華爲802.1x客戶端驗證實現客戶機安全通信,並且能夠從DHCP服務器上獲取ip。
實驗環境:防火牆(型號:H3C F100-C)、交換機(華爲S2000)、windows server 2003 操作系統(充當dhcp服務器,和華爲802.1x 客戶端)
一個交換式網絡:有多個vlan,爲了讓vlan間能夠通信,我們還有一臺三層設備,爲了讓用戶能夠動態的獲取ip地址,在server服務器vlan上有一臺dhcp服務器,同時爲了實現安全的接入,我們在交換機的各vlan接口上設置dot1x驗證,無論你是哪一個vlan,必須通過驗證才能獲得ip地址,所以我們在server服務器vlan中建設一個AAA服務器。
下面我們來做一下簡單規劃:(爲了節省資源,我們把AAA服務器和dhcp服務器建在一臺服務器上)
這個圖是我以前的一個圖只是DHCP服務器的ip修改成192.168.30.200就行了。
1>我們先在虛擬機下打開windows server2003 服務器上配置AAA、DHCP服務器。
1>找到管理你的服務器:-->添加或刪除程序-->找到網絡服務,勾選如下:
按下確認,並安裝。
接下來配置AAA和DHCP服務器:
域名爲tec技術部在vlan10下:
再繼續配置dhcp服務器,mkt 市場部的vlan20:
就建這兩個作用域,就可以了。
配置AAA服務器
設置我們的交換機爲vlan1 ip:192.168.2.10 在單臂路由上配置e0/0配置的ip就是vlan1的網關:192.168.2.1
2>開始配置AAA服務器:ip地址應該爲192.168.2.10
這是客戶機(即交換機)域AAA服務器互相信任的一個密鑰。
配置身份驗證:
再在這個AAA服務器上建個用戶賬號:
在遠程訪問權限選項勾選上允許訪問
這時AAA服務器就配置完成了。
DHCP和AAA服務器都配置完成。
下面配置這個單臂路由:配置信息如下:
<SW1>dis cu
#
sysname SW1
#
dot1x
dot1x authentication-method pap #dot1x驗證方法設置成pap#
#
radius scheme system
radius scheme xxx #爲使用Radius服務器創建授權方式列表xxx#
server-type standard
primary authentication 192.168.30.200
accounting optional #計費方式無設置但必須指明計費方式#
key authentication 123456 #設置驗證密碼爲123456#
user-name-format without-domain
#
domain system
domain zhds #建立作用域域名爲zhds#
scheme radius-scheme xxx #爲使用Radius服務器創建授權方式列表xxx#
access-limit enable 10 #在這裏我們可以限制同時驗證用戶的數量#
accounting optional #計費方式無設置但必須指明計費方式#
#
vlan 1
#
vlan 10
#
vlan 20
#
vlan 30
#
interface Vlan-interface1
ip address 192.168.2.10 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
port access vlan 10 #把10端口劃分到vlan 10#
dot1x #設置爲dot1x驗證#
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20 #把20端口劃分到vlan 20#
port access vlan 20
dot1x #設置爲dot1x驗證#
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
port access vlan 30 #把22端口劃分到vlan 30#
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
port link-type trunk
port trunk permit vlan all #設置24端口爲trunk口,允許所有vlan通過#
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 preference 60 #設置默認路由#
#
user-interface aux 0
user-interface vty 0 4
#
Return
下面是交換機(這裏用的firewall防火牆)
<FW1>dis cu
#
sysname FW1
#
firewall packet-filter enable
firewall packet-filter default permit
#
undo insulate
#
firewall statistic system enable
#
radius scheme system
server-type extended
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
interface Aux0
async mode flow
#
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0 #爲eth0/0配置規劃好的ip#
#
interface Ethernet0/0.10 #設置vlan 10 子接口,並配置其ip#
ip address 192.168.10.1 255.255.255.0
ip relay address 192.168.30.200 #vlan10設置應用DHCP服務器自動分配ip的服務器ip#
dhcp select relay
vlan-type dot1q vid 10
#
interface Ethernet0/0.20
ip address 192.168.20.1 255.255.255.0 #設置vlan 20 子接口,並配置其ip#
ip relay address 192.168.30.200 #vlan20設置應用DHCP服務器自動分配ip的服務器ip#
dhcp select relay
vlan-type dot1q vid 20
#
interface Ethernet0/0.30 #設置vlan 30 子接口,並配置其ip#
ip address 192.168.30.1 255.255.255.0
vlan-type dot1q vid 30
#
interface Ethernet0/4
#
interface Encrypt1/0
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust #防火牆充當路由時只有eth0/0在區域內,必須把這3個子接口加入區域,才能實現通信#
add interface Ethernet0/0
add interface Ethernet0/0.10
add interface Ethernet0/0.20
add interface Ethernet0/0.30
set priority 85
#
firewall zone untrust
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
FTP server enable
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
Return
這樣就配置完成。
接下來是驗證過程,先是用802.1x客戶端登陸: