目录
一、所需软件
WinRaius用来做radius服务器,从网上到处都能搜到,找不到给我留言。
iNode_PC_7.3_E0630.zip可以从华三官网上下载,最新版也可以使用;这个软件需要安装并定制客户端,不建议从网上直接下载inode客户端,因为网上下载的,在发送EAP报文的时候会携带版本信息导致认证失败,而官网版本安装方式能将版本信息选项去掉。
二、环境搭建
2.1 环境概述
如上图,CE1作为核心交换机,LSW1作为接入交换机,PC1接入到LSW1上进行802.1X认证成功能后获取IP地址,且能ping通CE1的loopback0接口(模拟公网)。
PC1使用vmware workstation里面的win7;
radius安装在本机;
LSW1桥接到vmware的vnet1;作为DHCP服务器;
CE1桥接到本机的loopback接口;(有关如何添加loopback接口从网上搜索)
使用CE1作为核心交换机是因为用过其他模拟器,认证的时候都出错;
IP地址规划:
设备 | IP地址 | 功能 |
CE1的G1/0/1 | 192.168.11.101/24 | 对接radius服务器 |
radius服务器 | 192.168.11.241/24 | |
lo0 | 9.9.9.9/32 | 模拟互联网 |
CE1的vlan10 | 192.168.10.254/24 | 内网网关 |
LSW1的vlan10 | 192.168.10.253/24 | DHCP服务器 |
2.2 ENSP搭建
为了能跟vmware里面的WIN7通信,这里绑定到VMnet1上;
为了能跟本机通信,这里绑定到loopback1上;(注意,我这里是更改了名字,实际在安装好这个本地环回网卡的时候不是这个名字)
然后连接PC1桥接云和LSW1,连接RADIUS桥接云和CE1;
三、配置步骤
3.1 radius服务器配置
双击运行WinRadius.exe,点击“设置”——“系统”
设置NAS密钥,点击确定。后续在配置交换机的时候,需要密钥相同。
点击“操作”——“添加账号”,添加一个user1用于PC1认证;
3.2 CE1配置
3.2.1 CE1配置接口ip
3.2.2 CE1配置radius认证
添加vlan10
开启dot1x
开启radius
添加一个radius服务器组,名称为rd1;配置radius的共享密钥,对应radius服务器设置的NAS密钥;指定radius认证服务器的ip地址和端口;
配置给radius发送的名称不带域名
进入aaa,添加认证模板名称为rd1;配置认证模式为radius。
在aaa视图下,添加domain isp,并关联认证模板rd1,关联radius服务器组rd1;
在接口G1/0/0下开启dot1x
将isp域设置为默认域
3.3 LSW1配置
添加vlan10
配置透传802.1X协议报文
l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
在接口G0/0/1和G0/0/2上应用透传协议,并划入到vlan10
开启DHCP功能,配置vlanif10
3.4 WIN7配置
配置网卡桥接到VMnet1
3.4.1 安装iNode软件
解压iNode压缩包,看到iNode管理中心,双击该程序。
安装完成后双击桌面上iNode管理中心
选择“客户端定制”,勾选“802.1x”组件,点击完成
填写名称,其余按照图中勾选,然后点击确定。
此时就会生成Client安装包
定制成功后,点击“查找目标”
然后安装该软件
安装完成后需要重启
3.4.2 配置iNo的智能客户端
双击iNode智能客户端
点击“更多”——“属性”
将“上传客户端版本号”前面的勾去掉
四、验证
4.1 802.1x认证
输入用户名和密码,进行认证
认证成功,且拿到了IP地址
在radius服务器上也能看到认证成功信息
4.2 抓包
在PC1侧抓包能看到正常的EAP报文交互
在radius服务器侧抓包能看到radius报文交互
4.3 CE1交换机查看user状态
可以看到有个ID 6的用户
查看该用户的详细信息