论文部分内容阅读
摘要:本文详细介绍为通过拨号上网的用户分配私有IP地址,再通过路由器NAT技术进行转换,结合AAA技术对拨号上网用户进行身份认证的综合解决方案,在互联网中具有广泛应用空间。
关键词:拨号;NAT;AAA;路由器
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)03-10718-02
1 引言
随着互联网技术的高速发展,互联网用户的数量急剧增加,加快了信息化建设步伐,而目前正在使用的IPV4地址,因地址数量有限,专家预计在2011年左右全部分配完毕,在IPV6未正式投入应用之前,网络地址转换(NAT)是一个较好的解决方案,使用也比较广泛。
在计算机网络的用户端,最后一公里接入技术正处于发展阶段,而目前普及程度最高、成本最低的电话网络(PSTN)还是主流,用户量最多,在目前网络的高速发展阶段,本文提出为拨号用户分配私有地址,通过硬件NAT技术来进行转换,使用AAA技术进行身份认证的综合解决方案,并详细介绍其实现过程。
2 实现原理
2.1 拨号网络
电话拨号网络中采用PPP协议,而PPP提供了同步和异步电路上的路由器到路由器、主机到网络的连接,PPP是目前使用最为广泛的广域网协议之一,因为它能够控制数据链路的建立,能够对IP地址进行分配和管理,支持多种网络协议的复用,能够配置链路并对链路进行质量测试,并能进行错误检测。
PPP使用分层体系结构,体系结构就是一个逻辑模型、设计或蓝图,分层体系结构有助于相邻层之间的通信。在网络中应用的OSI模型就是分层的体系结构。PPP提供了在一条点到点链路上封装多种协议数据報的方法,并且还可以利用数据链路层来测试连接。因此,PPP使用了OSI分层体系结构中的3层,如下表所示:
物理层用来实现点到点的连接,数据链路层用来建立和配置连接,网络层用来配置不同的网络层协议。
2.2 NAT技术
任何一台连接到因特网的设备都需要一个IP地址,需要IP地址的设备数量在飞速增长,但可用的IP地址数量是有限的,面临着IPV4地址空间耗尽的问题,在IPV6没有得到推广之前,NAT是目前一个理想的解决方案。NAT是将内部网的私有地址通过地址转换来访问互联网,把IP包内的地址用公网的IP地址,不但有效解决了IP地址紧缺问题,还隔离内外网络,提供网络安全保障。
NAT技术有三种类型,其中静态NAT是为私有地址与公有地址之间建立一对一的映射关系,即一个公网地址只能为一台使用私有IP地址的计算机进行地址转换,并且是一一对应。动态NAT的特点也是一对一的映射关系,使用动态NAT时,在路由器收到需要转换的通信之前NAT表中不存在转换,动态转换是临时的,它们最终会超时,动态NAT为每一个内部的IP地址分配一个临时的外部IP地址,当远程用户连接上之后,动态NAT就会从地址池中分配给一个IP地址给用户,用户断开时,这个IP地址就会被自动收回。网络地址端口转换NAPT是把内部地址映射到外部网络的一个IP地址的不同端口上,起到一个公网IP地址为大量私有IP的计算机进行转换。
2.3 AAA技术
AAA是安全认证的内容,对用户身份实施检验和权限设定。具体实施时需要用到特定的认证协议(如TACACS+和RADIUS),用AAA可以提高网络访问控制的可扩展性,在网络中被广泛应用,AAA包括如下三部份内容:
认证(authentication):认证用以决定用户的身份,以及是否允许他们访问网络,认证使网络管理员可以阻止入侵者进入网络。
授权(authorization):授权使网络管理员可以限制每个用户可获得的网络服务,授权也有助于限制内部网络对外部访问者的曝露。授权可以使移动用户只需连接到离他最近的本地连接,就能够享有同样的访问特权。我们也可以用授权来规定在某些具体的网络设备上,一名新的系统管理员可以发出哪些命令。
统计(accounting):系统管理员也许需要对部门或客户根据网络连接时间成为使用的资源(例如所传输的字节)进行收费。统计可以跟踪并记录这类信息。我们也可以使用统计的系统日志(syslog)来跟踪试图进入网络的可疑连接以及跟踪恶意的活动。
3 实现过程
本文以Cisco路由器为例,通过modem或Modem池与电话线进行连接,提供远程拨号访问服务,采用CiscoEasyAcs软件解决拨号上网用户的分类、身份验证、授权,管理和记帐等问题,同时动态为每个客户机分配私有IP地址。采用NAT技术,将其进行转化,最终连入到互联网中,网络连接结构如图所示。
下面详细介绍每一部份的配置过程。
3.1 配置异步连接
如果让拨号上网用户的身份通过本地进行认证,应在思科路由器的全局配置模式下对拨号上网的用户名、密码、动态分配的IP地址池和客户端动态获取的DNS服务器地址等内容进行相应的配置。
usernamewu password123
ip local pool nyist 10.10.10.2 10.10.10.254
ip name-server 202.102.240.65
进入Async接口配置IP地址、PPP封装协议、设置交互模式、应用IP地址池等逻辑设备,代码如下:
interface Async1
ip address 10.10.10.1 255.255.255.0
encapsulation ppp
async mode dedicated
peer default ip address pool nyist
在路由器中对调制解调器进行允许进入与外出的连接、自动查找发现、流量控制等物理设置,代码如下:
line 1 16
modem InOut
modem autoconfigure discovery
此时已经完成最基本的拨号配置,客户端可以通过拨号程序与路由器之间建立通讯,用户可以动态获得IP地址、网关、DNS服务器地址等信息,要想与广域网进行通讯,还必须进行NAT地址转换。
3.2 NAT地址转换的配置
下面我们以NAT地址转换中的网络地址端口转换NAPT为例进行介绍,首先我们给路由器与互联网连接的接口配置IP地址并指定为NAT的外部接口,并通过ip nat inside命令对Async接口指定为NAT的内部接口,配置信息如下所示:
interface ethernet 0
ip address 218.28.87.18 255.255.255.240
ip nat outside
no shutdown
在路由器的全局配置模式下为内部网络定义一个NAT地址集,下面的nyist是地址池的名字,用户可获得IP地址的范围是218.28.87.18到218.28.87.18,如果公网IP地址较多,可以指定一个较大地址范围的地址池。为内部网络定义一个标准的IP访问控制列表和静态缺省路由。
ip nat pool nyist 218.28.87.18 218.28.87.18 netmask 255.255.255.240
access-list 1 permit 192.168.0.0 0.0.0.255
ip nat inside source list 1 pool nyistoverload
ip route 0.0.0.0 0.0.0.0 ethernet 0
设置完成后可以通过show ip nat translations命令来查看通过NAT转换的结果;如果使用动态NAT可以通过show ip nat translations verbose命令查看离动态分配超时时间可,在其显示内容中将会看到如下信息“create 07:06:32, use 00:00:16, left 23:59:43, flags: none”。端口转换NAPT的默认超时门限为24小时,这就意味着下一个用户要获得此IP地址,将不得不等到第二天,可以通过Ip nat translation timeout 180来改变再次获取IP地址的时间,此时只要等三分钟后用户就可以上网。如果使用端口地址转换NAPT,就可以支持成百上千用户使用少量的公用地址上网,也不必等待超时。
3.3 使用AAA 对用户进行,认证,授权,和计费
大量拨号用户使用网络时,需要大型拨号认证计费服务器,同时能够认证大量上网拨号用户,以及保存用户上网信息以计费,系统要具备良好的扩展性以应对用户规模的增长,具有一种多線程服务器模型以提高系统响应速度,为了提高网络的安全性和对用户实施认证、授权、提高收费的合理和公平性,我们采用Access Server通过Tacacs服务器实现安全认证,用一台安装有WINDOWS 2000操作系统的计算机作为Tacacs服务器,IP地址为218.28.87.22,运行ACS软件实现用户认证功能,其中最为关键的配置信息如下所示。
路由器安全和AAA鉴权
aaa new-model
进入AAA访问控制模式, 激活AAA访问控制。
aaa authentication login default tacacs+
用户登录时默认起用Tacacs+做AAA认证,默认的登录认证列表,首先访问TACACS+服务器,如果服务器没有任何应答,则使用本地用户名/口令数据库。
aaa authentication ppp default tacacs+
在运行PPP的串行线上采用Tacacs+做认证
aaa authorization exec tacacs+
由TACACS+服务器授权运行EXEC
aaa authorization network tacacs+
由TACACS+服务器授权与网络相关的服务请求。
aaa accounting network start-stop tacacs+
为与网络相关的服务需求运行记帐包括SLIP,PPP,PPP NCPs,ARAP等.在进程开始和结束时发通告给TACACS+服务器。
aaa accounting exec start-stop tacacs+
为EXEC会话运行记帐.进程开始和结束时发通告给TACACS+服务器。
tacacs-server host 218.28.87.22
指定Tacacs服务器地址
tacacs-server key nyist
在Tacacs+服务器和访问服务器设定共享的关键字,访问服务器和Tacacs+服务器使用这个关键字去加密口令和响应信息,这里使用nyist作为关键字。通过上面的配置完成了AAA的配置,接下来就可以通过软件的可视化界面对用户、组等进行操作。
4 总结
PPP已是成熟的网络协议,已发展为一个比较完备的协议系统,并被广泛的使用,很多网络接入软件也将PPP封装在其中,拨号用户通过使用私有IP地址,节省IP地址的开销,同时提高用户的安全性,通过NAT技术进行转换来实现与互联网的连接,通过AAA进行身份鉴定、授权、审计是一套用户接入很好的解决方案,具有很强的应用和推广价值。
参考文献:
[1][美]Mark McGregor.CCNP思科网络技术学院教程(第6学期)远程接入[M].人民邮电出版社,2003年10月.
[2][美]Mark McGregor.CCNP思科网络技术学院教程(第5学期)高级路由[M].人民邮电出版社,2001年12月.
[3][美]Debra Littlejohn Shinder.思科网络技术学院教程:计算机网络[M].人民邮电出版社,2002年4月.
[4][美]Catherine Paquet,Diane Teare,著.组建可扩展的CISCO网络[M].人民邮电出版社,2001年3月.
[5]杨义先,钮心忻.网络安全理论与技术[M].人民邮电出版社,2003年10月.
[6][美]Kenneth D.Reed.协议分析(第7版)[M].电子工业出版社,2004年1月.
[7]王达.计算机网络远程管理[M].清华大学出版社,2003年6月.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:拨号;NAT;AAA;路由器
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)03-10718-02
1 引言
随着互联网技术的高速发展,互联网用户的数量急剧增加,加快了信息化建设步伐,而目前正在使用的IPV4地址,因地址数量有限,专家预计在2011年左右全部分配完毕,在IPV6未正式投入应用之前,网络地址转换(NAT)是一个较好的解决方案,使用也比较广泛。
在计算机网络的用户端,最后一公里接入技术正处于发展阶段,而目前普及程度最高、成本最低的电话网络(PSTN)还是主流,用户量最多,在目前网络的高速发展阶段,本文提出为拨号用户分配私有地址,通过硬件NAT技术来进行转换,使用AAA技术进行身份认证的综合解决方案,并详细介绍其实现过程。
2 实现原理
2.1 拨号网络
电话拨号网络中采用PPP协议,而PPP提供了同步和异步电路上的路由器到路由器、主机到网络的连接,PPP是目前使用最为广泛的广域网协议之一,因为它能够控制数据链路的建立,能够对IP地址进行分配和管理,支持多种网络协议的复用,能够配置链路并对链路进行质量测试,并能进行错误检测。
PPP使用分层体系结构,体系结构就是一个逻辑模型、设计或蓝图,分层体系结构有助于相邻层之间的通信。在网络中应用的OSI模型就是分层的体系结构。PPP提供了在一条点到点链路上封装多种协议数据報的方法,并且还可以利用数据链路层来测试连接。因此,PPP使用了OSI分层体系结构中的3层,如下表所示:
物理层用来实现点到点的连接,数据链路层用来建立和配置连接,网络层用来配置不同的网络层协议。
2.2 NAT技术
任何一台连接到因特网的设备都需要一个IP地址,需要IP地址的设备数量在飞速增长,但可用的IP地址数量是有限的,面临着IPV4地址空间耗尽的问题,在IPV6没有得到推广之前,NAT是目前一个理想的解决方案。NAT是将内部网的私有地址通过地址转换来访问互联网,把IP包内的地址用公网的IP地址,不但有效解决了IP地址紧缺问题,还隔离内外网络,提供网络安全保障。
NAT技术有三种类型,其中静态NAT是为私有地址与公有地址之间建立一对一的映射关系,即一个公网地址只能为一台使用私有IP地址的计算机进行地址转换,并且是一一对应。动态NAT的特点也是一对一的映射关系,使用动态NAT时,在路由器收到需要转换的通信之前NAT表中不存在转换,动态转换是临时的,它们最终会超时,动态NAT为每一个内部的IP地址分配一个临时的外部IP地址,当远程用户连接上之后,动态NAT就会从地址池中分配给一个IP地址给用户,用户断开时,这个IP地址就会被自动收回。网络地址端口转换NAPT是把内部地址映射到外部网络的一个IP地址的不同端口上,起到一个公网IP地址为大量私有IP的计算机进行转换。
2.3 AAA技术
AAA是安全认证的内容,对用户身份实施检验和权限设定。具体实施时需要用到特定的认证协议(如TACACS+和RADIUS),用AAA可以提高网络访问控制的可扩展性,在网络中被广泛应用,AAA包括如下三部份内容:
认证(authentication):认证用以决定用户的身份,以及是否允许他们访问网络,认证使网络管理员可以阻止入侵者进入网络。
授权(authorization):授权使网络管理员可以限制每个用户可获得的网络服务,授权也有助于限制内部网络对外部访问者的曝露。授权可以使移动用户只需连接到离他最近的本地连接,就能够享有同样的访问特权。我们也可以用授权来规定在某些具体的网络设备上,一名新的系统管理员可以发出哪些命令。
统计(accounting):系统管理员也许需要对部门或客户根据网络连接时间成为使用的资源(例如所传输的字节)进行收费。统计可以跟踪并记录这类信息。我们也可以使用统计的系统日志(syslog)来跟踪试图进入网络的可疑连接以及跟踪恶意的活动。
3 实现过程
本文以Cisco路由器为例,通过modem或Modem池与电话线进行连接,提供远程拨号访问服务,采用CiscoEasyAcs软件解决拨号上网用户的分类、身份验证、授权,管理和记帐等问题,同时动态为每个客户机分配私有IP地址。采用NAT技术,将其进行转化,最终连入到互联网中,网络连接结构如图所示。
下面详细介绍每一部份的配置过程。
3.1 配置异步连接
如果让拨号上网用户的身份通过本地进行认证,应在思科路由器的全局配置模式下对拨号上网的用户名、密码、动态分配的IP地址池和客户端动态获取的DNS服务器地址等内容进行相应的配置。
usernamewu password123
ip local pool nyist 10.10.10.2 10.10.10.254
ip name-server 202.102.240.65
进入Async接口配置IP地址、PPP封装协议、设置交互模式、应用IP地址池等逻辑设备,代码如下:
interface Async1
ip address 10.10.10.1 255.255.255.0
encapsulation ppp
async mode dedicated
peer default ip address pool nyist
在路由器中对调制解调器进行允许进入与外出的连接、自动查找发现、流量控制等物理设置,代码如下:
line 1 16
modem InOut
modem autoconfigure discovery
此时已经完成最基本的拨号配置,客户端可以通过拨号程序与路由器之间建立通讯,用户可以动态获得IP地址、网关、DNS服务器地址等信息,要想与广域网进行通讯,还必须进行NAT地址转换。
3.2 NAT地址转换的配置
下面我们以NAT地址转换中的网络地址端口转换NAPT为例进行介绍,首先我们给路由器与互联网连接的接口配置IP地址并指定为NAT的外部接口,并通过ip nat inside命令对Async接口指定为NAT的内部接口,配置信息如下所示:
interface ethernet 0
ip address 218.28.87.18 255.255.255.240
ip nat outside
no shutdown
在路由器的全局配置模式下为内部网络定义一个NAT地址集,下面的nyist是地址池的名字,用户可获得IP地址的范围是218.28.87.18到218.28.87.18,如果公网IP地址较多,可以指定一个较大地址范围的地址池。为内部网络定义一个标准的IP访问控制列表和静态缺省路由。
ip nat pool nyist 218.28.87.18 218.28.87.18 netmask 255.255.255.240
access-list 1 permit 192.168.0.0 0.0.0.255
ip nat inside source list 1 pool nyistoverload
ip route 0.0.0.0 0.0.0.0 ethernet 0
