思科200/300系列託管交換機上的802.1X埠身份驗證配置

下載選項

PDF (1.0 MB)
在多種裝置上使用 Adobe Reader 檢視
ePub (884.0 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
Mobi (Kindle) (287.9 KB)
在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視

已更新: 2018 年 11 月 29 日

文件 ID:SMB988

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的，無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言，或引用第三方產品的語言，因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件，讓全世界的使用者能夠以自己的語言理解支援內容。請注意，即使是最佳機器翻譯，也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責，並建議一律查看原始英文文件（提供連結）。

思科200/300系列託管交換機上的802.1X埠身份驗證配置

目標

本文的目標是說明200/300系列託管交換機上的801.1X埠身份驗證。802.1X埠身份驗證支援為每個埠配置802.1X引數。請求身份驗證的連線埠稱為請求方。身份驗證器是交換機或接入點，充當請求者的網路防護。驗證器將驗證訊息轉送到RADIUS伺服器，以便連線埠可以驗證且可以傳送和接收資訊。

適用裝置

· SF/SG 200和SF/SG 300系列託管交換器

軟體版本

•1.3.0.62

連線埠驗證組態

步驟 1.登入到Web配置實用程式，然後選擇Security > 802.1x > Port Authentication。Port Authentication頁面隨即開啟：

步驟 2.按一下與您想要編輯的連線埠對應的單選按鈕。

步驟 3.按一下「Edit」。出現Edit Port Authentication視窗。

User Name欄位顯示埠的使用者名稱。

註：Current Port Control欄位顯示當前埠狀態。如果連線埠處於「Unauthorized」狀態，則表示連線埠未通過驗證或管理連線埠控制設定為「Force Unauthorized」。另一方面，如果埠處於「已授權」狀態，則表示埠已經過身份驗證，或者管理埠控制設定為「強制授權」。

步驟 4.在Administrative Port Control欄位中，按一下其中一個可用單選按鈕以確定埠授權狀態：

·強制未授權 — 此選項將所選介面移動到「未授權」狀態。在此狀態下，交換機不為連線到介面的客戶端提供身份驗證。

·自動 — 此選項在所選介面上啟用身份驗證和授權。在此狀態下，交換機向連線到介面的客戶端提供802.1X身份驗證，並基於與客戶端交換的身份驗證資訊確定客戶端是否經過身份驗證，並將介面移至Authorized或Unauthorized狀態。

·強制授權 — 此選項將介面設定為未經客戶端身份驗證的授權。

步驟5.（可選）在Guest VLAN欄位中，勾選Enable覈取方塊以將訪客VLAN用於未授權連線埠。

步驟 6.在Authentication Method欄位中，按一下其中一個可用的單選按鈕對埠進行身份驗證。選項包括：

·僅802.1X — 埠上僅執行802.1X身份驗證。

·僅MAC — 僅對埠執行基於MAC的身份驗證。在一個埠上只能執行8個基於MAC的身份驗證。

· 802.1X和MAC — 兩種身份驗證方法均在埠上執行。

步驟 7.在Periodic Reauthentication欄位中，選中Enable覈取方塊以根據Reauthentication Period值啟用埠的定期身份驗證。

步驟 8.在Reauthentication Period欄位中，輸入重新驗證埠的時間（以秒為單位）。

步驟 9.勾選「Reauthenticate Now」覈取方塊可立即重新驗證連線埠。

注意: Authenticator State欄位顯示身份驗證的當前狀態。

步驟10。（可選）如果在交換器上啟用連線埠型驗證，則時間範圍及時間範圍名稱欄位會啟用。在「時間範圍」欄位中，輸入啟用802.1X授權後連線埠獲得授權使用的時間（以秒為單位）。在「時間範圍名稱」下拉選單中，選擇標識時間範圍的配置檔案。

步驟 11.在Quiet Period欄位中，輸入身份驗證交換失敗後交換機保持正常狀態的時間。當交換機處於安靜狀態時，這意味著交換機沒有偵聽來自客戶端的新身份驗證請求。

步驟 12.在Resending EAP(Extensible Authentication Protocol)欄位中，輸入交換機在重新傳送請求之前等待請求方響應消息的時間。

步驟 13.在Max EAP Requests欄位中，輸入可傳送的最大EAP請求數。EAP是在802.1X中使用的一種身份驗證方法，它提供交換機和客戶端之間的身份驗證資訊交換。在這種情況下，會將EAP請求傳送到客戶端進行身份驗證。然後，客戶端必須響應並匹配身份驗證資訊。如果客戶端未響應，則根據重新傳送EAP值設定另一個EAP請求，並重新啟動身份驗證過程。

步驟 14.在Supplicant Timeout欄位中，輸入將EAP請求重新傳送到請求方的時間。

步驟 15.在「Server Timeout」欄位中，輸入交換器再次向RADIUS伺服器傳送要求之前經過的時間。

Termination Cause欄位顯示埠身份驗證失敗的原因。

步驟 16.按一下「Apply」以儲存組態。