HT-8000 远程登录认证服务器

一远程登录认证概述：

远程登录审计原理：

远程登录认证服务器主要完成的功能是验证、授权和记账的功能。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，并且对正在使用网络资源的用户进行记账。具体为：

1、验证(Authentication): 验证用户是否可以获得访问权限；

2、授权(Authorization) : 授权用户可以使用哪些服务；

3、记账(Accounting) : 记录用户使用网络资源的情况。

一、远程登录认证服务器对边界路由器远程登陆认证拓扑图:

HT-8000远程登录认证服务器针对远程登陆（支持TELNET 和SHH两种方式）路由器和交换机时预先对“登陆者”进行身份验证，成功后予以放行并进行记录的认证产品，产品支持双机热备，支持登录ID、登陆用户名及密码与登录电脑IP 的绑定，支持登录日志记录，支持接入路由器密码信息记录与更新，可以满足交通、金融、电力等政府行业对日益庞大的路由器、交换机的管理和维护工作，也可以定期对核心路由器和交换机密码进行更新，确保国家核心部门的网络安全工作。

图2 HT-8000对边界路由器远程登录认证方案拓扑图

如上图，HT-8000远程登录认证服务器可以连接在内网的任何一台交换机和路由器上

完成部署。当PC机远程登录登录路由器（CISCO、华为、中兴等均可）时输入登录用户

名（如 cisco）和对应的口令（如cisco），远程登录认证服务器将本次输入的用户名和密

码和远程登录认证服务器系统内数据库的用户名密码进行比对，当用户名和口令一致时，

远程登录认证服务器验证通过并允许PC机登录路由器或交换机并进行记录；当用户名和口

令与远程登录认证服务器数据库数据不一致时，远程登录认证服务器拒绝PC本次登陆并进

行记录，有多个管理员时，可以为不同的管理员设置不同的用户名，便于管理和历史登录

记录查询。

1、必须保证Telnet Server Enable，Configure-user count也根据需要进行配置；

2、在HT-8000服务器上创建帐号口令后，使用该帐号可以telnet或SSH到路由器；

3、配置user-name-format without-domain为发送帐号时不带域名方式；

４、配置accounting optional命令为计费可选，即计费不成功不会影响客户端上下线行为。

远程登录认证服务器

远程登录服务器（server）是一个能够处理用户访问请求的服务器程序。提供验证、授权以及帐户服务。服务器通常同网络访问控制、网关服务器、数据库以及用户信息目录等协同工作。同服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

RADIUS协议

协议概述

RADIUS（Remote Authentication Dial In User Service）协议是在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、交换机或网络设备访问点。RADIUS服务器通常是在UNIX或Windows2000服务器上运行的一个监护程序。RADIUS协议的认证端口是1812 ，计费端口是1813。

RADIUS协议的主要特点：

概括的来说，RADIUS 的主要特点如下：

1、客户/服务模式(Client/Server)

RADIUS是一种C/S结构的协议，它的客户端最初就是网络接入服务器NAS（Network Access Server），现在运行在任何硬件上的RADIUS客户端软件都可以成为RADIUS的客户端。客户端的任务是把用户信息（用户名，口令等）传递给指定的RADIUS服务器，并负责执行返回的响应。

2、 RADIUS服务器负责接收用户的连接请求，对用户身份进行认证，并为客户端返回所有为用户提供服务所必须的配置信息。一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。

　　客户端和RADIUS服务器之间的交互经过了共享保密字的认证。另外，为了避免某些人在不安全的网络上监听获取用户密码的可能性，在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的。

3、灵活的认证机制

RADIUS服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后，RADIUS服务器可以支持点对点的PAP认证（PPP PAP）、点对点的CHAP认证（PPP CHAP）、UNIX的登录操作（UNIX Login）和其他认证机制。

4．扩展协议

所有的交互都包括可变长度的属性字段。为满足实际需要，用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性。

RADIUS的工作过程

RADIUS协议旨在简化认证流程。其典型认证授权工作过程是：

1、用户输入用户名、密码等信息到客户端或连接到NAS；

2、客户端或NAS产生一个“接入请求（Access-Request）”报文到RADIUS服务器，其中包括用户名、口令、客户端（NAS）ID 和用户访问端口的ID。口令经过MD5算法进行加密。

