思科交换机作为接入设备时IMC以及iNode客户端的配置注意事项(共6页).doc

《思科交换机作为接入设备时IMC以及iNode客户端的配置注意事项(共6页).doc》由会员分享，可在线阅读，更多相关《思科交换机作为接入设备时IMC以及iNode客户端的配置注意事项(共6页).doc（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上1 IMC以及iNode客户端的配置注意事项iNode客户端上要启用多播报文发起认证和思科交换机进行配合Cisco2950c2950-i6q4l2-mz.121-22.EA11Cisco2960c2960-lanlite-mz.122-44.SE2Cisco3550c3550-ipservicesk9-mz.122-44.SE2Cisco3750c3750-advipservicesk9-mz.122-44.SE2Cisco3560ec3560e-universal-mz.122-44.SE2IMC上，把思科交换机启用混合组网方式，才能看到在线用户列表，也有可能不用配

2、置。2 CISCO产品部署配置及注意事项说明注意：所有Cisco设备的接口须进行no shutdown操作后方可使用；2.1 Cisco35502.1.1 EAD配合部署说明在EAD解决方案中使用Cisco3550交换机作为接入设备时的配合部署说明如下：1802.1X EAP认证方式（Cisco设备不支持802.1X chap和pap认证方式）；2Guest-Vlan功能可部署（静态/动态方式获取IP地址）：guest-vlan的切换由Cisco设备上802.1X计时器tx-period来控制；例如，在接入端口配置dot1x timeout tx-period 8，则发起802.1X认证后等待

3、8秒切换到guest-vlan；需要注意这个计时器不能配置的太短，必须让设备完成802.1X认证过程，建议在使用guest-vlan时配置为58秒；3因Cisco设备不支持802.1X扩展，故无法部署“上传客户端IP地址”功能，iMC上无法绑定客户端IP；4客户PC的MAC地址可以通过EAD认证上传至iMC服务器，iMC上可以绑定客户PC的MAC地址；5Cisco交换机作为接入设备时，无法通过iMC服务器为用户下发ACL，因此无法使用“隔离模式”，即使用户被设置为隔离状态，仍然能够正常访问所有的网络资源；6Cisco设备上可通过配置aaa accounting update periodic命

4、令来启用/设置计费报文的更新时间（例如：aaa accounting update periodic 1，此处数值1的单位为minute，范围为1-）；用户异常下线时，Cisco设备不支持802.1X握手，无法检测，故仍旧周期性向iMC服务器发送计费更新报文，据此iMC服务器认为用户仍然在线，但iMC服务器与iNode客户端间的4次EAD握手报文超时后，iMC服务器会将该用户放入隔离区，该用户仍然在线，但在线信息中的安全状态变为隔离；该用户从原先的接入交换机重新认证后可正常上线，如切换至新的接入交换机进行认证，因该用户已有在线信息，则会导致认证失败；7强制授权端口功能可正常部署；8因iMC服务

5、器无法识别Cisco设备radius报文中上传的接入端口和接入vlan信息，故无法部署“vlan绑定”、“端口绑定”功能；9Cisco3550交换机上可正常部署mac-auth-bypass功能，但需注意以下几点：启用802.1X mac-auth-bypass功能的接入端口不能同时启用guest-vlan功能、dot1x host-mode只能配置为single-host模式、下行不能串连其他网络设备、只能接入一台主机或打印机等终端设备、接入的终端设备必须使用DHCP方式获取IP地址、radius服务器上必须创建一个以终端设备的MAC地址为用户名和密码的帐号并且该帐号不得使用安全策略；10C

6、isco3550交换机不支持通过iMC服务器为用户下发接入VLAN功能，无法部署；11当前Cisco版本不支持基于MAC地址的802.1X认证方式，仅支持基于端口的802.1X认证方式；需要注意一点，Cisco设备基于端口的802.1X认证方式下，接入端口可以配置两种Dot1x主机模式（single-host和multi-host）；默认配置为single-host模式时，同一接入端口不允许下挂有多台主机，否则Cisco设备会自动检测并关闭端口；当配置为multi-host模式时，同一接入端口可以下挂多台主机，但只要有一台主机上的用户通过802.1X认证及EAD安全检查，则该端口下挂的其他所有

7、主机将拥有访问网络的同等权限，网络安全存在隐患；12用户上线后，iMC服务器上用户在线信息中显示正确的项如下：帐号名、用户姓名、登录名、服务名、用户分组、接入时间、接入时长（通过accounting update报文定期更新）、用户IP地址、用户MAC地址、安全状态、设备IP地址、设备启动时间、客户端语言、客户端版本、客户端端口号；13EAD的在线重认证功能可正常部署；14Cisco设备不支持802.1X握手，只能依靠iMC服务器和iNode客户端间的EAD握手报文来判断用户是否正常在线，但iMC服务器不会主动踢除异常用户，且因Cisco接入交换机无法检测用户的异常下线，仍旧不停发送计费更新报

8、文给iMC服务器，这样首先会导致异常下线用户的上线计时、计费出现错误；其次因无法控制Cisco设备为用户下发隔离ACL，iMC服务器针对异常用户的隔离操作无法成功生效，导致iNode客户端异常后，用户PC可以无需重新认证即可使用所有的网络资源，存在安全隐患；15Radius服务器备份可正常部署，Cisco接入交换机上通过配置多个radius服务器进行备份，按照配置顺序依次查找可用的radius服务器，各radius服务器间的切换机制通过radius计时器进行控制，详见配置举例；多个radius服务器备份时需要注意一点，从iNode客户端发起安全检查会话至iMC服务器响应安全检查的时间间隔不得超

