《详解及配置》word版

1、.03-802.1x配置目 录1 802.1X配置.1-11.1 802.1X简介.1-11.1.1 802.1X的体系构造.1-11.1.2 802.1X的认证方式.1-21.1.3 802.1X的根本概念.1-21.1.4 EAPOL消息的封装.1-31.1.5 EAP属性的封装.1-51.1.6 802.1X的认证触发方式.1-51.1.7 802.1X的认证过程.1-61.1.8 802.1X的接入控制方式.1-81.1.9 802.1X的定时器.1-81.1.10 和802.1X配合使用的特性.1-91.2 802.1X配置任务简介.1-111.3 802.1X根本配置.1-121.

2、3.1 配置准备.1-121.3.2 配置全局802.1X.1-121.3.3 配置端口的802.1X.1-131.4 开启在线用户握手功能.1-141.5 配置代理检测功能.1-151.6 开启组播触发功能.1-151.7 配置端口的强迫认证域.1-161.8 配置静默定时器功能.1-161.9 配置重认证功能.1-161.10 配置Guest VLAN.1-171.10.1 配置准备.1-171.10.2 配置Guest VLAN.1-181.11 配置Auth-Fail VLAN.1-181.11.1 配置准备.1-181.11.2 配置Auth-Fail VLAN.1-191.12 8

3、02.1X显示和维护.1-191.13 802.1X典型配置举例WX系列无线控制产品适用.1-191.14 下发ACL典型配置举例WX系列无线控制产品适用.1-22 l 本手册中标有“请以设备实际情况为准的特性描绘，表示WX系列无线控制产品的各型号对于此特性的支持情况不同，详细差异请参见“特性差异化列表的“特性支持情况章节。l 无线控制产品支持的接口类型和编号与设备的实际情况相关，实际使用中请根据详细设备的接口类型和编号进展配置。 1802.1X配置1.1 802.1X简介IEEE802 LAN/WAN委员会为解决无线局域网网络平安问题，提出了802.1X协议。后来，802.1X协议作为局域网

4、端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和平安方面的问题。802.1X协议是一种基于端口的网络接入控制协议port based network access control protocol。“基于端口的网络接入控制是指在局域网接入设备的端口这一级对所接入的用户设备进展认证和控制。连接在端口上的用户设备假设能通过认证，就可以访问局域网中的资源；假设不能通过认证，那么无法访问局域网中的资源。由于端口平安特性通过多种平安形式提供了802.1X和MAC地址认证的扩展和组合应用，因此在需要灵敏使用以上两种认证方式的组网环境下，推荐使用端口平安特性。无特殊组网要求的情况下，无

5、线环境中通常使用端口平安特性。而在仅需要802.1X特性来完成接入控制的组网环境下，推荐单独使用802.1X特性，配置过程简洁明了。关于端口平安特性的详细介绍和详细配置请参见“端口平安配置。 1.1.1 802.1X的体系构造802.1X系统为典型的Client/Server构造，如图1-1所示，包括三个实体：客户端Client、设备端Device和认证效劳器Server。图1-1802.1X认证系统的体系构造 l 客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进展认证。客户端一般为一个用户终端设备，用户可以通过启动客户端软件发起802.1X认证。客户端必须支持EAPOLExt

6、ensible Authentication Protocol over LAN，局域网上的可扩展认证协议。l 设备端是位于局域网段一端的另一个实体，对所连接的客户端进展认证。设备端通常为支持802.1X协议的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。l 认证效劳器是为设备端提供认证效劳的实体。认证效劳器用于实现对用户进展认证、受权和计费，通常为RADIUSRemote Authentication Dial-In User Service，远程认证拨号用户效劳效劳器。1.1.2 802.1X的认证方式802.1X认证系统使用EAPExtensible

7、Authentication Protocol，可扩展认证协议，来实现客户端、设备端和认证效劳器之间认证信息的交换。l 在客户端与设备端之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。l 在设备端与RADIUS效劳器之间，可以使用两种方式来交换信息。一种是EAP协议报文由设备端进展中继，使用EAPOREAP over RADIUS封装格式承载于RADIUS协议中；另一种是EAP协议报文由设备端进展终结，采用包含PAPPassword Authentication Protocol，密码验证协议或CHAPChallenge Handshake Authentication P

