AAA-及RADIUS-协议配置

('AAA及RADIUS协议配置一、aaa及radius协议简介1.aaa的功能aaa是authentication（认证）、authorization（授权）和accounting（计费）的简称。它提供对用户进行认证、授权和计费三种安全功能。具体如下：a、认证（authentication）：认证用户是否可以获得访问权，确定哪些用户可以访问网络。b、授权（authorization）：授权用户可以使用哪些服务。c、计费（accounting）：记录用户使用网络资源的情况。aaa一般采用客户／服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。这种结构既具有良好的可扩展性，又便于用户信息的集中管理。计费网关主要使用aaa中的认证功能对终端用户进行认证管理。2.radius协议（1）radius简介radius是remoteauthenticationdial-inuserservice（远程认证拨号用户服务）的简称，最初由livingstonenterprise公司开发，作为一种分布式的客户机／服务器系统，能提供aaa功能。radius技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）。radius服务包括三个组成部分：a、协议：rfc2865、2866协议基于udp／ip层定义了radius帧格式及消息传输机制，并定义了1812作为认证端口，1813作为计费端口。b、服务器：radius服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。c、客户端：位于拨号访问服务器nas（networkaccessserver）侧，可以遍布整个网络。radius基于客户／服务器模型，nas（如路由器）作为radius客户端，负责传输用户信息到指定的radius服务器，然后根据从服务器返回的信息进行相应处理（如接入／挂断用户）。radius服务器负责接收用户连接请求，认证用户，然后给nas返回所有需要的信息。radius服务器通常要维护三个数据库：第一个数据库“users”用于存储用户信息（如用户名、口令以及使用的协议、ip地址等配置），第二个数据库“clients”用于存储radius客户端的信息（如共享密钥），第三个数据库“dictionary”存储的信息用于解释radius协议中的属性和属性值的含义。如下图所示：图5-1radius服务器的组成另外，radius服务器还能够作为其他aaa服务器的客户端进行代理认证或计费。radius服务器支持多种方法来认证用户，如基于ppp的pap、chap认证、基于unix的login等。（2）radius的基本消息交互流程radius服务器对用户的认证过程通常需要利用nas等设备的代理认证功能，radius客户端和radius服务器之间通过共享密钥认证相互间交互的消息，用户密码采用密文方式在网络上传输，增强了安全性。radius协议合并了认证和授权过程，即响应报文中携带了授权信息。操作流程图和步骤如下所示：图5-2radius的基本消息交互流程基本交互步骤如下：a、用户输入用户名和口令；b、radius客户端根据获取的用户名和口令，向radius服务器发送认证请求包（access-request）。c、radius服务器将该用户信息与users数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius客户端；如果认证失败，则返回access-reject响应包。d、radius客户端根据接收到的认证结果接入／拒绝用户，如果可以接入用户，则radius客户端向radius服务器发送计费开始请求包（accounting-request），status-type取值为start；e、radius服务器返回计费开始响应包（accounting-response）；f、radius客户端向radius服务器发送计费停止请求包（accounting-request），status-type取值为stop；g、radius服务器返回计费结束响应包（accounting-response）。（3）radius协议的报文结构radius采用udp传输消息，通过定时器管理机制、重传机制、备用服务器机制，确保radius服务器和客户端之间交互消息正确收发。radius报文结构如下：图5-3radius报文结构其中identifier域用于匹配请求包和响应包，随着attribute域改变、接收到有效响应包而不断变化，而在重传时保持不变化。authenticator域（16字节）用于验证radius服务器传输回来的请求，同时用于密码隐藏算法上，分为requestauthenticator和responseauthenticator。