关于v5交换机802.1x的逃生配置问题
- 0关注
- 1收藏,3681浏览
最佳答案
1.4.17 配置802.1X认证的Critical VLAN
· 如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了Critical VLAN,为保证各种功能的正常使用,请为Voice VLAN、端口的缺省VLAN和802.1X的Critical VLAN分配不同的VLAN ID。
· 如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Critical VLAN;同样,如果某个VLAN被指定为某个端口的Critical VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“二层技术-以太网交换配置指导”中的“Super VLAN”。
配置802.1X认证的Critical VLAN之前,需要进行以下配置准备:
· 创建需要配置为Critical VLAN的VLAN。
· 在接入控制方式为Port-based的端口上,保证802.1X的组播触发功能处于开启状态。
· 在接入控制方式为MAC-based的端口上,保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Critical VLAN修改为携带Tag的方式。MAC VLAN功能的具体配置请参考“二层技术-以太网交换配置指导”中的“VLAN”。
当端口加入Critical VLAN后,如果发现有认证服务器可达,可通过配置端口的恢复动作为reinitialize来通知802.1X客户端进行认证。根据端口的接入控制方式不同,具体实现有所不同:
· 接入控制方式为MAC-based时,当发现有认证服务器可达后,处于Critical VLAN的端口会主动向已加入Critical VLAN的MAC地址发送单播报文触发其进行802.1X认证。
· 接入控制方式为Port-based时,当发现有认证服务器可达后,处于Critical VLAN的端口会主动发送组播报文,触发端口上的客户端进行802.1X认证。
表1-1 配置Critical VLAN
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入以太网接口视图 |
interface interface-type interface-number |
- |
|
配置指定端口的Critical VLAN |
dot1x critical vlan vlan-id |
必选 缺省情况下,端口没有配置Critical VLAN 不同的端口可以配置不同的Critical VLAN,但一个端口最多只能配置一个Critical VLAN |
|
配置指定端口的恢复动作 |
dot1x critical recovery-action reinitialize |
可选 缺省情况下,设备检测到服务器恢复为可达状态后,端口仅仅离开Critical VLAN,不会对用户主动进行认证 |
· 802.1X认证过程中,当802.1X客户端无法在设备给其分配的VLAN发生变化时(加入或离开802.1X的授权VLAN、Guest VLAN、Auth-Fail VLAN或Critical VLAN)触发自身的IP地址更新,建议用户通过释放IP或修复网络连接的方式解决这个问题。H3C iNode客户端没有此问题。
· 若端口已经位于802.1X的Guest VLAN或Auth-Fail VLAN,则当所有认证服务器都不可达时,端口并不会离开当前的VLAN而加入Critical VLAN。
· 若端口已经位于MAC地址认证的Guest VLAN,则当所有认证服务器都不可达时,端口会离开当前的VLAN并加入Critical VLAN。
- 2020-06-09回答
- 评论(2)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
这个配置的逃生实际测试并不理想。
而且V5设备不支持这个。。。