cisco如果設定802.1X配置過程
阿新 • • 發佈:2019-01-09
1、和802.1x相關的交換機主要配置內容:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---如果只是做802.1x認證,則aaa authorization network這句可不要,如要做VLAN分配或per-user ACL,則必須做network authorization
dot1x system-auth-control
!---注意在12.1(14)EA1版以後802.1x的配置有了修改,此句enable 802.1x
interface FastEthernet0/1
description To Server_Farm
switchport mode access
dot1x port-control auto
dot1x max-req 3
spanning-tree portfast
!---dot1x port-control auto句在F0/1上enable dot1x,另外注意在F0/1口下我並沒有給它賦VLAN
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_string
radius-server vsa send authentication
!---radius-server host 1.2.3.4句定義radius server資訊,並給出驗證字串
!---因為要配置VLAN分配必須使用IETF所規定的VSA(Vendor-specific attributes)值,radius-server vsa send authentication句允許交換機識別和使用這些VSA值。
配置802.1x動態分配VLAN所用到的VSA值規定如下:
[64] Tunnel-Type = VLAN
[65] Tunnel-Medium-Type = 802
[81] Tunnel-Private-Group-ID = VLAN name or VLAN ID
2、和802.1x相關的ACS主要配置內容:
這個配置要看圖了,另外附帶說一點,Cisco文件說ACS 3.0之前是不支援802.1x的。因為802.1x使用radius進行認證,所以在選用認證協議時我選用的是RADIUS(IETF),而預設是Cisco的TACACS+。
在Interface Configuration中對RADIUS(IETF)進行配置,在組使用者屬性中選中[64]Tunnel-Type、[65] Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID(見下圖)。
在Group Setup中對RADIUS Vendor-Specific Attributes值進行編輯:勾選[64]Tunnel-Type,將tag 1的值選為VLAN;勾選[65] Tunnel-Medium-Type,將tag 1的值選為802;勾選[81]Tunnel-Private-Group-ID,將tag 1的值設為7,表明為VLAN 7(見下圖)。設定完後,Submit+Rest。
3、工作站端的設定:
WINXP本身內建對802.1x的支援,微軟在前不久出了一個補丁可以讓WIN2K也支援802.1x,需要注意的是WIN2K SP4已經內建了對802.1x的支援,SP3以下可使用此補丁:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---如果只是做802.1x認證,則aaa authorization network這句可不要,如要做VLAN分配或per-user ACL,則必須做network authorization
dot1x system-auth-control
!---注意在12.1(14)EA1版以後802.1x的配置有了修改,此句enable 802.1x
interface FastEthernet0/1
description To Server_Farm
switchport mode access
dot1x port-control auto
dot1x max-req 3
spanning-tree portfast
!---dot1x port-control auto句在F0/1上enable dot1x,另外注意在F0/1口下我並沒有給它賦VLAN
radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_string
radius-server vsa send authentication
!---radius-server host 1.2.3.4句定義radius server資訊,並給出驗證字串
!---因為要配置VLAN分配必須使用IETF所規定的VSA(Vendor-specific attributes)值,radius-server vsa send authentication句允許交換機識別和使用這些VSA值。
配置802.1x動態分配VLAN所用到的VSA值規定如下:
[64] Tunnel-Type = VLAN
[65] Tunnel-Medium-Type = 802
[81] Tunnel-Private-Group-ID = VLAN name or VLAN ID
2、和802.1x相關的ACS主要配置內容:
這個配置要看圖了,另外附帶說一點,Cisco文件說ACS 3.0之前是不支援802.1x的。因為802.1x使用radius進行認證,所以在選用認證協議時我選用的是RADIUS(IETF),而預設是Cisco的TACACS+。
在Interface Configuration中對RADIUS(IETF)進行配置,在組使用者屬性中選中[64]Tunnel-Type、[65] Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID(見下圖)。
在Group Setup中對RADIUS Vendor-Specific Attributes值進行編輯:勾選[64]Tunnel-Type,將tag 1的值選為VLAN;勾選[65] Tunnel-Medium-Type,將tag 1的值選為802;勾選[81]Tunnel-Private-Group-ID,將tag 1的值設為7,表明為VLAN 7(見下圖)。設定完後,Submit+Rest。
3、工作站端的設定:
WINXP本身內建對802.1x的支援,微軟在前不久出了一個補丁可以讓WIN2K也支援802.1x,需要注意的是WIN2K SP4已經內建了對802.1x的支援,SP3以下可使用此補丁: