這是一個(gè)關(guān)于AAA與802.1X介紹PPT課件，主要介紹AAA介紹、配置AAA、RADIUS介紹、配置RADIUS、802.1x介紹、802.1x基本配置。第八章 AAA和802.1x 學(xué)習(xí)目標(biāo)通過(guò)本章學(xué)習(xí)使學(xué)員能夠熟悉AAA基本概念掌握AAA基本配置熟悉RADIUS基本概念掌握RADIUS基本配置 802.1x概述 802.1x認(rèn)證體系 802.1x工作機(jī)制 802.1x認(rèn)證過(guò)程 802.1x定時(shí)器 802.1x基本配置 本章內(nèi)容 AAA介紹配置AAA RADIUS介紹配置RADIUS 802.1x介紹 802.1x基本配置課程議題 AAA介紹 AAA 是一個(gè)提供網(wǎng)絡(luò)訪(fǎng)問(wèn)控制安全的模型，通常用于用戶(hù)登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計(jì)費(fèi)）提供了對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)功能的一致性框架 AAA主要解決的是網(wǎng)絡(luò)安全訪(fǎng)問(wèn)控制的問(wèn)題 AAA介紹(續(xù)) Authentication：認(rèn)證模塊可以驗(yàn)證用戶(hù)是否可獲得訪(fǎng)問(wèn)權(quán)。 Authorization：授權(quán)模塊可以定義用戶(hù)可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting：計(jì)費(fèi)模塊可以記錄用戶(hù)使用網(wǎng)絡(luò)資源的情況。 可實(shí)現(xiàn)對(duì)用戶(hù)使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計(jì)、跟蹤。 AAA介紹(續(xù)) 相對(duì)與其他的本地身份認(rèn)證、端口安全等安全策略，AAA能夠提供更高等級(jí)的安全保護(hù)。 AAA優(yōu)點(diǎn)：靈活性可控性可擴(kuò)展性可靠性標(biāo)準(zhǔn)化協(xié)議 AAA基本模型 AAA基本模型中分為用戶(hù)、NAS、認(rèn)證服務(wù)器三個(gè)部分 AAA基本模型(續(xù)) 用戶(hù)向NAS設(shè)備發(fā)起連接請(qǐng)求 NAS設(shè)備將用戶(hù)的請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器認(rèn)證服務(wù)器返回認(rèn)證結(jié)果信息給NAS設(shè)備 NAS設(shè)備根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果對(duì)用戶(hù)采取相應(yīng)認(rèn)證、授權(quán)、計(jì)費(fèi)的操作課程議題配置AAA ——Authentication 啟用AAA Router(config)#aaa new-model 配置驗(yàn)證列表 Router(config)#aaa authentication service { default | list-name } method1 [ method2… ] 驗(yàn)證列表用于定義對(duì)用戶(hù)進(jìn)行身份認(rèn)證的多種方法，這樣確保在第一種方法失敗的情況下，可以使用備份驗(yàn)證方式和備份驗(yàn)證系統(tǒng)，歡迎點(diǎn)擊下載AAA與802.1X介紹PPT課件哦。

AAA與802.1X介紹PPT課件是由紅軟PPT免費(fèi)下載網(wǎng)推薦的一款學(xué)校PPT類(lèi)型的PowerPoint.

第八章 AAA和802.1x 學(xué)習(xí)目標(biāo)通過(guò)本章學(xué)習(xí)使學(xué)員能夠熟悉AAA基本概念掌握AAA基本配置熟悉RADIUS基本概念掌握RADIUS基本配置 802.1x概述 802.1x認(rèn)證體系 802.1x工作機(jī)制 802.1x認(rèn)證過(guò)程 802.1x定時(shí)器 802.1x基本配置 本章內(nèi)容 AAA介紹配置AAA RADIUS介紹配置RADIUS 802.1x介紹 802.1x基本配置課程議題 AAA介紹 AAA 是一個(gè)提供網(wǎng)絡(luò)訪(fǎng)問(wèn)控制安全的模型，通常用于用戶(hù)登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計(jì)費(fèi)）提供了對(duì)認(rèn)證、授權(quán)和計(jì)費(fèi)功能的一致性框架 AAA主要解決的是網(wǎng)絡(luò)安全訪(fǎng)問(wèn)控制的問(wèn)題 AAA介紹(續(xù)) Authentication：認(rèn)證模塊可以驗(yàn)證用戶(hù)是否可獲得訪(fǎng)問(wèn)權(quán)。 Authorization：授權(quán)模塊可以定義用戶(hù)可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting：計(jì)費(fèi)模塊可以記錄用戶(hù)使用網(wǎng)絡(luò)資源的情況。 可實(shí)現(xiàn)對(duì)用戶(hù)使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計(jì)、跟蹤。 AAA介紹(續(xù)) 相對(duì)與其他的本地身份認(rèn)證、端口安全等安全策略，AAA能夠提供更高等級(jí)的安全保護(hù)。 