个人整理 绝大多数来源于网络
cisco 现在强调 nac 但是 他的两款产品cam cas 对于一般企业来说应该不想花钱 于是基于802.1x +ACS 就成了热门人选
1:方法一
基于mac 的认证 这种方法最简单 也最麻烦 部署简单维护麻烦
主要过程
cisco 现在强调 nac 但是 他的两款产品cam cas 对于一般企业来说应该不想花钱 于是基于802.1x +ACS 就成了热门人选
1:方法一
基于mac 的认证 这种方法最简单 也最麻烦 部署简单维护麻烦
主要过程
基于
mac
的
802.1x
一.交换机配置
aaa new-model
aaa authentication login noacs line none
aaa authentication dot1x default group radius
!认证
aaa authorization network default group radius
!授权
dot1x system-auth-control
!启用
dot1x
radius-server host 192.168.30.18 auth-port 1645 acct-port 1646 key cisco
!定义
Radius
服务器
radius-server vsa send
!启动分配到不同
vlan
功能
interface FastEthernet0/1
switchport mode access
dot1x mac-auth-bypass eap
!启用
mac
免认证功能,也就是说当接入设备不支持
!
dot1x
时,将通过查找
ACS
是否有设备的
mac
地址去认证。
dot1x port-control auto
dot1x pae authenticator
!启用
dot1x
功能
dot1x timeout tx-period 3
!缩短认证时间
dot1x guest-vlan 2
!认证不成功,被分配到
vlan2
spanning-tree portfast
!缩短端口启用时间
二.
ACS
配置
1.
创建用户
在
ACS
上创建用户:接入设备的
mac
地址作为
username
和
password
,格式为
12
个连续字符
2.
勾选用户属性
在
ACS
的用户配置中打开“
006
”这个属性值
以上属性找不到的请在
ACS
上
Interface configuration
选项勾选
以上属性找不到的请在
ACS
上
Interface configuration
选项勾选
当用户认证成功将被分配到
vlan10
。
三.客户端配置
客户端一定要取消掉
802.1X
身份验证,否则在认证时候就自动跳出需要输入用户名和密码