网络安全接入技术

第3章网络安全接入技术 华为3Com网络学院第六学期 ISSUE1 0 2 课程目标 掌握AAA原理与基本配置掌握RADIUS协议原理与基本配置掌握HWTACACS协议原理与基本配置学会分析处理基本的AAA RADIUS HWTACACS故障问题 学习完本课程 您应该能够 3 课程内容 第一节 AAA介绍第二节 RADIUS协议介绍第三节 HWTACACS协议介绍第四节 AAA基本配置第五节 RADIUS基本配置第六节 HWTACACS基本配置第七节 配置举例及故障分析 4 AAA概述 验证 Authentication 授权 Authorization 计费 Accounting AAA服务器 本地实现AAA 使用服务器实现AAA 5 AAA的认证功能 AAA服务器 本地认证 远端认证 6 AAA的授权功能 RADIUS服务器 本地授权 远端授权 7 AAA的计费功能 远端计费 RADIUS服务器 TACACS服务器 8 课程内容 第一节 AAA介绍第二节 RADIUS协议介绍第三节 HWTACACS协议介绍第四节 AAA基本配置第五节 RADIUS基本配置第六节 HWTACACS基本配置第七节 配置举例及故障分析 9 RADIUS概述 RADIUS RemoteAuthenticationDial inUserService 是当前流行的安全服务器协议 实现AAA 授权Authorization 验证Authentication和计费Accounting 功能 RADIUS使用UDP作为传输协议 具有良好的实时性 同时也支持重传机制和备用服务器机制 从而有较好的可靠性 10 RADIUS服务器组成 RADIUS服务器 users clients Dictionary 11 RADIUS服务器实现AAA流程 用户上网 验证请求 验证授权通过 授权并允许用户上网 RADIUS服务器 12 RADIUS结构及基本原理 RADIUS协议采用客户机 服务器 Client Server 结构 使用UDP协议作为传输协议 用户server client服务器 NAS 路由器或NAS上运行的AAA程序对用户来讲为服务器端 对RADIUS服务器来讲是作为客户端 当用户上网时 路由器决定对用户采用哪种验证方法 下面介绍两种用户与路由器之间 本地验证 远端验证 的验证方法CHAP和PAP 13 本地认证 PAP 本地 NAS 验证 PAP方式 PAP PasswordAuthenticationProtocol 是密码验证协议的简称 是认证协议的一种 用户以明文的形式把用户名和他的密码传递给NAS NAS根据用户名在NAS端查找本地数据库 如果存在相同的用户名和密码表明验证通过 否则表明验证未通过 我查 我验 UsernamePassword 用户NAS PPP RadiusClient 验证结果 14 本地认证 CHAP 1 本地 NAS 验证 CHAP方式 CHAP ChallengeHandshakeAuthenticationProtocol 是查询握手验证协议的简称 是我们使用的另一种认证协议 SecretPassword MD5 ChapID Password challenge 我查 我算 我验 用户NAS PPP RadiusClient 验证结果 CHAPID Username Secretpassword Challenge 主机名 CHAPID 15 本地认证 CHAP 2 SecretPassword MD5 ChapID Password challenge 当用户请求上网时 服务器产生一个16字节的随机码 challenge 给用户 同时还有一个ID号 本地服务器的hostname 用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密 生成一个SecretPassword传给NAS NAS根据用户名查找自己本地的数据库 得到和用户端进行加密所用的一样的密码 然后根据原来的16字节的随机码进行加密 将其结果与SecretPassword作比较 如果相同表明验证通过 如果不相同表明验证失败 16 远端认证 PAP 远端 Radius 验证 PAP方式 Secretpassword PasswordXORMD5 Challenge Key Challenge就是Radius报文中的Authenticator 我查 我算 我验 用户NAS PPP RadiusClient 验证结果 ChallengeUsername Secret Password 验证结果 Username Password Key Key RadiusServer 17 远端认证 CHAP 远端 Radius 验证 CHAP方式 Secretpassword MD5 ChapID Password challenge 我查 我算 我验 用户NAS PPP RadiusClient 验证结果 授权 CHAPID Username Secretpassword Username Secret Password Challenge CHAPID 验证结果 授权 RadiusServer