配置IEEE802.1X认证

配置IEEE802.1X认证
1） 进入全局模式       configure terminal
2） 启用AAA
        aaa new-model
3） 建立IEEE802.1x认证列表
        aaa authentication dot1x {default} method1
        default:将后面指定的身份验证方法作为默认配置，自动作用于所有IEEE802.1x
        method1:指定身份验证的方法
4） 启用IEEE802.1x授权
        dot1x system-auth-control
5） 建立授权（可选）
        aaa authorization network {default} group radius
        指定通过RADIUS服务起来建立授权
6） 指定RADIUS服务器的地址
        radius-server host　IP地址
7） 指定密钥
        radius-server key 密钥
8） 进入接口模式

       interface 接口
9） 启用IEEE802.1x认证
         switchport mode access dot1x port-control auto
10） 验证结果
        show dot1x

配置交换机域RADIUS服务器之间通信
1） 进入全局模式       configure terminal
2） 配置RADIUS服务器特征
       radius-server host [主机名|IP地址] auth-port 端口号 key 密钥
       auth-port:UDP端口号

配置主机模式
1） 进入全局模式       configure terminal
2） 进入接口模式       interface      接口
3） 配置主机模式
        dot1x host-mode multi-host
        允许多主机模式
4） 配置IEEE802.1x认证
        dot1x port-control auto
配置重认证周期
1） 进入全局模式      configure terminal
2） 进入接口模式      interface 接口
3） 启用IEEE802.1x重认证
         dot1x reauthentication
4） 设置重认证周期
         dot1x timeout reauth-period 秒数
         秒数：默认为3600秒，取值为1-65535
5） 验证结果
         show dot1x interface 接口
配置安静周期
交换机在与客户的一次失败验证交换之后保持安静状态的时间
1） 进入全局模式      configure terminal
2） 进入接口模式      interface 接口
3） 配置安静周期Quiet period
        dot1x timeout quiet-period 秒数
秒数：默认为60秒，取值为1-65535

配置交换机与主机之间重传时间
交换机在重传请求之前等待客户对一个EAP请求/身份帧的响应时间
1） 进入全局模式      configure terminal
2） 进入接口模式      interfacer 接口
3） 配置重传时间
        dot1x timeout tx-period 秒数
秒数为5-65535，默认为5秒
配置交换机与主机之间重传最大次数
交换机在重新开始验证过程之前发送一个EAP请求/身份帧的次数
1） 进入全局模式      configure terminal
2） 进入接口模式      interfacer 接口
3） 配置重传最大次数
        dot1x max- req 次数
次数为1-10，默认为2次
配置交换机与主机之间重认证最大次数
1） 入全局模式      configure terminal
2） 进入接口模式      interfacer 接口
3） 配置重传最大次数
        dot1x max-reauth-req 次数
秒数为1-10，默认为2次

vlan(guest vlan)
如果端口指定了访客Guest VLAN项，此端口下的接入用户如果认证失败或根本无用户账号的话，会成为Guest VLAN 组的成员，可以享用此组内的相应网络资源，这一种功能同样可为网络应用的某一些群体开放最低限度的资源，并为整个网络提供了一个最外围的接入安全。用户可以去下载客户端，但是不能去上公网，他限制了未拨号用户可以访问的资源。
配置过程：
1） 进入全局模式       configure terminal
2） 进入接口模式       interface 接口
3） 配置接口模式
        switchport mode access
4） 配置dot1x认证
        dot1x port-control auto
5） 配置某个活动vlan成为访客vlan
        dot1x guest-vlan vlan号
        vlan号：1-4094，除了RSPAN vlan、私有VLAN的主Vlan、语音vlan