802.1x協議是基於Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業務之前,802.1x對連接到交換機端口上的用戶/設備進行認證。在認證通過之前,802.1x只允許EAPoL(基於局域網的擴展認證協議)數據通過設備連接的交換機端口;認證通過以後,正常的數據可以順利地通過以太網端口。
配置AAA服務器類型
類型 AAA server Windows IAS
linux freeradius
cisco acs
win2003 橋接物理機安裝選擇無線網卡
安裝服務dhcp
internet
配AAA
建賬戶
防火牆:
int eth 0/0
ip add 192.168.2.1 24
int eth0/0.10
vlan -type dot1q vid 10
ip add 192.168.10.1 24
int eth0/0.20
vlan -type dot1q vid 20
ip add 192.168.20.1 24
int eth0/0.30
vlan -type dot1q vid 30
ip add 192.168.30.1 24
undo insulate(防火牆取消隔離)
firewall zone trust
add interface eth0/0.10
add interface eth0/0.20
add interface eth0/0.30
防火牆上配置中繼:
int eth0/0.10
dhcp select relay
int eth0/0.20
dhcp select relay
int eth0/0.10
ip relay address 192.168.30.100
int eth0/0.20
ip relay address 192.168.30.100
交換機
system-view
int Vlan-interface 1
ip add 192.168.2.10 255.255.255.0
quit
ip route-static 0.0.0.00.0.0.0 192.168.2.1(網關,默認路由)
dot1x
int e1/0/10
dot1x
int e1/0/20
dot1x
local-user user1
password sim 123456
service-type lan-access
system-view
vlan 10
port e1/0/10
vlan 20
port e1/0/20
vlan 30
port e1/0/22
int e1/0/24
port link-type trunk
port trunk premit vlan all
AAA配置:
system-view
int Vlan-interface 1
ip add 192.168.10.200 24
dot1x
int e1/0/12
dot1x
redius scheme ***
?
primary authentication 192.168.10.220
accounting optional
server-type standard
key authentication
domain tec(域名)
redius scheme ***
access-limit enable 10 (允許連接數)
accounting optional
redius scheme ***
user-name-format without-domain
dis cu
domain default enable tec (不用輸域名)