配置802.1x在交換機的端口驗證設置

https://www.cisco.com/c/zh_cn/support/docs/smb/switches/cisco-250-series-smart-switches/smb3202-configure-8021x-port-authentication-setting-on-a-switch.html

 

目標

IEEE 802.1x是實現在客戶端和服務器之間的訪問控制的標准。在服務可以為客戶端提供由局域網或交換機前，客戶端連接對交換機端口必須由運行遠程驗證撥入用戶服務(RADIUS)的認證服務器驗證。

802.1x驗證限制從連接的未授權的客戶端到LAN通過宣傳可訪問端口。802.1x驗證是客戶服務器模型。在此型號中，網絡設備有以下特定角色：

• 客戶端或請求方—客戶端或請求方是請求對LAN的訪問的網絡設備。客戶端連接對驗證器。

• 驗證器—驗證器是提供網絡服務的網絡設備，並且到哪些請求方端口連接。支持以下認證方法：

• 基於802.1X —支持在所有認證模式。使用RADIUS協議，在基於802.1X的驗證，驗證器解壓縮從802.1x消息或EAP over LAN (EAPOL)數據包的可擴展的認證協議(EAP)消息，並且通過他們到認證服務器。

• 基於MAC的—支持在所有認證模式。當媒體訪問控制(MAC) -根據，驗證器代表尋找網絡訪問的客戶端執行軟件的EAP客戶機零件。

• 基於Web的—僅支持在多會話模式。使用基於Web的驗證，驗證器代表尋找網絡訪問的客戶端執行軟件的EAP客戶機零件。

• 認證服務器—認證服務器執行客戶端的實際驗證。設備的認證服務器是有EAP擴展的一個RADIUS驗證服務器。

注意：網絡設備可以是客戶端或請求方，驗證器或者兩個每個端口。

下面的鏡像顯示根據特定角色配置設備的網絡。在本例中，使用SG350X交換機。

在配置802.1x的指南：

1. 創建虛擬訪問網絡(VLAN)。使用您的交換機的基於Web的工具，要創建VLAN，請點擊此處。對於基於CLI的說明，請點擊此處。

2. 配置端口對在您的交換機的VLAN設置。使用基於Web的工具，要配置，請點擊此處。要使用CLI，請點擊此處。

3. 配置在交換機的802.1x屬性。在交換機應該全局啟用802.1x啟用802.1x基於端口的驗證。如需指導，請點擊這里。

4. (可選)請配置在交換機的時間范圍。要學習如何配置在您的交換機的時間范圍設置，請點擊此處。

5. 配置802.1x端口驗證。此條款提供說明關於怎樣配置802.1x端口在您的交換機的驗證設置。

要學習如何配置在交換機的基於MAC驗證來，請點擊此處。

可適用的設備

• Sx300系列

• Sx350系列

• SG350X系列

• Sx500系列

• Sx550X系列

軟件版本

• 1.4.7.06 — Sx300， Sx500

• 2.2.8.04 — Sx350， SG350X， Sx550X

配置802.1x端口在交換機的驗證設置

配置RADIUS客戶端設置

步驟1.對您的交換機的基於Web的工具的登錄然后選擇先進在顯示模式下拉列表。

注意：可用的菜單選項可能根據設備模型變化。在本例中，使用SG550X-24。

步驟2.導航給Security>RADIUS客戶端。

步驟3.移下來對RADIUS表部分並且單擊添加…添加RADIUS服務器。

步驟4.是否在服務器定義域選擇指定RADIUS服務器由IP地址或名稱。在IP版本字段選擇RADIUS服務器的IP地址的版本。

注意：我們由IP地址和版本4使用在本例中。

步驟5.輸入在RADIUS服務器由IP地址或命名。

注意：我們輸入192.168.1.146的IP地址在服務器IP地址/Name字段的。

步驟6.輸入服務器的優先級。優先級確定設備嘗試聯系服務器驗證用戶的命令。設備從最高優先級的RADIUS服務器首先啟動。0是最高優先級的。

步驟7.輸入驗證和加密設備和RADIUS服務器之間的通信使用的關鍵字符串。此密鑰必須匹配在RADIUS服務器配置的密鑰。它在已加密或明文格式可以被輸入。如果使用默認選擇，通過使用DEFAULT鍵字符串，設備嘗試驗證到RADIUS服務器。

注意：我們在關鍵示例使用用戶定義(明文)並且輸入。

要學習如何配置在您的交換機的RADIUS服務器設置，請點擊此處。

步驟 8在回復字段的超時，請選擇任一使用默認或用戶定義。如果用戶定義選擇，進入設備在再試查詢前等待從RADIUS服務器的一答案的編號秒鍾或者交換對下個服務器，如果重試次數的最大做。如果使用默認選擇，設備使用默認超時超時值。

