05-WLAN用户接入认证命令
本章节下载: 05-WLAN用户接入认证命令 (312.46 KB)
目 录
1.1.2 client url-redirect enable
1.1.3 client-security aaa attribute ip-snooping-method
1.1.4 client-security accounting-delay time
1.1.5 client-security accounting-restart trigger ipv4
1.1.6 client-security accounting-start trigger
1.1.7 client-security accounting-update trigger
1.1.8 client-security accounting dual-stack separate enable
1.1.9 client-security authentication critical-vlan
1.1.10 client-security authentication fail-vlan
1.1.11 client-security authentication-location
1.1.12 client-security authentication-mode
1.1.13 client-security authorization-fail offline
1.1.14 client-security ignore-authentication
1.1.15 client-security ignore-authorization
1.1.16 client-security intrusion-protection action
1.1.17 client-security intrusion-protection enable
1.1.18 client-security intrusion-protection timer temporary-block
1.1.19 client-security intrusion-protection timer temporary-service-stop
1.1.20 display wlan client-security block-mac
1.1.21 display wlan statistics accounting
1.1.24 dot1x eap-termination authentication-method
1.1.25 dot1x eap-termination eap-profile
1.1.27 dot1x handshake secure enable
1.1.29 dot1x re-authenticate enable
1.1.32 mac-authentication domain
1.1.33 mac-authentication max-user
client url-redirect acl命令用来配置客户端URL重定向的授权ACL。
undo client url-redirect acl命令用来恢复缺省情况。
【命令】
client url-redirect acl acl-number
undo client url-redirect acl
【缺省情况】
未配置客户端URL重定向的授权ACL。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
acl-number:重定向授权ACL编号,取值范围为2000~3999。
【使用指导】
配置本命令后,设备既下发重定向授权ACL又可以下发业务ACL。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置重定向授权ACL 3111。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect acl 3111
【相关命令】
· client url-redirect enable
client url-redirect enable命令用来开启客户端URL重定向功能。
undo client url-redirect enable命令用来关闭客户端URL重定向功能。
【命令】
client url-redirect enable [ mode native [ https [ redirect-stop-timer seconds ] [ count number ] ] ]
undo client url-redirect enable
【缺省情况】
客户端URL重定向功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
mode native:指定URL重定向方式为本地重定向,即设备会对初次上线进行MAC地址认证的用户进行URL重定向。
https:对于HTTPS的报文进行本地重定向。
redirect-stop-timer seconds:URL重定向结束时间,取值范围为1~30秒,单位秒,缺省为5秒。
count number:访问URL重定向IP地址的次数,取值范围为3~60,缺省为3。
【使用指导】
该功能只能在无线服务模板处于关闭状态时配置。
本功能仅适用于客户端采用RADIUS服务器认证方式进行的MAC地址认证。
在用户进行MAC地址认证上线过程中,如果RADIUS服务器上没有记录用户及其MAC地址的对应信息,但仍需要用户进行认证时,可以通过在设备上开启URL重定向功能。开启后,用户可以根据RADIUS服务器下发的重定向URL,跳转到指定的Web认证界面进行Portal用户认证。Portal用户认证通过后,RADIUS服务器将记录用户的MAC地址信息,并通过DM报文强制用户下线,此后该用户即可正常完成MAC地址认证。有关DM报文的详细介绍请参见对应交换机产品“安全配置指导”中的“AAA”。
对于有信息推广需求的客户,需要指定URL重定向为本地重定向,RADIUS服务器下发重定向URL后,设备就会对初次上线进行MAC地址认证的用户进行一次URL重定向,一旦确定用户访问过重定向URL,设备将不再进行重定向,此后用户可以正常完成MAC地址认证:
· 对于HTTP的报文,用户只要访问过重定向URL,设备就会认为用户访问过重定向URL。
· 对于HTTPS的报文,用户只有在指定的重定向时间内访问重定向IP地址达到指定次数,设备才会认为用户访问过重定向URL。
只要设备上没有用户Cache相关信息,就认为该用户为初次上线用户。
【举例】
# 在无线服务模板service1下开启客户端URL重定向功能,并配置对于URL重定向为本地重定向,对于HTTPS报文配置重定向结束时间为10秒、访问重定向IP地址的次数为10次。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect enable mode native https redirect-stop-timer 10 count 10
【相关命令】
· client url-redirect acl
client-security aaa attribute ip-snooping-method命令用来开启RADIUS报文携带用户IP地址学习方式的功能。
undo client-security aaa attribute ip-snooping-method命令用来恢复缺省情况。
【命令】
client-security aaa attribute ip-snooping-method
undo client-security aaa attribute ip-snooping-method
【缺省情况】
RADIUS报文携带用户IP地址学习方式的功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能,在无线802.1X认证或MAC地址认证的RADIUS报文中携带RADIUS扩展属性,标识用户IP地址学习方式。设备支持的RADIUS扩展属性Vendor-ID为25506,属性的具体介绍请参见对应交换机产品“安全配置指导”中的“AAA”的“附录C RADIUS扩展属性(Vendor-ID=25506)”。
RADIUS服务器可以根据通过RADIUS扩展属性判断IP地址是否属于服务器分配。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下,开启RADIUS报文携带用户IP地址方式功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security aaa attribute ip-snooping-method
client-security accounting-delay time命令用来开启计费延时功能。
undo client-security accounting-delay time命令用来恢复缺省情况。
【命令】
client-security accounting-delay time time [ no-ip-logoff ]
undo client-security accounting-delay time
【缺省情况】
学习到无线客户端的IP地址后,才会向计费服务器发起计费开始请求。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time time:计费延时的时长,取值范围为1~600,单位为秒。
no-ip-logoff:如果设备在指定的延时时间内没有获取到无线客户端IP地址,则让客户端下线。若不指定该参数,则设备在指定计费延时时间到达后,将会发送计费开始请求报文。
【使用指导】
如果在指定的计费延时时间内设备没有学习到指定类型客户端的IP地址,则执行相应的计费延时动作。触发计费开始的无线客户端IP地址类型由client-security accounting-start trigger命令的配置决定,当客户端IP地址类型为none时,计费延时功能不生效。
建议根据设备获取IP地址的时长来配置计费延时的时长,若网络环境较差,设备需要较长的时间获取到IP地址,则可适当增大该值。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置计费延时时间为15秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-delay time 15 no-ip-logoff
【相关命令】
· client-security accounting-start trigger
client-security accounting-restart trigger ipv4命令用来开启IPv4地址变化客户端的重新计费功能。
undo client-security accounting-restart trigger ipv4命令用来恢复缺省情况。
【命令】
client-security accounting-restart trigger ipv4 [ delay interval ]
undo client-security accounting-restart trigger ipv4
【缺省情况】
IPv4地址变化客户端的重新计费功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
delay interval:重新发送计费开始报文的延迟时间,取值范围为0~20,单位为秒,缺省取值为15秒。
【使用指导】
通过client-security accounting-update trigger命令配置触发计费更新的无线客户端IP地址类型为IPv4后,当客户端IPv4地址发生变化时,设备就会立即向计费服务器发送计费更新报文,对客户端进行重新计费;开启本功能后,当客户端IPv4地址发生变化时,首先设备会立即向计费服务器发送计费停止报文,然后经过配置的重新发送计费开始报文的延时时间,再重新向计费服务器发送计费开始报文,对客户端进行重新计费。
client-security accounting-restart trigger ipv4命令的优先级高于client-security accounting-update trigger命令。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下,开启IPv4地址变化客户端的重新计费功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-restart trigger ipv4 delay 10
client-security accounting-start trigger命令用来配置触发计费开始的无线客户端IP地址类型。
undo client-security accounting-start trigger命令用来恢复缺省情况。
【命令】
client-security accounting-start trigger { ipv4 | ipv4-ipv6 [ separate ] | ipv6 | none }
undo client-security accounting-start trigger
【缺省情况】
触发计费开始的无线客户端IP地址类型为IPv4。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6。
separate:表示无线客户端的每个IP地址都会触发计费开始。若不指定该参数,则由客户端的第一个IP地址触发计费开始。
ipv6:表示无线客户端IP地址类型为IPv6。
none:表示设备在无线客户端认证成功后就会发送计费开始请求报文。
【使用指导】
无线客户端通过802.1X认证或者MAC地址认证方式上线后,设备会根据触发计费开始的无线客户端IP地址类型决定是否向计费服务器发送计费开始请求报文,当计费服务器返回计费开始响应报文后开始对客户端进行计费。
配置触发计费开始的无线客户端IP地址类型时,需要开启相应类型的客户端地址学习功能,配置才会生效,否则无法触发计费开始。有关客户端地址学习功能的详细介绍请参见“WLAN IP Snooping”。
本命令配置的无线客户端IP地址类型需要满足计费服务器的协议要求。
无线服务模板开启后,再配置本特性,新配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置触发计费开始的无线客户端IP地址类型为IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-start trigger ipv4
【相关命令】
· client ipv4-snooping arp-learning enable(WLAN IP Snooping)
· client ipv4-snooping dhcp-learning enable(WLAN IP Snooping)
· client ipv6-snooping dhcpv6-learning enable(WLAN IP Snooping)
