【正文】 ........9 AAA 認證 ...............................................................................................................................9 第四章 RADIUS 協(xié)議 ............................................................ 10 什么是 RADIUS 協(xié)議 ........................................................................................................... 10 RADIUS 協(xié)議簡介 ................................................................................................................ 10 RADIUS 的歷史 .................................................................................................................... 10 RADIUS 的基本工作原理 ..................................................................................................... 11 RADIUS 的基本消息交互流程 ............................................................................................. 12 客戶端 /服務(wù)器模式 ...................................................................................................... 13 第五章 實現(xiàn)基于 校園網(wǎng)的 AAA 認證 ........................................ 14 設(shè)備選型 ............................................................................................................................ 14 校園網(wǎng)中基于 的設(shè)計與實現(xiàn) ................................................................................. 14 總 結(jié) ........................................................................ 18 XXXXXXX 學(xué)院 計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計 v 參考文獻 ....................................................................... 19 致 謝 ................................................................... 20 XXXXXXX 學(xué)院 計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計 1 引 言 在校園網(wǎng)中有效的身份認證是能夠?qū)崿F(xiàn)校園網(wǎng)對有限資源的重分配 ， 真實可靠的網(wǎng)絡(luò)身份認證體系一方面能夠讓具有惡意行為的惡意者在做有害的行為之前有所顧忌 ，可杜絕對校園網(wǎng)的一些危害； 另一方面也可以讓校園網(wǎng)網(wǎng)絡(luò)管理者在安全事件發(fā)生后能準確及時地找到肇事者 ，是 在一定程度上防止具有 惡意行為的事件的再次發(fā)生 。 ，后者是 IEEE的無線局域網(wǎng)協(xié)議， 制訂 之 初 的 原因 是為了解決 無線網(wǎng) 接入認證 的 問題 。在客戶端方面微軟windows XP 操作系統(tǒng)內(nèi)置支持， Linux 也提供了對該協(xié)議的支持。 在實際應(yīng)用中 ３ 者為工作站 （ client）、 交換機 （ work access server）和 Radius－ Server。 XXXXXXX 學(xué)院 計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計 9 AAA的三種服務(wù) 認證： 是 確認遠端訪問用戶的身份，判斷訪問者是否為合法的網(wǎng) 絡(luò)用戶； 授權(quán)： 則是 對不同用戶賦予不同的權(quán)限， 和 限制用戶可以使用的服務(wù)。后來經(jīng)過多次改進， 便 形成了一項 可以 通用的認證計費協(xié)議 軟件 。由于有多個備份 的 RADIUS服務(wù)器，因此 NAS進行重傳的時候，可以采用輪詢的方法。 選擇 銳捷 的 RGS355024系列交換機作為匯聚 ，RGS2126系列交換機作為接入層設(shè)備 。t agree with the disciplinary action your employer has taken against you ? your employer dismisses you and you think that you have been dismissed unfairly. For more information about dismissal and unfair dismissal, see Dismissal. You can make a claim to an employment tribunal, even if you haven39。 The end of our life, and can meet many things really do? 而窮盡我們的一生，又能遇到多少事情是真正地非做不可？ During my childhood, think lucky money and new clothes are necessary for New Year, but as the advance of the age, will be more and more found that those things are optional。 Have declared the end of the encounter that haven39。那些曾經(jīng)所謂的非做不可，只是青蔥年華里自己給自己注射的一支強心劑，或者說，是自以為是的精神寄托罷了。 