欢迎来到天天文库
浏览记录
ID:38251719
大小:20.92 KB
页数:9页
时间:2019-06-06
《CISCO交换机配置AAA》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、CISCO交换机配置AAA、802.1X以及VACL(转)一启用AAA、禁用Telnet以及启用ssh1.启用aaa身份验证,以进行SSH访问:Switch#conftSwitch(config)#aaanew-model2.配置主机名Switch(config)#hostnamesw13.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机sw1(config)#usernameciscopasswordcisco4.配置SSHsw1(config)#ipdomain-namecisco.comsw1(config)#crypto
2、keygeneratersa5.配置交换机,使得只能通过SSH以带内方式访问交换机sw1(config)#linevty015sw1(config-line)#transportinputsshsw1(config-line)#exitsw1(config)#exit二配置vty的aaa身份验证方式,首先使用radius服务器,如果服务器不可用,使用本地用户名口令数据库sw1(config)#aaaauthenticationloginTESTgroupradiuslinesw1(config)#linevty015sw1(config-
3、line)#loginauthenticationTESTsw1(config-line)#exit三在接口上配置802.1x1.为radius身份验证启用802.1xsw1(config)#aaaauthenticationdot1xdefaultgroupradius2.全局启用802.1xsw1(config)#dot1xsystem-auth-control3.在接口上配置802.1xsw1(config)#intrangefa0/2-10sw1(config-if-range)#swtichportaccessvlan10sw1
4、(config-if-range)#dot1xport-controlauto四配置vacl以丢弃所有通过tcp端口8889进入的桢1.配置一个acl,以判断数据包是否通过tcp端口8889进入:sw1(config)#access-list100permittcpanyanyeq88892.配置vlan访问映射表:sw1(config)#vlanaccess-mapDROP_WORM100sw1(config-access-map)#matchipaddress100sw1(config-access-map)#actiondropsw
5、1(config-access-map)#exit3.将vlan访问表应用于合适的vlansw1(config)#vlanfilterDROP_WORMvlan10-20802.1x工程笔记在某网络测试时,工作笔记。一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-BasedAccessControl)而
6、定义的一个标准。1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(ExtensibleAuthenticationProtocoloverLAN)通过。
7、二、802.1X的认证体系分为三部分结构:SupplicantSystem,客户端(PC/网络设备)AuthenticatorSystem,认证系统AuthenticationServerSystem,认证服务器三、认证过程1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通
8、过任何报文,注意只有认证通过后才有DHCP等过程。4、SupplicantSystem-Client(客户端)是—需要接入LAN,及享受switch提供服务的设备(如PC机),客户端需要支持E
此文档下载收益归作者所有