一�、所謂的802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議,它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN���。
在獲得交換機或LAN提供的各種業(yè)務(wù)之前�,802.1x對連接到交換機端口上的用戶/設(shè)備進行認證,在認證通過之前��,802.1x只允許EAPoL數(shù)據(jù)通過設(shè)備連接的交換機端口;認證通過以后���,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口�����。
二�、要使用基于端口的認證,則交換機和電腦都要支持802.1x標準����,使用局域網(wǎng)上的可擴展認證協(xié)議,802.1x EAPOL是二層協(xié)議�����,如果交換機端口上配置了802.1x���,那么當在端口上檢測到設(shè)備后��,該端口首先處于未認證狀態(tài)�����,端口將不轉(zhuǎn)發(fā)任何流量��,此時客戶電腦只能使用EAPOL協(xié)議與交換機通信����,我們需要再客戶電腦上安裝支持802.1x的應用程序,一旦用戶通過認證則該端口開始轉(zhuǎn)發(fā)數(shù)據(jù)流���。
用戶注銷時交換機端口將返回未認證狀態(tài);或者當客戶長時間沒有數(shù)據(jù)流量時�,會因超時停止認證狀態(tài)���,需要用戶重新認證。
三��、再交換機上配置802.1x需要用到RADIUS服務(wù)器��,在這里注意一下��,AAA可以用RADIUS和TACACS+實現(xiàn)��,但802.1x只支持RADIUS認證��。
(1)配置過程
(config)#aaa new-model
啟動AAA����。
(config)#radius-server host 192.168.1.100 key netdigedu
配置RADIUS服務(wù)器地址及密鑰。
(config)#aaa authentication dot1x default group radius
配置802.1x默認認證方法RADIU����。
(config)#dot1x system-auth-control
在交換機上全局啟用802.1x認證��。
(config)#int fa0/24
(config-if)#switchport mode access
(config-if)#dot1x port-control auto
(2)設(shè)置接口802.1x狀態(tài)
force-authorized:端口始終處于認證狀態(tài)并轉(zhuǎn)發(fā)流量��,這個是默認狀態(tài)�����。
force-unauthorized:端口始終處于未認證狀態(tài)并不能轉(zhuǎn)發(fā)流量��。
auto:端口通過使用802.1x與客戶端交換消息在認證和未認證狀態(tài)間切換�。這個是我們需要的�����,所以dot1x port-control 命令后一定要用auto�。
以上就是在思科路由器和交換機組網(wǎng)的環(huán)境下,如何進行802.1x認證的設(shè)置步驟��,有興趣的網(wǎng)友可以參考�����。
