所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R010C00 配置指南-用户接入与认证

本文档介绍了用户接入与认证的相关特性,主要包括AAA、DAA、NAC、PPPoE、策略联动、IP Session。分别从特性原理、配置过程和配置举例等方面进行介绍。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置802.1X认证相关的扩展功能

配置802.1X认证相关的扩展功能

配置发送802.1X认证请求报文的时间间隔

背景信息

802.1X认证请求报文的时间间隔包括两种:
  • 在客户端主动发起认证的情况下,当设备向客户端发送单播Request/Identity请求报文后,将同时启动tx-period定时器。若在该定时器规定的时长内,设备没有收到客户端的响应,则将重发认证请求报文。
  • 为了对不支持主动发起认证的802.1X客户端进行认证,设备会在启动802.1X功能的端口定期地发送组播Request/Identity报文,发送的间隔是tx-period定时器配置的值。
若设备重传请求报文的次数达到配置的最大值(通过命令dot1x retry max-retry-value)后,仍然没有得到客户端响应,则停止发送认证请求。

通常情况下,客户端认证失败时,为使得客户端能够继续访问网络,会在设备上启用备用机制(Portal认证或授权特定访问权限)。未配置MAC旁路认证时,EAP-Request/Identity请求超时计算公式如下所示:

Timeout = (max-retry-value +1) * tx-period-value

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x timer tx-period tx-period-value,配置发送802.1X认证请求报文的时间间隔。

    缺省情况下,发送802.1X认证请求的时间间隔为30秒。

配置802.1X认证开始后经过多长时间仍未认证成功则进行MAC认证

背景信息

对于无法安装和使用802.1X客户端软件的终端,例如打印机等,可以通过MAC旁路认证方式进行认证。

当配置MAC旁路认证功能后,设备首先会对用户进行802.1X认证,同时启动命令dot1x timer mac-bypass-delay delay-time-value配置的定时器。如果定时器时间delay-time-value到达而802.1X认证仍未成功,则设备开始对用户进行MAC认证。可以通过命令dot1x retry max-retry-value配置设备向802.1X用户发送认证请求的重传次数max-retry-value,重传时间间隔为delay-time-value/(max-retry-value+1)的整数部分。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x timer mac-bypass-delay delay-time-value,配置802.1X认证开始后经过多长时间仍未认证成功则进行MAC认证。

    缺省情况下,802.1X认证开始后经过30秒仍未认证成功则进行MAC认证。

配置802.1X快速部署功能

背景信息

在802.1X网络部署中,若需为每一个接入用户下载、升级802.1X客户端软件,在用户数目较多时会给管理员带来巨大的工作量。通过为用户配置免认证网络访问权限以及URL重定向功能,可以实现用户802.1X客户端的快速部署。

在802.1X认证成功前,通过为用户授予免认证网络访问权限,用户就能够访问免认证网络内的资源。通过配置802.1X用户URL重定向功能,并且提供重定向URL的服务器同时位于用户的免认证网络资源内,那么当用户访问网络时,设备会将用户访问的URL重定向到已配置的URL(例如,重定向到802.1X客户端下载界面),这样就能够实现802.1X客户端的快速部署。

前提条件

已通过(可选)配置认证事件授权信息(可选)配置用户的免认证授权信息将提供重定向URL的服务器配置为免认证资源。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x url url-string,配置802.1X认证的URL重定向功能。

    缺省情况下,未配置802.1X认证的重定向URL。

配置去使能预连接访问功能

背景信息

用户连接使能NAC功能的设备端口后,用户与设备之间就会建立预连接。如果用户没有认证成功,设备默认仍将用户置为预连接状态。由于设备会放行预连接用户的DHCP报文,导致尽管此时用户没有任何网络访问权限,但是依然获取IP地址。这就造成IP地址浪费,同时也给网络安全带来隐患。

如果需要用户在认证成功前不需要具备一定的网络访问权限,可以去使能预连接功能。去使能预连接功能后,用户在认证成功前无任何网络访问权限,也不会为其分配IP地址。

说明:

对于采用Portal认证或包含Portal认证的混合认证用户,该功能不生效。

对于配置了认证事件授权的用户,该功能不生效。

设备与某些终端对接时,例如MacBook笔记本,如果终端获取IP地址后不再进行认证的情况下,则建议在设备上去使能预连接功能,然后终端再重新连接。

用户使用Option82的DHCP报文进行上线时,如果用户在预连接状态上线失败,则建议在设备上去使能预连接功能。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令undo authentication pre-authen-access enable,去使能预连接功能。

    缺省情况下,预连接功能已使能。即用户在认证成功前且没有任何网络访问权限时,处于预连接状态。

配置设备接口Up时802.1X的组播立即触发功能

背景信息

缺省情况下,设备会周期性地向客户端组播发送Identity类型的EAP-Request报文来触发客户端发送EAPOL-Start报文进行802.1X认证。设备与客户端互联的接口Down后再Up时,客户端需重新发送EAPOL-Start报文进行802.1X认证,而这过程耗时较长,此时可以在设备上开启设备接口Up时802.1X的组播立即触发功能来节省重新认证时间。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x mc-trigger port-up-send enable,开启设备接口Up时802.1X的组播立即触发功能。

    缺省情况下,设备接口Up时802.1X的组播立即触发功能处于关闭状态。

翻译
下载文档
更新时间:2019-12-28

文档编号:EDOC1000141386

浏览量:20083

下载量:353

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页