is3100操作手冊(cè)命令安全功能

目第1章ACL配 1-ACL介 1-Access- 1-Access- 1-Access-list動(dòng)作及全局默認(rèn)動(dòng) 1-ACL配 1-ACL舉 1-ACL排錯(cuò)幫 1-第2章802.1x配 2-802.1x介 2-802.1x認(rèn)證體系結(jié) 2-802.1x工作機(jī) 2-EAPOL消息的封 2-EAP屬性的封 2-802.1x認(rèn)證方 2-802.1x的擴(kuò)展和優(yōu) 2-VLAN分配特 2-802.1x配 2-802.1x應(yīng)用舉 2-GuestVlan應(yīng)用舉 2- 2- 2-802.1x排錯(cuò)幫 2-第3章端口、VLAN中MAC、IP數(shù)量限制功能配 3-端口、VLAN中MAC、IP數(shù)量限制功能簡(jiǎn) 3-端口、VLAN中MAC、IP數(shù)量限制功能配置任務(wù)序 3-端口、VLAN中MAC、IP數(shù)量限制功能典型案 3-端口、VLAN中MAC、IP數(shù)量限制功能排錯(cuò)幫 3-第4章AM功能操作配 4-AM功能簡(jiǎn) 1AM功能配置任務(wù)序 1AM功能典型案 3AM功能排錯(cuò)幫 3第5章TACACS+配 1TACACS+簡(jiǎn) 1TACACS+配 1TACACS+典型案 2TACACS+排錯(cuò)幫 2第6章RADIUS配 1RADIUS簡(jiǎn) 1AAA與RADIUS簡(jiǎn) 1RADIUS協(xié)議的報(bào)文結(jié) 1RADIUS配 3RADIUS典型案 5 5 5RADIUS排錯(cuò)幫 6第7章SSL配 1SSL簡(jiǎn) 1SSL基本原 1SSL配置任務(wù)序 2SSL典型案 3SSL排錯(cuò)幫 4第8章IPv6安全RA配 1IPv6安全RA簡(jiǎn) 1IPv6安全RA配置任務(wù)序 1IPv6安全RA典型案 2IPv6安全RA排錯(cuò)幫 2第9章VLAN-ACL配 1VLAN-ACL功能簡(jiǎn) 1VLAN-ACL功能配置任務(wù)序 1VLAN-ACL功能配置案 3VLAN-ACL排錯(cuò)幫 4第10章MAB配 1MAB介 1MAB基本配 1MAB舉 3MAB排錯(cuò)幫 6第11章PPPoE中間配 1PPPoEIntermediateAgent介 1PPPoE簡(jiǎn) 1PPPoEIA介 1PPPoEIntermediateAgent配置任務(wù)序 5PPPoEIntermediateAgent典型應(yīng) 7PPPoEIntermediateAgent排錯(cuò)幫 8第12章SAVI配 1SAVI介 1SAVI配 1SAVI典型應(yīng) 4SAVI排錯(cuò)幫 6第13章WebPortal操作配 1WebPortal認(rèn)證功能簡(jiǎn) 1 1 3 4第1ACL配ACL交換機(jī)端口的，這樣特定端口上特定方向的數(shù)據(jù)流就必須依照指定的ACL規(guī)則進(jìn)入交源IP、目的IP、IP協(xié)議號(hào)、TCP端口、UDP端口等條件的有效組合。根據(jù)不同的標(biāo)準(zhǔn)， 您建立了一條access-group之后，流經(jīng)此端口此方向的所有數(shù)據(jù)包都會(huì)試圖匹配指定的access-list規(guī)則，以決定交換動(dòng)作是允許(permit)或(deny)。另外還可以在端口加上對(duì)Access- 動(dòng)作及全局默認(rèn)動(dòng)作 ACLACL配置任務(wù)序列創(chuàng)建一個(gè)命名標(biāo)準(zhǔn)IP列指定多條permit或deny規(guī)則退出表配置模創(chuàng)建一個(gè)命名擴(kuò)展IP列指定多條permit或deny規(guī)則退出表配置模創(chuàng)建一個(gè)命名擴(kuò)展MAC列指定多條permit或deny規(guī)則退出MAC表配置模創(chuàng)建一個(gè)命名擴(kuò)展MAC-IP列指定多條permit或deny規(guī)則退出MAC-IP表配置模創(chuàng)建一個(gè)命名標(biāo)準(zhǔn)IPv6列指定多條permit或deny規(guī)則創(chuàng)建一個(gè)命名擴(kuò)展IPv6列指定多條permit或deny規(guī)則配置access-配置數(shù)字標(biāo)準(zhǔn)IP列access-list<num>{deny|{{<sIpAddr><sMask>}|any-sourcenoaccess-list<num>創(chuàng)建一條數(shù)字標(biāo)準(zhǔn)IP列表，如果已有此命令的no操作為刪除一條數(shù)字標(biāo)準(zhǔn)IP配置數(shù)字?jǐn)U展IP列 {{<sIpAddr><sMask>}|any-source|{host-<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[<icmp-type>[<icmp-code>]][precedence<prec>]ICMPIP訪問(wèn)列表，如果已有此列表， {{<sIpAddr><sMask>}|any-source|{host-<sIpAddr>}}{{<dIpAddr><dMask>}|any-destination|{host-destination<dIpAddr>}}[<igmp-type>][precedence<prec>][tosIGMPIP訪問(wèn)列表，如果已有此列表，access-list<num>{deny|permit}tcp創(chuàng)建一TCPIP<sMask>}|any-source|{host-source[s-port{<sPort>|range<sPortMin> {host-destination<dIpAddr>}}[d-port{<dPort> [ack+fin+psh+rst+urg+syn][precedence 創(chuàng)建一UDP數(shù)字IP{{<sIpAddr><sMask>}|any-source|{host-<sIpAddr>}}[s-port{<sPort>|range any-destination|{host-destination[d-port{<dPort>|range<dPortMin> access-list<num>{deny|permit}{eigrp|greIP協(xié)議或所有IP協(xié)議的數(shù)字?jǐn)U展IP訪問(wèn)列表，如果已有此列表，igrp|ipinip|ip|ospf|<protocol-num{{<sIpAddr><sMask>}|any-source|{host- any-destination|{host-destination noaccess-list刪除一條數(shù)字?jǐn)U展IP列表配置命名標(biāo)準(zhǔn)IP列創(chuàng)建一個(gè)命名標(biāo)準(zhǔn)IP列 創(chuàng)建一條命名標(biāo)準(zhǔn)IP列表；本命令的[no]{deny|permit}（rule 的no操作為刪除此命名標(biāo)準(zhǔn)IP規(guī)（ue退出命名標(biāo)準(zhǔn)IP列表配置模配置命名擴(kuò)展IP列創(chuàng)建一個(gè)命名擴(kuò)展IP列ipaccess-listextended 創(chuàng)建一條命名擴(kuò)展IP列表；本命令的 icmpIP（rule刪除此命名擴(kuò)展IP規(guī)則（ue igmpIP（rule刪除此命名擴(kuò)展IP規(guī)則（ue [no]{deny|permit}tcp{{<sIpAddr>創(chuàng)建一條tcp命名擴(kuò)展IP規(guī)（rule（rule [d- [no]{deny|permit}udp{{<sIpAddr> [d- 創(chuàng)建一條udp命名擴(kuò)展IP規(guī)（rule（rule[no]{deny|permit}{eigrp|gre|igrp|ipinipip|ospf|<protocol-num>} 創(chuàng)建一條匹配其他特定IP協(xié)議或所有IP協(xié)議的數(shù)字?jǐn)U展IP規(guī)則；如果此編號(hào)數(shù)字?jǐn)U展列退出命名擴(kuò)展IP列表配置模配置數(shù)字標(biāo)準(zhǔn)MAC列access-list<num>{deny|{any-source-mac|{host-source- noaccess-list創(chuàng)建一條數(shù)字標(biāo)準(zhǔn)mac列表，如果已有本命令no操作為刪除一條數(shù)mac訪配置數(shù)字?jǐn)U展MAC列 {any-source-{host-source-mac<host_smac>}|{<smac><smac-創(chuàng)建一條數(shù)字?jǐn)U展{any-destination-mac|{host-destination-tagged-eth2|untagged-802-3|tagged-802-3}[<length1><value1>[<offset2><length2>令的no[<offset3><length3><value3>[<offset4>noaccess-list數(shù)字?jǐn)U展mac列配置命名擴(kuò)展MAC列創(chuàng)建一個(gè)命名擴(kuò)展MAC列指定多條permit或deny規(guī)則表項(xiàng)[no]{deny|permit}{any-source-mac|{host-source- {any-destination- <host_dmac>}|{<dmac><dmac-mask>}}[cos<cos-val>[<cos-bitmask>]][vlanId<vid-value>[<vid-mask>]][ethertype<protocol>[<protocol-mask>]][no]{deny|permit}{any-source-mac|{host-source- {any-destination- [no]{deny|permit}{any-source-mac|{host-source- {any-destination- {host-destination- {<dmac><dmac-mask>}}[vlanid<vid-value>[<vid-mask>][ethertype<protocol>[<protocol-mask>]]]創(chuàng)建一條匹配普通MAC幀的命名擴(kuò)展MAC規(guī)則(rule)；no操作為刪除此命名擴(kuò)展MAC規(guī)則[no]{deny|permit}{any-source-mac|{host-source-[untagged-eth2[ethertype<protocol>[protocol-mask]]]創(chuàng)建一條匹配untagged2幀類(lèi)型名擴(kuò)展MAC訪問(wèn)規(guī)則(rule)；no操作為刪除此命名擴(kuò)展MAC訪問(wèn)規(guī)則[no]{deny|permit}{any-source-mac|{host-source- {any-destination- 創(chuàng)建一條匹配untagged802.3幀類(lèi)型名擴(kuò)展MAC訪問(wèn)規(guī)則(rule)；no操作為刪除此命名擴(kuò)展[no]{deny|permit}{any-source-mac|{host-source-mask>}}[tagged-eth2 [<protocol-tagged2幀類(lèi)型名擴(kuò)展MAC規(guī)則(rule)no操作為刪除此命名擴(kuò)展MAC訪[no]{deny|permit}{any-source-mac|{host-source- 802.3幀類(lèi)型{any-destination- 擴(kuò)展MAC規(guī)<host_dmac>}|{<dmac><dmac-mask>}}[tagged-802-(rule)；no操作為刪 [<vid-此命名擴(kuò)展MAC規(guī)則退出MAC表配置模配置數(shù)字?jǐn)U展MAC-IP列access-list<num>{deny|permit}{any-source-mac{host-source- {any-destination- {host-destination- {<dmac><dmac- <source-wildcard>}|any-source|{host- <destination-wildcard>}|any-destination{host-destination<destination-host-ip>}}[<icmp-type>[<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>]創(chuàng)建一條MAC-ICMP數(shù)字?jǐn)U展mac-ipaccess-list<num>{deny|permit}{any-source-mac{host-source- {any-destination- {host-destination- <dmac-mask>}}igmp {{<source><source-wildcard>}| {host- |{host-destination<destination-host-ip>}}[<igmp-type>] 創(chuàng)建一條MAC-IGMP數(shù)字?jǐn)U展mac-ipaccess-list<num>{deny|permit}{any-source-mac{host-source- {any-destination- {host-destination- <dmac-mask>}}tcp{{<source><source-wildcard>}|any-source|{host-source<source-host-ip>}}[s-{<port1>|range<sPortMin>|{host-destination<destination-host-ip>}}[d-{<port3>|range<dPortMin><dPortMax>}][ack+fin+psh+rst+urg+syn][precedence<precedence>][tos<tos>][time-range<time-range-name>]創(chuàng)建一條MAC-TCP數(shù)字?jǐn)U展mac-ipaccess-list<num>{deny|permit}{any-source-mac{host-source- {any-destination- {host-destination- {<dmac><dmac- <source-host-ip>}}[s-port{<port1>|range<sPortMax>}]{{<destination><destination-wildcard>}| <dPortMin><dPortMax>}][precedence<precedence>][tos<tos>][time-range<time-range-name>]創(chuàng)建一條MAC-UDP數(shù)字?jǐn)U展mac-ipaccess-list<num>{deny|permit}{any-source-mac{host-source- {any-destination- {host-destination- {<dmac><dmac-mask>}}{eigrp|gre|igrp|ip|ipinip|ospf|{<protocol-num>}}{{<source><source-wildcard>}|any-source| {host-source<source-host-ip>}}|{host-destination<destination-host-ip>}} MAC-IP協(xié)議或所MAC-IP協(xié)議的數(shù)字?jǐn)U展mac-ip列表，如果已有此noaccess-list刪除一條數(shù)字?jǐn)U展MAC-IP列表配置命名擴(kuò)展MAC-IP列創(chuàng)建一個(gè)命名擴(kuò)展MAC-IP列創(chuàng)建一條命名擴(kuò)展MAC-IP列擴(kuò)展MAC-IP列表。指定多條permit或deny規(guī)則表項(xiàng)[no]{deny|permit}{any-source-mac|{host-source-<host_smac>}|{<smac><smac-{any-destination- <host_dmac>}|{<dmac><dmac-mask>}}{{<source><source-wildcard>}|any-source{host-source<source-host-ip>}}<destination-wildcard>}|any-destination{host-destination<destination-host-ip>}}[<icmp-type>[<icmp-code>]][precedence<precedence>][tos<tos>][time-range<time-range-name>]創(chuàng)建一條mac-icmp命名擴(kuò)展MAC（ruleno為刪除此命名擴(kuò)展MAC-IP訪問(wèn)規(guī)則（ue[no]{deny|permit}{any-source-mac|{host-source- {any-destination- {host- <source-host- {host-destination<destination-host-ip>}}[<igmp-type>] 創(chuàng)建一條mac-igmpMAC-IP訪問(wèn)規(guī)則（rule）no展MAC-IP規(guī)（ue[no]{deny|permit}{any-source-mac|{host-source- {any-destination- <host_dmac>}|{<dmac><dmac-mask>}}tcpmac-tcp <source-host-ip>}}[s-port{<port1>|rangere<sPortMax>}]{{<destination><destination-wildcard>}為刪除此命名擴(kuò)展 MAC-IP訪問(wèn)規(guī)則 （ue [no]{deny|permit}{any-source-mac|{host-source-mac-udp命MAC-IP（ruleno為刪除此命名擴(kuò)展MAC-IP訪問(wèn)規(guī)則（ue {any-destination- <host_dmac>}|{<dmac><dmac-mask>}}udp <source-host-ip>}}[s-port{<port1>|range<sPortMax>}]{{<destination><destination-wildcard>} <dPortMin><dPortMax>}][precedence[no]{deny|permit}{any-source-mac|{host-source- {any-destination- 創(chuàng)建一條mac-ip<host_dmac>}|{<dmac><dmac-mask>}}{eigrp|greigrp|ip|ipinip|ospf|{<protocol-num>}}MAC-IP訪問(wèn)規(guī)則 （ruleno 除此命名擴(kuò)展 MAC-IP訪問(wèn)規(guī)則{host- <destination-host- （ue退出MAC-IP表配置模配置數(shù)字標(biāo)準(zhǔn)IPv6列ipv6access-list<num>{deny|permit}{{<sIPv6Addr><sPrefixlen>}| noipv6access-list創(chuàng)建一條數(shù)字標(biāo)準(zhǔn)IPv6列表，如果已有此列表，則增加一條規(guī)則（rule）表no操作為刪除一條數(shù)字標(biāo)準(zhǔn)IPv6列表。配置數(shù)字?jǐn)U展IPv6列ipv6access-list<num-ext>{deny|permit} {host- {host- [<icmp- ipv6access-list<num-ext>{deny|permit} {host-source<sIPv6Addr>}}[s-port{<sPort> range<dPortMin><dPortMax>}][syn|ack|urg| ipv6access-list<num-ext>{deny|permit} {host-source<sIPv6Addr>}}[s-port{<sPort>創(chuàng)建一條數(shù)字?jǐn)U展IPV6本命令的no操作為刪除一條數(shù)字標(biāo)準(zhǔn)IP列表。 {{<dIPv6Prefix/<dPrefixlen>}|any-destinationrange<dPortMin><dPortMax>}][dscp access- <num- {host-destination<dIPv6Addr>}}[dscpnoipv6access-list創(chuàng)建一個(gè)命名標(biāo)準(zhǔn)IPv6列ipv6access-liststandardno除此命名標(biāo)準(zhǔn)IPv6[no]{deny|permit}{{<sIPv6Prefix/sPrefixlen>}（ruleany-source|{host-sourceIPv6（rule退出命名標(biāo)準(zhǔn)IPV6列表配置模配置命名擴(kuò)展IPv6列創(chuàng)建一個(gè)命名擴(kuò)展IPv6列ipv6access-listextendedno除此命名擴(kuò)展IPv6permitdeny 創(chuàng)建一條icmp命名擴(kuò)展IPv6規(guī)則（rule）；本命令的no操作為刪除此命名擴(kuò)展IPv6規(guī)則（rule。 {host- [<icmp- [flow-[no]{deny|permit}tcp{<sIPv6Prefix/sPrefixlen>|any-source|{host-source<sIPv6Addr>}}[s-port{<sPort>|range<sPortMin>{<dIPv6Prefix/dPrefixlen>|any-destination{host-destination<dIPv6Addr>}}[d-port{<dPort>|range<dPortMin><dPortMax>}][syn|ack|urg|rst|fin|psh][dscp<dscp>][flow-label<fl>]tcpIPv6規(guī)則（rule）；本命令的no操作為刪除此命名擴(kuò)展IPv6規(guī)則（rule。[no]{deny|permit}udp|any-source|{host-source<sIPv6Addr>}}[s- any- range<dPortMin><dPortMax>}][dscp<dscp>][flow-label<fl>][time-range<time-range-name>]udpIPv6規(guī)則（rule）；本命令的no操作為刪除此命名擴(kuò)展IPv6規(guī)則（rule。 {host- {host-destination<dIPv6Addr>}}[dscp<dscp>][flow-label<fl>][time-range<time-range-name>]創(chuàng)建一條匹配其他特定IPv6協(xié)議的數(shù)字?jǐn)U展IPv6規(guī)列表不存在則創(chuàng)建此列[no]{deny|permit}{<sIPv6Prefix/sPrefixlen>| {host-destination<dIPv6Addr>}}[dscp<dscp>][flow-label<fl>][time-range<time-range-name>]IPv6（ruleIPv6訪（rule退出命名擴(kuò)展IPv6列表配置模配置濾功（1）全局打開(kāi)濾功firewallfirewall配置時(shí)間范圍功能創(chuàng)建時(shí)間范圍名稱(chēng)名 配置周期性時(shí)段 Tuesday|Wednesday||Friday|Saturday| Tuesday|Wednesday||Friday|Saturday|Sunday}|daily|weekdays| [no]absolute-periodic{Monday|Tuesday|Wednesday||Friday|Saturday| Tuesday|Wednesday||Friday|Saturday| Sunday}|daily|weekdays| 配置絕對(duì)性時(shí)段 [no]absolutestart 將accessl-list綁定到特定端口的特定方向access-group<acl-name>{in|out} 用一條access-listno操作為刪除綁定在端口access-list。清空指定接口的濾統(tǒng)計(jì)信 ACL配置更改：Switch(config)#access-list110denytcp55any-destinationd-port21Switch(config)#firewallenableSwitch(config)#interfaceSwitch(Config-If-Ethernet1/0/1)#ipaccess-group110inSwitch#showfirewallFirewallStatus:Enable.Switch#showaccess-Switch#showaccess-groupinterfaceethernet1/0/1interfacename:Ethernet1/0/1IPIngressaccess-listusedis110,traffic-statistics2、配置濾功 any-destination-macuntagged-802-3 Switch(config)#firewallSwitch(config)#interfaceethernetSwitch#showfirewallFirewallStatus:Switch#showaccess-listsaccess-list1100(used1time(s))access-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffaccess-list1100deny00-12-11-23-00-0000-00-00-00-ff-ffSwitch#showaccess-groupinterfaceethernet1/0/1interfacename:Ethernet1/0/1MACIngressaccess-listusedis1100,traffic-statistics并且IP為/24網(wǎng)段，管理員不希望用戶(hù)使用ftp，也不允許此網(wǎng)段的任何配置更改： Switch(config)#firewallenableSwitch#showfirewallaccess-list3110(used1access-list3110deny00-12-11-23-00-0000-00-00-00-ff-ffaccess-list3110denyany-source-mac00-12-11-23-00-0000-00-00-00-ff-fficmpany-source55Switch#showaccess-groupinterfaceethernet1/0/1interfacename:Ethernet1/0/1MAC-IPIngressaccess-listusedis3110,traffic-statistics600端口連接的網(wǎng)段是IPV6IPV6的地址2003：Switch(config)#ipv6access-list600permit2003:1:1:1:66::0/80any-destinationSwitch(config)#ipv6access-list600deny2003:1:1:1::0/64any-destinationSwitch(config)#firewallSwitch(config)#interfaceethernetSwitch(Config-If-Ethernet1/0/1)#ipv6access-group600inSwitch#showfirewallFirewallStatus:Ipv6access-list600(used1ipv6access-list600deny2003:1:1:1::0/64any-sourceipv6access-list600permit2003:1:1:1:66::0/80any-sourceSwitch#showaccess-groupinterfaceethernet1/0/1interfacename:Ethernet1/0/1IPv6Ingressaccess-listusedis600,traffic-statistics址為的設(shè)備接入到這幾個(gè)端口。配置更改：Switch(config)#firewallenableSwitch(config)#vlan100Switch(config)#access-list1denyhost-sourceSwitch(config)#interfaceethernet1/0/1;2;3;4Switch(config-if-port-range)#ipaccess-group1inSwitch(Config-if-Vlan100)#exit配置結(jié)果：Switch(config)#showaccess-groupinterfacevlan100InterfaceVLAN100:Ethernet1/0/1:IPIngressaccess-listusedis1,traffic-statisticsDisable.Ethernet1/0/2:IPIngressaccess-listusedis1,traffic-statisticsDisable.Ethernet1/0/3:IPIngressaccess-listusedis1,traffic-statisticsDisable.Ethernet1/0/4:IPIngressaccess-listusedis1,traffic-statisticsDisable. 每個(gè)端口可以綁定一條MAC-IPACL，一條IPACL，一條MACACL和一條ACLACL時(shí)，優(yōu)先關(guān)系從高到低如下，如 ACL ACL ACL 如果access-list中包括過(guò)濾信息相同但動(dòng)作的規(guī)則，則其無(wú)法綁定到端口并將有報(bào)錯(cuò)提示。例如同時(shí)配置permittcpany-sourceany-destination及denytcpany-source 第2802.1x配是為了解決無(wú)線局域網(wǎng)用戶(hù)的接入認(rèn)證問(wèn)題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶(hù)能接入局域網(wǎng)控制設(shè)備（如LANSwitch），就可以局域網(wǎng)中的設(shè)備以實(shí)現(xiàn)用戶(hù)級(jí)的接入控制，802.lx就是IEEELAN/WAN為了解決基于端口的網(wǎng)絡(luò)接802.1x認(rèn)證體系結(jié)構(gòu)serversystem（認(rèn)證服務(wù)器）。2-1802.1x端必須支持EAPOL（ExtensibleAuthenticationProtocoloverLAN，局域網(wǎng)上的可接入控制單元是位于局域網(wǎng)段一端的另一個(gè)實(shí)體，對(duì)所連接的客戶(hù)端進(jìn)行認(rèn)證。接入控制單元通常為支持802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶(hù)端提供接入局域網(wǎng)的端認(rèn)證、和計(jì)費(fèi)，通常為RADIUS（RemoteAuthenticationDial-InUserService，認(rèn)證撥號(hào)用戶(hù)服務(wù)）服務(wù)器。該服務(wù)器可以有關(guān)用戶(hù)的信息。接入控制單元PAE利用認(rèn)證服務(wù)器對(duì)需要接入局域網(wǎng)的客戶(hù)端執(zhí)行認(rèn)證，并根據(jù)認(rèn)證結(jié)果對(duì)受控端口的/非狀態(tài)進(jìn)行相應(yīng)地控制。狀態(tài)是指允許用戶(hù)訪受控/非受控端口 受控方向 說(shuō)明：目前，本交換機(jī)只支持單向受控。IEEE802.1xEAP（ExtensibleAuthenticationProtocol，可擴(kuò)展認(rèn)證協(xié)2-2802.1x在客戶(hù)端PAE與接入控制單元PAE之間，EAP協(xié)議報(bào)文使用EAPOL封裝格式，直在接入控制單元PAE與RADIUS服務(wù)器之間，可以使用兩種方式來(lái)交換信息。一種是EAP協(xié)議報(bào)文使用EAPOR（EAPoverRADIUS）封裝格式承載于RADIUS協(xié)議中；另一種是EAP協(xié)議報(bào)文由接入控制單元PAE進(jìn)行終結(jié)，采用包含PAP（PasswordAuthenticationProtocol，驗(yàn)證協(xié)議）或CHAP（ChallengeHandshakeAuthenticationProtocol，質(zhì)詢(xún)握手驗(yàn)證協(xié)議）屬性的報(bào)文與RADIUS當(dāng)用戶(hù)完成認(rèn)證后，認(rèn)證服務(wù)器會(huì)把用戶(hù)的相關(guān)信息傳遞給接入控制單元，接入控制單元PAE根據(jù)RADIUS服務(wù)器的認(rèn)證結(jié)果（Accept或Reject）決定受控端口的EAPOL消息的封裝EAPOLEAPOL802.1x協(xié)議定義的一種報(bào)文封裝格式，主要用于在客戶(hù)端和接入控制單元之間傳EAP協(xié)議報(bào)文EAP協(xié)議LAN上傳送IEEE802/EthernetLAN環(huán)境中，EAPOL數(shù)據(jù)包的格式如下圖所示，EAPOL數(shù)據(jù)包的起始位置是MAC幀的Type/Length域。