AAA-介绍PPT课件
合集下载
电信内部资料-AAA原理
1.3 RADIUS 计费(2/2)
消息条件
消息属性作用
每次客户端设备上线(不管是因为当机,还是 由于正常关机导致的下线)时,都会发送一个 标示这个设备上线 Accounting-On消息给服务器
每次客户端设备正常关机,在关机之前会发送 标示这个设备下线 一个Accounting-Off消息给服务器 RADIUS 服 务 器 在 接 收 到 一 个 AccountingRequest 消 息 后 , 会 发 送 一 个 Accounting- 完成请求/响应循环 Response消息给客户端
消息条件 消息属性作用
当网络接入设备(NAS)从用户处 接到一个连接请求时,NAS将通过 发送一个Access-Request消息给 RADIUS服务器来认证这个用户请 求
认证用户 描述用户想要建立的连接的类型
允许NAS完成接入协商 当RADIUS服务器能够认证这个连 配 置 连 接 的 详 细 信 息 , 例 如 , 向 接 请 求 时 , 它 返 回 一 个 Access- NAS提供一个IP地址,这个IP地址 Accept消息给它的客户端(通常为 将分配给用户。 NAS) 为这个连接提供时间限制或别的服 务类别信息 当RADIUS服务器不能认证这个连 终止接入协商 10 接请求时,返回一个Access-Reject 给出认证失败原因
*HAAA保存这些计费原始数据(UDR),并进行必要的处理,通过AAA-营帐系统接口传送给营帐系统
23
第2章 AAA功能与应用
第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权
24
2.3 WAP 业务流程9 10 12
4. 代理服务器中继发送响应给最初的RADIUS客户端。
小班数学三角形PPT课件
学生自我评价报告分享
1 2
学习成果展示
学生可以展示自己的学习成果,如完成的作业、 课堂表现等,以证明自己对三角形相关知识的掌 握程度。
学习方法分享
学生可以分享自己在学习三角形相关知识时采用 的有效学习方法,如记忆技巧、理解方法等。
3
学习困难与求助途径
学生可以提出自己在学习过程中遇到的困难和问 题,并分享自己寻求帮助和解决问题的途径。
THANKS
感谢观看
REPORTING
PART 04
三角形周长与边长关系探 讨
REPORTING
周长定义及计算方法
周长定义
三角形三边之和,用公式表示为P=a+b+c,其中a、b、c分 别为三角形的三条边长。
计算方法
直接相加法,将三角形的三条边长直接相加即可得到周长。
边长之间关系推导过程
三角形边长关系定理
任意两边之和大于第三边,任意两边 之差小于第三边。
土地面积计算
在农业、房地产等领域中,经常需要计算土地的面积,可 以通过测量土地的形状和尺寸,然后应用三角形面积计算 方法进行计算。
建筑面积计算
在建筑设计中,经常需要计算建筑物的占地面积和屋顶面 积等,可以通过测量建筑物的形状和尺寸,然后应用三角 形面积计算方法进行计算。
物理问题中的面积计算
在物理问题中,有时需要计算物体的受力面积或者液体的 覆盖面积等,可以通过测量相关参数并应用三角形面积计 算方法进行计算。
典型例题解析与思路拓展
典型例题
解析一道涉及相似和全等三角形判定的典型例题,展示解题思路和方法。
思路拓展
介绍一些拓展思路和方法,如构造辅助线、利用特殊角度和边长关系等,帮助学生更好地理解和应用 相似和全等三角形的判定定理。
一年级汉语拼音a-o-e精品PPT课件
做游戏:
猜一猜
爱运动的a来到不同的地方 该怎么读呢?
