guest vlan
在IEEE802.1x基于端口的安全访问机制下,Guest VLAN功能用来允许未认证用户访问某些特定资源。
用户认证端口在通过802.1x认证之前属于一个缺省VLAN(即Guest VLAN),用户访问该VLAN内的资源不需要认证,但此时不能够访问其他网络资源;认证成功后,端口离开Guest VLAN,用户可以访问其他的网络资源。
用户在Guest VLAN中可以获取一些指定期资源。如果因为没有专用的认证客户端或者其他原因,导致在一定的时间内(默认45秒)端口上无客户端认证成功,接入设备会把该端口加入到Guest VLAN。
开启802.1x特性并正确配置Guest VLAN后,当设备从某一端口发送触发认证报文(EAP-Request/Identity)超过设定的最大次数而没有收到客户端的任何回应报文时,该端口将按照各自的链路类型情况被加入到Guest VLAN内。此时Guest VLAN中端口下的用户发起认证,如果认证失败,该端口将会仍然处在Guest VLAN内;如果认证成功,分为以下两种情况:
l. 认证服务器下发一个VLAN,这时端口离开Guest VLAN,加入下发的VLAN中。用户下线后,端口会回到配置的VLAN中(加入Guest VLAN之前所在的VLAN,即“初始VLAN”)。
2. 认证服务器不下发VLAN,这时端口离开Guest VLAN,加入配置的VLAN中。用户下线后,端口仍在配置的VLAN中。
本文转自 帅枫小明 51CTO博客,原文链接:http://blog.51cto.com/576642026/652394,如需转载请自行联系原作者
