RADIUS服务器执行3A配置

AAA 及RADIUS 协议配置一、aaa 及radius 协议简介1. aaa 的功能aaa 是authentication（认证）、authorization（授权）和accounting（计费）的简称。

它提供对用户进行认证、授权和计费三种安全功能。

具体如下：a、认证（authentication）：认证用户是否可以获得访问权，确定哪些用户可以访问网络。

b、授权（authorization）：授权用户可以使用哪些服务。

c、计费（accounting）：记录用户使用网络资源的情况。

aaa 一般采用客户／服务器结构，客户端运行于被管理的资源侧，服务器上则集中存放用户信息。

这种结构既具有良好的可扩展性，又便于用户信息的集中管理。

计费网关主要使用aaa 中的认证功能对终端用户进行认证管理。

2. radius 协议（1） radius 简介radius 是remote authentication dial-in user service（远程认证拨号用户服务）的简称，最初由livingston enterprise 公司开发，作为一种分布式的客户机／服务器系统，能提供aaa 功能。

radiu s 技术可以保护网络不受未授权访问的干扰，常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中（如用来管理使用串口和调制解调器的大量分散拨号用户）。

radius 服务包括三个组成部分：a、协议：rfc2865、2866 协议基于udp／ip 层定义了radius 帧格式及消息传输机制，并定义了1812 作为认证端口，1813 作为计费端口。

b、服务器：radius 服务器运行在中心计算机或工作站上，包含了相关的用户认证和网络服务访问信息。

c、客户端：位于拨号访问服务器nas（network access server）侧，可以遍布整个网络。

radius 基于客户／服务器模型，nas（如路由器）作为radius 客户端，负责传输用户信息到指定的r adius 服务器，然后根据从服务器返回的信息进行相应处理（如接入／挂断用户）。

AAA(认证、授权、计费)配置步骤：1.创建域：domain +name2.配置认证方案：authentication +？（可以同时配置radius-scheme（或TACACS+）和local认证方案，但是如果是local或none为第一方案，则不能采用其他认证方案）3.配置授权方案：authorization+？（后面参数与认证一样）4.配置计费方案：accounting+？（后面参数与上面一直）Accounting optional 计费可选Domain default enable +name 配置默认域（系统默认为system）Radius配置配置radius方案：radius scheme +name配置主备认证服务器和计费服务器：Primary authentication / accounting +ipSecondary authentication / accounting +ip配置nas-ipNas-ip +ip或radius nas-ip +ip在不配置时，系统以发送报文的出接口地址为nas-ip，在存在多个出接口的请款下建议配置nas-ip。

配置认证计费密钥Key authentication | accounting +密码配置用户名格式(默认带域名的)User-name-format（with-domain | without-domain）配置服务器类型（默认为standard）Server-type standard|extended 标准的即不带私有属性NAS可以理解为向服务器发起认证的设备，如百度移信的胖ap里的配置，nas-ip就配置成ap的管理地址记得修改默认域。

AAA配置与管理一、基础1、AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是网络安全的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于用户进行认证、授权、计费的，而NAC方案是基于接入设备接口进行认证的。

在实际应用中，可以使用AAA的一种或两种服务。

2、AAA基本架构：C/S结构，AAA客户端（也叫NAS-网络接入服务器）是使能了aaa功能的网络设备（可以是一台或多台、不一定是接入设备）3、AAA基于域的用户管理：通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板，相当于对用户进行分类管理缺省情况下，设备存在配置名为default（全局缺省普通域）和default_admin（全局缺省管理域），均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域（如http、ssh、telnet、terminal、ftp用户）的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是@、|、%等符号，域，如果用户名不带@，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA 服务器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。

定义UDP1812、1813作为认证（授权）、计费端口Radius服务器维护三个数据库：Users:存储用户信息（用户名、口令、使用的协议、IP地址等）Clients:存储radius客户端信息（接入设备的共享密钥、IP地址）Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

用免费radius软件实现设备AAA管理最近一个项目，客户没钱买ACS，却要求做AAA的认证，要求管理员登录时采用AAA，无奈之下找到freeradius来实现1、在网上下载一个freeradius for win，并安装完毕2、在freeradius上配置C:\freeradius\etc\raddb下先改动clients.conf，users.conf在clients.conf添加cisco设备IP地址和相关keyclient 10.6.6.0/24{##secret and password are mapped through the "secrets" file.secret=key4ciscoshortname= ciscoap1240ag## the following three fields are optional, but may be used by## checkrad.pl for simultaneous usage checksnastype= cisco#login= !root#password= someadminpas}在users.conf中添加设备需要的管理员和一般用户radiusadmin Auth-Type := Local,Cleartext-Password := "radiusadmin"Service-Type =NAS-Prompt-User,cisco-avpair = "shell:priv-lvl=15"radiususerAuth-Type := Local, Cleartext-Password := "radiususer"Service-Type = NAS-Prompt-User,cisco-avpair = "shell:priv-lvl=1"在freeradius命令行下用freeradius.exe–X ../etc/raddb调试freeradius的启动直到出现以下信息才算正常Listening on authentication *:1812Listening on accounting *:1813Ready to process requests.最后在cisco设备上配置如下enable secret password-for-con-loginaaa new-modelaaa authentication login default group radiuslocal创建缺省的认证，先radius认证，radius 服务器无效的情况下再本地认证，注意radius认证失败不会本地认证aaa authentication login con0login none 指定控制口登陆不要radius认证aaa authorization exec default group radius localaaa authorization network default group radius localaaa accounting delay-startaaa accounting exec default start-stop group radiusaaa accounting network default start-stop group radiususername admin-password-for-locallogin password password-for-locallogin设定本地认证，radius无效的情况下使用p radius source-interface interface-for-radius设定radius认证地址，必须与client.conf 相同radius-server host10.6.6.247auth-port 1812acct-port 1813 key password-for-radius 设定radius认证信息，必须与client.conf相同line con 0login authentication con0login 设定认证方式line vty 5 15login authentication default然后就可以使用radius来做网管管理了。

3.1 AAA及多台Radius冗余设置全局设置AAA认证和授权、Radius、启用802.1x，通过telnet命令行登录到交换机上，进入特权模式，配置交换机对RADIUS服务器的支持；运行configure terminal进入到全局配置模式，运行以下命令!!启用AAAaaa new-model!!创建缺省的登录认证方法列表，采用line password认证。

aaa authentication login default line none!!创建EoU认证方法列表, group radius表示使用Radius服务进行认证!!如果不做EoU认证，不需要下面这条命令aaa authentication eou default group radius!!!! Local method用于所有AAA服务器都Down之后，采用AAA down Policy所需aaa authorization network default group radius local!!指定radius服务器IP地址和安全字，可以配置多个做备份!!test01为网络设备发送给Radius的测试用“用户名”，可以更改!!idle-time 3表示网络设备隔多长时间给Radius发送一次Test01radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 test username test01 idle-time 3 key radiuskeyradius-server host 192.168.1.205 auth-port 1812 acct-port 1813 test username test01 idle-time 3 key radiuskey!!将dead的Radius的优先级降低，缺省情况下不调整优先级别!!当已经发现第一个Radius dead时，如果有认证请求，直接将认证包发给第二个radius-server retry method reorder!!指定网络交换机向radius服务器的认证包的重传次数，缺省值为3!! 减少该值有可以更快地切换到下一台Radius服务器来做认证radius-server retransmit 3!!指定认证包的超时，缺省为5秒radius-server timeout 3!!交换机发给Radius时，把终端的IP包含在数据包中radius-server attribute 8 include-in-access-reqradius-server vsa send authentication!!AAA dead detection设置!!time 5指5秒内Radius不响应算作无应答，tries 3指连续3次request没有应答!!配置dead-criteria之前，必须配置radius-server deadtime命令!! The tries parameter should be the same as the number of retransmission attempts radius-server dead-criteria time 5 tries 3!!设置deadtime为3分钟，3分钟后网络设备会再次尝试radius-server deadtime 3这样就启动了交换机上对RADIUS服务器的支持；3.2交换机/路由器上EOU设置及AAA down配置Cisco 3750G交换机上配置基于EoU的NAC-L2-IP!!创建EoU认证方法列表, group radius表示使用Radius服务进行认证aaa authentication eou default group radius!! Local method用于所有AAA服务器都Down之后，采用AAA down Policy所需aaa authorization network default group radius local!!创建ip准入控制名称(NAC-L2-IP是名称，可以自己任意指定),Event之后为可选!!down_polciy指定在AAA Server全部Down的情况下，如何控制终端的访问ip admission name NAC-L2-IP eapoudp event timeout aaa policy identity down_policy!!AAA down policy所需identity policy down_policyaccess-group down_acl!!AAA server down时，允许终端访问的资源ip access-list extended down_aclpermit ip any any!!启动网络设备的设备追踪功能ip device tracking!!配置一些EoU的参数!!允许网络设备将无代理的设备的信息发送到Radius服务器进行认证（根据IP、Mac地址）eou allow clientless!!设置重传的超时和次数。

