802.1X协议是二层的一个协议,其主要作用就是对交换机端口进行验证,只有通过的身份难的用户才可以访问局域网内部的资源;
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
默认情况下,当我们的交换网络搭建好了以后,有人用自己的移动计算机插入到交换机的某个接口上,便可以自由访问我们局域网内的资源;为了保护我们局域网内部资源的安全,这时我们可以通过应用802.1X认证协议对交换机端口进行身份认证,只有通过认证的用户才可以访问局域网的资源
交换机端口的状态
1、未授权状态,只能传送EAPOLY、CDP、STP的数据
2、授权状态,通过认证、授权以后可以传送所有数据流量
802.1X认证的角色
1、客户端
2、交换机
3、认证服务器(安装ACS软件)
认证服务器通过AAA(authentication authorization accounting)服务器的方式来搭建
4、安装ACS软件的注意事项
(1)服务器要和交换机可以PING通
(2)服务器要有JAVA的支持
(3)IE浏览器要版本6.0以上
搭建AAA服务器可以使用RADIUS和TACACS+协议,二者的区别如下:
1、
RADIUS是公有的协议,而TACACS+是私有的协议
2、
RADIUS协议的认证和授权端口为UDP协议的1645或者1812,统计端口为1813或者1646端口;TACACS+协议使用的是TCP协议的49端口
3、
TACACS+比RADIUS协议安全
配置交换机时,端口可以指定的认证类型:
1、force-authorized (强制授权状态)
2、force-unauthorized (强制非授权状态)
3、auto (自动模式)
在交换机上配置802.1X认证
/*开启AAA服务*/
Aaa new-module
Radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key cisco
Exit
/*802.1X认证*/
Aaa authentication dot1x default group radius
Radius-server vsa send authentication
Aaa authorization dot1x default group radius
/*全局模式下开启802.1X认证*/
Dot1x system-auth-control
Interface f0/1
Switchport mode access
Dot1x port-control auto
转载于:https://blog.51cto.com/01011/410986