1. 配置限制和指导

只有同时开启全局和端口的802.1X后，802.1X的配置才能在端口上生效。

端口上开启802.1X之前，请保证端口未加入业务环回组。

在客户端发送不携带Tag数据流的情况下，若设备的接入端口配置了Voice  VLAN功能，则端口的802.1X功能不生效。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       开启全局的802.1X功能。

dot1x

缺省情况下，全局的802.1X处于关闭状态。

(3)       进入接口视图。

interface interface-type  interface-number

(4)       开启端口的802.1X功能。

dot1x

缺省情况下，端口的802.1X处于关闭状态。

1.2  配置802.1X系统的认证方法

设备上的802.1X系统采用的认证方法与设备对于EAP报文的处理机制有关，具体如下：

·               若指定authentication-method为eap，则表示设备采用EAP中继认证方式。该方式下，设备端对客户端发送的EAP报文进行中继处理，并能支持客户端与RADIUS服务器之间所有类型的EAP认证方法。

·               若指定authentication-method为chap或pap，则表示设备采用EAP终结认证方式，该方式下，设备端对客户端发送的EAP报文进行本地终结，并能支持与RADIUS服务器之间采用CHAP或PAP类型的认证方法。

·               如果客户端采用了MD5-Challenge类型的EAP认证，则设备端只能采用CHAP认证；如果iNode 802.1X客户端采用了“用户名+密码”方式的EAP认证，设备上可选择使用PAP认证或CHAP认证，从安全性上考虑，通常使用CHAP认证。

·               如果采用EAP中继认证方式，则设备会把客户端输入的内容直接封装后发给服务器，这种情况下user-name-format命令的设置无效。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       配置802.1X系统的认证方法。

dot1x  authentication-method { chap | eap | pap }

缺省情况下，设备启用EAP终结方式，并采用CHAP认证方法。

1.3  配置端口的授权状态

1. 功能简介

通过配置端口的授权状态，可以控制端口上接入的用户是否需要经过认证来访问网络资源。端口支持以下三种授权状态：

·               强制授权（authorized-force）：表示端口始终处于授权状态，允许用户不经认证即可访问网络资源。

·               强制非授权（unauthorized-force）：表示端口始终处于非授权状态，不允许用户进行认证。设备端不为通过该端口接入的客户端提供认证服务。

·               自动识别（auto）：表示端口初始状态为非授权状态，仅允许EAPOL报文收发，不允许用户访问网络资源；如果用户通过认证，则端口切换到授权状态，允许用户访问网络资源。这也是最常用的一种状态。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入接口视图。

interface  interface-type  interface-number

(3)       配置端口的授权状态。

dot1x  port-control { authorized-force | auto | unauthorized-force }

缺省情况下，端口的授权状态为auto。

1.4   配置端口接入控制方式

1. 功能简介

设备支持两种端口接入控制方式：基于端口控制（portbased）和基于MAC控制（macbased）。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入接口视图。

interface interface-type  interface-number

(3)       配置端口接入控制方式。

dot1x  port-method { macbased | portbased }

缺省情况下，端口采用的接入控制方式为macbased。