• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

09-安全命令参考

目录

02-802.1X命令

本章节下载 02-802.1X命令  (436.64 KB)

02-802.1X命令

目  录

1 802.1X

1.1 802.1X配置命令

1.1.1 display dot1x

1.1.2 display dot1x connection

1.1.3 display dot1x mac-address

1.1.4 dot1x

1.1.5 dot1x access-user log enable

1.1.6 dot1x after-mac-auth max-attempt

1.1.7 dot1x authentication-method

1.1.8 dot1x auth-fail eapol

1.1.9 dot1x auth-fail vlan

1.1.10 dot1x auth-fail vsi

1.1.11 dot1x critical eapol

1.1.12 dot1x critical vlan

1.1.13 dot1x critical vsi

1.1.14 dot1x critical-voice-vlan

1.1.15 dot1x domain-delimiter

1.1.16 dot1x ead-assistant enable

1.1.17 dot1x ead-assistant free-ip

1.1.18 dot1x ead-assistant url

1.1.19 dot1x eap-tls-fragment to-server

1.1.20 dot1x eapol untag

1.1.21 dot1x guest-vlan

1.1.22 dot1x guest-vlan-delay

1.1.23 dot1x guest-vsi

1.1.24 dot1x guest-vsi-delay

1.1.25 dot1x handshake

1.1.26 dot1x handshake reply enable

1.1.27 dot1x handshake secure

1.1.28 dot1x mac-binding

1.1.29 dot1x mac-binding enable

1.1.30 dot1x mandatory-domain

1.1.31 dot1x max-user

1.1.32 dot1x multicast-trigger

1.1.33 dot1x offline-detect enable

1.1.34 dot1x port-control

1.1.35 dot1x port-method

1.1.36 dot1x quiet-period

1.1.37 dot1x re-authenticate

1.1.38 dot1x re-authenticate manual

1.1.39 dot1x re-authenticate server-unreachable keep-online

1.1.40 dot1x retry

1.1.41 dot1x server-recovery online-user-sync

1.1.42 dot1x timer

1.1.43 dot1x timer reauth-period (interface view)

1.1.44 dot1x unauthenticated-user aging enable

1.1.45 dot1x unicast-trigger

1.1.46 dot1x user-ip freeze

1.1.47 reset dot1x access-user

1.1.48 reset dot1x guest-vlan

1.1.49 reset dot1x guest-vsi

1.1.50 reset dot1x statistics

 


1 802.1X

1.1  802.1X配置命令

1.1.1  display dot1x

display dot1x命令用来显示802.1X的相关信息。

【命令】

display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

sessions:显示802.1X的会话连接信息。

statistics:显示802.1X的相关统计信息。

interface interface-type interface-number:显示指定端口的802.1X信息。interface-type interface-number为端口类型和端口编号。

【使用指导】

如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。

如果不指定interface参数,则显示所有端口上的802.1X信息。

【举例】

# 显示802.1X的所有信息。

<Sysname> display dot1x

 Global 802.1X parameters:

   802.1X authentication                : Enabled

   EAP authentication                   : Enabled

   Max-tx period                        : 30 s

   Handshake period                     : 15 s

   Offline detect period                : 300 s

   Quiet timer                          : Disabled

         Quiet period                   : 60 s

   Supp timeout                         : 30 s

   Server timeout                       : 100 s

   Reauth period                        : 3600 s

   Max auth requests                    : 2

   User aging period for Auth-Fail VLAN : 1000 s

   User aging period for Auth-Fail VSI  : 1000 s

   User aging period for critical VLAN  : 1000 s

   User aging period for critical VSI   : 1000 s

   User aging period for guest VLAN     : 1000 s

   User aging period for guest VSI      : 1000 s

   EAD assistant function               : Disabled

       URL                              : http://www.dwsoft.com

       Free IP                          : 6.6.6.0         255.255.255.0

       EAD timeout                      : 30 min

   Domain delimiter                     : @

   Max EAP-TLS fragment (to-server)     : 400 bytes

 Online 802.1X wired users              : 1

 

 Twenty-FiveGigE1/0/1  is link-up

   802.1X authentication            : Enabled

   Handshake                        : Enabled

   Handshake reply                  : Disabled

   Handshake security               : Disabled

   Offline detection                : Disabled

   Unicast trigger                  : Disabled

   Periodic reauth                  : Disabled

   Port role                        : Authenticator

   Authorization mode               : Auto

   Port access control              : MAC-based

   Multicast trigger                : Enabled

   Mandatory auth domain            : Not configured

   Guest VLAN                       : 3

   Auth-Fail VLAN                   : Not configured

   Critical VLAN                    : Not configured

   Critical voice VLAN              : Disabled

   Add Guest VLAN delay             : Disabled

   Re-auth server-unreachable       : Logoff

   Max online users                 : 4294967295

   User IP freezing                 : Disabled

   Reauth period                    : 0 s

   Send Packets Without Tag         : Disabled

   Max Attempts Fail Number         : 0

   Guest VSI                        : Not configured

   Auth-Fail VSI                    : Not configured

   Critical VSI                     : Not configured

   Add Guest VSI delay              : Disabled

   User aging                       : Enabled

   Server-recovery online-user-sync : Enabled

   Auth-Fail EAPOL                  : Disabled

   Critical EAPOL                   : Disabled

 

   EAPOL packets: Tx 3, Rx 3

   Sent EAP Request/Identity packets : 1

        EAP Request/Challenge packets: 1

        EAP Success packets: 1

        EAP Failure packets: 0

   Received EAPOL Start packets : 1

            EAPOL LogOff packets: 1

            EAP Response/Identity packets : 1

            EAP Response/Challenge packets: 1

            Error packets: 0

   Online 802.1X users: 1

          MAC address         Auth state

          0001-0000-0000      Authenticated

表1-1 display dot1x命令显示信息描述表

字段

描述

Global 802.1X parameters

全局802.1X参数配置信息

802.1X authentication

全局802.1X的开启状态

CHAP authentication

启用EAP终结方式,并采用CHAP认证方法

EAP authentication

启用EAP中继方式,并支持所有EAP认证方法

PAP authentication

启用EAP终结方式,并采用PAP认证方法

Max-tx period

用户名请求超时定时器的值

Handshake period

握手定时器的值

Offline detect period

下线检测定时器的值

Quiet timer

静默定时器的开启状态

Quiet period

静默定时器的值

Supp timeout

客户端认证超时定时器的值

Server  timeout

认证服务器超时定时器的值

Reauth period

重认证定时器的值

Max auth requests

设备向接入用户发送认证请求报文的最大次数

User aging period for Auth-Fail VLAN

Auth-Fail VLAN中用户的老化时间

User aging period for Auth-Fail VSI

Auth-Fail VSI中用户的老化时间

User aging period for critical VLAN

Critical VLAN中用户的老化时间

User aging period for critical VSI

Critical VSI中用户的老化时间

User aging period for guest VLAN

Guest VLAN中用户的老化时间

User aging period for guest VSI

Guest VSI中用户的老化时间

EAD assistant function

EAD快速部署辅助功能的开启状态

URL

用户HTTP访问的重定向URL

Free IP

用户通过认证之前可访问的网段

EAD timeout

EAD老化定时器超时时间

Domain delimiter

域名分隔符

Max EAP-TLS fragment (to-server)

向认证服务器发送的认证报文中携带的EAP-TLS分片报文最大长度

若未配置EAP-TLS分片报文最大长度,则显示为N/A

Online 802.1X wired users

在线802.1X有线用户和正在发起认证的802.1X有线用户的总数

Twenty-FiveGigE1/0/1 is link-up

端口Twenty-FiveGigE1/0/1的链路状态

802.1X authentication

端口上802.1X的开启状态

Handshake

在线用户握手功能的开启状态

Handshake reply

在线用户握手回应功能的开启状态

Handshake security

安全握手功能的开启状态

Offline detection

802.1X认证下线检测的开启状态

·     Enabled:处于开启且已生效状态

·     Disabled:处于关闭状态

·     Enabled(NOT effective):处于开启但未生效状态。在使能了下线检测功能的情况下,修改端口接入控制方式为Port-based时,显示此状态

Unicast trigger

802.1X单播触发功能的开启状态

Periodic reauth

周期性重认证功能的开启状态

Port role

该端口担当认证端的作用,目前仅支持作为认证端

Authorization mode

端口的授权状态

·     Force-Authorized:强制授权状态

·     Auto:自动识别状态

·     Force-Unauthorized:强制非授权状态

Port access control

端口接入控制方式

·     MAC-based:基于MAC地址对接入用户进行认证

·     Port-based:基于端口对接入用户进行认证

Multicast trigger

802.1X组播触发功能的开启状态

Mandatory auth domain

端口上的接入用户使用的强制认证域

Guest VLAN

端口配置的Guest VLAN,若此功能未配置则显示Not configured

Auth-fail VLAN

端口配置的Auth-Fail VLAN,若此功能未配置则显示Not configured

Critical VLAN

端口配置的Critical VLAN,若此功能未配置则显示Not configured

Critical voice VLAN

端口配置802.1X认证的Critical Voice VLAN功能的开启状态,包括如下取值:

·     Enabled:打开

·     Disabled:关闭

Add Guest VLAN delay

端口延迟加入Guest VLAN功能的状态和触发原因:

·     EAPOL:802.1X协议报文触发端口延迟加入802.1X Guest VLAN

·     NewMac:源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN

·     ALL:802.1X协议报文或源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN

·     Disabled:端口延迟加入802.1X Guest VLAN功能处于关闭状态

Re-auth server-unreachable

重认证时服务器不可达对802.1X在线用户采取的动作

Max online users

本端口最多可容纳的接入用户数

User IP freezing

802.1X用户IP地址冻结功能的开启状态

·     Enabled:打开

·     Disabled:关闭

Reauth period

端口上802.1X周期性重认证定时器的值

Send Packets Without Tag

端口发送802.1X协议报文不携带VLAN Tag的开启状态:

·     Enabled:打开

·     Disabled:关闭

Max Attempts Fail Number

MAC地址认证成功的用户进行802.1X认证的最大尝试次数

Guest VSI

端口配置的Guest VSI,若此功能未配置则显示Not configured

Auth-Fail VSI

端口配置的Auth-Fail VSI,若此功能未配置则显示Not configured

Critical VSI

端口配置的Critical VSI,若此功能未配置则显示Not configured

Add Guest VSI delay

端口延迟加入Guest VSI功能的状态和触发原因:

·     EAPOL only:802.1X协议报文触发端口延迟加入802.1X Guest VSI

·     NewMAC only:源MAC地址未知的报文触发端口延迟加入802.1X Guest VSI

·     EAPOL or NewMAC:802.1X协议报文或源MAC地址未知的报文触发端口延迟加入802.1X Guest VSI

·     Disabled:端口延迟加入802.1X Guest VSI功能处于关闭状态

User aging

非认证成功VLAN和VSI中802.1X用户老化功能的开启状态

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Server-recovery online-user-sync

RADIUS服务器从不可达状态恢复为可达时,设备同步802.1X在线用户信息到RADIUS服务器功能的开启状态:

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Auth-Fail EAPOL

当802.1X用户加入到Auth-Fail VLAN或Auth-Fail VSI后,设备端向客户端发送EAP-Success报文功能的开启状态:

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

Critical EAPOL

当802.1X用户加入到Critical VLAN或Critical VSI后,设备端向客户端发送EAP-Success报文功能的开启状态:

·     Enabled:处于开启状态

·     Disabled:处于关闭状态

EAPOL packets

EAPOL报文数目。Tx表示发送的报文数目;Rx表示接受的报文数目

Sent EAP Request/Identity packets

发送的EAP Request/Identity报文数

EAP Request/Challenge packets

发送的EAP Request/Challenge报文数

EAP Success packets

发送的EAP Success报文数

EAP Fail packets

发送的EAP Failure报文数

Received EAPOL Start packets

接收的EAPOL Start报文数

EAPOL LogOff packets

接收的EAPOL LogOff报文数

EAP Response/Identity packets

接收的EAP Response/Identity报文数

EAP Response/Challenge packets

接收的EAP Response/Challenge报文数

Error packets

接收的错误报文数

Online 802.1X users

端口上的在线802.1X用户和正在发起认证的802.1X用户的总数

MAC address

802.1X用户的MAC地址

Auth state

802.1X用户的认证状态

 

1.1.2  display dot1x connection

display dot1x connection命令用来显示当前802.1X在线用户的详细信息。

【命令】

display dot1x connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name name-string ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的802.1X用户信息。若不指定本参数,则显示设备上所有802.1X在线用户的信息。

interface interface-type interface-number:显示指定端口的802.1X在线用户信息。其中interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示设备上所有802.1X在线用户的信息。

slot slot-number:显示指定成员设备上的802.1X在线用户信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上的802.1X在线用户信息。

user-mac mac-address:显示指定MAC地址的802.1X在线用户信息。其中mac-address表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有802.1X在线用户的信息。

user-name name-string:显示指定用户名的802.1X在线用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有802.1X在线用户的信息。

【举例】

# 显示所有802.1X在线用户信息。

<Sysname> display dot1x connection

Total connections: 1

 

Slot ID: 1

User MAC address: 0015-e9a6-7cfe

Access interface: Twenty-FiveGigE1/0/1

Username: ias

User access state: Successful

Authentication domain: aaa

IPv4 address: 192.168.1.1

IPv6 address: 2000:0:0:0:1:2345:6789:abcd

Authentication method: CHAP

Initial VLAN: 1

Authorization untagged VLAN: 6

Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33

                                35 37 40 to 100

Authorization VSI: N/A

Authorization ACL number/name: 3001

Authorization user profile: N/A

Authorization CAR: N/A

Authorization URL: N/A

Termination action: Default

Session timeout period: 2 s

Online from: 2013/03/02  13:14:15

Online duration: 0h 2m 15s

表1-2 display dot1x connection 命令显示信息描述表

字段

描述

Total connections

在线802.1X认证用户个数

User MAC address

用户的MAC地址

Access interface

用户的接入接口名称

Username

用户名

User access state

用户的接入状态

·     Successful:802.1X认证成功并接入

·     Open:使用不存在的用户名或者错误的密码进行开放认证并接入

Authentication domain

认证时使用的ISP域的名称

IPv4 address

用户IP地址

若未获取到用户的IP地址,则不显示该字段

IPv6 address

用户IPv6地址

若未获取到用户的IP地址,则不显示该字段

Authentication method

802.1X系统的认证方法

·     CHAP:启用EAP终结方式,并采用CHAP认证方法

·     EAP:启用EAP中继方式,并支持所有EAP认证方法

·     PAP:启用EAP终结方式,并采用PAP认证方法

Initial VLAN

初始的VLAN

Authorization untagged VLAN

授权的untagged VLAN

对于Hybrid端口,当授权VLAN携带Tag的情况与端口配置的VLAN情况不一致时,授权VLAN不生效,通过认证后起作用的VLAN仍为端口配置的VLAN。具体请参见“安全配置指导”中的“802.1X”。

Authorization tagged VLAN list

授权的tagged VLAN列表

对于Hybrid端口,当授权VLAN携带Tag的情况与端口配置的VLAN情况不一致时,授权VLAN不生效,通过认证后起作用的VLAN仍为端口配置的VLAN。具体请参见“安全配置指导”中的“802.1X”。

Authorization VSI

授权的VSI列表

Authorization ACL number/name

授权的ACL的编号或名称。若未授权ACL,则显示N/A

若未授权成功,则在ACL编号或名称后显示“(NOT effective)”

Authorization user profile

授权用户的User profile名称

Authorization CAR

(暂不支持)当服务器未授权用户CAR属性时,该字段显示为N/A。

Authorization URL

授权的重定向URL

Termination action

服务器下发的终止动作类型:

·     Default:会话超时时长到达后,强制用户下线。但是,如果设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.1X用户发起重认证,而不会强制用户下线

·     Radius-Request:会话超时时长到达后,要求802.1X用户进行重认证

用户采用本地认证时,该字段显示为Default

Session timeout period

服务器下发的会话超时时长,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定

Online from

用户的上线时间

Online duration

用户的在线时长

 

1.1.3  display dot1x mac-address

display dot1x mac-address命令用来显示指定类型的VLAN或VSI中的802.1X用户的MAC地址信息。

【命令】

display dot1x mac-address { auth-fail-vlan | auth-fail-vsi | critical-vlan | critical-vsi | guest-vlan | guest-vsi } [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

auth-fail-vlan:显示802.1X Auth-Fail VLAN中的用户MAC地址信息。

auth-fail-vsi:显示802.1X Auth-Fail VSI中的用户MAC地址信息。

critical-vlan:显示802.1X Critical VLAN中的用户MAC地址信息。

critical-vsi:显示802.1X Critical VSI中的用户MAC地址信息。

guest-vlan:显示802.1X Guest VLAN中的用户MAC地址信息。

guest-vsi:显示802.1X Guest VSI中的用户MAC地址信息。

interface interface-type interface-number:显示VLAN或VSI中指定端口的802.1X用户的MAC地址信息。其中interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示指定类型的VLAN或VSI中所有端口的802.1X用户的MAC地址信息。

【使用指导】

查询到的MAC地址数量以及MAC地址明细为粗略统计,当有大量用户频繁进行认证时可能不能完全精准显示。

【举例】

# 显示所有802.1X Auth-Fail VLAN中的用户的MAC地址信息。

<Sysname> display dot1x mac-address auth-fail-vlan

Total MAC addresses: 10

Interface: Twenty-FiveGigE1/0/1        Auth-Fail VLAN: 3    Aging time: N/A

MAC addresses: 8

  0800-2700-9427    0800-2700-2341    0800-2700-2324    0800-2700-2351

  0800-2700-5627    0800-2700-2251    0800-2700-8624    0800-2700-3f51

 

Interface: Twenty-FiveGigE1/0/2        Auth-Fail VLAN: 5    Aging time: 30 sec

MAC addresses: 2

  0801-2700-9427    0801-2700-2341

# 显示所有802.1X Auth-Fail VSI中的用户的MAC地址信息。

<Sysname> display dot1x mac-address auth-fail-vsi

Total MAC addresses: 10

Interface: Twenty-FiveGigE1/0/3        Auth-Fail VSI: text-vsi   Aging time: N/A

MAC addresses: 8

  0800-2700-9427    0800-2700-2341    0800-2700-2324    0800-2700-2351

  0800-2700-5627    0800-2700-2251    0800-2700-8624    0800-2700-3f51

 

Interface: Twenty-FiveGigE1/0/4        Auth-Fail VSI: text1-vsi   Aging time: 30 sec

MAC addresses: 2

  0801-2700-9427    0801-2700-2341

表1-3 display dot1x mac-address命令显示信息描述表

字段

描述

Total MAC addresses

指定类型的VLAN或VSI中的所有MAC地址总数

Interface

用户的接口名称

Type VLAN/VSI

显示802.1X用户所在的VLAN或VSI信息,Type包含如下取值:

·     Auth-fail VLAN

·     Auth-fail VSI

·     Critical VLAN

·     Critical VSI

·     Guest VLAN

·     Guest VSI

Aging time

MAC地址老化时间,单位秒。N/A表示该地址不老化

MAC addresses

MAC地址数

xxxx-xxxx-xxxx

MAC地址

 

【相关命令】

·     dot1x auth-fail vlan

·     dot1x auth-fail vsi

·     dot1x critical vlan

·     dot1x critical vsi

·     dot1x guest-vlan

·     dot1x guest-vsi

1.1.4  dot1x

dot1x命令用来开启端口上或全局的802.1X。

undo dot1x命令用来关闭端口上或全局的802.1X。

【命令】

dot1x

undo dot1x

【缺省情况】

所有端口以及全局的802.1X都处于关闭状态。

【视图】

系统视图

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效。

【举例】

# 开启全局的802.1X。

<Sysname> system-view

[Sysname] dot1x

# 开启端口Twenty-FiveGigE1/0/1上的802.1X。

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x

[Sysname-Twenty-FiveGigE1/0/1] quit

【相关命令】

·     display dot1x

1.1.5  dot1x access-user log enable

dot1x access-user log enable命令用来开启802.1X接入用户日志信息功能。

undo dot1x access-user log enable命令用来关闭802.1X接入用户日志信息功能。

【命令】

dot1x access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *

undo dot1x access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *

【缺省情况】

802.1X接入用户日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

abnormal-logoff:802.1X接入用户异常下线(例如实时计费失败下线,重认证失败下线等)的日志信息。

failed-login:802.1X接入用户上线失败的日志信息。

normal-logoff:802.1X接入用户正常下线的日志信息。

successful-login:802.1X接入用户上线成功时的日志信息

【使用指导】

为了防止设备输出过多的802.1X接入用户日志信息,一般情况下建议关闭此功能。

配置本命令时,如果未指定任何参数,将同时开启或关闭本命令所有参数对应的日志功能。

【举例】

# 开启802.1X接入用户上线失败的日志信息。

<Sysname> system-view

[Sysname] dot1x access-user log enable failed-login

【相关命令】

·     info-center source dot1x logfile deny(网络管理和监控/信息中心)

1.1.6  dot1x after-mac-auth max-attempt

dot1x after-mac-auth max-attempt命令用来配置MAC地址认证成功的用户进行802.1X认证的最大尝试次数。

undo dot1x after-mac-auth max-attempt命令用来恢复缺省情况。

【命令】

dot1x after-mac-auth max-attempt max-attemps

undo dot1x after-mac-auth max-attempt

【缺省情况】

不限制MAC地址认证成功的用户进行802.1X认证的最大尝试次数。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

max-attemps:表示认证的最大尝试次数,取值范围为1~50。

【使用指导】

在端口上配置此功能后,MAC地址认证成功的用户进行802.1X认证时,如果用户进行802.1X认证的尝试次数超过配置的最大次数,则设备将不再允许此用户进行802.1X认证。

如果MAC地址认证用户下线或设备重启,则此用户进行802.1X认证的尝试次数会重新从零计数。

【举例】

# 在端口Twenty-FiveGigE1/0/1上配置MAC地址认证用户进行802.1X认证的最大尝试次数为10次。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x after-mac-auth max-attempt 10

【相关命令】

·     display dot1x

1.1.7  dot1x authentication-method

dot1x authentication-method命令用来配置802.1X系统的认证方法。

undo dot1x authentication-method命令用来恢复缺省情况。

【命令】

dot1x authentication-method { chap | eap | pap }

undo dot1x authentication-method

【缺省情况】

设备启用EAP终结方式,并采用CHAP认证方法。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法。

eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。

pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。

【使用指导】

在EAP终结方式下:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。有关PAP和CHAP两种认证方法的详细介绍如下:

·     PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。目前,H3C iNode 802.1X客户端支持此认证方法。

·     CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。

在EAP中继方式下:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证。该方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法。

采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法。

若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。

【举例】

# 启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。

<Sysname> system-view

[Sysname] dot1x authentication-method pap

【相关命令】

·     display dot1x

1.1.8  dot1x auth-fail eapol

dot1x auth-fail eapol命令用来配置当802.1X用户被加入到Auth-Fail VLAN或Auth-Fail VSI后,设备端向客户端发送EAP-Success报文。

undo dot1x auth-fail eapol命令用来恢复缺省情况。

【命令】

dot1x auth-fail eapol

undo dot1x auth-fail eapol

【缺省情况】

当802.1X用户加入到Auth-Fail VLAN或Auth-Fail VSI后,设备端向客户端发送EAP-Failure报文。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

某些通过DHCP方式获取IP地址的802.1X客户端进行认证时,在收到EAP-Failure报文后,不会发送DHCP请求申请IP地址,只有在收到EAP-Success报文后才会发送DHCP请求申请IP地址。缺省情况下,当802.1X用户因认证失败而被加入Auth-Fail VLAN或Auth-Fail VSI后,设备会向客户端发送一个EAP-Failure报文,导致上述客户端获取不到IP地址,无法访问Auth-Fail VLAN或Auth-Fail VSI内的资源。为避免这种情况发生,可通过dot1x auth-fail eapol命令配置当802.1X用户被加入到Auth-Fail VLAN或Auth-Fail VSI后,设备向客户端发送EAP-Success报文的功能。此类客户端收到EAP-Success报文后,认为802.1X用户上线成功,会向设备发送DHCP请求申请IP地址。

【举例】

# 在端口Twenty-FiveGigE1/0/1上配置当802.1X用户加入到Auth-Fail VLAN或Auth-Fail VSI后,向客户端发送EAP-Success报文。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x auth-fail eapol

【相关命令】

·     dot1x auth-fail vlan

·     dot1x auth-fail vsi

1.1.9  dot1x auth-fail vlan

dot1x auth-fail vlan命令用来配置端口的802.1X Auth-Fail VLAN。

undo dot1x auth-fail vlan命令用来恢复缺省情况。

【命令】

dot1x auth-fail vlan authfail-vlan-id

undo dot1x auth-fail vlan

【缺省情况】

端口上未配置802.1X Auth-Fail VLAN。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

【使用指导】

端口上配置此功能后,认证失败的802.1X用户可以继续访问Auth-Fail VLAN中的资源。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Auth-Fail VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。

端口上配置802.1X Auth-Fail VLAN与配置802.1X Auth-Fail VSI、Guest VSI或Critical VSI互斥。

禁止删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过undo dot1x auth-fail vlan命令取消802.1X Auth-Fail VLAN配置。

端口类型为Hybrid时,请不要将指定的Auth-Fail VLAN修改为携带Tag的方式。

【举例】

# 配置端口Twenty-FiveGigE1/0/1的Auth-Fail VLAN为VLAN 100。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x auth-fail vlan 100

【相关命令】

·     display dot1x

1.1.10  dot1x auth-fail vsi

dot1x auth-fail vsi命令用来配置端口的802.1X Auth-Fail VSI。

undo dot1x auth-fail vsi命令用来恢复缺省情况。

【命令】

dot1x auth-fail vsi authfail-vsi-name

undo dot1x auth-fail vsi

【缺省情况】

端口上未配置802.1X Auth-Fail VSI。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

authfail-vsi-name:端口上指定的Auth-Fail VSI名称,为1~31个字符的字符串,区分大小写。

【使用指导】

端口上配置此功能后,认证失败的802.1X用户可以继续访问Auth-Fail VSI对应的VXLAN中的资源。

只有当端口接入控制方式为MAC-based时,设备支持下发VSI。

不同的端口可以配置不同的802.1X认证的Auth-Fail VSI,但一个端口最多只能配置一个802.1X认证的Auth-Fail VSI。

端口上配置802.1X认证的Auth-Fail VSI与配置802.1X认证的Auth-Fail VLAN、Guest VLAN或Critical VLAN互斥。

【举例】

# 配置端口Twenty-FiveGigE1/0/1的Auth-Fail VSI名称为vsiuser。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x auth-fail vsi vsiuser

【相关命令】

·     display dot1x

1.1.11  dot1x critical eapol

dot1x critical eapol命令用来配置当802.1X用户被加入到Critical VLAN或Critical VSI后,设备端向客户端发送EAP-Success报文。

undo dot1x critical eapol命令用来恢复缺省情况。

【命令】

dot1x critical eapol

undo dot1x critical eapol

【缺省情况】

当802.1X用户加入到Critical VLAN或Critical VSI后,设备端向客户端发送EAP-Failure报文。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,当802.1X用户因认证服务器不可达而被加入Critical VLAN或Critical VSI后,设备端会向客户端发送一个EAP-Failure报文。对于某些802.1X客户端(如Windows系统的802.1X客户端),在收到EAP-Failure报文后,不会再响应设备端后继发送的EAP-Request/Identity报文。因此当设备端探测到服务器可达并向客户端发送EAP-Request/Identity报文进行重认证时,客户端不会进行响应,该类用户的重认证无法成功。这种情况下,可通过本命令配置当802.1X用户被加入到Critical VLAN或Critical VSI后,设备端向客户端发送一个EAP-Success报文。客户端收到该报文后认为802.1X用户上线成功,此后可以继续响应设备端发送的EAP-Request/Identity报文进行802.1X重认证。

【举例】

# 在端口Twenty-FiveGigE1/0/1上配置当802.1X用户加入到Critical VLAN或Critical VSI后,向客户端发送EAP-Success报文。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x critical eapol

【相关命令】

·     dot1x critical vlan

·     dot1x critical vsi

1.1.12  dot1x critical vlan

dot1x critical vlan命令用来配置端口的802.1X Critical VLAN。

undo dot1x critical vlan命令用来恢复缺省情况。

【命令】

dot1x critical vlan critical-vlan-id

undo dot1x critical vlan

【缺省情况】

端口上未配置Critical VLAN。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

critical-vlan-id:端口上指定的Critical VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

【使用指导】

配置此功能后,当802.1X用户认证时对应的ISP域下所有认证服务器都不可达的情况下,此802.1X用户可以继续访问Critical VLAN中的资源。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Critical VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Critical VLAN,则该VLAN不能被指定为Super VLAN。

端口上配置802.1X Critical VLAN与配置802.1X Auth-Fail VSI、Guest VSI或Critical VSI互斥。

禁止删除已被配置为Critical VLAN的VLAN,若要删除该VLAN,请先通过undo dot1x critical vlan命令取消802.1X Critical VLAN配置。

端口类型为Hybrid时,请不要将指定的Critical VLAN修改为携带Tag的方式。

【举例】

# 配置端口Twenty-FiveGigE1/0/1的Critical VLAN为VLAN 100。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x critical vlan 100

【相关命令】

·     display dot1x

1.1.13  dot1x critical vsi

dot1x critical vsi命令用来配置端口的802.1X Critical VSI。

undo dot1x critical vsi命令用来恢复缺省情况。

【命令】

dot1x critical vsi critical-vsi-name

undo dot1x critical vsi

【缺省情况】

端口上未配置Critical VSI。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

critical-vsi-name:端口上指定的Critical VSI名称,为1~31个字符的字符串,区分大小写。

【使用指导】

配置此功能后,当ISP域下所有认证服务器都不可达时,802.1X用户可以继续访问Critical VSI对应的VXLAN中的资源。

只有当端口接入控制方式为MAC-based时,设备支持下发VSI。

不同的端口可以配置不同的802.1X认证的Critical VSI,但一个端口最多只能配置一个802.1X认证的Critical VSI。

端口上配置802.1X认证的Critical VSI与配置802.1X认证的Auth-Fail VLAN、Guest VLAN或Critical VLAN互斥。

【举例】

# 配置端口Twenty-FiveGigE1/0/1的Critical VSI名称为vsiuser。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x critical vsi vsiuser

【相关命令】

·     display dot1x

1.1.14  dot1x critical-voice-vlan

dot1x critical-voice-vlan命令用来开启802.1X Critical Voice VLAN功能。

undo dot1x critical-voice-vlan命令用来关闭802.1X Critical Voice VLAN功能。

【命令】

dot1x critical-voice-vlan

undo dot1x critical-voice-vlan

【缺省情况】

802.1X Critical Voice VLAN功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

端口上开启802.1X Critical Voice VLAN功能后,当语音用户进行802.1X认证采用的ISP域中的所有认证服务器都不可达时,端口将被加入到此端口上的语音VLAN中。有关语音VLAN的配置命令请参见“二层技术-以太网交换命令参考”中的“VLAN”。

设备通过LLDP(Link Layer Discovery Protocol,链路层发现协议)来判断用户是否为语音用户,因此为保证802.1X Critical Voice VLAN功能可以正常工作,请在开启此功能之前务必确保全局和相应端口上均已开启LLDP功能。有关LLDP功能的配置命令请参见“二层技术-以太网交换命令参考”中的“LLDP”。

开启802.1X Critical Voice VLAN功能前,请保证在该端口上已经配置了802.1X Critical VLAN。若端口上的语音用户在认证时所有认证服务器都不可达,且端口暂未将其识别为语音用户,则可以将其先加入Critical VLAN。

【举例】

# 开启端口Twenty-FiveGigE1/0/1上的802.1X Critical Voice VLAN功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x critical-voice-vlan

【相关命令】

·     display dot1x

·     lldp enable(二层技术-以太网交换命令参考/LLDP)

·     lldp global enable(二层技术-以太网交换命令参考/LLDP)

·     voice-vlan enable(二层技术-以太网交换命令参考/VLAN)

1.1.15  dot1x domain-delimiter

dot1x domain-delimiter命令用来配置802.1X支持的域名分隔符。

undo dot1x domain-delimiter命令用来恢复缺省情况。

【命令】

dot1x domain-delimiter string

undo dot1x domain-delimiter

【缺省情况】

802.1X支持的域名分隔符为@。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

string:多个域名分隔符组成的1~16个字符的字符串,且分隔符只能为@、.、/或\。若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\。

【使用指导】

目前,802.1X支持的域名分隔符包括@、\、/和.,对应的用户名格式分别为username@domain-name domain-name\usernameusername/domain-nameusername.domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.123/22\@abc,若设备上指定802.1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.123/22。

系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.1X仅会支持命令中指定的分隔符。

【举例】

# 配置802.1X支持的域名分隔符为@和/。

<Sysname> system-view

[Sysname] dot1x domain-delimiter @/

【相关命令】

·     display dot1x

1.1.16  dot1x ead-assistant enable

dot1x ead-assistant enable命令用来开启EAD快速部署辅助功能。

undo dot1x ead-assistant enable命令用来关闭EAD快速部署辅助功能。

【命令】

dot1x ead-assistant enable

undo dot1x ead-assistant enable

【缺省情况】

EAD快速部署辅助功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启EAD快速部署辅助功能后,设备允许未通过认证的802.1X用户访问一个特定的IP地址段,并可以将用户发起的HTTP或HTTPS访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的。

为使EAD快速部署功能生效,必须保证指定端口的授权模式为auto

该命令与MAC地址认证和端口安全的全局使能命令均互斥,即开启EAD快速部署辅助功能时,若全局使能了MAC地址认证或端口安全,则该配置将会执行失败,反之亦然。

设备对HTTPS报文进行重定向的内部侦听端口号缺省为6654。如果需要修改该端口号,具体配置请参见“三层技术-IP业务配置指导”中的“HTTP重定向”。

【举例】

# 开启EAD快速部署辅助功能。

<Sysname> system-view

[Sysname] dot1x ead-assistant enable

【相关命令】

·     display dot1x

·     dot1x ead-assistant free-ip

·     dot1x ead-assistant url

·     http-redirect https-port(三层技术-IP业务/HTTP重定向)

1.1.17  dot1x ead-assistant free-ip

dot1x ead-assistant free-ip命令用来配置Free IP。

undo dot1x ead-assistant free-ip命令用来删除指定的Free IP。

【命令】

dot1x ead-assistant free-ip ip-address { mask-address | mask-length }

undo dot1x ead-assistant free-ip { ip-address { mask-address | mask-length } | all }

【缺省情况】

未配置Free IP,用户在通过802.1X认证之前不能够访问任何网段。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address:指定的IP地址。

mask-address:指定的IP掩码地址。

mask-length:指定的IP掩码地址长度,取值范围为1~32。

all:所有配置的IP。

【使用指导】

全局使能EAD快速部署功能且配置Free IP之后,未通过认证的802.1X终端用户可以访问该IP地址段中的网络资源。

可通过重复执行此命令来配置多个Free IP。

【举例】

# 配置用户在通过802.1X认证之前能够访问的网段为192.168.1.1/16。

<Sysname> system-view

[Sysname] dot1x ead-assistant free-ip 192.168.1.1 255.255.0.0

【相关命令】

·     display dot1x

·     dot1x ead-assistant enable

·     dot1x ead-assistant url

1.1.18  dot1x ead-assistant url

dot1x ead-assistant url命令用来配置802.1X用户HTTP或HTTPS访问的重定向URL。

undo dot1x ead-assistant url命令用来恢复缺省情况。

【命令】

dot1x ead-assistant url url-string

undo dot1x ead-assistant url

【缺省情况】

未配置802.1X用户HTTP或HTTPS访问的重定向URL。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url-string:重定向URL地址,为1~64个字符的字符串,区分大小写。它以http://或者https://开头,如果该URL未以http://或者https://开头,则缺省认为是以http://开头。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。

【使用指导】

用户在802.1X认证成功之前,如果使用浏览器访问非Free IP网段的其它网络,设备会将用户访问的URL重定向到已配置的重定向地址。

802.1X用户重定向的URL和Free IP必须在同一个网段内,否则用户无法访问指定的重定向URL。

多次执行本命令,最后一次执行的命令生效。

设备对HTTPS报文进行重定向的内部侦听端口号缺省为6654。如果需要修改该端口号,具体配置请参见“三层技术-IP业务配置指导”中的“HTTP重定向”。

【举例】

# 配置802.1X用户HTTP访问的重定向URL为http://test.com。

<Sysname> system-view

[Sysname] dot1x ead-assistant url http://test.com

【相关命令】

·     display dot1x

·     dot1x ead-assistant enable

·     dot1x ead-assistant free-ip

·     http-redirect https-port(三层技术-IP业务/HTTP重定向)

1.1.19  dot1x eap-tls-fragment to-server

dot1x eap-tls-fragment to-server命令用来设置设备向认证服务器发送的EAP-TLS分片报文最大长度。

undo dot1x eap-tls-fragment to-server命令用来恢复缺省情况。

【命令】

dot1x eap-tls-fragment to-server eap-tls-max-length

undo dot1x eap-tls-fragment to-server

【缺省情况】

未配置EAP-TLS分片报文最大长度,即设备不对EAP-TLS报文进行分片。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

eap-tls-max-length:设备向认证服务器发报文时单个报文里封装的EAP-TLS分片报文的最大长度,取值范围为100~1500,单位为字节。

【使用指导】

如果设备发送给RADIUS服务器的认证报文长度超过服务器能处理的最大长度,会因服务器无法处理报文而导致802.1X认证失败。

当设备采用EAP中继方式对802.1X客户端进行认证,且认证方法为EAP-TLS时,会将EAP-TLS报文封装在EAP-Message中,并将EAP-Message作为RADIUS属性携带在RADIUS报文中发给RADIUS服务器。此种情况下,为避免RADIUS报文长度超过服务器所能处理的最大长度,可以通过dot1x eap-tls-fragment to-server命令将EAP-TLS报文进行分片,并通过设置EAP-TLS分片报文的最大长度来改变单个RADIUS报文的长度。

