目录
一. H3C设备配置模板
二. 迈普交换机802.1X模板
三. 锐捷交换机802.1X模板
四. 思科交换机802.1X配置模板
五. 华为交换机802.1X配置模板
不同类型交换机配置步骤不同,以下提供交换机配置步骤,以供参考。
一. H3C设备配置模板
(1) CMWV3平台(S5600/ S3900/ S5100 EI/ S5100SI/ S3600 EI/S3600 SI/ S3100-52P/ S3100SI/ S3100EI/ S7500)模板参考如下:
dot1x //开启全局802.1X
dot1x authentication-method eap
dot1x dhcp-launch
undo dot1x handshake enable //关闭握手功能(握手功能仅支持配合H3C客户端,因此需要关闭)
dot1x re-authenticate
dot1x timer reauth-period 7200 //在全局配置重认证,该配置是否生效取决于端口下是否开启重认证
dot1x quiet-period //打开设备的静默定时器功能。该功能使得认证失败一定次数后(max-retry-value设置),该端口在静默时间内不接收802.1x认证请求报文
dot1x timer quiet-period 10 //静默时间
dot1x retry max-retry-value 4
interface Gx/0/x //端口开启802.1X
dot1x
dot1x port-method portbased //默认是基于mac的认证
dot1x re-authenticate //需要在端口下打开重认证开关,使得全局的重认证配置生效
dot1x unicast-trigger //启用单播触发更新,该命令S3100SI系列交换机不支持
//AAA认证配置
radius scheme acs //配置登录用Radius Scheme,连接cisco acs
primary authentication ip_address 1645 key key
primary accounting ip_address 1646 key key //如果没有计费可以不用配置
secondary authentication ip_address 1645 key key
secondary accounting ip_address 1646 key key //如果没有计费可以不用配置
user-name-format without-domain
nas-ip source_ip_address //nas-ip 指发送AAA认证的源地址
radius scheme enforcer //配置802.1x认证Radius Scheme,连接LAN Enforcer服务器,此处不配置计费
primary authentication ip_address key key
secondary authentication ip_address key key
user-name-format without-domain
nas-ip source_ip_address //nas-ip 指发送AAA认证的源地址
timer response-timeout 5
retry 1 // 根据timeout*retry 计算公式,当5秒连接不到主用LAN ENFORCER,会切换到备用LAN Enforcer做认证
domain acs //配置AAA认证域
authentication login radius-scheme acs local
authorization login radius-scheme acs local
authentication lan-access radius-scheme enforcer
authorization lan-access radius-scheme enforcer
domain default enable acs //设置默认认证域
(2) CMWV5平台(S5500EI/ S7500E/ LS-5120-48P-EI-H3/ LS-5120-52C-PWR-EI/ MSR3011/MSR3011 E/MSR3011 F/ MSR3010/ MSR3016/ MSR2010/ MSR2011)模板参考如下:
dot1x //开启全局802.1X
dot1x re-authenticate
dot1x timer reauth-period 7200 //请根据要求设置重认证时长
dot1x authentication-method eap //配合赛门铁克的认证服务器使用
dot1x quiet-period //打开设备的静默定时器功能。该功能使得认证失败一定次数后(max-retry-value设置),该端口在静默时间内不接收802.1x认证请求报文
dot1x timer quiet-period 10 //静默时间
dot1x retry max-retry-value 4
interface Gx/0/x //端口开启802.1X
dot1x
dot1x port-method portbased //默认是基于mac的认证
dot1x re-authenticate //请根据要求启用端口上的重认证开关
undo dot1x multicast-trigger //关闭组播触发
dot1x unicast-trigger //开启未知单播触发,MSR3011不支持该命令,无需配置
undo dot1x handshake enable //握手功能仅支持配合H3C客户端,因此需要关闭
//AAA认证配置
radius scheme acs //配置登录用Radius Scheme,连接cisco acs
primary authentication ip_address 1645 key key
primary accounting ip_address 1646 key key //如果没有计费可以不用配置
secondary authentication ip_address 1645 key key
secondary accounting ip_address 1646 key key //如果没有计费可以不用配置
user-name-format without-domain
nas-ip source_ip_address //nas-ip 指发送AAA认证的源地址
radius scheme enforcer //配置802.1x认证Radius Scheme,连接LAN Enforcer服务器,此处不配置计费
primary authentication ip_address key key
secondary authentication ip_address key key
user-name-format without-domain
nas-ip source_ip_address //nas-ip 指发送AAA认证的源地址
timer response-timeout 5
retry 1 // 根据timeout*retry 计算公式,当5秒连接不到主用LAN ENFORCER,会切换到备用LAN Enforcer做认证
domain acs //配置AAA认证域
authentication login radius-scheme acs local
authorization login radius-scheme acs local
authentication lan-access radius-scheme enforcer
authorization lan-access radius-scheme enforcer
domain default enable acs //设置默认认证域
二. 迈普交换机802.1X模板
(1) 路由交换一体机MP2824/MP2816/ MP2816-24-AC/ MP2700配置模板参考
dot1x eap-relay enable //全局启用802.1X中继
dot1x client-probe enable //全局开启ARP保护功能,解决网卡不断弹出已连接的问题
dot1x timeout re-authperiod 43200 //重认证时间间隔12小时
dot1x max-authfail 4
dot1x timeout quiet-period 5 //打开设备的静默定时器功能。该功能使得认证失败一定次数后(max-authfail设置),该端口在静默时间内不接收802.1x认证请求报文,可根据实际情况调短
radius-server retransmit 1
radius-server timeout 2 //根据timeout+timeout*retransmit的计算公式,4s无法连接到主用LAN Enforcer设备时会切换连接备用
radius-server dead-time 5 //检测到主服务器宕机后,过dead-time时间段去检测主服务器有没有上线,单位:分钟
aaa new-model //全局开启AAA认证,不能影响原有的login登录
aaa authentication login default local none
aaa authentication connection default radius none
radius-server host 83.40.66.7 auth-port 1812 acct-port 1813 priority 0 key Password123
radius-server host 83.40.66.8 auth-port 1812 acct-port 1813 priority 0 key Password123
ip radius source-interface loopback0 //配置用于802.1X Radius认证的两台主备服务器,同时配置发送AAA认证的源地址为设备管理地址
port 4/1 //在Port4/1端口启用802.1X认证,默认为基于Macbased认证方式
pvid 410 //端口划分到某一vlan
dot1x port-control enable
dot1x port-method portbased //基于端口的802.1x认证
// dot1x port-method macbased //基于mac的802.1x认证(默认)
exit
port 4/1-4/20 //在 Port4/1到Port4/20所有端口下启用802.1X认证
pvid 410 //端口划分到某一vlan
dot1x port-control enable
dot1x port-method portbased //默认是基于mac的认证
exit
interface switchethernet0
vlan 410 //必须启用sw接口并且关联端口划分的vlan,802.1X才能正常工作;vlan号为端口的PVID号
最后,请show run检查一下全局配置有没有dot1x keepalive或dot1x keepalive simple-mode或者在端口底下有没有dot1x multicast-trriger或dot1x mac-authentication。如果有则需要删除。
(2) 3000B系列 (S3008B/S3016B/S3024B)
dot1x eap-relay enable //启用802.1X中继
dot1x client-probe enable // Client-probe全局开启ARP保护功能,解决网卡不断弹出已连接的问题
dot1x re-authentication
dot1x timeout re-authperiod 43200 //启用重认证,时间间隔为12小时
dot1x max-authfail 4
dot1x timeout quiet-period 5 //打开设备的静默定时器功能。该功能使得认证失败一定次数后(max-authfail设置),该端口在静默时间内不接收802.1x认证请求报文,可根据实际情况调短
aaa new-model //全局开启AAA认证,不能影响原有的login登录
