本文档的目标是解释200/300系列管理型交换机上的801.1X端口身份验证。802.1X端口身份验证支持为每个端口配置802.1X参数。请求身份验证的端口称为请求方。身份验证器是充当请求方网络防护的交换机或接入点。身份验证器将身份验证消息转发到RADIUS服务器,以便端口可以进行身份验证并可以发送和接收信息。
· SF/SG 200和SF/SG 300系列托管交换机
•1.3.0.62
步骤1:登录到Web配置实用程序并选择Security > 802.1x > Port Authentication。系统将打开Port Authentication页面:
第二步:点击与要编辑的端口对应的单选按钮。
第三步:单击 Edit。系统将显示Edit Port Authentication窗口。
用户名字段显示端口的用户名。
注:当前端口控制字段显示当前端口状态。如果端口处于Unauthorized状态,则意味着该端口未通过身份验证,或者管理端口控制设置为Force Unauthorized。另一方面,如果端口处于Authorized状态,则意味着该端口已通过身份验证或者管理端口控制设置为Force authorized。
第四步:在管理端口控制(Administrative Port Control)字段中,点击其中一个可用的单选按钮以确定端口授权状态:
·强制未授权 — 此选项将所选接口移至未授权状态。在此状态下,交换机不向连接到接口的客户端提供身份验证。
· Auto — 此选项在所选接口上启用身份验证和授权。在此状态下,交换机向连接到接口的客户端提供802.1X身份验证,并根据与客户端的身份验证信息交换确定客户端是否经过身份验证,并将接口移至Authorized或Unauthorized状态。
· Force Authorized — 此选项将接口设置为Authorized,无需客户端身份验证。
步骤5.(可选)在Guest VLAN字段中,选中Enable复选框以使用访客VLAN作为未授权端口。
第六步:在Authentication Method字段中,点击其中一个可用的单选按钮对端口进行身份验证。选项有:
·仅802.1X — 端口上仅执行802.1X身份验证。
·仅MAC — 仅对端口执行基于MAC的身份验证。在一个端口上只能执行8个基于MAC的身份验证。
· 802.1X和MAC — 两种身份验证方法在端口上执行。
步骤 7.在Periodic Reauthentication字段中,选中Enable复选框以根据Reauthentication Period值启用端口的定期身份验证。
步骤 8在Reauthentication Period字段中,输入重新验证端口的时间(以秒为单位)。
步骤 9选中Reauthenticate Now复选框以立即重新验证端口。
注:身份验证器状态字段显示身份验证的当前状态。
步骤10.(可选)如果在交换机上启用基于端口的身份验证,则时间范围和时间范围名称字段将启用。在时间范围(Time Range)字段中,输入端口在启用802.1X授权的情况下有权使用的时间(以秒为单位)。在Time Range Name下拉列表中,选择标识时间范围的配置文件。
步骤 11在Quiet Period字段中,输入身份验证交换失败后交换机保持正常状态的时间。当交换机处于静默状态时,这意味着交换机没有侦听来自客户端的新身份验证请求。
步骤 12在Resending EAP(Extensible Authentication Protocol)字段中,输入交换机在重新发送请求之前等待请求方响应消息的时间。
步骤 13在Max EAP Requests字段中,输入可发送的EAP请求的最大数量。EAP是802.1X中使用的身份验证方法,提供交换机和客户端之间的身份验证信息交换。在这种情况下,EAP请求将发送到客户端进行身份验证。然后,客户端必须响应并匹配身份验证信息。如果客户端未响应,则根据重新发送EAP值设置另一个EAP请求,并重新启动身份验证过程。
步骤 14在Supplicant Ant Timeout字段中,输入将EAP请求重新发送到请求方的时间。
步骤 15在Server Timeout字段中,输入交换机再次向RADIUS服务器发送请求之前经过的时间。
Termination Cause字段显示端口身份验证失败的原因。
步骤 16单击确定保存所进行的配置。
本节介绍如何将端口的802.1X身份验证配置应用到多个端口。
步骤1:登录到Web配置实用程序并选择Security > 802.1x > Port Authentication。系统将打开Port Authentication页面:
第二步:点击要向多个接口应用身份验证配置的接口的单选按钮。
第三步:单击Copy Settings。出现复制设置窗口。
第四步:在to字段中,输入要应用步骤2中选择的接口配置的接口范围。您可以使用接口编号或接口名称作为输入。可以输入以逗号分隔的每个接口(例如:1、3、5或GE1、GE3、GE5),也可以输入接口范围(例如:1-5或GE1-GE5)。
第五步:单击确定保存所进行的配置。
下图描述了配置后的更改。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
10-Dec-2018 |
初始版本 |