拓撲

拓撲可以儲存到本地，然後擴大檢視，這樣才能看的更清楚。（拖動到新視窗開啟即可）

dot1x部署【使用者名稱密碼認證，也可以解決私接無線AP等功能】

說明：如果一個網路需要通過使用者名稱認證才能訪問內網，而認證失敗只能訪問外網與伺服器，可以部署dot1x功能。它能實現的效果是，當內部使用者輸入正常的使用者名稱與密碼後，可以正常訪問內部的網路與外網，沒任何限制，如果不是內部人員登陸電腦，輸入不了正確的使用者名稱密碼，那麼只給於訪問外網，到Guest VLAN。（1）開啟dot1x功能 [boss]dot1x enable

（2）介面開啟dot1x功能【注意關閉MAC-AUREN】

（3）定義認證失敗的VLAN [boss]authentication guest-vlan 40 interface Ethernet 0/0/1 to 0/0/7 說明：當用戶沒用通過後，就劃入到對應的VLAN 40裡面，我們可以對VLAN 40做策略，只允許訪問Internet。

（4）定義本地使用者 [boss]aaa [boss-aaa]local-user test password cipher test [boss-aaa]local-user test service-type 8021x

（5）開啟重新認證功能 [boss]dot1x reauthenticate interface Ethernet 0/0/1 to 0/0/7 [boss]dot1x timer reauthenticate-period 60 ：這裡定義重新認證功能為1分鐘，這裡為了實現實驗效果，平時可以定義的久點。可以解決當用戶失敗後不需要一直處於Guest VLAN中，可以進行重新認證。

（6）客戶開啟dot1x功能【測試】

開啟該功能

特意認證失敗【密碼輸入錯誤】

可以看到獲取到VLAN 40的地址池了。

這裡當一分鐘過後，即可重新認證，輸入正確正好密碼

已經正確獲取到地址了，

訪問內網沒任何問題，外網也是沒問題的。

（7）為什麼可以杜絕接入無線AP或者路由器。 說明：因為對於每個介面都是需要使用者名稱密碼通過的，平時一些杜絕技術，比如埠安全，只能限制一個MAC地址通過，但是現在的路由器什麼的 都可以直接克隆MAC地址的。

另外，路由器預設開啟了NAT，所以從內部所有的流量都轉換到WAN口的，也就是同一個IP地址，固定的MAC地址，所以埠安全 或者其他技術都杜絕不了，當dot1x的功能的話，目前路由器這些還不支援，所以這次可以拒絕。

（8）總結 說明：部署dot1x也是根據需求來決定，如果需要詳細的控制內部使用者訪問，在登陸的時候需要使用者名稱認證，或者其他認證，都可以進行。 [boss]aaa [boss-aaa]local-user test access-limit 1 該功能可以實現，一個帳號只允許一線上。

使用Radius進行認證【外邊資料庫或者是AD】

說明：在有時候，在某些資料庫中有使用者名稱了，比如AD環境，可以利用本身有的使用者資料可以直接呼叫訪問。（1）AD與IAS安裝 說明：這部分就不截圖演示了，具體的可以參考dot1x專案那塊，有詳細的講解【其他案例課程中】

（2）在交換機上面定義Radius伺服器 Radius伺服器定義 [boss]radius-server template dot1x [boss-radius-dot1x]radius-server authentication 192.168.2.253 1812 [boss-radius-dot1x]radius-server shared-key simple test [boss-radius-dot1x]undo radius-server user-name domain-included 說明：定義了一個Radius服務，包括伺服器地址，金鑰，最後一句話可以後續在分析。

（3）定於認證模板 [boss]aaa [boss-aaa]authentication-scheme dot1x [boss-aaa-authen-dot1x]authentication-mode radius local

（4）關聯域

可以看到AD的域是ccieh3c.taobao.com，那麼我們可以定義這樣一個域名。

[boss]aaa [boss-aaa]domain ccieh3c.taobao.com [boss-aaa-domain-ccieh3c.taobao.com]authentication-scheme dot1x [boss-aaa-domain-ccieh3c.taobao.com]radius-server dot1x 說明：定義了一個域，然後關聯了認證策略與Radius伺服器，該功能的意思就是，當匹配該域的時候，就按下面的策略進行認證，交給Radius伺服器。

（5）定義AAA 客戶端與預設策略

該策略用來測試用的，而下面這個用來做MD5認證用的。

（6）測試AAA伺服器是否正常

有錯誤的日誌。

可以看到提示說Windows預設不支援CHAP方式儲存密碼，不可逆的，所以我們必須允許該策略。

在IAS伺服器中重新整理下組策略，也可以重啟下。

可以看到現在已經OK了，但是注意的是可以看到在test的時候我們加了域名，之前定義的Domain，比如 [email protected]。

已經成功了。

undo radius-server user-name domain-included 這句話的意思是，當用戶輸入[email protected]，匹配上Domain，那麼就會用該Domain下的認證策略進行策略，也就是用Radius伺服器上面的。另外在傳送給Radius伺服器的時候，會去掉@後面的ccieh3c.taobao.com，直接傳送test給IAS伺服器，這個功能適合與獨立伺服器，也域的伺服器。

（7）使用者測試

可以看到有對應的使用者名稱資訊了。

（8）定於預設Domain [boss]domain ccieh3c.taobao.com 說明：定義為預設域的作用是，如果使用者直接用test的訪問，那麼這樣的話，就自動呼叫ccieh3c.taobao.com下。

（9）如果是MAC認證呼叫Radius認證。 說明：如果使用MAC地址開始認證的話，則可以定義

注意需要關閉密碼安全性策略功能，否則不能定義使用者名稱與密碼一樣的。另外還需要允許策略

關閉即可。 [boss]mac-authen domain ccieh3c.taobao.com ：這裡還需要定義從該域認證

（10）MAC測試

已經通過了