15-802.1x配置命令

关于设置有线802.1X客户端的方法
1 点击键盘中的“win键”+“R键”，在弹出的运行对话框中输入：services.msc，启动“服务”。

在“服务”中找到如下的服务，默认情况下该服务是“手动”的。

要把它修改成“自动”，并启动。

如下图：
2 在“本地连接”中，找到“身份验证”。

如下图：
3 选中“身份验证”，点击“设置”，如下图：
4 把“验证服务器证书”的钩钩去掉，如下图：
5 确定后，回到第三步，点击“其他设置”，如下图：
6 选择身份验证的模式是：用户和计算机身份验证。

如下图：
至此，802.1X有线客户端设置完毕。

请各位安装系统的时候一定要注意。

谢谢。

1、802.1x协议简介802.1x协议是基于Client/Server的访问控制和认证协议。

它可以限制未经授权的用户/设备通过接入端口(access port)访问LAN/WLAN。

在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。

在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

802.1x认证包含三个角色：认证者--对接入的用户/设备进行认证的端口；请求者--被认证的用户/设备；认证服务器--根据认证者的信息，对请求访问网络资源的用户/设备进行实际认证功能的设备。

以太网的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。

其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。

而受控端口的联通或断开是由该端口的授权状态决定的。

受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。

2、802.1x认证过程（1.客户端程序将发出请求认证的EAPoL-Start报文给交换机，开始启动一次认证过程。

（2.交换机收到请求认证的报文后，将发出一个EAP-Request/Identify报文要求用户的客户端程序将输入的用户信息送上来。

（3.客户端程序响应交换机发出的请求，将用户名信息通过EAP-Response/Identify报文送给交换机。

交换机通过Radius-Access-Request报文将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。

（4.认证服务器收到来自交换机的Radius-Access-Request报文，做如下几个操作：验证交换机的合法性：包括交换机的IP地址，以及RADIUS认证口令；验证RADIUS的ID字段中填入的账号是否有效；当上述两个条件满足的时候，给交换机应答此Radius-Access-Challenge报文。

19802.1X配置本章节描述基于AAA服务配置的相关内容。

802.1x用于控制用户对网络访问的认证，并对其提供授权与记帐功能。

本节包含如下内容：⏹19.1概述⏹19.2配置802.1X⏹19.3查看802.1x 的配置及当前的统计值⏹19.4配置802.1x 其它注意事项说明有关本节引用的CLI命令的详细使用信息及说明，请参照《配置802.1X命令》。

19.1概述IEEE 802 LAN 中，用户只要能接到网络设备上，不需要经过认证和授权即可直接使用。

这样，一个未经授权的用户，他可以没有任何阻碍地通过连接到局域网的设备进入网络。

随着局域网技术的广泛应用，特别是在运营网络的出现，对网络的安全认证的需求已经提到了议事日程上。

如何在以太网技术简单、廉价的基础上，提供用户对网络或设备访问合法性认证，已经成为业界关注的焦点。

IEEE802.1x 协议正是在这样的背景下提出的。

IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，为LAN提供点对点式的安全接入。

这是IEEE标准委员会针对以太网的安全缺陷而专门制定的标准，能够在利用IEEE 802 LAN优势的基础上，提供一种对连接到局域网设备的用户进行认证的手段。

IEEE 802.1x 标准定义了一种基于“客户端——服务器”（Client-Server）模式实现了限制未认证用户对网络的访问。

客户端要访问网络必须先通过服务器的认证。

在客户端通过认证之前，只有EAPOL报文（Extensible Authentication Protocol overLAN）可以在网络上通行。

在认证成功之后，正常的数据流便可在网络上通行。

应用802.1x我司的设备提供了Authentication，Authorization，and Accounting三种安全功能，简称AAA。

⏹Authentication：认证，用于判定用户是否可以获得访问权，限制非法用户；⏹Authorization：授权，授权用户可以使用哪些服务，控制合法用户的权限；⏹Accounting：计账，记录用户使用网络资源的情况，为收费提供依据。

WinXP系统无线AP配置教程
目前无线AP广播两个SSID，一个为cisco（需要域帐号验证登陆），一个为cheari_cus （只需要密码即可登陆，但是不能访问内网中服务器，仅限于访问使用）
一、以下配置过程为使用域帐号登陆情况下进行。

