這是一個關(guān)于AAA與802.1X介紹PPT課件，主要介紹AAA介紹、配置AAA、RADIUS介紹、配置RADIUS、802.1x介紹、802.1x基本配置。第八章 AAA和802.1x 學習目標通過本章學習使學員能夠熟悉AAA基本概念掌握AAA基本配置熟悉RADIUS基本概念掌握RADIUS基本配置 802.1x概述 802.1x認證體系 802.1x工作機制 802.1x認證過程 802.1x定時器 802.1x基本配置 本章內(nèi)容 AAA介紹配置AAA RADIUS介紹配置RADIUS 802.1x介紹 802.1x基本配置課程議題 AAA介紹 AAA 是一個提供網(wǎng)絡(luò)訪問控制安全的模型，通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA（Authentication、Authorization、Accounting，認證、授權(quán)、計費）提供了對認證、授權(quán)和計費功能的一致性框架 AAA主要解決的是網(wǎng)絡(luò)安全訪問控制的問題 AAA介紹(續(xù)) Authentication：認證模塊可以驗證用戶是否可獲得訪問權(quán)。 Authorization：授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting：計費模塊可以記錄用戶使用網(wǎng)絡(luò)資源的情況。 可實現(xiàn)對用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計、跟蹤。 AAA介紹(續(xù)) 相對與其他的本地身份認證、端口安全等安全策略，AAA能夠提供更高等級的安全保護。 AAA優(yōu)點：靈活性可控性可擴展性可靠性標準化協(xié)議 AAA基本模型 AAA基本模型中分為用戶、NAS、認證服務(wù)器三個部分 AAA基本模型(續(xù)) 用戶向NAS設(shè)備發(fā)起連接請求 NAS設(shè)備將用戶的請求轉(zhuǎn)發(fā)給認證服務(wù)器認證服務(wù)器返回認證結(jié)果信息給NAS設(shè)備 NAS設(shè)備根據(jù)認證服務(wù)器返回的認證結(jié)果對用戶采取相應(yīng)認證、授權(quán)、計費的操作課程議題配置AAA ——Authentication 啟用AAA Router(config)#aaa new-model 配置驗證列表 Router(config)#aaa authentication service { default | list-name } method1 [ method2… ] 驗證列表用于定義對用戶進行身份認證的多種方法，這樣確保在第一種方法失敗的情況下，可以使用備份驗證方式和備份驗證系統(tǒng)，歡迎點擊下載AAA與802.1X介紹PPT課件哦。

AAA與802.1X介紹PPT課件是由紅軟PPT免費下載網(wǎng)推薦的一款學校PPT類型的PowerPoint.

第八章 AAA和802.1x 學習目標通過本章學習使學員能夠熟悉AAA基本概念掌握AAA基本配置熟悉RADIUS基本概念掌握RADIUS基本配置 802.1x概述 802.1x認證體系 802.1x工作機制 802.1x認證過程 802.1x定時器 802.1x基本配置 本章內(nèi)容 AAA介紹配置AAA RADIUS介紹配置RADIUS 802.1x介紹 802.1x基本配置課程議題 AAA介紹 AAA 是一個提供網(wǎng)絡(luò)訪問控制安全的模型，通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA（Authentication、Authorization、Accounting，認證、授權(quán)、計費）提供了對認證、授權(quán)和計費功能的一致性框架 AAA主要解決的是網(wǎng)絡(luò)安全訪問控制的問題 AAA介紹(續(xù)) Authentication：認證模塊可以驗證用戶是否可獲得訪問權(quán)。 Authorization：授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting：計費模塊可以記錄用戶使用網(wǎng)絡(luò)資源的情況。 可實現(xiàn)對用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計、跟蹤。 AAA介紹(續(xù)) 相對與其他的本地身份認證、端口安全等安全策略，AAA能夠提供更高等級的安全保護。 