1功能需求及组网说明
Guest-VLAN配置
『配置环境参数』
1. PC1和PC2都属于VLAN 10,分别连接到SwitchA的端口E0/1和E0/2;Server属于VLAN 100,连接到SwitchA的端口G1/1
2. PC1、PC2和Server的IP地址分别为10.10.1.1/24、10.10.1.2/24和10.10.1.254/24
『组网需求』
1. 在SwitchA上启动DOT1X认证,对PC1、PC2进行认证
2. 在PC1通过认证之前可以访问同网段的Server,PC2通过认证之前无法访问同网段的Server
2数据配置步骤
『交换机802.1X Guest-vlan配置流程』
用户在通过认证之前,PC1所连接的物理端口E0/1的pvid(port vlan ID)不是10,而是在交换机上所配置的guest-vlan 100,因此PC1可以无需通过认证来访问VLAN100内的网络资源;当PC1通过dot1x认证之后,端口E0/1的pvid将自动变回10,PC1可以正常地按照VLAN10的权限来进行访问。
【SwitchA相关配置】
1.
创建(进入)VLAN100
[SwitchA]vlan 100
2.
将G1/1加入到VLAN100
[SwitchA-vlan100]port GigabitEthernet 1/1
3.
创建(进入)VLAN10
[SwitchA]vlan 10
4.
将E0/1、E0/2加入到VLAN10
[SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2
5.
配置端口E0/1的dot1x认证方式为基于端口方式(默认情况下端口的认证方式为基于MAC方式)
[SwitchA-Ethernet0/1]dot1x port-method portbased
6.
全局使能dot1x认证功能(缺省情况下,dot1x功能处于关闭状态)
[SwitchA]dot1x enable
7.
配置vlan100为guest-vlan,并将端口E0/1加入guest-vlan
[SwitchA]dot1x guest-vlan 100 Ethernet 0/1
【补充说明】
当以太网接口启用dot1x认证后,只有将该接口配置为基于端口的认证方法后,才可以使用dot1x guest-vlan的配置。