交换机802.1x配置文档
- 格式:ppt
- 大小:541.00 KB
- 文档页数:24


目录
• H3C S2126-EI以太网交换机 命令手册-Release22XX系列(V1.00)
• 01-命令行接口命令
• 02-登录交换机命令
• 03-配置文件管理命令
• 04-VLAN命令
• 05-配置管理VLAN命令
• 06-IP地址-IP性能命令
• 07-GVRP命令
• 08-端口基本配置命令
• 09-端口汇聚命令
• 10-端口隔离命令
• 11-端口安全命令
• 12-MAC地址转发表管理命令
• 13-MSTP命令
• 14-组播协议命令
• 15-802.1x及System-Guard命令
• 16-AAA命令
• 17-MAC地址认证命令
• 18-ARP命令
• 19-DHCP命令
• 20-ACL命令
• 21-QoS命令
• 22-镜像命令
• 23-Cluster命令
• 24-SNMP-RMON命令
• 25-NTP命令
• 26-SSH命令
• 27-文件系统管理命令
• 28-FTP-SFTP-TFTP命令
• 29-信息中心命令
• 30-系统维护与调试命令
• 31-VLAN-VPN命令
• 32-HWPing命令
• 33-IPv6管理命令
• 34-LLDP命令
• 35-域名解析命令
• 36-PKI命令
• 37-SSL命令
• 38-HTTPS命令
• 39-附录
、H3C S2126-EI以太网交换机 命令手册-Release22XX系列(V1.00)
本章节下载(253.62 KB)
15-802.1x及System-Guard命令
目
录
1 802.1x配置命令
1.1 802.1x配置命令
1.1.1 display dot1x
1.1.2 dot1x
1.1.3 dot1x authentication-method
1.1.4 dot1x dhcp-launch
思科交换机802.1X认证环境配置
1.1.1.1 :配置IP地址
configure terminal 进入全局的配置模式
配置命令:ip address
举 例:ip address 192.168.1.253 255.255.255.0
1.1.1.2 :配置Radius认证服务器地址
configure terminal 进入全局的配置模式
配置命令:radius-server host <0.0.0.0> auth-port acct-port key
举 例:radius-server host 192.168.1.254 auth-port 1812 acct-port 1813 key test
radius-server retransmit 3 和Radius默认重传3次。
1.1.1.3 :配置Dot1X认证
configure terminal 进入全局的配置模式
aaa new-model 运行AAA模式。
aaa authentication dot1x default group radius 创建一个802.1X认证的方式列表
dot1x system-auth-control 在交换机上全局允许802.1X认证
nterface 在指定的端口上启用802.1X认证
举例:interface fastethernet0/1
说明:1:例子中的是第一个端口,端口的书写必须是:0/
2:当端口启用802.1X认证之后应该显示是桔红色,而没有启用的显示的是绿色。
switchport mode access
dot1x port-control auto 以上两个命令是允许在端口上启用802.1X认证。
End 配置结束
Show dot1x 查看您的dot1x认证配置
copy running-config startup-config 保存您的配置到配置文件中。
实验报告
Cisco 802.1x
的认证配置
实验拓扑图
试验要求 一 公司为了安全,实行802.1x 认证
1:配置SW1和SW2之间使用trunk链路,使用VTP配置vlan 10,将PC1所连接端口加入到
vlan 10,将ACS服务器所连端口加入到vlan 1
2:用三层交换机实现vlan间路由,并且给SW2的VLAN 1配置192.168.1.222作为管理地址.
3:在ACS服务器上搭建DHCP服务器,并在三层交换机上配置DHCP中继,让客户端能够自动
获取IP地址.
4:搭建ACS服务器.
5:在SW2上启用802.1X认证.
6:测试PC连接情况.
二、员工能更改密码
实验步骤
一 公司为了安全,实行802.1x 认证
1.在sw1上sw2之间使用trunk链路,使用VTP配置VLAN 10
2.启用三层交换机实现vlan间通行都在sw1上配置
SW1(config)#int vlan 1
SW1(config-if)#ip add 192.168.1.254 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#int vlan 10
SW1(config-if)#ip ad 10.254 255.255.255.0
3.在ACS服务器上配置DHCP服务器,让客户端能够自动获取IP地址.(此处要搭建dhcp服务)
SW1(config)#int vlan 10
SW1(config-if)#ip helper-address 192.168.1.100
然后再sw2上配置vlan1的ip是
4在客户机上测试通行能ping通ACS服务器然后查看自动获取到的ip地址
4在安装ACS之前先安装
4搭建ACS安装cisco ACS软件四个复选框各个意思是
终端用户能够连接到AAA接入设备
安装ACS的windows服务器能够ping通AAA接入设备
华为5700本机完成802.1X用户认证配置
网络需求:
需要公司人员根据自己的工号完成了802.1x认证之后才能进行通信和访问外网
网络实验拓扑:
第一步:
建立802.1x认证用户
[manage-converged]aaa
[manage-converged-aaa]local-user cd00470 password cipher 12345
[manage-converged-aaa]local-user cd00470 service-type 8021x 指定用户
的服务类型
第二步:
开启全局802.1x功能
[manage-converged]dot1x enable
[manage-converged]dot1x authentication-method chap
PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用
明文方式传送口令 。
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证
协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密
性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给
RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给
RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5
这四种认证方法之一,只需启动EAP认证即可
第三步:
开启接口802.1x功能
[manage-converged-GigabitEthernet0/0/26]dot1x enable
[manage-converged-GigabitEthernet0/0/26]dot1x port-method ?
mac Authentication based on user MAC address