一,AAA认证概述:

  AAA(认证Authentication,授权Authorization,记帐Accounting)

企业应先制定对客户信用评价的内容、事项和指标体系标准,这套标准应是参阅一定的理论研究资料和大量实践总结出来的客户信用特征的集中体现,在下面“信用评价”部分将较详细的介绍。然后对照标准,用计分法对客户信用进行评估,可分六个等级。满分100分,>90—100分、AAA级,>80—90分、AA级,>70—80分、A级,>60—70分、BBB级,>50—60分、BB级,>40—50分、B级。国际国内通行的企业信用等级是三等九级制或四等十级制,由于CCC、CC、C和D级是属于信用警示企业和失信企业,因此要避免和这些企业进行信用交易,剩下的可考虑信用交易的企业只是B级以上的六种。

AAA系统的简称:

认证(Authentication):验证用户的身份与可使用的网络服务;

授权(Authorization):依据认证结果开放网络服务给用户;

计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。

AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting

常用的AAA协议是Radius,参见RFC 2865,RFC 2866。

另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议

HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于:

l RADIUS基于UDP协议,而HWTACACS基于TCP协议。

l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。

l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。

认证方案与认证模式

AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。

组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。

当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。

认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。

授权方案与授权模式

AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。

组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。

当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none

授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。

RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。

计费方案与计费模式

AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS。

----------------------------------------------------------------------

AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。

首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。

接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。 最后一步是账户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行账户过程。

验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

目前最新的发展是Diameter协议。

二,ACS概述

  ACS:思科安全访问控制服务器 思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

适用场合:

◆集中控制用户通过有线或者无线连接登录网络

◆设置每个网络用户的权限

◆记录记帐信息,包括安全审查或者用户记帐

◆设置每个配置管理员的访问权限和控制指令

◆用于 Aironet 密钥重设置的虚拟 VSA

◆安全的服务器权限和加密

◆通过动态端口分配简化防火墙接入和控制

◆统一的用户AAA服务

三,实验案例

1,实验拓扑

2012-08-26_231453

2,交换机配置

[s4]radius scheme xxx 方案名称
[s4-radius-xxx]primary authentication 192.168.101.100 认证服务器ip

[s4-radius-xxx]key authentication 123456认证密钥
[s4-radius-xxx]server-type huawei 服务类型

[s4-radius-xxx]user-name-format without-domain
不加域名验证
[s4-radius-xxx]domain tec 设立tec域
[s4-isp-tec]radius-scheme xxx 引用方案
[s4-isp-tec]access-limit enable 10 允许十个用户通过
[s4]user-interface vty 0 4 口令验证                  
[s4]authentication-mode scheme  认证模式方案

server2003配置:
将华为资源加载到aaa服务器
D:\Documents and Settings\Administrator>cd D:\Program Files\CiscoSecure ACS v4.0
\bin

D:\Program Files\CiscoSecure ACS v4.0\bin>csu.exe -addUDV 0
D:\Program Files\CiscoSecure ACS v4.0\bin>CSUtil.exe -addUDV 0 c:\h3c.ini

server2003:3A服务器配置

2012-08-24_171255

2012-08-24_171458

2012-08-24_202728

2012-08-24_202715

2012-08-24_150308

2012-08-24_202639

2012-08-25_180712

错误的

错误日志

2012-08-24_202130

测试SSH只需将服务类型改为标准( standard)并在AAA服务器中ACS端口开启22端口即可

基于端口认证:

端口验证
[s4]dot1x
[s4]int e0/8
[s4-Ethernet0/8]dot1x

将客户机放在8端口看pingt结果

2012-08-25_195658

3,路由器

AAA服务器配置

2012-08-25_180639

2012-08-25_180712

2012-08-25_180753

路由器配置:
[Router]radius server 192.168.101.100
[Router]radius shared-key 123456
[Router]login-method authentication-mode telnet default 允许telnet
[Router]aaa authentication-scheme login default radius 通过radius方案验证

测试结果:

2012-08-25_180433


4,防火墙

AAA配置与交换机路由器基本相同

防火墙配置
[H3C]radius scheme xxx
[H3C-radius-xxx]primary authentication 192.168.101.100
[H3C-radius-xxx]key authentication 123456
[H3C-radius-xxx]server-type extended
[H3C-radius-xxx]user-name-format without-domain
[H3C]domain tec
[H3C-isp-tec]radius-scheme xxx
[H3C-isp-tec]accounting optional
[H3C-isp-tec]access-limit enable 10
[H3C]use vty 0 4
[H3C-ui-vty0-4]authentication-mode scheme

测试结果:

2012-08-25_185538 

5,MAC地址认证:

MAC地址认证:

交换机配置:
[Quidway]mac-authentication 系统视图下启用mac地址验证
[Quidway]int eth1/0/1

[Quidway-Ethernet1/0/1]mac-authentication端口下起mac地址验证
接到1口发现不通

 

[Quidway]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen验证模式
[Quidway]radius scheme xxx方案
[Quidway-radius-xxx]primary authentication 192.168.101.100验证服务器
[Quidway-radius-xxx]key authentication 123456钥匙
[Quidway-radius-xxx]server-type standard服务器类型标准
[Quidway-radius-xxx]user-name-format without-domain 用户名格式不带域名
[Quidway]domain system默认域
[Quidway-isp-system]radius-scheme xxx引用方案

[Quidway-isp-system]accounting optional审计
[Quidway-isp-system]access-limit enable 10限制用户数目

AAA服务器配置:

 

客户机测试结果:

 

 

通过验证PING通