13.广域网技术完整.docx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《13.广域网技术完整.docx》由会员分享,可在线阅读,更多相关《13.广域网技术完整.docx(56页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、AAA原理与配置AAA基本概念认证(Authentication):验证用户是否可以获得访问权,确定哪些用户可以访问网络。授权(Authorization):授权用户可以使用哪些服务。计费(Accounting):记录用户使用网络资源的情况。网络运营商(ISP)需要验证家庭宽带用户的账号密码之后才允许其上网,并记录用户的上网时长或上网流量等内容,这就是AAA技术最常见的应用场景。AAA常见架构1.客户端2.NAS基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费。每个用户都属于某一个域。根据用户登陆的时候属于的域,关联相应的AAA方案,从
2、而获得相应的认证、授权和计费方案用户属于哪个域是由用户名中的域名分隔符后的字符串决定。例如,如果用户名是user1domain1,则用户属于domain1域。如果用户名后不带有,则用户属于系统缺省域。3.AAA服务器(Raidus服务器,或者HWTacacs服务器)Authentication认证AAA支持三种认证方式:不认证完全信任用户,不对用户身份进行合法性检查。鉴于安全考虑,这种认证方式很少被采用。领导可以考虑。本地认证将本地用户信息(包括用户名、密码和各种属性)配置在NAS上,此时NAS就是AAA Server。本地认证的优点是处理速度快、运营成本低;缺点是存储信息量受设备硬件条件限制
3、。这种认证方式常用于对用户登录设备进行管理,如Telnet,FTP用户等。远端认证将用户信息(包括用户名、密码和各种属性)配置在认证服务器上。支持通过RADIUS协议或HWTACACS协议进行远端认证。NAS作为客户端,与RADIUS服务器或HWTACACS服务器进行通信。Authorization 授权AAA授权功能赋予用户访问的特定网络或设备的权限。AAA支持以下授权方式:不授权:不对用户进行授权处理。本地授权:根据NAS上对应域下的配置进行授权。远端授权:支持由RADIUS服务器授权或HWTACAS服务器授权。HWTACACS授权,使用HWTACACS服务器对所有用户授权。RADIUS授
4、权,只支持对通过RADIUS服务器认证的用户授权。RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。当采用远端授权时,用户可以同时从授权服务器和NAS获取授权信息。NAS配置的授权信息优先级比授权服务器下发的授权信息低。Accounting(计费)实际上的计费功能,适用于监控授权用户的网络行为和网络资源使用情况不计费:用户提供免费上网服务,不产生相关活动日志。本地计费:不具备此能力远端计费:NAS将用户的上线、下线、上行流量、下行流量统计后发给AAA,从而输出相应的账单,支持通过RADIUS服务器或HWTACACS服务器进行远端计费。RADIUSAAA可以用多种协议
5、来实现,最常用的是RADIUS协议。RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,可以实现对用户的认证、计费和授权功能。通常由NAS作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。RADIUS服务器一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS使用UDP(User Datagram Protocol)作为传输协议,并规定UDP端口1812、1813分别作为认证、计费端口,具
6、有良好的实时性;同时也支持重传机制和备用服务器机制,从而具有较好的可靠性。RADUIS交互过程RADIUS客户端与服务器间的消息流程如下:用户登录当用户接入网络时,用户发起连接请求,向RADIUS客户端(即NAS)发送用户名和密码。RADIUS客户端(NAS)向RADIUS服务器发送包含账户和密码信息的认证请求报文。RADIUS服务器接收到合法的请求后,完成认证,并把所需的用户授权信息返回给客户端;对于非法的请求,RADIUS服务器返回认证失败的信息给客户端。RADIUS客户端通知用户认证是否成功。用户开始访问网络资源RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则R
