• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-安全分册

01-802.1x命令

本章节下载 01-802.1x命令  (184.5 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/MESH/WH2530X-DAG/Command/Command_Manual/WH2530X-DAG_MESH_CM-5W100/05/200911/654768_30005_0.htm

01-802.1x命令


l    手册中标有请以设备实际情况为准的地方,请参见“用户手册”中的“特性差异化列表”部分的描述。

l    设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。

 

1 802.1X配置命令

1.1  802.1X配置命令

1.1.1  display dot1x

【命令】

display dot1x [ sessions | statistics ] [ interface interface-list ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

sessions:显示802.1X的会话连接信息。

statistics:显示802.1X的相关统计信息。

interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

display dot1x命令用来显示802.1X的相关信息,包括会话连接信息、相关统计信息或配置信息等。

需要注意的是,如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。

相关配置可参考命令reset dot1x statisticsdot1xdot1x retrydot1x max-userdot1x port-controldot1x port-methoddot1x timer

【举例】

# 显示802.1X的所有信息。

<Sysname> display dot1x

Equipment 802.1X protocol is enabled

CHAP authentication is enabled

Proxy trap checker is disabled

Proxy logoff checker is disabled

 

Configuration: Transmit Period     30 s,  Handshake Period       15 s

               Quiet Period        60 s,  Quiet Period Timer is disabled

               Supp Timeout        30 s,  Server Timeout         100 s

               Reauth Period       3600 s

               The maximal retransmitting times          3

                                                                          

The maximum 802.1X user resource number is 128 per slot

Total current used 802.1X resource number is 0

 

Ethernet1/0/1  is link-up                                                      

   802.1X protocol is enabled                                                  

   Proxy trap checker is   disabled                                            

   Proxy logoff checker is disabled                                             

   Handshake is enabled                                                        

   Periodic reauthentication is disabled

   The port is an authenticator                                                

   Authentication Mode is Auto                                                  

   Port Control Type is Mac-based                                              

   802.1X Multicast-trigger is enabled                                         

   Mandatory authentication domain: NOT configured                              

   Port Control Type is Mac-based

   Guest VLAN: 4                                                               

   Auth-fail VLAN: NOT configured

   Max number of on-line users is 128                                         

                                                                               

   EAPOL Packet: Tx 0, Rx 986                                                    

   Sent EAP Request/Identity Packets : 943                                       

        EAP Request/Challenge Packets: 60                                       

        EAP Request/Challenge Packets: 55                                

   Received EAPOL Start Packets : 60                                            

            EAPOL LogOff Packets: 24                                            

            EAP Response/Identity Packets : 724                                  

            EAP Response/Challenge Packets: 54                                  

            Error Packets: 0                                                    

1. Authenticated user : MAC address: 0015-e9a6-7cfe

                                                                               

   Controlled User(s) amount to 1                                              

表1-1 display dot1x命令显示信息描述表

字段

描述

Equipment 802.1X protocol is enabled

全局的802.1X特性已经开启

CHAP authentication is enabled

使能CHAP认证

Proxy trap checker is disabled

是否检测通过代理登录用户的接入

l      disable表示不检测;

l      enable表示检测到用户使用代理后,发送Trap报文

Proxy logoff checker is disabled

是否检测通过代理登录用户的接入

l      disable表示不检测;

l      enable表示检测到用户使用代理后,切断用户连接

Transmit Period

发送间隔定时器的时长

Handshake Period

设备向客户端发送握手报文的时间间隔

Reauth Period

周期性重认证的时间间隔

Quiet Period

静默定时器的时长

Quiet Period Timer is disabled

静默定时器处于关闭状态

Supp Timeout

客户端认证超时定时器的时长

Server Timeout

认证服务器超时定时器的时长

The maximal retransmitting times

设备向接入用户发送认证请求报文的最大次数

The maximum 802.1X user resource number per slot

每板最大支持的接入用户数

Total current used 802.1X resource number

当前在线接入用户数

Ethernet1/0/1 is link-up

端口Ethernet1/0/1的状态为up

802.1X protocol is disabled

该端口未使能802.1X协议

Proxy trap checker is disabled

该端口是否检测通过代理登录用户的接入

l      disable表示不检测;

