网络安全接入技术.ppt

《网络安全接入技术.ppt》由会员分享，可在线阅读，更多相关《网络安全接入技术.ppt（112页珍藏版）》请在三一办公上搜索。

1、第3章 网络安全接入技术,华为3Com网络学院第六学期,ISSUE 1.0,2,课程目标,掌握AAA原理与基本配置掌握RADIUS协议原理与基本配置掌握HWTACACS协议原理与基本配置学会分析处理基本的AAA、RADIUS、HWTACACS故障问题,学习完本课程，您应该能够：,3,课程内容,第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析,4,AAA概述,验证（Authentication）授权（Authorization）计费（Accounting）,A

2、AA 服务器,本地实现AAA,使用服务器实现AAA,5,AAA的认证功能,AAA 服务器,本地认证,远端认证,6,AAA的授权功能,RADIUS 服务器,本地授权,远端授权,7,AAA的计费功能,远端计费,RADIUS 服务器/TACACS服务器,8,课程内容,第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析,9,RADIUS概述,RADIUS（Remote Authentication Dial-in User Service）是当前流行的安全服务器协议。

3、实现AAA（授权Authorization、验证Authentication和计费Accounting）功能。RADIUS使用UDP作为传输协议，具有良好的实时性，同时也支持重传机制和备用服务器机制，从而有较好的可靠性。,10,RADIUS 服务器组成,RADIUS服务器,users,clients,Dictionary,11,RADIUS 服务器实现AAA流程,用户上网,验证请求,验证授权通过,授权并允许用户上网,RADIUS服务器,12,RADIUS结构及基本原理,RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议。,用户 server/cli

4、ent 服务器,NAS,路由器或NAS 上运行的AAA程序对用户来讲为服务器端，对RADIUS服务器来讲是作为客户端，当用户上网时，路由器决定对用户采用哪种验证方法。下面介绍两种用户与路由器之间（本地验证、远端验证）的验证方法CHAP和PAP。,13,本地认证PAP,本地（NAS）验证PAP方式：PAP（Password Authentication Protocol）是密码验证协议的简称，是认证协议的一种。用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。,我查.我验,Username Pas

5、sword,用户 NAS,（PPP）（Radius Client）,验证结果,14,本地认证CHAP（1）,本地（NAS）验证CHAP方式：CHAP（Challenge Handshake Authentication Protocol）是查询握手验证协议的简称，是我们使用的另一种认证协议。,Secret Password=MD5（Chap ID+Password+challenge）,我查.我算 我验,用户 NAS,（PPP）（Radius Client）,验证结果,CHAP ID、Username、Secret password,Challenge、主机名、CHAP ID,15,本地认证C

6、HAP（2）,Secret Password=MD5（Chap ID+Password+challenge）,当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个ID号，本地服务器的 host name）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Secret Password作比较，如果相同表明验证通过，如果不相同表明验证失败。,16,远端认证PAP,远端（R

7、adius）验证PAP方式：,Secret password=Password XOR MD5（Challenge Key）(Challenge就是Radius报文中的Authenticator),我查.我算 我验,用户 NAS,（PPP）（Radius Client）,验证结果,ChallengeUsername、Secret、Password,验证结果,Username、Password,Key,Key,RadiusServer,17,远端认证CHAP,远端（Radius）验证CHAP方式：,Secret password=MD5（Chap ID+Password+challenge）,我

8、查.我算 我验,用户 NAS,（PPP）（Radius Client）,验证结果、授权,CHAP ID、Username、Secret password,Username、Secret、Password、Challenge、CHAP ID,验证结果、授权,RadiusServer,Challenge、主机名、CHAP ID,18,Radius协议在协议栈中的位置,Radius是一种流行的AAA协议，同时其采用的是UDP协议传输模式，AAA协议在协议栈中位置如下：,Radius协议,19,Radius协议包结构,Attributes:属性,20,Radius协议包各个域解释,各个域的解释：1、C

9、ode：包类型；1字节；指示RADIUS包的类型。2、Identifier：包标识；1字节；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。3、Length：包长度；2字节；整个包的长度。4、Authenticator：验证字；16字节；用于对包进行签名。,21,Radius协议包：code域,1）Code：包的类型 包类型占1个字节，定义如下：1 Access-Request请求认证过程 2 Access-Accept认证响应过程 3 Access-Reject认证拒绝过程 4 Accounting-Request请求计费过程 5 Accounting-Respon

10、se计费响应过程,22,Radius协议包：Identifier域,2）Identifier：包标识 包标识，用以匹配请求包和响应包。该字段的取值范围为0255；协议规定：1、在任何时间，发给同一个RADIUS服务器的不同包的 Identifier域不能相同，如果出现相同的情况，RADIUS将认为后一个包是前一个包的拷贝而不对其进行处理。2、Radius针对某个请求包的响应包应与该请求包在Identifier上相匹配（相同）。,23,Radius协议包：Length域,3）Length：包长度 整个包长度,包括Code，Identifier，Length，Authenticator，Attri

11、butes域的长度。,24,Radius协议包：Authenticator域,4）Authenticator：验证字 该验证字分为两种：1、请求验证字Request Authenticator 用在请求报文中，必须为全局唯一的随机值。2、响应验证字Response Authenticator 用在响应报文中，用于鉴别响应报文的合法性。响应验证字MD5(Code+ID+Length+请求验证字+Attributes+Key),25,Radius协议包：Authenticator域,5）Attributes：属性,Attribute(1)属性,长度为10字节,b e n l a d e n,26,

12、Radius协议属性,1.User-Name该属性指定了要进行认证的用户名,27,Radius协议属性,2.User-Password该属性指定了要认证的用户的口令，用户口令加密后存放在该属性中,28,Radius协议属性,3.NAS-IP-Address该属性指明了发起认证请求的设备的IP 地址,29,Radius协议属性,4.Vendor-Specific该属性用于携带各厂商自己扩展的属性,30,Radius协议属性,5.Session-Timeout该属性指明允许用户使用的最大时长,31,Radius协议属性,6.Acct-Status-Type该属性指明计费报文的类型该属性出现在计费报

13、文中不同的取值标志出不同的意义 1-表示计费开始报文 2-表示计费结束报文 3-表示计费更新报文 7-表示Accounting-On 报文,32,Radius协议属性（一）,属性值属性名称 意义1 User-Name 用户名2 User-Password 用户密码3 Chap-Password Chap认证方式中的用户密码4 Nas-IP-Address Nas的ip地址5 Nas-Port 用户接入端口号6 Service-Type 服务类型 7 Framed-Protocol 协议类型8 Framed-IP-Address 为用户提供的IP地址9 Framed-IP-NetMask 地址掩

14、码10 Framed-Routing 为路由器用户设置的路由方式 11 Filter-Id 过滤表的名称12 Framed-MTU 为用户配置的最大传输单元,认证报文的常用属性（1）：,33,Radius协议属性（二）,属性值 属性名称 意义13 Framed-Compression 该连接使用压缩协议14 Login-IP-Host 对login用户提供的可连接主机的ip地址15 Login-Service 对login用户可提供的服务 16 Login-TCP-Port TCP服务端口18 Reply-Message 认证服务器返回用户的信息24 State 认证服务器发送challeng

15、e包时传送的需在接 下来的认证报文中回应的字符串（与Acess-Challenge相关的属性）Class 认证通过时认证服务器返回的字符串信息，要求在该用户的计费报文中送给计费服务器,认证报文的常用属性（2）：,34,Radius协议属性（三）,属性值 属性名称 意义26 Vendor-Specific 可扩展属性 Session-Timeout 在认证通过报文或Challenge报文中，通知 NAS该用户可用的会话时长（时长预付费）28 Idle-Timeout 允许用户空闲在线的最大时长32 NAS-Identifier 标识NAS的字符串 Proxy-State NAS通过代理服务器转发

16、认证报文时服务 器添加在报文中的属性60 Chap-Challenge可以代替认证字字段传送challenge的属性61 Nas-Port-Type 接入端口的类型 62 Port-Limit服务器限制NAS为用户开放的端口数,认证报文的常用属性（3）：,35,Radius协议属性（四）,属性值 属性名称 意义40 Acct-Status-Type 计费请求报文的类型41 Acct-Delay-Time Radius客户端发送计费报文耗费的时间42 Acct-Input-Octets 输入字节数43 Acct-Output-Octets 输出字节数 44 Acct-Session-Id 计费会

17、话标识45 Acct-Authentic 在计费包中标识用户认证通过的方式 46 Acct-Session-Time 用户在线时长47 Acct-Input-Packets 输入包数 48 Acct-Output-Packets 输出包数 49 Acct-Terminate-Case 用户下线原因 50 Acct-Multi_Session-Id 相关计费会话标识 51 Acct-Link-Count 生成计费记录时多连接会话的会话个数,认证报文的常用属性（4）：,36,RADIUS协议总结,37,Radius+简介,38,课程内容,第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWT

18、ACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析,39,HWTACACS 概述,HWTACACS安全协议是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过Server-Client模式与TACACS服务器通信来实现多种用户的AAA功能。用于PPP和VPDN接入用户及login用户的认证、授权和计费。,40,HWTACACS协议和RADIUS协议区别,41,HWTACACS 组网应用,拨号用户,终端用户,HWTACACS客户端,TACACS服务器,TACACS

19、服务器,42,HWTACACS 服务器实现AAA流程,用户登录,认证开始报文,认证回应报文，请求用户名,向用户申请用户名,HWTACACS客户端,HWTACACS 服务器,用户,43,课程内容,第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析,44,AAA基本配置,创建ISP域并配置相关属性 创建ISP域配置用户使用的AAA方案配置ISP域的状态配置可接入用户数量的最大值配置计费可选开关定义本地地址池并为PPP用户分配IP地址创建本地用户并配置相关属性（仅用

20、于本地认证）创建本地用户并配置相关属性（仅用于本地认证）,45,创建ISP域并配置相关属性,创建ISP域,46,创建ISP域并配置相关属性,配置用户使用AAA方案,47,创建ISP域并配置相关属性,48,创建ISP域并配置相关属性,配置ISP域的状态,49,创建ISP域并配置相关属性,配置可接入用户数量的最大值,50,创建ISP域并配置相关属性,配置计费可选开关,51,创建ISP域并配置相关属性,定义地址池并为PPP用户分配IP地址,52,创建本地用户并配置相关属性,创建本地用户,53,创建本地用户并配置相关属性,设置本地用户属性,54,创建本地用户并配置相关属性,设置本地用户属性(续),55

21、,创建本地用户并配置相关属性,设置本地用户属性(续),56,创建本地用户并配置相关属性,设置本地用户属性(续),57,AAA基本配置,AAA协议的显示与调试,58,课程内容,第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析,59,RADIUS基本配置,RADIUS协议的配置包括：创建RADIUS方案设置RADIUS认证/授权服务器设置RADIUS计费服务器及相关属性设置RADIUS报文的共享密钥设置RADIUS请求报文的最大传送次数设置支持的RADIUS服务

22、器的类型设置RADIUS服务器的状态设置发送给RADIUS服务器的用户名格式设置发送给RADIUS服务器的数据流的单位配置NAS发送RADIUS报文使用的源地址配置RADIUS服务器的定时器使能RADIUS 服务器状态变为down时发送trap报文的功能,60,RADIUS基本配置,创建RADIUs方案,61,RADIUS基本配置,配置RADIUS授权/认证服务器,62,RADIUS基本配置,配置RADIUS计费服务器,63,RADIUS基本配置,使能停止计费报文缓存及重传功能,64,RADIUS基本配置,设置允许实时计费请求无响应的最大次数,65,RADIUS基本配置,设置RADIUS报文的

23、共享密钥,66,RADIUS基本配置,设置RADIUS请求报文的最大传送次数,缺省情况下，RADIUS请求报文的最大传送次数为3次。,67,RADIUS基本配置,设备重启用户再认证功能配置过程,68,RADIUS基本配置,设置支持的RADIUS服务器的类型,69,RADIUS基本配置,设置RADIUS服务器的状态,70,RADIUS基本配置,设置发送给RADIUS服务器的用户名格式,71,RADIUS基本配置,设置发送给RADIUS服务器的数据流单位,72,RADIUS基本配置,配置NAS发送RADIUS报文使用的源地址,73,RADIUS基本配置,配置RADIUS服务器应答超时定时器,74,

24、RADIUS基本配置,配置RADIUS服务器的主服务器恢复激活状态时间,75,RADIUS基本配置,配置RADIUS服务器实时计费时间,76,实时计费时间间隔与用户量之间的推荐比例关系,RADIUS基本配置-定时器基本配置,77,RADIUS基本配置,使能RADIUS服务器状态变为down时发送trap报文的功能,78,RADIUS基本配置,配置本地RADIUS认证服务器,79,RADIUS基本配置,RADIUS协议的显示与调试,80,RADIUS基本配置,RADIUS协议的显示与调试(续),81,课程内容,第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：

25、AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析,82,HWTACACS基本配置,HWTACACS的配置包括：创建HWTACACS方案配置TACACS认证服务器配置TACACS授权服务器配置TACACS计费功能配置TACACS服务器的密钥配置TACACS服务器的用户名格式配置TACACS服务器的流量单位配置NAS发送HWTACACS报文使用的源地址配置TACACS服务器的定时器,83,HWTACACS基本配置,创建HWTACACS方案,84,HWTACACS认证服务器基本配置,配置HWTACACS认证服务器,85,HWTACACS授权服务器基

26、本配置,配置HWTACACS授权服务器,86,HWTACACS计费服务器基本配置,配置HWTACACS计费服务器,87,HWTACACS计费服务器基本配置,使能停止计费报文的重传功能,88,HWTACACS基本配置,配置NAS发送HWTACACS报文使用的源地址,89,HWTACACS基本配置,配置HWTACACS服务器密钥,90,HWTACACS基本配置,配置HWTACACS服务器的用户名格式,91,HWTACACS基本配置,配置HWTACACS服务器的流量单位,92,HWTACACS服务器定时器基本配置,配置HWTACACS服务器的应答超时时间,缺省情况下，应答超时时间为5秒。,93,HW

27、TACACS服务器定时器基本配置,配置HWTACACS服务器的主服务器恢复激活状态时间,94,HWTACACS服务器定时器基本配置,配置实时计费时间间隔,95,HWTACACS服务器定时器基本配置,实时计费时间间隔与用户量之间的推荐比例关系,96,HWTACACS基本配置,配置在线用户主动修改当前密码,97,HWTACACS基本配置,HWTACACS协议的显示与调试,98,HWTACACS基本配置,HWTACACS协议的显示与调试(续),99,课程内容,第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节HWTA

28、CACS基本配置第七节：配置举例及故障分析,100,配置举例,AAA及RADIUS/HWTACACS协议典型配置举例 例1：Telnet/SSH用户通过RADIUS服务器认证、计费的应用 例2：FTP/Telnet用户本地认证配置 例3：PPP用户通过TACACS服务器认证、授权、计费的应用 例4：PPP用户认证、授权、计费分离方案典型配置举例例5：Telnet用户通过TACACS+服务器认证（一次性认证）、计 费的应用,101,配置举例（一）,Telnet/SSH用户通过RADIUS服务器认证、计费的应用,配置Telnet用户的远端RADIUS认证,Authentication/Accoun

29、ting servers(IP address:10.110.91.146),telnet user,102,配置举例（二）,FTP/Telnet用户本地认证配置,配置Telnet用户的本地认证,telnet user,103,配置举例（三）,PPP用户通过TACACS服务器认证、授权、计费的应用,配置PPP用户的远端HWTACACS认证,Authentication/Authorization/Accounting servers(IP address:10.110.91.146),e1/0/0:,S0/0/0:,PPP user,intranet,104,配置举例（四）,PPP用户认证、授

30、权、计费分离方案典型配置举例,PPP用户认证、授权、计费分离方案配置应用,e1/0/0:,S0/0/0:,PPP user,intranet,105,配置举例（五）,Telnet用户通过TACACS+服务器认证（一次性认证）、计 费的应用,配置Telnet用户的远端TACACS+认证,Authentication/Accounting servers(IP address:10.110.91.146),telnet user,106,故障分析,RADIUS协议故障诊断与排除 HWTACACS协议故障诊断与排除,AAA及RADIUS/HWTACACS协议故障的诊断与排除,107,RADIUS协议

31、故障诊断与排除,RADIUS协议故障诊断与排除RADIUS协议在TCP/IP协议族中处于应用层，它主要规定NAS与ISP的RADIUS服务器间如何交互用户信息，因此它失效的可能性比较大。用户认证/授权总是失败 RADIUS报文无法传送到RADIUS服务器 用户认证通过并获得授权，但是不能向RADIUS服务器传送计费话单。,108,RADIUS协议故障排除（一）,用户认证/授权总是失败（1）用户名不是“useridisp-name”的形式，或NAS没有指定缺省的ISP域请 使用正确形式的用户名或在NAS中设定缺省的ISP域。（2）RADIUS服务器的数据库中没有配置该用户检查RADIUS服务器的

32、数据库以保证该用户的配置信息确实存在。（3）用户侧输入的密码不正确请保证接入用户输入正确的密码。（4）RADIUS服务器和NAS的报文共享密钥不同请仔细比较两端的共享密钥，确保它们相同。（5）NAS与RADIUS服务器之间存在通信故障（可以通过在NAS上ping RADIUS服务器来检查）请保证NAS与RADIUS服务器之间能够正常通信。,109,RADIUS协议故障排除（二）,RADIUS报文无法传送到RADIUS服务器（1）NAS与RADIUS服务器之间的通信线路不通（物理层/链路层）请保证线路通畅。（2）NAS上没有设置相应的RADIUS服务器IP地址请保证正确设置RADIUS服务器的IP地址。（3）认证/授权和计费服务的UDP端口设置得不正确请保证与RADIUS服务器提供的端口号一致。,110,RADIUS协议故障排除（三）,用户认证通过并获得授权，但是不能向RADIUS服务器传送计费话单。（1）计费端口号设置得不正确请正确设置RADIUS计费端口号。（2）计费服务器和认证/授权服务器不是同一台机器，NAS却要求认证/授权和计费在同一个服务器（IP地址相同）请保证NAS的认证/授权和计费服务器的设置与实际情况相同。,111,小结,AAA原理与基本配置RADIUS协议原理与基本配置HWTACACS协议原理与基本配置典型配置举例及基本故障分析,谢谢,