配置802.1x在交换机的端口验证设置

配置802.1x在交换机的端⼝验证设置
配置802.1x在交换机的端⼝验证设置
⽬标
IEEE 802.1x是实现在客户端和服务器之间的访问控制的标准。

在服务可以为客户端提供由局域⽹或交换机前，客户端连接对交换机端⼝必须由运⾏远程验证拨⼊⽤户服务(RADIUS)的认证服务器验证。

802.1x验证限制从连接的未授权的客户端到LAN通过宣传可访问端⼝。

802.1x验证是客户服务器模型。

在此型号中，⽹络设备有以下特定⾓⾊：
客户端或请求⽅—客户端或请求⽅是请求对LAN的访问的⽹络设备。

客户端连接对验证器。

验证器—验证器是提供⽹络服务的⽹络设备，并且到哪些请求⽅端⼝连接。

⽀持以下认证⽅法：
基于802.1X —⽀持在所有认证模式。

使⽤RADIUS协议，在基于802.1X的验证，验证器解压缩从802.1x消息或EAP over LAN (EAPOL)数据包的可扩展的认证协议(EAP)消息，并且通过他们到认证服务器。

基于MAC的—⽀持在所有认证模式。

当媒体访问控制(MAC) -根据，验证器代表寻找⽹络访问的客户端执⾏软件的EAP客户机零件。

基于Web的—仅⽀持在多会话模式。

使⽤基于Web的验证，验证器代表寻找⽹络访问的客户端执⾏软件的EAP客户机零件。

认证服务器—认证服务器执⾏客户端的实际验证。

设备的认证服务器是有EAP扩展的⼀个RADIUS验证服务器。

注意：⽹络设备可以是客户端或请求⽅，验证器或者两个每个端⼝。

下⾯的镜像显⽰根据特定⾓⾊配置设备的⽹络。

在本例中，使⽤SG350X交换机。

在配置802.1x的指南：
1. 创建虚拟访问⽹络(VLAN)。

使⽤您的对于
2. 配置端⼝对在您的交换机的VLAN设置。

使⽤
3. 配置在交换机的802.1x属性。

在交换机应该全局启⽤802.1x启⽤802.1x基于端⼝的验证。

如需指导，请点击。

4. (可选)请配置在交换机的时间范围。

要
5. 配置802.1x端⼝验证。

此条款提供说明关于怎样配置802.1x端⼝在您的交换机的验证设置。

要
可适⽤的设备
Sx300系列
Sx350系列
SG350X系列
Sx500系列
Sx550X系列
软件版本
1.4.7.06 — Sx300， Sx500
2.2.8.04 — Sx350， SG350X， Sx550X
配置802.1x端⼝在交换机的验证设置
配置RADIUS客户端设置
步骤1.对您的交换机的基于Web的⼯具的登录然后选择先进在显⽰模式下拉列表。

