設備環境:Cisco Catalyst 3550-24-EMI(IOS:12.1(14)EA1 EMI),Cisco Secure ACS v3.1
1、和802.1x相關的交換機主要配置內容:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---假如只是做802.1x認證,則aaa authorization network這句可不要,如要做VLAN分配或per-user ACL,則必須做network authorization
dot1x system-auth-control
!---注重在12.1(14)EA1版以后802.1x的配置有了修改,此句enable 802.1x
interface FastEthernet0/1
description To Server_Farm
switchport mode access
dot1x port-control auto
dot1x max-req 3
spanning-tree portfast
!---dot1x port-control auto句在F0/1上enable dot1x,另外注重在F0/1口下我并沒有給它賦VLAN
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_string
radius-server vsa send authentication
!---radius-server host 1.2.3.4句定義radius server信息,并給出驗證字串
!---因為要配置VLAN分配必須使用IETF所規定的VSA(Vendor-specific attributes)值,radius-server vsa send authentication句答應交換機識別和使用這些VSA值。
配置802.1x動態分配VLAN所用到的VSA值規定如下:
[64] Tunnel-Type = VLAN
[65] Tunnel-Medium-Type = 802
[81] Tunnel-PRivate-Group-ID = VLAN name or VLAN ID
2、和802.1x相關的ACS主要配置內容:
這個配置要看圖了,另外附帶說一點,Cisco文檔說ACS 3.0之前是不支持802.1x的。因為802.1x使用radius進行認證,所以在選用認證協議時我選用的是RADIUS(IETF),而缺省是Cisco的TACACS+。
在Interface Configuration中對RADIUS(IETF)進行配置,在組用戶屬性中選中[64]Tunnel-Type、[65] Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID(見下圖)。
在Group Setup中對RADIUS Vendor-Specific Attributes值進行編輯:勾選[64]Tunnel-Type,將tag 1的值選為VLAN;勾選[65] Tunnel-Medium-Type,將tag 1的值選為802;勾選[81]Tunnel-Private-Group-ID,將tag 1的值設為7,表明為VLAN 。設置完后,Submit+Rest。
3、工作站端的設置:
WINXP本身內置對802.1x的支持,微軟在前不久出了一個補丁可以讓WIN2K也支持802.1x,需要注重的是WIN2K SP4已經內置了對802.1x的支持,SP3以下可使用此補丁:
http://support.microsoft.com/default.aspx?scid=kb;en-us;313664
安裝完此補丁后,802.1x默認是不啟動的,可在服務中手動打開Wireless Configuration服務,打開此服務后,在網卡連接屬性中會多出一欄Authenticatioin,在此欄中勾選Enable network access control using IEEE 802.1x,同時在EAP type中選中md5-Challenge。
4、測試:
在所有設置完成后,可以觀察到802.1x enable的F0/1口上狀態燈顯示為黃燈,而在工作站端過一會后會彈出一個認證窗口,在用戶名/口令處填入ACS中定義好的用戶名/口令,域名處不填,同時觀察WIN2K systray處的連接圖標,上面會有和認證服務器聯系及認證用戶的浮動提示,同時F0/1的狀態燈也會順利變為綠燈。
認證通過后檢驗VLAN值是否已正確分配:先ping VLAN7的網關地址,通;再ping其它VLAN的網關地址,通;最后看可否上Internet,通。
ACS Interface Configuration設置圖例見下圖。
注:
1、ip 可以由3550 來作dhcp server ,顯示802。1x 激活端口,然后用dhcp 分ip,至于mac地址再綁定,這里沒有必要了,有了802。1x 就不用vmps拉, 802。1x可以根據用戶名來分vlan。
2、接注1問題,我是想確定每臺電腦的IP地址。例如現在用的6509,假如直接用它做DHCP ,那么端口激活得到VLAN TAG后,分配的IP地址我想固定死。因為我們針對防火墻日志自己開發了一個分析軟件是基于IP地址的。這種情況下我想固定分配給客戶端IP。但是客戶端電腦又要從DHCP中得到固定IP.
新聞熱點
疑難解答
