Tweet
RADIUS là một giao thức AAA tiêu chuẩn IETF. Như với TACACS +, nó tuân theo mô hình máy khách / máy chủ nơi máy khách khởi tạo các yêu cầu đến máy chủ. RADIUS là giao thức AAA được lựa chọn để truy cập mạng AAA và đã đến lúc phải làm quen với RADIUS. Nếu bạn kết nối với mạng không dây an toàn thường xuyên, rất có thể RADIUS được sử dụng giữa thiết bị không dây và máy chủ AAA. Tại sao? Bởi vì RADIUS là giao thức truyền tải cho EAP, cùng với nhiều giao thức xác thực khác.
Ban đầu, RADIUS được sử dụng để mở rộng xác thực từ Giao thức điểm-điểm (PPP) lớp 2 được sử dụng giữa người dùng cuối và máy chủ truy cập mạng (NAS) và mang lưu lượng xác thực đó từ NAS đến máy chủ AAA thực hiện xác thực . Điều này cho phép giao thức xác thực lớp 2 được mở rộng qua ranh giới lớp 3 đến máy chủ xác thực tập trung.
Như được mô tả trước đây trong chương này, RADIUS đã phát triển vượt xa các trường hợp sử dụng mạng quay số mà nó ban đầu được tạo ra. Ngày nay, nó vẫn được sử dụng theo cùng một cách, mang lưu lượng xác thực từ thiết bị mạng đến máy chủ xác thực. Với IEEE 802.1X, RADIUS được sử dụng để mở rộng EAP lớp 2 từ người dùng cuối đến máy chủ xác thực, như được minh họa trong Hình 1 – 6 .
Có nhiều sự khác biệt giữa RADIUS và TACACS +. Một sự khác biệt như vậy là xác thực và ủy quyền không được tách riêng trong RADIUS. Khi yêu cầu xác thực được gửi đến máy chủ AAA, máy khách AAA sẽ có kết quả ủy quyền được gửi lại trong phản hồi.
Chỉ có một vài loại thông báo có xác thực và ủy quyền RADIUS:
Access-Accept: Đã gửi từ máy chủ AAA đến máy khách AAA báo hiệu xác thực đã qua. Kết quả ủy quyền sẽ được bao gồm dưới dạng cặp AV. Các cặp AV có thể bao gồm các mục như Vlan được chỉ định, danh sách kiểm soát truy cập có thể tải xuống (dACL), thẻ nhóm bảo mật (SGT) và nhiều hơn nữa.
Khi nhìn vào Hình 1 – 7, hãy nhớ rằng xác thực và ủy quyền được kết hợp với RADIUS. Thông báo Chấp nhận (Access-Accept) truy cập bao gồm các cặp AV xác định những gì người dùng được ủy quyền để làm.
Một chức năng chính của AAA không thể bỏ qua là accounting. Điều quan trọng đối với an ninh là có một bản ghi lại về những gì đã xảy ra. Ngoài yêu cầu ủy quyền được gửi đến máy chủ AAA, cần có các bản ghi lại accounting về các hoạt động của người dùng.
Chỉ có hai loại tin nhắn được sử dụng trong kế toán:
Hình này là sự tiếp nối trực tiếp của Hình 1 – 7 nơi xảy ra xác thực và ủy quyền.
Không giống như TACACS +, RADIUS sử dụng UDP làm giao thức truyền. Các cổng tiêu chuẩn được RADIUS sử dụng là UDP/1812 để xác thực và UDP/1813 cho accounting. Cisco đã hỗ trợ RADIUS trước khi tiêu chuẩn được phê chuẩn và các cổng được sử dụng là UDP/1645 (xác thực) và UDP/1646 (accounting). Hầu hết các thiết bị của Cisco sẽ hỗ trợ sử dụng một trong hai bộ cổng để đảm bảo khả năng tương thích ngược.
Cặp AV
Như bạn nhận thấy, cặp giá trị thuộc tính (cặp AV) đã được tham chiếu tất cả thông qua TACACS + và các phần RADIUS. Khi giao tiếp với giao thức AAA, có nhiều thuộc tính có thể được tham chiếu để đưa ra câu trả lời hoặc kết quả rõ ràng. Ví dụ, máy chủ RADIUS có thể gán một thuộc tính cho phiên xác thực như VLAN. Trình cung cấp thông tin VLAN là thuộc tính và số VLAN được gán thực tế là giá trị cho trình cung cấp thông tin đó.
Trình cung cấp thông tin trong giao tiếp AAA và giá trị được gán của nó được ghép với nhau và được gọi là các cặp AV.