aaa authentication login default local none
exit
radius-server host ip_address1 auth-port 1812
radius-server host ip_address1 key key
radius-server host ip_address2 auth-port 1812
radius-server host ip_address2 key key //配置用于802.1X Radius认证的两台服务器
radius-server retransmit 1
radius-server timeout 2 //根据timeout+timeout*retransmit的计算公式4s无法连接到主用LAN ENFORCER设备时会切换连接备用
radius-server dead-time 5 //检测到主服务器宕机后,过dead-time时间段去检测主服务器有没有上线,单位:分钟
port 0/1 //在Port0/1启用802.1X,基于Portbased方式
dot1x port-control enable
dot1x port-method portbased //默认是基于mac的认证
exit
最后,请show run检查一下全局配置有没有dot1x keepalive或dot1x keepalive simple-mode或者在端口底下有没有dot1x multicast-trriger或dot1x mac-authentication。如果有则需要删除。
(3) 交换机MyPower3100-52TC/3026G/3152配置模板参考
dot1x enable //全局启用802.1X
dot1x macbased port-down-flush //全局关闭基于MAC认证时绑定客户端MAC的功能,解决换端口不通的问题
dot1x re-authentication
dot1x timeout re-authperiod 43200 //启用重认证,时间间隔12小时
dot1x timeout quiet-period 5 //打开设备的静默定时器功能。该功能使得认证失败3次后(不可更改),该端口在静默时间内不接收802.1x认证请求报文,可根据实际情况调短
radius-server timeout 2
radius-server retransmit 1 //根据timeout+timeout*retransmit的计算公式4s无法连接到主用LAN ENFORCER设备时会切换连接备用
radius-server dead-time 5 //检测到主服务器宕机后,过dead-time时间段去检测主服务器有没有上线,单位:分钟
radius-server key 0 Password123
radius-server authentication host 83.40.66.7 primary
radius-server authentication host 83.40.66.8 //配置用于802.1X Radius认证的两台主备服务器
aaa enable //开启AAA
Interface Ethernet0/0/1 //在一个端口下启用802.1X
dot1x enable
dot1x port-method portbased //默认是基于mac的认证
Interface Ethernet0/0/1-17 //在Ethernet0/0/1到Ethernet0/0/17所有端口下启用802.1X认证
dot1x enable
dot1x port-method portbased //默认是基于mac的认证
(4) 交换机MyPower 4152F配置模板参考
dot1x enable //全局启用802.1X
dot1x macbased port-down-flush //全局关闭基于MAC认证时绑定客户端MAC的功能,解决换端口不通的问题
dot1x re-authentication //全局启用重认证
dot1x timeout re-authperiod 43200 //重认证间隔时间12小时
dot1x timeout quiet-period 5 //打开设备的静默定时器功能。该功能使得认证失败3次后(不可更改),该端口在静默时间内不接收802.1x认证请求报文,可根据实际情况调短
radius-server timeout 2
radius-server retransmit 1 //根据timeout+timeout*retransmit的计算公式,4s无法连接到主用LAN Enforcer设备时会切换连接备用
radius-server dead-time 5 //检测到主服务器宕机后,过dead-time时间段去检测主服务器有没有上线,单位:分钟
radius-server key 0 Password123
radius-server authentication host 83.40.66.7 primary
radius-server authentication host 83.40.66.8 //配置用于802.1X Radius认证的两台主备服务器,开启AAA,设置主服务器down机时的静默时间
aaa enable
Interface Ethernet1/0/1
dot1x enable //在Interface Ethernet1/0/1 启用802.1X
dot1x port-method portbased //默认是基于mac的认证
Interface Ethernet1/0/1-17
dot1x enable //在Interface Ethernet0/0/1到Interface Ethernet0/0/17所有端口下启用802.1X认证
dot1x port-method portbased //默认是基于mac的认证
(5) 交换机MyPower 3000-8T配置模板参考
dot1x enable //全局启用802.1X
dot1x macbased port-down-flush //全局关闭基于MAC认证时绑定客户端MAC的功能,解决换端口不通的问题