3、RADIUS服务器对用户进行认证；

4、若认证成功，RADIUS服务器向客户端或NAS发送允许接入包（Access-Accept），否则发送拒绝加接入包（Access-Reject）；

5、若客户端或NAS接收到允许接入包，则为用户建立连接，对用户进行授权和提供服务，并转入6；若接收到拒绝接入包，则拒绝用户的连接请求，结束协商过程；

6、客户端或NAS发送计费请求包给RADIUS服务器；

7、RADIUS服务器接收到计费请求包后开始计费，并向客户端或NAS回送开始计费响应包；

8、用户断开连接，客户端或NAS发送停止计费包给RADIUS服务器；

9、RADIUS服务器接收到停止计费包后停止计费，并向客户端或NAS回送停止计费响应包，完成该用户的一次计费，记录计费信息。计费功能需要强大的数据库配置，占用资源和成本比较高，目前除了运营商应用进行计费外，其它企业用户基本是常连接，不需要计费功能。

二、进行远程登录认证的必要性：

系统运行更安全。远程登陆路由器和交换机等网络设备具有一定的随机性，但安全性要求却非常高，所以用户名、密码必须保密且不能丢失，由于网络设备已经配置了接入用户名和口令，任意电脑终端通过网络设备完全可以接入用户系统进行相关内部系统等工作，一旦用户名、密码丢失或者泄露会对系统安全造成很大威胁，这是目前网络设备接入系统的安全性死穴。有了认证服务器之后，可以限制登录路由器和交换机的PC机的ID号及IP地址，此ID号和IP地址一般只有内部管理员掌握，因此有新的远程登陆请求时，HT-8000远程登录认证服务器不但要验证登陆请求的用户名和密码，还要比对登陆的ID号和IP地址，只有各设置项都满足要求时，登陆请求才被允许通过，否则将被拒绝，此项功能可以最大限度的降低系统被入侵的风险。

设备管理更方便。大量的CISCO路由器和交换机（华为、中兴也支持）等设备的使用，使得设备管理服务是一个现实问题，每台设备的用户、密码的记录管理不仅工作量大，而且容易丢失，对于全部设备定期更换一次密码的要求单靠个人的记忆已经是一个庞大的挑战，HT-8000远程登录认证服务器可以很好的解决这个问题，HT-8000采用WEB方式进行配置，管理方便，对于用户数量巨大的用户，添加用户更为方便，免除了命令行的繁杂方式。

3、远程维护更简单。网络设备接入系统后，所有前端设备的工作信息、IP地址、

上下线时间、工作日志等都在HT-8000远程登录认证服务器上有记录，可以随时

通过远程登陆的方式对前段设备进行管理和维护。

三．HT8000 远程登录服务器基本功能

可以轻松认证存于其他RADIUS服务上的用户。你可以选择一种用户名构造格式，这样你可以根据用户名的格式，IMSI号或其他属性值如CallerID来配置你的认证选项。

可以对内网网络设备（如路由器、交换机等）进行远程登陆认证。

可以对无线拨号接入用户进行RADIUS认证。

可以根据需要，对不同业务的网络设备进行分组管理，如无线PPP拨号和TELNET或SSH登录管理。

先进的外部认证特性可允许你使用不同的数据库作为后台来存储用户信息。

双机热备方案可保证不间断的服务，当主机出现故障时，认证请求会自动转发到到备机上，由备机继续提供认证服务。

HT-8000服务器系统通过的性能统计功能可使你实时监测用户认证情况。

DEBUG跟踪功能可根据你设定的跟踪条件来方便的跟踪指定用户的认证过程。

四．HT8000远程登录服务器功能特点

HT8000采用1U标准机架式设计，占用空间小，安装灵活，移动方便。
HT8000采用嵌入式无硬盘设计，故障率低，功耗小，环境适应性强，安全稳定。
HT8000 核心软件针对有线网络应用定制设计，配置简单，容易维护。
HT8000 配置管理界面采用WEB方式，无需安装客户端软件，部署管理灵活。
HT8000 系统配置文件和用户列表文件可通过管理界面下载及上传，方便备份与恢复。
HT8000 嵌入式操作系统，无虑盗版软件和病毒侵袭。
HT8000支持实时双机热备份，确保数据同步。