注意：可⽤的菜单选项可能根据设备模型变化。

在本例中，使⽤SG550X-24。

步骤2.导航给Security>RADIUS客户端。

步骤3.移下来对RADIUS表部分并且单击添加…添加RADIUS服务器。

步骤4.是否在服务器定义域选择指定RADIUS服务器由IP地址或名称。

在IP版本字段选择RADIUS服务器的IP地址的版本。

注意：我们由IP地址和版本4使⽤在本例中。

步骤5.输⼊在RADIUS服务器由IP地址或命名。

注意：我们输⼊192.168.1.146的IP地址在服务器IP地址/Name字段的。

步骤6.输⼊服务器的优先级。

优先级确定设备尝试联系服务器验证⽤户的命令。

设备从最⾼优先级的RADIUS服务器⾸先启动。

0是最⾼优先级的。

步骤7.输⼊验证和加密设备和RADIUS服务器之间的通信使⽤的关键字符串。

此密钥必须匹配在RADIUS服务器配置的密钥。

它在已加密或明⽂格式可以被输⼊。

如果使⽤默认选择，通过使⽤DEFAULT键字符串，设备尝试验证到RADIUS服务器。

注意：我们在关键⽰例使⽤⽤户定义(明⽂)并且输⼊。

要
步骤 8在回复字段的超时，请选择任⼀使⽤默认或⽤户定义。

如果⽤户定义选择，进⼊设备在再试查询前等待从RADIUS服务器的⼀答案的编号秒钟或者交换对下个服务器，如果重试次数的最⼤做。

如果使⽤默认选择，设备使⽤默认超时超时值。

注意：在本例中，使⽤默认选择。

步骤9.在认证端⼝字段输⼊RADIUS服务器端⼝的UDP端⼝号认证请求的。

在计费端⼝字段输⼊RADIUS服务器端⼝的UDP端⼝号认为的请求的。

注意：在本例中，我们使⽤默认值认证端⼝和计费端⼝。

步骤 10如果⽤户定义为重试次数字段选择，输⼊发送到RADIUS服务器请求的数量，在失败考虑发⽣了前。

如果使⽤默认选择，设备使⽤默认值重试次数数量。

如果⽤户定义选择在失效时间，进⼊必须通过分钟的数量，在⼀个⽆响应的RADIUS服务器为服务请求前绕过。

如果使⽤默认选择，设备使⽤默认值在失效时间。

如果输⼊了0分钟，没有失效时间。

注意：在本例中，我们选择这两个字段的使⽤默认。

步骤 11在使⽤情况类型字段，请进⼊RADIUS服务器认证类型。

选项有：
登录– RADIUS服务器使⽤验证要求管理设备的⽤户。

802.1x – RADIUS服务器使⽤802.1x验证。

全RADIUS服务器使⽤验证要求管理设备和802.1x验证的⽤户。

步骤 12单击 Apply。

配置802.1x端⼝验证设置
步骤1.对您的交换机的基于Web的⼯具的登录然后选择先进在显⽰模式下拉列表。

注意：可⽤的菜单选项可能根据设备模型变化。

在本例中，使⽤SG350X-48MP。

注意：如果有⼀Sx300或Sx500系列交换机，请跳到
步骤2.选择安全> 802.1X验证>端⼝验证。

步骤3.从接⼝类型下拉列表选择接⼝。

端⼝—从接⼝类型下拉列表，如果仅单个端⼝需要选择，请选择端⼝。

滞后—从下来接⼝类型丢弃列表，请选择滞后配置。

这影响在滞后配置⾥定义的端⼝组。

注意：在本例中，端⼝单元1选择。

注意：如果有⼀⾮可堆叠的交换机例如⼀Sx300系列交换机，请跳到
步骤4.单击去启动端⼝或滞后列表在接⼝。

步骤5.点击您要配置的端⼝。

注意：在本例中， GE4选择。

步骤6.把页移下来然后单击编辑。

步骤7. (可选)，如果要编辑另⼀个接⼝，从单元和端⼝下拉列表选择。

注意：在本例中，端⼝GE4单元1选择。

步骤8.点击对应于所需的端⼝控制在管理端⼝控制区的单选按钮。

选项有：
未授权的强制—通过移动端⼝拒绝接⼝访问到未授权的状态。

端⼝将丢弃流量。

⾃动—在根据请求⽅的验证的⼀已授权或未授权的状态之间的端⼝移动。

授权的强制—授权端⼝，不⽤验证。

端⼝将转发流量。

注意：在本例中，⾃动选择。

步骤9.点击RADIUS VLAN分配单选按钮配置在所选的端⼝的动态VLAN分配。

选项有：
禁⽤—功能没有启⽤。

拒绝—如果RADIUS服务器授权请求⽅，但是没有提供请求⽅VLAN，请求⽅拒绝。

静态—如果RADIUS服务器授权请求⽅，但是没有提供请求⽅VLAN，请求⽅接受。

注意：在本例中，静态选择。

步骤 10检查在访客VLAN复选框的Enable (event)启⽤未授权的端⼝的访客VLAN。

访客VLAN⾃动地做未授权的端⼝加⼊在802.1属性的访客VLAN ID区域选择的VLAN。

步骤11. (可选)检查启⽤开路的Enable (event)开路复选框。

开路帮助您了解连接对⽹络的主机配置问题，监控最坏情况并且启⽤将修复的这些问题。

注意：当开路在接⼝时启⽤，交换机对待从RADIUS服务器接收的所有失败作为成功并且允许对⽹络的访问站点连接对接⼝不管验证结果。

在本例中，开路禁⽤。

