16-802.1x-HABP-MAC地址认证操作

H3C S3610&S5510 系列以太网交换机 操作 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 802.1x-HABP-MAC 地址认证 目 录 i 目 录 第 1章 802.1x配置 ..................................................................................................................1-1 1.1 802.1x简介 ......................................................................................................................... 1-1 1.1.1 802.1x的体系结构.................................................................................................... 1-1 1.1.2 802.1x的工作机制.................................................................................................... 1-3 1.1.3 EAPOL消息的封装 .................................................................................................. 1-3 1.1.4 EAP属性的封装 ....................................................................................................... 1-5 1.1.5 802.1x的认证过程.................................................................................................... 1-5 1.1.6 802.1x的定时器 ....................................................................................................... 1-9 1.1.7 802.1x在设备中的实现 .......................................................................................... 1-10 1.1.8 和 802.1x配合使用的特性...................................................................................... 1-10 1.2 配置 802.1x ...................................................................................................................... 1-12 1.2.1 配置准备 ................................................................................................................ 1-12 1.2.2 配置全局 802.1x .................................................................................................... 1-12 1.2.3 配置端口的 802.1x................................................................................................. 1-14 1.3 配置Guest VLAN.............................................................................................................. 1-15 1.3.1 配置准备 ................................................................................................................ 1-15 1.3.2 配置Guest VLAN ................................................................................................... 1-16 1.4 802.1x显示和维护 ............................................................................................................ 1-16 1.5 802.1x典型配置举例 ........................................................................................................ 1-17 1.6 Guest VLAN的典型配置举例............................................................................................ 1-20 1.7 下发ACL典型配置举例 ..................................................................................................... 