五．HT8000 远程登录服务器无线应用方案及网络拓扑说明

HT8000 远程登录服务器不仅可以用来对网内路由器和交换机设备进行登录认证，也支持对无线拨号接入设备进行认证，拓扑图如图3所示：cisco7200 与 HT-8000的内网口(eth0) 分配同一子网的两个地址 9.43.192.102 和 9.43.192.1，可直接通信用以承载Radius协议报文。

拨号建立过程：

1.网络待认证设备发起PPP拨号请求，通过网络发至运营商。

2.运营商核心交换网与网络待认证设备进行通信，验证CallerID、IMSI号用户域名。

3.电信通过验证后，电信LAC侧将二次请求包通过专线转发至分行中心的cisco7200。

4.cisco7200收到PPP通信请求包，根据Radius配置，将验证、授权部分交给HT8000。

5.HT8000验证用户名+域名，口令及CallerID、IMSI成功后，将验证成功及上线IP地址等信息反馈给cisco7200。

6.cisco7200接受到HT8000的验证及授权信息后，与网络待认证设备建立PPP连接。

7 在工作过程中，如果AAA服务器主机出现异常断电等故障、备机自动切换提供认证服务等全部功能。

六．HT8000 硬件参数

处理器：Intel 酷睿双核处理器

主频：1.66 GHZ 电源：220V/3.0A RJ45网口： 4 个千兆网口

USB接口： 2 个

console接口： 1 个

尺寸： 426x44x320MM

七．配置说明

1.访问与登陆

如图1，打开网页浏览器，在配置口输入地址http://192.168.1.1/访问HT-8000，页面将会出现登录界面，如图4-1：

当前用户名为:admin 口令:admin

图4-1.登录界面

2.主界面

登录成功后，将出现主界面，如图4-2，主要包括“网络地址设置”、“Radius参数设置”、“用户管理”、“系统维护”、“状态”、“退出”、“帮助”等页面入口。

图4-2主界面

3. 网络地址设置

“网络地址设置”用于配置HT8000的各以太网端口的IP地址，网络掩码，网关等信息。如图4-3：

图4-3 网络地址设置

4. Radius参数设置

“Radius参数设置”用来设置Radius客户端的信息。如图4-4：

图4-4 Radius参数设置

新用户参数设置：

图4-5 新用户参数设置

用户管理

“用户管理”用来添加待验证的用户。如图4-6：

图4-6 用户管理

7. 双机热备

“双机热备”可以确保认证服务器系统稳定可靠的运行，当其中一台认证服务器设备出现故障、断电、网线脱落等情况时，另一台设备自动切换上来继续进行认证服务。HT-8000认证服务器双机热备通过双机心跳，可以实现实时数据同步，避免了手工添加、校正等工作。

图4-7双机热备配置

8．系统维护

“系统维护”用来备份和还原网络地址设置/Radius参数设置和用户列表的配置信息。如图4-8：

图4-8系统维护

9. 状态

“状态”用来主机网络状态、进程信息、和系统日志等信息。如图4-9：

图4-9状态

10. 帮助

“帮助”用来显示主机默认参数等帮助信息。如图4-10：

图4-10

11退出

“退出”用来安全退出登录状态，退出后再次访问HT-8000时将要求管理员输入用户名、口令登录。（默认情况下，客户登录HT-8000设备后，如果20分钟内没有再次访问，将自动退出登录状态）

八．HT8000出厂参数及口令恢复方法

默认情况下HT8000 配置端口IP地址固定配置为192.168.1.1 掩码255.255.255.0，当用户忘记了其它端口的IP地址设置时，可使用此端口登录HT8000管理界面。

如果用户忘记了用户名、口令设置，则可以通过串口端口访问HT8000，串口参数38400，8-N-1，即可查询设备IP等网络参数。

结束