02-802.1X命令
本章节下载: 02-802.1X命令 (311.38 KB)
目 录
1.1.2 display dot1x connection
1.1.4 dot1x authentication-method
1.1.7 dot1x critical-voice-vlan
1.1.9 dot1x ead-assistant enable
1.1.10 dot1x ead-assistant free-ip
1.1.11 dot1x ead-assistant url
1.1.16 dot1x handshake reply enable
1.1.19 dot1x mac-binding enable
1.1.22 dot1x multicast-trigger
1.1.27 dot1x re-authenticate manual
1.1.28 dot1x re-authenticate server-unreachable keep-online
display dot1x命令用来显示802.1X的相关信息,包括会话连接信息、相关统计信息和配置信息等。
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
sessions:显示802.1X的会话连接信息。
statistics:显示802.1X的相关统计信息。
interface interface-type interface-number:显示指定端口的802.1X信息,interface-type interface-number为端口类型和端口编号。
如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。
# 显示802.1X的所有信息。
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
EAD assistant function : Disabled
EAD timeout : 30 min
Domain delimiter : @
Max 802.1X users : 2048 per slot
Online 802.1X users : 0
GigabitEthernet1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Enabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : MAC-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : Not configured
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Not configured
Re-auth server-unreachable : Logoff
Max online users : 4294967295
Send Packets Without Tag : Disabled
Add Guest VLAN delay : Disabled
Reauth period : 3600 s
EAPOL packets: Tx 0, Rx 0
Sent EAP Request/Identity packets : 0
EAP Request/Challenge packets: 0
EAP Success packets: 0
EAP Failure packets: 0
Received EAPOL Start packets : 0
EAPOL LogOff packets: 0
EAP Response/Identity packets : 0
EAP Response/Challenge packets: 0
Error packets: 0
Online 802.1X users: 0
表1-1 display dot1x命令显示信息描述表
全局802.1X参数配置信息 |
|
全局802.1X的开启状态 |
|
启用EAP终结方式,并采用CHAP认证方法 |
|
启用EAP中继方式,并支持所有EAP认证方法 |
|
启用EAP终结方式,并采用PAP认证方法 |
|
EAD快速部署辅助功能的开启状态 |
|
用户HTTP访问的重定向URL |
|
EAD老化定时器超时时间 |
|
端口上802.1X的开启状态 |
|
Handshake reply |
在线用户握手回应功能的开启状态 |
802.1X单播触发功能的开启状态 |
|
· Force-Authorized:强制授权状态 · Auto:自动识别状态 · Force-Unauthorized:强制非授权状态 |
|
· MAC-based:基于MAC地址对接入用户进行认证 · Port-based:基于端口对接入用户进行认证 |
|
802.1X组播触发功能的开启状态 |
|
Critical voice VLAN |
端口配置的Critical voice VLAN |
重认证时服务器不可达对802.1X在线用户采取的动作 |
|
Send Packets Without Tag |
端口发送802.1X协议报文携带Tag功能的开启状态 |
Add Guest VLAN delay |
端口延迟加入Guest VLAN功能的状态和触发原因: · EAPOL:802.1X协议报文触发端口延迟加入802.1X Guest VLAN · NewMac:源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN · ALL:802.1X协议报文或源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN · Disabled:端口延迟加入802.1X Guest VLAN功能处于关闭状态 |
Reauth period |
端口下802.1X用户重认证的时间间隔 |
EAPOL报文数目。Tx表示发送的报文数目;Rx表示接受的报文数目 |
|
端口上的在线802.1X用户数 |
|
802.1X用户的MAC地址 |
|
802.1X用户的认证状态 |
display dot1x connection命令用来显示当前802.1X在线用户的详细信息。
interface interface-type interface-number:显示指定端口的802.1X用户信息。其中interface-type interface-number表示端口类型和端口编号。
slot slot-number:显示指定成员设备上的802.1X用户信息,slot-number表示设备在IRF中的成员编号。
user-name name-string:显示指定用户名的802.1X用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。
user-mac mac-addr:显示指定MAC地址的802.1X用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。
若不指定任何参数,则显示所有端口的802.1X在线用户信息。
# 显示所有802.1X在线用户信息。
<Sysname> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
Authentication domain: aaa
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Authentication method: CHAP
Initial VLAN: 1
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33
35 37 40 to 100
Authorization ACL ID: 3001
Authorization user profile: N/A
Termination action: Default
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
表1-1 display dot1x connection 命令显示信息描述表
Total connections |
在线用户个数 |
当前成员设备编号 |
|
用户的MAC地址 |
|
认证时使用的ISP域的名称 |
|
用户IP地址 若未获取到用户的IP地址,则不显示该字段 |
|
用户IPv6地址 若未获取到用户的IP地址,则不显示该字段 |
|
802.1X系统的认证方法 · CHAP:启用EAP终结方式,并采用CHAP认证方法 · EAP:启用EAP中继方式,并支持所有EAP认证方法 · PAP:启用EAP终结方式,并采用PAP认证方法 |
|
授权的ACL的编号 |
|
· Default:会话超时时长到达后,强制用户下线 · Radius-Request:会话超时时长到达后,要求802.1X用户进行重认证 · N/A:未指定会话超时时长到达后的动作 |
|
服务器下发的会话超时时长,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminate action字段的取值决定 |
|
dot1x命令用来开启指定端口上或全局的802.1X。
undo dot1x命令用来关闭指定端口上或全局的802.1X。
所有端口以及全局的802.1X都处于关闭状态。
系统视图/二层以太网接口视图
只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效。
# 开启全局的802.1X。
[Sysname] dot1x
# 开启端口GigabitEthernet1/0/1上的802.1X。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x
[Sysname-GigabitEthernet1/0/1] quit
dot1x authentication-method命令用来配置802.1X系统的认证方法。
undo dot1x authentication-method命令用来恢复缺省情况。
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
设备启用EAP终结方式,并采用CHAP认证方法。
chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法。
eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
(1) EAP终结:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该认证方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。目前,H3C iNode 802.1X客户端支持此认证方法。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
(2) EAP中继:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证。该认证方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法。
· 采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法。
· 若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。
# 启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
[Sysname] dot1x authentication-method pap
dot1x auth-fail vlan命令用来配置指定端口的802.1X Auth-Fail VLAN,即认证失败的802.1X用户被授权访问的VLAN。
undo dot1x auth-fail vlan命令用来恢复缺省情况。
dot1x auth-fail vlan authfail-vlan-id
authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Auth-Fail VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先使用命令undo dot1x auth-fail vlan取消802.1X Auth-Fail VLAN配置。
# 配置端口GigabitEthernet1/0/1的Auth-Fail VLAN为VLAN 100。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x auth-fail vlan 100
dot1x critical vlan命令用来配置指定端口的802.1X Critical VLAN,即当802.1X用户认证时对应的ISP域下所有认证服务器都不可达的情况下端口加入的VLAN。
undo dot1x critical vlan命令用来恢复缺省情况。
vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Critical VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Critical VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先使用命令undo dot1x critical vlan取消802.1X Critical VLAN配置。
# 配置端口GigabitEthernet1/0/1的Critical VLAN为VLAN 100 。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x critical vlan 100
dot1x critical-voice-vlan命令用来开启端口的802.1X Critical voice VLAN。
undo dot1x critical-voice-vlan命令用来恢复缺省情况。
【命令】
dot1x critical-voice-vlan
undo dot1x critical-voice-vlan
【缺省情况】
802.1X Critical voice VLAN功能处于关闭状态。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口上开启802.1X Critical voice VLAN功能后,当802.1X语音用户认证采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上已配置的语音VLAN中,在此也被称为802.1X Critical voice VLAN。端口上的语音VLAN通过voice-vlan enable命令配置,有关此命令的详细介绍请参见“二层技术-以太网交换命令参考”中的“VLAN”。
设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户,因此为保证802.1X Critical voice VLAN功能可以正常工作,请在开启此功能之前务必确保设备的全局和相应端口下均已开启LLDP功能。有关LLDP功能的详细介绍请参见“二层技术-以太网交换命令参考”中的“LLDP”。
【举例】
# 开启端口GigabitEthernet1/0/1下802.1X Critical voice VLAN功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x critical-voice-vlan
【相关命令】
· display dot1x
· lldp enable(二层技术-以太网交换命令参考/LLDP)
· lldp global enable(二层技术-以太网交换命令参考/LLDP)
· voice-vlan enable(二层技术-以太网交换命令参考/VLAN)
dot1x critical eapol命令用来配置当802.1X用户被加入到Critical VLAN后,设备向客户端发送EAP-Success报文。
undo dot1x critical eapol命令用来恢复缺省情况。
【命令】
dot1x critical eapol
undo dot1x critical eapol
【缺省情况】
当802.1X用户加入到Critical VLAN后,向客户端发送一个EAP-Failure报文。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
当客户端收到设备发送的EAP-Success报文后,则认为该802.1X用户上线成功,并能继续响应后续设备发送的EAP-Request/ID报文进行重认证。
在接口上未配置此命令的情况下,当802.1X用户因认证服务器不可达而被加入Critical VLAN之后,设备会向客户端发送EAP-Failure报文。对于某些802.1X客户端(例如:Windows系统的802.1X客户端),在收到EAP-Failure报文后,若后续设备探测到服务器可达并向其发送EAP-Request/ID报文进行重认证时,并不会进行响应,从而导致该类用户的重认证失败。因此,为解决这类用户的重认证失败问题,需要配置本命令。
【举例】
# 在端口GigabitEthernet1/0/1上配置当802.1X用户加入到Critical VLAN后,向客户端发送EAP-Success报文。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x critical eapol
【相关命令】
· dot1x critical vlan
dot1x ead-assistant enable命令用来开启EAD快速部署辅助功能。
undo dot1x ead-assistant enable命令用来关闭EAD快速部署辅助功能。
undo dot1x ead-assistant enable
EAD快速部署辅助功能处于关闭状态。
开启EAD快速部署辅助功能后,设备允许未通过认证的802.1X用户访问一个特定的IP地址段,并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的。
该命令与MAC地址认证和端口安全的全局使能命令均互斥,即开启EAD快速部署辅助功能时,若全局使能了MAC地址认证或端口安全,则该配置将会执行失败,反之亦然。
# 开启EAD快速部署辅助功能。
[Sysname] dot1x ead-assistant enable
dot1x ead-assistant free-ip命令用来配置Free IP,即用户在未通过802.1X认证之前能够访问的网段。
undo dot1x ead-assistant free-ip命令用来恢复缺省情况。
dot1x ead-assistant free-ip ip-address { mask-address | mask-length }
undo dot1x ead-assistant free-ip { ip-address { mask-address | mask-length } | all }
未配置Free IP,用户在通过802.1X认证之前不能够访问任何网段。
ip-address:指定的IP地址。
mask-address:指定的IP掩码地址。
mask-length:指定的IP掩码地址长度,取值范围为1~32。
all:所有配置的IP。
全局使能EAD快速部署功能且配置Free IP之后,未通过认证的802.1X终端用户可以访问该IP地址段中的网络资源。
# 配置用户在通过802.1X认证之前能够访问的网段为192.168.1.1/16。
[Sysname] dot1x ead-assistant free-ip 192.168.1.1 255.255.0.0
dot1x ead-assistant url命令用来配置802.1X用户HTTP访问的重定向URL。
undo dot1x ead-assistant url命令用来恢复缺省情况。
dot1x ead-assistant url url-string
url-string:重定向URL地址字符串,为1~64个字符的字符串,不区分大小写。
用户在802.1X认证成功之前,如果使用浏览器访问非Free IP网段的其它网络,设备会将用户访问的URL重定向到已配置的HTTP访问的重定向地址。
802.1X用户HTTP访问的重定向URL和Free IP必须在同一个网段内,否则用户无法访问指定的重定向URL。
802.1X用户HTTP访问的重定向URL可多次配置,但仅最后配置的一条有效。
# 配置802.1X用户HTTP访问的重定向URL为http://test.com。
[Sysname] dot1x ead-assistant url http://test.com
dot1x eapol untag 命令用来配置端口发送802.1X协议报文时不带Tag功能。
undo dot1x eapol untag 命令用来关闭端口发送802.1X协议报文时不带Tag功能。
【命令】
dot1x eapol untag
undo dot1x eapol untag
【缺省情况】
端口发送的802.1X协议报文时允许携带VLAN Tag。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
Hybrid端口开启802.1X认证,若该端口上通过port hyrid vlan命令配置了转发缺省VLAN报文携带VLAN Tag,则端口发送的缺省VLAN内的802.1X协议报文默认携带VLAN Tag。这种情况下,当终端发送的是不带VLAN Tag的报文进行802.1X认证时,由于其接收的是带Tag的报文,会导致802.1X认证失败。为了解决这个问题,设备支持配置端口发送802.1X协议报文时不带VLAN Tag的功能。
