天安全认证计费技术.ppt

《天安全认证计费技术.ppt》由会员分享，可在线阅读，更多相关《天安全认证计费技术.ppt（61页珍藏版）》请在三一办公上搜索。

1、第11课、认证计费技术原理及配置,议程,认证计费原理及技术（AAA、Radius）IEEE 802.1X协议以及应用锐捷RG-SAM的安装与配置锐捷安全交换机的802.1X配置,网络接入的现状,无法控制用户的接入无法保证网络的安全无法有效的收取费用,AAA概述,Authentication，Authorization，and Accounting三种安全功能，简称AAA。Authentication：认证，用于判定用户是否可以获得访问权，限制非法用户 Authorization：授权，授权用户可以使用哪些服务，控制合法用户的权限 Accounting：计账，记录用户使用网络资源的情况；为收费提

2、供依据,AAA工作过程,一个AAA的工作过程可以分为如下几步：终端用户（客户端系统）向NAS发出网络连接请求。NAS收集用户输入用户名和口令，并转发给AAA服务器。AAA服务器按照一定算法和自身数据库信息匹配，然后将结果返回给NAS，可能是接受、拒绝或其他（如challenge）NAS根据返回的结果决定接通或者断开终端用户。如果认证通过继续以下步骤：服务器对用户进行授权，NAS根据授权结果对用户上网环境进行配置。如需计费，NAS将在用户上下线及上网期间内收集用户网络资源使用情况，数据送交记帐服务器。,AAA承载协议,RADIUS(RFC2865/2866以及RFC2869)TACACS/TAC

3、ACS+其他：Kerberos v5(RFC1510)等等优缺点比较：TACACS+使用TCP可靠连接，较少应用；RADIUS使用UDP封装，开销小、可实现灵活备份，更安全的密钥管理；得到了广泛应用。,Radius协议概述,RADIUS是远程认证拨号用户服务（Remote Authentication Dial-In User Service）的简称，它是一种分布式的客户机/服务器系统，与AAA配合对试图连接的用户进行身份认证，防止未经授权的访问。RADIUS协议主要特征：客户/服务器模型：一般NAS为Radius客户端。网络安全性：Radius服务器与NAS之间使用共享密钥对敏感信息进行加密

4、，该密钥不会在网上传输。可扩展的协议设计：Radius使用独特的类型-长度-值（TLV)数据对封装格式，用户可以自行定义其它的私有属性，扩展Radius应用。灵活的鉴别机制：支持不同的鉴别协议，如PAP、CHAP、EAP等等。,Radius报文格式,封装在UDP数据域的RADIUS报文：,Radius报文格式,Id：用于匹配request和replyLength：Radius协议报文长度Authenticator：用来对来自于RADIUS服务器的应答进行认证，而且还用于口令隐藏算法中。,Radius属性,Radius属性类型用一个字节来表示，分别为1-255号属性，区分为三类：标准属性Radi

5、us最基本的属性定义在RFC2865和RFC2866中，如用户名、密码、计费和常用授权信息等；扩展标准属性RFC2867-2869是Radius的扩展协议，在其中定义了一些针对特殊应用（如支持隧道应用、支持EAP等）的属性；扩展私有属性即26号属性，属性值由厂商自己定义。,Radius与PAP、CHAP的结合,Radius提供了不同的属性来支持PAP、CHAP等本地认证方式。如PAP及其他类似认证方式使用Radius的User-Name(1)、User-Password(2)等属性CHAP使用User-Name(1)、CHAP-Password(3)、CHAP-Challenge(60)等属性

6、,Radius的组网示意图,常用的认证计费技术/方式,PPPoE+RadiusWEB Portal+Radius802.1X+Radius,PPPoE+Radius,PPPoE是以太网点对点通信协议(Point to Point Protocol over Ethernet)的简称。在以太网上建立一个PPP连接。典型应用：ADSL,瓶颈,WEB Portal+Radius,在传统的Web/Portal认证中，无论什么用户都可以先获得IP地址，再上网通过客户端认证。Web/Portal方式在认证前就为用户分配了IP地址。产品：城市热点DR.COM计费系统,瓶颈,802.1X+Radius,在接入

7、层交换机端口上进行认证。没有通过认证前，端口关闭状态。,几种认证计费技术比较,议程,认证计费原理及技术（AAA、Radius）IEEE 802.1X协议以及应用锐捷RG-SAM的安装与配置锐捷安全交换机的802.1X配置,IEEE802.1X协议概述,IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络访问控制标准，为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。IEEE 802.1x标准定义了

8、一种基于“客户端服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol over LAN）可以在网络上通行。在认证成功之后，通常的数据流便可在网络上通行。,IEEE802.1X协议的目标,802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）802.1X的认

9、证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。,802.1x角色说明,认证者（交换机）,恳请者,EAPOL,EAPOL,Extensible AuthenticationProtocol over LAN,认证服务器,802.1X机制,Controlled,Un-Controlled,非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯,连

10、接在受控端口的用户只有通过认证才能访问网络资源,EAPOL,EAPOL,基于MAC的802.1X端口状态,认证前后端口的状态,802.1X的认证中，端口的状态决定了客户端是否能接入网络，在启用802.1x认证时端口初始状态一般为非授权（unauthorized），在该状态下，除802.1X 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后，则端口状态切换到授权状态（authorized），允许客户端通过端口进行正常通讯。,802.1X认证过程,基本的认证过程,认证通过前：通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；认证通过时：通道的状态切换

