1、S86系列是否支持802.1x认证，web-portal认证

802.1x认证功能在86系列上一直都支持，对软件版本没有特殊的要求，推荐10.3（5b1）及以后；

web-portal认证功能在86系列上截止到最新的软件版本10.4（3b17），都是不支持的。

2、S23系列交换机开启Dot1x认证前能获取IP地址

10.2（5）之前的版本dot1x认证前，PC能获取IP，10.2（5）及10.2（5p1）版本需要认证之后才能获取IP。

3、S21在Dot1X认证通过后，是否能透传ipv6报文

用户在Dot1x认证前IPV6的报文不被放通，在Dot1x认证后还需在全局下配置如下命令，才能透传IPV6报文。

ruijie(config)#dot1x authentication ipv6 enable      //当用户Dot1x认证通过后，能透传ipv6报文

4、S21交换机dot1x认证配置模板

Ruijie(config)#radius-server host 192.168.22.1 //配置radius服务器地址

Ruijie(config)# radius-server key root//配置与radius通信的key

Ruijie(config)#aaa authentication dot1x  //打开802.1X认证

Ruijie(config)#aaa accounting  //打开802.1x记账功能

Ruijie(config)#aaa accounting server 192.168.22.1  //配置记账服务器地址

Ruijie(config)#aaa accounting update //配置记账更新功能

Ruijie(config)#no dot1x filter-nonRG-su enable  //关闭过滤非我司SU功能，默认是打开的，该功能会将非我司SU 发出的802.1x 报文过滤掉，来保证SU的认证不受其它802.1x 客户端的影响。

Ruijie(config)# snmp-server community ruijie rw  //交换机和SAM服务器存在SNMP交互 指定SNMP共同体字段，以ruijie为例，

Ruijie(config)#interface range f0/1-23

Ruijie(config-if-range)#dot1x port-control auto       //接口启用dot1x认证

Ruijie(config-if-range)#exit

Ruijie(config)#interface vlan 10

Ruijie(config-if-VLAN 10)#ip add 192.168.33.161 255.255.255.0//配置交换机的IP地址

Ruijie(config-if-VLAN 10)#end

Ruijie#write    // 确认配置正确，保存配置

5、S21配置dot1x功能，检查主radius-server失败，切换备服务器的时间

dot1x server-timeout-max 2//超时检测最大2次，默认20次

dot1x timeout server-timeout 3     //超时检测失效时间3s，默认10s

21最终从主radius-server切换到备radius-server的时间为  server-timeout-max与server-timeout的乘积

6、S21希望端口开启dot1x认证同时端口安全绑定IP或者mac

两者功能冲突，后续无新版本更新，建议只采用其中一种方式来做安全控制。

7、接口上开启dot1x认证后，在交换机上是否可以看到未认证用户的mac地址

1）对于S29G系列、S3760系列、S5760系列交换机接口开启dot1x认证后，下联用户未认证之前，交换机上show mac-address-table是看不到用户的mac地址的；

2）对于其他型号的交换机，认证之前，交换机上show mac-address是能够看得到用户的mac地址，但是不会做转发。

8、交换机配置dot1x认证，主备radius服务器切换原理及时间参数更改

本案例只适用于 RGOS 10.4（2）及以后的软件设备，不适合非10.x平台设备，不适合10.4（2）以前的软件设备。

配置：

aaa group server radius test

 server 1.1.1.1

 server 1.1.1.2

!

radius-server host 1.1.1.1 key admin

radius-server host 1.1.1.2 key ruijie

radius-server timeout 2

radius-server retransmit 2

aaa authentication dot1x ruijie group test none    //配置了逃生

dot1x timeout server-timeout 15

需求：

两台radius server，在1.1.1.1失效后，认证可以切换到1.1.1.2；在两台服务器都失效，比如异常停电，1X用户可以实现逃生，免认证；

实现原理：

1）正常情况下，交换机只与1.1.1.1 radius server进行通信，完成认证；

2）如果1.1.1.1失效，那么经过timeout+（timeout*retransmit）=2+（2*2）=6s后，交换机认为1.1.1.1不可用，接下来就是尝试1.1.1.2可达性；

3）如果1.1.1.2可用，那么交换机就与1.1.1.2交互radius，完成认证；

4）如果1.1.1.2也不可用，那么再经过timeout+（timeout*retransmit）=2+（2*2）=6s后，交换机认为1.1.1.2也不可用，自此radius group里的所有server都不可用，就切换认证方法列表为none，用户无需认证；

5）这边需要注意一点就是dot1x timeout server-timeout 这个设置的时间必须大于所有radius group里面的server全部失效的检测时间，也就是[timeout+（timeout*retransmit）]*N，这个案例中（2+2*2）*2=12s，所以dot1x timeout server-timeout 时间设置为 15s

9、交换机IAB的基本原理及注意事项

1）当交换机上所有配置的RADIUS服务器不可达时，用户认证请求将无法得到响应。对于管理员来说，无法对用户身份合法性进行检验。对于用户来说，如果交换机上没有配置其它的认证方法，可能造成无法访问网络。为了保证新认证用户可以访问网络，可以在端口上配置服务器失效旁路认证功能（Inaccessible Authentication Bypass，简称IAB功能）。

2）端口上开启IAB功能且所有服务器失效后：

a、只有802.1x全局配置的认证方法列表中仅存在RADIUS认证方法且该方法列表中的RADIUS服务器全部失效时，IAB功能才生效；如果方法列表中还存在其它认证方法(如：local、none)，IAB功能不生效；

b、全局开启AAA多域认证功能后，802.1x用户认证时，不再使用全局配置的方法列表。由于IAB功能判断802.1x全局配置方法列表中的RADIUS服务器全部失效后，直接向用户返回认证成功，不需要输入用户名，因此AAA多域认证功能在该端口上失效；

c、通过IAB方式认证的用户，不再向计帐服务器发起计帐请求；

d、已正常认证通过的用户，不受服务器失效的影响，可以正常访问网络；

e、全局开启802.1x IP授权功能时，如果端口上已经存在认证成功的用户，该端口上的其它用户不能通过IAB方式进行认证；

f、端口上开启GSN地址绑定功能时，通过IAB方式认证的用户，将无法访问网络。

10、IAB方式实现radius-server不可用时的免认证

主要配置

aaa new-model

aaa accounting update periodic 15

aaa accounting update

aaa accounting network ruijie start-stop group radius

aaa authentication dot1x ruijie group radius

radius-server host 192.168.33.238

radius-server dead-criteria time 2 tries 2 

radius-server deadtime 2   

radius-server key ruijie

dot1x accounting ruijie

dot1x authentication ruijie

ip default-gateway 192.168.33.1

interface VLAN 1

 ip address 192.168.33.196 255.255.255.0

 no shutdown

interface FastEthernet 0/24

 dot1x port-control auto

 dot1x critical

//对time*tries有要求，必须小于dot1x timeout server-timeout，否则IAB不生效

11、全局radius逃生功能实现radius-server不可用时的免认证

aaa new-model

aaa accounting update periodic 15

aaa accounting update

aaa accounting network ruijie start-stop group radius

aaa authentication dot1x ruijie group radius none

radius-server host 192.168.33.238

radius-server timeout 2

radius-server retransmit 2

radius-server key ruijie

dot1x accounting ruijie

dot1x authentication ruijie

ip default-gateway 192.168.33.1

interface VLAN 1

 ip address 192.168.33.196 255.255.255.0

 no shutdown

interface FastEthernet 0/24

 dot1x port-control auto

//对timeout*retransmit有要求，必须小于dot1x timeout server-timeout，否则逃生功能不生效。

12、交换机dot1x认证默认是基于mac的还是端口的

默认是基于mac来认证的，可以在接口下使用如下命令来更改使用端口：

Ruijie(config)#int g0/1

Ruijie(config-GigabitEthernet 0/1)#dot1x port-control?

port-controlport-control-mode

Ruijie(config-GigabitEthernet 0/1)#dot1x port-control-mode ?

mac-based   Access based on mac address

port-based  Access based on port

Ruijie(config-GigabitEthernet 0/1)#dot1x port-control-mode port-based

Ruijie(config-GigabitEthernet 0/1)#end

1）如果使用基于端口的认证模式的话，该端口下联只要有一个用户认证成功，该端口下联的其他用户就不需要认证就可以上网。

2）如果是基于mac的认证的话，该端口下联的所有用户都必须认证后才能上网。

13、如何设置交换机的安全策略为非兼容模式

Ruijie(config)#no rgos-security compatible

System must be reload to make this configuration take effect.

