CCNP之802.1x实验案例

实验要求：
VLAN4终端及外部Web Server使用路由器模拟，ACS Server使用一台2003 Server，Laptop使用任意笔记本（需开启EAP服务），各节点地址见拓扑，各VLAN网关为本网段的最后一个可用地址，请按拓扑要求选择设备，尽量使用固定拓扑连接。
1、    Catalyst 3560实现VLAN间路由（共4个VLAN），并做为DHCP服务器为终端及移动PC提供地址，各VLAN地址池为：172.16.×.0/24（“×”为VLAN号）；
2、    在Windows 2003 Server上安装Cisco ACS Server服务端，在Cisco 3560及2811上启用AAA认证，作为认证端对VTY线路进行身份认证，使用服务器端创建的帐号登录，要求帐号具有15级权限，可以查看及修改配置；
3、    基于Radius的动态VLAN分配，要求使用dot1x认证成功后端口自动划入VLAN2，要求认证成功后终端能获取到地址并自由访问内网外。
实验拓扑：
实验步骤：
1、配置网关的NAT、登陆认证和穿越认证代理
Cisco 2621:
ip nat inside source list 1 interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 211.98.1.2
！
access-list 1 permit 172.16.0.0 0.0.255.255
！
interface FastEthernet0/1
ip address 211.98.1.1 255.255.255.0
ip nat outside
interface FastEthernet0/0
ip address 172.16.3.254 255.255.255.0
ip access-group 101 in
ip nat inside
ip auth-proxy cisco
！
aaa new-model
!
aaa authentication login default group tacacs+
aaa authorization exec default group tacacs+
aaa authorization commands 1 default group tacacs+
aaa authorization commands 15 default group tacacs+
aaa authorization auth-proxy default group tacacs+
ip auth-proxy name cisco http list 1
！
access-list 101 permit ospf any any
access-list 101 permit tcp any eq tacacs host 172.16.3.254
access-list 101 permit tcp any host 172.16.3.254 eq telnet
！
tacacs-server host 172.16.1.10 key cisco
!
router ospf 1
log-adjacency-changes
network 172.16.3.254 0.0.0.0 area 0
default-information originate
!
2、核心交换机上开启802.1x认证和OSPF
Catalyst 3750:
ip routing
！
aaa new-model
!
aaa authentication dot1x default group radius
aaa authorization network default group radius
!
dot1x system-auth-control
dot1x guest-vlan supplicant
!
radius-server host 172.16.1.10 auth-port 1645 acct-port 1646 key cisco
radius-server vsa send authentication
!
vlan 2-4,10
！
interface FastEthernet0/1
switchport mode access
!
interface FastEthernet0/2
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
dot1x guest-vlan 4
dot1x auth-fail vlan 10
spanning-tree portfast
!
interface FastEthernet0/3
switchport access vlan 3
switchport mode access
!
interface FastEthernet0/4
switchport access vlan 4
switchport mode access
！
interface Vlan1
ip address 172.16.1.1 255.255.255.0
ip helper-address 172.16.4.10
!
interface Vlan2
ip address 172.16.2.1 255.255.255.0
ip helper-address 172.16.4.10
!
interface Vlan3
ip address 172.16.3.1 255.255.255.0
ip helper-address 172.16.4.10
!
interface Vlan4
ip address 172.16.4.1 255.255.255.0
!
interface Vlan10
ip address 172.16.10.1 255.255.255.0
ip helper-address 172.16.4.10
!
router ospf 1
log-adjacency-changes
network 172.16.1.0 0.0.0.255 area 0
network 172.16.2.0 0.0.0.255 area 0
network 172.16.3.0 0.0.0.255 area 0
network 172.16.4.0 0.0.0.255 area 0
！
3、DHCP配置
Catalyst 3750:
no ip routing
！
ip dhcp excluded-address 172.16.1.1 172.16.1.10
ip dhcp excluded-address 172.16.2.1 172.16.2.10
ip dhcp excluded-address 172.16.3.1 172.16.3.10
ip dhcp excluded-address 172.16.4.1 172.16.4.10
ip dhcp excluded-address 172.16.10.1 172.16.10.10
!
ip dhcp pool vlan1
   network 172.16.1.0 255.255.255.0
   default-router 172.16.1.1
!
ip dhcp pool vlan2
   network 172.16.2.0 255.255.255.0
   default-router 172.16.2.1
!
ip dhcp pool vlan3
   network 172.16.3.0 255.255.255.0
   default-router 172.16.3.1
!
ip dhcp pool vlan4
   network 172.16.4.0 255.255.255.0
   default-router 172.16.4.1
!
ip dhcp pool vlan10
   network 172.16.10.0 255.255.255.0
   default-router 172.16.10.1
!

interface FastEthernet0/0
ip address 172.16.4.10 255.255.255.0
4、ACS配置
ACS服务器即AAA服务器，可在windows2003虚拟机上安装ACS4.2模拟。
配置网关参数：
 

 
选择radius服务器和认证方式：
 

配置客户端信息：
 

选择要加入的组：

输入认证成功后加入的vlan： 

测试方法：将一台PC连接在Catalyst 3750交换机的F0/2端口上，在本地连接认证方式上选择MD5质询，然后会弹出一个认证框，输入ACS服务器上设置的用户名密码。如果成功的话PC即可自动获取vlan4的地址，如果认证失败则会获取vlan10的地址。

本文出自 “寻寻觅觅” 博客，转载请与作者联系！