ACS动态VLAN.doc

学员的成功，就是我们的成功！咨询电话83690317ACS+802.1X+DHCP实现动态VLAN一直以来，我以为80%的工程师在划分VLAN的时候都使用基于端口的方式，至少我是这样，如果有客户要基于动态VLAN，那么我们在早期只能使用基于COS的操作系统建立VMPS服务器来做，可今天不需要用那么复杂的过程和繁琐的步骤就可以轻松实现了动态VLAN了，它就是采用ACS+802.1X+DHCP来实现，下面是我做的一点小小的步骤，愿对您有所帮助。这里安装ACS就略了，直接步入正题吧，如下图所示：一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。 1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。 2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道） 3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。 二、802.1X的认证体系分为三部分结构： Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统 Authentication Server System，认证服务器 三、认证过程 1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等； 3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只有认证通过后才有DHCP等过程。 4、Supplicant System- Client（客户端）是需要接入LAN，及享受c3560提供服务的设备（如PC机），客户端需要支持EAPOL协议，客户端必须运行802.1X客户端软件，如：802.1X-complain、Windows XP等和802.1x相关的ACS主要配置内容： 5、Cisco文档说ACS 3.0之前是不支持802.1x的。因为802.1x使用radius进行认证，所以在选用认证协议时我选用的是RADIUS(IETF)，而缺省是Cisco的TACACS+。 在Interface Configuration中对RADIUS(IETF)进行配置，在组用户属性中选中64Tunnel-Type、65 Tunnel-Medium-Type、81Tunnel-Private-Group-ID 四：配置1、 ACS:点击“network configuration”添加一个AAA客户端输入AAA客户端的名称和地址，AAA客户端的KEY，选择所使用的认证协议为RADIUS(IETF)点击“submit +restart”立即生效点击“Interface Configuration”点击“Radius(IETF)”选择“64”“65”“81”点击“Submit”.添加一个新用户。点击“User Setup”输入用户名点击“Add/Edit”设置用户的密码并将用户添加到相应的组中，点击“Submit”单击“Group Setup”，选择相应的组，单击“Edit Settings”在“Group Setup”中设置64、65、81选项，设置参数如图所示，其中81选项设置该用户对应的VLAN ID，这里我对应的是VLAN2，完成后，单击“Submit+Restart”2、 交换机配置(DHCP 这里就省略了，这里只列出主要的配置)：c3560(config)# interface vlan 1c3560(config-if)# ip address 192.168.20.55c3560(config-if)# no shutdownc3560(config)# interface vlan 2c3560(config-if)# ip address 172.168.20.1c3560(config-if)# no shutdownc3560(config)# interface vlan 3c3560(config-if)# ip address 192.168.10.1c3560(config-if)# no shutdownc3560(config)# aaa new-modelc3560(config)# aaa authentication login default nonec3560(config)# aaa authentication dot1x default group radiusc3560(config)# aaa authorization network default group radiusc3560(config)# radius-server host 192.168.20.171 key loveciscoc3560(config)# radius-server vsa sendc3560(config)# dot1x system-controlc3560(config)# interface range fa0/1 4c3560(config-if-range)# switchport mode accessc3560(config-if-range)# spanning-tree portfastc3560(config-if-range)# dot1x port-control auto3、 路由上的配置路由上就