3、工作站端的设置:
WINXP本身内置对802.1x的支持,微软在前不久出了一个补丁可以让WIN2K也支持802.1x,需要注意的是WIN2K SP4已经内置了对802.1x的支持,SP3以下可使用此补丁:
http://support.microsoft.com/default.aspx?scid=kb;en-us;313664
安装完此补丁后,802.1x默认是不启动的,可在服务中手动打开Wireless Configuration服务,打开此服务后,在网卡连接属性中会多出一栏Authenticatioin,在此栏中勾选Enable network access control using IEEE 802.1x,同时在EAP type中选中MD5-Challenge。
4、测试:
在所有设置完成后,可以观察到802.1x enable的F0/1口上状态灯显示为黄灯,而在工作站端过一会后会弹出一个认证窗口,在用户名/口令处填入ACS中定义好的用户名/口令,域名处不填,同时观察WIN2K systray处的连接图标,上面会有和认证服务器联系及认证用户的浮动提示,同时F0/1的状态灯也会顺利变为绿灯。
认证通过后检验VLAN值是否已正确分配:先ping VLAN7的网关地址,通;再ping其它VLAN的网关地址,通;最后看可否上Internet,通。
ACS Interface Configuration设置图例见下图。
[page]
ACS Group Setup设置图例
[page]
网络连接属性设置图例
注:
1、ip 可以由3550 来作dhcp server ,显示802。1x 激活端口,然后用dhcp 分ip,至于mac地址再绑定,这里没有必要了,有了802。1x 就不用vmps拉, 802。1x可以根据用户名来分vlan。
2、接注1问题,我是想确定每台电脑的IP地址。例如现在用的6509,如果直接用它做DHCP ,那么端口激活得到VLAN TAG后,分配的IP地址我想固定死。因为我们针对防火墙日志自己开发了一个分析软件是基于IP地址的。这种情况下我想固定分配给客户端IP。但是客户端电脑又要从DHCP中得到固定IP.