当前位置：文档库 › AAA认证实验

AAA认证实验

AAA认证

在R4开启AAA

R4(config)#aaa new-model

R4(config)#aaa authentication ppp R1-R4 group radius group tacacs+ local

R4(config)#int s0/0

R4(config-if)#ppp authentication chap R1-R4

R4(config)#radius-server host 192.168.10.1 key cisco

R4(config)#tacacs-server host 192.168.10.2 key cisco

R4(config)#username admin password cisco

R4(config)#aaa authentication login default local line none

R4(config-line)#login authentication default

AAA model：

Authentication:认证

Authorization：授权

Accounting：审计

AAA Protocol:

Radius和TACACS+

Authentication

1. login认证

2. enbanle认证

Authorization

1. 级别授权

2. 命令授权

Accounting

1.登入登出时间

2.命令审计

802.1x Port-Based Authentication 二层认证方式

思科认证CCNP经典试题

第一部分填空题 1、在Cisco体系的IGP协议中，RIP的A-D管理距离是，EIGRP的域内A-D管理距离是，EIGRP的域外A-D管理距离是OSPF的A-D管理距离是。BGP 从EBGP学习到的路由学到路由的A-D管理距离是; BGP从IBGP学习到的路由学到路由的A-D管理距离是。 2、BGP的默认MED值为；其中MED越越优选被用于选路；BGP从邻居哪里学到的权重为；BGP自己本路由产生的路由（始发路由）产生权重是；BGP 的默认本地优先级为：。 3、BGP的邻居分为和。 4、OSPF在那个区域（有区域0，区域1，区域2）广播多路访问（比如以太网，没有出现外部网络），在区域0可以看到类LSA。如果想看到2类LSA，必须在网络类型；在NSSA区域可以看到类LSA，在纯粹的NASS区域内是否有5类LSA？（回答是或者否）。 5、HSRP包括哪六种状态？ 6、OSPF在MA网络链路类型的HELLO报文作用？（3种） 7、IPV6的本地链路地址是；本地站点地址是。（没有/10的写法） 8、在选择STP的角色（身份）有哪些？，默认STP的收敛时间为。配置了portfast后，收敛时间会小于。 9、OSPF发送hello包的组播地址是，EIGRP组播地址是；HSRP发送hello包组播地址是；VRRP发送hello 包的组播地址是。 10、目前以太通道最多可以使用条物理线缆逻辑捆绑成一个以太通道接口？形成以太通道方式有。 11、BGP在EBGP中使用属性避免AS间的环路（确保无环），该属性属于BGP的必遵属性，其中还有哪两个是BGP公认必遵属性为和。第二部分选择 1、在对基于CEF的多层交换（MLS）进行排错的时候，例如解决无法到达特定的IP目标等问题，首先需要先查看哪两张表去验证错误？（） A、IP路由表和路由表 B、IP路由和CEF邻接关系表 C、TCAM中的IP CEF FIB和邻接关系表 D、IP路由表和ARP表 2、EIGRP位一个混合距离矢量协议，在METRIC值中使用K1-K5五个K值，默认情况下，使用K值分别是（） A、K1，K2 B K3,K4 C、K1，K5 D、K1，K3 3、OSPF中router-id能标识一台设备的身份，下面说法正确的是（） A、先选举手工配置，然后选择设备loopback地址大的，在选运行了宣告进OSPF最大的物理接口最大的地址。 B、先选择设备loopback地址大的，然后选举手工配置，在选运行了宣告进OSPF最大的物理接口最大的地址。 C、先选举手工配置，然后选择设备loopback地址大的，在选设备的物理接口UP最大的地址。 D、在ipv6中router-id选择跟ipv4一样，当router-ID必须是ipv6地址。 4、在下列哪些情况下，管理员在多层交换机配置命令IP routing？（） A、当Svi正在为某个给定的VLAN提供交换机IP连接时。

(完整版)思科题库2(修改)

1：PDU 封装的正确顺序是什么？ 2：建立融合网络有何用途？

3：请参见图示。哪个区域最有可能是图中所示的公司网络的外联网？ 4：主机正在访问远程网络的FTP 服务器。中间网络设备在此对话中起到哪三个作用？（请选择三项。）

5一位家庭用户想要使用能够在普通电话线路上提供快速数字传输的ISP 连接。应选择哪种ISP 连接类型？ 6：在学校网络上，学生可以浏览网页、搜索图书馆数据库，还可以和日本的姊妹学校一起参加音频会议。如果使用QoS 为网络流量排列优先顺序，这些流量的优先级从高到低如何排列？ 7：管理员在发出ping命令之后在交换机上使用Ctrl-Shift-6 键组合。使用这些按键有什么用途？

8：OSI 模型的物理层有什么重要功能？ 9：下列哪个程序用于降低铜缆中的串扰影响？ 10：如果收到的帧的目的MAC 地址不在MAC 表中，第2 层交换机将执行什么操作？ 11：一名技术人员使用ping 127.0.0.1命令。该技术人员在测试什么内容？

12：交换机上的auto-MDIX 功能是什么？ 13：在传输过程中，IPv4 数据包报头中的哪个字段通常会保持不变？ 14：路由器将按哪个默认顺序搜索启动配置信息？ 15：当有多个可用路由时，路由器使用哪项参数来选择到达目的网络的路径？

16：在正常操作中，大多数思科路由器从哪个位置运行IOS？ 17：哪种连接能为思科路由器提供加密的安全CLI 会话？ 18：为了能够远程管理交换机，管理员可用以下哪条命令配置远程访问地址？ 19：下列哪个PC 地址在PC 移动到其他网络时也不会改变？

ccna考试题库101-125

QUESTION 101 Refer to the exhibit. The switch in the graphic has a default configuration and the MAC table is fully populated. In addition, this network is operating properly. The graphic represents selected header information in a frame leaving host A. What can be concluded from this information A. The MAC address of host A is B. The router will forward the packet in this frame to the Internet. C. The switch will only forward this frame to the attached router interface. D. All devices in this LAN except host A will pass the packet to Layer 3. QUESTION 102 What is an appropriate use of a default route A. to provide routing to a local web server B. to provide routing from an ISP to a stub network C. to provide routing that will override the configured dynamic routing protocol D. to provide routing to a destination that is not specified in the routing table and which is outside the local network QUESTION 103 Refer to the exhibit. A junior network engineer has prepared the exhibited configuration file. What two statements are true of the planned configuration for interface fa0/1 (Choose two.)

aaa认证

1.1 什么AAA AAA（Authentication Authorization Accounting）是一种提供认证、授权和计费的技术。 ●??认证（Authentication）：验证用户是否可以获得访问权，确定哪些用户可以访问网络。 ●??授权（Authorization）：授权用户可以使用哪些服务。 ●??计费（Accounting）：记录用户使用网络资源的情况。 1.2 AAA的基本架构 AAA通常采用“客户端—服务器”结构。这种结构既具有良好的可扩展性，又便于集中管理用户信息。如下图所示认证 AAA支持以下认证方式： ●??不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。 ●??本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在网络接入服务器上。本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备硬件条件限制。 ●??远端认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服务器上。AAA支持通过RADIUS（Remote Authentication Dial In User Service）协议或HWTACACS （HuaWei Terminal Access Controller Access Control System）协议进行远端认证。网络接入服务器NAS（Network Access Server）作为客户端，与RADIUS服务器或HWTACACS服务器通信。如果在一个认证方案中采用多种认证模式，将按照配置的顺序进行认证。当配置的认证方式是先远端认证后本地认证时如果登录的帐号在远端服务器上没有创建，但是在本地是存在的，经过远端认证时，将被认为认证失败，不再转入本地认证。只有在远端认证服务器无响应时，才会转入本地认证。如果选用了不认证（none）或本地认证（local），它必须作为最后一种认证模式。授权 AAA支持以下授权方式：不授权：不对用户进行授权处理。 ●??本地授权：根据网络接入服务器为本地用户账号配置的相关属性进行授权。 ●??HWTACACS授权：由TACACS服务器对用户进行授权。 ●??if-authenticated授权：如果用户通过了认证，而且使用的认证模式不是不认证，则用户授权通过。

H3C AAA认证配置

1.13 AAA典型配置举例 1.13.1 SSH用户的RADIUS认证和授权配置 1. 组网需求如图1-12所示，SSH用户主机与Router直接相连，Router与一台RADIUS服务器相连，需要实现使用RADIUS服务器对登录Router的SSH用户进行认证和授权。 ?由一台iMC服务器（IP地址为10.1.1.1/24）担当认证/授权RADIUS服务器的职责； ? Router与RADIUS服务器交互报文时使用的共享密钥为expert，认证/授权、计费的端口号分别为1812和1813； ? Router向RADIUS服务器发送的用户名携带域名； ? SSH用户登录Router时使用RADIUS服务器上配置的用户名hello@bbb以及密码进行认证，认证通过后具有缺省的用户角色network-operator。 2. 组网图图1-12 SSH用户RADIUS认证/授权配置组网图 3. 配置步骤 (1) 配置RADIUS服务器（iMC PLAT 5.0）下面以iMC为例（使用iMC版本为：iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)），说明RADIUS服务器的基本配置。 # 增加接入设备。登录进入iMC管理平台，选择“业务”页签，单击导航树中的[接入业务/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。 ?设置与Router交互报文时使用的认证、计费共享密钥为“expert”； ?设置认证及计费的端口号分别为“1812”和“1813”； ?选择业务类型为“设备管理业务”； ?选择接入设备类型为“H3C”； ?选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备； ?其它参数采用缺省值，并单击<确定>按钮完成操作。

2019年思科ITE 3,4,5,6章考试原题及答案_共12页

清洁计算机内部可以减少以下哪种负面环境因素？灰尘在清洁计算机机箱内部时，直接喷射压缩空气容易损坏下列哪种组件？风扇在生产车间，一个家具工厂用笔记本电脑来实现进程监控和报告。生产车间的环境温度大约为27 摄氏度（80 华氏度）。湿度相当高，大约为70%。风扇安装在通风口顶部。这里的木屑灰尘非常多。以下哪个条件最可能对在这一环境中使用的笔记本电脑产生不利影响？灰尘蔬菜罐头工厂使用笔记本电脑来监控生产线。生产环境的环境温度大约是24 摄氏度（75 华氏度）。湿度约为30%。由于装罐设备的使用，因此噪音很高。笔记本电脑放在一个木箱中，木箱三面距离笔记本电脑较近。以下哪个因素最可能对在这一环境中使用的笔记本电脑产生不利影响？放置笔记本电脑的木箱科考队正在用笔记本电脑工作。科学家们工作地点的温度范围为-13 华氏度（-25 摄氏度）到80 华氏度（27 摄氏度）。湿度约为40%。噪声水平较低，但地形崎岖，风速可达每小时45英里（每小时72公里）。在需要时，科学家们会停下脚步，用笔记本电脑输入数据。下列哪一项条件最有可能对于在此环境下使用的笔记本电脑造成负面影响？温度以下哪一项是制定预防性维护计划的一部分？记录每项维护任务的详细信息和频率技术人员正在施工现场执行PC硬件维护。作为预防性维护计划的一部分，技术人员应该执行什么任务？进气风扇除尘。以下哪项任务应作为硬件维护例行程序的一部分？检查并固定任何松动的电缆。在测试导致某个问题的若干可能原因时，应该首先测试哪类原因？最容易最明显的原因在解决计算机问题时可以使用下列哪两项物品来帮助制定行动计划？（选择两项。）计算机手册计算机维修历史记录日志为客户排除计算机故障之前应该备份哪两类数据？（选择两项。） Internet Explorer收藏夹文件客户创建的文档

aaa认证说明

AAA代表Authentication、Authorization、Accounting，意为认证、授权、记帐，其主要目的是管理哪些用户可以访问服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记帐。 1、认证：验证用户是否可以获得访问权限——“你是谁？” 2、授权：授权用户可以使用哪些资源——“你能干什么？” 3、记帐：记录用户使用网络资源的情况——“你干了些什么？” 好的，简单的了解理论知识后，接下来我们还是以实验的方式来进行讲解：为网络提供AAA服务的，主要有TACACS+和RADIUS协议，我们主要介绍是TACACS+协议，因为它运行在TCP协议基础之上，更适合大型网络，特别是融合型网络一、实验拓扑介绍该实验主要完成R1路由通过ACS服务器实现AAA认证，包括验证、授权和记帐，同时还包括PPP验证和计时通过cisco ACS实验二、安装cisco ACS 1、硬软件要求硬件：Pentium IV 处理器，1.8 GHz 或者更高操作系统：Windows 2000 Server Windows 2000 Advanced Server （Service Pack 4） Windows Server 2003，Enterprise Edition or Standard Edition （Service Pack 1）内存：最小1GB 虚拟内存：最小1GB 硬盘空间：最小1GB可用空间，实际大小根据日志文件的增长，复制和备份的需求而定。浏览器：Microsoft Internet Explorer 6 或者更高版本 JA V A运行环境：Sun JRE 1.4.2_04 或更高版本网络要求：在CISCO IOS 设备上为了全面的支持TACACS+ 和RADIUS，AAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。非CISCO IOS 设备上必须用TACACS+，RADIUS或者两者一起配置。运行ACS的主机必须能ping通所有的AAA客户端。 2、安装方法（我们用的版本是4.0版本）打开ACS安装程序文件夹，选中setup 双击。进入安装向导，根据提示进行安装，基本为默认 3、安装完成后的访问在运行ACS的主机上，通过桌面上的ACS Admin 网页图标，可以访问ACS的web格式的管理台。也可以通过网页浏览器输入地址：http://127.0.0.1:2002来访问ACS。注： ? Windows Xp不支持cisco ACS，在此笔者是在虚机中的windows2003sever下安装的 ? ACS安装完成后， 1、一定要安装JA VA平台，否则该ACS将不能正常使用，笔者在此安装的是jre-6u12-windows-i586-p-s.exe，版本为JRE 版本1.6.0_12 Java HotSpot （TM） 2、IE的浏览器一定把安全级别为低或者中低，否者打的开界面将是空的。三、ACS的配置 1、ACS管理员帐号 Step 1>点击ACS界面左边的Administration control 按钮，然后点击Administrator control界面中的Add Administrator Step 2>点击Add administrator 后出现此账户的诸多选项，逐一填写后点击Submit Step3>了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置如：http://10.10.10.110:2002 2、ACS网络（添加Tacacs+客户端

思科网院考试题库

思科网院考试题库 CCNA1 - Module 2 CCNA1 - Module 2 1 Which two layers of the OSI model have the same functions as the TCP/IP model Network Access Layer? (Choose two.) Network Transport Physical** Data Link** Session 2 What is a primary function of the trailer information added by the data link layer encapsulation? supports error detection** ensures ordered arrival of data provides delivery to correct destination identifies the devices on the local network assists intermediary devices with processing and path selection 3 During the encapsulation process, what occurs at the data link layer? No address is added. The logical address is added. The physical address is added.** The process port number is added.

思科认证考试(CCNA)考试模拟题集锦(1_71题)与答案

思科认证考试（ＣＣＮＡ）考试模拟题集锦(1-71题)及答案 19及答案 1. [OxNx] During a TFTP transfer using Cisco Routers what is the numeric value, in decimal, of the destination port field of the User Datagram Protocol (UDP) header? a) 96 b) 47 c) a random number above 1024 d) 69 e) none of the above 2. [CxNx] What is the standard encapsulation method used by Cisco routers for the Internet Protocol (IP) on it’s Ethernet interfaces? a) SNAP b) ARPA c) NOVELL-ETHER d) DARPA e) Ethernet_802.3 3. [CxNx] What will be the correct command on a Cisco router to set the IP address of an interface assuming you are at the "router(config-if)#" prompt? a) ip address 1.1.1.1 255.255.255.0 b) ip address 1.1.1.1 c) ip 1.1.1.1 d) ip 1.1.1.1 255.255.255.0 e) none of the above 4. [CxNx] Which commands will display the IP addresses of all interfaces on a Cisco Router? (Choose all that apply) a) show ip route b) show ip address c) show ip interface d) show interface e) display ip addresses 5. [CxNx] Which of the following commands will display the contents of the ARP cache of your Cisco router? a) show ip arp cache b) show ip route c) show ip arp d) show arp e) there is no way to display the ARP cache 6. [CxNx] Reverse Address Resolution Protocol (RARP) is the process: a) Where an I P host resolves it’s IP address by broadcasting it’s MAC address to the network and a BOOTP server assigns it an IP address. b) Where an IP host resolves it’s MAC address by broadcasting to the local network it’s IP address. c) Where an IP host tries to resolve the MAC address of a destination by sending a network broadcast. The destination responds to the broadcast with it’s MAC address. d) Where an IP host resolves a destination IP address by sending a broadcast on the local network and the destination host responds with it’s IP address. e)There is no such process. 7. [OxNx] Which of the following applications requires the connection-oriented layer four protocol, TCP? (Choose all that apply)