执行dot1x eap-tls-fragment to-server命令后,当设备发起认证时,会将携带EAP-TLS分片报文的RADIUS报文依次发送给服务器,服务器收到所有RADIUS报文后,会将这些报文中的认证信息拼接成一个完整的认证信息。

例如,当RADIUS服务器能处理的报文最大长度为1200字节的情况下,如果设备的RADIUS报文其它属性以及固定字段总长度为800字节,则需要设置EAP-TLS分片报文的最大长度为小于400字节,这样能保证RADIUS报文总长度小于1200字节。

【举例】

# 配置设备向认证服务器发送报文时单个报文里封装的EAP-TLS分片最大长度为400字节。

<Sysname> system-view

[Sysname] dot1x eap-tls-fragment to-server 400

【相关命令】

·     display dot1x

·     dot1x authentication-method

1.1.20  dot1x eapol untag

dot1x eapol untag命令用来配置端口发送802.1X协议报文不携带VLAN Tag。

undo dot1x eapol untag命令用来恢复缺省情况。

【命令】

dot1x eapol untag

undo dot1x eapol untag

【缺省情况】

端口发送802.1X协议报文时携带VLAN Tag。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

注意

除了本命令使用指导中涉及的应用场景,不要开启本功能,否则端口发送的所有802.1X报文都将去除VLAN Tag,可能导致正常用户无法通过802.1X认证。

 

Hybrid端口开启802.1X认证,若该端口上通过port hyrid vlan命令配置了转发缺省VLAN报文携带VLAN Tag,则端口发送的缺省VLAN内的802.1X协议报文默认携带VLAN Tag。这种情况下,当终端发送的是不带VLAN Tag的报文进行802.1X认证时,由于接收的是带Tag的报文,会导致802.1X认证失败。为了解决这个问题,设备支持配置端口发送802.1X协议报文时不带VLAN Tag的功能。

仅Hybrid类型的以太网端口支持本功能。

【举例】

# 在端口Twenty-FiveGigE1/0/1上配置发送802.1X协议报文不携带VLAN Tag。

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x eapol untag

【相关命令】

·     display dot1x

1.1.21  dot1x guest-vlan

dot1x guest-vlan命令用来配置端口的802.1X Guest VLAN。

undo dot1x guest-vlan命令用来恢复缺省情况。

【命令】

dot1x guest-vlan guest-vlan-id

undo dot1x guest-vlan

【缺省情况】

端口上未配置802.1X Guest VLAN。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

【使用指导】

配置此功能后,在802.1X用户在未认证的情况下,其可以访问的VLAN资源,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。

如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的802.1X Guest VLAN;同样,如果某个VLAN被指定为某个端口的802.1X Guest VLAN,则该VLAN不能被指定为Super VLAN。

端口上配置802.1X Guest VLAN与配置802.1X Auth-Fail VSI、Guest VSI或Critical VSI互斥。

禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过undo dot1x guest-vlan命令取消802.1X Guest VLAN配置。

端口类型为Hybrid时,请不要将指定的Guest VLAN修改为携带Tag的方式。

【举例】

# 配置端口Twenty-FiveGigE1/0/1的Guest VLAN为VLAN 100。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x guest-vlan 100

【相关命令】

·     display dot1x

1.1.22  dot1x guest-vlan-delay

dot1x guest-vlan-delay命令用来开启端口延迟加入802.1X Guest VLAN的功能。

undo dot1x guest-vlan-delay命令用来关闭端口延迟加入802.1X Guest VLAN的功能。

【命令】

dot1x guest-vlan-delay { eapol | new-mac }

undo dot1x guest-vlan-delay [ eapol | new-mac ]

【缺省情况】

端口延迟加入802.1X Guest VLAN的功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

eapol:表示802.1X协议报文触发端口延迟加入802.1X Guest VLAN。

new-mac:表示源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN。

【使用指导】

开启802.1X认证,并且端口的受控方式为MAC-based方式时,触发802.1X认证后端口会立即被加入到802.1X Guest VLAN中。

在这种情况下,如果配置了端口延迟加入802.1X Guest VLAN的功能,端口会主动向触发认证的源MAC地址单播发送EAP-Request报文。若在指定的时间内(通过命令dot1x timer tx-period设置)没有收到客户端的响应,则重发该报文,直到重发次数达到命令dot1x retry设置的最大次数时,若仍没有收到客户端的响应,才会加入到802.1X Guest VLAN中。

undo dot1x guest-vlan-delay命令不指定任何参数表示关闭802.1X协议报文触发和MAC地址未知的报文触发的端口延迟加入802.1X Guest VLAN的功能。

【举例】

# 在端口Twenty-FiveGigE1/0/1下配置802.1X协议报文触发端口延迟加入802.1X Guest VLAN功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x guest-vlan-delay eapol

【相关命令】

·     display dot1x

·     dot1x retry

·     dot1x timer tx-period

1.1.23  dot1x guest-vsi

dot1x guest-vsi命令用来配置端口的802.1X Guest VSI。

undo dot1x guest-vsi命令用来恢复缺省情况。

【命令】

dot1x guest-vsi guest-vsi-name

undo dot1x guest-vsi

【缺省情况】

端口上未配置802.1X Guest VSI。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

guest-vsi-name:端口上指定的Guest VSI名称,为1~31个字符的字符串,区分大小写。

【使用指导】

配置此功能后,802.1X用户在未认证的情况下,可访问某一特定VXLAN中的资源,该VXLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。这个特定的VXLAN所在的VSI称之为Guest VSI。

只有当端口接入控制方式为MAC-based时,设备支持下发VSI。

不同的端口可以配置不同的802.1X认证的Guest VSI,但一个端口最多只能配置一个802.1X认证的Guest VSI。

端口上配置802.1X认证的Guest VSI与配置802.1X认证的Auth-Fail VLAN、Guest VLAN或Critical VLAN互斥。

【举例】

# 配置端口Twenty-FiveGigE1/0/1的Guest VSI名称为vsiuser。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x guest-vsi vsiuser

【相关命令】

·     display dot1x

·     reset dot1x guest-vsi

1.1.24  dot1x guest-vsi-delay

dot1x guest-vsi-delay命令用来开启端口延迟加入802.1X Guest VSI功能。

undo dot1x guest-vsi-delay命令用来关闭端口延迟加入802.1X Guest VSI功能。

【命令】

dot1x guest-vsi-delay { eapol | new-mac }

undo dot1x guest-vsi-delay [ eapol | new-mac ]

【缺省情况】

端口延迟加入802.1X Guest VSI功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

eapol:表示802.1X协议报文触发端口延迟加入802.1X Guest VSI。

new-mac:表示源MAC地址未知的报文触发端口延迟加入802.1X Guest VSI。

【使用指导】

开启802.1X认证,且端口的接入控制方式为MAC-based方式时,触发802.1X认证后,通过该端口接入的、指定VLAN和MAC地址的用户会被立即加入到802.1X Guest VSI对应的VXLAN中。在这种情况下,如果配置了端口延迟加入802.1X Guest VSI的功能,端口会主动向触发认证的源MAC地址单播发送EAP-Request/Identity报文。若在指定的时间内(通过命令dot1x timer tx-period设置)没有收到客户端的响应,则重发该报文,直到重发次数达到命令dot1x retry设置的最大次数时,若仍没有收到客户端的响应,才会加入到802.1X Guest VSI中。

执行undo dot1x guest-vsi-delay命令时,如果不指定任何参数,则表示关闭802.1X协议报文触发和MAC地址未知的报文触发的端口延迟加入802.1X Guest VSI功能。

【举例】

# 在端口Twenty-FiveGigE1/0/1下配置802.1X协议报文触发端口延迟加入802.1X Guest VSI功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x guest-vsi-delay eapol

【相关命令】

·     display dot1x

·     dot1x guest-vsi

·     dot1x retry

·     dot1x timer tx-period

1.1.25  dot1x handshake

dot1x handshake命令用于开启在线用户握手功能。

undo dot1x handshake命令用于关闭在线用户握手功能。

【命令】

dot1x handshake

undo dot1x handshake

【缺省情况】

在线用户握手功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1x timer handshake-period设置)向通过802.1X认证的在线用户发送握手报文,以定期检测用户的在线情况。如果设备连续多次(通过命令dot1x retry设置)没有收到客户端的响应报文,则会将用户置为下线状态。

当设备上在线用户较多时,需要适当增加握手时间间隔和向接入用户发送认证请求报文的最大次数,以免影响在线用户的握手和新用户的认证。

【举例】

# 在端口Twenty-FiveGigE1/0/1上开启在线用户握手功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x handshake

【相关命令】

·     display dot1x

·     dot1x timer handshake-period

·     dot1x retry

1.1.26  dot1x handshake reply enable

dot1x handshake reply enable命令用来开启端口发送在线握手成功报文功能。

undo dot1x handshake reply enable命令用来关闭端口发送在线握手成功报文功能。

【命令】

dot1x handshake reply enable

undo dot1x handshake reply enable

【缺省情况】

端口发送在线握手成功报文功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

端口上开启在线用户握手功能后,缺省情况下,设备收到该端口上802.1X在线用户的在线握手应答报文(EAP-Response/Identity报文)后,则认为该用户在线,并不给客户端回应在线握手成功报文(EAP-Success报文)。但是,有些802.1X客户端如果没有收到设备回应的在线握手成功报文(EAP-Success报文),就会自动下线。为了避免这种情况发生,需要在端口上开启发送在线握手成功报文功能。

