15-802.1x及System-Guard命令
本章节下载: 15-802.1x及System-Guard命令 (234.45 KB)
目 录
1.1.3 dot1x authentication-method
1.1.13 dot1x retry-version-max
1.1.17 dot1x timer reauth-period
3.1.1 display system-guard attack-record
3.1.2 display system-guard state
3.1.3 system-guard detect-threshold
3.1.5 system-guard timer-interval
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
任意视图
【参数】
sessions:显示802.1x的会话连接信息。
statistics:显示802.1x的相关统计信息。
interface:显示指定端口的802.1x相关信息。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
display dot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况(会话连接信息)以及相关统计信息等。
如果在执行本命令的时候不指定端口,系统将显示设备所有802.1x相关信息。根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,并进一步有助于802.1x故障的诊断与排除。
相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x max-user, dot1x port-control, dot1x port-method, dot1x timer。
【举例】
# 显示802.1x的配置信息。
<device> display dot1x
Global 802.1X protocol is enabled
CHAP authentication is enabled
DHCP-launch is disabled
Handshake is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
EAD Quick Deploy is enabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
ReAuth Period 3600 s, ReAuth MaxTimes 2
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Interval between version requests is 30s
Maximal request times for version information is 3
The maximal retransmitting times 2
EAD Quick Deploy configuration:
url http://192.168.19.23
free-ip 192.168.19.0 255.255.255.0
acl-timeout 30m
Total maximum 802.1x user resource number is 1024
Total current used 802.1x resource number is 1
GigabitEthernet1/0/1 is link-down
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Version-Check is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
ReAuthenticate is disabled
Max number of on-line users is 256
Authentication Success: 0, Failed: 0
EAPOL Packets: Tx 0, Rx 0
Sent EAP Request/Identity Packets : 0
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 0
EAPOL LogOff Packets: 0
EAP Response/Identity Packets : 0
EAP Response/Challenge Packets: 0
Error Packets: 0
Controlled User(s) amount to 0
GigabitEthernet1/0/2 is link-down
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Version-Check is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
ReAuthenticate is disabled
Max number of on-line users is 256
Authentication Success: 0, Failed: 0
EAPOL Packets: Tx 0, Rx 0
Sent EAP Request/Identity Packets : 0
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 0
EAPOL LogOff Packets: 0
EAP Response/Identity Packets : 0
EAP Response/Challenge Packets: 0
Error Packets: 0
Controlled User(s) amount to 0
GigabitEthernet1/0/3
……(以下略)
表1-1 802.1x配置信息描述表
域名 |
描述 |
Equipment 802.1X protocol is enabled |
设备802.1x特性已经开启 |
CHAP authentication is enabled |
开启CHAP认证 |
DHCP-launch is disabled |
DHCP触发802.1x认证的功能处于关闭状态 |
Handshake is enabled |
在线用户握手功能开启 |
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不发送Trap报文; l enable表示检测用户使用代理后,发送Trap报文。 |
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不切断用户连接; l enable表示检测用户使用代理后,切断用户连接。 |
EAD Quick Deploy is enabled |
EAD快速部署功能开启 |
Transmit Period |
发送间隔定时器 |
Handshake Period |
802.1x的握手报文的发送时间间隔 |
ReAuth Period |
重认证周期 |
ReAuth MaxTimes |
重认证最大次数 |
Quiet Period |
静默定时器设置的静默时长 |
Quiet Period Timer is disabled |
静默定时器状态:disable表示处于关闭状态;enable表示处于开启状态 |
Supp Timeout |
Supplicant认证超时定时器 |
Server Timeout |
Authentication Server超时定时器 |
The maximal retransmitting times |
设备可重复向接入用户发送认证请求帧的次数 |
free-ip |
可访问的免费IP网段 |
acl-timeout |
ACL超时定时器 |
url |
HTTP重定向的URL |
Total maximum 802.1x user resource number |
最多可接入用户数 |
Total current used 802.1x resource number |
当前在线接入用户数 |
GigabitEthernet1/0/1 is link-down |
端口GigabitEthernet 1/0/1的状态为Down |
802.1X protocol is disabled |
该端口未开启802.1x协议 |
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不发送Trap报文; l enable表示检测用户使用代理后,发送Trap报文。 |
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不切断用户连接; l enable表示检测用户使用代理后,切断用户连接。 |
Version-Check is disabled |
端口是否开启客户端版本检测功能: l disable表示关闭; l enable表示开启。 |
The port is an authenticator |
该端口担当Authenticator作用 |
Authentication Mode is Auto |
端口接入控制的模式为auto |
Port Control Type is Mac-based |
端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证 |
ReAuthenticate is disabled |
端口的802.1x重认证特性处于关闭状态 |
Max number of on-line users |
本端口最多可容纳的接入用户数 |
… |
略 |
【命令】
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list= { interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性。undo dot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启全局的802.1x特性;如果指定了interface-list,则表示开启指定端口的802.1x特性。在以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x特性。
802.1x特性启动前后,均可以使用配置命令来配置全局或端口的802.1x特性参数。如果在开启全局802.1x特性前没有配置全局或端口的其它802.1x特性参数,则这些参数在运行时均为缺省值。
全局802.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才能在端口上生效。
l 如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数(通过命令mac-address max-mac-count配置);反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。
l 如果端口启动了802.1x,则不能配置该端口加入汇聚组。反之,如果该端口已经加入到某个汇聚组中,则禁止在该端口上启动802.1x。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口GigabitEthernet 1/0/1上的802.1x特性。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x interface GigabitEthernet 1/0/1
# 开启全局的802.1x特性。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x
【命令】
dot1x authentication-method { chap | pap | eap }
undo dot1x authentication-method
【视图】
系统视图
【参数】
chap:采用CHAP认证方式。
pap:采用PAP认证方式。
eap:采用EAP认证方式。
【描述】
dot1x authentication-method命令用来设置802.1x用户的认证方法。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方法。
缺省情况下,802.1x用户认证方法为CHAP认证。
PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令。
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着设备直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可。
相关配置可参考命令display dot1x。
当采用设备本身作为认证服务器时,802.1x用户的认证方法,不可以配置为EAP方式。
【举例】
# 设置设备采用PAP认证。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x authentication-method pap
【命令】
dot1x dhcp-launch
undo dot1x dhcp-launch
【视图】
系统视图
【参数】
无
【描述】
dot1x dhcp-launch命令用来设置802.1x允许设备在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。undo dot1x dhcp-launch命令用来指示不允许DHCP触发对接入用户的身份认证。
缺省情况下,不允许DHCP触发对接入用户的身份认证。
相关配置可参考命令display dot1x。
【举例】
# 允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x dhcp-launch
【命令】
dot1x guest-vlan vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:Guest VLAN的VLAN ID,取值范围为1~4094。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x guest-vlan命令用来开启指定端口的Guest VLAN功能。undo dot1x guest-vlan命令用来关闭Guest VLAN功能。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示开启所有端口的Guest VLAN功能;
l 如果指定了interface-list,则表示开启指定端口的Guest VLAN功能。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅能打开当前端口的Guest VLAN功能。
l 只有在端口认证方式下,设备才可以支持Guest VLAN功能;
l 一台设备只能配置一个Guest VLAN;
l 当设备配置为dot1x dhcp-launch方式时,因为该方式下设备不发送主动认证报文,Guest VLAN功能不能实现。
【举例】
# 设置认证方式为基于端口的方式。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x port-method portbased
# 开启所有端口的Guest VLAN功能。
[device] dot1x guest-vlan 1
【命令】
dot1x handshake enable
undo dot1x handshake enable
【视图】
系统视图
【参数】
无
【描述】
dot1x handshake enable命令用于开启在线用户握手功能。undo dot1x handshake enable命令用于关闭在线用户握手功能。
缺省情况下,开启在线用户握手功能。
l 802.1x的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。
l 握手报文的发送需要客户端的支持,用以探测用户是否在线。
l 对于不支持握手功能的客户端,在握手周期内设备不会收到握手回应报文。因此需要将在线用户握手功能关闭,以防止错误地认为用户下线。
【举例】
# 开启在线用户握手功能。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x handshake enable
【命令】
dot1x handshake secure
undo dot1x handshake secure
【视图】
以太网端口视图
【参数】
无
【描述】
dot1x handshake secure命令用于开启握手报文的安全扩展功能,防止破解客户端造成的攻击。undo dot1x handshake secure命令用于关闭握手报文的安全扩展功能。
缺省情况下,关闭握手报文的安全扩展功能。
握手报文的安全扩展功能需要支持此功能的客户端与认证服务器配合才能正常使用,若客户端或者认证服务器不支持握手报文的安全扩展功能,则需要关闭此功能。
【举例】
# 开启握手报文的安全扩展功能。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] interface GigabitEthernet 1/0/1
[device-GigabitEthernet1/0/1] dot1x handshake secure