AAA认证配置

44AAA配置访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权和记账（AAA）是进行访问控制的一种主要的安全机制。 44.1AAA基本原理 AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务： ?认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local （本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别的一种方法。 ?授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。 ?记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进行读取分析，从而实现对用户使用网络资源的情况进行记账、统计、跟踪。部分产品的AAA仅提供认证功能。所有涉及产品规格的问题，可以通过向福建星网锐捷网络有限公司市场人员或技术支援人员咨询得到。尽管AAA是最主要的访问控制方法，锐捷产品同时也提供了在AAA范围之外的简单控制访问，如本地用户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样，AAA提供更高级别的安全保护。使用AAA有以下优点： ?灵活性和可控制性强 ?可扩充性 ?标准化认证 ?多个备用系统 44.1.1AAA基本原理

思科第一学期期末考试考题

1 Refer to the exhibit. Which Layer 2 protocol could be used inside nework A and network C IP TCP UDP Ethernet 2

Refer to the exhibit. Which set of devices contains only intermediary devices A, B, D, G A, B, E, F C, D, G, I G, H, I, J 3 Refer to the exhibit. The headers added at each layer are shown. Which layer adds the destination and source pro to ensure that data is delivered to the correct application physical layer data link layer network layer

transport layer 4The Layer 4 header contains which type of information to aid in the delivery of data service port number host logical address device physical address virtual connection identifier 5Which fiber connector supports full-duplex Ethernet 6Which device should be used for routing a packet to a remote network access switch DHCP server

AAA 防火墙认证简单实验

AAA 防火墙认证简单实验定义好防火墙初始设置让其具有简单的连通性定义AAA服务器的名字和协议 ASA(config)# aaa-Server fanfan.3a protocol tacacs+ 定义AAA服务器连接的接口，地址和加密密钥 ASA(config)# aaa-server fanfan.3a (dmz) host 192.168.1.10 ASA(config-aaa-server-host)# key cisco

Sh run查看一下 ASA# sh run aaa-server aaa-server fanfan.3a protocol tacacs+ aaa-server fanfan.3a (dmz) host 192.168.1.10 key cisco 到AAA服务器添加客户端 192.168.1.1 key cisco

创建一个用户fanfan密码fanfan 服务器已经定义了客户客户也已经定义服务器并且创建了用户接下来测试一下 ASA# test aaa authentication fanfan.3a Server IP Address or name: 192.168.1.10 Username: fanfan Password: ****** INFO: Attempting Authentication test to IP address <192.168.1.10> (timeout: 12 s

econds) INFO: Authentication Successful --------------认证成功配置telnet使用AAA服务器认证 ASA(config)# telnet 0 0 inside ASA(config)# aaa authen telnet console fanfan.3a 现在到10.1.1.10这台主机测试 telnet 10.1.1.1 可以看到输入fanfan password fanfan 可以成功登录到ASA 穿越协议认证支持对http https ftp telnet四种类型配置Cut-through（telnet）定义AAA服务器已经定义过

思科ITE章考试原题及答案

思科I T E章考试原题及答案集团文件版本号：（M928-T898-M248-WU2669-I2896-DQ586-M1988）

记录每项维护任务的详细信息和频率技术人员正在施工现场执行 PC 硬件维护。作为预防性维护计划的一部分，技术人员应该执行什么任务？进气风扇除尘。以下哪项任务应作为硬件维护例行程序的一部分？检查并固定任何松动的电缆。在测试导致某个问题的若干可能原因时，应该首先测试哪类原因？最容易最明显的原因在解决计算机问题时可以使用下列哪两项物品来帮助制定行动计划？（选择两项。）计算机手册计算机维修历史记录日志为客户排除计算机故障之前应该备份哪两类数据？（选择两项。）Internet Explorer 收藏夹文件客户创建的文档一位客户反映最近有几个文件无法访问。维修技术人员决定检查硬盘状态和文件系统结构。技术人员问客户是否对磁盘执行了备份，客户回答一个星期之前对磁盘上的另一个逻辑分区进行过备份。技术人员在对磁盘执行诊断步骤之前应该采取什么措施？将用户数据备份到可移动驱动器。在故障排除流程中，实施了一种可能的解决方案后，下一个步骤是什么？

CCNA(200-301)题库及答案

Exam A QUESTION 1 A network engineer must create a diagram of a multivendor network.which command must be configured on the Cisco devices so that the topology of the network can be mapped? A.Device(config)#lldp run B.Device(config)#cdp run C.Device(config)# cdp enable D.Device(config)# flow-sampler-map topology Correct Answer: A Section: (none) Explanation Explanation/Reference: QUESTION 2 Which feature on the Cisco Wireless LAN Controller when enabled restricts management access from specific networks? A.CPU ACL B.TACACS C.Flex ACL D.RADIUS Correct Answer: A Section: (none) Explanation Explanation/Reference: Reference: https://https://www.wendangku.net/doc/6b8719525.html,/c/en/us/support/docs/wireless-mobility/wlan-security/71978-acl-wlc.html QUESTION 3 When a site-to-site VPN is used, which protocol is responsible for the transport of user data?

AAA认证功能介绍

OLT AAA认证功能介绍VESION 1.0 2011年7月7日

AAA认证功能介绍 (1) 一、相关知识点介绍 (3) 1.1. AAA简介 (3) 1.1.1. 认证功能 (3) 1.1.2. 授权功能 (3) 1.1.3. 计费功能 (3) 1.2. ISP Domain简介 (4) 1.3. Radius协议简介 (4) 1.3.1. RADIUS 服务的3个部分 (4) 1.3.2. RADIUS 的基本消息交互流程 (4) 1.4. TACACS+协议简介 (5) 1.5. RADIUS和TACACS+实现的区别 (6) 1.5.1.RADIUS使用UDP而TACACS+使用TCP (7) 1.5.2.加密方式 (7) 二、OLT上的AAA功能特点 (7) 三、AAA认证命令行配置 (8) 3.1. AAA配置 (8) 3.2. 配置ISP域 (8) 3.3. 配置RADIUS协议 (9) 3.4. 配置TACACS+协议 (10) 四、AAA认证server简介 (11) 4.1. 安装环境介绍： (11) 4.2. 安装和简要配置 (12) 五、配置案例 (13) 5.1. Telnet用户通过RADIUS服务器认证的应用配置 (13) 5.2. Telnet用户通过TACACS+服务器认证的应用配置 (14) 5.3. Telnet用户通过双服务器实现主备冗余的radius认证 (16)

一、相关知识点介绍 1.1. AAA简介 AAA 是Authentication，Authorization and Accounting（认证、授权和计费）的简称，它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架，实际上是对网络安全的一种管理。这里的网络安全主要是指访问控制，包括： ● 哪些用户可以访问网络服务器； ● 具有访问权的用户可以得到哪些服务； ● 如何对正在使用网络资源的用户进行计费。针对以上问题，AAA 必须提供认证功能、授权功能和计费功能。 1.1.1. 认证功能 AAA 支持以下认证方式： ●不认证：对用户非常信任，不对其进行合法检查。一般情况下不采用这种方式。 ●本地认证：将用户信息（包括本地用户的用户名、密码和各种属性）配置在设备上。本地认证的优点是速度快，可以降低运营成本；缺点是存储信息量受设备硬件条件限制。 ●远端认证：支持通过 RADIUS 协议或TACACS+ 协议进行远端认证，设备作为客户端，与RADIUS 服务器或TACACS+ 服务器通信。对于RADIUS 协议，可以采用标准或扩展的RADIUS 协议。 1.1. 2. 授权功能 AAA 支持以下授权方式： ●直接授权：对用户非常信任，直接授权通过。 ●本地授权：根据设备上为本地用户配置的相关属性进行授权。 ● RADIUS 认证成功后授权：RADIUS 协议的认证和授权是绑定在一起的，不能单独使用RADIUS 进行授权。 ● TACACS+ 授权：由TACACS+ 服务器对用户进行授权。 1.1.3. 计费功能 AAA 支持以下计费方式： ●不计费：不对用户计费。 ●远端计费：支持通过 RADIUS 服务器或TACACS+ 服务器进行远端计费。

