分类： 网络

一、 组网需求
Device A、B、C通过OSPFv3互联互通。
Device A到3::3的主链路为Device ADevice C，备份链路为Device ADevice BDevice C。
当Device A到Device C的链路故障时，BFD能够感知并告诉OSPFv3，快速切换到备份链路。

二、组网图

三、 配置要点
● 所有设备接口配置IPv6。
● 所有设备配置OSPFv3基本功能。
● OSPFv3路由进程下开启BFD功能。

四、 配置步骤
(1) 配置接口IP以及配置OSPFv3基本功能。
# Device A的配置。
Device A> enable
Device A# configure terminal
Device A(config)# interface gigabitEthernet 0/2
Device A(config-if-GigabitEthernet 0/2)# ipv6 address 12::1/64
Device A(config-if-GigabitEthernet 0/2)# ipv6 ospf 1 area 0
Device A(config-if-GigabitEthernet 0/2)# exit
Device A(config)# interface gigabitEthernet 0/1
Device A(config-if-GigabitEthernet 0/1)# ipv6 address 13::1/64
Device A(config-if-GigabitEthernet 0/1)# exit
Device A(config)# ipv6 router ospf 1
Device A(config-router)# router-id 1.1.1.1

# Device B的配置。
Device B> enable
Device B# configure terminal
Device B(config)# interface gigabitEthernet 0/1
Device B(config-if-GigabitEthernet 0/1)# ipv6 address 12::2/64
Device B(config-if-GigabitEthernet 0/1)# ipv6 ospf 1 area 0
Device B(config-if-GigabitEthernet 0/1)# exit
Device B(config)# interface gigabitEthernet 0/2
Device B(config-if-GigabitEthernet 0/2)# ipv6 address 23::2/64
Device B(config)# ipv6 router ospf 1
Device B(config-router)# router-id 2.2.2.2

# Device C的配置。
Device C> enable
Device C# configure terminal
Device C(config)# interface gigabitEthernet 0/1
Device C(config-if-GigabitEthernet 0/1)# ipv6 address 13::3/64
Device C(config-if-GigabitEthernet 0/1)# ipv6 ospf 1 area 0
Device C(config-if-GigabitEthernet 0/1)# exit
Device C(config)# interface gigabitEthernet 0/2
Device C(config-if-GigabitEthernet 0/2)# ipv6 address 23::3/64
Device C(config-if-GigabitEthernet 0/2)# ipv6 ospf 1 area 0
Device C(config-if-GigabitEthernet 0/2)# exit
Device C(config)# ipv6 router ospf 1
Device C(config-router)# router-id 3.3.3.3

(2) OSPFv3路由进程下开启BFD功能。
# Device A的配置。
Device A(config-router)# bfd all-interfaces

# Device B的配置。
Device B(config-router)# bfd all-interfaces

# Device C的配置。
Device C(config-router)# bfd all-interfaces

五、验证配置结果
●网络正常时。
# Device A路由表信息。
Device A# show ipv6 route ospf

# Device A上traceroute 3::3。

●Device A到Device C链路故障时。
# Device A路由表信息。
Device A# show ipv6 route ospf

# Device A上traceroute 3::3。
Device A# traceroute 3::3

六、配置文件
●Device A的配置文件。
!
interface gigabitethernet 0/1
ipv6 address 13::1/64
ipv6 ospf 1 area 0
!
interface gigabitethernet 0/2
ipv6 address 12::1/64
ipv6 ospf 1 area 0
!
ipv6 router ospf 1
router-id 1.1.1.1
graceful-restart
bfd all-interfaces
!
● Device B的配置文件。
!
interface gigabitethernet 0/1
ipv6 address 12::2/64
ipv6 ospf 1 area 0
!
interface gigabitethernet 0/2
ipv6 address 23::2/64
ipv6 ospf 1 area 0
!
ipv6 router ospf 1
router-id 2.2.2.2
graceful-restart
bfd all-interfaces
!
●Device C的配置文件。
!
interface gigabitethernet 0/1
ipv6 address 13::3/64
ipv6 ospf 1 area 0
!
interface gigabitethernet 0/2
ipv6 address 23::3/64
ipv6 ospf 1 area 0
!
ipv6 router ospf 1
router-id 3.3.3.3
graceful-restart
bfd all-interfaces
!

 

一、 组网需求
Device A、B、C在同一个广播网络中。
配置Device A的优先级为10，成为DR，Device B的优先级为5，成为BDR，Device C的优先级为0，不参与DR选
举。

二、组网图

三、 配置要点
● 所有设备接口配置IPv6。
● 所有设备配置OSPFv3基本功能。
● 修改各个设备DR选举优先级。

四、 配置步骤
(1) OSPFv3基本功能配置。
# Device A的配置。
Device A> enable
Device A# configure terminal
Device A(config)# ipv6 router ospf 1
Device A(config-router)# router-id 1.1.1.1
Device A(config-router)# exit

# Device B的配置。
Device B> enable
Device B# configure terminal
Device B(config)# ipv6 router ospf 1
Device B(config-router)# router-id 2.2.2.2
Device B(config-router)# exit
# Device C的配置。
Device C> enable
Device C# configure terminal
Device C(config)# ipv6 router ospf 1
Device C(config-router)# router-id 3.3.3.3
Device C(config-router)# exit

(2) 配置接口IP，配置OSPFv3，并修改各个设备DR选举优先级。
# Device A的配置。
Device A(config)# interface gigabitethernet 0/1
Device A(config-if-GigabitEthernet 0/1)# ipv6 address 2001::1/64
Device A(config-if-GigabitEthernet 0/1)# ipv6 ospf 1 area 0
Device A(config-if-GigabitEthernet 0/1)# ipv6 ospf priority 10

# Device B的配置。
Device B(config)# interface gigabitethernet 0/1
Device B(config-if-GigabitEthernet 0/1)# ipv6 address 2001::2/64
Device B(config-if-GigabitEthernet 0/1)# ipv6 ospf 1 area 0
Device B(config-if-GigabitEthernet 0/1)# ipv6 ospf priority 5

# Device C的配置。
Device C(config)# interface gigabitethernet 0/1
Device C(config-if-GigabitEthernet 0/1)# ipv6 address 2001::3/64
Device C(config-if-GigabitEthernet 0/1)# ipv6 ospf 1 area 0
Device C(config-if-GigabitEthernet 0/1)# ipv6 ospf priority 0

五、验证配置结果
●在Device C上使用show ipv6 ospf interface命令查看DR和BDR
Device C# show ipv6 ospf interface

●在Device A上使用show ipv6 ospf neighbor命令看到广播网络中的DROther为Device C。
Device A# show ipv6 ospf neighbor

六、配置文件
●Device A的配置文件。
!
interface gigabitethernet 0/1
ipv6 address 2001::1/64
ipv6 ospf priority 10
ipv6 ospf 1 area 0
!
ipv6 router ospf 1
router-id 1.1.1.1
graceful-restart
!

● Device B的配置文件。
!
interface gigabitethernet 0/1
ipv6 address 2001::2/64
ipv6 ospf priority 5
ipv6 ospf 1 area 0
!
ipv6 router ospf 1
router-id 2.2.2.2
graceful-restart
!

● Device C的配置文件。
!
interface gigabitethernet 0/1
ipv6 address 2001::3/64
ipv6 ospf priority 0
ipv6 ospf 1 area 0
!
ipv6 router ospf 1
router-id 3.3.3.3
graceful-restart
!

 

一、 组网需求
Device A、B、C、D之间通过OSPFv3路由协议互联。
Device A和Device B作为ABR负责OSPFv3区域间路由信息传递，Device D作为ASBR引入了外部静态路由。
为减少Area 2内LSA数量，节约设备性能，Area 2配置成NSSA区域。

二、组网图

三、 配置要点
● 所有设备配置接口配置IPv6。
● 所有设备配置OSPFv3基本功能。
● Device D上配置引入外部静态路由。
● Device B、D上区域2配置成NSSA类型。

四、 配置步骤
(1) 所有设备接口配置IPv6，所有设备配置OSPFv3基本功能。

(2) Device D上配置引入外部静态路由。并将区域2配置成NSSA类型。
Device D> enable
Device D# configure terminal
Device D(config)# ipv6 router ospf 1
Device D(config-router)# area 2 nssa
Device D(config-router)# redistribute static

(3) Device B上区域2配置成NSSA类型。
Device B> enable
Device B# configure terminal
Device B(config)# ipv6 router ospf 1
Device B(config-router)# area 2 nssa

五、验证配置结果
(1) 在Device D上使用show ipv6 ospf database查看数据库，有生成7类LSA。
Device D# show ipv6 ospf database nssa-external

(2) 在Device A上使用show ipv6 route ospf查看路由表，有D引入的外部静态路由。
Device A# show ipv6 route osp

六、配置文件
●Device B的配置文件。
!
ipv6 router ospf 1
area 2 nssa
!
● Device D的配置文件。
!
ipv6 router ospf 1
area 2 nssa
redistribute static
!

七、常见错误
●同一区域中的设备，区域类型配置不一致。

一、 组网需求
Device A、B、C、D之间通过OSPFv3路由协议互联。
Device A和Device B作为ABR负责OSPFv3区域间路由信息传递，Device D作为ASBR引入了外部静态路由。
为减少Area 1内LSA数量，节约设备性能，Area 1配置成Totally Stub区域。

二、组网图

三、 配置要点
●所有设备接口配置IPv6。
● 所有设备配置OSPFv3基本功能。
● Device D上配置引入外部静态路由。
● Device A、C上区域1配置成Stub类型。

四、 配置步骤
(1) 所有设备配置接口配置IPv6，所有设备配置OSPFv3基本功能。

(2) Device D上配置引入外部静态路由。
Device D> enable
Device D# configure terminal
Device D(config)# ipv6 router ospf 1
Device D(config-router)# redistribute static

(3) Device A上区域1配置成Stub类型，并过滤Type 3 LSA。
Device A> enable
Device A# configure terminal
Device A(config)# ipv6 router ospf 1
Device A(config-router)# area 1 stub no-summary

(4) Device C上区域1配置成Stub类型。
Device C> enable
Device C# configure terminal
Device C(config)# ipv6 router ospf 1
Device C(config-router)# area 1 stub

五、验证配置结果
在Device C上使用show ipv6 route ospf查看路由表，只有一条默认区间路由，没有D引入的外部静态路由。
Device C# show ipv6 route ospf

六、配置文件
● Device A的配置文件。
!
ipv6 router ospf 1
area 1 stub no-summary
!
● Device C的配置文件。
!
ipv6 router ospf 1
area 1 stub
!
● Device D的配置文件。
!
ipv6 router ospf 1
redistribute static
!

七、常见错误
● 同一区域中的设备，区域类型配置不一致。
●在Stub区域中配置路由重分布，将无法加入外部路由。

一、 组网需求
所有的设备都运行OSPFv3，一共划分3个区域，Device A和Device B作为ABR转发区域间路由，以此实现所有网
络的互联互通。

二、组网图

三、 配置要点
●在所有设备上配置接口IP地址。
● 在所有设备上启动IPv4单播路由功能（该功能默认已开启）。
●在所有设备上配置OSPFv3实例、Router ID。
●在所有设备接口上配置OSPFv3。

四、 配置步骤
(1) 在设备A上配置。
# 启用OSPFv3进程，配置Router ID。
Device A> enable
Device A# configure terminal
Device A(config)# ipv6 router ospf 1
Device A(config-router)# router-id 1.1.1.1
Device A(config-router)# exit

# 配置接口IP，并在接口上配置OSPFv3。
Device A(config)# interface gigabitethernet 0/1
Device A(config-if-GigabitEthernet 0/1)# ipv6 enable
Device A(config-if-GigabitEthernet 0/1)# ipv6 address 2001:1::1/64
Device A(config-if-GigabitEthernet 0/1)# ipv6 ospf 1 area 0
Device A(config-if-GigabitEthernet 0/1)# exit
Device A(config)# interface gigabitethernet 0/2
Device A(config-if-GigabitEthernet 0/2)# ipv6 enable
Device A(config-if-GigabitEthernet 0/2)# ipv6 address 2001:2::1/64
Device A(config-if-GigabitEthernet 0/2)# ipv6 ospf 1 area 1
Device A(config-if-GigabitEthernet 0/2)# exit

(2) 在设备B上配置。
# 启用OSPFv3进程，配置Router ID。
Device B> enable
Device B# configure terminal
Device B(config)# ipv6 router ospf 1
Device B(config-router)# router-id 2.2.2.2
Device B(config-router)# exit

# 配置接口IP，并在接口上配置OSPFv3。
Device B(config)# interface gigabitethernet 0/1
Device B(config-if-GigabitEthernet 0/1)# ipv6 enable
Device B(config-if-GigabitEthernet 0/1)# ipv6 address 2001:1::2/64
Device B(config-if-GigabitEthernet 0/1)# ipv6 ospf 1 area 0
Device B(config-if-GigabitEthernet 0/1)# exit
Device B(config)# interface gigabitethernet 0/2
Device B(config-if-GigabitEthernet 0/2)# ipv6 enable
Device B(config-if-GigabitEthernet 0/2)# ipv6 address 2001:3::1/64
Device B(config-if-GigabitEthernet 0/2)# ipv6 ospf 1 area 2
Device B(config-if-GigabitEthernet 0/2)# exit

(3) 在设备C上配置。
# 启用OSPFv3进程，配置Router ID。
Device C> enable
Device C# configure terminal
Device C(config)# ipv6 router ospf 1
Device C(config-router)# router-id 3.3.3.3
Device C(config-router)# exit

# 配置接口IP，并在接口上配置OSPFv3。
Device C(config)# interface gigabitethernet 0/3
Device C(config-if-GigabitEthernet 0/3)# ipv6 enable
Device C(config-if-GigabitEthernet 0/3)# ipv6 address 2001:2::2/64
Device C(config-if-GigabitEthernet 0/3)# ipv6 ospf 1 area 1
Device C(config-if-GigabitEthernet 0/3)# exit

(4) 在设备D上配置。
# 启用OSPFv3进程，配置Router ID。
Device D> enable
Device D# configure terminal
Device D(config)# ipv6 router ospf 1
Device D(config-router)# router-id 4.4.4.4
Device D(config-router)# exit

# 配置接口IP，并在接口上配置OSPFv3。
Device D(config)# interface gigabitethernet 0/3
Device D(config-if-GigabitEthernet 0/3)# ipv6 enable
Device D(config-if-GigabitEthernet 0/3)# ipv6 address 2001:3::2/64
Device D(config-if-GigabitEthernet 0/3)# ipv6 ospf 1 area 2
Device D(config-if-GigabitEthernet 0/3)# exit

五、验证配置结果
(1) 在Device A上查看。
# OSPFv3邻居信息。
Device A# show ipv6 ospf neighbor

# OSPFv3路由表。
Device A# show ipv6 route ospf

(2) 在设备B上查看。
# OSPFv3邻居信息。

# OSPFv3路由表。
Device B# show ipv6 route ospf

(3) 在设备C上查看。
# OSPFv3邻居信息。
Device C# show ipv6 ospf neighbor

# OSPFv3路由表。
Device C# show ipv6 route ospf

(4) 在设备D上查看。
# OSPFv3邻居信息。
Device D# show ipv6 ospf neighbor

# OSPFv3路由表。
Device D# show ipv6 route ospf

# Device D上ping 2001:2::2/64正确。
Device D# ping 2001:2::2

六、配置文件
● Device A的配置文件。
!
ipv6 router ospf 1
router-id 1.1.1.1
!
interface gigabitethernet 0/1
ipv6 enable
ipv6 address 2001:1::1/64
ipv6 ospf 1 area 0
!
interface gigabitethernet 0/2
ipv6 enable
ipv6 address 2001:2::1/64
ipv6 ospf 1 area 1
!

● Device B的配置文件。
!
ipv6 router ospf 1
router-id 2.2.2.2
!
interface gigabitethernet 0/1
ipv6 enable
ipv6 address 2001:1::2/64
ipv6 ospf 1 area 0
!
interface gigabitethernet 0/2
ipv6 enable
ipv6 address 2001:3::1/64
ipv6 ospf 1 area 2
!

● Device C的配置文件。
!
ipv6 router ospf 1
router-id 3.3.3.3
!
interface gigabitethernet 0/3
ipv6 enable
ipv6 address 2001:2::2/64
ipv6 ospf 1 area 1
!

● Device D的配置文件。
!
ipv6 router ospf 1
router-id 4.4.4.4
!
interface gigabitethernet 0/3
ipv6 enable
ipv6 address 2001:3::2/64
ipv6 ospf 1 area 2
!

七、常见错误
● 接口没有配置IPv6。
● IPv6单播路由功能被关闭，OSPFv3协议无法启用。
● 相连接口配置的区域号不一致。
● 多台设备上配置了相同的Router ID，导致Router ID冲突。

一、 组网需求
设备作为网络接入服务端，对于接入网络的用户开启二代Web认证，用户需要使用合法的账号密码认证通过后才
可访问网络。

二、组网图

三、 配置要点
● 配置Portal服务器以支持二代Web认证功能。
●配置RADIUS服务器以支持二代Web认证功能。
● 在设备上开启AAA安全服务。
● 配置RADIUS服务器的IP和通信密钥。
● 配置AAA的Web认证默认方法列表和默认网络记账方法列表。
● 配置与Portal服务器通信的密钥。
● 配置二代Web认证模板。
●在设备的端口上开启二代Web认证服务。

