aaa配置

1、AAA和802.1x,本章內(nèi)容,AAA介紹配置AAARADIUS介紹配置RADIUS802.1x介紹802.1x基本配置,課程議題,,AAA基本概念,AAA介紹,AAA 是一個(gè)提供網(wǎng)絡(luò)訪問控制安全的模型，通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計(jì)費(fèi)）提供了對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)功能的一致性框架AAA主要解決的是網(wǎng)絡(luò)安全訪問控制的問題,

2、AAA介紹(續(xù)),Authentication：認(rèn)證模塊可以驗(yàn)證用戶是否可獲得訪問權(quán)。 Authorization：授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting：計(jì)費(fèi)模塊可以記錄用戶使用網(wǎng)絡(luò)資源的情況。 可實(shí)現(xiàn)對(duì)用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計(jì)、跟蹤。,AAA介紹(續(xù)),相對(duì)與其他的本地身份認(rèn)證、端口安全等安全策略，AAA能夠提供更高等級(jí)的安全保護(hù)。AAA優(yōu)點(diǎn)：靈活性可控性可擴(kuò)展性可靠性標(biāo)準(zhǔn)

3、化協(xié)議,AAA基本模型,AAA基本模型中分為用戶、NAS、認(rèn)證服務(wù)器三個(gè)部分,AAA基本模型(續(xù)),用戶向NAS設(shè)備發(fā)起連接請(qǐng)求NAS設(shè)備將用戶的請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器認(rèn)證服務(wù)器返回認(rèn)證結(jié)果信息給NAS設(shè)備NAS設(shè)備根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果對(duì)用戶采取相應(yīng)認(rèn)證、授權(quán)、計(jì)費(fèi)的操作,課程議題,,AAA配置,配置AAA ——Authentication,啟用AAARouter(config)#aaa new-model配置驗(yàn)證列表

4、Router(config)#aaa authentication service { default | list-name } method1 [ method2… ] 驗(yàn)證列表用于定義對(duì)用戶進(jìn)行身份認(rèn)證的多種方法，這樣確保在第一種方法失敗的情況下，可以使用備份驗(yàn)證方式和備份驗(yàn)證系統(tǒng)。只有在前一種方法沒有應(yīng)答的情況下，NAS設(shè)備才會(huì)嘗試下一種方法如果在驗(yàn)證列表中的最后一種認(rèn)證方式而還沒有成功，則身份認(rèn)證宣告失敗,配置AAA —

5、—Authentication,參數(shù)service表示針對(duì)哪種接入方式行為進(jìn)行認(rèn)證，可以選擇的方式為：dot1x：對(duì)802.1x的接入行為進(jìn)行認(rèn)證。enable：對(duì)enable（進(jìn)入特權(quán)模式）行為進(jìn)行認(rèn)證。login：對(duì)登錄本地的行為進(jìn)行認(rèn)證。ppp：對(duì)PPP接入進(jìn)行認(rèn)證。,配置AAA ——Authentication,參數(shù)method表示此驗(yàn)證列表中使用的認(rèn)證方式，認(rèn)證方法可以有以下幾種方式：group radius：使用所

6、有的RADIUS服務(wù)器進(jìn)行驗(yàn)證group group-name：使用RADIUS服務(wù)器組中的服務(wù)器進(jìn)行驗(yàn)證local：使用本地用戶數(shù)據(jù)庫進(jìn)行驗(yàn)證。當(dāng)配置local參數(shù)使用本地用戶數(shù)據(jù)庫進(jìn)行驗(yàn)證時(shí)，需要使用username username password password命令預(yù)先在本地創(chuàng)建用戶None：不驗(yàn)證。此參數(shù)可以作為最后的備用驗(yàn)證方式，如果由于網(wǎng)絡(luò)或設(shè)備故障導(dǎo)致無法正常的進(jìn)行驗(yàn)證時(shí)，在驗(yàn)證列表的最后一步可以使用none不

7、對(duì)用戶進(jìn)行驗(yàn)證,配置AAA——Authentication,應(yīng)用驗(yàn)證列表Router(config-line)#login authentication { default | list-name } 將驗(yàn)證列表應(yīng)用到PPP接口：Router(config-if)#ppp authentication { default | list-name },Authentication配置示例,配置AAA——Authorization,配

8、置授權(quán)列表：Router(config)#aaa authorization network { default | list-name } method 1 [ method 2...]network：對(duì)網(wǎng)絡(luò)訪問進(jìn)行授權(quán)，例如PPP、SLIP、Ethernet。default：默認(rèn)授權(quán)列表。默認(rèn)情況下，默認(rèn)的授權(quán)列表default將應(yīng)用于所有接口和線路。list-name：定義授權(quán)列表的名稱，后續(xù)將指定的授權(quán)列表應(yīng)用于具體的接

9、口、線路時(shí)將引用此名稱。method：定義授權(quán)方法，授權(quán)方法包括group radius、local和none。將授權(quán)列表應(yīng)用到PPP接口：Router(config-if)#ppp authorization { default | list-name },配置AAA——配置Accounting,配置計(jì)費(fèi)列表：Router(config)#aaa accounting network { default | list-name

10、 } start-stop method 1 [method 2…] network：對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行計(jì)費(fèi)，例如PPP、SLIP、Ethernet。default：默認(rèn)計(jì)費(fèi)列表。默認(rèn)情況下，默認(rèn)的計(jì)費(fèi)列表default將應(yīng)用于所有接口和線路。stard-stop：網(wǎng)絡(luò)訪問服務(wù)器在用戶開始和結(jié)束訪問網(wǎng)絡(luò)的時(shí)候向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)信息；list-name：定義計(jì)費(fèi)列表的名稱。后續(xù)將指定的計(jì)費(fèi)列表應(yīng)用于具體的接口、線路時(shí)將引用

11、此名稱。method：定義計(jì)費(fèi)方法，計(jì)費(fèi)方法包括group radius、group group-name。將計(jì)費(fèi)列表應(yīng)用到PPP接口：Router(config-if)#ppp accounting { default | list-name },課程議題,,RAIDUS概述,Radius協(xié)議概述,RADIUS ( Remote Authentication Dial In User Service 遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù) )是在

12、網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證授權(quán)計(jì)費(fèi)和配置信息的協(xié)議,,,,客戶端主機(jī),交換機(jī),Radius服務(wù)器,,,Radius協(xié)議模型,Radius協(xié)議模型,,客戶端主機(jī),USER,NAS,Radius服務(wù)器,交換機(jī),Radius服務(wù)器,RADIUS協(xié)議特點(diǎn),RADIUS協(xié)議特點(diǎn)客戶/服務(wù)器模型：網(wǎng)絡(luò)接入設(shè)備（NAS）通常作為RADIUS服務(wù)器的客戶端。安全性：RADIUS服務(wù)器與NAS之間使用共享密鑰對(duì)敏感信息進(jìn)行加密，該密鑰不會(huì)在

13、網(wǎng)絡(luò)上傳輸。可擴(kuò)展的協(xié)議設(shè)計(jì)：RADIUS使用屬性-長度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶可以自定義其他的私有屬性，擴(kuò)展RADIUS的應(yīng)用。靈活的鑒別機(jī)制：RADIUS服務(wù)器支持多種方式對(duì)用戶進(jìn)行認(rèn)證，支持PAP、CHAP、UNIX login等多種認(rèn)證方式。,RADIUS認(rèn)證過程,RADIUS授權(quán)過程,RADIUS計(jì)費(fèi)過程,課程議題,,配置RAIDUS,配置RADIUS,配置RADIUS

14、服務(wù)器 Router(config)#radius-server host ip-address [ auth-port port | acct-port port ]*ip-address表示遠(yuǎn)程RADIUS服務(wù)器的IP地址。auth-port參數(shù)表示配置RADIUS服務(wù)器的認(rèn)證和授權(quán)端口號(hào)，默認(rèn)情況下RADIUS服務(wù)器的認(rèn)證和授權(quán)端口號(hào)為UDP 1812；acct-port參數(shù)表示配置RADIUS服務(wù)器的計(jì)費(fèi)端口號(hào)，默認(rèn)情況下

15、RADIUS服務(wù)器的計(jì)費(fèi)端口號(hào)為UDP 1813。 以使用此命令添加多個(gè)RADIUS服務(wù)器，當(dāng)一個(gè)RADIUS服務(wù)器不可用時(shí)將使用下一個(gè)配置的RADIUS服務(wù)器，NAS將按照配置的順序進(jìn)行查找。,配置RADIUS,配置RADIUS服務(wù)器認(rèn)證密鑰 Router(config)#radius-server host key { 0 string | 7 string | string }配置服務(wù)器組 Router(config)#

16、aaa group server radius group-name 將RADIUS服務(wù)器加入到服務(wù)器組中：Router(config-gs-radius)#radius-server host ip-address [ auth-port port | acct-port port ]*,RADIUS高級(jí)配置,配置RADIUS超時(shí)時(shí)間 Router(config)#radius-server timeout seconds 配

17、置RADIUS重傳次數(shù) Router(config)#radius-server retransmit retries 配置RADIUS服務(wù)器的死亡時(shí)間 Router(config)#radius-server deadtime minutes配置發(fā)送請(qǐng)求的源接口Router(config)#ip radius source-interface interface,AAA及RADIUS配置示例,在上圖所示的拓?fù)渲?，需要?duì)遠(yuǎn)程登