7、ADIUS客户端向RADIUS服务器发送计费开始请求报文。RADIUS服务器返回计费开始响应报文,并开始计费。用户开始访问网络资源。用户下线当用户不再想要访问网络资源时,用户发起下线请求,请求停止访问网络资源。RADIUS客户端向RADIUS服务器提交计费结束请求报文。RADIUS服务器返回计费结束响应报文,并停止计费。RADIUS客户端通知用户访问结束,用户结束访问网络资源。AAA配置Step 1 创建认证方案authorization-schemeauthorization-scheme-name命令用来配置域的授权方案。缺省情况下,域下没有绑定授权方案。authentication-mo
8、dehwtacacs|local|radius命令用来配置当前授权方案使用的授权方式。缺省情况下,授权模式为本地授权方式。hwtacacs是tcp,hwtacacs的认证和授权是分开的Radius是UDPStep 2 在域下调用授权方案根据用户的域名来对应指定的认证、授权和计费方案用户名不带有,则使用默认域名,则对应默认的认证方式。默认情况下,所有的用户禁止接入网络,配置案例查看命令默认域为default和default_admin如果创建用户时未指定用户所属的域,用户会自动关联缺省域default(管理用户关联到default_admin域)。使用WinRadius作为AAA服务器Step
9、1 安装winradius需要使用管理员身份运行点击设置-数据库,点击“自动配置ODBC”此时就会在Windows中的ODBC数据源管理程序中的“系统DSN”中出现WinRadius.mdb文件。成功后,出现如下内容此时可以看到账号、密码以及和NAS的密码 WinRaidus。如果需要修改可以在设置-系统此时计算机开启了UDP的1812、1813常见错误:如果不使用管理员运行,就会报错Step 2 与ENSP连接完成基本配置Step 3 NAS上完成RADIUS认证配置Switch radius-server template 1Switch-radius-1 radius-server au
10、thentication 192.168.10.88 1812Switch-radius-1 radius-server accounting 192.168.10.88 1813Switch-radius-1 radius-server shared-key cipher WinRadiusSwitch-radius-1 quit# 配置AAA认证方案,名为sch1,指定认证方式为RADIUS+Local。Switch aaaSwitch-aaa authentication-scheme sch1Switch-aaa-authen-sch1 authentication-mode radi
11、us Switch-aaa-authen-sch1 quit# 配置计费方案acc1,指定计费方式为RADIUS计费。Switch-aaa accounting-scheme acc1 Switch-aaa-accounting-acc1 accounting-mode radius Switch-aaa-accounting-acc1 accounting start-fail online Switch-aaa-accounting-acc1 quit# 在域下引用AAA认证方案、RADIUS服务器模板。Switch-aaa domain Switch-aaa-domain- authen
12、tication-scheme sch1Switch-aaa-domain- accounting-scheme acc1Switch-aaa-domain- radius-server 1Switch-aaa-domain- quitSwitch-aaa quit# 配置为全局默认管理域。Switch domain admin配置VTY用户界面014的认证方式为AAA认证、支持的协议为SSH。Switch user-interface vty 0 4 Switch-ui-vty0-14 authentication-mode aaa Switch-ui-vty0-14 protocol in
13、bound telnetSwitch-ui-vty0-14 user privilege level 15Switch-ui-vty0-14 quitNAStelnet server enable Info: The Telnet server has been enabled.Step 3 创建账号操作-添加账号Step 4登录操作登录成功后,radius服务器上也有日志Step 5 查询与抓包在NAS上通过命令display access-user 可以查看到登录的用户情况还可以通过查询user-id的方式查看详细信息此时的报文如下NAS-Radius Access-request携带客户
