您好,欢迎访问三七文档
当前位置:首页 > 行业资料 > 冶金工业 > cisco交换机配置802.1x的相关命令
cisco交换机配置802.1x的相关命令2010-07-2818:58Router(config)#aaanew-model!启用aaaaaaauthenticationdot1xdefaultgroupradius!dot1x使用radius做认证aaaauthorizationnetworkdefaultgroupradius!使用802.1x协议去动态分配vlan的话,上边的这句命令一定要有dot1xsystem-auth-control!允许802.1xport-based认证dot1xguest-vlansupplicant!允许交换机在端口802.1x认证失败后,指定vlan到guest-vlanradius-serverhost192.168.1.1auth-port1812acct-port1813keyPassword!设置radiusserver的ip地址和端口,以及认证的passwordradius-serverretransmit3!在发送的radius请求没有相应的情况下的重新传递次数radius-servervsasendauthentication!vsa是Vendor-Specificattributes的缩写,如果需要通过802.1x来指定端口的vlan,需要这条配置命令。!下边的是需要重点配置的,由于dot1x默认的几个超时和重试都比较高。如果遇到没有验证的主机的话,切换到guest-vlan的时间就会比较晚,造成主机显示无法连接,影响了用户的体验。其实在局域网环境中,超时值可以设置的相对低一些。interfaceFastEthernet0/3switchportmodeaccess!dot1x指定vlan,switchportmode必须为accessdot1xport-controlauto!开启dot1x端口认证dot1xtimeoutquiet-period10!switch在与client认证失败后的静默时间。默认是60s,我设置为10dot1xtimeouttx-period4dot1xtimeoutsupp-timeout4!switch和client之间认证等待的时间dot1xtimeoutserver-timeout4!switch到radiusserver的timeout时间dot1xmax-req2!switch和client之间认证重试的次数,默认是2次dot1xguest-vlan80!设定尝试失败后所设置的guest-vlandot1xhost-modemulti-host!host-mode是针对在端口下通过hub有多台机器上网的问题设置的。默认的single-host只允许一台机器能够使用该端口;如果是multi-host,那么只要第一台能够认证通过,那么其他接到这个hub的机器就都能使用,但是如果第一台认证的机器没有通过认证,那么这个hub上的任何机器就都fail掉。
三七文档所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
扫描二维码
Wolfkaikai
本文标题:cisco交换机配置802.1x的相关命令
链接地址:https://www.777doc.com/doc-5133228 .html