一:实验环境:
二:实验配置
1:配置SW1和SW2之间使用trunk链路,使用VTP配置vlan 10,将PC1所连接端口加入到
vlan 10,将ACS服务器所连端口加入到vlan 1
2:用三层交换机实现vlan间路由,并且给SW2的VLAN 1配置192.168.1.222作为管理地址.
3:在ACS服务器上搭建DHCP服务器,并在三层交换机上配置DHCP中继,让客户端能够自动
获取IP地址.
4:搭建ACS服务器.
5:在SW2上启用802.1X认证.
6:测试PC连接情况.
三:配置情况:
1:在sw1上sw2之间使用trunk链路,使用VTP配置VLAN 10.
2:用三层交换机实现VLAN间路由.
SW1(config)#int vlan 1
SW1(config-if)#ip add 192.168.1.254 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#int vlan 10
SW1(config-if)#ip ad 10.254 255.255.255.0
3:在ACS服务器上配置DHCP服务器,让客户端能够自动获取IP地址.
SW1(config)#int vlan 10
SW1(config-if)#ip helper-address 192.168.1.100
发现客户端已经获取了ip地址为192.168.10.100
4:搭建ACS服务器.
(1) 给sw2的vlan 1配置管理地址192.168.1.222
(2) 将sw2加入AAA的客户端并更改服务端的认证统计端口为1812和1813
(3)添加用户.
(4)interface configuration(添加用户接口)
(5)设置组的64,65,81属性.
(6)在交换机上配置802.1x认证.
SW2(config)#aaa new-model
SW2(config)#aaa authentication login default none
//用户其它登录方式不使用AAA认证
SW2(config)#aaa authentication dot1x default group radius //dot1X使用AAA认证
SW2(config)#aaa authorization network default group radius //授权使用AAA
SW2(config)# radius-server host 192.168.1.100 auth-port 1812 acct-port 1813 key cisco
//使用Radius Server的地址和预共享密钥
SW2(config)#radius-server vsa send //使用厂商特有属性
SW2(config)#dot1x system-auth-control//启用802.1X
SW2(config)#int f0/2
SW2(config-if-range)#switchport mode access
SW2(config-if-range)#spanning-tree portfast
SW2(config-if-range)#dot1x port-control auto
需求2: 员工要能够更改自己使用网络的密码
实现步骤:
1:安装IIS
2:服务器CA证书服务
3:申请并安装WEB证书
4:服务器安装UCP软件并配置虚拟目录
5:员工在客户端通过IE修改密码
https://ip/secure