思科认证考试题库

CCNA640-802 V13题库试题分析题库讲解：吴老师（艾迪飞CCIE实验室首发网站：https://www.wendangku.net/doc/6b8719525.html, 1. What are two reasons that a network administrator would use access lists? (Choose two.) A. to control vty access into a router B. to control broadcast traffic through a router C. to filter traffic as it passes through a router D. to filter traffic that originates from the router E. to replace passwords as a line of defense against security incursions Answer: AC 解释一下：在VTY线路下应用ACL，可以控制从VTY线路进来的telnet的流量。也可以过滤穿越一台路由器的流量。 2. A default Frame Relay WAN is classified as what type of physical network? A. point-to-point B. broadcast multi-access C. nonbroadcast multi-access D. nonbroadcast multipoint E. broadcast point-to-multipoint Answer: C 解释一下：在默认的情况下，帧中继为非广播多路访问链路。但是也可以通过子接口来修改他的网络的类型。 3．Refer to the exhibit. How many broadcast domains exist in the exhibited topology?

AAA认证过程

AAA使用的是802.1x协议全称是：Port-Based Network Access Control Protocol（基于端口的网络访问控制协议）他是通过EAPoL报文交互认证的. 802.1X 认证有3 个重要角色：恳求者、认证者和认证服务器。 1.客户端SU 以组播方式发送一个EAP 报文发起认证过程（协议标准组播地址为 01-80-C2-00-00-03) 2 . 交换机收到该报文后，发送一个EAP-Request 报文响应客户端的认证请求，要求用户提供用户名信息。 3 . 客户端收到EAP-Request 之后响应一个EAP-Response 报文，将用户名封装在EAP 报文中发给交换机。 4 . 交换机将客户端送来的EAP-Request 报文与自己的交换机IP、端口等相关信息一起封装在RADIUS Access-Request 报文中发给认证服务器。 5 . 认证服务器收到RADIUS Access-Request 报文后进行验证，如果该用户的相关信息有效，则对该用户发起一次认证挑战（RADIUS Access-Challenge），要求用户提供密码。 6 . 交换机收到这条RADIUS Access-Challenge 报文后，将挑战请求用一条 EAP-Challenge Request 转发给客户端。 7 . 客户端接到挑战请求后，将用户密码进行加密处理，封装在EAP-Challenge Response 中返回给交换机。 8 . 交换机将用户的EAP-Challenge Response 封装为RADIUS Access-Request 报文转发给认证服务器。 9 . 认证服务器对用户的密码进行验证，如果验证失败，服务器将返回一条RADIUSAccess-Reject 报文，拒绝用户的认证请求；如果验证通过，服务器则发送一条RADIUS Access-Accept 报文给交换机。 1 0 . 交换机在接到认证服务器发来的RADIUS Access-Accept 之后，解除对客户端的访问控制，同时发送一条EAP-Success 报文给客户端通知其认证已经成功

CCIE模拟考试题_思科认证考试.doc

CCIE模拟考试题_思科认证考试 1.What statement is FALSE with respect to the operation of Unidirectional Link Detection? A. It negotiates the Unidirectional Link Detection link state during physical signaling. B. It performs tasks that autonegotiation cannot perform. C. It works by exchanging protocol packets between the neighboring devices. D. Both devices on the link must support Unidirectional Link Detection and have it enabled on respective ports. 2.What is true concerning Traffic contract, Traffic shaping, and Traffic policing in ATM networks? A. They are parameters of PNNI set during PNNI configuration. B. They are forms of QoS features used in ATM networks. C. They are types of SVCs. D. They are types of PVCs. E. They are only used between ATM switches to control traffic flows.