同一端口同时启用PEAP和MAC地址旁路.docVIP

PAGE \* MERGEFORMAT16 同一端口同时启用PEAP和MAC地址旁路 （适用于IPPhone串接PC的网络环境） 实验目的： 在交换机上的同一端口，插入不同设备，可以自动的选择不同的服务，既可以对PC做PEAP认证，也可以对IPphone等设备基于MAC地址做bypass。 配置步骤： 首先，我们先把switch 做成client，很简单的两条命令。 aaa new-model???? ? radius-server host 202.100.1.241 key cisco 然后再 ACS 5.2 上面定义client，如下图。 在identity Group 下面建三个组，分别是Test（测试client用）、PEAP（用于PEAP认证用）、MAC（用于MAC地址Bypass用）。 在Internal Identity Stores下面的User 下面建两个user Cisco（用于client测试）、Peapuser((PEAP认证用) 分别关联到不同的Identity Group中去。 在Host下面 添加主机的MAC地址。 把地址放在MAC 组里面。 在交换机上做一下测试 test aaa group radius cisco cisco new-code 确认测试成功，才可以进行下一步。 在Access Policies 下面的Access Services中创建新的services，首先，先创建一个PEAP用的Access Services。输入的名字。选择User Selected Service Type类型为Network Access，点下一步。 在Authentication Protocols 下勾选 PAP/ASCII 和 PEAP，PEAP使用MS-CHAPv2。 下面再做一个MAC Bypass的Access Service Name 随便，在Based on Service template 中选择 Network Access – MAC Authentication Bypass 如下图： 第二步，服务只要默认的Process Host Lookup就好，其他什么都不用选了。 下面就是关键所在了。 点击 Service Selection Rules 进入，选择右下角的Customize，把Compound Condition 选中点击向右的箭头，把他选到右边的Selected框中。 点击左下角的Create 创建一个新的Rules。 注意这里的Rules匹配条件，Protocol 匹配 Radius 然后，选择RADIUS-IETF中的Service-Type参数匹配上Framed。 使用PEAP Service 做认证和授权。 在做一条Rules，匹配Service-type中的Call Check，使用MAC做认证和授权。 把新建的两条Rules移到上面去，这样保证不会匹配上默认Rules。 Network Access 类型的 service Type 默认的Identity Source是DenyAccess，我们需要把他改成 Internal Users。如果有域数据库的话，这里也可以指向AD，使用外面AD做认证，请参考教主的ACS 5.2 研究报告，这里就不搞这么麻烦了。 授权这里就??接使用默认的授权：Permit access，详细的授权，在ACS 5.2 研究报告里也有提到。 MAC-authentication-Bypass 默认的就是Internal Host，这里就不需要改了。 到交换机上把Dot1x的命令都敲上吧。 先做好安全防护措施，先把线下保护做好，要是被锁外面，哭都来不及了。 aaa authentication login noacs line none line con 0 ?login authentication noacs 下面是802.1x的命令 aaa authentication dot1x default group radius aaa authorization network default group radius dot1x system-auth-control interface FastEthernet0/45 ?dot1x mac-auth-bypass ?dot1x port-control auto 交换机做完之后，我们去PC上把802.1x的有线认证开起来。 在本地连接的属性的身份验证选项卡中设置一下。 把 网络身份验证方法选择为 微软的PEAP。 我们要做测试，所以把记录凭据也取消掉。 点击网络身份验证方法后面的设置，可以看到下面的图。 因为这次主要是为了测试PEAP，所以这里，我把验证服