cisco交换机基本模式配置手册

-I-LANEnforcer–CISCO基本模式配置手册SYMANTEC公司2005.12.15-II-版权信息本文件的版权属于SYMANTEC公司，任何形式的散发都必须事先得到SYMANTEC公司的书面许可。COPYRIGHT©2004-2005://保密条款本方案中涉及大量的SYMANTEC公司的机密和专有信息。这些信息只能用于对本方案的评估，而不得泄漏，复制或用于其它目的。-III-目录1、策略管理服务器配置........................................................................................................................12、安装安全代理....................................................................................................................................33、交换机的配置....................................................................................................................................43、LANENFORCER的设置...............................................................................................................74．MICROSOFTRADIUS配置步骤...............................................................................................15-1-1、策略管理服务器配置1)安装SQL2000或oracle2)安装SMS4.03)安装LANEeforcer，在安装的时候选择“作为LANEnforcer”如下图所示；4)登陆SMS，进入“Policies”配置页面，“checkout”Global组；5)进入“setting”子页面；点击“AdvancedSetting”，系统弹出配置页面，坐如下图所示的设置；-2-6)点击窗口“OK”关闭窗口，继续点击页面以保存设置；-3-2、安装安全代理安装成功之后：-4-3、交换机的配置1)在此只给出CISCO2950T配置文件（注意交换机的版本必须是增强的ISO）。Switch#showrunBuildingconfiguration...Currentconfiguration:1910bytes!version12.1noservicepadservicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryptionhostnameSwitchaaanew-modelaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradiusipsubnet-zerospanning-treemodepvstnospanning-treeoptimizebpdutransmissionspanning-treeextendsystem-iddot1xsystem-auth-controlinterfaceFastEthernet0/1switchportmodeaccessdot1xport-controlautodot1xtimeoutquiet-period30dot1xtimeoutreauth-period30dot1xtimeoutsupp-timeout2dot1xmax-req10dot1xguest-vlan2dot1xreauthenticationspanning-treeportfastinterfaceFastEthernet0/2switchportmodeaccess-5-dot1xport-controlautodot1xtimeoutquiet-period30dot1xtimeoutreauth-period30dot1xtimeoutsupp-timeout2dot1xmax-req10dot1xguest-vlan2dot1xreauthenticationspanning-treeportfastinterfaceFastEthernet0/3interfaceFastEthernet0/4interfaceFastEthernet0/5interfaceFastEthernet0/6interfaceFastEthernet0/7interfaceFastEthernet0/8interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11interfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17interfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23interfaceFastEthernet0/24interfaceGigabitEthernet0/1interfaceGigabitEthernet0/2interfaceVlan1ipaddress192.168.100.221255.255.255.0noiproute-cache-6-interfaceVlan2noipaddressnoiproute-cacheshutdowniphttpserverradius-serverhost192.168.100.222auth-port1812acct-port1813keyq1w2e3r4radius-serverretransmit3linecon0linevty515-7-3、LANEnforcer的设置1)进入SMS中的LANEnforcer的配置页面2)点击进入LANEnforcer的“Authentication”配置页面，如下图：3)配置LANEnforcer和交换机通讯的端口，默认是1812，也可以改为1645端口，但是必须和交换机的端口设置一致；4)点击图中的“Add”以打开“交换机和Radius配置”页面；-8-5)在“SwitchMode”中选择交换机品牌，本文中我们选择“CISCO”；6)在下面输入交换机的IP地址；7)依次在下面输入交换机的再次认证时间间隔，默认下是30秒。需要注意的是这个时间间隔必须和交换机上设置的此参数保持一致；8)基本模式下“RADIUSserverIPaddress”输入微软的RADIUS的地址9)在下面的端口设置中输入“1812”，此端口必需和交换机设置的端口一致；10)在“Switch-RADIUSShareSecret”输入和交换机一致的一个字符串；配置好之后的界面如下图所示：-9-11)启用动态VLAN，随后点击“Add”以增加VLAN设置，如下图所示：-10-因为我们在交换机中设置了两个VLAN，所以我们接下去再设置一个VLAN，这两个VLAN的编号要和交换机的VLAN的一致。-11-12)昀后设置LANEnforcer对SSA的处理行为。图中左边第一列是主机完整性的检查结果，第二列是802.1X的认证结果，第三列是“SwitchAction”，点击这一列下面的任何一行后出现下面四种选择，如下面图中的红圈处所示：13)根据左边的检查结果依次设定交换机的处理动作。在base模式下，我们将不选择，忽略RADIUS服务器发来的EAP认证结果，这样主机完整性结果和EAP认证结果，这之后的昀终截图如下：-12-14)在“SwitchAction”选择处理结果时，另外两个选项“openport”和“closeport”当交换机不支持动态VLAN时，直接用作打开或者关闭端口。15)下面是LANEnforcer在接受到了策略管理服务器昀新策略后的界面。-13-点击界面的“设置”后：选择图中的”cisco”交换机，再点击右边的“查看”：-14--15-4．MicrosoftRADIUS配置步骤802.1x支持许多的认证方式，包括一些昀普遍的认证协议像是EAP-TLS,EAP-TTLS,EAP-PEAP。802.1x的认证机制需要在企业网络内架设认证服务器（譬如RADIUSServer）。目前微软的Windows2000及XP已成为许多计算机使用的操作系统，而802.1x需使用到的认证软件已内含在Windowsadvancedserver2000及Windows2003Server的IAS内，802.1xclient所需的软件也已内含在Windows2000及XP中。不论您采用的是EAP-TLS，或是EPA-TTLS，或是PEAP的认证方式，您都可能需要用到Windowsadvancedserver2000或Windows2003Server内的CertificateService。此文档将教你如何搭建微软认证服务器，配置如下说明。一．以下的配置说明，所使用到的设备及软件如下：1.使用一台PC，这台PC安装了Windows2000AdvancedServerSP4，WindowsAdvancedServer2000的CertificateService及Windows2000的IAS，并将这台计算机设成主域控制器(DomainController)，rootCA，及将这台PC当成局域网的认证服务器。2.使用PEAP-MS-CHAPv2认证协议。3.交换机用CISCO2950T4.笔记型计算机使用WindowsXP二.架设步骤：1.安装Windows2000AdvancedServer并将这部计算机升级到SP4。2.将这部计算机设定成ActiveDirectory的DomainController。3.将您的notebook加入新建立的网域。在下面的图一中，notebook名称是TIGER，网域名称是radius.com。将网络使用者加入网域的Users内4.如果您装Windows2000AdvancedServer时，没有安装IAS的话，请依照以-16-下步骤，在这部DomainController上安装IAS(InternetAuthenticationService)：按「开始/设定/控制台/新增移除程序/新增移除Windows组件/网络服务」（如下图二所示）。接着按「详细数据」按钮。在昀后这个画面上（如下图三所示），选取「Internet验证服务」，然后按「确定」按钮，接着按「下一步」按钮。计算机接着会自动安装IAS。图二图三-17-5.如果您装Windows2000Server时，没有安装CertificateServices的话，请依照以下步骤，在这部DomainController上安装CertificateServices按「开始/设定/控制台/新增移除程序/新增移除Windows组件/CertificateS