【文章內(nèi)容簡(jiǎn)介】 12) 用戶認(rèn)證服務(wù)器 會(huì) 回應(yīng)計(jì)費(fèi)開(kāi)始 的 請(qǐng)求報(bào)文 。 到 此 ， 用戶上線 認(rèn)證 完畢 ， 并 獲得授權(quán) ， 則 開(kāi)始正常使用網(wǎng)絡(luò) 資原 。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 8 第三章 AAA 的簡(jiǎn)介 什么是 AAA AAA是 Authentication、 Authorization、 Accounting(認(rèn)證、授權(quán) 、計(jì)費(fèi) )的簡(jiǎn)稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，它提供了認(rèn)證、授權(quán)、計(jì)費(fèi)三種安全功能。 AAA一般采用的模式是客戶機(jī) /服務(wù)器結(jié)構(gòu)，客戶端是運(yùn)行于 NAS（ Network Access Server 網(wǎng)絡(luò)接入服務(wù)器） 上 ， 服務(wù)器上則能集中管理用戶信息。 NAS對(duì)于用戶來(lái)說(shuō)是服務(wù)器，可對(duì)服務(wù)器來(lái)說(shuō)則是客戶端。 AAA的基本組網(wǎng)結(jié)構(gòu)如下圖 . 圖 AAA的基本組網(wǎng)結(jié)構(gòu)示意圖 在 用戶想要通過(guò)某網(wǎng)絡(luò)與 NAS 建立連接，從而獲得訪問(wèn)其它網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的 權(quán)利時(shí)， NAS 就 起到了驗(yàn)證用戶或?qū)?yīng)連接的作用。NAS 會(huì) 負(fù)責(zé)把用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)信息透?jìng)鹘o服務(wù)器（ RADIU 服務(wù)器 ） ，RADIUS 協(xié)議 會(huì) 規(guī)定 NAS 與服務(wù)器之間 是 如何傳遞用戶信息。 圖 的 AAA 基本組網(wǎng)結(jié)構(gòu)中有兩臺(tái)服務(wù)器，用戶可以根據(jù)實(shí)際組網(wǎng)需求來(lái)決定認(rèn)證、授權(quán)、計(jì)費(fèi)功能 是分別由通過(guò)哪個(gè) 的服務(wù)器來(lái)實(shí)現(xiàn)。例 如，可以選擇 RADIUS server1 來(lái) 實(shí)現(xiàn)認(rèn)證和授權(quán)， 而 RADIUS server2 則用來(lái) 實(shí)現(xiàn)計(jì)費(fèi)。 XXXXXXX 學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì) 9 AAA的三種服務(wù) 認(rèn)證： 是 確認(rèn)遠(yuǎn)端訪問(wèn)用戶的身份，判斷訪問(wèn)者是否為合法的網(wǎng) 絡(luò)用戶； 授權(quán)： 則是 對(duì)不同用戶賦予不同的權(quán)限， 和 限制用戶可以使用的服務(wù)。例如用戶成功登錄服務(wù)器后，管理員 則可對(duì)授權(quán)用戶分配權(quán)限，即可對(duì) 服務(wù)器中的文件進(jìn)行訪問(wèn)和打印 等 操作； 計(jì)費(fèi)： 則是 記錄用戶 在使用網(wǎng)絡(luò)服務(wù)中的所有操作，包括使用的服務(wù)類型、起始時(shí)間和數(shù)據(jù)流量等，它不僅是一種計(jì)費(fèi)手段，還能對(duì)網(wǎng)絡(luò)安全起一定的 監(jiān)視作用。 當(dāng)然，用戶可以只使用 AAA 提供的一種或兩種安全服務(wù)。例如，公司僅僅想讓員工在訪問(wèn)某些特定資源的時(shí)候進(jìn)行身份認(rèn)證，那么網(wǎng)絡(luò)管理員只 需要對(duì)其 配置認(rèn)證服務(wù)器 即可。但是如果希望對(duì)員工是否會(huì)訪問(wèn)網(wǎng) 絡(luò)資原 的情況進(jìn)行記錄，那么 則 還需要配置計(jì)費(fèi)服務(wù)器。 總結(jié)上述所說(shuō) ， AAA是一種管理框架，它 是 提供了授權(quán)部分實(shí)體去訪問(wèn)特定 的 資源，同時(shí) 還 可以記錄這些實(shí)體操作行為的一種安全機(jī)制，因其具有良好的可擴(kuò)展性，并且容易實(shí)現(xiàn)用戶信息的集中管理 從 而被廣泛 的 使用。 