AAA安全认证系统

无线网络安全指南：为RADIUS服务器建立自签名证书对于系统管理员和企业CIO来说，企业无线局域网的安全问题一直是他们关注的重心。

在4月份中，我们会连续关注企业无线局域网安全，今天我们将介绍自签名数字证书，帮助那些不愿意花钱购买CA机构颁发的证书的企业也可以搭建RADIUS服务器。

自签名数字证书是企业避免采用CA机构颁发的数字正数的一种方式。

长期以来，自签名数字证书一直被开发人员用来进行安全Web服务器的测试，但是很长一段时间都没有被用作正式的系统。

一些人知道自签名数字证书或者采用了这种方法来进行RADIUS PEAP验证，但是目前还没有官方的文档介绍这种用途的具体实施方法。

自签名数字证书的概念与Pretty Good Privacy（PGP）类似，他们同样不使用公众CA机构的数字签名。

虽然PKI和PGP都属于PKC，但是数字证书是针对PKI信任模式的集中化受信CA设计的，而PGP则是使用分布式的P2P方式来建立信任关系。

比如，一个PGP用户会生成他们自己的公钥和私钥，然后将公钥发布到用户自己的公众Web 服务器上供其他用户校验。

由于采用这种建立信任的模式，并不需要公众或私营CA机构的参与，因此不会像SSL或PEAP等安全验证协议会遇到CA的问题。

要创建一个自签名数字证书很简单，用户只需要使用工具创建一个带有数字签名的数字证书即可。

与通过公众受信的CA机构获取数字证书的签名不同，这个工具可以自行签发证书。

当数字证书创建后，包含“根证书”公钥的公开版本的数字证书会被导出，并成为一个可以被公众访问的文件。

根证书可以通过任何方发布（比如Web网站）而不用担心会被破解，因为与之配对的私钥并没有被发布出去。

任何采用PKC技术的验证方式，比如PGP或PKI，都没有特殊的方法可以从公钥中提取出私钥。

当拥有了字签名的数字证书，用户就可以通过RADIUS服务器使用PEAP验证协议进行安全的身份验证了。

Microsoft IIS 6.0 资源包当我开始考虑为PEAP身份验证方式使用字签名证书时，我第一个想到的就是找一款使用简单的创建字签名数字证书的工具。

不能作为门槛条件和打分项的非国家强制认证目录1、中国AAA级“重质量守信用”企业认证2、中国AAA级“重合同守信用”企业认证3、中国AAA级“重服务守信用”企业认证4、“守合同重信用”企业证书5、质量管理体系认证（等同于ISO9001）6、环境管理体系认证（等同于ISO14001）7、职业健康安全管理体系认证（等同于OHSAS18001）8、信息安全管理体系认证（等同于ISO27001）9、软件企业认定证书10、国家规划布局内重点软件企业证书11、软件著作权登记证书12、软件产品登记证书13、CMMI认证(能力成熟度模型)14、高新技术企业证书15、国家职业核心能力培训认证16、CCCS客户联络中心标准体系认证17、信息安全服务资质认证18、计算机信息系统集成企业资质19、安防工程企业资质20、黑龙江省计算机信息系统建设安全资质21、计算机信息系统集成项目经理及高级项目经理资质22、CE认证（安全合格标志）欧盟认证23、TL9000认证（电信行业质量体系标准认证）国际认证24、ISO20000（IT 信息技术服务管理体系标准）国际认证25、ROHS环保认证(欧盟认证)26、TCO5.0认证（瑞典劳工联盟认证标准）显示器认证27、EPEAT GOLD环保认证（多维环境绩效标准）美国电子产品认证28、国际医学机构、协会认证29、CVE认证（国际信息安全认证）美国30、FCC（电子产品安全认证）美国31、Energy Star认证(能源之星认证)美国32、2015年（第二十九届）中国电子信息百强企业33、国际数据公司（IDC）统计2015年度PC机市场占有率注：此表中尚未列举的非国家强制性资质认证和排名，也不能在技术参数、商务条款、评分标准和细则中使用。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与outlook对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与深信服EMM对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Windows终端对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

