使用802.1x進行自動VLAN配置設定

裝置環境：Cisco Catalyst 3550-24-EMI（IOS：12.1(14)EA1 EMI），Cisco Secure ACS v3.1 1、和802.1x相關的交換機主要配置内容： aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius !---如果隻是做802.1x認證，則aaa authorization network這句可不要，如要做VLAN配置設定或per-user ACL，則必須做network authorization dot1x system-auth-control !---注意在12.1(14)EA1版以後802.1x的配置有了修改，此句enable 802.1x interface FastEthernet0/1 description To Server_Farm switchport mode access dot1x port-control auto dot1x max-req 3 spanning-tree portfast !---dot1x port-control auto句在F0/1上enable dot1x，另外注意在F0/1口下我并沒有給它賦VLAN radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_string radius-server vsa send authentication !---radius-server host 1.2.3.4句定義radius server資訊，并給出驗證字串 !---因為要配置VLAN配置設定必須使用IETF所規定的VSA(Vendor-specific attributes）值，radius-server vsa send authentication句允許交換機識别和使用這些VSA值。 配置802.1x動态配置設定VLAN所用到的VSA值規定如下： [64] Tunnel-Type = VLAN [65] Tunnel-Medium-Type = 802 [81] Tunnel-Private-Group-ID = VLAN name or VLAN ID 2、和802.1x相關的ACS主要配置内容： 這個配置要看圖了，另外附帶說一點，Cisco文檔說ACS 3.0之前是不支援802.1x的。因為802.1x使用radius進行認證，是以在選用認證協定時我選用的是RADIUS(IETF)，而預設是Cisco的TACACS+。 在Interface Configuration中對RADIUS(IETF)進行配置，在組使用者屬性中選中[64]Tunnel-Type、[65] Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID（見下圖）。 在Group Setup中對RADIUS Vendor-Specific Attributes值進行編輯：勾選[64]Tunnel-Type，将tag 1的值選為VLAN；勾選[65] Tunnel-Medium-Type，将tag 1的值選為802；勾選[81]Tunnel-Private-Group-ID，将tag 1的值設為7，表明為VLAN 7（見下圖）。設定完後，Submit+Rest。 3、工作站端的設定： WINXP本身内置對802.1x的支援，微軟在前不久出了一個更新檔可以讓WIN2K也支援802.1x，需要注意的是WIN2K SP4已經内置了對802.1x的支援，SP3以下可使用此更新檔： [url]http://support.microsoft.com/default.aspx?scid=kb;en-us;313664[/url] 安 裝完此更新檔後，802.1x預設是不啟動的，可在服務中手動打開Wireless Configuration服務，打開此服務後，在網卡連接配接屬性中會多出一欄Authenticatioin，在此欄中勾選Enable network access control using IEEE 802.1x，同時在EAP type中選中MD5-Challenge。 4、測試： 在 所有設定完成後，可以觀察到802.1x enable的F0/1口上狀态燈顯示為黃燈，而在工作站端過一會後會彈出一個認證視窗，在使用者名/密碼處填入ACS中定義好的使用者名/密碼，域名處不 填，同時觀察WIN2K systray處的連接配接圖示，上面會有和認證伺服器聯系及認證使用者的浮動提示，同時F0/1的狀态燈也會順利變為綠燈。 認證通過後檢驗VLAN值是否已正确配置設定：先ping VLAN7的網關位址，通；再ping其它VLAN的網關位址，通；最後看可否上Internet，通。 ACS Interface Configuration設定圖例見下圖。

原文位址 [url]http://www.no1edu.net/it/routing/cisco/typical/200512/10903.shtml[/url]