AAA配置教案
01-01 AAA及用户管理配置
Quidway NetEngine40E操作手册-安全分册目录目录1 AAA及用户管理配置.................................................................................................................1-11.1 简介..............................................................................................................................................................1-21.1.1 AAA简介............................................................................................................................................1-21.1.2 RADIUS协议简介..............................................................................................................................1-31.1.3 HWTACACS协议简介......................................................................................................................1-51.1.4 基于域的用户管理简介.....................................................................................................................1-51.1.5 本地用户管理简介.............................................................................................................................1-61.2 配置AAA....................................................................................................................................................1-61.2.1 建立配置任务.....................................................................................................................................1-61.2.2 配置认证方案.....................................................................................................................................1-81.2.3 配置授权方案.....................................................................................................................................1-81.2.4 配置计费方案.....................................................................................................................................1-81.2.5 配置记录方案.....................................................................................................................................1-91.2.6 配置为用户分配IP地址...................................................................................................................1-91.2.7 在用户端配置接口IP地址为可协商.............................................................................................1-101.2.8 检查配置结果...................................................................................................................................1-101.3 配置RADIUS服务器...............................................................................................................................1-111.3.1 建立配置任务...................................................................................................................................1-111.3.2 创建RADIUS服务器模板..............................................................................................................1-121.3.3 配置RADIUS认证服务器..............................................................................................................1-121.3.4 配置RADIUS计费服务器..............................................................................................................1-131.3.5 配置RADIUS服务器的协议版本..................................................................................................1-131.3.6 配置RADIUS服务器的密钥..........................................................................................................1-131.3.7 配置RADIUS服务器的用户名格式..............................................................................................1-131.3.8 配置RADIUS服务器的流量单位..................................................................................................1-141.3.9 配置RADIUS服务器的重传参数..................................................................................................1-141.3.10 配置RADIUS服务器的NAS端口..............................................................................................1-141.3.11 检查配置结果.................................................................................................................................1-151.4 配置HWTACACS服务器........................................................................................................................1-151.4.1 建立配置任务...................................................................................................................................1-15目录Quidway NetEngine40E操作手册-安全分册1.4.2 创建HWTACACS服务器模板.......................................................................................................1-16 1.4.3 配置HWTACACS认证服务器.......................................................................................................1-16 1.4.4 配置HWTACACS授权服务器.......................................................................................................1-17 1.4.5 配置HWTACACS计费服务器.......................................................................................................1-17 1.4.6 配置HWTACACS服务器的源IP地址.........................................................................................1-17 1.4.7 配置HWTACACS服务器的密钥...................................................................................................1-18 1.4.8 配置HWTACACS服务器的用户名格式.......................................................................................1-18 1.4.9 配置HWTACACS服务器的流量单位...........................................................................................1-18 1.4.10 配置HWTACACS服务器的定时器.............................................................................................1-18 1.4.11 检查配置结果.................................................................................................................................1-191.5 配置域........................................................................................................................................................1-191.5.1 建立配置任务...................................................................................................................................1-191.5.2 创建域..............................................................................................................................................1-201.5.3 配置域的认证、授权和计费方案...................................................................................................1-201.5.4 配置域的RADIUS服务器模板......................................................................................................1-201.5.5 配置域的HWTACACS服务器模板...............................................................................................1-211.5.6 配置域的地址相关属性...................................................................................................................1-211.5.7 配置域的状态...................................................................................................................................1-211.5.8 配置域允许的最大接入用户数.......................................................................................................1-221.5.9 检查配置结果...................................................................................................................................1-22 1.6 配置单独本地用户管理............................................................................................................................1-221.6.1 建立配置任务...................................................................................................................................1-221.6.2 创建本地用户帐号...........................................................................................................................1-231.6.3 配置本地用户的服务类型...............................................................................................................1-231.6.4 配置本地用户的FTP目录权限......................................................................................................1-241.6.5 配置本地用户的状态.......................................................................................................................1-241.6.6 配置本地用户的优先级...................................................................................................................1-241.6.7 配置本地用户的接入限制...............................................................................................................1-241.6.8 检查配置结果...................................................................................................................................1-25 1.7 维护............................................................................................................................................................1-251.7.1 清除HWTACACS服务器的统计信息...........................................................................................1-251.7.2 调试RADIUS或HWTACACS服务器..........................................................................................1-25 1.8 AAA及用户管理典型配置举例................................................................................................................1-261.8.1 采用RADIUS协议认证和计费......................................................................................................1-261.8.2 对用户采用本地和HWTACACS认证、HWTACACS授权和进行实时计费............................1-291.8.3 采用RADIUS协议对Telnet用户的认证......................................................................................1-33 1.9 AAA及用户管理故障诊断与排除............................................................................................................1-351.9.1 用户本地认证总被拒绝...................................................................................................................1-361.9.2 用户RADIUS认证总被拒绝..........................................................................................................1-36Quidway NetEngine40E操作手册-安全分册目录1.9.3 未配置认证却对用户进行认证.......................................................................................................1-371.9.4 Telnet用户通过RADIUS认证后不能进入系统视图....................................................................1-37插图目录Quidway NetEngine40E 操作手册-安全分册插图目录图1-1 RADIUS客户端与服务器间的消息流程..............................................................................................1-3图1-2 RADIUS消息结构..................................................................................................................................1-4图1-3 AAA示例组网图..................................................................................................................................1-27图1-4 对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费................................1-30图1-5 采用Radius协议对telnet用户的认证...............................................................................................1-33操作手册-安全分册表格目录表格目录表1-1 HWTACACS协议与RADIUS协议的比较..........................................................................................1-5操作手册-安全分册 1AAA及用户管理配置1 AAA及用户管理配置关于本章本章描述内容如下表所示。