9、过6秒，否则会导致iNode客户端的安全检查会话失败、用户下线，即多个radius服务器之间的切换时间不得超过6秒（可以通过接入交换机上的radius计时器进行控制）；16反复进行802.1X用户上下线，Cisco接入设备稳定无异常；17代理服务器/IE代理检测功能可部署，但需注意：当前iNode客户端无法针对IE代理功能进行实时监控，即认证和安全检查通过后再进行IE代理功能设置时，iNode无法检测，只有在认证前设置的IE代理功能可以被检测；代理服务器可以实时检测；2.1.2 配置举例/* 配置设备名称 */hostname Cisco3550!/* 配置AAA认证参数 */aaa new-

10、modelaaa authentication dot1x default group radiusaaa authorization network default group radius/* 配置周期性发送计费更新报文，必须配置，数值可依实际情况设定，单位分钟，斜体部分为系统自动添加的配置，无需理会 */aaa accounting update periodic 1 jitter maximum 0aaa accounting dot1x default start-stop group radiusaaa accounting network default start-stop g

11、roup radius!/* 全局下开启802.1X认证控制 */dot1x system-auth-control/* 允许802.1X认证请求者加入guest-vlan */dot1x guest-vlan supplicant!/* 配置802.1X接入端口，类型必须为access */interface FastEthernet0/3 switchport access vlan 30 switchport mode access dot1x pae authenticator /* 配置802.1X认证端口控制方式为auto，由系统根据802.1X认证通过与否来决定端口的up/dow

12、n状态及端口的访问权限 */dot1x port-control auto/* 配置802.1X接入端口下连的主机模式；默认设置为single-host模式时（默认配置不显示），一个端口只允许一个用户接入；设置为multi-host模式时一个端口可允许多个用户接入，但需注意只要有一个用户通过802.1X认证及EAD安全检查，同一端口下连的其他所有用户都将拥有同等访问网络的权限 */dot1x host-mode single-host dot1x violation-mode protect /* 配置802.1X两次认证间的静默时间，即认证失败/下线后间隔多长时间允许再次发起认证，建议配置为

13、1秒 */ dot1x timeout quiet-period 1 /* 配置802.1X发起认证等待的超时时间，如启用了guest-vlan，该计时器不宜配置过长或过短，过短会因认证过程未完成而计时器超时导致认证失败，过长会导致切换到guest-vlan较慢，建议配置为58秒 */ dot1x timeout tx-period 5 /* 启用802.1X的guest-vlan功能并指定guest-vlan所属vlan id */ dot1x guest-vlan 60/* cisco默认情况下spanning-tree是开启的，当dot1x认证成功后，cisco设备上该端口就会报up，此

14、时生成树要等待30s才能转发报文，会导致和安全检查服务器连接超时，解决方法就是在端口开启spanning-tree portfast */ spanning-tree portfast!/* 配置上行接口 */interface FastEthernet0/12 switchport access vlan 30 switchport mode access!interface Vlan30 ip address 30.1.1.4 255.255.255.0!interface Vlan60 ip address 60.1.1.25 255.255.255.0!ip route 172.16.

15、0.0 255.255.255.0 30.1.1.33!/* radius报文中携带的属性格式必须配置为c类型，以便iMC服务器能够识别 */radius-server attribute nas-port format c/* 配置radius认证服务器及认证端口、计费端口等参数，认证端口和计费端口须与radius服务器上的设置相匹配 */radius-server host 172.16.0.2 auth-port 1812 acct-port 1813radius-server host 172.16.0.1 auth-port 1812 acct-port 1813/* 配置向radi

16、us服务器发起认证的重传次数和超时时间，当前iNode客户端的安全检查会话超时时间为6秒，故需在6秒内完成802.1X认证和EAD安全检查，避免因安全检查会话超时导致认证失败，此处建议retransmit次数配置为1、timeout时间配置为2秒 */radius-server retransmit 1radius-server timeout 3/* 当配置有多个radius服务器时，为避免网络振荡等不稳定因素导致用户认证在不同radius服务器间频繁切换，建议配置30分钟的deadtime计时器，即在计时器超时之前不再尝试向原先因无法通信标记为dead的radius服务器发起认证请求 */

17、radius-server deadtime 30/* 配置radius报文的加密密钥，须与radius服务器上配置的加密密钥相匹配 */radius-server key h3c!/* 启用802.1X mac-auth-bypass功能时接入端口的配置如下 */interface FastEthernet0/23 switchport access vlan 600 switchport mode access dot1x pae authenticator dot1x port-control auto /* 启用802.1X接入端口的mac-auth-bypass功能，在正常802.1

18、X认证超时后系统会以获取到的下连终端设备的MAC地址为用户名、密码向radius服务器发起认证 */ dot1x mac-auth-bypass /* 启用mac-auth-bypass功能的接入端口的host-mode必须配置为single-host */ dot1x host-mode single-host dot1x violation-mode protect dot1x timeout quiet-period 1 /* 启用mac-auth-bypass功能的802.1X接入端口需等待该计时器超时后方可发起mac-auth-bypass方式的认证过程，可根据实际情况为该计时器配置一个较小的值 */ dot1x timeout tx-period 5spanning-tree portfast专心-专注-专业