收藏
下载资源

802.1x 使用配置手册

上传人:第*** 文档编号:34244850 上传时间:2018-02-22 格式:DOC 页数:29 大小:1MB
返回 下载 相关 举报
802.1x 使用配置手册_第1页
第1页 / 共29页
802.1x 使用配置手册_第2页
第2页 / 共29页
802.1x 使用配置手册_第3页
第3页 / 共29页
802.1x 使用配置手册_第4页
第4页 / 共29页
802.1x 使用配置手册_第5页
第5页 / 共29页
点击查看更多>>
资源描述

《802.1x 使用配置手册》由会员分享,可在线阅读,更多相关《802.1x 使用配置手册(29页珍藏版)》请在金锄头文库上搜索。

1、802.1x 简介:802.1x 协议起源于 802.11 协议,802.11 是 IEEE 的无线局域网协议,制订 802.1x 协议的初衷是为了解决无线局域网用户的接入认证问题。IEEE802 LAN 协议定义的局域网并不提供接入认证,只要用户能接入局域网控制设备(如 LAN Switch),就可以访问局域网中的设备或资源。这在早期企业网有线 LAN 应用环境下并不存在明显的安全隐患。 随着移动办公及驻地网运营等应用的大规模发展,服务提供者需要对用户的接入进行控制和配置。尤其是 WLAN 的应用和 LAN 接入在电信网上大规模开展,有必要对端口加以控制以实现用户级的接入控制,802.lx

2、就是 IEEE 为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。 二、802.1x 认证体系 802.1x 是一种基于端口的认证协议,是一种对用户进行认证的方法和策略。端口可以是一个物理端口,也可以是一个逻辑端口(如 VLAN)。对于无线局域网来说,一个端口就是一个信道。802.1x 认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证成功那么就“打开”这个端口,允许所有的报文通过;如果认证不成功就使这个端口保持“关闭”,即只允许 802.1x 的认证协议报文通过。 实验所需要的用到设备:认证设备:cisco 3550

3、 交换机一台认证服务器:Cisco ACS 4.0认证客户端环境:Windows xp sp3实验拓扑:实验拓扑简单描述:在 cisco 3550 上配置 802.1X 认证,认证请求通过 AAA server,AAA server IP 地址为:172.16.0.103,认证客户端为一台 windows xp ,当接入到 3550 交换机上实施 802.1X 认证,只有认证通过之后方可以进入网络,获得 IP 地址。实验目的:通过本实验,你可以掌握在 cisco 交换机如何来配置 AAA(认证,授权,授权),以及如何配置 802.1X,掌握 cisco ACS 的调试,以及如何在 window

4、s xp 启用认证,如何在 cisco 三层交换机上配置 DHCP 等。好了,下面动手干活。实验过程:Cisco 3550 配置由于 cisco 交换机默认生成树都已经运行,开启生成树的目的为了防止网络发生环路,但是根据 portfast 的特性,如果交换机的某个接口连接的是路由器或者交换机,就可以启用portfast 来加快接口的相应时间,跳过生成树的收敛。并且如果要在接口启用 802.1x 认证,接口要是 access 模式*配置过程*sw3550(config)#int f0/1sw3550(config-if)#switchport mode access/配置 f0/1 接口永久为接

5、入模式sw3550(config-if)#spanning-tree portfast/启用 portfast 特性(注意下面的警告提示哦)%Warning: portfast should only be enabled on ports connected to a singlehost. Connecting hubs, concentrators, switches, bridges, etc. to thisinterface when portfast is enabled, can cause temporary bridging loops.Use with CAUTION%P

6、ortfast has been configured on FastEthernet0/2 but will onlyhave effect when the interface is in a non-trunking mode.sw3550(config)#int f0/3sw3550(config-if)#switchport mode accesssw3550(config-if)#spanning-tree portfast%Warning: portfast should only be enabled on ports connected to a singlehost. Co

7、nnecting hubs, concentrators, switches, bridges, etc. to thisinterface when portfast is enabled, can cause temporary bridging loops.Use with CAUTION%Portfast has been configured on FastEthernet0/2 but will onlyhave effect when the interface is in a non-trunking mode.sw3550(config-if)#exitsw3550(conf

8、ig)#int vlan 1sw3550(config-if)#ip add 172.16.0.101 255.255.0.0/默认的所有的交换机上的所有接口都在 vlan 1,给 VLAN1 配置 IP 地址,目的是与 AAA 服务器,172.16.0.103 相互 ping 通,sw3550(config-if)#no shutdown00:05:08: %LINK-3-UPDOWN: Interface Vlan1, changed state to up00:05:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, ch

9、anged state to upsw3550(config)#aaa new-model/全局开启 AAA,(AAA 默认是关闭的)sw3550(config)#aaa authentication login default group radius local/配置登陆验证方式优先用 radius,当 radius 不能提供认证服务,则采用本地认证,认证调用的名称按默认名称 defaultsw3550(config)#radius-server host 172.16.0.103 key server03/指定 radius Server 的 IP 地址为 172.16.0.103,Ra

10、dius Server 与交换机认证的密钥为server03(这里的 server03,是我安装 ACS 4.0,在安装过程最后一步定义的密码)sw3550(config)#aaa authentication dot1x default group radius local/802.1x 认证由 radius 服务器来完成,当 radius 不能认证时,由本地认证,这样配置的目的为了备份。如果说 radius server 服务器“挂了“,还可以用本地认证。sw3550(config)#aaa authorization network default group radius local/

11、当认证通过之后,授权用户能接入网络,授权也由 radius 来完成sw3550(config)#dot1x system-auth-control全局下开启 dot.1x 认证功能,然后还需要到具体某个接口下制定认证的方式sw3550(config-if)#int f0/3sw3550(config-if)#switchport mode accesssw3550(config-if)#dot1x port-control auto/当接口下发现有设备接入时,自动进行认证AUTO 是常用的方式,正常的通过认证和授权过程sw3550(config-if)#dot1x reauthenticati

12、on /当认证失败,重新认证,直到认证通过这里还有一些可选的配置,分享给大家,大家在工程中,可以根据自己的实际情况来调整配置,我的这次试验正常的配置命令都是用黑色来表示。请大家注意可选配置:Switch(config)#interface fa0/3 Switch(config-if)#dot1x reauthentication Switch(config-if)#dot1x timeout reauth-period 7200 2 小时后重新认证Switch#dot1x re-authenticate interface fa0/3 现在重新认证,注意:如果会话已经建立,此方式不断开会话S

13、witch#dot1x initialize interface fa0/3 初始化认证,此时断开会话Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout quiet-period 45 45 秒之后才能发起下一次认证请求Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout tx-period 90 默认是 30SSwitch(config-if)#dot1x max-req count 4 客户端需要输入认证信息,通过该端口应答 AAA 服务器,如果

14、交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S 发一次,共 4 次Switch#configure terminal Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x host-mode multi-host 默认是一个主机,当使用多个主机模式,必须使用 AUTO 方式授权,当一个主机成功授权,其他主机都可以访问网络;当授权失败,例如重认证失败或 LOG OFF,所有主机都不可以使用该端口Switch#config

15、ure terminal Switch(config)#dot1x guest-vlan supplicant Switch(config)#interface fa0/3 Switch(config-if)#dot1x guest-vlan 2 未得到授权的进入 VLAN2,提供了灵活性注意:1、VLAN2 必须是在本交换机激活的,计划分配给游客使用;2、VLAN2 信息不会被VTP 传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default 回到默认设置在 cisco 的三层交换机上可以配置 DHCP,通过 DHCP

16、功能,可以给客户端分配 IP 地址,子网掩码,网关,DNS,域名,租期,wins 等sw3550(config)#ip dhcp pool DHCP /定义地址池的名称为 DHCP,这里可以随便定义sw3550(dhcp-config)#network 172.16.0.0 /16/定义要分配给客户端的网段和掩码sw3550(dhcp-config)#default-router 172.16.0.1/定义分配给客户端的网关sw3550(dhcp-config)#dns-server 218.30.19.40 61.134.1.4/定义 DNS 地址,可以设置多个 DNSsw3550(dhcp-config)#doamin-name

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 解决方案

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号