AAA认证功能介绍

《AAA认证功能介绍》由会员分享，可在线阅读，更多相关《AAA认证功能介绍（15页珍藏版）》请在装配图网上搜索。

1、OLTAAA认证功能介绍VESION 1.02011年7月7日AAA认证功能介绍1一、相关知识点介绍31.1. AAA简介31.1.1. 认证功能31.1.2. 授权功能31.1.3. 计费功能31.2. ISP Domain简介41.3. Radius协议简介41.3.1. RADIUS 效劳的3个局部41.3.2. RADIUS 的根本消息交互流程41.4. TACACS+协议简介51.5. RADIUS和TACACS+实现的区别7使用UDP而TACACS+使用TCP71.5.2.加密方式7二、OLT上的AAA功能特点8三、AAA认证命令行配置83.1. AAA配置83.2. 配置ISP域

2、93.3. 配置RADIUS协议103.4. 配置TACACS+协议11四、AAA认证server简介124.1. 安装环境介绍：124.2. 安装和简要配置12五、配置案例135.1. Telnet用户通过RADIUS效劳器认证的应用配置135.2. Telnet用户通过TACACS+效劳器认证的应用配置155.3. Telnet用户通过双效劳器实现主备冗余的radius认证17一、 相关知识点介绍1.1. AAA简介AAA 是Authentication，Authorization and Accounting认证、授权和计费的简称，它提供了一个对认证、授权和计费这三种平安功能进行配置的一

3、致性框架，实际上是对网络平安的一种管理。这里的网络平安主要是指访问控制，包括： 哪些用户可以访问网络效劳器； 具有访问权的用户可以得到哪些效劳； 如何对正在使用网络资源的用户进行计费。针对以上问题，AAA 必须提供认证功能、授权功能和计费功能。. 认证功能AAA 支持以下认证方式： 不认证：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。 本地认证：将用户信息包括本地用户的用户名、密码和各种属性配置在设备上。本地认证的优点是速度快，可以降低运营本钱；缺点是存储信息量受设备硬件条件限制。 远端认证：支持通过RADIUS 协议或TACACS+协议进行远端认证，设备作为客户端，与RAD

4、IUS 效劳器或TACACS+效劳器通信。对于RADIUS 协议，可以采用标准或扩展的RADIUS 协议。. 授权功能AAA 支持以下授权方式： 直接授权：对用户非常信任，直接授权通过。 本地授权：根据设备上为本地用户XX配置的相关属性进行授权。 RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能单独使用RADIUS 进行授权。 TACACS+授权：由TACACS+效劳器对用户进行授权。. 计费功能AAA 支持以下计费方式： 不计费：不对用户计费。 远端计费：支持通过RADIUS 效劳器或TACACS+效劳器进行远端计费。AAA 一般采用客户端/效劳器结构：客户端

5、运行于被管理的资源侧，效劳器上集中存放用户信息。因此，AAA 框架具有良好的可扩展性，并且容易实现用户信息的集中管理。1.2. ISP Domain简介ISP 域即ISP 用户群，一个ISP 域是由属于同一个ISP 的用户构成的用户群。在“useridisp-name形式的用户名中，“后的“isp-name即为ISP 域的域名。接入设备将“userid作为用于身份认证的用户名，将“isp-name作为域名。在多ISP 的应用环境中，同一个接入设备接入的有可能是不同ISP 的用户。由于各ISP 用户的用户属性例如用户名与密码构成、效劳类型/权限等有可能各不相同，因此有必要通过设置ISP 域的方法

6、把它们区别开。在ISP 域视图下，可以为每个ISP 域配置包括使用的AAA 策略使用的RADIUS方案等在内的一整套单独的ISP 域属性。1.3. Radius协议简介RADIUSRemote Authentication Dial-In User Service，远程认证拨号用户效劳是一种分布式的、客户端/效劳器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高平安性、又要求维持远程用户访问的各种网络环境中。. RADIUS 效劳的3个局部 协议：RFC 2865 和RFC 2866 基于UDP/IP 层定义了RADIUS 帧格式与其消息传输机制，并定义了1812 作为

