接入认证故障问题汇总

混沌骑士

接入认证
14.1  接入用户认证时，按照什么顺序选择认证域？
接入用户认证时，设备将按照如下先后顺序为其选择认证域：

(1)     接入模块指定的认证域：

¡     对于802.1X认证用户，是指通过dot1x mandatory-domain命令，在端口上指定的802.1X用户使用的强制认证域；

¡     对于MAC地址认证用户，是指通过mac-authentication domain命令，在端口上或全局指定的MAC地址认证域，其中端口上指定的认证域优先级高于全局指定的认证域。

¡     对于Portal地址认证用户，是指通过portal domain或portal ipv6 domain命令在端口上指定的IPv4 Portal用户或IPv6 Portal用户的认证域；

(2)     用户名“userid@domain-name”中携带的ISP域“domain-name”；

(3)     设备系统缺省的ISP域（通过display domain命令的Default domain name可查看）

如果根据以上原则决定的认证域在设备上不存在，但设备上通过domain if-unknown命令为未知域名的用户指定了ISP域，则最终使用该指定的ISP域认证，否则，用户将无法认证。

14.2  如何修改或删除缺省的ISP域？
修改缺省ISP域的方法为：

(1)     执行命令display domain，并通过“Default domain name”字段的显示信息查看当前的缺省ISP域；

(2)     通过domain isp-name命令，进入当前缺省的ISP域视图；使用命令undo domain default enable将其修改为非缺省ISP域。

(3)     通过domain isp-name命令，创建新的ISP域，并进入其视图；使用命令domain default enable将新创建的ISP域设置为缺省的ISP域。

删除缺省ISP域，需要注意的是：

·     一个ISP域被配置为缺省的ISP域后，将不能够被删除，必须首先使用命令undo domain default enable将其修改为非缺省ISP域，然后才可以被删除。

·     系统缺省存在的system域只能被修改，不能被删除。

14.3  本地用户没有配置服务类型会导致认证失败吗？常用服务类型有哪些？
AAA支持的本地认证方式是指：认证过程在接入设备上完成。这时用户信息（包括用户名、密码和服务类型等各种属性）也需要配置在接入设备上,我们称之为配置本地用户。配置本地用户包括创建一个本地用户并进入本地用户视图，然后在本地用户视图下配置密码和相应的用户属性。

服务类型是指用户可使用的网络服务类型，该属性是本地认证的检测项，如果没有用户可以使用的服务类型，则该用户无法通过认证。

缺省情况下，本地用户不能使用任何服务类型。在本地用户视图下，通过service-type命令设置用户可以使用的服务类型，多次执行该命令，可以设置用户使用多种服务类型。常见的服务类型包括：

·     ftp：指定用户可以使用FTP服务。

·     http：指定用户可以使用HTTP服务。

·     https：指定用户可以使用HTTPS服务。

·     lan-access：指定用户可以使用lan-access服务。主要指以太网接入，比如用户可以通过802.1X认证、MAC地址认证接入。

·     portal：指定用户可以使用Portal服务。

·     ssh：指定用户可以使用SSH服务。

·     telnet：指定用户可以使用Telnet服务。

·     terminal：指定用户可以使用terminal服务（即从Console口登录）。

14.4  RADIUS认证时为什么需要配置nas-ip？
RADIUS服务器通过IP地址来标识接入设备，并根据收到的RADIUS报文的源IP地址（即NAS-IP）是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证或计费请求。

为保证认证和计费报文可被服务器正常接收并处理，接入设备上发送RADIUS报文使用的源IP地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

缺省情况下，未指定发送RADIUS报文使用的源IP地址，设备将使用到达RADIUS服务器的路由出接口的主IPv4地址或IPv6地址作为发送RADIUS报文的源IP地址。如果接入设备上发送RADIUS报文使用的源IP地址与RADIUS服务器上指定的接入设备的IP地址不一致，可采用nas-ip命令进行配置。

在接入设备上配置设备发送RADIUS报文使用的源IP地址（即NAS-IP）的方法有：

·     RADIUS方案视图下，通过如下命令配置NAS-IP，只对本RADIUS方案有效；且优先级高于系统视图下的配置。

nas-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }

·     系统视图下，通过如下命令配置NAS-IP，对所有RADIUS方案有效；

radius nas-ip { interface interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

