实验环境:
1、 服务器一台运行VMWare :
a) Windows 2003 Server EnterpriseEdition做DC
b) Windows 2003 Server EnterpriseEdition做ACS和CA
2、 PC客户端Windows XP (802.1x Client)
3、 Switch 3560 POE 一台(c3560-ipbase-mz.122-25.SEB4.bin)
4、 Cisco Secure Access ControlServer 4.1 (90天测试版)
 
实验拓扑: 1.png
 
 
实验部分:
1、 DC的安装与配置
2、 ACS的安装与配置
3、 CA的安装与配置
4、 Switch的配置
5、 客户端的配置
6、 测试效果
第一部分:DC的安装与配置过程: 1、安装DC,在运行下输入dcpromo,会弹出AD的安装向导: 2.png
具体的安装过程,我在微软的安装教程下截的屏:DNS全名中我输入的是NAC.com.所以以后出现的contoso.com将以nac.com代替
3.png
我在安装的过程中没有出现IP地址,所以不用理他了。
4.png
2、安装完DC后,运行à管理工具àActive Directory用户和计算机,将会出现以下界面
5.png
在User的界面中,右键新建一个用户aaa:
6.png
输入用户名和密码:
7.png
8.png
9.png
把aaa的隶属关系增加多一个Domain Admins域管理员,并设置主要组。方便以后的实验
10.png
3、将另外一台服务器即ACS&CA加入到NAC这个域当中(必要条件),此时需要输入域管理员帐户aaa 11.png
ACS的安装与配置过程:
感谢ZhaNKO 提供的ACS 安装过程,省了我很多功夫,呵呵!ACS4.1 的安装过程与ACS3.3 的过程完全相同。
1、安装部分: 12.png
13.png
14.png
15.png
16.png
17.png
点击完成安装.
2、配置部分安装完后会自动运行ACS,在桌面会也会自动生成一个ACS Admin的图标,在下面的描述过程中,着重于后面与AD集成的配置,对于ACS的使用介绍在这里就不多说了,如果需要,可参考ZhaNKO那份详细的ACS使用手册哈哈,写得非常好! 18.png
安装完后,点击NetworkConfiguration页面,按照拓扑的结构指定交换机(AAA Client)、ACS(AAA Server),ACS与交换机的共享密码为cisco、然后选择RADIUS(IETF)认证、log Update/Watchdog Packets fromthis AAA Client 19.png
ACS的地址、密码cisco、服务类型RADUS
20.png
Proxy中把ACS从AAA ServeràForward To中
21.png
在建立完后会提示需要重新启动ACS服务,在System Configuration页面第一个Service Control 22.png
下方有个Restart服务,重起即可.(以后在配置中会多次提示重起服务,按照此方式重起即可) 23.png
重起完服务后,Proxy缺省设置,最后建立好后如下图显示:
24.png
3、 与AD集成进入ExternalUser Databases页面,在这页面下有3个选项:a) Unknown User Policyb) Database Group Mappingsc) Database Configuration
25.png
第1步:Unknown User Policy这里的作用是当ACS检测到非本地用户的时候,可以去找外部的数据库,所以这也是为什么ACS要加入域的原因,把Windows Database移动到右边然后提交
26.png
第2步:Database Configuration,选择Windows Database。
27.png


选择配置
28.png
如下图设置:
29.png
30.png
31.png
32.png
最后提交。
第3步:Group Mapping,把AD里面的组与ACS里面的组做一个映射,作用是通过AD里面的用户做认证,ACS的组策略做授权。
33.png


选择新建
34.png
选择NAC这个域后提交
35.png
选择NAC配置这个域
36.png
选择add mapping
37.png
 
按实际需要把域的成员添加进来,这里我选择的Users、Domain Admins、Domain Users。然后ACS group中选择ACS的对应组(整个实验过程我只用了缺省的组),然后提交!
 
38.png
到此为止,ACS已经可以和AD集成起来了。
第三部分:CA的安装与配置过程: 1、CA的安装在添加/删除windows组件中选中证书服务,然后下一步开始安装。安装的过程这里就不详细说了,全部选用缺省的配置,有提示筐出来就选择是就可以了。
39.png
安装完成后,在管理工具中打开证书颁发机构。
40.png
2、ACS申请证书这里也是很重要的一个环节,因为后面802.1x客户端需要使用
PEAP来实现做验证类型。文档上说在ACS的验证中如果使用MD5 就不能实现与AD集成,使用PEAP认证的话,需要通过证书服务来完成,所以在ACS上需要申请一个证书。这也是为什么ACS在与域集成的时候,需要CA的原因了。
41.png
在ACS服务器的IE浏览器中输入 http://172.16.167.172/certsrv进入证书申请页面,这里因为我把ACS和CA装在同一台服务器,所以看起来就像自己给自己颁发证书了呵呵。然后选择申请一个证书:
42.png
选择高级证书申请:
43.png
选择创建并向此CA提交一个申请:
44.png
45.png
然后的信息就随便填了
46.png
密钥选项中需要注意的地方是需要把标记密钥为可导出和将证书保存在本地计算机储存中这两个选项勾上! 47.png
提交,选择是
48.png
点安装此证书
49.png
选择是
50.png
证书安装成功
51.png
这时在证书服务器à颁发的证书页面中可以看到刚刚ACS申请的证书
52.png
3、ACS上配置证书回到ACS上,在System Configuration页面中选择ACS Certificate Setup 53.png
然后选择InstallACS Certificate
54.png
选择Usecertificate from storage,然后输入刚刚申请的证书名TSGNET
55.png
最后提交,可以看到已经成功安装的证书及状态。这里需要重起ACS服务使其生效 56.png
4、配置PEAP认证在System Configuration中选择Global Authentication Setup
57.png
在PEAP中选择Allow EAP-MSCHAPv2,其他都不选
58.png
59.png
最下面的MS-CHAP Configuration中选择Allow MS-CHAP Version 2Authentication
60.png
第四部分:Switch的配置:
  1. enable secret 5 $1$yUpo$/O8vCSe57oTveItVZEQqW0
  2. !
  3. username cisco password 0 cisco \\创建本地用户名数据库
  4. aaa new-model \\启用AAA
  5. aaa authentication login default group radius local \\登陆时使用radius认证,radius失效时使用本地数据库
  6. aaa authentication dot1x default group radius \\使用802.1x,通过radius认证
  7. aaa authorization network default group radius \\用户的权限通过Radius进行授权
  8. !
  9. ip routing \\为后面两个网络开启VLAN间路由
  10. !
  11. dot1x system-auth-control \\开启dot1x系统认证控制
  12. !
  13. interface FastEthernet0/4 \\ F0/4为普通端口
  14. switchport access vlan 10
  15. switchport mode access
  16. !
  17. interface FastEthernet0/5 \\ F0/5为802.1x认证端口
  18. switchport access vlan 20 \\认证后的正常VLAN
  19. switchport mode access
  20. dot1x port-control auto \\端口控制模式为自动
  21. dot1x guest-vlan 10 \\认证失败或者无802.1x客户端时,会分配到的VLAN
  22. !
  23. interface FastEthernet0/24 \\连接ACS服务器端口
  24. switchport mode access
  25. !
  26. interface Vlan1 \\交换机管理IP
  27. ip address 172.16.167.200 255.255.255.0
  28. ip helper-address 172.16.167.172
  29. !
  30. interface Vlan10 \\ Guest_Vlan管理IP
  31. ip address 172.16.100.253 255.255.255.0
  32. ip helper-address 172.16.167.172 \\ DHCP中继,指向DHCP服务器地址
  33. !
  34. interface Vlan20
  35. ip address 172.16.200.253 255.255.255.0 \\ Normal_Vlan管理IP
  36. ip helper-address 172.16.167.172
  37. !
  38. radius-server host 172.16.167.172 auth-port 1645 acct-port 1646 key cisco
  39. \\指定ACS服务器地址和交换机的协商时用的密码,使用Radius协议
  40. radius-server source-ports 1645-1646 \\系统自动生成
复制代码
61.png
第五部分:客户端配置
打开本地连接,右键属性,验证,把启用此网络的IEEE 802.1x 验证勾上,然后EAP 类型:受保护的EAP PEAP
62.png

如果client已加入了域,可把自动使用Windows登陆名和密码勾上,实现单点登陆63.png

第六部分:测试效果
为了测试的效果,我在CA上起用了DHCP服务,分为Guest_Vlan:172.16.100.0/24, GW:172.16.100.253; Normal_Vlan:172.16.200.0/24, GW: 172.16.200.253;然后PC可以通过服务器上的DHCP分配到地址,这个步骤相信大家都会了,很简单。
64.png

1、无802.1x客户端情况先把PC接在启用了802.1x的端口上,如果这时候PC没有使用802.1x验证,将会被分配到了Guest_Vlan中(172.16.100.0/24),得到的地址为172.16.100.1
65.png

2、启用802.1x客户端情况选择PEAP验证以后,这时会在桌面右下脚弹出一个提示,要求输入66.png
点击这个提示,输入之前域里面定义好的用户aaa,密码aaa
67.png

输入完后会通过ACS把用户名密码发到DC上去验证,这时可以在交换机上debug radiux看到认证过程的信息。最后验证成功以后,会分配到Normal_Vlan的地址172.16.200.1
68.png

这时候去ACS上面的Reports And Activity可以看到aaa用户的登陆情况
69.png

在User Setup里面,可以看到aaa与ACS本地默认组的一个映射。bbb是ACS的本地用户70.png
ACS+802.1X AAA radius服务器 路由交换

0

收藏

上一篇: 在GNS3中模拟交换... 下一篇:win7、win8无线wifi开...
noavatar_middle.gif
771738308

4篇文章,5299人气,0粉丝