◆滕步煒

Packet tracer7.2.1模擬實(shí)現(xiàn)局域網(wǎng)IEEE 802.1x配置

◆滕步煒

（連云港職業(yè)技術(shù)學(xué)院 江蘇 222000）

通過升級(jí)Packet tracer7.2.1軟件模擬交換機(jī)IOS（內(nèi)嵌操作系統(tǒng)）使其具備支持IEEE802.1x的功能，實(shí)現(xiàn)模擬交換機(jī)基于端口的登錄認(rèn)證。

IEEE802.1x；Packet tracer；局域網(wǎng)；端口安全

1 研究背景

IEEE802.1x協(xié)議通過對(duì)傳統(tǒng)認(rèn)證方式和認(rèn)證體系結(jié)構(gòu)的優(yōu)化，有效地避免由于未經(jīng)授的主機(jī)隨意連接到局域網(wǎng)絡(luò)所帶來(lái)的安全隱患，消除了網(wǎng)絡(luò)瓶頸，減輕了網(wǎng)絡(luò)封裝開銷，降低了建網(wǎng)成本，從而成為當(dāng)前網(wǎng)絡(luò)選型的一個(gè)熱點(diǎn)技術(shù)。IEEE802.1x同時(shí)也是計(jì)算機(jī)網(wǎng)絡(luò)工程教學(xué)中的重點(diǎn)和難點(diǎn)內(nèi)容。

思科網(wǎng)絡(luò)模擬器Packet tracer，在計(jì)算機(jī)網(wǎng)絡(luò)的科研與教學(xué)工作中承擔(dān)著重要的角色。但是由于軟件功能存在的局限性，致使其目前的版本無(wú)法直接模擬實(shí)現(xiàn)IEEE802.1x交換機(jī)登錄認(rèn)證的實(shí)驗(yàn)內(nèi)容。本文通過升級(jí)Packet tracer軟件模擬交換機(jī)的IOS，使其具備支持IEEE802.1x的功能，實(shí)現(xiàn)模擬交換機(jī)基于端口的登錄認(rèn)證。

2 IEEE 802.1x工作原理剖析

802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議，認(rèn)證體系如圖１所示。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口（access port）訪問LAN/WLAN。在獲得交換機(jī)或LAN提供的各種業(yè)務(wù)之前，802.1x對(duì)連接到交換機(jī)端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前，802.1x只允許使用CDP，STP和基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議EAPOL（Extensible Authentication Protocol over LAN）的數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；當(dāng)認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。用戶注銷時(shí)交換機(jī)端口將返回未認(rèn)證狀態(tài)；或者當(dāng)客戶長(zhǎng)時(shí)間沒有數(shù)據(jù)流量時(shí)，會(huì)因超時(shí)停止認(rèn)證狀態(tài)，需要用戶重新認(rèn)證。

3 構(gòu)建實(shí)驗(yàn)拓?fù)洵h(huán)境

3.1 升級(jí)交換機(jī)IOS

搭建如圖2所示的網(wǎng)絡(luò)實(shí)驗(yàn)拓?fù)洌W(wǎng)絡(luò)設(shè)備連接及IP地址分配如表1所示。

圖1 IEEE 802.1x認(rèn)證體系

圖2 網(wǎng)絡(luò)拓?fù)?/p>

表1 設(shè)備連接接口及IP地址分配

升級(jí)前可以備份模擬交換機(jī)原有的IOS文件，通過以下配置設(shè)置交換機(jī)的ip地址為1.1.1.2/8，設(shè)置服務(wù)器server1的ip地址為1.1.1.1/8，使交換機(jī)與服務(wù)器位于同一個(gè)局域網(wǎng)中。

Switch>enable

Switch#configure terminal

Switch（config）#interface vlan 1

Switch（config-if）#ip address 1.1.1.2 255.0.0.0

Switch（config-if）#no shutdown

Switch（config-if）#end

Switch#dir

Directory of flash：/

1 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin

64016384 bytes total （59601463 bytes free）

Switch#copy flash：tftp：//從flash中復(fù)制到tftp服務(wù)器1.1.1.1/8中

Source filename []? c2960-lanbase-mz.122-25.FX.bin //要復(fù)制的源文件名

Address or name of remote host []? 1.1.1.1 //目標(biāo)服務(wù)器地址

Destination filename [c2960-lanbase-mz.122-25.FX.bin]? //目標(biāo)文件名

Writing c2960-lanbase-mz.122-25.FX.bin...!!!