11、为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；认证通过后：用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。,认证通过后,认证通过之后的保持：认证端Authenticator可以定时要求Client重新认证，时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。下线方式：物理端口Down；重新认证不通过或者超时；客户端发起EAP_Logoff帧；网管控制导致下线；,PPP帧格式,一个典型的PPP协议的帧格式,Flag,Address,Cont

12、rol,Protocol,Information,protocol域表明协议类型为C227(PPP EAP)时，在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包,EAP报文格式,Code域：为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下：Code1RequestCode2 ResponseCode3 SuccessCode4 FailureIndentifier域：为一个字节，辅助进行request和response的匹配每一个request都应该有一个response相对应，这样的一个Indentifier域就建立了这样的一个对应关系

13、相同的Indentifier相匹配。Length域：为两个字节，表明了EAP数据包的长度，包括Code,Identifier,Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充（padding）,在接收时应该被忽略掉。Data域：为0个或者多个字节，Data域的格式由Code的值来决定。,Request和Response报文,Code域Identifier域Length域Type域Type Data域,Success和Failure报文,当Code域为3或者4的时候，这个时候为EAP的Success和Failure报文，报文的格式如上：当Code域为3的时候是S

14、uccesss报文，当Code为4的时候是Failure报文。Identifier域为一个字节，辅助匹配Response应答。Identifier域必须与其正在应答的Response域中的Identifier域相匹配。,802.1X典型应用（一）,802.1X典型应用（二）,议程,认证计费原理及技术（AAA、Radius）IEEE 802.1X协议以及应用锐捷RG-SAM的安装与配置锐捷安全交换机的802.1X配置,锐捷网络的安全认证计费产品,Radius ServerRG-Radius、RG-SAMNAS（Radius Client）锐捷全系列安全交换机、路由器、防火墙接入用户802.1x的

15、认证客户端软件STAR Supplicant（分SuA普通安装版本和SuB免安装版本）,锐捷RG-SAM的安装与配置,RG-SAM安全计费管理系统的安装MS SQL的安装建库以及SAM与数据库的配置连接,安装RG-SAM的硬件和操作系统要求,RG-SAM安全计费管理系统的安装,RG-SAM安全计费管理系统的安装,RG-SAM安全计费管理系统的安装,MS SQL的安装,MS SQL的安装,注：必须选择“使用本地系统帐户”,注：必须选择“混合模式”,MS SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初

16、始化,MS SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初始化,锐捷RG-SAM的系统界面及版本,锐捷RG-SAM的系统配置与使用,新建数据库和执行脚本创建表空间注意：对于SQL，数据库名只能为RG-Radius设置数据库类型以及路径等信息设置认证计费的相关参数在Radius Server端添加NAS设备增添服务注意：必须建立一个Internet服务建立计费策略开户注意：开户时必须赋予该用户internet服务上网时间段控制、屏蔽假设代理、各元素

17、复合绑定、客户端在线升级,议程,认证计费原理及技术（AAA、Radius）IEEE 802.1X协议以及应用锐捷RG-SAM的安装与配置锐捷安全交换机的802.1X配置,锐捷安全交换机802.1X默认配置,锐捷安全交换机802.1X配置注意事项,只有支持802.1x的产品，才能进行以下设置。802.1x既可以在二层下又可以在三层下的设备运行。要先设置认证服务器的IP地址，才能打开802.1x认证。打开端口安全的端口不允许打开802.1x认证。Aggregate Port不允许打开802.1x认证。,配置交换机和Radius Server之间通讯,交换机和Radius Server之间通讯配置实

18、例,Switch#configure terminal Switch(config)#radius-server host 192.1.1.1 Switch(config)#radius-server auth-port 600 Switch(config)#radius-server key red-giantnetwork Switch(config)#end 官方约定的认证的UDP端口为1812 官方约定的记帐的UDP端口为1813 交换机与Radius Server约定的密码的长度建议不少于16个字符交换机与Radius Server连接的端口要设置成非受控口,锐捷安全交换机802.1

19、X配置,交换机全局打开802.1X认证Switch(config)#aaa authentication dot1x设置某个端口为认证端口Switch(config)#interface f 1/1 Switch(config-if)#dot1x port-control auto,锐捷安全交换机802.1X相关参数配置,打开和设置定时重认证Switch(config)#dot1x re-authentication Switch(config)#dot1x timeout re-authperiod 1000改变QUIET时间Switch(config)#dot1x timeout quie

20、t-period 500 设置报文重传间隔Switch(config)#dot1x timeout tx-period 100 设置最大请求次数Switch(config)#dot1x max-req 5 设置最大重认证次数Switch(config)#dot1x reauth-max 3 将所有的参数恢复为默认值Switch(config)#dot1x default,锐捷安全交换机802.1X记帐配置,锐捷安全交换机802.1X配置,Switch#configure terminal Switch(config)#aaa accounting server 192.1.1.1 Switch

21、(config)#aaa accounting server 192.1.1.2 backup Switch(config)#aaa accounting acc-port 1200 Switch(config)#aaa accounting Switch(config)#end与Radius Server的约定记帐密码与认证相同必须在802.1x打开的前提下才能打开记帐802.1x的记帐功能在默认的情形下是关闭的,锐捷802.1X特色功能配置,配置IP授权模式 发布广告信息 某端口下的可认证主机列表 授权 配置认证方式 配置备份认证服务器 对在线用户的配置及管理 实现用户帐号与IP、MAC、端口、交换机IP等元素的捆绑 基于端口的流量记费 代理服务器屏蔽和拨号屏蔽 配置客户端在线探测 实时关断客户端软件自动升级流量卡、时长卡,