收藏
下载资源

基于vlan和DHCP环境下802.1x认证环境配置

上传人:xmg****18 文档编号:121235474 上传时间:2020-02-19 格式:DOC 页数:19 大小:270.50KB
返回 下载 相关 举报
基于vlan和DHCP环境下802.1x认证环境配置_第1页
第1页 / 共19页
基于vlan和DHCP环境下802.1x认证环境配置_第2页
第2页 / 共19页
基于vlan和DHCP环境下802.1x认证环境配置_第3页
第3页 / 共19页
基于vlan和DHCP环境下802.1x认证环境配置_第4页
第4页 / 共19页
基于vlan和DHCP环境下802.1x认证环境配置_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《基于vlan和DHCP环境下802.1x认证环境配置》由会员分享,可在线阅读,更多相关《基于vlan和DHCP环境下802.1x认证环境配置(19页珍藏版)》请在金锄头文库上搜索。

1、. . .基于vlan和DHCP环境下802.1x认证环境配置目录一、需求1二、准备2三、DHCP服务器准备3四、交换机配置4五、配置清单6六、VLAN间访问控制10一、需求在我们的环境中定义这几个VLAN(1)VLAN1:认证服务器使用的网段(192.168.1.0)(2)VLAN2-10:认证客户端连接的交换机端口对应的网段(192.168.2-10.0)(3)VLAN11:认证不通过的客户端自动划分到这个网段(192.168.11.0)(4)VLAN12:全能网段(192.168.12.0)验证并实现以下功能:(1)VLAN2-11这之间是不通的,处于VLAN12的机器可以访问任一VLA

2、N(2-11)段的机器.(2)验证一下上面的网络设计,客户端认证包能不能正常提交到认证服务器(可以用我们的认证服务器,也可以用cisco的认证服务器)。(3)认证成功与失败分别划分到对应的网段。(4)将我们的认证服务器先关闭,使用cisco的认证服务器,还还能实现不同客户端登录被划分到指上的网段(比如:用户A虽然连接的是端口gigabitEthernet0/2端口进行认证,且这个端口配置自动划分到VLAN2上,但是因为此用户的特殊性,我不将它划分到VLAN2,我想让它到VLAN3)。(5)在上面的网络结构下,将DHCP服务安装到认证服务器上,交换机上不开启DHCP服务,在这种情况下客户端还能分

3、配到IP地址。二、准备关于ACS的具体配置,请参考基于802.1X的mac认证配置文档.doc1、 ACS上账户准备:组1:账户:zhihuiguo 123456 Xxxxxxxx xxxxxxxx (mac地址)组2:账户:jirulin 123456进行组设置时,注意:081说明:该组账户认证成功后,划分到哪个vlan,根据实际需求进行设置。2、交换机:端口1:连接认证服务器;端口2:mac认证;端口3:账户认证。3、vlan划分:vlan 1(192.168.1.1):包含端口1,管理vlan;vlan 2(192.168.2.1):初始情况下,包括端口2、端口3;vlan 3(192.

4、168.3.1):组1中的账户认证通过后,划分在该vlan;vlan 4(192.168.4.1):组2中的账户认证通过后,划分在该vlan;vlan 5(192.168.5.1):访客vlan,不支持802.1x的客户端划分在此vlan;vlan 6(192.168.6.1):失败vlan,认证失败后,划分在此vlan。(mac认证不支持失败vlan,可以与访客vlan合并)三、DHCP服务器准备自动分配IP地址、默认网关,其中vlan 5、6不要分配默认网关。说明:访客vlan和失败vlan不配置默认网关,该vlan所在的客户机将不能访问其他vlan下的计算机。四、交换机配置-vlan创建

