ZCSE-006-C1AAA及认证.ppt

本章内容提要 AAA概述 Radius协议 几种常见的认证方式 网络接入方式 AAA的定义 Authentication Authorization Accounting AAA在网络中的位置 AAA实现方式 本地认证 远程认证 不认证 本章内容提要 AAA概述 Radius协议 几种常见的认证方式 Radius工作模式 Radius报文 Radius属性 Radius认证流程 Radius特点 适用UDP作为传输协议 只对密码进行加密 认证和授权同时进行 基于RFC标准 Radius配置 设置Radius服务器 radius server group-number authen {master|slave|third} ip-address port-number key 参数解释： group-number RADIUS配置组的组号，范围1~10 master|slave|third 配置主服务器/从服务器/第三个服务器 ip-address 服务器的IP地址 port-number 服务器侦听的端口号，范围1~65535 key 同RADIUS的认证密钥，长度为1~32个字符 Radius配置 设置RADIUS服务器的认证请求超时 radius server retry-time group-number times 参数解释 group-number RADIUS配置组的组号，范围1~10 times 认证请求超时值（单位：秒），范围1~60 本章内容提要 AAA概述 Radius协议 几种常见的认证方式 PPPOE 协议介绍－－PPPOE 协议介绍－－PPPOE 协议介绍－－PPPOE Web认证 802.1X认证体系结构 EAP协议 EAP类型 EAPoL协议 802.1X认证流程 802.1X端口状态 根据需要决定哪些端口要开启802.1X功能，使之成为受控端口 802.1X端口状态 受控端口支持三种认证模式 Auto：协议控制模式 端口初始状态为非授权状态，仅允许EAPoL报文收发。在通过802.1X认证之后，此端口切换到授权状态，用户可以访问网络。 Force－authorized：常开模式 端口一直维持在授权状态，用户无需认证就可以直接访问网络。 Force－unauthorized：常关模式 端口处于非授权状态，一直忽略客户的认证请求。 802.1X端口受控方式 中兴交换数据产品对802.1X协议的端口控制方式进行了扩展，增加了基于MAC、VLAN的控制方式。缺省的认证控制方式为基于端口＋MAC。 基于MAC地址的控制（端口＋源MAC） 某端口上有用户通过802.1X认证时，仅授权给发起该认证的主机通过此端口访问网络资源，不允许其它主机通过此端口访问网络资源 基于VLAN的控制（端口＋VLAN ID任意组合） 某端口上有用户通过802.1X认证时，首先检查配置，确定此MAC用户是否有认证的权限，认证通过后，仅授权给发起该认证的主机通过此端口访问网络资源 不管是采取什么样的控制方式，每一个MAC都必须认证，区别在于此MAC有没有认证的机会 企业网应用AAA实例 * 中兴通讯学院 本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传 * 中兴通讯学院 本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传 ZCSE_006_C1 AAA及认证 V1.0 中兴通讯学院 数据产品课程团队 访问专网主要有三种方式 通过拨号访问 通过虚拟专用网(VPN) 通过Internet VPN隧道 Internet PSTN 拨号访问 通过VPN 通过Internet VPN接入网关 窄带服务器 Modem Authentication Authorization Accounting NAS AAA Se