需要注意的是,除了上述应用场景,不要开启本功能,否则端口发送的所有802.1X报文都将去除VLAN Tag,可能导致正常用户无法通过802.1X认证。
【举例】
# 在端口GigabitEthernet 1/0/1上开启发送802.1X协议报文不带Tag.
<Sysname> system-view
[Sysname] interface gigabitethernet1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x eapol untag
dot1x guest-vlan命令用来配置指定端口的802.1X Guest VLAN,即802.1X用户在未认证的情况下可以访问的VLAN资源,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。
undo dot1x guest-vlan命令用来恢复缺省情况。
dot1x guest-vlan guest-vlan-id
guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Guest VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Guest VLAN,则该VLAN不能被指定为Super VLAN。
禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先使用命令undo dot1x guest-vlan取消802.1X Guest VLAN配置。
# 配置端口GigabitEthernet1/0/1的Guest VLAN为VLAN 100 。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x guest-vlan 100
dot1x guest-vlan-delay命令用来配置端口延迟加入802.1X Guest VLAN的功能。
undo dot1x guest-vlan-delay命令用来恢复缺省情况。
【命令】
dot1x guest-vlan-delay { eapol | new-mac }
undo dot1x guest-vlan-delay [ eapol | new-mac ]
【缺省情况】
端口延迟加入802.1X Guest VLAN的功能处于关闭状态。
【视图】
以太网接口视图
【缺省用户角色】
network-admin
【参数】
eapol:用来开启802.1X协议报文触发的端口延迟加入802.1X Guest VLAN功能。
new-mac:用来开启源MAC地址未知的报文触发的端口延迟加入802.1X Guest VLAN功能。
【使用指导】
开启802.1X认证,且端口的接入控制方式为MAC-based方式时,触发802.1X认证后端口会立即被加入到802.1X Guest VLAN中。在这种情况下,如果配置了端口延迟加入802.1X Guest VLAN功能,端口会主动向触发认证的源MAC地址单播发送EAP-Request报文。若在指定的时间内(通过命令dot1x timer tx-period设置)没有收到客户端的响应,则重发该报文,直到重发次数达到命令dot1x retry设置的最大次数时,若仍没有收到客户端的响应,才会加入到802.1X Guest VLAN中。
只有配置了802.1X单播触发功能的端口,收到源MAC地址未知的报文触发认证时,端口延迟加入802.1X Guest VLAN的功能才能生效。
undo dot1x guest-vlan-delay命令不指定任何参数时表示关闭802.1X协议报文触发和MAC地址未知的报文触发的端口延迟加入802.1X Guest VLAN的功能。
【举例】
# 在GigabitEthernet1/0/1上配置802.1X协议报文触发的端口延迟加入802.1X Guest VLAN功能。
<Sysname> system-view
[Sysname] interface gabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x guest-vlan-delay eapol
dot1x handshake命令用于开启在线用户握手功能。
undo dot1x handshake命令用于关闭在线用户握手功能。
开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1x timer handshake-period设置)向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次(通过命令dot1x retry设置)没有收到客户端的响应报文,则会将用户置为下线状态。
# 在端口GigabitEthernet1/0/1上开启在线用户握手功能。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake
· dot1x timer handshake-period
dot1x handshake reply enable命令用来开启端口对在线用户握手报文的回应功能。
undo dot1x handshake reply enable命令用来恢复缺省情况。
【命令】
dot1x handshake reply enable
undo dot1x handshake reply enable
【缺省情况】
端口不回应在线用户握手报文。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
端口上开启在线用户握手功能后,缺省情况下,设备收到该端口上802.1X在线用户的在线握手应答报文(EAP-Response/Identity报文)后,则认为该用户在线,并不给客户端回应在线握手成功报文(EAP-Success报文)。但是,有些802.1X客户端如果没有收到设备回应的在线握手成功报文(EAP-Success报文),就会自动下线。为了避免这种情况发生,需要在端口上开启对在线用户握手报文的回应功能。
需要注意的是,一般情况下建议不要开启此功能,只有当802.1X客户端需要收到在线握手成功报文时,才需要开启此功能。
【举例】
# 开启端口GigabitEthernet1/0/1上的对握手报文的回应功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake reply enable
【相关命令】
· dot1x handshake
dot1x handshake secure命令用来开启在线用户握手安全功能。
undo dot1x handshake secure命令用来恢复缺省情况。
只有设备上的在线握手功能处于开启状态时,安全握手功能才会生效。
