8021x认证(8021x认证配置)

Cisco交换机配置802.1x & mac，验证域账号，动态分配VLAN

#全局配置

8021x认证(8021x认证配置)

switch#config terminal

switch(config)#aaa new-model #启用aaa认证

switch(config)#dot1x system-auth-control #全局启用dot1x认证

#配置radius-server模板

switch(config)#radius server XXX_rd

Switch(config-radius-server)#address ipv4 10.0.24.18 auth-port 2812 acct-port 2813

Switch(config-radius-server)#key wkGKXGbZHjYhYmRzH #指定主Radius服务器地址、通信密钥和端口

Switch(config-radius-server)#exit

#配置 aaa group

switch(config)#aaa group server radius XXX_rg

Switch(config-sg-radius)#server name XXX_rd

Switch(config-sg-radius)#exit

#配置aaa认证方案

switch(config)#aaa authentication dot1x default group XXX_rg #配置802.1x认证使用radius服务器数据库

switch(config)#aaa authorization network default group XXX_rg #配置802.1x网络授权使用radius服务器。

switch(config)#aaa accounting update periodic 6 #配置启用计费更新报文发送

#配置启用 radius 计费

switch(config)#aaa accounting dot1x default start-stop group XXX_rg

switch(config)#aaa accounting network default start-stop group XXX_rg

switch(config)#radius-server attribute 8 include-in-access-req #配置交换机携带终端 IP 地址

#配置端口

switch(config)#int g1/0/6 #进入需要开启802.1x认证的端口，如果需要进入多个端口，可以用指令：int range g1/0/1 - 3，表示进入端口1-3

switch(config-if)#switchport mode access #设置端口模式为访问模式

switch(config-if)#authentication port-control auto #部分思科ios没有该命令，用dot1x pae authenticator代替

switch(config-if)#dot1x port-control auto #端口开启dot1x认证

switch(config-if)#authentication host-mode multi-auth #设置端口接入模式为多认证模式，此时允许多个用户分别接入认证

switch(config-if)#exit

#开启MAB认证

switch(config)#int g1/0/6

switch(config-if)#mab #开启MAB认证

switch(config-if)#dot1x timeout tx-period 10 #配置超时进行mab认证的时间 注意:这里如果配置10秒则进行mab认证时间为 10 3

switch(config-if)#dot1x max-reauth-req 2

switch(config-if)#exit

#开启逃生vlan

switch(config)#int g1/0/6

switch(config-if)#authentication event server dead action reinitialize vlan 101

switch(config-if)#exit

#开启 guest-vlan

switch(config)# dot1x guest-vlan supplicant #开启允许 802.1x 客户端进入 guest-vlan

#端口下配置 guest-vlan

switch(config)#int g1/0/6

switch(config-if)#authentication event no-response action authorize vlan 101

switch(config-if)#exit

#开启 coa

switch(config)#aaa server radius dynamic-author

switch(config-locsvr-da-radius)#client 10.0.24.18 server-key wkGKXGbZHjYhYmRzH

switch(config-locsvr-da-radius)#exit

portal认证和802.1x认证有什么区别？应该选择哪种认证方式？

正好把身份证有什么区别，应该选择哪种认证方式，这个的话，应该要根据自己的这个手机来进行选择的论证的。这个我觉得应该是前面的这种应该是比较好的，这种人就方式的话，你都比较简单，作为选择哪种的话，我觉得应该选择前面的。

Win8电脑开启802.1x网络身份认证详细步骤

802.1x身份认证是一种能够有力保障无线网络和有线以太网网络安全的网络认证。不少win8系统用户表示自己想要开通802.1x网络身份却又不知道怎样开通。接下来，小编将向大家详细介绍Win8电脑开启802.1x网络身份认证的作步骤。

作步骤：

1、Metro界面中，单击“桌面”图标。如下图所示：

2、在桌面图标找到“计算机”并点击鼠标右键，在弹出菜单中选择“管理”。如下图所示：

3、在弹出的窗口中点击左侧的“服务”，在右侧找到并分别启动“WiredAutocnfig”和“WLANAutoconfig”即可。如下图所示：

4、关闭计算机管理窗口，在任务栏右侧托盘的网络适配器图标上右键并选择“打开网络共享中心”。如下图所示：

以上就是Win8系统电脑开启802.1x网络身份认证的详细步骤了，有需要的用户可以按照上面一步步进行作认证。

思科ISE对有线接入用户进行802.1X认证

前言

通过上篇文章《思科ISE对有线接入用户进行MAC认证》你应该了解了NAC中的MAC认证方式不需要安装客户端，但是需要在认证服务器上登记MAC地址，管理比较复杂；那么这篇文章给大家介绍的是（NAC）中的另外一种802.1X认证，802.1X认证是网络接入控制方案，是一种基于端口的网络接入控制协议，通过它能够实现保护企业内网的安全性的目的。802.1X认证安全性较高。

802.1X理论介绍

1） 客户端是请求接入局域网的用户终端设备，它由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。

2） 设备端是局域网中控制客户端接入的网络设备，位于客户端和认证服务器之间，为客户端提供接入局域网的端口（物理端口或逻辑端口），并通过与服务器的交互来对所连接的客户端进行认证。

3） 认证服务器用于对客户端进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性，并将验证结果通知给设备端，由设备端决定是否允许客户端接入。在一些规模较小的网络环境中，认证服务器的角色也可以由设备端来代替，即由设备端对客户端进行本地认证、授权和计费。

下图显示了受控端口上不同的授权状态对通过该端口报文的影响。图中对比了两个802.1X认证系统的端口状态。系统1的受控端口处于非授权状态，不允许报文通过；系统2的受控端口处于授权状态，允许报文通过。