Ruijie(config)#exit

Ruijie#reload

1）我司新安全框架上面的很多安全功能可能存在兼容性的问题，也就是全局或者接口的安全功能配置太多或者种类各式的时候，可能存在部分安全功能无法同时生效或者策略动作的结果非预期，此时可能是交换机默认是安全策略为兼容模式导致的；

2）可以将交换机的安全策略模式调整为非兼容模式，这样多种安全功能独立起作用，但是这样安全ACE表项会成倍的增加，可能会使带机数量严重下降，使用时需要注意；

3）该命令需要保存配置重启后才能生效。

14、全局IP+MAC绑定或端口IP+MAC绑定与dot1x共用说明

实现dot1x认证以后需要符合IP+MAC绑定的用户才能上网，否则丢弃报文。

15、配置guest vlan后什么情况下会跳到guest vlan中

端口上开启 GUEST VLAN 功能后，以下任一条件满足时，将该端口添加到 guest vlan 中： 

1）该端口会连续发送 3 次主动认证报文，如果在 auto-req req-interval * 3 时间内，没有收到任何 EAPOL 响应报文；

2）90 秒内没有收到任何 EAPOL 响应报文；

3）mac旁路认证模式（MAC Authentication Bypass,简称MAB，dot1x mac-auth-bypass）下的 MAC 地址认证失败后；

您可以通过 show running-config 这条命令看出这条命令的配置，以及通过 show vlan

查看到端口是否已经跳转到 guest vlan。

16、交换机在做dot1x认证环境下实现部分用户免认证功能

1）在没有安全绑定功能（1x授权绑定，IP verify Source）的前提下：

a、10.4（2）之前的版本，静态mac绑定即可。（建议）

配置命令：

mac-address-table static 001a.a9c3.94ad vlan 1 interface GigabitEthernet 0/10

b、10.4(2) 以后的版本。如果设备当二层交换使用，仅配置静态mac绑定即可实现免认证；

配置命令：mac-address-table static 001a.a9c3.94ad vlan 1 interface GigabitEthernet 0/10

如果做三层交换（用户网关）使用， 需要配置安全通道放通IP或MAC地址。

无论二层、三层使用，仅使用安全通道放通特殊MAC/IP即可。（建议）

配置命令：　

expert access-list extended no1x

 10 permit arp any any any any any

 20permit ip host 192.168.1.23 any any any  // 方法一： permit 主机IP 方法

 30   permit ip any host 0010.123c.513d any any  //方法二：permit 主机MAC方法

 40permit ip host 192.168.1.23 host 0010.123c.513d any any  //方法三：permit 主机IP+MAC方法，最精确（推荐）

security global access-group no1x 

c、提示：如果静态MAC和安全通道同时使用，静态MAC免认证会失效，需全部使用安全通道解决。

2）在同时配置有安全绑定功能的（1x授权绑定，IP verify Source）的前提下：

a、推荐使用安全通道放通IP或MAC。（建议）

配置命令：

expert access-list extended no1x

 10 permit arp any any any any any

 20permit ip host 192.168.1.23 any any any     // 方法一： permit 主机IP 方法

 30   permit ip any host 0010.123c.513d any any  //方法二：permit 主机MAC方法

 40permit ip host 192.168.1.23 host 0010.123c.513d any any  //方法三：permit 主机IP+MAC方法，最精确（推荐）

security global access-group no1x 

b、不支持安全通道的，使用全局安全地址绑定   

配置命令：

address-bind 192.168.1.23 01ac.3b33.a531

address-bind install

interface g0/25        //上联口免检查

 address-bind uplink

interface f0/1

 arp-check     //免认证用户所在的端口需要开启arp-check，放通arp报文

 dot1x port-control auto

17、S1916+dot1x认证情况下，是否支持记账更新功能

1908/1916+系列交换机只支持记账功能，但是不支持update的定期更新功能，所以如果是dot1x认证情况下，用户异常下线的话，那么服务器的在线表里面可能存在该用户的信息，并且一直无法清除，解决方法：

1）如果是我司的SU客户端，那么我们推荐配置在线客户端检测，这样能够解决这个问题，具体参考配置手册的client-probe功能

2）如果是配合非我司软件的su，那么推荐配置定期重认证功能（dot1x re-authentication），比如设置每15min要求客户端重认证一次，如果尝试2-3次无响应就认为客户端已经异常下线，NAS就会给radius server发下线的报文，这样交换机以及服务器端都会清除在线表

锐捷网络公司的802.1x实现了记帐功能。该记帐是基于时长的，也就是说802.1x记录了用户第一次认证通过到用户主动退出或交换机检测到用户中断的时间长度。

在用户第一次认证通过之后，交换机会向服务器发一个记帐开始请求，当用户主动离线或交换机检测到用户已离线或用户的物理连接已中断，交换机将向服务器发一个记帐结束请求。

在用户主动退出的情形下，记帐的时长是精确的；在用户意外中断的情形下，用户记帐的精度以重认证的间隔为准（交换机通过重认证检测一个用户是否意外中断）。

18、我司交换机trunk/hybrid端口能不能配置dot1x认证

都是可以的，但是存在如下注意点：

trunk口下面配置dot1x port-control auto之外，还需要在全局下配置dot1x eap-tag

hybrid口的配置上与普通access端口一样，只需要端口下dot1x port-control auto，不需要其他额外的特别的配置了。

19、S8606，接口配置dot1x与ACL兼容问题说明？

当前S86的1X与物理接口或者SVI口上的ACL共用时，存在如下几种组合情况：

1）物理接口配置ACL与dot1x，ACL里面的ACE有permit xx，也有deny xx的组合

a）用户1x认证前，报文具体是怎么被控制的

b）用户1x认证后，报文是怎么被控制的

〈--- 满足ACL的报文优先受ACL控制(ACL的permit不生效，deny会生效)；不满足ACL的报文，受dot1x认证控制(认证成功的用户报文允许转发, 未认证的用户报文不允许转发)。

2）SVI接口配置ACL与dot1x，ACL里面的ACE有permit xx，也有deny xx的组合

a）用户1x认证前，报文具体是怎么被控制的

b）用户1x认证后，报文是怎么被控制的

〈--- SVI接口的ACL的permit和deny表项都会下发, 且SVI的ACL关联的是所有实际物理端口（该vlan所对应的access或者trunk口）. ACL(不包含默认deny表项)高于1x认证, 1x认证高于ACL的默认deny表项.

兼容问题具体说明如下：

1. 物理接口配置ACL与dot1x共用的情况:

ip access-list extended 199

10 permit ip host 10.11.12.13 any

20 deny ip host 10.10.10.10 any

interface GigabitEthernet 1/1

ip access-group 199 in

dot1x port-control auto

《---- ACL的表项只下发deny表项. permit表项不下发, 即只有deny表项生效。所以主机10.10.10.10不管是否认证都无法被放行，而主机10.11.12.13认证前无法被放行，如果dot1x认证成功能报文可以被放行。

2. 物理口配置dot1x, SVI口配置ACL

ip access-list extended 199

10 permit ip host 10.11.12.13 any

20 deny ip host 10.10.10.10 any

interface GigabitEthernet 1/1

switchport access vlan 163

dot1x port-control auto

interface VLAN 163

ip address 10.0.0.1 255.0.0.0

ip access-group 199 in

〈--- 满足ACL的报文受ACL控制(ACL的permit和deny都会生效), 不满足ACL的报文, 受1x认证控制(认证的用户报文允许转发, 未认证的用户报文不允许转发)。这样主机10.11.12.13不需要1X认证就可以被放通，而主机10.10.10.10未认证报文无法放行，1X认证后报文被放行，除此两个主机外，其他的IP认证前无法访问，1X认证成功后报文可被放行。

〈--- SVI ACL下发的时候是下发到所有物理端口，不关心物理口是access口还是trunk口。

综上:

(1) 物理口ACL和dot1x共存时, 物理口ACL会自动过滤permit表项，只有deny语句优先生效，然后才是认证后dot1x生效。

(2) 如果是SVI关联ACL和dot1x共存时， permit也会生效, 且优先级比1x认证高, 所以如果报文匹配ACL的某个语句时，直接按照该语句的策略放通或者丢弃，而后不匹配ACL的才继续通过dot1x来认证控制，这样可能导致未认证的用户由于匹配中permit也可以转发。

20、交换机镜像目的端口是否可以和dot1x功能同时开启？

不能共用，同时配置时会报冲突。

例如：当交换机配置了端口镜像，设置了端口镜像的目的口为f0/2

Ruijie(config)#mo session 1 source interface f0/1

Ruijie(config)#mo session 1 destination interface f0/2

当再在f0/2口开启dot1x功能时，会报错：

Ruijie(config-if-FastEthernet 0/2)#dot1x port-control auto

Operation not permitted

Ruijie(config-if-FastEthernet 0/2)#*Apr  3 14:02:01: %SECURITY-4-CONFLICT:  Span destination port conflicts with IEEE 802.1X

*Apr  3 14:02:01: %DOT1X-6-FAIL_SET_DOT1X: Failed to create the dot1x-port.
同样，端口镜像的目的口不能和arp-check和ip source guard、端口安全、SAVI功能共用，否则也会报错。并与配置顺序无关，如果先配置dot1x，再配置端口镜像也会提示错误。

21、当没有部署AAA服务器时，DOT1X如何使用交换机本地数据库认证

Ruijie(config)#aaa new-model  

Ruijie(config)#aaa authentication dot1x test local //调用本地认证

Ruijie(config)#dot1x authentication test

Ruijie(config)#dot1x auth-mode chap/pap //配置local认证，dot1x要配置:dot1x auth-mode pap/chap，因为username那边不支持eap的认证模式，DOT1X默认的是eap-md5认证方式：

Ruijie(config)#dot1x auth-mode ?

chap     Chap mode

eap-md5  Eap-md5 mode

help     Help information

papPap mode(default: eap-md5)

Ruijie(config)#int g0/23

Ruijie(config-if-GigabitEthernet 0/23)#dot1x port-control auto

22、1X认证通过几种方式检测用户下线?

1）1x开启在线检测功能，搭配我司SU客户端检测

具体配置如下：

dot1x client-probe enable   //设置在线检测

2）1x开启重认证功能，通过定期的重认证检测用户是否下线；

具体配置如下：

dot1x re-authentication   //设置重认证

dot1x timeout re-authperiod seconds

3）当客户端PC直连交换机的接口down掉后，判定用户下线。

22、客户端出现1X认证频繁掉线的情况，并提示下面log信息

异常log：

旧版本：*Sep 24 14:41:51: %D1X-6-INFORMATION: The user 1222022113 is forced to be offline, user conflict!

新版本：*Sep 25 13:38:50: %DOT1X-6-WAIT: 1304012129 online, host/21DY8UFDPYANQKW is waiting.

客户端问题产生原因：

1、客户端存在使用猎豹浏览器等异常软件，该异常软件会发送eapol报文未administrator的账号，该账号实际并不存在。由于交换机机制，当第一个用户认证上后，同一个MAC地址使用另外一个账号认证会导致前一个账号下线。所以客户端会出现频繁下线的情况，并提示异常Log。

2、检查是否开启了hello检测功能（dot1x client-probe），若有开启，则尝试需调整hello或alive时间间隔，或是关闭hello探测功能。

3、尝试抓包定位下，是否是由于PC异常发送start报文，导致掉线。

解决方法：

a. 若我司客户端认证，通过命令过滤非锐捷客户端的报文信息dot1x private-supplicant-only

b. 若使用非我司客户端认证，并且抓包发现是自身电脑发出的报文，则需要关闭WINDOWS的相应服务，具体如下：

        我的电脑----右键---服务，找到Wired AutoConfig 服务，关闭此系统服务进程来规避