思科交换机802.1x与ACS基本配置

2012-12-23天下网吧网吧方案

【大中小】

　　Cisco ACS支持dot1x交换机端口认证，通过PPP的Extensible Authentication Protocol over LAN (EAPOL)协议，只允许经过认证的接口的流量通过

　　一、首先配置ACS服务器端

　　1.在Interface Configuration下选择RADIUS(IETF)

　　2.在[064]Tunnel-Type, [065]Tunnel-Medium-Type, [081]Tunnel-Private-Group-ID前打钩，启用这三个RADIUS属性

　　3.进入Group Setup中选择0:Default Group,点击Edit Settings

　　4.下拉到IETF RADIUS Attributes

　　5.将前面配置的三个RADIUS属性配置为如图所示，注意，第二个Tag的值要改成0,代表这个Tag不生效

　　[064]Tunnel-Type的TAG1的值为"VLAN"

　　[065]Tunnel-Medium-Type的TAG1的值为"802"

　　[081]Tunnel-Private-Group-ID的值为你要分配的进行用户认证的VLAN name

　　注意：如果Tunnel-Private-Group-ID的值，与交换机上进行认证的接口的VLAN name不相同，那么授权(authorized)将会不成功

　　6.最后在Network Configuration中添加AAA客户端，指定交换机的IP地址，Authenticate Using选择RADIUS(IETF)

　　二、交换机dot1x的配置

　　switch#conf t

　　switch(config)# aaa new-model

　　switch(config)# radius-server host 192.168.10.2

　　switch(config)# radius-server key cisco

　　switch(config)# aaa authentication dot1x default group radius

　　switch(config)# aaa authorization network default group radius

　　switch(config)# dot1x system-auth-control 在交换机上启用的dot1x

　　switch(config)#vlan 2

　　switch(config-vlan)#name VLAN_JWY 其实这个名字可有可无

　　switch(config)# interface Vlan1 vlan1到ACS可达

　　switch(config -if)#ip address 10.1.1.101 255.255.255.0

　　switch(config -if)#interface fa0/20

　　switch(config -if)#switchport mode access

　　switch(config-if)#switchport access vlan 2

　　switch(config -if)#dot1x port-control auto 这个接口要进行dot1x认证

　　三、最后对客户端进行验证

　　1.点击网卡属性，修改身份验证选项里的验证方法为MD5-质询

　　注意：如果网卡属性里没有身份验证，则必须开启Wired AutoConfig服务

　　2.输入ACS上事先分配的账号密码后验证端口接入成功

本文来源：天下网吧作者：网吧方案

上一个文章：无线网络管理的六大策略问题

下一个文章： Cisco 802.1x进行自动VLAN分配

没有相关文章

聚合推荐

网咖机箱方案

LOL网吧活动方案

网吧显示器方案

网咖方案

网吧集中管理方案

路由应用方案

网维大师方案

掉线解决方案

声明

声明：本站所发表的文章、评论及图片仅代表作者本人观点，与本站立场无关。若文章侵犯了您的相关权益，请及时与我们联系，我们会及时处理，感谢您对本站的支持！联系Email：support@txwb.com，系统开号，技术支持，服务联系QQ：1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品，各位转载时请注明来源链接！

天下网吧·网吧天下