ACS 802.1x网络接入认证

本文涉及的产品
文件存储 NAS,50GB 3个月
简介:
GNS3 ACS 认证
 
今天想给大家做个ACS4.2版本的dot1x(802.1x)接入认证的实验.原理呢,我就不去细究了,因为我对这个东西的话有些细节方面都还没好好研究过呢,呵呵,不过一些基本操作我想大家看了下面的实验步骤之后就会明白了.希望能够对诸位ACS认证做不好的有些帮助.
我发现初次做这个802.1X的实验都会犯很多错误的.那么在一些易搞错的地方我会用一些亮色的字体来提醒大家,避免类似低级错误.
我们知道802.1X只能基于交换机来做端口接入认证.802.1X最先是应用于无线网络里边的认证协议,它里边有又有几种认证协议如:radius /tacus+,基于这两种认证协议我们可以做authentication,authorization,accounting也就是AAA认证服务(认证,授权,统计).这当然属于一种网络安全的有效保护措施,它是一个二层认证协议.能够防止非法用户接入网络,当用户需要接入网络时我们就要客户端进行认证,只有合法用户才能入网,否则验证失败只能放入相应预制的VLAN里面,不能共享其它网络的资源.
下面是我们本次实验的拓扑图:
 

环境是这样的:两台PC分别由虚拟机里面的windows 2003ACS服务器,xp客户机来做,而NAS(network access server网络接入服务器)由一台三层交换机来扮演.设置vlan 1 的地址与ACS服务器来通信,之前使用预共享密钥来进行.在ACS服务器上面还做了DHCP服务用来给客户机动态地址分配.由于我们分配的是另外一个网段的地址所以我们在这里做了一个vlan3,并设置其vlan SVI地址.由于此NAS是三层交换机,所以不同VLAN之间是可以通信的.
 
接下来我们就谈谈如何去配置基于以太网端口进行dot1x接入认证.
 
首先:我们配置ACS与DHCP,我想DHCP服务就不需要讲了吧,ACS的配置:
当然各位如果要知道如何去在windows 2003 server上面安装ACS的话,可以参考我写的文章:  http://zenfei.blog.51cto.com/763386/534465.
 
ACS安装好后,我们进入ACS,我们先创建一个账户,名为yutian,
 

点击:add添加,进入下面界面,注意写好密码,把此账户放到group 3中去,往下拉保存即可:
 

 

这样我们把yutian这个账户放入了group 3,我们可以看到里面有一个帐户了那么我们再编辑这个group :edit settings
 
我们把下面三个项目选上,并填写相应的项目:
1,vlan
2,802
3,3,即vlan 3的id,指被认证的vlan号
然后再进入network configuration,配置AAA server /client
 

 

 
选点击ACS进入AAA client的设置,还有预共享蜜匙.设置好后保存
\AAA服务器端设置差不多,如下:注意:AAA server type!
 

    
至此我们ACS基本配置大功造成!
其次,我们要去配置NAS这个交换机.配置命令如下:
Vlan database
Vlan 3 name 3
Exit
Conf terminal
Interface vlan 1
Ip address 192.168.2.1 255.255.255.0
Interface vlan 3
Ip address 192.168.3.1 255.255.255.0
Ip helper-address 192.168.2.2//把DHCP广播请求转变为单播送给DHCP服务器,DHCP relay中继
Aaa new-model//开启aaa服务
Aaa authentication dot1x default group radius//AAA dot1x认证,协议是radius
Aaa authentication login default group radius none//AAA线下保护认证
Aaa authorization network default group radius//AAA授权网络接入
Radius-server host 192.168.2.2 key 123456//指明radius服务器地址与预共享密匙
Dot1x system-auth-control//全局开启dot1x
Interface fa0/1
Switchport mode access
Switchport access vlan 3//划分vlan
Spanning-tree portfast//设为快速端口,不需要经过生成树选举过程快速接入
Exit
Wr
于此,NAS基本配置完成了
现在我们可以在上面测试一下,到底NAS与ACS是不是可以互通,是不是可以正常进行认证通信?
1,连通性确定:
NAS(config)#do ping 192.168.2.2
 
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/24/60 ms
NAS(config)#
没问题
2,认证通信确定:
NAS# test aaa group radius yutian yutian2011 new
NAS# test aaa group radius yutian yutian2011 new-code
Trying to authenticate with Servergroup radius
User successfully authenticated
 
NAS#
从以上英文中我们可以看出,NAS与ACS之间的认证通信没问题.
这样那么我们应该可以在客户机上进行接入控制了.
首先我们要把XP客户机上的dot1x认证服务开启
打开”运行”,输入”services.msc”,在里面查找wired auto config 手动开启即可.
然后在连接右击状态 à属性,然后再切换到”身份验证”如下:
 

这样我们会在右下角看到:
 

点击这个提示,进入如下图:
 

 
输入用户名与密码之后,如果认证成功会如下:
 

既然接入成功,就应该也获得了地址.
 

现在看到接入成功,并且成功获得DHCP自动分配的地址,lease租赁期在dhcp服务器时默认是8天,而IOS dhcp默认是86400秒一个小时的租赁期.
 
可能有人会问,我如何知道我的端口是认证状态,没关系你可以在交换机上面去看dot1x的认证信息只需要输入:show dot1x就出来了
NAS#show dot1x
 
Global 802.1X Parameters
reauth-enabled                 no
reauth-period                3600
quiet-period                   60
tx-period                      30
supp-timeout                   30
server-timeout                 30
reauth-max                      2
max-req                         2
 
802.1X Port Summary
Port Name                 Status      Mode                Authorized         
Fa0/0                     disabled    n/a                 n/a                
Fa0/1                     enabled     Auto (negotiate)    yes                
Fa0/2                     disabled    n/a                 n/a                 
Fa0/3                     disabled    n/a                 n/a                
Fa0/4                     disabled    n/a                 n/a                
Fa0/5                     disabled    n/a                 n/a                
Fa0/6                     disabled    n/a                 n/a                
Fa0/7                     disabled    n/a                 n/a                
Fa0/8                     disabled    n/a                 n/a                
Fa0/9                     disabled    n/a                 n/a
认证为yes,mode为自动协商.且为f0/1口
注意:我们如果配置dot1x之后没认证之前会出现vlan3与f0/1接口down掉,接入认证成功,vlan 3与接口会再次up,
*Mar 1 01:06:58.399: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to up
*Mar 1 01:06:58.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to  up
NAS#show dot1x
而且还会自动生成一个MAC绑定项:
mac-address-table static 000c.291d.6468 interface FastEthernet0/1 vlan 3
这样我们今天的实验就全部完成,当然也许我讲的只是ACS这个软件功用的冰山一角,那么大家以后可以多多研究ACS这个软件其它功能吧,有什么好的建议或成果别忘记告诉我哦.呵呵.
 
 
本文转自 Bruce_F5 51CTO博客,原文链接:http://blog.51cto.com/zenfei/535986

相关实践学习
基于ECS和NAS搭建个人网盘
本场景主要介绍如何基于ECS和NAS快速搭建个人网盘。
阿里云文件存储 NAS 使用教程
阿里云文件存储(Network Attached Storage,简称NAS)是面向阿里云ECS实例、HPC和Docker的文件存储服务,提供标准的文件访问协议,用户无需对现有应用做任何修改,即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等特性的分布式文件系统。 产品详情:https://www.aliyun.com/product/nas
相关文章
|
3月前
|
安全 网络安全 数据安全/隐私保护
网络安全之双因素认证
【8月更文挑战第12天】
209 2
|
4月前
|
监控 安全 网络协议
|
3月前
|
安全 网络安全 数据安全/隐私保护
|
6月前
|
安全 SDN 云计算
|
6月前
|
监控 安全 网络协议
【专栏】IT 知识百科:802.1X对于保障网络环境的安全至关重要
【4月更文挑战第28天】802.1X 是IEEE制定的网络认证标准,用于确保只有授权用户能访问网络资源。它涉及请求者、认证者和认证服务器,通过EAP协议进行身份验证和授权。802.1X广泛应用于企业、无线网络、公共场所和教育机构,增强安全性并提供集中管理。然而,部署复杂性和兼容性是其局限性。未来,802.1X将与新兴技术融合,持续创新并发展标准化。它是网络安全的关键组成部分,理解和应用802.1X对于保障网络环境的安全至关重要。
127 0
|
6月前
|
Kubernetes 应用服务中间件 数据安全/隐私保护
k8s 网络策略揭秘:CKA认证必备的网络知识全解析
k8s 网络策略揭秘:CKA认证必备的网络知识全解析
69 0
|
6月前
|
安全 网络安全 数据安全/隐私保护
|
12月前
|
NoSQL API Redis
微服务轮子项目(04) - 服务认证架构设计(无网络隔离)
微服务轮子项目(04) - 服务认证架构设计(无网络隔离)
117 0
|
12月前
|
负载均衡 API 开发工具
微服务轮子项目(03) - 服务认证架构设计(有网络隔离)
微服务轮子项目(03) - 服务认证架构设计(有网络隔离)
69 0
|
算法 安全 网络安全
《计算机系统与网络安全》第五章 消息认证与数字签名
《计算机系统与网络安全》第五章 消息认证与数字签名
103 0