一下部分描述如何配置IEEE 802.1x 基于端口的认证: • IEEE 802.1x 认证的缺省配置 • IEEE 802.1x 认证配置向导 • 配置IEEE 802.1x 认证(必须) • 配置主机模式可选) • 启用定期重认证 (可选l)
• 手动要求连接端口的客户端进行重新认证(可选) • 改变静默周期 (可选l)
• 改变交换机到客户端的帧重传时间 (可选) • 设定交换机到客户端的帧重传个数 (可选l) • 配置访客VLAN (可选)
• 配置一个受限制的VLAN (可选l) • 重置IEEE 802.1x 配置为缺省值 (可选) 缺省情况下的 IEEE 802.1x 认证配置
Table 9-2 列出了缺省情况下的IEEE 802.1x 认证配置
Table 9-2 IEEE 802.1x 认证缺省配置 特性 IEEE 802.1x 启用状态 禁用 每个端口的IEEE 802.1x 启用状态 端口接收和发送没有IEEE 802.1x认证客户端的数据 AAA RADIUS 服务器 禁用 • 未指定任何地址 禁用(强制通过认证) 默认设置 • IP 地址 • UDP 认证端口 • 密钥 主机模式 控制方向 周期性重新认证 重认证请求间隔 静默周期 重传时间 • 1812 • 未指定 单主机模式 双向控制 禁用 3600 秒 60 秒(交换机收到客户端一个失败认证后的静默状态的时间). 30 秒 (交换机在未收到客户端对EAP request/identity的响应重新传送前需要等待的时间). 最大重传数量 2 次 (在重新开始一轮认证过程前交换机将要发送EAP-request/identity 帧的次数). 客户端超时周期 30秒 认证服务器超时周期 30 秒(中转客户端的响应到认证服务器时,交换机未收到服务器的回应再次重传响应到服务器需要等待的时间。这个设置不可配。) 访客VLAN 受限 VLAN 未指定 未指定 IEEE 802.1x 认证配置向导 下文描述如下特性的配置向导: • IEEE 802.1x 认证 • VLAN分配,访客VLAN和受限VlAN IEEE 802.1x 配置 • 当启用IEEE 802.1x 认证后, 在其他任何二层特性被启用前端口需要认证通过 • IEEE 802.1x 协议支持Layer 2 静态访问端口和语音VLAN端口,但是不支持如下类型的端口: – Trunk 端口 – 动态端口 – 动态访问端口 – EtherChannel 端口 – Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN) destination ports – LRE switch ports • 在输入 dot1x system-auth-control 全局配置命令启用全局IEEE 802.1x 认证前, 删掉接口的EtherChannel 配置 VLAN 分配,访客VLAN和受限 VLAN VLAN 分配,访客VLAN,和受限配置向导: •当启用端口的IEEE 802.1x 认证后t,不能配置端口属于语音VLAN. • 带有VLAN分配的EEE 802.1x 认证不支持trunk 端口,动态端口或者通过VMPS进行动态访问的端口 配置 IEEE 802.1x 认证 进入特权模式,按照如下步骤配置IEEE 802.1x 基于端口的认证。 这个过程是必须的 Command Step 1 configure terminal Step 2 aaa new-model Purpose 进入全局配置模式 启用 AAA. Step 3 aaa authentication dot1x default group radius 创建一个缺省IEEE 802.1x 认证方法列表 Step 4 dot1x system-auth-control Step 5 aaa authorization network default group radius Step 6 radius-server host 192.168.24.200 auth-port 1812 acct-port 1813 Step 7 radius-server key onsky1 (比选)指定交换机与认证服务器通讯所需的密钥 Step 8 interface interface-id Step 9 swtichport mode access Step dot1x port-control auto 10 Step end 11 Step show dot1x 12 验证你的802.1x配置 返回特权模式 进入需要启用802.1x认证的端口 设置端口的访问模式 启用此端口的IEEE 802.1x 认证 (比选) 指定ipd认证服务器的地址 启用IEEE 802.1x 认证的全局配置 (可选) 启用VLAN分配特性时需要此项配置 Step copy running-config startup-config 13 (可选) 保存配置。建议你才完全确定你的配置的情况下再保存你的配置 禁用 AAA, 使用 no aaa new-model全局配置命令。 禁用IEEE 802.1x AAA 认证, 使用 no aaa authentication dot1x default 全局配置命令。禁用IEEE 802.1x AAA 授权, 使用no aaa authorization 全局配置命令。禁用交换机的IEEE 802.1x 认证,使用no dot1x system-auth-control 全局配置命令。 配置主机模式Mode
