配置802.1x在交换机的端口验证设置

https://www.cisco.com/c/zh_cn/support/docs/smb/switches/cisco-250-series-smart-switches/smb3202-configure-8021x-port-authentication-setting-on-a-switch.html

目标

IEEE 802.1x是实现在客户端和服务器之间的访问控制的标准。在服务可以为客户端提供由局域网或交换机前，客户端连接对交换机端口必须由运行远程验证拨入用户服务(RADIUS)的认证服务器验证。

802.1x验证限制从连接的未授权的客户端到LAN通过宣传可访问端口。802.1x验证是客户服务器模型。在此型号中，网络设备有以下特定角色：

客户端或请求方—客户端或请求方是请求对LAN的访问的网络设备。客户端连接对验证器。
验证器—验证器是提供网络服务的网络设备，并且到哪些请求方端口连接。支持以下认证方法：

基于802.1X —支持在所有认证模式。使用RADIUS协议，在基于802.1X的验证，验证器解压缩从802.1x消息或EAP over LAN (EAPOL)数据包的可扩展的认证协议(EAP)消息，并且通过他们到认证服务器。
基于MAC的—支持在所有认证模式。当媒体访问控制(MAC) -根据，验证器代表寻找网络访问的客户端执行软件的EAP客户机零件。
基于Web的—仅支持在多会话模式。使用基于Web的验证，验证器代表寻找网络访问的客户端执行软件的EAP客户机零件。

认证服务器—认证服务器执行客户端的实际验证。设备的认证服务器是有EAP扩展的一个RADIUS验证服务器。

注意：网络设备可以是客户端或请求方，验证器或者两个每个端口。

下面的镜像显示根据特定角色配置设备的网络。在本例中，使用SG350X交换机。

在配置802.1x的指南：

创建虚拟访问网络(VLAN)。使用您的交换机的基于Web的工具，要创建VLAN，请点击此处。对于基于CLI的说明，请点击此处。
配置端口对在您的交换机的VLAN设置。使用基于Web的工具，要配置，请点击此处。要使用CLI，请点击此处。
配置在交换机的802.1x属性。在交换机应该全局启用802.1x启用802.1x基于端口的验证。如需指导，请点击这里。
(可选)请配置在交换机的时间范围。要学习如何配置在您的交换机的时间范围设置，请点击此处。
配置802.1x端口验证。此条款提供说明关于怎样配置802.1x端口在您的交换机的验证设置。

要学习如何配置在交换机的基于MAC验证来，请点击此处。

可适用的设备

Sx300系列
Sx350系列
SG350X系列
Sx500系列
Sx550X系列

软件版本

1.4.7.06 — Sx300， Sx500
2.2.8.04 — Sx350， SG350X， Sx550X

配置802.1x端口在交换机的验证设置

配置RADIUS客户端设置

步骤1.对您的交换机的基于Web的工具的登录然后选择先进在显示模式下拉列表。

注意：可用的菜单选项可能根据设备模型变化。在本例中，使用SG550X-24。

步骤2.导航给Security>RADIUS客户端。

步骤3.移下来对RADIUS表部分并且单击添加…添加RADIUS服务器。

步骤4.是否在服务器定义域选择指定RADIUS服务器由IP地址或名称。在IP版本字段选择RADIUS服务器的IP地址的版本。

注意：我们由IP地址和版本4使用在本例中。

步骤5.输入在RADIUS服务器由IP地址或命名。

注意：我们输入192.168.1.146的IP地址在服务器IP地址/Name字段的。

步骤6.输入服务器的优先级。优先级确定设备尝试联系服务器验证用户的命令。设备从最高优先级的RADIUS服务器首先启动。0是最高优先级的。

步骤7.输入验证和加密设备和RADIUS服务器之间的通信使用的关键字符串。此密钥必须匹配在RADIUS服务器配置的密钥。它在已加密或明文格式可以被输入。如果使用默认选择，通过使用DEFAULT键字符串，设备尝试验证到RADIUS服务器。

注意：我们在关键示例使用用户定义(明文)并且输入。

要学习如何配置在您的交换机的RADIUS服务器设置，请点击此处。

步骤 8在回复字段的超时，请选择任一使用默认或用户定义。如果用户定义选择，进入设备在再试查询前等待从RADIUS服务器的一答案的编号秒钟或者交换对下个服务器，如果重试次数的最大做。如果使用默认选择，设备使用默认超时超时值。

注意：在本例中，使用默认选择。

步骤9.在认证端口字段输入RADIUS服务器端口的UDP端口号认证请求的。在计费端口字段输入RADIUS服务器端口的UDP端口号认为的请求的。

注意：在本例中，我们使用默认值认证端口和计费端口。

步骤 10如果用户定义为重试次数字段选择，输入发送到RADIUS服务器请求的数量，在失败考虑发生了前。如果使用默认选择，设备使用默认值重试次数数量。

如果用户定义选择在失效时间，进入必须通过分钟的数量，在一个无响应的RADIUS服务器为服务请求前绕过。如果使用默认选择，设备使用默认值在失效时间。如果输入了0分钟，没有失效时间。

注意：在本例中，我们选择这两个字段的使用默认。

步骤 11在使用情况类型字段，请进入RADIUS服务器认证类型。选项有：

登录– RADIUS服务器使用验证要求管理设备的用户。
802.1x – RADIUS服务器使用802.1x验证。
全RADIUS服务器使用验证要求管理设备和802.1x验证的用户。

步骤 12单击 Apply。

配置802.1x端口验证设置

步骤1.对您的交换机的基于Web的工具的登录然后选择先进在显示模式下拉列表。

注意：可用的菜单选项可能根据设备模型变化。在本例中，使用SG350X-48MP。

注意：如果有一Sx300或Sx500系列交换机，请跳到步骤2。

步骤2.选择安全> 802.1X验证>端口验证。

步骤3.从接口类型下拉列表选择接口。

端口—从接口类型下拉列表，如果仅单个端口需要选择，请选择端口。
滞后—从下来接口类型丢弃列表，请选择滞后配置。这影响在滞后配置里定义的端口组。

注意：在本例中，端口单元1选择。

注意：如果有一非可堆叠的交换机例如一Sx300系列交换机，请跳到步骤5。

步骤4.单击去启动端口或滞后列表在接口。

步骤5.点击您要配置的端口。

注意：在本例中， GE4选择。

步骤6.把页移下来然后单击编辑。

步骤7. (可选)，如果要编辑另一个接口，从单元和端口下拉列表选择。

注意：在本例中，端口GE4单元1选择。

步骤8.点击对应于所需的端口控制在管理端口控制区的单选按钮。选项有：

未授权的强制—通过移动端口拒绝接口访问到未授权的状态。端口将丢弃流量。
自动—在根据请求方的验证的一已授权或未授权的状态之间的端口移动。
授权的强制—授权端口，不用验证。端口将转发流量。

注意：在本例中，自动选择。

步骤9.点击RADIUS VLAN分配单选按钮配置在所选的端口的动态VLAN分配。选项有：

禁用—功能没有启用。
拒绝—如果RADIUS服务器授权请求方，但是没有提供请求方VLAN，请求方拒绝。
静态—如果RADIUS服务器授权请求方，但是没有提供请求方VLAN，请求方接受。

注意：在本例中，静态选择。

步骤 10检查在访客VLAN复选框的Enable (event)启用未授权的端口的访客VLAN。访客VLAN自动地做未授权的端口加入在802.1属性的访客VLAN ID区域选择的VLAN。

步骤11. (可选)检查启用开路的Enable (event)开路复选框。开路帮助您了解连接对网络的主机配置问题，监控最坏情况并且启用将修复的这些问题。

注意：当开路在接口时启用，交换机对待从RADIUS服务器接收的所有失败作为成功并且允许对网络的访问站点连接对接口不管验证结果。在本例中，开路禁用。

步骤 12检查Enable (event) 802.1x基于验证复选框启用在端口的802.1X验证。

步骤 13检查Enable (event) MAC基于验证复选框启用根据请求方MAC地址的端口验证。仅八个基于MAC的认证在端口可以使用。

注意：为了使成功的MAC验证， RADIUS服务器请求方用户名和密码必须是请求方MAC地址。MAC地址必须在小写字母和输入，不用。或者–分隔符(例如0020aa00bbcc)。

注意：在本例中，基于MAC验证来禁用。

步骤 14检查Enable (event)基于web的验证复选框启用在交换机的基于Web的验证。在本例中，基于Web的验证禁用。

注意：在本例中，基于Web的验证禁用。

步骤 15(可选)请检查Enable (event)定期重新验证复选框迫使端口在给定时间之后重新鉴别。这次在重新验证期限字段定义。

注意：在本例中，期限再验证启用。

步骤 16(可选)请在重新验证期限字段输入一个值。在接口重新鉴别端口前，此值代表相当数量秒钟。默认值是3600秒，并且范围是从300到4294967295秒。

注意：在本例中， 6000秒配置。

步骤 17(可选)当前请检查Enable (event)再次验证复选框强制一个立即端口再验证。在本例中，立即再验证禁用。

验证器状态域显示端口的授权状态。

步骤18。(可选)请检查启动时间范围检查复选框启用在时间的一限制端口授权。

注意：在本例中，时间范围启用。如果喜欢跳过此功能，请继续对步骤20。

步骤19。(可选)从时间范围名称下拉列表，请选择时间范围使用。

注意：在本例中，昼移动选择。

步骤20。在最大数量WBA登录尝试地区，请单击无限的为没有限制或用户定义定限制。如果用户定义选择，输入为基于Web的验证允许的登录尝试最大。

注意：在本例中，无限的选择。

步骤21。在最大数量WBA沉默期限地区，请单击无限的为没有限制或用户定义定限制。如果用户定义选择，输入静音期间的最大长度在接口允许的基于Web的验证的。

注意：在本例中，无限的选择。

步骤22。在麦斯主机地区中，请单击无限的为没有限制或用户定义定限制。如果用户定义选择，输入在接口允许的已授权主机最大。

注意：设置此值到1模拟基于Web的验证的单个主机模式在多会话模式。在本例中，无限的选择。

步骤23。在安静周期字段，请输入交换机留在平静的状态，在失败的认证交换后的时间。当交换机在平静的状态时，含义交换机不细听从客户端的新证书请求。默认值是60秒，并且范围是从一到65535秒。

注意：在本例中，安静周期设置为120秒。

步骤24。在再发出的EAP字段，请输入交换机在再发出请求前等待从请求方的一个响应消息的时间。默认值是30秒，并且范围是从一到65535秒。

注意：在本例中，再发出EAP设置为60秒。

步骤25。在麦斯EAP请求字段，请输入的EAP请求最大可以发送。EAP是提供在交换机和客户端之间的认证信息信息交换用于802.1X的认证方法。在这种情况下， EAP请求发送给验证的客户端。客户端必须然后响应和匹配认证信息。如果客户端不响应，则根据再发出的EAP值集合的另一EAP请求，并且认证过程重新启动。默认值是2，并且范围是从一个到10。

注意：在本例中，使用默认值为2。

步骤26。在请求方超时字段，在EAP请求被再发出对请求方前，请输入时间。默认值是30秒，并且范围是从一到65535秒。

注意：在本例中，请求方超时设置为60秒。

步骤27。在服务器超时字段，请输入过去的时间，在交换机发送再请求到RADIUS服务器前。默认值是30秒，并且范围是从一到65535秒。

注意：在本例中，服务器超时设置为60秒。

步骤28。单击应用然后单击Close。

步骤29。(可选)请点击“Save”保存设置到启动配置文件。

您应该顺利地当前配置在您的交换机的802.1x端口验证设置。

应用接口配置设置对多个接口

步骤1.点击接口的单选按钮您要运用身份验证配置到多个接口。

注意：在本例中， GE4选择。

步骤2.移动下来然后单击“Copy”设置。

第 3 步：在对字段，请输入您希望运用选定的接口的配置的范围接口。您能使用接口号或接口的名称作为输入。您能进入一个逗号分离的每个接口(例如1， 3， 5或GE1、GE3， GE5)或您能输入范围接口(例如1-5或GE1-GE5)。

注意：在本例中，配置设置将应用到端口47到48。

步骤4.单击应用然后单击Close。

下面的镜像在配置以后表示更改。

您应该顺利地当前复制一个端口802.1x验证设置和应用到其他端口或端口您的交换机的。

================

通过CLI配置在交换机的全局802.1x属性

https://www.cisco.com/c/zh_cn/support/docs/smb/switches/cisco-small-business-300-series-managed-switches/smb5635-configure-global-802-1x-properties-on-a-switch-through-the-c.html

Introduction

IEEE 802.1x是实现在客户端和服务器之间的访问控制的标准。在服务可以为客户端提供由一个局部访问网(LAN)前或交换机，客户端被联络到交换端口必须由运行远程验证拨入用户服务(RADIUS)的认证服务器验证。

802.1x认证从连接限制未授权的客户端到LAN通过公共可访问的端口。802.1x认证是客户服务器模型。在此型号，网络设备有以下特定角色：

客户端或请求方—客户端或请求方是请求对LAN的访问的网络设备。客户端被联络到证明人。
证明人—证明人是提供网络服务的网络设备，并且对哪些请求方端口被连接。支持以下认证方法：

-基于802.1X —支持在所有认证模式下。使用RADIUS协议，在基于802.1X的认证，证明人从802.1x消息或EAP over LAN (EAPOL)信息包提取可扩展的认证协议(EAP)消息，并且通过他们到认证服务器。

