aaa是什么意思啊?
AAA服务器
AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为:
1、 验证(Authentication): 验证用户是否可以获得访问权限;
2、 授权(Authorization) : 授权用户可以使用哪些服务;
3、 记账(Accounting) : 记录用户使用网络资源的情况。
目前RADIUS(Remote Authentication Dial In User Service)协议是唯一的AAA标准,在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ,计费端口是1813。
RADIUS协议的主要特点
概括的来说,RADIUS 的主要特点如下:
1、 客户/服务模式(Client/Server)
RADIUS是一种C/S结构的协议,它的客户端最初就是网络接入服务器NAS(Network Access Server),现在运行在任何硬件上的RADIUS客户端软件都可以成为RADIUS的客户端。客户端的任务是把用户信息(用户名,口令等)传递给指定的RADIUS服务器,并负责执行返回的响应。
RADIUS服务器负责接收用户的连接请求,对用户身份进行认证,并为客户端返回所有为用户提供服务所必须的配置信息。
一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。
2、 网络安全
客户端和RADIUS服务器之间的交互经过了共享保密字的认证。另外,为了避免某些人在不安全的网络上监听获取用户密码的可能性,在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的。
3、 灵活的认证机制
RADIUS服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后,RADIUS服务器可以支持点对点的PAP认证(PPP PAP)、点对点的CHAP认证(PPP CHAP)、UNIX的登录操作(UNIX Login)和其他认证机制。
4. 扩展协议
所有的交互都包括可变长度的属性字段。为满足实际需要,用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性。
RADIUS的工作过程
RADIUS协议旨在简化认证流程。其典型认证授权工作过程是:
1、用户输入用户名、密码等信息到客户端或连接到NAS;
2、客户端或NAS产生一个“接入请求(Access-Request)”报文到RADIUS服务器,其中包括用户名、口
令、客户端(NAS)ID 和用户访问端口的ID。口令经过MD5算法进行加密。
3、RADIUS服务器对用户进行认证;
4、若认证成功,RADIUS服务器向客户端或NAS发送允许接入包(Access-Accept),否则发送拒绝加接
入包(Access-Reject);
5、若客户端或NAS接收到允许接入包,则为用户建立连接,对用户进行授权和提供服务,并转入6;若
接收到拒绝接入包,则拒绝用户的连接请求,结束协商过程;
6、客户端或NAS发送计费请求包给RADIUS服务器;
7、RADIUS服务器接收到计费请求包后开始计费,并向客户端或NAS回送开始计费响应包;
8、用户断开连接,客户端或NAS发送停止计费包给RADIUS服务器;
9、RADIUS服务器接收到停止计费包后停止计费,并向客户端或NAS回送停止计费响应包,完成该用户的
一次计费,记录计费信息。
流媒体中的AAA系统
AAA服务器是本流媒体系统中非常重要的一个部分,它完成接入认证、授权以及计费的功能。目前,由于RADIUS协议仍然是唯一的AAA协议标准,因此我们的系统中AAA服务器的实现仍采用RADIUS协议,实现RADIUS协议中提供的AAA服务功能。同时系统提供用户和计费信息的存储与管理等功能。
我们的AAA系统主要包括认证、计费服务器外,还包括用户和计费信息的存储、用户和计费策略管理等。在整个AAA系统中,RADIUS服务器之间以及RADIUS认证服务器与客户端通讯遵循RADIUS协议标准;用户信息和计费信息保存在 MySQL 数据库中。
1、 用户认证
用户在申请享受服务时,需要得到用户信息的认证。在本系统中,客户端发送AAA认证数据包给服务器,数据包包含用户ID和password,服务器对数据包进行验证给出结果。验证过程加密传输。
2、 用户服务授权
在本系统中,不同的用户可以享受不同的服务。AAA服务器在通过用户的认证请求后,按照该用户的权限来决定用户是否可以享受申请的服务内容。
3、 服务计费
系统提供基本的计费信息和计费算法,支持一定的计费策略,并保存计费过程产生的中间数据。系统达到实时计费的要求。计费的最小单位为分,并且能够保证用户不会透支费用。
4、 用户信息管理
主要功能包括用户注册、费用管理查询、权限设置等。管理平台可以对用户信息数据库和计费信息数据库进行管理。一般用户只能查询本帐号的基本情况,如用户基本信息和帐户余额,可修改本人的基本信息;管理员能查询和修改用户的基本信息、为用户充值、查询用户余额、完成计费策略的编辑、访问和修改。
8021X认证+DHCP+ACS Server+Windows
8021x简介:
8021x协议起源于80211协议,80211是IEEE的无线局域网协议,制订8021x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802 LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LAN Switch),就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。 随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。 二、8021x认证体系 8021x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。对于无线局域网来说,一个端口就是一个信道。8021x认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许8021x的认证协议报文通过。 实验所需要的用到设备:
认证设备:cisco 3550 交换机一台
认证服务器:Cisco ACS 40 windows
认证客户端环境:Windows 2003
实验拓扑:
实验拓扑简单描述:
在cisco 3550上配置8021X认证,认证请求通过AAA server,AAA server IP地址为:19216810100,认证客户端为一台windows xp ,当接入到3550交换机上实施8021X认证,只有认证通过之后方可以进入网络,获得IP地址。
实验目的:通过本实验,你可以掌握在cisco 交换机如何来配置AAA(认证,授权,授权),以及如何配置8021X,掌握 cisco ACS的调试,以及如何在windows xp 启用认证,如何在cisco 三层交换机上配置DHCP等。。好了,下面动手干活。。
实验过程:
Cisco 3550配置
由于cisco 交换机默认生成树都已经运行,开启生成树的目的为了防止网络发生环路,但是根据portfast的特性,如果交换机的某个接口连接的是路由器或者交换机,就可以启用portfast来加快接口的相应时间,跳过生成树的收敛。并且如果要在接口启用8021x认证,接口要是access模式
配置过程