配置简单aaa认证实验总结
配置简单AAA认证实验总结一、实验目的本次实验旨在深入理解AAA认证的工作原理,并掌握其配置方法。
通过实践,希望能够提升自己在网络安全领域的理解和技能。
二、实验步骤1.了解AAA认证的基本概念和原理,包括认证、授权和账户管理等。
2.选择适当的网络设备和操作系统,根据AAA认证的原理进行配置。
3.通过命令行界面进行配置,包括定义认证类型、授权规则、账户管理等。
4.验证配置结果,包括测试用户认证、授权和账户管理等功能是否正常工作。
5.在配置过程中遇到问题时,查阅相关文档或寻求帮助,尝试解决问题。
6.总结实验结果,分析配置过程中出现的问题和解决方案,撰写实验报告。
三、配置过程在本次实验中,我选择了一个基于Linux系统的网络设备进行AAA认证的配置。
具体步骤如下:1.定义认证类型,选择本地数据库进行用户认证。
2.创建用户账户,并为其分配相应的权限和角色。
3.配置防火墙规则,确保只有经过认证的用户才能访问特定的网络资源。
4.配置计费系统,记录用户的网络使用情况。
四、验证过程为了验证AAA认证的配置是否正确,我进行了以下测试:1.使用已创建的用户账户登录设备,确保认证功能正常工作。
2.测试用户访问特定网络资源的权限,验证授权功能是否正常工作。
3.查看计费系统记录的用户网络使用情况,验证计费功能的正确性。
4.在不同用户之间进行切换,测试多用户环境的AAA认证功能。
五、问题解决在配置过程中,我遇到了一些问题,例如:防火墙规则无法正常应用、计费系统数据异常等。
针对这些问题,我通过查阅相关文档和寻求帮助,找到了解决方案:1.防火墙规则无法正常应用:检查规则配置是否有误,并尝试重新应用规则。
如果是由于本地数据库的问题,需要检查用户账户的创建和授权情况。
2.计费系统数据异常:检查计费系统的数据源是否正确,以及是否有其他系统或应用干扰了计费数据的记录。
如果是由于数据源问题,需要修正数据源配置。
如果是由于其他系统或应用干扰了计费数据的记录,需要调整相关设置或升级系统版本。
AAA配置和管理
网络安全实验报告
实验名称:
实验三AAA配置和管理
班级:
实验地点:
日期:
评定等级:
学号:
姓名:
一、实验目的:
1.掌握使用本地数据库进行控制、VTY和AUX线路的登录认证
2.掌握使用AAA进行本地认证
3.掌握使用AAA和RADIUS进行集中认证
二、基本技能实验内容、要求和环境:
Router(config)#line vty 0 4
Router(config-line)#login authentication TELNET_LINESቤተ መጻሕፍቲ ባይዱ
四、实验结果与分析
使用本地数据库进行控制、VTY和AUX线路的登录认证
AAA本地认证
五:思考题:
AAA是指用使用Auth;Authentication(认证):对用户的身;我们一般使用TACASS+RADIUS协议来做;当用户的身份被认证服务器去人后,用户在能管理交换;在认证的时候。有以下这些方法:1在交换机本地进行用户名和密码的设定,也就是在用户登录交换机的时候,交换机会对比自己的本地数据库,查看要登录的用户所使用的用户名和密码的正确性;2使用一台或多台(组)外部RARIUS服务器认证;3使用一台或多台(组)外部TACASS+服务器认证用一个配置实例,说明交换机上操作。
R2(config-if)#ip address 192.168.2.2 255.255.255.252
R2(config-if)#end
2配置主机
(1)配置使用本地数据库进行控制线路的登录认证
Router(config)#username peter secret cisco
AAA认证和授权的配置
Page 8
AAA配置
主机A G0/0/0 10.1.1.1/24 RTA
[RTA-aaa]local-user huawei@huawei password cipher huawei [RTA-aaa]local-user huawei@huawei service-type telnet [RTA-aaa]local-user huawei@huawei privilege level 0
Page 7
AAA配置
主机A G0/0/0 10.1.1.1/24 RTA
[RTA]aaa [RTA-aaa]authentication-scheme auth1 [RTA-aaa-authen-auth1]authentication-mode local [RTA-aaa-authen-auth1]quit [RTA-aaa]authorization-scheme auth2 [RTA-aaa-author-auth2]authorization-mode local [RTA-aaa-author-auth2]quit [RTA-aaa]domain huawei [RTA-aaa-domain-huawei]authentication-scheme auth1 [RTA-aaa-domain-huawei]authorization-scheme auth2 [RTA-aaa-domain-huawei]quit
[RTA]user-interface vty 0 4
[RTA-ui-vty0-4]authentication-mode aaa
Page 9
配置验证
[RTA]display domain name huawei Domain-name Domain-state Authentication-scheme-name Accounting-scheme-name Authorization-scheme-name Service-scheme-name RADIUS-server-template HWTACACS-server-template : huawei : Active : auth1 : default : auth2 : : : -
AAA原理与配置
AAA原理与配置概述 AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,它提供了认证、授权、计费三种安全功能。
AAA可以通过多种协议来实现,⽬前华为设备⽀持基于RADIUS(Remote Authentication Dial-In User Service)协议或HWTACACS(Huawei Terminal Access Controller Access Control System)协议来实现AAA。
应⽤场景例如,企业总部需要对服务器的资源访问进⾏控制,只有通过认证的⽤户才能访问特定的资源,并对⽤户使⽤资源的情况进⾏记录。
NAS为⽹络接⼊服务器,负责集中收集和管理⽤户的访问请求。
AAA服务器表⽰远端的Radius 或 HWTACACS服务器,负责制定认证、授权和计费⽅案。
认证⽅式AAA有三种认证⽅式:不认证:完全信任⽤户,不对⽤户⾝份进⾏合法性检查。
本地认证:将本地⽤户信息(包括⽤户名、密码和各种属性)配置在NAS上。
缺省为本地认证。
远端认证:将⽤户信息(包括⽤户名、密码和各种属性)配置在认证服务器上。
注:如果⼀个认证⽅案采⽤多种认证⽅式,这些认证⽅式按配置顺序⽣效。
授权⽅式AAA⽀持以下三种授权⽅式:不授权:不对⽤户进⾏授权处理。
本地授权:根据NAS上配置的本地⽤户账号的相关属性进⾏授权。
远端授权: 1. HWTACACS授权,使⽤TACACS服务器对⽤户授权。
2. RADIUS授权,对通过RADIUS服务器认证的⽤户授权。
RADIUS协议的认证和授权是绑定在⼀起的,不能单独使⽤RADIUS进⾏授权。
计费⽅式AAA⽀持以下两种计费⽅式:不计费:为⽤户提供免费上⽹服务,不产⽣相关活动⽇志。
远端计费:通过RADIUS服务器或HWTACACS服务器进⾏远端计费。
AAA域 设备基于域来对⽤户进⾏管理,每个域都可以配置不同的认证、授权和计费⽅案,⽤于对该域下的⽤户进⾏认证、授权和计费。
AAA基本配置
ACS配置的几个要点:1、在接口配置拦目中选择相应的项目,否则不会在其他拦目中显示出来2、在设备端的示例ACS认证(authentication):路由器方式和PIX不同Step1>在设备端定义tacacs+服务器地址以及keytacacs-server host 202.101.110.110tacacs-server directed-requesttacacs-server key testStep2>在ACS端定义设备的IP地址Step3>在ACS上面建立用户名和用户组Step4>在设备端配置AAA认证aaa new-modelaaa authentication login default group tacacs+ localaaa authentication enable default group tacacs+ enableline vty 0 4login authentication default授权、记帐:aaa new-modelaaa authorization commands 1 default group tacacs+ local aaa authorization commands 15 default group tacacs+ local line vty 0 4authorization commands 1 defaultauthorization commands 15 defaultaaa accounting exec default start-stop group tacacs+lin vty 0 4accounting exec default如果要记录用户所用的命令,设备端配置为:aaa new-modelaaa accounting commands 0 default start-stop group tacacs+ aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ line vty 0 4accounting commands 0 defaultaccounting commands 1 defaultaccounting commands 15 default一、AAA服务器配置:PIX/ASA方式Chicago(config)# username admin password ciscoChicago(config)# aaa-server mygroup protocol radiusChicago(config-aaa-server)# max-failed-attempts 4Chicago(config-aaa-server)# reactivation-mode depletion deadtime 5Chicago(config-aaa-server)# exitChicago(config)# aaa-server mygroup host 172.18.124.11Chicago(config-aaa-server)# retry-interval 3Chicago(config-aaa-server)# timeout 30Chicago(config-aaa-server)# key cisco123Chicago(config-aaa-server)# exitshow running-config aaa-server (显示配置的命令)show aaa-server(显示包括本地数据库在内的AAA服务器详细情况)clear aaa-server statistics [tag [host hostname]]clear aaa-server statistics protocol server-protocolclear configure aaa-server [server-tag]二、配置管理会话的认证:Chicago(config)# aaa authentication telnet console mygroup LOCALChicago(config)# aaa authentication ssh console mygroupChicago(config)# aaa authentication serial console mygroup(物理CONSOLE口)aaa authentication http console mygroupIf this command is not configured, Cisco ASDM users can gain access to the A SA by entering only the enable password, and no username, at the authentica tion prompt三、配置访问AAA:access-list 150 extended permit ip any anyaccess-list 150 extended deny ip host 172.18.124.20 anyaaa authentication match 150 inside mygrouptimeout uauth hh:mm:ss [absolute | inactivity]It is recommended to configure the absolute timeout command value for at le ast 2 minutes. Never configure the timeout uauth duration to 0auth-prompt [prompt | accept | reject] prompt textaccess-list 100 extended permit ip 10.10.10.0 255.255.255.0 192.168.1.0 255. 255.255.0aaa authorization match 100 inside mygroupaaa authorization command {LOCAL | tacacs_server_tag [LOCAL]}access-group 100 in interface inside per-user-overrideChicago(config)# aaa accounting match 100 inside mygroupChicago(config)# aaa accounting command privilege 15 mygroup 对特权级别15的用户记帐Deploying Cut-Through Proxy Authenticationaccess-list 100 extended permit ip any anyaaa authentication match 100 inside LOCAL实验配置示例:pix525(config)# sh runPIX Version 7.2(1)!hostname pix525domain-name enable password 2KFQnbNIdI.2KYOU encryptednamesname 192.168.10.2 insidehostname 172.16.16.2 bastionhost!interface Ethernet0nameif insidesecurity-level 100ip address 192.168.10.1 255.255.255.0!interface Ethernet1nameif outsidesecurity-level 0ip address 192.1.1.1 255.255.255.0!interface Ethernet2nameif dmzsecurity-level 50ip address 172.16.16.1 255.255.255.0!passwd 5ya5JKHLgY0ZD3KU encrypted TELNET密码access-list 101 extended permit icmp any anyaccess-list 101 extended permit tcp any anyaccess-list aaaacl2 extended permit ip 192.168.10.0 255.255.255.0 any access-list dmzin extended permit ip any host bastionhostglobal (outside) 1 interfaceglobal (dmz) 1 172.16.16.10-172.16.16.20 netmask 255.255.255.0nat (inside) 1 192.168.10.0 255.255.255.0nat (inside) 1 192.168.20.0 255.255.255.0nat (dmz) 1 172.16.16.0 255.255.255.0access-group 101 in interface outsideaccess-group 101 in interface insideaccess-group 101 in interface dmzroute outside 0.0.0.0 0.0.0.0 192.1.1.2 1route inside 192.168.20.0 255.255.255.0 insidehost 1aaa-server配置完成两项:指定协议和AAA服务器地址、KEYaaa-server deng protocol radiusreactivation-mode timedmax-failed-attempts 4aaa-server deng host 192.168.20.206timeout 300key deng本地数据库username dengzhaopeng password nuvFZK3pqSfYnWqN encryptedusername dengyusu password 6SGxhdEZqnTFVjew encryptedaaa authentication telnet console LOCAL 用本地数据库对管理会话做认证aaa authentication match aaaacl2 inside deng 用AAA服务器对指定的网段访问做认证aaa authentication match dmzin inside deng 用AAA服务器对堡垒主机的访问做认证telnet insidehost 255.255.255.255 insidetelnet timeout 5ssh scopy enable 允许SSH访问类似FTP功能,但是进行加密文件传输ssh 192.1.1.2 255.255.255.255 outsidessh insidehost 255.255.255.255 insidessh timeout 5ssh version 2先产生密钥对(SHOW RUN中不显示?),调用域名console timeout 0pix525(config)# sh aaa-sServer Group: dengServer Protocol: radiusServer Address: 192.168.10.206Server port: 1645(authentication), 1646(accounting)Server status: ACTIVE, Last transaction at 13:45:25 UTC Sun Dec 16 2007 Number of pending requests 0Average round trip time 117msNumber of authentication requests 4Number of authorization requests 0Number of accounting requests 0Number of retransmissions 0Number of accepts 1Number of rejects 3Number of challenges 0Number of malformed responses 0Number of bad authenticators 0Number of timeouts 0Number of unrecognized responses 0pix525(config)# sh uauCurrent Most SeenAuthenticated Users 1 1Authen In Progress 0 1user 'dengyusu' at insidehost, authenticated (idle for 0:00:07)absolute timeout: 0:05:00inactivity timeout: 0:00:00pix525(config)# clear uaupix525(config)# sh uauCurrent Most SeenAuthenticated Users 0 1Authen In Progress 0 1重点:最小化配置ACS4.1上此例的配置:1、只需要指定NAS,不需要指定ACS-SERVER。
第十四章AAA配置 - 迈普
【缺省情况】缺省 RADIUS 认证端口为“UDP1645”、TACACS 认证端口为“49”。
15.1.3 配置计费端口
配置命令
radius-server host ipaddress acct-port {1646|1813}
tacacs-server host ipaddress acct-port 49
------------- --
-------- ------------
00030fffbc63
000000000000
17
Authorized
Total: 1 Authorized: 1 Unauthorized: 0 Unknown: 0
IP_ADDRESS ------------------129.255.15.100
语法
描述
enable
该端口需要认证。
disable
该端口不需要认证。
max
允许接入的最大用户数。(缺省为 1200)
【配置模式】端口配置模式。
【缺省情况】缺省为“disable”。
15.1.9 配置端口上的透传功能
配置命令
dot1x eapol-relay {enable|disable|uplink-port port}
【配置模式】全局配置模式。
【缺省情况】缺省为“0”。
15.1.6 配置重认证时间间隔
配置命令
dot1x timeout re-authperiod seconds
语法
描述
seconds
重认证时间间隔,单位为秒。设备端使用该参数作为 802.1X 重新认 证和 RADIUS 计费信息更新的周期。认证时间间隔取值范围为 1~ 3600 秒。
华为交换机AAA配置管理
AAA配置与管理一、根底1、AAA是指:authentication〔认证〕、authorization〔授权〕、accounting〔计费〕的简称,是网络平安的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius〔远程拨号认证系统〕效劳或hwtacacs〔华为终端访问控制系统〕效劳器完成认证/授权;AAA是基于用户进展认证、授权、计费的,而NAC案是基于接入设备接口进展认证的。
在实际应用中,可以使用AAA的一种或两种效劳。
2、AAA根本架构:C/S构造,AAA客户端〔也叫NAS-网络接入效劳器〕是使能了aaa功能的网络设备〔可以是一台或多台、不一定是接入设备〕3、AAA基于域的用户管理:通过域来进展AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs效劳器模板,相当于对用户进展分类管理缺省情况下,设备存在配置名为default〔全局缺省普通域〕和default_admin〔全局缺省管理域〕,均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域〔如、ssh、telnet、terminal、ftp用户〕的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是、|、%等符号,如userhuawei.就表示属于huawei 域,如果用户名不带,就属于系统缺省default域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA效劳器的授权信息优先级低,通常是两者配置的授权信息一致。
4、radius协议Radius通过认证授权来提供接入效劳、通过计费来收集、记录用户对网络资源的使用。
定义UDP 1812、1813作为认证〔授权〕、计费端口Radius效劳器维护三个数据库:Users:存储用户信息〔用户名、口令、使用的协议、IP地址等〕Clients:存储radius客户端信息〔接入设备的共享密钥、IP地址〕Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius效劳器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。
第24章 AAA配置
版权所有©2009, 迈普通信技术股份有限公司, 保留所有权利 .
2
修改当用户登录到交换机上时显示的欢迎信息。本命令的 no 形式恢复缺省欢迎信息。 aaa authentication banner banner no aaa authentication banner 语法 banner 描述 登录到交换机上时显示的欢迎信息。欢迎信息头 尾用相同的字符作为头尾表示符。如:希望输出 的欢迎信息显示为“welcome”,则输入的 banner 为“^welcome^”。“^”即是首尾标示符。
aaa authentication xauth
描述 *启动 AAA *配置 AAA 认证时显示的标题 *配置 AAA 认证失败时打印的信息 配置 AAA 认证时用户名提示符 配置 AAA 认证时密码提示符 *配置 AAA 登陆认证 *配置进入特权模式认证 *配置 PPP 协商认证
配置 XAUTH 协商认证
版权所有©2009, 迈普通信技术股份有限公司, 保留所有权利 .
3
【命令模式】全局配置模式。 n aaa authentication password-prompt 修改提示用户输入口令时显示的文本。本命令的 no 形式恢复缺省显示文本。 aaa authentication password-prompt password-prompt no aaa authentication password-prompt 语法 password-prompt 【缺省情况】缺省显示文本为“password:”。 【命令模式】全局配置模式。 n aaa authentication login 配置登录身份认证方法列表。本命令的 no 形式删除方法列表。 aaa authentication login {default | list-name} method1[method2…] no aaa authentication login {default | list-name} 语法 default list-name method 定义缺省方法列表 方法列表名 认证方法 none:不进行身份认证,直接通过 enable:使用有效口令进行身份认证(全局 enable 口令) local:使用本地用户数据库进行身份认证 line:使用线路口令进行身份认证 radius:使用 RADIUS 进行身份认证 tacacs:使用 TACACS 进行身份认证 WORD:使用 TACACS 或 RADIUS 服务器组进行认证, WORD 为服务器组名称 最多可以配置 4 种方法 描述 描述 提示用户输入口令时显示的文本。
CISCO交换机配置AAA
由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的,
在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。
基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。
举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。
sw1(config)# int range fa0/2 - 10
sw1(config-if-range)# swtichport access vlan 10
sw1(config-if-range)#dot1x port-control auto
四配置vacl以丢弃所有通过tcp端口8889进入的桢
●第2层协议过滤,去除了网络中不接受的第2层协议。
●第3层过滤,对提供特定单元访问权的网络执行逻辑视图。
●第4层过滤,禁止不允许的协议进入网络。
●速率限制,控制可能有害的信息进入网络的速率。
如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。
aaa认证实验
AAA认证实验一、实验目的:熟悉Cisco AAA认证基本配置命令。
二、实验环境:Cisco路由器2811 1台;交换机2960-24 1台;Server-PT 1台;PC-PT 1台。
三、实验工具:Packet Tracer模拟器四、实验内容:(1) 按图所示连接网络;(2) 配置路由器Router>enableRouter#conf tRouter(config)# hostname R1R1(config)#no ip domain-lookupR1(config)#enable secret 5 123 enable密码是123R1(config)#interface FastEthernet0/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#line con 0R1(config-line)#exec-timeout 0 0R1(config-line)#password 111R1(config-line)#logging synchronousR1(config-line)#loginR1(config-line)#line vty 0 4R1(config-line)#password 222R1(config-line)#loginR1(config-if)#exitR1(config)#aaa new-modelR1(config)#tacacs-server host 192.168.1.2 指定TACACS+的服务器地址和KEY R1(config)#tacacs-server key abcR1(config)#aaa authentication login default group tacacs+ enable指定首先使用TACACS+认证,其次是enable密码登录R1(config)#line vty 0 4R1(config-line)# login authentication default(3) 配置服务器Server0的IP为192.168.1.2/24在服务器上配置AAA服务器指定AAA客户端,以及使用的认证协议和Key指定在R1上的vty线路下登录用的用户名和密码至此,server0也就是AAA服务上的配置完成。
资深网络工程师 AAA 实例配置
资深网络工程师AAA 实例配置实验拓扑图PC ********************SWITCH**************ROUTER***SERVER(192.168.1.200)一,实验要求:1,在ROUTER上开启,配置AAA服务。
2,在SERVER上安装AAA服务器软件ACS,建立相关用户,寻找可改变用户登记的选项。
3,测试AAA4,通过ACS查看拥护登陆信息二,配置过程1,路由器配置Router>enRouter#conf tRouter(config)#hostname R1R1(config)#line vty 0 4R1(config-line)#exec-time 0 0R1(config-line)#loggin sysR1(config-line)#no domain-lookupR1(config-line)#exitR1(config)#int e0R1(config)#ip add 192.168.1.1 255.255.255.0R1(config)#no shutR1(config)#aaa new-modelR1(config)#tacacs-server host 192.168.1.200R1(config)#tacacs-server key spotoR1(config)#aaa authentication banner ’welcome’R1(config)#aaa authentication login default group tacacs+ local noneR1(config)#aaa authentication enable nopass noneR1(config)#aaa accounting exec start-stop tacacs+2, ACS安装要点(1)选择256M内存的PC(2)点击开始-程序,查看是否已经安装CISCO ACS(3)下载Cisco Secure ACS,开始安装,如果有错误显示,需要先安装JAVA平台支持JAVA(4)在BEFORE YOU BEGIN对话框中勾上所有选项(5)在AUTHENTICATION DATABASE CONFIGURETION对话框中使用默认C HECK THE CISCOSECURE ACS DATABASE ONLY(6)在Cisco Secure ACS NETWORK ACCESS SERVER DETAILS对话框中,AUTHENTTICATE USERS USING使用默认TACACS+ {CISCO IOS} ACCESS SERVER NAME填写任意名字如SPOTO。
AAA配置教案
AAA认证配置、广域网链路引入:通过讲述路由器配置的安全性,为何需要对路由器进行安全认证,限制远程用户的非法连接与授权等,实现网络安全管理。
新授:一、AAA认证配置AAA系统的简称:认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。
奏见authentication。
authorization和accounting 常用的AAA协议是Radius另外还有HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。
HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。
该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
HWTACACS与RADIUS的不同在于:l RADIUS基于UDP协议,而HWTACACS基于TCP协议。
l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。
l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。
组合认证模式是有先后顺序的。
例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。
【网络安全与防护】-实训指导6.5AAA实现认证、授权与审计配置与实现
国家高等职业教育网络技术专业教学资源库计算机网络安全技术与实施课程资源子库实训指导6.5AAA实现认证、授权与审计配置与实现实训指导6.5一、实训题目:AAA实现认证、授权与审计配置与实现。
二、实训目的:1. 掌握AAA认证技术的工作原理;2. 能够基于PT配置AAA技术任务;三、实训要求:1. 掌握思科AAA技术,在PT中实现AAA的方法;2. 理解AAA技术的实施流程。
