第22章 802.1x配置.doc

第22章 802.1X配置本章主要讲述了迈普系列路由交换机支持的802.1X功能以及详细的配置信息。章节主要内容：l 802.1X介绍l 802.1X配置l 802.1X应用举例l 监控与维护22.1 802.1X介绍22.1.1 802.1X简介802.1X是IEEE在2001年6月提出的宽带接入认证方案，它定义了基于物理端口的网络接入控制协议（Port-Based Network Access Control）。802.1X利用IEEE 802架构局域网的物理访问特性，提供了一套对以点对点方式（point-to-point）连接到局域网端口（Port）上的设备进行认证、授权的方法。802.1X具有如下特点：1. 方案简洁。802.1X 仅仅关注端口的打开与关闭。对于合法用户（根据帐号和密码）接入时该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，是各种认证技术中最简化的实现方案。2. 802.1X所使用的EAP协议只定义了认证消息的通信方式（the means of communication authentication information），而没有定义具体的认证机制（authentication mechanism）。因此可以灵活地选择认证机制，(包括：Smart Card、 Kerberos、 Public Key Encryption、 One Time Password等)。3. IEEE 802.1X协议为二层协议，不需要到达三层。也就是说，客户端系统在认证中，不需IP地址。认证开始时的EAPOL帧使用01-80-c2-00-00-03作为目的MAC地址，使用发送者的MAC地址作为源MAC地址。4. 采用纯以太网技术，通过认证之后的数据包不存在封装与解封装的问题，因而效率高，消除了网络瓶颈。5. 用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。同时，计费方式可以灵活选择，支持根据用户时长的计费方式。6. 802.1X实现了分散的访问控制（由靠近用户并支持802.1X协议的以太网交换机实现）与集中的认证管理（支持RADIUS和TACACS+服务器），因此整个认证结构比较协调。22.1.2 对标准802.1X的扩展迈普系列交换机不仅支持标准802.1X协议还对其进行了扩展和优化以适应各种不同的应用需求。1. 支持在一个端口下接入多个用户。标准802.1X协议是基于端口实现的，即只要该端口下某一个用户认证成功后，其他用户无需认证就可以使用网络资源，但是当该用户下线后，其他用户也会被拒绝使用网络。迈普系列交换机支持基于用户的认证（基于MAC地址），当端口配置为基于用户的认证时，该端口下的每个用户都需要单独认证，只有认证成功的用户才能使用网络资源，某个用户下线后，也只有该用户无法使用网络，并不影响其他已认证用户的网络的使用。2. 支持EAP终结。标准802.1X协议规定客户端和认证服务器之间通过EAP报文进行交互，设备在此交互中充当着“EAP中继”的角色，设备将客户端发送来的EAP数据封装在其他协议中，例如Radius协议，然后发送给认证服务器，同样地，设备也将认证服务器发送过来的EAP数据封装在EAPOL报文中转发给客户端，这种交互方式我们称之为EAP中继。EAP中继要求认证服务器支持EAP协议，否则认证服务器将无法与客户端使用EAP进行交互。考虑到实际应用环境中，部署较早的认证服务器可能并不支持EAP协议，迈普系列交换机对此进行扩展，支持EAP终结方式，客户端的EAP数据不会被直接发送到认证服务器，而是由设备完成与客户端的EAP交互，设备从中提取用户的认证信息然后发送到认证服务器进行认证。22.1.3 Auto Vlan802.1X用户在服务器上通过认证时，服务器会把授权信息传送给设备端。如果服务器上配置了下发VLAN功能，则授权信息中含有授权下发的VLAN信息，设备会将端口加入到下发VLAN 中。我们称这个下发的VLAN为Auto VLAN。（1）如果RADIUS server授权信息中没有下发VLAN信息，那么认证成功之后，端口的VLAN属性保持不变。（2）如果RADIUS server授权信息中含有下发VLAN信息，那么认证成功之后，判断这个下发的Auto VLAN是否存在，如果存在的话，将端口以untag方式加入到这个Auto VLAN，并且端口的缺省VID为Auto VLAN的VID；如果Auto VLAN不存在的话，这个端口的VLAN属性保持不变，认证失败。（3）用户下线之后，端口恢复为“未认证”状态，端口从这个Auto VLAN中删除，端口的缺省VID也恢复为原来配置的VID。授权下发的Auto VLAN并不改变端口的配置，也不影响端口的配置。但是，授权下发的Auto VLAN的优先级高于用户配置的VLAN（即Config VLAN），即通过认证后起作用的VLAN是授权下发的Auto VLAN，用户配置的Config VLAN在用户下线后生效。VLAN下发特性所关联的三个Radius属性为： 64 Tunnel-Type = VLAN 65 Tunnel-Medium-Type = 802 81 Tunnel-Private-Group-ID = VLAN ID& 注：1、auto vlan不能应用到动态vlan上，比如auto vlan所指定的vlan id是由gvrp自动创建的vlan，那802.1x用户将会认证失败。