一声汽车平走,
āāā
二声汽车上坡,
ááá
三声汽车下坡又上坡, 四声汽车下坡,
ǎǎǎ ààà
四声 调 • 第一声(ˉ) 一 声 平, • 第二声( ′) 二 声 扬, • 第三声(ˇ) 三 声 拐 弯, • 第四声(‵) 四 声 降
上格 中格 下格
四线三格
第一线 第二线 第三线 第四线
基本笔画:
左半圆 竖右弯
2笔
儿歌:
太阳出来红通通 公鸡一叫 o o o
一声汽车平走,
ōōō
二声汽车上坡,
óóó
三声汽车下坡又上坡 四声汽车下坡,
ǒǒǒ òòò
儿歌:
清清池塘一只鹅 水中倒影像个 e
一声汽车平走,
ēēē
二声汽车上坡,
ééé
三声汽车下坡又上坡 四声汽车下坡,
Hale Waihona Puke 拼音王国一、谈话揭题
• 小朋友,从今天起我们要学习汉语拼音了。 汉语拼音的用处可大了!能帮助我们识字、 读书,还会说一口好听的普通话,想学吗? 大家一定要用心地学。
儿歌: 汉语拼音用处大, 识字读书要靠它, 帮我学好普通话, 看谁学的顶呱呱!
看图讲故事
儿歌:
圆圆脸蛋扎小辫 张大嘴巴 ɑ ɑ ɑ
ěěě
èèè
圆圆脸蛋扎小辫, 张大嘴巴aaa。 太阳出来红通通, 公鸡一叫ooo。 清清池塘一只鹅, 水中倒影eee。
ā 阿姨好! á 啊!你说什么?
ǎ 啊?这是怎么回事? à 啊,多么可爱的小鸟!
ō 噢,原来是他。
ó 哦,她也会游泳? ò 哦!我明白了。
写在最后
最新第五章-再生障碍性贫血(新)课件ppt
鉴别诊断
PNH
1、相同点:
①全血细胞↓ ②可呈骨髓增生低下 ③可无血红蛋白尿的发作
2、不同点:
①典型者有血红蛋白尿发作史 ②溶血试验阳性:ham(酸溶血试验)、cof(蛇
毒因子溶血试验)、mclst(微量补体溶血敏感 试验) ③外周血或骨髓可发现CD55、CD59的细胞
鉴别诊断
MDS-RA
1、相同点:①全血细胞↓ ②网织红可↓
马:ALG 10~15mg/(kg.d) ×5天 免:ALG 3~5mg/(kg.d) ×5天 注:静脉滴注ATG不宜太快,小剂量维持滴12 ~16小时,
可与环胞素合成
2、环胞素
适应全部AA,6mg(kg.d) ×1年 注:使用时要个体化,及时调整剂量
3、CD3单克隆抗体,麦考酚吗乙酯(MMF),环磷 酰胺,甲泼尼龙等治疗SAA
一、出口货物退免增值税的核算
(一)生产企业出口货物免抵退的核算
步骤
➢免征出口环节的增值税
➢计算当期出口货物不予抵扣或退税的税额,借记“主营 业务成本”账户,贷记“应交税金—应交增值税(进项 税转出)”账户。
➢按规定退税率计算的出口货物的进项税抵减内销产品的应 纳税额时,借记“应交税金—应交增值税(出口抵减内销产 品应纳税额)”账户,贷记:“应交税金—应交增值税(出 口退税)”账户
➢给予退税时,借记“应收补贴款”,贷记“应交 税金—应交增值税(出口退税)”;
(二)外贸企业出口货物退免增值税的核算
步骤
➢购进货物时,按专用发票上注明的增值税额,借记“应 交税金——应交增值税(进项税额)”。
➢按规定退税率计算应收出口退税款时,借记“应收补贴 款”,贷记“应交税金—应交增值税(出口退税)”;
MDS-RA骨髓象
腹主动脉瘤诊断和治疗中国专家共识解读PPT课件
02 诊断方法与评估
影像学检查
超声心动图
MR血管造影(MRA)
首选的无创性检查方法,可显示腹主 动脉瘤的大小、形态、位置和血流情 况。
无需注射造影剂,可多角度观察腹主 动脉瘤的情况,对肾功能不全患者更 为适用。
CT血管造影(CTA)
可清晰显示腹主动脉瘤的全貌及其与 周围血管和脏器的关系,为制定治疗 方案提供依据。
临床试验与转化医学研究
加强临床试验和转化医学研究,推动科研成果向临床应用转化,为 患者提供更多有效的治疗选择。
