一次Cisoco交换机配置过程

部门新采购几台 Cisco 2960 千兆交换机,用以替代旧的办公室接入层交换机,构建基于 802.1x 认证的网络,提升安全性。

配置有如下需求:

  • 依据办公室划分子网
  • 对每个接入端口开启 802.1x 认证

认证使用的 Radius 服务器采用的是 Windows Server 的网络策略和访问服务角色,并已添加了交换机信息。一下主要记录交换机的配置。

创建 VLan

只要在全局模式下输入 VLan ID 就可以生成对应的 VLan。

Switch(config)# vlan 238

Switch(config-vlan)# exit

配置端口的接入模式

这里有两种端口。一种是 VLan 口,也就是说这些端口都是出于某个 VLan 中。一种是 trunk 口,主要用于交换机之间互联,从这些口出来的数据包会依据需要打上 VLan ID。这里我将24口交换机的前20口配置为了 VLan 口,最后4个口配置为 trunk 口。在全局配置模式下输入:

Switch(config)# interface range Gi0/1 – 20

Switch(config-if-range)# switchport mode access

Switch(config-if-range)# switchport access vlan 238

Switch(config-if-range)# spanning-tree portfast

Switch(config-if-range)# exit

Switch(config)# interface range Gi0/21 – 24

Switch(config-if-range)# switchport mode trunk

Switch(config-if-range)# exit

配置 VLan IP 以及全局网关

一方面考虑后续远程管理 VLan(可以通过http/telnet/ssh等连接方式),另一方面交换机转发认证信息可能需要跨网段,因此最好给交换机配置 IP 和网关。IP 是配置在 VLan 里,网关属于全局配置。

Switch(config)# interface vlan 238

Switch(config-if)# ip address 168.2.238.240 255.255.255.0

Switch(config-if)# no shutdown

Switch(config-if)# exit

Switch(config)# ip default-gateway 168.2.238.3

配置密码并修改交换机名

这一步相当于配置 802.1x 配置前的扫尾工作。

Switch(config)# enable password 123456

Switch(config)# line vty 0 4

Switch(config-line)# username root password 123456

Switch(config-line)# exit

Switch(config)# hostname HOST

这样交换机前面的提示符就从 Switch 变成了 HOST。

对端口启用 802.1x 认证

HOST(config)# interface range Gi0/1 – 20

HOST(config-if-range)# dot1x port-control auto

HOST(config-if-range)# dot1x reauthentication

对交换机配置认证信息

HOST(config)# aaa new-model

HOST(config)# radius-server host 168.2.239.10 key secret_key

HOST(config)# aaa authentication dot1x default group radius local

HOST(config)# aaa authorization network default group local

HOST(config)# dot1x system-auth-control

将配置信息写入交换机

最后别忘了写入配置信息,否则重启就丢了。

HOST# write memory

至此,配置完毕,上线测试。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

您可以使用这些HTML标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>