網絡安全（二）----華爲802.1x客戶端驗證實現客戶機安全通信

             華爲802.1x客戶端驗證實現客戶機安全通信，並且能夠從DHCP服務器上獲取ip。

實驗環境：防火牆（型號：H3C F100-C）、交換機（華爲S2000）、windows server 2003 操作系統（充當dhcp服務器，和華爲802.1x 客戶端）

一個交換式網絡：有多個vlan，爲了讓vlan間能夠通信，我們還有一臺三層設備，爲了讓用戶能夠動態的獲取ip地址，在server服務器vlan上有一臺dhcp服務器，同時爲了實現安全的接入，我們在交換機的各vlan接口上設置dot1x驗證，無論你是哪一個vlan，必須通過驗證才能獲得ip地址，所以我們在server服務器vlan中建設一個AAA服務器。

下面我們來做一下簡單規劃：（爲了節省資源，我們把AAA服務器和dhcp服務器建在一臺服務器上）

這個圖是我以前的一個圖只是DHCP服務器的ip修改成192.168.30.200就行了。

1>我們先在虛擬機下打開windows server2003 服務器上配置AAA、DHCP服務器。

1>找到管理你的服務器：-->添加或刪除程序-->找到網絡服務,勾選如下：

按下確認，並安裝。

接下來配置AAA和DHCP服務器：

域名爲tec技術部在vlan10下：

再繼續配置dhcp服務器，mkt 市場部的vlan20：

就建這兩個作用域，就可以了。

配置AAA服務器

設置我們的交換機爲vlan1  ip：192.168.2.10  在單臂路由上配置e0/0配置的ip就是vlan1的網關：192.168.2.1

2>開始配置AAA服務器：ip地址應該爲192.168.2.10

這是客戶機（即交換機）域AAA服務器互相信任的一個密鑰。

配置身份驗證：

再在這個AAA服務器上建個用戶賬號：

在遠程訪問權限選項勾選上允許訪問

這時AAA服務器就配置完成了。

DHCP和AAA服務器都配置完成。

下面配置這個單臂路由：配置信息如下：

<SW1>dis cu

#

sysname SW1

#

dot1x

dot1x authentication-method pap                       #dot1x驗證方法設置成pap#

#

radius scheme system

radius scheme xxx                                                #爲使用Radius服務器創建授權方式列表xxx#

server-type standard

primary authentication 192.168.30.200

accounting optional                                         #計費方式無設置但必須指明計費方式#

key authentication 123456                              #設置驗證密碼爲123456#

user-name-format without-domain

#

domain system

domain zhds                                                    #建立作用域域名爲zhds#

scheme radius-scheme xxx                            #爲使用Radius服務器創建授權方式列表xxx#

access-limit enable 10                                   #在這裏我們可以限制同時驗證用戶的數量#

accounting optional                                     #計費方式無設置但必須指明計費方式#

#

vlan 1

#

vlan 10

#

vlan 20                                  

#

vlan 30

#

interface Vlan-interface1

ip address 192.168.2.10 255.255.255.0

#

interface Aux1/0/0

#

interface Ethernet1/0/1

#

interface Ethernet1/0/2

#

interface Ethernet1/0/3

#

interface Ethernet1/0/4

#

interface Ethernet1/0/5

#

interface Ethernet1/0/6

#

interface Ethernet1/0/7

#

interface Ethernet1/0/8

#                                        

interface Ethernet1/0/9

#

interface Ethernet1/0/10

port access vlan 10                                               #把10端口劃分到vlan 10#

dot1x                                                                    #設置爲dot1x驗證#

#

interface Ethernet1/0/11

#

interface Ethernet1/0/12

#

interface Ethernet1/0/13

#

interface Ethernet1/0/14

#

interface Ethernet1/0/15

#

interface Ethernet1/0/16

#

interface Ethernet1/0/17

#

interface Ethernet1/0/18

#

interface Ethernet1/0/19

#                                        

interface Ethernet1/0/20                                    #把20端口劃分到vlan 20#

port access vlan 20

dot1x                                                                  #設置爲dot1x驗證#

#

interface Ethernet1/0/21

#

interface Ethernet1/0/22

port access vlan 30                                            #把22端口劃分到vlan 30#

#

interface Ethernet1/0/23

#

interface Ethernet1/0/24

port link-type trunk

port trunk permit vlan all                                 #設置24端口爲trunk口，允許所有vlan通過#  

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 192.168.2.1 preference 60                   #設置默認路由#

#

user-interface aux 0

user-interface vty 0 4

#

Return

下面是交換機（這裏用的firewall防火牆）

<FW1>dis cu

#

sysname FW1

#

firewall packet-filter enable

firewall packet-filter default permit

#

undo insulate

#

firewall statistic system enable

#

radius scheme system

server-type extended

#

domain system

#

local-user admin

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal

level 3

service-type ftp

#

interface Aux0

async mode flow

#

interface Ethernet0/0                    

ip address 192.168.2.1 255.255.255.0                          #爲eth0/0配置規劃好的ip#

#

interface Ethernet0/0.10                                            #設置vlan 10 子接口，並配置其ip#

ip address 192.168.10.1 255.255.255.0

ip relay address 192.168.30.200                                 #vlan10設置應用DHCP服務器自動分配ip的服務器ip#

dhcp select relay

vlan-type dot1q vid 10

#

interface Ethernet0/0.20

ip address 192.168.20.1 255.255.255.0                       #設置vlan 20 子接口，並配置其ip#

ip relay address 192.168.30.200                                 #vlan20設置應用DHCP服務器自動分配ip的服務器ip#

dhcp select relay

vlan-type dot1q vid 20

#

interface Ethernet0/0.30                                            #設置vlan 30 子接口，並配置其ip#

ip address 192.168.30.1 255.255.255.0

vlan-type dot1q vid 30

#

interface Ethernet0/4

#

interface Encrypt1/0

#

interface NULL0

#                                        

firewall zone local

set priority 100

#

firewall zone trust         #防火牆充當路由時只有eth0/0在區域內，必須把這3個子接口加入區域，才能實現通信#

add interface Ethernet0/0

add interface Ethernet0/0.10

add interface Ethernet0/0.20

add interface Ethernet0/0.30

set priority 85

#

firewall zone untrust

set priority 5

#

firewall zone DMZ

set priority 50

#

firewall interzone local trust

#

firewall interzone local untrust

#

firewall interzone local DMZ

#

firewall interzone trust untrust

#                                        

firewall interzone trust DMZ

#

firewall interzone DMZ untrust

#

FTP server enable

#

user-interface con 0

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

#

Return

這樣就配置完成。

接下來是驗證過程，先是用802.1x客戶端登陸：