dot1x cisco交换机配置模板

1.1 配置模板
1.1.1 Cisco交换机配置模板（生产&办公）
1）Radius配置：

aaa new-model---------配置AAA认证参数

aaa authentication login default line

aaa authentication dot1x default group radius------设置dot1x默认的认证服务器是RADIUS服务器组

aaa authorization network default group radius--------配置授权服务器为Radius服务器

aaa accounting update periodic 3

aaa accounting dot1x default start-stop group radius---配置dot1x认证时发送计费开始/结束报文，计费服务器为RADIUS服务器组

aaa accounting network default start-stop group radius

radius-server attribute nas-port format c-----配置交换机以C类格式发送描述端口号的Radius属性

radius-server host X.X.X.X auth-port 1812 acct-port 1813 key key_cisco----配置主用Radius服务器（IP地址是总行生产/办公认证服务器地址）

radius-server host X.X.X.X auth-port 1812 acct-port 1813 key key_cisco-----配置备用Radius服务器（IP地址是分行生产/办公逃生服务器地址）

radius-server source-ports 1645-1646

radius-server retransmit 1

radius-server timeout 3

snmp-server community NM_CITICIB RO--------SNMP配置

ip radius source-interface vlan X-------------3560等多地址的交换机必须配置， “X”是管理地址的vlan编号。

2）接口配置：

interface FastEthernet0/x

switchport mode access------接口先配置成access模式，才有dot1x命令

dot1x port-control auto-----接口使能dot1x认证

dot1x mac-auth-bypass-----接口使能mac认证

spanning-tree portfast

3）全局启用

dot1x system-auth-control----------全局使能802.1x认证



1.1.2 服务器准入配置模板
1） Cisco交换机：

全局下：

snmp-server community NM_CITICIB RO-----设置SNMP只读参数为：NM_CITICIB

snmp-server enable traps mac-notification-----开启snmp server的mac信息改变trap给IMC

snmp-server host X.X.X.X NM_CITICIB mac-notification---“X.X.X.X”指生产或办公的IMC服务器地址

mac-address-table notification----使能MAC地址改变通知特性

接口下：

interface FastEthernet0/X------在需要启用服务器准入的接口启用

snmp trap mac-notification added---mac信息的添加trap给IMC

snmp trap mac-notification removed---mac信息的移除trap给IMC