- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
15-802.1x-MAC地址认证命令
本章节下载: 15-802.1x-MAC地址认证命令 (198.97 KB)
目 录
1.1.3 dot1x authentication-method
3.1.1 display mac-authentication
3.1.3 mac-authentication domain
3.1.4 mac-authentication timer
3.1.5 mac-authentication user-name-format
3.1.6 reset mac-authentication statistics
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
任意视图
【参数】
sessions:显示802.1x的会话连接信息。
statistics:显示802.1x的相关统计信息。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
display dot1x命令用来显示802.1x的相关信息,包括会话连接信息、相关统计信息或配置信息等。
需要注意的是,如果不指定参数sessions或者statistics,则显示配置信息。
相关配置可参考命令reset dot1x statistics、dot1x、dot1x retry、dot1x max-user、dot1x port-control、dot1x port-method和dot1x timer。
【举例】
# 显示802.1x的配置信息。
<Sysname> display dot1x
Equipment 802.1X protocol is enabled
CHAP authentication is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
EAD quick deploy is enabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
The maximal retransmitting times 3
EAD quick deploy configuration:
URL: http://192.168.0.38
Free IP: 192.168.0.0 255.255.255.0
EAD timeout: 30 m
Total maximum 802.1x user resource number is 2048 per slot
Total current used 802.1x resource number is 0
Ethernet2/0/1 is link-up
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is disabled
The port is an authenticator
Authenticate Mode is Auto
Port Control Type is Mac-based
Guest VLAN: 0
Max on-line user number is 256
EAPOL Packet: Tx 0, Rx 0
Sent EAP Request/Identity Packets : 0
EAP Request/Challenge Packets: 0
EAP Success Packets: 0, Fail Packets: 0
Received EAPOL Start Packets : 0
EAPOL LogOff Packets: 0
EAP Response/Identity Packets : 0
EAP Response/Challenge Packets: 0
Error Packets: 0
Controlled User(s) amount to 0
表1-1 display dot1x命令显示信息描述表
|
字段 |
描述 |
|
Equipment 802.1X protocol is enabled |
全局的802.1x特性已经开启 |
|
CHAP authentication is enabled |
使能CHAP认证 |
|
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入 l disable表示不检测; l enable表示检测到用户使用代理后,发送Trap报文 |
|
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入 l disable表示不检测; l enable表示检测到用户使用代理后,切断用户连接 |
|
EAD quick deploy is enabled |
使能EAD快速部署功能 |
|
Transmit Period |
发送间隔定时器的时长 |
|
Handshake Period |
设备向客户端发送握手报文的时间间隔 |
|
Quiet Period |
静默定时器的时长 |
|
Quiet Period Timer is disabled |
静默定时器处于关闭状态 |
|
Supp Timeout |
客户端认证超时定时器的时长 |
|
Server Timeout |
认证服务器超时定时器的时长 |
|
The maximal retransmitting times |
设备向接入用户发送认证请求报文的最大次数 |
|
EAD quick deploy configuration |
EAD快速部署功能的具体配置 |
|
URL |
用户IE访问重定向的URL |
|
Free IP |
用户可访问的受限网段 |
|
EAD timeout |
ACL老化定时器超时时间 |
|
Total maximum 802.1x user resource number per slot |
每板最大支持的接入用户数 |
|
Total current used 802.1x resource number |
当前在线接入用户数 |
|
Ethernet2/0/1 is link-up |
端口Ethernet2/0/1的状态为up |
|
802.1X protocol is disabled |
该端口未使能802.1x协议 |
|
Proxy trap checker is disabled |
该端口是否检测通过代理登录用户的接入 l disable表示不检测; l enable表示检测用户使用代理后,发送Trap报文 |
|
Proxy logoff checker is disabled |
该端口是否检测通过代理登录用户的接入 l disable表示不检测; l enable表示检测用户使用代理后,切断用户连接 |
|
Handshake is disabled |
握手功能是禁止的 |
|
The port is an authenticator |
该端口担当设备端作用 |
|
Authenticate Mode is Auto |
端口接入控制的模式为auto |
|
Port Control Type is Mac-based |
端口接入控制方式为mac-based,即基于MAC地址对接入用户进行认证 |
|
