本帖最后由 ztbf 于 2020-7-22 09:40 编辑
一项目需求:
目前单位为了网络安全,所有PC端安装了准入软件,交换机端口配置了dot1x认证,用户需要在PC端输入用户名和密码拔号后 ,数据通过准入控制设备AC通过后,员工获取IP地址后才能访问系统。 因为单位需求,有些PC在没有通过dot1x认证前,能获取地址,访问特定的服务器。
二 现网架构
三 解决方法 1 在核心交换机新设置一个Vlan vlan 2190 description GuestVlan 2 做好访问ACL控制
acl number 3003 description inboud_Guestvlan rule 5 permit ip source x.x.x.x 0 rule 10 permit ip source x.x.x.x 0 rule 100 deny ip ------------------------- acl number 3004 description outboud_Guestvlan rule 5 permit ip source x.x.x.x 0 rule 10 permit ip source x.x.x.x 0 rule 100 deny ip 3 核心交换机vlan与ACL绑定 vlan 2190 description GuestVlan traffic-policy 3003 inbound traffic-policy 3004 outbound
4 新建vlan 2190 做好DHCP 分配
5 接入交换机增加配置
interface GigabitEthernet1/0/1 --------------端口配置 认证前PC获取VLAN 2190 port link-type hybrid port hybrid pvid vlan 209 port hybrid untagged vlan 209 2190 stp edged-port enable dot1x enable authentication guest-vlan 2190
四 总结 准入认证来说,对企业安全很重要,但是维护起来,给IT带来不便。 |