sw3550(config)#int f0/1
sw3550(config-if)#switchport mode access
//配置f0/1接口永久为接入模式
sw3550(config-if)#spanning-tree portfast
//启用portfast特性(注意下面的警告提示哦)
%Warning: portfast should only be enabled on ports connected to a single
host Connecting hubs, concentrators, switches, bridges, etc to this
interface when portfast is enabled, can cause temporary bridging loops
Use with CAUTION
%Portfast has been configured on FastEthernet0/2 but will only
have effect when the interface is in a non-trunking mode
sw3550(config)#int f0/2
sw3550(config-if)#switchport mode access
sw3550(config-if)#spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single
host Connecting hubs, concentrators, switches, bridges, etc to this
interface when portfast is enabled, can cause temporary bridging loops
Use with CAUTION
%Portfast has been configured on FastEthernet0/2 but will only
have effect when the interface is in a non-trunking mode
sw3550(config-if)#exit
sw3550(config)#int vlan 1
sw3550(config-if)#ip add 192168101 2552552550
//默认的所有的交换机上的所有接口都在vlan 1,给VLAN1配置IP地址,目的是与AAA服务器,19216810100相互ping通,
sw3550(config-if)#no shutdown
00:05:08: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
00:05:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
sw3550(config)#aaa new-model
//全局开启AAA,(AAA默认是关闭的)
sw3550(config)#aaa authentication login default group radius local
//配置登陆验证方式优先用radius,当radius不能提供认证服务,则采用本地认证,认证调用的名称按默认名称default
sw3550(config)#radius-server host 19216810100 key server03
//指定radius Server的IP地址为19216810100,Radius Server与交换机认证的密钥为server03(这里的server03,是我安装ACS 40,在安装过程最后一步定义的密码)
sw3550(config)#aaa authentication dot1x default group radius local
//8021x认证由radius 服务器来完成,当radius不能认证时,由本地认证,这样配置的目的为了备份。如果说radius server服务器“挂了“,还可以用本地认证。
sw3550(config)#aaa authorization network default group radius local
//当认证通过之后,授权用户能接入网络,授权也由radius来完成
sw3550(config)#dot1x system-auth-control
全局下开启dot1x认证功能,然后还需要到具体某个接口下制定认证的方式
sw3550(config-if)#int f0/2
sw3550(config-if)#switchport mode access
sw3550(config-if)#dot1x port-control auto
//当接口下发现有设备接入时,自动进行认证
AUTO是常用的方式,正常的通过认证和授权过程
sw3550(config-if)#dot1x reauthentication 打不出来
//当认证失败,重新认证,直到认证通过
这里还有一些可选的配置,分享给大家,大家在工程中,可以根据自己的实际情况来调整配置 ,我的这次试验正常的配置命令都是用黑色来表示。请大家注意
可选配置:
Switch(config)#interface fa0/3
Switch(config-if)#dot1x reauthentication
Switch(config-if)#dot1x timeout reauth-period 7200
2小时后重新认证
Switch#dot1x re-authenticate interface fa0/3
现在重新认证,注意:如果会话已经建立,此方式不断开会话
Switch#dot1x initialize interface fa0/3
初始化认证,此时断开会话
Switch(config)#interface fa0/3
Switch(config-if)#dot1x timeout quiet-period 45
45秒之后才能发起下一次认证请求
Switch(config)#interface fa0/3
Switch(config-if)#dot1x timeout tx-period 90 默认是30S
Switch(config-if)#dot1x max-req count 4
客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次
Switch#configure terminal
Switch(config)#interface fastethernet0/3
Switch(config-if)#dot1x port-control auto
Switch(config-if)#dot1x host-mode multi-host
默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;
当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口
Switch#configure terminal
Switch(config)#dot1x guest-vlan supplicant
Switch(config)#interface fa0/3
Switch(config-if)#dot1x guest-vlan 2
未得到授权的进入VLAN2,提供了灵活性
注意:1、VLAN2必须是在本交换机激活的,计划分配给游客使用;2、VLAN2信息不会被VTP传递出去
