QQ空间迁移_【Cisco_3550+Windows_ias组成基于MAC的动态VLAN】

最新推荐文章于 2024-04-17 07:15:36 发布
最新推荐文章于 2024-04-17 07:15:36 发布
阅读量194 收藏
点赞数
分类专栏: 日常研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feitianyul/article/details/113725317
版权
本文档详细介绍了如何利用Cisco3550交换机和WindowsIAS服务,基于MAC地址创建动态VLAN,以解决证券营业部网络管理问题。配置包括VLAN划分、IP地址分配、DHCP中继、802.1x认证及访问控制列表,以限制不同VLAN间的通信,并提供了一套完整的CLI配置示例。
摘要由CSDN通过智能技术生成

Cisco 3550+Windows ias组成基于MAC的动态VLAN

2017-01-09 22:48:36

证券营业部搬迁,营业部和分公司共用一个机房,一套设备,电脑部管理人员想结束以前一旦有任何改变就要去机房跳线,结果整个机房的跳线乱七八糟的情况,又想根据每个部分的需要划分VLAN 控制权限。想了一会儿基于MAC的VLAN符合需要。最开始打算做VMPS,so easy 但是感觉不怎么好,更复杂的需求做不了,以后如果需要更换为基于用户名的就太麻烦了。所以决定使用 IAS 做基于MAC的动态VLAN

客户现有的设备不能下架给我做测试,只能使用淘汰下来的老设备了。
     如可可行。配上虚拟机那感觉不要太美妙。

Vlanid

Ip 网段

网关

DHCP

Vlan5(访客)

192.168.5.x /24

192.168.5.1

192.168.100.100

Vlan10(客户)

192.168.10.x /24

192.168.10.1

192.168.100.100

Vlan20(员工)

192.168.10.x /24

192.168.20.1

192.168.100.100

Vlan30(分公司)

192.168.30.x /24

192.168.30.1

192.168.100.100

Vlan40(广域网)

手工固定

Vlan50(CRM)

手工固定

Vlan100(管理)

