交換機(jī)802.1x配置步驟手冊(cè)全套

交換機(jī)802.1x配置步驟手冊(cè)目錄一．H3C設(shè)備配置模板二．邁普交換機(jī)802.1X模板三．銳捷交換機(jī)802.1X模板四．思科交換機(jī)802.1X配置模板五．華為交換機(jī)802.1X配置模板不同類(lèi)型交換機(jī)配置步驟不同，以下提供交換機(jī)配置步驟，以供參考。一．H3C設(shè)備配置模板（1）CMWV3平臺(tái)（S5600/S3900/S5100EI/S5100SI/S3600EI/S3600SI/S3100-52P/S3100SI/S3100EI/S7500）模板參考如下：dot1x//開(kāi)啟全局802.1Xdot1xauthentication-methodeapdot1xdhcp-launchundodot1xhandshakeenable//關(guān)閉握手功能（握手功能僅支持配合H3C客戶(hù)端，因此需要關(guān)閉）dot1xre-authenticatedot1xtimerreauth-period7200//在全局配置重認(rèn)證，該配置是否生效取決于端口下是否開(kāi)啟重認(rèn)證dot1xquiet-period//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗一定次數(shù)后（max-retry-value設(shè)置），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文dot1xtimerquiet-period10//靜默時(shí)間dot1xretrymax-retry-value4interfaceGx/0/x//端口開(kāi)啟802.1Xdot1xdot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證dot1xre-authenticate//需要在端口下打開(kāi)重認(rèn)證開(kāi)關(guān)，使得全局的重認(rèn)證配置生效dot1xunicast-trigger//啟用單播觸發(fā)更新，該命令S3100SI系列交換機(jī)不支持//AAA認(rèn)證配置radiusschemeacs//配置登錄用RadiusScheme，連接ciscoacsprimaryauthentication

ip_address

1645key

keyprimaryaccounting

ip_address

1646key

key

//如果沒(méi)有計(jì)費(fèi)可以不用配置secondaryauthentication

ip_address

1645key

keysecondaryaccounting

ip_address

1646key

key

//如果沒(méi)有計(jì)費(fèi)可以不用配置user-name-formatwithout-domainnas-ip

source_ip_address

//nas-ip指發(fā)送AAA認(rèn)證的源地址radiusschemeenforcer//配置802.1x認(rèn)證RadiusScheme，連接LANEnforcer服務(wù)器，此處不配置計(jì)費(fèi)primaryauthentication

ip_address

key

keysecondaryauthentication

ip_address

key

keyuser-name-formatwithout-domainnas-ip

source_ip_address

//nas-ip指發(fā)送AAA認(rèn)證的源地址timerresponse-timeout5retry1//根據(jù)timeout*retry計(jì)算公式，當(dāng)5秒連接不到主用LANENFORCER，會(huì)切換到備用LANEnforcer做認(rèn)證domainacs//配置AAA認(rèn)證域authenticationloginradius-schemeacslocalauthorizationloginradius-schemeacslocalauthenticationlan-accessradius-schemeenforcerauthorizationlan-accessradius-schemeenforcerdomaindefaultenableacs//設(shè)置默認(rèn)認(rèn)證域（2）CMWV5平臺(tái)（S5500EI/S7500E/LS-5120-48P-EI-H3/LS-5120-52C-PWR-EI/MSR3011/MSR3011E/MSR3011F/MSR3010/MSR3016/MSR2010/MSR2011）模板參考如下：dot1x//開(kāi)啟全局802.1Xdot1xre-authenticatedot1xtimerreauth-period7200//請(qǐng)根據(jù)要求設(shè)置重認(rèn)證時(shí)長(zhǎng)dot1xauthentication-methodeap//配合賽門(mén)鐵克的認(rèn)證服務(wù)器使用dot1xquiet-period//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗一定次數(shù)后（max-retry-value設(shè)置），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文dot1xtimerquiet-period10//靜默時(shí)間dot1xretrymax-retry-value4interface

Gx/0/x

//端口開(kāi)啟802.1Xdot1xdot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證dot1xre-authenticate//請(qǐng)根據(jù)要求啟用端口上的重認(rèn)證開(kāi)關(guān)undodot1xmulticast-trigger//關(guān)閉組播觸發(fā)dot1xunicast-trigger//開(kāi)啟未知單播觸發(fā)，MSR3011不支持該命令，無(wú)需配置undodot1xhandshakeenable//握手功能僅支持配合H3C客戶(hù)端，因此需要關(guān)閉//AAA認(rèn)證配置radiusschemeacs//配置登錄用RadiusScheme，連接ciscoacsprimaryauthentication

ip_address

1645key

keyprimaryaccounting

ip_address

1646key

key

//如果沒(méi)有計(jì)費(fèi)可以不用配置secondaryauthentication

ip_address

1645key

keysecondaryaccounting

ip_address

1646key

key

//如果沒(méi)有計(jì)費(fèi)可以不用配置user-name-formatwithout-domainnas-ip

source_ip_address

//nas-ip指發(fā)送AAA認(rèn)證的源地址radiusschemeenforcer//配置802.1x認(rèn)證RadiusScheme，連接LANEnforcer服務(wù)器，此處不配置計(jì)費(fèi)primaryauthentication

ip_address

key

keysecondaryauthentication

ip_address

key

keyuser-name-formatwithout-domainnas-ip

source_ip_address

//nas-ip指發(fā)送AAA認(rèn)證的源地址timerresponse-timeout5retry1//根據(jù)timeout*retry計(jì)算公式，當(dāng)5秒連接不到主用LANENFORCER，會(huì)切換到備用LANEnforcer做認(rèn)證domainacs//配置AAA認(rèn)證域authenticationloginradius-schemeacslocalauthorizationloginradius-schemeacslocalauthenticationlan-accessradius-schemeenforcerauthorizationlan-accessradius-schemeenforcerdomaindefaultenableacs//設(shè)置默認(rèn)認(rèn)證域二.邁普交換機(jī)802.1X模板(1)路由交換一體機(jī)MP2824/MP2816/MP2816-24-AC/MP2700配置模板參考dot1xeap-relayenable//全局啟用802.1X中繼dot1xclient-probeenable//全局開(kāi)啟ARP保護(hù)功能，解決網(wǎng)卡不斷彈出已連接的問(wèn)題dot1xtimeoutre-authperiod43200//重認(rèn)證時(shí)間間隔12小時(shí)dot1xmax-authfail4dot1xtimeoutquiet-period5//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗一定次數(shù)后（max-authfail設(shè)置），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文，可根據(jù)實(shí)際情況調(diào)短radius-serverretransmit1radius-servertimeout2//根據(jù)timeout+timeout*retransmit的計(jì)算公式，4s無(wú)法連接到主用LANEnforcer設(shè)備時(shí)會(huì)切換連接備用radius-serverdead-time5//檢測(cè)到主服務(wù)器宕機(jī)后，過(guò)dead-time時(shí)間段去檢測(cè)主服務(wù)器有沒(méi)有上線(xiàn)，單位：分鐘aaanew-model//全局開(kāi)啟AAA認(rèn)證，不能影響原有的login登錄aaaauthenticationlogindefaultlocalnoneaaaauthenticationconnectiondefaultradiusnoneradius-serverhost83.40.66.7auth-port1812acct-port1813priority0keyPassword123radius-serverhost83.40.66.8auth-port1812acct-port1813priority0keyPassword123ipradiussource-interfaceloopback0//配置用于802.1XRadius認(rèn)證的兩臺(tái)主備服務(wù)器，同時(shí)配置發(fā)送AAA認(rèn)證的源地址為設(shè)備管理地址port4/1//在Port4/1端口啟用802.1X認(rèn)證，默認(rèn)為基于Macbased認(rèn)證方式pvid410//端口劃分到某一vlandot1xport-controlenabledot1xport-methodportbased//基于端口的802.1x認(rèn)證//dot1xport-methodmacbased//基于mac的802.1x認(rèn)證（默認(rèn)）exitport4/1-4/20//在Port4/1到Port4/20所有端口下啟用802.1X認(rèn)證pvid410//端口劃分到某一vlandot1xport-controlenabledot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證exitinterfaceswitchethernet0vlan410//必須啟用sw接口并且關(guān)聯(lián)端口劃分的vlan，802.1X才能正常工作；vlan號(hào)為端口的PVID號(hào)最后，請(qǐng)showrun檢查一下全局配置有沒(méi)有dot1xkeepalive或dot1xkeepalivesimple-mode或者在端口底下有沒(méi)有dot1xmulticast-trriger或dot1xmac-authentication。如果有則需要?jiǎng)h除。（2）3000B系列（S3008B/S3016B/S3024B）dot1xeap-relayenable//啟用802.1X中繼dot1xclient-probeenable//Client-probe全局開(kāi)啟ARP保護(hù)功能，解決網(wǎng)卡不斷彈出已連接的問(wèn)題dot1xre-authenticationdot1xtimeoutre-authperiod43200//啟用重認(rèn)證，時(shí)間間隔為12小時(shí)dot1xmax-authfail4dot1xtimeoutquiet-period5//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗一定次數(shù)后（max-authfail設(shè)置），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文，可根據(jù)實(shí)際情況調(diào)短aaanew-model//全局開(kāi)啟AAA認(rèn)證，不能影響原有的login登錄aaaauthenticationlogindefaultlocalnoneexitradius-serverhostip_address1auth-port1812radius-serverhostip_address1keykeyradius-serverhostip_address2auth-port1812radius-serverhostip_address2keykey//配置用于802.1XRadius認(rèn)證的兩臺(tái)服務(wù)器radius-serverretransmit1radius-servertimeout2//根據(jù)timeout+timeout*retransmit的計(jì)算公式4s無(wú)法連接到主用LANENFORCER設(shè)備時(shí)會(huì)切換連接備用radius-serverdead-time5//檢測(cè)到主服務(wù)器宕機(jī)后，過(guò)dead-time時(shí)間段去檢測(cè)主服務(wù)器有沒(méi)有上線(xiàn)，單位：分鐘port0/1//在Port0/1啟用802.1X，基于Portbased方式dot1xport-controlenabledot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證exit最后，請(qǐng)showrun檢查一下全局配置有沒(méi)有dot1xkeepalive或dot1xkeepalivesimple-mode或者在端口底下有沒(méi)有dot1xmulticast-trriger或dot1xmac-authentication。如果有則需要?jiǎng)h除。（3）交換機(jī)

MyPower3100-52TC/3026G/3152配置模板參考dot1xenable//全局啟用802.1Xdot1xmacbasedport-down-flush//全局關(guān)閉基于MAC認(rèn)證時(shí)綁定客戶(hù)端MAC的功能，解決換端口不通的問(wèn)題dot1xre-authenticationdot1xtimeoutre-authperiod43200//啟用重認(rèn)證，時(shí)間間隔12小時(shí)dot1xtimeoutquiet-period5//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗3次后（不可更改），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文，可根據(jù)實(shí)際情況調(diào)短radius-servertimeout2radius-serverretransmit1//根據(jù)timeout+timeout*retransmit的計(jì)算公式4s無(wú)法連接到主用LANENFORCER設(shè)備時(shí)會(huì)切換連接備用radius-serverdead-time5//檢測(cè)到主服務(wù)器宕機(jī)后，過(guò)dead-time時(shí)間段去檢測(cè)主服務(wù)器有沒(méi)有上線(xiàn)，單位：分鐘radius-serverkey0Password123radius-serverauthenticationhost83.40.66.7primaryradius-serverauthenticationhost83.40.66.8//配置用于802.1XRadius認(rèn)證的兩臺(tái)主備服務(wù)器aaaenable//開(kāi)啟AAAInterfaceEthernet0/0/1//在一個(gè)端口下啟用802.1Xdot1xenabledot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證InterfaceEthernet0/0/1-17//在Ethernet0/0/1到Ethernet0/0/17所有端口下啟用802.1X認(rèn)證dot1xenabledot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證（4）交換機(jī)MyPower4152F配置模板參考dot1xenable//全局啟用802.1Xdot1xmacbasedport-down-flush//全局關(guān)閉基于MAC認(rèn)證時(shí)綁定客戶(hù)端MAC的功能，解決換端口不通的問(wèn)題dot1xre-authentication//全局啟用重認(rèn)證dot1xtimeoutre-authperiod43200//重認(rèn)證間隔時(shí)間12小時(shí)dot1xtimeoutquiet-period5//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗3次后（不可更改），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文，可根據(jù)實(shí)際情況調(diào)短radius-servertimeout2radius-serverretransmit1//根據(jù)timeout+timeout*retransmit的計(jì)算公式，4s無(wú)法連接到主用LANEnforcer設(shè)備時(shí)會(huì)切換連接備用radius-serverdead-time5//檢測(cè)到主服務(wù)器宕機(jī)后，過(guò)dead-time時(shí)間段去檢測(cè)主服務(wù)器有沒(méi)有上線(xiàn)，單位：分鐘radius-serverkey0Password123radius-serverauthenticationhost83.40.66.7primaryradius-serverauthenticationhost83.40.66.8//配置用于802.1XRadius認(rèn)證的兩臺(tái)主備服務(wù)器，開(kāi)啟AAA，設(shè)置主服務(wù)器down機(jī)時(shí)的靜默時(shí)間aaaenableInterfaceEthernet1/0/1dot1xenable//在InterfaceEthernet1/0/1啟用802.1Xdot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證InterfaceEthernet1/0/1-17dot1xenable//在InterfaceEthernet0/0/1到InterfaceEthernet0/0/17所有端口下啟用802.1X認(rèn)證dot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證（5）交換機(jī)MyPower3000-8T配置模板參考dot1xenable//全局啟用802.1Xdot1xmacbasedport-down-flush//全局關(guān)閉基于MAC認(rèn)證時(shí)綁定客戶(hù)端MAC的功能，解決換端口不通的問(wèn)題dot1xre-authentication//全局啟用重認(rèn)證dot1xtimeoutre-authperiod43200//重認(rèn)證時(shí)間間隔12小時(shí)dot1xtimeoutquiet-period5//認(rèn)證失敗超過(guò)最大次數(shù)（默認(rèn)3次，不可更改）的靜默時(shí)間，該參數(shù)可以根據(jù)實(shí)際情況調(diào)短radius-servertimeout2radius-serverretransmit1//根據(jù)timeout+timeout*retransmit的計(jì)算公式，4s無(wú)法連接到主用LANEnforcer設(shè)備時(shí)會(huì)切換連接備用radius-serverdead-time5//檢測(cè)到主服務(wù)器宕機(jī)后，過(guò)dead-time時(shí)間段去檢測(cè)主服務(wù)器有沒(méi)有上線(xiàn)，單位：分鐘radius-serverkey0Password123radius-serverauthenticationhost83.40.66.7primaryradius-serverauthenticationhost83.40.66.8//配置用于802.1XRadius認(rèn)證的兩臺(tái)主備服務(wù)器aaaenable//開(kāi)啟AAAInterfaceEthernet1/1dot1xenable//在InterfaceEthernet1/1啟用802.1Xdot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證InterfaceEthernet1/1-17dot1xenable//在InterfaceEthernet1/1到InterfaceEthernet1/17所有端口下啟用802.1X認(rèn)證dot1xport-methodportbased//默認(rèn)是基于mac的認(rèn)證（6）交換機(jī)MP6800A配置模板參考aaanew-model//全局開(kāi)啟AAA認(rèn)證，不能影響原有的login登錄aaaauthenticationlogindefaultlocalnoneaaaauthenticationconnectiondefaultdot1xaaagroupserverradiusdot1x//配置用于802.1XRadius認(rèn)證的兩臺(tái)主備服務(wù)器server-private114.255.225.40auth-port1812acct-port1813priority0keyPassword123server-private114.255.225.41auth-port1812acct-port1813priority10keyPassword123exitradius-serverretransmit1radius-servertimeout2//根據(jù)timeout+timeout*retransmit的計(jì)算公式4s無(wú)法連接到主用LANENFORCER設(shè)備時(shí)會(huì)切換連接備用。radius-serverdead-time5//檢測(cè)到主服務(wù)器宕機(jī)后，過(guò)dead-time時(shí)間段去檢測(cè)主服務(wù)器有沒(méi)有上線(xiàn)，單位：分鐘ipradiussource-interfacexx//設(shè)置發(fā)起認(rèn)證的源地址接口port1/1dot1xport-controlenable//在Port1/1啟用802.1Xdot1xport-methodportbased//配置基于端口的認(rèn)證方式（默認(rèn)為基于Macbased認(rèn)證方式）dot1xmax-authfail4dot1xtimeoutquiet-period5//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗一定次數(shù)后（max-authfail設(shè)置），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文，可根據(jù)實(shí)際情況調(diào)短dot1xtimeoutre-authperiod3600//開(kāi)啟重認(rèn)證（默認(rèn)開(kāi)啟）間隔時(shí)間3600秒（最大3600秒）dot1xeap-relayenableexitport1/1-1/17dot1xport-controlenable//在Port1/1至Port1/17所有端口啟用802.1Xdot1xport-methodportbaseddot1xmax-authfail4dot1xtimeoutquiet-period5dot1xtimeoutre-authperiod3600dot1xeap-relayenable最后，請(qǐng)showrun檢查一下端口配置有沒(méi)有dot1xkeepalive、dot1xmulticast-trriger或dot1xmac-authenticationenable。如果有則需要?jiǎng)h除。三．銳捷交換機(jī)802.1X模板（1）對(duì)于非2126系列的設(shè)備，配置模板參考如下：aaanew-model//打開(kāi)AAA開(kāi)關(guān)aaagroupserverradius1//定義1X準(zhǔn)入服務(wù)器組server

