IEEE802.1X 的端口认证实验

实验二十四、IEEE802.1X 的端口认证实验

一、 实验目的

1、了解什么是 802.1x；

2、熟练掌握如何使用 802.1x 提高网络安全性；

3、 了解神州数码对 802.1x的功能加强

二、 应用环境

我们的网络按照标准的三层架构（核心层、汇聚层、接入层）部署，在网络的接入层使用DCS-3926S 交换机。在运营的过程中，网络中心发现有许多外来人员经常在没有知会有关部门的情况下，私自使用网络。网络中心希望能够控制非法访问，通过802.1x 结合认证服务器给大家发放用户名帐号，只允许有用户名帐号的人访问网络，这样就有效的解决了非法访问的问题。同时，还可以使用认证服务器（DCBI-3000EN ）的计费功能，按照不同的计费策略对不同的上网类型进行计费。802.1x 协议的主要目的是为了解决局域网用户的接入认证问题。（dcn 全线接入交换机均支持 802.1x 协议）。

三、 实验设备

1、DCS-3926S 交换机 1 台

2、PC机 1-2 台

3、Console 线1根

4、直通网线 2-4 根

5、DCBI-3000

四、 实验拓扑

五、 实验要求

1、按照拓扑图连接网络；2、PC 和交换机的24 口用网线相连；

3、DCBI-3000 认证服务器和交换机的 1 口用网线相连；

4、交换机的管理IP 为 192.168.1.100/24

5、PC 网卡的IP 地址为 192.168.1.101/24；

6、DCBI 认证服务器的IP 为 192.168.1.5/24

六、 实验步骤

第一步：交换机恢复出厂设置

switch#set default

Are you sure? [Y/N] = y

switch#write

switch#reload

Process with reboot? [Y/N] y

switch#clock set 15:29:50 2006.01.16

Current time is MON JAN 16 15:29:50 2006

switch#

switch#config

switch(Config)#hostname DCS-3926S

DCS-3926S(Config)#exit

DCS-3926S#

第二步：给交换机设置IP 地址。

DCS-3926S(Config)#interface vlan 1 ！进入 vlan 1 接口

DCS-3926S(Config-If-Vlan1)#ip address 192.168.1.100 255.255.255.0 ！配置地址

DCS-3926S(Config-If-Vlan1)#no shutdown ！激活vlan 接口

第三步：安装 1x 认证客户端并配置主机的IP 地址

安装客户端，安装完成后客户端默认使用带神州数码私用扩展的报文进行发送。神州数

码私用扩展可以大大增强 802.1x 的功能，使用户名可以绑定IP、MAC、交换机VLAN 等，

还可以按照流量进行计费，甚至区分国内外流量进行计费（这需要DCBA-3000W 设备的支

持），可以防止BT 等P2P 软件等等。

配置主机的IP 地址为 192.168.1.101/24。

第四步：安装配置 DCBI-3000 限用户版

1、安装 redhat操作系统，mysql 数据库必选；

2、将 DCBI 的安装文件复制到新安装的系统下；

3、解包复制过来的文件，进入 install 目录，执行./install，按照提示输入服务器

IP 地址 192.168.1.99；

4、启动 mysql数据库；

5、在解包的 install 目录下执行./installdb；

6、启动 dcbi start； 7、此时必须打开操作系统得图形界面，执行 client，此时可以看到 DCBI 客户端的登

录画面，默认用户名密码都是 admin；

8、在站点管理中添加设备，并重启 DCBI；

9、添加计费类型

10、根据需要进行开户；

DCBI 服务器详细的安装和使用请参考附件：DCBI-3000 安装与调试。第五步：配置交换机 802.1x

DCS-3926S(Config)#radius-server authentication host 192.168.1.5 ！配置认证

服务器地址，默认使用 1812 端口认证。

DCS-3926S(Config)#radius-server accounting host 192.168.1.5 ！配置计费

服务器地址，默认使用 1813 端口计费。

DCS-3926S(Config)#radius-server key dcradius ！配置通信密钥

DCS-3926S(Config)#aaa enable ！启用认证

DCS-3926S(Config)#aaa-accounting enable ！启用计费

DCS-3926S(Config)#dot1x enable ！启用802.1x

DCS-3926S(Config)#dot1x privateclient enable !启用神州数码私有增强功能

第六步：在端口启用 802.1x 功能

DCS-3926S(config)#interface ethernet 0/0/24 ！进入 e0/0/24 端口

DCS-3926S(Config-Ethernet0/0/24)#dot1x enable ！在该端口启用 802.1x

DCS-3926S(Config-Ethernet0/0/24)#dot1x port-control auto ！设置端口默

认的认证状态为 auto

DCS-3926S(Config-Ethernet0/0/24)#dot1x port-method portbased ！使用基于端

口的认证方式，也可以使用基于 MAC 地址的认证方式。 以下 4 行也可以不配置，e0/0/1 连接服务器的端口不开启 802.1x，也就不需要认证了，

如果该端口也向开启 802.1x 的话，则必须如下配置：

DCS-3926S(config)#interface ethernet 0/0/1

DCS-3926S(Config-Ethernet0/0/1)# dot1x enable

DCS-3926S(Config-Ethernet0/0/1)# dot1x port-control force-authorized ！该

端口的模式“强制认证过”，即不需要再认证了

DCS-3926S(Config-Ethernet0/0/1)# exit

第七步：验证 802.1x 功能

1、不启用客户端，使用 PC ping DCBI-3000，结果不通；

2、启用客户端，使用 PC ping DCBI-3000，结果通；

转载于:https://blog.51cto.com/lorna8023/413126