windows之家1.Win10如何用脚本修改IEEE802.1X身份验证
1、首先,用户在桌面上找到“网络”图标,鼠标右击后呼出选项,我们选择“属性”(如果桌面和上没有,可以通过依次打开控制面板/网络和Internet/网络和共享中心)。
2、随后弹出如下的网络和共享中心的界面,我们在左侧的功能栏中点击“更改配适器设置”选项。 3、接着,进入网络连接窗口,您可以查看到当前连接的网络,例如这里我的为Ethernet0。
4、用户鼠标右击网络图标,接着,我们在呼出的选项中选择“属性”。 5、弹出您当前网络的属性窗口后,我们在选项卡中选择“身份验证”。
6、在身份验证窗口下我们可以找到“启用IEEE 802.1X身份验证”的选项,我们将其勾选进行取消,然后点击确定保存设置即可。
2.Win10如何用脚本修改IEEE802.1X身份验证
1、首先,用户在桌面上找到“网络”图标,鼠标右击后呼出选项,我们选择“属性”(如果桌面和上没有,可以通过依次打开控制面板/网络和Internet/网络和共享中心)。
2、随后弹出如下的网络和共享中心的界面,我们在左侧的功能栏中点击“更改配适器设置”选项。3、接着,进入网络连接窗口,您可以查看到当前连接的网络,例如这里我的为Ethernet0。
4、用户鼠标右击网络图标,接着,我们在呼出的选项中选择“属性”。5、弹出您当前网络的属性窗口后,我们在选项卡中选择“身份验证”。
6、在身份验证窗口下我们可以找到“启用IEEE 802.1X身份验证”的选项,我们将其勾选进行取消,然后点击确定保存设置即可。
3.win10的IEEE802.1x身份验证在哪儿?
1)如果是宽带本身的问题,首先直接联接宽带网线测试,如果是宽带的问题,联系宽带客服解决。
2)如果是路由器的问题,如果原来可以用,暂时不能用了,我自己的实践是一个是断掉路由器的电源在插上,等会看看。在有就是恢复出厂设置,从新设置就可以用了(这是在物理连接正确的前提下,有时是路由器寻IP地址慢或失败引起的,并不是说路由器坏了)。
如果总是不能解决,建议给路由器的客服打电话,他们有电话在线指导,我遇到自己不能解决的问题,咨询他们给的建议是很有用的,他们会针对你的设置或操作给出正确建议的。
3)如果关闭了无线开关开启就是了,如果是用软件连接的无线,软件不好用又经常出问题是很正常的,没有更好的方法,用路由器吧。另外就是网卡驱动没有或不合适引起的,网线接口或网线是不是有问题等。
4)如果是系统问题引起的,建议还原系统或重装。
4.如何配置802.1x验证
配置终端操作密码:
[ST-ZC501-LSW-R4C14.I.S2403]user-interface aux 0 进入用户0模式
[ST-ZC501-LSW-R4C14.I.S2403-ui-aux0]authentication-mode password 配置密码
无操作自动断开连接:
idle-timeout minutes 10 10分钟无操作自动断开连接
idle-timeout seconds 10 10秒钟无操作自动断开连接
锁定用户:
<ST-ZC501-LSW-R4C14.I.S2403>lock 锁定当前用户(接着输入密码,解除按回车输入
刚才的密码就行了)。
开启telnet服务:
[ST-ZC501-LSW-R4C14.I.S2403]telnet server enable 启动telnet 服务(默认关闭)
强制用户下线:
<ST-ZC501-LSW-R4C14.I.S2403>free web-users all 强制所有在线WEB用户下线
查看端口接收、传送、丢弃报文数:
<ST-ZC501-LSW-R4C14.I.S2403>display garp statistics interface (加端口号) 查
看端口接收和传送和丢弃的GVRP报文数
VTP配置:
gvrp registration fixed 端口模式下配置(相当于思科的服务器模式VTP)____必须
在trunk工作模式的端口下。
gvrp registration forbidden 端口模式下配置(相当于思科的透明模式VTP)____必
须在trunk工作模式的端口下。
gvrp registration normal 端口模式下配置(相当于思科的客户端模式VTP)____必须
在trunk工作模式的端口下。
[ST-ZC501-LSW-R4C14.I.S2403]stp disable
bpdu-tunnel dot1q stp VTP的开启(端口下或全局模式下)默认关闭
undo bpdu-tunnel dot1q stp 关闭VTP(端口下或全局模式下)
指定以太网端口通过的最大广播百分比:
broadcast-suppression (1-100) 指定以太网端口允许通过的最大广播
流量占该端口传输能力的百分比(默认关闭)——打开此功能可以保证正常
流量的传输。
5.802.1x的认证系统和认证服务的配置说明啊
用802.1x结合ACS可以实现基于用户的动态Vlan) 设备环境:Cisco Catalyst 3550-24-EMI(IOS:12.1(14)EA1 EMI),Cisco Secure ACS v3.1 1、和802.1x相关的交换机主要配置内容: aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius !---如果只是做802.1x认证,则aaa authorization network这句可不要,如要做VLAN分配或per-user ACL,则必须做network authorization dot1x system-auth-control !---注意在12.1(14)EA1版以后802.1x的配置有了修改,此句enable 802.1x interface FastEthernet0/1 description To Server_Farm switchport mode access dot1x port-control auto dot1x max-req 3 spanning-tree portfast !---dot1x port-control auto句在F0/1上enable dot1x,另外注意在F0/1口下我并没有给它赋VLAN radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_string radius-server vsa send authentication !---radius-server host 1.2.3.4句定义radius server信息,并给出验证字串 !---因为要配置VLAN分配必须使用IETF所规定的VSA(Vendor-specific attributes)值,radius-server vsa send authentication句允许交换机识别和使用这些VSA值。
