Cisco基于MAC地址认证的802.1x配置手册

配置IEEE 802.1x 认证一下部分描述如何配置IEEE 802.1x 基于端口的认证：• IEEE 802.1x 认证的缺省配置• IEEE 802.1x 认证配置向导• 配置IEEE 802.1x 认证(必须)• 配置主机模式可选)• 启用定期重认证(可选l)• 手动要求连接端口的客户端进行重新认证(可选)• 改变静默周期(可选l)• 改变交换机到客户端的帧重传时间(可选)• 设定交换机到客户端的帧重传个数(可选l)• 配置访客VLAN (可选)• 配置一个受限制的VLAN (可选l)• 重置IEEE 802.1x 配置为缺省值(可选)缺省情况下的IEEE 802.1x 认证配置Table 9-2列出了缺省情况下的IEEE 802.1x 认证配置禁用AAA, 使用no aaa new-model全局配置命令。

禁用IEEE 802.1x AAA 认证，使用no aaa authentication dot1x default全局配置命令。

禁用IEEE 802.1x AAA 授权，使用no aaa authorization 全局配置命令。

禁用交换机的IEEE 802.1x 认证，使用no dot1x system-auth-control全局配置命令。

配置主机模式Mode进入特权模式，遵从如下步骤允许多个主机同时连接启用了IEEE 802.1x认证的端口。

这个过程时可选的。

禁用多主机使用802.1x认证的端口，使用no dot1x host-mode multi-host端口配置命令例子：Switch(config)# interface fastethernet0/1Switch(config-if)# dot1x port-control autoSwitch(config-if)# dot1x host-mode multi-host启用定期重认证你可以启用定期IEEE 802.1x 客户端重认证并指定多久发生一次。

Note：先看看AAA，在这里要用到AAA的内容，有时间的时候我整理一下AAA发上来。

要使用基于端口的认证，则交换机和用户PC都要支持802.1x标准，使用局域网上的可扩展认证协议（EAPOL），802.1x EAPOL是二层协议，如果交换机端口上配置了802.1x，那么当在端口上检测到设备后，该端口首先处于未认证状态，端口将不转发任何流量（除了CDP，STP和EAPOL），此时客户PC只能使用EAPOL协议与交换机通信，我们需要再客户PC上安装支持802.1x的应用程序（windows支持802.1x），一旦用户通过认证则该端口开始转发数据流。

用户注销时交换机端口将返回未认证状态；或者当客户长时间没有数据流量时，会因超时停止认证状态，需要用户重新认证。

再交换机上配置802.1x需要用到RADIUS服务器，在这里注意一下，AAA可以用RADIUS和TACACS+实现，但802.1x只支持RADIUS认证。

来看一下配置：（config）#aaa new-model '启动AAA。

（config）#radius-server host 192.168.1.100 key netdigedu '配置RADIUS服务器地址及密钥。

（config）#aaa authentication dot1x default group radius '配置802.1x默认认证方法为RADIUS。

（config）#dot1x system-auth-control '在交换机上全局启用802.1x认证。

（config）#int fa0/24（config-if）#switchport mode access（config-if）#dot1x port-control auto '设置接口的802.1x状态。

这个命令一定要注意；状态有三种：force-authorized：端口始终处于认证状态并转发流量，这个是默认状态。

802.1X 典型配置1. 组网需求要求在端口Ethernet1/1 上对接入用户进行认证，以控制其访问Internet；接入控制方式要求是基于MAC 地址的接入控制。

所有接入用户都属于一个缺省的域：，该域最多可容纳30 个用户；认证时，先进行RADIUS 认证，如果RADIUS 服务器没有响应再转而进行本地认证；计费时，如果RADIUS计费失败则切断用户连接使其下线。

由两台RADIUS 服务器组成的服务器组与Device 相连，其IP 地址分别为10.1.1.1 和10.1.1.2，使用前者作为主认证/备份计费服务器，使用后者作为备份认证/主计费服务器。

设置系统与认证RADIUS 服务器交互报文时的共享密钥为name、与计费RADIUS 服务器交互报文时的共享密钥为money。

设置系统在向RADIUS 服务器发送报文后5 秒种内如果没有得到响应就向其重新发送报文，发送报文的次数总共为5 次，设置系统每15 分钟就向RADIUS 服务器发送一次实时计费报文。

设置系统从用户名中去除用户域名后再将之传给RADIUS 服务器。

本地802.1X 接入用户的用户名为localuser，密码为localpass，使用明文输入；闲置切断功能处于打开状态，正常连接时用户空闲时间超过20 分钟，则切断其连接。

2. 组网图3. 配置步骤# 配置各接口的IP 地址（略）。

# 添加本地接入用户，启动闲置切断功能并设置相关参数。

<Device> system-view[Device] local-user localuser[Device-luser-localuser] service-type lan-access[Device-luser-localuser] password simple localpass[Device-luser-localuser] authorization-attribute idle-cut 20 [Device-luser-localuser] quit# 创建RADIUS 方案radius1 并进入其视图。

