8021x认证实验报告.doc

实验名称802.1X认证实验实验日期2017年3月30日实验目的利用GNS3、Vmvare软件，综合运用路由交换知识、802.1X认证技术、RADIUS服务技术，设计并模拟实现用户接入网络认证。 ①掌握GNS3与Vmware的配合使用。 ②了解802.1X和RADIUS服务的工作原理。 ③掌握802.1X认证的配置、RADIUS服务器的配置。 ④巩固路由交换配置的动手能力。实验环境Win10 PC机一台(16G内存)； Vmware软件（虚拟xp系统，虚拟windows 2003系统）； GNS3 1.3.2版本； 抓包软件 wirshark.实验内容 1、RADIUS服务器的配置过程截图 2、路由器上的关键配置命令（路由器接口IP地址、802.1X认证配置） R1#conf t R1(config)#int vlan 1 R1(config-if)#ip address 192.168.2.129 255.255.255.0 R1(config-if)#no shutdown R1(config)#int f0/0 R1(config-if)#no shutdown R1(config)#int f1/0 R1(config-if)#ip address 192.168.1.129 255.255.255.0 R1(config-if)#no shutdown R1(config)#aaa new-model R1(config)#dot1x system-auth-control R1(config)#radius-server host 192.168.1.130 key cisco R1(config)#aaa authentication dot1x default group radius R1(config)#int f0/0 R1(config-if)#switchport mode access R1(config-if)#dot1x port-control auto 3、当路由器上配置好802.1X认证后，客户端未认证前，路由器相关接口的状态截图？客户端认证通过后，路由器相关接口的状态截图？有何区别？ 未认证前客户端接口关闭，认证通过后客户端接口打开 4、简述802.1X认证的过程 (1) 客户端向接入设备发送一个EAPoL-Start报文，开始802.1x认证接入; (2) 接入设备向客户端发送EAP-Request/Identity报文，要求客户端将用户名送上来; (3) 客户端回应一个EAP-Response/Identity给接入设备的请求，其中包括用户名; (4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中，发送给认证服务器; (5) 认证服务器产生一个Challenge，通过接入设备将RADIUS Access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge; (6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证; (7) 客户端收到EAP-Request/MD5-Challenge报文后，将密码和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回应给接入设备; (8) 接入设备将Challenge，Challenged Password和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证; (9)RADIUS服务器根据用户信息，做MD5算法，判断用户是否合法，然后回应认证成功/失败报文到接入设备。如果成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程到此结束; (10) 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址; (11) 如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器; (12)RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。 5、搜集资料，阐述除了802.1X认证外，还有哪些接入认证方案，各有什么优缺点？ WAPI2接入认证：双向认证，安全传输 极简网关认证解决方案：用于校园网准出认证场景，通过三层硬件认证，解决了校园网准出认证的性能不足与网络中断问题，简化运维、提升用户上网体验。 网络代理接入认证：可以过滤数据包，过滤上网内容和设定上网时间 试验总结与分析请总结你做的实验。（实验过程中出过什么问题，怎么解决的？802.1X认证的应用。） 路由器的命令配置，不用写入配置文件命