· client ipv6-snooping nd-learning enable(WLAN IP Snooping)
· client ipv6-snooping snmp-nd-report enable(WLAN IP Snooping)
· client-security accounting-delay
· client-security accounting-update trigger
client-security accounting-update trigger命令用来配置触发计费更新的无线客户端IP地址类型。
undo client-security accounting-update trigger命令用来恢复缺省情况。
【命令】
client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 }
undo client-security accounting-update trigger
【缺省情况】
根据计费服务器下发或设备配置的实时计费的时间间隔周期性发送计费更新请求报文。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4,设备仅在学习到客户端IPv4地址变化时才会发送计费更新请求报文。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6,设备只要学习到客户端IP地址变化就会发送计费更新请求报文。
ipv6:表示无线客户端IP地址类型为IPv6,设备仅在学习到客户端IPv6地址变化时才会发送计费更新请求报文。
【使用指导】
仅当触发计费开始的无线客户端IP地址类型配置生效时,触发计费更新的无线客户端IP地址类型的配置才会生效。
当完成该配置后,该配置和周期性发送计费更新报文功能同时生效。
假设配置的触发计费更新的无线客户端IP地址类型为IPv6,周期性发送计费更新报文功能配置的实时计费间隔为12分钟(timer realtime-accounting命令配置),则设备会每隔12分钟发起一次计费更新请求,且当在线客户端IPv6地址发生变化时,设备也会立即发送计费更新请求报文。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板下,配置触发计费更新的客户端IP地址类型为IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-update trigger ipv4
【相关命令】
· client-security accounting-start trigger
· timer realtime-accounting(AAA)
client-security accounting dual-stack separate enable命令用来开启802.1X无线客户端双协议栈流量计费分离功能。
undo client-security accounting dual-stack separate enable命令用来关闭802.1X无线客户端双协议栈流量计费分离功能。
【命令】
client-security accounting dual-stack separate enable
undo client-security accounting dual-stack separate enable
【缺省情况】
802.1X无线客户端双协议栈流量计费分离功能处于关闭状态,即设备会将IPv4网络和IPv6网络的总流量发送给AAA服务器进行计费。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
开启802.1X无线客户端双协议栈流量计费分离功能后,设备会分别统计用户访问IPv4网络和IPv6网络的流量并发给AAA计费服务器。
配置本命令后,对于接入认证模式为dot1x-then-mac、mac-then-dot1x和oui-then-dot1x的无线客户端,即使仅MAC地址认证成功,设备也会分别统计无线客户端访问IPv4网络和IPv6网络的流量并发给AAA计费服务器。
本命令只能在无线服务模板处于关闭状态时配置。
本命令不适用于无线终结者方案。
client-security authentication critical-vlan命令用来配置服务模板下的Critical VLAN。
undo client-security authentication critical-vlan命令用来恢复缺省情况。
【命令】
client-security authentication critical-vlan vlan-id
undo client-security authentication critical-vlan
【缺省情况】
未配置Critical VLAN。
【视图】
【缺省用户角色】
【参数】
vlan-id:Critical VLAN 的VLAN ID,取值范围为1~4094。
【使用指导】
Critical VLAN功能允许用户在认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源,这个VLAN称之为Critical VLAN。配置Critical VLAN后,当用户认证时,若所有认证服务器都不可达,则用户将被加入该VLAN,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证:
· 如果重认证通过,设备会根据授权服务器是否下发VLAN来重新指定该用户所在VLAN。即如果授权服务器下发了VLAN,则该用户将被加入该下发的VLAN,否则该用户将被加入其原来所属的VLAN。
· 如果重认证未通过,当认证服务不可达时,用户仍然仅可访问Critical VLAN中的资源,当认证服务器可达但因某种原因明确拒绝用户认证通过,且配置了Fail VLAN时,用户可以访问Fail VLAN中的资源。
需要注意的是,如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达,则用户会直接下线,不会加入Critical VLAN。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置Critical VLAN为VLAN 10。
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication critical-vlan 10
client-security authentication fail-vlan命令用来配置服务模板下的认证失败VLAN。
undo client-security authentication fail-vlan命令用来恢复缺省情况。
【命令】
client-security authentication fail-vlan vlan-id
undo client-security authentication fail-vlan
【缺省情况】
未配置认证失败VLAN。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
vlan-id:认证失败VLAN的VLAN ID,取值范围为1~4094。
【使用指导】
这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
配置认证失败的VLAN必须是已经存在的VLAN。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板1下配置认证失败VLAN为VLAN 10。
