• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08-安全命令参考

目录

02-802.1X命令

本章节下载 02-802.1X命令  (212.91 KB)

02-802.1X命令


1 802.1X配置命令

1.1  802.1X配置命令

1.1.1  display dot1x

【命令】

display dot1x [ sessions | statistics ] [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

sessions:显示802.1X的会话连接信息。

statistics:显示802.1X的相关统计信息。

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display dot1x命令用来显示802.1X的相关信息,包括会话连接信息、相关统计信息或配置信息等。

需要注意的是,如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。

相关配置可参考命令reset dot1x statisticsdot1xdot1x retrydot1x max-userdot1x port-controldot1x port-methoddot1x timer

【举例】

# 显示802.1X的所有信息。

<Sysname> display dot1x

Equipment 802.1X protocol is enabled

CHAP authentication is enabled

EAD quick deploy is enabled

 

Configuration: Transmit Period     30 s,  Handshake Period       15 s

               Quiet Period        60 s,  Quiet Period Timer is disabled

               Supp Timeout        30 s,  Server Timeout         100 s

               Reauth Period     3600 s

               The maximal retransmitting times          3

EAD quick deploy configuration:

               URL: http://192.168.19.23

               Free IP: 192.168.19.0 255.255.255.0

               EAD timeout:    30m

 

The maximum 802.1X user resource number is 1024 per slot

Total current used 802.1X resource number is 1

 

GigabitEthernet1/0/1  is link-up

  802.1X protocol is enabled

  Handshake is disabled

  Handshake secure is disabled

  802.1X unicast-trigger is enabled

  Periodic reauthentication is disabled

  The port is an authenticator

  Authenticate Mode is Auto

  Port Control Type is Mac-based

  802.1X Multicast-trigger is enabled

  Mandatory authentication domain: NOT configured

  Guest VLAN: 4

  Auth-fail VLAN: NOT configured

  Critical VLAN: 3

  Critical recovery-action: reinitialize

  Max number of on-line users is 256

 

  EAPOL Packet: Tx 1087, Rx 986

  Sent EAP Request/Identity Packets : 943

       EAP Request/Challenge Packets: 60

       EAP Success Packets: 29, Fail Packets: 55

  Received EAPOL Start Packets : 60

           EAPOL LogOff Packets: 24

           EAP Response/Identity Packets : 724

           EAP Response/Challenge Packets: 54

           Error Packets: 0

1. Authenticated user : MAC address: 0015-e9a6-7cfe

 

  Controlled User(s) amount to 1

 

