Guest VLAN在網絡中的應用

【背景描述】

用戶在經過802.1x 認證以前屬於一個VLAN，這個VLAN就是GUEST VLAN。沒有經過認證的客戶端計算機處於GUEST VLAN中，它們只能訪問到GUEST VLAN服務器的資源，認證成功後，端口離開Guest VLAN，用戶能夠訪問其特定的網絡資源。在上面的例子裏鏈接端口1的計算機經過認證之後，端口1被交換機自動地添加到VLAN10裏面，這個時候客戶端計算機能夠訪問服務器2中的資源。 而客戶端2和客戶端3沒有經過認證，只能繼續留在Guest VLAN中，只能夠訪問服務器1的資源，而不能訪問服務器2的資源。須要注意的是：Guest vlan 僅支持基於端口的802.1X協議，不支持基於MAC地址的802.1X協議。

【實驗拓撲】

將交換機的第1-12端口劃分到V10中，將V10設置爲GUEST VLAN，而且將1-8端口設置爲須要進行認證的端口。把交換機的第13-24端口設置爲V20中的端口。經過實驗達到以下效果：將PC1接入到交換機1-8端口的任何一個，經過認證服務器的認證之後，PC1所鏈接的端口被交換機自動的添加到V20裏面，而且PC1和PC2能夠互相通訊。

 

 

拓撲說明：認證服務器 IP:192.168.0.10

                  交換機IP：192.168.0.250

                 認證計算機IP:192.168.0.101

                 V20中計算機IP：192.168.0.100

                  橘紅色端口所屬的VLAN爲Guest VLAN,名稱爲V10,   VID爲10

                  藍色端口所屬的VLAN名稱爲V20,  VID爲20

                  綠色端口爲須要進行802.1X認證的端口

                

【實驗設備】DGS-3627交換機1臺，測試PC 3臺，網線若干。

【實驗步驟】

把交換機的控制口和PC的串口相連，經過超級終端進入交換機的配置界面，以下圖。

咱們經過PC的「開始→程序→附件→通信→超級終端」，進入超級終端界面。

將每秒位數設置爲：115200 ， 數據位：8 ，奇偶校驗：無，中止位：1，

數據流控制：硬件。注意：不一樣的交換機端口屬性不盡相同，請參閱說明書。

點擊肯定，進入交換機配置界面，提示輸入用戶名和密碼，若是沒有用戶名和密碼，則按兩下回車，進入可配置模式。

建立VLAN 10 和VLAN 20，並將交換機的1-12端口添加到VLAN 10裏面，將13-24端口添加到VLAN 20 裏面。

「config vlan default dele 1-24」將1-24 端口從默認的VLAN刪除。「create vlan v10 tag 10」 ，建立VLAN 10 。 「config vlan v10 add untag 1-12」 將交換機的1-12端口以非標籤的形式添加到VLAN 10 裏面。一樣能夠建立VLAN 20 並添加交換機端口13-24 到V20 裏面。

將交換機的IP地址改成192.168.0.1，並將它指定到V10裏面。PC要進行認證，Radius 服務器和交換機之間是可以進行正常通訊的。咱們將Radius 服務器放在V10裏面，交換機的IP 地址在默認狀況下是屬於default VLAN 的，必須將它指定到V10裏面。

默認狀況下，交換機的802.1X協議時關閉的。可使用「enable 802.1x」命令來啓用它。建立Guest VLAN,將V10指定爲Guest VLAN，而後將交換機端口的1-12的Guest VLAN功能開啓。

而後在交換機上配製認證信息：

將交換機的第1-8 端口設置爲須要認證的端口，鏈接到這些端口的計算機必須經過認證纔可以接入網絡，不然只可以與同在Guest VLAN裏面的計算機進行通訊。

對認證服務器進行配製：

這裏使用的認證服務器是FreeRADIUS.net-1.1.5-r0.0.3。下面是對認證服務器配製的過程。

打開X:\FreeRADIUS.net\etc\raddb 文件夾的clients.conf文件，添加如圖所示內容。「123456」爲認證服務器與交換機之間的通訊密鑰。「X」爲服務器軟件所安裝盤符。

打開X:\FreeRADIUS.net\etc\raddb文件夾的 users.conf文件，添加如圖所示內容。「test」爲須要認證的計算機的用戶名和密碼，「20」爲經過認證的計算機將要加入的VLAN ID。

在啓動認證服務器以前要確保服務器和交換機是能夠通訊的，不然交換機不能傳遞計算機和服務器之間的認證信息。

認證服務器啓動後會在桌面右下角顯示一個圓形標誌，右鍵單擊圖標。點擊圖中所示按鈕，打開服務器的debug 模式，這個模式能夠觀察計算機的認證過程。

認證客戶端（PC 1）的操做系統以WIN XP爲例，首先要保證802.1x認證功能的開啓。選擇「本地鏈接」→「屬性」→「身份驗證」，按圖示進行操做。

認證開始的時候，提示用戶輸入用戶名名和密碼。

輸入用戶名「test」，密碼「test」等待服務器進行認證。咱們能夠從認證服務器端看到認證的過程，以下圖所示。

這是PC1 在沒有經過認證以前的交換機的認證狀態。交換機的第一個端口顯示已經鏈接，可是沒有經過認證。

使用「Show vlan 」命令顯示出第1個端口仍然在V10 裏面。

上圖顯示客戶端計算機PC1 已經經過認證。

這時交換機上顯示鏈接在端口1上面的計算機已經經過認證。

這個時候使用Show vlan命令查看，能夠觀察到交換機的第一個端口已經被交換機添加到V20裏面。驗證了Guest VLAN 的配製是正確的。

這時候測試PC1 與PC2之間的通訊是正常的。

【實驗總結】

爲了阻止非法用戶對網絡的接入，保障網絡的安全性，基於端口的訪問控制協議802.1X不管在有線LAN或WLAN中都獲得了普遍應用。在 802.1X的應用中，若是交換機端口指定了Guest VLAN項，此端口下的接入用戶若是認證失敗或根本沒有用戶帳號的話，會成爲Guest VLAN 組的成員，能夠享用此組內的相應網絡資源，這一種功能一樣可爲網絡應用的某一些羣體開放最低限度的資源，併爲整個網絡提供了一個最外圍的接入安全。若是客戶端認證成功，就能夠行使更多的網絡功能，使用網絡內更多的資源。Guest VLAN是一種十分靈活的網絡訪問解決方案。