23-802.1X Client命令
本章节下载: 23-802.1X Client命令 (134.06 KB)
1.1.1 display dot1x supplicant
1.1.2 dot1x supplicant anonymous identify
1.1.3 dot1x supplicant eap-method
1.1.5 dot1x supplicant mac-address
1.1.6 dot1x supplicant password
1.1.7 dot1x supplicant ssl-client-policy
1.1.8 dot1x supplicant transmit-mode
1.1.9 dot1x supplicant username
display dot1x supplicant命令用来显示802.1X Client认证信息。
【命令】
display dot1x supplicant [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:表示显示指定接口上的802.1X Client认证信息。interface-type interface-number为接口类型和接口编号。如果不指定本参数,则表示显示所有接口上的802.1X Client认证信息。
【举例】
# 显示接口GigabitEthernet1/0/1下802.1X Client认证信息。
<Sysname> display dot1x supplicant interface gigabitethernet 1/0/1
GigabitEthernet1/0/1
Username : aaa
EAP method : PEAP-MSCHAPv2
Dot1x supplicant : Enabled
Anonymous identifier : bbb
SSL client policy : policy_1
FSM state : Init
EAPOL-Start packets : 0
表1-1 display dot1x supplicant interface命令显示信息描述表
字段 |
描述 |
用户名 |
|
EAP method |
认证类型,包括以下取值: · MD5 · PEAP-GTC · PEAP-MSCHAPv2 · TTLS-GTC · TTLS-MSCHAPv2 |
Dot1x supplicant |
802.1X Client功能所处状态: · Enabled:开启状态 · Disabled:关闭状态 |
Anonymous identifier |
匿名认证用户名 |
SSL client policy |
802.1X Client引用的SSL客户端策略 |
FSM state |
802.1X Client认证状态,包括以下取值: · Init:初始状态 · Connecting:正在连接状态 · Authenticating:正在认证状态 · Authenticated:认证成功状态 · Held:静默状态 |
EAPOL-Start packets |
发送的EAPOL-Start报文个数 |
dot1x supplicant anonymous identify命令用来配置802.1X Client匿名认证用户名。
undo dot1x supplicant anonymous identify命令用来恢复缺省情况。
【命令】
dot1x supplicant anonymous identify identifier
undo dot1x supplicant anonymous identify
【缺省情况】
不存在802.1X Client匿名认证用户名。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
identifier:表示802.1X Client匿名认证用户名,为1~253个字符的字符串,区分大小写。
【使用指导】
仅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC认证方法时,才需要配置匿名认证用户名。802.1X Client在第一阶段的认证过程中,优先发送匿名认证用户名,而在第二阶段将在被加密的报文中发送配置的认证用户名。配置了802.1X Client匿名认证用户名可有效保护认证用户名不在第一阶段的认证过程中被泄露。如果设备上没有配置匿名认证用户名,则两个认证阶段均使用配置的认证用户名进行认证。
当802.1X Client采用的认证方法为MD5-Challenge时,配置的802.1X Client匿名认证用户名无效,设备仍将使用配置的认证用户名进行认证。
如果认证服务器厂商不支持匿名认证用户名,则不要配置匿名认证用户名。
【举例】
# 配置802.1X Client匿名认证用户名为bbb。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x supplicant anonymous identify bbb
【相关命令】
· display dot1x supplicant
· dot1x supplicant enable
· dot1x supplicant username
dot1x supplicant eap-method命令用来配置802.1X Client采用的EAP认证方法。
undo dot1x supplicant eap-method命令用来恢复缺省情况。
【命令】
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }
undo dot1x supplicant eap-method
【缺省情况】
802.1X Client采用的EAP认证方法为MD5-Challenge。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
md5:表示采用的认证方法为MD5-Challenge。
peap-gtc:表示采用的认证方法为PEAP-GTC。
peap-mschapv2:表示采用的认证方法为PEAP-MSCHAPv2。
ttls-gtc:表示采用的认证方法为TTLS-GTC。
ttls-mschapv2:表示采用的认证方法为TTLS-MSCHAPv2。
【使用指导】
配置的802.1X Client认证方法必须和认证服务器端支持的EAP认证方法保持一致。
【举例】
# 配置802.1X Client采用的认证方法为PEAP-GTC。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x supplicant eap-method peap-gtc
【相关命令】
· display dot1x supplicant
· dot1x supplicant enable
dot1x supplicant enable命令用来开启802.1X Client功能。
undo dot1x supplicant enable命令用来关闭802.1X Client功能。
【命令】
dot1x supplicant enable
undo dot1x supplicant enable
【缺省情况】
802.1X Client功能处于关闭状态。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
开启802.1X Client功能前,请确保设备(Authenticator)上关于802.1X认证的配置已完成。
【举例】
# 开启802.1X Client功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x supplicant enable
【相关命令】
· display dot1x supplicant
dot1x supplicant mac-address命令用来配置802.1X Client认证使用的MAC地址。
undo dot1x supplicant mac-address命令用来恢复缺省情况。
【命令】
dot1x supplicant mac-address mac-address
