网络训练小项目
网络训练小项目
目录
实训项目1.. - 3 -
项目背景: - 3 -
项目要求: - 3 -
项目规划图.... - 5 -
项目分析:.... - 5 -
项目简图:.... - 7 -
项目配置规划:.... - 7 -
? 服务器配置.... - 7 -
? Linux. - 7 -
? DNS. - 7 -
? DHCP.. - 10 -
? WWW... - 11 -
2 身份验证登陆网页.... - 13 -
2 自签发证书配置.... - 13 -
2 Php.. - 16 -
2 Mysql - 16 -
2 论坛.... - 17 -
? FTP.. - 20 -
? AAA.. - 24 -
? R13.. - 28 -
? SW1.. - 28 -
? 内部网络测试.... - 30 -
? 外网测试结果.... - 32 -
项目背景:
该集团是以工程总承包、房地产开发、设计咨询、经营生产和资本运作相结合的大型综合性建筑企业集团,具有房屋建筑工程、公路工程施工总承包特级资质和市政公用工程、机电安装、地基与基础、钢结构、公路路面、城市轨道交通工程等一批专业总承包一级资质。以工业与民用建筑、市政工程、地铁、高速公路、深基础工程、机场港口、长输管线等工程设计、施工、房地产开发和资本经营为主业,并从事工业生产、物业经营、饭店管理、外经外贸等多种业务。
项目要求:
? 该企业建设有局域网络,由于机器较多,结构复杂,故采用vlan技术,用于隔离广播,保证安全,分别建设技术部门valn和市场部门vlan以及服务器vlan
? 服务器vlan中有dhcp(用于向技术部门vlan和市场部门vlan分配ip地址等参数) 、www、ftp以及AAA服务器,该公司建有主站点,论坛,市场分部门站点和技术部门站点
1. 为了企业网络的安全,要求内部用户实现安全接入,采用基于端口的认证技术(802.1x),使用服务器中心的AAA服务器实现集中的身份验证
2. 为保证公司的服务器安全稳定的运行,www、dhcp服务器,以及DNS服务器采用linux,FTP、AAA服务器采用windows
3. 在公司前端的路由器上采用SNAT技术接入互联网络,为了规范用户的上网行为,在上班时间(每天8:00-20:00)可以使用http访问internet上的资源,
4. 通过在前端的H3C的路由器上采用DNAT技术,在internet上发布公司的主站点
5. 在www服务器上建设虚拟主机,主站的域名为www.cj.com,技术部门网站域名为tec.cj.com,市场部门网站域名为mkt.cj.com,论坛为bbs.cj.com,主站点匿名用户可以访问(内部用户可以访问,internet用户也可以访问),技术部门站点要求使用https进行访问,利用账号进行验证访问
6. 公司的ftp站点上,存放有公司的公共文档以及市场部门和技术部门文档,要求各自部门自能访问自己的资源
7. 服务器vlan主机数量5台,技术部门20台、市场部门30台,公司的ip段为192.168.1.0/24 ,要求合理分配地址
项目策划图
项目分析:
1. Vlan划分: valn5、vlan10、vlan20
Server归入vlan5、tec技术部归入vlan10、mkt市场部归入vlan20
2. 服务器分配:Dns、dhcp、www、搭建于红帽系统,集于一台主机。ftp、AAA搭建于windows2003,集于一台主机。
3. 域名地址:主站点www.cj.com、技术部tec.cj.com、市场部mkt.cj.com、论坛bbs.cj.com。
| Vlan5 |
192.168.1.8/29 |
192.168.1.9-------192.168.1.13 192.168.1.14-----网关 |
| Vlan10 |
192.168.1.32/27 |
192.168.1.33------192.168.1.61 192.168.1.62------网关 |
| Vlan20 |
192.168.1.64/27 |
192.168.1.65------192.168.1.93 192.168.1.94------网关 |
5. 设备:linux、windows2003、H3C交换机、H3C路由器、客户机一台
6. 端口地址及端口分配:
| R13 |
E0.5 E0.10 E0.20 E1-----------外网口 |
192.168.1.14/29 192.168.1.62/27 192.168.1.94/27 192.168.101.157 |
| SW1 |
Server---e1/0/5 R13-------e1/0/24 Tec--------e1/0/10 Mkt-------e1/0/20 |
Vlan5 Trunk Vlan10 Vlan20 |
项目简图:
项目配置规划:
服务器配置:
Linux:
a) 服务器所需要的安装包:
httpd.i386
httpd-manual.i386
dhcp.i386
mod_ssl.i386
bind.i386
bind-chroot.i386
bind-libs.i386
bind-utils.i386
caching-nameserver.i386
DNS:
[root@server ~]# cd /var/named/chroot/ ////进到这个目录下会有这四个文件夹
[root@server chroot]# ll
total 24
drwxr-x--- 2 root named 4096 Aug 25 02:59 dev
drwxr-x--- 2 root named 4096 Sep 11 06:37 etc
dr-xr-xr-x 148 root root 0 Sep 11 05:22 proc
drwxr-x--- 6 root named 4096 Aug 25 02:59 var
[root@server chroot]#
[root@server etc]# cd /var/named/chroot/etc/ /////进到这个文件夹会有这个文件
-rw-r----- 1 root named 1195 Jan 6 2009 named.caching-nameserver.conf
[root@server etc]# cp -p named.caching-nameserver.conf named.conf /////对这个文件拷贝为named.conf
-rw-r----- 1 root named 1423 Sep 11 06:37 named.conf
[root@server etc]# vi named.conf/////对这个文件编辑如下
options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
// Those options should be used carefully because they disable port
// randomization
// query-source port 53;
// query-source-v6 port 53;
allow-query { any; };
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
view localhost_resolver {
match-clients { 192.168.1.0/24; };
match-destinations { localhost; };
recursion yes;
include "/etc/named.rfc1912.zones";
};
view localhost_resolver1 {
match-clients { any; };
match-destinations { localhost; };
recursion yes;
zone "cj.com" IN {
type master;
file "cj1.com.db";
allow-update { none; };
};///////////////////////红色部分是用于dns解析使其外网可以访问到内部网站
};
[root@server etc]# vi named.rfc1912.zones /////在里面添加如下命令
zone "cj.com" IN {
type master;
file "cj.com.db";
allow-update { none; };
};
[root@server chroot]# cd /var/named/chroot/var/named/ /////进到这个文件夹
[root@server named]# cp -p localhost.zone cj.com.db ////同样是拷贝为cj.com.db最为数据库
[root@server named]# cp -p localhost.zone cj1.com.db /////这个是作为dns分析数据库是为外网可以访问到内部网站
[root@server named]# vi cj.com.db
$TTL 86400
@ IN SOA ns.cj.com. root (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS ns.cj.com.
ns IN A 192.168.1.9
www IN A 192.168.1.9
tec IN CNAME www
mkt IN CNAME www
bbs IN CNAME www
[root@server named]# vi cj1.com.db ////对这个文件编辑如下
$TTL 86400
@ IN SOA ns.cj.com. root (
42 ; serial (d. adams)
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS ns.cj.com.
ns IN A 192.168.1.9
www IN A 192.168.101.157//////////路由外网口
[root@server ~]# service named start ////启用dns
DHCP:
需要对一个文件进行编辑如下:
[root@server ~]# vi /etc/dhcpd.conf
subnet 192.168.1.8 netmask 255.255.255.248 {
# --- default gateway
option routers 192.168.1.14;//////网关地址
option subnet-mask 255.255.255.248;
option nis-domain "domain.org";
option domain-name "domain.org";
option domain-name-servers 192.168.1.9;////服务器地址
option time-offset -18000; # Eastern Standard Time
# option ntp-servers 192.168.1.1;
# option netbios-name-servers 192.168.1.1;
# --- Selects point-to-point node (default is hybrid). Don't change this unless
# -- you understand Netbios very well
# option netbios-node-type 2;
range dynamic-bootp 192.168.1.10 192.168.1.13;/////自动分配地址范围
default-lease-time 21600;
max-lease-time 43200;
# we want the nameserver to appear at a fixed address
host ns {
next-server marvin.redhat.com;
hardware ethernet 12:34:56:78:AB:CD;
fixed-address 207.175.42.254;
}
}
subnet 192.168.1.32 netmask 255.255.255.224 {
# --- default gateway
option routers 192.168.1.62;
option subnet-mask 255.255.255.224;
option nis-domain "domain.org";
option domain-name "domain.org";
option domain-name-servers 192.168.1.9;
range dynamic-bootp 192.168.1.33 192.168.1.61;
default-lease-time 21600;
max-lease-time 43200;
}
subnet 192.168.1.64 netmask 255.255.255.224 {
# --- default gateway
option routers 192.168.1.94;
option subnet-mask 255.255.255.224;
option nis-domain "domain.org";
option domain-name "domain.org";
option domain-name-servers 192.168.1.9;
option time-offset -18000; # Eastern Standard Time
# option ntp-servers 192.168.1.1;
# option netbios-name-servers 192.168.1.1;
# --- Selects point-to-point node (default is hybrid). Don't change this unless
# -- you understand Netbios very well
# option netbios-node-type 2;
range dynamic-bootp 192.168.1.65 192.168.1.93;
default-lease-time 21600;
max-lease-time 43200;
# we want the nameserver to appear at a fixed address
host qq {
next-server marvin.redhat.com;
hardware ethernet 12:34:56:78:AB:CD;
fixed-address 207.175.42.254;
}
}
[root@server ~]# service dhcpd start///////启用dhcp
