接入层802.1x.pdf

实验26 接入层802.1x 【实验名称】 接入层 802.1x。 【实验目的】 使用交换机的 802.1x 功能增强网络接入安全。 【背景描述】 某企业的网络管理员为了防止有公司外部的用户将电脑接入到公司网络中，造成公司信息 资源受到损失，希望员工的电脑在接入到公司网络之前进行身份验证，只有具有合法身份凭证 的用户才可以接入到公司网络。 【需求分析】 要实现网络中基于端口的认证，交换机的 802.1x 特性可以满足这个要求。只有用户认证通 过后交换机端口才会“打开”，允许用户访问网络资源。 【实验拓扑】 实验的拓扑图，如图 26-1 所示。 图26-1 【实验设备】 交换机 1 台 PC 机 2 台（其中 1 台需安装 802.1x 客户端软件，本实验中使用锐捷 802.1x 客户端软件） RADIUS 服务器 1 台（支持标准 RADIUS 协议的 RADIUS 服务器，本例中使用第三方 RADIUS 服务器软件 WinRadius ，在实际应用环境中，推荐使用锐捷 SAM 系统作为 RADIUS 服务器，以支持更多的高级及扩展应用） 【预备知识】 交换机转发原理。 交换机基本配置。 802.1x 原理。 【实验原理】 802.1x 协议是一种基于端口的网络接入控制（Port Based Network Access Control ）协议。“基 于端口的网络接入控制”是指在局域网接入设备的端口级别对所接入的设备进行认证和控制。 如果连接到端口上的设备能够通过认证，则端口就被开放，终端设备就被允许访问局域网中的 资源；如果连接到端口上的设备不能通过认证，则端口就相当于被关闭，使终端设备无法访问 局域网中的资源。 【实验步骤】 步骤 1 验证网络连通性。 按照拓扑配置 PC1 、PC2 、RADIUS 服务器的 IP 地址，在 PC1 上 ping PC2 的地址，验证 PC1 与 PC2 的网络连通性，可以ping 通，如图 26-2 所示。 图26-2 步骤 2 配置交换机 802.1x 认证。 Switch#configure Switch(config)#aaa new-model Switch(config)#aaa authentication dot1x ruijie group radius Switch(config)#dot1x authentication ruijie Switch(config)#radius-server host 192.168.1.254 Switch(config)#radius-server key 12345 ！此处配置的密钥要与RADIUS 服务器上配置的一致 Switch(config)#interface vlan 1 Switch(config-if)#ip address 192.168.1.200 255.255.255.0 Switch(config-if)#exit Switch(config)#interface fastEthernet 0/1 Switch(config-if)#dot1x port-control auto ！启用F0/1 端口的 802.1x认证 Switch(config-if)#end 21 实验 26 接入层 802.1x · · Switch# 步骤 3 验证测试。 此时用 PC1 ping PC2 的地址，如图26-3 所示。 图26-3 由于F0/1 端口启用了 802.1x 认证，在 PC1 没有认证的情况下，无法访问网络。 步骤 4 配置 RADIUS 服务器。 运行