3）受控方向

在非授权状态下，受控端口可以处于单向受控或双向受控状态。

802.1X系统使用EAP（Extensible Authentication Protocol，可扩展认证协议）来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架，它可以支持多种认证方法，例如MD5-Challenge、EAP-TLS、PEAP等。在客户端与设备端之间，EAP报文使用EAPOL封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间，EAP报文的交互有以下两种处理机制。

1). EAP中继

设备对收到的EAP报文进行中继，使用EAPOR（EAP over RADIUS）封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。

2). EAP终结

设备对EAP认证过程进行终结，将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中，与服务器之间采用PAP（Password Authentication Protocol，密码验证协议）或CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）方法进行认证。

1）. EAP中继方式

这种方式是IEEE 802.1X标准规定的，将EAP承载在其它高层协议中，如EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说，需要RADIUS服务器支持EAP属性：EAP-Message和Message-Authenticator，分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进行保护。

IEEE 802.1X认证系统的EAP中继方式业务流程

2）. EAP终结方式

这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。下面以CHAP认证方法为例介绍基本业务流程。

IEEE 802.1X认证系统的EAP终结方式业务流程

一.实验拓扑

二.实验需求

三.实验设备及注意事项

四. 思科ISE的配置逻辑

【表1】 思科ISE的配置逻辑

五. 数据规划

【表2】交换机接口和VLAN规划

【表3】网络设备IP地址规划

【表4】交换机业务数据规划

【表5】ISE业务数据规划

六. 实验步骤

Step 1 - 交换机VLAN配置。

Step 2 - Cisco ISE，业务服务器，终端IP地址配置略。

Step 3 - 交换机侧配置。

Step 4 - Cisco ISE 配置

参数说明：

设备名称：Switch

IP地址：192.168.100.254，交换机上该接口必须与ISE互通。

RADIUS密钥：Helperaddress@2019，必须与交换机上配置的RADIUS认证和计费密钥一致

Step 5 - 认证终端安装802.1x服务

Step 5 - 检查配置结果

win10系统提示802.1x认证打开网卡失败怎么办

win10系统的功能非常强大，不过用户在使用过程中偶尔也会遇到一些问题。比如，一位用户反馈自己在win10系统中使用宽带认证客户端时，突然遇到提示“检测网络环境是否需要802.1x认证：802.1x认证打开网卡失败：Microsoft_Wi-Fi_Direct_Virtual_Adaptrerdrclient”，该怎么办呢？其实，该问题是无线网卡不正常所导致的，我们可以按一下方法进行修复。如果是台式机一般未内置无线网卡模块，如果没有的话，需要购买一个无线网卡硬件。

步骤如下：

1、检查下电脑本身能否搜索到其他WiFi，如果搜索不到，就是无线网卡存在问题，一般正常无线网卡的话打开之后会显示周围的无线信息。

2、查看笔记本的硬开关是否开启，无线功能键上一般标识有飞机或电脑信号图标。

注意：较早期的机型，电脑前侧或左右侧有无线网卡物理开关，请在笔记本的侧面寻无线开关是否已开启。

3、部分功能键开关需要您在安装电源管理和无线网卡驱动后，使用Fn+F5组合键调出无线开关设定。

在打开的功能设置界面上，选择将无线网卡状态设置为“启用”后无线网卡就可以正常使用第三方软件开启802.1x认证。点击任务栏右侧的网络图标，在弹出的界面处，可通过点击飞行模式选项，来开启或关闭飞行模式功能，即关闭网络。

方法2:

点击开始-设置，点击网络和internet选项，点击飞行模式，通过点击滑块来设置开启或关闭飞行模式，如图：

备注：

1.“飞行模式”设置为“关”状态，无线网卡及蓝牙等无线设备可正常连接。

2.“飞行模式”设置为“开”状态，无线网卡及蓝牙等无线设备不会同时自动开启。无线网卡是否开启由无线设备“WLAN”控制开关进行控制，若之前无线设备“WLAN”默认设置为“关”，“飞行模式”打开后，无线设备“WLAN”还是“关”状态，需要手动设置到“开”状态，无线网络才能正常使用。若之前无线设备“WLAN”设置为“开”状态，则需要手动设置无线网络即可正常使用。

如果你在windows10系统中也遇到802.1x认证打开网卡失败问题的话，那么不妨按以上方法查看网卡驱动或无线开关是否已正常打开！

怎么开启Win8网络中的802.1x网络认证

【答案】： 1.Metro界面中，单击“桌面”图标。

2.在桌面图标找到“计算机”并点击鼠标右键，在弹出菜单中选择“管理”。

3.在弹出的窗口中点击左侧的“服务”，在右侧找到并分别启动“WiredAutocnfig”和“WLANAutoconfig”即可。

4.关闭计算机管理窗口，在任务栏右侧托盘的网络适配器图标上右键并选择“打开网络共享中心”。

5.在弹出的窗口中，点击左侧的“更改适配器设置”选项。

6.在有线以太网连接图标上右键并在菜单中选择“属性”。

7.身份验证中勾选“启用IEEE802.1x”即可。

IEEE 802.1x是一种（ ）认证协议。

【答案】：C

IEEE802.1X协议实现基于端口(MAC地址(访问控制。认证系统对连接到链路对端请求者进行认证。一般在用户接入设备上实现802.1X认证。在认证通过之前，802.1X只允许EAPoL(基于局域网扩展认证协议(数据通过设备连接交换机端口；认证通过以后，正常数据可以顺利地通过以太网端口。