M10-5实施身份验证与网络接入控制技术1.1场景描述1.1.1学习目的学生通过该能力模块的学习,能够掌握在网络中如何配置常用的身份验证技术。来保证接入网络的客户端都能够得到有效的身份确认和资源权限。1.1.2学习要求理解:配置网络认证的重要性。掌握:配置AAA的验证。掌握:配置802.1X的验证。掌握:配置RADIUS服务。1.1.3学习重点和难点1.学习重点配置AAA验证:让学生理解AAA的工作理念是什么。配置方法是什么。配置RAIDUS服务:重点帮助学生理解RADIUS服务的工作原理。配置802.1x服务:重点讲解802.1x和前两种认证的关联。2.学习难点AAA认证的使用:学生往往很难理解AAA是如何具体做到的。1.2知识准备1.2.1AAAAAA系统的简称:认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting常用的AAA协议是Radius,参见RFC2865,RFC2866。另外还有HWTACACS协议(HuaweiTerminalAccessControllerAccessControlSystem)协议。HWTACACS是华为对TACACS进行了扩展的协议1.2.2RADIUSRADIUS:RemoteAuthenticationDialInUserService,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(NetAccessServer)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(VirtualPrivateDialupNetworks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。1.2.3802.1x802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。网络访问技术的核心部分是PAE(端口访问实体)。在访问控制流程中,端口访问实体包含3部分:认证者--对接入的用户/设备进行认证的端口;请求者--被认证的用户/设备;认证服务器--根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。以太网的每个物理端口被分为受控和不受控的两个逻辑端口,物理端口收到的每个帧都被送到受控和不受控端口。其中,不受控端口始终处于双向联通状态,主要用于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的PAE根据认证服务器认证过程的结果,控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分,分离了认证数据和业务数据,提高了系统的接入管理和接入服务提供的工作效率。1.3注意事项1、认证方法是用一种即可。1.4操作步骤1.4.1配置AAA认证第一步:配置AAA认证Access(config)#aaanew-modelAccess(config)#usernameruijiepasswordstarAccess(config)#radius-serverhost192.168.1.254Access(config)#aaaauthenticationlogintestgroupradiuslocalAccess(config)#linevty0Access(config-line)#loginauthenticationtestAccess(config-line)#exitAccess(config)#第二步:验证配置Ruijie#showrunning-config!aaanew-model!!aaaauthenticationlogintestgroupradiuslocalusernameruijiepassword0star!rad...