18、錄到NAS設(shè)備上的用戶進(jìn)行AAA認(rèn)證。認(rèn)證方法首先使用RADIUS進(jìn)行驗(yàn)證，如果RADIUS無法訪問，則進(jìn)行本地驗(yàn)證。,AAA及RADIUS配置示例(續(xù)),,課程議題,,802.1x介紹,802.1x概述,局域網(wǎng)的特點(diǎn)IEEE 802局域網(wǎng)協(xié)議定義的局域網(wǎng)不提供認(rèn)證只要用戶接入到網(wǎng)絡(luò)，就可以訪問網(wǎng)絡(luò)資源威脅內(nèi)部網(wǎng)絡(luò)安全移動(dòng)辦公、WLAN802.1x起初用于解決802.11無線局域網(wǎng)的接入認(rèn)證問題現(xiàn)在有線網(wǎng)絡(luò)中也可到了廣泛部

19、署提供安全機(jī)制低成本靈活性擴(kuò)展性基于端口的網(wǎng)絡(luò)接入控制（Port Based Network Access Control）只有用戶通過認(rèn)證，端口才被”開放“，否則端口處于”關(guān)閉“狀態(tài),802.1x認(rèn)證體系,802.1x是一個(gè)Client/Server結(jié)構(gòu)802.1x認(rèn)證體系中的組件懇求者系統(tǒng)（Supplicant System）認(rèn)證系統(tǒng)（Authenticator System）認(rèn)證服務(wù)器系統(tǒng)（Authentica

20、tion Server System）,802.1x認(rèn)證組件,懇求者系統(tǒng)（Supplicant）也稱為客戶端（Client）通常為支持802.1x認(rèn)證的用戶終端設(shè)備安裝802.1x客戶端軟件Ruijie SupplicantWindows XP認(rèn)證系統(tǒng)（Authenticatior System）對(duì)懇求者進(jìn)行認(rèn)證作為懇求者與認(rèn)證服務(wù)器之間的“中介”為懇求者提供服務(wù)端口（物理、邏輯）受控端口始終處于雙向連通狀態(tài)，用來

21、傳遞EAPoL協(xié)議幀,802.1x認(rèn)證組件(續(xù)),非受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù) 認(rèn)證通過之前只允許EAPoL（Extensible Authentication Protocol over LAN）幀通過認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運(yùn)行EAP認(rèn)證系統(tǒng)將EAP幀封裝到RADIUS報(bào)文中發(fā)送給認(rèn)證服務(wù)器認(rèn)證服務(wù)器系統(tǒng)（Authentication Server System）提供認(rèn)證服務(wù)通常是一

22、個(gè)RADIUS服務(wù)器將認(rèn)證結(jié)果返回給認(rèn)證系統(tǒng),802.1x認(rèn)證組件(續(xù)),EAP與EAPoL,EAP（Extensible Authentication Protocol）懇求者與認(rèn)證系統(tǒng)之間使用EAP承載認(rèn)證信息EAP幀被封裝到LAN協(xié)議中（例如Ethernet），即EAPoL,802.1x工作機(jī)制,802.1x工作機(jī)制概述在客戶端與交換機(jī)之間，EAP協(xié)議報(bào)文（承載認(rèn)證信息）直接被封裝到LAN協(xié)議中在交換機(jī)與RADIUS服務(wù)

23、器之間，EAP協(xié)議報(bào)文被封裝到RADIUS報(bào)文中，即EAPoRADIUS報(bào)文交換機(jī)在整個(gè)認(rèn)證過程中不參與認(rèn)證，所有的認(rèn)證工作都由RADIUS服務(wù)器完成當(dāng)RADIUS服務(wù)器對(duì)客戶端身份進(jìn)行認(rèn)證后，將認(rèn)證結(jié)果（接受或拒絕）返回給交換機(jī)，交換機(jī)根據(jù)認(rèn)證結(jié)果決定受控端口的狀態(tài),802.1x認(rèn)證模式,802.1x認(rèn)證模式EAP中繼模式交換機(jī)完全的作為中繼EAP終結(jié)模式交換機(jī)參與部分認(rèn)證過程兩種模式的主要區(qū)別使用的協(xié)議不同報(bào)文交互

24、過程不同,EAP中繼模式,EAP中繼模式IEEE 802.1x標(biāo)準(zhǔn)模式交換機(jī)將EAP報(bào)文封裝到RADIUS報(bào)文中發(fā)送給RADIUS服務(wù)器需要RADIUS服務(wù)器支持EAP屬性認(rèn)證方式EAP-MD5（MD5 Challenge）EAP-TLS（Transport Layer Security）EAP-TTLS（Tunneled TLS）PEAP（Protected EAP）,EAP中繼模式認(rèn)證過程,EAP終結(jié)模式,EAP終結(jié)

