02-802.1X命令
本章节下载: 02-802.1X命令 (222.55 KB)
1.1.2 display dot1x synchronization
1.1.4 dot1x authentication-method
1.1.12 dot1x multicast-trigger
1.1.21 reset dot1x synchronization statistics
1:监控级
sessions:显示802.1X的会话连接信息。
statistics:显示802.1X的相关统计信息。
interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display dot1x命令用来显示802.1X的相关信息,包括会话连接信息、相关统计信息或配置信息等。
需要注意的是,如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。
相关配置可参考命令reset dot1x statistics、dot1x retry、dot1x max-user、dot1x port-control、dot1x port-method和dot1x timer。
# 显示802.1X的所有信息。
Equipment 802.1X protocol is enabled
EAP authentication is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Reauth Period 3600 s
The maximal retransmitting times 2
The maximum 802.1X user resource number is 20480 per slot
Total current used 802.1X resource number is 1
Ten-GigabitEthernet1/0/1 is link-up
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is enabled
Handshake secure is disabled
802.1X unicast-trigger is disabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: NOT configured
Auth-Fail VLAN: NOT configured
Critical VLAN: NOT configured
Critical recovery-action: NOT configured
Max number of on-line users is 20480
EAPOL Packet: Tx 0, Rx 0
Sent EAP Request/Identity Packets : 0
EAP Request/Challenge Packets: 0
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 0
EAPOL LogOff Packets: 0
EAP Response/Identity Packets : 0
EAP Response/Challenge Packets: 0
Error Packets: 0
Controlled User(s) amount to 0
Ten-GigabitEthernet1/0/2 is link-up
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is enabled
Handshake secure is disabled
802.1X unicast-trigger is disabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: NOT configured
Auth-Fail VLAN: NOT configured
Critical VLAN: NOT configured
Critical recovery-action: NOT configured
Max number of on-line users is 20480
EAPOL Packet: Tx 0, Rx 0
Sent EAP Request/Identity Packets : 0
EAP Request/Challenge Packets: 0
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 0
EAPOL LogOff Packets: 0
EAP Response/Identity Packets : 0
EAP Response/Challenge Packets: 0
Error Packets: 0
Controlled User(s) amount to 0
WLAN-ESS1 is link-up
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is enabled
Handshake secure is disabled
802.1X unicast-trigger is disabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: NOT configured
Auth-Fail VLAN: NOT configured
Critical VLAN: NOT configured
Critical recovery-action: NOT configured
Max number of on-line users is 20480
EAPOL Packet: Tx 0, Rx 0
Sent EAP Request/Identity Packets : 0
EAP Request/Challenge Packets: 0
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 0
EAPOL LogOff Packets: 0
EAP Response/Identity Packets : 0
EAP Response/Challenge Packets: 0
Error Packets: 0
Controlled User(s) amount to 0
WLAN-DBSS1:6826 is link-up
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is enabled
Handshake secure is disabled
802.1X unicast-trigger is disabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: NOT configured
Auth-Fail VLAN: NOT configured
Critical VLAN: NOT configured
Critical recovery-action: NOT configured
Max number of on-line users is 20480
EAPOL Packet: Tx 0, Rx 0
Sent EAP Request/Identity Packets : 0
EAP Request/Challenge Packets: 0
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 0
EAPOL LogOff Packets: 0
EAP Response/Identity Packets : 0
EAP Response/Challenge Packets: 0
Error Packets: 0
Controlled User(s) amount to 0
表1-1 display dot1x命令显示信息描述表
全局的802.1X特性已经开启 |
|
是否使能EAP认证 |
|
· disable表示不检测; · enable表示检测到用户使用代理后,发送Trap报文 |
|
· disable表示不检测; · enable表示检测到用户使用代理后,切断用户连接 |
|
· disable表示不检测; · enable表示检测用户使用代理后,发送Trap报文 |
|
· disable表示不检测; · enable表示检测用户使用代理后,切断用户连接 |
|
802.1X单播触发功能的使能状态 |
|
端口接入控制方式为mac-based,即基于MAC地址对接入用户进行认证 |
|
802.1X组播触发功能的使能状态 |
|
端口配置的Guest VLAN,未配置则显示NOT configured |
|
端口配置的Auth Fail VLAN,未配置则显示NOT configured |
|
Critical recovery-action |
端口配置的服务器恢复情况下的动作 |
EAPOL报文数目:Tx表示发送的报文数目;Rx表示接受的报文数目 |
|
本命令的支持情况与设备型号有关,请参见“命令参考导读”的“命令行及参数差异情况”部分的介绍。
display dot1x synchronization { connection | statistics | status } [ interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]
1:监控级
connection:显示802.1X双机热备环境下本设备上802.1X用户的详细信息。
statistics:显示802.1X双机热备报文的统计信息。
status:显示802.1X双机热备的各接口的双机热备状态。
interface interface-type interface-number:显示指定接口上的802.1X双机热备消息的统计信息,interface-type interface-number为接口类型和接口编号。若未指定本参数,则显示两部分内容,即系统中整机发送和接收的双机报文次数以及各接口上的802.1X双机热备消息的统计信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
display dot1x synchronization命令用来显示802.1X双机热备的信息。
相关配置可参考命令reset dot1x synchronization statistics和“端口安全”中的port-security synchronization enable。
# 显示802.1X的双机热备的用户信息。
<Sysname> display dot1x synchronization connection
WLAN-DBSS1:1 has 1 connection(s)
MAC AAA Link-Status Auth-Status
0000-0007-0001 Y Active Authenticated(9)
WLAN-DBSS1:2 has 1 connection(s)
MAC AAA Link-Status Auth-Status
0000-0008-0001 Y Active Authenticated(9)
# 查看双机热备环境下接口WLAN-DBSS1:2上的802.1X用户的详细信息。
<Sysname> display dot1x synchronization connection interface WLAN-DBSS1:2
WLAN-DBSS1:2 has 2 connection(s)
MAC AAA Link-Status Auth-Status
0000-0008-0001 Y Active Authenticated(5)
0000-0008-0002 Y Standby Authenticated(5)
表1-2 display dot1x synchronization connection命令显示信息描述表
接口WLAN-DBSS1:1接入的用户数为1 |
|
802.1X用户客户端MAC地址 |
|
用户是否成功发起AAA认证的标志 · Y:表示该用户成功发起了AAA认证 · N:表示该用户未发起AAA认证,如无线Only11Key用户 |
|
· Active:表示该用户接入的物理端口链路为主链路 · Standby:表示该用户接入的物理端口链路为备链路 |
|
802.1X用户状态 格式为String(Code)其中String如下所列,Code为所属各状态的更细致的划分,为内部值。 String取值如下: · Authenticating:用户处于认证过程中 · Authenticated:用户认证成功,正常工作 · Quiet:用户认证失败后处于静默状态 · Deauthenticating:用户处于下线过程 · GuestVlan:用户位于Guest VLAN中 |
# 显示各接口的802.1X双机热备状态。
<Sysname> display dot1x synchronization status
WLAN-ESS0 : Not Configured
WLAN-ESS1 : Configured
WLAN-ESS2 : Ready
WLAN-ESS3 : Local running
WLAN-DBSS3:1 : Local running
WLAN-ESS4 : Both running
WLAN-DBSS4:1 : Both running
# 显示接口WLAN-DBSS3:1下的802.1X双机热备状态。
<Sysname> display dot1x synchronization status interface WLAN-DBSS3:1
WLAN-DBSS3:1 : Local running
表1-3 display dot1x synchronization status命令显示信息描述表
接口下的配置满足双机热备条件,但是当前接口不可用:导致接口不可用的原因有:接口Down、接口Remove、接口正在被删除、正在去使能802.1X、双机热备(DHBK)状态未同步 |
|
接口下的配置满足双机热备条件,且接口和DHBK都可用,但是对端设备对应的接口不满足上述条件 |
|
# 显示802.1X双机热备消息的统计信息。
<Sysname> display dot1x synchronization statistics
Backup Packet Statistics total