-基于MAC的—支持在所有认证模式下。当媒体访问控制(MAC) -根据，证明人代表寻找网络访问的客户端执行软件的EAP客户机零件。

-基于Web的—仅支持在多会话模式下。使用基于Web的认证，证明人代表寻找网络访问的客户端执行软件的EAP客户机零件。

认证服务器—认证服务器进行客户端的实际认证。设备的认证服务器是有EAP扩展的一个RADIUS验证服务器。

Note:网络设备可以是客户端或请求方，证明人或者两个每个端口。

下面的镜像显示根据特定角色配置了设备的网络。在本例中，使用SG350X交换机。

在配置802.1x的指南：

配置RADIUS服务器。要了解如何配置在您的交换机的RADIUS服务器设置，请点击此处。
配置虚拟局域网(VLAN)。使用您的交换机的基于Web的工具，要创建VLAN，请点击此处。对于基于CLI的指令，请点击此处。
配置端口对在您的交换机的VLAN设置。使用基于Web的工具，要配置，请点击此处。要使用CLI，请点击此处。
配置在交换机的全局802.1x属性。关于关于如何的说明通过交换机的基于Web的工具配置全局802.1x属性，请点击此处。
(可选)请配置在交换机的时间范围。要了解如何配置在您的交换机的时间范围设置，请点击此处。
配置802.1x端口认证。要使用交换机的基于Web的工具，请点击此处。要使用CLI，请点击此处。

客观

此条款提供指令关于怎样通过交换机的命令行界面(CLI)配置全局802.1x属性，包括认证和客户VLAN属性。客户VLAN提供存取对于不需要通过802.1x，基于MAC的或者基于Web的认证或端口将验证和被核准的预订的设备的服务。

可适用的设备

Sx300系列
Sx350系列
SG350X系列
Sx500系列
Sx550X系列

软件版本

1.4.7.06 — Sx300， Sx500
2.2.8.04 — Sx350， SG350X， Sx550X

通过CLI配置在交换机的802.1x属性

配置802.1x设置

步骤1.交换机控制台的洛金。默认用户名和密码是cisco/cisco。如果配置了一个新的用户名或密码，请输入证件。

Note:命令可能根据您的交换机确切的模型变化。在本例中， SG350X交换机通过Telnet被获取。

Step 2.从交换机的Privileged EXEC模式，请通过输入以下输入全局配置模式：

SG350x#configure

第 3 步：对全局enable (event)在交换机的802.1x认证，请使用dot1x系统auth控制in命令全局配置模式。

SG350x(config)#dotx1系统auth控制

第4.步(可选)全局禁用在交换机的802.1x认证，输入以下：

SG350x(config)#no dotx1系统auth控制

Note:如果这是失效的， 802.1X，基于MAC的和基于Web的认证是失效的。

第 5 步：要指定哪些服务器使用认证，当802.1x认证是启用的时，请输入以下：

SG350x(config)#aaa认证dot1x默认值[半径无|半径|无]

选项是：

半径无—这在RADIUS服务器帮助下首先进行端口认证。如果没有自服务器的无响应例如，当服务器发生故障时，则认证没有进行，并且会话允许。如果服务器是可用的，并且用户凭证是不正确的，则访问被拒绝，并且结束会话。
半径—这进行根据RADIUS服务器的端口认证。如果没有进行的认证，则会话被终止。这是默认验证。
什么都—不验证用户并且允许会话。

Note:在本例中，默认802.1x认证服务器是RADIUS。

第6.步(可选)恢复默认验证，输入以下：

SG350X(config)#no aaa authetication dot1x默认值

第 7 步：在全局配置模式下，请通过输入以下进入VLAN接口配置上下文：

SG350X(config)#interface VLAN [vlan-id]

vlan-id —指定将被配置的VLAN ID。

第8.步。对enable (event)使用未授权的端口的一个客户VLAN，输入以下：

SG350X(config-if)#dot1x客户VLAN

Note:如果客户VLAN是启用的，所有未授权的端口自动地加入在客户选择的VLAN VLAN。如果端口以后被核准，从客户VLAN被去除。

第9.步。要退出接口配置上下文，请输入以下：

SG350X(config-if)#exit

第10.步。要设置时间延迟在启用802.1X (或端口)和添加端口之间到客户VLAN，请输入以下：

SG350X(config)#dot1x客户VLAN超时[timeout]

超时—以在启用802.1X (或端口)和添加端口之间的秒钟指定时间延迟到客户VLAN。范围是从30 180秒。

Note:在联结以后，如果软件不发现一802.1x请求方或，如果端口认证发生了故障，然后端口被添加到客户VLAN，在客户VLAN超时周期到期之后。如果端口从核准更改到没核准，端口被添加到客户VLAN，在客户VLAN超时周期到期之后。您能从VLAN认证的enable (event)或功能失效VLAN认证。