CISCO 交换机配置AAA、802.1X 以及 VACL CISCO 交换机配置AAA、802.1X 以及 VACL 一 启用 AAA、禁用 Telnet 以及启用 ssh 1.启用 aaa 身份验证,以进行 SSH 访问: Switch# conf t Switch(config)# aaa new-model 2.配置主机名 Switch(config)# hostname sw1 3.配置本地用户名口令,以便在带外服务器不可用时能够访问交换机 sw1(config)# username cisco password cisco 4.配置SSH sw1(config)# ipdomain-name cisco.com sw1(config)# crypto key generate rsa 5.配置交换机,使得只能通过 SSH 以带内方式访问交换机 sw1(config)# line vty 0 15 sw1(config-line)# transport input ssh sw1(config-line)# exit sw1(config)# exit 二 配置vty 的 aaa 身份验证方式,首先使用 radius 服务器,如果服务器不可用,使用本地用户名口令数据库 sw1(config)# aaa authentication login TEST group radius line sw1(config)# line vty 0 15 sw1(config-line)# login authentication TEST sw1(config-line)# exit 三 在接口上配置802.1x 1.为 radius 身份验证启用 802.1x sw1(config)# aaa authentication dot1x default group radius 2.全局启用 802.1x sw1(config)#dot1x system-auth-control 3.在接口上配置802.1x sw1(config)# int range fa0/2 - 10 sw1(config-if-range)# swtichport access vlan 10 sw1(config-if-range)# dot1x port-control auto 四 配置vacl 以丢弃所有通过tcp 端口8889 进入的桢 1.配置一个acl,以判断数据包是否通过tcp 端口8889 进入: sw1(config)# access-list 100 permit tcp any any eq 8889 2.配置vlan 访问映射表: sw1(config)# vlan access-map DROP_WORM 100 sw1(config-access-map)# match ip address 100 sw1(config-access-map)# action drop sw1(config-access-map)# exit 3.将vlan 访问表应用于合适的vlan sw1(config)#vlan filter DROP_WORM vlan 10-20 802.1x 工程笔记 在某网络测试时,工作笔记。 一、802.1x 协议起源于802.11 协议,后者是标准的无线局域网协议,802.1x 协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线 LAN 的接入。为了对端口加以控制,以实现用户级的接入控制。802.1...