Switch(config)#interface fa0/3
Switch(config-if)#dot1x default
回到默认设置
在cisco的三层交换机上可以配置DHCP,通过DHCP功能,可以给客户端分配IP地址,子网掩码,网关,DNS,域名,租期,wins等
sw3550(config)#ip dhcp pool mu
//定义地址池的名称为DHCP,这里可以随便定义
sw3550(dhcp-config)#network 192168100 /24
//定义要分配给客户端的网段和掩码
sw3550(dhcp-config)#default-router 192168101
//定义分配给客户端的网关
sw3550(dhcp-config)#dns-server 20210222468
//定义DNS地址,可以设置多个DNS
sw3550(dhcp-config)#doamin-name [url]wwwciscocom[/url]
//定义域名为[url]wwwciscocom[/url]
sw3550(dhcp-config)#lease 2
//定义租期为2天
sw3550(config)#ip dhcp excluded-address 192168101 19216810150
//定义不通过DHCP分配的IP地址,也就是排除的地址范围 192168101 19216810150 。
例如说: 192168101
这个地址是我的网关,如果这个地址作为IP 地址分配给客户端,就会造成IP 地址冲突,影响网络的正常通信。所以说做排除是非常有必要的。
sw3550(config)#exit
00:42:57: %SYS-5-CONFIG_I: Configured from console by console
以上完成之后,交换机上所需的配置命令都已完成,下面就到AAA服务器来配置
1,添加认证的用户和密码,左侧面板-单击-User Setup-admin-Add/Edit
单击Add/Edit,在随后的窗口设置admin的密码,我设置用户和密码都相同
2,添加AAA认证Client信息,单击-Network Configuration你可以AAA Client信息和AAA Servers信息
在AAA Clients这栏下面,单击Add Entry
AAA Client Hostname 填写当前交换机的名称
AAA Client IP Address 为当前VLAN1的IP地址,根据你的实际情况,你想对那个VLAN用户采取8021X认证,就填写那个VLAN的IP Address
KEY 为交换机和AAA 服务器的认证的密钥,这里填写的KEY应该要和在交换机配置的 KEY值相同
Authenticate Using 这里选择认证的协议,我选择的Radius。认证的协议也要和在交换机配置的认证方式相同,否则认证失败。填写玩这些信息之后,单击确认即可
R1的名字改为sw重新添加
3,Guoup Setup,配置组的授权,授权用户认证通过之后,能接入网络
在Rdius IETF配置栏目下,找到如下图
注意:064设置对VLAN下面的用户提供认证,065设置认证方式为8021x,081设置为VLAN ID,这里设置为VLAN 1。设置完成之后,单击Submit+Restart
到此AAA服务器设置完成了
在交换机上测试定义的用户和密码能否完成认证
sw3550#test aaa group radius admin admin new-code
User successfully authenticated
如下是:认证客户端windows xp 配置
默认由于windows 操作系统并没有启用8021x认证这个服务,所以第一步,先打开系统服务-开启8021x认证功能
开始-运行-servicesmsc
双击Wired AutOConfig,启动类型:自动
网络邻居-本地连接
这里更改默认认证方式,EAP支持无线认证,这里我们应该选择MD5质询,如图
单击-MD5-质询-确定启用了8021x认证功能
本地连接已经试图去尝试认证了,单击右下角通知区域提示,输入认证的用户名和密码
按图提示,必须输入用户名和密码,方可认证通过,认证通过之后才可以从交换机上获得IP地址等
输入在AAA服务器上定义的用户名和密码admin。如果是你工作组环境就无所谓域的概念,登录到域这项不填,然后单击确定开始进入8021X认证会话阶段。如下图正在验证身份
8021X认证全过程,
整个8021x的认证过程可以描述如下
(1) 客户端向接入设备发送一个EAPoL-Start报文,开始8021x认证接入; (2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;
(3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;
(4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;
(5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证
(7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备
(8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证
(9)RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;
(10) 如果认证通过,用户通过标准的DHCP协议 (可以是DHCP Relay) ,通过接入设备获取规划的IP地址;
(11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;
(12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕
①STA连接无线网络,发起http请求,此请求在会被AC重定向到Portal服务器的WebPortal认证主页上;
②用户在认证主页/认证对话框中输入用户名密码后,将认证信息提交给PortalServer,PortalServer会将用户的认证信息传递给AC;
③然后AC将认证信息封装成标准Raiuds认证报文传递给Radius进行认证;
④认证通过后,AC会打开STA与互联网的通路,允许用户访问互联网,同时开始进行记账。
在众多的企业级主流防火墙中,cisco pix防火墙是所有同类产品性能最好的一种。cisco pix系列防火墙目前有5种型号pix506,515,520,525,535。其中pix535是pix 500系列中最新,功能也是最强大的一款。它可以提供运营商级别的处理能力,适用于大型的isp等服务提供商。但是pix特有的os操作系统,使得大多数管理是通过命令行来实现的,不象其他同类的防火墙通过web管理界面来进行网络管理,这样会给初学者带来不便。本文将通过实例介绍如何配置cisco pix防火墙。
在配置pix防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
�0�3 内部区域(内网)。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
�0�3 外部区域(外网)。 外部区域通常指internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
�0�3 停火区(dmz)。 停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置web服务器,mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。
由于pix535在企业级别不具有普遍性,因此下面主要说明pix525在企业网络中的应用。
pix防火墙提供4种管理访问模式:
非特权模式。 pix防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
特权模式。 输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#
配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 pix防火墙在开机或重启过程中,按住escape键或发送一个“break”字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>
配置pix防火墙有6个基本命令:nameif,interface,ip address,nat,global,route
这些命令在配置pix是必须的。以下是配置的基本步骤:
1 配置防火墙接口的名字,并指定安全级别(nameif)。
pix525(config)#nameif ethernet0 outside security0
pix525(config)#nameif ethernet1 inside security100
pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写:
pix525(config)#nameif pix/intf3 security40 (安全级别任取)
2 配置以太口参数(interface)
pix525(config)#interface ethernet0 auto(auto选项表明系统自适应网卡类型 )
pix525(config)#interface ethernet1 100full(100full选项表示100mbit/s以太网全双工通信 )
pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown )
3 配置内外网卡的ip地址(ip address)
pix525(config)#ip address outside 611445142 255255255248
pix525(config)#ip address inside 19216801 2552552550
很明显,pix525防火墙在外网的ip地址是611445142,内网ip地址是19216801
4 指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ipnat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0000表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1.pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0000
例2.pix525(config)#nat (inside) 1 1721650 25525500
表示只有1721650这个网段内的主机可以访问外网。
5 指定外部地址范围(global)
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外网接口名字,例如outside。nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例1. pix525(config)#global (outside) 1 611445142-611445148
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用611445142-611445148这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2. pix525(config)#global (outside) 1 611445142
表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用611445142这个单一ip地址。
例3 pix525(config)#no global (outside) 1 611445142
表示删除这个全局表项。
6 设置指向内网和外网的静态路由(route)
定义一条静态路由。route命令配置语法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示接口名字,例如inside,outside。gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
例1. pix525(config)#route outside 0 0 6114451168 1
表示一条指向边界路由器(ip地址6114451168)的缺省路由。
例2. pix525(config)#route inside 10110 2552552550 1721601 1
pix525(config)#route inside 10200 25525500 1721601 1
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10110的静态路由,静态路由的下一条路由器ip地址是1721601
这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。
a 配置静态ip地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口,安全级别较高。如inside external_if_name为外部网络接口,安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
例1. pix525(config)#static (inside, outside) 611445162 19216808
表示ip地址为19216808的主机,对于通过pix防火墙建立的每个会话,都被翻译成611445162这个全局地址,也可以理解成static命令创建了内部ip地址19216808和外部ip地址611445162之间的静态映射。
例2. pix525(config)#static (inside, outside) 19216802 10013
例3. pix525(config)#static (dmz, outside) 21148162 17216108
注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
b 管道命令(conduit)
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡,conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接,static和conduit命令将一起使用,来指定会话的建立。
conduit命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问
