近來研究CISCO的dot1x在無法認證時候如何提示用戶進行802.1x客戶端的下載功能。
802.1x在設計的時候可以通過radius下發vlan來實現該功能,但是該功能有一個要求就是必須是DHCP的,這個在國內的環境比較麻煩(有廠家有技術可以實現靜態地址下面的vlan切換的引導功能)。
cisco現在在ios裏面將以前的mac認證和dot1x認證可以共存了。這樣在dot1x認證不通過的時候可以進行mac認證,我們可以利用這個機制來實現靜態地址下面的頁面轉向,這樣沒有安裝客戶端的電腦可以進行頁面轉向然後安裝客戶端了(當然也可以做更多的其它業務)。
主要的技術細節有
1:要求IOS的版本是12.2(50)之後,目前可以支持3550,2960等以後的型號,2950夠嗆
2:按照dot1x先進行配置好
3:在接口下面啓用mab認證
4:在接口下面配置好缺省的acl
5:啓用ip device track功能
6:將aaa authorization network default group 指向到radius服務器
7:radius服務器下發 Cisco-AVPair = "url-redirect=http://192.168.0.1" 和 Cisco-AVPair = "url-redirect-acl=RedirectAcl"屬性
可以參考cisco的文檔進行設置: