最佳答案
· 如果用户端设备发出的是携带Tag的数据流,且接入端口上使能了802.1X认证并配置了802.1X Critical VLAN,为保证各种功能的正常使用,请为Voice VLAN、端口的缺省VLAN和802.1X的Critical VLAN分配不同的VLAN ID。
· 如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Critical VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Critical VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“二层技术-以太网交换配置指导”中的“Super VLAN”。
配置802.1X Critical VLAN之前,需要进行以下配置准备:
· 创建需要配置为Critical VLAN的VLAN。
· 在接入控制方式为MAC-based的端口上,保证端口类型为Hybrid,端口上的MAC VLAN功能处于使能状态,且不建议将指定的Critical VLAN修改为携带Tag的方式。MAC VLAN功能的具体配置请参考“二层技术-以太网交换配置指导”中的“VLAN”。
当端口加入802.1X Critical VLAN后,如果发现有认证服务器可达(目前,只针对RADIUS认证服务器不可达),则通知802.1X客户端进行认证。根据端口的接入控制方式不同,具体实现有所不同:
· 接入控制方式为MAC-based时,当发现有认证服务器可达后,处于Critical VLAN的用户会离开该VLAN且端口会主动向已加入Critical VLAN的MAC地址发送单播报文触发其进行802.1X认证。
· 接入控制方式为Port-based时,当发现有认证服务器可达后,处于Critical VLAN的端口会离开该VLAN且主动发送组播报文触发端口上的客户端进行802.1X认证。
需要注意的是:
· 在接入控制方式为Port-based的端口上,若端口已经处于802.1X Auth-Fail VLAN,则当所有认证服务器都不可达时,端口并不会离开当前的VLAN而加入802.1X Critical VLAN。在接入控制方式为MAC-based的端口上,当处于Auth-Fail VLAN的用户再次发起认证时,如果认证服务器不可达,则该用户仍然留在该Auth-Fail VLAN中,不会离开当前的VLAN而加入802.1X Critical VLAN。
· 若端口已经处于802.1X Guest VLAN,则当所有认证服务器都不可达时,端口会离开当前的VLAN并加入802.1X Critical VLAN。
表1-24 配置端口的802.1X Critical VLAN
配置步骤 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入以太网接口视图 |
interface interface-type interface-number |
- |
配置端口的802.1X Critical VLAN |
dot1x critical vlan critical-vlan-id |
缺省情况下,端口没有配置802.1X Critical VLAN 不同的端口可以指定不同的802.1X Critical VLAN,一个端口最多只能指定一个802.1X Critical VLAN |
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明