guestvlan在網(wǎng)絡(luò)中的應(yīng)用

1、guest vlan在網(wǎng)絡(luò)中的應(yīng)用 2010-03-03 17:23:33 標(biāo)簽：guest vlanci«i(1 cfent2 diontdw2.1xajh«gvwftp semr 1 guatsaanwdwftp smr2【背景描述】vian v 10«/>«ed902-l 燼ie后才可 ciq7r4ha*js 碟ftjg:i qwrt vloi ykin 10口i昱勢蘇j務(wù)羅曲k guest vlan成員站過認(rèn)證折只可以與seryeluivt遇倍2.通過認(rèn)證餉客戶鞫揪認(rèn)證服務(wù)醫(yī)令晶到48定妁ylm里面.(guastvlan僅支持基于端口的80

2、q.1x協(xié)設(shè)不支持墓于mac地址的802.1xfihsq用戶在通過802. lx認(rèn)證之前屬于一個vlan,這個vlan就是guest vlano沒有通過認(rèn)證的 客戶端計算機(jī)處于guest vlan中，它們只能訪問到guest vlax服務(wù)器的資源，認(rèn)證成功后, 端口離開guest vlan,用戶可以訪問具特定的網(wǎng)絡(luò)資源。在上面的例子里連接端口 1的計 算機(jī)通過認(rèn)證以后，端口 1被交換機(jī)自動地添加到vlan 10里面，這個時候客戶端計算機(jī)可 以訪問服務(wù)器2中的資源。而客戶端2和客戶端3沒有通過認(rèn)證，只能繼續(xù)留在guest vlan 中,只可以訪問服務(wù)器1的資源，而不能訪問服務(wù)器2的資源。需要注意

3、的是:guest vlan 僅支持基于端口的802. ix協(xié)議，不支持基于mac地址的802. ix協(xié)議?！緦?shí)驗(yàn)拓?fù)洹?將交換機(jī)的第1t2端口劃分到v10中,將v10設(shè)置為guest vlan,并且將1-8端口設(shè)置為 需要進(jìn)行認(rèn)證的端口。把交換機(jī)的笫13-24端口設(shè)置為v20中的端口。通過實(shí)驗(yàn)達(dá)到如下效 果：將pc1接入到交換機(jī)1-8端口的任何一個，通過認(rèn)證服務(wù)器的認(rèn)證以示，pc1所連接的 端口被交換機(jī)口動的添加到v20里面，并fl. pci和pc2可以互相通信。拓?fù)湔f明：認(rèn)證服務(wù)器tp:192. 168. 0. 10交換機(jī) ip： 192. 16& 0.250認(rèn)證計算機(jī) ip: 19

4、2. 168. 0. 101v20 中計算機(jī) 1p： 192. 168. 0. 100橘紅色端口所屬的vlan為guest vlan,名稱為v10, vid為10藍(lán)色端口所屬的vlan名稱為v20, vtd為20 綠色端口為需要進(jìn)行802. ix認(rèn)證的端口【實(shí)驗(yàn)設(shè)備】dgs-3627交換機(jī)1臺，測試pc 3臺，網(wǎng)線若干?！緦?shí)驗(yàn)步驟】創(chuàng)建vlan 10和vlan 20,并將交換機(jī)的1-12端口添加到vlan 10里面,將13-24端口添加到vlan 20里面。pgs-3627:4config vlan default dele 1-24command: config vlan default d

5、elete 124successdgs-3627:4«create vlan vlo taa 10cocmand: create vlan vlo tag 10success.ogs-3627:4#create vlan v20 taa 20command: create vlan v20 tag 20success.dgs-3627:4config vlan vlo add untag 1-12 ccxrrand: config vlan vlo add untagged 1-12success.pgs*3627:4»config vlan v20 add untag 1

6、3*24command: config vlan v20 add untagged 13-24success."config vlan default dele 1 -24” 將 1-24 端口從默認(rèn)的 vlan 刪除。acreate vlan vlo tag 10” ，創(chuàng)建 vlan 10。 "config vlan vlo add untag 1t2” 將交換機(jī)的 1t2 端 口以非標(biāo)簽的形式添加到vlan 10里血。同樣可以創(chuàng)建vlan20并添加交換機(jī)端口 13-24到v20里面。3vlo(password:ogs3627:4dg$-3627:4dgsj627：4#o

