這是一個關(guān)于AAA與802.1X介紹PPT課件，主要介紹AAA介紹、配置AAA、RADIUS介紹、配置RADIUS、802.1x介紹、802.1x基本配置。第八章 AAA和802.1x 學(xué)習(xí)目標(biāo)通過本章學(xué)習(xí)使學(xué)員能夠熟悉AAA基本概念掌握AAA基本配置熟悉RADIUS基本概念掌握RADIUS基本配置 802.1x概述 802.1x認(rèn)證體系 802.1x工作機(jī)制 802.1x認(rèn)證過程 802.1x定時器 802.1x基本配置 本章內(nèi)容 AAA介紹配置AAA RADIUS介紹配置RADIUS 802.1x介紹 802.1x基本配置課程議題 AAA介紹 AAA 是一個提供網(wǎng)絡(luò)訪問控制安全的模型，通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計費(fèi)）提供了對認(rèn)證、授權(quán)和計費(fèi)功能的一致性框架 AAA主要解決的是網(wǎng)絡(luò)安全訪問控制的問題 AAA介紹(續(xù)) Authentication：認(rèn)證模塊可以驗證用戶是否可獲得訪問權(quán)。 Authorization：授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting：計費(fèi)模塊可以記錄用戶使用網(wǎng)絡(luò)資源的情況。 可實現(xiàn)對用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計、跟蹤。 AAA介紹(續(xù)) 相對與其他的本地身份認(rèn)證、端口安全等安全策略，AAA能夠提供更高等級的安全保護(hù)。 AAA優(yōu)點：靈活性可控性可擴(kuò)展性可靠性標(biāo)準(zhǔn)化協(xié)議 AAA基本模型 AAA基本模型中分為用戶、NAS、認(rèn)證服務(wù)器三個部分 AAA基本模型(續(xù)) 用戶向NAS設(shè)備發(fā)起連接請求 NAS設(shè)備將用戶的請求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器認(rèn)證服務(wù)器返回認(rèn)證結(jié)果信息給NAS設(shè)備 NAS設(shè)備根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果對用戶采取相應(yīng)認(rèn)證、授權(quán)、計費(fèi)的操作課程議題配置AAA ——Authentication 啟用AAA Router(config)#aaa new-model 配置驗證列表 Router(config)#aaa authentication service { default | list-name } method1 [ method2… ] 驗證列表用于定義對用戶進(jìn)行身份認(rèn)證的多種方法，這樣確保在第一種方法失敗的情況下，可以使用備份驗證方式和備份驗證系統(tǒng)，歡迎點擊下載AAA與802.1X介紹PPT課件哦。

AAA與802.1X介紹PPT課件是由紅軟PPT免費(fèi)下載網(wǎng)推薦的一款學(xué)校PPT類型的PowerPoint.

第八章 AAA和802.1x 學(xué)習(xí)目標(biāo)通過本章學(xué)習(xí)使學(xué)員能夠熟悉AAA基本概念掌握AAA基本配置熟悉RADIUS基本概念掌握RADIUS基本配置 802.1x概述 802.1x認(rèn)證體系 802.1x工作機(jī)制 802.1x認(rèn)證過程 802.1x定時器 802.1x基本配置 本章內(nèi)容 AAA介紹配置AAA RADIUS介紹配置RADIUS 802.1x介紹 802.1x基本配置課程議題 AAA介紹 AAA 是一個提供網(wǎng)絡(luò)訪問控制安全的模型，通常用于用戶登錄設(shè)備或接入網(wǎng)絡(luò)。 AAA（Authentication、Authorization、Accounting，認(rèn)證、授權(quán)、計費(fèi)）提供了對認(rèn)證、授權(quán)和計費(fèi)功能的一致性框架 AAA主要解決的是網(wǎng)絡(luò)安全訪問控制的問題 AAA介紹(續(xù)) Authentication：認(rèn)證模塊可以驗證用戶是否可獲得訪問權(quán)。 Authorization：授權(quán)模塊可以定義用戶可使用哪些服務(wù)或這擁有哪些權(quán)限。 Accounting：計費(fèi)模塊可以記錄用戶使用網(wǎng)絡(luò)資源的情況。 可實現(xiàn)對用戶使用網(wǎng)絡(luò)資源情況的記帳、統(tǒng)計、跟蹤。 AAA介紹(續(xù)) 相對與其他的本地身份認(rèn)證、端口安全等安全策略，AAA能夠提供更高等級的安全保護(hù)。 