8、rotocal，质询握手验证协议属性的报文与RADIUS效劳器进展认证交互。1.1.3 802.1X的根本概念1.受控/非受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个逻辑端口：受控端口和非受控端口。任何到达该端口的帧，在受控端口与非受控端口上均可见。l 非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终可以发出或接收认证报文。l 受控端口在受权状态下处于双向连通状态，用于传递业务报文；在非受权状态下制止从客户端接收任何报文。2.受权/非受权状态设备端利用认证效劳器对需要接入局域网的客户端执行认证，并根据认证结果Accept或Reject对受控端口的

9、受权/非受权状态进展相应地控制。图1-2显示了受控端口上不同的受权状态对通过该端口报文的影响。图中比照了两个802.1X认证系统的端口状态。系统1的受控端口处于非受权状态相当于端口开关翻开，系统2的受控端口处于受权状态相当于端口开关关闭。图1-2受控端口上受权状态的影响 用户可以通过在端口下配置的接入控制的形式来控制端口的受权状态。端口支持以下三种接入控制形式：l 强迫受权形式authorized-force：表示端口始终处于受权状态，允许用户不经认证受权即可访问网络资源。l 强迫非受权形式unauthorized-force：表示端口始终处于非受权状态，不允许用户进展认证。设备端不对通过该端

10、口接入的客户端提供认证效劳。l 自动识别形式auto：表示端口初始状态为非受权状态，仅允许EAPOL报文收发，不允许用户访问网络资源；假设认证通过，那么端口切换到受权状态，允许用户访问网络资源。这也是最常见的情况。3.受控方向在非受权状态下，受控端口可以被设置成单向受控和双向受控。l 实行双向受控时，制止帧的发送和接收；l 实行单向受控时，制止从客户端接收帧，但允许向客户端发送帧。目前，设备只支持单向受控。 1.1.4 EAPOL消息的封装1.EAPOL数据包的格式EAPOL是802.1X协议定义的一种报文封装格式，主要用于在客户端和设备端之间传送EAP协议报文，以允许EAP协议报文在LAN上

11、传送。EAPOL数据包的格式如图1-3所示。图1-3EAPOL数据包格式 PAE Ethernet Type：表示协议类型，为0x888E。Protocol Version：表示EAPOL帧的发送方所支持的协议版本号。Type：表示EAPOL数据帧类型，目前设备上支持的数据类型见表1-1。表1-1EAPOL数据类型类型说明EAP-Packet值为0x00：认证信息帧，用于承载认证信息该帧在设备端重新封装并承载于RADIUS协议上，便于穿越复杂的网络到达认证效劳器EAPOL-Start值为0x01：认证发起帧这两种类型的帧仅在客户端和设备端之间存在EAPOL-Logoff值为0x02：退出恳求帧

12、 Length：表示数据长度，也就是“Packet Body字段的长度，单位为字节。假设为0，那么表示没有后面的数据域。Packet Body：表示数据内容，根据不同的Type有不同的格式。2.EAP数据包的格式当EAPOL数据包格式Type域为EAP-Packet时，Packet Body为EAP数据包构造，如图1-4所示。图1-4EAP数据包格式 Code：指明EAP包的类型，共有4种：Request、Response、Success、Failure。l Success和Failure类型的包没有Data域，相应的Length域的值为4。l Request和Response类型数据包的Da

13、ta域的格式如图1-5所示。Type为EAP的认证类型，Type data的内容由类型决定。例如，Type值为1时代表Identity，用来查询对方的身份；Type值为4时，代表MD5-Challenge，类似于PPP CHAP协议，包含质询消息。图1-5Request和Response类型数据包的Data域的格式 Identifier：用于匹配Request消息和Response消息的匹配。Length：EAP包的长度，包含Code、Identifier、Length和Data域，单位为字节。Data：EAP包的内容，由Code类型决定。1.1.5 EAP属性的封装RADIUS为支持EAP认

14、证增加了两个属性：EAP-MessageEAP消息和Message-Authenticator消息认证码。RADIUS协议的报文格式请参见“AAA配置的RADIUS协议简介部分。1.EAP-Message如图1-6所示，这个属性用来封装EAP数据包，类型代码为79，String域最长253字节，假设EAP数据包长度大于253字节，可以对其进展分片，依次封装在多个EAP-Message属性中。图1-6EAP-Message属性封装 2.Message-Authenticator如图1-7所示，这个属性用于在使用EAP、CHAP等认证方法的过程中，防止接入恳求包被窃听。在含有EAP-Message

