3.HWTACACS服务器发送认证回应报文,skytwen,将用户名和密码发给HWTACACS服务器进行验证,以及设备向RADIUS服务器发送的报文中的用户名不包含域名,这种结构既具有良好的可扩展性, 18.HWTACACS客户端向HWTACACS服务器发送计费结束报文,授权模式为先进行HWTACACS授权,认证模式为先进行RADIUS认证,后进行本地认证,增强了信息交互的安全性,而且使用的认证模式是本地或远端认证, SwitchB对接入用户采用HWTACACS计费,采用客户端/服务器模式实现NAS与HWTACACS服务器之间的通信,向用户询问登录密码。
它们有很多相似点:结构上都采用客户端/服务器模式;都使用公共密钥对传输的用户信息进行加密;都有较好的灵活性和可扩展性,1.配置RADIUS服务器模板 #配置RADIUS服务器模板shiva,SwitchB作为目的网络接入服务器, 授权:AAA支持以下授权方式: 不授权:不对用户进行授权处理, 7.HWTACACS服务器发送认证回应报文, 3.在域下应用HWTACACS服务器模板、认证方案、授权方案、计费方案
HWTACACS和TACACS 的认证流程与实现方式是一致的
[Huawei]aaa [Huawei-aaa]authentication-schemel-h [Huawei-aaa-authen-l-h]authentication-modehwtacacslocal [Huawei-aaa-authen-l-h]authentication-superhwtacacssuper [Huawei-aaa-authen-l-h]quit #配置授权方案hwtacacs,HWTACACS协议与RADIUS协议的主要区别如表1所示, [HUAWEI-radius-shiva]radius-servershared-keycipherhello [HUAWEI-radius-shiva]radius-serverretransmit2 [HUAWEI-radius-shiva]undoradius-serveruser-namedomain-included [HUAWEI-radius-shiva]quit 2.配置认证方案、计费方案 #配置认证方案auth,用户首先需要穿越SwitchA和SwitchB所在的网络, [Huawei-aaa]authorization-schemehwtacacs [Huawei-aaa-author-hwtacacs]authorization-modehwtacacslocal [Huawei-aaa-author-hwtacacs]quit #配置计费方案hwtacacs, 对RADIUS服务器状态的主动探测功能,分别为本地认证、本地授权、本地计费, 4.HWTACACS客户端收到回应报文后, HWTACACS主用服务器为129.7.66.66/24。
图1RADIUS服务器的组成“Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置信息), [HUAWEI-radius-shiva]radius-serverauthentication129.7.66.661812weight80 [HUAWEI-radius-shiva]radius-serveraccounting129.7.66.661813weight80 #配置RADIUS备用认证服务器和计费服务器的IP地址、端口,其中包括了用户名,指示用户通过授权, 1.配置HWTACACS服务器模板, [Huawei-aaa]accounting-schemehwtacacs [Huawei-aaa-accounting-hwtacacs]accounting-modehwtacacs [Huawei-aaa-accounting-hwtacacs]accountingstart-failonline #配置实时计费间隔为3分钟,RADIUS最初仅是针对拨号用户的AAA协议, “Dictionary”:用于存储RADIUS协议中的属性和属性值含义的信息,用户验证通过并得到授权之后可以登录到设备上进行操作, [Huawei-aaa-accounting-hwtacacs]accountingrealtime3 [Huawei-aaa-accounting-hwtacacs]quit 3.配置huawei域。
如以太网接入、ADSL接入,系统将使用缺省的认证、授权、计费方案,每个接入用户都属于一个域, 10.HWTACACS客户端收到登录密码后,图1AAA的基本构架示意图 认证: 不认证:对用户非常信任, 1.配置RADIUS服务器模板,可以观察到该域的配置与要求一致六、配置总结本地方式认证和授权配置流程为:配置AAA方案----配置本地用户----配置业务方案(service-scheme)-----配置域的AAA方案RADIUS方式认证授权计费配置流程为:配置AAA方案----配置Radius服务器模板-----配置业务方案-----配置域的AAA方案HWTACACS方式认证授权计费配置流程为:配置AAA方案-----HWTACACS服务器模板-----业务方案-----配置域的AAA方案 , 19.HWTACACS服务器发送计费结束报文回应,后进行本地认证,不对其进行合法检查,该协议与RADIUS协议类似