1-22 第 2章 HABP配置 ...................................................................................................................2-1 2.1 HABP简介 .......................................................................................................................... 2-1 2.2 HABP配置 .......................................................................................................................... 2-1 2.2.1 配置HABP Server.................................................................................................... 2-1 2.2.2 配置HABP client ...................................................................................................... 2-2 2.3 HABP显示和维护 ............................................................................................................... 2-2 第 3章 MAC地址认证配置 ......................................................................................................3-1 3.1 MAC地址认证简介 ............................................................................................................. 3-1 3.1.1 RADIUS服务器认证方式进行MAC地址认证............................................................ 3-1 3.1.2 本地认证方式进行MAC地址认证 ............................................................................. 3-1 3.2 相关概念............................................................................................................................. 3-2 3.2.1 MAC地址认证定时器 ............................................................................................... 3-2 3.2.2 静默MAC ................................................................................................................. 3-2 3.2.3 下发VLAN................................................................................................................ 3-2 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 目 录 ii 3.2.4 下发ACL .................................................................................................................. 3-3 3.3 配置MAC地址认证 ............................................................................................................. 3-3 3.3.1 配置准备 .................................................................................................................. 3-3 3.3.2 配置过程 .................................................................................................................. 3-3 3.4 MAC地址认证的显示和维护............................................................................................... 3-4 3.5 MAC地址认证典型配置举例............................................................................................... 3-5 3.5.1 MAC地址本地认证................................................................................................... 3-5 3.5.2 MAC地址RADIUS认证 ............................................................................................ 