配置802.1x动态分配VLAN所用到的VSA值规定如下: [64] Tunnel-Type = VLAN [65] Tunnel-Medium-Type = 802 [81] Tunnel-Private-Group-ID = VLAN name or VLAN ID 2、和802.1x相关的ACS主要配置内容: 这个配置要看图了,另外附带说一点,Cisco文档说ACS 3.0之前是不支持802.1x的。因为802.1x使用radius进行认证,所以在选用认证协议时我选用的是RADIUS(IETF),而缺省是Cisco的TACACS+。
在Interface Configuration中对RADIUS(IETF)进行配置,在组用户属性中选中[64]Tunnel-Type、[65] Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID(见下图)。 在Group Setup中对RADIUS Vendor-Specific Attributes值进行编辑:勾选[64]Tunnel-Type,将tag 1的值选为VLAN;勾选[65] Tunnel-Medium-Type,将tag 1的值选为802;勾选[81]Tunnel-Private-Group-ID,将tag 1的值设为7,表明为VLAN 7(见下图)。
设置完后,Submit+Rest。 3、工作站端的设置: WINXP本身内置对802.1x的支持,微软在前不久出了一个补丁可以让WIN2K也支持802.1x,需要注意的是WIN2K SP4已经内置了对802.1x的支持,SP3以下可使用此补丁: [url] /default。
b;en-us;313664[/url] 安装完此补丁后,802.1x默认是不启动的,可在服务中手动打开Wireless Configuration服务,打开此服务后,在网卡连接属性中会多出一栏Authenticatioin,在此栏中勾选Enable network access control using IEEE 802.1x,同时在EAP type中选中MD5-Challenge。 4、测试: 在所有设置完成后,可以观察到802.1x enable的F0/1口上状态灯显示为黄灯,而在工作站端过一会后会弹出一个认证窗口,在用户名/口令处填入ACS中定义好的用户名/口令,域名处不 填,同时观察WIN2K systray处的连接图标,上面会有和认证服务器联系及认证用户的浮动提示,同时F0/1的状态灯也会顺利变为绿灯。
认证通过后检验VLAN值是否已正确分配:先ping VLAN7的网关地址,通;再ping其它VLAN的网关地址,通;最后看可否上Internet,通。
6.局域网实现802.1X认证具体操作步骤
二层交换机上实现802.1x认证 现在大部分厂商的接入交换机都支持802.1x协议,有的还支持本地认证,这就使抛开radius服务器,在接入交换机上进行用户认证成为可能。
下面以Quidway S3026为例,介绍利用内置radius server来实现接入交换机上的用户认证。 在S3026的出厂设置中已经配置了本地的认证服务器和域: radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active vlan-assignment-mode integer idle-cut disable self-service-url disable messenger time disable domain default enable system local-server nas-ip 127.0.0.1 key huawei 我们可以直接利用已有的配置构建认证服务。
#开启802.1x功能 [Quidway]dot1x #指定的端口上开启802.1X [Quidway]dot1x interface eth 0/1 to eth 0/24 #添加用户 [Quidway]local-user sample [Quidway -luser-sample]password simple 123456 [Quidway -luser-sample]service-type lan-access 我们也可以建立新的域来进行802.1x认证。 #开启802.1x功能 [Quidway]dot1x #所有的端口都开启802.1x [Quidway]dot1x interface eth 0/1 to eth 0/24 #创建radius组cjwust并进入其视图 [Quidway]radius scheme cjwusta #设置主认证服务器为本地,端口号1645 [Quidway -radius-cjwusta]primary? authentication 127.0.0.1 1645 #创建用户域cjwust [Quidway]domain cjwust #指定cjwusta为该域用户的radius服务器组 [Quidway -isp-huawei]radius-scheme cjwusta #添加本地用户sample [Quidway]local-user sample [Quidway-luser-sample]password simple 123456 [Quidway-luser-sample]service-type lan-access 用户添加完成后,我们就可以用这些用户名和相应的密码登录上网了。
上述方法不仅适用于支持802.1x的二层交换机直接连终端计算机实现本地认证,还可以下连普通交换机甚至集线器实现802.1x认证(Quidway s3026缺省情况下每个端口上可容纳接入用户数量的最大值为256),这就给一些旧的网络改造提供了方便,较小的投入就能实现用户的可靠认证。 IEEE802.1x协议为二层协议,不需要到达三层,在二层交换机上实现802.1x认证,正符合该协议的特点;并且由于业务和认证的分离,通过认证后的报文是无需封装的纯数据包,直接通过可控端口进行交换,大大提高了网络的性能、可靠性和安全性。
