评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置混合认证
背景信息
在客户端形式多样的网络环境中,不同客户端支持的接入认证方式有所不同。有的客户端只能进行MAC地址认证(比如打印机终端);有的主机安装了802.1X客户端软件,可以进行802.1X认证;有的用户主机则只希望通过Web访问进行Portal认证。为了灵活地适应这种网络环境中的多种认证需求,需要在接入用户的端口上对三种认证方式进行统一部署,使得用户可以选择任何一种适合的认证机制来进行认证,且只需要成功通过一种方式的认证即可实现接入,无需通过多种认证。
配置混合认证分为两种方式:
- 在设备的二层端口上使能MAC认证和内置Portal认证。如果配置802.1X认证和MAC认证的混合认证,需要执行命令dot1x mac-bypass使能接口的MAC旁路认证功能。
- 在设备的VLANIF接口上使能MAC认证和外置Portal认证。
如果在设备的VLANIF接口下同时部署MAC认证和外置Portal认证,用户认证过程如下:
- 设备首先对用户进行MAC认证,认证成功后用户获取到MAC认证用户的网络访问权限。
- 在MAC认证成功后,如果用户再次主动触发Portal认证并认证成功,则用户获取到Portal认证用户的网络访问权限。之后,如果用户主动或被动断开了Portal认证接入,用户的网络访问权限回退为MAC认证用户的网络访问权限。
MAC认证成功后,用户再进行Portal认证,将不会重定向到认证页面,需要用户直接输入认证页面。
MAC认证优先时,合法用户完成Portal认证后,存在恶意用户伪造MAC接入网络的风险。
操作步骤
- 配置802.1X认证,具体配置请参考配置802.1X认证。
- 接口接入控制方式必须配置为基于MAC方式。
- 若配置了内置Portal认证后,则不能够配置802.1X认证的Guest VLAN、Restrict VLAN与Critical VLAN功能。
- 配置MAC认证,具体配置请参考配置MAC认证。
- 若配置了内置Portal认证后,则不能够配置MAC认证的Guest VLAN功能。
- 配置MAC认证后,则不支持配置802.1X快速部署功能。
- 配置Portal认证,具体配置请参考配置Portal认证。