a、requestauthenticator采用16字节的随机码。b、responseauthenticator以对codeidentifier、requestauthenticator、length、attribute和共享密钥进行md5算法后的结果。由code域决定radius报文的类型，主要包括：表5-8code域主要取值的说明attribute域携带专门的认证、授权和计费信息，提供请求和响应报文的配置细节，该域采用（type、length、value）三元组的形式提供，rfc中定义的标准attribute域大致包括：表5-9attribute域主要取值的说明radius协议具有良好的可扩展性，协议中定义的26号属性（vender-specific）可以被方便地扩展以支持用户自己定义的扩展属性，报文结构如下图所示：图5-4包括扩展属性的radius报文片断（4）radius的特点radius使用udp作为传输协议，具有良好的实时性；同时也支持重传机制和备用服务器机制，从而有较好的可靠性。radius的实现比较简单，适用于大用户量时服务器端的多线程结构。正因为如此，radius协议得到了广泛的应用。（5）aaa和radius配置计费网关的aaa配置包含如下三部分内容：a、使能aaab、配置认证方案c、配置应用认证方案使能aaa只有使用了使能aaa，后才能用aaa所提供的各种命令来对其进行配置。请在系统视图下进行下列配置。表5-10使能或禁止aaa缺省为禁止aaa。3.配置认证方案配置认证方案包括如下配置：a、配置用户认证方案b、配置本地优先认证（1）配置用户认证方案计费网关的用户指的是login用户，这里的login是指通过ftp、telnet登录到计费网关，以及通过终端服务方式（如console口aux口等）进入到计费网关进行配置的操作。区别于接入服务器的ppp用户。请在系统视图下进行下列配置。表5-11aaa的login认证方案配置其中，method为认证方法，可以为以下几种组合：a、noneb、localc、radiusd、radiusnonee、radiuslocalf、templateserver-template-namenoneg、templateserver-template-namelocalftp、terminal、ssh不是radius协议的标准属性取值，需要修改radius服务器的属性，在属性login-service（标准属性15）中增加两个取值的定义：login-service（50）=ftplogin-service（51）=terminallogin-service（52）=ssh修改后再启动radius服务器方可。（2）配置aaa的本地优先认证本地优先认证配置是可选的，在未配置本地优先认证时，先对用户进行radius认证。请在系统视图、radiustemplate配置视图下进行下列配置。表5-12aaa的本地优先认证配置缺省为不使用本地优先认证。使用本地优先认证时，对用户首先进行本地认证，如果认证失败，再使用所配置的认证方案中的方法进行认证。4.应用认证方案应用认证方案就是在用户界面视图下配置用户认证的方式，详细请参见5.2.1配置用户认证的方式。5.配置radius服务器如果在认证方案中选择radius认证方法，则需要配置radius服务器包括如下配置：a、配置radius服务器模板（可选）b、配置radiusserverc、配置由用户指定radiusserver（可选）d、配置radius密钥（可选）e、配置radius回应超时时间（可选）f、配置radius重传次数（可选）g、配置radius服务器down掉后检测恢复时间（可选）h、配置radius实时计费包发送间隔时间（可选）在系统视图和服务器模板视图下，均可以配置radius服务器。如果要配置radius服务器模板，需要首先创建radius服务器模板并进入radius服务器模板视图。radius服务器配置包括配置服务器地址和监听端口，以及radius协议相关的其它属性，包括共享密匙、重传次数、超时重传的时间间隔、为ppp用户指定认证服务器服务、器down机后的恢复时间等等。（1）配置radius服务器模板radius服务器模板就是一组radius服务器。在配置radius服务器模板中的服务器之前，需要先创建radius服务器模板。在创建radius服务器模板时，如果指定的radius服务器模板不存在，则增加一个新的radius服务器模板，同时进入radiustemplate视图。在radiustemplate视图下可以对此radius服务器模板配置radius服务器及其属性。请在系统视图下进行下列配置。