本地实现AAA
使用服务器实现AAA
21
提供AAA支持的服务
PPP
远程设备
Quidway Series Router
EXEC
Quidway Series Router
FTP Client
Quidway Series Router
22
验证与授权
验 证
用户名、口令验证
授 权
服务类型 回呼号码 隧道属性
38
本章总结

安全特性概述

AAA服务

RADIUS服务器
39
华为3Com技术有限公司
华为3Com公司网址: 华为3Com技术论坛网址:
配置RADIUS服务器


radius server { hostname | ip-address } [authentication-port port-number ] [accouting-port port-number ]

radius shared-key string

配置重传参数

radius-server retransmit radius-server timeout

配置实时计费

radius-server realtime-acct-timeout
35
RADIUS配置举例
启用AAA


[Quidway] aaa-enable

配置PPP用户的缺省验证方发表

[Quidway] aaa authentication-scheme login default radius local
PPP的CHAP验证
主叫号码认证
23
计费及AAA使用特别提醒
记录用户使用资源 情况 只能使用AAA服务器进行计费 对于进行了验证的用户缺省都要进行计费 如果不希望计费一定钥配置如下命令：


aaa accounting-scheme optional
24
AAA基本配置命令
配置命令


对于接入服务用户，设定特定的过滤属性
9
信息隐藏
地址转换


隐藏私网内部地址 仅仅是内部用户可以直接发起建立连接请求

应用场合

内部局域网访问Internet
10
数据加密和防伪
数据加密


利用公网传输数据不可避免的面临数据窃听的问题 传输之前进行数据加密，保证只有与之通信的对端能够解密

18
组建安全的VPN
出差员工通过当地的ISP接入到Internet，进而接入公司总部 办事处及分支机构通过 GRE 和 IPSec 实现与总部间的互联，数 据采取加密传输
RADIUS服务器

PSTN
重要客户 Quidway A8010 Quidway VPN网关
Quidway VPN网关 合作伙伴

方法表

5种有效组合：radius、local、none、radius local、radius none
25
本地用户数据库
用户名 本地用户数据库 用 用户口令 户 相关命令 授权服务 主叫号码 回呼号码 Local-user Display aaa user 据 FTP授权目录
数
26
AAA配置举例
36
RADIUS配置举例（续）
配置RADIUS服务器密钥、重传次数、超时定时器


[Quidway] radius shared-key this-is-my-secret [Quidway] radius retry 2 [Quidway] radius timer response-timeout 5

aaa-enable aaa accounting-scheme optional aaa authentication-scheme login { default | methods-list }
{ method1 [ method2 ... ] }

aaa authentication-scheme ppp { default | methods-list } { method1 } [ method2 ... ]
3
网络安全概述
网络安全是Internet必须面对的一个实际问题 网络安全是一个综合性的技术 网络安全具有两层含义：


保证内部局域网的安全（不被非法侵入） 保护和外部进行数据交换的安全

网络安全技术的完善和更新
4
网络安全关注的范围
常常从如下几个方面综合考虑整个网络的安全


保护网络物理线路不会轻易遭受攻击 有效识别合法的和非法的用户 实现有效的访问控制

Modem远程配置

对其它路由的身份认证

直接相连的邻居路由器 逻辑连接的对等体

路由信息的身份认证

防止伪造路由信息的侵入
8
访问控制
对网络设备的访问控制


分级保护 不同级别的用户拥有不同的操作权限

基于五元组的访问控制

根据数据包信息进行数据分类 不同的数据流采用不同的策略

基于用户的访问控制
计费结束
计费信息： 会话时长 输入字节数 输入包数 输出字节数 输出包数

计费失败处理
33
RADIUS用户管理
RADIUS协议为标准协议，遵循RADIUS协议的所有服务器可以 互通


用户管理放置在RADIUS服务器端进行，有相应的管理软件

用户可以灵活选用RUDIUS服务器及用户管理软件
34
RADIUS基本配置

将缺省方发表应用到封装了PPP的接口

[Quidway-Serial0]ppp default
authentication-mode
pap
scheme
37
RADIUS包调试信息
协议报文调试信息开关


debugging radius packet

帮助诊断RADIUS故障

观察发送、接受数据包的情况及整个RADIUS包的内容

事件调试信息，观察AAA过程

debugging radius event
28
RADIUS概述
RADIUS (Remote Authentication Dial-in User Service)是当前 流行的安全服务器协议


实 现 AAA （ 授 权 Authorization 、 验 证 Authentication 和 计 费 Accounting）功能


保证内部网络的隐蔽性
有效的防伪手段，重要的数据重点保护 对网络设备、网络拓扑的安全管理


病毒防范
提高安全防范意识
5
网络安全的必要技术
针对网络存在的各种安全隐患，安全路由器必须具有如下安全 特性：


可靠性和线路安全 身份认证


访问控制
信息隐藏 数据加密和防伪

安全管理
6
可靠 性和线路安全
12
Quidway路由器的安全技术
AAA （ Authentication ， Authorization ， Accounting ）网络安全 服务


提供一个实现身份认证的主框架

提供验证、授权、记帐服务

使用RADIUS等协议实现对网络的访问控制
13
Quidway路由器的安全技术（续）
包过滤技术
公司总部
19
课程内容
第一章 安全特性概述 第二章 AAA
第三章 RADIUS
20
AAA概述
验证（Authentication） 授权（Authorization） 计费（Accounting）

Quidway Series Router
Quidway Series Router
AAA Server
IPSec和IKE技术


IPSec（IP Security）可以实现数据的加密以及防伪，可以使在不 安全的线路上传输加密信息，形成“安全的隧道”。可以为用户 在Internet上提供安全的VPN解决方案。

IKE（密钥交换协议）为通信双方提供交换密钥等服务，IKE定义
了通信双方进行身份认证、协商加密算法以及生成共享的会话密 钥的方法。并且保证永远不在不安全的网络上直接传送密钥，而 是通过一系列交换信息计算密钥。
启动AAA


[Quidway] aaa-enable

配置PPP用户的缺省验证方法表

[Quidway] aaa authentication-scheme login default local

配置不计费时仍然允许用户访问

[Quidway] aaa accounting-scheme optional
29
RADIUS实现AAA的流程
Quidway Series Router
AAA Server
用户上网 授权并允许用户上网
验证请求 验证授权通过 计费开始请求 计费开始应答
用户下网
计费结束请求 计费结束应答
30
RADIUS结构及基本原理

RADIUS 协议采用客户机 / 服务器（ Client/Server ）结构，使用
HM-043 网络安全特性
ISSUE 4.0
华为3Com培训中心