AAA认证功能介绍

1、WORD格式格林伟迪科技AAA 认证功能介绍专业资料整理WORD格式OLTAAA 认证功能介绍VESION1.02021年7月7日专业资料整理WORD格式格林伟迪科技1/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍AAA 认证功能介绍.1一、相关知识点介绍 .31.1. AAA 简介 .31.1.1.认证功能 .31.1.2.授权功能 .31.1.3.计费功能 .31.2.ISP Domain简介 .41.3.Radius协议简介 .41.3.1. RADIUS效劳的 3 个局部 .41.3.2. RADIUS的根本消息交互流程 .41.4.TACACS+协议简介.51.5.R

2、ADIUS和 TACACS+实现的区别.71.5.1.RADIUS使用 UDP而 TACACS+使用 TCP.71.5.2. 加密方式 .7二、OLT上的 AAA功能特点.8三、AAA 认证命令行配置.83.1.AAA 配置 .83.2.配置 ISP域 .93.3.配置 RADIUS协议 .103.4.配置 TACACS+协议.11四、AAA 认证 server 简介.124.1.安装环境介绍：.124.2.安装和简要配置.12五、配置案例 .135.1.Telnet 用户通过 RADIUS效劳器认证的应用配置 .135.2.Telnet 用户通过 TACACS+效劳器认证的应用配置 .155

3、.3.Telnet 用户通过双效劳器实现主备冗余的radius认证 .17专业资料整理WORD格式格林伟迪科技2/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍一、相关知识点介绍1.1. AAA 简介AAA是 Authentication，Authorization and Accounting认证、授权和计费的简称，它提供了一个对认证、授权和计费这三种平安功能进展配置的一致性框架 ，实际上是对网络平安的一种管理。这里的网络平安主要是指访问控制，包括：哪些用户可以访问网络效劳器；具有访问权的用户可以得到哪些效劳；如何对正在使用网络资源的用户进展计费。针对以上问题，AAA必须提供认

4、证功能、授权功能和计费功能。1.1.1.认证功能AAA 支持以下认证方式： 不认证：对用户非常信任，不对其进展合法检查。一般情况下不采用这种方式。 本地认证：将用户信息包括本地用户的用户名、密码和各种属性配置在设备上。本地认证的优点是速度快，可以降低运营本钱；缺点是存储信息量受设备硬件条件限制。远端认证：支持通过 RADIUS 协议或 TACACS+协议进展远端认证，设备作为客户端，与 RADIUS 效劳器或 TACACS+效劳器通信。对于 RADIUS 协议，可以采用标准或扩展的 RADIUS 协议。1.1.2.授权功能AAA 支持以下授权方式： 直接授权：对用户非常信任，直接授权通过。 本

5、地授权：根据设备上为本地用户*配置的相关属性进展授权。 RADIUS 认证成功后授权： RADIUS 协议的认证和授权是绑定在一起的，不能单独使用 RADIUS 进展授权。 TACACS+ 授权：由 TACACS+效劳器对用户进展授权。1.1.3.计费功能AAA 支持以下计费方式：不计费：不对用户计费。远端计费：支持通过RADIUS 效劳器或 TACACS+效劳器进展远端计费。专业资料整理WORD格式格林伟迪科技3/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍AAA 一般采用客户端 / 效劳器构造：客户端运行于被管理的资源侧，效劳器上集中存放用户信息。 因此， AAA 框架具有

6、良好的可扩展性， 并且容易实现用户信息的集中管理。1.2. ISP Domain简介ISP 域即 ISP 用户群，一个 ISP 域是由属于同一个ISP 的用户构成的用户群。在“ useridisp-name形式的用户名中，“ 后的“ isp-name 即为 ISP域的域名。接入设备将“userid 作为用于身份认证的用户名，将“isp-name 作为域名。在多ISP的应用环境中，同一个接入设备接入的有可能是不同ISP 的用户。由于各 ISP用户的用户属性例如用户名及密码构成、效劳类型/权限等有可能各不一样，因此有必要通过设置ISP 域的方法把它们区别开。在 ISP 域视图下，可以为每个ISP

7、域配置包括使用的AAA策略使用的 RADIUS方案等在内的一整套单独的ISP域属性。1.3. Radius协议简介RADIUS Remote Authentication Dial-In User Service，远程认证拨号用户效劳是一种分布式的、客户端/效劳器构造的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高平安性、又要求维持远程用户访问的各种网络环境中。1.3.1. RADIUS效劳的 3个局部协议： RFC 2865和 RFC 2866基于 UDP/IP层定义了 RADIUS帧格式及其消息传输机制，并定义了1812作为认证端口，1813作为计费端口。效劳器： RA

8、DIUS效劳器运行在中心计算机或工作站上，包含了相关的用户认证和网络效劳访问信息。客户端：位于拨号访问效劳器设备侧，可以遍布整个网络。1.3.2. RADIUS的根本消息交互流程RADIUS 客户端交换机和RADIUS 效劳器之间通过共享密钥来认证交互的消息，增强了平安性。RADIUS 协议合并了认证和授权过程，即响应报文中携带了授权信息。用户、交换机、RADIUS 效劳器之间的交互流程如以下图所示。专业资料整理WORD格式格林伟迪科技4/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍1.4. TACACS+协议简介在计算机网络中，TACACS+(Terminal Access

9、Controller Access-Control SystemPlus) 是一种为路由器、网络访问效劳器和其他互联计算设备通过一个或多个集中的效劳器提供访问控制的协议。TACACS+提供了独立的认证、授权和记账效劳。尽管 RADIUS在用户配置文件中集成了认证和授权，TACACS+别离了这两种操作，另外的不同在于 TACACS+使用传输控制协议(TCP) 而RADIUS使用用户报文协议(UDP). 多数管理员建议使用 TACACS+，因为 TCP被认为是更可靠的协议。TACACS+协议的扩展为最初的协议标准提供了更多的认证请求类型和更多的响应代码。TACACS+使用 TCP端口 49，包括三

10、种独立的协议，如果需要，能够在独立的效劳器上实现。TACACS+效劳器的典型部署场景如以下图：专业资料整理WORD格式格林伟迪科技5/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍专业资料整理WORD格式TACACS+认证因为是基于tcp 的认证，其报文交互性要*时，其具体过程如以下图所示。专业资料整理WORD格式格林伟迪科技6/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍1.5. RADIUS和TACACS+实现的区别1.5.1.RADIUS使用 UDP而 TACACS+使用 TCPTCP提供比 UDP更多的高级特性，TCP是面向连接的可靠传输效劳，但 UDP只

11、提供最优的传输，因而RADIUS需要额外的代码来实现例如重传、超时等机制，所有这些在TCP中已是固有的特性。1.5.2.加密方式RADIUS仅对密码本身进展加密，对报文的其他局部并未加密是明文传输的。这些信息可能通过第三方软件捕获。TACACS+对整个数据包进展加密，仅留下TACACS+的数据包头，在数据*中有一个标识位表示该数据包是加密的还是未加密的，未加密的数据包做调试用，而一般应用中的那么是加密的，因而TACACS+对整个数据包加密保证了客户端与服务器之间通信的平安性。专业资料整理WORD格式格林伟迪科技7/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍二、OLT上的 AA

12、A功能特点OLT上的 AAA 认证功能设计也是按照 AAA 框架配置、 域相关配置、 radius 效劳器相关配置、 tacacs+效劳器相关配置 4 个模块设计相关的功能、命令集。OLT开发 AAA 认证的主要目的是实现OLT 登录用户的集中管理，集中部署， 防止在每台 OLT上添加 / 删除用户带来麻烦。对此， OLT上的 AAA 认证功能和理论上的AAA 认证以及 OLT本地认证功能的差异进展了简单整理，主要如下：序号OLT本地认证我们 OLT上的 AAA认证实现的理论上的 AAA认证实功能现的功能局部支持1NO利用 radius认证实现网络管哪些用户可以访问网理员对 OLT登录操作的集

13、中管络效劳器理局部支持具有访问权的用户可2NO不同域没有区分效劳等级的作以得到哪些效劳用3NONO如何对正在使用网络资源的用户进展计费4启用远端认证后， 本地认证OLT超级管理员用户不受 AAA配置的用户名 / 密码将失效认证约束config只要通过 AAA认证的都是管理5login-authentication员权限，不再细分enable依然生效三、AAA认证命令行配置3.1. AAA 配置命令说明配置AAA 认证为本地认证或者远GFA6900(config)#config login-auth aaa_auth端认证；GFA6900(config)#config login-auth lo

14、cal缺省为本地认证， 本地认证时本地用户名 / 密码配置有效；GFA6900(config)#config aaa-authentication enable配置 AAA认证启用或者禁用；GFA6900(config)#config aaa-authentication disable缺省是禁用；专业资料整理WORD格式格林伟迪科技8/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍配置 AAA认证时 client端提交用GFA6900(config)#config login-aaa time <1-600>户名密码后等待时间；缺省时间是30 秒；3.2. 配置 I

15、SP域ISP 域即ISP 用户群，一个ISP 域属于同一个ISP 的用户构成。在“user_nameisp_name 形式的用户名中， “ 后的“ isp_name即为 ISP 域的域名，接入设备将“ user_name作为用户身份认证的用户名，将“isp_name作为域名。命令说明创立 / 删除一个 ISP 域；Default 域不能被删除；域名规那么：首字符只能为大小写字GFA6900(config)#create isp-domain <domain>母， domain 不能包含除“ a-z ,GFA6900(config)#delete isp-domain <dom

16、ain>“A-Z, “0-9 , “_,“. 以外的字符， domain的长度不能超过 20 个字节；GFA6900(config)#show isp-domain <domain>查看当前存在的ISP 域；OLT上同时最多可以包含5个ISPGFA6900(config)#show isp-domain域包含缺省的default域GFA6900(config)#configisp-domaindefaultusername配置用户输入时是否要输入带域名的用户名；complete缺省是 complete ，要输入的；GFA6900(config)#configisp-domai

17、ndefaultusername不带域名的用户名系统认为是incompletedefault 域的用户；GFA6900(config)#configisp-domaindefaultaaa-protocol配置在 default域中使用 radiusradius协议或者使用tacacs 协议；GFA6900(config)#configisp-domaindefaultaaa-protocol在所有域中缺省使用radius 协tacacs议；配置在 default域中认证模式是independent或者primary-backup；GFA6900(config)#config isp-doma

18、in default authenticationIndependent ：只有第一个效劳器mode independent有效；GFA6900(config)#config isp-domain default authenticationPrimary-backup：主备模式认证，mode primary-backup当地一个 primary的效劳器不响应时会向 backup 的效劳器发起请求；默认是 independent方式的认证；专业资料整理WORD格式格林伟迪科技9/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍将配置好的radius server 0在GFA6900

19、(config)#config isp-domain default authenticationdefault 域中启用；add-server id 0从 default域 中 删 除 radisuGFA6900(config)#config isp-domain default authenticationserver 0 ；delete-server id 0添加 server时先添加 id 小的，删除 server 时先删除 id 大的；将配置好的 tacacs+ server 0在GFA6900(config)#configisp-domaindefaultdefault 域中启用；

20、tacc-authentication add-server id 0从 default域 中 删 除 tacacs+GFA6900(config)#configisp-domaindefaultserver 0 ；tacc-authentication delete-server id 0添加 server时先添加 id 小的，删除 server 时先删除 id 大的；GFA6900(config)#config isp-domain default authentication手工设置在default 域中 id为 0config-server id 0 type primary的效劳器为

21、主效劳器；GFA6900(config)#configisp-domaindefault缺省情况下被添加的第一个tacc-authenticate config-server-id 0 type primaryserver 为主效劳器；3.3. 配置 RADIUS协议命令说明启用 / 禁用 radius 协议；GFA6900(config)#radius authentication enable默认是禁用；GFA6900(config)#radius authentication disable这里的设置是全局生效， 影响所有的域；Server id：添加效劳器的编号，X围是 0 4，先从小

22、的 id 开场用；GFA6900(config)#radiusauthenticationadd-server id 0Server-ip ：指定 radius serverserver-ip 192.168.2.244 client-ip 192.168.2.130 udp-port的 ip 地址；1234Client-ip： OLT的 ip 地址；Udp-port： radiusserver 使用的认证端口号，默认是1812；删除 id为 0 的 radius server服GFA6900(config)#radius authentication delete-server id 0务器

23、；删除时应该按照 id从大到小的顺序来；GFA6900(config)#radiusauthenticationserver-switch配置 radius server切换开关翻开/ 关闭；enable默认是关闭；GFA6900(config)#radiusauthenticationserver-switchRadius server 切换开关也是全局disable生效，配置后会影响所有域；GFA6900(config)#radius authentication config-server id 0配置 id为 0 的 radius server的状态是 active 的；status

24、active缺省情况下新加的效劳器都是专业资料整理WORD格式格林伟迪科技10/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍active的；本命令主要是在特定情况下人工干预状态使用；配置和id 为 0 的 radius serverGFA6900(config)#radius authentication config-server id 0通信时的共享密钥是greenway1 ；缺省的共享密钥是greenway ；shared-secret greenwayClient 和 server 正常通行的前提是共享密钥必须一致！GFA6900(config)#radius auth

25、entication config-server id 0配置 radius协议的重传间隔 / 重max-retransmit-count 5传次数分别是5；GFA6900(config)#radius authentication config-server id 0缺省配置时重传间隔/ 次数都是retransmit-interval 53；3.4.配置 TACACS+协议命令说明启用 / 禁用 tacacs+ 协议；GFA6900(config)#tacc authentication enable默认是禁用；GFA6900(config)#tacc authentication disa

26、ble这里的设置是全局生效， 影响所有的域；Server id：添加效劳器的编号，X围是 0 4，先从小的 id 开场用；Server-ip：指定 tacacs+ serverGFA6900(config)#taccauthenticationadd-serverid0的 ip 地址；Client-ip： OLT的 ip 地址；server-ip 192.168.2.244 client-ip192.168.2.130 share-keyShare-key：共享密钥缺省是greenway1greenway ，OLT和 tacacs+ server端配置一致；认证端口：默认的 tacacs+ s

27、erver认证端口使用tcp 49 ；删除 id 为 0 的 tacacs+ serverGFA6900(config)#tacc authentication delete-server id 0效劳器；删除时应该按照id从大到小的顺序来；配置 tacacs+ server切换开关打GFA6900(config)#tacc authentication server-switch enable开/ 关闭；默认是关闭；GFA6900(config)#taccauthenticationserver-switchdisableTacacs+ server切换开关也是全局生效，配置后会影响所有域；

28、GFA6900(config)#taccauthenticationconfig-serverid0配置 id 为 0 的 radius server的status active状态是 active的；GFA6900(config)#taccauthenticationconfig-serverid0缺省情况下新加的效劳器都是status inactiveactive 的；专业资料整理WORD格式格林伟迪科技11/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍本命令主要是在特定情况下人工干预状态使用；配置和 id 为 0 的 tacacs+ serverGFA6900(confi

29、g)#taccauthenticationconfig-server通信时的共享密钥是greenway1 ；id 0greenway ；share-key greenway1缺省的共享密钥是Client 和 server 正常通行的前提是共享密钥必须一致！配置 tacacs+ 协议的重传间隔 / 重GFA6900(config)#config tacc re-transmit period 5传次数分别是 5；GFA6900(config)#config tacc re-transmit max-num 5缺省配置时重传间隔/ 次数都是3；四、AAA认证 server 简介AAA 认证 ser