l      enable表示检测用户使用代理后,发送Trap报文

Proxy logoff checker is disabled

该端口是否检测通过代理登录用户的接入

l      disable表示不检测;

l      enable表示检测用户使用代理后,切断用户连接

Handshake is disabled

握手功能是禁止的

Periodic reauthentication is disabled

周期性重认证功能是禁止的

The port is an authenticator

该端口担当设备端作用

Authenticate Mode is Auto

端口接入控制的模式为auto

802.1X Multicast-trigger is enabled

802.1X的组播触发功能已开启

Mandatory authentication domain

端口接入用户的强制认证域

Port Control Type is Mac-based

端口接入控制方式为mac-based,即基于MAC地址对接入用户进行认证

Guest VLAN

端口配置的Guest VLAN,,没有配置Guest VLAN显示0未配置则显示NOT configured

Auth-fail VLAN

端口配置的Auth Fail VLAN,未配置则显示NOT configured

Max number of on-line users

本端口最多可容纳的接入用户数

EAPOL Packet

EAPOL报文数目:Tx表示发送的报文数目;Rx表示接受的报文数目

Sent EAP Request/Identity Packets

发送的EAP Request/Identity报文数

EAP Request/Challenge Packets

发送的EAP Request/Challenge报文数

EAP Success Packets

发送的EAP Success报文数

Received EAPOL Start Packets

接收的EAPOL Start报文数

EAPOL LogOff Packets

接收的EAPOL LogOff报文数

EAP Response/Identity Packets

接收的EAP Response/Identity报文数

EAP Response/Challenge Packets

接收的EAP Response/Challenge报文数

Error Packets

接收的错误报文数

Authenticated user

认证通过的用户

Controlled User(s) amount

该端口受控用户数目

 

1.1.2  dot1x

【命令】

在系统视图下:

dot1x [ interface interface-list ]

undo dot1x [ interface interface-list ]

在以太网接口视图下:

dot1x

undo dot1x

【视图】

系统视图/以太网接口视图

【缺省级别】

2:系统级

【参数】

interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

dot1x命令用来开启指定端口上或全局的802.1X特性。undo dot1x命令用来关闭指定端口上或全局的802.1X特性。

缺省情况下,所有端口及全局的802.1X特性都处于关闭状态。

需要注意的是:

l              在系统视图下,如果不指定参数interface interface-list,则表示开启全局的802.1X特性;如果指定参数interface interface-list,则表示开启指定端口的802.1X特性。

l              在接口视图下,不能指定参数interface interface-list,只能打开当前端口的802.1X特性。

l              802.1X特性启动前后,均可以使用配置命令来配置全局或端口的802.1X特性参数。如果在开启全局802.1X特性前没有配置全局或端口的其它802.1X特性参数,则这些参数在运行时均为缺省值。

l              只有同时开启全局和端口的802.1X特性后,802.1X的配置才能在端口上生效。

相关配置可参考命令display dot1x

【举例】

# 开启以太网端口Ethernet1/0/1到Ethernet1/0/2上的802.1X特性。

<Sysname> system-view

[Sysname] dot1x interface ethernet 1/0/1 to ethernet 1/0/2

或者

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x

[Sysname-Ethernet1/0/1] quit

[Sysname] interface ethernet 1/0/2

[Sysname-Ethernet1/0/2] dot1x

[Sysname-Ethernet1/0/2] quit

# 开启全局的802.1X特性。

<Sysname> system-view

[Sysname] dot1x

1.1.3  dot1x auth-fail vlan

【命令】

dot1x auth-fail vlan authfail-vlan-id

undo dot1x auth-fail vlan

【视图】

以太网接口视图

【缺省级别】

2:系统级

【参数】

authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

【描述】

dot1x auth-fail vlan命令用来配置指定端口的Auth-Fail VLAN,即认证失败的用户被授权访问的VLAN。undo dot1x auth-fail vlan命令用来恢复缺省情况。

缺省情况下,端口没有配置Auth-Fail VLAN。

根据端口的接入控制方式可以将Auth-Fail VLAN划分为两类:MAC-based Auth-Fail VLAN(简称MAFV)和Port-based Auth-Fail VLAN(简称PAFV)。

