NAS在PAT下的AAA

最新推荐文章于 2023-07-30 15:15:51 发布
最新推荐文章于 2023-07-30 15:15:51 发布
阅读量172 收藏
点赞数
文章标签: 数据库
原文链接:https://yq.aliyun.com/articles/464230
版权

1.测试拓扑:

 
http://www.cisco.com/en/US/docs/ios/12_3/12_3b/feature/guide/gt_siara.html

上面链接有如下文字,说明是在记账是才用的上:

 RADIUS servers normally check the source IP address in the IP header of the RADIUS packets to track the source of the RADIUS requests and to maintain security. The NAT or PAT solution satisfies these requirements because only a single source IP address is used even though RADIUS packets come from different NAS routers.

However, when retrieving accounting records from the RADIUS database, some billing systems use RADIUS attribute 4, NAS-IP-Address, in the accounting records. The value of this attribute is recorded on the NAS routers as their own IP addresses. The NAS routers are not aware of the NAT or PAT that runs between them and the RADIUS server; therefore, different RADIUS attribute 4 addresses will be recorded in the accounting records for users from the different NAS routers. These addresses eventually expose different NAS routers to the RADIUS server and to the corresponding billing systems


2.基本配置:
R1:
interface FastEthernet0/0
 ip address 10.1.1.1 255.255.255.0
 no shut
interface Loopback0
 ip address 1.1.1.1 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.1.1.3

R2:
interface FastEthernet0/0
 ip address 10.1.1.2 255.255.255.0
 no shut
interface Loopback0
 ip address 2.2.2.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 10.1.1.3

R3:
interface Ethernet0/0
 ip address 10.1.1.3 255.255.255.0
 ip nat inside
 no shut
interface Ethernet0/1
 ip address 100.1.1.1 255.255.255.0
 ip nat outside
 no shut
access-list 10 permit 10.1.1.0 0.0.0.255
ip nat inside source list 10 interface Ethernet0/1 overload

ACS:
①添加AAA client:
 
②添加认证用户:
 
③开启Radius记账:
 
3.NAS的Radius配置:
①开启AAA,并做线下保护:
aaa new-model
aaa authentication login noacs line none
line con 0
 login authentication noacs
line aux 0
 login authentication noacs
②认证:
radius-server host 100.1.1.100 auth-port 1645 acct-port 1646 key cisco
aaa authentication login acs group radius line none
line vty 0 5
 login authentication acs
③授权:
aaa authorization exec default group radius if-authenticated 
aaa authorization network default group radius
④记账:
aaa accounting exec default start-stop group radius
aaa accounting exec acs start-stop group radius
aaa accounting network default start-stop group radius
aaa accounting connection default start-stop group radius
aaa accounting system default start-stop group radius
⑤测试:
test aaa group radius ccsp 1234qwer new-code
4.登录测试:
①从R2上telnetR1:
R2#telnet 10.1.1.1
Trying 10.1.1.1 ... Open


User Access Verification

Username: ccsp
Password: 

