Cisco ACS支持dot1x交换机端口认证，通过PPP的Extensible Authentication Protocol over LAN (EAPOL)协议，只允许经过认证的接口的流量通过

1.在Interface Configuration下选择RADIUS（IETF）

2.在[064]Tunnel-Type, [065]Tunnel-Medium-Type, [081]Tunnel-Private-Group-ID前打钩，启用这三个 RADIUS属性

3. 进入Group Setup中选择0:Default Group,点击Edit Settings

4.下拉到IETF RADIUS Attributes

5. 将前面配置的三个RADIUS属性配置为如图所示，注意，第二个Tag的值要改成0，代表这个Tag不生效

• [064]Tunnel-Type的 TAG1的值为“VLAN”
• [065]Tunnel-Medium-Type的 TAG1的值为“802”
• [081]Tunnel-Private-Group-ID的值为你要分配的进行用户认证的VLAN name

注意：如果Tunnel-Private-Group-ID的值，与交换机上进行认证的接口的VLAN name不相同，那么授权（authorized）将会不成功

6. 最后在Network Configuration中添加AAA客户端，指定交换机的IP地址，Authenticate Using选择RADIUS（IETF）

#conf t
switch()# aaa new-model
switch(config)# radius-server host 192.168.10.2
switch(config)# radius-server key cisco
switch(config)# aaa authentication dot1x default group radius
switch(config)# aaa authorization network default group radius
switch(config)# dot1x system-auth-control                  在交换机上启用的dot1x
switch(config)#vlan 2
switch(config-vlan)#name VLAN_JWY  其实这个名字可有可无
switch(config)# interface Vlan1                                      vlan1到 ACS可达
switch(config -if)#ip address 10.1.1.101 255.255.255.0
switch(config -if)#interface fa0/20
switch(config -if)#switchport mode access
switch(config-if)#switchport access vlan 2
switch(config -if)#dot1x port-control auto   这个接口要进行dot1x认证  

1.点击网卡属性，修改身份验证选项里的验证方法为MD5-质询

注意：如果网卡属性里没有身份验证，则必须开启Wired AutoConfig服务

2. 输入ACS上事先分配的账号密码后验证端口接入成功