S5130交换机+MAC旁路认证（802.1x环境下）

1.12  配置端口MAC地址认证和802.1X认证并行处理功能

端口采用802.1X和MAC地址组合认证，且端口所连接的用户有不能主动发送EAP报文触发802.1X认证的情况下，如果端口配置了802.1X单播触发功能，则端口收到源MAC地址未知的报文，会先进行802.1X认证处理，完成后再进行MAC地址认证处理。

配置端口的MAC地址认证和802.1X认证并行处理功能后，在上述情况下，端口收到源MAC地址未知的报文，会向该MAC地址单播发送EAP-Request帧来触发802.1X认证，但不等待802.1X认证处理完成，就同时进行MAC地址认证的处理。

在某些组网环境下，例如用户不希望端口先被加入802.1X的Guest VLAN或Guest VSI中，接收到源MAC地址未知的报文后，先触发MAC地址认证，认证成功后端口直接加入MAC地址认证的授权VLAN或授权VSI中，那么需要配置MAC地址认证和802.1X认证并行处理功能和端口延迟加入802.1X Guest VLAN或端口延迟加入802.1X Guest VSI功能。关于端口延迟加入802.1X Guest VLAN和端口延迟加入802.1X Guest VSI功能的详细介绍，请参见“安全配置指导”中的“802.1X”。

端口采用802.1X和MAC地址组合认证功能适用于如下情况：

·     端口上同时开启了802.1X和MAC地址认证功能，并配置了802.1X认证的端口的接入控制方式为MAC-based。

·     开启了端口安全功能，并配置了端口安全模式为userlogin-secure-or-mac或userlogin-secure-or-mac-ext。端口安全模式的具体配置请参见“安全命令参考”中的“端口安全”。

为保证MAC地址认证和802.1X认证并行处理功能的正常使用，不建议配置端口的MAC地址认证延迟功能，否则端口触发802.1X认证后，仍会等待一定的延迟后再进行MAC地址认证。

表1-10 配置端口的MAC地址认证和802.1X认证并行处理功能