S5110V2-52P交换机dot1x有线认证

802.1X Guest VLAN功能允许用户在未认证的情况下，访问某一特定VLAN中的资源。这个特定的VLAN称之为Guest VLAN，该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。

根据端口的接入控制方式不同，Guest VLAN的生效情况有所不同。

1. Port-based方式

在接入控制方式为Port-based的端口上配置Guest VLAN后，若全局和端口上都使能了802.1X，端口授权状态为auto，且端口处于激活状态，则该端口就被加入Guest VLAN，所有在该端口接入的用户将被授权访问Guest VLAN里的资源。端口加入Guest VLAN的情况与加入授权VLAN相同，与端口链路类型有关，请参见“1.3.1  授权VLAN”的“表1-3”。需要注意的是，端口接收的带VLAN Tag的报文，如果该VLAN不是配置的Guest VLAN，则报文仍然可以在该VLAN内转发。

当端口上处于Guest VLAN中的用户发起认证且失败时：如果端口配置了Auth-Fail VLAN，则该端口会被加入Auth-Fail VLAN；如果端口未配置Auth-Fail VLAN，则该端口仍然处于Guest VLAN内。关于Auth-Fail VLAN的具体介绍请参见“1.3.3  802.1X Auth-Fail VLAN”。

当端口上处于Guest VLAN中的用户发起认证且成功时，端口会离开Guest VLAN，之后端口加入VLAN情况与认证服务器是否下发VLAN有关，具体如下：

·              若认证服务器下发VLAN，则端口加入下发的VLAN中。

·              若认证服务器未下发VLAN，则端口回到初始VLAN中。

用户下线后，端口加入Guest VLAN。

2. MAC-based方式

在接入控制方式为MAC-based的端口上配置Guest VLAN后，端口上未认证的用户将被授权访问Guest VLAN里的资源。

当端口上处于Guest VLAN中的用户发起认证且失败时，如果端口配置了Auth-Fail VLAN，则认证失败的用户将被加入Auth-Fail VLAN；如果端口未配置Auth-Fail VLAN，则该用户将离开Guest VLAN，回到加入Guest VLAN之前端口所在的初始VLAN。

当端口上处于Guest VLAN中的用户发起认证且成功时，设备会根据认证服务器是否下发授权VLAN决定将该用户加入到下发的授权VLAN中，或使其回到加入Guest VLAN之前端口所在的初始VLAN。