S5720S（V200R010C00SPC600）对ip话机不做认证，对普通用户做802.1x认证

内网存在多个同一批次的ip话机，想多ip话机不做认证，对普通上网用户做802.1x认证

1、创建MAC地址段用户的强制域domain ip_phone mac-authen force mac-address f8xx-xx00-0000 mask ffff-ff00-0000

2、创建普通用户做的802.1x认证的raduis模板

radius-server template 802.1x

radius-server shared-key cipher %^%#R\WuTS4@:-mfbSV\#wQ><EQRWpdk>1w@c4=r&,o4%^%#

radius-server authentication 10.x.x.9 1812 weight 80

radius-server authentication 10.x.x.110 1812 weight 50

3、创建认证方案，普通用户的认证模式为raduis，ip话机的认证模式为不认证。

aaa

authentication-scheme NPS

authentication-mode radius

authentication-scheme null

authentication-mode none

4、创建认证域。对802.1x用户，在认证域下调用对应的认证方案和raduis服务器模板；对ip话机用户调用免认证方案

domain 802.1x

authentication-scheme NPS

radius-server 802.1x

domain ip_phone

authentication-scheme null

5、创建一个mac接入模板和dot1x接入模板，保持默认配置即可

mac-access-profile name mac

dot1x-access-profile name 802.1x

6、创建认证方案

authentication-profile name renzheng

dot1x-access-profile 802.1x

mac-access-profile mac

access-domain 802.1x

注意：此处不需要配置mac接入域，有该条配置会导致PC dot1x认证不成功时走ip_phone域进行mac认证，导致PC密码错误也能mac不认证上线

7、在接口下调用认证方案

interface GigabitEthernet0/0/1

authentication-profile renzheng