步骤 12检查Enable (event) 802.1x基于验证复选框启⽤在端⼝的802.1X验证。

步骤 13检查Enable (event) MAC基于验证复选框启⽤根据请求⽅MAC地址的端⼝验证。

仅⼋个基于MAC的认证在端⼝可以使⽤。

注意：为了使成功的MAC验证， RADIUS服务器请求⽅⽤户名和密码必须是请求⽅MAC地址。

MAC地址必须在⼩写字母和输⼊，不⽤。

或者–分隔符(例如0020aa00bbcc)。

注意：在本例中，基于MAC验证来禁⽤。

步骤 14检查Enable (event)基于web的验证复选框启⽤在交换机的基于Web的验证。

在本例中，基于Web的验证禁⽤。

注意：在本例中，基于Web的验证禁⽤。

步骤 15(可选)请检查Enable (event)定期重新验证复选框迫使端⼝在给定时间之后重新鉴别。

这次在重新验证期限字段定义。

注意：在本例中，期限再验证启⽤。

步骤 16(可选)请在重新验证期限字段输⼊⼀个值。

在接⼝重新鉴别端⼝前，此值代表相当数量秒钟。

默认值是3600秒，并且范围是从300到4294967295秒。

注意：在本例中， 6000秒配置。

步骤 17(可选)当前请检查Enable (event)再次验证复选框强制⼀个⽴即端⼝再验证。

在本例中，⽴即再验证禁⽤。

验证器状态域显⽰端⼝的授权状态。

步骤18。

(可选)请检查启动时间范围检查复选框启⽤在时间的⼀限制端⼝授权。

注意：在本例中，时间范围启⽤。

如果喜欢跳过此功能，请继续对。

步骤19。

(可选)从时间范围名称下拉列表，请选择时间范围使⽤。

注意：在本例中，昼移动选择。

步骤20。

在最⼤数量WBA登录尝试地区，请单击⽆限的为没有限制或⽤户定义定限制。

如果⽤户定义选择，输⼊为基于Web的验证允许的登录尝试最⼤。

注意：在本例中，⽆限的选择。

步骤21。

在最⼤数量WBA沉默期限地区，请单击⽆限的为没有限制或⽤户定义定限制。

如果⽤户定义选择，输⼊静⾳期间的最⼤长度在接⼝允许的基于Web的验证的。

注意：在本例中，⽆限的选择。

步骤22。

在麦斯主机地区中，请单击⽆限的为没有限制或⽤户定义定限制。

如果⽤户定义选择，输⼊在接⼝允许的已授权主机最⼤。

注意：设置此值到1模拟基于Web的验证的单个主机模式在多会话模式。

在本例中，⽆限的选择。

步骤23。

在安静周期字段，请输⼊交换机留在平静的状态，在失败的认证交换后的时间。

当交换机在平静的状态时，含义交换机不细听从客户端的新证书请求。

默认值是60秒，并且范围是从⼀到65535秒。

注意：在本例中，安静周期设置为120秒。

步骤24。

在再发出的EAP字段，请输⼊交换机在再发出请求前等待从请求⽅的⼀个响应消息的时间。

默认值是30秒，并且范围是从⼀到65535秒。

注意：在本例中，再发出EAP设置为60秒。

步骤25。

在麦斯EAP请求字段，请输⼊的EAP请求最⼤可以发送。

EAP是提供在交换机和客户端之间的认证信息信息交换⽤于802.1X的认证⽅法。

在这种情况下， EAP请求发送给验证的客户端。

客户端必须然后响应和匹配认证信息。

如果客户端不响应，则根据再发出的EAP 值集合的另⼀EAP请求，并且认证过程重新启动。

默认值是2，并且范围是从⼀个到10。

注意：在本例中，使⽤默认值为2。

步骤26。

在请求⽅超时字段，在EAP请求被再发出对请求⽅前，请输⼊时间。

默认值是30秒，并且范围是从⼀到65535秒。

注意：在本例中，请求⽅超时设置为60秒。

步骤27。

在服务器超时字段，请输⼊过去的时间，在交换机发送再请求到RADIUS服务器前。

默认值是30秒，并且范围是从⼀到65535秒。

注意：在本例中，服务器超时设置为60秒。

步骤28。

单击应⽤然后单击Close。

步骤29。

(可选)请点击“Save”保存设置到启动配置⽂件。

您应该顺利地当前配置在您的交换机的802.1x端⼝验证设置。

应⽤接⼝配置设置对多个接⼝
步骤1.点击接⼝的单选按钮您要运⽤⾝份验证配置到多个接⼝。

注意：在本例中， GE4选择。

步骤2.移动下来然后单击“Copy”设置。

第 3 步：在对字段，请输⼊您希望运⽤选定的接⼝的配置的范围接⼝。

您能使⽤接⼝号或接⼝的名称作为输⼊。

您能进⼊⼀个逗号分离的每个接⼝(例如1， 3， 5或GE1、GE3， GE5)或您能输⼊范围接⼝(例如1-5或GE1-GE5)。

注意：在本例中，配置设置将应⽤到端⼝47到48。

步骤4.单击应⽤然后单击Close。

下⾯的镜像在配置以后表⽰更改。

您应该顺利地当前复制⼀个端⼝802.1x验证设置和应⽤到其他端⼝或端⼝您的交换机的。

================
通过CLI配置在交换机的全局802.1x属性
Introduction
IEEE 802.1x是实现在客户端和服务器之间的访问控制的标准。

