8021X认证+DHCP+ACS Server+Windows XP.docx
《8021X认证+DHCP+ACS Server+Windows XP.docx》由会员分享,可在线阅读,更多相关《8021X认证+DHCP+ACS Server+Windows XP.docx(25页珍藏版)》请在冰豆网上搜索。
8021X认证+DHCP+ACSServer+WindowsXP
802.1X认证+DHCP+ACSServer+WindowsXP
802.1x简介:
802.1x协议起源于802.11协议,802.11是IEEE的无线局域网协议,制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。
IEEE802LAN协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如LANSwitch),就可以访问局域网中的设备或资源。
这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。
随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。
尤其是WLAN的应用和LAN接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx就是IEEE为了解决基于端口的接入控制(Port-BasedNetworkAccessContro1)而定义的一个标准。
二、802.1x认证体系
802.1x是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于无线局域网来说,一个端口就是一个信道。
802.1x认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
实验所需要的用到设备:
认证设备:
cisco3550交换机一台
认证服务器:
CiscoACS4.0
认证客户端环境:
Windowsxpsp3
实验拓扑:
实验拓扑简单描述:
在cisco3550上配置802.1X认证,认证请求通过AAAserver,AAAserverIP地址为:
172.16.0.103,认证客户端为一台windowsxp,当接入到3550交换机上实施802.1X认证,只有认证通过之后方可以进入网络,获得IP地址。
实验目的:
通过本实验,你可以掌握在cisco交换机如何来配置AAA(认证,授权,授权),以及如何配置802.1X,掌握ciscoACS的调试,以及如何在windowsxp启用认证,如何在cisco三层交换机上配置DHCP等。
。
好了,下面动手干活。
。
实验过程:
Cisco3550配置
由于cisco交换机默认生成树都已经运行,开启生成树的目的为了防止网络发生环路,但是根据portfast的特性,如果交换机的某个接口连接的是路由器或者交换机,就可以启用portfast来加快接口的相应时间,跳过生成树的收敛。
并且如果要在接口启用802.1x认证,接口要是access模式
*********************************配置过程**********************************
sw3550(config)#intf0/1
sw3550(config-if)#switchportmodeaccess
//配置f0/1接口永久为接入模式
sw3550(config-if)#spanning-treeportfast
//启用portfast特性(注意下面的警告提示哦)
%Warning:
portfastshouldonlybeenabledonportsconnectedtoasingle
host.Connectinghubs,concentrators,switches,bridges,etc...tothis
interfacewhenportfastisenabled,cancausetemporarybridgingloops.
UsewithCAUTION
%PortfasthasbeenconfiguredonFastEthernet0/2butwillonly
haveeffectwhentheinterfaceisinanon-trunkingmode.
sw3550(config)#intf0/3
sw3550(config-if)#switchportmodeaccess
sw3550(config-if)#spanning-treeportfast
%Warning:
portfastshouldonlybeenabledonportsconnectedtoasingle
host.Connectinghubs,concentrators,switches,bridges,etc...tothis
interfacewhenportfastisenabled,cancausetemporarybridgingloops.
UsewithCAUTION
%PortfasthasbeenconfiguredonFastEthernet0/2butwillonly
haveeffectwhentheinterfaceisinanon-trunkingmode.
