AAA認證功能介紹

1、WORD格式格林偉迪科技AAA 認證功能介紹專業(yè)資料整理WORD格式OLTAAA 認證功能介紹VESION1.02021年7月7日專業(yè)資料整理WORD格式格林偉迪科技1/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹AAA 認證功能介紹.1一、相關知識點介紹 .31.1. AAA 簡介 .31.1.1.認證功能 .31.1.2.授權功能 .31.1.3.計費功能 .31.2.ISP Domain簡介 .41.3.Radius協(xié)議簡介 .41.3.1. RADIUS效勞的 3 個局部 .41.3.2. RADIUS的根本消息交互流程 .41.4.TACACS+協(xié)議簡介.51.5.R

2、ADIUS和 TACACS+實現(xiàn)的區(qū)別.71.5.1.RADIUS使用 UDP而 TACACS+使用 TCP.71.5.2. 加密方式 .7二、OLT上的 AAA功能特點.8三、AAA 認證命令行配置.83.1.AAA 配置 .83.2.配置 ISP域 .93.3.配置 RADIUS協(xié)議 .103.4.配置 TACACS+協(xié)議.11四、AAA 認證 server 簡介.124.1.安裝環(huán)境介紹：.124.2.安裝和簡要配置.12五、配置案例 .135.1.Telnet 用戶通過 RADIUS效勞器認證的應用配置 .135.2.Telnet 用戶通過 TACACS+效勞器認證的應用配置 .155

3、.3.Telnet 用戶通過雙效勞器實現(xiàn)主備冗余的radius認證 .17專業(yè)資料整理WORD格式格林偉迪科技2/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹一、相關知識點介紹1.1. AAA 簡介AAA是 Authentication，Authorization and Accounting認證、授權和計費的簡稱，它提供了一個對認證、授權和計費這三種平安功能進展配置的一致性框架 ，實際上是對網(wǎng)絡平安的一種管理。這里的網(wǎng)絡平安主要是指訪問控制，包括：哪些用戶可以訪問網(wǎng)絡效勞器；具有訪問權的用戶可以得到哪些效勞；如何對正在使用網(wǎng)絡資源的用戶進展計費。針對以上問題，AAA必須提供認

4、證功能、授權功能和計費功能。1.1.1.認證功能AAA 支持以下認證方式： 不認證：對用戶非常信任，不對其進展合法檢查。一般情況下不采用這種方式。 本地認證：將用戶信息包括本地用戶的用戶名、密碼和各種屬性配置在設備上。本地認證的優(yōu)點是速度快，可以降低運營本錢；缺點是存儲信息量受設備硬件條件限制。遠端認證：支持通過 RADIUS 協(xié)議或 TACACS+協(xié)議進展遠端認證，設備作為客戶端，與 RADIUS 效勞器或 TACACS+效勞器通信。對于 RADIUS 協(xié)議，可以采用標準或擴展的 RADIUS 協(xié)議。1.1.2.授權功能AAA 支持以下授權方式： 直接授權：對用戶非常信任，直接授權通過。 本

5、地授權：根據(jù)設備上為本地用戶*配置的相關屬性進展授權。 RADIUS 認證成功后授權： RADIUS 協(xié)議的認證和授權是綁定在一起的，不能單獨使用 RADIUS 進展授權。 TACACS+ 授權：由 TACACS+效勞器對用戶進展授權。1.1.3.計費功能AAA 支持以下計費方式：不計費：不對用戶計費。遠端計費：支持通過RADIUS 效勞器或 TACACS+效勞器進展遠端計費。專業(yè)資料整理WORD格式格林偉迪科技3/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹AAA 一般采用客戶端 / 效勞器構造：客戶端運行于被管理的資源側(cè)，效勞器上集中存放用戶信息。 因此， AAA 框架具有

6、良好的可擴展性， 并且容易實現(xiàn)用戶信息的集中管理。1.2. ISP Domain簡介ISP 域即 ISP 用戶群，一個 ISP 域是由屬于同一個ISP 的用戶構成的用戶群。在“ useridisp-name形式的用戶名中，“ 后的“ isp-name 即為 ISP域的域名。接入設備將“userid 作為用于身份認證的用戶名，將“isp-name 作為域名。在多ISP的應用環(huán)境中，同一個接入設備接入的有可能是不同ISP 的用戶。由于各 ISP用戶的用戶屬性例如用戶名及密碼構成、效勞類型/權限等有可能各不一樣，因此有必要通過設置ISP 域的方法把它們區(qū)別開。在 ISP 域視圖下，可以為每個ISP

