安全與VPN-802.1x技術(shù)介紹-D

1、，安全與VPN-802.1x技術(shù)介紹技術(shù)介紹 安全和 VPN目 錄i目 錄 HYPERLINK l _bookmark0 802.1X HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 802.1X的體系結(jié)構(gòu) HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 802.1X的認(rèn)證方式 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 802.1X的基本概念 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 EAPO

2、L消息的封裝 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark3 EAP屬性的封裝 HYPERLINK l _bookmark3 4 HYPERLINK l _bookmark4 802.1X的認(rèn)證觸發(fā)方式 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark4 802.1X的認(rèn)證過程 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark7 802.1X的接入控制方式 HYPERLINK l _bookmark7 8 HYPERLINK l _bookmark7 802.

3、1X的定時器 HYPERLINK l _bookmark7 8 HYPERLINK l _bookmark8 和 802.1X配合使用的特性 HYPERLINK l _bookmark8 9 HYPERLINK l _bookmark10 802.1X支持EAD快速部署配置 HYPERLINK l _bookmark10 11技術(shù)介紹 安全和 VPN802.1X PAGE 11802.1XIEEE802 LAN/WAN 委員會為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題，提出了 802.1X 協(xié)議。后來，802.1X 協(xié)議作為局域網(wǎng)端口的一個普通接入控制機(jī)制在以太網(wǎng)中被廣泛應(yīng)用，主要解決以太網(wǎng)內(nèi)認(rèn)證和安全方面

4、的問題。802.1X 協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network access control protocol）?！盎诙丝诘木W(wǎng)絡(luò)接入控制”是指在局域網(wǎng)接入設(shè)備的端口這一級對所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證， 則無法訪問局域網(wǎng)中的資源。X 的體系結(jié)構(gòu)802.1X系統(tǒng)為典型的Client/Server結(jié)構(gòu)，如 HYPERLINK l _bookmark0 圖 1所示，包括三個實(shí)體：客戶端（Client）、設(shè)備端（Device）和認(rèn)證服務(wù)器（Server）。圖 1 802.1X 認(rèn)證系

5、統(tǒng)的體系結(jié)構(gòu)客戶端是位于局域網(wǎng)段一端的一個實(shí)體，由該鏈路另一端的設(shè)備端對其進(jìn)行認(rèn)證。客戶端一般為一個用戶終端設(shè)備，用戶可以通過啟動客戶端軟件發(fā)起 802.1X 認(rèn)證。客戶端必須支持EAPOL（Extensible Authentication Protocol over LAN，局域網(wǎng)上的可擴(kuò)展認(rèn)證協(xié)議）。設(shè)備端是位于局域網(wǎng)段一端的另一個實(shí)體，對所連接的客戶端進(jìn)行認(rèn)證。設(shè)備端通常為支持802.1X 協(xié)議的網(wǎng)絡(luò)設(shè)備，它為客戶端提供接入局域網(wǎng)的端口，該端口可以是物理端口，也可以是邏輯端口。認(rèn)證服務(wù)器是為設(shè)備端提供認(rèn)證服務(wù)的實(shí)體。認(rèn)證服務(wù)器用于實(shí)現(xiàn)對用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)，通常為 RADIUS（R

6、emote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號用戶服務(wù)） 服務(wù)器。X 的認(rèn)證方式802.1X 認(rèn)證系統(tǒng)使用 EAP（Extensible Authentication Protocol，可擴(kuò)展認(rèn)證協(xié)議），來實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。在客戶端與設(shè)備端之間，EAP 協(xié)議報文使用 EAPOL 封裝格式，直接承載于 LAN 環(huán)境中。在設(shè)備端與 RADIUS 服務(wù)器之間，可以使用兩種方式來交換信息。一種是 EAP 協(xié)議報文由設(shè)備端進(jìn)行中繼，使用 EAPOR（EAP over RADIUS）封裝格式承載于 RADIUS 協(xié)議中；另一

