实施身份验证与网络接入控制技术概要VIP免费

M10-5实施身份验证与网络接入控制技术1.1场景描述1.1.1学习目的学生通过该能力模块的学习,能够掌握在网络中如何配置常用的身份验证技术。来保证接入网络的客户端都能够得到有效的身份确认和资源权限。1.1.2学习要求理解:配置网络认证的重要性。掌握:配置AAA的验证。掌握:配置802.1X的验证。掌握：配置RADIUS服务。1.1.3学习重点和难点1.学习重点配置AAA验证：让学生理解AAA的工作理念是什么。配置方法是什么。配置RAIDUS服务：重点帮助学生理解RADIUS服务的工作原理。配置802.1x服务：重点讲解802.1x和前两种认证的关联。2.学习难点AAA认证的使用：学生往往很难理解AAA是如何具体做到的。1.2知识准备1.2.1AAAAAA系统的简称：认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting常用的AAA协议是Radius，参见RFC2865，RFC2866。另外还有HWTACACS协议（HuaweiTerminalAccessControllerAccessControlSystem）协议。HWTACACS是华为对TACACS进行了扩展的协议1.2.2RADIUSRADIUS:RemoteAuthenticationDialInUserService，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（NetAccessServer）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN（VirtualPrivateDialupNetworks，基于拨号用户的虚拟专用拨号网业务）、移动电话预付费等业务。最近IEEE提出了802.1x标准，这是一种基于端口的标准，用于对无线网络的接入认证，在认证时也采用RADIUS协议。1.2.3802.1x802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口（accessport）访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。网络访问技术的核心部分是PAE（端口访问实体）。在访问控制流程中，端口访问实体包含3部分：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的PAE根据认证服务器认证过程的结果，控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。1.3注意事项1、认证方法是用一种即可。1.4操作步骤1.4.1配置AAA认证第一步：配置AAA认证Access(config)#aaanew-modelAccess(config)#usernameruijiepasswordstarAccess(config)#radius-serverhost192.168.1.254Access(config)#aaaauthenticationlogintestgroupradiuslocalAccess(config)#linevty0Access(config-line)#loginauthenticationtestAccess(config-line)#exitAccess(config)#第二步：验证配置Ruijie#showrunning-config!aaanew-model!!aaaauthenticationlogintestgroupradiuslocalusernameruijiepassword0star!rad...