进入特权模式, 遵从如下步骤允许多个主机同时连接启用了IEEE 802.1x认证的端口。这个过程时可选的。
Command Step 1 configure terminal Step 2 interface interface-id Step 3 dot1x host-mode multi-host Step 4 end Step 5 show dot1x interface interface-id 进入特权模式 指定多个主机间接连接的 端口,例如该端口下接了个hub 允许多个主机使用802.1x认证过的端口 返回特权模式 验证配置. Purpose Step 6 copy running-config startup-config (可选) 保存配置 禁用多主机使用802.1x认证的端口,使用 no dot1x host-mode multi-host 端口配置命令 例子:
Switch(config)# interface fastethernet0/1 Switch(config-if)# dot1x port-control auto Switch(config-if)# dot1x host-mode multi-host 启用定期重认证
你可以启用定期IEEE 802.1x 客户端重认证并指定多久发生一次。如果启用了重认证单并未指定重认证周期,缺省的周期为3600秒。
进入特权模式,遵循如下步骤启用客户端的定期重认证,并配置重认证的间隔。这个过程不是必须的。
Command Step configure terminal 1 Step interface interface-id 2 Step dot1x reauthentication 3 Step dot1x timeout reauth-period {seconds| 4 server} 进入端口配置模式 进入特权模式 Purpose 启用客户端的重认证,缺省时禁用的 关键则的意思解释: • seconds—设置秒数范围为1到 65535;缺省为3600 • server—使用认证服务器返回的时间设置 Step end 5 Step show dot1x interface interface-id 6 Step copy running-config startup-config 7 返回特权模式 验证配置 (可选) 保存配置 禁用周期重认证使用no dot1x reauthentication 接口配置命令。使用缺省的重认证间隔设置使用no dot1x timeout reauth-period 全局配置命令。 例子:启用重认证并设置重认证间隔为4000秒: Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000 手动要求客户端进行重认证
再认证时候你都可以手动要求连接到端口的客户端进行重新认证,命令为 dot1x re-authenticate interface interface-id 例子:
Switch# dot1x re-authenticate interface fastethernet0/1 改变静默周期
当交换机不能认证客户端时,交换机会空闲一个周期的时间认证重新尝试。空闲的时间时由静默周期决定的。 当客户端提供错误的密码而导致认证失败,你可以使用较小的静默周期以提高认证响应的速度。
进入特权模式,尊许如下的步骤配置静默周期。这个过程时可选的。
Command Step 1 configure terminal Step 2 interface interface-id 进入特权模式 进入端口配置模式 Purpose Step 3 dot1x timeout quiet-period seconds 客户端认证失败后交换机静默的时间 取值范围时1 到 65535 单位是秒;缺省为60秒。 Step 4 end Step 5 show dot1x interface interface-id 返回特权模式 验证配置 Step 6 copy running-config startup-config (可选) 保存配置 如果想使用缺省的静默时间请使用no dot1x timeout quiet-period 接口配置命令 例子:设置静默时间为30秒 Switch(config-if)# dot1x timeout quiet-period 30 改变 Switch-to-Client 重传时间 认证客户端使用EAP-response/identity 帧对交换机发来的EAP-request/identity 帧进行响应。如果交换机没有收到这个响应,它会等待一个时间然后重新传输EAP-response/identity。这个时间就是重传时间。 注意 小心使用此命令,只有当如下特殊情况下: 不可靠链接或者特殊的客户端与认证服务器行为。 Command Step configure terminal 1 Step interface interface-id 2 Step dot1x timeout tx-period 设置交换机等候一个EAP-request/identity 帧回应的超时重传进入接口配置模式 进入特权模式 Purpose 3 seconds 请求的时间 范围:1 到 65535 秒;缺省为30秒。 