資源描述:
《CISCO交換機(jī)配置AAA》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、CISCO交換機(jī)配置AAA����、802.1X以及VACL(轉(zhuǎn))一啟用AAA、禁用Telnet以及啟用ssh1.啟用aaa身份驗(yàn)證,以進(jìn)行SSH訪問:Switch#conftSwitch(config)#aaanew-model2.配置主機(jī)名Switch(config)#hostnamesw13.配置本地用戶名口令�,以便在帶外服務(wù)器不可用時能夠訪問交換機(jī)sw1(config)#usernameciscopasswordcisco4.配置SSHsw1(config)#ipdomain-namecisco.comsw1(config)#crypto
2、keygeneratersa5.配置交換機(jī)�����,使得只能通過SSH以帶內(nèi)方式訪問交換機(jī)sw1(config)#linevty015sw1(config-line)#transportinputsshsw1(config-line)#exitsw1(config)#exit二配置vty的aaa身份驗(yàn)證方式�����,首先使用radius服務(wù)器����,如果服務(wù)器不可用,使用本地用戶名口令數(shù)據(jù)庫sw1(config)#aaaauthenticationloginTESTgroupradiuslinesw1(config)#linevty015sw1(config-
3�����、line)#loginauthenticationTESTsw1(config-line)#exit三在接口上配置802.1x1.為radius身份驗(yàn)證啟用802.1xsw1(config)#aaaauthenticationdot1xdefaultgroupradius2.全局啟用802.1xsw1(config)#dot1xsystem-auth-control3.在接口上配置802.1xsw1(config)#intrangefa0/2-10sw1(config-if-range)#swtichportaccessvlan10sw1
4�����、(config-if-range)#dot1xport-controlauto四配置vacl以丟棄所有通過tcp端口8889進(jìn)入的楨1.配置一個acl�����,以判斷數(shù)據(jù)包是否通過tcp端口8889進(jìn)入:sw1(config)#access-list100permittcpanyanyeq88892.配置vlan訪問映射表:sw1(config)#vlanaccess-mapDROP_WORM100sw1(config-access-map)#matchipaddress100sw1(config-access-map)#actiondropsw
5、1(config-access-map)#exit3.將vlan訪問表應(yīng)用于合適的vlansw1(config)#vlanfilterDROP_WORMvlan10-20802.1x工程筆記在某網(wǎng)絡(luò)測試時���,工作筆記��。一��、802.1x協(xié)議起源于802.11協(xié)議���,后者是標(biāo)準(zhǔn)的無線局域網(wǎng)協(xié)議,802.1x協(xié)議的主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題?���,F(xiàn)在已經(jīng)開始被應(yīng)用于一般的有線LAN的接入����。為了對端口加以控制,以實(shí)現(xiàn)用戶級的接入控制��。802.1x就是IEEE為了解決基于端口的接入控制(Port-BasedAccessControl)而
6����、定義的一個標(biāo)準(zhǔn)。1����、802.1X首先是一個認(rèn)證協(xié)議�,是一種對用戶進(jìn)行認(rèn)證的方法和策略�。2、802.1X是基于端口的認(rèn)證策略(這里的端口可以是一個實(shí)實(shí)在在的物理端口也可以是一個就像VLAN一樣的邏輯端口��,對于無線局域網(wǎng)來說個“端口”就是一條信道)3��、802.1X的認(rèn)證的最終目的就是確定一個端口是否可用�����。對于一個端口�����,如果認(rèn)證成功那么就“打開”這個端口����,允許文所有的報文通過;如果認(rèn)證不成功就使這個端口保持“關(guān)閉”����,此時只允許802.1X的認(rèn)證報文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通過。
7�����、二、802.1X的認(rèn)證體系分為三部分結(jié)構(gòu):SupplicantSystem�,客戶端(PC/網(wǎng)絡(luò)設(shè)備)AuthenticatorSystem,認(rèn)證系統(tǒng)AuthenticationServerSystem�,認(rèn)證服務(wù)器三、認(rèn)證過程1��、認(rèn)證通過前��,通道的狀態(tài)為unauthorized�,此時只能通過EAPOL的802.1X認(rèn)證報文;2��、認(rèn)證通過時�,通道的狀態(tài)切換為authorized�,此時從遠(yuǎn)端認(rèn)證服務(wù)器可以傳遞來用戶的信息,比如VLAN����、CAR參數(shù)、優(yōu)先級�����、用戶的訪問控制列表等等;3���、認(rèn)證通過后,用戶的流量就將接受上述參數(shù)的監(jiān)管��,此時該通道可以通
8���、過任何報文��,注意只有認(rèn)證通過后才有DHCP等過程����。4��、SupplicantSystem-Client(客戶端)是—需要接入LAN����,及享受switch提供服務(wù)的設(shè)備(如PC機(jī)),客戶端需要支持E