May be back in the past, to oneself the paranoid weird belief disillusionment, these days, my mind has been very messy, in my mind constantly. Always feel oneself should go to do something, or write something. Twenty years of life trajectory deeply shallow, suddenly feel something, do it. 一字開頭的年齡已經(jīng)到了尾聲。在我 論文完成的 過程中，曾東波 老師給 我 提供了 良好的設(shè)計 環(huán)境，并給予 了 我悉心的關(guān)懷與指導(dǎo)。 ? “ Dictionary” :用于存儲 RADIUS協(xié)議中的屬性和屬性值含義的信息 基于 的高校校園網(wǎng) AAA 認證設(shè)計與實現(xiàn) 14 第五章 實現(xiàn)基于 校園網(wǎng)的 AAA 認證 圖 基于 的 AAA認證拓撲圖 設(shè)備選型 實施中存在接入設(shè)備支持方面的問題 ， 使得在全校范圍內(nèi)推廣實施 。 RADIUS 服務(wù)器和 NAS 服務(wù)器通過 UDP 協(xié)議進行通信， RADIUS 服務(wù)器的 1812 是 端口負責(zé)認證， 而 1813 端口 則是 負責(zé)計費工作。該協(xié)議定義了基于 UDP的RADIUS幀格式及其消息傳輸機制，并規(guī)定 UDP端口 181 1813分別作為認證、計費端口。 AAA的基本組網(wǎng)結(jié)構(gòu)如下圖 . 圖 AAA的基本組網(wǎng)結(jié)構(gòu)示意圖 在 用戶想要通過某網(wǎng)絡(luò)與 NAS 建立連接，從而獲得訪問其它網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的 權(quán)利時， NAS 就 起到了驗證用戶或?qū)?yīng)連接的作用。 而要訪問網(wǎng)絡(luò)資原的用戶只有在 連接 到 受控端口才可使其訪問 ； 如要讓 用戶無須經(jīng)過認證便可以直接訪問網(wǎng)絡(luò)資源 便使其連接到非受控端口便可 。 基于以太網(wǎng)端口認證的 的 特點 ： 以 純 以 太網(wǎng)技術(shù)的 內(nèi)核，保持了 使用 IP 地址 網(wǎng) 絡(luò) 連接特性， 是 不需要進行協(xié)議間的多層封裝， 使其減少 了不必要的開銷和冗余； 也 消除 了 網(wǎng)絡(luò)認證計費瓶頸和 單點故障， 更便于 支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。 這種方法比較適合 CERNET流量計費政策 ， 但是無法防止用戶通過代理訪問外部資源 ， 不能防止外來用戶濫用校園網(wǎng)中的資源 ， 對于校內(nèi)發(fā)生的安全事件也無法追查和落地 。 對高校校園網(wǎng)入網(wǎng) 、認證 、 管理和維護都有良好的借鑒作用 。 系統(tǒng)在獲取用戶的帳號與密碼等身份后 ， 可以根據(jù)用戶身份的不同 ， 分配不同的資源使用權(quán)限 ，這樣即 避免網(wǎng)絡(luò)資源的濫用也可以使管理者不會造成管理混亂 。 IEEE802協(xié)議 定義的局域網(wǎng)并不 能夠提供接入認證， 用戶 只要 接入 了 局域網(wǎng) 的 控制設(shè)備 (如 LANS witch) ， 用戶就可以訪問局域網(wǎng)中的設(shè)備或資源。 XXXXXXX 學(xué)院 計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計 5 ：可以靈活控制認證的顆粒度，用于對單個用戶 的 連接、用戶 ID 或者是對接入設(shè)備進行認證，認證的層次可以進行靈活的組合，可 滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。 EAP的工作 過 程 IEEE有 一種 自定義的 封裝模式 ， 是 允許 EAP通過 LAN傳輸 數(shù)據(jù) ， EAP over LAN (EAPoL)于是應(yīng)運而生 。例如用戶成功登錄服務(wù)器后，管理員 則可對授權(quán)用戶分配權(quán)限，即可對 服務(wù)器中的文件進行訪問和打印 等 操作； 計費： 則是 記錄用戶 在使用網(wǎng)絡(luò)服務(wù)中的所有操作，包括使用的服務(wù)類型、起始時間和數(shù)據(jù)流量等，它不僅是一種計費手段，還能對網(wǎng)絡(luò)安全起一定的 監(jiān)視作用。 密執(zhí)安大學(xué)創(chuàng)立于 1855 年，并且是 的一家非營利公司，其業(yè)務(wù)是運行維護該校的 網(wǎng)絡(luò)互聯(lián) MichNet。如果備份 的 RADIUS服務(wù)器的密鑰和以前 RADIUS服務(wù)器的密鑰不同，則需要重新進行認證。 校園網(wǎng)中基于 AAA認證配置 實例相關(guān)命令 : Switchconfigure terminal Switch(config)hostname Switch1 Switch1(config)int f 0/20 Switch1(configif)no switchport Switch1(configip)ip add XXXXXXX 學(xué)院 計算機網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計 15 Switch1(config)aaa authentication dot1x Switch1(config)end Switch1configure terminal Switch1(config)interface f 1/1 Switch1(configif)dot1x portcontrol auto Switch1(config)end Switch1(config) interface vlan 1 Switch1(configif)ip address Switch1(configif)no shutdown Switch1(configif)exit 記帳服務(wù) : Switch1configure terminal Switch1(config)aaa accounting server Switch1(config)aaa accounting server backup Switch1(config)aaa accounting accport 1200 Switch1(config)aaa accounting Switch1(config)end Switch1(config)ip route 路由器配置 Router1(config)int f 0/0 Router1(configif)ip add Router1(configif)no shutdown Router1(configif)exit Router1(confi