7、gs-3627:4-config ipif system ipaddress /24 vlancommand: config ipif system ipaddress /24 vlan vlosuccessdgs-3627:4#將交換機(jī)的ip地址改為192. 168. 0. 1,并將它指定到v10里面。pc要進(jìn)行認(rèn)證,radius服務(wù)器和交換機(jī)之間是能夠進(jìn)行正常通信的。我們將radius服務(wù)器放在v10里面，交換機(jī)的tp地址在默認(rèn)情況下是屬于default vlan的，必須將它指定到v10里面。dgs-3627:tenable 802.lxbomu

8、nd: enable 802.lxsuccess.dgs-3627:4#create &02.1x guestvlan vloonimnd: create 802»lx guest.vlan vlosuccess*dgs3627:4-config 802lx guestvlan ports 1-12 state enableconmand: config 802.lx guest.vlan ports 1-12 state enablewarning! gvrp of the ports were di sable !success*dgs-3627:4#技術(shù)博客飛曾默認(rèn)情況

9、f,交換機(jī)的802. ix協(xié)議時關(guān)閉的?？梢允褂胊enable 802. lx”命令來啟用它。創(chuàng)建guest vlan,將v10指定為guest vlan,然后將交換機(jī)端口的1-12的guest vlan功能 開啟。pgs 3627:4丸 onfi ccmand: config然示在交換機(jī)上配制認(rèn)證信息:q 802.lx capability ports 1-8 authenticator302.lx capability ports 1-8 authenticatorsuccess.dgs-3627:4«config radius add 1 0 key 12

10、3456 default ccmand: config radius add 1 0 key 123456 defaultsuccess.ogs3627:4屯將交換機(jī)的笫1-8端口設(shè)置為需要認(rèn)證的端口，連接到這些端口的計算機(jī)必須通過認(rèn)證才 能夠接入網(wǎng)絡(luò)，否則只能夠與同在guest vlan里面的計算機(jī)進(jìn)行通信。對認(rèn)證服務(wù)器進(jìn)行配制：這里使用的認(rèn)證服務(wù)器是freeradius. net-1. 1. 5-ro. 0. 3。卜面是對認(rèn)證服務(wù)器配制的過 程。打開x:freeradtus. netetcraddb文件夾的clients, conf文件,添加如圖所示內(nèi)容。“12345

11、6”為認(rèn)證服務(wù)器與交換機(jī)之間的通信密鑰?！皒”為服務(wù)器軟件所安裝盤符。打開x:freeradius. netetcraddb文件夾的users, conf文件，添加如圖所示內(nèi)容attest為需要認(rèn)證的計算機(jī)的用戶名和密碼，“20”為通過認(rèn)證的計算機(jī)將要加入的vlan tdo在啟動認(rèn)證服務(wù)器之前要確保服務(wù)器和交換機(jī)是可以通信的，否則交換機(jī)不能傳遞計算機(jī)和服務(wù)器z間的認(rèn)證信息。iimi.lj-xifw# anri <?>np “1”dbd:wi.r.vi twnhynffmlyvyy -；ywri*l'i,«lv v-ty yvy vyv yyy vyvnnrmlil

12、l dihoftnti rinttwi lr卜 othrub-r 匚呎mlijcxt i r«4k«ollfc. m crw i si丼u比 >fii r疋中hrrvl ji i hhf.'marjilix. irrl "hr? v/i /fdfri ic!：o；'：!：mn»i：；：.；i k:山:1;丿alujult. thrn filrmfr or hny edte ktstnk i* service ldic uf«r«ellfl rjlukwxi dim rfleltal/edbl radvuxjilu

13、rtl5 ocgildt k»oa*.cgtif認(rèn)證服務(wù)器啟動后會在桌血右下角顯示一個圓形標(biāo)志，右鍵單擊圖標(biāo)。點(diǎn)擊圖中所示按鈕,打開服務(wù)器的debug模式,這個模式可以觀察計算機(jī)的認(rèn)證過程。齟 .11+ + u + +%mte*| 4 0 0.q .e見*好吐7竝霜番幣黑孝力和期o無理駐應(yīng)冋福揮供輕泣舅附雜ue的網(wǎng)畫閣w鯛喚昨諒的網(wǎng)緒詢網(wǎng)弦制叭，才亠注恚申盹sat qfij（i）：0當(dāng)汁14機(jī)俄息可用時割份軽證片計摞機(jī)心i0 些定尸xritjc機(jī)okjb 柚削巧舅婦迪證月烹衣©）be 1 i 電洎認(rèn)證客戶端（pci）的操作系統(tǒng)以win xp為例，首先要保證802. 1x認(rèn)證

