17-802.1x及System-Guard命令
本章节下载 (268.35 KB)
目 录
1.1.3 dot1x authentication-method
1.1.15 dot1x retry-version-max
1.1.19 dot1x timer reauth-period
4.1.1 display system-guard attack-record
4.1.2 display system-guard state
4.1.3 system-guard detect-threshold
4.1.6 system-guard timer-interval
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
任意视图
【参数】
sessions:显示802.1x的会话连接信息。
statistics:显示802.1x的相关统计信息。
interface:显示指定端口的802.1x相关信息。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
display dot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况(会话连接信息)以及相关统计信息等。
如果在执行本命令的时候不指定端口,系统将显示设备所有802.1x相关信息。根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,并进一步有助于802.1x故障的诊断与排除。
相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x max-user, dot1x port-control, dot1x port-method, dot1x timer。
【举例】
# 显示802.1x的相关信息。
<Sysname> display dot1x
Global 802.1X protocol is enabled
CHAP authentication is enabled
DHCP-launch is disabled
Handshake is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
EAD Quick Deploy is enabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
ReAuth Period 3600 s, ReAuth MaxTimes 2
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Interval between version requests is 30s
Maximal request times for version information is 3
The maximal retransmitting times 2
EAD Quick Deploy configuration:
Url http://192.168.19.23
Free-ip 192.168.19.0 255.255.255.0
Acl-timeout 30m
Total maximum 802.1x user resource number is 1024
Total current used 802.1x resource number is 1
Ethernet1/0/1 is link-up
802.1X protocol is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Version-Check is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Port-based
ReAuthenticate is disabled
Max number of on-line users is 256
Authentication Success: 4, Failed: 2
EAPOL Packets: Tx 7991, Rx 14
Sent EAP Request/Identity Packets : 7981
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 5
EAPOL LogOff Packets: 1
EAP Response/Identity Packets : 4
EAP Response/Challenge Packets: 4
Error Packets: 0
1. Authenticated user : MAC address: 000d-88f6-44c1
Controlled User(s) amount to 1
Ethernet1/0/2
……(以下略)
表1-1 802.1x配置信息描述表
域名 |
描述 |
Equipment 802.1X protocol is enabled |
设备802.1x特性已经开启 |
CHAP authentication is enabled |
开启CHAP认证 |
DHCP-launch is disabled |
DHCP触发802.1x认证的功能处于关闭状态 |
Handshake is enabled |
在线用户握手功能开启 |
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不发送Trap报文; l enable表示检测用户使用代理后,发送Trap报文。 |
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不切断用户连接; l enable表示检测用户使用代理后,切断用户连接。 |
EAD Quick Deploy is enabled |
EAD快速部署功能开启 |
Transmit Period |
发送间隔定时器 |
Handshake Period |
802.1x的握手报文的发送时间间隔 |
ReAuth Period |
重认证周期 |
ReAuth MaxTimes |
重认证最大次数 |
Quiet Period |
静默定时器设置的静默时长 |
Quiet Period Timer is disabled |
静默定时器状态:disable表示处于关闭状态;enable表示处于开启状态 |
Supp Timeout |
Supplicant认证超时定时器 |
Server Timeout |
Authentication Server超时定时器 |
The maximal retransmitting times |
设备可重复向接入用户发送认证请求帧的次数 |
Url |
HTTP重定向的URL |
Free-ip |
可访问的免认证IP网段 |
Acl-timeout |
ACL超时定时器 |
Total maximum 802.1x user resource number |
最多可接入用户数 |
Total current used 802.1x resource number |
当前在线接入用户数 |
Ethernet1/0/1 is link-down |
端口Ethernet 1/0/1的状态为Down |
802.1X protocol is disabled |
该端口未开启802.1x协议 |
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不发送Trap报文; l enable表示检测用户使用代理后,发送Trap报文。 |
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不切断用户连接; l enable表示检测用户使用代理后,切断用户连接。 |
Version-Check is disabled |
端口是否开启客户端版本检测功能: l disable表示关闭; l enable表示开启。 |
The port is an authenticator |
该端口担当Authenticator作用 |
Authentication Mode is Auto |
端口接入控制的模式为auto |
Port Control Type is Mac-based |
端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证 |
ReAuthenticate is disabled |
端口的802.1x重认证特性处于关闭状态 |
Max number of on-line users |
本端口最多可容纳的接入用户数 |
… |
略 |
【命令】
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list= { interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性。undo dot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启全局的802.1x特性;如果指定了interface-list,则表示开启指定端口的802.1x特性。在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用于打开当前端口的802.1x特性。
全局802.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才能在端口上生效。
l 如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数;反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。
l 如果端口启动了802.1x,则不能配置该端口加入汇聚组。反之,如果该端口已经加入到某个汇聚组中,则禁止在该端口上启动802.1x。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口Ethernet 1/0/1上的802.1x特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x interface Ethernet 1/0/1
# 开启全局的802.1x特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
【命令】
dot1x authentication-method { chap | pap | eap }
undo dot1x authentication-method
【视图】
系统视图
【参数】
chap:采用CHAP认证方式。
pap:采用PAP认证方式。
eap:采用EAP认证方式。
【描述】
dot1x authentication-method命令用来设置802.1x用户的认证方法。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方法。
缺省情况下,802.1x用户认证方法为CHAP认证。
PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令。
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着设备直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可。
相关配置可参考命令display dot1x。
当采用设备本身作为认证服务器时,802.1x用户的认证方法,不可以配置为EAP方式。
【举例】
# 设置设备采用PAP认证。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x authentication-method pap
【命令】
dot1x auth-fail vlan authfail-vlan-id
undo dot1x auth-fail vlan
【视图】
以太网端口视图
【参数】
authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
【描述】
dot1x auth-fail vlan命令用来配置指定端口的802.1X认证的Auth-Fail VLAN,即认证失败的用户被授权访问的VLAN。undo dot1x auth-fail vlan命令用来恢复缺省情况。
缺省情况下,端口没有配置Auth-Fail VLAN。
需要注意的是:
l 这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
l 只有MAC VLAN功能开启的情况下,MAFV才生效。
l 若MAFV生效后,将端口的接入控制方式由macbased修改为portbased,则已建立的MAFV表项会被删除。MAFV表项中记录了加入Auth-Fail VLAN的MAC地址与端口上使能的MAC VLAN,可以通过display mac-vlan查看。
l 若PAFV生效后,将端口的接入控制方式由portbased修改为macbased,则端口会离开Auth-Fail VLAN。
l 禁止直接删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过命令undo dot1x auth-fail vlan取消802.1x的Auth-Fail VLAN配置。
【举例】
# 在端口Ethernet1/0/1上配置Auth-Fail VLAN为VLAN3。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x auth-fail vlan 3
【命令】
dot1x dhcp-launch
undo dot1x dhcp-launch
【视图】
系统视图
【参数】
无
【描述】
dot1x dhcp-launch命令用来设置802.1x允许设备在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。undo dot1x dhcp-launch命令用来取消DHCP触发对接入用户的身份认证。
缺省情况下,不允许DHCP触发对接入用户的身份认证。
相关配置可参考命令display dot1x。
【举例】
# 允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x dhcp-launch
【命令】
dot1x guest-vlan vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:Guest VLAN的VLAN ID,取值范围为1~4094。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x guest-vlan命令用来开启端口的Guest VLAN功能。undo dot1x guest-vlan命令用来关闭Guest VLAN功能。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示开启所有端口的Guest VLAN功能;
l 如果指定了interface-list,则表示开启指定端口的Guest VLAN功能。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅能打开当前端口的Guest VLAN功能。
【举例】
# 开启所有端口的Guest VLAN功能。
<Sysname> system-view
[Sysname] dot1x guest-vlan 1
【命令】
dot1x handshake enable
undo dot1x handshake enable
【视图】
系统视图
【参数】
无
【描述】
dot1x handshake enable命令用于开启在线用户握手功能。undo dot1x handshake enable命令用于关闭在线用户握手功能。
缺省情况下,开启在线用户握手功能。
l 802.1x的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。
l 握手报文的发送需要H3C私有客户端的支持,用以探测用户是否在线。
l 对于非H3C客户端,由于不支持握手功能,在握手周期内设备不会收到握手回应报文。因此需要将在线用户握手功能关闭,以防止设备错误地认为用户下线。
【举例】
# 开启在线用户握手功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x handshake enable
【命令】
dot1x handshake secure
undo dot1x handshake secure
【视图】
以太网端口视图
【参数】
无
【描述】
dot1x handshake secure命令用于开启握手报文的安全扩展功能,防止破解客户端造成的攻击。undo dot1x handshake secure命令用于关闭握手报文的安全扩展功能。
缺省情况下,关闭握手报文的安全扩展功能。
握手报文的安全扩展功能需要支持此功能的客户端与认证服务器配合才能正常使用,若客户端或者认证服务器不支持握手报文的安全扩展功能,则需要关闭此功能。
【举例】
# 开启握手报文的安全扩展功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x handshake secure
【命令】
dot1x mandatory-domain domain-name
undo dot1x mandatory-domain
【视图】
以太网端口视图
【参数】
domain-name:ISP认证域名,为1~128个字符的字符串。
【描述】
dot1x mandatory-domain命令用来配置端口上802.1x用户的强制认证域。undo dot1x mandatory-domain命令用来删除该端口上802.1x用户的认证域。
缺省情况下,未定义强制认证域。
需要注意的是:
l 指定端口上接入的802.1x用户将按照如下先后顺序选择认证域:端口上配置的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。
l 端口上配置的强制认证域必须已经存在。
【举例】
# 在以太网端口Ethernet1/0/1上配置802.1x用户使用强制认证域my-domain。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x mandatory-domain my-domain
【命令】
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
user-number:端口可容纳接入用户数量的最大值,取值范围为1~256。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。
缺省情况下,端口上可容纳接入用户数量的最大值为256。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示作用于所有端口;
l 如果指定了interface-list,则表示作用于指定端口。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用来设置当前端口的可容纳接入用户数量的最大值。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet 1/0/1最多可容纳32个接入用户。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x max-user 32 interface Ethernet 1/0/1
【命令】
dot1x port-control { auto | authorized-force | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
auto:自动识别模式;端口初始状态为非授权状态,仅允许收发EAPoL报文,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
authorized-force:强制授权模式;端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
unauthorized-force:强制非授权模式;端口始终处于非授权状态,不允许用户访问网络资源。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x port-control命令用来设置802.1x在指定端口的接入控制模式。 undo dot1x port-control命令用来恢复缺省的接入控制模式。
缺省情况下,接入控制模式为auto。
dot1x port-control命令用来设置802.1x在指定端口的接入控制模式,即端口所处的状态。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示作用于所有端口;
l 如果指定了interface-list,则表示作用于指定端口。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用来设置当前端口的接入控制模式。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 1/0/1处于强制非授权状态。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x port-control unauthorized-force interface Ethernet 1/0/1
【命令】
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证。
portbased:指示802.1x认证系统基于端口对接入用户进行认证。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x port-method命令用来设置802.1x在指定端口的接入控制方式。 undo dot1x port-method命令用来恢复缺省的接入控制方式。
此命令用来设置802.1x在指定端口的接入控制方式:
l 当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;
l 当采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
l 802.1x用户在线时,如果通过dot1x port-method命令更改端口接入控制方式,则在线用户会被强制下线。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示作用于所有端口;
l 如果指定了interface-list,则表示作用于指定端口。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用来设置当前端口的接入控制方式。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 1/0/1基于端口对接入用户进行认证。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x port-method portbased interface Ethernet 1/0/1
【命令】
dot1x quiet-period
undo dot1x quiet-period
【视图】
系统视图
【参数】
无
【描述】
dot1x quiet-period命令用来开启静默定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。
当802.1x用户认证失败以后,Authenticator设备(如H3C系列设备)需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator设备不进行该用户的802.1x认证的相关处理。
缺省情况下, 静默定时器功能处于关闭状态。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 打开quiet-period定时器。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x quiet-period
【命令】
dot1x retry max-retry-value
undo dot1x retry
【视图】
系统视图
【参数】
max-retry-value:可重复向接入用户发送认证请求帧的最大次数,取值范围为1~10。
【描述】
dot1x retry命令用来设置设备可重复向接入用户发送认证请求帧的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省值。
缺省情况下,可重复向接入用户发送认证请求帧的最大次数为2次。
如果设备初次向用户发送认证请求帧后,在规定的时间里没有收到用户的响应,则设备将再次向用户发送该认证请求。当发送次数达到由本配置任务配置的最大次数后仍没有收到响应,设备不再重复向用户发送该认证请求。本命令设置后将作用于所有端口。
相关配置可参考命令display dot1x。
【举例】
# 指示本机最多向接入用户发送9次认证请求帧。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x retry 9
【命令】
dot1x retry-version-max max-retry-version-value
undo dot1x retry-version-max
【视图】
系统视图
【参数】
max-retry-version-value:重复向接入用户发送版本请求帧的最大次数,取值范围为1~10。
【描述】
dot1x retry-version-max命令用来设置设备可重复向接入用户发送版本请求帧的最大次数。undo dot1x retry-version-max命令用来将该最大发送次数恢复为缺省值。
缺省情况下,设备可重复向接入用户发送版本请求的最大次数为3次。
当设备初次向用户发送客户端版本请求帧后,如果在一定时间(由版本验证的超时定时器指定)内没有收到客户端的响应,设备会再次向客户端发送版本请求,当发送次数达到由本配置任务配置的最大次数后仍没有收到响应,设备不再对客户端的版本进行验证,而继续进行后续的认证过程。本命令设置后将作用于所有启动版本验证功能的端口。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 配置设备最多向接入用户发送6次版本请求帧。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x retry-version-max 6
【命令】
dot1x re-authenticate [ interface interface-list ]
undo dot1x re-authenticate [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x re-authenticate命令用来开启设备特定端口或所有端口的802.1x重认证特性。undo dot1x re-authenticate用来关闭设备特定端口或所有端口的802.1x重认证特性。
缺省情况下,所有端口的802.1x重认证特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启所有端口的802.1x重认证特性;如果指定了interface-list参数,则表示开启指定端口的802.1x重认证特性。以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x重认证特性。
