日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

使用802.1x進行自動VLAN分配

云知道

【使用802.1x進行自動VLAN分配】設(shè)備環(huán)境:Cisco Catalyst 3550-24-EMI(IOS:12.1(14)EA1 EMI),Cisco Secure ACS v3.1
1、和802.1x相關(guān)的交換機主要配置內(nèi)容:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---假如只是做802.1x認證,則aaa authorization network這句可不要,如要做VLAN分配或per-user ACL,則必須做network authorization
dot1x system-auth-control
!---注重在12.1(14)EA1版以后802.1x的配置有了修改,此句enable 802.1x
interface FastEthernet0/1
description To Server_Farm
switchport mode Access
dot1x port-control auto
dot1x max-req 3
spanning-tree portfast
!---dot1x port-control auto句在F0/1上enable dot1x,另外注重在F0/1口下我并沒有給它賦VLAN
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_string
radius-server vsa send authentication
!---radius-server host 1.2.3.4句定義radius server信息,并給出驗證字串
!---因為要配置VLAN分配必須使用IETF所規(guī)定的VSA(Vendor-specific attributes)值,radius-server vsa send authentication句答應(yīng)交換機識別和使用這些VSA值 。
配置802.1x動態(tài)分配VLAN所用到的VSA值規(guī)定如下:
[64] Tunnel-Type = VLAN
[65] Tunnel-Medium-Type = 802
[81] Tunnel-Private-Group-ID = VLAN name or VLAN ID
2、和802.1x相關(guān)的ACS主要配置內(nèi)容:
這個配置要看圖了,另外附帶說一點,Cisco文檔說ACS 3.0之前是不支持802.1x的 。因為802.1x使用radius進行認證,所以在選用認證協(xié)議時我選用的是RADIUS(IETF),而缺省是Cisco的TACACS。
在Interface Configuration中對RADIUS(IETF)進行配置,在組用戶屬性中選中[64]Tunnel-Type、[65] Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID(見下圖) 。
在Group Setup中對RADIUS Vendor-Specific Attributes值進行編輯:勾選[64]Tunnel-Type,將tag 1的值選為VLAN;勾選[65] Tunnel-Medium-Type,將tag 1的值選為802;勾選[81]Tunnel-Private-Group-ID,將tag 1的值設(shè)為7,表明為VLAN。設(shè)置完后,Submit Rest 。
3、工作站端的設(shè)置:
WINXP本身內(nèi)置對802.1x的支持,微軟在前不久出了一個補丁可以讓W(xué)IN2K也支持802.1x,需要注重的是WIN2K SP4已經(jīng)內(nèi)置了對802.1x的支持,SP3以下可使用此補丁:
http://support.microsoft.com/default.ASPx?scid=kb;en-us;313664
安裝完此補丁后,802.1x默認是不啟動的,可在服務(wù)中手動打開Wireless Configuration服務(wù),打開此服務(wù)后,在網(wǎng)卡連接屬性中會多出一欄Authenticatioin,在此欄中勾選Enable network access control using IEEE 802.1x,同時在EAP type中選中MD5-Challenge 。
4、測試:
在所有設(shè)置完成后,可以觀察到802.1x enable的F0/1口上狀態(tài)燈顯示為黃燈,而在工作站端過一會后會彈出一個認證窗口,在用戶名/口令處填入ACS中定義好的用戶名/口令,域名處不填,同時觀察WIN2K systray處的連接圖標,上面會有和認證服務(wù)器聯(lián)系及認證用戶的浮動提示,同時F0/1的狀態(tài)燈也會順利變?yōu)榫G燈 。
認證通過后檢驗VLAN值是否已正確分配:先ping VLAN7的網(wǎng)關(guān)地址,通;再ping其它VLAN的網(wǎng)關(guān)地址,通;最后看可否上Internet,通 。
ACS Interface Configuration設(shè)置圖例見下圖 。
點擊查看大圖
點擊查看大圖ACS Group Setup設(shè)置圖例網(wǎng)絡(luò)連接屬性設(shè)置圖例
注:
1、ip 可以由3550 來作dhcp server,顯示802 。1x 激活端口,然后用dhcp 分ip,至于mac地址再綁定,這里沒有必要了,有了802 。1x 就不用vmps拉,; 802 。1x可以根據(jù)用戶名來分vlan 。
2、接注1問題,我是想確定每臺電腦的IP地址 。例如現(xiàn)在用的6509,假如直接用它做DHCP ,那么端口激活得到VLAN TAG后,分配的IP地址我想固定死 。因為我們針對防火墻日志自己開發(fā)了一個分析軟件是基于IP地址的 。這種情況下我想固定分配給客戶端IP 。但是客戶端電腦又要從DHCP中得到固定IP.

推薦閱讀