AAA认证功能介绍.doc

OLT AAA认证功能介绍 VESION 1.0 2011年7月7日 AAA认证功能介绍 1 一、 相关知识点介绍 3 1.1. AAA简介 3 1.1.1. 认证功能 3 1.1.2. 授权功能 3 1.1.3. 计费功能 3 1.2. ISP Domain简介 4 1.3. Radius协议简介 4 1.3.1. RADIUS 服务的3个部分 4 1.3.2. RADIUS 的基本消息交互流程 4 1.4. TACACS+协议简介 5 1.5. RADIUS和TACACS+实现的区别 7 1.5.1.RADIUS使用UDP而TACACS+使用TCP 7 1.5.2.加密方式 7 二、 OLT上的AAA功能特点 8 三、 AAA认证命令行配置 8 3.1. AAA配置 8 3.2. 配置ISP域 9 3.3. 配置RADIUS协议 10 3.4. 配置TACACS+协议 11 四、 AAA认证server简介 12 4.1. 安装环境介绍： 12 4.2. 安装和简要配置 12 五、 配置案例 13 5.1. Telnet用户通过RADIUS服务器认证的应用配置 13 5.2. Telnet用户通过TACACS+服务器认证的应用配置 15 5.3. Telnet用户通过双服务器实现主备冗余的radius认证 17 相关知识点介绍 1.1. AAA简介 AAA 是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制，包括： ●??哪些用户可以访问网络服务器； ●??具有访问权的用户可以得到哪些服务； ●??如何对正在使用网络资源的用户进行计费。 针对以上问题，AAA 必须提供认证功能、授权功能和计费功能。 1.1.1. 认证功能 AAA 支持以下认证方式： ●?? 不认证：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。 ● ??本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设备上。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设 备硬件条件限制。 ●?? 远端认证：支持通过 RADIUS 协议或TACACS+ 协议进行远端认证，设备作为客户端，与RADIUS 服务器或TACACS+ 服务器通信。对于RADIUS 协议，可以采用标准或扩展的RADIUS 协议。 1.1.2. 授权功能 AAA 支持以下授权方式： ● ??直接授权：对用户非常信任，直接授权通过。 ●?? 本地授权：根据设备上为本地用户帐号配置的相关属性进行授权。 ●?? RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能单独使用RADIUS 进行授权。 ●?? TACACS+ 授权：由TACACS+ 服务器对用户进行授权。 1.1.3. 计费功能 AAA 支持以下计费方式： ●?? 不计费：不对用户计费。 ●?? 远端计费：支持通过 RADIUS 服务器或TACACS+ 服务器进行远端计费。 AAA 一般采用客户端/服务器结构：客户端运行于被管理的资源侧，服务器上集中存放用户信息。因此，AAA 框架具有良好的可扩展性，并且容易实现用户信息的集中管理。 1.2. ISP Domain简介 ISP 域即ISP 用户群，一个ISP 域是由属于同一个ISP 的用户构成的用户群。 在“userid@isp-name”形式的用户名中，“@”后的“isp-name”即为ISP 域的 域名。接入设备将“userid”作为用于身份认证的用户名，将“isp-name”作为域名。 在多 ISP 的应用环境中，同一个接入设备接入的有可能是不同ISP 的用户。由于各ISP 用户的用户属性（例如用户名及密码构成、服务类型/权限等）有可能各不相同， 因此有必要通过设置ISP 域的方法把它们区别开。 在 ISP 域视图下，可以为每个ISP 域配置包括使用的AAA 策略（使用的RADIUS 方案等）在内的一整套单独的ISP 域属性。 1.3. Radius协议简介 RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务） 是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问 的干扰，常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境 中。 1.3.1. RADIUS 服务的3个部分 ●??协议：RFC 2865 和RFC 2866 基于UDP/IP 层定义了RADIUS 帧格式及其消 息传输机制，