802.1x配置注意事项
涉及网元
角色 |
产品 |
说明 |
|---|---|---|
AAA服务器 |
华为公司或第三方公司的AAA服务器产品。 |
负责对用户进行认证、计费和授权。 |
License支持
802.1x属于交换机基础功能,其受基本软件功能License控制。基本软件功能License在设备出厂时已经内置并激活,不需要用户再手动激活。
版本支持
产品 |
最低支持版本 |
|---|---|
CE12804/CE12808/CE12812/CE12816 |
V100R003C10 |
CE12804S/CE12808S |
V100R005C00 |
CE12804E/CE12808E/CE12816E |
V200R005C00 |
如果需要了解软件版本与交换机具体型号的配套信息,请查看硬件查询工具。
软件版本演进关系:V100R001C00 -> V100R002C00 -> V100R003C00 -> V100R003C10 -> V100R005C00 -> V100R005C10 -> V100R006C00 -> V200R001C00 -> V200R002C50 -> V200R003C00 -> V200R005C00 -> V200R005C10 -> V200R019C00 -> V200R019C10
特性依赖和限制
在V100R005C00及之前版本中,802.1x功能和TRILL功能不能同时配置。在V100R005C10版本及之后版本中,缺省情况下,802.1x功能和TRILL功能不能同时配置,如果需要同时使用,需要配置trill adjacency-check disable命令。TRILL功能的优先级比802.1x功能高,当设备上配置了802.1x功能,再配置TRILL功能时,TRILL功能生效,802.1x功能不生效。
- 802.1x和mac limit、端口安全功能不能同时配置。
- 802.1x和MACsec功能不能同时配置。
对于CE12800,802.1x只对二层流生效。
- 在强制非授权模式下,当用户配置了静态MAC地址后,该用户仍然可以正常访问网络。
- 配置了相同MAC地址的用户不能同时在两个不同接口上通过802.1x的认证。
- 对于CE12800,使能了802.1x的接口可以命中其他接口上的MAC地址,例如接口1下使能了dot.1x功能,在接口2上学到地址MAC1,那么接口1可以转发源MAC地址为MAC1的报文。
基于接口方式的802.1x认证不支持在Eth-Trunk成员口上配置。
关于设备端主动触发方式需要注意:
- 在V100R005C00版本及之前版本中,不支持设备端主动触发方式。
- 在V100R005C10版本中,加载V100R005SPH005版本及之后版本的补丁后支持设备端主动组播触发方式。
- 在V100R006C00版本及之后版本中,支持设备端主动组播触发方式。
在设备端主动组播触发方式中,设备端的一个端口仅支持连接一个802.1x客户端,且仅支持发送不带Tag的组播报文。
- 在V200R002C50版本及之后版本中,支持设备端主动单播触发方式。
关于EAP中继认证需要注意:
- 在V100R003C10版本中,仅支持MD5-Challenge认证;
- 在V100R005C00版本中,支持MD5-Challenge认证、不带证书的EAP-TLS认证;
- 在V100R005C10版本中,加载V100R005SPH003版本及之后版本的补丁后,除了支持MD5-Challenge认证、不带证书的EAP-TLS认证外,增加支持EAP-PEAP认证和带证书的EAP-TLS认证;
- 在V100R006C00版本及之后版本中,支持MD5-Challenge认证、EAP-PEAP认证、EAP-TLS认证。
