通过CLI在交换机上配置全局802.1x属性

下载选项

PDF (1.1 MB)
在各种设备上使用 Adobe Reader 查看
ePub (890.5 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (398.2 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2018 年 12 月 13 日

文档 ID:SMB5635

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

通过CLI在交换机上配置全局802.1x属性

简介

IEEE 802.1x是便于客户端和服务器之间访问控制的标准。在通过本地接入网络(LAN)或交换机向客户端提供服务之前，连接到交换机端口的客户端必须通过运行远程身份验证拨入用户服务(RADIUS)的身份验证服务器进行身份验证。

802.1x身份验证可限制未经授权的客户端通过可公开访问的端口连接到LAN。802.1x身份验证是一种客户端 — 服务器模型。在此模型中，网络设备具有以下特定角色：

客户端或请求方 — 客户端或请求方是请求访问LAN的网络设备。客户端连接到身份验证器。
身份验证器 — 身份验证器是提供网络服务且请求方端口连接的网络设备。支持以下身份验证方法：

— 基于802.1x — 在所有身份验证模式下均受支持。在基于802.1x的身份验证中，身份验证器从802.1x消息或EAP over LAN(EAPoL)数据包中提取可扩展身份验证协议(EAP)消息，并使用RADIUS协议将其传递到身份验证服务器。

— 基于MAC — 在所有身份验证模式中受支持。借助基于介质访问控制(MAC)，身份验证器本身可代表寻求网络访问的客户端执行软件的EAP客户端部分。

— 基于Web — 仅在多会话模式下支持。使用基于Web的身份验证，身份验证器本身代表寻求网络访问的客户端执行软件的EAP客户端部分。

身份验证服务器 — 身份验证服务器执行客户端的实际身份验证。设备的身份验证服务器是具有EAP扩展的RADIUS身份验证服务器。

注意：网络设备可以是客户端，也可以是请求方、身份验证器，也可以是两个端口都可以。

下图显示了根据特定角色配置设备的网络。在本例中，使用SG350X交换机。

指南在 配置802.1x:

配置 RADIUS 服务器。若要了解如何配置交换机上的RADIUS服务器设置，请单击此处。
配置虚拟局域网(VLAN)。要使用交换机的基于Web的实用程序创建VLAN，请单击此处。有关基于 CLI 的说明，请点击此处。
在交换机上配置端口到VLAN设置。要使用基于Web的实用程序进行配置，请单击此处。要使用CLI，请点击此处。
在交换机上配置全局802.1x属性。有关如何通过交换机的基于Web的实用程序配置全局802.1x属性的说明，请单击此处。
（可选）在交换机上配置时间范围。若要了解如何配置交换机上的时间范围设置，请单击此处。
配置802.1x端口身份验证。要使用交换机的基于Web的实用程序，请单击此处。

目标

本文介绍如何通过交换机的命令行界面(CLI)配置全局802.1x属性，包括身份验证和访客VLAN属性。访客VLAN提供对不需要通过802.1x、基于MAC或基于Web的身份验证对订用设备或端口进行身份验证和授权的服务的访问。

适用设备

Sx300系列
Sx350 系列
SG350X 系列
Sx500 系列
Sx550X 系列

软件版本

1.4.7.06 — Sx300、Sx500
2.2.8.04 — Sx350、SG350X、Sx550X

通过CLI在交换机上配置802.1x属性

配置802.1x设置

步骤1:登录到交换机控制台。默认用户名和密码为 cisco/cisco。如果已配置新的用户名或密码，请输入相应凭证。

注意：这些命令可能因交换机的确切型号而异。在本示例中，我们将通过 Telnet 访问 SG350X 交换机。

第二步：在交换机的特权EXEC模式下，输入以下命令进入全局配置模式：

SG350x#configure

第三步：要在交换机上全局启用802.1x身份验证，请在全局配置模式下使用dot1x system-auth-control命令。

SG350x(config)#dotx1 system-auth-control

步骤4.（可选）要在交换机上全局禁用802.1x身份验证，请输入以下命令：

SG350x(config)#no dotx1 system-auth-control

注：如果禁用此功能，则会禁用基于802.1X、MAC和基于Web的身份验证。

第五步：要指定启用802.1x身份验证时用于身份验证的服务器，请输入以下内容：

SG350x(config)#aaa authentication dot1x default [radius none | radius | none]

选项有：

radius none — 此操作首先在RADIUS服务器的帮助下执行端口身份验证。如果没有来自服务器的响应（例如服务器关闭时），则不执行身份验证且允许会话。如果服务器可用且用户凭证不正确，则访问被拒绝，会话结束。
radius — 根据RADIUS服务器执行端口身份验证。如果未执行身份验证，则会话终止。这是默认身份验证。
none — 不验证用户并允许会话。

注意：在本示例中，默认802.1x身份验证服务器是RADIUS。

步骤6.（可选）要恢复默认身份验证，请输入以下内容：

SG350X(config)#no aaa authentication dot1x default

步骤 7.在全局配置模式下，输入以下命令进入VLAN接口配置情景：

SG350X(config)#interface vlan [vlan-id]

vlan-id — 指定要配置的VLAN ID。

步骤 8要允许将访客VLAN用于未授权的端口，请输入以下内容：

SG350X(config-if)#dot1x guest-vlan

注意：如果启用了访客VLAN，所有未授权的端口会自动加入访客VLAN中选择的VLAN。如果端口稍后获得授权，则会将其从访客VLAN中删除。

步骤 9要退出接口配置情景，请输入以下内容：

SG350X(config-if)#exit

步骤 10要设置启用802.1X（或端口启用）和将端口添加到访客VLAN之间的时间延迟，请输入以下命令：

SG350X(config)#dot1x guest-vlan timeout [timeout]

timeout — 指定启用802.1X（或端口开启）和将端口添加到访客VLAN之间的时间延迟（以秒为单位）。范围为30至180秒。

注意：链路连接后，如果软件未检测到802.1x请求方，或者端口身份验证失败，则仅在访客VLAN超时时间到期后，才会将端口添加到访客VLAN。如果端口从Authorized更改为Not Authorized，则只有在访客VLAN超时时间到期后，才会将端口添加到访客VLAN。您可以从VLAN身份验证启用或禁用VLAN身份验证。