【命令】
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
user-number:端口可容纳接入用户数量的最大值,取值范围为1~256。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。
缺省情况下,端口上可容纳接入用户数量的最大值为256。
在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 设置端口GigabitEthernet 1/0/1最多可容纳32个接入用户。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x max-user 32 interface GigabitEthernet 1/0/1
【命令】
dot1x port-control { auto | authorized-force | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
auto:自动识别模式;指示端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
authorized-force:强制授权模式;指示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
unauthorized-force:强制非授权模式;指示端口始终处于非授权状态,不允许用户访问网络资源。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x port-control命令用来设置802.1x在指定端口的接入控制模式。 undo dot1x port-control命令用来恢复缺省的接入控制模式。
缺省情况下,接入控制模式为auto。
dot1x port-control命令用来设置802.1x在指定端口的接入控制模式,即端口处于什么状态。在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口GigabitEthernet 1/0/1处于强制非授权状态。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x port-control unauthorized-force interface GigabitEthernet 1/0/1
【命令】
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证。
portbased:指示802.1x认证系统基于端口对接入用户进行认证。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x port-method命令用来设置802.1x在指定端口的接入控制方式。 undo dot1x port-method命令用来恢复缺省的接入控制方式。
缺省情况下,接入控制方式为macbased。
此命令用来设置802.1x在指定端口的接入控制方式,即基于什么来对用户进行认证。当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;当采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口GigabitEthernet 1/0/1基于端口对接入用户进行认证。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x port-method portbased interface GigabitEthernet 1/0/1
【命令】
dot1x quiet-period
undo dot1x quiet-period
【视图】
系统视图
【参数】
无
【描述】
dot1x quiet-period命令用来开启quiet-period定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。
当802.1x用户认证失败以后,Authenticator设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator设备不进行802.1x认证的相关处理。
缺省情况下,关闭quiet-period定时器功能。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 打开quiet-period定时器。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x quiet-period
【命令】
dot1x retry max-retry-value
undo dot1x retry
【视图】
系统视图
【参数】
max-retry-value:可重复向接入用户发送认证请求帧的最大次数,取值范围为1~10。
【描述】
dot1x retry命令用来设置设备可重复向接入用户发送认证请求帧的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省值。
缺省情况下,可重复向接入用户发送认证请求帧的最大次数为2次。
如果设备初次向用户发送认证请求帧后,在规定的时间里没有收到用户的响应,则设备将再次向用户发送该认证请求。此命令就是用来设置设备可重复向接入用户发送认证请求帧的次数。取值为1时表示只允许向用户发送一次认证请求帧,即如果没有收到响应,不再重复发送;取值为2时表示在首次向用户发送请求又没有收到响应后将重复发送1次;……依次类推。本命令设置后将作用于所有端口。
相关配置可参考命令display dot1x。
【举例】
# 指示本机最多向接入用户发送9次认证请求帧。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x retry 9
【命令】
dot1x retry-version-max max-retry-version-value
undo dot1x retry-version-max
【视图】
系统视图
【参数】
max-retry-version-value:重复向接入用户发送版本请求帧的最大次数,取值范围为1~10。
【描述】
dot1x retry-version-max命令用来设置设备可重复向接入用户发送版本请求帧的最大次数。undo dot1x retry-version-max命令用来将该最大发送次数恢复为缺省值。
缺省情况下,设备可重复向接入用户发送版本请求的最大次数为3次。
当设备初次向用户发送客户端版本请求帧后,如果在一定时间(由版本验证的超时定时器指定)内没有收到客户端的响应,设备会再次向客户端发送版本请求,当发送次数达到由本配置任务配置的最大次数后仍没有收到响应,设备不再对客户端的版本进行验证,而继续进行后续的认证过程。本命令设置后将作用于所有启动版本验证功能的端口。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 配置设备最多向接入用户发送6次版本请求帧。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x retry-version-max 6
【命令】
dot1x re-authenticate [ interface interface-list ]
undo dot1x re-authenticate [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x re-authenticate命令用来开启设备特定端口或所有端口的802.1x重认证特性。undo dot1x re-authenticate用来关闭设备特定端口或所有端口的802.1x重认证特性。
缺省情况下,所有端口的802.1x重认证特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启所有端口的802.1x重认证特性;如果指定了interface-list参数,则表示开启指定端口的802.1x重认证特性。以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x重认证特性。
在启动端口802.1x重认证功能之前,必须开启全局802.1x特性和该端口的802.1x特性。
【举例】
# 在端口GigabitEthernet 1/0/1上启用802.1x重认证功能。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x
802.1X is enabled globally.
