Chinaunix首页 | 论坛 | 博客
  • 博客访问: 750874
  • 博文数量: 256
  • 博客积分: 3502
  • 博客等级: 中校
  • 技术积分: 3988
  • 用 户 组: 普通用户
  • 注册时间: 2012-04-17 21:13
文章分类

全部博文(256)

文章存档

2014年(11)

2013年(134)

2012年(111)

我的朋友

分类:

2012-07-13 15:49:13

Cisco ACS支持dot1x交换机端口认证,通过PPP的Extensible Authentication Protocol over LAN (EAPOL)协议,只允许经过认证的接口的流量通过

 

一、首先ACS服务器端

1.在Interface Configuration下选择RADIUS(IETF)

2.在[064]Tunnel-Type, [065]Tunnel-Medium-Type, [081]Tunnel-Private-Group-ID前打钩,启用这三个 RADIUS属性

3. 进入Group Setup中选择0:Default Group,点击Edit Settings

4.下拉到IETF RADIUS Attributes

5. 将前面配置的三个RADIUS属性配置为如图所示,注意,第二个Tag的值要改成0,代表这个Tag不生效

  • [064]Tunnel-Type的 TAG1的值为“VLAN”
  • [065]Tunnel-Medium-Type的 TAG1的值为“802”
  • [081]Tunnel-Private-Group-ID的值为你要分配的进行用户认证的VLAN name

注意:如果Tunnel-Private-Group-ID的值,与交换机上进行认证的接口的VLAN name不相同,那么授权(authorized)将会不成功

 

6. 最后在Network Configuration中添加AAA客户端,指定交换机的IP地址,Authenticate Using选择RADIUS(IETF)

二、交换机dot1x的配置

#conf t
switch()# aaa new-model
switch(config)# radius-server host 192.168.10.2
switch(config)# radius-server key cisco
switch(config)# aaa authentication dot1x default group radius
switch(config)# aaa authorization network default group radius
switch(config)# dot1x system-auth-control   
               在交换机上启用的dot1x
switch(config)#vlan 2
switch(config-vlan)#name VLAN_JWY  其实这个名字可有可无
switch(config)# interface Vlan1                                      vlan1到 ACS可达
switch(config -if)#ip address 10.1.1.101 255.255.255.0
switch(config -if)#interface fa0/20
switch(config -if)#switchport mode access
switch(config-if)#switchport access vlan 2
switch(config -if)#dot1x port-control auto   这个接口要进行dot1x认证  

三、最后对客户端进行验证

1.点击网卡属性,修改身份验证选项里的验证方法为MD5-质询

注意:如果网卡属性里没有身份验证,则必须开启Wired AutoConfig服务

2. 输入ACS上事先分配的账号密码后验证端口接入成功

阅读(1207) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~