AAA是Authentication(认证)配置

最新推荐文章于 2024-05-15 18:02:51 发布
最新推荐文章于 2024-05-15 18:02:51 发布
阅读量2.2w 收藏 24
点赞数 7
文章标签: authentication 服务器 数据库 路由器 authorization login

一、简介
AAAAuthentication(认证)Authorization授权 Account记帐的简称;
它们不是必须的也不是要同时一起使用的;
他们可以使用路由器设备本地数据库,也可以使用外部数据库(ACS);
首先我们要认证,即通过密码验证;我们就算没有设置其实也用到了认证,就是登陆路由器要输入的密码,这个叫enable
我们在配置了, username abc password aaa 使用这个帐号的话,叫local;
这二种是本地的数据库,如果要用到认证服务器,如  tacacs+ radius 就属于group 服务器组方式了,这时你必须要在tacacs+ radius 中选一个,同时还最多可选三个其它的认证方式;当然如果你对你的服务器和网络环境有信心的话可以不选。
二、配置教程
一、使用它们都是三个步骤
  1 、建立帐户数据库(本地或认证服务器);
  2 、定义列表;
  3 、应用到接口和链路;

二、首先我们要启用 AAA 功能 

  aaa new-model

三、一般来说第二步定义一个本地数据库防止配置失误造成无法登陆

  Username abc password aaa

四、定义认证配置
  认证相当于在问你是谁,你要回答我是哪个;但不可能不停的在问就算不烦嗓子也疼啊,只有在进门时我会问下你是谁,开保险柜时我在问下你是谁,或者是检查指纹测试瞳孔什么的等等;所以我们要对动作进行认证定义。
      aaa authentication行为 列表名 认证方法
1、行为主要有以下三种:
    aaa authentication login ――――――当有一个登陆行为时进行认证;
   aaa authentication ppp ――――――对基于PPP协议的一些网络应用进行认证;
   aaa authentication enable ――――――对使用enable命令进入特权模式时进行认证;
2、列表名是自己定义的,这样我们可以把各种认证方式互相组合保存成一个个列表,用的时候方便,修改起来也方
  便,我改了一个列表里的认证方式那么所有使用这个列表的地方都改了,不需要去一个个地方去改了。
  Dedautl 列表是一个系统自己建立的列表名作为缺省列表。它与我们自己建的列表没有任何区别,只不过他是系统
  建的而已。
3、认证方法,就是指我们是查口令呢还是看指纹还是其它等等,也就是把我们的回答和谁进行分析比较。主要有以
  下几种:

关键字

描述
enable使用enabel口令认证;
krb5使用Kerberos5来认证;
line使用线路口令来认证;
local使用本地用户数据库来认证;
none不认证;
group radius使用radius服务器来认证;
group tacacs+使用tacacs+服务器来认证;

每个列表中必须定义一种认证方法,最多可以定义四种方法,当第一种认证不通过再使用第二种,以此类推。 
例如我们定义
aaa authentication login 二号方案 group tacacs+ local
//我们定义了一个名叫二号方案认证方式,就是先去tacacs+ 服务器验证,如果不成功在试试用本地帐号来试;
aaa authentication login 三号方案 group local enable
// 我们定义了一个名叫三号方案认证方式,就是先用本地帐号验证,如果不成功就用enable 密码来验证;

五、应用到接口和链路

我们上面做了那么多但是还没有效果为什么呢,就好像我们做好了报警器,指纹验证器但没装到门上你说可有效果,那当然是不行的了,我们是定义了当登陆时就启用一个列表名字叫二号方案的认证方式,但只有我们把他装到门上才能有效果啊,有人说太麻烦应该定义好了就能用,那就惨了,你给自己家的门上装了二号方案没关系,如果楼道门、院子门,都给装上了那就有问题了,所以我们要把定义好的认证方法列表装到我们需要使用认证的门上,例如我们可能对 Telnet要认证,但通过console登陆的就不要认证。
line vty 0 //我们先要进入接口
aaa authentication 二号方案 //线路vty0使用名为二号方案的方式进行认证;
line vty 1
aaa authentication 三号方案

六、配置tacace服务器
可能的情况下还需要告诉路由器认证服务器 IP地址和KEY
Router(config)#tacacs-server host 1.1.1.1 key  cisco12345
如果是Radius服务器的话就使用下面的命令:
Router(config)# radius-server host 1.1.1.1  key  cisco12345
七、整理一下上面的命令看看在路由器上的实际配置情况