7、域配置包括使用的AAA策略使用的 RADIUS方案等在內(nèi)的一整套單獨的ISP域?qū)傩浴?.3. Radius協(xié)議簡介RADIUS Remote Authentication Dial-In User Service，遠程認證撥號用戶效勞是一種分布式的、客戶端/效勞器構造的信息交互協(xié)議，能保護網(wǎng)絡不受未授權訪問的干擾，常被應用在既要求較高平安性、又要求維持遠程用戶訪問的各種網(wǎng)絡環(huán)境中。1.3.1. RADIUS效勞的 3個局部協(xié)議： RFC 2865和 RFC 2866基于 UDP/IP層定義了 RADIUS幀格式及其消息傳輸機制，并定義了1812作為認證端口，1813作為計費端口。效勞器： RA

8、DIUS效勞器運行在中心計算機或工作站上，包含了相關的用戶認證和網(wǎng)絡效勞訪問信息?？蛻舳耍何挥趽芴栐L問效勞器設備側(cè)，可以遍布整個網(wǎng)絡。1.3.2. RADIUS的根本消息交互流程RADIUS 客戶端交換機和RADIUS 效勞器之間通過共享密鑰來認證交互的消息，增強了平安性。RADIUS 協(xié)議合并了認證和授權過程，即響應報文中攜帶了授權信息。用戶、交換機、RADIUS 效勞器之間的交互流程如以下圖所示。專業(yè)資料整理WORD格式格林偉迪科技4/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹1.4. TACACS+協(xié)議簡介在計算機網(wǎng)絡中，TACACS+(Terminal Access

9、Controller Access-Control SystemPlus) 是一種為路由器、網(wǎng)絡訪問效勞器和其他互聯(lián)計算設備通過一個或多個集中的效勞器提供訪問控制的協(xié)議。TACACS+提供了獨立的認證、授權和記賬效勞。盡管 RADIUS在用戶配置文件中集成了認證和授權，TACACS+別離了這兩種操作，另外的不同在于 TACACS+使用傳輸控制協(xié)議(TCP) 而RADIUS使用用戶報文協(xié)議(UDP). 多數(shù)管理員建議使用 TACACS+，因為 TCP被認為是更可靠的協(xié)議。TACACS+協(xié)議的擴展為最初的協(xié)議標準提供了更多的認證請求類型和更多的響應代碼。TACACS+使用 TCP端口 49，包括三

10、種獨立的協(xié)議，如果需要，能夠在獨立的效勞器上實現(xiàn)。TACACS+效勞器的典型部署場景如以下圖：專業(yè)資料整理WORD格式格林偉迪科技5/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹專業(yè)資料整理WORD格式TACACS+認證因為是基于tcp 的認證，其報文交互性要*時，其具體過程如以下圖所示。專業(yè)資料整理WORD格式格林偉迪科技6/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹1.5. RADIUS和TACACS+實現(xiàn)的區(qū)別1.5.1.RADIUS使用 UDP而 TACACS+使用 TCPTCP提供比 UDP更多的高級特性，TCP是面向連接的可靠傳輸效勞，但 UDP只

11、提供最優(yōu)的傳輸，因而RADIUS需要額外的代碼來實現(xiàn)例如重傳、超時等機制，所有這些在TCP中已是固有的特性。1.5.2.加密方式RADIUS僅對密碼本身進展加密，對報文的其他局部并未加密是明文傳輸?shù)?。這些信息可能通過第三方軟件捕獲。TACACS+對整個數(shù)據(jù)包進展加密，僅留下TACACS+的數(shù)據(jù)包頭，在數(shù)據(jù)*中有一個標識位表示該數(shù)據(jù)包是加密的還是未加密的，未加密的數(shù)據(jù)包做調(diào)試用，而一般應用中的那么是加密的，因而TACACS+對整個數(shù)據(jù)包加密保證了客戶端與服務器之間通信的平安性。專業(yè)資料整理WORD格式格林偉迪科技7/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹二、OLT上的 AA