ipaddr1

//主server

ipaddr2

//備aaagroupserverradius2//定義AAA服務(wù)器組server

ipaddr3

//主server

ipaddr4

//備aaaauthorizationexectest2group2//定義AAA授權(quán)方法列表，關(guān)聯(lián)服務(wù)器組2aaaauthenticationlogintestgroup2//定義AAA認(rèn)證方法列表，關(guān)聯(lián)服務(wù)器組2aaaauthenticationdot1xdefaultgroup1//定義準(zhǔn)入認(rèn)證方法列表，關(guān)聯(lián)服務(wù)器組1vlan100//定義用戶(hù)VLANradius-serverhost

ipaddr1

//配置1X準(zhǔn)入主服務(wù)器IPradius-serverhost

ipaddr2

//配置1X準(zhǔn)入備服務(wù)器IPradius-serverhost

ipaddr3

//配置AAA主服務(wù)器IPradius-serverhost

ipaddr4

//配置AAA備服務(wù)器IPradius-serverkey704664a556a5679//配置1X/AAA服務(wù)器keyradius-servertimeout2radius-serverretransmit1//根據(jù)timeout+timeout*retransmit的計(jì)算公式4s無(wú)法連接到主用LANENFORCER設(shè)備時(shí)會(huì)切換連接備用。radius-serverdeadtime5//判定主radiusdown后5分鐘后將主radius的狀態(tài)變?yōu)閍ctive狀態(tài)，交換機(jī)接到的認(rèn)證報(bào)文轉(zhuǎn)發(fā)至主radius，由主radius嘗試完成認(rèn)證。如果5分鐘內(nèi)主還未恢復(fù)，返回到上述4s內(nèi)完成切換。周而復(fù)始直到主恢復(fù)為止。dot1xauthenticationdefaultdot1xre-authenticationdot1xtimeoutre-authperiodseconds43200//重認(rèn)證時(shí)間設(shè)為12小時(shí)dot1xtimeoutquiet-period5//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗1次后（不可更改），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文，可根據(jù)實(shí)際情況調(diào)短interfaceFastEthernet0/11switchportaccessvlan100//配置接口VLANdot1xport-controlauto//啟用macbase802.1x認(rèn)證，默認(rèn)是macbase//dot1xport-controlmodeportbased//啟用portbase802.1x認(rèn)證注：在啟用安全通道配置的時(shí)候，必須先關(guān)閉接口模式下的dot1x配置。正確的配置順序?yàn)椋?、保證接口模式下dot1x配置關(guān)閉；2、啟用安全通道配置；3、再打開(kāi)接口模式下的dot1x配置。銳捷默認(rèn)為基于mac的認(rèn)證，該配置支持接Hub多用戶(hù)認(rèn)證。（2）對(duì)于2126系列的設(shè)備，配置模板參考如下aaaauthenticationdot1x

//打開(kāi)802.1x認(rèn)證功能radius-serverhost

ipaddr1

//設(shè)置主RadiusServerIP地址radius-serverhost

ipaddr2

//設(shè)置備RadiusServerIP地址radius-serverkey24r432r220//設(shè)置RadiusServerkeydot1xre-authentication//打開(kāi)定時(shí)重認(rèn)證功能dot1xtimeoutre-authperiod

