目标:在一个公司里,如果外来电脑想访问本公司内部文件服务器,为了安全会自动给他分配到一个vlan里,登陆连接需要输入用户名密码验证,这样他访问就必须经过管理员给分配一个用户名了,实现动态vlan的分配和用户验证

我们要做的是:搭建一个RADIUS服务器。下面是规划图

clip_image002

一、前提准备

1、 在服务器2003上安装java软件包jdk-6u22-windows-i586.exe

image

2、 双击安装,下一步

image

3、 完成安装

image

二、安装ACS

1、 安装ACS-4.2.0.124-SW.exe

image

2、 点ACCEPT,再点NEXT,选择四项

image

3、 全选

image

4、 输入数据库管理员密码

image

直到完成安装。

三、配置服务器

1、 安装完成后,打开桌面的快捷方式ACS admin进入界面

image

2、 点击左侧的administration control添加管理员

image

3、 点add administrator进入,配置管理员密码

image

输完点submit

4、 点左侧network configuration配置AAA clients 和AAA servers

image

5、 点击add entry 进入clients配置,输入交换机的名称、IP及密码

image

6、 在认证使用方法authenticate using处选择RADIUS(IEIF),配置完成点submit

image

7、 进入AAA Server

image

8、 配置server

image

点submit+apply完成。

9、 进入user setup添加用户,输入用户名

image

10、 配置用户密码,选择要分配的组

image

11、 进入左侧Internet configutation选项

image

12、 点RADIUS(IEIF)进入,选择64、65、81三项打上勾

image

13、 选择左侧的group setup点击进入

image

14、 配置64\65\81项

image

四、配置交换机

1、 配置交换机S2

S2(config)#aaa new-model

S2(config)#aaa authentication login default local

S2(config)#aaa authentication dot1x default group radius

S2(config)#aaa authentication network default group radius

S2(config)#radius-server host 192.168.8.10 key 123

S2(config)#radius-server vsa send authentication

S2(config)#dot1x system-auth-control

S2(config)#int f0/2

S2(config-if)#switchport mode access

S2(config-if)#dot1x port-control auto

S2(config-if)#spanning-tree portfast

S2(config-if)#exit

S2(config)#vlan 8

S2(config)#exit

S2(config)#int f0/24

S2(config-if)#switchport mode trunk

2、 在S1上配置

S1(config)#vlan 8

S1(config-vlan)#exit

S1(config)#int f0/24

S1(config-if)#switchport trunk encapsulation dot1q

S1(config-if)#switchport mode trunk

S1(config-if)#int vlan 1

S1(config-if)#ip add 192.168.1.2 255.255.255.0

S1(config-if)#ip helper-address 192.168.8.10

S1(config-if)#no shutdown

S1(config-if)#int vlan 8

S1(config-if)#ip add 192.168.10.2 255.255.255.0

S1(config-if)#no shutdown

S1(config)#ip routing