1、双击无线图标，打开无线网络连接状态页面。

2、点击查看无线网络。

3、选择更改首选网络的顺序
4、选择添加
5、网络名输入：cisco（网络名为实际广播SSID，可在无线网络连接属性里查看）
6、选择验证选项卡
7、勾选启用此网络的IEEE802.1X验证选项，EAP类型选择受保护的EAP（PEAP），点击属性。

8、去掉验证服务器证书复选框。

确定。

9、在使用域帐户登录系统后，即可使用无线连接。

二、如果是非域帐号登陆情况下在第8步配置时，选择身份验证方法后的配置按钮，去掉当连接时下面的复选框，连接时弹出的的窗口中输入授权的帐号及密码即可（一般为域帐号）。

在连接无线时输入域帐号及密码（登录域为空），并勾选保存用户名和密码为将来使用。

确定后即可使用无线网络。

交换机802.1x配置1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X 方式，如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置：Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式，正常的通过认证和授权过程强制授权方式：不通过认证，总是可用状态强制不授权方式：实质上类似关闭了该接口，总是不可用可选配置：Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证，注意：如果会话已经建立，此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2，提供了灵活性注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。

802.1x 无线路由器
.1x无线路由器
1、登录管理界面：打开网页浏览器，在浏览器的地址栏中输入：tplogin并按下回车——>设置管理员的登录密码——>点击“确认
特别注意问题：设置不好管理密码后，若用户登入时已连续10次输出管理员密码错误，则在2小时内无法登入路由器管理界面。

2、运行设置向导：首次登录tl-wrn路由器的管理界面时，系统会自动运行“设置向导”，如果没有弹出该页面，可以点击页面左侧的设置向导菜单将它激活。

3、挑选玩游戏方式：挑选“pppoe(adsl虚拟拨号)”——>“下一步”。

4、配置上网帐号：请根据isp宽带运营商提供的宽带用户名和密码，填写“上网帐号”、“上网口令”——>“下一步”。

5、无线网络设置：设置“ssid”，ssid就是无线网络的名称，特别注意无法采用中文——>挑选“wpa-psk/wpa2-psk”——>设置“psk密码”——>“下一步”。

6、点击“完成”。

802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

实验所需要的用到设备：认证设备：cisco 3550 交换机一台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：172.16.0.103，认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握 cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。

Configuring a W ireless C lient f or 802.1X AuthenticationApplication NoteTable o f C ontentsIntroduction & K ey C oncepts (3)What i s 802.1X? (3)Why w ould I w ant t o u se 802.1X? (4)Configuring t he S upplicant (5)Configure a W indows S upplicant ............................................. E rror! B ookmark n ot d efined.Disable S erver C ertificate V alidation (7)Automatically l ogin w ith d ifferent c redentials (9)Single s ign o n (10)EAP-­‐TLS C onfiguration (11)Configure a M ac O S S upplicant ................................................. E rror! B ookmark n ot d efined.EAP-­‐TLS C onfiguration (14)802.1X (15)Digital C ertificates a nd C ertificate A uthorities (15)Microsoft N etwork P olicy S erver (15)April-2012-1Introduction& Key ConceptsWhat is 802.1X?802.1X is an IEEE security standard for network access. Authentication is a key part of the 802.1X standard. Three devices participate in every 802.1X authentication:Supplicant – the client deviceAuthenticator – the device that controls network access (port) and passes authentication messages to the authentication serverAuthentication Server – AAA-compliant authentication serverFigure 1 - 802.1X Authentication Phase 1The supplicant responds to an authentication challenge from the authenticator and transmits its credentials. The goal of the first phase is to establish the protected tunnel (TLS) to encrypt the user credentials so they aren’t sent in the clear.April-2012-1Figure 2 - 802.1X Authentication Phase 2Once the user credentials are transmitted, the authenticator (AP) sends this information to the ZoneDirector. The ZoneDirector then submits it to the AAA server. If the authentication is successful, the authentication server notifies the authenticator, which opens the network port.These stringent requirements create very secure network access – other than authentication attempts, no traffic of any kind will be allowed onto the network - including DHCP and DNS.Why would I want to use 802.1X?802.1X is a very secure authentication and encryption standard. Unlike pre-shared key (PSK) networks, 802.1X requires a user name and password that is checked against an authentication server for every authentication. PSKs rely on a single, shared secret for all machines. 802.1X is also well suited for single sign-on, in which 802.1X authentication occurs at the same time a user signs on to a computer.April-2012-1Configuring a Windows SupplicantMost modern operating systems include an 802.1X supplicant. Although the details change from client to client, the process is the same.In this example, we will use a Microsoft Windows 7 client using Microsoft’s WLAN AutoConfig supplicant. This process is very similar for other versions of Windows when you use the built-in Microsoft supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.From the Control Panel, go to Administrative Tools and open the Services.Confirm the Microsoft WLAN AutoConfig service is running1. If it is not, start it and set it to start up automatically.2From the Control Panel, go to Network and Internet -> Manage Wireless Networks1 On Windows XP this is called Wireless Zero Config, on Windows 7 it is WLAN AutoConfig2 Starting Microsoft’s supplicant will automatically stop any other supplicants running on the machine.April-2012-1Click AddIn the next screen, select Manually create a network profileApril-2012-1Enter your SSID name, security and encryption typeClick Next to create the profileAt this point, it’s a good idea to review some of the more common options that may also be needed for this supplicant.3Disable Server Certificate ValidationIf you RADIUS server is not using a certificate from a known CA, you might want to temporarily disable the Validate server certificate box. This will prevent the client from validating the server’s certificate – although it will still require a certificate.1.From the list of profiles, right-click the 802.1X profile and Properties3 If you’ve done everything right and followed every step, you can probably skip the rest of this section. Or you could read it anyway – just in case.April-2012-1Click the Security tabClick the Settings buttonThis opens the PEAP configuration dialogueApril-2012-1Unselecting the Validate server certificate option will cause the client to accept any correctly formatted certificate from the server.Security best practices dictate the client should always validate the server certificate. This step is only recommended for troubleshooting certificate problems. Once they are resolved, the client should be configured to validate certificates again.Automatically login with different credentialsThe default behavior for a Microsoft client is to attempt to authenticate with the user credentials that were used to log onto the machine itself. If you want to use a different set of credentials you can disable this behavior. If you do this you will be presented with a pop-up dialogue box asking for the user name and password.April-2012-1Single sign onIt’s often useful to allow domain computers to authenticate to the wireless before a user logs on. This allows domain users to log onto the wireless from any domain machine, regardless of whether the user has ever used the machine before (i.e. has cached credentials).1.From the wireless network properties window, click the Advanced settingsbuttonThe following dialogue box offers the ability to specify several behaviors: Authentication mode – determines what entities can login to the wireless: users, machines, or user and machineApril-2012-1Enable single sign on – allows the machine to log onto the wireless network when a user is not logged on, this allows users with non-cached credentials to login to the wireless at the same time that they log onto the machineEAP-TLS ConfigurationIf you are using EAP-TLS, the configuration is very similar to PEAP with the following exceptions:1. A client certificate (user or machine) must be loaded on the machine orinstalled as part of auto-enrollment prior to the first connectionDuring the wireless network setup, go to the Security tab and select Microsoft: Smart Card or other certificate as the authentication methodApril-2012-1After choosing the authentication method, select Settings and make sure the checkbox next to Use a certificate on this computer is selectedThese are the only changes required to configure a client for EAP-TLS instead of PEAP.April-2012-1Configuring a Mac OS SupplicantIn this example, we will use an Apple Mac OS 10.7 (Lion) client using Apple’s built-in supplicant. This process is very similar for other versions of Mac OS when you use the built-in supplicant.If you wish to use a 3rd-party supplicant, like Odyssey or the client utility that came with the wireless adapter, please consult their documentation for set up details.1.Install any certificates, if required2.From the Settings application, go to Network and select Wi-Fi from the list ofnetwork interfaces on the left3.Click the Advanced button4.Click the plus (+) sign under Preferred Networks to define a new networkApril-2012-15.In the network profile dialogue, make sure the correct SSID, security type andcredentials are entered46.Click OK7.Click OK in the next dialogue box to save your changes8.The new SSID should appear in the dropdown box of Network Names9.Select the new SSID and connect. Enter your credentials if promptedEAP-TLS ConfigurationIf you are using EAP-TLS instead of PEAP there is no change to the configuration. Simply make sure the client certificate is installed in the Keychain Access before connecting. If prompted, select the correct certificate from the TLS Certificate dropdown menu.4 User credentials are not required, however if not entered here you will be prompted for your credentials when you connectApril-2012-1Appendix A–Fur ther Reading802.1XAn Introduction to 802.1X for Wireless Local Area Networks/media/pdf_autogen/802_1X_for_Wireless_LAN.pdfDigital Certificates and Certificate AuthoritiesMicrosoft – Understanding Digital Certificates and Public Key Cryptography /en-us/library/bb123848(v=exchg.65).aspx Installing a Certificate Server with Microsoft Windows Server 2008Application note available from Ruckus WirelessMicrosoft Network Policy ServerNetwork Policy and Access Services/en-us/library/cc754521(WS.10).aspxApril-2012-1Introduction & Key Concepts dffdfdApril-2012-1。

