问

MAC、portal、802.1x、认证逃生配置，目前只找到portal认如何配置

4小时前提问

粉丝：0人关注：0人

目前只找到portal认如何配置，没有找到MAC和802.1x的配置案例，请大佬问手册在哪里，只需要找到手册即可。

3 个回答

按时间按赞数

已采纳

粉丝：21人关注：1人

针对您在配置 H3C 设备 WLAN 安全时遇到的认证方式问题，以下是为您整理的各认证方式配置手册的获取路径及核心配置要点：

您可以直接访问 新华三集团（H3C）官方网站，进入“支持” -> “文档中心”，通过搜索您的具体设备型号（如 S5130S、S7500E 等），下载对应版本的《配置指导》。您需要的核心安全配置手册如下：

802.1X 与 MAC 地址认证：请查阅 《安全配置指导》（部分老版本可能称为《安全配置指导-802.1X配置》和《MAC地址认证配置》）。该手册详细涵盖了这两种认证的体系结构、AAA域配置、RADIUS方案对接以及逃生策略。
Portal 认证：请查阅 《Web服务配置指导》 或 《用户接入管理配置指导》（包含 Portal 配置章节）。

MAC 地址认证不需要客户端软件，设备检测到 MAC 后自动发起认证。它通常用于处理无法弹出网页的设备。

核心逻辑：全局开启 mac-authentication -> 接口下开启 mac-authentication -> 指定强制认证域 mac-authentication domain <domain-name>。
账号格式：需要配置用户名格式，通常使用带连字符或不带连字符的 MAC 地址作为用户名和密码（例如 mac-authentication user-name-format mac-address with-hyphen）。

基于端口的网络接入控制协议，通常需要终端安装 iNode 等客户端或使用操作系统自带的 802.1X 功能。

核心逻辑：全局开启 dot1x -> 接口下开启 dot1x -> 指定强制认证域 dot1x mandatory-domain <domain-name>。
接入控制：可配置为基于端口（port-based）或基于 MAC（mac-based）的接入控制方式。

当 RADIUS 服务器宕机或不可达时，为了防止合法用户断网，需要配置逃生机制。H3C 针对不同认证提供了不同的逃生手段：

802.1X / MAC 地址认证逃生：推荐使用 Critical VLAN（逃生VLAN）。当交换机无法与 RADIUS 服务器通信时，会将未通过认证的用户端口加入指定的 Critical VLAN，使其获得受限的网络访问权限。关键命令为 dot1x critical vlan <vlan-id> 并在接口下应用 dot1x critical eapol。
通用 AAA 域逃生：在 ISP 域视图下，配置 RADIUS 服务器不可达时的逃生域。关键命令为 authen-radius-unavailable online domain <new-isp-name>。此特性同时适用于 802.1X、MAC 地址认证和 Web (Portal) 认证用户。

建议您在排查或新建配置时，优先确保底层 AAA 框架（RADIUS Scheme 和 Domain）的正确性，这是所有上层认证（Portal、802.1X、MAC）能够生效的基础。