收藏
下载资源

交换机aaa详解

上传人:suns****4568 文档编号:60805966 上传时间:2018-11-18 格式:PDF 页数:32 大小:704.56KB
返回 下载 相关 举报
交换机aaa详解_第1页
第1页 / 共32页
交换机aaa详解_第2页
第2页 / 共32页
交换机aaa详解_第3页
第3页 / 共32页
交换机aaa详解_第4页
第4页 / 共32页
交换机aaa详解_第5页
第5页 / 共32页
点击查看更多>>
资源描述

《交换机aaa详解》由会员分享,可在线阅读,更多相关《交换机aaa详解(32页珍藏版)》请在金锄头文库上搜索。

1、1 概述概述 1.1 AAA AAA 是 Authentication(认证)、Authorization(授权)和 Accounting(计费) 的简称,提供了认证、授权、计费三种安全功能。 这三种安全功能的具体作用如下: 认证:验证用户是否可以获得网络访问权。 授权:授权用户可以使用哪些服务。 计费:记录用户使用网络资源的情况 用户可以只使用 AAA 提供的一种或两种安全服务。例如, 公司仅仅想让员 工在访问某些特定资源的时候进行身份认证, 那么网络管理员只要配置认证服 务器即可。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服 务器。 如上所述,AAA 是一种管理框架,它提供

2、了授权部分用户去访问特定资源, 同时可以记录这些用户操作行为的一种安全机制, 因其具有良好的可扩展性, 并且容易实现用户信息的集中管理而被广泛使用。 AAA 可以通过多种协议来实 现。在实际应用中,最常使用 RADIUS 协议(UDP)和 TACACS 协议(TCP),华 为和 Cisco 又有自身的协议:HWTACACS(华为)和 TACACS+(Cisco)。 1)终端访问控制器的访问控制系统(TACACS) TACACS 是一个远程认证协议, 用作与认证服务器进行通信, 通常使用在 UNIX 网络中。TACACS 允许远程访问服务于认证服务通信,为了决定用户是否允许访 问网络。Unix

3、后台是 TACACSD,运行在 49 端口上,使用 TCP。 2)TACACS+: TACACS+是为路由、 网络访问服务和其它网络计算设备提供访问控制的协议, 使用一个以上的中心服务器。它使用 TCP,提供单独认证、鉴权和审计服务,端 口是 49。 3)RADIUS: 远程认证拨号用户服务是一个 AAA 应用协议,例如:网络认证或 IP 移动性。 后续章节中,我们会看到更多的 RADIUS 详情。 4)DIAMETER Diameter 是计划替代 RADIUS 的一种协议。 2 原理描述原理描述 2.1 基本构架基本构架 AAA 是采用“客户端/服务器”(C/S)结构,其中 AAA 客户端

4、(也称网络接 入服务器NAS)就是使能了 AAA 功能的网络设备(可以是网络中任意一台设 备,不一定是接入设备,而且可以在网络中多个设备上使能),而 AAA 服务器 就是专门用来认证、授权和计费的服务器(可以由服务器主机配置,也可以有提 供了对应服务器功能的网络设备上配置)如图 2-1 所示。 图 2-1 在设备上使能了 AAA 功能后,当用户需要通过 AAA 客户端访问某个网络前, 需要先从 AAA 服务器中获取访问该网络的权限。但这个任务同处不是担当 AAA 客户端的设备自己完成,而是通过设备吧用户的认证、授权、计费 信息发送给 AAA 服务器来完成。如果 AAA 客户端的设备上同时配置了

5、相应的 AAA 服务器功 能,此时客户端和服务器就为一体了,这时实现的是 AAA 本地认证和授权(本 地方式不提供计费功能)了。 1. 认证功能 AAA 支持以下认证方式: 不认证:对用户非常信任,不对其检查,一般情况下不采用这种方式。 本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置 在接入服务器上。本地认证的优点是速度快,降低运营成本;但存储信息量受设 备硬件条件限制。 远端认证:支持通过 RADIUS 协议或 TACACS 协议进行远端认证,由接入服 务器作为 Client 端,与 RADIUS 服务器或 TACACS 服务器通信。 2. 授权功能 AAA 支持以下授权方

