個人整理 絕大多數來源於網絡
cisco 現在強調 nac 但是 他的兩款產品cam cas 對於一般企業來說應該不想花錢 於是基於802.1x +ACS 就成了熱門人選
1:方法一
基於mac 的認證 這種方法最簡單 也最麻煩 部署簡單維護麻煩
主要過程
![]()
![]()
![]()
![]()
![]()
![]()
cisco 現在強調 nac 但是 他的兩款產品cam cas 對於一般企業來說應該不想花錢 於是基於802.1x +ACS 就成了熱門人選
1:方法一
基於mac 的認證 這種方法最簡單 也最麻煩 部署簡單維護麻煩
主要過程
基於mac的802.1x
一.交換機配置
aaa new-model
aaa authentication login noacs line none
aaa authentication dot1x default group
radius
!認證
aaa authorization network default group
radius
!授權
dot1x system-auth-control
!啓用dot1x
radius-server host 192.168.30.18 auth-port
1645 acct-port 1646 key cisco
!定義Radius服務器
radius-server vsa send
!啓動分配到不同vlan功能
interface FastEthernet0/1
switchport mode access
dot1x mac-auth-bypass eap
!啓用mac免認證功能,也就是說當接入設備不支持
!dot1x時,將通過查找ACS是否有設備的mac地址去認證。
dot1x port-control auto
dot1x pae authenticator
!啓用dot1x功能
dot1x timeout tx-period 3
!縮短認證時間
dot1x guest-vlan 2
!認證不成功,被分配到vlan2
spanning-tree portfast
!縮短端口啓用時間
二.ACS配置
1.創建用戶
在ACS上創建用戶:接入設備的mac地址作爲username和password,格式爲12個連續字符
2.勾選用戶屬性
 |
在ACS的用戶配置中打開“006”這個屬性值
以上屬性找不到的請在ACS上Interface
configuration選項勾選
以上屬性找不到的請在ACS上Interface configuration選項勾選
當用戶認證成功將被分配到vlan10。
三.客戶端配置
客戶端一定要取消掉802.1X身份驗證,否則在認證時候就自動跳出需要輸入用戶名和密碼