R1>

②下面为debug信息:
-----从debug信息可以看到12.4的IOS默认是带有NAS-IP-Address 的Radius

-----否则从ACS上记录就不是NAS设备的接口地址,而是PAT后的地址

attribute 的:
R1#debug radius 
Radius protocol debugging is on
Radius protocol brief debugging is off
Radius protocol verbose debugging is off
Radius packet hex dump debugging is off
Radius packet protocol debugging is on
Radius elog debugging debugging is off
Radius packet retransmission debugging is off
Radius server fail-over debugging is off
Radius elog debugging debugging is off
R1#
*Mar  1 01:37:43.731: RADIUS/ENCODE(0000000C): ask "Username: "
*Mar  1 01:37:43.731: RADIUS/ENCODE(0000000C): send packet; GET_USER
R1#
*Mar  1 01:37:45.815: RADIUS/ENCODE(0000000C): ask "Password: "
*Mar  1 01:37:45.815: RADIUS/ENCODE(0000000C): send packet; GET_PASSWORD
R1#
*Mar  1 01:37:48.519: RADIUS/ENCODE(0000000C):Orig. component type = EXEC
*Mar  1 01:37:48.523: RADIUS:  AAA Unsupported Attr: interface         [174] 5   
*Mar  1 01:37:48.523: RADIUS:   74 74 79                                         [tty]
*Mar  1 01:37:48.523: RADIUS/ENCODE(0000000C): dropping service type, "radius-server attribute 6 on-for-login-auth" is off
*Mar  1 01:37:48.527: RADIUS(0000000C): Config NAS IP: 0.0.0.0
*Mar  1 01:37:48.527: RADIUS/ENCODE(0000000C): acct_session_id: 10
*Mar  1 01:37:48.527: RADIUS(0000000C): sending
*Mar  1 01:37:48.531: RADIUS/ENCODE: Best Local IP-Address 10.1.1.1 for Radius-Server 100.1.1.100
*Mar  1 01:37:48.535: RADIUS(0000000C): Send Access-Request to 100.1.1.100:1645 id 1645/11, len 79
*Mar  1 01:37:48.535: RADIUS:  authenticator 23 FF FD 4D FB FF EE 28 - 90 ED 86 BD FE 99 6A 34
*Mar  1 01:37:48.539: RADIUS:  User-Name           [1]   6   "ccsp"
*Mar  1 01:37:48.539: RADIUS:  User-Password       [2]   18  *
*Mar  1 01:37:48.539: RADIUS:  NAS-Port            [5]   6   66                        
*Mar  1 01:37:48.539: RADIUS:  NAS-Port-Id         [87]  7   "tty66"
*Mar  1 01:37:48.543: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Mar  1 01:37:48.543: RADIUS:  Calling-Station-Id  [31]  10  "10.1.1.2"
*Mar  1 01:37:48.543: RADIUS:  NAS-IP-Address      [4]   6   10.1.1.1                  
*Mar  1 01:37:48.615: RADIUS: Received from id 1645/11 100.1.1.100:1645, Access-Accept, len 49
*Mar  1 01:37:48.619: RADIUS:  authenticator BC 45 8F DA 54 02 5B B1 - 2E 2F B9 E0 09 03 3B 24
*Mar  1 01:37:48.619: RADIUS:  Framed-IP-Address   [8]   6   255.255.255.255           
*Mar  1 01:37:48.619: RADIUS:  Class               [25]  23  
*Mar  1 01:37:48.623: RADIUS:   43 41 43 53 3A 30 2F 35 62 37 2F 61 30 31 30 31  [CACS:0/5b7/a0101]
*Mar  1 01:37:48.623: RADIUS:   30 31 2F 36 36                                   [01/66]
*Mar  1 01:37:48.655: RADIUS(0000000C): Received from id 1645/11
*Mar  1 01:37:48.667: RADIUS/ENCODE(0000000C):Orig. component type = EXEC
*Mar  1 01:37:48.671: RADIUS(0000000C): Config NAS IP: 0.0.0.0
*Mar  1 01:37:48.671: RADIUS(0000000C): sending
*Mar  1 01:37:48.675: RADIUS/ENCODE: Best Local IP-Address 10.1.1.1 for Radius-Server 100.1.1.100
*Mar  1 01:37:48.679: RADIUS(0000000C): Send Accounting-Request to 100.1.1.100:1646 id 1646/9, len 118
*Mar  1 01:37:48.679: RADIUS:  authenticator 89 C8 38 B4 FD DF 2D 53 - 30 08 B6 70 30 81 45 41
*Mar  1 01:37:48.679: RADIUS:  Acct-Session-Id     [44]  10  "0000000A"
*Mar  1 01:37:48.679: RADIUS:  User-Name           [1]   6   "ccsp"
*Mar  1 01:37:48.683: RADIUS:  Acct-Authentic      [45]  6   RADIUS                    [1]
*Mar  1 01:37:48.683: RADIUS:  Acct-Status-Type    [40]  6   Start                     [1]
*Mar  1 01:37:48.683: RADIUS:  NAS-Port            [5]   6   66                        
*Mar  1 01:37:48.687: RADIUS:  NAS-Port-Id         [87]  7   "tty66"
*Mar  1 01:37:48.687: RADIUS:  NAS-Port-Type       [61]  6   Virtual                   [5]
*Mar  1 01:37:48.687: RADIUS:  Calling-Station-Id  [31]  10  "10.1.1.2"
*Mar  1 01:37:48.687: RADIUS:  Class               [25]  23  
*Mar  1 01:37:48.691: RADIUS:   43 41 43 53 3A 30 2F 35 62 37 2F 61 30 31 30 31  [CACS:0/5b7/a0101]
*Mar  1 01:37:48.691: RADIUS:   30 31 2F 36 36                                   [01/66]
*Mar  1 01:37:48.691: RADIUS:  Service-Type        [6]   6   NAS Prompt                [7]
*Mar  1 01:37:48.695: RADIUS:  NAS-IP-Address      [4]   6   10.1.1.1                  
*Mar  1 01:37:48.695: RADIUS:  Acct-Delay-Time     [41]  6   0                         
*Mar  1 01:37:48.783: RADIUS: Received from id 1646/9 100.1.1.100:1646, Accounting-response, len 20
*Mar  1 01:37:48.783: RADIUS:  authenticator 99 06 C5 F8 12 E7 D8 60 - EC 21 E8 B4 47 03 98 1C
③查看ACS上面的记账:
 