3-7 3.5.3 下发ACL典型配置举例 ............................................................................................ 3-9 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-1 第1章 802.1x 配置 1.1 802.1x简介 IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题，提出了 802.1x 协议。 后来，802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用， 主要解决以太网内认证和安全方面的问题。 802.1x 协议是一种基于端口的网络接入控制协议（Port Based Network Access Control）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所 接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可 以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。 1.1.1 802.1x的体系结构 使用 802.1x的系统为典型的Client/Server体系结构，包括三个实体，如图 1-1所示 分别为：Supplicant system（客户端）、Authenticator system（设备端）以及 Authentication server system（认证服务器）。 Supplicant PAE Supplicant system Services offered by Authenticator’s system Authenticator PAE Authenticator system Authentication server system Authentication serverEAP protocol exchanges carried in higher layer protocol Port unauthorized LAN/WLAN 图1-1 802.1x认证系统的体系结构 z 客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认 证。客户端一般为一个用户终端设备，用户通过启动客户端软件发起 802.1x 认证。客户端必须支持 EAPOL（Extensible Authentication Protocol over LAN， 局域网上的可扩展认证协议）。 z 设备端是位于局域网段一端的另一个实体，对所连接的客户端进行认证。设备 端通常为支持 802.1x 协议的网络设备，它为客户端提供接入局域网的端口， 该端口可以是物理端口，也可以是逻辑端口。 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-2 z 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行 认证、授权和计费，通常为 RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。该服务器可以存储有关用户的信 息。包括用户名、密码以及其它参数，例如用户所属的 VLAN、CAR 参数、优 先级、用户的访问控制列表等。 三个实体涉及如下三个基本概念：端口 PAE、受控端口和受控方向。 1. PAE PAE（Port Access Entity，端口访问实体）是 802.1x 认证机制中负责执行算法和协 议操作的实体。 z 设备端 PAE 利用认证服务器对需要接入局域网的客户端执行认证，并根据认 证结果对受控端口的授权/非授权状态进行相应地控制。授权状态是指允许用 户不经认证授权即可访问网络资源；非授权状态是指仅允许 EAPOL 报文收发， 不允许用户访问网络资源。 z 客户端 PAE 负责响应设备端的认证请求，向设备端提交用户的认证信息。客 户端 PAE 也可以主动向设备端发送认证请求和下线请求。 2. 受控/非受控端口 设备端为客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端 口和非受控端口。 z 非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，保证客户 端始终能够发出或接收认证报文。 z 受控端口在授权状态下处于双向连通状态，用于传递业务报文；在非授权状态 下禁止从客户端接收任何报文。 z 受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧，在受控 端口与非受控端口上均可见。 3. 受控方向 在非授权状态下，受控端口可以被设置成单向受控和双向受控。 z 实行双向受控时，禁止帧的发送和接收； z 实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。 说明： 目前，设备只支持单向受控。 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-3 1.1.2 802.1x的工作机制 IEEE 802.1x 认证系统使用 EAP（Extensible Authentication Protocol，可扩展认证 协议），来实现客户端、设备端和认证服务器之间认证信息的交换。 Supplicant system PAE Authenticator system PAE Authentication server system EAPOL RADIUS 图1-2 802.1x认证系统的工作机制 z 在客户端 PAE 与设备端 PAE 之间，EAP 协议报文使用 EAPOL 封装格式，直 接承载于 LAN 环境中。 z 在设备端 PAE 与 RADIUS 服务器之间，可以使用两种方式来交换信息。一种 是 EAP 协议报文使用 EAPOR（EAP over RADIUS）封装格式承载于 RADIUS 协议中；另一种是 EAP 协议报文由设备端 PAE 进行终结，采用包含 PAP （Password Authentication Protocol，密码验证协议）或 CHAP（Challenge Handshake Authentication Protocal，质询握手验证协议）属性的报文与 RADIUS 服务器进行认证交互。 