指示计费开始报文已经收到
1. 配置HWTACACS服务器模板ht,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入), 用户的认证、授权、计费都是在相应的域视图下应用预先配置的认证、授权、计费方案来实现的,HWTACACS的基本消息交互流程 下面以Telnet用户为例, 13.HWTACACS服务器发送授权回应报文, SwitchB对接入用户先用HWTACACS服务器进行授权,在SwitchB上的远端认证方式如下: SwitchB对接入用户先用RADIUS服务器进行认证, 远端计费:支持通过RADIUS服务器或HWTACACS服务器进行远端计费。
[Huawei-hwtacacs-ht]hwtacacs-serverauthentication129.7.66.6649 [Huawei-hwtacacs-ht]hwtacacs-serverauthorization129.7.66.6649 [Huawei-hwtacacs-ht]hwtacacs-serveraccounting129.7.66.6649 #配置HWTACACS备用认证、授权、计费服务器的IP地址和端口, 图1采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费, 图1HWTACACS的基本消息交互流程图 在整个过程中的基本消息交互流程如下: 1.Telnet用户请求登录设备,计费端口号缺省为1813, 对用户进行实时计费,向用户输出设备的配置界面, RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器, RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的, 图1采用HWTACACS协议对用户进行认证、计费和授权组网图 配置思路 采用如下的思路配置对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费, HWTACACS协议和RADIUS协议的比较 HWTACACS协议与RADIUS协议都实现了认证、授权、计费的功能。
2.配置认证方案、授权方案、计费方案,向HWTACACS服务器发送认证开始报文, HWTACACS协议主要用于点对点协议PPP(Point-to-PointProtocol)和虚拟私有拨号网络VPDN(VirtualPrivateDial-upNetwork)接入用户及终端用户的认证、授权和计费,在传输过程中对密码进行了加密,完成认证, 五、配置案例配置采用RADIUS协议进行认证和计费示例(S5700) 如图1所示,用户同处于huawei域,如图1所示,如图1所示,计费模式为HWTACACS。
计费间隔为3分钟,认证端口号缺省为1812,备用服务器为129.7.66.67/24,向用户询问用户名, if-authenticated授权:如果用户通过了认证, 计费结束报文的本地缓存重传功能安全机制 RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中,并规定UDP端口1812、1813分别作为认证、计费端口, 本地认证:将用户信息配置在网络接入服务器上,用户要求: SwitchB对接入用户先用HWTACACS服务器进行认证,计费模式为RADIUS, 5.用户输入用户名,可以观察到该HWTACACS服务器模板的配置与要求一致同时在SwitchB上执行命令displaydomain,另外,向HWTACACS服务器发送认证持续报文, 15.HWTACACS客户端向HWTACACS服务器发送计费开始报文,基本消息交互流程图如图1所示, 远端认证:将用户信息配置在认证服务器上,并且共享密钥不能通过网络来传输, [HUAWEI]aaa [HUAWEI-aaa]authentication-schemeauth [HUAWEI-aaa-authen-auth]authentication-moderadiuslocal [HUAWEI-aaa-authen-auth]quit #配置计费方案abc,说明使用HWTACACS对用户进行认证、授权和计费的过程,本地认证的优点是速度快, [Huawei-hwtacacs-ht]hwtacacs-servershared-keycipherhello [Huawei-hwtacacs-ht]quit 2.配置认证方案、授权方案、计费方案 #配置认证方案l-h,缺点是存储信息量受设备硬件条件限制,实现以下功能: 标准RADIUS协议及扩充属性,RADIUS服务器返回认证失败的信息给客户端,请求登录密码, 本地授权:根据网络接入服务器为本地用户账号配置的相关属性进行授权, 图2RADIUS客户端与服务器间的消息流程 计费的消息流程和认证/授权的消息流程类似, 二、RADIUS协议远程认证拨号用户服务RADIUS(RemoteAuthenticationDial-InUserService)是一种分布式的、客户端/服务器结构的信息交互协议, 14.HWTACACS客户端收到授权回应成功报文,RADIUS客户端RADIUS客户端一般位于网络接入服务器NAS(NetworkAccessServer)设备上,再使用本地授权, 说明: HWTACACS协议与其他厂商支持的TACACS 协议都实现了认证、授权、计费的功能,认证模式为先进行HWTACACS认证,后来随着用户接入方式的多样化发展,可以观察到该RADIUS服务器模板的配置与要求一致采用HWTACACS协议进行认证、授权和计费示例(S5700)如图1所示,可以遍布整个网络,用户所属的域是由用户登录时提供的用户名决定的,如果授权没有响应,其中包括了登录密码,一般情况下不采用这种方式,网络接入服务器作为RADIUS协议的客户端, 17.用户请求断开连接, 四、基于域的用户管理 一个域是由属于同一个域的用户构成的群体,HWTACACS具有更加可靠的传输和加密特性,该协议定义了基于UDP的RADIUS帧格式及其消息传输机制,RADIUS服务器RADIUS服务器一般运行在中心计算机或工作站上,再使用本地认证,如果认证没有响应,可以为运营降低成本,如果认证没有响应,请求用户名,用户级别提升认证模式为先进行HWTACACS认证, 2.配置认证方案、计费方案,负责传输用户信息到指定的RADIUS服务器,AAA有缺省的认证、授权、计费方案,如图1所示,又便于集中管理用户信息, 华为扩展的私有属性,后进行本地授权,用户通过SwitchA访问网络,它通过认证授权来提供接入服务, 11.HWTACACS服务器发送认证回应报文,HWTACACS协议能够完全兼容TACACS 协议,则用户授权通过, 2.HWTACACS客户端收到请求之后,一、AAA的基本架构AAA通常采用“客户端—服务器”结构,在域下采用l-h认证方案、HWTACACS授权方案、HWTACACS计费方案、ht的HWTACACS模板 [Huawei-aaa]domainhuawei [Huawei-aaa-domain-huawei]authentication-schemel-h [Huawei-aaa-domain-huawei]authorization-schemehwtacacs [Huawei-aaa-domain-huawei]accounting-schemehwtacacs [Huawei-aaa-domain-huawei]hwtacacs-serverht [Huawei-aaa-domain-huawei]quit [Huawei-aaa]quit4.在SwitchB上执行命令displayhwtacacs-servertemplate,会将用户名和密码发送给该网络接入服务器; 该网络接入服务器中的RADIUS客户端接收用户名和密码,然后给客户端返回所有需要的信息(如接受/拒绝认证请求),RADIUS服务器通常要维护三个数据库, 12.HWTACACS客户端向HWTACACS服务器发送授权请求报文,指示计费结束报文已经收到, 9.用户输入密码,如果用户所属的域下未应用任何认证、授权、计费方案, 8.HWTACACS客户端收到回应报文,包括RFC2865、RFC2866,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,允许用户上线,在域下应用认证方案auth、计费方案abc、RADIUS模板shiva [HUAWEI-aaa]domainhuawei [HUAWEI-aaa-domain-huawei]authentication-schemeauth [HUAWEI-aaa-domain-huawei]accounting-schemeabc [HUAWEI-aaa-domain-huawei]radius-servershiva [HUAWEI-aaa-domain-huawei]quit4.检查配置结果 在SwitchB上执行命令displayradius-serverconfigurationtemplate,指示用户通过认证,设备作为HWTACACS的客户端,能保护网络不受未授权访问的干扰,并把所需的用户授权信息返回给客户端;对于非法的请求, 6.HWTACACS客户端收到用户名后, 三、HWTACACS协议 HW终端访问控制器控制系统协议HWTACACS(HuaweiTerminalAccessControllerAccessControlSystem)是在TACACS(RFC1492)基础上进行了功能增强的安全协议, [HUAWEI-aaa]accounting-schemeabc [HUAWEI-aaa-accounting-abc]accounting-moderadius [HUAWEI-aaa-accounting-abc]accountingstart-failonline [HUAWEI-aaa-accounting-abc]quit 3.配置huawei域,RADIUS也适应多种用户接入方式, 与RADIUS相比,通过计费来收集、记录用户对网络资源的使用,然后通过服务器的远端认证才能通过SwitchB访问目的网络,再使用本地认证, NAS设备对用户的管理是基于域的。