锐捷802.1x交换机的配置

【实验名称】 

 锐捷RG-S2126G系列接入层交换机的802.1与Radius协议配置。

【实验目的】 

        掌握锐捷RG-S2126G系列接入增交换机基于802.1x与Radius协议结合RG-SAM2.1认证版实现安全接入认证的配置。

【预备知识】 

●IEEE802.1x；

●Radius；

●二层交换

【背景描述】 

         假设您是某公司的网络管理人员，鉴于公司网络安全管理的需要，需要实现对用户接入公司网络进行必要的身份控制，公司决定部署基于IEEE802.1x与RADIUS协议的认证管理系统。

本实验是RG-SAM2.1认证版系列实验的第一步。在进行相关实验之前，首先要配置锐捷21系列接入层交换机开启802.1x与Radius协议。

【实现功能】 

 实现LAN接入的安全身份认证。 

【实验拓扑】 

【实验设备】 

 ．RG-S2126G一台；

2．PC机一台，用于配置交换机的终端。

【实验步骤】 

第一步：查看交换机版本信息

验证测试：

查看交换机版本信息：

Switch>show version

S2126G) By

S8m:40s

System hardware version : 3.3

System software version : 1.5(1) Build Mar  3 2005 Temp

S2126G-BOOT  03-02-02

S2126G-CTRL  03-05-02

Running Switching Image : Layer2

Switch>

第二步：初始化交换机配置

所有的交换机在开始进行配置前，必需先进行初始化，清除原有的一切配置，命令如下：

Switch>

Switch>enable

Switch#delete flash:config.text 删除配置 （在实验室实验时请实验指导老师清除相关配置）

Switch#reload

…..

Switch#configure terminal  进入配置层

Switch(config)#

验证测试：

使用命令show running-config命令查看配置信息，删除原始配置信息后该命令的打印结果如下：

Switch#show running-config

Building configuration...

Current configuration : 318 bytes

!

version 1.0

!

hostname Switch

vlan 1

!

end

Switch#

第三步：

Switch#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Switch(config)#ip default-gateway 192.168.0.1 设置交换机默认网关，实现跨网段管理交换机

Switch(config)#interface vlan 1

Switch(config-if)#ip address 192.168.0.2 255.255.255.0

Switch(config)#exit

Switch(config)#enable secret level 1 5 star

Switch(config)#enable secret level 15 5 star

Switch(config)#radius-server host 192.168.0.185 auth-port 1812 

 指定RADIUS服务器的地址及UDP认证端口

Switch(config)#aaa accounting server 192.168.0.185   指定记账服务器的地址

Switch(config)#aaa accounting acc-port 1813  指定记账服务器的UDP端口

Switch(config)#aaa authentication dot1x   开启AAA功能中的802.1x认证功能

Switch(config)#aaa accounting  开启AAA功能中的记账功能

Switch(config)#radius-server key s 设置RADIUS服务器认证字

Switch(config)#snmp-server community public rw 

为通过简单网络管理协议访问交换机设置认证名（public为缺省认证名） 并分配读写权限

Switch(config)#interface fastEthernet 0/4    实验中将在4号接口启动802.1x的认证

Switch(config-if)#dot1x port-control auto  设置该接口参与802.1x认证

Switch(config-if)#exit

Switch(config)#exit

Switch#write

Building configuration...

[OK]

Switch#

验证测试：

将两台PC（使用192.168.0.0/24网段的地址，实验中客户端PC使用地址192.168.0.44/24，服务器使用地址192.168.0.185/24）连接到交换机除4号端口外的其他任意两个端口上，在任何一个PC上进行连通性测试（ping）。在客户端上使用命令ping 192.168.0.185，能够ping通。

命令执行结果序下图所示：

将客户端PC或服务器PC接到4号端口，在其中的一台PC上ping另一台PC，则不能够ping通。

命令结果如下图所示：

【问题与思考】

1．请写出将全部端口设为认证端口的命令

Switch(config)#interface  range  fasfEthernet 0/1-24

2．请写出将一个认证端口设为免认证的命令

Switch(config)#interface  range  fasfEthernet 0/1

【参考配置】

R2126G的配置信息：

Switch#show running-config

Building configuration...

Current configuration : 521 bytes

!

version 1.0

!

hostname Switch

vlan 1

!

radius-server host 192.168.0.185

aaa authentication dot1x

aaa accounting server 192.168.0.185

aaa accounting

enable secret level 1 5 $2-/-aeh3'~1'dfi4+.t{bckQ,|7zygl

enable secret level 15 5 $21'dfim3.t{bckn4|7zygloQ/-aeh`@

!

interface fastEthernet 0/4

 dot1x port-control auto

!

interface vlan 1

 no shutdown

 ip address 192.168.0.2 255.255.255.0

!

radius-server key star

ip default-gateway 192.168.0.1

snmp-server community public rw

end

Switch#