安全技术(三):aaa服务认证
AAA简介:
AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:
1、哪些用户可以访问网络服务器。
2、具有访问权的用户可以得到哪些服务。
3、如何对正在使用网络资源的用户进行计费。
针对以上问题,AAA必须提供认证功能、授权功能和计费功能。
认证功能:
AAA支持以下认证方式:
(1)不认证:对用户非常信任,不对其进行合法检查。一般情况下不采用这种方式。
(2)本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
(3)远端认证:支持通过RADIUS协议或HWTACACS协议进行远端认证,设备(如Quidway系列交换机)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。
授权功能:
AAA支持以下授权方式:
(1)直接授权:对用户非常信任,直接授权通过。
(2)本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
(3)RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。
(4)HWTACACS授权:由TACACS服务器对用户进行授权。
计费功能:
AAA支持以下计费方式:
(1)不计费:不对用户计费。
(2)远端计费:支持通过RADIUS服务器或TACACS服务器进行远端计费。
AAA一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。
RADIUS 协议:
AAA 可用多种协议来实现,但最常用的是RADIUS(Remote Authentication Dial In User Service)协议。RADIUS 是MA5200G 和RADIUS 服务器之间的应用层通信协议,规定了MA5200G 与RADIUS 服务器之间传递用户信息和计费信息的过程和报文格式。
RADIUS 协议具备如下特点:
1.RADIUS 使用UDP 作为传输协议,具有良好的实时性。
2.RADIUS 支持重传机制和备用服务器机制,从而有较好的可靠性。
3.RADIUS 实现比较简单,适用于大用户量时服务器端的多线程结构。
RADIUS服务包括三个组成部分:
1.协议:RFC 2865和RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。
2.服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。
3.客户端:位于拨号访问服务器设备侧,可以遍布整个网络。
RADIUS的基本消息交互流程:
RADIUS客户端(交换机)和RADIUS服务器之间通过共享密钥来认证交互的消息,增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。用户、交换机、RADIUS服务器之间的交互流程如图1-2所示。
(1) 用户输入用户名和口令。
(2) RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(Access-Request)。
(3) RADIUS服务器将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(Access-Accept)发送给RADIUS客户端;如果认证失败,则返回Access-Reject响应包。
(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request),Status-Type取值为start。
(5) RADIUS服务器返回计费开始响应包(Accounting-Response)。
(6) 用户开始访问资源。
(7) RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request),Status-Type取值为stop。
(8) RADIUS服务器返回计费结束响应包(Accounting-Response)。
(9) 用户访问资源结束。
AAA基本配置命令:
启动AAA:
[Quidway] aaa-enable
配置PPP用户的缺省验证方法表:
[Quidway] aaa authentication-scheme login default local
配置不计费时仍然允许用户访问:
[Quidway] aaa accounting-scheme optional
将缺省方发表应用到封装了PPP的接口:
[Quidway-Serial0]ppp authentication-mode pap scheme default
显示在线用户:
display aaa user
原语调试信息,观察AAA请求与结果:
debugging radius primitive
事件调试信息,观察AAA过程:
debugging radius event
RADIUS基本配置:
配置RADIUS服务器:
radius server { hostname | ip-address } [authentication-port port-number ] [accouting-port port-number ]
radius shared-key string
配置重传参数:
radius-server retransmit
radius-server timeout
配置实时计费:
radius-server realtime-acct-timeout
RADIUS配置举例:
启用AAA:
[Quidway] aaa-enable
配置PPP用户的缺省验证方发表:
[Quidway] aaa authentication-scheme login default radius local
配置RADIUS服务器IP地址和端口,使用默认端口号:
[Quidway] radius server 129.7.66.68
[Quidway] radius server 129.7.66.66 accouting-port 0
[Quidway] radius server 129.7.66.67 authentication-port 0
配置RADIUS服务器密钥、重传次数、超时定时器:
[Quidway] radius shared-key this-is-my-secret
