个人整理 绝大多数来源于网络
cisco 现在强调 nac 但是 他的两款产品cam cas 对于一般企业来说应该不想花钱 于是基于802.1x +ACS 就成了热门人选
1:方法一
基于mac 的认证 这种方法最简单 也最麻烦 部署简单维护麻烦
主要过程
基于 mac 802.1x
一.交换机配置
aaa new-model
aaa authentication login noacs line none
aaa authentication dot1x default group radius
!认证
aaa authorization network default group radius
!授权
dot1x system-auth-control
!启用 dot1x
radius-server host 192.168.30.18 auth-port 1645 acct-port 1646 key cisco
!定义 Radius 服务器
radius-server vsa send
!启动分配到不同 vlan 功能
 
interface FastEthernet0/1
 switchport mode access
dot1x mac-auth-bypass eap
!启用 mac 免认证功能,也就是说当接入设备不支持
dot1x 时,将通过查找 ACS 是否有设备的 mac 地址去认证。
dot1x port-control auto
dot1x pae authenticator
!启用 dot1x 功能
 dot1x timeout tx-period 3
!缩短认证时间
 dot1x guest-vlan 2
!认证不成功,被分配到 vlan2
 spanning-tree portfast
!缩短端口启用时间
 
二. ACS 配置
1. 创建用户
ACS 上创建用户:接入设备的 mac 地址作为 username password ,格式为 12 个连续字符
 
2. 勾选用户属性
 
 
 
 
 
 

ACS 的用户配置中打开“ 006 ”这个属性值
 
 
以上属性找不到的请在 ACS Interface configuration 选项勾选
 
以上属性找不到的请在 ACS Interface configuration 选项勾选
 
 
 
当用户认证成功将被分配到 vlan10
 
三.客户端配置
客户端一定要取消掉 802.1X 身份验证,否则在认证时候就自动跳出需要输入用户名和密码