1.在交換機上啟動 AAA.
AAA在交換機上預設關閉,使用下列指令啟動 AAA 功能.
Switch(config)#aaa new-model
關鍵字 new-model 代表使用的方法清單後者為驗證方法和驗證來源進行編組和組織.
新模型的可擴展性比 old-model (舊模型) 高很多,在舊模型中有很多東西都必須手動配置.
2.定義外部 RADIUS 伺服器.
首先,定義每個伺服器以及其機密的共用密碼,只有交換器和伺服器知道該字串,它提供了加密驗證會談所使用的金鑰.
使用下列指令定義 RADIUS 伺服器
Switch(config)#radius-server host {hostname / ip-address /} [key string 關鍵字串]
當你有多組以上 radius 伺服器時可多次輸入不同 server 資訊 & 配置.
3.定義 802.1x 的驗證方式.
使用下列指令,用於定義交換器本體上定義的所有 RADIUS 伺服器都使用 802.1X 認證.
Switch(config)#aaa authentication dot1x default group radius
值得一提的是,倘若 raduis 認證失敗!即不會在往下一個項目進行驗證.
倘若 找不到 radius 認證伺服器,則將會再往下一個項目進行驗證.
故建議的設定模式如下.
Switch(config)#aaa authentication dot1x default group radius none (倘若 "找不到radius認證" 則不認證)
4.在交換器上啟用 802.1x
Switch(config)#dot1x system-auth-control
5.對每個即將使用 802.1x 的交換埠進行配置.
Switch(config)#interface 介面編號
Switch(config)#interface range fa0/1 - 24 (進入範圍界面設定模式)
所有欲設定的埠須先定義為 switchport mode access
Switch(config-if)#dot1x port-control { force-authorized / force-unauthorized / auto }
force-authorized(預設) :埠總是授權給連線端,簡單來說 - 此埠無需進行驗證即可傳輸資料.
force-unauthorized :埠總是不授權給連線,簡單來說 - 此埠無需驗證,永遠不可傳輸資料.
auto(理想) :該埠必須完成 802.1x 的認證手續方可傳輸資料,用戶端需支援 802.1x 認證. (XP有內建)
提示 : 當交換器啟用 802.1X 以後,所有埠預設為 force-authorized , 需將所有埠改為 auto 方為認證手段.
6.允許多台主機連接到同一交換埠.(非必要)
如果該 port 你需要給他多臺 RADIUS 伺服器做認證,請使用下列指令.
Switch(config-if)#dot1x host-mode multi-host
提示 : 使用指令 Switch#show dot1x all 可檢視交換器中檢視 802.1x 的驗證狀況報表.
設定範例 :
Switch(config)#aaa new-model
Switch(config)#radius-server host 192.168.1.1 key Doom
Switch(config)#radius-server host 192.168.1.2 key shuyuangan
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control
Switch(config)#interface ranga fa0/1 - 24
Switch(config-if)#switchport access vlan 10
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto
AAA在交換機上預設關閉,使用下列指令啟動 AAA 功能.
Switch(config)#aaa new-model
關鍵字 new-model 代表使用的方法清單後者為驗證方法和驗證來源進行編組和組織.
新模型的可擴展性比 old-model (舊模型) 高很多,在舊模型中有很多東西都必須手動配置.
2.定義外部 RADIUS 伺服器.
首先,定義每個伺服器以及其機密的共用密碼,只有交換器和伺服器知道該字串,它提供了加密驗證會談所使用的金鑰.
使用下列指令定義 RADIUS 伺服器
Switch(config)#radius-server host {hostname / ip-address /} [key string 關鍵字串]
當你有多組以上 radius 伺服器時可多次輸入不同 server 資訊 & 配置.
3.定義 802.1x 的驗證方式.
使用下列指令,用於定義交換器本體上定義的所有 RADIUS 伺服器都使用 802.1X 認證.
Switch(config)#aaa authentication dot1x default group radius
值得一提的是,倘若 raduis 認證失敗!即不會在往下一個項目進行驗證.
倘若 找不到 radius 認證伺服器,則將會再往下一個項目進行驗證.
故建議的設定模式如下.
Switch(config)#aaa authentication dot1x default group radius none (倘若 "找不到radius認證" 則不認證)
4.在交換器上啟用 802.1x
Switch(config)#dot1x system-auth-control
5.對每個即將使用 802.1x 的交換埠進行配置.
Switch(config)#interface 介面編號
Switch(config)#interface range fa0/1 - 24 (進入範圍界面設定模式)
所有欲設定的埠須先定義為 switchport mode access
Switch(config-if)#dot1x port-control { force-authorized / force-unauthorized / auto }
force-authorized(預設) :埠總是授權給連線端,簡單來說 - 此埠無需進行驗證即可傳輸資料.
force-unauthorized :埠總是不授權給連線,簡單來說 - 此埠無需驗證,永遠不可傳輸資料.
auto(理想) :該埠必須完成 802.1x 的認證手續方可傳輸資料,用戶端需支援 802.1x 認證. (XP有內建)
提示 : 當交換器啟用 802.1X 以後,所有埠預設為 force-authorized , 需將所有埠改為 auto 方為認證手段.
6.允許多台主機連接到同一交換埠.(非必要)
如果該 port 你需要給他多臺 RADIUS 伺服器做認證,請使用下列指令.
Switch(config-if)#dot1x host-mode multi-host
提示 : 使用指令 Switch#show dot1x all 可檢視交換器中檢視 802.1x 的驗證狀況報表.
設定範例 :
Switch(config)#aaa new-model
Switch(config)#radius-server host 192.168.1.1 key Doom
Switch(config)#radius-server host 192.168.1.2 key shuyuangan
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control
Switch(config)#interface ranga fa0/1 - 24
Switch(config-if)#switchport access vlan 10
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto
全站熱搜
留言列表