在启动端口802.1x重认证功能之前,必须开启全局802.1x特性和该端口的802.1x特性。
【举例】
# 在端口Ethernet 1/0/1上启用802.1x重认证功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
802.1X is enabled globally.
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x
802.1X is enabled on port Ethernet1/0/1 already.
[Sysname-Ethernet1/0/1] dot1x re-authenticate
Re-authentication is enabled on port Ethernet1/0/1
【命令】
dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
logoff:检测到用户使用代理或者开启多网卡登录后,切断用户连接。
trap:检测到用户使用代理或者开启多网卡登录后,发送Trap报文。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x supp-proxy-check用来开启指定端口上的802.1x代理用户检测特性。undo dot1x supp-proxy-check用来关闭指定端口上对802.1x代理用户检测特性。
缺省情况下,所有端口的802.1x代理用户检测特性都处于关闭状态。
此命令如果在系统视图下执行:
l 如果指定了interface-list参数,可以作用于interface-list参数所指定的某个端口;
l 如果不输入interface-list参数,则为全局配置。
如果在以太网端口视图下执行,不能输入interface-list参数,只能作用于当前端口。
在系统视图下开启全局的代理用户检测功能后,必须再开启指定端口的代理用户检测特性,此特性的配置才能在该端口上生效。
设备的802.1x代理用户检测特性包括:
l 检测使用代理服务器登录的用户;
l 检测使用IE代理服务器登录的用户;
l 检测用户是否使用多网卡(即用户登录时,其PC上处于激活状态的网卡超过一个)。
当设备发现以上任意一种情况时,可以采取以下控制措施:
l 只切断用户连接,不发送Trap报文(使用命令dot1x supp-proxy-check logoff配置);
l 只发送Trap报文,不切断用户连接(使用命令dot1x supp-proxy-check trap配置)。
此功能的实现需要802.1x客户端和CAMS的配合:
l 802.1x客户端需要具备检测用户是否使用多网卡、代理服务器或者IE代理服务器功能;
l CAMS上开启认证客户端禁用多网卡、禁用代理服务器或者禁用IE代理服务器功能。
802.1x客户端默认关闭代理用户检测功能,如果CAMS打开防多网卡、代理或IE代理功能,则在用户认证成功时,CAMS会下发属性通知802.1x客户端打开防多网卡、代理或IE代理功能。
l 该功能的实现需要H3C 802.1x客户端程序(iNode)的配合。
l 对于检测通过代理登录的用户功能,同时需要在设备上启用客户端版本检测功能(通过命令dot1x version-check配置)。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet1/0/1~Ethernet1/0/8检测到用户使用代理后,切断该用户的连接。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x supp-proxy-check logoff
[Sysname] dot1x supp-proxy-check logoff interface Ethernet 1/0/1 to Ethernet 1/0/8
# 设置端口Ethernet 1/0/9检测到登录的用户使用代理后,设备发送Trap报文。
[Sysname] dot1x supp-proxy-check trap
[Sysname] dot1x supp-proxy-check trap interface Ethernet 1/0/9
【命令】
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | ver-period ver-period-value }
undo dot1x timer { handshake-period | quiet-period | server-timeout | supp-timeout | tx-period | ver-period }
【视图】
系统视图
【参数】
handshake-period:此定时器是在用户认证成功后启动的,系统以此间隔为周期发送握手请求报文。如果dot1x retry命令配置重试次数为N,则系统连续N次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线状态。
handshake-period-value:握手时间间隔,取值范围为5~1024,单位为秒。缺省情况下,握手报文的发送时间间隔为15秒。
quiet-period:静默定时器。对用户认证失败以后,Authenticator设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,设备不进行该用户的802.1x认证相关处理。
quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒。缺省情况下,quiet-period-value为60秒。
server-timeout:Authentication Server超时定时器。若在该定时器设置的时长内,Authentication Server未成功响应,Authenticator设备将重发认证请求报文。
server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒。缺省情况下,server-timeout-value为100秒。
supp-timeout:Supplicant认证超时定时器。当Authenticator设备向Supplicant设备发送了Request/Challenge请求报文(该报文用于请求Supplicant设备的MD5加密密文)后,Authenticator设备启动supp-timeout定时器,若在该定时器设置的时长内,Supplicant设备未成功响应,Authenticator设备将重发该报文。
supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,supp-timeout-value为30秒。