15、属性的数据包中，必须同时也包含Message-Authenticator，否那么该数据包会被认为无效而被丢弃。图1-7Message-Authenticator属性 1.1.6 802.1X的认证触发方式802.1X的认证过程可以由客户端主动发起，也可以由设备端发起。设备支持的认证触发方式包括以下两种：1.客户端主动触发方式客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址：01-80-C2-00-00-03。另外，由于网络中有些设备不支持上述的组播报文，使得认证设备无法收到客户端的认证恳求，因此设备端还支持播送触发方

16、式，即，可以接收客户端发送的目的地址为播送MAC地址的EAPOL-Start报文。这种触发方式需要H3C iNode的802.1X客户端的配合。2.设备端主动触发方式设备会每隔N秒例如30秒主动向客户端发送EAP-Request/Identity报文来触发认证，这种触发方式用于支持不能主动发送EAPOL-Start报文的客户端，例如Windows XP自带的802.1X客户端。1.1.7 802.1X的认证过程802.1X系统支持EAP中继方式和EAP终结方式与远端RADIUS效劳器交互完成认证。以下关于两种认证方式的过程描绘，都以客户端主动发起认证为例。1.EAP中继方式这种方式是IEEE

17、802.1X标准规定的，将EAP可扩展认证协议承载在其它高层协议中，如EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证效劳器。一般来说，EAP中继方式需要RADIUS效劳器支持EAP属性：EAP-Message和Message-Authenticator，分别用来封装EAP报文及对携带EAP-Message的RADIUS报文进展保护。下面以EAP-MD5方式为例介绍根本业务流程，如图1-8所示。图1-8IEEE 802.1X认证系统的EAP中继方式业务流程 认证过程如下：1 当用户有访问网络需求时翻开802.1X客户端程序，输入已经申请、登记过的用户名和密码，发起连接

18、恳求EAPOL-Start报文。此时，客户端程序将发出恳求认证的报文给设备端，开场启动一次认证过程。2 设备端收到恳求认证的数据帧后，将发出一个恳求帧EAP-Request/Identity报文要求用户的客户端程序发送输入的用户名。3 客户端程序响应设备端发出的恳求，将用户名信息通过数据帧EAP-Response/Identity报文发送给设备端。设备端将客户端发送的数据帧经过封包处理后RADIUS Access-Request报文送给认证效劳器进展处理。4 RADIUS效劳器收到设备端转发的用户名信息后，将该信息与数据库中的用户名表比照，找到该用户名对应的密码信息，用随机生成的一个加密字对它

19、进展加密处理，同时也将此加密字通过RADIUS Access-Challenge报文发送给设备端，由设备端转发给客户端程序。5 客户端程序收到由设备端传来的加密字EAP-Request/MD5 Challenge报文后，用该加密字对密码部分进展加密处理此种加密算法通常是不可逆的，生成EAP-Response/MD5 Challenge报文，并通过设备端传给认证效劳器。6 RADIUS效劳器将收到的已加密的密码信息RADIUS Access-Request报文和本地经过加密运算后的密码信息进展比照，假设一样，那么认为该用户为合法用户，反响认证通过的消息RADIUS Access-Accept报文

20、和EAP-Success报文。7 设备收到认证通过消息后将端口改为受权状态，允许用户通过端口访问网络。在此期间，设备端会通过向客户端定期发送握手报文的方法，对用户的在线情况进展监测。缺省情况下，两次握手恳求报文都得不到客户端应答，设备端就会让用户下线，防止用户因为异常原因下线而设备无法感知。8 客户端也可以发送EAPOL-Logoff报文给设备端，主动要求下线。设备端把端口状态从受权状态改变成未受权状态，并向客户端发送EAP-Failure报文。EAP中继方式下，需要保证在客户端和RADIUS效劳器上选择一致的EAP认证方法，而在设备上，只需要通过dot1x authentication-me

21、thod eap命令启动EAP中继方式即可。 2.EAP终结方式这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证、受权和计费。设备端与RADIUS效劳器之间可以采用PAP或者CHAP认证方法。以下以CHAP认证方法为例介绍根本业务流程，如图1-9所示。图1-9IEEE 802.1X认证系统的EAP终结方式业务流程 EAP终结方式与EAP中继方式的认证流程相比，不同之处在于用来对用户密码信息进展加密处理的随机加密字由设备端生成，之后设备端会把用户名、随机加密字和客户端加密后的密码信息一起送给RADIUS效劳器，进展相关的认证处理。1.1.8 802.1

22、X的接入控制方式设备不仅支持协议所规定的基于端口的接入认证方式，还对其进展了扩展、优化，支持基于MAC的接入控制方式。l 当采用基于端口的接入控制方式时，只要该端口下的第一个用户认证成功后，其它接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其它用户也会被回绝使用网络。l 采用基于MAC的接入控制方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。1.1.9 802.1X的定时器802.1X认证过程中会启动多个定时器以控制接入用户、设备以及RADIUS效劳器之间进展合理、有序的交互。802.1X的定时器主要有以下几种：l 用户名恳求超时定时器tx

23、-period：该定时器定义了两个时间间隔。其一，当设备端向客户端发送EAP-Request/Identity恳求报文后，设备端启动该定时器，假设在tx-period设置的时间间隔内，设备端没有收到客户端的响应，那么设备端将重发认证恳求报文；其二，为了兼容不主动发送EAPOL-Start连接恳求报文的客户端，设备会定期组播EAP-Request/Identity恳求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。l 客户端认证超时定时器supp-timeout：当设备端向客户端发送了EAP-Request/MD5 Challenge恳求报文后，设备端启动此定时器，假设在该定

24、时器设置的时长内，设备端没有收到客户端的响应，设备端将重发该报文。l 认证效劳器超时定时器server-timeout：当设备端向认证效劳器发送了RADIUS Access-Request恳求报文后，设备端启动server-timeout定时器，假设在该定时器设置的时长内，设备端没有收到认证效劳器的响应，设备端将重发认证恳求报文。l 握手定时器handshake-period：此定时器是在用户认证成功后启动的，设备端以此间隔为周期发送握手恳求报文，以定期检测用户的在线情况。假设配置发送次数为N，那么当设备端连续N次没有收到客户端的响应报文，就认为用户已经下线。l 静默定时器quiet-peri

25、od：对用户认证失败以后，设备端需要静默一段时间该时间由静默定时器设置，在静默期间，设备端不处理该用户的认证恳求。l 周期性重认证定时器reauth-period：假设端口下开启了周期性重认证功能，设备端以此定时器设置的时间间隔为周期对该端口在线用户发起重认证。1.1.10 和802.1X配合使用的特性1.VLAN下发802.1X用户在效劳器上通过认证时，效劳器会把受权信息传送给设备端。假设效劳器上配置了下发VLAN功能，那么受权信息中含有受权下发的VLAN信息，设备根据用户认证上线的端口链路类型，按以下三种情况将端口参加下发VLAN中。l 端口的链路类型为Access，当前Access端口分

26、开用户配置的VLAN并参加受权下发的VLAN中。l 端口的链路类型为Trunk，设备允许受权下发的VLAN通过当前Trunk端口，并且端口的缺省VLAN ID为下发VLAN的VLAN ID。l 端口的链路类型为Hybrid，设备允许受权下发的VLAN以不携带Tag的方式通过当前Hybrid端口，并且端口的缺省VLAN ID为下发VLAN的VLAN ID。需要注意的是，假设当前Hybrid端口上配置了基于MAC的VLAN，那么设备将根据认证效劳器下发的受权VLAN动态地创立基于用户MAC的VLAN，而端口的缺省VLAN ID并不改变。受权下发的VLAN并不改变端口的配置，也不影响端口的配置。但是

27、，受权下发的VLAN的优先级高于用户配置的VLAN，即通过认证后起作用的VLAN是受权下发的VLAN，用户配置的VLAN在用户下线后生效。关于不同端口链路类型下VLAN的详细配置请参见“二层技术-以太网交换配置指导中的“VLAN。l 对于Hybrid端口，假设受权下发的VLAN已经配置为携带Tag的方式参加端口，那么VLAN下发失败。l 对于Hybrid端口，在VLAN下发之后，不能将受权下发的VLAN配置修改为携带Tag的方式。l 开启端口的MAC VLAN功能时，假设该端口上有802.1X用户在线，那么只有在线用户重认证成功且效劳器受权下发的VLAN发生变化时MAC VLAN功能才会生效。

