ACS 802.1x网络接入认证

<b>GNS3</b><b>中</b><b>ACS</b><b>认证</b>

<b> </b>

今天想给大家做个ACS4.2版本的dot1x(802.1x)接入认证的实验.原理呢,我就不去细究了,因为我对这个东西的话有些细节方面都还没好好研究过呢,呵呵,不过一些基本操作我想大家看了下面的实验步骤之后就会明白了.希望能够对诸位ACS认证做不好的有些帮助.

我发现初次做这个802.1X的实验都会犯很多错误的.那么在一些易搞错的地方我会用一些亮色的字体来提醒大家,避免类似低级错误.

我们知道802.1X只能基于交换机来做端口接入认证.802.1X最先是应用于无线网络里边的认证协议,它里边有又有几种认证协议如:radius /tacus+,基于这两种认证协议我们可以做authentication,authorization,accounting也就是AAA认证服务(认证,授权,统计).这当然属于一种网络安全的有效保护措施,它是一个二层认证协议.能够防止非法用户接入网络,当用户需要接入网络时我们就要客户端进行认证,只有合法用户才能入网,否则验证失败只能放入相应预制的VLAN里面,不能共享其它网络的资源.

下面是我们本次实验的拓扑图:

<a target="_blank" href="http://blog.51cto.com/attachment/201104/193936361.png"></a>

环境是这样的:两台PC分别由虚拟机里面的windows 2003ACS服务器,xp客户机来做,而NAS(network access server网络接入服务器)由一台三层交换机来扮演.设置vlan 1 的地址与ACS服务器来通信,之前使用预共享密钥来进行.在ACS服务器上面还做了DHCP服务用来给客户机动态地址分配.由于我们分配的是另外一个网段的地址所以我们在这里做了一个vlan3,并设置其vlan SVI地址.由于此NAS是三层交换机,所以不同VLAN之间是可以通信的.

接下来我们就谈谈如何去配置基于以太网端口进行dot1x接入认证.

首先:我们配置ACS与DHCP,我想DHCP服务就不需要讲了吧,ACS的配置:

ACS安装好后,我们进入ACS,我们先创建一个账户,名为yutian,

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194002275.png"></a>

点击:add添加,进入下面界面,注意写好密码,把此账户放到group 3中去,往下拉保存即可:

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194038372.png"></a>

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194223870.png"></a>

这样我们把yutian这个账户放入了group 3,我们可以看到里面有一个帐户了那么我们再编辑这个group :edit settings

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194129315.png"></a>

我们把下面三个项目选上,并填写相应的项目:

1,vlan

2,802

3,3,即vlan 3的id,指被认证的vlan号

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194326648.png"></a>

然后再进入network configuration,配置AAA server /client

选点击ACS进入AAA client的设置,还有预共享蜜匙.设置好后保存

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194545488.png"></a>

\AAA服务器端设置差不多,如下:注意:AAA server type!

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194642592.png"></a>

至此我们ACS基本配置大功造成!

其次,我们要去配置NAS这个交换机.配置命令如下:

Vlan database

Vlan 3 name 3

Exit

Conf terminal

Interface vlan 1

Ip address 192.168.2.1 255.255.255.0

Interface vlan 3

Ip address 192.168.3.1 255.255.255.0

Ip helper-address 192.168.2.2//把DHCP广播请求转变为单播送给DHCP服务器,DHCP relay中继

Aaa new-model//开启aaa服务

Aaa authentication dot1x default group radius//AAA dot1x认证,协议是radius

Aaa authentication login default group radius none//AAA线下保护认证

Aaa authorization network default group radius//AAA授权网络接入

Radius-server host 192.168.2.2 key 123456//指明radius服务器地址与预共享密匙

Dot1x system-auth-control//全局开启dot1x

Interface fa0/1

Switchport mode access

Switchport access vlan 3//划分vlan

Spanning-tree portfast//设为快速端口,不需要经过生成树选举过程快速接入

Wr

于此,NAS基本配置完成了

现在我们可以在上面测试一下,到底NAS与ACS是不是可以互通,是不是可以正常进行认证通信?

1,连通性确定:

NAS(config)#do ping 192.168.2.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 4/24/60 ms

NAS(config)#

没问题

2,认证通信确定:

NAS#test aaa group radius yutian yutian2011 new

NAS#test aaa group radius yutian yutian2011 new-code

Trying to authenticate with Servergroup radius

User successfully authenticated

NAS#

从以上英文中我们可以看出,NAS与ACS之间的认证通信没问题.

这样那么我们应该可以在客户机上进行接入控制了.

首先我们要把XP客户机上的dot1x认证服务开启

打开”运行”,输入”services.msc”,在里面查找wired auto config 手动开启即可.

然后在连接右击状态à属性,然后再切换到”身份验证”如下:

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194806995.png"></a>

这样我们会在右下角看到:

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194830610.png"></a>

点击这个提示,进入如下图:

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194856502.png"></a>

输入用户名与密码之后,如果认证成功会如下:

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194918579.png"></a>

既然接入成功,就应该也获得了地址.

<a target="_blank" href="http://blog.51cto.com/attachment/201104/194941962.png"></a>

现在看到接入成功,并且成功获得DHCP自动分配的地址,lease租赁期在dhcp服务器时默认是8天,而IOS dhcp默认是86400秒一个小时的租赁期.

可能有人会问,我如何知道我的端口是认证状态,没关系你可以在交换机上面去看dot1x的认证信息只需要输入:show dot1x就出来了

NAS#show dot1x

Global 802.1X Parameters

reauth-enabled                no

reauth-period               3600

quiet-period                  60

tx-period                     30

supp-timeout                  30

server-timeout                30

reauth-max                     2

max-req                        2

802.1X Port Summary

Port Name                Status      Mode                Authorized         

Fa0/0                    disabled    n/a                 n/a                

Fa0/1                    enabled     Auto (negotiate)    yes                

Fa0/2                    disabled    n/a                 n/a                 

Fa0/3                    disabled    n/a                 n/a                

Fa0/4                    disabled    n/a                 n/a                

Fa0/5                    disabled    n/a                 n/a                

Fa0/6                    disabled    n/a                 n/a                

Fa0/7                    disabled    n/a                 n/a                

Fa0/8                    disabled    n/a                 n/a                

Fa0/9                    disabled    n/a                 n/a

认证为yes,mode为自动协商.且为f0/1口

注意:我们如果配置dot1x之后没认证之前会出现vlan3与f0/1接口down掉,接入认证成功,vlan 3与接口会再次up,

*Mar 1 01:06:58.399: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to up

*Mar 1 01:06:58.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

而且还会自动生成一个MAC绑定项:

mac-address-table static 000c.291d.6468 interface FastEthernet0/1 vlan 3

这样我们今天的实验就全部完成,当然也许我讲的只是ACS这个软件功用的冰山一角,那么大家以后可以多多研究ACS这个软件其它功能吧,有什么好的建议或成果别忘记告诉我哦.呵呵.

本文转自 Bruce_F5 51CTO博客，原文链接:http://blog.51cto.com/zenfei/535986