华为设备802.1x认证配置

802.1x配置
802.1x本身的各项配置任务都可以在以太网交换机的系统视图下完成。当全局802.1x开启后，可以对端口的802.1x状态进行配置。

    如果端口启动了802.1x，则不能配置该端口的最大mac地址学习个数（通过命令mac-address max-mac-count配置），反之，如果端口配置了最大mac地址学习个数，则禁止在该端口上启动802.1x。

    802.1x的配置包括：

    开启/关闭802.1x特性

    配置接入端口的控制模式

    配置端口接入控制方式

    检测通过代理登录交换机的用户

    配置端口接入用户数量的最大值

    配置允许dhcp触发认证

    配置802.1x用户的认证方法

    配置guest vlan

    配置认证请求帧的最大可重复发送次数

    配置802.1x定时器参数

    打开/关闭quiet-period定时器

    在以上的配置任务中，第一项任务中开启802.1x特性是必配的，否则802.1x无法发挥作用；其余任务则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。

    1.2.1 开启/关闭802.1x特性

    可以通过下面的命令开启/关闭指定端口或全局的802.1x特性，在系统视图下，不指定任何端口时，开启/关闭全局的802.1x特性，指定端口时，开启/关闭指定端口的802.1x特性。在以太网端口视图下，不能指定其他端口，只能开启/关闭本端口的802.1x特性。

    请在系统视图或以太网端口视图下进行下列配置。

    缺省情况下，全局及端口的802.1x特性均为关闭状态。

    各端口的802.1x状态在全局802.1x没有开启之前不可以开启；在关闭全局802.1x特性之前需要先关闭每个端口的802.1x特性。

    1.2.2 配置端口接入控制的模式

    可以通过下面的命令来设置802.1x在指定端口上进行接入控制的模式。当没有指定任何确定的端口时，设置的是所有端口接入控制的模式。

    请在系统或以太网端口视图下进行下列配置。

    auto自动识别模式，又称为协议控制模式，表示端口初始状态为非授权状态，仅允许eapol报文收发，不允许用户访问网络资源；如果认证流程通过，则端口切换到授权状态，允许用户访问网络资源。

    authorized-force为强制授权模式，表示端口始终处于授权状态，允许用户不经认证授权即可访问网络资源。

    unauthorized-force为强制非授权模式，表示端口始终处于非授权状态，不响应用户的认证请求，不允许用户访问网络资源。

    缺省情况下，802.1x在端口上进行接入控制的模式为auto。

    1.2.3 配置端口接入控制方式

    可以通过下面的命令来设置802.1x在指定端口上进行接入控制方式。当没有指定任何确定的端口时，设置的是所有端口进行接入控制的方式。

    请在系统或以太网端口视图下进行下列配置。

    当采用macbased方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；当采用portbased方式时，只要该端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被拒绝使用网络。

    使用802.1x动态acl下发功能时，请确保动态下发的acl与端口上生效的流模板（默认流模板和自定义流模板）匹配。

    当使能802.1x的端口是基于mac认证并使用动态acl时，还必须注意，此端口上生效的流模板中还必须包含smac（源mac）字段，否则，认证不通过。

    缺省情况下，802.1x在端口上进行接入控制方式为macbased，即基于mac地址进行认证。

    在没有nam板时，不能对macbased的用户进行流量统计。因为系统只计算端口的流量，而不能对同一端口连接的多个用户进行区分，所以只能对portbased的用户进行流量统计。

    1.2.4 检测通过代理登录交换机的用户

    可以通过下面的命令实现交换机对通过代理登录的用户的检测及相关控制。

    请在系统或以太网端口视图下进行下列配置。

    此命令如果在系统视图下执行，可以作用于interface-list参数所指定的某个端口；如果在以太网端口视图下执行，不能输入interface-list参数，只能作用于当前端口。在系统视图下开启全局的代理用户检测与控制后，必须再开启指定端口的代理用户检测与控制特性，此特性的配置才能在该端口上生效。

    1.2.5 配置端口接入用户数量的最大值

    可以通过下面的命令来设置802.1x在指定端口上可容纳接入用户数量的最大值。当没有指定任何确定的端口时，指示所有端口都可容纳相同数量的接入用户。

    请在系统或以太网端口视图下进行下列配置。

    缺省情况下，802.1x在s9500系列路由交换机单个的端口上允许最多有1024个接入用户，整机上允许最多有2048个接入用户。

    1.2.6 配置允许dhcp触发认证

    在dhcp环境中，如果用户私自配置静态ip，可以通过下面的命令来设置802.1x是否允许以太网交换机触发对该用户的身份认证。

    请在系统视图下进行下列配置。

    缺省情况下，用户自己配置静态ip，交换机可以触发对其的身份认证。

    1.2.7 配置802.1x用户的认证方法

    以通过下面的命令来设置802.1x用户的认证方法。目前提供3种认证方法：pap认证（该功能的实现，需要radius服务器支持pap认证）、chap认证（该功能的实现，需要radius服务器支持chap认证）、eap中继认证（直接把认证信息以eap报文的形式发送给radius服务器，该功能的实现，需要radius服务器支持eap认证）。

