02-802.1X命令
本章节下载: 02-802.1X命令 (186.3 KB)
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
sessions:显示802.1X的会话连接信息。
statistics:显示802.1X的相关统计信息。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
display dot1x命令用来显示802.1X的相关信息,包括会话连接信息、相关统计信息或配置信息等。
需要注意的是,如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。
相关配置可参考命令reset dot1x statistics、dot1x、dot1x retry、dot1x max-user、dot1x port-control、dot1x port-method和dot1x timer。
【举例】
# 显示802.1X的所有信息。
<Sysname> display dot1x
Equipment 802.1X protocol is enabled
CHAP authentication is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
EAD quick deploy is enabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Reauth Period 3600 s
The maximal retransmitting times 3
EAD quick deploy configuration:
URL: http://192.168.19.23
Free IP: 192.168.19.0 255.255.255.0
EAD timeout: 30m
The maximum 802.1X user resource number is 2048 per slot
Total current used 802.1X resource number is 1
GigabitEthernet2/0/1 is link-up
802.1X protocol is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is disabled
802.1X unicast-trigger is disabled
Periodic reauthentication is disabled
The port is an authenticator
Authenticate Mode is Auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: 4
Auth-fail VLAN: NOT configured
Max number of on-line users is 1024
EAPOL Packet: Tx 1087, Rx 986
Sent EAP Request/Identity Packets : 943
EAP Request/Challenge Packets: 60
EAP Success Packets: 29, Fail Packets: 55
Received EAPOL Start Packets : 60
EAPOL LogOff Packets: 24
EAP Response/Identity Packets : 724
EAP Response/Challenge Packets: 54
Error Packets: 0
1. Authenticated user : MAC address: 0015-e9a6-7cfe
Controlled User(s) amount to 1
表1-1 display dot1x命令显示信息描述表
字段 |
描述 |
Equipment 802.1X protocol is enabled |
全局的802.1X特性已经开启 |
CHAP authentication is enabled |
使能CHAP认证 |
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入 l disable表示不检测; l enable表示检测到用户使用代理后,发送Trap报文 |
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入 l disable表示不检测; l enable表示检测到用户使用代理后,切断用户连接 |
EAD quick deploy is enabled |
使能EAD快速部署功能 |
Transmit Period |
发送间隔定时器的时长 |
Handshake Period |
设备向客户端发送握手报文的时间间隔 |
Reauth Period |
周期性重认证的时间间隔 |
Quiet Period |
静默定时器的时长 |
Quiet Period Timer is disabled |
静默定时器处于关闭状态 |
Supp Timeout |
客户端认证超时定时器的时长 |
Server Timeout |
认证服务器超时定时器的时长 |
The maximal retransmitting times |
设备向接入用户发送认证请求报文的最大次数 |
EAD quick deploy configuration |
EAD快速部署功能的具体配置 |
URL |
用户IE访问重定向的URL |
Free IP |
用户可访问的免认证网段 |
EAD timeout |
ACL老化定时器超时时间 |
The maximum 802.1X user resource number per slot |
每板最大支持的接入用户数 |
Total current used 802.1X resource number |
当前在线接入用户数 |
GigabitEthernet2/0/1 is link-up |
端口GigabitEthernet2/0/1的状态为up |
802.1X protocol is disabled |
该端口未使能802.1X协议 |
Proxy trap checker is disabled |
该端口是否检测通过代理登录用户的接入 l disable表示不检测; l enable表示检测用户使用代理后,发送Trap报文 |
Proxy logoff checker is disabled |
该端口是否检测通过代理登录用户的接入 l disable表示不检测; l enable表示检测用户使用代理后,切断用户连接 |
Handshake is disabled |
握手功能是禁止的 |
802.1X unicast-trigger is disabled |
该端口关闭802.1X单播触发功能 |
Periodic reauthentication is disabled |
周期性重认证功能是禁止的 |
The port is an authenticator |
该端口担当设备端作用 |
Authenticate Mode is Auto |
端口接入控制的模式为auto |
802.1X Multicast-trigger is enabled |
802.1X的组播触发功能已开启 |
Mandatory authentication domain |
端口接入用户的强制认证域 |
Port Control Type is Mac-based |
端口接入控制方式为mac-based,即基于MAC地址对接入用户进行认证 |
Guest VLAN |
