博达交换机-802.1x配置命令

配置802.1x在交换机的端⼝验证设置配置802.1x在交换机的端⼝验证设置⽬标IEEE 802.1x是实现在客户端和服务器之间的访问控制的标准。

在服务可以为客户端提供由局域⽹或交换机前，客户端连接对交换机端⼝必须由运⾏远程验证拨⼊⽤户服务(RADIUS)的认证服务器验证。

802.1x验证限制从连接的未授权的客户端到LAN通过宣传可访问端⼝。

802.1x验证是客户服务器模型。

在此型号中，⽹络设备有以下特定⾓⾊：客户端或请求⽅—客户端或请求⽅是请求对LAN的访问的⽹络设备。

客户端连接对验证器。

验证器—验证器是提供⽹络服务的⽹络设备，并且到哪些请求⽅端⼝连接。

⽀持以下认证⽅法：基于802.1X —⽀持在所有认证模式。

使⽤RADIUS协议，在基于802.1X的验证，验证器解压缩从802.1x消息或EAP over LAN (EAPOL)数据包的可扩展的认证协议(EAP)消息，并且通过他们到认证服务器。

基于MAC的—⽀持在所有认证模式。

当媒体访问控制(MAC) -根据，验证器代表寻找⽹络访问的客户端执⾏软件的EAP客户机零件。

基于Web的—仅⽀持在多会话模式。

使⽤基于Web的验证，验证器代表寻找⽹络访问的客户端执⾏软件的EAP客户机零件。

认证服务器—认证服务器执⾏客户端的实际验证。

设备的认证服务器是有EAP扩展的⼀个RADIUS验证服务器。

注意：⽹络设备可以是客户端或请求⽅，验证器或者两个每个端⼝。

下⾯的镜像显⽰根据特定⾓⾊配置设备的⽹络。

在本例中，使⽤SG350X交换机。

在配置802.1x的指南：1. 创建虚拟访问⽹络(VLAN)。

使⽤您的对于2. 配置端⼝对在您的交换机的VLAN设置。

使⽤3. 配置在交换机的802.1x属性。

在交换机应该全局启⽤802.1x启⽤802.1x基于端⼝的验证。

如需指导，请点击。

4. (可选)请配置在交换机的时间范围。

要5. 配置802.1x端⼝验证。

此条款提供说明关于怎样配置802.1x端⼝在您的交换机的验证设置。

802.1X 典型配置1. 组网需求要求在端口Ethernet1/1 上对接入用户进行认证，以控制其访问Internet；接入控制方式要求是基于MAC 地址的接入控制。

所有接入用户都属于一个缺省的域：，该域最多可容纳30 个用户；认证时，先进行RADIUS 认证，如果RADIUS 服务器没有响应再转而进行本地认证；计费时，如果RADIUS计费失败则切断用户连接使其下线。

由两台RADIUS 服务器组成的服务器组与Device 相连，其IP 地址分别为10.1.1.1 和10.1.1.2，使用前者作为主认证/备份计费服务器，使用后者作为备份认证/主计费服务器。

设置系统与认证RADIUS 服务器交互报文时的共享密钥为name、与计费RADIUS 服务器交互报文时的共享密钥为money。

设置系统在向RADIUS 服务器发送报文后5 秒种内如果没有得到响应就向其重新发送报文，发送报文的次数总共为5 次，设置系统每15 分钟就向RADIUS 服务器发送一次实时计费报文。

设置系统从用户名中去除用户域名后再将之传给RADIUS 服务器。

本地802.1X 接入用户的用户名为localuser，密码为localpass，使用明文输入；闲置切断功能处于打开状态，正常连接时用户空闲时间超过20 分钟，则切断其连接。

2. 组网图3. 配置步骤# 配置各接口的IP 地址（略）。

# 添加本地接入用户，启动闲置切断功能并设置相关参数。

<Device> system-view[Device] local-user localuser[Device-luser-localuser] service-type lan-access[Device-luser-localuser] password simple localpass[Device-luser-localuser] authorization-attribute idle-cut 20 [Device-luser-localuser] quit# 创建RADIUS 方案radius1 并进入其视图。

目录1 802.1X ··············································································································································· 1-11.1 802.1X配置命令 ································································································································ 1-11.1.1 display dot1x ··························································································································· 1-11.1.2 display dot1x connection ········································································································ 1-51.1.3 dot1x authentication-method ·································································································· 1-81.1.4 dot1x domain-delimiter ··········································································································· 1-91.1.5 dot1x ead-assistant enable ·································································································· 1-101.1.6 dot1x ead-assistant free-ip ··································································································· 1-101.1.7 dot1x ead-assistant url ········································································································· 1-111.1.8 dot1x retry ····························································································································· 1-121.1.9 dot1x timer ···························································································································· 1-131.1.10 reset dot1x statistics ··········································································································· 1-141 802.1XWX2500H系列和WX3000H系列不支持slot参数。

交换机802.1x配置1、802.1X，端口认证，dot1x，也称为IBNS(注：IBNS包括port-security)：基于身份的网络安全；当流量来到某个端口，需要和ACS交互，认证之后得到授权，才可以访问网络，前提是CLIENT必须支持802.1X 方式，如安装某个软件Extensible Authentication Protocol OverLan(EAPOL) 使用这个协议来传递认证授权信息示例配置：Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusSwitch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式，正常的通过认证和授权过程强制授权方式：不通过认证，总是可用状态强制不授权方式：实质上类似关闭了该接口，总是不可用可选配置：Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200 //2小时后重新认证Switch#dot1x re-authenticate interface fa0/3 //现在重新认证，注意：如果会话已经建立，此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证，此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 默认是30SSwitch(config-if)#dot1x max-req count 4 //客户端需要输入认证信息，通过该端口应答AAA服务器，如果交换机没有收到用户的这个信息，交换机发给客户端的重传信息，30S发一次，共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host //默认是一个主机，当使用多个主机模式，必须使用AUTO方式授权，当一个主机成功授权，其他主机都可以访问网络；当授权失败，例如重认证失败或LOG OFF，所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2，提供了灵活性注意：1、VLAN2必须是在本交换机激活的，计划分配给游客使用；2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression] Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}。

博达交换机测试补充配置说明上海博达数据通信有限公司2004年3月24日目录1、基本配置41.1Console口本地配置41.2基本配置命令41.3Console配置口密码设置51.4enable密码设置51.5Telnet用户&密码配置51.6限制Telnet到交换机上来的IP地址61.7Web管理61.8SNMP网管软件管理81.9中英文提示91.10TFTP软件升级、Zmodem协议升级91.11Syslog日志功能91.12DHCP Server功能91.13SNTP时间协议101.14Ping & Traceroute工具102、VLAN配置112.1 Cisco PVLAN概念及博达实现112.2华为PVLAN概念及博达实现142.3博达SuperVLAN配置162.4 Protected Port保护端口172.5 GVRP配置172.6生成树协议182.7安全端口183、路由协议183.1 RIP183.2 OSPF193.3 EIGRP193.4 BGP20四、网络安全204.1端口镜像204.2 802.1X认证214.3 ACL访问控制234.4 IP地址、MAC地址与端口的绑定244.5端口限定MAC地址数254.6 AAA & Radius、Tacacs+认证254.7 NAT功能25五、QoS265.1 CoS & 802.1P265.2 基于策略的QoS275.3拥塞控制275.4广播风暴抑制285.5带宽控制& 端口限速& 基于策略的限速28六、网络管理306.1 CLI命令行306.2 Telnet远程登录306.3 TFTP远程配置上传下载306.4 Web管理306.5 SNMP网络管理306.6集群管理30七、组播317.1 IGMP Snooping317.2组播路由协议31八、可靠性31端口汇聚功能311、基本配置1.1 Console口本地配置PC串口速率9600，数据位8，奇偶校验无，停止位1，数据流控无。

交换机802.1X配置1功能需求及组网说明802.1X配置『配置环境参数』1.交换机vlan10包含端口E0/1-E0/10接口地址10.10.1.1/242.交换机vlan20包含端口E0/11-E0/20接口地址10.10.2.1/243.交换机vlan100包含端口G1/1接口地址192.168.0.1/244.RADIUS server地址为192.168.0.100/245.本例中交换机为三层交换机『组网需求』1.PC1和PC2能够通过交换机本地认证上网2.PC1和PC2能够通过RADIUS认证上网2数据配置步骤『802.1X本地认证流程』用户输入用户名和密码，报文送达交换机端口，此时交换机相应端口对于此用户来说是非授权状态，报文打上相应端口的PVID，然后根据用户名所带域名送到相应域中进行认证，如果没有带域名就送到缺省域中进行认证，如果存在相应的用户名和密码，就返回认证成功消息，此时端口对此用户变为授权状态，如果用户名不存在或者密码错误等，就返回认证不成功消息，端口仍然为非授权状态。

【SwitchA相关配置】1.创建（进入）vlan10[SwitchA]vlan 102.将E0/1-E0/10加入到vlan10[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/103.创建（进入）vlan10的虚接口[SwitchA]interface Vlan-interface 104.给vlan10的虚接口配置IP地址[SwitchA-Vlan-interface10]ip address 10.10.1.1255.255.255.05.创建（进入）vlan20[SwitchA-vlan10]vlan 206.将E0/11-E0/20加入到vlan20[SwitchA-vlan20]port Ethernet 0/11 to Ethernet 0/207.创建（进入）vlan20虚接口[SwitchA]interface Vlan-interface 208.给vlan20虚接口配置IP地址[SwitchA-Vlan-interface20]ip address 10.10.2.1255.255.255.09.创建（进入）vlan100[SwitchA]vlan 10010.将G1/1加入到vlan100[SwitchA-vlan100]port GigabitEthernet 1/111.创建进入vlan100虚接口[SwitchA]interface Vlan-interface 10012.给vlan100虚接口配置IP地址[SwitchA-Vlan-interface100]ip address 192.168.0.1255.255.255.0【802.1X本地认证缺省域相关配置】1.在系统视图下开启802.1X功能，默认为基于MAC的认证方式[SwitchA]dot1x2.在E0/1-E0/10端口上开启802.1X功能，如果dot1x interface后面不加具体的端口，就是指所有的端口都开启802.1X[SwitchA]dot1x interface eth 0/1 to eth 0/103.这里采用缺省域system，并且缺省域引用缺省radius方案system。

搭建802.1X接入认证环境配置教程搭建802.1X接入认证环境配置教程目录一、环境介绍 (2)二、Radius服务器安装步骤 (3)2.1、安装前准备 (3)2.2、默认域安全设置 (5)2.3、配置Active Directory 用户和计算机 (6)2.4、设置自动申请证书 (12)2.5、配置Internet验证服务（IAS） (14)2.5.1、配置Radius客户端 (15)2.5.2、配置远程访问记录 (16)2.5.3、配置远程访问策略 (17)2.5.4、配置连接请求策略 (22)2.6、配置Internet信息服务(IIS)管理器 (24)三、测试Radius服务器 (25)3.1、测试 (25)3.2、查看日志 (26)四、配置Radius认证客户端（交换机） (27)五、接入客户端配置 (28)一、环境介绍在真实环境下，802.1x认证的网络拓布结构如下图：为了测试用，搭建Radius服务器测试环境如下图，Radius服务器采用Windows 2003系统，Radius客户端采用思科3550交换机：二、Radius服务器安装步骤2.1、安装前准备1、安装DNS服务（为安装活动目录做准备的，活动目录必须先安装DNS）[步骤]：开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统（DNS）”。

2、配置活动目录[步骤]：（没有特别描述，默认单击“下一步”即可）第一步：开始→运行→输入活动目录安装命令“dcpromo”，进入活动目录安装向导。

第二步：设置新的域名，如本例“”。

第三步：活动目录安装程序会检测系统是否已经安装DNS，若DNS已经安装，请选择第二项“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设置为这台计算机的首选DNS服务器”。