7、认证端口，1813 作为计费端口。 效劳器：RADIUS 效劳器运行在中心计算机或工作站上，包含了相关的用户认证和网络效劳访问信息。 客户端：位于拨号访问效劳器设备侧，可以遍布整个网络。. RADIUS 的根本消息交互流程RADIUS 客户端交换机和RADIUS 效劳器之间通过共享密钥来认证交互的消息，增强了平安性。RADIUS 协议合并了认证和授权过程，即响应报文中携带了授权信息。用户、交换机、RADIUS 效劳器之间的交互流程如下列图所示。1.4. TACACS+协议简介在计算机网络中，TACACS+(Terminal Access Controller Access-Control Sy

8、stem Plus)是一种为路由器、网络访问效劳器和其他互联计算设备通过一个或多个集中的效劳器提供访问控制的协议。TACACS+提供了独立的认证、授权和记账效劳。尽管RADIUS在用户配置文件中集成了认证和授权，TACACS+别离了这两种操作，另外的不同在于TACACS+使用传输控制协议(TCP)而RADIUS使用用户报文协议(UDP).多数管理员建议使用TACACS+，因为TCP被认为是更可靠的协议。TACACS+协议的扩展为最初的协议标准提供了更多的认证请求类型和更多的响应代码。TACACS+ 使用TCP端口49，包括三种独立的协议，如果需要，能够在独立的效劳器上实现。TACACS+效劳器

9、的典型部署场景如下列图：TACACS+认证因为是基于tcp的认证，其报文交互性要XX时，其具体过程如下列图所示。1.5. RADIUS和TACACS+实现的区别.RADIUS使用UDP而TACACS+使用TCPTCP提供比UDP更多的高级特性，TCP是面向连接的可靠传输效劳，但UDP只提供最优的传输，因而RADIUS需要额外的代码来实现例如重传、超时等机制，所有这些在TCP中已是固有的特性。.加密方式RADIUS仅对密码本身进行加密，对报文的其他局部并未加密是明文传输的。这些信息可能通过第三方软件捕获。TACACS+对整个数据包进行加密，仅留下TACACS+的数据包头，在数据包头中有一个标识位

10、表示该数据包是加密的还是未加密的，未加密的数据包做调试用，而一般应用中的那么是加密的，因而TACACS+对整个数据包加密保证了客户端与效劳器之间通信的平安性。二、 OLT上的AAA功能特点OLT上的AAA认证功能设计也是按照AAA框架配置、域相关配置、radius效劳器相关配置、tacacs+效劳器相关配置4个模块设计相关的功能、命令集。OLT开发AAA认证的主要目的是实现OLT登录用户的集中管理，集中部署，防止在每台OLT上添加/删除用户带来麻烦。对此，OLT上的AAA认证功能和理论上的AAA认证以与OLT本地认证功能的差异进行了简单整理，主要如下：序号OLT本地认证我们OLT上的AAA认证

11、实现的功能理论上的AAA认证实现的功能1NO局部支持利用radius认证实现网络管理员对OLT登录操作的集中管理哪些用户可以访问网络效劳器2NO局部支持不同域没有区分效劳等级的作用具有访问权的用户可以得到哪些效劳3NONO如何对正在使用网络资源的用户进行计费4启用远端认证后，本地认证配置的用户名/密码将失效OLT超级管理员用户不受AAA认证约束5config login-authentication enable 依然生效只要通过AAA认证的都是管理员权限，不再细分三、 AAA认证命令行配置3.1. AAA配置命令说明GFA6900(config)#config login-auth aaa_

12、authGFA6900(config)#config login-auth local配置AAA认证为本地认证或者远端认证；缺省为本地认证，本地认证时本地用户名/密码配置有效；GFA6900(config)#config aaa-authentication enableGFA6900(config)#config aaa-authentication disable配置AAA认证启用或者禁用；缺省是禁用；GFA6900(config)#config login-aaa time 配置AAA认证时client端提交用户名密码后等待时间；缺省时间是30秒；3.2. 配置ISP域ISP域即ISP用

13、户群，一个ISP域属于同一个ISP的用户构成。在“user_nameisp_name形式的用户名中，“后的“isp_name即为ISP域的域名，接入设备将“user_name作为用户身份认证的用户名，将“isp_name作为域名。命令说明GFA6900(config)#create isp-domain GFA6900(config)#delete isp-domain 创立/删除一个ISP域；Default域不能被删除；域名规那么：首字符只能为大小写字母，domain不能包含除“a-z,“A-Z,“0-9,“_,“.以外的字符，domain的长度不能超过20个字节；GFA6900(confi

