CISCO的交换机是否支持基于MAC地址的DOT1X认证？

发布网友 发布时间：2022-04-22 11:17

我来回答

共1个回答

热心网友 时间：2023-05-19 04:32

#全局配置

switch#config terminal

switch(config)#aaa new-model #启用aaa认证

switch(config)#dot1x system-auth-control #全局启用dot1x认证

#配置radius-server模板

switch(config)#radius server XXX_rd

Switch(config-radius-server)#address ipv4 10.0.24.18 auth-port 2812 acct-port 2813

Switch(config-radius-server)#key wkGKXGbZHjYhYmRzH #指定主Radius服务器地址、通信密钥和端口

Switch(config-radius-server)#exit

#配置 aaa group

switch(config)#aaa group server radius XXX_rg

Switch(config-sg-radius)#server name XXX_rd

Switch(config-sg-radius)#exit

#配置aaa认证方案

switch(config)#aaa authentication dot1x default group XXX_rg #配置802.1x认证使用radius服务器数据库

switch(config)#aaa authorization network default group XXX_rg #配置802.1x网络授权使用radius服务器。

switch(config)#aaa accounting update periodic 6 #配置启用计费更新报文发送

#配置启用 radius 计费

switch(config)#aaa accounting dot1x default start-stop group XXX_rg

switch(config)#aaa accounting network default start-stop group XXX_rg

switch(config)#radius-server attribute 8 include-in-access-req #配置交换机携带终端 IP 地址

#配置端口

switch(config)#int g1/0/6 #进入需要开启802.1x认证的端口，如果需要进入多个端口，可以用指令：int range g1/0/1 - 3，表示进入端口1-3

switch(config-if)#switchport mode access #设置端口模式为访问模式

switch(config-if)#authentication port-control auto #部分思科ios没有该命令，用dot1x pae authenticator代替

switch(config-if)#dot1x port-control auto #端口开启dot1x认证

switch(config-if)#authentication host-mode multi-auth #设置端口接入模式为多认证模式，此时允许多个用户分别接入认证

switch(config-if)#exit

#开启MAB认证

switch(config)#int g1/0/6

switch(config-if)#mab #开启MAB认证

switch(config-if)#dot1x timeout tx-period 10 #配置超时进行mab认证的时间 注意:这里如果配置10秒则进行mab认证时间为 10 * 3

switch(config-if)#dot1x max-reauth-req 2

switch(config-if)#exit

#开启逃生vlan

switch(config)#int g1/0/6

switch(config-if)#authentication event server dead action reinitialize vlan 101

switch(config-if)#exit

#开启 guest-vlan

switch(config)# dot1x guest-vlan supplicant #开启允许 802.1x 客户端进入 guest-vlan

#端口下配置 guest-vlan

switch(config)#int g1/0/6

switch(config-if)#authentication event no-response action authorize vlan 101

switch(config-if)#exit

#开启 coa

switch(config)#aaa server radius dynamic-author

switch(config-locsvr-da-radius)#client 10.0.24.18 server-key wkGKXGbZHjYhYmRzH

switch(config-locsvr-da-radius)#exit