在RADIUS服务器新建RADIUS客户端。鼠标右键单击'RADIUS客户端',选择'新建RADIUS客户端'。
设置RADIUS客户端的名称和IP地址。客户端IP地址即交换机的管理IP地址,我们这里是172.17.2.250
设置共享密钥和认证方式。认证方式选择'RADIUS Standard',密钥请记好,等会配置交换机的时候这个密钥要相同。
显示已创建的RADIUS客户端
RADIUS认证服务器的IP地址为172.17.2.254/24交换机的管理IP地址为172.16.2.250/24需要认证的计算机接在交换机的FastEthernet0/5端口上。因此我们实验时只对FastEthernet0/5端口进行认证,其他端口可不进行设置。具体操作如下:Cisco2950>enableCisco2950#configure terminalCisco2950(config)#interface vlan 1 (配置二层交换机管理接口IP地址)Cisco2950(config-if)#ip address 172.17.2.250 255.255.255.0Cisco2950(config-if)#no shutdownCisco2950(config-if)#endCisco2950#wr在交换机上启用AAA认证Cisco2950#configure terminalCisco2950(config)#aaa new-model (启用AAA认证)Cisco2950(config)#aaa authentication dot1x default group radius (启用dot1x认证)Cisco2950(config)#dot1x system-auth-control (启用全局dot1x认证)指定RADIUS服务器的IP地址和交换机与RADIUS服务器之间的共享密钥Cisco2950(config)#radius-server host 172.17.2.254 key slyar.com (设置验证服务器IP及密钥)Cisco2950(config)#radius-server retransmit 3 (设置与RADIUS服务器尝试连接次数为3次)配置交换机的认证端口,可以使用interface range命令批量配置端口,这里我们只对FastEthernet0/5启用IEEE 802.1x认证Cisco2950(config)#interface fastEthernet 0/5Cisco2950(config-if)#switchport mode access (设置端口模式为access)Cisco2950(config-if)#dot1x port-control auto (设置802.1x认证模式为自动)Cisco2950(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为10秒)Cisco2950(config-if)#dot1x timeout reauth-period 30 (设置认证失败重连时间为30秒)Cisco2950(config-if)#dot1x reauthentication (启用802.1x认证)Cisco2950(config-if)#spanning-tree portfast (开启端口portfast特性)Cisco2950(config-if)#endCisco2950#wr
测试802.1x认证接入,将要进行认证接入的计算机接入交换机的FastEthernet0/5端口,在'本地连接'的'验证'标签栏中启用IEEE 802.1x验证,EAP类型设置为'MD5-质询',其余选项可不选。
一会即可看到托盘菜单弹出要求点击进行验证,
点击之后会弹出类似锐捷客户端一样的登陆框,要求输入用户名和密码。这里我们输入之前配置的用户名'',密码'123',确定。
验证成功后可以ping一下172.17.2.254进行验证,同时可以观察到交换机FastEthernet0/5端口指示灯已经由黄色变为绿色。为保证计算机支持802.1x验证,请确认Wireless Configuration服务正常开启。
可以通过'控制面板'-'管理工具'中的'事件查看器'-'系统'子选项观察802.1x的验证日志。