AAA认证功能介绍参考模板

1、OLTAAA认证功能介绍VESION 1.02011年7月7日1 / 24AAA认证功能介绍1一、相关知识点介绍31.1. AAA简介31.1.1. 认证功能31.1.2. 授权功能31.1.3. 计费功能31.2. ISP Domain简介41.3. Radius协议简介41.3.1. RADIUS 服务的3个部分41.3.2. RADIUS 的基本消息交互流程41.4. TACACS+协议简介51.5. RADIUS和TACACS+实现的区别71.5.1.RADIUS使用UDP而TACACS+使用TCP71.5.2.加密方式7二、OLT上的AAA功能特点8三、AAA认证命令行配置83.1.

2、 AAA配置83.2. 配置ISP域93.3. 配置RADIUS协议103.4. 配置TACACS+协议11四、AAA认证server简介124.1. 安装环境介绍：124.2. 安装和简要配置12五、配置案例135.1. Telnet用户通过RADIUS服务器认证的应用配置135.2. Telnet用户通过TACACS+服务器认证的应用配置155.3. Telnet用户通过双服务器实现主备冗余的radius认证17一、 相关知识点介绍1.1. AAA简介 AAA 是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个对

3、认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。这里的网络安全主要是指访问控制，包括： 哪些用户可以访问网络服务器； 具有访问权的用户可以得到哪些服务； 如何对正在使用网络资源的用户进行计费。针对以上问题，AAA 必须提供认证功能、授权功能和计费功能。1.1.1. 认证功能AAA 支持以下认证方式： 不认证：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。 本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设备上。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设备硬件条件限制。 远端认证：支持通过 RADIUS 协议

4、或TACACS+ 协议进行远端认证，设备作为客户端，与RADIUS 服务器或TACACS+ 服务器通信。对于RADIUS 协议，可以采用标准或扩展的RADIUS 协议。1.1.2. 授权功能AAA 支持以下授权方式： 直接授权：对用户非常信任，直接授权通过。 本地授权：根据设备上为本地用户帐号配置的相关属性进行授权。 RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能单独使用RADIUS 进行授权。 TACACS+ 授权：由TACACS+ 服务器对用户进行授权。1.1.3. 计费功能AAA 支持以下计费方式： 不计费：不对用户计费。 远端计费：支持通过 RADIU

5、S 服务器或TACACS+ 服务器进行远端计费。AAA 一般采用客户端/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。因此，AAA 框架具有良好的可扩展性，并且容易实现用户信息的集中管理。1.2. ISP Domain简介ISP 域即ISP 用户群，一个ISP 域是由属于同一个ISP 的用户构成的用户群。在“useridisp-name”形式的用户名中，“”后的“isp-name”即为ISP 域的域名。接入设备将“userid”作为用于身份认证的用户名，将“isp-name”作为域名。在多 ISP 的应用环境中，同一个接入设备接入的有可能是不同ISP 的用户。由于各ISP

6、用户的用户属性（例如用户名及密码构成、服务类型/权限等）有可能各不相同，因此有必要通过设置ISP 域的方法把它们区别开。在 ISP 域视图下，可以为每个ISP 域配置包括使用的AAA 策略（使用的RADIUS方案等）在内的一整套单独的ISP 域属性。1.3. Radius协议简介 RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。 1.3.1. RADIUS 服务的3个部分

7、协议：RFC 2865 和RFC 2866 基于UDP/IP 层定义了RADIUS 帧格式及其消息传输机制，并定义了1812 作为认证端口，1813 作为计费端口。 服务器：RADIUS 服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。 客户端：位于拨号访问服务器设备侧，可以遍布整个网络。1.3.2. RADIUS 的基本消息交互流程RADIUS 客户端（交换机）和RADIUS 服务器之间通过共享密钥来认证交互的消息，增强了安全性。RADIUS 协议合并了认证和授权过程，即响应报文中携带了授权信息。用户、交换机、RADIUS 服务器之间的交互流程如下图所示。1.4.

