ppt课件-第7章广域网技术.pptVIP

第5章 交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介 5.3 交换机端口安全认证简介 5.3.1 AAA 5.3.2 IEEE802.1X 5.3.1 AAA AAA是验证、授权和记账（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。具体为： 验证(Authentication): 验证用户是否可以获得访问权限； 授权(Authorization) : 授权用户可以使用哪些服务； 记账(Accounting) : 记录用户使用网络资源的情况。 1.AAA的体系结构 AAA配置 1、开启AAA： 使用下列命令可以开启AAA，要禁用AAA，使用no aaa new-model。 NAS(config)#aaa new-model 注意：除非已经策划好了AAA环境，否则不要启动AAA。因为启动了AAA会对接入交换机或路由器等NAS的Telnet客户进行AAA强制认证。这时，除了访问控制台外不能通过任何方式访问NAS。 2、配置AAA认证服务器 （1）配置TACACS+服务器地址和共享密钥： 如果TACACS+服务器的IP地址为192.168.0.11，共享密码为tpass，则配置命令如下： NAS(config)#tacacs-server host 192.168.0.11 tacacs-server key tpass NAS#show tacacs （2）配置RADIUS服务器地址和共享密钥： 同理，如果RADIUS服务器的IP地址为192.168.0.22，共享密码为rtpass，则配置命令如下： NAS(config)#radius -server host 192.168.0.22 NAS(config)#radius -server key rpass NAS#show radius 2、配置AAA认证服务器 （3）配置本地用户及密钥 如果即没有TACACS+服务器，也没有RADIUS服务器。那么只有在NAS上配置本地用户进行验证了。但其功能比较简单，只有认证功能，没有授权及统计功能。配置命令如下： NAS(config)#username name secret password //配置密码为加密的普通本地用户 NAS(config)#username name privilege level password password //配置具有特权级别的用户。 如：NAS(config)#username lzg privilege 14 password teacher 3、配置AAA验证方式 AAA验证可以应用在经由PPP的客户连接、访问线路或进入特权模式。其命令格式为 NAS(config)#aaa authentication type {default}|list-name method1 {…[method4]} 4、配置AAA授权 AAA授权限制用户可以使用的服务权限。其命令格式为： NAS(config)#aaa authorization type {default}|list-name method1 {…[method4]} 5、配置AAA统计 与验证和授权类似，统计的方法列表定义了如何执行统计以及执行这些方法的顺序。其命令格式如下： NAS(config)#aaa accounting type {{default}|list-name} record-type method1 {…[method4]} 5.4.2 IEEE802.1X 1．IEEE802.1X功能 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 2．IEEE802.1体系结构 2．IEEE802.1体系结构 3．IEEE802.1x工作过程 （1）当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机或AP，开始启动一次认证过程。 （2）交换机或AP收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的