LS-5120V3-52P-LI交换机802.1x配置

参考

port-security auth-order命令用来配置端口安全认证顺序。

【命令】

port-security auth-order { dot1x-mac [ parallel ] | mac-dot1x [ multiple ] }

【缺省情况】

端口收到源MAC地址未知的报文后，按照802.1X认证完成后再进行MAC地址认证的顺序进行处理。

【视图】

端口安全认证模板视图

【参数】

dot1x-mac：端口完成802.1X认证后再进行MAC地址认证。

parallel：开启端口MAC地址认证和802.1X认证并行处理功能，即802.1X认证和MAC地址认证可以同步进行，任一认证成功后即可上线。如果未指定本参数，则用户完成802.1X认证后才能进行MAC地址认证。

mac-dot1x：端口完成MAC地址认证后再进行802.1X认证。

multiple：开启端口多步认证功能，即用户只有通过MAC地址认证成功后才能进行802.1X认证，且二者均认证成功后才能上线。如果未指定本参数，则用户通过任一方式认证成功后即可上线。

【使用指导】

工作机制

端口采用802.1X和MAC地址组合认证功能时，用户可以根据需要自行配置端口的接入认证顺序。

·     dot1x-mac认证顺序下，如果想要端口加入到802.1X Guest VLAN或Guest VSI之前进行MAC地址认证并下发授权VLAN或授权VSI，可以通过port-security auth-order dot1x-mac parallel开启端口MAC地址认证和802.1X认证并行处理功能，并配置端口延迟加入802.1X Guest VLAN或端口延迟加入802.1X Guest VSI功能。关于端口延迟加入802.1X Guest VLAN和端口延迟加入802.1X Guest VSI配置命令的详细介绍，请参见“安全命令参考”中的“802.1X”。

·     mac-dot1x认证顺序下，如果希望接入用户只有在MAC地址认证和802.1X认证均认证成功后才能上线，可以通过port-security auth-order mac-dot1x multiple开启端口多步认证功能。

配置准备

端口采用802.1X和MAC地址组合认证功能时，必须先同时开启802.1X和MAC地址认证功能，并配置802.1X认证端口的接入控制方式为macbased。

注意事项

通过配置port-security auth-order命令修改端口的接入认证顺序后，将导致正在认证的用户认证失败，用户需要重新触发认证才能上线。为了避免造成认证用户无法上线，请勿随意配置本功能修改认证方式顺序。

开启了MAC地址认证和802.1X认证并行处理功能后，不建议配置端口的MAC地址认证延迟功能。

【举例】

# 在安全认证模板123上开启MAC地址认证和802.1X认证多步认证功能。

<Sysname> system-view

[Sysname] port-security authentication-profile 123

[Sysname-portsec-auth-profile-123] port-security auth-order mac-dot1x multiple

配置端口MAC地址认证和802.1X认证并行处理功能

配置端口的MAC地址认证和802.1X认证并行处理功能后，端口收到源MAC地址未知的报文，会向该MAC地址单播发送EAP-Request帧来触发802.1X认证，但不等待802.1X认证处理完成，就同时进行MAC地址认证的处理。

interface 【interface-type interface-number】

配置端口的MAC地址认证和802.1X认证并行处理功能。

mac-authentication parallel-with-dot1x

缺省情况下，端口在收到源MAC地址未知的报文触发认证时，按照802.1X完成后再进行MAC地址认证的顺序进行处理