802.1X验证和动态Vlan具体实施过程

目录

1简介 (2)

2认证机制 (3)

3用户登陆形式 (3)

4安装证书服务器 (4)

3 Cisco Secure ACS Solution Engine 安装和配置 (7)

3.1安装 (7)

3.2安装证书 (10)

3.3针对思科交换机和AP的配置 (22)

3.4针对华为交换机的配置 (29)

4 交换机和AP配置 (29)

4.1思科交换机配置 (29)

4.2华为交换机配置 (30)

4.3AP的配置 (31)

5.客户端PEAP认证设置 (33)

5.1获取证书 (33)

5.2客户端PEAP设置 (34)

1简介

IEEE 802.1x 标准定义了基于client/server 模式的访问控制和验证协议，以此来限制非授权用户通过公用的访问端口连接到LAN。在Switch 或LAN 指定的services 可用之前，验证服务器验证每个连接到Switch 端口上的客户端。802.1x 访问控制只允许EAPOL（Extensible Authentication Protocol over LAN ）包通过客户端连接的端口，直到客户验证成功。验证成功以后，端口就可以传输正常数据包。网络拓扑图如下：

Client-工作站请求访问LAN 、交换机服务和响应请求。工作站必需运行8021.x 兼容的客户端软件；

Authentication server －真正负责对客户端的验证。Authentication server 确认客户的的身份并且通知交换机是否授权访问LAN 和交换服务。因为交换机作为了一个代理，所以验证服务对客户来说是透明的；

Switch （边缘交换机或无线AP）－根据客户的验证状态控制到网络的物理访问。交换机做为客户端和验证服务器之间的一个代理，从客户端要求验证信息并送到验证服务器验证。交换机包含一个Radius client，负责封装和解装EAP 帧并和验证服务器交互。

在李宁公司802.1x实施中，我们使用windows AD 作为后端用户数据库，使用的Radius server为Cisco ACS ，交换机使用Cisco switch和无线AP ，同时CA服务、DNS服务、DHCP服务也在AD服务器上安装，客户端则使用windows xp 。具体环境配置如下：

后端用户数据库：Windows 2003 standard Edition 中文版AD；

Radius Server：Cisco Secure ACS Solution Engine；

接入层交换机：Cisco Catalyst 2950、Cisco Catalyst2960、Cisco Catalyst 3550；

客户端：Windows XP SP2；

接入层交换机管理地址：不同交换机使用本机的管理地址

Radius Server服务器IP地址：

AD服务器IP地址：

CA服务器IP地址：

DNS服务器IP地址：

DHCP服务器IP地址：

2认证机制

在用户计算机连接网线并开机后，用户的计算机进入启动过程，在启动过程中用户使用机器认证方式进行认证，具体为用户将自己的计算机名发送给连接的交换机，交换机再将计算机名发送给AAA认证服务器（即ACS服务器），AAA认证服务器AAA认证服务器将该计算机名发送给域控服务器，域控服务器根据自己的数据库对该计算机名进行检验，若计算机名存在于域控的数据库，则返回给AAA认证服务器一个肯定的信息；若计算机名不存在于域控的数据库，则返回给AAA认证服务器一个否定的信息，AAA认证服务器根据域控服务器返回的信息判断该用户是否认证成功，若认证成功则通知交换机打开该用户连接的端口的信息并下发该用户的VLAN 信息（即vlan252），否则通知交换机不打开该用户连接的端口。若用户连接的交换机端口打开并划入到指定VLAN，则用户开始申请IP地址，实现网络的正常连接。机器认证通过的机器，可以拿到VLAN 252的地址，可以进行域策略下发。若机器认证不成功，则用户将无法进入VLAN252，不能获得域策略。

当用户输入用户名和口令后，用户的计算机将该用户名和口令发送给连接的交换机，交换机再将用户名和口令发送给AAA认证服务器（即ACS服务器），AAA认证服务器将该用户名和口令发送给域控服务器，域控服务器根据自己的用户数据库对该用户名和口令进行检验，若用户名和口令正确，则返回给AAA认证服务器一个肯定的信息；若用户名和口令不正确，则返回给AAA认证服务器一个否定的信息，AAA 认证服务器根据域控服务器返回的信息判断该用户是否认证成功，若认证成功则通知交换机打开该用户连接的端口的信息并下发该用户的VLAN信息（即用户vlan）。若认证不成功，则用户保留在VLAN1中，无法获得地址。

3用户登陆形式

1、授权用户在连网情况下开机，先进行机器认证，进入VLAN252，获得地址，与域控制器通信，再采用域用户登录，进行用户认证，成功后，进行VLAN转换，进入指定的用户VLAN，重新获得地址；

