网站主页   操作系统    网络工程    服务器    网页制作    数据库    程序开发    网络安全    办公软件   
讲座日期: 本周六下午1点30分 抢座
讲座地点: 北大青鸟马甸校区
主讲老师: 王老师 金牌讲师
讲座主题: 网络安全
讲座内容: 检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
订座电话: 010-82011432/33
  您当前位置:主页 > 网络学院 > 网络工程 > 路由器 >

在cisco路由器上配置802.1x认证




  Note:先看看AAA,在这里要用到AAA的内容,有时间的时候我整理一下AAA发上来。

  要使用基于端口的认证,则交换机和用户PC都要支持802.1x标准,使用局域网上的可扩展认证协议(EAPOL),802.1x EAPOL是二层协议,如果交换机端口上配置了802.1x,那么当在端口上检测到设备后,该端口首先处于未认证状态,端口将不转发任何流量(除了CDP,STP和EAPOL),此时客户PC只能使用EAPOL协议与交换机通信,我们需要再客户PC上安装支持802.1x的应用程序(windows支持802.1x),一旦用户通过认证则该端口开始转发数据流。用户注销时交换机端口将返回未认证状态;或者当客户长时间没有数据流量时,会因超时停止认证状态,需要用户重新认证。

  再交换机上配置802.1x需要用到RADIUS服务器,在这里注意一下,AAA可以用RADIUS和TACACS+实现,但802.1x只支持RADIUS认证。

  来看一下配置:

  (config)#aaa new-model '启动AAA。

  (config)#radius-server host 192.168.1.100 key netdigedu '配置RADIUS服务器地址及密钥。

  (config)#aaa authentication dot1x default group radius '配置802.1x默认认证方法为RADIUS。

  (config)#dot1x system-auth-control '在交换机上全局启用802.1x认证。

  (config)#int fa0/24

  (config-if)#switchport mode access

  (config-if)#dot1x port-control auto '设置接口的802.1x状态。

  这个命令一定要注意;

  状态有三种:

  force-authorized:端口始终处于认证状态并转发流量,这个是默认状态。

  force-unauthorized:端口始终处于未认证状态并不能转发流量。

  auto:端口通过使用802.1x与客户端交换消息在认证和未认证状态间切换。这个是我们需要的,所以dot1x port-control 命令后一定要用auto。

  (config-if)#dot1x host-mode multi-host '交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。

  #show dot1x all '查看802.1x配置。


上一篇:CISCO路由器WAN配置实例  
下一篇:在路由器上配置自反访问控制列表
相关信息:

·北大青鸟华腾教育 Cisco路由器基础命令总结 ·CISCO路由器教程之初始安装
·Cisco路由器IP协议配置的基本原则 ·Cisco路由器基于协议及MAC的流量分析之Netflow
·在cisco路由器上配置802.1x认证 ·CISCO路由器WAN配置实例
·CISCO路由器教程之初始安装 ·Cisco路由器常见故障分类及解决办法
·Cisco路由器端口故障的解决办法 ·Cisco路由器密码遗忘的解决办法

Copyright © 2004-2015 北大青鸟马甸校区 北京北方华腾技术培训中心 版权所有
学校地址:北三环中路马甸桥东北角商房大厦(国美电器)626
招生热线:010-82011433/32 京公网安备110102004704  京ICP备05043413号 京公网安备110102004704