表1-1 display dot1x命令显示信息描述表

字段

描述

Equipment 802.1X protocol is enabled

全局的802.1X特性已经开启

CHAP authentication is enabled

是否使能CHAP认证

EAD quick deploy is enabled

EAD快速部署功能使能状态

Transmit Period

发送间隔定时器的时长

Handshake Period

设备向客户端发送握手报文的时间间隔

Reauth Period

周期性重认证的时间间隔

Quiet Period

静默定时器的时长

Quiet Period Timer is disabled

静默定时器的开启状态

Supp Timeout

客户端认证超时定时器的时长

Server Timeout

认证服务器超时定时器的时长

The maximal retransmitting times

设备向接入用户发送认证请求报文的最大次数

EAD quick deploy configuration

EAD快速部署功能的具体配置

URL

用户IE访问重定向的URL

Free IP

用户可访问的免认证网段

EAD timeout

ACL老化定时器超时时间

The maximum 802.1X user resource number per slot

每板最大支持的接入用户数

Total current used 802.1X resource number

当前在线接入用户数

GigabitEthernet1/0/1 is link-up

端口GigabitEthernet1/0/1的链路状态

802.1X protocol is disabled

该端口是否使能802.1X协议

Handshake is disabled

握手功能的使能状态

Handshake secure is disabled

安全握手功能的使能状态

802.1X unicast-trigger is disabled

802.1X单播触发功能的使能状态

Periodic reauthentication is disabled

周期性重认证功能的使能状态

The port is an authenticator

该端口担当设备端作用

Authenticate Mode is Auto

端口接入控制的模式为auto

Port Control Type is Mac-based

端口接入控制方式为mac-based,即基于MAC地址对接入用户进行认证

802.1X Multicast-trigger is enabled

802.1X组播触发功能的使能状态

Mandatory authentication domain

端口接入用户的强制认证域

Guest VLAN

端口配置的Guest VLAN,未配置则显示NOT configured

Auth-fail VLAN

端口配置的Auth Fail VLAN,未配置则显示NOT configured

Critical VLAN

端口配置的Critical VLAN,未配置则显示NOT configured

Critical recovery-action

端口配置的服务器可达时端口的恢复动作,reinitialize表示触发用户进行802.1X认证

未配置则显示NOT configured

Max number of on-line users

本端口最多可容纳的接入用户数

EAPOL Packet

EAPOL报文数目:Tx表示发送的报文数目;Rx表示接受的报文数目

Sent EAP Request/Identity Packets

发送的EAP Request/Identity报文数

EAP Request/Challenge Packets

发送的EAP Request/Challenge报文数

EAP Success Packets

发送的EAP Success报文数

Fail Packets

发送的EAP Failure报文数

Received EAPOL Start Packets

接收的EAPOL Start报文数

EAPOL LogOff Packets

接收的EAPOL LogOff报文数

EAP Response/Identity Packets

接收的EAP Response/Identity报文数

EAP Response/Challenge Packets

接收的EAP Response/Challenge报文数

Error Packets

接收的错误报文数

Authenticated user

认证通过的用户

Controlled User(s) amount

该端口受控用户数目

 

1.1.2  dot1x

【命令】

在系统视图下:

dot1x [ interface interface-list ]

undo dot1x [ interface interface-list ]

在以太网端口视图下:

dot1x

undo dot1x

【视图】

系统视图/以太网端口视图

【缺省级别】

2:系统级

【参数】

interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。如果不指定本参数,则表示开启全局的802.1X特性。

【描述】

dot1x命令用来开启指定端口上或全局的802.1X特性。undo dot1x命令用来关闭指定端口上或全局的802.1X特性。

缺省情况下,所有端口及全局的802.1X特性都处于关闭状态。

需要注意的是:

·     802.1X特性启动前后,均可以使用配置命令来配置全局或端口的802.1X特性参数。如果在开启全局802.1X特性前没有配置全局或端口的其它802.1X特性参数,则这些参数在运行时均为缺省值。

·     只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。

相关配置可参考命令display dot1x

【举例】

# 开启以太网端口GigabitEthernet1/0/1和GigabitEthernet1/0/5到GigabitEthernet1/0/7上的802.1X特性。

<Sysname> system-view

[Sysname] dot1x interface gigabitethernet 1/0/1 gigabitethernet 1/0/5 to gigabitethernet 1/0/7

或者

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x

[Sysname-GigabitEthernet1/0/1] quit

[Sysname] interface gigabitethernet 1/0/5

[Sysname-GigabitEthernet1/0/5] dot1x

[Sysname-GigabitEthernet1/0/5] quit

[Sysname] interface gigabitethernet 1/0/6

[Sysname-GigabitEthernet1/0/6] dot1x

[Sysname-GigabitEthernet1/0/6] quit

[Sysname] interface gigabitethernet 1/0/7

[Sysname-GigabitEthernet1/0/7] dot1x

# 开启全局的802.1X特性。

<Sysname> system-view

[Sysname] dot1x

1.1.3  dot1x attempts max-fail

【命令】

dot1x attempts max-fail unsuccessful-attempts

undo dot1x attempts max-fail

【视图】

二层以太网端口视图

【缺省级别】

2:系统级

【参数】

unsuccessful-attempts:对于已经通过MAC地址认证的用户,允许其进行802.1X认证失败的次数,取值范围为1~50。

【描述】

dot1x attempts max-fail命令用来配置已经通过MAC地址认证在线的用户的允许进行802.1X认证失败的次数。undo dot1x attempts max-fail命令用来恢复缺省情况。

缺省情况下,允许已经通过MAC地址认证的用户进行802.1X认证。

【举例】

# 在端口GigabitEthernet1/0/1上配置已经通过MAC地址认证在线的用户的进行802.1x认证失败的次数为3。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x attempts max-fail 3

1.1.4  dot1x authentication-method

【命令】

dot1x authentication-method { chap | eap | pap }

undo dot1x authentication-method

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法。

eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。

pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。

【描述】

dot1x authentication-method命令用来配置802.1X系统的认证方法。undo dot1x authentication-method命令用来恢复缺省情况。

缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法。

(1)     EAP终结认证方式:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该认证方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。

·     PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。目前,仅H3C iNode 802.1X客户端支持此认证方法。

·     CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。

(2)     EAP中继:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证。该认证方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法。

需要注意的是:

·     本地认证支持PAP和CHAP。

·     采用RADIUS认证方法时,PAP、CHAP、EAP认证功能的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证。

·     若采用EAP认证方式,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。

相关配置可参考命令display dot1x

【举例】

# 启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。

<Sysname> system-view

[Sysname] dot1x authentication-method pap

1.1.5  dot1x auth-fail vlan

【命令】

dot1x auth-fail vlan authfail-vlan-id

undo dot1x auth-fail vlan

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

【描述】

dot1x auth-fail vlan命令用来配置指定端口的Auth-Fail VLAN,即认证失败的用户被授权访问的VLAN。undo dot1x auth-fail vlan命令用来恢复缺省情况。

缺省情况下,端口没有配置Auth-Fail VLAN。

需要注意的是:

·     这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。

·     在接入控制方式为portbased的端口上配置的Auth-Fail VLAN,只有802.1X组播触发功能开启的情况下才生效。Auth-Fail VLAN生效后,若将端口的接入控制方式由portbased修改为macbased,则端口会离开Auth-Fail VLAN。

·     在接入控制方式为macbased的端口上配置的Auth-Fail VLAN,只有MAC VLAN功能开启的情况下才生效。Auth-Fail VLAN生效后,若将端口的接入控制方式由macbased修改为portbased,则已建立的Auth-Fail VLAN表项会被删除。Auth-Fail VLAN表项中记录了加入Auth-Fail VLAN的MAC地址与端口上使能的MAC VLAN,可以通过display mac-vlan查看。

·     如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个端口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“二层技术-以太网交换配置指导”中的“Super VLAN”。

·     禁止直接删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过命令undo dot1x auth-fail vlan取消802.1X的Auth-Fail VLAN配置。

·     同一个端口上可同时配置Auth-Fail VLAN和Guest VLAN。

相关配置可参考命令dot1xdot1x port-method

【举例】

# 在以太网端口GigabitEthernet1/0/1上配置Auth-Fail VLAN为3。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x auth-fail vlan 3

1.1.6  dot1x critical vlan

【命令】

dot1x critical vlan vlan-id

undo dot1x critical vlan

【视图】

二层以太网端口视图

【缺省级别】

2:系统级

【参数】

vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

【描述】

dot1x critical vlan命令用来配置指定端口的Critical VLAN,即当用户认证时对应的ISP域下所有认证服务器都不可达的情况下端口加入的VLAN。undo dot1x critical vlan命令用来恢复缺省情况。

缺省情况下,端口没有配置Critical VLAN。

需要注意的是:

·     认证服务器不可达是指,因网络故障等原因导致的,用于认证用户的ISP域所引用的所有服务器都不可达;

·     接入控制方式为MAC-based时,端口上必须先使能MAC VLAN功能,配置的Critical VLAN才生效;

·     接入控制方式在Port-based和MAC-based之间切换时,已经建立的Critical VLAN表项会被删除,位于其中的用户将返回到加入Critical VLAN之前所在的VLAN中。

·     如果某个VLAN被指定为Super VLAN,则不能被指定为Critical VLAN;反之,Critical vlan也不能被指定为Super VLAN;

·     已经配置为Critical VLAN的VLAN不允许删除。若要删除配置为Critical VLAN的VLAN,必须先取消802.1X的Critical VLAN配置;

·     若端口已经位于802.1X的Guest VLAN或Auth-Fail VLAN,则当所有认证服务器都不可达时,端口并不会离开当前的VLAN而加入Critical VLAN;

·     若端口已经位于MAC地址认证的Guest VLAN,则当所有认证服务器都不可达时,端口会离开当前的VLAN并加入Critical VLAN。

相关配置可参考命令dot1xdot1x port-methoddot1x critical recovery-action

【举例】

# 在端口GigabitEthernet1/0/1上配置Critical VLAN为VLAN 3。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x critical vlan 3

1.1.7  dot1x critical recovery-action

【命令】

dot1x critical recovery-action reinitialize

undo dot1x critical recovery-action

【视图】

二层以太网端口视图

【缺省级别】

2:系统级

【参数】

reinitialize:表示端口离开Critical VLAN,并开始主动对用户进行认证。

【描述】

dot1x critical recovery-action命令用于配置端口的恢复动作,即设备检测到认证服务器恢复为可达状态后端口执行的动作。undo dot1x critical recovery-action命令用于恢复缺省情况。

缺省情况下,设备检测到服务器恢复为可达状态后,端口仅仅离开Critical VLAN,不会对用户主动进行认证。

需要注意的是:

·     此命令仅用于和端口上的Critical VLAN配合使用。

·     接入控制方式为MAC-based时,如果端口上配置了恢复动作,则当服务器恢复可达后,处于Critical VLAN的端口会主动向已加入Critical VLAN的MAC地址发送单播报文触发其进行802.1X认证。

·     接入控制方式为Port-based时,如果端口上配置了恢复动作,则当服务器恢复可达后,处于Critical VLAN的端口会主动向客户端发送组播报文,触发端口上的客户端进行802.1X认证。

·     若需要实现认证服务器状态检测的实时性,使得设备能够及时发现有服务器恢复为可达状态,可配置认证服务器状态的探测功能。该功能的相关配置请参见“安全命令参考”中的“AAA”。

【举例】

# 在端口GigabitEthernet1/0/1上配置服务器可达后端口的动作为端口离开Critical VLAN,并开始对用户进行认证。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x critical recovery-action reinitialize

1.1.8  dot1x domain-delimiter

【命令】

dot1x domain-delimiter string

undo dot1x domain-delimiter

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

string:指定802.1X认证支持的域名分隔符,为1~16个字符的字符串,可包括字符@、\、/或三者的任意组合,且可重复,例如@/、@/\、\@/、//等。

【描述】

dot1x domain-delimiter命令用来配置802.1X支持的域名分隔符。undo dot1x domain-delimiter命令用来恢复缺省情况。

缺省情况下,802.1X仅支持域名分隔符@。

目前,802.1X支持的域名分隔符包括@、\和/,对应的用户名格式分别为username@domain-name domain-name\usernameusername/domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则仅将第一个出现的域名分隔符识别为实际使用的域名分隔符,其它域名分隔符字符都被认为是域名中的一部分,例如,用户输入的用户名为123/22\@abc,则认为纯用户名为123,域名分隔符为/,域名为22\@abc。

需要注意的是:

·     系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.1X仅会支持命令中指定的分隔符。

·     对于使用域名分隔符\或者/的802.1X在线用户,不能通过cut connection user-name user-name命令切断其连接,也不能通过display connection user-name user-name命令查看到其相关信息。例如,执行命令cut connection user-name aaa\bbb后,不能切断在线用户aaa\bbb的连接。关于命令display connectioncut connection的介绍请参见“安全命令参考”中的“AAA”。

【举例】

# 配置802.1X支持的域名分隔符为@、\和/。

<Sysname> system-view

[Sysname] dot1x domain-delimiter @\/

1.1.9  dot1x eapol untag

【命令】

dot1x eapol untag

undo dot1x eapol untag

【视图】

二层以太网端口视图

【缺省级别】

3:管理级

【描述】

dot1x eapol untag命令配置指定端口发送的802.1X协议报文不带Tag。

缺省情况下,端口发送的802.1X协议报文是否携带Tag由端口配置和动态授权VLAN决定。

【举例】

# 在端口GigabitEthernet1/0/1上配置发送802.1X协议报文不带Tag.

<Sysname> system-view

[Sysname]interface gigabitethernet1/0/1

[Sysname-GigabitEthernet/0/1] dot1x eapol untag

1.1.10  dot1x guest-vlan

【命令】

在系统视图下:

dot1x guest-vlan guest-vlan-id [ interface interface-list ]

undo dot1x guest-vlan [ interface interface-list ]

在以太网端口视图下:

dot1x guest-vlan guest-vlan-id

undo dot1x guest-vlan

【视图】

系统视图/以太网端口视图

【缺省级别】

2:系统级

【参数】

guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。如果不指定本参数,则表示配置所有二层以太网端口的Guest VLAN。

【描述】

dot1x guest-vlan命令用来配置指定端口的Guest VLAN。undo dot1x guest-vlan命令用来取消指定端口的Guest VLAN。

缺省情况下,端口没有配置Guest VLAN。

需要注意的是:

·     只有开启802.1X特性的情况下,Guest VLAN才能生效。

·     在接入控制方式为portbased的端口上配置的Guest VLAN,只有802.1X组播触发功能开启的情况下才生效。Guest VLAN生效后,若将端口的接入控制方式由portbased修改为macbased,则端口会离开Guest VLAN。

