近来研究CISCO的dot1x在无法认证时候如何提示用户进行802.1x客户端的下载功能。
802.1x在设计的时候可以通过radius下发vlan来实现该功能,但是该功能有一个要求就是必须是DHCP的,这个在国内的环境比较麻烦(有厂家有技术可以实现静态地址下面的vlan切换的引导功能)。
cisco现在在ios里面将以前的mac认证和dot1x认证可以共存了。这样在dot1x认证不通过的时候可以进行mac认证,我们可以利用这个机制来实现静态地址下面的页面转向,这样没有安装客户端的电脑可以进行页面转向然后安装客户端了(当然也可以做更多的其它业务)。
主要的技术细节有
1:要求IOS的版本是12.2(50)之后,目前可以支持3550,2960等以后的型号,2950够呛
2:按照dot1x先进行配置好
3:在接口下面启用mab认证
4:在接口下面配置好缺省的acl
5:启用ip device track功能
6:将aaa authorization network default group 指向到radius服务器
7:radius服务器下发 Cisco-AVPair = "url-redirect=http://192.168.0.1" 和 Cisco-AVPair = "url-redirect-acl=RedirectAcl"属性
可以参考cisco的文档进行设置:
