思科ISE为通过认证的接入用户下发VLAN或ACL

思科ISE为通过认证的接入用户下发VLAN或ACL,第1张

一 前言
通过往期3篇文章《思科ISE 对公司访客进行Portal 认证》,《思科ISE对有线接入用户进行MAC认证》,《思科ISE对有线接入用户进行8021X认证》的学习,想必大家对网络准入已经很熟悉了。了解了每一种准入方案的使用场景,为网络的安全起到了更大的保障。

通常情况下,我们在创建ACL时都是在路由器或者防火墙上进行创建,由于每个用户对应的ACL条目并不多,如果路由器或者防火墙上的ACL条目过多时,会降低它们的性能;我们可以在AAA服务器上创建ACL,当有用户要访问网络资源时,用户需要输入用户名和密码,然后AAA服务器将这个用户所对应的ACL条目动态地下发到目标主机上,从而实现针对不同授权的用户,实现不同网络权限的访问。

二 VLAN配置下发简介

本案例以授权ACL和动态VLAN为例,简单介绍如何通过思科ISE为终端用户授权。

一 实验拓扑

二 组网需求

如上图所示,某公司内部大量员工终端通过SwitchA上的接口GE1/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:

三 配置逻辑

华为交换机的配置逻辑如下图所示

表1 思科ISE的配置逻辑

四 实验设备及注意事项

本举例适用于华为V200R009C00及之后版本的所有交换机,Cisco ISE的版本为21,Cisco ISE作为RADIUS服务器与设备对接实现授权时,需要注意以下事项:

五 数据规划

表2 接入交换机业务数据规划

表3Cisco ISE服务器业务数据规划

六 配置步骤

Step 1 - 配置接入交换机SwitchA。

Step 2 - Cisco ISE 服务器侧配置

表4

在“Add New Standard Profile”页面,设置访问权限。
表5

AAA是Authentication(验证)、Authorization(授权)和Accounting(审计)的简称。

AAA是一种提供验证、授权和审计的安全技术。该技术可以用于验证用户是否合法,授权用户可以访问哪些服务,并记录用户使用网络资源的情况。

例如,企业总部需要对服务器的资源访问进行控制,只有通过验证的用户才能访问特定的资源,并对用户使用资源的情况进行记录。在这种场景下,可以按照如图1-1所示的方案进行AAA部署。NAS为网络接入服务器,也称为AAA的客户端,负责集中收集和管理用户的访问请求。AAA服务器可以一台专属的硬件设备,也可以是以软件的形式安装在服务器 *** 作系统上(本文将使用思科的ACS软件来实现AAA服务器),用户的验证、授权和审计服务均由AAA服务器来完成。

图1-1

如图1-1所示,当分支站点的用户需要访问总部的服务器资源时,NAS设备会对用户的访问进行控制,用户向NAS设备提交账户信息(用户名和密码)后,NAS设备会将用户信息发送给AAA服务器,由AAA服务器进行账户信息的验证,并对用户进行授权。如果用户验证通过,则分支站点的用户可以访问到特性的服务器资源(可以访问哪些服务器,由授权来决定),同时AAA服务器也会对用户的访问行为进行审计。

RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)由IETF定义的一种公有协议,是AAA客户端和AAA服务器之间通讯的一种协议。除了RADIUS协议外,不同的网络设备厂商也提出了各自的私有协议,例如,思科公司提出的TACACS+协议,华为提出的HWTACACS,也可以使用在AAA客户端和AAA服务器之间。(本文将使用RADIUS协议作为AAA的通讯协议)

图2-1

Step 1 - 基础IP配置(略)
Step 2 - 配置AAA服务器

在页面的左下角点击Create

配置AAA客户端

Step 3 - 配置AAA客户端

ARG3系列路由设备支持两种缺省域:

进入default-admin域绑定认证模板和radius-server模板(这个default-admin域是专门用来管理用的,所以telnet,ssh等登陆设备时必须使用这个默认的域,自己定义的不行)

