AAA
简介
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
AAA
是
Authentication
,
Authorization and Accounting
(认证、授权和计费)的简
称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,
它是对网络安全的一种管理。
AAA
可完成下列服务:
?
认证:验证用户是否可获得访问权。
?
授权:授权用户可使用哪些服务。
?
计费:记录用户使用网络资源的情况。
AAA
的优点
?
灵活易控。
?
标准化的认证方法。
?
多重备用系统。
AAA
的基本配置包括:
?
使能
AAA
?
配置认证
?
配置授权
?
配置计费
ACS简介:
ACS全名为思科安全访问控制服务器,是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,CISCO SECURE ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合。强化了接入安全性。
RADIUS简介:
RADIUS(Remote Authentication Dial In User Service)协议是在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ,计费端口是1813。
RADIUS服务器中的数据库:
RADIUS 服务器通常要维护三个数据库:第一个数据库“Users”用于存储用户信息
(如用户名、口令以及使用的协议、IP 地址等配置),第二个数据库“Clients”用
于存储RADIUS 客户端的信息(如共享密钥),第三个数据库“Dictionary”存储
的信息用于解释RADIUS 协议中的属性和属性值的含义。
RADIUS工作过程示意图
![wps_clip_p_w_picpath-27909[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346038669gkQz.png "wps_clip_p_w_picpath-27909[4]")
RADIUS的工作过程
RADIUS协议旨在简化认证流程。其典型认证授权工作过程是:
1、用户输入用户名、密码等信息到客户端或连接到NAS;
2、客户端或NAS产生一个“接入请求(Access-Request)”报文到RADIUS服务器,其中包括用户名、口令、客户端(NAS)ID 和用户访问端口的ID。口令经过MD5算法进行加密。
3、RADIUS服务器对用户进行认证;
4、若认证成功,RADIUS服务器向客户端或NAS发送允许接入包(Access-Accept),否则发送拒绝加接入包(Access-Reject);
5、若客户端或NAS接收到允许接入包,则为用户建立连接,对用户进行授权和提供服务,并转入6;若接收到拒绝接入包,则拒绝用户的连接请求,结束协商过程;
6、客户端或NAS发送计费请求包给RADIUS服务器;
7、RADIUS服务器接收到计费请求包后开始计费,并向客户端或NAS回送开始计费响应包; 8、用户断开连接,客户端或NAS发送停止计费包给RADIUS服务器;
9、RADIUS服务器接收到停止计费包后停止计费,并向客户端或NAS回送停止计费响应包,完成该用户的一次计费,记录计费信息。
实验部分:
ACS软件在这里不便上传,有需求的可以Q(395061796)
搭建ACS服务器的环境:
首先配置IP地址
![wps_clip_p_w_picpath-27787[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346038701LXGm.png "wps_clip_p_w_picpath-27787[4]")
安装JDK
![wps_clip_p_w_picpath-24503[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346038747bgBh.png "wps_clip_p_w_picpath-24503[4]")
安装acs
![wps_clip_p_w_picpath-5803[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346038768gy7G.png "wps_clip_p_w_picpath-5803[4]")
安装过程
![wps_clip_p_w_picpath-27912[4]](https://s1.51cto.com/attachment/201208/27/5627676_13460388005zA1.png "wps_clip_p_w_picpath-27912[4]")
![wps_clip_p_w_picpath-5768[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346038864aJqd.png "wps_clip_p_w_picpath-5768[4]")
![wps_clip_p_w_picpath-9599[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346038905keql.png "wps_clip_p_w_picpath-9599[4]")
![wps_clip_p_w_picpath-29867[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346038979ZY0O.png "wps_clip_p_w_picpath-29867[4]")
![wps_clip_p_w_picpath-30626[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039015I99o.png "wps_clip_p_w_picpath-30626[4]")
![wps_clip_p_w_picpath-12089[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039044JqcA.png "wps_clip_p_w_picpath-12089[4]")
![wps_clip_p_w_picpath-20783[5]](https://s1.51cto.com/attachment/201208/27/5627676_1346039066aVcm.png "wps_clip_p_w_picpath-20783[5]")
![wps_clip_p_w_picpath-12942[4]](https://s1.51cto.com/attachment/201208/27/5627676_13460391126RJZ.png "wps_clip_p_w_picpath-12942[4]")
我们需要降低浏览器安全级别
编写华为设备的一些私有属性
![wps_clip_p_w_picpath-2615[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039176n04e.png "wps_clip_p_w_picpath-2615[4]")
![wps_clip_p_w_picpath-4115[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039192yqAZ.png "wps_clip_p_w_picpath-4115[4]")
设置AAA客户端:
![wps_clip_p_w_picpath-23681[4]](https://s1.51cto.com/attachment/201208/27/5627676_13460392130GCS.png "wps_clip_p_w_picpath-23681[4]")
设置AAA服务器端:
![wps_clip_p_w_picpath-24550[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039234uz27.png "wps_clip_p_w_picpath-24550[4]")
![wps_clip_p_w_picpath-21407[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039252FFI1.png "wps_clip_p_w_picpath-21407[4]")
集中的TELNET验证
创建组
![wps_clip_p_w_picpath-5866[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039283C0OL.png "wps_clip_p_w_picpath-5866[4]")
进入H3C私有属性,打开并选择管理员级别权限;
![wps_clip_p_w_picpath-26901[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039324aDtA.png "wps_clip_p_w_picpath-26901[4]")
![wps_clip_p_w_picpath-30754[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039366kIMi.png "wps_clip_p_w_picpath-30754[4]")
![wps_clip_p_w_picpath-27964[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039393TpBg.png "wps_clip_p_w_picpath-27964[4]")
![wps_clip_p_w_picpath-20061[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039406taaJ.png "wps_clip_p_w_picpath-20061[4]")
提交完成
至此ACS服务器的环境搭建完成。
案例一:
试验需求:
设备需求:H3C s2000 HI交换机
软件需求:cisco acs4.0
试验目的:实现账号的集中管理,利用ACS实现AAA服务器
试验拓扑图:
![wps_clip_p_w_picpath-13338[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039417WXmY.png "wps_clip_p_w_picpath-13338[4]")
配置命令:
<Quidway>system-view【进入系统视图】
[Quidway]int Vlan-interface 1【进入vlan1,给vlan10配置ip地址,此时的交换机角色为AAA客户端】
[Quidway-Vlan-interface1]ip add 192.168.100.20 255.255.255.0
[Quidway-Vlan-interface1]quit
[Quidway]radius scheme zhangc【创建方案名为zhangc】
[Quidway-radius-zhangc]primary authentication 192.168.100.30【主验证服务器的ip】
[Quidway-radius-zhangc]accounting optional【审计的模式】
[Quidway-radius-zhangc]key authentication 123456【验证的钥匙】
[Quidway-radius-zhangc]server-type huawei【服务类型为导入到acs服务中的h3c私有属性】
[Quidway-radius-zhangc]user-name-format without-domain【不在传输域名】
[Quidway-radius-zhangc]quit
[Quidway]domain zzz【创建域zzz】
[Quidway-isp-zzz]radius-scheme zhangc【该域引用方案zhangc】
[Quidway-isp-zzz]accounting optional【审计模式】
[Quidway-isp-zzz]access-limit enable 10【最多只允许10个用户同时登陆】
[Quidway-isp-zzz]quit
[Quidway]user-interface vty 0 4【进入虚拟接口】
[Quidway-ui-vty0-4]authentication-mode scheme【配置验证方式为scheme】
需要将服务类型改为STANDARD之后,才能进行ssh验证
[Quidway]radius scheme zhangc【进入方案zhangc】
[Quidway-radius-zhangc]server-type standard【将服务类型修改为standard】
[Quidway]rsa local-key-pair create【产生私钥】
[Quidway]ssh authentication-type default password【使用ssh方式登录】
试验结果:
![wps_clip_p_w_picpath-18482[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039429FOQF.png "wps_clip_p_w_picpath-18482[4]")
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
案例二:
试验需求:
设备需求:H3C R3600系列路由器
软件需求:cisco acs4.0
试验目的:实现账号的集中管理,利用ACS实现AAA服务器
![wps_clip_p_w_picpath-23024[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039443m0Ed.png "wps_clip_p_w_picpath-23024[4]")
配置代码:
[Router]int e 0【进入以太网0网卡】
[Router-Ethernet0]ip add 192.168.100.20【设置IP地址】
[Router]aaa-enable【启动AAA】
[Router]aaa authentication-scheme login zhangc radius【创建zhangc方案,采用radius方式验证】
[Router]radius server 192.168.100.30【设置radius服务器的IP地址】
[Router]radius shared-key 123456【钥匙】
[Router]login-method authentication-mode telnet zhangc【登陆方式为telnet】
![wps_clip_p_w_picpath-8410[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039460xig9.png "wps_clip_p_w_picpath-8410[4]")
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
案例三:
试验需求:
设备需求:H3C 防火墙
软件需求:cisco acs4.0
试验目的:实现账号的集中管理,利用ACS实现AAA服务器
试验拓扑图:
![wps_clip_p_w_picpath-25886[4]](https://s1.51cto.com/attachment/201208/27/5627676_1346039478LTZH.png "wps_clip_p_w_picpath-25886[4]")
配置命令:
[F4]radius scheme zhangc【创建方案zhangc】
[F4-radius-zhangc]primary authentication 192.168.100.30【指明AAA服务器端的Ip】
[F4-radius-zhangc]accounting optional【审计】
[F4-radius-zhangc]key authentication 123456【钥匙】
[F4-radius-zhangc]user-name-format without-domain【传送账号和密码的时候不带域名】
[F4-radius-zhangc]server-type extended【服务类型扩展(huawei)】
[F4]domain zzz【创建域名为zzz】
[F4-isp-zzz]radius-scheme zhangc【使用方案zhangc】
[F4-isp-zzz]access-limit enable 10【限制最多10个用户】
[F4-isp-zzz]accounting optional【审计可选】
[F4-ui-vty4]user-interfac vty 0 4
[F4-ui-vty0-4]authentication-mode scheme【验证方式】
试验结果:
![wps_clip_p_w_picpath-25852[4]](https://s1.51cto.com/attachment/201208/27/5627676_13460394918IXj.png "wps_clip_p_w_picpath-25852[4]")
转载于:https://blog.51cto.com/zhangc/974183
扫一扫
1362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