AAA優(yōu)點(diǎn)：靈活性可控性可擴(kuò)展性可靠性標(biāo)準(zhǔn)化協(xié)議 AAA基本模型 AAA基本模型中分為用戶(hù)、NAS、認(rèn)證服務(wù)器三個(gè)部分 AAA基本模型(續(xù)) 用戶(hù)向NAS設(shè)備發(fā)起連接請(qǐng)求 NAS設(shè)備將用戶(hù)的請(qǐng)求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器認(rèn)證服務(wù)器返回認(rèn)證結(jié)果信息給NAS設(shè)備 NAS設(shè)備根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果對(duì)用戶(hù)采取相應(yīng)認(rèn)證、授權(quán)、計(jì)費(fèi)的操作課程議題配置AAA ——Authentication 啟用AAA Router(config)#aaa new-model 配置驗(yàn)證列表 Router(config)#aaa authentication service { default | list-name } method1 [ method2… ] 驗(yàn)證列表用于定義對(duì)用戶(hù)進(jìn)行身份認(rèn)證的多種方法，這樣確保在第一種方法失敗的情況下，可以使用備份驗(yàn)證方式和備份驗(yàn)證系統(tǒng)。只有在前一種方法沒(méi)有應(yīng)答的情況下，NAS設(shè)備才會(huì)嘗試下一種方法如果在驗(yàn)證列表中的最后一種認(rèn)證方式而還沒(méi)有成功，則身份認(rèn)證宣告失敗配置AAA ——Authentication 參數(shù)service表示針對(duì)哪種接入方式行為進(jìn)行認(rèn)證，可以選擇的方式為： dot1x：對(duì)802.1x的接入行為進(jìn)行認(rèn)證。 enable：對(duì)enable（進(jìn)入特權(quán)模式）行為進(jìn)行認(rèn)證。 login：對(duì)登錄本地的行為進(jìn)行認(rèn)證。 ppp：對(duì)PPP接入進(jìn)行認(rèn)證。配置AAA ——Authentication 參數(shù)method表示此驗(yàn)證列表中使用的認(rèn)證方式，認(rèn)證方法可以有以下幾種方式： group radius：使用所有的RADIUS服務(wù)器進(jìn)行驗(yàn)證 group group-name：使用RADIUS服務(wù)器組中的服務(wù)器進(jìn)行驗(yàn)證 local：使用本地用戶(hù)數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證。當(dāng)配置local參數(shù)使用本地用戶(hù)數(shù)據(jù)庫(kù)進(jìn)行驗(yàn)證時(shí)，需要使用username username password password命令預(yù)先在本地創(chuàng)建用戶(hù) None：不驗(yàn)證。此參數(shù)可以作為最后的備用驗(yàn)證方式，如果由于網(wǎng)絡(luò)或設(shè)備故障導(dǎo)致無(wú)法正常的進(jìn)行驗(yàn)證時(shí)，在驗(yàn)證列表的最后一步可以使用none不對(duì)用戶(hù)進(jìn)行驗(yàn)證配置AAA——Authentication 應(yīng)用驗(yàn)證列表 Router(config-line)#login authentication { default | list-name } 將驗(yàn)證列表應(yīng)用到PPP接口： Router(config-if)#ppp authentication { default | list-name } Authentication配置示例配置AAA——Authorization 配置授權(quán)列表： Router(config)#aaa authorization network { default | list-name } method 1 [ method 2...] network：對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)進(jìn)行授權(quán)，例如PPP、SLIP、Ethernet。 default：默認(rèn)授權(quán)列表。默認(rèn)情況下，默認(rèn)的授權(quán)列表default將應(yīng)用于所有接口和線(xiàn)路。 list-name：定義授權(quán)列表的名稱(chēng)，后續(xù)將指定的授權(quán)列表應(yīng)用于具體的接口、線(xiàn)路時(shí)將引用此名稱(chēng)。 method：定義授權(quán)方法，授權(quán)方法包括group radius、local和none。將授權(quán)列表應(yīng)用到PPP接口： Router(config-if)#ppp authorization { default | list-name } 配置AAA——配置Accounting 配置計(jì)費(fèi)列表： Router(config)#aaa accounting network { default | list-name } start-stop method 1 [method 2…] network：對(duì)網(wǎng)絡(luò)應(yīng)用進(jìn)行計(jì)費(fèi)，例如PPP、SLIP、Ethernet。 default：默認(rèn)計(jì)費(fèi)列表。默認(rèn)情況下，默認(rèn)的計(jì)費(fèi)列表default將應(yīng)用于所有接口和線(xiàn)路。 stard-stop：網(wǎng)絡(luò)訪(fǎng)問(wèn)服務(wù)器在用戶(hù)開(kāi)始和結(jié)束訪(fǎng)問(wèn)網(wǎng)絡(luò)的時(shí)候向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)信息； list-name：定義計(jì)費(fèi)列表的名稱(chēng)。