python做的网站哪些,做结构图用什么网站,h5商城网站建设,网站建设应计入哪个会计科目一、用户接入和认证配置 称为网络接入控制#xff0c;通过对接入网络的客NAC (Network Admission Control)户端和用户的认证保证网络的安全#xff0c;是一种“端到端”的安全技术。包括802.1x认证、MAC认证与Portal认证。
二、三种认证方式简介 1、Portal认证 Portal认证通…一、用户接入和认证配置 称为网络接入控制通过对接入网络的客NAC (Network Admission Control)户端和用户的认证保证网络的安全是一种“端到端”的安全技术。包括802.1x认证、MAC认证与Portal认证。
二、三种认证方式简介 1、Portal认证 Portal认证通常也称为Web认证一般将Portal认证网站称为门户网站。用户上网时必须在门户网站进行认证只有认证通过后才可以使用网络资源。用户可以主动访问已知的Portal认证网站输入用户名和密码进行认证这种开始Portal认证的方式称作主动认证。反之如果用户试图通过HTTP访问其他外网将被强制访问Portal认证网站从而开始Portal认证过程这种方式称作强制认证。 2、MAC认证 MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后即启动对该用户的认证操作。认证过程中不需要用户手动输入用户名或者密码。 3、802.1x认证 802.1x协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制是指在局域网接入设备的接口这一级对所接入的用户设备通过认证来控制对网络资源的访问。IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题提出了802.1x协议。后来802.1x协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用主要解决以太网内认证和安全方面的问题。802.1x系统为典型的Client/Server结构包括三个实体:客户端、接入设备和认证服务器。
三、认证方式比较 NAC认证方式包括:802.1X认证、MAC认证、Portal认证。由于多种认证方式认证原理不同各自适合的场景也有所差异实际应用中可以根据场景部署某一种合适的认证方式也可以部署几种认证方式组成的混合认证。 四、配置案例 配置通过多种认证方式控制企业内部用户访问网络示例如图1所示某公司内终端通过Switch接入公司内部网络。如果该公司内存在非法接入和非授权访问的状况将会导致企业业务系统的破坏以及关键信息资产的泄露因此管理员希望Switch能够对用户的网络访问权限进行控制以保证公司内网的安全。 采用如下的思路在Switch上进行配置
1、创建并配置RADIUS服务器模板、AAA方案以及认证域并在认证域下绑定RADIUS服务器模板与AAA方案以便Switch通过RADIUS服务器对接入用户进行身份认证。
2、使能802.1x认证、MAC认证以及Portal认证以实现对公司内部员工、哑终端以及访客的网络访问权限进行控制;同时由于员工数量较多因此需要配置802.1x认证优先生效。
3、配置用户接入模式为多用户单独认证接入模式、最大接入用户数为100以实现对每个用户网络访问权限的单独控制。
4、配置Portal服务器模板以实现设备与Portal服务器互通
1、创建VLAN并配置接口允许通过的VLAN保证网络通畅
# 创建VLAN10、VLAN20。
HUAWEl system-view
[HUAWEl] sysname Switch
[Switch] vlan batch 10 20
# 配置Switch与用户连接的接口GE0/0/1为Access类型接口并将其加入VLAN10。
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 10
[Switch-GigabitEthernet0/0/1]quit
[Switch] interface vlanif 10
[Switch-Vlanif10] ip address 192.168.1.10 24
[Switch-Vlanif10] quit
# 配置Switch连接RADIUS服务器的接口GE0/0/2为Access类型接口并将其加入VLAN20。
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access
[Switch-GigabitEthernet0/0/2] port default vlan 20
[Switch-GigabitEthernet0/0/2] quit
2、创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
# 创建并配置RADIUS服务器模板“rd1”
[Switch]radius-server template rd1
[Switch-radius-rd1]radius-server authentication 192.168.2.30 1812
[Switch-radius-rd1]radius-serer shared-key cipher Huawei2012
[Switch-radius-rd1] quit
# 创建AAA认证方案“abc”并配置认证方式为RADIUS
[Switch] aaa
[Switch-aaa] authentication-scheme abc
[Switch-aaa-authen-abc] authentication-mode radius
[Switch-aaa-authen-abc] quit
# 创建认证域“isp1”并在其上绑定AAA认证方案“abc与RADIUS服务器模板“rd1”。
[Switch-aaa] domain isp1
[Switch-aaa-domain-isp1]authentication-scheme abc
[Switch-aaa-domain-isp1]radius-server rd1
[Switch-aaa-domain-isp1]quit
[Switch-aaal quit
# 配置全局默认域为“isp1”。用户进行接入认证时以格式“userisp1”输入用户名即可在isp1域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在用户将会在默认域中进行认证。
[Switchl domain isp1
# 测试用户是否能够通过RADIUS模板的认证。(已在RADIUS服务器上配置了测试用户testhuawei.com用户密码Huawei2012)
[Switch]test-aaa testhuawei.com Huawei2012 radius-template rd1
Info: Account test succeed.
3、在Switch上配置802.1x认证、MAC认证以及Portal认证。
# 将NAC配置模式切换成统一模式
[Switch] authentication unified-mode
#在接口GE0/0/1上使能802.1x认证、MAC认证以及Portal认证
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] authentication dot1x mac-authen porta
[Switch-GigabitEthernet0/0/1]authentication mode multi-authen max-user 100
[Switch-GigabitEthernet0/0/1]quit
# 创建并配置Portal服务器模板“abc”。
[Switch]web-auth-server abc
[Switch-web-auth-server-abc] server-ip 192.168.2.20
[Switch-web-auth-server-abc] port 50200
[Switch-web-auth-server-abc] url http://192.168.2.20:8080/webagent
[Switch-web-auth-server-abc] shared-key cipher Huawei123
[Switch-web-auth-server-abc] quit
# 在接口GE0/0/1上绑定Portal服务器模板“abc”。
[Switch]interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1]web-auth-server abc direct
[Switch-GigabitEthernet0/0/1]quit
(推荐配置)配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址
#建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。
[Switch]access-user arp-detect vlan 10 ip-address 192.168.1.10 mac-address2222-1111-1234
4、验证配置结果。
1、执行命令display dot1x、display mac-authen、display portal和displayweb-auth-server configuration能够查看到在接口GE0/0/1上已使能了802.1x认证、MAC认证以及Portal认证。
2、用户通过802.1x认证、MAC认证或Portal认证中的任意一种即可接入网络
3、用户上线后管理员可在设备上执行命令display access-userinterface gigabitethernet 0/0/1查看接口下所有在线用户信息
