本地802.1X认证配合guest vlan在V5交换机上怎么进行配置?
V5交换机dot1x免认证配置
1.组网需求:
大多数企业为了保证内网数据的安全和可控,需要在接入设备上做一些相应的安全技术来达到此目的。可以采用比较常见的技术dot1x认证,来让终端接入的时候进行认证,控制接入客户端的接入。为了保证没有通过认证或者认证失败的时候还是能够正常访问基本服务,可以配合dot1x免认证来达到此目的。
2.组网图:
图1-1
实验组网如图1-1所示: PC直接连接在S5110交换机的G1/0/2接口,端口属于vlan20,S5110交换机的G1/0/1端口连接核心交换机S3600V2交换机的E1/0/1端口。基本服务接在核心交换机S3600V2的E1/0/2端口。此时需要对G1/0/2端口下面的终端进行802.1x的认证,只有认证通过才能正常访问核心vlan10的业务,认证失败或者不认证的时候可以访问属于vlan20的基本服务,并且打开IE浏览器输入IP地址会自动重定向到http://192.168.20.1的界面。
3. 配置步骤(交换机上配置)
1) 在核心交换机S3600V2上划分vlan10和vlan20并且配置网关地址
<H3C>System-view
[H3C]vlan 10
[H3C-vlan10]quit
[H3C]vlan 20
[H3C-vlan20]quit
[H3C]interface vlan 10
[H3C-Vlan-interface10]ip address 192.168.10.1 24
[H3C-Vlan-interface10]quit
[H3C]interface vlan 20
[H3C-Vlan-interface20]ip address 192.168.20.1 24
[H3C-Vlan-interface20]quit
2)将核心交换机S3600V2和接入交换机S5110互联的接口配置为trunk并且放通相应vlan,同时配置和基本服务设备连接端口划分到vlan20
<H3C>System-view
[H3C]interface e1/0/1
[H3C-Ethernet1/0/1]port link-type trunk
[H3C-Ethernet1/0/1]port trunk permit vlan 10 20
[H3C-Ethernet1/0/1]quit
[H3C]interface e1/0/2
[H3C-Ethernet1/0/2] port access vlan 20
3)在接入交换机上划分基本服务vlan20并且把接入电脑的接口G1/0/2划分到vlan20;同时把上联核心交换机的接口G1/0/1配置为trunk口并且放通相应vlan
<H3C>system-view
[H3C]vlan 20
[H3C-vlan20]quit
[H3C]interface g1/0/2
[H3C-GigabitEthernet1/0/2]port access vlan 20
[H3C-GigabitEthernet1/0/2]quit
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]port link-type trunk
[H3C-GigabitEthernet1/0/1]port trunk permit vlan 20
[H3C-GigabitEthernet1/0/1]quit
4)全局开启dot1x认证,并且开启对192.168.20.0/24网段的免认证,使得能够正常访问,同时重定向到http://192.168.20.1,最后在相应的接入接口开启dot1x认证
[H3C]dot1x
[H3C] dot1x free-ip 192.168.20.0 255.255.255.0
[H3C] dot1x url http://192.168.20.1
[H3C]interface g1/0/2
[H3C-GigabitEthernet1/0/2]dot1x
[H3C-GigabitEthernet1/0/2]quit
5)在接入设备S5110上创建认证用户test和密码test,服务类型配置为lan-access
[H3C]local-user test
[H3C-luser-test]password simple test
[H3C-luser-test]service-type lan-access
[H3C-luser-test]quit
4 .客户端上的配置
当使用电脑自带802.1X认证客户端:
1)
Windows7系统没有md5-challenge网络身份验证方法,需要自己增加一个注册表文件
2) 在开始—设置—控制面板—管理工具—服务中,开启wired autoconfig
3) 点击电脑右下角电脑标志—打开网络共享中心—本地连接—属性 选择身份验证然后选择网络身份验证方法修改为md5-challenge后选择其他设置选定用户或计算机身份验证最后点击确定
4) 按照上面的步骤操作后电脑会弹出需要其他信息以连接到该网络 点击进去后会弹出输入用户名和密码的框,输入用户名和密码认证成功后可以正常通信
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作