02-802.1X命令
本章节下载: 02-802.1X命令 (557.28 KB)
目 录
1.1.2 display dot1x connection
1.1.3 display dot1x mac-address
1.1.5 dot1x { ip-verify-source | ipv6-verify-source } enable
1.1.6 dot1x access-user log enable
1.1.7 dot1x authentication-method
1.1.14 dot1x critical-voice-vlan
1.1.16 dot1x duplicate-eapol-start discard
1.1.17 dot1x ead-assistant enable
1.1.18 dot1x ead-assistant free-ip
1.1.19 dot1x ead-assistant url
1.1.20 dot1x eap-tls-fragment to-server
1.1.27 dot1x handshake reply enable
1.1.30 dot1x mac-binding enable
1.1.33 dot1x multicast-trigger
1.1.34 dot1x offline-detect enable
1.1.39 dot1x re-authenticate manual
1.1.40 dot1x re-authenticate server-unreachable keep-online
1.1.42 dot1x server-recovery online-user-sync
1.1.44 dot1x timer reauth-period (interface view)
1.1.45 dot1x unauthenticated-user aging enable
1.1.48 reset dot1x access-user
display dot1x命令用来显示802.1X的相关信息。
【命令】
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
sessions:显示802.1X的会话连接信息。
statistics:显示802.1X的相关统计信息。
interface interface-type interface-number:显示指定端口的802.1X信息。interface-type interface-number为端口类型和端口编号。
【使用指导】
如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。
如果不指定interface参数,则显示所有端口上的802.1X信息。
【举例】
# 显示802.1X的所有信息。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
M-LAG member configuration conflict : Unknown
EAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Offline detect period : 300 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
User aging period for Auth-Fail VLAN : 1000 s
User aging period for Auth-Fail VSI : 1000 s
User aging period for critical VLAN : 1000 s
User aging period for critical VSI : 1000 s
User aging period for guest VLAN : 1000 s
User aging period for guest VSI : 1000 s
EAD assistant function : Disabled
URL : http://www.example.com
Free IP : 6.6.6.0 255.255.255.0
EAD timeout : 30 min
Domain delimiter : @
Max EAP-TLS fragment (to-server) : 400 bytes
Online 802.1X wired users : 1
Twenty-FiveGigE1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Offline detection : Disabled
Unicast trigger : Disabled
Periodic reauth : Enabled
Reauth period : 80 s
Port role : Authenticator
Authorization mode : Auto
Port access control : MAC-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : 3
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Add Guest VLAN delay : Disabled
Critical profile : Not configured
Re-auth server-unreachable : Logoff
Max online users : 4294967295
User IP freezing : Disabled
Send Packets Without Tag : Disabled
Max Attempts Fail Number : 0
Guest VSI : Not configured
Auth-Fail VSI : Not configured
Critical VSI : Not configured
Add Guest VSI delay : Disabled
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auth-Fail EAPOL : Disabled
Critical EAPOL : Disabled
Discard duplicate EAPOL-Start : No
EAPOL packets: Tx 3, Rx 3
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0000 Authenticated
表1-1 display dot1x命令显示信息描述表
字段 |
描述 |
Global 802.1X parameters |
全局802.1X参数配置信息 |
802.1X authentication |
全局802.1X的开启状态 |
M-LAG member configuration conflict |
两台M-LAG设备配置检查结果 · Conflicted:两台M-LAG设备上的配置不匹配 · Not conflicted:两台M-LAG设备上配置的相匹配 · Unknown:无法检测两台M-LAG设备上的配置是否匹配 |
CHAP authentication |
启用EAP终结方式,并采用CHAP认证方法 |
EAP authentication |
启用EAP中继方式,并支持所有EAP认证方法 |
PAP authentication |
启用EAP终结方式,并采用PAP认证方法 |
Max-tx period |
用户名请求超时定时器的值 |
Handshake period |
握手定时器的值 |
Offline detect period |
下线检测定时器的值 |
Quiet timer |
静默定时器的开启状态 |
Quiet period |
静默定时器的值 |
Supp timeout |
客户端认证超时定时器的值 |
Server timeout |
认证服务器超时定时器的值 |
Reauth period |
重认证定时器的值 |
Max auth requests |
设备向接入用户发送认证请求报文的最大次数 |
User aging period for Auth-Fail VLAN |
Auth-Fail VLAN中用户的老化时间 |
User aging period for Auth-Fail VSI |
Auth-Fail VSI中用户的老化时间 |
User aging period for critical VLAN |
Critical VLAN中用户的老化时间 |
User aging period for critical VSI |
Critical VSI中用户的老化时间 |
User aging period for guest VLAN |
Guest VLAN中用户的老化时间 |
User aging period for guest VSI |
Guest VSI中用户的老化时间 |
User aging period for critical microsegment |
(暂不支持)Critical微分段中用户的老化时间 |
EAD assistant function |
EAD快速部署辅助功能的开启状态 |
URL |
用户HTTP访问的重定向URL |
Free IP |
用户通过认证之前可访问的网段 |
EAD timeout |
EAD老化定时器超时时间 |
Domain delimiter |
域名分隔符 |
Max EAP-TLS fragment (to-server) |
向认证服务器发送的认证报文中携带的EAP-TLS分片报文最大长度 若未配置EAP-TLS分片报文最大长度,则显示为N/A |
Online 802.1X wired users |
在线802.1X有线用户和正在发起认证的802.1X有线用户的总数 |
Twenty-FiveGigE1/0/1 is link-up |
端口Twenty-FiveGigE1/0/1的链路状态 |
802.1X authentication |
端口上802.1X的开启状态 |
Handshake |
在线用户握手功能的开启状态 |
Handshake reply |
在线用户握手回应功能的开启状态 |
Handshake security |
安全握手功能的开启状态 |
Offline detection |
802.1X认证下线检测的开启状态 · Enabled:处于开启且已生效状态 · Disabled:处于关闭状态 · Enabled(NOT effective):处于开启但未生效状态。在使能了下线检测功能的情况下,修改端口接入控制方式为Port-based时,显示此状态 |
Unicast trigger |
802.1X单播触发功能的开启状态 |
Periodic reauth |
周期性重认证功能的开启状态 |
Reauth period |
端口上802.1X周期性重认证定时器的值。若周期性重认证功能处于关闭状态,则不显示本字段;若未在端口上配置重认证周期定时器的值,则显示为N/A |
Port role |
该端口担当认证端的作用,目前仅支持作为认证端 |
Authorization mode |
端口的授权状态 · Force-Authorized:强制授权状态 · Auto:自动识别状态 · Force-Unauthorized:强制非授权状态 |
Port access control |
端口接入控制方式 · MAC-based:基于MAC地址对接入用户进行认证 · Port-based:基于端口对接入用户进行认证 |
Multicast trigger |
802.1X组播触发功能的开启状态 |
Mandatory auth domain |
端口上的接入用户使用的强制认证域 |
Guest VLAN |
端口配置的Guest VLAN,若此功能未配置则显示Not configured |
Auth-fail VLAN |
端口配置的Auth-Fail VLAN,若此功能未配置则显示Not configured |
Critical VLAN |
端口配置的Critical VLAN,若此功能未配置则显示Not configured |
Critical voice VLAN |
(暂不支持)端口配置802.1X认证的Critical Voice VLAN功能的开启状态,包括如下取值: · Enabled:打开 · Disabled:关闭 |
Add Guest VLAN delay |
端口延迟加入Guest VLAN功能的状态和触发原因: · EAPOL:802.1X协议报文触发端口延迟加入802.1X Guest VLAN · NewMac:源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN · ALL:802.1X协议报文或源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN · Disabled:端口延迟加入802.1X Guest VLAN功能处于关闭状态 |
Re-auth server-unreachable |
重认证时服务器不可达对802.1X在线用户采取的动作 |
Max online users |
本端口最多可容纳的接入用户数 |
User IP freezing |
802.1X用户IP地址冻结功能的开启状态 · Enabled:打开 · Disabled:关闭 |
Send Packets Without Tag |
端口发送802.1X协议报文不携带VLAN Tag的开启状态: · Enabled:打开 · Disabled:关闭 |
Max Attempts Fail Number |
(暂不支持)MAC地址认证成功的用户进行802.1X认证的最大尝试次数 |
Guest VSI |
端口配置的Guest VSI,若此功能未配置则显示Not configured |
Auth-Fail VSI |
端口配置的Auth-Fail VSI,若此功能未配置则显示Not configured |
Critical VSI |
端口配置的Critical VSI,若此功能未配置则显示Not configured |
Add Guest VSI delay |
端口延迟加入Guest VSI功能的状态和触发原因: · EAPOL only:802.1X协议报文触发端口延迟加入802.1X Guest VSI · NewMAC only:源MAC地址未知的报文触发端口延迟加入802.1X Guest VSI · EAPOL or NewMAC:802.1X协议报文或源MAC地址未知的报文触发端口延迟加入802.1X Guest VSI · Disabled:端口延迟加入802.1X Guest VSI功能处于关闭状态 |
Critical microsegment ID |
(暂不支持)端口配置的Critical微分段ID,若此功能未配置则显示Not configured |
User aging |
非认证成功VLAN和VSI中802.1X用户老化功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
Server-recovery online-user-sync |
RADIUS服务器从不可达状态恢复为可达时,设备同步802.1X在线用户信息到RADIUS服务器功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
Auth-Fail EAPOL |
当802.1X用户加入到Auth-Fail VLAN或Auth-Fail VSI后,设备端向客户端发送EAP-Success报文功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
Critical EAPOL |
当802.1X用户加入到Critical VLAN或Critical VSI后,设备端向客户端发送EAP-Success报文功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
Discard duplicate EAPOL-Start |
在802.1X用户认证过程中,设备是否丢弃重复的EAPOL-Start报文: · Yes:丢弃 · No:不丢弃 |
EAPOL packets |
EAPOL报文数目。Tx表示发送的报文数目;Rx表示接受的报文数目 |
Sent EAP Request/Identity packets |
发送的EAP Request/Identity报文数 |
EAP Request/Challenge packets |
发送的EAP Request/Challenge报文数 |
EAP Success packets |
发送的EAP Success报文数 |
EAP Fail packets |
发送的EAP Failure报文数 |
Received EAPOL Start packets |
接收的EAPOL Start报文数 |
EAPOL LogOff packets |
接收的EAPOL LogOff报文数 |
EAP Response/Identity packets |
接收的EAP Response/Identity报文数 |
EAP Response/Challenge packets |
接收的EAP Response/Challenge报文数 |
Error packets |
接收的错误报文数 |
Online 802.1X users |
端口上的在线802.1X用户和正在发起认证的802.1X用户的总数 |
MAC address |
802.1X用户的MAC地址 |
Auth state |
802.1X用户的认证状态 |
display dot1x connection命令用来显示当前802.1X在线用户的详细信息。
【命令】
display dot1x connection [ open ] [ [ m-lag [ local | peer ] ] interface interface-type interface-number | [ m-lag [ local | peer ] ] slot slot-number | user-mac mac-address | [ m-lag [ local | peer ] ] user-name name-string ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的802.1X用户信息。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
m-lag [ local | peer ]:显示M-LAG组网中,M-LAG接口上802.1X在线用户的信息。如果不指定该参数,则显示设备上所有802.1X在线用户的信息。如果不指定local和peer参数,则显示本端M-LAG设备和对端M-LAG设备上802.1X在线用户的信息
· local:显示本端M-LAG设备上802.1X在线用户的信息。
· peer:显示对端M-LAG设备上802.1X在线用户的信息。
interface interface-type interface-number:显示指定端口的802.1X在线用户信息。其中interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
slot slot-number:指定设备编号,取值只能为1。
user-mac mac-address:显示指定MAC地址的802.1X在线用户信息。其中mac-address表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
user-name name-string:显示指定用户名的802.1X在线用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
【举例】
# 显示所有802.1X在线用户信息。
<Sysname> display dot1x connection
Total connections: 2
Slot ID: 1
User MAC address: 0015-e9a6-7cfe
Access interface: Twenty-FiveGigE1/0/1
Username: ias
User access state: Successful
Authentication domain: aaa
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 1
Authorization untagged VLAN: 6
Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33
35 37 40 to 100
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization user profile: N/A
Authorization CAR:
Average input rate: 102400
Peak input rate: 204800
Average output rate: 102400
Peak output rate: 204800
Authorization URL: N/A
Termination action: Default
Session timeout period: 2 s
Online from: 2020/01/02 13:14:15
Online duration: 0h 2m 15s
User MAC address: 0015-e9a6-abcd
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Bridge-Aggregation1
Username: luser
User access state: Successful
Authentication domain: aaa
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 1
Authorization untagged VLAN: 6
Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33
35 37 40 to 100
Authorization VSI: N/A
Authorization microsegment ID: N/A
Authorization ACL number/name: 3001
Authorization user profile: N/A
Authorization CAR:
Average input rate: 102400
Peak input rate: 204800
Average output rate: 102400
Peak output rate: 204800
Authorization URL: N/A
Termination action: Default
Session timeout period: 2 s
Online from: 2020/12/02 13:14:15
Online duration: 0h 7m 15s
表1-2 display dot1x connection 命令显示信息描述表
字段 |
描述 |
Total connections |
在线802.1X认证用户个数 |
User MAC address |
用户的MAC地址 |
M-LAG NAS-IP type |
M-LAG组网中,M-LAG接口上的用户认证时采用的NAS-IP地址类型 · Local:本地NAS-IP地址,即使用本端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 · Peer:对端NAS-IP地址,使用对端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 |
M-LAG user state |
M-LAG组网中,M-LAG接口上的用户状态 · Active:激活状态,此时由本端M-LAG设备与AAA服务器交互用户认证信息 · Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器交互用户认证信息 |
Access interface |
用户的接入接口名称 |
Username |
用户名 |
Anonymous username |
匿名用户的用户名,若未配置匿名用户名,则显示为N/A |
User access state |
用户的接入状态 · Successful:802.1X认证成功并接入 · Open:使用不存在的用户名或者错误的密码进行开放认证并接入 |
Authentication domain |
认证时使用的ISP域的名称 |
IPv4 address |
用户IP地址 若未获取到用户的IP地址,则不显示该字段 |
IPv6 address |
用户IPv6地址 若未获取到用户的IP地址,则不显示该字段 |
Authentication method |
802.1X系统的认证方法 · CHAP:启用EAP终结方式,并采用CHAP认证方法 · EAP:启用EAP中继方式,并支持所有EAP认证方法 · PAP:启用EAP终结方式,并采用PAP认证方法 |
AAA authentication method |
用户成功上线采用的AAA认证方法,取值包括: · Local:本地认证 · RADIUS:RADIUS认证 · None:不进行认证 · N/A:未认证成功上线,比如进入逃生域或失败域等 |
Initial VLAN |
初始的VLAN |
Authorization untagged VLAN |
授权的untagged VLAN |
Authorization tagged VLAN list |
授权的tagged VLAN列表 |
Authorization VSI |
授权的VSI列表 |
Authorization microsegment ID |
(暂不支持)授权的微分段ID |
Authorization ACL number/name |
授权ACL的编号或名称。若未授权ACL,则显示N/A;若未授权成功,则在ACL编号后显示“(NOT effective)” |
Authorization user profile |
(暂不支持)授权用户的User profile名称 |
Authorization CAR |
当服务器未授权用户CAR属性时,该字段显示为N/A。 当服务器授权用户CAR属性,将分为以下四个字段: · Average input rate :上行平均速率,单位为bps · Peak input rate:上行峰值速率,单位为bps · Average output rate:下行平均速率,单位为bps · Peak output rate:下行峰值速率,单位为bps 若只下发上、下行平均速率,则该上、下行峰值速率默认与其平均速率相同。目前不支持服务器单独授权上、下行峰值速率 |
Authorization URL |
授权的重定向URL |
Authorization IPv6 URL |
授权的IPv6重定向URL |
Termination action |
服务器下发的终止动作类型: · Default:会话超时时长到达后,强制用户下线。但是,如果设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.1X用户发起重认证,而不会强制用户下线 · Radius-Request:会话超时时长到达后,要求802.1X用户进行重认证 用户采用本地认证时,该字段显示为Default |
Session timeout period |
服务器下发的会话超时时长,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定 |
Online from |
用户的上线时间 |
Online duration |
用户的在线时长 |
display dot1x mac-address命令用来显示指定类型的VLAN或VSI中的802.1X用户的MAC地址信息。
【命令】
display dot1x mac-address { auth-fail-vlan | auth-fail-vsi | critical-vlan | critical-vsi | guest-vlan | guest-vsi } [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
auth-fail-vlan:显示802.1X Auth-Fail VLAN中的用户MAC地址信息。
auth-fail-vsi:显示802.1X Auth-Fail VSI中的用户MAC地址信息。
critical-vlan:显示802.1X Critical VLAN中的用户MAC地址信息。
critical-vsi:显示802.1X Critical VSI中的用户MAC地址信息。
guest-vlan:显示802.1X Guest VLAN中的用户MAC地址信息。
guest-vsi:显示802.1X Guest VSI中的用户MAC地址信息。
interface interface-type interface-number:显示VLAN或VSI中指定端口的802.1X用户的MAC地址信息。其中interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示指定类型的VLAN或VSI中所有端口的802.1X用户的MAC地址信息。
【使用指导】
查询到的MAC地址数量以及MAC地址明细为粗略统计,当有大量用户频繁进行认证时可能不能完全精准显示。
【举例】
# 显示所有802.1X Auth-Fail VLAN中的用户的MAC地址信息。
<Sysname> display dot1x mac-address auth-fail-vlan
