802.1x配置命令

思科交换机802.1X认证环境配置1.1.1.1 ：配置IP地址configure terminal 进入全局的配置模式配置命令：ip address举例：ip address 192.168.1.253 255.255.255.01.1.1.2 ：配置Radius认证服务器地址configure terminal 进入全局的配置模式配置命令：radius-server host <0.0.0.0> auth-port <port> acct-port <port> key <Key> 举例：radius-server host 192.168.1.254 auth-port 1812 acct-port 1813 key test radius-server retransmit 3 和Radius默认重传3次。

1.1.1.3 ：配置Dot1X认证configure terminal 进入全局的配置模式aaa new-model 运行AAA模式。

aaa authentication dot1x default group radius 创建一个802.1X认证的方式列表dot1x system-auth-control 在交换机上全局允许802.1X认证nterface <interface-id> 在指定的端口上启用802.1X认证举例：interface fastethernet0/1说明：1：例子中的是第一个端口，端口的书写必须是:0/<端口号>2：当端口启用802.1X认证之后应该显示是桔红色，而没有启用的显示的是绿色。

switchport mode accessdot1x port-control auto 以上两个命令是允许在端口上启用802.1X认证。

End 配置结束Show dot1x 查看您的dot1x认证配置copy running-config startup-config 保存您的配置到配置文件中。

cisco交换机配置802.1x的相关命令2010-07-28 18:58Router(config)# aaa new-model! 启用aaaaaa authentication dot1x default group radius! dot1x使用radius做认证aaa authorization network default group radius! 使用802.1x协议去动态分配vlan的话,上边的这句命令一定要有dot1x system-auth-control! 允许802.1x port-based 认证dot1x guest-vlan supplicant! 允许交换机在端口802.1x认证失败后,指定vlan到guest-vlanradius-server host 192.168.1.1 auth-port 1812 acct-port 1813 key Password! 设置radius server的ip地址和端口,以及认证的passwordradius-server retransmit 3!在发送的radius请求没有相应的情况下的重新传递次数radius-server vsa send authentication!vsa是Vendor-Specific attributes的缩写,如果需要通过802.1x来指定端口的vlan,需要这条配置命令。

!下边的是需要重点配置的,由于dot1x默认的几个超时和重试都比较高。

如果遇到没有验证的主机的话,切换到guest-vlan的时间就会比较晚,造成主机显示无法连接,影响了用户的体验。

其实在局域网环境中,超时值可以设置的相对低一些。

interface FastEthernet0/3switchport mode access!dot1x指定vlan, switchport mode必须为accessdot1x port-control auto!开启dot1x端口认证dot1x timeout quiet-period 10!switch在与client认证失败后的静默时间。

802.1X 典型配置1. 组网需求要求在端口Ethernet1/1 上对接入用户进行认证，以控制其访问Internet；接入控制方式要求是基于MAC 地址的接入控制。

所有接入用户都属于一个缺省的域：，该域最多可容纳30 个用户；认证时，先进行RADIUS 认证，如果RADIUS 服务器没有响应再转而进行本地认证；计费时，如果RADIUS计费失败则切断用户连接使其下线。

由两台RADIUS 服务器组成的服务器组与Device 相连，其IP 地址分别为10.1.1.1 和10.1.1.2，使用前者作为主认证/备份计费服务器，使用后者作为备份认证/主计费服务器。

设置系统与认证RADIUS 服务器交互报文时的共享密钥为name、与计费RADIUS 服务器交互报文时的共享密钥为money。

设置系统在向RADIUS 服务器发送报文后5 秒种内如果没有得到响应就向其重新发送报文，发送报文的次数总共为5 次，设置系统每15 分钟就向RADIUS 服务器发送一次实时计费报文。

设置系统从用户名中去除用户域名后再将之传给RADIUS 服务器。

本地802.1X 接入用户的用户名为localuser，密码为localpass，使用明文输入；闲置切断功能处于打开状态，正常连接时用户空闲时间超过20 分钟，则切断其连接。

2. 组网图3. 配置步骤# 配置各接口的IP 地址（略）。

# 添加本地接入用户，启动闲置切断功能并设置相关参数。

<Device> system-view[Device] local-user localuser[Device-luser-localuser] service-type lan-access[Device-luser-localuser] password simple localpass[Device-luser-localuser] authorization-attribute idle-cut 20 [Device-luser-localuser] quit# 创建RADIUS 方案radius1 并进入其视图。

Win8无线客户端802.1X典型设置
一、组网需求：
随着WLAN应用广泛，无线终端操作系统类型也各异，下文介绍常见Win 8系统的802.1x设置。

二、配置说明
在802.1X认证，无线终端采用PEAP或EAP-TLS方式，对应设备配置皆一样，均为EAP中继方式。

详细可参见其他案例，在此省略。

三、配置步骤：
1、点击右下角信号图标，打开网络和共享中心
2、选择设置新的连接或网络
3、点手动连接到无线络配置文件
4、设置SSID，安全类型在802.1X中要设置WPA2-企业或WPA-企业或802.1X
安全型（用于验证连接到一个无线网络），见下图：
（1）没有身份验证（开放）打开与没有加密体系认证
（2）WPA2 -个人WPA2的一个预共享密钥
（3）WPA2 -企业的WPA与IEEE 802.1X身份验证
（4）802.1x的IEEE 802.1X身份验证和WEP（也称为动态WEP）
由于微软在Win8加强了安全性，输入SSID：sau_1x，然后选择WPA2企业
5、设置加密类型：
点确定，在下面的的截图中取消所有对号选择；
然后点“配置”，去掉对号；
6、双击对应SSID，连接
7、输入账号名密码，如下图
9、设置完成，确定即可完成连接。

第22章802.1X配置本章主要讲述了迈普系列路由交换机支持的802.1X功能以及详细的配置信息。

章节主要内容：●802.1X介绍●802.1X配置●802.1X应用举例●监控与维护22.1802.1X介绍22.1.1802.1X简介802.1X是IEEE在2001年6月提出的宽带接入认证方案，它定义了基于物理端口的网络接入控制协议（Port-Based Network Access Control）。

802.1X利用IEEE 802架构局域网的物理访问特性，提供了一套对以点对点方式（point-to-point）连接到局域网端口（Port）上的设备进行认证、授权的方法。

802.1X具有如下特点：1.方案简洁。

802.1X 仅仅关注端口的打开与关闭。

对于合法用户（根据帐号和密码）接入时该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。

认证的结果在于端口状态的改变，是各种认证技术中最简化的实现方案。

2.802.1X所使用的EAP协议只定义了认证消息的通信方式（the means of communicationauthentication information），而没有定义具体的认证机制（authentication mechanism）。

因此可以灵活地选择认证机制，(包括：Smart Card、Kerberos、Public Key Encryption、One Time Password等)。

3.IEEE 802.1X协议为二层协议，不需要到达三层。

也就是说，客户端系统在认证中，不需IP地址。

认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址，使用发送者的MAC 地址作为源MAC地址。

4.采用纯以太网技术，通过认证之后的数据包不存在封装与解封装的问题，因而效率高，消除了网络瓶颈。

5.用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。

802．1x 接入配置指南一、Cisco 交换机的802.1x 接入配置采用CISCO 3560G 作为802.1x 接入设备，以EAP-MD5认证业务为例，IEEE 802.1x 认证配置。