5.修改NAS的的Radius配置,设置NAS-IP-Address 属性:
①配置命令:
R1(config)#radius-server attribute 4 1.1.1.1
R2(config)#radius-server attribute 4 2.2.2.2
②重新登录测试,查看ACS上面的记账:





本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/970824,如需转载请自行联系原作者

weixin_34293246
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
黑群晖NAS (ARPL引导)安装教程
cheng1999_cn1的博客
03-29 6892
写这个的目的是因为本人健忘所以做个记录以便日后再折腾时查阅,。- 本人笔拙如有选词,错字,语法,标点错误请忽视,大概率知道了也不会修改,本人能看懂就好。- 内容仅适用于本人的使用环境,不同环境请忽视或仅作参考。- 文中出现的内容来自网络和本人浅薄的认知,如果万一有侵犯他人内容请私信。- 纯自己瞎记录, 虽然没啥可能性如果万一以千万分之一的概率得到赏识被转载的话还请注明作者和出处用上述方法ARPL制作完引导后碰到启动问题试试换U盘,或者通过设置BIOS 来解决。
Radius认证协议(三)报文属性-1
热门推荐
milaoshu76的专栏
05-18 3万+
属性 RADIUS属性携带用于请求和应答的特定认证、授权、信息和配置细节。 Attributes列表的结束由RADIUS数据包的Length字段决定。 Attributes列表可以包含同一种属性多次。 如果存在多个相同Type的属性,则任何代理都必须保留相同Type的属性的顺序。不需要保留不同Type属性的顺序。RADIUS服务器或客户端不能依赖不同Type的属性顺序。RADIUS服务器或客户端不能要求相同Type的属性是连续的。 属性格式如下, 字段从左到右传输。 Type
Radius认证协议(七)报文属性
milaoshu76的专栏
01-15 8689
NAS-Identifier 此属性包含标识发送Access-Request的NAS的字符串,仅用于Access-Request数据包。访问请求数据包中必须包含NAS-IP-Address或NAS-Identifier。 注意,NAS-Identifier不能用于选择用于验证请求的共享密钥。必须使用Access-Request包的源IP地址来选择共享密钥。 NAS-Identifier属性格式如下, 字段从左到右传输。 Type:32。 Length:≥3。 String:一个或多个字.
RADIUS and IPv6[frc-3162译文]
少年派的咖啡之旅
06-20 667
如今项目中需要涉及到RADIUS及IPv6的使用,而网络中的资料相对较少,现对frc-3162进行中文翻译,分享出来。 由于英语水平有限,翻译不恰当的地方,还请提出,便于在下及时修改。 原文链接 这份文档的状态 本文件规定了因特网社区的因特网标准跟踪协议,并要求讨论和改进建议。 请参考当前版本的“因特网官方协议标准”(STD 1),以了解该协议的标准化状态和状态。这份备忘录的分发是无限的。
公网访问NAS配置流程
最新发布
07-30 1441
记录下,外网访问NAS的配置过程以及注意事项
在Windows Server 2019上配置NAS的方法
09-29
主要介绍了在Windows Server 2019上配置NAS的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
NAS安装包.zip
05-25
NAS群晖系统安装包】,NAS被定义为一种特殊的专用数据存储服务器,包括存储器件(例如磁盘阵列、CD/DVD驱动器、磁带驱动器或可移动的存储介质)和内嵌系统软件,可提供跨平台文件共享功能。
群晖NAS系列教程.zip
07-28
群晖NAS系列教程.zip
Nas安装工具打包.zip
03-25
Nas安装工具打包
centos7环境下搭建nas服务并完成数据迁移
03-25
此文档介绍了centos7环境下搭建nas服务并完成数据迁移
群晖6.1.3 IMG
03-11
群晖稳定6.1.3引导文件,给需要的朋友。个人不建议升级到6.2以上。
精确绑定了,呵呵:( radius attribute nas-port-id format modified-agent-circuit-id
