实验二十四、IEEE802.1X 的端口认证实验
一、 实验目的
1、了解什么是 802.1x;
2、熟练掌握如何使用 802.1x 提高网络安全性;
3、 了解神州数码对 802.1x的功能加强
二、 应用环境
我们的网络按照标准的三层架构(核心层、汇聚层、接入层)部署,在网络的接入层使用DCS-3926S 交换机。在运营的过程中,网络中心发现有许多外来人员经常在没有知会有关部门的情况下,私自使用网络。网络中心希望能够控制非法访问,通过802.1x 结合认证服务器给大家发放用户名帐号,只允许有用户名帐号的人访问网络,这样就有效的解决了非法访问的问题。同时,还可以使用认证服务器(DCBI-3000EN )的计费功能,按照不同的计费策略对不同的上网类型进行计费。802.1x 协议的主要目的是为了解决局域网用户的接入认证问题。(dcn 全线接入交换机均支持 802.1x 协议)。
三、 实验设备
1、DCS-3926S 交换机 1 台
2、PC机 1-2 台
3、Console 线1根
4、直通网线 2-4 根
5、DCBI-3000
四、 实验拓扑
五、 实验要求
1、按照拓扑图连接网络;2、PC 和交换机的24 口用网线相连;
3、DCBI-3000 认证服务器和交换机的 1 口用网线相连;
4、交换机的管理IP 为 192.168.1.100/24
5、PC 网卡的IP 地址为 192.168.1.101/24;
6、DCBI 认证服务器的IP 为 192.168.1.5/24
六、 实验步骤
第一步:交换机恢复出厂设置
switch#set default
Are you sure? [Y/N] = y
switch#write
switch#reload
Process with reboot? [Y/N] y
switch#clock set 15:29:50 2006.01.16
Current time is MON JAN 16 15:29:50 2006
switch#
switch#config
switch(Config)#hostname DCS-3926S
DCS-3926S(Config)#exit
DCS-3926S#
第二步:给交换机设置IP 地址。
DCS-3926S(Config)#interface vlan 1 !进入 vlan 1 接口
DCS-3926S(Config-If-Vlan1)#ip address 192.168.1.100 255.255.255.0 !配置地址
DCS-3926S(Config-If-Vlan1)#no shutdown !激活vlan 接口
第三步:安装 1x 认证客户端并配置主机的IP 地址
安装客户端,安装完成后客户端默认使用带神州数码私用扩展的报文进行发送。神州数
码私用扩展可以大大增强 802.1x 的功能,使用户名可以绑定IP、MAC、交换机VLAN 等,
还可以按照流量进行计费,甚至区分国内外流量进行计费(这需要DCBA-3000W 设备的支
持),可以防止BT 等P2P 软件等等。
配置主机的IP 地址为 192.168.1.101/24。
第四步:安装配置 DCBI-3000 限用户版
1、安装 redhat操作系统,mysql 数据库必选;
2、将 DCBI 的安装文件复制到新安装的系统下;
3、解包复制过来的文件,进入 install 目录,执行./install,按照提示输入服务器
IP 地址 192.168.1.99;
4、启动 mysql数据库;
5、在解包的 install 目录下执行./installdb;
6、启动 dcbi start; 7、此时必须打开操作系统得图形界面,执行 client,此时可以看到 DCBI 客户端的登
录画面,默认用户名密码都是 admin;
8、在站点管理中添加设备,并重启 DCBI;
9、添加计费类型
10、根据需要进行开户;
DCBI 服务器详细的安装和使用请参考附件:DCBI-3000 安装与调试。第五步:配置交换机 802.1x
DCS-3926S(Config)#radius-server authentication host 192.168.1.5 !配置认证
服务器地址,默认使用 1812 端口认证。
DCS-3926S(Config)#radius-server accounting host 192.168.1.5 !配置计费
服务器地址,默认使用 1813 端口计费。
DCS-3926S(Config)#radius-server key dcradius !配置通信密钥
DCS-3926S(Config)#aaa enable !启用认证
DCS-3926S(Config)#aaa-accounting enable !启用计费
DCS-3926S(Config)#dot1x enable !启用802.1x
DCS-3926S(Config)#dot1x privateclient enable !启用神州数码私有增强功能
第六步:在端口启用 802.1x 功能
DCS-3926S(config)#interface ethernet 0/0/24 !进入 e0/0/24 端口
DCS-3926S(Config-Ethernet0/0/24)#dot1x enable !在该端口启用 802.1x
DCS-3926S(Config-Ethernet0/0/24)#dot1x port-control auto !设置端口默
认的认证状态为 auto
DCS-3926S(Config-Ethernet0/0/24)#dot1x port-method portbased !使用基于端
口的认证方式,也可以使用基于 MAC 地址的认证方式。 以下 4 行也可以不配置,e0/0/1 连接服务器的端口不开启 802.1x,也就不需要认证了,
如果该端口也向开启 802.1x 的话,则必须如下配置:
DCS-3926S(config)#interface ethernet 0/0/1
DCS-3926S(Config-Ethernet0/0/1)# dot1x enable
DCS-3926S(Config-Ethernet0/0/1)# dot1x port-control force-authorized !该
端口的模式“强制认证过”,即不需要再认证了
DCS-3926S(Config-Ethernet0/0/1)# exit
第七步:验证 802.1x 功能
1、不启用客户端,使用 PC ping DCBI-3000,结果不通;
2、启用客户端,使用 PC ping DCBI-3000,结果通;