Guest VLAN |
端口配置的Guest VLAN,没有配置Guest VLAN显示0 |
|
Max on-line user number |
本端口最多可容纳的接入用户数 |
|
EAPOL Packet |
EAPOL报文数目:Tx表示发送的报文数目;Rx表示接受的报文数目 |
|
Sent EAP Request/Identity Packets |
发送的EAP Request/Identity报文数 |
|
EAP Request/Challenge Packets |
发送的EAP Request/Challenge报文数 |
|
EAP Success Packets |
发送的EAP Success报文数 |
|
Received EAPOL Start Packets |
接收的EAPOL Start报文数 |
|
EAPOL LogOff Packets |
接收的EAPOL LogOff报文数 |
|
EAP Response/Identity Packets |
接收的EAP Response/Identity报文数 |
|
EAP Response/Challenge Packets |
接收的EAP Response/Challenge报文数 |
|
Error Packets |
接收的错误报文数 |
|
Controlled User(s) amount |
该端口受控用户数目 |
【命令】
在系统视图下:
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
在以太网端口视图下:
dot1x
undo dot1x
【视图】
系统视图/端口视图
【参数】
interface interface-list:端口列表,表示多个端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x命令用来开启指定端口上或全局的802.1x特性。undo dot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
需要注意的是:
l 在系统视图下,如果不指定参数interface interface-list,则表示开启全局的802.1x特性;如果指定参数interface interface-list,则表示开启指定端口的802.1x特性。
l 在端口视图下,不能指定参数interface interface-list,只能打开当前端口的802.1x特性。
l 802.1x特性启动前后,均可以使用配置命令来配置全局或端口的802.1x特性参数。如果在开启全局802.1x特性前没有配置全局或端口的其它802.1x特性参数,则这些参数在运行时均为缺省值。
l 只有同时开启全局和端口的802.1x特性后,802.1x的配置才能在端口上生效。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口Ethernet2/0/1和Ethernet 2/0/5到Ethernet 2/0/7上的802.1x特性。
<Sysname> system-view
[Sysname] dot1x interface Ethernet 2/0/1 Ethernet 2/0/5 to Ethernet 2/0/7
或者
<Sysname> system-view
[Sysname] interface Ethernet 2/0/1
[Sysname-Ethernet2/0/1] dot1x
[Sysname-Ethernet2/0/1] quit
[Sysname] interface Ethernet 2/0/5
[Sysname-Ethernet2/0/5] dot1x
[Sysname-Ethernet2/0/5] quit
[Sysname] interface Ethernet 2/0/6
[Sysname-Ethernet2/0/6] dot1x
[Sysname-Ethernet2/0/6] quit
[Sysname] interface Ethernet 2/0/7
[Sysname-Ethernet2/0/7] dot1x
# 开启全局的802.1x特性。
<Sysname> system-view
[Sysname] dot1x
【命令】
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
【视图】
系统视图
【参数】
chap:采用CHAP认证方式。
eap:采用EAP认证方式。
pap:采用PAP认证方式。
【描述】
dot1x authentication-method命令用来设置802.1x用户的认证方式。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方式。
缺省情况下,802.1x用户认证方法为CHAP认证。
l PAP(Password Authentication Protocol,密码验证协议),它采用明文方式传送口令。
l CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议),它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
l EAP认证功能,意味着设备直接把802.1x用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。这种情况下,user-name-format命令的设置无效,user-name-format的介绍请参见“AAA-RADIUS-HWTACACS命令”。目前设备所支持的EAP方式有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP。
需要注意的是:
l 本地认证只支持PAP和CHAP。
l 采用RADIUS认证方法时,PAP、CHAP、EAP认证功能的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证。
相关配置可参考命令display dot1x。
【举例】
# 设置设备对802.1x用户采用PAP认证。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【命令】
在系统视图下:
dot1x guest-vlan vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
在以太网端口视图下:
dot1x guest-vlan vlan-id
undo dot1x guest-vlan
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:指定的Guest VLAN ID,取值范围为1~4094。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x guest-vlan命令用来配置指定端口的Guest VLAN。undo dot1x guest-vlan命令用来取消指定端口的Guest VLAN。
缺省情况下,端口没有配置Guest VLAN。
需要注意的是:
l 在系统视图下,如果不指定参数interface-list,则表示配置所有端口的Guest VLAN;如果指定参数interface-list,则表示配置指定端口的Guest VLAN。