tx-period:传送超时定时器。以下两种情况Authenticator设备启动tx-period定时器:其一是在客户端主动发起认证的情况下,当设备向客户端发送单播Request/Identity请求报文后,设备启动该定时器,若在该定时器设置的时长内,设备没有收到客户端的响应,则设备将重发认证请求报文;其二是为了对不支持主动发起认证的802.1x客户端进行认证,设备会在启动802.1x功能的端口定期地发送组播Request/Identity报文,发送的间隔为tx-period。
tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,tx-period-value为30秒。
ver-period:客户端版本请求超时定时器。若在该定时器设置的时长内,Supplicant设备未成功发送版本应答报文,则Authenticator设备将重发版本请求报文。
ver-period-value:版本请求超时定时器设置的时长,取值范围为1~30,单位为秒。缺省值为30秒。
【描述】
dot1x timer命令用来配置802.1x的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省值。
802.1x在运行时会启动很多定时器以控制接入用户(Supplicant)、接入认证设备(Authenticator)以及认证服务器(Authentication Server)之间进行合理、有序的交互。使用此命令可以改变部分定时器值(另外部分定时器是不可调节的),以调节交互进程。这在较为特殊或比较恶劣的网络环境下可能是必需的措施。不过,一般情况下,建议保持这些定时器的缺省值。
相关配置可参考命令display dot1x。
【举例】
#设置Authentication Server超时定时器时长为150秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x timer server-timeout 150
【命令】
dot1x timer reauth-period reauth-period-value
undo dot1x timer reauth-period
【视图】
系统视图
【参数】
reauth-period:重认证超时定时器。在经过该定时器间隔后,设备会发起802.1x重认证。
reauth-period-value:重认证周期时间,取值范围为60~7200,单位为秒。
【描述】
dot1x timer reauth-period命令用来配置802.1x的重认证周期时间。undo dot1x timer reauth-period命令用来将802.1x的重认证周期时间恢复为缺省值。
缺省情况下,802.1x的重认证周期时间为3600秒。
【举例】
#设置802.1x的重认证周期时间为150秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x timer reauth-period 150
【命令】
dot1x unicast-trigger
undo dot1x unicast-trigger
【视图】
以太网端口视图
【参数】
无
【描述】
dot1x unicast-trigger命令用来开启端口单播触发802.1x认证功能。开启该功能后,当端口收到一个数据帧,且该数据帧的源MAC地址不在设备当前的MAC地址表中,则设备将以此MAC地址为目的MAC地址,从该端口发送单播EAP请求报文来触发802.1x认证。当undo dot1x unicast-trigger命令用来关闭单播触发802.1x认证功能。
缺省情况下,单播触发802.1x认证功能处于关闭状态。
【举例】
# 端口Ethernet1/0/1上开启单播触发802.1x认证功能。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x unicast-trigger
【命令】
dot1x version-check [ interface interface-list ]
undo dot1x version-check [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x version-check用来开启端口上的802.1x客户端版本检测特性。undo dot1x version-check用来关闭端口上对802.1x客户端的版本检测特性。
缺省情况下,所有端口的802.1x客户端版本检测特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启所有端口的802.1x客户端版本检测特性;如果指定了interface-list参数,则表示开启指定端口的802.1x客户端版本检测特性。以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x版本检测特性。
【举例】
# 配置端口Ethernet1/0/1在接收到认证报文时检测802.1x客户端的版本。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname]interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x version-check
【命令】
reset dot1x statistics [ interface interface-list ]
【视图】
用户视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
reset dot1x statistics命令用来清除802.1x的统计信息。
当用户想删除802.1x原有统计信息,重新进行相关信息统计时,可以使用该命令。
在清除原有的统计信息时:
l 如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1x统计信息;
l 如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息。
相关配置可参考命令display dot1x。
【举例】
# 清除以太网端口Ethernet 1/0/1上的802.1x统计信息。
<Sysname> reset dot1x statistics interface Ethernet 1/0/1
【命令】
dot1x free-ip ip-address { mask-address | mask-length }
undo dot1x free-ip [ ip-address { mask-address | mask-length } ]
【视图】
系统视图
【参数】
ip-address:免认证IP地址,为点分十进制格式。
mask-address:免认证IP地址的子网掩码,为点分十进制格式。
mask-length:免认证IP地址的掩码长度,取值范围为0~32。
【描述】
dot1x free-ip命令用来配置免认证IP网段,免认证IP网段即受限IP网段,是指802.1x认证成功之前(包括认证失败),终端用户可以访问的IP地址段。undo dot1x free-ip命令用来删除所有配置的免认证网段IP地址。
缺省情况下,没有配置免认证的网段地址。
