AAA之802.1x认证详解（一）

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303010Y7Rf.png"></a>

ACS上的配置：System Configuration

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_13173030117Ep7.png"></a>

打开ACS的配置界面，点Network Configuration，在AAA Servers里点击Add Entry配置AAA服务器。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303014hgM0.png"></a>

配置AAA报务器 如上图所示，填写好AAA服务器的名字、服务器的IP地址、密钥（密钥一定要为这个值，否则会出错），其它保持默认，再点击Submit+Apply提交并应用。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303015jZaI.png"></a>

添加AAA客户 在AAA Clients里点击Add Entry，进行AAA客户配置。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303019LAcc.png"></a>

AAA客户配置 如上图所示，填写好客户名，客户的IP地址（一般路由器三层交换机为LOOPBACK，二层交换机为网管地址）、密钥、认证使用RADIUS IETF，提交并应用。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303020yjK5.png"></a>

添加用户 点user steup进入用户配置，输入你要建立的用户名，点击添加。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303022m4Sa.png"></a>

用户配置 为用户配置密码，其它保持默认，提交。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303027hNZp.png"></a>

进入system configuration －global authentication setup配置

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303028qnPj.png"></a>

在LEAP选项中去掉钩，钩选EAP-MD5,提交并重启。

其它配置就不说了，要保证连通性，才能部署AAA。

SW3配置如下：

SW3（config）#

aaa new-model //开启AAA认证

radius-server host 172.16.25.25 key cisco //配置RADIUS服务器地址和密钥（与服务器一致）

ip radius source-interface vlan 19 //指定以此IP为源发送RADIUS报文，也就是服务器上的客户地址

aaa authentication login default group radius local //login登录为AAA认证，认证失败后启用本地认证

在用户PC测试如下：

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_13173030316X3W.png"></a>

认证没问题！

现在在接口上配置802.1x认证：

SW3：

dot1x system-auth-control //开启802.1x认证

aaa authentication dot1x default group radius //认证使用radius服务器的默认组

int f1/3

SW3(config-if)#

dot1x port-control auto //开启端口认证，认证通过为授权状态

//dot1x port-control force-authorized //端口始终处于授权状态（不需认证）

//dot1x port-control force-unauthorized //端口始终于处于非授权状态（不允许用户认证，不提供认证服务）

//dot1x host-mode single-host|multi-host //默认为single-host在该接口下，只有1台主机能通过认证和访问网络 multi-host在该接口下，只需1台主机通过认证，所有主机能访问网络

在启用802.1x认证后接口会变成down

*Mar 1 00:26:57.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/3, changed state to down

在通过认证后，接口协协为up

*Mar 1 00:29:27.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/3, changed state to up

在接入设备上启用dot1x计费：

aaa accounting dot1x default start-stop group radius

<b>注意：</b>802.1x的端口类型分为受控端口和非受控端口。受控端口，有授权状态下始终处于双向连通状态，用于传递用户数据，在非受权状态下禁止客户端接收任何报文。非受控端口，始终处于双向连通状态，主要用来EAPOL协议帧，保证客户端始终能够发出或接收认证报文，也可以传递交换机的协议报文。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303032oVsz.png"></a>

在PC机上认证时，需开启这两个服务

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303035zasN.png"></a>

在本地连接属性中选择身份认证，启用802.1x认证，验证方法为MD5-质询

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303039fBGm.png"></a>

输入AAA服务器上存放的用户名和密码

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303044G9dt.png"></a>

现在认证成功，进行测试，能PING通！

<a href="http://down.51cto.com/data/2359001" target="_blank">附件：http://down.51cto.com/data/2359001</a>

本文转自 tangfangxiao 51CTO博客，原文链接:http://blog.51cto.com/tangfangxiao/677021