基于vlan和DHCP环境下802.1x认证环境配置.doc

基于vlan和DHCP环境下802.1x认证环境配置目录一、需求1二、准备2三、DHCP服务器准备3四、交换机配置4五、配置清单6六、VLAN间访问控制10一、需求在我们的环境中定义这几个VLAN（1）VLAN1：认证服务器使用的网段（192.168.1.0）（2）VLAN2-10:认证客户端连接的交换机端口对应的网段（192.168.2-10.0）（3）VLAN11:认证不通过的客户端自动划分到这个网段（192.168.11.0）（4）VLAN12:全能网段（192.168.12.0）验证并实现以下功能:（1）VLAN2-11这之间是不通的，处于VLAN12的机器可以访问任一VLAN（2-11）段的机器.（2）验证一下上面的网络设计，客户端认证包能不能正常提交到认证服务器（可以用我们的认证服务器，也可以用cisco的认证服务器）。（3）认证成功与失败分别划分到对应的网段。（4）将我们的认证服务器先关闭，使用cisco的认证服务器，还还能实现不同客户端登录被划分到指上的网段（比如:用户A虽然连接的是端口gigabitEthernet0/2端口进行认证，且这个端口配置自动划分到VLAN2上，但是因为此用户的特殊性，我不将它划分到VLAN2,我想让它到VLAN3）。（5）在上面的网络结构下，将DHCP服务安装到认证服务器上，交换机上不开启DHCP服务，在这种情况下客户端还能分配到IP地址。二、准备关于ACS的具体配置，请参考基于802.1X的mac认证配置文档.doc1、 ACS上账户准备：组1：账户：zhihuiguo 123456 Xxxxxxxx xxxxxxxx （mac地址）组2：账户：jirulin 123456进行组设置时，注意：081说明：该组账户认证成功后，划分到哪个vlan，根据实际需求进行设置。2、交换机：端口1：连接认证服务器；端口2：mac认证；端口3：账户认证。3、vlan划分：vlan 1（192.168.1.1）：包含端口1，管理vlan；vlan 2（192.168.2.1）：初始情况下，包括端口2、端口3；vlan 3（192.168.3.1）：组1中的账户认证通过后，划分在该vlan；vlan 4（192.168.4.1）：组2中的账户认证通过后，划分在该vlan；vlan 5（192.168.5.1）：访客vlan，不支持802.1x的客户端划分在此vlan；vlan 6（192.168.6.1）：失败vlan，认证失败后，划分在此vlan。（mac认证不支持失败vlan，可以与访客vlan合并）三、DHCP服务器准备自动分配IP地址、默认网关，其中vlan 5、6不要分配默认网关。说明：访客vlan和失败vlan不配置默认网关，该vlan所在的客户机将不能访问其他vlan下的计算机。四、交换机配置-vlan创建C3550（config）#interface vlan 1 C3550（config-if）#ip address 192.168.1.1 255.255.255.0 /设置管理vlan的IPC3550（config-if）#ip pim dense-mode /vlan支持广播C3550（config-if）#no shutdownC3550（config-if）#exitC3550（config）#C3550（config）#interface vlan 2 C3550（config-if）#ip address 192.168.2.1 255.255.255.0 /设置vlan 2的IPC3550（config-if）#ip helper-address 192.168.1.2 /配置DHCP中继地址C3550（config-if）#ip pim dense-modeC3550（config-if）#no shutdownC3550（config-if）#exitC3550（config）#C3550（config）#interface vlan 3 C3550（config-if）#ip address 192.168.3.1 255.255.255.0C3550（config-if）#ip helper-address 192.168.1.2C3550（config-if）#ip pim dense-modeC3550（config-if）#no shutdownC3550（config-if）#exitC3550（config）#C3550（config）#interface vlan 4 C3550（config-if）#ip address 192.168.4.1 255.255.255.0C3550（config-if）#ip helper-address 192.168.1.2C3550（config-if）#ip pim dense-modeC3550（config-if）#no shutdownC3550（config-if）#exitC3550（config）#C3550（config）#interface vlan 5 C3550（config-if）#ip address 192.168.5.1 255.255.255.0C3550（config-if）#ip helper-address 192.168.1.2C3550（config-if）#ip pim dense-modeC3550（config-if）#no shutdownC3550（config-if）#exitC3550（config）#C3550（config）#interface vlan 6 C3550（config-if）#ip address 192.168.6.1 255.255.255.0C3550（config-if）#ip helper-address 192.168.1.2C3550（config-if）#ip pim dense-modeC3550（config-if）#no shutdownC3550（config-if）#exitC3550（config）#-vlan激活C3550（config）#vlan 2 /进入vlan 2C3550（config-vlan）#no shut /开启vlanC3550（config-vlan）#exitC3550（config）#vlan 3C3550（config-vlan）#no shutC3550（config-vlan）#exitC3550（config）#vlan 4C3550（config-vlan）#no shutC3550（config-vlan）#exitC3550（config）#vlan 5C3550（config-vlan）#no shutC3550（config-vlan）#exitC3550（config）#vlan 6C3550（config-vlan）#no shutC3550（config-vlan）#exit-全局模式配置C3550（config）# ip routing /三层交换机开启三层功能C3550（config）# ip multicast-routing /开启交换机支持广播流量C3550（config）# ip dhcp-server 192.168.1.2 /DHCP服务器所在的IP地址-802.1x全局模式配置C3550（config）# aaa new-model /启用AAA认证模式C3550（config）# aaa authentication dot1x default group radius/配置802.1x的认证数据库C3550（config）# aaa authorization network default group radius /下发属性，vlan模式下需要！