Cisco 利用 802.1X,动态VLAN和DHCP技术实现方案(2)

　　　三台华为3026E的地址配置在Vlan100上，分别为10.1.0.251，10.1.0.252，10.1.0.253。交换机和 ACS的MD Key统一设定为newman。ACS 3.3服务器属于VLAN100的地址，地址为10.1.0.250。DHCP用Win 2000Server内置的DHCP服务器。802.1X用华为V2.20-0231版、港湾的客户端软件。

　　2、ACS3.3安装配置要点

安装Win2000 Server英文版，ACS 3.3按默认IETF选项安装，配置

　　　(1)增加Server配置中的AAA Server和Client

AAA Server：10.1.0.250

AAA Client：10.1.0.251,10.1.0.252,10.1.0.253,10.0.254

　　　(2)配置RADIUS的Interface，支持064,065,081属性

　　　(3)配置全局属性System Blobal支持EAP-MD5 Challege认证报文

　　　(4)修改组属性

组名　　064　　065　　081　　　其他默认

group100　　Vlan　　802　　100　　　可选

group110　　Vlan　　802　　110　　　如时间等

group120　　Vlan　　802　　120

group130　　Vlan　　802　　130

　　　(5)RADIUS服务器增加4个用户

用户名　　所属组　　其他属性

User100　　Group100　　可选

User110　　Group110　　如session等

User120　　Group120

User130　　Group130

　　3、DHCP安装配置要点

安装Win2000的DHCP服务，配置如表所示的四个作用域，其他可选默认选项

用域　　　地址范围　　　　　　　　掩码　　　　　　　　网关

Vlan100　10.1.0.1-10.1.0.249　　　　255.255.255.0　　　10.1.0.254

Vlan110　10.1.10.1-10.1.10.249　　　255.255.255.0　　　10.1.10.254

Vlan120　10.1.20.1-10.1.20.249　　　255.255.255.0　　　10.1.20.254

Vlan130　10.1.30.1-10.1.30.249　　　255.255.255.0　　　10.1.30.254

　　4、CISCO3550配置

　　　　定义AAA

aaa new-model配置通过RADIUS认证

aaa authen dot1x default group radius

aaa author network default radius

dot1x system-auth-control 启用802.1X

radius-server host 10.1.0.250 key newman 指定认证服务器

radius-server vsa seng authentication可以接受VSA信息

int vlan100定义Vlan接口及地址、DHCP服务器地址

ip addr 10.1.0.254 255.255.255.0

int vlan110

ip addr 10.1.10.254 255.255.255.0

ip help-address 10.1.0.250

int vlan120

ip addr 10.1.20.254 255.255.255.0

ip help-address 10.1.0.250

int vlan 130

ip addr 10.1.30.254 255.255.255.0

ip help-address 10.1.0.250

ip routing 启用路由功能

service dhcp启用DHCP服务

int f0/1 一端口示例,启用802.1X认证

switchport mode access

dot1x port-control auto

spanning-tree portfast

这样当接入F0/1的PC通过用户user100的认证，将分配vlan100和10.1.0.0的网络地址，用户user110的认证，将分配vlan110和10.1.10.0的网络地址，其他类同。

　　　5、华为3026E配置

radius scheme system定义radius scheme

server-type stand 定义服务器的标准为IETF模式

primary authen 10.1.0.250 定义认证服务器

primary accounting 127.0.0.1 1646如果需要计费配置相应服务器地址

accounting optinal 必选项

keu authen newman Md key的值

user-name-format without-domain传输用户名为标准，不添加域

domain system

radius-scheme system 指定domain为system

access-limit disable

state active

vlan-assignment string指定华为接受的vlan号为字符串模式

domain default enable system指定系统的默认domain为system

local-server nas-ip 127.0.0.1 key newman指定AAAclient地址，用于AAA服务器认证

dot1x 启用全局的802.1X协议

dot1x authen eap 指定认证模式为eap-md5

vlan 100定义可以传输的VLAN

int e0/1 一端口的示例,启用认证协议

dot1x