设置RADIUS客户端的名称和IP地址。客户端IP地址即交换机的管理IP地址,我们这里是172.17.2.250,等会说明如何配置。
设置共享密钥和认证方式。认证方式选择\,密钥请记好,等会配置交换机的时候这个密钥要相同。
显示已创建的RADIUS客户端
在交换机上启用认证机制
现在对支持IEEE 802.1x认证协议的交换机进行配置,使它能够接授用户端的认证请求,并将请求转发给RADIUS服务器进行认证,最后将认证结果返回给用户端。在拓扑图中: RADIUS认证服务器的IP地址为172.17.2.254/24 交换机的管理IP地址为172.16.2.250/24
需要认证的计算机接在交换机的FastEthernet0/5端口上
因此我们实验时只对FastEthernet0/5端口进行认证,其他端口可不进行设置。具体操作如下: 使用Console口登陆交换机,设置交换机的管理IP地址 Cisco2950>enable
Cisco2950#configure terminal
Cisco2950(config)#interface vlan 1 (配置二层交换机管理接口IP地址) Cisco2950(config-if)#ip address 172.17.2.250 255.255.255.0 Cisco2950(config-if)#no shutdown Cisco2950(config-if)#end Cisco2950#wr
在交换机上启用AAA认证 Cisco2950#configure terminal
Cisco2950(config)#aaa new-model (启用AAA认证)
Cisco2950(config)#aaa authentication dot1x default group radius (启用dot1x认证) Cisco2950(config)#dot1x system-auth-control (启用全局dot1x认证) 指定RADIUS服务器的IP地址和交换机与RADIUS服务器之间的共享密钥
Cisco2950(config)#radius-server host 172.17.2.254 key slyar.com (设置验证服务器IP及密钥) Cisco2950(config)#radius-server retransmit 3 (设置与RADIUS服务器尝试连接次数为3次)
配置交换机的认证端口,可以使用interface range命令批量配置端口,这里我们只对FastEthernet0/5启用IEEE 802.1x认证
Cisco2950(config)#interface fastEthernet 0/5
Cisco2950(config-if)#switchport mode access (设置端口模式为access) Cisco2950(config-if)#dot1x port-control auto (设置802.1x认证模式为自动)
Cisco2950(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为10秒) Cisco2950(config-if)#dot1x timeout reauth-period 30 (设置认证失败重连时间为30秒) Cisco2950(config-if)#dot1x reauthentication (启用802.1x认证) Cisco2950(config-if)#spanning-tree portfast (开启端口portfast特性) Cisco2950(config-if)#end Cisco2950#wr 测试802.1x认证接入
1、将要进行认证接入的计算机接入交换机的FastEthernet0/5端口,设置IP地址为172.17.2.5(随便设置,只要不跟认证服务器IP及交换机管理IP冲突即可)
2、在\本地连接\的\验证\标签栏中启用IEEE 802.1x验证,EAP类型设置为\质询\,其余选项可不选。
3、如果之前配置没有问题,过一会即可看到托盘菜单弹出要求点击进行验证
4、点击之后会弹出类似锐捷客户端一样的登陆框,要求输入用户名和密码。这里我们输入之前配置的用户名\,密码\,确定。
5、验证成功后可以ping一下172.17.2.254进行验证,同时可以观察到交换机FastEthernet0/5端口指示灯已经由黄色变为绿色。
为保证计算机支持802.1x验证,请确认Wireless Configuration服务正常开启。
6、可以通过\控制面板\管理工具\中的\事件查看器\系统\子选项观察802.1x的验证日志。
Radius认证服务器的配置与应用讲解