需要注意的是:

l              这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。

l              只有MAC VLAN功能开启的情况下,MAFV才生效。

l              若MAFV生效后,将端口的接入控制方式由macbased修改为portbased,则已建立的MAFV表项会被删除。MAFV表项中记录了加入Auth-Fail VLAN的MAC地址与端口上使能的MAC VLAN,可以通过display mac-vlan查看。

l              若PAFV生效后,将端口的接入控制方式由portbased修改为macbased,则端口会离开Auth-Fail VLAN。

l              禁止直接删除已被配置为Auth-Fail VLAN的VLAN,若要删除该VLAN,请先通过命令undo dot1x auth-fail vlan取消802.1X的Auth-Fail VLAN配置。

l              Auth-Fail VLAN和Guest VLAN可以配置在同一个端口下,但同一时间只能有一个生效。

相关配置可参考命令dot1xdot1x port-method

【举例】

# 在接口Ethernet1/0/1上配置Auth-Fail VLAN为3。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x auth-fail vlan 3

 

1.1.4  dot1x authentication-method

【命令】

dot1x authentication-method { chap | eap | pap }

undo dot1x authentication-method

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

chap:采用CHAP认证方式。

eap:采用EAP认证方式。

pap:采用PAP认证方式。

【描述】

dot1x authentication-method命令用来设置802.1X用户的认证方式。undo dot1x authentication-method命令用来恢复802.1X用户的缺省认证方式。

缺省情况下,802.1X用户认证方法为CHAP认证。

l              PAP(Password Authentication Protocol,密码验证协议),它采用明文方式传送口令。

l              CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议),它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。

l              EAP认证功能,意味着设备直接把802.1X用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。这种情况下,user-name-format命令的设置无效,user-name-format的介绍请参见“安全分册”中的“AAA命令”。

需要注意的是:

l              本地认证只支持PAP和CHAP。

l              采用RADIUS认证方法时,PAP、CHAP、EAP认证功能的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证。

相关配置可参考命令display dot1x

【举例】

# 设置设备对802.1X用户采用PAP认证。

<Sysname> system-view

[Sysname] dot1x authentication-method pap

1.1.5  dot1x guest-vlan

【命令】

在系统视图下:

dot1x guest-vlan guest-vlan-id [ interface interface-list ]

undo dot1x guest-vlan [ interface interface-list ]

在接口视图下:

dot1x guest-vlan guest-vlan-id

undo dot1x guest-vlan

【视图】

系统视图/以太网接口视图

【缺省级别】

2:系统级

【参数】

guest-vlan-id:端口上指定的Guest VLAN ID,取值范围为1~4094。该VLAN必须已经创建。

interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

dot1x guest-vlan命令用来配置指定端口的Guest VLAN。undo dot1x guest-vlan命令用来取消指定端口的Guest VLAN。

缺省情况下,端口没有配置Guest VLAN。

根据端口的接入控制方式可以将Guest VLAN划分为两类:MAC-based Guest VLAN(简称MGV)和Port-based Guest VLAN(简称PGV)。

需要注意的是:

l              在系统视图下,如果不指定参数interface-list,则表示配置所有二层以太网端口的Guest VLAN;如果指定参数interface-list,则表示配置指定端口的Guest VLAN。

l              在接口视图下,不能指定参数interface-list,只能配置当前端口的Guest VLAN。

l              只有开启802.1X特性的情况下,Guest VLAN才能生效。

l              只有MAC VLAN功能开启的情况下,MGV才生效。

l              只有802.1x组播触发功能开启的情况下,PGV才生效。

l              若MGV生效后,将端口的接入控制方式由macbased修改为portbased,则已建立的MGV表项会被删除。MGV表项中记录了加入Guest VLAN的MAC地址与端口上使能的MAC VLAN,可以通过display mac-vlan查看。

l              对于有线端口,PGV可配置且生效,MGV可配置但不生效。若PGV生效后,将端口的接入控制方式由portbased修改为macbased,则端口会离开Guest VLAN。

l              禁止删除已被配置为Guest VLAN的VLAN,若要删除该VLAN,请先通过命令undo dot1x guest-vlan取消802.1xX的Guest VLAN配置。

l              Guest VLAN和Auth-Fail VLAN可以配置在同一个端口下,但同一时间只能有一个生效。

相关配置可参考命令dot1xdot1x port-methoddot1x multicast-trigger和“接入分册/VLAN命令”中的mac-vlan enabledisplay mac-vlan