Step 4 - 在PC机上进行测试

网络接入认证
在WLAN的体系结构中,认证服务器(AS)的主要功能是对业务进行控制管理,它保存用户的认证信息及相关属性,并在接收到用户申请时,在数据库中对用户信息进行查询。接入控制器(AC)在WLAN与Internet之间起到网关功能,将来自不同接入点的数据进行汇聚、接入Internet。接入点(AP)的作用是完成无线接入,它可以通过网络标志来控制用户接入。
网络接入认证有RADIUS认证、基于SIM卡方式认证和虚拟SIM卡认证三种方式。RADIUS认证方式是通过在WLAN覆盖热点设置RADIUS服务器,对WLAN用户实现立即计费,但此方式需要与提供WLAN业务的商家达成一致,共同建设RADIUS服务器,而且漫游计费实现较困难。
虚拟SIM卡认证是以RADIUS认证方式为基础发展起来的一种认证方式。它一般在城域网的管理中心,设置AAA服务器,并在路由器上设置重新定向,用户上网时,被定向到登录页面,用户在登录页面上输入正确的手机号码和相应的随机密码才能访问。其认证过程要首先通过移动电话发送一条特定的短消息到AAA服务器;AAA服务器收到短信后,在用户的数据库中添加账号;AAA服务器将用户账号信息发送给手机用户,相关的账号信息包括用户的登录用户名、随机登录密码、本次账号最高费用限额、账号有效时限等信息,用户根据手机接收到的账号信息通过计算机接入WLAN。这种方式存在的最大问题是短信业务的服务质量。短信息采用无确认方式,发出短信后有可能会丢失,也有可能会有很长时间的延迟,这会影响WLAN用户的登录。如要实施这种方式的认证,对现行的短信息业务必须重新设置或者把普通的短信与WLAN用户的短信区分开,这要在软件方面增加一定的难度。
基于SIM卡认证可以将中国移动GSM/GPRS网络与WLAN有机结合起来。该方式最大的优点是使用方便,用户可以方便地根据网络的实际情况选择GPRS、WLAN等方式上网,同时由于WLAN收费最终是通过GSM/GPRS计费网关实现的,这样电话和上网的费用就合成一张账单,简化了用户的缴费手续。而且,WLAN用户在漫游方面也可以借助于现有的移动运营上的数据库方便地实现用户漫游和计费,可以最大限度地发挥现有的资源,不需要做很大的改动。SIM卡也是独一无二的,因此可以有效防止非法用户接入WLAN。综上所述,基于SIM卡的认证方式,即指AS接受来自AC的用户认证服务请求,对WLAN用户进行认证,并将认证结果通知AC。

AAA是验证、授权和记账(Authentication、Authorization、Accounting )三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。希望帮助了你。

1、树立企业形象的有效途径。

企业信用评级对于塑造信用形象、降低交易成本、提升竞争能力、创建良好的竞争环境具有重要意义。

2、信用评级是企业赢取市场的通行证。

信用评级是获得政府扶持、竞标、商务往来、招商引资、融资担保、银行贷款的通行证。

3、信用评级是企业综合竞争力的证明。

信用状况是衡量企业履约能力、投标信誉的重要因素,通过信用评级可为企业综合竞争力提供最有力的证明。

4、信用评级是强化企业管理和防范风险的必要手段。

通过客观评价,企业可以发现自身的不足和存在的隐患,改善经营管理和加强风险防范,建立起服务于销售与财务控制的现代信用管理制度。市场经济发达国家的企业都设有信用管理部门,目前,我国只有大型中央直属企业、部分上市公司、多数三资企业建立了信用管理部门。信用管理部门的一个重要职能是协调财务与销售,开展信用交易,防范经营和财务风险。

扩展资料:

AAA认证申请办理流程:

1、评级小组向信用评级机构的内部信用评审委员会提交三级审核后的信用评级报告及工作底稿。信用评审委员会应当根据信用等级评定办法及级别限制条件,决定评级对象的信用等级。

2、内部信用评审委员会应招开评审会。评审会听取评估人员情况介绍,并对信用评级报告及工作底稿进行讨论、质疑、审核,提出信用评级报告的修改意见

3、评级小组根据信用评审委员会决定的信用等级及评定意见,修改信用评级报告;评级结果须经2/3以上的与会评审委员同意方为有效。

参考资料来源:百度百科 - AAA认证

王强 科技视界  2019年20期

摘 要AeroMACS(Aeronautical Mobile Airport Communications System)作为新型机场航空移动通信系统,可以适用于近场航空器、机场地面交通以及其他近机场范围内场景的通信服务。相较于其他的移动通信系统来说,AeroMACS表现出了较好的安全性,且由于支持ATC与AOC高速数据交换业务,信息传递的效率也相对较高。本文,就结合AreoMACS技术的内容,在分析其网络结构后,对其在民航机场以及航空管理中的应用展开探讨。

关键词AreoMACS;移动通信系统;网络拓扑;民航
中图分类号: TN9272文献标识码: A文章编号: 2095-2457(2019)20-0048-002
DOI:1019694/jcnkiissn2095-2457201920020
0 引言
随着空中交通量的增加,飞行员、空中交通管制员、航空公司和机场运营商之间的信息共享对于提高空中交通安全和确保航班准时调度至关重要。然而,目前的空中交通管理(ATM)系统面临着系统集成的困难,因为ATM应用数据都是基于其旧有的通信协议实现的。为了解决这一问题,国际民航组织采用了系统范围信息管理(SWIM)的概念,以便通过国际标准化格式有效地储存和交换信息。AeroMACS技术就是建立在IEEE80216e-2009(WiMax)标准基础上的一种可支持高速移动和固定通信,并且与飞行安全相关的,机场场面通信数据链。由于信息传递质量较高,且传输延时较小,可以满足绝大部分的通信服务需求。现就AeroMACS技术的要点展开阐述,并且探讨其在航空管理工作中的可能应用。
1 AreoMACS的技术探究
11 系统内容
AeroMACS是ICAO正式批准的机场场面宽带无线通信标准,2016 ICAO发布Doc 10044-AeroMACS Technical Manual;ICAO附件10附录3第7章中发布AeroMACS SARPs(Standards and Recommended Practices);2017年7月AEEC正式确认ARINC DOC 766-AeroMACS Transceiver and Air Installation Standards 航电设备标准。AeroMACS作为民航专用网络,使用民航专属频率,ICAO允许直接与前舱机载设备进行ACD(Aircraft Control Domain)和AISD(Aircraft Information Service Domain)类通信,属于ACARS升级系统。AeroMACS获批允许使用的频段为5091MHz至5150MHz(C波段),在5MHz带宽下传输速率能够达到5-9Mb/S,属于宽带无线通信服务。为了提升信息传递可靠性,系统采取有效的安全协议和加密系统,防止来自外部的恶意攻击,确保通信服务的质量。从理论层面上来讲,AeroMACS单个基站的通信覆盖距离为83km,但由于机场的建设范围普遍较大,如果仅设置一个基站,很难保障机场通信服务的全面覆盖。因此,需要采取分别设置基站的方式,增强机场区域的网络覆盖状况,从而提升通信数据的质量与效率。
12 网络结构
应用AeroMACS技术的主要目的是为提升通信服务质量,通过对基站以及各类通信技术模块的有效布置来提升网络覆盖率,从根本上增强信息传播的效率与质量。一般而言,AeroMACS系统主要由移动用户站(MS-Mobile Station)、固定用户站(SS-Subscriber Station)、服务网络(ASN-Access Service Network)、基站(BS-Base Station)、网关(ASN-GW)、AAA认证服务器和网络联通服务(CSN-Communication Service Network)等共同组成。实际进行系统设计时,需要结合通信服务区域的分布特点以及通讯服务需求,合理设置基站位置,以及基站与网关,基站与用户站的结构关系。