14、g)#show isp-domain GFA6900(config)#show isp-domain查看当前存在的ISP域；OLT上同时最多可以包含5个ISP域包含缺省的default域GFA6900(config)#config isp-domain default username completeGFA6900(config)#config isp-domain default username incomplete配置用户输入时是否要输入带域名的用户名；缺省是complete，要输入的；不带域名的用户名系统认为是default域的用户；GFA6900(config)#config is

15、p-domain default aaa-protocol radiusGFA6900(config)#config isp-domain default aaa-protocol tacacs配置在default域中使用radius协议或者使用tacacs协议；在所有域中缺省使用radius协议；GFA6900(config)#config isp-domain default authentication mode independentGFA6900(config)#config isp-domain default authentication mode primary-backup配

16、置在default域中认证模式是independent或者primary-backup；Independent：只有第一个效劳器有效；Primary-backup：主备模式认证，当地一个primary的效劳器不响应时会向backup的效劳器发起请求；默认是independent方式的认证；GFA6900(config)#config isp-domain default authentication add-server id 0GFA6900(config)#config isp-domain default authentication delete-server id 0将配置好的rad

17、ius server 0在default域中启用；从default域中删除radisu server 0；添加server时先添加id小的，删除server时先删除id大的；GFA6900(config)#config isp-domain default tacc-authentication add-server id 0GFA6900(config)#config isp-domain default tacc-authentication delete-server id 0将配置好的tacacs+ server 0在default域中启用；从default域中删除tacacs+ se

18、rver 0；添加server时先添加id小的，删除server时先删除id大的；GFA6900(config)#config isp-domain default authentication config-server id 0 type primaryGFA6900(config)#config isp-domain default tacc-authenticate config-server-id 0 type primary手工设置在default域中id为0的效劳器为主效劳器；缺省情况下被添加的第一个server为主效劳器；3.3. 配置RADIUS协议命令说明GFA6900(c

19、onfig)#radius authentication enableGFA6900(config)#radius authentication disable启用/禁用radius协议；默认是禁用；这里的设置是全局生效，影响所有的域；GFA6900(config)#radius authentication add-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130 udp-port 1234Server id ：添加效劳器的编号，范围是04，先从小的id开始用；Server-ip：指定radius server的ip地址；

20、Client-ip：OLT的ip地址；Udp-port：radius server使用的认证端口号，默认是1812；GFA6900(config)#radius authentication delete-server id 0删除id为0的radius server效劳器；删除时应该按照id从大到小的顺序来；GFA6900(config)#radius authentication server-switch enableGFA6900(config)#radius authentication server-switch disable配置radius server切换开关翻开/关闭；默认

21、是关闭；Radius server切换开关也是全局生效，配置后会影响所有域；GFA6900(config)#radius authentication config-server id 0 status active配置id为0的radius server的状态是active的；缺省情况下新加的效劳器都是active的；本命令主要是在特定情况下人工干预状态使用；GFA6900(config)#radius authentication config-server id 0 shared-secret greenway配置和id为0的radius server通信时的共享密钥是greenway1

22、；缺省的共享密钥是greenway；Client和server正常通行的前提是共享密钥必须一致！GFA6900(config)#radius authentication config-server id 0 max-retransmit-count 5GFA6900(config)#radius authentication config-server id 0 retransmit-interval 5配置radius协议的重传间隔/重传次数分别是5；缺省配置时重传间隔/次数都是3；3.4. 配置TACACS+协议命令说明GFA6900(config)#tacc authenticatio

23、n enableGFA6900(config)#tacc authentication disable启用/禁用tacacs+协议；默认是禁用；这里的设置是全局生效，影响所有的域；GFA6900(config)#tacc authentication add-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130 share-key greenway1Server id ：添加效劳器的编号，范围是04，先从小的id开始用；Server-ip：指定tacacs+ server的ip地址；Client-ip：OLT的ip地址；Shar

24、e-key：共享密钥缺省是greenway，OLT和tacacs+ server端配置一致；认证端口：默认的tacacs+ server认证端口使用tcp 49；GFA6900(config)#tacc authentication delete-server id 0删除id为0的tacacs+ server效劳器；删除时应该按照id从大到小的顺序来；GFA6900(config)#tacc authentication server-switch enableGFA6900(config)#tacc authentication server-switch disable配置tacacs+

25、 server切换开关翻开/关闭；默认是关闭；Tacacs+ server切换开关也是全局生效，配置后会影响所有域；GFA6900(config)#tacc authentication config-server id 0 status activeGFA6900(config)#tacc authentication config-server id 0 status inactive配置id为0的radius server的状态是active的；缺省情况下新加的效劳器都是active的；本命令主要是在特定情况下人工干预状态使用；GFA6900(config)#tacc authentic

26、ation config-server id 0 share-key greenway1配置和id为0的tacacs+ server通信时的共享密钥是greenway1；缺省的共享密钥是greenway；Client和server正常通行的前提是共享密钥必须一致！GFA6900(config)#config tacc re-transmit period 5GFA6900(config)#config tacc re-transmit max-num 5配置tacacs+协议的重传间隔/重传次数分别是5；缺省配置时重传间隔/次数都是3；四、 AAA认证server简介AAA认证server也有

27、多种软件，这里只推荐一种适合在现网部署的效劳器软件-Cisco Secure ACS v4.2，该软件的功能比拟强大、稳定，我们只需简单配置就能满足我们使用的需求。4.1. 安装环境介绍：Windows 2003 server sp1版本局部windows 2000server版也可以，推荐20031G以上内存1.8 GHz或更高CPUNTFS文件系统已经安装Java虚拟接-1_5_0-windows-i586.exe更多考前须知请参考文档安装手册，这里只列举了特别需要注意的工程。4.2. 安装和简要配置 ACS的安装步骤只需要在具备以上环境的工作站上一路点“next直至安装完毕，所以详细的步

28、骤这里不再介绍。 ACS安装完成后会在桌面上自动生成一个“ACS admin的管理页面，单击该管理页面进行ACS的配置。注：这一步骤中如果ACS的管理页面无法翻开，请在IE属性平安 菜单里将这个页面设置为受信任的站点即可； ACS页面翻开后的菜单如下列图，标红的局部是必须要做初始配置的3个选项卡，我们只做普通的认证效劳器来用的话，这三个菜单里的配置就够，不涉与其他菜单配置。User Setup：在该菜单里完成用户名/密码的添加、修改；Network Configuration：在该菜单里完成客户端的设置，共享密钥的设置；Adminstration Control：在该菜单里设置ACS serv

29、er的超级管理员，用于远程登录，添加、修改server上的各个配置信息； 这里对ACS的各个子菜单不做详细介绍，单进去后看各个菜单的提示设置就可以的。 对于ACS详细的安装、配置专门有一个文档，讲的很详细，有兴趣请参看“ACS安装&配置手册.doc，已经放到共享效劳器上。五、 配置案例以下提供3个分别通过radius和tacacs+实现的具体配置案例，5.1. Telnet用户通过RADIUS效劳器认证的应用配置该案例是按照在default域中实现radius认证的配置。步骤命令说明步骤1GFA6900(config)#config login-authentication enable配置A

30、AA认证使能步骤2GFA6900(config)#config login-auth aaa_auth配置AAA认证模式是远端认证模式步骤3GFA6900(config)#radius authentication enable配置radius认证功能使能步骤4GFA6900(config)#radius authentication add-server id 0 server-ip 配置radius server 、radius client ip地址；本步骤中忽略配置udp port即使用1812默认端口，要确保server端使用该端口；步骤5GFA6900(config)#radius

31、 authentication config-server id 0 shared-secret greenway1配置client和server通信时的共享密钥；Server端要保证和client配置一直才能验证成功；步骤6GFA6900(config)#config isp-domain default authentication add-server id 0在default域中启用server id 0的配置项；步骤7GFA6900(config)#config isp-domain default aaa-protocol radius在default域中启用radius认证步骤8

32、GFA6900(config)#show radiusRADIUS AUTH: EnableID STATE SERVER-IP SERVER-PORT CLIENT-IP SECRET- - - - - -0 ACTIVE 192.168.2.244 1812 192.168.2.130 greenway1ID RETRANSMIT-INTERVAL MAX-RETRANSMIT-COUNT- - -0 3 3GFA6900(config)#查看radisu相关配置步骤9GFA6900(config)#show isp-domain default=Domain Id : 0 AAA Pro

33、tocol : RADIUSDomain Name : default Authenticate Mode : independentRadius Authentication: Enabled User Name : completeTacc+ Authentication: DisabledRadius Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT CLIENT-IP SECRET- - - - - - -0 PRIMARY ACTIVE 192.168.2.244 1812 192.168.2.130 greenway1TACA

