AAA之802.1x認證詳解（一）

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303010Y7Rf.png"></a>

ACS上的配置：System Configuration

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_13173030117Ep7.png"></a>

打開ACS的配置界面，點Network Configuration，在AAA Servers裡點選Add Entry配置AAA伺服器。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303014hgM0.png"></a>

配置AAA報務器 如上圖所示，填寫好AAA伺服器的名字、伺服器的IP位址、密鑰（密鑰一定要為這個值，否則會出錯），其它保持預設，再點選Submit+Apply送出并應用。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303015jZaI.png"></a>

添加AAA客戶 在AAA Clients裡點選Add Entry，進行AAA客戶配置。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303019LAcc.png"></a>

AAA客戶配置 如上圖所示，填寫好客戶名，客戶的IP位址（一般路由器三層交換機為LOOPBACK，二層交換機為網管位址）、密鑰、認證使用RADIUS IETF，送出并應用。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303020yjK5.png"></a>

添加使用者 點user steup進入使用者配置，輸入你要建立的使用者名，點選添加。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303022m4Sa.png"></a>

使用者配置 為使用者配置密碼，其它保持預設，送出。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303027hNZp.png"></a>

進入system configuration －global authentication setup配置

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303028qnPj.png"></a>

在LEAP選項中去掉鈎，鈎選EAP-MD5,送出并重新開機。

其它配置就不說了，要保證連通性，才能部署AAA。

SW3配置如下：

SW3（config）#

aaa new-model //開啟AAA認證

radius-server host 172.16.25.25 key cisco //配置RADIUS伺服器位址和密鑰（與伺服器一緻）

ip radius source-interface vlan 19 //指定以此IP為源發送RADIUS封包，也就是伺服器上的客戶位址

aaa authentication login default group radius local //login登入為AAA認證，認證失敗後啟用本地認證

在使用者PC測試如下：

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_13173030316X3W.png"></a>

認證沒問題！

現在在接口上配置802.1x認證：

SW3：

dot1x system-auth-control //開啟802.1x認證

aaa authentication dot1x default group radius //認證使用radius伺服器的預設組

int f1/3

SW3(config-if)#

dot1x port-control auto //開啟端口認證，認證通過為授權狀态

//dot1x port-control force-authorized //端口始終處于授權狀态（不需認證）

//dot1x port-control force-unauthorized //端口始終于處于非授權狀态（不允許使用者認證，不提供認證服務）

//dot1x host-mode single-host|multi-host //預設為single-host在該接口下，隻有1台主機能通過認證和通路網絡 multi-host在該接口下，隻需1台主機通過認證，所有主機能通路網絡

在啟用802.1x認證後接口會變成down

*Mar 1 00:26:57.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/3, changed state to down

在通過認證後，接口協協為up

*Mar 1 00:29:27.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/3, changed state to up

在接入裝置上啟用dot1x計費：

aaa accounting dot1x default start-stop group radius

<b>注意：</b>802.1x的端口類型分為受控端口和非受控端口。受控端口，有授權狀态下始終處于雙向連通狀态，用于傳遞使用者資料，在非受權狀态下禁止用戶端接收任何封包。非受控端口，始終處于雙向連通狀态，主要用來EAPOL協定幀，保證用戶端始終能夠發出或接收認證封包，也可以傳遞交換機的協定封包。

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303032oVsz.png"></a>

在PC機上認證時，需開啟這兩個服務

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303035zasN.png"></a>

在本地連接配接屬性中選擇身份認證，啟用802.1x認證，驗證方法為MD5-質詢

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303039fBGm.png"></a>

輸入AAA伺服器上存放的使用者名和密碼

<a href="http://tangfangxiao.blog.51cto.com/attachment/201109/29/2116646_1317303044G9dt.png"></a>

現在認證成功，進行測試，能PING通！

<a href="http://down.51cto.com/data/2359001" target="_blank">附件：http://down.51cto.com/data/2359001</a>

本文轉自 tangfangxiao 51CTO部落格，原文連結:http://blog.51cto.com/tangfangxiao/677021