网络安全接入技术.ppt

1、第3章 网络安全接入技术,华为3Com网络学院第六学期,ISSUE 1.0,2,课程目标,掌握AAA原理与基本配置 掌握RADIUS协议原理与基本配置 掌握HWTACACS协议原理与基本配置 学会分析处理基本的AAA、RADIUS、 HWTACACS故障问题,学习完本课程，您应该能够：,3,课程内容,第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTACACS基本配置 第七节：配置举例及故障分析,4,AAA概述,验证（Authentication） 授权（Authorization） 计费（A

2、ccounting）,AAA 服务器,本地实现AAA,使用服务器实现AAA,5,AAA的认证功能,AAA 服务器,本地认证,远端认证,6,AAA的授权功能,RADIUS 服务器,本地授权,远端授权,7,AAA的计费功能,远端计费,RADIUS 服务器/TACACS服务器,8,课程内容,第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTACACS基本配置 第七节：配置举例及故障分析,9,RADIUS概述,RADIUS（Remote Authentication Dial-in User Serv

3、ice）是当前流行的安全服务器协议。 实现AAA（授权Authorization、验证Authentication和计费Accounting）功能。 RADIUS使用UDP作为传输协议，具有良好的实时性，同时也支持重传机制和备用服务器机制，从而有较好的可靠性。,10,RADIUS 服务器组成,RADIUS服务器,users,clients,Dictionary,11,RADIUS 服务器实现AAA流程,用户上网,验证请求,验证授权通过,授权并允许用户上网,RADIUS服务器,12,RADIUS结构及基本原理,RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作

4、为传输协议。,用户 server/client 服务器,NAS,路由器或NAS 上运行的AAA程序对用户来讲为服务器端，对RADIUS服务器来讲是作为客户端，当用户上网时，路由器决定对用户采用哪种验证方法。下面介绍两种用户与路由器之间（本地验证、远端验证）的验证方法CHAP和PAP。,13,本地认证PAP,本地（NAS）验证PAP方式： PAP（Password Authentication Protocol）是密码验证协议的简称，是认证协议的一种。 用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未

5、通过。,我查. 我验,Username Password,用户 NAS,（PPP） （Radius Client）,验证结果,14,本地认证CHAP（1）,本地（NAS）验证CHAP方式： CHAP（Challenge Handshake Authentication Protocol）是查询握手验证协议的简称，是我们使用的另一种认证协议。,Secret Password = MD5（Chap ID + Password + challenge）,我查. 我算 我验,用户 NAS,（PPP） （Radius Client）,验证结果,CHAP ID、Username、Secret passwo

6、rd,Challenge、主机名、CHAP ID,15,本地认证CHAP（2）,Secret Password = MD5（Chap ID + Password + challenge）,当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个ID号，本地服务器的 host name）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Secret Password作比较，

7、如果相同表明验证通过，如果不相同表明验证失败。,16,远端认证PAP,远端（Radius）验证PAP方式：,Secret password =Password XOR MD5（Challenge Key） (Challenge就是Radius报文中的Authenticator),我查. 我算 我验,用户 NAS,（PPP） （Radius Client）,验证结果,Challenge Username、Secret、Password,验证结果,Username、Password,Key,Key,Radius Server,17,远端认证CHAP,远端（Radius）验证CHAP方式：,Secr

8、et password = MD5（Chap ID + Password + challenge）,我查. 我算 我验,用户 NAS,（PPP） （Radius Client）,验证结果、授权,CHAP ID、Username、Secret password,Username、Secret、Password、 Challenge、CHAP ID,验证结果、授权,Radius Server,Challenge、主机名、CHAP ID,18,Radius协议在协议栈中的位置,Radius是一种流行的AAA协议，同时其采用的是UDP协议传输模式，AAA协议在协议栈中位置如下：,Radius协议,19

9、,Radius协议包结构,Attributes:属性,20,Radius协议包各个域解释,各个域的解释： 1、Code：包类型；1字节；指示RADIUS包的类型。 2、Identifier：包标识；1字节；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。 3、Length：包长度；2字节；整个包的长度。 4、Authenticator：验证字；16字节；用于对包进行签名。,21,Radius协议包：code域,1）Code：包的类型 包类型占1个字节，定义如下： 1 Access-Request请求认证过程 2 Access-Accept认证响应过程 3 Access