Thay Đổi Ủy Quyền (COA)
Do RADIUS luôn được xác định là kiến trúc máy khách máy chủ, nên máy khách luôn bắt đầu cuộc trò chuyện, nên việc máy chủ AAA thực hiện hành động trở nên khó khăn. Vì RADIUS đã được xác định, máy chủ AAA chỉ có thể gán ủy quyền do yêu cầu xác thực.
Khi công nghệ phát triển, nhiều nhu cầu mới xuất hiện, bao gồm khả năng mạng loại bỏ các khách hàng làm sai, cách ly họ hoặc về cơ bản chỉ là thay đổi quyền truy cập của họ.
Làm thế nào điều đó có thể xảy ra khi truy cập mạng đang sử dụng nền tảng điều khiển RADIUS và máy khách AAA phải luôn bắt đầu các cuộc hội thoại RADIUS? Đó là nơi RFC 3576 và RFC 5176 kế nhiệm của nó xuất hiện. Những RFC này xác định một cải tiến mới cho RADIUS được gọi là Phần mở rộng ủy quyền động cho RADIUS, hay thường được gọi là Thay đổi ủy quyền (CoA).
COA là thứ cho phép máy chủ RADIUS bắt đầu cuộc trò chuyện với thiết bị mạng và ngắt kết nối phiên người dùng, trả lại cổng (thực hiện tắt/không tắt) hoặc thậm chí yêu cầu thiết bị ủy quyền lại cho người dùng. Khi bạn tìm hiểu thêm về Cisco ISE và chức năng nâng cao mà nó mang lại cho truy cập mạng AAA, bạn cũng sẽ thấy COA quan trọng như thế nào.
Ban đầu, RADIUS được sử dụng để mở rộng xác thực từ Giao thức điểm-điểm (PPP) lớp 2 được sử dụng giữa người dùng cuối và máy chủ truy cập mạng (NAS) và mang lưu lượng xác thực đó từ NAS đến máy chủ AAA thực hiện xác thực . Điều này cho phép giao thức xác thực lớp 2 được mở rộng qua ranh giới lớp 3 đến máy chủ xác thực tập trung.
Như được mô tả trước đây trong chương này, RADIUS đã phát triển vượt xa các trường hợp sử dụng mạng quay số mà nó ban đầu được tạo ra. Ngày nay, nó vẫn được sử dụng theo cùng một cách, mang lưu lượng xác thực từ thiết bị mạng đến máy chủ xác thực. Với IEEE 802.1X, RADIUS được sử dụng để mở rộng EAP lớp 2 từ người dùng cuối đến máy chủ xác thực, như được minh họa trong Hình 1 – 6 .
Có nhiều sự khác biệt giữa RADIUS và TACACS +. Một sự khác biệt như vậy là xác thực và ủy quyền không được tách riêng trong RADIUS. Khi yêu cầu xác thực được gửi đến máy chủ AAA, máy khách AAA sẽ có kết quả ủy quyền được gửi lại trong phản hồi.
Chỉ có một vài loại thông báo có xác thực và ủy quyền RADIUS:
- Access-Request: Thông báo này được gửi từ máy khách AAA đến máy chủ AAA để yêu cầu xác thực và ủy quyền. Yêu cầu có thể là truy cập mạng hoặc truy cập phần cứng thiết bị; RADIUS không phân biệt giữa 2 loại. Hàm được yêu cầu được gọi là một loại dịch vụ. Ví dụ: loại dịch vụ có thể được Đóng khung cho xác thực IEEE 802.1X. Bảng 1-1 liệt kê một số loại dịch vụ RADIUS phổ biến. Bạn có thể tìm thấy danh sách đầy đủ hơn về các loại dịch vụ RADIUS tại http://bit.ly/1CGDE8Y.
Bảng 1-1 Các loại dịch vụ RADIUS
Access-Accept: Đã gửi từ máy chủ AAA đến máy khách AAA báo hiệu xác thực đã qua. Kết quả ủy quyền sẽ được bao gồm dưới dạng cặp AV. Các cặp AV có thể bao gồm các mục như Vlan được chỉ định, danh sách kiểm soát truy cập có thể tải xuống (dACL), thẻ nhóm bảo mật (SGT) và nhiều hơn nữa.
- Access-Reject: Đã gửi từ máy chủ AAA đến máy khách AAA báo hiệu lỗi xác thực. Việc xác thực thất bại cũng có nghĩa là không có ủy quyền nào được cấp.
- Access-Challenge: Thông báo tùy chọn này có thể được gửi từ máy chủ AAA đến máy khách AAA khi cần thêm thông tin, chẳng hạn như mật khẩu thứ hai để xác thực hai yếu tố.
