dot1x cisco交换机配置模板
1.1 配置模板
1.1.1 Cisco交换机配置模板(生产&办公)
1)Radius配置:
aaa new-model---------配置AAA认证参数
aaa authentication login default line
aaa authentication dot1x default group radius------设置dot1x默认的认证服务器是RADIUS服务器组
aaa authorization network default group radius--------配置授权服务器为Radius服务器
aaa accounting update periodic 3
aaa accounting dot1x default start-stop group radius---配置dot1x认证时发送计费开始/结束报文,计费服务器为RADIUS服务器组
aaa accounting network default start-stop group radius
radius-server attribute nas-port format c-----配置交换机以C类格式发送描述端口号的Radius属性
radius-server host X.X.X.X auth-port 1812 acct-port 1813 key key_cisco----配置主用Radius服务器(IP地址是总行生产/办公认证服务器地址)
radius-server host X.X.X.X auth-port 1812 acct-port 1813 key key_cisco-----配置备用Radius服务器(IP地址是分行生产/办公逃生服务器地址)
radius-server source-ports 1645-1646
radius-server retransmit 1
radius-server timeout 3
snmp-server community NM_CITICIB RO--------SNMP配置
ip radius source-interface vlan X-------------3560等多地址的交换机必须配置, “X”是管理地址的vlan编号。
2)接口配置:
interface FastEthernet0/x
switchport mode access------接口先配置成access模式,才有dot1x命令
dot1x port-control auto-----接口使能dot1x认证
dot1x mac-auth-bypass-----接口使能mac认证
spanning-tree portfast
3)全局启用
dot1x system-auth-control----------全局使能802.1x认证
1.1.2 服务器准入配置模板
1) Cisco交换机:
全局下:
snmp-server community NM_CITICIB RO-----设置SNMP只读参数为:NM_CITICIB
snmp-server enable traps mac-notification-----开启snmp server的mac信息改变trap给IMC
snmp-server host X.X.X.X NM_CITICIB mac-notification---“X.X.X.X”指生产或办公的IMC服务器地址
mac-address-table notification----使能MAC地址改变通知特性
接口下:
interface FastEthernet0/X------在需要启用服务器准入的接口启用
snmp trap mac-notification added---mac信息的添加trap给IMC
snmp trap mac-notification removed---mac信息的移除trap给IMC