global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:tcp、udp、icmp等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
例1 pix525(config)#conduit permit tcp host 19216808 eq www any
这个例子表示允许任何外部主机对全局地址19216808的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。eq ftp 就是指允许或拒绝只对ftp的访问。
例2 pix525(config)#conduit deny tcp any eq ftp host 611445189
表示不允许外部主机611445189对任何全局地址进行ftp访问。
例3 pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4 pix525(config)#static (inside, outside) 611445162 19216803
pix525(config)#conduit permit tcp host 611445162 eq www any
这个例子说明static和conduit的关系。19216803在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:19216803->611445162(全局),然后利用conduit命令允许任何外部主机对全局地址611445162进行http访问。
c 配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. pix525(config)#fixup protocol ftp 21
启用ftp协议,并指定ftp的端口号为21
例2. pix525(config)#fixup protocol http 80
pix525(config)#fixup protocol http 1080
为http协议指定80和1080两个端口。
例3. pix525(config)#no fixup protocol smtp 80
禁用smtp协议。
d 设置telnet
telnet有一个版本的变化。在pix os 50(pix操作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix os 50及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或***客户端的ipsec隧道。另外就是在pix上配置ssh,然后用ssh client从外部telnet到pix防火墙,pix支持ssh1和ssh2,不过ssh1是免费软件,ssh2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。
telnet配置语法:telnet local_ip [netmask]
local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。
说了这么多,下面给出一个配置实例供大家参考。
welcome to the pix firewall
type help or ’’ for a list of available commands
pix525> en
password:
pix525#sh config
: saved
:
pix version 60(1) ------ pix当前的操作系统版本为60
nameif ethernet0 outside security0
nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
enable password 7y051hhccoirtsqz encrypted
passed 7y051hhccoirtsqz encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
hostname pix525 ------ 主机名称为pix525
domain-name 123com ------ 本地的一个域名服务器123com,通常用作为外部访问
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号
names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的mtu长度为1500字节
ip address outside 611445142 255255255248
ip address inside 19216801 2552552550 ------ pix外网的ip地址611445142,内网的ip地址19216801
ip audit info action alarm
ip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdm history enable ------ pix设备管理器可以图形化的监视pix
arp timeout 14400 ------ arp表的超时时间
global (outside) 1 611445146 ------ 如果你访问外部论坛或用qq聊天等等,上面显示的ip就是这个
nat (inside) 1 0000 0000 0 0
static (inside, outside) 611445143 19216808 netmask 255255255255 0 0
conduit permit icmp any any
conduit permit tcp host 611445143 eq www any
conduit permit udp host 611445143 eq domain any
------ 用611445143这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0000 0000 611445161 1 ------ 外部网关611445161
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ aaa认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server tacacs+ protocol tacacs+
aaa-server radius protocol radius ------ aaa服务器的两种协议。aaa是指认证,授权,审计。pix防火墙可以通过aaa服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱
floodguard enable ------ 防止有人伪造大量认证请求,将pix的aaa资源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80
cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
pix525#
pix525#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址,ping outside | inside ip_address确定连通性。
AAA AAA 高等语言学院 美国会计学会 基本简介 主要工作 主要刊物 学会研究 相关内容 日本组合AAA(Attack All Around) 电池型号 AAA认证 AAA 汇编指令 非压缩BCD码调成指令 AAA(No Name)组合 故事简介 人物介绍 AAA 高等语言学院 美国会计学会 基本简介 主要工作 主要刊物 学会研究 相关内容 日本组合AAA(Attack All Around) 电池型号 AAA认证 AAA 汇编指令 非压缩BCD码调成指令 AAA(No Name)组合 故事简介 人物介绍 AAA 高等语言学院 ( Association des Amities Asiatiques ,亚洲友谊协会)是注册在法国教育部( Ministere de l' Education)和巴黎教育委员会 (Rectorat de l'Academie de Paris) 针对亚洲事务的教育机构。本机构下设专门的语言学院 -- AAA 高等语言学院 ( INSTITUT SUPERIEUR DE LANGUES ) 基本简介 在1989年 AAA 成立,同时语言学,语言结构主义以及人文学的研究小组成立。学院 开始对在法定居或留法的中国人、日本人、韩国人进行法语语言教学。1990年,AAA 增设了日语课程,开始对法国人进行日语语言教学。在1993年 我院获得法国教育部的教育认证后,进一步扩大了招生范围,开始向一些企业员工提供有针对性的专业语言培训。1995 年,法国政府对我院的教学质量再次做出肯定,由巴黎教育委员会给我院颁发教育认证证书(同时拥有这两个证书的语言学校在巴黎只有四所)。学院在巴黎建立了本学院的宿舍。近百间的学生宿舍给我院学生提供了极大的便利,减轻了他们沉重的经济负担。1997年学院开始设立奖学金制度,向表现优异的留学生提供学院奖学金。 在2006年 中心在2007年开设了对外汉语课程,为定居或留学以及工作在上海的外国友人提供专业的汉语培训。同年 ALFJ & AAA 留学基金会成立,以助学金的形式为欲留学法国和日本的学生提供留学贷款。 美国会计学会 American Accounting Association (AAA) 美国最大的会计学术组织,其前身是1916年成立的美国大学会计教师联合会(简称AAUIA),1936年改为现名。美国会计学会推出了基于SNS社会性网络软件概念的互动交流网站“AAACommons”。美国会计学会主办的出版物有《会计评论》、《会计地平线》和《会计教育问题》以及若干专题研究报告,其中主要的刊物是《会计评论》。学会内部各部门编辑出版的杂志还有《美国税务学会会刊》、《审计:理论与实践》、《会计中的行为研究》、《信息系统杂志》和《管理会计研究杂志》等。此外,下属各专题研究委员会还不定期地公布研究报告。 基本简介 学会由对会计教育和会计理论研究感兴趣的人士自愿组成,其中主要是会计学教授,但也接纳注册会计师和企业会计师参加。学会的主要宗旨是促进会计理论研究和改进会计教育工作,提高会计教育、研究及实务方面的水平。它早期着重研究会计学教育课程的质量和学术研究,而不是各种会计实际问题,主要任务是在全世界范围内创造、传播和应用先进的会计知识和技能。学会的工作目标为四个方面:一是出色的会计研究,在于对会计实务、教育、商业系统和难则制订等的思路施加影响;二是出色的会计教育,在于为会计教师及其所在机构创造机会,并为会计教育的不断改善提供服务;三是出色的会计实务,在于通过补充新鲜血液、加强教育和研究来提高会计实务的质量;四是高效的学会管理,在于向学会中的个人会员,各个部门及地方协会提供有美国会计学会出版的季刊。 主要工作 学会的主要工作包括:动员、鼓励开展会计研究工作并负责出版研究成果;鼓励合格的人员从事会计教育工作;促进会计概念和标准的发展和应用,特别是在对外财务报表中的应用;促进内部管理会计的发展;在学生和公众中广泛传播基础会计知识。美国会计学会下设的主要机构有:会计行为和组织研究部、会计项目领导小组、审计研究部、财务会计和财务报告研究部、政府和非营利组织研究部、信息系统研究部、国际会计研究部、管理会计研究部、公众利益研究部和课程教学研究部等。虽然美国会计学会对世界会计教育、研究和实践做出了卓越的贡献,但由于它仅仅只是一个学术性机构,因而并不具有美国注册会计师协会(AICPA)和财务会计准则委员会(FASB)指导会计实务的权威性。 主要刊物 1、《会计述评》发表会计研究报告并对相关研究方法论的阐述和论证报告的首选期刊。 2、《会计教育视点》发表的文章主要研究整合与应用的学术成果。 3、《会计新视野》文章内容包括研究、评论、指导资源以及辅助会计教师教学和发表重要观点的书评。 4、《会计和公共利益》一本发表会计学的替代理论和方法论以及更多传统观点的创新期刊。与公共利益相关的研究和发现被置于历史、社会和政治的因素中并最终为有效行动提供指导。 学会研究 美国会计学会一直致力于会计原则、会计准则和基本会计理论的研究,并先后发表了一系列研究报告,其中最重要的有3份: (1)1936年,发表了它的第一份重要文件《公司财务报表会计原则的暂行说明》该报告于1941年删去“暂行说明”后重版发行;1948年又将其改名为《企业财务报表的基本概念和准则》发表,从1950年到1954年间,共发表了8份补充说明,以解释或者扩充1948年的文件;1957年,该份文件又经修改后以《企业财务报表的会计和报告准则》为题发表,并在1957-1964年间为其发表了5份补充说明。由此可见,1936年由学会常务委员会发表的第一份研究报告,无论在学会的成绩方面,还是在会计理论的开拓方面,均堪称是一座里程碑。 (2)1940年,发表了由著名会计学家佩顿和利特尔顿撰写的《公司会计准则绪论》,这一文献后来成为当时最具有影响力的会计理论文献。 (3)1966年的《会计基础理论报告》,这一文献成为美国现代最重要的会计文献之一,它所提出的许多思想或观念对当时及后来会计原则和准则的发展产生了重要的影响,不少内容被APB和FASB所认可和采纳,此外,它还影响到欧洲、澳大利亚、加拿大、日本和其他国家会计准则的制定。 日本组合AAA(Attack All Around) 日本艾回音乐以A字招牌3倍推荐的五男三女新人组合“AAA”(念法为Triple A)!团名“AAA”为“Attack All Around”(全方位出击)之缩写,8名团员各个身怀绝技!歌唱 / 舞蹈 / 外表 / 演技 / 特技 / 芭蕾 / 模特……是一个全方位出击的超级表演团队!2005年9月出道。 电池型号 AA、AAA以及C、D、SC等都是说明电池型号的。 AAA就是我们通常所说的 7号电池,一般尺寸为:直径11mm,高度44mm AA指5号电池、AAA指7号电池 AAA电池就比较常见,一般的MP3用的都是AAA电池,标准的AAA(平头)电池高度436±05mm,直径101±02mm。 AAA认证 AAA系统的简称: 认证(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。 AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting 常用的AAA协议是Radius,参见RFC 2865,RFC 2866。 另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。 HWTACACS与RADIUS的不同在于: l RADIUS基于UDP协议,而HWTACACS基于TCP协议。 