实验二十四、IEEE802.1X 的端口认证实验

实验二十四、IEEE802.1X的端口认证实验一、实验目的1、了解什么是802.1x；2、熟练掌握如何使用802.1x提高网络安全性；3、了解神州数码对802.1x的功能加强二、应用环境我们的网络按照标准的三层架构（核心层、汇聚层、接入层）部署，在网络的接入层使用DCS-3926S交换机。在运营的过程中，网络中心发现有许多外来人员经常在没有知会有关部门的情况下，私自使用网络。网络中心希望能够控制非法访问，通过802.1x结合认证服务器给大家发放用户名帐号，只允许有用户名帐号的人访问网络，这样就有效的解决了非法访问的问题。同时，还可以使用认证服务器（DCBI-3000EN）的计费功能，按照不同的计费策略对不同的上网类型进行计费。802.1x协议的主要目的是为了解决局域网用户的接入认证问题。（dcn全线接入交换机均支持802.1x协议）。三、实验设备1、DCS-3926S交换机1台2、PC机1-2台3、Console线1根4、直通网线2-4根5、DCBI-3000四、实验拓扑五、实验要求1、按照拓扑图连接网络；2、PC和交换机的24口用网线相连；3、DCBI-3000认证服务器和交换机的1口用网线相连；4、交换机的管理IP为192.168.1.100/245、PC网卡的IP地址为192.168.1.101/24；6、DCBI认证服务器的IP为192.168.1.5/24六、实验步骤第一步：交换机恢复出厂设置switch#setdefaultAreyousure?[Y/N]=yswitch#writeswitch#reloadProcesswithreboot?[Y/N]yswitch#clockset15:29:502006.01.16CurrenttimeisMONJAN1615:29:502006switch#switch#configswitch(Config)#hostnameDCS-3926SDCS-3926S(Config)#exitDCS-3926S#第二步：给交换机设置IP地址。DCS-3926S(Config)#interfacevlan1！进入vlan1接口DCS-3926S(Config-If-Vlan1)#ipaddress192.168.1.100255.255.255.0！配置地址DCS-3926S(Config-If-Vlan1)#noshutdown！激活vlan接口第三步：安装1x认证客户端并配置主机的IP地址安装客户端，安装完成后客户端默认使用带神州数码私用扩展的报文进行发送。神州数码私用扩展可以大大增强802.1x的功能，使用户名可以绑定IP、MAC、交换机VLAN等，还可以按照流量进行计费，甚至区分国内外流量进行计费（这需要DCBA-3000W设备的支持），可以防止BT等P2P软件等等。配置主机的IP地址为192.168.1.101/24。第四步：安装配置DCBI-3000限用户版1、安装redhat操作系统，mysql数据库必选；2、将DCBI的安装文件复制到新安装的系统下；3、解包复制过来的文件，进入install目录，执行./install，按照提示输入服务器IP地址192.168.1.99；4、启动mysql数据库；5、在解包的install目录下执行./installdb；6、启动dcbistart；7、此时必须打开操作系统得图形界面，执行client，此时可以看到DCBI客户端的登录画面，默认用户名密码都是admin；8、在站点管理中添加设备，并重启DCBI；9、添加计费类型10、根据需要进行开户；DCBI服务器详细的安装和使用请参考附件：DCBI-3000安装与调试。第五步：配置交换机802.1xDCS-3926S(Config)#radius-serverauthenticationhost192.168.1.5！配置认证服务器地址，默认使用1812端口认证。DCS-3926S(Config)#radius-serveraccountinghost192.168.1.5！配置计费服务器地址，默认使用1813端口计费。DCS-3926S(Config)#radius-serverkeydcradius！配置通信密钥DCS-3926S(Config)#aaaenable！启用认证DCS-3926S(Config)#aaa-accountingenable！启用计费DCS-3926S(Config)#dot1xenable！启用802.1xDCS-3926S(Config)#dot1xprivateclientenable!启用神州数码私有增强功能第六步：在端口启用802.1x功能DCS-3926S(config)#interfaceethernet0/0/24！进入e0/0/24端口DCS-3926S(Config-Ethernet0/0/24)#dot1xenable！在该端口启用802.1xDCS-3926S(Config-Ethernet0/0/24)#dot1xport-controlauto！设置端口默认的认证状态为autoDCS-3926S(Config-Ethernet0/0/24)#dot1xport-methodportbased！使用基于端口的认证方式，也可以使用基于MAC地址的认证方式。以下4行也可以不配置，e0/0/1连接服务器的端口不开启802.1x，也就不需要认证了，如果该端口也向开启802.1x的话，则必须如下配置：DCS-3926S(config)#interfaceethernet0/0/1DCS-3926S(Config-Ethernet0/0/1)#dot1xenableDCS-3926S(Config-Ethernet0/0/1)#dot1xport-controlforce-authorized！