场景:在DC上安装IAS服务,在网络中搭建一台授权的DHCP服务器,针对每一个vlan设置DHCP的作用域,在3层交换机上作相应DHCP中继,确保IAS能和启用802.1x的交换机通信<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
在域的密码策略和用户属性中设置用可还原的加密保存密码,同时设置用户的拨入属性为允许拨入
1,和802.1x相关的交换机主要配置内容:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---如果只是做802.1x认证,则aaa authorization network这句可不要,如要做VLAN分配或per-user ACL,则必须做network authorization
dot1x system-auth-control
!---注意在12.1(14)EA1版以后802.1x的配置有了修改,此句enable 802.1x
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
dot1x max-req 3
spanning-tree portfast
!---dot1x port-control auto句在F0/1上enable dot1x,另外注意在F0/1口下我并没有给它赋VLAN
radius-server host <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />1.2.3.4 auth-port 1812 acct-port 1813 key radius_string
radius-server vsa send authentication 必须配置
!---radius-server host 1.2.3.4句定义radius server信息,并给出验证字串
!---因为要配置VLAN分配必须使用IETF所规定的VSA(Vendor-specific attributes)值,radius-server vsa send authentication句允许交换机识别和使用这些VSA值。
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---如果只是做802.1x认证,则aaa authorization network这句可不要,如要做VLAN分配或per-user ACL,则必须做network authorization
dot1x system-auth-control
!---注意在12.1(14)EA1版以后802.1x的配置有了修改,此句enable 802.1x
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
dot1x max-req 3
spanning-tree portfast
!---dot1x port-control auto句在F0/1上enable dot1x,另外注意在F0/1口下我并没有给它赋VLAN
radius-server host <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />1.2.3.4 auth-port 1812 acct-port 1813 key radius_string
radius-server vsa send authentication 必须配置
!---radius-server host 1.2.3.4句定义radius server信息,并给出验证字串
!---因为要配置VLAN分配必须使用IETF所规定的VSA(Vendor-specific attributes)值,radius-server vsa send authentication句允许交换机识别和使用这些VSA值。
2,Radius服务器设置
1,创建客户端159.226.130.50 为交换机的ip地址
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
2,设置远程访问记录,勾选以下3项(可选)
3,新建远程访问策略
新建策略一times(名字自定)
新建策略二:
Ip选项卡中设置用户请求ip地址
EAP方法中添加md5质询(此步可选)
高级选项卡中添加以下三项(2 vlan id号不要使用16进制)
3,在客户端设置:
ok
当我们再一次连接到交换机上配置的交换机上时,我们将会发现在桌面的右下角会出现一个输入用户名的对话框,至于你的机器所连接的接口将会属于哪一个vlan就要看你所输入的用户名了
转载于:https://blog.51cto.com/ithome/125045