AAA 及RADIUS 协议配置.docVIP

AAA 及RADIUS 协议配置 一、aaa 及radius 协议简介??? 1. aaa 的功能??? aaa 是authentication（认证）、authorization（授权）和accounting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。具体如下：??? a、认证（authentication）：认证用户是否可以获得访问权，确定哪些用户可以访问网络。??? b、授权（authorization）：授权用户可以使用哪些服务。??? c、计费（accounting）：记录用户使用网络资源的情况。??? aaa 一般采用客户／服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。??? 计费网关主要使用aaa 中的认证功能对终端用户进行认证管理。??? 2. radius 协议??? （1） radius 简介??? radius 是remote authentication dial-in user service（远程认证拨号用户服务）的简称，最初由livingston enterprise 公司开发，作为一种分布式的客户机／服务器系统，能提供aaa 功能。radius 技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）。??? radius 服务包括三个组成部分：??? a、协议：rfc2865、2866 协议基于udp／ip 层定义了radius 帧格式及消息传输机制，并定义了1812 作为认证端口，1813 作为计费端口。??? b、服务器：radius 服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。??? c、客户端：位于拨号访问服务器nas（network access server）侧，可以遍布整个网络。??? radius 基于客户／服务器模型，nas（如路由器）作为radius 客户端，负责传输用户信息到指定的radius 服务器，然后根据从服务器返回的信息进行相应处理（如接入／挂断用户）。radius 服务器负责接收用户连接请求，认证用户，然后给nas返回所有需要的信息。??? radius 服务器通常要维护三个数据库：第一个数据库“users”用于存储用户信息（如用户名、口令以及使用的协议、ip 地址等配置），第二个数据库“clients”用于存储radius 客户端的信息（如共享密钥），第三个数据库“dictionary”存储的信息用于解释radius 协议中的属性和属性值的含义。如下图所示：??? ??? 图5-1 radius 服务器的组成??? 另外，radius 服务器还能够作为其他aaa 服务器的客户端进行代理认证或计费。radius 服务器支持多种方法来认证用户，如基于ppp 的pap、chap 认证、基于unix 的login 等。??? （2） radius 的基本消息交互流程??? radius 服务器对用户的认证过程通常需要利用nas 等设备的代理认证功能，radius 客户端和radius 服务器之间通过共享密钥认证相互间交互的消息，用户密码采用密文方式在网络上传输，增强了安全性。radius 协议合并了认证和授权过程，即响应报文中携带了授权信息。操作流程图和步骤如下所示：??? ??? 图5-2 radius 的基本消息交互流程??? 基本交互步骤如下：??? a、用户输入用户名和口令；??? b、radius 客户端根据获取的用户名和口令，向radius 服务器发送认证请求包（access-request）。??? c、radius 服务器将该用户信息与users 数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius 客户端；如果认证失败，则返回access-reject 响应包。??? d、radius 客户端根据接收到的认证结果接入／拒绝用户，如果可以接入用户，则radius 客户端向radius 服务器发送计费开始请求包（accounting-request），status-type 取值为start；??? e、radius 服务器返回计费开始响应包（accounting-response）；??? f、radius 客户端向radius 服务器发送计费停止请求包（accounting-request），status-type 取值为stop；??? g、r