收藏
下载资源

9【网络安全】【利用分布层802.1x安全网络接入】

上传人:w****i 文档编号:106021351 上传时间:2019-10-14 格式:PDF 页数:13 大小:326.26KB
返回 下载 相关 举报
9【网络安全】【利用分布层802.1x安全网络接入】_第1页
第1页 / 共13页
9【网络安全】【利用分布层802.1x安全网络接入】_第2页
第2页 / 共13页
9【网络安全】【利用分布层802.1x安全网络接入】_第3页
第3页 / 共13页
9【网络安全】【利用分布层802.1x安全网络接入】_第4页
第4页 / 共13页
9【网络安全】【利用分布层802.1x安全网络接入】_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《9【网络安全】【利用分布层802.1x安全网络接入】》由会员分享,可在线阅读,更多相关《9【网络安全】【利用分布层802.1x安全网络接入】(13页珍藏版)》请在金锄头文库上搜索。

1、第一章 网络基础设施安全实验 利用分布层 802.1x 安全网络接入 【实验名称】【实验名称】 利用分布层 802.1x 安全网络接入 【实验目的】【实验目的】 使用交换机的 802.1x 功能安全网络接入 【背景描述】【背景描述】 某企业的网络管理员为了防止有公司外部的用户将电脑接入到公司网络中, 造成公司信 息资源受到损失, 希望员工的电脑在接入到公司网络之前进行身份验证, 只有具有合法身份 凭证的用户才可以接入到公司网络。网络管理员通过考察网络后发现,在网络建设初期,出 于成本的考虑,接入层交换机为低端交换机不支持 802.1x 认证,因此考虑在分布层部署 802.1x,安全网络接入。

2、【需求分析】【需求分析】 要实现网络中基于端口的认证,交换机的 802.1x 特性可以满足这个要求。只有用户认 证通过后交换机端口才会“打开” ,允许用户访问网络资源。 【实验拓扑】【实验拓扑】 【实验设备】【实验设备】 交换机 2 台(仅分布层交换机需支持 802.1x) PC 机 2 台 (其中 1 台需安装 802.1x 客户端软件, 本实验中使用锐捷 802.1x 客户端 软件) RADIUS 服务器 1 台(支持标准 RADIUS 协议的 RADIUS 服务器,本例中使用第三 73 网络安全实验教程 方 RADIUS 服务器软件 WinRadius,在实际应用环境中,推荐使用锐捷 S

3、AM 系统作为 RADIUS 服务器,以支持更多的高级及扩展应用) 【预备知识】【预备知识】 交换机转发原理 交换机基本配置 802.1x 原理 【实验原理】【实验原理】 802.1x 协议是一种基于端口的网络接入控制(Port Based Network Access Control) 协议。 “基于端口的网络接入控制”是指在局域网接入设备的端口级别对所接入的设备进行 认证和控制。如果连接到端口上的设备能够通过认证,则端口就被开放,终端设备就被允许 访问局域网中的资源;如果连接到端口上的设备不能通过认证,则端口就相当于被关闭,使 终端设备无法访问局域网中的资源。 【实验步骤】【实验步骤】 第

4、一步:交换机基本配置(拓扑中所有设备都属于第一步:交换机基本配置(拓扑中所有设备都属于 VLAN 2 中)中) 接入层交换机 SW1 基本配置: SW1#configure SW1(config)#vlan 2 SW1(config-vlan)#exit SW1(config)#interface fastEthernet 0/1 SW1(config-if)#switchport access vlan 2 SW1(config-if)#exit SW1(config)#interface fastEthernet 0/24 SW1(config-if)#switchport mode tr

5、unk SW1(config-if)#end SW1# 分布层交换机 SW2 基本配置: SW2#configure SW2(config)#vlan 2 SW2(config-vlan)#exit SW2(config)#interface fastEthernet 0/1 SW2(config-if)#switchport access vlan 2 SW2(config-if)#exit SW2(config)#interface fastEthernet 0/2 SW2(config-if)#switchport access vlan 2 SW2(config-if)#exit SW

6、2(config)#interface fastEthernet 0/24 SW2(config-if)#switchport mode trunk SW2(config-if)#end SW2# 74 第一章 网络基础设施安全实验 第二步:验证网络连通性第二步:验证网络连通性 按照拓扑配置 PC1、PC2、RADIUS 服务器的 IP 地址,在 PC1 上 ping PC2 的地址, 验证 PC1 与 PC2 的网络连通性,可以 ping 通: 第三步:配置分布层交换机第三步:配置分布层交换机 SW2 802.1x 认证认证 SW2#configure SW2(config)#aaa new

7、-model SW2(config)#aaa authentication dot1x ruijie group radius SW2(config)#dot1x authentication ruijie SW2(config)#interface vlan 2 SW2(config-if)#ip address 192.168.1.200 255.255.255.0 SW2(config-if)#exit SW2(config)#radius-server host 192.168.1.254 SW2(config)#radius-server key 12345 !此处配置的密钥要与 R