AAA可以通過(guò)多種協(xié)議來(lái)實(shí)現(xiàn)，目前設(shè)備支持基于 RADIUS協(xié)議 來(lái)實(shí)現(xiàn) AAA，在實(shí)際應(yīng)用中，最常使用 RADIUS協(xié)議 AAA的優(yōu)點(diǎn) ? 靈活易控 ? 標(biāo)準(zhǔn)化的認(rèn)證方 式 ? 多重備用系統(tǒng) AAA認(rèn)證 ? 對(duì) enablef 進(jìn)行認(rèn)證：用戶從用戶狀態(tài)轉(zhuǎn)入到特權(quán)狀態(tài)時(shí)， 網(wǎng)絡(luò)設(shè)備需要的一種安全論證方法 。 ? 對(duì) login 進(jìn)行認(rèn)證：用戶從未登錄 狀態(tài) 到 用戶 登陸狀態(tài)進(jìn)行配置時(shí)需要進(jìn)行的 一種 操作。 ? 對(duì) ppp 進(jìn)行認(rèn)證：鏈路建立階段進(jìn)行的認(rèn)證，驗(yàn)證成功之后才會(huì)進(jìn)入NCP（如 IPCP、 IPXCP、 BCP）的協(xié)商過(guò)程。包括 chap 和 pap 認(rèn)證， chap認(rèn)證是在整個(gè)通信過(guò)程進(jìn)行， pap 認(rèn)證則是在 PPP 建立連接時(shí)進(jìn)行。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 10 第四章 RADIUS 協(xié)議 什么是 RADIUS協(xié)議 圖 radius的認(rèn)證過(guò)程 RADIUS： Remote Authentication Dial In User Service，遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)由 RFC2865， RFC2866 定義，是目前應(yīng)用最廣泛的 AAA 協(xié)議 。 RADIUS協(xié)議簡(jiǎn)介 RADIUS（ Remote Authentication DialIn User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)）是一種分布式的、客戶端 /服務(wù)器結(jié) 構(gòu)的信息交互協(xié)議，能保護(hù)網(wǎng)絡(luò)不受來(lái)自沒(méi)有 授權(quán) 的網(wǎng)絡(luò)用戶 訪問(wèn)的干擾，常 常應(yīng)用在既要有 較高安全性、又允許 可以用戶 遠(yuǎn)程訪問(wèn)的各種網(wǎng)絡(luò)環(huán)境中。該協(xié)議定義了基于 UDP的RADIUS幀格式及其消息傳輸機(jī)制，并規(guī)定 UDP端口 181 1813分別作為認(rèn)證、計(jì)費(fèi)端口。 RADIUS最初只是針對(duì)用戶拔號(hào) 的 AAA協(xié)議，后來(lái)隨著用戶接入方式的多樣化發(fā)展， RADIUS也適應(yīng)多種用戶接入 的上網(wǎng) 方式，如以太網(wǎng)接入、 ADSL接入。它 都 通過(guò)認(rèn)證授權(quán)來(lái)提供接入服務(wù)，通過(guò)計(jì)費(fèi)來(lái)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用。 RADIUS的歷史 XXXXXXX 學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì) 11 RADIUS 協(xié)議 是最初 由 Livingston 公司提出 來(lái) 的， 前期的 目的是為讓 撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來(lái)經(jīng)過(guò)多次改進(jìn)， 便 形成了一項(xiàng) 可以 通用的認(rèn)證計(jì)費(fèi)協(xié)議 軟件 。 密執(zhí)安大學(xué)創(chuàng)立于 1855 年，并且是 的一家非營(yíng)利公司，其業(yè)務(wù)是運(yùn)行維護(hù)該校的 網(wǎng)絡(luò)互聯(lián) MichNet。 1987 年， Merit 在美國(guó) NSF（國(guó)家科學(xué)基金會(huì)）的招標(biāo)中勝出，贏得了 NSF（即 Inter 前身）的運(yùn)營(yíng)合同。因?yàn)?NSF 是基于 IP 的網(wǎng)絡(luò)，而 且又是 MichNet 卻基于專有的 網(wǎng)絡(luò)協(xié)議， 所以 Merit 面對(duì)著如何將 MichNet 的 專有網(wǎng)絡(luò)協(xié)議演變?yōu)镮P 協(xié)議 的責(zé)任 ，同時(shí)也要把 MichNet 上的大量撥號(hào)業(yè)務(wù)以及其相關(guān)專有協(xié)議移植到 IP 網(wǎng)絡(luò) 上來(lái)。 