思科IPSEC和AAA本地认证配置

最新推荐文章于 2025-04-05 11:03:51 发布
最新推荐文章于 2025-04-05 11:03:51 发布
阅读量2.3k 收藏 41
点赞数 24
文章标签: 智能路由器 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l_2579854355/article/details/134753016
版权

网络拓扑图

要求:

PC1和PC2是外网用户,它们通过VPN接入局域网。

R0是局域网边界路由器,同时也作为VPN网关设备。

R1是外网路由器。

实验步骤:

配置R0,R1各端口

R0端口配置:

R1端口配置:

配置PC0,PC1,PC2,服务器

Pc0

Pc1

Pc2

服务器IP配置:

尝试ping内网pc

不通

在R0上配置默认路由

注意:R0是边界路由器,不能在R0和R1间配置路由协议,只能配置默认路由。

R0(config)#ip route 0.0.0.0 0.0.0.0 200.110.24.2

配置AAA服务,为用户提供访问账户

R0(config)#aaa new-model!开启AAA认证

R0(config)#aaa authentication login vpn local!指定服务对象名

R0(config)#aaa authorization network vpnuser local!指定授权网络名

R0(config)#username zhang password zhangfei!创建VPN账户及密码

R0(config)#username guan password guanyu

标蓝的文字是参数,配置时可自行设置。黄底蓝字为之前定义过的参数。服务对象名和授权的网络名在配置IPSec时要使用,用户名和密码则提供给VPN用户。

配置VPN地址池

R0(config)#ip local pool vpool 192.168.1.100 192.168.1.253!地址池

“vpool”是地址池名,可自定义。

地址池中的地址必须和R1路由器连接的局域网一侧在同一网络内。地址数量需能容纳外网用户数。

配置IPSec第1阶段参数:isakmp协商

R0(config)#crypto isakmp policy 10 !定义isakmp协商参数

R0(config-isakmp)#hash md5 !指定验证算法

R0(config-isakmp)#encryption 3des!指定加密算法

R0(config-isakmp)#authentication pre-share!指定验证方式为共享密钥

R0(config-isakmp)#exit

R0(config)#crypto isakmp client configuration group msy!创建组,组名为msy

R0(config-isakmp-group)#key myvpn!组密钥

R0(config-isakmp-group)#pool vpool!地址池名

组名和组密钥需提供给用户,在建立VPN连接时使用。

配置IPSec第2阶段参数:ipsec配置

R0(config)#crypto ipsec transform-set TF1 esp-3des esp-sha-hmac!指定策略名、加密算法、验证算法

R0(config)#crypto dynamic-map dmap 10!动态加密图

R0(config-crypto-map)#set transform-set TF1!绑定策略

R0(config-crypto-map)#reverse-route!反向路由注入

R0(config-crypto-map)#exit

建立地图

R0(config)#crypto map vmap client authentication list vpn!绑定AAA服务

R0(config)#crypto map vmap isakmp authorization list vpnuser!绑定用户表

R0(config)#crypto map vmap client configuration address respond

R0(config)#crypto map vmap 10 ipsec-isakmp dynamic dmap!绑定动态加密图

把IPSec地图应用在设备接口上

R0(config)#interface s0/0/0

R0(config-if)#crypto map vmap

一.测试,使用PC1的浏览器访问192.168.1.1服务器/或者ping。看能否访问。

无法ping通,因为没有认证

浏览器也无法访问服务器

使用账号登录

二.使用PC1的桌面的VPN功能,输入组名,组密钥,主机(服务器)IP,账号,密码连接。观察是否连接成功及系统分配的内网IP是多少。PC2用另外一个账号连接。

连接成功

分配的内网IP是:

三.VPN登录后再访问服务器。

登录后能够访问服务器

抓包分析

四.观察访问服务器时每一步的数据包,观测是从哪一步开始进行ipsec保护的,以及ip报头的来源和目的ip。

公网pc ping 服务器数据包传输过程:

  1. 公网pc发出带ipsec封装的包

2、公网路由器router1 把包转发给router0

3、router0 把收到的包解开ipsec封装后,转发给交换机

4、交换机把解封后的包分别发给内网pc0和服务器

Pc0收到包发现不是访问自己的就不回应

服务器收到包开始回应,此时数据包未被加密

5、服务器发给交换机

6、交换机发给router0

7、router0收到包后进行加封装,然后发给公网(router1)

8、router1 收到加密的包发给目的pc2

9、pc2收到包进行解封

完成一次ping过程

五.桌面-命令提示符 查看PC1的IP设置(Ipconfig)

最后一行虚拟接口ip:192.168.1.103

六.PC0可否ping 通PC1,PC2?怎样ping?

用内网pc 能够ping通公网pc2的分配的地址:192.168.1.101

内网pc无法ping通公网pc2的公网地址200.130.24.1

本文仅用于记录学习,如有侵权联系删除!

落叶泡水
关注
思科AAA认证(tacacs认证方式)
qq_37858298的博客
07-15 1953
一台启用了tacacs认证的设备,在进行设备重启、软件版本升级等割接操作时,建议在tacacs认证的基础上,配置local账号通过console登录。避免tacacs服务器中断后,避免bug或者其他原因本地账号不能正常登陆的情况。这样AAA账户本地账户可以同时登录设备,割接完成后记得删除配置本地账号通过console登录的方式,保证设备的安全性。
思科配置AAA认证
weixin_30687587的博客
03-19 3737
一、实验拓扑如下 二、AAA配置过程 1.路由3配置 Router(config)#username R3 password 123 Router(config)# aaa new-model Router(config)# aaa authentication login default local Router...
0基础学RS(十)思科AAA认证基于服务器的AAA认证(TACACS+配置,RADIUS配置
热门推荐
weixin_45816894的博客
04-11 1万+
前言 上一篇讲了本地AAA的知识相关配置,接下来将讲解基于服务器的AAA认证本地AAA基于服务器的AAA到底有什么区别呢?他们分别适用于什么什么样的环境? 本地AAA 本地实现的AAA对于非常小的网络来说比较合适,但是本地认证的扩展性不好。 大多数公司有多台路由器、交换机其他基础设备,而且还有许多网络管理员成百上千个需要接入公司局域网的用户。因此,在每台设备上为这么大规模的网络维护本地数据库是不可行的。 基于服务器的AAA 为了解决大规模网络的管理,可以使用一台或者多台AAA服务器来管理整个公司网
思科安全AAA配置详解
05-29
入门的AAA配置步骤,适合考网络工程师及学习网络安全方面参考
AAA认证之准入认证的原理及配置
2403_83112422的博客
03-12 991
aaa认证的原理基础配置
思科AAA配置
2301_79021209的博客
04-20 1545
R1(config-line)#login authentication yuancheng #调用认证模式yuancheng。R1(config)#enable secret 1234 #配置本地认证密码1234(用户模式到特权模式密码为1234)R1(config)#aaa authentication login default local #登录模式为默认。R1(config)#aaa new-model #开启AAA认证。R1(config)#do wr # 保存。
CISCO AAA 认证配置
weixin_34175509的博客
07-24 727
三个Security Server Protocols的区别 RADIUS TACACS+ Kerberos distributed client/ser...
Packet Tracer -思科路由器配置 AAA 认证
傻傻的心动的博客
05-05 1万+
Packet Tracer -思科路由器配置 AAA 认证
Cisco Packet Tracer配置AAA认证
m0_64598287的博客
04-06 1125
client ip 配置成RADIUS服务器的默认网关地址。连接TACAS的路由器做同样配置配置 RADIUS 服务器。配置 TACACS+ 服务器。RADIUS服务器的配置配置本地账户作为备用方法。Tacas服务器配置
Cisco配置aaa验证
weixin_30940783的博客
11-04 383
当您的网络中部署了一台集中的radius校验服务器(比如我司的SAM,cisco的ACS等),希望对登陆设备的用户身份进行合法性校验,而账号都统一由该radius服务器集中产生与维护,您希望所有的登入操作(比如console口登陆,telnet登陆等)的用户提交的用户名&密码都必须经过该radius服务器验证下,而不是采用设备原来自己配置本地账号密码的时候,就可以采用该功能,从而保证合法...
Packet Tracer - Configure AAA Authentication on Cisco Routers(在思科路由器配置 AAA 认证
YueXuan_521的博客
01-07 2391
Packet Tracer - Configure AAA Authentication on Cisco Routers Packet Tracer -思科路由器配置 AAA 认证 目标 在R1上配置本地用户账户,并使用本地AAA进行控制台vty线路的身份验证。 从R1控制台PC-A客户端验证本地AAA身份验证功能。 配置基于服务器的AAA身份验证,采用TACACS+协议。 从PC-B客户端验证基于服务器的AAA(TACACS+)身份验证。 配置基于服务器的AAA身份验证,采用RADIUS协
CISCO交换机配置AAA、802.1X以及VACL
01-02
CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令生物检测术等服务。EAP数据包在请求者验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口不受控端口 802.1x标准定义了两种逻辑抽象:受控端口不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令生物检测术等服务。EAP数据包在请求者验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口不受控端口 802.1x标准定义了两种逻辑抽象:受控端口不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 发表于: 2010-03-01,修改于: 2010-03-01 08:56 已浏览168次,有评论0条 推荐 投诉