8、ADIUS 服务器上配置的一致 SW2(config)#interface fastEthernet 0/24 SW2(config-if)#dot1x port-control auto !启用 F0/24 端口的 802.1x 认证 SW2(config-if)#end SW2# 第四步:验证测试第四步:验证测试 此时用 PC1 ping PC2 的地址: 75 网络安全实验教程 由于 SW2 的 F0/24 端口启用了 802.1x 认证,在 PC1 没有认证的情况下,无法与 PC2 通信。 第五步:配置第五步:配置 RADIUS 服务器服务器 运行 WinRadius 服务器,并添加帐

9、户信息: 设置帐户信息,用户名为 test,密码为 testpass: 76 第一章 网络基础设施安全实验 设置 RADIUS 服务器系统属性: 设置 RADIUS 服务器的密钥,要与交换机上配置的秘钥保持一致;验证端口号和计费 端口号都保持默认的标准端口号,如果设置其他的端口号,也需要在交换机上的 RADIUS 服务器配置中进行相应配置: 77 网络安全实验教程 第六步:启用第六步:启用 802.1x 客户端进行验证客户端进行验证 在 PC1 上启动锐捷 802.1x 客户端,输入用户名(test)和密码(testpass) ,单击“连 接”按钮进行认证: 由于在分布层交换机 SW2 没有配

10、置 EAPoL 报文可以携带 Tag,所以验证会失败: 第七步:配置分布层交换机第七步:配置分布层交换机 EAPoL 报文携带报文携带 VLAN Tag 选项选项 SW2#configure 78 第一章 网络基础设施安全实验 SW2(config)#dot1x eapol-tag SW2(config)#end SW2# 第八步:重新认证第八步:重新认证 此时客户端可以成功进行认证。认证成功后,在 Windows 右下角的状态栏中显示认证 成功: 下图为在 PC1 上捕获的 802.1x 认证过程(EAP-MD5 认证方式)的报文: 第九步:验证测试第九步:验证测试 在 PC1 上 ping

11、 PC2 的 IP 地址,由于通过了 802.1x 认证,SW2 的 F0/24 端口被“打 开” ,PC1 与 PC2 可以 ping 通: 查看交换机的 802.1x 认证状态,可以看到 PC1 已通过认证: SW2#show dot1x summary ID MAC Interface VLAN Auth-State Backend-State Port-Status User-Type - - - - - - - - 79 网络安全实验教程 7 0015.f2dc.96a4 Fa0/24 1 Authenticated Idle Authed static Switch#show do

12、t1x user id 7 User name: test User id: 7 Type: static Mac address is 0015.f2dc.96a4 Vlan id is 1 Access from port Fa0/24 Time online: 0days 0h 0m10s User ip address is 192.168.1.1 Max user number on this port is 6000 Start accounting Permit proxy user Permit dial user IP privilege is 0 第十步:注销第十步:注销

13、802.1x 认证认证 单击“断开连接” ,注销 802.1x 认证。下图为在 PC1 上捕获的 802.1x 注销过程的报文: 【注意事项】【注意事项】 在认证过程中,需要保证交换机与 RADIUS 服务器之间可达。 【参考配置】【参考配置】 SW1#show running-config Building configuration. Current configuration : 1184 bytes ! hostname SW1 80 第一章 网络基础设施安全实验 ! ! ! vlan 1 ! vlan 2 ! ! ! ! ! ! ! ! ! ! ! interface FastEth

14、ernet 0/1 switchport access vlan 2 ! interface FastEthernet 0/2 ! interface FastEthernet 0/3 ! interface FastEthernet 0/4 ! interface FastEthernet 0/5 ! interface FastEthernet 0/6 ! interface FastEthernet 0/7 ! interface FastEthernet 0/8 ! interface FastEthernet 0/9 ! interface FastEthernet 0/10 ! i

15、nterface FastEthernet 0/11 ! interface FastEthernet 0/12 ! interface FastEthernet 0/13 ! 81 网络安全实验教程 interface FastEthernet 0/14 ! interface FastEthernet 0/15 ! interface FastEthernet 0/16 ! interface FastEthernet 0/17 ! interface FastEthernet 0/18 ! interface FastEthernet 0/19 ! interface FastEther

16、net 0/20 ! interface FastEthernet 0/21 ! interface FastEthernet 0/22 ! interface FastEthernet 0/23 ! interface FastEthernet 0/24 switchport mode trunk ! interface GigabitEthernet 0/25 ! interface GigabitEthernet 0/26 ! interface GigabitEthernet 0/27 ! interface GigabitEthernet 0/28 ! ! ! ! ! line con 0 line vty 0 4 login ! ! End 82 第一章 网络基础设施安全实验 SW2#show running-config Building con

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号