Step end 4 Step show dot1x interface 5 interface-id Return to privileged EXEC mode. 验证配置 Step copy running-config 6 startup-config (可选) 保存配置 使用缺省重传时间使用no dot1x timeout tx-period 接口配置命令。 例子:设置重传时间为60秒 Switch(config-if)# dot1x timeout tx-period 60 设置 Switch-to-Client 帧重传个数 除了改变交换机到客户端的帧重传时间外你还可以改变一次认证过程的请求帧的重传次数 进入特权模式,按照步骤设置switch-to-client 帧重传次数。这个过程是可选的。 Command Step configure terminal 1 Step interface interface-id 2 Step dot1x max-req count 3 Step end 4 Step show dot1x interface 5 interface-id (可选) 保存配置 验证配置 设置交换机再重新开始新的认证过程重传EAP-request/identity 帧的次数。范围: 1 到 10;缺省为2。 返回特权模式 进入端口配置模式 进入特权模式 Purpose Step copy running-config 6 startup-config 使用缺省的重传次数,使用 no dot1x max-req 端口配置命令。
例子:设置在开始新的认证过程前重新传输EAP-request/identity 帧的次数为5
Switch(config-if)# dot1x max-req 5 配置访客VLAN 当配置访客VLAN时,当服务器没有收到对EAPOL request/identity帧的响应那些不能进行IEEE 802.1x认证的客户端被放进访客, 可以进行IEEE 802.1x认证但是认证失败的客户端不能访问网络。交换机支持访客VLAN在端口的单主机模式和多主机模式。 你可以通过使用dot1x guest-vlan supplicant 全局配置命令启用访客VLAN。被启用后,交换机不再维护EAPOL 包的历史数据并且允许认证失败的客户端访问访客 VLAN而不管是否检测到端口的 EAPOL 包。 Note 根据交换机的配置,指定客户端进入访客 VLAN 可能需要几分钟的时间。 进入特权模式, 按照如下的步骤配置访客VLAN。这个过程时可选的。 Command Step configure terminal 1 Step interface interface-id 2 Step switchport mode access 3 Step dot1x port-control auto 4 Step dot1x guest-vlan vlan-id 5 配置处于活动状态的VLAN 作为IEEE 802.1x 访客VLAN. 范围:1 到 4094. 您不能配置RSPAN VLAN 或者语音VLAN 作为IEEE 802.1x 访客VLAN. Step end 6 Step show dot1x interface 7 interface-id (可选)保存当前配置 验证配置 返回特权模式 启用端口 IEEE 802.1x 认证 配置端口的访问模式 进入端口配置模式 进入特权模式 Purpose Step copy running-config 8 startup-config 禁用并取消访客VLAN使用 no dot1x guest-vlan 接口配置命令,端口返回到为授权状态。 例子:在端口1上启用 VLAN 9 作为IEEE 802.1x 访客VLAN Switch(config)# interface fastethernet0/1 Switch(config-if)# dot1x guest-vlan 9
例子:设置某端口的交换机EAP-request/identity帧的重传间隔为15,设置交换机的静默时间为3秒,启用 VLAN 2 作为IEEE 802.1x 访客VLAN Switch(config-if)# dot1x timeout quiet-period 3 Switch(config-if)# dot1x timeout tx-period 15 Switch(config-if)# dot1x guest-vlan 2
当配置访客VLAN时,当服务器没有收到对EAPOL request/identity帧的响应那些不能进行IEEE 802.1x认证的客户端被放进访客, 可以进行IEEE 802.1x认证但是认证失败的客户端不能访问网络。交换机支持访客VLAN在端口的单主机模式和多主机模式。
你可以通过使用dot1x guest-vlan supplicant 全局配置命令启用访客VLAN。被启用后,交换机不再维护EAPOL 包的历史数据并且允许认证失败的客户端访问访客 VLAN而不管是否检测到端口的 EAPOL 包。
Command Step configure terminal 1 Step dot1x guest-vlan supplicant 2 Step interface interface-id 3 Step switchport mode access 4 Step dot1x port-control auto 5 Step dot1x guest-vlan vlan-id 6 指定处于活动状态的VLAN 作为IEEE 802.1x 访客VLAN. 范围:1 到 4094. 您不能配置RSPAN VLAN 或者语音VLAN 作为IEEE 802.1x 访客VLAN. 启用端口的802.1x认证 设置端口为访问模式 进入接口配置模式 启用交换机的全局访客VLAN功能 进入特权模式 Purpose Step end 7 Step show dot1x interface 8 interface-id 返回特权模式 验证配置 Step copy running-config 9 startup-config (可选) 保存你的配置 禁用可选的访客VLAN功能,使用no dot1x guest-vlan supplicant 全局配置命令。删除访客VLAN,使用no dot1x guest-vlan 接口配置命令。如果端口当前被授权访问访客VLAN,,端口将恢复为未授权状态。
例子:启用可选访客VLAN 并指定VLAN 5 作为IEEE 802.1x 访客VLAN: Switch(config)# dot1x guest-vlan supplicant Switch(config)# interface gigabitethernet0/1 Switch(config-if)# dot1x guest-vlan 5 配置受限 VLAN
当你在交换机上配置了一个受限VLAN,当认证服务器没有收到有效的用户名和密码时兼容IEEE 802.1x-的客户端被放置在受限VLAN中。交换机 The switch supports restricted VLANs only in single-host mode.
进入特权模式,按照如下步骤配置一个受限制VLAN。这个过程时可选的。
Command Step configure terminal 1 Step interface interface-id 2 Step switchport mode 3 access 设置端口未访问模式 进入端口配置模式 进入特权模式 Purpose Step dot1x port-control auto 启 用端口的IEEE 802.1x 认证 4 Step dot1x auth-fail vlan 5 vlan-id 指定一个活动的VLAN 作为IEEE 802.1x 受限VLAN。范围: 1 到 4094.您不能配置RSPAN VLAN 或者语音VLAN 作为IEEE 802.1x 访客VLAN. Step end 6 返回特权模式 Step show dot1x interface 7 interface-id (可选) 验证配置 Step copy running-config 8 startup-config (可选)保存你的配置 禁用并删除受限VLAN,使用no dot1x auth-fail vlan 接口配置命令。端口恢复到未授权状态
例子:启用VLAN 2 作为IEEE 802.1x 受限VLAN: Switch(config)# interface gigabitethernet0/1 Switch(config-if)# dot1x auth-fail vlan 2
你可以配置客户端被放置到受限VLAN前可以允许的最大认证请求次数。使用命令 dot1x auth-fail max-attempts 端口配置命令。允许的认证尝试范围:1 到 3。缺省为3。 进入特权模式,按照如下步骤配置允许的最大认证请求次数。这个过程是可选的。
Command Step configure terminal 1 Step interface interface-id 2 Step switchport mode access 3 Step dot1x port-control auto 4 Step dot1x auth-fail vlan vlan-id 5 指定活动的VLAN 作为IEEE 802.1x 受限 VLAN。范围:1 到 4094. 您不能配置RSPAN VLAN 或者语音VLAN 作为IEEE 802.1x 访客VLAN. Step dot1x auth-fail max-attemptsmax 6 attempts 指定移动到受限VLAN前允许的认证尝试次数。范围: 1 to 3,缺省是 3. 返回特权模式 启用端口的802.1x认证 配置端口为访问模式 进入端口配置模式 进入特权模式 Purpose Step end 7 Step show dot1x interface interface-id 8 (可选) 验证你的配置 Step copy running-config startup-config (可选) 保存你的配置 9 使用缺省值,使用 no dot1x auth-fail max-attempts端口配置命令。 例子:设置端口被置为受限VLAN前最大请求次数为 Switch(config-if)# dot1x auth-fail max-attempts 2 重置 IEEE 802.1x配置为缺省值
进入特权模式,按照步骤重置IEEE 802.1x 配置为缺省值
Command Step 1 configure terminal Step 2 interface interface-id Step 3 dot1x default Step 4 end Step 5 show dot1x interface interface-id Step 6 copy running-config startup-config 进入特权模式 进入端口配置模式 重置 IEEE 802.1x参数为缺省值 返回到特权模式 验证你的配置 (可选) 保存配置 Purpose 显示EEE 802.1x 统计与状态