【举例】

# 配置端口Ethernet1/0/1的Guest VLAN为已经创建的VLAN 999。

<Sysname> system-view

[Sysname] dot1x guest-vlan 999 interface ethernet 1/0/1

# 配置端口Ethernet1/0/1~Ethernet1/0/2的Guest VLAN为已经创建的VLAN 10。

<Sysname> system-view

[Sysname] dot1x guest-vlan 10 interface ethernet 1/0/1 to ethernet 1/0/2

# 配置所有端口的Guest VLAN为已经创建的VLAN 7。

<Sysname> system-view

[Sysname] dot1x guest-vlan 7

# 配置端口Ethernet1/0/1的Guest VLAN为已经创建的VLAN 3。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x guest-vlan 3

1.1.6  dot1x handshake

【命令】

dot1x handshake

undo dot1x handshake

【视图】

以太网接口视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x handshake命令用于开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。undo dot1x handshake命令用于关闭在线用户握手功能。

缺省情况下,在线用户握手功能处于开启状态。

需要注意的是:802.1X的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。关闭在线用户握手功能之前,必须先关闭配置代理检测功能。

【举例】

# 开启在线用户握手功能。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x handshake

1.1.7  dot1x mandatory-domain

【命令】

dot1x mandatory-domain domain-name

undo dot1x mandatory-domain

【视图】

以太网接口视图

【缺省级别】

2:系统级

【参数】

domain-name:ISP认证域名,为1~24个字符的字符串,不区分大小写。

【描述】

dot1x mandatory-domain命令用来配置接口上802.1X用户的强制认证域。undo dot1x mandatory-domain命令用来删除该接口上802.1X用户的认证域。

缺省情况下,未定义强制认证域。

需要注意的是:

l              从指定接口上接入的802.1X用户将按照如下先后顺序选择认证域:接口上配置的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域。

l              接口上配置的强制认证域必须已经存在。

l              接口上配置了强制认证域之后,使用display connection命令显示该接口下的用户连接信息时,所显示的用户域名为强制认证域名。关于命令display connection的介绍请参见“安全分册”中的“AAA命令”。

相关配置可参考命令display dot1x

【举例】

# 在接口Ethernet1/0/1上配置802.1X用户使用强制认证域my-domain。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x mandatory-domain my-domain

# 802.1X用户usera通过认证后,通过命令display connection可查看接口Ethernet1/0/1上的用户连接信息,该命令的具体介绍请参见“安全分册”中的“AAA命令”。

[Sysname-Ethernet1/0/1] display connection interface ethernet 1/0/1

 

Index=68  ,Username=usera@my-domian

MAC=0015-e9a6-7cfe   ,IP=3.3.3.3

 Total 1 connection(s) matched.

1.1.8  dot1x max-user

【命令】

在系统视图下:

dot1x max-user user-number [ interface interface-list ]

undo dot1x max-user [ interface interface-list ]

在以太网接口视图下:

dot1x max-user user-number

undo dot1x max-user

【视图】

系统视图/以太网接口视图

【缺省级别】

2:系统级

【参数】

user-number:端口同时可容纳接入用户数量的最大值,取值范围为1~256,缺省值为256。

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

dot1x max-user命令用来设置802.1X在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。

需要注意的是:

l              在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。

l              在以太网接口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。

相关配置可参考命令display dot1x

【举例】

# 设置端口Ethernet1/0/1最多可容纳32个接入用户。

<Sysname> system-view

[Sysname] dot1x max-user 32 interface ethernet 1/0/1

或者

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x max-user 32

1.1.9  dot1x multicast-trigger

【命令】

dot1x multicast-trigger

undo dot1x multicast-trigger

【视图】

以太网接口视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x multicast-trigger命令用来使能802.1X的组播触发功能,即周期性地向客户端发送组播触发报文。undo dot1x multicast-trigger命令用来关闭802.1X的组播触发功能。