配置NAS-IP的注意事项：

·     通过指定接口配置NAS-IP和通过指定IP来配置NAS-IP的方式不可同时使用，后配置的生效。

·     为避免物理接口故障时从服务器返回的报文不可达，可使用Loopback接口地址为发送RADIUS报文使用的源IP地址。

14.5  802.1X在线用户握手功能的应用场景和注意事项有哪些？
802.1X在线用户握手功能是指：802.1X用户在线期间，设备通过向客户端定期发送握手报文的方法，对用户的在线情况进行监测。具体的说，通过dot1x handshake命令开启设备的在线用户握手功能后，设备会根据dot1x timer handshake-period命令设置的时间间隔，向在线用户发送握手请求报文（EAP-Request/Identity），以定期检测用户的在线情况。如果设备连续多次（通过命令dot1x retry设置）没有收到客户端的应答报文（EAP-Response/Identity），则将用户置为下线状态。开启802.1X在线用户握手功能，可以防止802.1X用户因为异常原因下线而设备无法感知。

802.1X在线握手功能的注意事项如下：

·     部分802.1X客户端不支持与设备进行握手报文的交互，建议在这种情况下，执行命令undo dot1x handshake关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。

·     设备在线用户过多，资源不够，需要适当增加握手时间间隔（通过命令dot1x timer handshake-period设置）和向接入用户发送认证请求报文的最大次数（通过命令dot1x retry设置），重新进行认证尝试。

14.6  在线用户握手安全功能有哪些使用限制？
开启在线用户握手安全功能（可执行dot1x handshake secure命令来开启）后，可以防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互，而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。

需要注意的是：

只有设备上的在线用户握手功能处于开启状态时，安全握手功能才会生效。

本功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效。

14.7  什么情况下需要开启在线握手成功报文功能？
端口上开启在线用户握手功能（可执行dot1x handshake命令来开启）后，缺省情况下，设备收到该端口上802.1X在线用户的在线握手应答报文（EAP-Response/Identity报文）后，则认为该用户在线，并不给客户端回应在线握手成功报文（EAP-Success报文）。但是，有些802.1X客户端如果没有收到设备回应的在线握手成功报文（EAP-Success报文），就会自动下线。为了避免这种情况发生，需要在端口上配置dot1x handshake reply enable命令来开启发送在线握手成功报文功能。

只有当802.1X客户端需要收到在线握手成功报文时，才需要开启此功能。

14.8  配置设备端和服务端的认证、授权、计费时需要注意什么？
配置认证、授权、计费时，需保证设备端与服务器的配置一致，否则会导致用户上线失败。常见的例如以下情况均会导致上线失败：

·     远端服务器侧已配置用户授权vlan为vlan name，但设备并不存在这个name，导致授权失败。

·     设备上与IMC配置的授权密码不一致，会导致无法上线。

·     接入设备上配置的Portal密钥和Portal认证服务器上配置的密钥不一致，导致Portal认证服务器报文验证出错，Portal认证服务器拒绝弹出认证页面。在Portal认证服务器视图下使用display this命令查看接入设备上是否配置了Portal认证服务器密钥，若没有配置密钥，请补充配置；若配置了密钥，请在Portal认证服务器视图中使用ip或ipv6命令修改密钥，或者在Portal认证服务器上查看对应接入设备的密钥并修改密钥，直至两者的密钥设置一致。

14.9  什么情况下需要配置允许MAC迁移功能？
允许MAC迁移功能是指，允许在线的802.1X用户、MAC地址认证用户或Web认证用户迁移到设备的其它端口上或迁移到同一端口下的其它VLAN（指不同于上一次发起认证时所在的VLAN）接入后可以重新认证上线。可以通过在接口下执行port-security mac-move permit命令用来开启允许MAC迁移功能。缺省情况下，允许MAC迁移功能处于关闭状态。

通常，不建议开启该功能，只有在用户漫游迁移需求的情况下建议开启此功能。

需要注意的是：

如果用户进行MAC地址迁移前，服务器在线用户数已达到上限，则用户MAC地址迁移不成功。

对于迁移到同一端口下的其它VLAN内接入的用户，MAC地址认证的多VLAN模式优先级高于MAC迁移功能。当开启端口的多VLAN模式（通过mac-authentication host-mode multi-vlan命令）后，设备直接允许用户在新的VLAN通过，无需再次认证。

