《詳解及配置》word版

1、.03-802.1x配置目 錄1 802.1X配置.1-11.1 802.1X簡介.1-11.1.1 802.1X的體系構(gòu)造.1-11.1.2 802.1X的認(rèn)證方式.1-21.1.3 802.1X的根本概念.1-21.1.4 EAPOL消息的封裝.1-31.1.5 EAP屬性的封裝.1-51.1.6 802.1X的認(rèn)證觸發(fā)方式.1-51.1.7 802.1X的認(rèn)證過程.1-61.1.8 802.1X的接入控制方式.1-81.1.9 802.1X的定時(shí)器.1-81.1.10 和802.1X配合使用的特性.1-91.2 802.1X配置任務(wù)簡介.1-111.3 802.1X根本配置.1-121.

2、3.1 配置準(zhǔn)備.1-121.3.2 配置全局802.1X.1-121.3.3 配置端口的802.1X.1-131.4 開啟在線用戶握手功能.1-141.5 配置代理檢測功能.1-151.6 開啟組播觸發(fā)功能.1-151.7 配置端口的強(qiáng)迫認(rèn)證域.1-161.8 配置靜默定時(shí)器功能.1-161.9 配置重認(rèn)證功能.1-161.10 配置Guest VLAN.1-171.10.1 配置準(zhǔn)備.1-171.10.2 配置Guest VLAN.1-181.11 配置Auth-Fail VLAN.1-181.11.1 配置準(zhǔn)備.1-181.11.2 配置Auth-Fail VLAN.1-191.12 8

3、02.1X顯示和維護(hù).1-191.13 802.1X典型配置舉例WX系列無線控制產(chǎn)品適用.1-191.14 下發(fā)ACL典型配置舉例WX系列無線控制產(chǎn)品適用.1-22 l 本手冊中標(biāo)有“請以設(shè)備實(shí)際情況為準(zhǔn)的特性描繪，表示W(wǎng)X系列無線控制產(chǎn)品的各型號(hào)對(duì)于此特性的支持情況不同，詳細(xì)差異請參見“特性差異化列表的“特性支持情況章節(jié)。l 無線控制產(chǎn)品支持的接口類型和編號(hào)與設(shè)備的實(shí)際情況相關(guān)，實(shí)際使用中請根據(jù)詳細(xì)設(shè)備的接口類型和編號(hào)進(jìn)展配置。 1802.1X配置1.1 802.1X簡介IEEE802 LAN/WAN委員會(huì)為解決無線局域網(wǎng)網(wǎng)絡(luò)平安問題，提出了802.1X協(xié)議。后來，802.1X協(xié)議作為局域網(wǎng)

4、端口的一個(gè)普通接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認(rèn)證和平安方面的問題。802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議port based network access control protocol?！盎诙丝诘木W(wǎng)絡(luò)接入控制是指在局域網(wǎng)接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)展認(rèn)證和控制。連接在端口上的用戶設(shè)備假設(shè)能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；假設(shè)不能通過認(rèn)證，那么無法訪問局域網(wǎng)中的資源。由于端口平安特性通過多種平安形式提供了802.1X和MAC地址認(rèn)證的擴(kuò)展和組合應(yīng)用，因此在需要靈敏使用以上兩種認(rèn)證方式的組網(wǎng)環(huán)境下，推薦使用端口平安特性。無特殊組網(wǎng)要求的情況下，無

5、線環(huán)境中通常使用端口平安特性。而在僅需要802.1X特性來完成接入控制的組網(wǎng)環(huán)境下，推薦單獨(dú)使用802.1X特性，配置過程簡潔明了。關(guān)于端口平安特性的詳細(xì)介紹和詳細(xì)配置請參見“端口平安配置。 1.1.1 802.1X的體系構(gòu)造802.1X系統(tǒng)為典型的Client/Server構(gòu)造，如圖1-1所示，包括三個(gè)實(shí)體：客戶端Client、設(shè)備端Device和認(rèn)證效勞器Server。圖1-1802.1X認(rèn)證系統(tǒng)的體系構(gòu)造 l 客戶端是位于局域網(wǎng)段一端的一個(gè)實(shí)體，由該鏈路另一端的設(shè)備端對(duì)其進(jìn)展認(rèn)證?？蛻舳艘话銥橐粋€(gè)用戶終端設(shè)備，用戶可以通過啟動(dòng)客戶端軟件發(fā)起802.1X認(rèn)證。客戶端必須支持EAPOLExt

6、ensible Authentication Protocol over LAN，局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議。l 設(shè)備端是位于局域網(wǎng)段一端的另一個(gè)實(shí)體，對(duì)所連接的客戶端進(jìn)展認(rèn)證。設(shè)備端通常為支持802.1X協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶端提供接入局域網(wǎng)的端口，該端口可以是物理端口，也可以是邏輯端口。l 認(rèn)證效勞器是為設(shè)備端提供認(rèn)證效勞的實(shí)體。認(rèn)證效勞器用于實(shí)現(xiàn)對(duì)用戶進(jìn)展認(rèn)證、受權(quán)和計(jì)費(fèi)，通常為RADIUSRemote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶效勞效勞器。1.1.2 802.1X的認(rèn)證方式802.1X認(rèn)證系統(tǒng)使用EAPExtensible

7、Authentication Protocol，可擴(kuò)展認(rèn)證協(xié)議，來實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證效勞器之間認(rèn)證信息的交換。l 在客戶端與設(shè)備端之間，EAP協(xié)議報(bào)文使用EAPOL封裝格式，直接承載于LAN環(huán)境中。l 在設(shè)備端與RADIUS效勞器之間，可以使用兩種方式來交換信息。一種是EAP協(xié)議報(bào)文由設(shè)備端進(jìn)展中繼，使用EAPOREAP over RADIUS封裝格式承載于RADIUS協(xié)議中；另一種是EAP協(xié)議報(bào)文由設(shè)備端進(jìn)展終結(jié)，采用包含PAPPassword Authentication Protocol，密碼驗(yàn)證協(xié)議或CHAPChallenge Handshake Authentication P