系统网络拓扑简图如下图1所示。[1]其中移动用户站指的是,各类交通运输工具等的移动节点;固定用户站则是指雷达以及航线设备的节点站;基站指的是网络的接入部位,借助基站可以实现对地空通信服务的有效连接,主要是通过上行链路和下行链路调度器对射频资源进行管理与区分,并且依靠逻辑基站进行频率的置换,从而达成通信交流的目的;ASN网关的主要作用为与网络联通服务(CSN)进行直接连接,并且实现路由的桥接功能。此外,还具备一定的逻辑功能,可对通信数据的传输安全进行分析,并且做到对数据信息负载的平区分配,保障基站的运行荷载均衡。基站和ASN网关共同组成最基本的ASN;AAA认证服务器提供验证授权以及帐户服务,管理接入用户访问网络服务器,对具有访问权的用户提供服务;网络联通服务是指在机场内部或者网络内部有针对性的为用户提供IP连接服务的功能模块。
2 AreoMACS技术在民航机场中的应用简述
21 技术研究应用的进程
AeroMACS技术是在民航事业快速发展,以及机场管理对通信系统的服务需求逐渐提升的基层上所展开研究的新型通信技术。最初原型是在2003年的航行大会上被首次提出,对于AeroMACS技术的规划研究主要牵头人为FAA与EUROCONTROL,他们认为使用WiMAX技术替代原有的宽带接入系统可以为机场提供更高水平的通信服务。从AeroMACS技术的基本理念被提出,到其技术原理的设计与规划初步完成后,美国以及日本等先进国家针对该项技术进行了大量测试应用,已经取得了较好的应用成果。
22 应用特性分析
该系统融合了大量的先进技术,每项技术在单独应用时,均能发挥良好的作用,多项先进技术共同组成的系统,也就具备普通民航通讯系统所不具备的应用优势。主要表现为:与普通的航空管理通信服务系统相比,该系统中的带宽设置更加合理,且信息通道较多,在进行信息传输时,可实现对多个渠道信息的同步传输,有效打破了原有的带宽限制问题。此外,还具备良好的信息传输可靠性,该系统中所应用的加密认证算法和认证服务可有效避免来自外界的攻击影响,使信息传输安全得到保障;具备较强的移动性,在移动终端运动速率较大的情况下,也可提供良好的通信服务功能;具备较强的兼容性。IP网络覆盖面积较广,可以适用于多种网络。[2]此外,在系统设置合理的情况下,单个基站的信息传输覆盖范围可超出10千米,远远胜过原有的通信基站系统。从某一层面上来讲,该项系统的应用还可减少基站设置的数量,同时能够保障信息传输的效率与质量。AeroMACS可以支持机场地面移动用户之间的各种数据、视频和语音传输以及信息交换。该系统将重点支持与飞行安全和 *** 作规范相关的服务,通过提高系统的安全性、可用性和多样性,例如,完善通信导航监视系统基础设施的开发和运营,以及ATM和ATC服务。AeroMACS支持图像和视频的准实时传输,这将显著提高机场地面的态势感知和交通流处理能力,同时减少拥堵和延误,可应用于防止跑道入侵。AeroMACS的其他应用包括:在施工或电缆供电中断期间提供短期应急通信,增强协同决策能力,为驾驶舱提供最新天气图像和导航信息以及时间关键咨询信息等。
3 AreoMACS在航空管理中的应用
31 在EFB中的应用
EFB(Electronic Flight Bag)指的是,在驾驶舱和客舱内用于显示软硬件参数的显示系统。在该系统中,相关人员可对航班行程和气象资料进行全面了解,同时,也可实现对航空信息的及时了解,对于飞机航行过程中的燃油数据也可做到及时显示。该系统应用于航空管理,可有效降低资料管理成本,并且能够保障对各类行情信息的共享。但其在应用中还存在一定的弊端,即仅能通过对数据信息的前期储存,才能保证对各类信息的同步,对于航线以及气象信息资料等,无法实现及时更新、实时推送,数据信息的存储方式还是以储存卡为载体。为了改善EFB系统中存在的弊端,可以使其与AeroMACS系统进行连接,借助AeroMACS系统中的数据对显示系统中的数据进行及时更新。对于AeroMACS网络已经全面覆盖的机场来说,在航空器的特定位置中安装接收器就可实现对相关的航线信息以及机场站所发送的相关数据信息进行及时同步,保障航空管理信息同步的及时性。[3]
32 在航空应急通信中的应用
