课件ccie security实验802.1x cie802指南

1、For ShaoBo Ao802.1x 实验指南实验拓扑：实验需求：配制 SW1 的 fa0/10 口做基于端口的认证，希望通过认证后用户能够放入到 VLAN2 中来。fa0/10 可能有不同的用户连接到此接口，如果不能认证成功或则 PC 客户不支持认证，将用户放到 VLAN10 中，并定期重新认证。配制 SW1 的管理地址，管理 PC 在 VLAN20，并且地址为 100.100.100.15/24选择合适的认证协议来和 ACS 服务器进行通讯，控制台不应该受到此认证的影响。和 AC进行通讯的是 cisco123，用户自己创造。5 必须要看试验效果。实验解法：SW1(config)#fa0/

2、15SW1(config-if)#switchport mode acsSW1(config-if)#switchport ac需求 3 解法：s vlan 20SW1(config)#vlan 20SW1(config-if)#ip add 100.100.100.15 255.255.255.0For ShaoBo AoSW1(config-if)#no shuSW1(config)#aaa new-m需求 4 解法：SW1(config)#radius-server host 100.100.100.15 key cisco123 SW1(config)#aaa authenticati

3、on login nocon none SW1(config)#line console 0SW1(config-line)#login authen nocon SW1(config)#username cisco password cisco SW1(config)#aaa authentication dot1x default group radiusSW1(config)#aaa authorization network default group radiusSW1(config)#dot1x system-auth-controlSW1(config)#fa0/10SW1(co

4、nfig-if)#switchport mode acsSW1(config-if)#dot1x port-control auto需求 2 解法：SW1(config-if)#dot1x guest-vlan 10 SW1(config-if)#dot1x auth-faol vlan 10 SW1(config-if)#dot1x timeout quiet-period 30需求 2 解法：配置 RADIUS 服务器1、 在ACS 导航条中点击“Network Configuration”将交换机添加为AAA cnt，认证协议使用“Radius（IETF）”，如下图所示：2 在 ACS

5、导航条中点击“ erface Configure”然后选择 Radius（IETF），进入到以下界面。For ShaoBo Ao选中“ 064 Tunnel-Type ” 、“ 065 Tunnel-Medium-Type ” 、“ 081Tunnel-Private-Grou”复选框，点击“submit”3、在ACS 导航条中点击“User Setup”添加用户并且分配到相应的组中。4、在ACS 导航条中点击“Group Setup”编辑组设置，将“064 Tunnel-Type”1 的值设置为“VLAN”，将“065 Tunnel-Medium-Type”1 的值设置为“802”，将“08

6、1Tunnel-Private-Grou”1 的值设置为该组用户所对应的VLAN ID。如下图所示：For ShaoBo Ao5、在ACS 导航条中点击“System签名的勾去掉，如下图所示：configuration”，将“Allow LEAP (ForAironet only)”图 系统设置 第五步，测试。目前支持802.1x 认证的windows操作系统有Windows 2000 sp4、Windows xp、Windows server2003，将PC 接到交换机端口前还需将“本地连接”的802.1x 验证方式选为“MD5-质询”，如下图所示：For ShaoBo Ao接下来，将PC 接入到交换机上，不用多久，任务栏上会弹出提示框，提示输入