第8章 局域网接入安全认证.ppt

1、第8章 局域网接入安全认证,主讲人 刘晓辉,本章内容,局域网接入安全认证规划,安装和配置ACS服务器,基于ACS的基本认证,基于ACS的802.1x认证,网络客户端登录,8.1 局域网接入安全认证规划,8.1.1 案例情景,8.1.3 解决方案,8.1.2 项目需求,8.2 安装和配置ACS服务器,8.2.1 安装JAVA虚拟机 8.2.2 安装ACS服务器 8.2.3 ACS服务器基本配置 8.2.4 管理ACS记账信息,8.2.1 安装JAVA虚拟机,/members/jross/jdk/jdk-1_5_0-windows-i586.ex

2、e,8.2.2 安装ACS服务器,8.2.2 安装ACS服务器,8.2.2 安装ACS服务器,8.2.2 安装ACS服务器,8.2.2 安装ACS服务器,8.2.3 ACS服务器基本配置,配置加密算法 配置AAA Client 自定义授权命令集 创建用户组 创建用户账户 添加管理员账户,配置加密算法,配置AAA Client,自定义授权命令集,自定义授权命令集,自定义授权命令集,创建用户组,创建用户组,创建用户组,创建用户账户,创建用户账户,创建用户账户,创建用户账户,创建用户账户,创建用户账户,创建用户账户,添加管理员账户,8.2.4 管理ACS记账信息,配置日志功能 查看日志,配置日志功能

3、,配置日志功能,查看日志,查看日志,8.3 基于ACS的基本认证,8.3.1 配置交换机 8.3.2 配置ACS服务器 8.3.3 用户登录测试,8.3.1 配置交换机,HJ-3750#configure terminal HJ-3750(config)#aaa new-model HJ-3750(config)#aaa authentication login default group tacacs+ local HJ-3750(config)#aaa authorization exec default group tacacs+ local HJ-3750(config)#aaa au

4、thorization commands 15 default group tacacs+ local HJ-3750(config)#tacacs-server host HJ-3750(config)#tacacs-server key cisco HJ-3750(config-if)# end HJ-3750# copy running-config startup-config,8.3.2 配置ACS服务器,8.3.3 用户登录测试,知识链接,表8-1 Cisco Secure ACS的主要优势,知识链接,集中控制用户通过有线或者无线连接登录网络 设置每个网

5、络用户的权限 记录记账信息，包括安全审查或者用户记账 设置每个配置管理员的访问权限和控制指令 用于Aironet密钥重设置的虚拟VSA 安全的服务器权限和加密 通过动态端口分配简化防火墙接入和控制 统一的用户AAA服务,基于Windows系统服务器的Cisco Secure ACS服务器适用于如下需求环境：,8.4 基于ACS的802.1x认证,8.4.1 交换机的802.1x认证 8.4.2 无线AP的802.1x认证,8.4.1 交换机的802.1x认证,交换机的配置 ACS服务器的配置 用户计算机配置 登录测试,交换机的配置,JR-2960-1#configure terminal JR

6、-2960-1(config)#aaa new-model JR-2960-1(config)#aaa authentication dot1x default group radius local JR-2960-1(config)#radius-server host JR-2960-1(config)#radius-server key cisco JR-2960-1(config)#dot1x system-auth-control JR-2960-1(config)#interface fastEthernet 0/6 JR-2960-1(config-i

7、f)#dot1x port-control auto JR-2960-1(config-if)#dot1x timeout reauth-period 45 JR-2960-1(config-if)# end JR-2960-1# show dot1x JR-2960-1# copy running-config startup-config,ACS服务器的配置,ACS服务器的配置,ACS服务器的配置,用户计算机配置,登录测试,8.4.2 无线AP的802.1x认证,无线AP的配置 ACS服务器的配置 用户计算机配置 登录测试,无线AP的配置初始化无线AP,ap#configure termi

8、nal ap(config)#hostname AP AP(config)#interface fastEthernet 0 AP(config-if)#ip address 53 AP(config-if)#no shutdown AP(config-if)#exit AP(config)#username cisco privilege 15 password cisco AP(config)#ip http server AP(config)#ip http authentication local AP(config)#interfac

9、e dot11Radio 0 AP(config-if)#no shutdown,无线AP的配置使用Web方式配置无线AP,ACS服务器的配置,ACS服务器的配置,用户计算机配置,登录测试,知识链接,IEEE 802.1x协议认证三要素,知识链接,802.1x认证过程,8.5 网络客户端登录,8.5.1 配置Windows Vista客户端 8.5.2 客户端登录测试,8.4.2 客户端登录测试,习题,1. 简述Cisco Secure ACS的主要应用环境。 2. Cisco Secure ACS服务器的功能有哪些？ 3. 基于Active Directory的ACS服务器相对于其他方式有哪

10、些优点？ 4. 什么是802.1x身份验证？ 5. 简述802.1x身份验证的实现机制。,实验：借助ACS实现交换机802.1x身份验证,实验目的 运用“Cisco ACS + Active Directory”实现802.1x身份验证。 实验内容 使用Cisco ACS与Windows Server 2008系统的Active Directory相结合，为交换机实现802.1x身份验证。 实验步骤 1. 准备Cisco ACS所需的网络环境，将ACS服务器及其所需的其他成员服务器和客户端连接在交换机上，组成一个子网，并测试彼此之间的连通性。 2. 部署ACS服务器。 3. 在域控制器上创建用于测试的用户账户和组。