Cisco C3560 C3570 RADIUS MAB 802.1X认证配置脚本

根据官方文档及项目资料整理，详细介绍参见（3560/3750交换机配置指导12.2（50）以上版本radius/802.1x配置）1、交换机启用radius认证：aaanew-model//交换机radius及tacacs认证配置都需要启用AAAaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradiusaaaauthorizationexecdefaultgroupradius(可选)aaaaccountingdot1xdefaultstart-stopgroupradius//启用802.1x认证、授权与审计aaaseverradiusdynamic-authorclient10.1.11.161sever-keymindray//很重要，全是关键字，10.1.11.161（服务器地址）。12.2（50）版本后CoA(ChangeofAuthorization）配置开启命令，AAA服务器主动推送CoA包，当授权状态变化时交换机接收动态授权包dot1xsystem-auth-control//（很重要）交换机全局启用dot1x，必须开启，否则MAB认证后不会主动进行802.1x认证ipdevicetracking//很重要，跟踪设备的IP地址，替换download访问控制列表（radius服务器上配置）原IP，没跟踪上，ping等操作都会出现问题radius-serverattribute6on-for-login-auth//属性6，接入请求时发送服务类型参数，在登陆认证时，发第一个request请求，发用户名密码时附上服务类型，AAA服务器根据服务类型决定如有线无线如何操作radius-serverattribute8include-in-access-req//属性8，接入请求时发送IP地址数据帧，与以前不同，可能开始时网已经通了，在进行802.1x认证，radius服务器也可以根据发送的IP地址进行有线无线等的操作radius-serverattribute25access-requestincluderadius-serverdead-criteriatime5tries3//判断radius是否有问题标准，尝试3次，每次5秒，通过15秒相应，判断radius是否有问题，并做相应策略radius-serverhost10.1.11.161auth-port1812acct-port1813radius-serverkeymindray//radius服务器ip，认证审计端口配置，交换机与radius服务器通信关键字radius-servervsasendaccounting（可选）radius-servervsasendauthentication//很重要，vsa（厂商特殊属性），ISE等radius服务器有些厂商特殊属性需要下发，不开启只会下发标准属性，download访问控制列表可能会无法下发全局模式macmove配置：authenticationmac-movepermit//缺省情况当一个mac地址已经在一个交换机端口下认证过，再转移到另一个端口时会被拒绝，启用mac-move，可以使交换机端口快速开启认证，如IP电话后接PC转接交换机其他端口时快速认证（12.2（50）以后版本默认开启，12.2（50）以前版本无此配置），authenticationopen模式下，一个mac地址可以立即从原始端口move到新端口，并且不需要在新端口请求授权两个重要的基本访问控制列表配置：（1）简单列表配置（可选）：（交换机802.1X认证通过前放行部分基本流量）ipaccess-listextendedACL-DEFAULTremarkdhcppermitudpanyeqbootpcanyeqbootpsremarkdnspermitudpanyanyeqdomainremarkpingpermiticmpanyanyremarktftppermitudpanyanyeqtftpremarkdropalltherestdenyipanyanylog（2）Web重定向列表配置（可选）：（用于web认证配置时决定什么样的流量做重定向）ipaccess-listextendedWEB-REDIRECTdenyudpanyanyeqdomaindenyudpanyhost10.1.11.161eq8905denyudpanyhost10.3.220.254eq8905（接交换机设备网关，web认证时客户端会首先发包到网关，交换机做后续处理）denyudpanyhost10.1.11.161eq8906denyudpanyhost10.1.11.161eq8909denytcpanyhost10.1.11.161eq8443denytcpanyhost10.1.11.161eq8905denytcpanyhost10.1.11.161eq8909denytcpanyhost10.3.220.254eq8905（接交换机设备网关）permitipanyany2、端口0/x启用MAB和802.1x认证：MAB：macaddressbypass，mac地址旁路，用于不能做802.1x认证如打印机，AP，AvayaIP电话等设备做认证interfaceg0/xdescriptionToXXXswitchportmodeaccessswitchportaccessvlan220//（可选）数据vlan，当802.1x用户名密码认证根据用户名密码决定vlan下发时可不用配置switchportvoicevlan221//接IP电话等语音设备时必须配置，mutil-auth端口下只能有一个voicevaln可选配置：ipaccess-groupACL-DEFAULTin//调用简单列表（见上文），与authenticationopen模式配合使用可降低认证风险authenticationeventfailactionnext-method//认证失败时采用下一中认证方式，如mab失败后采用802.1xauthenticationeventseverdeadactionauthorizevlanXXX//服务器down掉时接入指定的valnauthenticationeventseveraliveactionreinitiaize//服务器alive时，重新开始认证authenticationeventno-responseactionauthorizevlanYYY//认证没有响应时接入指定vlan（guestvlan，mutil-auth端口下不可以配置guestvlan和auth-failvaln）authenticationhost-modemulti-auth//四种主机模式，mutil-auth功能最为强大，详情请参考官方交换机文档authenticationopen//低风险模式（需要配置简单的列表（见上文）并调用）authenticationordermabdot1x//先做mac地址旁路，再做802.1x（更改顺序如dot1xmab无意义）authenticationprioritydot1xmab//当两个认证都通过并获得授权，dot1x授权起效（更改顺序如mabdot1x无意义）authenticationport-controlauto//启用802.1xauthenticationviolationrestrict//交换机端口安全配置，违反限制，会发送警报信息（默认开启）mab//启用mabdot1xpaeauthenticator//（12.2（50）以前版本默认交换机是认证者，12.2（50）以后可以是客户端也可以是认证者）spanning-treeportfast3、查看接口认证结果：(1)showauthenticationsessioninterfaceg0/x//查看接口mab/dot1x认证、授权状态信息如：Test-3560(config-if)#doshowauthsessintf0/48Interface:FastEthernet0/48MACAddress:001b.4f50.9392IPAddress:10.5.222.70User-Name:00-1B-4F-50-93-92Status:AuthzSuccessDomain:VOICEOperhostmode:multi-authOpercontroldir:bothAuthorizedBy:AuthenticationServerSessiontimeout:120s(local),Remaining:52sTimeoutaction:ReauthenticateIdletimeout:N/ACommonSessionID:0A03DCF0000000010044F8BDAcctSessionID:0x00000004Handle:0xCF000001Runnablemethodslist:MethodStatemabAuthcSuccessdot1xNotrun(2)showipaccess-listsinterfaceg0/x//查看接口访问控制列表下发情况，认证成功，会主动替换源IP，如permitanyany变为permitx.x.x.xany如：Test-3560#showipaccess-listsintf0/48permitiphost10.5.222.70any(3)showipdevicetrackingintfaceg0/x//查看接口ip地址跟踪信息，可以看到valn下发状况如：Test-3560#showipdevicetrackingintf0/48IPDeviceTracking=EnabledIPDeviceTrackingProbeCount=3IPDeviceTrackingProbeInterval=30---------------------------------------------------------------------IPAddressMACAddressVlanInterfaceSTATE---------------------------------------------------------------------10.5.222.70001b.4f50.9392222FastEthernet0/48ACTIVETotalnumberinterfacesenabled:1Enabledinterfaces:Fa0/484、其他可选配置noauthenticationloggingverbosenodot1xloggingverbosenomabloggingverbose//过滤冗余认证log信息5、示例（1）完整的交换机radius配置示例：Test-3560#showrun|inradiusaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationexecdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradiusaaaaccountingdot1xdefaultstart-stopgroupradiusaaaserverradiusdynamic-authorradius-serverattribute6on-for-login-authradius-serverattribute8include-in-access-reqradius-serverattribute25access-requestincluderadius-serverdead-criteriatime5tries3radius-serverhost10.1.11.1