《实验三十四 :使用radius 协议来实现aaa》由会员分享,可在线阅读,更多相关《实验三十四 :使用radius 协议来实现aaa(8页珍藏版)》请在金锄头文库上搜索。
1、实验三十四实验三十四 :使用:使用 RADIUSRADIUS 协议来实现协议来实现 AAAAAA一、理论基础IEEE 802.1x 标准(以下简称802.1x)的主要内容是一种基于端口的网络接入控制 (Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域 网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备 如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中 的资源相当于连接被物理断开。 802.1x 提供了一个用户身份认证的实现方案,但是仅仅依靠802.1x 是不足以实现该 方案的
2、,接入设备的管理者还要对AAA 方法进行配置,选择使用RADIUS 或本地认证方法, 以配合802.1x 完成用户的身份认证。 AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称, 它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,它是对网 络安全的一种管理。 其中,认证指的是验证用户是否可获得访问权,授权指的是授权用户可使用哪些服务, 计费指的是记录用户使用网络资源的情况。 它对网络安全的访问控制包含如下内容:哪些用户可以访问网络服务器?具有访问权 的用户可以得到哪些服务?如何对正在使用网络资源的用户进
3、行计费? AAA 是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用 RADIUS 协议来实现AAA。RADIUS 是Remote Authentication Dial-In User Service(远程 认证拨号用户服务)的简称,最初由Livingston Enterprise公司开发,能保护网络不受未 授权访问的干扰,作为一种分布式的客户机/服务器系统,能提供AAA功能。常被应用在既 要求较高安全性、又要求维持远程用户访问的各种网络环境中。RADIUS服务包括三个组成 部分:协议、服务器、 客户端。 RADIUS 客户端将把用户的认证、授权和计费请求传递给RADIUS
4、 服务器。RADIUS 服 务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS 服务 器将在接收到NAS 传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、 授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS。在这里,NAS 起到 了控制接入用户及对应连接的作用,NAS(如路由器、交换机)作为RADIUS客户端,负责传 输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接入/ 挂断用户)。 而RADIUS 协议则规定了NAS 与RADIUS 服务器之间如何传递用户配置信息和计费信息。在一个AAA/RADIU
5、S 框架中,Quidway 系列交换机是可以作为用户接入设备即NAS。 NAS 和RADIUS 之间信息的交互是通过将信息承载在UDP 报文中来完成的。NAS 和RADIUS之 间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,以保证用 户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。二、实验案例1、拓扑结构图:2、配置说明:客户端 client 的 IP 地址:192.168.2.15(连接 Switch 的 E0/8) RADIUS 服务端 server 的 IP 地址:192.168.2.146。 Switch 的管理地址:192.168.2.
6、200。 所有AAA 接入用户都属于一个缺省的域: 设置系统与RADIUS 认证、计费服务器交互报文时的加密密码为“djw”。 本地 802.1x 接入用户的用户名为 sunke,密码为 sunke。3、具体配置: 交换机的配置:Quidwaysys SwitchSwitchradius scheme sunke New Radius serverSwitch-radius-sunkeaccounting optionalSwitch-radius-sunkeprimary accounting 192.168.2.146 1814 (设置计费RADIUS 服务器的IP 地址)Switch-
7、radius-sunkeprimary authentication 192.168.2.146 1815 (设置认证RADIUS 服务器的IP 地址)Switch-radius-sunkekey accounting djw (设置系统与计费 RADIUS 服务器交互报文时的加密密码)Switch-radius-sunkekey authentication djw (设置交换机与认证 RADIUS 服务器交互报文时的加密密码) Switch-radius-sunkeuser-name-format without-domain(指示系统从用户名中去除用 户域名后再将之传给 RADIUS 服
8、务器)Switch-radius-sunkeserver-type standard (此时改为如下验证类型也行Switch-radius-sunkeserver-type huawei)Switchint vlan 1 Switch-Vlan-interface1 %Apr 2 00:06:56 2000 Switch L2INF/5/VLANIF LINK STATUS CHANGE:Vlan-interface1: turns into UP stateSwitch-Vlan-interface1ip address 192.168.2.200 255.255.255.0 Switch-
9、Vlan-interface1 %Apr 2 00:07:08 2000 Switch IFNET/5/UPDOWN:Line protocol on the interface Vlan- interface1 turns into UP stateSwitchdomain (创建用户域 并进入其视图)New Domain added.Switch-isp-radius-scheme sunke(指定 sunke 为该域用户的 RADIUS 方案)Switchdomain default enable Switchdot1x(开启全局 802.1x 特性)802.1x is enable
10、d globally Switchint e0/8Switch-Ethernet0/8dot1x(开启指定端口 Ethernet 0/8 的 802.1x 特性)802.1x is enabled on port Ethernet0/8 Switchdis cursysname Switch radius scheme systemserver-type huaweiprimary authentication 127.0.0.1 1645primary accounting 127.0.0.1 1646user-name-format without-domain radius scheme
11、 sunkeprimary authentication 192.168.2.146 1815primary accounting 192.168.2.146 1814accounting optionalkey authentication djwkey accounting djwuser-name-format without-domain domain radius-scheme sunkeaccess-limit disablestate activevlan-assignment-mode integeridle-cut disableself-service-url disabl
12、emessenger time disable domain systemradius-scheme systemaccess-limit disablestate activevlan-assignment-mode integeridle-cut disableself-service-url disablemessenger time disable domain default enable local-server nas-ip 127.0.0.1 key huaweidot1xqueue-scheduler wrr 1 2 4 8 vlan 1 interface Vlan-int
13、erface1ip address 192.168.2.200 255.255.255.0 interface Aux0/0 interface Ethernet0/1 interface Ethernet0/2 interface Ethernet0/3 interface Ethernet0/4 interface Ethernet0/5 interface Ethernet0/6 interface Ethernet0/7 interface Ethernet0/8dot1x interface NULL0 user-interface aux 0 user-interface vty 0 4 return客户端运行软件:华为 802.1X 认证客户端。 (软件显示图)RADIUS 服务端(192.168.2.146)运行的软件:WinRadius(服务端参数设置图)三、实验总结验证通过后时,Server 显示图:验证通过后时 交换机的显示结果:Switch #Apr 2 00:11:59 2000 Switch 8021X/2/AUTH_SUCCEED:Trap1.3.6.1.4.1.2011.5.22.1.0.2Authentication succeed Port:Ethernet0/8MAC Addr: 0011-0949-41bd.
