【HCIA】13.AAA与PPP及PPPOE(一)

本文涉及的产品
文件存储 NAS,50GB 3个月
简介: 【HCIA】13.AAA与PPP及PPPOE

AAA

  • AAA(Authentication, Authorization,andAccounting)是一种管理框架。
  • AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

AAA常见架构

  • AAA常见网络架构中包括用户、NAS(Network Access Server)、AAA服务器(AAA Server)。

  • NAS负责集中收集和管理用户的访问请求。基于域来对用户进行管理,每个域都可以配置不同的认证、授权和计费方案,用于对该域下的用户进行认证、授权和计费。可以是路由器或者交换机。
  • 当收到用户接入网络的请求时,NAS会根据用户名来判断用户所在的域,根据该域对应的AAA方案对用户进行管控。

认证(Authentication)

  • AAA支持的认证方式有:不认证,本地认证,远端认证。

授权(Authorization)

  • AAA支持的授权方式有:不授权,本地授权,远端授权。
  • 授权信息包括:所属用户组、所属VLAN、ACL编号等。

计费(Accouting)

  • 计费功能用于监控授权用户的网络行为和网络资源的使用情况。
  • AAA支持的计费方式有:不计费,远端计费。

AAA的协议RADIUS

  • RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,可以实现对用户的认证、计费和授权功能。
  • 通常由NAS作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
  • RADIUS服务器一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。RADIUS使用UDP(User Datagram Protocol)作为传输协议,并规定UDP端口1812、1813分别作为认证、计费端口,具有良好的实时性;同时也支持重传机制和备用服务器机制,从而具有较好的可靠性。

AAA的配置

[R1]aaa
[R1-aaa]local-user huawei password cipher huawei123
[R1-aaa]local-user huawei service-type telnet 
[R1-aaa]local-user huawei privilege level 0

广域网

广域网络设备的角色

  • 广域网络设备基本角色有三种,CE(Customer Edge,用户边缘设备)、PE (Provider Edge,服务提供商边缘设备) 和P(Provider ,服务提供商设备)。具体定义是:
  • CE:用户端连接服务提供商的边缘设备。CE连接一个或多个PE,实现用户接入。
  • PE:服务提供商连接CE的边缘设备。PE同时连接CE和P设备,是重要的网络节点。
  • P:服务提供商不连接任何CE的设备。

PPP

  • PPP(Point-to-Point Protocol,点到点协议)是一种常见的广域网数据链路层协议,主要用于在全双工的链路上进行点到点的数据传输封装。
  • PPP协议提供LCP(Link Control Protocol,链路控制协议),用于各种链路层参数的协商,例如最大接收单元,认证模式等。
  • PPP提供了安全认证协议族PAP(Password Authentication Protocol,密码验证协议)和CHAP(Challenge Handshake Authentication Protocol,挑战握手认证协议)。
  • PPP协议提供各种NCP(Network Control Protocol,网络控制协议)用于各网络层参数的协商,更好地支持了网络层协议。
  • 点对点

  • R1发的只能是R2收,R2发的只能是R1收,所以没有MAC地址和ARP的概念。

PPP链路建立流程

  • PPP链路的建立有三个阶段的协商过程,链路层协商(LCP)、认证协商(可选PAP或CHAP)和网络层(NCP)协商。
  • 链路层协商:通过LCP报文进行链路参数协商,建立链路层连接。
  • 认证协商(可选):通过链路建立阶段协商的认证方式进行链路认证。
  • 网络层协商 :通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。

  • 链路层主要协商有没有环路,MRU最大接收单元,需不需要认证。
  • 认证层主要协商账号、密码等信息。
  • 网络层主要协商PPP封装的上层协议,形成互访的重要参数,例如路由。

PPP链路协商时的状态机

  • PPP运行过程中,可以随时中断连接,物理链路断开、认证失败、超时定时器时间到、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。

