CCNP之802.1x实验案例

实验要求：

VLAN4终端及外部Web Server使用路由器模拟，ACS Server使用一台2003 Server，Laptop使用任意笔记本（需开启EAP服务），各节点地址见拓扑，各VLAN网关为本网段的最后一个可用地址，请按拓扑要求选择设备，尽量使用固定拓扑连接。

1、 Catalyst 3560实现VLAN间路由（共4个VLAN），并做为DHCP服务器为终端及移动PC提供地址，各VLAN地址池为：172.16.×.0/24（“×”为VLAN号）；

2、 在Windows 2003 Server上安装Cisco ACS Server服务端，在Cisco 3560及2811上启用AAA认证，作为认证端对VTY线路进行身份认证，使用服务器端创建的帐号登录，要求帐号具有15级权限，可以查看及修改配置；

3、 基于Radius的动态VLAN分配，要求使用dot1x认证成功后端口自动划入VLAN2，要求认证成功后终端能获取到地址并自由访问内网外。

实验拓扑：



实验步骤：

1、配置网关的NAT、登陆认证和穿越认证代理

Cisco 2621:

ip nat inside source list 1 interface FastEthernet0/1 overload

ip route 0.0.0.0 0.0.0.0 211.98.1.2

！

access-list 1 permit 172.16.0.0 0.0.255.255

！

interface FastEthernet0/1

ip address 211.98.1.1 255.255.255.0

ip nat outside

interface FastEthernet0/0

ip address 172.16.3.254 255.255.255.0

ip access-group 101 in

ip nat inside

ip auth-proxy cisco

！

aaa new-model

!

aaa authentication login default group tacacs+

aaa authorization exec default group tacacs+

aaa authorization commands 1 default group tacacs+

aaa authorization commands 15 default group tacacs+

aaa authorization auth-proxy default group tacacs+

ip auth-proxy name cisco http list 1

！

access-list 101 permit ospf any any

access-list 101 permit tcp any eq tacacs host 172.16.3.254

access-list 101 permit tcp any host 172.16.3.254 eq telnet

！

tacacs-server host 172.16.1.10 key cisco

!

router ospf 1

log-adjacency-changes

network 172.16.3.254 0.0.0.0 area 0

default-information originate

!

2、核心交换机上开启802.1x认证和OSPF

Catalyst 3750:

ip routing

！

aaa new-model

!

aaa authentication dot1x default group radius

aaa authorization network default group radius

!

dot1x system-auth-control

dot1x guest-vlan supplicant

!

radius-server host 172.16.1.10 auth-port 1645 acct-port 1646 key cisco

radius-server vsa send authentication

!

vlan 2-4,10

！

interface FastEthernet0/1

switchport mode access

!

interface FastEthernet0/2

switchport mode access

dot1x pae authenticator

dot1x port-control auto

dot1x violation-mode protect

dot1x guest-vlan 4

dot1x auth-fail vlan 10

spanning-tree portfast

!

interface FastEthernet0/3

switchport access vlan 3

switchport mode access

!

interface FastEthernet0/4

switchport access vlan 4

switchport mode access

！

interface Vlan1

ip address 172.16.1.1 255.255.255.0

ip helper-address 172.16.4.10

!

interface Vlan2

ip address 172.16.2.1 255.255.255.0

ip helper-address 172.16.4.10

!

interface Vlan3

ip address 172.16.3.1 255.255.255.0

ip helper-address 172.16.4.10

!

interface Vlan4

ip address 172.16.4.1 255.255.255.0

!

interface Vlan10

ip address 172.16.10.1 255.255.255.0

ip helper-address 172.16.4.10

!

router ospf 1

log-adjacency-changes

network 172.16.1.0 0.0.0.255 area 0

network 172.16.2.0 0.0.0.255 area 0

network 172.16.3.0 0.0.0.255 area 0

network 172.16.4.0 0.0.0.255 area 0

！

3、DHCP配置

Catalyst 3750:

no ip routing

！

ip dhcp excluded-address 172.16.1.1 172.16.1.10

ip dhcp excluded-address 172.16.2.1 172.16.2.10

ip dhcp excluded-address 172.16.3.1 172.16.3.10

ip dhcp excluded-address 172.16.4.1 172.16.4.10

ip dhcp excluded-address 172.16.10.1 172.16.10.10

!

ip dhcp pool vlan1

network 172.16.1.0 255.255.255.0

default-router 172.16.1.1

!

ip dhcp pool vlan2

network 172.16.2.0 255.255.255.0

default-router 172.16.2.1

!

ip dhcp pool vlan3

network 172.16.3.0 255.255.255.0

default-router 172.16.3.1

!

ip dhcp pool vlan4

network 172.16.4.0 255.255.255.0

default-router 172.16.4.1

!

ip dhcp pool vlan10

network 172.16.10.0 255.255.255.0

default-router 172.16.10.1

!

interface FastEthernet0/0

ip address 172.16.4.10 255.255.255.0

4、ACS配置

ACS服务器即AAA服务器，可在windows2003虚拟机上安装ACS4.2模拟。

配置网关参数：









选择radius服务器和认证方式：









配置客户端信息：







选择要加入的组：





输入认证成功后加入的vlan：





测试方法：将一台PC连接在Catalyst 3750交换机的F0/2端口上，在本地连接认证方式上选择MD5质询，然后会弹出一个认证框，输入ACS服务器上设置的用户名密码。如果成功的话PC即可自动获取vlan4的地址，如果认证失败则会获取vlan10的地址。