思科中文技术社区 » 无边界网络 » 原创:802.1x配置guest vlan和auth-fail vlan
返回列表回 复 发 帖
资深网络
工程
路基工程安全技术交底工程项目施工成本控制工程量增项单年度零星工程技术标正投影法基本原理
师
UID 116199
帖子 321
精华 2
威望 428
CC币 88
积分 421
阅读权限 150
注册时间 2010-2-1
原创:802.1x配置guest vlan和auth-fail vlan
mast 发表于 2010-2-4 17:22 | 只看该作者 1 楼打印 字体大小:
本人2008年实施802.1x+AD过程中的一个测试
测试环境:
Cisco2960 ios:c2960-lanbasek9-mz.122-44.SE2.bin
Radius Cisco ACS 4.1
HP笔记本 winxp sp3,在ACS中没有验证信息,不能通过验证。
SONY笔记本 winxp sp3,在ACS中有验证信息,可以通过验证。
1、首先正常的配置802.1x的所有配置,在做测试的接口的配置如下:
interface FastEthernet0/5
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x violation-mode protect
dot1x timeout tx-period 1
dot1x timeout supp-timeout 1
spanning-tree portfast
此时,SONY笔记本用ACS中的账号登录时可以通过验证,能正常的访问网络;不采用ACS中的账号,
登录时不能通过验证,无法访问网络。HP笔记本没有ACS账号,不能通过验证,端口处于down的状态。
2、增加验证失败的配置
在fa0/5接口上增加以下配置
dot1x auth-fail vlan 109 //当验证失败时将端口划到vlan109中
SONY笔记本不采用ACS中的账号登录系统,不能通过验证,系统提示“需要其他信息以连接到网络”;
HP笔记本也不能通过验证,系统提示“windows无法将您连接到网络,与网络管理员联系”,但将该接口上
的网线拔下在插上去,反复三次,当第三次插上去的时候,交换机fa0/5端口的指示灯变成了绿色,Windows
仍然报错,但网络已通,用sh int status命令查看,fa0/5端口已被划分到vlan 109中,测试网络通讯正常。
而SONY笔记本的网线无论插拔多少次,端口都不能转为正常。
再增加以下配置
dot1x auth-fail max-attempts 1 //设定验证失败的最大次数
SONY笔记本的结果与前面的一样。
HP笔记本插上fa0/5号端口,不到1秒钟,端口就转为正常,并被划分到vlan 109中,Windows仍然提示无法连接到网
络,
但网络可正常访问。
3、增加guest vlan的设置
增加以下配置
dot1x guest-vlan 108 //不支持EAP的划分到vlan 108中
SONY笔记本不能通过验证,Windows的提示信息和前面的一样;
HP笔记本插上fa0/5号端口后,端口马上就转变为正常,并被划分到vlan 109中,网络访问正常。
删掉以下配置
dot1x auth-fail vlan 109
dot1x auth-fail max-attempts 1
端口马上就变成黄灯,网络不可使用;
在全局模式下增加以下配置
dot1x guest-vlan supplicant
注册 登录
页码,1/3(W)w
2010/11/30http://bbs.cisco-club.com.cn/viewthread.php?tid=1184
SONY笔记本的网线插入fa0/5号端口,约1秒钟,端口指示灯转变为绿色,用sh int status命令查看,该端口被划分到
vlan 108中,
网络可正常访问。
HP笔记本的网线插入fa0/5号端口后,约1分钟,端口指示灯转变为绿色,端口被划分到vlan 108中,网络通讯正常。
在fa0/5号端口下,增加以下配置
dot1x timeout quiet-period 1
SONY笔记本接入后的现象与前面一样,端口被划分到vlan108中,网络可以访问。
HP笔记本接入后,时间大为缩短,约2秒钟,端口就转为正常,并被划分到vlan 108中,网络通讯正常。
此时,再在接口上加入验证失败时的配置
dot1x auth-fail vlan 109
dot1x auth-fail max-attempts 1
SONY笔记本接入后的现象与前面一样,端口被划分到vlan 108中。
HP笔记本接入后在1秒中之内端口就转为正常,并被划分到vlan 109中。
最后的配置:
dot1x system-auth-control
dot1x guest-vlan supplicant
!
!
interface FastEthernet0/5
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x host-mode multi-host
dot1x violation-mode protect
dot1x timeout quiet-period 1
dot1x timeout tx-period 1
dot1x timeout supp-timeout 1
dot1x guest-vlan 108
dot1x auth-fail vlan 109
dot1x auth-fail max-attempts 1
spanning-tree portfast
!
以上是本人试验的结果,由于找不到win98的系统,所以对于不支持802.1x的系统的测试是不完全的,但大家应该能够从
这个测试中
看到一些有趣的现象,希望对大家能够有所帮助。
收藏 分享
回复 引用
网管员
1582009 发表于 2010-2-5 09:31 | 只看该作者 2 楼
谢谢共享。如果能够提供一些ACS上面Radius的配置信息,就更加perfect。
页码,2/3(W)w
2010/11/30http://bbs.cisco-club.com.cn/viewthread.php?tid=1184
UID 116281
帖子 84
精华 0
威望 97
CC币 13
积分 96
阅读权限 90
注册时间 2010-2-3
回复 引用 TOP
返回列表
CISCO-CLUB | 联系我们 | Archiver
GMT+8, 2010-11-30 11:26, Processed in 0.024349 second(s), 6 queries.
Powered by Discuz! 7.1
© 2001-2009 Comsenz Inc.
页码,3/3(W)w
2010/11/30http://bbs.cisco-club.com.cn/viewthread.php?tid=1184