2024年6月1日发(作者:)

CiscoC3560C3570RADIUSMAB802.1X认证配置脚本

根据官方文档及项目资料整理,详细介绍参见(3560/3750交换机配置指导12.2

(50)以上版本radius/802.1x配置)

1、交换机启用radius认证:

aaa new-model

//交换机radius及tacacs认证配置都需要启用AAA

aaa authentication dot1x default group radius

aaa authorization network default group radius

aaa authorization exec default group radius(可选)

aaa accounting dot1x default start-stop group radius

//启用802.1x认证、授权与审计

aaa sever radius dynamic-author

client 10.1.11.161 sever-key mindray

//很重要,全是关键字,10.1.11.161(服务器地址)。

12.2(50)版本后CoA(Change of Authorization)配置开启命令,AAA服务器主

动推送CoA包,当授权状态变化时交换机接收动态授权包

dot1x system-auth-control

//(很重要)交换机全局启用dot1x,必须开启,否则MAB认证后不会主动进行

802.1x认证

ip device tracking

//很重要,跟踪设备的IP地址,替换download访问控制列表(radius服务器上配

置)原IP,没跟踪上,ping等操作都会出现问题

radius-server attribute 6 on-for-login-auth

//属性6,接入请求时发送服务类型参数,在登陆认证时,发第一个request请求,

发用户名密码时附上服务类型,AAA服务器根据服务类型决定如有线无线如何操作

radius-server attribute 8 include-in-access-req

//属性8,接入请求时发送IP地址数据帧,与以前不同,可能开始时网已经通了,在

进行802.1x认证,radius服务器也可以根据发送的IP地址进行有线无线等的操作

radius-server attribute 25 access-request include

radius-server dead-criteria time 5 tries 3