捷全系列安全交换机、路由器、防火墙 接入用户 802.1x的认证客户端软件star supplicant（分sua普通安装版本和sub免安装版本）,锐捷rg-sam的安装与配置,rg-sam安全计费管理系统的安装 ms sql的安装 建库以及sam与数据库的配置连接,安装rg-sam的硬件和操作系统要求,rg-sam安全计费管理系统的安装,rg-sam安全计费管理系统的安装,rg-sam安全计费管理系统的安装,ms sql的安装,ms sql的安装,注：必须选择“使用本地系统帐户”,注：必须选择“混合模式”,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,锐捷rg-sam的系统界面及版本,锐捷rg-sam的系统配置与使用,新建数据库和执行脚本创建表空间 注意：对于sql，数据库名只能为rg-radius 设置数据库类型以及路径等信息 设置认证计费的相关参数 在radius server端添加nas设备 增添服务 注意：必须建立一个internet服务 建立计费策略 开户 注意：开户时必须赋予该用户internet服务 上网时间段控制、屏蔽假设代理、各元素复合绑定、客户端在线升级,议程,认证计费原理及技术（aaa、radius） ieee 802.1x协议以及应用 锐捷rg-sam的安装与配置 锐捷安全交换机的802.1x配置,锐捷安全交换机802.1x默认配置,锐捷安全交换机802.1x配置注意事项,只有支持802.1x的产品，才能进行以下设置。 802.1x既可以在二层下又可以在三层下的设备运行。 要先设置认证服务器的ip地址，才能打开802.1x认证。 打开端口安全的端口不允许打开802.1x认证。 aggregate port不允许打开802.1x认证。,配置交换机和radius server之间通讯,交换机和radius server之间通讯配置实例,switch#configure terminal switch(config)#radius-server host 192.1.1.1 switch(config)#radius-server auth-port 600 switch(config)#radius-server key red-giantnetwork switch(config)#end 官方约定的认证的udp端口为1812 官方约定的记帐的udp端口为1813 交换机与radius server约定的密码的长度建议不少于16个字符 交换机与radius server连接的端口要设置成非受控口,锐捷安全交换机802.1x配置,交换机全局打开802.1x认证 switch(config)#aaa authentication dot1x 设置某个端口为认证端口 switch(config)#interface f 1/1 switch(config-if)#dot1x port-control auto,锐捷安全交换机802.1x相关参数配置,打开和设置定时重认证 switch(config)#dot1x re-authentication switch(config)#dot1x timeout re-authperiod 1000 改变quiet时间 switch(config)#dot1x timeout quiet-period 500 设置报文重传间隔 switch(config)#dot1x timeout tx-period 100 设置最大请求次数 switch(config)#dot1x max-req 5 设置