1、Chapter 11 Chapter 11 網絡安全技術網絡安全技術ISSUE 2.1日期：杭州華三通信技術有限公司 版權所有，未經授權不得使用與傳播n 了解網絡安全一些基本概念了解網絡安全一些基本概念n 掌握掌握AAA技術技術課程目標課程目標學習完本課程，您應該能夠：學習完本課程，您應該能夠：n 網絡安全概述網絡安全概述n 第二節第二節 AAA目錄目錄4網絡安全概述網絡安全概述l網絡安全是網絡安全是Internet必須面對的一個實際問題必須面對的一個實際問題l網絡安全是一個綜合性的技術網絡安全是一個綜合性的技術l網絡安全具有兩層含義：網絡安全具有兩層含義：l保證內部局域網的安全（不被非法侵入

2、）保證內部局域網的安全（不被非法侵入）l保護和外部進行數據交換的安全保護和外部進行數據交換的安全l網絡安全技術的完善和更新網絡安全技術的完善和更新5l常常從如下幾個方面綜合考慮整個網絡的安全常常從如下幾個方面綜合考慮整個網絡的安全l保護網絡物理線路不會輕易遭受攻擊保護網絡物理線路不會輕易遭受攻擊l有效識別合法的和非法的用戶有效識別合法的和非法的用戶l實現有效的訪問控制實現有效的訪問控制l保證內部網絡的隱蔽性保證內部網絡的隱蔽性l有效的防偽手段，重要的數據重點保護有效的防偽手段，重要的數據重點保護l對網絡設備、網絡拓撲的安全管理對網絡設備、網絡拓撲的安全管理l病毒防范病毒防范l提高安全防范意識提

3、高安全防范意識網絡安全關注的范圍網絡安全關注的范圍6網絡安全的必要技術網絡安全的必要技術l針對網絡存在的各種安全隱患，安全針對網絡存在的各種安全隱患，安全 l 路由器必須具有如下安全特性：路由器必須具有如下安全特性：l可靠性和線路安全可靠性和線路安全l身份認證身份認證l訪問控制訪問控制l信息隱藏信息隱藏l數據加密和防偽數據加密和防偽l安全管理安全管理n 網絡安全概述網絡安全概述n 第二節第二節 AAA目錄目錄8AAA概述概述AAA服務器網關NAS用戶9AAA定義定義l驗證（驗證（Authentication）l授權（授權（Authorization）l計費（計費（Accounting）Quid

4、way Series RouterQuidway Series RouterAAA Server本地實現AAA使用服務器實現AAA10RADIUS概述概述lRADIUS (Remote Authentication Dial-in l User Service)是當前流行的安全服務器是當前流行的安全服務器協協 l 議議l實現實現AAA（授權（授權Authorization、驗證、驗證 l Authentication和計費和計費Accounting）功）功能能11RADIUS結構及基本原理結構及基本原理lRADIUS協議采用客戶機協議采用客戶機/服務器（服務器（Client/Server）結）

5、結 l 構，使用構，使用UDP協議作為傳輸協議協議作為傳輸協議lRADIUS使用使用MD5加密算法對數據包進行數字簽名，加密算法對數據包進行數字簽名， l 以及對口令進行加密以及對口令進行加密lRADIUS包機構靈活，擴展性好，采用包機構靈活，擴展性好，采用UDP發送發送CodeidentifierlengthAuthenticatorA12RADIUS工作過程工作過程(I)Radius服務器SRT2RT1用戶13RADIUS工作過程工作過程(II)在RT1上需要配置（示意）如下信息：在和用戶相連的接口上配置利用PPP CHAP驗證對方；使能AAA，并且配置AAA驗證、計費協議使用Radius

