8021x认证基于用户的动态VLAN

802．1X认证、基于用户的动态VLAN-1-使用VM和GNS3配置Radius服务器和802.1x认证.....................................................................................-1-基于用户的动态VLAN.....................................................................................................................................-19-使用DHCP，使拨入的用户获得相应的IP并进行通信。............................................................................-41-使用VM和GNS3配置Radius服务器和802.1x认证软件准备：GNS3-0.7.2-win32-all-in-oneunzip-c3640-ik9o3s-mz.124-10.binVMareWorkstationACE6.0.2build-59824WindowsServer2003SP2企业版实验原理：实验拓扑：环境搭建：首先在真机上装好GNS3和VM，在vmware上装好两个虚拟机，分别是2003和XP。在装好VM后真机中会出现两个虚拟网卡，分别是VMwareNetworkAdapterVMnet1和VMwareNetworkAdapterVMnet8。在此我只用到两块网卡，所以我将VMwareNetworkAdapterVMnet8给禁用了。虚拟机中的2003网卡选择“桥接(B):直接连接到物理网络”，XP选择“自定义(S):指定虚拟网络”中的“VMnet1(Host-only)”。下面开始设置GNS3，打开GNS3，分别添加一台3640的路由器和两台PC，拓扑如图1，为R1添加一个交换模块“NM-16ESW”,在“本地连接”PC中将其指向真机的“本地连接”网卡，在“VM1”PC中将其指向虚拟网卡VM1。然后将R1的F0/0接中连接“本地连接”，F0/10连接“VM1”，这样，基本的网络模型就搭建好了。配置方法：WindowsServer2003：安装“ActiveDirectory”。【开始】-【运行】-【dcpromo】打开【ActiveDirectory安装向导】。（具体安装过程在此我就不做详解介绍，我会将一些我所操作的截图附上）802．1X认证、基于用户的动态VLAN-2-802．1X认证、基于用户的动态VLAN-3-安装IAS（Internet验证服务，Radius）。【开始】-【设置(S)】-【控制面板(C)】，在“添加或删除程序”中选择“添加/删除Windows组件(A)”,选择“网络服务”点击“详细信息”，勾选“Internet验证服务”，单击“确定”后点击“下一步”即可。（注意要放入镜像文件或光盘）使用“MMC”便于操作。【开始】-【运行】-【mmc】打开【控制台】。【文件】-【添加/删除管理单元(M)…】打开“添加/删除管理单元”。单击“添加(D)…”,在打开的“添加独立管理单元”中分别添加上“ActiveDirectory用户和计算机”、“DNS”和“Internet验证服务”，最后单击“确定”，并将控制台保存即可。802．1X认证、基于用户的动态VLAN-4-在“ActiveDirectory”中注册IAS服务器。由于是通过域控制器的ActiveDirectory数据库来进行用户帐户的管理，所以需要建立IAS服务器与ActiveDirectory数据库的连接。这样，当RADIUS客户端需要进行身份验证、授权或记帐等操作时，就通过ActiveDirectory数据库来完成，这样就要将IAS服务器注册到ActiveDirectory内。右键“Internet验证服务(本地)”，单击“在ActiveDirectory中注册服务器(G)”，这时会出现如图所示提示，单击“确定”即可。修改活动目录中的域安全策略。【开始】-【程序】-【管理工具】-【域安全策略】打开“默认域安全设802．1X认证、基于用户的动态VLAN-5-置”，【安全设置】-【帐户策略】-【密码策略】，在右边的窗口中双击“用可还原的加密来储存密码”打开该策略属性页，在属性页中选择“已启用”，单击“应用”后单击“确定”即可。由于MD5-质询的认证方式需要使用密码的明文来验证客户端的请求是否合法，所以需要修改域安全策略中的密码策略。出于安全性考虑，Windows默认只存放密码的散列值，根据散列值无法还原出密码的明文。启用可还原的密码存储后，原有的Windows帐号的密码必须修改至少一次才会以可还原的形式存储，新建的Windows账号密码则均以可还原的方式存储。修改完后需要使用gpupdate/force命令来刷新组策略，如果不行则需要重启，建议重启。新建用户用来验证。打开保存的控制台，【ActiveDirectory用户和计算机】-【cjxy.com】,右键“cjxy.com”，选择“新建”-“用户”。创建好用户后右键“属性”，选择“拨入”选项卡，在“远程访问权限(拨入或VPN)”中选择“允许访问(W)”，单击“应用”。再选择“帐户”选项卡，在“帐户选项(O)”中勾选“使用可逆的加密保存密码”，单击“应用”。再选择“隶属于”选项卡，查看用户所属的组，在此我没做修改是默认的DomainUsers组（实际应用中该组会发生相应的改变，请根据实际情况修改），最后单击“确定”。802．1X认证、基于用户的动态VLAN-6-建立Radius客户端（本实验中Radius客户端为交换机）。