双剑合璧之基于端口的认证技术AAA DHCP

要求局域网用户实现安全接入，采用基于端口的认证技术（802.1x）,使用服务器中心的AAA服务器实现集中的身份验证，只有验证通过，才能通过DHCP获得地址。

 

 

首先来对AAA做一个概述

AAA是验证、授权和记账（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务。如何对正在使用网络资源的用户进行记账？具体为：

1、 验证(Authentication): 验证用户是否可以获得访问权限。

2、 授权(Authorization) : 授权用户可以使用哪些服务。

3、 记账(Accounting) : 记录用户使用网络资源的情况。

AAA服务器（AAA server）是一个能够处理用户访问请求的服务器程序。提供验证授权以及帐户服务。AAA服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

RADIUS（Remote Authentication Dial In User Service）协议是在IETF的RFC2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ，计费端口是1813。

首先安装dhcp，切换到光盘挂载点，安装dhcp

编辑配置文件，创建相应的域

vim /etc/dhcpd.conf 

:r /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample（第一次打开配置文件里面是没有内容的，在地行模式执行该命令读取内容，然后做相应的修改就好）

为dhcp服务器配置地址，要在192.168.20.32网段内就可

启动dhcp：service dhcpd start

启用开机启动功能：chkconfig dhcpd on

 

 

交换机上配置：

 

防火墙上配置：

 

配置AAA服务器ACS，但是ACS需要JAVA虚拟机的支持，所以首先要先安装JDK。

 

 

然后安装ACS

 

然后选择默认值安装。

默认值安装

 

 

然后默认值安装

为了进行操做，必须配置IE属性。

由于实验需要与华为设备结合。而华为的属性与ACS 不兼容。我们需要导入华为私有属性。

h3c.ini

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

 

 

 

配置AAA

 

可能需要查看谁登陆了客户端，我们就需要日志了

这样我们的AAA服务器基本上就搭建好了

 

下面来测试：