显示所有端口的IEEE 802.1x 统计信息,使用show dot1x all statistics 特权命令。显示特定端口的IEEE 802.1x 统计,使用show dot1x statistics interfaceinterface-id 特权命令。
显示交换机的IEEE 802.1x 管理和操作状态,使用show dot1x all特权命令。显示特定端口的IEEE 802.1x 管理与操作状态,使用 show dot1x interfaceinterface-id 特权命令。 Cisco3560G-48交换机请注意 需要在端口配置模式下执行 Switchport host
思科2960系列交换机配置802.1X
Command Step 1 configure terminal Step 2 aaa new-model Step 3 aaa authentication dot1x default group radius Purpose 进入全局配置模式 启用 AAA. 创建一个缺省IEEE 802.1x 认证方法列表 Step 4 dot1x system-auth-control Step 5 aaa authorization network default group radius Step 6 radius-server host 192.168.24.200 auth-port 1812 acct-port 1813 Step 7 radius-server key onsky1 启用IEEE 802.1x 认证的全局配置 (可选) 启用VLAN分配特性时需要此项配置 (比选) 指定ipd认证服务器的地址 (比选)指定交换机与认证服务器通讯所需的密钥 Step 8 interface interface-id Step 9 swtichport mode access Step10 Authentication port-control auto Step 11 Step 12 Step 13 Step 14 copy running-config startup-config show dot1x end dot1x pae authentication 进入需要启用802.1x认证的端口 设置端口的访问模式 启用此端口的IEEE 802.1x 认证 在接口模式下启用802.1X 返回特权模式 验证你的802.1x配置 (可选) 保存配置。建议你才完全确定你的配置的情况下再保存你的配置 Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius Switch(config)#aaa authorization network default group radius (config)#aaa authentication dot1x default group radius local no 记账
Switch(config)#radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 key 密码
Switch(config)#dot1x system-auth-control Switch(config)# interface fastethernet0/1
Switch(config-if)# authentication port-control auto Switch(config-if)# dot1x pae authentication 配置主机模式Mode
进入特权模式, 遵从如下步骤允许多个主机同时连接启用了IEEE 802.1x认证的端口。这个过程时可选的。
Command Step 1 configure terminal Step 2 interface interface-id Step 3 Authentication port-control auto Step 4 Authentication host-mode multi-auth Step 5 Dot1x pae authentication Step 6 end Step 7 show dot1x interface interface-id 在接口模式下启用802.1X 返回特权模式 验证配置. 进入特权模式 指定多个主机间接连接的 端口,例如该端口下接了个hub 启用此端口的IEEE 802.1x 认证 允许多个主机使用802.1x认证过的端口 Purpose Step 6 copy running-config startup-config (可选) 保存配置 例子:
Switch(config)# interface fastethernet0/1
Switch(config-if)# authentication port-control auto Switch(config-if)# authentication host-mode multi-auth Switch(config-if)# dot1x pae authentication
因篇幅问题不能全部显示,请点此查看更多更全内容