利用分布层 802.1x 安全网络接入.doc

利用分布层 802.1x 安全网络接入利用分布层 802.1x 安全网络接入 【实验名称】 利用分布层 802.1x 安全网络接入 【实验目的】 使用交换机的 802.1x 功能安全网络接入 【背景描述】 某企业的网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信 息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份 凭证的用户才可以接入到公司网络网络管理员通过考察网络后发现，在网络建设初期，出 于成本的考虑，接入层交换机为低端交换机不支持 802.1x 认证，因此考虑在分布层部署 802.1x，安全网络接入 【需求分析】 要实现网络中基于端口的认证，交换机的 802.1x 特性可以满足这个要求只有用户认 证通过后交换机端口才会“打开”，允许用户访问网络资源 【实验拓扑】 【实验设备】 交换机 2 台（仅分布层交换机需支持 802.1x） PC 机2台（其中 1 台需安装 802.1x 客户端软件，本实验中使用锐捷 802.1x 客户端 软件） RADIUS 服务器 1 台（支持标准 RADIUS 协议的 RADIUS 服务器，本例中使用第三 方 RADIUS 服务器软件 WinRadius，在实际应用环境中，推荐使用锐捷 SAM 系统作为 RADIUS 服务器，以支持更多的高级及扩展应用） 【预备知识】 交换机转发原理 交换机基本配置 802.1x 原理 【实验原理】 802.1x 协议是一种基于端口的网络接入控制（Port Based Network Access Control） 协议。

基于端口的网络接入控制”是指在局域网接入设备的端口级别对所接入的设备进行 认证和控制如果连接到端口上的设备能够通过认证，则端口就被开放，终端设备就被允许 访问局域网中的资源；如果连接到端口上的设备不能通过认证，则端口就相当于被关闭，使 终端设备无法访问局域网中的资源 【实验步骤】 第一步：交换机基本配置（拓扑中所有设备都属于 VLAN 2 中） 接入层交换机 SW1 基本配置： SW1#configure SW1(config)#vlan 2 SW1(config-vlan)#exit SW1(config)#interface fastEthernet 0/1 SW1(config-if)#switchport access vlan 2 SW1(config-if)#exit SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport mode trunk SW1(config-if)#end SW1# 分布层交换机 SW2 基本配置： SW2#configure SW2(config)#vlan 2 SW2(config-vlan)#exit SW2(config)#interface fastEthernet 0/1 SW2(config-if)#switchport access vlan 2 SW2(config-if)#exit SW2(config)#interface fastEthernet 0/2 SW2(config-if)#switchport access vlan 2 SW2(config-if)#exit SW2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(config-if)#end SW2# 第二步：验证网络连通性 按照拓扑配置 PC1、PC2、RADIUS 服务器的 IP 地址，在 PC1 上 ping PC2 的地址， 验证 PC1 与 PC2 的网络连通性，可以 ping 通： 第三步：配置分布层交换机 SW2 802.1x 认证 SW2#configure SW2(config)#aaa new-model SW2(config)#aaa authentication dot1x ruijie group radius SW2(config)#dot1x authentication ruijie SW2(config)#interface vlan 2 SW2(config-if)#ip address 192.168.1.200 255.255.255.0 SW2(config-if)#exit SW2(config)#radius-server host 192.168.1.254 SW2(config)#radius-server key 12345 ！此处配置的密钥要与 RADIUS 服务器上配置的一致 SW2(config)#interface fastEthernet 0/24 SW2(config-if)#dot1x port-control auto ！启用 F0/24 端口的 802.1x 认证 SW2(config-if)#end SW2# 第四步：验证测试 此时用 PC1 ping PC2 的地址： 由于 SW2 的 F0/24 端口启用了 802.1x 认证，在 PC1 没有认证的情况下，无法与 PC2 通信。

第五步：配置 RADIUS 服务器 运行 WinRadius 服务器，并添加帐户信息： 设置帐户信息，用户名为 test，密码为 testpass： 设置 RADIUS 服务器系统属性： 设置 RADIUS 服务器的密钥，要与交换机上配置的秘钥保持一致；验证端口号和计费 端口号都保持默认的标准端口号，如果设置其他的端口号，也需要在交换机上的 RADIUS 服务器配置中进行相应配置： 第六步：启用 802.1x 客户端进行验证 在 PC1 上启动锐捷 802.1x 客户端，输入用户名（test）和密码（testpass），单击“连 接”按钮进行认证： 由于在分布层交换机 SW2 没有配置 EAPoL 报文可以携带 Tag，所以验证会失败： 第七步：配置分布层交换机 EAPoL 报文携带 VLAN Tag 选项 SW2#configure SW2(config)#dot1x eapol-tag SW2(config)#end SW2# 第八步：重新认证 此时客户端可以成功进行认证认证成功后，在 Windows 右下角的状态栏中显示认证 成功： 下图为在 PC1 上捕获的 802.1x 认证过程（EAP-MD5 认证方式）的报文： 第九步：验证测试 在 PC1 上 ping PC2 的 IP 地址，由于通过了 802.1x 认证，SW2 的 F0/24 端口被“打 开”，PC1 与 PC2 可以 ping 通： 查看交换机的 802.1x 认证状态，可以看到 PC1 已通过认证： SW2#show dot1x summary IDMACInterface VLAN Auth-State Backend-State Port-Status User-Type 4 / 4。