基于802.1X控制的LAN接入技术实验

实验三基于802.1X控制的LAN接入技术实验一、实验目的掌握802.1X接入控制模式结构、原理及特点掌握802.1X控制模式的实现的配置方法进一步理解802.1X控制模式的优缺点二、实验器材用户侧设备：支持802.1X以太交换机（RG-S2026F）1台/组，PC机4-8台/组配置线1根局端设备：RADIUS服务器三、实验分组每组4-８人四、实验内容LAN802.1X接入控制方式配置与测试用户独享帐户，通过认证和授权，接入校园网。五、实验原理1、系统结构802.1X+RADIUS接入认证与控制方式基于802.1X协议,在交换机接入端口上对用户进行接入控制，系统结构如图3-1所示。图3-1中，连接用户的以太交换机必须支持802.1X协议，基于端口实现对用户的接入控制。用户PC上必须运行TCP/IP协议和802.1X协议。802.1X接入交换机与RADIUS服802.1X协议服务器端以太网以太网交换机802.1X协议客户端协议客户端以太网交换机核心网RADIUS服务器RADIUS协议图3-1802.1X+RADIUS接入认证与控制系统结构1务器之间运行RADIUS协议，由RADIUS服务器实现对用户的集中仲裁管理。（2）基本原理802.1X协议是一个基于端口的接入控制协议。其接入控制基本原理如图2所示。802.1X协议的接入端口在逻辑上分为两个逻辑端口：受控端口和非受控端口。非受控端口始终处于连通状态，用来传送认证信息。受控端口默认情况下处于断开状态，只有在认证通过后才接通，用来传送用户的业务数据。因此，在认证没有通过前，用户只能通过802.1X接入交换机传送认证信息，接入交换机再通过RADIUS协议把认证信息送到RADIUS服务器上，由RADIUS服务器进行认证，并把认证的结果返回给接入交换机。接入交换机根据认证结果控制用户的接入，若认证成功，则接通受控端口，允许用户接入，否则，受控端口继续保持为断开状态，拒绝用户接入，从而802.1X协议基于端口实现了对用户的接入控制。（3）特点802.1X协议的接入控制具有以下特点：认证期用专用帧认证。认证通过后，数据通路开通，数据可线速处理，开销小。集中分布控制，分布程度大，需要接入交换机多。认证通过后，难以通过管理控制断开。六、实验拓扑本实验是LAN802.1X接入控制方式接入实验，需要对802.1X交换机上配置RADIUS客户图3-2802.1X的接入控制基本原理核心网802.1X服务器802.1X客户RADIUS服务器认证数据认证通过用户数据非受控端口受控端口2端，并开启802.1X协议，在PC机上配置802.1X客户端，用户通过RASIUD服务器认证授权后，由802.1X交换机进行接入控制上校园网。实验拓扑如图3-3所示。图3-3802.1X接入控制实验拓扑七、实验步骤与记录本实验以分组成员协作完成。每组4-8人，实验前请分好组并记录。表3-1实验小组成员学号姓名学号姓名实验前，将桌面的交换机的上联端口连接到桌面的信息插座101接口。并关闭PC机的防火墙和windows自带的防火墙。802.1X接入控制实验过程如图3-4所示1.设备连接与实验准备对于121实验室：实验用交换机就在桌面上，每个实验桌两台交换机，交换机型号RG-S2026F，每个实验桌（柜）分为两组进行。按图3-3连接好设备（每组一台交换机，4台PC机），每组用一台PC机的串口通过console线缆连接到交换机的console口上。RADIUS服务器802.1X客户端实验桌（柜）机房SW1SW2Trunkvlan125AccessVLAN125插口2Trunkvlan125校园网校园网配置802.1X交换机：开启802.1X服务配置RADIUS客户端（2）配置PC用户：802.1X客户端配置测试与分析图3-4802.1X接入控制配置流程按图连接设备连通性测试802.1X客户端3交换机之间级联，其中一台交换机上连到实验台上数据信息插口X02口。(X为实验台号)。对于119实验室：实验用的两台交换机在设备机柜里，交换机型号为SRG-3760-24，每个实验桌共用一个机柜，分两组进行。按图3-3中接好设备，但不需接console线。两台交换机分别接入机柜最底层的交换机，并将该交换机的上连线接入机柜的信息插口X02口（(X为机柜号)。为了便于配置和方便可能的故障分析，每组用一台PC机专门用作配置机，不参与802.1X的通信测试。每组3台PC机参与测试。121实验室通过console口配置交换机119实验室通过登陆机柜控制服务器，然后对交换机进行配置。在119实验室PC机装有2块网卡，其一是实验室LAN网络（配置网络），其二是实验室设备网卡。注意：将配置机的实验室设备网卡禁用，而测试机则将实验室网卡禁用。（1）VLAN配置基于801.1X接入控制的实验是在VLAN125中进行的。因此需要对交换机进行VLAN的配置。具体VLAN的划分见拓扑图3-3进入配置界面（121实验室）①点击开始菜单，在开始菜单的搜索栏中输入设备管理器，打开搜索结果中的设备管理器，记录端口中的通信端口后的设备地址，例如COM1。②进入开始菜单，并打开SecureCRT③在传入的单击创建新的连接④端口调整为COMx(x为在设备管理器中通信端口的端口号，通常为COM1)，波特率调整为9600、将流控选项中复选框调好参数1后，点击下一步4⑤为会话任意取一个名字，例如Switch，然后点击完成。⑥在连接选择界面中，选择自己刚刚新建的会话2，点击连接后，敲回车键⑦连接成功的提示符为Ruijie119实验室交换机全部置于实验设备控制柜里。交换机Console口配置线已连好，需要通过网络登陆机柜控制服务器，然后对交换机进行配置。本次实验仅有机柜里最底下的那2个交换机。PC与交换机的连接方式同121实验室。交换机的y口接入交换机的2口。