在Cisco SX220系列智能交换机上配置802.1X端口身份验证

目标

本文的目的是向您展示如何在Sx220系列智能交换机上配置端口身份验证。

802.1X端口身份验证可为设备上的每个端口配置802.1X参数。请求身份验证的端口称为请求方。身份验证器是充当请求方网络防护的交换机或接入点。身份验证器将身份验证消息转发到RADIUS服务器，以便端口可以进行身份验证并发送和接收信息。

适用设备

• Sx220系列

软件版本

• 1.1.0.14

配置端口身份验证

步骤1.登录到基于Web的交换机实用程序，然后选择Security > 802.1X > Port Authentication。

步骤2.单击要配置的端口的单选按钮，然后单击Edit。

注意：在本例中，选择端口GE4。

步骤3.然后，Edit Port Authentication窗口将弹出。从接口下拉列表中，确保指定的端口是您在步骤2中选择的端口。否则，单击下拉箭头并选择正确的端口。

步骤4.为管理端口控制选择单选按钮。这将确定端口授权状态。选项有：

• 已禁用 — 禁用802.1X。这是默认状态。
• 强制未授权 — 通过将接口移至未授权状态来拒绝接口访问。交换机不通过接口向客户端提供身份验证服务。
• 自动 — 在交换机上启用基于端口的身份验证和授权。接口根据交换机和客户端之间的身份验证交换在授权或未授权状态之间移动。
• 强制授权 — 授权接口，不进行身份验证。

注意：在本例中，选择了Auto。

步骤5.（可选）为RADIUS VLAN分配选择单选按钮。这将在指定端口上启用动态VLAN分配。选项有：

• 已禁用 — 忽略VLAN授权结果并保留主机的原始VLAN。这是默认操作。
• 拒绝 — 如果指定端口收到VLAN授权信息，它将使用该信息。但是，如果没有VLAN授权信息，它将拒绝主机并使其处于未授权状态。
• 静态 — 如果指定端口收到VLAN授权信息，它将使用该信息。但是，如果没有VLAN授权信息，它将保留主机的原始VLAN。

注意：如果有来自RADIUS的VLAN授权信息，但VLAN未在测试设备(DUT)上管理性创建，则VLAN将自动创建。在本例中，选择Static。

快速提示：要使动态VLAN分配功能正常工作，交换机需要RADIUS服务器发送以下VLAN属性：

• [64]隧道类型= VLAN（类型13）
• [65]隧道中型= 802（类型6）
• [81]隧道专用组ID = VLAN ID

步骤6.（可选）选中Guest VLAN的Enable复选框，以便对未授权端口使用访客VLAN。

步骤7.选中Enable复选框以定期重新验证。这将在指定的重新身份验证时间段后启用端口重新身份验证尝试。

注意：默认情况下，此功能已启用。

步骤8.在Reauthentication Period字段中输入值。这是重新验证端口的时间（以秒为单位）。

注意：在本例中，使用默认值3600。

第9步。（可选）选中Reauthenticate Now复选框以启用立即端口重新身份验证。

注意：身份验证器状态字段显示身份验证的当前状态。

注意：如果端口未处于“强制授权”或“强制未授权”状态，则它处于“自动”模式，验证器显示正在进行的身份验证状态。端口经过身份验证后，状态显示为Authenticated。

步骤10.在Max Hosts字段中，输入特定端口上允许的经过身份验证的主机的最大数量。此值仅对多会话模式生效。

注意：在本例中，使用默认值256。

步骤11.在Quiet Period字段中，输入身份验证交换失败后交换机保持静默状态的秒数。当交换机处于静默状态时，这意味着交换机未侦听来自客户端的新身份验证请求。

注意：在本例中，使用默认值60。

步骤12.在Resending EAP字段中，输入交换机在重新发送请求之前等待来自请求方（客户端）的可扩展身份验证协议(EAP)请求或身份帧响应的秒数。

注意：在本例中，使用默认值30。

步骤13.在Max EAP Requests字段中，输入可发送的EAP请求的最大数量。如果在定义的时间段（请求方超时）后未收到响应，则重新启动身份验证过程。

注意：在本例中，使用默认值2。

步骤14.在Supplicant Timeout字段中，输入在EAP请求重新发送到请求方之前经过的秒数。

注意：在本例中，使用默认值30。

步骤15.在Server Timeout字段中，输入交换机将请求重新发送到身份验证服务器之前经过的秒数。

注意：在本例中，使用默认值30。

步骤16.单击“应用”。

现在，您应该已在交换机上成功配置端口身份验证。