7、種是 EAP 協(xié)議報文由設(shè)備端進(jìn)行終結(jié)，采用包含 PAP（Password Authentication Protocol， 密碼驗(yàn)證協(xié)議）或 CHAP（Challenge Handshake Authentication Protocal，質(zhì)詢握手驗(yàn)證協(xié)議）屬性的報文與 RADIUS 服務(wù)器進(jìn)行認(rèn)證交互。X 的基本概念受控/非受控端口設(shè)備端為客戶端提供接入局域網(wǎng)的端口，這個端口被劃分為兩個邏輯端口：受控端口和非受控端口。任何到達(dá)該端口的幀，在受控端口與非受控端口上均可見。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞 EAPOL 協(xié)議幀，保證客戶端始終能夠發(fā)出或接收認(rèn)證報文。受控端口在授權(quán)狀態(tài)

8、下處于雙向連通狀態(tài)，用于傳遞業(yè)務(wù)報文；在非授權(quán)狀態(tài)下禁止從客戶端接收任何報文。授權(quán)/非授權(quán)狀態(tài)設(shè)備端利用認(rèn)證服務(wù)器對需要接入局域網(wǎng)的客戶端執(zhí)行認(rèn)證，并根據(jù)認(rèn)證結(jié)果（Accept 或 Reject） 對受控端口的授權(quán)/非授權(quán)狀態(tài)進(jìn)行相應(yīng)地控制。 HYPERLINK l _bookmark1 圖 2顯示了受控端口上不同的授權(quán)狀態(tài)對通過該端口報文的影響。圖中對比了兩個 802.1X認(rèn)證系統(tǒng)的端口狀態(tài)。系統(tǒng) 1 的受控端口處于非授權(quán)狀態(tài)（相當(dāng)于端口開關(guān)打開），系統(tǒng) 2 的受控端口處于授權(quán)狀態(tài)（相當(dāng)于端口開關(guān)關(guān)閉）。圖 2 受控端口上授權(quán)狀態(tài)的影響用戶可以通過在端口下配置的接入控制的模式來控制端口的授權(quán)

9、狀態(tài)。端口支持以下三種接入控制模式：強(qiáng)制授權(quán)模式（authorized-force）：表示端口始終處于授權(quán)狀態(tài)，允許用戶不經(jīng)認(rèn)證授權(quán)即可訪問網(wǎng)絡(luò)資源。強(qiáng)制非授權(quán)模式（unauthorized-force）：表示端口始終處于非授權(quán)狀態(tài)，不允許用戶進(jìn)行認(rèn)證。設(shè)備端不對通過該端口接入的客戶端提供認(rèn)證服務(wù)。自動識別模式（auto）：表示端口初始狀態(tài)為非授權(quán)狀態(tài)，僅允許 EAPOL 報文收發(fā)，不允許用戶訪問網(wǎng)絡(luò)資源；如果認(rèn)證通過，則端口切換到授權(quán)狀態(tài)，允許用戶訪問網(wǎng)絡(luò)資源。這也是最常見的情況。受控方向在非授權(quán)狀態(tài)下，受控端口可以被設(shè)置成單向受控和雙向受控。實(shí)行雙向受控時，禁止幀的發(fā)送和接收；實(shí)行單向受控

10、時，禁止從客戶端接收幀，但允許向客戶端發(fā)送幀。EAPOL 消息的封裝EAPOL 數(shù)據(jù)包的格式EAPOL是 802.1X協(xié)議定義的一種報文封裝格式，主要用于在客戶端和設(shè)備端之間傳送EAP協(xié)議報文，以允許EAP協(xié)議報文在LAN上傳送。EAPOL數(shù)據(jù)包的格式如 HYPERLINK l _bookmark2 圖 3所示。圖 3 EAPOL 數(shù)據(jù)包格式PAE Ethernet Type：表示協(xié)議類型，為 0 x888E。Protocol Version：表示 EAPOL 幀的發(fā)送方所支持的協(xié)議版本號。Type：表示EAPOL數(shù)據(jù)幀類型，目前設(shè)備上支持的數(shù)據(jù)類型見 HYPERLINK l _bookmar

11、k2 表 1。表 1 EAPOL 數(shù)據(jù)類型類型說明EAP-Packet（值為 0 x00）：認(rèn)證信息幀，用于承載認(rèn)證信息該幀在設(shè)備端重新封裝并承載于 RADIUS 協(xié)議上，便于穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器EAPOL-Start（值為 0 x01）：認(rèn)證發(fā)起幀這兩種類型的幀僅在客戶端和設(shè)備端之間存在EAPOL-Logoff（值為 0 x02）：退出請求幀Length：表示數(shù)據(jù)長度，也就是“Packet Body”字段的長度，單位為字節(jié)。如果為 0，則表示沒有后面的數(shù)據(jù)域。Packet Body：表示數(shù)據(jù)內(nèi)容，根據(jù)不同的 Type 有不同的格式。EAP 數(shù)據(jù)包的格式當(dāng)EAPOL數(shù)據(jù)包格式Type域

