1、功能简介  

目前我们的交换机支持的有线认证可以基于端口和 VLAN，区别如下：

1.如果目前客户那边的仅想让某些 vlan 的用户认证上网，所以我们就可以选择基于VLAN(基于 vlan 的话还需要选择端口，其作用为在那些端口下的所选 VLAN 需要认证)；

2.如果客户想让交换机的某些端口都要做认证的话就选择基于端口；

TIPS：3.7.6 版本及其以上版本的瘦模式交换机支持有线认证，胖模式不支持认证。

2、交换机有线认证配置  

2.1  portal服务配置  

1. 在交换机管理中心【认证授权】→【portal服务】中【服务器参数】开启内置portal服务，注意需要填写服务通信IP，使用本控制器做为认证服务器，则IP填写控制自身IP；

2. 在【WEB认证策略】中新增认证策略，策略认证选择“交换机有线认证策略”；

TIPS：勾选每次接入网络均需弹出认证页面，则每次入网都要弹出portal页面；

3. 认证类型可以选择“账号认证”、“访客认证”、“账号认证+访客认证”，认证页面可以自行定义，此处配置跟无线页面的认证内容一致；

4. 账号认证需要选择认证服务器，认证服务器可以是内置认证服务器，也可以是对接的第三方服务器，可对接类型与无线认证形式一致；

5. 多因子认证中，可以选择用户登录审批方式（管理员审批或者自助审批）；

6. 访客认证可以配置二维码认证、短信认证、邮箱认证、临时账号认证、免认证等认证方式，此处与无线认证形式一致；

7. 权限设定中可以根据实际需求，进行角色分配，使用规则进行分配，可依据IP组、用户组、接入交换机分组等，分配不同角色，结合角色上挂载的ACL访问策略实现权限划分；

8. 高级选项中可以配置认证后跳转的页面，实现在用户完成认证后跳转指定页面（可以引导进入用户公司官网或其他营销页面），同时可以设置账号的登录终端数量，限制账号分享行为；

2.2基于WEB认证的有线认证策略配置  

1. 在【交换机管理】→【有线认证】中新增有线认证策略，策略名称自定，可以选择基于端口或者基于VLAN；

TIPS:
基于端口：即创建的策略应用在哪些端口上；

基于VLAN：即创建的策略用于哪些VLAN，注意，基于VLAN同时也要选择端口，即可以应用在部分端口的某VLAN下；

2. 认证类型选择WEB认证，因为在前面我们是启用的控制器上的内置portal服务器，认证方式选择为“在当前控制器上做portal认证”，如果一开始是对接的第三方portal服务器，则选择“使用外部portal服务器认证”。WEB认证策略选择一开始创建的名为“有线认证”的策略，认证前角色是只允许DNS的角色；

3. 在终端验证页面，可以开启MAC地址接入控制，通过黑名单、白名单控制终端接入，同时也可以添加免认证终端；

4. 如果改认证对接了第三方计费服务器，则在高级选项中调用；

2.3 基于802.1X认证的有线认证策略配置  

1. 如果使用802.1X认证，则不需要创建“WEB认证策略”，直接在【交换机管理】→【有线认证】中新增有线认证策略，策略名称自定，可以选择基于端口或者基于VLAN；

TIPS:
基于端口：即创建的策略应用在哪些端口上；

基于VLAN：即创建的策略用于哪些VLAN，注意，基于VLAN同时也要选择端口，即可以应用在部分端口的某VLAN下；

2. 认证类型选择802.1X 认证，；

3. 在终端验证页面，可以开启MAC地址接入控制，通过黑名单、白名单控制终端接入，同时也可以添加免认证终端；

4. 根据实际需求，选择EAP方法、终端认证、认证服务器、服务器证书，该处认证服务器可以是内置认证服务器，也可以是提前对接的第三方服务器；

5. 多因子认证中，可以配置终端验证、绑定的权限，增加安全性；

6. 根据网络规划进行VLAN划分，可以基于接入位置、本地用户、终端信息进行不同VLAN分配；

7. 权限设定中可以根据实际需求，进行角色分配，使用规则进行分配，可依据IP组、用户组、接入交换机分组等，分配不同角色，结合角色上挂载的ACL访问策略实现权限划分；

8. 高级选项中可调用对接好的计费服务器，限制账号的多终端登录；