Просмотреть исходный

802.1X (dot1x) — это механизм сетевой аутентификации устройств на портах коммутатора.
Порт не пересылает трафик пока клиент не пройдет проверку через сервер.
Если проверка не пройдена хост помещается в гостевой vlan.

Пример настройки

Включение aaa и указание Radius:

SW1(config)#radius-server authentication host 192.168.1.10 key test12345
SW1(config)#aaa enable

Создание VLAN:

SW1(config)#vlan 10;100

Включение 802.1X глобально и на порту:

SW1(config)#dot1x enable
SW1(config)#interface ethernet 1/0/1
SW1(config-if-ethernet1/0/1)#dot1x enable

Использование port-based метода аутентификации и гостевой VLAN для тех, кто не прошел аутентификацию:

SW1(config-if-ethernet1/0/1)#dot1x port-method portbased
SW1(config-if-ethernet1/0/1)#dot1x guest-vlan 100

Проверка

SW1#show dot1x interface ethernet 1/0/1
802.1X is enabled on port Ethernet1/0/1
Authentication Method:Port based
Configured Access Vlan 1, Guest Vlan 100, Current Vlan 10
Status 			Authorized
Port-control 	Auto
Supplicant 		2c-56-dc-5c-da-ab

VLAN id 20
Authenticator 	State Machine
State 			Authenticated
Backend State Machine 
State 			Idle
Reauthentication State Machine
State 			Stop

Сервер передал атрибут Tunnel-Private-Group-ID = "10" и коммутатор динамически назначил на этому порту vlan 10.