基于802.1X控制的LAN接入实验
实验目的
- 掌握 802.1X 接入控制模式结构、原理及特点;
- 掌握 802.1X 服务器和客户端的配置方法;
- 掌握不同 802.1X 客户划分不同 VLAN 的应用及配置方法;
- 理解并掌握 VLAN 通信的测试方法;
- 掌握 802.1X 的认证过程及测试方法。
实验内容
- VLAN 的配置与测试;
- DHCP 服务器的配置;
- LAN 802.1X 接入控制方式配置与测试;
- 用户独享帐户,通过认证和授权,接入外网。
实验器材
- 以太交换机 2 台;
- PC 级 6-8 台(用途: 1 台 Radius 服务器,1 台 DHCP+NAT 服务器,1 台外网主机,1 台配置机,3-4 台 802.1X 客户机);
- USB 接口的以太网卡:科 B119 房间 2 个,科 B121 房间 7-9 个;
- USB 转串口配置线 1 根(仅科 B121 实验室需要);
- 网线:科 B119 房间 1 根,科 B121 房间 7-9 根。
实验原理
系统结构
802.1X+RADIUS 接入认证与控制方式基于 802.1X 协议,在交换机接入端口上对用户进行接入控制,系统结构如下图所示。图中连接用户的以太交换机必须支持 802.1X 协议,基于端口实现对用户的接入控制。用户 PC 上必须运行 TCP/IP 协议和 802.1X 协议。802.1X 接入交换机与 RADIUS 服务器之间运行 RADIUS 协议,由 RADIUS 服务器实现对用户身份合法性进行认证,并对认证通过的用户进行授权。
基本原理
802.1X协议是一个基于端口的接入控制协议。其接入控制基本原理如下图所示。
802.1X 协议的接入端口在逻辑上分为两个逻辑端口:受控端口和非受控端口。非受控端口始终处于连通状态,用来传送认证信息。受控端口默认情况下处于断开状态,只有在认证通过后才接通,用来传送用户的业务数据。
因此,在认证没有通过前,用户只能通过 802.1X 接入交换机传送认证信息,接入交换机再通过 RADIUS 协议把认证信息送到 RADIUS 服务器上,由 RADIUS 服务器进行认证,并把认证的结果返回给接入交换机。接入交换机根据认证结果控制用户的接入,若认证成功,则接通受控端口,允许用户接入,否则,受控端口继续保持为断开状态,拒绝用户接入,从而 802.1X 协议基于端口实现了对用户的接入控制。
实验拓扑
本实验是基于 VLAN 应用的 802.1X 接入控制的接入实验,需要对 802.1X 交换机上开启802.1X 协议、配置 RADIUS 客户端、配置 VLAN,在 PC 机上配置 802.1X 客户端,用户通过RASIUD 服务器认证授权后,802.1X 服务器控制接入(802.1X 交换机接通受控端口),由 DHCP服务器为 802.1X 客户分配 IP 地址,然后 802.1X 客户通过 PCI 以太网连接到 Internet。实验拓扑如图下图所示。
| 图中标注设备功能 | 数量(台) | 实际使用设备 | 说明 |
|---|---|---|---|
| 接入用户区PC(802.1X客户) | 3-4 | 实验室PC或笔记本电脑 | 运行windows系统(可以选择“wireshark”镜像) |
| 配置机 | 1 | 实验室PC | 科B119运行widows系统(选择wireshark镜像) |
| L2/SW | 2 | 实验室以太网交换机 | 科B119为SRG-3760-24 |
| RADIUS服务器 | 1 | 实验室PC | 运行Iinux系统(选择“接入网实验全家桶”镜像) |
| 网关(DHCP、NAT服务器) | 1 | 实验室PC | 运行Iinux系统(选择“接入网实验全家桶”镜像) 上图中,网关有三个外联接口: ens3:电脑以太网口(去校园网) enx000 XXXXxXXXX:外联USB网卡(119已有) enx000 KXXxxxXXx:外联USB网卡(自行插入) (以实际网卡名称为准) |
| 外网主机 | 1 | 实验室PC | 运行windows系统(选择“wireshark”镜像) |
实验步骤与记录
设备连接与实验准备
根据实际设备与L2/SW1连接端口,VLAN规划并确定相关设备端的IP地址,记录如表3-1。