2-3EAPOL EAPOL-Start（值為0x01）：認(rèn)證發(fā)起 EAPOL-Logoff（值為0x02）：退出請(qǐng)求 EAPOL-Key（值為0x03）：密鑰信息 EAPOL-Encapsulated-ASF-Alert（值為0x04）：用于支持ASF（AlertEAPEAPOL數(shù)據(jù)包格TypeEAP-Packet時(shí)，PacketBodyEAP數(shù)據(jù)包結(jié)構(gòu)，2-4EAP（3）、Failure（4）Success和Failure類(lèi)型的包沒(méi)有Data域，相應(yīng)的Length域的值為4Request和Response類(lèi)型數(shù)據(jù)包的Data域的格式如下圖所示。Type為EAP的認(rèn)證類(lèi)型，Typedata的內(nèi)容由類(lèi)型決定。例如，Type值為1時(shí)代表Identity，用來(lái)查詢(xún)對(duì)方的；Type值為4時(shí)，代表MD5-Challenge，類(lèi)似于PPPCHAP協(xié)議，包2-5Request和Response類(lèi)型數(shù)據(jù)包的DataLength：EAP數(shù)據(jù)包的長(zhǎng)度，包含Code、Identifier、Length和Data域，單位為字節(jié)EAP屬性的封裝RADIUS為支持EAP認(rèn)證增加了兩個(gè)屬性：EAP-Message（EAP消息）Message-Authenticator（）RADIUS“AAA-RADIUS-HWTACACS操作”的RADIUS協(xié)議簡(jiǎn)介部分。2-6EAP-MessageEAP、CHAP等認(rèn)證方法的過(guò)程中，避免接入請(qǐng)求包2-7Message-Authenticator另一方面客戶(hù)端可以通過(guò)客戶(hù)端軟件向設(shè)備端發(fā)送EAPOL-Start報(bào)文，發(fā)起認(rèn)證。802.1xEAPEAPRADIUS服務(wù)器交互完成認(rèn)EAP中繼方式這種方式是IEEE802.1x標(biāo)準(zhǔn)規(guī)定的，將EAP（擴(kuò)展認(rèn)證協(xié)議）承載在其它協(xié)議EAPoverRADIUS，以便擴(kuò)展認(rèn)證協(xié)議報(bào)文穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。一般來(lái)說(shuō)，EAP中繼方式需要RADIUS服務(wù)器支持EAP屬性：EAP-Message和EAPEAP（Method要隨著改變，在下圖中給出了EAP認(rèn)證方法協(xié)議棧。2-8EAP認(rèn)證機(jī)制與密鑰管理的不同。其中比較常見(jiàn)的四種EAP認(rèn)證方法包括：2EAP-5PEAP（ProtectedExtensibleAuthenticationProtocol，受保護(hù)的擴(kuò)展認(rèn)證協(xié)議）下面分別介紹這四種EAP認(rèn)證方法。注意1、交換機(jī)作為穿越（Pass-through）接入控制單元，查具體EAP方法相關(guān)的內(nèi)容，因而可以支持以上常見(jiàn)的EAP方法，并能夠支持未來(lái)擴(kuò)展的各種EAP認(rèn)證方2EAPEAP-MD5、EAP-TLS、EAP-TTLSPEAP這EAP-MD5認(rèn)證方法。2-9802.1xEAP-MD5EAP-TLSEAPTLSPKI來(lái)保護(hù)客戶(hù)端與Radius認(rèn)證服務(wù)器之間的認(rèn)證以及生成動(dòng)態(tài)的會(huì)話密鑰，要求客戶(hù)端和Radius認(rèn)證服務(wù)器都要擁有數(shù)字以進(jìn)行雙向認(rèn)證。它是無(wú)線局域網(wǎng)最早采納的EAP認(rèn)證方法。EAP標(biāo)準(zhǔn)之一，而且廣泛地被無(wú)線局域網(wǎng)硬件和軟件制造廠商所支2-10802.1xEAP-TLSEAP-TTLSFunkSoftware和EAP-TLS相同的認(rèn)證強(qiáng)度，但不要求每個(gè)用戶(hù)都要擁有數(shù)字，而只要求Radius認(rèn)證服務(wù)器要擁有數(shù)字。用戶(hù)的驗(yàn)證是通過(guò)來(lái)進(jìn)行的，該是在利用認(rèn)證服務(wù)器的所建立的PAP、MS-CHAPV2等。EAP-PEAP是由Cisco、微軟和RSASecurity聯(lián)合開(kāi)放標(biāo)準(zhǔn)的建議。它早已被EAP-TTLS相似，只需要一份服務(wù)器端的PKI來(lái)建立一個(gè)安全的TLS隧道以保護(hù)用戶(hù)認(rèn)證。2-11802.1xPEAPEAP終結(jié)方式這種方式將EAP報(bào)文在接入控制單元終結(jié)并映射到RADIUS 協(xié)議完成認(rèn)證、和計(jì)費(fèi)?；緲I(yè)務(wù)流程如下圖所示端加密后的信息一起送給RADIUS服務(wù)器，進(jìn)行相關(guān)的認(rèn)證處理。802.1x的擴(kuò)展和優(yōu)化設(shè)備在802.1x的EAP中繼方式和EAP終結(jié)方式的實(shí)現(xiàn)中，不僅支持協(xié)議所規(guī)定的端1、支持一個(gè)物理端口下掛接多個(gè)用戶(hù)的應(yīng)用場(chǎng)合；可以有效地防止ARP。交換機(jī)最大認(rèn)證用戶(hù)數(shù)：user-based用戶(hù)數(shù)為ipv4支持700，ipv6支持1400；mac-based4000人，推薦使用認(rèn)證用戶(hù)數(shù)不超過(guò)2000人。AutoAutoVLANRADIUS服務(wù)器根據(jù)用戶(hù)信息和用戶(hù)接入設(shè)備信息來(lái)動(dòng)態(tài)改變VLAN802.1x用戶(hù)在服務(wù)器上通過(guò)認(rèn)證時(shí)，RADIUS服務(wù)器會(huì)把RADIUSVLANAccess-Accept 這里的VLANID是指VLAN的VID，取值范圍為1~4094Tunnel-Private-Group-AutoVLAN并不改變端口的配置，也不影響端口的配置。但是，AutoVLAN的優(yōu)先級(jí)說(shuō)明：AutoVLANAccess類(lèi)Guest問(wèn)該VLAN內(nèi)的資源不需要認(rèn)證，但此時(shí)不能夠其他網(wǎng)絡(luò)資源；認(rèn)證成功后，端口離開(kāi)GuestVLAN，用戶(hù)可以其他的網(wǎng)絡(luò)資源。用升級(jí)程序（例如防軟件、操作系統(tǒng)補(bǔ)丁程序等。如果因?yàn)闆](méi)有的認(rèn)證客戶(hù)端或端口加入到GuestVLAN。802.1xGuestVLANAutoVLANGuestVLANGuestVLAN中端口下的用戶(hù)GuestVLAN內(nèi)；如果認(rèn)證成功，分為以 戶(hù)下線后，端口會(huì)被重新劃分到所配置的GuestVlan內(nèi)。(使能交換機(jī)的802.1x功能dot1xnodot1x命令的no操作為關(guān)閉802.1x功能。nodot1xprivateTSC私802.1x認(rèn)證報(bào)no操準(zhǔn)802.1x認(rèn)證報(bào)文格式。 - nodot1x -nodot1xunicast打開(kāi)交換機(jī)全局802.1x單播透能；本命令的no操作關(guān)閉802.1x單播透能。接入控制單元的屬性配置 -authorized|-unauthorized}nodot1xport-control設(shè)置端口的802.1x狀態(tài)，本命令dot1xport-method{macbased|portbased|userbased{standard|nodot1xport-設(shè)置端口的接入控制方式；本命令的nodot1xmax-usernodot1xmax-useruserbased<number>nodot1xmax-useruserbased于端口接入控制方式為userbased的情況；本命no操作為恢復(fù)缺省的最多允許10個(gè)用戶(hù)。nodot1xguest-dot1xportbasedmodesingle-modenodot1xportbasedmodesingle-modeportBase認(rèn)證方式的單一用戶(hù)nonodot1xmacfilterno操作802.1x的地址過(guò)濾功dot1xmacbasedport-down-nodot1xmacbasedport-down-打開(kāi)該命令macdot1x認(rèn)證down時(shí)，刪除該端口上已經(jīng)認(rèn)證 [interface<interface-name>]nodot1xaccept-mac<mac-no操作802.1x的地址過(guò)濾表的dot1xeaporenablenodot1xeaporenableno操作為采用EAP與Supplicant(用戶(hù)接入設(shè)備)相關(guān)的屬性配置nodot1xmax-reqsupplicant回應(yīng)而重新啟動(dòng)認(rèn)證前，發(fā)送EAP-request/MD5dot1xre-authentication設(shè)置允許對(duì)supplicant進(jìn)行周期性重認(rèn)nodot1xtimeoutquiet-period re-nodot1xtimeoutre-設(shè)置交換機(jī)對(duì)supplicant重新認(rèn)證的時(shí)間dot1xtimeouttx-period<seconds>nodot1xtimeouttx-period設(shè)置交換機(jī)對(duì)supplicant重發(fā)令的no操作用來(lái)恢復(fù)缺省值。 re- 設(shè)置對(duì)所有端口或某個(gè)指定端口進(jìn)行GuestVlan 32如上圖所示，1臺(tái)交換機(jī)通過(guò)802.1x認(rèn)證接入網(wǎng)絡(luò)，認(rèn)證服務(wù)器為RADIUS服務(wù)器。UserEthetnet1/0/2Ethernet1/0/2VLAN100內(nèi)；認(rèn)證服務(wù)器在VLAN2內(nèi)；UpdateServer是用于客戶(hù)端軟件和升級(jí)的服務(wù)器，在VLAN10內(nèi)；交換機(jī)連接Internet網(wǎng)絡(luò)的端口Ethernet1/0/1VLAN5內(nèi)。32 32如上圖所示，當(dāng)用戶(hù)認(rèn)證成功上線，認(rèn)證服務(wù)器下發(fā)VLAN5，此時(shí)，用戶(hù)和端口Ethernet1/0/2都在VLAN5內(nèi)，用戶(hù)可以Internet。#Switch(config)#radius-serverauthenticationhostSwitch(config)#radius-serveraccountinghostSwitch(config)#radius-serverkeytestSwitch(config)#aaaenableVLAN100Switch(config)#vlan##Switch(config)#interfaceethernet1/0/2Switch(Config-Ethernet1/0/2)#dot1xenable#Switch(Config-Ethernet1/0/2)#switch-portmode#Switch(Config-Ethernet1/0/2)#dot1xport-method#Switch(Config-Ethernet1/0/2)#dot1xport-control#GuestVLAN100showrunning-configshowinterfaceethernet1/0/2Guest端口配置的GuestVLAN是否生效。802.1xIPv4Radius 2-16IEEE802.1x機(jī)上安裝IEEE802.1x認(rèn)證客戶(hù)端軟件，并通過(guò)使用此軟件來(lái)實(shí)現(xiàn)IEEE802.1x認(rèn)證。Switch(Config-if-vlan1)#ipaddressSwitch(config)#radius-serverauthenticationhostSwitch(config)#radius-serveraccountinghostSwitch(config)#radius-serverkeytestSwitch(config)#aaaenableSwitch(config)#aaa-accountingenableSwitch(config)#dot1xenableSwitch(config)#interfaceethernet1/0/2Switch(Config-Ethernet1/0/2)#dot1xenable802.1xIPv6Radius 2-17IPv6Radius1/0/21/0/2IEEE802.1x認(rèn)證功能，接入方MACIP2004:1:2:3::2，并將除端1/0/2以外的任意一個(gè)端口與RADIUS認(rèn)證服務(wù)器相連接，RADIUS認(rèn)證服務(wù)器的IP地址設(shè)置為2004:1:2:3::3，認(rèn)證、計(jì)費(fèi)端口為缺省端口1812和端口1813。計(jì)算機(jī)上安裝IEEE802.1x認(rèn)證客戶(hù)端軟件，并通過(guò)使用此軟件來(lái)實(shí)現(xiàn)IEEE802.1x認(rèn)證。Switch(config)#radius-serverauthenticationhostSwitch(config)#radius-serveraccountinghost2004:1:2:3::3Switch(config)#radius-serverkeytestSwitch(config)#aaaenableSwitch(config)#aaa-accountingenableSwitch(config)#dot1xenableSwitch(config)#interfaceethernet1/0/2Switch(Config-If-Ethernet1/0/2)#dot1xport-controlauto802.1xsupplicant軟件后，端口仍不能改變?yōu)檎J(rèn)證通過(guò)狀態(tài)的情況?？赡艿脑?02.1xmac802.1x認(rèn)證功能，則必須關(guān)RADIUS服務(wù)器，交換機(jī)與802.1x客戶(hù)機(jī)之間是否相互連通；檢查交換機(jī)端口VLAN的配置。 通過(guò)查看RADIUS服務(wù)器的日志，判斷問(wèn)題的起因。在日志中對(duì)登錄不成功則修改radius-serverkey參數(shù)；如果日志中顯示沒(méi)有該authenticator，則需在RADIUS服務(wù)器中增加該authenticator；如日志中提示沒(méi)有該登錄用戶(hù)，說(shuō)明用第3VLANMAC、IP數(shù)量限制端口、VLANMAC、IPMAC地址表是標(biāo)識(shí)目的MAC地址與交換機(jī)端口之間映射關(guān)系的MAC地址分為MACMACMAC地址由用戶(hù)配置，具有最高優(yōu)先級(jí)（不能被MAC地址覆蓋）MAC地址由交換機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)幀的過(guò)程中學(xué)習(xí),MACMAC地址表，如果命中相關(guān)表項(xiàng)，交換機(jī)將數(shù)據(jù)幀從相應(yīng)端口轉(zhuǎn)發(fā)；否則，交換機(jī)將數(shù)據(jù)幀在其所屬VLAN內(nèi)廣播。MACMACMAC地址老化后，則進(jìn)行廣播處理。在我們目前的交換機(jī)中，端口上對(duì)MAC地址的數(shù)量沒(méi)有限制，允許一個(gè)端口配置或者學(xué)習(xí)多個(gè)MAC地址，直到硬件表項(xiàng)MAC地址，我們需要限制端口的MAC地址數(shù)量。INTERFACEVLANARP、NDMAC地址存在。每一個(gè)VLAN上的用戶(hù)數(shù)量過(guò)配置允許的用戶(hù)數(shù)量。