配置cisco交换机IEEE 802.1x认证.doc

配置IEEE 802.1x 认证一下部分描述如何配置IEEE 802.1x 基于端口的认证： IEEE 802.1x 认证的缺省配置 IEEE 802.1x 认证配置向导 配置IEEE 802.1x 认证(必须) 配置主机模式可选) 启用定期重认证 (可选l) 手动要求连接端口的客户端进行重新认证(可选) 改变静默周期 (可选l) 改变交换机到客户端的帧重传时间 (可选) 设定交换机到客户端的帧重传个数 (可选l) 配置访客VLAN (可选) 配置一个受限制的VLAN (可选l) 重置IEEE 802.1x 配置为缺省值 (可选)缺省情况下的 IEEE 802.1x 认证配置Table 9-2 列出了缺省情况下的IEEE 802.1x 认证配置Table 9-2 IEEE 802.1x 认证缺省配置特性 默认设置 IEEE 802.1x 启用状态 禁用每个端口的IEEE 802.1x 启用状态 禁用(强制通过认证) 端口接收和发送没有IEEE 802.1x认证客户端的数据AAA 禁用RADIUS 服务器 IP 地址 UDP 认证端口 密钥 未指定任何地址 1812 未指定主机模式单主机模式控制方向双向控制 周期性重新认证 禁用重认证请求间隔3600 秒静默周期60 秒(交换机收到客户端一个失败认证后的静默状态的时间). 重传时间30 秒 (交换机在未收到客户端对EAP request/identity的响应重新传送前需要等待的时间).最大重传数量2 次 (在重新开始一轮认证过程前交换机将要发送EAP-request/identity 帧的次数).客户端超时周期30秒 认证服务器超时周期30 秒(中转客户端的响应到认证服务器时，交换机未收到服务器的回应再次重传响应到服务器需要等待的时间。这个设置不可配。)访客VLAN 未指定受限 VLAN 未指定IEEE 802.1x 认证配置向导下文描述如下特性的配置向导： IEEE 802.1x 认证 VLAN分配，访客VLAN和受限VlAN IEEE 802.1x 配置 当启用IEEE 802.1x 认证后, 在其他任何二层特性被启用前端口需要认证通过 IEEE 802.1x 协议支持Layer 2 静态访问端口和语音VLAN端口，但是不支持如下类型的端口： Trunk 端口 动态端口 动态访问端口 EtherChannel 端口 Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN) destination ports LRE switch ports 在输入 dot1x system-auth-control 全局配置命令启用全局IEEE 802.1x 认证前, 删掉接口的EtherChannel 配置VLAN 分配,访客VLAN和受限 VLANVLAN 分配，访客VLAN,和受限配置向导： 当启用端口的IEEE 802.1x 认证后t，不能配置端口属于语音VLAN. 带有VLAN分配的EEE 802.1x 认证不支持trunk 端口，动态端口或者通过VMPS进行动态访问的端口配置 IEEE 802.1x 认证进入特权模式，按照如下步骤配置IEEE 802.1x 基于端口的认证。 这个过程是必须的Command Purpose Step 1 configure terminal 进入全局配置模式Step 2 aaa new-model 启用 AAA. Step 3 aaa authentication dot1x default group radius创建一个缺省IEEE 802.1x 认证方法列表Step 4 dot1x system-auth-control启用IEEE 802.1x 认证的全局配置 Step 5 aaa authorization network default group radius(可选) 启用VLAN分配特性时需要此项配置Step 6 radius-server host 192.168.24.200 auth-port 1812 acct-port 1813(比选) 指定ipd认证服务器的地址Step 7 radius-server key onsky1(比选)指定交换机与认证服务器通讯所需的密钥 Step 8 interface interface-id进入需要启用802.1x认证的端口Step 9 swtichport mode access 设置端口的访问模式 Step 10 dot1x port-control auto 启用此端口的IEEE 802.1x 认证 Step 11 end 返回特权模式Step 12 show dot1x 验证你的802.1x配置 Step 13 copy running-config startup-config(可选) 保存配置。建议你才完全确定你的配置的情况下再保存你的配置禁用 AAA, 使用 no aaa new-model全局配置命令。 禁用IEEE 802.1x AAA 认证， 使用 no aaa authentication dot1x default 全局配置命令。禁用IEEE 802.1x AAA 授权， 使用no aaa authorization 全局配置命令。禁用交换机的IEEE 802.1x 认证，使用no dot1x system-auth-control 全局配置命令。配置主机模式Mode进入特权模式， 遵从如下步骤允许多个主机同时连接启用了IEEE 802.1x认证的端口。这个过程时可选的。Command Purpose Step 1 configure terminal 进入特权模式Step 2 interface interface-id指定多个主机间接连接的 端口，例如该端口下接了个hubStep 3 dot1x host-mode multi-host允许多个主机使用802.1x认证过的端口Step 4 end 返回特权模式Step 5 show dot1x interface interface-id验证配置. Step 6 copy running-config startup-config(可选) 保存配置禁用多主机使用802.1x认证的端口，使用 no dot1x host-mode multi-host 端口配置命令例子：Switch(config)# interface fastethernet0/1Switch(config-if)# dot1x port-control autoSwitch(config-if)# dot1x host-mode multi-host启用定期重认证你可以启用定期IEEE 802.1x 客户端重认证并指定多久发生一次。如果启用了重认证单并未指定重认证周期，缺省的周期为3600秒。进入特权模式，遵循如下步骤启用客户端的定期重认证,并配置重认证的间隔。这个过程不是必须的。Command Purpose Step 1 configure terminal 进入特权模式Step 2 interface interface-id进入端口配置模式Step 3 dot1x reauthentication 启用客户端的重认证，缺省时禁用的Step 4 dot1x timeout reauth-period seconds| server 关键则的意思解释： seconds设置秒数范围为1到 65535；缺省为3600 server使用认证服务器返回的时间设置Step 5 end 返回特权模式Step 6 show dot1x interface interface-id 验证配置Step 7 copy running-config startup-config(可选) 保存配置禁用周期重认证使用no dot1x reauthentication 接口配置命令。使用缺省的重认证间隔设置使用no dot1x timeout reauth-period 全局配置命令。例子：启用重认证并设置重认证间隔为4000秒：Switch(config-if)# dot1x reauthenticationSwitch(config-if)# dot1x timeout reauth-period 4000手动要求客户端进行重认证再认证时候你都可以手动要求连接到端口的客户端进行重新认证，命令为 dot1x re-authenticate interface interface-id 例子： Switch# dot1x re-authenticate interface fastethernet0/1改变静默周期当交换机不能认证客户端时，交换机会空闲一个周期的时间认证重新尝试。空闲的时间时由静默周期决定的。 当客户端提供错误的密码而导致认证失败，你可以使用较小的静默周期以提高认证响应的速度。进入特权模式，尊许如下的步骤配置静默周期。这个过程时可选的。Command Purpose Step 1 configure terminal 进入特权模式Step 2 interface interface-id进入端口配置模式Step 3 dot1x timeout quiet-periodseconds 客户端认证失败后交换机静默的时间取值范围时1 到 65535 单位是秒；缺省为60秒。 Step 4 end 返回特权模式Step 5 show dot1x interface interface-id 验证配置Step 6 copy running-config startup-config(可选) 保存配置如果想使用缺省的静默时间请使用no dot1x timeout quiet-period 接口配置命令例子：设置静默时间为30秒 Switch(config-if)# dot1x timeout quiet-period 30改变 Switch-to-Client 重传时间认证客户端使用EAP-response/identity 帧对交换机发来的EAP-request/identity 帧进行响应。如果交换机没有收到这个响应，它会等待一个时间然后重新传输EAP-response/identity。这个时间就是重传时间。注意 小心使用此命令，只有当如下特殊情况下： 不可靠链接或者特殊的客户端与认证服务器行为。Command Purpose Step 1 configure terminal 进入特权模式Step 2 interface interface-id进入接口配置模式Step 3 dot1x timeout tx-period seconds 设置交换机等候一个EAP-request/identity 帧回应的超时重传请求的时间范围：1 到 65535 秒；缺省为30秒。 Step 4 end Return to privileged EXEC mode. Step 5 show dot1x interface interface-id 验证配置 Step 6 copy running-config startup-config(可选) 保存配置使用缺省重传时间使用no dot1x timeout tx-period 接口配置命令。例子：设置重传时间为60秒 Switch(config-if)# dot1x timeout tx-period 60设置 Switch-to-Client 帧重传个数除了改变交换机到客户端的帧重传时间外你还可以改变一次认证过程的请求帧的重传次数 进入特权模式，按照步骤设置switch-to-client 帧重传次数。这个过程是可选的。Command Purpose Step 1 configure terminal 进入特权模式Step 2 interface interface-id进入端口配置模式Step 3 dot1x max-req count设置交换机再重新开始新的认证过程重传EAP-request/identity 帧的次数。范围： 1 到 10；缺省为2。Step 4 end 返回特权模式Step 5 show dot1x interface interface-id 验证配置Step 6 copy running-config startup-config(可选) 保存配置使用缺省的重传次数，使用 no dot1x max-req 端口配置命令。例子：设置在开始新的认证过程前重新传输EAP-request/identity 帧的次数为5Switch(config-if)# dot1x max-req 5配置访客VLAN当配置访客VLAN时,当服务器没有收到对EAPOL request/identity帧的响应那些不能进行IEEE 802.1x认证的客户端被放进访客， 可以进行IEEE 802.1x认证但是认证失败的客户端不能访问网络。交换机支持访客VLAN在端口的单主机模式和多主机模式。你可以通过使用dot1x guest-vlan supplicant 全局配置命令启用访客VLAN。被启用后，交换机不再维护EAPOL 包的历史数据并且允许认证失败的客户端访问访客 VLAN而不管是否检测到端口的 EAPOL 包。Note 根据交换机的配置，指定客户端进入访客 VLAN 可能需要几分钟的时间。进入特权模式, 按照如下的步骤配置访客VLAN。这个过程时可选的。 Command Purpose Step 1 configure terminal 进入特权模式Step 2 interface interface-id进入端口配置模式 Step 3 switchport mode access 配置端口的访问模式Step 4 dot1x port-control auto 启用端口 IEEE 802.1x 认证Step 5 dot1x guest-vlan vlan-id配置处于活动状态的VLAN 作为IEEE 802.1x 访客VLAN. 范围：1 到 4094.您不能配置RSPAN VLAN 或者语音VLAN 作为IEEE 802.1x 访客VLAN.Step 6 end 返回特权模式Step 7 show dot1x interface interface-id验证配置 Step 8 copy running-config startup-config(可选)保存当前配置禁用并取消访客VLAN使用 no dot1x guest-vlan 接口配置命令，端口返回到为授权状态。例子：在端口1上启用 VLAN 9 作为IEEE 802.1x 访客VLAN Switch(config)# interface fastethernet0/1Switch(config-if)# dot1x guest-vlan 9例子：设置某端口的交换机EAP-request/identity帧的重传间隔为15，设置交换机的静默时间为3秒，启用 VLAN 2 作为IEEE 802.1x 访客VLANSwitch(config-if)# dot1x timeout quiet-period 3Switch(config-if)# dot1x timeout tx-period 15Switch(config-if)# dot1x guest-vlan 2当配置访客VLAN时,当服务器没有收到对EAPOL request/identity帧的响应那些不能进行IEEE 802.1x认证的客户端被放进访客， 可以进行IEEE 802.1x认证但是认证失败的客户端不能访问网络。交换机支持访客VLAN在端口的单主机模式和多主机模式。你可以通过使用dot1x guest-vlan supplicant 全局配置命令启用访客VLAN。被启用后，交换机不再维护EAPOL 包的历史数据并且允许认证失败的客户端访问访客 VLAN而不管是否检测到端口的 EAPOL 包。Command Purpose Step 1 configure terminal 进入特权模式Step 2 dot1x guest-vlan supplicant启用交换机的全局访客VLAN功能Step 3 interface interface-id进入接口配置模式Step 4 switchport mode access 设置端口为访问模式Step 5 dot1x port-control auto 启用端口的802.1x认证Step 6 dot1x guest-vlan vlan-id指定处于活动状态的VLAN 作为IEEE 802.1x 访客VLAN. 范围：1 到 4094.您不能配置RSPAN VLAN 或者语音VLAN 作为IEEE 802.1x 访客VLAN. Step 7 end 返回特权模式Step 8 show dot1x interface interface-id验证配置Step 9 copy running-config startup-config(可选) 保存你的配置禁用可选的访客VLAN功能，使用no dot1x guest-vlan supplicant 全局配置命令。删除访客VLAN，使用no dot1x guest-vlan 接口配置命令。如果端口当前被授权访问访客VLAN,，端口将恢复为未授权状态。例子：启用可选访客VLAN 并指定VLAN 5 作为IEEE 802.1x 访客VLAN:Switch(config)# dot1x guest-vlan supplicantSwitch(config)# interface gigabitethernet0/1Switch(config-if)# dot1x guest-vlan 5配置受限 VLAN当你在交换机上配置了一个受限VLAN，当认证服务器没有收到有效的用户名和密码时兼容IEEE 802.1x-的客户端被放置在受限VLAN中。交换机 The switch supports restricted VLANs only in single-host mode.进入特权模式，按照如下步骤配置一个受限制VLAN。这个过程时可选的。 