設備環境：Cisco Catalyst 3550-24-EMI（IOS：12.1(14)EA1 EMI），Cisco Secure ACS v3.1

1、和802.1x相關的交換機主要配置內容：

aaa new-model

aaa authentication dot1x default group radius

aaa authorization network default group radius

!---假如只是做802.1x認證，則aaa authorization network這句可不要，如要做VLAN分配或per-user ACL，則必須做network authorization

dot1x system-auth-control

!---注重在12.1(14)EA1版以后802.1x的配置有了修改，此句enable 802.1x

interface FastEthernet0/1

description To Server_Farm

switchport mode access

dot1x port-control auto

dot1x max-req 3

spanning-tree portfast

!---dot1x port-control auto句在F0/1上enable dot1x，另外注重在F0/1口下我并沒有給它賦VLAN



radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_string

radius-server vsa send authentication

!---radius-server host 1.2.3.4句定義radius server信息，并給出驗證字串

!---因為要配置VLAN分配必須使用IETF所規定的VSA(Vendor-specific attributes）值，radius-server vsa send authentication句答應交換機識別和使用這些VSA值。

配置802.1x動態分配VLAN所用到的VSA值規定如下：

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = 802

[81] Tunnel-PRivate-Group-ID = VLAN name or VLAN ID

2、和802.1x相關的ACS主要配置內容：

這個配置要看圖了，另外附帶說一點，Cisco文檔說ACS 3.0之前是不支持802.1x的。因為802.1x使用radius進行認證，所以在選用認證協議時我選用的是RADIUS(IETF)，而缺省是Cisco的TACACS+。

在Interface Configuration中對RADIUS(IETF)進行配置，在組用戶屬性中選中[64]Tunnel-Type、[65] Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID（見下圖）。

在Group Setup中對RADIUS Vendor-Specific Attributes值進行編輯：勾選[64]Tunnel-Type，將tag 1的值選為VLAN；勾選[65] Tunnel-Medium-Type，將tag 1的值選為802；勾選[81]Tunnel-Private-Group-ID，將tag 1的值設為7，表明為VLAN 。設置完后，Submit+Rest。

3、工作站端的設置：

WINXP本身內置對802.1x的支持，微軟在前不久出了一個補丁可以讓WIN2K也支持802.1x，需要注重的是WIN2K SP4已經內置了對802.1x的支持，SP3以下可使用此補?。?

http://support.microsoft.com/default.aspx?scid=kb;en-us;313664

安裝完此補丁后，802.1x默認是不啟動的，可在服務中手動打開Wireless Configuration服務，打開此服務后，在網卡連接屬性中會多出一欄Authenticatioin，在此欄中勾選Enable network access control using IEEE 802.1x，同時在EAP type中選中md5-Challenge。

4、測試：

在所有設置完成后，可以觀察到802.1x enable的F0/1口上狀態燈顯示為黃燈，而在工作站端過一會后會彈出一個認證窗口，在用戶名/口令處填入ACS中定義好的用戶名/口令，域名處不填，同時觀察WIN2K systray處的連接圖標，上面會有和認證服務器聯系及認證用戶的浮動提示，同時F0/1的狀態燈也會順利變為綠燈。

認證通過后檢驗VLAN值是否已正確分配：先ping VLAN7的網關地址，通；再ping其它VLAN的網關地址，通；最后看可否上Internet，通。

ACS Interface Configuration設置圖例見下圖。

點擊查看大圖