[device] interface GigabitEthernet 1/0/1
[device-GigabitEthernet1/0/1] dot1x
802.1X is enabled on port GigabitEthernet1/0/1 already.
[device-GigabitEthernet1/0/1] dot1x re-authenticate
Re-authentication is enabled on port GigabitEthernet1/0/1
【命令】
dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
logoff:检测到用户使用代理或者开启多网卡登录后,切断用户连接。
trap:检测到用户使用代理或者开启多网卡登录后,发送Trap报文。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x supp-proxy-check用来开启指定端口上的802.1x客户端检测特性。undo dot1x supp-proxy-check用来关闭指定端口上对802.1x客户端的检测特性。
缺省情况下,所有端口的802.1x客户端检测特性都处于关闭状态。
此命令如果在系统视图下执行,可以作用于interface-list参数所指定的某个端口;如果不输入interface-list参数,则为全局配置;如果在以太网端口视图下执行,不能输入interface-list参数,只能作用于当前端口。
在系统视图下开启全局的代理用户检测功能后,必须再开启指定端口的代理用户检测特性,此特性的配置才能在该端口上生效。
设备的802.1x客户端检测特性包括:
l 检测使用代理服务器登录的用户;
l 检测使用IE代理服务器登录的用户;
l 检测用户是否使用多网卡(即用户登录时,其PC上处于激活状态的网卡超过一个)。
当设备发现以上任意一种情况时,可以采取以下控制措施:
l 只切断用户连接,不发送Trap报文(使用命令dot1x supp-proxy-check logoff配置);
l 只发送Trap报文,不切断用户连接(使用命令dot1x supp-proxy-check trap配置)。
此功能的实现需要802.1x客户端和CAMS的配合:
l 802.1x客户端需要具备检测用户是否使用多网卡、代理服务器或者IE代理服务器功能;
l CAMS上开启认证客户端禁用多网卡、禁用代理服务器或者禁用IE代理服务器功能。
802.1x客户端默认关闭防止使用多网卡、代理服务器或IE代理服务器功能,如果CAMS打开防多网卡、代理或IE代理功能,则在用户认证成功时,CAMS会下发属性通知802.1x客户端打开防多网卡、代理或IE代理功能。
l 该功能的实现需要802.1x客户端程序的配合。
l 对于检测通过代理登录的用户功能,需要在CAMS上也启用该功能,同时需要在设备上启用客户端版本检测功能(通过命令dot1x version-check配置)。
相关配置可参考命令display dot1x。
【举例】
# 设置端口GigabitEthernet1/0/1~GigabitEthernet1/0/8检测到用户使用代理后,切断该用户的连接。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x supp-proxy-check logoff
[device] dot1x supp-proxy-check logoff interface GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8
# 设置端口GigabitEthernet 1/0/9检测到登录的用户使用代理后,设备发送Trap报文。
[device] dot1x supp-proxy-check trap
[device] dot1x supp-proxy-check trap interface GigabitEthernet 1/0/9
或
[device] dot1x supp-proxy-check trap
[device] interface GigabitEthernet 1/0/9
[device-GigabitEthernet1/0/9] dot1x supp-proxy-check trap
【命令】
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | ver-period ver-period-value }
undo dot1x timer { handshake-period | quiet-period | server-timeout | supp-timeout | tx-period | ver-period }
【视图】
系统视图
【参数】
handshake-period:此定时器是在用户认证成功后启动的,系统以此间隔为周期发送握手请求报文。如果dot1x retry命令配置重试次数为N,则系统连续N次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线状态。
handshake-period-value:握手时间间隔,取值范围为5~1024,单位为秒。缺省情况下,握手报文的发送时间间隔为15秒。
quiet-period:静默定时器。对用户认证失败以后,Authenticator设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,设备不进行该用户的802.1x认证相关处理。
quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒。缺省情况下,quiet-period-value为60秒。
server-timeout:Authentication Server超时定时器。若在该定时器设置的时长内,Authentication Server未成功响应,Authenticator设备将重发认证请求报文。
server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒。缺省情况下,server-timeout-value为100秒。
supp-timeout:Supplicant认证超时定时器。当Authenticator设备向Supplicant设备发送了Request/Challenge请求报文(该报文用于请求Supplicant设备的MD5加密密文)后,Authenticator设备启动supp-timeout定时器,若在该定时器设置的时长内,Supplicant设备未成功响应,Authenticator设备将重发该报文。
supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,supp-timeout-value为30秒。
tx-period:传送超时定时器。以下两种情况Authenticator设备启动tx-period定时器:其一是在客户端主动发起认证的情况下,当设备向客户端发送单播Request/Identity请求报文后,设备启动该定时器,若在该定时器设置的时长内,设备没有收到客户端的响应,则设备将重发认证请求报文;其二是为了对不支持主动发起认证的802.1x客户端进行认证,设备会在启动802.1x功能的端口不停地发送组播Request/Identity报文,发送的间隔为tx-period。
tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,tx-period-value为30秒。
ver-period:客户端版本请求超时定时器。若在该定时器设置的时长内,Supplicant设备未成功发送版本应答报文,则Authenticator设备将重发版本请求报文。
ver-period-value:版本请求超时定时器设置的时长,取值范围为1~30,单位为秒。缺省值为30秒。
【描述】
dot1x timer命令用来配置802.1x的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省值。
802.1x在运行时会启动很多定时器以控制接入用户(Supplicant)、接入认证设备(Authenticator)以及认证服务器(Authentication Server)之间进行合理、有序的交互。使用此命令可以改变部分定时器值(另外部分定时器是不可调节的),以调节交互进程。这在较为特殊或比较恶劣的网络环境下可能是必需的措施。不过,一般情况下,建议保持这些定时器的缺省值。
相关配置可参考命令display dot1x。
【举例】
#设置Authentication Server超时定时器时长为150秒。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x timer server-timeout 150
【命令】
dot1x timer reauth-period reauth-period-value
undo dot1x timer reauth-period
【视图】
系统视图
【参数】
reauth-period:重认证超时定时器。在经过该定时器间隔后,设备会发起802.1x重认证。
reauth-period-value:重认证周期时间,取值范围为60~7200,单位为秒。
【描述】
dot1x timer reauth-period命令用来配置802.1x的重认证周期时间。undo dot1x timer reauth-period命令用来将802.1x的重认证周期时间恢复为缺省值。
缺省情况下,802.1x的重认证周期时间为3600秒。
【举例】
#设置802.1x的重认证周期时间为150秒。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x timer reauth-period 150
【命令】
dot1x version-check [ interface interface-list ]
undo dot1x version-check [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x version-check用来开启指定端口上的802.1x客户端版本检测特性。undo dot1x version-check用来关闭指定端口上对802.1x客户端的版本检测特性。
缺省情况下,所有端口的802.1x客户端版本检测特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启所有端口的802.1x客户端版本检测特性;如果指定了interface-list参数,则表示开启指定端口的802.1x客户端版本检测特性。以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x版本检测特性。
【举例】
# 配置端口GigabitEthernet1/0/1在接收到认证报文时检测802.1x客户端的版本。
<device> system-view
System View: return to User View with Ctrl+Z.
