思科交换机802.1X有线配置

SE_Gao
696
2024-10-30

思科交换机

Catalyst 交换机配置

复制代码
  1. aaa new-model //启用aaa
  2. aaa authentication dot1x default group radius // dot1x 使用radius 做认证
  3. aaa authorization network default group radius //使用802.1x 协议去动态分配vlan
  4. dot1x system-auth-control //允许802.1x port-based 认证
  5. dot1x guest-vlan supplicant
  6. // 允许交换机在端口802.1x 认证失败后,指定vlan 到guest-vlan
  7. radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key Password
  8. //设置radius server 的ip 地址和端口,以及认证的password
  9. radius-server dead-criteria time 5 tries 3
  10. //判断radius是否有问题标准,尝试3次,每次5秒,通过15秒相应,判断radius是否有问题,并做相应策略
  11. radius-server vsa send accounting
  12. radius-server vsa send authentication
  13. //需要通过802.1x 来指定端口的vlan,需要这两条配置命令。

以下为接口下配置

复制代码
  1. interface FastEthernet0/3
  2. switchport mode access
  3. //dot1x 指定vlan, switchport mode 必须为access
  4. dot1x port-control auto //开启dot1x 端口认证
  5. dot1x timeout quiet-period 10
  6. //switch 在与client 认证失败后的静默时间。默认是60s,我设置为10
  7. dot1x timeout tx-period 4
  8. dot1x timeout supp-timeout 4
  9. //switch 和client 之间认证等待的时间
  10. dot1x timeout server-timeout 4
  11. //switch 到radius server 的timeout 时间
  12. dot1x max-req 2
  13. //switch 和client 之间认证重试的次数,默认是2 次
  14. authentication event fail action next-method
  15. authentication event server dead action authorize vlan 80
  16. //服务器down掉时接入指定的vlan
  17. authentication event sever alive action reinitialize //服务器alive时,重新开始认证
  19. dot1x host-mode single-host
  20. //host-mode 是针对在端口下通过hub 有多台机器上网的问题设置的。默认的single-host 只允许一台机器能够使用该端口;如果是multi-host, 那么只要第一台能够认证通过,那么其他接到这个hub 的机器就都能使用,但是如果第一台认证的机器没有通过认证,那么这个hub 上的任何机器就都fail 掉。
  21. spanning-tree portfast //开启快速生成树,只能开在接主机的口不要开在连其他交换机口上
  22. dot1x pae authenticator

NEXUS 交换机命令和官方文档

复制代码
  1. switch# configure terminal
  2. switch(config)# feature dot1x
  3. switch(config)# aaa group server radius RAD
  4. switch(config)# radius-server host 192.168.0.225 key 7 "fewhg" authentication accounting
  5. switch(config)# server 192.168.0.225
  6. aaa authentication dot1x default group RAD
  8. switch(config)# radius-server retransmit 3
  9. switch(config)# radius-server timeout {5}
  10. switch(config)# radius-server deadtime {5}
  11. switch (config)#aaa group server radius {group-name }
  12. switch (config-radius)# server {ipv4-address}
  13. (Optional) switch (config-radius)# deadtime {minutes}
  14. (Optional) switch(config-radius)# source-interface interface {interface}
  16. switch(config)# interface ethernet 2/1
  17. switch(config-if)# dot1x port-control auto
  18. switch(config-if)# dot1x max-reauth-req {3}
  19. switch(config-if)# dot1x host-mode {multi-host}
  20. switch(config-if)# dot1x pae authenticator
  21. (Optional) dot1x timeout quiet-period {seconds}
  22. switch(config-if)# dot1x timeout ratelimit-period {10}
  23. switch(config-if)# dot1x timeout server-timeout {60}
  24. switch(config-if)# dot1x timeout supp-timeout {20}
  25. switch(config-if)# dot1x timeout tx-period {40}
  26. switch(config)# authentication event server dead action authorize vlan 20
阅读剩余
版权声明:
作者:SE_Gao
链接:https://www.cnesa.cn/2192.html
文章版权归作者所有,未经允许请勿转载。
THE END
如何在Linux上安装最新NVIDIA驱动-转载-跳坑经验
<<上一篇
在MySQL中存储IP地址的最佳实践
下一篇>>
相关推荐
IP 地址能精确到什么地步,如何保护隐私?
windows 有哪些常用的命令?
WLAN场景下AC6605旁挂核心S7703自动化AGV小车终端短时间网络失联
二层网络中的环路是怎么产生的?
S7703随板无线控制器直接转发模式下终端不能获取地址
交换机通过普通端口级联时,是怎么通讯的?
S7703因未创建VLAN导致VRRP无法建立
三层交换机到底是“交换机”还是“路由器”?这几种行为最易混!
S7703改密码提示历史记录最大数
配置静态路由?
Copyright © 2025 CNESA CoreNext Powered by WordPress