8、TACACS+协议简介在计算机网络中，TACACS+ (Terminal Access Controller Access-Control System Plus)是一种为路由器、网络访问服务器和其他互联计算设备通过一个或多个集中的服务器提供访问控制的协议。TACACS+提供了独立的认证、授权和记账服务。尽管RADIUS在用户配置文件中集成了认证和授权，TACACS+分离了这两种操作，另外的不同在于TACACS+使用传输控制协议 (TCP)而RADIUS使用用户报文协议(UDP).多数管理员建议使用TACACS+，因为TCP被认为是更可靠的协议。TACACS+协议的扩展为最

9、初的协议规范提供了更多的认证请求类型和更多的响应代码。TACACS+ 使用TCP端口49，包括三种独立的协议，如果需要，能够在独立的服务器上实现。TACACS+服务器的典型部署场景如下图： TACACS+认证因为是基于tcp的认证，其报文交互性要求实时，其具体过程如下图所示。1.5. RADIUS和TACACS+实现的区别1.5.1.RADIUS使用UDP而TACACS+使用TCPTCP提供比UDP更多的高级特性，TCP是面向连接的可靠传输服务，但UDP只提供最优的传输，因而RADIUS需要额外的代码来实现例如重传、超时等机制，所有这些在TCP中已是固有的特性。1.5.2.加密方式RADIUS

10、仅对密码本身进行加密，对报文的其他部分并未加密是明文传输的。这些信息可能通过第三方软件捕获。TACACS+对整个数据包进行加密，仅留下TACACS+的数据包头，在数据包头中有一个标识位表示该数据包是加密的还是未加密的，未加密的数据包做调试用，而一般应用中的则是加密的，因而TACACS+对整个数据包加密保证了客户端与服务器之间通信的安全性。二、 OLT上的AAA功能特点OLT上的AAA认证功能设计也是按照AAA框架配置、域相关配置、radius服务器相关配置、tacacs+服务器相关配置4个模块设计相关的功能、命令集。OLT开发AAA认证的主要目的是实现OLT登录用户的集中管理，集中部署，避免在

11、每台OLT上添加/删除用户带来麻烦。对此，OLT上的AAA认证功能和理论上的AAA认证以及OLT本地认证功能的差别进行了简单整理，主要如下：序号OLT本地认证我们OLT上的AAA认证实现的功能理论上的AAA认证实现的功能1NO部分支持利用radius认证实现网络管理员对OLT登录操作的集中管理哪些用户可以访问网络服务器2NO部分支持不同域没有区分服务等级的作用具有访问权的用户可以得到哪些服务3NONO如何对正在使用网络资源的用户进行计费4启用远端认证后，本地认证配置的用户名/密码将失效OLT超级管理员用户不受AAA认证约束5config login-authentication enable

12、依然生效只要通过AAA认证的都是管理员权限，不再细分三、 AAA认证命令行配置3.1. AAA配置命令说明GFA6900(config)#config login-auth aaa_authGFA6900(config)#config login-auth local配置AAA认证为本地认证或者远端认证；缺省为本地认证，本地认证时本地用户名/密码配置有效；GFA6900(config)#config aaa-authentication enableGFA6900(config)#config aaa-authentication disable配置AAA认证启用或者禁用；缺省是禁用；GFA6

13、900(config)#config login-aaa time <1-600>配置AAA认证时client端提交用户名密码后等待时间；缺省时间是30秒；3.2. 配置ISP域ISP域即ISP用户群，一个ISP域属于同一个ISP的用户构成。在“user_nameisp_name”形式的用户名中，“”后的“isp_name”即为ISP域的域名，接入设备将“user_name”作为用户身份认证的用户名，将“isp_name”作为域名。命令说明GFA6900(config)#create isp-domain <domain>GFA6900(config)#delete i