使用RADIUS协议实现AAA
孙轲
【期刊名称】《科教文汇》
【年(卷),期】2007(000)011
【摘要】AAA是一种管理框架,因此,它可以用多种协议来实现.在实践中,人们最常使用RADIUS协议来实现AAA.RADIUS服务包括三个组成部分:协议、服务器、客户端.RADIUS通过管理一个简单的用户数据库来对用户进行认证,授权和计费,并可以根据用户的服务类型和权限来调整用户的服务信息.用户通过NAS(Network Access Server)把认证和计费请求传递给RADIUS服务器.RADIUS能保护网络不受未授权访问的干扰,作为一种分布式的客户机/服务器系统,能提供AAA功能.常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中.
【总页数】2页(P189-190)
【作者】孙轲
【作者单位】安徽工业经济职业技术学院,安徽·合肥,230051
【正文语种】中文
【中图分类】G30
【相关文献】
1.采用RADIUS协议的AAA系统的研究 [J], 李斌祥
2.基于RADIUS协议的校园网AAA系统研究 [J], 孟敏;周临震
3.RADIUS协议在AAA系统中的应用研究 [J], 王军号;陆奎
4.基于RADIUS协议的AAA服务器设计及其在移动IP中的应用研究 [J], 张晓伟;施亮;吴智铭
5.浅谈RADIUS协议在中小型企业AAA系统中的应用 [J], 黄新华
因版权原因，仅展示原文概要，查看原文内容请购买。

AAA配置实例+注解cisco上配置AAA，AAA是指用使用Authentication、Authorization、Accounting三种功能对要管理交换机的用户做控制。

Authentication(认证)：对用户的身份进行认证，决定是否允许此用户访问网络设备。

Authorization（授权）:针对用户的不同身份，分配不同的权限，限制每个用户的操作Accounting（计费）：对每个用户的操作进行审计和计费我们一般使用TACACS+、RADIUS协议来做cisco设备的AAA。

RADIUS是标准的协议，很多厂商都支持。

TACACS+是cisco私有的协议，私有意味只有cisco可以使用，TACACS+增加了一些额外的功能。

当用户的身份被认证服务器确认后，用户在能管理交换机或者才能访问网络；在访问设备的时候，我们可以针对这个用户授权，限制用户的行为；最后我们将记录用在设备的进行的操作。

在认证的时候，有一下这些方法：1.在交换机本地进行用户名和密码的设定，也就是在用户登录交换机的收，交换机会对比自己的本地数据库，查看要登录的用户所使用的用户名和密码的正确性。

2.使用一台或多台（组）外部RADIUS服务器认证3.使用一台或多台（组）外部TACACS+服务器认证用一个配置实例，说明交换机上操作username root secret cisco#在交换机本地设置一个用户，用户名是root，密码是cisco。

aaa new-model#在交换机上激活AAAaaa authentication login default group tacacs+local#设置一个登录交换机是认证的顺序，先到tacacs+服务器认证，如果tacacs+服务器出现了故障，不能使用tacacs+认证，我们可以使用交换机的本地数据库认证，也就是用户名root密码ciscoaaa authorization exec default group tacacs+if-authenticated#如果用户通过了认证，那么用户就能获得服务器的允许，运行交换机的EXEC对话aaa authorization commands15default group tacacs+local#在任何权限在使用交换机命令式都要得到tacacs+服务器许可，如果tacacs+出现故障，则要通过本地数据库许可aaa accounting exec default start-stop group tacacs+#记录用户进去EXEC对话的认证信息、用户的地址和对话的开始时间持续时间，记录的过程是从开始到结束aaa accounting commands1default start-stop group tacacs+ aaa accounting commands15default start-stop group tacacs+!tacacs-server host192.168.1.1#定义tacacs服务器地址是192.168.1.1tacacs-server key cisco#定义交换机和tacacs服务器之间通信中使用的key为ciscoline vty04login authentication defaultauthorization exec defaultaccounting exec default最近在搭建公司的ACS，总结了一些经验写在这里。