30、ver 也有多种软件，这里只推荐一种适合在现网部署的效劳器软件-Cisco Secure ACS v4.2，该软件的功能比较强大、稳定，我们只需简单配置就能满足我们使用的需求。4.1. 安装环境介绍：Windows 2003 server sp1 版本局部 windows 2000server 版也可以，推荐2003 1G 以上内存1.8 GHz 或更高 CPUNTFS文件系统已经安装Java虚拟接 -1_5_0-windows-i586.exe更多本卷须知请参考文档安装手册，这里只列举了特别需要注意的工程。4.2. 安装和简要配置ACS 的安装步骤只需要在具备以上环境的工作站上一路点“nex

31、t 直至安装完毕，所以详细的步骤这里不再介绍。ACS 安装完成后会在桌面上自动生成一个“ACS admin 的管理页面，单击该管理页面进展ACS的配置。注：这一步骤中如果 ACS的管理页面无法翻开， 请在 IE属性 >平安 菜单里将这个页面设置为受信任的站点即可；ACS页面翻开后的菜单如以下图，标红的局部是必须要做初始配置的3 个选项卡，我们只做普通的认证效劳器来用的话，这三个菜单里的配置就够，不涉及其他菜单专业资料整理WORD格式格林伟迪科技12/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍配置。User Setup：在该菜单里完成用户名/ 密码的添加、修改；Netwo

32、rk Configuration ：在该菜单里完成客户端的设置，共享密钥的设置；Adminstration Control ：在该菜单里设置ACS server的超级管理员， 用于远程登录，添加、修改server 上的各个配置信息；这里对 ACS的各个子菜单不做详细介绍，单进去后看各个菜单的提示设置就可以的。对于 ACS详细的安装、配置专门有一个文档，讲的很详细，有兴趣请参看“ ACS安装 &配置手册 .doc，已经放到共享效劳器上。五、配置案例以下提供 3 个分别通过radius 和 tacacs+实现的具体配置案例，5.1. Telnet 用户通过RADIUS效劳器认证的应用配置该

33、案例是按照在default 域中实现 radius 认证的配置。步骤命令说明配置AAA 认证使步骤 1GFA6900(config)#config login-authentication enable能专业资料整理WORD格式格林伟迪科技13/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍配置 AAA 认证模步骤 2GFA6900(config)#config login-auth aaa_auth式是远端认证模式步骤 3GFA6900(config)#radius authentication enable配置 radius认证功能使能配 置radiusserver、 rad

34、iusclient ip地址；步骤 4GFA6900(config)#radius authentication add-server id 0 server-ip本步骤中忽略配192.168.2.244 client-ip 192.168.2.130置 udp port即使用 1812 默认端口，要确保 server端使用该端口；配 置 client和server通信时的步骤 5GFA6900(config)#radius authentication config-server id 0共享密钥；shared-secret greenway1Server端要保证和 client配置一直才能

35、验证成功；GFA6900(config)#config isp-domain default authentication在 default域中步骤 6启用 server id 0add-server id 0的配置项；步骤 7GFA6900(config)#config isp-domain default aaa-protocol radius在 default域中启用 radius认证GFA6900(config)#show radiusRADIUS AUTH: EnableIDSTATE SERVER-IP SERVER-PORT CLIENT-IPSECRET- -查看 radisu相关步骤 8-配置0ACTIVE192.168.2.2441812192.168.2.130 greenway1IDRETRANSMIT-INTERVALMAX-RETRANSMIT-COUNT- - -033GFA6900(config)#GFA6900(config)#show isp-domain default查看 defaut域相步骤 9=关配置专业资料整理WORD格式格林伟迪科技14/19专业资料整理WORD格式格林伟迪科技AAA 认证功能介绍Dom