交换机802.1x配置文档

1、桌面防御及网络准入系统培训文档 设置交换机ieee802.1x协议,思科交换机的配置 cisco switch configuration,cisco ios,ieee 802.1x的功能只有在ciscoios12.1以上的版本中可用，如果交换机的ios版本是12.0或12.0以下，所有关于dot1x的选项和命令将不可用,配置ieee802.1x认证,1） 进入全局模式 configure terminal2） 启用aaa aaa new-model3） 建立ieee802.1x认证列表 aaa authentication dot1x default method1 default:将后面指

2、定的身份验证方法作为默认配置，自动作用于所有ieee802.1x method1:指定身份验证的方法4） 启用ieee802.1x授权 dot1x system-auth-control,配置ieee802.1x认证,5） 建立授权（可选） aaa authorization network default group radius 指定通过radius服务起来建立授权6） 指定radius服务器的地址 radius-server hostip地址7） 指定密钥 radius-server key 密钥8） 进入接口模式 interface 接口9） 启用ieee802.1x认证 switch

3、port mode access dot1x port-control auto10） 验证结果 show dot1x,配置交换机域radius服务器之间通信,1） 进入全局模式 configure terminal2） 配置radius服务器特征 radius-server host 主机名|ip地址 auth-port 端口号 key 密钥 auth-port:udp端口号,配置重认证周期,1）进入全局模式 configure terminal2）进入接口模式 interface 接口3）启用ieee802.1x重认证 dot1x reauthentication4）设置重认证周期 dot

4、1x timeout reauth-period 秒数 秒数：默认为3600秒，取值为1-655355）验证结果 show dot1x interface 接口,配置安静周期,交换机在与客户的一次失败验证交换之后保持安静状态的时间1）进入全局模式 configure terminal2）进入接口模式 interface 接口3）配置安静周期quiet period dot1x timeout quiet-period 秒数秒数：默认为60秒，取值为1-65535,配置实践,配置aaa的认证和授权 cisco2950 cisco2950enable cisco2950# conf t cisco

5、2950(config)# aaa new-model cisco2950(config)#aaa authentication login default local cisco2950(config)# aaa authentication dot1x default group radius cisco2950(config)# aaa authorization network default group radius cisco2950(config)# dot1x system-auth-control cisco2950(config)# end,配置实践,配置radius服务器

6、 cisco2950 cisco2950enable cisco2950# conf t cisco2950(config)# radius-server host 192.168.9.5 auth-port 1812 acct-port 1813 key syg123$ cisco2950(config)# radius-server retransmit 3 cisco2950(config)# end,配置实践,在端口fa0/2上启用802.1x验证 cisco2950 cisco2950enable cisco2950# conf t cisco2950(config)# interf

7、ace fa0/2 cisco2950(config-if) #swichport mode access cisco2950(config-if) #dot1x port-control auto cisco2950(config-if) # dot1x timeout quiet-period 30 cisco2950(config-if) # dot1x timeout reauth-period 30 cisco2950(config-if) # dot1x reauthenticaton cisco2950(config-if) # dot1x guest-vlan vlan4 ci

8、sco2950(config-if) # end,配置实践,在多个端口fa0/3-18上启用802.1x验证 cisco2950 cisco2950enable cisco2950# conf t cisco2950(config)# interface range fa0/3-18 cisco2950(config-if) #swichport mode access cisco2950(config-if) #dot1x port-control auto cisco2950(config-if) # dot1x timeout quiet-period 30 cisco2950(conf

9、ig-if) # dot1x timeout reauth-period 30 cisco2950(config-if) # dot1x reauthenticaton cisco2950(config-if) # dot1x guest-vlan vlan4 cisco2950(config-if) # end,配置实践,在交换机上添加vlan: 添加三个vlan:vlan 2 gongzuo (正常工作vlan)、vlan 3 geli（隔离vlan)、 vlan 4 guest vlan(来宾 vlan) cisco2950 cisco2950enable cisco2950# vlan

