一、AAA的基本架構
AAA 通常采用“客戶端—服務器”結構。這種結構既具有良好的可擴展性,又便於集中管理用戶信息。如圖1所示。
圖 1 AAA 的基本構架示意圖
認證:
不認證:對用戶非常信任,不對其進行合法檢查,一般情況下不采用這種方式。
本地認證:將用戶信息配置在網絡接入服務器上。本地認證的優點是速度快,可以為運營降 低成本,缺點是存儲信息量受設備硬件條件限制。
遠端認證:將用戶信息配置在認證服務器上。支持通過 RADIUS(Remote Authentication Dial In User Service)協議或 HWTACACS(HuaWei Terminal Access Controller Access Control System)協議進行遠端認證。
授權:
AAA 支持以下授權方式:
不授權:不對用戶進行授權處理。
本地授權:根據網絡接入服務器為本地用戶賬號配置的相關屬性進行授權。
HWTACACS 授權:由 HWTACACS 服務器對用戶進行授權。
if-authenticated 授權:如果用戶通過了認證,而且使用的認證模式是本地或遠端認證,則用戶 授權通過。
RADIUS 認證成功后授權:RADIUS 協議的認證和授權是綁定在一起的,不能單獨使用 RADIUS 進行授權。
計費:
AAA 支持以下計費方式:
不計費:不對用戶計費。
遠端計費:支持通過 RADIUS 服務器或 HWTACACS 服務器進行遠端計費。
二、RADIUS協議
遠程認證撥號用戶服務 RADIUS(Remote Authentication Dial-In User Service)是一種分布式的、客 戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的干擾,常應用在既要求較高安全 性、又允許遠程用戶訪問的各種網絡環境中。該協議定義了基於 UDP 的 RADIUS 幀格式及其消息 傳輸機制,並規定 UDP 端口 1812、1813 分別作為認證、計費端口。
RADIUS 最初僅是針對撥號用戶的 AAA 協議,后來隨着用戶接入方式的多樣化發展,RADIUS 也 適應多種用戶接入方式,如以太網接入、ADSL 接入。它通過認證授權來提供接入服務,通過計費 來收集、記錄用戶對網絡資源的使用。
RADIUS服務器
RADIUS 服務器一般運行在中心計算機或工作站上,維護相關的用戶認證和網絡服務訪問信息,負 責接收用戶連接請求並認證用戶,然后給客戶端返回所有需要的信息(如接受/拒絕認證請求)。RADIUS 服務器通常要維護三個數據庫,如圖 1 所示。
圖 1 RADIUS 服務器的組成
“Users”:用於存儲用戶信息(如用戶名、口令以及使用的協議、IP 地址等配置信息)。
“Clients”:用於存儲 RADIUS 客戶端的信息(如接入設備的共享密鑰、IP 地址等)。
“Dictionary”:用於存儲 RADIUS 協議中的屬性和屬性值含義的信息。
RADIUS客戶端
RADIUS 客戶端一般位於網絡接入服務器 NAS(Network Access Server)設備上,可以遍布整個網 絡,負責傳輸用戶信息到指定的 RADIUS 服務器,然后根據從服務器返回的信息進行相應處理(如 接受/拒絕用戶接入)。
網絡接入服務器作為 RADIUS 協議的客戶端,實現以下功能:
標准 RADIUS 協議及擴充屬性,包括 RFC2865、RFC2866。
華為擴展的私有屬性。
對 RADIUS 服務器狀態的主動探測功能。
計費結束報文的本地緩存重傳功能
安全機制
RADIUS 客戶端和 RADIUS 服務器之間認證消息的交互是通過共享密鑰的參與來完成的,並且共 享密鑰不能通過網絡來傳輸,增強了信息交互的安全性。另外,為防止用戶密碼在不安全的網絡上 傳遞時被竊取,在傳輸過程中對密碼進行了加密。
認證和計費消息流程
RADIUS 客戶端與服務器間的消息流程如圖 2 所示。
用戶登錄網絡接入服務器時,會將用戶名和密碼發送給該網絡接入服務器;
該網絡接入服務器中的 RADIUS 客戶端接收用戶名和密碼,並向 RADIUS 服務器發送認證請 求;
RADIUS 服務器接收到合法的請求后,完成認證,並把所需的用戶授權信息返回給客戶端; 對於非法的請求,RADIUS 服務器返回認證失敗的信息給客戶端。
圖 2 RADIUS 客戶端與服務器間的消息流程
計費的消息流程和認證/授權的消息流程類似。
三、HWTACACS 協議
HW 終端訪問控制器控制系統協議 HWTACACS(Huawei Terminal Access Controller Access Control System)是在 TACACS(RFC 1492)基礎上進行了功能增強的安全協議。該協議與 RADIUS 協議 類似,采用客戶端/服務器模式實現 NAS 與 HWTACACS 服務器之間的通信。
