配置802.1x认证的扩展功能与可选参数

在802.1x认证中，用户对EAP认证报文的处理方式有EAP终结与EAP中继方式。EAP终结认证方式又可采用PAP或CHAP握手认证协议，其中CHAP认证协议保密性较好。

如果认证服务器的处理能力比较强，能够解析大量用户的EAP报文后再进行认证，可以采用EAP中继方式；如果认证服务器处理能力较弱以致无法同时解析大量EAP报文并完成认证，建议采用EAP终结方式，由设备帮助认证服务器完成前期的EAP解析工作。

在配置对认证报文的处理方式时，务必保证客户端与服务器均支持该种方式，否则用户无法通过认证。

• 只有采用RADIUS认证时，802.1x用户的认证方式才可以配置为EAP中继方式。

• 如果802.1x客户端采用MD5加密方式，则设备端用户的认证方式可配置为EAP或CHAP方式；如果802.1x客户端采用PEAP认证方式，则设备端用户的认证方式可配置为EAP。

可在系统视图或接口视图下进行配置。在系统视图下配置对设备的所有接口生效，在接口视图下配置仅适用于特定接口，若同时在系统视图和接口视图下配置，则接口视图下的配置生效。

使能802.1x认证功能后，缺省情况下，设备在接收到DHCP/ARP报文后均能触发对用户进行802.1x认证。根据实际网络中的用户情况，管理员可调整允许触发802.1x认证的报文类型。譬如网络中的用户均为动态获取IPv4地址的用户，此时可配置仅允许通过DHCP报文触发802.1x认证，这样能够有效的避免网络中存在非法用户配置静态IPv4地址后，不断发送ARP等报文触发802.1x认证，占用设备CPU资源。

在802.1x认证过程中，若存在用户在短时间内频繁认证失败，会产生大量相同的认证失败日志给管理员带来不便。

使能静默功能后，若某一802.1x用户在60秒内认证失败的次数超过规定的值，则设备会将该用户静默一段时间，在静默周期内，设备会丢弃该用户的802.1x认证请求，从而避免产生大量重复的认证失败日志。

用户由于网络中断等原因而下线时，设备仍会保留有该用户的上线信息。这可能会造成计费不准问题，同时若非法用户仿冒该用户访问网络也会带来一定的安全隐患。

为确保用户的实时在线，可配置在线用户握手功能。之后，设备将定时向802.1x在线用户发送握手请求报文，如果用户在最大重传次数内没有回应此握手报文，设备会将用户置为下线状态。

若802.1x客户端不支持与设备进行握手报文的交互，则握手周期内设备将不会收到握手回应报文。因此，为了防止设备错误地认为用户下线，需要将在线用户握手功能关闭。

若管理员在认证服务器上修改了某一用户的访问权限、授权属性等参数，此时如果用户已经在线，则需要及时对该用户进行重认证以确保用户的合法性。

配置对802.1x用户进行重认证后，设备会把保存的在线用户的认证参数（用户上线后，设备上会保存有该用户的认证信息）发送到认证服务器进行重认证，若认证服务器上用户的认证信息没有变化，则用户正常在线；若用户的认证信息已更改，则用户将会被下线，此后用户需要重新进行认证。

配置对802.1x用户进行重认证有两种方式：

• 对指定接口下所有在线802.1x用户进行周期重认证。
• 对指定MAC地址的在线802.1x用户进行重认证，且仅进行一次重认证。

如果使能了802.1x的周期重认证功能，则会导致802.1x认证的日志信息较多。

在802.1x网络部署中，若需为每一个接入用户下载、升级802.1x客户端软件，在用户数目较多时会给管理员带来巨大的工作量。通过为用户配置免认证网络访问权限以及URL重定向功能，可以实现用户802.1x客户端的快速部署。

在802.1x认证成功前，通过为用户授予免认证网络访问权限，用户就能够访问免认证网络内的资源。通过配置802.1x用户URL重定向功能，并且提供重定向URL的服务器同时位于用户的免认证网络资源内，那么当用户访问网络时，设备会将用户访问的URL重定向到已配置的URL（例如，重定向到802.1x客户端下载界面），这样就能够实现802.1x客户端的快速部署。

S2750、S5700-10P-LI-AC以及S5700-10P-PWR-LI-AC不支持配置dot1x url。

前提条件

已通过（可选）配置通过免认证规则授权用户网络访问权限或（可选）配置用户在认证成功前的网络访问策略将提供重定向URL的服务器配置为免认证资源。

在完成802.1x认证配置后，可执行命令查看已配置的参数信息。