网络安全（二）----华为802.1x客户端验证实现客户机安全通信

             华为802.1x客户端验证实现客户机安全通信，并且能够从DHCP服务器上获取ip。

实验环境：防火墙（型号：H3C F100-C）、交换机（华为S2000）、windows server 2003 操作系统（充当dhcp服务器，和华为802.1x 客户端）

一个交换式网络：有多个vlan，为了让vlan间能够通信，我们还有一台三层设备，为了让用户能够动态的获取ip地址，在server服务器vlan上有一台dhcp服务器，同时为了实现安全的接入，我们在交换机的各vlan接口上设置dot1x验证，无论你是哪一个vlan，必须通过验证才能获得ip地址，所以我们在server服务器vlan中建设一个AAA服务器。

下面我们来做一下简单规划：（为了节省资源，我们把AAA服务器和dhcp服务器建在一台服务器上）

这个图是我以前的一个图只是DHCP服务器的ip修改成192.168.30.200就行了。

1>我们先在虚拟机下打开windows server2003 服务器上配置AAA、DHCP服务器。

1>找到管理你的服务器：-->添加或删除程序-->找到网络服务,勾选如下：

按下确认，并安装。

接下来配置AAA和DHCP服务器：

域名为tec技术部在vlan10下：

再继续配置dhcp服务器，mkt 市场部的vlan20：

就建这两个作用域，就可以了。

配置AAA服务器

设置我们的交换机为vlan1  ip：192.168.2.10  在单臂路由上配置e0/0配置的ip就是vlan1的网关：192.168.2.1

2>开始配置AAA服务器：ip地址应该为192.168.2.10

这是客户机（即交换机）域AAA服务器互相信任的一个密钥。

配置身份验证：

再在这个AAA服务器上建个用户账号：

在远程访问权限选项勾选上允许访问

这时AAA服务器就配置完成了。

DHCP和AAA服务器都配置完成。

下面配置这个单臂路由：配置信息如下：

<SW1>dis cu

#

sysname SW1

#

dot1x

dot1x authentication-method pap                       #dot1x验证方法设置成pap#

#

radius scheme system

radius scheme xxx                                                #为使用Radius服务器创建授权方式列表xxx#

server-type standard

primary authentication 192.168.30.200

accounting optional                                         #计费方式无设置但必须指明计费方式#

key authentication 123456                              #设置验证密码为123456#

user-name-format without-domain

#

domain system

domain zhds                                                    #建立作用域域名为zhds#

scheme radius-scheme xxx                            #为使用Radius服务器创建授权方式列表xxx#

access-limit enable 10                                   #在这里我们可以限制同时验证用户的数量#

accounting optional                                     #计费方式无设置但必须指明计费方式#

#

vlan 1

#

vlan 10

#

vlan 20                                  

#

vlan 30

#

interface Vlan-interface1

ip address 192.168.2.10 255.255.255.0

#

interface Aux1/0/0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5

#

interface Ethernet1/0/6

#

interface Ethernet1/0/7

#

interface Ethernet1/0/8

#                                        

interface Ethernet1/0/9

#

interface Ethernet1/0/10

port access vlan 10                                               #把10端口划分到vlan 10#

dot1x                                                                    #设置为dot1x验证#

#

interface Ethernet1/0/11

#

interface Ethernet1/0/12

#

interface Ethernet1/0/13

#

interface Ethernet1/0/14

#

interface Ethernet1/0/15

#

interface Ethernet1/0/16

#

interface Ethernet1/0/17

#

interface Ethernet1/0/18

#

interface Ethernet1/0/19

#                                        

interface Ethernet1/0/20                                    #把20端口划分到vlan 20#

port access vlan 20

dot1x                                                                  #设置为dot1x验证#

#

interface Ethernet1/0/21

#

interface Ethernet1/0/22

port access vlan 30                                            #把22端口划分到vlan 30#

#

interface Ethernet1/0/23

#

interface Ethernet1/0/24

port link-type trunk

port trunk permit vlan all                                 #设置24端口为trunk口，允许所有vlan通过#  

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 preference 60                   #设置默认路由#

#

user-interface aux 0

user-interface vty 0 4

#

Return

下面是交换机（这里用的firewall防火墙）

<FW1>dis cu

#

sysname FW1

#

firewall packet-filter enable

firewall packet-filter default permit

#

undo insulate

#

firewall statistic system enable

#

radius scheme system

server-type extended

#

domain system

#

local-user admin

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal

level 3

service-type ftp

#

interface Aux0

async mode flow

#

interface Ethernet0/0                    

ip address 192.168.2.1 255.255.255.0                          #为eth0/0配置规划好的ip#

#

interface Ethernet0/0.10                                            #设置vlan 10 子接口，并配置其ip#

ip address 192.168.10.1 255.255.255.0

ip relay address 192.168.30.200                                 #vlan10设置应用DHCP服务器自动分配ip的服务器ip#

dhcp select relay

vlan-type dot1q vid 10

#

interface Ethernet0/0.20

ip address 192.168.20.1 255.255.255.0                       #设置vlan 20 子接口，并配置其ip#

ip relay address 192.168.30.200                                 #vlan20设置应用DHCP服务器自动分配ip的服务器ip#

dhcp select relay

vlan-type dot1q vid 20

#

interface Ethernet0/0.30                                            #设置vlan 30 子接口，并配置其ip#

ip address 192.168.30.1 255.255.255.0

vlan-type dot1q vid 30

#

interface Ethernet0/4

#

interface Encrypt1/0

#

interface NULL0

#                                        

firewall zone local

set priority 100

#

firewall zone trust         #防火墙充当路由时只有eth0/0在区域内，必须把这3个子接口加入区域，才能实现通信#

add interface Ethernet0/0

add interface Ethernet0/0.10

add interface Ethernet0/0.20

add interface Ethernet0/0.30

set priority 85

#

firewall zone untrust

set priority 5

#

firewall zone DMZ

set priority 50

#

firewall interzone local trust

#

firewall interzone local untrust

#

firewall interzone local DMZ

#

firewall interzone trust untrust

#                                        

firewall interzone trust DMZ

#

firewall interzone DMZ untrust

#

FTP server enable

#

user-interface con 0

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

#

Return

这样就配置完成。

接下来是验证过程，先是用802.1x客户端登陆：