四、 配置步骤
(1) 配置Portal服务器和RADIUS服务器以支持二代Web认证。

(2) 配置二代Web认证模板，指定Portal服务器IP地址为192.168.1.3，重定向页面为
http://192.168.1.3/eportal/index.jsp。
Device> enable
Device# configure terminal
Device(config)# web-auth template eportalv2
Device(config.tmplt.eportalv2)# ip 192.168.1.3
Device(config.tmplt.eportalv2)# url http://192.168.1.3/eportal/index.jsp
Device(config.tmplt.eportalv2)# exit

(3) 配置设备与Portal服务器的通信密钥为key_1（密钥需要与Portal服务器上的配置相同）。
Device(config)# web-auth portal key key_1

(4) 配置RADIUS服务器的IP和通信密钥。
Device(config)# radius-server host 192.168.1.4 key radiuskey

(5) 开启AAA安全服务。
Device(config)# aaa new-model

(6) 配置AAA的Web认证默认方法列表和默认网络记账方法列表。
Device(config)# aaa authentication web-auth default group radius
Device(config)# aaa accounting network default start-stop group radius

(7) 在接口GigabitEthernet 0/2和GigabitEthernet 0/3上开启二代Web认证。
Device(config)# interface range gigabitEthernet 0/2-3
Device(config-if-range)# web-auth enable eportalv2

五、验证配置结果
#查看二代Web认证在GigabitEthernet 0/2和GigabitEthernet 0/3已生效。

# 查看二代认证模板参数配置正确。

# 在设备GigabitEthernet 0/2和GigabitEthernet 0/3端口下的终端访问任意网页，会被重定向到
http://192.168.1.3/eportal/index.jsp进行身份认证。身份认证通过后，终端才可以访问网络。

六、配置文件
!
web-auth template eportalv2
ip 192.168.1.3
url 192.168.1.3/eportal/index.jsp
!
web-auth portal key key_1
!
aaa new-model
!
aaa accounting network default start-stop group radius
aaa authentication web-auth default group radius
!
radius-server host 172.26.147.194 key 7 $10$3ed$f/3upXnVEhd9$
!
interface GigabitEthernet 0/2
web-auth enable eportalv2
!
interface GigabitEthernet 0/3
web-auth enable eportalv2
！

七、常见错误
●Portal服务器和设备间的密钥配置错误，或者有一方配置了加密，一方未配置导致认证异常。
●RADIUS服务器和设备间参数配置不正确导致认证异常。
● Portal服务器不支持中移动Portal协议规范导致无法对接。

 

一、 组网需求
设备作为网络接入服务端，对于特定端口下的接入用户开启一代Web认证，端口下的用户需要使用合法的账号密
码认证通过后才可访问网络。

二、组网图

三、 配置要点
● 配置Portal服务器以支持一代Web认证功能。
●配置RADIUS服务器以支持一代Web认证功能。
● 配置一代Web认证模板，指定Portal服务器IP地址、重定向页面等参数。
● 配置设备与Portal服务器的通信密钥。
● 配置设备与Portal服务器之间的SNMP参数。
●在设备的端口上开启一代Web认证服务。 。

四、 配置步骤
(1) 配置Portal服务器和RADIUS服务器以支持一代Web认证。

(2) 配置一代Web认证模板，指定Portal服务器IP地址为192.168.1.3，重定向页面为
http://192.168.1.3/eportal/index.jsp。
Device> enable
Device# configure terminal
Device(config)# web-auth template eportalv1
Device(config.tmplt.eportalv1)# ip 192.168.1.3
Device(config.tmplt.eportalv1)# url http://192.168.1.3/eportal/index.jsp
Device(config.tmplt.eportalv1)# exit

(3) 配置设备与Portal服务器的通信密钥为key_1（密钥需要与Portal服务器上的配置相同）。
Device(config)# web-auth portal key key_1

(4) 开启SNMPv2功能。
Device(config)# enable service snmp-agent
Device(config)# snmp-server enable version v2c

(5) 配置SNMP团体字community_1和SNMP trap/inform通告。SNMP服务器地址为Portal服务器地址。
Device(config)# snmp-server community community_1 rw
Device(config)# snmp-server host 192.168.1.3 inform version 2c community_1 web-auth
Device(config)# snmp-server enable traps web-auth

(6) 在接口GigabitEthernet 0/2和GigabitEthernet 0/3上开启一代Web认证。
Device(config)# interface range gigabitEthernet 0/2-3
Device(config-if-range)# web-auth enable eportalv1

