配置802.1X接入模板

缺省情况下，设备自带1个名称为dot1x_access_profile的802.1X接入模板。

• 升级兼容转换的模板不占用配置规格。自带的1个802.1X接入模板（dot1x_access_profile）可以修改和应用，但不能删除。
• 删除某个802.1X接入模板时，需要保证该802.1X接入模板没有被任何认证模板绑定。

缺省情况下，802.1X用户认证方式为eap，即采用可扩展的认证协议EAP（Extensible Authentication Protocol）中继认证方式。

采用EAP终结还是EAP中继，将取决于RADIUS服务器的处理能力。如果RADIUS服务器的处理能力比较强，能够解析大量用户的EAP报文后再进行认证，可以采用EAP中继方式；如果RADIUS服务器处理能力不能够很好的同时解析大量EAP报文并完成认证，建议采用EAP终结方式，由设备帮助RADIUS服务器完成前期的EAP解析工作。在配置对认证报文的处理方式时，务必保证客户端与服务器均支持该种方式，否则用户无法通过认证。

• 只有采用RADIUS认证时，802.1X用户的认证方式才可以配置为EAP中继方式。

• 采用AAA本地认证时，802.1X用户的认证方式只能配置为EAP终结方式。

• 由于手机终端不支持EAP终结方式（PAP和CHAP协议），故手机终端认证时不支持配置为802.1X+本地认证方式。笔记本电脑等终端也需要安装第三方客户端才能支持EAP终结方式。

• 如果802.1X客户端采用MD5加密方式，则设备端用户的认证方式可配置为EAP或CHAP方式；如果802.1X客户端采用PEAP认证方式，则设备端用户的认证方式可配置为EAP。

• 无线场景中，如果安全策略模板配置为WPA或WPA2认证方式，802.1X认证不支持认证前域授权。
• 当接口下已经有802.1X用户在线时，在接口绑定的802.1X接入模板下修改用户认证方式，如果是EAP终结 和EAP中继两种方式之间切换，已经在线的用户会下线， 如果是EAP终结之间的chap和pap之间切换，用户不会下线。

缺省情况下，DHCP/ARP/DHCPv6/ND报文均能够触发802.1X认证。

缺省情况下，未使能单播报文触发802.1X认证功能。

缺省情况下，接口的授权状态为auto。

用户由于网络中断等原因而下线时，设备仍会保留该用户的上线信息。这可能会造成计费不准问题，同时若非法用户仿冒该用户访问网络也会带来一定的安全隐患。

为确保用户在线信息正常，可配置设备与在线802.1X用户的握手功能。之后，设备将定时向在线802.1X用户发送握手请求报文，如果用户在最大重传次数内没有回应此握手报文，设备会将用户置为下线状态。

若802.1X客户端不支持与设备进行握手报文的交互，则握手周期内设备将不会收到握手回应报文。因此，为了防止设备错误地认为用户下线，需要将在线用户握手功能关闭。

该功能仅对有线用户生效。

1. 执行命令dot1x handshake，使能设备与在线802.1X用户的握手功能。

   缺省情况下，未使能设备与在线802.1X用户的握手功能。

2. 执行命令dot1x handshake packet-type { request-identity | srp-sha1-part2 }，配置802.1X认证握手报文的类型。

   缺省情况下，802.1X认证握手报文的类型是request-identity。

   为了保证与其他厂商设备顺利对接，管理员可根据实际情况选择握手报文的类型。

3. 执行命令dot1x timer handshake-period handshake-period-value，配置设备与非Eth-Trunk接口下的在线802.1X用户的握手周期。

   缺省情况下，握手报文的发送时间间隔为15秒。

4. 执行命令dot1x timer eth-trunk-access handshake-period handshake-period-value，配置设备与Eth-Trunk接口下的在线802.1X用户的握手周期。

   缺省情况下，握手报文的发送时间间隔为120秒。

5. 执行命令dot1x retry max-retry-value，配置向用户发送握手报文的重传次数。

   缺省情况下，向用户发送握手报文的重传次数为2次。

缺省情况下，设备不向802.1X用户回应EAP报文类型值。

当采用H3C iMC作为RADIUS服务器时，设备上需要配置命令dot1x eap-notify-packet eap-code 10 data-type 25。

缺省情况下，静态IP用户802.1X认证成功后或处于预连接阶段时，设备不会自动生成对应的DHCP Snooping绑定表。

缺省情况下，设备在AAA服务器Down状态时不回应客户端发送触发认证的报文功能处于关闭状态。

使用Cisco的AnyConnect客户端进行触发认证时需要配置该功能。

缺省情况下，未使能认证设备接收EAP报文时的VLAN替换功能。

• VLAN

  需在设备上配置VLAN及VLAN内的网络资源。

• UCL组

  1. 执行命令ucl-group group-index [ name group-name ]，创建UCL组。

     缺省情况下，未创建UCL组。

  2. （可选）执行命令ucl-group ip ip-address { mask-length | ip-mask } { group-index | name group-name } [ escape ]，配置静态UCL组IP地址。

     缺省情况下，未配置静态UCL组IP地址。

     仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持静态UCL组IP地址。

  3. （可选）执行命令ucl-group domain domain-name domain-name { group-index | name group-name }，配置静态UCL组域名。

     缺省情况下，未配置静态UCL组域名。

     配置此步骤时，还需执行以下命令：

     在接口视图或端口组视图下，执行命令dns snooping enable，开启DNS Snooping功能。该功能开启后，设备解析收到的DNS应答报文来获取IP地址，生成IP地址与域名的映射关系。

     在系统视图下，执行命令dns snooping ttl delay-time delay-time，配置DNS Snooping IP地址与域名表项老化的延时时间。其延时时间缺省值为5760分钟。

