AAA服务器应用(一)――802.1X认证

802.1X 协议是二层的一个协议,其主要作用就是对交换机端口进行验证,只有通过的身份难的用户才可以访问局域网内部的资源;
 
默认情况下,当我们的交换网络搭建好了以后,有人用自己的移动计算机插入到交换机的某个接口上,便可以自由访问我们局域网内的资源;为了保护我们局域网内部资源的安全,这时我们可以通过应用 802.1X 认证协议对交换机端口进行身份认证,只有通过认证的用户才可以访问局域网的资源
 
交换机端口的状态
       1 、未授权状态,只能传送 EAPOLY CDP STP 的数据
       2 、授权状态,通过认证、授权以后可以传送所有数据流量
 
802.1X 认证的角色
       1 、客户端
       2 、交换机
       3 、认证服务器(安装 ACS 软件)
认证服务器通过 AAA authentication  authorization  accounting )服务器的方式来搭建
       4 、安装 ACS 软件的注意事项           
              1 )服务器要和交换机可以 PING
              2 )服务器要有 JAVA 的支持
              3 IE 浏览器要版本 6.0 以上
 
搭建 AAA 服务器可以使用 RADIUS TACACS+ 协议,二者的区别如下:
1、  RADIUS 是公有的协议,而 TACACS+ 是私有的协议
2、  RADIUS 协议的认证和授权端口为 UDP 协议的 1645 或者 1812 ,统计端口为 1813 或者 1646 端口; TACACS+ 协议使用的是 TCP 协议的 49 端口
3、  TACACS+ RADIUS 协议安全
 
配置交换机时,端口可以指定的认证类型:
       1 force-authorized (强制授权状态)
       2 force-unauthorized (强制非授权状态)
       3 auto (自动模式)
 
在交换机上配置 802.1X 认证
       /* 开启 AAA 服务 */
       Aaa new-module
          Radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key cisco
              Exit
 
       /*802.1X 认证 */
       Aaa authentication dot1x default group radius
       Radius-server vsa send authentication
       Aaa authorization dot1x default group radius
 
       /* 全局模式下开启 802.1X 认证 */      
       Dot1x system-auth-control
       Interface f0/1
       Switchport mode access
       Dot1x port-control auto
 
 
 
 
 

你可能感兴趣的:(职场,休闲)