李海軍

河西學(xué)院信息技術(shù)中心 甘肅 734000

0 引言

隨著 Internet網(wǎng)絡(luò)用戶的不斷增長，我國校園計算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，在校園網(wǎng)建設(shè)中形成了通信設(shè)備數(shù)量多、型號種類繁雜的網(wǎng)絡(luò)環(huán)境，新形式下對校園網(wǎng)通信設(shè)備的管理有了更高的要求。原有管理方式簡單、保密性差，設(shè)備管理認(rèn)證方式混亂，認(rèn)證用戶不能統(tǒng)一管理，無法做到有效監(jiān)控。校園網(wǎng)絡(luò)運(yùn)行的通信設(shè)備幾乎都提供了AAA安全機(jī)制，其中的RADIUS協(xié)議能夠?qū)芾碛脩暨M(jìn)行有效的統(tǒng)一身份認(rèn)證，提高了管理效率，增強(qiáng)了保密性。

1 技術(shù)簡介

RADIUS(Remote Authentication Dial-In User Service)協(xié)議是在 IETF的 RFC 2865中定義的。RADIUS認(rèn)證遵循IEEE802.1X標(biāo)準(zhǔn)，符合IEEE802.1X標(biāo)準(zhǔn)的RADIUS協(xié)議實(shí)現(xiàn)了基于工作站/服務(wù)器模式的輸入控制機(jī)制和認(rèn)證協(xié)議，用戶通過訪問服務(wù)器對用戶進(jìn)行驗(yàn)證、授權(quán)和計費(fèi)。RADIUS是基于無連接的協(xié)議，它通常是一個路由器、交換機(jī)或無線訪問點(diǎn)。RADIUS 服務(wù)器是在Linux或Windows 2008服務(wù)器上運(yùn)行的一個監(jiān)護(hù)程序。

2 體系結(jié)構(gòu)

RADIUS認(rèn)證針對采用SIP、PPP、TELNET等協(xié)議的用戶提供認(rèn)證、授權(quán)和計費(fèi)服務(wù)。根據(jù)其客戶機(jī)/服務(wù)器的工作模式，RADIUS工作在三種體系結(jié)構(gòu)下。

2.1 代理型結(jié)構(gòu)

代理型體系結(jié)構(gòu)中AAA服務(wù)器在用戶端和NAS服務(wù)器之間扮演了中介的作用。首先，由用戶向本地AAA服務(wù)器發(fā)起認(rèn)證請求，本地AAA服務(wù)器判定為代理認(rèn)證時，向代理服務(wù)器轉(zhuǎn)發(fā) AccessRequest包。其次，本地 AAA 服務(wù)器收到代理服務(wù)器的 AccessAccept 包時，將其轉(zhuǎn)發(fā)給本地NAS(或 Service Equipment)。最后，用戶通過了身份認(rèn)證，獲得了網(wǎng)絡(luò)資源使用權(quán)，認(rèn)證體系結(jié)構(gòu)如圖 1 所示。

圖1 代理型結(jié)構(gòu)

2.2 拉鏈?zhǔn)浇Y(jié)構(gòu)

拉鏈?zhǔn)襟w系結(jié)構(gòu)與代理型結(jié)構(gòu)相近，差異在于認(rèn)證流程，用戶直接向本地NAS發(fā)起認(rèn)證請求，而不是本地AAA服務(wù)器。由于這種結(jié)構(gòu)易于理解，具有實(shí)際意義，因此得到了廣泛的應(yīng)用(圖2)。

圖2 拉鏈?zhǔn)浇Y(jié)構(gòu)

2.3 推式結(jié)構(gòu)

推式結(jié)構(gòu)同代理型和拉鏈?zhǔn)浇Y(jié)構(gòu)相似，但工作原理不同。當(dāng)用戶身份認(rèn)證合法時，AAA服務(wù)器發(fā)一個 Token(數(shù)字證書或應(yīng)答令牌)給用戶，用戶將Token轉(zhuǎn)發(fā)給 NAS，NAS通過鑒定Token的合法性來認(rèn)證用戶身份，從而決定是否開放網(wǎng)絡(luò)資源(如圖3所示)。

圖3 推式結(jié)構(gòu)

3 校園網(wǎng)網(wǎng)絡(luò)設(shè)備Radius認(rèn)證設(shè)計

3.1 校園網(wǎng)Radius認(rèn)證體系結(jié)構(gòu)

校園網(wǎng)網(wǎng)絡(luò)通信設(shè)備采用Telnet協(xié)議遠(yuǎn)程管理設(shè)備，賬號認(rèn)證使用Radius協(xié)議，管理機(jī)、AAA服務(wù)器及管理客戶機(jī)連接至接入交換機(jī)，實(shí)現(xiàn)對全網(wǎng)通信設(shè)備的Radius認(rèn)證，拓?fù)浣Y(jié)構(gòu)如圖4所示。

圖4 校園網(wǎng)通信設(shè)備Radius認(rèn)證拓?fù)浣Y(jié)構(gòu)圖

3.2 Radius服務(wù)器端配置

使用FreeRadius配置Radius服務(wù)器，F(xiàn)reeRadius是一款開源軟件，支持Linux、FreeBSD、NetBSD、Solaris等操作系統(tǒng)。可以在官網(wǎng)下載此軟件，使用yum方式安裝。

FreeRadius 服務(wù)器端配置分為兩部分，一部分為基礎(chǔ)配置，一部分為認(rèn)證賬戶配置。

基礎(chǔ)配置指定Radius客戶端IP地址及服務(wù)器與客戶端之間確認(rèn)身份的共享密鑰。通過配置Radius.conf來配置偵聽地址及端口號。

FreeRadius的認(rèn)證用戶使用Mysql中定義的虛擬用戶。

3.3 通信設(shè)備認(rèn)證配置

以H3C交換機(jī)為例配置Radius認(rèn)證。

(1) 創(chuàng)建Radius方案

radius scheme hxunic

primary authentication 202.201.106.10

key authentication simple hxunic-0

user-name-format without-domain

以上命令配置主Radius認(rèn)證服務(wù)器IP地址，認(rèn)證地址為 202.201.106.10，配置 Radius認(rèn)證報文共享密鑰為huxnic-0，配置認(rèn)證用戶名格式，此處用戶名格式采用非域名格式。

(2) 配置ISP域認(rèn)證方案

domain hxu

authentication default radius-scheme hxunic

authorization default radius-scheme hxunic

access-limit disable state active

idle-cut disable

self-service-url disable

配置 ISP域名為 hxu，該域認(rèn)證及授權(quán) Radius方案為hxunic，訪問用戶數(shù)量無限制，狀態(tài)為活動狀態(tài)。

(3) 配置用戶視圖

user-interface vty 0 4

authentication-mode scheme

user privilege level 3

set authentication password cipher->4104A-#5OQ=^Q`MAF4<1!!

(4) 配置默認(rèn)ISP域名及啟用telnet服務(wù)

domain default enable hxu

telnet server enable

(5) 設(shè)置用戶級別切換密碼

super password level 3 cipher nic2471

4 結(jié)語

隨著局域網(wǎng)規(guī)模的逐漸擴(kuò)大，網(wǎng)絡(luò)通信設(shè)備的數(shù)量和種類將會增加，Radius認(rèn)證可以屏蔽設(shè)備本地賬號認(rèn)證的差異性，實(shí)現(xiàn)帳號集中管理，集中認(rèn)證，提高了帳號認(rèn)證的安全性。Radius認(rèn)證在校園網(wǎng)網(wǎng)絡(luò)通信設(shè)備管理中的應(yīng)用方便了管理員對設(shè)備的管理，同時，這種管理方式也適用于大中型企業(yè)及園區(qū)網(wǎng)絡(luò)設(shè)備的管理和認(rèn)證。

[1]李倩.AAA認(rèn)證協(xié)議的分析[J].北京工商大學(xué)學(xué)報.2006.

[2]張琪,喻占武,李銳.基于AAA服務(wù)的協(xié)議分析與比較[J].計算機(jī)應(yīng)用研究.2007.

[3]黃永鋒,王濱,許曉東.RADIUS在 802.1x中的應(yīng)用[J].計算機(jī)工程與設(shè)計.2006.

[4]梁根.基于 RADIUS的校園網(wǎng)認(rèn)證管理系統(tǒng)的研究與實(shí)現(xiàn)[J].計算機(jī)技術(shù)與發(fā)展.2006.