本文的目標是說明200/300系列託管交換機上的801.1X埠身份驗證。802.1X埠身份驗證支援為每個埠配置802.1X引數。請求身份驗證的連線埠稱為請求方。身份驗證器是交換機或接入點,充當請求者的網路防護。驗證器將驗證訊息轉送到RADIUS伺服器,以便連線埠可以驗證且可以傳送和接收資訊。
· SF/SG 200和SF/SG 300系列託管交換器
•1.3.0.62
步驟 1.登入到Web配置實用程式,然後選擇Security > 802.1x > Port Authentication。Port Authentication頁面隨即開啟:
步驟 2.按一下與您想要編輯的連線埠對應的單選按鈕。
步驟 3.按一下「Edit」。出現Edit Port Authentication視窗。
User Name欄位顯示埠的使用者名稱。
註:Current Port Control欄位顯示當前埠狀態。如果連線埠處於「Unauthorized」狀態,則表示連線埠未通過驗證或管理連線埠控制設定為「Force Unauthorized」。另一方面,如果埠處於「已授權」狀態,則表示埠已經過身份驗證,或者管理埠控制設定為「強制授權」。
步驟 4.在Administrative Port Control欄位中,按一下其中一個可用單選按鈕以確定埠授權狀態:
·強制未授權 — 此選項將所選介面移動到「未授權」狀態。在此狀態下,交換機不為連線到介面的客戶端提供身份驗證。
·自動 — 此選項在所選介面上啟用身份驗證和授權。在此狀態下,交換機向連線到介面的客戶端提供802.1X身份驗證,並基於與客戶端交換的身份驗證資訊確定客戶端是否經過身份驗證,並將介面移至Authorized或Unauthorized狀態。
·強制授權 — 此選項將介面設定為未經客戶端身份驗證的授權。
步驟5.(可選)在Guest VLAN欄位中,勾選Enable覈取方塊以將訪客VLAN用於未授權連線埠。
步驟 6.在Authentication Method欄位中,按一下其中一個可用的單選按鈕對埠進行身份驗證。選項包括:
·僅802.1X — 埠上僅執行802.1X身份驗證。
·僅MAC — 僅對埠執行基於MAC的身份驗證。在一個埠上只能執行8個基於MAC的身份驗證。
· 802.1X和MAC — 兩種身份驗證方法均在埠上執行。
步驟 7.在Periodic Reauthentication欄位中,選中Enable覈取方塊以根據Reauthentication Period值啟用埠的定期身份驗證。
步驟 8.在Reauthentication Period欄位中,輸入重新驗證埠的時間(以秒為單位)。
步驟 9.勾選「Reauthenticate Now」覈取方塊可立即重新驗證連線埠。
注意: Authenticator State欄位顯示身份驗證的當前狀態。
步驟10。(可選)如果在交換器上啟用連線埠型驗證,則時間範圍及時間範圍名稱欄位會啟用。在「時間範圍」欄位中,輸入啟用802.1X授權後連線埠獲得授權使用的時間(以秒為單位)。在「時間範圍名稱」下拉選單中,選擇標識時間範圍的配置檔案。
步驟 11.在Quiet Period欄位中,輸入身份驗證交換失敗後交換機保持正常狀態的時間。當交換機處於安靜狀態時,這意味著交換機沒有偵聽來自客戶端的新身份驗證請求。
步驟 12.在Resending EAP(Extensible Authentication Protocol)欄位中,輸入交換機在重新傳送請求之前等待請求方響應消息的時間。
步驟 13.在Max EAP Requests欄位中,輸入可傳送的最大EAP請求數。EAP是在802.1X中使用的一種身份驗證方法,它提供交換機和客戶端之間的身份驗證資訊交換。在這種情況下,會將EAP請求傳送到客戶端進行身份驗證。然後,客戶端必須響應並匹配身份驗證資訊。如果客戶端未響應,則根據重新傳送EAP值設定另一個EAP請求,並重新啟動身份驗證過程。
步驟 14.在Supplicant Timeout欄位中,輸入將EAP請求重新傳送到請求方的時間。
步驟 15.在「Server Timeout」欄位中,輸入交換器再次向RADIUS伺服器傳送要求之前經過的時間。
Termination Cause欄位顯示埠身份驗證失敗的原因。
步驟 16.按一下「Apply」以儲存組態。
本節介紹如何將連線埠的802.1X驗證組態套用到多個連線埠。
步驟 1.登入到Web配置實用程式,然後選擇Security > 802.1x > Port Authentication。Port Authentication頁面隨即開啟:
步驟 2.按一下要向多個介面應用身份驗證配置的介面的單選按鈕。
步驟 3.按一下「Copy Settings」。出現「Copy Settings」視窗。
步驟 4.在to欄位中,輸入要應用步驟2中所選介面配置的介面範圍。您可以使用介面編號或介面名稱作為輸入。可以輸入以逗號分隔的每個介面(例如:1、3、5或GE1、GE3、GE5),也可以輸入介面範圍(例如:1-5或GE1-GE5)。
步驟 5.按一下「Apply」以儲存組態。
下圖說明設定之後的變更。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
10-Dec-2018 |
初始版本 |