sw3550(config-if)#exit
sw3550(config)#intvlan1
sw3550(config-if)#ipadd172.16.0.101255.255.0.0
//默认的所有的交换机上的所有接口都在vlan1,给VLAN1配置IP地址,目的是与AAA服务器,172.16.0.103相互ping通,
sw3550(config-if)#noshutdown
00:
05:
08:
%LINK-3-UPDOWN:
InterfaceVlan1,changedstatetoup
00:
05:
09:
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceVlan1,changedstatetoup
sw3550(config)#aaanew-model
//全局开启AAA,(AAA默认是关闭的)
sw3550(config)#aaaauthenticationlogindefaultgroupradiuslocal
//配置登陆验证方式优先用radius,当radius不能提供认证服务,则采用本地认证,认证调用的名称按默认名称default
sw3550(config)#radius-serverhost172.16.0.103keyserver03
//指定radiusServer的IP地址为172.16.0.103,RadiusServer与交换机认证的密钥为server03(这里的server03,是我安装ACS4.0,在安装过程最后一步定义的密码)
sw3550(config)#aaaauthenticationdot1xdefaultgroupradiuslocal
//802.1x认证由radius服务器来完成,当radius不能认证时,由本地认证,这样配置的目的为了备份。
如果说radiusserver服务器“挂了“,还可以用本地认证。
sw3550(config)#aaaauthorizationnetworkdefaultgroupradiuslocal
//当认证通过之后,授权用户能接入网络,授权也由radius来完成
sw3550(config)#dot1xsystem-auth-control
全局下开启dot.1x认证功能,然后还需要到具体某个接口下制定认证的方式
sw3550(config-if)#intf0/3
sw3550(config-if)#switchportmodeaccess
sw3550(config-if)#dot1xport-controlauto
//当接口下发现有设备接入时,自动进行认证
AUTO是常用的方式,正常的通过认证和授权过程
sw3550(config-if)#dot1xreauthentication
//当认证失败,重新认证,直到认证通过
这里还有一些可选的配置,分享给大家,大家在工程中,可以根据自己的实际情况来调整配置,我的这次试验正常的配置命令都是用黑色来表示。
请大家注意
可选配置:
Switch(config)#interfacefa0/3
Switch(config-if)#dot1xreauthentication
Switch(config-if)#dot1xtimeoutreauth-period7200
2小时后重新认证
Switch#dot1xre-authenticateinterfacefa0/3
现在重新认证,注意:
如果会话已经建立,此方式不断开会话
Switch#dot1xinitializeinterfacefa0/3
初始化认证,此时断开会话
Switch(config)#interfacefa0/3
Switch(config-if)#dot1xtimeoutquiet-period45
45秒之后才能发起下一次认证请求
Switch(config)#interfacefa0/3
Switch(config-if)#dot1xtimeouttx-period90默认是30S
Switch(config-if)#dot1xmax-reqcount4
客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次
Switch#configureterminal
Switch(config)#interfacefastethernet0/3
Switch(config-if)#dot1xport-controlauto
Switch(config-if)#dot1xhost-modemulti-host
默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;
当授权失败,例如重认证失败或LOGOFF,所有主机都不可以使用该端口
Switch#configureterminal
Switch(config)#dot1xguest-vlansupplicant
Switch(config)#interfacefa0/3
Switch(config-if)#dot1xguest-vlan2
未得到授权的进入VLAN2,提供了灵活性
注意:
1、VLAN2必须是在本交换机激活的,计划分配给游客使用;2、VLAN2信息不会被VTP传递出去
Switch(config)#interfacefa0/3
Switch(config-if)#dot1xdefault
回到默认设置
在cisco的三层交换机上可以配置DHCP,通过DHCP功能,可以给客户端分配IP地址,子网掩码,网关,DNS,域名,租期,wins等
sw3550(config)#ipdhcppoolDHCP
//定义地址池的名称为DHCP,这里可以随便定义
sw3550(dhcp-config)#network172.16.0.0/16
//定义要分配给客户端的网段和掩码
sw3550(dhcp-config)#default-router172.16.0.1
//定义分配给客户端的网关
sw3550(dhcp-config)#dns-server218.30.19.4061.134.1.4
