Packet tracer7.2.1模擬實現(xiàn)局域網(wǎng)IEEE 802.1x配置

◆滕步煒

Packet tracer7.2.1模擬實現(xiàn)局域網(wǎng)IEEE 802.1x配置

◆滕步煒

（連云港職業(yè)技術(shù)學(xué)院 江蘇 222000）

通過升級Packet tracer7.2.1軟件模擬交換機IOS（內(nèi)嵌操作系統(tǒng)）使其具備支持IEEE802.1x的功能，實現(xiàn)模擬交換機基于端口的登錄認(rèn)證。

IEEE802.1x；Packet tracer；局域網(wǎng)；端口安全

1 研究背景

IEEE802.1x協(xié)議通過對傳統(tǒng)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)的優(yōu)化，有效地避免由于未經(jīng)授的主機隨意連接到局域網(wǎng)絡(luò)所帶來的安全隱患，消除了網(wǎng)絡(luò)瓶頸，減輕了網(wǎng)絡(luò)封裝開銷，降低了建網(wǎng)成本，從而成為當(dāng)前網(wǎng)絡(luò)選型的一個熱點技術(shù)。IEEE802.1x同時也是計算機網(wǎng)絡(luò)工程教學(xué)中的重點和難點內(nèi)容。

思科網(wǎng)絡(luò)模擬器Packet tracer，在計算機網(wǎng)絡(luò)的科研與教學(xué)工作中承擔(dān)著重要的角色。但是由于軟件功能存在的局限性，致使其目前的版本無法直接模擬實現(xiàn)IEEE802.1x交換機登錄認(rèn)證的實驗內(nèi)容。本文通過升級Packet tracer軟件模擬交換機的IOS，使其具備支持IEEE802.1x的功能，實現(xiàn)模擬交換機基于端口的登錄認(rèn)證。

2 IEEE 802.1x工作原理剖析

802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議，認(rèn)證體系如圖１所示。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口（access port）訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認(rèn)證。在認(rèn)證通過之前，802.1x只允許使用CDP，STP和基于局域網(wǎng)的擴展認(rèn)證協(xié)議EAPOL（Extensible Authentication Protocol over LAN）的數(shù)據(jù)通過設(shè)備連接的交換機端口；當(dāng)認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。用戶注銷時交換機端口將返回未認(rèn)證狀態(tài)；或者當(dāng)客戶長時間沒有數(shù)據(jù)流量時，會因超時停止認(rèn)證狀態(tài)，需要用戶重新認(rèn)證。

3 構(gòu)建實驗拓?fù)洵h(huán)境

3.1 升級交換機IOS

搭建如圖2所示的網(wǎng)絡(luò)實驗拓?fù)洌W(wǎng)絡(luò)設(shè)備連接及IP地址分配如表1所示。

圖1 IEEE 802.1x認(rèn)證體系

圖2 網(wǎng)絡(luò)拓?fù)?/p>

表1 設(shè)備連接接口及IP地址分配

升級前可以備份模擬交換機原有的IOS文件，通過以下配置設(shè)置交換機的ip地址為1.1.1.2/8，設(shè)置服務(wù)器server1的ip地址為1.1.1.1/8，使交換機與服務(wù)器位于同一個局域網(wǎng)中。

Switch>enable

Switch#configure terminal

Switch（config）#interface vlan 1

Switch（config-if）#ip address 1.1.1.2 255.0.0.0

Switch（config-if）#no shutdown

Switch（config-if）#end

Switch#dir

Directory of flash：/

1 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin

64016384 bytes total （59601463 bytes free）

Switch#copy flash：tftp：//從flash中復(fù)制到tftp服務(wù)器1.1.1.1/8中

Source filename []? c2960-lanbase-mz.122-25.FX.bin //要復(fù)制的源文件名

Address or name of remote host []? 1.1.1.1 //目標(biāo)服務(wù)器地址

Destination filename [c2960-lanbase-mz.122-25.FX.bin]? //目標(biāo)文件名

Writing c2960-lanbase-mz.122-25.FX.bin...!!!

[OK - 4414921 bytes]

4414921 bytes copied in 0.092 secs（1303844 bytes/sec）

Switch#

備份完成后，在模擬交換機上刪除原有的IOS文件c2960-lanbase-mz.122-25.FX.bin。

Switch>

Switch>enable

Switch#delete c2960-lanbase-mz.122-25.FX.bin

Delete filename [c2960-lanbase-mz.122-25.FX.bin]?

Delete flash：/c2960-lanbase-mz.122-25.FX.bin? [confirm]

Switch#

Switch#dir

Directory of flash：/

No files in directory

64016384 bytes total （64016384 bytes free）

Switch#

Switch#copy tftp： flash：//從tftp服務(wù)器到交換機flash

Address or name of remote host []? 1.1.1.1 //源主機IP地址

Source filename []? c2960-lanbasek9-mz.150-2.SE4.bin//源文件名稱

Destination filename [c2960-lanbasek9-mz.150-2.SE4.bin]? //目標(biāo)文件名稱

Accessing tftp：//1.1.1.1/c2960-lanbasek9-mz.150-2.SE4.bin...

Loading c2960-lanbasek9-mz.150-2.SE4.bin from 192.168.1.2：!!!!

[OK - 4670455 bytes]

4670455 bytes copied in 0.076 secs （4940627 bytes/sec）

Switch#

看得出來，來自冷涼氣候產(chǎn)區(qū)的葡萄酒在亞太地區(qū)是有著相對廣泛的消費者口味基礎(chǔ)的。在此次HK IWSC中，新西蘭馬爾堡橫掃三項大獎，除了最高殊榮的“最佳新西蘭葡萄酒”，還有“最佳桃紅葡萄酒（Rosé）”及“最佳長相思葡萄酒（Sauvignon Blanc）”。

在完成系統(tǒng)升級后，需要用reload重啟系統(tǒng)；

Switch#reload

System configuration has been modified. Save? [yes/no]：yes

Building configuration...

[OK]

Proceed with reload? [confirm]

4 實現(xiàn)IEEE 802.1x的配置

4.1 配置AAA服務(wù)器

首先在圖3的左側(cè)邊欄中選擇SERVICES選項下的Radius EAP ，在右側(cè)EAP Configuration中勾選Allow EAP-MD5復(fù)選框，啟用EAP-MD5。

圖3 EAP configuration配置窗口

然后在左側(cè)邊欄中SERVICES選項中選擇AAA，開啟AAA Service On服務(wù)，分別添加Client Name aaa，Client IP 1.1.1.2 ，Secret cisco，ServerType Radius。在User Setup中創(chuàng)建Username為class，Password為class的用戶。

圖4 Service AAA配置窗口

4.2 交換機switch0的配置步驟

Switch>enable

Switch#configure terminal

Enter configuration commands， one per line. End with CNTL/Z.

Switch（config）#aaa new-model

Switch（config）#aaa authentication dot1x default group radius

Switch（config）#dot1x system-auth-control

Switch（config-if）#radius-server host 1.1.1.1 auth-port 1645 key cisco

Switch（config）#interface fa0/2

Switch（config-if）#switchort mode access

Switch（config-if）#authentication port-control auto

Switch（config-if）#dot1x pae authenticator

4.3 PC客戶端的設(shè)置

配置完交換機后，交換機的fa0/2的端口指示燈呈現(xiàn)橙黃色，表示計算機PC1無法正常接入交換機。此時打開客戶端PC1的Desktop標(biāo)簽，選擇IP配置選項，如圖5所示。在對話框的下側(cè)勾選Use 802.1x Security，選擇Authentication方式為MD5，輸入前文設(shè)置Username和Password。通過驗證后，計算機就能正常接入交換機。

圖5 PC客戶端啟用802.1x

5 捕獲數(shù)據(jù)包并進行驗證

IEEE802.1x標(biāo)準(zhǔn)定義了一個客戶端/服務(wù)器的體系結(jié)構(gòu)，用來防止非授權(quán)的設(shè)備接入到局域網(wǎng)中。IEEE802.1x體系中包括請求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三個組件，請求者系統(tǒng)通常為一個支持IEEE802.1x認(rèn)證的用戶終端設(shè)備，用戶通過啟動客戶端軟件觸發(fā)IEEE802.1x認(rèn)證。認(rèn)證系統(tǒng)對連接到鏈路的請求者系統(tǒng)進行認(rèn)證。在認(rèn)證通過之前，IEEE802.1x只允許EAPOL報文通過端口；認(rèn)證通過以后，用戶數(shù)據(jù)可以順利地通過端口進入到網(wǎng)絡(luò)中。認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間運行EAP協(xié)議，認(rèn)證系統(tǒng)將EAP幀封裝到RADIUS報文中，并通過網(wǎng)絡(luò)發(fā)送給認(rèn)證服務(wù)器。當(dāng)認(rèn)證系統(tǒng)接收到認(rèn)證服務(wù)器返回的認(rèn)證響應(yīng)后，再從RADIUS報文中提取出EAP信息并封裝成EAP幀發(fā)送給請求者。

圖6 IEEE802.1x工作機制

圖7 捕獲計算機與交換機間的EAPOL的包

圖8 捕獲交換機與認(rèn)證服務(wù)器的RADIUS數(shù)據(jù)包

6 結(jié)論

實驗通過升級Packet tracer7.2.1軟件內(nèi)置的模擬交換機IOS（交換機內(nèi)嵌操作系統(tǒng)），使其具備支持IEEE802.1x的功能，實現(xiàn)模擬交換機基于端口的登錄認(rèn)證。分別在認(rèn)證請求者系統(tǒng)，認(rèn)證系統(tǒng)，認(rèn)證服務(wù)器系統(tǒng)之間捕獲數(shù)據(jù)包，動態(tài)驗證IEEE802.1x認(rèn)證過程，從而最大限度地實現(xiàn)了Packet tracer7.2.1的模擬功能，進一步拓展了網(wǎng)絡(luò)教學(xué)的內(nèi)容。

[1]田庚林，田華，張少芳.計算機網(wǎng)絡(luò)安全與管理[M].北京：清華大學(xué)出版社，2010：195-207.

[2]胡云.無線局域網(wǎng)項目教程[M].北京：清華大學(xué)出版社，2014：124-126.

[3]諶璽，張洋.企業(yè)網(wǎng)絡(luò)整體安全—攻防技術(shù)內(nèi)幕大剖析[M].北京：電子工業(yè)出版社，2011：346-360.

[4]石碩，李久仲，企業(yè)網(wǎng)架構(gòu)與網(wǎng)絡(luò)設(shè)備配置[M].北京：中國鐵道出版社，2013：72-79.

大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計劃項目（項目編號：202011050004Y）