配置802.1x在交换机的端口验证设置

标签:dial   命令   ice   解压缩   影响   安全   eee   必须   数字   

配置802.1x在交换机的端口验证设置

https://www.cisco.com/c/zh_cn/support/docs/smb/switches/cisco-250-series-smart-switches/smb3202-configure-8021x-port-authentication-setting-on-a-switch.html

 

目标

IEEE 802.1x是实现在客户端和服务器之间的访问控制的标准。在服务可以为客户端提供由局域网或交换机前,客户端连接对交换机端口必须由运行远程验证拨入用户服务(RADIUS)的认证服务器验证。

802.1x验证限制从连接的未授权的客户端到LAN通过宣传可访问端口。802.1x验证是客户服务器模型。在此型号中,网络设备有以下特定角色:

  • 客户端或请求方—客户端或请求方是请求对LAN的访问的网络设备。客户端连接对验证器。

  • 验证器—验证器是提供网络服务的网络设备,并且到哪些请求方端口连接。支持以下认证方法:

  • 基于802.1X —支持在所有认证模式。使用RADIUS协议,在基于802.1X的验证,验证器解压缩从802.1x消息或EAP over LAN (EAPOL)数据包的可扩展的认证协议(EAP)消息,并且通过他们到认证服务器。

  • 基于MAC的—支持在所有认证模式。当媒体访问控制(MAC) -根据,验证器代表寻找网络访问的客户端执行软件的EAP客户机零件。

  • 基于Web的—仅支持在多会话模式。使用基于Web的验证,验证器代表寻找网络访问的客户端执行软件的EAP客户机零件。

  • 认证服务器—认证服务器执行客户端的实际验证。设备的认证服务器是有EAP扩展的一个RADIUS验证服务器。

注意:网络设备可以是客户端或请求方,验证器或者两个每个端口。

下面的镜像显示根据特定角色配置设备的网络。在本例中,使用SG350X交换机。

技术图片

在配置802.1x的指南:

  1. 创建虚拟访问网络(VLAN)。使用您的交换机的基于Web的工具,要创建VLAN,请点击此处。对于基于CLI的说明,请点击此处。

  2. 配置端口对在您的交换机的VLAN设置。使用基于Web的工具,要配置,请点击此处。要使用CLI,请点击此处。

  3. 配置在交换机的802.1x属性。在交换机应该全局启用802.1x启用802.1x基于端口的验证。如需指导,请点击这里。

  4. (可选)请配置在交换机的时间范围。要学习如何配置在您的交换机的时间范围设置,请点击此处。

  5. 配置802.1x端口验证。此条款提供说明关于怎样配置802.1x端口在您的交换机的验证设置。

要学习如何配置在交换机的基于MAC验证来,请点击此处。

可适用的设备

  • Sx300系列

  • Sx350系列

  • SG350X系列

  • Sx500系列

  • Sx550X系列

软件版本

  • 1.4.7.06 — Sx300, Sx500

  • 2.2.8.04 — Sx350, SG350X, Sx550X

配置802.1x端口在交换机的验证设置

配置RADIUS客户端设置

步骤1.对您的交换机的基于Web的工具的登录然后选择先进在显示模式下拉列表。

注意:可用的菜单选项可能根据设备模型变化。在本例中,使用SG550X-24。

技术图片

步骤2.导航给Security>RADIUS客户端。

技术图片

步骤3.移下来对RADIUS表部分并且单击添加…添加RADIUS服务器。

技术图片

步骤4.是否在服务器定义域选择指定RADIUS服务器由IP地址或名称。在IP版本字段选择RADIUS服务器的IP地址的版本。

注意:我们由IP地址和版本4使用在本例中。

技术图片

步骤5.输入在RADIUS服务器由IP地址或命名。

注意:我们输入192.168.1.146的IP地址在服务器IP地址/Name字段的。

技术图片

步骤6.输入服务器的优先级。优先级确定设备尝试联系服务器验证用户的命令。设备从最高优先级的RADIUS服务器首先启动。0是最高优先级的。

技术图片

步骤7.输入验证和加密设备和RADIUS服务器之间的通信使用的关键字符串。此密钥必须匹配在RADIUS服务器配置的密钥。它在已加密或明文格式可以被输入。如果使用默认选择,通过使用DEFAULT键字符串,设备尝试验证到RADIUS服务器。

注意:我们在关键示例使用用户定义(明文)并且输入。

要学习如何配置在您的交换机的RADIUS服务器设置,请点击此处。

技术图片

步骤 8在回复字段的超时,请选择任一使用默认或用户定义。如果用户定义选择,进入设备在再试查询前等待从RADIUS服务器的一答案的编号秒钟或者交换对下个服务器,如果重试次数的最大做。如果使用默认选择,设备使用默认超时超时值。

