浅析神洲数码交换机802.1X认.doc

神洲数码交换机802.1X认证 张光明 周传金这几天没事，我周传金看了下三层交换机的802.1X认证，看能不能用三层交换机完全取代路由器，通过初步测试，三层交换机的802.1X认证完全可以达到认证的目的，但认证限速最终还是由认证服务器通知交换机，让交换机开启端口限速来达到限速的目的，而交换机的端口限速确存在很大弊端。这里把交换机的802.1X认证设置写出来，如果你不用限速，完全可以只用交换机而不用路由器。下边只对802.1X认证作简要说明一、 在交换机上开启802.1X认证1、 全局模式下设置认证服务器2、 全局模式下开启AAA认证3、 全局模式下开启1X认证4、 全局模式下设置认证前可访问资源5、 进入开启1X认证的端口6、 开启此端口的1X认证7、 开启此端口的认证方式8、 设置此端口的1X认证授权状态具体命令如下：Switch(Config)#radius-server authentication host 10.103.117.7 /配置认证服务器IPSwitch(Config)# radius-server accounting host 10.103.117.7 /配置计费服务器IPSwitch(Config)# radius-server key 123 /配置认证服务器的共享密钥Switch(Config)#aaa enable /开启AAA认证Switch(Config)#aaa-accounting enable /开启AAA计费功能Switch(Config)#dot1x enable /开启802.1x认证Switch(Config)#dot1x user free-resource 10.103.117.0 255.255.255.0 /设置认证前可访问资源Switch(Config)#interface Ethernet 0/0/1 /进入端口Switch(Config-Ethernet0/0/1)#dot1x enable /开启端口的1X认证Switch(Config-Ethernet0/0/1)#dot1x port-method userbased /设置认证方式为userbasedSwitch(Config-Ethernet0/0/1)#dot1x port-control auto /设置授权状态为auto说明：802.1X认证方式中的portbased：当此端口下有一台计算机通过认证，其它计算机就可以不认证了，建议不用此方式。建议使用macbased或userbased方式二、 在一台计算机上安装认证服务器（此例我使用的是winradius）Windows平台下的软件，安装就不费话了。配置如下：1、设置共享密钥，与交换机相同2、使用数据库3、添加帐号三、 客户计算机设置客户计算机要使用认证客户端程序，两种选择：1、XP自带；2、专用客户端，任选其一1、 XP自带802.1X认证设置 当客户机网卡需要身份认证时系统托盘区会弹出如下提示： 单击上图中的气泡提示就会弹出登录框 输入正确的用户名和密码就可以了（登录域不用填） XP自带1X客户端的缺点： 网卡尝试身份验证是在XP启动后与交换机连接时弹出气泡提示，如果没有认证后面就不会再提示了，只有把网卡禁用再启用让它与交换机重新连接时才有气泡提示，甚至很多时间不会有气泡提示，很是麻烦。所以我还是建议用专用客户端程序。2、 专用客户端以神州数码的客户端为列（其它交换机的客户端也可以，只要它支持标准1X就行）如果使用神州数码私有802.1X，就不能使用标准radius认证服务器，而要使用神州数码的认证服务器（这些面向电信级用户的东西，你就不要指愿几K就可以买到）。使用专用客户端随时可以登录，断开时也可以在系统托盘上的图标上点右键点断开（和断开PPPOE连接一样），非常方便。下图是WinRadius收到的认证信息：说明：WinRadius同样是要花钱的，不付费只能使用5个用户的连接，不过，windows