IEEE802.1X 的端口认证实验

实验二十四、IEEE802.1X 的端口认证实验

一、 实验目的

1、了解什么是 802.1x;

2、熟练掌握如何使用 802.1x 提高网络安全性;

3、 了解神州数码对 802.1x的功能加强

二、 应用环境

我们的网络按照标准的三层架构(核心层、汇聚层、接入层)部署,在网络的接入层使用DCS-3926S 交换机。在运营的过程中,网络中心发现有许多外来人员经常在没有知会有关部门的情况下,私自使用网络。网络中心希望能够控制非法访问,通过802.1x 结合认证服务器给大家发放用户名帐号,只允许有用户名帐号的人访问网络,这样就有效的解决了非法访问的问题。同时,还可以使用认证服务器(DCBI-3000EN )的计费功能,按照不同的计费策略对不同的上网类型进行计费。802.1x 协议的主要目的是为了解决局域网用户的接入认证问题。(dcn 全线接入交换机均支持 802.1x 协议)。

三、 实验设备

1、DCS-3926S 交换机 1 台

2、PC机 1-2 台

3、Console 线1根

4、直通网线 2-4 根

5、DCBI-3000

四、 实验拓扑

IEEE802.1X 的端口认证实验_第1张图片

五、 实验要求

1、按照拓扑图连接网络;2、PC 和交换机的24 口用网线相连;

3、DCBI-3000 认证服务器和交换机的 1 口用网线相连;

4、交换机的管理IP 为 192.168.1.100/24

5、PC 网卡的IP 地址为 192.168.1.101/24;

6、DCBI 认证服务器的IP 为 192.168.1.5/24

六、 实验步骤

第一步:交换机恢复出厂设置

switch#set default

Are you sure? [Y/N] = y

switch#write

switch#reload

Process with reboot? [Y/N] y

switch#clock set 15:29:50 2006.01.16

Current time is MON JAN 16 15:29:50 2006

switch#

switch#config

switch(Config)#hostname DCS-3926S

DCS-3926S(Config)#exit

DCS-3926S#

第二步:给交换机设置IP 地址。

DCS-3926S(Config)#interface vlan 1 !进入 vlan 1 接口

DCS-3926S(Config-If-Vlan1)#ip address 192.168.1.100 255.255.255.0 !配置地址

DCS-3926S(Config-If-Vlan1)#no shutdown !激活vlan 接口

第三步:安装 1x 认证客户端并配置主机的IP 地址

安装客户端,安装完成后客户端默认使用带神州数码私用扩展的报文进行发送。神州数

码私用扩展可以大大增强 802.1x 的功能,使用户名可以绑定IP、MAC、交换机VLAN 等,

还可以按照流量进行计费,甚至区分国内外流量进行计费(这需要DCBA-3000W 设备的支

持),可以防止BT 等P2P 软件等等。

配置主机的IP 地址为 192.168.1.101/24。

clip_image004

clip_image006

第四步:安装配置 DCBI-3000 限用户版

1、安装 redhat操作系统,mysql 数据库必选;

2、将 DCBI 的安装文件复制到新安装的系统下;

3、解包复制过来的文件,进入 install 目录,执行./install,按照提示输入服务器

IP 地址 192.168.1.99;

4、启动 mysql数据库;

5、在解包的 install 目录下执行./installdb;

6、启动 dcbi start; 7、此时必须打开操作系统得图形界面,执行 client,此时可以看到 DCBI 客户端的登

录画面,默认用户名密码都是 admin;

clip_image008

8、在站点管理中添加设备,并重启 DCBI;

clip_image010

9、添加计费类型

clip_image012

10、根据需要进行开户;

clip_image014

DCBI 服务器详细的安装和使用请参考附件:DCBI-3000 安装与调试。第五步:配置交换机 802.1x

DCS-3926S(Config)#radius-server authentication host 192.168.1.5 !配置认证

服务器地址,默认使用 1812 端口认证。

DCS-3926S(Config)#radius-server accounting host 192.168.1.5 !配置计费

服务器地址,默认使用 1813 端口计费。

DCS-3926S(Config)#radius-server key dcradius !配置通信密钥

DCS-3926S(Config)#aaa enable !启用认证

DCS-3926S(Config)#aaa-accounting enable !启用计费

DCS-3926S(Config)#dot1x enable !启用802.1x

DCS-3926S(Config)#dot1x privateclient enable !启用神州数码私有增强功能

第六步:在端口启用 802.1x 功能

DCS-3926S(config)#interface ethernet 0/0/24 !进入 e0/0/24 端口

DCS-3926S(Config-Ethernet0/0/24)#dot1x enable !在该端口启用 802.1x

DCS-3926S(Config-Ethernet0/0/24)#dot1x port-control auto !设置端口默

认的认证状态为 auto

DCS-3926S(Config-Ethernet0/0/24)#dot1x port-method portbased !使用基于端

口的认证方式,也可以使用基于 MAC 地址的认证方式。 以下 4 行也可以不配置,e0/0/1 连接服务器的端口不开启 802.1x,也就不需要认证了,

如果该端口也向开启 802.1x 的话,则必须如下配置:

DCS-3926S(config)#interface ethernet 0/0/1

DCS-3926S(Config-Ethernet0/0/1)# dot1x enable

DCS-3926S(Config-Ethernet0/0/1)# dot1x port-control force-authorized !该

端口的模式“强制认证过”,即不需要再认证了

DCS-3926S(Config-Ethernet0/0/1)# exit

第七步:验证 802.1x 功能

1、不启用客户端,使用 PC ping DCBI-3000,结果不通;

2、启用客户端,使用 PC ping DCBI-3000,结果通;

clip_image016

你可能感兴趣的:(职场,端口,认证,休闲,实验)