·     在接入控制方式为macbased的端口上配置的Guest VLAN,只有MAC VLAN功能开启的情况下才生效。Guest VLAN生效后,若将端口的接入控制方式由macbased修改为portbased,则已建立的Guest VLAN表项会被删除。Guest VLAN表项中记录了加入Guest VLAN的MAC地址与端口上使能的MAC VLAN,可以通过display mac-vlan查看。

·     如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Guest VLAN;同样,如果某个VLAN被指定为某个端口的Guest VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“二层技术-以太网交换配置指导”中的“Super VLAN”。

·     禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过命令undo dot1x guest-vlan取消802.1X的Guest VLAN配置。

·     同一个端口上可同时配置Guest VLAN和Auth-Fail VLAN。

相关配置可参考命令dot1xdot1x port-methoddot1x multicast-trigger和“二层技术-以太网交换命令参考/VLAN”中的mac-vlan enabledisplay mac-vlan

【举例】

# 配置端口GigabitEthernet1/0/1的Guest VLAN为已经创建的VLAN 999。

<Sysname> system-view

[Sysname] dot1x guest-vlan 999 interface gigabitethernet 1/0/1

# 配置端口GigabitEthernet1/0/2~GigabitEthernet1/0/5的Guest VLAN为已经创建的VLAN 10。

<Sysname> system-view

[Sysname] dot1x guest-vlan 10 interface gigabitethernet 1/0/2 to gigabitethernet 1/0/5

# 配置所有端口的Guest VLAN为已经创建的VLAN 7。

<Sysname> system-view

[Sysname] dot1x guest-vlan 7

# 配置端口GigabitEthernet1/0/7的Guest VLAN为已经创建的VLAN 3。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/7

[Sysname-GigabitEthernet1/0/7] dot1x guest-vlan 3

1.1.11  dot1x handshake

【命令】

dot1x handshake

undo dot1x handshake

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x handshake命令用于开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。undo dot1x handshake命令用于关闭在线用户握手功能。

缺省情况下,在线用户握手功能处于开启状态。

需要注意的是:建议在线用户握手功能与iNode客户端配合使用,以保证该功能可以正常运行。

【举例】

# 开启在线用户握手功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/4

[Sysname-GigabitEthernet1/0/4] dot1x handshake

1.1.12  dot1x handshake secure

【命令】

dot1x handshake secure

undo dot1x handshake secure

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x handshake secure命令用于开启在线用户握手安全功能。undo dot1x handshake secure命令用于关闭在线用户握手安全功能。

缺省情况下,在线用户握手安全功能处于关闭状态。

需要注意的是:

·     在线用户握手安全功能的实现依赖于在线用户握手功能。为使在线用户握手安全功能生效,请保证在线用户握手功能处于开启状态。

·     建议在线用户握手安全功能与iNode客户端以及iMC服务器配合使用,以保证该功能可以正常运行。

相关配置请参见命令dot1x handshake

【举例】

# 开启在线用户握手安全功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/4

[Sysname-GigabitEthernet1/0/4] dot1x handshake secure

1.1.13  dot1x mandatory-domain

【命令】

dot1x mandatory-domain domain-name

undo dot1x mandatory-domain

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

domain-name:ISP认证域名,为1~24个字符的字符串,不分区大小写。

【描述】

dot1x mandatory-domain命令用来配置以太网端口上802.1X用户的强制认证域。undo dot1x mandatory-domain命令用来删除该以太网端口上802.1X用户的认证域。

缺省情况下,未定义强制认证域。

需要注意的是:

·     从指定以太网端口上接入的802.1X用户将按照如下先后顺序选择认证域:端口上配置的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。

·     以太网端口上配置了强制认证域之后,使用不携带任何参数的display connection命令显示该端口下的用户连接信息时,所显示的用户域名为用户登录时使用的认证域名。但是,若要通过display connection domain isp-name命令显示该类用户、或者通过cut connection domain isp-name命令切断该类用户连接时,必须指定强制认证域名。关于命令display connection的介绍请参见“安全命令参考”中的“AAA”。

相关配置可参考命令display dot1x

【举例】

# 在以太网端口GigabitEthernet1/0/1上配置802.1X用户使用强制认证域my-domain。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x mandatory-domain my-domain

# 802.1X用户usera通过认证后,通过命令display connection可查看以太网端口GigabitEthernet1/0/1上的用户连接信息,该命令的具体介绍请参见“安全命令参考”中的“AAA”。

[Sysname-GigabitEthernet1/0/1] display connection interface gigabitethernet 1/0/1

Slot:  1

Index=68  ,Username=usera@my-domian

 IP=3.3.3.3

 IPv6=N/A

 MAC=0015-e9a6-7cfe

 

 Total 1 connection(s) matched on slot 1.

