【背景描述】
用戶在通過802.1x 認證之前屬於一個VLAN,這個VLAN就是GUEST VLAN。沒有通過認證的客戶端計算機處於GUEST VLAN中,它們只能訪問到GUEST VLAN服務器的資源,認證成功後,端口離開Guest VLAN,用戶可以訪問其特定的網絡資源。在上面的例子裏連接端口1的計算機通過認證以後,端口1被交換機自動地添加到VLAN10裏面,這個時候客戶端計算機可以訪問服務器2中的資源。 而客戶端2和客戶端3沒有通過認證,只能繼續留在Guest VLAN中,只可以訪問服務器1的資源,而不能訪問服務器2的資源。需要注意的是:Guest vlan 僅支持基於端口的802.1X協議,不支持基於MAC地址的802.1X協議。
【實驗拓撲】
將交換機的第1-12端口劃分到V10中,將V10設置爲GUEST VLAN,並且將1-8端口設置爲需要進行認證的端口。把交換機的第13-24端口設置爲V20中的端口。通過實驗達到如下效果:將PC1接入到交換機1-8端口的任何一個,通過認證服務器的認證以後,PC1所連接的端口被交換機自動的添加到V20裏面,並且PC1和PC2可以互相通信。
拓撲說明:認證服務器 IP:192.168.0.10
交換機IP:192.168.0.250
認證計算機IP:192.168.0.101
V20中計算機IP:192.168.0.100
橘紅色端口所屬的VLAN爲Guest VLAN,名稱爲V10, VID爲10
藍色端口所屬的VLAN名稱爲V20, VID爲20
綠色端口爲需要進行802.1X認證的端口
【實驗設備】DGS-3627交換機1臺,測試PC 3臺,網線若干。
【實驗步驟】
把交換機的控制口和PC的串口相連,通過超級終端進入交換機的配置界面,如下圖。
我們通過PC的“開始→程序→附件→通訊→超級終端”,進入超級終端界面。
將每秒位數設置爲:115200 , 數據位:8 ,奇偶校驗:無,停止位:1,
數據流控制:硬件。注意:不同的交換機端口屬性不盡相同,請參閱說明書。
點擊確定,進入交換機配置界面,提示輸入用戶名和密碼,如果沒有用戶名和密碼,則按兩下回車,進入可配置模式。
創建VLAN 10 和VLAN 20,並將交換機的1-12端口添加到VLAN 10裏面,將13-24端口添加到VLAN 20 裏面。
“config vlan default dele 1-24”將1-24 端口從默認的VLAN刪除。“create vlan v10 tag 10” ,創建VLAN 10 。 “config vlan v10 add untag 1-12” 將交換機的1-12端口以非標籤的形式添加到VLAN 10 裏面。同樣可以創建VLAN 20 並添加交換機端口13-24 到V20 裏面。
將交換機的IP地址改爲192.168.0.1,並將它指定到V10裏面。PC要進行認證,Radius 服務器和交換機之間是能夠進行正常通信的。我們將Radius 服務器放在V10裏面,交換機的IP 地址在默認情況下是屬於default VLAN 的,必須將它指定到V10裏面。
默認情況下,交換機的802.1X協議時關閉的。可以使用“enable 802.1x”命令來啓用它。創建Guest VLAN,將V10指定爲Guest VLAN,然後將交換機端口的1-12的Guest VLAN功能開啓。
然後在交換機上配製認證信息:
將交換機的第1-8 端口設置爲需要認證的端口,連接到這些端口的計算機必須通過認證才能夠接入網絡,否則只能夠與同在Guest VLAN裏面的計算機進行通信。
對認證服務器進行配製:
這裏使用的認證服務器是FreeRADIUS.net-1.1.5-r0.0.3。下面是對認證服務器配製的過程。
打開X:\FreeRADIUS.net\etc\raddb 文件夾的clients.conf文件,添加如圖所示內容。“123456”爲認證服務器與交換機之間的通信密鑰。“X”爲服務器軟件所安裝盤符。
打開X:\FreeRADIUS.net\etc\raddb文件夾的 users.conf文件,添加如圖所示內容。“test”爲需要認證的計算機的用戶名和密碼,“20”爲通過認證的計算機將要加入的VLAN ID。
在啓動認證服務器之前要確保服務器和交換機是可以通信的,否則交換機不能傳遞計算機和服務器之間的認證信息。
認證服務器啓動後會在桌面右下角顯示一個圓形標誌,右鍵單擊圖標。點擊圖中所示按鈕,打開服務器的debug 模式,這個模式可以觀察計算機的認證過程。
認證客戶端(PC 1)的操作系統以WIN XP爲例,首先要保證802.1x認證功能的開啓。選擇“本地連接”→“屬性”→“身份驗證”,按圖示進行操作。
認證開始的時候,提示用戶輸入用戶名名和密碼。
輸入用戶名“test”,密碼“test”等待服務器進行認證。我們可以從認證服務器端看到認證的過程,如下圖所示。
這是PC1 在沒有通過認證之前的交換機的認證狀態。交換機的第一個端口顯示已經連接,但是沒有通過認證。
使用“Show vlan ”命令顯示出第1個端口仍然在V10 裏面。
上圖顯示客戶端計算機PC1 已經通過認證。
這時交換機上顯示連接在端口1上面的計算機已經通過認證。
這個時候使用Show vlan命令查看,可以觀察到交換機的第一個端口已經被交換機添加到V20裏面。驗證了Guest VLAN 的配製是正確的。
這時候測試PC1 與PC2之間的通信是正常的。
【實驗總結】
爲了阻止非法用戶對網絡的接入,保障網絡的安全性,基於端口的訪問控制協議802.1X無論在有線LAN或WLAN中都得到了廣泛應用。在 802.1X的應用中,如果交換機端口指定了Guest VLAN項,此端口下的接入用戶如果認證失敗或根本沒有用戶賬號的話,會成爲Guest VLAN 組的成員,可以享用此組內的相應網絡資源,這一種功能同樣可爲網絡應用的某一些羣體開放最低限度的資源,併爲整個網絡提供了一個最外圍的接入安全。如果客戶端認證成功,就可以行使更多的網絡功能,使用網絡內更多的資源。Guest VLAN是一種十分靈活的網絡訪問解決方案。