802.1x-Authenticator

时间：2021-08-26作者：上海腾希电气技术有限公司浏览：139

802.1x-Authenticator



设置网络访问

只有在设备利用验证服务器对终端设备的登录数据进行验证后，该终端设备才能访问网络。可通过 802.1X 或使用 MAC 地址进行验证。使用 802.1X 进行身份验证时，终端设备和验证服务器都必须支持 EAP 协议（可扩展验证协议）。

对单独的端口启用验证

通过选中该复选框，可*是否在此端口上启用符合 IEEE 802.1x 的网络访问保护。

显示框说明

该页面包含以下框：

MAC 身份验证 (MAC Authentication)

为设备启用或禁用 MAC 身份验证。

Guest VLAN

为设备启用或禁用“访客 VLAN”功能。

表 1 包含以下列：

* 1 列

说明设置对于表 2 的所有端口都有效。

802.1X 验证控制 (802.1X Auth.Control)

选择所需设置。如果选择“不变”(No Change)，则表 2 中的条目保持不变。

802.1x 重新验证 (802.1x Re-Authentication)

选择所需设置。如果选择“不变”(No Change)，则表 2 中的条目保持不变。

MAC 身份验证 (MAC Authentication)

选择所需设置。如果选择“不变”(No Change)，则表 2 中的条目保持不变。

****时时进行 MAC 验证 (MAC Auth. only on Timeout)
选择所需的设置。如果选择“不变”(No Change)，则表 2 中的条目保持不变。

采用 RADIUS VLAN 分配 (Adopt RADIUS VLAN Assignment)

选择所需设置。如果选择“不变”(No Change)，则表 2 中的条目保持不变。

MAC 身份验证允许的较大地址数 (MAC Auth. Max Permitted Addresses)

输入允许同时连接到端口的终端设备数量。如果输入“不变”(No Change)，则表 2 中的条目保持不变

Guest VLAN

选择所需设置。如果选择“不变”(No Change)，则表 2 中的条目保持不变。

访客 VLAN ID (Guest VLAN ID)

输入端口的 VLAN ID。如果输入“不变”(No Change)，则表 2 中的条目保持不变

访客 VLAN 允许的较大地址数 (Guest VLAN max. Permitted Addresses)

输入允许同时连接到访客 VLAN 的终端设备数量。如果输入“不变”(No Change)，则表 2 中的条目保持不变

传送到表 (Transfer to table)

如果单击此按钮，则为表 2 的所有端口应用此设置。

表 2 包含以下列：

端口 (Port)

此列会列出此设备上的全部可用端口。

802.1X 验证控制 (802.1X Auth.Control)

*端口的身份验证：

- 强制未授权 (Force Unauthorized)

阻止通过该端口进行数据通信。

- 强制授权 (Force Authorized)

允许通过该端口进行数据通信，无任何限制。默认设置

- 自动 (Auto)

在端口上使用“802.1x”方法对终端设备进行身份验证。根据验证结果允许或阻止通过该端口进行数据通信。

802.1x 重新验证 (802.1x Re-Authentication)

如果想要对已经过身份验证的终端设备周期性重复进行身份重新验证，请启用此选项。

MAC 身份验证 (MAC Authentication)

如果想要使用“MAC 身份验证”方法对终端设备进行身份验证，请启用此选项。

如果 “802.1x 身份验证控制”(802.1x Auth. Control) 组态为“自动”(Auto) 且“MAC 身份验证 (MAC Authentication) 已启用，则“802.1X 程序”的**时为 5 秒。如果使用 802.1X" 程序进行身份验证时需要在端口上进行手动输入，5 秒时间是不够的。为了能够使用“802.1X”进行身份验证，需在该端口上禁用 MAC 身份验证。

****时时进行 MAC 验证 (MAC Auth. only on Timeout)

选中该复选框后，只有在 802.1X **时后才能进行 MAC 验证，但在 802.1X 验证失败后不能进行。如果未选中该复选框，则在 802.1X **时和 802.1X 验证失败后都可以进行 MAC 验证。

采用 RADIUS VLAN 分配 (Adopt RADIUS VLAN Assignment)

RADIUS 服务器将端口所属的 VLAN 通知工业以太网交换机。如果要考虑服务器通知的信息，请启用此选项。

如果设备上已创建 VLAN，则端口只能分配给 VLAN。否则拒绝身份验证（* 474 页）。如果在验证期间使用此功能将端口动态分配到 VLAN，则可使用 VLAN-ID 或 VLAN 名称进行分配。配置 RADIUS 服务器中的以下值：

- Tunnel-Type = VLAN

- Tunnel-Medium-Type = IEEE-802

- Tunnel-Private-Group-Id = VLAN ID 或 VLAN 名称

工业以太网交换机的区别如下：

- VLAN ID：RADIUS 服务器传输参数“Tunnel-Private-Group-Id”的数字字符串。

- VLAN 名称：RADIUS 服务器传输参数“Tunnel-Private-Group-Id”的字母数字字符串。

MAC 身份验证允许的较大地址数 (MAC Auth. Max Permitted Addresses)

- 1 ... 100
*可以同时在端口上通信的 MAC 地址数目。

提示 如果设备使用多个 MAC 地址，则必须对所有 MAC 地址进行身份验证。将所有待身份验证的 MAC 地址存储到 RADIUS 服务器上。在“MAC 身份验证较大许可地址”(MAC Auth.Max Allowed Addresses) 框中输入数量。




- 0
用户可以设置“0”值。该设置的作用在于：**成功验证 MAC 地址后，会释放端口的所有 MAC 地址。
使用实例
如果对端口组态值“0”，请将其连接 WLAN 接入点。AP 成功认证后，将释放此端口中的所有 MAC 地址。连接 AP 的所有 WLAN 客户端均可在此端口中进行通信，*进行身份验证。确保客户端已经过 AP 验证。
固件兼容性
如果固件版本 < 6.0.2，则“0”值不是有效条目。如果组态“0”值时固件版本 ≥ 6.0.2，且将 < 6.0.2 的固件版本复制至设备中，则会禁用相关端口中的功能 MAC 身份验证。重新配置这些端口中的 MAC 身份验证：

Guest VLAN

如果想要在身份验证失败时在访客 VLAN 中使用终端设备，请启用此选项。

如果设备上已创建 VLAN，则端口只能分配给 VLAN。否则拒绝身份验证。

该功能也称为“Authentication failed VLAN”。

访客 VLAN ID (Guest VLAN ID)

输入端口的 VLAN ID。

访客 VLAN 允许的较大地址数 (Guest VLAN max. Permitted Addresses)

输入允许同时连接到访客 VLAN 的终端设备数量。

802.1x 身份验证状态”(802.1X Auth.-Status)

显示端口身份验证的状态：

- 授权

- 不授权

MAC 身份验证实际允许地址数 (MAC Auth. Actual Allowed Addresses)

显示当前已连接的终端设备数量。

MAC 身份验证当前拦截的地址数 (MAC Auth. Currently Blocked Addresses)

显示当前被拦截的终端设备数量。

访客 VLAN 当前允许的地址数 (Guest VLAN Currently Permitted Addresses)

显示访客 VLAN 中当前允许的终端设备数量。


上海腾希电气技术有限公司专注于西门子PLC,V90伺服,V20变频器等, 欢迎致电 13681875601

• 词条

  词条说明

• 故障监视 PROFINET

  PROFINETPROFINET 的设置在此页面上组态 PROFINET 的模式。显示框说明该页面包含以下框：PNIO 设备诊断 (PNIO Device Diagnostics)显示启用（“On”）还是禁用（“Off”）PNIO。下一次启动的 PNIO 设备诊断 (PNIO Device Diagnostics for next boot)设置下次设备重启后是启用（“On”）还是禁用（“Off”

• 西门子博途升级许可证

  如果电脑中没有安装任何版本的 STEP 7 软件，就需要 STEP 7 Basic 或 STEP 7 Professional V16的完整许可证。如果电脑上已经安装了一个版本的 STEP 7 ，则需要一个升级许可证 PowerPack 。描述较简单的选型方法是使用TIA 选型工具。如果您订购了软件升级服务（SUS），将能自动收到关于您产品的升级。下表说明了全新安装或是升级 

• Private VLAN 常规

  常规私有 VLAN 组态页面在此页面上定义 PVLAN 的类型并将辅助 PVLAN 分配给主 PVLAN。提示所有辅助 PVLAN 在 PVLAN 的全部设备上必须已知。即使设备在辅助 PVLAN 中没有主机端口，辅助 PVLAN 也必须在设备上已知。显示框说明该表格包括以下列：VLAN ID显示 VLAN ID。私有 VLAN 类型 (Private VLAN Type)* PVLAN 的类型

• 使用预定义的 IPv6 规则组态防火墙

  使用预定义的 IPv6 规则组态防火墙含义利用预定义的 IPv6 规则，可以为使用 IPv6 的服务组态防火墙。在 CP 的本地安全设置中启用预定义的 IPv6 规则后，防火墙中也启用了系统定义的 ICMPv6 服务，该服务可在全局安全功能的“ICMP”选项卡中的“防火墙 > 服务 > 为 IP 规则定义服务”(Firewall > Services > Define se