动态ACL下发与用户访问控制
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
动态ACL下发与用户访问控制
一、组网需求
如下图,对接入到业务VLAN的用户进行dot1x认证。用户通过认证之前,无法获取IP 地址,也不可能访问任何网络资源。
用户通过认证后,AAA服务器下发ACL101,限制用户只能访问特定网络资源;当AAA 服务器下发ACL100 ,允许用户访问整个园区网。
二、组网拓扑图
三、实验配置信息
SW1(config)#
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa session-id common
ip routing
ip dhcp pool vlan24
network 172.16.24.0 255.255.255.0
default-router 172.16.24.1
dot1x system-auth-control
interface FastEthernet0/2
switchport access vlan 24
switchport mode access
dot1x pae authenticator
dot1x port-control auto
interface FastEthernet0/3
switchport trunk encapsulation dot1q
switchport mode trunk
interface FastEthernet0/6
switchport access vlan 25
switchport mode access
!
interface Vlan19
ip address 172.16.19.1 255.255.255.0
!
interface Vlan20
ip address 172.16.20.1 255.255.255.0
!
interface Vlan22
ip address 172.16.22.1 255.255.255.0
!
interface Vlan24
ip address 172.16.24.1 255.255.255.0
!
interface Vlan25
ip address 172.16.25.1 255.255.255.0
!
access-list 100 permit ip any any
access-list 101 permit udp any any eq bootps
access-list 101 permit udp any any eq bootpc
access-list 101 permit ip any 172.16.24.0 0.0.0.255
radius-server host 172.16.25.25 auth-port 1645 acct-port 1646 key jcf
四、AAA服务器的设置
添加AAA客户端:
将LEAP的选择去掉,因为两个只能使用一个:
添加接入用户:
配置基于组下发ACL:
五、实验测试与分析
1、AAA服务器下发ACL101时,只允许访问172.16.24.0网段。成功下发ACL101:
透传方式认证过程(客户端<-->设备端)
Ping 172.16.24.1
Ping 172.16.22.1不通
Ping 172.16.20.1不通
2、AAA服务器下发ACL100时,可以访问所有资源。成功下发ACL100:
透传方式认证过程(客户端与设备端之间):
Ping 172.16.24.1
Ping 172.16.22.1
Ping 172.16.20.1
3、IP地址在认证成功后获取到。