实施身份验证与网络接入控制技术

1、M10-5 实施身份验证与网络接入控制技术1.1场景描述1.1.1 学习目的学生通过该能力模块的学习,能够掌握在网络中如何配置常用的身份验证技术。来保证接入网络的客户端都能够得到有效的身份确认和资源权限。1.1.2 学习要求理解:配置网络认证的重要性。掌握:配置AAA的验证。掌握:配置802.1X的验证。掌握：配置RADIUS服务。1.1.3 学习重点和难点1.学习重点配置AAA验证：让学生理解AAA的工作理念是什么。配置方法是什么。配置RAIDUS服务：重点帮助学生理解RADIUS服务的工作原理。配置802.1x服务：重点讲解802.1x和前两种认证的关联。2.学习难点AAA认证的使用：学生

2、往往很难理解AAA是如何具体做到的。1.2 知识准备1.2.1 AAAAAA系统的简称：l 认证(Authentication)：验证用户的身份与可使用的网络服务；l 授权(Authorization)：依据认证结果开放网络服务给用户；l 计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。AAA-身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting常用的AAA协议是Radius，参见RF

3、C 2865，RFC 2866。另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议1.2.2 RADIUSRADIUS:Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以

4、成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN（Virtual Private Dialup Networks，基于拨号用户的虚拟专用拨号网业务）、移动电话预付费等业务。最近IEEE提出了802.1x标准，这是一种基于端口的标准，用于对无线网络的接入认证，

5、在认证时也采用RADIUS协议。1.2.3 802.1x802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口（access port）访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：认证者-对接入的用户/设备进行认证的端口；请求者

6、-被认证的用户/设备；认证服务器-根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的PAE根据认证服务器认证过程的结果，控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。1.3 注意事项1、认证方法是用一种

7、即可。1.4 操作步骤1.4.1 配置AAA认证第一步：配置AAA认证Access(config)#aaa new-modelAccess(config)#username ruijie password starAccess(config)#radius-server host 192.168.1.254Access(config)#aaa authentication login test group radius localAccess(config)#line vty 0Access(config-line)#login authentication testAccess(config

8、-line)#exitAccess(config)#第二步：验证配置Ruijie#show running-config!aaa new-model!aaa authentication login test group radius localusername ruijie password 0 star!radius-server host 192.168.1.254!line con 0line vty 0login authentication testline vty 1 4! 配置RADIUS服务第一步：配置RADIUS服务Access(config)#aaa new-modelA

9、ccess(config)#username ruijie password testAccess(config)#aaa authentication login test group radius localAccess(config)#radius-server host 192.168.1.254Access(config)#radius-server key ruijiekeyAccess(config)#line vty 0 4Access(config-line)#login authentication testAccess(config-line)#exitAccess(co

10、nfig)#第二步：配置RADIUS服务器配置服务器上客户端连入网络时所使用的用户名和密码。如果是多个用户此处重复操作创建不同用户即可。图10-1 添加用户配置NAS密钥。此处配置的密钥，要和交换机里面配置的相同。用于交换机提交客户端连入网络强求时，验证用的密钥。图10-2 配置密钥第三步：验证配置Access#show radius server.254Accounting Port: 1812Authen Port: 1813Server State: ReadyAccess#show running-config!aaa new-model!aaa authentication logi

11、n test group radius!username ruijie password 0 test!.254!line con 0line vty 0 4login authentication test 配置802.1x认证第一步：配置802.1x认证Access(config)#interface vlan 11Access(config-if)#exitAccess(config)#aaa new-model Access(config)#radius-server host Access(config)#radius-server key ruijiekeyAccess(confi

12、g)#aaa authentication dot1x testlist group radius Access(config)#dot1x authentication testlist Access(config)#interface fastEthernet 0/1Access(config-if)#dot1x port-control autoAccess(config-if)#endAccess#第二步：配置RADIUS服务器配置服务器上客户端连入网络时所使用的用户名和密码。如果是多个用户此处重复操作创建不同用户即可。图10-3 添加用户配置NAS密钥。此处配置的密钥，要和交换机里面

13、配置的相同。用于交换机提交客户端连入网络强求时，验证用的密钥。图10-4 配置密钥1.5 拓展知识1.5.1 RADIUS基本工作原理用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户

14、访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account- Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他RADIUS服务器的代理，负责转发RADIUS认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的RADIUS服务器进行认证，用户到非归属运营商所在地也可以得到服务，也可以实现虚拟运营。RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端

15、口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便，而且UDP是无连接的，会减轻RADIUS的压力，也更安全。RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证。1.5.2 802.1x认证特点基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达

16、三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和

17、无线LAN具有安全的认证接入功能。1.5.3 802.1x工作过程当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。 认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。 客户端程序收到由交换机传来的