43200

//

設(shè)置重認(rèn)證時(shí)間間隔為12小時(shí)dot1xtimeoutserver-timeout

2

//設(shè)置RadiusServer最大響應(yīng)時(shí)間dot1xmax-req

2

//設(shè)置報(bào)文重傳次數(shù)interface

interface-id

//進(jìn)入接口設(shè)置模式指定要配置的Interfacedot1xport-controlauto//設(shè)置該接口為受控接口（打開(kāi)接口認(rèn)證功能），默認(rèn)為mac-based模式，不支持port-based注：該設(shè)備比較舊，很多命令不支持，deadtime和quite-period可不配置四．思科交換機(jī)802.1X配置模板（1）IOS模板參考如下aaanew-modelaaaauthenticationdot1xdefaultgroupradiusaaaauthorizationnetworkdefaultgroupradiusdot1xsystem-auth-controlinterfaceFastEthernetX/XswitchportaccessvlanXXXswitchportmodeaccessdot1xport-controlautodot1xtimeoutquiet-period5//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗一定次數(shù)后（max-req設(shè)置），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文，可根據(jù)實(shí)際情況調(diào)短dot1xmax-req4dot1xtimeoutreauth-period43200//設(shè)置重認(rèn)證時(shí)間為12小時(shí)dot1xreauthenticationspanning-treeportfastradius-serverhostx.x.x.xauth-port1812acct-port1813timeout2retransmit1keyXXXradius-serverhostx.x.x.xauth-port1812acct-port1813timeout2retransmit1keyXXX//設(shè)置主備認(rèn)證服務(wù)器（2）catOS模板參考如下setdot1xsystem-auth-controlenablesetradiusserver80.29.14.35auth-port1812primarysetradiusserver80.29.14.36auth-port1812setradiusdeadtime5setradiusretransmit1setradiustimeout2setradiuskeyicbc4keysetdot1xre-authperiod43200//重認(rèn)證時(shí)間12小時(shí)setdot1xquiet-period5//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗一定次數(shù)后（max-req設(shè)置），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文，可根據(jù)實(shí)際情況調(diào)短setdot1xmax-req4setportdot1xX/Xport-controlauto//啟用某個(gè)端口的802.1x認(rèn)證setportdot1xX/Xre-authenticationenable//在端口下啟動(dòng)重認(rèn)證（3）思科交換機(jī)接HUB目前支持802.1x單端口下多用戶(hù)認(rèn)證的思科交換機(jī)平臺(tái)目前有：122-50版本部分命令有些微變化,配置如下，其他命令無(wú)變化：interfaceFastEthernetX/Xauthenticationhost-modemulti-auth//配置該命令后可以在該端口下接Hub，可對(duì)hub上每一臺(tái)pc進(jìn)行認(rèn)證，僅在該版本有authenticationport-controlauto//設(shè)置port-control模式authenticationperiodic//開(kāi)啟重認(rèn)證authenticationtimerreauthenticate43200//設(shè)置重認(rèn)證時(shí)間dot1xpaeauthenticator//開(kāi)啟dot1x認(rèn)證dot1xtimeoutquiet-period5//該數(shù)值可以根據(jù)實(shí)際情況調(diào)短。dot1xmax-req4五．華為交換機(jī)802.1X配置模板（1）S2700系列路由器配置模板如下：dot1xenable//接口下打開(kāi)dot1x功能dot1xauthentication-methodeap//配置認(rèn)證方式為EAP認(rèn)證，默認(rèn)為CHAP認(rèn)證undodot1xhandshake//去使能握手功能，僅需要在全局下使用dot1xtimerreauthenticate-period7200//在重認(rèn)證功能打開(kāi)的前提下，設(shè)置重認(rèn)證周期dot1xquiet-period//使能靜默定時(shí)器功能，默認(rèn)未使能dot1xtimerquiet-period10//打開(kāi)設(shè)備的靜默定時(shí)器功能。該功能使得認(rèn)證失敗一定次數(shù)后（quiet-times設(shè)置），該端口在靜默時(shí)間內(nèi)不接收802.1x認(rèn)證請(qǐng)求報(bào)文dot1xquiet-times4dot1xdhcp-trigger//使能在接入用戶(hù)運(yùn)行DHCP申請(qǐng)動(dòng)態(tài)IP地址時(shí)就觸發(fā)對(duì)其進(jìn)行認(rèn)證，默認(rèn)未使能dot1xreauthenticate//全局模式下使能重認(rèn)證功能，默認(rèn)未使能radius-servertemplateicbc//配置認(rèn)證服務(wù)器模板為icbcradius-servershared-keysimplePassword123//配置密鑰radius-serverauthentication114.255.225.401812//配置主用radius服務(wù)器地址和端口radius-serverauthentication114.255.225.411812secondary//配