H3C-RADIUS配置⽬录1 AAA配置1.1 AAA简介1.2 RADIUS协议简介1.2.1 客户端/服务器模式1.2.2 安全和认证机制1.2.3 RADIUS的基本消息交互流程1.2.4 RADIUS报⽂结构1.2.5 RADIUS扩展属性1.3 HWTACACS协议简介1.3.1 HWTACACS协议与RADIUS协议的区别1.3.2 HWTACACS的基本消息交互流程1.4 协议规范1.5 AAA配置任务简介1.6 配置AAA1.6.1 配置准备1.6.2 创建ISP域1.6.3 配置ISP域的属性1.6.4 配置ISP域的AAA认证⽅案1.6.5 配置ISP域的AAA授权⽅案1.6.6 配置ISP域的AAA计费⽅案1.6.7 配置本地⽤户的属性1.6.8 配置⽤户组的属性1.6.9 配置强制切断⽤户连接1.6.10 AAA显⽰与维护1.7 配置RADIUS1.7.1 创建RADIUS⽅案1.7.2 配置RADIUS认证/授权服务器1.7.3 配置RADIUS计费服务器及相关参数1.7.4 配置RADIUS报⽂的共享密钥1.7.5 配置RADIUS报⽂的超时重传次数最⼤值1.7.6 配置⽀持的RADIUS服务器的类型1.7.7 配置RADIUS服务器的状态1.7.8 配置发送给RADIUS服务器的数据相关属性1.7.9 配置RADIUS服务器的定时器1.7.10 配置RADIUS服务器的安全策略服务器1.7.11 使能RADIUS客户端的监听端⼝1.7.12 RADIUS显⽰和维护1.8 配置HWTACACS1.8.1 创建HWTACACS⽅案1.8.2 配置HWTACACS认证服务器1.8.3 配置HWTACACS授权服务器1.8.4 配置HWTACACS计费服务器1.8.5 配置HWTACACS报⽂的共享密钥1.8.6 配置发送给HWTACACS服务器的数据相关属性1.8.7 配置HWTACACS服务器的定时器1.8.8 HWTACACS显⽰和维护1.9 AAA典型配置举例1.9.1 Telnet/SSH⽤户通过RADIUS服务器认证、授权、计费的应⽤配置1.9.2 FTP/Telnet⽤户本地认证、授权、计费配置1.9.3 PPP⽤户通过HWTACACS服务器认证、授权、计费的应⽤配置1.10 AAA常见配置错误举例1.10.1 RADIUS认证/授权失败1.10.2 RADIUS报⽂传送失败1.10.3 RADIUS计费功能异常1.10.4 HWTACACS常见配置错误举例1 AAA配置1.1 AAA简介AAA是Authentication、Authorization、Accounting（认证、授权、计费）的简称，是⽹络安全的⼀种管理机制，提供了认证、授权、计费三种安全功能。

A A A典型配置举例用户的RADIUS认证和授权配置1.组网需求如所示，SSH用户主机与Router直接相连，Router与一台RADIUS服务器相连，需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。

由一台iMC服务器（IP地址为）担当认证/授权RADIUS服务器的职责；Router与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813；Router向RADIUS服务器发送的用户名携带域名；SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证，认证通过后具有缺省的用户角色network-operator。

2.组网图图1-12SSH用户RADIUS认证/授权配置组网图3.配置步骤(1)配置RADIUS服务器（iMC PLAT ）下面以iMC为例（使用iMC版本为：iMC PLAT (E0101)、iMC UAM (E0101)），说明RADIUS 服务器的基本配置。

#增加接入设备。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。

设置与Router交互报文时使用的认证、计费共享密钥为“expert”；设置认证及计费的端口号分别为“1812”和“1813”；选择业务类型为“设备管理业务”；选择接入设备类型为“H3C”；选择或手工增加接入设备，添加IP地址为的接入设备；其它参数采用缺省值，并单击<确定>按钮完成操作。