2、logout 后进行机器认证，进入VLAN252，再用其他用户登录，进行VLAN转换，获得地址；

3、认证成功后，断开网线，再接上，开始网络不可用，过一段时间（20到30秒），

获得地址，进入指定的用户VLAN，时间长的原因时微软客户端的问题，用第三方客户端没有这个问题，可以很快获得地址；

4、授权用户在未连网情况下开机，用域用户登录，当插上网线时，将进行用户认证，成功后，进入指定的用户VLAN，获得地址，不需要重新输入用户名、密码；

5、授权用户在未连网情况下开机，用本地用户登录，当插上网线时，不会进行1x 认证，不能连接到网络，logout 后进行机器认证，进入VLAN252；

6、授权用户在连网情况下开机，先进行机器认证，进入VLAN252，获得地址，与域控制器通信，用本地用户登录，不会进行1x认证，不会换VLAN，还在VLAN252中；

7、外地员工、访客连到网络上时，采用手工输入用户名、密码（去掉“Automatically use my windows logon name and password”选项）的方式登录，成功后进入指定VLAN，获得地址；不能改变外地员工、访客的域（会造成用户原有的域不能用，这些用户的机器也可能没有管理员权限，不能修改域），在AD上要为这些人建立帐号，不进行机器认证。

4安装证书服务器

1、在AD服务器上启用IIS服务：

2、在AD服务器上启用证书服务：

3、选择CA类型为企业根CA：

4、设置CA识别信息，在测试时使用如下信息：CA公用名称：rootca

可分辨名称后缀：DC=lining，DC=lngroup

如图所示：

5、设置CA服务证书数据库等信息的存储位置：

6、完成CA服务的安装：

3 Cisco Secure ACS Solution Engine 安装和配置

3.1安装

Cisco Secure ACS Solution Engine是思科公司将ACS4.0、windows2000英文版、HP服务器集成在一起的一款产品，在购买产品时上述组件已经集成在一起，因此无需专门进行软件的安装。

1、Cisco Secure ACS Solution Engine上架，接通电源和网线

Cisco Secure ACS Solution Engine机箱后面有2个网线插口，缺省使用下面的网口，这一点在安装时要注意。

另外，对于Cisco Secure ACS Solution Engine机箱后面的键盘、鼠标、USB口，

由于思科为了安全的目的已经全部禁用；显示器接口可以使用，但由于ACS的配置是通过WEB的方式进行管理，因此只有在做整机恢复时是有用的。

2、使用随机提供的CONSOLE线连接笔记本的串口和Solution Engine的串口，设置超级终端或SecureCRT的参数为：

速率：115200

数据位：8

校验：无

停止位：1

流量控制：无

3、配置Cisco Secure ACS Solution Engine基本参数

第一步：在连接到Solution Engine后可以在超级终端或SecureCRT上看到下面的信息：

Cisco Secure ACS: [version number]

Appliance Management Software: [version number]

Appliance Base Image: [version number]

CSA build [version number]: (Patch: [version number])

Status: Appliance is functioning properly

The ACS Appliance has not been configured.

Logon as “Administrator” with password “setup” to configure appliance.

Login：

第二步：输入administrator，口令为setup，该用户名和口令可以在下面的第五步和ACS中进行删除或修改

第三步：进入ACS的配置后首先出现的是定义本机名，提示信息为：

ACS Appliance name [deliverance1]:

这里输入ACS的本机名（最多15个字符且五空格），如CISCO，回车后出现如下提示信息：

ACS Appliance name is set to xxx.

第四步：定义DNS域名，提示信息如下：

DNS domain [ ]:

输入DNS的域名并回车后出现如下提示信息：

DNS name is set to https://www.wendangku.net/doc/d118978219.html,.

You need to set the administrator account name and password.

第五步：定义管理员用户名和口令

在“Enter new account name:”处输入管理员的用户名并回车；在“Enter new

password:”处输入管理员的口令（口令要求最少六个字符并混合三种字符类型，如

1PaSsWoRd）并回车，在“Enter new password again:”处再次输入口令并回车，出现如下提示信息：

Password is set successfully.

Administrator name is set to xxx.

第六步：定义数据库口令

接下来的提示信息如下：

Please enter the Encryption Password for the Configuration Store.

Please note this is different from the administrator account,

it is used to encrypt the Database.

输入数据库口令（口令要求最少六个字符并混合三种字符类型，如1PaSsWoRd）并回车，在“Enter new password again:”处再次输入数据库口令并回车，出现如下提示：

Password is set successfully.

第六步：定义ACS地址信息

接下来的提示信息如下：

Use Static IP Address [Yes]:

输入yes并回车，在“IP Address [xx.xx.xx.xx]:”处输入本机的地址并回车，在“Subnet Mask [xx.xx.xx.xx]:”处输入掩码并回车，在“Default Gateway [xx.xx.xx.xx]:”处输入网关地址并回车，在“DNS Servers [xx.xx.xx.xx]:”处输入DNS服务器地址并回车，随后出现下面的信息：

IP Address is reconfigured.

Confirm the changes? [Yes]:

直接回车确认设置的改变，然后出现下面的信息：

New ip address is set.

Default gateway is set to xx.xx.xx.xx

DNS servers are set to: xx.xx.xx.xx xx.xx.xx.xx.

在“Test network connectivity [Yes]:”处输入yes以便进行网络测试（测试前必须保证ACS已经连接到网内），在“Enter hostname or IP address:”处输入目的主机的地址，ACS将ping目的主机并显示ping的结果。

若上述ping成功，则在“Accept network setting [Yes]:”处输入yes，接受上述设置。

第七步：设置时间

接下来显示如下信息：

Current Date Time Setting:

Time Zone: (GMT -xx:xx) XXX Time

Date and Time: mm/dd/yyyy

NTP Server(s): NTP Synchronization Disabled.

Change Date & Time Setting [N]:

选择输入yes并回车来修改时间信息，在“Enter desired time zone index (0 for more choices):”处输入0以便翻页，直到找到北京的时区并输入序号，在“Synchronize with NTP server? [N]:”处属于yes或no来确定是否使用NTP，若不使用NTP，则在“Enter date [mm/dd/yyyy]:”处输入当前日期并回车，在“Enter time [hh:mm:ss]:”输入当前时间并回车，随后显示如下信息：

Initial configuration is successful. Appliance will now reboot.

ACS重启。

3.2安装证书

ACS上需要安装2种证书：根证书和ACS服务器证书，下面一一进行配置：

准备工作：由于ACS是使用FTP方式到下载证书的电脑上取证书，因此下载证书的电脑上必须事先安装FTP服务器软件（如SERVER-U）并设置用户名、口令、用户的主目录。

1下载根证书

第一步：在本机的浏览器上输入http://证书服务器-IP/certsrv，出现下面的界面，然后选择“下载一个CA证书，证书链或CRL”

第二步：在下面的页面中选择“base64”和“下载CA证书”

证书下载完毕

2下载ACS服务器证书

第一步：在浏览器中输入http://ACS-IP:2002，在出现登陆界面时输入安装时定义的

用户名和口令，出现如下界面

第二步：点击“system configuration”，然后点击“ACS certificate setup”

第三步：点击“generate certificate signing request ”

第四步：在“certificate subject”处输入“CN=liningacs01”，在“pravite key file”处输入pravite key file文件名和在ACS上存储的路径（如c：\PK），在“pravite key password”处输入pravite key口令，在“retype pravite key password”再输入pravite key 口令，在“key length”处选择“1024 bits”，在“digest to sign with”处选择“sha1”，点击提交将会在页面的右侧生成requst。

将生成的requst拷贝到写字板上，准备在CA服务器上申请ACS服务器证书。

选择“申请一个证书”

第六步：在下面的页面选择“高级证书申请”

书申请，或使用base64编码的PKCS＃7文件”

务器”，点击“提交”

第八步：选择“base64编码”和“下载证书”

录下，至此ACS服务器证书下载完毕

3安装证书

（1）安装根证书

点击system configuration，再点击ACS Certificate Setup，再点击ACS Certification

Authority Setup，出现下面的界面。点击“download CA certificate file”

在FTP server处输入保存证书的FTP服务器的地址，在login处输入访问FTP服务器

的用户名，password处输入口令，directory处输入/（建议将证书保存在用户主目录的根目录下），file处输入根证书的文件名（以.cer为扩展名），点击提交

提交后返回到前面的页面，可以看到根证书的文件名出现在“CA certificate file”的框中，点击提交。

提交后可以看到页面右侧出现根证书的名称。

（2）安装ACS服务器证书

点击system configuration，再点击ACS Certificate Setup，再点击ACS Certification Authority Setup，出现下面的界面。

点击“download certificate file”，出现如下界面。在FTP server处输入保存ACS服务器证书的FTP服务器的地址，在login处输入访问FTP服务器的用户名，password处输入口令，directory处输入/（建议将证书保存在用户主目录的根目录下），file处输入ACS服务器证书的文件名（以.cer为扩展名），点击提交