802.1X协议是二层的一个协议,其主要作用就是对交换机端口进行验证,只有通过的身份难的用户才可以访问局域网内部的资源;
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

默认情况下,当我们的交换网络搭建好了以后,有人用自己的移动计算机插入到交换机的某个接口上,便可以自由访问我们局域网内的资源;为了保护我们局域网内部资源的安全,这时我们可以通过应用802.1X认证协议对交换机端口进行身份认证,只有通过认证的用户才可以访问局域网的资源

 

交换机端口的状态
       1、未授权状态,只能传送EAPOLYCDPSTP的数据
       2、授权状态,通过认证、授权以后可以传送所有数据流量

 

802.1X认证的角色
       1、客户端
       2、交换机
       3、认证服务器(安装ACS软件)
认证服务器通过AAAauthentication  authorization  accounting)服务器的方式来搭建
       4、安装ACS软件的注意事项          
              1)服务器要和交换机可以PING
              2)服务器要有JAVA的支持
              3IE浏览器要版本6.0以上

 

搭建AAA服务器可以使用RADIUSTACACS+协议,二者的区别如下:
1、  RADIUS是公有的协议,而TACACS+是私有的协议
2、  RADIUS协议的认证和授权端口为UDP协议的1645或者1812,统计端口为1813或者1646端口;TACACS+协议使用的是TCP协议的49端口
3、  TACACS+RADIUS协议安全

 

配置交换机时,端口可以指定的认证类型:
       1force-authorized (强制授权状态)
       2force-unauthorized (强制非授权状态)
       3auto (自动模式)

 

在交换机上配置802.1X认证
       /*开启AAA服务*/
       Aaa new-module
          Radius-server host 192.168.1.1 auth-port 1645 acct-port 1646 key cisco
              Exit

 

       /*802.1X认证*/
       Aaa authentication dot1x default group radius
       Radius-server vsa send authentication
       Aaa authorization dot1x default group radius

 

       /*全局模式下开启802.1X认证*/      
       Dot1x system-auth-control
       Interface f0/1
       Switchport mode access
       Dot1x port-control auto