Note：先看看AAA，在这里要用到AAA的内容，有时间的时候我整理一下AAA发上来。

　　要使用基于端口的认证，则交换机和用户PC都要支持802.1x标准，使用局域网上的可扩展认证协议（EAPOL），802.1x EAPOL是二层协议，如果交换机端口上配置了802.1x，那么当在端口上检测到设备后，该端口首先处于未认证状态，端口将不转发任何流量（除了CDP，STP和EAPOL），此时客户PC只能使用EAPOL协议与交换机通信，我们需要再客户PC上安装支持802.1x的应用程序（windows支持802.1x），一旦用户通过认证则该端口开始转发数据流。用户注销时交换机端口将返回未认证状态；或者当客户长时间没有数据流量时，会因超时停止认证状态，需要用户重新认证。

　　再交换机上配置802.1x需要用到RADIUS服务器，在这里注意一下，AAA可以用RADIUS和TACACS+实现，但802.1x只支持RADIUS认证。

　　来看一下配置：

　　（config）#aaa new-model                     '启动AAA。

　　（config）#radius-server host 192.168.1.100 key netdigedu          '配置RADIUS服务器地址及密钥。

　　（config）#aaa authentication dot1x default group radius           '配置802.1x默认认证方法为RADIUS。

　　（config）#dot1x system-auth-control         '在交换机上全局启用802.1x认证。

　　（config）#int fa0/24

　　（config-if）#switchport mode access

　　（config-if）#dot1x port-control auto        '设置接口的802.1x状态。

　　这个命令一定要注意；

　　状态有三种：

　　force-authorized：端口始终处于认证状态并转发流量，这个是默认状态。

　　force-unauthorized：端口始终处于未认证状态并不能转发流量。

　　auto：端口通过使用802.1x与客户端交换消息在认证和未认证状态间切换。这个是我们需要的，所以dot1x port-control 命令后一定要用auto。

　　（config-if）#dot1x host-mode multi-host      '交换机端口下连接多台PC时（通过Hub或交换机）需要配置这个命令，默认只支持对一台PC认证。

　　#show dot1x all       '查看802.1x配置。

　　编辑特别推荐:

　　CISCO路由器WAN配置实例