Router>en
Router#conf t
Enter configuration commands, one perline.
End with CNTL/Z.
Router(config)#aaa new
Router(config)#aaa new-model
Router(config)#username aaa password abc
Router(config)#aaa authe
Router(config)#aaa authentication log
Router(config)#aaa authentication loginfirst group tac
Router(config)#aaa authentication loginfirst group tacacs+ loc
Router(config)#aaa authentication loginfirst group tacacs+ local
Router(config)#aaa auth
Router(config)#aaa authent
Router(config)#aaa authentication log
Router(config)#aaa authentication loginsecond loc
Router(config)#aaa authentication loginsecond local ena
Router(config)#aaa authentication loginsecond local enable
Router(config)#line vty 0
Router(config-line)#login authenticationfirst
Router(config-line)#line vty 1
Router(config-line)#login authenticationsecond
Router(config-line)#
  
IntelligentDren
关注
  • 7
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
CISCO交换机配置AAA、802.1X以及VACL
01-02
CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 发表于: 2010-03-01,修改于: 2010-03-01 08:56 已浏览168次,有评论0条 推荐 投诉
配置AAA认证和授权
青红造了个大白之成长记
04-02 1万+
一、 目的 1、掌握AAA认证的工作原理。 2、掌握使用Cisco Secure ACS服务器实现AAA认证授权的方法。 二、网络拓扑 三、认证部分实验要求 配置和测试本地和基于认证服务器AAA认证。 1、在R1上创建本地帐号,配置本地AAA认证登录console和VTY。 2、配置和测试本地和基于认证服务器AAA认证。 1、在R1上创建本地帐号(用户名:A...
AAA原理与配置
最新发布
亮之歌
05-15 561
AAA认证
0基础学RS(九)思科AAA认证的本地AAA认证
weixin_45816894的博客
04-11 7662
AAA概述 AAA认证Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。 AAA认证模式 本地AAA认证 基于服务器AAA认证 本地AAA认证 本地AAA会在网络设备(如思科路由器)本地保存用户名和密码。用户向本地数据库认证自己的身份,如图所示。本地 AAA 是小型网络的理想选择。 使用CLI配置本地AAA认证 配置本地AAA认证步骤 配置用户名和密码 在路由器上全
Packet Tracer - 在思科路由器配置 AAA 认证
傻傻的心动的博客
05-05 8111
Packet Tracer - 在思科路由器配置 AAA 认证
浅谈 —— AAA认证认证+授权)详解+配置
qq_62311779的博客
08-29 8401
AAA认证Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务,数据中心被大量应用 AAA提供的安全服务具体是指: 认证Authentication):是对用户的身份进行验证,判断其是否为合法用户。 授权(Authorization):是对通过认证的用户,授权其可以使用哪些服务。 审计(Accounting):是记录用户使用网络服务的资源情况,这些信息将作为计费的依据....
计算机网络实验(华为eNSP模拟器)——第六章 密码模式和AAA模式
小宇y的博客
07-28 1万+
目录一、用户级别三、用户页面四、用户页面的命令1、Console用户界面2、虚拟类型终端VTY用户界面五、用户界面的用户认证1、password模式(1)设置模式(2)配置密码(3)配置用户级别2、AAA模式结语 一、用户级别 命令级别是设备系统命令采用的分级保护方式,从低到高分为16个级别。用户可以通过命令级别,对设备实现权限的精细管理。 缺省情况下,命令按如下0~3级进行注册。一般情况下,管理员级别为3级。 0级,访问级:网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(包
telnet远程登录aaa模式详解【华为eNSP】
一键难忘的博客
07-14 6840
所有的需求都已经记录完毕了,现在只差最后一个需求:对于这个需求还是较为简单,采用telnet远程登录aaa模式。 先看一眼拓扑图: 汇聚层交换机LSW6为例: 首先:同时允许建立Telnet 会话编号范围,允许五台设备。设置本端操作不需要密码设置加密模式进入aaa设置用户名称及密文密码设置用户的接入类型为Telnet查看aaa解释: authentication-scheme default 是验证方式,default 是默认 默认情况下使用本地验证。 authorization-scheme defaul
authentication password与scheme区别
weixin_33968104的博客
01-07 1111
authentication-mode 常见的配置参数有三种user-interface vty 0 141、authentication-mode aaaauthentication-mode scheme 创建本地用户并启用AAA验证。2、authentication-mode password 直接在user-interface vty 下用pa***od设置...
无线局域网配置,02-AAA配置
09-13
总结来说,无线局域网的02-AAA配置是一个涉及网络访问安全的关键环节,它通过RADIUS或HWTACACS等协议实现用户身份的验证、权限的控制以及网络活动的记录。正确配置AAA服务能够有效地保护网络资源,防止非法访问,...
AAA原理与配置.docx
