配置认证模板

操作步骤

1. 执行命令system-view，进入系统视图。
2. 执行命令authentication-profile name authentication-profile-name，进入认证模板视图。
3. 配置用户使用的认证方式。

   • 802.1X认证

     执行命令dot1x-access-profile access-profile-name，配置认证模板绑定的802.1X接入模板。

     缺省情况下，认证模板没有绑定802.1X接入模板。

   • MAC认证

     执行命令mac-access-profile access-profile-name，配置认证模板绑定的MAC接入模板。

     缺省情况下，认证模板没有绑定MAC接入模板。

   • Portal认证

     执行命令portal-access-profile access-profile-name，配置认证模板绑定的Portal接入模板。

     缺省情况下，认证模板没有绑定Portal接入模板。

   • 混合认证

     配置哪几种认证方式混合，只需要在认证模板下绑定对应的接入模板。认证顺序为MAC认证、802.1X认证和Portal认证，但是配置多种认证方式包括Portal认证时，设备永远最后进行Portal认证。

     另外，对于无法安装和使用802.1X客户端软件的终端，例如打印机等，可以使能MAC旁路认证功能。之后，用户首先会进行802.1X认证，一旦用户名请求失败，则设备会对用户启动MAC认证流程。

     以配置MAC旁路认证为例，配置步骤如下：

     1. 执行命令mac-access-profile access-profile-name，配置认证模板绑定的MAC接入模板。

        缺省情况下，认证模板没有绑定MAC接入模板。

     2. 执行命令dot1x-access-profile access-profile-name，配置认证模板绑定的802.1X接入模板。

        缺省情况下，认证模板没有绑定802.1X接入模板。

     3. 执行命令authentication dot1x-mac-bypass，使能MAC旁路认证功能。

        缺省情况下，未使能MAC旁路认证功能。

     部署混合认证时，需要注意以下几点：

     • 一个认证模板最多支持绑定一个802.1X接入模板、一个MAC接入模板和一个Portal接入模板。

     • 配置混合认证后，默认允许用户能够使用多种认证方式。例如：用户MAC认证成功后，访问网页时，不会重定向到Portal认证页面，但是，如果用户直接输入Portal认证网页地址，则可以进行Portal认证，认证成功后，能够获取Portal认证用户的网络访问权限。如果希望用户以一种方式认证成功后不再以其他方式进行认证，可以通过命令authentication single-access，配置设备仅允许用户通过一种方式的认证。

     • 通过802.1X认证后不允许进行MAC认证和Portal认证。

     • 无线用户接入场景，不支持802.1X和Portal的混合认证。

     • 802.1X+MAC混合认证主要用在存在哑终端的场景中。在网关设备做认证设备时，不建议使用802.1X+MAC混合认证。因为，终端上送的ARP报文会首先触发MAC认证，一方面会拖慢802.1X认证的性能，另一方面存在ARP攻击风险。在存在哑终端并且网关设备做认证设备的场景中，建议使用以下配置方式：

       1. 首先保证哑终端IP地址固定，可以使用静态配置IP地址或DHCP Snooping静态绑定IP地址的方式。
       2. 网关设备上不配置混合认证，针对非哑终端用户配置802.1X认证，针对哑终端用户配置基于IP地址的免认证规则。

4. （可选）执行命令authentication mode { single-terminal | single-voice-with-data | multi-share | multi-authen [ max-user max-user-number [ dot1x | mac-authen | portal | none ] ^* ] }，配置接口的用户接入模式或接口的接入认证模式为multi-authen时允许接入的最大用户数。

