2024年6月1日发(作者:)

1 IMC以及iNode客户端的配置注意事项

iNode客户端上要启用多播报文发起认证和思科交换机进行配合

Cisco2950

Cisco2960

Cisco3550

Cisco3750

Cisco3560e

11

2

2

2

2

IMC上,把思科交换机启用混合组网方式,才能看到在线用户列表,也有可能不用配置。

2 CISCO产品部署配置及注意事项说明

注意:所有Cisco设备的接口须进行no shutdown操作后方可使用;

2.1 Cisco3550

2.1.1 EAD配合部署说明

在EAD解决方案中使用Cisco3550交换机作为接入设备时的配合部署说明如下:

1.802.1X EAP认证方式(Cisco设备不支持802.1X chap和pap认证方式);

2.Guest-Vlan功能可部署(静态/动态方式获取IP地址):guest-vlan的切换由Cisco设备上

802.1X计时器tx-period来控制;例如,在接入端口配置dot1x timeout tx-period 8,则

发起802.1X认证后等待8秒切换到guest-vlan;需要注意这个计时器不能配置的太短,

必须让设备完成802.1X认证过程,建议在使用guest-vlan时配置为5~8秒;

3.因Cisco设备不支持802.1X扩展,故无法部署“上传客户端IP地址”功能,iMC上无法绑

定客户端IP;

4.客户PC的MAC地址可以通过EAD认证上传至iMC服务器,iMC上可以绑定客户PC的MAC

地址;

5.Cisco交换机作为接入设备时,无法通过iMC服务器为用户下发ACL,因此无法使用“隔

离模式”,即使用户被设置为隔离状态,仍然能够正常访问所有的网络资源;

6.Cisco设备上可通过配置aaa accounting update periodic命令来启用/设置计费报文的更

新时间(例如:aaa accounting update periodic 1,此处数值1的单位为minute,范围为

1-2147483647);用户异常下线时,Cisco设备不支持802.1X握手,无法检测,故仍旧

周期性向iMC服务器发送计费更新报文,据此iMC服务器认为用户仍然在线,但iMC服务

器与iNode客户端间的4次EAD握手报文超时后,iMC服务器会将该用户放入隔离区,该

用户仍然在线,但在线信息中的安全状态变为隔离;该用户从原先的接入交换机重新认