实验六 802.1x配置实验

802.1 x 认证配置交换机上的用户到CAMS上来认证和计费，通常需要进行以下一些配置：1、配置VLAN和VLAN虚接口[S3526E]vlan 2[S3526E-vlan2]port ethernet 0/24[S3526E]interface vlan 2[S3526E-Vlan-interface2]ip address 10.110.81.30 255.255.255.0[S3526E]interface vlan 1[S3526E-Vlan-interface1]ip address 10.110.82.1 255.255.255.0[S3526E-Vlan-interface1]ip address 10.110.83.1 255.255.255.0 sub2、配置RADIUS方案[S3526E]radius scheme cams[S3526E-radius-cams]primary authentication 10.110.81.90 1812[S3526E-radius-cams]primary accounting 10.110.81.90 1813[S3526E-radius-cams]server-type huawei[S3526E-radius-cams]key authentication expert[S3526E-radius-cams]key accounting expert[S3526E-radius-cams]user-name-format without-domain[S3526E-radius-cams]data-flow-format data byte packet one-packet3、配置域名和缺省域名[S3526E]domain cams[S3526E-isp-cams]radius-scheme cams[S3526E-isp-cams]access-limit disable[S3526E-isp-cams]state active[S3526E-isp-cams]idle-cut disable[S3526E]domain default enable cams4、启动和设置802.1X认证[S3526E]dot1x[S3526E]interface Ethernet 0/2[S3526E-Ethernet0/2]dot1x[S3526E-Ethernet0/2]dot1x port-method macbased配置MA上的用户到CAMS上来认证和计费，通常需要进行以下一些配置：1、配置认证、计费方案[MA5200E]aaa[MA5200E-aaa]authentication-scheme cams[MA5200E-aaa-authen-cams]authentication-mode radius[MA5200E-aaa]accounting-scheme cams[MA5200E-aaa-accounting-cams]accounting-mode radius[MA5200E-aaa-accounting-cams]accounting realtime 3[MA5200E-aaa-accounting-cams]accounting interim-fail online[MA5200E-aaa-accounting-cams]accounting start-fail offline2、配置RADIUS服务器[MA5200E]radius-server group cams[MA5200E-radius-cams]radius-server authentication 10.110.81.90 1812 [MA5200E-radius-cams]radius-server accounting 10.110.81.90 1813[MA5200E-radius-cams]radius-server key expert[MA5200E-radius-cams]radius-server type portal[MA5200E-radius-cams]undo radius-server user-name domain-included [MA5200E-radius-cams]radius-server traffic-unit byte3、配置域名和缺省域名[MA5200E]aaa[MA5200E-aaa]domain cams[MA5200E-aaa-domain-cams]authentication-scheme cams[MA5200E-aaa-domain-cams]accounting-scheme cams[MA5200E-aaa-domain-cams]radius-server group cams[MA5200E-aaa-domain-cams]eap-sim-parameter[MA5200E-aaa-domain-cams]eap-end chap[MA5200E-aaa-domain-cams]ip-pool first cams[MA5200E]aaa[MA5200E-aaa]domain default[MA5200E-aaa-domain-default]authentication-scheme defaut0[MA5200E-aaa-domain- default]accounting-scheme default0[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90 [MA5200E-aaa-domain- default] web-authentication-server urlhttp://10.110.81.90/portal[MA5200E-aaa-domain- default]ucl-group 1[MA5200E-aaa-domain- default]ip-pool first default4、配置上行端口[MA5200E]interface Ethernet 24[MA5200E-Ethernet24]negotiation auto[MA5200E]interface Ethernet 24.0[MA5200E-Ethernet24.0]ip address 10.110.81.12 255.255.255.0[MA5200E]portvlan ethernet 24 0[MA5200E-ethernet-24-vlan0-0]access-type interface5、配置接入端口[MA5200E]portvlan ethernet 2 0 4095[MA5200E-ethernet-2-vlan0-4094]access-typelayer2-subscriber[MA5200E-ethernet-2-vlan0-4094]authentication-method web[MA5200E-ethernet-2-vlan0-4094]default-domainpre-authentication default[MA5200E-ethernet-2-vlan0-4094]default-domainauthentication cams如果是采用Portal方式认证，还需要进行如下配置：6、配置Portal认证[MA5200E]web-auth-server version v2[MA5200E]web-auth-server 10.110.81.90 key expert[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90[MA5200E-aaa-domain- default] web-authentication-serverurl http://10.110.81.90/portal7、配置ACL[MA5200E]acl number 101[MA5200E-acl-adv-101]rule net-user permit ip destination 1source 10.110.81.90 0 [MA5200E-acl-adv-101]rule user-net permit ipdestination 10.110.81.90 0 source 1 [MA5200E-acl-adv-101]rule user-net deny ip source 1[MA5200E]access-group 101。

实验：确保交换机接入安全一、实验目的了解交换机端口安全的基本知识掌握如何配置交换机端口连接的最大安全地址数掌握如何配置交换机端口绑定指定的MAC地址二、实验要求将一台交换机做本地服务器提供DHCP服务在另一台交换机上做端口安全配置，配置802.1x查看有关端口安全地信息三、实验方法及手段1、两人一组分组实验，每组两台交换机。

2、通过实际设备互联，完成Cisco3550、Cisco3560交换机的基本配置操作。

Pc124是自动获取地址，pc3是静态地址。

上方的交换机为DHCP ，下边那个为Switch。

同学们自己更改设备名称。

四、实验内容及步骤Switch(config)#vlan 10Switch(config-if)#int range fa0/1-5Switch(config-if-range)#switchport access vlan 10Switch(config-if-range)#int fa0/1 //端口安全Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum 1Switch(config-if)#switchport port-security mac-address 001b.01cd.143bSwitch(config-if)#switchport port-security mac-address stickySwitch(config-if)#switchport port-security violation shutdownSwitch(config-if)#endSwitch# show port-security //查看端口安全Switch# show port-security addSwitch#conf terSwitch(config)#aaa new-model //配置802.1xSwitch(config)#radius-server host 10.0.0.1 key ciscoSwitch(config)# aaa authentication dot1x default group radiusSwitch(config)#dot1x system-auth-controlSwitch(config)#int fa0/2Switch(config-if)dot1x port-control autoSwitch(config-if)# dot1x host-mode multi-hostSwitch(config-if)endSwitch#show dot1x all //检查Switch(config)#ip dhcp snooping //dhcp监听Switch(config)#ip dhcp snooping vlan 10Switch(config)#int fa0/4Switch(config-if)#ip dhcp snooping trustSwitch(config-if)#ip dhcp snooping limit rate 200Switch(config)#int fa0/1 //源IP地址防护的配置Switch(config-if)#ip verify source port-securitySwitch(config)#ip source binding mac-address vlan 10 192.168.1.10 interface fa0/3 注意mac-address是pc3的mac地址Switch(config-if)# endSwitch# show ip source binding //查看绑定Switch(config)#ip arp inspection vlan 10Switch(config)#int fa0/5Switch(config-if)#ip arp inspection trustSwitch(config-if)#ip arp inspection limit rate 100DHCP(config)#int vlan 10DHCP (config-if)#ip add 192.168.1.251 255.255.255.0 DHCP (config-if)#exitDHCP (config)#ip dhcp eDHCP (config)#ip dhcp excluded-address 192.168.1.10 DHCP (config)#ip dhcp pool vlan10DHCP (dhcp-config)#netDHCP (dhcp-config)#network 192.168.1.0 255.255.255.0 DHCP dhcp-config)#int fa0/1DHCP (config-if)#swDHCP (config-if)#switchport access vlan 10五、课堂作业1.完成pc3和switch的认证，保证能通。

仰恩大学综合性实验报告实验名称：802.1x认证配置姓名：赖倩学号：122320110016专业：网络工程日期：2014/12/301实验背景一个完整的基于IEEE802.1x的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。

认证客户端。

认证客户端是最终用户所扮演的角色，一般是个人计算机。

它请求对网络服务的访问，并对认证者的请求报文进行应答。

认证客户端必须运行符合IEEE802.1x客户端标准的软件，目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。

另外，一些网络设备制造商也开发了自己的IEEE802.1x客户端软件。

认证者认证者一般为交换机等接入设备。

该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。

扮演认证者角色的设备有两种类型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。

其中，连接在受控端口的用户只有通过认证才能访问网络资源；而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。

把用户连接在受控端口上，便可以实现对用户的控制；非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯。

认证服务器认证服务器通常为RADIUS服务器。

认证服务器在认证过程中与认证者配合，为用户提供认证服务。

认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。

认证服务器还负责管理从认证者发来的审计数据。

微软公司的Windows Server2003操作系统自带有RADIUS 服务器组件。

2实验拓扑实验前3台PC机能ping通，实验后必须通过注册的用户才能登入。

3实验步骤(1)安装RADIUS服务器：1.开始→设置→控制面板→添加或删除程序→添加/删除Windows组件→网络服务，详细信息→Internet验证服务，下一步→安装→完成2.在添加用户之前，必须要提前做的是：控制面板→管理工具→本地安全策略→账户策略→密码策略→启用"用可还原的加密来储存密码3.创建用户账户：控制面板→管理工具→计算机管理→本地用户和组→组→新建组（组名:802.1x→创建→用户→新用户→用户名（123456），设置密码（123）→创建用户4将用户"123456"加入到"802.1x"用户组中：用户"123456"→属性→隶属于→将其加入"802.1x"用户组中。

