配置cisco交换机IEEE802.1x认证
cisco交换机配置802.1x的相关命令
cisco交换机配置802.1x的相关命令2010-07-28 18:58Router(config)# aaa new-model! 启用aaaaaa authentication dot1x default group radius! dot1x使用radius做认证aaa authorization network default group radius! 使用802.1x协议去动态分配vlan的话,上边的这句命令一定要有dot1x system-auth-control! 允许802.1x port-based 认证dot1x guest-vlan supplicant! 允许交换机在端口802.1x认证失败后,指定vlan到guest-vlanradius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key Password! 设置radius server的ip地址和端口,以及认证的passwordradius-server retransmit 3!在发送的radius请求没有相应的情况下的重新传递次数radius-server vsa send authentication!vsa是Vendor-Specific attributes的缩写,如果需要通过802.1x来指定端口的vlan,需要这条配置命令。
!下边的是需要重点配置的,由于dot1x默认的几个超时和重试都比较高。
如果遇到没有验证的主机的话,切换到guest-vlan的时间就会比较晚,造成主机显示无法连接,影响了用户的体验。
其实在局域网环境中,超时值可以设置的相对低一些。
interface FastEthernet0/3switchport mode access!dot1x指定vlan, switchport mode必须为accessdot1x port-control auto!开启dot1x端口认证dot1x timeout quiet-period 10!switch在与client认证失败后的静默时间。
cisco8021x配置3560
cisco8021x配置3560交换机为思科3560(支持三层交换,静态路由)使用缺省VLAN------VLAN1ClientA和ClientB为测试客户端ClientA=>192.168.100.100ClientB=>192.168.100.200Core Server为核心服务器(安装SP3)Core Server=>192.168.100.20IAS为认证服务器(装proxy)IAS=>192.168.100.10认证服务器的交换机端口192.168.100.11.进入配置模式Switch>en2.在交换机上建立VLAN在此可以设置自己的VLAN(参见注意3。
本例中将使用缺省VLAN1)3.设置VLAN 1的IP地址Switch#conf tSwitch(config)#int vlan 1Switch(config-if)#ip add 192.168.100.1 255.255.255.0Switch(config-if)#no shutSwitch(config)#exit4.启用AAA并创建802.1x端口认证方式列表Switch(config)#aaa newSwitch(config)#aaa authentication dot1x default group radius5.为交换机全局启用802.1x端口认证Switch(config)#dot1x system-auth-control6.设置主认证RADIUS(proxy)服务器的IP地址及认证交互报文时的通信密码。
Switch(config)#radius-server host 192.168.100.10 auth-port 4001 key scab7.进入f0/1端口设置(每个端口都要设置,7、8、9、10联动)Switch(config)#int f0/18.指定f0/1端口为接入端口(每个端口都要设置,7、8、9、10联动)Switch(config-if)#switchport mode access9.在f0/1端口上启用802.1x(每个端口都要设置,7、8、9、10联动)Switch(config-if)#dot1x port-control auto10.设定802.1x的传送超时定时器(每个端口都要设置,7、8、9、10联动)Switch(config-if)#dot1x timeout tx-period 5Switch(config-if)#exitSwitch(config)#exit11.备份设置Switch#copy run start注意:1、要将核心服务器、PROXY和RADIUS服务器的在交换机上的联接端口设置成接入端口,参照上面第七、八项设置。
802.1 x 认证实验参考配置
802.1 x 认证配置交换机上的用户到CAMS上来认证和计费,通常需要进行以下一些配置:1、配置VLAN和VLAN虚接口[S3526E]vlan 2[S3526E-vlan2]port ethernet 0/24[S3526E]interface vlan 2[S3526E-Vlan-interface2]ip address 10.110.81.30 255.255.255.0[S3526E]interface vlan 1[S3526E-Vlan-interface1]ip address 10.110.82.1 255.255.255.0[S3526E-Vlan-interface1]ip address 10.110.83.1 255.255.255.0 sub2、配置RADIUS方案[S3526E]radius scheme cams[S3526E-radius-cams]primary authentication 10.110.81.90 1812[S3526E-radius-cams]primary accounting 10.110.81.90 1813[S3526E-radius-cams]server-type huawei[S3526E-radius-cams]key authentication expert[S3526E-radius-cams]key accounting expert[S3526E-radius-cams]user-name-format without-domain[S3526E-radius-cams]data-flow-format data byte packet one-packet3、配置域名和缺省域名[S3526E]domain cams[S3526E-isp-cams]radius-scheme cams[S3526E-isp-cams]access-limit disable[S3526E-isp-cams]state active[S3526E-isp-cams]idle-cut disable[S3526E]domain default enable cams4、启动和设置802.1X认证[S3526E]dot1x[S3526E]interface Ethernet 0/2[S3526E-Ethernet0/2]dot1x[S3526E-Ethernet0/2]dot1x port-method macbased配置MA上的用户到CAMS上来认证和计费,通常需要进行以下一些配置:1、配置认证、计费方案[MA5200E]aaa[MA5200E-aaa]authentication-scheme cams[MA5200E-aaa-authen-cams]authentication-mode radius[MA5200E-aaa]accounting-scheme cams[MA5200E-aaa-accounting-cams]accounting-mode radius[MA5200E-aaa-accounting-cams]accounting realtime 3[MA5200E-aaa-accounting-cams]accounting interim-fail online[MA5200E-aaa-accounting-cams]accounting start-fail offline2、配置RADIUS服务器[MA5200E]radius-server group cams[MA5200E-radius-cams]radius-server authentication 10.110.81.90 1812 [MA5200E-radius-cams]radius-server accounting 10.110.81.90 1813[MA5200E-radius-cams]radius-server key expert[MA5200E-radius-cams]radius-server type portal[MA5200E-radius-cams]undo radius-server user-name domain-included [MA5200E-radius-cams]radius-server traffic-unit byte3、配置域名和缺省域名[MA5200E]aaa[MA5200E-aaa]domain cams[MA5200E-aaa-domain-cams]authentication-scheme cams[MA5200E-aaa-domain-cams]accounting-scheme cams[MA5200E-aaa-domain-cams]radius-server group cams[MA5200E-aaa-domain-cams]eap-sim-parameter[MA5200E-aaa-domain-cams]eap-end chap[MA5200E-aaa-domain-cams]ip-pool first cams[MA5200E]aaa[MA5200E-aaa]domain default[MA5200E-aaa-domain-default]authentication-scheme defaut0[MA5200E-aaa-domain- default]accounting-scheme default0[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90 [MA5200E-aaa-domain- default] web-authentication-server urlhttp://10.110.81.90/portal[MA5200E-aaa-domain- default]ucl-group 1[MA5200E-aaa-domain- default]ip-pool first default4、配置上行端口[MA5200E]interface Ethernet 24[MA5200E-Ethernet24]negotiation auto[MA5200E]interface Ethernet 24.0[MA5200E-Ethernet24.0]ip address 10.110.81.12 255.255.255.0[MA5200E]portvlan ethernet 24 0[MA5200E-ethernet-24-vlan0-0]access-type interface5、配置接入端口[MA5200E]portvlan ethernet 2 0 4095[MA5200E-ethernet-2-vlan0-4094]access-typelayer2-subscriber[MA5200E-ethernet-2-vlan0-4094]authentication-method web[MA5200E-ethernet-2-vlan0-4094]default-domainpre-authentication default[MA5200E-ethernet-2-vlan0-4094]default-domainauthentication cams如果是采用Portal方式认证,还需要进行如下配置:6、配置Portal认证[MA5200E]web-auth-server version v2[MA5200E]web-auth-server 10.110.81.90 key expert[MA5200E-aaa-domain- default] web-authentication-server10.110.81.90[MA5200E-aaa-domain- default] web-authentication-serverurl http://10.110.81.90/portal7、配置ACL[MA5200E]acl number 101[MA5200E-acl-adv-101]rule net-user permit ip destination 1source 10.110.81.90 0 [MA5200E-acl-adv-101]rule user-net permit ipdestination 10.110.81.90 0 source 1 [MA5200E-acl-adv-101]rule user-net deny ip source 1[MA5200E]access-group 101。
RG-S21交换机 802.1x认证配置方法
S21交换机 802.1x认证配置方法锐捷网络远程技术支持中心技术热线:4008-111-000福建星网锐捷网络有限公司802.1x 的配置注意事项1)只有支持802.1x 的产品,才能进行以下设置。
2)802.1x 既可以在二层下又可以在三层下的设备运行。
3)要先设置认证服务器的IP 地址,才能打开1X 认证。
4)打开端口安全的端口不允许打开1X 认证。
5)Aggregate Port 不允许打开1X 认证。
802.1x 的默认配置下表列出 802.1x 的一些缺省值认证Authentication 关闭DISABLE 记帐Accounting 关闭DISABLE 认证服务器(Radius Server)*服务器IP 地址(ServerIp) *认证UDP 端口*密码(Key) *无缺省值*1812*无缺省值记帐服务器(Accounting Server) *记帐服务器IP 地址*记帐UDP 端口*无缺省值1813所有端口的类型非受控端口(所有端口均无须认证便可直接通讯定时重认证re-authentication 打开定时重认证周期reauth_period 3600 秒认证失败后允许再次认证的间隔 5重传时间间隔30 秒最大重传次数 2 次客户端超时时间30 秒,在该段时间内没有收到客户端的响应便认为这次通讯失败服务器超时时间30 秒,在该段时间内没有收到服务器的回应,便认为这次通讯失败某端口下可认证主机列表无缺省值福建星网锐捷网络有限公司设置802.1X 认证的开关当打开802.1x 认证时,交换机会主动要求受控端口上的主机进行认证,认证不过的主机不允许访问网络。
例:设置Server Ip 为192.1.1.1、认证Udp 端口为600、以明文方式设置约定密码:Switch#configure terminalSwitch(config)#radius-server host 192.1.1.1Switch(config)#radius-server auth-port 600Switch(config)#radius-server key MsdadShaAdasdj878dajL6g6ga Switch(config)#end打开/关闭一个端口的认证在802.1x 打开的情形下,打开一个端口的认证,则该端口成为受控口,连接在该端口下的用户要通过认证才能访问网络,然而,在非受控端口下的用户可以直接访问网络。
802.1x端口认证
802.1x端口认证带有eap的radius服务器是802.1x唯一支持的认证服务器,可扩展身份验证(EAP)依赖于radius服务,只支持2层的static_access port,voice port,以及3层的routed port认证的配置Aaa new-model 启用AAA认证Aaa authentication dot1x default group radius 创建一个基于802.1x的认证方法列表Aaa authorization network default group radius 对网络授权Radius-server host 172.16.36.1 key cisco 设置radius服务器地址和密码Dot1x system-auth-control 在全局模式下启用802.1x的认证Int f0/1 进入端口模式下Swichport mode access 设置端口为access模式Dot1x port-control auto 在该端口上启用Force-authorized关键字,802.1x验证被禁用,无需验证即转换到授权状态,是默认设置Force-unauthorized 关键字导致端口处于未认证状态,忽略客户所有的验证尝试。
Auto 启用802.1x授权状态,验证前只允许通过eapol帧,通过验证后进入数据转发状态,不支持802.1x的客户端,不能获批进入网络。
如果客户端支持802.1x,发送固定次数的eapol 请求没有响应,就直接进入授权转发状态设置方案1、认证成功,把其放到正确的vlan,2、认证不成功多次,把其放到“教育”vlan(restrict)3、没有AAA认证软件,放到防护vlan,也可以说下载vlan,下载认证软件。
802.1X验证和动态Vlan具体实施过程
目录1简介 (2)2认证机制 (3)3用户登陆形式 (3)4安装证书服务器 (4)3 Cisco Secure ACS Solution Engine 安装和配置 (7)3.1安装 (7)3.2安装证书 (10)3.3针对思科交换机和AP的配置 (22)3.4针对华为交换机的配置 (29)4 交换机和AP配置 (29)4.1思科交换机配置 (29)4.2华为交换机配置 (30)4.3AP的配置 (31)5.客户端PEAP认证设置 (33)5.1获取证书 (33)5.2客户端PEAP设置 (34)1简介IEEE 802.1x 标准定义了基于client/server 模式的访问控制和验证协议,以此来限制非授权用户通过公用的访问端口连接到LAN。
在Switch 或LAN 指定的services 可用之前,验证服务器验证每个连接到Switch 端口上的客户端。
802.1x 访问控制只允许EAPOL(Extensible Authentication Protocol over LAN )包通过客户端连接的端口,直到客户验证成功。
验证成功以后,端口就可以传输正常数据包。
网络拓扑图如下:Client-工作站请求访问LAN 、交换机服务和响应请求。
工作站必需运行8021.x 兼容的客户端软件;Authentication server -真正负责对客户端的验证。
Authentication server 确认客户的的身份并且通知交换机是否授权访问LAN 和交换服务。
因为交换机作为了一个代理,所以验证服务对客户来说是透明的;Switch (边缘交换机或无线AP)-根据客户的验证状态控制到网络的物理访问。
交换机做为客户端和验证服务器之间的一个代理,从客户端要求验证信息并送到验证服务器验证。
交换机包含一个Radius client,负责封装和解装EAP 帧并和验证服务器交互。
在李宁公司802.1x实施中,我们使用windows AD 作为后端用户数据库,使用的Radius server为Cisco ACS ,交换机使用Cisco switch和无线AP ,同时CA服务、DNS服务、DHCP服务也在AD服务器上安装,客户端则使用windows xp 。
交换机802.1x配置
交换机802.1x配置1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X 方式,如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置:Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式,正常的通过认证和授权过程强制授权方式:不通过认证,总是可用状态强制不授权方式:实质上类似关闭了该接口,总是不可用可选配置:Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证,注意:如果会话已经建立,此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证,此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2,提供了灵活性注意:1、VLAN2必须是在本交换机激活的,计划分配给游客使用;2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。
博达交换机802.1x认证配置手册
6
(Chap-Response/MD5 Challenge)
Radius-access--Request Radius-access--Accept
(Chap-Success)
8
7
802.1X---22
802.1x EAP终结认证图示
3. 结合 结合Radius认证 认证
EAP透传方式: 透传方式: 透传方式
2. System间信息交换 间信息交换
.Authenticator与 Authentication Server 间通过EAP帧
交换信息
.Supplicant 与 Authenticator 间则以IEEE 802.1x 所
定义的EAPoL帧交换信息。
.EAP 帧中封装了认证数据,该认证数据将被封装
缺点:
需要特定的客户端软件
802.1X---19
三、802.1x 在博达交换机上 的认证方式
802.1X---20
1. 本地数据库认证
客户端
1 2 3 4 5 6
博达交换机 EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge EAP-Success
配置802.1x的AAA认证方式 的 配置 认证方式
dot1x max-req count
配置身份认证请求的最大次数
802.1X---27
802.1x的配置任务 的配置任务
dot1x user-permit xxxx
配置端口下绑定的用户
dot1x authentication method yyy
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置IEEE 802.1x 认证一下部分描述如何配置IEEE 802.1x 基于端口的认证:• IEEE 802.1x 认证的缺省配置• IEEE 802.1x 认证配置向导• 配置IEEE 802.1x 认证(必须)• 配置主机模式可选)• 启用定期重认证(可选l)• 手动要求连接端口的客户端进行重新认证(可选)• 改变静默周期(可选l)• 改变交换机到客户端的帧重传时间(可选)• 设定交换机到客户端的帧重传个数(可选l)• 配置访客VLAN (可选)• 配置一个受限制的VLAN (可选l)• 重置IEEE 802.1x 配置为缺省值(可选)缺省情况下的IEEE 802.1x 认证配置Table 9-2列出了缺省情况下的IEEE 802.1x 认证配置禁用AAA, 使用no aaa new-model全局配置命令。
禁用IEEE 802.1x AAA 认证,使用no aaa authentication dot1x default全局配置命令。
禁用IEEE 802.1x AAA 授权,使用no aaa authorization 全局配置命令。
禁用交换机的IEEE 802.1x 认证,使用no dot1x system-auth-control全局配置命令。
配置主机模式Mode进入特权模式,遵从如下步骤允许多个主机同时连接启用了IEEE 802.1x认证的端口。
这个过程时可选的。
禁用多主机使用802.1x认证的端口,使用no dot1x host-mode multi-host端口配置命令例子:Switch(config)# interface fastethernet0/1Switch(config-if)# dot1x port-control autoSwitch(config-if)# dot1x host-mode multi-host启用定期重认证你可以启用定期IEEE 802.1x 客户端重认证并指定多久发生一次。
如果启用了重认证单并未指定重认证周期,缺省的周期为3600秒。
进入特权模式,遵循如下步骤启用客户端的定期重认证,并配置重认证的间隔。
这个过程不是必须的。
禁用周期重认证使用no dot1x reauthentication接口配置命令。
使用缺省的重认证间隔设置使用no dot1x timeout reauth-period 全局配置命令。
例子:启用重认证并设置重认证间隔为4000秒:Switch(config-if)# dot1x reauthenticationSwitch(config-if)# dot1x timeout reauth-period 4000手动要求客户端进行重认证再认证时候你都可以手动要求连接到端口的客户端进行重新认证,命令为dot1xre-authenticate interface interface-id例子:Switch# dot1x re-authenticate interface fastethernet0/1改变静默周期当交换机不能认证客户端时,交换机会空闲一个周期的时间认证重新尝试。
空闲的时间时由静默周期决定的。
当客户端提供错误的密码而导致认证失败,你可以使用较小的静默周期以提高认证响应的速度。
进入特权模式,尊许如下的步骤配置静默周期。
这个过程时可选的。
使用缺省的重传次数,使用no dot1x max-req端口配置命令。
例子:设置在开始新的认证过程前重新传输EAP-request/identity 帧的次数为5禁用并取消访客VLAN使用no dot1x guest-vlan接口配置命令,端口返回到为授权状态。
例子:在端口1上启用VLAN 9 作为IEEE 802.1x 访客VLANSwitch(config)# interface fastethernet0/1Switch(config-if)# dot1x guest-vlan 9例子:设置某端口的交换机EAP-request/identity帧的重传间隔为15,设置交换机的静默时间为3秒,启用VLAN 2 作为IEEE 802.1x 访客VLANSwitch(config-if)# dot1x timeout quiet-period 3Switch(config-if)# dot1x timeout tx-period 15Switch(config-if)# dot1x guest-vlan 2当配置访客VLAN时,当服务器没有收到对EAPOL request/identity帧的响应那些不能进行IEEE 802.1x认证的客户端被放进访客,可以进行IEEE 802.1x认证但是认证失败的客户端不能访问网络。
交换机支持访客VLAN在端口的单主机模式和多主机模式。
你可以通过使用dot1x guest-vlan supplicant全局配置命令启用访客VLAN。
被启用后,交换机不再维护EAPOL 包的历史数据并且允许认证失败的客户端访问访客VLAN而不管是否检测到端口的EAPOL 包。
禁用可选的访客VLAN功能,使用no dot1x guest-vlan supplicant全局配置命令。
删除访客VLAN,使用no dot1x guest-vlan接口配置命令。
如果端口当前被授权访问访客VLAN,,端口将恢复为未授权状态。
例子:启用可选访客VLAN 并指定VLAN 5 作为IEEE 802.1x 访客VLAN:Switch(config)# dot1x guest-vlan supplicantSwitch(config)# interface gigabitethernet0/1Switch(config-if)# dot1x guest-vlan 5配置受限VLAN当你在交换机上配置了一个受限VLAN,当认证服务器没有收到有效的用户名和密码时兼容IEEE 802.1x-的客户端被放置在受限VLAN中。
交换机The switch supports restricted VLANs only in single-host mode.进入特权模式,按照如下步骤配置一个受限制VLAN。
这个过程时可选的。
禁用并删除受限VLAN,使用no dot1x auth-fail vlan接口配置命令。
端口恢复到未授权状态例子:启用VLAN 2 作为IEEE 802.1x 受限VLAN:Switch(config)# interface gigabitethernet0/1Switch(config-if)# dot1x auth-fail vlan 2你可以配置客户端被放置到受限VLAN前可以允许的最大认证请求次数。
使用命令dot1x auth-fail max-attempts 端口配置命令。
允许的认证尝试范围:1 到3。
缺省为3。
进入特权模式,按照如下步骤配置允许的最大认证请求次数。
这个过程是可选的。
使用缺省值,使用no dot1x auth-fail max-attempts端口配置命令。
例子:设置端口被置为受限VLAN前最大请求次数为Switch(config-if)# dot1x auth-fail max-attempts 2重置IEEE 802.1x配置为缺省值进入特权模式,按照步骤重置IEEE 802.1x 配置为缺省值显示EEE 802.1x 统计与状态显示所有端口的IEEE 802.1x 统计信息,使用show dot1x all statistics特权命令。
显示特定端口的IEEE 802.1x 统计,使用show dot1x statistics interface interface-id 特权命令。
显示交换机的IEEE 802.1x 管理和操作状态,使用show dot1x all特权命令。
显示特定端口的IEEE 802.1x 管理与操作状态,使用show dot1x interface interface-id特权命令。
Cisco3560G-48交换机请注意需要在端口配置模式下执行Switchport host思科2960系列交换机配置802.1XSwitch(config)#aaa new-modelSwitch(config)#aaa authentication dot1x default group radiusSwitch(config)#aaa authorization network default group radius(config)#aaa authentication dot1x default group radius local no 记账Switch(config)#radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 key 密码Switch(config)#dot1x system-auth-controlSwitch(config)# interface fastethernet0/1Switch(config-if)# authentication port-control autoSwitch(config-if)# dot1x pae authentication配置主机模式Mode进入特权模式,遵从如下步骤允许多个主机同时连接启用了IEEE 802.1x认证的端口。
这个过程时可选的。
例子:Switch(config)# interface fastethernet0/1Switch(config-if)# authentication port-control autoSwitch(config-if)# authentication host-mode multi-authSwitch(config-if)# dot1x pae authentication。