192.168.100.x /24

192.168.100.1

192.168.100.100

3550配置

1、准备 看下IOS版本 建议升级到ipserver 最新版本c3550-ipservicesk9-mz.122-44.SE6.bin

C3550(config)#interface vlan 10

C3550(config-if)#ip address 192.168.10.1 255.255.255.0 //设置vlan10的IP

C3550(config-if)#ip helper-address 192.168.100.100 //配置DHCP中继地址

C3550(config-if)#ip pim dense-mode //vlan支持广播

C3550(config-if)#no shutdown

C3550(config-if)#exit

C3550(config)#interface vlan 20

C3550(config-if)#ip address 192.168.20.1 255.255.255.0

C3550(config-if)#ip helper-address 192.168.100.100

C3550(config-if)#ip pim dense-mode

C3550(config-if)#no shutdown

C3550(config-if)#exit

C3550(config)#interface vlan 30

C3550(config-if)#ip address 192.168.30.1 255.255.255.0

C3550(config-if)#ip helper-address 192.168.100.100

C3550(config-if)#ip pim dense-mode

C3550(config-if)#no shutdown

C3550(config-if)#exit

C3550(config)#interface vlan 40

C3550(config-if)#ip pim dense-mode

C3550(config-if)#no shutdown

C3550(config-if)#exit

C3550(config)#interface vlan 50

C3550(config-if)#ip pim dense-mode

C3550(config-if)#no shutdown

C3550(config-if)#exit

C3550(config)#interface vlan 100

C3550(config-if)#ip address 192.168.100.1 255.255.255.0

C3550(config-if)#ip pim dense-mode

C3550(config-if)#no shutdown

C3550(config-if)#exit

C3550(config)#interface vlan 5

C3550(config-if)#ip address 192.168.5.1 255.255.255.0

C3550(config-if)#ip helper-address 192.168.100.100

C3550(config-if)#ip pim dense-mode

C3550(config-if)#no shutdown

C3550(config-if)#exit

----------------------------------------------------------------vlan激活

C3550(config)#vlan 10 //进入vlan 2

C3550(config-vlan)#no shut //开启vlan

C3550(config-vlan)#exit

C3550(config)#vlan 20

C3550(config-vlan)#no shut

C3550(config-vlan)#exit

C3550(config)#vlan 30

C3550(config-vlan)#no shut

C3550(config-vlan)#exit

C3550(config)#vlan 40

C3550(config-vlan)#no shut

C3550(config-vlan)#exit

C3550(config)#vlan 50

C3550(config-vlan)#no shut

C3550(config-vlan)#exit

C3550(config)#vlan 100

C3550(config-vlan)#no shut

C3550(config-vlan)#exit

C3550(config)#vlan 5

C3550(config-vlan)#no shut

C3550(config-vlan)#exit

----------------------------------------------------------------全局模式配置

C3550(config)# ip routing //三层交换机开启三层功能

C3550(config)# ip multicast-routing //开启交换机支持广播流量

C3550(config)# ip dhcp-server 192.168.100.100 //DHCP服务器所在的IP地址

------------------------------------------------------802.1x全局模式配置

C3550(config)# aaa new-model //启用AAA认证模式

C3550(config)# aaa authentication dot1x default group radius//配置802.1x的认证数据库

C3550(config)# aaa authorization network default group radius //下发属性,vlan模式下需要!

C3550(config)# dot1x system-auth-control //全局打开dot1x验证

C3550(config)# dot1x guest-vlan supplicant //开启访客vlan的支持

C3550(config)# radius-server host 192.168.100.100 auth-port 1812 acct-port 1813 key 12345

C3550(config)# radius-server vsa send authentication//配置vlan必须用IETF规定的的vsa值

C3550(config)#

---------------------------------------------------------------配置认证接口C3550(config)#interface range f0/12 - 20

C3550(config-if)# switchport mode access

C3550(config-if)# dot1x mac-auth-bypass //启用mac认证,如果无此命令,就是账户

认证,mac认证不支持失败vlan

C3550(config-if)# dot1x pae authenticator

C3550(config-if)# dot1x port-control auto

C3550(config-if)# dot1x host-mode multi-host //主机模式为多主机,如果ios支持的话,还可以是multi-auth

C3550(config-if)# dot1x timeout tx-period 3 //无回应时,重新发送认证消息的时间

C3550(config-if)# dot1x timeout reauth-period 3600 //重新认证的时间为3600秒

C3550(config-if)# dot1x reauthentication //开启端口支持重认证

C3550(config-if)# dot1x guest-vlan 5 //指定访客vlan为vlan 5

C3550(config-if)# dot1x auth-fail vlan 5 //指定失败vhan为vlan 6,建

议与访客vlan是同一个vlan

C3550(config-if)# spanning-tree portfast

C3550(config-if)#no shutdown

C3550(config-if)#exit

-----------------------------------------------------------------保存配置文件

C3550(config)#do wr

VLAN 2-VLAN 50 不能互访,VLAN100可以访问所有网络

------------------------------------------------------------------------------------------------------建立访问控制列表

Switch(config)#access-list 5 deny 192.168.10.0 0.0.0.255 //禁止访问vlan10,20,30,40,50

Switch(config)#access-list 5 deny 192.168.20.0 0.0.0.255

Switch(config)#access-list 5 deny 192.168.30.0 0.0.0.255

Switch(config)#access-list 5 permit any

--------------------------------------------------------------------------------------将访问控制列表应用到vlan上

Switch(config)#int vlan 5

Switch(config-if)#ip access-group 5 out

------------------------------------------------------------------------------------------------------

Switch(config)#access-list 10 deny 192.168.5.0 0.0.0.255

Switch(config)#access-list 10 deny 192.168.20.0 0.0.0.255

Switch(config)#access-list 10 deny 192.168.30.0 0.0.0.255

Switch(config)#access-list 10 permit any

Switch(config)#int vlan 10

Switch(config-if)#ip access-group 10 out

------------------------------------------------------------------------------------------------------

