802.1X重认证

小乔

802.1X重认证
802.1X认证成功用户

若管理员在认证服务器上修改了某一用户的访问权限、授权属性等参数，此时如果用户已经在线，则需要及时对该用户进行重认证以确保用户的合法性。配置对在线802.1X用户进行重认证功能后，设备会把保存的在线用户的认证参数（用户上线后，设备上会保存该用户的认证信息）发送到认证服务器进行重认证，若认证服务器上用户的认证信息没有变化，则用户正常在线；若用户的认证信息已更改，则用户将会被下线，此后用户需要重新进行认证。802.1X认证成功用户重认证方式如表3-9所示。

表3-9 802.1X认证成功用户重认证方式

配置点	方式	配置命令
在接入设备侧配置	对802.1X认证成功用户进行周期性重认证。	dot1x reauthenticate dot1x timer reauthenticate-period reauthenticate-period-value
在接入设备侧配置	手动对指定MAC地址进行单次重认证。	dot1x reauthenticate mac-address mac-address
在RADIUS服务器侧配置	对802.1X认证成功的用户下发RADIUS标准属性Session-Timeout和Termination-Action。其中，Session-Timeout属性值为用户在线时长定时器，Termination-Action属性值为1表示对用户进行重认证。当用户在线时长达到Session-Timeout的属性值时，设备会对用户进行重认证。	无

异常认证状态下的用户

用户在预连接阶段或认证失败阶段，设备会记录用户表项信息，并能够为用户分配受限的网络访问权限。为使用户能够及时认证成功，获取正常的网络访问权限，设备根据用户表项对没有认证成功的用户进行重认证。

在用户表项老化时间到达之前，如果用户重认证没有成功，设备将删除对应的表项信息，并收回授予用户的网络访问权限；如果用户重认证成功，设备将用户加入到认证成功的用户表项，并授予认证成功后的网络访问权限。该部分用户的重认证方式如表3-10所示。

表3-10 异常认证状态下的用户重认证方式

用户状态	配置命令
RADIUS服务器Down	authentication event authen-server-up action re-authen：配置当RADIUS服务器真正UP时对用户进行重认证。
认证失败	authentication timer re-authen authen-fail authen-fail-time：配置对认证失败用户进行周期性重认证。
预连接	authentication timer re-authen pre-authen pre-authen-time：配置对预连接用户进行周期性重认证。

TIAN_C

感谢分享