只有当802.1X客户端需要收到在线握手成功报文时,才需要开启此功能。

【举例】

# 在端口Twenty-FiveGigE1/0/1上开启的发送在线握手成功报文功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x handshake reply enable

【相关命令】

·     dot1x handshake

1.1.27  dot1x handshake secure

dot1x handshake secure命令用来开启在线用户握手安全功能。

undo dot1x handshake secure命令用来关闭在线用户握手安全功能。

【命令】

dot1x handshake secure

undo dot1x handshake secure

【缺省情况】

在线用户握手安全功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

开启在线用户握手安全功能后,可以防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。

只有设备上的在线用户握手功能处于开启状态时,安全握手功能才会生效。

本功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效。

【举例】

# 在端口Twenty-FiveGigE1/0/1上开启在线用户握手安全功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x handshake secure

【相关命令】

·     display dot1x

·     dot1x handshake

·     port trunk permit vlan(二层技术-以太网交换命令参考/VLAN)

1.1.28  dot1x mac-binding

dot1x mac-binding命令用来手工配置802.1X认证的MAC地址绑定表项。

undo dot1x mac-binding命令用来删除指定的802.1X认证的MAC地址绑定表项。

【命令】

dot1x mac-binding mac-address

undo dot1x mac-binding { mac-address | all }

【缺省情况】

端口上不存在802.1X认证的MAC地址绑定表项。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

mac-address:表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。

all:表示删除接口下所有绑定的MAC地址。

【使用指导】

只有802.1X认证的MAC地址绑定功能处于开启状态,且端口接入控制方式为MAC-based方式下,手工配置802.1X认证的MAC地址绑定表项才能生效。

802.1X认证的MAC地址绑定表项数受端口允许同时接入802.1X用户数的最大值(通过dot1x max-user命令配置)影响,当绑定表项数等于端口允许同时接入802.1X用户最大用户数时,MAC地址绑定表项之外的用户均会认证失败。

手工配置的802.1X认证MAC地址绑定表项不会老化,即使对应用户下线或设备保存配置重启后也不会删除此绑定表项。只能通过undo dot1x mac-binding命令删除此表项。绑定用户在线时,不允许删除此表项。

【举例】

# 在端口Twenty-FiveGigE1/0/1下配置802.1X认证的MAC地址绑定表项,与此端口绑定的MAC地址为000a-eb29-75f1。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x mac-binding 000a-eb29-75f1

【相关命令】

·     dot1x

·     dot1x mac-binding enable

·     dot1x port-method

1.1.29  dot1x mac-binding enable

dot1x mac-binding enable命令用来开启802.1X认证的MAC地址绑定功能。

undo dot1x mac-binding enable命令用来关闭802.1X认证的MAC地址绑定功能。

【命令】

dot1x mac-binding enable

undo dot1x mac-binding enable

【缺省情况】

802.1X认证的MAC地址绑定功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

802.1X认证的MAC地址绑定功能仅在接入控制方式为MAC-based的端口上生效。

802.1X认证的MAC地址绑定表项数受端口允许同时接入802.1X用户数的最大值(通过dot1x max-user命令配置)影响,当绑定表项数等于端口允许同时接入802.1X用户最大用户数时, MAC地址绑定表项之外的用户均会认证失败。

自动生成的端口与802.1X认证成功用户的MAC地址绑定表项不会老化,即使该用户下线后或设备保存配置重启后也不会删除此绑定表项。只能通过undo dot1x mac-binding命令删除此表项。绑定用户在线时,不允许删除此表项。

【举例】

# 在端口Twenty-FiveGigE1/0/1上开启802.1X认证的MAC地址绑定功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x mac-binding enable

【相关命令】

·     dot1x

·     dot1x mac-binding

·     dot1x port-method

1.1.30  dot1x mandatory-domain

dot1x mandatory-domain命令用来指定端口上802.1X用户使用的强制认证域。

undo dot1x mandatory-domain命令用来恢复缺省情况。

【命令】

dot1x mandatory-domain domain-name

undo dot1x mandatory-domain

【缺省情况】

未指定802.1X用户使用的强制认证域。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

从指定端口上接入的802.1X用户将按照如下先后顺序选择认证域:端口上指定的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。

【举例】

# 指定端口Twenty-FiveGigE1/0/1上802.1X用户使用的强制认证域为my-domain。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x mandatory-domain my-domain

【相关命令】

·     display dot1x

1.1.31  dot1x max-user

dot1x max-user命令用来配置端口上最多允许同时接入的802.1X用户数。

undo dot1x max-user命令用来恢复缺省情况。

【命令】

dot1x max-user max-number

undo dot1x max-user

【缺省情况】

端口上最多允许同时接入的802.1X用户数为4294967295。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

max-number:端口允许同时接入的802.1X用户数的最大值,取值范围为1~4294967295。

【使用指导】

由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障。当接入此端口的802.1X用户数超过最大值后,新接入的用户将被拒绝。

【举例】

# 配置端口Twenty-FiveGigE1/0/1上最多允许同时接入32个802.1X用户。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x max-user 32

【相关命令】

·     display dot1x

1.1.32  dot1x multicast-trigger

dot1x multicast-trigger命令用来开启802.1X的组播触发功能。

undo dot1x multicast-trigger命令用来关闭802.1X的组播触发功能。

【命令】

dot1x multicast-trigger

undo dot1x multicast-trigger

【缺省情况】

802.1X的组播触发功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

开启了802.1X的组播触发功能的端口会定期(间隔时间通过命令dot1x timer tx-period设置)向客户端组播发送EAP-Request/Identity报文来检测客户端并触发认证。该功能用于支持不能主动发送EAPOL-Start报文来发起认证的客户端。

若接口下配置了允许大量VLAN通过,由于组播触发报文会占用大量通信带宽,因此建议此场景下关闭该功能。

【举例】

# 在端口Twenty-FiveGigE1/0/1上开启802.1X的组播触发功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x multicast-trigger

【相关命令】

·     display dot1x

·     dot1x timer tx-period

·     dot1x unicast-trigger

1.1.33  dot1x offline-detect enable

dot1x offline-detect enable命令用来开启端口的802.1X认证下线检测功能。

undo dot1x offline-detect enable命令用来关闭端口的802.1X认证下线检测功能。

【命令】

dot1x offline-detect enable

undo dot1x offline-detect enable

【缺省情况】

端口的802.1X认证下线检测功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

开启端口的802.1X认证下线检测功能后,若设备在一个下线检测定时器间隔之内,未收到此端口下某802.1X在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。

只有当端口接入控制方式为MAC-based方式时,下线检测功能才能生效。在下线检测为使能状态时,修改端口接入控制方式为Port-based会导致下线检测功能失效。

【举例】

# 关闭端口Twenty-FiveGigE1/0/1的802.1X认证下线检测功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] undo dot1x offline-detect enable

【相关命令】

·     display dot1x

·     dot1x port-method

·     dot1x timer

1.1.34  dot1x port-control

dot1x port-control命令用来设置端口的授权状态。

undo dot1x port-control命令用来恢复缺省情况。

【命令】

dot1x port-control { authorized-force | auto | unauthorized-force }

undo dot1x port-control

【缺省情况】

端口的授权状态为auto

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

authorized-force:强制授权状态,表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。

auto:自动识别状态,表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常用的一种状态。

unauthorized-force:强制非授权状态,表示端口始终处于非授权状态,不允许用户访问网络资源。

【使用指导】

通过配置端口的授权状态,可以控制端口上接入的用户是否需要通过认证才能访问网络资源。

【举例】

# 指定端口Twenty-FiveGigE1/0/1处于强制非授权状态。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x port-control unauthorized-force

【相关命令】

·     display dot1x

1.1.35  dot1x port-method

dot1x port-method命令用来配置端口的接入控制方式。

undo dot1x port-method命令用来恢复缺省情况。

【命令】

dot1x port-method { macbased | portbased }

undo dot1x port-method

【缺省情况】

端口的接入控制方式为macbased

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

macbased:表示基于MAC地址对接入用户进行认证,即该端口上的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

portbased:表示基于端口对接入用户进行认证,即只要该端口上的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其它用户也会被拒绝使用网络。

【使用指导】

端口存在802.1X在线用户时,切换接入控制方式会导致在线用户立刻下线。

【举例】

# 在端口Twenty-FiveGigE1/0/1上配置对接入用户进行基于端口的802.1X认证。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x port-method portbased

【相关命令】

·     display dot1x

1.1.36  dot1x quiet-period

dot1x quiet-period命令用来开启静默定时器功能。

undo dot1x quiet-period命令用来关闭静默定时器功能。

【命令】

dot1x quiet-period

undo dot1x quiet-period

【缺省情况】

静默定时器功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

在静默定时器功能处于开启状态的情况下,设备将在一段时间之内不对802.1X认证失败的用户进行802.1X认证处理,该时间由802.1X静默定时器控制,可通过dot1x timer quiet-period命令配置。

【举例】

# 开启静默定时器功能,并配置静默定时器的值为100秒。

<Sysname> system-view

[Sysname] dot1x quiet-period

[Sysname] dot1x timer quiet-period 100

【相关命令】

·     display dot1x

·     dot1x timer

1.1.37  dot1x re-authenticate

dot1x re-authenticate命令用来开启周期性重认证功能。

undo dot1x re-authenticate命令用来关闭周期性重认证功能。

【命令】

dot1x re-authenticate

undo dot1x re-authenticate

【缺省情况】

周期性重认证功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

端口开启了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1x timer reauth-period)设定的时间间隔定期启动对该端口在线802.1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN)。

如果同时配置了重认证功能和当RADIUS服务器变为可达后,设备向RADIUS服务器同步802.1X在线用户信息的功能,则当重认证定时器超时时,设备不会对用户进行重认证,而是对用户进行同步操作。

【举例】

# 在端口Twenty-FiveGigE1/0/1上开启802.1X重认证功能,并配置周期性重认证时间间隔为1800秒。

<Sysname> system-view

[Sysname] dot1x timer reauth-period 1800

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x re-authenticate

【相关命令】

·     display dot1x

·     dot1x server-recovery online-user-sync

·     dot1x timer

1.1.38  dot1x re-authenticate manual

dot1x re-authenticate manual命令用来强制端口上所有802.1X在线用户进行重认证。

【命令】

dot1x re-authenticate manual

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

强制端口上所有802.1X在线用户进行重认证后,不论服务器是否下发重认证或端口下是否开启了周期性重认证,强制重认证都会正常执行,端口上的所有在线802.1X用户会依次进行重认证操作。

【举例】

# 强制Twenty-FiveGigE1/0/1端口上所有802.1X在线用户进行重认证。

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x re-authenticate manual

【相关命令】

·     dot1x re-authenticate

1.1.39  dot1x re-authenticate server-unreachable keep-online

dot1x re-authenticate server-unreachable keep-online命令用来配置重认证服务器不可达时端口上的用户保持在线状态。

undo dot1x re-authenticate server-unreachable命令用来恢复缺省情况。

【命令】

dot1x re-authenticate server-unreachable keep-online

undo dot1x re-authenticate server-unreachable

【缺省情况】

端口上的802.1X在线用户重认证时,若认证服务器不可达,则会被强制下线。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

若端口上开启了802.1X的周期性重认证功能,则设备会定期对端口上的802.1X在线用户进行重认证,重认证过程中,若设备发现认证服务器状态不可达,则可以根据本配置,决定是否保持其在线状态。

【举例】

# 配置端口Twenty-FiveGigE1/0/1上的802.1X在线用户进行重认证时,若服务器不可达,则保持在线状态。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x re-authenticate server-unreachable keep-online

【相关命令】

·     display dot1x

·     dot1x re-authenticate

1.1.40  dot1x retry

dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。

undo dot1x retry命令用来恢复缺省情况。

【命令】

dot1x retry retries

undo dot1x retry

【缺省情况】

设备向接入用户发送认证请求报文的最大次数为2。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10。

【使用指导】

如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。对于EAP-Request/Identity报文,该时间由dot1x timer tx-period设置;对于EAP-Request/MD5 Challenge报文,该时间由dot1x timer supp-timeout设置。

【举例】

# 配置设备最多向接入用户发送9次认证请求报文。

<Sysname> system-view

[Sysname] dot1x retry 9

【相关命令】

·     display dot1x

·     dot1x timer

1.1.41  dot1x server-recovery online-user-sync

dot1x server-recovery online-user-sync命令用来开启RADIUS服务器变为可达后的802.1X在线用户信息同步功能。

undo dot1x server-recovery online-user-sync命令用来关闭802.1X在线用户信息同步功能。

【命令】

dot1x server-recovery online-user-sync

undo dot1x server-recovery online-user-sync

【缺省情况】

802.1X在线用户信息同步功能处于关闭状态,即当RADIUS服务器从不可达状态恢复为可达后,设备不向RADIUS服务器同步802.1X在线用户信息。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

设备向RADIUS服务器同步802.1X在线用户信息功能只能与H3C iMC服务器配合使用。

开启本功能后,当通过RADIUS服务器探测功能(具体配置步骤请参见“安全配置指导”中的“AAA”)探测到服务器由不可达变为可达后,设备便主动对端口上的所有在线用户依次向服务器发起认证请求,等到这些用户均通过认证后,达到服务器上的在线用户信息与该端口上的在线用户信息一致的目的。

在设备向RADIUS服务器同步802.1X在线用户过程中,特殊情况处理如下:

·     如果在RADIUS服务器可达情况下,某用户认证失败,则设备强制该用户下线。

·     如果在设备发起下一次RADIUS服务器探测前,RADIUS服务器变为不可达而导致用户认证失败,则用户仍然保持在线。

·     如果有新用户发起认证,则该认证用户的信息不会向RADIUS服务器进行同步。

·     如果设备配置了周期性重认证功能,当重认证定时器超时时,设备不会对在线用户发起重认证,而是对用户进行同步操作。

当RADIUS服务器从不可达变为可达时,处于Critical VLAN或Critical VSI中的用户也会再次发起认证,在设备上802.1X在线用户较多的情况下,如果配置了本功能,会因为同时进行认证的用户数量较大,而导致用户的上线时间变长。

本功能需要与RADIUS服务器探测功能配合使用,且RADIUS服务器探测周期必须小于RADIUS服务器恢复激活状态时长(通过timer quiet (RADIUS scheme view)命令),以避免服务器恢复激活状态定时器超时后将服务器的状态变为active而产生误报。

【举例】

# 配置设备向RADIUS服务器同步Twenty-FiveGigE1/0/1端口下的802.1X在线用户信息。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x server-recovery online-user-sync

【相关命令】

·     display dot1x

·     radius-server test-profile(安全命令参考/AAA)

·     timer quiet (RADIUS scheme view)(安全命令参考/AAA)

1.1.42  dot1x timer

dot1x timer命令用来配置802.1X的定时器参数。

undo dot1x timer命令用来将指定的定时器恢复为缺省情况。

【命令】

dot1x timer { ead-timeout ead-timeout-value | handshake-period handshake-period-value | offline-detect offline-detect-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | user-aging { auth-fail-vlan | auth-fail-vsi | critical-vlan | critical-vsi | guest-vlan | guest-vsi } aging-time-value }

undo dot1x timer { ead-timeout | handshake-period | offline-detect | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period | user-aging { auth-fail-vlan | auth-fail-vsi | critical-vlan | critical-vsi | guest-vlan | guest-vsi } }

【缺省情况】

EAD超时定时器的值为30分钟,握手定时器的值为15秒,下线检测定时器的值为300秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒,指定类型的非认证成功VLAN或VSI用户老化定时器的值为1000秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ead-timeout ead-timeout-value:EAD超时定时器的值,取值范围为1~1440,单位为分钟。

handshake-period handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。

offline-detect offline-detect-value:下线检测定时器的值,取值范围为60~2147483647,单位为秒。

quiet-period quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。

reauth-period reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。

server-timeout server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。

supp-timeout supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。

tx-period tx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒。

user-aging:设置加入到指定类型的非认证成功VLAN或VSI中用户的老化定时器。

auth-fail-vlan:加入到Auth-Fail VLAN中用户的老化定时器。

auth-fail-vsi:加入到Auth-Fail VSI中用户的老化定时器。

critical-vlan:加入到Critical VLAN中用户的老化定时器。

critical-vsi:加入到Critical VSI中用户的老化定时器。

guest-vlan:加入到Guest VLAN中用户的老化定时器。

guest-vsi:加入到Guest VSI中用户的老化定时器。

aging-time-value:用户老化定时器的值,取值范围为60~2147483647,单位为秒。

【使用指导】

802.1X认证过程受以下定时器的控制:

·     EAD超时定时器(ead-timeout):管理员可以通过配置EAD规则的老化时间来控制用户对ACL资源的占用,当用户访问网络时该定时器即开始计时,在定时器超时或者用户下载客户端并成功通过认证之后,该用户所占用的ACL资源即被删除,这样那些在老化时间内未进行任何操作的用户所占用的ACL资源会及时得到释放。

·     握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。

·     下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。开启802.1X认证下线检测功能后,若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。只有当端口的802.1X认证下线检测功能处于开启状态时,该定时器生效。

·     静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不对802.1X认证失败的用户进行802.1X认证处理。

·     周期性重认证定时器(reauth-period):端口上开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

·     认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.1X认证失败。

建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retrytimer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“安全配置指导”中的“AAA”。

·     客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。

·     用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。

·     用户老化定时器(user-aging):用来设置指定类型的非认证成功VLAN或VSI内用户老化时间。

¡     接入控制方式为Port-based时,在端口加入到Auth-Fail VLAN、Critical VLAN或加入到Auth-Fail VSI、Critical VSI后,设备启动该定时器。如果到达设定的老化时间,则端口离开指定的VLAN或VSI。

¡     接入控制方式为MAC-based时,在用户加入到Auth-Fail VLAN、Critical VLAN、Guest VLAN或加入到Auth-Fail VSI、Critical VSI、Guest VSI后,设备启动该定时器。如果到达设定的老化时间,则用户离开指定的VLAN或VSI。

只有通过dot1x unauthenticated-user aging enable命令开启非认证成功VLAN和VSI中802.1X用户的老化功能时,该定时器生效。

请不要将非认证成功VLAN或VSI内用户老化时间设置为用户名请求超时定时器时长(通过命令dot1x timer tx-period tx-period-value进行配置)的整数倍,否则会导致对应VLAN或VSI内用户老化定时器失效。