缺省情况下,802.1X的组播触发功能处于开启状态。

相关配置可参考命令display dot1x

【举例】

# 在接口Ethernet1/0/1上开启802.1X的组播触发功能。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet 1/0/1] undo dot1x multicast-trigger

1.1.10  dot1x port-control

【命令】

在系统视图下:

dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ]

undo dot1x port-control [ interface interface-list ]

在以太网接口视图下:

dot1x port-control { authorized-force | auto | unauthorized-force }

undo dot1x port-control

【视图】

系统视图/以太网接口视图

【缺省级别】

2:系统级

【参数】

authorized-force:强制授权模式。指示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。

auto:自动识别模式。指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。

unauthorized-force:强制非授权模式。指示端口始终处于非授权状态,不允许用户访问网络资源。

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

dot1x port-control命令用来设置802.1X在指定端口上接入控制的模式。undo dot1x port-control命令用来恢复缺省的接入控制模式。

缺省情况下,接入控制模式为auto

需要注意的是:

l              在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。

l              在以太网接口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。

相关配置可参考命令display dot1x

【举例】

# 指定端口Ethernet1/0/1处于强制非授权状态。

<Sysname> system-view

[Sysname] dot1x port-control unauthorized-force interface ethernet 1/0/1

或者

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x port-control unauthorized-force

1.1.11  dot1x port-method

【命令】

在系统视图下:

dot1x port-method { macbased | portbased } [ interface interface-list ]

undo dot1x port-method [ interface interface-list ]

在以太网接口视图下:

dot1x port-method { macbased | portbased }

undo dot1x port-method

【视图】

系统视图/以太网接口视图

【缺省级别】

2:系统级

【参数】

macbased:表示基于MAC地址对接入用户进行认证,即该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。

portbased:表示基于端口对接入用户进行认证,即只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

dot1x port-method命令用来设置802.1X在指定端口上进行接入控制的方式。undo dot1x port-method命令用来恢复缺省的接入控制方式。

缺省情况下,接入控制方式为macbased

需要注意的是:

l              在系统视图下执行该命令可以作用于interface-list参数所指定的端口,如果不指定任何端口则将作用于所有端口。

l              在以太网接口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。

相关配置可参考命令display dot1x

【举例】

# 在端口Ethernet1/0/1上配置对接入用户进行基于端口的802.1X认证。

<Sysname> system-view

[Sysname] dot1x port-method portbased interface ethernet 1/0/1

或者

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x port-method portbased

1.1.12  dot1x quiet-period

【命令】

dot1x quiet-period

undo dot1x quiet-period

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x quiet-period命令用来开启静默定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。

缺省情况下,静默定时器功能处于关闭状态。

当802.1X用户认证失败以后,设备需要静默一段时间(该时间由静默定时器设置)。在静默期间,设备对该用户不进行802.1X认证的相关处理。

相关配置可参考命令display dot1xdot1x timer

【举例】

# 开启静默定时器。

<Sysname> system-view

[Sysname] dot1x quiet-period

1.1.13  dot1x re-authenticate

【命令】

dot1x re-authenticate

undo dot1x re-authenticate

【视图】

以太网接口视图

【缺省级别】

2:系统级

【参数】

【描述】

dot1x re-authenticate命令用来开启周期性重认证功能。undo dot1x re-authenticate命令用来恢复缺省情况。

缺省情况下,周期性重认证功能处于关闭状态。

端口启动了802.1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1x timer reauth-period)设定的时间间隔定期启动对该端口在线802.1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN、QoS Profile)。

相关配置可参考命令dot1x timer reauth-period

【举例】

# 在接口Ethernet1/0/1上开启802.1X重认证功能,并配置周期性重认证时间间隔为1800秒。

<Sysname> system-view

[Sysname] dot1x timer reauth-period 1800

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x re-authenticate

1.1.14  dot1x retry

【命令】

dot1x retry max-retry-value

undo dot1x retry

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

max-retry-value:向接入用户发送认证请求报文的最大次数,取值范围为1~10。

【描述】

dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省情况。

缺省情况下,向接入用户发送认证请求报文的最大次数为2。

需要注意的是:

l              如果设备向用户发送认证请求报文后,在规定的时间里(可通过dot1x timer tx-period tx-period-value或者dot1x timer supp-timeout supp-timeout-value设定)没有收到用户的响应,则设备将根据max-retry-value值决定是否再次向用户发送该认证请求报文。

l              此命令参数max-retry-value取值为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;取值为2时表示在首次向用户发送请求又没有收到响应后将重复发送1次;……依次类推。

l              本命令设置后将作用于所有端口。

相关配置可参考命令display dot1x

【举例】

# 配置设备最多向接入用户发送9次认证请求报文。

<Sysname> system-view

[Sysname] dot1x retry 9

1.1.15  dot1x supp-proxy-check

【命令】

在系统视图下:

dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]

undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]

在以太网接口视图下:

dot1x supp-proxy-check { logoff | trap }

undo dot1x supp-proxy-check { logoff | trap }

【视图】

系统视图/以太网接口视图

【缺省级别】

2:系统级

【参数】

logoff:检测到用户使用代理后,切断用户连接。

trap:检测到用户使用代理后,向网管系统发送Trap报文。

interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

dot1x supp-proxy-check命令用来设置设备对通过代理登录的用户的检测及接入控制。undo dot1x supp-proxy-check命令用来取消设备对通过代理登录的用户的检测及相关控制的设置。

缺省情况下,设备不对通过代理登录的用户进行检测及接入控制。

需要注意的是:

l              该功能的实现需要H3C 802.1X客户端程序的配合。

l              在系统视图下执行该命令时,如果不指定参数interface interface-list,则表示开启全局的用户的检测及接入控制;如果指定参数interface interface-list,则表示开启指定端口的用户的检测及接入控制。

l              在以太网接口视图下执行该命令时,不能指定参数interface interface-list,只能打开当前端口的用户的检测及接入控制。

l              必须同时开启全局和指定端口的代理用户检测与控制,此特性的配置才能在该端口上生效。

相关配置可参考命令display dot1x

【举例】

# 设置端口Ethernet1/0/1~Ethernet1/0/2检测到用户使用代理后,切断该用户的连接。

<Sysname> system-view

[Sysname] dot1x supp-proxy-check logoff

[Sysname] dot1x supp-proxy-check logoff interface ethernet 1/0/1 to ethernet 1/0/2

# 设置端口Ethernet1/0/1检测到登录的用户使用代理后,设备发送Trap报文。

<Sysname> system-view

[Sysname] dot1x supp-proxy-check trap

[Sysname] dot1x supp-proxy-check trap interface ethernet 1/0/1

或者

<Sysname> system-view

[Sysname] dot1x supp-proxy-check trap

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x supp-proxy-check trap

1.1.16  dot1x timer

【命令】

dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }

undo dot1x timer { handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。

quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。

reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。

server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。

supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。

tx-period-value:用户名请求超时定时器的值,取值范围为10~120,单位为秒。

【描述】

dot1x timer命令用来配置802.1X的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省情况。

缺省情况下,握手定时器的值为15秒,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。

802.1X认证过程受以下定时器的控制:

l              握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。

l              静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不处理该用户的认证功能。

l              周期性重认证定时器(reauth-period):端口下开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

l              认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。

l              客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。

l              用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。

需要注意的是,一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。修改后的定时器值,可立即生效。

相关配置可参考命令display dot1x

【举例】

# 设置认证服务器的超时定时器时长为150秒。

<Sysname> system-view

[Sysname] dot1x timer server-timeout 150

1.1.17  reset dot1x statistics

【命令】

reset dot1x statistics [ interface interface-list ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。

【描述】

reset dot1x statistics命令用来清除802.1X的统计信息。

需要注意的是:

l              如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1X统计信息;

l              如果指定端口类型和端口号,则清除指定端口上的802.1X统计信息。

相关配置可参考命令display dot1x

【举例】

# 清除以太网端口Ethernet1/0/1上的802.1X统计信息。

<Sysname> reset dot1x statistics interface ethernet 1/0/1

 


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们