Challenge 主机名 CHAPID 18 Radius协议在协议栈中的位置 Radius是一种流行的AAA协议 同时其采用的是UDP协议传输模式 AAA协议在协议栈中位置如下 Radius协议 19 Radius协议包结构 Attributes 属性 20 Radius协议包各个域解释 各个域的解释 1 Code 包类型 1字节 指示RADIUS包的类型 2 Identifier 包标识 1字节 用于匹配请求包和响应包 同一组请求包和响应包的Identifier应相同 3 Length 包长度 2字节 整个包的长度 4 Authenticator 验证字 16字节 用于对包进行签名 21 Radius协议包 code域 1 Code 包的类型包类型占1个字节 定义如下 1Access Request 请求认证过程2Access Accept 认证响应过程3Access Reject 认证拒绝过程4Accounting Request 请求计费过程5Accounting Response 计费响应过程 22 Radius协议包 Identifier域 2 Identifier 包标识包标识 用以匹配请求包和响应包 该字段的取值范围为0 255 协议规定 1 在任何时间 发给同一个RADIUS服务器的不同包的Identifier域不能相同 如果出现相同的情况 RADIUS将认为后一个包是前一个包的拷贝而不对其进行处理 2 Radius针对某个请求包的响应包应与该请求包在Identifier上相匹配 相同 23 Radius协议包 Length域 3 Length 包长度整个包长度 包括Code Identifier Length Authenticator Attributes域的长度 24 Radius协议包 Authenticator域 4 Authenticator 验证字该验证字分为两种 1 请求验证字 RequestAuthenticator用在请求报文中 必须为全局唯一的随机值 2 响应验证字 ResponseAuthenticator用在响应报文中 用于鉴别响应报文的合法性 响应验证字 MD5 Code ID Length 请求验证字 Attributes Key 25 Radius协议包 Authenticator域 5 Attributes 属性 Attribute 1 属性 长度为10字节 benladen 26 Radius协议属性 1 User Name该属性指定了要进行认证的用户名 27 Radius协议属性 2 User Password该属性指定了要认证的用户的口令 用户口令加密后存放在该属性中 28 Radius协议属性 3 NAS IP Address该属性指明了发起认证请求的设备的IP地址 29 Radius协议属性 4 Vendor Specific该属性用于携带各厂商自己扩展的属性 30 Radius协议属性 5 Session Timeout该属性指明允许用户使用的最大时长 31 Radius协议属性 6 Acct Status Type该属性指明计费报文的类型该属性出现在计费报文中不同的取值标志出不同的意义1 表示计费开始报文2 表示计费结束报文3 表示计费更新报文7 表示Accounting On报文 32 Radius协议属性 一 属性值属性名称意义1User Name用户名2User Password用户密码3Chap PasswordChap认证方式中的用户密码4Nas IP AddressNas的ip地址5Nas Port用户接入端口号6Service Type服务类型7Framed Protocol协议类型8Framed IP Address为用户提供的IP地址9Framed IP NetMask地址掩码10Framed Routing为路由器用户设置的路由方式11Filter Id过滤表的名称12Framed MTU为用户配置的最大传输单元 认证报文的常用属性 1 33 Radius协议属性 二 属性值属性名称意义13Framed Compression该连接使用压缩协议14Login IP Host对login用户提供的可连接主机的ip地址15Login Service对login用户可提供的服务16Login TCP PortTCP服务端口18Reply Message认证服务器返回用户的信息24State认证服务器发送challenge包时传送的需在接下来的认证报文中回应的字符串 与Acess Challenge相关的属性 Class认证通过时认证服务器返回的字符串信息 要求在该用户的计费报文中送给计费服务器 认证报文的常用属性 2 34 Radius协议属性 三 属性值属性名称意义26Vendor Specific可扩展属性Session Timeout在认证通过报文或Challenge报文中 通知NAS该用户可用的会话时长 时长预付费 28Idle Timeout允许用户空闲在线的最大时长32NAS Identifier标识NAS的字符串Proxy StateNAS通过代理服务器转发认证报文时服务器添加在报文中的属性60Chap