12、A功能特點OLT上的 AAA 認證功能設計也是按照 AAA 框架配置、 域相關配置、 radius 效勞器相關配置、 tacacs+效勞器相關配置 4 個模塊設計相關的功能、命令集。OLT開發(fā) AAA 認證的主要目的是實現(xiàn)OLT 登錄用戶的集中管理，集中部署， 防止在每臺 OLT上添加 / 刪除用戶帶來麻煩。對此， OLT上的 AAA 認證功能和理論上的AAA 認證以及 OLT本地認證功能的差異進展了簡單整理，主要如下：序號OLT本地認證我們 OLT上的 AAA認證實現(xiàn)的理論上的 AAA認證實功能現(xiàn)的功能局部支持1NO利用 radius認證實現(xiàn)網(wǎng)絡管哪些用戶可以訪問網(wǎng)理員對 OLT登錄操作的集

13、中管絡效勞器理局部支持具有訪問權的用戶可2NO不同域沒有區(qū)分效勞等級的作以得到哪些效勞用3NONO如何對正在使用網(wǎng)絡資源的用戶進展計費4啟用遠端認證后， 本地認證OLT超級管理員用戶不受 AAA配置的用戶名 / 密碼將失效認證約束config只要通過 AAA認證的都是管理5login-authentication員權限，不再細分enable依然生效三、AAA認證命令行配置3.1. AAA 配置命令說明配置AAA 認證為本地認證或者遠GFA6900(config)#config login-auth aaa_auth端認證；GFA6900(config)#config login-auth lo

14、cal缺省為本地認證， 本地認證時本地用戶名 / 密碼配置有效；GFA6900(config)#config aaa-authentication enable配置 AAA認證啟用或者禁用；GFA6900(config)#config aaa-authentication disable缺省是禁用；專業(yè)資料整理WORD格式格林偉迪科技8/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹配置 AAA認證時 client端提交用GFA6900(config)#config login-aaa time <1-600>戶名密碼后等待時間；缺省時間是30 秒；3.2. 配置 I

15、SP域ISP 域即ISP 用戶群，一個ISP 域?qū)儆谕粋€ISP 的用戶構成。在“user_nameisp_name 形式的用戶名中， “ 后的“ isp_name即為 ISP 域的域名，接入設備將“ user_name作為用戶身份認證的用戶名，將“isp_name作為域名。命令說明創(chuàng)立 / 刪除一個 ISP 域；Default 域不能被刪除；域名規(guī)那么：首字符只能為大小寫字GFA6900(config)#create isp-domain <domain>母， domain 不能包含除“ a-z ,GFA6900(config)#delete isp-domain <dom

16、ain>“A-Z, “0-9 , “_,“. 以外的字符， domain的長度不能超過 20 個字節(jié)；GFA6900(config)#show isp-domain <domain>查看當前存在的ISP 域；OLT上同時最多可以包含5個ISPGFA6900(config)#show isp-domain域包含缺省的default域GFA6900(config)#configisp-domaindefaultusername配置用戶輸入時是否要輸入帶域名的用戶名；complete缺省是 complete ，要輸入的；GFA6900(config)#configisp-domai

17、ndefaultusername不帶域名的用戶名系統(tǒng)認為是incompletedefault 域的用戶；GFA6900(config)#configisp-domaindefaultaaa-protocol配置在 default域中使用 radiusradius協(xié)議或者使用tacacs 協(xié)議；GFA6900(config)#configisp-domaindefaultaaa-protocol在所有域中缺省使用radius 協(xié)tacacs議；配置在 default域中認證模式是independent或者primary-backup；GFA6900(config)#config isp-doma

18、in default authenticationIndependent ：只有第一個效勞器mode independent有效；GFA6900(config)#config isp-domain default authenticationPrimary-backup：主備模式認證，mode primary-backup當?shù)匾粋€ primary的效勞器不響應時會向 backup 的效勞器發(fā)起請求；默認是 independent方式的認證；專業(yè)資料整理WORD格式格林偉迪科技9/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹將配置好的radius server 0在GFA6900

19、(config)#config isp-domain default authenticationdefault 域中啟用；add-server id 0從 default域 中 刪 除 radisuGFA6900(config)#config isp-domain default authenticationserver 0 ；delete-server id 0添加 server時先添加 id 小的，刪除 server 時先刪除 id 大的；將配置好的 tacacs+ server 0在GFA6900(config)#configisp-domaindefaultdefault 域中啟用；

20、tacc-authentication add-server id 0從 default域 中 刪 除 tacacs+GFA6900(config)#configisp-domaindefaultserver 0 ；tacc-authentication delete-server id 0添加 server時先添加 id 小的，刪除 server 時先刪除 id 大的；GFA6900(config)#config isp-domain default authentication手工設置在default 域中 id為 0config-server id 0 type primary的效勞器為

21、主效勞器；GFA6900(config)#configisp-domaindefault缺省情況下被添加的第一個tacc-authenticate config-server-id 0 type primaryserver 為主效勞器；3.3. 配置 RADIUS協(xié)議命令說明啟用 / 禁用 radius 協(xié)議；GFA6900(config)#radius authentication enable默認是禁用；GFA6900(config)#radius authentication disable這里的設置是全局生效， 影響所有的域；Server id：添加效勞器的編號，X圍是 0 4，先從小

22、的 id 開場用；GFA6900(config)#radiusauthenticationadd-server id 0Server-ip ：指定 radius serverserver-ip 192.168.2.244 client-ip 192.168.2.130 udp-port的 ip 地址；1234Client-ip： OLT的 ip 地址；Udp-port： radiusserver 使用的認證端口號，默認是1812；刪除 id為 0 的 radius server服GFA6900(config)#radius authentication delete-server id 0務器

23、；刪除時應該按照 id從大到小的順序來；GFA6900(config)#radiusauthenticationserver-switch配置 radius server切換開關翻開/ 關閉；enable默認是關閉；GFA6900(config)#radiusauthenticationserver-switchRadius server 切換開關也是全局disable生效，配置后會影響所有域；GFA6900(config)#radius authentication config-server id 0配置 id為 0 的 radius server的狀態(tài)是 active 的；status

24、active缺省情況下新加的效勞器都是專業(yè)資料整理WORD格式格林偉迪科技10/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹active的；本命令主要是在特定情況下人工干預狀態(tài)使用；配置和id 為 0 的 radius serverGFA6900(config)#radius authentication config-server id 0通信時的共享密鑰是greenway1 ；缺省的共享密鑰是greenway ；shared-secret greenwayClient 和 server 正常通行的前提是共享密鑰必須一致！GFA6900(config)#radius auth

25、entication config-server id 0配置 radius協(xié)議的重傳間隔 / 重max-retransmit-count 5傳次數(shù)分別是5；GFA6900(config)#radius authentication config-server id 0缺省配置時重傳間隔/ 次數(shù)都是retransmit-interval 53；3.4.配置 TACACS+協(xié)議命令說明啟用 / 禁用 tacacs+ 協(xié)議；GFA6900(config)#tacc authentication enable默認是禁用；GFA6900(config)#tacc authentication disa

26、ble這里的設置是全局生效， 影響所有的域；Server id：添加效勞器的編號，X圍是 0 4，先從小的 id 開場用；Server-ip：指定 tacacs+ serverGFA6900(config)#taccauthenticationadd-serverid0的 ip 地址；Client-ip： OLT的 ip 地址；server-ip 192.168.2.244 client-ip192.168.2.130 share-keyShare-key：共享密鑰缺省是greenway1greenway ，OLT和 tacacs+ server端配置一致；認證端口：默認的 tacacs+ s

27、erver認證端口使用tcp 49 ；刪除 id 為 0 的 tacacs+ serverGFA6900(config)#tacc authentication delete-server id 0效勞器；刪除時應該按照id從大到小的順序來；配置 tacacs+ server切換開關打GFA6900(config)#tacc authentication server-switch enable開/ 關閉；默認是關閉；GFA6900(config)#taccauthenticationserver-switchdisableTacacs+ server切換開關也是全局生效，配置后會影響所有域；

28、GFA6900(config)#taccauthenticationconfig-serverid0配置 id 為 0 的 radius server的status active狀態(tài)是 active的；GFA6900(config)#taccauthenticationconfig-serverid0缺省情況下新加的效勞器都是status inactiveactive 的；專業(yè)資料整理WORD格式格林偉迪科技11/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹本命令主要是在特定情況下人工干預狀態(tài)使用；配置和 id 為 0 的 tacacs+ serverGFA6900(confi

