802.1认证结合锐捷交换机的配置

关于802.1认证的锐捷交换机的配置，适用与网线连接和无线连接的方式。对于无客户端的终端可以添加mac免认证。

全网行为管理配置

跨三层取mac通过snmp方式或通过镜像方式，镜像方式需要旁路部署。

锐捷交换机配置802.1x

#全局模式下

aaa new-model

radius-server host x.x.x.x   配置radius服务器地址

radius-server key  xxxx      配置与radius通信的key

aaa authentication dot1x ruijie group radius none    创建dot1x认证方法认证列表，名字为锐捷，radius后跟none的方式表示当radius多次无响应时采用免认证方案

aaa accounting network ruijie start-stop group radius 创建dot1x记账方式列表，名称为ruijie

aaa accounting update periodic 15  设置记账周期为15分钟

dot1x authentication ruijie      应用认证方法列表

dot1x accounting ruijie            应用记账方法列表

#接口模式下

dot1x port-control auto     接口启用dot1x认证

dot1x port-control-mode mac-based     基于mac地址认证（默认）

dot1x mac-auth-bypass     单mac认证通过后全放通

dot1x mac-auth-bypass multi-user     接口下启用多mab多mac认证

使用安全通道实现认证前用户能访问指定的server资源，并且通过安全通道实现PC2用户的免认证功能

#全局模式下

expert access-list extended ruijie

permit arp any any any any any      放通ARP报文和IP报文，PC才能认证前和网关通信

permit udp any any any any eq bootpc    认证前放通dhcp的udp报文，放通bootpc端口

permit udp any any any any eq bootps    认证前放通dhcp的tcp报文，放通bpptps端口

permit ip  any any host x.x.x.x any             放通允许认证前访问x.x.x.x地址

permit host x.x.x.x host 0000.1111.2222  any any    此主机实现免认证

exit

security  global access-group ruijie

查看认证用户

show dot1x summary

show aaa user all

成果展示

无线接入

添加mac免认证

查看在线用户

网线接入

通过windows网卡自带802.1x认证客户端方式进行认证，事先全网行为管理上创建好账号密码（没有身份认证选项的win+r后services.msc，找到下图中的选项启动，一个是有线网卡，一个是无线网卡）。行为管理在有客户端准入授权的情况下，可以先进行配置下载，在pc上安装后使用准入客户端认证更为方便简单。

查看认证结果

交换机上可以通过show dot1x summary查看认证用户

行为管理查看在线用户