EX 系列交换机上的灵活身份验证顺序

默认情况下，交换机首先尝试使用 802.1X 身份验证对客户端进行身份验证。如果 802.1X 身份验证因客户端无响应而失败，并且接口上配置了 MAC RADIUS 身份验证，交换机将尝试使用 MAC RADIUS 进行身份验证。如果 MAC RADIUS 发生故障，并且接口上配置了强制网络门户，交换机将尝试使用强制网络门户进行身份验证。

使用灵活的身份验证顺序，可以根据连接到接口的客户端类型更改所用身份验证方法的顺序。您可以配置语句以 指定 802.1X 身份验证还是 MAC RADIUS 身份验证必须是尝试的第一个身份验证方法。authentication-order 强制门户始终是最后尝试的身份验证方法。

如果将 MAC RADIUS 身份验证配置为订单中的第一种身份验证方法，则在从任何客户端接收数据时，交换机将尝试使用 MAC RADIUS 身份验证对客户端进行身份验证。如果 MAC RADIUS 身份验证失败，交换机将使用 802.1X 身份验证对客户端进行身份验证。如果 802.1X 身份验证失败，且接口上配置了强制网络门户，交换机将尝试使用强制网络门户进行身份验证。

可以在配置为多请求模式的接口上并行使用不同的身份验证方法。因此，如果使用强制门户在接口上对终端设备进行身份验证，则连接到该接口的另一个终端设备仍可使用 802.1X 或 MAC RADIUS 身份验证进行身份验证。

在接口上配置灵活的身份验证顺序之前，请确保在该接口上配置了身份验证方法。交换机不会尝试使用接口上未配置的方法进行身份验证，即使该方法包含在身份验证顺序中也是如此;交换机将忽略该方法，并尝试按照该接口上启用的身份验证顺序执行下一个方法。

配置 语句时，请使用以下准则：authentication-order

• 身份验证顺序必须至少包括两种身份验证方法。

• 802.1X 身份验证必须是身份验证顺序中包含的方法之一。

• 如果身份验证订单中包含强制门户，则该门户必须是顺序中的最后一种方法。

• 如果在接口上配置，则 无法在该接口上配置身份验证顺序。mac-radius-restrict

要配置灵活的身份验证顺序，请使用以下有效组合之一：

当充当 802.1X 身份验证器的交换机从经过身份验证的客户端收到 EAP-Start 消息时，交换机会尝试使用 802.1X 方法重新对客户端进行身份验证，通常返回 EAP-Request 消息，并等待响应。如果客户端无法响应，交换机将尝试使用 MAC RADIUS 或强制门户方法（如果配置了这些方法）重新验证客户端。使用 MAC RADIUS 或强制门户身份验证进行身份验证的客户端无响应，交换机尝试重新进行身份验证时，接口上的流量将被丢弃。

如果在接口上配置了灵活的身份验证顺序，以便 MAC RADIUS 是用于对客户端进行身份验证的第一种方法，则当客户端发送 EAP-Start 消息时，交换机仍会恢复为使用 802.1X 进行重新身份验证，即使客户端已使用 MAC RADIUS 身份验证成功进行身份验证也是如此。您可以使用固定或灵活的身份验证顺序配置 EAPoL 块。如果不配置语句， 则默认情况下顺序是固定的。authentication-order 可以使用或不配置语句来配置语句。eapol-blockauthentication-order

您可以将交换机配置为忽略从已使用 MAC RADIUS 身份验证或使用语句强制 门户身份验证进行身份验证的客户端发送的 EAP-Start 消息。eapol-block 在 EAPoL 消息块生效的情况下，如果交换机从客户端收到 EAP-Start 消息，则不会返回 EAP-Request 消息，并且将保留现有身份验证会话。

如果使用选项配置了，则在使用 MAC RADIUS 身份验证或 CWA（中央 Web 身份验证）对客户端进行身份验证后，即使客户端发送 EAP-Start 消息，客户端也会保持身份验证状态。eapol-blockmac-radius 如果配置了该选项，则一旦客户端通过强制门户进行身份验证，即使客户端发送 EAP-Start 消息，它也会保持身份验证状态。eapol-blockcaptive-portal

要配置 EAPoL 消息块以维护现有身份验证会话，请执行以下操作：