利用分布层802.1x安全网络接入【实验名称】利用分布层802.1x安全网络接入【实验目的】使用交换机的802.1x功能安全网络接入【背景描述】某企业的网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络。

网络管理员通过考察网络后发现，在网络建设初期，出于成本的考虑，接入层交换机为低端交换机不支持802.1x认证，因此考虑在分布层部署802.1x，安全网络接入。

【需求分析】要实现网络中基于端口的认证，交换机的802.1x特性可以满足这个要求。

只有用户认证通过后交换机端口才会“打开”，允许用户访问网络资源。

【实验拓扑】【实验设备】交换机2台（仅分布层交换机需支持802.1x）PC机2台（其中1台需安装802.1x客户端软件，本实验中使用锐捷802.1x客户端软件）RADIUS服务器1台（支持标准RADIUS协议的RADIUS服务器，本例中使用第三方RADIUS服务器软件WinRadius，在实际应用环境中，推荐使用锐捷SAM系统作为RADIUS服务器，以支持更多的高级及扩展应用）【预备知识】交换机转发原理交换机基本配置802.1x原理【实验原理】802.1x协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。

“基于端口的网络接入控制”是指在局域网接入设备的端口级别对所接入的设备进行认证和控制。

如果连接到端口上的设备能够通过认证，则端口就被开放，终端设备就被允许访问局域网中的资源；如果连接到端口上的设备不能通过认证，则端口就相当于被关闭，使终端设备无法访问局域网中的资源。

【实验步骤】第一步：交换机基本配置（拓扑中所有设备都属于VLAN 2中）接入层交换机SW1基本配置：SW1#configureSW1(config)#vlan 2SW1(config-vlan)#exitS W1(config)#interface fastEthernet 0/1SW1(config-if)#switchport access vlan 2SW1(config-if)#exitSW1(config)#interface fastEthernet 0/24SW1(config-if)#switchport mode trunkSW1(config-if)#endSW1#分布层交换机SW2基本配置：SW2#configureSW2(config)#vlan 2SW2(config-vlan)#exitS W2(config)#interface fastEthernet 0/1SW2(config-if)#switchport access vlan 2SW2(config-if)#exitSW2(config)#interface fastEthernet 0/2SW2(config-if)#switchport access vlan 2SW2(config-if)#exitSW2(config)#interface fastEthernet 0/24SW2(config-if)#switchport mode trunkSW2(config-if)#endSW2#第二步：验证网络连通性按照拓扑配置PC1、PC2、RADIUS服务器的IP地址，在PC1上ping PC2的地址，验证PC1与PC2的网络连通性，可以ping通：第三步：配置分布层交换机SW2 802.1x认证SW2#configureSW2(config)#aaa new-modelSW2(config)#aaa authentication dot1x ruijie group radiusSW2(config)#dot1x authentication ruijieSW2(config)#interface vlan 2SW2(config-if)#ip address 192.168.1.200 255.255.255.0SW2(config-if)#exitSW2(config)#radius-server host 192.168.1.254SW2(config)#radius-server key 12345！此处配置的密钥要与RADIUS服务器上配置的一致SW2(config)#interface fastEthernet 0/24SW2(config-if)#dot1x port-control auto！启用F0/24端口的802.1x认证SW2(config-if)#endSW2#第四步：验证测试此时用PC1 ping PC2的地址：由于SW2的F0/24端口启用了802.1x认证，在PC1没有认证的情况下，无法与PC2通信。

电子科技大学实验报告学号学生姓名：课程名称：接入网技术实验项目名称基于802.1X 控制的LAN 接入技术实验一、实验目的掌握802.1X 接入控制模式结构、原理及特点掌握802.1X 控制模式的实现的配置方法进一步理解802.1X 控制模式的优缺点二、实验内容LAN 802.1X 接入控制方式配置与测试用户独享帐户，通过认证和授权，接入校园网。

