开发者社区> 科技小能手> 正文

ACS 802.1x网络接入认证

简介:
+关注继续查看
GNS3ACS认证
 
今天想给大家做个ACS4.2版本的dot1x(802.1x)接入认证的实验.原理呢,我就不去细究了,因为我对这个东西的话有些细节方面都还没好好研究过呢,呵呵,不过一些基本操作我想大家看了下面的实验步骤之后就会明白了.希望能够对诸位ACS认证做不好的有些帮助.
我发现初次做这个802.1X的实验都会犯很多错误的.那么在一些易搞错的地方我会用一些亮色的字体来提醒大家,避免类似低级错误.
我们知道802.1X只能基于交换机来做端口接入认证.802.1X最先是应用于无线网络里边的认证协议,它里边有又有几种认证协议如:radius /tacus+,基于这两种认证协议我们可以做authentication,authorization,accounting也就是AAA认证服务(认证,授权,统计).这当然属于一种网络安全的有效保护措施,它是一个二层认证协议.能够防止非法用户接入网络,当用户需要接入网络时我们就要客户端进行认证,只有合法用户才能入网,否则验证失败只能放入相应预制的VLAN里面,不能共享其它网络的资源.
下面是我们本次实验的拓扑图:
 

环境是这样的:两台PC分别由虚拟机里面的windows 2003ACS服务器,xp客户机来做,而NAS(network access server网络接入服务器)由一台三层交换机来扮演.设置vlan 1 的地址与ACS服务器来通信,之前使用预共享密钥来进行.在ACS服务器上面还做了DHCP服务用来给客户机动态地址分配.由于我们分配的是另外一个网段的地址所以我们在这里做了一个vlan3,并设置其vlan SVI地址.由于此NAS是三层交换机,所以不同VLAN之间是可以通信的.
 
接下来我们就谈谈如何去配置基于以太网端口进行dot1x接入认证.
 
首先:我们配置ACS与DHCP,我想DHCP服务就不需要讲了吧,ACS的配置:
当然各位如果要知道如何去在windows 2003 server上面安装ACS的话,可以参考我写的文章: http://zenfei.blog.51cto.com/763386/534465.
 
ACS安装好后,我们进入ACS,我们先创建一个账户,名为yutian,
 

点击:add添加,进入下面界面,注意写好密码,把此账户放到group 3中去,往下拉保存即可:
 

 

这样我们把yutian这个账户放入了group 3,我们可以看到里面有一个帐户了那么我们再编辑这个group :edit settings
 
我们把下面三个项目选上,并填写相应的项目:
1,vlan
2,802
3,3,即vlan 3的id,指被认证的vlan号
然后再进入network configuration,配置AAA server /client
 

 

 
选点击ACS进入AAA client的设置,还有预共享蜜匙.设置好后保存
\AAA服务器端设置差不多,如下:注意:AAA server type!
 

    
至此我们ACS基本配置大功造成!
其次,我们要去配置NAS这个交换机.配置命令如下:
Vlan database
Vlan 3 name 3
Exit
Conf terminal
Interface vlan 1
Ip address 192.168.2.1 255.255.255.0
Interface vlan 3
Ip address 192.168.3.1 255.255.255.0
Ip helper-address 192.168.2.2//把DHCP广播请求转变为单播送给DHCP服务器,DHCP relay中继
Aaa new-model//开启aaa服务
Aaa authentication dot1x default group radius//AAA dot1x认证,协议是radius
Aaa authentication login default group radius none//AAA线下保护认证
Aaa authorization network default group radius//AAA授权网络接入
Radius-server host 192.168.2.2 key 123456//指明radius服务器地址与预共享密匙
Dot1x system-auth-control//全局开启dot1x
Interface fa0/1
Switchport mode access
Switchport access vlan 3//划分vlan
Spanning-tree portfast//设为快速端口,不需要经过生成树选举过程快速接入
Exit
Wr
于此,NAS基本配置完成了
现在我们可以在上面测试一下,到底NAS与ACS是不是可以互通,是不是可以正常进行认证通信?
1,连通性确定:
NAS(config)#do ping 192.168.2.2
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/24/60 ms
NAS(config)#
没问题
2,认证通信确定:
NAS#test aaa group radius yutian yutian2011 new
NAS#test aaa group radius yutian yutian2011 new-code
Trying to authenticate with Servergroup radius
User successfully authenticated
 
NAS#
从以上英文中我们可以看出,NAS与ACS之间的认证通信没问题.
这样那么我们应该可以在客户机上进行接入控制了.
首先我们要把XP客户机上的dot1x认证服务开启
打开”运行”,输入”services.msc”,在里面查找wired auto config 手动开启即可.
然后在连接右击状态à属性,然后再切换到”身份验证”如下:
 

这样我们会在右下角看到:
 

点击这个提示,进入如下图:
 

 
输入用户名与密码之后,如果认证成功会如下:
 

既然接入成功,就应该也获得了地址.
 

现在看到接入成功,并且成功获得DHCP自动分配的地址,lease租赁期在dhcp服务器时默认是8天,而IOS dhcp默认是86400秒一个小时的租赁期.
 
可能有人会问,我如何知道我的端口是认证状态,没关系你可以在交换机上面去看dot1x的认证信息只需要输入:show dot1x就出来了
NAS#show dot1x
 
Global 802.1X Parameters
reauth-enabled                no
reauth-period               3600
quiet-period                  60
tx-period                     30
supp-timeout                  30
server-timeout                30
reauth-max                     2
max-req                        2
 
802.1X Port Summary
Port Name                Status      Mode                Authorized         
Fa0/0                    disabled    n/a                 n/a                
Fa0/1                    enabled     Auto (negotiate)    yes                
Fa0/2                    disabled    n/a                 n/a                 
Fa0/3                    disabled    n/a                 n/a                
Fa0/4                    disabled    n/a                 n/a                
Fa0/5                    disabled    n/a                 n/a                
Fa0/6                    disabled    n/a                 n/a                
Fa0/7                    disabled    n/a                 n/a                
Fa0/8                    disabled    n/a                 n/a                
Fa0/9                    disabled    n/a                 n/a
认证为yes,mode为自动协商.且为f0/1口
注意:我们如果配置dot1x之后没认证之前会出现vlan3与f0/1接口down掉,接入认证成功,vlan 3与接口会再次up,
*Mar 1 01:06:58.399: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to up
*Mar 1 01:06:58.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
NAS#show dot1x
而且还会自动生成一个MAC绑定项:
mac-address-table static 000c.291d.6468 interface FastEthernet0/1 vlan 3
这样我们今天的实验就全部完成,当然也许我讲的只是ACS这个软件功用的冰山一角,那么大家以后可以多多研究ACS这个软件其它功能吧,有什么好的建议或成果别忘记告诉我哦.呵呵.
 
 
本文转自 Bruce_F5 51CTO博客,原文链接:http://blog.51cto.com/zenfei/535986

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
29406 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
16636 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
20842 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
14909 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
22390 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
23607 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
36500 0
23704
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载