對(duì)MAC、ARP表項(xiàng)進(jìn)行限制可以在一定程度上防止DOS。當(dāng)用戶(hù)頻繁發(fā)動(dòng)對(duì)數(shù)量進(jìn)行限制，可以預(yù)防DOS的發(fā)生。綜上節(jié)所述，開(kāi)發(fā)端口、VLANMAC、IP數(shù)量限制的功能具有重大意義。交換機(jī)將可以通過(guò)配置命令控制端口的MAC地址的數(shù)量，同時(shí)可以通過(guò)配置命令控制端口和VLAN中的ARP、ND表項(xiàng)的數(shù)量。MACMAC地址，如果大于等于允許MACMAC學(xué)習(xí)功能，如果少于允許學(xué)習(xí)的最大動(dòng)態(tài)MAC數(shù)量時(shí)，這時(shí)仍然可以繼續(xù)學(xué)習(xí)。動(dòng)態(tài)IP數(shù)量限制，對(duì)于交換機(jī)已經(jīng)動(dòng)態(tài)學(xué)習(xí)到的ARP、ND，如果大于等于允許學(xué)習(xí)的最大動(dòng)態(tài)ARP、ND數(shù)量時(shí)，則可以關(guān)閉該端口的ARP、ND學(xué)習(xí)功能，如果少于允許學(xué)習(xí)的最大動(dòng)態(tài)ARP、ND數(shù)量時(shí)，這時(shí)仍然可以繼續(xù)學(xué)習(xí)。如果少于允許學(xué)習(xí)的最大動(dòng)態(tài) 中所有端口仍然可以繼續(xù)學(xué)習(xí)動(dòng)態(tài)IP數(shù)量限制，對(duì)于交換機(jī)已經(jīng)動(dòng)態(tài)學(xué)習(xí)到的ARP、ND，如果大于等于允許學(xué)習(xí)的最大動(dòng)態(tài)ARP、ND數(shù)量時(shí)，則該VLAN不會(huì)學(xué)習(xí)新的ARP、ND，如果少于允許學(xué)習(xí)的最大動(dòng)態(tài)ARP、ND數(shù)量時(shí)，這時(shí)仍然可以繼續(xù)學(xué)習(xí)。端口、VLAN中MAC、IP數(shù)量限制功能配置任務(wù)序列um<value>noswitchportmac-addressswitchportarpdynamicnoswitchportarpdynamicswitchportnddynamicnoswitchportnddynamicvlanmac-addressdynamicnovlanmac-addressdynamicVLANMAC數(shù)量限制功iparpdynamicum<value>noiparpdynamicum啟動(dòng)和關(guān)閉VLAN中ARP數(shù)量ipv6nddynamic noipv6nddynamic VLANNEIGHBOR數(shù)量switchportmac-addressviolationnoswitchportmac-address為恢復(fù)違背模式為protect。showmac-addressdynamic{vlan<vlan-id>|interfaceshowarp-dynamic{vlan<vlan-id>|interfaceshownd-dynamic{vlan<vlan-id>|interface顯示相應(yīng)端口、VLAN中的動(dòng)態(tài)debugswitchportmaccountnodebugswitchportmaccountdebugswitchportarpcountnodebugswitchportarpcountdebugswitchportndcountnodebugswitchportndcountdebugvlanmaccountnodebugvlanmaccountdebugiparpcountnodebugiparpcountdebugipv6ndcountnodebugipv6ndcount端口、VLAN中MAC、IP數(shù)量限制功能典型案例SWITCH 3-1端口、VLANMAC、IPIP數(shù)量限制功能前，在系統(tǒng)硬件允許的情況下，SWITCHA，SWITCHB可以得到所有PCMAC、ARP、NDMAC、ARPDOS從而導(dǎo)致DOS的發(fā)生。對(duì)MAC、ARP、ND表項(xiàng)數(shù)量進(jìn)行限制，可以預(yù)防DOSSWITCHAEthernet1/0/1上最大可以20個(gè)動(dòng)MAC地址、20個(gè)動(dòng)ARP地址、10NEIGHBOR表項(xiàng)，VLAN130MAC地址，30ARP地址、20個(gè)NEIGHBOR表項(xiàng)。Switch(Config-If-Ethernet1/0/1)#switchportmac-addressdynamicum20Switch(Config-If-Ethernet1/0/1)#switchportarpdynamicum20Switch(Config-If-Ethernet1/0/1)#switchportnddynamicum10Switch(Config-if-Vlan1)#vlanmac-addressdynamicum30端口、VLAN中MAC、IP數(shù)量限制功能排錯(cuò)幫助綁定端口。MACMAC地址數(shù)如果在正常配置下，啟動(dòng)了端口、VLANMAC、IP數(shù)量限制功能后，可以使用debug第4AM功能操作用收到報(bào)文的信息（IPMAC-IP地址）與配置硬件地址池相比較，如果在配置硬件地址池中找到與收到的報(bào)文相匹配的的信息（IPMAC-IP地址）則轉(zhuǎn)發(fā)該報(bào)文，否則丟棄。之所以在基于源IP地址的管理上增加基于源MAC-IP的管理，是因?yàn)閷?duì)主機(jī)而言，IP地址是可變的。如果只有IP綁定，用戶(hù)可以把主機(jī)IP地址改所以為了防止用戶(hù)修改主機(jī)IP地址來(lái)使本主機(jī)發(fā)出的報(bào)文能被交換機(jī)轉(zhuǎn)發(fā)，MAC-IP能通過(guò)該端口轉(zhuǎn)發(fā)，增強(qiáng)了用戶(hù)對(duì)的。AM功能配置任務(wù)序列配置轉(zhuǎn)發(fā)配置轉(zhuǎn)發(fā)MAC-IP或MAC-IPAM功能amenablenoamenable啟動(dòng)某端口的AM功能amnoam啟動(dòng)/AM功能，端AM功能啟動(dòng)后，默認(rèn)所有的IP報(bào)文ARP配置轉(zhuǎn)發(fā)amip-pool<ip-address>noamip-pool<ip-address>配置轉(zhuǎn)發(fā)MAC- 刪除所有已配置的轉(zhuǎn)發(fā)IP或MAC-IP或全部noamall[ip-pool|mac-ip-MAC-IPAM相關(guān)配置信息AM功能典型案例 在上述網(wǎng)絡(luò)拓?fù)鋱D中，30PCHUB11相連，30PCIP～0IP地址～0內(nèi)的用戶(hù)為合法用戶(hù)，交換機(jī)只能對(duì)合法用戶(hù)發(fā)來(lái)的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)，對(duì)IP地址不在該范圍內(nèi)的用戶(hù)發(fā)來(lái)的數(shù)據(jù)包，交換機(jī)不能轉(zhuǎn)發(fā)，直接丟棄。Switch(config)#amenableSwitch(config)#interfaceethernet1/0/1Switch(Config-If-Ethernet1/0/1)#amportAM功能排錯(cuò)幫助showamAMAMAMshowaminterface<interface-name>]AM配置信第5章TACACS+配TACACS+簡(jiǎn)介T(mén)ACACS+終端控制器控制協(xié)議是類(lèi)似于radius協(xié)議的一個(gè)用于控制終端接入根據(jù)TACACS+(version1.78)協(xié)議的特點(diǎn)。我們?cè)诮粨Q機(jī)上提供了TACACS+的認(rèn)證功能。用戶(hù)在登錄交換機(jī)后（例如net）可以利用TACACS+來(lái)進(jìn)行用戶(hù)名和的驗(yàn)證。TACACS+配置配置TACACS+認(rèn)證配置TACACS+配置TACACS+配置TACACS+認(rèn)證密tacacs-serverkey{0|7}no操作為刪除TACACS+服務(wù)器的密鑰。 