本文介绍如何在 Dell Networking Force10 交换机上启用 802.1x 身份验证。
目标
- 什么是 802.1x?
- 要记住的重要事项
- 启用 802.1x
- 设置 RADIUS 服务器连接
- 验证配置
什么是 802.1x?
802.1X 是一种端口安全方法。连接到启用了 802.1X 的端口的设备不可在网络上发送或接收数据包,直到可以验证其身份(例如,通过用户名和密码)。此功能以其 IEEE 规范命名。
802.1X 采用可扩展身份验证协议 (EAP),使用强制的中间网络访问设备(在本示例中为 Dell Networking 交换机)将设备凭据传输到身份验证服务器(通常为 RADIUS)。网络访问设备在最终用户设备和身份验证服务器之间调节所有通信,从而使网络保持安全。网络访问设备使用 EAP-over-Ethernet (EAPOL) 和 EAP-over-RADIUS 分别与最终用户设备和服务器通信。
Dell Networking 操作系统 (OS) 通过 EAP-MD5、EAP-OTP、EAP-TLS、EAP-TTLS、PEAPv0、PEAPv1 和 MS-CHAPv2 以及 PEAP 支持 802.1X。
要记住的重要事项
- Dell Networking 操作系统 (OS) 通过 EAP-MD5、EAP-OTP、EAP-TLS、EAP-TTLS、PEAPv0、PEAPv1 和 MS-CHAPv2 以及 PEAP 支持 802.1X。
- 所有平台仅支持 RADIUS 作为身份验证服务器。
- 如果主 RADIUS 服务器无响应,验证器将开始使用辅助 RADIUS 服务器(如果已配置)。
启用 802.1x
命令 |
“Parameters(参数)” |
FTOS# configure |
进入配置模式。 |
FTOS(conf)# dot1x authentication |
全局启用 dot1x 身份验证 |
FTOS(conf)# interface range te 1/1 – 2 |
输入要配置的特定端口范围。 |
FTOS(conf-if-te-1/1-2)# switchport |
在接口上启用第 2 层交换机端口模式。 |
FTOS(conf-if-te-1/1-2)# dot1x authentication |
在指定范围内的端口级别上启用 dot1x 身份验证。 |
设置 RADIUS 服务器连接
命令 |
“Parameters(参数)” |
FTOS# configure |
进入配置模式。 |
FTOS(conf)#radius-server host 10.180.58.10 |
设置指向 RADIUS 服务器位置的 IP 地址或主机名。 |
FTOS(conf)#radius-server key {encryption-type} key |
将 RADIUS 服务器密钥设置为与 RADIUS 服务器握手。 加密类型选项包括: 0 指定将使用未加密密钥 7 指定将使用隐藏的密钥 LINE 未加密(明文)用户密钥(最多 42 个字符) |
FTOS(conf)#dot1x auth-server radius |
将 dot1x 身份验证服务器识别为 RADIUS 服务器。 |
验证 802.1x 配置
以下命令将显示交换机上配置的 802.1x。
FTOS#show running-config | find dot1x
dot1x authentication
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73