添加的接入设备IP地址要与Router发送RADIUS报文的源地址保持一致。

缺省情况下，设备发送RADIUS报文的源地址是发送RADIUS报文的接口IP地址。

若设备上通过命令nas-ip或者radius nas-ip指定了发送RADIUS报文的源地址，则此处的接入设备IP地址就需要修改并与指定源地址保持一致。

H3C交换机AAA配置一、RADIUS相关配置【必要命令】系统视图[H3C] dot1x注：启用dot1x认证[H3C] dot1x authentication-method eap注：设置dot1x认证方式为EAP[H3C] MAC-authentication注：启用MAC认证[H3C] radius scheme skylark注：新建RADIUS方案[H3C-radius-skylark] primary authentication 10.18.10.223 1812注：设置RADIUS认证服务器地址，默认端口1812[H3C-radius-skylark] primary accounting 10.18.10.223 1813 注：设置RADIUS审计服务器地址，默认端口1812[H3C-radius-skylark] key authentication skylark注：设置交换机与RADIUS认证服务器的通信密码[H3C-radius-skylark] key accounting skylark注：设置交换机与RADIUS审计服务器的通信密码[H3C-radius-skylark] user-name-format without-domain注：交换机发送给RADIUS服务器的用户名验证不带ISP域名[H3C-radius-skylark] nas-ip 10.18.10.254注：当交换机有多个IP时，指定与RADIUS服务器通讯所使用的IP地址[H3C] domain /doc/b65985264.html, 注：在交换机新建ISP域[/doc/b65985264.html,] scheme radius-scheme skylark local注：给ISP域指定验证的RADIUS方案[/doc/b65985264.html,] vlan-assignment-mode string注：设置RADIUS服务器发送的vlan数为字符串型[H3C] domain default enable /doc/b65985264.html,注：设置新建的ISP域为默认域，默认接入终端都通过RADIUS 服务器进行认证[H3C] MAC-authentication domain /doc/b65985264.html,注：指定MAC地址认证的ISP域[H3C] undo dot1x handshake enable注：关闭dot1x的认证握手，防止已认证端口失败端口视图-dot1x认证[H3C] interface Ethernet1/0/10注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/10] port link-type access注：设置端口模式为access[H3C-Ethernet1/0/10] dot1x注：在端口上启用dot1x认证[H3C-Ethernet1/0/10] dot1x port-control auto注：自动识别端口的授权情况[H3C-Ethernet1/0/10] dot1x port-method portbased注：设置端口基于端口认证，当第一个用户认证成功后，其他用户无须认证；若该用户下线后，其他用户也会被拒绝访问[H3C-Ethernet1/0/10] dot1x guest-vlan 3注：设置guestvlan，只有该端口为基于端口认证时支持，基于端口认证时不支持端口视图-MAC认证[H3C] interface Ethernet1/0/11注：进入端口视图（配置所有接入端口）[H3C-Ethernet1/0/11] port link-type access注：设置端口模式为access[H3C-Ethernet1/0/11] MAC-authentication注：在端口上启用MAC认证[H3C-Ethernet1/0/11] MAC-authentication guest-vlan 3注：设置guestvlan，guestvlan只支持一个MAC认证用户接入【可选命令】dot1x认证[H3C] dot1x retry 2注：交换机向RADIUS服务器发送报文的重传次数[H3C] dot1x timer tx-period 2注：交换机向dot1x端口定期多长时间重发报文[H3C] dot1x timer supp-timeout 10注：交换机向客户端发送报文，客户端未回应，多长时间后重发[H3C] dot1x timer server-timeout 100注：交换机向RADIUS服务器发送报文，服务器未回应，多长时间后重发[H3C] dot1x timer reauth-period 7200注：设置重认证间隔检测时间[H3C-Ethernet1/0/10] dot1x re-authenticate注：开启端口重认证功能MAC认证[H3C] mac-authentication timer server-timeout 100注：设置MAC认证交换机等待RADIUS服务器的超时时间二、其他配置【必要命令】SNMP设置作用：收集交换机信息，进行交换机管理[H3C] snmp-agent community write skylark注：设置community密码，用于管理交换机，接收交换机相关信息[H3C] snmp-agent sys-info version all注：设置SNMP支持版本DHCP中继代理（在网关交换机上配置）作用：根据指定IP查找DHCP服务器位置（方法一）[H3C] dhcp-server 0 ip 10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C] interface vlan 2注：进入vlan接口[H3C-interface-vlan2] dhcp-server 0注：配置DHCP中继代理，指向DHCP组（方法二）[H3C] dhcp enable注：开启DHCP功能[H3C] dhcp relay server-group 0 ip 10.18.10.223注：新建DHCP组，设置DHCP服务器地址[H3C] interface vlan 2注：进入vlan接口[H3C-interface-vlan2] dhcp select relay注：设置接口为中继模式[H3C-interface-vlan2] dhcp relay server-select 0注：配置DHCP中继代理，指向DHCP组【可选命令】DHCP SNOOPING作用：保证DHCP服务器合法性，并记录客户端IP和MAC对应关系[H3C] dhcp-snooping注：开启DHCP-SNOOPING安全特性[H3C] interface G1/0/1（某些支持vlan接口）注：进入端口模式（配置级联端口和连接DHCP服务器的端口为信任端口）[H3C-interface-GigabyteEthernet1/0/1] dhcp-snooping trust 注：设置该端口为信任端口，默认其它未设置端口则为不信任端口，丢弃不信任的DHCP报文IP SOURCE GUARD（配合DHCP-SNOOPING使用）作用：在接口上绑定DHCP-SNOOPING表项IP及MAC信息[H3C] interface E1/0/10（某些支持vlan接口）注：进入接口[H3C-interface-Ethernet1/0/10] ip check source ip-address mac-address注：动态绑定DHCP-SNOOPING表项，过滤掉其它非DHCP分配的终端数据相关命令display dhcp-snoopingdisplay ip check source注意：S3100SI不支持IP SOURCE GUARD绑定。

