当前位置: 首页 > 网络安全 > NAC网络准入控制、radius、802.1X、AAA > 802.1X
cjhcjh 802.1X   此文章访问量   680

802.1x实验:用户名密码认证: 华为交换机802.1x认证实验(思科ACS作为radius server, 交换机非模拟器)

802.1x实验:用户名密码认证: 华为交换机802.1x认证实验(思科ACS作为radius server, 交换机非模拟器)

交换机的系统版本:

图片.png

SW1_2022.09.09.09时34分18秒.txt

(1)拓扑图

pc1----华为交换机sw1-----radius server 10.12.160.8

(2)raidus serve的配置

domain zh-cjh.com
domain zh-cjh.com force
dot1x authentication-method eap

radius-server template a1
 radius-server shared-key  www.zh-cjh.com
 radius-server authentication 10.12.160.22 1812 weight 80
 
  aaa
 authentication-scheme default
  authentication-mode radius
 authentication-scheme a1
  authentication-mode radius
 authorization-scheme default
 accounting-scheme default                
 domain default
  authentication-scheme a1
  radius-server a1
 domain default_admin
 domain zh-cjh.com
  authentication-scheme a1
  radius-server a1
 
 
 (3)802.1x的配置
  l2protocol-tunnel user-defined-protocol 1 protocol-mac 0180-c200-0003 group-mac 0100-0000-0002
#
interface Vlanif1
 ip address 10.12.5.1 255.255.0.0
 #
 interface GigabitEthernet0/0/7
 port link-type access
 l2protocol-tunnel user-defined-protocol 1 enable
 authentication dot1x
#
interface GigabitEthernet0/0/8
 port link-type access
 


(4)思科ACS作为Radius Server

配置radius共享加密密钥

图片.png

创建用于认证的用户

图片.png

图片.png

图片.png

图片.png

默认只允许了PAP,没有允许chap

图片.png

图片.png

在思科ACS可以查看错误原因:CHAP is not allow.

图片.png

图片.png


图片.png

图片.png

(5)测试

(5.1)win7: 启用Wired AutoConfig与WLAN AutoConfig服务并配置为自动启动
图片.png

(5.2)win7: 802.1X身份验证(如果windows上没有此选项,请检查Wired AutoConfig是否已启动)
图片.png

(5.3)win7: 取消自动使用Windows密码

图片.png

(5.4)win7: 配置并保存用户名以及密码
图片.png

结果:验证失败

图片.png

在思科ACS上查询时没有记录。

(6.1)换一个客户进行测试

图片.png

认证失败,但是在思科ACS有记录:

图片.png

问题可能出现在交换机透传EAP报文上或者802.1x认证方式(EAP中继认证、EAP终结认证)方面,因为交换机与radius server的连接正常。pc远程ssh方式登录到交换机时,使用radius server的密码正常。

使用802.1x客户端进行测试:
图片.png

图片.png

解决:不要上传版本号

图片.png

再测试:

图片.png

[sw1]display access-user access-type dot1x
 ------------------------------------------------------------------------------
 UserID Username                IP address       MAC            Status
 ------------------------------------------------------------------------------
 58     uu6                     10.12.11.116     54ee-757c-1573 Success         
 ------------------------------------------------------------------------------
 Total: 1, printed: 1
[sw1]

图片.png



配置了dot1x authentication-method eap

在radius server 上显示的是CHAP/MD5

图片.png

思科ACS5.6支持eap,chap,pap。


图片.png

图片.png


图片.png

如上图,选择了MS-CHAP-V2 或者MD5或者GTC, 在思科ACS上都是显示MSCHAPV2

图片.png



NAC网络准入控制、radius、802.1X(列表、list、全)radiuslist
http://www.zh-cjh.com/wenzhangguilei/1008.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 802.1x实验:用户名密码认证: 华为交换机802.1x认证实验(思科ACS作为radius server, 交换机非模拟器)

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!