【正文】 單個用戶 的 連接、用戶 ID 或者是對接入設(shè)備進(jìn)行認(rèn)證，認(rèn)證的層次可以進(jìn)行靈活的組合，可 滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。 它 會 請求對網(wǎng)絡(luò)服務(wù)的訪問 ， 并對 所有的 認(rèn)證者的請求報文進(jìn)行應(yīng)答 。 該 設(shè)備 所扮演的是 中介者的角色 ， 從客戶端要求 使用 用戶名 與密碼 ， 來 核實(shí)從服務(wù)器端所接收到的認(rèn)證信息 ， 再 轉(zhuǎn)發(fā)給客戶端 。 驗證服務(wù)器 ： 它是負(fù)責(zé) 向驗證者 提供 申請驗證服 務(wù)的實(shí)體 ， RADIUS服務(wù)器 一般都會作為認(rèn)證服務(wù)器 ， 認(rèn)證過程中與認(rèn)證者配合 ， 為用戶提供認(rèn)證服務(wù) 。 EAP的工作 過 程 IEEE有 一種 自定義的 封裝模式 ， 是 允許 EAP通過 LAN傳輸 數(shù)據(jù) ， EAP over LAN (EAPoL)于是應(yīng)運(yùn)而生 。 基于 AAA認(rèn)證過程 1) 客戶端 在 開啟認(rèn)證 后 ， 即 發(fā)送 EAPOLStart報文 ， 則 開始 向 證接入 ； 2) 在 接入設(shè)備收到 EAPOLStart報文后 ， 便會向所連接的 客戶端發(fā)送 EAPRequest/Identity報文 ， 并 要求客戶端將用戶 的 賬號信息傳送過 來 ； 3) 客戶端 在接收到數(shù)據(jù)后會 回應(yīng)一個 EAPResponse/Identity給接入設(shè)備的請求 ， 其中包括 用戶的 賬號 信息 ； 4) 接入設(shè)備 會 將 接收到的 EAPResponse/Identity數(shù)據(jù) 報文封裝到 RADIUS accessRequest報 文中 ， 并 發(fā)送給認(rèn)證服務(wù)器 ； XXXXXXX 學(xué)院 計算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計 7 5) 認(rèn)證服務(wù)器 還會 產(chǎn)生一個 Challenge， 通過接入設(shè)備 RADIUS access Challenge報文發(fā)送給客戶端 ， 其中 有EAPRequest/MD5Challenge； 6) 接入設(shè)備 會 通過 EAPRequest/MD5Challenge發(fā)送給客戶端 ， 并會要求客戶端進(jìn)行認(rèn)證 ； 7) 客戶端 在 收到 EAPRequest/MD5Challenge發(fā)送過來的 報文后 ， 則將密碼和 Challenge做 MD5算法后的 Challenged－ Pass－ word， 在EAPRequest/MD5Challenge回應(yīng)給接入設(shè)備 ； 8) 接入設(shè)備將 Challenge， Challenged Password和用戶 的用戶 名一起傳送到 RADIUS服務(wù)器 ， 并 由 RADIUS服務(wù)器進(jìn)行 數(shù)據(jù) 認(rèn)證 ； 9) RADIUS服務(wù)器 會 根據(jù)用戶 的相關(guān) 信息 ， 做 MD5算法 ， 判斷用戶是否合法 ， 然后 將 回應(yīng) 認(rèn)證成功 ／ 失敗報文到接入設(shè)備 。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計與實(shí)現(xiàn) 8 第三章 AAA 的簡介 什么是 AAA AAA是 Authentication、 Authorization、 Accounting(認(rèn)證、授權(quán) 、計費(fèi) )的簡稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，它提供了認(rèn)證、授權(quán)、計費(fèi)三種安全功能。NAS 會 負(fù)責(zé)把用戶的認(rèn)證、授權(quán)、計費(fèi)信息透傳給服務(wù)器（ RADIU 服務(wù)器 ） ，RADIUS 協(xié)議 會 規(guī)定 NAS 與服務(wù)器之間 是 如何傳遞用戶信息。例如用戶成功登錄服務(wù)器后，管理員 則可對授權(quán)用戶分配權(quán)限，即可對 服務(wù)器中的文件進(jìn)行訪問和打印 等 操作； 計費(fèi)： 則是 記錄用戶 在使用網(wǎng)絡(luò)服務(wù)中的所有操作，包括使用的服務(wù)類型、起始時間和數(shù)據(jù)流量等，它不僅是一種計費(fèi)手段，還能對網(wǎng)絡(luò)安全起一定的 監(jiān)視作用。 總結(jié)上述所說 ， AAA是一種管理框架，它 是 提供了授權(quán)部分實(shí)體去訪問特定 的 資源，同時 還 可以記錄這些實(shí)體操作行為的一種安全機(jī)制，因其具有良好的可擴(kuò)展性，并且容易實(shí)現(xiàn)用戶信息的集中管理 從 而被廣泛 的 使用。包括 chap 和 pap 認(rèn)證， chap認(rèn)證是在整個通信過程進(jìn)行， pap 認(rèn)證則是在 PPP 建立連接時進(jìn)行。 RADIUS最初只是針對用戶拔號 的 AAA協(xié)議，后來隨著用戶接入方式的多樣化發(fā)展， RADIUS也適應(yīng)多種用戶接入 的上網(wǎng) 方式，如以太網(wǎng)接入、 ADSL接入。 密執(zhí)安大學(xué)創(chuàng)立于 1855 年，并且是 的一家非營利公司，其業(yè)務(wù)是運(yùn)行維護(hù)該校的 網(wǎng)絡(luò)互聯(lián) MichNet。 1992 年秋天， IETF 的 NASREQ 工作組 便正式 成立 了 ,隨之提交了RADIUS 并 作為 了 草案。 并且 RADIUS 還支持代理和漫游功能。采用 UDP 的 基本考慮是因為 NAS 和 RADIUS 服務(wù) 器大多在同一個 局域網(wǎng) 中， 而 UDP的 使用 也 更加快捷方便，而且 UDP 是無連接的，會減輕 RADIUS 的壓力，也 會 更安全。如果備份 的 RADIUS服務(wù)器的密鑰和以前 RADIUS服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證。 3. RADIUS 服務(wù)器將該用戶信息與 users 數(shù)據(jù)庫信息進(jìn)行對比分析，如果認(rèn)證成功，則將用戶的權(quán)限 信息以認(rèn)證響應(yīng)包(accessaccept）發(fā)送給 RADIUS 客戶端；如果認(rèn)證失敗，則返回 accessreject 響應(yīng)包。 服務(wù)器： RADIUS服務(wù)器運(yùn)行在中心計算機(jī)或工作站上，維護(hù)相關(guān)的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問信息，負(fù)責(zé)接收用戶連接請求并認(rèn)證用戶，然后給客戶端返回所 有需要的信息（如接受 /拒絕認(rèn)證請求）。 表現(xiàn)在 ， 校園網(wǎng)早期購買交換機(jī)品牌較多 ，有的交換機(jī)支持 ,有的交換機(jī)不支持 ； 部分 ， 許多 。 校園網(wǎng)中基于 AAA認(rèn)證配置 實(shí)例相關(guān)命令 : Switchconfigure terminal Switch(config)hostname Switch1 Switch1(config)int f 0/20 Switch1(configif)no switchport Switch1(configip)ip add XXXXXXX 學(xué)院 計算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計 15 Switch1(config)aaa authentication dot1x Switch1(config)end Switch1configure terminal Switch1(config)interface f 1/1 Switch1(configif)dot1x portcontrol auto Switch1(config)end Switch1(config) interface vlan 1 Switch1(configif)ip address Switch1(configif)no shutdown Switch1(configif)exit 記帳服務(wù) : Switch1configure terminal Switch1(config)aaa accounting server Switch1(config)aaa accounting server backup Switch1(config)aaa accounting accport 1200 Switch1(config)aaa accounting Switch1(config)end Switch1(config)ip route 路由器配置 Router1(config)int f 0/0 Router1(configif)ip add Router1(configif)no shutdown Router1(configif)exit Router1(config)int f 0/1 Router1(configif)ip add Router1(configif)no shutdown Router1(config)ip route Router1(config)ip route Router2(config)int f 0/0 Router2(configif)ip add Router1(configif)no shutdown Router2(config)int f 0/1 Router2(configif)ip add 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計與實(shí)現(xiàn) 16 Router1(configif)no shutdown Router2(config)ip route 第一步 添加帳號 liuwei密碼 123組名 lw 圖 第二步 帳號添加成功 圖 第三步 客戶端用帳號 liuwei密碼 123登錄 圖 XXXXXXX 