8、rotocal，質(zhì)詢握手驗(yàn)證協(xié)議屬性的報(bào)文與RADIUS效勞器進(jìn)展認(rèn)證交互。1.1.3 802.1X的根本概念1.受控/非受控端口設(shè)備端為客戶端提供接入局域網(wǎng)的端口，這個(gè)端口被劃分為兩個(gè)邏輯端口：受控端口和非受控端口。任何到達(dá)該端口的幀，在受控端口與非受控端口上均可見。l 非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPOL協(xié)議幀，保證客戶端始終可以發(fā)出或接收認(rèn)證報(bào)文。l 受控端口在受權(quán)狀態(tài)下處于雙向連通狀態(tài)，用于傳遞業(yè)務(wù)報(bào)文；在非受權(quán)狀態(tài)下制止從客戶端接收任何報(bào)文。2.受權(quán)/非受權(quán)狀態(tài)設(shè)備端利用認(rèn)證效勞器對(duì)需要接入局域網(wǎng)的客戶端執(zhí)行認(rèn)證，并根據(jù)認(rèn)證結(jié)果Accept或Reject對(duì)受控端口的

9、受權(quán)/非受權(quán)狀態(tài)進(jìn)展相應(yīng)地控制。圖1-2顯示了受控端口上不同的受權(quán)狀態(tài)對(duì)通過該端口報(bào)文的影響。圖中比照了兩個(gè)802.1X認(rèn)證系統(tǒng)的端口狀態(tài)。系統(tǒng)1的受控端口處于非受權(quán)狀態(tài)相當(dāng)于端口開關(guān)翻開，系統(tǒng)2的受控端口處于受權(quán)狀態(tài)相當(dāng)于端口開關(guān)關(guān)閉。圖1-2受控端口上受權(quán)狀態(tài)的影響 用戶可以通過在端口下配置的接入控制的形式來控制端口的受權(quán)狀態(tài)。端口支持以下三種接入控制形式：l 強(qiáng)迫受權(quán)形式authorized-force：表示端口始終處于受權(quán)狀態(tài)，允許用戶不經(jīng)認(rèn)證受權(quán)即可訪問網(wǎng)絡(luò)資源。l 強(qiáng)迫非受權(quán)形式unauthorized-force：表示端口始終處于非受權(quán)狀態(tài)，不允許用戶進(jìn)展認(rèn)證。設(shè)備端不對(duì)通過該端

10、口接入的客戶端提供認(rèn)證效勞。l 自動(dòng)識(shí)別形式auto：表示端口初始狀態(tài)為非受權(quán)狀態(tài)，僅允許EAPOL報(bào)文收發(fā)，不允許用戶訪問網(wǎng)絡(luò)資源；假設(shè)認(rèn)證通過，那么端口切換到受權(quán)狀態(tài)，允許用戶訪問網(wǎng)絡(luò)資源。這也是最常見的情況。3.受控方向在非受權(quán)狀態(tài)下，受控端口可以被設(shè)置成單向受控和雙向受控。l 實(shí)行雙向受控時(shí)，制止幀的發(fā)送和接收；l 實(shí)行單向受控時(shí)，制止從客戶端接收幀，但允許向客戶端發(fā)送幀。目前，設(shè)備只支持單向受控。 1.1.4 EAPOL消息的封裝1.EAPOL數(shù)據(jù)包的格式EAPOL是802.1X協(xié)議定義的一種報(bào)文封裝格式，主要用于在客戶端和設(shè)備端之間傳送EAP協(xié)議報(bào)文，以允許EAP協(xié)議報(bào)文在LAN上

11、傳送。EAPOL數(shù)據(jù)包的格式如圖1-3所示。圖1-3EAPOL數(shù)據(jù)包格式 PAE Ethernet Type：表示協(xié)議類型，為0x888E。Protocol Version：表示EAPOL幀的發(fā)送方所支持的協(xié)議版本號(hào)。Type：表示EAPOL數(shù)據(jù)幀類型，目前設(shè)備上支持的數(shù)據(jù)類型見表1-1。表1-1EAPOL數(shù)據(jù)類型類型說明EAP-Packet值為0x00：認(rèn)證信息幀，用于承載認(rèn)證信息該幀在設(shè)備端重新封裝并承載于RADIUS協(xié)議上，便于穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證效勞器EAPOL-Start值為0x01：認(rèn)證發(fā)起幀這兩種類型的幀僅在客戶端和設(shè)備端之間存在EAPOL-Logoff值為0x02：退出懇求幀

12、 Length：表示數(shù)據(jù)長度，也就是“Packet Body字段的長度，單位為字節(jié)。假設(shè)為0，那么表示沒有后面的數(shù)據(jù)域。Packet Body：表示數(shù)據(jù)內(nèi)容，根據(jù)不同的Type有不同的格式。2.EAP數(shù)據(jù)包的格式當(dāng)EAPOL數(shù)據(jù)包格式Type域?yàn)镋AP-Packet時(shí)，Packet Body為EAP數(shù)據(jù)包構(gòu)造，如圖1-4所示。圖1-4EAP數(shù)據(jù)包格式 Code：指明EAP包的類型，共有4種：Request、Response、Success、Failure。l Success和Failure類型的包沒有Data域，相應(yīng)的Length域的值為4。l Request和Response類型數(shù)據(jù)包的Da

13、ta域的格式如圖1-5所示。Type為EAP的認(rèn)證類型，Type data的內(nèi)容由類型決定。例如，Type值為1時(shí)代表Identity，用來查詢對(duì)方的身份；Type值為4時(shí)，代表MD5-Challenge，類似于PPP CHAP協(xié)議，包含質(zhì)詢消息。圖1-5Request和Response類型數(shù)據(jù)包的Data域的格式 Identifier：用于匹配Request消息和Response消息的匹配。Length：EAP包的長度，包含Code、Identifier、Length和Data域，單位為字節(jié)。Data：EAP包的內(nèi)容，由Code類型決定。1.1.5 EAP屬性的封裝RADIUS為支持EAP認(rèn)

14、證增加了兩個(gè)屬性：EAP-MessageEAP消息和Message-Authenticator消息認(rèn)證碼。RADIUS協(xié)議的報(bào)文格式請參見“AAA配置的RADIUS協(xié)議簡介部分。1.EAP-Message如圖1-6所示，這個(gè)屬性用來封裝EAP數(shù)據(jù)包，類型代碼為79，String域最長253字節(jié)，假設(shè)EAP數(shù)據(jù)包長度大于253字節(jié)，可以對(duì)其進(jìn)展分片，依次封裝在多個(gè)EAP-Message屬性中。圖1-6EAP-Message屬性封裝 2.Message-Authenticator如圖1-7所示，這個(gè)屬性用于在使用EAP、CHAP等認(rèn)證方法的過程中，防止接入懇求包被竊聽。在含有EAP-Message

15、屬性的數(shù)據(jù)包中，必須同時(shí)也包含Message-Authenticator，否那么該數(shù)據(jù)包會(huì)被認(rèn)為無效而被丟棄。圖1-7Message-Authenticator屬性 1.1.6 802.1X的認(rèn)證觸發(fā)方式802.1X的認(rèn)證過程可以由客戶端主動(dòng)發(fā)起，也可以由設(shè)備端發(fā)起。設(shè)備支持的認(rèn)證觸發(fā)方式包括以下兩種：1.客戶端主動(dòng)觸發(fā)方式客戶端主動(dòng)向設(shè)備端發(fā)送EAPOL-Start報(bào)文來觸發(fā)認(rèn)證，該報(bào)文目的地址為IEEE 802.1X協(xié)議分配的一個(gè)組播MAC地址：01-80-C2-00-00-03。另外，由于網(wǎng)絡(luò)中有些設(shè)備不支持上述的組播報(bào)文，使得認(rèn)證設(shè)備無法收到客戶端的認(rèn)證懇求，因此設(shè)備端還支持播送觸發(fā)方

16、式，即，可以接收客戶端發(fā)送的目的地址為播送MAC地址的EAPOL-Start報(bào)文。這種觸發(fā)方式需要H3C iNode的802.1X客戶端的配合。2.設(shè)備端主動(dòng)觸發(fā)方式設(shè)備會(huì)每隔N秒例如30秒主動(dòng)向客戶端發(fā)送EAP-Request/Identity報(bào)文來觸發(fā)認(rèn)證，這種觸發(fā)方式用于支持不能主動(dòng)發(fā)送EAPOL-Start報(bào)文的客戶端，例如Windows XP自帶的802.1X客戶端。1.1.7 802.1X的認(rèn)證過程802.1X系統(tǒng)支持EAP中繼方式和EAP終結(jié)方式與遠(yuǎn)端RADIUS效勞器交互完成認(rèn)證。以下關(guān)于兩種認(rèn)證方式的過程描繪，都以客戶端主動(dòng)發(fā)起認(rèn)證為例。1.EAP中繼方式這種方式是IEEE

17、802.1X標(biāo)準(zhǔn)規(guī)定的，將EAP可擴(kuò)展認(rèn)證協(xié)議承載在其它高層協(xié)議中，如EAP over RADIUS，以便擴(kuò)展認(rèn)證協(xié)議報(bào)文穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證效勞器。一般來說，EAP中繼方式需要RADIUS效勞器支持EAP屬性：EAP-Message和Message-Authenticator，分別用來封裝EAP報(bào)文及對(duì)攜帶EAP-Message的RADIUS報(bào)文進(jìn)展保護(hù)。下面以EAP-MD5方式為例介紹根本業(yè)務(wù)流程，如圖1-8所示。圖1-8IEEE 802.1X認(rèn)證系統(tǒng)的EAP中繼方式業(yè)務(wù)流程 認(rèn)證過程如下：1 當(dāng)用戶有訪問網(wǎng)絡(luò)需求時(shí)翻開802.1X客戶端程序，輸入已經(jīng)申請、登記過的用戶名和密碼，發(fā)起連接

18、懇求EAPOL-Start報(bào)文。此時(shí)，客戶端程序?qū)l(fā)出懇求認(rèn)證的報(bào)文給設(shè)備端，開場啟動(dòng)一次認(rèn)證過程。2 設(shè)備端收到懇求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個(gè)懇求幀EAP-Request/Identity報(bào)文要求用戶的客戶端程序發(fā)送輸入的用戶名。3 客戶端程序響應(yīng)設(shè)備端發(fā)出的懇求，將用戶名信息通過數(shù)據(jù)幀EAP-Response/Identity報(bào)文發(fā)送給設(shè)備端。設(shè)備端將客戶端發(fā)送的數(shù)據(jù)幀經(jīng)過封包處理后RADIUS Access-Request報(bào)文送給認(rèn)證效勞器進(jìn)展處理。4 RADIUS效勞器收到設(shè)備端轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表比照，找到該用戶名對(duì)應(yīng)的密碼信息，用隨機(jī)生成的一個(gè)加密字對(duì)它

19、進(jìn)展加密處理，同時(shí)也將此加密字通過RADIUS Access-Challenge報(bào)文發(fā)送給設(shè)備端，由設(shè)備端轉(zhuǎn)發(fā)給客戶端程序。5 客戶端程序收到由設(shè)備端傳來的加密字EAP-Request/MD5 Challenge報(bào)文后，用該加密字對(duì)密碼部分進(jìn)展加密處理此種加密算法通常是不可逆的，生成EAP-Response/MD5 Challenge報(bào)文，并通過設(shè)備端傳給認(rèn)證效勞器。6 RADIUS效勞器將收到的已加密的密碼信息RADIUS Access-Request報(bào)文和本地經(jīng)過加密運(yùn)算后的密碼信息進(jìn)展比照，假設(shè)一樣，那么認(rèn)為該用戶為合法用戶，反響認(rèn)證通過的消息RADIUS Access-Accept報(bào)文

20、和EAP-Success報(bào)文。7 設(shè)備收到認(rèn)證通過消息后將端口改為受權(quán)狀態(tài)，允許用戶通過端口訪問網(wǎng)絡(luò)。在此期間，設(shè)備端會(huì)通過向客戶端定期發(fā)送握手報(bào)文的方法，對(duì)用戶的在線情況進(jìn)展監(jiān)測。缺省情況下，兩次握手懇求報(bào)文都得不到客戶端應(yīng)答，設(shè)備端就會(huì)讓用戶下線，防止用戶因?yàn)楫惓Ｔ蛳戮€而設(shè)備無法感知。8 客戶端也可以發(fā)送EAPOL-Logoff報(bào)文給設(shè)備端，主動(dòng)要求下線。設(shè)備端把端口狀態(tài)從受權(quán)狀態(tài)改變成未受權(quán)狀態(tài)，并向客戶端發(fā)送EAP-Failure報(bào)文。EAP中繼方式下，需要保證在客戶端和RADIUS效勞器上選擇一致的EAP認(rèn)證方法，而在設(shè)備上，只需要通過dot1x authentication-me