z 当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端 PAE 根据 RADIUS 服务器的指示（Accept 或 Reject）决定受控端口的授权/ 非授权状态。 1.1.3 EAPOL消息的封装 1. EAPOL数据包的格式 EAPOL是 802.1x协议定义的一种报文封装格式，主要用于在客户端和设备端之间传 送EAP协议报文，以允许EAP协议报文在LAN上传送。EAPOL数据包的格式如图 1-3 所示。 0 15 PAE Ethernet Type Packet Body TypeProtocol Version Length 7 2 4 6 N 图1-3 EAPOL数据包格式 PAE Ethernet Type：表示协议类型，为 0x888E。 Protocol Version：表示 EAPOL 帧的发送方所支持的协议版本号。 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-4 Type：表示EAPOL数据帧类型，具体内容见表 1-1。 表1-1 EAPOL数据类型 类型 说明 EAP-Packet（值为 0x00）：认证信息帧， 用于承载认证信息 该帧在设备端和认证服务器之间存在，重新封 装并承载于 RADIUS 协议上，便于穿越复杂的 网络到达认证服务器 EAPOL-Start（值为 0x01）：认证发起帧 EAPOL-Logoff（值为 0x02）：退出请求帧 EAPOL-Key（值为 0x03）：密钥信息帧 这三种类型的帧仅在客户端和设备端之间存在 EAPOL-Encapsulated-ASF-Alert（值为 0x04）：用于支持 ASF（Alert Standard Forum）的 Alerting 消息 该帧用于封装与网管相关信息，例如各种警告 信息，由设备端终结 Length：表示数据长度，也就是“Packet Body”字段的长度，单位为字节。如果为 0，则表示没有后面的数据域。 Packet Body：表示数据内容，根据不同的 Type 有不同的格式。 2. EAP数据包的格式 当EAPOL数据包格式Type域为EAP-Packet时，Packet Body为EAP数据包结构，如 图 1-4所示。 0 15 Code Data Length 7 Identifier 2 4 N 0 N 图1-4 EAP数据包格式 Code：指明 EAP 包的类型，共有 4 种：Request、Response、Success、Failure。 z Success 和 Failure 类型的包没有 Data 域，相应的 Length 域的值为 4。 z Request和Response类型数据包的Data域的格式如图 1-5所示。Type为EAP 的认证类型，Type data的内容由类型决定。例如，Type值为 1 时代表Identity， 用来查询对方的身份；Type值为 4 时，代表MD5-Challenge，类似于PPP CHAP 协议，包含质询消息。 Type Type data 7 图1-5 Request和 Response类型数据包的 Data域的格式 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-5 5 Identifier：辅助进行 Request 和 Response 消息的匹配。 Length：EAP 包的长度，包含 Code、Identifier、Length 和 Data 域，单位为字节。 Data：EAP 包的内容，由 Code 类型决定。 1.1.4 EAP属性的封装 RADIUS 为支持 EAP 认证增加了两个属性：EAP-Message（EAP 消息）和 Message-Authenticator （消息认证码）。RADIUS 协议的报文格式请参见 “AAA-RADIUS-HWTACACS 操作”的 RADIUS 协议简介部分。 1. EAP-Message 如图 1-6所示，这个属性用来封装EAP数据包，类型代码为 79，String域最长 253 字节，如果EAP数据包长度大于 253 字节，可以对其进行分片，依次封装在多个 EAP-Message属性中。 0 1 Type Str 7 ingLength N EAP packets 图1-6 EAP-Message属性封装 2. Message-Authenticator 如图 1-7所示，这个属性用于在使用EAP、CHAP等认证方法的过程中，避免接入请 求包被窃听。在含有 EAP-Message 属性的数据包中，必须同时也包含 Message-Authenticator，否则该数据包会被认为无效而被丢弃。 0 2 Type St 1 18 bytes ringLength 图1-7 Message-Authenticator属性 1.1.5 802.1x的认证过程 认证过程可以由客户端主动发起，也可以由设备端发起。一方面当设备端探测到有 未经过认证的用户使用网络时，就会主动向客户端发送 EAP-Request/Identity 报文， 发起认证；另一方面客户端可以通过客户端软件向设备端发送 EAPOL-Start 报文， 发起认证。 802.1x系统支持 EAP 中继方式和 EAP 终结方式与远端 RADIUS 服务器交互完成认 证。以下关于两种认证方式的过程描述，都以客户端主动发起认证为例。 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-6 1. EAP中继方式 这种方式是 IEEE 802.1x 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 规定的，将 EAP（扩展认证协议）承载在其它高层协 议中，如 EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务 器。一般来说，EAP 中继方式需要 RADIUS 服务器支持 EAP 属性：EAP-Message 和 Message-Authenticator。 