H3C-RADIUS配置⽬录1 AAA配置1.1 AAA简介1.2 RADIUS协议简介1.2.1 客户端/服务器模式1.2.2 安全和认证机制1.2.3 RADIUS的基本消息交互流程1.2.4 RADIUS报⽂结构1.2.5 RADIUS扩展属性1.3 HWTACACS协议简介1.3.1 HWTACACS协议与RADIUS协议的区别1.3.2 HWTACACS的基本消息交互流程1.4 协议规范1.5 AAA配置任务简介1.6 配置AAA1.6.1 配置准备1.6.2 创建ISP域1.6.3 配置ISP域的属性1.6.4 配置ISP域的AAA认证⽅案1.6.5 配置ISP域的AAA授权⽅案1.6.6 配置ISP域的AAA计费⽅案1.6.7 配置本地⽤户的属性1.6.8 配置⽤户组的属性1.6.9 配置强制切断⽤户连接1.6.10 AAA显⽰与维护1.7 配置RADIUS1.7.1 创建RADIUS⽅案1.7.2 配置RADIUS认证/授权服务器1.7.3 配置RADIUS计费服务器及相关参数1.7.4 配置RADIUS报⽂的共享密钥1.7.5 配置RADIUS报⽂的超时重传次数最⼤值1.7.6 配置⽀持的RADIUS服务器的类型1.7.7 配置RADIUS服务器的状态1.7.8 配置发送给RADIUS服务器的数据相关属性1.7.9 配置RADIUS服务器的定时器1.7.10 配置RADIUS服务器的安全策略服务器1.7.11 使能RADIUS客户端的监听端⼝1.7.12 RADIUS显⽰和维护1.8 配置HWTACACS1.8.1 创建HWTACACS⽅案1.8.2 配置HWTACACS认证服务器1.8.3 配置HWTACACS授权服务器1.8.4 配置HWTACACS计费服务器1.8.5 配置HWTACACS报⽂的共享密钥1.8.6 配置发送给HWTACACS服务器的数据相关属性1.8.7 配置HWTACACS服务器的定时器1.8.8 HWTACACS显⽰和维护1.9 AAA典型配置举例1.9.1 Telnet/SSH⽤户通过RADIUS服务器认证、授权、计费的应⽤配置1.9.2 FTP/Telnet⽤户本地认证、授权、计费配置1.9.3 PPP⽤户通过HWTACACS服务器认证、授权、计费的应⽤配置1.10 AAA常见配置错误举例1.10.1 RADIUS认证/授权失败1.10.2 RADIUS报⽂传送失败1.10.3 RADIUS计费功能异常1.10.4 HWTACACS常见配置错误举例1 AAA配置1.1 AAA简介AAA是Authentication、Authorization、Accounting（认证、授权、计费）的简称，是⽹络安全的⼀种管理机制，提供了认证、授权、计费三种安全功能。

清空Console口密码可以通过以下两种方式清空Console口密码，建议优先使用方法一。

方法一：通过BIOS菜单启动设备使用这种方法，仅本次通过Console口登录时不需要输入密码，原来的Console口登录密码仍然保存在配置文件中。

1. 通过Console口连接设备，并重启设备。

当界面出现以下信息时，请3秒内按下快捷键“Ctrl+B”并输入BIOS密码，进入BIOS主菜单。

选择Modify console password，输入y后设备继续启动。

2. Press CTRL+B to enter BIOS menu: 13.4. Password: //BIOS缺省密码为Admin@5. Info: The entered password is the same as the default one. You are advisedto change the password to ensure security.6.7. BIOS Menu (Version: 333)8.9. 1. Continue to boot10. 2. Update from serial interface11. 3. Update from ethernet interface12. 4. Modify startup parameters13. 5. File system14. 6. Modify stack parameters15. 7. Modify BIOS password16. 8. Modify console password17. 9. Restore factory defaults18. 10. Reboot19.20. Enter your choice(1-10): 821.22. Caution: A new console password must be set after the restart.Continue now? Yes(y) or No(n): y23. 出现如下显示时，输入n，即不设置首次登录Console口密码。