21、thod eap命令啟動(dòng)EAP中繼方式即可。 2.EAP終結(jié)方式這種方式將EAP報(bào)文在設(shè)備端終結(jié)并映射到RADIUS報(bào)文中，利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證、受權(quán)和計(jì)費(fèi)。設(shè)備端與RADIUS效勞器之間可以采用PAP或者CHAP認(rèn)證方法。以下以CHAP認(rèn)證方法為例介紹根本業(yè)務(wù)流程，如圖1-9所示。圖1-9IEEE 802.1X認(rèn)證系統(tǒng)的EAP終結(jié)方式業(yè)務(wù)流程 EAP終結(jié)方式與EAP中繼方式的認(rèn)證流程相比，不同之處在于用來對(duì)用戶密碼信息進(jìn)展加密處理的隨機(jī)加密字由設(shè)備端生成，之后設(shè)備端會(huì)把用戶名、隨機(jī)加密字和客戶端加密后的密碼信息一起送給RADIUS效勞器，進(jìn)展相關(guān)的認(rèn)證處理。1.1.8 802.1

22、X的接入控制方式設(shè)備不僅支持協(xié)議所規(guī)定的基于端口的接入認(rèn)證方式，還對(duì)其進(jìn)展了擴(kuò)展、優(yōu)化，支持基于MAC的接入控制方式。l 當(dāng)采用基于端口的接入控制方式時(shí)，只要該端口下的第一個(gè)用戶認(rèn)證成功后，其它接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)資源，但是當(dāng)?shù)谝粋€(gè)用戶下線后，其它用戶也會(huì)被回絕使用網(wǎng)絡(luò)。l 采用基于MAC的接入控制方式時(shí)，該端口下的所有接入用戶均需要單獨(dú)認(rèn)證，當(dāng)某個(gè)用戶下線時(shí)，也只有該用戶無法使用網(wǎng)絡(luò)。1.1.9 802.1X的定時(shí)器802.1X認(rèn)證過程中會(huì)啟動(dòng)多個(gè)定時(shí)器以控制接入用戶、設(shè)備以及RADIUS效勞器之間進(jìn)展合理、有序的交互。802.1X的定時(shí)器主要有以下幾種：l 用戶名懇求超時(shí)定時(shí)器tx

23、-period：該定時(shí)器定義了兩個(gè)時(shí)間間隔。其一，當(dāng)設(shè)備端向客戶端發(fā)送EAP-Request/Identity懇求報(bào)文后，設(shè)備端啟動(dòng)該定時(shí)器，假設(shè)在tx-period設(shè)置的時(shí)間間隔內(nèi)，設(shè)備端沒有收到客戶端的響應(yīng)，那么設(shè)備端將重發(fā)認(rèn)證懇求報(bào)文；其二，為了兼容不主動(dòng)發(fā)送EAPOL-Start連接懇求報(bào)文的客戶端，設(shè)備會(huì)定期組播EAP-Request/Identity懇求報(bào)文來檢測客戶端。tx-period定義了該組播報(bào)文的發(fā)送時(shí)間間隔。l 客戶端認(rèn)證超時(shí)定時(shí)器supp-timeout：當(dāng)設(shè)備端向客戶端發(fā)送了EAP-Request/MD5 Challenge懇求報(bào)文后，設(shè)備端啟動(dòng)此定時(shí)器，假設(shè)在該定

24、時(shí)器設(shè)置的時(shí)長內(nèi)，設(shè)備端沒有收到客戶端的響應(yīng)，設(shè)備端將重發(fā)該報(bào)文。l 認(rèn)證效勞器超時(shí)定時(shí)器server-timeout：當(dāng)設(shè)備端向認(rèn)證效勞器發(fā)送了RADIUS Access-Request懇求報(bào)文后，設(shè)備端啟動(dòng)server-timeout定時(shí)器，假設(shè)在該定時(shí)器設(shè)置的時(shí)長內(nèi)，設(shè)備端沒有收到認(rèn)證效勞器的響應(yīng)，設(shè)備端將重發(fā)認(rèn)證懇求報(bào)文。l 握手定時(shí)器handshake-period：此定時(shí)器是在用戶認(rèn)證成功后啟動(dòng)的，設(shè)備端以此間隔為周期發(fā)送握手懇求報(bào)文，以定期檢測用戶的在線情況。假設(shè)配置發(fā)送次數(shù)為N，那么當(dāng)設(shè)備端連續(xù)N次沒有收到客戶端的響應(yīng)報(bào)文，就認(rèn)為用戶已經(jīng)下線。l 靜默定時(shí)器quiet-peri

25、od：對(duì)用戶認(rèn)證失敗以后，設(shè)備端需要靜默一段時(shí)間該時(shí)間由靜默定時(shí)器設(shè)置，在靜默期間，設(shè)備端不處理該用戶的認(rèn)證懇求。l 周期性重認(rèn)證定時(shí)器reauth-period：假設(shè)端口下開啟了周期性重認(rèn)證功能，設(shè)備端以此定時(shí)器設(shè)置的時(shí)間間隔為周期對(duì)該端口在線用戶發(fā)起重認(rèn)證。1.1.10 和802.1X配合使用的特性1.VLAN下發(fā)802.1X用戶在效勞器上通過認(rèn)證時(shí)，效勞器會(huì)把受權(quán)信息傳送給設(shè)備端。假設(shè)效勞器上配置了下發(fā)VLAN功能，那么受權(quán)信息中含有受權(quán)下發(fā)的VLAN信息，設(shè)備根據(jù)用戶認(rèn)證上線的端口鏈路類型，按以下三種情況將端口參加下發(fā)VLAN中。l 端口的鏈路類型為Access，當(dāng)前Access端口分

26、開用戶配置的VLAN并參加受權(quán)下發(fā)的VLAN中。l 端口的鏈路類型為Trunk，設(shè)備允許受權(quán)下發(fā)的VLAN通過當(dāng)前Trunk端口，并且端口的缺省VLAN ID為下發(fā)VLAN的VLAN ID。l 端口的鏈路類型為Hybrid，設(shè)備允許受權(quán)下發(fā)的VLAN以不攜帶Tag的方式通過當(dāng)前Hybrid端口，并且端口的缺省VLAN ID為下發(fā)VLAN的VLAN ID。需要注意的是，假設(shè)當(dāng)前Hybrid端口上配置了基于MAC的VLAN，那么設(shè)備將根據(jù)認(rèn)證效勞器下發(fā)的受權(quán)VLAN動(dòng)態(tài)地創(chuàng)立基于用戶MAC的VLAN，而端口的缺省VLAN ID并不改變。受權(quán)下發(fā)的VLAN并不改變端口的配置，也不影響端口的配置。但是

27、，受權(quán)下發(fā)的VLAN的優(yōu)先級(jí)高于用戶配置的VLAN，即通過認(rèn)證后起作用的VLAN是受權(quán)下發(fā)的VLAN，用戶配置的VLAN在用戶下線后生效。關(guān)于不同端口鏈路類型下VLAN的詳細(xì)配置請參見“二層技術(shù)-以太網(wǎng)交換配置指導(dǎo)中的“VLAN。l 對(duì)于Hybrid端口，假設(shè)受權(quán)下發(fā)的VLAN已經(jīng)配置為攜帶Tag的方式參加端口，那么VLAN下發(fā)失敗。l 對(duì)于Hybrid端口，在VLAN下發(fā)之后，不能將受權(quán)下發(fā)的VLAN配置修改為攜帶Tag的方式。l 開啟端口的MAC VLAN功能時(shí)，假設(shè)該端口上有802.1X用戶在線，那么只有在線用戶重認(rèn)證成功且效勞器受權(quán)下發(fā)的VLAN發(fā)生變化時(shí)MAC VLAN功能才會(huì)生效。

28、 2.Guest VLANGuest VLAN功能允許用戶在未認(rèn)證的情況下，可以訪問某一特定VLAN中的資源，比方獲取客戶端軟件，晉級(jí)客戶端或執(zhí)行其他一些用戶晉級(jí)程序。這個(gè)VLAN稱之為Guest VLAN。根據(jù)端口的接入控制方式不同，可以將Guest VLAN劃分為基于端口的Guest VLAN和基于MAC的Guest VLAN。1 PGVPort-based Guest VLAN在接入控制方式為portbased的端口上配置的Guest VLAN稱為PGV。假設(shè)在一定的時(shí)間內(nèi)默認(rèn)90秒，配置了PGV的端口上無客戶端進(jìn)展認(rèn)證，那么該端口將被參加Guest VLAN，所有在該端口接入的用戶將被

29、受權(quán)訪問Guest VLAN里的資源。端口參加Guest VLAN的情況與參加受權(quán)下發(fā)VLAN一樣，與端口鏈路類型有關(guān)。當(dāng)端口上處于Guest VLAN中的用戶發(fā)起認(rèn)證且失敗時(shí)：假設(shè)端口配置了Auth-Fail VLAN，那么該端口會(huì)被參加Auth-Fail VLAN；假設(shè)端口未配置Auth-Fail VLAN，那么該端口仍然處于Guest VLAN內(nèi)。關(guān)于Auth-Fail VLAN的詳細(xì)介紹請參見“3.Auth-Fail VLAN。當(dāng)端口上處于Guest VLAN中的用戶發(fā)起認(rèn)證且成功時(shí)，端口會(huì)分開Guest VLAN，之后端口參加VLAN情況與認(rèn)證效勞器是否下發(fā)VLAN有關(guān)，詳細(xì)如下：l

30、 假設(shè)認(rèn)證效勞器下發(fā)VLAN，那么端口參加下發(fā)的VLAN中。用戶下線后，端口分開下發(fā)的VLAN回到初始VLAN中，該初始VLAN為端口參加Guest VLAN之前所在的VLAN。l 假設(shè)認(rèn)證效勞器未下發(fā)VLAN，那么端口回到初始VLAN中。用戶下線后，端口仍在該初始VLAN中。2 MGVMAC-based Guest VLAN在接入控制方式為macbased的端口上配置的Guest VLAN稱為MGV。配置了MGV的端口上未認(rèn)證的用戶被受權(quán)訪問Guest VLAN里的資源。當(dāng)端口上處于Guest VLAN中的用戶發(fā)起認(rèn)證且失敗時(shí)：假設(shè)端口配置了Auth-Fail VLAN，那么認(rèn)證失敗的用戶將

31、被參加Auth-Fail VLAN；假設(shè)端口未配置Auth-Fail VLAN，那么該用戶將仍然處于Guest VLAN內(nèi)。當(dāng)端口上處于Guest VLAN中的用戶發(fā)起認(rèn)證且成功時(shí)，設(shè)備會(huì)根據(jù)認(rèn)證效勞器是否下發(fā)VLAN決定將該用戶參加到下發(fā)的VLAN中，或回到參加Guest VLAN之前端口所在的初始VLAN。3.Auth-Fail VLANAuth-Fail VLAN功能允許用戶在認(rèn)證失敗的情況下可以訪問某一特定VLAN中的資源，這個(gè)VLAN稱之為Auth-Fail VLAN。需要注意的是，這里的認(rèn)證失敗是認(rèn)證效勞器因某種原因明確回絕用戶認(rèn)證通過，比方用戶密碼錯(cuò)誤，而不是認(rèn)證超時(shí)或網(wǎng)絡(luò)連接等

32、原因造成的認(rèn)證失敗。與Guest VLAN類似，根據(jù)端口的接入控制方式不同，可以將Auth-Fail VLAN劃分為基于端口的Auth-Fail VLAN和基于MAC的Auth-Fail VLAN。1 PAFVPort-based Auth-Fail VLAN在接入控制方式為portbased的端口上配置的Auth-Fail VLAN稱為PAFV。在配置了PAFV的端口上，假設(shè)有用戶認(rèn)證失敗，那么該端口會(huì)被參加到Auth-Fail VLAN，所有在該端口接入的用戶將被受權(quán)訪問Auth-Fail VLAN里的資源。端口參加Auth-Fail VLAN的情況與參加受權(quán)下發(fā)VLAN一樣，與端口鏈路類

33、型有關(guān)。當(dāng)端口上處于Auth-Fail VLAN中的用戶再次發(fā)起認(rèn)證時(shí)：假設(shè)認(rèn)證失敗，那么該端口將會(huì)仍然處于Auth-Fail VLAN內(nèi)；假設(shè)認(rèn)證成功，那么該端口會(huì)分開Auth-Fail VLAN，之后端口參加VLAN情況與認(rèn)證效勞器是否下發(fā)VLAN有關(guān)，詳細(xì)如下：l 假設(shè)認(rèn)證效勞器下發(fā)VLAN，那么端口參加下發(fā)的VLAN中。用戶下線后，端口會(huì)分開下發(fā)的VLAN回到初始VLAN中，該初始VLAN為端口參加任何受權(quán)VLAN之前所在的VLAN。l 假設(shè)認(rèn)證效勞器未下發(fā)VLAN，那么端口回到初始VLAN中。用戶下線后，端口仍在該初始VLAN中。2 MAFVMAC-based Auth-Fail V

34、LAN在接入控制方式為macbased的端口上配置的Auth-Fail VLAN稱為MAFV。在配置了MAFV的端口上，認(rèn)證失敗的用戶將被受權(quán)訪問Auth-Fail VLAN里的資源。當(dāng)Auth-Fail VLAN中的用戶再次發(fā)起認(rèn)證時(shí)，假設(shè)認(rèn)證成功，那么設(shè)備會(huì)根據(jù)認(rèn)證效勞器是否下發(fā)VLAN決定將該用戶參加到下發(fā)的VLAN中，或回到參加Auth-Fail VLAN之前端口所在的初始VLAN。4.ACL下發(fā)ACLAccess Control List，訪問控制列表提供了控制用戶訪問網(wǎng)絡(luò)資源和限制用戶訪問權(quán)限的功能。當(dāng)用戶上線時(shí)，假設(shè)RADIUS效勞器上配置了受權(quán)ACL，那么設(shè)備會(huì)根據(jù)效勞器下發(fā)的

35、受權(quán)ACL對(duì)用戶所在端口的數(shù)據(jù)流進(jìn)展控制；在效勞器上配置受權(quán)ACL之前，需要在設(shè)備上配置相應(yīng)的規(guī)那么。管理員可以通過改變效勞器的受權(quán)ACL設(shè)置或設(shè)備上對(duì)應(yīng)的ACL規(guī)那么來改變用戶的訪問權(quán)限。5.指定端口的強(qiáng)迫認(rèn)證域指定端口的強(qiáng)迫認(rèn)證域mandatory domain為802.1X接入提供了一種平安控制策略。所有從該端口接入的802.1X用戶將被強(qiáng)迫使用該認(rèn)證域來進(jìn)展認(rèn)證、受權(quán)和計(jì)費(fèi)，可以防止用戶通過惡意假冒其它域賬號(hào)來接入網(wǎng)絡(luò)。另外，對(duì)于采用證書的EAP中繼方式的802.1X認(rèn)證來說，接入用戶的客戶端證書決定了用戶的域名。因此，即使所有端口上客戶端的用戶證書隸屬于同一證書頒發(fā)機(jī)構(gòu)，即輸入的用戶

36、域名一樣，管理員也可以通過配置強(qiáng)迫認(rèn)證域?qū)Σ煌丝谥付ú煌恼J(rèn)證域，從而增加了管理員部署802.1X接入策略的靈敏性。1.2 802.1X配置任務(wù)簡介表1-2AAA配置任務(wù)簡介配置任務(wù)說明詳細(xì)配置802.1X根本配置必選1.3 開啟在線用戶握手功能可選1.4 配置代理檢測功能可選1.5 開啟組播觸發(fā)功能可選1.6 配置端口的強(qiáng)迫認(rèn)證域可選1.7 配置靜默定時(shí)器功能可選1.8 配置重認(rèn)證功能可選1.9 配置Guest VLAN可選1.10 配置Auth-Fail VLAN可選1.11 1.3 802.1X根本配置1.3.1 配置準(zhǔn)備802.1X提供了一個(gè)用戶身份認(rèn)證的實(shí)現(xiàn)方案，但是僅僅依靠802

37、.1X是缺乏以實(shí)現(xiàn)該方案的。接入設(shè)備的管理者選擇使用RADIUS或本地認(rèn)證方法，以配合802.1X完成用戶的身份認(rèn)證。因此，需要首先完成以下配置任務(wù)：l 配置802.1X用戶所屬的ISP認(rèn)證域及其使用的AAA方案，即本地認(rèn)證方案或RADIUS方案。l 假設(shè)需要通過RADIUS效勞器進(jìn)展認(rèn)證，那么應(yīng)該在RADIUS效勞器上配置相應(yīng)的用戶名和密碼。l 假設(shè)需要本地認(rèn)證，那么應(yīng)該在設(shè)備上手動(dòng)添加認(rèn)證的用戶名和密碼。配置本地認(rèn)證時(shí)，用戶使用的效勞類型必須設(shè)置為lan-access。RADIUS客戶端的詳細(xì)配置請參見“AAA配置。1.3.2 配置全局802.1X表1-3配置全局802.1X配置步驟命令說

38、明進(jìn)入系統(tǒng)視圖system-view-開啟全局的802.1X特性dot1x必選缺省情況下，全局的802.1X特性為關(guān)閉狀態(tài)設(shè)置802.1X用戶的認(rèn)證方法dot1x authentication-method chap | eap | pap 可選缺省情況下，設(shè)備對(duì)802.1X用戶的認(rèn)證方法為CHAP認(rèn)證設(shè)置端口接入控制的形式dot1x port-control authorized-force | auto | unauthorized-force interface interface-list 可選缺省情況下，802.1X在端口上進(jìn)展接入控制的形式為auto設(shè)置端口接入控制方式dot1x

39、port-method macbased | portbased interface interface-list 可選缺省情況下，802.1X在端口上進(jìn)展接入控制方式為macbased設(shè)置端口同時(shí)接入用戶數(shù)量的最大值dot1x max-useruser-number interface interface-list 可選參數(shù)user-number的缺省值與設(shè)備的型號(hào)有關(guān)，請以設(shè)備的實(shí)際情況為準(zhǔn)設(shè)置設(shè)備向接入用戶發(fā)送認(rèn)證懇求報(bào)文的最大次數(shù)dot1x retry max-retry-value可選缺省情況下，max-retry-value為2，即設(shè)備最多可向接入用戶發(fā)送2次認(rèn)證懇求報(bào)文配置定時(shí)器

