个人整理 绝大多数来源于网络
cisco 现在强调 nac 但是 他的两款产品cam cas 对于一般企业来说应该不想花钱 于是基于802.1x +ACS 就成了热门人选
1:方法一
基于mac 的认证 这种方法最简单 也最麻烦 部署简单维护麻烦
主要过程
基于mac802.1x
一.交换机配置
aaa new-model
aaa authentication login noacs line none
aaa authentication dot1x default group radius
!认证
aaa authorization network default group radius
!授权
dot1x system-auth-control
!启用dot1x
radius-server host 192.168.30.18 auth-port 1645 acct-port 1646 key cisco
!定义Radius服务器
radius-server vsa send
!启动分配到不同vlan功能
 
interface FastEthernet0/1
 switchport mode access
dot1x mac-auth-bypass eap
!启用mac免认证功能,也就是说当接入设备不支持
dot1x时,将通过查找ACS是否有设备的mac地址去认证。
dot1x port-control auto
dot1x pae authenticator
!启用dot1x功能
 dot1x timeout tx-period 3
!缩短认证时间
 dot1x guest-vlan 2
!认证不成功,被分配到vlan2
 spanning-tree portfast
!缩短端口启用时间
 
二.ACS配置
1.创建用户
ACS上创建用户:接入设备的mac地址作为usernamepassword,格式为12个连续字符
 
2.勾选用户属性
 
 
 
 
 
 

ACS的用户配置中打开“006”这个属性值
 
 
以上属性找不到的请在ACSInterface configuration选项勾选
 
以上属性找不到的请在ACSInterface configuration选项勾选
 
 
 
当用户认证成功将被分配到vlan10
 
三.客户端配置
客户端一定要取消掉802.1X身份验证,否则在认证时候就自动跳出需要输入用户名和密码