利用8021x动态vlan和radius技术组网测试方案Word格式文档下载.docx

利用8021x动态vlan和radius技术组网测试方案Word格式文档下载.docx

《利用8021x动态vlan和radius技术组网测试方案Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《利用8021x动态vlan和radius技术组网测试方案Word格式文档下载.docx（9页珍藏版）》请在冰豆网上搜索。

在认证通过后，根据用户在效劳器上的配置，端口分配相应特性，才可以访问网络。

这正是我们所需要的特性。

802.1X体系有三部分构成，客户机、网络设备和认证效劳器。

客户机：

实现EAPoL的恳求和应答，目前Win2000SP4、WINXP、WIN2003均内置了认证客户端软件，WIN98SE、Linux需要相应客户端软件的支持，可选用第三方的802.1X认证软件。

网络设备：

认证存取点，可以选取支持802.1X认证的无线AP和二层以上的交换机。

应注意支持的兼容性，对802.1x和RFCRADIUS支持良好。

尽管许多厂商都声称支持802.1X，存在很多兼容性问题，往往引起工程施行中的难度。

认证效劳器：

实现客户端身份认证，并下发RADIUS的属性。

应选用对IETF支持良好的效劳器，常用的有CISCOACS3.1-3.3，华为的CAMS以及win2003自带的IAS效劳。

总之，在工程施行中，应选用对802.1X、RFCRADIUS支持兼容好，注意各应用系统的软件版本，如Windows、交换机IOS和RADIUS的版本，这是工程成功的很重要的部分。

2、动态VLAN

是指根据交换机的某个设定，将端口划分到一个VLAN中。

划分VLAN的条件有很多，根据MAC地址〔MACBase〕、不同的身份认证。

RFCRADIUS效劳器支持VLAN信息属性，可以把基于064（Tunnel-Type）,065（Tunnel-Medium-Type）,081（Tunnel-Private-Group-ID）的VLAN设定端口。

所有用户及相关信息存于RADIUS效劳器上，可以根据用户的变化调整用户的配置.

三、相关要求

1、认证效劳器:

支持IETF标准的效劳器，本测试采用win2003自带的IAS效劳作为认证效劳器

2、交换机支持VLAN划分和802.1X协议，为了实现动态VLAN和多个二层交换机的Trunk接入，核心应选用三层交换机。

本测试采用华为S2021二层交换机和华为S3328三层交换机

3、客户端操作系统比较常用的Windws，Linux等。

Win2000SP4，WinXP以上，Win2003均内置了对802.1X的支持，Win98、Linux需要客户端软件的支持。

比较常见的802.1X客户端有cisco、华为和XP系统内置802.1x认证等。

本测试采用华为802.1X拨号器进展测试。

四、解决方案

1、测试组网图

2、测试组网说明

在3328交换机上建立3个VLAN，见下表：

VlanID

VLAN接口地址

掩码

网络地址

备注

VLAN100

管理VLAN

VLAN200

业务测试VLAN1

VLAN300

业务测试VLAN2

sysnameS3328---交换机命名为S3928

#

vlanbatch100200300----建立VLAN100、VLAN200、VLAN300

#interfaceVlanif100

interfaceVlanif200配置各VLAN接口地址

interfaceVlanif300

interfaceEthernet0/0/1

portlink-typetrunk将交换机端口1定义成trunk形式，并允许vlan100200300通过，同华为S2021级联

porttrunkallow-passvlan100200300

bpduenable

ntdpenable

ndpenable

interfaceEthernet0/0/24

portlink-typeaccess

portdefaultvlan100将交换机端口24定义成access形式，参加VLAN100接Radius效劳器

3．华为S2021交换机主要配置内容

sysnameS2021---交换机命名为S2021

domaindefaultenabletest---设置缺省域为test

dot1x

dot1xauthentication-methodchap---开启全局802.1X认证协议，认证形式采用chap

radiusschemetest

server-typestandard

keyauthenticationtest

keyaccountingtest

user-name-formatwithout-domain---配置账号可不加域名

domaintest

schemeradius-schemetest建立test域，该域采用radiustest方案认证，将VLAN分配用字符串形式，便于RADIUS下

vlan-assignment-modestring发动态VLAN信息

vlan100

vlan200根据测试规划，建立3个VLAN

vlan300

interfaceVlan-interface100---建立管理VLAN接口IP，已使交换机与Radius互通

interfaceEthernet1/0/1---交换机端口1设置TRUNK形式，允许通过vlan100、portlink-typetrunk200、300，同S3328级联

porttrunkpermitvlan100200300

interfaceEthernet1/0/24---交换机端口24开启802.1x认证，形式为端口认证

dot1xport-methodportbased

5、认证效劳器主要配置

在windows活动目录中建立VLAN200、VLAN300两个用户组，建立test200、test300两个用户账号，test200参加VLAN200用户组中，test300参加VLAN300用户组中

Test200和test300两个账户均需如下设置

在windowsIAS中创立客户端交换机〔NAS〕，地址为S2021交换机管理VLAN接口IP地址

在windowsIAS中，新建两个远程访问策略

策略一，名称VLAN200，添加允许全时段接入和匹配活动目录VLAN200用户组，

在策略VLAN200中，编辑拨入配置文件，身份验证选取CHAP验证，同交换机一致

在编辑拨号策略高级选项中，添加

064（Tunnel-Type）值=VLAN，

065（Tunnel-Medium-Type）值=802

081（Tunnel-Private-Group-ID）值=200〔string形式〕，

作用是认证成功后，对拨入账号所属交换机下发VLAN200信息，交换机根据信息自动将该账户接入端口参加VLAN200,实现动态VLAN。

策略二，名称vlan300，匹配活动目录VLAN300用户组，在拨号配置文件中081（Tunnel-Private-Group-ID）值=300〔string形式〕，其余配置同策略一，图略。

五、测试

经过上述组网配置完成后，我们进展方案可行性测试。

首先，在PC机上安装华为802.1X客户端，测试PC机mac地址为00-40-CA-CB-CB-38

在客户端中输入test200账号和密码，根据前面配置，该账号应该使PC机接入VLAN200中，在连接前，首先查看S2021交换机vlan200状态

图中，我们可以看出，在认证前VLAN200除级联口外未包含其他端口。

如今PC机上进展连接，在看交换机状态

通过认证后，pc客户端状态