组网：配置：Step 1 Enter Global configuration mode(进入全局模式)Switch>enablePassword: ciscoSwitch#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#Step 2 Enable AAA(启用AAA)Switch(config)#aaa new-modelStep 3 Create IEEE 802.1x Authenticatin Method List(创建802.1x 认证方法列表)Switch(config)#aaa authentication dot1x default group radiusStep 4 Enable IEEE 802.1x authentication globally in the Switch (启用全局802.1x 认证）Switch(config)#dot1x system-auth-controlStep 5 (Optional) Configure the switch to use user-RADIUS authorization for all network-related service requests, such as per-user ACLs or VLAN assignment （创建授权网络列表）Switch(config)#aaa authorization network default group radiusStep 6 (Optional) Specify the IP address of the RADIUS server （配置radius 服务器信息包括配置配置radius 认证与计费共享密钥secospace ）Switch(config)#radius-server host 172.18.100.236 auth-port 1812 acct-port 1813 keysecospaceStep 7 Enter interface configuration mode(进入接口配置模式，启用802.1x 接入功能） Switch(config)#interface gigabitEthernet 0/1Cisco 3560G 终端/* Set the port to access mode only if you configured the RADIUS server in Step 6 and Step 7 */Switch(config-if)#switchport mode access/* Enable IEEE 802.1x authentication on the port */Switch(config-if)#dot1x port-control autoStep 8 Return to privileged EXEC mode (返回特权模式)Switch(config-if)#endStep 9 V erify your entries（验证802.1x配置）Switch#show dot1xStep 10 (Optional) Save your entries in the configuration file （保存配置文件）Switch#copy running-config startup-configTo display IEEE 802.1x statistics for all ports (查看所有端口状态)Swtch#show dot1x all [details | statistics | summary]To display IEEE 802.1x statistics for a specific port（查看指定端口状态）Swtch#show dot1x interface <interface-id> [statistics | details][上行接口与Access口对接]!interface GigabitEthernet0/23switchport access vlan 10switchport mode accessspanning-tree portfast![上行接口与Trunk口对接]!interface GigabitEthernet0/24switchport trunk encapsulation dot1qswitchport mode trunk![终端接入端口配置]!interface GigabitEthernet0/1switchport access vlan 110switchport mode accessdot1x pae authenticatordot1x port-control autodot1x guest-vlan 200spanning-tree portfast![vlan 接口配置]!Vlan 10Name SecTSM!Vlan 110Name LocalArea!Vlan 120Name Island!Vlan 130Name WorkArea!Vlan 200Name CasualWard!interface Vlan10ip address 172.18.10.73 255.255.255.0!二、华为交换机的802.1x 接入配置采用Quidway S3900作为802.1x 接入设备，以EAP-MD5认证业务为例，IEEE 802.1x 认证配置。

目录1 802.1x配置1.1 802.1x简介1.1.1 802.1x的体系结构1.1.2 802.1x的基本概念1.1.3 EAPOL消息的封装1.1.4 EAP属性的封装1.1.5 802.1x的认证触发方式1.1.6 802.1x的认证过程1.1.7 802.1x的定时器1.1.8 802.1x在设备中的实现1.1.9 和802.1x配合使用的特性1.2 配置802.1x1.2.1 配置准备1.2.2 配置全局802.1x1.2.3 配置端口的802.1x1.3 配置802.1x的Guest VLAN1.3.1 配置准备1.3.2 配置Guest VLAN1.4 802.1x显示和维护1.5 802.1x典型配置举例1.6 Guest VLAN、VLAN下发典型配置举例1 802.1x配置1.1 802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。

后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1x协议是一种基于端口的网络接入控制协议（port based network access control protocol）。

“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

1.1.1 802.1x的体系结构802.1x系统为典型的Client/Server结构，如图1-1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。

图1-1 802.1x认证系统的体系结构●客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1x认证。

Cisco802.1x准⼊控制配置指南Cisco 802.1x 准⼊控制配置指南802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的⽆线局域⽹协议，制订802.1x协议的初衷是为了解决⽆线局域⽹⽤户的接⼊认证问题。

IEEE802 LAN协议定义的局域⽹并不提供接⼊认证，只要⽤户能接⼊局域⽹控制设备(如LAN Switch)，就可以访问局域⽹中的设备或资源。

这在早期企业⽹有线LAN应⽤环境下并不存在明显的安全隐患。

随着移动办公及驻地⽹运营等应⽤的⼤规模发展，服务提供者需要对⽤户的接⼊进⾏控制和配置。

尤其是WLAN的应⽤和LAN 接⼊在电信⽹上⼤规模开展，有必要对端⼝加以控制以实现⽤户级的接⼊控制，802.lx就是IEEE为了解决基于端⼝的接⼊控制(Port-Based Network Access Contro1)⽽定义的⼀个标准。

⼆、802.1x认证体系802.1x是⼀种基于端⼝的认证协议，是⼀种对⽤户进⾏认证的⽅法和策略。

端⼝可以是⼀个物理端⼝，也可以是⼀个逻辑端⼝(如VLAN)。

对于⽆线局域⽹来说，⼀个端⼝就是⼀个信道。

802.1x认证的最终⽬的就是确定⼀个端⼝是否可⽤。

对于⼀个端⼝，如果认证成功那么就“打开”这个端⼝，允许所有的报⽂通过；如果认证不成功就使这个端⼝保持“关闭”，即只允许802.1x 的认证协议报⽂通过。

实验所需要的⽤到设备：认证设备：cisco 3550 交换机⼀台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：172.16.0.103，认证客户端为⼀台windows xp ,当接⼊到3550交换机上实施802.1X认证，只有认证通过之后⽅可以进⼊⽹络，获得IP地址。

实验⽬的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握 cisco ACS的调试，以及如何在windows xp 启⽤认证，如何在cisco 三层交换机上配置DHCP等。

为什么要实现IEEE802.1x？随着宽带以太网建设规模的迅速扩大，网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。

IEEE802.1x协议具有完备的用户认证、管理功能，可以很好地支撑宽带网络的计费、安全、运营和管理要求，对宽带IP城域网等电信级网络的运营和管理具有极大的优势。

IEEE802.1x协议对认证方式和认证体系结构上进行了优化，解决了传统PPPOE和WEB/PORTAL认证方式带来的问题，更加适合在宽带以太网中的使用。

IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。

IEEE802系列LAN标准是目前居于主导地位的局域网络标准，传统的IEEE802协议定义的局域网不提供接入认证，只要用户能接入局域网控制设备，如传统的LanSwitch，用户就可以访问局域网中的设备或资源，这是一个安全隐患。

对于移动办公，驻地网运营等应用，设备提供者希望能对用户的接入进行控制和配置，此外还存在计费的需求。

IEEE802.1x是一种基于端口的网络接入控制技术，在 LAN 设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是 LanSwitch设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问 LAN 内的资源；如果不能通过认证，则无法访问LAN 内的资源，相当于物理上断开连接。

下面首先让我们了解一下IEEE802.1x端口访问控制协议的体系结构。

1．IEEE802.1x体系介绍虽然IEEE802.1x定义了基于端口的网络接入控制协议，但是需要注意的是该协议仅适用于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个 End Station，这是基于物理端口的； IEEE 802.11定义的无线 LAN 接入方式是基于逻辑端口的。

802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

实验所需要的用到设备：认证设备：cisco 3550 交换机一台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：172.16.0.103，认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握 cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。

802.1x典型配置举例关键词：802.1x，AAA摘?要：本文主要介绍以太网交换机的802.1x功能在具体组网中的应用配置，对所涉及到的802.1x客户端、交换机、AAA服务器等角色，分别给出了详细的配置步骤。

缩略语：AAA（Authentication，AuthorizationandAccounting，认证、授权和计费）第1章?802.1x功能介绍✍?说明：本章中的802.1x功能适用于H3CS3600、H3CS5600、H3CS3100、H3CS5100、H3CS3100-52P、E352&E328、E126和E152这一系列以太网交换机。

1.1?802.1x简介IEEE802协议定义的局域网不提供接入认证，一般来说，只要用户接入局域网就可以访问网络上的设备或资源。

但是对于如电信接入、写字楼、局域网以及移动办公等应用场合，网络管理者希望能对用户设备的接入进行控制和配置，为此产生了基于端口或用户的网络接入控制需求。

802.1x协议是一种基于端口的网络接入控制（PortBasedNetworkAccessControl）协议。

802.1x作为一种基于端口的用户访问控制机制，由于其低成本、良好的业务连续性和扩充性以及较高的安全性和灵活性，受到了设备制造商、各大网络运营商和最终用户的广泛支持和肯定。

1.2?产品特性支持情况1.2.1?全局配置✍?????????????开启全局的802.1x特性✍?????????????设置时间参数✍?????????????设置认证请求帧的最大可重复发送次数✍?????????????打开静默定时器功能✍?????????????打开设备重启用户再认证功能1.2.2?端口视图下的配置✍?????????????开启端口dot1x✍?????????????配置GuestVLAN功能✍?????????????配置端口允许的最大用户数✍?????????????端口接入控制方式(基于端口或基于MAC)✍?????????????端口接入控制模式（强制授权、非强制授权、自动）✍?????????????客户端版本检测✍?????????????代理检测1.2.3?注意事项✍?????????????只有全局开启dot1x特性后，dot1x的配置才会生效。

1 功能需求及组网说明『配置环境参数』1. 交换机vlan10包含端口E0/1—E0/10接口地址10。

10。

1。

1/242. 交换机vlan20包含端口E0/11—E0/20接口地址10。

10。

2.1/243。

交换机vlan100包含端口G1/1接口地址192。

168.0。

1/244. RADIUS server地址为192。

168.0.100/245。

本例中交换机为三层交换机『组网需求』1。

PC1和PC2能够通过交换机本地认证上网2. PC1和PC2能够通过RADIUS认证上网2 数据配置步骤『802。

1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证,如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码,就返回认证成功消息,此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1. 创建（进入)vlan10［SwitchA]vlan 102. 将E0/1—E0/10加入到vlan10［SwitchA—vlan10］port Ethernet 0/1 to Ethernet 0/103. 创建（进入)vlan10的虚接口[SwitchA]interface Vlan-interface 104。

给vlan10的虚接口配置IP地址［SwitchA-Vlan-interface10]ip address 10。

10。

1.1 255。

255。

255。

05。

创建(进入)vlan20[SwitchA—vlan10]vlan 206. 将E0/11—E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207. 创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208. 给vlan20虚接口配置IP地址［SwitchA-Vlan—interface20]ip address 10。

802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
Windows XP
经过以上设置之后，在笔记本的无线网络连接里面会看到一个经过WPA加密的SSID，点击连接时，会出现无法找到证书的错误，这是因为windowsXP的默认设置不符合要求。

打开无线网络连接的属性—》无线网络配置，选择正确的SSID，点击属性
网络验证选择WPA，数据加密TKIP
点击“验证”选项卡，选择EAP类型为“受保护的EAP（PEAP），点击属性
勾掉“验证服务器证书“选项，选择”安全密码（EAP-MSCHAP v2），点击配置
勾掉“自动使用windows登录名和密码”
完成以上配置之后，就可以正常连接到IAS服务器，提示输入用户名密码
如果客户端是域成员，可以通过组策略完成以上客户端的配置。

Windows 7
打开网络连接，选择管理无线网络
删除已有的无线网络
然后添加一个无线网络，安全类型选择WPA2+企业，加密类型AES
点击下一步，然后选择更改连接设置
选择安全，点击高级设置
选择指定身份验证模式，下拉框选中用户身份验证，然后点击确定
去掉每当登录时记住此连接的凭据:做实验时方便
然后点击设置
去掉图中的两个勾，然后点击配置
去掉图中的勾
到此设置完成，可以去连接了，然后就可以输入用户名和密码了。

目录∙H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)∙01-命令行接口命令∙02-登录交换机命令∙03-配置文件管理命令∙04-VLAN命令∙05-配置管理VLAN命令∙06-IP地址-IP性能命令∙07-GVRP命令∙08-端口基本配置命令∙09-端口汇聚命令∙10-端口隔离命令∙11-端口安全命令∙12-MAC地址转发表管理命令∙13-MSTP命令∙14-组播协议命令∙15-802.1x及System-Guard命令∙16-AAA命令∙17-MAC地址认证命令∙18-ARP命令∙19-DHCP命令∙20-ACL命令∙21-QoS命令∙22-镜像命令∙23-Cluster命令∙24-SNMP-RMON命令∙25-NTP命令∙26-SSH命令∙27-文件系统管理命令∙28-FTP-SFTP-TFTP命令∙29-信息中心命令∙30-系统维护与调试命令∙31-VLAN-VPN命令∙32-HWPing命令∙33-IPv6管理命令∙34-LLDP命令∙35-域名解析命令∙36-PKI命令∙37-SSL命令∙38-HTTPS命令∙39-附录、H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)本章节下载(253.62 KB)15-802.1x及System-Guard命令目录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-user1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 HABP配置命令2.1 HABP配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令3.1.1 display system-guard config 3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x [ sessions | statistics ] [ interface interface-list ]【视图】任意视图【参数】sessions：显示802.1x的会话连接信息。

