局域网交换 : 802.1x

在Catalyst 3550系列交换机和ACS版本4.2配置示例的802.1x有线的验证

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文提供基本IEEE 802.1x配置示例Cisco访问控制服务器(ACS)版本4.2和远程访问拨入用户服务(RADIUS)协议为有线的验证。

贡献用Minakshi库马尔, Cisco TAC工程师。

先决条件

要求

Cisco推荐您:

  • 在ACS和交换机之间的确认IP可达性。
  • 保证用户数据报协议(UDP)端口1645和1646是开放的在ACS和交换机之间。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco Catalyst 3550 系列交换机
  • Cisco Secure ACS版本4.2

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

示例交换机配置

  1. 为了定义RADIUS服务器和预先共享密钥,请输入此命令:
    Switch(config)# radius-server host 192.168.1.3  key  cisco123


  2. 为了启用802.1x功能,请输入此命令:
    Switch(config)# dot1x system-auth-control


  3. 为了全局enable (event)验证、授权和统计(AAA)和RADIUS验证和授权,输入这些命令:

    注意:这是必要的是否需要通过从RADIUS服务器的属性;否则,您能跳过它。



    Switch(config)# aaa new-model
    Switch(config)# aaa authentication dot1x default group radius
    awitch(Config)# aaa authorization network default group radius
    Switch(Config)# aaa accounting dot1x default start-stop group radius


    Switch(config-if)# switchport mode acces
    Switch(config-if)# switchport access vlan <vlan>
    Switch(config-if)# authentication port-control auto (12.2.50 SE and later)
    Switch(config-if)# dot1x port-control auto (12.2.50 SE and below)
    Switch(config-if)# dot1x pae authenticator (version 12.2(25)SEE and below)
    Switch(config-if)# dot1x timeout quiet-period <seconds to wait after failed attempt>
    Switch(config-if)# dot1x timeout tx-period <time to resubmit request>

ACS配置

  1. 为了添加交换机作为ACS的一个AAA客户端,请导航给Network Configuration > Add条目AAA客户端,并且输入此信息:
    • IP 地址:<IP>
    • 共享机密:<key>
    • 验证使用:Radius (Cisco IOS /PIX 6.0)




  2. 为了配置验证设置,请导航对系统配置>全局验证设置,并且验证允许MS-CHAP版本2验证复选框被检查:



  3. 为了配置用户,请点击在菜单的用户设置,并且完成这些步骤:
    • 输入用户信息:网络Admin <username>。
    • 单击添加/编辑。
    • 输入真名:网络Admin <descriptive name>。
    • 添加一说明<your choice>。
    • 选择密码验证:ACS内部数据库。
    • 输入密码:........ <password>。
    • 证实密码<password>。
    • 单击 submit


验证

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

输入这些命令为了确认您的配置适当地工作:

  • show dot1x 
  • show dot1x摘要 
  • show dot1x接口 
  • show authentication sessions接口<interface>
  • show authentication接口<interface>
Switch(config)# show dot1x
_________________________________________________
Sysauthcontrol Enabled
Dot1x Protocol Version 3
_________________________________________________
Switch(config)# show dot1x summary
_________________________________________________
Interface PAE Client Status
_________________________________________________
Fa0/4 AUTH
_________________________________________________
Switch(config)# show dot1x interface fa0/4 detail
_________________________________________________
Dot1x Info for FastEthernet0/4
_________________________________________________
PAE = AUTHENTICATOR
PortControl = FORCE_AUTHORIZED
ControlDirection = Both
HostMode = SINGLE_HOST
QuietPeriod = 5
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 10

故障排除

此部分提供您能使用为了排除故障您的配置的调试指令。

注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug dot1x全部
  • debug authentication全部
  • debug radius (提供radius的信息在调试级别)
  • debug aaa authentication (验证的调试)
  • debug aaa authorization (授权的调试)

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116506