AAA认证

AAA简介

  AAAAuthentication ,Authorization and Accounting (认证,授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是一种对网络安全的管理。

AAA认证方式

本地认证:将用户信息配置到设备上。优点:认证速度快,可降低运营成本。缺点:在设备上的存储信息受到限制。

远端认证:支持通过RADIUS协议或hwtacacs协议进行远端认证,设备(quidway)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可采用标准或扩展的radius协议。

首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。最后一步是账户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行账户过程。验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。目前最新的发展是Diameter协议。。

【实验目的】

①防火墙的单臂路由实现多Vlan间通信。

②利用防火墙的DHCP中继实现多Vlan动态获得地址。

③用户通过AAA认证,访问外网。

④远程带内管理(Telnet)各设备,需要AAA验证。

【实验拓扑图】

220258254.png

【实验设备】

H3C防火墙(一台)

H3C二层交换机(一台)

AAA服务器(WinServer2003虚拟机)

DHCP服务器(Linux 虚拟机)

测试PC(2台)

【准备工作】

①按照拓扑规划进行相应的配置(地址、单臂路由、DHCP中继)

②开启dot1x协议,并应用于相应的接口上。

③配置AAA方案,域,并在域内关联相应方案。

④依照拓扑配置相应的服务器,按照地址规划分配IP地址

dhcp服务器上的配置文件dhcpd.conf

220314140.png

【实验配置】

(防火墙配置)

<H3C>

%Aug 12 18:10:37:367 2013 H3C SHELL/4/LOGIN: Console login from con0

<H3C>

<H3C>

<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C]dis cu

#

sysname H3C

#

super password level 3 simple 123456

#

domain default enable ty

#

firewall packet-filter enable

firewall packet-filter default permit

#

undo insulate

#

firewall statistic system enable

#

radius scheme system

server-type extended

radius scheme ty

server-type standard

primary authentication 192.168.30.151

key authentication 123456

user-name-format without-domain

#

domain system

domain ty

scheme radius-scheme ty                  

authentication local                    

access-limit enable 10                  

accounting optional                      

#                                        

local-user admin                          

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal            

level 3                                  

service-type ftp                        

local-user user2                          

password simple 123                      

service-type telnet                      

level 3                                  

#                                        

interface Aux0                            

async mode flow                          

#                                        

interface Ethernet0/0                    

ip address 192.168.1.254 255.255.255.0  

dhcp select relay                        

#                                        

interface Ethernet0/0.10                  

ip address 192.168.10.1 255.255.255.0    

ip relay address 192.168.30.100          

dhcp select relay                        

vlan-type dot1q vid 10                  

#                                        

interface Ethernet0/0.20                  

ip address 192.168.20.1 255.255.255.0    

ip relay address 192.168.30.100          

dhcp select relay                        

vlan-type dot1q vid 20                  

#                                        

interface Ethernet0/0.30                  

ip address 192.168.30.1 255.255.255.0    

dhcp select relay                        

vlan-type dot1q vid 30                  

#                                        

interface Ethernet0/4                    

#                                        

interface Encrypt1/0                      

#                                        

interface NULL0                          

#                                        

firewall zone local                      

set priority 100                        

#                                        

firewall zone trust                      

add interface Ethernet0/0                

add interface Ethernet0/0.10            

add interface Ethernet0/0.20            

add interface Ethernet0/0.30            

set priority 85                          

#                                        

firewall zone untrust                    

set priority 5                          

#                                        

firewall zone DMZ                        

set priority 50                          

#                                        

firewall interzone local trust            

#                                        

firewall interzone local untrust          

#                                        

firewall interzone local DMZ              

#                                        

firewall interzone trust untrust          

#                                        

firewall interzone trust DMZ              

#                                        

firewall interzone DMZ untrust            

#                                        

FTP server enable                        

#                                        

user-interface con 0                      

user-interface aux 0                      

user-interface vty 0 4                    

authentication-mode scheme              

#                                        

return                  

交换机配置

[Quidway]dis cu

#

sysname Quidway

#

super password level 3 simple 123456

#

local-server nas-ip 192.168.30.151 key 123456

#

domain default enable ty

#

dot1x

dot1x authentication-method pap

#

radius scheme system

radius scheme xxx

server-type standard

primary authentication 192.168.30.151

accounting optional

key authentication 123456

user-name-format without-domain

#

domain system

domain ty

scheme radius-scheme xxx

access-limit enable 10

accounting optional                      

#                                        

vlan 1                                    

#                                        

vlan 10                                  

#                                        

vlan 20                                  

#                                        

vlan 30                                  

#                                        

interface Vlan-interface1                

ip address 192.168.1.1 255.255.255.0    

#                                        

interface Aux1/0/0                        

#                                        

interface Ethernet1/0/1                  

port access vlan 10                      

dot1x                                    

#                                        

interface Ethernet1/0/2                  

port access vlan 20                      

dot1x                                    

#                                        

interface Ethernet1/0/3                  

port access vlan 30                      

#                                        

interface Ethernet1/0/4                  

port link-type trunk                    

port trunk permit vlan all              

#                                        

interface Ethernet1/0/5                  

#                                        

interface Ethernet1/0/6                  

#                                        

interface Ethernet1/0/7                  

#                                        

interface Ethernet1/0/8                  

#                                        

interface Ethernet1/0/9                  

#                                        

interface Ethernet1/0/10                  

#                                        

interface Ethernet1/0/11                  

#                                        

interface Ethernet1/0/12                  

#                                        

interface Ethernet1/0/13                  

#                                        

interface Ethernet1/0/14                  

#                                        

interface Ethernet1/0/15                  

#                                        

interface Ethernet1/0/16                  

#                                        

interface Ethernet1/0/17                  

#                                        

interface Ethernet1/0/18                  

#                                        

interface Ethernet1/0/19                  

#                                        

interface Ethernet1/0/20                  

#                                        

interface Ethernet1/0/21                  

#                                        

interface Ethernet1/0/22                  

#                                        

interface Ethernet1/0/23                  

#                                        

interface Ethernet1/0/24                  

#                                        

interface NULL0                          

#                                        

ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 preference 60

#                                        

user-interface aux 0                      

user-interface vty 0 4      

authentication-mode scheme              

#                                        

return                                    

]

验证结果

客户端认证

220334760.png

DHCP动态获得地址

220354587.png

220416589.png

TELNET界面

220429551.png