AAA優(yōu)點：靈活性可控性可擴展性可靠性標準化協(xié)議 AAA基本模型 AAA基本模型中分為用戶、NAS、認證服務(wù)器三個部分 AAA基本模型(續(xù)) 用戶向NAS設(shè)備發(fā)起連接請求 NAS設(shè)備將用戶的請求轉(zhuǎn)發(fā)給認證服務(wù)器認證服務(wù)器返回認證結(jié)果信息給NAS設(shè)備 NAS設(shè)備根據(jù)認證服務(wù)器返回的認證結(jié)果對用戶采取相應(yīng)認證、授權(quán)、計費的操作課程議題配置AAA ——Authentication 啟用AAA Router(config)#aaa new-model 配置驗證列表 Router(config)#aaa authentication service { default | list-name } method1 [ method2… ] 驗證列表用于定義對用戶進行身份認證的多種方法，這樣確保在第一種方法失敗的情況下，可以使用備份驗證方式和備份驗證系統(tǒng)。只有在前一種方法沒有應(yīng)答的情況下，NAS設(shè)備才會嘗試下一種方法如果在驗證列表中的最后一種認證方式而還沒有成功，則身份認證宣告失敗配置AAA ——Authentication 參數(shù)service表示針對哪種接入方式行為進行認證，可以選擇的方式為： dot1x：對802.1x的接入行為進行認證。 enable：對enable（進入特權(quán)模式）行為進行認證。 login：對登錄本地的行為進行認證。 ppp：對PPP接入進行認證。配置AAA ——Authentication 參數(shù)method表示此驗證列表中使用的認證方式，認證方法可以有以下幾種方式： group radius：使用所有的RADIUS服務(wù)器進行驗證 group group-name：使用RADIUS服務(wù)器組中的服務(wù)器進行驗證 local：使用本地用戶數(shù)據(jù)庫進行驗證。當配置local參數(shù)使用本地用戶數(shù)據(jù)庫進行驗證時，需要使用username username password password命令預先在本地創(chuàng)建用戶 None：不驗證。此參數(shù)可以作為最后的備用驗證方式，如果由于網(wǎng)絡(luò)或設(shè)備故障導致無法正常的進行驗證時，在驗證列表的最后一步可以使用none不對用戶進行驗證配置AAA——Authentication 應(yīng)用驗證列表 Router(config-line)#login authentication { default | list-name } 將驗證列表應(yīng)用到PPP接口： Router(config-if)#ppp authentication { default | list-name } Authentication配置示例配置AAA——Authorization 配置授權(quán)列表： Router(config)#aaa authorization network { default | list-name } method 1 [ method 2...] network：對網(wǎng)絡(luò)訪問進行授權(quán)，例如PPP、SLIP、Ethernet。 default：默認授權(quán)列表。默認情況下，默認的授權(quán)列表default將應(yīng)用于所有接口和線路。 list-name：定義授權(quán)列表的名稱，后續(xù)將指定的授權(quán)列表應(yīng)用于具體的接口、線路時將引用此名稱。 method：定義授權(quán)方法，授權(quán)方法包括group radius、local和none。將授權(quán)列表應(yīng)用到PPP接口： Router(config-if)#ppp authorization { default | list-name } 配置AAA——配置Accounting 配置計費列表： Router(config)#aaa accounting network { default | list-name } start-stop method 1 [method 2…] network：對網(wǎng)絡(luò)應(yīng)用進行計費，例如PPP、SLIP、Ethernet。 default：默認計費列表。默認情況下，默認的計費列表default將應(yīng)用于所有接口和線路。 stard-stop：網(wǎng)絡(luò)訪問服務(wù)器在用戶開始和結(jié)束訪問網(wǎng)絡(luò)的時候向RADIUS服務(wù)器發(fā)送計費信息； list-name：定義計費列表的名稱。后續(xù)將指定的計費列表應(yīng)用于具體的接口、線路時將引用此名稱。 