dot1x認證逃生是什麼命令
- 0關注
- 0收藏,1878瀏覽
問題描述:
dot1x逃生要配置那個命令
port link-mode bridge
port access vlan 20
dot1x
undo dot1x handshake
dot1x mandatory-domain 1x
mac-authentication
mac-authentication domain 1x
- 2024-09-19提問
- 舉報
-
(0)
802.1x認證逃生可以分為兩種情況,一是主服務器不可達轉到備服務器,二是全部服務器不可達改用其他認證方式。
這裏以radius方案為例,其他協議原理類似,具體請參考對應的配置手冊
配置步驟
情況一:主服務器不可達轉到備服務器
這裏可以利用secondary的命令在radius scheme視圖下配置備份的認證/計費服務器,以5130S-EI交換機為例,一個RADIUS方案中最多允許配置一個主認證服務器和16個從認證服務器。缺省情況下,當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。開啟服務器負載分擔功能後,設備會根據各服務器的權重以及服務器承載的用戶負荷,按比例進行用戶負荷分配並選擇要交互的服務器。
典型配置如下:
# 創建RADIUS方案radius1並進入其視圖。
[Device] radius scheme radius1
# 配置主認證/計費RADIUS服務器的IP地址。
[Device-radius-radius1] primary authentication 10.1.1.1
[Device-radius-radius1] primary accounting 10.1.1.1
# 配置備份認證/計費RADIUS服務器的IP地址。
[Device-radius-radius1] secondary authentication 10.1.1.2
[Device-radius-radius1] secondary accounting 10.1.1.2
情況二:改用其他認證方式
在認證ISP域中,可以選用多種認證/授權/計費的方法,在當前的認證/授權/計費方法無效時,會按照配置順序嚐試使用備選的方法完成認證。
例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。遠程認證無效是指,指定的認證方案不存在、認證報文發送失敗或者服務器無響應。本地認證無效是指沒有找到對應的本地用戶配置。none表示不進行認證,對用戶非常信任,不對其進行合法性檢查,直接可以訪問資源。
典型配置如下:
# 創建並進入名稱為bbb的ISP域。
[SwitchA] domain bbb
# 為用戶配置AAA認證方法為RADIUS認證/授權/計費,且均使用RADIUS方案 radius1。先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
[Device-isp-bbb] authentication lan-access radius-scheme radius1 local none
[Device-isp-bbb] authorization lan-access radius-scheme radius1 local none
[Device-isp-bbb] accounting lan-access radius-scheme radius1 local none
[Device-isp-bbb] quit
# 開啟端口GigabitEthernet1/0/1的802.1X認證。
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] dot1x
# 指定端口上接入的802.1X用戶使用認證域bbb。
[SwitchA-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
[SwitchA-GigabitEthernet1/0/1] quit
# 開啟全局802.1X認證。
[SwitchA] dot1x
配置關鍵點
除了上述兩種逃生方式,802.1X還涉及兩種VLAN:
802.1X Auth-Fail VLAN功能允許用戶在認證失敗的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為Auth-Fail VLAN。需要注意的是,這裏的認證失敗是認證服務器因某種原因明確拒絕用戶認證通過,比如用戶密碼錯誤,而不是認證超時或網絡連接等原因造成的認證失敗。根據端口的接入控製方式不同,Auth-Fail VLAN的生效情況有所不同。具體請參考設備的配置手冊。
802.1X Critical VLAN功能允許用戶在認證時,當所有認證服務器都不可達的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為Critical VLAN。目前,隻采用RADIUS認證方式的情況下,在所有RADIUS認證服務器都不可達後,端口才會加入Critical VLAN。若采用了其它認證方式,則端口不會加入Critical VLAN。根據端口的接入控製方式不同,Critical VLAN的生效情況有所不同。具體請參考設備的配置手冊。
- 2024-09-19回答
- 評論(0)
- 舉報
-
(0)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論