Lab 52. Configuring 802.1x Port-Based Authentication

實(shí)驗(yàn)?zāi)康模?/h1>

1、掌握基于端口的802.1x配置方法。

2、掌握Cisco TACACS+ 服務(wù)器認(rèn)證服務(wù)器配置。

實(shí)驗(yàn)拓?fù)鋱D：

實(shí)驗(yàn)步驟及要求：

1、安裝ACS服務(wù)器的Java環(huán)境，建議使用j2re-1_4_2_10-windows-i586-p.exe。

2、安裝ACS軟件，本實(shí)驗(yàn)使用的是Cisco secure ACS 4.0版本。

3、配置ACS服務(wù)器與Catalyst 3550交換機(jī)的通信，在ACS服務(wù)器上點(diǎn)擊“Network Configuration”，選擇添加一個(gè)AAA用戶。其中Key為ACS與3550交換機(jī)進(jìn)行了進(jìn)行通信驗(yàn)證使用，雙方必須密碼匹配。認(rèn)證協(xié)議使用Radius(IETF)：

4、配置IETF的組屬性。點(diǎn)擊“Interface Configuration”，選擇“RADIUS (IETF)”，確認(rèn)并選中如下三個(gè)選項(xiàng),并按下submit按鈕。

[064] Tunnel-Type

[065] Tunnel-Medium-Type

[081] Tunnel-Private-Group-ID

5、創(chuàng)建一個(gè)802.1x的用戶賬號(hào)。點(diǎn)擊，輸入新建的賬號(hào)名stanley，并點(diǎn)擊Add/Edit按鈕，在中，輸入用戶stanley的賬號(hào)的密碼。并將此賬號(hào)指定到Group 1。也可以指定其它的組，并點(diǎn)擊Submit按鈕：

6、配置Group組屬性。點(diǎn)擊“Group Configuration”，選擇“Group 1”，點(diǎn)擊“Edit Settings”。選中：

[064]Tunnel-Type，并編輯Tag 1的Value為VLAN，

[065]Tunnel-Medium-Type，并設(shè)置Tag1的Value為802，

[081]Tunnel-Private-Group-ID的Tag 1的Value為10。

然后擊Submit + Restart按扭：

7、采用相同的方法創(chuàng)建用戶賬號(hào)steve密碼為cisco，并且屬于Group 2。同時(shí)指定Group 2的屬性為：

[064]Tunnel-Type，并編輯Tag 1的Value為VLAN

[065]Tunnel-Medium-Type，并設(shè)置Tag1的Value為802

[081]Tunnel-Private-Group-ID的Tag 1的Value為20

8、配置ACS服務(wù)器,點(diǎn)擊“System Configurateion”，點(diǎn)擊“Global Authentication Setup”，將LEAP的“Allow LEAP (For Aironet only)”打勾去掉。并點(diǎn)擊Submit + Restart：

9、配置3550交換機(jī)的Vlan 1的IP。交換機(jī)使用此IP與ACS服務(wù)器進(jìn)行通信。并使用ping命令確認(rèn)是否能夠ping通ACS服務(wù)器。

3550(config)#

3550(config)#interface vlan 1

3550(config-if)#ip address 202.195.30.158 255.255.255.0

3550(config-if)#no shutdown

3550(config-if)#exit

3550(config)#

10、在3550上創(chuàng)建VLAN：

3550(config)#vlan 10

3550(config-vlan)#exit

3550(config)#vlan 20

3550(config-vlan)#exit

11、配置3550的AAA：

3550(config)#aaa new-model

3550(config)#radius-server host 202.195.30.159 key cisco

3550(config)#radius-server vsa send

3550(config)#aaa authentication login default none

3550(config)#aaa authentication dot1x default group radius

3550(config)#aaa authorization network default group radius

3550(config)#dot1x system-auth-control

12、配置3550的交換機(jī)接口：

3550(config)#interface range fastEthernet 0/1 - 20

3550(config-if-range)#switchport mode access

3550(config-if-range)#spanning-tree portfast

3550(config-if-range)#dot1x port-control auto

3550(config-if-range)#exit

13、查看3550的交換機(jī)的VLAN配置：

3550#show vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/1, Fa0/2, Fa0/3, Fa0/4

Fa0/5, Fa0/6, Fa0/7, Fa0/8

Fa0/9, Fa0/10, Fa0/11, Fa0/12

Fa0/13, Fa0/14, Fa0/15, Fa0/16

Fa0/17, Fa0/18, Fa0/19, Fa0/20

Fa0/21, Fa0/22, Fa0/23, Fa0/24

Gi0/1, Gi0/2

10 VLAN0010 active

20 VLAN0010 active

3550#

14、設(shè)置客戶端的網(wǎng)卡的驗(yàn)證，啟用IEEE 802.1x的驗(yàn)證，并選擇的EAP的類型為MD5-質(zhì)詢的方式。點(diǎn)擊確定：

15、將R1和R2客戶端的網(wǎng)卡連線到3550交換機(jī)的FastEthernet 0/1接口后。Windows系統(tǒng)會(huì)彈出802.1X的認(rèn)證登錄對(duì)話框。在此輸入802.1x的賬號(hào)和密碼。(Stanley/cisco)：

16、當(dāng)雙方主機(jī)認(rèn)證成功后，再次查看3550交換機(jī)的VLAN信息：

3550#show vlan

VLAN Name Status Ports

---- -------------------------------- --------- -------------------------------

1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6,

Fa0/7, Fa0/8, Fa0/9, Fa0/10,

Fa0/11, Fa0/12, Fa0/13, Fa0/14,

Fa0/15, Fa0/16, Fa0/17, Fa0/18,

Fa0/19, Fa0/20, Fa0/21, Fa0/22,

Fa0/23, Fa0/24, Gi0/1, Gi0/2

10 VLAN0010 active Fa0/1

20 VLAN0020 active Fa0/2

1002 fddi-default act/unsup

1003 token-ring-default act/unsup

1004 fddinet-default act/unsup

1005 trnet-default act/unsup

3550#

17、實(shí)驗(yàn)完成。