请详细阅读操作文档，结合实际情况进行配置：

        若操作不当将可能导致网络卡顿甚至断网等异常情况。

        若网络中存在业务的情况下，请同步客户风险并征得客户同意后再操作。

        若您不清楚造成的影响或对操作不熟练，请不要操作，请联系专业的锐捷售后工程师进行评估后再决定是否操作。

【选配】无感知认证（MAB认证）    

一、原理介绍：    

针对校内一些终端用户，学校可能会要求相应终端在首次WEB认证通过以后，在未来的某一段时间内再次接入网络时实现无感知认证后上网，该需求下则可配置MAB无感知认证。

交互流程：

1.     当     18k     检测到有新的     mac     地址加入    

2.     使用该     mac     地址作为用户名，该     mac     地址作为密码发起     radius     认证。    

3.     SAM     检查     mac     快速接入表中是否有相关条目，如果有相关条目，则回复认证通过报文。否则回复拒绝报文，到此结束。    

4.     18k     收到认证通过报文后，向     SAM     发送记账开始报文。    

5.     SAM     对该报文进行回复。    

二、配置命令：    

注意，无感知认证需要每个用户首次在WEB认证成功后才能生效，同时无感知认证（MAB认证）属于802.1X的认证体系，所以在配置方面WEB认证和802.1X认证都需要配置。

1、配置AAA全局参数

aaa new-model      //启用AAA

aaa accounting network (list name) start-stop group (group name)// AAA 参考配置，以实际业务部署为准

aaa authentication dot1x (list name) group (group name)// AAA 的1x模板参考配置，以实际业务部署为准

aaa authentication web-auth (list name) group (group name)// AAA 的web模板参考配置，以实际业务部署为准    

aaa authentication login default local      // AAA 的设备登入采用本地username/password

aaa group server radius (group name)           //配置aaa server组，多radius场景适用    

  server (radius ip)    //配置aaa server组，多radius场景适用    

radius-server host (radius ip) key 7 (radius key)        //配置aaa server IP和key，单radius场景适用    

aaa accounting update periodic 30         //配置aaa记帐更新周期30s

aaa accounting update   //配置aaa记帐更新    

no aaa log enable      //关闭aaa log

offline-detect interval 15 threshold 0      //配置无流量下线，检测时间15分钟，【根据实际情况配置】

2、配置802.1X   相关参数，接口使能        

dot1x accounting (list name)     //选配，当aaa自定义list name时，需要匹配

dot1x authentication (list name)     //选配，当aaa自定义list name时，需要匹配

interface range GigabitEthernet 0/2-3  //接口启用802.1X认证     

    dot1x port-control auto//接口使能，【风险】该配置操作会对现网业务造成影响，未认证的用户均无法上网，请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响，请不要操作，请联系4008111000进行评估后再决定是否操作。

3、配置WEB认证相关参数，接口使能  

web-auth template eportalv2      

ip 202.204.193.32//portal服务器的IP

url http://202.204.193.32/eportal/index.jsp    //portal服务器的url地址

authentication  (list name)     //选配，当aaa自定义list name时，需要匹配

accounting  (list name)       //选配，当aaa自定义list name时，需要匹配

web-auth portal key university//选配，密钥

interface range GigabitEthernet 0/2-3  //接口启用web认证     

    web-auth enable eportalv2//接口使能，【风险】该配置操作会对现网业务造成影响，未认证的用户均无法上网，请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响，请不要操作，请联系4008111000进行评估后再决定是否操作。

4、配置无感知认证（MAB）相关参数，接口使能        

aaa authorization ip-auth-mode mixed    //必配，配置dot1x上传sam的IP方式为混合模式

ip dhcp snooping    //必配，动态获取IP的用户无感知认证需要通过dhcp snooping模块获取IP地址，否则SAM会出现0.0.0.0地址的用户

dot1x mac-auth-bypass valid-ip-auth      //必配，由DHCP模块通告MAB模块开始认证，终端用户进行无感知认证前必须要先获取到IP地址，否则该功能会阻止认证，防止SAM出现0.0.0.0地址用户。注意该命令配置后会导致已有用户掉线，不建议在业务高峰期开启。【风险】该配置操作会对现网业务造成影响，请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响，请不要操作，请联系4008111000进行评估后再决定是否操作。    

dot1x valid-ip-acct enable     //必配，通过记帐更新报文上传用户IP通告给SAM，如果发现1x认证模块没有终端用户的IP表项，5分钟后就会将用户踢下线。防止SAM出现0.0.0.0地址的用户。注意该命令配置后会导致已有用户掉线，不建议在业务高峰期开启。【风险】该配置操作会对现网业务造成影响，请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响，请不要操作，请联系4008111000进行评估后再决定是否操作。    

interface range GigabitEthernet 0/2-3  //接口启用MAB认证 

  dot1x mac-auth-bypass multi-user      //必配，接口下使能无感知认证

  dot1x mac-auth-bypass vlan (vlan-list)   //选配，接口下配置，可基于用户认证的vlan范围，启用无感知认证

  dot1x multi-mab quiet-period 0//选配，mab认证静默时间，即用户认证失败后只要N18K对于该用户的mac表项未老化都无法重新无感知认证。好处是解决未在SAM上注册的用户会频繁在SAM上打印用户不存在的log，坏处是第一次mab认证失败后需要等待N18K对于该用户的mac表项老化后才能再触发无感知认证。请根据实际情况慎重选配。

三、注意事项：    

l      无感知认证需要在SAM上完成相应配置才可以生效，详细见【SAM配置】章节的无感知认证对应配置

l      无感知认证需要在认证页面上勾选无感知认证按钮才可以生效

l      需要SAM的“MAC快速认证表项”中存在该绑定条目才能实现无感知，该条目可通过WEB认证成功以后绑定或者管理员手动绑定。

l      静态IP无感知需要特殊配置（请参见静态IP无感知认证配置章节）

l      802.1x优先级高于MAB，因此一个终端先MAB认证通过后，如果再使用客户端软件做802.1x认证，MAB的表项将被删除。

四、配置举例：    

NA