搜索
AAA认证配置、广域网链路引入:通过讲述路由器配置的安全性,为何需要对路由器进行安全认证,限制远程用户的非法连接与授权等,实现网络安全管理。新授:一、AAA认证配置AAA系统的简称:认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting常用的AAA协议是Radius另外还有HWTACACS协议(HuaweiTerminalAccessControllerAccessControlSystem)协议。HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。HWTACACS与RADIUS的不同在于:lRADIUS基于UDP协议,而HWTACACS基于TCP协议。lRADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。lRADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。组合认证模式是有先后顺序的。例如,authentication-moderadiuslocal表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-moderadiuslocalnone。认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。授权方案与授权模式AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。组合授权模式有先后顺序。例如,authorization-modehwtacacslocal表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-modehwtacacslocalnone授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。计费方案与计费模式AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。AAA,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。整个系统在网络管理与安全问题中十分有效。首先,认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提供网络连接。接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证,他们也就被授予了相应的权限。最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”。RADIUSRADIUS:RemoteAuthenticationDialInUserService,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(NetAccessServer)服务器,任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(VirtualPrivateDialupNetworks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。案例:RouterenRouter#conftRouter(config)#aaanew-modelRouter(config)#usernameaaapasswordabcRouter(config)#aaaauthenticationloginfirstgrouptacacs+localRouter(config)#aaaauthenticationloginsecondlocalenableRouter(config)#linevty0Router(config-line)#loginauthenticationfirstRouter(config-line)#linevty1Router(config-line)#loginauthenticationsecondRouter(config-line)#二、广域网链路窄带广域网PSTN:PublicSwitchedTelephoneNetwork,公共交换电话网ISDN:IntegratedServicesDigitalNetwork,综合业务数字网DDN:DigitalDataNetwork,数字数据网帧中继:FrameRelayX.25:公用分组交换网宽带广域网ATM:异步传输模式SDH:同步数字系列异步串口两种异步串口:异步串口分为设置成异步方式的同/异步串口和专用异步串口异步串口可以设为专线方式和拨号方式,常用的是拨号方式同步串口可以工作在DTE和DCE两种方式可以外接多种类型电缆支持多种链路层协议支持IP和IPX网络层协议displayinterfaceserial命令可显示同步串口的信息DDN专线数字数据网DDN(DigitalDataNetwork)是利用数字信道传输数据信号的数据传输网。DDN网是由数字传输电路和相应的数字交叉复用设备组成。其中,数字传输主要以光缆传输电路为主,数字交叉连接复用设备对数字电路进行半固定交叉连接和子速率的复用。DTE:数据终端设备--接入DDN网的用户端设备可以是局域网,通过路由器连至对端,也可以是一般的异步终端或图像设备,以及传真机、电传机、电话机等。DTE和DTE之间是全透明传输。DSU:数据业务单元--可以是调制解调器或基带传输设备,以及时分复用、语音/数字复用等设备。DTE和DSU主要功能是业务的接入和接出。特点:(1)传输速率高:在DDN网内的数字交叉连接复用设备能提供2Mbps或N×64Kbps(≤2M)速率的数字传输信道。(2)传输质量较高:数字中继大量采用光纤传输系统,用户之间专有固定连接,网络时延小。(3)协议简单:采用交叉连接技术和时分复用技术,由智能化程度较高的用户端设备来完成协议的转换,本身不受任何规程的约束,是全透明网,面向各类数据用户。(4)灵活的连接方式:可以支持数据、语音、图像传输等多种业务,它不仅可以和用户终端设备进行连接,也可以和用户网络连接,为用户提供灵活的组网环境。(5)电路可靠性高:采用路由迂回和备用方式,使电路安全可靠。(6)网络运行管理简便:采用网管对网络业务进行调度监控,业务的迅速生成。接入方式:通过调制解调器接入DDN在模拟专用网和电话网上开放的数据业务采用这种方式。调制解调又器分为基带和频带传输两种。通过DDN的数据终端设备接入DDN客户直接利用DDN提供的数据终端设备接入DDN,而无需增加单独的调制解调器。DDN提供的数据终端设备接口标准符合ITU-TV.24,35,X.21建议,接口速率范围在2.4kb/s到128kb/s之间。通过用户集中器接入DDN这种方式适合于用户数据接口需要量大或客户已具备用户集中设备的情况。用户集中设备可以是零次群复用设备,也可以是DDN所提供的小型复用器。通过模拟电路接入DDN这种方式主要适用于电话机、传真机和用户交换机(PBX)经模拟电路传输后接入DDN音频接口的情形。在这里,实现模拟传输的手段可以是市话音频电缆,也可以是无线模拟特高频。通过2048kb/s数字电路接入DDN在DDN中,网络设备都配置了标准的符合ITU-T建议的G.7032048kb/s数字接口如果用户设备能提供同样的接口的可以就近接入DDN。在这种接入方式中,业务所需的数字传输电路可以和其他的通信业务(如电话)统一进行建设,如合建PCM电缆系统、传输系统。在线路条件比较差的地区,还可以采用合建数字微波、数字特高频等。SDH:SDH(SynchronousDigitalHierarchy,同步数字体系)是一种将复接、线路传输及交换功能融为一体、并由统一网管系统操作的综合信息传送网络,是美国贝尔通信技术研究所提出来的同步光网络(SONET)。SDH技术自从90年代引入以来,至今已经是一种成熟、标准的技术,在骨干网中被广泛采用,且价格越来越低,在接入网中应用可以将SDH技术在核心网中的巨大带宽优势和技术优势带入接入网领域,充分利用SDH同步复用、标准化的光接口、强大的网管能力、灵活网络拓扑能力和高可靠性带来好处,在接入网的建设发展中长期受益。特点:SDH传输系统在国际上有统一的帧结构,形成了全球统一的数字传输体制标准,提高了网络的可靠性SDH接入系统的不同等级的码流在帧结构净负荷区内的排列非常有规律,而净负荷与网络同步,减少了背靠背的接口复用设备,改善了网络的业务传送透明性。由于采用了较先进的分插复用器(ADM)、数字交叉连接(DXC)、网络的自愈功能和重组功能就显得非常强大,具有较强的生存率。由于SDH有多种网络拓扑结构,它所组成的网络非常灵活,它能增强网监,运行管理和自动配置功能,优化了网络性能,同时也使网络运行灵活、安全、可靠,使网络的功能非常齐全和多样化。SDH有传输和交换的性能,它的系列设备的构成能通过功能块的自由组合,实现了不同层次和各种拓扑结构的网络,十分灵活。SDH并不专属于某种传输介质,它可用于双绞线、同轴电缆,但SDH用于传输高数据率则需用光纤。从OSI模型的观点来看,SDH属于其最底层的物理层,并未对其高层有严格的限制,便于在SDH上采用各种网络技术,支持ATM或IP传输。SDH是严格同步的,从而保证了整个网络稳定可靠,误码少,且便于复用和调整。标准的开放型光接口可以在基本光缆段上实现横向兼容,降低了联网成本。POS:POS是一种新出现的在SONET/SDH上承载IP和