Switch#configure terminal
Switch(config)#dot1x timeout tx-period 100 ! 设置报文重传间隔为100 秒 Switch(config)#end
Switch(config)#no dot1x timeout tx-period ! 将报文重传间隔恢复为缺省值 设置最大请求次数
交换机朝RadiusServer 发出认证请求后,若在ServerTimeout 时间内没收到Radius Server 的回应,将重传该报文。最大请求次数指的是交换机重传请求的最大数,超过该次数交换机将认为本次认证失败。默认的重传次数为2 次,我们要根据具体的网络环境进行调整。
Switch#configure terminal Switch(config)#dot1x max-req 5 ! 设置报文重传次数为5 次 Switch(config)#end
Switch(config)#no dot1x max-req ! 将报文重传次数恢复为缺省值 设置最大重认证次数
当用户认证失败后,交换机会尝试几次与用户的认证。在认证次数超过最大重认证次数之后,交换机就认为这个用户已经断线,结束认证过程。系统默认的次数是2 次,我们可以重新设置这个值。 Switch#configure terminal
Switch(config)#dot1x reauth-max 3
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
! 设置最大重认证次数为3 次 Switch(config)#end
Switch(config)#no dot1x reauth-max ! 将最大重认证次数恢复为缺省值 设置记帐更新时间间隔
当用户打开记帐更新功能后,交换机会根据用户配置的时间间隔周期性的发送记帐更新信息,在几个周期内没有收到记帐信息,服务器会认为该用户已经断线,结束记帐服务。系统默认的更新时间间隔是600 秒,我们可以重新设置这个值,该值的范围是60—65535 秒。
Switch#configure terminal
Switch(config)#dot1x accout-update-interval 1000 ! 设置记帐更新时间间隔为1000 秒 Switch(config)#end
Switch(config)#no dot1x accout-update-interval ! 将记帐更新时间间隔恢复为缺省值 设置Server-timeout
该值指的是Radius Server 的最大响应时间,若在该时间内,交换机没有收到Radius Server 的响应,将认为本次认证失败。 命令含义
1 步骤configure terminal 进入全局配置模式。 2 步骤dot1x timeout server-timeout seconds
!设置Radius Server最大响应时间,使用no命令的选项将其恢复为缺省值 3 步骤End 退回到特权模式
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
打开/关闭交换机主动发起认证的开关
当该功能关闭时,交换机只在复位和认证端口状态改变的时候发起一次认证请求,这是为了保证在线用户能够继续认证使用网络,其它任何时候交换机都不会主动发起认证请求。当该功能打开后, 用户可以配置主动发起认证请求的次数、发送认证请求的间隔、用户认证通过后是否要停止发送请求等附属功能。 1 步骤configure terminal 进入全局配置模式。 2 步骤dot1x auto-req
!打开主动认证功能。该功能缺省认情况下是关闭的,使用no命令可以关闭次功能。 3 步骤end 退回到特权模式。 设置交换机主动发起认证请求的次数
用户可以设置交换机主动发起认证请求的次数,这个值可根据实际的网络环境设定。 1 步骤configure terminal 进入全局配置模式。 2 步骤dot1x auto-req packet-num num
!交换机主动发送num个802.1x 认证请求报文,如果num 为0,则交换机将持续地发送 该报文。缺省值是0(无限个)。 3 步骤end 退回到特权模式 设置报文发送间隔
1 步骤configure terminal 进入全局配置模式。 2 步骤dot1x auto-req req-interval interval !设置报文发送间隔,缺省值是30s。 3 步骤end 退回到特权模式
设置在发现用户通过认证后是否停止发送请求报文
在某些应用需求下(比如一个端口下面只接一个用户),我们可以指定交换机在发现用户认证通过后,停止向对应端口发送认证请求,如果用户下线,则继续发送。
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
1 步骤configure terminal 进入全局配置模式。 2 步骤dot1x auto-req user-detect
!收到响应报文后停止发送报文。该功能缺省打开。 3 步骤end 退回到特权模式。 把所有的参数设置成默认值
把802.1x 的所有参数设置成默认值,设置后的结果见802。1X 的默认值。 Switch#configure terminal Switch(config)#dot1x default Switch(config)#end 配置802。1x记账功能
要打开交换机的记帐工作需对交换机做如下的设置:
1、在Radius Server 注册这台交换机为Radius Client,如认证时的操作 2、设置记帐服务器的IP 地址 3、设置记帐的UDP 端口
4、在802.1x 打开的前提下,打开记帐服务 Switch#configure terminal
Switch(config)#aaa accounting server 192.1.1.1 !设置记帐服务器的IP 地址为192.1.1.1
Switch(config)#aaa accounting server 192.1.1.2 backup !设置备份记帐服务器的IP 地址为192.1.1.2
Switch(config)#aaa accounting acc-port 1200 !设置记帐服务器的UDP 端口为1200 Switch(config)#aaa accounting !打开802.1x 记帐功能 Switch(config)#end 同时我们支持计费更新功能
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
1 步骤configure terminal 进入全局配置模式。 2 步骤aaa accounting update 设置记帐计费更新功能。 3 步骤End 退回到特权模式。 配置IP 授权模式
锐捷网络实现的802.1x,可以强制要求已认证的用户使用固定的IP。管理员通过配置IP 授权模式来限定用户获得IP 地址的方式。IP 授权模式有四种:DISABLE 模式、DHCP SERVER 模式、RADIUSSERVER 模式、SUPPLICANT 模式。下面分别介绍这四种工作模式的特性:
DISABLE 模式(默认):在该模式下,交换机不对用户的IP 做限制,用户只需认证通过便可以使用网络。
DHCP SERVER 模式:用户的IP 通过指定的DHCP SERVER 获得,只有指定的DHCP SERVER 分配的IP 才是合法的IP。
RADIUS SERVER 模式:用户的IP 通过RADIUS SERVER 指定。用户只能用RADIUS SERVER 指定的IP 访问网络。
SUPPLICANT 模式:所绑定用户的IP 为SUPPLICANT 认证时PC 的IP。认证后,用户只能用该IP访问网络,不可随意更改IP。 四种模式下的应用模型:
DISABLE 模式:适合不对用户限定IP 的场合。用户只需通过认证便可以访问网络。 DHCP SERVER 模式:用户PC 通过DHCP 获得IP 地址,管理员通过配置交换机的DHCP RELAY 来限定用户访问的DHCP SERVER,这样,只有指定的DHCP SERVER 分配的IP 才是合法的。
RADIUS SERVER 模式:用户PC 使用固定的IP,RADIUS SERVER 配置了<用户—IP>的对应关系,并通过RADIUS 的Framed-IP-Address 属性告知交换机,用户只能用该IP 才能访问网络。
SUPPLICANT 模式:用户PC 使用固定的IP,SUPPLICANT 将该信息告知交换机,用户只能用认证时的IP 才能访问网络。 Switch#configure terminal
Switch(config)# aaa authorization ip-auth-mode dhcp-server
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn