RCCP培训-认证计费技术原理及配置.ppt

《RCCP培训-认证计费技术原理及配置.ppt》由会员分享，可在线阅读，更多相关《RCCP培训-认证计费技术原理及配置.ppt（63页珍藏版）》请在三一文库上搜索。

1、RCCP培训 认证计费技术原理及配置,议程,认证计费原理及技术（AAA、Radius） IEEE 802.1X协议以及应用 锐捷RG-SAM的安装与配置 锐捷安全交换机的802.1X配置,网络接入的现状,无法控制用户的接入 无法保证网络的安全 无法有效的收取费用,AAA概述,Authentication，Authorization，and Accounting三种安全功能，简称AAA。 Authentication：认证，用于判定用户是否可以获得访问权，限制非法用户 Authorization：授权，授权用户可以使用哪些服务，控制合法用户的权限 Accounting：计账，记录用户使用网络资源

2、的情况；为收费提供依据,AAA工作过程,一个AAA的工作过程可以分为如下几步： 终端用户（客户端系统）向NAS发出网络连接请求。 NAS收集用户输入用户名和口令，并转发给AAA服务器。 AAA服务器按照一定算法和自身数据库信息匹配，然后将结果返回给NAS，可能是接受、拒绝或其他（如challenge） NAS根据返回的结果决定接通或者断开终端用户。 如果认证通过继续以下步骤： 服务器对用户进行授权，NAS根据授权结果对用户上网环境进行配置。 如需计费，NAS将在用户上下线及上网期间内收集用户网络资源使用情况，数据送交记帐服务器。,AAA承载协议,RADIUS (RFC2865/2866以及RF

3、C2869) TACACS/TACACS+ 其他：Kerberos v5(RFC1510)等等 优缺点比较： TACACS+使用TCP可靠连接，较少应用； RADIUS使用UDP封装，开销小、可实现灵活备份，更安全的密钥管理；得到了广泛应用。,Radius协议概述,RADIUS是远程认证拨号用户服务（Remote Authentication Dial-In User Service）的简称，它是一种分布式的客户机/服务器系统，与AAA配合对试图连接的用户进行身份认证，防止未经授权的访问。 RADIUS协议主要特征： 客户/服务器模型：一般NAS为Radius客户端。 网络安全性： Radiu

4、s服务器与NAS之间使用共享密钥对敏感信息进行加密，该密钥不会在网上传输。 可扩展的协议设计：Radius使用独特的类型-长度-值（TLV)数据对封装格式，用户可以自行定义其它的私有属性，扩展Radius应用。 灵活的鉴别机制：支持不同的鉴别协议，如PAP、CHAP、EAP等等。,Radius报文格式,封装在UDP数据域的RADIUS报文：,Radius报文格式,Id：用于匹配request和reply Length：Radius协议报文长度 Authenticator：用来对来自于RADIUS服务器的应答进行认证，而且还用于口令隐藏算法中。,Radius属性,Radius属性类型用一个字节来

5、表示，分别为1-255号属性，区分为三类： 标准属性Radius最基本的属性定义在RFC2865和RFC2866中，如用户名、密码、计费和常用授权信息等； 扩展标准属性RFC2867-2869是Radius的扩展协议，在其中定义了一些针对特殊应用（如支持隧道应用、支持EAP等）的属性； 扩展私有属性即26号属性，属性值由厂商自己定义。,Radius与PAP、CHAP的结合,Radius提供了不同的属性来支持PAP、CHAP等本地认证方式。 如PAP及其他类似认证方式使用Radius的User-Name(1)、User-Password(2)等属性 CHAP使用User-Name(1)、CHAP

6、-Password(3)、CHAP-Challenge(60)等属性,Radius的组网示意图,常用的认证计费技术/方式,PPPoE + Radius WEB Portal + Radius 802.1X + Radius,PPPoE认证计费技术,Internet,核心三层交换机,PPPoE的BAS设备,二层的楼栋交换机,PPPoE的客户端软件,Radius服务器,瓶颈！,DHCP+Web认证计费技术,Internet,核心交换机,Web Portal的BAS设备,Radius服务器,普通的接入交换机,用户,瓶颈！,802.1X认证计费技术,802.1X交换机,认证报文流,业务数据流,Inte

7、rnet,Radius服务器,核心交换机,汇聚交换机,高效！,汇聚交换机,几种认证计费技术比较,议程,认证计费原理及技术（AAA、Radius） IEEE 802.1X协议以及应用 锐捷RG-SAM的安装与配置 锐捷安全交换机的802.1X配置,IEEE802.1X协议概述,IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络访问控制标准，为LAN接入提供点对点式的安全接入。这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN的优势基础上，提供一种对连接到局域网设备或用户进行认证的手段。 IEE

8、E 802.1x标准定义了一种基于“客户端服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。客户端要访问网络必须先通过认证服务器的认证。在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol over LAN）可以在网络上通行。在认证成功之后，通常的数据流便可在网络上通行。,IEEE802.1X协议的目标,802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就

9、是一条信道） 802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。,802.1x角色说明,认证者（交换机）,恳请者,EAPOL,EAPOL,Extensible Authentication Protocol over LAN,认证服务器,802.1X机制,Controlled,Un-Controlled,非受控端口主要是用来连接认证服务器，以便保

10、证服务器与交换机的正常通讯,连接在受控端口的用户只有通过认证才能访问网络资源,EAPOL,EAPOL,基于MAC的802.1X端口状态,认证前后端口的状态,802.1X的认证中，端口的状态决定了客户端是否能接入网络，在启用802.1x认证时端口初始状态一般为非授权（unauthorized），在该状态下，除802.1X 报文和广播报文外不允许任何业务输入、输出通讯。当客户通过认证后，则端口状态切换到授权状态（authorized），允许客户端通过端口进行正常通讯。,802.1X认证过程,基本的认证过程,认证通过前：通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报

11、文； 认证通过时：通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等； 认证通过后：用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。,认证通过后,认证通过之后的保持： 认证端Authenticator可以定时要求Client重新认证，时间可设。重新认证的过程对User是透明的(应该是User不需要重新输入密码)。 下线方式： 物理端口Down； 重新认证不通过或者超时； 客户端发起EAP_Logoff帧； 网管控制导致下线；,PPP帧格式,一个典型的PPP协

12、议的帧格式,Flag,Address,Control,Protocol,Information,protocol域表明协议类型为C227(PPP EAP)时，在PPP数据链路层帧的Information域中封装且仅封装PPP EAP数据包,EAP报文格式,Code域：为一个字节，表示了EAP数据包的类型，EAP的Code的值指定和意义如下： Code1Request Code2 Response Code3 Success Code4 Failure Indentifier域：为一个字节，辅助进行request和response的匹配每一个request都应该有一个response相对应，这样

13、的一个Indentifier域就建立了这样的一个对应关系相同的Indentifier相匹配。 Length域：为两个字节，表明了EAP数据包的长度，包括Code,Identifier,Length以及Data等各域。超出Length域范围的字节应该视为数据链路层填充（padding）,在接收时应该被忽略掉。 Data域：为0个或者多个字节，Data域的格式由Code的值来决定。,Request和Response报文,Code域 Identifier域 Length域 Type域 Type Data域,Success和Failure报文,当Code域为3或者4的时候，这个时候为EAP的Succe

14、ss和Failure报文，报文的格式如上： 当Code域为3的时候是Successs报文，当Code为4的时候是Failure报文。 Identifier域为一个字节，辅助匹配Response应答。Identifier域必须与其正在应答的Response域中的Identifier域相匹配。,802.1X典型应用（一）,802.1X典型应用（二）,议程,认证计费原理及技术（AAA、Radius） IEEE 802.1X协议以及应用 锐捷RG-SAM的安装与配置 锐捷安全交换机的802.1X配置,锐捷网络的安全认证计费产品,Radius Server RG-Radius、RG-SAM NAS（Ra

