通過配置802.1x認(rèn)證有哪些用處呢？本文主要從802.1x的認(rèn)證配置和實(shí)現(xiàn)詳細(xì)的講述了配置原理和應(yīng)用過程。同時對于配置的操作給出了配置命令。

要使用基于端口的認(rèn)證，則交換機(jī)和用戶PC都要支持802.1x標(biāo)準(zhǔn)，使用局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議（EAPOL），802.1x EAPOL是二層協(xié)議，如果交換機(jī)端口上配置了802.1x，那么當(dāng)在端口上檢測到設(shè)備后，該端口首先處于未認(rèn)證狀態(tài)，端口將不轉(zhuǎn)發(fā)任何流量（除了CDP，STP和EAPOL），此時客戶PC只能使用EAPOL協(xié)議與交換機(jī)通信，我們需要再客戶PC上安裝支持802.1x的應(yīng)用程序（windows支持802.1x），一旦用戶通過認(rèn)證則該端口開始轉(zhuǎn)發(fā)數(shù)據(jù)流。用戶注銷時交換機(jī)端口將返回未認(rèn)證狀態(tài)；或者當(dāng)客戶長時間沒有數(shù)據(jù)流量時，會因超時停止認(rèn)證狀態(tài)，需要用戶重新認(rèn)證。

再交換機(jī)上配置802.1x需要用到RADIUS服務(wù)器，在這里注意一下，AAA可以用RADIUS和TACACS+實(shí)現(xiàn)，但802.1x只支持RADIUS認(rèn)證。

來看一下配置：

（config）#aaa new-model                                                     '啟動AAA。

（config）#radius-server host 192.168.1.100 key netdigedu '配置RADIUS服務(wù)器地址及密鑰。

（config）#aaa authentication dot1x default group radius     '配置802.1x默認(rèn)認(rèn)證方法RADIU。

（config）#dot1x system-auth-control                                    '在交換機(jī)上全局啟用802.1x認(rèn)證。

（config）#int fa0/24

（config-if）#switchport mode access

（config-if）#dot1x port-control auto                                      '設(shè)置接口的802.1x狀態(tài)。

狀態(tài)有三種：

force-authorized：端口始終處于認(rèn)證狀態(tài)并轉(zhuǎn)發(fā)流量，這個是默認(rèn)狀態(tài)。

force-unauthorized：端口始終處于未認(rèn)證狀態(tài)并不能轉(zhuǎn)發(fā)流量。

auto：端口通過使用802.1x與客戶端交換消息在認(rèn)證和未認(rèn)證狀態(tài)間切換。這個是我們需要的，所以dot1x port-control 命令后一定要用auto。

（config-if）#dot1x host-mode multi-host      '交換機(jī)端口下連接多臺PC時（通過Hub或交換機(jī)）需要配置這個命令，默認(rèn)只支持對一臺PC認(rèn)證。

#show dot1x all       '查看802.1x配置。

【編輯推薦】

1. 常用思科路由器密碼恢復(fù)經(jīng)典案例
2. 思科路由器口令恢復(fù)辦法全解
3. 思科路由器安全性管理
4. cisco路由器配置ACL詳解
5. cisco路由器啟動進(jìn)程