MyPower 交换机操作手册 - 09 - 安全功能操作(6)

2.接入控制单元的属性配置 1) 配置端口的授权状态 命令 端口配置模式 dot1x horized } no dot1x port-control 2) 配置端口的接入控制方式 命令 端口配置模式 dot1x port-method {macbased 解释 | 设置端口的接入控制方式；本命令的no操作用来恢复基于MAC地址的接入控制方式。 macbased 设置指定端口最多允许接入的用户数；本命令的no操作为恢复缺省的最多允许1个用户。 port-control 设置端口的802.1x授权状态，本命令的no操作用来恢复缺省配置。 解释 {auto|force-authorized|force-unautportbased} no dot1x port-method dot1x no dot1x max-user macbased 3) 配置交换机802.1x的扩展功能 命令 全局配置模式 dot1x macfilter enable no dot1x macfilter enable dot1x accept-mac max-user 解释 打开交换机802.1x的地址过滤功能；本命令的no操作为关闭802.1x的地址过滤功能。 添加802.1x的地址过滤表的表项；本命令的no操作为删除802.1x的地址过滤表的表项。 打开交换机EAP中继的认证方式；本命令的no 操作为采用EAP本地终结的认证方式。 [interface ] no dot1x accept-mac [interface ] dot1x eapor enable no dot1x eapor enable

3. 与Supplicant (用户接入设备)相关的属性配置 命令 全局配置模式 解释 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

25

设置交换机在没有收到supplicant回应而dot1x max-req no dot1x max-req dot1x re-authentication no dot1x re-authentication no dot1x timeout quiet-period dot1x timeout re-authperiod no dot1x timeout re-authperiod dot1x timeout tx-period no dot1x timeout tx-period 特权配置模式 dot1x

4.与Authentication Server（RADIUS服务器）相关的属性配置 1) 配置RADIUS认证密钥 命令 全局配置模式 radius-server key no radius-server key 2) 配置RADIUS Server 命令 全局配置模式 radius-server authentication host [[port 配置RADIUS认证服务器的IP或者IPv6地址和监听端口号；本命令的no操作为删解释 解释 设置RADIUS服务器的密钥；本命令的no操作为删除RADIUS服务器的密钥。 re-authenticate 重新启动认证前，发送EAP-request/MD5帧的最大次数；本命令的no操作用来恢复缺省值。 设置允许对supplicant进行周期性重认证；本命令的no操作用来关闭该功能。 间；本命令的no操作用来恢复缺省值。 设置交换机对supplicant重新认证的时间间隔；本命令的no操作用来恢复缺省值。 设置交换机对supplicant重发dot1x timeout quiet-period 设置在端口认证失败后保持静默状态的时EAP-request/identity帧的时间间隔；本命令的no操作用来恢复缺省值。 [interface 设置对所有端口或某个指定端口进行802.1x重认证（不须等待超时）。 ] {|} {}] [primary]] no radius-server authentication host 除RADIUS认证服务器。 版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利 26

radius-server accounting host [[port 配置RADIUS计费服务器的IP或者IPv6地址和监听端口号；本命令的no操作为删{|} {}] [primary]] 3) 配置RADIUS服务参数 命令 全局配置模式 radius-server dead-time no radius-server dead-time radius-server retransmit no radius-server retransmit radius-server timeout no radius-server timeout 解释 配置RADIUS服务器down机后的恢复时间；本命令的no操作为恢复缺省配置。 配置RADIUS重传次数；本命令的no操作为恢复缺省配置。 配置RADIUS服务器的超时定时器；本命令的no操作为恢复缺省配置。 no radius-server accounting host 除RADIUS计费服务器。 2.3 802.1x应用举例

10.1.1.210.1.1.1Radius Server10.1.1.3

图 2-2 IEEE802.1x配置举例拓扑图

计算机连接到交换机的端口1/2上，端口1/2开启IEEE802.1x认证功能，接入方式采用缺省的基于MAC地址认证方式。交换机的IP地址设置为10.1.1.2，并将除端口1/2以外的任意一个端口与RADIUS认证服务器相连接，RADIUS认证服务器的IP地址设置为10.1.1.3，认证、计费端口为缺省端口1812和端口1813。计算机上安装IEEE802.1x认证客户端软件，并通过使用此软件来实现IEEE802.1x认证。 配置步骤如下：

Switch(Config)#interface vlan 1

Switch(Config-if-vlan1)#ip address 10.1.1.2 255.255.255.0

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

27

Switch(Config-if-vlan1)#exit

Switch(Config)#radius-server authentication host 10.1.1.3 Switch(Config)#radius-server accounting host 10.1.1.3 Switch(Config)#radius-server key test Switch(Config)#aaa enable

Switch(Config)#aaa-accounting enable Switch(Config)#dot1x enable Switch(Config)#interface ethernet 1/2 Switch(Config-Ethernet1/2)#dot1x enable

Switch(Config-Ethernet1/2)#dot1x port-control auto Switch(Config-Ethernet1/2)#exit

2.4 802.1x排错帮助

用户在使用802.1x时，通常会遇到端口无法配置802.1x；或者802.1x认证状态为auto，用户运行802.1x的supplicant软件后，端口仍不能改变为认证通过状态的情况。可能的原因及解决建议如下：

? 如果出现端口无法配置802.1x的情况，请检查交换机的认证端口是否运行了

Spanning-tree，或者端口mac绑定，或者端口已经配置为Trunk端口、聚合端口。如果要打开端口的802.1x认证功能，则必须关闭该端口下的上述功能。

? 如果交换机配置正确，但认证仍无法通过，请检查交换机与RADIUS服务器，交换机

与802.1x客户机之间是否相互连通；检查交换机端口VLAN的配置。

? 通过查看RADIUS服务器的事件日志，判断问题的起因。在事件日志中对登录不成功

的不仅有记录还有不成功原因的提示。如事件日志显示authenticator的登录口令不对，则修改radius-server key参数；如果事件日志中显示没有该authenticator，则需在RADIUS服务器中增加该authenticator；如事件日志中提示没有该登录用户，说明用户的登录名和口令有误，输入正确的用户名和口令。

因为过于频繁的对RADIUS的数据进行操作，如频繁调用show aaa的几个命令， RADIUS数据的共享可能导致用户无法通过认证，建议尽量少对RADIUS的数据进行操作；如果用户在使用中还遇到了重认证时被强制下线，也可能是因为过于频繁的使用RADIUS数据而导致在线用户重认证时得不到配置数据而认证超时，从而导致在线用户被强制下线。因此如果有用户正在进行上线认证请求时，或者有在线用户进行重认证时，建议尽量少对RADIUS数据进行操作。

版权所有?2007，迈普（四川）通信技术有限公司，保留所有权利

28