ACS 802.1x網絡接入認證

時間 2019-11-11

原文原文鏈接

GNS3 中 ACS 認證

今天想給你們作個ACS4.2版本的dot1x(802.1x)接入認證的實驗.原理呢,我就不去細究了,由於我對這個東西的話有些細節方面都還沒好好研究過呢,呵呵,不過一些基本操做我想你們看了下面的實驗步驟以後就會明白了.但願可以對諸位ACS認證作很差的有些幫助.

我發現初次作這個802.1X的實驗都會犯不少錯誤的.那麼在一些易搞錯的地方我會用一些亮色的字體來提醒你們,避免相似低級錯誤.

咱們知道802.1X只能基於交換機來作端口接入認證.802.1X最早是應用於無線網絡裏邊的認證協議,它裏邊有又有幾種認證協議如:radius /tacus+,基於這兩種認證協議咱們能夠作authentication,authorization,accounting也就是AAA認證服務(認證,受權,統計).這固然屬於一種網絡安全的有效保護措施,它是一個二層認證協議.可以防止非法用戶接入網絡,當用戶須要接入網絡時咱們就要客戶端進行認證,只有合法用戶才能入網,不然驗證失敗只能放入相應預製的VLAN裏面,不能共享其它網絡的資源.

下面是咱們本次實驗的拓撲圖:

環境是這樣的:兩臺PC分別由虛擬機裏面的windows 2003ACS服務器,xp客戶機來作,而NAS(network access server網絡接入服務器)由一臺三層交換機來扮演.設置vlan 1 的地址與ACS服務器來通訊,以前使用預共享密鑰來進行.在ACS服務器上面還作了DHCP服務用來給客戶機動態地址分配.因爲咱們分配的是另一個網段的地址因此咱們在這裏作了一個vlan3,並設置其vlan SVI地址.因爲此NAS是三層交換機,因此不一樣VLAN之間是能夠通訊的.

接下來咱們就談談如何去配置基於以太網端口進行dot1x接入認證.

首先:咱們配置ACS與DHCP,我想DHCP服務就不須要講了吧,ACS的配置:

固然各位若是要知道如何去在windows 2003 server上面安裝ACS的話,能夠參考我寫的文章: http://zenfei.blog.51cto.com/763386/534465.

ACS安裝好後,咱們進入ACS,咱們先建立一個帳戶,名爲yutian,

點擊:add添加,進入下面界面,注意寫好密碼,把此帳戶放到group 3中去,往下拉保存便可:

這樣咱們把yutian這個帳戶放入了group 3,咱們能夠看到裏面有一個賬戶了那麼咱們再編輯這個group :edit settings

咱們把下面三個項目選上,並填寫相應的項目:

1,vlan

2,802

3,3,即vlan 3的id,指被認證的vlan號

而後再進入network configuration,配置AAA server /client

選點擊ACS進入AAA client的設置,還有預共享蜜匙.設置好後保存

\AAA服務器端設置差很少,以下:注意:AAA server type!

至此咱們ACS基本配置大功形成!

其次,咱們要去配置NAS這個交換機.配置命令以下:

Vlan database

Vlan 3 name 3

Exit

Conf terminal

Interface vlan 1

Ip address 192.168.2.1 255.255.255.0

Interface vlan 3

Ip address 192.168.3.1 255.255.255.0

Ip helper-address 192.168.2.2//把DHCP廣播請求轉變爲單播送給DHCP服務器,DHCP relay中繼

Aaa new-model//開啓aaa服務

Aaa authentication dot1x default group radius//AAA dot1x認證,協議是radius

Aaa authentication login default group radius none//AAA線下保護認證

Aaa authorization network default group radius//AAA受權網絡接入

Radius-server host 192.168.2.2 key 123456//指明radius服務器地址與預共享密匙

Dot1x system-auth-control//全局開啓dot1x

Interface fa0/1

Switchport mode access

Switchport access vlan 3//劃分vlan

Spanning-tree portfast//設爲快速端口,不須要通過生成樹選舉過程快速接入

Exit

於此,NAS基本配置完成了

如今咱們能夠在上面測試一下,到底NAS與ACS是否是能夠互通,是否是能夠正常進行認證通訊?

1,連通性肯定:

NAS(config)#do ping 192.168.2.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 4/24/60 ms

NAS(config)#

沒問題

2,認證通訊肯定:

NAS# test aaa group radius yutian yutian2011 new

NAS# test aaa group radius yutian yutian2011 new-code

Trying to authenticate with Servergroup radius

User successfully authenticated

NAS#

從以上英文中咱們能夠看出,NAS與ACS之間的認證通訊沒問題.

這樣那麼咱們應該能夠在客戶機上進行接入控制了.

首先咱們要把XP客戶機上的dot1x認證服務開啓

打開」運行」,輸入」services.msc」,在裏面查找wired auto config 手動開啓便可.

而後在鏈接右擊狀態 à屬性,而後再切換到」身份驗證」以下:

這樣咱們會在右下角看到:

點擊這個提示,進入以下圖:

輸入用戶名與密碼以後,若是認證成功會以下:

既然接入成功,就應該也得到了地址.

如今看到接入成功,而且成功得到DHCP自動分配的地址,lease租賃期在dhcp服務器時默認是8天,而IOS dhcp默認是86400秒一個小時的租賃期.

可能有人會問,我如何知道個人端口是認證狀態,不要緊你能夠在交換機上面去看dot1x的認證信息只須要輸入:show dot1x就出來了

NAS#show dot1x

Global 802.1X Parameters

reauth-enabled no

reauth-period 3600

quiet-period 60

tx-period 30

supp-timeout 30

server-timeout 30

reauth-max 2

max-req 2

802.1X Port Summary

Port Name Status Mode Authorized

Fa0/0 disabled n/a n/a

Fa0/1 enabled Auto (negotiate) yes

Fa0/2 disabled n/a n/a

Fa0/3 disabled n/a n/a

Fa0/4 disabled n/a n/a

Fa0/5 disabled n/a n/a

Fa0/6 disabled n/a n/a

Fa0/7 disabled n/a n/a

Fa0/8 disabled n/a n/a

Fa0/9 disabled n/a n/a

認證爲yes,mode爲自動協商.且爲f0/1口

注意:咱們若是配置dot1x以後沒認證以前會出現vlan3與f0/1接口down掉,接入認證成功,vlan 3與接口會再次up,

*Mar 1 01:06:58.399: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to up

*Mar 1 01:06:58.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

NAS#show dot1x

並且還會自動生成一個MAC綁定項:

mac-address-table static 000c.291d.6468 interface FastEthernet0/1 vlan 3

這樣咱們今天的實驗就所有完成,固然也許我講的只是ACS這個軟件功用的冰山一角,那麼你們之後能夠多多研究ACS這個軟件其它功能吧,有什麼好的建議或成果別忘記告訴我哦.呵呵.

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。