6、式: 直接授权:对用户非常信任,直接授权通过。 本地授权:根据宽带接入服务器上为本地用户账号配置的相关属性进行授 权。 TACACS 授权:由 TACACS 服务器对用户进行授权。 if-authenticated 授权:如果用户通过了认证,并且使用的认证方法是本地 或远程认证,则直接用户授权。 RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在一起的,不 能单独使用 RADIUS 进行授权。 3. 计费功能 AAA 支持以下计费方式: 不计费 远端计费:支持通过 RADIUS 服务器或 TACACS 服务器进行远端计费。 2.2 RADIUS 协议协议 AAA 是一种管理框

7、架,因此,它可以用多种协议来实现。在实践中,人们最 常使用 RADIUS 协议来实现 AAA 。RADIUS 最初用来管理使用串口和调制解调器 的大量分散用户, 后来广泛应用于网络接入服务器 NAS ( NetworkAccess Server) 系统。 RADIUS (Remote Authentication Dial-In User Service ,远程认证拨号用 户服务)是一种分布式的、客户端/ 服务器结构的信息交互协议,能保护网络不 受未授权访问的干扰,常被应用在既要求较高安全性,又要求维持远程用户访问 的各种网络环境中。 一个网络允许外部用户通过公用网对其进行访问,其用户在地理上

8、的分 布会极为分散。用户可以把自己的信息传递给这个网络,也可以从这个网络得到 自己想要的信息。由于存在内外的双向数据流动,网络安全就显得尤为重要。这 个网络管理的内容包括:哪些用户可以获得访问权;获得访问权的用户可以允许 使用哪些服务;如何对使用网络资源的用户进行记费。AAA 很好的完成了这三项 任务。 RADIUS 通过建立一个唯一的用户数据库, 存储用户名, 用户的密码来进行认 证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。 2.2.1 RADIUS 关键特性关键特性 RADIUS 协议有如下的关键特性: 客户端/服务器模式(Client/Server) NAS 是作为 RA

9、DIUS 的客户端运作的。这个客户端负责将用户信息传递给指 定的 RADIUS 服务器,并负责执行返回的响应。RADIUS 服务器负责接收用户的连 接请求,鉴别用户,并为客户端返回所有为用户提供服务所必须的配置信息。一 个 RADIUS 服务器可以为其他的 RADIUS Server 或其他种类认证服务器担当代理。 网络安全 (Network Security) 客户端和 RADIUS 服务器之间的事务是通过使用一种从来不会在网上传输的 共享密钥机制进行鉴别的。另外,在客户端和 RADIUS 服务器之间的任何用户密 码都是被加密后传输的, 这是为了避免用户密码在不安全的网络上被监听获取的 可能

10、性。 灵活的认证机制 (Flexible Authentication Mechanisms) RADIUS 服务器能支持多种认证用户的方法。包括点对点的 PAP 认证(PPP PAP)、点对点的 CHAP 认证(PPP CHAP)、UNIX 的登录操作(UNIX login)、和 其他认证机制。 扩展协议(Extensible Protoco ) RADIUS 协议具有很好的扩展性。RADIUS 包是由包头和一定数目的属性 (Attribute) 构成的。 新的属性可以在不中断已存在协议执行的前提下进行增加。 在 RADIUS 协议的报文结构一节中有详细描述。 2.2.2 C/S 结构结构

11、用户, NAS,RADIUS 服务器的关系 RADIUS 采用典型的客户端/服务器(Client/Server)结构,它的客户端最初就 是 NAS,现在任何运行 RADIUS 客户端软件的计算机都可以成为 RADIUS 的客户 端。NAS 上运行的 AAA 程序对用户来讲为服务器端,对 RADIUS 服务器来讲是作 为客户端。负责传输用户信息到指定的 RADIUS 服务器,然后根据从服务器返回 的信息进行相应处理(如接入/挂断用户)。RADIUS 服务器负责接收用户连接请 求,认证用户,然后给 NAS 返回所有需要的信息。 1、RADIUS 的客户端通常运行于接入服务器(NAS)上,RADIU

12、S 服务器通常 运行于一台工作站上, 一个RADIUS服务器可以同时支持多个RADIUS客户 (NAS) 。 2、RADIUS 的服务器上存放着大量的信息,接入服务器(NAS)无须保存这 些信息,而是通过 RADIUS 协议对这些信息进行访问。这些信息的集中统一的保 存,使得管理更加方便,而且更加安全。 3、RADIUS 服务器可以作为一个代理,以客户的身份同其他的 RADIUS 服务 器或者其他类型的认证服务器进行通信。用户的漫游通常就是通过 RADIUS 代理 实现的。简单地说,代理就是一台服务器,可以作为其他 RADIUS 服务器的代理, 负责转发 RADIUS 认证和计费数据包。 所谓

13、漫游功能, 就是代理的一个具体实现, 这样可以让用户通过本来和其无关的 RADIUS 服务器进行认证。 2.2.3 RADIUS 在协议栈中的位置在协议栈中的位置 RADIUS 是一种流行的 AAA 协议, 采用 UDP 协议传输, 在协议栈中位置如下: RADIUS 在协议栈中的位置 RADIUS 为何采用 UDP,而不是 TCP 的原因如下: 1、NAS 和 RADIUS 服务器之间传递的一般是几十至上百个字节长度的数据, 用户可以容忍几秒到十几秒的验证等待时间。 当处理大量用户时服务器端采用多 线程,UDP 简化了服务器端的实现过程。 2、 TCP 是必须成功建立连接后才能进行数据传输的

14、,这种方式在有大量用户 使用的情况下实时性不好。 3、当向主用服务器发送请求失败后,还要必须向备用的服务器发送请求。 于是 RADIUS 要有重传机制和备用服务器机制,它所采用的定时机制,TCP 不能 很好的满足。 RADIUS 协议采用的是 UDP 协议,数据包可能会在网络上丢失,如果客户没 有收到响应,那么可以重新发送该请求包。多次发送之后如果仍然收不到响应, RADIUS 客户可以向备用的 RADIUS 服务器发送请求包。 2.2.4 RADIUS 网络安全网络安全 RADIUS 协议的加密是使用 MD5 加密算法进行的, 在 RADIUS 的客户端 (NAS) 和服务器端(RADIUS

15、 Server)保存了一个密钥(key),RADIUS 协议利用这个密 钥使用 MD5 算法对 RADIUS 中的数据进行加密处理。密钥不会在网络上传送。 RADIUS 的加密主要体现在以下两方面: 2.2.4.1 包加密:包加密: 在 RADIUS 包中,有 16 字节的验证字(authenticator)用于对包进行签名, 收到 RADIUS 包的一方要查看该签名的正确性。如果包的签名不正确,那么该包 将被丢弃,对包进行签名时使用的也是 MD5 算法(利用密钥),没有密钥的人 是不能构造出该签名的。 2.2.4.2 口令加密:口令加密: 在认证用户时,用户的口令在 NAS 和 RADIUS

16、 Server 之间不会以明文方式传 送,而是使用了 MD5 算法对口令进行加密。没有密钥的人是无法正确加密口令 的,也无法正确地对加密过的口令进行解密。 2.2.4.3 口令加密与口令验证过程口令加密与口令验证过程 当用户上网时,NAS 将决定对用户采用何种认证方法。下面对使用 RADIUS 认证的情况下 PPP 用户与 NAS 之间的 PAP 和 CHAP 认证过程进行介绍。 RADIUS 服务器可使用 H3C 的 iMC 服务器,也可以使用 CISCO 的 ACS 服务器 或其它第三方服务器。 PAP 验证: Radius Server PAP 认证 用户以明文的形式把用户名和他的密码传递给 NAS,NAS 把用户名和加密过 的密码放到验证请求包的相应属性中传递给 RADIUS 服务器。 RADIUS 服务器根据 NAS 上传的帐号进行验证来决定是否允许用户上网并返回结果。 NAS 可以在其中 包含服务类型属性 Attribute Service-Type=Framed-User,和 Framed-Protoc

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 其它文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号