    请在系统视图下进行下列配置。

    缺省情况下，交换机802.1x用户认证方法为chap认证。

    在配置802.1x用户认证方法时，交换机和认证服务器上的认证方法应保持一致。

    1.2.8 配置guest vlan

    当guest vlan功能开启后，交换机向所有开启802.1x功能的端口广播主动认证报文，如果达到最大重认证次数后，仍有端口上未返回响应报文，则交换机将该端口加入到guest vlan中。之后属于该guest vlan中的用户访问该guest vlan中的资源时，不需要进行802.1x认证，但访问外部的资源时仍需要进行认证。从而满足了允许未认证用户访问某些资源的需求：如用户没有安装802.1x客户端的情况下访问某些资源；在用户未认证的情况下升级802.1x客户端等。

    请在系统视图或以太网端口视图下进行下列配置。

    guest vlan仅在基于端口认证方式下可以支持；

    一台交换机只能配置一个guest vlan；

    用户没有认证、认证失败，或者下线后都属于guest vlan；

    只能在access端口配置guest vlan；

    配置的vlan-id必须已存在，并且不能为super vlan或isolate-user-vlan；

    guest vlan和其他vlan接口间不互通由系统手工配置保证。

    1.2.9 配置认证请求帧的最大可重复发送次数

    可以通过下面的命令来设置以太网交换机可重复向接入用户发送认证请求帧的最大次数。

    请在系统视图下进行下列配置。

    缺省情况下，max-retry-value为2，即交换机最多可重复向接入用户发送2次认证请求帧。

    1.2.10 配置802.1x定时器参数

    可以通过下面的命令来配置802.1x的各项定时器参数。

    请在系统视图下进行下列配置。

    其中：

    tx-period：具体有两个方面的作用，详情如下分类介绍。

    传送超时定时器。当authenticator设备向supplicant设备发送了request/identity请求报文（该报文用于请求用户的用户名，或者用户名和密码）后，authenticator设备启动定时器tx-period，若在该定时器设置的时长内，supplicant设备未成功发送认证应答报文，则authenticator设备将重发认证请求报文。

    规定周期性组播802.1x request报文的时间间隔。为了兼容不主动发送eapol-start帧的客户端，s9500交换机会定期组播802.1x request报文，客户端在收到报文后会进行响应。tx-period定义了对802.1x request报文进行组播的周期。

    tx-period-value：传送超时定时器设置的时长，取值范围为10～120，单位为秒。缺省情况下，tx-period-value为30秒。

    supp-timeout：supplicant认证超时定时器。当authenticator设备向supplicant设备发送了request/challenge请求报文（该报文用于请求supplicant设备的md5加密密文）后，authenticator设备启动supp-timeout定时器，若在该定时器设置的时长内，supplicant设备未成功响应，authenticator设备将重发该报文。

    supp-timeout-value：supplicant认证超时定时器设置的时长，取值范围为10～120，单位为秒。缺省情况下，supp-timeout-value为30秒。

    server-timeout：authentication server超时定时器。若在该定时器设置的时长内，authentication server未成功响应，authenticator设备将重发认证请求报文。

    server-timeout-value：radius服务器超时定时器设置的时长，取值范围为100～300，单位为秒。缺省情况下，server-timeout-value为100秒。

    handshake-period：此定时器是在用户认证成功后启动的，系统以此间隔为周期发送握手请求报文。如果dot1x retry命令配置重试次数为n，则系统连续n次没有收到客户端的响应报文，就认为用户已经下线，将用户置为下线状态。

    handshake-period-value：握手时间间隔，取值范围为1～1024，单位为秒。缺省情况下，握手报文的发送时间间隔为30秒。

    quiet-period：静默定时器。对用户认证失败以后，authenticator设备需要静默一段时间（该时间由静默定时器设置）后再重新发起认证，在静默期间，authenticator设备不处理认证功能。

    quiet-period-value：静默定时器设置的静默时长，取值范围10～120，单位为秒。缺省情况下，quiet-period-value为60秒。

    根据用户数的不同，建议用户配置不同的握手时间间隔值和握手超时次数：

    用户数为2048时，握手间隔大于等于2分钟，握手超时次数大于等于3次；

    用户数为1024时，握手间隔大于等于1分钟，握手超时次数大于等于3次；

    用户数为512时，握手间隔大于等于30秒，握手超时次数大于等于2次。

    1.2.11 打开/关闭quiet-period定时器

    可以通过下面的命令来打开/关闭authenticator设备（如h3c系列交换机）的quiet-period定时器。当802.1x用户认证失败以后，authenticator设备需要静默一段时间（该时间由静默定时器设置）后再重新发起认证，在静默期间，authenticator设备不进行802.1x认证的相关处理。

    请在系统视图下进行下列配置。

相关日志

• 802.1X：期待与问题并存 (0)
• 802.1x网络访问认证技术 (0)