在以往的航空管理工作中所采用的通信传输系统主要由电信运营商和光缆资源共同组成,进行通讯服务时,主要是借助卫星通信和微波通信的方式实现空中与地上的通信交流。在发生较大的自然灾害时,通信设备很容易遭到破坏,由于通信系统的特殊构造在破坏之后很难及时修复,这就对航空管理工作质量造成了极大的影响。AeroMACS系统的应用具有较好的机动性能,在发生较大的自然灾害时,可通过重新组合通信系统的方式继续为航空管理工作提供通信服务,保障通信系统的持续稳定运行。比如借助专门的应急通信车辆进行基站调动,实现各部门通信质量的有效保障,从而提升现场调度的作用,发挥通信服务的管理职能。
33  在航空管理延伸服务中的应用
这里所说的延伸服务指的是延伸放行服务,即相关的管理部门主动提供天气、飞行以及放行等资料,使飞行员可以及时了解放行资料信息,省去飞行员进行放行资料办理的环节。以往的延伸放行服务需要由专业的人员到机上进行现场办理,相对来说,办理效率较低,而在航班数量逐渐增加的基础上,此种办理方式很容易产生航班延误的问题。基于此,应充分发挥AeroMACS系统的通信传输作用。在每个飞机上设置接收器,对于各类资料信息进行及时获取,这可在很大程度上减轻飞行人员的工作压力。
34 在空管数据传送中的应用
对于机场周边适用于AeroMACS作用距离及使用环境的通信监视远端站,包括雷达站、甚高频收发基站,可以探索基于AeroMACS技术来传送雷达数据和甚高频语音数据。使用AeroMACS无线侧链路作为有线侧传输链路的备份手段,可以大大提升空管数据传输的安全冗余。
4 结语
AeroMACS技术中涵盖多种先进的技术内容,可有效提升通信服务的质量,还可在一定程度上提升通信信息的安全性。在航空管理工作中的应用,可有效改善原有航空管理中存在的不足,打破原有的通信服务限制,更好的提升通信质量,且对于基站的设置也具有一定的机动性,可根据机场的管理需求,对基站进行有效调配,保证通信服务的持续性以及可靠性。现阶段,AeroMACS技术在国际上的发展与应用已经取得了较大的进展,国内目前也陆续在各个大型机场进行AeroMACS网络建设,并对该项技术的应用进行研究论证和持续开发,使其更好的发挥自身的通信服务功能,为航空管理工作以及航空事业的发展提供可靠的技术支持。
参考文献
[1]冯晓波,封世领AeroMACS技术在ACARS数据链系统中的应用[J]航空电子技术,2018,49(a01):1-5
[2]Byrne D,Nejatian N PAeroMACS:How to warrant interoperability[C]// Integrated Communications Navigation & Surveillance2016
[3]Morioka K,Kanada N,Futatsumori S,et alOnboard Antenna Placement Studies for CNPC Links of UAS Using AeroMACS[C]// IEEE International Symposium on Autonomous Decentralized System2017
[4]姜恩勇航空机场场面宽带移动通信系统在民航的应用[J]无线互联科技,2015(14):7-8
[5]Bartoli,Giulio,Fantacci,Romano,Marabissi,DaniaAEROMACS:A NEW PERSPECTIVE FOR MOBILE AIRPORT COMMUNICATIONS AND SERVICES//《Wireless Communications IEEE》2013

AAA 代表 认证Authentication,授权Authorization,审计Accounting!
AAA 可以看做一种网络安全的管理机制,开启AAA后你的所有认证都要在AAA服务器或AAA本地验证 8021x是利用AAA服务 解决接入者的身份验证机制 所以 配置8021x要使用AAA!! 望采纳


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13323279.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-07-14
下一篇 2023-07-14

发表评论

登录后才能评论

评论列表(0条)

保存