14、sp-domain <domain>创建/删除一个ISP域；Default域不能被删除；域名规则：首字符只能为大小写字母，domain不能包含除“a-z”,“A-Z”,“0-9”,“_”,“.”以外的字符，domain的长度不能超过20个字节；GFA6900(config)#show isp-domain <domain>GFA6900(config)#show isp-domain查看当前存在的ISP域；OLT上同时最多可以包含5个ISP域（包含缺省的default域）GFA6900(config)#config isp-domain default username

15、 completeGFA6900(config)#config isp-domain default username incomplete配置用户输入时是否要输入带域名的用户名；缺省是complete，要输入的；不带域名的用户名系统认为是default域的用户；GFA6900(config)#config isp-domain default aaa-protocol radiusGFA6900(config)#config isp-domain default aaa-protocol tacacs配置在default域中使用radius协议或者使用tacacs协议；在所有域中缺省使用ra

16、dius协议；GFA6900(config)#config isp-domain default authentication mode independentGFA6900(config)#config isp-domain default authentication mode primary-backup配置在default域中认证模式是independent或者primary-backup；Independent：只有第一个服务器有效；Primary-backup：主备模式认证，当地一个primary的服务器不响应时会向backup的服务器发起请求；默认是independent方式的认

17、证；GFA6900(config)#config isp-domain default authentication add-server id 0GFA6900(config)#config isp-domain default authentication delete-server id 0将配置好的radius server 0在default域中启用；从default域中删除radisu server 0；添加server时先添加id小的，删除server时先删除id大的；GFA6900(config)#config isp-domain default tacc-authentic

18、ation add-server id 0GFA6900(config)#config isp-domain default tacc-authentication delete-server id 0将配置好的tacacs+ server 0在default域中启用；从default域中删除tacacs+ server 0；添加server时先添加id小的，删除server时先删除id大的；GFA6900(config)#config isp-domain default authentication config-server id 0 type primaryGFA6900(config

19、)#config isp-domain default tacc-authenticate config-server-id 0 type primary手工设置在default域中id为0的服务器为主服务器；缺省情况下被添加的第一个server为主服务器；3.3. 配置RADIUS协议命令说明GFA6900(config)#radius authentication enableGFA6900(config)#radius authentication disable启用/禁用radius协议；默认是禁用；这里的设置是全局生效，影响所有的域；GFA6900(config)#radius au

20、thentication add-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130 udp-port 1234Server id ：添加服务器的编号，范围是04，先从小的id开始用；Server-ip：指定radius server的ip地址；Client-ip：OLT的ip地址；Udp-port：radius server使用的认证端口号，默认是1812；GFA6900(config)#radius authentication delete-server id 0删除id为0的radius server服务器；删除时应该

21、按照id从大到小的顺序来；GFA6900(config)#radius authentication server-switch enableGFA6900(config)#radius authentication server-switch disable配置radius server切换开关打开/关闭；默认是关闭；Radius server切换开关也是全局生效，配置后会影响所有域；GFA6900(config)#radius authentication config-server id 0 status active配置id为0的radius server的状态是active的；缺省情

22、况下新加的服务器都是active的；本命令主要是在特定情况下人工干预状态使用；GFA6900(config)#radius authentication config-server id 0 shared-secret greenway配置和id为0的radius server通信时的共享密钥是greenway1；缺省的共享密钥是greenway；Client和server正常通行的前提是共享密钥必须一致！GFA6900(config)#radius authentication config-server id 0 max-retransmit-count 5GFA6900(config)#

23、radius authentication config-server id 0 retransmit-interval 5配置radius协议的重传间隔/重传次数分别是5；缺省配置时重传间隔/次数都是3；3.4. 配置TACACS+协议命令说明GFA6900(config)#tacc authentication enableGFA6900(config)#tacc authentication disable启用/禁用tacacs+协议；默认是禁用；这里的设置是全局生效，影响所有的域；GFA6900(config)#tacc authentication add-server id 0 s