28、 2.Guest VLANGuest VLAN功能允许用户在未认证的情况下，可以访问某一特定VLAN中的资源，比方获取客户端软件，晋级客户端或执行其他一些用户晋级程序。这个VLAN称之为Guest VLAN。根据端口的接入控制方式不同，可以将Guest VLAN划分为基于端口的Guest VLAN和基于MAC的Guest VLAN。1 PGVPort-based Guest VLAN在接入控制方式为portbased的端口上配置的Guest VLAN称为PGV。假设在一定的时间内默认90秒，配置了PGV的端口上无客户端进展认证，那么该端口将被参加Guest VLAN，所有在该端口接入的用户将被

29、受权访问Guest VLAN里的资源。端口参加Guest VLAN的情况与参加受权下发VLAN一样，与端口链路类型有关。当端口上处于Guest VLAN中的用户发起认证且失败时：假设端口配置了Auth-Fail VLAN，那么该端口会被参加Auth-Fail VLAN；假设端口未配置Auth-Fail VLAN，那么该端口仍然处于Guest VLAN内。关于Auth-Fail VLAN的详细介绍请参见“3.Auth-Fail VLAN。当端口上处于Guest VLAN中的用户发起认证且成功时，端口会分开Guest VLAN，之后端口参加VLAN情况与认证效劳器是否下发VLAN有关，详细如下：l

30、 假设认证效劳器下发VLAN，那么端口参加下发的VLAN中。用户下线后，端口分开下发的VLAN回到初始VLAN中，该初始VLAN为端口参加Guest VLAN之前所在的VLAN。l 假设认证效劳器未下发VLAN，那么端口回到初始VLAN中。用户下线后，端口仍在该初始VLAN中。2 MGVMAC-based Guest VLAN在接入控制方式为macbased的端口上配置的Guest VLAN称为MGV。配置了MGV的端口上未认证的用户被受权访问Guest VLAN里的资源。当端口上处于Guest VLAN中的用户发起认证且失败时：假设端口配置了Auth-Fail VLAN，那么认证失败的用户将

31、被参加Auth-Fail VLAN；假设端口未配置Auth-Fail VLAN，那么该用户将仍然处于Guest VLAN内。当端口上处于Guest VLAN中的用户发起认证且成功时，设备会根据认证效劳器是否下发VLAN决定将该用户参加到下发的VLAN中，或回到参加Guest VLAN之前端口所在的初始VLAN。3.Auth-Fail VLANAuth-Fail VLAN功能允许用户在认证失败的情况下可以访问某一特定VLAN中的资源，这个VLAN称之为Auth-Fail VLAN。需要注意的是，这里的认证失败是认证效劳器因某种原因明确回绝用户认证通过，比方用户密码错误，而不是认证超时或网络连接等

32、原因造成的认证失败。与Guest VLAN类似，根据端口的接入控制方式不同，可以将Auth-Fail VLAN划分为基于端口的Auth-Fail VLAN和基于MAC的Auth-Fail VLAN。1 PAFVPort-based Auth-Fail VLAN在接入控制方式为portbased的端口上配置的Auth-Fail VLAN称为PAFV。在配置了PAFV的端口上，假设有用户认证失败，那么该端口会被参加到Auth-Fail VLAN，所有在该端口接入的用户将被受权访问Auth-Fail VLAN里的资源。端口参加Auth-Fail VLAN的情况与参加受权下发VLAN一样，与端口链路类

33、型有关。当端口上处于Auth-Fail VLAN中的用户再次发起认证时：假设认证失败，那么该端口将会仍然处于Auth-Fail VLAN内；假设认证成功，那么该端口会分开Auth-Fail VLAN，之后端口参加VLAN情况与认证效劳器是否下发VLAN有关，详细如下：l 假设认证效劳器下发VLAN，那么端口参加下发的VLAN中。用户下线后，端口会分开下发的VLAN回到初始VLAN中，该初始VLAN为端口参加任何受权VLAN之前所在的VLAN。l 假设认证效劳器未下发VLAN，那么端口回到初始VLAN中。用户下线后，端口仍在该初始VLAN中。2 MAFVMAC-based Auth-Fail V