l 在配置免认证IP网段时必须先配置重定向的URL。
l 一台设备最多可以配置两个免认证IP网段。
【举例】
# 配置用户在认证成功前可以访问的免认证网段IP地址。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x free-ip 192.168.19.23 24
【命令】
dot1x timer acl-timeout acl-timeout-value
undo dot1x timer acl-timeout
【视图】
系统视图
【参数】
acl-timeout-value:ACL定时器超时时间,单位为分钟,取值范围为1~1440。
【描述】
dot1x timer acl-timeout命令用来配置ACL超时时间。undo dot1x timer acl-timeout命令用来恢复ACL超时时间为缺省值。
缺省情况下,ACL超时时间为30分钟。
相关配置可参考dot1x的配置命令。
【举例】
# 配置ACL的超时时间40分钟。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x timer acl-timeout 40
【命令】
dot1x url url-string
undo dot1x url
【视图】
系统视图
【参数】
url-string:HTTP重定向的URL,URL格式为:“http://x.x.x.x”。
【描述】
dot1x url命令用来配置HTTP重定向服务器的URL。undo dot1x url命令用来删除HTTP重定向服务器的URL。
缺省情况下,没有配置HTTP重定向的URL。
相关配置可参考dot1x的配置命令。
【举例】
# 配置HTTP重定向的URL。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x url http://192.168.19.23
【命令】
display habp
【视图】
任意视图
【参数】
无
【描述】
display habp命令用来显示HABP特性的配置信息和状态。
【举例】
# 显示HABP特性的配置信息和状态。
<Sysname> display habp
Global HABP information:
HABP Mode: Server
Sending HABP request packets every 20 seconds
Bypass VLAN: 2
表3-1 display habp命令显示信息描述表
字段 |
描述 |
HABP Mode |
当前设备的HABP特性的工作模式,可以为server或者client |
Sending HABP request packets every 20 seconds |
HABP请求报文的发送时间间隔为20秒 |
Bypass VLAN |
在指定的VLAN内发送HABP报文 |
【命令】
display habp table
【视图】
任意视图
【参数】
无
【描述】
display habp table命令用来显示HABP的MAC地址表的信息。
【举例】
# 显示HABP的MAC地址表的信息。
<Sysname> display habp table
MAC Holdtime Receive Port
001f-3c00-0030 53 Ethernet1/0/1
表3-2 display habp table命令显示信息描述表
字段 |
描述 |
MAC |
HABP的MAC地址表项中的MAC地址 |
Holdtime |
MAC地址表项的保持时间,在此时间内如果该表项没有被刷新过,该表项将被老化 |
Receive Port |
学习到该MAC地址表项的端口 |
【命令】
display habp traffic
【视图】
任意视图
【参数】
无
【描述】
display habp traffic命令用来显示HABP报文的统计信息。
【举例】
# 显示HABP报文的统计信息。
<Sysname> display habp traffic
HABP counters :
Packets output: 0, Input: 0
ID error: 0, Type error: 0, Version error: 0
Sent failed: 0
表3-3 display habp traffic命令显示信息描述表
字段 |
描述 |
Packets output |
发送的HABP报文数 |
Input |
接收的HABP报文数 |
ID error |
ID错误的报文数 |
Type error |
类型错误的报文数 |
Version error |
版本错误的报文数 |
Sent failed |
发送失败的报文数 |
【命令】
habp enable
undo habp enable
【视图】
系统视图
【参数】
无
【描述】
habp enable命令用来启动设备的HABP特性。undo habp enable命令用来关闭HABP特性。
缺省情况下,设备上启动HABP特性。
如果设备上启动了802.1x特性,如果不启动设备的HABP特性,作为管理设备的设备将不能管理下挂的设备。因此在启动了802.1x特性的网络中,需要启动相应设备的HABP特性。
【举例】
# 启动设备的HABP特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] habp enable
【命令】
habp server vlan vlan-id
undo habp server
【视图】
系统视图
【参数】
vlan-id:VLAN的ID,取值范围1~4094。
【描述】
habp server vlan命令用来在设备上设置HABP特性的模式为Server模式,同时指定HABP报文在指定的VLAN内传播。undo habp server vlan命令用来恢复设备HABP特性为缺省模式。
缺省情况下,设备的HABP特性工作在client模式下。
用户必须首先使用habp enable命令在设备上启动HABP特性,然后才能指定HABP特性工作在Server模式下。在不启动HABP特性时,用户也可以配置设备的HABP特性工作在Server模式下,但命令不生效。
【举例】
# 在设备上设置HABP特性的模式为Server模式,同时指定HABP报文在指定的VLAN 2内传播。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] habp server vlan 2
【命令】
habp timer interval
undo habp timer
【视图】
系统视图
【参数】
interval:发送HABP请求报文的时间间隔,取值范围为5~600,单位为秒。
【描述】
habp timer命令用来设置设备发送HABP请求报文的时间间隔。undo habp timer命令用来将发送HABP请求报文的时间间隔恢复为缺省值。
缺省情况下,设备发送HABP请求报文的时间间隔为20秒。
本配置只需要在HABP特性工作模式为Server的设备上进行配置。