12、為EAP-Packet時，Packet Body為EAP數(shù)據(jù)包結(jié)構(gòu)，如 HYPERLINK l _bookmark3 圖 4所示。圖 4 EAP 數(shù)據(jù)包格式0715CodeIdentifierLengthData24NCode：指明 EAP 包的類型，共有 4 種：Request、Response、Success、Failure。Success 和 Failure 類型的包沒有 Data 域，相應(yīng)的 Length 域的值為 4。Request和Response類型數(shù)據(jù)包的Data域的格式如 HYPERLINK l _bookmark3 圖 5所示。Type為EAP的認(rèn)證類型，Type data

13、的內(nèi)容由類型決定。例如，Type值為 1 時代表Identity，用來查詢對方的身份；Type值為4 時，代表MD5-Challenge，類似于PPP CHAP協(xié)議，包含質(zhì)詢消息。圖 5 Request 和Response 類型數(shù)據(jù)包的 Data 域的格式Identifier：用于匹配 Request 消息和 Response 消息。Length：EAP 包的長度，包含 Code、Identifier、Length 和 Data 域，單位為字節(jié)。Data：EAP 包的內(nèi)容，由 Code 類型決定。EAP 屬性的封裝RADIUS 為支持 EAP 認(rèn)證增加了兩個屬性：EAP-Message（EAP

14、 消息）和 Message-Authenticator（消息認(rèn)證碼）。EAP-Message如 HYPERLINK l _bookmark3 圖 6所示，這個屬性用來封裝EAP數(shù)據(jù)包，類型代碼為 79，String域最長 253 字節(jié)，如果EAP數(shù)據(jù)包長度大于 253 字節(jié)，可以對其進(jìn)行分片，依次封裝在多個EAP-Message屬性中。圖 6 EAP-Message 屬性封裝Message-Authenticator如 HYPERLINK l _bookmark4 圖 7所示，這個屬性用于在使用EAP、CHAP等認(rèn)證方法的過程中，避免接入請求包被竊聽。在含有EAP-Message屬性的數(shù)據(jù)包中

15、，必須同時也包含Message-Authenticator，否則該數(shù)據(jù)包會被認(rèn)為無效而被丟棄。圖 7 Message-Authenticator 屬性802.1X 的認(rèn)證觸發(fā)方式802.1X 的認(rèn)證過程可以由客戶端主動發(fā)起，也可以由設(shè)備端發(fā)起。設(shè)備支持的認(rèn)證觸發(fā)方式包括以下兩種：客戶端主動觸發(fā)方式客戶端主動向設(shè)備端發(fā)送 EAPOL-Start 報文來觸發(fā)認(rèn)證，該報文目的地址為 IEEE 802.1X 協(xié)議分配的一個組播 MAC 地址：01-80-C2-00-00-03。另外，由于網(wǎng)絡(luò)中有些設(shè)備不支持上述的組播報文，使得認(rèn)證設(shè)備無法收到客戶端的認(rèn)證請求，因此設(shè)備端還支持廣播觸發(fā)方式，即，可以接收

16、客戶端發(fā)送的目的地址為廣播 MAC 地址的EAPOL-Start 報文。這種觸發(fā)方式需要 H3C iNode 的 802.1X 客戶端的配合。設(shè)備端主動觸發(fā)方式設(shè)備會每隔 N 秒（例如 30 秒）主動向客戶端發(fā)送 EAP-Request/Identity 報文來觸發(fā)認(rèn)證，這種觸發(fā)方式用于支持不能主動發(fā)送 EAPOL-Start 報文的客戶端，例如 Windows XP 自帶的 802.1X 客戶端。802.1X 的認(rèn)證過程802.1X 系統(tǒng)支持 EAP 中繼方式和 EAP 終結(jié)方式與遠(yuǎn)端 RADIUS 服務(wù)器交互完成認(rèn)證。以下關(guān)于兩種認(rèn)證方式的過程描述，都以客戶端主動發(fā)起認(rèn)證為例。EAP 中繼