1991 年， Merit 便 決定招標(biāo)撥號(hào)服務(wù)器供應(yīng)商，幾個(gè)月后，一家叫Livingston 的公司提出了建議，冠名為 RADIUS， 然后便 為此獲得了合同。 1992 年秋天， IETF 的 NASREQ 工作組 便正式 成立 了 ,隨之提交了RADIUS 并 作為 了 草案。很快， RADIUS 成為事實(shí)上的網(wǎng)絡(luò)接入標(biāo)準(zhǔn)，幾乎 同時(shí) 所有的網(wǎng)絡(luò)接入服務(wù)器廠商均實(shí)現(xiàn)了該協(xié)議 運(yùn)行 。 1997 年， RADIUS RFC2058 發(fā)表，隨后是 RFC2138， 于是乎 最新的RADIUS RFC2865 發(fā)表于 2022 年 6 月。 RADIUS的 基本工作原理 由 用戶接入 NAS， NAS 向 RADIUS 服務(wù)器 使用 AccessRequire 數(shù)據(jù)包 提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶 的 密碼 都 是經(jīng)過(guò) MD5 進(jìn)行 加密的， 并且 雙方 是 使用共享 密鑰 ， 但是 這個(gè)密鑰 是 不經(jīng)過(guò)網(wǎng)絡(luò)傳播； RADIUS 服務(wù) 器 是 對(duì)用戶 的用戶 名和密碼 進(jìn)行 合法 性的 檢驗(yàn)， 而且在 必要時(shí) 還 可以提出一個(gè) Challenge，要求 用戶 進(jìn)一步 進(jìn)行 用戶認(rèn)證，也可以對(duì) NAS 進(jìn)行類似的認(rèn)證；如果 用戶 合法， 則 給 NAS 返回AccessAccept 數(shù)據(jù)包，允許用戶 可以 進(jìn)行下一步 的認(rèn)證 工作，否則返回 AccessReject 數(shù)據(jù)包，拒絕用戶 的 訪問(wèn)；如果允許訪問(wèn)， 則 NAS 向RADIUS 服務(wù)器提出計(jì)費(fèi)請(qǐng)求 Account Require， 如果 RADIUS 服務(wù)器響應(yīng) 了 AccountAccept， 就開(kāi)始 對(duì) 這個(gè) 用戶的計(jì)費(fèi)，同時(shí)用戶 還 可以 對(duì) 自己 進(jìn)行有關(guān) 的 操作。 并且 RADIUS 還支持代理和漫游功能。簡(jiǎn)單地說(shuō)，代理就是一臺(tái)服務(wù)器，可以作為其他 RADIUS 服務(wù)器的代理，負(fù)責(zé)轉(zhuǎn)發(fā) RADIUS 的 認(rèn)證和計(jì)費(fèi)數(shù)據(jù)包。 而 所謂漫游功能， 則 就是代理的一個(gè)具體實(shí)現(xiàn)，這樣可以基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 12 讓用戶 本身 通過(guò) 本來(lái) 和其無(wú)關(guān)的 RADIUS 服務(wù)器進(jìn)行認(rèn)證，用戶到非歸屬運(yùn)營(yíng)商所在地也可以得到服務(wù)，也可以實(shí)現(xiàn)虛擬運(yùn)營(yíng)。 RADIUS 服務(wù)器和 NAS 服務(wù)器通過(guò) UDP 協(xié)議進(jìn)行通信， RADIUS 服務(wù)器的 1812 是 端口負(fù)責(zé)認(rèn)證， 而 1813 端口 則是 負(fù)責(zé)計(jì)費(fèi)工作。采用 UDP 的 基本考慮是因?yàn)?NAS 和 RADIUS 服務(wù) 器大多在同一個(gè) 局域網(wǎng) 中， 而 UDP的 使用 也 更加快捷方便，而且 UDP 是無(wú)連接的，會(huì)減輕 RADIUS 的壓力，也 會(huì) 更安全。 RADIUS協(xié)議還規(guī)定了重傳機(jī)制。如果 NAS向某個(gè) RADIUS服務(wù)器提交請(qǐng)求沒(méi)有收到返回信息，那么可以要求備份 RADIUS服務(wù)器重傳。由于有多個(gè)備份 的 RADIUS服務(wù)器，因此 NAS進(jìn)行重傳的時(shí)候，可以采用輪詢的方法。如果備份 的 RADIUS服務(wù)器的密鑰和以前 RADIUS服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證。 RADIUS的 基本消息交互流程 RADIUS 服務(wù)器對(duì)用戶的認(rèn)證過(guò) 程通常需要利用 NAS 等設(shè)備的代理認(rèn)證功能， RADIUS 客戶端和 RADIUS 服務(wù)器之間 是 通過(guò)共享密鑰認(rèn)證相互間交互的消息，用戶 的 密碼采用 了 密文方式在網(wǎng)絡(luò)上傳輸， 這樣便 增強(qiáng)了安全性。 