802.1X认证实验

8021X认证+DHCP+ACS Server+Windows
8021x简介：

8021x协议起源于80211协议，80211是IEEE的无线局域网协议，制订8021x协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。 随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。 二、8021x认证体系 8021x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。对于无线局域网来说，一个端口就是一个信道。8021x认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许8021x的认证协议报文通过。 实验所需要的用到设备：

认证设备：cisco 3550 交换机一台

认证服务器：Cisco ACS 40  windows

认证客户端环境：Windows 2003

实验拓扑：
实验拓扑简单描述：

在cisco 3550上配置8021X认证，认证请求通过AAA server,AAA server IP地址为：19216810100，认证客户端为一台windows xp ,当接入到3550交换机上实施8021X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置8021X,掌握 cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。。好了，下面动手干活。。

实验过程：

Cisco 3550配置

由于cisco 交换机默认生成树都已经运行，开启生成树的目的为了防止网络发生环路，但是根据portfast的特性，如果交换机的某个接口连接的是路由器或者交换机，就可以启用portfast来加快接口的相应时间，跳过生成树的收敛。并且如果要在接口启用8021x认证，接口要是access模式

配置过程

sw3550(config)#int f0/1

sw3550(config-if)#switchport mode access

//配置f0/1接口永久为接入模式

sw3550(config-if)#spanning-tree portfast

//启用portfast特性（注意下面的警告提示哦）

%Warning: portfast should only be enabled on ports connected to a single

host Connecting hubs, concentrators, switches, bridges, etc to this

interface when portfast is enabled, can cause temporary bridging loops

Use with CAUTION

%Portfast has been configured on FastEthernet0/2 but will only

have effect when the interface is in a non-trunking mode

sw3550(config)#int f0/2

sw3550(config-if)#switchport mode access

sw3550(config-if)#spanning-tree portfast

%Warning: portfast should only be enabled on ports connected to a single

host Connecting hubs, concentrators, switches, bridges, etc to this

interface when portfast is enabled, can cause temporary bridging loops

Use with CAUTION

%Portfast has been configured on FastEthernet0/2 but will only

have effect when the interface is in a non-trunking mode

sw3550(config-if)#exit

sw3550(config)#int vlan 1

sw3550(config-if)#ip add 192168101 2552552550

//默认的所有的交换机上的所有接口都在vlan 1,给VLAN1配置IP地址，目的是与AAA服务器，19216810100相互ping通，

sw3550(config-if)#no shutdown

00:05:08: %LINK-3-UPDOWN: Interface Vlan1, changed state to up

00:05:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up

sw3550(config)#aaa new-model

//全局开启AAA，（AAA默认是关闭的）

sw3550(config)#aaa authentication login default group radius local

//配置登陆验证方式优先用radius，当radius不能提供认证服务，则采用本地认证，认证调用的名称按默认名称default

sw3550(config)#radius-server host 19216810100 key server03

//指定radius Server的IP地址为19216810100，Radius Server与交换机认证的密钥为server03(这里的server03，是我安装ACS 40，在安装过程最后一步定义的密码)

sw3550(config)#aaa authentication dot1x default group radius local

//8021x认证由radius 服务器来完成，当radius不能认证时，由本地认证，这样配置的目的为了备份。如果说radius server服务器“挂了“，还可以用本地认证。