防火墙技术实验报告实验名称：802.1X配置实验内容一、拓扑图：二、实验步骤：1.在SW上配置VLAN8，VLAN10SW(config)#no ip domain loSW(config)#line con 0SW(config-line)#no exec-tSW(config-line)#logging sySW(config-line)#exitSW#vlan databaseSW(vlan)#vlan 8VLAN 8 added:Name: VLAN0008SW#vlan databaseSW(vlan)#vlan 10VLAN 10 added:Name: VLAN0010SW(config)#int f1/4SW(config-if)#switchport mode accessSW(config-if)#switchport access vlan 8SW(config)#int f1/14SW(config-if)#switchport mode accessSW(config-if)#switchport access vlan 10SW(config)#int vlan 1SW(config-if)#ip add 1.1.1.1 255.255.255.0SW(config-if)#no shSW(config-if)#int vlan 8SW(config-if)#ip add 8.8.8.8 255.255.255.0SW(config-if)#no shSW(config-if)#int vlan 10SW(config-if)#ip add 10.10.10.10 255.255.255.0SW(config-if)#no sh2.在SW上配置dhcp地址池和排除地址SW(config)#ip dhcp excluded-address 8.8.8.1 8.8.8.50SW(config)#ip dhcp pool 8SW(dhcp-config)#network 8.8.8.0 /24SW(dhcp-config)#default-router 8.8.8.8SW(dhcp-config)#dns-server 218.85.157.99SW(config)#ip dhcp excluded-address 10.10.10.1 10.10.10.100 SW(config)#ip dhcp pool 10SW(dhcp-config)#network 10.10.10.0 /24SW(dhcp-config)#default-router 10.10.10.10SW(dhcp-config)#dns-server 218.85.157.983.在SW上配置802.1XSW(config)#aaa new-modelSW(config)#username cisco password ciscoSW(config)#radius-server host 192.168.139.3 key ccspSW(config)#aaa authentication dot1x default group radius SW(config)#dot1x system-auth-controlSW(config)#int f1/10SW(config-if)#switchport mode accessSW(config-if)#dot1x port-control autoSW(config)#aaa authorization network default group radius4.在PC1、PC2上配置相关命令PC1：PC1(config)#no ip routingPC1(config)#int f0/0PC1(config-if)#ip add dhcpPC1(config-if)#no shPC2: PC2(config)#no ip routingPC2(config)#int f0/0PC2(config-if)#ip add dhcpPC2(config-if)#no sh三、实验结论：SW#show vlan-switchVLAN Name Status Ports---- -------------------------------- --------- -------------------------------1 default active Fa1/0, Fa1/1, Fa1/4, Fa1/5Fa1/6, Fa1/7, Fa1/8, Fa1/9Fa1/10, Fa1/11, Fa1/12, Fa1/13Fa1/14, Fa1/158 8 active Fa1/4，Fa1/1010 10 active Fa1/14pc1#sh ip int briefInterface IP-Address OK? Method Status Prot ocolFastEthernet0/0 8.8.8.51 YES DHCP up up FastEthernet0/1 unassigned YES unset administratively down down四、实验心得：pc1#ping 218.85.157.98Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 218.85.157.98, timeout is 2 seconds:U.U.USuccess rate is 0 percent (0/5)。

目录1 802.1x配置1.1 802.1x简介1.1.1 802.1x的体系结构1.1.2 802.1x的基本概念1.1.3 EAPOL消息的封装1.1.4 EAP属性的封装1.1.5 802.1x的认证触发方式1.1.6 802.1x的认证过程1.1.7 802.1x的定时器1.1.8 802.1x在设备中的实现1.1.9 和802.1x配合使用的特性1.2 配置802.1x1.2.1 配置准备1.2.2 配置全局802.1x1.2.3 配置端口的802.1x1.3 配置802.1x的Guest VLAN1.3.1 配置准备1.3.2 配置Guest VLAN1.4 802.1x显示和维护1.5 802.1x典型配置举例1.6 Guest VLAN、VLAN下发典型配置举例1 802.1x配置1.1 802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。

后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。

802.1x协议是一种基于端口的网络接入控制协议（port based network access control protocol）。

“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。

连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。

1.1.1 802.1x的体系结构802.1x系统为典型的Client/Server结构，如图1-1所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。

图1-1 802.1x认证系统的体系结构●客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。

客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1x认证。