OSI参考模型
OSI(Open System Interconnect) 开放式系统互联。 一般都叫OSI参考模型,是ISO( 国际标准化组织)组织在1985年研究的 网络互联模型。国际标准化组织ISO发布的最著名的标准是ISO/iIEC 7498,又称为X.200协议。该体系结构标准定义了网络互连的七层框架,即ISO 开放系统互连参考模型。在这一框架下进一步详细规定了每一层的功能,以实现开放系统环境中的互连性、互操作性和应用的可移植性。
七个层次划分原则
ISO为了更好的使网络应用更为普及,就推出了OSI参考模型。其含义就是推荐所有公司使用这个规范来控制网络。这样所有公司都有相同的规范,就能互联了。提供各种网络服务功能的 计算机网络系统是非常复杂的。根据分而治之的原则,ISO将整个通信功能划分为七个层次,划分原则是: (1)网路中各结点都有相同的层次; (2)不同结点的同等层具有相同的功能; (3)同一结点内相邻层之间通过接口通信; (4)每一层使用下层提供的服务,并向其上层提供服务; (5)不同结点的同等层按照协议实现对等层之间的通信
七个层次内容
其内容如下: 第7层 应用层:OSI中的最高层。为特定类型的网络应用提供了访问OSI环境的手段。应用层确定进程之间通信的性质,以满足用户的需要。应用层不仅要提供应用进程所需要的信息交换和远程操作,而且还要作为应用进程的用户代理,来完成一些为进行信息交换所必需的功能。它包括:文件传送访问和管理FTAM、 虚拟终端VT、事务处理TP、远程数据库访问RDA、制造业报文规范MMS、目录服务DS等协议; 第6层 表示层:主要用于处理两个通信系统中交换信息的表示方式。为上层用户解决用户信息的语法问题。它包括数据格式交换、 数据加密与解密、数据压缩与恢复等功能; 第5层 会话层:—在两个节点之间建立端连接。为端系统的应用程序之间提供了对话控制机制。此服务包括建立连接是以全双工还是以半双工的方式进行设置,尽管可以在层4中处理双工方式 ; 第4层 传输层:—常规数据递送-面向连接或无连接。为会话层用户提供一个端到端的可靠、透明和优化的数据传输服务机制。包括全双工或半双工、流控制和错误恢复服务; 第3层 网络层:—本层通过寻址来建立两个节点之间的连接,为源端的运输层送来的分组,选择合适的路由和交换节点,正确无误地按照地址传送给目的端的运输层。它包括通过互连网络来路由和中继数据 ; 第2层 数据链路层:—在此层将数据分帧,并处理流控制。屏蔽物理层,为网络层提供一个数据链路的连接,在一条有可能出差错的物理连接上,进行几乎无差错的数据传输。本层指定拓扑结构并提供硬件寻址; 第1层 物理层:处于OSI参考模型的最底层。物理层的主要功能是利用物理传输介质为数据链路层提供物理连接,以便透明的传送比特流。 数据发送时,从第七层传到第一层,接收数据则相反。 上三层总称应用层,用来控制软件方面。下四层总称数据流层,用来管理硬件。 数据在发至数据流层的时候将被拆分。 在传输层的数据叫段,网络层叫包,数据链路层叫帧,物理层叫比特流,这样的叫法叫PDU( 协议数据单元)
OSI各层的功能
(1)物理层(Physical Layer) 物理层是OSI参考模型的最低层,它利用传输介质为数据链路层提供物理连接。为此,该层定义了物理链路的建立、维护和拆除有关的机械、电气、功能和规程特性。 包括信号线的功能、“0”和“1”信号的电平表示、 数据传输速率、物理连接器规格及其相关的属性等。物理层的作用是通过传输介质发送和接收二进制比特流。
(2)数据链路层(Data Link Layer) 数据链路层是为网络层提供服务的,解决两个相邻结点之间的通信问题,传送的协议数据单元称为数据帧。 数据帧中包含物理地址(又称MAC地址)、控制码、数据及校验码等信息。该层的主要作用是通过校验、确认和反馈重发等手段,将不可靠的物理链路转换成对网络层来说无差错的数据链路。 此外,数据链路层还要协调收发双方的数据传输速率,即进行 流量控制,以防止接收方因来不及处理发送方来的高速数据而导致缓冲器溢出及线路阻塞。
(3)网络层(Network Layer) 网络层是为传输层提供服务的,传送的协议数据单元称为数据包或分组。该层的主要作用是解决如何使数据包通过各结点传送的问题,即通过路径选择算法(路由)将数据包送到目的地。另外,为避免通信子网中出现过多的数据包而造成 网络阻塞,需要对流入的数据包数量进行控制(拥塞控制)。当数据包要跨越多个通信子网才能到达目的地时,还要解决网际互连的问题。
(4)传输层(Transport Layer) 传输层的作用是为上层协议提供端到端的可靠和透明的数据传输服务,包括处理差错控制和流量控制等问题。该层向高层屏蔽了下层数据通信的细节,使高层用户看到的只是在两个传输实体间的一条主机到主机的、可由用户控制和设定的、可靠的数据通路。 传输层传送的协议数据单元称为段或报文。
(5)会话层(Session Layer) 会话层主要功能是管理和协调不同主机上各种进程之间的通信(对话),即负责建立、管理和终止 应用程序之间的会话。会话层得名的原因是它很类似于两个实体间的会话概念。例如,一个交互的用户会话以登录到计算机开始,以注销结束。
(6)表示层(Presentation Layer) 表示层处理流经结点的数据编码的表示方式问题,以保证一个系统应用层发出的信息可被另一系统的应用层读出。如果必要,该层可提供一种标准表示形式,用于将计算机内部的多种数据表示格式转换成网络通信中采用的标准表示形式。数据压缩和加密也是表示层可提供的转换功能之一。