34、LAN在接入控制方式为macbased的端口上配置的Auth-Fail VLAN称为MAFV。在配置了MAFV的端口上，认证失败的用户将被受权访问Auth-Fail VLAN里的资源。当Auth-Fail VLAN中的用户再次发起认证时，假设认证成功，那么设备会根据认证效劳器是否下发VLAN决定将该用户参加到下发的VLAN中，或回到参加Auth-Fail VLAN之前端口所在的初始VLAN。4.ACL下发ACLAccess Control List，访问控制列表提供了控制用户访问网络资源和限制用户访问权限的功能。当用户上线时，假设RADIUS效劳器上配置了受权ACL，那么设备会根据效劳器下发的

35、受权ACL对用户所在端口的数据流进展控制；在效劳器上配置受权ACL之前，需要在设备上配置相应的规那么。管理员可以通过改变效劳器的受权ACL设置或设备上对应的ACL规那么来改变用户的访问权限。5.指定端口的强迫认证域指定端口的强迫认证域mandatory domain为802.1X接入提供了一种平安控制策略。所有从该端口接入的802.1X用户将被强迫使用该认证域来进展认证、受权和计费，可以防止用户通过恶意假冒其它域账号来接入网络。另外，对于采用证书的EAP中继方式的802.1X认证来说，接入用户的客户端证书决定了用户的域名。因此，即使所有端口上客户端的用户证书隶属于同一证书颁发机构，即输入的用户

36、域名一样，管理员也可以通过配置强迫认证域对不同端口指定不同的认证域，从而增加了管理员部署802.1X接入策略的灵敏性。1.2 802.1X配置任务简介表1-2AAA配置任务简介配置任务说明详细配置802.1X根本配置必选1.3 开启在线用户握手功能可选1.4 配置代理检测功能可选1.5 开启组播触发功能可选1.6 配置端口的强迫认证域可选1.7 配置静默定时器功能可选1.8 配置重认证功能可选1.9 配置Guest VLAN可选1.10 配置Auth-Fail VLAN可选1.11 1.3 802.1X根本配置1.3.1 配置准备802.1X提供了一个用户身份认证的实现方案，但是仅仅依靠802

37、.1X是缺乏以实现该方案的。接入设备的管理者选择使用RADIUS或本地认证方法，以配合802.1X完成用户的身份认证。因此，需要首先完成以下配置任务：l 配置802.1X用户所属的ISP认证域及其使用的AAA方案，即本地认证方案或RADIUS方案。l 假设需要通过RADIUS效劳器进展认证，那么应该在RADIUS效劳器上配置相应的用户名和密码。l 假设需要本地认证，那么应该在设备上手动添加认证的用户名和密码。配置本地认证时，用户使用的效劳类型必须设置为lan-access。RADIUS客户端的详细配置请参见“AAA配置。1.3.2 配置全局802.1X表1-3配置全局802.1X配置步骤命令说

38、明进入系统视图system-view-开启全局的802.1X特性dot1x必选缺省情况下，全局的802.1X特性为关闭状态设置802.1X用户的认证方法dot1x authentication-method chap | eap | pap 可选缺省情况下，设备对802.1X用户的认证方法为CHAP认证设置端口接入控制的形式dot1x port-control authorized-force | auto | unauthorized-force interface interface-list 可选缺省情况下，802.1X在端口上进展接入控制的形式为auto设置端口接入控制方式dot1x

39、port-method macbased | portbased interface interface-list 可选缺省情况下，802.1X在端口上进展接入控制方式为macbased设置端口同时接入用户数量的最大值dot1x max-useruser-number interface interface-list 可选参数user-number的缺省值与设备的型号有关，请以设备的实际情况为准设置设备向接入用户发送认证恳求报文的最大次数dot1x retry max-retry-value可选缺省情况下，max-retry-value为2，即设备最多可向接入用户发送2次认证恳求报文配置定时器

40、参数dot1x timer handshake-periodhandshake-period-value | quiet-periodquiet-period-value | | reauth-periodreauth-period-value | server-timeout server-timeout-value| supp-timeout supp-timeout-value | tx-periodtx-period-value 可选缺省情况下：l 握手定时器的值为15秒l 静默定时器的值为60秒l 周期性重认证定时器的值为3600秒l 认证效劳器超时定时器的值为100秒l 客户端认证

41、超时定时器的值为30秒l 用户名恳求超时定时器的值为30秒 l 只有同时开启全局和端口的802.1X特性后，802.1X的配置才能在端口上生效。l 开启指定端口的802.1X特性、设置端口接入控制的形式、端口接入控制方式以及端口同时接入用户数量的最大值均可在接口视图下进展，详细配置请参见表1-4和表1-5。全局配置与端口的配置并无优先级之分，仅是作用范围不一致，后配置的参数会覆盖已有的参数。l 一般情况下，用户无需使用dot1x timer命令改变定时器值，除非在一些特殊或恶劣的网络环境下，可以使用该命令调节交互进程。例如，用户网络状况比较差的情况下，可以适当地将客户端认证超时定时器值调大一些

42、；网络处在风险位置，容易受攻击的情况下，可以适当地将静默定时器值调大一些，反之，可以将其调小一些来进步对用户认证恳求的响应速度；可以通过调节认证效劳器超时定时器的值来适应不同认证效劳器的性能差异。 1.3.3 配置端口的802.1X1.开启端口802.1X特性表1-4开启端口802.1X特性配置步骤命令说明进入系统视图system-view-开启端口的802.1X特性在系统视图下dot1x interface interface-list二者必选其一缺省情况下，端口的802.1X特性为关闭状态在以太网接口视图下interface interface-type interface-numberd

43、ot1x 2.配置端口802.1X参数表1-5配置端口802.1X参数配置步骤命令说明进入系统视图system-view-进入以太网接口视图interface interface-type interface-number-设置端口接入控制的形式dot1x port-control authorized-force |auto |unauthorized-force 可选缺省情况下，802.1X在端口上进展接入控制的形式为auto设置端口接入控制方式dot1x port-method macbased |portbased 可选缺省情况下，802.1X在端口上进展接入控制方式为macbased

44、设置端口同时接入用户数量的最大值dot1x max-user user-number可选参数user-number的缺省值与设备的型号有关，请以设备的实际情况为准 l 端口启动802.1X与端口参加聚合组及端口参加业务环回组互斥。l 对于802.1X用户，假设采用EAP中继认证方式，那么设备会把客户端输入的内容直接封装后发给效劳器，这种情况下user-name-format命令的设置无效，user-name-format的介绍请参见“平安命令参考中的“AAA。l 假设802.1X客户端配置的用户名携带版本号或者用户名中存在空格，那么无法通过用户名来检索和切断用户连接，但是通过其他方式如IP地址

45、、连接索引号等仍然可以检索和切断用户的连接。 1.4 开启在线用户握手功能可以通过下面的命令来开启设备的在线用户握手功能。当802.1X用户认证通过以后，设备会定时该时间间隔由命令dot1x timer handshake-period设置向认证用户发送握手报文，假设用户在最大重传次数内该次数由命令dot1x retry设置没有回应此握手报文，设备会将用户置为下线状态。表1-6开启在线用户握手功能配置步骤命令说明进入系统视图system-view-进入以太网接口视图interface interface-type interface-number-开启在线用户握手功能dot1x handsha

46、ke可选缺省情况下，在线用户握手功能处于开启状态 l 关闭在线用户握手功能之前，必须先关闭代理检测功能。l 部分802.1X客户端不支持与设备进展握手报文的交互，因此建议在这种情况下，关闭设备的在线用户握手功能，防止该类型的在线用户因没有回应握手报文而被强迫下线。 1.5 配置代理检测功能可以通过下面的命令实现设备对通过代理登录设备的用户的检测及接入控制。配置了该功能后，可以防止其他非法用户使用已认证的802.1X客户端作为代理效劳器访问网络资源或逃避监控、计费。假设检测结果为用户代理上网，那么设备可以给网管发送Trap信息或者通过发送下线消息强迫该用户下线，这两种方式也可以同时使用。该功能依

47、赖于在线用户握手功能。在配置代理检测功能之前，必须先开启在线用户握手功能。在线握手功能的配置请参考“1.4 开启在线用户握手功能。表1-7配置代理检测功能配置步骤命令说明进入系统视图system-view-开启全局的代理用户检测与控制dot1x supp-proxy-checklogoff |trap 必选缺省情况下，未开启对代理用户的检测及接入控制开启端口的代理用户检测与控制在系统视图下dot1x supp-proxy-check logoff |trap interface interface-list二者必选其一缺省情况下，未开启对代理用户的检测及接入控制在以太网接口视图下interfa

