在大型企業中爲了加強網絡安全管理,需要對局域網接入設備的端口對所接入的用戶設備進行認證和控制,連接在端口上的用戶設備如果能通過認證,就可以訪問局域網中的資源;如果不能通過認證,則無法訪問局域網中的資源。要實現這種網絡安全管理的要求,需要用到802.1x協議,如何設置呢?下面我們一起來看一個案例。
組網需求:
1)要求在各端口上對接入用戶進行認證,以控制其訪問Internet;接入控制方式要求是基於MAC地址的接入控制。
2)所有接入用戶都屬於一個缺省的域:aabbcc.net,該域最多可容納30個用戶;認證時,先進行RADIUS認證,如果RADIUS服務器沒有響應再轉而進行本地認證;計費時,如果RADIUS計費失敗則切斷用戶連接使其下線。
3)由兩臺RADIUS服務器組成的服務器組與交換機相連,其IP地址分別爲10.1.1.1和10.1.1.2,要求使用前者作爲主認證/備份計費服務器,使用後者作爲備份認證/主計費服務器。
4)設置系統與認證RADIUS服務器交互報文時的共享密鑰爲net1980、與計費RADIUS服務器交互報文時的共享密鑰爲network。
5)設置系統在向RADIUS服務器發送報文後5秒種內如果沒有得到響應就向其重新發送報文,發送報文的次數總共爲5次,設置系統每15分鐘就向RADIUS服務器發送一次實時計費報文。
6)設置系統從用戶名中去除用戶域名後再將之傳給RADIUS服務器。
7)本地802.1x接入用戶的用戶名爲localuser,密碼爲localpass,使用明文輸入;閒置切斷功能處於打開狀態,正常連接時用戶空閒時間超過20分鐘,則切斷其連接。
網絡拓撲圖:
