视频1 视频21 视频41 视频61 视频文章1 视频文章21 视频文章41 视频文章61 推荐1 推荐3 推荐5 推荐7 推荐9 推荐11 推荐13 推荐15 推荐17 推荐19 推荐21 推荐23 推荐25 推荐27 推荐29 推荐31 推荐33 推荐35 推荐37 推荐39 推荐41 推荐43 推荐45 推荐47 推荐49 关键词1 关键词101 关键词201 关键词301 关键词401 关键词501 关键词601 关键词701 关键词801 关键词901 关键词1001 关键词1101 关键词1201 关键词1301 关键词1401 关键词1501 关键词1601 关键词1701 关键词1801 关键词1901 视频扩展1 视频扩展6 视频扩展11 视频扩展16 文章1 文章201 文章401 文章601 文章801 文章1001 资讯1 资讯501 资讯1001 资讯1501 标签1 标签501 标签1001 关键词1 关键词501 关键词1001 关键词1501 专题2001
CISCO交换机AAA配置
2025-09-30 19:47:30 责编:小OO
文档
点击下载本文 文档为doc格式
一、RADIUS相关配置

【必要命令】

全局模式

switch(config)# aaa new-model

注:启用AAA认证

switch(config)# aaa authentication dot1x default group radius local

注:启用AAA通过RADIUS服务器做认证

switch(config)# aaa authorization network default group radius local

注:启用AAA通过RADIUS服务器做授权

switch(config)# dot1x system-auth-control

注:开启全局dot1x控制

switch(config)# dot1x guest-vlan supplicant

注:允许dot1x验证失败后加入guestvlan

switch(config)# radius-server host 10.134.1.207 auth-port 1812 acct-port 1813 key 123456

注:指定NPS服务器的ip地址、认证和授权端口、以及通信密码

switch(config)# radius-server vsa send authentication

注:允许交换机识别和使用IETF规定的VSA值,用于接受NPS分配vlan

switch(config)# ip radius source-interface vlan 2

注:当交换机有多个IP时,只允许该vlan段的IP作为发送给RADIUS服务器的IP地址

端口模式

switch(config)# interface FastEthernet0/10

注:进入端口模式(批量端口配置命令:interface range FastEthernet0/1 - 48)

switch(config-if)# switchport mode access

注:端口配置dot1x前必须设置为access模式

switch(config-if)# mab(IOS 12.2之前的版本命令:dot1x mac-auth-bypass)

注:当dot1x验证超时后会以mac为用户名密码发起验证

switch(config-if)# dot1x pae authenticator

注:设置交换机的pae模式

switch(config-if)# authentication port-control auto(IOS 12.2之前的版本命令:dot1x port-control auto)

注:设置dot1x端口控制方式,auto为验证授权

switch(config-if)# authentication event no-response action authorize vlan 3(IOS 12.2之前的版本命令:dot1x guest-vlan 3)

注:NPS验证失败时放置的vlan

【可选命令】

全局模式

switch(config)# radius-server retransmit 2

注:交换机向RADIUS服务器发送报文的重传次数

switch(config)# radius-server timeout 2

注:交换机向RADIUS服务器发送报文的超时时间

端口模式

switch(config-if)# dot1x timeout tx-period 2

注:交换机向dot1x端口定期多长时间发报文

switch(config-if)# dot1x timeout supp-timeout 2

注:交换机向客户端发送报文,客户端未回应,多长时间后重发

switch(config-if)# dot1x timeout server-timeout 2

注:交换机向RADIUS服务器发送报文,服务器未回应,多长时间后重发

二、其他

【必要命令】

SNMP设置

switch(config)# snmp-server community skylark RW

注:用于管理交换机,接收交换机相关信息

DHCP中继代理(在网关交换机上配置)

switch(config)# interface vlan 2

注:进入vlan接口

switch(config-if)# ip helper-address 10.134.1.207

注:设置DHCP地址,使不同vlan的客户端可以获取IP地址

【可选命令】

DHCP SNOOPING

switch(config)# ip dhcp snooping

注:开启全局DHCP SNOOPYING功能

switch(config)# ip dh

cp snooping vlan 2

注:指定DHCP SNOOPYING范围

switch(config)# interface g0/1

注:进入接口(配置级联端口和连接DHCP服务器的端口为信任端口)

switch(config-if)# ip dhcp snooping trust

注:设置该端口为信任端口,默认其它未设置端口则为不信任端口,丢弃不信任的DHCP报文

IP SOURCE GUARD

switch(config)# interface vlan 2

注:进入vlan接口

switch(config-if)# ip verify source port-security

注:动态绑定DHCP-SNOOPING表项,过滤掉其它数据(无port-security则只绑定ip,有port-security则是绑定ip+mac)

相关命令

show ip dhcp snooping binding

STP生成树

Switch(config-if)# spanning-tree portfast

注:生成树的端口快速转发,更加快速从DHCP获取IP地址

端口错误检测

switch(config)# errdisable recovery cause all

注:防止交换机端口因异常被关闭,恢复其正常状态

switch(config)# errdisable recovery interval 30

注:设置交换机端口故障关闭时间,过后关闭的端口自动打开下载本文

显示全文
专题
动视 51dongshi.net 版权所有
Copyright © 2019-2025