(7)应用层(Application Layer) 应用层是OSI参考模型的最高层,是用户与网络的接口。该层通过应用程序来完成网络用户的应用需求,如 文件传输、收发电子邮件等。
OSI模型用途
OSI模型用途相当广泛。 比如交换机、集线器、路由器等很多网络设备的设计都是参照OSI模型设计的。
MAC地址
MAC地址(MAC Address) MAC(Medium/Media Access Control)地址,或称为 MAC位址、硬件地址,用来定义网络设备的位置。在OSI模型中,第三层网络层负责 IP地址,第二层数据链路层则负责 MAC位址。因此一个网卡会有一个全球唯一固定的MAC地址,但可对应多个IP地址。
百度百科上有图片。。。
交换机
人工交换
电信号交换的历史应当追溯到电话出现的初期。当电话被发明后,只需要一根足够长的导线,加上末端的两台电话,就可以使相距很远的两个人进行语音交谈。 电话增多后,要使每个拥有电话的人都能相互通信,我们不可能每两台 电话机之间有拉上一根线。于是人们设立了电话局,每个 电话用户都接一根线到电话局的一个大电路板上。当A希望和B通话时,就请求电话局的接线员接通B的电话。接线员用一根导线,一头插在A接到电路板上的孔,另一头插到B的孔,这就是“接续”,相当于临时给A和B拉了一条电话线,这时双方就可以通话了。当通话完毕后,接线员将电线拆下,这就是“拆线”。整个过程就是“人工交换”,它实际上就是一个“合上开关”和“断开开关”的过程。因此,把“交换”译为“开关”从技术上讲更容易让人理解。
电路程控交换机
人工交换的效率太低,不能满足大规模部署电话的需要。随着半导体技术的发展和开关电路技术的成熟,人们发现可以利用电子技术替代人工交换。电话 终端用户只要向电子设备发送一串电信号,电子设备就可以根据预先设定的程序,将请求方和被请求方的电路接通,并且独占此电路,不会与第三方共享(当然,由于 设计缺陷的缘故,可能会出现多人共享电路的情况,也就是俗称的“串线”)。这种交换方式被称为“程控交换”。而这种设备也就是“ 程控交换机”。 由于程控交换的技术长期被发达国家垄断,设备昂贵,我国的 电话普及率一直不高。随着当年 华为、 中兴通讯等企业陆续自主研制出程控交换机,电话在我国得到迅速地普及。 目前,语音程控交换机普遍使用的 通信协议为 七号信令(Signalling System No.7)
以太网交换机
随着计算机及其互联技术(也即通常所谓的“网络技术”)的迅速发展,以太网成为了迄今为止普及率最高的短距离二层计算机网络。而以太网的核心部件就是以太网交换机。 不论是人工交换还是程控交换,都是为了传输语音信号,是需要独占线路的“ 电路交换”。而以太网是一种计算机网络,需要传输的是数据,因此采用的是“ 分组交换”。但无论采取哪种交换方式,交换机为两点间提供“独享通路”的特性不会改变。就以太网设备而言,交换机和集线器的本质区别就在于:当A发信息给B时,如果通过集线器,则接入集线器的所有网络节点都会收到这条信息(也就是以广播形式发送),只是网卡在硬件层面就会过滤掉不是发给本机的信息;而如果通过交换机,除非A通知交换机广播,否则发给B的信息C绝不会收到(获取交换机控制权限从而监听的情况除外)。 目前,以太网交换机 厂商根据市场需求,推出了三层甚至 四层交换机。但无论如何,其核心功能仍是二层的以太网 数据包交换,只是带有了一定的处理IP层甚至更高层数据包的能力。
光交换
光交换是人们正在研制的下一代 交换技术。目前所有的交换技术都是基于电信号的,即使是目前的 光纤交换机也是先将光信号转为电信号,经过交换处理后,再转回光信号发到另一根光纤。由于光电转换速率较低,同时电路的处理速度存在物理学上的瓶颈,因此人们希望设计出一种无需经过光电转换的“ 光交换机”,其内部不是电路而是光路,逻辑原件不是开关电路而是开关光路。这样将大大提高交换机的处理速率。
交换机与路由器的区别
传统交换机从网桥发展而来,属于OSI第二层即数据链路层设备。它根据MAC地址寻址,通过站表选择路由,站表的建立和维护由交换机自动进行。路由器属于OSI第三层即网络层设备,它根据IP地址进行寻址,通过路由表路由协议产生。交换机最大的好处是快速,由于交换机只须识别帧中MAC地址,直接根据MAC地址产生选择转发端口算法简单,便于ASIC实现,因此转发速度极高。但交换机的工作机制也带来一些问题。 1.回路:根据交换机地址学习和站表建立算法,交换机之间不允许存在回路。一旦存在回路,必须启动生成树算法,阻塞掉产生回路的端口。而路由器的路由协议没有这个问题,路由器之间可以有多条通路来平衡负载,提高可靠性。 2.负载集中:交换机之间只能有一条通路,使得信息集中在一条通信链路上,不能进行动态分配,以平衡负载。而路由器的路由协议算法可以避免这一点,OSPF路由协议算法不但能产生多条路由,而且能为不同的网络应用选择各自不同的最佳路由。 3.广播控制:交换机只能缩小冲突域,而不能缩小广播域。整个交换式网络就是一个大的广播域,广播报文散到整个交换式网络。而路由器可以隔离广播域,广播报文不能通过路由器继续进行广播。 4.子网划分:交换机只能识别MAC地址。MAC地址是物理地址,而且采用平坦的地址结构,因此不能根据MAC地址来划分子网。而路由器识别IP地址,IP地址由网络管理员分配,是逻辑地址且IP地址具有层次结构,被划分成网络号和主机号,可以非常方便地用于划分子网,路由器的主要功能就是用于连接不同的网络。 5.保密问题:虽说交换机也可以根据帧的源MAC地址、目的MAC地址和其他帧中内容对帧实施过滤,但路由器根据报文的源IP地址、目的IP地址、TCP端口地址等内容对报文实施过滤,更加直观方便。
