一种用于大型网络的网络管理架构

摘 要： 在大型网络中对网络设备的统一管理是个重要的问题。在路由器上设置密码验证的传统方法并不能验证管理员的身份，不利于安全审计，传统的逐个对网络设备进行口令变更在网络设备数量众多的情况下也是不容易的。提出一种引入AAA和VPN的网络管理架构，通过这种架构，实现网络管理员一次认证就能随意访问授权路由器并执行授权命令，不仅简化认证过程，还实现数据的安全传输和安全审计。这种架构可以用在金融、航空及政府部门等大型网络领域。

关键词： 网络管理；大型网络；AAA；VPN；金融；航空

0 引言

路由器、交换机等网络设备在整个网络中扮演着不可替代的角色。如果这些网络设备出了状况，那么整个网络就可能出问题，甚至崩溃，对于金融、航空及政府等重要领域来说，这种损失是不能忍受的。因此，如何安全快捷地管理网络设备就显得非常重要。

1 传统网络管理状况

金融、航空等领域的省级以上机构网络通常都属于大型网络，需要维护的网络设备至少在几十台、上百台。出于安全考虑，网络管理员需要定期对登录用户口令进行变更，传统的逐个对网络设备进行口令变更工作量巨大，实施过程并不轻松，容易产生懈怠情绪，经常会有口令长期不变的情况发生，存在安全隐患。

信息安全审计要求网络设备的管理进行权限划分，即口令管理、操作、审计需要由不同的人来负责。口令管理只负责用户名称和密码的分配，操作是使用分配的名称和密码对网络设备进行维护管理，即通常讲的网络管理员的操作，审计是对口令管理情况以及网络设备维护情况的安全审计。在网络设备上设置密码验证的传统方法并不能验证网络管理员的身份，换句话讲，如果一个人虽然不是管理员，但是他只要知道了密码，同样可以访问网络设备。

通常，网络管理员希望在任意网络节点访问任意一台网络设备，所以通常习惯使用Telnet方式利用Telnet协议实现远程访问和配置网络设备。但是Telnet存在着安全隐患，因为使用这种方式在网络上传输的数据没有加密，意味着网络中传输的密码能轻易的被网络工具截获。后来许多网络设备已经实现了SSH（Secure Shell）方式的访问，与Telnet协议不同的是SSH方式的数据传输是经过加密的，增强了密码的安全性。因此，所有网络设备就必须允许对端22端口（SSH）或23端口（Telnet）到自身的访问。但这样又带来了安全漏洞，作为网络主管或审计员，他需要知道最近谁访问了网络设备，以及执行了什么命令。

2 一种新的架构

要解决上述问题，需要设计一种新的架构，我们采用IETF研究小组提出的通用的AAA（Authentication，Authorization，Accounting）[1]，即认证（Authentication）、授权（Authorization）和审计（Accounting）。其中，认证是指对用户身份的验证；授权是指在用户通过认证之后确定其可以具有的权限；审计是记录用户对网络设备/网络资源使用情况的详细记录，作为审计的依据。传统的由网络设备进行的密码验证将被证书认证代替，还采用单点登录（Single Sign-On）简化对网络设备的访问。管理员只需要一次认证就可以自由访问所有经过授权的网络设备，而不再需要知道所有网络设备上设置的密码。同时，我们引入VPN[2]，实现认证和加密传输两个功能。也就是说，新的架构要能实现管理员方便的访问网络设备，同时实现数据安全传输。

3 一个实例

接下来我们用一个实例描述这种新的架构，来说明如何实现在大型网络中对网络设备的访问更加高效和安全。如图1所示，一个大型网络的所有网络设备同一台AAA服务器相连，以其中一台路由器Router A为例描述其过程。可以限定只有源IP为10.0.1.100的客户端才能使用SSH协议访问路由器，这个规则通过ACL很容易实现。AAA服务器同时运行VPN服务器程序，管理员客户端运行VPN客户端程序。策略库记录管理员信息，认证及路由器信息。

现在我们假定管理员Client M想要访问Router A，将会发生下面的过程。

1）起初AAA服务器不知道Client M的身份，它要求Client M使用证书和密码同AAA服务器建立一个VPN连接。为了提高安全性，我们同时使用证书和密码认证，但这里的密码并不是路由器上设置的密码。如果Client M是有效用户，就会建立VPN连接。Client M获得一个虚拟IP地址：100.0.0.10。AAA服务器用它的虚拟IP地址100.0.0.1同Client M进行通信，所有的数据传输采用VPN加密。

2）Client M访问Router A以前，AAA服务器根据相应的策略检查Client M是否有相关认证及授权并反馈给Client M。如果Client M认证成功，AAA服务器就从策略库中提取路由器密码并同Router A建立一个SSH会话，并自动备份Router A配置。

3）从Client M发出的所有命令都将首先通过AAA服务器，然后到Router A，反之亦然。在发送一条命令时，AAA将进行授权检查，如果Client M没有执行该命令的特权，就会将该命令丢弃并给Client M返回一条错误消息。同时，所有发给Router A的命令都有日志记录。

4）如果Client M退出Router A的登录并且想访问另一台路由器，AAA服务器会再次备份Router A配置后终止同该路由器的会话。后续步骤重复2）和3）。

从上面我们可以知道，Client M在整个的操作过程中不再需要知道所有网络设备的密码，只需要一次认证就能访问经过授权的所有网络设备，不重复认证。并且Client M执行的所有命令都有详细记录。

4 AAA服务器模型分析

实例中AAA服务器的基本模型如图2所示，分为6个部分。分别是：

1）VPN服务器：VPN是整个架构的核心，它提供传输加密，身份验证和SSO。在管理员接入路由器以前VPN服务器首先发起请求并验证身份。

2）授权模块：根据策略库中的策略判断管理员的权限。

3）转发模块：通过转发模块将数据发给路由器，或者说，它起一个的作用。此外，它还是SSH客户端。当一个管理员通过认证将要访问一台路由器时，它会开启一个同路由器的SSH会话，会话就绪以后，它将命令转发给路由器。与此同时，它会要求授权模块核实管理员的授权命令并记录该命令。

4）配置备份模块：该模块在登录路由器以前及登出路由器以后自动备份路由器配置并用MD5对比两个配置是否有改变。

5）策略库：其中存储着管理员信息，授权和路由器信息。它可以设置在AAA服务器中或不在服务器中，用来提供其他模块请求的信息。

6）事件日志：详细记录管理员的行为，包括管理员用户名，访问的设备，登录时间，登录IP地址以及执行的命令等。

通过以上分析我们会发现，管理员和路由器之间被分成了两部分。其中一部分是从管理员到AAA服务器，另一部分是从AAA服务器到路由器。这两部分都是安全的，前者有VPN做保障，后者有SSH协议做保障。

5 结论

我们在这里给出了一种将VPN和AAA相结合的架构，实现了访问路由器的便捷性和安全性。管理员可以通过安全通道在任意地方访问路由器。只要管理员通过VPN认证，将不再需要进一步认证便可以访问所有授权路由器，执行所有授权命令，所有命令都经过过滤并录入AAA服务器日志，以方便主管或审计员随时审计。这种架构可以用在金融、航空及政府部门等大型网络领域。

参考文献：

[1]C.de Laat，G.Gross，L.Gommans，J.Vollbrecht and D.Spence，“Generic AAA Architecture”，RFC 2903，August，2000.

[2]J.Yonan，“Understanding the User-Space VPN：History，Conceptual Foundations，and Practical Usage”，2004.

[3]D.Carrel，“The TACACS+Protocol”，October，1996.

[4]马旭涛、朱晓民等，下一代网络中AAA服务器关键技术研究，计算机工程与应用，2004.32：P11-13.

作者简介：

冯强（1983-），男，汉族，陕西米脂县人，硕士研究生，工程师，职务：网络/机房管理，单位：中国人民银行西安分行，，研究方向：网络/机房管理；张蕾（1984-），女，汉族，陕西韩城市人，硕士研究生，助理工程师，职务：系统管理维护，单位：民航西北地区空管局技术保障中心雷达室，研究方向：系统管理维护。