2、为保证各种功能可以正常使用，请为voice vlan、private vlan以及802.1X的auto vlan等分配不同的vlan id。22.1.4 Guest VlanGuest VLAN功能用来允许未认证用户访问某些特定资源。用户认证端口在通过802.1X认证之前属于一个缺省VLAN（即Guest VLAN），用户访问该VLAN内的资源不需要认证，但此时不能够访问其他网络资源；认证成功后，端口离开Guest VLAN，用户可以访问其他的网络资源。用户在Guest VLAN 中可以获取802.1X客户端软件，升级客户端，或执行其他一些应用升级程序（例如防病毒软件、操作系统补丁程序等）。端口上配置Guest Vlan成功后，设备会把该端口加入到Guest VLAN。开启802.1X特性并正确配置Guest VLAN后，该端口将以untagged方式加入到Guest VLAN内。此时Guest VLAN中端口下的用户发起认证，如果认证失败，该端口将会仍然处在Guest VLAN内；如果认证成功，分为以下两种情况：（1）如果认证服务器下发一个VLAN，这时端口离开Guest VLAN，加入下发的VLAN中。用户下线后，端口会回到Guest VLAN 中。（2）如果认证服务器不下发VLAN，这时端口离开Guest VLAN，加入Config VLAN 中。用户下线后，端口加入到Guest VLAN 中。& 注：端口的guest vlan不能应用到动态vlan上，比如guest vlan所指定的vlan id是由gvrp自动创建的vlan，那guest vlan可以配置成功，但不会生效。22.2 802.1X配置本节主要内容：l 802.1X配置命令基本描述l 802.1X启用与关闭l 配置802.1X端口最大用户数l 配置802.1X组播触发l 配置802.1X EAP中继/终结l 配置802.1X Guest Vlanl 配置802.1X端口认证模式l 配置802.1X重认证l 配置802.1X EAPOL报文透传l 配置802.1X定时器参数22.2.1 基本指令描述命令描述配置模式dot1x port-control enable|disable端口启用/关闭802.1Xconfig-port-xxx,config-port-range,config-link-aggregation-xno dot1x port-control enable端口关闭802.1Xconfig-port-xxx,config-port-range,config-link-aggregation-xdot1x eapol-relay enable|disable端口启用/关闭802.1X EAPOL报文透传config-port-xxx,config-port-range,config-link-aggregation-xno dot1x eapol-relay enable端口关闭802.1X EAPOL报文透传config-port-xxx,config-port-range,config-link-aggregation-xdot1x eapol-relay uplink port|link-aggregation配置EAPOL报文透传上联端口config-port-xxx,config-port-range,config-link-aggregation-xno dot1x eapol-relay uplink取消EAPOL透传上联端口config-port-xxx,config-port-range,config-link-aggregation-xdot1x port-control max-user-num 1-4096配置端口最大用户数config-port-xxx,config-port-range,config-link-aggregation-xno dot1x port-control max-user-num取消端口最大用户数config-port-xxx,config-port-range,config-link-aggregation-xdot1x multicast-trigger配置端口组播触发config-port-xxx,config-port-range,config-link-aggregation-xno dot1x multicast-trigger取消端口组播触发config-port-xxx,config-port-range,config-link-aggregation-xdot1x multicast-period 5-3600配置端口组播触发周期config-port-xxx,config-port-range,config-link-aggregation-xno dot1x multicast-period取消端口组播触发周期config-port-xxx,config-port-range,config-link-aggregation-xdot1x eap-relay enable|disable端口启用/关闭EAP中继config-port-xxx,config-port-range,config-link-aggregation-xno dot1x eap-relay enable端口关闭EAP中继config-port-xxx,config-port-range,config-link-aggregation-xdot1x guest-vlan vlanId配置端口guest vlanconfig-port-xxx,config-port-range,config-link-aggregation-xno dot1x guest-vlan取消端口guest vlanconfig-port-xxx,config-port-range,config-link-aggregation-xdot1x default恢复端口dot1x缺省配置config-port-xxx,config-port-range,config-link-aggregation-xdot1x port-method portbased|macbased配置端口认证模式config-port-xxx,config-port-range,config-link-aggregation-xno dot1x port-method 取消端口认证模式config-port-xxx,config-port-range,config-link-aggregation-xdot1x max-authfail 1-10配置端口最大认证失败次数config-port-xxx,config-port-range,config-link-aggregation-xno dot1x max-authfail取消端口最大认证失败次数config-port-xxx,config-port-range,config-link-aggregation-xdot1x reauthentication启用端口重认证config-port-xxx,config-port-range,config-link-aggregation-xno dot1x reauthentication取消端口重认证config-port-xxx,config-port-range,config-link-aggregation-xdot1x timeout re-authperiod 5-3600配置端口重认证定时器参数config-port-xxx,config-port-range,config-link-aggregation-xno dot1x timeout re-authperiod取消端口重认证定时器参数config-port-xxx,config-port-range,config-link-aggregation-xdot1x timeout quiet-period 1-65535配置端口惩罚定时器参数config-port-xxx,config-port-range,config-link-aggregation-xno dot1x timeout quiet-period取消端口惩罚定时器参数config-port-xxx,config-port-range,config-link-aggregation-xdot1x timeout server-timeout 5-3600配置服务器超时定时器参数config-port-xxx,config-port-range,config-link-aggregation-xno dot1x timeout server-timeout取消服务器超时定时器参数config-port-xxx,config-port-range,config-link-aggregation-xdot1x timeout supp-timeout 5-3600配置客户端超时定时器参数config-port-xxx,config-port-range,config-link-aggregation-xno dot1x timeout supp-timeout取消客户端超时定时器参数config-port-xxx,config-port-range,config-link-aggregation-xdot1x timeout offline-detect 5-3600配置MAC认证用户下线检测定时器参数config-port-xxx,config-port-range,config-link-aggregation-xno dot1x timeout offline-detect取消MAC认证用户下线检测定时器参数config-port-xxx,config-port-range,config-link-aggregation-xdot1x mac-authentication enable|disable端口启用/关闭MAC认证功能config-port-xxx,config-port-range,config-link-aggregation-x no dot1x mac-authentication enable端口关闭MAC认证功能config-port-xxx,config-port-range,config-link-aggregation-x dot1x mac-authentication user-name-format fixed account username password password | mac-address with-hyphen | without-hyphen 配置MAC认证用户名格式config-port-xxx,config-port-range,config-link-aggregation-x no dot1x mac-authentication user-name-format 取消MAC认证用户名格式config-port-xxx,config-port-range,config-link-aggregation-x