AAA服务器实现mac地址绑定客户机实现安全通信 AAA知识简介: AAA 是 Authentication ,Authorization and Accounting (认证、授权和计费)的简 称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架, 它是对网络安全的一种管理。 这里的网络安全主要是指访问控制,包括: 哪些用户可以访问网络服务器? 具有访问权的用户可以得到哪些服务? 如何对正在使用网络资源的用户进行计费? AAA 可完成下列服务: 认证:验证用户是否可获得访问权。 授权:授权用户可使用哪些服务。 计费:记录用户使用网络资源的情况。 AAA 的优点 (1) 灵活易控。 (2) 标准化的认证方法。 (3) 多重备用系统 AAA 的配置过程: AAA 的基本配置包括: 使能 AAA 配置认证、 配置授权、 配置计费。 AAA 的高级配置包括: 配置本地用户数据库、 配置本地ip地址池、 为PPP用户分配ip地址 案例:在vlan中实现在AAA服务器上的客户信息(mac地址)验证。 实验器材:虚拟机windows server 2003服务器、一台华为三层交换机S2000、一台华为路由器R2621。 拓扑图如下:
实验步骤: 先在windows server 2003 配置AAA服务器,并且用交换机的mac地址新建用户。
还要建立一个作用域:
接着是三层交换机配置: [Quidway]int Vlan-interface 1 #进入vlan 1 添加ip# [Quidway-Vlan-interface1]ip add 192.168.30.10 ? INTEGER<0-32> IP mask length X.X.X.X IP mask
[Quidway-Vlan-interface1]ip add 192.168.30.10 24 [Quidway-Vlan-interface1]ping 192.168.30.201 ping 192.168.30.201 #现在pingAAA服务器,可以通信# PING 192.168.30.201: 56 data bytes, press CTRL_C to break Reply from 192.168.30.201: bytes=56 Sequence=1 ttl=128 time=21 ms Reply from 192.168.30.201: bytes=56 Sequence=2 ttl=128 time=4 ms Reply from 192.168.30.201: bytes=56 Sequence=3 ttl=128 time=4 ms Reply from 192.168.30.201: bytes=56 Sequence=4 ttl=128 time=4 ms Reply from 192.168.30.201: bytes=56 Sequence=5 ttl=128 time=4 ms
--- 192.168.30.201 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 4/7/21 ms [Quidway]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen #设置认证方式# [Quidway]int e1/0/24 [Quidway-Ethernet1/0/24]mac-authentication #设置24端口为mac验证端口# [Quidway]radius scheme xxx [Quidway-radius-xxx]key authentication 123456 #设置验证密码为123456# [Quidway-radius-xxx]acc [Quidway-radius-xxx]accounting op [Quidway-radius-xxx]accounting optional [Quidway-radius-xxx]ser [Quidway-radius-xxx]server-type stan [Quidway-radius-xxx]server-type standard #设置授权客户服务方式为一般的服务方式# [Quidway-radius-xxx]user-name-format without-domain #不做user-name-format验证# [Quidway]domain system [Quidway-isp-system]radius- [Quidway-isp-system]radius-scheme xxx #为使用Radius服务器创建授权方式列表xxx# [Quidway-isp-system]acc [Quidway-isp-system]access-limiten [Quidway-isp-system]access-limit ena [Quidway-isp-system]access-limit enable 10 #在这里我们可以限制同时验证用户的数量# [Quidway-isp-system]accounting optional #计费方式无设置但必须指明计费方式# [Quidway-isp-system]q [Quidway]
24口的具体配置: [Quidway]dis mac-authentication int e1/0/24 #查看在24端口设置的mac认证的信息# Ethernet1/0/24 is link-down MAC address authentication is Enabled Authenticate success: 0, failed: 1 Current online user number is 0 MAC ADDR Authenticate state AuthIndex 再用一个路由器做验证机器: 只配置一个ip:[R3-Ethernet0]ip add 192.168.30.2 24 Ping交换机上的ip。利用虚拟机上的AAA服务实现mac地址验证。 [R3-Ethernet0]ping 192.168.30.10 PING 192.168.30.10: 56 data bytes, press CTRL_C to break Reply from 192.168.30.10: bytes=56 Sequence=0 ttl=255 time = 1 ms Reply from 192.168.30.10: bytes=56 Sequence=1 ttl=255 time = 1 ms Reply from 192.168.30.10: bytes=56 Sequence=2 ttl=255 time = 1 ms Reply from 192.168.30.10: bytes=56 Sequence=3 ttl=255 time = 1 ms Reply from 192.168.30.10: bytes=56 Sequence=4 ttl=255 time = 1 ms
--- 192.168.30.10 ping statistics --- 5 packets transmitted 5 packets received 0.00% packet loss round-trip min/avg/max = 1/1/1 ms IAS验证就成功了,实现了mac绑定的安全通信。
|