undo dot1x supplicant mac-address
【缺省情况】
802.1X Client认证使用接口的MAC地址,若获取不到接口MAC地址则使用设备的MAC地址。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
mac-address:MAC地址,格式为H-H-H,不支持组播MAC地址、全0的MAC地址和全F的MAC地址。输入本参数时,可以省去MAC地址中每段开头的“0”,例如输入“f-e2-1”即表示输入 “000f-00e2-0001”。
设备作为802.1X Client时,为了保证各接口能够顺利通过802.1X认证,需要为各接口上配置不同的MAC地址。可通过以太网接口视图下的mac-address命令为接口配置不同的MAC地址,或通过本命令为以太网接口配置不同的802.1X Client认证使用的MAC地址。
【举例】
# 配置802.1X Client认证使用的MAC地址为0001-0001-0001。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x supplicant mac-address 1-1-1
dot1x supplicant password命令用来配置802.1X Client认证密码。
undo dot1x supplicant password命令用来恢复缺省情况。
【命令】
dot1x supplicant password { cipher | simple } string
undo dot1x supplicant password
【缺省情况】
不存在802.1X Client认证密码。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~127个字符的字符串,密文密码为1~201个字符的字符串。
【举例】
# 配置802.1X Client的明文认证密码为123456。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x supplicant password simple 123456
【相关命令】
· display dot1x supplicant
· dot1x supplicant enable
dot1x supplicant ssl-client-policy命令用来指定802.1X Client引用的SSL客户端策略。
undo dot1x supplicant ssl-client-policy命令用来恢复缺省情况。
【命令】
dot1x supplicant ssl-client-policy policy-name
undo dot1x supplicant ssl-client-policy policy-name
【缺省情况】
802.1X Client引用系统缺省的SSL客户端策略。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写,且引用的SSL客户端策略必须已存在。
【使用指导】
当802.1X Client认证采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC时,被认证设备作为SSL客户端会在802.1X Client第一阶段认证过程中,与对端SSL服务器进行SSL协商。在第二阶段被认证设备使用SSL协商出来的结果对交互的认证报文进行加密传输。
在SSL协商过程中,802.1X Client作为SSL客户端连接SSL服务器时,需要使用本命令来引用SSL客户端策略。SSL客户端策略中配置了SSL客户端启动时使用的SSL参数,包括使用的PKI域、支持的加密套件和使用的SSL协议版本。有关SSL客户端策略的详细配置请参见“安全配置指导”中的“SSL”。
当802.1X Client认证采用MD5-Challenge认证方法时,认证过程不会引用SSL客户端策略。
【举例】
# 在接口GigabitEthernet1/0/1下指定802.1X Client引用的SSL客户端策略为policy_1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x supplicant ssl-client-policy policy_1
【相关命令】
· display dot1x supplicant
· dot1x supplicant enable
· ssl client-policy(安全命令参考/SSL)
dot1x supplicant transmit-mode命令用来配置802.1X Client认证使用的报文发送方式。
undo dot1x supplicant transmit-mode命令用来恢复缺省情况。
【命令】
dot1x supplicant transmit-mode { multicast | unicast }
undo dot1x supplicant transmit-mode
【缺省情况】
802.1X Client认证使用单播方式发送EAP-Response和EAPOL-Logoff报文。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
multicast:使用组播方式发送EAP-Response和EAPOL-Logoff报文,该报文目的地址为组播MAC地址01-80-C2-00-00-03。
unicast:使用单播方式发送EAP-Response和EAPOL-Logoff报文。
【使用指导】
设备作为802.1X Client进行802.1X认证时,如果网络中的NAS设备不支持接收单播EAP-Response或EAPOL-Logoff报文,会导致802.1X认证失败,此时建议开启组播发送方式。
【举例】
# 配置端口GigabitEthernet1/0/1上802.1X Client认证使用的报文类型为组播。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x supplicant transmit-mode multicast
dot1x supplicant username命令用来配置802.1X Client认证用户名。
undo dot1x supplicant username命令用来恢复缺省情况。
【命令】
dot1x supplicant username username
undo dot1x supplicant username
【缺省情况】
不存在802.1X Client认证用户名。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
username:表示802.1X Client认证用户名,为1~253个字符的字符串,区分大小写。
【使用指导】
802.1X Client认证用户名可以携带域名,域名中可用的分隔符包括@、\、/和.,对应的用户名格式分别为username@domain-name、domain-name\username、username/domain-name和username.domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符。若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\。域名分隔符的使用方法同命令dot1x domain-delimiter,有关此命令的详细介绍请参见“安全命令参考”中的“802.1X”。
【举例】
# 配置802.1X Client认证用户名为aaa。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x supplicant username aaa
【相关命令】
· display dot1x supplicant
· dot1x domain-delimiter(安全命令参考/802.1X)
· dot1x supplicant enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!