网络安全实验教程
利用接入层802.1x安全网络接入
【实验名称】
利用接入层802.1x安全网络接入
【实验目的】
使用交换机的802.1x功能实现安全的网络接入
【背景描述】
某企业的网络管理员为了防止有公司外部的用户将电脑接入到公司网络中,造成公司信息资源受到损失,希望员工的电脑在接入到公司网络之前进行身份验证,只有具有合法身份凭证的用户才可以接入到公司网络。
【需求分析】
实现网络中基于端口的认证,交换机的802.1x特性可以满足这个要求。只有用户认证通过后交换机端口才会“打开”,允许用户访问网络资源。
【实验拓扑】
【实验设备】
交换机 1台 PC机 2台(其中1台需安装802.1x客户端软件,本实验中使用锐捷802.1x客户端软件)
RADIUS服务器 1台(支持标准RADIUS协议的RADIUS服务器,本例中使用第三方RADIUS服务器软件WinRadius,在实际应用环境中,推荐使用锐捷SAM系统作为RADIUS服务器,以支持更多的高级扩展应用)
第一章 网络基础设施安全实验
【预备知识】
交换机转发原理 交换机基本配置 802.1x原理
【实验原理】
802.1x协议是一种基于端口的网络接入控制(Port Based Network Access Control)协议。“基于端口的网络接入控制”是指在局域网接入设备的端口级别对所接入的设备进行认证和控制。如果连接到端口上的设备能够通过认证,则端口就被开放,终端设备就被允许访问局域网中的资源;如果连接到端口上的设备不能通过认证,则端口就相当于被关闭,使终端设备无法访问局域网中的资源。
【实验步骤】
第一步:验证网络连通性
按照拓扑配置PC1、PC2、RADIUS服务器的IP地址,在PC1上ping PC2的地址,验证PC1与PC2的网络连通性,可以ping通:
第二步:配置交换机802.1x认证
Switch#configure
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x ruijie group radius Switch(config)#dot1x authentication ruijie
Switch(config)#radius-server host 192.168.1.254 Switch(config)#radius-server key 12345
!此处配置的密钥要与RADIUS服务器上配置的一致
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.200 255.255.255.0 Switch(config-if)#exit
Switch(config)#interface fastEthernet 0/1 Switch(config-if)#dot1x port-control auto !启用F0/1端口的802.1x认证
65
网络安全实验教程
Switch(config-if)#end Switch#
第三步:验证测试
此时用PC1 ping PC2的地址:
由于F0/1端口启用了802.1x认证,在PC1没有认证的情况下,无法访问网络。
第四步:配置RADIUS服务器
运行WinRadius服务器,并添加帐户信息:
设置帐户信息,用户名为test,密码为testpass:
66
第一章 网络基础设施安全实验
设置RADIUS服务器系统属性:
设置RADIUS服务器的密钥,要与交换机上配置的秘钥保持一致;验证端口号和计费端口号都保持默认的标准端口号,如果设置其他的端口号,也需要在交换机上的RADIUS服务器配置中进行相应配置:
67
网络安全实验教程
第五步:启用802.1x客户端进行验证
在PC1上启动锐捷802.1x客户端,输入用户名(test)和密码(testpass),单击“连接”按钮进行认证:
认证成功后,在Windows右下角的状态栏中显示认证成功:
下图为在PC1上捕获的802.1x认证过程(EAP-MD5认证方式)的报文:
68
第一章 网络基础设施安全实验
第六步:验证测试
在PC1上ping PC2的IP地址,由于通过了802.1x认证,F0/1端口被“打开”,PC1与PC2可以ping通:
查看交换机的802.1x认证状态,可以看到PC1已通过认证: Switch#show dot1x summary ID MAC Interface VLAN Auth-State Backend-State Port-Status User-Type -------- -------------- --------- ---- --------------- ------------- ----------- --------- 14 0015.f2dc.96a4 Fa0/1 1 Authenticated Idle Authed static
Switch#show dot1x user id 14
User name: test User id: 14 Type: static
Mac address is 0015.f2dc.96a4 Vlan id is 1
Access from port Fa0/1
Time online: 0days 0h 0m10s User ip address is 192.168.1.1
Max user number on this port is 6000
69
网络安全实验教程
Start accounting Permit proxy user Permit dial user IP privilege is 0
第七步:注销802.1x认证 单击“断开连接”,注销802.1x认证。下图为在PC1上捕获的802.1x注销过程的报文:
【注意事项】
在认证过程中,需要保证交换机与RADIUS服务器之间可达。
【参考配置】
Switch#show running-config
Building configuration...
Current configuration : 1367 bytes !
hostname Switch !
aaa new-model ! !
aaa authentication dot1x ruijie group radius ! !
vlan 1 ! ! ! ! !
70
第一章 网络基础设施安全实验
! !
radius-server host 192.168.1.254 radius-server key 7 0549546d577a ! ! ! !
dot1x authentication ruijie interface FastEthernet 0/1 dot1x port-control auto !
interface FastEthernet 0/2 !
interface FastEthernet 0/3 !
interface FastEthernet 0/4 !
interface FastEthernet 0/5 !
interface FastEthernet 0/6 !
interface FastEthernet 0/7 !
interface FastEthernet 0/8 !
interface FastEthernet 0/9 !
interface FastEthernet 0/10 !
interface FastEthernet 0/11 !
interface FastEthernet 0/12 !
interface FastEthernet 0/13 !
interface FastEthernet 0/14 !
interface FastEthernet 0/15 !
interface FastEthernet 0/16 !
interface FastEthernet 0/17 !
71
网络安全实验教程
interface FastEthernet 0/18 !
interface FastEthernet 0/19 !
interface FastEthernet 0/20 !
interface FastEthernet 0/21 !
interface FastEthernet 0/22 !
interface FastEthernet 0/23 !
interface FastEthernet 0/24 !
interface GigabitEthernet 0/25 !
interface GigabitEthernet 0/26 !
interface GigabitEthernet 0/27 !
interface GigabitEthernet 0/28 !
interface VLAN 1
ip address 192.168.1.200 255.255.255.0 ! ! ! ! !
line con 0 line vty 0 4 login ! ! end
72
