《AAA认证功能介绍》由会员分享,可在线阅读,更多相关《AAA认证功能介绍(20页珍藏版)》请在金锄头文库上搜索。
1、OLTAAA认证功能简介VSION 1.月7日AA认证功能简介1一、有关知识点简介31.1 AAA简介31.1. 认证功能311. 授权功能1.3. 计费功能12. SP oain简介41. adiu合同简介4.3.1. RADUS 服务的个部分41.3. RADIS 的基本消息交互流程41. CACS+合同简介51.5. RAIUS和TACACS+实现的区别7.5.1.ADIUS使用UDP而TACCS+使用TCP75.加密方式7二、LT上的A功能特点8三、AAA认证命令行配备83. AA配备83.2.配备SP域3.3 配备RADIUS合同1034配备ACAC+合同四、A认证serv简介121
2、.安装环境简介:2. 安装和简要配备1五、配备案例15.1. Tel顾客通过RADS服务器认证的应用配备35. lne顾客通过TACACS服务器认证的应用配备15.3. ent顾客通过双服务器实现主备冗余的radius认证17一、 有关知识点简介1.1AA简介 AAA 是Athentito,Ahorizaon and Accuti(认证、授权和计费)的简称,它提供了一种对认证、授权和计费这三种安全功能进行配备的一致性框架,事实上是对网络安全的一种管理。这里的网络安全重要是指访问控制,涉及: 哪些顾客可以访问网络服务器; 具有访问权的顾客可以得到哪些服务; 如何对正在使用网络资源的顾客进行计费。
3、针对以上问题,AA 必须提供认证功能、授权功能和计费功能。11.1 认证功能AAA支持如下认证方式: 不认证:对顾客非常信任,不对其进行合法检查。一般状况下不采用这种方式。 本地认证:将顾客信息(涉及本地顾客的顾客名、密码和多种属性)配备在设备上。本地认证的长处是速度快,可以减少运营成本;缺陷是存储信息量受设备硬件条件限制。 远端认证:支持通过 RADIUS 合同或TCAS+ 合同进行远端认证,设备作为客户端,与RADIUS服务器或TACAS+ 服务器通信。对于DIU 合同,可以采用原则或扩展的RADIU 合同。1.1. 授权功能AAA 支持如下授权方式: 直接授权:对顾客非常信任,直接授权通
4、过。 本地授权:根据设备上为本地顾客帐号配备的有关属性进行授权。 RADIUS 认证成功后授权:DIS 合同的认证和授权是绑定在一起的,不能单独使用RADIUS 进行授权。 TACACS+ 授权:由TCAC+ 服务器对顾客进行授权。1.1.3. 计费功能AA 支持如下计费方式: 不计费:不对顾客计费。 远端计费:支持通过RADIUS服务器或TCS服务器进行远端计费。A一般采用客户端/服务器构造:客户端运营于被管理的资源侧,服务器上集中寄存顾客信息。因此,AA 框架具有良好的可扩展性,并且容易实现顾客信息的集中管理。12 ISDomain简介ISP 域即IS顾客群,一种ISP域是由属于同一种 的
5、顾客构成的顾客群。在“useis-am”形式的顾客名中,“”后的“isp-ame”即为IS域的域名。接入设备将“uerd”作为用于身份认证的顾客名,将“isp-am”作为域名。在多 ISP 的应用环境中,同一种接入设备接入的有也许是不同IP 的顾客。由于各SP 顾客的顾客属性(例如顾客名及密码构成、服务类型/权限等)有也许各不相似,因此有必要通过设立ISP 域的措施把它们区别开。在 SP 域视图下,可觉得每个I 域配备涉及使用的AAA方略(使用的RDUS方案等)在内的一整套单独的IS 域属性。1.Raiu合同简介 RADIUS(Remot Autheticaton al-In Usr ric,
6、远程认证拨号顾客服务)是一种分布式的、客户端/服务器构造的信息交互合同,能保护网络不受未授权访问的干扰,常被应用在既规定较高安全性、又规定维持远程顾客访问的多种网络环境中。 .3. RADIU服务的3个部分 合同:RFC 865 和RFC 866 基于DP/P 层定义了RAIUS 帧格式及其消息传播机制,并定义了112作为认证端口,113 作为计费端口。 服务器:RADS服务器运营在中心计算机或工作站上,涉及了有关的顾客认证和网络服务访问信息。 客户端:位于拨号访问服务器设备侧,可以遍及整个网络。1.2. DIS 的基本消息交互流程RADIUS 客户端(互换机)和ADI 服务器之间通过共享密钥
7、来认证交互的消息,增强了安全性。RADIUS合同合并了认证和授权过程,即响应报文中携带了授权信息。顾客、互换机、RAS 服务器之间的交互流程如下图所示。1.4. TACS合同简介在计算机网络中,TACAS+(ermialAces Contrlerccss-ontrol System lus)是一种为路由器、网络访问服务器和其她互联计算设备通过一种或多种集中的服务器提供访问控制的合同。TCA+提供了独立的认证、授权和记账服务。尽管AIUS在顾客配备文献中集成了认证和授权,TAAC+分离了这两种操作,此外的不同在于TACAS+使用传播控制合同(CP)而RAIUS使用顾客报文合同(UDP).多数管理