三、实验器材用户侧设备：支持802.1X 以太交换机（RG-S2026F）1 台/组，PC 机4-8 台/组配置线1 根局端设备：RADIUS 服务器四、实验原理（简要描述）802.1X+RADIUS 接入认证与控制方式基于802.1X 协议,在交换机接入端口上对用户进行接入控制，系统结构如图:802.1X 协议是一个基于端口的接入控制协议。

其接入控制基本原理如图802.1X 协议的接入端口在逻辑上分为两个逻辑端口：受控端口和非受控端口。

非受控端口始终处于连通状态，用来传送认证信息。

受控端口默认情况下处于断开状态，只有在认证通过后才接通，用来传送用户的业务数据。

因此，在认证没有通过前，用户只能通过802.1X 接入交换机传送认证信息，接入交换机再通过RADIUS 协议把认证信息送到RADIUS 服务器上，由RADIUS 服务器进行认证, 并把认证的结果返回给接入交换机。

接入交换机根据认证结果控制用户的接入，若认证成功，则接通受控端口，允许用户接入，否则，受控端口继续保持为断开状态，拒绝用户接入，从而802.1X 协议基于端口实现了对用户的接入控制。

802.1X 协议的接入控制具有以下特点：认证期用专用帧认证。

认证通过后，数据通路开通，数据可线速处理，开销小。

集中分布控制，分布程度大，需要接入交换机多。

认证通过后，难以通过管理控制断开。

五、实验拓扑六、实验操作与记录1.设备连接与实验准备（1）按拓扑图连接好，查看PC机初始IP地址并记录开机查看各PC机IP地址并记录表1。

802.1x认证基本实验标签：802.1x 分类：CCNP实验802.1x认证基本实验实验拓扑及相关ip设置：本实验要求PC机通过802.1x认证上网，通过认证后自动获取地址，并自动划分入vlan10中。

本实验模拟器用GNS3，虚拟机用Vmware。

在Vmware中安装windows xp 和windows Server 2003，在windows Server 2003中安装ACS 服务器。

1.虚拟环境的搭建：虚拟机安装完后会在物理机中添加Vmnet1 和Vmnet8两块网卡，Vmnet8是做NA T用的我们这里不用它，可以把它禁用掉，然后我们再添加一块网卡。

设置步骤：（我的Vmware是7.1版本的，勤劳的童鞋可以自己去下载汉化包。

）添加Vmnet2，这里我们把“Use local DHCP……”的勾去掉，等下我们用交换机做DHCP，添加完后会在我们的电脑里多出一块Vmnet2的网卡，添加完后要重启电脑！接下来为两台虚拟机选择网卡，xp选择vmnet1 ，win2003选择vmnet2。

选择VM—setting：绑定好网卡后设置ip：VMware xp 中的网卡设为自动获取ip，vmnet1 随便给它个ip吧。

VMware win 2003 和vmnet2 设置同一网段的ip实验中我们真正要用到的地址是Vmware 虚拟主机中的地址，配置vmnet地址是为了桥接。

配完ip后在Vmware 虚拟主机中去ping vmnet的地址能通就行了。

接下来在GNS3中搭建拓扑：在GNS3中桥接网卡其实很简单，只要从左边的设备栏里面拉一个“Cloud”就行了，想要我图中的效果只要改变下云的图标就行了，change symbol 改变图标，就是我图中那样了。

在PC上点右键，选择配置：Radius_Server做法是一样。

我在windows 7中做这个实验发现桥接后不能通信，所以建议用xp做此实验。

到这虚拟环境就搭好了，哈哈，至于虚拟机、在虚拟机中装系统、ACS的我就不说了。

一、在活动目录中新建用户按照下图所示在活动目录中创建用户。

输入用户名，建立这里以groupX。

为了实验的方便性，密码统一设置为“procurve”，选中“密码永不过期”选项。

创建完成后，用户信息如下：点击完成，完成创建。

为了使后面实验中的基于WEB方式的身份认证，我们还需要修改用户的帐户属性，如下图所示，选中“使用可逆的加密保存密码”。

二、DHCP服务器的配置我们需要在DHCP服务器上建立我们所需要创建的VLAN,下面是一个新的DHCP作用域的创建过程。

您可以参考以下的创建方法创建您所需要的作用域，注意您创建的地址和下面例子的不一样，请按照需要创建，这里只是给出一个创建的例子。

按照安装向导的提示来进行作用域的建立：输入起始的地址，以及子网掩码，这里建议大家在创建的时候，使用不同的组号来代替IP地址中的第二个字节。

在下图所示界面中，填入该作用域的路由器IP地址，也就是该网段的网关，并点击“添加”按钮：如果有用到DNS服务器，请在这里填入服务器的IP地址：10.X.10.10，并点击“添加”按钮，没有的话，则不需要可以直接跳过这一步。