该端口的模式“强制认证过”，即不需要再认证了DCS-3926S(Config-Ethernet0/0/1)#exit第七步：验证802.1x功能1、不启用客户端，使用PCpingDCBI-3000，结果不通；2、启用客户端，使用PCpingDCBI-3000，结果通；七、注意事项和排错1、使用神州数码扩展功能时，交换机必须启用私用扩展报文2、交换机在特权模式下使用debugdot1x命令监控到PC机的EAP报文，使用debugaaa监控到radius服务器的认证报文。3、如果出现端口无法配置IEEE802.1x认证功能的情况，请检查此端口是否运行了生成树功能，或者端口已经被配置为Trunk端口或端口汇聚组的成员端口。如果要开启端口的IEEE802.1x认证功能，则必须先关闭此端口上开启的其它互斥功能。4、如果交换机的IEEE802.1x认证功能配置是正确的，但认证仍无法正常通过，请检查交换机与RADIUS服务器，交换机与IEEE802.1x客户端之间的连接是否能相互连通；并且检查交换机端口VLAN的配置是否正确。5、可以利用抓包工具，在PC机和radius服务器上进行抓包分析，查看认证过程，也可以帮助排错过程。八、配置序列DCS-3926S#showrunning-configCurrentconfiguration:!hostnameDCS-3926S!radius-serverkeydcradiusradius-serverauthenticationhost192.168.1.5radius-serveraccountinghost192.168.1.5aaaenableaaa-accountingenable!dot1xenabledot1xprivateclientenable!telnet-userxuxppassword0digital!!Vlan1vlan1!!InterfaceEthernet0/0/1!……InterfaceEthernet0/0/24dot1xenabledot1xport-methodportbaseddot1xport-controlauto!!interfaceVlan1interfacevlan1ipaddress192.168.1.100255.255.255.0!DCBI服务器的安装和使用请参考附件：DCBI-3000安装与调试。九、共同思考当在接入交换机DCS-3926S的端口下面又连接了一台普通的hub，并且有多个用户同时需要上网，应该怎么处理？十、课后练习1、使用showaaaauthenticating-user和showaaaauthenticated-user命令观察认证过程2、使用基于mac地址的认证方式，认证一个端口下接多个用户的情况。十一、相关配置命令详解802.1x配置任务序列1.使能交换机的802.1x功能；2.接入控制单元的属性配置1)配置端口的授权状态2)配置端口的接入控制方式：基于MAC地址还是基于端口3)配置交换机802.1x的扩展功能3.与用户接入设备相关的属性配置（可选）4.与RADIUS服务器相关的属性配置1)配置RADIUS认证密钥2)配置RADIUS服务器3)配置RADIUS服务的参数1.使能交换机的802.1x功能命令全局配置模式aaaenablenoaaaenableaaa-accountingenablenoaaa-accountingenabledot1xenablenodot1xenable2.作为Authenticator的属性配置1)配置端口的授权状态命令端口配置模式dot1xport-control{auto|force-authorized|force-unauthorized}nodot1xport-control解释使能交换机的AAA认证功能；本命令的no操作为关闭交换机的AAA认证功能。使能交换机的计费功能；本命令的no操作为关闭交换机的计费功能。使能交换机全局及端口的802.1x功能；本命令的no操作为关闭802.1x功能。解释设置端口的802.1x授权状态；本命令的no操作用来恢复缺省配置。2)配置端口的接入控制方式命令端口配置模式dot1xport-method{macbased|portbased}nodot1xport-methoddot1xmax-usernumbernodot1xmax-user3)配置交换机802.1X的扩展功能命令全局配置模式dot1xmacfilterenablenodot1xmacfilterenabledot1xaccept-macmac-address[interfaceinterface-name]nodot1xaccept-macmac-address[interfaceinterface-name]dot1xeaporenablenodot1xeaporenable3.与Supplicant相关的属性配置命令全局配置模式dot1xmax-reqcountnodot1xmax-reqdot1xre-authenticationnodot1xre-authenticationdot1xtimeoutquiet-periodsecondsnodot1xtimeoutquiet-perioddot1xtimeoutre-authperiodsecondsnodot1xtimeoutre-authperioddot1xtimeouttx-periodsecondsnodot1xtimeouttx-perioddot1xauthentication-mode{active|passive}nodot1xauthentication-mode特权配置模式解释设置端口的接入控制方式；本命令的no操作用来恢复基于MAC地址的接入控制方式。设置指定端口最多允许接入的用户数；本命令的no操作为恢复缺省的最多允许9个用户。解释打开交换机802.1x的地址过滤功能；本命令的no操作为关闭802.1x的地址过滤功能。添加802.1x的地址过滤表的表项；本命令的n