评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)配置802.1X快速部署功能
背景信息
在802.1X网络部署中,若需为每一个接入用户下载、升级802.1X客户端软件,则在接入用户数目较多时将给管理员带来巨大的工作量。通过为用户配置免认证IP网段和URL重定向功能,可以实现用户802.1X客户端的快速部署。
接入用户在802.1X认证成功前,通过配置免认证IP网段,用户就能够访问免认证IP网段内的网络资源,通过配置802.1X用户HTTP访问URL重定向功能,当用户使用浏览器访问网络时,设备会将用户访问的URL重定向到已配置的URL(例如,重定向到802.1X客户端下载界面),这样只要用户打开浏览器,就必须进入管理员预设的界面。需要注意的是,提供重定向URL的服务器必须位于用户的免认证IP网段内。
- 用户使用非系统自带的802.1X客户端软件,即使用第三方802.1X客户端软件时,才会配置802.1X快速部署功能。
为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。
- 为了防止预连接用户无法老化,还需执行命令dot1x timer free-ip-timeout配置免认证用户表项的老化时间。
配置了free-ip功能后,Guest VLAN、Critical VLAN以及Restrict VLAN功能将不再生效。
free-ip功能只在端口授权状态为auto的情况下生效。
未通过802.1X认证的用户,如果希望通过DHCP服务器动态获得IP地址,需要把DHCP服务器所在的网段配置成免认证IP网段,使用户能够访问DHCP服务器。
当802.1X用户通过客户端主动下线后,为了防止恶意攻击,用户会在一段时间内受到限制而无法访问免费区网络资源。
用户成为802.1X快速部署用户后,不能访问除免认证IP网段以外的资源,但能够访问设备的一些资源。