五、验证配置结果
# 查看一代Web认证在GigabitEthernet 0/2和GigabitEthernet 0/3已生效。

# 查看一代Web认证模板参数配置正确。


# 在设备GigabitEthernet 0/2和GigabitEthernet 0/3端口下的终端访问任意网页，会被重定向到
http://192.168.1.3/eportal/index.jsp进行身份认证。身份认证通过后，终端才可以访问网络。

六、配置文件
!
web-auth template eportalv1
ip 192.168.1.3
url 192.168.1.3/eportal/index.jsp
!
web-auth portal key key_1
!
enable service snmp-agent
!
snmp-server host 192.168.1.3 informs version 2c 7 $10$255$lxTDxZBSy7ToI2s=$ web-auth
snmp-server enable traps web-auth
snmp-server enable version v2c
snmp-server community 7 $10$255$lxTDxZBSy7ToI2s=$ rw
!
interface GigabitEthernet 0/2
web-auth enable eportalv1
!
interface GigabitEthernet 0/3
web-auth enable eportalv1
！

七、常见错误
● Portal服务器和设备间的SNMP参数配置不正确导致用户无法认证上线。
● 跨三层部署Web认证，模板中的绑定模式需要选择ip-only-mode。
●和VRRP配合使用时，需要通过snmp-server trap-source ip命令指定VRRP地址，否则Portal服务器无法正
确处理trap报文。

 

一、 组网需求
设备端口开启802.1x认证，并配置失败VLAN。若终端802.1x认证失败，允许访问失败VLAN内的网络资源。

二、组网图

三、 配置要点
● 在端口上开启802.1x认证。
●  配置端口加入失败VLAN。

四、 配置步骤
(1) 在端口上开启802.1x基本功能

(2) 配置端口加入失败VLAN，失败VLAN为VLAN 1。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x auth-fail vlan 1

五、验证配置结果
# 终端认证前无法访问网络；终端使用错误账号进行认证，认证失败后可以访问失败VLAN的网络资源。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x auth-fail vlan 1
!

七、常见错误
认证用户由于非服务器拒绝导致的失败不会进入失败VLAN，例如底层资源不足导致无法安装认证用户引起的失
败。

 

一、 组网需求
设备端口开启802.1x认证，并配置Guest VLAN。若该端口下的终端未安装802.1x客户端，则允许该终端访问
Guset VLAN内的网络资源。

二、组网图

三、 配置要点
● 在端口上开启802.1x认证。
● 受控口上开启VLAN自动跳转功能。
● 配置端口加入Guest VLAN。

四、 配置步骤
(1) 在端口上开启802.1x基本功能

(2) 接口上开启VLAN自动跳转功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x dynamic-vlan enable

(3) 端口加入Guest VLAN，Guset VLAN为VLAN 1。
Device(config-if-GigabitEthernet 0/1)# dot1x guest-vlan 1

五、验证配置结果
# 加入Guest VLAN后，设备会打印如下Log：
%DOT1X-5-TRANS_DEFAULT_TO_GUEST: Transformed interface GigabitEthernet 0/1 from default-vlan 1 to
guest-vlan 1 OK.

# 终端不存在802.1x客户端时，无需认证即可访问VLAN 1内的网络资源，并且只能访问VLAN 1内的网络资源。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x dynamic-vlan enable
dot1x guest-vlan 1
!

七、常见错误
端口收到了EAPOL报文，导致端口未加入Guest VLAN。

 

一、 组网需求
开启动态VLAN自动跳转功能后，当服务器下发跳转VLAN时，对应的用户就会被加入到跳转的VLAN中进行通
信。

二、组网图

三、 配置要点
● 在端口上开启802.1x认证。
● 受控口上开启VLAN自动跳转功能。

四、 配置步骤
(1) 在端口上开启802.1x基本功能

(2) 接口上开启VLAN自动跳转功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x dynamic-vlan enable

五、验证配置结果
# RADIUS服务下发VLAN属性，通过show dot1x summary命令可以查看认证通过的用户信息，所属VLAN由
VLAN 2跳转到VLAN 3。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x dynamic-vlan enable
!

七、常见错误
● 认证服务器未正确设置下发VLAN的RADIUS属性。
● 设备未打开支持下发VLAN属性的RADIUS命令。
● HYBRID口上使用MAC VLAN跳转VLAN时，下发的VLAN是带TAG VLAN。