• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

09-安全命令参考

目录

26-802.1X Client命令

本章节下载 26-802.1X Client命令  (202.17 KB)

26-802.1X Client命令


1 802.1X Client

说明

仅Release 6320及以上版本支持802.1X Client功能。

 

1.1  802.1X Client功能配置命令

1.1.1  display dot1x supplicant

display dot1x supplicant命令用来显示802.1X Client认证信息。

【命令】

display dot1x supplicant [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:表示显示指定接口上的802.1X Client认证信息。interface-type interface-number为接口类型和接口编号。如果不指定本参数,则表示显示所有接口上的802.1X Client认证信息。

【举例】

# 显示接口Ten-GigabitEthernet1/0/1下802.1X Client认证信息。

<Sysname> display dot1x supplicant interface ten-gigabitethernet 1/0/1

Ten-GigabitEthernet1/0/1

  Username             : aaa

  EAP method           : PEAP-MSCHAPv2

  Dot1x supplicant     : Enabled

  Anonymous identifier : bbb

  SSL client policy    : policy_1

  FSM state            : Init

  EAPOL-Start packets  : 0

表1-1 display dot1x supplicant interface命令显示信息描述表

字段

描述

Username

用户名

EAP method

认证类型,包括以下取值:

·     MD5

·     PEAP-GTC

·     PEAP-MSCHAPv2

·     TTLS-GTC

·     TTLS-MSCHAPv2

Dot1x supplicant

802.1X Client功能所处状态:

·     Enabled:开启状态

·     Disabled:关闭状态

Anonymous identifier

匿名认证用户名

SSL client policy

802.1X Client引用的SSL客户端策略

FSM state

802.1X Client认证状态,包括以下取值:

·     Init:初始状态

·     Connecting:正在连接状态

·     Authenticating:正在认证状态

·     Authenticated:认证成功状态

·     Held:静默状态

EAPOL-Start packets

发送的EAPOL-Start报文个数

 

1.1.2  dot1x supplicant anonymous identify

dot1x supplicant anonymous identify命令用来配置802.1X Client匿名认证用户名。

undo dot1x supplicant anonymous identify命令用来恢复缺省情况。

【命令】

dot1x supplicant anonymous identify identifier

undo dot1x supplicant anonymous identify

【缺省情况】

不存在802.1X Client匿名认证用户名。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【参数】

identifier:表示802.1X Client匿名认证用户名,为1~253个字符的字符串,区分大小写。

【使用指导】

仅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC认证方法时,才需要配置匿名认证用户名。802.1X Client在第一阶段的认证过程中,优先发送匿名认证用户名,而在第二阶段将在被加密的报文中发送配置的认证用户名。配置了802.1X Client匿名认证用户名可有效保护认证用户名不在第一阶段的认证过程中被泄露。如果设备上没有配置匿名认证用户名,则两个认证阶段均使用配置的认证用户名进行认证。

当802.1X Client采用的认证方法为MD5-Challenge时,配置的802.1X Client匿名认证用户名无效,设备仍将使用配置的认证用户名进行认证。

如果认证服务器厂商不支持匿名认证用户名,则不要配置匿名认证用户名。

【举例】

# 配置802.1X Client匿名认证用户名为bbb。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant anonymous identify bbb

【相关命令】

·     display dot1x supplicant

·     dot1x supplicant enable

·     dot1x supplicant username

1.1.3  dot1x supplicant eap-method

dot1x supplicant eap-method命令用来配置802.1X Client采用的EAP认证方法。

undo dot1x supplicant eap-method命令用来恢复缺省情况。

【命令】

dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }

undo dot1x supplicant eap-method

【缺省情况】

802.1X Client采用的EAP认证方法为MD5-Challenge。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【参数】

md5:表示采用的认证方法为MD5-Challenge。

peap-gtc:表示采用的认证方法为PEAP-GTC。

peap-mschapv2:表示采用的认证方法为PEAP-MSCHAPv2。

ttls-gtc:表示采用的认证方法为TTLS-GTC。

ttls-mschapv2:表示采用的认证方法为TTLS-MSCHAPv2。

【使用指导】

配置的802.1X Client认证方法必须和认证服务器端支持的EAP认证方法保持一致。

【举例】

# 配置802.1X Client采用的认证方法为PEAP-GTC。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant eap-method peap-gtc

【相关命令】

·     display dot1x supplicant

·     dot1x supplicant enable

1.1.4  dot1x supplicant enable

dot1x supplicant enable命令用来开启802.1X Client功能。

undo dot1x supplicant enable命令用来关闭802.1X Client功能。

【命令】

dot1x supplicant enable

undo dot1x supplicant enable

【缺省情况】

802.1X Client功能处于关闭状态。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【使用指导】

开启802.1X Client功能前,请确保设备(Authenticator)上关于802.1X认证的配置已完成。

请不要在加入聚合接口的以太网接口上开启802.1X Client功能,否则可能会导致用户认证失败。

【举例】

# 开启802.1X Client功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant enable

【相关命令】

·     display dot1x supplicant

1.1.5  dot1x supplicant mac-address

dot1x supplicant mac-address命令用来配置802.1X Client认证使用的MAC地址。

undo dot1x supplicant mac-address命令用来恢复缺省情况。

【命令】

dot1x supplicant mac-address mac-address

undo dot1x supplicant mac-address

【缺省情况】

802.1X Client认证使用接口的MAC地址,若获取不到接口MAC地址则使用设备的MAC地址。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【参数】

mac-address:MAC地址,格式为H-H-H,不支持组播MAC地址、全0的MAC地址和全F的MAC地址。输入本参数时,可以省去MAC地址中每段开头的“0”,例如输入“f-e2-1”即表示输入 “000f-00e2-0001”。

【使用指导】

设备作为802.1X Client时,如果有多个以太网接口需要与对端建立MACsec连接,为了保证各接口能够顺利通过802.1X认证,需要为各接口上配置不同的MAC地址。可通过以太网接口视图下的mac-address命令为接口配置不同的MAC地址,或通过本命令为以太网接口配置不同的802.1X Client认证使用的MAC地址。

有关MACsec的详细介绍,请参考“安全配置指导”中的“MACsec”。

【举例】

# 配置802.1X Client认证使用的MAC地址为0001-0001-0001。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant mac-address 1-1-1

1.1.6  dot1x supplicant password

dot1x supplicant password命令用来配置802.1X Client认证密码。

undo dot1x supplicant password命令用来恢复缺省情况。

【命令】

dot1x supplicant password { cipher | simple } string

undo dot1x supplicant password

【缺省情况】

不存在802.1X Client认证密码。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【参数】

cipher:以密文方式设置密码。

simple:以明文方式设置密码,该密码将以密文形式存储。

string:密码字符串,区分大小写。明文密码为1~127个字符的字符串,密文密码为1~201个字符的字符串。

【举例】

# 配置802.1X Client的明文认证密码为123456。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant password simple 123456

【相关命令】

·     display dot1x supplicant

·     dot1x supplicant enable

1.1.7  dot1x supplicant ssl-client-policy

dot1x supplicant ssl-client-policy命令用来指定802.1X Client引用的SSL客户端策略。

undo dot1x supplicant ssl-client-policy命令用来恢复缺省情况。

【命令】

dot1x supplicant ssl-client-policy policy-name

undo dot1x supplicant ssl-client-policy policy-name

【缺省情况】

802.1X Client引用系统缺省的SSL客户端策略。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【参数】

policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写,且引用的SSL客户端策略必须已存在。

【使用指导】

当802.1X Client认证采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC时,被认证设备作为SSL客户端会在802.1X Client第一阶段认证过程中,与对端SSL服务器进行SSL协商。在第二阶段被认证设备使用SSL协商出来的结果对交互的认证报文进行加密传输。

在SSL协商过程中,802.1X Client作为SSL客户端连接SSL服务器时,需要使用本命令来引用SSL客户端策略。SSL客户端策略中配置了SSL客户端启动时使用的SSL参数,包括使用的PKI域、支持的加密套件和使用的SSL协议版本。有关SSL客户端策略的详细配置请参见“安全配置指导”中的“SSL”。

当802.1X Client认证采用MD5-Challenge认证方法时,认证过程不会引用SSL客户端策略。

【举例】

# 在接口Ten-GigabitEthernet1/0/1下指定802.1X Client引用的SSL客户端策略为policy_1。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant ssl-client-policy policy_1

【相关命令】

·     display dot1x supplicant

·     dot1x supplicant enable

·     ssl client-policy(安全命令参考/SSL)

1.1.8  dot1x supplicant transmit-mode

dot1x supplicant transmit-mode命令用来配置802.1X Client认证使用的报文发送方式。

undo dot1x supplicant transmit-mode命令用来恢复缺省情况。

【命令】

dot1x supplicant transmit-mode { multicast | unicast }

undo dot1x supplicant transmit-mode

【缺省情况】

802.1X Client认证使用单播方式发送EAP-Response和EAPOL-Logoff报文。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【参数】

multicast:使用组播方式发送EAP-Response和EAPOL-Logoff报文,该报文目的地址为组播MAC地址01-80-C2-00-00-03。

unicast:使用单播方式发送EAP-Response和EAPOL-Logoff报文。

【使用指导】

设备作为802.1X Client进行802.1X认证时,如果网络中的NAS设备不支持接收单播EAP-Response或EAPOL-Logoff报文,会导致802.1X认证失败,此时建议开启组播发送方式。

【举例】

# 配置端口Ten-GigabitEthernet1/0/1上802.1X Client认证使用的报文类型为组播。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant transmit-mode multicast

1.1.9  dot1x supplicant username

dot1x supplicant username命令用来配置802.1X Client认证用户名。

undo dot1x supplicant username命令用来恢复缺省情况。

【命令】

dot1x supplicant username username

undo dot1x supplicant username

【缺省情况】

不存在802.1X Client认证用户名。

【视图】

以太网接口视图

【缺省用户角色】

network-admin

【参数】

username:表示802.1X Client认证用户名,为1~253个字符的字符串,区分大小写。

【使用指导】

802.1X Client认证用户名可以携带域名,域名中可用的分隔符包括@、\、/和.,对应的用户名格式分别为username@domain-namedomain-name\usernameusername/domain-nameusername.domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符。若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\。域名分隔符的使用方法同命令dot1x domain-delimiter,有关此命令的详细介绍请参见“安全命令参考”中的“802.1X”。

【举例】

# 配置802.1X Client认证用户名为aaa。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant username aaa

【相关命令】

·     display dot1x supplicant

·     dot1x domain-delimiter(安全命令参考/802.1X)

·     dot1x supplicant enable

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们