提高诊疗水平与患者生活质量
1 2 3
加强专业培训和继续教育
提高医务人员对腹主动脉瘤的诊疗水平,加强专 业培训和继续教育。
完善患者教育与心理支持
加强对患者的教育和心理支持,帮助患者了解疾 病知识和治疗方法,提高患者治疗依从性和生活 质量。
腹主动脉瘤诊断和治疗中国专家 共识解读
汇报人:xxx 2023-12-20
目录
• 腹主动脉瘤概述 • 诊断方法与评估 • 治疗策略与方案 • 并发症预防与处理 • 患者教育与心理支持 • 专家共识解读与展望
01 腹主动脉瘤概述
定义与发病机制
定义
腹主动脉瘤(AAA)是指腹主动脉呈瘤样扩张,通常直径增 大50%以上定义为动脉瘤。
和配合患者的治疗。
家属心理支持
关注家属的心理状态,提供必要的 心理支持和辅导,帮助他们缓解焦 虑、担忧等不良情绪。
家属参与护理
鼓励家属积极参与患者的护理工作 ,如协助患者完成日常活动、提供 情感支持等,共同促进患者的康复 。
06 专家共识解读与展望
专家共识核心内容解读
01 02
腹主动脉瘤定义与流行病学
以上治疗策略与方案应根据 患者的具体情况进行选择, 制定个性化的治疗方案。同 时,随着医学技术的不断进 步,新的治疗方法和手段也 在不断涌现,为腹主动脉瘤 的治疗提供了更多的选择。
过去分词变化规则-PPT课件
2.词尾为-ow,-aw时,过去式将其变为-ew,过去分词在 其原形后加n。
blow—blew—blown draw—drew—drawn grow— grew—grown know—knew—known throw—threw—thrown (show除外)
3.词尾为“i+辅(1个)+e”,过去式将i变为o,过去 分词多在原形后加n,若那个辅音字母为d或t,须双写d或 t后加n。(give,hide除外)
过去分词的用法
表示动作的完成 或者被动
一.AAA型(动词原形、过去式、过去分词同形)
cost(花费)cost--cost cut(割)--cut--cut hit(打)--hit-- hit hurt 伤害)--hurt-- hurt let(让)--let --let put(放)--put --put read (读)--read-- read
11.改变元、辅音字母。
leave—left—left stand—stood—stood have(has)— had—had understand—understood—understood
五.ABC型(动词原形、过去式与过去分词三者不同形)
1.i—a—u变化。
begin—began—begun drink—drank—drunk sing— sang—sung ring—rang—rung swim—swam—swum sink— sank—sunk
2.词尾有-ild,-end时,只需把d变为t。
build—built—built lend—lent— lent send—sent—sent spend—spent— spent
3.过去式、过去分词都含有 -aught。
三角形全等的判定AASASAppt
AAA定理的证明方法
利用勾股定理证明
在两个直角三角形中,如果它们的斜边和一条直角边对应相等,则这两个直角三角形全等,因此可以推出两个三角形三对对应边都相等,即三边对应相等。
利用三角形全等的判定定理证明
如果两个三角形满足AAA定理的条件,则它们一定满足三角形全等的另一个判定定理——边角边定理(SAS),因此可以用SAS定理证明两个三角形全等。
课题介绍
在平面几何的学习中,三角形全等的判定方法对于学生的掌握和理解非常重要,因此研究三角形全等的判定方法具有重要意义。