設(shè)置TACACS+服務(wù)器IP地址、端[timeout<seconds>][key{0|本命令的no操作為刪除TACACS+認(rèn)證notacacs-serverauthentication配置TACACS+命令的no操作為恢復(fù)缺省配置。設(shè)置交換設(shè)備發(fā)送TACACS+IP源TACACS+典型 5-1TACACS+IPTACACS+認(rèn)證服交換機(jī)的net登錄認(rèn)證方式設(shè)置為tacacslocal。計(jì)算機(jī)利用net登錄交換機(jī)，交換機(jī)通過(guò)使用TACACS+認(rèn)證服務(wù)器實(shí)現(xiàn)對(duì)net用戶(hù)的認(rèn)證。Switch(Config-if-vlan1)#ipaddressSwitch(config)#tacacs-serverauthenticationhostSwitch(config)#tacacs-serverkeytestSwitch(config)#authenticationlinevtylogintacacsTACACS+排錯(cuò)在配TACACS+協(xié)議時(shí)可能會(huì)由于配置錯(cuò)誤等原因?qū)е?首先應(yīng)該保TACACS+服務(wù)器的物理連接的正確無(wú)誤 再次，保證交換機(jī)配置的TACACS+密鑰同TACACS+服務(wù)器上配置的密 然后，確保配置了正確的TACACS+服務(wù)器第6RADIUS配AAA是Authentication，AuthorizationandAccounting（認(rèn)證、和計(jì)費(fèi)）的簡(jiǎn)稱(chēng)，RADIUS（RemoteAuthenticationDial-InUserService，認(rèn)證撥號(hào)用戶(hù)服務(wù)）是一RADIUS協(xié)議的報(bào)文結(jié)構(gòu)RADIUS協(xié)議采用UDP報(bào)文來(lái)承載協(xié)議報(bào)文，報(bào)文格式如下： Length域（2字節(jié)RADIUSCode、Identifier、Length、Authenticator和Attributes域。Authenticator域（16字節(jié)用于驗(yàn)證RADIUS服務(wù)器回應(yīng)的報(bào)文，還能用于隱藏算法。分為RequestAuthenticatorResponseAuthenticator。配置信息。Attribute域采用（Type、Length、Value）三元組的形式構(gòu)造。 123456789-(for RADIUS認(rèn)證密RADIUS服務(wù)配置RADIUS服務(wù)的使能交換機(jī)的AAA認(rèn)證和計(jì)費(fèi)功能aaaenablenoaaaenableAAAaaa-accountingenable 配置RADIUS認(rèn)證密鑰radius-serverkey{0|7} [port<port-number>][key{0| {dot1x|noradius-serverauthenticationRADIUSIPv4地址或者IPv6地址和端、加密密鑰、是否為主用服務(wù)器以及使用模式；本命令的no操作為刪除RADIUS服務(wù)器。 {<ipv4- 配置RADIUSIPv4[port<port-number>][key{0| 配置RADIUS服務(wù)參數(shù)noradius-serverno 令的no操作為恢復(fù)缺省配置。noradiusnas-noradiusnas-RADIUSIPv4Radius IPEthernet1/0/2以外的任意一個(gè)端口與RADIUS認(rèn)證服務(wù)器相連接，RADIUSIP，認(rèn)證、計(jì)費(fèi)端口為缺省端口1812和端口1813。Switch(Config-if-vlan1)#ipaddressSwitch(config)#radius-serverauthenticationhostSwitch(config)#radius-serveraccountinghostSwitch(config)#radius-serverkeytestSwitch(config)#aaaenableIPv6Radius 交換機(jī)的IP地址設(shè)置為2004:1:2:3::2，并將除端口1/0/2以外的任意一個(gè)端口與計(jì)費(fèi)端口為缺省端口1812和端口1813。Switch(config)#radius-serverauthenticationhost2004:1:2:3::3Switch(config)#radius-serveraccountinghost2004:1:2:3::3Switch(config)#radius-serverkeytestSwitch(config)#aaaenable 命令，然后將3分鐘內(nèi)的DEBUG信息拷貝下來(lái)，發(fā)送給本公司技術(shù)服務(wù)中心。第7SSL配SSLExtranet等使用的更大的依賴(lài)性。隨著企業(yè)間信息交互的不斷增加，任何一種網(wǎng)絡(luò)應(yīng)用和增Layer密鑰技術(shù)。其目標(biāo)是保證兩個(gè)應(yīng)用間通信的性和可靠性,可在服務(wù)器和客戶(hù)機(jī)兩端同時(shí)實(shí)現(xiàn)支持。目前，利用公開(kāi)密鑰技術(shù)的SSL協(xié)議，并已成為Internet上通訊的工業(yè)標(biāo)準(zhǔn)。現(xiàn)行Web瀏覽器普遍將HTTPSSL相結(jié)合，從而實(shí)現(xiàn)安全通信。安全通信協(xié)議(SSL)Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議。它能使客戶(hù)/服務(wù)器應(yīng)用之間的通信不被者，并且始終對(duì)服務(wù)器進(jìn)行認(rèn)證，還可選擇對(duì)客戶(hù)SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密SSLSSL采用的基本的策略在兩個(gè)通信程序之間提供一條在其間傳遞任意應(yīng)用數(shù)據(jù)的安全于應(yīng)用層的下面，TCP的上面。SSL假定其下層的數(shù)據(jù)包發(fā)送機(jī)制是可靠的。寫(xiě)入網(wǎng)絡(luò)的傳輸協(xié)議都能提供此種服務(wù)，但在實(shí)際應(yīng)用中，SSL幾乎只是在TCP上運(yùn)行，它不能在UDP或直接在IP上運(yùn)行。當(dāng)在交換機(jī)上運(yùn)行web功能時(shí)，當(dāng)客戶(hù)端通過(guò)瀏覽器我們的Web時(shí)，我們可以使能SSL功能，客戶(hù)和交換機(jī)之間的通信通過(guò)SSL連接進(jìn)行，這樣很好地提高了的安全性。就會(huì)和客戶(hù)端進(jìn)行SSL握手連接，形成安全的SSL連接通道，在此之后應(yīng)用層協(xié)議所傳送的使用SSL的時(shí)，首先進(jìn)行SSL握手的過(guò)程，服務(wù)器端必須提供功能，目前我們使用的不是機(jī)構(gòu)頒發(fā)的正規(guī)，而是linux下自己生成的，可能瀏覽器不能識(shí)別。考慮到我們使用SSL的環(huán)境，使用正規(guī)的沒(méi)有必要，我們只要保證用戶(hù)和交換機(jī)SSL握手的基本SSL配置任務(wù)序列啟動(dòng)/關(guān)閉SSL功能iphttpsecure-servernoiphttpsecure-server配置/刪除SSL使用的端iphttpsecure-port<port-noiphttpsecure-配置/刪除SSL加密套件 noiphttpsecure-SSL功能的與診showiphttpsecure-serverdebugsslSSL當(dāng)在交換機(jī)上運(yùn)行web功能時(shí)，當(dāng)客戶(hù)端通過(guò)瀏覽器我們的Web時(shí)，我們可以使能SSL功能，客戶(hù)和交換機(jī)之間的通信通過(guò)SSL連接進(jìn)行，這樣很好地提高了的安全性首先我們?cè)诮粨Q機(jī)上啟動(dòng)SSL功能，用戶(hù)在客戶(hù)端通過(guò)