[OK - 4414921 bytes]

4414921 bytes copied in 0.092 secs（1303844 bytes/sec）

Switch#

備份完成后，在模擬交換機(jī)上刪除原有的IOS文件c2960-lanbase-mz.122-25.FX.bin。

Switch>

Switch>enable

Switch#delete c2960-lanbase-mz.122-25.FX.bin

Delete filename [c2960-lanbase-mz.122-25.FX.bin]?

Delete flash：/c2960-lanbase-mz.122-25.FX.bin? [confirm]

Switch#

Switch#dir

Directory of flash：/

No files in directory

64016384 bytes total （64016384 bytes free）

Switch#

Switch#copy tftp： flash：//從tftp服務(wù)器到交換機(jī)flash

Address or name of remote host []? 1.1.1.1 //源主機(jī)IP地址

Source filename []? c2960-lanbasek9-mz.150-2.SE4.bin//源文件名稱

Destination filename [c2960-lanbasek9-mz.150-2.SE4.bin]? //目標(biāo)文件名稱

Accessing tftp：//1.1.1.1/c2960-lanbasek9-mz.150-2.SE4.bin...

Loading c2960-lanbasek9-mz.150-2.SE4.bin from 192.168.1.2：!!!!

[OK - 4670455 bytes]

4670455 bytes copied in 0.076 secs （4940627 bytes/sec）

Switch#

看得出來(lái)，來(lái)自冷涼氣候產(chǎn)區(qū)的葡萄酒在亞太地區(qū)是有著相對(duì)廣泛的消費(fèi)者口味基礎(chǔ)的。在此次HK IWSC中，新西蘭馬爾堡橫掃三項(xiàng)大獎(jiǎng)，除了最高殊榮的“最佳新西蘭葡萄酒”，還有“最佳桃紅葡萄酒（Rosé）”及“最佳長(zhǎng)相思葡萄酒（Sauvignon Blanc）”。

在完成系統(tǒng)升級(jí)后，需要用reload重啟系統(tǒng)；

Switch#reload

System configuration has been modified. Save? [yes/no]：yes

Building configuration...

[OK]

Proceed with reload? [confirm]

4 實(shí)現(xiàn)IEEE 802.1x的配置

4.1 配置AAA服務(wù)器

首先在圖3的左側(cè)邊欄中選擇SERVICES選項(xiàng)下的Radius EAP ，在右側(cè)EAP Configuration中勾選Allow EAP-MD5復(fù)選框，啟用EAP-MD5。

圖3 EAP configuration配置窗口

然后在左側(cè)邊欄中SERVICES選項(xiàng)中選擇AAA，開啟AAA Service On服務(wù)，分別添加Client Name aaa，Client IP 1.1.1.2 ，Secret cisco，ServerType Radius。在User Setup中創(chuàng)建Username為class，Password為class的用戶。

圖4 Service AAA配置窗口

4.2 交換機(jī)switch0的配置步驟

Switch>enable

Switch#configure terminal

Enter configuration commands， one per line. End with CNTL/Z.