   缺省情况下，接口的接入认证模式为multi-authen。

5. （可选）执行命令authentication ip-address in-accounting-start，开启在计费开始报文中携带用户IP地址功能。

   缺省情况下，计费开始报文中携带用户IP地址功能处于关闭状态。

   该命令仅对802.1X认证和MAC认证用户生效。Portal认证的计费开始报文中默认已携带用户IP地址。

6. （可选）执行命令authentication ipv6-control enable，开启对IPv6用户的访问权限控制功能。

   缺省情况下，对IPv6用户的访问权限控制功能处于关闭状态。

7. （可选）执行命令authentication single-stack-control { ipv4 | ipv6 } enable，开启单栈认证功能。

   缺省情况下，单栈认证功能处于关闭状态。

8. （可选）执行命令authentication mac-authen-first force，配置802.1X认证前强制进行MAC认证。

   缺省情况下，未配置802.1X认证前强制进行MAC认证。

9. （可选）执行命令authentication no-ip-check，开启设备不对客户端IP地址建立IP HASH表功能。

   缺省情况下，设备对客户端IP地址建立IP HASH表。

10. （可选）执行命令authentication ip-conflict-check enable，开启设备对客户端IP地址作冲突检测功能。

    缺省情况下，设备对客户端IP地址作冲突检测。

11. （可选）执行命令authentication roam pre-authen mac-authen enable，开启对漫游用户进行MAC认证功能。

    缺省情况下，对漫游用户进行MAC认证功能处于关闭状态。

12. （可选）执行命令authentication no-replace dot1x [ device-type voice ]，配置设备不回应认证成功的MAC或Portal用户的EAP Start报文功能。

    缺省情况下，未配置设备不回应认证成功的MAC或Portal用户的EAP Start报文功能。

13. （可选）配置设备与预连接用户以及已授权用户之间进行握手功能。

    1. 执行命令authentication handshake，使能设备与预连接用户以及已授权用户之间进行握手功能。

       缺省情况下，已使能设备与预连接用户以及已授权用户之间进行握手功能。

    2. 执行命令authentication timer handshake-period handshake-period，配置设备与预连接用户以及已授权用户之间的握手周期。

       缺省情况下，设备与预连接用户以及已授权用户之间的握手周期为300秒。

14. （可选）执行命令access-domain domain-name [ dot1x | mac-authen | portal ] ^* [ force ]，配置用户的默认域或强制域。

    缺省情况下，认证模板中未配置用户的默认域或强制域，用户默认使用全局默认域“default”。

    • 不指定该参数force时，配置的为默认域；指定参数force时，配置的为强制域。同时配置用户默认域和强制域时，用户在强制域中进行认证。

    • 不指定参数dot1x、mac-authen或portal时，则配置的域对使用认证模板的所有接入认证用户都生效；指定参数dot1x、mac-authen或portal时，则配置的域仅对指定的用户生效。

15. （可选）执行命令link-down offline delay { delay-value | unlimited }，配置接口链路故障时，用户延时下线的时间间隔。

    缺省情况下，接口链路故障时，用户延时下线的时间间隔为10秒。

    配置为0，表示接口链路故障时，用户立即下线；配置为unlimited，表示接口链路故障时，用户不下线。

16. （可选）执行命令authentication termination-action reauthenticate，配置设备在RADIUS服务器通过Session-Timeout属性下发的超时时间到达后对用户进行重认证。

    缺省情况下，未配置设备在RADIUS服务器通过Session-Timeout属性下发的超时时间到达后对用户进行重认证。

17. （可选）执行命令authentication control-direction { all | inbound }，配置流量方向控制功能。

    缺省情况下，仅进行上行流量控制。

18. （可选）执行命令authentication order mac dot1x，配置EAP-Start报文触发认证的顺序是MAC认证先于802.1X认证。

    缺省情况下，未配置EAP-Start报文的顺序控制功能。

19. （可选）执行命令authentication arp-reply trigger，开启ARP响应报文触发认证功能。

    缺省情况下，已开启ARP响应报文触发认证功能。

20. （可选）执行命令authentication { update-info-accounting | update-ip-accounting } ^* enable，配置终端信息更新和地址更新时发送计费报文。

    缺省情况下，终端信息更新和地址更新时发送计费报文。