AAA认证一、准备条件1.1windows 虚拟机一台1.2路由器一台（我采用的是CISCO3600）1.3要求windows虚拟机与真机进行连通1.4拓扑如下二、基本配置2.1 WinRadius服务器基本配置第一步、登陆windows 虚拟机，配置IP地址为：192.168.1.7第二步、打开“WinRadius”软件，并解压缩第三步、在解压缩的文件里，打开“”服务，出现如下图所示：“加载账户数据失败”第四步、点击《设置——数据库》出现下图，在点击图中的《自动配置ODBC》第五步、根据上图日志提示：重新启动“WinRadius”服务，服务器启动正常第六步、点击《设置——系统》出现下图，确定认证端口：1812，计费端口：1813第七步、点击《设置——多重密钥》出现下图，其中对于IP[NAS]填写：AAA路由器与交换机的管理地址，采用密钥填写：交换机、路由器与WinRadius服务器之间的认证密钥。

在此，我以路由器192.168.1.1，密钥为123 为例。

最后点击“添加”。

第八步、点击《操作——添加账号》。

此处以用户名：wang ，口令为：wang第九步、查看新增加的账号：wang 《操作——查询——查用户信息》2.2 路由器基本配置首先、对路由器的接口F0/0配置IP地址并激活该端口Router#sh run inter f0/0Building configuration...Current configuration : 96 bytes!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed autoendRouter#其次、测试路由器与WinRadius服务器之间的网络是否正常通讯Router#ping 192.168.1.7Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.7, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/14/36 ms Router#最后、测试路由器与客户机（telnet该路由器的客户端）能否正常通讯Router#ping 192.168.1.8Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.8, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/12/48 msRouter#三、AAA认证配置Router(config)#aaa new-model （启用AAA认证）Router(config)#username xiong password xiong （创建本地用户与口令）aaa authentication login haha group radius local （先进行radius服务器认证，在radius 服务器不可达时，采用本地认证）aaa authentication login hehe none （登陆不进行认证）no radius-server host 192.168.1.7 auth-port 1645 acct-port 1646 （关闭默认的认证、授权端口与审计端口）radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 （改写通用的认证、授权端口与审计端口，同时配置路由器与radius服务器之间的口令123）Router(config)#line vty 0 4Router(config-line)#login authentication haha （当用户telnet该路由器时，调用认证haha进行认证）Router(config-line)#exitRouter(config)#line con 0Router(config-line)#login authentication hehe （当用户con该路由器时，调用认证heh 进行认证）Router(config-line)#end路由器具体配置如下：Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!!aaa new-model!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!!username xiong password 0 xiong!!!!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!aaa new-model!!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!username xiong password 0 xiong!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#四、测试4.1 用客户机telnet该路由器成功（用radius服务器的用户wang进行验证）同时在WinRadius服务器上查看相应的日志4.2 当WinRadius服务器出现异常，我们在用“wang”登陆时，就失败了，同时，只能采用本地账户“xiong”登陆来进行管理该路由器路由器PING不同WinRadius服务器客户机用wang登陆失败采用本地xiong登陆成功五、用密文进行认证Router(config)#enable secret 123456用sh run 查看刚配置的口令enable secret 5 $1$cGdg$Um3fHK8td9KRSKAG.5Lst.把上面记录好的密钥口令保存好，同时要记住它所对应的明文口令在路由器上修改与服务器之间的认证：Router(config)#radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key $1$cGdg$Um3fHK8td9KRSKAG.5Lst.最后，一样正常登陆采用同样的方式对服务器上用户wang的密码进行更换成密文的口令（只要确定在20个字符以内）。

实验三十四：使用RADIUS 协议来实现AAA一、理论基础IEEE 802.1x 标准（以下简称802.1x）的主要内容是一种基于端口的网络接入控制（Port Based Network Access Control）协议。

“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于连接被物理断开。

802.1x 提供了一个用户身份认证的实现方案，但是仅仅依靠802.1x 是不足以实现该方案的，接入设备的管理者还要对AAA 方法进行配置，选择使用RADIUS 或本地认证方法，以配合802.1x 完成用户的身份认证。