注意：在本例中，使用默認選擇。

步驟9.在認證端口字段輸入RADIUS服務器端口的UDP端口號認證請求的。在計費端口字段輸入RADIUS服務器端口的UDP端口號認為的請求的。

注意：在本例中，我們使用默認值認證端口和計費端口。

步驟 10如果用戶定義為重試次數字段選擇，輸入發送到RADIUS服務器請求的數量，在失敗考慮發生了前。如果使用默認選擇，設備使用默認值重試次數數量。

如果用戶定義選擇在失效時間，進入必須通過分鍾的數量，在一個無響應的RADIUS服務器為服務請求前繞過。如果使用默認選擇，設備使用默認值在失效時間。如果輸入了0分鍾，沒有失效時間。

注意：在本例中，我們選擇這兩個字段的使用默認。

步驟 11在使用情況類型字段，請進入RADIUS服務器認證類型。選項有：

• 登錄– RADIUS服務器使用驗證要求管理設備的用戶。

• 802.1x – RADIUS服務器使用802.1x驗證。

• 全RADIUS服務器使用驗證要求管理設備和802.1x驗證的用戶。

步驟 12單擊 Apply。

配置802.1x端口驗證設置

步驟1.對您的交換機的基於Web的工具的登錄然后選擇先進在顯示模式下拉列表。

注意：可用的菜單選項可能根據設備模型變化。在本例中，使用SG350X-48MP。

注意：如果有一Sx300或Sx500系列交換機，請跳到步驟2。

步驟2.選擇安全> 802.1X驗證>端口驗證。

步驟3.從接口類型下拉列表選擇接口。

• 端口—從接口類型下拉列表，如果僅單個端口需要選擇，請選擇端口。

• 滯后—從下來接口類型丟棄列表，請選擇滯后配置。這影響在滯后配置里定義的端口組。

注意：在本例中，端口單元1選擇。

注意：如果有一非可堆疊的交換機例如一Sx300系列交換機，請跳到步驟5。

步驟4.單擊去啟動端口或滯后列表在接口。

步驟5.點擊您要配置的端口。

注意：在本例中， GE4選擇。

步驟6.把頁移下來然后單擊編輯。

步驟7. (可選)，如果要編輯另一個接口，從單元和端口下拉列表選擇。

注意：在本例中，端口GE4單元1選擇。

步驟8.點擊對應於所需的端口控制在管理端口控制區的單選按鈕。選項有：

• 未授權的強制—通過移動端口拒絕接口訪問到未授權的狀態。端口將丟棄流量。

• 自動—在根據請求方的驗證的一已授權或未授權的狀態之間的端口移動。

• 授權的強制—授權端口，不用驗證。端口將轉發流量。

注意：在本例中，自動選擇。

步驟9.點擊RADIUS VLAN分配單選按鈕配置在所選的端口的動態VLAN分配。選項有：

• 禁用—功能沒有啟用。

• 拒絕—如果RADIUS服務器授權請求方，但是沒有提供請求方VLAN，請求方拒絕。

• 靜態—如果RADIUS服務器授權請求方，但是沒有提供請求方VLAN，請求方接受。

注意：在本例中，靜態選擇。

步驟 10檢查在訪客VLAN復選框的Enable (event)啟用未授權的端口的訪客VLAN。訪客VLAN自動地做未授權的端口加入在802.1屬性的訪客VLAN ID區域選擇的VLAN。

步驟11. (可選)檢查啟用開路的Enable (event)開路復選框。開路幫助您了解連接對網絡的主機配置問題，監控最壞情況並且啟用將修復的這些問題。

注意：當開路在接口時啟用，交換機對待從RADIUS服務器接收的所有失敗作為成功並且允許對網絡的訪問站點連接對接口不管驗證結果。在本例中，開路禁用。

步驟 12檢查Enable (event) 802.1x基於驗證復選框啟用在端口的802.1X驗證。

步驟 13檢查Enable (event) MAC基於驗證復選框啟用根據請求方MAC地址的端口驗證。僅八個基於MAC的認證在端口可以使用。

注意：為了使成功的MAC驗證， RADIUS服務器請求方用戶名和密碼必須是請求方MAC地址。MAC地址必須在小寫字母和輸入，不用。或者–分隔符(例如0020aa00bbcc)。

注意：在本例中，基於MAC驗證來禁用。

步驟 14檢查Enable (event)基於web的驗證復選框啟用在交換機的基於Web的驗證。在本例中，基於Web的驗證禁用。

注意：在本例中，基於Web的驗證禁用。

步驟 15(可選)請檢查Enable (event)定期重新驗證復選框迫使端口在給定時間之后重新鑒別。這次在重新驗證期限字段定義。

注意：在本例中，期限再驗證啟用。

步驟 16(可選)請在重新驗證期限字段輸入一個值。在接口重新鑒別端口前，此值代表相當數量秒鍾。默認值是3600秒，並且范圍是從300到4294967295秒。

注意：在本例中， 6000秒配置。

步驟 17(可選)當前請檢查Enable (event)再次驗證復選框強制一個立即端口再驗證。在本例中，立即再驗證禁用。

驗證器狀態域顯示端口的授權狀態。

步驟18。(可選)請檢查啟動時間范圍檢查復選框啟用在時間的一限制端口授權。

注意：在本例中，時間范圍啟用。如果喜歡跳過此功能，請繼續對步驟20。

步驟19。(可選)從時間范圍名稱下拉列表，請選擇時間范圍使用。

注意：在本例中，晝移動選擇。

步驟20。在最大數量WBA登錄嘗試地區，請單擊無限的為沒有限制或用戶定義定限制。如果用戶定義選擇，輸入為基於Web的驗證允許的登錄嘗試最大。

注意：在本例中，無限的選擇。

步驟21。在最大數量WBA沉默期限地區，請單擊無限的為沒有限制或用戶定義定限制。如果用戶定義選擇，輸入靜音期間的最大長度在接口允許的基於Web的驗證的。

注意：在本例中，無限的選擇。

步驟22。在麥斯主機地區中，請單擊無限的為沒有限制或用戶定義定限制。如果用戶定義選擇，輸入在接口允許的已授權主機最大。

注意：設置此值到1模擬基於Web的驗證的單個主機模式在多會話模式。在本例中，無限的選擇。

步驟23。在安靜周期字段，請輸入交換機留在平靜的狀態，在失敗的認證交換后的時間。當交換機在平靜的狀態時，含義交換機不細聽從客戶端的新證書請求。默認值是60秒，並且范圍是從一到65535秒。

注意：在本例中，安靜周期設置為120秒。

步驟24。在再發出的EAP字段，請輸入交換機在再發出請求前等待從請求方的一個響應消息的時間。默認值是30秒，並且范圍是從一到65535秒。

注意：在本例中，再發出EAP設置為60秒。

步驟25。在麥斯EAP請求字段，請輸入的EAP請求最大可以發送。EAP是提供在交換機和客戶端之間的認證信息信息交換用於802.1X的認證方法。在這種情況下， EAP請求發送給驗證的客戶端。客戶端必須然后響應和匹配認證信息。如果客戶端不響應，則根據再發出的EAP值集合的另一EAP請求，並且認證過程重新啟動。默認值是2，並且范圍是從一個到10。

注意：在本例中，使用默認值為2。

步驟26。在請求方超時字段，在EAP請求被再發出對請求方前，請輸入時間。默認值是30秒，並且范圍是從一到65535秒。

注意：在本例中，請求方超時設置為60秒。

步驟27。在服務器超時字段，請輸入過去的時間，在交換機發送再請求到RADIUS服務器前。默認值是30秒，並且范圍是從一到65535秒。

注意：在本例中，服務器超時設置為60秒。

步驟28。單擊應用然后單擊Close。

步驟29。(可選)請點擊“Save”保存設置到啟動配置文件。

您應該順利地當前配置在您的交換機的802.1x端口驗證設置。

應用接口配置設置對多個接口

步驟1.點擊接口的單選按鈕您要運用身份驗證配置到多個接口。

注意：在本例中， GE4選擇。

步驟2.移動下來然后單擊“Copy”設置。

第 3 步：在對字段，請輸入您希望運用選定的接口的配置的范圍接口。您能使用接口號或接口的名稱作為輸入。您能進入一個逗號分離的每個接口(例如1， 3， 5或GE1、GE3， GE5)或您能輸入范圍接口(例如1-5或GE1-GE5)。

注意：在本例中，配置設置將應用到端口47到48。

步驟4.單擊應用然后單擊Close。

下面的鏡像在配置以后表示更改。

您應該順利地當前復制一個端口802.1x驗證設置和應用到其他端口或端口您的交換機的。

 

================

通過CLI配置在交換機的全局802.1x屬性

https://www.cisco.com/c/zh_cn/support/docs/smb/switches/cisco-small-business-300-series-managed-switches/smb5635-configure-global-802-1x-properties-on-a-switch-through-the-c.html 