Challenge可以代替认证字字段传送challenge的属性61Nas Port Type接入端口的类型62Port Limit服务器限制NAS为用户开放的端口数 认证报文的常用属性 3 35 Radius协议属性 四 属性值属性名称意义40Acct Status Type计费请求报文的类型41Acct Delay TimeRadius客户端发送计费报文耗费的时间42Acct Input Octets输入字节数43Acct Output Octets输出字节数44Acct Session Id计费会话标识45Acct Authentic在计费包中标识用户认证通过的方式46Acct Session Time用户在线时长47Acct Input Packets输入包数48Acct Output Packets输出包数49Acct Terminate Case用户下线原因50Acct Multi Session Id相关计费会话标识51Acct Link Count生成计费记录时多连接会话的会话个数 认证报文的常用属性 4 36 RADIUS协议总结 37 Radius 简介 38 课程内容 第一节 AAA介绍第二节 RADIUS协议介绍第三节 HWTACACS协议介绍第四节 AAA基本配置第五节 RADIUS基本配置第六节 HWTACACS基本配置第七节 配置举例及故障分析 39 HWTACACS概述 HWTACACS安全协议是在TACACS RFC1492 基础上进行了功能增强的一种安全协议 该协议与RADIUS协议类似 主要是通过Server Client模式与TACACS服务器通信来实现多种用户的AAA功能 用于PPP和VPDN接入用户及login用户的认证 授权和计费 40 HWTACACS协议和RADIUS协议区别 41 HWTACACS组网应用 拨号用户 终端用户 HWTACACS客户端 TACACS服务器 TACACS服务器 42 HWTACACS服务器实现AAA流程 用户登录 认证开始报文 认证回应报文 请求用户名 向用户申请用户名 HWTACACS客户端 HWTACACS服务器 用户 43 课程内容 第一节 AAA介绍第二节 RADIUS协议介绍第三节 HWTACACS协议介绍第四节 AAA基本配置第五节 RADIUS基本配置第六节 HWTACACS基本配置第七节 配置举例及故障分析 44 AAA基本配置 创建ISP域并配置相关属性创建ISP域配置用户使用的AAA方案配置ISP域的状态配置可接入用户数量的最大值配置计费可选开关定义本地地址池并为PPP用户分配IP地址创建本地用户并配置相关属性 仅用于本地认证 创建本地用户并配置相关属性 仅用于本地认证 45 创建ISP域并配置相关属性 创建ISP域 46 创建ISP域并配置相关属性 配置用户使用AAA方案 47 创建ISP域并配置相关属性 48 创建ISP域并配置相关属性 配置ISP域的状态 49 创建ISP域并配置相关属性 配置可接入用户数量的最大值 50 创建ISP域并配置相关属性 配置计费可选开关 51 创建ISP域并配置相关属性 定义地址池并为PPP用户分配IP地址 52 创建本地用户并配置相关属性 创建本地用户 53 创建本地用户并配置相关属性 设置本地用户属性 54 创建本地用户并配置相关属性 设置本地用户属性 续 55 创建本地用户并配置相关属性 设置本地用户属性 续 56 创建本地用户并配置相关属性 设置本地用户属性 续 57 AAA基本配置 AAA协议的显示与调试 58 课程内容 第一节 AAA介绍第二节 RADIUS协议介绍第三节 HWTACACS协议介绍第四节 AAA基本配置第五节 RADIUS基本配置第六节 HWTACACS基本配置第七节 配置举例及故障分析 59 RADIUS基本配置 RADIUS协议的配置包括 创建RADIUS方案设置RADIUS认证 授权服务器设置RADIUS计费服务器及相关属性设置RADIUS报文的共享密钥设置RADIUS请求报文的最大传送次数设置支持的RADIUS服务器的类型设置RADIUS服务器的状态设置发送给RADIUS服务器的用户名格式设置发送给RADIUS服务器的数据流的单位配置NAS发送RADIUS报文使用的源地址配置RADIUS服务器的定时器使能RADIUS服务器状态变为down时发送trap报文的功能 60 RADIUS基本配置 创建RADIUs方案 61 RADIUS基本配置 配置RADIUS授权 认证服务器 62 RADIUS基本配置 配置RADIUS计费服务器 63 RADIUS基本配置 使能停止计费报文缓存及重传功能 64 RADIUS基本配置 设置允许实时计费请求无响应的最大次数 65 RADIUS基本配置 设置RADIUS报文的共享密钥 66 RADIUS基本配置 设置RADIUS请求报文的最大传送次数 缺省情况下 RADIUS请求报文的最大传送次数为3次 67 RADIUS基本配置 设备重启用户再认证功能配置过程 68 RADIUS基本配置 设置支持的RADIUS服务器的类型 69 RADIUS基本配置 设置RADIUS服务器的状态 70 RADIUS基本配置 设置发送给RADIUS服务器的用户名格式 