否则，请先安装DNS服务。

第四步：默认单击“下一步”后，系统开始安装并配置活动目录，这段时间比较长，请耐心等待。

802.1x配置命令⽬录H3C S2126-EI以太⽹交换机命令⼿册-Release22XX系列(V1.00)?01-命令⾏接⼝命令02-登录交换机命令03-配置⽂件管理命令04-VLAN命令05-配置管理VLAN命令06-IP地址-IP性能命令07-GVRP命令08-端⼝基本配置命令09-端⼝汇聚命令10-端⼝隔离命令11-端⼝安全命令12-MAC地址转发表管理命令13-MSTP命令14-组播协议命令15-802.1x及System-Guard命令16-AAA命令17-MAC地址认证命令18-ARP命令19-DHCP命令20-ACL命令21-QoS命令22-镜像命令23-Cluster命令24-SNMP-RMON命令25-NTP命令26-SSH命令27-⽂件系统管理命令28-FTP-SFTP-TFTP命令29-信息中⼼命令30-系统维护与调试命令31-VLAN-VPN命令32-HWPing命令33-IPv6管理命令34-LLDP命令35-域名解析命令36-PKI命令37-SSL命令38-HTTPS命令39-附录、H3C S2126-EI以太⽹交换机命令⼿册-Release22XX系列(V1.00)本章节下载(253.62 KB)15-802.1x及System-Guard命令⽬录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-user1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 HABP配置命令2.1 HABP配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令3.1.1 display system-guard config 3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x [ sessions | statistics ] [ interface interface-list ]【视图】任意视图【参数】sessions：显⽰802.1x的会话连接信息。

第1章 802.1X配置1.1 802.1X协议简介1.1.1 802.1X协议简介IEEE 802.1X定义了基于端口的网络接入控制协议，起源于802.11协议－－标准的无线局域网协议。

IEEE 802.1X协议的主要目的是解决无线局域网用户的接入认证问题，但其在IEEE 802 LAN所定义的有线局域网中的应用，为LAN提供了接入认证的手段。

在IEEE 802 LAN所定义的局域网中，只要用户接入局域网控制设备，如LanSwitch，用户就可以访问局域网中的设备或资源。

但是对于如电信接入、写字楼LAN 以及移动办公等应用，设备提供者希望能对用户的接入进行控制，为此产生了基于端口的网络接入控制（Port Based network access control）需求。

基于端口的网络接入控制（Port Based network access control）是在 LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LAN设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。

IEEE 802.1x定义了基于端口的网络接入控制协议，而且仅定义了接入设备与接入端口间点到点的连接方式。

其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个End Station（基于物理端口）；IEEE 802.11定义的无线LAN 接入（基于逻辑端口）等。

Quidway S3526在802.1X的实现中，不仅支持协议所规定的端口接入认证方式，还对其进行了优化，接入控制方式可以基于端口，也可以基于MAC地址，极大地提高了安全性和可管理性。

1.1.2 802.1X体系结构802.1X系统包括三个实体：客户端、认证系统、认证服务器，图1中与之相应的各部分为： Supplicant System（用户接入）；Authenticator System（接入认证）；Authentication Sever System（认证服务器）。

目录∙H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)∙01-命令行接口命令∙02-登录交换机命令∙03-配置文件管理命令∙04-VLAN命令∙05-配置管理VLAN命令∙06-IP地址-IP性能命令∙07-GVRP命令∙08-端口基本配置命令∙09-端口汇聚命令∙10-端口隔离命令∙11-端口安全命令∙12-MAC地址转发表管理命令∙13-MSTP命令∙14-组播协议命令∙15-802.1x及System-Guard命令∙16-AAA命令∙17-MAC地址认证命令∙18-ARP命令∙19-DHCP命令∙20-ACL命令∙21-QoS命令∙22-镜像命令∙23-Cluster命令∙24-SNMP-RMON命令∙25-NTP命令∙26-SSH命令∙27-文件系统管理命令∙28-FTP-SFTP-TFTP命令∙29-信息中心命令∙30-系统维护与调试命令∙31-VLAN-VPN命令∙32-HWPing命令∙33-IPv6管理命令∙34-LLDP命令∙35-域名解析命令∙36-PKI命令∙37-SSL命令∙38-HTTPS命令∙39-附录、H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)本章节下载(253.62 KB)15-802.1x及System-Guard命令目录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-user1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 HABP配置命令2.1 HABP配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令3.1.1 display system-guard config 3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x [ sessions | statistics ] [ interface interface-list ]【视图】任意视图【参数】sessions：显示802.1x的会话连接信息。

目录1 802.1x配置........................................................................................................................................1-11.1 802.1x简介........................................................................................................................................1-11.1.1 802.1x的体系结构...................................................................................................................1-11.1.2 802.1x的基本概念...................................................................................................................1-21.1.3 EAPOL消息的封装..................................................................................................................1-31.1.4 EAP属性的封装......................................................................................................................1-41.1.5 802.1x的认证触发方式...........................................................................................................1-51.1.6 802.1x的认证过程...................................................................................................................1-51.1.7 802.1x的定时器......................................................................................................................1-81.1.8 802.1x在设备中的实现...........................................................................................................1-91.1.9 和802.1x配合使用的特性.......................................................................................................1-91.2 配置802.1x.....................................................................................................................................1-111.2.1 配置准备...............................................................................................................................1-111.2.2 配置全局802.1x...................................................................................................................1-111.2.3 配置端口的802.1x................................................................................................................1-121.3 配置802.1x的Guest VLAN..............................................................................................................1-141.3.1 配置Port-based Guest VLAN................................................................................................1-141.3.2 配置MAC-based Guest VLAN..............................................................................................1-141.4 802.1x显示和维护...........................................................................................................................1-151.5 802.1x典型配置举例（WX系列无线控制产品适用）......................................................................1-151.6 下发ACL典型配置举例（WX系列无线控制产品适用）...................................................................1-18z H3C WX系列无线控制产品包含无线控制器、无线控制业务板和有线无线一体化交换机的无线控制引擎模块，无线控制产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见本模块的命令手册。

802.1x认证的配置一组网需求：1．在交换机上启动802.1x认证，对PC1、PC2进行本地认证上网；2．远程RADIUS服务器开启802.1x认证，对PC1、PC2认证上网。

二组网图：1．进行本地认证2．服务器认证三配置步骤：1作本地认证时交换机相关配置1．创建（进入）VLAN10[H3C]vlan 102．将E1/0/1加入到VLAN10[H3C-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[H3C]vlan 204．将E1/0/2加入到VLAN20[H3C-vlan20]port Ethernet 1/0/25．分别开启E1/0/1、E1/0/2的802.1X认证[H3C]dot1x interface Ethernet 1/0/1 Ethernet 1/0/26．全局使能802.1X认证功能（缺省情况下，802.1X功能处于关闭状态）[H3C]dot1x7．添加本地802.1X用户，用户名为“dot1x”，密码为明文格式的“huawei”[H3C]local-user dot1x[H3C-luser-dot1x]service-type lan-access[H3C-luser-dot1x]password simple huawei8．补充说明端口开启dot1x认证后可以采用基于端口(portbased)或基于MAC地址(macbased)两种接入控制方式，缺省是接入控制方式为macbased。

两种方法的区别是：当采用macbased方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；而采用portbased方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被拒绝使用网络。