l 在以太网端口视图下,不能指定参数interface-list,只能配置当前端口的Guest VLAN。
l 只有开启802.1x特性的情况下,Guest VLAN才能生效。
l 只有端口上进行接入控制的方式为portbased时,Guest VLAN才能生效。若端口的接入控制为macbased,Guest VLAN能够配置成功,但不生效。Guest VLAN生效后,如果再配置端口接入控制的方式为macbased,端口会离开Guest VLAN。
l 只有端口上进行接入控制的模式为auto时,Guest VLAN才能生效。
l 802.1x组播触发功能开启的情况下,Guest VLAN才能生效。
l 可以指定携带Tag方式的VLAN为Hybrid端口的Guest VLAN,但该Guest VLAN不会生效。同样当Hybrid端口的Guest VLAN生效后,则不能再配置该Guest VLAN为携带Tag方式的VLAN。
l 禁止删除已被配置为Guest VLAN的VLAN。
【举例】
# 配置端口Ethernet2/0/1的Guest VLAN为已经创建的VLAN999。
<Sysname> system-view
[Sysname] dot1x guest-vlan 999 interface Ethernet 2/0/1
# 配置端口Ethernet 2/0/2~Ethernet 2/0/5的Guest VLAN为已经创建的VLAN10。
<Sysname> system-view
[Sysname] dot1x guest-vlan 10 interface Ethernet 2/0/2 to Ethernet 2/0/5
# 配置所有端口的Guest VLAN为已经创建的VLAN7。
<Sysname> system-view
[Sysname] dot1x guest-vlan 7
# 配置端口Ethernet 2/0/7的Guest VLAN为已经创建的VLAN3。
<Sysname> system-view
[Sysname] interface Ethernet 2/0/7
[Sysname-Ethernet 2/0/7] dot1x guest-vlan 3
【命令】
dot1x handshake
undo dot1x handshake
【视图】
端口视图
【参数】
无
【描述】
dot1x handshake命令用于开启在线用户握手功能,通过设备端定期向客户端发送握手报文来探测用户是否在线。undo dot1x handshake命令用于关闭在线用户握手功能。
缺省情况下,开启在线用户握手功能。
需要注意的是:
802.1x的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。关闭在线用户握手功能之前,必须先关闭配置代理检测功能。
【举例】
# 开启在线用户握手功能。
<Sysname> system-view
[Sysname] interface Ethernet 2/0/4
[Sysname-Ethernet 2/0/4] dot1x handshake
【命令】
在系统视图下:
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
在以太网端口视图下:
dot1x max-user user-number
undo dot1x max-user
【视图】
系统视图/以太网端口视图
【参数】
user-number:端口同时可容纳接入用户数量的最大值,取值范围为1~1024。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。
缺省情况下,端口同时接入用户数量最大值为1024。
需要注意的是:
l 在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。
l 在以太网端口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet2/0/1最多可容纳32个接入用户。
<Sysname> system-view
[Sysname] dot1x max-user 32 interface Ethernet 2/0/1
或者
<Sysname> system-view
[Sysname] interface Ethernet 2/0/1
[Sysname-Ethernet2/0/1] dot1x max-user 32
【命令】
dot1x multicast-trigger
undo dot1x multicast-trigger
【视图】
端口视图
【参数】
无
【描述】
dot1x multicast-trigger命令用来使能802.1x的组播触发功能,即周期性地向客户端发送组播触发报文。undo dot1x multicast-trigger命令用来关闭802.1x的组播触发功能。
缺省情况下,802.1x的组播触发功能处于开启状态。
相关配置可参考命令display dot1x。
【举例】
# 在端口Ethernet2/0/1下关闭802.1x的组播触发功能。
<Sysname> system-view
[Sysname] interface Ethernet 2/0/1
[Sysname-Ethernet2/0/1] undo dot1x multicast-trigger
【命令】
在系统视图下:
dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
在以太网端口视图下:
dot1x port-control { authorized-force | auto | unauthorized-force }
undo dot1x port-control
【视图】
系统视图/以太网端口视图
【参数】
authorized-force:强制授权模式。指示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
auto:自动识别模式。指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
unauthorized-force:强制非授权模式。指示端口始终处于非授权状态,不允许用户访问网络资源。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x port-control命令用来设置802.1x在指定端口上进行接入控制的模式。undo dot1x port-control命令用来恢复缺省的接入控制模式。
缺省情况下,接入控制模式为auto。
需要注意的是:
l 在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。
l 在以太网端口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet2/0/1处于强制非授权状态。
<Sysname> system-view
[Sysname] dot1x port-control unauthorized-force interface Ethernet 2/0/1
或者
<Sysname> system-view
[Sysname] interface Ethernet 2/0/1
[Sysname-Ethernet2/0/1] dot1x port-control unauthorized-force
【命令】
在系统视图下:
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
在以太网端口视图下:
dot1x port-method { macbased | portbased }
undo dot1x port-method
【视图】
系统视图/以太网端口视图
【参数】
macbased:表示基于MAC地址对接入用户进行认证,即该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
portbased:表示基于端口对接入用户进行认证,即只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x port-method命令用来设置802.1x在指定端口上进行接入控制的方式。undo dot1x port-method命令用来恢复缺省的接入控制方式。
缺省情况下,接入控制方式为macbased。
需要注意的是:
l 在系统视图下执行该命令可以作用于interface-list参数所指定的端口,如果不指定任何端口则将作用于所有端口。
l 在以太网端口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 在端口Ethernet2/0/1上配置对接入用户进行基于端口的802.1x认证。
<Sysname> system-view
[Sysname] dot1x port-method portbased interface Ethernet 2/0/1
或者
<Sysname> system-view
[Sysname] interface Ethernet 2/0/1
[Sysname-Ethernet2/0/1] dot1x port-method portbased
【命令】
dot1x quiet-period
undo dot1x quiet-period
【视图】
系统视图
【参数】
无
【描述】
dot1x quiet-period命令用来开启静默定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。
缺省情况下,静默定时器功能处于关闭状态。
当802.1x用户认证失败以后,设备需要静默一段时间(该时间由静默定时器设置)。在静默期间,设备对该用户不进行802.1x认证的相关处理。
相关配置可参考命令display dot1x和dot1x timer。
【举例】
# 开启静默定时器。
<Sysname> system-view
[Sysname] dot1x quiet-period
【命令】
dot1x retry max-retry-value
undo dot1x retry
【视图】
系统视图
【参数】
max-retry-value:向接入用户发送认证请求报文的最大次数,取值范围为1~10。
【描述】
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省情况。
缺省情况下,向接入用户发送认证请求报文的最大次数为2。
需要注意的是:
l 如果设备向用户发送认证请求报文后,在规定的时间里(可通过dot1x timer tx-period tx-period-value或者dot1x timer supp-timeout supp-timeout-value设定)没有收到用户的响应,则设备将根据max-retry-value值决定是否再次向用户发送该认证请求报文。
l 此命令参数max-retry-value取值为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;取值为2时表示在首次向用户发送请求又没有收到响应后将重复发送1次;……依次类推。
l 本命令设置后将作用于所有端口。
相关配置可参考命令display dot1x。
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【命令】
在系统视图下:
dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
在以太网端口视图下:
dot1x supp-proxy-check { logoff | trap }
undo dot1x supp-proxy-check { logoff | trap }
【视图】
系统视图/以太网端口视图
【参数】
logoff:检测到用户使用代理后,切断用户连接。
trap:检测到用户使用代理后,向网管系统发送Trap报文。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
dot1x supp-proxy-check命令用来设置设备对通过代理登录的用户的检测及接入控制。undo dot1x supp-proxy-check命令用来取消设备对通过代理登录的用户的检测及相关控制的设置。
缺省情况下,没有设置设备对通过代理登录的用户的检测及接入控制。
需要注意的是:
l 该功能的实现需要H3C 802.1x客户端程序的配合,即需要通过代理登录的用户首先要运行H3C 802.1x客户端程序。
l 在系统视图下执行该命令时,如果不指定参数interface interface-list,则表示开启全局的用户的检测及接入控制;如果指定参数interface interface-list,则表示开启指定端口的用户的检测及接入控制。
l 在以太网端口视图下执行该命令时,不能指定参数interface interface-list,只能打开当前端口的用户的检测及接入控制。
l 必须同时开启全局和指定端口的代理用户检测与控制,此特性的配置才能在该端口上生效。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet2/0/1~Ethernet2/0/8检测到用户使用代理后,切断该用户的连接。
<Sysname> system-view
[Sysname] dot1x supp-proxy-check logoff
[Sysname] dot1x supp-proxy-check logoff interface Ethernet 2/0/1 to Ethernet 2/0/8
# 设置端口Ethernet 2/0/9检测到登录的用户使用代理后,设备发送Trap报文。
<Sysname> system-view
[Sysname] dot1x supp-proxy-check trap
[Sysname] dot1x supp-proxy-check trap interface Ethernet 2/0/9
或者
<Sysname> system-view
[Sysname] dot1x supp-proxy-check trap
[Sysname] interface Ethernet 2/0/9
[Sysname-Ethernet 2/0/9] dot1x supp-proxy-check trap
【命令】
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }
undo dot1x timer { handshake-period | quiet-period | server-timeout | supp-timeout | tx-period }
【视图】
系统视图
【参数】
handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。
quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。
server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。
supp-timeout-value:客户端认证超时定时器的值,取值范围为10~120,单位为秒。
tx-period-value:用户名请求超时定时器的值,取值范围为10~120,单位为秒。
【描述】
dot1x timer命令用来配置802.1x的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
缺省情况下,握手定时器的值为15秒,静默定时器的值为60秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。
802.1x认证过程受以下定时器的控制:
l 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。
l 静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不处理该用户的认证功能。
l 认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。
l 客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
l 用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。
需要注意的是,一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。
相关配置可参考命令display dot1x。
【举例】
# 设置认证服务器的超时定时器时长为150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【命令】
reset dot1x statistics [ interface interface-list ]
【视图】
用户视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
reset dot1x statistics命令用来清除802.1x的统计信息。
需要注意的是:
l 如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1x统计信息;
l 如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息。
相关配置可参考命令display dot1x。
【举例】
# 清除以太网端口Ethernet2/0/1上的802.1x统计信息。
<Sysname> reset dot1x statistics interface Ethernet 2/0/1
【命令】
dot1x free-ip ip-address { mask-address | mask-length }
undo dot1x free-ip { ip-address { mask | mask-length } | all }
【视图】
系统视图
【参数】
ip-address:受限网段IP地址。
mask:受限网段IP地址的掩码。
mask-length:受限网段IP地址的掩码长度。
【描述】
dot1x free-ip命令用来配置Free IP,即用户在802.1x认证成功之前可访问的受限网段。undo dot1x free-ip命令用来删除配置的Free IP。
缺省情况下,未定义Free IP。
需要注意的是:
l Free IP功能与全局使能MAC认证或端口安全功能互斥;
l Free IP功能只在端口接入控制的模式为auto的情况下生效;
l 受限网段可配置多条,但具体数目与产品型号有关,请以设备的实际情况为准。
相关配置可参考命令display dot1x。
【举例】
# 配置终端用户在802.1x认证之前可访问的受限网段为192.168.0.0。
<Sysname> system-view
[Sysname] dot1x free-ip 192.168.0.0 24
【命令】
dot1x timer ead-timeout ead-timeout-value
undo dot1x timer ead-timeout
【视图】
系统视图
【参数】
ead-timeout-value:EAD规则的老化超时时间,取值范围为1~1440,单位为分钟。
【描述】
dot1x timer ead-timeout命令用来配置EAD规则的老化超时时间。undo dot1x timer ead-timeout命令用来恢复缺省配置。
缺省情况下,EAD规则的老化超时时间为30分钟。
相关配置可参考命令display dot1x。
【举例】
# 配置EAD规则的老化超时时间为5分钟。
<Sysname> system-view
[Sysname] dot1x timer ead-timeout 5
【命令】
dot1x url url-string
undo dot1x [ url-string ]
【视图】
系统视图
【参数】
url-string:重定向URL地址,为1~64个字符的字符串,区分大小写,格式为“http://string”。
【描述】
dot1x url命令用来配置用户HTTP访问的重定向URL,即用户在802.1x认证成功之前HTTP访问的重定向地址。undo dot1x url命令用来删除用户HTTP访问的重定向URL。
缺省情况下,未定义重定向URL。
需要注意的是:
l 重定向的URL和Free IP必须在同一个网段内,否则无法访问指定的重定向URL;
l 用户HTTP访问的重定向URL可多次配置,但仅最后配置的一条有效。
相关配置可参考命令display dot1x和dot1x free-ip。
【举例】
# 配置用户HTTP访问的重定向URL为http://192.168.0.1。
<Sysname> system-view
[Sysname] dot1x url http://192.168.0.1
【命令】
display mac-authentication [ interface interface-list ]
【视图】
任意视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。起始端口类型必须和终止端口类型一致,并且终止端口号必须大于起始端口号。
【描述】
display mac-authentication命令用来显示全局或指定端口的MAC地址认证信息。
【举例】
# 显示全局的MAC地址认证信息。
<Sysname> display mac-authentication
MAC address authentication is enabled.
