AAA服务器应用（一）――802.1X认证

802.1X 协议是二层的一个协议，其主要作用就是对交换机端口进行验证，只有通过的身份难的用户才可以访问局域网内部的资源；

 

默认情况下，当我们的交换网络搭建好了以后，有人用自己的移动计算机插入到交换机的某个接口上，便可以自由访问我们局域网内的资源；为了保护我们局域网内部资源的安全，这时我们可以通过应用 802.1X 认证协议对交换机端口进行身份认证，只有通过认证的用户才可以访问局域网的资源

 

交换机端口的状态

       1 、未授权状态，只能传送 EAPOLY 、 CDP 、 STP 的数据

       2 、授权状态，通过认证、授权以后可以传送所有数据流量

 

802.1X 认证的角色

       1 、客户端

       2 、交换机

       3 、认证服务器（安装 ACS 软件）

认证服务器通过 AAA （ authentication  authorization  accounting ）服务器的方式来搭建

       4 、安装 ACS 软件的注意事项           

              （ 1 ）服务器要和交换机可以 PING 通

              （ 2 ）服务器要有 JAVA 的支持

              （ 3 ） IE 浏览器要版本 6.0 以上

 

搭建 AAA 服务器可以使用 RADIUS 和 TACACS+ 协议，二者的区别如下：

1、  RADIUS 是公有的协议，而 TACACS+ 是私有的协议

2、  RADIUS 协议的认证和授权端口为 UDP 协议的 1645 或者 1812 ，统计端口为 1813 或者 1646 端口； TACACS+ 协议使用的是 TCP 协议的 49 端口

3、  TACACS+ 比 RADIUS 协议安全

 

配置交换机时，端口可以指定的认证类型：

       1 、 force-authorized （强制授权状态）

       2 、 force-unauthorized （强制非授权状态）

       3 、 auto （自动模式）

 

在交换机上配置 802.1X 认证

       /* 开启 AAA 服务 */

       Aaa new-module

          Radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key cisco

              Exit

 

       /*802.1X 认证 */

       Aaa authentication dot1x default group radius

       Radius-server vsa send authentication

       Aaa authorization dot1x default group radius

 

       /* 全局模式下开启 802.1X 认证 */      

       Dot1x system-auth-control

       Interface f0/1

       Switchport mode access

       Dot1x port-control auto