局域网接入安全认证.ppt

第8章 局域网接入安全认证,主讲人 刘晓辉,本章内容,局域网接入安全认证规划,安装和配置ACS服务器,基于ACS的基本认证,基于ACS的802.1x认证,网络客户端登录,8.1 局域网接入安全认证规划,8.1.1 案例情景,8.1.3 解决方案,8.1.2 项目需求,8.2 安装和配置ACS服务器,8.2.1 安装JAVA虚拟机8.2.2 安装ACS服务器8.2.3 ACS服务器基本配置8.2.4 管理ACS记账信息,8.2.1 安装JAVA虚拟机,8.2.2 安装ACS服务器,8.2.2 安装ACS服务器,8.2.2 安装ACS服务器,8.2.2 安装ACS服务器,8.2.2 安装ACS服务器,8.2.3 ACS服务器基本配置,配置加密算法配置AAA Client自定义授权命令集创建用户组创建用户账户添加管理员账户,配置加密算法,配置AAA Client,自定义授权命令集,自定义授权命令集,自定义授权命令集,创建用户组,创建用户组,创建用户组,创建用户账户,创建用户账户,创建用户账户,创建用户账户,创建用户账户,创建用户账户,创建用户账户,添加管理员账户,8.2.4 管理ACS记账信息,配置日志功能查看日志,配置日志功能,配置日志功能,查看日志,查看日志,8.3 基于ACS的基本认证,8.3.1 配置交换机8.3.2 配置ACS服务器8.3.3 用户登录测试,8.3.1 配置交换机,HJ-3750#configure terminalHJ-3750(config)#aaa new-modelHJ-3750(config)#aaa authentication login default group tacacs+localHJ-3750(config)#aaa authorization exec default group tacacs+local HJ-3750(config)#aaa authorization commands 15 default group tacacs+localHJ-3750(config)#tacacs-server key ciscoHJ-3750(config-if)#endHJ-3750#copy running-config startup-config,8.3.2 配置ACS服务器,8.3.3 用户登录测试,知识链接,表8-1 Cisco Secure ACS的主要优势,知识链接,集中控制用户通过有线或者无线连接登录网络设置每个网络用户的权限记录记账信息，包括安全审查或者用户记账设置每个配置管理员的访问权限和控制指令用于Aironet密钥重设置的虚拟VSA安全的服务器权限和加密通过动态端口分配简化防火墙接入和控制统一的用户AAA服务,基于Windows系统服务器的Cisco Secure ACS服务器适用于如下需求环境：,8.4 基于ACS的802.1x认证,8.4.1 交换机的802.1x认证8.4.2 无线AP的802.1x认证,8.4.1 交换机的802.1x认证,交换机的配置ACS服务器的配置用户计算机配置登录测试,交换机的配置,JR-2960-1#configure terminalJR-2960-1(config)#aaa new-modelJR-2960-1(config)#aaa authentication dot1x default group radius localJR-2960-1(config)#radius-server key ciscoJR-2960-1(config)#dot1x system-auth-controlJR-2960-1(config)#interface fastEthernet 0/6JR-2960-1(config-if)#dot1x port-control autoJR-2960-1(config-if)#dot1x timeout reauth-period 45JR-2960-1(config-if)#endJR-2960-1#show dot1xJR-2960-1#copy running-config startup-config,ACS服务器的配置,ACS服务器的配置,ACS服务器的配置,用户计算机配置,登录测试,8.4.2 无线AP的802.1x认证,无线AP的配置ACS服务器的配置用户计算机配置登录测试,无线AP的配置初始化无线AP,ap#configure terminalap(config)#hostname APAP(config)#interface fastEthernet 0AP(config-if)#ipAP(config-if)#no shutdownAP(config-if)#exitAP(config)#username cisco privilege 15 password ciscoAP(config)#ip http serverAP(config)#ip http authentication localAP(config)#interface dot11Radio 0AP(config-if)#no shutdown,无线AP的配置使用Web方式配置无线AP,ACS服务器的配置,ACS服务器的配置,用户计算机配置,登录测试,知识链接,IEEE 802.1x协议认证三要素,知识链接,802.1x认证过程,8.5 网络客户端登录,8.5.1 配置Windows Vista客户端8.5.2 客户端登录测试,8.4.2 客户端登录测试,习题,1.简述Cisco Secure ACS的主要应用环境。2.Cisco Secure ACS服务器的功能有哪些？3.基于Active Directory的ACS服务器相对于其他方式有哪些优点？4.什么是802.1x身份验证？5.简述802.1x身份验证的实现机制。,实验：借助ACS实现交换机802.1x身份验证,实验目的运用“Cisco ACS+Active Directory”实现802.1x身份验证。实验内容使用Cisco ACS与Windows Server 2008系统的Active Directory相结合，为交换机实现802.1x身份验证。实验步骤1.准备Cisco ACS所需的网络环境，将ACS服务器及其所需的其他成员服务器和客户端连接在交换机上，组成一个子网，并测试彼此之间的连通性。2.部署ACS服务器。3.在域控制器上创建用于测试的用户账户和组。4.建立ACS服务器和域控制器之间的关联。5.将交换机配置ACS服务器的AAA客户端。6.登录交换机并启用其802.1x身份验证功能，建立其到ACS服务器的连接。7.在ACS服务器上为测试用户账户授权，配置允许其运行的管理命令。8.在客户端计算机上尝试Telnet登录交换机，验证配置是否生效。,