User name format is MAC address, like xxxxxxxxxxxx
Fixed username:mac
Fixed password:not configured
Offline detect period is 300s
Quiet period is 60s.
Server response timeout value is 100s
the max allowed user number is 2048 per slot
Current user number amounts to 0
Current domain: not configured, use default domain
Current domain: not configured, use default domain
Silent Mac User info:
MAC ADDR From Port Port Index
Ethernet2/0/1 is link-up
MAC address authentication is Enabled
Authenticate success: 0, failed: 0
Current online user number is 0
MAC ADDR Authenticate state AuthIndex
……(略)
表3-1 display mac-authentication命令显示信息描述表
|
域名 |
描述 |
|
MAC address authentication is enabled |
MAC地址认证特性已经开启 |
|
User name format is MAC address, like xxxxxxxxxxxx |
用户名格式为MAC地址,形如xxxxxxxxxxxx |
|
Fixed username: |
固定用户名 |
|
Fixed password: |
固定用户名的密码 |
|
Offline detect period |
下线检测定时器的时间间隔 |
|
Quiet period |
静默定时器的时间间隔 |
|
Server response timeout value |
服务器连接超时定时器的值 |
|
The max allowed user number |
设备每板最大支持的MAC地址认证用户数 |
|
Current user number amounts |
当前用户数 |
|
Current domain: not configured, use default domain |
当前认证域没有配置,使用缺省域 |
|
Silent Mac User info |
静默用户信息 |
|
Ethernet2/0/1 is link-up |
端口Ethernet2/0/1链路处于UP状态 |
|
MAC address authentication is Enabled |
端口Ethernet2/0/1MAC地址认证特性已开启 |
|
Authenticate success: 0, failed: 0 |
端口上MAC地址认证的统计信息,包括认证通过和认证失败的数目 |
|
Current online user number |
端口当前的接入用户数 |
|
MAC ADDR |
MAC地址 |
|
Authenticate state |
端口接入用户的状态,共有四种: l CONNECTING:正在连接 l SUCCESS:认证通过 l FAILURE:认证失败 l LOGOFF:已下线 |
|
AuthIndex |
认证体索引号 |
【命令】
mac-authentication [ interface interface-list ]
undo mac-authentication [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
mac-authentication命令用来开启指定端口上或全局的MAC地址认证特性。undo mac-authentication命令用来关闭指定端口上或全局的MAC地址认证特性。
缺省情况下,所有端口及全局的MAC地址认证特性都处于关闭状态。
需要注意的是:
l 在系统视图下使用该命令时,如果不输入可选项interface interface-list,则表示开启全局的MAC地址认证特性;如果指定了interface interface-list,则表示开启指定端口的MAC地址认证特性。在以太网端口视图下使用该命令时,无需输入interface interface-list,即可开启当前端口的MAC地址认证特性。
l MAC地址认证特性启动前后,都可以使用命令来配置全局或端口的MAC地址认证特性参数。如果在开启全局MAC地址认证特性前,没有配置全局或端口的MAC地址认证特性参数,则这些参数在运行时均为缺省值。
l 各端口的MAC地址认证状态在全局MAC地址认证没有开启之前可以配置,但不起作用;在全局MAC地址认证启动后,各端口的MAC地址认证配置会立即生效。
【举例】
# 开启全局的MAC地址认证特性。
<Sysname> systme-view
[Sysname] mac-authentication
Mac-auth is enabled globally.
