首页 > 代码库 > ACS+802.1x+AAA+AD+CA详细配置教程(五)

ACS+802.1x+AAA+AD+CA详细配置教程(五)

第四部分:Switch的配置:

enable secret 5$1$yUpo$/O8vCSe57oTveItVZEQqW0

!

username cisco password 0 cisco                 \\创建本地用户名数据库

aaa new-model                                          \\启用AAA

aaa authentication login default group radius local      \\登陆时使用radius认证,radius失效时使用本地数据库

aaa authentication dot1x default groupradius             \\使用802.1x,通过radius认证

aaa authorization network default groupradius          \\用户的权限通过Radius进行授权

!

ip routing                                                                      \\为后面两个网络开启VLAN间路由

!

dot1x system-auth-control                                        \\开启dot1x系统认证控制

!

interface FastEthernet0/4                                          \\ F0/4为普通端口

 switchport access vlan 10

 switchport mode access

!

interface FastEthernet0/5                                          \\ F0/5802.1x认证端口

 switchport access vlan 20                                        \\认证后的正常VLAN

 switchport mode access

 dot1xport-control auto                                          \\端口控制模式为自动

 dot1x guest-vlan 10                                                      \\认证失败或者无802.1x客户端时会分配到的VLAN

!

interface FastEthernet0/24                                        \\连接ACS服务器端口

 switchport mode access

!

interface Vlan1                                                       \\交换机管理IP

 ipaddress 172.16.167.200 255.255.255.0

 iphelper-address 172.16.167.172

!

interface Vlan10                                                      \\ Guest_Vlan管理IP

 ipaddress 172.16.100.253 255.255.255.0

 iphelper-address 172.16.167.172                                   \\ DHCP中继,指向DHCP服务器地址

!        

interface Vlan20

 ipaddress 172.16.200.253 255.255.255.0                 \\ Normal_Vlan管理IP

 iphelper-address 172.16.167.172

!

radius-server host 172.16.167.172 auth-port1645 acct-port 1646 key cisco

\\指定ACS服务器地址和交换机的协商时用的密码,使用Radius协议

radius-server source-ports 1645-1646                        \\系统自动生成

!

配置完后,这时候再进去交换机的时候,就可以通过域用户aaa去登陆交换机了,AAA实现起来很简单,这里就不再详细描述。

wKiom1R7yMugYm09AAJBPN4HhIY846.jpg

 


第五部分:客户端配置

打开本地连接,右键属性,验证,把启用此网络的IEEE 802.1x验证勾上,然后EAP类型:受保护的EAPPEAP

wKiom1R7yNbhJEuJAAIGEcHf1m8487.jpg

如果client已加入了域,可把自动使用Windows登陆名和密码勾上,实现单点登陆

wKioL1R7yWazaAtqAAIvqdNmHtM271.jpg

 


第六部分:测试效果

为了测试的效果,我在CA上起用了DHCP服务,分为Guest_Vlan:172.16.100.0/24, GW:172.16.100.253; Normal_Vlan:172.16.200.0/24, GW: 172.16.200.253;然后PC可以通过服务器上的DHCP分配到地址,这个步骤相信大家都会了,很简单。

wKiom1R7yOjxZqQIAAKy44AG2ns873.jpg

 

1、无802.1x客户端情况

先把PC接在启用了802.1x的端口上,如果这时候PC没有使用802.1x验证,将会被分配到了Guest_Vlan中(172.16.100.0/24),得到的地址为172.16.100.1

wKioL1R7yXmgz6OxAALcUJYE3yk054.jpg

 

2、启用802.1x客户端情况

选择PEAP验证以后,这时会在桌面右下脚弹出一个提示,要求输入

wKiom1R7yRfRCfn8AALKqS_IdKA801.jpg

点击这个提示,输入之前域里面定义好的用户aaa,密码aaa

wKioL1R7yaeiA4qIAALdqgaRmG0522.jpg

输入完后会通过ACS把用户名密码发到DC上去验证,这时可以在交换机上debug radiux看到认证过程的信息。最后验证成功以后,会分配到Normal_Vlan的地址172.16.200.1

wKiom1R7ySfD6BwEAAJ3EwkALHo776.jpg

这时候去ACS上面的Reports And Activity可以看到aaa用户的登陆情况

wKioL1R7ybiDKVjnAAOkXEG3ZN0783.jpg

User Setup里面,可以看到aaaACS本地默认组的一个映射。bbbACS的本地用户

wKiom1R7yTeCRXu5AAIoZyN83kg545.jpg


视频分享:http://www.dwz.cn/lij9D

 


ACS+802.1x+AAA+AD+CA详细配置教程(五)