Перейти к основному содержимому

dot1x host-mode

Для настройки режима работы аутентификации 802.1X на порту используется команда dot1x host-mode. Для отмены используется no форма команды.

Синтаксис

dot1x host-mode {multi-host | single-host | multi-sessions}

Параметры
  • multi-host - режим множества хостов
  • single-host - режим единственного хоста
  • multi-sessions - режим множества сессий
Конфигурация по умолчанию

Множество хостов (multi-host).

Режим использования

Режима конфигурации интерфейса (Ethernet)

Рекомендации по использованию

Режим единственного хоста

Порт авторизован, если есть авторизованный хост. В этом режиме на порту может быть авторизован только один хост.

Когда порт не авторизован и включена гостевая VLAN, нетегированный трафик перенаправляется в гостевую VLAN. Тегированный трафик отбрасывается, если тегом VLAN не является гостевая VLAN или неавторизованные VLAN. Если гостевая VLAN не включена на порту, коммутируется только тегированный трафик, принадлежащий неаутентифицированным VLAN.

Когда порт авторизован, нетегированный и тегированный трафик от авторизованного хоста передается на основе статического членства в vlan, настроенного на порту. Трафик от других хостов отбрасывается.

Пользователь может указать, что нетегированный трафик от авторизованного хоста будет перенаправлен в VLAN, назначенную сервером RADIUS в процессе аутентификации. В этом случае тегированный трафик отбрасывается, если тегом VLAN не является назначенная RADIUS VLAN или неаутентифицированные VLAN. См. команду dot1x radius-attributes vlan.

Коммутатор удаляет из FDB все MAC-адреса, полученные на порту, когда его статус аутентификации меняется с авторизованного на неавторизованный.

Режим множества хостов

Порт авторизован после того, как авторизован хотя бы один хост.

Когда порт неавторизован и включена гостевая VLAN, нетегированный трафик перенаправляется в гостевую VLAN. Тегированный трафик отбрасывается, если тегом VLAN не является гостевая VLAN или неаутентифицированные VLAN. Если гостевая VLAN не включена на порту, коммутируется только тегированный трафик, принадлежащий неаутентифицированным VLAN.

Когда порт авторизован, нетегированный и тегированный трафик от всех хостов, подключенных к порту, коммутируется на основе статического членства в VLAN, настроенного на порту.

Пользователь может указать, что нетегированный трафик с авторизованного порта будет перенаправлен в VLAN, назначенную сервером RADIUS в процессе аутентификации. В этом случае тегированный трафик отбрасывается, если тегом VLAN не является назначенная RADIUS VLAN или неаутентифицированные VLAN. См. команду dot1x radius-attributes vlan.

Коммутатор удаляет из FDB все MAC-адреса, полученные на порту, когда его статус аутентификации меняется с авторизованного на неавторизованный.

Режим множества сессий

Режим множества сессий управляет статусом аутентификации для каждого хоста, подключенного к порту. Если на порту настроен данный режим, порт не имеет статуса аутентификации. Любое количество хостов может быть авторизовано на порту. Команда dot1x max-hosts может ограничить максимальное количество авторизованных хостов, разрешенных на порту.

Каждому авторизованному клиенту требуется правило TCAM. Если в TCAM нет свободного места, авторизация отклоняется.

При использовании команды dot1x host-mode для изменения режима порта на single-host или multi-host, когда аутентификация включена, состояние порта устанавливается на unauthorized.

Если команда dot1x host-mode изменяет режим порта на множество сессий, когда аутентификация включена, состояние всех подключенных хостов устанавливается в неавторизованное.

Чтобы изменить режим порта на single-host или multi-host, установите для порта (dot1x port-control) значение force-unauthorized, измените режим порта на single-host или multi-host и установите для порта режим авторизации auto.

Режим множества сессий не может быть настроен на одном интерфейсе вместе с VLAN на основе политики, настроенными с помощью команд: switchport general map protocol-group vlans, switchport general map macs-group vlans.

Тегированный трафик, принадлежащий неаутентифицированным VLAN, всегда коммутируется, независимо от того, авторизован хост или нет.

Когда гостевая VLAN включена, нетегированный и тегированный трафик от неавторизованных хостов, не принадлежащих к неаутентифицированным VLAN, передается через гостевую VLAN.

Трафик от авторизованных хостов коммутируется в соответствии со статической конфигурацией порта. Пользователь может указать, что нетегированный и тегированный трафик от авторизованного хоста, не принадлежащего к неаутентифицированным VLAN, будет перенаправлен в VLAN, назначенную сервером RADIUS в процессе аутентификации. См. команду dot1x radius-attributes vlan.

Коммутатор не удаляет из FDB MAC-адрес хоста, полученный на порту, когда его статус аутентификации меняется с авторизованного на неавторизованный. MAC-адрес будет удален по истечении таймера старения MAC-записи.

Пример
FCS(config)# interface gi1/0/1
FCS(config-if)# dot1x host-mode multi-host