RCCP培训-认证计费技术原理及配置.ppt_第1页
RCCP培训-认证计费技术原理及配置.ppt_第2页
RCCP培训-认证计费技术原理及配置.ppt_第3页
RCCP培训-认证计费技术原理及配置.ppt_第4页
RCCP培训-认证计费技术原理及配置.ppt_第5页
免费预览已结束,剩余58页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

rccp培训 认证计费技术原理及配置,议程,认证计费原理及技术(aaa、radius) ieee 802.1x协议以及应用 锐捷rg-sam的安装与配置 锐捷安全交换机的802.1x配置,网络接入的现状,无法控制用户的接入 无法保证网络的安全 无法有效的收取费用,aaa概述,authentication,authorization,and accounting三种安全功能,简称aaa。 authentication:认证,用于判定用户是否可以获得访问权,限制非法用户 authorization:授权,授权用户可以使用哪些服务,控制合法用户的权限 accounting:计账,记录用户使用网络资源的情况;为收费提供依据,aaa工作过程,一个aaa的工作过程可以分为如下几步: 终端用户(客户端系统)向nas发出网络连接请求。 nas收集用户输入用户名和口令,并转发给aaa服务器。 aaa服务器按照一定算法和自身数据库信息匹配,然后将结果返回给nas,可能是接受、拒绝或其他(如challenge) nas根据返回的结果决定接通或者断开终端用户。 如果认证通过继续以下步骤: 服务器对用户进行授权,nas根据授权结果对用户上网环境进行配置。 如需计费,nas将在用户上下线及上网期间内收集用户网络资源使用情况,数据送交记帐服务器。,aaa承载协议,radius (rfc2865/2866以及rfc2869) tacacs/tacacs+ 其他:kerberos v5(rfc1510)等等 优缺点比较: tacacs+使用tcp可靠连接,较少应用; radius使用udp封装,开销小、可实现灵活备份,更安全的密钥管理;得到了广泛应用。,radius协议概述,radius是远程认证拨号用户服务(remote authentication dial-in user service)的简称,它是一种分布式的客户机/服务器系统,与aaa配合对试图连接的用户进行身份认证,防止未经授权的访问。 radius协议主要特征: 客户/服务器模型:一般nas为radius客户端。 网络安全性: radius服务器与nas之间使用共享密钥对敏感信息进行加密,该密钥不会在网上传输。 可扩展的协议设计:radius使用独特的类型-长度-值(tlv)数据对封装格式,用户可以自行定义其它的私有属性,扩展radius应用。 灵活的鉴别机制:支持不同的鉴别协议,如pap、chap、eap等等。,radius报文格式,封装在udp数据域的radius报文:,radius报文格式,id:用于匹配request和reply length:radius协议报文长度 authenticator:用来对来自于radius服务器的应答进行认证,而且还用于口令隐藏算法中。,radius属性,radius属性类型用一个字节来表示,分别为1-255号属性,区分为三类: 标准属性radius最基本的属性定义在rfc2865和rfc2866中,如用户名、密码、计费和常用授权信息等; 扩展标准属性rfc2867-2869是radius的扩展协议,在其中定义了一些针对特殊应用(如支持隧道应用、支持eap等)的属性; 扩展私有属性即26号属性,属性值由厂商自己定义。,radius与pap、chap的结合,radius提供了不同的属性来支持pap、chap等本地认证方式。 如pap及其他类似认证方式使用radius的user-name(1)、user-password(2)等属性 chap使用user-name(1)、chap-password(3)、chap-challenge(60)等属性,radius的组网示意图,常用的认证计费技术/方式,pppoe + radius web portal + radius 802.1x + radius,pppoe认证计费技术,internet,核心三层交换机,pppoe的bas设备,二层的楼栋交换机,pppoe的客户端软件,radius服务器,瓶颈!,dhcp+web认证计费技术,internet,核心交换机,web portal的bas设备,radius服务器,普通的接入交换机,用户,瓶颈!,802.1x认证计费技术,802.1x交换机,认证报文流,业务数据流,internet,radius服务器,核心交换机,汇聚交换机,高效!,汇聚交换机,几种认证计费技术比较,议程,认证计费原理及技术(aaa、radius) ieee 802.1x协议以及应用 锐捷rg-sam的安装与配置 锐捷安全交换机的802.1x配置,ieee802.1x协议概述,ieee802.1x(port-based network access control)是一个基于端口的网络访问控制标准,为lan接入提供点对点式的安全接入。这是ieee标准委员会针对以太网的安全缺陷而专门制定的标准,能够在利用ieee 802 lan的优势基础上,提供一种对连接到局域网设备或用户进行认证的手段。 ieee 802.1x标准定义了一种基于“客户端服务器”(client-server)模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前,只有eapol报文(extensible authentication protocol over lan)可以在网络上通行。在认证成功之后,通常的数据流便可在网络上通行。,ieee802.1x协议的目标,802.1x首先是一个认证协议,是一种对用户进行认证的方法和策略。 802.1x是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像vlan一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 802.1x的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1x的认证报文eapol(extensible authentication protocol over lan)通过。,802.1x角色说明,认证者(交换机),恳请者,eapol,eapol,extensible authentication protocol over lan,认证服务器,802.1x机制,controlled,un-controlled,非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯,连接在受控端口的用户只有通过认证才能访问网络资源,eapol,eapol,基于mac的802.1x端口状态,认证前后端口的状态,802.1x的认证中,端口的状态决定了客户端是否能接入网络,在启用802.1x认证时端口初始状态一般为非授权(unauthorized),在该状态下,除802.1x 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后,则端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通讯。,802.1x认证过程,基本的认证过程,认证通过前:通道的状态为unauthorized,此时只能通过eapol的802.1x认证报文; 认证通过时:通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如vlan、car参数、优先级、用户的访问控制列表等等; 认证通过后:用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有dhcp等过程。,认证通过后,认证通过之后的保持: 认证端authenticator可以定时要求client重新认证,时间可设。重新认证的过程对user是透明的(应该是user不需要重新输入密码)。 下线方式: 物理端口down; 重新认证不通过或者超时; 客户端发起eap_logoff帧; 网管控制导致下线;,ppp帧格式,一个典型的ppp协议的帧格式,flag,address,control,protocol,information,protocol域表明协议类型为c227(ppp eap)时,在ppp数据链路层帧的information域中封装且仅封装ppp eap数据包,eap报文格式,code域:为一个字节,表示了eap数据包的类型,eap的code的值指定和意义如下: code1request code2 response code3 success code4 failure indentifier域:为一个字节,辅助进行request和response的匹配每一个request都应该有一个response相对应,这样的一个indentifier域就建立了这样的一个对应关系相同的indentifier相匹配。 length域:为两个字节,表明了eap数据包的长度,包括code,identifier,length以及data等各域。超出length域范围的字节应该视为数据链路层填充(padding),在接收时应该被忽略掉。 data域:为0个或者多个字节,data域的格式由code的值来决定。,request和response报文,code域 identifier域 length域 type域 type data域,success和failure报文,当code域为3或者4的时候,这个时候为eap的success和failure报文,报文的格式如上: 当code域为3的时候是successs报文,当code为4的时候是failure报文。 identifier域为一个字节,辅助匹配response应答。identifier域必须与其正在应答的response域中的identifier域相匹配。,802.1x典型应用(一),802.1x典型应用(二),议程,认证计费原理及技术(aaa、radius) ieee 802.1x协议以及应用 锐捷rg-sam的安装与配置 锐捷安全交换机的802.1x配置,锐捷网络的安全认证计费产品,radius server rg-radius、rg-sam nas(radius client) 锐捷全系列安全交换机、路由器、防火墙 接入用户 802.1x的认证客户端软件star supplicant(分sua普通安装版本和sub免安装版本),锐捷rg-sam的安装与配置,rg-sam安全计费管理系统的安装 ms sql的安装 建库以及sam与数据库的配置连接,安装rg-sam的硬件和操作系统要求,rg-sam安全计费管理系统的安装,rg-sam安全计费管理系统的安装,rg-sam安全计费管理系统的安装,ms sql的安装,ms sql的安装,注:必须选择“使用本地系统帐户”,注:必须选择“混合模式”,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,ms sql server 2000数据库的初始化,锐捷rg-sam的系统界面及版本,锐捷rg-sam的系统配置与使用,新建数据库和执行脚本创建表空间 注意:对于sql,数据库名只能为rg-radius 设置数据库类型以及路径等信息 设置认证计费的相关参数 在radius server端添加nas设备 增添服务 注意:必须建立一个internet服务 建立计费策略 开户 注意:开户时必须赋予该用户internet服务 上网时间段控制、屏蔽假设代理、各元素复合绑定、客户端在线升级,议程,认证计费原理及技术(aaa、radius) ieee 802.1x协议以及应用 锐捷rg-sam的安装与配置 锐捷安全交换机的802.1x配置,锐捷安全交换机802.1x默认配置,锐捷安全交换机802.1x配置注意事项,只有支持802.1x的产品,才能进行以下设置。 802.1x既可以在二层下又可以在三层下的设备运行。 要先设置认证服务器的ip地址,才能打开802.1x认证。 打开端口安全的端口不允许打开802.1x认证。 aggregate port不允许打开802.1x认证。,配置交换机和radius server之间通讯,交换机和radius server之间通讯配置实例,switch#configure terminal switch(config)#radius-server host 192.1.1.1 switch(config)#radius-server auth-port 600 switch(config)#radius-server key red-giantnetwork switch(config)#end 官方约定的认证的udp端口为1812 官方约定的记帐的udp端口为1813 交换机与radius server约定的密码的长度建议不少于16个字符 交换机与radius server连接的端口要设置成非受控口,锐捷安全交换机802.1x配置,交换机全局打开802.1x认证 switch(config)#aaa authentication dot1x 设置某个端口为认证端口 switch(config)#interface f 1/1 switch(config-if)#dot1x port-control auto,锐捷安全交换机802.1x相关参数配置,打开和设置定时重认证 switch(config)#dot1x re-authentication switch(config)#dot1x timeout re-authperiod 1000 改变quiet时间 switch(config)#dot1x timeout quiet-period 500 设置报文重传间隔 switch(config)#dot1x timeout tx-period 100 设置最大请求次数 switch(config)#dot1x max-req 5 设置

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论