On commence par déclarer en globale le serveur Radius (FreeRadius/PacketFence/Microsoft NPS/….)
authentication enable authentication dynamic-vlan enable dot1x system-auth-control aaa authentication dot1x default radius aaa authorization network default radius radius server source-ip [IP du Vlan qui va joindre le serveur Radius] radius server auth [IP.DU.SERVEUR.RADIUS] name "RADIUS-SRVNAME1" usage authmgr key 0 "lacleduserveurradius" exit radius server acct [IP.DU.SERVEUR.RADIUS] name "RADIUS-SRVNAME1" exit
On active en globale le voice vlan, ainsi qu’un vlan de quarantaine si il venait a y avoir un problème d’authentification.
vlan 18 name "VLAN_TOIP" exit vlan 666 name "QUARANTAINE" exit switchport voice vlan
On configure le port pour permettre l’authentification 802.1x du client, sur échec on essaye un authentification par mac et sinon on drope dans le Vlan de Quarantaine.
Le téléphone identifiée via le LLDP, reçoit le VLAN Voix.
Cette configuration permet d’avoir l’interface “LAN” du téléphone qui reçoit une client qui va demander une authentification 802.1x.
LE MODE GENERAL EST OBLIGATOIRE.
interface Gi1/0/6
description "VOIP+PC"
switchport mode general
authentication host-mode multi-auth
authentication violation protect
authentication event fail action authorize vlan 666
authentication event no-response action authorize vlan 666
authentication periodic
dot1x timeout quiet-period 1
dot1x max-reauth-req 1
dot1x max-req 1
mab auth-type pap
authentication order dot1x mab
authentication priority dot1x mab
lldp tlv-select system-description system-capabilities management-address
lldp notification
lldp med confignotification
switchport voice vlan 16
switchport voice vlan override-authentication
exit