Total MAC addresses: 10
Interface: Twenty-FiveGigE1/0/1 Auth-Fail VLAN: 3 Aging time: N/A
MAC addresses: 8
0800-2700-9427 0800-2700-2341 0800-2700-2324 0800-2700-2351
0800-2700-5627 0800-2700-2251 0800-2700-8624 0800-2700-3f51
Interface: Twenty-FiveGigE1/0/2 Auth-Fail VLAN: 5 Aging time: 30 sec
MAC addresses: 2
0801-2700-9427 0801-2700-2341
# 显示所有802.1X Auth-Fail VSI中的用户的MAC地址信息。
<Sysname> display dot1x mac-address auth-fail-vsi
Total MAC addresses: 10
Interface: Twenty-FiveGigE1/0/3 Auth-Fail VSI: text-vsi Aging time: N/A
MAC addresses: 8
0800-2700-9427 0800-2700-2341 0800-2700-2324 0800-2700-2351
0800-2700-5627 0800-2700-2251 0800-2700-8624 0800-2700-3f51
Interface: Twenty-FiveGigE1/0/4 Auth-Fail VSI: text1-vsi Aging time: 30 sec
MAC addresses: 2
0801-2700-9427 0801-2700-2341
表1-3 display dot1x mac-address命令显示信息描述表
字段 |
描述 |
Total MAC addresses |
指定类型的VLAN或VSI中的所有MAC地址总数 |
Interface |
用户的接口名称 |
Type VLAN/VSI |
显示802.1X用户所在的VLAN或VSI信息,Type包含如下取值: · Auth-fail VLAN · Auth-fail VSI · Critical VLAN · Critical VSI · Guest VLAN · Guest VSI |
Aging time |
MAC地址老化时间,单位秒。N/A表示该地址不老化 |
MAC addresses |
MAC地址数 |
xxxx-xxxx-xxxx |
MAC地址 |
【相关命令】
· dot1x auth-fail vlan
· dot1x auth-fail vsi
· dot1x critical vlan
· dot1x critical vsi
· dot1x guest-vlan
· dot1x guest-vsi
dot1x命令用来开启端口上或全局的802.1X。
undo dot1x命令用来关闭端口上或全局的802.1X。
【命令】
dot1x
undo dot1x
【缺省情况】
所有端口以及全局的802.1X都处于关闭状态。
【视图】
系统视图
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效。
【举例】
# 开启全局的802.1X。
<Sysname> system-view
[Sysname] dot1x
# 开启端口Twenty-FiveGigE1/0/1上的802.1X。
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x
[Sysname-Twenty-FiveGigE1/0/1] quit
【相关命令】
· display dot1x
dot1x { ip-verify-source | ipv6-verify-source } enable命令用来开启为802.1X认证成功用户添加IP Source Guard的IPv4/IPv6动态绑定表项功能。
undo dot1x { ip-verify-source | ipv6-verify-source } enable命令用来关闭为802.1X认证成功用户添加IP Source Guard的IPv4/IPv6动态绑定表项功能。
【命令】
dot1x { ip-verify-source | ipv6-verify-source } enable
undo dot1x { ip-verify-source | ipv6-verify-source } enable
【缺省情况】
为802.1X认证成功用户添加IP Source Guard的IPv4/IPv6动态绑定表项功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
执行dot1x { ip-verify-source | ipv6-verify-source } enable命令后,设备不会为已在线的802.1X用户添加IP Source Guard的IPv4/IPv6动态绑定表项,仅会为后续新上线的802.1X用户添加IP Source Guard的IPv4/IPv6动态绑定表项。如果已添加动态绑定表项的802.1X用户IP地址发生了变化,设备会为该用户更新动态绑定表项。
执行undo dot1x { ip-verify-source | ipv6-verify-source } enable命令后,设备不会为已在线的802.1X用户删除IP Source Guard的IPv4/IPv6动态绑定表项,仅对后续新上线的802.1X用户不再添加IP Source Guard的IPv4/IPv6动态绑定表项。如果已添加动态绑定表项的802.1X用户IP地址发生了变化,设备会删除该用户对应的动态绑定表项。
【举例】
# 在端口Twenty-FiveGigE1/0/1上关闭为802.1X认证成功用户添加IP Source Guard的IPv4/IPv6动态绑定表项功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] undo dot1x ip-verify-source enable
dot1x access-user log enable命令用来开启802.1X接入用户日志信息功能。
undo dot1x access-user log enable命令用来关闭802.1X接入用户日志信息功能。
【命令】
dot1x access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *
undo dot1x access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *
【缺省情况】
802.1X接入用户日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
abnormal-logoff:802.1X接入用户异常下线(例如实时计费失败下线,重认证失败下线等)的日志信息。
failed-login:802.1X接入用户上线失败的日志信息。
normal-logoff:802.1X接入用户正常下线的日志信息。
successful-login:802.1X接入用户上线成功时的日志信息
【使用指导】
为了防止设备输出过多的802.1X接入用户日志信息,一般情况下建议关闭此功能。
配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应的日志功能。
【举例】
# 开启802.1X接入用户上线失败的日志信息。
<Sysname> system-view
[Sysname] dot1x access-user log enable failed-login
【相关命令】
· info-center source dot1x logfile deny(设备管理命令参考/信息中心)
dot1x authentication-method命令用来配置802.1X系统的认证方法。
undo dot1x authentication-method命令用来恢复缺省情况。
【命令】
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
【缺省情况】
设备启用EAP终结方式,并采用CHAP认证方法。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法。
eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
【使用指导】
在EAP终结方式下:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。有关PAP和CHAP两种认证方法的详细介绍如下:
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。目前,H3C iNode 802.1X客户端支持此认证方法。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
在EAP中继方式下:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证。该方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法。
采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法。
若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见“用户接入与认证命令参考”中的“AAA”。
【举例】
# 启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【相关命令】
· display dot1x
dot1x auth-fail eapol命令用来配置当802.1X用户被加入到Auth-Fail VLAN或Auth-Fail VSI后,设备端向客户端发送EAP-Success报文。
undo dot1x auth-fail eapol命令用来恢复缺省情况。
【命令】
dot1x auth-fail eapol
undo dot1x auth-fail eapol
【缺省情况】
当802.1X用户加入到Auth-Fail VLAN或Auth-Fail VSI后,设备端向客户端发送EAP-Failure报文。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
某些通过DHCP方式获取IP地址的802.1X客户端进行认证时,在收到EAP-Failure报文后,不会发送DHCP请求申请IP地址,只有在收到EAP-Success报文后才会发送DHCP请求申请IP地址。缺省情况下,当802.1X用户因认证失败而被加入Auth-Fail VLAN或Auth-Fail VSI后,设备会向客户端发送一个EAP-Failure报文,导致上述客户端获取不到IP地址,无法访问Auth-Fail VLAN或Auth-Fail VSI内的资源。为避免这种情况发生,可通过dot1x auth-fail eapol命令配置当802.1X用户被加入到Auth-Fail VLAN或Auth-Fail VSI后,设备向客户端发送EAP-Success报文的功能。此类客户端收到EAP-Success报文后,认为802.1X用户上线成功,会向设备发送DHCP请求申请IP地址。
【举例】
# 在端口Twenty-FiveGigE1/0/1上配置当802.1X用户加入到Auth-Fail VLAN或Auth-Fail VSI后,向客户端发送EAP-Success报文。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x auth-fail eapol
【相关命令】
· dot1x auth-fail vlan
· dot1x auth-fail vsi
·
dot1x auth-fail vlan命令用来配置端口的802.1X Auth-Fail VLAN。
undo dot1x auth-fail vlan命令用来恢复缺省情况。
【命令】
dot1x auth-fail vlan authfail-vlan-id
undo dot1x auth-fail vlan
【缺省情况】
端口上未配置802.1X Auth-Fail VLAN。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【使用指导】
端口上配置此功能后,认证失败的802.1X用户可以继续访问Auth-Fail VLAN中的资源。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Auth-Fail VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。
端口上配置802.1X Auth-Fail VLAN与配置802.1X Auth-Fail VSI、Guest VSI或Critical VSI互斥。
禁止删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过undo dot1x auth-fail vlan命令取消802.1X Auth-Fail VLAN配置。
【举例】
# 配置端口Twenty-FiveGigE1/0/1的Auth-Fail VLAN为VLAN 100。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x auth-fail vlan 100
【相关命令】
· display dot1x
dot1x auth-fail vsi命令用来配置端口的802.1X Auth-Fail VSI。
undo dot1x auth-fail vsi命令用来恢复缺省情况。
【命令】
dot1x auth-fail vsi authfail-vsi-name
undo dot1x auth-fail vsi
【缺省情况】
端口上未配置802.1X Auth-Fail VSI。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
authfail-vsi-name:端口上指定的Auth-Fail VSI名称,为1~31个字符的字符串,区分大小写。
【使用指导】
端口上配置此功能后,认证失败的802.1X用户可以继续访问Auth-Fail VSI对应的VXLAN中的资源。
不同的端口可以配置不同的802.1X认证的Auth-Fail VSI,但一个端口最多只能配置一个802.1X认证的Auth-Fail VSI。
端口上配置802.1X认证的Auth-Fail VSI与配置802.1X认证的Auth-Fail VLAN、Guest VLAN或Critical VLAN互斥。
【举例】