dot1x keepalive enable|disable端口启用/关闭保活报文功能config-port-xxx,config-port-range,config-link-aggregation-xno dot1x keepalive enable端口关闭保活报文功能config-port-xxx,config-port-range,config-link-aggregation-xdot1x keepalive period 5-3600配置保活报文发送周期config-port-xxx,config-port-range,config-link-aggregation-xno dot1x keepalive period取消保活报文发送周期config-port-xxx,config-port-range,config-link-aggregation-xdot1x keepalive retries 1-100配置保活报文重传次数config-port-xxx,config-port-range,config-link-aggregation-xno dot1x keepalive retries取消保活报文重传次数config-port-xxx,config-port-range,config-link-aggregation-xn dot1x port-control该命令在端口启用或者关闭802.1X功能。该命令的no形式也可关闭802.1X功能。dot1x port-control enable|disableno dot1x port-control enable语法描述enable启用802.1Xdisable关闭802.1X【缺省情况】disable& 注：1、 如果端口上启用了MAC认证（dot1x mac-authentication enable）功能，则该功能不能启用。2、 是否支持MAC认证功能视不同的产品型号而定：RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型号不支持。n dot1x port-method该命令配置端口802.1X的认证模式，基于端口认证模式或者基于用户认证模式。该命令的no形式也可将认证模式配置成缺省值。dot1x port-method portbased|macbasedno dot1x port-method 语法描述portbased基于端口的认证模式macbased基于用户的认证模式【缺省情况】macbased& 注：1、 基于端口的认证模式时，端口最大用户数不生效。基于用户的认证模式时，端口最大用户数缺省值为256。2、 是否支持该命令视不同的产品型号而定：RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型号不支持。n dot1x port-control max-user-num该命令设置端口的最大用户数。该命令的no形式设置端口的最大用户数为缺省值。dot1x port-control max-user-num 1-4096no dot1x port-control max-user-num语法描述1-4096最大用户数【缺省情况】256& 注：1、 该命令只在基于用户的认证（macbased）模式下有效，基于端口的认证（portbased）模式下，该配置不生效。2、 是否支持该命令视不同的产品型号而定：RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型号不支持。n dot1x multicast-trigger该命令开启端口组播触发功能，使用相关的no命令关闭端口组播触发功能。dot1x multicast-triggerno dot1x multicast-trigger【缺省情况】关闭n dot1x multicast-period该命令配置端口组播报文的发送周期。该命令的no形式设置组播报文的发送周期为缺省值。dot1x multicast-period 5-3600no dot1x multicast-period语法描述5-3600组播报文发送周期（秒）【缺省情况】15（秒）n dot1x eap-relay该命令配置端口的EAP模式，EAP中继或者EAP终结。该命令的no形式关闭EAP中继。dot1x eap-relay enable|disableno dot1x eap-relay enable语法描述enable启用EAP中继模式disable关闭EAP中继模式（启用EAP终结模式）【缺省情况】disable（EAP终结模式）& 注：使用EAP终结模式时支持PAP认证（仅适合客户端使用迈普802.1X客户端）和CHAP认证。使用EAP中继模式时，具体支持的认证机制取决于802.1X客户端和认证服务器。n dot1x guest-vlan该命令配置端口的guest vlan，相关的no命令取消端口的guest vlan。dot1x guest-vlan vlanIdno dot1x guest-vlan语法描述vlanIdvlan号【缺省情况】无& 注：1、端口的Guest vlan只能应用到ACCESS类型的端口上，且认证模式为portbased模式时才生效，在这种情况下端口配置guest vlan后，端口处于guest vlan中，此时用户无需认证就能且仅能访问该vlan的网路资源，一旦用户认证成功后，端口自动恢复到以前配置的vlan中，如果认证服务器下发了有效的vlan号，则端口自动加入到下发的vlan中，用户下线后，端口又恢复到guest vlan中。2、如果用户将已经配置了guest vlan的端口切换到非ACCESS模式，guest vlan的配置将丢失。3、端口的guest vlan不能应用到动态vlan上，比如guest vlan所指定的vlan id是由gvrp自动创建的vlan，那guest vlan可以配置成功，但不会生效。n dot1x reauthentication该命令启用端口的重认证功能，相关的no命令关闭端口重认证功能。dot1x reauthenticationno dot1x reauthentication【缺省情况】启用重认证n dot1x eapol-relay该命令启用/关闭端口的EAPOL报文透传功能。该命令的no形式也可以关闭EAPOL透传功能。dot1x eapol-relay enable|disableno dot1x eapol-relay enable语法描述enable启用EAPOL报文透传disable关闭EAPOL报文透传【缺省情况】disable& 注：只有当端口未启用802.1X认证（dot1x port-control enable）时，该功能才生效。n dot1x eapol-relay uplink该命令配置EAPOL报文透传时的上联端口，相关的no命令取消上联端口。dot1x eapol-relay uplink port| link-aggregationno dot1x eapol-relay uplink语法描述port非汇聚端口link-aggregation汇聚端口【缺省情况】无& 注：1、只有在端口上的eapol-relay生效的情况下，该上联端口配置才会生效。2、上联端口上不能启用802.1X功能。3、上联端口目前不支持将收到的组播报文转发到其它端口的功能，因此从上联端口进入的组播报文不会触发到其它端口上的802.1X客户端软件，因此在这种应用环境中只能通过客户端软件主动发起认证请求才能开始802.1X认证过程。n dot1x max-authfail该命令配置端口最大认证失败次数，当用户认证失败次数达到上限时，用户必须等待一定的时间之后才能重新开始认证。该命令的no形式设置最大失败次数为缺省值。dot1x max-authfail 1-10no dot1x max-authfail语法描述1-10最大失败次数【缺省情况】1n dot1x timeout re-authperiod该命令配置端口的重认证时间（秒），在端口重认证开启的情况下，每个该时间间隔周期都会执行重认证。该命令的no形式设置重认证时间为缺省值。dot1x timeout re-authperiod 5-3600no dot1x timeout re-authperiod语法描述5-3600重认证时间【缺省情况】600n dot1x timeout quiet-period该命令配置端口的惩罚时间（秒），当用户连续认证失败达到上限时，在惩罚时间内，该用户不能再继续认证。该命令的no形式设置惩罚时间为缺省值。dot1x timeout quiet-period 1-65535no dot1x timeout quiet-period语法描述1-65535惩罚时间【缺省情况】60n dot1x timeout server-timeout该命令配置服务器的超时时间（秒），当设备向服务器发送认证报文后，如果在该时间内还未收到服务器的应答，则认为服务器超时无应答。该命令的no形式设置服务器超时时间为缺省值。dot1x timeout server-timeout 5-3600no dot1x timeout server-timeout语法描述5-3600超时时间【缺省情况】30n dot1x timeout supp-timeout该命令配置客户端的超时时间（秒），当设备向认证客户端发送EAP报文后，如果在该时间内还未收到客户端的应答，则认为客户端超时无应答。该命令的no形式设置客户端超时时间为缺省值。dot1x timeout supp-timeout 5-3600no dot1x timeout supp-timeout语法描述5-3600超时时间【缺省情况】30n dot1x timeout offline-detect该命令配置MAC认证用户下线检查时间（秒），当用户认证通过后设备即以该时间为周期检查用户是否已经下线。该命令的no形式设置检查时间为缺省值。dot1x timeout offline-detect 5-3600no dot1x timeout offline-detect语法描述5-3600下线检查时间【缺省情况】300& 注：1、此处检查用户是否下线是看用户信息是否已被芯片老化掉，检查周期就是offline-detect指定的时间，检查过程中一旦发现用户已被老化掉，则会删除该dot1x用户信息。2、芯片周期性地老化用户，其老化周期可通过配置模式下的“mac-address aging-time seconds”命令来设定，缺省值是300秒，也就是用户连续不发报文的时间大于300秒的话，用户就会被老化掉。3、是否支持该命令视不同的产品型号而定：RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型号不支持。n dot1x default该命令将恢复端口上802.1X的默认配置。dot1x default【缺省情况】无& 注：该命令将关闭端口上的802.1X功能。