25、模式交換機(jī)終結(jié)EAP信息交換機(jī)與RADIUS服務(wù)器之間無需交互EAP信息RADIUS服務(wù)器不用支持EAP屬性如果RADIUS服務(wù)器不支持EAP，使用此模式認(rèn)證方式PAPCHAP,EAP終結(jié)模式認(rèn)證過程,EAPoL數(shù)據(jù)包格式,EAPoLIEEE 802.1x定義的標(biāo)準(zhǔn)格式EAPoL數(shù)據(jù)包格式Ethernet Type：以太網(wǎng)幀頭中的以太網(wǎng)類型，對(duì)于802.1x報(bào)文，協(xié)議類型為0x888E。Version：發(fā)送方支

26、持的協(xié)議版本號(hào)。Type：表示802.1x報(bào)文的類型。Length：表示“Data”字段的長度，如果為0表示沒有“Data”字段,EAP數(shù)據(jù)包格式,EAPEAPoL中的“Type”為“00”（EAP-Packet）EAP數(shù)據(jù)包格式,802.1x定時(shí)器,802.1x定時(shí)器的作用保證認(rèn)證過程的進(jìn)行故障檢測(cè)802.1x定時(shí)器的類型安靜定時(shí)器（quiet-period）當(dāng)客戶端認(rèn)證失敗后，交換機(jī)需要等待一段時(shí)間才會(huì)再處理客戶端

27、的認(rèn)證請(qǐng)求 防止用戶頻繁地對(duì)交換機(jī)發(fā)送認(rèn)證請(qǐng)求而對(duì)交換機(jī)造成的威脅 重認(rèn)證定時(shí)器（re-authperiod）當(dāng)用戶通過認(rèn)證后，交換機(jī)可以主動(dòng)請(qǐng)求客戶端進(jìn)行重認(rèn)證 用于檢測(cè)用戶是否還在線，使計(jì)費(fèi)更加正確，而且可以防止非法用戶的冒用,802.1x定時(shí)器（續(xù)）,服務(wù)器超時(shí)定時(shí)器（server-timeout）RADIUS服務(wù)器的最大響應(yīng)時(shí)間 客戶端超時(shí)定時(shí)器（supp-timeout）當(dāng)交換機(jī)向客戶端發(fā)送EAP-Request

28、/MD5 Challenge報(bào)文請(qǐng)求MD5散列值后，等待客戶端響應(yīng)的時(shí)間 發(fā)送超時(shí)定時(shí)器（tx-period）當(dāng)客戶端發(fā)起認(rèn)證過程后，交換機(jī)需向客戶發(fā)送EAP-Request/Identity請(qǐng)求客戶端發(fā)送用戶名信息，此時(shí)交換機(jī)啟動(dòng)tx-period定時(shí)器。若該定時(shí)器超時(shí)前客戶端沒有響應(yīng)EAP-Response/Identity報(bào)文，交換機(jī)則重發(fā)請(qǐng)求報(bào)文,課程議題,,802.1x基本配置,配置AAA及RADIUS,啟用AAA（Aut

29、hentication、Authorization、Accounting）,aaa new-model,Switch(config)#,配置RADIUS服務(wù)器地址,radius-server host ip-address [ auth-port number | acct-port number ]*,Switch(config)#,默認(rèn)情況下，認(rèn)證和授權(quán)端口為1812，計(jì)費(fèi)端口為1813可以添加多個(gè)RADIUS服務(wù)器,802.1x

30、的實(shí)現(xiàn)基于AAA,配置AAA及RADIUS（續(xù)）,配置RADIUS服務(wù)器秘鑰,radius-server host key { 0 string | 7 string | string },Switch(config)#,配置802.1x認(rèn)證列表,aaa authentication dot1x { default | list-name } method1 [ method2… ],Switch(config)#,要使交換機(jī)與RADI

31、US服務(wù)器之前正常工作，需配置RADIUS服務(wù)器認(rèn)證秘鑰 秘鑰必須與RADIUS服務(wù)器上配置的一致,group radius，使用RADIUS服務(wù)器進(jìn)行驗(yàn)證local，使用本地?cái)?shù)據(jù)庫中的用戶名和密碼進(jìn)行驗(yàn)證none，無需進(jìn)行驗(yàn)證用戶即可通過認(rèn)證?？梢灾付ǘ鄠€(gè)驗(yàn)證方式。當(dāng)指定完none后，將無法再指定其它認(rèn)證方式，none通常用于當(dāng)網(wǎng)絡(luò)或服務(wù)不可用時(shí)的最后解決方案,啟用802.1x,啟用802.1x,dot1x port-cont