AAA简介
定义
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
这三种安全功能的具体作用如下:
认证:验证用户是否可以获得网络访问权。
授权:授权用户可以使用哪些服务。
计费:记录用户使用网络资源的情况。
用户可以使用AAA提供的一种或多种安全服务。例如,公司仅仅想让员工在访问某些特定资源的时候进行身份认证,那么网络管理员只要配置认证服务器即可。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
如上所述,AAA是一种管理框架,它提供了授权部分用户去访问特定资源,同时可以记录这些用户操作行为的一种安全机制,因其具有良好的可扩展性,并且容易实现用户信息的集中管理而被广泛使用。AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议。
目的
提供对用户进行认证、授权和计费等安全功能,防止非法用户登录设备,增强设备系统安全性。
通过AAA为上网用户提供认证、授权和计费图1-25 通过AAA为上网用户提供认证、授权和计费
如图1-25所示,某企业网络通过LAN Switch与Router作为目的网络接入服务器。用户需要通过服务器的远端认证才能通过建立连接,该网络中的用户需要访问Internet资源。为了保证网络的安全性,企业管理员希望控制用户对于Internet的访问。
通过在Router上配置AAA,实现Router与AAA服务器的对接,可以由AAA服务器对用户进行统一管理。用户在客户端上输入用户名和密码后,Router可以接收到用户的用户名和密码等认证信息并将用户信息发送给AAA服务器,由AAA服务器对其进行认证。如果认证通过,则用户可以开始访问Internet。在用户访问过程中,AAA服务器还可以记录用户使用网络资源的情况。
为了提高可靠性,可以部署两台AAA服务器,并在Router上进行相应配置实现AAA服务器的主备备份,主服务器发生故障时,备服务器可以接替主服务器工作,保证用户业务不会中断。
通过AAA对管理用户进行认证和授权
如图1-26所示,管理用户(Administrator)与Router建立连接,对Router进行管理、配置和维护。
在Router上配置AAA后,当管理用户登录Router时,Router将管理用户的用户名和密码等信息发送给AAA服务器,由AAA服务器来进行统一认证,同时记录这些用户的操作行为。
图1-26 通过AAA对管理用户进行认证和授权
通过AAA对VPN用户进行认证、授权和计费
AAA同样可以应用在VPN中,例如,AAA可以为L2TP VPN中的PPP拨号用户提供认证、授权和计费。
如图1-27所示,企业总部在其他城市设有分支机构,分支机构内部使用以太网络。分支用户需要和总部用户建立VPDN连接,在分支和总部之间部署L2TP,其中分支机构没有拨号网络,将分支的网关部署为PPPoE服务器,使分支用户的PPP拨号可以通过以太网络传输,同时分支网关也作为LAC,和总部建立L2TP隧道。企业总部的网关部署为LNS,为分支用户提供接入服务,实现分支用户和总部网关之间的L2TP连接。
由于LNS需要对接入用户进行管理,可以通过在LNS上配置AAA认证,实现LNS与AAA服务器的对接。当LNS接收到拨号用户的认证信息后,LNS将信息发送给AAA服务器,由AAA服务器来进行统一管理。
图1-27 通过AAA对VPN用户进行认证、授权和计费
通过HACA准入授权用户上线
HACA仅支持MAC优先的Portal认证场景,如图1-28所示,Router作为FAT AP,提供用户无线接入Internet网络。将Controller服务器作为HACA服务器,部署在云端实现外置Portal服务器以及认证、计费服务器的功能。Router通过HTTP 2.0协议与HACA服务器建立长连接并注册设备信息,在进行Portal认证时,Router与HACA服务器之间的报文通过HTTP 2.0长连接通道进行交互。
图1-28 通过HACA准入授权用户上线
配置采用RADIUS协议进行认证和计费示例组网需求
如图1-29所示,用户同处于huawei域,Router作为目的网络接入服务器。用户需要通过服务器的远端认证才能通过Router访问目的网络。在Router上的远端认证方式如下:
-
Router对接入用户先用RADIUS服务器进行认证,如果认证没有响应,再使用本地认证。
-
RADIUS服务器10.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器10.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。
图1-29 采用RADIUS协议对用户进行认证和计费组网图
配置思路
用如下的思路配置采用RADIUS协议对用户进行认证和计费。
- 配置RADIUS服务器模板。
- 配置认证方案、计费方案。
- 在域下应用RADIUS服务器模板、认证方案和计费方案。
操作步骤
配置RADIUS服务器模板。
# 配置RADIUS服务器模板shiva。
<Huawei> system-view
[Huawei] sysname Router
[Router] radius-server template shiva
# 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。
[Router-radius-shiva] radius-server authentication 10.7.66.66 1812 weight 80
[Router-radius-shiva] radius-server accounting 10.7.66.66 1813 weight 80
# 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。
[Router-radius-shiva] radius-server authentication 10.7.66.67 1812 weight 40
[Router-radius-shiva] radius-server accounting 10.7.66.67 1813 weight 40
# 配置RADIUS服务器密钥、重传次数,以及设备向RADIUS服务器发送的报文中的用户名不包含域名。
[Router-radius-shiva] radius-server shared-key cipher Huawei@2012
[Router-radius-shiva] radius-server retransmit 2
[Router-radius-shiva] undo radius-server user-name domain-included
[Router-radius-shiva] quit
配置认证方案、计费方案。
# 配置认证方案auth,认证模式为先进行RADIUS认证,后进行本地认证。
[Router] aaa
[Router-aaa] authentication-scheme auth
[Router-aaa-authen-auth] authentication-mode radius local
[Router-aaa-authen-auth] quit
# 配置计费方案abc,计费模式为RADIUS,并配置当开始计费失败时,允许用户上线。
[Router-aaa] accounting-scheme abc
[Router-aaa-accounting-abc] accounting-mode radius
[Router-aaa-accounting-abc] accounting start-fail online
[Router-aaa-accounting-abc] quit
配置huawei域,在域下应用认证方案auth、计费方案abc、RADIUS服务器模板shiva。
[Router-aaa] domain huawei
[Router-aaa-domain-huawei] authentication-scheme auth
[Router-aaa-domain-huawei] accounting-scheme abc
[Router-aaa-domain-huawei] radius-server shiva
[Router-aaa-domain-huawei] quit
[Router-aaa] quit
配置huawei域为全局默认域。
[Router] domain huawei
[Router] domain huawei admin
配置AAA本地认证。
[Router] aaa
[Router-aaa] local-user user1 password irreversible-cipher Huawei@123
[Router-aaa] local-user user1 service-type http
[Router-aaa] local-user user1 privilege level 15
[Router-aaa] quit
验证配置结果。
# 在Router上执行命令display radius-server configuration template template-name,可以观察到该RADIUS服务器模板的配置与要求一致。
[Router] display radius-server configuration template shiva
------------------------------------------------------------------------------
Server-template-name : shiva
Protocol-version : standard
Traffic-unit : B
Shared-secret-key : %^%#BS'$!w:u7H.lu:/&W9A5=pUt%^%#
Group-filter : class
Timeout-interval(in second) : 5
Retransmission : 2
EndPacketSendTime : 3
Dead time(in minute) : 5
Domain-included : NO
NAS-IP-Address : -
Calling-station-id MAC-format : xxxx-xxxx-xxxx
Called-station-id MAC-format : XX-XX-XX-XX-XX-XX
NAS-Port-ID format : New
Service-type : -
NAS-IPv6-Address : ::
Server algorithm : master-backup
Detect-interval(in second) : 60
Authentication Server 1 : 10.7.66.66 Port:1812 Weight:80 [UP]
Vrf:- LoopBack:NULL Vlanif:NULL
Source IP: ::
Authentication Server 2 : 10.7.66.67 Port:1812 Weight:40 [UP]
Vrf:- LoopBack:NULL Vlanif:NULL
Source IP: ::
Accounting Server 1 : 10.7.66.66 Port:1813 Weight:80 [UP]
Vrf:- LoopBack:NULL Vlanif:NULL
Source IP: ::
Accounting Server 2 : 10.7.66.67 Port:1813 Weight:40 [UP]
Vrf:- LoopBack:NULL Vlanif:NULL
Source IP: ::
------------------------------------------------------------------------------
配置文件
Router的配置文件
#
sysname Router
#
domain huawei
domain huawei admin
#
radius-server template shiva
radius-server shared-key cipher %^%#BS'$!w:u7H.lu:/&W9A5=pUt%^%#
radius-server authentication 10.7.66.66 1812 weight 80
radius-server authentication 10.7.66.67 1812 weight 40
radius-server accounting 10.7.66.66 1813 weight 80
radius-server accounting 10.7.66.67 1813 weight 40
radius-server retransmit 2
undo radius-server user-name domain-included
#
aaa
authentication-scheme auth
authentication-mode radius local
accounting-scheme abc
accounting-mode radius
accounting start-fail online
domain huawei
authentication-scheme auth
accounting-scheme abc
radius-server shiva
local-user user1 password irreversible-cipher
local-user user1 privilege level 15
local-user user1 service-type http
#
return
652
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