后續(xù)將指定的計(jì)費(fèi)列表應(yīng)用于具體的接口、線(xiàn)路時(shí)將引用此名稱(chēng)。 method：定義計(jì)費(fèi)方法，計(jì)費(fèi)方法包括group radius、group group-name。將計(jì)費(fèi)列表應(yīng)用到PPP接口： Router(config-if)#ppp accounting { default | list-name } 課程議題 Radius協(xié)議概述 RADIUS ( Remote Authentication Dial In User Service 遠(yuǎn)程認(rèn)證撥號(hào)用戶(hù)服務(wù) )是在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證授權(quán)計(jì)費(fèi)和配置信息的協(xié)議 Radius協(xié)議模型 Radius協(xié)議模型 RADIUS協(xié)議特點(diǎn) RADIUS協(xié)議特點(diǎn)客戶(hù)/服務(wù)器模型：網(wǎng)絡(luò)接入設(shè)備（NAS）通常作為RADIUS服務(wù)器的客戶(hù)端。安全性：RADIUS服務(wù)器與NAS之間使用共享密鑰對(duì)敏感信息進(jìn)行加密，該密鑰不會(huì)在網(wǎng)絡(luò)上傳輸�？蓴U(kuò)展的協(xié)議設(shè)計(jì)：RADIUS使用屬性-長(zhǎng)度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶(hù)可以自定義其他的私有屬性，擴(kuò)展RADIUS的應(yīng)用。靈活的鑒別機(jī)制：RADIUS服務(wù)器支持多種方式對(duì)用戶(hù)進(jìn)行認(rèn)證，支持PAP、CHAP、UNIX login等多種認(rèn)證方式。 RADIUS認(rèn)證過(guò)程 RADIUS授權(quán)過(guò)程 RADIUS計(jì)費(fèi)過(guò)程課程議題配置RADIUS 配置RADIUS服務(wù)器 Router(config)#radius-server host ip-address [ auth-port port | acct-port port ]* ip-address表示遠(yuǎn)程RADIUS服務(wù)器的IP地址。 auth-port參數(shù)表示配置RADIUS服務(wù)器的認(rèn)證和授權(quán)端口號(hào)，默認(rèn)情況下RADIUS服務(wù)器的認(rèn)證和授權(quán)端口號(hào)為UDP 1812；acct-port參數(shù)表示配置RADIUS服務(wù)器的計(jì)費(fèi)端口號(hào)，默認(rèn)情況下RADIUS服務(wù)器的計(jì)費(fèi)端口號(hào)為UDP 1813。 以使用此命令添加多個(gè)RADIUS服務(wù)器，當(dāng)一個(gè)RADIUS服務(wù)器不可用時(shí)將使用下一個(gè)配置的RADIUS服務(wù)器，NAS將按照配置的順序進(jìn)行查找。 配置RADIUS 配置RADIUS服務(wù)器認(rèn)證密鑰 Router(config)#radius-server host key { 0 string | 7 string | string } 配置服務(wù)器組 Router(config)#aaa group server radius group-name 將RADIUS服務(wù)器加入到服務(wù)器組中： Router(config-gs-radius)#radius-server host ip-address [ auth-port port | acct-port port ]* RADIUS高級(jí)配置配置RADIUS超時(shí)時(shí)間 Router(config)#radius-server timeout seconds 配置RADIUS重傳次數(shù) Router(config)#radius-server retransmit retries 配置RADIUS服務(wù)器的死亡時(shí)間 Router(config)#radius-server deadtime minutes 配置發(fā)送請(qǐng)求的源接口 Router(config)#ip radius source-interface interface AAA及RADIUS配置示例 在上圖所示的拓?fù)渲校�需要�?duì)遠(yuǎn)程登錄到NAS設(shè)備上的用戶(hù)進(jìn)行AAA認(rèn)證。認(rèn)證方法首先使用RADIUS進(jìn)行驗(yàn)證，如果RADIUS無(wú)法訪(fǎng)問(wèn)，則進(jìn)行本地驗(yàn)證。 AAA及RADIUS配置示例(續(xù)) 課程議題 802.1x概述 802.1x認(rèn)證體系 802.1x認(rèn)證組件 802.1x認(rèn)證組件(續(xù)) 802.1x認(rèn)證組件(續(xù)) EAP與EAPoL 802.1x工作機(jī)制 802.1x認(rèn)證模式 EAP中繼模式 EAP中繼模式認(rèn)證過(guò)程 EAP終結(jié)模式 EAP終結(jié)模式認(rèn)證過(guò)程 EAPoL數(shù)據(jù)包格式 EAP數(shù)據(jù)包格式 802.1x定時(shí)器 802.1x定時(shí)器（續(xù)）課程議題 802.1x基本配置配置AAA及RADIUS 配置AAA及RADIUS（續(xù)）啟用802.1x 802.1x基本配置示例 802.1x認(rèn)證典型配置示例課程回顧HkP紅軟基地