802.1x认证、基于用户的动态VLAN概念.docVIP

使用VM和GNS3配置Radius服务器和802.1x认证 - 1 - 基于用户的动态VLAN - 19 - 使用DHCP，使拨入的用户获得相应的IP并进行通信。 - 39 - 使用VM和GNS3配置Radius服务器和802.1x认证 软件准备： GNS3-0.7.2-win32-all-in-one unzip-c3640-ik9o3s-mz.124-10.bin VMare Workstation ACE 6.0.2 build-59824 WindowsServer2003SP2企业版 实验原理： 实验拓扑： 环境搭建： 首先在真机上装好GNS3和VM ，在vmware上装好两个虚拟机，分别是2003和XP。在装好VM后真机中会出现两个虚拟网卡，分别是VMware Network Adapter VMnet1和VMware Network Adapter VMnet8。在此我只用到两块网卡，所以我将VMware Network Adapter VMnet8给禁用了。虚拟机中的2003网卡选择“桥接(B):直接连接到物理网络”，XP选择“自定义(S):指定虚拟网络”中的“VMnet1 (Host-only)”。下面开始设置GNS3，打开GNS3，分别添加一台3640的路由器和两台PC，拓扑如图1，为R1添加一个交换模块“NM-16ESW”,在“本地连接”PC中将其指向真机的“本地连接”网卡，在“VM1”PC中将其指向虚拟网卡VM1。然后将R1的F0/0接中连接“本地连接”，F0/10连接“VM1”，这样，基本的网络模型就搭建好了。 配置方法： Windows Server 2003： 安装“Active Directory”。【开始】-【运行】-【dcpromo】打开【Active Directory安装向导】。（具体安装过程在此我就不做详解介绍，我会将一些我所操作的截图附上） 安装IAS（Internet验证服务，Radius）。【开始】-【设置(S)】-【控制面板(C)】，在“添加或删除程序”中选择“添加/删除Windows组件(A)”,选择“网络服务”点击“详细信息”，勾选“Internet验证服务”，单击“确定”后点击“下一步”即可。（注意要放入镜像文件或光盘） 使用“MMC”便于操作。【开始】-【运行】-【mmc】打开【控制台】。【文件】-【添加/删除管理单元(M)…】打开“添加/删除管理单元”。单击“添加(D)…”,在打开的“添加独立管理单元”中分别添加上“Active Directory 用户和计算机”、“DNS”和“Internet验证服务”，最后单击“确定”，并将控制台保存即可。 在“Active Directory”中注册IAS服务器。由于是通过域控制器的Active Directory数据库来进行用户帐户的管理，所以需要建立IAS服务器与Active Directory数据库的连接。这样，当RADIUS客户端需要进行身份验证、授权或记帐等操作时，就通过Active Directory数据库来完成，这样就要将IAS服务器注册到Active Directory内。右键“Internet验证服务(本地)”，单击“在Active Directory中注册服务器(G)”，这时会出现如图所示提示，单击“确定”即可。 修改活动目录中的域安全策略。【开始】-【程序】-【管理工具】-【域安全策略】打开“默认域安全设置”，【安全设置】-【帐户策略】-【密码策略】，在右边的窗口中双击“用可还原的加密来储存密码”打开该策略属性页，在属性页中选择“已启用”，单击“应用”后单击“确定”即可。由于MD5-质询的认证方式需要使用密码的明文来验证客户端的请求是否合法，所以需要修改域安全策略中的密码策略。出于安全性考虑，Windows默认只存放密码的散列值，根据散列值无法还原出密码的明文。启用可还原的密码存储后，原有的Windows帐号的密码必须修改至少一次才会以可还原的形式存储，新建的Windows账号密码则均以可还原的方式存储。修改完后需要使用gpupdate /force命令来刷新组策略，如果不行则需要重启，建议重启。 新建用户用来验证。打开保存的控制台，【Active Directory用户和计算机】-【】,右键“”，选择“新建”-“用户”。创建好用户后右键“属性”，选择“拨入”选项卡，在“远程访问权限(拨入或VPN)”中选择“允许访问(W)”，单击“应用”。再选择“帐户”选项卡，在“帐户选项(O)”中勾选“使用可逆的加密保存密码”，单击“应用”。再选择“隶属于”选项卡，查看用户所属的组，在此我没做修改是默认的Domain Users组（实际应用中该组会发生相应的改变，请根据实际情况修改），最后单击“确定”。 建立Ra