631799的专栏
01-12 6492
--radius attribute nas-port-id format modified-agent-circuit-idVBAS这句蛮有用的,呵呵.符合中国电信集团的2007标准.蛮不错的.#radius attribute nas-port-id format modified-agent-circuit-idAug 5 00:49:14: [0001]: [1/3:1023:63/3
RADIUS协议指南
勤能补拙
11-05 1万+
参考网址:http://www.tutorialspoint.com/radius/index.htm        RADIUS:Remote AuthenticationDial In User Service        RADIUS是一个承载认证、鉴权相关信息的协议,网络访问服务(NAS)之间的配置,希望认证它们的链路和共享认证服务。 AAANAS        在开始学习RA
Radius属性
shany_121的专栏
08-11 1万+
<br />【转】http://support.huawei.com/support/pages/kbcenter/view/product.do?actionFlag=searchManualContents&web_doc_id=SC0000594236&material_type=ProductManual&part_no=10132<br /> A.1  RADIUS属性<br />介绍了RADIUS的属性A.1.1 标准RADIUS属性A.1.2 华为RADIUS属性A.1.1  标准RADIUS
关于freeradius的配置
xiayefanxing的专栏
03-17 1万+
关于freeradius的配置步骤:      相关软件的安装 1、安装 OpenSSL 2、安装MySQL 3、安装FreeRadius 用tar命令解压MySQL的安装包,然后进行解压文件进行安装 安装好后,#service mysqld start 启动数据库。 使用#netstat -nax查看3306端口是否在使用,从而确定安装是否成功。 #mysqladmin -u r
Freeradius配置文件radiusd.conf分析(部分)
12-11 4609
Radiusd.conf文件是freeradius的核心配置文件,其中设置了 服务器的基本信息, 配置文件与日志文件的环境变量,并详细配置freeradius模块所使用的信息, 与认证和计费所使用模块的配置.配置的变量定义的形式为${foo},他们就在这个文件上,并且不随请求到请求而改变. 变量的格式参照 variables.txt.1.1 环境变量此处定义其他配置文
radtest的含义
shenlanse8805的专栏
01-02 2715
执行 radtest test test localhost 0 testing123后出现: Sending Access-Request of id 121 to 127.0.0.1 port 1812     User-Name = "test"     User-Password = "test"     NAS-IP-Address = 192.168.168.7     NA
aaa服务器是如何提供授权信息到nas的,配置AAA命令之授权相关命令
weixin_35915157的博客
08-12 854
aaa authorization commands对于已登录到NAS的CLI界面上的用户,要使用要AAA命令授权功能对用户执行的命令进行授权,允许或禁止某个用户执行具体的命令。请执行全局配置命令aaa authorization commands。该命令的no形式关闭AAA命令授权功能。aaa authorization commandslevel {default| list-name}met...
在群晖nas安装cpolar套件
07-29
在列表中,通过搜索栏输入“Cpolar”,然后按下回车键进行搜索。 在搜索结果中,可以找到Cpolar套件的相关信息。点击右侧的“安装”按钮,开始安装Cpolar套件。 在确认对话框中,点击“是”按钮,表示同意安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值