国家 / 地区

02-WLAN命令

04-WLAN用户接入认证命令

本章节下载  (215.69 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WA/H3C_WA5500/Command/Command_Manual/H3C_WA5530_CR-5W100/02/201706/1003587_30005_0.htm

04-WLAN用户接入认证命令


1 WLAN用户接入认证

1.1  WLAN用户接入认证配置命令

1.1.1  client-security authentication fail-vlan

client-security authentication fail-vlan命令用来配置服务模板下的认证失败VLAN。

undo client-security authentication fail-vlan命令用来恢复缺省情况。

【命令】

client-security authentication fail-vlan vlan-id

undo client-security authentication fail-vlan

【缺省情况】

未配置认证失败VLAN。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

vlan-id:认证失败VLAN的VLAN ID,取值范围为1~4094。

【使用指导】

这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。

配置认证失败的VLAN必须是已经存在的VLAN。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板1下配置认证失败VLAN为VLAN 10。

<Sysname> sysname-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] client-security authentication fail-vlan 10

1.1.2  client-security authentication-mode

client-security authentication-mode命令用来配置无线用户接入认证模式。

undo client-security authentication-mode命令用来恢复缺省情况。

【命令】

client-security authentication-mode { dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x }

undo client-security authentication-mode

【缺省情况】

不对用户进行接入认证即Bypass认证。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

dot1x:表示只进行802.1X认证。

dot1x-then-mac:表示先进行802.1X认证,如果失败,再进行MAC地址认证。如果认证成功,则不进行MAC地址认证。

mac:表示只进行MAC地址认证。

mac-then-dot1x:表示先进行MAC地址认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。

oui-then-dot1x:表示先进行OUI认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。

【使用指导】

以上各模式下,每个无线服务模板上均允许接入多个认证通过的用户。802.1X用户的数目由dot1x max-user命令配置,MAC地址认证用户的数目由mac-authentication max-user命令配置。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板service1下配置无线用户接入认证模式为MAC地址认证模式。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security authentication-mode mac

1.1.3  client-security authorization-fail offline

client-security authorization-fail offline命令用来开启授权失败后的用户下线功能。

undo client-security authorization-fail offline命令用来关闭授权失败后的用户下线功能。

【命令】

client-security authorization-fail offline

undo client-security authorization-fail offline

【缺省情况】

授权失败后的用户下线功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

如果开启了授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;

如果没有开启授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效,设备打印Log信息。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板service1下开启授权失败用户下线功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security authorization-fail offline

1.1.4  client-security ignore-authentication

client-security ignore-authentication命令用来配置忽略MAC地址认证结果

undo client-security ignore-authentication命令用来恢复缺省情况。

【命令】

client-security ignore-authentication

undo client-security ignore-authentication

【缺省情况】

应用MAC地址认证结果

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

该功能只能在无线服务模板处于关闭的状态下进行配置。

如果同时配置了MAC地址认证和Portal认证,则无线用户须依次通过MAC地址认证和Portal认证才能访问网络资源,且用户每次都需要输入Portal认证的用户名和密码才能完成认证。配置忽略MAC地址认证结果,可以简化上述认证操作。设备开启忽略MAC地址认证结果功能后,具体认证过程如下:

·     若RADIUS服务器上已经记录了用户和其MAC地址的对应信息,则用户通过MAC地址认证,且不再需要进行Portal认证即可访问网络资源。

·     若RADIUS服务器上未记录用户和其MAC地址的对应信息,则MAC地址认证失败。此时,设备忽略这一认证结果,直接进行Portal认证。Portal认证通过后即可访问网络资源,同时RADIUS服务器将记录该用户和其MAC地址的对应信息。此后,该用户仅需要完成MAC地址认证即可访问网络资源,而不再需要进行Portal认证。

本功能仅适用于客户端采用RADIUS服务器认证方式进行的MAC地址认证。

【举例】

# 在无线服务模板service1下配置忽略MAC地址认证的结果。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security ignore-authentication

1.1.5  client-security ignore-authorization

client-security ignore-authorization命令用来配置忽略RADIUS服务器或设备本地下发的授权信息。

undo client-security ignore-authorization命令用来恢复缺省情况。

【命令】

client-security ignore-authorization

undo client-security ignore-authorization

【缺省情况】

应用RADIUS服务器或设备本地下发的授权信息。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。若不希望接受这类动态下发的授权属性,则可通过配置本命令来忽略。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板service1下配置忽略RADIUS服务器或设备本地下发的授权信息。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security ignore-authorization

1.1.6  client-security intrusion-protection action

client-security intrusion-protection action命令用来配置当接收到非法报文时采取的入侵检测模式。

undo client-security intrusion-protection action命令用来恢复缺省情况。

【命令】

client-security intrusion-protection action { service-stop | temporary-block | temporary-service-stop }

undo client-security intrusion-protection action

【缺省情况】

入侵检测模式为temporary-block模式。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

service-stop:直接关闭收到非法报文的BSS提供的所有服务。用户可以手工在Radio口上重新生成该BSS使得用户正常接入。

temporary-block:临时将用户MAC加入阻塞MAC列表中。临时阻止非法用户上线的时间由client-security intrusion-protection timer temporary-block命令配置。

temporary-service-stop:临时将收到非法报文的BSS所提供的所有服务关闭。临时关闭收到非法报文的BSS所提供服务的时间由client-security intrusion-protection timer temporary-service-stop命令配置。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

只有开启入侵检测功能后,入侵检测措施才生效。开启入侵检测功能由client-security intrusion-protection enable命令配置。

【举例】

# 在无线服务模板service1下配置入侵检测措施为service-stop

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security intrusion-protection enable

[Sysname-wlan-st-service1] client-security intrusion-protection action service-stop

【相关命令】

·     client-security intrusion-protection enable

·     client-security intrusion-protection timer temporary-block

·     client-security intrusion-protection timer temporary-service-stop

1.1.7  client-security intrusion-protection enable

client-security intrusion-protection enable命令用来开启入侵检测功能。

undo client-security intrusion-protection enable命令用来关闭入侵检测功能。

【命令】

client-security intrusion-protection enable

undo client-security intrusion-protection enable

【缺省情况】

入侵检测功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

当设备检测到一个认证失败的用户试图通过该无线服务模板绑定的BSS(基本服务集)接入时,如果入侵检测功能处于开启状态,则设备将对其所在的BSS采取相应的安全措施。具体的安全措施由client-security intrusion-protection action命令指定。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板service1下开启入侵检测功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security intrusion-protection enable

【相关命令】

·     client-security intrusion-protection action

1.1.8  client-security intrusion-protection timer temporary-block

client-security intrusion-protection timer temporary-block命令用来配置临时阻塞非法入侵用户的时长。

undo client-security intrusion-protection timer temporary-block命令用来恢复缺省情况。

【命令】

client-security intrusion-protection timer temporary-block time

undo client-security intrusion-protection timer temporary-block

【缺省情况】

临时阻塞非法入侵用户时间为180秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:临时阻塞非法入侵用户时长,取值范围为60~300,单位为秒。

【使用指导】

当入侵检测功能处于使能状态且入侵检测措施为临时阻塞非法用户(temporary-block)时,如果用户认证失败,则在该配置所指定的时间范围内,源MAC地址为此非法MAC地址的用户将无法认证成功,在这段时间之后恢复正常。

当无线服务模板使能后,若修改临时阻塞非法用户的时长,则新的配置在原有定时器超时后生效。

【举例】

# 在无线服务模板service1下配置临时阻塞非法入侵用户时长为120秒。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security intrusion-protection enable

[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-block

[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-block 120

【相关命令】

·     client-security intrusion-protection enable

·     client-security intrusion-protection action

1.1.9  client-security intrusion-protection timer temporary-service-stop

client-security intrusion-protection timer temporary-service-stop命令用来配置临时关闭BSS服务的时长。

undo client-security intrusion-protection timer temporary-service-stop命令用来恢复缺省情况。

【命令】

client-security intrusion-protection timer temporary-service-stop time

undo client-security intrusion-protection timer temporary-service-stop

【缺省情况】

临时关闭BSS服务时长为20秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:临时关闭BSS服务的时长,取值范围为10~300,单位为秒。

【使用指导】

当入侵检测功能处于使能状态,且入侵检测措施为临时关闭服务(temporary-service-stop)时,如果设备检测到非法报文,则在该配置指定的时间段内关闭用户所在的BSS所提供的所有服务,在此期间用户将无法通过该服务接入网络,这段时间之后恢复正常。

当无线服务模板使能后,若修改临时关闭BSS服务的时长,则新的配置在原有定时器超时后生效。

【举例】

# 在无线服务模板service1下配置临时关闭BSS服务的时长为30秒。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security intrusion-protection enable

[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-service-stop

[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-service-stop 30

【相关命令】

·     client-security intrusion-protection enable

·     client-security intrusion-protection action

1.1.10  client url-redirect enable

client url-redirect enable命令用来开启客户端URL重定向功能。

undo client url-redirect enable命令用来关闭客户端URL重定向功能。

【命令】

client url-redirect enable

undo client url-redirect enable

【缺省情况】

客户端URL重定向功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

该功能只能在无线服务模板处于关闭状态时配置。

本功能仅适用于客户端采用RADIUS服务器认证方式进行的MAC地址认证。

在用户进行MAC地址认证上线过程中,如果RADIUS服务器上没有记录用户及其MAC地址的对应信息,但仍需要用户进行认证时,可以通过在设备上开启URL重定向功能。开启后,用户可以根据RADIUS服务器下发的重定向URL,跳转到指定的Web认证界面进行用户认证。用户认证通过后,RADIUS服务器将记录用户的MAC地址信息,并通过DM报文强制用户下线,此后该用户即可正常完成MAC地址认证。有关DM报文的详细介绍请参见“安全配置指导”中的“AAA”。

【举例】

# 在无线服务模板service1下开启客户端URL重定向功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client url-redirect enable

1.1.11  display wlan client-security block-mac

display wlan client-security block-mac命令用来显示阻塞MAC地址信息。

【命令】

display wlan client-security block-mac

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

阻塞MAC是指入侵检测模式为temporary-block时,被加入到阻塞MAC列表中的用户。

【举例】

# 显示所有阻塞 MAC地址信息。

<Sysname> display wlan client-security block-mac

MAC address         AP ID       RADIO ID     BSSID

0002-0002-0002      1           1            00ab-0de1-0001

000d-88f8-0577      1           1            0ef1-0001-02c1

 

Total entries: 2

表1-1 display wlan client-security block-mac命令显示信息描述表

字段

描述

MAC address

阻塞MAC地址,格式为“H-H-H”

AP ID

阻塞MAC地址所在AP的编号

RADIO ID

阻塞MAC地址所在的Radio编号

BSSID

基本服务集标识符,格式为H-H-H

Total entries

阻塞MAC地址表项条数

 

【相关命令】

·     client-security instrusion-protection action

·     client-security instrusion-protection timer temporary-block

1.1.12  dot1x domain

dot1x domain命令用来指定无线服务模板下802.1X用户的认证域。

undo dot1x domain命令用来恢复缺省情况。

【命令】

dot1x domain domain-name

undo dot1x domain

【缺省情况】

未指定无线服务模板下的802.1X用户的ISP域。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择认证域:无线服务模板下指定的认证域-->用户名中指定的认证域-->系统缺省的认证域。

【举例】

# 配置无线服务模板service1下802.1X用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x domain my-domain

1.1.13  dot1x eap

dot1x eap命令用来配置802.1X认证的EAP协议模式。

undo dot1x eap命令用来恢复缺省情况。

【命令】

dot1x eap { extended | standard }

undo dot1x eap

【缺省情况】

EAP协议模式为standard

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

extended:表示EAP协议模式为扩展的EAP协议,即要求客户端和设备按照私有EAP协议的规范和报文格式进行交互。

standard:表示EAP协议模式为标准的EAP协议,即要求客户端和设备按照标准EAP协议的规范和报文格式进行交互。

【使用指导】

只能在无线服务模板关闭的状态下开启该功能。

【举例】

# 在无线服务模板1下配置802.1X认证的EAP协议为扩展模式。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] dot1x eap extended

1.1.14  dot1x handshake enable

dot1x handshake enable命令用来开启802.1X在线用户握手功能。

undo dot1x handshake enable命令用来关闭802.1X在线用户握手功能。

【命令】

dot1x handshake enable

undo dot1x handshake enable

【缺省情况】

802.1X在线用户握手功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数(最大重发次数通过命令dot1x retry设置),而还没有收到用户响应,则强制该用户下线。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 开启无线服务模板service1下的802.1X在线用户握手功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x handshake enable

