Перейти к основному содержимому

dot1x radius-attributes vlan

Для включения возможности назначения VLAN на порту от Radius сервера используется команда dot1x radius-attributes****vlan.

Синтаксис

dot1x radius-attributes vlan [reject | static]

no dot1x radius-attributes vlan

Параметры
  • reject-Если RADIUS сервер авторизировал пользователя, но не предоставил VLAN, то авторизация отклоняется. Если параметр опущен, эта опция применяется по умолчанию.
  • static-Если RADIUS сервер авторизировал пользователя, но не предоставил VLAN, авторизация принимается.
Конфигурация по умолчанию

reject

Режим использования

Режима конфигурации интерфейса (Ethernet)

Рекомендации по использованию

Если RADIUS предоставляет некорректную информацию о VLAN, аутентификация отклоняется.

Если сервер RADIUS назначает клиенту несуществующую сеть VLAN, коммутатор создает эту сеть VLAN. VLAN удаляется, когда она больше не используется.

Если RADIUS предоставляет достоверную информацию о VLAN, а порт не принадлежит к VLAN, полученной от RADIUS, он добавляется в VLAN как нетегированный порт. Когда последний авторизованный клиент, назначенный на VLAN, становится неавторизованным или 802.1x отключается на порту, порт исключается из VLAN.

Если режим аутентификации single-host или multi-host, значение PVID устанавливается в VLAN_ID.

Если авторизованный порт в режиме single-host или multi-host меняет свой статус на unauthorized, статическая конфигурация порта сбрасывается.

Если режим аутентификации - множество сессий, PVID не изменяется, а весь нетегированный трафик и тегированный трафик, не принадлежащий неаутентифицированным VLAN, отображается на VLAN с помощью TCAM.

Если последний авторизованный хост, назначенный на VLAN полученный от RADIUS и подключенный к порту в режиме множества сессий, меняет свой статус на неавторизованный, порт удаляется из VLAN, если он не находится в статической конфигурации.

Дополнительные сведения см. в описании команды** dot1x host-mode**.

Если 802.1X отключен, статическая конфигурация порта сбрасывается.

Если настроено ключевое слово rejectи сервер RADIUS авторизует хост, но сообщение RADIUS accept не назначает VLAN супликанту, аутентификация отклоняется.

Если настроено ключевое слово staticи сервер RADIUS авторизует хост, то даже если сообщение RADIUS accept не содержит VLAN для клиента, аутентификация принимается, и трафик от хоста передается в соответствии со статической конфигурацией порта.

Если эта команда используется при наличии авторизованных портов/хостов, она вступает в силу при последующих аутентификациях. Для повторной аутентификации вручную используйте команду dot1x re-authenticate.

Команда не может быть настроена на порту, если она вместе с:

  • Multicast TV-VLAN
  • Q-in-Q
  • Voice VLAN
Пример
FCS(config)# interface gi1/0/1
FCS(config-if)# dot1x radius-attributes vlan

Пример формата ответа Radius-сервера с аттрибутом VLAN (10) согласно https://www.rfc-editor.org/rfc/rfc3580.html#section-3.31:

Access Type = ACCESS_ACCEPT
Tunnel-Private-Group-ID = 0:10
Tunnel-Type = 0:13
Tunnel-Medium-Type = 0:6