安全操作8.doc.docVIP

目? 录 第1章? 802.1x配置 2 1.1? 802.1x简介 2 1.1.1? 802.1x标准简介 2 1.1.2? 802.1x体系结构 2 1.1.3? 802.1x的认证过程 3 1.1.4? 802.1x在以太网交换机中的实现 3 1.2? 802.1x配置 4 1.2.1? 开启/关闭802.1x特性 4 1.2.2? 设置端口接入控制的模式 4 1.2.3? 设置端口接入控制方式 5 1.2.4? 检测通过代理登录交换机的用户 5 1.2.5? 设置端口接入用户数量的最大值 6 1.2.6? 设置允许DHCP触发认证 6 1.2.7? 设置802.1x用户的认证方法 6 1.2.8? 设置认证请求帧的最大可重复发送次数 7 1.2.9? 设置802.1x的握手报文的发送时间间隔 7 1.2.10? 配置定时器参数 7 1.2.11? 打开/关闭quiet-period定时器 8 1.3? 802.1x的显示和调试 8 1.4? 802.1x典型配置举例 9 第2章? AAA和RADIUS协议配置 12 2.1? AAA和RADIUS协议简介 12 2.1.1? AAA概述 12 2.1.2? RADIUS协议概述 12 2.1.3? AAA/RADIUS在以太网交换机中的实现 13 2.2? AAA配置 13 2.2.1? 创建/删除ISP域 13 2.2.2? 配置ISP域的相关属性 14 2.2.3? 创建本地用户 15 2.2.4? 设置本地用户的属性 15 2.2.5? 强制切断用户连接 16 2.3? RADIUS协议配置 16 2.3.1? 创建/删除RADIUS服务器组 17 2.3.2? 设置RADIUS服务器的IP地址和端口号 17 2.3.3? 设置RADIUS报文的加密密钥 18 2.3.4? 设置RADIUS服务器响应超时定时器 18 2.3.5? 设置RADIUS请求报文的最大传送次数 19 2.3.6? 设置实时计费间隔 19 2.3.7? 设置允许实时计费请求无响应的最大次数 20 2.3.8? 使能停止计费报文缓存功能 20 2.3.9? 停止计费报文最大重发次数设置 21 2.3.10? 设置支持何种类型的RADIUS服务器 21 2.3.11? 设置RADIUS服务器的状态 21 2.3.12? 设置发送给RADIUS服务器的用户名格式 22 2.3.13? 设置发送给RADIUS服务器的数据流的单位 22 2.3.14? 配置本机RADIUS服务器组 22 2.4? AAA和RADIUS协议的显示和调试 23 2.5.1? FTP/Telnet用户远端RADIUS服务器认证配置 24 2.5.2? FTP/Telnet用户本地RADIUS服务器认证配置 25 2.6? AAA和RADIUS协议故障的诊断与排除 25 第1章? 802.1x 1.1? 802.1x简介 1.1.1? 802.1x标准简介 IEEE 802.1x标准（以下简称802.1x）的主要内容是一种基于端口的网络接入控制（Port Based Network Access Control）协议，IEEE于2001年颁布该标准文本并建议业界厂商使用其中的协议作为局域网用户接入认证的标准协议。802.1x的提出起源于IEEE 802.11标准－－无线局域网用户接入协议标准，其最初目的主要是解决无线局域网用户的接入认证问题；但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性，因此后来它在有线局域网中也得到了广泛的应用。 在符合IEEE 802标准的局域网中，只要与局域网接入控制设备如LANSwitch相接，用户就可以与局域网连接并访问其中的设备和资源。但是对于诸如电信接入、商务局域网（典型的例子是写字楼中的LAN）以及移动办公等应用场合，局域网服务的提供者普遍希望能对用户的接入进行控制，为此产生了本章开始就提到的对“基于端口的网络接入控制”的需求。 顾名思义，“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源——相当于连接被物理断开。 802.1x定义了基于端口的网络接入控制协议，并且仅定义了接入设备与接入端口间点到点这一种连接方式。其中端口既可以是物理端口，也可以是逻辑端口。典型的应用环境如：LANSwitch的每个物理端口仅连接一个用户的计算机工作站（基于物理端口），IEEE 802.11标准定义的无线LAN接入环境（基于逻辑端口）等。 1.1.2? 802.1x体系结构 使用802.1x的系统为典型的C/S（Client/Server）体系