IEEE 802.1x访问控制

 

一 :实验环境:

二 :实验配置

1:配置 SW1和SW2之间使用trunk链路,使用VTP配置vlan 10，将PC1所连接端口加入到

vlan 10,将 ACS服务器所连端口加入到vlan 1

2:用三层交换机实现 vlan间路由，并且给SW2的VLAN 1配置192.168.1.222作为管理地址.

3:在 ACS服务器上搭建DHCP服务器,并在三层交换机上配置DHCP中继,让客户端能够自动

获取 IP地址.

4:搭建 ACS服务器.

5:在 SW2上启用802.1X认证.

6:测试 PC连接情况.

三 :配置情况:

1:在 sw1上sw2之间使用trunk链路,使用VTP配置VLAN 10.

2:用三层交换机实现 VLAN间路由.

SW1(config)#int vlan 1

SW1(config-if)#ip add 192.168.1.254 255.255.255.0

SW1(config-if)#no sh

SW1(config-if)#int vlan 10

SW1(config-if)#ip ad 10.254 255.255.255.0

3:在 ACS服务器上配置DHCP服务器,让客户端能够自动获取IP地址.

SW1(config)#int vlan 10

SW1(config-if)#ip helper-address 192.168.1.100

发现客户端已经获取了 ip地址为192.168.10.100

4:搭建 ACS服务器.

(1)         给 sw2的vlan 1配置管理地址192.168.1.222

(2)         将 sw2加入AAA的客户端并更改服务端的认证统计端口为1812和1813

 

(3)添加用户 .

(4)interface configuration(添加用户接口 )

(5)设置组的 64,65,81属性.

(6)在交换机上配置 802.1x认证.

SW2(config)#aaa new-model

SW2(config)#aaa authentication login default none

//用户其它登录方式不使用 AAA认证

SW2(config)#aaa authentication dot1x default group radius //dot1X使用 AAA认证

SW2(config)#aaa authorization network default group radius //授权使用 AAA

SW2(config)# radius-server host 192.168.1.100 auth-port 1812 acct-port 1813 key cisco

//使用 Radius Server的地址和预共享密钥

SW2(config)#radius-server vsa send //使用厂商特有属性

SW2(config)#dot1x system-auth-control//启用 802.1X

SW2(config)#int  f0/2

SW2(config-if-range)#switchport mode access

SW2(config-if-range)#spanning-tree portfast

SW2(config-if-range)#dot1x port-control auto

需求 2: 员工要能够更改自己使用网络的密码

实现步骤 :

1：安装 IIS

2:服务器 CA证书服务

3:申请并安装 WEB证书

4:服务器安装 UCP软件并配置虚拟目录

5:员工在客户端通过 IE修改密码

https://ip/secure