我最终希望配置 SG300 以使用 802.1x 和 Microsoft NPS (RADIUS) 对有线客户端进行身份验证。我目前正在使用 SG300 上的单个端口(端口 7)、一台测试机器和一台基于 AD 的网络策略服务器测试此设置。
我遇到的问题是,当我将端口 7 的管理端口控制更改为强制授权时,我看到以下日志条目:
信息 %SEC-I-PORTAUTHORIZED:端口 gi7 已授权
然后,当我将端口控制更改为自动时,端口立即更改为未授权,并且我看到以下日志条目:
警告 %SEC-W-PORTUNAUTHORIZED:端口 gi7 未经授权
但是,我从未看到任何 RADIUS 消息从 SG300 发送到我的 RADIUS 服务器或从 SG300 发送到插入端口 7 的测试计算机。我在我的 RADIUS 服务器上使用 WireShark 来监视来自 SG300 IP 地址的消息,并且我在第二台测试计算机上使用 WireShark,该测试计算机配置为监视插入端口 7 的测试计算机中的 NIC 卡(我正在使用 Hyper-V 及其工具进行此 NIC 监视设置。)
这是我的配置:
交换机 - 10.1.1.3
RADIUS(微软 NPS)- 10.1.1.15
交换机使用类型 - 全部(登录和 802.1x)
端口7配置:
VLAN 模式为常规
主机认证是单主机认证
管理端口控制是自动的
RADIUS VLAN 分配已禁用
已启用访客 VLAN
基于 802.1x 的身份验证已启用
安全下的附加配置 - 802.1x/MAC/Web 身份验证:
已启用基于端口的身份验证
身份验证方法是 RADIUS
已启用访客 VLAN
访客 VLAN ID 为 2
我的所有 VLAN 都已启用身份验证
最后一点:
SG300 使用相同的 RADIUS 服务器进行管理控制台访问,并且运行正常。当我登录交换机时,WireShark 会显示从交换机到 RADIUS 服务器再返回的 RADIUS 消息。因此我知道交换机上的 RADIUS 配置正确。