win10配置802.1x认证

1. win10设置802.1x认证

win10设置802.1x认证

1.Win10如何用脚本修改IEEE802.1X身份验证

1、首先，用户在桌面上找到“网络”图标，鼠标右击后呼出选项，我们选择“属性”（如果桌面和上没有，可以通过依次打开控制面板/网络和Internet/网络和共享中心）。

2、随后弹出如下的网络和共享中心的界面，我们在左侧的功能栏中点击“更改配适器设置”选项。 3、接着，进入网络连接窗口，您可以查看到当前连接的网络，例如这里我的为Ethernet0。

4、用户鼠标右击网络图标，接着，我们在呼出的选项中选择“属性”。 5、弹出您当前网络的属性窗口后，我们在选项卡中选择“身份验证”。

6、在身份验证窗口下我们可以找到“启用IEEE 802.1X身份验证”的选项，我们将其勾选进行取消，然后点击确定保存设置即可。

2.Win10如何用脚本修改IEEE802.1X身份验证

2、随后弹出如下的网络和共享中心的界面，我们在左侧的功能栏中点击“更改配适器设置”选项。3、接着，进入网络连接窗口，您可以查看到当前连接的网络，例如这里我的为Ethernet0。

4、用户鼠标右击网络图标，接着，我们在呼出的选项中选择“属性”。5、弹出您当前网络的属性窗口后，我们在选项卡中选择“身份验证”。

6、在身份验证窗口下我们可以找到“启用IEEE 802.1X身份验证”的选项，我们将其勾选进行取消，然后点击确定保存设置即可。

3.win10的IEEE802.1x身份验证在哪儿?

1）如果是宽带本身的问题，首先直接联接宽带网线测试，如果是宽带的问题，联系宽带客服解决。

2）如果是路由器的问题，如果原来可以用，暂时不能用了，我自己的实践是一个是断掉路由器的电源在插上，等会看看。在有就是恢复出厂设置，从新设置就可以用了（这是在物理连接正确的前提下，有时是路由器寻IP地址慢或失败引起的，并不是说路由器坏了）。

如果总是不能解决，建议给路由器的客服打电话，他们有电话在线指导，我遇到自己不能解决的问题，咨询他们给的建议是很有用的，他们会针对你的设置或操作给出正确建议的。

3）如果关闭了无线开关开启就是了，如果是用软件连接的无线，软件不好用又经常出问题是很正常的，没有更好的方法，用路由器吧。另外就是网卡驱动没有或不合适引起的，网线接口或网线是不是有问题等。