一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。

除周期性重认证定时器外的其他定时器修改后可立即生效。

建议不要将握手定时器(handshake-period)和周期性重认证定时器(reauth-period)设置为与下线检测定时器(offline-detect)相同的值,否则可能出现定时器超时后,设备实际处理与预期不符的情况。

【举例】

# 设置认证服务器的超时定时器时长为150秒。

<Sysname> system-view

[Sysname] dot1x timer server-timeout 150

【相关命令】

·     display dot1x

·     dot1x unauthenticated-user aging enable

·     retry(安全命令参考/AAA)

·     timer response-timeout (RADIUS scheme view)(安全命令参考/AAA)

1.1.43  dot1x timer reauth-period (interface view)

dot1x timer reauth-period命令用来在端口上配置802.1X周期性重认证定时器。

undo dot1x timer reauth-period命令用来恢复缺省情况。

【命令】

dot1x timer reauth-period reauth-period-value

undo dot1x timer reauth-period

【缺省情况】

端口上未配置802.1X周期性重认证定时器,端口使用系统视图下配置的802.1X周期性重认证定时器的取值。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【参数】

reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。

【使用指导】

端口上开启了802.1X周期性重认证功能后,设备将周期性地对端口上认证成功的802.1X用户发起重认证。重认证周期的选择优先级高低顺序为:服务器下发的重认证时间间隔、接口视图下配置的周期性重认证定时器的值、系统视图下配置的周期性重认证定时器的值、设备缺省的周期性重认证定时器的值。

对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期性重认证定时器的值进行后续的重认证。

【举例】

# 在端口Twenty-FiveGigE1/0/1上配置802.1X周期性重认证定时器的值为60秒。

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x timer reauth-period 60

【相关命令】

·     dot1x timer

1.1.44  dot1x unauthenticated-user aging enable

dot1x unauthenticated-user aging enable命令用来开启非认证成功VLAN和VSI中802.1X用户的老化功能。

undo dot1x unauthenticated-user aging enable命令用来关闭非认证成功VLAN和VSI中802.1X用户的老化功能。

【命令】

dot1x unauthenticated-user aging enable

undo dot1x unauthenticated-user aging enable

【缺省情况】

非认证成功VLAN和VSI中802.1X用户的老化功能处于开启状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

接入控制方式为Port-based的端口上开启非认证成功VLAN和VSI中802.1X用户的老化功能后,当端口加入到Auth-Fail VLAN、Critical VLAN或加入到Auth-Fail VSI、Critical VSI时,设备启动用户老化定时器,到达老化时间(通过dot1x timer user-aging命令配置)后,端口离开对应的VLAN或VSI。

接入控制方式为MAC-based的端口上开启非认证成功VLAN和VSI中802.1X用户的老化功能后,当用户加入到Auth-Fail VLAN、Critical VLAN、Guest VLAN或加入到Auth-Fail VSI、Critical VSI、Guest VSI时,设备启动用户老化定时器,到达老化时间(通过dot1x timer user-aging命令配置)后,用户离开对应的VLAN或VSI。

当端口上非认证成功VLAN或VSI的用户需要迁移到其它端口接入时,请开启本端口上非认证成功VLAN和VSI用户的老化功能,将本端口上的用户MAC地址老化删除,否则用户无法在其它端口正常接入。反之,当本端口非认证成功VLAN和VSI的用户不需要迁移到其它端口接入时,建议关闭本功能,以免用户老化退出后无法访问对应VLAN或VSI中的资源。

【举例】

# 关闭端口Twenty-FiveGigE1/0/1上非认证成功VLAN和VSI中802.1X用户的老化功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] undo dot1x unauthenticated-user aging enable

【相关命令】

·     dot1x timer

1.1.45  dot1x unicast-trigger

dot1x unicast-trigger命令用来开启端口上的802.1X的单播触发功能。

undo dot1x unicast-trigger命令用来关闭802.1X的单播触发功能。

【命令】

dot1x unicast-trigger

undo dot1x unicast-trigger

【缺省情况】

802.1X的单播触发功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

端口上开启802.1X的单播触发功能后,当端口收到源MAC未知的报文时,主动向该MAC地址发送单播认证报文来触发认证。若设备端在设置的客户端认证超时时间内(该时间由dot1x timer supp-timeout设置)没有收到客户端的响应,则重发该报文(重发次数由dot1x retry设置)。

单播触发功能建议只在端口接入控制方式为MAC-based时配置;若在端口接入控制方式为Port-based时配置单播触发功能,可能会导致用户正常无法上线。

【举例】

# 在端口Twenty-FiveGigE1/0/1上开启802.1X的单播触发功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x unicast-trigger

【相关命令】

·     display dot1x

·     dot1x multicast-trigger

·     dot1x port-method

·     dot1x retry

·     dot1x timer

1.1.46  dot1x user-ip freeze

dot1x user-ip freeze命令用来开启802.1X用户IP地址冻结功能。

undo dot1x user-ip freeze命令用来关闭802.1X用户IP地址冻结功能。

【命令】

dot1x user-ip freeze

undo dot1x user-ip freeze

【缺省情况】

802.1X用户IP地址冻结功能处于关闭状态。

【视图】

二层以太网接口视图

二层聚合接口视图

【缺省用户角色】

network-admin

【使用指导】

开启802.1X用户IP地址冻结功能后,端口首次获取且保存了802.1X上线用户的IP地址之后,不会随着该用户IP地址的变化而更新IP Source Guard表项。有关IP Source Guard命令的详细介绍,请参见“安全命令参考”中的“IP Source Guard”。

【举例】

# 开启端口Twenty-FiveGigE1/0/1上的802.1X用户IP地址冻结功能。

<Sysname> system-view

[Sysname] interface twenty-fivegige 1/0/1

[Sysname-Twenty-FiveGigE1/0/1] dot1x user-ip freeze

1.1.47  reset dot1x access-user

reset dot1x access-user命令用来强制802.1X用户下线。

【命令】

reset dot1x access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id | vsi vsi-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:表示强制指定端口下的802.1X用户下线。interface-type interface-number为端口类型和端口编号。

mac mac-address:表示强制指定MAC地址的802.1X用户下线。mac-address表示802.1X用户的MAC地址,格式为H-H-H。

username username:表示强制指定名称的802.1X用户下线。username表示802.1X用户的名称,为1~253个字符的字符串,区分大小写。

vlan vlan-id:表示强制指定VLAN内的802.1X用户下线。vlan-id表示802.1X用户当前所在VLAN的VLAN ID(可通过display mac-address命令查看),取值范围为1~4094。

vsi vsi-name:表示强制指定VSI内的802.1X用户下线。vsi-name表示802.1X在线用户的授权VSI名称,为1~31个字符的字符串,区分大小写。

【使用指导】

reset dot1x access-user命令用来强制指定的802.1X用户下线。强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行802.1X认证。

指定vsi vsi-name参数时,设备会查找认证成功且已授权VSI的用户,将授权VSI为vsi-name的用户强制下线。

指定vlan vlan-id参数时,设备会对如下几种802.1X用户进行下线处理:

·     对于已经认证成功且服务器已授权VLAN的用户,将服务器授权的VLAN为vlan-id的用户强制下线;

·     对于已认证成功且服务器未授权VLAN的用户,将设备上对用户生效的VLAN为vlan-id的用户强制下线;

·     对于正在认证中的用户,将初始VLAN为vlan-id的用户强制下线。

如果不指定任何参数,则强制设备上所有802.1X用户下线。

【举例】

# 强制端口Twenty-FiveGigE1/0/1上的所有802.1X用户下线。

<Sysname> reset dot1x access-user interface twenty-fivegige 1/0/1

【相关命令】

·     display dot1x connection

1.1.48  reset dot1x guest-vlan

reset dot1x guest-vlan命令用来清除Guest VLAN内802.1X用户,使其退出Guest VLAN。

【命令】

reset dot1x guest-vlan interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Guest VLAN。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Guest VLAN。若不指定本参数,则表示使指定端口上的所有用户退出Guest VLAN。

【举例】

# 在端口Twenty-FiveGigE1/0/1上使得MAC地址为1-1-1的802.1X用户退出Guest VLAN。

<Sysname> reset dot1x guest-vlan interface twenty-fivegige 1/0/1 mac-address 1-1-1

【相关命令】

·     dot1x guest-vlan

1.1.49  reset dot1x guest-vsi

reset dot1x guest-vsi命令用来清除Guest VSI内的802.1X用户,使其退出Guest VSI。

【命令】

reset dot1x guest-vsi interface interface-type interface-number [ mac-address mac-address ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:表示使指定端口上的用户退出Guest VSI。interface-type interface-number为端口类型和端口编号。

mac-address mac-address:表示使指定MAC地址的用户退出Guest VSI。若不指定本参数,则表示使指定端口上的所有用户退出Guest VSI。

【举例】

# 强制端口Twenty-FiveGigE1/0/1上接入的、MAC地址为1-1-1的802.1X用户退出Guest VSI。

<Sysname> reset dot1x guest-vsi interface twenty-fivegige 1/0/1 mac-address 1-1-1

【相关命令】

·     dot1x guest-vsi

1.1.50  reset dot1x statistics

reset dot1x statistics命令用来清除802.1X的统计信息。

【命令】

reset dot1x statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number:清除指定端口上的802.1X统计信息。interface-type interface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的802.1X统计信息。

【举例】

# 清除端口Twenty-FiveGigE1/0/1上的802.1X统计信息。

<Sysname> reset dot1x statistics interface twenty-fivegige 1/0/1

【相关命令】

·     display dot1x

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们