2011CCNP学习笔记一AAA.doc

1、AAA：认证authentication、授权authorization、审计accounting 便于集中管理所有设备的密码、用户等级和权限，把设备指向AAA服务器 ? ? 2、定义三种流量 网管流量 拨入流量 穿越流量 RADIUS的UDP端口号：1812（认证、授权）、1813（审计） TACACS+的TCP端口号：49 ? 起了AAA，就不能用常规密码方式 ? 在路由上定义认证、授权方式，在服务器上定义密码和其他细节 ? 方式一：路由上开启aaa 开启 定义、调用 定义密码 ? ? 方式二、把网关aaa认证指向aaa服务器 ? 测试网关跟aaa服务器的连通性 ? ? AAA各种密码认证： authentication： login认证：针对线程 enable认证：针对全局 authorization： 级别授权：针对全局 命令授权：（很烦琐，少用） ? accounting： 登入登出时间统计： 命令审计：针对某个级别 ? ? 3、AAA扩展应用 802.1x：二层认证 只有RADIUS支持 ? ? 4、防火墙 ①包过滤ACL ②应用层网关（代理） ③状态化的包过滤CBAC（动态ACL、基于内容）：在拒绝所有流量的基础上，放行某些需要的内容 ? 设在内网端口进方向上，用去包促发该策略，自动在外网进端口生成相应的准入acl，实现动态acl ? ? ? 5、IDS\IPS旧——IPS新（入侵防御系统）、合成了IDS\IPS、防火墙的功能 ? ? ?