这里保持默认即可。

如果您还需要创建其他的VLAN，请使用类似的方法进行创建。

DHCP服务器配置完成后，一定要对其进行授权，否则无法提供DHCP服务，在授权后请刷新DHCP服务器，然后即可正常给客户端分发IP地址。

三、Radius服务器的配置1、创建Radius客户端下面我们开始创建RADIUS客户端的，在“开始”->“管理工具”中选择“Internet验证服务”。

在创建RADIUS客户前，将IAS注册到域服务器中。

如果IAS已经被注册过，将出现如下对话框按下面的步骤来创建RADIUS客户端，点击“新建RADIUS客户端”，弹出如下对话框，按照下面的步骤来创建MSM 710的RADIUS客户端。

共享的机密统一使用“procurve”，点击确定完成创建，用同样的方法为其他的设备创建RADIUS客户端。

802.1x认证实验1．实验目的·理解AAA和802.11x的认证技术，掌握EAP认证报文的基本内容·配置5300xl的认证端口·RADIUS服务器2．实验设备·一台5300xl交换机·一台Windows 2003 Server的服务器和多台无线接入客户端计算机，其中Windows 2003 Server必须包含如下组件：1）Internet认证服务（IAS）；2）动态目录（Active Directory）3）动态主机地址分配协议（Dynamic Host Configuration Protocol）4）支持Java控件的浏览器·多台Windows XP Service Pack 2的客户端。

3．实验环境实验环境如图所示：图1实验环境整个实验中设备的IP地址分配如表所示设备IP地址子网掩码地址分配方式5300xl 10.1.1.1 255.255.255.0 静态指定Windows2003Server10.1.3.10 255.255.255.0 静态指定Windows XP 客户端动态（10.1.2.2~10.1.2.254）255.255.255.0由DHCP服务器动态分配表1 网络交换设备的IP分配表4．实验内容4.1 理解AAA和802.1x认证，掌握EAP认证报文的基本内容AAA主要包括验证（Authentication）、授权（Authorization）、计费（Accounting），其实现方式可分为两种，如图所示。

图2 AAA两种实现方法现在最主要是通过服务器来对客户端实现AAA功能。

RADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协议，它有如下特点：●RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议●RADIUS使用MD5加密算法对数据包进行数字签名，以及对口令进行加密●RADIUS包结构灵活，扩展性好。

802.1X热备典型配置举例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (1)3.3 配置注意事项 (2)3.4 配置步骤 (2)3.4.1 AC 1的配置 (2)3.4.2 AC 2的配置 (5)3.4.3 Switch的配置 (9)3.4.4 RADIUS server的配置 (10)3.5 验证配置 (11)3.6 配置文件 (12)4 相关资料 (16)i1 简介本文档介绍无线控制器802.1X热备典型配置举例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解802.1X和双机热备的相关功能。

3 配置举例3.1 组网需求如图1所示，AC 1和AC 2均支持双机热备，现要求AC 1和AC 2在运行双机热备情况下支持802.1X 客户端的信息备份，主备AC切换的过程中，客户端不会重新上下线，可以继续正常通信。

具体要求如下：∙采用加密类型的服务模板，加密套件采用AES-CCMP。

∙AC 1正常工作的情况下，Client通过AC 1进行802.1X认证接入。

AC 1发生故障的情况下，Client通过AC 2接入。

∙802.1X的认证方式采用EAP中继方式。

∙采用RADIUS服务器作为认证服务器，RADIUS服务器上注册的接入设备NAS-IP是133.1.1.3/16。

802.1x实验一、实验目标：admin组的成员拥有最高执行权力guest组的成员只能使用show 进行简单查看二、网络拓扑图：三、配置：ACS服务器配置：添加AAA客户在Interface Configuration选择RADIUS属性添加802.1x客户并加入组配置GROUP点击grobal authentication setup 把allow LEAP(for aironet only)前面的勾去掉配置交换机sw8(config)#do show runaaa new-modelaaa authentication login default noneaaa authentication dot1x default group radiusaaa authorization network default group radiusdot1x system-auth-control 交换机上启动802.1xinterface FastEthernet0/4switchport mode accessdot1x port-control auto 与802.1x连接的交换机端口，启动802.1X spanning-tree portfastinterface FastEthernet0/8switchport mode access!!interface Vlan1ip address 192.168.1.169 255.255.255.0 VLAN1的地址作为NSA客户端radius-server host 192.168.1.168 auth-port 1645 acct-port 1646 key cisco 指定RADIUS服务器radius-server source-ports 1645-1646radius-server vsa send accountingradius-server vsa send authentication设置客户端验证，启动802.1x将客户端用网线连接到交换机上，出现认证对话框四、总结：。