注意:在本例中,使用默认选择。

技术图片

步骤9.在认证端口字段输入RADIUS服务器端口的UDP端口号认证请求的。在计费端口字段输入RADIUS服务器端口的UDP端口号认为的请求的。

注意:在本例中,我们使用默认值认证端口和计费端口。

技术图片

步骤 10如果用户定义为重试次数字段选择,输入发送到RADIUS服务器请求的数量,在失败考虑发生了前。如果使用默认选择,设备使用默认值重试次数数量。

如果用户定义选择在失效时间,进入必须通过分钟的数量,在一个无响应的RADIUS服务器为服务请求前绕过。如果使用默认选择,设备使用默认值在失效时间。如果输入了0分钟,没有失效时间。

注意:在本例中,我们选择这两个字段的使用默认。

技术图片

步骤 11在使用情况类型字段,请进入RADIUS服务器认证类型。选项有:

  • 登录– RADIUS服务器使用验证要求管理设备的用户。

  • 802.1x – RADIUS服务器使用802.1x验证。

  • 全RADIUS服务器使用验证要求管理设备和802.1x验证的用户。

技术图片

步骤 12单击 Apply。

技术图片

配置802.1x端口验证设置

步骤1.对您的交换机的基于Web的工具的登录然后选择先进在显示模式下拉列表。

注意:可用的菜单选项可能根据设备模型变化。在本例中,使用SG350X-48MP。

技术图片

注意:如果有一Sx300或Sx500系列交换机,请跳到步骤2。

步骤2.选择安全> 802.1X验证>端口验证。

技术图片

步骤3.从接口类型下拉列表选择接口。

  • 端口—从接口类型下拉列表,如果仅单个端口需要选择,请选择端口。

  • 滞后—从下来接口类型丢弃列表,请选择滞后配置。这影响在滞后配置里定义的端口组。

注意:在本例中,端口单元1选择。

技术图片

注意:如果有一非可堆叠的交换机例如一Sx300系列交换机,请跳到步骤5。

步骤4.单击去启动端口或滞后列表在接口。

技术图片

步骤5.点击您要配置的端口。

技术图片

注意:在本例中, GE4选择。

步骤6.把页移下来然后单击编辑。

技术图片

步骤7. (可选),如果要编辑另一个接口,从单元和端口下拉列表选择。

技术图片

注意:在本例中,端口GE4单元1选择。

步骤8.点击对应于所需的端口控制在管理端口控制区的单选按钮。选项有:

  • 未授权的强制—通过移动端口拒绝接口访问到未授权的状态。端口将丢弃流量。

  • 自动—在根据请求方的验证的一已授权或未授权的状态之间的端口移动。

  • 授权的强制—授权端口,不用验证。端口将转发流量。

技术图片

注意:在本例中,自动选择。

步骤9.点击RADIUS VLAN分配单选按钮配置在所选的端口的动态VLAN分配。选项有:

  • 禁用—功能没有启用。

  • 拒绝—如果RADIUS服务器授权请求方,但是没有提供请求方VLAN,请求方拒绝。

  • 静态—如果RADIUS服务器授权请求方,但是没有提供请求方VLAN,请求方接受。

技术图片

注意:在本例中,静态选择。

步骤 10检查在访客VLAN复选框的Enable (event)启用未授权的端口的访客VLAN。访客VLAN自动地做未授权的端口加入在802.1属性的访客VLAN ID区域选择的VLAN。

技术图片

步骤11. (可选)检查启用开路的Enable (event)开路复选框。开路帮助您了解连接对网络的主机配置问题,监控最坏情况并且启用将修复的这些问题。

注意:当开路在接口时启用,交换机对待从RADIUS服务器接收的所有失败作为成功并且允许对网络的访问站点连接对接口不管验证结果。在本例中,开路禁用。

技术图片

步骤 12检查Enable (event) 802.1x基于验证复选框启用在端口的802.1X验证。

技术图片

步骤 13检查Enable (event) MAC基于验证复选框启用根据请求方MAC地址的端口验证。仅八个基于MAC的认证在端口可以使用。

注意:为了使成功的MAC验证, RADIUS服务器请求方用户名和密码必须是请求方MAC地址。MAC地址必须在小写字母和输入,不用。或者–分隔符(例如0020aa00bbcc)。