【举例】
# 设置发送HABP请求报文的时间间隔为50秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] habp timer 50
【命令】
display system-guard attack-record
【视图】
任意视图
【参数】
无
【描述】
display system-guard attack-record命令用来显示防攻击记录信息。
【举例】
# 显示防攻击记录信息。
<Sysname> display system-guard attack-record
Range : 2
Packet type : BOGUS
Port : 1
MAC address : 00e0-fc00-0001
IP address : 10.10.10.10
Alive time : 6
表4-1 display system-guard attack-record命令显示信息描述表
字段 |
描述 |
Target No |
攻击记录的编号 |
Range |
对此攻击的控制范围 |
Packet type |
攻击报文类型 |
Port |
被攻击的端口号 |
MAC address |
攻击报文的源mac地址 |
IP address |
攻击报文的源ip地址 |
Alive time |
对此类型攻击报文进行隔离的剩余时间 |
【命令】
display system-guard state
【视图】
任意视图
【参数】
无
【描述】
display system-guard state命令用来显示防攻击状态信息。
相关配置可参考命令system-guard enable,system-guard detect-threshold,system-guard timer-interval。
【举例】
# 显示防攻击状态信息。
<Sysname> display system-guard state
System-guard Status: Enabled
Permitted Interfaces:
Ethernet1/0/1
Detect Threshold: 201
Isolated Time: 20
Attack Number: 0
表4-2 display system-guard state命令显示信息描述表
字段 |
描述 |
System-guard Status |
防攻击特性使能状态 |
Permitted Interfaces |
防攻击特性使能端口 |
Detect Threshold |
系统防攻击检测报文数量的门限 |
Isolated Time |
检测到攻击时的隔离时间 |
Attack Number |
攻击次数统计 |
【命令】
system-guard detect-threshold threshold-value
undo system-guard detect-threshold
【视图】
系统视图
【参数】
threshold-value:攻击检测报文数量的门限值,取值范围为20~10000。
【描述】
system-guard detect-threshold命令用来设置系统防攻击检测报文数量的门限,即也就是对同一种报文,当收到多少个报文时,进行一次防攻击统计。undo system-guard detect-threshold命令用来恢复系统防攻击检测报文数量的门限为缺省值。
缺省门限值是200个报文。
相关配置可参考命令display system-guard state。
【举例】
# 设置系统防攻击检测报文数量的门限值为300。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname]system-guard detect-threshold 300
【命令】
system-guard enable
undo system-guard enable
【视图】
系统视图
【参数】
无
【描述】
system-guard enable命令用来使能系统防攻击功能。undo system-guard enable命令用来关闭系统防攻击功能。
缺省情况下,关闭系统防攻击功能。
相关配置可参考命令display system-guard state。
【举例】
# 使能系统防攻击功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname]system-guard enable
System-guard is enabled
【命令】
system-guard permit interface-list
undo system-guard permit interface-list
【视图】
系统视图
【参数】
permit: 指定开启防攻击的端口。
interface-list:以太网端口列表,表示方式为interface-list = { interface-type interface-num [ to interface-type interface-num ] }&<1-10>。
l interface-type为端口类型,interface-num为端口号。
l 关键字to表示指定一组连续的端口,to之后的端口号要大于或等于to之前的端口号。
l &<1-10>表示前面的参数最多可以重复输入10次。
【描述】
system-guard permit命令用来指定开启防攻击的端口列表,设备对这些端口进行定期检测,以便及时发现攻击端口。
undo system-guard permit命令用来取消指定开启防攻击的端口列表。
缺省情况下,没有开启防攻击特性的端口。
【举例】
# 设置防攻击端口列表为Ethernet 1/0/1~Ethernet 1/0/10。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] system-guard permit Ethernet 1/0/1 to Ethernet 1/0/10
【命令】
system-guard timer-interval isolate-timer
undo system-guard timer-interval
【视图】
系统视图
【参数】
isolate-timer: 隔离时间,单位为分钟,取值范围1~10000。
【描述】
system-guard timer-interval命令用来设置当检测到攻击时的隔离时间。undo system-guard timer-interval命令用来恢复缺省的隔离时间。
缺省情况下,隔离时间为10分钟。
相关配置可参考命令display system-guard state。
【举例】
# 设置当检测到攻击时的隔离时间为20分钟。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname]system-guard timer-interval 20
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!