WWW:需要如下配置
1. 身份验证
2. 证书颁发
3. Php
4. Mysql
5. 论坛安装
在这个文件夹下有如下文件
[root@server ~]# cd /etc/httpd/
[root@server httpd]# ll
total 36
drwxr-xr-x 2 root root 4096 Sep 11 05:45 conf
drwxr-xr-x 2 root root 4096 Sep 10 08:56 conf.d
lrwxrwxrwx 1 root root 19 Aug 25 02:08 logs -> ../../var/log/httpd
lrwxrwxrwx 1 root root 27 Aug 25 02:08 modules -> ../../usr/lib/httpd/modules
drwxr-xr-x 9 root root 4096 Sep 10 04:51 phpmyadmin
lrwxrwxrwx 1 root root 13 Aug 25 02:08 run -> ../../var/run
[root@server httpd]# ll conf /////在这个文件夹下有一个httpd.conf就是我们要配置的文件
total 56
-rw-r--r-- 1 root root 34607 Sep 10 09:47 httpd.conf
-rw-r--r-- 1 root root 12958 Nov 12 2008 magic
[root@server httpd]# vi conf/httpd.conf //////对这文件编辑,在文件的最后添加这么几行命令
993 <VirtualHost 192.168.1.9:80>
994 ServerAdmin [email protected]
995 DocumentRoot /var/www/html
996 ServerName www.cj.com
997 ErrorLog logs/error_log
998 CustomLog logs/access_log common
999 </VirtualHost>
1000 <VirtualHost 192.168.1.9:80>
1001 ServerAdmin [email protected]
1002 DocumentRoot /var/www/html/tec
1003 ServerName tec.cj.com
1004 ErrorLog logs/tec-error_log
1005 CustomLog logs/tec-access_log common
1006 </VirtualHost>
1007 <VirtualHost 192.168.1.9:80>
ServerAdmin [email protected]
1009 DocumentRoot /var/www/html/mkt
1010 ServerName mkt.cj.com
1011 ErrorLog logs/mkt-error_log
1012 CustomLog logs/mkt-access_log common
1013 </VirtualHost>
1014 <VirtualHost 192.168.1.9:80>
1015 ServerAdmin [email protected]
1016 DocumentRoot /var/www/html/bbs
1017 ServerName bbs.cj.com
ErrorLog logs/bbs-error_log
1019 CustomLog logs/bbs-access_log common
1020 </VirtualHost>
973 NameVirtualHost 192.168.1.9:80//////同时还要把这一行启用修改为这样
[root@server ~]# cd /var/www/html/ /////进到这个文件夹建一个主页如下
[root@server html]# vi index.html //////内容任意都可以
[root@server html]# mkdir mkt //////市场部主页目录
[root@server html]# mkdir tec ////////技术部主页目录
[root@server html]# mkdir bbs //////////论坛主页目录
[root@server html]# service httpd start //////启用www
2 身份验证登陆网页:.................
[root@server certs]# vi /etc/httpd/conf/httpd.conf
<Directory />
293 Options FollowSymLinks
294 AllowOverride None
295 </Directory>
307 <Directory "/var/www/html">///加密目录此时改为/var/www/html/tec
Options Indexes FollowSymLinks
328 AllowOverride None/////none要改为all
336 </Directory>
设置身份验证时还要编辑一个文件进到要身份验证的主目录
[root@server certs]# cd /var/www/html/tec/
[root@server tec]# vi .htaccess
authuserfile /var/www/html/tec/.htpasswd//存放用户文件夹
authtype basic
authname "please input your name and password"
require valid-user/////指有效用户
[root@server tec]# htpasswd -c .htpasswd lisi//第一次创建用户要加-c 下次不用加
[root@server tec]# ll -a///可以看到隐藏的文件
2 证书配置:
root@server ~]# cd /etc/pki/
[root@server pki]# vi tls/openssl.cnf
34 [ algs ]
35 # Algorithm configuration options. Currently just fips_mode
36 fips_mode = no
37
38 ####################################################################
39 [ ca ]
40 default_ca = CA_default # The default ca section
41
42 ####################################################################
43 [ CA_default ]
44
45 dir = ../../CA # Where everything is kept
46 certs = $dir/certs # Where the issued certs are kep t
47 crl_dir = $dir/crl # Where the issued crl are kept
48 database = $dir/index.txt # database index file.