技术图片

注意:在本例中,基于MAC验证来禁用。

步骤 14检查Enable (event)基于web的验证复选框启用在交换机的基于Web的验证。在本例中,基于Web的验证禁用。

技术图片

注意:在本例中,基于Web的验证禁用。

步骤 15(可选)请检查Enable (event)定期重新验证复选框迫使端口在给定时间之后重新鉴别。这次在重新验证期限字段定义。

技术图片

注意:在本例中,期限再验证启用。

步骤 16(可选)请在重新验证期限字段输入一个值。在接口重新鉴别端口前,此值代表相当数量秒钟。默认值是3600秒,并且范围是从300到4294967295秒。

技术图片

注意:在本例中, 6000秒配置。

步骤 17(可选)当前请检查Enable (event)再次验证复选框强制一个立即端口再验证。在本例中,立即再验证禁用。

技术图片

验证器状态域显示端口的授权状态。

步骤18。(可选)请检查启动时间范围检查复选框启用在时间的一限制端口授权。

技术图片

注意:在本例中,时间范围启用。如果喜欢跳过此功能,请继续对步骤20。

步骤19。(可选)从时间范围名称下拉列表,请选择时间范围使用。

技术图片

注意:在本例中,昼移动选择。

步骤20。在最大数量WBA登录尝试地区,请单击无限的为没有限制或用户定义定限制。如果用户定义选择,输入为基于Web的验证允许的登录尝试最大。

技术图片

注意:在本例中,无限的选择。

步骤21。在最大数量WBA沉默期限地区,请单击无限的为没有限制或用户定义定限制。如果用户定义选择,输入静音期间的最大长度在接口允许的基于Web的验证的。

技术图片

注意:在本例中,无限的选择。

步骤22。在麦斯主机地区中,请单击无限的为没有限制或用户定义定限制。如果用户定义选择,输入在接口允许的已授权主机最大。

技术图片

注意:设置此值到1模拟基于Web的验证的单个主机模式在多会话模式。在本例中,无限的选择。

步骤23。在安静周期字段,请输入交换机留在平静的状态,在失败的认证交换后的时间。当交换机在平静的状态时,含义交换机不细听从客户端的新证书请求。默认值是60秒,并且范围是从一到65535秒。

技术图片

注意:在本例中,安静周期设置为120秒。

步骤24。在再发出的EAP字段,请输入交换机在再发出请求前等待从请求方的一个响应消息的时间。默认值是30秒,并且范围是从一到65535秒。

技术图片

注意:在本例中,再发出EAP设置为60秒。

步骤25。在麦斯EAP请求字段,请输入的EAP请求最大可以发送。EAP是提供在交换机和客户端之间的认证信息信息交换用于802.1X的认证方法。在这种情况下, EAP请求发送给验证的客户端。客户端必须然后响应和匹配认证信息。如果客户端不响应,则根据再发出的EAP值集合的另一EAP请求,并且认证过程重新启动。默认值是2,并且范围是从一个到10。

技术图片

注意:在本例中,使用默认值为2。

步骤26。在请求方超时字段,在EAP请求被再发出对请求方前,请输入时间。默认值是30秒,并且范围是从一到65535秒。

技术图片

注意:在本例中,请求方超时设置为60秒。

步骤27。在服务器超时字段,请输入过去的时间,在交换机发送再请求到RADIUS服务器前。默认值是30秒,并且范围是从一到65535秒。

技术图片

注意:在本例中,服务器超时设置为60秒。

步骤28。单击应用然后单击Close。

技术图片

步骤29。(可选)请点击“Save”保存设置到启动配置文件。

技术图片

您应该顺利地当前配置在您的交换机的802.1x端口验证设置。

应用接口配置设置对多个接口

步骤1.点击接口的单选按钮您要运用身份验证配置到多个接口。

技术图片

注意:在本例中, GE4选择。

步骤2.移动下来然后单击“Copy”设置。

技术图片

第 3 步:在对字段,请输入您希望运用选定的接口的配置的范围接口。您能使用接口号或接口的名称作为输入。您能进入一个逗号分离的每个接口(例如1, 3, 5或GE1、GE3, GE5)或您能输入范围接口(例如1-5或GE1-GE5)。

技术图片

注意:在本例中,配置设置将应用到端口47到48。

步骤4.单击应用然后单击Close。

技术图片

下面的镜像在配置以后表示更改。

技术图片

您应该顺利地当前复制一个端口802.1x验证设置和应用到其他端口或端口您的交换机的。

 

================ End

 

配置802.1x在交换机的端口验证设置

标签:dial   命令   ice   解压缩   影响   安全   eee   必须   数字   

原文地址:https://www.cnblogs.com/lsgxeva/p/14289736.html

版权声明:完美者 发表于 2021-01-18 11:35:37。
转载请注明:配置802.1x在交换机的端口验证设置 | 完美导航

暂无评论

暂无评论...