119实验室PC机装有2块网卡，其一是实验室LAN网络卡（登陆机柜控制服务器配置之用），其二是实验室设备网卡，本实验中除了配置机的实验室LAN网卡开启外，其他PC的实验室LAN网卡全部禁用。（本实验开启实验设备网卡）。用于配置交换机的PC机访问机柜上的地址，在页面中点击选择本组PC机所连接的交5换机，在弹出的SecureCRT窗口中对交换机进行配置。注意仔细阅读网页上的操作提示。配置VLANA）两个小组需要配合，两个交换机互联的端口以及连接信息插口2的端口需配置VLAN125，并设置为trunk模式B）各PC机连接的交换机端口需设置为access模式，并加入VLAN125C）VLAN配置命令如下：xxxxenable（进入特权用户模式）xxxx#configterminal（进入全局配置模式）①.创建VLAN125xxxx#configterminal（进入全局配置模式)xxxx（config）#VLAN125（创建VLAN125）xxxx（config）#exit（回到特权用户模式）②.按图中3-3将各PC机连接的交换机端口设置为VLAN125，access模式以x端口为例，将端口x设置为“access”模式，并将端口1加入到VLAN125xxxx#configterminal（进入全局配置模式）xxxx（config）#interfacefastethernet0/X（x为连接某PC的端口）xxxx（config-if-FastEthernet0/x）#switchportmodeaccessxxxx（config-if-FastEthernet0/x）#switchportaccessvlan125③.按图中3-3将交换机间和连接插口2设置为VLAN125，trunk模式将端口y设置为“trunk”模式，并将端口y加入到VLAN125xxxx（config）#interfacefastethernet0/y（对端口y进行配置）xxxx（config-if-FastEthernet0/y）#switchportmodetrunkxxxx（config-if-FastEthernet0/y）#switchporttrunkallowedVLANadd125xxxx（config-if-FastEthernet0/y）#exit（回到特权用户模式）④.查看VLAN配置,确保按图3-3的VLAN配置正确xxxx（config）#showVLAN6（2）查看PC机初始IP地址PC机进入虚拟机，查看各PC机的IP地址并记录表3-2。此时各IP机的IP地址由实验室的DHCP服务器分配。（网段应为172.16.3.0）虚拟机启动过程：A.点击左下角虚拟机图标VMwareWorkstation，启动虚拟机软件。B.选择file→open→选择（我的电脑\E：\VirtualMachines\windowsxp\windowsxp.vmk）C.点击新创建的windowsxp标签，选择PowerOnthisVirtualMachine表3-2开机时各PC机的IP地址实验主机IP地址PC1（配置机）--------PC2PC3PC4（3）连通性测试各PC测试机之间相互ping，彼此ping通才是正常的，如不通则需要排除故障直到能ping通为止。然后，用其中一台PC机pingRADIUS服务器(RADIUS服务器的IP：192.168.0.202)，能通为正常，否则需要进行故障排除，确保交换机和RADIUS服务器之间能相互通信，为本实验后续操作做好准备。2.802.1X服务器与RADIUS客户配置（1）配置802.1X协议功能并记录相关参数在交换机上配置802.1X的协议都是在管理VLAN上进行的，此时我们人为设置基于802.1X的管理VLAN为125，因此首先是管理VLAN地址的配置，然后是打开802.1X服务，最后是配置与RADIUS服务器参数项匹配的RADIUS客户端功能。具体配置相关配置命令参见附录2的附表2-1。①配置并记录管理VLANID号和IP地址管理VLANID号为，管理VLANIP地址为。②802.1X服务的开启：包括打开AAA、802.1X认证方法、应用方法及计账方法列表。③配置RADIU客户端：包括访问的RADIUS服务器的IP地址、认证/授权端口及记账端口，加密key，snmp等。并记录被访RADIUS的地址、协议端口及key。④开启802.1X端口接入控制：将接入测试PC机的那几个端口开启802.1X接入控制7表3-3RADIUS客户端配置参数记录RADIUS服务器IP地址认证端口记账端口加密key192.168.0.20218121813test⑤完成上述配置后进行连通性测试各PC（除配置PC机外）相互ping，观察是否能ping通，用802.1X协议原理解释观察到的现象。现象记录：。原因分析：,。3.802.1X客户端配置802.1X客户端在PC机上配置。在虚拟机下开启802.1X客户程序之前，先释放PC机初始获得的IP地址，以便分析经过802.1X认证后PC机获取IP地址的情况。（1）释放PC机的IP地址打开“开始菜单”→“运行”，输入cmd，在弹出的对话框中输入ipconfig/release，然后输入ipconfig，查看IP地址是否已释放。（2）配置802.1X客户采用WindowsXP自带的802.1X客户程序。802.1X客户端具体配置内容和配置过程见附录3。在各PC机上（配置机除外）配置的内容包括：开启802.1X服务设置与802.1X服务器上匹配的加密方式设置与RADIUS服务器上匹配的用户名和密码配置的同时记录加密方式、用户名密码。802.1X加密方式为；实验者自己的用户名和密码分别为和。4.802.1X接入控制通信测试A.各测试PC机用配置好的用户名密码进行登录，成功后，记录各PC机获取的IP地址。并用802.1X协议原理解释为什么此时PC机能获取IP地址。B.登录成功后，各PC机登录校园网。并记录上网情况。表3-