48、ce interface-type interface-numberdot1x supp-proxy-check logoff |trap l 该功能的实现需要H3C 802.1X客户端程序的配合。l 必须同时开启全局和指定端口的代理用户检测与控制，此特性的配置才能在该端口上生效。 1.6 开启组播触发功能可以通过下面的命令来开启设备的组播触发功能。假设端口启动了802.1X的组播触发功能，那么该端口会定期向客户端发送组播触发报文来启动认证，该功能用于支持不能主动发起认证的客户端。表1-8开启组播触发功能配置步骤命令说明进入系统视图system-view-进入以太网接口视图interface

49、interface-type interface-number-开启组播触发功能dot1x multicast-trigger可选缺省情况下，组播触发功能处于开启状态 对于无线局域网来说，可以由客户端主动发起认证，或由无线模块发现用户并触发认证，而不必端口定期发送802.1X的组播报文来触发。同时，组播触发报文会占用无线的通信带宽，因此建议无线局域网中的接入设备关闭该功能。 1.7 配置端口的强迫认证域可以下面的命令来配置端口的强迫认证域。配置了端口的强迫认证域后，所有从该端口接入的802.1X用户将被强迫使用该认证域来进展认证、受权和计费。表1-9配置端口的强迫认证域配置步骤命令说明进入系统

50、视图system-view-进入以太网接口视图interface interface-type interface-number-配置端口的强迫认证域dot1x mandatory-domain domain-name必选缺省情况下，未定义强迫认证域 1.8 配置静默定时器功能可以通过下面的命令来翻开设备的静默定时器功能。当802.1X用户认证失败以后，设备需要静默一段时间该时间由dot1x timer quiet-period设置后再重新发起认证，在静默期间，设备不进展802.1X认证的相关处理。表1-10开启静默定时器功能配置步骤命令说明进入系统视图system-view-开启静默定时器功

51、能dot1x quiet-period必选缺省情况下，静默定时器功能处于关闭状态 1.9 配置重认证功能可以通过下面的命令来开启设备对802.1X用户主动发起的周期性重认证功能。端口启动了802.1X的周期性重认证功能后，设备会根据周期性重认证定时器设定的时间间隔该时间间隔由命令dot1x timer reauth-period设置定期启动对该端口在线802.1X用户的认证，以检测用户连接状态的变化，更新效劳器下发的受权属性例如ACL、VLAN、QoS Profile，确保用户的正常在线。表1-11配置重认证功能配置步骤命令说明进入系统视图system-view-进入以太网接口视图interf

52、ace interface-type interface-number-开启周期性重认证功能dot1xre-authenticate必选缺省情况下，周期性重认证功能处于关闭状态 802.1X用户认证通过后，假设认证效劳器通过session-timeout属性对该用户下发了重认证周期，那么设备上配置的周期性重认证时间无效，效劳器下发的重认证周期生效。认证效劳器下发重认证时间的详细情况与效劳器类型有关，请参考详细的认证效劳器实现。 1.10 配置Guest VLAN假设用户端设备发出的是携带Tag的数据流，且接入端口上使能了802.1X认证并配置了Guest VLAN，为保证各种功能的正常使用，请

53、为端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID。 1.10.1 配置准备l 已经创立需要配置为Guest VLAN的VLAN。l 配置Port-based Guest VLAN简称PGV需要保证接入控制方式为portbased，且802.1X的组播触发功能处于开启状态。l 配置MAC-based Guest VLAN简称MGV需要保证接入控制方式为macbased，且使能了端口上的MAC VLAN功能。MAC VLAN功能的详细配置请参见“二层技术-以太网交换配置指导中的“VLAN1.10.2 配置Guest VLAN表1-12配置Guest VLAN配置步骤命令说明进入系统视图system-view-配置指定端口的Guest VLAN在系统视图下dot1x guest-vlanguest-vlan-id interface interface-list二者必选其一缺省情况下，端口没有配置Guest VLAN在以太网接口视图下interfaceinterface-type interface-numberdot1x guest-