Command Purpose Step 1 configure terminal 进入特权模式Step 2 interface interface-id进入端口配置模式Step 3 switchport mode access 设置端口未访问模式Step 4 dot1x port-control auto 启用端口的IEEE 802.1x 认证 Step 5 dot1x auth-fail vlan vlan-id 指定一个活动的VLAN 作为IEEE 802.1x 受限VLAN。范围： 1 到 4094.您不能配置RSPAN VLAN 或者语音VLAN 作为IEEE 802.1x 访客VLAN.Step 6 end 返回特权模式Step 7 show dot1x interface interface-id(可选) 验证配置Step 8 copy running-config startup-config(可选)保存你的配置禁用并删除受限VLAN，使用no dot1x auth-fail vlan 接口配置命令。端口恢复到未授权状态例子：启用VLAN 2 作为IEEE 802.1x 受限VLAN: Switch(config)# interface gigabitethernet0/1Switch(config-if)# dot1x auth-fail vlan 2你可以配置客户端被放置到受限VLAN前可以允许的最大认证请求次数。使用命令 dot1x auth-fail max-attempts 端口配置命令。允许的认证尝试范围：1 到 3。缺省为3。 进入特权模式，按照如下步骤配置允许的最大认证请求次数。这个过程是可选的。 Command Purpose Step 1 configure terminal 进入特权模式Step 2 interface interface-id进入端口配置模式Step 3 switchport mode access 配置端口为访问模式Step 4 dot1x port-control auto 启用端口的802.1x认证Step 5 dot1x auth-fail vlan vlan-id 指定活动的VLAN 作为IEEE 802.1x 受限 VLAN。范围：1 到 4094.您不能配置RSPAN VLAN 或者语音VLAN 作为IEEE 802.1x 访客VLAN.Step 6 dot1x auth-fail max-attemptsmax attempts 指定移动到受限VLAN前允许的认证尝试次数。范围： 1 to 3，缺省是 3. Step 7 end 返回特权模式Step 8 show dot1x interface interface-id(可选) 验证你的配置Step 9 copy running-config startup-config(可选) 保存你的配置使用缺省值，使用 no dot1x auth-fail max-attempts端口配置命令。例子：设置端口被置为受限VLAN前最大请求次数为 Switch(config-if)# dot1x auth-fail max-attempts 2重置 IEEE 802.1x配置为缺省值 进入特权模式，按照步骤重置IEEE 802.1x 配置为缺省值 Command Purpose Step 1 configure terminal 进入特权模式Step 2 interface interface-id进入端口配置模式Step 3 dot1x default 重置 IEEE 802.1x参数为缺省值Step 4 end 返回到特权模式Step 5 show dot1x interface interface-id 验证你的配置Step 6 copy running-config startup-config(可选) 保存配置显示EEE 802.1x 统计与状态显示所有端口的IEEE 802.1x 统计信息，使用show dot1x all statistics 特权命令。显示特定端口的IEEE 802.1x 统计，使用show dot1x statistics interfaceinterface-id 特权命令。显示交换机的IEEE 802.1x 管理和操作状态，使用show dot1x all特权命令。显示特定端口的IEEE 802.1x 管理与操作状态，使用 show dot1x interfaceinterface-id 特权命令。Cisco3560G-48交换机请注意需要在端口配置模式下执行Switchport host思科2960系列交换机配置802.1XCommand Purpose Step 1 configure terminal 进入全局配置模式Step 2 aaa new-model 启用 AAA. Step 3 aaa authentication dot1x default group radius 创建一个缺省IEEE 802.1x 认证方法列表Step 4 dot1x system-auth-control 启用IEEE 802.1x 认证的全局配置 Step 5 aaa authorization network default group radius (可选) 启用VLAN分配特性时需要此项配置Step 6 radius-server host 192.168.24.200 auth-port 1812 acct-port 1813(比选) 指定ipd认证服务器的地址Step 7 radius-server key onsky1 (比选)指定交换机与认证服务器通讯所需的密钥 Step 8 interface interface-id 进入需要启用802.1x认证的端口Step 9 swtichport mode access 设置端口的访问模式 Step10Authentication port-control auto启用此端口的IEEE 802.1x 认证Step 11 dot1x pae authentication在接口模式下启用802.1X Step 12 end 返回特权模式Step 13 show dot1x 验证你的802.1x配置 Step 14 copy running-config startup-config (可选)