使用802.1x增强接入安全性【实验名称】使用802.1x增强接入安全性【实验目的】掌握无线网络中802.1x认证的概念及配置方法【背景描述】小张从学校毕业后在某家网络服务商工作，工作第一天就接到一个无线网络规划的任务，需要给某个无线网络设计安全接入策略。

小张考虑到该项目是某外企IT公司的无线接入，用户对网络的安全要求很高，并且客户的计算机操作能力也很强，于是小张选择了采用相对安全的“入网即认证”的802.1x认证方式。

【需求分析】需求1：如何在没有认证服务器的情况下实现802.1x认证。

分析1：通过无线交换机自带的本地服务器即可实现802.1x认证功能。

【实验拓扑】【实验设备】RG-WG54U 1块PC 2台MP-71/MP-372 1台MX-8 1台【预备知识】无线局域网基本知识智能无线产品的基本原理Ringmaster的基本操作能力322【实验原理】802.1X是基于端口的认证策略，对于无线局域网来说个“端口”就是一条信道，802.1X的认证中，端口的状态决定了客户端是否能接入网络。

在启用802.1x认证时端口初始状态一般为非授权（unauthorized），在该状态下，除802.1X 报文和广播报文外不允许任何业务输入、输出通讯。

当客户通过认证后，则端口状态切换到授权状态（authorized），允许客户端通过端口进行正常通讯。

【实验步骤】第一步：配置无线交换机的基本参数无线交换机的默认IP地址是192.168.100.1/24，因此将STA-1的IP地址配置为192.168.100.2/24，并打开浏览器登陆到https://192.168.100.1，弹出以下界面：选择“Y”。

系统的默认管理用户名是admin，密码为空。

323输入用户名和密码后就进入了无线交换机的web配置页面，点击“start”，进入快速配置指南。

324选择管理无线交换机的工具--“RingMaster”。

325配置无线交换机的IP地址，子网掩码以及默认网关。

802.1x认证策略的下发进入桌面终端标准化管理系统的WEB平台中的策略中心模块的接入认证策略，打开“802.1x认证策略”进入策略配置界面。

在“密码认证方式”中选择“单用户名密码”认证方式，并在其后的用户名和密码框中输入相应的用户名和密码，该用户名和密码就是以后这些终端进行接入认证时需要用到的用户名和密码，记住该用户名和密码，因为其后的radius配置中还需用到。

配置界面如图：交换机配置思科交换机配置通过超级终端，进入思科交换机配置界面，输入如下命令开启端口的802.1x 认证。

说明：VLAN 1是正常工作区，radius服务器、VRV桌面服务器、受管理终端都接在此VLAN中，在测试中，该VLAN还是交换机的管理VLAN。

VLAN 200 是在交换机上新建的修复区，用来连接杀毒软件、补丁下载服务器等，配合VRV策略中的杀毒软件、补丁、文件、进程检测接入策略，对接入正常工作区的终端进行安全检测，如果终端不符合安全要求将跳转进修复VLAN，直到终端符合安全后经过重新认证或重启后才能进入正常工作区。

VLAN 300 是在交换机上新建的隔离区，用来连接注册程序下载服务器、重定向服务器，供未安装客户端的终端认证失败跳转进该区安装注册程序。

switch#config t ；进入全局配置模式switch(config)VLAN 200；新建VLAN 200作为修复区VLANexitswitch(config)VLAN 300；新建VLAN 300作为隔离区VLANexitswitch(config)#aaa new-model ；启用aaa认证switch(config)#aaa authentication dot1x default group radius ；配置802.1x认证使用radius服务器数据库switch(config)#aaa authorization network default group radius配置802.1x授权使用radius服务器。