802.1x典型配置举例关键词：802.1x，AAA摘?要：本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置，对所涉及到的802.1x客户端、交换机、AAA服务器等角色，分别给出了详细的配置步骤。

缩略语：AAA（Authentication，AuthorizationandAccounting，认证、授权和计费）第1章?802.1x功能介绍✍?说明：本章中的802.1x功能适用于H3CS3600、H3CS5600、H3CS3100、H3CS5100、H3CS3100-52P、E352&E328、E126和E152这一系列以太网交换机。

1.1?802.1x简介IEEE802协议定义的局域网不提供接入认证，一般来说，只要用户接入局域网就可以访问网络上的设备或资源。

但是对于如电信接入、写字楼、局域网以及移动办公等应用场合，网络管理者希望能对用户设备的接入进行控制和配置，为此产生了基于端口或用户的网络接入控制需求。

802.1x协议是一种基于端口的网络接入控制（PortBasedNetworkAccessControl）协议。

802.1x作为一种基于端口的用户访问控制机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性，受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。

1.2?产品特性支持情况1.2.1?全局配置✍?????????????开启全局的802.1x特性✍?????????????设置时间参数✍?????????????设置认证请求帧的最大可重复发送次数✍?????????????打开静默定时器功能✍?????????????打开设备重启用户再认证功能1.2.2?端口视图下的配置✍?????????????开启端口dot1x✍?????????????配置GuestVLAN功能✍?????????????配置端口允许的最大用户数✍?????????????端口接入控制方式(基于端口或基于MAC)✍?????????????端口接入控制模式（强制授权、非强制授权、自动）✍?????????????客户端版本检测✍?????????????代理检测1.2.3?注意事项✍?????????????只有全局开启dot1x特性后，dot1x的配置才会生效。

1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1—E0/10接口地址10。

10。

1。

1/242. 交换机vlan20包含端口E0/11—E0/20接口地址10。

10。

2.1/243。

交换机vlan100包含端口G1/1接口地址192。

168.0。

1/244. RADIUS server地址为192。

168.0.100/245。

本例中交换机为三层交换机『组网需求』1。

PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802。

1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1. 创建（进入)vlan10［SwitchA]vlan 102. 将E0/1—E0/10加入到vlan10［SwitchA—vlan10］port Ethernet 0/1 to Ethernet 0/103. 创建（进入)vlan10的虚接口[SwitchA]interface Vlan-interface 104。

给vlan10的虚接口配置IP地址［SwitchA-Vlan-interface10]ip address 10。

10。

1.1 255。

255。

255。

05。

创建(进入)vlan20[SwitchA—vlan10]vlan 206. 将E0/11—E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址［SwitchA-Vlan—interface20]ip address 10。

第1章 802.1X配置1.1 802.1X协议简介1.1.1 802.1X协议简介IEEE 802.1X定义了基于端口的网络接入控制协议，起源于802.11协议－－标准的无线局域网协议。

IEEE 802.1X协议的主要目的是解决无线局域网用户的接入认证问题，但其在IEEE 802 LAN所定义的有线局域网中的应用，为LAN提供了接入认证的手段。

在IEEE 802 LAN所定义的局域网中，只要用户接入局域网控制设备，如LanSwitch，用户就可以访问局域网中的设备或资源。

但是对于如电信接入、写字楼LAN 以及移动办公等应用，设备提供者希望能对用户的接入进行控制，为此产生了基于端口的网络接入控制（Port Based network access control）需求。

基于端口的网络接入控制（Port Based network access control）是在 LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LAN设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。

IEEE 802.1x定义了基于端口的网络接入控制协议，而且仅定义了接入设备与接入端口间点到点的连接方式。

其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个End Station（基于物理端口）；IEEE 802.11定义的无线LAN 接入（基于逻辑端口）等。

Quidway S3526在802.1X的实现中，不仅支持协议所规定的端口接入认证方式，还对其进行了优化，接入控制方式可以基于端口，也可以基于MAC地址，极大地提高了安全性和可管理性。

1.1.2 802.1X体系结构802.1X系统包括三个实体：客户端、认证系统、认证服务器，图1中与之相应的各部分为： Supplicant System（用户接入）；Authenticator System（接入认证）；Authentication Sever System（认证服务器）。

目录∙H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)∙01-命令行接口命令∙02-登录交换机命令∙03-配置文件管理命令∙04-VLAN命令∙05-配置管理VLAN命令∙06-IP地址-IP性能命令∙07-GVRP命令∙08-端口基本配置命令∙09-端口汇聚命令∙10-端口隔离命令∙11-端口安全命令∙12-MAC地址转发表管理命令∙13-MSTP命令∙14-组播协议命令∙15-802.1x及System-Guard命令∙16-AAA命令∙17-MAC地址认证命令∙18-ARP命令∙19-DHCP命令∙20-ACL命令∙21-QoS命令∙22-镜像命令∙23-Cluster命令∙24-SNMP-RMON命令∙25-NTP命令∙26-SSH命令∙27-文件系统管理命令∙28-FTP-SFTP-TFTP命令∙29-信息中心命令∙30-系统维护与调试命令∙31-VLAN-VPN命令∙32-HWPing命令∙33-IPv6管理命令∙34-LLDP命令∙35-域名解析命令∙36-PKI命令∙37-SSL命令∙38-HTTPS命令∙39-附录、H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)本章节下载(253.62 KB)15-802.1x及System-Guard命令目录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-user1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 HABP配置命令2.1 HABP配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令3.1.1 display system-guard config 3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x [ sessions | statistics ] [ interface interface-list ]【视图】任意视图【参数】sessions：显示802.1x的会话连接信息。

802.1X内部认证配置及注意事项
1 登录AP配置页面
在IE浏览器里输入192.168.0.50.默认登录的账号名为admin，密码为空。

2 进入到AP的基本管理页面
Basic setting-----Wireless选项卡
更改SSID名称
启用WPA企业级认证方式
开户内部认证功能
2.1：根据需要更改SSID名称
2.2：在验证模式下开户WPA企业级认证
2.3：选择DAP-2590内部认证功能
注：配置完成以后，请保存配置并激活，否则无法激活内部帐号。

3 进到AP的高级配置页面
Advanced setting----internal RADIUS Server填写认证的账号与密码，注：密码不低于8位字符。

添加账号名与密码。

注：内部认证数据库目前只有DAP-2590与DAP-2690支持，其他AP暂不支持。

外部认证数据库所有的AP都支持。

4更改终端无线网卡配置
4.1 XP配置
选择对应的SSID.点击属性
EAP类型为（受保护的EAP(PEAP)----属性
去掉验证服务器------点击配置---去掉启用本机认证的功能
4.2 win7不用配置些设置
注：做完配置以后，请注意保存并激活配置，否则所以的配置将不会生效。

configuradtion----save and activate。

思科交换机802.1X认证环境配置1.1.1.1 ：配置IP地址configure terminal 进入全局的配置模式配置命令：ip address举例：ip address 192.168.1.253 255.255.255.01.1.1.2 ：配置Radius认证服务器地址configure terminal 进入全局的配置模式配置命令：radius-server host <0.0.0.0> auth-port <port> acct-port <port> key <Key> 举例：radius-server host 192.168.1.254 auth-port 1812 acct-port 1813 key test radius-server retransmit 3 和Radius默认重传3次。

1.1.1.3 ：配置Dot1X认证configure terminal 进入全局的配置模式aaa new-model 运行AAA模式。

aaa authentication dot1x default group radius 创建一个802.1X认证的方式列表dot1x system-auth-control 在交换机上全局允许802.1X认证nterface <interface-id> 在指定的端口上启用802.1X认证举例：interface fastethernet0/1说明：1：例子中的是第一个端口，端口的书写必须是:0/<端口号>2：当端口启用802.1X认证之后应该显示是桔红色，而没有启用的显示的是绿色。