10、 database cisco2950(vlan)# vlan 2 name gongzuo vlan 2 added: name: gongzuo cisco2950(vlan)# vlan 3 name geli vlan 3 added: name: geli cisco2950(vlan)# vlan 4 name guestvlan vlan 4 added: name: guestvlan cisco2950(vlan) # exit,配置实践,跨交换机vlan设置1: 一个vlan跨多个交换机时，需要分别把交换机的某一个端口模式设为trunck，以vlan跨一台3750交换机和一

11、台2950交换机为例，3750交换机操作为添加三个vlan:vlan 2 gongzuo (正常工作vlan)、vlan 3 geli（隔离vlan)、vlan 4 guest vlan(来宾 vlan) cisco3750 cisco3750enable cisco3750# vlan database cisco3750(vlan)# vlan 2 name gongzuo vlan 2 added: name: gongzuo cisco2950(vlan)# vlan 3 name geli vlan 3 added: name: geli cisco3750(vlan)# vlan

12、4 name guestvlan vlan 4 added: name: guestvlan cisco3750(vlan) #exit cisco3750#conf t cisco3750(config)# interface fa0/1 cisco3750(config-if) #swichport mode trunck cisco3750(config-if) #end,配置实践,跨交换机vlan设置2: 一个vlan跨多个交换机时，需要分别把交换机的某一个端口模式设为trunck，以vlan跨一台3750交换机和一台2950交换机为例，2950交换机操作为添加三个vlan:vlan

13、2 gongzuo (正常工作vlan)、vlan 3 geli（隔离vlan)、vlan 4 guest vlan(来宾 vlan) cisco2950 cisco2950enable cisco2950# vlan database cisco2950(vlan)# vlan 2 name gongzuo vlan 2 added: name: gongzuo cisco2950(vlan)# vlan 3 name geli vlan 3 added: name: geli cisco2950(vlan)# vlan 4 name guestvlan vlan 4 added: name

14、: guestvlan cisco2950(vlan) #exit cisco2950#conf t cisco2950(config)# interface fa0/1 cisco2950(config-if) #swichport mode trunck cisco2950(config-if) #end,配置实践,跨交换机vlan设置2: 一个vlan跨多个交换机时，需要分别把交换机的某一个端口模式设为trunck，以vlan跨一台3750交换机和一台2950交换机为例，2950交换机操作为添加三个vlan:vlan 2 gongzuo (正常工作vlan)、vlan 3 geli（隔离

15、vlan)、vlan 4 guest vlan(来宾 vlan) cisco2950 cisco2950enable cisco2950# vlan database cisco2950(vlan)# vlan 2 name gongzuo vlan 2 added: name: gongzuo cisco2950(vlan)# vlan 3 name geli vlan 3 added: name: geli cisco2950(vlan)# vlan 4 name guestvlan vlan 4 added: name: guestvlan cisco2950(vlan) #exit c

16、isco2950#conf t cisco2950(config)# interface fa0/1 cisco2950(config-if) #swichport mode trunck cisco2950(config-if) #end,配置实践,为vlan2设置ip地址: cisco2950 cisco2950enable cisco2950# conf t cisco2950(config)#interface vlan2 cisco2950(config-if)#ip address 192.168.64.32 255.255.255.0 cisco2950(config-if)#n

17、o shutdown cisco2950(config-if)#end,配置实践,把多个端口加入vlan2: cisco2950 cisco2950enable cisco2950# conf t cisco2950(config)# interface range fa0/3-18 cisco2950(config-if) #swichport mode access cisco2950(config-if) #swichport access vlan2 cisco2950(config-if)#no shutdown cisco2950(config-if)#end,华为交换机的配置 h

18、uawei switch configuration,华为交换机配置,启用全局802.1x认证 dot1x 认证方法为eap dot1x authentication-method eap 创建名为radius1的radius方案 radius scheme radius1 主认证服务器ip primary authentication 192.168.64.221645/1812 主计费服务器ip primary accounting 192.168.64.22 1646/1813,华为交换机配置,radius认证功能的密码为symantec key authentication symantec radius计费功能的密码为symantec key accounting symantec 退出 quit 启用接口的802.1x认证 dot1x interface eth0/1 to eth 0/10 引用radius1的radius方案 domain system scheme radius-scheme radius1,华为交换机配置,开启所有接口的802.1x认证 dot1x interface 设置认证方式（缺省就是macbased，不用做这个命令） dot1x port-method macbas