المصادقة السلكية 802.1x على محول من السلسلة Catalyst 3550 ومثال تكوين ACS الإصدار 4.2
المحتويات
المقدمة
يقدم هذا المستند مثال تكوين IEEE 802.1x الأساسي مع الإصدار 4.2 من خادم التحكم في الوصول (ACS) من Cisco وبروتوكول خدمة الوصول عن بعد في المستخدم (RADIUS) للمصادقة السلكية.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن أنت:
- قم بتأكيد إمكانية الوصول إلى IP بين ACS والمحول.
- تأكد من أن منافذ بروتوكول مخطط بيانات المستخدم (UDP) 1645 و 1646 مفتوحة بين ACS والمحول.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- المحولات Cisco Catalyst 3550 Series Switches
- Cisco Secure ACS، الإصدار 4.2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
مثال على تكوين المحول
- دخلت in order to عينت ال RADIUS نادل ومفتاح مشترك مسبقا، هذا أمر:
Switch(config)# radius-server host 192.168.1.3 key cisco123
- لتمكين وظيفة 802.1x، أدخل هذا الأمر:
Switch(config)# dot1x system-auth-control
- لتمكين المصادقة والتفويض والمحاسبة (AAA) ومصادقة RADIUS والتفويض بشكل عام، أدخل الأوامر التالية:
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
awitch(Config)# aaa authorization network default group radius
Switch(Config)# aaa accounting dot1x default start-stop group radiusSwitch(config-if)# switchport mode acces
Switch(config-if)# switchport access vlan
Switch(config-if)# authentication port-control auto (12.2.50 SE and later)
Switch(config-if)# dot1x port-control auto (12.2.50 SE and below)
Switch(config-if)# dot1x pae authenticator (version 12.2(25)SEE and below)
Switch(config-if)# dot1x timeout quiet-period
Switch(config-if)# dot1x timeout tx-period
تكوين ACS
- لإضافة المحول كعميل AAA في ACS، انتقل إلى تكوين الشبكة > إضافة إدخال AAA client، وأدخل هذه المعلومات:
- عنوان IP: <IP>
- سر مشترك: <key>
- المصادقة باستخدام: RADIUS (Cisco IOS®/PIX 6.0)
- لتكوين إعداد المصادقة، انتقل إلى تكوين النظام > إعداد المصادقة العامة، وتحقق من تحديد خانة الاختيار السماح بمصادقة MS-CHAP الإصدار 2:
- لتكوين مستخدم، انقر فوق إعداد المستخدم في القائمة، ثم أكمل الخطوات التالية:
- أدخل معلومات المستخدم: مسؤول الشبكة <username>.
- طقطقة يضيف/يحرر.
- أدخل الاسم الحقيقي: مسؤول الشبكة <اسم وصفي>.
- إضافة وصف: <إختيارك>.
- حدد مصادقة كلمة المرور: قاعدة بيانات ACS الداخلية.
- أدخل كلمة المرور: ........ <password>.
- أكد كلمة المرور: <password>.
- انقر على إرسال.
التحقق من الصحة
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم "أداة مترجم الإخراج" لعرض تحليل لمُخرَج الأمر show.
دخلت هذا أمر in order to أكدت أن تشكيلك يعمل بشكل صحيح:
- show dot1x
- show dot1x ملخص
- show dot1x قارن
- show authentication session interface <interface>
- show authentication interface <interface>
Switch(config)# show dot1x
_________________________________________________
Sysauthcontrol Enabled
Dot1x Protocol Version 3
_________________________________________________
Switch(config)# show dot1x summary
_________________________________________________
Interface PAE Client Status
_________________________________________________
Fa0/4 AUTH
_________________________________________________
Switch(config)# show dot1x interface fa0/4 detail
_________________________________________________
Dot1x Info for FastEthernet0/4
_________________________________________________
PAE = AUTHENTICATOR
PortControl = FORCE_AUTHORIZED
ControlDirection = Both
HostMode = SINGLE_HOST
QuietPeriod = 5
ServerTimeout = 0
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 10
استكشاف الأخطاء وإصلاحها
يوفر هذا القسم أوامر تصحيح الأخطاء التي يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.
- debug dot1x all
- تصحيح أخطاء المصادقة الكل
- debug radius (يوفر معلومات عن RADIUS على مستوى تصحيح الأخطاء)
- مصادقة debug aaa (تصحيح الأخطاء للمصادقة)
- تخويل debug aaa (تصحيح الأخطاء للتخويل)
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
09-Sep-2013 |
الإصدار الأولي |
التعليقات