内容发布更新时间 : 2025/9/20 23:06:21星期一 下面是文章的全部内容请认真阅读。

802.1x 基本配置 例1：

aaa new-model

//启用AAA，使用全局配置命令

aaa authentication login default line none

//创建缺省的登录认证方法列表，采用line password认证 aaa authentication dot1x default group radius //aaa通过802.1x,使用RADIUS认证服务

aaa authorization network default group radius //aaa通过radius授权给网络

dot1x system-auth-control

//全局启用802.1x认证（特权模式下配置） dot1x guest-vlan supplicant

//配置允许安装了802.1x客户端的设备切换到guest-vlan

interface FastEthernet0/5 #在当前端口启动802.1x switchport mode access dot1x pae authenticator dot1x port-control auto

dot1x violation-mode protect dot1x timeout tx-period 1 dot1x timeout supp-timeout 1 spanning-tree portfast 或

int fa0/5

switchport mode access

dot1x port-control auto 设置接口的802.1x状态

dot1x guest-vlan 68 #配置端口的guest-vlan，未得到授权的进入VLAN68，

radius-server host 192.168.1.222 auth-port 1812 acct-port 1813 key cisco //指定radius服务的IP地址、认证端口和授权端口以及安全字 radius-server retry method reorder

//如果当前服务器宕机，则标识其优先级最低 radius-server retransmit 2 //radius服务器重传次数 radius-server deadtime 3

//3分钟连不上服务器则认为服务器宕机 radius-server vsa send authentication //radius发送VSA认证

例2：

全局：

username admin secret password #加帐号 enable secret password #加特权密码

aaa authentication login default local

#启用本地登陆万一radius挂了，也好进行登录交换机操作 aaa authentication dot1x default group radius aaa authorization network default group radius dot1x system-auth-control dot1x guest-vlan supplicant

端口：

interface FastEthernet0/8 switchport access vlan 99 switchport mode access

authentication event fail action authorize vlan 200

#fail-vlan （dot1x max-req 3，客户端验证3次后，如失败加入到fail-vlan）

authentication event no-response action authorize vlan 200

#guest-vlan (客户端开启802.1x，加入guest-vlan)authentication event server alive action reinitialize

authentication host-mode multi-host

#其实这条是鸡肋，在dot1x中是识别端口，hub只是转发流量，其实只是一个端口。

authentication port-control auto authentication periodic

authentication timer reauthenticate server dot1x pae authenticator

dot1x timeout server-timeout 5

dot1x pae bothdot1x timeout tx-period 1 dot1x max-req 3

dot1x max-reauth-req 3 spanning-tree portfast

全局radius验证：

radius-server host 192.168.1.8 auth-port 1812 acct-port 1813 key 7 password radius-server vsa send authentication

EOU基本配置

config terminal //进入配置模式 aaa new-model

//启用AAA，使用全局配置命令

aaa authentication login default line none

//创建缺省的登录认证方法列表，采用line password认证 aaa authentication eou default group radius

//创建EoU认证方法列表, 使用Radius服务进行认证 aaa authorization network default group radius

//aaa通过radius授权给网络

ip device tracking

//启动网络设备的追踪功能 eou allow clientless

//允许网络设备将无代理的设备信息发送到Radius服务器进行认证（根据IP、MAC） eou timeout retransmit 30 eou max-retry 3

//设置重传的超时和次数

ip access-list extended interface_default_acl permit udp any any eq 21862

permit udp any eq bootpc any eq bootps permit udp any any eq domain permit icmp any any

permit ip any host 192.168.1.222 deny ip any any exit

ip admission name NAC-L2-IP eapoudp //创建IP准入控制名称 NAC-L2-IP

配置一个接口默认的ACL，建议至少允许一下几种IP包 ip access-list extended quarantine_url_redir_acl

//定义重定向ACL

deny tcp any host 192.168.1.222 eq www permit tcp any any eq www permit tcp any any eq 443 exit

#在某个端口上启动NAC-L2-IP（例如interface giga 1/0/1） interface giga 1/0/1

ip access-group interface_default_acl in

ip admission NAC-L2-IP

radius-server attribute 8 include-in-access-req

radius-server vsa send authentication

//指定交换机发送Radius包时加上Cisco自己的扩展（以便解析接入端口名）

radius-server host 192.168.1.222 auth-port 1812 acct-port 1646 key cisco //指定radius服务的IP地址、认证端口和授权端口以及安全字

ip http server //启用http服务

#清除某个设备的EoU会话（以便开始一次新的认证过程） clear eou ip xxx.xxx.xxx.xxx #查看EoU接入情况 show eou all