4）如果是系统问题引起的，建议还原系统或重装。

4.如何配置802.1x验证

配置终端操作密码：

[ST-ZC501-LSW-R4C14.I.S2403]user-interface aux 0 进入用户0模式

[ST-ZC501-LSW-R4C14.I.S2403-ui-aux0]authentication-mode password 配置密码

无操作自动断开连接：

idle-timeout minutes 10 10分钟无操作自动断开连接

idle-timeout seconds 10 10秒钟无操作自动断开连接

锁定用户：

<ST-ZC501-LSW-R4C14.I.S2403>lock 锁定当前用户（接着输入密码，解除按回车输入

刚才的密码就行了）。

开启telnet服务：

[ST-ZC501-LSW-R4C14.I.S2403]telnet server enable 启动telnet 服务（默认关闭）

强制用户下线：

<ST-ZC501-LSW-R4C14.I.S2403>free web-users all 强制所有在线WEB用户下线

查看端口接收、传送、丢弃报文数：

<ST-ZC501-LSW-R4C14.I.S2403>display garp statistics interface （加端口号）查

看端口接收和传送和丢弃的GVRP报文数

VTP配置：

gvrp registration fixed 端口模式下配置（相当于思科的服务器模式VTP）____必须

在trunk工作模式的端口下。

gvrp registration forbidden 端口模式下配置（相当于思科的透明模式VTP）____必

须在trunk工作模式的端口下。

gvrp registration normal 端口模式下配置（相当于思科的客户端模式VTP）____必须

在trunk工作模式的端口下。

[ST-ZC501-LSW-R4C14.I.S2403]stp disable

bpdu-tunnel dot1q stp VTP的开启（端口下或全局模式下）默认关闭

undo bpdu-tunnel dot1q stp 关闭VTP（端口下或全局模式下）

指定以太网端口通过的最大广播百分比：

broadcast-suppression (1-100) 指定以太网端口允许通过的最大广播

流量占该端口传输能力的百分比（默认关闭）——打开此功能可以保证正常

流量的传输。

5.802.1x的认证系统和认证服务的配置说明啊

用802.1x结合ACS可以实现基于用户的动态Vlan）设备环境：Cisco Catalyst 3550-24-EMI(IOS:12.1(14)EA1 EMI),Cisco Secure ACS v3.1 1、和802.1x相关的交换机主要配置内容： aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius ！---如果只是做802.1x认证，则aaa authorization network这句可不要，如要做VLAN分配或per-user ACL，则必须做network authorization dot1x system-auth-control ！---注意在12.1(14)EA1版以后802.1x的配置有了修改，此句enable 802.1x interface FastEthernet0/1 description To Server_Farm switchport mode access dot1x port-control auto dot1x max-req 3 spanning-tree portfast !---dot1x port-control auto句在F0/1上enable dot1x，另外注意在F0/1口下我并没有给它赋VLAN radius-server host 1.2.3.4 auth-port 1812 acct-port 1813 key radius_string radius-server vsa send authentication !---radius-server host 1.2.3.4句定义radius server信息，并给出验证字串！---因为要配置VLAN分配必须使用IETF所规定的VSA(Vendor-specific attributes)值，radius-server vsa send authentication句允许交换机识别和使用这些VSA值。

配置802.1x动态分配VLAN所用到的VSA值规定如下： [64] Tunnel-Type = VLAN [65] Tunnel-Medium-Type = 802 [81] Tunnel-Private-Group-ID = VLAN name or VLAN ID 2、和802.1x相关的ACS主要配置内容：这个配置要看图了，另外附带说一点，Cisco文档说ACS 3.0之前是不支持802.1x的。因为802.1x使用radius进行认证，所以在选用认证协议时我选用的是RADIUS(IETF)，而缺省是Cisco的TACACS+。

在Interface Configuration中对RADIUS(IETF)进行配置，在组用户属性中选中[64]Tunnel-Type、[65] Tunnel-Medium-Type、[81]Tunnel-Private-Group-ID（见下图）。在Group Setup中对RADIUS Vendor-Specific Attributes值进行编辑：勾选[64]Tunnel-Type，将tag 1的值选为VLAN；勾选[65] Tunnel-Medium-Type，将tag 1的值选为802；勾选[81]Tunnel-Private-Group-ID，将tag 1的值设为7，表明为VLAN 7（见下图）。

设置完后，Submit+Rest。 3、工作站端的设置： WINXP本身内置对802.1x的支持，微软在前不久出了一个补丁可以让WIN2K也支持802.1x，需要注意的是WIN2K SP4已经内置了对802.1x的支持，SP3以下可使用此补丁： [url] /default。

b;en-us;313664[/url] 安装完此补丁后，802.1x默认是不启动的，可在服务中手动打开Wireless Configuration服务，打开此服务后，在网卡连接属性中会多出一栏Authenticatioin，在此栏中勾选Enable network access control using IEEE 802.1x，同时在EAP type中选中MD5-Challenge。 4、测试：在所有设置完成后，可以观察到802.1x enable的F0/1口上状态灯显示为黄灯，而在工作站端过一会后会弹出一个认证窗口，在用户名/口令处填入ACS中定义好的用户名/口令，域名处不填，同时观察WIN2K systray处的连接图标，上面会有和认证服务器联系及认证用户的浮动提示，同时F0/1的状态灯也会顺利变为绿灯。

认证通过后检验VLAN值是否已正确分配：先ping VLAN7的网关地址，通；再ping其它VLAN的网关地址，通；最后看可否上Internet，通。

6.局域网实现802.1X认证具体操作步骤

二层交换机上实现802.1x认证现在大部分厂商的接入交换机都支持802.1x协议，有的还支持本地认证，这就使抛开radius服务器，在接入交换机上进行用户认证成为可能。

下面以Quidway S3026为例，介绍利用内置radius server来实现接入交换机上的用户认证。在S3026的出厂设置中已经配置了本地的认证服务器和域： radius scheme system server-type huawei primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain domain system radius-scheme system access-limit disable state active vlan-assignment-mode integer idle-cut disable self-service-url disable messenger time disable domain default enable system local-server nas-ip 127.0.0.1 key huawei 我们可以直接利用已有的配置构建认证服务。

#开启802.1x功能 [Quidway]dot1x #指定的端口上开启802.1X [Quidway]dot1x interface eth 0/1 to eth 0/24 #添加用户 [Quidway]local-user sample [Quidway -luser-sample]password simple 123456 [Quidway -luser-sample]service-type lan-access 我们也可以建立新的域来进行802.1x认证。 #开启802.1x功能 [Quidway]dot1x #所有的端口都开启802.1x [Quidway]dot1x interface eth 0/1 to eth 0/24 #创建radius组cjwust并进入其视图 [Quidway]radius scheme cjwusta #设置主认证服务器为本地，端口号1645 [Quidway -radius-cjwusta]primary? authentication 127.0.0.1 1645 #创建用户域cjwust [Quidway]domain cjwust #指定cjwusta为该域用户的radius服务器组 [Quidway -isp-huawei]radius-scheme cjwusta #添加本地用户sample [Quidway]local-user sample [Quidway-luser-sample]password simple 123456 [Quidway-luser-sample]service-type lan-access 用户添加完成后，我们就可以用这些用户名和相应的密码登录上网了。

上述方法不仅适用于支持802.1x的二层交换机直接连终端计算机实现本地认证，还可以下连普通交换机甚至集线器实现802.1x认证（Quidway s3026缺省情况下每个端口上可容纳接入用户数量的最大值为256），这就给一些旧的网络改造提供了方便，较小的投入就能实现用户的可靠认证。 IEEE802.1x协议为二层协议，不需要到达三层，在二层交换机上实现802.1x认证，正符合该协议的特点；并且由于业务和认证的分离，通过认证后的报文是无需封装的纯数据包，直接通过可控端口进行交换，大大提高了网络的性能、可靠性和安全性。

如果再结合MAC、端口和VLAN等绑定技术将使网络具有极高的安全性。

7.802.1x的认证方式

类型代码身份验证协议说明 4 MD5 challenge EAP中类似于CHAP的认证方式 6 GTC 原本打算与RSA SecurID之类的令牌卡一起使用 13 EAP-TLS 以数字证书相互认证 18 EAP-SIM 以移动电话的SIM卡（用户识别模块卡）进行身份验证 21 TTLS 隧道式TLS；以TLS加密保护较弱的身份验证方式 25 PEAP 防护型EAP；以TLS加密保护较弱的EAP认证方式 29 MS-CHAP-V2 微软的经加密的密码身份验证，与windows域兼容 OSV ,Cisco 2960 Windows NPS的联合认证802.1X提供安全的接入认证，但数据（包括操作系统）存储于本地，数据可能有失窃的危险，比如富士康和比亚迪的官司，在比如陈冠希事件。

一些对数据安全要求比较高的企业，政府，一直寻求，即要管好接入端的安全，又要管好数据端安全，做到本地无存储，对数据随需所取的PC应用环境。OSV配合自己实现的802.1X认证客户端，即实现了对网络接入的数据安全性要求，也实现了对PC的IO虚拟化，通过对数据实现虚拟化派发，用户桌面环境的认证派发，和数据的集中存储，集中管理。