49 #unique_subject = no # Set to 'no' to allow creation of
50 # several ctificates with same s ubject.
51 new_certs_dir = $dir/newcerts # default place for new certs.
52
53 certificate = $dir/cacert.pem # The CA certificate
54 serial = $dir/serial # The current serial number
55 crlnumber = $dir/crlnumber # the current crl number
56 # must be commented out to leave a V1 CRL
57 crl = $dir/crl.pem # The current CRL
58 private_key = $dir/private/cakey.pem# The private key
59 RANDFILE = $dir/private/.rand # private random number file
60
61 x509_extensions = usr_cert # The extentions to add to the c ert
62
63 # Comment out the following two lines for the "traditional"
64 # (and highly broken) format.
65 name_opt = ca_default # Subject Name options
66 cert_opt = ca_default # Certificate field options
67
68 # Extension copying option: use with caution.
69 # copy_extensions = copy
70
71 # Extensions to add to a CRL. Note: Netscape communicator chokes on V2 C RLs
72 # so this is commented out by default to leave a V1 CRL.
73 # crlnumber must also be commented out to leave a V1 CRL.
45 dir = /etc/pki/CA # Where ever
[root@server pki]# cd /etc/pki/CA/
[root@server CA]# ll
total 8
drwx------ 2 root root 4096 Dec 17 2008 private
机构自己的私钥在private
[root@server CA]# openssl genrsa 1024 >private/cakey.pem //////产生私钥放在private的cakey.pem
[root@server CA]# chmod 600 private/* /////// 使私钥只有管理员可以访问所以修改权限
[root@server CA]# openssl req -x509 -new -key private/cakey.pem -out cacert.pem -days 3655 /////产生一个自签发的证书 :产生公钥输出机构证书时间
私钥公钥 和证书都已经产生
然后给站点颁发证书
[root@server CA]# cd /etc/httpd/
[root@server httpd]# mkdir certs
[root@server certs]# openssl genrsa 1024 >httpd.key ////////////产生钥匙
[root@server certs]# chmod 600 httpd.key //////////////修改权限
[root@server certs]# openssl req -new -key httpd.key -out httpd.csr ////////////产生一个请求文件
[root@server certs]# cd /etc/pki/CA/
[root@server CA]# mkdir certs crl newcerts
[root@server CA]# touch index.txt serial ///////////////产生下一个证书需要现有这些文件
[root@server CA]# echo "01" >serial ///////////给serial一个值
[root@server CA]# cd /etc/httpd/certs/
[root@server certs]# openssl ca -in httpd.csr -out httpd.crt ///////////使用请求文件产生证书
[root@server certs]# vi /etc/httpd/conf.d/ssl.conf //////////////设置配置文件
112 SSLCertificateFile /etc/pki/tls/certs/localhost.crt
SSLCertificateFile /etc/httpd/certs/httpd.crt ////////////////证书位置
119 SSLCertificateKeyFile /etc/pki/tls/private/localhost.key
SSLCertificateKeyFile /etc/httpd/certs/httpd.key /////////////放置私钥的位置
[root@server certs]# service httpd restart //////////////重启服务
这个时候还不能颁发证书需要在配置一个文件
[root@server certs]# vi /etc/httpd/conf.d/ssl.conf
128 #SSLCertificateChainFile /etc/pki/tls/certs/server-chain.crt
SSLCertificateChainFile /etc/pki/CA/cacert.pem /////////////CA证书存放位置 证书链