四、实训网络场景或网络拓扑结构:网络拓扑结构图如下:网络结构图如下:五、实训步骤:本任务将基于新的PT图去完成任务,所有设备的网络连通性已经配置完成。
本任务是配置路由器的AAA功能,远程访问用户的认证、授权与审计。
任务中将分别采用AAA本地认证与AAA外部服务器认证的方式加以实现。
具体配置要求参见配置目标及步骤。
地址规划:任务目标:◆在R1上配置一个本地用户,用于对通过CON和VTY登入的认证,采用本地AAA数据库加以认证;◆在PC-A和R1的CON上检查本地AAA认证;◆配置一个基于服务器的AAA认证,采用TACACS+认证协议;◆在PC-B上检查基于服务器的AAA认证◆配置一个基于服务器的AAA认证,采用RADIUS认证协议;◆在PC-C上检查基于服务器的AAA认证配置要求说明:网络拓扑中的路由器有R1, R2和R3,当前配置的所有安全策略都是采用密码方式。
本任务是要配置和测试本地AAA和基于服务器的AAA解决方案。
(1)需要创建一个本地用户帐号,并且要在R1上配置本地的AAA,对CON和VTY的登入行为进行认证。
用户名: Admin1密码为:admin1pa55(2)在R2上配置基于TACACS+外部服务器的AAA,TACACS+服务器已经进行了预配置如下:AAA客户名:R2AAA客户名通过TACACS+连接AAA服务器的密码为:tacacspa55远程用户名为:Admin2远程用户对应的密码为:admin2pa55(3)在R3上配置基于RADIUS外部服务器的AAA,RADIUS服务器已经进行了预配置如下:AAA客户名:R3AAA客户名通过TACACS+连接AAA服务器的密码为:radiuspa55远程用户名为:Admin3远程用户对应的密码为:admin3pa55所有中由器都配置了特权密码为:ciscoenpa55;启用了RIPV2动态中由协议,CON和VTY登入已经进行了初步的配置。
AAA认证设置
AAA认证一、准备条件1.1windows 虚拟机一台1.2路由器一台(我采用的是CISCO3600)1.3要求windows虚拟机与真机进行连通1.4拓扑如下二、基本配置2.1 WinRadius服务器基本配置第一步、登陆windows 虚拟机,配置IP地址为:192.168.1.7第二步、打开“WinRadius”软件,并解压缩第三步、在解压缩的文件里,打开“”服务,出现如下图所示:“加载账户数据失败”第四步、点击《设置——数据库》出现下图,在点击图中的《自动配置ODBC》第五步、根据上图日志提示:重新启动“WinRadius”服务,服务器启动正常第六步、点击《设置——系统》出现下图,确定认证端口:1812,计费端口:1813第七步、点击《设置——多重密钥》出现下图,其中对于IP[NAS]填写:AAA路由器与交换机的管理地址,采用密钥填写:交换机、路由器与WinRadius服务器之间的认证密钥。
在此,我以路由器192.168.1.1,密钥为123 为例。
最后点击“添加”。
第八步、点击《操作——添加账号》。
此处以用户名:wang ,口令为:wang第九步、查看新增加的账号:wang 《操作——查询——查用户信息》2.2 路由器基本配置首先、对路由器的接口F0/0配置IP地址并激活该端口Router#sh run inter f0/0Building configuration...Current configuration : 96 bytes!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed autoendRouter#其次、测试路由器与WinRadius服务器之间的网络是否正常通讯Router#ping 192.168.1.7Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.7, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/14/36 ms Router#最后、测试路由器与客户机(telnet该路由器的客户端)能否正常通讯Router#ping 192.168.1.8Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.8, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/12/48 msRouter#三、AAA认证配置Router(config)#aaa new-model (启用AAA认证)Router(config)#username xiong password xiong (创建本地用户与口令)aaa authentication login haha group radius local (先进行radius服务器认证,在radius 服务器不可达时,采用本地认证)aaa authentication login hehe none (登陆不进行认证)no radius-server host 192.168.1.7 auth-port 1645 acct-port 1646 (关闭默认的认证、授权端口与审计端口)radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 (改写通用的认证、授权端口与审计端口,同时配置路由器与radius服务器之间的口令123)Router(config)#line vty 0 4Router(config-line)#login authentication haha (当用户telnet该路由器时,调用认证haha进行认证)Router(config-line)#exitRouter(config)#line con 0Router(config-line)#login authentication hehe (当用户con该路由器时,调用认证heh 进行认证)Router(config-line)#end路由器具体配置如下:Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!!aaa new-model!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!!username xiong password 0 xiong!!!!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#Router#sh runBuilding configuration...Current configuration : 720 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Router!boot-start-markerboot-end-marker!aaa new-model!!aaa authentication login haha group radius localaaa authentication login hehe none!aaa session-id commonmemory-size iomem 5!!ip cef!username xiong password 0 xiong!interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0duplex autospeed auto!ip http server!radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key 123 !control-plane!line con 0login authentication heheline aux 0line vty 0 4login authentication haha!!endRouter#四、测试4.1 用客户机telnet该路由器成功(用radius服务器的用户wang进行验证)同时在WinRadius服务器上查看相应的日志4.2 当WinRadius服务器出现异常,我们在用“wang”登陆时,就失败了,同时,只能采用本地账户“xiong”登陆来进行管理该路由器路由器PING不同WinRadius服务器客户机用wang登陆失败采用本地xiong登陆成功五、用密文进行认证Router(config)#enable secret 123456用sh run 查看刚配置的口令enable secret 5 $1$cGdg$Um3fHK8td9KRSKAG.5Lst.把上面记录好的密钥口令保存好,同时要记住它所对应的明文口令在路由器上修改与服务器之间的认证:Router(config)#radius-server host 192.168.1.7 auth-port 1812 acct-port 1813 key $1$cGdg$Um3fHK8td9KRSKAG.5Lst.最后,一样正常登陆采用同样的方式对服务器上用户wang的密码进行更换成密文的口令(只要确定在20个字符以内)。
H3CAAA认证配置(共9页)
1.13 AAA典型配置(pèizhì)举例1.13.1 SSH用户(yònghù)的RADIUS认证和授权(shòuquán)配置1. 组网需求(xūqiú)如图1-12所示,SSH用户主机与Router直接相连,Router与一台RADIUS服务器相连,需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。
•由一台iMC服务器(IP地址为10.1.1.1/24)担当认证/授权RADIUS 服务器的职责;• Router与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813;• Router向RADIUS服务器发送的用户名携带域名;• SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证,认证通过后具有缺省的用户角色network-operator。
2. 组网图图1-12 SSH用户RADIUS认证/授权配置组网图3. 配置步骤(1) 配置RADIUS服务器(iMC PLAT 5.0)下面以iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM5.0(E0101)),说明RADIUS服务器的基本配置。
# 增加接入设备。
登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。
•设置与Router交互报文时使用的认证、计费共享密钥为“expert”;•设置认证及计费的端口号分别为“1812”和“1813”;•选择业务类型为“设备管理业务”;•选择(xuǎnzé)接入设备类型为“H3C”;•选择或手工增加(zēngjiā)接入设备,添加IP地址(dìzhǐ)为10.1.1.2的接入设备(shèbèi);•其它参数采用缺省值,并单击<确定>按钮完成操作。
AAA典型配置指导