[Quidway] radius retry 2
[Quidway] radius timer response-timeout 5
将缺省方发表应用到封装了PPP的接口:
[Quidway-Serial0]ppp authentication-mode pap scheme default
应用实例:
组网需求(一):
通过配置交换机实现RADIUS服务器对登录交换机的Telnet用户进行认证。
1.一台RADIUS服务器(担当认证RADIUS服务器的职责)与交换机相连,服务器IP地址为10.110.91.164;
2. 设置交换机与认证RADIUS服务器交互报文时的共享密钥为“expert”。
RADIUS服务器可使用CAMS服务器。使用第三方RADIUS服务器时,RADIUS方案中的server-type可以选择standard类型或huawei类型。
1.在RADIUS服务器上设置与交换机交互报文时的共享密钥为“expert”;
2.设置验证的端口号;
3.添加Telnet用户名及登录密码。
如果RADIUS方案中设置交换机不从用户名中去除用户域名而是一起传给RADIUS服务器,RADIUS服务器上添加的Telnet用户名应为“userid@isp-name”形式。
组网图:
配置步骤:
# 配置Telnet用户采用AAA认证方式。
<Quidway> system-view
[Quidway] user-interface vty 0 4
[Quidway-ui-vty0-4] authentication-mode scheme
# 配置domain。
[Quidway] domain cams
[Quidway-isp-cams] access-limit enable 10
[Quidway-isp-cams] quit
# 配置RADIUS方案。
[Quidway] radius scheme cams
[Quidway-radius-cams] accounting optional
[Quidway-radius-cams] primary authentication 10.110.91.164 1812
[Quidway-radius-cams] key authentication expert
[Quidway-radius-cams] server-type Huawei
[Quidway-radius-cams] user-name-format with-domain
[Quidway-radius-cams] quit
# 配置domain和RADIUS的关联。
[Quidway] domain cams
[Quidway-isp-cams] scheme radius-scheme cams
Telnet用户登录时输入用户名userid @cams,以使用cams域进行认证。
组网需求(二):
如图2-3所示,要求:
(1)使用 RADIUS 服务器对isp1 域和isp2 域用户进行认证和计费。
(2)RADIUS 服务器129.7.66.66 作为主认证和计费服务器。
(3)RADIUS 服务器129.7.66.67 作为备认证和计费服务器。
(4) 认证端口号为 1812,计费端口号为1813。
配置步骤:
# 进入AAA 视图。
[Quidway] aaa
# 配置认证方案auth1,认证模式为RADIUS 认证。
[Quidway–aaa] authentication-scheme auth1
[Quidway-aaa-authen-auth1] authentication-mode radius
[Quidway-aaa-authen-auth1] quit
# 配置认证方案auth2,认证模式为不认证。
[Quidway–aaa] authentication-scheme auth2
[Quidway-aaa-authen-auth1] authentication-mode none
[Quidway-aaa-authen-auth1] quit
# 配置计费方案acct1,计费模式为RADIUS 计费。
[Quidway–aaa] accounting-scheme acct1
[Quidway–aaa-accounting-acct1] accounting-mode radius
[Quidway–aaa-accounting-acct1] quit
[Quidway–aaa] quit
# 配置RADIUS 服务器组。
[Quidway] radius-server group huawei
# 配置RADIUS 服务器的选择算法。
[Quidway-radius-huawei] radius-server algorithm master-backup
# 配置RADIUS 主认证、计费服务器和端口。
[Quidway-radius-huawei] radius-server authentication 129.7.66.66 1812
[Quidway-radius-huawei] radius-server accounting 129.7.66.66 1813
# 配置RADIUS 备认证、计费服务器和端口。
[Quidway-radius-huawei] radius-server authentication 129.7.66.67 1812
[Quidway-radius-huawei] radius-server accounting 129.7.66.67 1813
# 配置RADIUS 服务器组的其他参数。
[Quidway-radius-huawei] radius-server type standard
[Quidway-radius-huawei] radius-server retransmit 2
[Quidway-radius-huawei] radius-server shared-key hello
[Quidway-radius-huawei] quit
# 配置isp1 域。
[Quidway] aaa
[Quidway–aaa] domain isp1
[Quidway-aaa-domain-isp1] authentication-scheme auth1
[Quidway-aaa-domain-isp1] accounting-scheme acct1
[Quidway-aaa-domain-isp1] radius-server group huawei
[Quidway-aaa-domain-isp1] quit
[Quidway-aaa] quit
# 配置isp2 域。
[Quidway] aaa
[Quidway–aaa] domain isp2
[Quidway-aaa-domain-isp2] authentication-scheme auth2
[Quidway-aaa-domain-isp2] accounting-scheme acct1
[Quidway-aaa-domain-isp2] radius-server group huawei
[Quidway-aaa-domain-isp2] quit
[Quidway-aaa] quit
安全技术(四):dot1x网络接入控制协议
802.1x 简介:
IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题,提出了802.1x 协议。后来,802.1x协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x 协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
802.1x 的体系结构:
802.1x系统为典型的Client/Server结构,如图1-1所示,包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Server)。
(1)客户端是位于局域网段一端的一个实体,由该链路另一端的设备端对其进行认证。客户端一般为一个用户终端设备,用户可以通过启动客户端软件发起802.1x 认证。客户端必须支持EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)。
(2)设备端是位于局域网段一端的另一个实体,对所连接的客户端进行认证。设备端通常为支持802.1x 协议的网络设备,它为客户端提供接入局域网的端口,该端口可以是物理端口,也可以是逻辑端口。
(3)认证服务器是为设备端提供认证服务的实体。认证服务器用于实现对用户进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。
802.1x 认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议),来实现客户端、设备端和认证服务器之间认证信息的交换。
(1)在客户端与设备端之间,EAP 协议报文使用EAPOL 封装格式,直接承载于LAN 环境中。
(2)在设备端与 RADIUS 服务器之间,可以使用两种方式来交换信息。一种是EAP 协议报文使用EAPOR(EAP over RADIUS)封装格式承载于RADIUS 协议中;另一种是EAP 协议报文由设备端进行终结,采用包含PAP(Password Authentication Protocol,密码验证协议)或CHAP(Challenge Handshake Authentication Protocal,质询握手验证协议)属性的报文与RADIUS服务器进行认证交互。
802.1x 的基本概念:
受控/非受控端口:
设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。
(1) 非受控端口始终处于双向连通状态,主要用来传递EAPOL 协议帧,保证客户端始终能够发出或接收认证报文。
(2)受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
授权/非授权状态:
设备端利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果(Accept 或Reject)对受控端口的授权/非授权状态进行相应地控制。用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式:
(1)强制授权模式(authorized-force):表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
(2)强制非授权模式(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。
(3)自动识别模式(auto):表示端口初始状态为非授权状态,仅允许EAPOL 报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况.
受控方向:
在非授权状态下,受控端口可以被设置成单向受控和双向受控。
(1)实行双向受控时,禁止帧的发送和接收;
(2)实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
802.1x 的认证过程:
(1) 当用户有访问网络需求时打开802.1x 客户端程序,输入已经申请、登记过的用户名和密码,发起连接请求(EAPOL-Start 报文)。此时,客户端程序将发出请求认证的报文给设备端,开始启动一次认证过程。
(2) 设备端收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity报文)要求用户的客户端程序发送输入的用户名。
(3) 客户端程序响应设备端发出的请求, 将用户名信息通过数据帧(EAP-Response/Identity 报文)发送给设备端。设备端将客户端发送的数据帧经过封包处理后(RADIUS Access-Request 报文)送给认证服务器进行处理。
(4) RADIUS 服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名表对比,找到该用户名对应的密码信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字通过RADIUS Access-Challenge 报文发送给设备端,由设备端转发给客户端程序。
(5) 客户端程序收到由设备端传来的加密字(EAP-Request/MD5 Challenge 报文)后,用该加密字对密码部分进行加密处理(此种加密算法通常是不可逆的,生成EAP-Response/MD5 Challenge 报文),并通过设备端传给认证服务器。
(6) RADIUS 服务器将收到的已加密的密码信息(RADIUS Access-Request 报文)和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息(RADIUS Access-Accept 报文和EAP-Success报文)。
(7) 设备收到认证通过消息后将端口改为授权状态,允许用户通过端口访问网络。在此期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。缺省情况下,两次握手请求报文都得不到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。
(8) 客户端也可以发送EAPOL-Logoff 报文给设备端,主动要求下线。设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure 报文。
802.1x 的定时器:
802.1x 认证过程中会启动多个定时器以控制接入用户、设备以及RADIUS 服务器之间进行合理、有序的交互。802.1x 的定时器主要有以下几种:
(1)用户名请求超时定时器(tx-period):该定时器定义了两个时间间隔。其一,当设备端向客户端发送EAP-Request/Identity 请求报文后,设备端启动该定时器,若在tx-period 设置的时间间隔内,设备端没有收到客户端的响应,则设备端将重发认证请求报文;其二,为了兼容不主动发送EAPOL-Start 连接请求报文的客户端,设备会定期组播EAP-Request/Identity 请求报文来检测客户端。tx-period 定义了该组播报文的发送时间间隔。
(2)客 户 端 认 证 超 时 定 时 器 (supp-timeout) : 当设备端向客户端发送了EAP-Request/MD5 Challenge 请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
(3)认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request 请求报文后,设备端启动server-timeout 定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。
(4) 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N 次没有收到客户端的响应报文,就认为用户已经下线。
(5)静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不处理该用户的认证请求。
802.1x 在设备中的实现:
设备在 802.1x 的EAP 中继方式和EAP 终结方式的实现中,不仅支持协议所规定的端口接入认证方式,还对其进行了扩展、优化:
(1)支持一个物理端口下挂接多个用户的应用场合;
(2)接入控制方式(即对用户的认证方式)可以采用基于 MAC 和基于端口两种方式。当采用基于MAC 方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。当采用基于端口方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
配置802.1x:
配置全局802.1x:
说明:
1.只有同时开启全局和端口的 802.1x 特性后,802.1x 的配置才能在端口上生效。
2.开启端口的 802.1x特性与配置端口控制(设置端口接入控制的模式、端口接入控制方式、端口同时接入用户数量的最大值)也可在接口视图下进行。全局配置与端口配置并无优先级之分,仅是作用范围不一致,后配置的参数会覆盖已有的参数。
3.必须同时开启全局和指定端口的代理用户检测与控制,此特性的配置才能在该端口上生效。另外,该功能的实现需要H3C 802.1x 客户端程序的配合。
4.一般情况下,用户无需使用dot1x timer 命令改变部分定时器值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;网络处在风险位置,容易受攻击的情况下,可以适当地将静默定时器值调大一些,反之,可以将其调小一些来提高对用户认证请求的响应速度。另外,可以通过调节认证服务器超时定时器的值来适应认证服务器性能的不同情况。
配置端口的802.1x:
配置Guest VLAN:
注意:
如果用户端设备发出的是携带 Tag 的数据流,且接入端口上使能了802.1x 认证和Guest VLAN,为保证各种功能的正常使用,请为Voice VLAN、端口的缺省VLAN
和802.1x 的Guest VLAN 分配不同的VLAN ID。
802.1x典型配置举例:
组网需求:
1.要求在各端口上对用户接入进行认证,以控制其访问Internet;接入控制模式要求是基于MAC地址的接入控制。
2.所有接入用户都属于一个缺省的域:aabbcc.net,该域最多可容纳30个用户;认证时,先进行RADIUS认证,如果RADIUS服务器没有响应再转而进行本地认证;计费时,如果RADIUS计费失败则切断用户连接使其下线;此外,接入时在用户名后不添加域名,正常连接时如果用户有超过20分钟流量持续小于2000Bytes的情况则切断其连接。
3. 由两台RADIUS服务器组成的服务器组与交换机相连,其IP地址分别为10.11.1.1和10.11.1.2,前者作为主认证/备份计费服务器,后者作为备份认证/主计费服务器;设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码“money”,设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文,重复发送报文的次数总共为5次,设置系统每15分钟就向RADIUS服务器发送一次实时计费报文,指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
4.本地802.1x接入用户的用户名为localuser,密码为localpass,使用明文输入,闲置切断功能处于打开状态。
组网图:
配置步骤:
# 开启全局802.1x特性。
<Quidway> system-view
[Quidway] dot1x
# 开启指定端口Ethernet 1/0/1的802.1x特性。
[Quidway] dot1x interface Ethernet 1/0/1
# 设置接入控制方式(该命令可以不配置,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Quidway] dot1x port-method macbased interface Ethernet 1/0/1
# 创建RADIUS方案radius1并进入其视图。
[Quidway] radius scheme radius1
# 设置主认证/计费RADIUS服务器的IP地址。
[Quidway-radius-radius1] primary authentication 10.11.1.1
[Quidway-radius-radius1] primary accounting 10.11.1.2
# 设置备份认证/计费RADIUS服务器的IP地址。
[Quidway-radius-radius1] secondary authentication 10.11.1.2
[Quidway-radius-radius1] secondary accounting 10.11.1.1
# 设置系统与认证RADIUS服务器交互报文时的加密密码。
[Quidway -radius-radius1] key authentication name
# 设置系统与计费RADIUS服务器交互报文时的加密密码。
[Quidway-radius-radius1] key accounting money
# 设置系统向RADIUS服务器重发报文的时间间隔与次数。
[Quidway-radius-radius1] timer 5
[Quidway-radius-radius1] retry 5
# 设置系统向RADIUS服务器发送实时计费报文的时间间隔。
[Quidway-radius-radius1] timer realtime-accounting 15
# 指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。
[Quidway-radius-radius1] user-name-format without-domain
[Quidway-radius-radius1] quit
# 创建域aabbcc.net并进入其视图。
[Quidway] domain default enable aabbcc.net
# 指定radius1为该域用户的RADIUS方案,若RADIUS服务器无效,则使用本地认证方案。
[Quidway-isp-aabbcc.net] scheme radius-scheme radius1 local
# 设置该域最多可容纳30个用户。
[Quidway-isp-aabbcc.net] access-limit enable 30
# 启动闲置切断功能并设置相关参数。
[Quidway-isp-aabbcc.net] idle-cut enable 20 2000
[Quidway-isp-aabbcc.net] quit
# 配置域aabbcc.net为缺省用户域。
[Quidway] domain default enable aabbcc.net
# 添加本地接入用户。
[Quidway] local-user localuser
[Quidway-luser-localuser] service-type lan-access
[Quidway-luser-localuser] password simple localpass
Guest VLAN 的典型配置举例:
组网需求:
如 图1-11所示,一台主机通过802.1x认证接入网络,认证服务器为RADIUS服务器。Supplicant接入Device的端口Ethernet1/1 在VLAN1 内;认证服务器在VLAN2 内;
Update Server是用于客户端软件下载和升级的服务器,在VLAN10 内;Device连接Internet网络的端口Ethernet1/2 在VLAN5 内。
配置步骤:
# 配置RADIUS 方案2000。
<Device> system-view
[Device] radius scheme 2000
[Device-radius-2000] primary authentication 10.11.1.1 1812
[Device-radius-2000] primary accouting 10.11.1.1 1813
[Device-radius-2000] key authentication abc
[Device-radius-2000] key accouting abc
[Device-radius-2000] user-name-format without-domain
[Device-radius-2000] quit
# 配置domain,该domain 使用刚才配置好的RADIUS 方案2000。
[Device] domaim system
[Device-isp-system] authentication default radius-scheme 2000
[Device-isp-system] authorization default radius-scheme 2000
[Device-isp-system] accounting default radius-scheme 2000
[Device-isp-system] quit
# 开启全局802.1x 特性。
[Device] dot1x
# 开启指定端口的802.1x 特性。
[Device] interface ethernet 1/1
[Device-ethernet1/1] dot1x
# 配置端口上进行接入控制的方式为portbased。
[Device-ethernet1/1] dot1x port-method portbased
# 配置端口上进行接入控制的模式为auto。
[Device-ethernet1/1] dot1x port-control auto
[Device-ethernet1/1] quit
# 创建VLAN10。
[Device] vlan 10
[Device-vlan10] quit
# 配置指定端口的Guest VLAN。
[Device] dot1x guest-vlan 10 interface ethernet 1/1
通过命令display current-configuration 或者display interface ethernet 1/1 可以
查看Guest VLAN 配置情况。在没有用户上线、用户认证失败或用户成功下线等情况下发送触发认证报文(EAP-Request/Identity)超过设定的最大次数时,通过命令display vlan 10 可以查看端口配置的Guest VLAN 是否生效。