<Sysname> sysname-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client-security authentication fail-vlan 10
client-security authentication-location命令用来配置WLAN用户接入认证位置。
undo client-security authentication-location命令用来恢复缺省情况。
【命令】
client-security authentication-location { ac | ap | central-ac }
undo client-security authentication-location
【缺省情况】
WLAN用户接入认证位置在AC上。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ac:在分层AC架构中,表示WLAN用户接入认证位置在Local AC上;在非分层AC架构中,表示WLAN用户接入认证位置在AC上。
ap:配置WLAN用户接入认证位置在AP上。
central-ac:在分层AC架构中,表示WLAN用户接入认证位置在Central AC上。
【使用指导】
仅在分层AC架构中,可以配置WLAN用户接入认证位置在Central AC上,否则会导致用户认证失败。有关分层AC的详细介绍,请参见“分层AC”。
当客户端数据报文转发位置为AC时,配置的用户接入认证位置不能为AP,否则会导致用户认证失败。有关客户端数据报文转发位置命令的详细介绍,请参见对应交换机产品“WLAN命令参考”中的“WLAN接入”。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 配置客户端的用户认证位置在AC上。
<Sysname> system-view
[Sysname] wlan service-template s1
[Sysname-wlan-st-s1] client-security authentication-location ac
【相关命令】
· client forwarding-location(WLAN接入)
client-security authentication-mode命令用来配置无线用户接入认证模式。
undo client-security authentication-mode命令用来恢复缺省情况。
【命令】
client-security authentication-mode { dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x | mac-and-dot1x }
undo client-security authentication-mode
【缺省情况】
不对用户进行接入认证即Bypass认证。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
dot1x:表示只进行802.1X认证。
dot1x-then-mac:表示先进行802.1X认证,如果失败,再进行MAC地址认证。如果认证成功,则不进行MAC地址认证。
mac:表示只进行MAC地址认证。
mac-then-dot1x:表示先进行MAC地址认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。
oui-then-dot1x:表示先进行OUI认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。
mac-and-dot1x:表示既进行MAC地址认证,又进行802.1X认证。先进行MAC地址认证,如果失败,则不再进行认证。如果认证成功,则再进行802.1X认证。
【使用指导】
以上各模式下,每个无线服务模板上均允许接入多个认证通过的用户。802.1X用户的数目由dot1x max-user命令配置,MAC地址认证用户的数目由mac-authentication max-user命令配置。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置无线用户接入认证模式为MAC地址认证模式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication-mode mac
client-security authorization-fail offline命令用来开启授权失败后的用户下线功能。
undo client-security authorization-fail offline命令用来关闭授权失败后的用户下线功能。
【命令】
client-security authorization-fail offline
undo client-security authorization-fail offline
【缺省情况】
授权失败后的用户下线功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
如果开启了授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;
如果没有开启授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效,设备打印Log信息。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启授权失败用户下线功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization-fail offline
client-security ignore-authentication命令用来配置忽略802.1X或MAC地址认证结果。
undo client-security ignore-authentication命令用来恢复缺省情况。
【命令】
client-security ignore-authentication
undo client-security ignore-authentication
【缺省情况】
对于802.1X认证方式的无线用户,应用802.1X认证结果;对于通过RADIUS服务器进行远程MAC地址认证的无线用户,应用MAC地址认证结果。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本功能仅适用于采用802.1X认证方式的无线用户以及通过RADIUS服务器进行远程MAC地址认证+Portal认证的无线用户。
若某无线服务模板下有漫游的RSN+802.1X认证方式的无线用户上线,请勿配置本功能,否则会导致漫游失败。
本功能适用于以下两种用户:
· 对于802.1X认证的无线用户,开启本功能后,当802.1X认证失败时,设备会忽略这一认证结果,允许用户访问网络资源。
· 对于通过RADIUS服务器进行远程MAC地址认证+Portal认证的无线用户,需要依次通过MAC地址认证和Portal认证才能访问网络资源,且每次都需要输入Portal用户名和密码。配置本功能后,可以简化上述认证过程。简化后的认证过程如下:
¡ 若RADIUS服务器上已经记录了用户和客户端MAC地址的对应信息,判断用户通过MAC地址认证,且不需要进行Portal认证即可访问网络资源。
¡ 若RADIUS服务器上未记录用户和客户端MAC地址的对应信息,判断MAC地址认证失败。此时,设备忽略这一认证结果,直接进行Portal认证。Portal认证通过后即可访问网络资源,同时RADIUS服务器将记录该用户和客户端MAC地址的对应信息。
