#全局配置switch#configterminal,现在小编就来说说关于ciscovlan通讯设置?下面内容希望能帮助到你,我们来一起看看吧!
ciscovlan通讯设置?#全局配置switch#config terminal,现在小编就来说说关于ciscovlan通讯设置?下面内容希望能帮助到你,我们来一起看看吧!
ciscovlan通讯设置
温馨提示:提前搭建好的NPS服务器,或其他Radius服务器Cisco交换机配置:#全局配置
switch#config terminal
switch(config)#aaa new-model #启用aaa认证
switch(config)#dot1x system-auth-control #全局启用dot1x认证
#配置radius-server模板
switch(config)#radius server XXX_rd
Switch(config-radius-server)#address ipv4 10.0.24.18 auth-port 2812 acct-port 2813
Switch(config-radius-server)#key wkGKXGbZHjYhYmRzH #指定主Radius服务器地址、通信密钥和端口
Switch(config-radius-server)#exit
#配置 aaa group
switch(config)#aaa group server radius XXX_rg
Switch(config-sg-radius)#server name XXX_rd
Switch(config-sg-radius)#exit
#配置aaa认证方案
switch(config)#aaa authentication dot1x default group XXX_rg #配置802.1x认证使用radius服务器数据库
switch(config)#aaa authorization network default group XXX_rg #配置802.1x网络授权使用radius服务器。
switch(config)#aaa accounting update periodic 6 #配置启用计费更新报文发送
#配置启用 radius 计费
switch(config)#aaa accounting dot1x default start-stop group XXX_rg
switch(config)#aaa accounting network default start-stop group XXX_rg
switch(config)#radius-server attribute 8 include-in-access-req #配置交换机携带终端 IP 地址
#配置端口
switch(config)#int g1/0/6 #进入需要开启802.1x认证的端口,如果需要进入多个端口,可以用指令:int range g1/0/1 - 3,表示进入端口1-3
switch(config-if)#switchport mode access #设置端口模式为访问模式
switch(config-if)#authentication port-control auto #部分思科ios没有该命令,用dot1x pae authenticator代替
switch(config-if)#dot1x port-control auto #端口开启dot1x认证
switch(config-if)#authentication host-mode multi-auth #设置端口接入模式为多认证模式,此时允许多个用户分别接入认证
switch(config-if)#exit
#开启MAB认证
switch(config)#int g1/0/6
switch(config-if)#mab #开启MAB认证
switch(config-if)#dot1x timeout tx-period 10 #配置超时进行mab认证的时间 注意:这里如果配置10秒则进行mab认证时间为 10 * 3
switch(config-if)#dot1x max-reauth-req 2
switch(config-if)#exit
#开启逃生vlan
switch(config)#int g1/0/6
switch(config-if)#authentication event server dead action reinitialize vlan 101
switch(config-if)#exit
#开启 guest-vlan
switch(config)# dot1x guest-vlan supplicant #开启允许 802.1x 客户端进入 guest-vlan
#端口下配置 guest-vlan
switch(config)#int g1/0/6
switch(config-if)#authentication event no-response action authorize vlan 101
switch(config-if)#exit
#开启 coa
switch(config)#aaa server radius dynamic-author
switch(config-locsvr-da-radius)#client 10.0.24.18 server-key wkGKXGbZHjYhYmRzH
switch(config-locsvr-da-radius)#exit
