Print

S5130HI交换机接口配置端口安全userlogin-secure-or-mac实现先1x认证后mac认证

组网及说明

5130hi作为接入设备1/0/1直连终端

问题描述

设备接口开启userlogin-secure-or-mac,实现接口先做1x认证,失败后进行mac认证,认证均失败后下发guest-vlan200

过程分析

userlogin-secure-or-mac 可以实现先做1x,认证失败后做mac认证 

解决方法

interface GigabitEthernet1/0/1

port link-type hybrid

port hybrid vlan 1 untagged

mac-vlan enable

dot1x mandatory-domain mac

mac-authentication guest-vlan 200

port-security max-mac-count 64

port-security port-mode userlogin-secure-or-mac

 

dot1x authentication-method chap

dot1x quiet-period

dot1x timer reauth-period 300


mac-authentication domain mac

 port-security enable

 

domain default enable system

 

domain mac

authentication lan-access local

authorization lan-access none

accounting lan-access none

注意:

1、本地1x不支持eap中继

2、接口同时配置dot1x guest-vlan 100及mac-authentication guest-vlan 200可以获取到vlan100地址但无法正常上网