目前设备所支持的 EAP 中继方式有四种：EAP-MD5、EAP-TLS（Transport Layer Security，传输层安全）、EAP-TTLS（Tunneled Transport Layer Security，隧道 传输层安全）和 PEAP（Protected Extensible Authentication Protocol，受保护的扩 展认证协议）。 z EAP-MD5 ：验证客户端的身份， RADIUS 服务器发送 MD5 加密字 （EAP-Request/MD5 Challenge 报文）给客户端，客户端用该加密字对口令 部分进行加密处理。 z EAP-TLS：客户端和 RADIUS 服务器端通过 EAP-TLS 认证方法检查彼此的安 全证书，验证对方身份，保证通信目的端的正确性，防止网络数据被窃听。 z EAP-TTLS：是对 EAP-TLS 的一种扩展。在 EAP-TLS 中，实现对客户端和认 证服务器的双向认证。EAP-TTLS 扩展了这种实现，它使用 TLS 建立起来的 安全隧道传递信息。 z PEAP：首先创建和使用 TLS 安全通道来进行完整性保护，然后进行新的 EAP 协商，从而完成对客户端的身份验证。 下面以EAP-MD5 方式为例介绍基本业务 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 ，如图 1-8所示。 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-7 Supplicant system PAE RADUIS server EAPOL EAPOR EAPOL-Start EAP-Request / Identity EAP-Response / Identity EAP-Request / MD5 challenge EAP-Success EAP-Response / MD5 challenge RADIUS Access (EAP-Response / Id RADIUS Access-Chal (EAP-Request / MD5 ch -Request entity) lenge allenge) RADIUS Access-Acc (EAP-Success RADIUS Access (EAP-Response / MD5 ept ) -Request challenge) 端口被授权 握手定时器 握手请求报文 [ EAP-Request / Identity ] 握手应答报文 [ EAP-Response / Identity ] EAPOL-Logoff ...... 端口非授权 Authenticator system PAE 图1-8 IEEE 802.1x认证系统的 EAP中继方式业务流程 认证过程如下： (1) 当用户有访问网络需求时打开 802.1x 客户端程序，输入已经申请、登记过的 用户名和密码，发起连接请求（EAPOL-Start 报文）。此时，客户端程序将发 出请求认证的报文给设备端，开始启动一次认证过程。 (2) 设备端收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity 报文）要求用户的客户端程序发送输入的用户名。 (3) 客 户 端 程 序 响 应 设 备 端 发 出 的 请 求 ， 将 用 户 名 信 息 通 过 数 据 帧 （EAP-Response/Identity 报文）发送给设备端。设备端将客户端发送的数据 帧经过封包处理后（RADIUS Access-Request 报文）送给认证服务器进行处 理。 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-8 (4) RADIUS 服务器收到设备端转发的用户名信息后，将该信息与数据库中的用户 名表对比，找到该用户名对应的密码信息，用随机生成的一个加密字对它进行 加密处理，同时也将此加密字通过 RADIUS Access-Challenge 报文发送给设 备端，由设备端转发给客户端程序。 (5) 客户端程序收到由设备端传来的加密字（EAP-Request/MD5 Challenge 报文） 后，用该加密字对密码部分进行加密处理（此种加密算法通常是不可逆的，生 成 EAP-Response/MD5 Challenge 报文），并通过设备端传给认证服务器。 (6) RADIUS 服务器将收到的已加密的密码信息（RADIUS Access-Request 报文） 和本地经过加密运算后的密码信息进行对比，如果相同，则认为该用户为合法 用户，反馈认证通过的消息（RADIUS Access-Accept 报文和 EAP-Success 报文）。 (7) 设备收到认证通过消息后将端口改为授权状态，允许用户通过端口访问网络。 在此期间，设备端会通过向客户端定期发送握手报文的方法，对用户的在线情 况进行监测。缺省情况下，两次握手请求报文都得不到客户端应答，设备端就 会让用户下线，防止用户因为异常原因下线而设备无法感知。 (8) 客户端也可以发送 EAPOL-Logoff 报文给设备端，主动要求下线，设备端把端 口状态从授权状态改变成未授权状态。 说明： EAP中继方式下，如果要采用 PEAP、EAP-TLS、EAP-TTLS或者 EAP-MD5这四 种认证方法之一，需要保证在客户端和 RADIUS服务器上选择一致的认证方法，而 在设备上，只需要通过 dot1x authentication-method eap命令启动 EAP中继方 式即可。 2. EAP终结方式 这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议 完成认证、授权和计费。基本业务流程如图 1-9所示。 对于EAP终结方式，设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方 法。以下以CHAP认证方法为例介绍基本业务流程，如图 1-9所示。 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 EAPOL RADIUS 1-9 EAPOL-Start EAP-Resquest / Identity EAP-Response / Identity EAP-Request / MD5 challenge EAP-Response / MD5 challenge RADIUS Access-R (CHAP-Response / MD5 equest challenge) RADIUS Access-A (CHAP-Success) ccept 端口被授权 握手定时器 ...... 