我的整理的一些802.1x 認證方法

我的整理 絕大多數來源於網絡
cisco 如今強調 nac 可是 他的兩款產品cam cas 對於通常企業來講應該不想花錢 因而基於802.1x +ACS 就成了熱門人選
1：方法一
基於mac 的認證 這種方法最簡單 也最麻煩 部署簡單維護麻煩
主要過程

基於 mac 的 802.1x

一．交換機配置

aaa new-model

aaa authentication login noacs line none

aaa authentication dot1x default group radius

！認證

aaa authorization network default group radius

！受權

dot1x system-auth-control

！啓用 dot1x

radius-server host 192.168.30.18 auth-port 1645 acct-port 1646 key cisco

！定義 Radius 服務器

radius-server vsa send

！啓動分配到不一樣 vlan 功能

 

interface FastEthernet0/1

 switchport mode access

dot1x mac-auth-bypass eap

！啓用 mac 免認證功能，也就是說當接入設備不支持

！ dot1x 時，將經過查找 ACS 是否有設備的 mac 地址去認證。

dot1x port-control auto

dot1x pae authenticator

！啓用 dot1x 功能

 dot1x timeout tx-period 3

！縮短認證時間

 dot1x guest-vlan 2

！認證不成功，被分配到 vlan2

 spanning-tree portfast

！縮短端口啓用時間

 

二． ACS 配置

1. 建立用戶

在 ACS 上建立用戶：接入設備的 mac 地址做爲 username 和 password ，格式爲 12 個連續字符

 

2. 勾選用戶屬性

 

 

 

 

 

 

在 ACS 的用戶配置中打開「 006 」這個屬性值

 

 

以上屬性找不到的請在 ACS 上 Interface configuration 選項勾選

 

以上屬性找不到的請在 ACS 上 Interface configuration 選項勾選

 

 

 

當用戶認證成功將被分配到 vlan10 。

 

三．客戶端配置

客戶端必定要取消掉 802.1X 身份驗證，不然在認證時候就自動跳出須要輸入用戶名和密碼