17、方式這種方式是 IEEE 802.1X 標(biāo)準(zhǔn)規(guī)定的，將 EAP（可擴(kuò)展認(rèn)證協(xié)議）承載在其它高層協(xié)議中，如 EAP over RADIUS，以便擴(kuò)展認(rèn)證協(xié)議報文穿越復(fù)雜的網(wǎng)絡(luò)到達(dá)認(rèn)證服務(wù)器。一般來說，EAP 中繼方式需要 RADIUS 服務(wù)器支持EAP 屬性：EAP-Message 和 Message-Authenticator，分別用來封裝 EAP報文及對攜帶 EAP-Message 的 RADIUS 報文進(jìn)行保護(hù)。下面以EAP-MD5 方式為例介紹基本業(yè)務(wù)流程，如 HYPERLINK l _bookmark5 圖 8所示。圖 8 IEEE 802.1X 認(rèn)證系統(tǒng)的 EAP 中繼方式業(yè)務(wù)流程C

18、lientDeviceServerEAPOLEAPOREAPOL-Start EAP-Request / IdentityEAP-Response / IdentityRADIUS Access-Request (EAP-Response / Identity)RADIUS Access-Challenge (EAP-Request / MD5 challenge)EAP-Request / MD5 challengeEAP-Response / MD5 challengeRADIUS Access-Request (EAP-Response / MD5 challenge)RADIUS Ac

19、cess-Accept (EAP-Success)EAP-Success握手請求報文 EAP-Request / Identity 握手應(yīng)答報文 EAP-Response / Identity EAPOL-Logoff端口非授權(quán)端口被授權(quán)握手定時器認(rèn)證過程如下：當(dāng)用戶有訪問網(wǎng)絡(luò)需求時打開 802.1X 客戶端程序，輸入已經(jīng)申請、登記過的用戶名和密碼， 發(fā)起連接請求（EAPOL-Start 報文）。此時，客戶端程序?qū)l(fā)出請求認(rèn)證的報文給設(shè)備端， 開始啟動一次認(rèn)證過程。設(shè)備端收到請求認(rèn)證的數(shù)據(jù)幀后，將發(fā)出一個請求幀（EAP-Request/Identity 報文）要求用戶的客戶端程序發(fā)送輸入的用戶

20、名?？蛻舳顺绦蝽憫?yīng)設(shè)備端發(fā)出的請求，將用戶名信息通過數(shù)據(jù)幀（EAP-Response/Identity 報文） 發(fā)送給設(shè)備端。設(shè)備端將客戶端發(fā)送的數(shù)據(jù)幀經(jīng)過封包處理后（RADIUS Access-Request 報文）送給認(rèn)證服務(wù)器進(jìn)行處理。RADIUS 服務(wù)器收到設(shè)備端轉(zhuǎn)發(fā)的用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表對比，找到該用戶名對應(yīng)的密碼信息，用隨機(jī)生成的一個加密字對它進(jìn)行加密處理，同時也將此加密字通過 RADIUS Access-Challenge 報文發(fā)送給設(shè)備端，由設(shè)備端轉(zhuǎn)發(fā)給客戶端程序?？蛻舳顺绦蚴盏接稍O(shè)備端傳來的加密字（EAP-Request/MD5 Challenge 報文

21、）后，用該加密字對密碼部分進(jìn)行加密處理（此種加密算法通常是不可逆的），生成 EAP-Response/MD5 Challenge 報文，并通過設(shè)備端傳給認(rèn)證服務(wù)器。RADIUS 服務(wù)器將收到的已加密的密碼信息（RADIUS Access-Request 報文）和本地經(jīng)過加密運(yùn)算后的密碼信息進(jìn)行對比，如果相同，則認(rèn)為該用戶為合法用戶，反饋認(rèn)證通過的消息（RADIUS Access-Accept 報文和 EAP-Success 報文）。設(shè)備收到認(rèn)證通過消息后將端口改為授權(quán)狀態(tài)，允許用戶通過端口訪問網(wǎng)絡(luò)。在此期間，設(shè)備端會通過向客戶端定期發(fā)送握手報文的方法，對用戶的在線情況進(jìn)行監(jiān)測。缺省情況下，兩次

