0
课 程 设 计 报 告
计算机网络
基于 802.11x 的认证系统
计算机与通信学院
2010 年 12 月 26 日
课程名称
课题名称
专
班
学
姓
业
级
号
名
指导教师
0
1
湖南工程学院
课 程 设 计 任 务 书
一.设计内容:
问题 1:基于 802.1X 的认证系统
建立为了便于集中认证和管理接入用户,采用 AAA(Authentication、Authorization 和
Accounting)安全体系。通过某种一致的办法来配置网络服务,控制用户通过网络接入服
务器的访问园区网络,设计内容如下:
1.掌握 IEEE820.1X 和 RADIUS 等协议的工作原理,了解 EAP 协议
2.掌握 HP5308/HP2626 交换机的配置、调试方法
3.掌握 WindowsIAS 的配置方法和 PAP,CHAP 等用户验证方法
4.建立一个基于三层交换机的模拟园区网络,用户通过 AAA 方式接入园区网络
二.设计要求:
1.在规定时间内完成以上设计内容。
2.画出拓扑图和工作原理图(用计算机绘图)
3.编写设计说明书
4.见附带说明。
5.成绩评定:
指导老师负责验收结果,结合学生的工作态度、实际动手能力、创新精神和设计报告等进行综
合考评,并按优秀、良好、中等、及格和不及格五个等级给出每位同学的课程设计成绩。具体考核
标准包含以下几个部分:
① 平时出勤 (占 20%)
② 系统分析、功能设计、结构设计合理与否(占 10%)
③个人能否独立、熟练地完成课题,是否达到目标(占 40%)
④ 设计报告(占 30%)不得抄袭他人的报告(或给他人抄袭),一旦发现,成绩为零分。
三 . 进 度 安 排
(注意:17 周必须提交课设报告,迟交或未交只能计零分。下面是三个班总的时间安排,课设报
告中,每班只需填写其实际设计时间)
因是 3 个班滚动执行,没有过多衔接时间,各位同学必须严格按时执行。
第 15 周
1
2
8:00-12:00
12:00—15:00
15:00-17:00
0701
0702
0703
0701
0702
0703
0701
0702
0703
0701
0702
0703
8:00-12:00
12:00—15:00
15:00-17:00
0702
0703
0703
0701
0701
0702
时间
星期一
星期二
星期四
星期五
第 16 周
时间
星期二
星期四
2
3
目 录
一.计算机网络 AAA 认证............................................................................................................................... 4
1.1 AAA 系统的简称:........................................................................................................................ 4
1.2 试验环境 .............................................................................................................................................5
1.3 ACS 的配置................................................................................................................................... 8
3、 Tacacs+设置 ..............................................................................................................................9
1.4 ACS 功能设置 .................................................................................................................................. 13
2、 ACS 授权 ................................................................................................................................ 14
3、ACS 审计 .................................................................................................................................. 15
4、 ppp 验证与计时......................................................................................................................17
二.试验拓扑 ....................................................................................................................................................18
三.总结......................................................................................................................................................... 19
附录................................................................................................................................................................. 20
计算机与通信学院课程设计评分表.............................................................................................................20
3
4
一.计算机网络 AAA 认证
1.1 AAA 系统的简称:
认证(Authentication):验证用户的身份与可使用的网络服务;
授权(Authorization):依据认证结果开放网络服务给用户;
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA-----身份验证 (Authentication)、授权 (Authorization)和统计
(Accounting)Cisco 开发的一个提供网络安全的系统。奏见 authentication。
authorization 和 accounting 另外还有 HWTACACS 协议(Huawei Terminal Access
Controller Access Control System)协议。HWTACACS 是华为对 TACACS 进行了扩展的
协议
HWTACACS 是在 TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协
议与 RADIUS 协议类似,主要是通过“客户端—服务器”模式与 HWTACACS 服务器通信来
实现多种用户的 AAA 功能。
HWTACACS 与 RADIUS 的不同在于:
RADIUS 基于 UDP 协议,而 HWTACACS 基于 TCP 协议。
RADIUS 的认证和授权绑定在一起,而 HWTACACS 的认证和授权是独立的。
RADIUS 只对用户的密码进行加密,HWTACACS 可以对整个报文进行加密。
认证方案与认证模式
AAA 支持本地认证、不认证、RADIUS 认证和 HWTACACS 认证四种认证模式,并允许
组合使用。组合认证模式是有先后顺序的。例如,authentication-mode radius local
表示先使用 RADIUS 认证,RADIUS 认证没有响应再使用本地认证。当组合认证模式使用
不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local
none。认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。
授权方案与授权模式.AAA 支持本地授权、直接授权、if-authenticated 授权和 HWTACACS
授权四种授权模式,并允许组合使用。授权模式在授权方案视图下配置。当新建一个授
权方案时,缺省使用本地授权。RADIUS 的认证和授权是绑定在一起的,所以不存在 RADIUS
授权模式。
计费方案与计费模式:AAA 支持六种计费模式:本地计费、不计费、RADIUS 计费、
HWTACACS 计费、同时 RADIUS、本地计费以及同时 HWTACACS、本地计费。AAA ,认证
4
5
(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据
认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,
并提供给计费系统。整个系统在网络管理与安全问题中十分有效。首先,认证部分提供
了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的
原理是每个用户都有一个唯一的权限获得标准。由 AAA 服务器将用户的标准同数据库
中每个用户的标准一一核对。如果符合,那么对用户认证通过。如果不符合,则拒绝提
供网络连接。接下来,用户还要通过授权来获得操作相应任务的权限。比如,登陆系统
后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这
些命令的权限。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类
或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户
通过了认证,他们也就被授予了相应的权限。最后一步是帐户,这一过程将会计算用户
在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流
量等等。可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、
资源利用以及容量计划活动来执行帐户过程。验证授权和帐户由 AAA 服务器来提供。AAA
服务器是一个能够提供这三项服务的程序。当前同 AAA 服务器协作的网络连接服务器接
口是“远程身份验证拨入用户服务 (RADIUS)”。目前最新的发展是 Diameter 协议。
1.2 试验环境
Cisco acs 系统主界面图
5
6
6
7
7