论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-02-04 09:50 |只看该作者 |倒序浏览

现在已经实现802.1x认证了,实现的方式为:802.1x+freeradius,利用windows系统自带的MD5-质询方式进行认证

但突然发现一个问题,当一台客户机通过认证后,将本地连接禁用后再启用,或者重启系统之后都不须再进行认证

请问是什么问题?是交换机配置的,还是认证服务器的问题?

谢谢!

文库|博客

linych

白手起家

论坛徽章:: 0

2楼 [报告]

发表于 2008-02-04 09:52 |只看该作者

交换机配置:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname office-net-test
!
aaa new-model
aaa authentication dot1x default group radius
enable password 7 09484F1D1857474253
!
username badmin password 7 15160A1805787B7470
ip subnet-zero
!
!
spanning-tree mode pvst
spanning-tree portfast default
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
dot1x system-auth-control
!
!
!
!
interface FastEthernet0/1
switchport access vlan 3
!
interface FastEthernet0/2
switchport access vlan 3
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/3
switchport access vlan 3
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/4
switchport access vlan 3
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface FastEthernet0/5
!

interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan3
ip address x.x.x.x255.255.248.0
no ip route-cache
!
ip http server
radius-server host x.x.x.x auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server key 7 00131B03165E0008062749
!
line con 0
line vty 0 4
password 7 0000121205095B5657
line vty 5 15
password 7 0000121205095B5657
!
!
end

[ 本帖最后由 linych 于 2008-2-4 09:53 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

3楼 [报告]

发表于 2008-02-04 10:56 |只看该作者

缩短dot1x认证超时值。

你看一下DOT1X认证的过程原理就明白了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

linych

白手起家

论坛徽章:: 0

4楼 [报告]

发表于 2008-02-04 12:01 |只看该作者

下面是我的fa0/3的DOT1X信息:

Dot1x Info for interface FastEthernet0/3
----------------------------------------------------
Supplicant MAC    xx.xx.xx.xx
AuthSM State       = AUTHENTICATED
BendSM State       = IDLE
Posture             = N/A
PortStatus          = AUTHORIZED
MaxReq             = 2
MaxAuthReq          = 2
HostMode             = Single
Port Control       = Auto
ControlDirection    = Both
QuietPeriod          = 60 Seconds
Re-authentication    = Disabled
ReAuthPeriod       = 3600 Seconds
ServerTimeout       = 30 Seconds
SuppTimeout          = 30 Seconds
TxPeriod             = 30 Seconds
Guest-Vlan          = 0
AuthFail-Vlan       = 0
AuthFail-Max-Attempts = 3

其中ReAuthPeriod=3600s ,我把这一项改为60s后,我的网卡就会每隔一段时间验证身份

下面是超时配置:

office-net-test(config-if)#dot1x time ?
  quiet-period QuietPeriod in Seconds
  reauth-period Time after which an automatic re-authentication should be
               initiated
  server-timeout  Timeout for Radius Retries
  supp-timeout Timeout for Supplicant retries
  tx-period    Timeout for Supplicant Re-transmissions

不知道要配置哪一个才正确?

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

5楼 [报告]

发表于 2008-02-04 14:34 |只看该作者

你查一下交换机的DTO1X资料看看吧。
具体的时间设置的参考值我也没有经验。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › IT运维 › 网络技术 › 关于802.1x认证的又一问题

关于802.1x认证的又一问题 [复制链接]

浏览过的版块