所需的资源
一台基于cislyco ios 的catalyst 交换机,如catalyst 2950 3550,4500,6500
一台终端服务器或工作站,直接与catalyst交换机的控制台相连或远程接入到交换机.
配置了802.1X的 windows xp工作站
任务一:启用AAA,禁用Telnet,以及启用SSH
步骤1:启用AAA身份认证,以进行SSH访问:
Switch#configure terminal
Switch(config)#aaa new-model
Switch(config)#hostname AL1
AL1(config)#username cisco password cisco
AL1(config)#ip domain-name cisco.com
AL1(config)#crypto key generate rsa
AL1(config)#line vty 0 15
AL1(config-line)#transport input ssh
任务二:
配置VTY的AAA身份验证方式----首先使用RADIUS服务器,如果服务不可用,则使用本地用户名和口令数据库:
AL1(config)#aaa authentication login TEST group radius line
步骤2:将该方法列表应用与VTY线路:
AL1(config)#line vty 0 15
AL1(config-line)#login authentication TEST
任务三:
在接口上配置802.1X
步骤1:为RADIUS身份验证启用802.1X
AL1(config)#aaa authentication dot 1x default group radius
AL1(config)#dot1x system-auth-control
步骤3:在接口上配置802.1x
AL1(config)#interface range fa0/2-10
AL1(config-if-range)#switchport access vlan 10
AL1(config-if-range)#dot1x port-control auto
步骤4:配置VACL以丢弃所有通过TCP端口8889进入的桢
AL1(config)#access-list 100 permit tcp any any eq 8889
AL1(config)#vlan access-map DROP_DOWN 100
AL1(config-access-map)#match ip address 100
AL1(config-access-map)#action drop
步骤3:将VLAN访问列表应用于合适的VLAN:
AL1(config)#VLAN filter DROP_WORM vlan 10 - 20