22、握手請求報文都得不到客戶端應(yīng)答，設(shè)備端就會讓用戶下線，防止用戶因?yàn)楫惓Ｔ蛳戮€而設(shè)備無法感知?？蛻舳艘部梢园l(fā)送 EAPOL-Logoff 報文給設(shè)備端，主動要求下線。設(shè)備端把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)，并向客戶端發(fā)送 EAP-Failure 報文。EAP 終結(jié)方式這種方式將EAP報文在設(shè)備端終結(jié)并映射到RADIUS報文中，利用標(biāo)準(zhǔn)RADIUS協(xié)議完成認(rèn)證、授權(quán)和計(jì)費(fèi)。設(shè)備端與RADIUS服務(wù)器之間可以采用PAP或者CHAP認(rèn)證方法。以下以CHAP認(rèn)證方法為例介紹基本業(yè)務(wù)流程，如 HYPERLINK l _bookmark6 圖 9所示。圖 9 IEEE 802.1X 認(rèn)證系統(tǒng)的 EAP

23、 終結(jié)方式業(yè)務(wù)流程EAP 終結(jié)方式與 EAP 中繼方式的認(rèn)證流程相比，不同之處在于用來對用戶密碼信息進(jìn)行加密處理的隨機(jī)加密字由設(shè)備端生成，之后設(shè)備端會把用戶名、隨機(jī)加密字和客戶端加密后的密碼信息一起送給 RADIUS 服務(wù)器，進(jìn)行相關(guān)的認(rèn)證處理。X 的接入控制方式設(shè)備不僅支持協(xié)議所規(guī)定的基于端口的接入認(rèn)證方式，還對其進(jìn)行了擴(kuò)展、優(yōu)化，支持基于 MAC的接入控制方式。當(dāng)采用基于端口的接入控制方式時，只要該端口下的第一個用戶認(rèn)證成功后，其它接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)資源，但是當(dāng)?shù)谝粋€用戶下線后，其它用戶也會被拒絕使用網(wǎng)絡(luò)。采用基于 MAC 的接入控制方式時，該端口下的所有接入用戶均需要單獨(dú)認(rèn)證，

24、當(dāng)某個用戶下線時，也只有該用戶無法使用網(wǎng)絡(luò)。X 的定時器802.1X 認(rèn)證過程中會啟動多個定時器以控制接入用戶、設(shè)備以及 RADIUS 服務(wù)器之間進(jìn)行合理、有序的交互。802.1X 的定時器主要有以下幾種：用戶名請求超時定時器（tx-period）：該定時器定義了兩個時間間隔。其一，當(dāng)設(shè)備端向客戶端發(fā)送 EAP-Request/Identity 請求報文后，設(shè)備端啟動該定時器，若在 tx-period 設(shè)置的時間間隔內(nèi)，設(shè)備端沒有收到客戶端的響應(yīng)，則設(shè)備端將重發(fā)認(rèn)證請求報文；其二，為了兼容不主動發(fā)送 EAPOL-Start 連接請求報文的客戶端，設(shè)備會定期組播 EAP-Request/Iden

25、tity 請求報文來檢測客戶端。tx-period 定義了該組播報文的發(fā)送時間間隔?？蛻舳苏J(rèn)證超時定時器（supp-timeout）：當(dāng)設(shè)備端向客戶端發(fā)送了 EAP-Request/MD5 Challenge 請求報文后，設(shè)備端啟動此定時器，若在該定時器設(shè)置的時長內(nèi)，設(shè)備端沒有收到客戶端的響應(yīng)，設(shè)備端將重發(fā)該報文。認(rèn)證服務(wù)器超時定時器（ server-timeout ）： 當(dāng)設(shè)備端向認(rèn)證服務(wù)器發(fā)送了 RADIUS Access-Request 請求報文后，設(shè)備端啟動 server-timeout 定時器，若在該定時器設(shè)置的時長內(nèi)，設(shè)備端沒有收到認(rèn)證服務(wù)器的響應(yīng)，設(shè)備端將重發(fā)認(rèn)證請求報文。握手定

26、時器（handshake-period）：此定時器是在用戶認(rèn)證成功后啟動的，設(shè)備端以此間隔為周期發(fā)送握手請求報文，以定期檢測用戶的在線情況。如果配置發(fā)送次數(shù)為 N，則當(dāng)設(shè)備端連續(xù) N 次沒有收到客戶端的響應(yīng)報文，就認(rèn)為用戶已經(jīng)下線。靜默定時器（quiet-period）：對用戶認(rèn)證失敗以后，設(shè)備端需要靜默一段時間（該時間由靜默定時器設(shè)置），在靜默期間，設(shè)備端不處理該用戶的認(rèn)證請求。周期性重認(rèn)證定時器（reauth-period）：如果端口下開啟了周期性重認(rèn)證功能，設(shè)備端以此定時器設(shè)置的時間間隔為周期對該端口在線用戶發(fā)起重認(rèn)證。和 802.1X 配合使用的特性VLAN 下發(fā)802.1X 用戶在服

27、務(wù)器上通過認(rèn)證時，服務(wù)器會把授權(quán)信息傳送給設(shè)備端。如果服務(wù)器上配置了下發(fā)VLAN 功能，則授權(quán)信息中含有授權(quán)下發(fā)的 VLAN 信息，設(shè)備根據(jù)用戶認(rèn)證上線的端口鏈路類型， 按以下三種情況將端口加入下發(fā) VLAN 中。端口的鏈路類型為Access，當(dāng)前 Access 端口離開用戶配置的VLAN 并加入授權(quán)下發(fā)的VLAN中。端口的鏈路類型為 Trunk，設(shè)備允許授權(quán)下發(fā)的 VLAN 通過當(dāng)前 Trunk 端口，并且端口的缺省VLAN ID 為下發(fā) VLAN 的 VLAN ID。端口的鏈路類型為 Hybrid，設(shè)備允許授權(quán)下發(fā)的 VLAN 以不攜帶 Tag 的方式通過當(dāng)前 Hybrid 端口，并且端口

28、的缺省 VLAN ID 為下發(fā) VLAN 的 VLAN ID。需要注意的是，若當(dāng)前 Hybrid 端口上配置了基于 MAC 的 VLAN，則設(shè)備將根據(jù)認(rèn)證服務(wù)器下發(fā)的授權(quán) VLAN 動態(tài)地創(chuàng)建基于用戶 MAC 的 VLAN，而端口的缺省 VLAN ID 并不改變。授權(quán)下發(fā)的 VLAN 并不改變端口的配置，也不影響端口的配置。但是，授權(quán)下發(fā)的 VLAN 的優(yōu)先級高于用戶配置的 VLAN，即通過認(rèn)證后起作用的 VLAN 是授權(quán)下發(fā)的 VLAN，用戶配置的 VLAN 在用戶下線后生效。Guest VLANGuest VLAN 功能允許用戶在未認(rèn)證的情況下，可以訪問某一特定 VLAN 中的資源，比如獲

29、取客戶端軟件，升級客戶端或執(zhí)行其他一些用戶升級程序。這個 VLAN 稱之為 Guest VLAN。根據(jù)端口的接入控制方式不同，可以將 Guest VLAN 劃分基于端口的 Guest VLAN 和基于 MAC 的Guest VLAN。PGV（Port-based Guest VLAN）在接入控制方式為 portbased 的端口上配置的 Guest VLAN 稱為 PGV。若在一定的時間內(nèi)（默認(rèn)90 秒），配置了 PGV 的端口上無客戶端進(jìn)行認(rèn)證，則該端口將被加入 Guest VLAN，所有在該端口接入的用戶將被授權(quán)訪問 Guest VLAN 里的資源。端口加入 Guest VLAN 的情況與

30、加入授權(quán)下發(fā)VLAN 相同，與端口鏈路類型有關(guān)。當(dāng)端口上處于Guest VLAN中的用戶發(fā)起認(rèn)證且失敗時：如果端口配置了Auth-Fail VLAN，則該端口會被加入Auth-Fail VLAN；如果端口未配置Auth-Fail VLAN，則該端口仍然處于Guest VLAN內(nèi)。關(guān)于Auth-Fail VLAN的具體介紹請參見“ HYPERLINK l _bookmark9 3. HYPERLINK l _bookmark9 Auth-Fail VLAN”。當(dāng)端口上處于 Guest VLAN 中的用戶發(fā)起認(rèn)證且成功時，端口會離開 Guest VLAN，之后端口加入VLAN 情況與認(rèn)證服務(wù)器是否

