◆滕步煒

Packet tracer7.2.1模擬實現(xiàn)局域網IEEE 802.1x配置

◆滕步煒

（連云港職業(yè)技術學院 江蘇 222000）

通過升級Packet tracer7.2.1軟件模擬交換機IOS（內嵌操作系統(tǒng)）使其具備支持IEEE802.1x的功能，實現(xiàn)模擬交換機基于端口的登錄認證。

IEEE802.1x；Packet tracer；局域網；端口安全

1 研究背景

IEEE802.1x協(xié)議通過對傳統(tǒng)認證方式和認證體系結構的優(yōu)化，有效地避免由于未經授的主機隨意連接到局域網絡所帶來的安全隱患，消除了網絡瓶頸，減輕了網絡封裝開銷，降低了建網成本，從而成為當前網絡選型的一個熱點技術。IEEE802.1x同時也是計算機網絡工程教學中的重點和難點內容。

思科網絡模擬器Packet tracer，在計算機網絡的科研與教學工作中承擔著重要的角色。但是由于軟件功能存在的局限性，致使其目前的版本無法直接模擬實現(xiàn)IEEE802.1x交換機登錄認證的實驗內容。本文通過升級Packet tracer軟件模擬交換機的IOS，使其具備支持IEEE802.1x的功能，實現(xiàn)模擬交換機基于端口的登錄認證。

2 IEEE 802.1x工作原理剖析

802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議，認證體系如圖１所示。它可以限制未經授權的用戶/設備通過接入端口（access port）訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務之前，802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前，802.1x只允許使用CDP，STP和基于局域網的擴展認證協(xié)議EAPOL（Extensible Authentication Protocol over LAN）的數(shù)據(jù)通過設備連接的交換機端口；當認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網端口。用戶注銷時交換機端口將返回未認證狀態(tài)；或者當客戶長時間沒有數(shù)據(jù)流量時，會因超時停止認證狀態(tài)，需要用戶重新認證。

3 構建實驗拓撲環(huán)境

3.1 升級交換機IOS

搭建如圖2所示的網絡實驗拓撲，網絡設備連接及IP地址分配如表1所示。

圖1 IEEE 802.1x認證體系

圖2 網絡拓撲

表1 設備連接接口及IP地址分配

升級前可以備份模擬交換機原有的IOS文件，通過以下配置設置交換機的ip地址為1.1.1.2/8，設置服務器server1的ip地址為1.1.1.1/8，使交換機與服務器位于同一個局域網中。

Switch>enable

Switch#configure terminal

Switch（config）#interface vlan 1

Switch（config-if）#ip address 1.1.1.2 255.0.0.0

Switch（config-if）#no shutdown

Switch（config-if）#end

Switch#dir

Directory of flash：/

1 -rw- 4414921 c2960-lanbase-mz.122-25.FX.bin

64016384 bytes total （59601463 bytes free）

Switch#copy flash：tftp：//從flash中復制到tftp服務器1.1.1.1/8中

Source filename []? c2960-lanbase-mz.122-25.FX.bin //要復制的源文件名

Address or name of remote host []? 1.1.1.1 //目標服務器地址

Destination filename [c2960-lanbase-mz.122-25.FX.bin]? //目標文件名

Writing c2960-lanbase-mz.122-25.FX.bin...!!!

[OK - 4414921 bytes]

4414921 bytes copied in 0.092 secs（1303844 bytes/sec）

Switch#

備份完成后，在模擬交換機上刪除原有的IOS文件c2960-lanbase-mz.122-25.FX.bin。

Switch>

Switch>enable

Switch#delete c2960-lanbase-mz.122-25.FX.bin

Delete filename [c2960-lanbase-mz.122-25.FX.bin]?

Delete flash：/c2960-lanbase-mz.122-25.FX.bin? [confirm]

Switch#

Switch#dir

Directory of flash：/

No files in directory

64016384 bytes total （64016384 bytes free）

Switch#

Switch#copy tftp： flash：//從tftp服務器到交換機flash

Address or name of remote host []? 1.1.1.1 //源主機IP地址

Source filename []? c2960-lanbasek9-mz.150-2.SE4.bin//源文件名稱

Destination filename [c2960-lanbasek9-mz.150-2.SE4.bin]? //目標文件名稱

Accessing tftp：//1.1.1.1/c2960-lanbasek9-mz.150-2.SE4.bin...

Loading c2960-lanbasek9-mz.150-2.SE4.bin from 192.168.1.2：!!!!

