• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

EIA进行1X认证,如果接入策略中不下发vlan,那认证通过后用户属于那个vlan

1天前提问
  • 0关注
  • 0收藏,47浏览
粉丝:0人 关注:0人

问题描述:

EIA进行1X认证,接入策略中不填写下发vlan,那认证通过后用户属于那个vlan,会不会下发某个默认vlan。

3 个回答
粉丝:23人 关注:2人

H3C iMC EIA 802.1X 不下发 VLAN 时归属规则
一、核心结论
接入策略不配置下发动态 VLAN时,终端认证上线不会自动下发任何默认 VLAN,用户流量完全沿用交换机端口原生静态 VLAN(端口 access/hybrid/trunk 配置的本地初始 VLAN)。
二、分端口模式详细说明
1. 端口为 Access 模式(最常用办公接入口)
端口基础配置示例:
plaintext
interface GigabitEthernet 1/0/1
port link-type access
port access vlan 10 // 端口原生静态VLAN10
dot1x authentication method eap
EIA 接入策略不填下发 VLAN → 认证成功后,用户仍处于VLAN10,无任何 VLAN 变更。
2. 端口为 Hybrid 模式
plaintext
interface GigabitEthernet 1/0/1
port link-type hybrid
port hybrid untagged vlan 20 // 原生放通VLAN20为本地默认
dot1x
不下发 VLAN 策略:终端流量在 untagged 原生 VLAN20 转发。
3. 端口 Trunk 模式(极少用于终端 1X 接入)
端口默认允许所有 VLAN、无原生 untagged;无下发 VLAN 时,终端无法正常转发,业务断网。
终端接入不建议 trunk,必须 access/hybrid。
三、区分 2 个容易混淆的关键点
1. EIA 策略 “下发 VLAN”= 动态覆盖端口原生 VLAN
策略填写 VLAN 30:认证后端口临时切换 untagged VLAN30,覆盖原有静态 VLAN;下线后恢复端口原生 VLAN。
策略空白不填 VLAN:不执行任何覆盖动作,端口 VLAN 保持不变。
2. 和 “iNode 客户端默认 VLAN、RADIUS 默认 VLAN” 无关
EIA 没有全局 “认证默认下发 VLAN” 参数,不存在系统内置兜底 VLAN;
只有两种场景会变更 VLAN:
1)接入策略手动指定下发 VLAN;
2)EIA 绑定了安全域 / 用户分组的 VLAN 资源池自动分配。
四、特殊场景:配置了 VLAN 资源池(自动分配 VLAN)
如果你的接入服务模板绑定了VLAN 地址资源池(多业务动态分配场景):
即便接入策略没手动填 VLAN,EIA 仍会从资源池自动分配一个空闲 VLAN 下发;
仅当未绑定 VLAN 资源池 + 策略不填 VLAN,才会使用端口原生 VLAN。
判断是否绑定资源池路径:
iMC EIA → 接入服务模板 → 高级参数 → 查看是否配置「动态 VLAN 资源」
五、下线恢复逻辑
有下发 VLAN:用户下线后,交换机端口自动恢复配置的静态原生 VLAN;
无下发 VLAN:全程端口 VLAN 无变化,上下线对二层转发无改动。
六、补充排错验证命令(交换机侧)
认证上线后查看端口当前 untagged VLAN:
plaintext
display current-configuration interface GigabitEthernet 1/0/1
display dot1x connection // 查看在线用户授权VLAN字段为空
若授权 VLAN 字段为空,代表未下发动态 VLAN,流量走端口基础 VLAN。

暂无评论

粉丝:12人 关注:9人

认证通过后用户所属VLAN由接入设备侧配置决定,EIA不下发VLAN时不会触发默认VLAN下发。具体规则如下:
1. 若接入设备端口配置了access vlan(如port access vlan 10),用户认证通过后属于该端口的access VLAN。
2. 若接入设备端口配置了802.1X的默认VLAN(如dot1x default-vlan 20),用户认证通过后属于该默认VLAN。
3. 若端口未配置access VLAN或802.1X默认VLAN,部分设备可能使用端口的PVID(通常为VLAN 1),但需以设备实际行为为准。
关键排查命令(接入设备侧):
查看端口access VLAN:display port access vlan interface <接口名>
查看802.1X默认VLAN:display dot1x interface <接口名> | include default-vlan
查看端口PVID:display interface <接口名> | include PVID

暂无评论

粉丝:25人 关注:1人

EIA(iMC EIA)的接入策略中不指定VLAN时,认证服务器不会主动下发任何“默认VLAN”。认证通过后,用户所属的VLAN完全由接入交换机端口的静态配置决定

📌 不同端口模式下的VLAN归属

  • Access端口:用户将属于端口配置的 port access vlan

  • Hybrid端口:用户将在端口配置的 port hybrid untagged VLAN 中转发流量

  • Trunk端口:该模式极少用于终端接入。若不下发VLAN,端口可能无法正常转发数据,导致业务中断

💡 关键概念解析

  • EIA无默认VLAN:EIA本身没有全局的“认证默认下发VLAN”参数,不存在系统内置的兜底VLAN。但需注意,如果接入服务模板绑定了VLAN资源池,即使策略中未手动指定,系统仍可能从资源池自动分配一个VLAN

  • 动态VLAN vs 静态VLAN:在EIA策略中填写VLAN(如30),属于动态VLAN,会临时覆盖端口的静态配置。不填写,则属于静态VLAN,端口配置保持不变

🛠️ 验证方法

认证成功后,可在交换机上通过以下命令查看:

bash
# 查看端口当前配置的VLAN display current-configuration interface GigabitEthernet 1/0/1 # 查看在线用户的授权VLAN信息 display dot1x connection

display dot1x connection显示的授权VLAN字段为空,即代表未下发动态VLAN,用户流量将走端口的基础VLAN

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明