CISCO交换机配置AAA.docxVIP

CISCO交换机配置AAA、802.1X以及VACL（转）一启用AAA、禁用Telnet 以及启用 ssh1.启用aaa身份验证，以进行SSH访问：Switch# conf tSwitch(config)# aaa new-model2.配置主机名Switch(config)# hostname sw13.配置本地用户名口令，以便在带外服务器不可用时能够访问交换机sw1(config)# username cisco password cisco4.配置SSHsw1(config)# ipdomain-name sw1(config)# crypto key generate rsa5.配置交换机，使得只能通过SSH以带内方式访问交换机sw1(config)# line vty 0 15sw1(config-line)# transport input sshsw1(config-line)# exitsw1(config)# exit二配置vty的aaa身份验证方式，首先使用radius 服务器，如果服务器不可用，使用本地用户名口令数据库sw1(config)# aaa authentication login TEST group radius linesw1(config)# line vty 0 15sw1(config-line)# login authentication TESTsw1(config-line)# exit三在接口上配置802.1x1.为radius身份验证启用802.1xsw1(config)# aaa authentication dot1x default group radius2.全局启用802.1xsw1(config)#dot1x system-auth-control3.在接口上配置802.1xsw1(config)# int range fa0/2 - 10sw1(config-if-range)# swtichport access vlan 10sw1(config-if-range)# dot1x port-control auto四配置vacl以丢弃所有通过tcp端口8889进入的桢1.配置一个acl，以判断数据包是否通过tcp端口8889进入：sw1(config)# access-list 100 permit tcp any any eq 88892.配置vlan访问映射表：sw1(config)# vlan access-map DROP_WORM 100sw1(config-access-map)# match ip address 100sw1(config-access-map)# action dropsw1(config-access-map)# exit3.将vlan访问表应用于合适的vlansw1(config)#vlan filter DROP_WORM vlan 10-20802.1x工程笔记在某网络测试时，工作笔记。一、802.1x协议起源于802.11协议，后者是标准的无线局域网协议，802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制，以实现用户级的接入控制。802.1x就是IEEE为了解决基于端口的接入控制（Port-Based Access Control）而定义的一个标准。1、802.1X首先是一个认证协议，是一种对用户进行认证的方法和策略。2、802.1X是基于端口的认证策略（这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN一样的逻辑端口，对于无线局域网来说个“端口”就是一条信道）3、802.1X的认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功那么就“打开”这个端口，允许文所有的报文通过；如果认证不成功就使这个端口保持“关闭”，此时只允许802.1X的认证报文EAPOL（Extensible Authentication Protocol over LAN）通过。二、802.1X的认证体系分为三部分结构：Supplicant System，客户端(PC/网络设备)Authenticator System，认证系统Authentication Server System，认证服务器三、认证过程1、认证通过前，通道的状态为unauthorized，此时只能通过EAPOL的802.1X认证报文；2、认证通过时，通道的状态切换为 authorized，此时从远端认证服务器可以传递来用户的信息，比如VLAN、CAR参数、优先级、用户的访问控制列表等等；3、认证通过后，用户的流量就将接受上述参数的监管，此时该通道可以通过任何报文，注意只