网络安全----IAS实现安全通信

AAA服务器实现mac地址绑定客户机实现安全通信

AAA知识简介：

AAA 是 Authentication ，Authorization   and   Accounting （认证、授权和计费）的简

称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架， 它是对网络安全的一种管理。

这里的网络安全主要是指访问控制，包括：

哪些用户可以访问网络服务器？

具有访问权的用户可以得到哪些服务？

如何对正在使用网络资源的用户进行计费？

AAA 可完成下列服务：

认证：验证用户是否可获得访问权。

授权：授权用户可使用哪些服务。

计费：记录用户使用网络资源的情况。

AAA 的优点 (1)  灵活易控。

(2)  标准化的认证方法。

(3)  多重备用系统

AAA 的配置过程：

AAA 的基本配置包括： 使能 AAA 配置认证、 配置授权、 配置计费。

AAA 的高级配置包括： 配置本地用户数据库、 配置本地ip地址池、 为PPP用户分配ip地址

案例：在vlan中实现在AAA服务器上的客户信息（mac地址）验证。

实验器材：虚拟机windows server 2003服务器、一台华为三层交换机S2000、一台华为路由器R2621。

拓扑图如下：

实验步骤：

先在windows server 2003 配置AAA服务器，并且用交换机的mac地址新建用户。

还要建立一个作用域：

接着是三层交换机配置：

[Quidway]int Vlan-interface 1                           #进入vlan 1 添加ip#

[Quidway-Vlan-interface1]ip add 192.168.30.10 ?

 INTEGER<0-32>  IP mask length

 X.X.X.X        IP mask

[Quidway-Vlan-interface1]ip add 192.168.30.10 24

[Quidway-Vlan-interface1]ping 192.168.30.201

ping 192.168.30.201                                     #现在pingAAA服务器，可以通信#

 PING 192.168.30.201: 56  data bytes, press CTRL_C to break

   Reply from 192.168.30.201: bytes=56 Sequence=1 ttl=128 time=21 ms

   Reply from 192.168.30.201: bytes=56 Sequence=2 ttl=128 time=4 ms

   Reply from 192.168.30.201: bytes=56 Sequence=3 ttl=128 time=4 ms

   Reply from 192.168.30.201: bytes=56 Sequence=4 ttl=128 time=4 ms

   Reply from 192.168.30.201: bytes=56 Sequence=5 ttl=128 time=4 ms

 --- 192.168.30.201 ping statistics ---

   5 packet(s) transmitted

   5 packet(s) received

   0.00% packet loss

   round-trip min/avg/max = 4/7/21 ms

[Quidway]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen

                                                        #设置认证方式#

[Quidway]int e1/0/24

[Quidway-Ethernet1/0/24]mac-authentication               #设置24端口为mac验证端口#

[Quidway]radius scheme xxx

[Quidway-radius-xxx]key authentication 123456           #设置验证密码为123456#

[Quidway-radius-xxx]acc

[Quidway-radius-xxx]accounting op

[Quidway-radius-xxx]accounting optional

[Quidway-radius-xxx]ser

[Quidway-radius-xxx]server-type stan

[Quidway-radius-xxx]server-type standard                #设置授权客户服务方式为一般的服务方式#

[Quidway-radius-xxx]user-name-format without-domain     #不做user-name-format验证#

[Quidway]domain system

[Quidway-isp-system]radius-

[Quidway-isp-system]radius-scheme xxx                   #为使用Radius服务器创建授权方式列表xxx#

[Quidway-isp-system]acc

[Quidway-isp-system]access-limiten

[Quidway-isp-system]access-limit ena

[Quidway-isp-system]access-limit enable  10             #在这里我们可以限制同时验证用户的数量#

[Quidway-isp-system]accounting  optional                #计费方式无设置但必须指明计费方式#

[Quidway-isp-system]q

[Quidway]

24口的具体配置：

[Quidway]dis mac-authentication  int e1/0/24            #查看在24端口设置的mac认证的信息#

Ethernet1/0/24 is link-down

 MAC address authentication  is Enabled

 Authenticate success: 0, failed: 1

 Current online user number is 0

MAC ADDR         Authenticate state           AuthIndex

再用一个路由器做验证机器：

只配置一个ip：[R3-Ethernet0]ip add 192.168.30.2 24

Ping交换机上的ip。利用虚拟机上的AAA服务实现mac地址验证。

[R3-Ethernet0]ping 192.168.30.10

 PING 192.168.30.10: 56  data bytes, press CTRL_C to break

   Reply from 192.168.30.10: bytes=56 Sequence=0 ttl=255 time = 1 ms

   Reply from 192.168.30.10: bytes=56 Sequence=1 ttl=255 time = 1 ms

Reply from 192.168.30.10: bytes=56 Sequence=2 ttl=255 time = 1 ms

   Reply from 192.168.30.10: bytes=56 Sequence=3 ttl=255 time = 1 ms

Reply from 192.168.30.10: bytes=56 Sequence=4 ttl=255 time = 1 ms

 --- 192.168.30.10 ping statistics ---

   5 packets transmitted

   5 packets received

   0.00% packet loss

   round-trip min/avg/max = 1/1/1 ms

IAS验证就成功了，实现了mac绑定的安全通信。