10、-Reject认证拒绝过程 4 Accounting-Request请求计费过程 5 Accounting-Response计费响应过程,22,Radius协议包：Identifier域,2）Identifier：包标识 包标识，用以匹配请求包和响应包。 该字段的取值范围为0255； 协议规定： 1、在任何时间，发给同一个RADIUS服务器的不同包的 Identifier域不能相同，如果出现相同的情况，RADIUS将认为后一个包是前一个包的拷贝而不对其进行处理。 2、Radius针对某个请求包的响应包应与该请求包在Identifier上相匹配（相同）。,23,Radius协议包：Length域

11、,3）Length：包长度 整个包长度,包括 Code，Identifier，Length，Authenticator，Attributes域的长度。,24,Radius协议包：Authenticator域,4）Authenticator：验证字 该验证字分为两种： 1、请求验证字Request Authenticator 用在请求报文中，必须为全局唯一的随机值。 2、响应验证字Response Authenticator 用在响应报文中，用于鉴别响应报文的合法性。 响应验证字MD5(Code+ID+Length+请求验证字+Attributes+Key),25,Radius协议包：Authe

12、nticator域,5）Attributes：属性,Attribute(1)属性,长度为10字节,b e n l a d e n,26,Radius协议属性,1.User-Name 该属性指定了要进行认证的用户名,27,Radius协议属性,2.User-Password 该属性指定了要认证的用户的口令，用户口令加密后存放在该属性中,28,Radius协议属性,3.NAS-IP-Address 该属性指明了发起认证请求的设备的IP 地址,29,Radius协议属性,4. Vendor-Specific 该属性用于携带各厂商自己扩展的属性,30,Radius协议属性,5. Session-Tim

13、eout 该属性指明允许用户使用的最大时长,31,Radius协议属性,6.Acct-Status-Type 该属性指明计费报文的类型 该属性出现在计费报文中不同的取值标志出不同的意义 1 -表示计费开始报文 2 -表示计费结束报文 3 -表示计费更新报文 7 -表示Accounting-On 报文,32,Radius协议属性 （一）,属性值属性名称 意义 1 User-Name 用户名 2 User-Password 用户密码 3 Chap-Password Chap认证方式中的用户密码 4 Nas-IP-Address Nas的ip地址 5 Nas-Port 用户接入端口号 6 Servi

14、ce-Type 服务类型 7 Framed-Protocol 协议类型 8 Framed-IP-Address 为用户提供的IP地址 9 Framed-IP-NetMask 地址掩码 10 Framed-Routing 为路由器用户设置的路由方式 11 Filter-Id 过滤表的名称 12 Framed-MTU 为用户配置的最大传输单元,认证报文的常用属性（1）：,33,Radius协议属性 （二）,属性值 属性名称 意义 13 Framed-Compression 该连接使用压缩协议 14 Login-IP-Host 对login用户提供的可连接主机的ip地址 15 Login-Servi

15、ce 对login用户可提供的服务 16 Login-TCP-Port TCP服务端口 18 Reply-Message 认证服务器返回用户的信息 24 State 认证服务器发送challenge包时传送的需在接 下来的认证报文中回应的字符串（与Acess- Challenge相关的属性） Class 认证通过时认证服务器返回的字符串信息， 要求在该用户的计费报文中送给计费服务器,认证报文的常用属性（2）：,34,Radius协议属性 （三）,属性值 属性名称 意义 26 Vendor-Specific 可扩展属性 Session-Timeout 在认证通过报文或Challenge报文中，通

16、知 NAS该用户可用的会话时长 （时长预付费） 28 Idle-Timeout 允许用户空闲在线的最大时长 32 NAS-Identifier 标识NAS的字符串 Proxy-State NAS通过代理服务器转发认证报文时服务 器添加在报文中的属性 60 Chap-Challenge可以代替认证字字段传送challenge的属性 61 Nas-Port-Type 接入端口的类型 62 Port-Limit服务器限制NAS为用户开放的端口数,认证报文的常用属性（3）：,35,Radius协议属性 （四）,属性值 属性名称 意义 40 Acct-Status-Type 计费请求报文的类型 41 A