之后就可以安装此证书
2 Php:
php.i386 /////////需要安装这个软件包
yum install php
cd /var/www/html/
mv index.html index.php
vi index.php /////////编辑如下就可以看到php页面的效果
<?php
phpinfo();
?>
打开网页后如下:
2 Mysql:
对于mysql需要安装这两个软件包
Mysql mysql-server
yum install mysql mysql-server
chkconfig --list |grep mysql
mysqld 0:off 1:off 2:off 3:off 4:off 5:off 6:off
chkconfig mysqld on
mysqld 0:off 1:off 2:on 3:on 4:on 5:on 6:off
service mysqld start
[root@localhost Server]# netstat -tupln |grep mysql
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LIS ////////php 和mysql 连接起来还要安装
yum install php-mysql-5.1.6-27.el5.i386.rpm
vi /var/www/html/index.php ////////////连接数据库以root密码为空
<?php
$link=mysql_connect('127.0.0.1','root','');
if ($link)
echo "ok";
else
echo "failer";
?> ////////打开主页出现ok说明连接数据库成功
2 论坛:
在这里直接用一个现成的论坛软件包phpwind_GBK_8.3.zip把这个包挪到linux上解压
unzip phpwind_GBK_8.3.zip
683 cd phpwind_GBK_8.3
mkdir /etc/httpd/bbs
cd upload/
mv * /etc/httpd/bbs/
cd /etc/httpd/bbs/
然后以虚拟机来实现
[root@server bbs]# vi /etc/httpd/conf/httpd.conf
<VirtualHost 192.168.101.27:80>
1022 ServerAdmin [email protected]
1023 DocumentRoot /etc/httpd/html/bbs
1024 ServerName bbs.cj.com
1025 ErrorLog logs/bbs-error_log
1026 CustomLog logs/bbs-access_log common
1027 </VirtualHost>
[root@server bbs]# vi /var/named/chroot/var/named/cj.com.db
bbs IN CNAME www
打开网页时可能是空白页需要单击 网页上的查看--》编码--》简体中文就可以出现
打开之后会有一个安装须知:
需要把这些文件都改为777属性
在这之前需
[root@server bbs]# vi /etc/httpd/conf/httpd.conf
把这个给禁用掉
747 AddDefaultCharset UTF-8
[root@server bbs]# cd /etc/httpd/bbs/
[root@server bbs]# chmod -R 777 attachment/ html/ data/
然后开始安装
安装后会出现一个系统自己无法删除需要手动删除
[root@server bbs]# rm install.php
rm: remove regular file `install.php'? y
然后就可登陆到论坛页面
管理员用户登录之后的页面如下:
在系统设置里可以登录后台进行管理页面如下:
用管理员账号登录后的页面显示如下:
这里可以进行站点设置-用户组权限-帖子审核-分类信息-公告管理-版块管理-
可以增加想要的板块,对论坛信息进行分类等等。
FTP:
ftp服务器设置:
添加ftp在开始à控制面板à添加或删除à应用程序服务器à详细信息àinternet 信息服务(IIS)à详细信息à文件传输协议(FTP)服务à确定
打开ftp服务器在默认ftp站点右击点属性选ftp站点地址和主目录如下:
点允许匿名连接添加用户,点击浏览:
点击浏览之后,如果知道用户名可以直接输入查找,如果不太清楚可以点击高级,立即查找。所有建立的用户都可以找到,然后点击添加。
打开ftp服务器在默认ftp站点新建虚拟目录:技术部和市场部
1.tec 2.mkt 两个目录
由于各部门只允许查找各自的部门的所以在建的两个目录右键点击属性,添加权限。以其中的一个为例:
属性中的目录安全性下有授权访问和拒绝访问两种权限。两种任意一种都可以,根据自己的情况来添加。在这里选拒绝访问,下面的除外添加访问权限,允许以下ip段可以访问,就是技术部所在的ip段
AAA:
Windows2003
在这里就用图片来显示AAA服务器的创建和配置:
首先要安装internet验证信息服务,在控制面板---添加和删除----
R13:
[r13]time enable
[r13]clo 11:39:00 10 09 2011
[r13]settr 08:00 20:00
[r13]int e1
[r13-Ethernet0]ip add 192.168.1.254 255.255.255.252 sub
[r13-Ethernet0]int e0.5
[r13-Ethernet0.5]vlan-type dot1q vid 5
[r13-Ethernet0.5]ip add 192.168.1.14 255.255.255.248
[r13-Ethernet0.5]int e0.10
[r13-Ethernet0.10]vlan-type dot1q vid 10
[r13-Ethernet0.10]ip add 192.168.1.62 255.255.255.224
[r13-Ethernet0.10]int e0.20