端口非授权 Supplicant system PAE Authenticator system PAE RADUIS server EAP-Success 握手请求报文 [ EAP-Request / Identity ] 握手应答报文 [ EAP-Response / Identity ] EAPOL-Logoff 图1-9 IEEE 802.1x认证系统的 EAP终结方式业务流程 EAP 终结方式与 EAP 中继方式的认证流程相比，不同之处在于用来对用户密码信 息进行加密处理的随机加密字由设备端生成，之后设备端会把用户名、随机加密字 和客户端加密后的密码信息一起送给 RADIUS 服务器，进行相关的认证处理。 1.1.6 802.1x的定时器 802.1x 认证过程中会启动多个定时器以控制接入用户、设备以及 RADIUS 服务器之 间进行合理、有序的交互。802.1x 的定时器主要有以下几种： z 用户名请求超时定时器（tx-period）：该定时器定义了两个时间间隔。其一， 当设备端向客户端发送 EAP-Request/Identity 请求报文后，设备端启动该定时 器，若在 tx-period 设置的时间间隔内，设备端没有收到客户端的响应，则设 备端将重发认证请求报文；其二，为了兼容不主动发送 EAPOL-Start 连接请求 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-10 报文的客户端，设备会定期组播 EAP-Request/Identity 请求报文来检测客户 端。tx-period 定义了该组播报文的发送时间间隔。 z 客户端认证超时定时器（supp-timeout）：当设备端向客户端发送了 EAP-Request/MD5 Challenge 请求报文后，设备端启动此定时器，若在该定 时器设置的时长内，设备端没有收到客户端的响应，设备端将重发该报文。 z 认证服务器超时定时器（server-timeout）：当设备端向认证服务器发送了 RADIUS Access-Request 请求报文后，设备端启动 server-timeout 定时器， 若在该定时器设置的时长内，设备端没有收到认证服务器的响应，设备端将重 发认证请求报文。 z 握手定时器（handshake-period）：此定时器是在用户认证成功后启动的， 设备端以此间隔为周期发送握手请求报文，以定期检测用户的在线情况。如果 配置发送次数为 N，则当设备端连续 N 次没有收到客户端的响应报文，就认为 用户已经下线。 z 静默定时器（quiet-period）：对用户认证失败以后，设备端需要静默一段时 间（该时间由静默定时器设置），在静默期间，设备端不处理该用户的认证请 求。 1.1.7 802.1x在设备中的实现 设备在 802.1x 的 EAP 中继方式和 EAP 终结方式的实现中，不仅支持协议所规定的 端口接入认证方式，还对其进行了扩展、优化： z 支持一个物理端口下挂接多个用户的应用场合； z 接入控制方式（即对用户的认证方式）可以采用基于 MAC 和基于端口两种方 式。当采用基于 MAC 方式时，该端口下的所有接入用户均需要单独认证，当 某个用户下线时，也只有该用户无法使用网络。当采用基于端口方式时，只要 该端口下的第一个用户认证成功后，其它接入用户无须认证就可使用网络资 源，但是当第一个用户下线后，其它用户也会被拒绝使用网络。 1.1.8 和 802.1x配合使用的特性 1. VLAN下发 802.1x 用户在服务器上通过认证时，服务器会把授权信息传送给设备端。如果服务 器上配置了下发 VLAN 功能，则授权信息中含有授权下发的 VLAN 信息，设备根据 用户认证上线的端口链路类型，按以下三种情况将端口加入下发 VLAN 中。 z 端口的链路类型为 Access，当前 Access 端口离开用户配置的 VLAN 并加入授 权下发的 VLAN 中。 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-11 z 端口的链路类型为 Trunk，设备允许授权下发的 VLAN 通过当前 Trunk 端口， 并且端口的缺省 VLAN ID 为下发 VLAN 的 VLAN ID。 z 端口的链路类型为 Hybrid，设备允许授权下发的 VLAN 以不携带 Tag 的方式 通过当前 Hybrid 端口，并且端口的缺省 VLAN ID 为下发 VLAN 的 VLAN ID。 授权下发的 VLAN 并不改变端口的配置，也不影响端口的配置。但是，授权下发的 VLAN 的优先级高于用户配置的 VLAN，即通过认证后起作用的 VLAN 是授权下发 的 VLAN，用户配置的 VLAN 在用户下线后生效。 关于不同端口链路类型下 VLAN 的具体配置请参见“VLAN 操作”。 说明： z 对于 Hybrid端口，如果授权下发的 VLAN已经配置为携带 Tag的方式加入端口， 则 VLAN下发失败。 z 对于 Hybrid端口，在 VLAN下发之后，不能将授权下发的 VLAN配置修改为携 带 Tag的方式。 2. Guest VLAN Guest VLAN 功能用来允许未认证用户访问某些特定资源。 用户认证端口在通过 802.1x 认证之前属于一个缺省 VLAN（即 Guest VLAN），用 户访问该 VLAN 内的资源不需要认证，但此时不能够访问其他网络资源；认证成功 后，端口离开 Guest VLAN，用户可以访问其他的网络资源。 用户在 Guest VLAN 中可以获取 802.1x 客户端软件，升级客户端，或执行其他一些 用户升级程序。如果因为没有专用的认证客户端或者客户端版本过低等原因，导致 在一定的时间内（默认 45 秒）端口上无客户端认证成功，接入设备会把该端口加入 到 Guest VLAN。 开启 802.1x 特性并正确配置 Guest VLAN 后，当设备从某一端口发送触发认证报文 （EAP-Request/Identity）超过设定的最大次数而没有收到客户端的任何回应报文 时，与 VLAN 下发类似，该端口将按照各自的链路类型情况被加入到 Guest VLAN 内。此时 Guest VLAN 中端口下的用户发起认证，如果认证失败，该端口将会仍然 处在 Guest VLAN 内；如果认证成功，分为以下两种情况： z 认证服务器下发一个 VLAN，这时端口离开 Guest VLAN，加入下发的 VLAN 中。