17、cct-Delay-Time Radius客户端发送计费报文耗费的时间 42 Acct-Input-Octets 输入字节数 43 Acct-Output-Octets 输出字节数 44 Acct-Session-Id 计费会话标识 45 Acct-Authentic 在计费包中标识用户认证通过的方式 46 Acct-Session-Time 用户在线时长 47 Acct-Input-Packets 输入包数 48 Acct-Output-Packets 输出包数 49 Acct-Terminate-Case 用户下线原因 50 Acct-Multi_Session-Id 相关计费会话标识 5

18、1 Acct-Link-Count 生成计费记录时多连接会话的会话个数,认证报文的常用属性（4）：,36,RADIUS协议总结,37,Radius+简介,38,课程内容,第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTACACS基本配置 第七节：配置举例及故障分析,39,HWTACACS 概述,HWTACACS安全协议是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。 该协议与RADIUS协议类似，主要是通过Server-Client模式与TACACS服务器通信来实现多种

19、用户的AAA功能。 用于PPP和VPDN接入用户及login用户的认证、授权和计费。,40,HWTACACS协议和RADIUS协议区别,41,HWTACACS 组网应用,拨号用户,终端用户,HWTACACS客户端,TACACS服务器,TACACS服务器,42,HWTACACS 服务器实现AAA流程,用户登录,认证开始报文,认证回应报文，请求用户名,向用户申请用户名,HWTACACS客户端,HWTACACS 服务器,用户,43,课程内容,第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTACAC

20、S基本配置 第七节：配置举例及故障分析,44,AAA基本配置,创建ISP域并配置相关属性 创建ISP域 配置用户使用的AAA方案 配置ISP域的状态 配置可接入用户数量的最大值 配置计费可选开关 定义本地地址池并为PPP用户分配IP地址 创建本地用户并配置相关属性（仅用于本地认证） 创建本地用户并配置相关属性（仅用于本地认证）,45,创建ISP域并配置相关属性,创建ISP域,46,创建ISP域并配置相关属性,配置用户使用AAA方案,47,创建ISP域并配置相关属性,48,创建ISP域并配置相关属性,配置ISP域的状态,49,创建ISP域并配置相关属性,配置可接入用户数量的最大值,50,创建IS

21、P域并配置相关属性,配置计费可选开关,51,创建ISP域并配置相关属性,定义地址池并为PPP用户分配IP地址,52,创建本地用户并配置相关属性,创建本地用户,53,创建本地用户并配置相关属性,设置本地用户属性,54,创建本地用户并配置相关属性,设置本地用户属性(续),55,创建本地用户并配置相关属性,设置本地用户属性(续),56,创建本地用户并配置相关属性,设置本地用户属性(续),57,AAA基本配置,AAA协议的显示与调试,58,课程内容,第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTA

22、CACS基本配置 第七节：配置举例及故障分析,59,RADIUS基本配置,RADIUS协议的配置包括： 创建RADIUS方案 设置RADIUS认证/授权服务器 设置RADIUS计费服务器及相关属性 设置RADIUS报文的共享密钥 设置RADIUS请求报文的最大传送次数 设置支持的RADIUS服务器的类型 设置RADIUS服务器的状态 设置发送给RADIUS服务器的用户名格式 设置发送给RADIUS服务器的数据流的单位 配置NAS发送RADIUS报文使用的源地址 配置RADIUS服务器的定时器 使能RADIUS 服务器状态变为down时发送trap报文的功能,60,RADIUS基本配置,创建RA

23、DIUs方案,61,RADIUS基本配置,配置RADIUS授权/认证服务器,62,RADIUS基本配置,配置RADIUS计费服务器,63,RADIUS基本配置,使能停止计费报文缓存及重传功能,64,RADIUS基本配置,设置允许实时计费请求无响应的最大次数,65,RADIUS基本配置,设置RADIUS报文的共享密钥,66,RADIUS基本配置,设置RADIUS请求报文的最大传送次数,缺省情况下，RADIUS请求报文的最大传送次数为3次。,67,RADIUS基本配置,设备重启用户再认证功能配置过程,68,RADIUS基本配置,设置支持的RADIUS服务器的类型,69,RADIUS基本配置,设置R

