目标:在一个公司里,如果外来电脑想访问本公司内部文件服务器,为了安全会自动给他分配到一个vlan里,登陆连接需要输入用户名密码验证,这样他访问就必须经过管理员给分配一个用户名了,实现动态vlan的分配和用户验证
。
我们要做的是:搭建一个RADIUS服务器。下面是规划图
一、前提准备
1、 在服务器2003上安装java软件包jdk-6u22-windows-i586.exe
2、 双击安装,下一步
3、 完成安装
二、安装ACS
1、 安装ACS-4.2.0.124-SW.exe
2、 点ACCEPT,再点NEXT,选择四项
3、 全选
4、 输入数据库管理员密码
直到完成安装。
三、配置服务器
1、 安装完成后,打开桌面的快捷方式ACS admin进入界面
2、 点击左侧的administration control添加管理员
3、 点add administrator进入,配置管理员密码
输完点submit
4、 点左侧network configuration配置AAA clients 和AAA servers
5、 点击add entry 进入clients配置,输入交换机的名称、IP及密码
6、 在认证使用方法authenticate using处选择RADIUS(IEIF),配置完成点submit
7、 进入AAA Server
8、 配置server
点submit+apply完成。
9、 进入user setup添加用户,输入用户名
10、 配置用户密码,选择要分配的组
11、 进入左侧Internet configutation选项
12、 点RADIUS(IEIF)进入,选择64、65、81三项打上勾
13、 选择左侧的group setup点击进入
14、 配置64\65\81项
四、配置交换机
1、 配置交换机S2
S2(config)#aaa new-model
S2(config)#aaa authentication login default local
S2(config)#aaa authentication dot1x default group radius
S2(config)#aaa authentication network default group radius
S2(config)#radius-server host 192.168.8.10 key 123
S2(config)#radius-server vsa send authentication
S2(config)#dot1x system-auth-control
S2(config)#int f0/2
S2(config-if)#switchport mode access
S2(config-if)#dot1x port-control auto
S2(config-if)#spanning-tree portfast
S2(config-if)#exit
S2(config)#vlan 8
S2(config)#exit
S2(config)#int f0/24
S2(config-if)#switchport mode trunk
2、 在S1上配置
S1(config)#vlan 8
S1(config-vlan)#exit
S1(config)#int f0/24
S1(config-if)#switchport trunk encapsulation dot1q
S1(config-if)#switchport mode trunk
S1(config-if)#int vlan 1
S1(config-if)#ip add 192.168.1.2 255.255.255.0
S1(config-if)#ip helper-address 192.168.8.10
S1(config-if)#no shutdown
S1(config-if)#int vlan 8
S1(config-if)#ip add 192.168.10.2 255.255.255.0
S1(config-if)#no shutdown
S1(config)#ip routing