radius協議配置和在CISCO的acs實現對telnet的驗證以及級別驗證

1.AAA 簡介
         AAA 是 Authentication，Authorization and Accounting（認證、授權和計費）的簡稱，它提供了一個對認證、授權和計費這三種安全功能進行配置的一致性框架，實際上是對網絡安全的一種管理。
         這裏的網絡安全主要是指訪問控制，包括：
          哪些用戶可以訪問網絡服務器。
          具有訪問權的用戶可以得到哪些服務。
          如何對正在使用網絡資源的用戶進行計費。

（1）認證功能
        AAA 支持以下認證方式：
      不認證：對用戶非常信任，不對其進行合法檢查。一般情況下不採用這種方式。
      本地認證：將用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在設備上。本地認證的優點是速度快，可以降低運營成本；缺點是存儲信息量受設備硬件條件限制。
     遠端認證：支持通過 RADIUS 協議或 HWTACACS 協議進行遠端認證，設備（如 Quidway 系列交換機）作爲客戶端，與 RADIUS 服務器或 TACACS 服務器通信。對於 RADIUS 協議，可以採用標準或擴展的 RADIUS 協議。

（2）授權功能
        AAA 支持以下授權方式：
     直接授權：對用戶非常信任，直接授權通過。
     本地授權：根據設備上爲本地用戶帳號配置的相關屬性進行授權。
     RADIUS 認證成功後授權：RADIUS 協議的認證和授權是綁定在一起的，不能單獨使用 RADIUS 進行授權。
     HWTACACS 授權：由 TACACS 服務器對用戶進行授權。

（3）計費功能
       AAA 支持以下計費方式：
     不計費：不對用戶計費。
     遠端計費：支持通過 RADIUS 服務器或 TACACS 服務器進行遠端計費。
AAA 一般採用客戶端/服務器結構：客戶端運行於被管理的資源側，服務器上集中存放用戶信息。因此，AAA 框架具有良好的可擴展性，並且容易實現用戶信息的集中管理。

2. RADIUS 協議簡介
         AAA 是一種管理框架，因此，它可以用多種協議來實現。在實踐中，人們最常使用RADIUS 協議來實現 AAA。
        （1）什麼是 RADIUS
     RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）是一種分佈式的、客戶端/服務器結構的信息交互協議，能保護網絡不受未授權訪問的干擾，常被應用在既要求較高安全性，又要求維持遠程用戶訪問的各種網絡環境中。
     RADIUS 服務包括三個組成部分：
      協議：RFC 2865 和 RFC 2866 基於 UDP/IP 層定義了 RADIUS 幀格式及其消息傳輸機制，並定義了 1812 作爲認證端口，1813 作爲計費端口。
      服務器：RADIUS 服務器運行在中心計算機或工作站上，包含了相關的用戶認證和網絡服務訪問信息。
      客戶端：位於撥號訪問服務器設備側，可以遍佈整個網絡。

RADIUS 基於客戶端/服務器模型。交換機作爲 RADIUS 客戶端，負責傳輸用戶信息到指定的 RADIUS 服務器，然後根據從服務器返回的信息對用戶進行相應處理（如接入/掛斷用戶）。RADIUS 服務器負責接收用戶連接請求，認證用戶，然後給交換
機返回所有需要的信息。

RADIUS服務器通常要維護三個數據庫，如圖 1-1所示。
    第一個數據庫“Users”用於存儲用戶信息（如用戶名、口令以及使用的協議、IP 地址等配置）。
    第二個數據庫“Clients”用於存儲 RADIUS 客戶端的信息（如共享密鑰）。
    第三個數據庫“Dictionary”存儲的信息用於解釋 RADIUS 協議中的屬性和屬性值的含義。

（2） RADIUS 的基本消息交互流程
RADIUS客戶端（交換機）和RADIUS服務器之間通過共享密鑰來認證交互的消息，增強了安全性。RADIUS協議合併了認證和授權過程，即響應報文中攜帶了授權信息。用戶、交換機、RADIUS服務器之間的交互流程如圖 1-2所示。

基本交互步驟如下：

（1）用戶輸入用戶名和口令。
(2)RADIUS 客戶端根據獲取的用戶名和口令，向 RADIUS 服務器發送認證請求包（Access-Request）。
（3)RADIUS 服務器將該用戶信息與 Users 數據庫信息進行對比分析，如果認證成功，則將用戶的權限信息以認證響應包（Access-Accept）發送給 RADIUS 客戶端；如果認證失敗，則返回 Access-Reject 響應包。
(4) RADIUS 客戶端根據接收到的認證結果接入/拒絕用戶。如果可以接入用戶，則 RADIUS 客戶端向 RADIUS 服務器發送計費開始請求包（Accounting-Request），Status-Type 取值爲 start。
（5）RADIUS 服務器返回計費開始響應包（Accounting-Response）。

（6）用戶開始訪問資源。
（7）RADIUS 客戶端向 RADIUS 服務器發送計費停止請求包（Accounting-Request），Status-Type 取值爲 stop。
（8）RADIUS 服務器返回計費結束響應包（Accounting-Response）。
（9）用戶訪問資源結束。

3. 配置準備
          如果採用遠端認證、授權或計費方案時，需要已經創建 RADIUS 或 HWTACACS 方案。
          RADIUS方案（radius-scheme）：可以通過引用配置好的RADIUS方案來實現認證、授權、計費。

配置 RADIUS 協議
RADIUS 協議配置是以 RADIUS 方案爲單位進行的，一個 RADIUS 方案在實際組網環境中既可以運用於一臺獨立的 RADIUS 服務器，也可以運用於兩臺配置相同、但IP 地址不同的主、從 RADIUS 服器。當創建一個新的 RADIUS 方案之後，需要對屬於此方案的 RADIUS 服務器的 IP 地址和 UDP 端口號進行設置，這些服務器包括認證/授權和計費服務器，而每種服務器又有主服務器和從服務器的區別。每個RADIUS 方案的屬性包括：主服務器的 IP 地址、從服務器的 IP 地址、共享密鑰以及 RADIUS 服務器類型等。
在實際組網環境中，上述參數的設置需要根據具體需求來決定。但是必須至少設置一個認證/授權服務器和一個計費服務器（如果不配置計費服務器，則必須配置accounting optional 命令）。同時，保證交換機上的 RADIUS 服務端口設置與RADIUS 服務器上的端口設置保持一致。