14、功能的開啟。選擇“木地連接”一“屬性” 一 “身份驗(yàn)證”,按圖示進(jìn)行操作。認(rèn)證開始的時候，提示用戶輸入用戶名名和密碼。輸入用八名“test”，密碼“test”等待服務(wù)器進(jìn)行認(rèn)證。我們可以從認(rèn)證服務(wù)器端看到認(rèn)證的過程，如下圖所示。dgs-3627:4«show 802«lx authstatecommand: show 802.lx auth.stateconnect,ngidleunauthorizeddi scormectedidleunauthorizedoi sconnectedidleunauthorizeddi sconnectedidleunauthorized

15、di sconnectedidleunauthorizeddi sconnectedidleunauthorizeddi sconnectedidleunauthorizeddi sconnectedidleunauthorizedforceauthsuccessauthorizedforceauthsuccessauthorizedforceauthsuccessauthorizedforceauthsuccessauthorizedforceauthsuccessauthorized14forceauthsuccessauthorized15forceauthsuccessauthoriz

16、ed16forceauthsuccessauthorizedforceauthsuccessauthorized18forceauthsuccessauthorized19forceauthsuccessauthorizedforceauth successauthorized is 匪 s quit mm，z next page2 previous page q refreshport auth pae state backend state port status劄1hll叨這是pc1在沒有通過認(rèn)證之前的交換機(jī)的認(rèn)證狀態(tài)。交換機(jī)的笫一個端口顯示已經(jīng)連接,但是沒冇通過認(rèn)證。dgs3627:4

17、"how vlan command: show vlan:1:static:25-27:25-27 ports :vid vlan type member ports static ports current taggedvlan name advertisement:default :enabledcurrent untaag«d ports static tagged ports static untagged forbidden portsportsvid vlan type member ports static ports current tagged ports

18、25-2725-27:static :1-12:1-12vlan name advertisement:vlo:oisabledcurrent untaqged ports static tagged ports static umagged ports1-12static umagged forbidden fortsvwvlan typo member ports static ports current tagged current urrtaag1-12:20:static:13-24:13-24ports : ed ports: 13-24vlan name advertisemen

19、t:v20:oisabledstatic tagged ports使用"show vian ”命令顯示出第1個端口仍然在vlo里面。met <=pte avrtva«%*av*.ta*wa-artv *wmac、/* "to wvd .wvwzw "%5¥>&穴"幵1、丹* rv.fgstt*". tmmtbrrterc zz、4 .vw vw v v v2. y s-*v « < pv*-»v w-* v.-<*-»«z-<-.v_s*.v.v.

20、v.» aaa aaa 從 科心心甘心 a a xaxaa?； xaa .'.y. .«, ?.7,.'. “"” uuu mvu uou wo" < mm qm<> o <-» <> .<>«.» h.b i > »3tf身悄驗(yàn)證成功拉朮障羅一肌° - .dgs3627:3shg 802.lx authastatecomand: show 802.lx authstateport auth pae state backend stat

21、e port statusctrl+authenticateddi sconnected di sconnected di scorwected di sconnected di sconnected disconnected disconnected forceauth forceauth forceauth forceauth forceauth forceauth forceauth forceauth forceauth forceauth forceauthforceauth 亜 3 quitidlxdlidl訕xdlidlxdlsucsucsucsucsucsucsucsucsuc

22、sucsucsucauthorized unauthorized unauthorized unauthorized unauthorized unauthorized unauthorized unauthorized authorized authorized authorized authorized authorized authorized authorized authorized authorized authorized authorized authorizedi previous page q refresh這時交換機(jī)上顯示連接在端口1上血的計算機(jī)匕經(jīng)通過認(rèn)證。dgs - 32774v$fio vtan command: show vlanvidvlan type member ports static ports:1:static:25-27:25-27vlan name : default advertisenent : enabledcurrent tagged ports :current untaged ports: 2527static tagged ports :static untagged ports : 2s-27 forbidden ports:vid vlan type member ports static p