没有合适的资源?快使用搜索试试~ 我知道了~
x认证类似参考CCNA安全的东西.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 147 浏览量
2022-06-27
05:21:15
上传
评论
收藏 578KB PDF 举报
温馨提示
试读
13页
x认证类似参考CCNA安全的东西.pdfx认证类似参考CCNA安全的东西.pdfx认证类似参考CCNA安全的东西.pdfx认证类似参考CCNA安全的东西.pdfx认证类似参考CCNA安全的东西.pdfx认证类似参考CCNA安全的东西.pdf
资源推荐
资源详情
资源评论
Switching——IEEE 802.1x(DOT1X)Authentication
简单的说,IEEE 802.1x 是一种认证技术,是对交换机上的 2 层接口所连接的主机做认证,当主机接
到开启了 IEEE 802.1x 认证的接口上,就有可能被认证,否则就有可能被拒绝访问网络。在接口上开启
IEEE 802.1x 认证后,在没有通过认证之前,只有 IEEE 802.1x 认证消息,CDP,以及 STP 的数据包能
够通过。
因为主机接到开启了 IEEE 802.1x 认证的接口后,需要通过认证才能访问网络,要通过认证,只要输入
合法的用户名和密码即可。交换机收到用户输入的账户信息后,要判断该账户是否合法,就必须和用户
数据库做个较对,如果是数据库中存在的,则认证通过,否则认证失败,最后拒绝该用户访问网络。
交换机提供给 IEEE 802.1x 认证的数据库可以是交换机本地的,也可以是远程服务器上的,这需要通过
AAA 来定义,如果 AAA 指定认证方式为本地用户数据库(Local),则读取本地的账户信息,如果 AAA
指定的认证方式为远程服务器,则读取远程服务器的账户信息, AAA 为 IEEE 802.1x 提供的远程服务器
认证只能是 RADIUS 服务器,该 RADIUS 服务器只要运行 Access Control Server Version 3.0(ACS 3.0)
或更高版本即可。
当开启 IEEE 802.1x 后,并且连接的主机支持 IEEE 802.1x 认证时,将得出如下结果:
★如果认证通过,交换机将接口放在配置好的 VLAN 中,并放行主机的流量。
★如果认证超时,交换机则将接口放入 guest vlan。
★如果认证不通过,但是定义了失败 VLAN,交换机则将接口放入定义好的失败 VLAN 中。
★如果服务器无响应,定义放行,则放行。
注:不支持 IEEE 802.1x 认证的主机,也会被放到 guest vlan 中。
提示:
当交换机使用 IEEE 802.1x 对主机进行认证时,如果主机通过了认证,交换机还可以根据主机输入的
不同账户而将接口划入不同的 VLAN,此方式称为 IEEE 802.1x 动态 VLAN 认证技术,并且需要在 RADIUS
服务器上做更多的设置。本文档并不对 IEEE 802.1x 动态 VLAN 认证技术做更多的介绍,如有需要,本
文档将补充对 IEEE 802.1x 动态 VLAN 认证技术的详细介绍与配置说明。
当主机认证失败后,交换机可以让主机多次尝试认证,称为重认证(re-authentication),在交换机
上开启 re-authentication 功能即可,默认是关闭的。并且还可以配置认证时间间隔,默认 60 秒,默
认可以尝试 2 次重认证。
如果要手工对某接口重认证,在 enable 模式输入命令 dot1x re-authenticate interface
在交换机接口上开启认证后,只要接口从 down 状态到 up 状态,就需要再次认证。
dot1x port-control auto 接口开认证
1 / 1
对于开启了认证的接口,分为两种状态,unauthorized(未认证的)和 authorized(认证过的)。
接口的状态,可以手工强制配置,接口可选的配置状态分以下 3 种:
force-authorized:就是强制将接口直接变认证后的状态,即 authorized 状态。 force-unauthorized:
就是强制将接口直接变没有认证的状态,即 unauthorized 状态。
Auto:就是正常认证状态,主机通过认证,则接口在 authorized 状态,认证失败,则在 unauthorized
状态。.
注:当交换机接口从 up 到 down,或者主机离开了发送 logoff,都将合接口重新变成 unauthorized 状
态。
开启了 IEEE 802.1x 认证的接口除了有状态之外,还有主机模式,称为 Host Mode,分两种模式:
single-host 和 multiple-host。
在 single-host 模式(默认),表示只有一台主机能连上来。
在 multiple-hosts 模式,表示可以有多台主机连上来,并且一台主机认证通过后,所有主机都可以访
问网络。
当认证超时或主机不支持认证时,接口将被划到 guest VLAN ,当认证失败时,将被划失败 VLAN,也就
是受限制的 VLAN (restricted VLAN), guest VLAN 和 restricted VLAN 可以定义为同一个 VLAN,
并且每接配置的。其实即使划入这个 VLAN 后,也会告诉客户是认证通过,要不然会得不到 DHCP。
注:
★IEEE 802.1x 认证只能配置在静态 access 模式的接口上。
★正常工作在 IEEE 802.1x 的接口被称为 port access entity (PAE) authenticator。
★在认证超时或主机不支持认证时,才会将接口划入 guest-vlan,在 IOS 12.2(25)SE 之前,是不会将
支持认证但认证失败的接口划入 guest-vlan 的,如果要开启 guest-vlan supplicant 功能,要全局配
置 dot1x guest-vlan supplicant。
配置
1.定义认证方式
(1)定义 IEEE 802.1x 使用本地账户数据库认证
sw1(config)#aaa new-model
sw1(config)#aaa authentication dot1x default local
(2)定义 IEEE 802.1x 使用 RADIUS 服务器认证
sw1(config)#aaa new-model
sw1(config)#aaa authentication dot1x default group radius
(3)定义 RADIUS 服务器
sw1(config)#radius-server host 10.1.1.1 auth-port 1645 acct-port 1646 key cisco
说明:定义 RADIUS 服务器地址为 10.1.1.1,密码为 cisco,认证端口 UDP 1645, 默认为 1812,
accounting 端口为 1646,默认为 1813.。
2.开启 IEEE 802.1x 认证
(1)全局开启 IEEE 802.1x 认证
sw1(config)#dot1x system-auth-control
说明:必须在全局开启 IEEE 802.1x 认证。
(2)在接口下开启 IEEE 802.1x 认证
说明:接口模式必须为静态 access
sw1(config)#int f0/1
sw1(config-if)#swi
sw1(config-if)#switchport mo
sw1(config-if)#switchport mode acce
sw1(config-if)#switchport mode access
sw1(config-if)#dot1x port-control auto
说明:将接口设置为 auto 状态,即正常认证状态。
(3)定义 guest VLAN 和 restricted VLAN
sw1(config)#vlan 10
sw1(config-vlan)#exit
sw1(config)#vlan 20
sw1(config-vlan)#exit
sw1(config)#int f0/1
剩余12页未读,继续阅读
资源评论
a66889999
- 粉丝: 36
- 资源: 1万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功