04-WLAN用户接入认证命令
本章节下载: 04-WLAN用户接入认证命令 (215.69 KB)
目 录
1.1.1 client-security authentication fail-vlan
1.1.2 client-security authentication-mode
1.1.3 client-security authorization-fail offline
1.1.4 client-security ignore-authentication
1.1.5 client-security ignore-authorization
1.1.6 client-security intrusion-protection action
1.1.7 client-security intrusion-protection enable
1.1.8 client-security intrusion-protection timer temporary-block
1.1.9 client-security intrusion-protection timer temporary-service-stop
1.1.10 client url-redirect enable
1.1.11 display wlan client-security block-mac
1.1.15 dot1x handshake secure enable
1.1.17 dot1x re-authenticate enable
1.1.18 mac-authentication domain
1.1.19 mac-authentication max-user
client-security authentication fail-vlan命令用来配置服务模板下的认证失败VLAN。
undo client-security authentication fail-vlan命令用来恢复缺省情况。
【命令】
client-security authentication fail-vlan vlan-id
undo client-security authentication fail-vlan
【缺省情况】
未配置认证失败VLAN。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
vlan-id:认证失败VLAN的VLAN ID,取值范围为1~4094。
【使用指导】
这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
配置认证失败的VLAN必须是已经存在的VLAN。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板1下配置认证失败VLAN为VLAN 10。
<Sysname> sysname-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client-security authentication fail-vlan 10
client-security authentication-mode命令用来配置无线用户接入认证模式。
undo client-security authentication-mode命令用来恢复缺省情况。
【命令】
client-security authentication-mode { dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x }
undo client-security authentication-mode
【缺省情况】
不对用户进行接入认证即Bypass认证。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
dot1x:表示只进行802.1X认证。
dot1x-then-mac:表示先进行802.1X认证,如果失败,再进行MAC地址认证。如果认证成功,则不进行MAC地址认证。
mac:表示只进行MAC地址认证。
mac-then-dot1x:表示先进行MAC地址认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。
oui-then-dot1x:表示先进行OUI认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。
【使用指导】
以上各模式下,每个无线服务模板上均允许接入多个认证通过的用户。802.1X用户的数目由dot1x max-user命令配置,MAC地址认证用户的数目由mac-authentication max-user命令配置。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置无线用户接入认证模式为MAC地址认证模式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication-mode mac
client-security authorization-fail offline命令用来开启授权失败后的用户下线功能。
undo client-security authorization-fail offline命令用来关闭授权失败后的用户下线功能。
【命令】
client-security authorization-fail offline
undo client-security authorization-fail offline
【缺省情况】
授权失败后的用户下线功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
如果开启了授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;
如果没有开启授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效,设备打印Log信息。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启授权失败用户下线功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization-fail offline
client-security ignore-authentication命令用来配置忽略MAC地址认证结果。
undo client-security ignore-authentication命令用来恢复缺省情况。
【命令】
client-security ignore-authentication
undo client-security ignore-authentication
【缺省情况】
应用MAC地址认证结果
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
该功能只能在无线服务模板处于关闭的状态下进行配置。
如果同时配置了MAC地址认证和Portal认证,则无线用户须依次通过MAC地址认证和Portal认证才能访问网络资源,且用户每次都需要输入Portal认证的用户名和密码才能完成认证。配置忽略MAC地址认证结果,可以简化上述认证操作。设备开启忽略MAC地址认证结果功能后,具体认证过程如下:
· 若RADIUS服务器上已经记录了用户和其MAC地址的对应信息,则用户通过MAC地址认证,且不再需要进行Portal认证即可访问网络资源。
· 若RADIUS服务器上未记录用户和其MAC地址的对应信息,则MAC地址认证失败。此时,设备忽略这一认证结果,直接进行Portal认证。Portal认证通过后即可访问网络资源,同时RADIUS服务器将记录该用户和其MAC地址的对应信息。此后,该用户仅需要完成MAC地址认证即可访问网络资源,而不再需要进行Portal认证。
本功能仅适用于客户端采用RADIUS服务器认证方式进行的MAC地址认证。
【举例】
# 在无线服务模板service1下配置忽略MAC地址认证的结果。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authentication
client-security ignore-authorization命令用来配置忽略RADIUS服务器或设备本地下发的授权信息。
undo client-security ignore-authorization命令用来恢复缺省情况。
【命令】
client-security ignore-authorization
undo client-security ignore-authorization
【缺省情况】
应用RADIUS服务器或设备本地下发的授权信息。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。若不希望接受这类动态下发的授权属性,则可通过配置本命令来忽略。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置忽略RADIUS服务器或设备本地下发的授权信息。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authorization
client-security intrusion-protection action命令用来配置当接收到非法报文时采取的入侵检测模式。
undo client-security intrusion-protection action命令用来恢复缺省情况。
【命令】
client-security intrusion-protection action { service-stop | temporary-block | temporary-service-stop }
undo client-security intrusion-protection action
【缺省情况】
入侵检测模式为temporary-block模式。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
service-stop:直接关闭收到非法报文的BSS提供的所有服务。用户可以手工在Radio口上重新生成该BSS使得用户正常接入。
temporary-block:临时将用户MAC加入阻塞MAC列表中。临时阻止非法用户上线的时间由client-security intrusion-protection timer temporary-block命令配置。
temporary-service-stop:临时将收到非法报文的BSS所提供的所有服务关闭。临时关闭收到非法报文的BSS所提供服务的时间由client-security intrusion-protection timer temporary-service-stop命令配置。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
只有开启入侵检测功能后,入侵检测措施才生效。开启入侵检测功能由client-security intrusion-protection enable命令配置。
【举例】
# 在无线服务模板service1下配置入侵检测措施为service-stop。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action service-stop
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection timer temporary-block
· client-security intrusion-protection timer temporary-service-stop
client-security intrusion-protection enable命令用来开启入侵检测功能。
undo client-security intrusion-protection enable命令用来关闭入侵检测功能。
【命令】
client-security intrusion-protection enable
undo client-security intrusion-protection enable
【缺省情况】
入侵检测功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当设备检测到一个认证失败的用户试图通过该无线服务模板绑定的BSS(基本服务集)接入时,如果入侵检测功能处于开启状态,则设备将对其所在的BSS采取相应的安全措施。具体的安全措施由client-security intrusion-protection action命令指定。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启入侵检测功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
【相关命令】
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-block命令用来配置临时阻塞非法入侵用户的时长。
undo client-security intrusion-protection timer temporary-block命令用来恢复缺省情况。
【命令】
client-security intrusion-protection timer temporary-block time
undo client-security intrusion-protection timer temporary-block
【缺省情况】
临时阻塞非法入侵用户时间为180秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:临时阻塞非法入侵用户时长,取值范围为60~300,单位为秒。
【使用指导】
当入侵检测功能处于使能状态且入侵检测措施为临时阻塞非法用户(temporary-block)时,如果用户认证失败,则在该配置所指定的时间范围内,源MAC地址为此非法MAC地址的用户将无法认证成功,在这段时间之后恢复正常。
当无线服务模板使能后,若修改临时阻塞非法用户的时长,则新的配置在原有定时器超时后生效。
【举例】
# 在无线服务模板service1下配置临时阻塞非法入侵用户时长为120秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-block
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-block 120
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-service-stop命令用来配置临时关闭BSS服务的时长。
undo client-security intrusion-protection timer temporary-service-stop命令用来恢复缺省情况。
【命令】
client-security intrusion-protection timer temporary-service-stop time
undo client-security intrusion-protection timer temporary-service-stop
【缺省情况】
临时关闭BSS服务时长为20秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:临时关闭BSS服务的时长,取值范围为10~300,单位为秒。
【使用指导】
当入侵检测功能处于使能状态,且入侵检测措施为临时关闭服务(temporary-service-stop)时,如果设备检测到非法报文,则在该配置指定的时间段内关闭用户所在的BSS所提供的所有服务,在此期间用户将无法通过该服务接入网络,这段时间之后恢复正常。
当无线服务模板使能后,若修改临时关闭BSS服务的时长,则新的配置在原有定时器超时后生效。
【举例】
# 在无线服务模板service1下配置临时关闭BSS服务的时长为30秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-service-stop
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-service-stop 30
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
client url-redirect enable命令用来开启客户端URL重定向功能。
undo client url-redirect enable命令用来关闭客户端URL重定向功能。
【命令】
client url-redirect enable
undo client url-redirect enable
【缺省情况】
客户端URL重定向功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
该功能只能在无线服务模板处于关闭状态时配置。
本功能仅适用于客户端采用RADIUS服务器认证方式进行的MAC地址认证。
在用户进行MAC地址认证上线过程中,如果RADIUS服务器上没有记录用户及其MAC地址的对应信息,但仍需要用户进行认证时,可以通过在设备上开启URL重定向功能。开启后,用户可以根据RADIUS服务器下发的重定向URL,跳转到指定的Web认证界面进行用户认证。用户认证通过后,RADIUS服务器将记录用户的MAC地址信息,并通过DM报文强制用户下线,此后该用户即可正常完成MAC地址认证。有关DM报文的详细介绍请参见“安全配置指导”中的“AAA”。
【举例】
# 在无线服务模板service1下开启客户端URL重定向功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect enable
display wlan client-security block-mac命令用来显示阻塞MAC地址信息。
【命令】
display wlan client-security block-mac
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
阻塞MAC是指入侵检测模式为temporary-block时,被加入到阻塞MAC列表中的用户。
【举例】
# 显示所有阻塞 MAC地址信息。
<Sysname> display wlan client-security block-mac
MAC address AP ID RADIO ID BSSID
0002-0002-0002 1 1 00ab-0de1-0001
000d-88f8-0577 1 1 0ef1-0001-02c1
Total entries: 2
表1-1 display wlan client-security block-mac命令显示信息描述表
字段 |
描述 |
MAC address |
阻塞MAC地址,格式为“H-H-H” |
AP ID |
阻塞MAC地址所在AP的编号 |
RADIO ID |
阻塞MAC地址所在的Radio编号 |
BSSID |
基本服务集标识符,格式为H-H-H |
Total entries |
阻塞MAC地址表项条数 |
【相关命令】
· client-security instrusion-protection action
· client-security instrusion-protection timer temporary-block
dot1x domain命令用来指定无线服务模板下802.1X用户的认证域。
undo dot1x domain命令用来恢复缺省情况。
【命令】
dot1x domain domain-name
undo dot1x domain
【缺省情况】
未指定无线服务模板下的802.1X用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择认证域:无线服务模板下指定的认证域-->用户名中指定的认证域-->系统缺省的认证域。
【举例】
# 配置无线服务模板service1下802.1X用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x domain my-domain
dot1x eap命令用来配置802.1X认证的EAP协议模式。
undo dot1x eap命令用来恢复缺省情况。
【命令】
dot1x eap { extended | standard }
undo dot1x eap
【缺省情况】
EAP协议模式为standard。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
extended:表示EAP协议模式为扩展的EAP协议,即要求客户端和设备按照私有EAP协议的规范和报文格式进行交互。
standard:表示EAP协议模式为标准的EAP协议,即要求客户端和设备按照标准EAP协议的规范和报文格式进行交互。
【使用指导】
只能在无线服务模板关闭的状态下开启该功能。
【举例】
# 在无线服务模板1下配置802.1X认证的EAP协议为扩展模式。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] dot1x eap extended
dot1x handshake enable命令用来开启802.1X在线用户握手功能。
undo dot1x handshake enable命令用来关闭802.1X在线用户握手功能。
【命令】
dot1x handshake enable
undo dot1x handshake enable
【缺省情况】
802.1X在线用户握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数(最大重发次数通过命令dot1x retry设置),而还没有收到用户响应,则强制该用户下线。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 开启无线服务模板service1下的802.1X在线用户握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
【相关命令】
· dot1x handshake secure enable
· dot1x retry(安全命令参考-802.1X)
· dot1x timer handshake-period(安全命令参考-802.1X)
dot1x handshake secure enable命令用来开启802.1X在线用户安全握手功能。
undo dot1x handshake secure enable命令用来关闭802.1X在线用户安全握手功能。
【命令】
dot1x handshake secure enable
undo dot1x handshake secure enable
【缺省情况】
802.1X在线用户的安全握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
802.1X安全握手功能只有在开启了802.1X握手功能的前提下才生效。
该命令只对进行802.1X接入认证且成功上线的用户有效。
【举例】
# 开启无线服务模板service1下的802.1X在线用户安全握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
[Sysname-wlan-st-service1] dot1x handshake secure enable
【相关命令】
· dot1x handshake enable
dot1x max-user命令用来配置无线服务模板上的802.1X最大用户数。
undo dot1x max-user命令用来恢复缺省情况。
【命令】
dot1x max-user count
undo dot1x max-user
【缺省情况】
无线服务模板上允许同时接入的802.1X用户数为4096个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:无线服务模板上最多允许同时接入的802.1X用户数,取值范围为1~4096。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当接入此无线服务模板的802.1X用户数超过最大值后,新的用户将被拒绝。
【举例】
# 配置无线服务模板service1上的802.1X最大用户数为500。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x max-user 500
dot1x re-authenticate enable命令用来开启802.1X周期性重认证功能。
undo dot1x re-authenticate enable命令用来关闭802.1X周期性重认证功能。
【命令】
dot1x re-authenticate enable
undo dot1x re-authenticate enable
【缺省情况】
802.1X周期性重认证功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
无线服务模板启动了802.1X的周期性重认证功能后,设备会根据系统视图下配置的周期性重认证定时器(dot1x timer reauth-period)时间间隔对在线802.1X用户启动认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL,VLAN,User Profile)。
用户进行802.1X认证成功后,如果服务器下发了Termination action和Session timeout属性(display dot1x connection),且Termination action取值为Radius-Request,Session timeout取值不为0,设备将以Session timeout为周期对用户进行重认证,以检测用户在线状态,并更新授权信息。
本命令只能在无线服务模板处于关闭状态时配置。
在认证服务器没有下发Terminal action和Session timeout属性或下发的Terminal action取值不为Request的情况下,如果使能802.1X重认证功能,设备也会定期向已经在线的802.1X用户发起重认证,此时重认证周期由802.1X重认证定时器配置。
【举例】
# 开启无线服务模板service1下的802.1X重认证功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x re-authenticate enable
【相关命令】
· dot1x timer(安全命令参考-802.1X)
mac-authentication domain命令用来指定无线服务模板下MAC地址认证用户的ISP域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定无线服务模板下的MAC地址认证用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。
【举例】
# 配置无线服务模板service1下MAC地址认证用户使用的ISP域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication domain my-domain
mac-authentication max-user命令用来配置无线服务模板上的MAC地址认证最大用户数。
undo mac-authentication max-user命令用来恢复缺省情况。
【命令】
mac-authentication max-user count
undo mac-authentication max-user
【缺省情况】
无线服务模板上允许接入的MAC地址认证最大用户数为4096个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:可接入无线服务模板的MAC地址认证用户个数,取值范围为1~4096。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当接入此无线服务模板的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置最大接入MAC地址认证用户数为32个。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication max-user 32
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!