     在系统视图下，执行命令dns snooping server-ip-address server-ip-address，配置域名服务器的IP地址。

     配置后，设备仅解析收到的源地址为该IP地址的DNS应答报文来获取IP地址，生成IP地址与域名的映射关系。

     仅S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731-S、S5731S-H、S5731S-S、S5732-H、S5732-H-K、S6720-HI、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S支持静态UCL组域名。

  4. 配置用户ACL或用户ACL6，根据UCL组对报文进行过滤。详细配置请参见《S2720, S5700, S6700 V200R019C10 配置指南-安全》 ACL配置 中的“配置用户ACL”或“配置用户ACL6”。

  5. 可采用以下方式对报文进行处理：

     • 执行命令traffic-filter inbound acl [ ipv6 ] { acl-number | name acl-name }，配置基于ACL对报文进行过滤。

       缺省情况下，未配置基于ACL对报文进行过滤。

     • 执行命令traffic-redirect inbound acl { acl-number | name acl-name } [ vpn-instance vpn-instance-name ] ip-nexthop nexthop-address或者traffic-redirect inbound acl { acl-number | name acl-name } vpn-instance vpn-instance-name，配置基于ACL对报文进行重定向。

       缺省情况下，未配置基于ACL对报文进行重定向。

       仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持traffic-redirect命令。

       仅S5720-HI、S5730-HI、S5731-H、S5731-H-K、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S支持命令格式traffic-redirect inbound acl { acl-number | name acl-name } vpn-instance vpn-instance-name。

• 业务方案

  1. 执行命令aaa，进入AAA视图。

  2. 执行命令service-scheme service-scheme-name，创建一个业务方案，并进入业务方案视图。

     缺省情况下，设备上没有创建业务方案。

  3. 执行命令acl-id [ ipv6 ] acl-number ，在业务方案下绑定ACL。

     缺省情况下，业务方案下未绑定ACL。

     仅S5735-L、S5735S-L、S5735S-L-M、S5735-S、S5735-S-I、S5735S-S、S5720-HI、S5720-EI、S6720-EI和S6720S-EI支持ipv6参数。

     执行该命令之前，需确保已使用命令acl或acl name创建了ACL；并使用命令rule配置相应的ACL规则。

     各类访问策略优先级顺序为：

     RADIUS服务器下发的ACL编号 > 本地配置的ACL编号 > RADIUS服务器通过编号26-82的属性HW-Data-Filter下发的ACL规则或DACL组 > RADIUS服务器下发的UCL组索引 > 本地配置的UCL组。

  4. 执行命令ucl-group { group-index | name group-name }，在业务方案下绑定UCL组。

     缺省情况下，业务方案下未绑定UCL组。

     执行该命令之前，需确保已创建并配置了标记用户类别的UCL组。

  5. 执行命令user-vlan vlan-id，在业务方案中配置用户VLAN。

     缺省情况下，在业务方案中未配置用户VLAN。

     执行该命令之前，需确保已使用命令vlan创建了VLAN。

  6. 执行命令voice-vlan在业务方案中使能Voice VLAN功能。

     缺省情况下，在业务方案中未使能Voice VLAN功能。

     为使本命令功能生效，需已使用命令voice-vlan enable配置指定VLAN为Voice VLAN，同时使能接口的Voice VLAN功能。

  7. 执行命令sac-profile profile-name，将SAC模板绑定到业务方案中。

     缺省情况下，业务方案中未绑定SAC模板。

     三层Portal认证不支持该命令功能。

     设备仅支持本地授权sac-profile。无线场景时，直接转发模式不支持本地授权sac-profile。

     同时配置IP地址掩码为非32位的静态UCL组时，静态UCL组不生效。

     同时配置traffic-remark inbound acl命令时，traffic-remark inbound acl命令功能优先生效。

     仅S5731-S、S5731S-S、S5731-H、S5731-H-K和S5731S-H支持此命令。

  8. 执行命令qos-profile profile-name，在业务方案中绑定QoS模板。

     缺省情况下，在业务方案中未绑定QoS模板。

     仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持该命令。

     执行该命令之前，需确保已配置了QoS模板。配置QoS模板操作步骤如下：

     1. 在系统视图下执行命令qos-profile name profile-name，创建QoS模板并进入QoS模板视图。
     2. 在QoS模板视图下配置流量监管、报文处理优先级与用户队列。（业务方案下绑定QoS模板后，QoS模板中仅以下命令生效。）
        • 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound }，在QoS模板中配置流量监管。

          缺省情况下，QoS模板中没有配置流量监管。

        • 执行命令remark dscp dscp-value { inbound | outbound }，在QoS模板中配置重标记IP报文的DSCP优先级。

          缺省情况下，QoS模板中没有配置重标记IP报文的DSCP优先级。

        • 执行命令remark 8021p 8021p-value，在QoS模板中配置重标记VLAN报文802.1p优先级。

          缺省情况下，QoS模板中没有配置重标记VLAN报文802.1p优先级。

  9. 执行命令quit，返回到AAA视图。
  10. 执行命令quit，返回到系统视图。
  11. 执行命令traffic-remark inbound acl ucl-acl local-precedence local-precedence-value， 指定基于用户ACL对报文进行重标记。

缺省情况下，未配置用户在802.1X客户端无响应时的网络访问权限。

缺省情况下，发送802.1X认证请求的时间间隔为30秒。

缺省情况下，802.1X认证开始后经过30秒仍未认证成功则进行MAC认证。

缺省情况下，802.1X客户端认证超时定时器默认开启、时长为5秒。

缺省情况下，向802.1X用户发送认证请求报文的重传次数为2次。