# 开启以太网端口Ethernet2/0/1上的MAC地址认证特性。
<Sysname> systme-view
[Sysname] mac-authentication interface Ethernet 2/0/1
Mac-auth is enabled on port Ethernet2/0/1.
或者
<Sysname> systme-view
[Sysname] interface Ethernet 2/0/1
[Sysname-Ethernet2/0/1] mac-authentication
Mac-auth is enabled on port Ethernet2/0/1.
【命令】
mac-authentication domain isp-name
undo mac-authentication domain
【视图】
系统视图
【参数】
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,且不能包括“/”、“:”、“*”、“?”、“<”以及“>”等特殊字符。
【描述】
mac-authentication domain命令用来配置MAC地址认证用户所使用的ISP域。undo mac-authentication domain命令用来恢复MAC地址认证用户所使用的ISP域为缺省值。
缺省情况下,MAC地址认证用户使用的域为缺省域system。
【举例】
# 配置MAC地址认证使用的域为domain1。
<Sysname> systme-view
[Sysname] mac-authentication domain domain1
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
undo mac-authentication timer { offline-detect | quiet | server-timeout }
【视图】
系统视图
【参数】
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围60~65535,单位为秒。
quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围1~3600,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
【描述】
mac-authentication timer命令用来配置MAC地址认证的各项定时器参数。undo mac-authentication timer命令用来将指定的定时器恢复为缺省情况。
缺省情况下,下线定时器的值为300秒,静默定时器的值为60秒,服务器的超时定时器的值为100秒。
MAC地址认证过程受以下定时器的控制:
l 下线检测定时器(offline-detect):用来设置设备检查用户是否已经下线的时间间隔。当检测到用户下线后,设备立即通知RADIUS服务器,停止对该用户的计费。
l 静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不处理该用户的认证功能,静默之后设备再重新对用户发起认证。
l 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果服务器超时定时器超时,设备将在相应的端口上禁止此用户访问网络。
相关配置可参考命令display mac-authentication。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> systme-view
[Sysname] mac-authentication timer server-timeout 150
【命令】
mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } password ] | mac-address [ with-hyphen | without-hyphen ] }
undo mac-authentication user-name-format
【视图】
系统视图
【参数】
fixed:表示采用固定用户名格式。
account name:指定用户名。其中name为用户名,为1~55个字符的字符串,不区分大小写,缺省为mac。
password { cipher | simple } password:指定固定用户名的密码。其中,cipher表示密文显示密码,simple表示明文显示密码,password表示用户密码。无缺省值。
l 密文显示的情况下,可输入1~63个字符的明文字符串密码,也可输入长度为24或88个字符的密文字符串密码;
l 明文显示的情况下,只能输入1~63个字符的明文字符串。
mac-address:表示使用用户的源MAC地址为用户名,不区分大小写。
with-hyphen:带连字符“-”的MAC地址格式,例如xx-xx-xx-xx-xx-xx,其中的字母必须小写。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx,其中的字母必须小写。
【描述】
mac-authentication user-name-format命令用来配置MAC地址认证的用户名和密码。undo mac-authentication user-name-format命令用来恢复缺省情况。
缺省情况下,使用用户的源MAC地址做用户名和密码,采用不带连字符“-”的MAC地址格式。
需要注意的是:
l 若指定用户的源MAC地址为用户名,则用户密码也为用户的源MAC地址。
l 在cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文,长度大于16且小于等于63的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理。
相关配置可参考命令display mac-authentication。
【举例】
# 配置MAC认证的用户名为abc,密码是明文显示的xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
【命令】
reset mac-authentication statistics [ interface interface-list ]
【视图】
用户视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
reset mac-authentication statistics命令用来清除MAC认证的统计信息。
需要注意的是:
l 如果不指定端口类型和端口号,则清除设备上的全局及所有端口的MAC认证统计信息;
l 如果指定端口类型和端口号,则清除指定端口上的MAC认证统计信息。
相关配置可参考命令display mac-authentication。
【举例】
# 清除以太网端口Ethernet2/0/1上的MAC认证统计信息。
<Sysname> reset mac-authentication statistics interface Ethernet 2/0/1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