端口配置的Guest VLAN,未配置则显示NOT configured |
Auth-fail VLAN |
端口配置的Auth Fail VLAN,未配置则显示NOT configured |
Max number of on-line users |
本端口最多可容纳的接入用户数 |
EAPOL Packet |
EAPOL报文数目:Tx表示发送的报文数目;Rx表示接受的报文数目 |
Sent EAP Request/Identity Packets |
发送的EAP Request/Identity报文数 |
EAP Request/Challenge Packets |
发送的EAP Request/Challenge报文数 |
EAP Success Packets |
发送的EAP Success报文数 |
Received EAPOL Start Packets |
接收的EAPOL Start报文数 |
EAPOL LogOff Packets |
接收的EAPOL LogOff报文数 |
EAP Response/Identity Packets |
接收的EAP Response/Identity报文数 |
EAP Response/Challenge Packets |
接收的EAP Response/Challenge报文数 |
Error Packets |
接收的错误报文数 |
Authenticated user |
认证通过的用户 |
Controlled User(s) amount |
该端口受控用户数目 |
【命令】
在系统视图下:
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
在以太网端口视图下:
dot1x
undo dot1x
【视图】
系统视图/以太网端口视图
【缺省级别】
2:系统级
【参数】
interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x命令用来开启指定端口上或全局的802.1X特性。undo dot1x命令用来关闭指定端口上或全局的802.1X特性。
缺省情况下,所有端口及全局的802.1X特性都处于关闭状态。
需要注意的是:
l 在系统视图下,如果不指定参数interface interface-list,则表示开启全局的802.1X特性;如果指定参数interface interface-list,则表示开启指定端口的802.1X特性。
l 在端口视图下,不能指定参数interface interface-list,只能打开当前端口的802.1X特性。
l 802.1X特性启动前后,均可以使用配置命令来配置全局或端口的802.1X特性参数。如果在开启全局802.1X特性前没有配置全局或端口的其它802.1X特性参数,则这些参数在运行时均为缺省值。
l 只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口GigabitEthernet2/0/1和GigabitEthernet2/0/5到GigabitEthernet2/0/7上的802.1X特性。
<Sysname> system-view
[Sysname] dot1x interface gigabitethernet 2/0/1 gigabitethernet 2/0/5 to gigabitethernet 2/0/7
或者
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] dot1x
[Sysname-GigabitEthernet2/0/1] quit
[Sysname] interface gigabitethernet 2/0/5
[Sysname-GigabitEthernet2/0/5] dot1x
[Sysname-GigabitEthernet2/0/5] quit
[Sysname] interface gigabitethernet 2/0/6
[Sysname-GigabitEthernet2/0/6] dot1x
[Sysname-GigabitEthernet2/0/6] quit
[Sysname] interface gigabitethernet 2/0/7
[Sysname-GigabitEthernet2/0/7] dot1x
# 开启全局的802.1X特性。
<Sysname> system-view
[Sysname] dot1x
【命令】
dot1x auth-fail vlan authfail-vlan-id
undo dot1x auth-fail vlan
【视图】
以太网端口视图
【缺省级别】
2:系统级
【参数】
authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【描述】
dot1x auth-fail vlan命令用来配置指定端口的Auth-Fail VLAN,即认证失败的用户被授权访问的VLAN。undo dot1x auth-fail vlan命令用来恢复缺省情况。
缺省情况下,端口没有配置Auth-Fail VLAN。
根据端口的接入控制方式可以将Auth-Fail VLAN划分为两类:MAC-based Auth-Fail VLAN(简称MAFV)和Port-based Auth-Fail VLAN(简称PAFV)。
需要注意的是:
l 这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
l 只有MAC VLAN功能开启的情况下,MAFV才生效。
l 若MAFV生效后,将端口的接入控制方式由macbased修改为portbased,则已建立的MAFV表项会被删除。MAFV表项中记录了加入Auth-Fail VLAN的MAC地址与端口上使能的MAC VLAN,可以通过display mac-vlan查看。
l 若PAFV生效后,将端口的接入控制方式由portbased修改为macbased,则端口会离开Auth-Fail VLAN。
l 如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Auth-Fail VLAN;同样,如果某个VLAN被指定为某个端口的Auth-Fail VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“接入分册”中的“VLAN配置”。
l 禁止直接删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过命令undo dot1x auth-fail vlan取消802.1X的Auth-Fail VLAN配置。
l Auth-Fail VLAN配置与EAD快速部署的Free IP配置(dot1x free-ip)在端口上互斥。
l Auth-Fail VLAN和Guest VLAN可以配置在同一个端口下,但同一时间只能有一个生效。
相关配置可参考命令dot1x和dot1x port-method。
【举例】
# 在端口GigabitEthernet2/0/1上配置Auth-Fail VLAN为3。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] dot1x auth-fail vlan 3
【命令】
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
chap:采用CHAP认证方式。
eap:采用EAP认证方式。
pap:采用PAP认证方式。
【描述】
