mac认证逃生

1.12  配置MAC地址认证的重认证不可达动作

1. 功能简介

是否对MAC地址在线用户进行周期性重认证由认证服务器决定。重认证的目的是检测用户连接状态的变化、确保用户的正常在线，并及时更新服务器下发的授权属性（例如VLAN）。认证服务器通过下发RADIUS属性（session-timeout、terminal-action）来指定用户会话超时时长以及会话中止的动作类型，它们共同决定了如何对用户进行重认证。

·     当会话中止的动作类型为要求用户进行重认证时，端口会在用户会话超时时长到达后对该用户进行重认证；

·     当会话中止的动作类型为要求用户下线时，端口会在用户会话超时时长到达强制该用户下线；

·     当认证服务器未下发用户会话超时时长时，设备不会对用户进行重认证。

认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关，请参考具体的认证服务器实现。

2. 配置限制和指导

端口对用户进行重认证过程中，重认证服务器不可达时端口上的MAC地址认证用户状态由端口上的配置决定。在网络连通状况短时间内不良的情况下，合法用户是否会因为服务器不可达而被强制下线，需要结合实际的网络状态来调整。若配置为保持用户在线，当服务器在短时间内恢复可达，则可以避免用户频繁上下线；若配置为强制下线，当服务器可达性在短时间内不可恢复，则可避免用户在线状态长时间与实际不符。

修改设备上配置的认证域或MAC地址认证用户的帐号格式，都不会影响在线用户的重认证，只对配置之后新上线的用户生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置重认证服务器不可达时端口上的MAC地址认证用户保持在线状态。

mac-authentication re-authenticate server-unreachable keep-online

缺省情况下，端口上的MAC地址在线用户重认证时，若认证服务器不可达，则用户会被强制下线。

domain域里面后面再跟个none参数