Cisco 3550+Windows ias组成基于MAC的动态VLAN
2017-01-09 22:48:36
证券营业部搬迁,营业部和分公司共用一个机房,一套设备,电脑部管理人员想结束以前一旦有任何改变就要去机房跳线,结果整个机房的跳线乱七八糟的情况,又想根据每个部分的需要划分VLAN 控制权限。想了一会儿基于MAC的VLAN符合需要。最开始打算做VMPS,so easy 但是感觉不怎么好,更复杂的需求做不了,以后如果需要更换为基于用户名的就太麻烦了。所以决定使用 IAS 做基于MAC的动态VLAN
客户现有的设备不能下架给我做测试,只能使用淘汰下来的老设备了。
如可可行。配上虚拟机那感觉不要太美妙。
Vlanid
Ip 网段
网关
DHCP
Vlan5(访客)
192.168.5.x /24
192.168.5.1
192.168.100.100
Vlan10(客户)
192.168.10.x /24
192.168.10.1
192.168.100.100
Vlan20(员工)
192.168.10.x /24
192.168.20.1
192.168.100.100
Vlan30(分公司)
192.168.30.x /24
192.168.30.1
192.168.100.100
Vlan40(广域网)
手工固定
Vlan50(CRM)
手工固定
Vlan100(管理)
192.168.100.x /24
192.168.100.1
192.168.100.100
3550配置
1、准备 看下IOS版本 建议升级到ipserver 最新版本c3550-ipservicesk9-mz.122-44.SE6.bin
C3550(config)#interface vlan 10
C3550(config-if)#ip address 192.168.10.1 255.255.255.0 //设置vlan10的IP
C3550(config-if)#ip helper-address 192.168.100.100 //配置DHCP中继地址
C3550(config-if)#ip pim dense-mode //vlan支持广播
C3550(config-if)#no shutdown
C3550(config-if)#exit
C3550(config)#interface vlan 20
C3550(config-if)#ip address 192.168.20.1 255.255.255.0
C3550(config-if)#ip helper-address 192.168.100.100
C3550(config-if)#ip pim dense-mode
C3550(config-if)#no shutdown
C3550(config-if)#exit
C3550(config)#interface vlan 30
C3550(config-if)#ip address 192.168.30.1 255.255.255.0
C3550(config-if)#ip helper-address 192.168.100.100
C3550(config-if)#ip pim dense-mode
C3550(config-if)#no shutdown
C3550(config-if)#exit
C3550(config)#interface vlan 40
C3550(config-if)#ip pim dense-mode
C3550(config-if)#no shutdown
C3550(config-if)#exit
C3550(config)#interface vlan 50
C3550(config-if)#ip pim dense-mode
C3550(config-if)#no shutdown
C3550(config-if)#exit
C3550(config)#interface vlan 100
C3550(config-if)#ip address 192.168.100.1 255.255.255.0
C3550(config-if)#ip pim dense-mode
C3550(config-if)#no shutdown
C3550(config-if)#exit
C3550(config)#interface vlan 5
C3550(config-if)#ip address 192.168.5.1 255.255.255.0
C3550(config-if)#ip helper-address 192.168.100.100
C3550(config-if)#ip pim dense-mode
C3550(config-if)#no shutdown
C3550(config-if)#exit
----------------------------------------------------------------vlan激活
C3550(config)#vlan 10 //进入vlan 2
C3550(config-vlan)#no shut //开启vlan
C3550(config-vlan)#exit
C3550(config)#vlan 20
C3550(config-vlan)#no shut
C3550(config-vlan)#exit
C3550(config)#vlan 30
C3550(config-vlan)#no shut
C3550(config-vlan)#exit
C3550(config)#vlan 40
C3550(config-vlan)#no shut
C3550(config-vlan)#exit
C3550(config)#vlan 50
C3550(config-vlan)#no shut
C3550(config-vlan)#exit
C3550(config)#vlan 100
C3550(config-vlan)#no shut
C3550(config-vlan)#exit
C3550(config)#vlan 5
C3550(config-vlan)#no shut
C3550(config-vlan)#exit
----------------------------------------------------------------全局模式配置
C3550(config)# ip routing //三层交换机开启三层功能
C3550(config)# ip multicast-routing //开启交换机支持广播流量
C3550(config)# ip dhcp-server 192.168.100.100 //DHCP服务器所在的IP地址
------------------------------------------------------802.1x全局模式配置
C3550(config)# aaa new-model //启用AAA认证模式
C3550(config)# aaa authentication dot1x default group radius//配置802.1x的认证数据库
C3550(config)# aaa authorization network default group radius //下发属性,vlan模式下需要!
C3550(config)# dot1x system-auth-control //全局打开dot1x验证
C3550(config)# dot1x guest-vlan supplicant //开启访客vlan的支持
C3550(config)# radius-server host 192.168.100.100 auth-port 1812 acct-port 1813 key 12345
C3550(config)# radius-server vsa send authentication//配置vlan必须用IETF规定的的vsa值
C3550(config)#
---------------------------------------------------------------配置认证接口C3550(config)#interface range f0/12 - 20
C3550(config-if)# switchport mode access
C3550(config-if)# dot1x mac-auth-bypass //启用mac认证,如果无此命令,就是账户
认证,mac认证不支持失败vlan
C3550(config-if)# dot1x pae authenticator
C3550(config-if)# dot1x port-control auto
C3550(config-if)# dot1x host-mode multi-host //主机模式为多主机,如果ios支持的话,还可以是multi-auth
C3550(config-if)# dot1x timeout tx-period 3 //无回应时,重新发送认证消息的时间
C3550(config-if)# dot1x timeout reauth-period 3600 //重新认证的时间为3600秒
C3550(config-if)# dot1x reauthentication //开启端口支持重认证
C3550(config-if)# dot1x guest-vlan 5 //指定访客vlan为vlan 5
C3550(config-if)# dot1x auth-fail vlan 5 //指定失败vhan为vlan 6,建
议与访客vlan是同一个vlan
C3550(config-if)# spanning-tree portfast
C3550(config-if)#no shutdown
C3550(config-if)#exit
-----------------------------------------------------------------保存配置文件
C3550(config)#do wr
VLAN 2-VLAN 50 不能互访,VLAN100可以访问所有网络
------------------------------------------------------------------------------------------------------建立访问控制列表
Switch(config)#access-list 5 deny 192.168.10.0 0.0.0.255 //禁止访问vlan10,20,30,40,50
Switch(config)#access-list 5 deny 192.168.20.0 0.0.0.255
Switch(config)#access-list 5 deny 192.168.30.0 0.0.0.255
Switch(config)#access-list 5 permit any
--------------------------------------------------------------------------------------将访问控制列表应用到vlan上
Switch(config)#int vlan 5
Switch(config-if)#ip access-group 5 out
------------------------------------------------------------------------------------------------------
Switch(config)#access-list 10 deny 192.168.5.0 0.0.0.255
Switch(config)#access-list 10 deny 192.168.20.0 0.0.0.255
Switch(config)#access-list 10 deny 192.168.30.0 0.0.0.255
Switch(config)#access-list 10 permit any
Switch(config)#int vlan 10
Switch(config-if)#ip access-group 10 out
------------------------------------------------------------------------------------------------------
Switch(config)#access-list 20 deny 192.168.5.0 0.0.0.255
Switch(config)#access-list 20 deny 192.168.10.0 0.0.0.255
Switch(config)#access-list 20 deny 192.168.30.0 0.0.0.255
Switch(config)#access-list 20 permit any
Switch(config)#int vlan 20
Switch(config-if)#ip access-group 20 out
------------------------------------------------------------------------------------------------------
Switch(config)#access-list 30 deny 192.168.5.0 0.0.0.255
Switch(config)#access-list 30 deny 192.168.10.0 0.0.0.255
Switch(config)#access-list 30 deny 192.168.20.0 0.0.0.255
Switch(config)#access-list 30 permit any
Switch(config)#int vlan 30
Switch(config-if)#ip access-group 30 out
Windows 2003 建立两个6个用户在 分别为vlan 10,20,30,40,50,100
我这个是在域环境中,也可以不用域
新建一个用户
按照这个方法添加所有的PC机
控制面板----->添加删除程序------>添加删除windows组件------->网络服务
选 DHCP 和 internet验证服务
删除以前的访问策略,自己添加一个以VLAN10为列
立即查找----->vlan10------->确定
基于MAC的认证要选PAP
在编辑拨号策略高级选项中,添加
064(Tunnel-Type) 值=VLAN,
065(Tunnel-Medium-Type) 值=802
081(Tunnel-Private-Group-ID) 值=10 (VLANid)
验证 IAS 授权通过
事件类型: 信息
事件来源: IAS
事件种类: 无
事件 ID: 1
日期: 2017-1-9
事件: 19:35:32
用户: N/A
计算机: QIU-8C15E0B41A5
描述:
用户 dc4a3e5242ed 被授予了访问权。
Fully-Qualified-User-Name = dongwu/vlan10/dc4a3e5242ed
NAS-IP-Address = 192.168.100.1
NAS-Identifier = <不存在>
Client-Friendly-Name = zhu
Client-IP-Address = 192.168.100.1
Calling-Station-Identifier = DC-4A-3E-52-42-ED
NAS-Port-Type = Ethernet
NAS-Port = 50013
Proxy-Policy-Name = 对所有用户使用
Authentication-Provider = Windows
Authentication-Server = <未确定>
Policy-Name = vlan10
Authentication-Type = PAP
EAP-Type = <未确定>
有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
数据:
0000: 00 00 00 00 …
评论(1)
- 郭民 :技术帝