# 配置端口Twenty-FiveGigE1/0/1的Auth-Fail VSI名称为vsiuser。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x auth-fail vsi vsiuser
【相关命令】
· display dot1x
dot1x critical eapol命令用来配置当802.1X用户被加入到Critical VLAN后,设备端向客户端发送EAP-Success报文。
undo dot1x critical eapol命令用来恢复缺省情况。
【命令】
dot1x critical eapol
undo dot1x critical eapol
【缺省情况】
当802.1X用户加入到Critical VLAN后,设备端向客户端发送EAP-Failure报文。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,当802.1X用户因认证服务器不可达而被加入Critical VLAN后,设备端会向客户端发送一个EAP-Failure报文。对于某些802.1X客户端(如Windows系统的802.1X客户端),在收到EAP-Failure报文后,不会再响应设备端后继发送的EAP-Request/Identity报文。因此当设备端探测到服务器可达并向客户端发送EAP-Request/Identity报文进行重认证时,客户端不会进行响应,该类用户的重认证无法成功。这种情况下,可通过本命令配置当802.1X用户被加入到Critical VLAN后,设备端向客户端发送一个EAP-Success报文。客户端收到该报文后认为802.1X用户上线成功,此后可以继续响应设备端发送的EAP-Request/Identity报文进行802.1X重认证。
【举例】
# 在端口Twenty-FiveGigE1/0/1上配置当802.1X用户加入到Critical VLAN后,向客户端发送EAP-Success报文。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x critical eapol
【相关命令】
· dot1x critical vlan
dot1x critical vlan命令用来配置端口的802.1X Critical VLAN。
undo dot1x critical vlan命令用来恢复缺省情况。
【命令】
dot1x critical vlan critical-vlan-id
undo dot1x critical vlan
【缺省情况】
端口上未配置Critical VLAN。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
critical-vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【使用指导】
配置此功能后,当802.1X用户认证时对应的ISP域下所有认证服务器都不可达的情况下,此802.1X用户可以继续访问Critical VLAN中的资源。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Critical VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Critical VLAN,则该VLAN不能被指定为Super VLAN。
端口上配置802.1X Critical VLAN与配置802.1X Auth-Fail VSI、Guest VSI或Critical VSI互斥。
禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先通过undo dot1x critical vlan命令取消802.1X Critical VLAN配置。
【举例】
# 配置端口Twenty-FiveGigE1/0/1的Critical VLAN为VLAN 100。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x critical vlan 100
【相关命令】
· display dot1x
dot1x critical vsi命令用来配置端口的802.1X Critical VSI。
undo dot1x critical vsi命令用来恢复缺省情况。
【命令】
dot1x critical vsi critical-vsi-name
undo dot1x critical vsi
【缺省情况】
端口上未配置Critical VSI。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
critical-vsi-name:端口上指定的Critical VSI名称,为1~31个字符的字符串,区分大小写。
【使用指导】
配置此功能后,当ISP域下所有认证服务器都不可达时,802.1X用户可以继续访问Critical VSI对应的VXLAN中的资源。
不同的端口可以配置不同的802.1X认证的Critical VSI,但一个端口最多只能配置一个802.1X认证的Critical VSI。
端口上配置802.1X认证的Critical VSI与配置802.1X认证的Auth-Fail VLAN、Guest VLAN或Critical VLAN互斥。
【举例】
# 配置端口Twenty-FiveGigE1/0/1的Critical VSI名称为vsiuser。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x critical vsi vsiuser
【相关命令】
· display dot1x
dot1x critical-voice-vlan命令用来开启802.1X Critical Voice VLAN功能。
undo dot1x critical-voice-vlan命令用来关闭802.1X Critical Voice VLAN功能。
【命令】
dot1x critical-voice-vlan
undo dot1x critical-voice-vlan
【缺省情况】
802.1X Critical Voice VLAN功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
端口上开启802.1X Critical Voice VLAN功能后,当语音用户进行802.1X认证采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上的语音VLAN中。有关语音VLAN的配置命令请参见“二层技术-以太网交换命令参考”中的“VLAN”。
设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户,因此为保证802.1X Critical Voice VLAN功能可以正常工作,请在开启此功能之前务必确保全局和相应端口上均已开启LLDP功能。有关LLDP功能的配置命令请参见“二层技术-以太网交换命令参考”中的“LLDP”。
【举例】
# 开启端口Twenty-FiveGigE1/0/1上的802.1X Critical Voice VLAN功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x critical-voice-vlan
【相关命令】
· display dot1x
· lldp enable(二层技术-以太网交换命令参考/LLDP)
· lldp global enable(二层技术-以太网交换命令参考/LLDP)
· voice-vlan enable(二层技术-以太网交换命令参考/VLAN)
dot1x domain-delimiter命令用来配置802.1X支持的域名分隔符。
undo dot1x domain-delimiter命令用来恢复缺省情况。
【命令】
dot1x domain-delimiter string
undo dot1x domain-delimiter
【缺省情况】
802.1X支持的域名分隔符为@。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
string:多个域名分隔符组成的1~16个字符的字符串,且分隔符只能为@、.、/或\。若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\。
【使用指导】
目前,802.1X支持的域名分隔符包括@、\、/和.,对应的用户名格式分别为username@domain-name, domain-name\username、username/domain-name和username.domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.123/22\@abc,若设备上指定802.1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.123/22。
系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.1X仅会支持命令中指定的分隔符。
【举例】
# 配置802.1X支持的域名分隔符为@和/。
<Sysname> system-view
[Sysname] dot1x domain-delimiter @/
【相关命令】
· display dot1x
dot1x duplicate-eapol-start discard命令用来配置丢弃重复的802.1X EAPOL-Start报文。
undo dot1x duplicate-eapol-start discard命令用来恢复缺省情况。
【命令】
dot1x duplicate-eapol-start discard
undo dot1x duplicate-eapol-start discard
【缺省情况】
设备不丢弃收到的合法EAPOL-Start报文。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
在用户的802.1X认证过程中,如果设备收到了该用户重复的EAPOL-Start报文,为了避免服务器无法响应此类报文而导致用户认证失败,建议在用户接入的端口上直接对其丢弃。
此功能仅在服务器无法响应冗余EAPOL-Start报文的环境中推荐配置,其它情况下建议保持缺省情况。
【举例】
# 配置对接口Twenty-FiveGigE1/0/1上收到的重复EAPOL-Start报文进行丢弃处理。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x duplicate-eapol-start discard
【相关命令】
· display dot1x
dot1x ead-assistant enable命令用来开启EAD快速部署辅助功能。
undo dot1x ead-assistant enable命令用来关闭EAD快速部署辅助功能。
【命令】
dot1x ead-assistant enable
undo dot1x ead-assistant enable
【缺省情况】
EAD快速部署辅助功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启EAD快速部署辅助功能后,设备允许未通过认证的802.1X用户访问一个特定的IP地址段,并可以将用户发起的HTTP或HTTPS访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的。
为使EAD快速部署功能生效,必须保证指定端口的授权模式为auto。
若要对802.1X用户的HTTPS访问进行重定向,需要通过http-redirect https-port命令配置对HTTPS报文进行重定向的内部侦听端口号,具体介绍请参见“三层技术-IP业务命令参考”中的“HTTP重定向”。
端口的接入控制方式为portbased时,如果同时配置EAD快速部署功能和802.1X单播触发功能,则802.1X单播触发功能不生效。
【举例】
# 开启EAD快速部署辅助功能。
<Sysname> system-view
[Sysname] dot1x ead-assistant enable
【相关命令】
· display dot1x
· dot1x ead-assistant free-ip
· dot1x ead-assistant url
· http-redirect https-port(三层技术-IP业务/HTTP重定向)
dot1x ead-assistant free-ip命令用来配置Free IP。
undo dot1x ead-assistant free-ip命令用来删除指定的Free IP。
【命令】
dot1x ead-assistant free-ip ip-address { mask-address | mask-length }
undo dot1x ead-assistant free-ip { ip-address { mask-address | mask-length } | all }
【缺省情况】
未配置Free IP,用户在通过802.1X认证之前不能够访问任何网段。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:指定的IP地址。
mask-address:指定的IP掩码地址。
mask-length:指定的IP掩码地址长度,取值范围为1~32。
all:所有配置的IP。
【使用指导】
全局使能EAD快速部署功能且配置Free IP之后,未通过认证的802.1X终端用户可以访问该IP地址段中的网络资源。
可通过重复执行此命令来配置多个Free IP。
【举例】
# 配置用户在通过802.1X认证之前能够访问的网段为192.168.1.1/16。
<Sysname> system-view
[Sysname] dot1x ead-assistant free-ip 192.168.1.1 255.255.0.0
【相关命令】
· display dot1x
· dot1x ead-assistant enable
· dot1x ead-assistant url
dot1x ead-assistant url命令用来配置802.1X用户HTTP或HTTPS访问的重定向URL。
undo dot1x ead-assistant url命令用来恢复缺省情况。
【命令】
dot1x ead-assistant url url-string [ secondary ] [ track track-entry-number ]
undo dot1x ead-assistant url [ secondary ]
【缺省情况】
