通过CLI在交换机上配置802.1x请求方凭证

简介

IEEE 802.1x是一种标准，可促进客户端和服务器之间的访问控制。在通过局域网(LAN)或交换机向客户端提供服务之前，连接到交换机端口的客户端必须由运行远程身份验证拨入用户服务(RADIUS)的身份验证服务器进行身份验证。

802.1x身份验证限制未授权客户端通过可公开访问的端口连接到LAN。802.1x身份验证是客户端 — 服务器模型。在此模型中，网络设备具有以下特定角色：

• 客户端或请求方 — 客户端或请求方是请求访问LAN的网络设备。客户端已连接到身份验证器。
• 身份验证器 — 身份验证器是提供网络服务并连接了请求方端口的网络设备。支持以下身份验证方法：

— 基于802.1x — 在所有身份验证模式下均受支持。在基于802.1x的身份验证中，身份验证器从802.1x消息或LAN上EAP(EAPoL)数据包中提取可扩展身份验证协议(EAP)消息，然后使用RADIUS协议将其传递到身份验证服务器。

— 基于MAC — 在所有身份验证模式中均受支持。使用基于媒体访问控制(MAC)的身份验证器，身份验证器本身代表寻求网络访问的客户端执行软件的EAP客户端部分。

— 基于Web — 仅在多会话模式下受支持。使用基于Web的身份验证，身份验证器本身代表寻求网络访问的客户端执行软件的EAP客户端部分。

• 身份验证服务器 — 身份验证服务器执行客户端的实际身份验证。设备的身份验证服务器是具有EAP扩展的RADIUS身份验证服务器。

注意：网络设备可以是客户端或请求方、身份验证器，也可以是每个端口的两者。

下图显示根据特定角色配置设备的网络。在本例中，使用SG350X交换机。

但是，您也可以将交换机上的某些端口配置为请求方。在交换机的特定端口上配置请求方凭证后，您可以直接连接不支持802.1x的设备，以便设备能够访问安全网络。下图显示了将交换机配置为请求方的网络场景。

配置802.1x的准则:

1. 配置 RADIUS 服务器。要了解如何在交换机上配置RADIUS服务器设置，请单击此处。
2. 创建虚拟局域网(VLAN)。 要使用交换机的基于Web的实用程序创建VLAN，请单击此处。有关基于命令行界面(CLI)的说明，请单击此处。
3. 在交换机上配置端口到VLAN设置。要使用基于Web的实用程序进行配置，请单击此处。要使用CLI，请单击此处。
4. 在交换机上配置全局802.1x属性。有关如何通过交换机的基于Web的实用程序配置全局802.1x属性的说明，请单击此处。有关基于CLI的说明，请单击此处。
5. （可选）在交换机上配置时间范围。要了解如何在交换机上配置时间范围设置，请单击此处。要使用CLI，请单击此处。
6. 在交换机上配置802.1x请求方凭证。要了解如何通过基于Web的实用程序进行配置，请单击此处。本文提供了基于CLI的说明。
7. 配置802.1x端口身份验证。要使用交换机的基于Web的实用程序，请单击此处。要使用CLI，请单击此处。 

目标

您可以将交换机配置为有线网络上的802.1x请求方（客户端）。可以配置加密用户名和密码，以允许交换机使用802.1x进行身份验证。

在使用基于IEEE 802.1x端口的网络访问控制的网络上，在802.1x身份验证器授予访问权之前，请求方无法访问网络。如果网络使用802.1x，则必须在交换机上配置802.1x身份验证信息，以便它能向身份验证器提供该信息。

本文提供有关如何通过CLI在交换机上配置802.1x请求方凭证的说明。

适用设备

• SX350X系列
• SG350X 系列
• SG550X系列

软件版本

• 2.3.0.130

配置802.1x请求方凭证

创建802.1x请求方凭证

步骤1.登录交换机控制台。默认用户名和密码为cisco/cisco。如果已配置新的用户名或密码，请改为输入凭证。

注意：要了解如何通过SSH或Telnet访问SMB交换机CLI，请单击此处。

注意：命令可能因交换机的确切型号而异。在本例中，SG350X交换机通过Telnet访问。

步骤2.在交换机的特权执行模式下，输入以下命令进入全局配置模式：

步骤3.要定义802.1x凭证结构的名称并进入dot1x凭证配置模式，请输入以下命令：

• name — 凭据结构名称最多为32个字符。

注意：交换机最多支持24个凭证。在本例中，使用cisco。

步骤4.（可选）要删除凭证结构，请输入以下命令：

注意：无法删除已使用的凭据。

步骤5.要为802.1x凭证结构指定用户名，请输入以下命令：

• username — 用户名最多32个字符。

注意：在本例中，switchuser是指定的用户名。

步骤6.（可选）要删除用户名，请输入以下命令：

步骤7.要为802.1x凭证结构指定密码，请输入以下任一项：

• encrypted password — 密码采用加密格式。
• password — 您可以输入最多64个字符的明文密码。

注意：在本例中，输入明文密码C!$C0123456。

步骤8.（可选）要删除密码，请输入以下命令：

步骤9.（可选）要添加802.1x凭证结构的说明，请输入以下命令：

注意：在本例中，使用的描述是sg350x请求方。

步骤10.（可选）要删除说明，请输入以下命令：

步骤11.输入end命令返回特权执行模式：

步骤12.（可选）要显示已配置的802.1x凭证，请输入以下命令：

步骤13.（可选）在交换机的特权EXEC模式下，输入以下命令将配置的设置保存到启动配置文件：

第14步。（可选）出现“Overwrite file [startup-config].....”提示后，在键盘上按Y表示“Yes”或N表示“No”。

现在，您应该已通过CLI在交换机上成功配置了802.1x凭证。

配置802.1x请求方接口

要应用已配置的802.1x请求方凭证，必须在交换机上配置802.1x身份验证信息，以便交换机能够向身份验证器提供该信息。按照以下步骤配置802.1x请求方接口：

步骤1.在交换机的特权执行模式下，输入以下命令进入全局配置模式：

步骤2.在全局配置模式下，输入以下命令进入接口配置情景：

• interface-id — 指定要配置的接口ID。

注意：当接口上启用请求方时，该接口将变为未授权接口。在本例中，配置了接口ge1/0/19。

步骤3.要为接口启用dot1x请求方角色，请输入以下命令：

• name — 接口上应用的凭据结构的名称。

注意：在本示例中，使用之前创建的凭证名称cisco。

步骤4.输入end命令返回特权执行模式：

步骤5.要显示已配置接口的802.1x状态，请在特权EXEC模式下使用show dot1x命令：

• interface-id — 指定以太网端口。

注意：在本示例中，显示接口ge1/0/19的802.1x信息。

现在，您应该已通过CLI在交换机的接口上成功配置了802.1x请求方。