双剑合璧之基于端口的认证技术AAA DHCP

要求局域网用户实现安全接入，采用基于端口的认证技术（802.1x）,使用服务器中心的AAA服务器实现集中的身份验证，只有验证经过，才能经过DHCP得到地址。

 

 

首先来对AAA作一个概述

AAA是验证、受权和记帐（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户能够访问网络服务器，具备访问权的用户能够获得哪些服务。如何对正在使用网络资源的用户进行记帐？具体为：

1、 验证(Authentication): 验证用户是否能够得到访问权限。

2、 受权(Authorization) : 受权用户可使用哪些服务。

3、 记帐(Accounting) : 记录用户使用网络资源的状况。

AAA服务器（AAA server）是一个可以处理用户访问请求的服务器程序。提供验证受权以及账户服务。AAA服务器一般同网络访问控制、网关服务器、数据库以及用户信息目录等协同工做。同AAA服务器协做的网络链接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

RADIUS（Remote Authentication Dial In User Service）协议是在IETF的RFC2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它一般是一个路由器、交换机或无线访问点。RADIUS服务器一般是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ，计费端口是1813。

首先安装dhcp，切换到光盘挂载点，安装dhcp

编辑配置文件，建立相应的域

vim /etc/dhcpd.conf 

:r /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample（第一次打开配置文件里面是没有内容的，在地行模式执行该命令读取内容，而后作相应的修改就好）

为dhcp服务器配置地址，要在192.168.20.32网段内就可

启动dhcp：service dhcpd start

启用开机启动功能：chkconfig dhcpd on

 

 

交换机上配置：

 

防火墙上配置：

 

配置AAA服务器ACS，可是ACS须要JAVA虚拟机的支持，因此首先要先安装JDK。

 

 

而后安装ACS

 

而后选择默认值安装。

默认值安装

 

 

而后默认值安装

为了进行操作，必须配置IE属性。

因为实验须要与华为设备结合。而华为的属性与ACS 不兼容。咱们须要导入华为私有属性。

h3c.ini

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

 

 

 

配置AAA

 

可能须要查看谁登录了客户端，咱们就须要日志了

这样咱们的AAA服务器基本上就搭建好了

 

下面来测试：