Cisco配置aaa验证

最新推荐文章于 2025-04-05 11:03:51 发布
最新推荐文章于 2025-04-05 11:03:51 发布
阅读量1.3w 收藏 50
点赞数 10

Cisco配置aaa验证

当您的网络中部署了一台集中的radius校验服务器(比如我司的SAM,cisco的ACS等),希望对登陆设备的用户身份进行合法性校验,而账号都统一由该radius服务器集中产生与维护,您希望所有的登入操作(比如console口登陆,telnet登陆等)的用户提交的用户名&密码都必须经过该radius服务器验证下,而不是采用设备原来自己配置的本地账号密码的时候,就可以采用该功能,从而保证合法的管理员允许登入设备进行管理,而非法的用户将被一律拒绝。

通常该功能适用于高安全,高敏感性要求的行业,比如金融,政府,运营商行业。

功能简介:

AAA提供认证功能,可以对登陆设备(比如console口登入,telnet登入等)的用户身份进行验证,认证协议采用标准的Radius,这样配合统一的校验服务器(比如我司的SAM,cisco的ACS等)管理账号,验证用户名&密码的合法性,最终实现授权的用户才能管理到设备。

一、组网需求

1、为了便于管理交换机,客户要求登入交换机的用户名和密码从radius服务器上取,如果radius服务器无响应,那么从本地取用户名和密码;

2、为了防止用户在Login认证的时候,使用穷举法破解密码,限制用户Login尝试次数为3次,在Login失败达到3次时,用户将被锁定1小时不能登录(默认情况下,login尝试失败次数为3次,被锁定的时间限制为15小时或15分钟(不同软件版本的锁定时间可能不一样))。

二、组网拓扑

三、配置要点

1、在交换机上需要开启AAA功能,并且配置radius服务器及key等相关参数

2、优化AAA登录的配置(AAA lock)

3、Radius服务器上添加交换机及账户信息

四、配置步骤  

交换机的配置如下:

Ruijie#enable

Ruijie#configure terminal

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#radius-server host 192.168.33.244   ------>配置radius IP

Ruijie(config)#radius-server key ruijie      ------>配置与radius通信的key

Ruijie(config)#aaa authentication login ruijie group radius local   ------>设置登入方法认证列表为ruijie,先用radius组认证,如果radius无法响应,将用本地用户名和密码登入

Ruijie(config)#line vty 0 4

Ruijie(config-line)#login authentication ruijie    ------>vty模式下应用login认证

Ruijie(config-line)#exit

Ruijie(config)#username admin password ruijie   ------>配置本地用户名和密码

Ruijie(config)#enable password ruijie         ------>配置enable密码

Ruijie(config)#service password-encryption            ------>对密码进行加密,这样show run就是密文显示配置的密码

Ruijie(config)#aaa local authentication attempts 3          ------>配置限制用户尝试次数为3次,如果3次输入对了用户名但是输错了密码,将会无法登入交换机

Ruijie(config)#aaa local authentication lockout-time 1    ------>如果无法登入后,需要等待1小时才能再次尝试登入系统

Ruijie(config)#interface vlan 1

Ruijie(config-if-VLAN 1)#ip add 192.168.33.161 255.255.255.0 

Ruijie(config-if-VLAN 1)#end

Ruijie#write   ------> 确认配置正确,保存配置

radius服务器的配置如下:

这里radius服务器使用SAM,SAM上的配置如下:

1、在系统管理---->设备管理------>添加设备上,添加交换机的IP、key值

 

2、在安全管理---->设备管理权限------>添加设备管理权限,创建交换机的login登入权限名,然后点击增加条目,如下:

3、在安全管理---->设备管理员------>添加设备管理员,创建登入交换机的用户名和密码,这里我输入的用户名是2017,密码是2017

五、功能验证

1、在电脑上开始------>运行------->输入CMD,然后telnet交换机的IP地址

2、敲入回车后,输入用户名和密码,进入Ruijie>模式,输入enable密码后进入Ruijie#模

3、查看登入用户的状态

4、当radius 服务器挂掉后,此时电脑输入用户名2017,密码2017,无法登入到交换机,

5、当连续输错三次密码后,再次输入正确的用户名将无法登入系统

六、补充说明

1、交换机上只要开启了AAA功能,即只要在交换机上配置了Ruijie(config)#aaa new-model命令,那么交换机会自动在line vty 模式下开启AAA认证,要求telnet的用户使用本地的用户名和密码进行的登入,所以此时必须要在交换机的全局配置模式下创建本地用户名和密码,例如创建用户名admin,密码ruijie,命令如下:

Ruijie(config)#username admin password ruijie

2、如果需要实现console口登入也需要使用本地用户名和密码进行登入,可以使用如下命令实现:

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa authentication login local   ------>设置登入方法认证列表为ruijie,用本地用户名和密码登入

Ruijie(config)#username admin password ruijie

Ruijie(config)#line console 0

Ruijie(config-line)#login authentication ruijie

Ruijie(config-line)#end

3、如果需要实现enable登入也需要使用本地用户名和密码进行登入,可以使用如下命令实现:

Ruijie(config)#aaa new-model    ------>开启AAA功能

Ruijie(config)#aaa authentication enable default local   ------>设置enable认证使用用本地用户名和密码登入

Ruijie(config)#username admin password ruijie

4、如果需要实现telnet交换机不需要输入enable密码,可以将本地用户名的权限改为15,如下:

Ruijie(config)#username admin password ruijie

Ruijie(config)#username admin privilege 15

5、如果需要实现不需要任何用户名和密码就能telnet登入交换机,可以使用如下命令实现:

注:交换机如上设置后就不需要任何用户名和密码就能远程telnet到交换机#号模式,这样交换机很危险,我们不建议这么做。

Ruijie(config)#aaa new-model  

Ruijie(config)#aaa authentication login default none

Ruijie(config)#line vty 0 4

Ruijie(config-line)#privilege level 15

Ruijie(config-line)#end

在思科上配置AAA认证
weixin_30687587的博客
03-19 3736
一、实验拓扑如下 二、AAA配置过程 1.路由3配置 Router(config)#username R3 password 123 Router(config)# aaa new-model Router(config)# aaa authentication login default local Router...
aaa认证服务器安装位置,Cisco AAA服务器 安装调试及配置验证
weixin_31582915的博客
08-10 979
实验环境一台CISCO2501路由器,作为AAA服务器的客服端,一台内网的PC机作为AAA服务器端,PC机上面安装又Cisco sectuer ASC软件。实验要求:安装服务器(ACS),并对服务器进行基本设置:User、指定Client端IP及Key。配置Client端,所有默认用户登陆时使用Tacacs+服务器进行认证,并当Tacacs+服务器出错时才采用Client本地数据库进行认证。允许...
CISCO交换机配置AAA、802.1X以及VACL
01-02
CISCO交换机配置AAA、802.1X以及VACL CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置CISCO交换机配置AAA、802.1X以及VACL 一 启用AAA、禁用Telnet 以及启用 ssh 1.启用aaa身份验证,以进行SSH访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过SSH以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty的aaa身份验证方式,首先使用radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为radius身份验证启用802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl以丢弃所有通过tcp端口8889进入的桢 1.配置一个acl,以判断数据包是否通过tcp端口8889进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x工程笔记 在某网络测试时,工作笔记。 一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。 1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道) 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。 二、802.1X的认证体系分为三部分结构: Supplicant System,客户端(PC/网络设备) Authenticator System,认证系统 Authentication Server System,认证服务器 三、认证过程 1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等; 3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等 四、配置 1、先配置switch到radius server的通讯 全局启用802.1x身份验证功能 Switch# configure terminal Switch(config)# aaa new-model Switch(config)# aaa authentication dot1x {default} method1[method2...] 