目录第1章 AAA典型配置指导 .......................................................................................................... 1-11.1 AAA简介............................................................................................................................. 1-11.2 Telnet用户通过HWTACACS服务器认证、授权、计费典型配置指导 ................................ 1-21.2.1 组网图...................................................................................................................... 1-21.2.2 应用要求.................................................................................................................. 1-21.2.3 适用产品、版本....................................................................................................... 1-21.2.4 配置过程和解释....................................................................................................... 1-31.2.5 完整配置.................................................................................................................. 1-31.2.6 配置注意事项........................................................................................................... 1-41.3 Telnet用户通过local认证、HWTACACS授权、RADIUS计费的应用配置.......................... 1-41.3.1 组网图...................................................................................................................... 1-41.3.2 应用要求.................................................................................................................. 1-41.3.3 配置过程和解释....................................................................................................... 1-51.3.4 完整配置.................................................................................................................. 1-61.3.5 配置注意事项........................................................................................................... 1-7第1章 AAA典型配置指导1.1 AAA简介AAA是Authentication、Authorization、Accounting(认证、授权、计费)的简称,是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
AAA原理及配置
AAA原理及配置AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,它提供了认证、授权、计费三种安全功能。
⽀持的认证⽅式:不认证,本地认证,远端认证⽀持的授权⽅式:不授权,本地授权,远端授权⽀持的授权⽅式:不计费,远端计费如果⼀个认证⽅案采⽤多种认证⽅式,这些认证⽅式按配置顺序⽣效user privilege level 0 1 2 3⼏个级别的区别level 0参观ping、tracert、telnet、rsh、super、language-mode、display、quitlevel 1监控0级命令、msdp-tracert、mtracert、reboot、reset、send、terminal、undo、upgrade、debugginglevel 2系统所有配置命令(管理级的命令除外)和0、1级命令level 3管理所有命令1.远程管理⽹络设备的两种验证⽅式:telnet(不安全)、SSH/stelent⾸先得开启Telent功能:telnet server enable2.配置 Telnet ⽅式登录时的密码:[Huawei] user-interface vty 0 4 //进⼊0-4个终端[Huawei-ui-vty0-4] authentication-mode password/aaa //启⽤密码验证或AAA验证[Huawei-ui-vty0-4] set authentication password simple/cipher xxxx //以明⽂或密⽂⽅式加密(交换机)[Huawei-ui-vty0-4] set authentication password cipher xxxx //此为路由器配置命令,路由器只能是密⽂加密[Huawei-ui-vty0-4]protocol inbound telnet//设置哪些服务可以通过此test⽤户进⾏验证,设置telnet 服务[Huawei-ui-vty0-4] user privilege level 3 //设置当前⽤户权限级别3.配置 Telnet以⽤户名+密码⽅式登录时的密码:进⼊AAA模式命令⾏下:[Huawei]aaa[Huawei-aaa]local-user huawei level 3 password cipher xxxx //添加新⽤户为:huawei 密码为:xxxx 加密模式为:cipher 密⽂加密,⽤户级别为3[Huawei-aaa]local-user huawei service-type http ssh telnet web //在⽤户huawei下设置登录允许使⽤的协议[Huawei-aaa]local-user huawei privilege level 3 //远程登录时能够使⽤的级别命令路由器以telnet⽅式访问路由器:<Huawei>telnet xxxxx4.以SSH⽅式实现加密的远程连接[Huawei]aaa[Huawei-aaa]local-user xxxx password cipher xxxx privilege level 3 //配置本地⽤户[Huawei-aaa]local-user xxxx service-type ssh[Huawei]ssh user xxxx authentication-type password //添加ssh⽤户名和密码[Huawei]stelnet server enable //开启stelnet服务[Huawei]rsa local-key-pair create //⽣成密钥对信息[Huawei]user-interface vty 0 4 //进⼊虚拟⽤户界⾯端⼝0-4[Huawei-ui-vty0-4]authentication-mode aaa[Huawei-ui-vty0-4]protocol inbound ssh //配置允许登录接⼊⽤户类型的协议客户端CRT远程连接即可路由器以ssh⽅式连接路由器:[Huawei]ssh client first-time enable //⽤来使能SSH客户端⾸次认证[Huawei]stelnet xxxxx5.配置 Console ⽅式登录时的密码:[Huawei]user-interface console 0 //进⼊控制接⼝console只有0[Huawei-ui-console0]authentication-mode password //设置console登录验证⽅式为密码⽅式[Huawei-ui-console0]set authentication password simple xxxx //simple设置明⽂密码,cipher为密⽂密码[Huawei-ui-console0]user privilege level 3 //指定console连接的⽤户级别⽤户级别为0-15,0、1、2分别对应命令级别的0、1、2。
实验4 AAA的管理和配置
F0/0
RADIUS服 务 器 PC1 192.168.0.1/24 PC2 192.168.3.2/24
图: “AAA 的配置和管理”实验拓扑
1. 2. 3.
使用本地数据库进行控制、VTY 和 AUX 线路的登录认证 配置基于本地认证的 AAA 配置使用 RADIUS 服务器的 AAA
三、实验步骤: 在 GNS3 模拟器平台,搭建路由器与 PC 的基本网络并进行配置
(1)配置路由器接口和配置路由(略) (2)配置主机 PC1(config)#no ip routing PC1 (config)#ip default-gateway 192.168.0.254 PC1 (config)#inter e1/0 PC1 (config-if)#ip add 192.168.0.1 255.255.255.0 PC1 (config-if)#no sh PC2 配置同上 2、使用本地数据库进行控制线路和 VTY 线路的登录认证 (1)配置使用本地数据库进行控制线路的登录认证 R2(config)#username mart secret cisco R2(config)#line console 0 R2(config-line)#login local (2)配置使用本地数据库进行 VTY 线路的登录认证 R2 (config)#line vty 0 4 R2 (config-line)# login local 3、配置基于本地认证的 AAA (1)清除前面的认证配置 (2)为控制访问配置基于本地认证的 AAA R2(config)#username mart privilege 15 secret cisco R2(config)#aaa new-model R2(config)#aaa authentication login default local none (3)为 VTY 访问配置基于本地认证的 AAA R2(config)#aaa authentication login MART local R2 (config)#line vty 0 4 R2 (config-line)#login authentication MART (4)测试 4、配置使用 RADIUS 服务器的 AAA (1)清除前面的认证配置 (2) 在 VMware 虚拟机下安装 Windows 2003 Server 系统, 安装配置 RADIUS 服务器并测试 (详 细配置参照 ACS 安装教程) (3) 在 GNS3 模拟器与 VMware 中 Windows 2003 Server 网卡进行关联, 两者能够相互通信 (详 细配置参照 GNS3+VMware 配置教程) (4)在路由器上配置 AAA 、访问 RADIUS 服务器并测试 R2(config)#aaa new-model R2(config)#aaa authentication login default group radius local R2(config)#aaa authorization network default group radius R2(config)#radius-server host 192.168.3.2 auth-port 1645 acct-port 1646 key cisco
实验十三 配置PPP链路的AAA认证
实验13 配置PPP链路的AAA认证【实验名称】配置PPP链路的AAA认证。
【实验目的】使用路由器AAA功能增强PPP链路接入的安全性。
