MA5680T+配置指南01-08 远程管理用户认证

l
l l l
8.2.4 802.1x 简介
简要介绍什么是 802.1x 以及 802.1x 协议的工作原理、体系结构。
什么是 802.1x
802.1x 协议（IEEE Std 802.1x-2001）起源于无线局域网 WLAN（Wireless Local Area Network）的 802.11 协议，主要用于控制无线用户的链路层接入和身份验证。经过扩展 后，802.1x 以使用以太网报文作为承载报文，从而适用于以太网以及其它的有线接入方 式。
l
l
认证系统的端口可以分为：受控端口（Controlled Port）和非受控端口（Uncontrolled Port）。
l
受控端口缺省处于非连通状态，如果该端口通过认证，则受控端口为已认证状态， 可以传送业务报文；如果该端口未通过认证，则受控端口为未认证状态，不能传送 业务报文。 非受控端口始终处于双向连通状态，可以传送认证协议报文。
802.1x 工作原理
802.1x 对基于端口的网络接入控制（Port Based Network Access Control）进行了定义。 其主要思路是：接入设备需要提供对接入端口（物理端口或逻辑端口）进行控制的功 能，在用户通过认证之前，端口处于关闭状态，连接在该类端口上的用户不可以获取网 络资源；如果用户通过认证，端口打开，用户可以访问权限范围内的网络资源。
802.1x 体系结构
802.1x 系统定义了三个功能实体：请求者系统、认证系统、认证服务器。
8-4 华为技术有限公司 文档版本 02 (2007-11-15)
MA5680T 配置指南
l
8 远程管理用户认证
请求者系统一般为用户端设备（如：PC），用户端设备需要安装支持 802.1x 客户 端软件，通过客户端软件发起认证和退出认证。 认证系统对请求者的请求进行认证，认证系统通常为支持 802.1x 协议的网络设备， 为请求者提供服务端口，该端口可以是物理端口也可以是逻辑端口，一般在用户接 入设备上实现 802.1x 证。 认证服务器是为认证系统提供认证服务的实体，802.1x 认证服务器系统一般驻留在 运营商的 AAA 中心。
文档版本 02 (2007-11-15)
华为技术有限公司
8-1
8 远程管理用户认证
MA5680T 配置指南
8.1 远程管理用户认证概述
简要介绍什么是远程管理用户认证，以及 MA5680T 远程管理用户认证的实现方式。
业务描述
远程管理用户认证功能是指 MA5680T 设备对远程登录的管理用户进行认证的功能，即 只有通过认证的管理用户才能登录到设备，对设备进行维护和管理。
8-2 华为技术有限公司 文档版本 02 (2007-11-15)
MA5680T 配置指南
8 远程管理用户认证
AAA 的优点
AAA 一般采用服务器－客户端结构：服务器上集中存放用户信息，客户端运行于被管 理的资源侧。 AAA 框架具有如下的优点：
l l l l
具有良好的可扩展性。 可以使用标准化的认证方法。 容易控制，便于用户信息的集中管理。 可以使用多重备用系统来提升整个框架的安全系数。
SCU Modem
MA5680T
PC
数据规划
远程管理用户认证配置数据规划如表 8-1 所示。 表 8-1 远程管理用户认证配置数据规划表 配置项 远端用户 数据 802.1x 认证方式：EAP 终结 AAA 认证方式：RADIUS 认证 用户端口：0/2/0 VLAN：10 上行口 0/19/0 VLAN：10 主用 RADIUS 服务器 IP 地址 备用 RADIUS 服务器 IP 地址 10.10.10.1 20.20.20.1
8-6
华为技术有限公司
文档版本 02 (2007-11-15)
MA5680T 配置指南
8 远程管理用户认证
配置项 RADIUS 服务器
数据 认证端口号：1812 计费端口号：1813
8.2.1 AAA 简介
简要介绍什么是 AAA 以及 AAA 的优点。
什么是 AAA
