С radius-сервера есть возможность получить следующие параметры при помощи атрибутов:
- имя ACL, который предварительно настроен на коммутаторе. Назначается после успешной авторизации пользователя;
- DACL. Radius-сервер передает целиком ACL, который назначается на порт после успешной авторизации пользователя;
- vlan.
Пример настройки приема имени ACL от radius-сервера:
radius-server host 192.168.10.5 key test
dot1x system-auth-control
aaa authentication dot1x default radius none
interface gigabitethernet1/0/11
dot1x host-mode multi-sessions
dot1x reauthentication
dot1x radius-attributes filter-id
dot1x timeout reauth-period 300
dot1x port-control auto
switchport access vlan 3100
exit
Пример настройки ACL, который целиком передает radius-сервер:
radius-server host 192.168.10.5 key test
dot1x system-auth-control
aaa authentication dot1x default radius none
interface gigabitethernet1/0/11
dot1x host-mode multi-sessions
dot1x reauthentication
dot1x radius-attributes vendor-specific data-filter
dot1x timeout reauth-period 300
dot1x port-control auto
switchport access vlan 3100
exit
Пример настройки VLAN, который передает radius-сервер при успешной авторизации пользователя. Если за портом коммутатора присутствует пользователь, которому vlan не назначается, то после VLAN требуется добавить опцию static:
radius-server host 192.168.10.5 key test
dot1x system-auth-control
aaa authentication dot1x default radius none
interface gigabitethernet1/0/11
dot1x host-mode multi-sessions
dot1x reauthentication
dot1x radius-attributes vlan
dot1x timeout reauth-period 300
dot1x port-control auto
switchport access vlan 3100
exit
либо
radius-server host 192.168.10.5 key test
dot1x system-auth-control
aaa authentication dot1x default radius none
interface gigabitethernet1/0/11
dot1x host-mode multi-sessions
dot1x reauthentication
dot1x radius-attributes vlan static
dot1x timeout reauth-period 300
dot1x port-control auto
switchport access vlan 3100
exit
Проверить назначенные 802.1x-пользователям атрибуты можно командой:
show dot1x users