AAA认证
AAA简介
AAA是Authentication ,Authorization and Accounting (认证,授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是一种对网络安全的管理。
AAA认证方式
本地认证:将用户信息配置到设备上。优点:认证速度快,可降低运营成本。缺点:在设备上的存储信息受到限制。
远端认证:支持通过RADIUS协议或hwtacacs协议进行远端认证,设备(quidway)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可采用标准或扩展的radius协议。
首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。最后一步是账户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行账户过程。验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。目前最新的发展是Diameter协议。。
【实验目的】
①防火墙的单臂路由实现多Vlan间通信。
②利用防火墙的DHCP中继实现多Vlan动态获得地址。
③用户通过AAA认证,访问外网。
④远程带内管理(Telnet)各设备,需要AAA验证。
【实验拓扑图】
【实验设备】
H3C防火墙(一台)
H3C二层交换机(一台)
AAA服务器(WinServer2003虚拟机)
DHCP服务器(Linux 虚拟机)
测试PC(2台)
【准备工作】
①按照拓扑规划进行相应的配置(地址、单臂路由、DHCP中继)
②开启dot1x协议,并应用于相应的接口上。
③配置AAA方案,域,并在域内关联相应方案。
④依照拓扑配置相应的服务器,按照地址规划分配IP地址
在dhcp服务器上的配置文件dhcpd.conf
【实验配置】
(防火墙配置)
<H3C>
%Aug 12 18:10:37:367 2013 H3C SHELL/4/LOGIN: Console login from con0
<H3C>
<H3C>
<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]dis cu
#
sysname H3C
#
super password level 3 simple 123456
#
domain default enable ty
#
firewall packet-filter enable
firewall packet-filter default permit
#
undo insulate
#
firewall statistic system enable
#
radius scheme system
server-type extended
radius scheme ty
server-type standard
primary authentication 192.168.30.151
key authentication 123456
user-name-format without-domain
#
domain system
domain ty
scheme radius-scheme ty
authentication local
access-limit enable 10
accounting optional
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
local-user user2
password simple 123
service-type telnet
level 3
#
interface Aux0
async mode flow
#
interface Ethernet0/0
ip address 192.168.1.254 255.255.255.0
dhcp select relay
#
interface Ethernet0/0.10
ip address 192.168.10.1 255.255.255.0
ip relay address 192.168.30.100
dhcp select relay
vlan-type dot1q vid 10
#
interface Ethernet0/0.20
ip address 192.168.20.1 255.255.255.0
ip relay address 192.168.30.100
dhcp select relay
vlan-type dot1q vid 20
#
interface Ethernet0/0.30
ip address 192.168.30.1 255.255.255.0
dhcp select relay
vlan-type dot1q vid 30
#
interface Ethernet0/4
#
interface Encrypt1/0
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/0.10
add interface Ethernet0/0.20
add interface Ethernet0/0.30
set priority 85
#
firewall zone untrust
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
FTP server enable
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
交换机配置
[Quidway]dis cu
#
sysname Quidway
#
super password level 3 simple 123456
#
local-server nas-ip 192.168.30.151 key 123456
#
domain default enable ty
#
dot1x
dot1x authentication-method pap
#
radius scheme system
radius scheme xxx
server-type standard
primary authentication 192.168.30.151
accounting optional
key authentication 123456
user-name-format without-domain
#
domain system
domain ty
scheme radius-scheme xxx
access-limit enable 10
accounting optional
#
vlan 1
#
vlan 10
#
vlan 20
#
vlan 30
#
interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
port access vlan 10
dot1x
#
interface Ethernet1/0/2
port access vlan 20
dot1x
#
interface Ethernet1/0/3
port access vlan 30
#
interface Ethernet1/0/4
port link-type trunk
port trunk permit vlan all
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 preference 60
#
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
]
验证结果
客户端认证
DHCP动态获得地址
TELNET界面
转载于:https://blog.51cto.com/muxiaohao/1275544