M10-5 实施身份验证与网络接入控制技术.docVIP

M10-5 实施身份验证与网络接入控制技术 1.1场景描述 1.1.1 学习目的 学生通过该能力模块的学习,能够掌握在网络中如何配置常用的身份验证技术。来保证接入网络的客户端都能够得到有效的身份确认和资源权限。 1.1.2 学习要求 理解:配置网络认证的重要性。 掌握:配置AAA的验证。 掌握:配置802.1X的验证。 掌握：配置RADIUS服务。 1.1.3 学习重点和难点 1.学习重点 配置AAA验证：让学生理解AAA的工作理念是什么。配置方法是什么。 配置RAIDUS服务：重点帮助学生理解RADIUS服务的工作原理。 配置802.1x服务：重点讲解802.1x和前两种认证的关联。 2.学习难点 AAA认证的使用：学生往往很难理解AAA是如何具体做到的。 1.2 知识准备 1.2.1 AAA AAA系统的简称： 认证(Authentication)：验证用户的身份与可使用的网络服务； 授权(Authorization)：依据认证结果开放网络服务给用户； 计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。 AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting 常用的AAA协议是Radius，参见RFC 2865，RFC 2866。 另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议 1.2.2 RADIUS RADIUS:Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。 RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。 由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN（Virtual Private Dialup Networks，基于拨号用户的虚拟专用拨号网业务）、移动电话预付费等业务。最近IEEE提出了802.1x标准，这是一种基于端口的标准，用于对无线网络的接入认证，在认证时也采用RADIUS协议。 1.2.3 802.1x 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口（access port）访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。 网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。 以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的PAE根据认证服务器认证过程的结果，控制受控端口的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。 1.3 注意事项 1、认证方法是用一种即可。 1.4 操作步骤 1.4.1 配置AAA认证 第步：Access(config)#aaa new-model Access(config)#username ruijie password star Access(config)#radius-server host 192.168.1.254 Access(config)#aaa authen