Switch(config)#access-list 20 deny 192.168.5.0 0.0.0.255

Switch(config)#access-list 20 deny 192.168.10.0 0.0.0.255

Switch(config)#access-list 20 deny 192.168.30.0 0.0.0.255

Switch(config)#access-list 20 permit any

Switch(config)#int vlan 20

Switch(config-if)#ip access-group 20 out

------------------------------------------------------------------------------------------------------

Switch(config)#access-list 30 deny 192.168.5.0 0.0.0.255

Switch(config)#access-list 30 deny 192.168.10.0 0.0.0.255

Switch(config)#access-list 30 deny 192.168.20.0 0.0.0.255

Switch(config)#access-list 30 permit any

Switch(config)#int vlan 30

Switch(config-if)#ip access-group 30 out

Windows 2003 建立两个6个用户在 分别为vlan 10,20,30,40,50,100

我这个是在域环境中,也可以不用域

新建一个用户

按照这个方法添加所有的PC机

控制面板----->添加删除程序------>添加删除windows组件------->网络服务

选 DHCP 和 internet验证服务

删除以前的访问策略,自己添加一个以VLAN10为列

立即查找----->vlan10------->确定

基于MAC的认证要选PAP

在编辑拨号策略高级选项中,添加

064(Tunnel-Type) 值=VLAN,

065(Tunnel-Medium-Type) 值=802

081(Tunnel-Private-Group-ID) 值=10 (VLANid)

验证 IAS 授权通过

事件类型: 信息

事件来源: IAS

事件种类: 无

事件 ID: 1

日期: 2017-1-9

事件: 19:35:32

用户: N/A

计算机: QIU-8C15E0B41A5

描述:

用户 dc4a3e5242ed 被授予了访问权。

Fully-Qualified-User-Name = dongwu/vlan10/dc4a3e5242ed

NAS-IP-Address = 192.168.100.1

NAS-Identifier = <不存在>

Client-Friendly-Name = zhu

Client-IP-Address = 192.168.100.1

Calling-Station-Identifier = DC-4A-3E-52-42-ED

NAS-Port-Type = Ethernet

NAS-Port = 50013

Proxy-Policy-Name = 对所有用户使用

Authentication-Provider = Windows

Authentication-Server = <未确定>

Policy-Name = vlan10

Authentication-Type = PAP

EAP-Type = <未确定>

有关更多信息,请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

数据:

0000: 00 00 00 00 …

评论(1)

邱天_
关注
专栏目录
锐捷RSR系列路由器_接入路由器交换模块配置_802.1x认证配置
君逍遥o
08-23 1573
RSR10-02E、RSR20-14E/F固化交换端口,没有登陆交换卡这种概念,也无法登陆交换卡。路由/交换的所有配置都在路由器的CLI界面完成。
OpenStack ussuri 私有云平台搭建企业级实战
悦分享
10-12 1746
openstack是一个云操作系统,这个操作系统控制着数据中心中的计算,存储和网络资源。所有这些资源的管理都是通过API来来实现的,并且管理资源都有相应的认证机制。在openstack中有一个叫做dashboard的仪表盘,这个仪表盘通过web界面可以管理这些在DC中的资源。除了能提供IaaS功能外,你还可以使用orchestration,错误管理和服务管理等服务来确保应用的高可用性。
配置基于mac地址的vlan划分示例
12-27
华为hcie示例,已通过。 使用ensp打开即可。 有修改均已在示例中注明。
基于Cisco交换机实现VLAN划分
锦衣
05-13 1841
Cisco交换机基本命令交换机网络层 3层路由器ARP协议分析TRUNKVLAN(Virtual LAN) 虚拟局域网单臂路由路由器-DHCP中继用服务器配置DHCP服务器:ICMP协议三层交换机:三层路由器+二层交换机组合HSRP协议(思科)/VRRP协议 交换机 交换机工作在数据链路层:根据mac地址表转发数据,硬件转发 交换机(Switch)工作原理: 收到一个数据帧后: 首先学习帧中的源mac地址来形成mac地址表 然后检查帧中的目标mac地址,并匹配mac地址表: 如表中有匹配
华为交换机802.1x动态下发vlan配置
weixin_33860147的博客
08-03 3067
一、配置网络设备(华为篇)1、配置核心交换机(华为S7712)sysnameCore-Switch 更改主机名vlan batch 31 32 222 223 批量创建vlanint vlan 32 创建管理vlan 32虚拟接口ip address 172.16.32.254 2...
MAC认证和MAC旁路认证
热门推荐
曹世宏的博客
05-31 1万+
MAC认证原理 MAC认证是什么? MAC认证,是指终端网络接入控制设备自动获取终端的MAC地址,作为接入网络的凭证发到RADIUS服务器进行校验。 MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。 MAC...
三层交换机VLAN技巧应用
三层交换机通过在MAC地址和IP地址之间建立映射关系,实现数据包的快速转发。它能够基于目标IP地址进行路由决策,使得不同子网的主机能够互相通信。 ## 1.3 VLAN在三层交换机中的重要性 VLAN(Virtual Local Area ...
基于YANG模型传送SDN北向开放API的报告
JZ(Bao哥)的Galaxy
12-30 9631
基于YANG模型传送SDN北向开放API的定义,开源平台架构及可编程技术研究报告 北京邮电大学 信息光子学与光通信国家重点实验室 2015.3 目录 1. SDN被向接口 2 REST API 2 1.2 RESTful 4 1.3 SDN北向接口发展现状与趋势 4 2.开源实现的SDN北向接口&YANG 5 2.1 YANG 5 2.2 OpenDaylight 6
CNCF 云原生容器生态系统概要_secure images,2024年最新整理了3家面试问题:美团+字节+腾讯
最新发布
04-17 996
大部分公司做的事情都大同小异,因为最终的需求是一样的:让应用的开发、部署、扩展、升级、运维更轻松,用户无需关心基础架构,只需要考虑如何去实现业务逻辑就行,主要的区别在于侧重点,有些侧重私有的数据中心部署和管理,有的侧重 docker 容器的管理,有的测试 kubernetes 等容器集群的维护,有的提供应用平台,有的和公有云平台深度集成……因为容器存活时间很短的特点,容器的状态(存储的数据)必须独立于容器的生命周期,也因为此,容器的存储变得非常重要,因为集群的容器是不断变化的,IP 地址也是不稳定的。
CCIE重认证350-401
stqer的博客
01-04 2253
traffic policing: causes TCP retransmissions when traffic is dropped导致TCP重传时流量下降 introduces no delay and jitter引入无延迟和抖动 drops excessive traffic减少过多的流量 traffic shaping: buffers excessive traffic缓冲过多的流量 introduces delay and jitter引入延迟和抖动 applied on traffic t
利用802.1X动态VLAN和radius技术组网测试方案
03-02
IEEE 802.1X标准认证协议和动态VLAN的引入,在以太网交换机端口实现对用户认证、授权,,以其实现技术简单、灵活成为企业局域网的首选。利用 802.1X和RADIUS认证服务器的授权控制,根据用户不同动态分配交换机端口VLAN属性实现较灵活的控制,实现了一定范围内的移动办公需求
锐捷网络极简X SDN——策略随行方案部署指导:方案介绍、原理
君逍遥o
12-19 1119
1、极简X中针对1X/WEB/MAB的认证流程以及报文交互没有任何改变或者不同,SAM也没有新增功能或者方案适配的改动。唯一的不同就是设备端新增了对radius CLASS 25属性的识别,而这个属性在传统极简的SAM accept报文中原本就携带了,只是原先没有利用识别而已。(传统极简识别filter-id 11属性)。
锐捷极简X 大二层扁平化网络部署指导——功能原理及规划:通用场景 集中式认证
君逍遥o
12-01 1380
极简核心设备可以设置用户在某个时间长度内,检测到该用户无流量时会主动将用户认证踢下线,从而避免存在非法计费的情况。 同时无流量下线还可以基于vlan开启【当前仅18K支持】,如学生宿舍楼用户。 学校家属区使用小路由代理认证上网,在N18K上全局开启流量保活后,家属区如果有一段时间没有人上网就会掉线,需要重新认证,可以 使用基于VLAN关闭无流量下线的方式来控制。
个人整理的一些802.1x 认证方法
weixin_34174422的博客
12-26 570
个人整理 绝大多数来源于网络cisco 现在强调 nac 但是 他的两款产品cam cas 对于一般企业来说应该不想花钱 于是基于802.1x +ACS 就成了热门人选1:方法一基于mac 的认证 这种方法最简单 也最麻烦 部署简单维护麻烦主要过程 基于mac的802.1x 一.交换机配置 aaa new-model aaa authentication ...
mac端锐捷无法验证服务器,MAC地址免认证不成功处理思路
weixin_35924353的博客
08-01 2603
步骤1、 检查在SMP上开启MAC地址免认证的MAC不准确点击查看电脑PC的MAC地址,获取到物理地址;以太网适配器 本地连接:连接特定的 DNS 后缀 . . . . . . . :描述. . . . . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection物理地址. . . . . . . . . . . . . :...
VLAN的基本配置
liwenbin19920922的博客
04-23 1万+
VLAN的基本配置 文章目录VLAN的基本配置1.VLAN概述1)广播域的概念2)分割广播域3)VLAN概述4)VLAN优势:2.实验3.小结 1.VLAN概述 1)广播域的概念 广播域:广播是一种信息的传播方式,指网络中的某一设备同时向网络中所有的其它设备发送数据,这个数据所能广播到的范围即为广播域。 在传统的交换式以太网中,所有的用户都在同一个广播域中,当网络规模扩大时,广播包的数量会急剧增加,当广播包的数量占到总量的30%是,网络的传输效率将会明显下降。特别是当某网络设备出现故障后,就会不停地向网络发
Cisco 利用 802.1X动态VLAN和DHCP技术实现方案
weixin_34399060的博客
09-27 1135
Cisco 利用 802.1X动态VLAN和DHCP技术实现方案一、前言   各行各业网络的快速发展,尤其是企业局域网的建设发生了日新月异的变化。金融业电子商务、网上办公、业务系统处理已 应用工作中的方方面面,但是由于局域网大量建设、网络接入的灵活性、开放性给企业安全管理带来了新的课题,如何建立安全灵活的可有效防范的企业局域网安全 摆在各企业IT管理者的面前。目前发生在各...
使用802.1x和NAP实现动态vlan的划分-by 联科教育
weixin_34149796的博客
12-11 515
实验拓扑图 实验描述 公司内部有多个部门,创建了域的架构,并搭建了DHCP服务器和Radius服务器,要求每个部门都独享一个网段,实现每位用户插上网线后,跳出窗体进行身份验证,如果用户通过验证,根据用户所在的部门分配IP地址。例如销售部地址段为192.168.1.0/24则销售部员工Alice 获取的地址应该为192.168.1.1,市场部地址段为192.168.2....
利用802.1X动态VLAN和radius技术组网测试方案
weixin_34184158的博客
01-11 805
一、 组网测试背景 IEEE 802.1X标准认证协议和动态VLAN的引入,在以太网交换机端口实现对用户认证、授权,,以其实现技术简单、灵活成为企业局域网的首选。利用802.1X和RADIUS认证服务器的授权控制,根据用户不同动态分配交换机端口VLAN属性实现较灵活的控制,实现了一定范围内的移动办公需求。整套方案应用成熟,易于实现,给企业局域网安全管理提供了一种有效的解决途...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值