802.1X验证和动态Vlan具体实施过程.pdf

目录 1 简介2 2 认证机制3 3 用户登陆形式3 4 安装证书服务器4 3 Cisco Secure ACS Solution Engine 安装和配置7 3.1 安装7 3.2 安装证书 10 3.3 针对思科交换机和AP 的配置22 3.4 针对华为交换机的配置29 4 交换机和AP 配置29 4.1 思科交换机配置29 4.2 华为交换机配置30 4.3AP 的配置31 5.客户端PEAP 认证设置33 5.1 获取证书33 5.2 客户端PEAP 设置34 1 简介 IEEE 802.1x 标准定义了基于client/server 模式的访问控制和验证协议，以此来 限制非授权用户通过公用的访问端口连接到LAN 。在Switch 或LAN 指定的services 可用之前，验证服务器验证每个连接到Switch 端口上的客户端。802.1x 访问控制只 允许EAPOL （Extensible Authentication Protocol over LAN ）包通过客户端连接的端 口，直到客户验证成功。验证成功以后，端口就可以传输正常数据包。网络拓扑图如 下： Client-工作站请求访问LAN 、交换机服务和响应请求。工作站必需运行8021.x 兼容的客户端软件； Authentication server －真正负责对客户端的验证。Authentication server 确认客 户的的身份并且通知交换机是否授权访问LAN 和交换服务。因为交换机作为了一个 代理，所以验证服务对客户来说是透明的； Switch （边缘交换机或无线AP ）－根据客户的验证状态控制到网络的物理访问。 交换机做为客户端和验证服务器之间的一个代理，从客户端要求验证信息并送到验证 服务器验证。交换机包含一个 Radius client ，负责封装和解装EAP 帧并和验证服务 器交互。 在李宁公司802.1x 实施中，我们使用windows AD 作为后端用户数据库，使用 的Radius server 为Cisco ACS ，交换机使用Cisco switch 和无线AP ，同时CA 服务、 DNS 服务、DHCP 服务也在AD 服务器上安装，客户端则使用windows xp 。具体环 境配置如下： 后端用户数据库：Windows 2003 standard Edition 中文版 AD ； Radius Server：Cisco Secure ACS Solution Engine； 接入层交换机：Cisco Catalyst 2950、Cisco Catalyst2960、Cisco Catalyst 3550； 客户端：Windows XP SP2； 接入层交换机管理地址：不同交换机使用本机的管理地址 Radius Server 服务器IP 地址： AD 服务器IP 地址： CA 服务器IP 地址： DNS 服务器IP 地址： DHCP 服务器IP 地址： 2 认证机制 在用户计算机连接网线并开机后，用户的计算机进入启动过程，在启动过程中用 户使用机器认证方式进行认证，具体为用户将自己的计算机名发送给连接的交换机， 交换机再将计算机名发送给AAA 认证服务器（即ACS 服务器），AAA 认证服务器 AAA 认证服务器将该计算机名发送给域控服务器，域控服务器根据自己的数据库对 该计算机名进行检验，若计算机名存在于域控的数据库，则返回给AAA 认证服务器 一个肯定的信息；若计算机名不存在于域控的数据库，则返回给AAA 认证服务器一 个否定的信息，AAA 认证服务器根据域控服务器返回的信息判断该用户是否认证成 功，若认证成功则通知交换机打开该用户连接的端口的信息并下发该用户的 VLAN 信息 （即vlan252 ），否则通知交换机不打开该用户连接的端口。若用户连接的交换机 端口打开并划入到指定VL