指定radius服务器和密钥 switch(config)#radius-server host ip_add key string 2、在port上起用802.1x Switch# configure terminal Switch(config)# interface fastethernet0/1 Switch(config-if)# switchport mode access Switch(config-if)# dot1x port-control auto Switch(config-if)# end 802.1x的安全机制 编者按:IEEE 802.1x作为一种新生的链路层验证机制协议,其原理、组成、工作进程以及功能等到底如何呢?本文揭示了这项协议在网络安全方面的运行机理及其突出应用。 虽然大多数组织的IT基础设施已经加强了边界防御,但其内部仍然容易受到攻击。这种脆弱性具体表现为内部用户可未经授权访问或者恶意破坏关键的IT资源。作为全面的“深层防御”安全架构的一部分,关键内部基础设施的访问权只能提供给授权用户。 局域网(LAN)历来是大门敞开。IEEE 802.1x这项最新标准定义了为LAN实施访问控制的机制,允许授权用户进来,而把非授权用户拒之门外。因此,有了802.1x,LAN便不再是一道敞开的门,其本身也成为安全架构和政策执行的一个重要部分,并有助于消除来自组织内部的安全威胁。 802.1x验证机制及其优点 IEEE 802.1x是一种链路层验证机制协议,控制着对网络访问端口即网络连接点的访问,如实施在无线接入点的物理交换端口或逻辑端口。通过控制网络访问,用户可以在多层安全架构部署第一道防线。在连接设备得到验证之前,网络访问权完全被禁止。得到验证之后,用户可以被提供第2层交换机通常提供的服务以外的附加服务。这些服务包括第3层过滤、速率限制和第4层过滤,而不仅仅是简单的“开/关(on/off)”服务。 链路层验证方案的一个优点是,它只要求存在链路层连接,客户端(在802.1x中称为请求者)不需要分配供验证用的第3层地址,因而降低了风险。此外,链路层验证涉及了所有能够在链路上工作的协议,从而不必为每种协议提供网络层验证。802.1x还能够使执行点尽可能地接近网络边缘,因此可以针对连接设备的特定需求定制细粒度访问规则。 IEEE 802.1x的组成 IEEE 802.1x定义了下列逻辑单元: 网络访问端口:即网络上的连接点,它可能是物理端口,也可能是逻辑端口。 请求者:连接到网络、请求其服务的设备,通常是终端站。请求者是请求验证的设备,但也有可能是一种网络设备。 验证者:为验证服务提供便利的网络单元,验证者实际上并不提供验证服务,它充当请求者和验证服务器之间的代理,并且充当政策执行点。 端口访问实体:参与验证过程的固件。请求者和验证者都拥有端口访问实体(PAE)单元,请求者的PAE负责对验证信息请求做出响应,验证者的PAE负责与请求者之间的通信,代理授予通过验证服务器验证的证书,并且控制端口的授权状态。 验证服务器:提供向验证者申请验证服务的实体,它根据证书提供授权,既可以同验证者放在一起,也可以放在远地。 扩展验证协议(EAP) 由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的, 在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。 基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。 EAP本身并不为流量传输明确规定任何保护机制,如加密等。相反,EAP内运行的验证协议(在RFC 2284当中定义为验证类型)为安全操作提供了数据的机密性和完整性。验证类型的一个例子就是EAP传输层安全(EAP-TLS),它利用了在RFC 2246中明确定义的传输层协议(TLS)。 受控端口和不受控端口 802.1x标准定义了两种逻辑抽象:受控端口和不受控端口。这两种端口都连接到网络访问端口上。受控端口提供了访问请求者所用的网络服务的功能,根据验证操作成功与否实现打开或关闭操作。不受控端口始终处于连接状态,为验证服务的进行提供了始终连通的状态。受控端口需验证通过后才处于连接状态,从而提供给请求者网络服务。 802.1x的工作过程 802.1x的工作相当简单。值得注意的是请求者和验证者之间的流量通过EAPoL传输,验证者与验证服务器之间的流量则通过RADIUS传输。 开始时,受控端口处于中断状态,所以请求者无法访问LAN本身。请求者向验证者发出EAPoL起始消息,或者验证者会向请求者发出EAP请求身份消息。请求者接到请求身份消息后,就会把证书提供给验证者,然后验证者进行封装后把RADIUS数据包里面的消息发送给验证服务器。 RADIUS服务器随后向请求者发出质问请求,该请求由验证者充当代理。请求者对质问做出响应后,验证者又一次充当数据通过验证服务器的代理。验证服务器确认证书后,就会做出请求者可不可以使用LAN服务的决定。只要让受控端口由中断状态转换到连接状态,即可实现这一步。 增强授权功能 因为802.1x只明确规定了基本的开/关功能,其他功能甚少,大多数安全专家提到了AAA,即验证、授权和审计,而802.1x仅仅提供了最基本的验证功能,即开/关。部分厂商于是提供了另一层保护,因为许多组织需要比“开/关”所能够实现的更高一级的细粒度。厂商为受控端口增添逻辑以提高保真度,从而大大增强了授权功能。这种所谓的授权服务可以提供高保真度的第2、第3和第4层过滤功能,而且可以进行扩展,以获得动态自我配置的数据包过滤防火墙。授权服务可以提供如下的一些服务: ● 第2层协议过滤,去除了网络中不接受的第2层协议。 ● 第3层过滤,对提供特定单元访问权的网络执行逻辑视图。 ● 第4层过滤,禁止不允许的协议进入网络。 ● 速率限制,控制可能有害的信息进入网络的速率。 如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。 举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。 发表于: 2010-03-01,修改于: 2010-03-01 08:56 已浏览168次,有评论0条 推荐 投诉
CiscoSSH的配置与AAA认证
最新发布
weixin_57619594的博客
04-05 175
username 需要登陆的用户名 privilege 用户等级password 密码 \\设置AAA用户的登录账户名和账户密码。ip ssh authentication-retries 3 \\ ssh身份验证测试过期次数。enable password 密码 \\配置特权密码。Ip ssh time-out 10 \\ 启用ssh协议。ip ssh version 2 \\配置ssh协议版本号。ip domain-name \\ 配置域名。Hostname \\ 配置设备名字。
思科AAA配置
2301_79021209的博客
04-20 1536
R1(config-line)#login authentication yuancheng #调用认证模式yuancheng。R1(config)#enable secret 1234 #配置本地认证密码1234(用户模式到特权模式密码为1234)R1(config)#aaa authentication login default local #登录模式为默认。R1(config)#aaa new-model #开启AAA认证。R1(config)#do wr # 保存。
思科安全AAA配置详解
05-29
入门的AAA配置步骤,适合考网络工程师及学习网络安全方面参考
Packet Tracer - Configure AAA Authentication on Cisco Routers(在思科路由器上配置 AAA 认证
YueXuan_521的博客
01-07 2376
Packet Tracer - Configure AAA Authentication on Cisco Routers Packet Tracer - 在思科路由器上配置 AAA 认证 目标 在R1上配置本地用户账户,并使用本地AAA进行控制台和vty线路的身份验证。 从R1控制台和PC-A客户端验证本地AAA身份验证功能。 配置基于服务器的AAA身份验证,采用TACACS+协议。 从PC-B客户端验证基于服务器的AAA(TACACS+)身份验证配置基于服务器的AAA身份验证,采用RADIUS协
在思科路由器上配置AAA认证
weixin_30709809的博客
03-18 2302
在思科路由器上配置AAA认证 一、实验拓扑 二、地址表 三、AAA配置过程 1.在R1配置本地用户名并为console配置本地AAA认证和VTY连接认证 R1(config)#username admin1 password admin1 R1(config)# aaa new-model ...
Cisco Packet Tracer配置AAA认证
m0_64598287的博客
04-06 1115
client ip 配置成RADIUS服务器的默认网关地址。连接TACAS的路由器做同样配置配置 RADIUS 服务器。配置 TACACS+ 服务器。RADIUS服务器的配置配置本地账户作为备用方法。Tacas服务器配置
Cisco路由器AAA配置
weixin_33889665的博客
07-24 351
Cisco AAA与ACS配置
08-03
文章描述了CISCO AAA 与 ACS配置搭建,不是高版本哦 。
Packet Tracer - 在思科路由器上配置 AAA 认证
热门推荐
傻傻的心动的博客
05-05 1万+
Packet Tracer - 在思科路由器上配置 AAA 认证
思科AAA认证(tacacs认证方式)
qq_37858298的博客
07-15 1929
一台启用了tacacs认证的设备,在进行设备重启、软件版本升级等割接操作时,建议在tacacs认证的基础上,配置local账号通过console登录。避免tacacs服务器中断后,避免bug或者其他原因本地账号不能正常登陆的情况。这样AAA账户和本地账户可以同时登录设备,割接完成后记得删除配置本地账号通过console登录的方式,保证设备的安全性。
思科aaa配置命令
qq_42437085的博客
06-14 5097
我们将继续使用cisco Packet Tracer进行拓扑搭建,如图所示: 然后我们进入到路由器进行相关配置, Router>en Router#config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#no ip domain-lookup Router(config)#line console 0 Router(config-line)#no exec-timeout Router
Cisco设备AAA认证配置
weixin_34185512的博客
02-26 1136
aaa new-model ! ! aaa authentication login default group radius local aaa authentication login no_authen none aaa authorization exec default group radius aaa accounting exec default s...
思科IPSEC和AAA本地认证配置
川的博客
12-03 2317
思科路由器通过IPSEC进行AAA本地认证配置实验,抓包分析
Cisco AAA 详解
weixin_34032779的博客
06-02 2003
Authentication:用于验证用户的访问,如login access,ppp network access等。Authorization:在Autentication成功验证后,Authorization用 于限制用户可以执行什么操作,可以访问什么服务。Accouting:记录Authentication及Authorization的 行为。Part I. 安...
Cisco AAA 认证 总结
weixin_34370347的博客
07-10 1417
Authentication 认证 一:使用本地数据库 R1>en R1(config)#aaa new-model(打开aaa认证) R1(config)#aaa authentication login default local 配置任何登入采用Local本地用户数据库 R1(config)#username bd...
Cisco2501路由器AAA服务器配置教程
配置AAA(验证、授权、统计)服务器的过程中,首先需要理解AAA的基本概念。AAA(Authentication,Authorization,Accounting)是网络服务中用于控制用户访问、管理权限以及记录用户活动的重要机制。它包含三个主要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值