29、g)#taccauthenticationconfig-server通信時的共享密鑰是greenway1 ；id 0greenway ；share-key greenway1缺省的共享密鑰是Client 和 server 正常通行的前提是共享密鑰必須一致！配置 tacacs+ 協(xié)議的重傳間隔 / 重GFA6900(config)#config tacc re-transmit period 5傳次數(shù)分別是 5；GFA6900(config)#config tacc re-transmit max-num 5缺省配置時重傳間隔/ 次數(shù)都是3；四、AAA認證 server 簡介AAA 認證 ser

30、ver 也有多種軟件，這里只推薦一種適合在現(xiàn)網(wǎng)部署的效勞器軟件-Cisco Secure ACS v4.2，該軟件的功能比較強大、穩(wěn)定，我們只需簡單配置就能滿足我們使用的需求。4.1. 安裝環(huán)境介紹：Windows 2003 server sp1 版本局部 windows 2000server 版也可以，推薦2003 1G 以上內(nèi)存1.8 GHz 或更高 CPUNTFS文件系統(tǒng)已經(jīng)安裝Java虛擬接 -1_5_0-windows-i586.exe更多本卷須知請參考文檔安裝手冊，這里只列舉了特別需要注意的工程。4.2. 安裝和簡要配置ACS 的安裝步驟只需要在具備以上環(huán)境的工作站上一路點“nex

31、t 直至安裝完畢，所以詳細的步驟這里不再介紹。ACS 安裝完成后會在桌面上自動生成一個“ACS admin 的管理頁面，單擊該管理頁面進展ACS的配置。注：這一步驟中如果 ACS的管理頁面無法翻開， 請在 IE屬性 >平安 菜單里將這個頁面設置為受信任的站點即可；ACS頁面翻開后的菜單如以下圖，標紅的局部是必須要做初始配置的3 個選項卡，我們只做普通的認證效勞器來用的話，這三個菜單里的配置就夠，不涉及其他菜單專業(yè)資料整理WORD格式格林偉迪科技12/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹配置。User Setup：在該菜單里完成用戶名/ 密碼的添加、修改；Netwo

32、rk Configuration ：在該菜單里完成客戶端的設置，共享密鑰的設置；Adminstration Control ：在該菜單里設置ACS server的超級管理員， 用于遠程登錄，添加、修改server 上的各個配置信息；這里對 ACS的各個子菜單不做詳細介紹，單進去后看各個菜單的提示設置就可以的。對于 ACS詳細的安裝、配置專門有一個文檔，講的很詳細，有興趣請參看“ ACS安裝 &配置手冊 .doc，已經(jīng)放到共享效勞器上。五、配置案例以下提供 3 個分別通過radius 和 tacacs+實現(xiàn)的具體配置案例，5.1. Telnet 用戶通過RADIUS效勞器認證的應用配置該

33、案例是按照在default 域中實現(xiàn) radius 認證的配置。步驟命令說明配置AAA 認證使步驟 1GFA6900(config)#config login-authentication enable能專業(yè)資料整理WORD格式格林偉迪科技13/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹配置 AAA 認證模步驟 2GFA6900(config)#config login-auth aaa_auth式是遠端認證模式步驟 3GFA6900(config)#radius authentication enable配置 radius認證功能使能配 置radiusserver、 rad

34、iusclient ip地址；步驟 4GFA6900(config)#radius authentication add-server id 0 server-ip本步驟中忽略配192.168.2.244 client-ip 192.168.2.130置 udp port即使用 1812 默認端口，要確保 server端使用該端口；配 置 client和server通信時的步驟 5GFA6900(config)#radius authentication config-server id 0共享密鑰；shared-secret greenway1Server端要保證和 client配置一直才能

35、驗證成功；GFA6900(config)#config isp-domain default authentication在 default域中步驟 6啟用 server id 0add-server id 0的配置項；步驟 7GFA6900(config)#config isp-domain default aaa-protocol radius在 default域中啟用 radius認證GFA6900(config)#show radiusRADIUS AUTH: EnableIDSTATE SERVER-IP SERVER-PORT CLIENT-IPSECRET- -查看 radisu相關步驟 8-配置0ACTIVE192.168.2.2441812192.168.2.130 greenway1IDRETRANSMIT-INTERVALMAX-RETRANSMIT-COUNT- - -033GFA6900(config)#GFA6900(config)#show isp-domain default查看 defaut域相步驟 9=關配置專業(yè)資料整理WORD格式格林偉迪科技14/19專業(yè)資料整理WORD格式格林偉迪科技AAA 認證功能介紹Dom