71 RADIUS基本配置 设置发送给RADIUS服务器的数据流单位 72 RADIUS基本配置 配置NAS发送RADIUS报文使用的源地址 73 RADIUS基本配置 配置RADIUS服务器应答超时定时器 74 RADIUS基本配置 配置RADIUS服务器的主服务器恢复激活状态时间 75 RADIUS基本配置 配置RADIUS服务器实时计费时间 76 实时计费时间间隔与用户量之间的推荐比例关系 RADIUS基本配置 定时器基本配置 77 RADIUS基本配置 使能RADIUS服务器状态变为down时发送trap报文的功能 78 RADIUS基本配置 配置本地RADIUS认证服务器 79 RADIUS基本配置 RADIUS协议的显示与调试 80 RADIUS基本配置 RADIUS协议的显示与调试 续 81 课程内容 第一节 AAA介绍第二节 RADIUS协议介绍第三节 HWTACACS协议介绍第四节 AAA基本配置第五节 RADIUS基本配置第六节 HWTACACS基本配置第七节 配置举例及故障分析 82 HWTACACS基本配置 HWTACACS的配置包括 创建HWTACACS方案配置TACACS认证服务器配置TACACS授权服务器配置TACACS计费功能配置TACACS服务器的密钥配置TACACS服务器的用户名格式配置TACACS服务器的流量单位配置NAS发送HWTACACS报文使用的源地址配置TACACS服务器的定时器 83 HWTACACS基本配置 创建HWTACACS方案 84 HWTACACS认证服务器基本配置 配置HWTACACS认证服务器 85 HWTACACS授权服务器基本配置 配置HWTACACS授权服务器 86 HWTACACS计费服务器基本配置 配置HWTACACS计费服务器 87 HWTACACS计费服务器基本配置 使能停止计费报文的重传功能 88 HWTACACS基本配置 配置NAS发送HWTACACS报文使用的源地址 89 HWTACACS基本配置 配置HWTACACS服务器密钥 90 HWTACACS基本配置 配置HWTACACS服务器的用户名格式 91 HWTACACS基本配置 配置HWTACACS服务器的流量单位 92 HWTACACS服务器定时器基本配置 配置HWTACACS服务器的应答超时时间 缺省情况下 应答超时时间为5秒 93 HWTACACS服务器定时器基本配置 配置HWTACACS服务器的主服务器恢复激活状态时间 94 HWTACACS服务器定时器基本配置 配置实时计费时间间隔 95 HWTACACS服务器定时器基本配置 实时计费时间间隔与用户量之间的推荐比例关系 96 HWTACACS基本配置 配置在线用户主动修改当前密码 97 HWTACACS基本配置 HWTACACS协议的显示与调试 98 HWTACACS基本配置 HWTACACS协议的显示与调试 续 99 课程内容 第一节 AAA介绍第二节 RADIUS协议介绍第三节 HWTACACS协议介绍第四节 AAA基本配置第五节 RADIUS基本配置第六节HWTACACS基本配置第七节 配置举例及故障分析 100 配置举例 AAA及RADIUS HWTACACS协议典型配置举例例1 Telnet SSH用户通过RADIUS服务器认证 计费的应用例2 用户本地认证配置例3 PPP用户通过TACACS服务器认证 授权 计费的应用例4 PPP用户认证 授权 计费分离方案典型配置举例例5 Telnet用户通过TACACS 服务器认证 一次性认证 计费的应用 101 配置举例 一 Telnet SSH用户通过RADIUS服务器认证 计费的应用 配置Telnet用户的远端RADIUS认证 Authentication Accountingservers IPaddress 10 110 91 146 telnetuser 102 配置举例 二 用户本地认证配置 配置Telnet用户的本地认证 telnetuser 103 配置举例 三 PPP用户通过TACACS服务器认证 授权 计费的应用 配置PPP用户的远端HWTACACS认证 Authentication Authorization Accountingservers IPaddress 10 110 91 146 e1 0 0 10 110 91 160 S0 0 0 188 188 188 2 PPPuser intranet 104 配置举例 四 PPP用户认证 授权 计费分离方案典型配置举例 PPP用户认证 授权 计费分离方案配置应用 RADIUS 10 110 91 145 16TACACS 10 110 91 146 16 e1 0 0 10 110 91 160 S0 0 0 188 188 188 2 PPPuser intranet 105 配置举例 五 Telnet用户通过TACACS 服务器认证 一次性认证 计费的应用 配置Telnet用户的远端TACACS 认证 Authentication Accountingservers IPaddress 10 110 91 146 telnetuser 106 故障分析 RADIUS协议故障诊断与排除HWTACACS