雙劍合璧之基於端口的認證技術AAA DHCP

要求局域網用戶實現安全接入，採用基於端口的認證技術（802.1x）,使用服務器中心的AAA服務器實現集中的身份驗證，只有驗證經過，才能經過DHCP得到地址。

 

 

首先來對AAA作一個概述

AAA是驗證、受權和記帳（Authentication、Authorization、Accounting ）三個英文單詞的簡稱。其主要目的是管理哪些用戶能夠訪問網絡服務器，具備訪問權的用戶能夠獲得哪些服務。如何對正在使用網絡資源的用戶進行記帳？具體爲：

1、 驗證(Authentication): 驗證用戶是否能夠得到訪問權限。

2、 受權(Authorization) : 受權用戶可使用哪些服務。

3、 記帳(Accounting) : 記錄用戶使用網絡資源的狀況。

AAA服務器（AAA server）是一個可以處理用戶訪問請求的服務器程序。提供驗證受權以及賬戶服務。AAA服務器一般同網絡訪問控制、網關服務器、數據庫以及用戶信息目錄等協同工做。同AAA服務器協做的網絡鏈接服務器接口是「遠程身份驗證撥入用戶服務 (RADIUS)」。

RADIUS（Remote Authentication Dial In User Service）協議是在IETF的RFC2865和2866中定義的。RADIUS 是基於 UDP 的一種客戶機/服務器協議。RADIUS客戶機是網絡訪問服務器，它一般是一個路由器、交換機或無線訪問點。RADIUS服務器一般是在UNIX或Windows 2000服務器上運行的一個監護程序。RADIUS 協議的認證端口是1812 ，計費端口是1813。

首先安裝dhcp，切換到光盤掛載點，安裝dhcp

編輯配置文件，建立相應的域

vim /etc/dhcpd.conf 

:r /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample（第一次打開配置文件裏面是沒有內容的，在地行模式執行該命令讀取內容，而後作相應的修改就好）

爲dhcp服務器配置地址，要在192.168.20.32網段內就可

啓動dhcp：service dhcpd start

啓用開機啓動功能：chkconfig dhcpd on

 

 

交換機上配置：

 

防火牆上配置：

 

配置AAA服務器ACS，可是ACS須要JAVA虛擬機的支持，因此首先要先安裝JDK。

 

 

而後安裝ACS

 

而後選擇默認值安裝。

默認值安裝

 

 

而後默認值安裝

爲了進行操作，必須配置IE屬性。

因爲實驗須要與華爲設備結合。而華爲的屬性與ACS 不兼容。咱們須要導入華爲私有屬性。

h3c.ini

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

 

 

 

配置AAA

 

可能須要查看誰登錄了客戶端，咱們就須要日誌了

這樣咱們的AAA服務器基本上就搭建好了

 

下面來測試：