Cisco-802.1x配置举例

拓扑：

 需求：

WIN 7用户通过认证接入到网络中，如果认证失败无法接入到网络中

认证服务器是华为AC（Agile Controller）

认证方式：802.1x（通过输入用户名密码进行认证）

SW1配置

 

启用aaa功能

创建认证模板名称cty，认证模式为不认证，调用到console口（线下保护）

 

配置SW1，802.1x认证关联radius服务器，网络授权关联radius服务器，审计关联radius服务器

 配置radius服务器地址，共享密钥，服务端口

 vsa（厂商特殊属性），radius服务器下发厂商特殊属性，不开启的话只会下发标准属性（radius服务器下发的授权结果，用户可能无法识别）

 

配置G0/1接口，不需要允许具体的vlan

到AC设备

 到AC创建用户

 测试，显示成功

 

 AC查看radius认证日志

 

 SW1全局开启802.1x功能

接口上开启802.1x功能

接口下配置自动认证，当接口状态变化的时候（down-up），自动重新认证

 认证3次失败后，使用另一种认证方式（如mab认证失败后，进行802.1x认证）

 配置aaa认证服务器，如果失败，执行vlan10的授权动作，就是失败了分配vlan10网段IP地址

如果服务器存活 重新开始认证

认证失败 开始下一个认证

 

配置在当前接口下主机认证模式为多认证（允许当前接口下存在多个终端，只要通过认证，就都能接入网络）

 调用ACL        

ACL结合authentication open使用，认证前允许ACL内的流量通过（如果没有配置autnentication open，则ACL无意义）

bootpc和bootps是DHCP，允许获取地址

domain是DNS，允许进行DNS解析

允许ping

tftp用户IP电话和语音网关通信

其他流量拒绝

配置认证前端口的行为，允许所有流量通过（但要结合ACL使用，认证通过之前只允许ACL里面规定的流量通过，）

 配置认证违规的动作为丢包

 SW1查看当前接口下的全部配置

然后配置AC

先添加授权结果

 

然后确定即可

添加认证规则

 

 

 

 

 添加授权规则

 

 

 然后确定即可

 然后配置用户端WIN 7

在计算机管理-服务中找到这个Wired AutoConfig 服务和EAP服务，确保这两个是启动状态

 设置网卡

 

 然后客户端就配置好了，重启下网卡，网卡设置DHCP获取IP

输入AC上创建的用户进行认证即可 

成功后获取到128网段IP

 查看radius日志，发现认证成功，

 点进去看详情，发现匹配的认证授权规则都是刚刚创建的

 如果认证失败，则无法获取到IP地址

此时在交换机上查看，此时发现g0/1对应的vlan是128