网络安全接入技术ppt课件

第3章网络安全访问技术，华为3Com网络学院第6学期，ISSUE1.0，课程目标，AAA原理和基本配置把握RADIUS协议原理和基本配置把握HWTACACS协议原理和基本配置学会分析处理基本AAAA，RADIUS，HWTACACS故障问题，完成本课程、第1节： AAA介绍第2节： RADIUS协议介绍第3节： HWTACACS协议介绍第4节： AAA基本构成第5节： RADIUS基本构成第6节： HWTACACS基本构成第7节：构成例和故障分析、 AAA摘要认证(Authentication )认证(Authorization )计费(Accounting )、AAA服务器、本地实现AAA、使用服务器实现AAA、AAA服务器、本地认证、远程认证、AAA认证功能、RADIUS服务器、本地AAA的计费功能远程计费，RADIUS服务器/TACACS服务器，课程内容：第1节： AAA介绍第2节： RADIUS协议介绍第3节： HWTACACS协议介绍第4节： AAA基本构成第5节： RADIUS基本构成第6节： HWTACACS基本构成第radius conception radius (remoteeauthenticationdial-inuse reservice，远程安全服务)是当前常见的安全服务器协议。 实现授权、授权和计费会计(AAA )功能。 RADIUS使用UDP作为传输协议，实时且可靠，因为它还支持重发和备用服务器机制。RADIUS服务器构成，RADIUS服务器，users，clients，Dictionary，RADIUS服务器实现AAA程序，用户连接互联网，认证要求，认证许可，用户允许连接互联网，RADIUS服务器RADIUS结构和基本原理，RADIUS协议采用客户端/服务器(Client/Server )结构，将UDP协议作为传送协议使用。在用户server/client服务器、NAS、路由器或NAS上运行的AAA程序对于用户来说是服务器端，对于RADIUS服务器来说是客户端，当用户连接到互联网时，路由器向用户提供哪种验证方法下面介绍两个用户和路由器之间(本地和远程身份验证)的身份验证方法CHAP和PAP。本地认证-PAP、本地(NAS )认证PAP方式： pap (passwordauthenticationprotocol )是口令认证协议的简称，是认证协议的一种。 用户用明文将用户名和密码传递给NAS，NAS根据用户名在NAS端搜索本地数据库，如果存在相同的用户名和密码，则认证没有通过。我我的验证、用户名密码、用户NAS、(PPP)(RadiusClient )、验证结果、本地验证-CHAP(1)、本地(NAS )验证CHAP方法： chap (挑战握手认证) 、secretpassword=MD5 (chapidpasswordchallenge )、我我我、用户NAS、(PPP)(RadiusClient )、验证结果、chapid、Username、secretpassword Challenge .本地认证-CHAP(2)，secretpassword=MD5(chapidpasswordchallenge )，当用户请求互联网时，服务器向用户提供16字节的随机代码(id号，本地服务器的主机名) 客户端获得此软件包，并使用其自己的设备或软件对传递的域进行加密，然后将SecretPassword传递给NAS。 NAS根据用户名搜索其本地数据库，获取与客户端加密的密码相同的密码，根据原始16字节随机代码加密，将结果与SecretPassword进行比较，指示同一认证成功，以及不同的认证失败.远程认证-PAP，远程(Radius )认证PAP方式：secretpassword=passwordxormd5(challenge key ) (challenge是Radius消息中的authenticationor )，我 用户NAS (PPP)(RadiusClient )，验证结果，ChallengeUsername，Secret，Password，验证结果，Username，Password，Key，RadiusServer，远程认证-CHAP，远程认证333 secretpassword=MD5 (chapidpasswordchallenge )，我我我我我检查用户NAS、(PPP)(RadiusClient )，验证结果，认可，chapid，用户名，secretpassse Secret、Password、Challenge、CHAPID、验证结果、授权、RadiusServer、Challenge、主机名、CHAPID、Radius协议在协议栈中的位置， Radius是受欢迎的AAA协议，同时采用UDP协议传输模式的AAA协议在协议栈中的位置为： Radius协议，Radius协议包结构，Attributes:属性，Radius 指示1字节RADIUS软件包的类型。 2、Identifier :用于匹配包id 1字节请求包和响应包的标识符在同一组请求包和响应包中必须相同。 3、Length :数据包长度2字节数据包整体长度。 4、authenticationor :用于签署认证字16字节包。Radius协议包： code域， 1 ) 代码：软件包类型软件包类型占用1字节1访问请求验证过程2访问接入验证响应过程3访问请求3354验证拒绝过程4访问请求ng-Response计费响应过程；Radius协议包：标识符域； 此字段的值范围为0到255。协议规定： 1、发布到同一RADIUS服务器的不同软件包的Identifier域不能随时相同。 同时，RADIUS不会将以下软件包视为上一个软件包的副本。 对Radius请求分组的响应分组必须在标识符上与请求分组相匹配(相同)。