《在cisco路由器上配置8021x认证》由会员分享,可在线阅读,更多相关《在cisco路由器上配置8021x认证(2页珍藏版)》请在金锄头文库上搜索。
1、在cisco路由器上配置8021x认证 Note:先看看AAA,在这里要用到AAA的内容,有时间的时候我整理一下AAA发上来。 要使用基于端口的认证,则交换机和用户PC都要支持802.1x标准,使用局域网上的可扩展认证协议,802.1x EAPOL是二层协议,如果交换机端口上配置了802.1x,那么当在端口上检测到设备后,该端口首先处于未认证状态,端口将不转发任何流量,此时客户PC只能使用EAPOL协议与交换机通信,我们需要再客户PC上安装支持802.1x的应用程序,一旦用户通过认证则该端口开始转发数据流。用户注销时交换机端口将返回未认证状态;或者当客户长时间没有数据流量时,会因超时停止认证状
2、态,需要用户重新认证。 再交换机上配置802.1x需要用到RADIUS服务器,在这里注意一下,AAA可以用RADIUS和TACACS+实现,但802.1x只支持RADIUS认证。 来看一下配置: #aaa new-model 启动AAA。 #radius-server host 192.168.1.100 key netdigedu 配置RADIUS服务器地址及密钥。 #aaa authentication dot1x default group radius 配置802.1x默认认证方法为RADIUS。 #dot1x system-auth-control 在交换机上全局启用802.1x认证
3、。 #int fa0/24 #switchport mode access #dot1x port-control auto 设置接口的802.1x状态。 这个命令一定要注意; 状态有三种: force-authorized:端口始终处于认证状态并转发流量,这个是默认状态。 force-unauthorized:端口始终处于未认证状态并不能转发流量。 auto:端口通过使用802.1x与客户端交换消息在认证和未认证状态间切换。这个是我们需要的,所以dot1x port-control 命令后一定要用auto。 #dot1x host-mode multi-host 交换机端口下连接多台PC时需要配置这个命令,默认只支持对一台PC认证。 #show dot1x all 查看802.1x配置。