| 端口号 | 连接功能设备 | VLAN ID | 实验USB网卡的IP地址 |
|---|---|---|---|
| 1 @交换机1 | 802.1X客户1(PC1) | 2 | 172.16.22.10-100/24 |
| 2 @交换机1 | 802.1X客户2(PC2) | 2 | 172.16.22.10-100/24 |
| 3 @交换机1 | 802.1X客户3(PC3) | 3 | 172.16.33. 10-100/24 |
| 4 @交换机1 | 802.1X客户4(PC4) | 3 | 172.16.33. 10-100/24 |
| 5 @交换机1 | 网关设备内网子接口1 (PC1和PC2的网关) | 2 | 172.16.22.2/24 |
| 5 @交换机1 | 网关设备内网子接口2 (PC3和PC4的网关) | 3 | 172.16.33.2/24 |
| × | 802.1X服务器 | 1 | 172.16.3.210/24 |
| 5 @交换机1 | 802.1X服务器的网关 | 1 | 172.16.3.254/24 |
| 1 @交换机2 | 网关设备外网接口 | × | 192.168.0.200/24 |
| 2 @交换机2 | RADIUS服务器 | × | 192.168.0.201/24 |
| 3 @交换机2 | 外网主机 | × | 192.168.0.203/24 |
网关配置
网关设备在实验中需要使用两块 USB 实验网卡,在实验准备中已经将 USB 网卡接入网关 PC,且已连接到相关交换机端口。作为网关的 PC 选择“接入网实验全家桶”镜像,操作系统为 Ubuntu22.04,密码为 123456。
(1)配置 VLAN trunk 端口与子接口IP地址
- 识别连接内网的USB网卡(连接交换机1的USB网卡),加载8021q 模块;
- 添加vlan2和vlan3,注:重启后配置会消失,如不慎重启请重新配置;
- 配置IP 地址,再次使用 ifconfig 命令查看,确认上述配置的正确性。
(2)配置 DHCP 服务器
- 在支持vlan2和vlan3的USB网卡(连接内网的USB网卡)上开启DHCP监听功能。并修改配置文件;
- 修改 DHCP 配置文件,重启 DHCP 服务;
(3)连接外网的USB网卡的识别与配置
- 可以通过拔插 USB 网卡,并结合采用 ifconfig 命令查看,确认连接外网的 USB 网卡的名称为 enx000xxxxxxxxx ;
- 对连接外网的 USB 网卡按照表3-1规划配置 IP 地址;
- 通信测试:在连接外网 USB 网卡的网络上 ping Radius 服务器或外网主机应能 ping通。
(4)配置NAT规则
VLAN配置与测试
(1)进入配置界面
科 B119 实验室的联网设备都放置在机柜里,对联网设备的配置是通过 web进入配置界面的,进入特权模式并进入全局配置模式。
(2)创建VLAN2和3
(3)access端口配置
按照拓扑中连接的 access 端口以及规划的 VLAN-ID,逐一进入端口进行配置,其他端口类同。
(4)Trunk 端口配置
L2/SW1 连接网关(DHCP/S 和NAT)的端口为Trunk 端口。
(5)VLAN 通信测试
查看PC机获得的IP地址
表3-2各PC机的IP地址 实验主机 连L2/SW1端口号 VLAN- ID 获取的IP地址 PC1-2 f0/1 2 172.16.22.11 PC2-4 f0/2 2 172.16.22.10 PC3-8 f0/3 3 172.16.33.10 PC4-10 f0/4 3 172.16.33.11 VLAN通信测试
表3-3 VLAN 通信测试 实验主机操作 测试结果 PC1-PC2相互ping 通 PC3-PC4相互ping 通 PC1 ping网关(子接口1) 通 PC4 ping网关(子接口2) 通 PC1 ping 外网主机 通 PC4 ping RADIUS服务器 通
802.1X服务器与RADIUS客户配置与记录
- 配置并记录管理VLAN ID号和 IP地址;
- 管理VLAN ID号为1,管理VLAN IP地址为172.16.3.0/24;
- 802.1X服务的开启:包括打开AAA、802.1X认证方法、应用方法及计账方法列表;
- 配置RADIU客户端:包括访问的RADIUS服务器的 IP 地址、认证/授权端口及记账端口,加密 key,snmp 等;
- 开启802.1X端口接入控制:包括将接入测试PC 机的那几个端口开启802.1X接入控制,交换机其他端口不能开启 802.1X 接入端口控制。
| RADIUS服务器IP地址 | 认证端口 | 记账端口 | 加密key |
|---|---|---|---|
| 192.168.0.201 | 1812 | 1813 | test |
完成上述配置后进行连通性测试,各VLAN内的PC相互ping,观察是否能ping通,用802.1X协议原理解释观察到的现象:
PC1 和PC2相互ping,现象记录:不通 。
PC3 和PC4相互ping,现象记录:不通 。
PC1 ping 外网主机,现象记录:不通 。
造成上述现象的原因分析:此时PC还没有进行用户认证,所以受控端口未接通,ping的业务数据不能通过。
RADIUS服务器配置
在RADIUS服务器中配置的认证的相关信息记录如下:配置RADIUS客户端的IP地址是172.16.3.210;与RADIUS客户端的共享密钥是test。配置的账户名和密码,记录如表3-5所示。
| 账户名 | 密码 |
|---|---|
| user1 | 1 |
| user2 | 1 |
| user3 | 1 |
| user4 | 1 |
802.1X客户端配置与记录
802.1X客户端在PC机上配置。采用Windows 自带的802.1X客户程序。在各PC机上配置的内容包括:开启 802.1X 服务,设置与 802.1X 服务器上匹配的加密方式;设置与 RADIUS 服务器上匹配的用户名和密码。
802.1X加密方式为 EAP-MSCHAP v2;实验者自己使用的密码分别为user2和1 。
802.1X接入控制测试
各测试PC机用配置好的用户名密码进行登录,成功后,记录各PC机获取的IP地址。并用802.1X 协议原理解释为什么此时PC机能获取IP地址。
答:PC机获得的IP地址如表3-7所示。用户认证成功后,受控端口接通,用户可以与DHCP服务器正常交互,因此获取到IP地址。
登录成功后,各PC机ping 192.168.0.201(RADIUS服务器的IP地址。该地址可以模拟外网),记录测试情况。
各PC机ping外网主机t,记录上网情况。
| 主机 | 获取的IP地址 | 测试操作 | 测试结果 |
|---|---|---|---|
| PC1 | 172.16.22.10 | PC1-2相互ping | 通 |
| PC2 | 172.16.22.11 | PC3-4相互ping | 通 |
| PC3 | 172.16.33.10 | PC1 ping外网主机 | 通 |
| PC4 | 172.16.33.11 | PC4 ping外网主机 | 通 |
选择1台PC机上退出802.1X客户软件,设计1-2种错误配置,并重新进行802.1X接入过程,观察现象,记录结果并分析。
设置的错误配置为:用户名、密码错误
现象记录:认证不成功,无法进行业务数据的传输。
原因分析:Radius服务器通过比对自己的数据库发现用户名密码错误,导致用户认证失败,所以受控端口未接通,业务数据不能通过,所以不通。
实验分析
根据实验过程,总结802.1X认证中对RADIUS客户端配置的主要内容有哪些?
答:802.1X认证中对RADIUS客户端配置的主要内容主要包括以下内容:
- 配置管理vlan;
- Radius服务器地址和共享秘钥;
- 开启802.1X服务,开启AAA认证服务;
- 配置上联的Radius服务器的IP地址;
- 配置Radius key
- 在对应端口开启802.1x认证。
在本实验802.1X认证中,除了在实验中设计的错误配置外,至少列举3种可能的错误配置会导致认证失败。
答:可能的错误配置如下:
- RADIUS客户端没启用认证或启用了本地认证;
- RADIUS客户端没正确配置RADIUS服务器的地址和共享密钥;
- 交换机的trunk口没有配置;
- RADIUS认证服务器没配置正确的EAP方法;
- 客户端没关防火墙,导致认证请求被防火墙阻止。