Send-packets Send-fail Recv-packets
10 0 4
Backup Message Statistics on interface WLAN-DBSS1:1
Msg-Name SendTotal RcvTotal
MSG_USR_BACKUP 26 1
MSG_USR_DETELE 24 0
MSG_REQ_BATCH 1 1
MSG_UPDATE_USRIP 0 0
MSG_USR_COMPARE 0 0
MSG_NTF_STATUS 3 2
MSG_REQ_USER 0 0
MSG_DEL_ACK 0 24
Backup Message Statistics on interface WLAN-DBSS1:2
Msg-Name SendTotal RcvTotal
MSG_USR_BACKUP 0 0
MSG_USR_DETELE 0 0
MSG_REQ_BATCH 0 0
MSG_UPDATE_USRIP 0 0
MSG_USR_COMPARE 0 0
MSG_NTF_STATUS 0 0
MSG_REQ_USER 0 0
MSG_DEL_ACK 0 0
# 显示接口WLAN-DBSS1:1上的802.1X双机热备消息的统计信息。
<Sysname> display dot1x synchronization statistics interface WLAN-DBSS1:1
Backup Message Statistics on interface WLAN-DBSS1:1
Msg-Name SendTotal RcvTotal
MSG_USR_BACKUP 26 1
MSG_USR_DETELE 24 0
MSG_REQ_BATCH 1 1
MSG_UPDATE_USRIP 0 0
MSG_USR_COMPARE 0 0
MSG_NTF_STATUS 3 2
MSG_REQ_USER 0 0
MSG_DEL_ACK 0 24
表1-4 display dot1x synchronization statistics命令显示的整机IPC统计值表
· MSG_USR_BACKUP:备份用户信息的消息 · MSG_USR_DETELE:删除用户的消息 · MSG_REQ_BATCH:请求对端进行批备用户信息的消息 · MSG_UPDATE_USRIP:更新用户的消息 · MSG_USR_COMPARE:对比用户列表的消息 · MSG_NTF_STATUS: 通知各接口下的双机状态 · MSG_REQ_USER:请求备份特定用户的消息 · MSG_DEL_ACK:MSG_USR_DETELE的应答消息 |
|
dot1x accounting-delay [ logoff | time time ] *
2:系统级
logoff:表示如果设备在指定的延时时间内没有获取到用户IP地址,则不发送计费请求报文,用户将因计费失败而上线失败。若不指定该参数,则表示设备在指定的计费延时时间到达后,将会发送计费请求报文,用户可继续后续的上线流程。
time time:计费延时的时长,取值范围为1~600,单位为秒,缺省值为10。如果在指定的计费延时时间之内设备没有获取到用户的IP地址,则根据配置的计费延时动作来决定用户能否继续后续的计费流程。
dot1x accounting-delay命令用来开启计费延时功能,设备仅在获取到用户IP地址后才向计费服务器发送用户的计费请求报文。undo dot1x accounting-delay命令用来恢复缺省情况。
缺省情况下,计费延时功能处于关闭状态,用户认证成功后设备无论能否获取到用户的IP地址,都会立即向计费服务器发起计费请求。
建议根据用户获取IP地址的时长来配置计费延时的时长,若网络环境较差,用户需要较长的时间获取到IP地址,则可适当增大该值。
# 在接口WLAN-ESS 1上开启802.1X的计费延时功能,并配置计费延时时间为15秒,如果延时后还没有获取到用户的IP地址,采取的动作为logoff,即不发送计费请求报文,用户将因计费失败而上线失败。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x accounting-delay logoff time 15
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
2:系统级
chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法。
eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
dot1x authentication-method命令用来配置802.1X系统的认证方法。undo dot1x authentication-method命令用来恢复缺省情况。
缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法。
(1) EAP终结认证方式:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该认证方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。目前,仅H3C iNode 802.1X客户端支持此认证方法。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
(2) EAP中继:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证。该认证方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法。
· 本地认证支持PAP、CHAP和EAP。
· 采用RADIUS认证方法时,PAP、CHAP、EAP认证功能的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证。
· 若采用EAP认证方式,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。
# 启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
[Sysname] dot1x authentication-method pap
dot1x auth-fail vlan authfail-vlan-id
2:系统级
authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
dot1x auth-fail vlan命令用来配置指定端口的Auth-Fail VLAN,即认证失败的用户被授权访问的VLAN。undo dot1x auth-fail vlan命令用来恢复缺省情况。
缺省情况下,端口没有配置Auth-Fail VLAN。
· 这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
· 接入控制方式为MAC-based的端口支持Auth-Fail VLAN,接入控制方式为Port-based的端口暂不支持Auth-Fail VLAN。
· 在接入控制方式为macbased的端口上配置的Auth-Fail VLAN,只有MAC VLAN功能开启的情况下才生效。Auth-Fail VLAN生效后,若将端口的接入控制方式由macbased修改为portbased,则已建立的Auth-Fail VLAN表项会被删除。Auth-Fail VLAN表项中记录了加入Auth-Fail VLAN的MAC地址与端口上使能的MAC VLAN,可以通过display mac-vlan查看。
· 禁止直接删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过命令undo dot1x auth-fail vlan取消802.1X的Auth-Fail VLAN配置。
· 同一个端口上可同时配置Auth-Fail VLAN和Guest VLAN。
# 在接口WLAN-ESS1上配置Auth-Fail VLAN为3。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x auth-fail vlan 3
2:系统级
string:指定802.1X认证支持的域名分隔符,为1~16个字符的字符串,可包括字符@、\、/或三者的任意组合,且可重复,例如@/、@/\、\@/、//等。
dot1x domain-delimiter命令用来配置802.1X支持的域名分隔符。undo dot1x domain-delimiter命令用来恢复缺省情况。
缺省情况下,802.1X仅支持域名分隔符@。
目前,802.1X支持的域名分隔符包括@、\和/,对应的用户名格式分别为username@domain-name, domain-name\username和username/domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则仅将第一个出现的域名分隔符识别为实际使用的域名分隔符,其它域名分隔符字符都被认为是域名中的一部分,例如,用户输入的用户名为123/22\@abc,则认为纯用户名为123,域名分隔符为/,域名为22\@abc。
· 系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.1X仅会支持命令中指定的分隔符。
· 对于使用域名分隔符\或者/的802.1X在线用户,不能通过cut connection user-name user-name命令切断其连接,也不能通过display connection user-name user-name命令查看到其相关信息。例如,执行命令cut connection user-name aaa\bbb后,不能切断在线用户aaa\bbb的连接。关于命令display connection和cut connection的介绍请参见“安全命令参考”中的“AAA”。
# 配置802.1X支持的域名分隔符为@、\和/。
[Sysname] dot1x domain-delimiter @\/
dot1x guest-vlan guest-vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
在二层以太网接口视图/WLAN-ESS接口视图下:
dot1x guest-vlan guest-vlan-id
系统视图/二层以太网接口视图/WLAN-ESS接口视图
2:系统级
guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。
interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。如果不指定本参数,则表示配置所有二层以太网端口的Guest VLAN。
dot1x guest-vlan命令用来配置指定端口的Guest VLAN,即用户在未认证的情况下可以访问的VLAN资源,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器。undo dot1x guest-vlan命令用来取消指定端口的Guest VLAN。
接入控制方式为macbased的端口支持Guest VLAN,接入控制方式为portbased的端口不支持Guest VLAN。
· 只有开启802.1X特性的情况下,Guest VLAN才能生效。
· 在接入控制方式为macbased的端口上配置的Guest VLAN,只有MAC VLAN功能开启的情况下才生效。Guest VLAN生效后,若将端口的接入控制方式由macbased修改为portbased,则已建立的Guest VLAN表项会被删除。Guest VLAN表项中记录了加入Guest VLAN的MAC地址与端口上使能的MAC VLAN,可以通过display mac-vlan查看。
· 禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过命令undo dot1x guest-vlan取消802.1X的Guest VLAN配置。
· 同一个端口上可同时配置Guest VLAN和Auth-Fail VLAN。
相关配置可参考命令dot1x port-method、dot1x multicast-trigger和“二层技术命令参考/VLAN”中的mac-vlan enable、display mac-vlan。
# 配置端口WLAN-ESS1的Guest VLAN为已经创建的VLAN 3。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x guest-vlan 3
2:系统级
dot1x handshake命令用于开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。undo dot1x handshake命令用于关闭在线用户握手功能。
需要注意的是:建议在线用户握手功能与iNode客户端配合使用,以保证该功能可以正常运行。
# 开启在线用户握手功能。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x handshake
2:系统级
dot1x handshake secure命令用于开启在线用户握手安全功能。undo dot1x handshake secure命令用于关闭在线用户握手安全功能。
· 在线用户握手安全功能的实现依赖于在线用户握手功能。为使在线用户握手安全功能生效,请保证在线用户握手功能处于开启状态。
· 建议在线用户握手安全功能与iNode客户端以及iMC服务器配合使用,以保证该功能可以正常运行。
# 开启在线用户握手安全功能。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x handshake secure
dot1x mandatory-domain domain-name
2:系统级
domain-name:ISP认证域名,为1~24个字符的字符串,不区分大小写。
dot1x mandatory-domain命令用来配置接口上802.1X用户的强制认证域。undo dot1x mandatory-domain命令用来删除该接口上802.1X用户的认证域。
· 从指定接口上接入的802.1X用户将按照如下先后顺序选择认证域:接口上配置的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。
· 接口上配置了强制认证域之后,使用不携带任何参数的display connection命令显示该接口下的用户连接信息时,所显示的用户域名为用户登录时使用的认证域名。但是,若要通过display connection domain isp-name命令显示该类用户、或者通过cut connection domain isp-name命令切断该类用户连接时,必须指定强制认证域名。关于命令display connection的介绍请参见“安全命令参考”中的“AAA”。
# 在接口WLAN-ESS1上配置802.1X用户使用强制认证域my-domain。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x mandatory-domain my-domain
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
在二层以太网接口视图/WLAN-ESS接口视图下:
系统视图/二层以太网接口视图/WLAN-ESS接口视图
2:系统级
user-number:端口同时可容纳接入用户数量的最大值,取值范围及缺省值与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
dot1x max-user命令用来设置802.1X在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。
· 在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。
· 在接口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
# 配置端口WLAN-ESS1上最多可容纳32个接入用户。
[Sysname] dot1x max-user 32 interface wlan-ess 1
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x max-user 32
2:系统级
dot1x multicast-trigger命令用来使能802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。undo dot1x multicast-trigger命令用来关闭802.1X的组播触发功能。
缺省情况下,802.1X的组播触发功能处于开启状态。
# 在接口WLAN-ESS1上开启802.1X的组播触发功能。
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x multicast-trigger
dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
在二层以太网接口视图/WLAN-ESS接口视图下:
dot1x port-control { authorized-force | auto | unauthorized-force }
系统视图/二层以太网接口视图/WLAN-ESS接口视图
2:系统级
authorized-force:强制授权。指示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
auto:自动识别。指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
unauthorized-force:强制非授权。指示端口始终处于非授权状态,不允许用户访问网络资源。
interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
dot1x port-control命令用来设置端口的授权状态。undo dot1x port-control命令用来恢复缺省的端口授权状态。
· 在系统视图下执行该命令时,若指定了参数interface-list,则作用于参数interface-list所指定的端口;若不指定任何端口,则作用于当前系统中的所有端口。
· 在接口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
# 指定端口WLAN-ESS1处于强制非授权状态。
[Sysname] dot1x port-control unauthorized-force interface wlan-ess 1
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x port-control unauthorized-force
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
在二层以太网接口视图/WLAN-ESS接口视图下:
dot1x port-method { macbased | portbased }
系统视图/二层以太网接口视图/WLAN-ESS接口视图
2:系统级
macbased:表示基于MAC地址对接入用户进行认证,即该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
portbased:表示基于端口对接入用户进行认证,即只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
dot1x port-method命令用来配置802.1X在指定端口上进行接入控制的方式。undo dot1x port-method命令用来恢复缺省的接入控制方式。
· 在系统视图下执行该命令时,若指定了参数interface-list,则作用于interface-list参数所指定的端口;若不指定任何端口,则作用于当前系统中的所有端口。
· 在接口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
# 在端口WLAN-ESS1上配置对接入用户进行基于MAC地址的802.1X认证。
[Sysname] dot1x port-method macbased interface wlan-ess 1
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x port-method macbased
2:系统级
dot1x quiet-period命令用来开启静默定时器功能。undo dot1x quiet-period命令用来关闭静默定时器功能。
当802.1X用户认证失败以后,设备需要静默一段时间(该时间由静默定时器设置)。在静默期间,设备对该用户不进行802.1X认证的相关处理。
相关配置可参考命令display dot1x和dot1x timer。
# 开启静默定时器。
[Sysname] dot1x quiet-period
2:系统级
dot1x re-authenticate命令用来开启周期性重认证功能。undo dot1x re-authenticate命令用来关闭周期性重认证功能。