8、员建议使用ACCS+,由于TC被觉得是更可靠的合同。TACAC+合同的扩展为最初的合同规范提供了更多的认证祈求类型和更多的响应代码。TAS+ 使用TCP端口49,涉及三种独立的合同,如果需要,可以在独立的服务器上实现。TAACS+服务器的典型部署场景如下图: TACAS认证由于是基于t的认证,其报文交互性规定实时,其具体过程如下图所示。1.5. RDIUS和TACAS+实现的区别1.51.RDIUS使用UDP而TACS+使用TCPTP提供比U更多的高档特性,TP是面向连接的可靠传播服务,但UDP只提供最优的传播,因而RAIUS需要额外的代码来实现例如重传、超时等机制,所有这些在CP中已是固有的
9、特性。1.2加密方式AS仅对密码自身进行加密,对报文的其她部分并未加密是明文传播的。这些信息也许通过第三方软件捕获。TACACS+对整个数据包进行加密,仅留下TACAC+的数据包头,在数据包头中有一种标记位表达该数据包是加密的还是未加密的,未加密的数据包做调试用,而一般应用中的则是加密的,因而TACACS对整个数据包加密保证了客户端与服务器之间通信的安全性。二、 OLT上的AA功能特点T上的A认证功能设计也是按照AAA框架配备、域有关配备、ai服务器有关配备、taac+服务器有关配备个模块设计有关的功能、命令集。OLT开发AA认证的重要目的是实现OL登录顾客的集中管理,集中部署,避免在每台OL
10、T上添加/删除顾客带来麻烦。对此,OLT上的AAA认证功能和理论上的AAA认证以及OLT本地认证功能的差别进行了简朴整顿,重要如下:序号L本地认证我们OLT上的A认证明现的功能理论上的AAA认证明现的功能1部分支持运用rds认证明现网络管理员对T登录操作的集中管理哪些顾客可以访问网络服务器2N部分支持不同域没有辨别服务级别的作用具有访问权的顾客可以得到哪些服务3O如何对正在使用网络资源的顾客进行计费4启用远端认证后,本地认证配备的顾客名/密码将失效OT超级管理员顾客不受AAA认证约束 5cfig oin-uthntcaton enabe 仍然生效只要通过AA认证的都是管理员权限,不再细分三、
11、AAA认证命令行配备. AA配备命令阐明GFA690(cofig)#confg ogin-uth aaa_authGF690(onfig)#confi lginah loca配备AAA认证为本地认证或者远端认证;缺省为本地认证,本地认证时本地顾客名/密码配备有效;GFA90(cofg)#config a-athenticat ealeGF6900(cnfig)#config aaa-uenticaton dabl配备A认证启用或者禁用;缺省是禁用;GFA6900(ofig)#cofg gin-aaa te 配备AA认证时int端提交顾客名密码后等待时间;缺省时间是30秒;3.2.配备IP域IS
12、P域即ISP顾客群,一种ISP域属于同一种IP的顾客构成。在“se_namsp_name”形式的顾客名中,“”后的“isp_nae”即为ISP域的域名,接入设备将“uername”作为顾客身份认证的顾客名,将“s_ae”作为域名。命令阐明GA690(cfig)eate isp-domain GFA6900(cnig)#delet isp-doai omin创立/删除一种IP域;Deault域不能被删除;域名规则:首字符只能为大小写字母,omain不能涉及除“-”,“A-Z”,“9”,“_”,“.”以外的字符,doman的长度不能超过20个字节;GA6900(cnig)#show isp-dmi
13、G6900(confi)show isp-da查看目前存在的ISP域;OLT上同步最多可以涉及个IP域(涉及缺省的efaut域)F6900(nfig)#cofi p-domain defaultusernae opeGA90(cnfg)#onfg p-domindfut erameicplete配备顾客输入时与否要输入带域名的顾客名;缺省是complte,要输入的;不带域名的顾客名系统觉得是efault域的顾客;GFA900(onig)onfigisp-dmn aut aaa-potocl raiusGA690(config)#configisp-domain efaulaaa-prtoo tcacs配备在defaul域中使用radius合同或者使用acacs合同;在所有域中缺省使用rius合同;GFA900(fig)conigispdomain defaul ahenticaion moe indeen