 Total 1 connection(s) matched.

1.1.14  dot1x max-user

【命令】

在系统视图下:

dot1x max-user user-number [ interface interface-list ]

undo dot1x max-user [ interface interface-list ]

在以太网端口视图下:

dot1x max-user user-number

undo dot1x max-user

【视图】

系统视图/以太网端口视图

【缺省级别】

2:系统级

【参数】

user-number:端口同时可容纳接入用户数量的最大值,取值范围为1~256。

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

dot1x max-user命令用来设置802.1X在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。

缺省情况下,端口同时可容纳接入用户数量的最大值为256。

需要注意的是:

·     在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。

·     在以太网端口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。

相关配置可参考命令display dot1x

【举例】

# 配置端口GigabitEthernet1/0/1上最多可容纳32个接入用户。

<Sysname> system-view

[Sysname] dot1x max-user 32 interface gigabitethernet 1/0/1

或者

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x max-user 32

# 配置端口GigabitEthernet1/0/2GigabitEthernet1/0/5中的每个端口上最多可容纳32个接入用户。

<Sysname> system-view

[Sysname] dot1x max-user 32 interface gigabitethernet 1/0/2 to gigabitethernet 1/0/5

1.1.15  dot1x multicast-trigger

【命令】

dot1x multicast-trigger

undo dot1x multicast-trigger

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x multicast-trigger命令用来使能802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。undo dot1x multicast-trigger命令用来关闭802.1X的组播触发功能。

缺省情况下,802.1X的组播触发功能处于开启状态。

相关配置可参考命令display dot1x

【举例】

# 在以太网端口GigabitEthernet1/0/1上开启802.1X的组播触发功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x multicast-trigger

1.1.16  dot1x port-control

【命令】

在系统视图下:

dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ]

undo dot1x port-control [ interface interface-list ]

在以太网端口视图下:

dot1x port-control { authorized-force | auto | unauthorized-force }

undo dot1x port-control

【视图】

系统视图/以太网端口视图

【缺省级别】

2:系统级

【参数】

authorized-force:强制授权。指示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。

auto:自动识别。指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。

unauthorized-force:强制非授权。指示端口始终处于非授权状态,不允许用户访问网络资源。

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

dot1x port-control命令用来设置端口的授权状态。undo dot1x port-control命令用来恢复缺省的端口授权状态。

缺省情况下,端口的授权状态为auto

需要注意的是:

·     在系统视图下执行该命令时,若指定了参数interface-list,则作用于参数interface-list所指定的端口;若不指定任何端口,则作用于当前系统中的所有端口。

·     在以太网端口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。

相关配置可参考命令display dot1x

【举例】

# 指定端口GigabitEthernet1/0/1处于强制非授权状态。

<Sysname> system-view

[Sysname] dot1x port-control unauthorized-force interface gigabitethernet 1/0/1

或者

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x port-control unauthorized-force

# 指定端口GigabitEthernet1/0/2~GigabitEthernet1/0/5均处于强制非授权状态。

<Sysname> system-view

[Sysname] dot1x port-control unauthorized-force interface gigabitethernet 1/0/2 to gigabitethernet 1/0/5

1.1.17  dot1x port-method

【命令】

在系统视图下:

dot1x port-method { macbased | portbased } [ interface interface-list ]

undo dot1x port-method [ interface interface-list ]

在以太网端口视图下:

dot1x port-method { macbased | portbased }

undo dot1x port-method

【视图】

系统视图/以太网端口视图

【缺省级别】

2:系统级

【参数】

macbased:表示基于MAC地址对接入用户进行认证,即该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

portbased:表示基于端口对接入用户进行认证,即只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

dot1x port-method命令用来配置802.1X在指定端口上进行接入控制的方式。undo dot1x port-method命令用来恢复缺省的接入控制方式。

缺省情况下,接入控制方式为macbased

需要注意的是:

·     在系统视图下执行该命令时,若指定了参数interface-list,则作用于interface-list参数所指定的端口;若不指定任何端口,则作用于当前系统中的所有端口。

·     在以太网端口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。

相关配置可参考命令display dot1x

【举例】

# 在端口GigabitEthernet1/0/1上配置对接入用户进行基于端口的802.1X认证。

<Sysname> system-view

[Sysname] dot1x port-method portbased interface gigabitethernet 1/0/1

或者

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x port-method portbased

# 配置端口GigabitEthernet1/0/2~GigabitEthernet1/0/5上对接入用户进行基于端口的802.1X认证。

<Sysname> system-view

[Sysname] dot1x port-method portbased interface gigabitethernet 1/0/2 to gigabitethernet 1/0/5

