网络接入控制——用户身份识别与接入认证
AAA
AAA(Authentication认证,Authorization授权,Account计费)顾名思义提供认证,授权,计费三种功能,常见用于实现AAA的协议有RADIUS,HWTACACS,LDAP,AD其采用C/S架构,客户端用于验证和管理用户接入,服务器端对用户进行集中管理。
RADIUS
1.基于UDP,可认证,可授权,可计费
2.1812(1645)认证,1813(1646)计费
3.C/S架构,扩展性好
4.支持PAP和CHAP两种认证模式
PAP:与一般不同,输入的密码储存在Secret Password(密码+MD5(随机数+key)(key由两端共同配置好))
CHAP:服务器将生成一个16b的随机码,CHAPID和HOST name发给用户,用户把CHAPID,随机码和输入的用户密码加以计算发个服务器,服务器查库加密对比
5. 报文类型
Access-Request认证请求包(发起认证请求,客户端发给服务器)
Access-Accept认证接受包(认证成功,服务器发给客户端)
Access-Reject认证拒绝包(认证失败,服务器发给客户端)
Accounting-Request计费请求包(请求开始计费,客户端发给服务器)
Accounting-Response计费响应包(确认收到计费请求包,服务器发给客户端)
HWTACACS
基于TCP,可认证,可授权,可计费
- 一种在TACACS上进行改进的华为私有协议,采用C/S架构协议,使用TCP49端口
- 认证,授权,计费可在不同服务器完成
- 可实现报文全内容加密,安全可靠
LDAP
基于TCP,可认证,可授权,不可计费
- 轻量级目录访问,基于C/S架构
- LDAP目录由条目构成
- CN通用名称:对象名称
- DN区别名:对象位置
- DC域控制器:对象所属位置
- OU组织单元:对象所属组织
AD
基于TCP,可认证,可授权,不可计费
Kerberos(一种采用对称加密的安全传输协议,TCP88)+LDAP=AD认证
- KDC(密钥分配中心):也就是Kerberos服务器,存储了所有客户端的密码和账户信息,KDC由AS和TGS组成
- AS(认证服务器):提供访问TGS的凭证Ticket
- TGS(票据授予服务器):提供访问AD服务器的凭证Ticket
- LDAP服务器
- 一般情况下Kerberos服务器与LDAP服务器部署于同一台设备
本地认证授权
可认证,可授权,不可计费
- 接入设备就是认证设备
- 支持授权VLAN,业务方案,用户组
- Admin-user privilege lever:管理员级别
- UCL:用户组
- ………………速度快,成本低,硬件要求高
接入认证
802.1X认证
又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。
EAPOE是一种采用C/S架构,一般需要下载客户端进行认证,最常见的就是INODE
- 二层协议,不必通过三层,因此可能出现先认证后分配IP
- EAP中继和EAP终结
EAP中继:直接封装到Radius进行转发,服务器需支持EAP
EAP终结:处理转化发送Radius报文
- 下线
主动请求下线,强制下线,超时下线
Portal认证
1.Web认证先得IP后认证,主动认证和重定向认证
2.基于Portal协议的认证任何操作都需经过Portal服务器,基于HTTP/HTTPS的不需要经过
MAC认证
1.应对需要上网的哑终端,如打印机,监控
2.认证分为PAP和CHAP
PAP:设备将MAC地址、共享密钥、随机值依次排列顺序后,经过MD5加密后封装在属性名User-Password中
CHAP:设备将CHAP ID、MAC地址、随机值依次排列顺序后,经过MD5加密后封装在属性名CHAP-Password和CHAP-Challenge中
总结
常见混合:
MAC优先的Portal认证
MAC与802.1x认证混合
原文地址:https://blog.csdn.net/VVVVWeiYee/article/details/144040940
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!