Radius协议包： Length域，3)Length :包含整个包长度、Code、Identifier、Length、authenticationor、Attributes域的长度。Radius协议包： authenticationor域，4)authenticationor :认证词该认证词1、请求认证词requestauthenticationor在请求消息中使用的全局唯一的随机2、响应验证词responseauthenticationor用于响应消息并认证响应消息的有效性。响应认证字=MD5(Code ID Length请求认证字Attributes Key )、Radius协议包： authenticationor域，5)Attributes :属性、Attribute(1)属性、长10字节、benladen Radius协议属性1.User-Name此属性指定要验证的用户名，Radius协议属性2.User-Password此属性指定要验证的用户的口令，用户口令被加密并存储在此属性中，Radius协议属性、 3.NAS-IP-Address此属性指定发起认证请求的设备的IP地址，Radius协议属性4.Vendor-Specific此属性包括每个供应商独自扩展的属性、Radius协议属性和5.Session-Timeout此属性。 Radius协议属性6.Acct-Status-Type此属性指示计费消息的类型，用户可使用的最长时间为： 该属性表示计费消息中出现的值不同的含义1-计费开始消息2-计费结束消息3-计费更新消息7-accounting-on消息，Radius协议属性(1) 属性值属性名称含义1User-Name用户名2User-Password用户口令3Chap-PasswordChap认证方式的用户口令4Nas-ip-AddressNas的IP地址5Nas-Port用户访问端口号6 service 7帧-协议类型8帧IP地址为用户提供的IP地址9帧- IP-net mask地址掩码10帧-路由为路由器用户设置的路由方法11过滤器amed-MTU是用户构成的最大传输单位，认证消息的通用属性(1) :Radius协议属性(2)属性值属性名称的含义13Framed-Compression此连接可用于、 压缩协议14Login-ip-Host由login用户提供的可连接主机的IP地址15Login-Service对login用户可以提供的服务16Login-TCP-PortTCP服务端口18重复消息4 .一种认证消息，请求认证服务器通过Class认证时认证服务器返回的字符串信息，是通过该用户的计费消息向计费服务器发送的，所述Class认证服务器在4State认证服务器发送challenge包时所发送的下一个认证消息所响应的字符串(与Acess-Challenge有关的属性) : Radius协议属性(3)属性值属性名称含义26Vendor-Specific可扩展属性Session-Timeout通过认证消息或Challenge消息通知NAS用户可以使用的会话时间(预付费时间) 28Idle-Timeout 标识用户联机空闲的最长时间32nas-identifiernas的字符串Proxy-StateNAS通过代理服务器传输认证消息时，服务器添加到消息中的属性60Chap-Challenge， 能够转发挑战代替认证字段的属性61Nas-Port-Type接入端口类型62端口限制服务器将NAS限制为用户释放的端口数，认证消息的公共属性(3) : Radius协议属性(4) 属性值属性名称含义40Acct-Status-Type计费请求消息类型41Acct-Delay-TimeRadius客户端发送计费消息的时间42Acct-Input-Octets输入字节数43Acct-Output-Octets输出字节Id计费会话45Acct -authentication计费包中识别用户认证通过的方式46Acct-Session-Time用户在线时间47Acct-Input-Packets输入包数48Acct-Output-Packets inate-Case用户离线原因50Acct-Multi_Session-Id相互计费会话51Acct-Link-Count生成计费记录时的多会话数、认证消息的公共属性(4) :RADIUS协议的RADIUS配置文件、， 第1节： AAA介绍第2节： RADIUS协议介绍第3节： HWTACACS协议介绍第4节： AAA基本构成第5节： RADIUS基本构成第6节： HWTACACS基本构成第7节：构成示例和故障诊断、HWTACACS概要，HWTACACS安全性此协议与RADIUS协议类似，主要通过在服务器客户端模式下与TACACS服务器进行通信来为多个用户提供AAA功能。 用于验证、授权和计费PPP和VPDN访问用户以及login用户。、HWTACACS协议与RADIUS协议的区别、HWTACACS组网络应用程序、拨号用户、HWTACACS客户端、TACACS服务器、TACACS服务器、和HWTACACS服务器实现了AAA进程，用户登录，认证开始消息，认证应答消息，请求用户名用户使用用户名，HWTACACS客户端，HWTACACS服务器，用户，课程内容： 第1节： AAA介绍第2节： RADIUS协议介绍第3节： HWTACACS协议介绍第4节： AAA基本构成第5节： RADIUS基本构成第6节： HWTACACS基本构成第7节：构成例和故障分析、 AAA基本配置，创建ISP域，配置相关属性配置ISP域配置用户使用AAA方案为ISP域定义状态配置可访问用户数量上限配置计费选项开关，为PPP用户分配IP地址，创建本地用户，然后单击， 配置关联属性(仅限本地身份验证)以创建本地用户，配置关联属性(仅限本地身份验证)，创建ISP域，创建ISP域以配置关联属性，创建ISP域以设置关联属性，并将用户设置为