在交换机上配置802.1x请求方凭证

简介

IEEE 802.1x是一种标准，可促进客户端和服务器之间的访问控制。在通过局域网(LAN)或交换机向客户端提供服务之前，连接到交换机端口的客户端必须由运行远程身份验证拨入用户服务(RADIUS)的身份验证服务器进行身份验证。

802.1x身份验证限制未授权客户端通过可公开访问的端口连接到LAN。802.1x身份验证是客户端 — 服务器模型。在此模型中，网络设备具有以下特定角色：

• 客户端或请求方 — 客户端或请求方是请求访问LAN的网络设备。客户端已连接到身份验证器。
• 身份验证器 — 身份验证器是提供网络服务并连接了请求方端口的网络设备。支持以下身份验证方法：

— 基于802.1x — 在所有身份验证模式下均受支持。在基于802.1x的身份验证中，身份验证器从802.1x消息或LAN上EAP(EAPoL)数据包中提取可扩展身份验证协议(EAP)消息，然后使用RADIUS协议将其传递到身份验证服务器。

— 基于MAC — 在所有身份验证模式中均受支持。使用基于媒体访问控制(MAC)的身份验证器，身份验证器本身代表寻求网络访问的客户端执行软件的EAP客户端部分。

— 基于Web — 仅在多会话模式下受支持。使用基于Web的身份验证，身份验证器本身代表寻求网络访问的客户端执行软件的EAP客户端部分。

• 身份验证服务器 — 身份验证服务器执行客户端的实际身份验证。设备的身份验证服务器是具有EAP扩展的RADIUS身份验证服务器。

注意：网络设备可以是客户端或请求方、身份验证器，也可以是每个端口的两者。

下图显示根据特定角色配置设备的网络。在本例中，使用SG350X交换机。

但是，您也可以将交换机上的某些端口配置为请求方。在交换机的特定端口上配置请求方凭证后，您可以直接连接不支持802.1x的设备，以便设备能够访问安全网络。下图显示了将交换机配置为请求方的网络场景。

配置802.1x的必备条件:

• 配置 RADIUS 服务器。要了解如何在交换机上配置RADIUS服务器设置，请单击此处。
• 创建虚拟局域网(VLAN)。 要使用交换机的基于Web的实用程序创建VLAN，请单击此处。有关基于CLI的说明，请单击此处。
• 在交换机上配置端口到VLAN设置。要使用基于Web的实用程序进行配置，请单击此处。要使用CLI，请单击此处。
• 在交换机上配置全局802.1x属性。有关如何通过交换机的基于Web的实用程序配置全局802.1x属性的说明，请单击此处。有关基于CLI的说明，请单击此处。
• （可选）在交换机上配置时间范围。要了解如何在交换机上配置时间范围设置，请单击此处。要使用CLI，请单击此处。
• 在交换机上配置802.1x请求方凭证。本文提供了说明。有关基于CLI的说明，请单击此处。 
• 配置802.1x端口身份验证。要使用交换机的基于Web的实用程序，请单击此处。要使用CLI，请单击此处。 

目标

您可以将交换机配置为有线网络上的802.1x请求方（客户端）。可以配置加密用户名和密码，以允许交换机使用802.1x进行身份验证。

在使用基于IEEE 802.1x端口的网络访问控制的网络上，在802.1x身份验证器授予访问权之前，请求方无法访问网络。如果网络使用802.1x，则必须在交换机上配置802.1x身份验证信息，以便它能向身份验证器提供该信息。

本文提供有关如何在交换机上配置802.1x请求方凭证的说明。

适用设备

• SX350X系列
• SG350X 系列
• SG550X系列

软件版本

• 2.3.0.130

配置802.1x请求方凭证

创建802.1x请求方凭证

步骤1.登录到交换机的基于Web的实用程序，然后在“显示模式”下拉列表中选择高级。

注意：可用菜单选项可能因设备型号而异。在本例中，使用SG350X-48MP。

步骤2.选择Security > 802.1X Authentication > Supplicant Credentials。

步骤3.单击“添加”按钮为请求方添加新用户凭据。

步骤4.在Credential Name字段中输入凭据名称。

注意：在本例中，输入cisco。

步骤5.在User Name字段中，输入要与凭据名称关联的用户名。

注意：在本例中，使用switchuser。

步骤6.（可选）在“说明”字段中输入凭据的说明。

注意：在本例中，使用SG350X请求方。

步骤7.点击与要使用的密码类型对应的单选按钮，然后在已分配字段中输入密码。

注意：在本例中，选择了明文，使用的密码为C!$C0123456。

步骤8.单击“应用”，然后单击“关闭”。

步骤9.（可选）单击“保存”按钮将设置保存到启动配置文件。

编辑802.1x请求方凭证

步骤1.点击要编辑的相应凭证名称的复选框。

注意：在本例中，选择了cisco。

步骤2.单击“编辑”按钮。

步骤3.（可选）要将加密密码显示为纯文本，请单击“将敏感数据显示为纯文本”按钮。

步骤4.（可选）单击“确定”以明文显示加密密码。

步骤5.相应地更新凭证详细信息。

注意：在本例中，密码更新为C!$C012345678。

步骤6.单击“应用”，然后单击“关闭”。

现在，您应该已成功编辑交换机上的请求方凭证详细信息。

将加密密码显示为明文

步骤1.要将加密密码显示为纯文本，请单击Display Sensitive Data as Plaintext按钮。

步骤2.（可选）密码将以明文形式显示。单击“Display Sensitive Data as Encrypted(将敏感数据显示为加密)”按钮以显示加密形式的密码。

现在，您应该已成功将敏感密码显示为纯文本。

删除802.1x请求方凭证

步骤1.点击要删除的相应凭据名称的复选框。

步骤2.单击“删除”按钮。

现在，您应该已从交换机的请求方凭证表中成功删除了一个条目。

配置802.1x请求方接口

要应用已配置的802.1x请求方凭证，必须在交换机上配置802.1x身份验证信息，以便交换机能够向身份验证器提供该信息。请参阅上面的必备条件，在交换机上配置802.1x端口身份验证。