IEEE802.1X(基于端口的訪問控制Port based network access control)是在利用LAN交換機和無線LAN接入點之前對用戶進行認證的技術。普通LAN交換機將纜線連接到端口上即可使用LAN。不過，支持 802.1X的LAN交換機連接纜線后也不能直接使用LAN。只有在對連接的個人電腦進行認證、確認是合法用戶以后才能使用LAN。通過認證，LAN交換機就可以通過或者屏蔽用戶發(fā)送過來的信息。無線LAN接入點也基本上采用這一工作原理。

IEEE802.1x的體系結構中包括三個部分：Supplicant System，客戶端;Authenticator System，認證設備;Authentication Sever System，認證服務器。

在客戶端(如LanSwitch)實現 IEEE802.1x的認證系統部分，即Authenticator;IEEE802.1x的客戶端一般安裝在用戶PC中，典型的為Windows XP操作系統自帶的客戶端; IEEE802.1x的認證服務器系統一般駐留在運營商的AAA中心。Authentication Sever可以采用標準的Radius認證服務器，也可以選用業(yè)務交換機來實現，后者主要用在網絡規(guī)模不大的(300用戶左右)情況中，華為3Com的 Quidway 3000系列以上交換機在新的軟件版本中，都提供內嵌Authentication Sever(認證服務器)的功能，通過華為3Com內部集群通訊協議高效完成對用戶的認證配置功能。

用戶在通過認證之前，PC1所連接的物理端口E0/1只有認證端口是打開的，而數據端口是關閉狀態(tài)，因此，當PC1通過dot1x認證之前，只有認證報文通過端口E0/1進行轉發(fā)，而PC1無法上網;當PC1通過dot1x認證之后，端口E0/1的數據端口打開，PC1可以正常上網。

【配置環(huán)境參數】

1. PC1和PC2分別屬于VLAN10和VLAN20，分別連接到交換機SwitchA的端口E0/1和E0/2;SwitchA通過G1/1端口連接到遠端的Radius服務器

交換機連接RADIUS server接口interface vlan 100,地址為192.168.0.100/24

2. 下掛兩個用戶網段VLAN10和VLAN20，VLAN10包含端口為e0/1到e0/10網段為10.10.1.1/24，VLAN20包含端口為e0/11e0/20網段為10.10.2.1/24

【組網需求】

1. 在SwitchA上啟動802.1X認證，對PC1、PC2完成認證

2. 在SwitchA上啟動802.1X認證，對PC1和PC2進行遠端RADIUS認證

【SwitchA相關配置】

1. 創(chuàng)建(進入)VLAN10

[SwitchA]vlan 10

2. 將E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

3. 創(chuàng)建(進入)vlan10的虛接口

[SwitchA]interface Vlan-interface 10

4. 給vlan10的虛接口配置IP地址

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

5. 創(chuàng)建(進入)VLAN20

[SwitchA]vlan 20

6. 將E0/2加入到VLAN20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

7. 創(chuàng)建(進入)vlan20虛接口

[SwitchA]interface Vlan-interface 20

8. 給vlan20虛接口配置IP地址

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

9. 創(chuàng)建(進入)VLAN100

[SwitchA]vlan 100

10. 將G1/1加入到VLAN100

[SwitchA-vlan100]port GigabitEthernet 1/1

11. 創(chuàng)建(進入)vlan100虛接口

[SwitchA]interface Vlan-interface 100

12. 給vlan100虛接口配置IP地址

[SwitchA-Vlan-interface100]ip address 192.168.0.100 255.255.255.0

【802.1X本地認證缺省域相關配置】

1. 在系統視圖下開啟802.1X功能，默認為基于MAC的認證方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上開啟802.1X功能，如果dot1x interface后面不加具體的端口，就是指所有的端口都開啟802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 這里采用缺省域system，并且缺省域引用缺省radius方案system。

[SwitchA]local-user test

4. 設置該用戶密碼(明文)

[SwitchA-user-test]password simple test

5. 設置該用戶接入類型為802.1X

[SwitchA-user-test]service-type lan-access

6. 激活該用戶

[SwitchA-user-test]state active

【802.1X本地認證自建域相關配置】

1. 在系統視圖下開啟802.1X功能，默認為基于MAC的認證方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上開啟802.1X功能，如果dot1x interface后面不加具體的端口，就是指所有的端口都開啟802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 設置認證方式為radius

[SwitchA]radius scheme radius1

4. 設置主認證服務器為本地，端口號1645

[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645

5. 設置主計費服務器為本地，端口號1646

[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646

6. 這里本地用戶認證采用自建域huawei

[SwitchA]domain Huawei

7. 在域中引用認證方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

8. 設置本地用戶名test@huawei

[SwitchA]local-user test@huawei

9. 設置用戶密碼(明文)

[SwitchA-user-test@huawei]password simple test

10. 設置用戶接入類型為802.1X

[SwitchA-user-test@huawei]service-type lan-access

11. 激活該用戶

[SwitchA-user-test@huawei]state active

【802.1X RADIUS認證相關配置】

1. 在系統視圖下開啟802.1X功能，默認為基于MAC的方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上開啟802.1X功能，如果dot1x interface后面不加具體的端口，就是指所有的端口都開啟802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 設置認證方式為radius，radius認證不成功取本地認證

[SwitchA]radius scheme radius1

4. 設置主認證服務器

[SwitchA-radius-radius1]primary authentication 192.168.0.100

5. 設置主計費服務器

[SwitchA-radius-radius1]primary accounting 192.168.0.100

6. 設置交換機與認證服務器的密鑰，二者應保持一致

[SwitchA-radius-radius1]key authentication test

7. 設置交換機與計費服務器的密鑰，二者應保持一致

[SwitchA-radius-radius1]key accounting test

8. 交換機送給radius的報文不帶域名

[SwitchA-radius-radius1]user-name-format without-domain

9. 這里用戶認證采用自建域huawei

[SwitchA]domain Huawei

10. 在域中引用認證方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

【補充說明】

端口開啟dot1x認證后可以采用基于端口(portbased)或基于MAC地址(macbased)兩種接入控制方式，缺省是接入控制方式為 macbased。兩種方法的區(qū)別是：當采用macbased方式時，該端口下的所有接入用戶均需要單獨認證，當某個用戶下線時，也只有該用戶無法使用網絡;而采用portbased方式時，只要該端口下的第一個用戶認證成功后，其他接入用戶無須認證就可使用網絡資源，但是當第一個用戶下線后，其他用戶也會被拒絕使用網絡。

例如，修改端口E0/1的接入控制方式為portbased方式：

[SwitchA]dot1x port-method portbased interface Ethernet 0/1

或者：

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]dot1x port-method portbased

如果RADIUS服務器不是與SwitchA直連，那么需要在SwitchA上增加路由的配置，來確保SwitchA與RADIUS服務器之間的認證報文通訊正常

博客地址：http://caihua2222.blog.163.com/blog/static/1280139682010061645516/