iNode和iMC配合使用才能保证该功能正常使用。
# 在端口GigabitEthernet1/0/1上开启安全握手功能。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake secure
dot1x mac-binding命令用来手工配置802.1X认证的MAC地址绑定表项。
undo dot1x mac-binding命令用来删除指定的802.1X认证的MAC地址绑定表项。
【命令】
dot1x mac-binding mac-address
undo dot1x mac-binding { all | mac-address }
【缺省情况】
以太网接口下没有配置802.1X认证的MAC地址绑定表项。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
all: 表示删除接口下所有绑定的MAC地址。
mac-address:表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
【使用指导】
只有在802.1X认证的MAC地址绑定功能处于开启状态,且接口为基于MAC的接入控制方式的情况下,手工配置802.1X认证的MAC地址绑定表项才能生效。
802.1X认证的MAC地址绑定表项数受接口允许同时接入802.1X用户数的最大值(通过dot1x max-user命令配置)影响,当表项数等于接口允许同时接入802.1X用户最大用户数时,只有MAC地址绑定表项里的用户可以进行802.1X认证,其他用户认证失败;并且新的表项也不能被创建。
手工配置的802.1X认证MAC地址绑定表项不会老化,即使对应用户下线或设备保存配置重启后也不会删除此绑定表项。只能通过undo dot1x mac-binding mac-address命令删除此表项。用户在线时,不允许删除此表项。
【举例】
# 在接口GigabitEthernet1/0/1下配置802.1X认证的MAC地址绑定表项,与此接口绑定的MAC地址为000a-eb29-75f1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x mac-binding 000a-eb29-75f1
【相关命令】
· dot1x mac-binding enable
· dot1x port-method
dot1x mac-binding enable命令用来开启802.1X认证的MAC地址绑定功能并自动生成该接口与802.1X认证成功用户的MAC地址绑定表项。
undo dot1x mac-binding enable命令用来关闭802.1X认证的MAC地址绑定功能。
【命令】
dot1x mac-binding enable
undo dot1x mac-binding enable
【缺省情况】
802.1X认证的MAC地址绑定功能处于关闭状态。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
此功能只有在802.1X认证采用基于MAC的接入控制方式时才生效。
802.1X认证的MAC地址绑定表项数受接口允许同时接入802.1X用户数的最大值(通过dot1x max-user命令配置)影响,当表项数等于接口允许同时接入802.1X用户最大用户数时,只有MAC地址绑定表项里的用户可以进行802.1X认证,其他用户认证失败;并且新的表项也不能被创建。
自动生成的接口与802.1X认证成功用户的MAC地址绑定表项不会老化,即使该用户下线后或设备保存配置重启后也不会删除此绑定表项。只能通过undo dot1x mac-binding mac-address命令删除此表项。用户在线时,不允许删除此表项。
【举例】
# 在接口GigabitEthernet1/0/1下开启802.1X认证的MAC地址绑定功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x mac-binding enable
【相关命令】
· dot1x mac-binding
· dot1x port-method
dot1x mandatory-domain命令用来指定端口上802.1X用户使用的强制认证域。
undo dot1x mandatory-domain命令用来删除该端口上为802.1X用户指定的强制认证域。
dot1x mandatory-domain domain-name
未指定802.1X用户使用的强制认证域。
domain-name:ISP域名,为1~24个字符的字符串,不区分大小写。
从指定端口上接入的802.1X用户将按照如下先后顺序选择认证域:端口上指定的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。
# 指定端口GigabitEthernet1/0/1上802.1X用户使用的强制认证域为my-domain。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x mandatory-domain my-domain
dot1x max-user命令用来配置端口上最多允许同时接入的802.1X用户数。当接入此端口的802.1X用户数超过最大值后,新接入的用户将被拒绝。
undo dot1x max-user命令用来恢复缺省情况。
端口上最多允许同时接入的802.1X用户数为4294967295。
user-number:端口允许同时接入的802.1X用户数的最大值,取值范围为1~4294967295。
由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。
# 配置端口GigabitEthernet1/0/1上最多允许同时接入32个802.1X用户。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x max-user 32
dot1x multicast-trigger命令用来开启802.1X的组播触发功能。
undo dot1x multicast-trigger命令用来关闭802.1X的组播触发功能。
802.1X的组播触发功能处于开启状态。
开启了802.1X的组播触发功能的端口会定期(间隔时间通过命令dot1x timer tx-period设置)向客户端组播发送EAP-Request/Identity报文来检测客户端并触发认证。该功能用于支持不能主动发送EAPOL-Start报文来发起认证的客户端。
# 在端口GigabitEthernet1/0/1上开启802.1X的组播触发功能。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x multicast-trigger
dot1x port-control命令用来设置端口的授权状态。