防火墙技术实验报告实验名称：802.1X配置实验内容一、拓扑图：二、实验步骤：1.在SW上配置VLAN8，VLAN10SW(config)#no ip domain loSW(config)#line con 0SW(config-line)#no exec-tSW(config-line)#logging sySW(config-line)#exitSW#vlan databaseSW(vlan)#vlan 8VLAN 8 added:Name: VLAN0008SW#vlan databaseSW(vlan)#vlan 10VLAN 10 added:Name: VLAN0010SW(config)#int f1/4SW(config-if)#switchport mode accessSW(config-if)#switchport access vlan 8SW(config)#int f1/14SW(config-if)#switchport mode accessSW(config-if)#switchport access vlan 10SW(config)#int vlan 1SW(config-if)#ip add 1.1.1.1 255.255.255.0SW(config-if)#no shSW(config-if)#int vlan 8SW(config-if)#ip add 8.8.8.8 255.255.255.0SW(config-if)#no shSW(config-if)#int vlan 10SW(config-if)#ip add 10.10.10.10 255.255.255.0SW(config-if)#no sh2.在SW上配置dhcp地址池和排除地址SW(config)#ip dhcp excluded-address 8.8.8.1 8.8.8.50SW(config)#ip dhcp pool 8SW(dhcp-config)#network 8.8.8.0 /24SW(dhcp-config)#default-router 8.8.8.8SW(dhcp-config)#dns-server 218.85.157.99SW(config)#ip dhcp excluded-address 10.10.10.1 10.10.10.100 SW(config)#ip dhcp pool 10SW(dhcp-config)#network 10.10.10.0 /24SW(dhcp-config)#default-router 10.10.10.10SW(dhcp-config)#dns-server 218.85.157.983.在SW上配置802.1XSW(config)#aaa new-modelSW(config)#username cisco password ciscoSW(config)#radius-server host 192.168.139.3 key ccspSW(config)#aaa authentication dot1x default group radius SW(config)#dot1x system-auth-controlSW(config)#int f1/10SW(config-if)#switchport mode accessSW(config-if)#dot1x port-control autoSW(config)#aaa authorization network default group radius4.在PC1、PC2上配置相关命令PC1：PC1(config)#no ip routingPC1(config)#int f0/0PC1(config-if)#ip add dhcpPC1(config-if)#no shPC2: PC2(config)#no ip routingPC2(config)#int f0/0PC2(config-if)#ip add dhcpPC2(config-if)#no sh三、实验结论：SW#show vlan-switchVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa1/0, Fa1/1, Fa1/4, Fa1/5Fa1/6, Fa1/7, Fa1/8, Fa1/9Fa1/10, Fa1/11, Fa1/12, Fa1/13Fa1/14, Fa1/158 8 active Fa1/4，Fa1/1010 10 active Fa1/14pc1#sh ip int briefInterface IP-Address OK? Method Status Prot ocolFastEthernet0/0 8.8.8.51 YES DHCP up up FastEthernet0/1 unassigned YES unset administratively down down四、实验心得：pc1#ping 218.85.157.98Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 218.85.157.98, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)。

无线网络的802.1X认证环境搭建802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

8 02.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x 的认证协议报文通过。

实验所需要的用到设备：认证设备：cisco 3550 交换机一台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：1 72.16.0.103，认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。

实验一 锐捷802.1x 交换机的配置【实验名称】锐捷RG-S2126G 系列接入层交换机的802.1与Radius 协议配置。

【实验目的】掌握锐捷RG-S2126G 系列接入增交换机基于802.1x 与Radius 协议结合RG-SAM2.1认证版实现安全接入认证的配置。

【预备知识】● IEEE802.1x ；● Radius ；● 二层交换【背景描述】假设您是某公司的网络管理人员，鉴于公司网络安全管理的需要，需要实现对用户接入公司网络进行必要的身份控制，公司决定部署基于IEEE802.1x 与RADIUS 协议的认证管理系统。