40、參數(shù)dot1x timer handshake-periodhandshake-period-value | quiet-periodquiet-period-value | | reauth-periodreauth-period-value | server-timeout server-timeout-value| supp-timeout supp-timeout-value | tx-periodtx-period-value 可選缺省情況下：l 握手定時(shí)器的值為15秒l 靜默定時(shí)器的值為60秒l 周期性重認(rèn)證定時(shí)器的值為3600秒l 認(rèn)證效勞器超時(shí)定時(shí)器的值為100秒l 客戶端認(rèn)證

41、超時(shí)定時(shí)器的值為30秒l 用戶名懇求超時(shí)定時(shí)器的值為30秒 l 只有同時(shí)開啟全局和端口的802.1X特性后，802.1X的配置才能在端口上生效。l 開啟指定端口的802.1X特性、設(shè)置端口接入控制的形式、端口接入控制方式以及端口同時(shí)接入用戶數(shù)量的最大值均可在接口視圖下進(jìn)展，詳細(xì)配置請參見表1-4和表1-5。全局配置與端口的配置并無優(yōu)先級(jí)之分，僅是作用范圍不一致，后配置的參數(shù)會(huì)覆蓋已有的參數(shù)。l 一般情況下，用戶無需使用dot1x timer命令改變定時(shí)器值，除非在一些特殊或惡劣的網(wǎng)絡(luò)環(huán)境下，可以使用該命令調(diào)節(jié)交互進(jìn)程。例如，用戶網(wǎng)絡(luò)狀況比較差的情況下，可以適當(dāng)?shù)貙⒖蛻舳苏J(rèn)證超時(shí)定時(shí)器值調(diào)大一些

42、；網(wǎng)絡(luò)處在風(fēng)險(xiǎn)位置，容易受攻擊的情況下，可以適當(dāng)?shù)貙㈧o默定時(shí)器值調(diào)大一些，反之，可以將其調(diào)小一些來進(jìn)步對(duì)用戶認(rèn)證懇求的響應(yīng)速度；可以通過調(diào)節(jié)認(rèn)證效勞器超時(shí)定時(shí)器的值來適應(yīng)不同認(rèn)證效勞器的性能差異。 1.3.3 配置端口的802.1X1.開啟端口802.1X特性表1-4開啟端口802.1X特性配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-開啟端口的802.1X特性在系統(tǒng)視圖下dot1x interface interface-list二者必選其一缺省情況下，端口的802.1X特性為關(guān)閉狀態(tài)在以太網(wǎng)接口視圖下interface interface-type interface-numberd

43、ot1x 2.配置端口802.1X參數(shù)表1-5配置端口802.1X參數(shù)配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入以太網(wǎng)接口視圖interface interface-type interface-number-設(shè)置端口接入控制的形式dot1x port-control authorized-force |auto |unauthorized-force 可選缺省情況下，802.1X在端口上進(jìn)展接入控制的形式為auto設(shè)置端口接入控制方式dot1x port-method macbased |portbased 可選缺省情況下，802.1X在端口上進(jìn)展接入控制方式為macbased

44、設(shè)置端口同時(shí)接入用戶數(shù)量的最大值dot1x max-user user-number可選參數(shù)user-number的缺省值與設(shè)備的型號(hào)有關(guān)，請以設(shè)備的實(shí)際情況為準(zhǔn) l 端口啟動(dòng)802.1X與端口參加聚合組及端口參加業(yè)務(wù)環(huán)回組互斥。l 對(duì)于802.1X用戶，假設(shè)采用EAP中繼認(rèn)證方式，那么設(shè)備會(huì)把客戶端輸入的內(nèi)容直接封裝后發(fā)給效勞器，這種情況下user-name-format命令的設(shè)置無效，user-name-format的介紹請參見“平安命令參考中的“AAA。l 假設(shè)802.1X客戶端配置的用戶名攜帶版本號(hào)或者用戶名中存在空格，那么無法通過用戶名來檢索和切斷用戶連接，但是通過其他方式如IP地址

45、、連接索引號(hào)等仍然可以檢索和切斷用戶的連接。 1.4 開啟在線用戶握手功能可以通過下面的命令來開啟設(shè)備的在線用戶握手功能。當(dāng)802.1X用戶認(rèn)證通過以后，設(shè)備會(huì)定時(shí)該時(shí)間間隔由命令dot1x timer handshake-period設(shè)置向認(rèn)證用戶發(fā)送握手報(bào)文，假設(shè)用戶在最大重傳次數(shù)內(nèi)該次數(shù)由命令dot1x retry設(shè)置沒有回應(yīng)此握手報(bào)文，設(shè)備會(huì)將用戶置為下線狀態(tài)。表1-6開啟在線用戶握手功能配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入以太網(wǎng)接口視圖interface interface-type interface-number-開啟在線用戶握手功能dot1x handsha

46、ke可選缺省情況下，在線用戶握手功能處于開啟狀態(tài) l 關(guān)閉在線用戶握手功能之前，必須先關(guān)閉代理檢測功能。l 部分802.1X客戶端不支持與設(shè)備進(jìn)展握手報(bào)文的交互，因此建議在這種情況下，關(guān)閉設(shè)備的在線用戶握手功能，防止該類型的在線用戶因沒有回應(yīng)握手報(bào)文而被強(qiáng)迫下線。 1.5 配置代理檢測功能可以通過下面的命令實(shí)現(xiàn)設(shè)備對(duì)通過代理登錄設(shè)備的用戶的檢測及接入控制。配置了該功能后，可以防止其他非法用戶使用已認(rèn)證的802.1X客戶端作為代理效勞器訪問網(wǎng)絡(luò)資源或逃避監(jiān)控、計(jì)費(fèi)。假設(shè)檢測結(jié)果為用戶代理上網(wǎng)，那么設(shè)備可以給網(wǎng)管發(fā)送Trap信息或者通過發(fā)送下線消息強(qiáng)迫該用戶下線，這兩種方式也可以同時(shí)使用。該功能依