【Inetrnet验证服务(本地)】-【RADIUS客户端】，右键“新建RADIUS客户端(C)”,在如图所示的“新建RADIUS客户端”中输入好记的名称和客户端IP后单击“下一步”，在如图所示的对话框中将“客户端-供应商(C)”选择为“RADIUSStandard”,“共享的机密(S)”为cisco，“确认共享机密(O)”为cisco，单击“完成”即完成RADIUS客户端的建立。802．1X认证、基于用户的动态VLAN-7-建立RADIUS远程访问策略。【Inetrnet验证服务(本地)】-【远程访问策略】，右键“新建远程访问策略(P)”，在“新建远程访问策略向导”中保持“您想怎样设置此策略？”不变，在“策略名(P)”中输入lan-access，单击“下一步”，接下来选择“以太网(E)”，单击“下一步”，选择“组(G)”,单击右边的“添加(D)…”按钮，在弹出的“选择组”中输入组名“DomainUsers”（前面新建的用户所属的组），单击右边的“检查名称(C)”按钮，确认无误后单击“确定”，单击“下一步”。在选择身份验证方法中，在“类型(T)”中选择“MD5-质询”，单击“下一步”，最后单击“完成”即完成远程访问策略的建立。802．1X认证、基于用户的动态VLAN-8-802．1X认证、基于用户的动态VLAN-9-802．1X认证、基于用户的动态VLAN-10-配置交换机，启用802.1x认证。enableconfigureterminalhostnameSWinterfacerangef0/0-15802．1X认证、基于用户的动态VLAN-11-switchportmodeaccessswitchportaccessvlan1exitinterfacevlan1ipaddress192.168.1.220255.255.255.0noshutdownexit验证能否与RADIUS服务器通讯，成功后启用802.1xaaanew-modeaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradiusradius-serverhost192.168.1.200keyciscodot1xsystem-auth-controlinterfacef0/10dot1xport-controlautoexitdot1xtimeoutquiet-period10dot1xtimeoutre-authperiod10dot1xtimeouttx-period10dot1xmax-req10dot1xre-authentication配置XP以验证是否可以成功登录。【本地连接】-【状态】-【属性】,选择身份验证选项卡，勾选“启用此网络的IEEE802.1x验证”，“EAP类型”选择“MD5-质询”，单击“确定”即可。如果操作系统版本是WindowsXPSP3，默认情况下是没有身份认证这个选项卡的，需要手动打开WiredAutoconfig服务。此服务默认是手动操作的，计算机重启后该服务又会停止，为了方便以后的管理，可以设为自动启动。如图：注意事项：如果是在真实环境下就不会存在以下问题，只可能会出现与帐户密码存储相关的问题。此时只需重设一下密码或新建一个帐户，同时可能需要多试几次。出现的错误如图：802．1X认证、基于用户的动态VLAN-12-802．1X认证、基于用户的动态VLAN-13-验证排错：在XP上开启802.1x认证后将会在右下角弹出要求输入用户名和密码的气泡，单击后出现输入用户名和密码的“本地连接”对话框，输入用户名和密码后单击“确定”后右下角又会弹出“Windows无法让您登录网络”，交换上该接口也会出现协议DOWN掉，现在到RADIUS服务器上查看事件查看器中的日志，会看到如下图所示的错误信息。802．1X认证、基于用户的动态VLAN-14-802．1X认证、基于用户的动态VLAN-15-802．1X认证、基于用户的动态VLAN-16-解决方法：【Internet验证服务(本地)】-【远程访问策略】右键“到其它访问服务器的连接”，单击“编辑配置文件(P)…”,在打开的“编辑拨入配置文件”对话框中选择“身份验证”选项卡，将默认的验证方法取消，单击“EAP方法(E)”，在打开的“选择EAP提供程序”对话框中单击“添加(A)…”，在弹出的“添加EAP”中选择“MD5-质询”后一路确定即可。如图：802．1X认证、基于用户的动态VLAN-17-802．1X认证、基于用户的动态VLAN-18-最后验证：802．1X认证、基于用户的动态VLAN-19-基于用户的动态VLAN实验目的：当用户接入时需要经过认证，若认证失败则不允许通信，若成功则分配到与用户相关的VLAN中。实验步骤：在活动目录中建立相关的组织单位、组和账号，并设置相关属性。打开保存的控制台，执行以下步骤，【ActiveDirectory用户和计算机】-【cjxy.com】右键“新建”-“组织单位”，新建一个名为“cjxy”的组织单位。在这个组织单位里分别新建三个组VLAN10、VLAN20、VLAN30和三个用户user1、user2、user3。并且设置这三个用户分别隶属于VLAN10、VLAN20、VLAN30，其他属性同上。建立远程访问策略，用于区分不同的用户。分别新建三个远程访问策略vlan10-access、vlan20-access、vlan30-access。分别对这三个策略进行设置，右键“vlan10-access”选择“属性”，在打开的“vlan10-access属性”对话框中单击“编辑配置文件(P)…”，在打开的“编辑拨入配置文件”对话框中选择“高级”选项卡。单击“添加(D)…”按钮，在打开的“添加属性”对话框中分别添加如下三个属性：Tunnel-Medium-Type=802Tunnel-Pvt-Group-ID=10Tunnel-Type=VLAN其他两个策略也做相同的设置，只是Tunnel-Pvt-Group-ID不同，此值是用来返回给用户在哪个VLAN中用的。802