AAA服务器实现mac地址绑定客户机实现安全通信

AAA知识简介:

AAA Authentication Authorization   and   Accounting (认证、授权和计费)的简

称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架, 它是对网络安全的一种管理。

这里的网络安全主要是指访问控制,包括:

哪些用户可以访问网络服务器?

具有访问权的用户可以得到哪些服务?

如何对正在使用网络资源的用户进行计费?

AAA 可完成下列服务:

认证:验证用户是否可获得访问权。

授权:授权用户可使用哪些服务。

计费:记录用户使用网络资源的情况。

AAA 的优点 (1)  灵活易控。

(2)  标准化的认证方法。

(3)  多重备用系统

AAA 配置过程

AAA 的基本配置包括: 使能 AAA 配置认证 配置授权 配置计费

AAA 的高级配置包括 配置本地用户数据库、 配置本地ip地址池、 为PPP用户分配ip地址

案例:在vlan中实现在AAA服务器上的客户信息(mac地址)验证。

实验器材:虚拟机windows server 2003服务器、一台华为三层交换机S2000、一台华为路由器R2621

拓扑图如下:

网络安全----IAS实现安全通信_第1张图片

实验步骤:

先在windows server 2003 配置AAA服务器,并且用交换机的mac地址新建用户。

网络安全----IAS实现安全通信_第2张图片

还要建立一个作用域:

网络安全----IAS实现安全通信_第3张图片

接着是三层交换机配置:

[Quidway]int Vlan-interface 1                           #进入vlan 1 添加ip#

[Quidway-Vlan-interface1]ip add 192.168.30.10 ?

 INTEGER<0-32>  IP mask length

 X.X.X.X        IP mask

[Quidway-Vlan-interface1]ip add 192.168.30.10 24

[Quidway-Vlan-interface1]ping 192.168.30.201

ping 192.168.30.201                                     #现在pingAAA服务器,可以通信#

 PING 192.168.30.201: 56  data bytes, press CTRL_C to break

   Reply from 192.168.30.201: bytes=56 Sequence=1 ttl=128 time=21 ms

   Reply from 192.168.30.201: bytes=56 Sequence=2 ttl=128 time=4 ms

   Reply from 192.168.30.201: bytes=56 Sequence=3 ttl=128 time=4 ms

   Reply from 192.168.30.201: bytes=56 Sequence=4 ttl=128 time=4 ms

   Reply from 192.168.30.201: bytes=56 Sequence=5 ttl=128 time=4 ms

 --- 192.168.30.201 ping statistics ---

   5 packet(s) transmitted

   5 packet(s) received

   0.00% packet loss

   round-trip min/avg/max = 4/7/21 ms

[Quidway]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen

                                                        #设置认证方式#

[Quidway]int e1/0/24

[Quidway-Ethernet1/0/24]mac-authentication               #设置24端口为mac验证端口#

[Quidway]radius scheme xxx

[Quidway-radius-xxx]key authentication 123456           #设置验证密码为123456#

[Quidway-radius-xxx]acc

[Quidway-radius-xxx]accounting op

[Quidway-radius-xxx]accounting optional

[Quidway-radius-xxx]ser

[Quidway-radius-xxx]server-type stan

[Quidway-radius-xxx]server-type standard                #设置授权客户服务方式为一般的服务方式#

[Quidway-radius-xxx]user-name-format without-domain     #不做user-name-format验证#

[Quidway]domain system

[Quidway-isp-system]radius-

[Quidway-isp-system]radius-scheme xxx                   #为使用Radius服务器创建授权方式列表xxx#

[Quidway-isp-system]acc

[Quidway-isp-system]access-limiten

[Quidway-isp-system]access-limit ena

[Quidway-isp-system]access-limit enable  10             #在这里我们可以限制同时验证用户的数量#

[Quidway-isp-system]accounting  optional                #计费方式无设置但必须指明计费方式#

[Quidway-isp-system]q

[Quidway]

24口的具体配置:

[Quidway]dis mac-authentication  int e1/0/24            #查看在24端口设置的mac认证的信息#

Ethernet1/0/24 is link-down

 MAC address authentication  is Enabled

 Authenticate success: 0, failed: 1

 Current online user number is 0

MAC ADDR         Authenticate state           AuthIndex

再用一个路由器做验证机器:

只配置一个ip[R3-Ethernet0]ip add 192.168.30.2 24

Ping交换机上的ip。利用虚拟机上的AAA服务实现mac地址验证。

[R3-Ethernet0]ping 192.168.30.10

 PING 192.168.30.10: 56  data bytes, press CTRL_C to break

   Reply from 192.168.30.10: bytes=56 Sequence=0 ttl=255 time = 1 ms

   Reply from 192.168.30.10: bytes=56 Sequence=1 ttl=255 time = 1 ms

Reply from 192.168.30.10: bytes=56 Sequence=2 ttl=255 time = 1 ms

   Reply from 192.168.30.10: bytes=56 Sequence=3 ttl=255 time = 1 ms

Reply from 192.168.30.10: bytes=56 Sequence=4 ttl=255 time = 1 ms

 --- 192.168.30.10 ping statistics ---

   5 packets transmitted

   5 packets received

   0.00% packet loss

   round-trip min/avg/max = 1/1/1 ms

IAS验证就成功了,实现了mac绑定的安全通信。