717-应用tekradius零成本构建网络设备统一认证系统.doc

应用tekradius零成本构建网络设备统一认证系统 巫俊峰（53号　邮编210012 手机，利用TekRADIUS软件基于的认证服务器分管理关键词：TekRADIUSIP城域接入网通过各种接入技术和线路资源，把业务就近接入汇聚点，实现用户覆盖，常见的接入网设备包括PON，以太网交换机等。由于接入网规模庞大，网络设备数以万计，如何管理好海量设备的登录口令，对不同维护人员的操作权限进行分权管理在授权方面，设置分级的权限级别，但是这些权限级别的设置分散在各台设备上，没有集中的管理手段审计方面虽然能提供一定日志记录，但是往往日志的类型和数量有限，日志的存储是覆盖保存，不能做长时间的保存，容易被删除在授权方面，分级分级审计方面用户登录登录时间下线时间，在线LOCAL”的方式，即当RADIUS正常工作时，首先进行远程认证，只有当RADIUS不响应时，才会转到本地认证。 2、统一认证系统的设计 2.1知名厂商网络设备认证特性 2.1.1　思科 所有思科网络设备均支持RADIUS、Tacacs+等AAA协议 可以通过Tacacs+协议，对Cisco设备进行完善的认证、授权、审计 支持16种权限等级（0至15级别的分权），可通过RADIUS的扩展属性区分用户权限 级别0很少使用，只支持disable, enable, exit, help, 和logout五个命令 级别 1 的提示符是 router，这是用于登录的默认级别，不能对配置进行修改 级别 15 是特权模式，提示符是 router#，这是进入 enable 模式后的级别。 级别 2 到 14 在默认配置中不使用，如果觉得常用的0，1和15三种等级弹性不足，可以从中选择更多的等级给不同的用户 2.1.2　华为/H3C 支持通过RADIUS或HWTACACS协议进行远端认证和计费 通过HWTACACS 协议可进行远端授权 通过标准RADIUS协议不支持授权功能给用户分配登录的level权限是通过RADIUS标准属性26下的扩展属性（29）hw_Exec_Privilege来实现的，取值可以为0，1，2，3四个整数值： 0=Access //权限最低的访客权限 1=Monitor 2=Manager 3=Administrator //权限最高的超级管理员权限 2.1.3 其它厂商设备 基本都支持RADIUS协议进行远端认证 不同厂商的设备权限等级所使用的RADIUS私有属性值是不同的，需要问厂商技术支持索取相应字典文件。如中兴3228交换机可实现1-15级的权限区分，字典文件内容为中兴厂商代码3902, 使用191号私有子属性，值0-15。限于篇幅，本文不再对其它厂商设备进行赘述。 2.2 利用RADIUS的扩展属性实现用户权限区分 通过上面各厂商的认证特性比较，可看出RADIUS认证协议更具有普遍适用性。RADIUS（Remote Access Dail-In User Service）远程认证拨号用户服务协议,由于其支持多种认证法方式、易于扩展、相对安全、易于实现等特点，已成为很流行的AAA协议。该协议采用C/S结构，以UDP作为传输协议，具有强大的认证能力，是管理远程用户验证和授权的常用方法。 RADIUS协议定义了标准的认证、计费报文，但却没有定义用户权限分级的属性。故本认证系统的设计难点在于给合不同厂商设备的分级权限，基于用户帐号统一管理。 RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。Attribute的数据格式有两种，一种是标准属性的数据格式；另一种是类型值为26的Vendor-Specific属性的数据格式，此属性允许设备厂商对RADIUS进行扩展，以实现标准RADIUS没有定义的功能。 图RADIUS报文片断 设备厂商可以封装多个自定义的“（Type、Length、Value）”子属性来扩展RADIUS，26号属性报文内封装的子属性包括以下四个部分： Vendor-ID域占4字节，表示厂商代号，最高字节为0，其余3字节的编码见RFC 1700。如思科公司的Vendor-ID是9，华为/H3C公司的Vendor-ID是2011。 Vendor-Type，表示扩展属性的子属性类型。 Vendor-Length，表示该子属性长度。 Vendor-Data，表示该子属性的内容。 用户权限分级不是RADIUS标准属性，各厂商分别使用自己的私有属性来定义。如华为和H3C公司采用扩展属性exec-privilege，即RADIUS标准属性26下的29号子扩展属性，如图2所示。 图2 华为和H3C RADIUS扩展属性（节选部分） 在相应的属性字典中加入该属性，并进行配置后，就可以解