身份認證是計算機系統的使用者在進入系統或通路不同保護級别的系統資源時,系統确認該使用者的身份是否真實、合法和唯一的過程。使用身份認證的主要目的是防止非授權使用者進入系統,同時防止非授權使用者通過非正常操作通路受控資訊或惡意破壞系統資料的完整性。近年來,越來越多的機關通過身份認證系統加密使用者對網絡資源的通路,在衆多的解決方案中,Radius認證系統的使用最為廣泛。在大量的企業、政府機關、高校,通過Radius認證系統,實作對使用者網絡通路身份的認證,以決定某一使用者是否具有上網權限,并記錄相關的資訊 。
安全技術1: dot1x 與radius的 AAA伺服器,
【實驗目的】
①防火牆的單臂路由實作多Vlan間通信。
②利用防火牆的DHCP中繼實作多Vlan動态獲得位址。
③使用者通過AAA認證,通路外網。
④遠端帶内管理(Telnet)各裝置,需要AAA驗證。
【拓撲規劃】
配置指令
交換機配置
[Quidway]dis cu
#
sysname Quidway
super password level 3 simple 123456
local-server nas-ip 192.168.30.151 key 123456
domain default enable ty
dot1x
dot1x authentication-method pap
radius scheme system
radius scheme xxx
server-type standard
primary authentication 192.168.30.151
accounting optional
key authentication 123456
user-name-format without-domain
domain system
domain ty
scheme radius-scheme xxx
access-limit enable 10
vlan 1
vlan 10
vlan 20
vlan 30
interface Vlan-interface1
ip address 192.168.1.1 255.255.255.0
interface Aux1/0/0
interface Ethernet1/0/1
port access vlan 10
interface Ethernet1/0/2
port access vlan 20
interface Ethernet1/0/3
port access vlan 30
interface Ethernet1/0/4
port link-type trunk
port trunk permit vlan all
interface Ethernet1/0/5
#
interface Ethernet1/0/6
interface NULL0
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 preference 60
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
return
防火牆配置
%Aug 12 18:10:37:367 2013 H3C SHELL/4/LOGIN: Console login from con0
sys
System View: return to User View with Ctrl+Z.
[H3C]dis cu
sysname H3C
firewall packet-filter enable
firewall packet-filter default permit
undo insulate
firewall statistic system enable
server-type extended
radius scheme ty
scheme radius-scheme ty
authentication local
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!<>
service-type telnet terminal
level 3
service-type ftp
interface Aux0
async mode flow
interface Ethernet0/0
ip address 192.168.1.254 255.255.255.0
dhcp select relay
interface Ethernet0/0.10
ip address 192.168.10.1 255.255.255.0
ip relay address 192.168.30.100
vlan-type dot1q vid 10
interface Ethernet0/0.20
ip address 192.168.20.1 255.255.255.0
vlan-type dot1q vid 20
interface Ethernet0/0.30
ip address 192.168.30.1 255.255.255.0
dhcp select relay
vlan-type dot1q vid 30
interface Ethernet0/4
interface Encrypt1/0
firewall zone local
set priority 100
firewall zone trust
add interface Ethernet0/0
add interface Ethernet0/0.10
add interface Ethernet0/0.20
add interface Ethernet0/0.30
set priority 85
firewall zone untrust
set priority 5
firewall zone DMZ
set priority 50
firewall interzone local trust
firewall interzone local untrust
firewall interzone local DMZ
firewall interzone trust untrust
firewall interzone trust DMZ
firewall interzone DMZ untrust
FTP server enable
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
return
用戶端認證
DHCP動态獲得位址
TELNET界面
安全技術2:對于dot1x下還用一種是基于mac位址的認證:【本地的 和acs的】
本地的
通過在交換機上建立使用者限制通路
基于客戶機mac位址一種認證方式
【實驗拓撲】
客服集位址 12.168.30.1
【實驗配置】
交換機配置指令
MAC-authentication
MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
local-user 00-0c-29-d6-5a-52
password simple 00-0c-29-d6-5a-52
service-type lan-access
ip address 192.168.30.100 255.255.255.0
interface Ethernet1/0/7
interface Ethernet1/0/8
interface Ethernet1/0/9
interface Ethernet1/0/10
interface Ethernet1/0/11
interface Ethernet1/0/12
interface Ethernet1/0/13
interface Ethernet1/0/14
interface Ethernet1/0/15
【實驗驗證】
基于acs的認證
通過在交換機上建立使用者限制通路
通過AAA伺服器建立
dis cu
ip address 192.168.30.10 255.255.255.0
interface Ethernet1/0/16
interface Ethernet1/0/17
interface Ethernet1/0/18
interface Ethernet1/0/19
interface Ethernet1/0/20
interface Ethernet1/0/21
interface Ethernet1/0/22
interface Ethernet1/0/23
interface Ethernet1/0/24
interface NULL0