网络安全工程师 作者 程庆梅 3.802.1x与VPN技术.pptVIP

* * * * 实验说明： 1、本实验需要的产品很多：802.1x交换机、DCBI-3000、802.1x客户端、PC机 2、 前期配置：已安装DCBI-3000，并且有开户；PC机上安装了802.1x客户端。 3、实验验证：未认证前，PC ping 交换机和DCBI都不通；认证后，可以进行平常的通信，并且在DCBI-3000上可以看到该用户，并且对该用户可以进行一系列的授权和操作 * * * * * 本节实训 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： 1.802.1X端口认证调试 802.1x交换机 802.1x交换机 DCS-2026B、DCS-3526、DCS-2008E 、DCS-2017E 、DCS-2026E 、DCS-3926S、DCS-3950S、DCRS-5526S等 现在功能有： 基于标准的、增强的802.1x认证和时长、流量计费功能 可实现基于端口方式的认证、和基于MAC地址方式的认证（一端口可带多人） 支持在线用户是否异常断线的侦测机制 可实现小汇聚的组网方案 对于堆叠交换机，可实现一组并发500-1500人。已经实现，要在交换机上用show mod确认dot1x(或802.1x)的版本为V002R4k 适用行业：高教、普教、政务网、运营商 802.1x客户端 客户端软件（免费提供） 包括802.1x client、接入管理器认证client，内外网二次认证转一次认证的client 防代理 上网后防IP地址篡改 防启用非法DHCP Server 网络毒病和异常流量的检测与向DCBI-3000-EN实时告警功能 实时短消息的接收和显示功能 Client经过加密处理，上网者无法通过反编译等手法破解防代理功能 Client新版本自动升级功能 防BT下载 防同一交换机端口下通过PC克隆（现时进行MAC、IP地址的盗用）的方式，在只申请一个帐号的情况下多人上网 802.1X调试拓扑图 DCBI-3000/DCSM /24 /24 /24 PC DCS-3926S (DCS-3950S,DCRS-5526S) 端口1：AUTO 端口2：ForceAuthorized （默认） 802.1X实验配置 配置准备 Switch#set default Are you sure? [Y/N] = y Switch#write Switch#reload 设置交换机地址 Switchena Switch#config Switch(config)#interface vlan 1 Switch(Config-If-Vlan1)#ip address Switch(Config-If-Vlan1)# no shutdown Switch(Config-If-Vlan1)# exit Radius服务器配置 Switch(config)#radius-server key digitalchina Switch(config)#radius-server radius-server authentication host Switch(config)#radius-server radius-server accounting host Switch(config)#aaa enable Switch(config)#aaa-accounting enable Switch(config)#dot1x enable Switch(config)# dot1x privateclient enable 配置端口 Switch(config)#interface ethernet 0/0/1 Switch(Config-Ethernet0/0/1)#dot1x enable Switch(Config-Ethernet0/0/1)#dot1x port-control auto Switch(Config-Ethernet0/0/1)# dot1x port-method portbased Switch(Config-Ethernet0/0/1)# exit Switch(config)#interface ethernet 0/0/2 Switch(Config-Ethernet0/0/1)# dot1x enable Switch(Config-Ethernet0/0/1)# dot1x port-control force-authorized Switch(Config-Ethernet0/0/1)# exit 保存配置 Switch#show dot1x Switch#write 显示交