6、；配置Radius驗證、計費服務器為S，并且配置它們和RT1之間的互相驗證密鑰為abc。在Radius服務器S上需要配置（示意）如下信息：配置一個名稱為RT1的Radius客戶端，共享密鑰為abc；在用戶數據庫中配置新的一行（用戶名：user1 密碼：123 IP地址：10.0.0.2 缺省網關：10.0.0.1）。14RADIUS實現實現AAA的流程的流程用戶上網驗證請求驗證授權通過計費開始請求計費開始應答計費結束請求計費結束應答授權并允許用戶上網用戶下網Quidway Series RouterAAA S15RADIUS驗證與授權驗證與授權l驗證、授權過程如下：驗證、授權過程如下：l路由器

7、將得到的用戶信息打包向路由器將得到的用戶信息打包向RADIUS服務器發服務器發送送lRADIUS服務器對用戶進行驗證：服務器對用戶進行驗證：l合法用戶合法用戶返回訪問接受包（用戶授權信息）返回訪問接受包（用戶授權信息）l非法用戶非法用戶返回訪問拒絕包返回訪問拒絕包l路由器接受服務器的響應包：路由器接受服務器的響應包：l訪問接受包訪問接受包允許上網，使用其授權信息對用允許上網，使用其授權信息對用戶進行處理戶進行處理l訪問拒絕包訪問拒絕包拒絕用戶上網請求拒絕用戶上網請求16RADIUS計費計費l每次計費過程包括計費請求、計費應答每次計費過程包括計費請求、計費應答l對一個用戶的計費過程有：對一個用戶

8、的計費過程有：l計費信息：計費信息：l計費失敗處理計費失敗處理計費開始實時計費計費結束會話時長輸入字節數輸出字節數輸入包數輸出包數17802.1X起源起源l來源：來源：802.1X協議起源于協議起源于802.11協議，起初主要是協議，起初主要是為了解決無線局域網用戶的接入認證問題。為了解決無線局域網用戶的接入認證問題。l目的：有線局域網通過固定線路形成固定的物理空目的：有線局域網通過固定線路形成固定的物理空間；但無線局域網具有開放性和終端可移動性，因此間；但無線局域網具有開放性和終端可移動性，因此很難通過網絡物理空間來界定終端是否屬于某一網絡。很難通過網絡物理空間來界定終端是否屬于某一網絡。8

9、02.1x正是基于這一需求而出現的一種認證技術。正是基于這一需求而出現的一種認證技術。l作用形式：操作粒度為端口；對于無線局域網接入作用形式：操作粒度為端口；對于無線局域網接入認證之后建立起來的信道（端口）被獨占。認證之后建立起來的信道（端口）被獨占。18802.1X的應用的應用lIEEE 802.11定義的無線定義的無線 LAN 接入方式（基于邏輯接入方式（基于邏輯端口）端口）lLanSwitch的一個物理端口僅連接一個的一個物理端口僅連接一個End Station（基于物理端口）（基于物理端口）l華為華為-3ComVRP平臺的平臺的802.1X軟件子系統對軟件子系統對802.1X協議認證方

10、式進行了擴展，支持一個物理端口下多個協議認證方式進行了擴展，支持一個物理端口下多個End Station的應用場合，多個的應用場合，多個End Station的識別的識別具體到其源具體到其源MAC地址地址19EAP驗證過程驗證過程UsernamePasswordUser1abcUser2123EAPUsername：User1Password：abc用戶數據庫20802.1X的系統組成的系統組成lIEEE 802.1X的體系結構包括三部分的體系結構包括三部分:lSupplicant System-用戶接入設備用戶接入設備lAuthenticator System-接入控制單元接入控制單元lAuthentication Sever System-認證服務器認證服務器l傳輸介質：點對點以太網（如果是共享式以太網需傳輸介質：點對點以太網（如果是共享式以太網需要采用加密的方式傳遞認證信息）要采用加密的方式傳遞認證信息）21802.1X認證系統圖認證系統圖EAP Over SomethingAuthentication ServerAuthenticatorEAPOLS22EAPOL協議的消息格式協議的