GNS3
中
ACS
认证
今天想给大家做个ACS4.2版本的dot1x(802.1x)接入认证的实验.原理呢,我就不去细究了,因为我对这个东西的话有些细节方面都还没好好研究过呢,呵呵,不过一些基本操作我想大家看了下面的实验步骤之后就会明白了.希望能够对诸位ACS认证做不好的有些帮助.
我发现初次做这个802.1X的实验都会犯很多错误的.那么在一些易搞错的地方我会用一些亮色的字体来提醒大家,避免类似低级错误.
我们知道802.1X只能基于交换机来做端口接入认证.802.1X最先是应用于无线网络里边的认证协议,它里边有又有几种认证协议如:radius /tacus+,基于这两种认证协议我们可以做authentication,authorization,accounting也就是AAA认证服务(认证,授权,统计).这当然属于一种网络安全的有效保护措施,它是一个二层认证协议.能够防止非法用户接入网络,当用户需要接入网络时我们就要客户端进行认证,只有合法用户才能入网,否则验证失败只能放入相应预制的VLAN里面,不能共享其它网络的资源.
下面是我们本次实验的拓扑图:
环境是这样的:两台PC分别由虚拟机里面的windows 2003ACS服务器,xp客户机来做,而NAS(network access server网络接入服务器)由一台三层交换机来扮演.设置vlan 1 的地址与ACS服务器来通信,之前使用预共享密钥来进行.在ACS服务器上面还做了DHCP服务用来给客户机动态地址分配.由于我们分配的是另外一个网段的地址所以我们在这里做了一个vlan3,并设置其vlan SVI地址.由于此NAS是三层交换机,所以不同VLAN之间是可以通信的.
接下来我们就谈谈如何去配置基于以太网端口进行dot1x接入认证.
首先:我们配置ACS与DHCP,我想DHCP服务就不需要讲了吧,ACS的配置:
当然各位如果要知道如何去在windows 2003 server上面安装ACS的话,可以参考我写的文章: http://zenfei.blog.51cto.com/763386/534465.
ACS安装好后,我们进入ACS,我们先创建一个账户,名为yutian,
点击:add添加,进入下面界面,注意写好密码,把此账户放到group 3中去,往下拉保存即可:
这样我们把yutian这个账户放入了group 3,我们可以看到里面有一个帐户了那么我们再编辑这个group :edit settings
我们把下面三个项目选上,并填写相应的项目:
1,vlan
2,802
3,3,即vlan 3的id,指被认证的vlan号
然后再进入network configuration,配置AAA server /client
选点击ACS进入AAA client的设置,还有预共享蜜匙.设置好后保存
\AAA服务器端设置差不多,如下:注意:AAA server type!
至此我们ACS基本配置大功造成!
其次,我们要去配置NAS这个交换机.配置命令如下:
Vlan database
Vlan 3 name 3
Exit
Conf terminal
Interface vlan 1
Ip address 192.168.2.1 255.255.255.0
Interface vlan 3
Ip address 192.168.3.1 255.255.255.0
Ip helper-address 192.168.2.2//把DHCP广播请求转变为单播送给DHCP服务器,DHCP relay中继
Aaa new-model//开启aaa服务
Aaa authentication dot1x default group radius//AAA dot1x认证,协议是radius
Aaa authentication login default group radius none//AAA线下保护认证
Aaa authorization network default group radius//AAA授权网络接入
Radius-server host 192.168.2.2 key 123456//指明radius服务器地址与预共享密匙
Dot1x system-auth-control//全局开启dot1x
Interface fa0/1
Switchport mode access
Switchport access vlan 3//划分vlan
Spanning-tree portfast//设为快速端口,不需要经过生成树选举过程快速接入
Exit
Wr
于此,NAS基本配置完成了
现在我们可以在上面测试一下,到底NAS与ACS是不是可以互通,是不是可以正常进行认证通信?
1,连通性确定:
NAS(config)#do ping 192.168.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/24/60 ms
NAS(config)#
没问题
2,认证通信确定:
NAS#
test aaa group radius yutian yutian2011 new
NAS#
test aaa group radius yutian yutian2011 new-code
Trying to authenticate with Servergroup radius
User successfully authenticated
NAS#
从以上英文中我们可以看出,NAS与ACS之间的认证通信没问题.
这样那么我们应该可以在客户机上进行接入控制了.
首先我们要把XP客户机上的dot1x认证服务开启
打开”运行”,输入”services.msc”,在里面查找wired auto config 手动开启即可.
然后在连接右击状态
à属性,然后再切换到”身份验证”如下:
这样我们会在右下角看到:
点击这个提示,进入如下图:
输入用户名与密码之后,如果认证成功会如下:
既然接入成功,就应该也获得了地址.
现在看到接入成功,并且成功获得DHCP自动分配的地址,lease租赁期在dhcp服务器时默认是8天,而IOS dhcp默认是86400秒一个小时的租赁期.
可能有人会问,我如何知道我的端口是认证状态,没关系你可以在交换机上面去看dot1x的认证信息只需要输入:show dot1x就出来了
NAS#show dot1x
Global 802.1X Parameters
reauth-enabled
no
reauth-period
3600
quiet-period
60
tx-period
30
supp-timeout
30
server-timeout
30
reauth-max
2
max-req
2
802.1X Port Summary
Port Name
Status Mode Authorized
Fa0/0
disabled n/a n/a
Fa0/1
enabled Auto (negotiate) yes
Fa0/2
disabled n/a n/a
Fa0/3
disabled n/a n/a
Fa0/4
disabled n/a n/a
Fa0/5
disabled n/a n/a
Fa0/6
disabled n/a n/a
Fa0/7
disabled n/a n/a
Fa0/8
disabled n/a n/a
Fa0/9
disabled n/a n/a
认证为yes,mode为自动协商.且为f0/1口
注意:我们如果配置dot1x之后没认证之前会出现vlan3与f0/1接口down掉,接入认证成功,vlan 3与接口会再次up,
*Mar 1 01:06:58.399: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to up
*Mar 1 01:06:58.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to
up
NAS#show dot1x
而且还会自动生成一个MAC绑定项:
mac-address-table static 000c.291d.6468 interface FastEthernet0/1 vlan 3
这样我们今天的实验就全部完成,当然也许我讲的只是ACS这个软件功用的冰山一角,那么大家以后可以多多研究ACS这个软件其它功能吧,有什么好的建议或成果别忘记告诉我哦.呵呵.