◆滕步炜
Packet tracer7.2.1模拟实现局域网IEEE 802.1x配置
◆滕步炜
(连云港职业技术学院 江苏 222000)
通过升级Packet tracer7.2.1软件模拟交换机IOS(内嵌操作系统)使其具备支持IEEE802.1x的功能,实现模拟交换机基于端口的登录认证。
IEEE802.1x;Packet tracer;局域网;端口安全
IEEE802.1x协议通过对传统认证方式和认证体系结构的优化,有效地避免由于未经授的主机随意连接到局域网络所带来的安全隐患,消除了网络瓶颈,减轻了网络封装开销,降低了建网成本,从而成为当前网络选型的一个热点技术。IEEE802.1x同时也是计算机网络工程教学中的重点和难点内容。
思科网络模拟器Packet tracer,在计算机网络的科研与教学工作中承担着重要的角色。但是由于软件功能存在的局限性,致使其目前的版本无法直接模拟实现IEEE802.1x交换机登录认证的实验内容。本文通过升级Packet tracer软件模拟交换机的IOS,使其具备支持IEEE802.1x的功能,实现模拟交换机基于端口的登录认证。
802.1x协议是基于Client/Server的访问控制和认证协议,认证体系如图1所示。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许使用CDP,STP和基于局域网的扩展认证协议EAPOL(Extensible Authentication Protocol over LAN)的数据通过设备连接的交换机端口;当认证通过以后,正常的数据可以顺利地通过以太网端口。用户注销时交换机端口将返回未认证状态;或者当客户长时间没有数据流量时,会因超时停止认证状态,需要用户重新认证。
搭建如图2所示的网络实验拓扑,网络设备连接及IP地址分配如表1所示。
图1 IEEE 802.1x认证体系
图2 网络拓扑
表1 设备连接接口及IP地址分配
升级前可以备份模拟交换机原有的IOS文件,通过以下配置设置交换机的ip地址为1.1.1.2/8,设置服务器server1的ip地址为1.1.1.1/8,使交换机与服务器位于同一个局域网中。
Switch>enable
Switch#configure terminal
Switch(config)#interface vlan 1
Switch(config-if)#ip address 1.1.1.2 255.0.0.0
Switch(config-if)#no shutdown
Switch(config-if)#end
Switch#dir
Directory of flash:/
1 -rw- 4414921
64016384 bytes total (59601463 bytes free)
Switch#copy flash:tftp://从flash中复制到tftp服务器1.1.1.1/8中
Source filename []? c2960-lanbase-mz.122-25.FX.bin //要复制的源文件名
Address or name of remote host []? 1.1.1.1 //目标服务器地址
Destination filename [c2960-lanbase-mz.122-25.FX.bin]? //目标文件名
Writing c2960-lanbase-mz.122-25.FX.bin...!!!
[OK - 4414921 bytes]
4414921 bytes copied in 0.092 secs(1303844 bytes/sec)
Switch#
备份完成后,在模拟交换机上删除原有的IOS文件c2960-lanbase-mz.122-25.FX.bin。
Switch>
Switch>enable
Switch#delete c2960-lanbase-mz.122-25.FX.bin
Delete filename [c2960-lanbase-mz.122-25.FX.bin]?
Delete flash:/c2960-lanbase-mz.122-25.FX.bin? [confirm]
Switch#
Switch#dir
Directory of flash:/
No files in directory
64016384 bytes total (64016384 bytes free)
Switch#
Switch#copy tftp: flash://从tftp服务器到交换机flash
Address or name of remote host []? 1.1.1.1 //源主机IP地址
Source filename []? c2960-lanbasek9-mz.150-2.SE4.bin//源文件名称
Destination filename [c2960-lanbasek9-mz.150-2.SE4.bin]? //目标文件名称
Accessing tftp://1.1.1.1/c2960-lanbasek9-mz.150-2.SE4.bin...