未配置802.1X用户HTTP或HTTPS访问的重定向URL。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url-string:重定向URL地址,为1~64个字符的字符串,区分大小写。它以http://或者https://开头,如果该URL未以http://或者https://开头,则缺省认为是以http://开头。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
secondary:表示指定备用重定向URL。若不指定该参数,则表示主用重定向URL。
track track-entry-number:指定重定向URL关联的Track项。track-entry-number表示Track项的序号,取值范围为1~1024。若不指定该参数,则表示重定向URL不关联Track项。
【使用指导】
用户在802.1X认证成功之前,如果使用浏览器访问非Free IP网段的其它网络,设备会将用户访问的URL重定向到已配置的重定向地址。
通过对重定向URL关联Track项,802.1X模块能够根据Track项的状态及时确定Web重定向服务器的可达性,以便设备实现主备重定向URL的快速切换。建议将被关联的Track项与HTTP类型的NQA测试组联动,由NQA测试组来判断Web重定向服务器的连通性及性能。有关Track项的详细介绍,请参见“可靠性配置指导”中的“Track”。有关NQA的详细介绍,请参见“网络管理和监控配置指导”中的“NQA”。
需要注意的是:
· 802.1X用户重定向的URL和Free IP必须在同一个网段内,否则用户无法访问指定的重定向URL。
· 仅允许最多同时存在一个主用重定向URL和一个备用重定向URL。
· 设备对HTTPS报文进行重定向的内部侦听端口号缺省为6654。如果需要修改该端口号,具体配置请参见“三层技术-IP业务配置指导”中的“HTTP重定向”。
· 系统中实际生效的重定向URL与主备重定向URL的配置以及所关联的Track项的状态相关:
¡ 同时配置了主用和备用重定向URL,且均未关联Track项,则主用重定向URL生效。
¡ 仅配置了主用或备用重定向URL,且未关联Track项,则配置的重定向URL生效。
¡ 只要配置了主用重定向URL,且关联的Track项状态为Positive或NotReady,则主用重定向URL生效。
¡ 如果未配置主用重定向URL,或者主用重定向URL关联的Track项状态为Negative,则需要判断备用重定向URL的状态:
- 若备用重定向URL未关联Track项,或关联的Track项状态为Positive或NotReady,则备用重定向URL生效。
- 若未配置备用重定向URL或备用重定向URL关联的Track项状态为Negative,则认为无可用重定向URL。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置802.1X用户HTTP访问的重定向URL为http://example.com。
<Sysname> system-view
[Sysname] dot1x ead-assistant url http://example.com
【相关命令】
· display dot1x
· dot1x ead-assistant enable
· dot1x ead-assistant free-ip
· http-redirect https-port(三层技术-IP业务/HTTP重定向)
dot1x eap-tls-fragment to-server命令用来设置设备向认证服务器发送的EAP-TLS分片报文最大长度。
undo dot1x eap-tls-fragment to-server命令用来恢复缺省情况。
【命令】
dot1x eap-tls-fragment to-server eap-tls-max-length
undo dot1x eap-tls-fragment to-server
【缺省情况】
未配置EAP-TLS分片报文最大长度,即设备不对EAP-TLS报文进行分片。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
eap-tls-max-length:设备向认证服务器发报文时单个报文里封装的EAP-TLS分片报文的最大长度,取值范围为100~1500,单位为字节。
【使用指导】
如果设备发送给RADIUS服务器的认证报文长度超过服务器能处理的最大长度,会因服务器无法处理报文而导致802.1X认证失败。
当设备采用EAP中继方式对802.1X客户端进行认证,且认证方法为EAP-TLS时,会将EAP-TLS报文封装在EAP-Message中,并将EAP-Message作为RADIUS属性携带在RADIUS报文中发给RADIUS服务器。此种情况下,为避免RADIUS报文长度超过服务器所能处理的最大长度,可以通过dot1x eap-tls-fragment to-server命令将EAP-TLS报文进行分片,并通过设置EAP-TLS分片报文的最大长度来改变单个RADIUS报文的长度。
执行dot1x eap-tls-fragment to-server命令后,当设备发起认证时,会将携带EAP-TLS分片报文的RADIUS报文依次发送给服务器,服务器收到所有RADIUS报文后,会将这些报文中的认证信息拼接成一个完整的认证信息。
例如,当RADIUS服务器能处理的报文最大长度为1200字节的情况下,如果设备的RADIUS报文其它属性以及固定字段总长度为800字节,则需要设置EAP-TLS分片报文的最大长度为小于400字节,这样能保证RADIUS报文总长度小于1200字节。
【举例】
# 配置设备向认证服务器发送报文时单个报文里封装的EAP-TLS分片最大长度为400字节。
<Sysname> system-view
[Sysname] dot1x eap-tls-fragment to-server 400
【相关命令】
· display dot1x
· dot1x authentication-method
dot1x eapol untag命令用来配置端口发送802.1X协议报文不携带VLAN Tag。
undo dot1x eapol untag命令用来恢复缺省情况。
【命令】
dot1x eapol untag
undo dot1x eapol untag
【缺省情况】
端口发送802.1X协议报文时携带VLAN Tag。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
除了本命令使用指导中涉及的应用场景,不要开启本功能,否则端口发送的所有802.1X报文都将去除VLAN Tag,可能导致正常用户无法通过802.1X认证。
Hybrid端口开启802.1X认证,若该端口上通过port hyrid vlan命令配置了转发缺省VLAN报文携带VLAN Tag,则端口发送的缺省VLAN内的802.1X协议报文默认携带VLAN Tag。这种情况下,当终端发送的是不带VLAN Tag的报文进行802.1X认证时,由于接收的是带Tag的报文,会导致802.1X认证失败。为了解决这个问题,设备支持配置端口发送802.1X协议报文时不带VLAN Tag的功能。
仅Hybrid类型的以太网端口支持本功能。
【举例】
# 在端口Twenty-FiveGigE1/0/1上配置发送802.1X协议报文不携带VLAN Tag。
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x eapol untag
【相关命令】
· display dot1x
dot1x guest-vlan命令用来配置端口的802.1X Guest VLAN。
undo dot1x guest-vlan命令用来恢复缺省情况。
【命令】
dot1x guest-vlan guest-vlan-id
undo dot1x guest-vlan
【缺省情况】
端口上未配置802.1X Guest VLAN。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【使用指导】
配置此功能后,在802.1X用户在未认证的情况下,其可以访问的VLAN资源,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。
如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Guest VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Guest VLAN,则该VLAN不能被指定为Super VLAN。
端口上配置802.1X Guest VLAN与配置802.1X Auth-Fail VSI、Guest VSI或Critical VSI互斥。
禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过undo dot1x guest-vlan命令取消802.1X Guest VLAN配置。
【举例】
# 配置端口Twenty-FiveGigE1/0/1的Guest VLAN为VLAN 100。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x guest-vlan 100
【相关命令】
· display dot1x
dot1x guest-vlan-delay命令用来开启端口延迟加入802.1X Guest VLAN的功能。
undo dot1x guest-vlan-delay命令用来关闭端口延迟加入802.1X Guest VLAN的功能。
【命令】
dot1x guest-vlan-delay { eapol | new-mac }
undo dot1x guest-vlan-delay [ eapol | new-mac ]
【缺省情况】
端口延迟加入802.1X Guest VLAN的功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
eapol:表示802.1X协议报文触发端口延迟加入802.1X Guest VLAN。
new-mac:表示源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN。
【使用指导】
开启802.1X认证,并且端口的受控方式为MAC-based方式时,触发802.1X认证后端口会立即被加入到802.1X Guest VLAN中。
在这种情况下,如果配置了端口延迟加入802.1X Guest VLAN的功能,端口会主动向触发认证的源MAC地址单播发送EAP-Request报文。若在指定的时间内(通过命令dot1x timer tx-period设置)没有收到客户端的响应,则重发该报文,直到重发次数达到命令dot1x retry设置的最大次数时,若仍没有收到客户端的响应,才会加入到802.1X Guest VLAN中。
undo dot1x guest-vlan-delay命令不指定任何参数表示关闭802.1X协议报文触发和MAC地址未知的报文触发的端口延迟加入802.1X Guest VLAN的功能。
【举例】
# 在端口Twenty-FiveGigE1/0/1下配置802.1X协议报文触发端口延迟加入802.1X Guest VLAN功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x guest-vlan-delay eapol
【相关命令】
· display dot1x
· dot1x retry
· dot1x timer tx-period
dot1x guest-vsi命令用来配置端口的802.1X Guest VSI。
undo dot1x guest-vsi命令用来恢复缺省情况。
【命令】
dot1x guest-vsi guest-vsi-name
undo dot1x guest-vsi
【缺省情况】
端口上未配置802.1X Guest VSI。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
guest-vsi-name:端口上指定的Guest VSI名称,为1~31个字符的字符串,区分大小写。
【使用指导】
配置此功能后,802.1X用户在未认证的情况下,可访问某一特定VXLAN中的资源,该VXLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。这个特定的VXLAN所在的VSI称之为Guest VSI。
不同的端口可以配置不同的802.1X认证的Guest VSI,但一个端口最多只能配置一个802.1X认证的Guest VSI。
端口上配置802.1X认证的Guest VSI与配置802.1X认证的Auth-Fail VLAN、Guest VLAN或Critical VLAN互斥。
【举例】
# 配置端口Twenty-FiveGigE1/0/1的Guest VSI名称为vsiuser。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x guest-vsi vsiuser
【相关命令】
· display dot1x
· reset dot1x guest-vsi
dot1x guest-vsi-delay命令用来开启端口延迟加入802.1X Guest VSI功能。
undo dot1x guest-vsi-delay命令用来关闭端口延迟加入802.1X Guest VSI功能。
【命令】
dot1x guest-vsi-delay { eapol | new-mac }
undo dot1x guest-vsi-delay [ eapol | new-mac ]
【缺省情况】
端口延迟加入802.1X Guest VSI功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
eapol:表示802.1X协议报文触发端口延迟加入802.1X Guest VSI。
new-mac:表示源MAC地址未知的报文触发端口延迟加入802.1X Guest VSI。
【使用指导】
开启802.1X认证,且端口的接入控制方式为MAC-based方式时,触发802.1X认证后,通过该端口接入的、指定VLAN和MAC地址的用户会被立即加入到802.1X Guest VSI对应的VXLAN中。在这种情况下,如果配置了端口延迟加入802.1X Guest VSI的功能,端口会主动向触发认证的源MAC地址单播发送EAP-Request/Identity报文。若在指定的时间内(通过命令dot1x timer tx-period设置)没有收到客户端的响应,则重发该报文,直到重发次数达到命令dot1x retry设置的最大次数时,若仍没有收到客户端的响应,才会加入到802.1X Guest VSI中。
执行undo dot1x guest-vsi-delay命令时,如果不指定任何参数,则表示关闭802.1X协议报文触发和MAC地址未知的报文触发的端口延迟加入802.1X Guest VSI功能。
【举例】
# 在端口Twenty-FiveGigE1/0/1下配置802.1X协议报文触发端口延迟加入802.1X Guest VSI功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x guest-vsi-delay eapol
【相关命令】
· display dot1x
· dot1x guest-vsi
· dot1x retry
· dot1x timer tx-period
dot1x handshake命令用于开启在线用户握手功能。
undo dot1x handshake命令用于关闭在线用户握手功能。
【命令】
dot1x handshake
undo dot1x handshake
【缺省情况】
在线用户握手功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1x timer handshake-period设置)向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次(通过命令dot1x retry设置)没有收到客户端的响应报文,则会将用户置为下线状态。
【举例】
# 在端口Twenty-FiveGigE1/0/1上开启在线用户握手功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x handshake
【相关命令】
· display dot1x
· dot1x timer handshake-period
· dot1x retry
dot1x handshake reply enable命令用来开启端口发送在线握手成功报文功能。
undo dot1x handshake reply enable命令用来关闭端口发送在线握手成功报文功能。
【命令】
dot1x handshake reply enable
undo dot1x handshake reply enable
【缺省情况】
端口发送在线握手成功报文功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
端口上开启在线用户握手功能后,缺省情况下,设备收到该端口上802.1X在线用户的在线握手应答报文(EAP-Response/Identity报文)后,则认为该用户在线,并不给客户端回应在线握手成功报文(EAP-Success报文)。但是,有些802.1X客户端如果没有收到设备回应的在线握手成功报文(EAP-Success报文),就会自动下线。为了避免这种情况发生,需要在端口上开启发送在线握手成功报文功能。
只有当802.1X客户端需要收到在线握手成功报文时,才需要开启此功能。
【举例】
# 在端口Twenty-FiveGigE1/0/1上开启的发送在线握手成功报文功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x handshake reply enable
【相关命令】
· dot1x handshake
dot1x handshake secure命令用来开启在线用户握手安全功能。
undo dot1x handshake secure命令用来关闭在线用户握手安全功能。
【命令】
dot1x handshake secure
undo dot1x handshake secure
【缺省情况】
在线用户握手安全功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
开启在线用户握手安全功能后,可以防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。
只有设备上的在线用户握手功能处于开启状态时,安全握手功能才会生效。
本功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效。
【举例】
# 在端口Twenty-FiveGigE1/0/1上开启在线用户握手安全功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x handshake secure
【相关命令】
· display dot1x
· dot1x handshake
dot1x mac-binding命令用来手工配置802.1X认证的MAC地址绑定表项。
undo dot1x mac-binding命令用来删除指定的802.1X认证的MAC地址绑定表项。
【命令】
dot1x mac-binding mac-address
undo dot1x mac-binding { mac-address | all }
【缺省情况】
端口上不存在802.1X认证的MAC地址绑定表项。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
mac-address:表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:表示删除接口下所有绑定的MAC地址。
【使用指导】
只有802.1X认证的MAC地址绑定功能处于开启状态,且端口接入控制方式为MAC-based方式下,手工配置802.1X认证的MAC地址绑定表项才能生效。
802.1X认证的MAC地址绑定表项数受端口允许同时接入802.1X用户数的最大值(通过dot1x max-user命令配置)影响,当绑定表项数等于端口允许同时接入802.1X用户最大用户数时,MAC地址绑定表项之外的用户均会认证失败。
手工配置的802.1X认证MAC地址绑定表项不会老化,即使对应用户下线或设备保存配置重启后也不会删除此绑定表项。只能通过undo dot1x mac-binding命令删除此表项。绑定用户在线时,不允许删除此表项。
【举例】
# 在端口Twenty-FiveGigE1/0/1下配置802.1X认证的MAC地址绑定表项,与此端口绑定的MAC地址为000a-eb29-75f1。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x mac-binding 000a-eb29-75f1
【相关命令】
· dot1x
· dot1x mac-binding enable
· dot1x port-method
dot1x mac-binding enable命令用来开启802.1X认证的MAC地址绑定功能。
undo dot1x mac-binding enable命令用来关闭802.1X认证的MAC地址绑定功能。
【命令】
dot1x mac-binding enable
undo dot1x mac-binding enable
【缺省情况】
802.1X认证的MAC地址绑定功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
802.1X认证的MAC地址绑定功能仅在接入控制方式为MAC-based的端口上生效。
802.1X认证的MAC地址绑定表项数受端口允许同时接入802.1X用户数的最大值(通过dot1x max-user命令配置)影响,当绑定表项数等于端口允许同时接入802.1X用户最大用户数时, MAC地址绑定表项之外的用户均会认证失败。
自动生成的端口与802.1X认证成功用户的MAC地址绑定表项不会老化,即使该用户下线后或设备保存配置重启后也不会删除此绑定表项。只能通过undo dot1x mac-binding命令删除此表项。绑定用户在线时,不允许删除此表项。
【举例】
# 在端口Twenty-FiveGigE1/0/1上开启802.1X认证的MAC地址绑定功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x mac-binding enable
【相关命令】
· dot1x
· dot1x mac-binding
· dot1x port-method
dot1x mandatory-domain命令用来指定端口上802.1X用户使用的强制认证域。
undo dot1x mandatory-domain命令用来恢复缺省情况。
【命令】
dot1x mandatory-domain domain-name
undo dot1x mandatory-domain
【缺省情况】
未指定802.1X用户使用的强制认证域。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
从指定端口上接入的802.1X用户将按照如下先后顺序选择认证域:端口上指定的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。
【举例】
# 指定端口Twenty-FiveGigE1/0/1上802.1X用户使用的强制认证域为my-domain。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x mandatory-domain my-domain
【相关命令】
· display dot1x
dot1x max-user命令用来配置端口上最多允许同时接入的802.1X用户数。
undo dot1x max-user命令用来恢复缺省情况。
【命令】
dot1x max-user max-number
undo dot1x max-user
【缺省情况】
端口上最多允许同时接入的802.1X用户数为4294967295。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
max-number:端口允许同时接入的802.1X用户数的最大值,取值范围为1~4294967295。
【使用指导】
由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的802.1X用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置端口Twenty-FiveGigE1/0/1上最多允许同时接入32个802.1X用户。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x max-user 32
【相关命令】
· display dot1x
dot1x multicast-trigger命令用来开启802.1X的组播触发功能。
undo dot1x multicast-trigger命令用来关闭802.1X的组播触发功能。
【命令】
dot1x multicast-trigger
undo dot1x multicast-trigger
【缺省情况】
802.1X的组播触发功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
开启了802.1X的组播触发功能的端口会定期(间隔时间通过命令dot1x timer tx-period设置)向客户端组播发送EAP-Request/Identity报文来检测客户端并触发认证。该功能用于支持不能主动发送EAPOL-Start报文来发起认证的客户端。
若接口下配置了允许大量VLAN通过,由于组播触发报文会占用大量通信带宽,因此建议此场景下关闭该功能。
【举例】
# 在端口Twenty-FiveGigE1/0/1上开启802.1X的组播触发功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x multicast-trigger
【相关命令】
· display dot1x
· dot1x timer tx-period
· dot1x unicast-trigger
dot1x offline-detect enable命令用来开启端口的802.1X认证下线检测功能。
undo dot1x offline-detect enable命令用来关闭端口的802.1X认证下线检测功能。
【命令】
dot1x offline-detect enable
undo dot1x offline-detect enable
【缺省情况】
端口的802.1X认证下线检测功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
开启端口的802.1X认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某802.1X在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。
只有当端口接入控制方式为MAC-based方式时,下线检测功能才能生效。在下线检测为使能状态时,修改端口接入控制方式为Port-based会导致下线检测功能失效。
【举例】
# 关闭端口Twenty-FiveGigE1/0/1的802.1X认证下线检测功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] undo dot1x offline-detect enable
【相关命令】
· display dot1x
· dot1x port-method
· dot1x timer
dot1x port-control命令用来设置端口的授权状态。
undo dot1x port-control命令用来恢复缺省情况。
【命令】
dot1x port-control { authorized-force | auto | unauthorized-force }
undo dot1x port-control
【缺省情况】
端口的授权状态为auto。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
authorized-force:强制授权状态,表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
auto:自动识别状态,表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常用的一种状态。
unauthorized-force:强制非授权状态,表示端口始终处于非授权状态,不允许用户访问网络资源。
【使用指导】
通过配置端口的授权状态,可以控制端口上接入的用户是否需要通过认证才能访问网络资源。
【举例】
# 指定端口Twenty-FiveGigE1/0/1处于强制非授权状态。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x port-control unauthorized-force
【相关命令】
· display dot1x
dot1x port-method命令用来配置端口的接入控制方式。
undo dot1x port-method命令用来恢复缺省情况。
【命令】
dot1x port-method { macbased | portbased }
undo dot1x port-method
【缺省情况】
端口的接入控制方式为macbased。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
macbased:表示基于MAC地址对接入用户进行认证,即该端口上的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
