第5章 交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介.

Slides:



Advertisements
Similar presentations
南投縣教育網路專案 建置說明 2016/7/11 D-Link Taiwan 台中技術支援課 工程師 林俊佑 #23 Version 1.03.
Advertisements

学年度工作总结 —— 上海建桥学院 —— 上海建桥学院 实验室与资产管理处 实验室与资产管理处.
面向侧面的程序设计 方林博士 本文下载地址:
NAT与ICMP交互.
联系电话: 联 系 人:李爱玲 中国人文社会科学文献(CASHL)传递 联系电话: 联 系 人:李爱玲
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
基于工作过程的网页设计与网站开发教程 英语等级考试专题学习网站发布测试 主编:张洪斌 刘万辉 机械工业出版社.
Chapter6 無線區域網路商業應用 姓名 : 洪嘉蓬 駱俊霖 學號 : N N
实验八 配置动态路由-OSPF协议.
任务十 在思科路由网络中使用IGRP和EIGRP动态路由协议
第17章 实现路由器.
项目四 组建跨地区网络 授课教师:肖颖.
北京汉邦高科数字技术股份有限公司 2015年年报交流.
在PHP和MYSQL中实现完美的中文显示
第 6 章 IP 遶送.
指導教授:陳偉業 老師 碩專資管二甲 N 林士淵 富強鑫公司 資訊工程師 2006/12/23
格物资讯开放ICON库 V1R1.
交换 Cisco三层模型 交换机基本配置 VLAN VTP.
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
K/3 Cloud云之家集成 K/3 Cloud 基础系统部.
Windows Server 2008 NAP整合802.1x網路安全控管
第二讲 搭建Java Web开发环境 主讲人:孙娜
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
存储系统.
安徽邮电职业技术学院计算机系 赵正红 2009/2010学年第一学期
WLAN 技术基础介绍.
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
SVN服务器的搭建(Windows) 柳峰
SQL Injection.
第六章 防火墙用户管理.
网络常用常用命令 课件制作人:谢希仁.
华为—E8372h- 155 外观设计 产品类型:数据卡 建议零售价格:299元 上市时间:2017年6月7日 目标人群:大众
实用组网技术 第一章 网络基础知识.
PostgreSQL 8.3 安装要点 四川大学计算机学院 段 磊
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
AC500 调试总结 以太网通讯配置 lizhenfei.
第十章 IDL访问数据库 10.1 数据库与数据库访问 1、数据库 数据库中数据的组织由低到高分为四级:字段、记录、表、数据库四种。
格物资讯开放ICON库 V0R2.
厂商—型号 海尔-PAD002 外观设计 建议零售价格:2999元 上市时间:2011年3月 目标人群:有移动互联需求的商务人士
第二章 防火墙基础技术.
ENS 10.1安装配置指南 王俊涛 | SE.
Get Started 1. Use USB cable or power adapter to power on the WisCore board. Make sure the power LED is on. Also, the WLED is flash. 2. Please download.
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
SOA – Experiment 2: Query Classification Web Service
新一代安全网上银行 小组成员:杨志明 王晶 任毅 刘建中 关昊 刘超.
厂商—型号 荣耀-HiRouter-H1 外观设计 产品类型:无线路由器 建议零售价格:149元 上市时间:2017 年 5月
校园无线局域网的使用 校园无线局域网建设情况汇报.
個人電腦與網路 1.個人電腦IP設定 自動取得IP與固定IP IP登錄系統與IP自動分配系統 固定IP申請 IP衝突處理
计算机组装、维修及 实训教程 第17章 微机软件的安装与设置 2019年4月11日星期四.
第四章 团队音乐会序幕: 团队协作平台的快速创建
DQMClientDim.cxx及双光子练习
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
期未報告:公眾無線網路的架構,比較 通訊所 鍾國麟 主要的內容還是S.Y.
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
SAGE-移动终端授权 ----校外访问SAGE资源 北京办公室 1.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
主要内容: 活动目录的基本知识 活动目录的安装 构造域帐户 安全策略的设置 设置共享文件夹 安装网络打印机
谢聪.
郑 昀 应用开发事业部 神州泰岳 SIP多方会话消息 之实例讲解 郑 昀 应用开发事业部 神州泰岳
华为—HUAWEI EC19 9 建议零售价格:299元 上市时间:2012年4月18日 目标人群:移动办公用户;其它有移动上网需求的用户
格物资讯ICON发布 V0R3.
基于列存储的RDF数据管理 朱敏
网络技术实训 第8讲:NAT防火墙设计讨论 许成刚 信息技术学院
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
单路无线视频服务器 快速安装手册 1、接口说明 2、安装连接 3、软件下载 软件安装
实验六静态路由.
四路视频编码器 快速安装手册 1、接口说明 2、安装连接 3、软件下载 4、注意事项 编码器软件下载地址
Presentation transcript:

第5章 交换机端口安全及认证 5.1 交换机端口安全及配置 5.2 在三层交换机上配置访问控制列表ACL 5.3 交换机端口安全认证简介

5.3 交换机端口安全认证简介 5.3.1 AAA 5.3.2 IEEE802.1X

5.3.1 AAA AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。具体为: 验证(Authentication): 验证用户是否可以获得访问权限; 授权(Authorization) : 授权用户可以使用哪些服务; 记账(Accounting) : 记录用户使用网络资源的情况。

1.AAA的体系结构 NAS 远程PC 认证服务器 RADIUS服务器 TACACS+服务器 工作站 请求者 认证者

AAA配置 1、开启AAA: 使用下列命令可以开启AAA,要禁用AAA,使用no aaa new-model。 NAS(config)#aaa new-model 注意:除非已经策划好了AAA环境,否则不要启动AAA。因为启动了AAA会对接入交换机或路由器等NAS的Telnet客户进行AAA强制认证。这时,除了访问控制台外不能通过任何方式访问NAS。

2、配置AAA认证服务器 (1)配置TACACS+服务器地址和共享密钥: 如果TACACS+服务器的IP地址为192.168.0.11,共享密码为tpass,则配置命令如下: NAS(config)#tacacs-server host 192.168.0.11 tacacs-server key tpass NAS#show tacacs (2)配置RADIUS服务器地址和共享密钥: 同理,如果RADIUS服务器的IP地址为192.168.0.22,共享密码为rtpass,则配置命令如下: NAS(config)#radius -server host 192.168.0.22 NAS(config)#radius -server key rpass NAS#show radius

2、配置AAA认证服务器 (3)配置本地用户及密钥 如果即没有TACACS+服务器,也没有RADIUS服务器。那么只有在NAS上配置本地用户进行验证了。但其功能比较简单,只有认证功能,没有授权及统计功能。配置命令如下: NAS(config)#username name secret password //配置密码为加密的普通本地用户 NAS(config)#username name privilege level password password //配置具有特权级别的用户。 如:NAS(config)#username lzg privilege 14 password teacher

3、配置AAA验证方式 4、配置AAA授权 5、配置AAA统计 AAA验证可以应用在经由PPP的客户连接、访问线路或进入特权模式。其命令格式为 NAS(config)#aaa authentication type {default}|list-name method1 {…[method4]} 4、配置AAA授权 AAA授权限制用户可以使用的服务权限。其命令格式为: NAS(config)#aaa authorization type {default}|list-name method1 {…[method4]} 5、配置AAA统计 与验证和授权类似,统计的方法列表定义了如何执行统计以及执行这些方法的顺序。其命令格式如下: NAS(config)#aaa accounting type {{default}|list-name} record-type method1 {…[method4]}

5.4.2 IEEE802.1X 1.IEEE802.1X功能 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

2.IEEE802.1体系结构 与AAA系统体系结构类似,IEEE802.1的体系结构也包括如下图所示的3部分: 请求者 802.1x客户 认证服务器 RADIUS 认证者 交换机或AP

2.IEEE802.1体系结构 系统体系结构: 请求者:被认证的用户/设备。它请求访问LAN和交换机服务。请求者必须运行遵从802.1x的客户软件,如在XP以上的Windows操作系统中的软件; 认证者:对接入的用户/设备进行认证的设备或设备端口。它一般为支持RADIUS客户和802.1软件的交换机或无线接入点AP; 认证服务器:根据认证者的信息,对请求访问网络资源的用户/设备进行实际认证功能的设备。它一般是一个或多个RADIUS服务器。如果认证者采用本地认证,则认证服务器可以省略 。

3.IEEE802.1x工作过程 (1)当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机或AP,开始启动一次认证过程。 (2)交换机或AP收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。 (3)客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。如果是采用RADIUS认证服务器认证,交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。如果采用本地认证,交换机或AP查询自己的用户数据库进行认证处理。

(4)认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。 (5)客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。 (6)认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。

4.IEEE802.1x配置 全局配置命令如下: aaa authentication dot1x default method1 [method2] 验证方法method1至method2为按顺序执行的验证方法,只有前一个方法返回ERROR才进行下一种方法的验证。因此为了最后能够访问设备,一般选择none为最终验证方法。常用的验证方法有: Local:本地验证,在交换机或AP本地建立用户数据库进行认证。如果是唯一认证验证方法或与none相结合,则可以省略RADIUS服务器; Group radius:采用RADIUS服务器验证,也是最常用、最适合大型网络使用的验证方法。在开启802.1X认证之前,一定要部署好RADIUS服务器,并且在交换机或AP上设置好RADIUS服务器的IP地址; None:不验证。如果没有部署RADIUS服务器或本地建立用户数据库,则可以采用该方法开启802.1X认证。也可以作为第2种验证方法以保证用户能够接入交换机,但已经达不到802.1X的验证功能了;

4.IEEE802.1x配置 实例:下面在三层交换机3550-1上的所有端口配置IEEE802.1X。AAA认证所使用的为本地用户名和密码。 3550-1#configure terminal 3550-1(config)#aaa new-model /启用AAA认证。 3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。 3550-1(config)#int range f0/1 -24 3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。 3550-1#show dot1x /显示802.1配置信息