AASASAPT是三角形全等判定方法之一,它是在边、角、边和角、边、边等组合条件下进行判断的,因此研究AASASAPT也具有实际应用价值。
研究背景
通过研究AASASAPT判定方法,旨在深入了解三角形全等的判定方法,以便更好地掌握和应用它解决实际问题。
三角形全等的定义
三条边对应相等的两个三角形全等,简称为“三边对应相等”。
按照边长关系
三个角对应相等的两个三角形不一定全等,但两个三角形全等时,它们的三个角对应相等。
按照角度关系
三角形全等的种类
三角形全等的证明角形全等。
SAS
两边及其夹角对应相等的两个三角形全等。
三个角对应相等
如果两个三角形的三条边分别成比例,则这两个三角形相似。
三个边对应成比例
如果两个三角形的三条边分别相等,则这两个三角形全等。
三个边对应相等
AAA定理的定义
利用相似三角形的性质证明
根据相似三角形的定义,两个三角形相似的充要条件是它们的对应角相等,此时两个三角形的三对对应边都成比例,即三边对应成比例。
AAS定理的应用还涉及到一些几何题目的证明和求解,比如一些角度和线段相等的问题,以及一些与三角形全等有关的问题。
南充介绍PPT课件
名断作新以陈尝,,蜀以距
扬,凉鲜改洪后从在,其今
川调粉白进顺无磨中流独已
北料质豌,悉不粉渡传具有
90
一配细豆凉心称搅口至红
带味柔用粉研道制搭今辣多
。,嫩小制究,到棚。味年
了更,磨作谢谢调卖当醇历
。具筋磨工凉凉料担时、史
.
、 ,19 。
南充三绝之一 阆中保宁醋
阆中保宁醋阆中保宁醋是全国四大名醋(阆中 保宁醋、山西老陈醋、江苏镇江香醋、福建米醋之 一)。它以历史悠久,质优味美、营养丰富、防病治 病而著称于世,在1915年巴拿马“太平洋万国博展 会”上获金质奖。近年来,又发现它有防癌抗癌作 用·保宁醋创制于明末清初,最初商标是“一只鞋”。 因为保宁醋的创始人是山西来的一个叫索义廷的难民, 他衣衫槛楼,一脚赤足,一脚撒(把鞋后跟踩在脚后 跟下)只鱼尾鞋(没有后跟的破鞋),他的一手绝技 就是酿醋。后来,被一家富人知道,聘请他为技师酿 醋。他亲自上山采药制醋曲,用小麦鼓为原料,取嘉 陵江水酿醋。他酿出的醋,酸味适度,醇香适口,很 受人欢迎,所以取名为“一只鞋”。后嫌名字太土气, 改名为“保宁醋”(阆中在明清时为保宁府治)。
.
20
南充三绝之一
南充冬菜
清乾隆年间,南充酱园主张德兴,见嘉陵江边盛产芥菜,他突发奇想,将新鲜芥菜配 以盐和香料,装入土陶圆坛密封后放置酱园内。事隔三年,恰逢立春之日,酱园内忽 然飘出一股奇特的香味,原来是那个土陶圆坛突然破裂,芳香四溢,沁人心脾,众人 闻香而至纷纷品尝,果然是爽口。此菜历经三个寒冬,立春之日喷香而出,众人取名 为“冬菜”。一传十,十传百,传至京城,成为朝廷贡品。时有民谣“十里飘香不是 花,顺庆府中冬菜牙”,十里午南充冬菜由此诞生,经过几百年代代相传,十里香南 充冬菜成为四川四大名菜之一。我公司承传“南充酱园,德兴老号”,秉承百年传统 工艺,发扬光大,使十里香南充冬菜这一独特的地方特日臻完美,名扬海内外。
江苏电信技术培训AAA介绍
4、如果该用户合法,NAS就根据从RADIUS服务器 传回的配臵参数配臵用户。如果用户非法,NAS 反馈给用户出错信息并断开该用户连接
江苏省电信有限公司互联网部
30
五、窄带拨号上网认证过程
计费过程: 1、认证通过后,NAS向RADIUS服务器发送一个记 费请求包表明对该用户已经开始计费。(计费起 始包) 2、RADIUS服务器收到并成功记录该请求包后要给 予响应 (计费起始包的回应包)
江苏省电信有限公司互联网部
8
二、RADIUS协议介绍
RADIUS采用客户/服务器(Client/Server)结构: NAS上运行的AAA程序对用户来讲为服务器端,对 RADIUS服务器来讲是作为客户端。
江苏省电信有限公司互联网部
9
二、RADIUS协议介绍 AAA(RADIUS)协议在协议栈中的位臵
江苏省电信有限公司互联网部
28
五、窄带拨号上网认证过程
江苏省电信有限公司互联网部
29
五、窄带拨号上网认证过程
认证过程: 1、用户输入帐号密码拨号 2、接入服务器将拨入用户的用户的信息(比如用户 名、口令、所占用的端口等等)打包向RADIUS 服务器发送 (认证请求包) 3、如果该用户是一个合法的用户,那么Radius告 诉NAS该用户可以上网,同时传回该用户的配臵 参数 (认证返回包);否则,Radius反馈NAS该 用户非法的信息 (认证返回包)
江苏省电信有限公司互联网部
10
二、RADIUS协议介绍
RADIUS 协议采用不同的UDP 端口来收发 认证/授权和计费报文 RFC2138/2139 中建议的认证/授权端口号为 1812、计费端口号为1813(早期的RADIUS server,普遍采用1645 作为认证/授权端口 号、1646 作为计费端口号)。
防火墙ppt课件
✓ 会话层:主要针对远程终端访问。主要任务包括会话管理、
传输同步以及活动管理等。
✓ 表示层:主要功能是信息转换,包括信息压缩、加密、与标
准格式的转换(以及上述各操作的逆操作)等等。
✓ 应用层:提供最常用且通用的应用程序,包括电子邮件(E-
mail)和文电传输等。
OSI参考模型与Internet协议簇
协议--TCP/IP协议分层
应用层 传输层 网间网层 网络接口层
协议--TCP/IP协议分层
✓ 应用层:向用户提供一组常用的应用程序,比如文件传输访问、电子邮件、
远程登录等。用户完全可以在“网间网”之上(即传输层之上),建立自 己的专用应用程序,这些专用应用程序要用到TCP/IP,但不属于TCP/IP。
TCP/IP服务(cont.)
SMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮 件。
TELNET - 可以远程登陆到网络的每个主机上,直接使用他的 资源。
FTP - File Transfer Protocol,用文件传输。 DNS - Domain Name Service, 被 TELNET、FTP、WWW及其它服
TCP与UDP端口
一个TCP或UDP连接由下述要素唯一确定:源IP地址、目的地IP地址、 源端口、目的地端口。
务所用,可以把主机名字转换为 IP 地址。 WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息
服务的结合体,使用超文本传输协议 (http)。
IP
IP协议的主要内容包括无连接数据报传送、数据报寻径及差错 处理三部分。
IP层作为通信子网的最高层,屏蔽底层各种物理网络的技术环 节,向上(TCP层)提供一致的、通用性的接口,使得各种物 理网络的差异性对上层协议不复存在。
传输同步以及活动管理等。
✓ 表示层:主要功能是信息转换,包括信息压缩、加密、与标
准格式的转换(以及上述各操作的逆操作)等等。
✓ 应用层:提供最常用且通用的应用程序,包括电子邮件(E-
mail)和文电传输等。
OSI参考模型与Internet协议簇
协议--TCP/IP协议分层
应用层 传输层 网间网层 网络接口层
协议--TCP/IP协议分层
✓ 应用层:向用户提供一组常用的应用程序,比如文件传输访问、电子邮件、
远程登录等。用户完全可以在“网间网”之上(即传输层之上),建立自 己的专用应用程序,这些专用应用程序要用到TCP/IP,但不属于TCP/IP。
TCP/IP服务(cont.)
SMTP - Simple Mail Transfer Protocol, 用于发送、接收电子邮 件。
TELNET - 可以远程登陆到网络的每个主机上,直接使用他的 资源。
FTP - File Transfer Protocol,用文件传输。 DNS - Domain Name Service, 被 TELNET、FTP、WWW及其它服
TCP与UDP端口
一个TCP或UDP连接由下述要素唯一确定:源IP地址、目的地IP地址、 源端口、目的地端口。
务所用,可以把主机名字转换为 IP 地址。 WWW - World Wide Web, 是 FTP、 gopher、WAIS及其它信息
服务的结合体,使用超文本传输协议 (http)。
IP
IP协议的主要内容包括无连接数据报传送、数据报寻径及差错 处理三部分。
IP层作为通信子网的最高层,屏蔽底层各种物理网络的技术环 节,向上(TCP层)提供一致的、通用性的接口,使得各种物 理网络的差异性对上层协议不复存在。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
工作站 认证服务器
4
AAA配置
1、开启AAA:
– 使用下列命令可以开启AAA,要禁用AAA,
使用no aaa new-model。
NAS(config)#aaa new-model
– 注意:除非已经策划好了AAA环境,否则 不要启动AAA。因为启动了AAA会对接入 交换机或路由器等NAS的Telnet客户进行 AAA强制认证。这时,除了访问控制台外 不能通过任何方式访问NAS。
NAS#show radius
-
6
2、配置AAA认证服务器
(3)配置本地用户及密钥
– 如果即没有TACACS+服务器,也没有RADIUS服 务器。那么只有在NAS上配置本地用户进行验证 了。但其功能比较简单,只有认证功能,没有授 权及统计功能。配置命令如下:
NAS(config)#username name secret password //配置密 码为加密的普通本地用户
第5章 交换机端口安全及认证
• 5.1 交换机端口安全及配置 • 5.2 在三层交换机上配置访问控制列表ACL • 5.3 交换机端口安全认证简介
-
1
5.3 交换机端口安全认证简介
• 5.3.1 AAA • 5.3.2 IEEE802.1X
-
2
5.3.1 AAA
• AAA是验证、授权和记账(Authentication、 Authorization、Accounting )三个英文单词的 简称。其主要目的是管理哪些用户可以访问网 络服务器,具有访问权的用户可以得到哪些服 务,如何对正在使用网络资源的用户进行记账。 具体为:
-
5
2、配置AAA认证服务器
(1)配置TACACS+服务器地址和共享密钥: 如果TACACS+服务器的IP地址为192.168.0.11,共享
密码为tpass,则配置命令如下: NAS(config)#tacacs-server host 192.168.0.11
tacacs-server key tpass
-
11
3.IEEE802.1x工作过程
(1)当用户有上网需求时打开802.1X客户端程序,输入 已经申请、登记过的用户名和口令,发起连接请求。 此时,客户端程序将发出请求认证的报文给交换机 或AP,开始启动一次认证过程。
(2)交换机或AP收到请求认证的数据帧后,将发出一个 请求帧要求用户的客户端程序将输入的用户名送上 来。
(3)客户端程序响应交换机发出的请求,将用户名信息 通过数据帧送给交换机。如果是采用RADIUS认证服 务器认证,交换机将客户端送上来的数据帧经过封 包处理后送给认证服务器进行处理。如果采用本地 认证,交换机或AP查询自己的用户数据库进行认证 处理。
1.IEEE802.1X功能
802.1x协议是基于Client/Server的访问控制 和认证协议。它可以限制未经授权的用户/设备 通过接入端口访问LAN/WLAN。在获得交换机 或LAN提供的各种业务之前,802.1x对连接到 交换机端口上的用户/设备进行认证。在认证通 过之前,802.1x只允许EAPoL(基于局域网的 扩展认证协议)数据通过设备连接的交换机端 口;认证通过以后,正常的数据可以顺利地通 过以太网端口。
-
9
2.IEEE802.1体系结构
• 与AAA系统体系结构类似,IEEE802.1的体系结构也包括如下 图所示的3部分:
请求者 802.1x客户
认证者 交换机或AP
-
认证服务器 RADIUS
10
2.IEEE802.1体系结构
• 系统体系结构: ✓ 请求者:被认证的用户/设备。它请求访问LAN和交换 机服务。请求者必须运行遵从802.1x的客户软件,如在 XP以上的Windows操作系统中的软件; ✓ 认证者:对接入的用户/设备进行认证的设备或设备端 口。它一般为支持RADIUS客户和802.1软件的交换机 或无线接入点AP; ✓ 认证服务器:根据认证者的信息,对请求访问网络资 源的用户/设备进行实际认证功能的设备。它一般是一 个或多个RADIUS服务器。如果认证者采用本地认证, 则认证服务器可以省略 。
NAS#show tacacs (2)配置RADIUS服务器地址和共享密钥: 同理,如果RADIUS服务器的IP地址为192.168.0.22,
共享密码为rtpass,则配置命令如下: NAS(config)#radius -server host 192.168.0.22
NAS(config)#radius -server key rpass
NAS(config)#aaa authentication type {default}|listname method1 {…[method4]}
4、配置AAA授权
– AAA授权限制用户可以使用的服务权限。其命令格 式为:
NAS(config)#aaa authorization type {default}|list-name method1 {…[method4]}
5、配置AAA统计
– 与验证和授权类似,统计的方法列表定义了如何执 行统计以及执行这些方法的顺序。其命令格式如下:
NAS(config)#aaa accounting type {{default}|list-name} record-type method1 {…[method4]}
-
8
5.4.2 IEEE802.1X
NAS(config)#username name privilege level password password //配置具有特权级别的用户。
如:NAS(config)#username lzg privilege 14 password teacher
- AAA验证可以应用在经由PPP的客户连接、访问线 路或进入特权模式。其命令格式为
– 验证(Authentication): 验证用户是否可以获得访问权 限;
– 授权(Authorization) : 授权用户可以使用哪些服务;
– 记账(Accounting) : 记录用户使用网络资源的情况。
-
3
1.AAA的体系结构
远程PC 请求者
NAS 认证者
-
RADIUS服务器 TACACS+服务器
4
AAA配置
1、开启AAA:
– 使用下列命令可以开启AAA,要禁用AAA,
使用no aaa new-model。
NAS(config)#aaa new-model
– 注意:除非已经策划好了AAA环境,否则 不要启动AAA。因为启动了AAA会对接入 交换机或路由器等NAS的Telnet客户进行 AAA强制认证。这时,除了访问控制台外 不能通过任何方式访问NAS。
NAS#show radius
-
6
2、配置AAA认证服务器
(3)配置本地用户及密钥
– 如果即没有TACACS+服务器,也没有RADIUS服 务器。那么只有在NAS上配置本地用户进行验证 了。但其功能比较简单,只有认证功能,没有授 权及统计功能。配置命令如下:
NAS(config)#username name secret password //配置密 码为加密的普通本地用户
第5章 交换机端口安全及认证
• 5.1 交换机端口安全及配置 • 5.2 在三层交换机上配置访问控制列表ACL • 5.3 交换机端口安全认证简介
-
1
5.3 交换机端口安全认证简介
• 5.3.1 AAA • 5.3.2 IEEE802.1X
-
2
5.3.1 AAA
• AAA是验证、授权和记账(Authentication、 Authorization、Accounting )三个英文单词的 简称。其主要目的是管理哪些用户可以访问网 络服务器,具有访问权的用户可以得到哪些服 务,如何对正在使用网络资源的用户进行记账。 具体为:
-
5
2、配置AAA认证服务器