Hình 1 – 7 minh họa một luồng RADIUS mẫu
Khi nhìn vào Hình 1 – 7, hãy nhớ rằng xác thực và ủy quyền được kết hợp với RADIUS. Thông báo Chấp nhận (Access-Accept) truy cập bao gồm các cặp AV xác định những gì người dùng được ủy quyền để làm.
Một chức năng chính của AAA không thể bỏ qua là accounting. Điều quan trọng đối với an ninh là có một bản ghi lại về những gì đã xảy ra. Ngoài yêu cầu ủy quyền được gửi đến máy chủ AAA, cần có các bản ghi lại accounting về các hoạt động của người dùng.
Chỉ có hai loại tin nhắn được sử dụng trong kế toán:
- Accounting-Request: Thông báo này được gửi bởi máy khách AAA đến máy chủ AAA. Nó có thể bao gồm thời gian, gói, thông tin Giao thức cấu hình máy chủ động (DHCP), thông tin Giao thức discovery của Cisco (CDP), v.v. thông báo có thể là thông báo BẮT ĐẦU cho biết dịch vụ đã bắt đầu hoặc thông báo STOP cho biết dịch vụ đã kết thúc.
- Accounting-Response: Thông báo này hoạt động giống như một xác nhận đã nhận, vì vậy máy khách AAA biết thông điệp accounting đã được máy chủ AAA nhận được.
Hình này là sự tiếp nối trực tiếp của Hình 1 – 7 nơi xảy ra xác thực và ủy quyền.
hìnnh 1 – 8 minh họa một luồng accounting RADIUS mẫu.
Không giống như TACACS +, RADIUS sử dụng UDP làm giao thức truyền. Các cổng tiêu chuẩn được RADIUS sử dụng là UDP/1812 để xác thực và UDP/1813 cho accounting. Cisco đã hỗ trợ RADIUS trước khi tiêu chuẩn được phê chuẩn và các cổng được sử dụng là UDP/1645 (xác thực) và UDP/1646 (accounting). Hầu hết các thiết bị của Cisco sẽ hỗ trợ sử dụng một trong hai bộ cổng để đảm bảo khả năng tương thích ngược.
Cặp AV
Như bạn nhận thấy, cặp giá trị thuộc tính (cặp AV) đã được tham chiếu tất cả thông qua TACACS + và các phần RADIUS. Khi giao tiếp với giao thức AAA, có nhiều thuộc tính có thể được tham chiếu để đưa ra câu trả lời hoặc kết quả rõ ràng. Ví dụ, máy chủ RADIUS có thể gán một thuộc tính cho phiên xác thực như VLAN. Trình cung cấp thông tin VLAN là thuộc tính và số VLAN được gán thực tế là giá trị cho trình cung cấp thông tin đó.
Trình cung cấp thông tin trong giao tiếp AAA và giá trị được gán của nó được ghép với nhau và được gọi là các cặp AV.
Thay Đổi Ủy Quyền (COA)
Do RADIUS luôn được xác định là kiến trúc máy khách máy chủ, nên máy khách luôn bắt đầu cuộc trò chuyện, nên việc máy chủ AAA thực hiện hành động trở nên khó khăn. Vì RADIUS đã được xác định, máy chủ AAA chỉ có thể gán ủy quyền do yêu cầu xác thực.
Khi công nghệ phát triển, nhiều nhu cầu mới xuất hiện, bao gồm khả năng mạng loại bỏ các khách hàng làm sai, cách ly họ hoặc về cơ bản chỉ là thay đổi quyền truy cập của họ.
Làm thế nào điều đó có thể xảy ra khi truy cập mạng đang sử dụng nền tảng điều khiển RADIUS và máy khách AAA phải luôn bắt đầu các cuộc hội thoại RADIUS? Đó là nơi RFC 3576 và RFC 5176 kế nhiệm của nó xuất hiện. Những RFC này xác định một cải tiến mới cho RADIUS được gọi là Phần mở rộng ủy quyền động cho RADIUS, hay thường được gọi là Thay đổi ủy quyền (CoA).
COA là thứ cho phép máy chủ RADIUS bắt đầu cuộc trò chuyện với thiết bị mạng và ngắt kết nối phiên người dùng, trả lại cổng (thực hiện tắt/không tắt) hoặc thậm chí yêu cầu thiết bị ủy quyền lại cho người dùng. Khi bạn tìm hiểu thêm về Cisco ISE và chức năng nâng cao mà nó mang lại cho truy cập mạng AAA, bạn cũng sẽ thấy COA quan trọng như thế nào.