AAA 是 Authentication、Authorization and Accounting（认证、授权和计费）的简称，它 提供了一个用来对认证、授权和计费进行一致性配置的框架，实际上是对网络安全的一 种管理。
业务规格
MA5680T 实现对远程管理用户的认证功能。 MA5680T 通过两种方式实现对远程管理用户的认证：
l
AAA/RADIUS 方式
–
在一个 AAA/RADIUS 框架中，MA5680T 为用户接入设备即 NAS(Network Access Server)，相对于 RADIUS 服务器来说是 RADIUS 客户端。 启动 AAA/RADIUS 功能后，当远程用户登录时，MA5680T 把用户名和密码发 送到 RADIUS 服务器进行验证。 SSH 协议基于客户端/服务器端通信模式，使用 TCP 协议进行交互，在不安全的 网络上实现安全的远程访问。
8.1 远程管理用户认证概述 简要介绍什么是远程管理用户认证，以及 MA5680T 远程管理用户认证的实现方式。 8.2 远程管理用户认证相关概念 简要介绍远程管理用户认证的相关概念，包括 AAA、RADIUS、SSH 和 802.1x。 8.3 配置远程管理用户认证实例 通过本任务对远程管理用户进行 802.1x 认证，用户通过认证后可以通过 MA5680T 设备 访问网络资源。 8.4 配置 RADIUS 介绍 RADIUS 配置，包括创建 RADIUS 服务器模板、设置 RADIUS 服务器的 IP 地址和 端口号、设置 RADIUS 的共享密钥、设置 RADIUS 服务器响应超时时长、设置 RADIUS 请求报文的最大传送次数、设置 RADIUS 服务器的类型、设置发送给 RADIUS 服务器 的用户名格式。 8.5 配置 802.1x 介绍 802.1x 配置，包括配置 802.1x 板、使能端口 802.1x 认证功能、配置端口控制模 式、使能全局 802.1x 认证功能和使能 DHCP 触发认证功能。 8.6 配置 AAA 介绍 AAA 配置，包括配置认证方案、创建域、引用认证方案和引用 RADIUS 服务器模 板。 8.7 配置 SSH 介绍 SSH 配置，包括创建本地 RSA 密钥对、配置 SSH 用户公钥和配置 SSH 用户。
MA5680T 配置指南
8 远程管理用户认证
8
关于本章
说明
远程管理用户认证
介绍了 MA5680T 中远程用户的管理，包括远程用户的认证、授权和计费。
本文档介绍 MA5680T 设备的配置，先进行业务的概述，再以一个或多个实例介绍业务的配置过 程，最后对常用的单个功能进行详细描述，对 MA5680T 设备有一定了解的读者建议直接阅读配 置实例，对 MA5680T 设备不熟悉的读者建议先阅读单个功能的描述。
8.2.2 RADIUS 简介
简要介绍什么是 RADIUS 以及 RADIUS 工作原理。
什么是 RADIUS
如前所述，AAA 是一种管理框架，因此，它可以用多种协议来实现。在实践中，人们 最常使用 RADIUS 协议来实现 AAA。
l
RADIUS（Remote Authentication Dial-In User Service）是远程认证拨号用户服务的 简称，它是一种分布式的、服务器-客户端结构的信息交互协议，常用来管理大量 分散的拨号用户。 RADIUS 通过管理一个简单的用户数据库来对用户进行认证、授权和计费，并可以 根据用户的服务类型和权限来调整用户的服务信息。 用户通过 NAS（Network Access Server）把认证和计费请求传递给 RADIUS 服务 器。
说明
l
l l
NAS 和 RADIUS 之间的认证信息的传递是通过密钥的参与来完成的。用户的密码加密以 后才在网络上传递，以避免用户的密码在不安全的网络上被窃取。 RADIUS 配置只是定义了 NAS 和 RADIUS 服务器之间的一些参数，这些参数是否生 效，还必须在域模式下指定 RADIUS 方案为本配置项，且认证、计费方法都指定 RADIUS 认证、计费。
llRADIUS 源自作原理l当用户想要通过某个网络与 NAS 建立连接从而获得访问其它网络的权利时（或取 得使用某些网络资源的权利），NAS 负责把用户的认证、计费信息传递给 RADIUS 服务器。RADIUS 协议规定了 NAS 与 RADIUS 服务器之间如何传递用户信息和计 费信息。 RADIUS 服务器负责接收 NAS 发送的用户连接请求，对用户的名称和密码完成认 证，并把用户所需的配置信息返回给 NAS。
文档版本 02 (2007-11-15)
华为技术有限公司
8-5
8 远程管理用户认证
MA5680T 配置指南
图 8-1 远程管理用户认证组网图
10.10.10.1 Radius server Radius server
20.20.20.1 Router
A D L F
CON ETH ESC
GE 0/9/0
l
8.3 配置远程管理用户认证实例
通过本任务对远程管理用户进行 802.1x 认证，用户通过认证后可以通过 MA5680T 设备 访问网络资源。
组网图
远程管理用户认证组网如图 8-1 所示。 MA5680T 作为连接 PC 和 RADIUS 服务器的中间设备，支持使用�802.1x ¹性。主用 RADIUS 服务器地址为 10.10.10.1，备用 RADIUS 服务器地址为 20.20.20.1。认证和计费 端口分别是 1812 和 1813，�802.1x®¤证方式为 EAP 终结，AAA 认证模式为 RADIUS 认证。
RFC 文档
IETF 定义了 SSH 的 RFC 文档，RFC 定义的 SSH 协议目前主要有两个版本：
l l
SSHv1.5：SSHv1.5 制定的比较早，目前大部分 SSH 实现都支持它。 SSHv2：SSHv2 更加规范严谨，增强了安全性，并添加了文件传输功能。
SSH 协议的优势
SSH 协议基于服务器－客户端通信模式，使用 TCP 协议进行交互，实现在不安全的网 络上实现安全的远程访问。相对 Telnet 协议的优势如下：
–
l
SSH（Secure Shell）方式
–
8.2 远程管理用户认证相关概念
简要介绍远程管理用户认证的相关概念，包括 AAA、RADIUS、SSH 和 802.1x。 8.2.1 AAA 简介 简要介绍什么是 AAA 以及 AAA 的优点。 8.2.2 RADIUS 简介 简要介绍什么是 RADIUS 以及 RADIUS 工作原理。 8.2.3 SSH 简介 简要介绍什么是 SSH 以及 SSH 协议的优势。 8.2.4 802.1x 简介 简要介绍什么是 802.1x 以及 802.1x 协议的工作原理、体系结构。
l l
支持使用 Password、RSA 公钥算法对客户端进行身份验证。 支持使用 DES（Data Encryption Standard）、3DES、AES(Advanced Encryption Standard)等算法对会话数据进行加密。 SSH 客户端与服务器端通讯时，用户名及口令均进行了加密，有效防止对口令的窃 听。 SSH 服务对传输的数据进行加密，保证数据的安全性和可靠性。 支持对服务器的身份验证。 支持使用 MD5、SHA 算法对会话数据进行完整性鉴别，保证会话报文的真实性， 防止报文在传输过程中被人恶意篡改。尤其是对 RSA 验证方式的支持，根据非对 称加密体系的加密原则，通过生成公钥和私钥，实现密钥的安全交换和对服务器身 份的验证，最终实现了安全的会话全过程。
8.2.3 SSH 简介
简要介绍什么是 SSH 以及 SSH 协议的优势。
文档版本 02 (2007-11-15)
华为技术有限公司
8-3
8 远程管理用户认证
MA5680T 配置指南
什么是 SSH
SSH（Secure Shell）通过提供认证、加密和鉴权来保证网络通信的安全性。用户通过一 个不能保证安全的网络环境远程登录到路由器时，SSH 特性可以提供安全的信息保障和 强大的认证功能，以保护 MA5680T 不受诸如 IP 地址欺诈、明文密码截取攻击等影响。