实验十二__接入层802.1x认证.doc

实验十二 接入层802.1x 认证 【实验名称】 接入层802.1x。 【实验目的】 使用交换机的802.1x功能增强网络接入安全。 【背景描述】 某企业的网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证的用户才可以接入到公司网络。 【需求分析】 要实现网络中基于端口的认证，交换机的802.1x特性可以满足这个要求。只有用户认证通过后交换机端口才会“打开”，允许用户访问网络资源。 【实验拓扑】 【实验设备】 交换机 1台 PC机 2台（其中1台需安装802.1x客户端软件，本实验中使用锐捷802.1x客户端软件） RADIUS服务器 1台（支持标准RADIUS协议的RADIUS服务器，本例中使用第三方RADIUS服务器软件WinRadius，） 【实验原理】 802.1x协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。“基于端口的网络接入控制”是指在局域网接入设备的端口级别对所接入的设备进行认证和控制。如果连接到端口上的设备能够通过认证，则端口就被开放，终端设备就被允许访问局域网中的资源；如果连接到端口上的设备不能通过认证，则端口就相当于被关闭，使终端设备无法访问局域网中的资源。 【实验步骤】 步骤1 验证网络连通性。 按照拓扑配置PC机、RADIUS服务器的IP地址，在PC机上ping 其网关地址，应该可以，可以ping通。 步骤2 配置交换机802.1x认证。 Switch#configure Switch(config)#aaa new-model //开启3A认证 Switch(config)#aaa authentication dot1x list100 group radius //选择radius服务器认证方式 Switch(config)#dot1x authentication list100 // 802.1x协议执行list100列表 Switch(config)#radius-server host 192.168.5.x auth-port 1800 acct-port 1801 //1、配置RADIUS服务器的IP地址 2、auth-port参数表示配置RADIUS服务器的认证和授权端口号，默认情况下RADIUS服务器的认证和授权端口号为UDP 1812；acct-port参数表示配置RADIUS服务器的计费端口号，默认情况下RADIUS服务器的计费端口号为UDP 1813。 Switch(config)#radius-server key 12345 //配置RADIUS服务器秘钥 ！此处配置的密钥要与RADIUS服务器上配置的一致 Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.5.200 255.255.255.0 //配置交换同管理IP地址 Switch(config-if)#exit Switch(config)#interface fastEthernet 0/1 Switch(config-if)#dot1x port-control auto // 启用F0/1端口的802.1x认证 Switch(config-if)#end 步骤3 验证测试。 此时用PC1 ping 网关地址，看能否ping 通？ 由于F0/1端口启用了802.1x认证，在PC机没有认证的情况下，无法访问网络。 步骤4 配置RADIUS服务器。 运行WinRadius服务器，并添加账户信息 设置账户信息，用户名为test，密码为testpass，如图26-5所示。 图26-5 设置RADIUS服务器的系统属性，将端口如图26-6所示。 设置RADIUS服务器的密钥，要与交换机上配置的密钥保持一致；验证端口号和计费端口号都保持默认的标准端口号，如果设置其他的端口号，也需要在交换机上的RADIUS服务器配置中进行相应的设置，如图26-7所示。 图26-7 步骤5 启用802.1x客户端进行验证。 在PC1上启动锐捷802.1x客户端，输入用户名（test）和密码（testpass），单击“连接”按钮进行认证，如图26-8所示。 图26-8 认证成功后，在Windows右下角的状态栏中显示认证成功，如图26-9所示。 实验报告： 将配置过程粘贴如下 请将测试结果粘贴如下，并做出说明