AAA认证功能介绍

北京格林伟迪科技有限公司AAA认证功能介绍北京格林伟迪科技有限公司1/19OLTAAA认证功能介绍VESION1.02011年7月7日北京格林伟迪科技有限公司AAA认证功能介绍北京格林伟迪科技有限公司2/19AAA认证功能介绍.........................................................................................................................1一、相关知识点介绍.......................................................................................................31.1.AAA简介.........................................................................................................31.1.1.认证功能.......................................................................................................31.1.2.授权功能.....................................................................................................31.1.3.计费功能.....................................................................................................31.2.ISPDomain简介...............................................................................................41.3.Radius协议简介...............................................................................................41.3.1.RADIUS服务的3个部分..........................................................................41.3.2.RADIUS的基本消息交互流程...................................................................41.4.TACACS+协议简介.............................................................................................51.5.RADIUS和TACACS+实现的区别.........................................................................71.5.1.RADIUS使用UDP而TACACS+使用TCP.......................................................71.5.2.加密方式.......................................................................................................7二、OLT上的AAA功能特点..........................................................................................8三、AAA认证命令行配置..............................................................................................83.1.AAA配置.........................................................................................................83.2.配置ISP域......................................................................................................93.3.配置RADIUS协议.........................................................................................103.4.配置TACACS+协议.......................................................................................11四、AAA认证server简介............................................................................................124.1.安装环境介绍：............................................................................................124.2.安装和简要配置............................................................................................12五、配置案例.................................................................................................................135.1.Telnet用户通过RADIUS服务器认证的应用配置...........................................135.2.Telnet用户通过TACACS+服务器认证的应用配置...........................................155.3.Telnet用户通过双服务器实现主备冗余的radius认证...................................17北京格林伟迪科技有限公司AAA认证功能介绍北京格林伟迪科技有限公司3/19一、相关知识点介绍1.1.AAA简介AAA是Authentication，AuthorizationandAccounting（认证、授权和计费）的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。这里的网络安全主要是指访问控制，包括：●哪些用户可以访问网络服务器；●具有访问权的用户可以得到哪些服务；●如何对正在使用网络资源的用户进行计费。针对以上问题，AAA必须提供认证功能、授权功能和计费功能。1.1.1.认证功能AAA支持以下认证方式：●不认证：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。●本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设备上。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设备硬件条件限制。●远端认证：支持通过RADIUS协议或TACACS+协议进行远端认证，设备作为客户端，与RADIUS服务器或TACACS+服务器通信。对于RADIUS协议，可以采用标准或扩展的RADIUS协议。1.1.2.授权功能AAA支持以下授权方式：●直接授权：对用户非常信任，直接授权通过。●本地授权：根据设备上为本地用户帐号配置的相关属性进行授权。●RADIUS认证成功后授权：RADIUS协议的认证和授权是绑定在一起的，不能单独使用RADIUS进行授权。●TACACS+授权：由TACACS+服务器对用户进行授权。1.1.3.计费功能AAA支持以下计费方式：●不计费：不对用户计费。●远端计费：支持通过RADIUS服务器或TACACS+服务器进行远端计费。北京格林伟迪科技有限公司AAA认证功能介绍北京格林伟迪科技有限公司4/19AAA一般采用客户端/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。因此，AAA框架具有良好的可扩展性，并且容易实现用户信息的集中管理。1.2.ISPDomain简介ISP域即ISP用户群，一个ISP域是由属于同一个ISP的用户构成的用户群。在“userid@isp-name”形式的用户名中，“@”后的“isp-name”即为ISP域的域名。接入设备将“userid”作为用于身份认证的用户名，将“isp-name”作为域名。在多ISP的应用环境中，同一个接入设备接入的有可能是不同ISP的用户。由于各ISP用户的用户属性（例如用户名及密码构成、服务类型/权限等）有可能各不相同，因此有必要通过设置ISP域的方法把它们区别开。在ISP域视图下，可以为每个ISP域配置包括使用的AAA策略（使用的RADIUS方案等）在内的一整套单独的ISP域属性。1.3.Radius协议简介RADIUS（RemoteAuthenticationDial-InUserService，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。1.3.1.RADIUS服务的3个部分●协议：RFC2865和RFC2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制，并定义了1812作为认证端口，1813作为计费端口。●服务器：RADIUS服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。●客户端：位于拨号访问服务器设备侧，可以遍布整个网络。1.3.2.RADIUS的基本消息交互流程RADIUS客户端（交换机）和RADIUS服务器之间通过共享密钥来认证交互的消息，增强了安全性。RADIUS协议合并了认证和授权过程，即响应报文中携带了授权信息。用户、交换机、RADIUS服务器之间的交互流程如下图所示。北京格林伟迪科技有限公司AAA认证功能介绍北京格林伟迪科技有限公司5/191.4.TACACS+协议简介在计算机网络中，TACACS+(TerminalAccessControllerAccess-ControlSystemPlus)是一种为路由器、网络访问服务器和其他互联计算设备通过一个或多个集中的服务器提供访问控制的协议。TACACS+提供了独立的认证、授权和记账服务。尽管RADIUS在用户配置文件中集成了认证和授权，TACACS+分离了这两种操作，另外的不同在于TACACS+使用传输控制协议(TCP)而RADIUS使用用户报文协议(UDP).多数管理员建议使用TACACS+，因为TCP被认为是更可靠的协议。TACACS+协议的扩展为最初的协议规范提供了更多的认证请求类型和更多的响应代码。TACACS+使用TCP端口49，包括三种独立的协议，如果需要，能够在独立的服务器上实现。TACACS+服务器的典型部署场景如下图：北京格林伟迪科技有限公司AAA认证功能介绍北京格林伟迪科技有限公司6/19TACACS+认证因为是基于tcp的认证，其报