aaa配置

1、AAA和802.1x,本章內容,AAA介紹配置AAARADIUS介紹配置RADIUS802.1x介紹802.1x基本配置,課程議題,,AAA基本概念,AAA介紹,AAA 是一個提供網絡訪問控制安全的模型，通常用于用戶登錄設備或接入網絡。 AAA（Authentication、Authorization、Accounting，認證、授權、計費）提供了對認證、授權和計費功能的一致性框架AAA主要解決的是網絡安全訪問控制的問題,

2、AAA介紹(續(xù)),Authentication：認證模塊可以驗證用戶是否可獲得訪問權。 Authorization：授權模塊可以定義用戶可使用哪些服務或這擁有哪些權限。 Accounting：計費模塊可以記錄用戶使用網絡資源的情況。 可實現(xiàn)對用戶使用網絡資源情況的記帳、統(tǒng)計、跟蹤。,AAA介紹(續(xù)),相對與其他的本地身份認證、端口安全等安全策略，AAA能夠提供更高等級的安全保護。AAA優(yōu)點：靈活性可控性可擴展性可靠性標準

3、化協(xié)議,AAA基本模型,AAA基本模型中分為用戶、NAS、認證服務器三個部分,AAA基本模型(續(xù)),用戶向NAS設備發(fā)起連接請求NAS設備將用戶的請求轉發(fā)給認證服務器認證服務器返回認證結果信息給NAS設備NAS設備根據(jù)認證服務器返回的認證結果對用戶采取相應認證、授權、計費的操作,課程議題,,AAA配置,配置AAA ——Authentication,啟用AAARouter(config)#aaa new-model配置驗證列表

4、Router(config)#aaa authentication service { default | list-name } method1 [ method2… ] 驗證列表用于定義對用戶進行身份認證的多種方法，這樣確保在第一種方法失敗的情況下，可以使用備份驗證方式和備份驗證系統(tǒng)。只有在前一種方法沒有應答的情況下，NAS設備才會嘗試下一種方法如果在驗證列表中的最后一種認證方式而還沒有成功，則身份認證宣告失敗,配置AAA —

5、—Authentication,參數(shù)service表示針對哪種接入方式行為進行認證，可以選擇的方式為：dot1x：對802.1x的接入行為進行認證。enable：對enable（進入特權模式）行為進行認證。login：對登錄本地的行為進行認證。ppp：對PPP接入進行認證。,配置AAA ——Authentication,參數(shù)method表示此驗證列表中使用的認證方式，認證方法可以有以下幾種方式：group radius：使用所

6、有的RADIUS服務器進行驗證group group-name：使用RADIUS服務器組中的服務器進行驗證local：使用本地用戶數(shù)據(jù)庫進行驗證。當配置local參數(shù)使用本地用戶數(shù)據(jù)庫進行驗證時，需要使用username username password password命令預先在本地創(chuàng)建用戶None：不驗證。此參數(shù)可以作為最后的備用驗證方式，如果由于網絡或設備故障導致無法正常的進行驗證時，在驗證列表的最后一步可以使用none不

7、對用戶進行驗證,配置AAA——Authentication,應用驗證列表Router(config-line)#login authentication { default | list-name } 將驗證列表應用到PPP接口：Router(config-if)#ppp authentication { default | list-name },Authentication配置示例,配置AAA——Authorization,配

8、置授權列表：Router(config)#aaa authorization network { default | list-name } method 1 [ method 2...]network：對網絡訪問進行授權，例如PPP、SLIP、Ethernet。default：默認授權列表。默認情況下，默認的授權列表default將應用于所有接口和線路。list-name：定義授權列表的名稱，后續(xù)將指定的授權列表應用于具體的接

9、口、線路時將引用此名稱。method：定義授權方法，授權方法包括group radius、local和none。將授權列表應用到PPP接口：Router(config-if)#ppp authorization { default | list-name },配置AAA——配置Accounting,配置計費列表：Router(config)#aaa accounting network { default | list-name

10、 } start-stop method 1 [method 2…] network：對網絡應用進行計費，例如PPP、SLIP、Ethernet。default：默認計費列表。默認情況下，默認的計費列表default將應用于所有接口和線路。stard-stop：網絡訪問服務器在用戶開始和結束訪問網絡的時候向RADIUS服務器發(fā)送計費信息；list-name：定義計費列表的名稱。后續(xù)將指定的計費列表應用于具體的接口、線路時將引用

11、此名稱。method：定義計費方法，計費方法包括group radius、group group-name。將計費列表應用到PPP接口：Router(config-if)#ppp accounting { default | list-name },課程議題,,RAIDUS概述,Radius協(xié)議概述,RADIUS ( Remote Authentication Dial In User Service 遠程認證撥號用戶服務 )是在

