ACS+802.1X+DHCP实现动态VLAN 一直以来,我以为80%的工程师在划分VLAN的时候都使用基于端口的方式,至少我是这样,如果有客户要基于动态VLAN,那么我们在早期只能使用基于COS的操作系统建立VMPS服务器来做,可今天不需要用那么复杂的过程和繁琐的步骤就可以轻松实现了动态VLAN了,它就是采用ACS+802.1X+DHCP来实现,下面是我做的一点小小的步骤,愿对您有所帮助。
这里安装ACS就略了,直接步入正题吧,如下图所示:
一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN 一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)
3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
二、802.1X的认证体系分为三部分结构:
Supplicant System,客户端(PC/网络设备)Authenticator System,认证系统
Authentication Server System,认证服务器
三、认证过程
1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;
2、认证通过时,
通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;
3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
4、Supplicant System- Client(客户端)是—需要接入LAN,及享受c3560提供服务的设备(如PC机),客户端需要支持EAPOL协议,客户端必须运行802.1X客户端软件,如:802.1X-complain、Windows XP等和802.1x相关的ACS主要配置内容:
5、Cisco文档说ACS 3.0之前是不支持802.1x的。因为802.1x使用radius进行认证,所以在选用认证协议时我选用的是RADIUS(IETF),而缺省是Cisco的TACACS+。
在Interface Configuration中对RADIUS(IETF)进行配置,在组用户属性中选中[64]Tunnel-Type、[65] Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID
四:配置
1、ACS:
点击“network configuration”添加一个AAA客户端
输入AAA客户端的名称和地址,AAA客户端的KEY,选择所使用的认证协议为RADIUS(IETF)
点击“submit +restart”立即生效
点击“Interface Configuration”点击“Radius(IETF)”
选择“64”“65”“81”点击“Submit”.
添加一个新用户。点击“User Setup”输入用户名点击“Add/Edit”
设置用户的密码并将用户添加到相应的组中,点击“Submit”
单击“Group Setup”,选择相应的组,单击“Edit Settings”
在“Group Setup”中设置64、65、81选项,设置参数如图所示,其中81选项设置该用户对应的VLAN ID,这里我对应的是VLAN2,完成后,单击“Submit+Restart”
2、交换机配置(DHCP 这里就省略了,这里只列出主要的配置):
c3560(config)# interface vlan 1
c3560(config-if)# ip address 192.168.20.55
c3560(config-if)# no shutdown
c3560(config)# interface vlan 2
c3560(config-if)# ip address 172.168.20.1
c3560(config-if)# no shutdown
c3560(config)# interface vlan 3
c3560(config-if)# ip address 192.168.10.1
c3560(config-if)# no shutdown
c3560(config)# aaa new-model
c3560(config)# aaa authentication login default none
c3560(config)# aaa authentication dot1x default group radius
c3560(config)# aaa authorization network default group radius
c3560(config)# radius-server host 192.168.20.171 key lovecisco
c3560(config)# radius-server vsa send
c3560(config)# dot1x system-control
c3560(config)# interface range fa0/1 – 4
c3560(config-if-range)# switchport mode access
c3560(config-if-range)# spanning-tree portfast
c3560(config-if-range)# dot1x port-control auto
3、路由上的配置
路由上就是做NA T,路由协议等这里就略了,
注:ACS版本必须为3.1以上,同时在网卡的EAP type中选中MD5-Challenge。ACS是一个很强大的软件,等待着我们这些刚上路的朋友一起去探索。