更新时间:2023-10-09
802.1X+MAB认证
流量镜像配置:
# 配置fa0/1为镜像接口,fa0/2为观察接口,观察接口索引号为1。镜像fa0/1上的双向业务流量到fa0/2上。
|
Switch# configure terminal
Switch(config)# monitor session 1 source interface fastethernet 0/1 both
Switch(config)# monitor session 1 destination interface fastethernet 0/2
|
- 执行命令configure terminal,进入全局配置模式。
- 执行命令monitor session 1 source interface fa0/1 { both | inbound | outbound } ,建立观察接口索引号为1,并将fa0/1加入该索引,镜像可以根据实际情况灵活选择入方向、出方向及全部流量;both,全部流量;inbound,入方向流量;outbound,出方向流量
- 执行命令monitor session 1 destination interface fa 0/2 设置fa0/2为监控口
准入配置:
#配置思路:
#1.配置aaa方案, 认证方式和计费方式为radius
#2.配置启用 radius 计费开始停止报文发送
#3.配置radius-server模板
#4.配置radius报文中发送认证和计费报文
#5.让思科交换机上报交换机信息,保证交换机在ac上绑定
#6.配置对应端口开启802.1x
##################################################################
#step1:配置aaa认证方案
switch#config t #进入全局配置模式
switch(config)#aaa new-model #启用aaa认证
switch(config)#aaa authentication dot1x default group radius #配置802.1x认证使用radius服务器数据库
switch(config)#aaa authorization network default group radius #配置802.1x网络授权使用radius服务器。
switch(config)#aaa accounting update newinfo #配置启用计费更新报文发送
#step2:配置启用 radius 计费开始停止报文发送
#让终端下线后,SIG上能正常下线
switch(config)#aaa accounting dot1x default start-stop group radius
switch(config)#aaa accounting network default start-stop group radius
#step3:配置radius-server模板
switch(config)#radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key sangfor@123 #指定主Radius服务器地址、通信密钥和端口
#step4:配置radius报文中发送认证和计费报文及重传时间及次数
switch(config)#radius-server vsa send authentication
switch(config)#radius-server vsa send accounting
switch(config)#radius-server configure-nas
switch(config)#radius-server attribute 8 include-in-access-req #配置交换机携带终端 IP 地址
switch(config)#radius-server retransmit 2
switch(config)#radius-server timeout 3
switch(config)#radius-server deadtime 3
#step5:让思科交换机上报交换机信息,保证交换机在SIG上绑定
switch(config)#radius-server attribute 32 include-in-access-req
switch(config)#radius-server attribute 32 include-in-accounting-req
switch(config)#dot1x system-auth-control #全局启用dot1x认证
#step6:配置端口
switch(config)#int g1/0/1 #进入需要开启802.1x认证的端口,如果需要进入多个端口,可以用指令:int range g1/0/1 - 3,表示进入端口1-3
switch(config-if)#switchport mode access #设置端口模式为访问模式
switch(config-if)#authentication port-control auto #部分思科ios没有该命令,用dot1x pae authenticator代替
switch(config-if)#dot1x port-control auto #端口开启dot1x认证
switch(config-if)#authentication host-mode multi-auth #设置端口接入模式为多认证模式,此时允许多个用户分别接入认证
exit
#step: 开启MAB认证
switch(config)#int g1/0/1
switch(config-if)#mab #开启MAB认证
switch(config-if)#dot1x timeout tx-period 120 #配置超时进行mab认证的时间 注意: 这里如果配置10秒 则进行mab认证时间为 10 * 3(根据实际选择配置)
switch(config-if)#dot1x max-reauth-req 2
switch(config-if)#exit
switch(config-if)#authentication timer reauthenticate 300
switch(config-if)#authentication timer restart 60
建议使用Chrome浏览器访问!