通过windows AD 服务器，对用户帐户进行统一管理。实施准备1，支持802.1X认证交换机一台实验环境：Cisco 2960 (ip:192.168.88.249 netmask 255.255.255.0) 2, Windows 2008 r2 AD 域服务器一台（ip: 192.168.88.188 Netmask:255.255.255.0 ） 3, Windows 2008 r2 NPS服务器一台（ip: 192.168.88.189 Netmask:255.255.255.0 DNS:192.168.88.188） 4，客户机一台 5，已安装，配置好的OSV 服务器一台（IP:192.168.88.10）Cisco 交换机配置cisco>en 进入特权模式 Password: cisco#configure terminal 进入全局配置模式 cisco(config)#interface vlan1 进入接口配置模式，配置Vlan1 cisco(config-if)#ip address 192.168.88.249 255.255.255.0 配置Vlan1的IP cisco(config-if)#exit 退出 cisco(config)#aaa new-model cisco(config)#aaa authentication dot1x default group radius cisco(config)#aaa authorization network default group radius cisco(config)#dot1x system-auth-control cisco(config)#radius-server host 192.168.88.251 auth-port 1812 acct-port 1813 key OSV 配置802.1X的认证服务器IP，密钥为OSV 记住此密钥，配置RADIUS时用到。

cisco(config)#interface fastEthernet 0/X 配置需要进行认证的端口 cisco(config-if)#switchport mode access cisco(config-if)# authentication port-control auto cisco(config-if)#dot1x port-control auto cisco(config-if)#dot1x reauthentication cisco(config-if)#dot1x timeout reauth-period 300 cisco(config-if)#authentication host-mode multi-auth/multi-host/signal-host/mulit-domain 交换机端口下连接多台PC时（通过Hub或交换机）需要配置这个命令，默认只支持对一台PC认证。 cisco(config-if)#authentication violation shutdown/pretect/replace/restrict 802.1X shutdown规则 cisco(config-if)#dot1x pae both cisco(config-if)#spanning-tree portfast 打开端口的快速转发cisco(config-if)#exit cisco(config)#exit注：配置完成后，要测试交换机与RADIUS是否可通信，可在交换机上ping RADIUS服务器进行判断。

8.win10系统提示“802.1x认证打开网卡失败”怎么办

路由器设置如下：（注意，你的路由器地址不一定是192这个网站，别的任何操作都不行；上面这条规则可以解读为：内网电脑往公网发送数据包，数据包的源IP地址是要限制的这台电脑的IP地址192这个域名对应的公网IP地址，广域网请求因为是针对网站的限制，所以端口号是80 ；规则设置好界面如下图：可以在配置好的规则页面清晰看到，规则生效时间是24小时，控制的对象是IP地址为 192对应的公网IP地址，端口号因为是网站所以填80，协议一般默认选择ALL就行了；是否允许通过呢？因为缺省规则是禁止不符合设定规则的数据包通过路由器，所以符合设定规则的数据包允许通过，规则状态为生效的；上面这幅图片新加了第二条规则，请问第二条规则设定的是什么数据包？如果您的规则中涉及对网站进行限制，也就是目的请求端口是80的，则应该考虑对应的将53这个端口对应数据包也允许通过，因为53对应的是去往“域名解析服务器”的数据包，用于将域名（如.cn）和IP地址（如202. 96. 137. 26）对应的，所以必须开！配置“IP地址过滤规则”这个功能用来实现您的一些目的，最主要的是分析都要做那些控制，然后选择怎样的缺省规则？配置怎样的过滤规则？如果您决心了解这个功能的真正作用，通过仔细参考资料和在路由器上反复的实验，您一定可以完全掌握的。

win10设置802.1x认证