dot1x authentication-method命令用来设置802.1X用户的认证方式。undo dot1x authentication-method命令用来恢复802.1X用户的缺省认证方式。
缺省情况下,802.1X用户认证方法为CHAP认证。
l PAP(Password Authentication Protocol,密码验证协议),它采用明文方式传送口令。
l CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议),它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
l EAP认证功能,意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。这种情况下,user-name-format命令的设置无效,user-name-format的介绍请参见“安全分册”中的“AAA命令”。
需要注意的是:
l 本地认证支持PAP和CHAP。
l 采用RADIUS认证方法时,PAP、CHAP、EAP认证功能的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证。
相关配置可参考命令display dot1x。
【举例】
# 设置设备对802.1X用户采用PAP认证。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【命令】
在系统视图下:
dot1x guest-vlan guest-vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
在以太网端口视图下:
dot1x guest-vlan guest-vlan-id
undo dot1x guest-vlan
【视图】
系统视图/以太网端口视图
【缺省级别】
2:系统级
【参数】
guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x guest-vlan命令用来配置指定端口的Guest VLAN。undo dot1x guest-vlan命令用来取消指定端口的Guest VLAN。
缺省情况下,端口没有配置Guest VLAN。
根据端口的接入控制方式可以将Guest VLAN划分为两类:MAC-based Guest VLAN(简称MGV)和Port-based Guest VLAN(简称PGV)。
需要注意的是:
l 在系统视图下,如果不指定参数interface-list,则表示配置所有二层以太网端口的Guest VLAN;如果指定参数interface-list,则表示配置指定端口的Guest VLAN。
l 在端口视图下,不能指定参数interface-list,只能配置当前端口的Guest VLAN。
l 只有开启802.1X特性的情况下,Guest VLAN才能生效。
l 只有MAC VLAN功能开启的情况下,MGV才生效。
l 只有802.1X组播触发功能开启的情况下,PGV才生效。
l 若MGV生效后,将端口的接入控制方式由macbased修改为portbased,则已建立的MGV表项会被删除。MGV表项中记录了加入Guest VLAN的MAC地址与端口上使能的MAC VLAN,可以通过display mac-vlan查看。
l 对于有线端口,PGV、MGV均可配置且生效。若PGV生效后,将端口的接入控制方式由portbased修改为macbased,则端口会离开Guest VLAN。
l 如果某个VLAN被指定为Super VLAN,则该VLAN不能被指定为某个端口的Guest VLAN;同样,如果某个VLAN被指定为某个端口的Guest VLAN,则该VLAN不能被指定为Super VLAN。关于Super VLAN的详细内容请参见“接入分册”中的“VLAN配置”。
l 禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过命令undo dot1x guest-vlan取消802.1X的Guest VLAN配置。
l Guest VLAN配置与EAD快速部署的Free IP配置dot1x free-ip在端口上互斥。
l Guest VLAN和Auth-Fail VLAN可以配置在同一个端口下,但同一时间只能有一个生效。
相关配置可参考命令dot1x、dot1x port-method、dot1x multicast-trigger和“接入分册/VLAN命令”中的mac-vlan enable、display mac-vlan。
【举例】
# 配置端口GigabitEthernet2/0/1的Guest VLAN为已经创建的VLAN 999。
<Sysname> system-view
[Sysname] dot1x guest-vlan 999 interface gigabitethernet 2/0/1
# 配置端口GigabitEthernet2/0/2~GigabitEthernet2/0/5的Guest VLAN为已经创建的VLAN 10。
<Sysname> system-view
[Sysname] dot1x guest-vlan 10 interface gigabitethernet 2/0/2 to gigabitethernet 2/0/5
# 配置所有端口的Guest VLAN为已经创建的VLAN 7。
<Sysname> system-view
[Sysname] dot1x guest-vlan 7
# 配置端口GigabitEthernet2/0/7的Guest VLAN为已经创建的VLAN 3。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/7
[Sysname-GigabitEthernet2/0/7] dot1x guest-vlan 3
【命令】
dot1x handshake
undo dot1x handshake
【视图】
以太网端口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
dot1x handshake命令用于开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。undo dot1x handshake命令用于关闭在线用户握手功能。
缺省情况下,在线用户握手功能处于开启状态。
需要注意的是:
l 802.1X的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。关闭在线用户握手功能之前,必须先关闭配置代理检测功能。
l 建议在线用户握手功能与H3C 802.1X客户端配合使用,以保证该功能可以正常运行。
【举例】
# 开启在线用户握手功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/4
[Sysname-GigabitEthernet2/0/4] dot1x handshake
【命令】
dot1x mandatory-domain domain-name
undo dot1x mandatory-domain
【视图】
以太网端口视图
【缺省级别】
2:系统级
【参数】
domain-name:ISP认证域名,为1~24个字符的字符串,不分区大小写。
【描述】
dot1x mandatory-domain命令用来配置端口上802.1X用户的强制认证域。undo dot1x mandatory-domain命令用来删除该端口上802.1X用户的认证域。
缺省情况下,未定义强制认证域。
需要注意的是:
l 从指定端口上接入的802.1X用户将按照如下先后顺序选择认证域:端口上配置的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。
l 端口上配置的强制认证域必须已经存在。
l 端口上配置了强制认证域之后,使用display connection命令显示该端口下的用户连接信息时,所显示的用户域名为强制认证域名。关于命令display connection的介绍请参见“安全分册”中的“AAA命令”。
相关配置可参考命令display dot1x。
【举例】
# 在端口GigabitEthernet2/0/1上配置802.1X用户使用强制认证域my-domain。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] dot1x mandatory-domain my-domain
# 802.1X用户usera通过认证后,通过命令display connection可查看端口GigabitEthernet2/0/1上的用户连接信息,该命令的具体介绍请参见“安全分册”中的“AAA命令”。
[Sysname-GigabitEthernet2/0/1] display connection interface gigabitethernet 2/0/1
Slot: 2
Index=68 ,Username=usera@my-domian
MAC=0015-e9a6-7cfe ,IP=3.3.3.3
Total 1 connection(s) matched on slot 2.
Total 1 connection(s) matched.
【命令】
在系统视图下:
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
在以太网端口视图下:
dot1x max-user user-number
undo dot1x max-user
【视图】
系统视图/以太网端口视图
【缺省级别】
2:系统级
【参数】
user-number:端口同时可容纳接入用户数量的最大值,取值范围为1~1024。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x max-user命令用来设置802.1X在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。
缺省情况下,端口同时可容纳接入用户数量的最大值为1024。
需要注意的是:
l 在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。
l 在以太网端口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 设置端口GigabitEthernet2/0/1最多可容纳32个接入用户。
<Sysname> system-view
[Sysname] dot1x max-user 32 interface gigabitethernet 2/0/1
或者
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] dot1x max-user 32
【命令】
dot1x multicast-trigger
undo dot1x multicast-trigger
【视图】
以太网端口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
dot1x multicast-trigger命令用来使能802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。undo dot1x multicast-trigger命令用来关闭802.1X的组播触发功能。
缺省情况下,802.1X的组播触发功能处于开启状态。
相关配置可参考命令display dot1x。
【举例】
# 在端口GigabitEthernet2/0/1上开启802.1X的组播触发功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] dot1x multicast-trigger
【命令】
在系统视图下:
dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
在以太网端口视图下:
dot1x port-control { authorized-force | auto | unauthorized-force }
undo dot1x port-control
【视图】
系统视图/以太网端口视图
【缺省级别】
2:系统级
【参数】
authorized-force:强制授权模式。指示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
auto:自动识别模式。指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
unauthorized-force:强制非授权模式。指示端口始终处于非授权状态,不允许用户访问网络资源。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x port-control命令用来设置802.1X在指定端口上进行接入控制的模式。undo dot1x port-control命令用来恢复缺省的接入控制模式。
缺省情况下,接入控制模式为auto。
需要注意的是:
l 在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。
l 在以太网端口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口GigabitEthernet2/0/1处于强制非授权状态。
<Sysname> system-view
[Sysname] dot1x port-control unauthorized-force interface gigabitethernet 2/0/1
或者
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] dot1x port-control unauthorized-force
【命令】
在系统视图下:
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
在以太网端口视图下:
dot1x port-method { macbased | portbased }
undo dot1x port-method
【视图】
系统视图/以太网端口视图
【缺省级别】
2:系统级
【参数】
macbased:表示基于MAC地址对接入用户进行认证,即该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
portbased:表示基于端口对接入用户进行认证,即只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x port-method命令用来设置802.1X在指定端口上进行接入控制的方式。undo dot1x port-method命令用来恢复缺省的接入控制方式。
缺省情况下,接入控制方式为macbased。
需要注意的是:
l 在系统视图下执行该命令可以作用于interface-list参数所指定的端口,如果不指定任何端口则将作用于所有端口。
l 在以太网端口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 在端口GigabitEthernet2/0/1上配置对接入用户进行基于端口的802.1X认证。
<Sysname> system-view
[Sysname] dot1x port-method portbased interface gigabitethernet 2/0/1
或者
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] dot1x port-method portbased
【命令】
dot1x quiet-period
undo dot1x quiet-period
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
dot1x quiet-period命令用来开启静默定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。
缺省情况下,静默定时器功能处于关闭状态。
当802.1X用户认证失败以后,设备需要静默一段时间(该时间由静默定时器设置)。在静默期间,设备对该用户不进行802.1X认证的相关处理。
相关配置可参考命令display dot1x和dot1x timer。
【举例】
# 开启静默定时器。
<Sysname> system-view
[Sysname] dot1x quiet-period
【命令】
dot1x re-authenticate
undo dot1x re-authenticate
【视图】
以太网端口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
dot1x re-authenticate命令用来开启周期性重认证功能。undo dot1x re-authenticate命令用来恢复缺省情况。
缺省情况下,周期性重认证功能处于关闭状态。
端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1x timer reauth-period)设定的时间间隔定期启动对该端口在线802.1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN、QoS Profile)。
相关配置可参考命令dot1x timer reauth-period。
【举例】
# 在端口GigabitEthernet2/0/1上开启802.1X重认证功能,并配置周期性重认证时间间隔为1800秒。
<Sysname> system-view
[Sysname] dot1x timer reauth-period 1800
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] dot1x re-authenticate
【命令】
dot1x retry max-retry-value
undo dot1x retry
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
max-retry-value:向接入用户发送认证请求报文的最大次数,取值范围为1~10。
【描述】
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省情况。
缺省情况下,向接入用户发送认证请求报文的最大次数为2。
需要注意的是:
l 如果设备向用户发送认证请求报文后,在规定的时间里(可通过dot1x timer tx-period tx-period-value或者dot1x timer supp-timeout supp-timeout-value设定)没有收到用户的响应,则设备将根据max-retry-value值决定是否再次向用户发送该认证请求报文。
l 此命令参数max-retry-value取值为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;取值为2时表示在首次向用户发送请求又没有收到响应后将重复发送1次;……依次类推。
l 本命令设置后将作用于所有端口。
相关配置可参考命令display dot1x。
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【命令】
在系统视图下:
dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
在以太网端口视图下:
dot1x supp-proxy-check { logoff | trap }
undo dot1x supp-proxy-check { logoff | trap }
【视图】
系统视图/以太网端口视图
【缺省级别】
2:系统级
【参数】
logoff:检测到用户使用代理后,切断用户连接。
trap:检测到用户使用代理后,向网管系统发送Trap报文。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x supp-proxy-check命令用来设置设备对通过代理登录的用户的检测及接入控制。undo dot1x supp-proxy-check命令用来取消设备对通过代理登录的用户的检测及相关控制的设置。
缺省情况下,设备不对通过代理登录的用户进行检测及接入控制。
需要注意的是:
l 该功能的实现需要H3C 802.1X客户端程序的配合。
l 在系统视图下执行该命令时,如果不指定参数interface interface-list,则表示开启全局的用户的检测及接入控制;如果指定参数interface interface-list,则表示开启指定端口的用户的检测及接入控制。
l 在以太网端口视图下执行该命令时,不能指定参数interface interface-list,只能打开当前端口的用户的检测及接入控制。
l 必须同时开启全局和指定端口的代理用户检测与控制,此特性的配置才能在该端口上生效。
相关配置可参考命令display dot1x。
【举例】
# 设置端口GigabitEthernet2/0/1~GigabitEthernet2/0/8检测到用户使用代理后,切断该用户的连接。
<Sysname> system-view
[Sysname] dot1x supp-proxy-check logoff
[Sysname] dot1x supp-proxy-check logoff interface gigabitethernet 2/0/1 to gigabitethernet 2/0/8
# 设置端口GigabitEthernet2/0/9检测到登录的用户使用代理后,设备发送Trap报文。
<Sysname> system-view
[Sysname] dot1x supp-proxy-check trap
[Sysname] dot1x supp-proxy-check trap interface gigabitethernet 2/0/9
或者
<Sysname> system-view
[Sysname] dot1x supp-proxy-check trap
[Sysname] interface gigabitethernet 2/0/9
[Sysname-GigabitEthernet2/0/9] dot1x supp-proxy-check trap
【命令】
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }
undo dot1x timer { handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。
quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。
reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。
supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。
tx-period-value:用户名请求超时定时器的值,取值范围为10~120,单位为秒。
【描述】
dot1x timer命令用来配置802.1X的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
缺省情况下,握手定时器的值为15秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。
802.1X认证过程受以下定时器的控制:
l 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。
l 静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不处理该用户的认证功能。
l 周期性重认证定时器(reauth-period):端口下开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
l 认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。
l 客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
l 用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。
需要注意的是,一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。修改后的定时器值,可立即生效。
相关配置可参考命令display dot1x。
【举例】
# 设置认证服务器的超时定时器时长为150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【命令】
dot1x unicast-trigger
undo dot1x unicast-trigger
【视图】
以太网端口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
dot1x unicast-trigger命令用来开启端口上的802.1X的单播触发功能。undo dot1x unicast-trigger命令用来关闭802.1X的单播触发功能。
缺省情况下,802.1X的单播触发功能处于关闭状态。
相关配置可参考命令display dot1x。
【举例】
# 在端口GigabitEthernet2/0/1上开启802.1X的单播触发功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet2/0/1] dot1x unicast-trigger
【命令】
reset dot1x statistics [ interface interface-list ]
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
reset dot1x statistics命令用来清除802.1X的统计信息。
需要注意的是:
l 如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1X统计信息;
l 如果指定端口类型和端口号,则清除指定端口上的802.1X统计信息。
相关配置可参考命令display dot1x。
【举例】
# 清除以太网端口GigabitEthernet2/0/1上的802.1X统计信息。
<Sysname> reset dot1x statistics interface gigabitethernet 2/0/1
【命令】
dot1x free-ip ip-address { mask-address | mask-length }
undo dot1x free-ip { ip-address { mask | mask-length } | all }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address:免认证网段IP地址。
mask:免认证网段IP地址的掩码。
mask-length:免认证网段IP地址的掩码长度。
all:所有免认证网段。
【描述】
dot1x free-ip命令用来配置Free IP,即用户在802.1X认证成功之前可访问的免认证网段。undo dot1x free-ip命令用来删除配置的Free IP。
缺省情况下,未定义Free IP。
需要注意的是:
l Free IP功能与全局使能MAC认证或端口安全功能及端口上的Guest VLAN/Auth-Fail VLAN功能互斥;
l Free IP功能只在端口接入控制的模式为auto的情况下生效;
l 目前设备最多支持4条免认证网段。
相关配置可参考命令display dot1x。
【举例】
# 配置终端用户在802.1X认证之前可访问的免认证网段为192.168.0.0/24。
<Sysname> system-view
[Sysname] dot1x free-ip 192.168.0.0 24
【命令】
dot1x timer ead-timeout ead-timeout-value
undo dot1x timer ead-timeout
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ead-timeout-value:EAD规则的老化超时时间,取值范围为1~1440,单位为分钟。
【描述】
dot1x timer ead-timeout命令用来配置EAD规则的老化超时时间。undo dot1x timer ead-timeout命令用来恢复缺省配置。
缺省情况下,EAD规则的老化超时时间为30分钟。
相关配置可参考命令display dot1x。
【举例】
# 配置EAD规则的老化超时时间为5分钟。
<Sysname> system-view
[Sysname] dot1x timer ead-timeout 5
【命令】
dot1x url url-string
undo dot1x [ url-string ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
url-string:重定向URL地址,为1~64个字符的字符串,区分大小写,格式为“http://string”。
【描述】
dot1x url命令用来配置用户HTTP访问的重定向URL,即用户在802.1X认证成功之前,如果使用浏览器访问非Free IP网段的其它网络,设备会将用户访问的URL重定向到已配置的HTTP访问的重定向地址。undo dot1x url命令用来删除用户HTTP访问的重定向URL。
缺省情况下,未定义重定向URL。
需要注意的是:
l 重定向的URL和Free IP必须在同一个网段内,否则无法访问指定的重定向URL;
l 用户HTTP访问的重定向URL可多次配置,但仅最后配置的一条有效。
相关配置可参考命令display dot1x和dot1x free-ip。
【举例】
# 配置用户HTTP访问的重定向URL为http://192.168.0.1。
<Sysname> system-view
[Sysname] dot1x url http://192.168.0.1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!