1.1.18  dot1x quiet-period

【命令】

dot1x quiet-period

undo dot1x quiet-period

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x quiet-period命令用来开启静默定时器功能。undo dot1x quiet-period命令用来关闭静默定时器功能。

缺省情况下,静默定时器功能处于关闭状态。

当802.1X用户认证失败以后,设备需要静默一段时间(该时间由静默定时器设置)。在静默期间,设备对该用户不进行802.1X认证的相关处理。

相关配置可参考命令display dot1xdot1x timer

【举例】

# 开启静默定时器。

<Sysname> system-view

[Sysname] dot1x quiet-period

1.1.19  dot1x re-authenticate

【命令】

dot1x re-authenticate

undo dot1x re-authenticate

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x re-authenticate命令用来开启周期性重认证功能。undo dot1x re-authenticate命令用来关闭周期性重认证功能。

缺省情况下,周期性重认证功能处于关闭状态。

端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1x timer reauth-period)设定的时间间隔定期启动对该端口在线802.1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN、QoS Profile)。

相关配置可参考命令dot1x timer reauth-period

【举例】

# 在以太网端口GigabitEthernet1/0/1上开启802.1X重认证功能,并配置周期性重认证时间间隔为1800秒。

<Sysname> system-view

[Sysname] dot1x timer reauth-period 1800

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate

1.1.20  dot1x retry

【命令】

dot1x retry max-retry-value

undo dot1x retry

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

max-retry-value:向接入用户发送认证请求报文的最大次数,取值范围为1~10。

【描述】

dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省情况。

缺省情况下,向接入用户发送认证请求报文的最大次数为2。

如果设备向用户发送认证请求报文后,在规定的时间里(可通过命令dot1x timer tx-period或者dot1x timer supp-timeout设定)没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。

需要注意的是:

·     此命令参数max-retry-value取值为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;取值为2时表示在首次向用户发送请求又没有收到响应后将重复发送1次;……依次类推。

·     本命令设置后将作用于所有端口。

相关配置可参考命令display dot1x

【举例】

# 配置设备最多向接入用户发送9次认证请求报文。

<Sysname> system-view

[Sysname] dot1x retry 9

1.1.21  dot1x timer

【命令】

dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }

undo dot1x timer { handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。

quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。

reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。

server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。

supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。

tx-period-value:用户名请求超时定时器的值,取值范围为10~120,单位为秒。

【描述】

dot1x timer命令用来配置802.1X的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省情况。

缺省情况下,握手定时器的值为15秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。

802.1X认证过程受以下定时器的控制:

·     握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。

·     静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不处理该用户的认证功能。

·     周期性重认证定时器(reauth-period):端口下开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

·     认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。

·     客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。

·     用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。

需要注意的是,一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。修改后的定时器值,可立即生效。

相关配置可参考命令display dot1x

【举例】

# 设置认证服务器的超时定时器时长为150秒。

<Sysname> system-view

[Sysname] dot1x timer server-timeout 150

1.1.22  dot1x unicast-trigger

【命令】

dot1x unicast-trigger

undo dot1x unicast-trigger

【视图】

以太网端口视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x unicast-trigger命令用来开启端口上的802.1X的单播触发功能。undo dot1x unicast-trigger命令用来关闭802.1X的单播触发功能。

缺省情况下,802.1X的单播触发功能处于关闭状态。

本功能开启后,当端口收到源MAC未知的报文时,主动向该MAC地址发送单播认证报文来触发认证。若设备端在设置的客户端认证超时时间内(该时间由dot1x timer tx-period设置)没有收到客户端的响应,则重发该报文(重发次数由dot1x retry设置)。

相关配置可参考命令display dot1xdot1x timer tx-perioddot1x retry

【举例】

# 在端口GigabitEthernet1/0/1上开启802.1X的单播触发功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x unicast-trigger

1.1.23  reset dot1x statistics

【命令】

reset dot1x statistics [ interface interface-list ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

reset dot1x statistics命令用来清除802.1X的统计信息。

需要注意的是:

·     如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1X统计信息;

·     如果指定端口类型和端口号,则清除指定端口上的802.1X统计信息。

相关配置可参考命令display dot1x

【举例】

# 清除端口GigabitEthernet1/0/1上的802.1X统计信息。

<Sysname> reset dot1x statistics interface gigabitethernet 1/0/1

1.1.24  vlan-group

【命令】

vlan-group group-name

undo vlan-group group-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

group-name:指定VLAN组的名称,为1~31个字符的字符串,首字符不可以是数字,区分大小写。

【描述】

vlan-group命令用来创建VLAN组并进入VLAN组视图。undo vlan-group命令用来删除指定的VLAN组。

缺省情况下,不存在VLAN组。

设备最多允许配置100个VLAN组。

【举例】

# 创建一个名称为test的VLAN组,并进入该VLAN组视图。

<Sysname> system-view

[Sysname] vlan-group test

1.1.25  vlan-list

【命令】

vlan-list vlan-list

undo vlan-list vlan-list

【视图】

VLAN组视图

【缺省级别】

2:系统级

【参数】

vlan-list:指定VLAN列表。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>。其中,vlan-id1vlan-id2为指定VLAN的编号,取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值。&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

vlan-list命令用来配置VLAN组的VLAN成员。undo vlan-list命令用来删除VLAN组中的VLAN成员。

需要注意的是:

·     配置的VLAN可以没有创建。

·     同一个VLAN可以属于不同的VLAN组。

·     可以通过多次执行本命令配置多个VLAN成员。

·     如果将指定为Super VLAN的VLAN配置为VLAN组成员,那么在用户认证成功后,从VLAN组中选择授权VLAN时,设备将忽略此VLAN。

【举例】

# 配置VLAN6、7、8属于VLAN组test。

<Sysname> system-view

[Sysname] vlan-group test

[Sysname-vlan-group-test] vlan-list 6 7 8


2 EAD快速部署命令

2.1  EAD快速部署命令

2.1.1  dot1x free-ip

【命令】

dot1x free-ip ip-address { mask-address | mask-length }

undo dot1x free-ip { ip-address { mask | mask-length } | all }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:免认证网段IP地址。

mask:免认证网段IP地址的掩码。

mask-length:免认证网段IP地址的掩码长度。

all:所有免认证网段。

【描述】

dot1x free-ip命令用来配置Free IP,即用户在802.1X认证成功之前可访问的免认证网段。undo dot1x free-ip命令用来删除配置的Free IP。

缺省情况下,未定义Free IP。

需要注意的是:

·     Free IP功能与全局使能MAC认证、端口安全功能及二层Portal功能互斥;

·     Free IP功能只在端口接入控制的模式为auto的情况下生效;

相关配置可参考命令display dot1x

【举例】

# 配置终端用户在802.1X认证之前可访问的免认证网段为192.168.0.0/24。

<Sysname> system-view

[Sysname] dot1x free-ip 192.168.0.0 24

2.1.2  dot1x timer ead-timeout

【命令】

dot1x timer ead-timeout ead-timeout-value

undo dot1x timer ead-timeout

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ead-timeout-value:EAD规则的老化时间,取值范围为1~1440,单位为分钟。

【描述】

dot1x timer ead-timeout命令用来配置EAD规则的老化时间。undo dot1x timer ead-timeout命令用来恢复缺省配置。

缺省情况下,EAD规则的老化时间为30分钟。

相关配置可参考命令display dot1x

【举例】

# 配置EAD规则的老化时间为5分钟。

<Sysname> system-view

[Sysname] dot1x timer ead-timeout 5

2.1.3  dot1x url

【命令】

dot1x url url-string

undo dot1x url

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

url-string:重定向URL地址,为1~64个字符的字符串,区分大小写,格式为“http://string”。

【描述】

dot1x url命令用来配置用户HTTP访问的重定向URL,即用户在802.1X认证成功之前,如果使用浏览器访问非Free IP网段的其它网络,设备会将用户访问的URL重定向到已配置的HTTP访问的重定向地址。undo dot1x url命令用来删除用户HTTP访问的重定向URL。

缺省情况下,未定义重定向URL。

需要注意的是:

·     重定向的URL和Free IP必须在同一个网段内,否则无法访问指定的重定向URL;

·     用户HTTP访问的重定向URL可多次配置,但仅最后配置的一条有效。

相关配置可参考命令display dot1xdot1x free-ip

【举例】

# 配置用户HTTP访问的重定向URL为http://192.168.0.1。

<Sysname> system-view

[Sysname] dot1x url http://192.168.0.1

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们