[device]interface GigabitEthernet 1/0/1
[device-GigabitEthernet1/0/1] dot1x version-check
【命令】
reset dot1x statistics [ interface interface-list ]
【视图】
用户视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
reset dot1x statistics命令用来清除802.1x的统计信息。
当用户想删除802.1x原有统计信息,重新进行相关信息统计时,可以使用该命令。
在清除原有的统计信息时:
l 如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1x统计信息;
l 如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息。
相关配置可参考命令display dot1x。
【举例】
# 清除以太网端口GigabitEthernet 1/0/1上的802.1x统计信息。
<device> reset dot1x statistics interface GigabitEthernet 1/0/1
【命令】
dot1x free-ip ip-address { mask-address | mask-length }
undo dot1x free-ip [ ip-address { mask-address | mask-length } ]
【视图】
系统视图
【参数】
ip-address:免费IP地址,为点分十进制格式。
mask-address:免费IP地址的子网掩码,为点分十进制格式。
mask-length:免费IP地址的掩码长度,取值范围为0~32。
【描述】
dot1x free-ip命令用来配置免费IP网段,免费IP网段即受限IP网段,是指802.1x认证成功之前(包括认证失败),终端用户可以访问的IP地址段。undo dot1x free-ip命令用来删除所有配置的免费网段IP地址。
缺省情况下,没有配置免费的网段地址。
l 在配置免费IP网段时必须先配置重定向的URL。
l 一台设备最多可以配置两个免费IP网段。
【举例】
# 配置用户在认证成功前可以访问的免费网段IP地址。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x free-ip 192.168.19.23 24
【命令】
dot1x timer acl-timeout acl-timeout-value
undo dot1x timer acl-timeout
【视图】
系统视图
【参数】
acl-timeout-value:ACL定时器超时时间,单位为分钟,取值范围为1~1440。
【描述】
dot1x timer acl-timeout命令用来配置ACL超时时间。undo dot1x timer acl-timeout命令用来恢复ACL超时时间为缺省值。
缺省情况下,ACL超时时间为30分钟。
相关配置可参考dot1x的配置命令。
【举例】
# 配置ACL的超时时间40分钟。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x timer acl-timeout 40
【命令】
dot1x url url-string
undo dot1x url [ url-string ]
【视图】
系统视图
【参数】
url-string:HTTP重定向的URL,URL格式为:“http://x.x.x.x”。
【描述】
dot1x url命令用来配置HTTP重定向服务器的URL。undo dot1x url命令用来删除HTTP重定向服务器的URL。
缺省情况下,没有配置HTTP重定向的URL。
相关配置可参考dot1x的配置命令。
【举例】
# 配置HTTP重定向的URL。
<device> system-view
System View: return to User View with Ctrl+Z.
[device] dot1x url http://192.168.19.23
【命令】
display system-guard attack-record
【视图】
任意视图
【参数】
无
【描述】
display system-guard attack-record命令用来显示防攻击记录信息。
【举例】
# 显示防攻击记录信息。
<device> display system-guard attack-record
Not found attack
【命令】
display system-guard state
【视图】
任意视图
【参数】
无
【描述】
display system-guard state命令用来显示防攻击状态信息。
相关配置可参考命令system-guard enable,system-guard detect-threshold,system-guard timer-interval。
【举例】
# 显示防攻击状态信息。
<device> display system-guard state
System-guard Status: Enabled
Detect Threshold: 201
Isolated Time: 20
Attack Number: 0
表3-1 display system-guard state命令显示信息描述表
字段 |
描述 |
System-guard Status |
防攻击特性使能状态 |
Detect Threshold |
系统防攻击检测报文数量的门限 |
Isolated Time |
检测到攻击时的隔离时间 |
Attack Number |
攻击次数统计 |
【命令】
system-guard detect-threshold threshold-value
undo system-guard detect-threshold
【视图】
系统视图
【参数】
threshold-value:攻击检测报文数量的门限值,取值范围为20~10000。
【描述】
system-guard detect-threshold命令用来设置系统防攻击检测报文数量的门限,即也就是对同一种报文,当收到多少个报文时,进行一次防攻击统计。undo system-guard detect-threshold命令用来恢复系统防攻击检测报文数量的门限为缺省值。
缺省门限值是200个报文。
相关配置可参考命令display system-guard state。
【举例】
# 设置系统防攻击检测报文数量的门限值为300。
<device> system-view
System View: return to User View with Ctrl+Z.
[device]system-guard detect-threshold 300
【命令】
system-guard enable
undo system-guard enable
【视图】
系统视图
【参数】
无
【描述】
system-guard enable命令用来使能系统防攻击功能。undo system-guard enable命令用来关闭系统防攻击功能。
缺省情况下,关闭系统防攻击功能。
相关配置可参考命令display system-guard state。
【举例】
# 使能系统防攻击功能。
<device> system-view
System View: return to User View with Ctrl+Z.
[device]system-guard enable
System-guard is enabled
【命令】
system-guard timer-interval isolate-timer
undo system-guard timer-interval
【视图】
系统视图
【参数】
isolate-timer: 隔离时间,单位为分钟,取值范围1~10000。
【描述】
system-guard timer-interval命令用来设置当检测到攻击时的隔离时间。undo system-guard timer-interval命令用来恢复缺省的隔离时间。
缺省情况下,隔离时间为10分钟。
相关配置可参考命令display system-guard state。
【举例】
# 设置当检测到攻击时的隔离时间为20分钟。
<device> system-view
System View: return to User View with Ctrl+Z.
[device]system-guard timer-interval 20
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!