14.10  如何配置和查看802.1X用户使用的强制认证域？
在端口上指定强制认证域为802.1X接入提供了一种安全控制策略。所有从该端口接入的802.1X用户将被强制使用指定的认证域来进行认证、授权和计费，从而防止用户通过恶意假冒其它域账号从本端口接入网络。另外，管理员也可以通过配置强制认证域对不同端口接入的用户指定不同的认证域，从而增加了管理员部署802.1X接入策略的灵活性。

缺省情况下，未指定802.1X用户使用的强制认证域。在二层以太网接口视图或二层聚合接口视图（产品不支持二层聚合口除外）下，通过dot1x mandatory-domain命令可以指定端口上802.1X用户使用的强制认证域。通过display dot1x命令的“Mandatory auth domain”字段可以查看指定接口的802.1X强制认证域配置。

14.11  当前ISP域中未指定具体授权方法的情况下，缺省授权方法是什么？如何配置缺省授权？
每个接入用户都属于一个ISP域，如果用户所属的ISP域下未配置任何认证、授权、计费方法，系统将使用缺省的认证、授权、计费方法，分别为本地认证、本地授权和本地计费。以配置授权为例，缺省情况下，ISP域的缺省授权方法为local。在当前ISP域视图下，可以通过如下命令配置缺省的授权方法：

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

需要注意的是：

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

可以指定多个备选的授权方法，在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS授权，若RADIUS授权无效则进行本地授权，若本地授权也无效则不进行授权。

14.13  端口安全模式分为哪两类？配置之前，端口需要满足什么条件？
端口安全模式分为两大类：控制MAC学习类和认证类。缺省情况下，端口处于noRestrictions模式，此时该端口的安全功能关闭，端口处于不受端口安全限制的状态。通过port-security port-mode命令可以配置端口安全模式。

·     控制MAC学习类：无需认证，包括端口自动学习MAC地址和禁止MAC地址学习两种模式。

·     认证类：利用MAC地址认证和802.1X认证机制来实现，包括单独认证和组合认证等多种模式。

在配置端口安全模式之前，端口上首先需要满足以下条件：

·     802.1X认证关闭。

·     MAC地址认证关闭。

·     端口未加入业务环回组。

·     对于autoLearn模式，还需要提前设置端口安全允许的最大安全MAC地址数。但是如果端口已经工作在autoLearn模式下，则无法更改端口安全允许的最大安全MAC地址数。

14.14  802.1X环境如何实现终端免认证？
开启802.1X功能的设备可以通过配置端口静态绑定MAC地址来实现终端免认证。缺省情况下，未配置任何MAC地址表项，可通过mac-address static命令配置静态MAC地址绑定端口。例如：需要实现免认证的终端的MAC地址为0001-0001-0001，与交换机的端口GE1/0/1端口相连，GE1/0/1端口属于VLAN10，通过在系统视图下执行mac-address static 0001-0001-0001 interface GigabitEthernet 1/0/1 vlan 10命令，配置静态MAC地址绑定端口，从而实现免认证。

14.15  设备对RADIUS 15号属性的检查方式该如何配置？
RADIUS 15号属性为Login-Service属性，该属性携带在Access-Accept报文中，由RADIUS服务器下发给设备，表示认证用户的业务类型，例如属性值0表示Telnet业务。设备检查用户登录时采用的业务类型与服务器下发的Login-Service属性所指定的业务类型是否一致，如果不一致则用户认证失败。由于RFC中并未定义SSH、FTP和Terminal这三种业务的Login-Service属性值，因此设备无法针对SSH、FTP、Terminal用户进行业务类型一致性检查，为了支持对这三种业务类型的检查，H3C为Login-Service属性定义了下表所示的扩展取值。

表14-2 扩展的Login-Service属性值

属性值

描述

50

用户的业务类型为SSH

51

用户的业务类型为FTP

52

用户的业务类型为Terminal



可以通过配置设备对RADIUS 15号属性的检查方式，控制设备是否使用扩展的Login-Service属性值对用户进行业务类型一致性检查。

·     严格检查方式（strict）：设备使用标准属性值和扩展属性值对用户业务类型进行检查，对于SSH、FTP、Terminal用户，当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时才能够通过认证。

·     松散检查方式（loose）：设备使用标准属性值对用户业务类型进行检查，对于SSH、FTP、Terminal用户，在RADIUS服务器下发的Login-Service属性值为0（表示用户业务类型为Telnet）时才能够通过认证。

在RADIUS方案视图下，通过执行attribute 15 check-mode { loose | strict }命令用来配置对RADIUS Attribute 15的检查方式。

由于某些RADIUS服务器不支持自定义的属性，无法下发扩展的Login-Service属性，若要使用这类RADIUS服务器对SSH、FTP、Terminal用户进行认证，建议设备上对RADIUS 15号属性值采用松散检查方式。

14.16  对802.1X用户进行周期性重认证时，设备按什么顺序为其选择重认证时间间隔？
对802.1X用户进行周期性重认证时，设备将按照如下先后顺序为其选择重认证时间间隔：

(1)     服务器下发的重认证时间间隔；

(2)     通过接口视图下的dot1x timer reauth-period命令配置的周期性重认证定时器的值；

(3)     通过系统视图下的dot1x timer reauth-period命令配置的周期性重认证定时器的值；

(4)     设备缺省的周期性重认证定时器的值：3600秒。

14.17  802.1X的Free IP功能是否可以与端口安全同时开启？
在802.1X的EAD快速部署方案中，可允许未通过认证的802.1X终端用户访问指定的IP地址段，该IP地址段中通常配置一个或多个特定服务器，用于提供EAD客户端的下载升级或者动态地址分配等服务。这种网段称为Free IP，可通过dot1x ead-assistant free-ip命令进行配置。

由于端口安全特性不支持802.1X的EAD的快速部署功能，全局使能端口安全功能将会使EAD快速部署功能失效。如果接口下开启了端口安全，会导致配置free-ip不生效，建议删除。

14.18  802.1X的Free IP功能是否可以与MAC地址认证同时开启？
在802.1X的EAD快速部署方案中，可允许未通过认证的802.1X终端用户访问指定的IP地址段，该IP地址段中通常配置一个或多个特定服务器，用于提供EAD客户端的下载升级或者动态地址分配等服务。这种网段称为Free IP，可通过dot1x ead-assistant free-ip命令进行配置。

部分设备上，EAD快速部署功能和MAC地址认证功能互斥。

部分设备上，支持同时配置EAD快速部署辅助功能和MAC地址认证功能，需要注意的是：

·     同时开启EAD快速部署辅助功能和MAC地址认证功能时，MAC地址认证用户认证失败后，该用户的MAC地址不会加入静默MAC。若服务器上没有相关的用户信息，MAC地址认证用户认证失败后，需要等EAD表项老化之后，才能再次触发认证。

·     开启EAD快速部署辅助功能与MAC地址认证的Guest VLAN、Guest VSI或Critical VLAN、Critical VSI功能不建议同时配置，否则可能导致MAC地址认证的Guest VLAN、Guest VSI或Critical VLAN、Critical VSI功能无法正常使用。

·     同时开启EAD快速部署辅助功能和MAC地址认证功能时，不建议同时配置Web认证或IP Source Guard功能，否则可能导致Web认证或IP Source Guard功能无法正常使用。

·     开启EAD快速部署辅助功能后，对于在使能EAD快速部署辅助功能之前就加入静默MAC的用户，需要等静默MAC老化后才能触发EAD快速部署功能。

14.19  为什么在接入设备上强制Portal用户下线失败？
在接入设备上使用portal delete-user命令强制用户下线时，由接入设备主动发送下线通知报文到Portal认证服务器，Portal认证服务器会在指定的端口监听该报文（缺省为50100），但是接入设备发送的下线通知报文的目的端口和Portal认证服务器真正的监听端口不一致，故Portal认证服务器无法收到下线通知报文，Portal认证服务器上的用户无法下线。

当使用客户端的“断开”属性让用户下线时，由Portal认证服务器主动向接入设备发送下线请求，其源端口为50100，接入设备的下线应答报文的目的端口使用请求报文的源端口，避免了其配置上的错误，使得Portal认证服务器可以收到下线应答报文，从而Portal认证服务器上的用户成功下线。

使用display portal server命令查看接入设备对应服务器的端口，并在系统视图中使用portal server命令修改服务器的端口，使其和Portal认证服务器上的监听端口一致。

14.20  什么情况需要配置认证触发功能？
对于不支持主动发送EAPOL-Start报文来发起802.1X认证的客户端，设备支持配置认证触发功能，即设备主动向该端口上的客户端发送认证请求来触发802.1X认证。设备提供了以下两种类型的认证触发功能：

·     组播触发功能：启用了该功能的端口会定期（间隔时间通过命令dot1x timer tx-period设置）向客户端组播发送EAP-Request/Identity报文来检测客户端并触发认证。

·     单播触发功能：当启用了该功能的端口收到源MAC地址未知的报文时，会主动向该MAC地址单播发送EAP-Request/Identity报文，若端口在指定的时间内（通过命令dot1x timer tx-period设置）没有收到客户端的响应，则重发该报文（重发次数通过命令dot1x retry设置）。

缺省情况下，组播触发功能处于开启状态，单播触发功能处于关闭状态。

建议组播触发功能和单播触发功能不要同时开启，以免认证报文重复发送。

14.21  什么情况下端口会加入Critical VLAN？
802.1X Critical VLAN功能允许用户在认证时，当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源，这个VLAN称之为Critical VLAN。目前，只采用RADIUS认证方式的情况下，在所有RADIUS认证服务器都不可达后，端口才会加入Critical VLAN。若采用了其它认证方式，则端口不会加入Critical VLAN。

14.22  端口安全允许的最大用户接入数有何限制？
端口安全允许某个端口下有多个用户接入，但是允许的用户数不能超过规定的最大值。

配置端口允许的最大安全MAC地址数有两个作用：

·     控制端口允许接入网络的最大用户数。对于采用802.1X、MAC地址认证或者两者组合形式的认证类安全模式，端口允许的最大用户数取通过port-security max-mac-count max-count [ vlan [ vlan-id-list ] ]命令配置的max-count值与相应模式下允许认证用户数max-number（通过dot1x max-user max-number命令配置端口上最多允许同时接入的802.1X用户数，通过mac-authentication max-user max-number命令配置端口上最多允许同时接入的MAC地址认证用户数）的最小值；

·     控制autoLearn模式下端口能够添加的最大安全MAC地址数。如果配置了vlan关键字，但未指定具体的vlan-id-list时，可控制接口允许的每个VLAN内的最大安全MAC地址数；否则表示控制指定vlan-id-list内的最大安全MAC地址数。

14.23  同一端口下，同时进行MAC地址认证的终端过多时，重新认证时间间隔该如何设置？
用户被加入Guest VLAN或Guest VSI之后，设备将以指定的时间间隔对该用户定期发起重新认证，可通过mac-authentication guest-vlan re-authenticate命令开启Guest VLAN中用户的重新认证功能（通过mac-authentication guest-vsi re-authenticate命令开启Guest VSI中用户的重新认证功能），设备缺省开启Guest VLAN和Guest VSI中用户的重新认证功能。

当端口上同时进行认证的用户数大于300时，建议通过mac-authentication guest-vlan auth-period命令将设备对Guest VLAN中的用户进行重新认证的时间间隔（通过mac-authentication guest-vsi auth-period命令将设备对Guest VSI中的用户进行重新认证的时间间隔）设置为30秒以上。

14.24  IP Source Guard动态绑定表项可以来源于哪些功能模块？
IP Source Guard功能通常配置在接入用户侧的接口上，通过手工配置或动态获取的表项对接口收到的报文进行过滤控制，以防止非法用户报文通过，从而限制了对网络资源的非法使用。

在通过ip verify source或ipv6 verify source命令配置了IP Source Guard动态绑定功能的接口上，IP Source Guard可以通过与不同的模块配合生成IP Source Guard动态绑定表项。

表14-3 IP Source Guard动态绑定功能信息表

接口类型

IPv4表项来源模块

IPv6表项来源模块

二层以太网接口

DHCP Snooping、ARP Snooping

DHCPv6 Snooping、ND Snooping

802.1X

802.1X

三层以太网接口

或VLAN接口

DHCP中继

DHCPv6中继、ND RA

DHCP服务器

DHCPv6服务器



需要注意的是：要实现IP Source Guard动态绑定功能正常使用，请保证网络中的802.1X、ARP Snooping 、DHCP Snooping、DHCP中继、DHCP服务器或ND RA配置有效且工作正常。

14.25  配置了IP Source Guard静态绑定表项，为什么绑定功能不生效？
在全局或接口视图下通过ip source binding命令，可配置IP Source Guard静态绑定表项。只有同时在接口下通过ip verify source命令配置IPv4接口绑定功能，才算打开根据绑定表项过滤报文的开关。这种情况下设备通过配置的IPv4静态绑定表项和从其它模块获取的IPv4动态绑定表项对接口转发的报文进行过滤或者配合其它模块提供相关的安全服务。

14.26  Portal HTTPS重定向为什么不生效？
HTTP重定向是一种将用户的HTTP/HTTPS请求转到某个指定URL的方法，对HTTP请求报文，无需进行任何配置，设备即可进行重定向处理；对于HTTPS报文，必须配置对HTTPS报文进行重定向的内部侦听端口号，设备才会进行重定向。

缺省情况下，对HTTPS报文进行重定向的内部侦听端口号为6654。为了避免端口号冲突导致服务不可用，需确保内部侦听端口号不是知名协议使用的端口号，且不能被其它基于TCP协议的服务占用（已被其他服务占用的TCP端口号可以通过display tcp命令查看）。可通过http-redirect https-port命令配置对HTTPS报文进行重定向的内部侦听端口号。

14.27  为什么需要配置RADIUS报文的共享密钥？
RADIUS客户端与RADIUS服务器使用MD5算法并在共享密钥的参与下生成验证字，接受方根据收到报文中的验证字来判断对方报文的合法性。只有在共享密钥一致的情况下，彼此才能接收对方发来的报文并作出响应。

通常，在设备上配置RADIUS认证/计费服务器时应同时指定与主/备服务器交互的共享密钥，配置命令为primary accounting、primary authentication、secondary accounting、secondary authentication。若通过上述命令指定服务器时未同时配置共享密钥，则需要通过在RADIUS方案视图下执行key命令来配置RADIUS报文的共享密钥。

需要注意的是：必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。

14.28  配置AAA时如果没有计费服务器，需要配置当前ISP域的计费方法吗？
ISP域的缺省计费方法为local，即本地计费。因此，即使没有指定远程计费服务器，也需要通过配置accounting default none命令将当前ISP域的缺省计费方法配置为不计费，否则会导致用户认证失败。

14.29  在ISP域下，若配置AAA认证/授权/计费方法使用的RADIUS方案不存在，AAA认证/授权/计费方法会生效吗？
在ISP域下，若配置AAA认证/授权/计费方法使用的RADIUS方案不存在，AAA认证/授权/计费方法不会生效。可以执行display radius scheme命令查看ISP域下AAA认证/授权/计费方法中指定的RADIUS方案是否存在。例如如下配置：

[system]  domain aaa

[system-isp-aaa]authentication login radius-scheme bbb

[system-isp-aaa]display radius scheme bbb

The RADIUS scheme does not exist.

虽然为login用户配置的认证方法指定了RADIUS方案bbb，但RADIUS方案bbb实际不存在，所以配置不生效。

14.30  在实际应用场景中，若需要通过iMC服务器下发安全ACL，应该如何配置？
在实际应用场景中，若需要通过iMC服务器下发安全ACL，请在设备上通过radius session-control enable命令开启RADIUS session control功能，否则相关安全ACL无法生效。

iMC RADIUS服务器使用session control报文向设备发送授权信息（例如授权ACL/VLAN/用户组/VSI/黑洞MAC）的动态修改请求以及断开连接请求。在使用iMC RADIUS服务器且服务器需要对用户授权信息进行动态修改或强制用户下线的情况下，必须开启RADIUS session control功能。

14.31  802.1X在线用户较多时，用户重认证周期过长该如何解决？
当RADIUS服务器从不可达变为可达时，处于Critical VLAN或Critical VSI中的用户也会再次发起认证，在设备上802.1X在线用户较多的情况下，如果通过dot1x server-recovery online-user-sync命令开启了RADIUS服务器变为可达后的802.1X在线用户信息同步功能，会因为同时进行认证的用户数量较大，而导致用户的上线时间变长。

可以执行undo dot1x server-recovery online-user-sync命令关闭802.1X在线用户信息同步功能，使重认证周期恢复正常。

14.32  如何解决设备因无法感知802.1X认证用户离线导致用户再次上线失败？
设备因无法感知802.1X认证用户离线导致用户再次上线失败，通常有如下几种方法可以解决：

