S21交换机 802.1x认证配置方法
锐捷网络远程技术支持中心
技术热线:4008-111-000
802.1x 的配置注意事项
1)只有支持802.1x 的产品,才能进行以下设置。
2802.1x 既可以在二层下又可以在三层下的设备运行。
3)要先设置认证服务器的IP 地址,才能打开1X 认证。
4)打开端口安全的端口不允许打开1X 认证。   
5Aggregate Port 不允许打开1X 认证。
802.1x 的默认配置
下表列出 802.1x 的一些缺省值
认证Authentication
关闭DISABLE
记帐Accounting
关闭DISABLE
认证服务器(Radius Server)
*服务器IP 地址美国城市(ServerIp)
*认证UDP 端口
*密码(Key)
*无缺省值
*1812
*无缺省值
记帐服务器(Accounting Server)
*记帐服务器IP 地址
*记帐UDP 端口
*无缺省值
1813
所有端口的类型
非受控端口(所有端口均无须认证便可
直接通讯
定时重认证re-authentication
打开
定时重认证周期reauth_period
3600
认证失败后允许再次认证的间隔
5
重传时间间隔
30
最大重传次数
2
黄晓明李冰冰客户端超时时间
30 秒,在该段时间内没有收到客户端的
响应便认为这次通讯失败
服务器超时时间
30 秒,在该段时间内没有收到服务器的
回应,便认为这次通讯失败
某端口下可认证主机列表
无缺省值
设置802.1X 认证的开关
当打开802.1x 认证时,交换机会主动要求受控端口上的主机进行认证,认证不过的主机不允许访问网络。
例:设置Server Ip 192.1.1.1、认证Udp 端口为600、以明文方式设置约定密码:
Switch#configure terminal
Switch(config)#radius-server host 192.1.1.1
Switch(config)#radius-server auth-port 600
Switch(config)#radius-server key MsdadShaAdasdj878dajL6g6ga
Switch(config)#end
打开/关闭一个端口的认证
802.1x 打开的情形下,打开一个端口的认证,则该端口成为受控口,连接在该端口下的用
户要通过认证才能访问网络,然而,在非受控端口下的用户可以直接访问网络。
例:设置以太网接口1/1为受控接口:
Switch#configure terminal
Switch(config)#interface f 1/1
Switch(config-if)#dot1x port-control auto
!打开接口的认证功能
Switch(config)#end
Switch(config-if)#no dot1x port-control auto   
!关闭接口的认证功能。
设置柯震东萧亚轩802.1X 认证的开关
Switch#configure terminal
Switch(config)#aaa authentication dot1x
!打开802.1x认证
Switch(config)#end
Switch(config)#no aaa authentication dot1x
!关闭802.1x认证
打开定时重认证
802.1x 能定时主动要求用户重新认证,这样可以防止已通过认证的用户不再使用后被其他用户冒用,还可以检测用户是否断线,使记费更准确。除了可以设定重认证的开关,我们还可以定义重认证的间隔。默认的重认证间隔是3600 秒。在根据时长进行记费的场合下,要根据具体的网络规模确定重认证间隔,使之既有足够时间完成一次认证又尽可能精确。
Switch#configure terminal
Switch(config)#dot1x re-authentication
!打开重认证
Switch(config)#dot1x timeout re-authperiod 1000
!设置重认证时间间隔为1000
Switch(config)#end
Switch(config)#no dot1x re-authentication
!关闭重认证
打开/关闭过滤非我司supplicant 功能的开关
当选用我司的supplicant 产品作为802.1x 认证的客户端时,如果用户同时也使用了其它的一些802.1x 认证客户端(比如打开了WindowsXP 自带的802.1x 认证功能选项),则有可能会使认证失败。这时可以通过打开本功能,将非我司supplicant 发出的802.1x 报文过滤掉,来保证supplicant 的认证不受其它802.1x 客户端的影响。默认情况下,该功能是打开的。
Switch#configure terminal
Switch(config)# dot1x filter-nonRG-su enable
打开过滤功能
Switch(config)#end
成都小吃一条街
