dot1x guest-vlan

在有的网络中比如校园网或者是企业网中，用户在通过802.1x 认证之前属于一个缺省VLAN （即Guest VLAN ），用户访问该VLAN 内的资源不需要认证，只能访问有限的网络资源，但此时不能够访问其他网络资源 。

这个VLAN 就是GUEST VLAN 。

没有通过认证的客户端计算机处于GUEST VLAN 中，它们只能访问到GUEST VLAN 服务器的资源，用户从处于GUEST VLAN 的服务器上可以获取802.1x 客户端软件，升级客户端，或执行其他一些应用升级程序（例如防病毒软件、操作系统补丁程序等）这是因为如果没有专用的认证客户端或者客户端版本过低等原因，导致在一定的时间内端口上无客户端认证成功，接入设备会把该端口加入到Guest VLAN 。

认证成功后，端口离开Guest VLAN ，用户可以访问其特定的网络资源。

在上面的例子里连接端口1的计算机通过认证以后，端口1被交换机自动地添加到VLAN10里面，这个时候客户端计算机可以访问服务器2中的资源。

而客户端2和客户端3没有通过认证，只能继续留在Guest VLAN 中，只可以访问服务器1的资源，而不能访问服务器2的资源。

需要注意的是：Guest vlan 仅支持基于端口的802.1X 协议，不支持基于MAC 地址的802.1X 协议。

cisco 交换机配置802.1x 的相关操作命令
作者：佚名 文章来源：网络 点击数： 543 更新时间：2010-8-16
Router(config)# aaa new-model
! 启用 aaa
aaa authentication dot1x default group radius
! dot1x 使用radius 做认证
aaa authorization network default group radius
! 使用802.1x 协议去动态分配vlan 的话,上边的这句命令一定要有
dot1x system-auth-control
! 允许802.1x port-based 认证
dot1x guest-vlan supplicant
! 允许交换机在端口802.1x 认证失败后,指定vlan 到guest-vlan
radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key Password
! 设置radius server 的ip 地址和端口,以及认证的password
radius-server retransmit 3
!在发送的radius 请求没有相应的情况下的重新传递次数
radius-server vsa send authentication
!vsa 是Vendor-Specific attributes 的缩写,如果需要通过802.1x 来指定端口的vlan,需要这条配置命令。

!下边的是需要重点配置的,由于dot1x 默认的几个超时和重试都比较高。

如果遇到没有验证的主机的话,切换到guest-vlan 的时间就会比较晚,造成主机显示无法连接,影响了用户的体验。

其实在局域网环境中,超时值可以设置的相对低一些。

interface FastEthernet0/3
switchport mode access
!dot1x 指定vlan, switchport mode 必须为access
dot1x port-control auto
!开启dot1x端口认证
dot1x timeout quiet-period 10
!switch在与client认证失败后的静默时间。

默认是60s,我设置为10 60
dot1x timeout tx-period 4 30
dot1x timeout supp-timeout 4 30
!switch和client之间认证等待的时间
dot1x timeout server-timeout 4 30
!switch 到radius server的timeout时间
dot1x max-req 2 2
!switch和client之间认证重试的次数,默认是2次
dot1x guest-vlan 80
!设定尝试失败后所设置的guest-vlan
dot1x host-mode multi-host
!host-mode是针对在端口下通过hub有多台机器上网的问题设置的。

默认的single-host只允许一台机器能够使用该端口;如果是multi-host,那么只要第一台能够认证通过,那么其他接到这个hub的机器就都能使用，但是如果第一台认证的机器没有通过认证,那么这个hub上的任何机器就都fail掉。