Loading c2960-lanbasek9-mz.150-2.SE4.bin from 192.168.1.2:!!!!
[OK - 4670455 bytes]
4670455 bytes copied in 0.076 secs (4940627 bytes/sec)
Switch#
看得出来,来自冷凉气候产区的葡萄酒在亚太地区是有着相对广泛的消费者口味基础的。在此次HK IWSC中,新西兰马尔堡横扫三项大奖,除了最高殊荣的“最佳新西兰葡萄酒”,还有“最佳桃红葡萄酒(Rosé)”及“最佳长相思葡萄酒(Sauvignon Blanc)”。
在完成系统升级后,需要用reload重启系统;
Switch#reload
System configuration has been modified. Save? [yes/no]:yes
Building configuration...
[OK]
Proceed with reload? [confirm]
首先在图3的左侧边栏中选择SERVICES选项下的Radius EAP ,在右侧EAP Configuration中勾选Allow EAP-MD5复选框,启用EAP-MD5。
图3 EAP configuration配置窗口
然后在左侧边栏中SERVICES选项中选择AAA,开启AAA Service On服务,分别添加Client Name aaa,Client IP 1.1.1.2 ,Secret cisco,ServerType Radius。在User Setup中创建Username为class,Password为class的用户。
图4 Service AAA配置窗口
Switch>enable
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control
Switch(config-if)#radius-server host 1.1.1.1 auth-port 1645 key cisco
Switch(config)#interface fa0/2
Switch(config-if)#switchort mode access
Switch(config-if)#authentication port-control auto
Switch(config-if)#dot1x pae authenticator
配置完交换机后,交换机的fa0/2的端口指示灯呈现橙黄色,表示计算机PC1无法正常接入交换机。此时打开客户端PC1的Desktop标签,选择IP配置选项,如图5所示。在对话框的下侧勾选Use 802.1x Security,选择Authentication方式为MD5,输入前文设置Username和Password。通过验证后,计算机就能正常接入交换机。
图5 PC客户端启用802.1x
IEEE802.1x标准定义了一个客户端/服务器的体系结构,用来防止非授权的设备接入到局域网中。IEEE802.1x体系中包括请求者系统、认证系统和认证服务器系统三个组件,请求者系统通常为一个支持IEEE802.1x认证的用户终端设备,用户通过启动客户端软件触发IEEE802.1x认证。认证系统对连接到链路的请求者系统进行认证。在认证通过之前,IEEE802.1x只允许EAPOL报文通过端口;认证通过以后,用户数据可以顺利地通过端口进入到网络中。认证系统与认证服务器之间运行EAP协议,认证系统将EAP帧封装到RADIUS报文中,并通过网络发送给认证服务器。当认证系统接收到认证服务器返回的认证响应后,再从RADIUS报文中提取出EAP信息并封装成EAP帧发送给请求者。
图6 IEEE802.1x工作机制
图7 捕获计算机与交换机间的EAPOL的包
图8 捕获交换机与认证服务器的RADIUS数据包
实验通过升级Packet tracer7.2.1软件内置的模拟交换机IOS(交换机内嵌操作系统),使其具备支持IEEE802.1x的功能,实现模拟交换机基于端口的登录认证。分别在认证请求者系统,认证系统,认证服务器系统之间捕获数据包,动态验证IEEE802.1x认证过程,从而最大限度地实现了Packet tracer7.2.1的模拟功能,进一步拓展了网络教学的内容。
[1]田庚林,田华,张少芳.计算机网络安全与管理[M].北京:清华大学出版社,2010:195-207.
[2]胡云.无线局域网项目教程[M].北京:清华大学出版社,2014:124-126.
[3]谌玺,张洋.企业网络整体安全—攻防技术内幕大剖析[M].北京:电子工业出版社,2011:346-360.
[4]石硕,李久仲,企业网架构与网络设备配置[M].北京:中国铁道出版社,2013:72-79.
大学生创新创业训练计划项目(项目编号:202011050004Y)