【相关命令】

·     dot1x handshake secure enable

·     dot1x retry(安全命令参考-802.1X)

·     dot1x timer handshake-period(安全命令参考-802.1X)

1.1.15  dot1x handshake secure enable

dot1x handshake secure enable命令用来开启802.1X在线用户安全握手功能。

undo dot1x handshake secure enable命令用来关闭802.1X在线用户安全握手功能。

【命令】

dot1x handshake secure enable

undo dot1x handshake secure enable

【缺省情况】

802.1X在线用户的安全握手功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

802.1X安全握手功能只有在开启了802.1X握手功能的前提下才生效。

该命令只对进行802.1X接入认证且成功上线的用户有效。

【举例】

# 开启无线服务模板service1下的802.1X在线用户安全握手功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x handshake enable

[Sysname-wlan-st-service1] dot1x handshake secure enable

【相关命令】

·     dot1x handshake enable

1.1.16  dot1x max-user

dot1x max-user命令用来配置无线服务模板上的802.1X最大用户数。

undo dot1x max-user命令用来恢复缺省情况。

【命令】

dot1x max-user count

undo dot1x max-user

【缺省情况】

无线服务模板上允许同时接入的802.1X用户数为4096个。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

count:无线服务模板上最多允许同时接入的802.1X用户数,取值范围为1~4096。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

配置本命令后,当接入此无线服务模板的802.1X用户数超过最大值后,新的用户将被拒绝。

【举例】

# 配置无线服务模板service1上的802.1X最大用户数为500。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x max-user 500

1.1.17  dot1x re-authenticate enable

dot1x re-authenticate enable命令用来开启802.1X周期性重认证功能。

undo dot1x re-authenticate enable命令用来关闭802.1X周期性重认证功能。

【命令】

dot1x re-authenticate enable

undo dot1x re-authenticate enable

【缺省情况】

802.1X周期性重认证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

无线服务模板启动了802.1X的周期性重认证功能后,设备会根据系统视图下配置的周期性重认证定时器(dot1x timer reauth-period)时间间隔对在线802.1X用户启动认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL,VLAN,User Profile)。

用户进行802.1X认证成功后,如果服务器下发了Termination action和Session timeout属性(display dot1x connection),且Termination action取值为Radius-Request,Session timeout取值不为0,设备将以Session timeout为周期对用户进行重认证,以检测用户在线状态,并更新授权信息。

本命令只能在无线服务模板处于关闭状态时配置。

在认证服务器没有下发Terminal action和Session timeout属性或下发的Terminal action取值不为Request的情况下,如果使能802.1X重认证功能,设备也会定期向已经在线的802.1X用户发起重认证,此时重认证周期由802.1X重认证定时器配置。

【举例】

# 开启无线服务模板service1下的802.1X重认证功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x re-authenticate enable

【相关命令】

·     dot1x timer(安全命令参考-802.1X)

1.1.18  mac-authentication domain

mac-authentication domain命令用来指定无线服务模板下MAC地址认证用户的ISP域。

undo mac-authentication domain命令用来恢复缺省情况。

【命令】

mac-authentication domain domain-name

undo mac-authentication domain

【缺省情况】

未指定无线服务模板下的MAC地址认证用户的ISP域。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。

【举例】

# 配置无线服务模板service1下MAC地址认证用户使用的ISP域为my-domain。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] mac-authentication domain my-domain

1.1.19  mac-authentication max-user

mac-authentication max-user命令用来配置无线服务模板上的MAC地址认证最大用户数。

undo mac-authentication max-user命令用来恢复缺省情况。

【命令】

mac-authentication max-user count

undo mac-authentication max-user

【缺省情况】

无线服务模板上允许接入的MAC地址认证最大用户数为4096个。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

count:可接入无线服务模板的MAC地址认证用户个数,取值范围为1~4096。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

配置本命令后,当接入此无线服务模板的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。

【举例】

# 配置最大接入MAC地址认证用户数为32个。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] mac-authentication max-user 32

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!