1) 进入全局模式 configure terminal
2) 启用AAA
aaa new-model
3) 建立IEEE802.1x认证列表
aaa authentication dot1x {default} method1
default:将后面指定的身份验证方法作为默认配置,自动作用于所有IEEE802.1x
method1:指定身份验证的方法
4) 启用IEEE802.1x授权
dot1x system-auth-control
5) 建立授权(可选)
aaa authorization network {default} group radius
指定通过RADIUS服务起来建立授权
6) 指定RADIUS服务器的地址
radius-server host IP地址
7) 指定密钥
radius-server key 密钥
8) 进入接口模式
9) 启用IEEE802.1x认证
switchport mode access dot1x port-control auto
10) 验证结果
show dot1x
配置交换机域RADIUS服务器之间通信
1) 进入全局模式 configure terminal
2) 配置RADIUS服务器特征
radius-server host [主机名|IP地址] auth-port 端口号 key 密钥
auth-port:UDP端口号
1) 进入全局模式 configure terminal
2) 进入接口模式 interface 接口
3) 配置主机模式
dot1x host-mode multi-host
允许多主机模式
4) 配置IEEE802.1x认证
dot1x port-control auto
配置重认证周期
1) 进入全局模式 configure terminal
2) 进入接口模式 interface 接口
3) 启用IEEE802.1x重认证
dot1x reauthentication
4) 设置重认证周期
dot1x timeout reauth-period 秒数
秒数:默认为3600秒,取值为1-65535
5) 验证结果
show dot1x interface 接口
配置安静周期
交换机在与客户的一次失败验证交换之后保持安静状态的时间
1) 进入全局模式 configure terminal
2) 进入接口模式 interface 接口
3) 配置安静周期Quiet period
dot1x timeout quiet-period 秒数
秒数:默认为60秒,取值为1-65535
配置交换机与主机之间重传时间
交换机在重传请求之前等待客户对一个EAP请求/身份帧的响应时间
1) 进入全局模式 configure terminal
2) 进入接口模式 interfacer 接口
3) 配置重传时间
dot1x timeout tx-period 秒数
秒数为5-65535,默认为5秒
配置交换机与主机之间重传最大次数
交换机在重新开始验证过程之前发送一个EAP请求/身份帧的次数
1) 进入全局模式 configure terminal
2) 进入接口模式 interfacer 接口
3) 配置重传最大次数
dot1x max- req 次数
次数为1-10,默认为2次
配置交换机与主机之间重认证最大次数
1) 入全局模式 configure terminal
2) 进入接口模式 interfacer 接口
3) 配置重传最大次数
dot1x max-reauth-req 次数
秒数为1-10,默认为2次
vlan(guest vlan)
如果端口指定了访客Guest VLAN项,此端口下的接入用户如果认证失败或根本无用户账号的话,会成为Guest VLAN 组的成员,可以享用此组内的相应网络资源,这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入安全。用户可以去下载客户端,但是不能去上公网,他限制了未拨号用户可以访问的资源。
配置过程:
1) 进入全局模式 configure terminal
2) 进入接口模式 interface 接口
3) 配置接口模式
switchport mode access
4) 配置dot1x认证
dot1x port-control auto
5) 配置某个活动vlan成为访客vlan
dot1x guest-vlan vlan号
vlan号:1-4094,除了RSPAN vlan、私有VLAN的主Vlan、语音vlan