!配置IP 授权模式为DHCP-SERVER 模式 Switch(config)#end
查看Radius 认证及记帐相关配置
用show radius-server 命令查看Radius Server 的相关配置 用show accounting 查看记帐相关配置 Switch#sh radius-server Radius server : 0.0.0.0
Authentication UDP port : 1812 Switch#show accounting Accounting status : Disabled Accounting server : 0.0.0.0
Accounting backup server : 0.0.0.0 Accounting UDP port : 1813 查看当前的用户数
实现的802.1X 可以查看两类当前的用户数,一是当前用户数,二是已认证用户数。当前用户数指的是当前认证用户总数(无论是否认证成功);已认证用户数,指的是已认证通过的用户的总数。在特权模式下,按如下步骤查看当前用户数及已认证用户数。 步骤show dot1x 802.1x 查看配置,包括当前用户数和已认证用户数以及客户端在线探测开关。
Switch#show dot1x
IEEE 802.1X Status : Enabled Authentication user number : 0 Current user number : 0 reauth-enabled : Disabled reauth-period : 3600 s
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
quiet-period : 60 s tx-period : 30 s supp-timeout : 30 s server-timeout : 30 s reauth-max : 2 s max-req : 2 s client-probe: Enabled 查看可认证地址列表
本公司实现的802.1x,对功能进行了扩展,可以设置在某些端口上只有哪些主机可以认证。查看可认证主机列表功能,可以让管理员查看目前已有的设置。 在特权模式下,按如下操作查看可认证主机列表 命令含义
1 步骤dot1x auth-address-table address mac-address interface interface-id 设置可认证主机列表。
2 步骤show dot1x auth-address-table 查看可认证主机列表。
使用no dot1x auth-address-table address mac-address interface interface-id命令删除指定
的可认证主机列表。以下例子是查看可认证主机列表: Switch#show dot1x auth-address-table Interface Address
---------------- ------------------- Ethernet1/2 00-D0-F8-11-22-33 查看用户认证状态信息
管理员可能查看本交换机的当前用户的认证状态,便于排解故障。 在特权模式下,按如下操作查看用户认证状态信息
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
命令含义
1 步骤show dot1x summary 查看用户认证状态信息。 2 步骤show dot1x statistics 查看用户认证工作统计信息。 以下例子是查看用户认证状态信息: Switch#show dot1x summary
Vlan Address PaeState BackendAuth Interface
---- ------------------ --------------- ----------- -------- 1 00D0F8000001 Authened IDLE Fa0/1 以下例子是查看用户认证工作统计信息: Switch#show dot1x statistics 查看1x 客户端探测定时器设置
在特权模式下,按如下操作查看1x 定时器设置 命令含义
1 步骤show dot1x probe-timer 查看1x定时器设置 以下例子是查看1x 定时器设置: Switch#show dot1x probe-timer Hello Interval : 20 Hello Alive : 60 配置802.1x 其它注意事项 1.认证用户数限制
在没有任何IP 授权模式时,S21 系列每台设备支持1000 个用户。堆叠情况下,支持用户数为1000×堆叠设备数。 2.1X 和ACL 同时应用
在非IP 授权模式下,如果您打开某一个端口的802.1x 认证功能,又将某一个ACL 关联到某一个接口。则ACL 在MAC 地址的基础上生效。也就是说,只有源MAC 为认证通过的用户MAC 的报文才会经过ACL 过滤,其它源MAC 地址报文被丢弃,ACL 只能在该MAC 地址的基础上进行限制。
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
比如,认证通过的MAC 地址为00d0.f800.0001,则所有源MAC 为00d0.f800.0001 的报文可以交换。如果该端口再关联ACL,则ACL 在这些能够交换的报文基础上进行进一步过滤。如拒绝源MAC为该地址的ICMP 报文。
在IP 授权模式下,建议不要在受控口上设置ACL,因为ACL 优先级比认证用户高,认证通过的IP+MAC 的绑定不会生效。某个端口认证通过两个用户: 用户1: mac: 00d0.f800.0001 ip: 192.168.65.100 用户2: mac: 00d0.f800.0002 ip: 192.168.65.101 然后在该端口上设置一个ACL,如下: ip access-list extended ip_acl: deny icmp any any
原来目的可能想允许认证用户通讯,但同时禁止发送ICMP 报文。但ACL 优先级比认证通过的IP + MAC 高,该ACL 的最后一条缺省ace 是deny any any,所以认证通过用户也无法通讯。如果在ip_acl 后面加一条permit any any,则所有认证通过的用户任意修改IP 后仍然可以通讯,达不到IP + MAC 一一绑定的目的。所以建议您不要使用IP 授权+ ACL 的模式
3.由于IP 授权模式下认证用户使用的硬件表项和其它运用(如ACL、端口IP 安全地址)共享过滤表项和过滤域模板,如果其它应用将硬件资源耗尽,则可能出现IP 授权模式下用户认证不成功,或者成功但是无法通讯的问题。特别是过滤域模板,IP 授权模式下用户认证必须保证至少有一个模板可以使用
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn
福 建 星 网 锐 捷 网 络 有 限 公 司
技术支持平台 4008-111-000
福州总部 福州市金山大道618号橘园洲星网锐捷科技园 邮编:350002
www.ruijie.com.cn