配置基于mac 的动态vlan 后,用户终端接到交换机的一个端口,交换机学习到用户的mac 地址,fdb 模块检查该端口是否启用了dot1x client-proxy 功能,如已启用,则把学习到的新地址发送个dot1x client-proxy 模块处理。dot1x client-proxy 模块收到该新地址,以该新地址为用户名,以全局配置的client-proxy密码为用户密码,模拟一个完整的802.1x 认证过程,代理用户完成认证。认证通过后,根据radius 服务器返回的vlan 名字,查找交换机上是否存在该vlan,如果存在,用户端口将被加入到该vlan 中,否则,断开连接,认证失败。
用户接入端口link down 表示用户离开,将用户端口回复到原来的vlan。
1 一台交换机上接入的所有终端使用1 个相同的密码,密码的最大长度128 字节
2 支持pap、chap 和eap-md5 三种认证方式,可配置
3 需要启动802.1x 认证功能,802.1x 的端口控制方式配置为mac-based
4 启用基于mac 的动态vlan 功能后,系统不同时支持采用802.1x 客户端的认证接入
5 终端使用静态ip 地址
二、配置基于mac的动态vlan
配置步骤
三、配置案例
配置步骤