undo dot1x port-control命令用来恢复缺省情况。
dot1x port-control { authorized-force | auto | unauthorized-force }
authorized-force:强制授权状态,表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
auto:自动识别状态,表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常用的一种状态。
unauthorized-force:强制非授权状态,表示端口始终处于非授权状态,不允许用户访问网络资源。
通过配置端口的授权状态,可以控制端口上接入的用户是否需要通过认证才能访问网络资源。
# 指定端口GigabitEthernet1/0/1处于强制非授权状态。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x port-control unauthorized-force
dot1x port-method命令用来配置端口的接入控制方式。
undo dot1x port-method命令用来恢复缺省情况。
dot1x port-method { macbased | portbased }
macbased:表示基于MAC地址对接入用户进行认证,即该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
portbased:表示基于端口对接入用户进行认证,即只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其它用户也会被拒绝使用网络。
在要求所有接入用户都单独认证的情况下,选择基于MAC的控制方式,可提高网络接入的安全性。否则,可采用基于端口的接入控制方式。
# 在端口GigabitEthernet1/0/1上配置对接入用户进行基于端口的802.1X认证。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x port-method portbased
dot1x quiet-period命令用来开启静默定时器功能。
undo dot1x quiet-period命令用来关闭静默定时器功能。
在静默定时器功能处于开启状态的情况下,设备将在一段时间之内不对802.1X认证失败的用户进行802.1X认证处理,该时间由802.1X静默定时器控制,可通过dot1x timer quiet-period命令配置。
# 开启静默定时器功能,并配置静默定时器的值为100秒。
[Sysname] dot1x quiet-period
[Sysname] dot1x timer quiet-period 100
dot1x re-authenticate命令用来开启周期性重认证功能。
undo dot1x re-authenticate命令用来关闭周期性重认证功能。
端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1x timer reauth-period)设定的时间间隔定期启动对该端口在线802.1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性。
# 在端口GigabitEthernet1/0/1上开启802.1X重认证功能,并配置周期性重认证时间间隔为1800秒。
[Sysname] dot1x timer reauth-period 1800
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate
dot1x re-authenticate manual命令用来强制端口下所有802.1X在线用户进行重认证。
【命令】
dot1x re-authenticate manual
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【举例】
# 强制接口GigabitEthernet1/0/1下所有802.1X在线用户进行重认证。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate manual
【相关命令】
· dot1x re-authenticate
dot1x re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的用户保持在线状态。
undo dot1x re-authenticate server-unreachable命令用来恢复缺省情况。
dot1x re-authenticate server-unreachable keep-online
undo dot1x re-authenticate server-unreachable
端口上的802.1X在线用户重认证时,若认证服务器不可达,则会被强制下线。
若端口上启动了802.1X的周期性重认证功能,则设备会定期对端口上的802.1X在线用户进行重认证,重认证过程中,若设备发现认证服务器状态不可达,则可以根据本配置,决定是否保持其在线状态。
# 配置端口GigabitEthernet1/0/1上的802.1X在线用户进行重认证时,若服务器不可达,则保持在线状态。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate server-unreachable keep-online
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。
undo dot1x retry命令用来恢复缺省情况。
max-retry-value:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10。
如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。对于EAP-Request/Identity报文,该时间由dot1x timer tx-period设置;对于EAP-Request/MD5 Challenge报文,该时间由dot1x timer supp-timeout设置。
# 配置设备最多向接入用户发送9次认证请求报文。
[Sysname] dot1x retry 9
dot1x timer命令用来配置802.1X的定时器参数。
undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
