Cisco 3650G網(wǎng)絡(luò)交換器設(shè)定

雖然筆者不是Cisco網(wǎng)絡(luò)設(shè)備的專家，不過接下來相關(guān)的組態(tài)設(shè)定我們還是需要一同來了解一下。首先筆者先開啟[Cisco Network Assistant]聯(lián)機(jī)工具到Cisco 3560G這臺(tái)設(shè)備中。筆者在完成了VLAN的劃分設(shè)定之后，緊接著便切到在[Device Properties][IP Addresses]頁面中，來針對(duì)這三個(gè)VLAN設(shè)定好各自的網(wǎng)絡(luò)IP地址，并且確定皆已經(jīng)勾選了[Routed]選項(xiàng)。

圖2 使用命令方式設(shè)定VLAN的IP地址

關(guān)于VLAN的IP地址設(shè)定方法中，除了可以直接透過圖型接口來設(shè)定之外，當(dāng)然您也可以在TELNET的模式下，如圖2所示以interface進(jìn)入到指定的VLAN設(shè)定模式中，然后透過ip address命令來設(shè)定IP地址以及子域屏蔽。

接下來筆者要來啟用設(shè)備端口的AAA設(shè)定（Authentication、Authorization、Accounting），請(qǐng)依照下列步驟完成設(shè)定即可。

configure terminal（或t）：進(jìn)入全局設(shè)定模式

aaa new-model：?jiǎn)?用AAA功能

aaa authentication dot1x default group radius：建立一個(gè)802.1x驗(yàn)證清單，這樣的設(shè)定表示使用所有在RADIUS Server清單中的設(shè)定來進(jìn)行驗(yàn)證。

dot1x system-authcontrol：?jiǎn)?用802.1x驗(yàn)證機(jī)制在此網(wǎng)絡(luò)交換器上（Switch）。

aaa authorization network default group radius：針對(duì)所有網(wǎng)絡(luò)服務(wù)要求，例如：每一個(gè)用戶的ACLs或VLAN的配置，設(shè)定啟用RADIUS在設(shè)備上的使用者驗(yàn)證機(jī)制。

interface Gi0/21：只訂哪一些端口需要進(jìn)行802.1x的驗(yàn)證機(jī)制才能夠聯(lián)機(jī)，并且進(jìn)入到接口設(shè)定模式中，其中筆者所輸入的Gi0/21即表示為第21個(gè)的Gigabyte端口。

dot1x port-control auto：?jiǎn)⒂?02.1x驗(yàn)證機(jī)制在這端口上。

end：回到EXEC模式下

show dot1x：檢視相關(guān)設(shè)定

copy running-config startup-config（或 輸 入wri mem）：儲(chǔ)存前面的所有設(shè)定值到配置文件中。

完成以上有關(guān)于設(shè)備端口上的802.1x啟用設(shè)定之后，緊接著當(dāng)然必須設(shè)定RADIUS服務(wù)器的聯(lián)機(jī)組態(tài)，而這里所指的RADIUS服務(wù)器便是由網(wǎng)絡(luò)原則服務(wù)器（NPS）所提供。

在上述命令范例中，筆者所輸入的IP地址便是網(wǎng)絡(luò)原則服務(wù)器（NPS）的IP地址，而驗(yàn)證與帳戶的端口請(qǐng)一并輸入，至于所輸入的驗(yàn)證密鑰則必須記住，因?yàn)楹罄m(xù)在網(wǎng)絡(luò)原則服務(wù)器（NPS）組態(tài)配置上，是必須輸入一樣的密鑰內(nèi)容的。

完成有關(guān)于網(wǎng)絡(luò)交換器（Switch）上 的 802.1x驗(yàn)證與RADIUS的設(shè)定之后，接下來讓我們繼續(xù)來看看其它幾個(gè)相關(guān)的選用參考設(shè)定。如果我們以動(dòng)態(tài)切換VLAN的方式來進(jìn)行NAP的隔離機(jī)制，那么想必在初始的VLAN1中必須安裝一部DHCP服務(wù)器，并且預(yù)先設(shè)定好三個(gè)不同IP網(wǎng)段的領(lǐng)域，以這樣的架構(gòu)來說在網(wǎng)絡(luò)交換器（Switch）上勢(shì)必要設(shè)定DHCP Relay才能夠讓整個(gè)運(yùn)作正常。在范例中筆者便是分別進(jìn)入到不同的VLAN設(shè)定中，然后以ip helper-address命令來統(tǒng)一指向位在VLAN1網(wǎng)絡(luò)中的DHCP服務(wù)器即可。

接下來建議您將Cisco網(wǎng)絡(luò)交換器中的Supplicant Timeout設(shè)定值變更為15秒以上（默認(rèn)值為5秒），以避免發(fā)生當(dāng)在Windows Vista或Windows XP SP3上所產(chǎn)生的健康狀態(tài)消息（SoH，Statement of Health），還來不及透過此交換器完成驗(yàn)證動(dòng)作就已經(jīng)逾時(shí)，而導(dǎo)致經(jīng)常無法成功聯(lián)機(jī)的問題。解決此問題，您可以在Interface命令進(jìn)入到指定的802.1x驗(yàn)證端口之后，輸入dot1x timeout supptimeout 秒數(shù)即可，而透過show dot1x interface 端口編號(hào)（或 VLAN），則可以檢視目前的設(shè)定值。

在Cisco裝置系統(tǒng)默認(rèn)的狀態(tài)下，對(duì)于端口802.1x的重新驗(yàn)證間隔時(shí)間為3600秒，您可以依照需求透過dot1x reauthentication（啟用重新驗(yàn)證功能）以及dot1x timeout reauthperiod 秒數(shù)，來進(jìn)行修改此設(shè)定值即可（1-65535）。

請(qǐng)注意！每一次的重新驗(yàn)證作業(yè)都會(huì)讓網(wǎng)絡(luò)原則服務(wù)器（NPS）上，產(chǎn)生新的合法驗(yàn)證或非法驗(yàn)證的結(jié)果事件。

關(guān)于Cisco網(wǎng)絡(luò)交換器的管理技巧，最后再和各位分享一個(gè)設(shè)定，那就是在預(yù)設(shè)的狀態(tài)下，當(dāng)我們將網(wǎng)絡(luò)線連接到端口時(shí)，您可能會(huì)發(fā)現(xiàn)它大概要等到30秒左右的時(shí)間才會(huì)由紅燈變成綠燈，如果您不想等待這么長的時(shí)間，便可以透過[Cisco Network Assistant]聯(lián)機(jī)工具，切換到[Ports][Port Settings]節(jié)點(diǎn)頁面中，將所要設(shè)定端口中的[Port Fast]域值變更為[enable]即可。