网络设备安装和 与调试-任务4 AAA和802.1X.pptVIP

任务4 AAA和802.1X  【任务描述】 某技工学校可以通过Telnet、SSH、Web和CONSOLE口等方式登录交换机、路由器，获得普通或者特权模式的访问权限。在网络设备众多、对网络安全要求较高的校园网中，仅仅使用交换机本地数据库的账号、密码认证功能已经满足不了用户的要求，往往希望能够采用集中、多重的认证方式，这样也能在提高安全度的前提下减轻网络管理的负担，RADIUS服务就是其中之一。小东是学校网络中心的网络管理员，应该怎样配置来实现这一目标呢？ 本任务的目标是通过配置AAA服务器，掌握AAA和RADIUS相关知识，实现校园网络的统一认证，提高安全度。 【预备知识】 1．AAA AAA是一个提供网络访问控制安全的模型，AAA提供了对认证、授权和计费功能的一致性框架。AAA以模块方式提供了对认证、授权和计费（审计）3项服务。 ① 认证模块用于验证用户是否可以访问网络。 ② 授权模块用于明确用户可以使用哪些服务或拥有哪些权限。授权通过定义一系列描述用户被授权执行的操作的属性对来实现。属性对可存放在网络设备上，也可存放在RADIUS服务器上。 ③ 计费模块用于记录用户使用网络资源的情况。计费记录存放在RADIUS服务器上，以实现对用户使用网络资源情况的统计、跟踪和记账。 1．AAA AAA基本模型如图5-12所示。 在这个模型中，当用户需要接入到网络时，会向NAS（网络接入服务器，可以是一台服务器、路由器或交换机）发起连接请求。NAS接收到用户请求后，将用户请求发送给认证服务器（一般是RADIUS服务器）。认证服务器判断用户是否合法（接受ACCEPT或拒绝REJECT）后，将相应信息发给NAS，NAS对用户采取相应的措施。 2．RADIUS RADIUS（远程认证拨号用户服务）是一种分布式的客户端/服务器（Client/Server）系统，与AAA结合对试图连接到网络的用户进行身份认证，防止未经授权的访问。RADIUS是目前应用最广泛的安全服务器，UNIX、Windows 2003等都将RADIUS服务作为一个组件安装。 NAS通常作为RADIUS服务器的客户端，RADIUS服务器与网络接入设备之间的信息交换是基于UDP协议的。 2．RADIUS RADIUS服务模型通常由RADIUS服务器、客户端（NAS）和认证客户端三部分组成。服务模型如图5-13所示。 在这个模型中，NAS作为RADIUS服务器的客户端，认证客户端则作为NAS的客户端。当认证客户端需要连接网络时，NAS决定对用户采用什么验证方法，如CHAP。用户以明文方式将用户名和密码传输给NAS，NAS将认证客户端的认证信息发送给RADIUS服务器，由RADIUS服务器根据数据库的记录返回认证结果。 3．802.1X IEEE 802.1x标准定义了一个客户端/服务器（Client/Server）的体系结构来防止未经授权的设备接入到局域网中。802.1x体系结构包括恳求者系统（支持802.1X认证的用户终端设备，如安装了802.1x客户端软件的计算机）、认证系统（支持802.1X的网络设备，如无线AP、交换机等）和认证服务器系统（提供认证服务的实体，一般为RADIUS服务器）三个组件。 3．802.1X 802.1X认证使用EAP协议，在恳求者与认证服务器之间交互身份认证信息，其工作机制如图5-15所示。 3．802.1X 在接入层的交换机上启用802.1X认证，可以防止非法客户端接入到网络中，如图5-16所示。 在汇集层的交换机的下行端口上（连接到接入层交换机的端口）启用802.1X认证，可以防止非法客户端访问网络中其他区域的资源，如图5-17所示。 4．AAA配置命令 命令格式 解释 配置模式 aaa new-model 启用AAA，默认情况AAA为禁用状态 全局配置模式 aaa authentication service {default| list-name} method 配置验证列表 service表示针对哪种接入方式进行认证 ①dot1x:对802.1X的接入行为进行认证 ②enable:对进入特权模式行为进行认证 ③login:对登录本地的行为进行认证 ④PPP:对PPP接入进行认证 default表示配置默认的验证列表 list-name:定义验证列表的名称 method表示验证列表中使用的认证方式 ①group radius:使用所有的radius服务器进行验证 ②group group-name:使用radius服务器组中的服务器进行验证 ③local:使用本地用户数据库进行验证 ④none:不验证 4．AAA配置命令 命令格式 解释 配置模式 aaa a