AAA是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架，它是对网络安全的一种管理。

其中，认证指的是验证用户是否可获得访问权，授权指的是授权用户可使用哪些服务，计费指的是记录用户使用网络资源的情况。

它对网络安全的访问控制包含如下内容：哪些用户可以访问网络服务器？具有访问权的用户可以得到哪些服务？如何对正在使用网络资源的用户进行计费？AAA 是一种管理框架，因此，它可以用多种协议来实现。

在实践中，人们最常使用RADIUS 协议来实现AAA。

RADIUS 是Remote Authentication Dial-In User Service（远程认证拨号用户服务）的简称，最初由Livingston Enterprise公司开发，能保护网络不受未授权访问的干扰，作为一种分布式的客户机/服务器系统，能提供AAA功能。

常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。

RADIUS服务包括三个组成部分：协议、服务器、客户端。

1.1 验证、授权和记费（AAA）1.1.1 AAA概述AAA概述l验证（Authentication）l授权（Authorization）l计费（Accounting）Quidway Series Router Quidway Series RouterAAA Server本地实现AAA使用服务器实现AAA验证(Authentication)：验证用户身份。

授权(Authorization) ：授权用户可以使用哪些服务。

计费(Accounting)：记录用户使用网络资源的情况，对用户进行计费。

实现AAA功能可以在本地进行，也可以由AAA服务器在远程进行。

计费功能由于占用系统资源大通常都使用AAA服务器实现。

对于用户数量大的情况，验证和授权也应该使用AAA服务器。

AAA服务器与网络设备的通信有标准的协议，目前比较流行的是RADIUS协议。

1.1.2 提供AAA 支持的服务 提供AAA 支持的服务Quidway Series RouterQuidway Series Router Quidway Series RouterEXEC 远程设备FTP Client PPPPPP ：PPP 的PAP 、CHAP 验证的用户。

EXEC ：指通过telnet 登陆到路由器，以及通过各种方式(如console 口，aux 口等)进入到路由器进行配置的操作。

FTP ：通过ftp 登陆到路由器的用户。

1.1.3 验证与授权验证与授权验证授权用户名、口令验证PPP的CHAP验证主叫号码认证服务类型回呼号码隧道属性1、验证用户名、口令验证：包括PPP的PAP验证、PPP的CHAP验证、EXEC用户验证、FTP用户验证。

拨号的PPP用户可以进行主叫号码验证。

2、授权服务类型授权：对一个用户授权提供的服务。

可以是PPP、EXEC、FTP中的一种或几种。

回呼号码：对PPP回呼用户可以设定回呼号码。

隧道属性：配置L2TP的隧道属性。

Radius认证服务器的配置与应用学生姓名：黄浩辉指导老师：龙际珍摘要身份认证是计算机系统的用户在进入系统或访问不同保护级别的系统资源时，系统确认该用户的身份是否真实、合法和唯一的过程。

使用身份认证的主要目的是防止非授权用户进入系统，同时防止非授权用户通过非正常操作访问受控信息或恶意破坏系统数据的完整性。

近年来，越来越多的单位通过身份认证系统加密用户对网络资源的访问，在众多的解决方案中，Radius认证系统的使用最为广泛。

在大量的企业、政府机关、高校，通过Radius认证系统，实现对用户网络访问身份的认证，以决定某一用户是否具有上网权，并记录相关的信息。

本次课程设计在简要介绍身份认证的概念、IEEE 802.x协议、Radius认证系统等基础概念的基础上，用Cisco Packet Tracer模拟Radius服务器的配置与应用。

关键词Radius服务器；认证；授权；Cisco Packet Tracer。

1 引言Internet网络的兴起推动了整个世界信息产业的飞速发展，MODEM的出现为单个网络用户获得网络服务带来了福音，它借助于现有的公用电话交换网，使用户摆脱了上网地理位置的限制，用户可以在任何一个有电话线路的地方拨号连入Internet。

然而，这也给网络服务的提供者(ISP)们提出了一个无法回避的问题，即如何保证远程访问的网络安全。

远程访问控制的安全包含三方面的内容：认证、授权和记费。

“认证”是确认远端访问用户的身份，判断访问者是否为合法的网络用户，常用的办法是以一个用户标识和一个与之对应的口令来识别用户。

“授权”即对不同用户赋予不同的权限，限制用户可以使用的服务，如限制其访问某些服务器或使用某些应用，它避免了合法用户有意或无意地破坏系统。

“记费”记录了用户使用网络服务中的所有操作，包括使用的服务类型、起始时间、数据流量等信息，它不仅为ISP们提供了计费手段，同时也对网络安全起到了监视的作用。

IEEE802.1x协议IEEE802.1x是一个基于端口的网络访问控制协议，该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能，从而实现认证与业务的分离，保证了网络传输的效率。

IEEE802系列局域网（LAN）标准占据着目前局域网应用的主要份额，但是传统的IEEE802体系定义的局域网不提供接入认证，只要用户能接入集线器、交换机等控制设备，用户就可以访问局域网中其他设备上的资源，这是一个安全隐患，同时也不便于实现对局域网接入用户的管理。

IEEE802.1x是一种基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主要是计算机）进行认证和控制。

连接在交换机端口上的用户设备如果能通过认证，就可以访问局域网内的资源，也可以接入外部网络（如Internet）；如果不能通过认证，则无法访问局域网内部的资源，同样也无法接入Internet，相当于物理上断开了连接。

IEEE802.1x协议采用现有的可扩展认证协议（ExtensibleAuthenticationProtocol，EAP），它是IETF提出的PPP协议的扩展，最早是为解决基于IEEE802.11标准的无线局域网的认证而开发的。

虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有两种：一种是以太网交换机的一个物理端口仅连接一个计算机；另一种是基于无线局域网（WLAN）的接入方式。

其中，前者是基于物理端口的，而后者是基于逻辑端口的。

目前，几乎所有的以太网交换机都支持IEEE802.1x协议。

RADIUS服务器RADIUS（RemoteAuthenticationDialInUserService，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。

华为思科设备RADIUS配置教程1.RADIUS配置RADIUS客户端配置：思科设备例子：交换机和路由器的配置：aaa new-modelaaa authentication login auth group radius local //配置登陆认证的优先级radius-server host 139.123.252.245 auth-port 1812 acct-port 1813//配置RADIUS服务器IP地址和端口。

radius-server host 139.123.252.244 auth-port 1812 acct-port 1813radius-server retransmit 3radius-server key ZDBF%51 //配置密码line vty 0 4login authentication auth防火墙PIX的配置：aaa-server radius-authport 1812aaa-server radius-acctport 1813aaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol radiusaaa-server rsa_radius protocol radiusaaa-server auth protocol radiusaaa-server auth (inside) host 192.168.41.226 ZDBF%51 timeout 10aaa-server LOCAL protocol tacacs+aaa-server radius protocol radiusaaa authentication telnet console auth华为设备例子：VRP3.X版本的配置：radius scheme authprimary authentication 192.168.41.226 1812 //配置主用服务器IP地址和端口primary accounting 192.168.41.226 1813 secondary authentication 192.168.41.227 1812 //配置备用服务器IP地址和端口secondary accounting 192.168.41.227 1813 key authentication ZDBF%51 //配置密码key accounting ZDBF%51user-name-format without-domaindomain authscheme radius-scheme auth localaccounting optionaldomain default enable authuser-interface vty 0 4authentication-mode schemeVRP5.X版本的配置：radius scheme authprimary authentication 192.168.41.226 1812 //配置主用服务器IP地址和端口primary accounting 192.168.41.226 1813 secondary authentication 192.168.41.227 1812 //配置备用服务器IP地址和端口secondary accounting 192.168.41.227 1813 key authentication ZDBF%51 //配置密码key accounting ZDBF%51domain authauthentication default radius-scheme auth local //配置AAA 中的认验模式authorization default radius-scheme auth local //配置AAA中的授权模式accounting optionaldomain default enable authuser-interface vty 0 4authentication-mode scheme华为E100、E200和E500的配置：radius-server template authradius-server shared-key ZDBF%51radius-server authentication 192.168.41.226 1812radius-server authentication 192.168.41.227 1812 secondary radius-server accounting 192.168.41.226 1813radius-server accounting 192.168.41.227 1813 secondaryaaalocal-user huawei password cipher N`C55QK<`=/Q=^Q`MAF4<1!!authentication-scheme defaultauthentication-mode radius local#authorization-scheme default#accounting-scheme default#domain defaultradius-server authNETSCREEN设备例子：set auth-server "Local" id 0set auth-server "Local" server-name "Local"set auth-server "radius" id 1set auth-server "radius" server-name "192.168.41.226" set auth-server "radius" backup1 "192.168.41.227"set auth-server "radius" account-type authset auth-server "radius" radius port 1812set auth-server "radius" radius secret "ZDBF%51"set auth default auth server "radius"set admin auth server "radius"set admin privilege read-write。