n dot1x mac-authentication该命令在端口上启用或者关闭MAC认证功能。该命令的no形式也可关闭MAC认证功能。dot1x mac-authentication enable|disableno dot1x mac-authentication enable语法描述enable启用MAC认证disable关闭MAC认证 【缺省情况】disable& 注：1、 如果端口上启用了802.1X功能（dot1x port-control enable），则该功能不能启用。2、 是否支持该命令视不同的产品型号而定：RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型号不支持。n dot1x mac-authentication user-name-format该命令在端口上设置MAC认证功能的认证用户名格式。该命令的no形式也可关闭MAC认证功能。dot1x mac-authentication user-name-format fixed account username password password | mac-address with-hyphen | without-hyphen no dot1x mac-authentication user-name-format语法描述fixed account username password password用户认证时，使用固定的用户名及密码mac-address with-hyphen用户认证时，使用带连字号的MAC地址信息作为用户名（格式：xx-xx-xx-xx-xx-xx）mac-address without-hyphen用户认证时，使用不带连字号的MAC地址信息作为用户名（格式：xxxxxxxxxxxx）【缺省情况】mac-address with-hyphen（带连字号的mac地址信息，格式：xx-xx-xx-xx-xx-xx）。& 注：是否支持该命令视不同的产品型号而定：RM1800-21-AC、RM1800-22-AC、RM1800-23-AC这些型号不支持。n dot1x keepalive该命令在端口上启用或者关闭与客户端的保活功能。该命令的no形式也可关闭保活功能。dot1x keepalive enable|disableno dot1x keepalive enable语法描述enable启用保活功能disable关闭保活功能 【缺省情况】disablen dot1x keepalive period该命令配置保活报文发送周期。该命令的no形式设置保活报文发送周期为缺省值。dot1x keepalive period 5-3600no dot1x keepalive period语法描述5-3600下线检查时间【缺省情况】60n dot1x keepalive retries该命令配置保活报文重传次数。该命令的no形式设置重传次数为缺省值。dot1x keepalive retries 1-100no dot1x keepalive period语法描述1-100重传次数【缺省情况】322.3 802.1X应用实例22.3.1 802.1X客户端认证1、组网需求如下图22-1所示，某用户与设备的端口Port 0/1相连接，设备的管理者希望在端口上对用户的接入进行802.1X认证，以控制其对Internet的访问。要求：1、认证时使用Radius认证方式（设备及服务器的key均设置成maipu）；2、用户未认证通过时可以访问Update Server（Update Server在Vlan 10内）；3、用户认证通过后可以访问Internet（设备连接Internet的端口在Vlan 5内）；4、当用户认证通过后，该端口上的其它用户不需要再认证也可以访问Internet。2、组网图图 22-1 802.1x配置举例& 图解：主机通过802.1X认证接入网络，认证服务器为Radius服务器。客户端主机（Supplicant）接入的端口Port 0/1 在VLAN 1内；认证服务器在VLAN 2内；Update Server是用于客户端软件下载和升级的服务器，在VLAN 10内；交换机连接Internet网络的端口Port 0/2在VLAN 5内。3、配置描述命令描述Router#conf terminal进入配置模式Router(config)#aaa new-model启用AAA模式Router(config)#aaa authentication connection default radius配置AAA为radius认证模式Router(config)#radius-server host 128.255.42.1 key maipu配置radius服务器地址及key值Router(config)#vlan 2创建vlan 2Router(config-vlan2)#exit退出vlan配置模式Router(config)#port 0/3进入端口配置模式Router(config-port-0/3)#port access vlan 2将port 0/3加入到vlan2中Router(config-port-0/3)#exit退出端口配置模式Router(config)#interface vlan 2进入接口配置模式Router(config-if-vlan2)#ip address 128.255.42.10 