1. AC切换到准入模式,开启802.1x认证;
2. 账号配置:这次测试配置本地用户;
3. 交换机配置802.1x对接AC(这里配置有问题,后面会讲到);
#全局开启dot1x
dot1x authentication-method eap
dot1x retry 5
#配置radius服务器
radius scheme rad
primary authentication 200.200.***.100 #此处配置Radius服务器地址
primary accounting 200.200.***.100
key authentication 123 #配置密匙
key accounting 123
nas-ip 200.200.***.12 #此处配置交换机的ip,勿与PC的ip冲突
#配置域
domain rad.com
authencication lan-access radius-scheme rad
accounting lan-access radius-scheme rad
quit
domain default enable rad.com
#端口上应用802.1x
interface GigabitEthernet 1/0/2
dot1x
dot1x mandatory-domain rad.com #指定域,不指定匹配默认
quit
4. 交换机配置镜像口接到AC而且开启跨三层取MAC(镜像流量是为了识别流量在AC上线用户);
5. Windows终端选择自带的802.1x客户端或者使用准入客户端认证:
遇到问题:自带的802.1x客户端或者使用准入客户端验证测试登录时都失败了
排错:
1.在AC抓包看到与交换机之间的认证交互是正常的。判断问题原因在交换机和客户端之间。
2.在客户端PC抓包分析,看到交换机回了一个成功的包接着马上又一个失败的包。
3.最终排查到是交换机配置错误(实际是提供配置示例文档有误)
配置域的时候漏了一条命令:
#配置域
domain rad.com
authencication lan-access radius-scheme rad
authorization lan-access radius-scheme rad
accounting lan-access radius-scheme rad
这条命令和上面的非常像,唯一区别的单词都非常像,所以容易遗漏或搞错。authencication和authorization
测试结果
解决这个问题之后,最终测试802.1X登录正常,访问网站触发流量,成功在AC上线。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
