1.x认证的重认证过程以及会不会被终端感知到，会不会断网

1.9.13  配置802.1X重认证功能

1. 功能简介

802.1X重认证是指设备会周期性对端口上在线的802.1X用户发起重认证，以检测用户连接状态的变化、确保用户的正常在线，并及时更新服务器下发的授权属性（例如ACL、VLAN等）。

对802.1X用户进行周期性重认证时，设备将按照如下由高到低的顺序为其选择重认证时间间隔：服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。

认证服务器可以通过下发RADIUS属性（session-timeout、Termination-Action）来指定用户会话超时时长以及会话中止的动作类型。认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关，请参考具体的认证服务器实现。

设备作为RADIUS DAE服务器，认证服务器作为RADIUS DAE客户端时，后者可以通过COA（Change of Authorization）Messages向用户下发重认证属性，这种情况下，无论设备上是否开启了周期性重认证功能，端口都会立即对该用户发起重认证。关于RADIUS DAE服务器的详细内容，请参见“安全配置指导”中的“AAA”。

2. 配置限制和指导

802.1X用户认证通过后，端口对用户的重认证功能具体实现如下：

·            当认证服务器下发了用户会话超时时长，且指定的会话中止动作为要求用户进行重认证，则无论设备上是否开启周期性重认证功能，端口都会在用户会话超时时长到达后对该用户发起重认证。

·            当认证服务器下发了用户会话超时时长，且指定的会话中止动作为要求用户下线时：

¡  若设备上开启了周期性重认证功能，且设备上配置的重认证定时器值小于用户会话超时时长，则端口会以重认证定时器的值为周期向该端口在线802.1X用户发起重认证；若设备上配置的重认证定时器值大于等于用户会话超时时长，则端口会在用户会话超时时长到达后强制该用户下线。

¡  若设备上未开启周期性重认证功能，则端口会在用户会话超时时长到达后强制该用户下线。

·            当认证服务器未下发用户会话超时时长时，是否对用户进行重认证，由设备上配置的重认证功能决定。

·            对于已在线的802.1X用户，要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

·            端口对用户进行重认证过程中，重认证服务器不可达时端口上的802.1X用户状态均由端口上的配置决定。在网络连通状况短时间内不良的情况下，合法用户是否会因为服务器不可达而被强制下线，需要结合实际的网络状态来调整。若配置为保持用户在线，当服务器在短时间内恢复可达，则可以避免用户频繁上下线；若配置为强制下线，当服务器可达性在短时间内不可恢复，则可避免用户在线状态长时间与实际不符。

·            强制端口上所有802.1X在线用户进行重认证后，不论服务器是否下发重认证或端口下是否开启了周期性重认证，强制重认证都会正常执行，端口上的所有在线802.1X用户会依次进行重认证操作。

·            在用户名不改变的情况下，端口允许重认证前后服务器向该用户下发不同的VLAN。

·            修改设备上配置的认证域或802.1X系统认证方法都不会影响在线用户的802.1X重认证，只对配置之后新上线的用户生效。

3. 配置步骤

表1-15 配置重认证功能