接入交换机同一端口IP电话不认证,PC进行802.1X认证的配置方法

发布时间:  2015-09-23 浏览次数:  547 下载次数:  4
问题描述
某局点,接入交某局点,接入交换机下先挂IP电话,由IP电话再分出网线给PC,PC需要进行802.1X认证。资料中无该方案实现指导。本案例提供一种配置方案。
解决方案

1、根据IP电话的MAC地址匹配VOIP流量加入语音VLAN

         # voice-vlan mac-address 0007-3b00-0000 mask ffff-ff00-0000

2、全局启用802.1X认证,接口下开启本地MAC认证,并启用mac-bypass 旁路认证,本地配置语音mac地址段。

         # dot1x enable

     dot1x authentication-method eap

     dot1x dhcp-trigger                       

     mac-authen domain aaa mac-address 0001-e300-0000 mask ffff-ff00-0000

         # interface Ethernet 0/0/1

 voice-vlan XXX enable

 dot1x mac-bypass mac-auth-first

    dot1x mac-bypass

3、MAC本地认证使用独立域,域方式为不认证,不计费,可用default域。

         # authentication-scheme bbb

            authentication-mode radius

        # authentication-scheme aaa

            authentication-mode none

        # domain  aaa

            authentication-scheme aaa

            radius-server  aaa_dot1x

       # domain  bbb

          authentication-scheme bbb

          radius-server  aaa_dot1x

END