DOT1X和802.1x认证的区别和联系_802.1x和dot1x的区别

     因为主机接到开启了IEEE802.1x认证的接口后，需要通过认证才能访问网络，要通过认证，只要输入合法的用户名和密码即可。交换机收到用户输入的账户信息后，要判断该账户是否合法，就必须和用户数据库做个较对，如果是数据库中存在的，则认证通过，否则认证失败，最后拒绝该用户访问网络。

     交换机提供给IEEE802.1x认证的数据库可以是交换机本地的，也可以是远程服务器上的，这需要通过AAA来定义，如果AAA指定认证方式为本地用户数据库（Local），则读取本地的账户信息，如果AAA指定的认证方式为远程服务器，则读取远程服务器的账户信息，AAA为IEEE802.1x提供的远程服务器认证只能是RADIUS服务器，该RADIUS服务器只要运行Access Control ServerVersion 3.0（ACS 3.0）或更高版本即可。

当开启IEEE 802.1x后,并且连接的主机支持IEEE802.1x认证时，将得出如下结果：

★如果认证通过，交换机将接口放在配置好的VLAN中，并放行主机的流量。

★如果认证超时，交换机则将接口放入guest vlan。

★如果认证不通过，但是定义了失败VLAN，交换机则将接口放入定义好的失败VLAN中。

★如果服务器无响应，定义放行，则放行。

注：不支持IEEE 802.1x认证的主机，也会被放到guest vlan中。

提示：

当交换机使用IEEE802.1x对主机进行认证时，如果主机通过了认证，交换机还可以根据主机输入的不同账户而将接口划入不同的VLAN，此方式称为IEEE802.1x动态VLAN认证技术，并且需要在RADIUS服务器上做更多的设置。本文档并不对IEEE802.1x动态VLAN认证技术做更多的介绍，如有需要，本文档将补充对IEEE802.1x动态VLAN认证技术的详细介绍与配置说明。

当主机认证失败后，交换机可以让主机多次尝试认证，称为重认证（re-authentication），在交换机上开启re-authentication功能即可，默认是关闭的。并且还可以配置认证时间间隔，默认60秒，默认可以尝试2次重认证。

如果要手工对某接口重认证，在enable模式输入命令dot1xre-authenticate interface

在交换机接口上开启认证后，只要接口从down状态到up状态，就需要再次认证。

dot1x port-control auto接口开认证

对于开启了认证的接口，分为两种状态，unauthorized（未认证的）和authorized（认证过的）。

接口的状态，可以手工强制配置，接口可选的配置状态分以下3种：

force-authorized：就是强制将接口直接变认证后的状态，即authorized状态。

force-unauthorized：就是强制将接口直接变没有认证的状态，即unauthorized状态。

Auto：就是正常认证状态，主机通过认证，则接口在authorized状态，认证失败，则在unauthorized状态。.

注：当交换机接口从up到down，或者主机离开了发送logoff，都将合接口重新变成unauthorized状态。

开启了IEEE 802.1x 认证的接口除了有状态之外，还有主机模式，称为HostMode，分两种模式：single-host和multiple-host。

在single-host模式（默认），表示只有一台主机能连上来。

在multiple-hosts模式，表示可以有多台主机连上来，并且一台主机认证通过后，所有主机都可以访问网络。

当认证超时或主机不支持认证时，接口将被划到guest VLAN，当认证失败时，将被划失败VLAN，也就是受限制的VLAN（restricted VLAN），guestVLAN和restrictedVLAN可以定义为同一个VLAN，并且每接配置的。其实即使划入这个VLAN后，也会告诉客户是认证通过，要不然会得不到DHCP。

注：

★IEEE 802.1x认证只能配置在静态access模式的接口上。

★正常工作在IEEE 802.1x的接口被称为port access entity(PAE) authenticator。

★在认证超时或主机不支持认证时，才会将接口划入guest-vlan，在IOS12.2(25)SE之前，是不会将支持认证但认证失败的接口划入guest-vlan的，如果要开启guest-vlansupplicant功能，要全局配置dot1x guest-vlan supplicant。