RADIUS 協(xié)議合并了認(rèn)證和授權(quán)過(guò)程，即響應(yīng) 了 報(bào)文中攜帶的 授權(quán)信息。 基本交互步驟如下： 1. 用戶輸入用戶名和口令； 2. RADIUS 客戶端根據(jù)獲取的用戶名和口令，向 RADIUS 服務(wù)器發(fā)送認(rèn)證請(qǐng)求包（ accessrequest）。 3. RADIUS 服務(wù)器將該用戶信息與 users 數(shù)據(jù)庫(kù)信息進(jìn)行對(duì)比分析，如果認(rèn)證成功，則將用戶的權(quán)限 信息以認(rèn)證響應(yīng)包(accessaccept）發(fā)送給 RADIUS 客戶端；如果認(rèn)證失敗，則返回 accessreject 響應(yīng)包。 4. RADIUS 客戶端根據(jù)接收到的認(rèn)證結(jié)果接入 /拒絕用戶。如果可以接入用戶，則 RADIUS 客戶端向 RADIUS 服務(wù)器發(fā)送計(jì)費(fèi)開(kāi)始請(qǐng)求包（ accountingrequest）， statustype 取值為 start； 5. RADIUS 服務(wù)器返回計(jì)費(fèi)開(kāi)始響應(yīng)包（ accountingresponse）； 6. RADIUS 客戶端向 RADIUS 服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求包（ accountingrequest）， statustype 取值為 stop； 7. RADIUS 服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包（ accountingresponse）。 XXXXXXX 學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì) 13 客戶端 /服務(wù)器模式 客戶端： RADIUS客戶端一般位于 NAS設(shè)備上， 這樣便 可以遍布整個(gè)網(wǎng)絡(luò)，負(fù)責(zé)傳輸用戶信息到指定的 RADIUS服務(wù)器，然后根據(jù)從服務(wù)器 上 返回的信息進(jìn)行相應(yīng)處理（如接受 /拒絕用戶接入）。 服務(wù)器： RADIUS服務(wù)器運(yùn)行在中心計(jì)算機(jī)或工作站上，維護(hù)相關(guān)的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問(wèn)信息，負(fù)責(zé)接收用戶連接請(qǐng)求并認(rèn)證用戶，然后給客戶端返回所 有需要的信息（如接受 /拒絕認(rèn)證請(qǐng)求）。 RADIUS服務(wù)器通常要維護(hù)三個(gè)數(shù)據(jù)庫(kù)，如圖 圖 RADIUS服務(wù)器的組成 ? “ Users” :用于存儲(chǔ)用戶信息（如用戶名、口令以及使用的協(xié)議、IP地址等配置信息）。 ? “ Clients” :用于存儲(chǔ) RADIUS客戶端的信息（如接入設(shè)備的共享密鑰、 IP地址等）。 ? “ Dictionary” :用于存儲(chǔ) RADIUS協(xié)議中的屬性和屬性值含義的信息 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 14 第五章 實(shí)現(xiàn)基于 校園網(wǎng)的 AAA 認(rèn)證 圖 基于 的 AAA認(rèn)證拓?fù)鋱D 設(shè)備選型 實(shí)施中存在接入設(shè)備支持方面的問(wèn)題 ， 使得在全校范圍內(nèi)推廣實(shí)施 。 表現(xiàn)在 ， 校園網(wǎng)早期購(gòu)買交換機(jī)品牌較多 ，有的交換機(jī)支持 ,有的交換機(jī)不支持 ； 部分 ， 許多 。 不同廠家交換機(jī) 的 是 不一樣 的 ， 這樣便 給全校實(shí)施 帶來(lái) 了 困難 。 在實(shí)施工程中 ， 我們選用 了 同一家的產(chǎn)品 ， 對(duì)不同廠商的網(wǎng)絡(luò)設(shè)備需要進(jìn)行更換或改造 。 選擇 銳捷 的 RGS355024系列交換機(jī)作為匯聚 ，RGS2126系列交換機(jī)作為接入層設(shè)備 。 校園網(wǎng)中基于 AAA認(rèn)證配置 實(shí)例相關(guān)命令 : Switchconfigure terminal Switch(config)hostname Switch1 Switch1(config)int f 0/20 Switch1(configif)no switchport Switch1(con