在Cisco Business 220系列交换机上配置802.1x身份验证

目标

本文的目的是向您展示如何在Cisco Business 220系列智能交换机上配置802.1x身份验证。

适用设备 | 固件版本

• CBS220系列(产品手册) |2.0.0.17

简介

端口身份验证启用每个端口的参数配置。由于某些配置更改仅在端口处于“强制授权”状态（如主机身份验证）时才可能发生，因此建议您在更改之前将端口控制更改为“强制授权”。配置完成后，将端口控制返回到其先前状态。

配置端口身份验证

第 1 步

登录到交换机Web用户界面(UI)，然后选择安全> 802.1x >端口身份验证。

第 2 步

点击要配置的端口的单选按钮，然后点击编辑图标。

第 3 步

然后Edit Port Authentication窗口将弹出。从Interface下拉列表中，确保指定的端口是您在第2步中选择的端口。否则，请单击下拉箭头并选择正确的端口。

第 4 步

选择管理端口控制的单选按钮。这将确定端口授权状态。选项有：

• Disabled — 禁用802.1x。这是默认状态。
• 强制未授权(Force Unauthorized) — 通过将接口移至未授权状态来拒绝接口访问。交换机不通过接口向客户端提供身份验证服务。
• 自动 — 在交换机上启用基于端口的身份验证和授权。根据交换机和客户端之间的身份验证交换，接口在已授权或未授权状态之间移动。
• Force Authorized — 授权接口而不进行身份验证。

步骤 5（可选）

为RADIUS VLAN分配选择单选按钮。这将启用指定端口上的动态VLAN分配。选项有：

• Disabled — 忽略VLAN授权结果并保留主机的原始VLAN。这是默认操作。
• 拒绝 — 如果指定端口收到VLAN授权信息，它将使用该信息。但是，如果没有VLAN授权信息，它将拒绝主机并使其处于未授权状态。
• Static — 如果指定端口收到VLAN授权信息，它将使用该信息。但是，如果没有VLAN授权信息，它将保留主机的原始VLAN。

快速提示：要使“动态VLAN分配”功能正常工作，交换机需要由RADIUS服务器发送以下VLAN属性：

• [64]隧道类型= VLAN（类型13）
• [65] Tunnel-Medium-Type = 802（类型6）
• [81]隧道专用组Id = VLAN ID

步骤 6（可选） 

选中Enable复选框，使访客VLAN将访客VLAN用于未授权的端口。

第 7 步

选中Enable复选框以定期重新进行身份验证。这将启用端口重新身份验证尝试（在指定的重新身份验证时间段之后）。

步骤 8

在Reauthentication Period字段中输入值。这是重新验证端口的时间（以秒为单位）。

步骤 9（可选）

选中Reauthenticate Now复选框以启用立即端口重新身份验证。

步骤 10

在Max Hosts字段中，输入特定端口上允许的最大身份验证主机数量。此值仅在多会话模式下生效。

步骤 11

在Quiet Period字段中，输入身份验证交换失败后交换机保持安静状态的秒数。当交换机处于静默状态时，这意味着交换机没有侦听来自客户端的新身份验证请求。

步骤 12

在重新发送EAP字段中，输入交换机在重新发送请求之前等待来自请求方（客户端）的可扩展身份验证协议(EAP)请求或身份帧的响应的秒数。

步骤 13

在Max EAP Requests字段中，输入可以发送的最大EAP请求数。如果在定义的时间段（请求方超时）后未收到响应，则身份验证进程将重新启动。

步骤 14

在请求方超时字段中，输入将EAP请求重新发送到请求方之前经过的秒数。

步骤 15

在Server Timeout字段中，输入交换机将请求重新发送到身份验证服务器之前经过的秒数。

步骤 16

单击 Apply。

您现在应该在交换机上成功配置802.1x身份验证。

有关更多配置，请参阅Cisco Business 220系列交换机管理指南。

如果您想查看其他文章，请查看Cisco Business 220系列交换机支持页