//定义DNS地址,可以设置多个DNS
sw3550(dhcp-config)#doamin-name[url][/url]
//定义域名为[url][/url]
sw3550(dhcp-config)#lease2
//定义租期为2天
sw3550(config)#ipdhcpexcluded-address172.16.0.1172.16.0.150
//定义不通过DHCP分配的IP地址,也就是排除的地址范围172.16.0.1-172.16.0.150。
例如说:
172.16.0.1
这个地址是我的网关,如果这个地址作为IP地址分配给客户端,就会造成IP 地址冲突,影响网络的正常通信。
所以说做排除是非常有必要的。
sw3550(config)#exit
00:
42:
57:
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
以上完成之后,交换机上所需的配置命令都已完成,下面就到AAA服务器来配置
1,添加认证的用户和密码,左侧面板-单击-UserSetup-admin-Add/Edit
单击Add/Edit,在随后的窗口设置admin的密码,我设置用户和密码都相同,
2,添加AAA认证Client信息,单击-NetworkConfiguration你可以AAAClient信息和AAAServers信息
在AAAClients这栏下面,单击AddEntry
AAAClientHostname填写当前交换机的名称
AAAClientIPAddress为当前VLAN1的IP地址,根据你的实际情况,你想对那个VLAN用户采取802.1X认证,就填写那个VLAN的IPAddress
KEY为交换机和AAA服务器的认证的密钥,这里填写的KEY应该要和在交换机配置的KEY值相同
AuthenticateUsing这里选择认证的协议,我选择的Radius。
认证的协议也要和在交换机配置的认证方式相同,否则认证失败。
填写玩这些信息之后,单击确认即可
3,GuoupSetup,配置组的授权,授权用户认证通过之后,能接入网络
在RdiusIETF配置栏目下,找到如下图,
注意:
064设置对VLAN下面的用户提供认证,065设置认证方式为802.1x,081设置为VLANID,这里设置为VLAN1。
设置完成之后,单击Submit+Restart
***************到此AAA服务器设置完成了***********
在交换机上测试定义的用户和密码能否完成认证
sw3550#testaaagroupradiusadminadminnew-code
Usersuccessfullyauthenticated
如下是:
认证客户端windowsxp配置
默认由于windows操作系统并没有启用802.1x认证这个服务,所以第一步,先打开系统服务-开启8021.x认证功能
开始-运行-services.msc
双击WiredAutOConfig,启动类型:
自动
网络邻居-本地连接
这里更改默认认证方式,EAP支持无线认证,这里我们应该选择MD5质询,如图
对于内网用户,如果是安全用户可以勾选缓存用户信息,这样就可以不用每次认证都输入密码。
如果是公用计算机,或者是其他的需要,这里可以不勾选缓存账户信息,这样每次计算机开机之后,在接入网络时,都需要输入用户名和密码。
单击-MD5-质询-确定启用了802.1x认证功能。
本地连接已经试图去尝试认证了,单击右下角通知区域提示,输入认证的用户名和密码
按图提示,必须输入用户名和密码,方可认证通过,认证通过之后才可以从交换机上获得IP地址等
输入在AAA服务器上定义的用户名和密码admin。
如果是你工作组环境就无所谓域的概念,登录到域这项不填,然后单击确定开始进入802.1X认证会话阶段。
如下图正在验证身份
802.1x认证会话结束,客户端正在请求IP地址
认证成功,3550交换机从地址池分配第一个IP地址给客户端,开始-运行-CMD-ipconfig/all
为了使大家了解802.1x认证过程,在交换机上开启debug
sw3550#debugdot1xevents
Dot1xeventsdebuggingison
sw3550#
00:
47:
54:
dot1x-ev:
dot1x_switch_is_dot1x_forwarding_enabled:
ForwardingisdisabledonFa0/4
00:
47:
54:
dot1x-ev:
dot1x_mgr_if_state_change:
FastEthernet0/3haschangedtoUP
00:
47:
54:
dot1x-ev:
SendingcreatenewcontexteventtoEAPfor0000.0000.0000
00:
47:
54:
dot1x-ev:
Createdacliententryforthesupplicant0000.0000.0000
00:
47:
54:
dot1x-ev:
CreatedadefaultauthenticatorinstanceonFastEthernet0/3
00:
47:
54:
dot1x-ev:
dot1x_switch_enable_on_port:
Enablingdot1xoninterfaceFastEthernet0/3
F0/3开启了认证
00:
4
sw3550#7:
54:
dot1x-ev:
dot1x_switch_enable_on_port:
setdot1xaskhandleroninterfaceFastEthernet0/3
00:
47:
55:
dot1x-ev:
FastEthernet0/3:
SendingEAPOLpackettogroupPAEaddress
发送认证会话消息
00:
47:
55:
dot1x-ev:
dot1x_mgr_pre_process_eapol_pak:
RoledeterminationnotrequiredonFastEthernet0/3.
00:
47:
55:
dot1x-ev:
dot1x_mgr_send_eapol:
SendingoutEAPOLpacketonFastEthernet0/3
00:
47:
55:
dot1x-ev:
dot1x_mgr_pre_process_eapol_pak:
RoledeterminationnotrequiredonFastEthernet0/3.
00:
47:
55:
dot1x-ev:
Enqueuedtheeapolpac
sw3550#kettotheglobalauthenticatorqueue
00:
47:
55:
dot1x-ev:
Receivedpktsaddr=0022.6452.e91e,daddr=0180.c200.0003,
被认证的客户端MAC地址0022.6452.e91e
pae-ether-type=888e.0100.000a
00:
47:
55:
dot1x-ev:
Createdacliententryforthesupplicant0022.6452.e91e
00:
47:
55:
dot1x-ev:
FoundthedefaultauthenticatorinstanceonFastEthernet0/3
00:
47:
55:
dot1x-ev:
dot1x_sendRespToServer:
Responsesenttotheserverfrom0022.6452.e91e
00:
47:
55:
dot1x-ev:
FastEthernet0/3:
SendingEAPOLpackettogroupPAEaddress
00:
47:
55:
dot1x-ev:
dot1x
sw3550#u_mgr_pre_process_eapol_pak:
RoledeterminationnotrequiredonFastEthernet0/3.
00:
47:
55:
dot1x-ev:
dot1x_mgr_send_eapol:
SendingoutEAPOLpacketonFastEthernet0/3
00:
47:
55:
dot1x-ev:
dot1x_mgr_pre_process_eapol_pak:
RoledeterminationnotrequiredonFastEthernet0/3.
00:
47:
55:
dot1x-ev:
Enqueuedtheeapolpackettotheglobalauthenticatorqueue
00:
47:
55:
dot1x-ev:
Receivedpktsaddr=0022.6452.e91e,daddr=0180.c200.0003,
pae-ether-type=888e.0100.001b
00:
47:
55:
dot1x-ev:
dot1x_sendRespToSer
sw3550#uver:
Responsesenttotheserverfrom0022.6452.e91e
00:
47:
55:
dot1x-ev:
dot1x_vlan_assign_authc_successcalledoninterfaceFastEthernet0/3
00:
47:
55:
dot1x-ev:
RADIUSprovidedVLANname1tointerfaceFastEthernet0/3
00:
47:
55:
dot1x-ev:
dot1x_switch_pm_port_set_vlan:
Settingvlan1oninterfaceFastEthernet0/3
00:
47:
55:
dot1x-ev:
SuccessfullyassignedVLAN1tointerfaceFastEthernet0/3
00:
47:
55:
dot1x-ev:
dot1x_switch_addr_add:
AddedMAC0022.6452.e91etovlan1oninterfaceFastEthernet0/3
00:
47:
55:
do
sw3550#ut1x-ev:
dot1x_switch_is_dot1x_forwarding_enabled:
ForwardingisdisabledonFa0/4
00:
47:
55:
dot1x-ev:
vlan1vpisaddedontheinterfaceFastEthernet0/3
00:
47:
55:
dot1x-ev:
dot1x_switch_is_dot1x_forwarding_enabled:
ForwardingisdisabledonFa0/4
00:
47:
55:
dot1x-ev:
dot1x_switch_port_authorized:
setdot1xaskhandleroninterfaceFastEthernet0/3
00:
47:
55:
dot1x-ev:
ReceivedsuccessfulAuthz