15、dius Client） 锐捷全系列安全交换机、路由器、防火墙 接入用户 802.1x的认证客户端软件STAR Supplicant（分SuA普通安装版本和SuB免安装版本）,锐捷RG-SAM的安装与配置,RG-SAM安全计费管理系统的安装 MS SQL的安装 建库以及SAM与数据库的配置连接,安装RG-SAM的硬件和操作系统要求,RG-SAM安全计费管理系统的安装,RG-SAM安全计费管理系统的安装,RG-SAM安全计费管理系统的安装,MS SQL的安装,MS SQL的安装,注：必须选择“使用本地系统帐户”,注：必须选择“混合模式”,MS SQL SERVER 2000数据库的初始化,MS

16、SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初始化,MS SQL SERVER 2000数据库的初始化,锐捷RG-SAM的系统界面及版本,锐捷RG-SAM的系统配置与使用,新建数据库和执行脚本创建表空间 注意：对于SQL，数据库名只能为RG-Radius 设置数据库类型以及路径等信息 设置认证计费的相关参数 在Radius Server端添加NAS设备 增添服务 注意：必须建立一个Interne

17、t服务 建立计费策略 开户 注意：开户时必须赋予该用户internet服务 上网时间段控制、屏蔽假设代理、各元素复合绑定、客户端在线升级,议程,认证计费原理及技术（AAA、Radius） IEEE 802.1X协议以及应用 锐捷RG-SAM的安装与配置 锐捷安全交换机的802.1X配置,锐捷安全交换机802.1X默认配置,锐捷安全交换机802.1X配置注意事项,只有支持802.1x的产品，才能进行以下设置。 802.1x既可以在二层下又可以在三层下的设备运行。 要先设置认证服务器的IP地址，才能打开802.1x认证。 打开端口安全的端口不允许打开802.1x认证。 Aggregate Port

18、不允许打开802.1x认证。,配置交换机和Radius Server之间通讯,交换机和Radius Server之间通讯配置实例,Switch#configure terminal Switch(config)#radius-server host 192.1.1.1 Switch(config)#radius-server auth-port 600 Switch(config)#radius-server key red-giantnetwork Switch(config)#end 官方约定的认证的UDP端口为1812 官方约定的记帐的UDP端口为1813 交换机与Radius Serv

19、er约定的密码的长度建议不少于16个字符 交换机与Radius Server连接的端口要设置成非受控口,锐捷安全交换机802.1X配置,交换机全局打开802.1X认证 Switch(config)#aaa authentication dot1x 设置某个端口为认证端口 Switch(config)#interface f 1/1 Switch(config-if)#dot1x port-control auto,锐捷安全交换机802.1X相关参数配置,打开和设置定时重认证 Switch(config)#dot1x re-authentication Switch(config)#dot1x

20、timeout re-authperiod 1000 改变QUIET时间 Switch(config)#dot1x timeout quiet-period 500 设置报文重传间隔 Switch(config)#dot1x timeout tx-period 100 设置最大请求次数 Switch(config)#dot1x max-req 5 设置最大重认证次数 Switch(config)#dot1x reauth-max 3 将所有的参数恢复为默认值 Switch(config)#dot1x default,锐捷安全交换机802.1X记帐配置,锐捷安全交换机802.1X配置,Switc

21、h#configure terminal Switch(config)#aaa accounting server 192.1.1.1 Switch(config)#aaa accounting server 192.1.1.2 backup Switch(config)#aaa accounting acc-port 1200 Switch(config)#aaa accounting Switch(config)#end 与Radius Server的约定记帐密码与认证相同 必须在802.1x打开的前提下才能打开记帐 802.1x的记帐功能在默认的情形下是关闭的,锐捷802.1X特色功能配置,配置IP授权模式 发布广告信息 某端口下的可认证主机列表 授权 配置认证方式 配置备份认证服务器 对在线用户的配置及管理 实现用户帐号与IP、MAC、端口、交换机IP等元素的捆绑 基于端口的流量记费 代理服务器屏蔽和拨号屏蔽 配置客户端在线探测 实时关断 客户端软件自动升级 流量卡、时长卡,课程回顾,认证计费原理及技术（AAA、Radius） IEEE 802.1X协议以及应用 锐捷RG-SAM的安装与配置 锐捷安全交换机的802.1X配置,Q&A,