配置802.1X认证相关的扩展功能

如图2-52所示，设备发送EAP-Request/Identity请求报文超时后，给客户端发送认证失败报文。通常情况下，客户端认证失败时，为使得客户端能够继续访问网络，会在设备上启用备用机制（Portal认证或授权特定访问权限）。未配置MAC旁路认证时，EAP-Request/Identity请求超时计算公式如下所示：

Timeout = (max-retry-value +1) * tx-period-value

如果开启了MAC旁路认证功能，则EAP-Request/Identity请求超时的总时间由命令dot1x timer mac-bypass-delay delay-time-value配置。

Timeout = delay-time-value

图2-52 802.1X认证请求超时流程图

对于无法安装和使用802.1X客户端软件的终端，例如打印机等，可以通过MAC旁路认证方式进行认证。

当配置MAC旁路认证功能后，设备首先会对用户进行802.1X认证，同时启动命令dot1x timer mac-bypass-delay delay-time-value配置的定时器。如果定时器时间delay-time-value到达而802.1X认证仍未成功，则设备开始对用户进行MAC认证。可以通过命令dot1x retry max-retry-value配置设备向802.1X用户发送认证请求的重传次数max-retry-value，重传时间间隔为delay-time-value/(max-retry-value+1)的整数部分。

图2-53 MAC旁路认证报文流程图

用户使用非系统自带的802.1X客户端软件，即使用第三方802.1X客户端软件时，才会配置802.1X快速部署功能。

在802.1X网络部署中，若需为每一个接入用户下载、升级802.1X客户端软件，在用户数目较多时会给管理员带来巨大的工作量。通过为用户配置免认证网络访问权限以及URL重定向功能，可以实现用户802.1X客户端的快速部署。

在802.1X认证成功前，通过为用户授予免认证网络访问权限，用户就能够访问免认证网络内的资源。通过配置802.1X用户URL重定向功能，并且提供重定向URL的服务器同时位于用户的免认证网络资源内，那么当用户访问网络时，设备会将用户访问的URL重定向到已配置的URL（例如，重定向到802.1X客户端下载界面），这样就能够实现802.1X客户端的快速部署。

前提条件

已通过（可选）配置认证事件授权信息或（可选）配置用户的免认证授权信息将提供重定向URL的服务器配置为免认证资源。

用户连接使能NAC功能的设备端口后，用户与设备之间就会建立预连接。如果用户没有认证成功，设备默认仍将用户置为预连接状态。由于设备会放行预连接用户的DHCP报文，导致尽管此时用户没有任何网络访问权限，但是依然获取IP地址。这就造成IP地址浪费，同时也给网络安全带来隐患。

如果需要用户在认证成功前不需要具备一定的网络访问权限，可以去使能预连接功能。去使能预连接功能后，用户在认证成功前无任何网络访问权限，也不会为其分配IP地址。

• 对于采用Portal认证或包含Portal认证的混合认证用户，该功能不生效。
• 对于配置了认证事件预连接授权的用户，undo authentication pre-authen-access enable命令功能不生效。
• 授权VLAN（不包括预连接授权）时，需执行命令undo authentication pre-authen-access enable去使能预连接功能。
• 在物理接口下部署802.1X或MAC认证时，去使能预连接功能后，free-rule命令功能不生效。
• 设备与某些终端对接时，例如MacBook笔记本，如果终端获取IP地址后不再进行认证的情况下，则建议在设备上执行命令undo authentication pre-authen-access enable去使能预连接功能，然后终端再重新连接。
• 用户使用Option82的DHCP报文进行上线时，如果用户在预连接状态上线失败，则建议在设备上去使能预连接功能。
• 在非网关设备上部署二层Portal认证时，不能执行命令undo authentication pre-authen-access enable去使能预连接功能，否则二层Portal认证功能不生效。
• 在物理主接口部署MAC或Portal认证时，不会生成预连接表项，但是用户可以上线成功。

缺省情况下，设备会周期性地向客户端组播发送Identity类型的EAP-Request报文来触发客户端发送EAPOL-Start报文进行802.1X认证。设备与客户端互联的接口Down后再Up时，客户端需重新发送EAPOL-Start报文进行802.1X认证，而这过程耗时较长，此时可以在设备上开启设备接口Up时802.1X的组播立即触发功能来节省重新认证时间。

为防止交换机因处理过多的802.1X认证Identity报文造成CPU繁忙，影响正常的业务处理，可以执行access-user dot1x-identity speed-limit命令配置对上送CPU的802.1X认证Identity报文进行限速的限速值。执行该命令后，如果上送CPU的802.1X认证Identity报文的速率超过限速值，交换机会丢弃超过限速值部分的报文。

802.1X认证场景中，对于HTTPS报文部署WEB页面推送功能时，需要使能HTTPS重定向功能，否则WEB页面推送功能不生效。