本实验是RG-SAM2.1认证版系列实验的第一步。

在进行相关实验之前，首先要配置锐捷21系列接入层交换机开启802.1x 与Radius 协议。

【实现功能】实现LAN 接入的安全身份认证。

【实验拓扑】【实验设备】1．RG-S2126G 一台；2．PC 机一台，用于配置交换机的终端。

【实验步骤】第一步：查看交换机版本信息验证测试：查看交换机版本信息：Switch>show versionSystem description : Red-Giant Gigabit Intelligent Switch(S2126G) By Ruijie NetworkSystem uptime : 0d:0h:8m:40sSystem hardware version : 3.3RG-S2126G 192.168.0.2/24 RG-SAM Server 192.168.0.185/24PC1192.168.0.44/24System software version : 1.5(1) Build Mar 3 2005 TempSystem BOOT version : RG-S2126G-BOOT 03-02-02System CTRL version : RG-S2126G-CTRL 03-05-02Running Switching Image : Layer2Switch>第二步：初始化交换机配置所有的交换机在开始进行配置前，必需先进行初始化，清除原有的一切配置，命令如下：Switch>Switch>enableSwitch#delete flash:config.text !删除配置（在实验室实验时请实验指导老师清除相关配置）Switch#reload…..Switch#configure terminal !进入配置层Switch(config)#验证测试：使用命令show running-config命令查看配置信息，删除原始配置信息后该命令的打印结果如下：Switch#show running-configBuilding configuration...Current configuration : 318 bytes!version 1.0!hostname Switchvlan 1!endSwitch#第三步：Switch#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#ip default-gateway 192.168.0.1 设置交换机默认网关，实现跨网段管理交换机Switch(config)#interface vlan 1Switch(config-if)#ip address 192.168.0.2 255.255.255.0Switch(config)#exitSwitch(config)#enable secret level 1 5 starSwitch(config)#enable secret level 15 5 starSwitch(config)#radius-server host 192.168.0.185 auth-port 1812指定RADIUS服务器的地址及UDP认证端口Switch(config)#aaa accounting server 192.168.0.185 指定记账服务器的地址Switch(config)#aaa accounting acc-port 1813 指定记账服务器的UDP端口Switch(config)#aaa authentication dot1x 开启AAA功能中的802.1x认证功能Switch(config)#aaa accounting 开启AAA功能中的记账功能Switch(config)#radius-server key star 设置RADIUS服务器认证字Switch(config)#snmp-server community public rw为通过简单网络管理协议访问交换机设置认证名（public为缺省认证名）并分配读写权限Switch(config)#interface fastEthernet 0/4实验中将在4号接口启动802.1x的认证Switch(config-if)#dot1x port-control auto 设置该接口参与802.1x认证Switch(config-if)#exitSwitch(config)#exitSwitch#writeBuilding configuration...[OK]Switch#验证测试：将两台PC（使用192.168.0.0/24网段的地址，实验中客户端PC使用地址192.168.0.44/24，服务器使用地址192.168.0.185/24）连接到交换机除4号端口外的其他任意两个端口上，在任何一个PC上进行连通性测试（ping）。

Wireshark监测802.1X认证实验1、实验目的·学习Wireshark的基础知识·掌握Wireshark过滤语法·通过对802.1X认证实验的抓包，掌握Wireshark的使用2、实验设备·一台5300xl交换机·一台装有Wirlshark 的PC·一台Windows 2003 Server的服务器和多台接入客户端计算机，其中Windows 2003 Server必须包含如下组建：1）Internet 认证服务（IAS）；2）动态目录（Active Directory）3）动态主机地址分配协议（Dynamic Host Configuration Protocol）4）支持Java 控件的浏览器·多台Windows XP Service Pack 2 的客户端。

3、实验环境实验环境如图所示：5300xl10.1.1.1端口B4Windows 2003 Server10.1.3.10端口B3 镜像端口C1 DHCP 和 Radius 服务器802.1X客户端认证端口B2成功后动态分配IP装有Wireshark 的包捕获PCPC 1 PC 2图1 实验环境表 1 网络交换设备的IP 分配表4、实验内容4.1 Wireshark 的介绍Wireshark（原名Ethereal）是一种网络协议分析软件,利用它可将捕获到的各种各样协议的网络二进制数据流,翻译为人们容易读懂和理解的文字和图表等形式，极大地方便了对网络活动的监测分析和教学实验。

它有十分丰富和强大的统计分析功能，可在Windows，Linux 和UNIX等系统上运行。

4.2 Wireshark 主要的过滤规则表 3 基于 port 的过滤2）通过protocol过滤表 5 基于 protocol的过滤3）数组操作过滤[i:j] i = 起点, j = 长度[i-j] i = 起点, j = 末点[i] i = 起点, 长度1[:j] 起点等于 0, 长度= j[i:] 起点 = i, 至最后举例：eth.src[0:3] == 00:00:83 以太网地址的前3位http.content_type[0:4] == "text" content_type的前四位frame[-4:4] == 0.1.2.3 起点为负表示终点-4 长度4位，就是末四位4）组合操作过滤表 6 组合操作过滤常见关键词frame、ip、 eth 、udp、tcp、http举例：frame .pkt_len > 100 ,Capture数据长度大于100的包;ip.src == 192.168.214.12 ，Capture源地址是192.168.214.12的包; ip.dst == ,Capture目标地址是的包;http.request.method == "HEAD" ,Capture在HTTP包中查找request命令含HEAD的包.注意：如果用了抓取TCP/IP数据包的关键字"host"、"port"，结果将是忽略所有ARP 数据包。