portbased:表示基于端口对接入用户进行认证,即只要该端口上的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其它用户也会被拒绝使用网络。
【使用指导】
端口存在802.1X在线用户时,切换接入控制方式会导致在线用户立刻下线。
【举例】
# 在端口Twenty-FiveGigE1/0/1上配置对接入用户进行基于端口的802.1X认证。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x port-method portbased
【相关命令】
· display dot1x
dot1x quiet-period命令用来开启静默定时器功能。
undo dot1x quiet-period命令用来关闭静默定时器功能。
【命令】
dot1x quiet-period
undo dot1x quiet-period
【缺省情况】
静默定时器功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在静默定时器功能处于开启状态的情况下,设备将在一段时间之内不对802.1X认证失败的用户进行802.1X认证处理,该时间由802.1X静默定时器控制,可通过dot1x timer quiet-period命令配置。
【举例】
# 开启静默定时器功能,并配置静默定时器的值为100秒。
<Sysname> system-view
[Sysname] dot1x quiet-period
[Sysname] dot1x timer quiet-period 100
【相关命令】
· display dot1x
· dot1x timer
dot1x re-authenticate命令用来开启周期性重认证功能。
undo dot1x re-authenticate命令用来关闭周期性重认证功能。
【命令】
dot1x re-authenticate
undo dot1x re-authenticate
【缺省情况】
周期性重认证功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
端口开启了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1x timer reauth-period)设定的时间间隔定期启动对该端口在线802.1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN)。
如果同时配置了重认证功能和当RADIUS服务器变为可达后,设备向RADIUS服务器同步802.1X在线用户信息的功能,则当重认证定时器超时时,设备不会对用户进行重认证,而是对用户进行同步操作。
【举例】
# 在端口Twenty-FiveGigE1/0/1上开启802.1X重认证功能,并配置周期性重认证时间间隔为1800秒。
<Sysname> system-view
[Sysname] dot1x timer reauth-period 1800
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x re-authenticate
【相关命令】
· display dot1x
· dot1x server-recovery online-user-sync
· dot1x timer
dot1x re-authenticate manual命令用来强制端口上所有802.1X在线用户进行重认证。
【命令】
dot1x re-authenticate manual
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
强制端口上所有802.1X在线用户进行重认证后,不论服务器是否下发重认证或端口下是否开启了周期性重认证,强制重认证都会正常执行,端口上的所有在线802.1X用户会依次进行重认证操作。
【举例】
# 强制Twenty-FiveGigE1/0/1端口上所有802.1X在线用户进行重认证。
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x re-authenticate manual
【相关命令】
· dot1x re-authenticate
dot1x re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的用户保持在线状态。
undo dot1x re-authenticate server-unreachable命令用来恢复缺省情况。
【命令】
dot1x re-authenticate server-unreachable keep-online
undo dot1x re-authenticate server-unreachable
【缺省情况】
端口上的802.1X在线用户重认证时,若认证服务器不可达,则会被强制下线。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
若端口上开启了802.1X的周期性重认证功能,则设备会定期对端口上的802.1X在线用户进行重认证,重认证过程中,若设备发现认证服务器状态不可达,则可以根据本配置,决定是否保持其在线状态。
【举例】
# 配置端口Twenty-FiveGigE1/0/1上的802.1X在线用户进行重认证时,若服务器不可达,则保持在线状态。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x re-authenticate server-unreachable keep-online
【相关命令】
· display dot1x
· dot1x re-authenticate
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。
undo dot1x retry命令用来恢复缺省情况。
【命令】
dot1x retry retries
undo dot1x retry
【缺省情况】
设备向接入用户发送认证请求报文的最大次数为2。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10。
【使用指导】
如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。对于EAP-Request/Identity报文,该时间由dot1x timer tx-period设置;对于EAP-Request/MD5 Challenge报文,该时间由dot1x timer supp-timeout设置。
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【相关命令】
· display dot1x
· dot1x timer
dot1x server-recovery online-user-sync命令用来开启RADIUS服务器变为可达后的802.1X在线用户信息同步功能。
undo dot1x server-recovery online-user-sync命令用来关闭802.1X在线用户信息同步功能。
【命令】
dot1x server-recovery online-user-sync
undo dot1x server-recovery online-user-sync
【缺省情况】
802.1X在线用户信息同步功能处于关闭状态,即当RADIUS服务器从不可达状态恢复为可达后,设备不向RADIUS服务器同步802.1X在线用户信息。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
设备向RADIUS服务器同步802.1X在线用户信息功能只能与H3C iMC服务器配合使用。
开启本功能后,当通过RADIUS服务器探测功能(具体配置步骤请参见“用户接入与认证配置指导”中的“AAA”)探测到服务器由不可达变为可达后,设备便主动对端口上的所有在线用户依次向服务器发起认证请求,等到这些用户均通过认证后,达到服务器上的在线用户信息与该端口上的在线用户信息一致的目的。
在设备向RADIUS服务器同步802.1X在线用户过程中,特殊情况处理如下:
· 如果在RADIUS服务器可达情况下,某用户认证失败,则设备强制该用户下线。
· 如果在设备发起下一次RADIUS服务器探测前,RADIUS服务器变为不可达而导致用户认证失败,则用户仍然保持在线。
· 如果有新用户发起认证,则该认证用户的信息不会向RADIUS服务器进行同步。
· 如果设备配置了周期性重认证功能,当重认证定时器超时时,设备不会对在线用户发起重认证,而是对用户进行同步操作。
当RADIUS服务器从不可达变为可达时,处于Critical VLAN或Critical VSI中的用户也会再次发起认证,在设备上802.1X在线用户较多的情况下,如果配置了本功能,会因为同时进行认证的用户数量较大,而导致用户的上线时间变长。
本功能需要与RADIUS服务器探测功能配合使用,且RADIUS服务器探测周期必须小于RADIUS服务器恢复激活状态时长(通过timer quiet (RADIUS scheme view)命令),以避免服务器恢复激活状态定时器超时后将服务器的状态变为active而产生误报。
【举例】
# 配置设备向RADIUS服务器同步Twenty-FiveGigE1/0/1端口下的802.1X在线用户信息。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x server-recovery online-user-sync
【相关命令】
· display dot1x
· radius-server test-profile(用户接入与认证命令参考/AAA)
· timer quiet (RADIUS scheme view)(用户接入与认证命令参考/AAA)
dot1x timer命令用来配置802.1X的定时器参数。
undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
【命令】
dot1x timer { ead-timeout ead-timeout-value | handshake-period handshake-period-value | offline-detect offline-detect-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | user-aging { auth-fail-vlan | auth-fail-vsi | critical-vlan | critical-vsi | guest-vlan | guest-vsi } aging-time-value }
undo dot1x timer { ead-timeout | handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period | user-aging { auth-fail-vlan | auth-fail-vsi | critical-vlan | critical-vsi | guest-vlan | guest-vsi } }
【缺省情况】
EAD超时定时器的值为30分钟,握手定时器的值为15秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒,指定类型的非认证成功VLAN或VSI用户老化定时器的值为1000秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ead-timeout ead-timeout-value:EAD超时定时器的值,取值范围为1~1440,单位为分钟。
handshake-period handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。
offline-detect offline-detect-value:下线检测定时器的值,取值范围为60~2147483647,单位为秒。
quiet-period quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。
reauth-period reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。
supp-timeout supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。
tx-period tx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒。
user-aging:设置加入到指定类型的非认证成功VLAN或VSI中用户的老化定时器。
auth-fail-vlan:加入到Auth-Fail VLAN中用户的老化定时器。
auth-fail-vsi:加入到Auth-Fail VSI中用户的老化定时器。
critical-vlan:加入到Critical VLAN中用户的老化定时器。
critical-vsi:加入到Critical VSI中用户的老化定时器。
guest-vlan:加入到Guest VLAN中用户的老化定时器。
guest-vsi:加入到Guest VSI中用户的老化定时器。
aging-time-value:用户老化定时器的值,取值范围为60~2147483647,单位为秒。
【使用指导】
802.1X认证过程受以下定时器的控制:
· EAD超时定时器(ead-timeout):管理员可以通过配置EAD规则的老化时间来控制用户对ACL资源的占用,当用户访问网络时该定时器即开始计时,在定时器超时或者用户下载客户端并成功通过认证之后,该用户所占用的ACL资源即被删除,这样那些在老化时间内未进行任何操作的用户所占用的ACL资源会及时得到释放。
· 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。开启802.1X认证下线检测功能后,若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。只有当端口的802.1X认证下线检测功能处于开启状态时,该定时器生效。
· 静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不对802.1X认证失败的用户进行802.1X认证处理。
· 周期性重认证定时器(reauth-period):端口上开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.1X认证失败。
建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retry与timer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“用户接入与认证配置指导”中的“AAA”。