HWTACACS 協議主要用於點對點協議 PPP(Point-to-Point Protocol)和虛擬私有撥號網絡 VPDN (Virtual Private Dial-up Network)接入用戶及終端用戶的認證、授權和計費。其典型應用是對需要 登錄到設備上進行操作的終端用戶進行認證、授權、計費。設備作為 HWTACACS 的客戶端,將 用戶名和密碼發給 HWTACACS 服務器進行驗證。用戶驗證通過並得到授權之后可以登錄到設備 上進行操作。
HWTACACS 協議和 RADIUS 協議的比較
HWTACACS 協議與 RADIUS 協議都實現了認證、授權、計費的功能,它們有很多相似點:結構 上都采用客戶端/服務器模式;都使用公共密鑰對傳輸的用戶信息進行加密;都有較好的靈活性和 可擴展性。
與 RADIUS 相比,HWTACACS 具有更加可靠的傳輸和加密特性,更加適合於安全控制。 HWTACACS 協議與 RADIUS 協議的主要區別如表 1 所示。
HWTACACS 的基本消息交互流程
下面以 Telnet 用戶為例,說明使用 HWTACACS 對用戶進行認證、授權和計費的過程。基本消息交 互流程圖如圖 1 所示。 圖 1 HWTACACS 的基本消息交互流程圖
在整個過程中的基本消息交互流程如下:
1. Telnet 用戶請求登錄設備。
2. HWTACACS 客戶端收到請求之后,向 HWTACACS 服務器發送認證開始報文。
3. HWTACACS 服務器發送認證回應報文,請求用戶名。
4. HWTACACS 客戶端收到回應報文后,向用戶詢問用戶名。
5. 用戶輸入用戶名。
6. HWTACACS 客戶端收到用戶名后,向 HWTACACS 服務器發送認證持續報文,其中包括了 用戶名。
7. HWTACACS 服務器發送認證回應報文,請求登錄密碼。
8. HWTACACS 客戶端收到回應報文,向用戶詢問登錄密碼。
9. 用戶輸入密碼。
10. HWTACACS 客戶端收到登錄密碼后,向 HWTACACS 服務器發送認證持續報文,其中包括 了登錄密碼。
11. HWTACACS 服務器發送認證回應報文,指示用戶通過認證。
12. HWTACACS 客戶端向 HWTACACS 服務器發送授權請求報文。
13. HWTACACS 服務器發送授權回應報文,指示用戶通過授權。
14. HWTACACS 客戶端收到授權回應成功報文,向用戶輸出設備的配置界面。
15. HWTACACS 客戶端向 HWTACACS 服務器發送計費開始報文。
16. HWTACACS 服務器發送計費回應報文,指示計費開始報文已經收到。
17. 用戶請求斷開連接。
18. HWTACACS 客戶端向 HWTACACS 服務器發送計費結束報文。
19. HWTACACS 服務器發送計費結束報文回應,指示計費結束報文已經收到。
說明:
HWTACACS 協議與其他廠商支持的 TACACS+協議都實現了認證、授權、計費的功能。HWTACACS 和 TACACS+的認證流程與實現方式是一致的,HWTACACS 協議能夠完全兼容 TACACS+協議。
四、基於域的用戶管理
一個域是由屬於同一個域的用戶構成的群體。
NAS 設備對用戶的管理是基於域的,每個接入用戶都屬於一個域。用戶所屬的域是由用戶登錄時 提供的用戶名決定的,如圖 1 所示。
用戶的認證、授權、計費都是在相應的域視圖下應用預先配置的認證、授權、計費方案來實現的。 AAA 有缺省的認證、授權、計費方案,分別為本地認證、本地授權、本地計費。如果用戶所屬的 域下未應用任何認證、授權、計費方案,系統將使用缺省的認證、授權、計費方案。
五、配置案例
配置采用 RADIUS 協議進行認證和計費示例(S5700)
如圖 1 所示,用戶通過 SwitchA 訪問網絡,用戶同處於 huawei 域。SwitchB 作為目的網絡接入服 務器。用戶首先需要穿越 SwitchA 和 SwitchB 所在的網絡,然后通過服務器的遠端認證才能通過 SwitchB 訪問目的網絡。在 SwitchB 上的遠端認證方式如下:
SwitchB 對接入用戶先用 RADIUS 服務器進行認證,如果認證沒有響應,再使用本地認證。
RADIUS 服務器 129.7.66.66/24 作為主用認證服務器和計費服務器,RADIUS 服務器 129.7.66.67/24 作為備用認證服務器和計費服務器,認證端口號缺省為 1812,計費端口號缺省 為 1813。
圖 1 采用 RADIUS 協議對用戶進行認證和計費組網圖
配置思路
用如下的思路配置采用 RADIUS 協議對用戶進行認證和計費。
1. 配置 RADIUS 服務器模板。
2. 配置認證方案、計費方案。
3. 在域下應用 RADIUS 服務器模板、認證方案和計費方案。
1. 配置 RADIUS 服務器模板
# 配置 RADIUS 服務器模板 shiva。
<HUAWEI> system-view
[HUAWEI] radius-server template shiva
# 配置 RADIUS 主用認證服務器和計費服務器的 IP 地址、端口。
[HUAWEI-radius-shiva] radius-server authentication 129.7.66.66 1812 weight 80
[HUAWEI-radius-shiva] radius-server accounting 129.7.66.66 1813 weight 80
# 配置 RADIUS 備用認證服務器和計費服務器的 IP 地址、端口。
[HUAWEI-radius-shiva] radius-server authentication 129.7.66.67 1812 weight 40
[HUAWEI-radius-shiva] radius-server accounting 129.7.66.67 1813 weight 40
# 配置 RADIUS 服務器密鑰、重傳次數,以及設備向 RADIUS 服務器發送的報文中的用戶 名不包含域名。
[HUAWEI-radius-shiva] radius-server shared-key cipher hello
[HUAWEI-radius-shiva] radius-server retransmit 2
[HUAWEI-radius-shiva] undo radius-server user-name domain-included
[HUAWEI-radius-shiva] quit
2. 配置認證方案、計費方案
# 配置認證方案 auth,認證模式為先進行 RADIUS 認證,后進行本地認證。
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme auth
[HUAWEI-aaa-authen-auth] authentication-mode radius local
[HUAWEI-aaa-authen-auth] quit
# 配置計費方案 abc,計費模式為 RADIUS,並配置當開始計費失敗時,允許用戶上線。
[HUAWEI-aaa] accounting-scheme abc
[HUAWEI-aaa-accounting-abc] accounting-mode radius
[HUAWEI-aaa-accounting-abc] accounting start-fail online
[HUAWEI-aaa-accounting-abc] quit
3. 配置 huawei 域,在域下應用認證方案 auth、計費方案 abc、RADIUS 模板 shiva
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] authentication-scheme auth
[HUAWEI-aaa-domain-huawei] accounting-scheme abc
[HUAWEI-aaa-domain-huawei] radius-server shiva
[HUAWEI-aaa-domain-huawei] quit
4. 檢查配置結果
在 SwitchB 上執行命令 display radius-server configuration template,可以觀察到該 RADIUS 服務器模板的配置與要求一致
采用 HWTACACS 協議進行認證、授權和計費示例(S5700)
如圖 1 所示,用戶要求:
SwitchB 對接入用戶先用 HWTACACS 服務器進行認證,如果認證沒有響應,再使用本地認 證。
SwitchB 對接入用戶先用 HWTACACS 服務器進行授權,如果授權沒有響應,再使用本地授 權。
SwitchB 對接入用戶采用 HWTACACS 計費。
對用戶進行實時計費,計費間隔為 3 分鍾。
HWTACACS 主用服務器為 129.7.66.66/24,備用服務器為 129.7.66.67/24,服務器的認證、授 權和計費端口號均為 49。
圖 1 采用 HWTACACS 協議對用戶進行認證、計費和授權組網圖
配置思路
采用如下的思路配置對用戶使用本地和 HWTACACS 認證、HWTACACS 授權和進行實時計費。
1. 配置 HWTACACS 服務器模板。
2. 配置認證方案、授權方案、計費方案。
3. 在域下應用 HWTACACS 服務器模板、認證方案、授權方案、計費方案。
1. 配置 HWTACACS 服務器模板 ht。
<Huawei> system-view
[Huawei] hwtacacs-server template ht
# 配置 HWTACACS 主用認證、授權、計費服務器的 IP 地址和端口。
[Huawei-hwtacacs-ht] hwtacacs-server authentication 129.7.66.66 49
[Huawei-hwtacacs-ht] hwtacacs-server authorization 129.7.66.66 49
[Huawei-hwtacacs-ht] hwtacacs-server accounting 129.7.66.66 49
# 配置 HWTACACS 備用認證、授權、計費服務器的 IP 地址和端口。
[Huawei-hwtacacs-ht] hwtacacs-server authentication 129.7.66.67 49 secondary
[Huawei-hwtacacs-ht] hwtacacs-server authorization 129.7.66.67 49 secondary
[Huawei-hwtacacs-ht] hwtacacs-server accounting 129.7.66.67 49 secondary
# 配置 TACACS 服務器密鑰。
[Huawei-hwtacacs-ht] hwtacacs-server shared-key cipher hello
[Huawei-hwtacacs-ht] quit
2. 配置認證方案、授權方案、計費方案
# 配置認證方案 l-h,認證模式為先進行 HWTACACS 認證,后進行本地認證。用戶級別提 升認證模式為先進行 HWTACACS 認證,后進行本地認證。
[Huawei] aaa
[Huawei-aaa] authentication-scheme l-h
[Huawei-aaa-authen-l-h] authentication-mode hwtacacs local
[Huawei-aaa-authen-l-h] authentication-super hwtacacs super
[Huawei-aaa-authen-l-h] quit
# 配置授權方案 hwtacacs,授權模式為先進行 HWTACACS 授權,后進行本地授權。
[Huawei-aaa] authorization-scheme hwtacacs
[Huawei-aaa-author-hwtacacs] authorization-mode hwtacacs local
[Huawei-aaa-author-hwtacacs] quit
# 配置計費方案 hwtacacs,計費模式為 HWTACACS。
[Huawei-aaa] accounting-scheme hwtacacs
[Huawei-aaa-accounting-hwtacacs] accounting-mode hwtacacs
[Huawei-aaa-accounting-hwtacacs] accounting start-fail online
# 配置實時計費間隔為 3 分鍾。
[Huawei-aaa-accounting-hwtacacs] accounting realtime 3
[Huawei-aaa-accounting-hwtacacs] quit
3. 配置 huawei 域,在域下采用 l-h 認證方案、HWTACACS 授權方案、HWTACACS 計費方案、 ht 的 HWTACACS 模板
[Huawei-aaa] domain huawei
[Huawei-aaa-domain-huawei] authentication-scheme l-h
[Huawei-aaa-domain-huawei] authorization-scheme hwtacacs
[Huawei-aaa-domain-huawei] accounting-scheme hwtacacs
[Huawei-aaa-domain-huawei] hwtacacs-server ht
[Huawei-aaa-domain-huawei] quit
[Huawei-aaa] quit
4. 在 SwitchB 上執行命令 display hwtacacs-server template,可以觀察到該 HWTACACS 服務 器模板的配置與要求一致
同時在 SwitchB 上執行命令 display domain,可以觀察到該域的配置與要求一致
六、配置總結
本地方式認證和授權配置流程為:配置AAA方案----配置本地用戶----配置業務方案(service-scheme)-----配置域的AAA方案
RADIUS方式認證授權計費配置流程為:配置AAA方案----配置Radius服務器模板-----配置業務方案-----配置域的AAA方案
HWTACACS方式認證授權計費配置流程為:配置AAA方案-----HWTACACS服務器模板-----業務方案-----配置域的AAA方案