浅析神洲数码交换机802.1X认证.docxVIP

神洲数码交换机 802.1X 认证 张光明 周传金 这几天没事，我周传金看了下三层交换机的 802.1X 认证，看能不能用三层交换机完全取代路由器， 通过初步测试，三层交换机的 802.1X 认证完全可以达到认证的目的，但认证限速最终还是由认证服务 器通知交换机，让交换机开启端口限速来达到限速的目的，而交换机的端口限速确存在很大弊端。这里 把交换机的 802.1X 认证设置写出来，如果你不用限速，完全可以只用交换机而不用路由器。下边只对 802.1X 认证作简要说明 一、在交换机上开启 802.1X 认证 、 全局模式下设置认证服务器 、 全局模式下开启 AAA 认证 、 全局模式下开启 1X 认证 、 全局模式下设置认证前可访问资源 、 进入开启 1X 认证的端口 、 开启此端口的 1X 认证 、 开启此端口的认证方式 、 设置此端口的 1X 认证授权状态 具体命令如下： Switch(Config)#radius-server authentication host 10.103.117.7 // 配置认证服务器 IP Switch(Config)# radius-server accounting host 10.103.117.7 // 配置计费服务器 IP Switch(Config)# radius-server key 123 // 配置认证服务器的共享密钥 Switch(Config)#aaa enable // 开启 AAA 认证 Switch(Config)#aaa-accounting enable // 开启 AAA 计费功能 Switch(Config)#dot1x enable // 开启 802.1x 认证 Switch(Config)#dot1x user free-resource 10.103.117.0 255.255.255.0 // 设置认证前可访问资源 Switch(Config)#interface Ethernet 0/0/1 // 进入端口 //开启端口的1X //开启端口的1X认证 设置认证方式为 userbased //设置授权状态为auto Switch(Co nfig-Ethernet0/0/1)#dot1x port-method userbased // Switch(Config-Ethernet0/0/1)#dot1x port-control auto 说明：802.1X 认证方式中的portbased :当此端口下有一台计算机通过认证，其它计算机就可以不认证了，建 议不用此方式。建议使用 macbased 或userbased 方式 、在一台计算机上安装认证服务器（此例我使用的是 win radius ） Windows平台下的软件，安装就不费话了。 配置如下： 1、设置共享密钥，与交换机相同 可「吋间：认证方袪 可「吋间：认证方袪... 二 计费月法.… 日志… 姿重密钥?… 2、使用数据库 取消 删际账号 修故朕导 输出錯果 [X 琶看罄助 快作:二］二 忝加账导一 3、添加帐号 预览塔果… 打少绪果 打EJ设置?… 思出也 自动配置ODBC ODBC^g： WinRadius tbUEfS 计费记录表名; IbLngs 如1氏己录炭名: tbVoJP 该数据库支持dynaset Radius.mdbo您也可以通过点 请在崔制面板J ODBC中设置HADIDS数据库。 缺蛍数据库是WinRadius.mdb^ *?二心 击卞面後钿把该数据库添加到您的ODBC系统 每隔 □分钟刷新一次用户信息 注笔主如杲需憂username/password,请输入 ,yourOdbcName：Uid=yourUGernam e： Pvnl = yourPas sword*. 用户账号表名[ ］籲 i定 i : 1 、客户计算机设置 客户计算机要使用认证客户端程序，两种选择： 1、XP自带；2、专用客户端，任选其一 1、 XP自带802.1X 认证设置 当客户机网卡需要身份认证时系统托盘区会弹出如下提示: 单击上图中的气泡提示就会弹出登录框 输入正确的用户名和密码就可以了（登录域不用填） XP自带1X客户端的缺点： 网卡尝试身份验证是在XP启动后与交换机连接时弹出气泡提示，如果没有认证后面就不会再提示 了，只有把网卡禁用再启用让它与交换机重新连接时才有气泡提示，甚至很多时间不会有气泡提示， 很是麻烦。所以我还是建议用专用客户端程序。 2、 专用客户端 以神州数码的客户端为列（其它交换机的客户端也可以，只要它支持标准 1X就行） 如果使用神州数码私有802.1X，就不能使用标准radius认证服务器，而要使用神州数码的认证 服务器（这些面向电信级用户的东西，你就不