移动网络搭建 网络技能竞赛培训 W20800020 AAA、RADIUS和TACACS.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * 杭州华三通信技术有限公司 AAA、RADIUS和HWTACACS 网络学院路由交换技术第2卷 3.0 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播 AAA是认证、授权、计费的简称 AAA是一个综合的安全架构 与其他安全技术配合使用，提升网络和设备的安全性 常用AAA协议有RADIUS和TACACS 引入 掌握AAA认证架构 掌握RADIUS、HWTACACS认证原理 熟悉AAA、RADIUS和HWTACACS相关配置命令 课程目标 学习完本课程，您应该能够： AAA架构 RADIUS协议 HWTACACS协议 目录 AAA基本结构 AAA包含三种功能：认证、授权、计费 常用RADIUS协议和TACACS协议 使用远程服务器，或交换机设备本身作本地认证服务器 被访问网络 用户名密码 验证结果 RADIUS服务器 TACACS服务器 其他备份服务器 HostA HostB NAS 用户名密码 验证结果 AAA支持的服务 AAA通过对服务器的详细配置，对多种服务提供安全保证 支持FTP、TELNET、PPP、端口接入 验证动作包含核对用户名、密码、证书 授权表现为下发用户权限、访问目录、用户级别等 计费表现为记录用户上网流量、时长等 配置AAA AAA认证方案：配置本地认证或远程认证方案 远程认证需要配置RADIUS方案或TACACS方案 AAA实现方法：在ISP域中引用已经配置的AAA方案 [sysname-isp-ispname] authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } AAA架构 RADIUS协议 HWTACACS协议 目录 RADIUS协议概述 RADIUS（Remote Authentication Dial-In User Service，远程认证拨号系统）是分布式的交互协议 客户端/服务器结构 基于UDP传输，1812、1813端口 共享密钥、多种认证方式 TLV结构，利于扩展 RADIUS消息交互流程 HostA RADIUS Client RADIUS Server （1）用户输入用户名/密码 （2）认证请求包 （3）认证接受/拒绝包 （4）计费开始请求包 （5）计费开始请求响应包 （6）用户访问资源 （7）计费结束请求包 （8）计费结束请求响应包 （9）通知访问结束 RADIUS报文结构 Code字段决定报文类型 值为1、2、3表示认证报文 值为4、5表示计费报文 Code Identifier Length Authenticator Attribute 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 RADIUS属性 Attribute字段携带认证、授权、计费信息 采用（Type，Length，Value）三元组格式 常用属性 编号 属性名称 编号 属性名称 1 User-Name 11 Filter-ID 2 User-Password 15 Login-Service 4 NAS-IP-Address 26 Vendor-Specific 8 Framed-IP-Address 31 Calling-Station-ID RADIUS扩展属性 RADIUS协议中26号属性用于扩展 Type Length Vendor-ID VendorID Type（Specified） Specified attribute Value…… 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 Length（Specified） RADIUS配置 创建RADIUS方案 配置RADIUS主认证授权、计费服务器 配置RADIUS共享密钥 [sysname] radius scheme radius-scheme-name [sysname-radius-name] {primary|secondary} { accounting | authentication } ip-address [ port-number ] [sysname-radius-name] key { authentication | accounting } string RADIUS配置（续） 配