switchport mode accessdot1x port-control auto 以上两个命令是允许在端口上启用802.1X认证。

End 配置结束Show dot1x 查看您的dot1x认证配置copy running-config startup-config 保存您的配置到配置文件中。

802.1X典型配置指导02-802.1X典型配置指导目录1 802.1X典型配置指导1.1 802.1X简介1.2 802.1X典型配置指导1.2.1应用需求1.2.2配置思路1.2.3适用产品、版本1.2.4配置过程和解释1.2.5完整配置1.2.6配置注意事项1.3 802.1X设备单播触发典型配置案例1.3.1应用需求1.3.2配置思路1.3.3适用产品、版本1.3.4配置过程和解释1.3.5完整配置1.3.6配置注意事项1.4 802.1X的Guest VLAN、动态VLAN下发典型配置举例1.4.1应用需求1.4.2配置思路1.4.3适用产品、版本1.4.4配置过程和解释1.4.5完整配置1.4.6配置注意事项1.5下发ACL和802.1X重认证应用典型配置指导1.5.1应用需求1.5.2配置思路1.5.3适用产品、版本1.5.4配置过程和解释1.5.5完整配置1.5.6配置注意事项1.6 802.1X客户端EAD方案典型配置指导1.6.1应用需求1.6.2配置思路1.6.3适用产品、版本1.6.4配置过程和解释1.6.5 完整配置1.6.6配置注意事项1802.1X典型配置指导1.1 802.1X简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。

后来，802.1X 协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1X协议是一种基于端口的网络接入控制协议（Port Based Network Access Control）。

“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

1.2 802.1X典型配置指导1.2.1 应用需求用户通过Switch的端口GE1/0/1接入网络。

cisco交换机配置802.1x的相关命令2010-07-28 18:58Router(config)# aaa new-model! 启用aaaaaa authentication dot1x default group radius! dot1x使用radius做认证aaa authorization network default group radius! 使用802.1x协议去动态分配vlan的话,上边的这句命令一定要有dot1x system-auth-control! 允许802.1x port-based 认证dot1x guest-vlan supplicant! 允许交换机在端口802.1x认证失败后,指定vlan到guest-vlanradius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key Password! 设置radius server的ip地址和端口,以及认证的passwordradius-server retransmit 3!在发送的radius请求没有相应的情况下的重新传递次数radius-server vsa send authentication!vsa是Vendor-Specific attributes的缩写,如果需要通过802.1x来指定端口的vlan,需要这条配置命令。

!下边的是需要重点配置的,由于dot1x默认的几个超时和重试都比较高。

如果遇到没有验证的主机的话,切换到guest-vlan的时间就会比较晚,造成主机显示无法连接,影响了用户的体验。

其实在局域网环境中,超时值可以设置的相对低一些。

interface FastEthernet0/3switchport mode access!dot1x指定vlan, switchport mode必须为accessdot1x port-control auto!开启dot1x端口认证dot1x timeout quiet-period 10!switch在与client认证失败后的静默时间。

目录1 802.1x配置........................................................................................................................................1-11.1 802.1x简介........................................................................................................................................1-11.1.1 802.1x的体系结构...................................................................................................................1-11.1.2 802.1x的基本概念...................................................................................................................1-21.1.3 EAPOL消息的封装..................................................................................................................1-31.1.4 EAP属性的封装......................................................................................................................1-41.1.5 802.1x的认证触发方式...........................................................................................................1-51.1.6 802.1x的认证过程...................................................................................................................1-51.1.7 802.1x的定时器......................................................................................................................1-81.1.8 802.1x在设备中的实现...........................................................................................................1-91.1.9 和802.1x配合使用的特性.......................................................................................................1-91.2 配置802.1x.....................................................................................................................................1-111.2.1 配置准备...............................................................................................................................1-111.2.2 配置全局802.1x...................................................................................................................1-111.2.3 配置端口的802.1x................................................................................................................1-121.3 配置802.1x的Guest VLAN..............................................................................................................1-141.3.1 配置Port-based Guest VLAN................................................................................................1-141.3.2 配置MAC-based Guest VLAN..............................................................................................1-141.4 802.1x显示和维护...........................................................................................................................1-151.5 802.1x典型配置举例（WX系列无线控制产品适用）......................................................................1-151.6 下发ACL典型配置举例（WX系列无线控制产品适用）...................................................................1-18z H3C WX系列无线控制产品包含无线控制器、无线控制业务板和有线无线一体化交换机的无线控制引擎模块，无线控制产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见本模块的命令手册。