如果再结合MAC、端口和VLAN等绑定技术将使网络具有极高的安全性。
7.802.1x的认证方式
类型代码 身份验证协议 说明 4 MD5 challenge EAP中类似于CHAP的认证方式 6 GTC 原本打算与RSA SecurID之类的令牌卡一起使用 13 EAP-TLS 以数字证书相互认证 18 EAP-SIM 以移动电话的SIM卡(用户识别模块卡)进行身份验证 21 TTLS 隧道式TLS;以TLS加密保护较弱的身份验证方式 25 PEAP 防护型EAP;以TLS加密保护较弱的EAP认证方式 29 MS-CHAP-V2 微软的经加密的密码身份验证,与windows域兼容 OSV ,Cisco 2960 Windows NPS的联合认证802.1X提供安全的接入认证,但数据(包括操作系统)存储于本地,数据可能有失窃的危险,比如富士康和比亚迪的官司,在比如陈冠希事件。
一些对数据安全要求比较高的企业,政府,一直寻求,即要管好接入端的安全,又要管好数据端安全,做到本地无存储,对数据随需所取的PC应用环境。OSV配合自己实现的802.1X认证客户端,即实现了对网络接入的数据安全性要求,也实现了对PC的IO虚拟化,通过对数据实现虚拟化派发,用户桌面环境的认证派发,和数据的集中存储,集中管理。
通过windows AD 服务器,对用户帐户进行统一管理。实施准备1, 支持802.1X认证交换机一台 实验环境:Cisco 2960 (ip:192.168.88.249 netmask 255.255.255.0) 2, Windows 2008 r2 AD 域服务器一台(ip: 192.168.88.188 Netmask:255.255.255.0 ) 3, Windows 2008 r2 NPS服务器一台 (ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188) 4, 客户机一台 5, 已安装,配置好的OSV 服务器一台 (IP:192.168.88.10)Cisco 交换机配置cisco>en 进入特权模式 Password: cisco#configure terminal 进入全局配置模式 cisco(config)#interface vlan1 进入接口配置模式,配置Vlan1 cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP cisco(config-if)#exit 退出 cisco(config)#aaa new-model cisco(config)#aaa authentication dot1x default group radius cisco(config)#aaa authorization network default group radius cisco(config)#dot1x system-auth-control cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV 配置802.1X的认证服务器IP,密钥为OSV 记住此密钥,配置RADIUS时用到。
cisco(config)#interface fastEthernet 0/X 配置需要进行认证的端口 cisco(config-if)#switchport mode access cisco(config-if)# authentication port-control auto cisco(config-if)#dot1x port-control auto cisco(config-if)#dot1x reauthentication cisco(config-if)#dot1x timeout reauth-period 300 cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交换机端口下连接多台PC时(通过Hub或交换机)需要配置这个命令,默认只支持对一台PC认证。 cisco(config-if)#authentication violation shutdown/pretect/replace/restrict 802.1X shutdown规则 cisco(config-if)#dot1x pae both cisco(config-if)#spanning-tree portfast 打开端口的快速转发cisco(config-if)#exit cisco(config)#exit注:配置完成后,要测试交换机与RADIUS是否可通信,可在交换机上ping RADIUS服务器进行判断。
8.win10系统提示“802.1x认证打开网卡失败”怎么办
路由器设置如下: (注意,你的路由器地址不一定是192这个网站,别的任何操作都不行;上面这条规则可以解读为:内网电脑往公网发送数据包,数据包的源IP地址是要限制的这台电脑的IP地址192这个域名对应的公网IP地址,广域网请求因为是针对网站的限制,所以端口号是80 ;规则设置好界面如下图: 可以在配置好的规则页面清晰看到,规则生效时间是24小时,控制的对象是IP地址为 192对应的公网IP地址,端口号因为是网站所以填80,协议一般默认选择ALL就行了;是否允许通过呢?因为缺省规则是禁止不符合设定规则的数据包通过路由器,所以符合设定规则的数据包允许通过,规则状态为生效的; 上面这幅图片新加了第二条规则,请问第二条规则设定的是什么数据包? 如果您的规则中涉及对网站进行限制,也就是目的请求端口是80的,则应该考虑对应的将53这个端口对应数据包也允许通过,因为53对应的是去往“域名解析服务器”的数据包,用于将域名(如.cn)和IP地址(如202. 96. 137. 26)对应的,所以必须开! 配置“IP地址过滤规则”这个功能用来实现您的一些目的,最主要的是分析都要做那些控制,然后选择怎样的缺省规则?配置怎样的过滤规则?如果您决心了解这个功能的真正作用,通过仔细参考资料和在路由器上反复的实验,您一定可以完全掌握的。
转载请注明出处windows之家 » win10设置802.1x认证