[OK - 4670455 bytes]

4670455 bytes copied in 0.076 secs （4940627 bytes/sec）

Switch#

看得出來，來自冷涼氣候產區(qū)的葡萄酒在亞太地區(qū)是有著相對廣泛的消費者口味基礎的。在此次HK IWSC中，新西蘭馬爾堡橫掃三項大獎，除了最高殊榮的“最佳新西蘭葡萄酒”，還有“最佳桃紅葡萄酒（Rosé）”及“最佳長相思葡萄酒（Sauvignon Blanc）”。

在完成系統(tǒng)升級后，需要用reload重啟系統(tǒng)；

Switch#reload

System configuration has been modified. Save? [yes/no]：yes

Building configuration...

[OK]

Proceed with reload? [confirm]

4 實現(xiàn)IEEE 802.1x的配置

4.1 配置AAA服務器

首先在圖3的左側邊欄中選擇SERVICES選項下的Radius EAP ，在右側EAP Configuration中勾選Allow EAP-MD5復選框，啟用EAP-MD5。

圖3 EAP configuration配置窗口

然后在左側邊欄中SERVICES選項中選擇AAA，開啟AAA Service On服務，分別添加Client Name aaa，Client IP 1.1.1.2 ，Secret cisco，ServerType Radius。在User Setup中創(chuàng)建Username為class，Password為class的用戶。

圖4 Service AAA配置窗口

4.2 交換機switch0的配置步驟

Switch>enable

Switch#configure terminal

Enter configuration commands， one per line. End with CNTL/Z.

Switch（config）#aaa new-model

Switch（config）#aaa authentication dot1x default group radius

Switch（config）#dot1x system-auth-control

Switch（config-if）#radius-server host 1.1.1.1 auth-port 1645 key cisco

Switch（config）#interface fa0/2

Switch（config-if）#switchort mode access

Switch（config-if）#authentication port-control auto

Switch（config-if）#dot1x pae authenticator

4.3 PC客戶端的設置

配置完交換機后，交換機的fa0/2的端口指示燈呈現(xiàn)橙黃色，表示計算機PC1無法正常接入交換機。此時打開客戶端PC1的Desktop標簽，選擇IP配置選項，如圖5所示。在對話框的下側勾選Use 802.1x Security，選擇Authentication方式為MD5，輸入前文設置Username和Password。通過驗證后，計算機就能正常接入交換機。

圖5 PC客戶端啟用802.1x

5 捕獲數(shù)據(jù)包并進行驗證

IEEE802.1x標準定義了一個客戶端/服務器的體系結構，用來防止非授權的設備接入到局域網中。IEEE802.1x體系中包括請求者系統(tǒng)、認證系統(tǒng)和認證服務器系統(tǒng)三個組件，請求者系統(tǒng)通常為一個支持IEEE802.1x認證的用戶終端設備，用戶通過啟動客戶端軟件觸發(fā)IEEE802.1x認證。認證系統(tǒng)對連接到鏈路的請求者系統(tǒng)進行認證。在認證通過之前，IEEE802.1x只允許EAPOL報文通過端口；認證通過以后，用戶數(shù)據(jù)可以順利地通過端口進入到網絡中。認證系統(tǒng)與認證服務器之間運行EAP協(xié)議，認證系統(tǒng)將EAP幀封裝到RADIUS報文中，并通過網絡發(fā)送給認證服務器。當認證系統(tǒng)接收到認證服務器返回的認證響應后，再從RADIUS報文中提取出EAP信息并封裝成EAP幀發(fā)送給請求者。

圖6 IEEE802.1x工作機制

圖7 捕獲計算機與交換機間的EAPOL的包

圖8 捕獲交換機與認證服務器的RADIUS數(shù)據(jù)包

6 結論

實驗通過升級Packet tracer7.2.1軟件內置的模擬交換機IOS（交換機內嵌操作系統(tǒng)），使其具備支持IEEE802.1x的功能，實現(xiàn)模擬交換機基于端口的登錄認證。分別在認證請求者系統(tǒng)，認證系統(tǒng)，認證服務器系統(tǒng)之間捕獲數(shù)據(jù)包，動態(tài)驗證IEEE802.1x認證過程，從而最大限度地實現(xiàn)了Packet tracer7.2.1的模擬功能，進一步拓展了網絡教學的內容。

[1]田庚林，田華，張少芳.計算機網絡安全與管理[M].北京：清華大學出版社，2010：195-207.

[2]胡云.無線局域網項目教程[M].北京：清華大學出版社，2014：124-126.

[3]諶璽，張洋.企業(yè)網絡整體安全—攻防技術內幕大剖析[M].北京：電子工業(yè)出版社，2011：346-360.

[4]石碩，李久仲，企業(yè)網架構與網絡設備配置[M].北京：中國鐵道出版社，2013：72-79.

大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目（項目編號：202011050004Y）