method：定義計費方法，計費方法包括group radius、group group-name。將計費列表應(yīng)用到PPP接口： Router(config-if)#ppp accounting { default | list-name } 課程議題 Radius協(xié)議概述 RADIUS ( Remote Authentication Dial In User Service 遠程認證撥號用戶服務(wù) )是在網(wǎng)絡(luò)接入設(shè)備和認證服務(wù)器之間進行認證授權(quán)計費和配置信息的協(xié)議 Radius協(xié)議模型 Radius協(xié)議模型 RADIUS協(xié)議特點 RADIUS協(xié)議特點客戶/服務(wù)器模型：網(wǎng)絡(luò)接入設(shè)備（NAS）通常作為RADIUS服務(wù)器的客戶端。安全性：RADIUS服務(wù)器與NAS之間使用共享密鑰對敏感信息進行加密，該密鑰不會在網(wǎng)絡(luò)上傳輸�？蓴U展的協(xié)議設(shè)計：RADIUS使用屬性-長度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶可以自定義其他的私有屬性，擴展RADIUS的應(yīng)用。靈活的鑒別機制：RADIUS服務(wù)器支持多種方式對用戶進行認證，支持PAP、CHAP、UNIX login等多種認證方式。 RADIUS認證過程 RADIUS授權(quán)過程 RADIUS計費過程課程議題配置RADIUS 配置RADIUS服務(wù)器 Router(config)#radius-server host ip-address [ auth-port port | acct-port port ]* ip-address表示遠程RADIUS服務(wù)器的IP地址。 auth-port參數(shù)表示配置RADIUS服務(wù)器的認證和授權(quán)端口號，默認情況下RADIUS服務(wù)器的認證和授權(quán)端口號為UDP 1812；acct-port參數(shù)表示配置RADIUS服務(wù)器的計費端口號，默認情況下RADIUS服務(wù)器的計費端口號為UDP 1813。 以使用此命令添加多個RADIUS服務(wù)器，當一個RADIUS服務(wù)器不可用時將使用下一個配置的RADIUS服務(wù)器，NAS將按照配置的順序進行查找。 配置RADIUS 配置RADIUS服務(wù)器認證密鑰 Router(config)#radius-server host key { 0 string | 7 string | string } 配置服務(wù)器組 Router(config)#aaa group server radius group-name 將RADIUS服務(wù)器加入到服務(wù)器組中： Router(config-gs-radius)#radius-server host ip-address [ auth-port port | acct-port port ]* RADIUS高級配置配置RADIUS超時時間 Router(config)#radius-server timeout seconds 配置RADIUS重傳次數(shù) Router(config)#radius-server retransmit retries 配置RADIUS服務(wù)器的死亡時間 Router(config)#radius-server deadtime minutes 配置發(fā)送請求的源接口 Router(config)#ip radius source-interface interface AAA及RADIUS配置示例 在上圖所示的拓撲中，需要對遠程登錄到NAS設(shè)備上的用戶進行AAA認證。認證方法首先使用RADIUS進行驗證，如果RADIUS無法訪問，則進行本地驗證。 AAA及RADIUS配置示例(續(xù)) 課程議題 802.1x概述 802.1x認證體系 802.1x認證組件 802.1x認證組件(續(xù)) 802.1x認證組件(續(xù)) EAP與EAPoL 802.1x工作機制 802.1x認證模式 EAP中繼模式 EAP中繼模式認證過程 EAP終結(jié)模式 EAP終結(jié)模式認證過程 EAPoL數(shù)據(jù)包格式 EAP數(shù)據(jù)包格式 802.1x定時器 802.1x定時器（續(xù)）課程議題 802.1x基本配置配置AAA及RADIUS 配置AAA及RADIUS（續(xù)）啟用802.1x 802.1x基本配置示例 802.1x認證典型配置示例課程回顧HkP紅軟基地