sw3550(config)#aaa authorization network default group radius local

//当认证通过之后，授权用户能接入网络，授权也由radius来完成

sw3550(config)#dot1x system-auth-control

全局下开启dot1x认证功能，然后还需要到具体某个接口下制定认证的方式

sw3550(config-if)#int f0/2

sw3550(config-if)#switchport mode access

sw3550(config-if)#dot1x port-control auto

//当接口下发现有设备接入时，自动进行认证

AUTO是常用的方式，正常的通过认证和授权过程

sw3550(config-if)#dot1x reauthentication  打不出来

//当认证失败，重新认证，直到认证通过

这里还有一些可选的配置，分享给大家，大家在工程中，可以根据自己的实际情况来调整配置 ，我的这次试验正常的配置命令都是用黑色来表示。请大家注意

可选配置：

Switch(config)#interface fa0/3

Switch(config-if)#dot1x reauthentication

Switch(config-if)#dot1x timeout reauth-period 7200

2小时后重新认证

Switch#dot1x re-authenticate interface fa0/3

现在重新认证，注意：如果会话已经建立，此方式不断开会话

Switch#dot1x initialize interface fa0/3

初始化认证，此时断开会话

Switch(config)#interface fa0/3

Switch(config-if)#dot1x timeout quiet-period 45

45秒之后才能发起下一次认证请求

Switch(config)#interface fa0/3

Switch(config-if)#dot1x timeout tx-period 90 默认是30S

Switch(config-if)#dot1x max-req count 4

客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次

Switch#configure terminal

Switch(config)#interface fastethernet0/3

Switch(config-if)#dot1x port-control auto

Switch(config-if)#dot1x host-mode multi-host

默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；

当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口

Switch#configure terminal

Switch(config)#dot1x guest-vlan supplicant

Switch(config)#interface fa0/3

Switch(config-if)#dot1x guest-vlan 2

未得到授权的进入VLAN2，提供了灵活性

注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去

Switch(config)#interface fa0/3

Switch(config-if)#dot1x default

回到默认设置

在cisco的三层交换机上可以配置DHCP，通过DHCP功能，可以给客户端分配IP地址，子网掩码，网关，DNS,域名，租期，wins等

sw3550(config)#ip dhcp pool mu

//定义地址池的名称为DHCP，这里可以随便定义

sw3550(dhcp-config)#network 192168100 /24

//定义要分配给客户端的网段和掩码

sw3550(dhcp-config)#default-router 192168101

//定义分配给客户端的网关

sw3550(dhcp-config)#dns-server 20210222468

//定义DNS地址，可以设置多个DNS

sw3550(dhcp-config)#doamin-name [url]>一、环境
Windows2003、ACS 33
二、ACS与AD同步步骤
1 Windows2003升级为DC，然后新建一个OU再在OU里新建个组并且在组里添加几个用户账户
2 用域管理员身份登录域然后安装ACS，安装步骤如下
3 ACS配置，配置如下
1 Exterternal User Databases----->Unknown User Policy--->Check the following external user database--->Select Windows Database---->Submit

2 External User Database---->>database configuration -----> windows Database -----> Configure -----> Dial permission ,check grant dialin permission---> Submit
ACS Server所在机器这时应已加入到域中，同时“Dialin Permission”中的默认勾选项应去掉，如不去掉的话，域管理用户和终端用户均需设置Dial-in访问权限。
3 由于使用Windows Active directory的用户名作为认证，因此配置此用户的授权由ACS的组完成，然后将此group与Windows Active directory的组映射。
External User Database ---->>database configureation ----> windows Database ----> Configure ----> add config domain-list,local ----> Submit

External User Database---->database group mapping----->windows Database --->domain ,local->
Add mapping---->Windows users group, Cisco acs group group1-----> Submit

三、ACS Radius Server配置步骤
1 添加Radius Client
Network Configuration
Add Entry

2 配置Radius Client
在AAA Client IP Address里填入Radius Client的ip地址
在Key里填入Radius的秘钥
在Authenticate Using里填入Radius(IETF)

3 配置Radius Server
Network Configuration ---->>
Link已经存在的server link，在本例中为yxsec

在AAA Server IP Address里填入Radius Server IP由于本例ACS与AD都是同在一台机上所以不需要填此项，此项自动为本机IP
在Key项里填入Radius的密钥
AAA Server Type为Radius
Traffic Type为inbound/outbound
四、最后重启ACS服务
System Configuration ---->> Service Control ----> Restart

配置案例； 使用管理员权限实现H3C交换机接入的TACACS认证

一、登陆系统；默认用户名为acsadmin密码为default

二、服务器端：

1、创建用户（登陆网络设备的用户）

填写用户信息，带为必填

2、设置用户登录级别

定义用户名

设置默认权限和最高权限（如果需要设置其他权限可以自己定义）
3、设置命令授权级别
4、创建设备认证策略

三、设备端配置
H3C 交换机

hwtacacs scheme 定义TACACS名称

 primary authentication“认证服务器地址”

 primary authorization“认证服务器地址”

 primary accounting“认证服务器地址”

 key authentication“认证密钥”

 key authorization“认证密钥”

 key accounting“认证密钥”

 user-name-format without-domain

#

domain TACACS名称

 authentication login hwtacacs-schemefywasu_tacacs local

 authentication super hwtacacs-schemefywasu_tacacs  local

 authorization command hwtacacs-schemefywasu_tacacs  local

 accounting command hwtacacs-schemefywasu_tacacs  local

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable
domain defaultenable fywasu_tacacs   指定定义的TACACS域为默认认证域
user-interface vty 015

 authentication-mode scheme

 user privilege level 3

acs是在pc端上配置的，网页界面，那个比较容易，aaa是在你要认证的那台设备上做认证配置的，aaa是一个第三方认证机制，acs的那台终端就是第三方，由于需要两台设备都需要做相应的配置，所以配置量相对还是很复杂的，如果您看到方便的话可以私我

---