· 客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
· 用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。
· 用户老化定时器(user-aging):用来设置指定类型的非认证成功VLAN或VSI内用户老化时间。
¡ 接入控制方式为Port-based时,在端口加入到Auth-Fail VLAN、Auth-Fail VSI、Critical VLAN或Critical VSI后,设备启动该定时器。如果到达设定的老化时间,则端口离开指定的VLAN或VSI。
¡ 接入控制方式为MAC-based时,在用户加入到Auth-Fail VLAN、Auth-Fail VSI、Critical VLAN、Critical VSI、Guest VLAN或Guest VSI后,设备启动该定时器。如果到达设定的老化时间,则用户离开指定的VLAN或VSI。
只有通过dot1x unauthenticated-user aging enable命令开启非认证成功VLAN和VSI中802.1X用户的老化功能时,该定时器生效。
请不要将非认证成功VLAN或VSI内用户老化时间设置为用户名请求超时定时器时长(通过命令dot1x timer tx-period tx-period-value进行配置)的整数倍,否则会导致对应VLAN或VSI内用户老化定时器失效。
一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。
除周期性重认证定时器外的其他定时器修改后可立即生效。
建议不要将握手定时器(handshake-period)和周期性重认证定时器(reauth-period)设置为与下线检测定时器(offline-detect)相同的值,否则可能出现定时器超时后,设备实际处理与预期不符的情况。
【举例】
# 设置认证服务器的超时定时器时长为150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【相关命令】
· display dot1x
· dot1x unauthenticated-user aging enable
· retry(用户接入与认证命令参考/AAA)
· timer response-timeout (RADIUS scheme view)(用户接入与认证命令参考/AAA)
dot1x timer reauth-period命令用来在端口上配置802.1X周期性重认证定时器。
undo dot1x timer reauth-period命令用来恢复缺省情况。
【命令】
dot1x timer reauth-period reauth-period-value
undo dot1x timer reauth-period
【缺省情况】
端口上未配置802.1X周期性重认证定时器,端口使用系统视图下配置的802.1X周期性重认证定时器的取值。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。
【使用指导】
端口上开启了802.1X周期性重认证功能后,设备将周期性地对端口上认证成功的802.1X用户发起重认证。重认证周期的选择优先级高低顺序为:服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。
对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期性重认证定时器的值进行后续的重认证。
【举例】
# 在端口Twenty-FiveGigE1/0/1上配置802.1X周期性重认证定时器的值为60秒。
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x timer reauth-period 60
【相关命令】
· dot1x timer
dot1x unauthenticated-user aging enable命令用来开启非认证成功VLAN和VSI中802.1X用户的老化功能。
undo dot1x unauthenticated-user aging enable命令用来关闭非认证成功VLAN和VSI中802.1X用户的老化功能。
【命令】
dot1x unauthenticated-user aging enable
undo dot1x unauthenticated-user aging enable
【缺省情况】
非认证成功VLAN和VSI中802.1X用户的老化功能处于开启状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
接入控制方式为Port-based的端口上开启非认证成功VLAN和VSI中802.1X用户的老化功能后,当端口加入到Auth-Fail VLAN、Auth-Fail VSI、Critical VLAN或Critical VSI时,设备启动用户老化定时器,到达老化时间(通过dot1x timer user-aging命令配置)后,端口离开对应的VLAN或VSI。此接入方式下,对于Guest VLAN或Guest VSI用户,老化定时器不生效。
接入控制方式为MAC-based的端口上开启非认证成功VLAN和VSI中802.1X用户的老化功能后,当用户加入到Auth-Fail VLAN、Auth-Fail VSI、Critical VLAN、Critical VSI、Guest VLAN或Guest VSI时,设备启动用户老化定时器,到达老化时间(通过dot1x timer user-aging命令配置)后,用户离开对应的VLAN或VSI。
当端口上非认证成功VLAN或VSI的用户需要迁移到其它端口接入时,请开启本端口上非认证成功VLAN和VSI用户的老化功能,将本端口上的用户MAC地址老化删除,否则用户无法在其它端口正常接入。反之,当本端口非认证成功VLAN和VSI的用户不需要迁移到其它端口接入时,建议关闭本功能,以免用户老化退出后无法访问对应VLAN或VSI中的资源。
【举例】
# 关闭端口Twenty-FiveGigE1/0/1上非认证成功VLAN和VSI中802.1X用户的老化功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] undo dot1x unauthenticated-user aging enable
【相关命令】
· dot1x timer
dot1x unicast-trigger命令用来开启端口上的802.1X的单播触发功能。
undo dot1x unicast-trigger命令用来关闭802.1X的单播触发功能。
【命令】
dot1x unicast-trigger
undo dot1x unicast-trigger
【缺省情况】
802.1X的单播触发功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
端口上开启802.1X的单播触发功能后,当端口收到源MAC未知的报文时,主动向该MAC地址发送单播认证报文来触发认证。若设备端在设置的客户端认证超时时间内(该时间由dot1x timer supp-timeout设置)没有收到客户端的响应,则重发该报文(重发次数由dot1x retry设置)。
单播触发功能建议只在端口接入控制方式为MAC-based时配置;若在端口接入控制方式为Port-based时配置单播触发功能,可能会导致用户正常无法上线。
【举例】
# 在端口Twenty-FiveGigE1/0/1上开启802.1X的单播触发功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x unicast-trigger
【相关命令】
· display dot1x
· dot1x multicast-trigger
· dot1x port-method
· dot1x retry
· dot1x timer
dot1x user-ip freeze命令用来开启802.1X用户IP地址冻结功能。
undo dot1x user-ip freeze命令用来关闭802.1X用户IP地址冻结功能。
【命令】
dot1x user-ip freeze
undo dot1x user-ip freeze
【缺省情况】
802.1X用户IP地址冻结功能处于关闭状态。
【视图】
二层以太网接口视图
二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
开启802.1X用户IP地址冻结功能后,端口首次获取且保存了802.1X上线用户的IP地址之后,不会随着该用户IP地址的变化而更新IP Source Guard表项。有关IP Source Guard命令的详细介绍,请参见“安全命令参考”中的“IP Source Guard”。
【举例】
# 开启端口Twenty-FiveGigE1/0/1上的802.1X用户IP地址冻结功能。
<Sysname> system-view
[Sysname] interface twenty-fivegige 1/0/1
[Sysname-Twenty-FiveGigE1/0/1] dot1x user-ip freeze
reset dot1x access-user命令用来强制802.1X用户下线。
【命令】
reset dot1x access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id | vsi vsi-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示强制指定端口下的802.1X用户下线。interface-type interface-number为端口类型和端口编号。
mac mac-address:表示强制指定MAC地址的802.1X用户下线。mac-address表示802.1X用户的MAC地址,格式为H-H-H。
username username:表示强制指定名称的802.1X用户下线。username表示802.1X用户的名称,为1~253个字符的字符串,区分大小写。
vlan vlan-id:表示强制指定VLAN内的802.1X用户下线。vlan-id表示802.1X用户当前所在VLAN的VLAN ID(可通过display mac-address命令查看),取值范围为1~4094。
vsi vsi-name:表示强制指定VSI内的802.1X用户下线。vsi-name表示802.1X在线用户的授权VSI名称,为1~31个字符的字符串,区分大小写。
【使用指导】
reset dot1x access-user命令用来强制指定的802.1X用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行802.1X认证。
指定vsi vsi-name参数时,设备会查找认证成功且已授权VSI的用户,将授权VSI为vsi-name的用户强制下线。
指定vlan vlan-id参数时,设备会对如下几种802.1X用户进行下线处理:
· 对于已经认证成功且服务器已授权VLAN的用户,将服务器授权的VLAN为vlan-id的用户强制下线;
· 对于已认证成功且服务器未授权VLAN的用户,将设备上对用户生效的VLAN为vlan-id的用户强制下线;
· 对于正在认证中的用户,将初始VLAN为vlan-id的用户强制下线。
如果不指定任何参数,则强制设备上所有802.1X用户下线。
【举例】
# 强制端口Twenty-FiveGigE1/0/1上的所有802.1X用户下线。
<Sysname> reset dot1x access-user interface twenty-fivegige 1/0/1
【相关命令】
· display dot1x connection
reset dot1x guest-vlan命令用来清除Guest VLAN内802.1X用户,使其退出Guest VLAN。
【命令】
reset dot1x guest-vlan interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Guest VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Guest VLAN。
【举例】
# 在端口Twenty-FiveGigE1/0/1上使得MAC地址为1-1-1的802.1X用户退出Guest VLAN。
<Sysname> reset dot1x guest-vlan interface twenty-fivegige 1/0/1 mac-address 1-1-1
【相关命令】
· dot1x guest-vlan
reset dot1x guest-vsi命令用来清除Guest VSI内的802.1X用户,使其退出Guest VSI。
【命令】
reset dot1x guest-vsi interface interface-type interface-number [ mac-address mac-address ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:表示使指定端口上的用户退出Guest VSI。interface-type interface-number为端口类型和端口编号。
mac-address mac-address:表示使指定MAC地址的用户退出Guest VSI。若不指定本参数,则表示使指定端口上的所有用户退出Guest VSI。
【举例】
# 强制端口Twenty-FiveGigE1/0/1上接入的、MAC地址为1-1-1的802.1X用户退出Guest VSI。
<Sysname> reset dot1x guest-vsi interface twenty-fivegige 1/0/1 mac-address 1-1-1
【相关命令】
· dot1x guest-vsi
reset dot1x statistics命令用来清除802.1X的统计信息。
【命令】
reset dot1x statistics [ interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:清除指定端口上的802.1X统计信息。interface-type interface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的802.1X统计信息。
【举例】
# 清除端口Twenty-FiveGigE1/0/1上的802.1X统计信息。
<Sysname> reset dot1x statistics interface twenty-fivegige 1/0/1
· display dot1x
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!