IEEE802.1X(基于端口的訪問控制Port based network access control)是在利用LAN交換機(jī)和無線LAN接入點(diǎn)之前對(duì)用戶進(jìn)行認(rèn)證的技術(shù)。普通LAN交換機(jī)將纜線連接到端口上即可使用LAN。不過，支持 802.1X的LAN交換機(jī)連接纜線后也不能直接使用LAN。只有在對(duì)連接的個(gè)人電腦進(jìn)行認(rèn)證、確認(rèn)是合法用戶以后才能使用LAN。通過認(rèn)證，LAN交換機(jī)就可以通過或者屏蔽用戶發(fā)送過來的信息。無線LAN接入點(diǎn)也基本上采用這一工作原理。

IEEE802.1x的體系結(jié)構(gòu)中包括三個(gè)部分：Supplicant System，客戶端;Authenticator System，認(rèn)證設(shè)備;Authentication Sever System，認(rèn)證服務(wù)器。

在客戶端(如LanSwitch)實(shí)現(xiàn) IEEE802.1x的認(rèn)證系統(tǒng)部分，即Authenticator;IEEE802.1x的客戶端一般安裝在用戶PC中，典型的為Windows XP操作系統(tǒng)自帶的客戶端; IEEE802.1x的認(rèn)證服務(wù)器系統(tǒng)一般駐留在運(yùn)營(yíng)商的AAA中心。Authentication Sever可以采用標(biāo)準(zhǔn)的Radius認(rèn)證服務(wù)器，也可以選用業(yè)務(wù)交換機(jī)來實(shí)現(xiàn)，后者主要用在網(wǎng)絡(luò)規(guī)模不大的(300用戶左右)情況中，華為3Com的 Quidway 3000系列以上交換機(jī)在新的軟件版本中，都提供內(nèi)嵌Authentication Sever(認(rèn)證服務(wù)器)的功能，通過華為3Com內(nèi)部集群通訊協(xié)議高效完成對(duì)用戶的認(rèn)證配置功能。

用戶在通過認(rèn)證之前，PC1所連接的物理端口E0/1只有認(rèn)證端口是打開的，而數(shù)據(jù)端口是關(guān)閉狀態(tài)，因此，當(dāng)PC1通過dot1x認(rèn)證之前，只有認(rèn)證報(bào)文通過端口E0/1進(jìn)行轉(zhuǎn)發(fā)，而PC1無法上網(wǎng);當(dāng)PC1通過dot1x認(rèn)證之后，端口E0/1的數(shù)據(jù)端口打開，PC1可以正常上網(wǎng)。

【配置環(huán)境參數(shù)】

1. PC1和PC2分別屬于VLAN10和VLAN20，分別連接到交換機(jī)SwitchA的端口E0/1和E0/2;SwitchA通過G1/1端口連接到遠(yuǎn)端的Radius服務(wù)器

交換機(jī)連接RADIUS server接口interface vlan 100,地址為192.168.0.100/24

2. 下掛兩個(gè)用戶網(wǎng)段VLAN10和VLAN20，VLAN10包含端口為e0/1到e0/10網(wǎng)段為10.10.1.1/24，VLAN20包含端口為e0/11e0/20網(wǎng)段為10.10.2.1/24

【組網(wǎng)需求】

1. 在SwitchA上啟動(dòng)802.1X認(rèn)證，對(duì)PC1、PC2完成認(rèn)證

2. 在SwitchA上啟動(dòng)802.1X認(rèn)證，對(duì)PC1和PC2進(jìn)行遠(yuǎn)端RADIUS認(rèn)證

【SwitchA相關(guān)配置】

1. 創(chuàng)建(進(jìn)入)VLAN10

[SwitchA]vlan 10

2. 將E0/1加入到VLAN10

[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10

3. 創(chuàng)建(進(jìn)入)vlan10的虛接口

[SwitchA]interface Vlan-interface 10

4. 給vlan10的虛接口配置IP地址

[SwitchA-Vlan-interface10]ip address 10.10.1.1 255.255.255.0

5. 創(chuàng)建(進(jìn)入)VLAN20

[SwitchA]vlan 20

6. 將E0/2加入到VLAN20

[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/20

7. 創(chuàng)建(進(jìn)入)vlan20虛接口

[SwitchA]interface Vlan-interface 20

8. 給vlan20虛接口配置IP地址

[SwitchA-Vlan-interface20]ip address 10.10.2.1 255.255.255.0

9. 創(chuàng)建(進(jìn)入)VLAN100

[SwitchA]vlan 100

10. 將G1/1加入到VLAN100

[SwitchA-vlan100]port GigabitEthernet 1/1

11. 創(chuàng)建(進(jìn)入)vlan100虛接口

[SwitchA]interface Vlan-interface 100

12. 給vlan100虛接口配置IP地址

[SwitchA-Vlan-interface100]ip address 192.168.0.100 255.255.255.0

【802.1X本地認(rèn)證缺省域相關(guān)配置】

1. 在系統(tǒng)視圖下開啟802.1X功能，默認(rèn)為基于MAC的認(rèn)證方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上開啟802.1X功能，如果dot1x interface后面不加具體的端口，就是指所有的端口都開啟802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 這里采用缺省域system，并且缺省域引用缺省radius方案system。

[SwitchA]local-user test

4. 設(shè)置該用戶密碼(明文)

[SwitchA-user-test]password simple test

5. 設(shè)置該用戶接入類型為802.1X

[SwitchA-user-test]service-type lan-access

6. 激活該用戶

[SwitchA-user-test]state active

【802.1X本地認(rèn)證自建域相關(guān)配置】

1. 在系統(tǒng)視圖下開啟802.1X功能，默認(rèn)為基于MAC的認(rèn)證方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上開啟802.1X功能，如果dot1x interface后面不加具體的端口，就是指所有的端口都開啟802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 設(shè)置認(rèn)證方式為radius

[SwitchA]radius scheme radius1

4. 設(shè)置主認(rèn)證服務(wù)器為本地，端口號(hào)1645

[SwitchA-radius-radius1]primary authentication 127.0.0.1 1645

5. 設(shè)置主計(jì)費(fèi)服務(wù)器為本地，端口號(hào)1646

[SwitchA-radius-radius1]primary accounting 127.0.0.1 1646

6. 這里本地用戶認(rèn)證采用自建域huawei

[SwitchA]domain Huawei

7. 在域中引用認(rèn)證方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

8. 設(shè)置本地用戶名test@huawei

[SwitchA]local-user test@huawei

9. 設(shè)置用戶密碼(明文)

[SwitchA-user-test@huawei]password simple test

10. 設(shè)置用戶接入類型為802.1X

[SwitchA-user-test@huawei]service-type lan-access

11. 激活該用戶

[SwitchA-user-test@huawei]state active

【802.1X RADIUS認(rèn)證相關(guān)配置】

1. 在系統(tǒng)視圖下開啟802.1X功能，默認(rèn)為基于MAC的方式

[SwitchA]dot1x

2. 在E0/1-E0/10端口上開啟802.1X功能，如果dot1x interface后面不加具體的端口，就是指所有的端口都開啟802.1X

[SwitchA]dot1x interface eth 0/1 to eth 0/10

3. 設(shè)置認(rèn)證方式為radius，radius認(rèn)證不成功取本地認(rèn)證

[SwitchA]radius scheme radius1

4. 設(shè)置主認(rèn)證服務(wù)器

[SwitchA-radius-radius1]primary authentication 192.168.0.100

5. 設(shè)置主計(jì)費(fèi)服務(wù)器

[SwitchA-radius-radius1]primary accounting 192.168.0.100

6. 設(shè)置交換機(jī)與認(rèn)證服務(wù)器的密鑰，二者應(yīng)保持一致

[SwitchA-radius-radius1]key authentication test

7. 設(shè)置交換機(jī)與計(jì)費(fèi)服務(wù)器的密鑰，二者應(yīng)保持一致

[SwitchA-radius-radius1]key accounting test

8. 交換機(jī)送給radius的報(bào)文不帶域名

[SwitchA-radius-radius1]user-name-format without-domain

9. 這里用戶認(rèn)證采用自建域huawei

[SwitchA]domain Huawei

10. 在域中引用認(rèn)證方案radius1

[SwitchA-isp-huawei]radius-scheme radius1

【補(bǔ)充說明】

端口開啟dot1x認(rèn)證后可以采用基于端口(portbased)或基于MAC地址(macbased)兩種接入控制方式，缺省是接入控制方式為 macbased。兩種方法的區(qū)別是：當(dāng)采用macbased方式時(shí)，該端口下的所有接入用戶均需要單獨(dú)認(rèn)證，當(dāng)某個(gè)用戶下線時(shí)，也只有該用戶無法使用網(wǎng)絡(luò);而采用portbased方式時(shí)，只要該端口下的第一個(gè)用戶認(rèn)證成功后，其他接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)資源，但是當(dāng)?shù)谝粋€(gè)用戶下線后，其他用戶也會(huì)被拒絕使用網(wǎng)絡(luò)。

例如，修改端口E0/1的接入控制方式為portbased方式：

[SwitchA]dot1x port-method portbased interface Ethernet 0/1

或者：

[SwitchA]interface Ethernet 0/1

[SwitchA-Ethernet0/1]dot1x port-method portbased

如果RADIUS服務(wù)器不是與SwitchA直連，那么需要在SwitchA上增加路由的配置，來確保SwitchA與RADIUS服務(wù)器之間的認(rèn)證報(bào)文通訊正常

博客地址：http://caihua2222.blog.163.com/blog/static/1280139682010061645516/