表5-13配置radius服务器模板（2）配置radius服务器进行如下操作可指定radius服务器的地址和监听端口号，用户可以配置多个radius服务器。系统视图下最多可以配置15个radius服务器，在一个radiustemplate中最多可以配置5个radius服务器。每个radiustemplate只能配置一个主radius认证服务器、一个主radius计费服务器。配置radius主服务器时，如果radiustemplate中已经有主radius服务器，则将用新配置的radius服务器作为主服务器，原主服务器不再作为主服务器。在没有指定主radius服务器时，系统将根据配置时间的先后选择使用的radius服务器，当一个服务器失效后，系统会自动选择下一个服务器。在配置了主radius服务器后，将首选主radius服务器实现aaa。当主radius服务器不能正常工作后使用其他radius服务器工作，每隔一定时间，再尝试主radius服务器是否可以正常工作，如果发现其可以正常工作则马上恢复使用主radius服务器。请在系统视图、radiustemplate视图下进行下列配置。表5-14配置radiusserver认证端口号的缺省值为1812，设置为0表示本服务器不作为认证服务器用。计费端口号的缺省值为1813，设置为0表示本服务器不作为计费服务器用。使用auth-primary可配置radius服务器为主认证服务器。使用acct-primary可配置radius服务器为主计费服务器。（3）配置由用户指定radius服务器可以由用户指定radius服务器来对用户进行认证。①该功能要求用户名为“userid@server”形式，其中userid为用户名，server为使用的radius服务器。②该功能要与接口上的认证方案配合使用。只有在接口上配置的认证方案的第一种方法为radius方法，此时配置才起作用。对用户进行认证时将试图使用由用户指定的radius服务器，当此radius服务器不能正常工作时再使用其他radius服务器进行认证。如果要恢复到不由用户指定radius服务器，使用命令rundoradiusappoint-authentication。请在系统视图、radiustemplate视图下进行下列配置。表5-15配置由用户指定radius服务器restricted表示仅限使用指定的radius服务器对用户进行认证。配置此选项后，当用户指定的radius服务器不存在或不能工作时直接拒绝用户请求。（4）配置radius密钥密钥用于加密用户口令以及生成回应认证符（responseauthenticator）。请在系统视图、radiustemplate视图下进行下列配置。表5-16配置radius密钥所配密钥要与radius服务器中设定的密钥相同。（5）配置radius回应超时时间对于radiusclient（计费网关）发送出去的包，如果需要radiusserver应答，则需要设置一个超时定时器，在这个设定的时间内如果没有收到radiusserver的应答，则radiusclient重发此报文。请在系统视图、radiustemplate视图下进行下列配置。表5-17配置radius回应超时时间缺省radius回应超时时间为5秒。（6）配置radius重传次数当radiusclient（计费网关）向radius服务器发出aaa请求后，在规定的超时时限内未得到radius服务器发回的应答时，客户端会重传aaa请求。重传aaa请求计数超出规定最大重传次数后，认为该服务器已不能正常工作。请在系统视图、radiustemplate视图下进行下列配置。表5-18配置radius重传次数缺省重传次数为3。（7）配置radius服务器宕掉后检测恢复时间间隔radiusclient（计费网关）默认的radius服务器down掉后恢复的缺省时间为5分钟。请在系统视图、radiustemplate视图下进行下列配置。表5-19配置radius服务器down掉后检测恢复时间（8）配置radius实时计费包发送间隔时间用户通过认证后，nas以配置的间隔时间向radius服务器发送用户的实时计费信息，如果实时计费请求失败，将根据aaaaccounting-schemeoptional命令配置情况对用户进行处理，如果用户配置了aaaaccounting-schemeoptional，nas将允许用户继续使用网络服务，反之则nas会将用户挂断。缺省不使用实时计费。请在系统视图、radiustemplate视图下进行下列配置。表5-20配置radius实时计费包发送间隔时间二、aaa和radius显示与调试在完成上述配置后，在所有视图下执行display命令可以显示配置后aaa和radius的运行情况，通过查看显示信息认证配置的效果。执行debugging命令可对aaa和radius进行调试。表5-21aaa和radius显示与调试',)