學(xué)院 計算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計 17 第四步 連接成功 圖 第 五步 服務(wù)器顯示用戶 (liuwei)認(rèn)證通過 圖 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計與實(shí)現(xiàn) 18 總 結(jié) 經(jīng)過三年的學(xué)習(xí)我們己對交換機(jī)、路由器不再陌生，更是學(xué)了許多 關(guān)于交換機(jī)與路由器 方面的理論知識， 但 很少 應(yīng)用到 實(shí)踐中去，通過 本 次 畢業(yè)設(shè)計了解了一些基于 的 AAA 認(rèn)證的設(shè)計與實(shí)現(xiàn)的配置方法 ， 這便 是 對 學(xué)習(xí)交換機(jī)與路由器 知識的 再次 系統(tǒng)的學(xué)習(xí)， 也 是 一次 更 加 完整的學(xué)習(xí)。 讓我 在以后的 設(shè)計 中以建立網(wǎng)絡(luò)教學(xué) 的上網(wǎng)認(rèn)證 為目標(biāo)，從經(jīng)濟(jì)性、實(shí)用性、擴(kuò)展性的原則來設(shè)計 上網(wǎng)認(rèn)證方式 。 XXXXXXX 學(xué)院 計算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計 19 參考文獻(xiàn) [1] 彭偉 使用 [J].計算機(jī)應(yīng)用 ,2022 [2] 王軍 思科 IOS網(wǎng)絡(luò)安全全息教程 電子工業(yè)出版社 ,2022 [3] 高祥 、 周林 [J].重慶郵電學(xué)院學(xué)報 ： 自然科學(xué)版 ,2022 [4] 張敬偉 、 周婭 、 周德新 RADIUS 在端口認(rèn)證中的應(yīng)用及其實(shí)現(xiàn) [J].計算機(jī)應(yīng)用 ,2022 [5] 吳偉斌 校園網(wǎng) AAA 系統(tǒng)設(shè)計與實(shí)現(xiàn) [J].中國教育網(wǎng)絡(luò) ,2022 [6] 張國清 、 孫麗萍 、 崔升廣 網(wǎng)絡(luò)安全設(shè)備配置與調(diào)試項目實(shí)訓(xùn) 電子工業(yè)出版社 ,2022 [7] 豐艷 基于 Radius協(xié)議的 VOIP認(rèn)證 ／ 計費(fèi)系統(tǒng)的設(shè)計與實(shí)現(xiàn) [J].計算機(jī)工程與設(shè)計 ,2022 [8] 周鵬 、 李英 、 李志蜀 基于 AAA機(jī)制的校園網(wǎng)安全計費(fèi)管理系統(tǒng)設(shè)計 [J].天中學(xué)刊 ,2022 [9] 北京郵電大學(xué) CCNA安全 人民郵電出版社 ,2022 [10]崔北亮 CCNA的學(xué)習(xí)與實(shí)驗指南 電子工業(yè)出版社 ,2022 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計與實(shí)現(xiàn) 20 致 謝 經(jīng)過一個月 緊張 的 努力 ，畢業(yè)設(shè)計已 經(jīng) 接近尾聲， 但 由于我 的 經(jīng) 驗 缺乏，在完成畢業(yè)設(shè)計 過程中難免會 遇到難題。 并且在 設(shè)計期間， 曾東波 老師 的 認(rèn)真負(fù)責(zé)的工作態(tài)度、嚴(yán)謹(jǐn)?shù)闹螌W(xué)風(fēng)格，使我深受啟發(fā)；啟發(fā)的同時，和同學(xué)們之間的相互探 討也使我獲益匪淺。t appealed against the disciplinary action your employer has taken against you. However, if you win your case, the tribunal may reduce any pensation awarded to you as a result of your failure to appeal. Remember that in most cases you must make an application to an employment tribunal within three months of the date when the event you are plaining about happened. If your application is received after this time limit, the tribunal will not usually accept it. If you are worried about how the time limits apply to you, take advice from one of the anisations listed under Further help. Employment tribunals are less formal than some other courts, but it is still a legal