09-06
AAAAuthentication认证)、Authorization(授权)和 Accounting(计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。在 AAA 模型中,用户发起请求, NAS(Network Access Server...
华为交换机AAA配置与管理.docx
08-11
AAAAuthenticationAuthorization、Accounting)是一种网络管理机制,包括认证、授权和计费三个环节。认证是指验证用户身份的过程,授权确定用户可以访问的资源和权限,计费则记录用户对网络资源的使用情况。 在...
配置本地和基于服务器AAA
03-14
配置Local AAA服务器基于AAA认证后,我们可以使用PC-A客户端连接到路由器R1,并验证Local AAA服务器基于AAA认证的有效性。 通过本实验,我们可以了解如何配置Local AAA服务器基于AAA认证,以提高网络设备的...
华为AAA配置实验
2301_78115896的博客
06-16 3103
授权所要保障的是用户行为是合法的,也就是说用户的行为是在被允许范围内的行为;在配置AAA本地认证之前,可以先使用命令display aaa configuration 来确认设备上是否有足够的资源。在AAA方案中,我们需要配置认证方案和援权方案,本实验要求两者都使用本地方案。配置完成后,我们可以使用命令display authentication-scheme来查看配置中的AAA认证方案。在使用AAA本地认证的环境中,我们需要在基于域的配置中设置AAA方案和本地用户。(2)查看系统中的认证方案。
AAA配置使用Local方式认证并授权
zj2059129607的博客
12-27 940
AAA作为网络安全的一种管理机制,以模块化的方式提供以下服务:认证:确认访问网络的用户的身份,判断访问者是否为合法的网络用户。授权:对不同用户赋予不同的权限,限制用户可以使用的服务。计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。
AAA简介
ssslq的博客
03-28 3380
AAA认证
AAA认证是什么?一文带你科普AAA认证及协议
热门推荐
最铁头的网工博客
05-19 2万+
1、AAA认证是什么? AAA指的是AuthenticationAuthorization、Accounting,意思是认证、授权、计费,是网络安全的一种管理机制。 • 认证是确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。 • 授权是对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。 • 计费是记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户
AAA详解
mst7
02-11 3874
Authentication:用于验证用户的访问,如login access,ppp network access等。Authorization:在Autentication成功验证后,Authorization用于限制用户可以执行什么操作,可以访问什么服务。Accouting:记录AuthenticationAuthorization的行为。Part I. 安全协议1>Terminal Acc
网络安全——浅谈——AAA认证技术——登录授权、配置命令
qq_62311779的博客
02-04 6895
一、AAA认证简介: AAA认证Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。 AAA提供的安全服务具体是指: 认证Authentication):是对用户的身份进行验证,判断其是否为合法用户。 授权(Authorization):是对通过认证的用户,授权其可以使用哪些服务。 计费(Accounting):是记录用户使用网络服务的资源..
华为aaa认证配置命令
05-31
华为设备上启用 AAA 认证功能需要进行如下配置: 1. 配置 AAA ``` [huawei] aaa [huawei-aaa] ``` 2. 配置本地用户 ``` [huawei-aaa] local-user username password irreversible-cipher password ``` 其中,`username` 为用户名,`password` 为密码明文。`irreversible-cipher` 表示密码使用不可逆加密方式存储。 3. 配置用户权限 ``` [huawei-aaa] local-user username service-type telnet level 15 ``` 其中,`service-type` 为用户使用的服务类型,`level` 为用户权限等级。 4. 配置 AAA 认证方案 ``` [huawei-aaa] authentication-scheme scheme-name [huawei-aaa-authen-scheme-scheme-name] authentication-mode aaa local ``` 其中,`scheme-name` 为认证方案名称,`authentication-mode` 表示认证方式。这里使用的是 AAA 和本地认证方式。 5. 配置 AAA 授权方案 ``` [huawei-aaa] authorization-scheme scheme-name [huawei-aaa-autho-scheme-scheme-name] authorization-mode aaa ``` 其中,`scheme-name` 为授权方案名称,`authorization-mode` 表示授权方式。 6. 配置 AAA 认证域 ``` [huawei-aaa] domain domain-name [huawei-aaa-domain-domain-name] authentication-scheme scheme-name [huawei-aaa-domain-domain-name] accounting-scheme scheme-name [huawei-aaa-domain-domain-name] authorization-scheme scheme-name ``` 其中,`domain-name` 为认证域名称,`authentication-scheme`、`accounting-scheme` 和 `authorization-scheme` 分别为认证、计费和授权方案名称。 以上是华为设备启用 AAA 认证功能的基本配置命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值