24、erver-ip 192.168.2.244 client-ip 192.168.2.130 share-key greenway1Server id ：添加服务器的编号，范围是04，先从小的id开始用；Server-ip：指定tacacs+ server的ip地址；Client-ip：OLT的ip地址；Share-key：共享密钥缺省是greenway，OLT和tacacs+ server端配置一致；认证端口：默认的tacacs+ server认证端口使用tcp 49；GFA6900(config)#tacc authentication delete-server id 0删除id为0的t

25、acacs+ server服务器；删除时应该按照id从大到小的顺序来；GFA6900(config)#tacc authentication server-switch enableGFA6900(config)#tacc authentication server-switch disable配置tacacs+ server切换开关打开/关闭；默认是关闭；Tacacs+ server切换开关也是全局生效，配置后会影响所有域；GFA6900(config)#tacc authentication config-server id 0 status activeGFA6900(config)#t

26、acc authentication config-server id 0 status inactive配置id为0的radius server的状态是active的；缺省情况下新加的服务器都是active的；本命令主要是在特定情况下人工干预状态使用；GFA6900(config)#tacc authentication config-server id 0 share-key greenway1配置和id为0的tacacs+ server通信时的共享密钥是greenway1；缺省的共享密钥是greenway；Client和server正常通行的前提是共享密钥必须一致！GFA6900(con

27、fig)#config tacc re-transmit period 5GFA6900(config)#config tacc re-transmit max-num 5配置tacacs+协议的重传间隔/重传次数分别是5；缺省配置时重传间隔/次数都是3；四、 AAA认证server简介AAA认证server也有多种软件，这里只推荐一种适合在现网部署的服务器软件-Cisco Secure ACS v4.2，该软件的功能比较强大、稳定，我们只需简单配置就能满足我们使用的需求。4.1. 安装环境介绍：Windows 2003 server sp1版本（部分windows 2000server版也可

28、以，推荐2003）1G以上内存1.8 GHz或更高CPUNTFS文件系统已经安装Java虚拟接-1_5_0-windows-i586.exe更多注意事项请参考文档安装手册，这里只列举了特别需要注意的项目。4.2. 安装和简要配置 ACS的安装步骤只需要在具备以上环境的工作站上一路点“next”直至安装完毕，所以详细的步骤这里不再介绍。 ACS安装完成后会在桌面上自动生成一个“ACS admin”的管理页面，单击该管理页面进行ACS的配置。 注：这一步骤中如果ACS的管理页面无法打开，请在IEà属性>安全 菜单里将这个页面设置为受信任的站点即可； ACS页面打开后的菜单如下图，标

29、红的部分是必须要做初始配置的3个选项卡，我们只做普通的认证服务器来用的话，这三个菜单里的配置就够，不涉及其他菜单配置。User Setup：在该菜单里完成用户名/密码的添加、修改；Network Configuration：在该菜单里完成客户端的设置，共享密钥的设置；Adminstration Control：在该菜单里设置ACS server的超级管理员，用于远程登录，添加、修改server上的各个配置信息； 这里对ACS的各个子菜单不做详细介绍，单进去后看各个菜单的提示设置就可以的。 对于ACS详细的安装、配置专门有一个文档，讲的很详细，有兴趣请参看“ACS安装&配置手册.doc”

30、，已经放到共享服务器上。五、 配置案例以下提供3个分别通过radius和tacacs+实现的具体配置案例，5.1. Telnet用户通过RADIUS服务器认证的应用配置该案例是按照在default域中实现radius认证的配置。步骤命令说明步骤1GFA6900(config)#config login-authentication enable配置AAA认证使能步骤2GFA6900(config)#config login-auth aaa_auth配置AAA认证模式是远端认证模式步骤3GFA6900(config)#radius authentication enable配置radius认证