例如，修改端口E1/0/1的接入控制方式为portbased方式：[SwitchA]dot1x port-method portbased interface Ethernet 1/0/1或者：[SwitchA]interface Ethernet 1/0/1[SwitchA-Ethernet1/0/1]dot1x port-method portbased2作RADIUS远程服务器认证时交换机相关配置1．创建（进入）VLAN10[SwitchA]vlan 102．将E1/0/1加入到VLAN10[SwitchA-vlan10]port Ethernet 1/0/13．创建（进入）VLAN20[SwitchA]vlan 204．将E1/0/2加入到VLAN20[SwitchA-vlan20]port Ethernet 1/0/25．创建（进入）VLAN100[SwitchA]vlan 1006．将G1/0/1加入到VLAN100[SwitchA-vlan100]port GigabitEthernet 1/0/17．创建（进入）VLAN接口100，并配置IP地址[SwitchA]interface Vlan-interface 100[SwitchA-Vlan-interface100]ip address 100.1.1.2 255.255.255.0 8．创建一个名为“cams”的RADIUS方案，并进入其视图[SwitchA]radius scheme cams9．配置方案“cams”的主认证、计费服务器地址和端口号[SwitchA-radius-cams]primary authentication 100.1.1.1 1812 [SwitchA-radius-cams]primary accounting 100.1.1.1 181310．配置交换机与RADIUS服务器交互报文时的密码[SwitchA-radius-cams]key authentication cams[SwitchA-radius-cams]key accounting cams11．配置交换机将用户名中的用户域名去除掉后送给RADIUS服务器[SwitchA-radius-cams]user-name-format without-domain12．创建用户域“huawei”，并进入其视图[SwitchA]domain huawei13．指定“cams”为该用户域的RADIUS方案[SwitchA-isp-huawei]radius-scheme cams14．指定交换机缺省的用户域为“huawei”[SwitchA]domain default enable huawei15．分别开启E1/0/1、E1/0/2的802.1X认证[SwitchA]dot1x interface Ethernet 1/0/1 Ethernet 1/0/216．全局使能dot1x认证功能（缺省情况下，dot1x功能处于关闭状态）[SwitchA]dot1x17．补充说明如果RADIUS服务器不是与SwitchA直连，那么需要在SwitchA上增加路由的配置，来确保SwitchA与RADIUS服务器之间的认证报文通讯正常。

EOU,802.1x配置范例802.1x 基本配置例1：aaa new-model//启用AAA，使用全局配置命令aaa authentication login default line none//创建缺省的登录认证方法列表，采用line password认证aaa authentication dot1x default group radius//aaa通过802.1x,使用RADIUS认证服务aaa authorization network default group radius//aaa通过radius授权给网络dot1x system-auth-control//全局启用802.1x认证（特权模式下配置）dot1x guest-vlan supplicant//配置允许安装了802.1x客户端的设备切换到guest-vlaninterface FastEthernet0/5 #在当前端口启动802.1xswitchport mode accessdot1x pae authenticatordot1x port-control autodot1x violation-mode protectdot1x timeout tx-period 1dot1x timeout supp-timeout 1spanning-tree portfast或int fa0/5switchport mode accessdot1x port-control auto 设置接口的802.1x状态dot1x guest-vlan 68 #配置端口的guest-vlan，未得到授权的进入VLAN68，radius-server host 192.168.1.222 auth-port 1812 acct-port 1813 key cisco//指定radius服务的IP地址、认证端口和授权端口以及安全字radius-server retry method reorder//如果当前服务器宕机，则标识其优先级最低radius-server retransmit 2//radius服务器重传次数radius-server deadtime 3//3分钟连不上服务器则认为服务器宕机radius-server vsa send authentication//radius发送VSA认证例2：全局：username admin secret password #加帐号enable secret password #加特权密码aaa authentication login default local#启用本地登陆万一radius挂了，也好进行登录交换机操作aaa authentication dot1x default group radiusaaa authorization network default group radiusdot1x system-auth-controldot1x guest-vlan supplicant端口：interface FastEthernet0/8switchport access vlan 99switchport mode accessauthentication event fail action authorize vlan 200#fail-vlan （dot1x max-req 3，客户端验证3次后，如失败加入到fail-vlan）authentication event no-response action authorize vlan 200 #guest-vlan (客户端开启802.1x，加入guest-vlan)authentication event server alive action reinitialize authentication host-mode multi-host#其实这条是鸡肋，在dot1x中是识别端口，hub只是转发流量，其实只是一个端口。