本功能只能在无线服务模板处于关闭的状态下进行配置。
【举例】
# 在无线服务模板service1下配置忽略802.1X或MAC地址认证的结果。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authentication
client-security ignore-authorization命令用来配置忽略RADIUS服务器或设备本地下发的授权信息。
undo client-security ignore-authorization命令用来恢复缺省情况。
【命令】
client-security ignore-authorization
undo client-security ignore-authorization
【缺省情况】
应用RADIUS服务器或设备本地下发的授权信息。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。若不希望接受这类动态下发的授权属性,则可通过配置本命令来忽略。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置忽略RADIUS服务器或设备本地下发的授权信息。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authorization
client-security intrusion-protection action命令用来配置当接收到非法报文时采取的入侵检测模式。
undo client-security intrusion-protection action命令用来恢复缺省情况。
【命令】
client-security intrusion-protection action { service-stop | temporary-block | temporary-service-stop }
undo client-security intrusion-protection action
【缺省情况】
入侵检测模式为temporary-block模式。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
service-stop:直接关闭收到非法报文的BSS提供的所有服务。用户可以手工在Radio口上重新生成该BSS使得用户正常接入。
temporary-block:临时将用户MAC加入阻塞MAC列表中。临时阻止非法用户上线的时间由client-security intrusion-protection timer temporary-block命令配置。
temporary-service-stop:临时将收到非法报文的BSS所提供的所有服务关闭。临时关闭收到非法报文的BSS所提供服务的时间由client-security intrusion-protection timer temporary-service-stop命令配置。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
只有开启入侵检测功能后,入侵检测措施才生效。开启入侵检测功能由client-security intrusion-protection enable命令配置。
【举例】
# 在无线服务模板service1下配置入侵检测措施为service-stop。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action service-stop
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection timer temporary-block
· client-security intrusion-protection timer temporary-service-stop
client-security intrusion-protection enable命令用来开启入侵检测功能。
undo client-security intrusion-protection enable命令用来关闭入侵检测功能。
【命令】
client-security intrusion-protection enable
undo client-security intrusion-protection enable
【缺省情况】
入侵检测功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当设备检测到一个认证失败的用户试图通过该无线服务模板绑定的BSS(基本服务集)接入时,如果入侵检测功能处于开启状态,则设备将对其所在的BSS采取相应的安全措施。具体的安全措施由client-security intrusion-protection action命令指定。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启入侵检测功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
【相关命令】
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-block命令用来配置临时阻塞非法入侵用户的时长。
undo client-security intrusion-protection timer temporary-block命令用来恢复缺省情况。
【命令】
client-security intrusion-protection timer temporary-block time
undo client-security intrusion-protection timer temporary-block
【缺省情况】
临时阻塞非法入侵用户时间为180秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:临时阻塞非法入侵用户时长,取值范围为60~300,单位为秒。
【使用指导】
当入侵检测功能处于使能状态且入侵检测措施为临时阻塞非法用户(temporary-block)时,如果用户认证失败,则在该配置所指定的时间范围内,源MAC地址为此非法MAC地址的用户将无法认证成功,在这段时间之后恢复正常。
当无线服务模板使能后,若修改临时阻塞非法用户的时长,则新的配置在原有定时器超时后生效。
【举例】
# 在无线服务模板service1下配置临时阻塞非法入侵用户时长为120秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-block
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-block 120
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-service-stop命令用来配置临时关闭BSS服务的时长。
undo client-security intrusion-protection timer temporary-service-stop命令用来恢复缺省情况。
【命令】
client-security intrusion-protection timer temporary-service-stop time
undo client-security intrusion-protection timer temporary-service-stop
