802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

配置AAA服务器类型

类型  AAA server  Windows   IAS  

                     linux     freeradius

                     cisco     acs



win2003 桥接物理机安装选择无线网卡


安装服务dhcp  

       internet


AAA

建账户



拓扑图


dot1x典型配置_第1张图片




防火墙:

int eth 0/0

ip add 192.168.2.1 24


int eth0/0.10

vlan -type dot1q vid 10

ip add 192.168.10.1 24


int eth0/0.20

vlan -type dot1q vid 20

ip add 192.168.20.1 24


int eth0/0.30

vlan -type dot1q vid 30

ip add 192.168.30.1 24

undo insulate(防火墙取消隔离)

firewall zone trust

add interface eth0/0.10

add interface eth0/0.20

add interface eth0/0.30

防火墙上配置中继:

int eth0/0.10                

dhcp select relay

int eth0/0.20

dhcp select relay

int eth0/0.10

ip relay address 192.168.30.100

int eth0/0.20

ip relay address 192.168.30.100




交换机


system-view

int Vlan-interface 1

ip add 192.168.2.10 255.255.255.0

quit

ip route-static 0.0.0.00.0.0.0 192.168.2.1(网关,默认路由)


dot1x

int e1/0/10

dot1x

int e1/0/20

dot1x



local-user user1

password sim 123456

service-type lan-access


system-view

vlan 10

port e1/0/10

vlan 20

port e1/0/20

vlan 30

port e1/0/22


int e1/0/24

port link-type trunk

port trunk premit vlan all



AAA配置:

system-view

int Vlan-interface 1

ip add 192.168.10.200 24

dot1x

int e1/0/12

dot1x

redius scheme ***

primary authentication 192.168.10.220

accounting optional

server-type standard

key authentication

domain tec(域名)

redius scheme ***

access-limit enable 10 (允许连接数)

accounting optional

redius scheme ***

user-name-format without-domain

dis cu

domain default enable tec (不用输域名)

dot1x典型配置_第2张图片

dot1x典型配置_第3张图片