实验三十四-：使用RADIUS-协议来实现AAA

实验三十四实验三十四 使用 使用 RADIUSRADIUS 协议来实现协议来实现 AAAAAA 一 理论基础 IEEE 802 1x 标准 以下简称802 1x 的主要内容是一种基于端口的网络接入控制 Port Based Network Access Control 协议 基于端口的网络接入控制 是指在局域 网接入控制设备的端口这一级对所接入的设备进行认证和控制 连接在端口上的用户设备 如果能通过认证 就可以访问局域网中的资源 如果不能通过认证 则无法访问局域网中 的资源 相当于连接被物理断开 802 1x 提供了一个用户身份认证的实现方案 但是仅仅依靠802 1x 是不足以实现该 方案的 接入设备的管理者还要对AAA 方法进行配置 选择使用RADIUS 或本地认证方法 以配合802 1x 完成用户的身份认证 AAA是Authentication Authorization and Accounting 认证 授权和计费 的简称 它提供了一个用来对认证 授权和计费这三种安全功能进行配置的一致性框架 它是对网 络安全的一种管理 其中 认证指的是验证用户是否可获得访问权 授权指的是授权用户可使用哪些服务 计费指的是记录用户使用网络资源的情况 它对网络安全的访问控制包含如下内容 哪些用户可以访问网络服务器 具有访问权 的用户可以得到哪些服务 如何对正在使用网络资源的用户进行计费 AAA 是一种管理框架 因此 它可以用多种协议来实现 在实践中 人们最常使用 RADIUS 协议来实现AAA RADIUS 是Remote Authentication Dial In User Service 远程 认证拨号用户服务 的简称 最初由Livingston Enterprise公司开发 能保护网络不受未 授权访问的干扰 作为一种分布式的客户机 服务器系统 能提供AAA功能 常被应用在既 要求较高安全性 又要求维持远程用户访问的各种网络环境中 RADIUS服务包括三个组成 部分 协议 服务器 客户端 RADIUS 客户端将把用户的认证 授权和计费请求传递给RADIUS 服务器 RADIUS 服 务器上有一个用户数据库 其中包含了所有的用户认证和网络服务访问信息 RADIUS 服务 器将在接收到NAS 传来的用户请求后 通过对用户数据库的查找 更新 完成相应的认证 授权和计费工作 并把用户所需的配置信息和计费统计数据返回给NAS 在这里 NAS 起到 了控制接入用户及对应连接的作用 NAS 如路由器 交换机 作为RADIUS客户端 负责传 输用户信息到指定的RADIUS服务器 然后根据从服务器返回的信息进行相应处理 如接入 挂断用户 而RADIUS 协议则规定了NAS 与RADIUS 服务器之间如何传递用户配置信息和计费信息 在一个AAA RADIUS 框架中 Quidway 系列交换机是可以作为用户接入设备即NAS NAS 和RADIUS 之间信息的交互是通过将信息承载在UDP 报文中来完成的 NAS 和RADIUS之 间通过共享密钥认证相互间交互的消息 用户密码采用密文方式在网络上传输 以保证用 户的配置信息 如密码 被加密后才在网络上传递 从而避免它们被侦听 窃取 二 实验案例 1 拓扑结构图 2 配置说明 客户端 client 的 IP 地址 192 168 2 15 连接 Switch 的 E0 8 RADIUS 服务端 server 的 IP 地址 192 168 2 146 Switch 的管理地址 192 168 2 200 所有AAA 接入用户都属于一个缺省的域 设置系统与RADIUS 认证 计费服务器交互报文时的加密密码为 djw 本地 802 1x 接入用户的用户名为 sunke 密码为 sunke 3 具体配置 交换机的配置 Quidway sys Switch Switch radius scheme sunke New Radius server Switch radius sunke accounting optional Switch radius sunke primary accounting 192 168 2 146 1814 设置计费RADIUS 服务器的IP 地址 Switch radius sunke primary authentication 192 168 2 146 1815 设置认证RADIUS 服务器的IP 地址 Switch radius sunke key accounting djw 设置系统与计费 RADIUS 服务器交互报文时的加密密码 Switch radius sunke key authentication djw 设置交换机与认证 RADIUS 服务器交互报文时的加密密码 Switch radius sunke user name format without domain 指示系统从用户名中去除用 户域名后再将之传给 RADIUS 服务器 Switch radius sunke server type standard 此时改为如下验证类型也行 Switch radius sunke server type huawei Switch int vlan 1 Switch Vlan interface1 Apr 2 00 06 56 2000 Switch L2INF 5 VLANIF LINK STATUS CHANGE Vlan interface1 turns into UP state Switch Vlan interface1 ip address 192 168 2 200 255 255 255 0 Switch Vlan interface1 Apr 2 00 07 08 2000 Switch IFNET 5 UPDOWN Line protocol on the interface Vlan interface1 turns into UP state Switch domain 创建用户域 并进入其视图 New Domain added Switch isp radius scheme sunke 指定 sunke 为该域用户的 RADIUS 方案 Switch domain default enable Switch dot1x 开启全局 802 1x 特性 802 1x is enabled globally Switch int e0 8 Switch Ethernet0 8 dot1x 开启指定端口 Ethernet 0 8 的 802 1x 特性 802 1x is enabled on port Ethernet0 8 Switch dis cur sysname Switch radius scheme system server type huawei primary authentication 127 0 0 1 1645 primary accounting 127 0 0 1 1646 user name format without domain radius scheme sunke primary authentication 192 168 2 146 1815 primary accounting 192 168 2 146 1814 accounting optional key authentication djw key accounting djw user name format without domain domain radius scheme sunke access limit disable state active vlan assignment mode integer idle cut disable self service url disable messenger time disable domain system radius scheme system access limit disable state active vlan assignment mode integer idle cut disable self service url disable messenger time disable domain default enable local server nas ip 127 0 0 1 key huawei dot1x queue scheduler wrr 1 2 4 8 vlan 1 interface Vlan interface1 ip address 192 168 2 200 255 255 255 0 interface Aux0 0 interface Ethernet0 1 interface Ethernet0 2 interface Ethernet0 3 interface Ethernet0 4 interface Ethernet0 5 interface Ethernet0 6 interface Ethernet0 7 interface Ethernet0 8 dot1x interface NULL0 user interface aux 0 user interface vty 0 4 return 客户端运行软件 华为 802 1X 认证客户端 软件显示图 RADIUS 服务端 192 168 2 146 运行的软件