255.255.255.0配置vlan2接口的地址信息Router(config-if-vlan2)#exit退出接口配置模式Router(config)#vlan 5创建vlan 5Router(config-vlan5)#exit退出vlan配置模式Router(config)#port 0/2进入端口配置模式Router(config-port-0/2)#port access vlan 5将port 0/2加入到vlan5中Router(config-port-0/2)#exit退出端口配置模式Router(config)#vlan 10创建vlan 10Router(config-vlan10)#exit退出vlan配置模式Router(config)#port 0/4进入端口配置模式Router(config-port-0/4)#port access vlan 10将port 0/4加入到vlan10中Router(config-port-0/4)#port 0/1切换到port 0/1的配置模式下Router(config-port-0/1)#dot1x port-control enable启用802.1X认证功能Router(config-port-0/1)#dot1x port-method portbased配置基于端口的接入控制模式Router(config-port-0/1)#dot1x guest-vlan 10配置vlan10为guest vlanRouter(config-port-0/1)#exit退出端口配置Router(config)#图22-2 802.1x配置举例& 图解：认证通过前，Port 0/1被加入Guest VLAN中，此时Supplicant和Update Server都在VLAN10内，Supplicant可以访问Update Server并下载802.1X客户端。图 22-3 802.1x配置举例& 图解：当用户认证成功上线，认证服务器下发VLAN 5。此时Supplicant和Port 0/2 都在VLAN5内，Supplicant可以访问Internet。22.3.2 MAC地址认证一、本地认证实例1、组网需求如下图22-4所示，某用户与设备的端口Port 0/0相连接，设备的管理者希望在端口上对用户的接入进行MAC地址认证，以控制其对Internet的访问。要求：1、设备每隔120秒就对用户是否下线进行检测；2、当用户认证失败后，需要等待5分钟才能对用户进行再次认证；3、认证时使用本地认证方式；4、使用用户的源MAC地址作用户名和密码，MAC地址使用连字符“-”。2、组网图图22-4 本地认证方式3、配置描述命令描述Router#conf terminal进入配置模式Router(config)#user 00-01-7a-11-22-33 password 0 00-01-7a-11-22-33配置本地用户，用户名和密码均为待接入的用户的MAC地址00-01-7a-11-22-33Router(config)#aaa new-model启用AAA模式Router(config)#aaa authentication connection default local配置AAA本地认证模式Router(config)#port 0/0进入端口配置模式Router(config-port-0/0)#dot1x timeout offline-detect 120配置120秒对用户进行下线检测Router(config-port-0/0)#dot1x timeout quiet-period 300配置用户认证失败后的静默时间为5分钟（300秒）Router(config-port-0/0)#dot1x mac-authentication enable启用端口MAC认证功能Router(config-port-0/0)#dot1x mac-authentication user-name-format mac-address with-hyphen配置MAC认证用户名格式为：使用连字符“-”的MAC信息作用户名和密码（此项为缺省配置）Router(config-port-0/0)#exit退出端口配置模式通过show running-config命令可以查看当前的配置信息：Router#show running-config Building Configuration.doneuser 00-01-7a-11-22-33 password 0 00-01-7a-11-22-33aaa new-modelaaa authentication connection default localport 0/0 dot1x timeout offline-detect 120 dot1x timeout quiet-period 300 dot1x mac-authentication enable exit二、RADIUS认证实例1、组网需求如下图22-5所示，某用户与设备的端口Port 0/0相连接，设备的管理者希望在端口上对用户的接入进行MAC地址认证，以控制其对Internet的访问。要求：1、设备每隔120秒就对用户是否下线进行检测；2、当用户认证失败后，需要等待5分钟才能对用户进行再次认证；3、认证时使用Radius认证方式（设备及服务器的key均设置成maipu）；4、认证时采用固定用户名格式，用户名为abcd，密码为1234。2、组网图图22-5 Radius认证方式3、配置描述% 注意：在使用RA