31、下發(fā) VLAN 有關(guān)，具體如下：若認(rèn)證服務(wù)器下發(fā) VLAN，則端口加入下發(fā)的 VLAN 中。用戶下線后，端口離開下發(fā)的 VLAN回到初始 VLAN 中，該初始 VLAN 為端口加入 Guest VLAN 之前所在的 VLAN。若認(rèn)證服務(wù)器未下發(fā) VLAN，則端口回到初始 VLAN 中。用戶下線后，端口仍在該初始 VLAN中。MGV（MAC-based Guest VLAN）在接入控制方式為 macbased 的端口上配置的 Guest VLAN 稱為 MGV。配置了 MGV 的端口上未認(rèn)證的用戶被授權(quán)訪問 Guest VLAN 里的資源。當(dāng)端口上處于 Guest VLAN 中的用戶發(fā)起認(rèn)證且失

32、敗時：如果端口配置了 Auth-Fail VLAN，則認(rèn)證失敗的用戶將被加入Auth-Fail VLAN；如果端口未配置 Auth-Fail VLAN，則該用戶將仍然處于 Guest VLAN 內(nèi)。當(dāng)端口上處于 Guest VLAN 中的用戶發(fā)起認(rèn)證且成功時，設(shè)備會根據(jù)認(rèn)證服務(wù)器是否下發(fā) VLAN 決定將該用戶加入到下發(fā)的 VLAN 中，或回到加入 Guest VLAN 之前端口所在的初始 VLAN。Auth-Fail VLANAuth-Fail VLAN 功能允許用戶在認(rèn)證失敗的情況下可以訪問某一特定 VLAN 中的資源，這個 VLAN 稱之為 Auth-Fail VLAN。需要注意的是，這

33、里的認(rèn)證失敗是認(rèn)證服務(wù)器因某種原因明確拒絕用戶認(rèn)證通過，比如用戶密碼錯誤，而不是認(rèn)證超時或網(wǎng)絡(luò)連接等原因造成的認(rèn)證失敗。與 Guest VLAN 類似，根據(jù)端口的接入控制方式不同，可以將 Auth-Fail VLAN 劃分為基于端口的Auth-Fail VLAN 和基于 MAC 的 Auth-Fail VLAN。PAFV（Port-based Auth-Fail VLAN）在接入控制方式為 portbased 的端口上配置的 Auth-Fail VLAN 稱為 PAFV。在配置了 PAFV 的端口上，若有用戶認(rèn)證失敗，則該端口會被加入到 Auth-Fail VLAN，所有在該端口接入的用戶將被

34、授權(quán)訪問 Auth-Fail VLAN 里的資源。端口加入 Auth-Fail VLAN 的情況與加入授權(quán)下發(fā) VLAN 相同，與端口鏈路類型有關(guān)。當(dāng)端口上處于 Auth-Fail VLAN 中的用戶再次發(fā)起認(rèn)證時：如果認(rèn)證失敗，則該端口將會仍然處于Auth-Fail VLAN 內(nèi)；如果認(rèn)證成功，則該端口會離開 Auth-Fail VLAN，之后端口加入 VLAN 情況與認(rèn)證服務(wù)器是否下發(fā) VLAN 有關(guān)，具體如下：若認(rèn)證服務(wù)器下發(fā) VLAN，則端口加入下發(fā)的 VLAN 中。用戶下線后，端口會離開下發(fā)的 VLAN回到初始 VLAN 中，該初始 VLAN 為端口加入任何授權(quán) VLAN 之前所在的 VLAN。若認(rèn)證服務(wù)器未下發(fā) VLAN，則端口回到初始 VLAN 中。用戶下線后，端口仍在該初始 VLAN中。MAFV（MAC-based Auth-Fail VLAN）在接入控制方式為 macbased 的端口上配置的 Auth-Fail VLAN 稱為 MAFV。在配置了 MAFV 的端口上，認(rèn)證失敗的用戶將被授權(quán)訪問 Auth-Fail VLAN 里的資源。當(dāng) Auth-Fail VLAN 中的用戶再次發(fā)起認(rèn)證時，如果認(rèn)證