AAA優(yōu)點：靈活性可控性可擴(kuò)展性可靠性標(biāo)準(zhǔn)化協(xié)議 AAA基本模型 AAA基本模型中分為用戶、NAS、認(rèn)證服務(wù)器三個部分 AAA基本模型(續(xù)) 用戶向NAS設(shè)備發(fā)起連接請求 NAS設(shè)備將用戶的請求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器認(rèn)證服務(wù)器返回認(rèn)證結(jié)果信息給NAS設(shè)備 NAS設(shè)備根據(jù)認(rèn)證服務(wù)器返回的認(rèn)證結(jié)果對用戶采取相應(yīng)認(rèn)證、授權(quán)、計費(fèi)的操作課程議題配置AAA ——Authentication 啟用AAA Router(config)#aaa new-model 配置驗證列表 Router(config)#aaa authentication service { default | list-name } method1 [ method2… ] 驗證列表用于定義對用戶進(jìn)行身份認(rèn)證的多種方法，這樣確保在第一種方法失敗的情況下，可以使用備份驗證方式和備份驗證系統(tǒng)。只有在前一種方法沒有應(yīng)答的情況下，NAS設(shè)備才會嘗試下一種方法如果在驗證列表中的最后一種認(rèn)證方式而還沒有成功，則身份認(rèn)證宣告失敗配置AAA ——Authentication 參數(shù)service表示針對哪種接入方式行為進(jìn)行認(rèn)證，可以選擇的方式為： dot1x：對802.1x的接入行為進(jìn)行認(rèn)證。 enable：對enable（進(jìn)入特權(quán)模式）行為進(jìn)行認(rèn)證。 login：對登錄本地的行為進(jìn)行認(rèn)證。 ppp：對PPP接入進(jìn)行認(rèn)證。配置AAA ——Authentication 參數(shù)method表示此驗證列表中使用的認(rèn)證方式，認(rèn)證方法可以有以下幾種方式： group radius：使用所有的RADIUS服務(wù)器進(jìn)行驗證 group group-name：使用RADIUS服務(wù)器組中的服務(wù)器進(jìn)行驗證 local：使用本地用戶數(shù)據(jù)庫進(jìn)行驗證。當(dāng)配置local參數(shù)使用本地用戶數(shù)據(jù)庫進(jìn)行驗證時，需要使用username username password password命令預(yù)先在本地創(chuàng)建用戶 None：不驗證。此參數(shù)可以作為最后的備用驗證方式，如果由于網(wǎng)絡(luò)或設(shè)備故障導(dǎo)致無法正常的進(jìn)行驗證時，在驗證列表的最后一步可以使用none不對用戶進(jìn)行驗證配置AAA——Authentication 應(yīng)用驗證列表 Router(config-line)#login authentication { default | list-name } 將驗證列表應(yīng)用到PPP接口： Router(config-if)#ppp authentication { default | list-name } Authentication配置示例配置AAA——Authorization 配置授權(quán)列表： Router(config)#aaa authorization network { default | list-name } method 1 [ method 2...] network：對網(wǎng)絡(luò)訪問進(jìn)行授權(quán)，例如PPP、SLIP、Ethernet。 default：默認(rèn)授權(quán)列表。默認(rèn)情況下，默認(rèn)的授權(quán)列表default將應(yīng)用于所有接口和線路。 list-name：定義授權(quán)列表的名稱，后續(xù)將指定的授權(quán)列表應(yīng)用于具體的接口、線路時將引用此名稱。 method：定義授權(quán)方法，授權(quán)方法包括group radius、local和none。將授權(quán)列表應(yīng)用到PPP接口： Router(config-if)#ppp authorization { default | list-name } 配置AAA——配置Accounting 配置計費(fèi)列表： Router(config)#aaa accounting network { default | list-name } start-stop method 1 [method 2…] network：對網(wǎng)絡(luò)應(yīng)用進(jìn)行計費(fèi)，例如PPP、SLIP、Ethernet。 default：默認(rèn)計費(fèi)列表。默認(rèn)情況下，默認(rèn)的計費(fèi)列表default將應(yīng)用于所有接口和線路。 stard-stop：網(wǎng)絡(luò)訪問服務(wù)器在用戶開始和結(jié)束訪問網(wǎng)絡(luò)的時候向RADIUS服務(wù)器發(fā)送計費(fèi)信息； list-name：定義計費(fèi)列表的名稱。后續(xù)將指定的計費(fèi)列表應(yīng)用于具體的接口、線路時將引用此名稱。 method：定義計費(fèi)方法，計費(fèi)方法包括group radius、group group-name。將計費(fèi)列表應(yīng)用到PPP接口： Router(config-if)#ppp accounting { default | list-name } 課程議題 Radius協(xié)議概述 RADIUS ( Remote Authentication Dial In User Service 遠(yuǎn)程認(rèn)證撥號用戶服務(wù) )是在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間進(jìn)行認(rèn)證授權(quán)計費(fèi)和配置信息的協(xié)議 Radius協(xié)議模型 Radius協(xié)議模型 RADIUS協(xié)議特點 RADIUS協(xié)議特點客戶/服務(wù)器模型：網(wǎng)絡(luò)接入設(shè)備（NAS）通常作為RADIUS服務(wù)器的客戶端。安全性：RADIUS服務(wù)器與NAS之間使用共享密鑰對敏感信息進(jìn)行加密，該密鑰不會在網(wǎng)絡(luò)上傳輸�？蓴U(kuò)展的協(xié)議設(shè)計：RADIUS使用屬性-長度-值（AVP，Attribute-Length-Value）數(shù)據(jù)封裝格式，用戶可以自定義其他的私有屬性，擴(kuò)展RADIUS的應(yīng)用。靈活的鑒別機(jī)制：RADIUS服務(wù)器支持多種方式對用戶進(jìn)行認(rèn)證，支持PAP、CHAP、UNIX login等多種認(rèn)證方式。 RADIUS認(rèn)證過程 RADIUS授權(quán)過程 RADIUS計費(fèi)過程課程議題配置RADIUS 配置RADIUS服務(wù)器 Router(config)#radius-server host ip-address [ auth-port port | acct-port port ]* ip-address表示遠(yuǎn)程RADIUS服務(wù)器的IP地址。 auth-port參數(shù)表示配置RADIUS服務(wù)器的認(rèn)證和授權(quán)端口號，默認(rèn)情況下RADIUS服務(wù)器的認(rèn)證和授權(quán)端口號為UDP 1812；acct-port參數(shù)表示配置RADIUS服務(wù)器的計費(fèi)端口號，默認(rèn)情況下RADIUS服務(wù)器的計費(fèi)端口號為UDP 1813。 以使用此命令添加多個RADIUS服務(wù)器，當(dāng)一個RADIUS服務(wù)器不可用時將使用下一個配置的RADIUS服務(wù)器，NAS將按照配置的順序進(jìn)行查找。 配置RADIUS 配置RADIUS服務(wù)器認(rèn)證密鑰 Router(config)#radius-server host key { 0 string | 7 string | string } 配置服務(wù)器組 Router(config)#aaa group server radius group-name 將RADIUS服務(wù)器加入到服務(wù)器組中： Router(config-gs-radius)#radius-server host ip-address [ auth-port port | acct-port port ]* RADIUS高級配置配置RADIUS超時時間 Router(config)#radius-server timeout seconds 配置RADIUS重傳次數(shù) Router(config)#radius-server retransmit retries 配置RADIUS服務(wù)器的死亡時間 Router(config)#radius-server deadtime minutes 配置發(fā)送請求的源接口 Router(config)#ip radius source-interface interface AAA及RADIUS配置示例 在上圖所示的拓?fù)渲�，需要對遠(yuǎn)程登錄到NAS設(shè)備上的用戶進(jìn)行AAA認(rèn)證。認(rèn)證方法首先使用RADIUS進(jìn)行驗證，如果RADIUS無法訪問，則進(jìn)行本地驗證。 AAA及RADIUS配置示例(續(xù)) 課程議題 802.1x概述 802.1x認(rèn)證體系 802.1x認(rèn)證組件 802.1x認(rèn)證組件(續(xù)) 802.1x認(rèn)證組件(續(xù)) EAP與EAPoL 802.1x工作機(jī)制 802.1x認(rèn)證模式 EAP中繼模式 EAP中繼模式認(rèn)證過程 EAP終結(jié)模式 EAP終結(jié)模式認(rèn)證過程 EAPoL數(shù)據(jù)包格式 EAP數(shù)據(jù)包格式 802.1x定時器 802.1x定時器（續(xù)）課程議題 802.1x基本配置配置AAA及RADIUS 配置AAA及RADIUS（續(xù)）啟用802.1x 802.1x基本配置示例 802.1x認(rèn)證典型配置示例課程回顧HkP紅軟基地