24、ADIUS服务器的状态,70,RADIUS基本配置,设置发送给RADIUS服务器的用户名格式,71,RADIUS基本配置,设置发送给RADIUS服务器的数据流单位,72,RADIUS基本配置,配置NAS发送RADIUS报文使用的源地址,73,RADIUS基本配置,配置RADIUS服务器应答超时定时器,74,RADIUS基本配置,配置RADIUS服务器的主服务器恢复激活状态时间,75,RADIUS基本配置,配置RADIUS服务器实时计费时间,76,实时计费时间间隔与用户量之间的推荐比例关系,RADIUS基本配置-定时器基本配置,77,RADIUS基本配置,使能RADIUS服务器状态变为down时

25、发送trap报文的功能,78,RADIUS基本配置,配置本地RADIUS认证服务器,79,RADIUS基本配置,RADIUS协议的显示与调试,80,RADIUS基本配置,RADIUS协议的显示与调试(续),81,课程内容,第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTACACS基本配置 第七节：配置举例及故障分析,82,HWTACACS基本配置,HWTACACS的配置包括： 创建HWTACACS方案 配置TACACS认证服务器 配置TACACS授权服务器 配置TACACS计费功能 配置TA

26、CACS服务器的密钥 配置TACACS服务器的用户名格式 配置TACACS服务器的流量单位 配置NAS发送HWTACACS报文使用的源地址 配置TACACS服务器的定时器,83,HWTACACS基本配置,创建HWTACACS方案,84,HWTACACS认证服务器基本配置,配置HWTACACS认证服务器,85,HWTACACS授权服务器基本配置,配置HWTACACS授权服务器,86,HWTACACS计费服务器基本配置,配置HWTACACS计费服务器,87,HWTACACS计费服务器基本配置,使能停止计费报文的重传功能,88,HWTACACS基本配置,配置NAS发送HWTACACS报文使用的源地址

27、,89,HWTACACS基本配置,配置HWTACACS服务器密钥,90,HWTACACS基本配置,配置HWTACACS服务器的用户名格式,91,HWTACACS基本配置,配置HWTACACS服务器的流量单位,92,HWTACACS服务器定时器基本配置,配置HWTACACS服务器的应答超时时间,缺省情况下，应答超时时间为5秒。,93,HWTACACS服务器定时器基本配置,配置HWTACACS服务器的主服务器恢复激活状态时间,94,HWTACACS服务器定时器基本配置,配置实时计费时间间隔,95,HWTACACS服务器定时器基本配置,实时计费时间间隔与用户量之间的推荐比例关系,96,HWTACAC

28、S基本配置,配置在线用户主动修改当前密码,97,HWTACACS基本配置,HWTACACS协议的显示与调试,98,HWTACACS基本配置,HWTACACS协议的显示与调试(续),99,课程内容,第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节HWTACACS基本配置 第七节：配置举例及故障分析,100,配置举例,AAA及RADIUS/HWTACACS协议典型配置举例 例1：Telnet/SSH用户通过RADIUS服务器认证、计费的应用 例2：FTP/Telnet用户本地认证配置 例3：PPP用户通

29、过TACACS服务器认证、授权、计费的应用 例4：PPP用户认证、授权、计费分离方案典型配置举例 例5：Telnet用户通过TACACS+服务器认证（一次性认证）、计 费的应用,101,配置举例（一）,Telnet/SSH用户通过RADIUS服务器认证、计费的应用,配置Telnet用户的远端RADIUS认证,Authentication/Accounting servers (IP address:46),telnet user,102,配置举例（二）,FTP/Telnet用户本地认证配置,配置Telnet用户的本地认证,telnet user,103,配置举例（三）,P

30、PP用户通过TACACS服务器认证、授权、计费的应用,配置PPP用户的远端HWTACACS认证,Authentication/Authorization/ Accounting servers (IP address:46),e1/0/0: 60,S0/0/0: ,PPP user,intranet,104,配置举例（四）,PPP用户认证、授权、计费分离方案典型配置举例,PPP用户认证、授权、计费分离方案配置应用,RADIUS:45/16 TACACS:46/16,e1/0/0: 60,S0/0/0: ,PPP user,intranet,105,配置举例（五）,Telnet用户通过TACACS+服务器认证（一次性认证）、计 费的应用,配置Telnet用户的远端TACACS+认证,Authentication/Accounting servers (IP addr