31、功能使能步骤4GFA6900(config)#radius authentication add-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130配置radius server 、radius client ip地址；本步骤中忽略配置udp port即使用1812默认端口，要确保server端使用该端口；步骤5GFA6900(config)#radius authentication config-server id 0 shared-secret greenway1配置client和server通信时的共享密钥；Serve

32、r端要保证和client配置一直才能验证成功；步骤6GFA6900(config)#config isp-domain default authentication add-server id 0在default域中启用server id 0的配置项；步骤7GFA6900(config)#config isp-domain default aaa-protocol radius在default域中启用radius认证步骤8GFA6900(config)#show radiusRADIUS AUTH: Enable查看radisu相关配置ID STATE SERVER-IP SERVER-POR

33、T CLIENT-IP SECRET- - - - - -0 ACTIVE 192.168.2.244 1812 192.168.2.130 greenway1ID RETRANSMIT-INTERVAL MAX-RETRANSMIT-COUNT- - -0 3 3GFA6900(config)#步骤9GFA6900(config)#show isp-domain default=Domain Id : 0 AAA Protocol : RADIUSDomain Name : default Authenticate Mode : independentRadius Authenticatio

34、n: Enabled User Name : completeTacc+ Authentication: DisabledRadius Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT CLIENT-IP SECRET- - - - - - -0 PRIMARY ACTIVE 192.168.2.244 1812 192.168.2.130 greenway1TACACS+ Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT SECRET-GFA6900(config)#查看defau

35、t域相关配置5.2. Telnet用户通过TACACS+服务器认证的应用配置该案例是按照在default域中实现tacacs+认证的配置。步骤命令说明步骤1GFA6900(config)#config login-authentication enable配置AAA认证使能步骤2GFA6900(config)#config login-auth aaa_auth配置AAA认证模式是远端认证模式步骤3GFA6900(config)#tacc authentication enable配置tacacs+认证功能使能步骤4GFA6900(config)#tacc authentication add

36、-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130配置tacacs+ server 、tacacs+ client ip地址；步骤5GFA6900(config)#tacc authentication config-server id 0 shared-secret greenway1配置client和server通信时的共享密钥；Server端要保证和client配置一直才能验证成功；步骤6GFA6900(config)#config isp-domain default tacc-authentication add-

37、server id 0在default域中启用server id 0的配置项；步骤7GFA6900(config)#config isp-domain default aaa-protocol tacacs在default域中启用tacacs+认证步骤8GFA6900(config)#show tacc= TACC authentication enabled- id server-status server-ip client-ip tcp-port share-key- 0 Active 192.168.2.244 192.168.2.130 49 greenway1-查看tacacs+相

38、关配置TACC re-transmit configuration= max retransmit number: 3 retransmit period: 3(seconds)-GFA6900(config)#步骤9GFA6900(config)# show isp-domain default=Domain Id : 0 AAA Protocol : tacacsDomain Name : default Authenticate Mode : independentRadius Authentication: disabled User Name : completeTacc+ Auth

39、entication: EnabledRadius Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT CLIENT-IP SECRET- - - - - - -TACACS+ Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT SECRET-0 PRIMARY ACTIVE 192.168.2.244 49 greenway1GFA6900(config)#查看defaut域相关配置5.3. Telnet用户通过双服务器实现主备冗余的radius认证该案例是按照在default域中实现

40、主备冗余的radius认证。步骤命令说明步骤1GFA6900(config)#config login-authentication enable配置AAA认证使能步骤2GFA6900(config)#config login-auth aaa_auth配置AAA认证模式是远端认证模式步骤3GFA6900(config)#radius authentication enable配置radius认证功能使能步骤4GFA6900(config)#radius authentication add-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130GFA6900(config)#radius authentication add-server id 1 server-ip 192.168.2.99 client-ip 192.168.2.130配置tacacs+ server 、tacacs+ client ip地址；步骤5GFA6900(config)#radius authentication config-server id 0 shared-secret greenway1GFA6900(config)#radius a