在Sx500系列可堆叠交换机上配置802.1x属性
目标
IEEE 802.1x是一种标准,可促进客户端和服务器之间的访问控制。在LAN或交换机向客户端提供服务之前,连接到交换机端口的客户端必须由运行远程身份验证拨入用户服务(RADIUS)的身份验证服务器进行身份验证。要启用基于802.1x端口的身份验证,应在交换机上全局启用802.1x。
要完全配置802.1x,必须执行以下配置:
1.创建VLAN,单击此处。
2.将端口分配给VLAN,继续上述文章。要在CLI中配置,请单击此处。
3.配置端口身份验证,单击此处。
本文介绍如何配置802.1x属性,包括身份验证和访客VLAN属性。有关其他配置,请参阅上述文章。访客VLAN提供对服务的访问,这些服务不需要通过基于802.1x或MAC的身份验证对订阅设备或端口进行身份验证和授权。
适用设备
· Sx500系列堆叠式交换机
软件版本
•1.3.0.62
在802.1x属性中启用基于端口的身份验证和访客VLAN
步骤1.登录Web配置实用程序以选择“安全”> 802.1X >“属性”。“属性”页将打开:
步骤2.在Port-Based Authentication字段中选中Enable以启用基于端口的802.1x身份验证。
步骤3.从Authentication Method字段点击所需的单选按钮。RADIUS服务器执行客户端的身份验证。此服务器验证用户是否已通过身份验证,并通知交换机客户端是否允许访问LAN和其他交换机服务。交换机充当代理,服务器对客户端是透明的。
· RADIUS, None — 这首先在RADIUS服务器的帮助下执行端口身份验证。如果服务器没有响应,例如服务器关闭时,则不执行身份验证,并允许会话。如果服务器可用且用户凭证不正确,则拒绝访问并结束会话。
· RADIUS — 这将基于RADIUS服务器执行端口身份验证。 如果没有执行身份验证,则会终止会话。
·无 — 不对用户进行身份验证并允许会话。
第4步。(可选)选中Enable 以在Guest VLAN字段中启用对未授权端口使用访客VLAN。如果启用了访客VLAN,所有未授权端口将自动加入在访客VLAN ID字段中选择的VLAN。如果端口稍后获得授权,则会从访客VLAN中删除该端口。
您必须先配置访客VLAN模式,然后才能使用MAC身份验证模式。802.1x框架使设备(请求方)能够从其连接的远程设备(验证方)请求端口访问。仅当请求端口访问的请求方经过身份验证和授权时,才允许向端口发送数据。否则,除非数据被发送到访客VLAN和/或未经身份验证的VLAN,否则验证器会丢弃请求方数据。
注意:访客VLAN(如果已配置)是具有以下特征的静态VLAN:
·必须从现有静态VLAN手动定义。
·仅对未授权的设备或连接并启用访客VLAN的设备端口自动可用。
·如果端口启用了访客VLAN,交换机会在端口未授权时自动将端口添加为访客VLAN的无标记成员,并在端口的第一个请求方已授权时从访客VLAN中删除该端口。
·访客VLAN不能同时用作语音VLAN和未经身份验证的VLAN。
节省时间:如果Guest VLAN已禁用,则跳至步骤7。
步骤5.从Guest VLAN ID下拉列表中的VLAN列表中选择访客VLAN ID。
步骤6.在Guest VLAN Timeout字段中点击所需的单选按钮。可用选项包括:
·立即 — 访客VLAN在10秒的时间段后过期。
·用户定义 — 在“用户定义”字段中手动输入时段。
注意:链路建立后,如果软件未检测到802.1x请求方,或者如果端口身份验证失败,则仅在访客VLAN超时期限到期后,才将端口添加到访客VLAN。如果端口从“已授权”(Authorized)更改为“未授权”(Not Authorized),则只有在访客VLAN超时期限到期后,端口才会添加到访客VLAN。VLAN身份验证表显示所有VLAN,并显示是否在它们上启用身份验证。
步骤7.单击“应用”保存设置。
未经身份验证的VLAN配置
启用802.1x后,除非未授权端口或设备是访客VLAN或未经身份验证的VLAN的一部分,否则不允许其访问VLAN。需要使用“端口到VLAN”页面手动将端口添加到VLAN。
步骤1.登录Web配置实用程序以选择“安全”>“802.1X”>“属性”。将打开“属性”页。
步骤2.向下滚动页面到VLAN身份验证表,单击要禁用身份验证的VLAN的单选按钮,然后单击Edit。将打开“编辑VLAN身份验证”页。
步骤3.(可选)从VLAN ID下拉列表中选择VLAN ID。
步骤4.取消选中Enable以禁用身份验证,并使VLAN成为未经身份验证的VLAN。
步骤5.单击“应用”以应用设置。对VLAN身份验证表进行了更改:
反馈