標籤: Cisco

cisco學習-在cisco路由器上配置802.1x認證

通過配置802.1x認證有哪些用處呢?本文主要從802.1x的認證配置和實現詳細的講述了配置原理和應用過程。同時對於配置的操作給出了配置命令。

  要使用基於端口的認證,則交換機和用戶PC都要支持802.1x標準,使用局域網上的可擴展認證協議(EAPOL),802.1x EAPOL是二層協議,如果交換機端口上配置了802.1x,那麽當在端口上檢測到設備後,該端口首先處於未認證狀態,端口將不轉發任何流量(除了CDP,STP和EAPOL),此時客戶PC只能使用EAPOL協議與交換機通信,我們需要再客戶PC上安裝支持802.1x的應用程序(windows支持802.1x),壹旦用戶通過認證則該端口開始轉發數據流。用戶註銷時交換機端口將返回未認證狀態;或者當客戶長時間沒有數據流量時,會因超時停止認證狀態,需要用戶重新認證。

  再交換機上配置802.1x需要用到RADIUS服務器,在這裏註意壹下,AAA可以用RADIUS和TACACS+實現,但802.1x只支持RADIUS認證。

  來看壹下配置:

  (config)#aaa new-model                                                     ‘啟動AAA。

  (config)#radius-server host 192.168.1.100 key netdigedu ‘配置RADIUS服務器地址及密鑰。

  (config)#aaa authentication dot1x default group radius     ‘配置802.1x默認認證方法RADIU。

  (config)#dot1x system-auth-control                                    ‘在交換機上全局啟用802.1x認證。

  (config)#int fa0/24

  (config-if)#switchport mode access

  (config-if)#dot1x port-control auto                                      ‘設置接口的802.1x狀態。

  狀態有三種:

  force-authorized:端口始終處於認證狀態並轉發流量,這個是默認狀態。

  force-unauthorized:端口始終處於未認證狀態並不能轉發流量。

  auto:端口通過使用802.1x與客戶端交換消息在認證和未認證狀態間切換。這個是我們需要的,所以dot1x port-control 命令後壹定要用auto。

  (config-if)#dot1x host-mode multi-host      ‘交換機端口下連接多臺PC時(通過Hub或交換機)需要配置這個命令,默認只支持對壹臺PC認證。

  #show dot1x all       ‘查看802.1x配置。

Cisco認證簡介

Cisco(思科)的網絡工程師證書(CCIE),是網絡工程系列證書的代表,它以路由選擇與交換技術、WAN交換解決方案為中心,包括從網絡設計到網絡支持的多門學科,為妳提供多樣而靈活的選擇來發展妳的事業。它最早出現於1993年,設有五個專門的分支領域:路由器和轉換器、全域網絡及其轉換、ISP撥號、大型機專用的系統網絡架構SSA、網絡集成及設計。CCNA是Cisco職業認證中的第壹步,中級認證是CCNP,最高級別的認證是Cisco認證的互聯網專家(CCIE),該認證是業界最受尊重的網絡互聯專業認證。   證書要求技術人員通過壹個兩小時的計算機考試和壹個在思科公司實驗室裏進行的為期兩天的試驗考核。試驗考核尤其要求應試者對思科公司的網絡設備和通用網絡有較深刻的理解。   參加思科的計算機考試需要200美元,試驗考核需要1000美元。培訓課程費用視各人情況不等,如果自學程度高,可能只需要1420美元,如果需要大量課堂教學,費用可能上升到4100—6300美元左右。預計通過認證的總費用在6000—8000美元左右。通過思科證書認證的人,基本的平均回報是工資上浮10%—20%,以及更多的公司培訓機會和令人滿意的職位。

Cisco TFTP Server的使用

實驗目的:

  學會使用TFTP Server。

  1.2 實驗內容

  了解TFTP Server的意義;

  學習如何使用TFTP Server來保存路由器上flash及startup-config等配置文件;

  學習如何通過TFTP Server來載入保存則配置文件;

  1.3 實驗步驟:

  按照下面的指示,連接網絡設備

  

  1、首先我們需要有壹個TFTP Server運行在我們的網絡中;

  2、壹旦我們啟用了壹個TFTP Server,那麽我們在路由器上有必要用PING命令來確保該TFTP Server可以到達,當然還有記錄下妳的TFTP Server的地址是多少,比如在此我們使用192.168.1.25作為我們的TFTP Server的地址,如果該地址的PING沒有問題的話,就可以直接使用copy flash tftp了,但如果存在問題的話,就必須先解決該問題然後再使用copy flash tftp命令;

  3、我們還應該在本地路由器上查看壹下我們的flash的容量大小及其中IOS操作系統的文件名,可以使用命令show flash來查看;

  4、Router#copy flash tftp

  IP address or name of remote host[255.255.255.255]?

  此處詢問妳要求存放妳的flash的服務器的地址是什麽這裏我們輸入192.168.1.25然後press ENTER;

  (1)filename to write on tftp host?

  此處詢問在目的地保存該flash的文件為什麽?我們在此輸入lab_b.ios就可以了;

  (2)隨後妳會看到:

  writing lab_b.ios !!!!!!!!!!!! …… !!!!!!!!!!!!!!!!!!!

  5926652 bytes copied in 82.712 secs(71654 bytes/sec)

  以上的信息說明妳的保存已經成功完成了,copy flash tftp已經成功完成了,壹旦這個復制命令完成了,路由器會告訴我們,復制過去的文件占用了TFTP Server多少空間,壹共耗時多少;

  (3)   然後我們來學習如何載入保存在TFTP Server中的IOS備份文件:

  (4)   首先壹樣我們先要確認該TFTP Server服務器可以到達,其次我們要用show flash命令來確認我們的路由器中有足夠的空間來載入新的IOS軟件,最後還要到遠程服務器上檢查我們新的IOS的文件是什麽,由於我們是在實驗環境下,所以我們只要在簡單查看壹下就可以,我們的文件名為lab_b.ios;

  (5)   如果沒有問題了,就可以輸入:

  Router#copy tftp flash

  在IP address or name of remote host[255.255.255.255]下輸入192.168.1.25;

  在Name of tftp filename to copy into flash[]?

  輸入lab_b.ios

  在copy lab_b.ios from 192.168.1.25 into flash memory?[confirm]後面按回車就可以了;如果沒有問題的話,載入flash的工作也就完成了。

  1.4實驗參考

  1、以超級終端或者telnet方式登錄到路由器上。

  2、用 enable 命令進入特權模式。

  3、用 ping xxx.xxx.xxx.xxx 命令檢查路由器到TFTP路由器連接性。

  4、檢查路由器的各個端口的ip地址和網絡掩碼,填在下面。

  5、用 copy flash tftp 命令將當前配置保存到TFTP服務器上。

  copy flash tftp

  Source filename [c2600-ds-mz.121-18.bin]?

  Address or name of remote host []? 219.17.100.18

  Destination filename [c2600-ds-mz.121-18.bin]? lab_b

  !!!!!!!!!!!! …… !!!!!!!!!!!!!!!!!!!

  8334396 bytes copied in 52.486 secs (160276 bytes/sec)

  6、用 copy running-config tftp 命令將當前配置保存到TFTP服務器上。

  7、用 erase startup-config 命令刪除NVRAM中的配置。然後用 show startup-config 命令確認NVRAM中的配置確實已經刪除。

  8、用 reload 命令重啟路由器。當系統提示進入 the initial configuration dialog時,輸入 no 。當系統提示 terminate autoinstall 時,輸入 yes 。

  用 enable 命令進入特權模式。

  9、配置將要用來傳送TFTP文件端口的IP地址和網絡掩碼。

  10、用 copy tftp running-config 命令將TFTP上的配置文件拷貝到路由器上。然後根據系統提示分別輸入服務器IP地址和將要保存的文件名。

  copy tftp running-config

  Address or name of remote host []? 219.17.100.18

  Source filename []? lab_b-confg

  Destination filename [running-config]?

  Accessing tftp://219.17.100.18/lab_b-confg…

  Loading lab_b-confg from 219.17.100.18 (via FastEthernet0/0): !

  [OK – 835/1024 bytes]

  835 bytes copied in 18.783 secs (46 bytes/sec)

  11、用 show running-config 命令查看當前配置。與原來壹樣嗎?請將答案填在下面。

  12、用 copy running-config startup-config 命令將當前配置拷貝到NVRAM中。