l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。 l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。 认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。 组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。 认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none 授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。 计费方案与计费模式 AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。 ---------------------------------------------------------------------- AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。 首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。 接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。 最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。 验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。 目前最新的发展是Diameter协议。 AAA又称"3A", "Triple A",悠悠球花式。又综合了"A"和"AA"所创造的新玩法,意思是"双手线上玩法",由于其多变的花式,高超的难度,目前吸引了全玩的选手一齐加入开发。 AAA(Annual Academy Award) “年度**艺术与科学学院奖”,(奥斯卡金像奖)1927年设立,每年一次在美国洛杉矶举行。半个多世纪来一直享有盛誉。它不仅反映美国**艺术的发展进程和成就,而且对世界许多国家的**艺术有着不可忽视的影响。 [编辑本段]AAA 汇编指令非压缩BCD码调成指令 格式:AAA 功能:AAA指令将AL调整为一个非压缩BCD格式的数字。AL是两个非压缩BCD数字相加后的结果。 AAA代表ASCII Adjust After Addition。如果AL(3-0)大于9或辅助进位AF=1,则AH=AH+01H,AL=AL+06H,且置AF和CF为1;否则置AF和CF为零。AL(7-4)=0。 AAA(No Name)组合故事简介 AAA是OVA动画《Bus Gamer》中由三位男主角组成的一个组合。
在AAA服务器上实现认证、授权、计费应用的协议主要包括RADIUS和TACACS+协议(华为称HWTACACS),Diameter协议作为新的标准也在逐步推广使用。
RADIUS协议内容参见RFC 2865,RFC 2866。
TACACS+在TACACS协议(RFC 1492)基础上进行了功能增强。TACACS+是Cisco(思科)私有协议,HWTACACS是华为协议。
Diameter协议内容参见RFC 3588,RFC4006。
AAA指的是Authentication(鉴别),Authorization(授权),Accounting(计费)。自网络诞生以来,认证、授权以及计费体制(AAA)就成为其运营的基础。网络中各类资源的使用,需要由认证、授权和计费进行管理。而AAA的发展与变迁自始至终都吸引着营运商的目光。对于一个商业系统来说,鉴别是至关重要的,只有确认了用户的身份,才能知道所提供的服务应该向谁收费,同时也能防止非法用户(黑客)对网络进行破坏。在确认用户身份后,根据用户开户时所申请的服务类别,系统可以授予客户相应的权限。最后,在用户使用系统资源时,需要有相应的设备来统计用户所对资源的占用情况,据此向客户收取相应的费用。
其中,鉴别(Authentication)指用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(诸如用户名—口令组合、生物特征获得等),然后提交给认证服务器;后者对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。例如,GSM移动通信系统能够识别其网络内网络终端设备的标志和用户标志。授权(Authorization)网络系统授权用户以特定的方式使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予的IP地址等。仍以GSM移动通信系统为例,认证通过的合法用户,其业务权限(是否开通国际电话主叫业务等)则是用户和运营商在事前已经协议确立的。计费(Accounting)网络系统收集、记录用户对网络资源的使用,以便向用户收取资源使用费用,或者用于审计等目的。以互联网接入业务供应商ISP为例,用户的网络接入使用情况可以按流量或者时间被准确记录下来。
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。考虑到不同网络融合以及互联网本身的发展,迫切需要新一代的基于IP的AAA技术。因此出现了Diameter协议。
编辑本段AAA在移动通信系统中的应用 在移动通信系统中,用户要访问网络资源,首先要进行用户的入网认证,这样用户才能访问网络资源。鉴别的过程就是验证用户身份的合法性;鉴别完成后,才能对用户访问网络资源进行授权,并对用户访问网络资源进行计费管理。一般来讲,鉴别过程由三个实体来完成的。用户(Client)、认证器(Authenticator)、AAA服务器(Authentication 、Authorization和Accounting Server)。在第三代移动通信系统的早期版本中,用户也称为MN(移动节点),Authenticator在NAS(Network Access Server)中实现,它们之间采用PPP协议,认证器和AAA服务器之间采用AAA协议(以前的方式采用远程访问拨号用户服务RADIUS(Remote Access Dial up UserService);Raduis英文原意为半径,原先的目的是为拨号用户进行鉴别和计费。后来经过多次改进,形成了一项通用的鉴别计费协议)。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS的基本工作原理是:用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
RADIUS是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以得到广泛应用。但是由于协议本身的缺陷,比如基于UDP的传输、简单的丢包机制、没有关于重传的规定和集中式计费服务,都使得它不太适应当前网络的发展,需要进一步改进。