[r13-Ethernet0.20]vlan-type dot1q vid 20
[r13-Ethernet0.20]ip add 192.168.1.94 255.255.255.224
[r13-Ethernet0.20]ip relay-address 192.168.1.9
[r13-Ethernet0.20]int e0.10
[r13-Ethernet0.10]ip relay-address 192.168.1.9
[r13-Ethernet0.10]int e0.5
[r13-Ethernet0.5]ip relay-address 192.168.1.9
[r13-Ethernet1]ip add 192.168.101.157 24
[r13]acl 3001
[r13-acl-3001]rule special permit tcp source 192.168.1.0 0.0.0.255 destination
ny destination-port equal 80
[r13-acl-3001]rule special permit udp source any destination any destination-por
t equal 53
[r13-acl-3001]rule spe den ip sou any des any
[r13-Ethernet1]nat outbound 3001 interface //////dnat转换
[r13-Ethernet1]nat ser glo 192.168.101.157 domain in 192.168.1.9 domain udp
[r13-Ethernet1]nat server global 192.168.101.157 www inside 192.168.1.9 www tcp
///dns地址解析使外网可以访问内网的地址
[r13]ip route-static 0.0.0.0 0.0.0.0 192.168.101.254 preference 60
SW1:
[sw1]vlan 10
[sw1-vlan10]po
[sw1-vlan10]port e1/0/10
[sw1-vlan10]vlan
[sw1-vlan10]vlan 20
[sw1-vlan20]po
[sw1-vlan20]port e1/0/20
[sw1-vlan20]quit
[sw1]int e1/0/24
[sw1-Ethernet1/0/24]port link-type trunk
[sw1-Ethernet1/0/24]port trunk permit vlan all
[sw1]ip route-static 192.168.1.0 24 192.168.100.13/////在交换机上设置指向路由的路由表
///////AAA设置
[sw1]radius scheme cj
[sw1-radius-cj]primary authentication 192.168.1.12/// primary 设置首选RADIUS服务器的IP地址authentication 设置首选RADIUS认证服务器的IP地址
[sw1-radius-cj]accounting optional/// accounting设置计费方式optional 可选计费方
accounting 设置计费方式
accounting-on Accounting-On 报文发送方式
data-flow-format 设置发往RADIUS服务器的流量数据的格式
display 显示当前系统信息
key 指定RADIUS服务器的共享密钥
nas-ip 设置RADIUS使用的源地址
ping 检查网络连接或主机是否可达
primary 设置首选RADIUS服务器的IP地址
quit 退出当前的命令视图
retry 设置报文重发的次数
return 退到用户视图
save 保存当前有效配置
secondary 设置备份RADIUS服务器的IP地址
server-type 设置RADIUS服务器的类型
state 设置首选/备份RADIUS 认证/计费服务器的状态
stop-accounting-buffer 使能停止计费报文缓存功能
timer 指定定时器超时参数
tracert 跟踪到达目的地的路由
undo 恢复缺省值或禁止某一项功能
user-name-format 设置送往RADIUS服务器的用户名的格式
[sw1-radius-cj]key authentication 123456
[sw1-radius-cj]server-type standard//standard 基于RFC协议的RADIUS服务器
[sw1-radius-cj]user-name-format without-domain
[sw1]domain cj//域名
[sw1-isp-cj]radius-scheme cj///方案名///引用方案
[sw1-isp-cj]access-limit enable 10///enable 启动接入限制///最大接入数
[sw1-isp-cj]accounting optional
[sw1]dot1x
[sw1]dot1x authentication-method pap////authentication-method 指定系统认证方法pap PAP(密码认证协议)认证方法
[sw1]user-interface vty 0 4/////vty 虚拟用户终端接口/欲配置的第一个用户终端接口// user-interface 配置用户终端接口
[sw1-ui-vty0-4]authentication-mode scheme//// scheme 利用RADIUS方案进行认证authentication-mode 配置用户终端接口的认证方式
[sw1]dot1x interface e1/0/1 to e1/0/4 e1/0/6 to e1/0/23
内部网络测试:
通过第三方软件连接来获取地址—否则获不到地址:另外在拨之前应该先在AAA服务器建立cj1这个用户属性允许拨入--
在这里要在属性里设置为
这个说明连接上了,且获得了地址
下面的是在AAA服务器上在事件查看器上获得这个用户被授予了访问权限
外网测试结果:ping www.cj.com获得了外网口地址,并没有得到内网服务器的地址,说明测试结果ok