无线AP
无线AP(AP,Access Point,无线访问节点、会话点或存取桥接器)是一个包含很广的名称,它不仅包含单纯性无线接入点(无线AP),也同样是 无线路由器(含 无线网关、 无线网桥)等类设备的统称。无线 AP是移动计算机用户进入有线网络的接入点,主要用于宽带家庭、大楼内部以及园区内部,典型距离覆盖几十米至上百米,目前主要技术为 802.11系列。大多数无线AP还带有接入点 客户端模式(AP client),可以和其它AP进行无线连接,延展网络的覆盖范围。 各种文章或厂家在面对无线AP时的称呼目前比较混乱,但随着无线路由器的普及,目前的情况下如没有特别的说明,我们一般还是只将所称呼的无线AP理解为单纯性无线AP,以示和无线路由器加以区分。它主要是提供无线工作站对有线局域网和从有线局域网对无线工作
无线AP
站的访问,在 访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。
单纯性无线AP
就是一个无线的 交换机,提供无线信号发射接收的功能。单纯性无线AP的工作原理是将网络信号通过双绞线传送过来,经过AP产品的编译,将电信号转换成为无线电讯号发送出来,形成无线网的覆盖。根据不同的功率,其可以实现不同程度、不同范围的网络覆盖,一般无线AP的最大覆盖距离可达500米。 多数单纯性无线AP本身不具备路由功能,包括DNS、DHCP、Firewall在内的服务器功能都必须有独立的路由或是计算机来完成。目前大多数的无线AP都支持多用户(30-100台电脑)接入, 数据加密,多速率发送等功能,在家庭、办公室内,一个无线AP便可实现所有电脑的无线接入。 单纯性无线AP亦可对装有 无线网卡的电脑做必要的控制和管理。单纯性无线AP即可以通过 10BASE-T(WAN)端口与内置路由功能的ADSL MODEM或CABLE MODEM(CM)直接相连,也可以在使用时通过交换机/ 集线器、宽带路由器再接入有线网络。 无线AP跟无线路由器类似,按照协议标准本身来说 IEEE 802.11b和IEEE 802.11g的覆盖范围是室内100米、室外300米。这个数值仅是理论值,在实际应用中,会碰到各种障碍物,其中以玻璃、木板、石膏墙对无线信号的影响最小,而混凝土墙壁和铁对无线信号的屏蔽最大。所以通常实际使用范围是:室内30米、室外100米(没有障碍物)。 因此,作为无线网络中重要的环节无线接入点、无线网关也就是无线AP(Access Point),它的作用其实就类似于我们常用的有线网络中的集线器。在那些需要大量AP来进行大面积覆盖的公司使用得比较多,所有AP通过 以太网连接起来并连到独立的。
无线AP与无线路由器的区别
今天我们从功能、应用、组网和成本四个方面为大家区分无线路由器和无线AP。 当前的无线AP可以分为两类:单纯型AP和扩展型AP。 单纯型AP的功能相对来比较简单缺少路由功能,只能相当无线集线器;对于此类无线AP,还没有发现可以互连的产品!!而扩展型AP也就是市场上的无线路由器,由于它功能比较全面,大多数扩展型AP不但具有路由交换功能还有DHCP、网络防火墙等功能。 现在市场上的无线AP大多属于扩展型AP,对于扩展型AP来说,它们在短距离范围内是可以相互联的;如果大家需要传输的距离比较远,那么就需要无线网桥和专门的天线等设备!!其实无线网桥也是无线AP的一种。
从功能上区分
无线AP:AP为Access Point简称,一般翻译为“无线访问节点”,它主要是提供无线工作站对有线局域网和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。通俗的讲,无线AP是无线网和有线网之间沟通的桥梁。由于无线AP的覆盖范围是一个向外扩散的圆形区域,因此,应当尽量把无线AP放置在无线网络的中心位置,而且各无线客户端与无线AP的直线距离最好不要超过30米,以避免因通讯信号衰减过多而导致通信失败。 无线路由器:无线路由器是单纯型AP与宽带路由器的一种结合体;它借助于路由器功能,可实现家庭无线网络中的Internet连接共享,实现ADSL和小区宽带的无线共享接入 ,另外,无线路由器可以把通过它进行无线和有线连接的终端都分配到一个子网,这样子网内的各种设备交换数据就非常方便。 可以这样说:无线路由器就是AP、路由功能和交换机的集合体,支持有线无线组成同一子网,直接接上MODEM。无线AP相当于一个无线交换机,接在有线交换机或路由器上,为跟它连接的无线网卡从路由器那里分得IP。
从应用上区分
独立的AP在那些需要大量AP来进行大面积覆盖的公司使用得比较多,所有AP通过以太网连接起来并连到独立的 无线局域网防火墙。 无线路由器在SOHO的环境中使用得比较多,在这种环境下,一个AP就足够了。这样的话,整合了宽带接入路由器和AP的无线路由器就提供了单个机器的解决方案,它比起两个分开的机器的方案要容易管理和便宜一些。无线路由器一般包括了 网络地址转换(NAT)协议,以支持无线局域网用户的网络连接共享--这是SOHO环境中很好用的一个功能。它们也可能有基本的防火墙或者信息包过滤器来防止端口扫描 软件和其他针对宽带连接的攻击。最后,大多数无线路由器包括一个四个端口的 以太网转换器,可以连接几台有线的PC。这对于管理路由器或者把一台打印机连上局域网来说非常方便。
从组网拓扑图上分析
AP不能直接跟ADSL MODEM相连,所以在使用时必须再添加一台交换机或者集线器:使用上面的拓扑架构时,AP和 无线路由的用法是一样的。不过,大部分无线路由器由于具有宽带拨号的能力,因此可以直接跟ADSL MODEM连接进行宽带共享。
从成本上来分析
802.11B的无线AP和无线路由器的价钱相差不多, 一般无线路由器会贵100元左右;802.11G则要看具体情况而言,根据品牌和附加功能的不同两者价格会有几百元不等的差距,不过便宜的产品差价也是100多元。
DHCP
相关图片
DHCP 是 Dynamic Host Configuration Protocol(动态 主机配置协议)缩写,它的前身是 BOOTP。BOOTP 原本是用于无磁盘主机连接的网络上面的:网络主机使用 BOOT ROM 而不是磁盘起动并连接上网络, BOOTP则可以自动地为那些主机设定 TCP/IP 环境。但 BOOTP 有一个缺点:您在设定前须事先获得 客户端的硬件地址,而且,与 IP 的对应是静态的。换而言之,BOOTP 非常缺乏 "动态性" ,若在有限的 IP 资源环境中,BOOTP 的一对一对应会造成非常严重的资源浪费。 DHCP 可以说是 BOOTP 的增强版本,它分为两个部份:一个是 服务器端,而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理,并负责处理客户端的 DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据
DNS
DNS 是计算机域名系统 (Domain Name System) 的缩写,它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一(或者多对一)的,域名虽然便于人们记忆,但机器之间只认IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。
RADIUS
RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。
简介
RADIUS是一种C/S结构的协议,它的 客户端最初就是 NAS(Net Access Server) 服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用 PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。 由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、 ADSL上网、小区宽带上网、IP电话、 VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提出了 802.1x标准,这是一种基于 端口的标准,用于对 无线网络的接入认证,在认证时也采用RADIUS协议。
协议结构
Code 域长度为1个字节,用于标明RADIUS报文的类型,如果Code域中的内容是无效值,报文将被丢弃,有效值如下: 1、请求访问(Access-Request); 2、接收访问(Access-Accept); 3、拒绝访问(Access-Reject); 4、计费请求(Accounting-Request); 5、计费响应(Accounting-Response); 11、挑战访问(Access-Challenge); 12、服务器状况(Status-Server — Experimental); 13、客户机状况(Status-Client — Experimental); 255、预留(Reserved)
Identifier ― 匹配请求和响应的 标识符。
Length ― 信息大小,包括头部。
Authenticator 域占用16个字节,用于Radius Client 和Server之间消息认证的有效性,和密码隐藏算法。访问请求Access-Request报文中的认证字的值是16字节随机数,认证字的值要不能被预测并且在一个共享密钥的生命期内唯一。 1.访问请求认证字 在Access-Request包中认证字的值是16字节随机数,认证字的值要不能被预测,并且在一个共享密钥的生命期内唯一; 2.访问回应认证字 Access-Accept Access-Reject 和Access-Challenge包中的认证字称为访问回应认证字,访问回应认证字的值定义为MD5(Code+ID+Length+RequestAuth+Attributes+Secret); 3.计费请求认证字 在计费请求包中的认证字域称为计费请求认证字,它是一个16字节的MD5校验和,计费请求认证字的值定义为MD5(Code + Identifier + Length + 16 zero octets + request attributes +shared secret); 4.计费回应认证字 在计费回应报文中的认证字域称为计费回应认证字,它的值定义为MD5(Accounting-Response Code + Identifier + Length + the RequestAuthenticator field from the Accounting-Request packet being replied to +the response attributes + shared secret);
编辑本段基本消息交互流程
radius 服务器对用户的认证过程通常需要利用nas 等设备的代理认证功能,radius 客户端和radius 服务器之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。radius 协议合并了认证和授权过程,即响应报文中携带了授权信息。 基本交互步骤如下: (1) 用户输入用户名和口令; (2) radius 客户端根据获取的用户名和口令,向radius 服务器发送认证请求包(access-request)。 (3) radius 服务器将该用户信息与users 数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius 客户端;如果认证失败,则返回access-reject 响应包。 (4) radius 客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则radius 客户端向radius 服务器发送计费开始请求包(accounting-request),status-type 取值为start; (5) radius 服务器返回计费开始响应包(accounting-response); (6) radius 客户端向radius 服务器发送计费停止请求包(accounting-request),status-type 取值为stop; (7) radius 服务器返回计费结束响应包(accounting-response)。
AAA
AAA系统的简称:
认证(Authentication):验证用户的身份与可使用的网络服务;
授权(Authorization):依据认证结果开放网络服务给用户;
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting
常用的AAA协议是Radius,参见RFC 2865,RFC 2866。
另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。
HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
HWTACACS与RADIUS的不同在于: l RADIUS基于UDP协议,而HWTACACS基于TCP协议。 l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。 l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。 组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。 认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。
授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none 授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。
计费方案与计费模式 AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。 ----------------------------------------------------------------------
AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。
最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。 验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。
目前最新的发展是Diameter协议。
chap
CHAP全称是PPP(点对点协议)询问握手认证协议 (Challenge Handshake Authentication Protocol)。该协议可通过三次握手周期性的校验对端的身份,可在初始链路建立时完成时,在链路建立之后重复进行。通过递增改变的 标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。
PPP 询问握手认证协议
简述
询问握手认证协议(CHAP)通过三次握手周期性的校验对端的身份,在初始链路建立时完成,可以在链路建立之后的任何时候重复进行。 1. 链路建立阶段结束之后,认证者向对端点发送“challenge”消息。 2. 对端点用经过单向哈希函数计算出来的值做应答。 3. 认证者根据它自己计算的哈希值来检查应答,如果值匹配,认证得到承认;否则,连接应该终止。 4. 经过一定的随机间隔,认证者发送一个新的 challenge 给端点,重复步骤 1 到 3 。 通过递增改变的 标识符和可变的询问值,CHAP 防止了来自端点的重放攻击,使用重复校验可以限制暴露于单个攻击的时间。认证者控制验证频度和时间。
特性
该认证方法依赖于只有认证者和对端共享的 密钥,密钥不是通过该链路发送的。 虽然该认证是单向的,但是在两个方向都进行 CHAP 协商,同一密钥可以很容易的实现相互认证。 由于 CHAP 可以用在许多不同的 系统认证中,因此可以用 NAME 字段作为索引,以便在一张大型密钥表中查找正确的密钥,这样也可以在一个系统中支持多个 NAME/ 密钥对,并可以在会话中随时改变密钥。 CHAP 要求密钥以明文形式存在,无法使用通常的不可回复加密口令数据库。 CHAP 在大型网络中不适用,因为每个可能的密钥由链路的两端共同维护。
故障排查命令
debug ppp negotiation -确定客户端是否可以通过PPP协商; 这是您检查地址协商的时候。
debug ppp authentication -确定客户端是否可以通过验证。 如果您在使用Cisco IOS软件版本11.2之前的一个版本,请发出debug ppp chap命令。
debug ppp error – 显示和PPP连接协商与操作相关的协议错误以及统计错误。 debug aaa authentication -要确定在使用哪个方法进行验证(应该是RADIUS,除非RADIUS服务器发生故障),以及用户是否通过验证。
debug aaa authorization -要确定在使用哪个方法进行验证,并且用户是否通过验证。
debug aaa accounting -查看发送的记录。
debug radius -查看用户和服务器交换的属性。
ssl
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
SSL (Secure Socket Layer)
为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。
目前一般通用之规格为40 bit之安全标准,美国则已推出128 bit之更高安全标准,但限制出境。只要3.0版本以上之I.E.或Netscape浏览器即可支持SSL。
当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL协议提供的服务主要有: \
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。
SSL协议的工作流程:
服务器认证阶段:
1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;
2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
用户认证阶段:
在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证。经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。 从SSL 协议所提供的服务及其工作流程可以看出,SSL协议运行的基础是商家对消费者信息保密的承诺,这就有利于商家而不利于消费者。在电子商务初级阶段,由于运作电子商务的企业大多是信誉较高的大公司,因此这问题还没有充分暴露出来。但随着电子商务的发展,各中小型公司也参与进来,这样在电子支付过程中的单一认证问题就越来越突出。虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证,但是SSL协议仍存在一些问题,比如,只能提供交易中客户与服务器间的双方认证,在涉及多方的电子交易中,SSL协议并不能协调各方间的安全传输和信任关系。在这种情况下,Visa和 MasterCard两大信用卡公组织制定了SET协议,为网上信用卡支付提供了全球性的标准。
https介绍
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。。 https是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,https的安全基础是SSL,因此加密的详细内容请看SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
限制
它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.
一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上,与服务器的加密连接中能保护银行卡号的部分,只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的,这点甚至已被攻击者利用,常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生,攻击者尝试窃听数据于传输中。 商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关,仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。
AC access controller
NAL network access identifier