S21交换机 802.1x认证配置方法
锐捷网络远程技术支持中心 技术热线:4008-111-000
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
802.1x 的配置注意事项
1)只有支持802.1x 的产品,才能进行以下设置。 2)802.1x 既可以在二层下又可以在三层下的设备运行。 3)要先设置认证服务器的IP 地址,才能打开1X 认证。 4)打开端口安全的端口不允许打开1X 认证。 5)Aggregate Port 不允许打开1X 认证。 802.1x 的默认配置
下表列出 802.1x 的一些缺省值 认证Authentication 记帐Accounting 认证服务器(Radius Server) *服务器IP 地址(ServerIp) *认证UDP 端口 *密码(Key) 记帐服务器(Accounting Server) *记帐服务器IP 地址 *记帐UDP 端口 所有端口的类型 定时重认证re-authentication 定时重认证周期reauth_period 认证失败后允许再次认证的间隔 重传时间间隔 最大重传次数 客户端超时时间 服务器超时时间 某端口下可认证主机列表
关闭DISABLE 关闭DISABLE *无缺省值 *1812 *无缺省值 *无缺省值 1813 非受控端口(所有端口均无须认证便可 直接通讯 打开 3600 秒 5 30 秒 2 次 30 秒,在该段时间内没有收到客户端的 响应便认为这次通讯失败 30 秒,在该段时间内没有收到服务器的 回应,便认为这次通讯失败 无缺省值 福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
设置802.1X 认证的开关
当打开802.1x 认证时,交换机会主动要求受控端口上的主机进行认证,认证不过的主机不允许访问网络。
例:设置Server Ip 为192.1.1.1、认证Udp 端口为600、以明文方式设置约定密码: Switch#configure terminal
Switch(config)#radius-server host 192.1.1.1 Switch(config)#radius-server auth-port 600
Switch(config)#radius-server key MsdadShaAdasdj878dajL6g6ga Switch(config)#end 打开/关闭一个端口的认证
在802.1x 打开的情形下,打开一个端口的认证,则该端口成为受控口,连接在该端口下的用户要通过认证才能访问网络,然而,在非受控端口下的用户可以直接访问网络。
例:设置以太网接口1/1为受控接口: Switch#configure terminal Switch(config)#interface f 1/1
Switch(config-if)#dot1x port-control auto !打开接口的认证功能 Switch(config)#end
Switch(config-if)#no dot1x port-control auto !关闭接口的认证功能。 设置802.1X 认证的开关
Switch#configure terminal
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
Switch(config)#aaa authentication dot1x !打开802.1x认证 Switch(config)#end
Switch(config)#no aaa authentication dot1x !关闭802.1x认证 打开定时重认证
802.1x 能定时主动要求用户重新认证,这样可以防止已通过认证的用户不再使用后被其他用户冒用,还可以检测用户是否断线,使记费更准确。除了可以设定重认证的开关,我们还可以定义重认证的间隔。默认的重认证间隔是3600 秒。在根据时长进行记费的场合下,要根据具体的网络规模确定重认证间隔,使之既有足够时间完成一次认证又尽可能精确。
Switch#configure terminal
Switch(config)#dot1x re-authentication !打开重认证
Switch(config)#dot1x timeout re-authperiod 1000 !设置重认证时间间隔为1000秒 Switch(config)#end
Switch(config)#no dot1x re-authentication !关闭重认证
打开/关闭过滤非我司supplicant 功能的开关
当选用我司的supplicant 产品作为802.1x 认证的客户端时,如果用户同时也使用了其它的一些802.1x 认证客户端(比如打开了WindowsXP 自带的802.1x 认证功能选
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
项),则有可能会使认证失败。这时可以通过打开本功能,将非我司supplicant 发出的802.1x 报文过滤掉,来保证supplicant 的认证不受其它802.1x 客户端的影响。默认情况下,该功能是打开的。
Switch#configure terminal
Switch(config)# dot1x filter-nonRG-su enable !打开过滤功能
Switch(config)#end
Switch(config)# no dot1x filter-nonRG-su enable !使用命令关闭功能
改变QUIET 时间
当用户认证失败时,交换机将等待一段时间后,才允许用户再次认证。Quiet Period 的时间长度便是允许再认证间隔。该值的作用是避免交换机受恶意攻击。Quiet Period 的默认间隔为5 秒,我们可以通过设定较短的Quiet Period 使用户可以更快地进行再认证。
Switch#configure terminal
Switch(config)#dot1x timeout quiet-period 500 ! 设置QuietPeriod 值500 秒 Switch(config)#end
Switch(config)#no dot1x timeout quiet-period ! 将Quiet Period 恢复为缺省值
设置报文重传间隔
交换机发EAP-request/identity之后,若在一定的时间内没有收到用户的回应,交换机将重传这个报文。该值的默认值为30秒,要根据具体的网络规模进行调整。
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn