【背景描述】
clip_p_w_picpath002clip_p_w_picpath004
用户在通过802.1x 认证之前属于一个VLAN,这个VLAN就是GUEST VLAN。没有通过认证的客户端计算机处于GUEST VLAN中,它们只能访问到GUEST VLAN服务器的资源,认证成功后,端口离开Guest VLAN,用户可以访问其特定的网络资源。在上面的例子里连接端口1的计算机通过认证以后,端口1被交换机自动地添加到VLAN10里面,这个时候客户端计算机可以访问服务器2中的资源。 而客户端2和客户端3没有通过认证,只能继续留在Guest VLAN中,只可以访问服务器1的资源,而不能访问服务器2的资源。需要注意的是:Guest vlan 仅支持基于端口的802.1X协议,不支持基于MAC地址的802.1X协议。
【实验拓扑】
将交换机的第1-12端口划分到V10中,将V10设置为GUEST VLAN,并且将1-8端口设置为需要进行认证的端口。把交换机的第13-24端口设置为V20中的端口。通过实验达到如下效果:将PC1接入到交换机1-8端口的任何一个,通过认证服务器的认证以后,PC1所连接的端口被交换机自动的添加到V20里面,并且PC1和PC2可以互相通信。
 
clip_p_w_picpath014
 
拓扑说明:认证服务器 IP:192.168.0.10
                  交换机IP:192.168.0.250
                 认证计算机IP:192.168.0.101
                 V20中计算机IP:192.168.0.100
                  橘红色端口所属的VLAN为Guest VLAN,名称为V10,   VID为10
                  蓝色端口所属的VLAN名称为V20,  VID为20
                  绿色端口为需要进行802.1X认证的端口
                
【实验设备】DGS-3627交换机1台,测试PC 3台,网线若干。
【实验步骤】
把交换机的控制口和PC的串口相连,通过超级终端进入交换机的配置界面,如下图。
我们通过PC的“开始→程序→附件→通讯→超级终端”,进入超级终端界面。
clip_p_w_picpath018
clip_p_w_picpath021
将每秒位数设置为:115200 , 数据位:8 ,奇偶校验:无,停止位:1,
数据流控制:硬件。注意:不同的交换机端口属性不尽相同,请参阅说明书。
点击确定,进入交换机配置界面,提示输入用户名和密码,如果没有用户名和密码,则按两下回车,进入可配置模式。
clip_p_w_picpath024
创建VLAN 10 和VLAN 20,并将交换机的1-12端口添加到VLAN 10里面,将13-24端口添加到VLAN 20 里面。
clip_p_w_picpath027
“config vlan default dele 1-24”将1-24 端口从默认的VLAN删除。“create vlan v10 tag 10” ,创建VLAN 10 。 “config vlan v10 add untag 1-12” 将交换机的1-12端口以非标签的形式添加到VLAN 10 里面。同样可以创建VLAN 20 并添加交换机端口13-24 到V20 里面。
clip_p_w_picpath030
将交换机的IP地址改为192.168.0.1,并将它指定到V10里面。PC要进行认证,Radius 服务器和交换机之间是能够进行正常通信的。我们将Radius 服务器放在V10里面,交换机的IP 地址在默认情况下是属于default VLAN 的,必须将它指定到V10里面。
clip_p_w_picpath035
默认情况下,交换机的802.1X协议时关闭的。可以使用“enable 802.1x”命令来启用它。创建Guest VLAN,将V10指定为Guest VLAN,然后将交换机端口的1-12的Guest VLAN功能开启。
然后在交换机上配制认证信息:
clip_p_w_picpath038
将交换机的第1-8 端口设置为需要认证的端口,连接到这些端口的计算机必须通过认证才能够接入网络,否则只能够与同在Guest VLAN里面的计算机进行通信。
对认证服务器进行配制:
这里使用的认证服务器是FreeRADIUS.net-1.1.5-r0.0.3。下面是对认证服务器配制的过程。
打开X:\FreeRADIUS.net\etc\raddb 文件夹的clients.conf文件,添加如图所示内容。“123456”为认证服务器与交换机之间的通信密钥。“X”为服务器软件所安装盘符。
clip_p_w_picpath040
clip_p_w_picpath042
打开X:\FreeRADIUS.net\etc\raddb文件夹的 users.conf文件,添加如图所示内容。“test”为需要认证的计算机的用户名和密码,“20”为通过认证的计算机将要加入的VLAN ID。
在启动认证服务器之前要确保服务器和交换机是可以通信的,否则交换机不能传递计算机和服务器之间的认证信息。
clip_p_w_picpath045
认证服务器启动后会在桌面右下角显示一个圆形标志,右键单击图标。点击图中所示按钮,打开服务器的debug 模式,这个模式可以观察计算机的认证过程。
clip_p_w_picpath047
认证客户端(PC 1)的操作系统以WIN XP为例,首先要保证802.1x认证功能的开启。选择“本地连接”→“属性”→“身份验证”,按图示进行操作。
clip_p_w_picpath049
认证开始的时候,提示用户输入用户名名和密码。
clip_p_w_picpath051
输入用户名“test”,密码“test”等待服务器进行认证。我们可以从认证服务器端看到认证的过程,如下图所示。
clip_p_w_picpath054
clip_p_w_picpath057
这是PC1 在没有通过认证之前的交换机的认证状态。交换机的第一个端口显示已经连接,但是没有通过认证。
clip_p_w_picpath060
使用“Show vlan ”命令显示出第1个端口仍然在V10 里面。
clip_p_w_picpath062
上图显示客户端计算机PC1 已经通过认证。
clip_p_w_picpath065
这时交换机上显示连接在端口1上面的计算机已经通过认证。
clip_p_w_picpath068
这个时候使用Show vlan命令查看,可以观察到交换机的第一个端口已经被交换机添加到V20里面。验证了Guest VLAN 的配制是正确的。
这时候测试PC1 与PC2之间的通信是正常的。
【实验总结】
为了阻止非法用户对网络的接入,保障网络的安全性,基于端口的访问控制协议802.1X无论在有线LAN或WLAN中都得到了广泛应用。在 802.1X的应用中,如果交换机端口指定了Guest VLAN项,此端口下的接入用户如果认证失败或根本没有用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。如果客户端认证成功,就可以行使更多的网络功能,使用网络内更多的资源。Guest VLAN是一种十分灵活的网络访问解决方案。