14、端的相关参数,其中密码是加密的Radius-NAS Access-Reject密码输错被拒绝Radius-NAS Access-Accpet第二次输入正确,成功接收NAS-Radius Accounting Request开始计时NAS-Radius Accounting Request计时结束在线时长约为5s早期广域网技术概述局域网的范围相对比较有限,广域网是把多个局域网进行互联区域、城市和国家、大洲广域网由运营商进行维护广域网与局域网的区别主要体现在以下几个方面:1.局域网带宽高但是传输距离短,无法满足广域网长距离传输;(但是实际上有了光纤之后,举例可以传输很远)2.局域网设备通常都是交换
15、机,广域网设备大多都是路由器;3.局域网属于某一个单位或者组织,广域网服务大多由ISP提供;4.广域网与局域网一般仅在物理层和数据链路层采用不同的协议或技术,其他层次基本没有差异;5.银行、政府、军队、大型公司的专用网络也属于广域网,且与Internet实现物理隔离;6.Internet只是广域网的一种,小企业借用Internet作为广域网连接。局域网常见协议:802.3、802.11(无线)、以太网II广域网常见的数据链路层标准有:HDLC(High-level Data Link Control,高级数据链路控制)、PPP(Point-to-Point Protocol,点到点协议)、FR
16、(Frame Relay,帧中继)、ATM异步传输模式等,其中:HDLC协议是一种通用的协议,工作在数据链路层。数据报文加上头开销和尾开销后封装成HDLC帧,只支持在点到点的同步链路上的数据传输,不支持IP地址协商与认证,过于追求高可靠性,导致数据帧开销较大,传输效率较低。PPP协议工作在数据链路层,主要用在支持全双工的同、异步链路上,进行点到点之间的数据传输。由于它能够提供用户认证,易于扩充,并且支持同、异步通信,因而获得广泛应用。帧中继是一种工业标准的、交换式的数据链路协议,通过使用无差错校验机制,加快了数据转发速度。ATM是建立在电路交换和分组交换基础上的一种面向连接的交换技术,ATM传
17、送信息的基本载体是53 Byte固定长度ATM信元。网络层及以上无论是广域网还是局域网都是一样的区别是1-2层不同2层ethernet-HDLCPPP1层物理层RJ45-RS232V.24这个是一个很典型的MPLS的拓扑可以看出CE设备是傻白甜,正常运行就行了,PE设备要做很多的事,例如如何甄别不同企业的相同私网地址段?P设备不连接任何的CE,只要做简单的路由转发就好PPP协议原理与配置PPP协议原理0. HUAWEI设备的串行口,默认使用PPP协议1.PPP属于数据链路层,并且在全双工的P2P上工作,与Ethernet同一层次2.提供了认证协议族PAPCHAP,以太网没有 3.扩展性好,PP
18、PoE,以太网没有安全认证,就可以用PPPoEPPP链路接口状态机阶段1:链路建立阶段刚开始物理层不可用,处于Dead阶段当物理层可用时,进入Established阶段。在Establish阶段,进行LCP协商:协商通信双方的MRU(Maximum Receive Unit,最大接收单元)、认证方式和魔术字(Magic Number)等选项。协商成功后进入LCP Opened状态,表示底层链路已建立。阶段2:认证阶段用户认证阶段是可选的。如果配置了用户认证,就进入认证阶段。在认证阶段可以选择PAP认证或者CHAP认证。认证通过后,进入Network阶段。阶段3:网络层协议阶段PPP完成前面的阶
19、段后,每一个网络层协议(例如IP、IPX或者AppleTalk)必须通过各自相应的NCP分别进行协商。NCP协商支持IPCP协商,IPCP协商主要包括双方的IP地址。当一个NCP处于NCP Opened状态时,该网络层协议就可以通过这条链路发送报文了。LCP阶段LCP格式Flag字段标识一个物理帧的起始和结束,该字节为二进制序列01111110(0X7E)。PPP帧的Address字段字节固定为11111111 (0XFF),是一个广播地址。PPP数据帧的Control字段默认为00000011(0X03),表明为无序号帧。Protocol字段用来说明PPP所封装的协议报文类型,0XC021代
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 13. 广域网 技术 完整
![提示](https://www.taowenge.com/images/bang_tan.gif)
限制150内