dot1x re-authentication //全局启用重认证
dot1x timeout re-authperiod 43200 //重认证时间间隔12小时
dot1x timeout quiet-period 5 //认证失败超过最大次数(默认3次,不可更改)的静默时间,该参数可以根据实际情况调短
radius-server timeout 2
radius-server retransmit 1 //根据timeout+timeout*retransmit的计算公式,4s无法连接到主用LAN Enforcer设备时会切换连接备用
radius-server dead-time 5 //检测到主服务器宕机后,过dead-time时间段去检测主服务器有没有上线,单位:分钟
radius-server key 0 Password123
radius-server authentication host 83.40.66.7 primary
radius-server authentication host 83.40.66.8 //配置用于802.1X Radius认证的两台主备服务器
aaa enable //开启AAA
Interface Ethernet1/1
dot1x enable //在Interface Ethernet1/1 启用802.1X
dot1x port-method portbased //默认是基于mac的认证
Interface Ethernet1/1-17
dot1x enable //在Interface Ethernet1/1到Interface Ethernet1/17所有端口下启用802.1X认证
dot1x port-method portbased //默认是基于mac的认证
(6) 交换机MP6800A配置模板参考
aaa new-model //全局开启AAA认证,不能影响原有的login登录
aaa authentication login default local none
aaa authentication connection default dot1x
aaa group server radius dot1x //配置用于802.1X Radius认证的两台主备服务器server-private 114.255.225.40 auth-port 1812 acct-port 1813 priority 0 key Password123
server-private 114.255.225.41 auth-port 1812 acct-port 1813 priority 10 key Password123
exit
radius-server retransmit 1
radius-server timeout 2 //根据timeout+timeout*retransmit的计算公式4s无法连接到主用LAN ENFORCER设备时会切换连接备用。
radius-server dead-time 5 //检测到主服务器宕机后,过dead-time时间段去检测主服务器有没有上线,单位:分钟
ip radius source-interface xx //设置发起认证的源地址接口
port 1/1
dot1x port-control enable //在Port 1/1启用802.1X
dot1x port-method portbased //配置基于端口的认证方式(默认为基于Macbased认证方式)
dot1x max-authfail 4
dot1x timeout quiet-period 5 //打开设备的静默定时器功能。该功能使得认证失败一定次数后(max-authfail设置),该端口在静默时间内不接收802.1x认证请求报文,可根据实际情况调短
dot1x timeout re-authperiod 3600 //开启重认证(默认开启)间隔时间3600秒(最大3600秒)
dot1x eap-relay enable
exit
port 1/1-1/17
dot1x port-control enable //在Port 1/1至Port1/17所有端口启用802.1X
dot1x port-method portbased
dot1x max-authfail 4
dot1x timeout quiet-period 5
dot1x timeout re-authperiod 3600
dot1x eap-relay enable
最后,请show run检查一下端口配置有没有dot1x keepalive、dot1x multicast-trriger或dot1x mac-authentication enable。如果有则需要删除。
三. 锐捷交换机802.1X模板
(1) 对于非2126系列的设备,配置模板参考如下:
aaa new-model //打开AAA开关
aaa group server radius 1 //定义1X准入服务器组
server ipaddr1 //主
server ipaddr2 //备
aaa group server radius 2 //定义AAA服务器组
server ipaddr3 //主
server ipaddr4 //备
aaa authorization exec test2 group 2 //定义AAA授权方法列表,关联服务器组2
aaa authentication login test group 2//定义AAA认证方法列表,关联服务器组2
aaa authentication dot1x default group 1 //定义准入认证方法列表,关联服务器组1
vlan 100 //定义用户VLAN
radius-server host ipaddr1 //配置1X准入主服务器IP
radius-server host ipaddr2 //配置1X准入备服务器IP
radius-server host ipaddr3 //配置AAA主服务器IP
