Cisco 200/300系列管理型交换机上的802.1X端口身份验证配置

下载选项

PDF (1.0 MB)
在各种设备上使用 Adobe Reader 查看
ePub (843.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (289.3 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2018 年 11 月 29 日

文档 ID:SMB988

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

Cisco 200/300系列管理型交换机上的802.1X端口身份验证配置

目标

本文档的目标是解释200/300系列管理型交换机上的801.1X端口身份验证。802.1X端口身份验证支持为每个端口配置802.1X参数。请求身份验证的端口称为请求方。身份验证器是充当请求方网络防护的交换机或接入点。身份验证器将身份验证消息转发到RADIUS服务器，以便端口可以进行身份验证并可以发送和接收信息。

适用设备

· SF/SG 200和SF/SG 300系列托管交换机

软件版本

•1.3.0.62

端口身份验证配置

步骤1:登录到Web配置实用程序并选择Security > 802.1x > Port Authentication。系统将打开Port Authentication页面：

第二步：点击与要编辑的端口对应的单选按钮。

第三步：单击 Edit。系统将显示Edit Port Authentication窗口。

用户名字段显示端口的用户名。

注：当前端口控制字段显示当前端口状态。如果端口处于Unauthorized状态，则意味着该端口未通过身份验证，或者管理端口控制设置为Force Unauthorized。另一方面，如果端口处于Authorized状态，则意味着该端口已通过身份验证或者管理端口控制设置为Force authorized。

第四步：在管理端口控制(Administrative Port Control)字段中，点击其中一个可用的单选按钮以确定端口授权状态：

·强制未授权 — 此选项将所选接口移至未授权状态。在此状态下，交换机不向连接到接口的客户端提供身份验证。

· Auto — 此选项在所选接口上启用身份验证和授权。在此状态下，交换机向连接到接口的客户端提供802.1X身份验证，并根据与客户端的身份验证信息交换确定客户端是否经过身份验证，并将接口移至Authorized或Unauthorized状态。

· Force Authorized — 此选项将接口设置为Authorized，无需客户端身份验证。

步骤5.（可选）在Guest VLAN字段中，选中Enable复选框以使用访客VLAN作为未授权端口。

第六步：在Authentication Method字段中，点击其中一个可用的单选按钮对端口进行身份验证。选项有：

·仅802.1X — 端口上仅执行802.1X身份验证。

·仅MAC — 仅对端口执行基于MAC的身份验证。在一个端口上只能执行8个基于MAC的身份验证。

· 802.1X和MAC — 两种身份验证方法在端口上执行。

步骤 7.在Periodic Reauthentication字段中，选中Enable复选框以根据Reauthentication Period值启用端口的定期身份验证。

步骤 8在Reauthentication Period字段中，输入重新验证端口的时间（以秒为单位）。

步骤 9选中Reauthenticate Now复选框以立即重新验证端口。

注：身份验证器状态字段显示身份验证的当前状态。

步骤10.（可选）如果在交换机上启用基于端口的身份验证，则时间范围和时间范围名称字段将启用。在时间范围(Time Range)字段中，输入端口在启用802.1X授权的情况下有权使用的时间（以秒为单位）。在Time Range Name下拉列表中，选择标识时间范围的配置文件。

步骤 11在Quiet Period字段中，输入身份验证交换失败后交换机保持正常状态的时间。当交换机处于静默状态时，这意味着交换机没有侦听来自客户端的新身份验证请求。

步骤 12在Resending EAP(Extensible Authentication Protocol)字段中，输入交换机在重新发送请求之前等待请求方响应消息的时间。

步骤 13在Max EAP Requests字段中，输入可发送的EAP请求的最大数量。EAP是802.1X中使用的身份验证方法，提供交换机和客户端之间的身份验证信息交换。在这种情况下，EAP请求将发送到客户端进行身份验证。然后，客户端必须响应并匹配身份验证信息。如果客户端未响应，则根据重新发送EAP值设置另一个EAP请求，并重新启动身份验证过程。

步骤 14在Supplicant Ant Timeout字段中，输入将EAP请求重新发送到请求方的时间。

步骤 15在Server Timeout字段中，输入交换机再次向RADIUS服务器发送请求之前经过的时间。

Termination Cause字段显示端口身份验证失败的原因。

步骤 16单击确定保存所进行的配置。