(1)配置TACACS+服务器地址和共享密钥: 如果TACACS+服务器的IP地址为192.168.0.11,共享
密码为tpass,则配置命令如下: NAS(config)#tacacs-server host 192.168.0.11
tacacs-server key tpass
-
11
3.IEEE802.1x工作过程
(1)当用户有上网需求时打开802.1X客户端程序,输入 已经申请、登记过的用户名和口令,发起连接请求。 此时,客户端程序将发出请求认证的报文给交换机 或AP,开始启动一次认证过程。
(2)交换机或AP收到请求认证的数据帧后,将发出一个 请求帧要求用户的客户端程序将输入的用户名送上 来。
(3)客户端程序响应交换机发出的请求,将用户名信息 通过数据帧送给交换机。如果是采用RADIUS认证服 务器认证,交换机将客户端送上来的数据帧经过封 包处理后送给认证服务器进行处理。如果采用本地 认证,交换机或AP查询自己的用户数据库进行认证 处理。
1.IEEE802.1X功能
802.1x协议是基于Client/Server的访问控制 和认证协议。它可以限制未经授权的用户/设备 通过接入端口访问LAN/WLAN。在获得交换机 或LAN提供的各种业务之前,802.1x对连接到 交换机端口上的用户/设备进行认证。在认证通 过之前,802.1x只允许EAPoL(基于局域网的 扩展认证协议)数据通过设备连接的交换机端 口;认证通过以后,正常的数据可以顺利地通 过以太网端口。
-
9
2.IEEE802.1体系结构
• 与AAA系统体系结构类似,IEEE802.1的体系结构也包括如下 图所示的3部分:
请求者 802.1x客户
认证者 交换机或AP
-
认证服务器 RADIUS
10
2.IEEE802.1体系结构
• 系统体系结构: ✓ 请求者:被认证的用户/设备。它请求访问LAN和交换 机服务。请求者必须运行遵从802.1x的客户软件,如在 XP以上的Windows操作系统中的软件; ✓ 认证者:对接入的用户/设备进行认证的设备或设备端 口。它一般为支持RADIUS客户和802.1软件的交换机 或无线接入点AP; ✓ 认证服务器:根据认证者的信息,对请求访问网络资 源的用户/设备进行实际认证功能的设备。它一般是一 个或多个RADIUS服务器。如果认证者采用本地认证, 则认证服务器可以省略 。
NAS#show tacacs (2)配置RADIUS服务器地址和共享密钥: 同理,如果RADIUS服务器的IP地址为192.168.0.22,
共享密码为rtpass,则配置命令如下: NAS(config)#radius -server host 192.168.0.22
NAS(config)#radius -server key rpass
NAS(config)#aaa authentication type {default}|listname method1 {…[method4]}
4、配置AAA授权
– AAA授权限制用户可以使用的服务权限。其命令格 式为:
NAS(config)#aaa authorization type {default}|list-name method1 {…[method4]}
5、配置AAA统计
– 与验证和授权类似,统计的方法列表定义了如何执 行统计以及执行这些方法的顺序。其命令格式如下:
NAS(config)#aaa accounting type {{default}|list-name} record-type method1 {…[method4]}
-
8
5.4.2 IEEE802.1X
NAS(config)#username name privilege level password password //配置具有特权级别的用户。
如:NAS(config)#username lzg privilege 14 password teacher
- AAA验证可以应用在经由PPP的客户连接、访问线 路或进入特权模式。其命令格式为
– 验证(Authentication): 验证用户是否可以获得访问权 限;
– 授权(Authorization) : 授权用户可以使用哪些服务;
– 记账(Accounting) : 记录用户使用网络资源的情况。
-
3
1.AAA的体系结构
远程PC 请求者
NAS 认证者
-
RADIUS服务器 TACACS+服务器