思科200/300系列托管交换机上的802.1X端口身份验证配置

下载选项

PDF (848.6 KB)
在各种设备上使用 Adobe Reader 查看
ePub (842.9 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (288.3 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2018 年 11 月 29 日

文档 ID:SMB988

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

思科200/300系列托管交换机上的802.1X端口身份验证配置

目标

本文档的目的是解释200/300系列托管交换机上的801.1X端口身份验证。802.1X端口身份验证可为每个端口配置802.1X参数。请求身份验证的端口称为请求方。身份验证器是充当请求方网络防护的交换机或接入点。身份验证器将身份验证消息转发到RADIUS服务器，以便端口可以进行身份验证并发送和接收信息。

适用设备

· SF/SG 200和SF/SG 300系列托管交换机

软件版本

•1.3.0.62

端口身份验证配置

步骤1.登录Web配置实用程序，然后选择Security > 802.1x > Port Authentication。将打开“端口身份验证”页：

步骤2.点击与要编辑的端口对应的单选按钮。

步骤3.单击“编辑”。系统将显示Edit Port Authentication窗口。

“用户名”字段显示端口的用户名。

注意：当前端口控制字段显示当前端口状态。如果端口处于未授权状态，则表示端口未通过身份验证或管理端口控制设置为强制未授权。另一方面，如果端口处于“授权”状态，则意味着端口已通过身份验证或管理端口控制设置为“强制授权”。

步骤4.在Administrative Port Control（管理端口控制）字段中，单击其中一个可用单选按钮以确定端口授权状态：

·强制未授权 — 此选项将所选接口移至未授权状态。在此状态下，交换机不向连接到接口的客户端提供身份验证。

·自动 — 此选项在所选接口上启用身份验证和授权。在此状态下，交换机向连接到接口的客户端提供802.1X身份验证，并根据与客户端交换的身份验证信息确定客户端是否经过身份验证，并将接口移至“授权”或“未授权”状态。

·强制授权 — 此选项将接口设置为授权，不进行客户端身份验证。

第5步。（可选）在Guest VLAN字段中，选中Enable复选框以对未授权端口使用访客VLAN。

步骤6.在Authentication Method字段中，单击其中一个可用单选按钮对端口进行身份验证。选项有：

·仅802.1X — 仅对端口执行802.1X身份验证。

·仅MAC — 仅对端口执行基于MAC的身份验证。在单个端口上只能执行8个基于MAC的身份验证。

· 802.1X和MAC — 两种身份验证方法都在端口上执行。

步骤7.在Periodic Reauthentication字段中，选中Enable复选框，以根据Reauthentication Period值启用端口的定期身份验证。

步骤8.在Reauthentication Period字段中，输入重新验证端口的时间（以秒为单位）。

步骤9.选中Reauthenticate Now复选框，立即对端口进行重新身份验证。

注意：身份验证器状态字段显示身份验证的当前状态。

步骤10.（可选）如果交换机上启用了基于端口的身份验证，则Time Range和Time Range Name字段将启用。在Time Range字段中，输入端口在启用802.1X授权时被授权使用的时间（以秒为单位）。在时间范围名称下拉列表中，选择标识时间范围的配置文件。

步骤11.在Quiet Period字段中，输入身份验证交换失败后交换机保持完全状态的时间。当交换机处于静默状态时，这意味着交换机未侦听来自客户端的新身份验证请求。

步骤12.在Resending EAP(Extensible Authentication Protocol)字段中，输入交换机在重新发送请求之前等待请求方发送响应消息的时间。

步骤13.在Max EAP Requests字段中，输入可发送的EAP请求的最大数量。EAP是802.1X中使用的一种身份验证方法，用于在交换机和客户端之间交换身份验证信息。在这种情况下，EAP请求将发送到客户端进行身份验证。然后，客户端必须响应并匹配身份验证信息。如果客户端未响应，则根据Resending EAP值设置另一个EAP请求，然后重新启动身份验证过程。

步骤14.在Supplicant Timeout字段中，输入将EAP请求重新发送给请求方之前的时间。

步骤15.在Server Timeout字段中，输入交换机再次向RADIUS服务器发送请求之前经过的时间。

Termination Cause字段显示端口身份验证失败的原因。

步骤16.单击“应用”保存配置。