• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

1.x认证的重认证过程以及会不会被终端感知到,会不会断网

2020-06-09提问
  • 0关注
  • 1收藏,2559浏览
粉丝:0人 关注:0人

问题描述:

1.x重认证过程以及终端能不能感知到,会不会断网

最佳答案

QAZWSX 九段
粉丝:21人 关注:4人

1.9.13  配置802.1X重认证功能

1. 功能简介

802.1X重认证是指设备会周期性对端口上在线的802.1X用户发起重认证,以检测用户连接状态的变化、确保用户的正常在线,并及时更新服务器下发的授权属性(例如ACL、VLAN等)。

对802.1X用户进行周期性重认证时,设备将按照如下由高到低的顺序为其选择重认证时间间隔:服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。

认证服务器可以通过下发RADIUS属性(session-timeout、Termination-Action)来指定用户会话超时时长以及会话中止的动作类型。认证服务器上如何下发以上RADIUS属性的具体配置以及是否可以下发重认证周期的情况与服务器类型有关,请参考具体的认证服务器实现。

设备作为RADIUS DAE服务器,认证服务器作为RADIUS DAE客户端时,后者可以通过COA(Change of Authorization)Messages向用户下发重认证属性,这种情况下,无论设备上是否开启了周期性重认证功能,端口都会立即对该用户发起重认证。关于RADIUS DAE服务器的详细内容,请参见“安全配置指导”中的“AAA”。

2. 配置限制和指导

802.1X用户认证通过后,端口对用户的重认证功能具体实现如下:

·            当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户进行重认证,则无论设备上是否开启周期性重认证功能,端口都会在用户会话超时时长到达后对该用户发起重认证。

·            当认证服务器下发了用户会话超时时长,且指定的会话中止动作为要求用户下线时:

¡  若设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.1X用户发起重认证;若设备上配置的重认证定时器值大于等于用户会话超时时长,则端口会在用户会话超时时长到达后强制该用户下线。

¡  若设备上未开启周期性重认证功能,则端口会在用户会话超时时长到达后强制该用户下线。

·            当认证服务器未下发用户会话超时时长时,是否对用户进行重认证,由设备上配置的重认证功能决定。

·            对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

·            端口对用户进行重认证过程中,重认证服务器不可达时端口上的802.1X用户状态均由端口上的配置决定。在网络连通状况短时间内不良的情况下,合法用户是否会因为服务器不可达而被强制下线,需要结合实际的网络状态来调整。若配置为保持用户在线,当服务器在短时间内恢复可达,则可以避免用户频繁上下线;若配置为强制下线,当服务器可达性在短时间内不可恢复,则可避免用户在线状态长时间与实际不符。

·            强制端口上所有802.1X在线用户进行重认证后,不论服务器是否下发重认证或端口下是否开启了周期性重认证,强制重认证都会正常执行,端口上的所有在线802.1X用户会依次进行重认证操作。

·            在用户名不改变的情况下,端口允许重认证前后服务器向该用户下发不同的VLAN。

·            修改设备上配置的认证域或802.1X系统认证方法都不会影响在线用户的802.1X重认证,只对配置之后新上线的用户生效。

3. 配置步骤

表1-15 配置重认证功能

配置步骤

命令

说明

进入系统视图

system-view

-

(可选)配置全局周期性重认证定时器

dot1x timer reauth-period reauth-period-value

缺省情况下,周期性重认证定时器的值为3600秒

进入接口视图

interface interface-type interface-number

-

开启周期性重认证功能

dot1x re-authenticate

缺省情况下,周期性重认证功能处于关闭状态

(可选)配置端口周期性重认证定时器

dot1x timer reauth-period reauth-period-value

缺省情况下,端口上未配置802.1X周期性重认证定时器,端口使用系统视图下配置的802.1X周期性重认证定时器的取值

(可选)强制端口上所有802.1X在线用户进行重认证

dot1x re-authenticate manual

-

(可选)配置重认证服务器不可达时端口上的802.1X用户保持在线状态

dot1x re-authenticate server-unreachable keep-online

缺省情况下,端口上的802.1X在线用户重认证时,若认证服务器不可达,则会被强制下线

那终端能感知到嘛会断网嘛

zhiliao_l64Y0v 发表时间:2020-06-09 更多>>

那终端能感知到嘛会断网嘛

zhiliao_l64Y0v 发表时间:2020-06-09
1 个回答
粉丝:14人 关注:4人

1X没有无感知。你直接改portal就好了

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明