(一)AAA原理

AAA基本原理

AAA 是Authentication Authorization and Accounting (认证、授权和计费)的简称,它提供了对认证、授权和计费功能进行配置的一致性框架。

AAA 以模块方式提供以下服务:

z  认证:验证用户是否可获得访问权,可选择使用RADIUS协议或Local。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。通过定义一个身份认证方法的命名列表并将其应用于各个接口来配置 AAA。
方法列表定义了身份认证类型和执行顺序。在执行任何一个已定义的身份认证之前,必须将方法列表应用于一个特定的接口。默认方法列表是一个例外。如果没有其他的方法列表被定义,则默认方法列表自动应用于所有接口。已定义的方法列表将覆盖默认方法列表。除了本地的、线路密码和允许身份认证之外的所有身份认证方法必须通过 AAA 来定义。
z  授权:授权用户可使用哪些服务。AAA 授权通过定义一系列的属性对来实现,这些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上,也可以远程存放在 RADIUS 安全服务器上。所有授权方法都必须通
过 AAA 定义。当 AAA 授权启用时,自动应用于网络设备上的所有接口。

z  记帐:记录用户使用网络资源的情况。当 AAA 记帐被启用时,网络设备便开始以统计记录的方式向 RADIUS 安全服务器发送用户使用网络资源的情况。每个记帐记录都是以属性对的方式组成,并存放在安全服务器上,这些记录可以通过专门软件进行读取分析,从而实现对用户使用网络资源的情况进行记帐、统计、跟踪。所有的记帐方法必须通过AAA来定义。当AAA记帐启用时,自动应用于网络设备所有接口。

尽管AAA是最主要的访问控制方法,RGNOS同时也提供了在AAA范围之外的简单控制访问,如本地用户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样,AAA提供更高级别的安全保护。

使用 AAA 有以下优点:
z  灵活性和可控制性强
z  可扩充性
z  标准化认证
z  多个备用系统

AAA基本原理

AAA 可以对单个用户(线路)或单个服务器动态配置身份认证、授权以及记帐类型。通过创建方法列表来定义身份认证、记帐、授权类型,然后将这些方法列表应用于特定的服务或接口。

方法列表

由于对用户进行身份认证可以使用不同的方法,您需要使用方法列表定义一个使用不同方法对用户进行身份认证的前后顺序。方法列表可以定义一个或多个用于身份认证的安全协议,这样可以确保在第一个方法失败时,有备用系统用于身份认证。RGNOS 使用方法列表中列出的第一个方法认证用户的身份,如果该方法无应答,则选择方法列表中的下一个方法。这个过程一直持续下去,直到与列出的某种身份认证方法成功地实现通信或用完方法列表。如果用完方法列表而还没有成功实现通信,则身份认证宣告失败。

上图说明了一个典型的 AAA 网络配置,它包含两台安全服务器:R1 和 R2 是RADIUS 服务器。假设系统管理员已定义了一个方法列表,在这个列表中,R1 首先被用来获取身份信息,然后是 R2,最后是访问服务器上的本地用户名数据库。如果一个远程 PC用户试图拨号进入网络,网络访问服务器首先向R1查询身份认证信息,假如用户通过了R1的身份认证,R1将向网络访问服务器发出一个ACCEPT应答,这样用户即获准访问网络。如果 R1 返回的是 REJECT 应答,则拒绝用户访问网络,断开连接。如果 R1 无应答,网络访问服务器就将它看作 TIMEOUT,并向 R2 查询身份认证信息。这个过程会一直在余下的指定方法中持续下去,直到用户通过身份认证、被拒绝或对话被中止。如果所有的方法返回 TIMEOUT,则认证失败,连接将被断开。

AAA配置基本步骤

首先您必须决定要采用哪种安全解决方案,而且需要评估特定网络中的潜在安全风险,并选择适当的手段来阻止未经授权的访问。有关安全风险评估和可能采取的安全解决方案请参考“安全性概述”。我们建议,在可能的情况下,尽量使用 AAA确保网络安全。

(二)实例

实例1:华为交换机S2000

1)telnet

交换机上的配置:

radius scheme xxx

     server-type huawei          验证类型

     primary authentication 192.168.20.100     主AAA服务器

     accounting optional

     key authentication 123456                        与验证服务器的验证密码

     user-name-format without-domain             验证时不加域名

domain xxx                                                   建一个域

  radius-scheme xxx

思科ACS上的配置:

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

2)用ssh登陆的配置:

interface Vlan-interface1

    ip address 192.168.10.10 255.255.255.0

 

ip route-static 0.0.0.0 0.0.0.0 192.168.10.11

 

rsa local-key-peer create

ssh authentication-type default all

ssh user ssh authentication-type password

ssh user ssh service-type stelnet

 

user-interface vty 0 4

authentication-mode scheme

protocol inbound all

 

 

radius scheme xxx

server-type standard

primary authentication 192.168.20.100

key authentication 123456

user-name-format without-domain

 

domain xxx

scheme radius-scheme xxx

access-limit enable 100

accounting optional

思科ACS上的配置:

p_w_picpath

 

p_w_picpath

p_w_picpath

 

实例2:华为防火墙

radius scheme xxx
server-type standard
primary authentication 192.168.20.100
key authentication 123456
user-name-format without-domain
 

domain xxx
scheme radius-scheme xxx
access-limit enable 10
accounting optional

interface Ethernet0/0
ip address 192.168.10.12 255.255.255.0
 

ip route-static 0.0.0.0 0.0.0.0 192.168.10.11 preference 60

ssh authentication-type default all

ssh user ssh authentication-type password

ssh user ssh service-type stelnet



user-interface vty 0 4
authentication-mode scheme

 

用户名是上面再思科ACS上的telnet和ssh

 

 

p_w_picpath

 

实例3:华为路由器

telnet:

  radius server 192.168.20.100
  radius shared-key 123456
  aaa-enable
  aaa authentication-scheme login default radius
  aaa accounting-scheme optional
 

用户名是上面再思科ACS上的telnet

p_w_picpath