O metoda de securitate L2 este ca pe fiecare port dintr-un switch in care avem conectat un client sa facem autentificare 802.1x. Pe scurt, PC-ul trimite mesaje EAP la switch incapsulate in frame-uri ethernet (EAP over LAN – Extensible Authentication Protocol) iar switchul le “translateaza” in mesaje RADIUS si le trimite catre serverul de autentificare (RADIUS). Odata ce PC-ul este autentificat, switchul face “enable” la port pentru a permite toate frame-urile de la PC.

(config)# aaa new-model # activeaza global AAA
(config)# aaa authentication dot1x default group radius # defineste metoda de autentificare RADIUS pentru dot1x

(config)# dot1x system auth-control # activeaza global dot1x

(config)# radius-server host 10.1.1.1 # definim IP-ul serverului RADIUS
(config)# radius-server key "cisco" # definim cheia pentru serverul RADIUS

(config-if)#  dot1x port-control force-authorized # NU e nevoie de autentificare pentru acest port
(config-if)#  dot1x port-control auto # este nevoie de autentificare 802.1x pentru acest port
(config-if)#  dot1x port-control force-unauthorised # pe acest port NU se permite autentificarea 

Daca vrem ca pentru hosturile care nu se autentifica (ATENTIE ! – nu trimit EAPoL frame catre switch) sa pastram un vlan cu acces limitat putem face acest lucru astfel:

 (config)# dot1x guest-vlan supplicant
 (config-if)# dot1x guest-vlan 10 

Odata ajunsi in acest vlan, isi pot downloada de exemplul clientul de 802.1x, insa in momentul in care incearca sa se autentifice dot.1x, daca nu introduc user/parola corecte, portul din switch va fi scos din vlanul “guest” pentru ca a primit EAPoL frame.