5、C3550(config)#interface vlan 1 C3550(config-if)#ip address 192.168.1.1 255.255.255.0 /设置管理vlan的IPC3550(config-if)#ip pim dense-mode /vlan支持广播C3550(config-if)#no shutdownC3550(config-if)#exitC3550(config)#C3550(config)#interface vlan 2 C3550(config-if)#ip address 192.168.2.1 255.255.255.0 /设置vlan 2的I

6、PC3550(config-if)#ip helper-address 192.168.1.2 /配置DHCP中继地址C3550(config-if)#ip pim dense-modeC3550(config-if)#no shutdownC3550(config-if)#exitC3550(config)#C3550(config)#interface vlan 3 C3550(config-if)#ip address 192.168.3.1 255.255.255.0C3550(config-if)#ip helper-address 192.168.1.2C3550(config-i

7、f)#ip pim dense-modeC3550(config-if)#no shutdownC3550(config-if)#exitC3550(config)#C3550(config)#interface vlan 4 C3550(config-if)#ip address 192.168.4.1 255.255.255.0C3550(config-if)#ip helper-address 192.168.1.2C3550(config-if)#ip pim dense-modeC3550(config-if)#no shutdownC3550(config-if)#exitC355

8、0(config)#C3550(config)#interface vlan 5 C3550(config-if)#ip address 192.168.5.1 255.255.255.0C3550(config-if)#ip helper-address 192.168.1.2C3550(config-if)#ip pim dense-modeC3550(config-if)#no shutdownC3550(config-if)#exitC3550(config)#C3550(config)#interface vlan 6 C3550(config-if)#ip address 192.

9、168.6.1 255.255.255.0C3550(config-if)#ip helper-address 192.168.1.2C3550(config-if)#ip pim dense-modeC3550(config-if)#no shutdownC3550(config-if)#exitC3550(config)#-vlan激活C3550(config)#vlan 2 /进入vlan 2C3550(config-vlan)#no shut /开启vlanC3550(config-vlan)#exitC3550(config)#vlan 3C3550(config-vlan)#no

10、shutC3550(config-vlan)#exitC3550(config)#vlan 4C3550(config-vlan)#no shutC3550(config-vlan)#exitC3550(config)#vlan 5C3550(config-vlan)#no shutC3550(config-vlan)#exitC3550(config)#vlan 6C3550(config-vlan)#no shutC3550(config-vlan)#exit-全局模式配置C3550(config)# ip routing /三层交换机开启三层功能C3550(config)# ip mul

11、ticast-routing /开启交换机支持广播流量C3550(config)# ip dhcp-server 192.168.1.2 /DHCP服务器所在的IP地址-802.1x全局模式配置C3550(config)# aaa new-model /启用AAA认证模式C3550(config)# aaa authentication dot1x default group radius/配置802.1x的认证数据库C3550(config)# aaa authorization network default group radius /下发属性,vlan模式下需要!C3550(confi

12、g)# dot1x system-auth-control /全局打开dot1x验证C3550(config)# dot1x guest-vlan supplicant /开启访客vlan的支持C3550(config)# radius-server host 192.168.1.2 auth-port 1812 acct-port 1813 key 123456C3550(config)# radius-server vsa send authentication/配置vlan必须用IETF规定的的vsa值C3550(config)#-配置认证接口2C3550(config)#interfa

13、ce gigabitethernet 0/2C3550(config-if)# switchport access vlan 2 /默认情况下,端口属于vlan2C3550(config-if)# switchport mode accessC3550(config-if)# dot1x mac-auth-bypass /启用mac认证,如果无此命令,就是账户认证,mac认证不支持失败vlanC3550(config-if)# dot1x pae authenticatorC3550(config-if)# dot1x port-control autoC3550(config-if)# dot1x host-mode multi-host /主机模式为多主机,如果ios支持的话,还可以是multi-authC3550(config-if)# dot1x timeout tx-period 1 /无回应时,重新发送认证消息的时间C3550(config-if)# dot1x timeout reauth-period 3600 /重新认证的时间为3600秒C3

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号