个人整理的一些802.1x 认证方法

个人整理 绝大多数来源于网络
cisco 现在强调 nac 但是 他的两款产品cam cas 对于一般企业来说应该不想花钱 于是基于802.1x +ACS 就成了热门人选
1：方法一
基于mac 的认证 这种方法最简单 也最麻烦 部署简单维护麻烦
主要过程

基于 mac 的 802.1x

一．交换机配置

aaa new-model

aaa authentication login noacs line none

aaa authentication dot1x default group radius

！认证

aaa authorization network default group radius

！授权

dot1x system-auth-control

！启用 dot1x

radius-server host 192.168.30.18 auth-port 1645 acct-port 1646 key cisco

！定义 Radius 服务器

radius-server vsa send

！启动分配到不同 vlan 功能

 

interface FastEthernet0/1

 switchport mode access

dot1x mac-auth-bypass eap

！启用 mac 免认证功能，也就是说当接入设备不支持

！ dot1x 时，将通过查找 ACS 是否有设备的 mac 地址去认证。

dot1x port-control auto

dot1x pae authenticator

！启用 dot1x 功能

 dot1x timeout tx-period 3

！缩短认证时间

 dot1x guest-vlan 2

！认证不成功，被分配到 vlan2

 spanning-tree portfast

！缩短端口启用时间

 

二． ACS 配置

1. 创建用户

在 ACS 上创建用户：接入设备的 mac 地址作为 username 和 password ，格式为 12 个连续字符

 

2. 勾选用户属性

 

 

 

 

 

 

在 ACS 的用户配置中打开“ 006 ”这个属性值

 

 

以上属性找不到的请在 ACS 上 Interface configuration 选项勾选

 

以上属性找不到的请在 ACS 上 Interface configuration 选项勾选

 

 

 

当用户认证成功将被分配到 vlan10 。

 

三．客户端配置

客户端一定要取消掉 802.1X 身份验证，否则在认证时候就自动跳出需要输入用户名和密码