Switch(config)# no dot1x filter-nonRG-su enable
使用命令关闭功能
改变QUIET 时间
当用户认证失败时,交换机将等待一段时间后,才允许用户再次认证。Quiet Period 的时间长度便是允许再认证间隔。该值的作用是避免交换机受恶意攻击。Quiet Period 的默认间隔为5 秒,我们可以通过设定较短的Quiet Period 使用户可以更快地进行再认证。
Switch#configure terminal
Switch(config)#dot1x timeout quiet-period 500
! 设置QuietPeriod 500
Switch(config)#end
Switch(config)#no dot1x timeout quiet-period
! Quiet Period 恢复为缺省值
设置报文重传间隔
交换机发EAP-request/identity之后,若在一定的时间内没有收到用户的回应,交换机将重传这个报文。该值的默认值为30秒,要根据具体的网络规模进行调整。
Switch#configure terminal
Switch(config)#dot1x timeout tx-period 100
! 设置报文重传间隔为100
Switch(config)#end
Switch(config)#no dot1x timeout tx-period
! 将报文重传间隔恢复为缺省值
设置最大请求次数
交换机朝RadiusServer 发出认证请求后,若在ServerTimeout 时间内没收到Radius Server 的回应,将重传该报文。最大请求次数指的是交换机重传请求的最大数,超过该次数交换机将认为本次认证失败。默认的重传次数为2 次,我们要根据具体的网络环境进行调整。
Switch#configure terminal
Switch(config)#dot1x max-req 5
! 设置报文重传次数为5
Switch(config)#end
Switch(config)#no dot1x max-req
! 将报文重传次数恢复为缺省值
设置最大重认证次数
当用户认证失败后,交换机会尝试几次与用户的认证。在认证次数超过最大重认证次数之后,交换机就认为这个用户已经断线,结束认证过程。系统默认的次数是2 次,我们可以重新设置这个值。
Switch#configure terminal
Switch(config)#dot1x reauth-max 3
! 设置最大重认证次数为配置windows update失败3
Switch(config)#end
Switch(config)#no dot1x reauth-max
!
将最大重认证次数恢复为缺省值
设置记帐更新时间间隔
当用户打开记帐更新功能后,交换机会根据用户配置的时间间隔周期性的发送记帐更新信息,在几个周期内没有收到记帐信息,服务器会认为该用户已经断线,结束记帐服务。系统默认的更新时间间隔是600 秒,我们可以重新设置这个值,该值的范围是60—65535 秒。
Switch#configure terminal
Switch(config)#dot1x accout-update-interval 1000
! 设置记帐更新时间间隔为1000
Switch(config)#end
Switch(config)#no dot1x accout-update-interval
! 将记帐更新时间间隔恢复为缺省值
设置Server-timeout
该值指的是Radius Server 的最大响应时间,若在该时间内,交换机没有收到Radius Server 的响应,将认为本次认证失败。
命令含义
1 步骤configure terminal 进入全局配置模式。
2 步骤dot1x timeout server-timeout seconds
!设置Radius Server最大响应时间,使用no命令的选项将其恢复为缺省值
3 步骤End 退回到特权模式
打开/关闭交换机主动发起认证的开关
当该功能关闭时,交换机只在复位和认证端口状态改变的时候发起一次认证请求,这是为了保证在线用户能够继续认证使用网络,其它任何时候交换机都不会主动发起认证请求。
当该功能打开后, 用户可以配置主动发起认证请求的次数、发送认证请求的间隔、用户认证通过后是否要停止发送请求等附属功能。
1 步骤configure terminal 进入全局配置模式。
2 步骤dot1x auto-req
!打开主动认证功能。该功能缺省认情况下是关闭的,使用no命令可以关闭次功能。
3 步骤end 退回到特权模式。
设置交换机主动发起认证请求的次数
黄子恒用户可以设置交换机主动发起认证请求的次数,这个值可根据实际的网络环境设定。
1 步骤configure terminal 进入全局配置模式。
2 步骤dot1x auto-req packet-num num
!交换机主动发送num802.1x 认证请求报文,如果num 0,则交换机将持续地发送