Switch（config）#aaa new-model

Switch（config）#aaa authentication dot1x default group radius

Switch（config）#dot1x system-auth-control

Switch（config-if）#radius-server host 1.1.1.1 auth-port 1645 key cisco

Switch（config）#interface fa0/2

Switch（config-if）#switchort mode access

Switch（config-if）#authentication port-control auto

Switch（config-if）#dot1x pae authenticator

4.3 PC客戶端的設(shè)置

配置完交換機(jī)后，交換機(jī)的fa0/2的端口指示燈呈現(xiàn)橙黃色，表示計(jì)算機(jī)PC1無(wú)法正常接入交換機(jī)。此時(shí)打開客戶端PC1的Desktop標(biāo)簽，選擇IP配置選項(xiàng)，如圖5所示。在對(duì)話框的下側(cè)勾選Use 802.1x Security，選擇Authentication方式為MD5，輸入前文設(shè)置Username和Password。通過驗(yàn)證后，計(jì)算機(jī)就能正常接入交換機(jī)。

圖5 PC客戶端啟用802.1x

5 捕獲數(shù)據(jù)包并進(jìn)行驗(yàn)證

IEEE802.1x標(biāo)準(zhǔn)定義了一個(gè)客戶端/服務(wù)器的體系結(jié)構(gòu)，用來(lái)防止非授權(quán)的設(shè)備接入到局域網(wǎng)中。IEEE802.1x體系中包括請(qǐng)求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)三個(gè)組件，請(qǐng)求者系統(tǒng)通常為一個(gè)支持IEEE802.1x認(rèn)證的用戶終端設(shè)備，用戶通過啟動(dòng)客戶端軟件觸發(fā)IEEE802.1x認(rèn)證。認(rèn)證系統(tǒng)對(duì)連接到鏈路的請(qǐng)求者系統(tǒng)進(jìn)行認(rèn)證。在認(rèn)證通過之前，IEEE802.1x只允許EAPOL報(bào)文通過端口；認(rèn)證通過以后，用戶數(shù)據(jù)可以順利地通過端口進(jìn)入到網(wǎng)絡(luò)中。認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間運(yùn)行EAP協(xié)議，認(rèn)證系統(tǒng)將EAP幀封裝到RADIUS報(bào)文中，并通過網(wǎng)絡(luò)發(fā)送給認(rèn)證服務(wù)器。當(dāng)認(rèn)證系統(tǒng)接收到認(rèn)證服務(wù)器返回的認(rèn)證響應(yīng)后，再?gòu)腞ADIUS報(bào)文中提取出EAP信息并封裝成EAP幀發(fā)送給請(qǐng)求者。

圖6 IEEE802.1x工作機(jī)制

圖7 捕獲計(jì)算機(jī)與交換機(jī)間的EAPOL的包

圖8 捕獲交換機(jī)與認(rèn)證服務(wù)器的RADIUS數(shù)據(jù)包

6 結(jié)論

實(shí)驗(yàn)通過升級(jí)Packet tracer7.2.1軟件內(nèi)置的模擬交換機(jī)IOS（交換機(jī)內(nèi)嵌操作系統(tǒng)），使其具備支持IEEE802.1x的功能，實(shí)現(xiàn)模擬交換機(jī)基于端口的登錄認(rèn)證。分別在認(rèn)證請(qǐng)求者系統(tǒng)，認(rèn)證系統(tǒng)，認(rèn)證服務(wù)器系統(tǒng)之間捕獲數(shù)據(jù)包，動(dòng)態(tài)驗(yàn)證IEEE802.1x認(rèn)證過程，從而最大限度地實(shí)現(xiàn)了Packet tracer7.2.1的模擬功能，進(jìn)一步拓展了網(wǎng)絡(luò)教學(xué)的內(nèi)容。

[1]田庚林，田華，張少芳.計(jì)算機(jī)網(wǎng)絡(luò)安全與管理[M].北京：清華大學(xué)出版社，2010：195-207.

[2]胡云.無(wú)線局域網(wǎng)項(xiàng)目教程[M].北京：清華大學(xué)出版社，2014：124-126.

[3]諶璽，張洋.企業(yè)網(wǎng)絡(luò)整體安全—攻防技術(shù)內(nèi)幕大剖析[M].北京：電子工業(yè)出版社，2011：346-360.

[4]石碩，李久仲，企業(yè)網(wǎng)架構(gòu)與網(wǎng)絡(luò)設(shè)備配置[M].北京：中國(guó)鐵道出版社，2013：72-79.

大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目（項(xiàng)目編號(hào)：202011050004Y）