HCIE-Security Day45:AAA和NAC详解

最新推荐文章于 2024-08-13 22:28:01 发布
最新推荐文章于 2024-08-13 22:28:01 发布
阅读量1.5k 收藏 8
点赞数 2
分类专栏: HCIE-Security 文章标签: 华为 HCIE 认证 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/126459320
版权
本文详细介绍了AAA(认证、授权、计费)的概念及其在华为设备上的实现,包括本地方式和radius方式的配置流程。同时,探讨了NAC(网络准入控制)的原理、认证方式、架构以及与AAA的区别,强调了统一模式的优势。
摘要由CSDN通过智能技术生成

AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,提供了在NAS(Network Access Server,网络接入服务器)设备上配置访问控制的管理框架。

认证

确认访问网络的用户的身份,判断访问者是否为合法的网络用户。

AAA服务器将用户的身份验证凭据与存储在数据库中的用户凭据进行比较。如果凭据匹配,则身份认证成功,并且授予用户访问网络的权限。如果凭据不匹配,则身份认证失败,并且网络访问将被拒绝。用户的身份认证凭据通常使用:

  • 密码
  • 用户名和密码
  • 数字证书

授权

对不同用户赋予不同的权限,限制用户可以使用的服务。

用户身份认证成功之后,通过授权来确定:

  • 用户能够使用的命令
  • 用户能够访问的资源
  • 用户能够获取的信息

授权的基本原则是最小特权原则,即仅授予用户执行其所需功能时必须的权限,以此来防范任何轻率的授权可能导致的意外或恶意的网络行为。

计费

记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。

简单说就是:什么人、什么时间、做了什么事。

C/S架构:客户端运行在接入设备上,常被称为NAS设备,负责验证用户身份与管理用户接入;服务器是认证服务器、授权服务器和计费服务器的统称,负责集中管理用户信息。

AAA可以用多种方式实现,主要有本地方式、基于radius协议的方式和基于hwtacacs协议的方式。实际中最常使用的是基于RADIUS协议的方式。

本地方式

用户信息比如本地用户的用户名和密码和各种属性都配置在设备本

最低0.47元/天 解锁文章
信封同学
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
交换机NAC配置与管理详解
悦分享
01-05 1166
在计算机网络安全管理中,用户的网络接入控制(NAC)是必须充分考虑的一件大事,因为现在的网络安全隐患主要不是来自外网,而是内网。而在用户接入控制方面,最直接、最有效的方法就是基于接入设备接口的各种用户认证方法。在华为交换机中NAC包括802.1x认证、MAC认证与Portal认证,都是采用如下图所示的认证模型。它包括用户(User)、网络接入设备(NAD)和接入控制服务器(ACS)三大部分。(1)用户:指接入用户终端,需要对其进行接入认证
HCL配置 IS-IS 多区域实验
Long_UP的博客
05-02 1854
实验目标 完成本实验,应该能够达到以下目标。 ●掌握如何在路由器上配置IS-IS的路由聚合: ●掌握如何在路由器上配置IS-IS的验证。 实验拓扑 IP地址表 实验任务 IS-IS路由聚合和验证配置: 在本实验任务中,学员需要在路由器上配置IS-IS 的多区域,再配置聚合和验证。通过本 实验任务,学员应该能够掌握IS-IS 中聚合和验证的配置方法。 配置命令如下: PCA 启用接口,确保接口是...
IE-LAB网络实验室:华为AAA认证详解
aglaia89的博客
07-09 701
AAAAuthentication Authorization Accounting )是一种提供认证、授权和计费的技术。 认证Authentication ):验证用户是否可以获得访问权,确定哪些用户可以访问网络。 授权( Authorization ):授权用户可以使用哪些服务。 计费( Accounting ):记录用户使用网络资源的情况。】 AAA 通常采用“客户端—服务器”...
网络边界的守护者:网络访问控制(NAC)技术详解
最新发布
2401_85342379的博客
08-13 564
NAC是一套技术和解决方案的集合,它通过一系列措施,如身份验证、授权、合规性检查等,来控制和管理对网络的访问。“NAC(Network Admission Control)称为网络接入控制,是一种“端到端”的安全结构,包括802.1X认证、MAC认证与Portal认证”。它的重要性在于,能够从用户终端角度考虑内部网络安全,实现对接入用户进行安全控制,提供“端到端”的安全保证。
路由器重温——PPPoE配置管理-2
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
11-10 3860
四、配置设备作为PPPoE服务器 路由器的PPPoE服务器功能可以配置在物理以太网接口或PON接口上,也可配置在由ADSL接口生成的虚拟以太网接口上。 1、配置虚拟模板接口 虚拟模板接口VT和以太网接口或PON接口绑定后,实现PPPoE功能。 PPPoE服务器的虚拟模板接口配置 system-view interface virtual-template vt-number 创建虚拟模板接口并进入虚拟模板接口视图。ppp authentication-mode {chap | pap} ...
华为----4-OSPF(内部网关协议)
weixin_62693307的博客
03-13 1415
类型2 LSA(网络LSA--Network-ABR):用于描述一个多点网络的LAN接口(多播网络)的连接状态,并且包含在该网络上连接的所有集线器、交换机的网络地址信息,以及所连接的路由器ID。----用来确定是否存在除骨干区域以外的外连接,同时也是ABR,由连接外面的接口进行宣告。虚连接的配置需要在两端同时完成。更灵活的邻居管理:使用Non-Broadcast网络类型的OSPF协议,每个路由器通过单播方式告知邻居信息,对于邻居的管理也更加灵活,可以实现对于邻居路由器的优先级设置,方便路由器的管理和控制。
奇安信_NAC终端安全准入系统(相关问题整理)
呦菜呦爱玩的博客
05-31 1402
奇安信终端安全准入系统 ,下称NAC
HCIE-Security Day23:DSPN+NHRP+Mgre:实验(二)配置非shortcut方式DSPN(OSPF路由协议)
小梁的博客
03-05 953
目录 ​​​ 实验:配置非shortcut方式DSVPN(OSPF路由协议) 需求和拓扑 操作步骤 1、配置接口地址划分安全区域 2、配置安全策略 3、配置公网动态路由确保公网路由可达 4、 配置私网ospf 5、配置tunnel隧道 验证和分析 1、抓包检查ospf报文 2、检查路由表 3、检查nhrp表 4、执行ping操作后再次检查 实验:配置非shortcut方式DSVPN(OSPF路由协议) 需求和拓扑 某中小企业有总部(Hub)和...
HCIE-Security Day1:防火墙概述、实验环境搭建、三种方式管理防火墙
小梁的博客
02-09 4362
防火墙了解 路由器、交换机、防火墙是最重要的三类网络设备。 交换机是部署在企业内部,用于实现局域网络互联,vlan划分的功能。路由器是部署在企业网络边缘,实现与其他节点,分支机构或者互联网连接的设备。园区网络内部,一般包含办公区,普通用户的业务一般在这里,数据中心,部署了很多服务器。为了保证企业网络的安全性,需要部署防火墙,防火墙一般部署在数据中心的出口、路由器与核心交换机之间,即网络的内外边界,用于防止非法访问和攻*击。 防火墙一般还会旁挂DMZ区,叫做非军事化区,DMZ区中也部署了一些服务器,..
HCIE-Security Day6:5个实验深入浅出理解源NAT
小梁的博客
02-10 2516
NAT是一种地址转换技术,可以将ipv4报文头中的地址做转换,通常情况下,利用nat技术将ipv4报文头中的私网地址转换为公网地址,实现了内网设备与公网设备的互访。 从实现上来说,NAT转换设备都维护一张地址转换表。地址转换的机制分为: 内部网络主机的ip地址和端口转换为nat转换设备外部网络地址和端口 外部网络主机的ip地址和端口转换位nat转换设备内部网路地址和端口 即私有地址+端口与共有地址+端口之间互相转换。 常见的nat转化设备由路由器、防火墙等。 NAT分类 ...
ASP.NET Core Authentication认证实现方法
12-17
追本溯源,从使用开始     首先看一下我们通常是如何使用微软自带的认证,一般在Startup里面配置我们所需的依赖认证服务,这里通过JWT的认证方式讲解 public void ConfigureServices(IServiceCollection services) { services.AddAuthentication(authOpt => { authOpt.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; authOpt.DefaultChallengeScheme =
HCIE-Security 网络安全专家 V3.0 培训教材及实验手册
04-09
HCIE-Security V3.0 考试大纲.pdf HCIE-Security V3.0 实验手册.pdf HCIE-Security V3.0 培训教材.pdf
H3C交换机telnet服务三种认证模式配置
weixin_38912654的博客
11-06 6553
None认证模式配置步骤: [H3C]telnet server enable //开启Telnet 服务 [H3C]user-interface vty 0 4 //允许远程用户0-4共5个账户同时登陆 [H3C-line-vty0-4]authentication-mode none //认证模式为none,不需要认证 [H3C-line-vty0-4]user-role level-3 //...
IS-IS详解(十五)——IS-IS 认证
永远是少年
09-02 3416
今天继续给大家介绍IS-IS相关内容。本文主要内容是IS-IS路由开销计算与外部路由引入。 阅读本文,您需要有一定的IS-IS基础,如果您对此存在困惑,欢迎查阅我博客的其他内容,相信您一定会有所收获。 推荐阅读: IS-IS详解(一)——IS-IS基础 IS-IS详解(二)——IS-IS邻居建立 IS-IS详解(三)——IS-IS 报文结构与功能 IS-IS详解(四)——IS-IS Hello报文详解 IS-IS详解(五)——IS-IS 三次握手与两次握手 IS-IS详解(六)——IS-IS LSP机制详解
telnet远程登录aaa模式详解华为eNSP】
一键难忘的博客
07-14 7919
所有的需求都已经记录完毕了,现在只差最后一个需求:对于这个需求还是较为简单,采用telnet远程登录aaa模式。 先看一眼拓扑图: 汇聚层交换机LSW6为例: 首先:同时允许建立Telnet 会话编号范围,允许五台设备。设置本端操作不需要密码设置加密模式进入aaa设置用户名称及密文密码设置用户的接入类型为Telnet查看aaa解释: authentication-scheme default 是验证方式,default 是默认 默认情况下使用本地验证。 authorization-scheme defaul
AAAAuthentication(认证)配置
热门推荐
大任的网络专栏
02-29 2万+
一、简介 AAAAuthentication(认证)Authorization授权 Account记帐的简称; 它们不是必须的也不是要同时一起使用的; 他们可以使用路由器设备本地数据库,也可以使用外部数据库(ACS); 首先我们要认证,即通过密码验证;我们就算没有设置其实也用到了认证,就是登陆路由器要输入的密码,这个叫enable, 我们在配置了,username abc passwo
HUAWEI OSPF配置
vx XIxi_AL
12-08 3624
OSPF单区域 准备工作: 1、设备改名 2、配置IP地址 3、PC机指向对应段的网关 OSPF配置 R1配置: ospf 10 #进入ospf,进程号为10 area 0 #区域选择0,也就是骨干区域 network 192.168.10.0 0.0.0.255 #宣告直连网段 network 192.168.20.0 0.0.0.255 R2配置: ospf 10 #进入ospf,进程号为10 area 0 #区域选择..
华为路由交换课程笔记12-AAA
阿元的笔记
09-03 2084
一、AAA简介 AAAAuthentication认证)、 Authorization(授权)、 Accounting(计费)的简称,AAA可以通过多种协议实现,目前华为支持RADIUS(Remote Authentication Dial-In User Service)、HWTACACS等。 认证:验证用户是否可以获得网络访问的权限 授权:授权用户可以访问或使用网络上的哪些服务。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值