802.1X基本配置

基本的802.1X部署工作包括以下4步：
    1. 为Cisco Catalyst交换机配置802.1X认证方
    2. 为交换机配置访客VLAN或者受限VLAN，并调整802.1X定时器（可选）
    3. 为Cisco ACS配置EAP-FAST，并在本地数据库创建用户账户
    4. 为客户主机配置并部署802.1X请求方
    
一般性部署原则：
    • 在802.1X架构中采用扩展性较强的单点登录（single sign-on），并确保身份凭证的安全性。
    • 进行部署前分析，并采用经过测试的部署计划。参数或者配置不但可能导致大量用户无法访问网络。
    • 在正式部署前进行试验性部署，并根据暴露出来的问题调整相关的配置。
    • 试验性部署应该尽可能覆盖企业网，以最大限度模拟实际的部署状况。

为Cisco Catalyst交换机配置认证方
    1. 配置Radius服务器参数
    2. 配置AAA服务和Radius协议
    3. 全局启用802.1X
    4. 在指定的访问端口启用802.1X
    5. 配置定期重认证（可选）
    6. 调整定时器和阈值（可选）
    7. 调整访客策略与认证失败策略（可选）
    
    
配置示例：
要求：
    • 企业用户配置了请求方软件，访客用户没有配置请求方软件。二者与LAN交换机的访问端口连接。
    • 路由作为认证方，其管理IP为192.168.1.1。
    • VLAN100作为访客VLAN，只提供互联网接入服务。
    • Cisco ACS作为认证服务器（AAA服务器），其IP地址为10.1.1.1，采用Radius协议进行802.1X认证。
    

配置命令：

步骤1：为SW配置Radius参数（这里将UDP1645认证和UDP1646审计改为了UDP1812和UDP1813）

步骤2：配置AAA服务和Radius协议

步骤3：在全局和指定的接口启用802.1X

其他两种认证状态

步骤4：配置定期重认证（可选）
重认证的好处：比如说在分布层交换机对用户执行802.1X认证时，访问层交换机并没有察觉到用户已经中断了与自己的连接，端口依然是处于授权的状态，那么此时就会给攻击者留下可乘之机。启用了重认证后，Radius服务器每个一段时间就会强制对客户进行重认证，所以在一定的程度上消除了安全隐患。
重认证模式是关闭的！

步骤5：调整定时器和阈值（可选）
为了加快请求方和认证方之间的信息交换速度，管理员可以调整EAPOL定时器。

步骤6：配置访客策略和认证失败策略（可选）
用户在一段时间内没有收到交换机发送的EAPOL请求，那么将会被分配到另一个VLAN（访客VLAN）。

配置802.1X认证方时应该遵循的原则：
认证方配置不当将导致请求方无法通过认证并访问网络资源，进行配置时务必谨慎！
原则：
    • 若交换机端口配置了访客策略，在调整端口的EAPOL定时器之前必须进行测试，缩短端口的等待时间虽会加快访客的处理速度，但是也可能导致合法用户被分配给访客VLAN。
    • 在调整认证方定时器的同时，可能也需要调整请求方的定时器。
    • 应该采取多种安全措施以确保攻击者无法通过访客VLAN入侵其他网络资源，必要时，可以考虑将访客用户分配给一个独立的虚拟路由转发实例（VRF instance）。Cisco路由器和SW采用VRF实现流量划分，VRF有助于隔离访客流量和企业流量。

查看802.1X相关信息命令：
查看802.1X配置参数：

认证通过数量：

802.1X协议版本：

排错步骤：
    1. 验证请求方配置，命令dot1x test eapol-capable用于测试用户能否正常响应交换机发送的EAPOL请求，如果可以响应就进入2.
    2. 验证Radius配置，命令test aaa用于测试SW和Cisco ACS之间的Radius通信是否正常，管理员还可以通过Cisco ACS产生的失败认证尝试（Failed Authentication Attempt）报告查看服务器存在的问题，如果交换机和ACS工作正常，进入3.
    3. 通过失败认证尝试报告查看请求方的身份凭证是否存在问题（如密码错误），如果使用Windows Active Directory等外部数据库，请确保外部数据可以正常工作。
    
其他：
日志消息：IOU2#show logging
验证访客VLAN和受限VLAN的分配：IOU2#show interfaces status