利用8021x动态vlan和radius技术组网测试方案Word格式文档下载.docx
《利用8021x动态vlan和radius技术组网测试方案Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《利用8021x动态vlan和radius技术组网测试方案Word格式文档下载.docx(9页珍藏版)》请在冰豆网上搜索。
![利用8021x动态vlan和radius技术组网测试方案Word格式文档下载.docx](https://file1.bdocx.com/fileroot1/2023-1/23/65f6300e-0812-4222-a957-2c3071889be5/65f6300e-0812-4222-a957-2c3071889be51.gif)
在认证通过后,根据用户在效劳器上的配置,端口分配相应特性,才可以访问网络。
这正是我们所需要的特性。
802.1X体系有三部分构成,客户机、网络设备和认证效劳器。
客户机:
实现EAPoL的恳求和应答,目前Win2000SP4、WINXP、WIN2003均内置了认证客户端软件,WIN98SE、Linux需要相应客户端软件的支持,可选用第三方的802.1X认证软件。
网络设备:
认证存取点,可以选取支持802.1X认证的无线AP和二层以上的交换机。
应注意支持的兼容性,对802.1x和RFCRADIUS支持良好。
尽管许多厂商都声称支持802.1X,存在很多兼容性问题,往往引起工程施行中的难度。
认证效劳器:
实现客户端身份认证,并下发RADIUS的属性。
应选用对IETF支持良好的效劳器,常用的有CISCOACS3.1-3.3,华为的CAMS以及win2003自带的IAS效劳。
总之,在工程施行中,应选用对802.1X、RFCRADIUS支持兼容好,注意各应用系统的软件版本,如Windows、交换机IOS和RADIUS的版本,这是工程成功的很重要的部分。
2、动态VLAN
是指根据交换机的某个设定,将端口划分到一个VLAN中。
划分VLAN的条件有很多,根据MAC地址〔MACBase〕、不同的身份认证。
RFCRADIUS效劳器支持VLAN信息属性,可以把基于064(Tunnel-Type),065(Tunnel-Medium-Type),081(Tunnel-Private-Group-ID)的VLAN设定端口。
所有用户及相关信息存于RADIUS效劳器上,可以根据用户的变化调整用户的配置.
三、相关要求
1、认证效劳器:
支持IETF标准的效劳器,本测试采用win2003自带的IAS效劳作为认证效劳器
2、交换机支持VLAN划分和802.1X协议,为了实现动态VLAN和多个二层交换机的Trunk接入,核心应选用三层交换机。
本测试采用华为S2021二层交换机和华为S3328三层交换机
3、客户端操作系统比较常用的Windws,Linux等。
Win2000SP4,WinXP以上,Win2003均内置了对802.1X的支持,Win98、Linux需要客户端软件的支持。
比较常见的802.1X客户端有cisco、华为和XP系统内置802.1x认证等。
本测试采用华为802.1X拨号器进展测试。
四、解决方案
1、测试组网图
2、测试组网说明
在3328交换机上建立3个VLAN,见下表:
VlanID
VLAN接口地址
掩码
网络地址
备注
VLAN100
管理VLAN
VLAN200
业务测试VLAN1
VLAN300
业务测试VLAN2
sysnameS3328---交换机命名为S3928
#
vlanbatch100200300----建立VLAN100、VLAN200、VLAN300
#interfaceVlanif100
interfaceVlanif200配置各VLAN接口地址
interfaceVlanif300
interfaceEthernet0/0/1
portlink-typetrunk将交换机端口1定义成trunk形式,并允许vlan100200300通过,同华为S2021级联
porttrunkallow-passvlan100200300
bpduenable
ntdpenable
ndpenable
interfaceEthernet0/0/24
portlink-typeaccess
portdefaultvlan100将交换机端口24定义成access形式,参加VLAN100接Radius效劳器
3.华为S2021交换机主要配置内容
sysnameS2021---交换机命名为S2021
domaindefaultenabletest---设置缺省域为test
dot1x
dot1xauthentication-methodchap---开启全局802.1X认证协议,认证形式采用chap
radiusschemetest
server-typestandard
keyauthenticationtest
keyaccountingtest
user-name-formatwithout-domain---配置账号可不加域名
domaintest
schemeradius-schemetest建立test域,该域采用radiustest方案认证,将VLAN分配用字符串形式,便于RADIUS下
vlan-assignment-modestring发动态VLAN信息
vlan100
vlan200根据测试规划,建立3个VLAN
vlan300
interfaceVlan-interface100---建立管理VLAN接口IP,已使交换机与Radius互通
interfaceEthernet1/0/1---交换机端口1设置TRUNK形式,允许通过vlan100、portlink-typetrunk200、300,同S3328级联
porttrunkpermitvlan100200300
interfaceEthernet1/0/24---交换机端口24开启802.1x认证,形式为端口认证
dot1xport-methodportbased
5、认证效劳器主要配置
在windows活动目录中建立VLAN200、VLAN300两个用户组,建立test200、test300两个用户账号,test200参加VLAN200用户组中,test300参加VLAN300用户组中
Test200和test300两个账户均需如下设置
在windowsIAS中创立客户端交换机〔NAS〕,地址为S2021交换机管理VLAN接口IP地址
在windowsIAS中,新建两个远程访问策略
策略一,名称VLAN200,添加允许全时段接入和匹配活动目录VLAN200用户组,
在策略VLAN200中,编辑拨入配置文件,身份验证选取CHAP验证,同交换机一致
在编辑拨号策略高级选项中,添加
064(Tunnel-Type)值=VLAN,
065(Tunnel-Medium-Type)值=802
081(Tunnel-Private-Group-ID)值=200〔string形式〕,
作用是认证成功后,对拨入账号所属交换机下发VLAN200信息,交换机根据信息自动将该账户接入端口参加VLAN200,实现动态VLAN。
策略二,名称vlan300,匹配活动目录VLAN300用户组,在拨号配置文件中081(Tunnel-Private-Group-ID)值=300〔string形式〕,其余配置同策略一,图略。
五、测试
经过上述组网配置完成后,我们进展方案可行性测试。
首先,在PC机上安装华为802.1X客户端,测试PC机mac地址为00-40-CA-CB-CB-38
在客户端中输入test200账号和密码,根据前面配置,该账号应该使PC机接入VLAN200中,在连接前,首先查看S2021交换机vlan200状态
图中,我们可以看出,在认证前VLAN200除级联口外未包含其他端口。
如今PC机上进展连接,在看交换机状态
通过认证后,pc客户端状态