贞眉内容PIX安全配置规范帐号安全-1要求内容操作指南支持按用户分配账号。

__________________________配置操作:一、使用本地认证：pixfirewall{config)# user userl pass ciscol pr 15pixfirewall{config)# user user2 pass cisco2 pr 10pixfirewall{config)# user user3 pass cisco3 pr 5二、使用ACS认证：pixfirewall{config)# aaa-server AAA pro tac {"AAA"为自己定义的名称) pixfirewall{config-aaa-server-group)# aaa-server AAA host 8・8・8・8(该地址为实际的TACACS+服务器地址) {自己定义的密码) pixfirewall{config-aaa-server-host)# key ciscopixfirewall{config)# aaa authen enable console AAA检测方法检测操作：一、使用本地认证：Pixfirewall{config)# sh run useruser name userl p assword p LmuBzTQeYSthR pK encrypted privilege 15username user2 password NI・B5cRNDk5f3O3u encrypted privilege 10username user3 password AsB2t//QBtuOHOrA encrypted privilege 5二.使用ACS认证：pixfirewall{config)# shrun aaaaaa authentication enable console AAApixfirewall(config)# sh run aaa- aaa-serverAAA protocol tacacs+ aaa-server AAA host8.8.8.8key ciscopixfirewall(config)#test aaa-server authentication AAA host 8.8.8.8 username username passwordpassword帐号安全-2要求内容 操作指南 与设备运行、维护等工作无关的账号，应能够删除或锁定。

一、背景需求随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、对接方案1、Confluence、JIRA等研发应用系统商业应用库对接方案正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用户选择。

客户在部署统一身份及单点登录认证服务器（DKEYAM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

Confluence、JIRA等研发应用系统作为企业研发常用的办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

Web界面配置指导Version 5.0Hillstone Networks目录Web界面配置指导Version 5.0 (1)目录 (2)一设备的登录 (1)二基本上网配置 (1)1.设置接口信息 (1)2.增加内网上网的目的路由 (3)3.增加内网用户上网的NAT配置 (3)4.增加内网用户访问外网的策略 (4)5.命令行配置 (5)三端口映射 (7)四IPSecVPN两种模式的配置 (10)1.创建IPSecVPN (10)2.路由模式VPN (11)3.策略模式VPN (14)五SSLPN配置 (16)六Web认证上网功能配置 (20)七URL日志记录 (23)八IP-MAC绑定实现IP或MAC变更不能上网 (24)九设备恢复出厂操作 (26)十AAA服务器使用AD域类型的配置 (27)十一SSLVPN调用两个AAA中的用户认证 (30)十二HA配置注意事项 (31)一设备的登录设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。

把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。

注意：如果是SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。

所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或https://192.168.1.1:8443登录的账号密码都为hillstone。

二基本上网配置1.设置接口信息购买的宽带地址是静态IP，一般会营业厅会告知IP地址、子网掩码、网关、DNS。

例如IP地址00.0.0.188，255.255.255.0或24，网关20.0.0.1 ，DNS 地址202.106.0.20。

一、背景需求随着企业移动化转型，员工允许随时随地办公。

弱密码、僵尸账号、账号密码泄漏等因素严重威胁企业账号密码登录安全。

另外传统周期性修改密码的方案不仅增加了员工/运维的工作量，而且无法从根本上实现对用户登录认证的保护。

假设企业规定30天修改一次密码，那么对于30天内发生的账号密码泄漏事件，当前方案是无法解决的，因此企业有必要对重要应用系统实施多因子（MFA）认证解决方案。

二、解决方案传统的双因子认证解决方案也就是我们常说的动态密码解决方案，多因子顾名思义丰富了认证因子的形式。

多因子认证解决方案由认证服务器和动态令牌组成。

令牌形式因多因子呈现方式不同而有所区别。

认证服务器部署于核心交换机，与账号源、应用系统对接，负责动态密码的派发、激活、绑定、授权、审计等操作。

动态密码每隔30/60s变化一次，一次一密。

用户认证时，除输入账号密码外，还需输入6位动态密码，从而保证每一个登录的唯一性。

1、多令牌形式：不仅提供手机令牌、硬件令牌、短信挑战码、企业微信/钉钉H5 令牌等软硬件Token，同时兼容RSA、Google 身份验证器等第三方动态令牌形式。

更为关键的是，创新性的将企业微信/钉钉“扫一扫”、消息推送验证用于多因子验证中。

同时开发指纹识别、人脸识别等多因子认证方案。

2、动态密码派发方式：支持批量派发、增量派发及自动派发令牌，通过与账号源绑定，运维人员在创建新账号的同时为用户派发动态令牌。

企业微信/钉钉“扫一扫”可在应用内授权，即取即用更方便，不过目前扫码认证仅适用于Wi-Fi免密认证和SSO单点登录场景中。

3、令牌激活及绑定方式：用户在各应用商店下载手机令牌后，可通过邮件扫码或短信激活吗的方式激活，也可登录自服务平台自助激活。

4、持有国密证书：令牌及认证服务器持有国家密码管理局颁发的《商业密码产品型号证书》，满足等保、护网行动对供应商的考核需求。

三、效果展示通过将认证服务器与Coremail对接，用户登录时，首先输入账号密码，其次在动态密码弹框中输入6位动态密码进行验证。

目录第1章 802.1x配置.................................................................................................................1-11.1 802.1x简介........................................................................................................................1-11.1.1 802.1x标准简介......................................................................................................1-11.1.2 802.1x体系结构......................................................................................................1-11.1.3 802.1x的认证过程...................................................................................................1-21.1.4 802.1x在以太网交换机中的实现.............................................................................1-31.2 802.1x配置........................................................................................................................1-31.2.1 开启/关闭802.1x特性.............................................................................................1-41.2.2 设置端口接入控制的模式.........................................................................................1-41.2.3 设置端口接入控制方式............................................................................................1-51.2.4 检测通过代理登录交换机的用户..............................................................................1-51.2.5 设置端口接入用户数量的最大值..............................................................................1-51.2.6 设置允许DHCP触发认证........................................................................................1-61.2.7 设置802.1x用户的认证方法...................................................................................1-61.2.8 设置认证请求帧的最大可重复发送次数...................................................................1-71.2.9 设置802.1x的握手报文的发送时间间隔.................................................................1-71.2.10 配置定时器参数.....................................................................................................1-81.2.11 打开/关闭quiet-period定时器...............................................................................1-91.3 802.1x的显示和调试..........................................................................................................1-91.4 802.1x典型配置举例..........................................................................................................1-9第2章 AAA和RADIUS协议配置...........................................................................................2-12.1 AAA和RADIUS协议简介..................................................................................................2-12.1.1 AAA概述.................................................................................................................2-12.1.2 RADIUS协议概述....................................................................................................2-12.1.3 AAA/RADIUS在以太网交换机中的实现..................................................................2-22.2 AAA配置............................................................................................................................2-32.2.1 创建/删除ISP域......................................................................................................2-32.2.2 配置ISP域的相关属性............................................................................................2-42.2.3 创建本地用户...........................................................................................................2-52.2.4 设置本地用户的属性................................................................................................2-52.2.5 强制切断用户连接....................................................................................................2-62.3 RADIUS协议配置..............................................................................................................2-72.3.1 创建/删除RADIUS服务器组...................................................................................2-82.3.2 设置RADIUS服务器的IP地址和端口号................................................................2-82.3.3 设置RADIUS报文的加密密钥................................................................................2-92.3.4 设置RADIUS服务器响应超时定时器....................................................................2-102.3.5 设置RADIUS请求报文的最大传送次数................................................................2-102.3.6 打开RADIUS计费可选开关..................................................................................2-112.3.7 设置实时计费间隔..................................................................................................2-112.3.8 设置允许实时计费请求无响应的最大次数.............................................................2-122.3.9 使能停止计费报文缓存功能...................................................................................2-132.3.10 停止计费报文最大重发次数设置..........................................................................2-132.3.11 设置支持何种类型的RADIUS服务器..................................................................2-142.3.12 设置RADIUS服务器的状态................................................................................2-142.3.13 设置发送给RADIUS服务器的用户名格式..........................................................2-152.3.14 设置发送给RADIUS服务器的数据流的单位.......................................................2-152.3.15 配置本机RADIUS服务器组................................................................................2-162.4 AAA和RADIUS协议的显示和调试.................................................................................2-162.5 AAA和RADIUS协议典型配置举例.................................................................................2-172.5.1 FTP/Telnet用户远端RADIUS服务器认证配置.....................................................2-172.5.2 FTP/Telnet用户本地RADIUS服务器认证配置.....................................................2-192.6 AAA和RADIUS协议故障的诊断与排除..........................................................................2-19第3章 HABP特性配置...........................................................................................................3-13.1 HABP特性简介..................................................................................................................3-13.2 HABP特性配置..................................................................................................................3-13.2.1 配置HABP Server...................................................................................................3-13.2.2 配置HABP Client....................................................................................................3-23.3 HABP的显示和调试...........................................................................................................3-3第1章 802.1x配置1.1 802.1x简介1.1.1 802.1x标准简介IEEE 802.1x标准（以下简称802.1x）的主要内容是一种基于端口的网络接入控制（Port Based Network Access Control）协议，IEEE于2001年颁布该标准文本并建议业界厂商使用其中的协议作为局域网用户接入认证的标准协议。