802.1X认证+DHCP+ACSServer+WindowsXP

802.1X认证+DHCP+ACSServer+WindowsXP
802.1X认证+DHCP+ACS Server+Windows XP
802.1x简介：
802.1x协议起源于802.11协议，802.11是IEEE的⽆线局域⽹协议，制订802.1x协议的初衷是为了解决⽆线局域⽹⽤户的接⼊认证问题。

IEEE802 LAN协议定义的局域⽹并不提供接⼊认证，只要⽤户能接⼊局域⽹控制设备(如LAN Switch)，就可以访问局域⽹中的设备或资源。

这在早期企业⽹有线LAN应⽤环境下并不存在明显的安全隐患。

随着移动办公及驻地⽹运营等应⽤的⼤规模发展，服务提供者需要对⽤户的接⼊进⾏控制和配置。

尤其是WLAN的应⽤和LAN 接⼊在电信⽹上⼤规模开展，有必要对端⼝加以控制以实现⽤户级的接⼊控制，802.lx就是IEEE为了解决基于端⼝的接⼊控制(Port-Based Network Access Contro1)⽽定义的⼀个标准。

⼆、802.1x认证体系
802.1x是⼀种基于端⼝的认证协议，是⼀种对⽤户进⾏认证的⽅法和策略。

端⼝可以是⼀个物理端⼝，也可以是⼀个逻辑端⼝(如VLAN)。

对于⽆线局域⽹来说，⼀个端⼝就是⼀个信道。

802.1x认证的最终⽬的就是确定⼀个端⼝是否可⽤。

对于⼀个端⼝，如果认证成功那么就“打开”这个端⼝，允许所有的报⽂通过；如果认证不成功就使这个端⼝保持“关闭”，即只允许802.1x的认证协议报⽂通过。

实验所需要的⽤到设备：
认证设备：cisco 3550 交换机⼀台
认证服务器：Cisco ACS 4.0
认证客户端环境：Windows xp sp3
实验拓扑：
实验拓扑简单描述：
在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：172.16.0.103，认证客户端为⼀台windows xp ,当接⼊到3550交换机上实施802.1X认证，只有认证通过之后⽅可以进⼊⽹络，获得IP地址。

实验⽬的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握 cisco ACS的调试，以及如何在windows xp 启⽤认证，如何在cisco 三层交换机上配置DHCP等。

好了，下⾯动⼿⼲活。

实验过程：
Cisco 3550配置
由于cisco 交换机默认⽣成树都已经运⾏，开启⽣成树的⽬的为了防⽌⽹络发⽣环路，但是根据portfast的特性，如果交换机的某个接⼝连接的是路由器或者交换机，就可以启⽤portfast来加快接⼝的相应时间，跳过⽣成树的收敛。

并且如果要在接⼝启⽤802.1x认证，接⼝要是access模式
*********************************配置过程********************************** sw3550(config)#int f0/1
sw3550(config-if)#switchport mode access
//配置f0/1接⼝永久为接⼊模式
sw3550(config-if)#spanning-tree portfast
//启⽤portfast特性（注意下⾯的警告提⽰哦）
%Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION
%Portfast has been configured on FastEthernet0/2 but will only
have effect when the interface is in a non-trunking mode.
sw3550(config)#int f0/3
sw3550(config-if)#switchport mode access
sw3550(config-if)#spanning-tree portfast
%Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION
%Portfast has been configured on FastEthernet0/2 but will only
have effect when the interface is in a non-trunking mode.
sw3550(config-if)#exit
sw3550(config)#int vlan 1
sw3550(config-if)#ip add 172.16.0.101 255.255.0.0
//默认的所有的交换机上的所有接⼝都在vlan 1,给VLAN1配置IP地址，⽬的是与AAA服务器，172.16.0.103相互ping通，
sw3550(config-if)#no shutdown
00:05:08: %LINK-3-UPDOWN: Interface Vlan1, changed state to up
00:05:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
sw3550(config)#aaa new-model
//全局开启AAA，（AAA默认是关闭的）
sw3550(config)#aaa authentication login default group radius local
//配置登陆验证⽅式优先⽤radius，当radius不能提供认证服务，则采⽤本地认证，认证调⽤的名称按默认名称default
sw3550(config)#radius-server host 172.16.0.103 key server03
//指定radius Server的IP地址为172.16.0.103，Radius Server与交换机认证的密钥为server03(这⾥的server03，是我安装ACS 4.0，在安装过程最后⼀步定义的密码)
sw3550(config)#aaa authentication dot1x default group radius local
//802.1x认证由radius 服务器来完成，当radius不能认证时，由本地认证，这样配置的⽬的为了备份。

如果说radius server服务器“挂了“，还可以⽤本地认证。

sw3550(config)#aaa authorization network default group radius local
//当认证通过之后，授权⽤户能接⼊⽹络，授权也由radius来完成
sw3550(config)#dot1x system-auth-control
全局下开启dot.1x认证功能，然后还需要到具体某个接⼝下制定认证的⽅式
sw3550(config-if)#int f0/3
sw3550(config-if)#switchport mode access
sw3550(config-if)#dot1x port-control auto
//当接⼝下发现有设备接⼊时，⾃动进⾏认证
AUTO是常⽤的⽅式，正常的通过认证和授权过程
sw3550(config-if)#dot1x reauthentication
//当认证失败，重新认证，直到认证通过
这⾥还有⼀些可选的配置，分享给⼤家，⼤家在⼯程中，可以根据⾃⼰的实际情况来调整配置，我的这次试验正常的配置命令都是⽤⿊⾊来表⽰。

请⼤家注意
可选配置：
Switch(config)#interface fa0/3
Switch(config-if)#dot1x reauthentication
Switch(config-if)#dot1x timeout reauth-period 7200
2⼩时后重新认证
Switch#dot1x re-authenticate interface fa0/3
现在重新认证，注意：如果会话已经建⽴，此⽅式不断开会话
Switch#dot1x initialize interface fa0/3
初始化认证，此时断开会话
Switch(config)#interface fa0/3
Switch(config-if)#dot1x timeout quiet-period 45
45秒之后才能发起下⼀次认证请求
Switch(config)#interface fa0/3
Switch(config-if)#dot1x timeout tx-period 90 默认是30S
Switch(config-if)#dot1x max-req count 4
客户端需要输⼊认证信息，通过该端⼝应答AAA服务器，如果交换机没有收到⽤户的这个信息，交换机发给客户端的重传信息，30S发⼀次，共4次
Switch#configure terminal
Switch(config)#interface fastethernet0/3
Switch(config-if)#dot1x port-control auto
Switch(config-if)#dot1x host-mode multi-host
默认是⼀个主机，当使⽤多个主机模式，必须使⽤AUTO⽅式授权，当⼀个主机成功授权，其他主机都可以访问⽹络；
当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使⽤该端⼝
Switch#configure terminal
Switch(config)#dot1x guest-vlan supplicant
Switch(config)#interface fa0/3
Switch(config-if)#dot1x guest-vlan 2
未得到授权的进⼊VLAN2，提供了灵活性
注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使⽤；2、VLAN2信息不会被VTP 传递出去
Switch(config)#interface fa0/3
Switch(config-if)#dot1x default
回到默认设置
在cisco的三层交换机上可以配置DHCP，通过DHCP功能，可以给客户端分配IP地址，⼦⽹掩码，⽹关，DNS,域名，租期，wins等
sw3550(config)#ip dhcp pool DHCP
//定义地址池的名称为DHCP，这⾥可以随便定义
sw3550(dhcp-config)#network 172.16.0.0 /16
//定义要分配给客户端的⽹段和掩码
sw3550(dhcp-config)#default-router 172.16.0.1
//定义分配给客户端的⽹关
sw3550(dhcp-config)#dns-server 218.30.19.40 61.134.1.4
//定义DNS地址，可以设置多个DNS
sw3550(dhcp-config)#doamin-name [url]/doc/0de92a1ea98271fe900ef95f.html [/url]
//定义域名为[url]/doc/0de92a1ea98271fe900ef95f.html [/url]
sw3550(dhcp-config)#lease 2
//定义租期为2天
sw3550(config)#ip dhcp excluded-address 172.16.0.1 172.16.0.150
//定义不通过DHCP分配的IP地址，也就是排除的地址范围172.16.0.1-172.16.0.150。

例如说：172.16.0.1
这个地址是我的⽹关，如果这个地址作为IP 地址分配给客户端，就会造成IP 地址冲突，影响⽹络的正常通信。

所以说做排除是⾮常有必要的。

sw3550(config)#exit
00:42:57: %SYS-5-CONFIG_I: Configured from console by console
以上完成之后，交换机上所需的配置命令都已完成，下⾯就到AAA服务器来配置1，添加认证的⽤户和密码，左侧⾯板-单击-User Setup-admin-Add/Edit
单击Add/Edit，在随后的窗⼝设置admin的密码,我设置⽤户和密码都相同，
2，添加AAA 认证Client信息，单击-Network Configuration 你可以AAA Client信息和AAA Servers信息
在AAA Clients这栏下⾯，单击Add Entry
AAA Client Hostname 填写当前交换机的名称
AAA Client IP Address 为当前VLAN1的IP地址，根据你的实际情况，你想对那个VLAN ⽤户采取802.1X认证，就填写那个VLAN的IP Address
KEY 为交换机和AAA 服务器的认证的密钥，这⾥填写的KEY应该要和在交换机配置的 KEY 值相同
Authenticate Using 这⾥选择认证的协议，我选择的Radius。

认证的协议也要和在交换机配置的认证⽅式相同，否则认证失败。

填写玩这些信息之后，单击确认即可
3,Guoup Setup ，配置组的授权,授权⽤户认证通过之后，能接⼊⽹络
在 Rdius IETF 配置栏⽬下，找到如下图，
注意：064设置对VLAN下⾯的⽤户提供认证，065设置认证⽅式为802.1x，081设置为VLAN ID，这⾥设置为VLAN 1。

设置完成之后，单击Submit+Restart
***************到此AAA服务器设置完成了***********
在交换机上测试定义的⽤户和密码能否完成认证
sw3550#test aaa group radius admin admin new-code
User successfully authenticated
如下是：认证客户端 windows xp 配置
默认由于windows 操作系统并没有启⽤802.1x认证这个服务，所以第⼀步，先打开系统服务-开启8021.x认证功能
开始-运⾏-services.msc
双击Wired AutOConfig，启动类型:⾃动
⽹络邻居-本地连接
这⾥更改默认认证⽅式，EAP⽀持⽆线认证，这⾥我们应该选择MD5 质询，如图
对于内⽹⽤户，如果是安全⽤户可以勾选缓存⽤户信息，这样就可以不⽤每次认证都输⼊密码。

如果是公⽤计算机，或者是其他的需要，这⾥可以不勾选缓存账户信息，这样每次计算机开机之后，在接⼊⽹络时，都需要输⼊⽤户名和密码。

单击-MD5-质询-确定启⽤了802.1x认证功能。

本地连接已经试图去尝试认证了，单击右下⾓通知区域提⽰，输⼊认证的⽤户名和密码
按图提⽰，必须输⼊⽤户名和密码，⽅可认证通过，认证通过之后才可以从交换机上获得IP地址等。