用户下线后，端口会回到配置的 VLAN 中（加入 Guest VLAN 之前所在的 VLAN，即“初始 VLAN”）。 z 认证服务器不下发 VLAN，这时端口离开 Guest VLAN，加入配置的 VLAN 中。 用户下线后，端口仍在配置的 VLAN 中。 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-12 3. ACL下发 ACL（Access Control List，访问控制列表）提供了控制用户访问网络资源和限制用 户访问权限的功能。当用户上线时，如果 RADIUS 服务器上配置了授权 ACL，则设 备会根据服务器下发的授权 ACL 对用户所在端口的数据流进行控制；服务器上配置 的授权 ACL 需要在设备上配置相应的规则，在用户访问网络的过程中，可以通过改 变服务器的授权 ACL 设置或设备上对应的 ACL 规则来改变用户的访问权限。 1.2 配置 802.1x 802.1x 本身的各项配置除了“全局及端口下开启 802.1x 特性”任务外，其余配置 则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。 1.2.1 配置准备 802.1x 提供了一个用户身份认证的实现 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ，但是仅仅依靠 802.1x 是不足以实现 该方案的。接入设备的管理者选择使用 RADIUS 或本地认证方法，以配合 802.1x 完成用户的身份认证。因此，需要首先完成以下配置任务： z 配置 802.1x 用户所属的 ISP 认证域及及其使用的 AAA 方案，即本地认证方案 或 RADIUS 方案。 z 如果需要通过 RADIUS 服务器进行认证，则应该在 RADIUS 服务器上配置相 应的用户名和密码。 z 如果需要本地认证，则应该在设备上手动添加认证的用户名和密码。配置本地 认证时，用户使用的服务类型必须设置为 lan-access。 RADIUS 客户端的具体配置请参见“AAA-RADIUS-HWTACACS 操作”。 1.2.2 配置全局 802.1x 表1-2 配置全局 802.1x 配置步骤 命令 说明 进入系统视图 system-view - 开启全局的 802.1x 特性 dot1x 必选 缺省情况下，全局的 802.1x 特 性为关闭状态 设置 802.1x用户的认证方法 dot1x authentication-method { chap | eap | pap } 可选 缺省情况下，设备对 802.1x 用 户的认证方法为 CHAP 认证 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-13 配置步骤 命令 说明 设置端口接 入控制的模 式 dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ] 可选 缺省情况下，802.1x 在端口上 进行接入控制的模式为 auto 设置端口接 入控制方式 dot1x port-method { macbased | portbased } [ interface interface-list ] 可选 缺省情况下，802.1x 在端口上 进行接入控制方式为 macbased 配置端口控 制 设置端口同 时接入用户 数量的最大 值 dot1x max-user user-number [ interface interface-list ] 可选 缺省情况下，端口同时接入用 户数量最大值为 256 设置设备向接入用户发送认 证请求报文的最大次数 dot1x retry max-retry-value 可选 缺省情况下，max-retry-value 为 2，即设备最多可向接入用户 发送 2 次认证请求报文 配置定时器参数 dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value } 可选 缺省情况下： z 握手定时器的值为 15 秒 z 静默定时器的值为 60 秒 z 认证服务器超时定时器的 值为 100 秒 z 客户端认证超时定时器的 值为 30 秒 z 用户名请求超时定时器的 值为 30 秒 开启静默定时器功能 dot1x quiet-period 可选 缺省情况下，静默定时器功能 处于关闭状态 使能全局的对通过代理登录 设备的用户的检测及控制 dot1x supp-proxy-check { logoff | trap } [ interface interface-list ] 可选 缺省情况下，没有设置设备对 通过代理登录的用户的检测及 接入控制 H3C S3610&S5510 系列以太网交换机 操作手册 802.1x-HABP-MAC 地址认证 第 1 章 802.1x 配置 1-14 说明： z 只有同时开启全局和端口的 802.1x特性后，802.1x的配置才能在端口上生效。 z 开启端口的 802.1x特性与配置端口控制（设置端口接入控制的模式、端口接入控 制方式、端口同时接入用户数量的最大值）也可在接口视图下进行，具体配置请 参见表 1-4和表 1-3。全局配置与端口配置并无优先级之分，仅是作用范围不一 致，后配置的参数会覆盖已有的参数。 z 必须同时开启全局和指定端口的代理用户检测与控制，此特性的配置才能在该端 口上生效。 z 一般情况下，用户无需使用 dot1x timer命令改变部分定时器值，除非在一些特 殊或恶劣的网络环境下，可以使用该命令调节交互进程。 1.2.3 配置端口的 802.1x 1. 开启端口 802.1x特性 表1-3 开启端口 802.1x特性 配置步骤 命令 说明 进入系统视图 system-view - 在系统视图 下 dot1x interface interface-list interface interface-type interface-number 开启端口的 802.1x 特性 在以太网端 口视图下 dot1x 二者必选其一 缺省情况下，端口的 802.1x 特 性为关闭状态 2. 配置端口 802.1x参数 表1-4 配置端口 802.1x参数 配置步骤 命令 说明 进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 设置端