端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1x timer reauth-period)设定的时间间隔定期启动对该端口在线802.1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN、User Profile)。
相关配置可参考命令dot1x timer reauth-period。
# 配置周期性重认证时间间隔为1800秒,并在接口WLAN-ESS1上开启802.1X重认证功能。
[Sysname] dot1x timer reauth-period 1800
[Sysname] interface wlan-ess 1
[Sysname-WLAN-ESS1] dot1x re-authenticate
2:系统级
max-retry-value:向接入用户发送认证请求报文的最大次数,取值范围为1~10。
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省情况。
如果设备向用户发送认证请求报文后,在规定的时间里(可通过命令dot1x timer tx-period或者dot1x timer supp-timeout设定)没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。
· 此命令参数max-retry-value取值为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;取值为2时表示在首次向用户发送请求又没有收到响应后将重复发送1次;……依次类推。
# 配置设备最多向接入用户发送9次认证请求报文。
[Sysname] dot1x retry 9
2:系统级
handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。
quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。
reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。
supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。
tx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒。
dot1x timer命令用来配置802.1X的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
缺省情况下,握手定时器的值为15秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。
802.1X认证过程受以下定时器的控制:
· 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。
· 静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不处理该用户的认证功能。
· 周期性重认证定时器(reauth-period):端口下开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。
· 客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
· 用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。
需要注意的是,一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。修改后的定时器值,可立即生效。
# 设置认证服务器的超时定时器时长为150秒。
[Sysname] dot1x timer server-timeout 150
2:系统级
dot1x unicast-trigger命令用来开启端口上的802.1X的单播触发功能。undo dot1x unicast-trigger命令用来关闭802.1X的单播触发功能。
缺省情况下,802.1X的单播触发功能处于关闭状态。
本功能开启后,当端口收到源MAC未知的报文时,主动向该MAC地址发送单播认证报文来触发认证。若设备端在设置的客户端认证超时时间内(该时间由dot1x timer tx-period设置)没有收到客户端的响应,则重发该报文(重发次数由dot1x retry设置)。
相关配置可参考命令display dot1x、dot1x timer tx-period和dot1x retry。
# 在端口Ten-GigabitEthernet1/0/1上开启802.1X的单播触发功能。
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x unicast-trigger
reset dot1x statistics [ interface interface-list ]
2:系统级
interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
reset dot1x statistics命令用来清除802.1X的统计信息。
· 如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1X统计信息;
· 如果指定端口类型和端口号,则清除指定端口上的802.1X统计信息。
# 清除端口WLAN-ESS1上的802.1X统计信息。
<Sysname> reset dot1x statistics interface wlan-ess 1
本命令的支持情况与设备型号有关,请参见“命令参考导读”的“命令行及参数差异情况”部分的介绍。
reset dot1x synchronization statistics [ interface interface-type interface-number ]
2:系统级
interface interface-type interface-number:清除指定接口上的802.1X双机热备报文的统计信息,interface-type interface-number为接口名称和接口编号。
reset dot1x synchronization statistics命令用来清除802.1X双机热备报文的统计信息。
如果不指定任何参数,则表示清除设备上的全局及所有接口的802.1X双机热备报文的统计信息。
相关配置可参考命令display dot1x synchronization statistics和“端口安全”中的port-security synchronization enable。
# 清除端口WLAN-DBSS1:1上的802.1X双机热备报文的统计信息。
<Sysname> reset dot1x synchronization statistics interface wlan-dbss 1:1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!