  1. 通信双方开始建立PPP链路时,首先是Dead,当链路侦听到载波信号(有电信号产生)之后,就会进入到Establish阶段。
  2. 在Establish阶段,进行LCP协商:协商通信双方的MRU(Maximum Receive Unit,最大接收单元)、认证方式和魔术字(Magic Number)等选项。协商成功后进入Opened状态,表示底层链路已建立。
  3. 如果配置了认证,将进入Authenticate阶段。否则直接进入Network阶段。
  4. 在Authenticate阶段,会根据连接建立阶段协商的认证方式进行链路认证。认证方式有两种:PAP和CHAP。如果认证成功,进入Network阶段,否则进入Terminate阶段,拆除链路,LCP状态转为Down。
  5. 在Network阶段,PPP链路进行NCP协商。通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。最常见的NCP协议是IPCP,用来协商IP参数。
  6. 在Terminate阶段,如果所有的资源都被释放,通信双方将回到Dead阶段。

LCP链路控制协议

LCP报文格式
  • Flag的值固定是0X7E,表示为PPP报文。
  • Address与Contol的值是固定的。
  • Protocol段里面的值可以告知信息交给哪个上层的协议去处理。
  • Information内容字段,安装Type Length value格式去开发的,即TLV架构。一个TLV可以有一种功能,可以将各种TLV组合起来实现某种功能,也可以直接替换一个TLV,如果OSPFv2是用了TLV的架构,那么它就不会因为需要支持IPv6而重新开发了OSPFv3。TLV可以嵌套。

LCP协商过程-正常协商
  • PPP中的报文全部都是单向协商。
  • LCP协商由不同的LCP报文交互完成。协商由任意一方发送Configure-Request报文发起。如果对端接收此报文且参数匹配,则通过回复Configure-Ack响应协商成功。

  • MRU最大接收单元,这个接口一次最大能接收多少字节,1500字节。
  • 认证类型,需要与自己用PAP认证。
  • 魔术字,随机数,用于防止环路产生,如果发出去的魔术字和自己收到的一样,就是环路了。


相关实践学习
基于ECS和NAS搭建个人网盘
本场景主要介绍如何基于ECS和NAS快速搭建个人网盘。
阿里云文件存储 NAS 使用教程
阿里云文件存储(Network Attached Storage,简称NAS)是面向阿里云ECS实例、HPC和Docker的文件存储服务,提供标准的文件访问协议,用户无需对现有应用做任何修改,即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等特性的分布式文件系统。 产品详情:https://www.aliyun.com/product/nas
目录
相关文章
|
数据安全/隐私保护
【HCIA】13.AAA与PPP及PPPOE(二)
【HCIA】13.AAA与PPP及PPPOE
238 0
|
网络协议
【HCIA】11.ACL与NAT地址转换
【HCIA】11.ACL与NAT地址转换
106 0
|
数据安全/隐私保护
|
监控 网络协议 算法
PPP MP:多链路协议
本文档提出了一种跨多个逻辑数据链路拆分、重组和排序数据报文的方法。这项工作最初的动机是希望利用 ISDN 中的多个承载通道,但同样适用于多个 PPP 链路连接两个系统的任何情况,包括异步链路。这是通过新的 PPP [2] 选项和协议来实现的。
370 0
PPP MP:多链路协议
|
安全 算法 网络安全
[ 虚拟专用网 ] IPsce 虚拟局域网(安全的IP协议的虚拟专用网)详解(二) --- 安全联盟SA
[ 虚拟专用网 ] IPsce 虚拟局域网(安全的IP协议的虚拟专用网)详解(二) --- 安全联盟SA
449 0
[ 虚拟专用网 ] IPsce 虚拟局域网(安全的IP协议的虚拟专用网)详解(二) --- 安全联盟SA
|
BI 开发工具 Android开发
介绍一下PPP项目
PPP的全称是专案组合优化管理系统(Project Portfolio Prioritization),目的是为企业管理多个专案时提供方便,这个项目是为台湾一家银行做的。 利用PPP系统,可以管理企业现有的资源,当新加专案的时候,根据这些资源的技能和现有分派比率(即负荷),和一些其他如行事历、某些人员必须参加等等条件,PPP会提出一些分派方案,项目经理可以直接选择某一方案或对它们进行修改后再实施。
1256 0
|
网络协议 数据安全/隐私保护 网络架构
|
网络架构 数据安全/隐私保护 数据库