近来研究CISCO的dot1x在无法认证时候如何提示用户进行802.1x客户端的下载功能。

802.1x在设计的时候可以通过radius下发vlan来实现该功能,但是该功能有一个要求就是必须是DHCP的,这个在国内的环境比较麻烦(有厂家有技术可以实现静态地址下面的vlan切换的引导功能)。

cisco现在在ios里面将以前的mac认证和dot1x认证可以共存了。这样在dot1x认证不通过的时候可以进行mac认证,我们可以利用这个机制来实现静态地址下面的页面转向,这样没有安装客户端的电脑可以进行页面转向然后安装客户端了(当然也可以做更多的其它业务)。

主要的技术细节有

1:要求IOS的版本是12.2(50)之后,目前可以支持3550,2960等以后的型号,2950够呛

2:按照dot1x先进行配置好

3:在接口下面启用mab认证

4:在接口下面配置好缺省的acl

5:启用ip device track功能

6:将aaa authorization network default group 指向到radius服务器

7:radius服务器下发 Cisco-AVPair = "url-redirect=http://192.168.0.1" 和 Cisco-AVPair = "url-redirect-acl=RedirectAcl"属性
 

可以参考cisco的文档进行设置:

http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_50_se/configuration/guide/sw8021x.html