 

Introduction

IEEE 802.1x是實現在客戶端和服務器之間的訪問控制的標准。在服務可以為客戶端提供由一個局部訪問網(LAN)前或交換機，客戶端被聯絡到交換端口必須由運行遠程驗證撥入用戶服務(RADIUS)的認證服務器驗證。

802.1x認證從連接限制未授權的客戶端到LAN通過公共可訪問的端口。802.1x認證是客戶服務器模型。在此型號，網絡設備有以下特定角色：

• 客戶端或請求方—客戶端或請求方是請求對LAN的訪問的網絡設備。客戶端被聯絡到證明人。
• 證明人—證明人是提供網絡服務的網絡設備，並且對哪些請求方端口被連接。支持以下認證方法：

-基於802.1X —支持在所有認證模式下。使用RADIUS協議，在基於802.1X的認證，證明人從802.1x消息或EAP over LAN (EAPOL)信息包提取可擴展的認證協議(EAP)消息，並且通過他們到認證服務器。

-基於MAC的—支持在所有認證模式下。當媒體訪問控制(MAC) -根據，證明人代表尋找網絡訪問的客戶端執行軟件的EAP客戶機零件。

-基於Web的—僅支持在多會話模式下。使用基於Web的認證，證明人代表尋找網絡訪問的客戶端執行軟件的EAP客戶機零件。

• 認證服務器—認證服務器進行客戶端的實際認證。設備的認證服務器是有EAP擴展的一個RADIUS驗證服務器。

Note:網絡設備可以是客戶端或請求方，證明人或者兩個每個端口。

下面的鏡像顯示根據特定角色配置了設備的網絡。在本例中，使用SG350X交換機。

在配置802.1x的指南：

1.  配置RADIUS服務器。要了解如何配置在您的交換機的RADIUS服務器設置，請點擊此處。
2.  配置虛擬局域網(VLAN)。使用您的交換機的基於Web的工具，要創建VLAN，請點擊此處。對於基於CLI的指令，請點擊此處。
3.  配置端口對在您的交換機的VLAN設置。使用基於Web的工具，要配置，請點擊此處。要使用CLI，請點擊此處。 
4.  配置在交換機的全局802.1x屬性。關於關於如何的說明通過交換機的基於Web的工具配置全局802.1x屬性，請點擊此處。
5.  (可選)請配置在交換機的時間范圍。要了解如何配置在您的交換機的時間范圍設置，請點擊此處。
6.  配置802.1x端口認證。要使用交換機的基於Web的工具，請點擊此處。要使用CLI，請點擊此處。 

客觀

此條款提供指令關於怎樣通過交換機的命令行界面(CLI)配置全局802.1x屬性，包括認證和客戶VLAN屬性。客戶VLAN提供存取對於不需要通過802.1x，基於MAC的或者基於Web的認證或端口將驗證和被核准的預訂的設備的服務。

可適用的設備

• Sx300系列
• Sx350系列
• SG350X系列
• Sx500系列
• Sx550X系列

軟件版本

• 1.4.7.06 — Sx300， Sx500
• 2.2.8.04 — Sx350， SG350X， Sx550X

通過CLI配置在交換機的802.1x屬性

配置802.1x設置

步驟1.交換機控制台的洛金。默認用戶名和密碼是cisco/cisco。如果配置了一個新的用戶名或密碼，請輸入證件。

Note:命令可能根據您的交換機確切的模型變化。在本例中， SG350X交換機通過Telnet被獲取。

Step 2.從交換機的Privileged EXEC模式，請通過輸入以下輸入全局配置模式：

SG350x#configure

第 3 步：對全局enable (event)在交換機的802.1x認證，請使用dot1x系統auth控制in命令全局配置模式。

SG350x(config)#dotx1系統auth控制

第4.步(可選)全局禁用在交換機的802.1x認證，輸入以下：

SG350x(config)#no dotx1系統auth控制

Note:如果這是失效的， 802.1X，基於MAC的和基於Web的認證是失效的。

第 5 步：要指定哪些服務器使用認證，當802.1x認證是啟用的時，請輸入以下：

SG350x(config)#aaa認證dot1x默認值[半徑無|半徑|無]

選項是：

• 半徑無—這在RADIUS服務器幫助下首先進行端口認證。如果沒有自服務器的無響應例如，當服務器發生故障時，則認證沒有進行，並且會話允許。如果服務器是可用的，並且用戶憑證是不正確的，則訪問被拒絕，並且結束會話。
• 半徑—這進行根據RADIUS服務器的端口認證。如果沒有進行的認證，則會話被終止。這是默認驗證。
• 什么都—不驗證用戶並且允許會話。