C3550（config）# dot1x system-auth-control /全局打开dot1x验证C3550（config）# dot1x guest-vlan supplicant /开启访客vlan的支持C3550（config）# radius-server host 192.168.1.2 auth-port 1812 acct-port 1813 key 123456C3550（config）# radius-server vsa send authentication/配置vlan必须用IETF规定的的vsa值C3550（config）#-配置认证接口2C3550（config）#interface gigabitethernet 0/2C3550（config-if）# switchport access vlan 2 /默认情况下，端口属于vlan2C3550（config-if）# switchport mode accessC3550（config-if）# dot1x mac-auth-bypass /启用mac认证，如果无此命令，就是账户认证，mac认证不支持失败vlanC3550（config-if）# dot1x pae authenticatorC3550（config-if）# dot1x port-control autoC3550（config-if）# dot1x host-mode multi-host /主机模式为多主机，如果ios支持的话，还可以是multi-authC3550（config-if）# dot1x timeout tx-period 1 /无回应时，重新发送认证消息的时间C3550（config-if）# dot1x timeout reauth-period 3600 /重新认证的时间为3600秒C3550（config-if）# dot1x reauthentication /开启端口支持重认证C3550（config-if）# dot1x guest-vlan 5 /指定访客vlan为vlan 5C3550（config-if）# dot1x auth-fail vlan 6 /指定失败vhan为vlan 6，建议与访客vlan是同一个vlanC3550（config-if）# spanning-tree portfastC3550（config-if）#no shutdownC3550（config-if）#exit-配置认证接口3C3550（config）# nterface gigabitethernet 0/3C3550（config-if）# switchport access vlan 2C3550（config-if）# switchport mode accessC3550（config-if）# dot1x pae authenticatorC3550（config-if）# dot1x port-control autoC3550（config-if）# dot1x host-mode multi-hostC3550（config-if）# dot1x timeout tx-period 1C3550（config-if）# dot1x timeout reauth-period 3600C3550（config-if）# dot1x reauthenticationC3550（config-if）# dot1x guest-vlan 5C3550（config-if）# dot1x auth-fail vlan 6C3550（config-if）# spanning-tree portfastC3550（config-if）#no shutdownC3550（config-if）#exit-保存配置文件C3550（config）#exitC3550# write五、配置清单Switch#show runBuilding configuration.Current configuration : 2769 bytes!version 12.2no service padservice timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname Switch!aaa new-model!aaa authentication dot1x default group radiusaaa authorization network default group radius!aaa session-id commonip subnet-zeroip routing!ip multicast-routingip dhcp-server 192.168.1.2!dot1x system-auth-controldot1x guest-vlan supplicant!spanning-tree mode pvstspanning-tree extend system-id!vlan internal allocation policy ascending!interface GigabitEthernet0/1 switchport mode dynamic desirable!interface GigabitEthernet0/2 switchport access vlan 2 switchport mode access dot1x mac-auth-bypass dot1x pae authenticator dot1x port-control auto dot1x host-mode multi-host dot1x timeout tx-period 1 dot1x timeout reauth-period 3600 dot1x reauthentication dot1x guest-vlan 5 dot1x auth-fail vlan 6 spanning-tree portfast!interface GigabitEthernet0/3 switchport access vlan 2 switchport mode access dot1x pae authenticator dot1x port-control auto dot1x host-mode multi-host dot1x timeout tx-period 1 dot1x timeout reauth-period 3600 dot1x reauthentication dot1x guest-vlan 5 dot1x auth-fail vlan 6 spanning-tree portfast!interface GigabitEthernet0/4 switchport mode dynamic desirable!interface GigabitEthernet0/5 switchport mode dynamic desirable!interface GigabitEthernet0/6 switchport mode dynamic desirable!interface GigabitEthernet0/7 switchport mode dynamic desirable!interface GigabitEthernet0/8 switchport mode dynamic desirable!interface GigabitEthernet0/9 switchport access vlan 100 switchport mode access!interface GigabitEthernet0/10 switchport access vlan 200 switchport mode access!interface GigabitEthernet0/11 switchport mode dynamic desirable!interface GigabitEthernet0/12 switchport mode dynamic desirable!interface Vlan1 ip address 192.168.1.1 255.255.255.0 ip pim dense-mode!interface Vlan2 ip address 192.168.2.1 255.255.255.0 ip helper-address 192.168.1.2 ip pim dense-mode!interface Vlan3 ip address 192.168.3.1 255.255.255.0 ip helper-address 192.168.1.2 ip pim dense-mode!interface Vlan4 ip address 192.168.4.1 255.255.255.0 ip helper-address 192.168.1.2 ip pim dense-mode!interface Vlan5 ip address 192.168.5.1 255.255.255.0 ip helper-address 192.168.1.2 ip pim dense-mode!interface Vlan6 ip address 192.168.6.1 255.255.255.0 ip helper-address 192.168.1.2 ip