|
16-17-Laboratoriya ishi
Mavzu: AAA server autentifikatsiya rejimini va RADIUS serverini sozlash
Ishdan maqsad:
RADIUS (Remote Authentication in Dial-In User Service) - AAA protokoli (Autentifikatsiya, Avtorizatsiya va Accounting), markaziy AAA platformasi va Dial-Up ulanish uskunalari (NAS, Network Access Server) va billing tizimi o‘rtasida ma’lumotlarni uzatish uchun mo‘ljallangan.
Birlamchi ma’lumotlar (an’anaviy ravishda RADIUS protokoli orqali uzatiladi) kiruvchi va chiquvchi trafik qiymatlari: bayt / oktetlarda (yaqinda gigabaytlarda). Shu bilan birga, protokol VSA (Vendor Specific Attributes) yordamida amalga oshiriladigan har qanday turdagi ma’lumotlarni uzatishni ta’minlaydi.
RADIUS server ishlash uchun UDP dan foydalanadi. Odatiy bo‘lib, RADIUS serveri 1812 portda tinglaydi. Akkaunt hisobi uchun boshqa port ishlatiladi - 1813 (radius-acct).
NAS (Network Access Server) foydalanuvchi autentifikatsiyani talab qilganda qanday javob berishini ko‘rib chiqamiz:
• foydalanuvchi NAS -ga haqiqiylikni tekshirishga harakat qilmoqda
• NAS birinchi radiusli serverga qaraydi va ulanishni o‘rnatish uchun paket yuboradi (kirish so‘rovi)
• agar javob ma’lum vaqt ichida qabul qilinmasa, NAS yana radius serverini so‘roq qiladi yoki alternativ serverni qidiradi
RADIUS server NAS IP manziliga qaraydi va simmetrik shifrlash kalitini tekshiradi, agar IP manzili va kalit konfiguratsiya faylida yozilganga mos bo‘lsa, ulanish davom etadi, aks holda mijozga yaroqsiz kalit paketi yuboriladi. Tekshirish tasodifiy satrni yaratish va shifrlash orqali amalga oshiriladi. Bundan tashqari, mijoz va RADIUS server o‘rtasida uzatiladigan ma’lumotlar ushbu kalit bilan shifrlangan.
RADIUS server foydalanuvchi parolini tekshiradi (md5 parol Xash tarmog‘i orqali uzatiladi), parol bilan bir qatorda, server ip-manzilini va NAS portini tekshirishi mumkin, agar bu ma’lumotlar noto‘g‘ri bo‘lsa, server NAS-ni yuboradi xato kodini o‘z ichiga olgan " Доступ запрещён" to‘plami, shuningdek, foydalanuvchi uchun ko‘rsatiladigan xato matn tavsifini ham o‘z ichiga olishi mumkin agar foydalanuvchi ma’lumotlari to‘g‘ri bo‘lsa, server NAS paketini yuboradi "Доступ разрешён", xizmat ma’lumotlarini o‘z ichiga olgan(PPP, SLIP, login) va xizmatning ayrim o‘ziga xos parametrlari, masalan, IP-manzil, subnet raqami, MTU PPP xizmati uchun juft parametr=qiymat(AV juft).
RADIUS xabari har doim sarlavha va atributlardan iborat bo‘lib, ularning har biri kirishga urinish haqida bir yoki bir nechta ma’lumotni o‘z ichiga oladi: masalan, foydalanuvchi nomi va paroli, so‘ralgan xizmatlar va kirish serverining IP-manzili. Shunday qilib, RADIUS atributlarining asosiy vazifasi RADIUS mijozlari va serverlari o‘rtasidagi ma’lumotlarni tashishdir. RADIUS atributlari RFC 2865, RFC 2866, RFC 2867, RFC 2868, RFC 2869 va RFC 3162 kabi bir nechta RFC da aniqlanadi.
RADIUS turli xil autentifikatsiya protokollari bilan birgalikda ishlashi mumkin. Eng ko‘p ishlatiladigan parol autentifikatsiya protokoli (Password Authentication Protocol, PAP), oldindan kelishilgan autentifikatsiya protokoli (Challenge Handshake Authentication Protocol, CHAP) va MS-CHAP (Microsoft -ning birinchi versiyasida yoki MS — CHAPv2-ikkinchi).
Amaliy qism
Dasturni ishga tushirib rasmda ko‘rsatilganidek tarmoq quring va IP manzillar belgilang. (rasmda ko‘rsatilganidek emas). (1.1Rasm).
1.1 Rasm. Cisco Packet Tracer dasturida serverga ulanish
Radiusni sozlashda marshrutizatorni sozlashni boshlashdan oldin serverdagi parametrlarni belgilashingiz kerak, aks holda konfiguratsiya qilinmagan serverdan ma’lumotlarni talab qilishda marshrutizator bloklanadi.
Radius serverini sozlash:
1.2 Rasm. RADIUS server sozlash oynasi
Rasmda ko‘rinib turganidek, foydalanuvchi nomi “UserName”ga "User1" va "Password” ga “user1abc" ishlatiladi.
Endi RADIUS server bilan ishlash uchun marshrutizatorlash o‘rnating:
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#aaa new-model
Router(config)#radius-server host 10.0.0.2 key abc123
Router(config)#aaa authentication login default group radius local
Router(config)#line vty 0 15
Router(config-line)#login authentication default
Router(config-line)#exit
Router(config)#exit
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
|
Konfiguratsiya tekshiruvi
Tekshirish uchun User1 buyruq satriga o‘ting va birinchi routerga (ping) ping jo‘nating. Keyin, avvalgi qadam muvaffaqiyatli bo‘lsa, biz routerga telnet orqali boramiz:
1.3.Rasm. Buyruqlar satri oynasi
Topshiriq.
1.Rasmda ko‘rsatilgan sxemani to‘plang (hisobotni rasmga kiriting)
2.Qurilmalar konfiguratsiya (ip manzillar tayinlash)
3.Tarmoqlar orasidagi marshrutni sozlash (protokolni o‘zingiz tanlang va
uni hisobotda ko‘rsating)
4.DHCP serverini sozlash
5.Router4 serverida va qurilmasida aaa radiusni sozlang
6.Simulyatsiya rejimida tarmoq ishlashini tekshiring
7.Hisobotga zarur ma’lumotlarni kiritish
Do'stlaringiz bilan baham: |