Note:在本例中，默認802.1x認證服務器是RADIUS。

第6.步(可選)恢復默認驗證，輸入以下：

SG350X(config)#no aaa authetication dot1x默認值

第 7 步：在全局配置模式下，請通過輸入以下進入VLAN接口配置上下文：

SG350X(config)#interface VLAN [vlan-id]

• vlan-id —指定將被配置的VLAN ID。

第8.步。對enable (event)使用未授權的端口的一個客戶VLAN，輸入以下：

SG350X(config-if)#dot1x客戶VLAN

Note:如果客戶VLAN是啟用的，所有未授權的端口自動地加入在客戶選擇的VLAN VLAN。如果端口以后被核准，從客戶VLAN被去除。

第9.步。要退出接口配置上下文，請輸入以下：

SG350X(config-if)#exit

第10.步。要設置時間延遲在啟用802.1X (或端口)和添加端口之間到客戶VLAN，請輸入以下：

SG350X(config)#dot1x客戶VLAN超時[timeout]

• 超時—以在啟用802.1X (或端口)和添加端口之間的秒鍾指定時間延遲到客戶VLAN。范圍是從30 180秒。

Note:在聯結以后，如果軟件不發現一802.1x請求方或，如果端口認證發生了故障，然后端口被添加到客戶VLAN，在客戶VLAN超時周期到期之后。如果端口從核准更改到沒核准，端口被添加到客戶VLAN，在客戶VLAN超時周期到期之后。您能從VLAN認證的enable (event)或功能失效VLAN認證。

Note:在本例中，使用的客戶VLAN超時是60秒。

第11.步。對enable (event)陷井，請檢查一個或很多以下選項：

SG350X(config)# dot1x陷井認證[故障|成功|沉寂] [802.1x|mac|Web]

選項是：

• 802.1x認證失敗陷井—，如果802.1x認證發生故障，請發送陷井。
• 802.1x認證成功陷井—，如果802.1x認證成功，請發送陷井。
• MAC驗證故障陷井—，如果MAC驗證發生故障，請發送陷井。
• mac認證成功陷井—，如果MAC驗證成功，請發送陷井。
• Web認證失敗陷井—，如果Web認證發生故障，請發送陷井。
• Web認證成功陷井—，如果Web認證成功，請發送陷井。
• Web認證沉寂陷井—，如果一個安靜周期開始，請發送陷井。

Note:在本例中， 802.1x認證失敗和成功陷井被輸入。

步驟12。要退出接口配置上下文，請輸入以下：

 SG350X(config)#exit

第13步。(可選)顯示在交換機的被配置的全局802.1x屬性，請輸入以下：

SG350X#show dot1x

您應該成功當前配置了在您的交換機的802.1x屬性。

配置VLAN認證

當802.1x是啟用的時，未授權的端口或設備沒有允許訪問VLAN，除非他們是客戶VLAN的部分或未經鑒定的VLAN。將手工被添加的端口到VLAN。

要禁用在VLAN的認證，請遵從這些步驟：

第 1 步：從交換機的Privileged EXEC模式，請通過輸入以下輸入全局配置模式：

SG350X#configure

Step 2.在全局配置模式下，請通過輸入以下進入VLAN接口配置上下文：

KSG350x(config)#接口VLAN [vlan-id]

• vlan-id —指定將被配置的VLAN ID。

Note:在本例中， VLAN 20被選擇。

第 3 步：要禁用在VLAN的802.1x認證，請輸入以下：

SG350X(config-if)#dot1x auth沒有req

對enable (event) 802.1x認證的第4.步(可選)在VLAN，輸入以下：

SG350X(config-if)#no dot1x auth沒有req

第 5 步：要退出接口配置上下文，請輸入以下：

第6.步(可選)顯示在交換機的802.1x全局認證設置，輸入以下：

Note:在本例中， VLAN 20顯示作為未經鑒定的VLAN。

第7.步(可選)在交換機的Privileged EXEC模式下，保存被配置的設置對啟動配置文件，通過輸入以下：

SG350X#copy running-config startup-config

第8.步(可選)按是的Y或N為不在您的關鍵董事會，一旦重寫文件[startup-config]…提示出現。

您應該成功當前配置了在VLAN的802.1x認證設置在您的交換機。

重要信息：要繼續進行配置在您的交換機的802.1x端口認證設置，請遵從上面指南。

 

================ End