47、賴于在線用戶握手功能。在配置代理檢測功能之前，必須先開啟在線用戶握手功能。在線握手功能的配置請參考“1.4 開啟在線用戶握手功能。表1-7配置代理檢測功能配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-開啟全局的代理用戶檢測與控制dot1x supp-proxy-checklogoff |trap 必選缺省情況下，未開啟對(duì)代理用戶的檢測及接入控制開啟端口的代理用戶檢測與控制在系統(tǒng)視圖下dot1x supp-proxy-check logoff |trap interface interface-list二者必選其一缺省情況下，未開啟對(duì)代理用戶的檢測及接入控制在以太網(wǎng)接口視圖下interfa

48、ce interface-type interface-numberdot1x supp-proxy-check logoff |trap l 該功能的實(shí)現(xiàn)需要H3C 802.1X客戶端程序的配合。l 必須同時(shí)開啟全局和指定端口的代理用戶檢測與控制，此特性的配置才能在該端口上生效。 1.6 開啟組播觸發(fā)功能可以通過下面的命令來開啟設(shè)備的組播觸發(fā)功能。假設(shè)端口啟動(dòng)了802.1X的組播觸發(fā)功能，那么該端口會(huì)定期向客戶端發(fā)送組播觸發(fā)報(bào)文來啟動(dòng)認(rèn)證，該功能用于支持不能主動(dòng)發(fā)起認(rèn)證的客戶端。表1-8開啟組播觸發(fā)功能配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入以太網(wǎng)接口視圖interface

49、interface-type interface-number-開啟組播觸發(fā)功能dot1x multicast-trigger可選缺省情況下，組播觸發(fā)功能處于開啟狀態(tài) 對(duì)于無線局域網(wǎng)來說，可以由客戶端主動(dòng)發(fā)起認(rèn)證，或由無線模塊發(fā)現(xiàn)用戶并觸發(fā)認(rèn)證，而不必端口定期發(fā)送802.1X的組播報(bào)文來觸發(fā)。同時(shí)，組播觸發(fā)報(bào)文會(huì)占用無線的通信帶寬，因此建議無線局域網(wǎng)中的接入設(shè)備關(guān)閉該功能。 1.7 配置端口的強(qiáng)迫認(rèn)證域可以下面的命令來配置端口的強(qiáng)迫認(rèn)證域。配置了端口的強(qiáng)迫認(rèn)證域后，所有從該端口接入的802.1X用戶將被強(qiáng)迫使用該認(rèn)證域來進(jìn)展認(rèn)證、受權(quán)和計(jì)費(fèi)。表1-9配置端口的強(qiáng)迫認(rèn)證域配置步驟命令說明進(jìn)入系統(tǒng)

50、視圖system-view-進(jìn)入以太網(wǎng)接口視圖interface interface-type interface-number-配置端口的強(qiáng)迫認(rèn)證域dot1x mandatory-domain domain-name必選缺省情況下，未定義強(qiáng)迫認(rèn)證域 1.8 配置靜默定時(shí)器功能可以通過下面的命令來翻開設(shè)備的靜默定時(shí)器功能。當(dāng)802.1X用戶認(rèn)證失敗以后，設(shè)備需要靜默一段時(shí)間該時(shí)間由dot1x timer quiet-period設(shè)置后再重新發(fā)起認(rèn)證，在靜默期間，設(shè)備不進(jìn)展802.1X認(rèn)證的相關(guān)處理。表1-10開啟靜默定時(shí)器功能配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-開啟靜默定時(shí)器功

51、能dot1x quiet-period必選缺省情況下，靜默定時(shí)器功能處于關(guān)閉狀態(tài) 1.9 配置重認(rèn)證功能可以通過下面的命令來開啟設(shè)備對(duì)802.1X用戶主動(dòng)發(fā)起的周期性重認(rèn)證功能。端口啟動(dòng)了802.1X的周期性重認(rèn)證功能后，設(shè)備會(huì)根據(jù)周期性重認(rèn)證定時(shí)器設(shè)定的時(shí)間間隔該時(shí)間間隔由命令dot1x timer reauth-period設(shè)置定期啟動(dòng)對(duì)該端口在線802.1X用戶的認(rèn)證，以檢測用戶連接狀態(tài)的變化，更新效勞器下發(fā)的受權(quán)屬性例如ACL、VLAN、QoS Profile，確保用戶的正常在線。表1-11配置重認(rèn)證功能配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-進(jìn)入以太網(wǎng)接口視圖interf

52、ace interface-type interface-number-開啟周期性重認(rèn)證功能dot1xre-authenticate必選缺省情況下，周期性重認(rèn)證功能處于關(guān)閉狀態(tài) 802.1X用戶認(rèn)證通過后，假設(shè)認(rèn)證效勞器通過session-timeout屬性對(duì)該用戶下發(fā)了重認(rèn)證周期，那么設(shè)備上配置的周期性重認(rèn)證時(shí)間無效，效勞器下發(fā)的重認(rèn)證周期生效。認(rèn)證效勞器下發(fā)重認(rèn)證時(shí)間的詳細(xì)情況與效勞器類型有關(guān)，請參考詳細(xì)的認(rèn)證效勞器實(shí)現(xiàn)。 1.10 配置Guest VLAN假設(shè)用戶端設(shè)備發(fā)出的是攜帶Tag的數(shù)據(jù)流，且接入端口上使能了802.1X認(rèn)證并配置了Guest VLAN，為保證各種功能的正常使用，請

53、為端口的缺省VLAN和802.1X的Guest VLAN分配不同的VLAN ID。 1.10.1 配置準(zhǔn)備l 已經(jīng)創(chuàng)立需要配置為Guest VLAN的VLAN。l 配置Port-based Guest VLAN簡稱PGV需要保證接入控制方式為portbased，且802.1X的組播觸發(fā)功能處于開啟狀態(tài)。l 配置MAC-based Guest VLAN簡稱MGV需要保證接入控制方式為macbased，且使能了端口上的MAC VLAN功能。MAC VLAN功能的詳細(xì)配置請參見“二層技術(shù)-以太網(wǎng)交換配置指導(dǎo)中的“VLAN1.10.2 配置Guest VLAN表1-12配置Guest VLAN配置步驟命令說明進(jìn)入系統(tǒng)視圖system-view-配置指定端口的Guest VLAN在系統(tǒng)視圖下dot1x guest-vlanguest-vlan-id interface interface-list二者必選其一缺省情況下，端口沒有配置Guest VLAN在以太網(wǎng)接口視圖下interfaceinterface-type interface-numberdot1x guest-