设置完成后可以通过show ip nat translations命令来查看通过NAT转换的结果;如果使用动态NAT可以通过show ip nat translations verbose命令查看离动态分配超时时间可,在其显示内容中将会看到如下信息“create 07:06:32, use 00:00:16, left 23:59:43, flags: none”。端口转换NAPT的默认超时门限为24小时,这就意味着下一个用户要获得此IP地址,将不得不等到第二天,可以通过Ip nat translation timeout 180来改变再次获取IP地址的时间,此时只要等三分钟后用户就可以上网。如果使用端口地址转换NAPT,就可以支持成百上千用户使用少量的公用地址上网,也不必等待超时。
3.3 使用AAA 对用户进行,认证,授权,和计费
大量拨号用户使用网络时,需要大型拨号认证计费服务器,同时能够认证大量上网拨号用户,以及保存用户上网信息以计费,系统要具备良好的扩展性以应对用户规模的增长,具有一种多線程服务器模型以提高系统响应速度,为了提高网络的安全性和对用户实施认证、授权、提高收费的合理和公平性,我们采用Access Server通过Tacacs服务器实现安全认证,用一台安装有WINDOWS 2000操作系统的计算机作为Tacacs服务器,IP地址为218.28.87.22,运行ACS软件实现用户认证功能,其中最为关键的配置信息如下所示。
路由器安全和AAA鉴权
aaa new-model
进入AAA访问控制模式, 激活AAA访问控制。
aaa authentication login default tacacs+
用户登录时默认起用Tacacs+做AAA认证,默认的登录认证列表,首先访问TACACS+服务器,如果服务器没有任何应答,则使用本地用户名/口令数据库。
aaa authentication ppp default tacacs+
在运行PPP的串行线上采用Tacacs+做认证
aaa authorization exec tacacs+
由TACACS+服务器授权运行EXEC
aaa authorization network tacacs+
由TACACS+服务器授权与网络相关的服务请求。
aaa accounting network start-stop tacacs+
为与网络相关的服务需求运行记帐包括SLIP,PPP,PPP NCPs,ARAP等.在进程开始和结束时发通告给TACACS+服务器。
aaa accounting exec start-stop tacacs+
为EXEC会话运行记帐.进程开始和结束时发通告给TACACS+服务器。
tacacs-server host 218.28.87.22
指定Tacacs服务器地址
tacacs-server key nyist
在Tacacs+服务器和访问服务器设定共享的关键字,访问服务器和Tacacs+服务器使用这个关键字去加密口令和响应信息,这里使用nyist作为关键字。通过上面的配置完成了AAA的配置,接下来就可以通过软件的可视化界面对用户、组等进行操作。
4 总结
PPP已是成熟的网络协议,已发展为一个比较完备的协议系统,并被广泛的使用,很多网络接入软件也将PPP封装在其中,拨号用户通过使用私有IP地址,节省IP地址的开销,同时提高用户的安全性,通过NAT技术进行转换来实现与互联网的连接,通过AAA进行身份鉴定、授权、审计是一套用户接入很好的解决方案,具有很强的应用和推广价值。
参考文献:
[1][美]Mark McGregor.CCNP思科网络技术学院教程(第6学期)远程接入[M].人民邮电出版社,2003年10月.
[2][美]Mark McGregor.CCNP思科网络技术学院教程(第5学期)高级路由[M].人民邮电出版社,2001年12月.
[3][美]Debra Littlejohn Shinder.思科网络技术学院教程:计算机网络[M].人民邮电出版社,2002年4月.
[4][美]Catherine Paquet,Diane Teare,著.组建可扩展的CISCO网络[M].人民邮电出版社,2001年3月.
[5]杨义先,钮心忻.网络安全理论与技术[M].人民邮电出版社,2003年10月.
[6][美]Kenneth D.Reed.协议分析(第7版)[M].电子工业出版社,2004年1月.
[7]王达.计算机网络远程管理[M].清华大学出版社,2003年6月.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。