802.1x无感知接入认证

    项目背景：客户是涉密单位，要求任何设备和终端无法私自接入到局域网内，并互相访问，同交换机之间终端也无法访问，且要求用户无感知，因涉及windows、linux、macos等系统。

    操作步骤：

上网行为管理操作步骤：

1、AC【接入管理】-【接入认证】-【802.1x接入认证】在802.1x入网控制开启802.1x认证并设置好对应的端口及秘钥；

2、开启跨三层MAC识别:

【接入管理】-【接入认证】-【联动对接设置】-【跨三层取MAC】新增snmp服务器

3、用户绑定（添加mac白名单）

单用户绑定：在【用户认证与管理】-【用户绑定】-【新建】

多用户绑定：在【用户认证与管理】-【用户绑定】-【下载示例模板】，填写完成后【导入】。

交换机802x配置（统一模式）---本次实验用的华为交换机

step1：创建并配置RADIUS服务器模板“AC”(名称自定义)。

system-view	#进入系统视图
radius-server template AC	#创建radius服务器模板
radius-server authentication 172.16.10.250 1812	#设置radius服务器的认证IP地址和端口号
radius-server accounting 172.16.10.250 1813	#设置radius服务器的计费IP地址和端口号
radius-server shared-key cipher Admin@123!	#设置接入设备与radius认证服务器的共享密钥

step2：创建AAA认证方案“aaa”（自定义）并配置认证方式为RADIUS。

aaa
authentication-scheme aaa	#创建aaa认证方案"aaa"（可自定义）
authentication-mode radius	#配置当前认证方案使用的认证模式
quit
accounting-scheme sangfor_aaa	#创建aaa计费方案"aaa"（可自定义）
accounting-mode radius	#配置当前认证方案使用的认证模式
quit

step3：创建认证域“802X”(自定义)，并在其上绑定AAA认证方案“aaa”与RADIUS服务器模板“AC”。

domain 802X	#创建认证域“802X”
authentication-scheme aaa	#在域下绑定aaa认证方案“aaa”
accounting-scheme aaa	#在域下绑定aaa计费方案“aaa”
radius-server AC	#在认证域下绑定radius服务器模板“AC”
quit
quit

#指定全局默认域, 全局默认域只能配置一个多次配置会被覆盖

domain 802X

#配置全局默认域为“802X”

step4：配置802.1X认证。

dot1x-access-profile name ap	#创建802.1X接入模板“ap”
dot1x authentication-method eap	#配置次啊用EAP认证方式
quit

step5：配置认证模板“apf”，并在其上绑定802.1X接入模板“ap”和MAC接入模板、指定认证模板下用户的强制认证域为“802X”。

authentication-profile name apf	#创建认证模板“apf”
dot1x-access-profile sangfor_ap	#绑定802.1X接入模板
access-domain sangforAD force	#配置端口802.1x强制使用的认证域，如果不配则使用全局默认域
authentication mode multi-authen	#设置端口接入模式 single-terminal：只允许一个用户上线 multi-authen:允许多个用户认证上线
quit

step6：在接口GE0/0/1上绑定认证模板“apf”，使能802.1X认证。注意接口不含上联接口。

interface gigabitethernet 0/0/1  或 int rang g0/0/1 to g0/0/48	#接口配置，上是单口，下是多口配置 （不含上联口）
authentication-profile sangfor_apf	#绑定认证模板“apf”
quit

#step：配置MAC认证

#配置MAC接入模板，MAC认证用户的用户名和密码默认均为不带分隔符“-”的MAC地址。需要保证RADIUS服务器上配置的MAC用户名和密码格式与接入设备上的保持一致。

mac-access-profile name m1	# 创建mac 认证模板
mac-authen username macaddress format with-hyphen	# 设置用户名为xx-xx-xx-xx-xx-xx 的mac地址形式
quit
dot1x timer mac-bypass-delay 30	# 配置接入设备802.1x无响应多久后做mab认证
authentication-profile name apf	# 进入apr接口配置
mac-access-profile m1	# 绑定mac认证模板
authentication dot1x-mac-bypass	# 启用MAC旁路认证
quit

验证

1、将已绑定mac的终端设备接入交换机（前提可获取地址，有DHCP或者手动绑定IP），再AC查看是否已上线

   测试与同交换机其他终端，上联设备是否可以ping通。（正常是可以的）

2、将未绑定mac的终端设备接入交换机，

   测试与同交换机其他终端，上联设备是否可以ping通。（正常是不可以的）

传统模式，AC操作一致，

display authentication mode  查看当前NAC模式，如果是unified-mode，是统一模式

undo authentication unified-mode  命令切换NAC模式为为传统模式，

注意设备会自动重启，导致业务中断

全局 dot1x en

接口配置

interface GigabitEthernet0/0/25

  port link-type access

  port default vlan 10

  dot1x domain 802x

  dot1x mac-bypass

  dot1x authentication-method eap

  mac-authen domain 802x

一起来学习 一起来学习

一起来学习 一起来学习

牛牛牛，一看就是技术大佬

多谢分享802.1x的相关知识，有助于工作。