EAD超时定时器的值为30分钟,握手定时器的值为15秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。
ead-timeout-value:EAD超时定时器的值,取值范围为1~1440,单位为分钟。
handshake-period handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。
quiet-period quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。
reauth-period reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。
supp-timeout supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。
tx-period tx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒。
802.1X认证过程受以下定时器的控制:
· 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。
· 静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不对802.1X认证失败的用户进行802.1X认证处理。
· 周期性重认证定时器(reauth-period):端口下开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。
· 客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
· 用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。
需要注意的是,一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。修改后的定时器值,可立即生效。
# 设置认证服务器的超时定时器时长为150秒。
[Sysname] dot1x timer server-timeout 150
dot1x timer reauth-period命令用来配置端口下802.1X的重认证时间间隔。
undo dot1x timer reauth-period命令用来恢复缺省情况。
【命令】
dot1x timer reauth-period reauth-period-value
undo dot1x timer reauth-period
【缺省情况】
端口下周期性重认证定时器的值默认为3600秒。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【参数】
reauth-period-value:周期性重认证定时器的值,取值范围60~7200,单位为秒。
【使用指导】
端口下开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备以此间隔为周期对端口上认证成功的802.1X用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
802.1X认证用户进行重认证时,设备将按照如下由高到低的顺序为其选择周期性重认证超时间隔时间:服务器下发的重认证时间、接口下配置的重认证时间、全局配置的重认证时间、设备缺省的重认证时间。
【举例】
# 在端口GigabitEthernet1/0/1上配置802.1X周期性重认证定时器超时时长为60s。
[Sysname] interface gabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x timer reauth-period 60
【相关命令】
· dot1x timer
dot1x unicast-trigger命令用来开启端口上的802.1X的单播触发功能。
undo dot1x unicast-trigger命令用来关闭802.1X的单播触发功能。
802.1X的单播触发功能处于关闭状态。
单播触发功能开启后,当端口收到源MAC未知的报文时,主动向该MAC地址发送单播认证报文来触发认证。若设备端在设置的客户端认证超时时间内(该时间由dot1x timer supp-timeout设置)没有收到客户端的响应,则重发该报文(重发次数由dot1x retry设置)。
# 在端口GigabitEthernet1/0/1上开启802.1X的单播触发功能。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x unicast-trigger
reset dot1x guest-vlan命令用来清除Guest VLAN内802.1X用户,使其退出Guest VLAN。
reset dot1x guest-vlan interface interface-type interface-number [ mac-address mac-address ]
interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN,interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定 MAC地址的用户退出Guest VLAN。
# 在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的802.1X用户退出Guest VLAN。
<Sysname> reset dot1x guest-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
reset dot1x statistics命令用来清除802.1X的统计信息。
reset dot1x statistics [ interface interface-type interface-number ]
interface interface-type interface-number:清除指定端口上的802.1X统计信息,interface-type interface-number为端口类型和端口编号。
如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1X统计信息。
# 清除端口GigabitEthernet1/0/1上的802.1X统计信息。
<Sysname> reset dot1x statistics interface gigabitethernet 1/0/1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!