通过配置802.1x认证有哪些用处呢?本文主要从802.1x的认证配置和实现详细的讲述了配置原理和应用过程。同时对于配置的操作给出了配置命令。要使用基于端口的认证,则交换机和用户PC都要支持802.1x标准,使用局域网上的可扩展认证协议(EAPOL),802.1x EAPOL是二层协议,如果交换机端口上配置了802.1x,
那么当在端口上检测到设备后,该端口首先处于未认证状态,端口将不转发任何流量(除了CDP,STP和EAPOL),此时客户PC只能使用EAPOL协议与交换机通信,我们需要再客户PC上安装支持802.1x的应用程序(windows支持802.1x),一旦用户通过认证则该端口开始转发数据流。用户
注销时交换机端口将返回未认证状态;或者当客户
长时间没有数据流量时,会因超时停止认证状态,需要用户重新认证。再交换机上配置802.1x需要用到RADIUS服务器,在这里注意一下,AAA可以用RADIUS和TACACS+实现,但802.1x只支持RADIUS认证。
来看一下配置:(config)#aaa new-model'启动AAA。(config)#radius-server host
192.168.1.100 key netdigedu'配置RADIUS服务器地址及密钥。(config)#aaa authentication dot1x default group radius '配置802.1x默认认证方法RADIU。(config)#dot1x system-auth-control '在交换机上全局启用802.1x认证。(config)#int fa0/24(config-if)#switchport mode access(config-if)#dot1x port-control auto '设置接口的802.1x状态。状态有三种:force-authorized:端口始终处于认证状态并转发流量,这个是默认状态。force-unauthorized:端口始终处于未认证状态并不能转发流量。auto:端口通过使用802.1x与客户端交换消息在认证和未认证状态间切换。这个是我们需要的,
所以dot1x port-control 命令后一定要用auto。(config-if)#dot1x host-mode multi-host '交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。#show dot1x all '查看802.1x配置。
在cisco路由器上配置802.1x认证
时间: 2024-08-22 14:23:02
在cisco路由器上配置802.1x认证的相关文章
cisco路由器上配置TCP拦截
大家先回顾一下我之前发的"ACL中的established选项"中关于TCP的内容. 之前说过,TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服务的初始报文时,该设备响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答.那么,如果发送方并不回复ACK,主机就会因为超时而结束连接.当主机在等待这个连接超时的过程中,连接处于半开(Half-open)状态,半开连接消耗了主机的资源.在等待三次握手过程中耗尽主机资源
Cisco路由器上配置VRF-aware Site-to-Site IPsec VPN的实例
本站之前通过场景实例向大家展示了用Virtual Routing and Forwarding (VRF,虚拟路由转发)将一个路由器分割成八个虚拟路由器的方法.当时我向大家演示了如何配置VRF,在本文中我们继续使用这个场景,并通过IPsec配置,将完全一致的拓扑结构和地址复制到八个实验环境.整个环境能够顺利进行,首先需要带有ASA的虚拟路由与Cisco 路由器建立VPN.这需要 VRF参与的IPsec.因此我需要一种方法能够实现完全一致的 isakmp 策略,一致的pre-shared keys
在CISCO路由器上配置NAT功能
随着internet的网络迅速发展,IP地址短缺已成为一个十分突出的问题.为了解决这个问题,出现了多种解决方案.下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能. 一.NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请.在网络内部,各计算机间通过内部的IP地址进行通讯.而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的
Cisco路由器上配置pppoe拨号
Router#show run Building configuration... Current configuration : 1115 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption hostname Router ! no logging on enable secret 5 $1$oyeO$b.DP73YbQ
《CCNP安全Secure 642-637认证考试指南》——第6章 配置与实施802.1X认证(基础)
第6章 配置与实施802.1X认证(基础)CCNP安全Secure 642-637认证考试指南本章涵盖以下内容. 规划基本的802.1X部署:介绍与802.1X部署有关的基本知识.为Cisco Catalyst交换机配置认证方:介绍认证方的详细配置过程.为Cisco ACS配置EAP-FAST:介绍EAP-FAST的详细配置过程.为Cisco SSC配置请求方:介绍请求方的详细配置过程.802.1X的验证与排错:介绍排错时需要考虑的各种因素.这一章将介绍802.1X认证架构的各种功能.在信息时代
dot1x-请教802.1x认证配置的windows脚本,哪位大神会写啊。
问题描述 请教802.1x认证配置的windows脚本,哪位大神会写啊. 鼠标操作,就是手动添加无线认证设置,勾选1x认证,然后去掉一些认证选项.求大神!!!
cisco路由器的配置命令
当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,每位管理员都有其自己的"正确"配置每台路由器的命令列表.笔者将和你分享他自己配置路由器的十条命令列表. 当谈到配置一台新的Cisco路由器,多数配置依赖于路由器的类型以及它将服务的用途.然而,有一些东西是你在每台新的Cisco路由器上都应该配置的. 有哪个命令的标准是你希望思科在每台路由器上都使用的吗?每位管理员都其自己的"正确"配置每台路由器的命令. 这是我认为你应该在每台路由
Cisco路由器上如何防止DDoS
Cisco路由器上防止分布式拒绝服务(DDoS)攻击的一些建议 1.使用 ip verfy unicast reverse-path 网络接口命令 这个功能检查每一个经过路由器的数据包.在路由器的CEF(Cisco Express Forwarding)表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包.例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),
《IS-IS网络设计解决方案》一6.3 Cisco路由器上实现IS-IS SPF
6.3 Cisco路由器上实现IS-IS SPF IS-IS网络设计解决方案在特定的路由器平台上对某种协议的实现对网络操作者来说几乎是透明的,不同厂商的产品之间遵循标准以实现互操作性.特定厂商的协议实施细节及软件代码通常具有厂商的专利.但无论如何,一名网络工程师如果想要更好地了解特定平台上的IS-IS原理和操作方法,都要学习各种参数,如默认计时器.标志位.默认参数以及如何配置方面.此外,如ISO 10589和RFC 1195这类标准也提供了非常有用的指导.本节对Cisco路由器上IS-IS协议的