12、網絡接入設備和認證服務器之間進行認證授權計費和配置信息的協(xié)議,,,,客戶端主機,交換機,Radius服務器,,,Radius協(xié)議模型,Radius協(xié)議模型,,客戶端主機,USER,NAS,Radius服務器,交換機,Radius服務器,RADIUS協(xié)議特點,RADIUS協(xié)議特點客戶/服務器模型：網絡接入設備（NAS）通常作為RADIUS服務器的客戶端。安全性：RADIUS服務器與NAS之間使用共享密鑰對敏感信息進行加密，該密鑰不會在

13、網絡上傳輸?？蓴U展的協(xié)議設計：RADIUS使用屬性-長度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶可以自定義其他的私有屬性，擴展RADIUS的應用。靈活的鑒別機制：RADIUS服務器支持多種方式對用戶進行認證，支持PAP、CHAP、UNIX login等多種認證方式。,RADIUS認證過程,RADIUS授權過程,RADIUS計費過程,課程議題,,配置RAIDUS,配置RADIUS,配置RADIUS

14、服務器 Router(config)#radius-server host ip-address [ auth-port port | acct-port port ]*ip-address表示遠程RADIUS服務器的IP地址。auth-port參數(shù)表示配置RADIUS服務器的認證和授權端口號，默認情況下RADIUS服務器的認證和授權端口號為UDP 1812；acct-port參數(shù)表示配置RADIUS服務器的計費端口號，默認情況下

15、RADIUS服務器的計費端口號為UDP 1813。 以使用此命令添加多個RADIUS服務器，當一個RADIUS服務器不可用時將使用下一個配置的RADIUS服務器，NAS將按照配置的順序進行查找。,配置RADIUS,配置RADIUS服務器認證密鑰 Router(config)#radius-server host key { 0 string | 7 string | string }配置服務器組 Router(config)#

16、aaa group server radius group-name 將RADIUS服務器加入到服務器組中：Router(config-gs-radius)#radius-server host ip-address [ auth-port port | acct-port port ]*,RADIUS高級配置,配置RADIUS超時時間 Router(config)#radius-server timeout seconds 配

17、置RADIUS重傳次數(shù) Router(config)#radius-server retransmit retries 配置RADIUS服務器的死亡時間 Router(config)#radius-server deadtime minutes配置發(fā)送請求的源接口Router(config)#ip radius source-interface interface,AAA及RADIUS配置示例,在上圖所示的拓撲中，需要對遠程登

18、錄到NAS設備上的用戶進行AAA認證。認證方法首先使用RADIUS進行驗證，如果RADIUS無法訪問，則進行本地驗證。,AAA及RADIUS配置示例(續(xù)),,課程議題,,802.1x介紹,802.1x概述,局域網的特點IEEE 802局域網協(xié)議定義的局域網不提供認證只要用戶接入到網絡，就可以訪問網絡資源威脅內部網絡安全移動辦公、WLAN802.1x起初用于解決802.11無線局域網的接入認證問題現(xiàn)在有線網絡中也可到了廣泛部

19、署提供安全機制低成本靈活性擴展性基于端口的網絡接入控制（Port Based Network Access Control）只有用戶通過認證，端口才被”開放“，否則端口處于”關閉“狀態(tài),802.1x認證體系,802.1x是一個Client/Server結構802.1x認證體系中的組件懇求者系統(tǒng)（Supplicant System）認證系統(tǒng)（Authenticator System）認證服務器系統(tǒng)（Authentica

20、tion Server System）,802.1x認證組件,懇求者系統(tǒng)（Supplicant）也稱為客戶端（Client）通常為支持802.1x認證的用戶終端設備安裝802.1x客戶端軟件Ruijie SupplicantWindows XP認證系統(tǒng)（Authenticatior System）對懇求者進行認證作為懇求者與認證服務器之間的“中介”為懇求者提供服務端口（物理、邏輯）受控端口始終處于雙向連通狀態(tài)，用來

21、傳遞EAPoL協(xié)議幀,802.1x認證組件(續(xù)),非受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網絡資源和服務 認證通過之前只允許EAPoL（Extensible Authentication Protocol over LAN）幀通過認證系統(tǒng)與認證服務器之間也運行EAP認證系統(tǒng)將EAP幀封裝到RADIUS報文中發(fā)送給認證服務器認證服務器系統(tǒng)（Authentication Server System）提供認證服務通常是一

22、個RADIUS服務器將認證結果返回給認證系統(tǒng),802.1x認證組件(續(xù)),EAP與EAPoL,EAP（Extensible Authentication Protocol）懇求者與認證系統(tǒng)之間使用EAP承載認證信息EAP幀被封裝到LAN協(xié)議中（例如Ethernet），即EAPoL,802.1x工作機制,802.1x工作機制概述在客戶端與交換機之間，EAP協(xié)議報文（承載認證信息）直接被封裝到LAN協(xié)議中在交換機與RADIUS服務

23、器之間，EAP協(xié)議報文被封裝到RADIUS報文中，即EAPoRADIUS報文交換機在整個認證過程中不參與認證，所有的認證工作都由RADIUS服務器完成當RADIUS服務器對客戶端身份進行認證后，將認證結果（接受或拒絕）返回給交換機，交換機根據(jù)認證結果決定受控端口的狀態(tài),802.1x認證模式,802.1x認證模式EAP中繼模式交換機完全的作為中繼EAP終結模式交換機參與部分認證過程兩種模式的主要區(qū)別使用的協(xié)議不同報文交互

24、過程不同,EAP中繼模式,EAP中繼模式IEEE 802.1x標準模式交換機將EAP報文封裝到RADIUS報文中發(fā)送給RADIUS服務器需要RADIUS服務器支持EAP屬性認證方式EAP-MD5（MD5 Challenge）EAP-TLS（Transport Layer Security）EAP-TTLS（Tunneled TLS）PEAP（Protected EAP）,EAP中繼模式認證過程,EAP終結模式,EAP終結

25、模式交換機終結EAP信息交換機與RADIUS服務器之間無需交互EAP信息RADIUS服務器不用支持EAP屬性如果RADIUS服務器不支持EAP，使用此模式認證方式PAPCHAP,EAP終結模式認證過程,EAPoL數(shù)據(jù)包格式,EAPoLIEEE 802.1x定義的標準格式EAPoL數(shù)據(jù)包格式Ethernet Type：以太網幀頭中的以太網類型，對于802.1x報文，協(xié)議類型為0x888E。Version：發(fā)送方支

26、持的協(xié)議版本號。Type：表示802.1x報文的類型。Length：表示“Data”字段的長度，如果為0表示沒有“Data”字段,EAP數(shù)據(jù)包格式,EAPEAPoL中的“Type”為“00”（EAP-Packet）EAP數(shù)據(jù)包格式,802.1x定時器,802.1x定時器的作用保證認證過程的進行故障檢測802.1x定時器的類型安靜定時器（quiet-period）當客戶端認證失敗后，交換機需要等待一段時間才會再處理客戶端

27、的認證請求 防止用戶頻繁地對交換機發(fā)送認證請求而對交換機造成的威脅 重認證定時器（re-authperiod）當用戶通過認證后，交換機可以主動請求客戶端進行重認證 用于檢測用戶是否還在線，使計費更加正確，而且可以防止非法用戶的冒用,802.1x定時器（續(xù)）,服務器超時定時器（server-timeout）RADIUS服務器的最大響應時間 客戶端超時定時器（supp-timeout）當交換機向客戶端發(fā)送EAP-Request

28、/MD5 Challenge報文請求MD5散列值后，等待客戶端響應的時間 發(fā)送超時定時器（tx-period）當客戶端發(fā)起認證過程后，交換機需向客戶發(fā)送EAP-Request/Identity請求客戶端發(fā)送用戶名信息，此時交換機啟動tx-period定時器。若該定時器超時前客戶端沒有響應EAP-Response/Identity報文，交換機則重發(fā)請求報文,課程議題,,802.1x基本配置,配置AAA及RADIUS,啟用AAA（Aut

29、hentication、Authorization、Accounting）,aaa new-model,Switch(config)#,配置RADIUS服務器地址,radius-server host ip-address [ auth-port number | acct-port number ]*,Switch(config)#,默認情況下，認證和授權端口為1812，計費端口為1813可以添加多個RADIUS服務器,802.1x

30、的實現(xiàn)基于AAA,配置AAA及RADIUS（續(xù)）,配置RADIUS服務器秘鑰,radius-server host key { 0 string | 7 string | string },Switch(config)#,配置802.1x認證列表,aaa authentication dot1x { default | list-name } method1 [ method2… ],Switch(config)#,要使交換機與RADI

31、US服務器之前正常工作，需配置RADIUS服務器認證秘鑰 秘鑰必須與RADIUS服務器上配置的一致,group radius，使用RADIUS服務器進行驗證local，使用本地數(shù)據(jù)庫中的用戶名和密碼進行驗證none，無需進行驗證用戶即可通過認證。可以指定多個驗證方式。當指定完none后，將無法再指定其它認證方式，none通常用于當網絡或服務不可用時的最后解決方案,啟用802.1x,啟用802.1x,dot1x port-cont