【缺省情况】
临时关闭BSS服务时长为20秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:临时关闭BSS服务的时长,取值范围为10~300,单位为秒。
【使用指导】
当入侵检测功能处于使能状态,且入侵检测措施为临时关闭服务(temporary-service-stop)时,如果设备检测到非法报文,则在该配置指定的时间段内关闭用户所在的BSS所提供的所有服务,在此期间用户将无法通过该服务接入网络,这段时间之后恢复正常。
当无线服务模板使能后,若修改临时关闭BSS服务的时长,则新的配置在原有定时器超时后生效。
【举例】
# 在无线服务模板service1下配置临时关闭BSS服务的时长为30秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-service-stop
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-service-stop 30
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
display wlan client-security block-mac命令用来显示阻塞MAC地址信息。
【命令】
display wlan client-security block-mac [ ap ap-name [ radio radio-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示接入指定AP的所有阻塞MAC地址信息,ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。如果未指定本参数,则显示所有阻塞MAC地址信息。
radio radio-id:显示接入指定射频的所有阻塞MAC地址信息,其中radio-id为射频编号,本参数的取值范围与AP型号有关,请以设备的实际情况为准。如果未指定本参数,则显示AP下所有Radio下的阻塞MAC地址信息。
【使用指导】
阻塞MAC是指入侵检测模式为temporary-block时,被加入到阻塞MAC列表中的用户。
【举例】
# 显示所有阻塞MAC地址信息。
<Sysname> display wlan client-security block-mac
MAC address AP ID RADIO ID BSSID
0002-0002-0002 1 1 00ab-0de1-0001
000d-88f8-0577 1 1 0ef1-0001-02c1
Total entries: 2
表1-1 display wlan client-security block-mac命令显示信息描述表
字段 |
描述 |
MAC address |
阻塞MAC地址,格式为“H-H-H” |
AP ID |
阻塞MAC地址所在AP的编号 |
RADIO ID |
阻塞MAC地址所在的Radio编号 |
BSSID |
基本服务集标识符,格式为H-H-H |
Total entries |
阻塞MAC地址表项条数 |
【相关命令】
· client-security instrusion-protection action
· client-security instrusion-protection timer temporary-block
display wlan statistics accounting命令用来查看无线客户端的RADIUS计费报文统计信息。
【命令】
display wlan statistics accounting
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示无线客户端的RADIUS计费报文统计信息。
<Sysname> display wlan statistics accounting
Account start request : 1
Account start response : 1
Account update request : 3
Account update response : 3
Account stop request : 1
Account stop response : 1
表1-2 display wlan statistics accounting命令显示信息描述表
字段 |
描述 |
Account start request |
发送RADIUS计费开始请求报文数目 |
Account start response |
收到RADIUS计费开始回应报文数目 |
Account update request |
发送RADIUS计费更新请求报文数目 |
Account update response |
收到RADIUS计费更新回应报文数目 |
Account stop request |
发送RADIUS计费停止请求报文数目 |
Account stop response |
收到RADIUS计费停止回应报文数目 |
dot1x domain命令用来指定无线服务模板下802.1X用户的认证域。
undo dot1x domain命令用来恢复缺省情况。
【命令】
dot1x domain domain-name
undo dot1x domain
【缺省情况】
未指定无线服务模板下的802.1X用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择认证域:无线服务模板下指定的认证域-->用户名中指定的认证域-->系统缺省的认证域。
【举例】
# 配置无线服务模板service1下802.1X用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x domain my-domain
dot1x eap命令用来配置802.1X认证的EAP协议模式。
undo dot1x eap命令用来恢复缺省情况。
【命令】
dot1x eap { extended | standard }
undo dot1x eap
【缺省情况】
EAP协议模式为standard。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
extended:表示EAP协议模式为扩展的EAP协议,即要求客户端和设备按照私有EAP协议的规范和报文格式进行交互。
standard:表示EAP协议模式为标准的EAP协议,即要求客户端和设备按照标准EAP协议的规范和报文格式进行交互。
【使用指导】
只能在无线服务模板关闭的状态下开启该功能。
【举例】
# 在无线服务模板1下配置802.1X认证的EAP协议为扩展模式。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] dot1x eap extended
dot1x eap-termination authentication-method命令用来配置802.1X认证采用EAP终结方式时与认证服务器之间进行交互认证的方法。
undo dot1x eap-termination authentication-method命令用来恢复缺省情况。
【命令】
dot1x eap-termination authentication-method { chap | pap }
undo dot1x eap-termination authentication-method
【缺省情况】
采用CHAP方法进行认证。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
chap:与认证服务器之间采用CHAP方法进行认证。
pap:与认证服务器之间采用PAP方法进行认证。
【使用指导】
当客户端采用EAP中继方式通过认证服务器认证失败时,可以配置本命令,设备采用EAP终结方式以指定的认证方法与认证服务器进行交互,从而使客户端通过认证。
目前本命令仅支持采用PEAP-GTC认证方式的认证请求报文进行处理。
【举例】
# 配置802.1X认证采用EAP终结方式时与认证服务器之间采用PAP方法进行认证。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x eap-termination authentication-method pap
dot1x eap-termination eap-profile命令用来配置802.1X认证采用EAP终结方式时引用的EAP认证方案。
undo dot1x eap-termination eap-profile命令用来恢复缺省情况。
【命令】
dot1x eap-termination eap-profile eap-profile-name
undo dot1x eap-termination eap-profile
【缺省情况】
未配置802.1X认证采用EAP终结方式时引用的EAP认证方案。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
eap-profile-name:EAP认证方案名称,为1~32个字符的字符串,不区分大小写。引用的EAP认证方案名称必须已经存在。
【使用指导】
当客户端使用了RADIUS服务器不支持的认证方法,并采用EAP中继方式进行认证,造成认证失败时,可以配置本命令,设备采用EAP终结方式将客户端认证请求报文封装在标准RADIUS报文中发送给认证服务器,从而使客户端通过认证。
目前本命令仅支持采用PEAP-GTC认证方式的认证请求报文进行处理。
【举例】
# 配置802.1X认证采用EAP终结方式时引用的EAP认证方案为gtcprofile。
<Sysname> system-view
[Sysname] wlan service-template srvtmp1
[Sysname-wlan-st-srvtmp1] dot1x eap-termination eap-profile gtcprofile
【相关命令】
· eap-profile(AAA)
· method(AAA)
· ssl-server-policy
dot1x handshake enable命令用来开启802.1X在线用户握手功能。
undo dot1x handshake enable命令用来关闭802.1X在线用户握手功能。
【命令】
dot1x handshake enable
undo dot1x handshake enable
【缺省情况】
802.1X在线用户握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数(最大重发次数通过命令dot1x retry设置),而还没有收到用户响应,则强制该用户下线。
由于802.1X握手成功,设备不会再对用户进行回复,导致某些客户端在一段时间后会进行重认证或者下线。请根据实际情况配置本功能。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 开启无线服务模板service1下的802.1X在线用户握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
【相关命令】
· dot1x handshake secure enable
· dot1x retry(802.1X)
· dot1x timer handshake-period(802.1X)
dot1x handshake secure enable命令用来开启802.1X在线用户安全握手功能。
undo dot1x handshake secure enable命令用来关闭802.1X在线用户安全握手功能。
【命令】
dot1x handshake secure enable
undo dot1x handshake secure enable
【缺省情况】
802.1X在线用户的安全握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
802.1X安全握手功能只有在开启了802.1X握手功能的前提下才生效。
该命令只对进行802.1X接入认证且成功上线的用户有效。
【举例】
# 开启无线服务模板service1下的802.1X在线用户安全握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
[Sysname-wlan-st-service1] dot1x handshake secure enable
【相关命令】
· dot1x handshake enable
dot1x max-user命令用来配置单个射频下单个无线服务模板上的802.1X最大用户数。
undo dot1x max-user命令用来恢复缺省情况。
【命令】
dot1x max-user count
undo dot1x max-user
【缺省情况】
单个射频下单个无线服务模板上允许同时接入的802.1X用户数为512个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:单个射频下单个无线服务模板上最多允许同时接入的802.1X用户数,取值范围为1~512。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当单个射频下单个无线服务模板上同时接入的802.1X用户数超过最大值后,新的用户将被拒绝。
【举例】
# 配置单个射频下单个无线服务模板service1上的802.1X最大用户数为500。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x max-user 500
dot1x re-authenticate enable命令用来开启802.1X周期性重认证功能。
undo dot1x re-authenticate enable命令用来关闭802.1X周期性重认证功能。
【命令】
dot1x re-authenticate enable
undo dot1x re-authenticate enable
【缺省情况】
802.1X周期性重认证功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
无线服务模板启动了802.1X的周期性重认证功能后,设备会根据系统视图下配置的周期性重认证定时器(dot1x timer reauth-period)时间间隔对在线802.1X用户启动认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL,VLAN,User Profile)。
用户进行802.1X认证成功后,如果服务器下发了Termination action和Session timeout属性(display dot1x connection),且Termination action取值为Radius-Request,Session timeout取值不为0,设备将以Session timeout为周期对用户进行重认证,以检测用户在线状态,并更新授权信息。
本命令只能在无线服务模板处于关闭状态时配置。
在认证服务器没有下发Terminal action和Session timeout属性或下发的Terminal action取值不为Request的情况下,如果使能802.1X重认证功能,设备也会定期向已经在线的802.1X用户发起重认证,此时重认证周期由802.1X重认证定时器配置。
【举例】
# 开启无线服务模板service1下的802.1X重认证功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x re-authenticate enable
【相关命令】
· dot1x timer(802.1X)
fail-permit enable命令用来开启用户逃生功能。
undo fail-permit enable命令用来关闭用户逃生功能。
【命令】
fail-permit enable [ keep-online ]
undo fail-permit enable
【缺省情况】
用户逃生功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
keep-online:逃生时在线用户依然保持在线。若不指定本参数,则表示逃生时在线用户会被强制踢下线。
【使用指导】
开启用户逃生功能后,该无线服务模板下的用户采用802.1X认证、MAC地址认证或Bypass认证接入网络且AC与RADIUS服务器断开连接或AC与AP断开连接时,可以通过逃生功能继续访问网络。
对于采用不同认证方式的在线用户,逃生功能对其产生的影响有所不同:
· 用户采用Bypass认证接入网络:如果使用fail-permit template命令配置了逃生服务模板,发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络;如果没有配置逃生服务模板,用户可以在该无线服务模板下发生逃生,继续访问网络且无感知。
· 用户采用MAC地址认证接入网络:如果配置了逃生服务模板,发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络;如果没有配置逃生服务模板,用户可以在该无线服务模板下发生逃生,但会短暂被踢下线,需等待网络重新自动连接后可继续访问网络。
· 用户采用802.1X认证接入网络:需要提前配置好逃生服务模板,发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络。
用户要逃生成功必须通过radius-server test-profile命令配置RADIUS服务器探测模板,当探测到RADIUS服务器不可达时,用户进行逃生。同时,建议根据实际情况配置发送探测报文的周期,周期越短,响应越快。关于RADIUS服务器探测模板的详细介绍,请参见对应交换机产品“安全配置指导”中的“AAA”。
本命令只能在无线服务模板处于关闭状态时配置。
本命令不能在同一无线服务模板下与fail-permit template命令同时配置。
【举例】
# 在无线服务模板视图开启用户逃生功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] fail-permit enable
【相关命令】
· fail-permit template
fail-permit template命令用来配置当前无线服务模板为逃生服务模板。
undo fail-permit template用来取消配置当前无线服务模板为逃生服务模板。
【命令】
fail-permit template
undo fail-permit template
【缺省情况】
未配置当前无线服务模板为逃生服务模板。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当无线用户通过fail-permit enable命令在当前无线服务模板开启了用户逃生功能后,可以通过配置本命令,将其它无线服务模板配置为逃生服务模板。当AC与RADIUS服务器断开连接或AC与AP断开连接时,用户服务会被切换到逃生服务模板上并被踢下线,需手动重新连接到逃生服务模板配置的SSID后才可继续访问网络。
当无线5G用户接入网络,可以通过配置本命令将除当前Radio上绑定的无线服务模板外的其它无线服务模板配置为逃生服务模板,并绑定到同一AP的其它Radio上。当前Radio雷达静默时,用户服务切换到其他Radio上的逃生服务模板,从而使用户继续访问网络。
本命令只能在无线服务模板处于关闭状态时配置。
本命令不能在同一无线服务模板下与fail-permit enable命令同时配置。
建议系统中仅配置一个逃生服务模板,如果配置多个,则第一个绑定到Radio的逃生服务模板生效。
建议配置逃生服务模板时将akm mode配置为psk模式或不配置akm mode,否则可能导致逃生失败。
建议配置了本命令的无线服务模板的转发位置在AP上,否则可能会导致用户逃生失败。
如果开启了用户逃生功能的无线服务模板的认证位置在AP上,则配置了本命令的无线服务模板的认证位置也要在AP上。
配置5G用户逃生服务模板时,逃生服务模板与当前Radio绑定的无线服务模板配置必须保持一致。
【举例】
# 配置当前无线服务模板为逃生服务模板。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] fail-permit template
【相关命令】
· fail-permit enable
· akm mode
mac-authentication domain命令用来指定无线服务模板下MAC地址认证用户的ISP域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定无线服务模板下的MAC地址认证用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。
【举例】
# 配置无线服务模板service1下MAC地址认证用户使用的ISP域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication domain my-domain
mac-authentication max-user命令用来配置单个射频下单个无线服务模板上的MAC地址认证最大用户数。
undo mac-authentication max-user命令用来恢复缺省情况。
【命令】
mac-authentication max-user count
undo mac-authentication max-user
【缺省情况】
单个射频下单个无线服务模板上允许接入的MAC地址认证最大用户数为4096个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:单个射频下单个无线服务模板上最多允许同时接入的MAC地址认证用户数,取值范围为1~4096。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当单个射频下单个无线服务模板上同时接入的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置单个射频下单个无线服务模板上的MAC地址认证最大用户数为32个。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication max-user 32
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!