场景:在DC上安装IAS服务,在网络中搭建一台授权的DHCP服务器,针对每一个vlan设置DHCP的作用域,在3层交换机上作相应DHCP中继,确保IAS能和启用802.1x的交换机通信<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

在域的密码策略和用户属性中设置用可还原的加密保存密码,同时设置用户的拨入属性为允许拨入

1,和802.1x相关的交换机主要配置内容:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---
如果只是做802.1x认证,则aaa authorization network这句可不要,如要做VLAN分配或per-user ACL,则必须做network authorization
dot1x system-auth-control
!---
注意在12.1(14)EA1版以后802.1x的配置有了修改,此句enable 802.1x
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
dot1x max-req 3
spanning-tree portfast
!---dot1x port-control auto
句在F0/1enable dot1x,另外注意在F0/1口下我并没有给它赋VLAN

radius-server host <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />1.2.3.4 auth-port 1812 acct-port 1813 key radius_string
radius-server vsa send authentication
必须配置
!---radius-server host 1.2.3.4
句定义radius server信息,并给出验证字串
!---
因为要配置VLAN分配必须使用IETF所规定的VSA(Vendor-specific attributes)值,radius-server vsa send authentication句允许交换机识别和使用这些VSA值。

2Radius服务器设置

1,创建客户端159.226.130.50 为交换机的ip地址

利用802.11x协议实现动态vlan的划分

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
2,设置远程访问记录,勾选以下3项(可选)
利用802.11x协议实现动态vlan的划分
3,新建远程访问策略
新建策略一times(名字自定)
利用802.11x协议实现动态vlan的划分
新建策略二:
利用802.11x协议实现动态vlan的划分
Ip选项卡中设置用户请求ip地址
利用802.11x协议实现动态vlan的划分
EAP方法中添加md5质询(此步可选)
利用802.11x协议实现动态vlan的划分
高级选项卡中添加以下三项(2 vlan id号不要使用16进制)
利用802.11x协议实现动态vlan的划分
 
3,在客户端设置:
利用802.11x协议实现动态vlan的划分
ok
当我们再一次连接到交换机上配置的交换机上时,我们将会发现在桌面的右下角会出现一个输入用户名的对话框,至于你的机器所连接的接口将会属于哪一个vlan就要看你所输入的用户名了