思科C3750+802.1X+freeradius+动态vlan

【背景描述】

用户在通过802.1x 认证之前属于一个VLAN，这个VLAN就是GUEST VLAN。没有通过认证的客户端计算机处于GUEST VLAN中，它们只能访问到GUEST VLAN服务器的资源，认证成功后，端口离开Guest VLAN，用户可以访问其特定的网络资源。在上面的例子里连接端口1的计算机通过认证以后，端口1被交换机自动地添加到VLAN10里面，这个时候客户端计算机可以访问服务器2中的资源。 而客户端2和客户端3没有通过认证，只能继续留在Guest VLAN中，只可以访问服务器1的资源，而不能访问服务器2的资源。需要注意的是：Guest vlan 仅支持基于端口的802.1X协议，不支持基于MAC地址的802.1X协议。

【实验拓扑】

将交换机的第1-12端口划分到V10中，将V10设置为GUEST VLAN，并且将1-8端口设置为需要进行认证的端口。把交换机的第13-24端口设置为V20中的端口。通过实验达到如下效果：将PC1接入到交换机1-8端口的任何一个，通过认证服务器的认证以后，PC1所连接的端口被交换机自动的添加到V20里面，并且PC1和PC2可以互相通信。 

 

 

拓扑说明：认证服务器 IP:192.168.0.10

                  交换机IP：192.168.0.250

                 认证计算机IP:192.168.0.101

                 V20中计算机IP：192.168.0.100

                  橘红色端口所属的VLAN为Guest VLAN,名称为V10,   VID为10

                  蓝色端口所属的VLAN名称为V20,  VID为20

                  绿色端口为需要进行802.1X认证的端口

                 

【实验设备】DGS-3627交换机1台，测试PC 3台，网线若干。

【实验步骤】

把交换机的控制口和PC的串口相连，通过超级终端进入交换机的配置界面，如下图。

我们通过PC的“开始→程序→附件→通讯→超级终端”，进入超级终端界面。

将每秒位数设置为：115200 ， 数据位：8 ，奇偶校验：无，停止位：1，

数据流控制：硬件。注意：不同的交换机端口属性不尽相同，请参阅说明书。

点击确定，进入交换机配置界面，提示输入用户名和密码，如果没有用户名和密码，则按两下回车，进入可配置模式。

创建VLAN 10 和VLAN 20，并将交换机的1-12端口添加到VLAN 10里面，将13-24端口添加到VLAN 20 里面。

“config vlan default dele 1-24”将1-24 端口从默认的VLAN删除。“create vlan v10 tag 10” ，创建VLAN 10 。 “config vlan v10 add untag 1-12” 将交换机的1-12端口以非标签的形式添加到VLAN 10 里面。同样可以创建VLAN 20 并添加交换机端口13-24 到V20 里面。

将交换机的IP地址改为192.168.0.1，并将它指定到V10里面。PC要进行认证，Radius 服务器和交换机之间是能够进行正常通信的。我们将Radius 服务器放在V10里面，交换机的IP 地址在默认情况下是属于default VLAN 的，必须将它指定到V10里面。

默认情况下，交换机的802.1X协议时关闭的。可以使用“enable 802.1x”命令来启用它。创建Guest VLAN,将V10指定为Guest VLAN，然后将交换机端口的1-12的Guest VLAN功能开启。

然后在交换机上配制认证信息：

将交换机的第1-8 端口设置为需要认证的端口，连接到这些端口的计算机必须通过认证才能够接入网络，否则只能够与同在Guest VLAN里面的计算机进行通信。

对认证服务器进行配制：

这里使用的认证服务器是FreeRADIUS.net-1.1.5-r0.0.3。下面是对认证服务器配制的过程。

打开X:\FreeRADIUS.net\etc\raddb 文件夹的clients.conf文件，添加如图所示内容。“123456”为认证服务器与交换机之间的通信密钥。“X”为服务器软件所安装盘符。

打开X:\FreeRADIUS.net\etc\raddb文件夹的 users.conf文件，添加如图所示内容。“test”为需要认证的计算机的用户名和密码，“20”为通过认证的计算机将要加入的VLAN ID。

在启动认证服务器之前要确保服务器和交换机是可以通信的，否则交换机不能传递计算机和服务器之间的认证信息。

认证服务器启动后会在桌面右下角显示一个圆形标志，右键单击图标。点击图中所示按钮，打开服务器的debug 模式，这个模式可以观察计算机的认证过程。

认证客户端（PC 1）的操作系统以WIN XP为例，首先要保证802.1x认证功能的开启。选择“本地连接”→“属性”→“身份验证”，按图示进行操作。

认证开始的时候，提示用户输入用户名名和密码。

输入用户名“test”，密码“test”等待服务器进行认证。我们可以从认证服务器端看到认证的过程，如下图所示。

这是PC1 在没有通过认证之前的交换机的认证状态。交换机的第一个端口显示已经连接，但是没有通过认证。

使用“Show vlan ”命令显示出第1个端口仍然在V10 里面。

上图显示客户端计算机PC1 已经通过认证。

这时交换机上显示连接在端口1上面的计算机已经通过认证。

这个时候使用Show vlan命令查看，可以观察到交换机的第一个端口已经被交换机添加到V20里面。验证了Guest VLAN 的配制是正确的。

这时候测试PC1 与PC2之间的通信是正常的。

【实验总结】

为了阻止非法用户对网络的接入，保障网络的安全性，基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。在 802.1X的应用中，如果交换机端口指定了Guest VLAN项，此端口下的接入用户如果认证失败或根本没有用户账号的话，会成为Guest VLAN 组的成员，可以享用此组内的相应网络资源，这一种功能同样可为网络应用的某一些群体开放最低限度的资源，并为整个网络提供了一个最外围的接入安全。如果客户端认证成功，就可以行使更多的网络功能，使用网络内更多的资源。Guest VLAN是一种十分灵活的网络访问解决方案。