Cisco 3650G网络交换器设定

虽然笔者不是Cisco网络设备的专家，不过接下来相关的组态设定我们还是需要一同来了解一下。首先笔者先开启[Cisco Network Assistant]联机工具到Cisco 3560G这台设备中。笔者在完成了VLAN的划分设定之后，紧接着便切到在[Device Properties][IP Addresses]页面中，来针对这三个VLAN设定好各自的网络IP地址，并且确定皆已经勾选了[Routed]选项。

图2 使用命令方式设定VLAN的IP地址

关于VLAN的IP地址设定方法中，除了可以直接透过图型接口来设定之外，当然您也可以在TELNET的模式下，如图2所示以interface进入到指定的VLAN设定模式中，然后透过ip address命令来设定IP地址以及子域屏蔽。

接下来笔者要来启用设备端口的AAA设定（Authentication、Authorization、Accounting），请依照下列步骤完成设定即可。

configure terminal（或t）：进入全局设定模式

aaa new-model：启 用AAA功能

aaa authentication dot1x default group radius：建立一个802.1x验证清单，这样的设定表示使用所有在RADIUS Server清单中的设定来进行验证。

dot1x system-authcontrol：启 用802.1x验证机制在此网络交换器上（Switch）。

aaa authorization network default group radius：针对所有网络服务要求，例如：每一个用户的ACLs或VLAN的配置，设定启用RADIUS在设备上的使用者验证机制。

interface Gi0/21：只订哪一些端口需要进行802.1x的验证机制才能够联机，并且进入到接口设定模式中，其中笔者所输入的Gi0/21即表示为第21个的Gigabyte端口。

dot1x port-control auto：启用802.1x验证机制在这端口上。

end：回到EXEC模式下

show dot1x：检视相关设定

copy running-config startup-config（或 输 入wri mem）：储存前面的所有设定值到配置文件中。

完成以上有关于设备端口上的802.1x启用设定之后，紧接着当然必须设定RADIUS服务器的联机组态，而这里所指的RADIUS服务器便是由网络原则服务器（NPS）所提供。

在上述命令范例中，笔者所输入的IP地址便是网络原则服务器（NPS）的IP地址，而验证与帐户的端口请一并输入，至于所输入的验证密钥则必须记住，因为后续在网络原则服务器（NPS）组态配置上，是必须输入一样的密钥内容的。

完成有关于网络交换器（Switch）上 的 802.1x验证与RADIUS的设定之后，接下来让我们继续来看看其它几个相关的选用参考设定。如果我们以动态切换VLAN的方式来进行NAP的隔离机制，那么想必在初始的VLAN1中必须安装一部DHCP服务器，并且预先设定好三个不同IP网段的领域，以这样的架构来说在网络交换器（Switch）上势必要设定DHCP Relay才能够让整个运作正常。在范例中笔者便是分别进入到不同的VLAN设定中，然后以ip helper-address命令来统一指向位在VLAN1网络中的DHCP服务器即可。

接下来建议您将Cisco网络交换器中的Supplicant Timeout设定值变更为15秒以上（默认值为5秒），以避免发生当在Windows Vista或Windows XP SP3上所产生的健康状态消息（SoH，Statement of Health），还来不及透过此交换器完成验证动作就已经逾时，而导致经常无法成功联机的问题。解决此问题，您可以在Interface命令进入到指定的802.1x验证端口之后，输入dot1x timeout supptimeout 秒数即可，而透过show dot1x interface 端口编号（或 VLAN），则可以检视目前的设定值。

在Cisco装置系统默认的状态下，对于端口802.1x的重新验证间隔时间为3600秒，您可以依照需求透过dot1x reauthentication（启用重新验证功能）以及dot1x timeout reauthperiod 秒数，来进行修改此设定值即可（1-65535）。

请注意！每一次的重新验证作业都会让网络原则服务器（NPS）上，产生新的合法验证或非法验证的结果事件。

关于Cisco网络交换器的管理技巧，最后再和各位分享一个设定，那就是在预设的状态下，当我们将网络线连接到端口时，您可能会发现它大概要等到30秒左右的时间才会由红灯变成绿灯，如果您不想等待这么长的时间，便可以透过[Cisco Network Assistant]联机工具，切换到[Ports][Port Settings]节点页面中，将所要设定端口中的[Port Fast]域值变更为[enable]即可。