在服务可以为客户端提供由⼀个局部访问⽹(LAN)前或交换机，客户端被联络到交换端⼝必须由运⾏远程验证拨⼊⽤户服务(RADIUS)的认证服务器验证。

802.1x认证从连接限制未授权的客户端到LAN通过公共可访问的端⼝。

802.1x认证是客户服务器模型。

在此型号，⽹络设备有以下特定⾓⾊：
客户端或请求⽅—客户端或请求⽅是请求对LAN的访问的⽹络设备。

客户端被联络到证明⼈。

证明⼈—证明⼈是提供⽹络服务的⽹络设备，并且对哪些请求⽅端⼝被连接。

⽀持以下认证⽅法：
-基于802.1X —⽀持在所有认证模式下。

使⽤RADIUS协议，在基于802.1X的认证，证明⼈从802.1x消息或EAP over LAN (EAPOL)信息包提取可扩展的认证协议(EAP)消息，并且通过他们到认证服务器。

-基于MAC的—⽀持在所有认证模式下。

当媒体访问控制(MAC) -根据，证明⼈代表寻找⽹络访问的客户端执⾏软件的EAP客户机零件。

-基于Web的—仅⽀持在多会话模式下。

使⽤基于Web的认证，证明⼈代表寻找⽹络访问的客户端执⾏软件的EAP客户机零件。

认证服务器—认证服务器进⾏客户端的实际认证。

设备的认证服务器是有EAP扩展的⼀个RADIUS验证服务器。

Note:⽹络设备可以是客户端或请求⽅，证明⼈或者两个每个端⼝。

下⾯的镜像显⽰根据特定⾓⾊配置了设备的⽹络。

在本例中，使⽤SG350X交换机。

在配置802.1x的指南：
1. 配置RADIUS服务器。

要了解如何配置在您的交换机的
2. 配置虚拟局域⽹(VLAN)。

使⽤您的交换机的对于
3. 配置端⼝对在您的交换机的VLAN设置。

使⽤
4. 配置在交换机的全局802.1x属性。

关于关于如何的说明通过交换机的
5. (可选)请配置在交换机的时间范围。

要了解如何配置在您的交换机的
6. 配置802.1x端⼝认证。

要使⽤交换机的
客观
此条款提供指令关于怎样通过交换机的命令⾏界⾯(CLI)配置全局802.1x属性，包括认证和客户VLAN属性。

客户VLAN提供存取对于不需要通过802.1x，基于MAC的或者基于Web的认证或端⼝将验证和被核准的预订的设备的服务。

可适⽤的设备
Sx300系列
Sx350系列
SG350X系列
Sx500系列
Sx550X系列
软件版本
1.4.7.06 — Sx300， Sx500
2.2.8.04 — Sx350， SG350X， Sx550X
通过CLI配置在交换机的802.1x属性
配置802.1x设置
步骤1.交换机控制台的洛⾦。

默认⽤户名和密码是cisco/cisco。

如果配置了⼀个新的⽤户名或密码，请输⼊证件。

Note:命令可能根据您的交换机确切的模型变化。

在本例中， SG350X交换机通过Telnet被获取。

Step 2.从交换机的Privileged EXEC模式，请通过输⼊以下输⼊全局配置模式：
SG350x#configure
第 3 步：对全局enable (event)在交换机的802.1x认证，请使⽤dot1x系统auth控制in命令全局配置模式。

SG350x(config)#dotx1系统auth控制
第4.步(可选)全局禁⽤在交换机的802.1x认证，输⼊以下：
SG350x(config)#no dotx1系统auth控制
Note:如果这是失效的， 802.1X，基于MAC的和基于Web的认证是失效的。

第 5 步：要指定哪些服务器使⽤认证，当802.1x认证是启⽤的时，请输⼊以下：
SG350x(config)#aaa认证dot1x默认值[半径⽆|半径|⽆]
选项是：
半径⽆—这在RADIUS服务器帮助下⾸先进⾏端⼝认证。

如果没有⾃服务器的⽆响应例如，当服务器发⽣故障时，则认证没有进⾏，并且会话允许。

如果服务器是可⽤的，并且⽤户凭证是不正确的，则访问被拒绝，并且结束会话。

半径—这进⾏根据RADIUS服务器的端⼝认证。

如果没有进⾏的认证，则会话被终⽌。

这是默认验证。

什么都—不验证⽤户并且允许会话。

Note:在本例中，默认802.1x认证服务器是RADIUS。

第6.步(可选)恢复默认验证，输⼊以下：
SG350X(config)#no aaa authetication dot1x默认值
第 7 步：在全局配置模式下，请通过输⼊以下进⼊VLAN接⼝配置上下⽂：
SG350X(config)#interface VLAN [vlan-id]
vlan-id —指定将被配置的VLAN ID。

第8.步。

对enable (event)使⽤未授权的端⼝的⼀个客户VLAN，输⼊以下：
SG350X(config-if)#dot1x客户VLAN
Note:如果客户VLAN是启⽤的，所有未授权的端⼝⾃动地加⼊在客户选择的VLAN VLAN。

如果端⼝以后被核准，从客户VLAN被去除。

第9.步。

要退出接⼝配置上下⽂，请输⼊以下：
SG350X(config-if)#exit
第10.步。

要设置时间延迟在启⽤802.1X (或端⼝)和添加端⼝之间到客户VLAN，请输⼊以下：
SG350X(config)#dot1x客户VLAN超时[timeout]
超时—以在启⽤802.1X (或端⼝)和添加端⼝之间的秒钟指定时间延迟到客户VLAN。

范围是从30 180秒。

Note:在联结以后，如果软件不发现⼀802.1x请求⽅或，如果端⼝认证发⽣了故障，然后端⼝被添加到客户VLAN，在客户VLAN超时周期到期之后。

如果端⼝从核准更改到没核准，端⼝被添加到客户VLAN，在客户VLAN超时周期到期之后。

您能从VLAN认证的enable (event)或功能失效VLAN认证。

Note:在本例中，使⽤的客户VLAN超时是60秒。

第11.步。

对enable (event)陷井，请检查⼀个或很多以下选项：
SG350X(config)# dot1x陷井认证[故障|成功|沉寂] [802.1x|mac|Web]
选项是：
802.1x认证失败陷井—，如果802.1x认证发⽣故障，请发送陷井。

802.1x认证成功陷井—，如果802.1x认证成功，请发送陷井。

MAC验证故障陷井—，如果MAC验证发⽣故障，请发送陷井。

mac认证成功陷井—，如果MAC验证成功，请发送陷井。

Web认证失败陷井—，如果Web认证发⽣故障，请发送陷井。

Web认证成功陷井—，如果Web认证成功，请发送陷井。

Web认证沉寂陷井—，如果⼀个安静周期开始，请发送陷井。

Note:在本例中， 802.1x认证失败和成功陷井被输⼊。

步骤12。

要退出接⼝配置上下⽂，请输⼊以下：
SG350X(config)#exit
第13步。

(可选)显⽰在交换机的被配置的全局802.1x属性，请输⼊以下：
SG350X#show dot1x
您应该成功当前配置了在您的交换机的802.1x属性。

配置VLAN认证
当802.1x是启⽤的时，未授权的端⼝或设备没有允许访问VLAN，除⾮他们是客户VLAN的部分或未经鉴定的VLAN。

将⼿⼯被添加的端⼝到VLAN。

要禁⽤在VLAN的认证，请遵从这些步骤：
第 1 步：从交换机的Privileged EXEC模式，请通过输⼊以下输⼊全局配置模式：
SG350X#configure
Step 2.在全局配置模式下，请通过输⼊以下进⼊VLAN接⼝配置上下⽂：
KSG350x(config)#接⼝VLAN [vlan-id]
vlan-id —指定将被配置的VLAN ID。

Note:在本例中， VLAN 20被选择。

第 3 步：要禁⽤在VLAN的802.1x认证，请输⼊以下：
SG350X(config-if)#dot1x auth没有req
对enable (event) 802.1x认证的第4.步(可选)在VLAN，输⼊以下：
SG350X(config-if)#no dot1x auth没有req
第 5 步：要退出接⼝配置上下⽂，请输⼊以下：
第6.步(可选)显⽰在交换机的802.1x全局认证设置，输⼊以下：
Note:在本例中， VLAN 20显⽰作为未经鉴定的VLAN。

第7.步(可选)在交换机的Privileged EXEC模式下，保存被配置的设置对启动配置⽂件，通过输⼊以下：
SG350X#copy running-config startup-config
第8.步(可选)按是的Y或N为不在您的关键董事会，⼀旦重写⽂件[startup-config]…提⽰出现。

您应该成功当前配置了在VLAN的802.1x认证设置在您的交换机。

重要信息：要继续进⾏配置在您的交换机的802.1x端⼝认证设置，请遵从上⾯。

================ End。