基本的802.1X部署工作包括以下4步：
    1. 為Cisco Catalyst交換機配置802.1X認證方
    2. 為交換機配置訪客VLAN或者受限VLAN，並調整802.1X定時器（可選）
    3. 為Cisco ACS配置EAP-FAST，並在本地資料庫建立使用者賬戶
    4. 為客戶主機配置並部署802.1X請求方
    
一般性部署原則：
    • 在802.1X架構中採用擴充套件性較強的單點登入（single sign-on），並確保身份憑證的安全性。
    • 進行部署前分析，並採用經過測試的部署計劃。引數或者配置不但可能導致大量使用者無法訪問網路。
    • 在正式部署前進行試驗性部署，並根據暴露出來的問題調整相關的配置。
    • 試驗性部署應該儘可能覆蓋企業網，以最大限度模擬實際的部署狀況。

為Cisco Catalyst交換機配置認證方

    1. 配置Radius伺服器引數
    2. 配置AAA服務和Radius協議
    3. 全域性啟用802.1X
    4. 在指定的訪問埠啟用802.1X
    5. 配置定期重認證（可選）
    6. 調整定時器和閾值（可選）
    7. 調整訪客策略與認證失敗策略（可選）
    
    
配置示例：
要求：
    • 企業使用者配置了請求方軟體，訪客使用者沒有配置請求方軟體。二者與LAN交換機的訪問埠連線。
    • 路由作為認證方，其管理IP為192.168.1.1。
    • VLAN100作為訪客VLAN，只提供網際網路接入服務。
    • Cisco ACS作為認證伺服器（AAA伺服器），其IP地址為10.1.1.1，採用Radius協議進行802.1X認證。
    

 

配置命令：

步驟1：為SW配置Radius引數（這裡將UDP1645認證和UDP1646審計改為了UDP1812和UDP1813）

步驟2：配置AAA服務和Radius協議

步驟3：在全域性和指定的介面啟用802.1X

其他兩種認證狀態

步驟4：配置定期重認證（可選）
重認證的好處：比如說在分佈層交換機對使用者執行802.1X認證時，訪問層交換機並沒有察覺到使用者已經中斷了與自己的連線，埠依然是處於授權的狀態，那麼此時就會給攻擊者留下可乘之機。啟用了重認證後，Radius伺服器每個一段時間就會強制對客戶進行重認證，所以在一定的程度上消除了安全隱患。
重認證模式是關閉的！

步驟5：調整定時器和閾值（可選）

為了加快請求方和認證方之間的資訊交換速度，管理員可以調整EAPOL定時器。

步驟6：配置訪客策略和認證失敗策略（可選）
使用者在一段時間內沒有收到交換機發送的EAPOL請求，那麼將會被分配到另一個VLAN（訪客VLAN）。

配置802.1X認證方時應該遵循的原則：
認證方配置不當將導致請求方無法通過認證並訪問網路資源，進行配置時務必謹慎！
原則：
    • 若交換機埠配置了訪客策略，在調整埠的EAPOL定時器之前必須進行測試，縮短埠的等待時間雖會加快訪客的處理速度，但是也可能導致合法使用者被分配給訪客VLAN。
    • 在調整認證方定時器的同時，可能也需要調整請求方的定時器。
    • 應該採取多種安全措施以確保攻擊者無法通過訪客VLAN入侵其他網路資源，必要時，可以考慮將訪客使用者分配給一個獨立的虛擬路由轉發例項（VRF instance）。Cisco路由器和SW採用VRF實現流量劃分，VRF有助於隔離訪客流量和企業流量。

檢視802.1X相關資訊命令：
檢視802.1X配置引數：

認證通過數量：

802.1X協議版本：

排錯步驟：
    1. 驗證請求方配置，命令dot1x test eapol-capable用於測試使用者能否正常響應交換機發送的EAPOL請求，如果可以響應就進入2.
    2. 驗證Radius配置，命令test aaa用於測試SW和Cisco ACS之間的Radius通訊是否正常，管理員還可以通過Cisco ACS產生的失敗認證嘗試（Failed Authentication Attempt）報告檢視伺服器存在的問題，如果交換機和ACS工作正常，進入3.
    3. 通過失敗認證嘗試報告檢視請求方的身份憑證是否存在問題（如密碼錯誤），如果使用Windows Active Directory等外部資料庫，請確保外部資料可以正常工作。
    
其他：
日誌訊息：IOU2#show logging
驗證訪客VLAN和受限VLAN的分配：IOU2#show interfaces status