常见问题解答集(四) – H3C交换机接入认证详解
H1: Q1
接入认证时,认证域的选择顺序是怎样的?
A1: 当用户进行接入认证时,设备的认证域选择遵循以下顺序:
1. 根据接入模块指定的认证域:
对于802.1X认证用户,是在端口上通过dot1x mandatory-domain命令指定的802.1X用户强制认证域。
对于基于MAC地址认证的用户,是在端口上或全局通过mac-authentication domain命令指定的MAC地址认证域,其中端口级别的指定优先级更高。
对于Portal认证用户,是通过portal domain或portal ipv6 domain命令在端口上指定的IPv4或IPv6 Portal用户的认证域。
2. 考虑用户名中的ISP域,即userid@domain-name中的domain-name。
3. 默认的ISP域,可以通过display domain命令查看。如果以上方式都无法确定认证域,但设备已设置domain if-unknown命令为未知域名用户指定了ISP域,则使用该指定的ISP域进行认证。否则,用户将无法完成认证。
H1: Q2
如何修改或删除默认的ISP域?
A2: 修改默认ISP域的步骤如下:
1. 使用display domain命令查看当前的默认ISP域。
2. 通过domain isp-name命令进入当前默认ISP域的视图,然后使用undo domain default enable命令将其修改为非常规的ISP域。
3. 创建新的ISP域,并进入其视图,然后使用domain default enable命令将新创建的ISP域设置为默认ISP域。
删除默认ISP域时需注意:
1. 一旦将某个ISP域设置为默认ISP域,它就无法被删除。必须先将其修改为非常规的ISP域后才可以删除。
2. 系统存在的system域只能进行更改,不能被删除。
H1: Q3
本地用户没有配置服务类型会导致认证失败吗?常用的服务类型有哪些?
A3: 本地用户没有配置服务类型并不会导致认证失败。如果没有分配给用户可用的服务类型,那么该用户将无法获得授权。
常用的服务类型包括:
1. ftp:允许用户使用FTP服务。
2. http:允许用户使用HTTP服务。
3. https:允许用户使用HTTPS服务。
4. lan-access:允许用户通过以太网接入。
5. portal:允许用户使用Portal服务。
6. ssh:允许用户使用SSH服务。
7. telnet:允许用户使用Telnet服务。
8. terminal:允许用户从console口登录。
H1: Q4
RADIUS认证时为什么需要配置NAS-IP?
A4: 在RADIUS认证过程中,RADIUS服务器通过IP地址识别接入设备。接入设备发送给RADIUS服务器的认证或计费请求中,源IP地址即NAS-IP是关键信息之一。服务器依据此信息决定是否处理来自该接入设备的请求。配置NAS-IP能确保接入设备与RADIUS服务器间的通信安全,防止未授权访问及其他安全问题。接入设备上配置NAS-IP的方法包括在RADIUS方案视图下配置和系统视图下配置等。配置时需注意避免物理接口故障导致无法接收服务器返回的报文,建议使用Loopback接口地址作为发送RADIUS报文的源IP地址。
H1: Q5
什么是802.1x在线用户握手?如何开启在线用户握手功能?哪些场景可能导致认证失败?
A5: 802.1x在线用户握手是设备通过定期发送握手报文来监测在线用户状态的一种机制。客户端收到握手报文后会回应应答报文,表示用户仍在线。开启此功能可实现用户在线监测。当某些802.1X客户端因未收到设备的握手成功报文而自动下线时,需开启端口发送在线握手成功报文功能。可能导致802.1x认证失败的情况有:客户端不支持握手报文交互过程、客户端期望收到设备的握手成功报文但设备未开启在线用户握手功能以及设备在线用户过多导致资源不足等。在开启在线用户握手功能时,还需注意在线握手安全功能的使用限制。