802.1x认证配置手册以目前 上配置的radius server为例:Radius server :10.241.100.237Secret: testingUser: testPass:123456781.路由器配置及说明无线安全模式选择802.1x:a.802.1x wep : enableb.对照上述参数输入server ip: 10.241.100.237端口: 1812Shared Secret:testingSession timeout:不重要Idle Timeout: 不重要c.access policy(无线mac地址过滤):disable即可,如果enable,则需要选择accept,并输入自己笔记本无线网卡的mac即可下面列出新的配置项建议值: (红色的为重要,黑色的为一般值,根据需要自己改) session_timeout_interval: 6000RADIUS_Key1: testingAuthMode: OPENEncrypType: WEPRADIUS_Server: 10.241.100.237IEEE8021X: 1EAPifname: br0PreAuthifname: br0WAN_MAC_ADDR: 00:11:22:33:44:5EAccessControlList0: 00:21:00:ef:ca:e4;00:24:D7:3B:12:8CWiFiOff: 0RadioOff: 0SSID1: SDHomeAP_800000000503WPAPSK1: 12345678WscSSID: SDHomeAP_800000000503own_ip_addr: 10.10.10.254注意事项:之前goahead中选择802.1x后代码中用” doSystem("rt2860apd");”启动了rt2860apd,该进程是用户空间做802.1x的认证程序.故目前新系统中请先手动启动该进程,稍后我会改成自动脚本.1.xp配置注意事项选择想要连接的无线网卡,设置属性:选择安全:安全类型:802.1x加密wep授权方法:peap注意setting选项页中点击configure按钮,去勾”自动使用windows登录用户和密码”高级(advanced):指定授权模式(specify authentication mode):选择user authentication 然后点击: replace credentials: 输入test 12345678(即测试的盛大通行证)注:现在把server也可以设成不检查用户名的方法,所以输不输入盛大通行证应该都可以认证成功.。

基于802.1X 的mac 认证配置文档场景：192.168.1.2：acs 服务器服务器192.168.1.1：交换机：交换机192.168.1.150：接入客户端：接入客户端大致步骤：一、一、 ACS 的安装与配置的安装与配置二、二、 交换机的配置交换机的配置三、三、 客户端的配置客户端的配置一、ACS 的安装与配置第一步：安装jre ，这是acs 必须得环境。

必须得环境。

第二步：安装ACS 4.2。

第三步：创建以接入用户的mac 地址的用户名和密码。

（一定要小写）（一定要小写）第四步：首次运行ACS 后需要设置网络，选择network configura on 选项，再选择AAA CLIENTS菜单下的ADD ENTRY 添加AAA 终端（交换机）第五步：设置AAA 设备名（不能有空格），IP ，共享密钥，认证模式选择RADIUS （IETF ）设置好后选择界面下的提交和保存置好后选择界面下的提交和保存第六步：再根据实际情况更改AAA SERVER 与交换机通信的端口（默认1645，1646），本次案例使用1812，1813。

第七步：进入interface configura on，设置radius(IETF)，添加允许组设置使用的选项。

进行组设置。

第八步：进行组设置。

，点击提交保存即可！注意：081的值是需要的实际VLAN ID，点击提交保存即可！二、交换机配置Int vlan 1Ip add 192.168.1.1 255.255.255.0No shutInt vlan 300Ip add 192.168.2.200 255.255.255.0No shutSwitch#Conf tSwitch(config)#aaa new-modelSwitch(config)#aaa authen ca on dot1x default group radiusdot1x system-auth-controlaaa authorization network default group radius radius-server host radius-server host 192.168.1.2192.168.1.2 auth-port 1812 acct-port 1813 key auth-port 1812 acct-port 1813 key 123456123456设置要使用的认证服务器IP ，端口，密钥（与认证服务器中终端设置相同） radius-server vsa send authen ca on 按标准参数划分VLAN开启端口认证int interface range giga 0/2 - 10 配置要使用的端口switchport mode accessdox1t port-control autoDot1x mac-auth-bypass 若认证服务器不支持EAP 认证，则不输入EAP （IAS 不支持EAP ） Dot1x timeout tx-period 1 认证超时调整，最小值为1 Dot1x timeout auth-period 1 认证时间调整Spanning-tree portfastNo shutEndwriteSwitch#show dot1x int interface 查看端口认证设置三、客户端配置 1、配置IP 地址，不配置网关；地址，不配置网关；2、不要选择802.1x 认证。

交换机802.1x配置1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X 方式，如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置：Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式，正常的通过认证和授权过程强制授权方式：不通过认证，总是可用状态强制不授权方式：实质上类似关闭了该接口，总是不可用可选配置：Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证，注意：如果会话已经建立，此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2，提供了灵活性注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。

交换机802.1X配置1功能需求及组网说明802.1X配置『配置环境参数』1.交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243.交换机vlan100包含端口G1/1接口地址192.168.0.1/244.RADIUS server地址为192.168.0.100/245.本例中交换机为三层交换机『组网需求』1.PC1和PC2能够通过交换机本地认证上网2.PC1和PC2能够通过RADIUS认证上网2数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1.创建（进入）vlan10[SwitchA]vlan 102.将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103.创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1255.255.255.05.创建（进入）vlan20[SwitchA-vlan10]vlan 206.将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207.创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208.给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1255.255.255.09.创建（进入）vlan100[SwitchA]vlan 10010.将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111.创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012.给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1255.255.255.0【802.1X本地认证缺省域相关配置】1.在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2.在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103.这里采用缺省域system，并且缺省域引用缺省radius方案system。