一. 802.1X協議與體系結構
802.1X協議是 IEEE802 LAN/WAN 委員會為了解決無線局域網網絡安全問題提出的。后來該協議作為局域網端口的一個普通接入控制機制應用于以太網中,主要用于解決以太網內認證和安全方面的問題,在局域網接入設備的端口這一級對所接入的設備進行認證和控制。本交換機可以作為一個認證系統來對網絡中的計算機進行認證。連接在端口上的用戶設備如果能通過交換機認證,就可以訪問局域網中的資源;如果不能通過交換機認證,則無法訪問局域網中的資源。
802.1X 體系結構。802.1X的系統是采用典型的Client/Server體系結構,包括三個實體,如下圖所示
1) 客戶端:局域網中的一個實體,多為普通計算機,用戶通過客戶端軟件發起802.1X認證,并由設備端對其進行認證。客戶端軟件必須為支持802.1X認證的用戶終端設備。
2) 設備端:通常為支持 802.1X 協議的網絡設備,如本交換機,為客戶端提供接入局域網的物理/邏輯端口,并對客戶端進行認證。
3) 認證服務器:為設備端提供認證服務的實體,例如可以使用 RADIUS 服務器來實現認證服務器的認證和授權功能。該服務器可以存儲客戶端的相關信息,并實現對客戶端的認證和授權。為了保證認證系統的穩定,可以為網絡設置一個備份認證服務器。當主認證服務器出現故障時,備份認證服務器可以接替認證服務器的工作,保證認證系統的穩定。
二. 搭建radius認證服務器
本文以試用版的WinRadius做為認證服務端。(也可以在Windows Server 上搭建Radius認證服務器。有關服務器的搭建方法請在網上參考相關資料)
認證服務器上的配置:
● 服務器IP地址:192.168.1.101
● 認證端口:1812
● 計費端口:1813
● 密鑰:WinRadius
● 服務器上設置用戶賬號(用戶名密碼都為test1234)
三. 配置3100的802.1x功能
1.Radius配置(強調交換機的ip必須修改成跟客戶端,radius服務器同一網段)
將服務器上的相關設置對應配置在交換機上。如果不需要進行上網計費,則不需要啟用計費功能。
2.端口配置
端口模式
a) 自動:端口需要進行認證。
b) 強制授權:端口不需要認證即可通訊
c) 強制斷開:將端口強制斷開
d) 需要認證的端口使用自動模式,接Radius服務器的端口配置為強制授權即可
3.客戶端認證
1) 如果客戶端為xp用戶時,pc接到交換機的自動端口后,需要一下幾步
a)首先要開啟服務
右鍵點擊我的電腦,選擇管理,進入服務選項。開啟wired autoconfig
b)開啟服務后,右鍵單擊網絡-屬性-更改適配器設置,右鍵單擊本地連接,屬性,身份驗證,勾選802.1x認證,EAP類型選擇MD5-質疑
c)當上述信息設置成功后,桌面右下角會有提示輸入用戶名和密碼,單擊后會出現,如下圖所示,輸入之前在radius服務上創建的用戶名和密碼,即可認證成功
2)若客戶端為win7客戶端
a)首先也要開啟服務
右鍵點擊我的電腦,選擇管理,進入服務選項,開啟wired autoconfig
b)win7開啟MD5認證方式
Win7默認是MD5認證關閉的,所以我們要去執行一個注冊表,使其能支持MD5認證,
命令如下(在桌面新建一文本文檔,將以下命令輸入進去,將后綴名改為.reg,雙擊執行即可)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\PPP\EAP\4]
"RolesSupported"=dword:0000000a
"FriendlyName"="MD5"
"InvokeUsernameDialog"=dword:00000001
"InvokePasswordDialog"=dword:00000001
"Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,52,00,\
61,00,73,00,63,00,68,00,61,00,70,00,2e,00,64,00,6c,00,6c,00,00,00
c)開啟服務后,右鍵單擊網絡-屬性-更改適配器設置,右鍵單擊本地連接,屬性,身份驗證,勾選802.1x認證,驗證類型選擇MD5, 其他設置—指定身份驗證—選擇用戶或計算機身份驗證
電話:0755-29361081
地址:深圳市龍華區大浪街道麗榮路1號國樂科技園6棟13樓