radius-server host ipaddr4 //配置AAA备服务器IP
radius-server key 7 04664a556a5679 //配置1X/AAA服务器key
radius-server timeout 2
radius-server retransmit 1 //根据timeout+timeout*retransmit的计算公式4s无法连接到主用LAN ENFORCER设备时会切换连接备用。
radius-server deadtime 5 //判定主radius down后5分钟后将主radius的状态变为active状态,交换机接到的认证报文转发至主radius,由主radius尝试完成认证。如果5分钟内主还未恢复,返回到上述4s内完成切换。周而复始直到主恢复为止。
dot1x authentication default
dot1x re-authentication
dot1x timeout re-authperiod seconds 43200 //重认证时间设为12小时
dot1x timeout quiet-period 5 //打开设备的静默定时器功能。该功能使得认证失败1次后(不可更改),该端口在静默时间内不接收802.1x认证请求报文,可根据实际情况调短
interface FastEthernet 0/11
switchport access vlan 100 //配置接口VLAN
dot1x port-control auto //启用macbase 802.1x认证,默认是macbase
//dot1x port-control mode portbased //启用portbase 802.1x认证
注:在启用安全通道配置的时候,必须先关闭接口模式下的dot1x配置。正确的配置顺序为:1、保证接口模式下dot1x配置关闭;2、启用安全通道配置;3、再打开接口模式下的dot1x配置。锐捷默认为基于mac的认证,该配置支持接Hub多用户认证。
(2) 对于2126系列的设备,配置模板参考如下
aaa authentication dot1x //打开802.1x 认证功能
radius-server host ipaddr1 //设置主Radius Server IP 地址
radius-server host ipaddr2 //设置备Radius Server IP 地址
radius-server key 24r432r220 //设置 Radius Server key
dot1x re-authentication //打开定时重认证功能
dot1x timeout re-authperiod 43200 // 设置重认证时间间隔为12小时
dot1x timeout server-timeout 2 //设置Radius Server 最大响应时间
dot1x max-req 2 //设置报文重传次数
interface interface-id //进入接口设置模式 指定要配置的Interface
dot1x port-control auto //设置该接口为受控接口(打开接口认证功能),默认为mac-based模式,不支持port-based
注:该设备比较旧,很多命令不支持,deadtime和quite-period可不配置
四. 思科交换机802.1X配置模板
(1) IOS模板参考如下
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
interface FastEthernetX/X
switchport access vlan XXX
switchport mode access
dot1x port-control auto
dot1x timeout quiet-period 5 //打开设备的静默定时器功能。该功能使得认证失败一定次数后(max-req设置),该端口在静默时间内不接收802.1x认证请求报文,可根据实际情况调短
dot1x max-req 4
dot1x timeout reauth-period 43200 //设置重认证时间为12小时
dot1x reauthentication
spanning-tree portfast
radius-server host x.x.x.x auth-port 1812 acct-port 1813 timeout 2 retransmit 1 key XXX
radius-server host x.x.x.x auth-port 1812 acct-port 1813 timeout 2 retransmit 1 key XXX //设置主备认证服务器
(2) catOS模板参考如下
set dot1x system-auth-control enable
set radius server 80.29.14.35 auth-port 1812 primary
set radius server 80.29.14.36 auth-port 1812
set radius deadtime 5
set radius retransmit 1
set radius timeout 2
set radius key icbc4key
set dot1x re-authperiod 43200 //重认证时间12小时
set dot1x quiet-period 5 //打开设备的静默定时器功能。该功能使得认证失败一定次数后(max-req设置),该端口在静默时间内不接收802.1x认证请求报文,可根据实际情况调短
set dot1x max-req 4
set port dot1x X/X port-control auto //启用某个端口的802.1x认证
set port dot1x X/X re-authentication enable //在端口下启动重认证
(3) 思科交换机接HUB
目前支持802.1x单端口下多用户认证的思科交换机平台目前有:
122-50版本部分命令有些微变化, 配置如下,其他命令无变化:
interface FastEthernetX/X
authentication host-mode multi-auth //配置该命令后可以在该端口下接Hub,可对hub上每一台pc进行认证,仅在该版本有
authentication port-control auto // 设置port-control模式
authentication periodic //开启重认证
authentication timer reauthenticate 43200 //设置重认证时间
dot1x pae authenticator //开启dot1x认证
dot1x timeout quiet-period 5//该数值可以根据实际情况调短。
dot1x max-req 4
五. 华为交换机802.1X配置模板
(1) S2700系列路由器配置模板如下:
dot1x enable //接口下打开dot1x功能
dot1x authentication-method eap //配置认证方式为EAP认证,默认为CHAP认证
undo dot1x handshake //去使能握手功能,仅需要在全局下使用
dot1x timer reauthenticate-period 7200 //在重认证功能打开的前提下,设置重认证周期
dot1x quiet-period //使能静默定时器功能,默认未使能
dot1x timer quiet-period 10 //打开设备的静默定时器功能。该功能使得认证失败一定次数后(quiet-times设置),该端口在静默时间内不接收802.1x认证请求报文
dot1x quiet-times 4
dot1x dhcp-trigger //使能在接入用户运行DHCP申请动态IP地址时就触发对其进行认证,默认未使能
dot1x reauthenticate //全局模式下使能重认证功能,默认未使能
radius-server template icbc //配置认证服务器模板为icbc
radius-server shared-key simple Password123 //配置密钥
radius-server authentication 114.255.225.40 1812 //配置主用radius服务器地址和端口
radius-server authentication 114.255.225.41 1812 secondary //配置备用radius服务器地址和端口
radius-server retransmit 1 timeout 3 //设置超时时间,根据timeout*retransmit计算,当3秒连接不到主用服务器会切换到备用服务器
aaa
authentication-scheme icbc //配置认证方案为icbc
authentication-mode radius //配置认证模式为radius
domain default //配置默认认证域:绑定认证方案和认证服务器模板
authentication-scheme icbc
radius-server icbc
interface GigabitEthernet6/0/0
port link-type access
dot1x enable //全局使能dot1x的前提下,接口下需要使能dot1x
dot1x port-method port //设置接入控制方式为基于端口方式(默认为基于MAC)
dot1x reauthenticate //使能接口的重认证功能
(2) AR1200/2200系列路由交换一体机配置模板如下
dot1x enable //接口下打开dot1x功能
dot1x authentication-method eap //配置认证方式为EAP认证,默认为CHAP认证
dot1x timer reauthenticate-period 7200 //在重认证功能打开的前提下,设置重认证周期
dot1x quiet-period //使能静默定时器功能,默认未使能
dot1x timer quiet-period 10 //打开设备的静默定时器功能。该功能使得认证失败一定次数后(quiet-times设置),该端口在静默时间内不接收802.1x认证请求报文
dot1x quiet-times 4
dot1x dhcp-trigger //使能在接入用户运行DHCP申请动态IP地址时就触发对其进行认证,默认未使能
dot1x reauthenticate //全局模式下使能重认证功能,默认未使能
radius-server template icbc //配置认证服务器模板为icbc
radius-server shared-key simple Password123 //配置密钥
radius-server authentication 114.255.225.40 1812 //配置主用radius服务器地址和端口
radius-server authentication 114.255.225.41 1812 secondary //配置备用radius服务器地址和端口
radius-server retransmit 1 timeout 3 //设置超时时间,根据timeout*retransmit计算,当3秒连接不到主用服务器会切换到备用服务器。
aaa
authentication-scheme icbc //配置认证方案为icbc
authentication-mode radius //配置认证模式为radius
domain default //配置默认认证域:绑定认证方案和认证服务器模板
authentication-scheme icbc
radius-server icbc
interface GigabitEthernet6/0/0
port link-type access
dot1x enable //全局使能dot1x的前提下,接口下需要使能dot1x
dot1x port-method port //设置接入控制方式为基于端口方式(默认为基于MAC)
dot1x reauthenticate //使能接口的重认证功能