随着新的接入技术的引入(如无线接入、DSL、移动IP和以太网)和接入网络的快速扩容,越来越复杂的路由器和接入服务器大量投入使用,对AAA协议提出了新的要求,使得传统的RADIUS结构的缺点日益明显。目前,3G网络正逐步向全IP网络演进,不仅在核心网络使用支持IP的网络实体,在接入网络也使用基于IP的技术,而且移动终端也成为可激活的IP客户端。如在WCDMA当前规划的R6版本就新增以下特性:UTRAN和CN传输增强;无线接口增强;多媒体广播和多播(MBMS);数字权限管理(DRM);WLAN-UMTS互通;优先业务;通用用户信息(GUP);网络共享;不同网络间的互通等。在这样的网络中,移动IP将被广泛使用。支持移动IP的终端可以在注册的家乡网络中移动,或漫游到其他运营商的网络。当终端要接入到网络,并使用运营商提供的各项业务时,就需要严格的AAA过程。AAA服务器要对移动终端进行认证,授权允许用户使用的业务,并收集用户使用资源的情况,以产生计费信息。这就需要采用新一代的AAA协议——Diameter。此外,在IEEE的无线局域网协议80216e的建议草案中,网络参考模型里也包含了鉴别和授权服务器ASA Server,以支持移动台在不同基站之间的切换。可见,在未来移动通信系统中,AAA服务器占据了很重要的位置。
经过讨论,IETF的AAA工作组同意将Diameter协议作为下一代的AAA协议标准。Diameter(为直径,意为着Diameter协议是RADIUS协议的升级版本)协议包括基本协议,NAS(网络接入服务)协议,EAP(可扩展鉴别)协议,MIP(移动IP)协议,CMS(密码消息语法)协议等。Diameter协议支持移动IP、NAS请求和移动代理的认证、授权和计费工作,协议的实现和RADIUS类似,也是采用AVP,属性值对(采用Attribute-Length-Value三元组形式)来实现,但是其中详细规定了错误处理, failover机制,采用TCP协议,支持分布式计费,克服了RADIUS的许多缺点,是最适合未来移动通信系统的AAA协议。
3 新一代的AAA协议——Diameter
Diameter应用协议族和其他网络协议的关系:
(1) Diameter的基础协议(Base protocol)
Diameter基本协议为移动IP(Mobile IP)、网络接入服务(NAS)等应用提供最基本的服务,例如用户会话、计费等,具有能力协商、差错通知等功能。协议元素由众多命令和AVP(属性值对)构成,可以在客户机、代理、服务器之间传递鉴别、授权和计费信息。但是不管客户机、代理还是服务器,都可以主动发出会话请求,对方给予应答,所以也叫对等实体之间的协议。命令代码、AVP值和种类都可以按应用需要和规则进行扩展。
(2)Diameter的NAS协议
Diameter的NAS协议既是Network Access Service(网络接入服务)协议。由NAS客户机处理用户MN的接入请求(RegReq),将收到的客户认证信息转送给NAS服务器;服务器对客户进行鉴别,将结果(Success/Fail)发给客户机;客户机通过RegReply将结果发回给MN,并根据结果对MN进行相应处理。
NAS作为网络接入服务器,在其用户端口接收到呼叫或服务请求时便开始与AAA服务器之间进行消息交换,有关呼叫的信息、用户身份和用户鉴别信息被打包成一种AAA消息发给AAA服务器。实际上,移动IP中的FA可以看成是通过空中的MPPP链路接收移动终端MN的服务连接请求的NAS服务器,它作为AAA服务器的客户机,在两者之间交换NAS消息请求和应答。
(3)Diameter的EAP协议
Diameter EAP (Extensible Authentication Protocol ——可扩展鉴别协议)协议提供了一个支持各种鉴别方法的标准机制。EAP其实是一种框架,一种帧格式,可以容纳各种鉴别信息。EAP所提供的多回合鉴别是PAP和CHAP所不具备的。
EAP协议描述用户、NAS(AAA客户机)和AAA服务器之间有关EAP鉴别消息的请求和应答的关系,完成一次对鉴别请求的应答,中间可能需要多次消息交换过程。在移动终端MN移动的环境下,MN与FA之间的鉴别扩展采用EAP,即把FA看做是一个NAS,它作为Diameter AAA的客户机,Diameter AAA服务器作为EAP的后端服务器,两者之间载送EAP分组。端到端的EAP鉴别发生在用户和它的H-AAA之间。
(4)Diameter的CMS协议
Diameter CMS(Cryptographic Message Syntax ——密码消息语法)协议实现了协议数据的Peer-to-Peer(端到端)加密。由于Diameter网络中存在不可信的Relay(中继)和Proxy(代理),而IPSec和TLS又只能实现跳到跳的安全,所以IETF定义了Diameter CMS应用协议来保证数据安全。
(5)Diameter的MIP协议由于未来移动通信网络正逐步向全IP网络演进,这就不可避免碰到用户移动到外部域的问题。 Diameter MIP应用协议允许用户漫游到外部域,并在经过鉴权后接受外部域Server(服务器)和Agent(代理)提供的服务。在未来移动通信中,这种情况将十分常见,因此MIP协议对于移动通信系统来说至关重要 当用户移动到外部域的时候,需要进行一系列的消息交换才能安全地接入外部网络,接受其提供的服务。MIP协议的实现环境中MN和HA都可以在家乡域或在外地域,其中比较典型的一种情况是MN在外地域而HA在家乡域。其接入过程如下节所示。
(6)采用Diameter MIP的一次典型的MN注册过程如图2所示(仅给出MN在外地域而HA在家乡域的情况):
i 开机注册前,MN只有NAI以及和AAAH的安全关联的信息,没有home address。
ii 开机后,MN向FA发出注册请求,其中包含的home address=0000 ,home agent address=255255255255
iii FA接到注册请求后,根据其中的信息生成AMR发给AAAF,其中MIP-Feature-Vector AVP中Set Home-Agent-Request=1,Home-Address- Allocatable-Only-in-Home-Realm=1
iv AAAF接到AMR后转发给AAAH。
v AAAH收到AMR后,为MN分配HA,分配MN-HA、MN-FA之间的密钥材料,和FA-HA之间的密钥,向HA发出HAR,其中MIP-Reg-Request AVP包含Mobile IP 注册请求信息。
vi HA接到HAR,分配home address给MN,处理MIP-Reg-Request AVP,生成MIP-Reg-Reply AVP,包含在HAA中返回AAAH。
vii AAAH收到HAA后生成AMA,包含MIP-Home-Agent-Address, MIP-Mobile-Node-Address AVPs,发给AAAF。
viii AAAF将AMA转发给FA。
ix FA接到AMA后保留FA-HA密钥,将FA-MN、HA-MN之间的密钥材料通过注册应答Registration-Reply发送给MN。
其中涉及到的名词有:
·HA : Home Agent , 家乡代理
·FA :Foreign Agent , 外部代理
·MN : Mobile Node , 移动节点
·AAAH : AAA Home server , AAA家乡域服务器
·AAAF:AAA Foreign server , AAA外地域服务器
·AMR :AAA-Mobile-Node- Request ,AAA移动节点请求消息
·AMA : AAA-Mobile-Node- Answer ,AAA移动节点答复消息
·HAR : Home-Agent-MIP-Request , 家乡代理MIP请求消息
·HAA : Home-Agent-MIP-Answer , 家乡代理MIP答复消息
HA和MN在外地域或家乡域的其他组合的情况与此类似,再此就不一一列举。
0条评论