【背景描述】某公司总部和分公司之间通过PPP链路连接,为了提高接入网络的安全性,公司要求各分公司通过PPP链路接入公司总部时都要进行认证,为了不影响路由器的性能,考虑通过RADIUS服务器进行AAA认证。
【需求分析】在PPP链路中进行AAA认证可以提高网络接入的安全性,只有通过认证的PPP客户端才可以接入到总部网络中。
【实验拓扑】实验的拓扑图,如图25-1所示。
图25-1【实验设备】路由器2台RADIUS服务器1台(支持标准RADIUS协议的RADIUS服务器,本例中使用第三方RADIUS服务器软件WinRadius)【预备知识】路由器转发原理。
路由器基本配置。
AAA认证原理。
PPP原理及配置。
【实验原理】在两台路由器间建立PPP链路时,客户端路由器向服务器端发起连接请求,服务器端路由器收集客户端发送的认证用户名和密码后,将用户名和密码发送给认证服务器,由服务器判断此接入请求应接受还是拒绝,并将相应的信息返回给服务器端路由器,服务器端路由器根据返回的结果,允许或拒绝客户端路由器的PPP链路的建立。
【参考配置】步骤1 配置路由器接口地址。
Router1#congfig terminalRouter1(config)#interface serial 4/0Router1(config-if)#ip address 172.16.1.1 255.255.255.0Router1(config-if)#no shutdownRouter1(config-if)#exitRouter1(config)#interface gigabitEthernet 0/0Router1(config-if)#ip address 192.168.1.1 255.255.255.0Router1(config-if)#no shutdownRouter2(config)#interface serial 4/0Router2(config-if)#ip address 172.16.1.2 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#exit步骤2 配置AAA认证方法列表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AAA认证配置、广域网链路引入:通过讲述路由器配置的安全性,为何需要对路由器进行安全认证,限制远程用户的非法连接与授权等,实现网络安全管理。
新授:AAA认证配置AAA系统的简称:认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。
奏见authentication。
authorization和accounting常用的AAA协议是Radius另外还有HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。
HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。
该协议与RADIUS 协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
HWTACACS与RADIUS的不同在于:l RADIUS基于UDP协议,而HWTACACS基于TCP协议。
l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。
l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。
组合认证模式是有先后顺序的。
例如,authentication-mode radius local表示先使用RADIUS 认证,RADIUS认证没有响应再使用本地认证。
当组合认证模式使用不认证时,不认证(none)必须放在最后。
例如:authentication-mode radius local none。
认证模式在认证方案视图下配置。
当新建一个认证方案时,缺省使用本地认证。
授权方案与授权模式AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。
组合授权模式有先后顺序。
例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。
当组合授权模式使用直接授权的时候,直接授权必须在最后。
例如:authorization-mode hwtacacs local none授权模式在授权方案视图下配置。
当新建一个授权方案时,缺省使用本地授权。
RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。
计费方案与计费模式AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。
AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;授权(Authorization):依据认证结果开放网络服务给用户;计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
整个系统在网络管理与安全问题中十分有效。
首先,认证部分提供了对用户的认证。
整个认证通常是采用用户输入用户名与密码来进行权限审核。
认证的原理是每个用户都有一个唯一的权限获得标准。
由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。
如果符合,那么对用户认证通过。
如果不符合,则拒绝提供网络连接。
接下来,用户还要通过授权来获得操作相应任务的权限。
比如,登陆系统后,用户可能会执行一些命令来进行操作,这时,授权过程会检测用户是否拥有执行这些命令的权限。
简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。
授权过程发生在认证上下文中。
一旦用户通过了认证,他们也就被授予了相应的权限。
最后一步是帐户,这一过程将会计算用户在连接过程中消耗的资源数目。
这些资源包括连接时间或者用户在连接过程中的收发流量等等。
可以根据连接过程的统计日志以及用户信息,还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。
验证授权和帐户由AAA服务器来提供。
AAA服务器是一个能够提供这三项服务的程序。
当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务(RADIUS)”。
RADIUSRADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。
RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。
RADIUS也支持厂商扩充厂家专有属性。
由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。
IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。
案例:Router>enRouter#conf tRouter(config)#aaa new-modelRouter(config)#username aaa password abcRouter(config)#aaa authentication loginfirst group tacacs+ localRouter(config)#aaa authentication loginsecond local enableRouter(config)#line vty 0Router(config-line)#login authenticationfirstRouter(config-line)#line vty 1Router(config-line)#login authenticationsecondRouter(config-line)#广域网链路窄带广域网PSTN:Public Switched Telephone Network,公共交换电话网ISDN:Integrated Services Digital Network,综合业务数字网DDN:Digital Data Network,数字数据网帧中继:Frame RelayX.25:公用分组交换网宽带广域网ATM:异步传输模式SDH:同步数字系列异步串口两种异步串口:异步串口分为设置成异步方式的同/异步串口和专用异步串口异步串口可以设为专线方式和拨号方式,常用的是拨号方式同步串口可以工作在DTE和DCE两种方式可以外接多种类型电缆支持多种链路层协议支持IP和IPX网络层协议display interface serial命令可显示同步串口的信息DDN专线数字数据网DDN(Digital Data Network)是利用数字信道传输数据信号的数据传输网。
DDN网是由数字传输电路和相应的数字交叉复用设备组成。
其中,数字传输主要以光缆传输电路为主,数字交叉连接复用设备对数字电路进行半固定交叉连接和子速率的复用。
DTE:数据终端设备--接入DDN网的用户端设备可以是局域网,通过路由器连至对端,也可以是一般的异步终端或图像设备,以及传真机、电传机、电话机等。
DTE和DTE之间是全透明传输。
DSU:数据业务单元--可以是调制解调器或基带传输设备,以及时分复用、语音/数字复用等设备。
DTE和DSU主要功能是业务的接入和接出。
特点:(1)传输速率高:在DDN网内的数字交叉连接复用设备能提供2Mbps或N×64Kbps(≤2M)速率的数字传输信道。
(2)传输质量较高:数字中继大量采用光纤传输系统,用户之间专有固定连接,网络时延小。
(3)协议简单:采用交叉连接技术和时分复用技术,由智能化程度较高的用户端设备来完成协议的转换,本身不受任何规程的约束,是全透明网,面向各类数据用户。
(4)灵活的连接方式:可以支持数据、语音、图像传输等多种业务,它不仅可以和用户终端设备进行连接,也可以和用户网络连接,为用户提供灵活的组网环境。
(5)电路可靠性高:采用路由迂回和备用方式,使电路安全可靠。
(6)网络运行管理简便:采用网管对网络业务进行调度监控,业务的迅速生成。
接入方式:通过调制解调器接入DDN在模拟专用网和电话网上开放的数据业务采用这种方式。
调制解调又器分为基带和频带传输两种。
通过DDN 的数据终端设备接入DDN客户直接利用DDN 提供的数据终端设备接入DDN ,而无需增加单独的调制解调器。
DDN 提供的数据终端设备接口标准符合ITU-TV.24,35,X.21建议,接口速率范围在2.4kb/s到128kb/s之间。
通过用户集中器接入DDN这种方式适合于用户数据接口需要量大或客户已具备用户集中设备的情况。
用户集中设备可以是零次群复用设备,也可以是DDN 所提供的小型复用器。
通过模拟电路接入DDN这种方式主要适用于电话机、传真机和用户交换机(PBX)经模拟电路传输后接入DDN 音频接口的情形。
在这里,实现模拟传输的手段可以是市话音频电缆,也可以是无线模拟特高频。
通过2048kb/s数字电路接入DDN在DDN中,网络设备都配置了标准的符合ITU-T建议的G.703 2048kb/s数字接口如果用户设备能提供同样的接口的可以就近接入DDN 。
在这种接入方式中,业务所需的数字传输电路可以和其他的通信业务(如电话)统一进行建设,如合建PCM电缆系统、传输系统。
在线路条件比较差的地区,还可以采用合建数字微波、数字特高频等。
SDH:SDH(Synchronous Digital Hierarchy,同步数字体系)是一种将复接、线路传输及交换功能融为一体、并由统一网管系统操作的综合信息传送网络,是美国贝尔通信技术研究所提出来的同步光网络(SONET)。
SDH技术自从90年代引入以来,至今已经是一种成熟、标准的技术,在骨干网中被广泛采用,且价格越来越低,在接入网中应用可以将SDH技术在核心网中的巨大带宽优势和技术优势带入接入网领域,充分利用SDH同步复用、标准化的光接口、强大的网管能力、灵活网络拓扑能力和高可靠性带来好处,在接入网的建设发展中长期受益。