34、CS+ Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT SECRET-GFA6900(config)#查看defaut域相关配置5.2. Telnet用户通过TACACS+效劳器认证的应用配置该案例是按照在default域中实现tacacs+认证的配置。步骤命令说明步骤1GFA6900(config)#config login-authentication enable配置AAA认证使能步骤2GFA6900(config)#config login-auth aaa_auth配置AAA认证模式是远端认证模式步骤3GFA6900(conf

35、ig)#tacc authentication enable配置tacacs+认证功能使能步骤4GFA6900(config)#tacc authentication add-server id 0 server-ip 配置tacacs+ server 、tacacs+ client ip地址；步骤5GFA6900(config)#tacc authentication config-server id 0 shared-secret greenway1配置client和server通信时的共享密钥；Server端要保证和client配置一直才能验证成功；步骤6GFA6900(config)#

36、config isp-domain default tacc-authentication add-server id 0在default域中启用server id 0的配置项；步骤7GFA6900(config)#config isp-domain default aaa-protocol tacacs在default域中启用tacacs+认证步骤8GFA6900(config)#show tacc= TACC authentication enabled- id server-status server-ip client-ip tcp-port share-key- 0 Active 1

37、92.168.2.244 192.168.2.130 49 greenway1-TACC re-transmit configuration= max retransmit number: 3 retransmit period: 3(seconds)-GFA6900(config)#查看tacacs+相关配置步骤9GFA6900(config)# show isp-domain default=Domain Id : 0 AAA Protocol : tacacsDomain Name : default Authenticate Mode : independentRadius Authe

38、ntication: disabled User Name : completeTacc+ Authentication: EnabledRadius Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT CLIENT-IP SECRET- - - - - - -TACACS+ Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT SECRET-0 PRIMARY ACTIVE 192.168.2.244 49 greenway1GFA6900(config)#查看defaut域相关配置5.

39、3. Telnet用户通过双效劳器实现主备冗余的radius认证该案例是按照在default域中实现主备冗余的radius认证。步骤命令说明步骤1GFA6900(config)#config login-authentication enable配置AAA认证使能步骤2GFA6900(config)#config login-auth aaa_auth配置AAA认证模式是远端认证模式步骤3GFA6900(config)#radius authentication enable配置radius认证功能使能步骤4GFA6900(config)#radius authentication add-s

40、erver id 0 server-ip GFA6900(config)#radius authentication add-server id 1 server-ip 配置tacacs+ server 、tacacs+ client ip地址；步骤5GFA6900(config)#radius authentication config-server id 0shared-secret greenway1GFA6900(config)#radius authentication config-server id 1shared-secret greenway1配置client和server通

41、信时的共享密钥；Server端要保证和client配置一直才能验证成功；步骤6GFA6900(config)#radius authentication server-switch enable开启radisu、tacacs+效劳器的切换开关步骤7GFA6900(config)#config isp-domain default authentication mode primary-backup在两个域中分别开启主备效劳器模式步骤8GFA6900(config)#config isp-domain default authentication add-server id 0GFA6900(c

42、onfig)#config isp-domain default authentication add-server id 1在default域中启用server id 0的配置项；步骤9GFA6900(config)#config isp-domain default aaa-protocol radius在default域中启用radius认证步骤10GFA6900(config)#show radiusRADIUS AUTH: EnableID STATE SERVER-IP SERVER-PORT CLIENT-IP SECRET- - - - - -0 ACTIVE 192.168.

43、2.244 1812 192.168.2.130 greenway11 ACTIVE 192.168.2.99 1812 192.168.2.130 greenway1ID RETRANSMIT-INTERVAL MAX-RETRANSMIT-COUNT- - -0 3 31 33GFA6900(config)#查看radius相关配置步骤11GFA6900(config)#show isp-domain default=Domain Id : 0 AAA Protocol : RADIUSDomain Name : default Authenticate Mode : Primary-Ba

44、ckupRadius Authentication: Enabled User Name : IncompleteTacc+ Authentication: EnabledRadius Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT CLIENT-IP SECRET- - - - - - -0 PRIMARY ACTIVE 192.168.2.244 1812 192.168.2.130 greenway11 BACKUP ACTIVE 192.168.2.99 1812 192.168.2.130 greenway1TACACS+ Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT SECRET-GFA6900(config)#查看defaut域相关配置15 / 15