Cisco AAA与ACS配置
08-03
文章描述了CISCO AAA 与 ACS配置搭建,不是高版本哦 。
AAA配置采用本地方式进行认证授权
qq_28776313的博客
05-31 2075
1.1配置本地服务器 配置本地用户:创建本地用户,设备根据创建的用户信息对本地用户进行认证配置授权规则:在设备上创建相应的授权规则,本地授权时可以根据创建的授权规则对用户授权。 1.2配置并应用AAA方案 配置AAA方案:业务方案中也可以配置用户的授权信息。 配置业务方案(可选):业务方案中也可以配置用户的授权信息。 在域下应用AAA方案:创建好的AAA方案业务方案需要绑定到用户所属域下才能生效。
思科ssh验证方式_cisco ssh本地认证登陆配置
weixin_39610188的博客
12-21 679
router(config)#hostname RARA(config)#ip domain-name cisco.comRA(config)#enable secret 123RA(config)#interface fastethernet 0/0RA(config-if)#ip address 192.168.1.1 255.255.255.0RA(config-if)#no shutdow...
思科交换机AAA认证
weixin_33762130的博客
05-26 1754
aaa new-modelusername admin privilege 15 password adminaaa authentication login default group tacacs+ localaaa authorization exec default group tacacs+ localaaa accounting exec default star...
CiscoSSH的配置与AAA认证
最新发布
weixin_57619594的博客
04-05 180
username 需要登陆的用户名 privilege 用户等级password 密码 \\设置AAA用户的登录账户名账户密码。ip ssh authentication-retries 3 \\ ssh身份验证测试过期次数。enable password 密码 \\配置特权密码。Ip ssh time-out 10 \\ 启用ssh协议。ip ssh version 2 \\配置ssh协议版本号。ip domain-name \\ 配置域名。Hostname \\ 配置设备名字。
0基础学RS(九)思科AAA认证本地AAA认证
weixin_45816894的博客
04-11 8613
AAA概述 AAA是认证(Authentication)、授权(Authorization)计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权计费三种安全服务。 AAA认证模式 本地AAA认证 基于服务器的AAA认证 本地AAA认证 本地AAA会在网络设备(如思科路由器本地保存用户名密码。用户向本地数据库认证自己的身份,如图所示。本地 AAA 是小型网络的理想选择。 使用CLI配置本地AAA认证 配置本地AAA认证步骤 配置用户名密码 在路由器上全
在Cisco Packet Tracer模拟环境中,如何正确配置AAA认证以及实现设备间通信的加密功能?
10-25
参考资源链接:[深度解析:Cisco Packet Tracer 5.2 实验教程](https://wenku.csdn.net/doc/2eqenh4m51?utm_source=wenku_answer2doc_content) 要使用Cisco Packet Tracer模拟网络并实现AAA认证以及加密通信,首先需要确保你有一个清晰的网络拓扑设计,以及对AAA(认证、授权计费)网络加密技术的工作原理有基本了解。为了深入掌握这些概念并能够应用到实际操作中,我建议阅读《深度解析:Cisco Packet Tracer 5.2 实验教程》,该教程详细介绍了如何在Packet Tracer中执行这些高级网络配置。 首先,配置AAA功能可以让你的网络更加安全,因为它允许你对网络访问进行严格的控制。在Packet Tracer中,你可以通过在路由器或交换机上配置AAA本地数据库或远程AAA服务器来实现AAA认证。例如,使用命令'aaa new-model'开启AAA服务,然后配置本地或远程认证服务器如TACACS+或RADIUS。 接下来,为了保证设备间通信的加密,你可以使用IPSec(Internet Protocol Security)来建立安全的虚拟私人网络(VPN)。在Packet Tracer中,你可以设置VPN隧道,并配置加密算法来确保数据传输的安全。配置IPSec VPN通常包括定义加密转换集、安全策略密钥交换机制等步骤。 具体配置步骤如下: 1. 启用AAA服务并配置认证方法。 2. 创建配置远程AAA服务器(如果使用)。 3. 设置IPSec VPN,包括定义加密协议、密钥隧道两端的参数。 4. 应用访问控制列表(ACLs)来定义哪些数据流应该通过VPN隧道。 完成这些步骤后,你应该能够在Packet Tracer中模拟出一个更加安全的网络环境,从而验证你的配置是否正确有效。 通过这些实验,你可以对网络的安全性配置有一个更加直观实际的认识。在掌握了AAAVPN加密技术之后,你将能够更好地理解网络安全在实际网络设计中的重要性。此外,阅读《深度解析:Cisco Packet Tracer 5.2 实验教程》可以让你对这些技术有更深入的理解,并在实验中不断提高你的技能。 参考资源链接:[深度解析:Cisco Packet Tracer 5.2 实验教程](https://wenku.csdn.net/doc/2eqenh4m51?utm_source=wenku_answer2doc_content)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值