·     执行dot1x offline-detect enable命令开启端口的802.1X认证下线检测功能，若设备在一个下线检测定时器间隔之内，未收到此端口下某802.1X在线用户的报文，则将切断该用户的连接，同时通知RADIUS服务器停止对此用户进行计费。

·     执行port-security traffic-statistics enable命令开启端口安全接入用户的流量统计功能，设备会根据802.1X认证用户的MAC地址统计流量信息，并将统计数据发送给计费服务器。部分产品不支持此方式。

·     执行port-security mac-move permit命令开启允许MAC迁移功能，如果用户从某一端口上线成功，则允许该在线用户在设备的其它端口上（无论该端口是否与当前端口属于同一VLAN）发起认证。如果该用户在后接入的端口上认证成功，则当前端口会将该用户立即进行下线处理（不论用户在当前端口上通过哪种方式进行认证），保证该用户仅在一个端口上处于上线状态。

14.33  配置802.1X Guest VLAN功能前有哪些配置准备？
配置802.1X Guest VLAN之前，需要进行以下配置准备：

·     创建需要配置为Guest VLAN的VLAN。

·     在接入控制方式为MAC-based的端口上，保证端口类型为Hybrid，端口上的MAC VLAN功能处于使能状态。MAC VLAN功能的具体配置请参见“二层技术-以太网交换配置指导”中的“VLAN”。

14.34  端口接入控制方式为Port-based时可以配置单播触发功能吗？
单播触发功能建议只在端口接入控制方式为MAC-based时配置；若在端口接入控制方式为Port-based时配置单播触发功能，可能会导致用户正常无法上线。

另外，建议组播触发功能和单播触发功能不要同时开启，以免认证报文重复发送。

14.35  如何配置MAC地址认证用户使用的账号格式？
开启MAC地址认证后，设备默认使用用户的MAC地址作为用户名和密码，其中字母为小写，且不带连字符“-”。可以通过执行mac-authentication user-name-format命令来配置MAC地址认证用户的账号格式。MAC地址认证用户认证时，请确保使用的用户名格式符合配置的账户格式，否则，将导致认证失败。

需要注意的是：mac-authentication mac-range-account命令（用来配置指定MAC地址范围的MAC地址认证用户名和密码）的优先级高于mac-authentication user-name-format命令。缺省情况下，未对指定MAC地址范围的MAC地址认证用户设置用户名和密码，MAC地址认证用户采用mac-authentication user-name-format命令设置的用户名和密码接入设备。

14.36  开启802.1X或MAC地址认证对端口安全功能有何影响？
如果已全局开启了802.1X或MAC地址认证，则无法使能端口安全。

反之，如果开启了端口安全，则不能开启端口上的802.1X以及MAC地址认证，也不能修改802.1X端口接入控制方式和端口授权状态，它们只能随端口安全模式的改变由系统更改。

可以通过undo port-security enable命令关闭端口安全。但需要注意的是，在端口上有用户在线的情况下，关闭端口安全会导致在线用户下线。

执行使能或关闭端口安全的命令后，端口上的相关配置将会恢复为如下情况：

·     802.1X端口接入控制方式恢复为macbased；

·     802.1X端口的授权状态恢复为auto。

14.37  如何修改端口安全模式？
二层以太网接口或二层聚合接口视图下，通过执行port-security port-mode命令可配置端口安全模式。缺省情况下，端口处于noRestrictions模式，此时该端口的安全功能关闭，端口处于不受端口安全限制的状态。

当端口安全已经使能且当前端口安全模式不是noRestrictions时，若要改变端口安全模式，必须首先执行undo port-security port-mode命令恢复端口安全模式为noRestrictions模式；再重新配置为其它端口安全模式。

端口上有用户在线的情况下，端口安全模式无法改变。

端口安全模式与端口下的802.1X认证使能、端口接入控制方式、端口授权状态以及端口下的MAC地址认证使能配置互斥。

mawr1985

zhao198894

谢谢楼主分享

kings6066

感谢分享，谢谢提供资料的好心人。

WarmZling

qiaosanfeng

qiaosanfeng

拿分走人呵呵，楼下继续！

kings6066

谢谢楼主分享