• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

10-安全命令

目录

02-802.1X命令

本章节下载 02-802.1X命令  (170.82 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Command/Command_Manual/H3C_CR(R5231)-6W106/10/201904/1166539_30005_0.htm

02-802.1X命令


1 802.1X

说明

WX1800H系列、WX2500H系列和WX3000H系列不支持slot参数。

 

1.1  802.1X配置命令

1.1.1  display dot1x

display dot1x命令用来显示802.1X的相关信息,包括会话连接信息、相关统计信息和配置信息等。

【命令】

display dot1x [ sessions | statistics ] [ ap ap-name [ radio radio-id ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

sessions:显示802.1X的会话连接信息。

statistics:显示802.1X的相关统计信息。

ap ap-name:显示指定AP的所有802.1X的详细信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。

radio radio-id:显示指定Radio的所有802.1X的详细信息。radio-id表示Radio编号,取值范围与AP型号有关。不指定该参数,则表示显示指定AP的所有Radio的802.1X的详细信息。

【使用指导】

如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。

如果不指定ap参数,则显示所有的802.1X信息。

【举例】

# 显示802.1X的所有信息。

<Sysname> display dot1x

 Global 802.1X parameters:

   802.1X authentication  : Enabled

   CHAP authentication    : Enabled

   Max-tx period          : 30 s

   Handshake period       : 15 s

   Quiet timer            : Disabled

       Quiet period       : 60 s

   Supp timeout           : 30 s

   Server timeout         : 100 s

   Reauth period          : 3600 s

   Max auth requests      : 2

   EAD assistant function : Disabled

       URL                : http://www.dwsoft.com

       Free IP            : 6.6.6.0         255.255.255.0

       EAD timeout        : 30 min

   Domain delimiter       : @

 Online 802.1X wired users    : 1

 Online 802.1X wireless users : 1

 

   EAPOL packets: Tx 3, Rx 3

   Sent EAP Request/Identity packets : 1

        EAP Request/Challenge packets: 1

        EAP Success packets: 1

        EAP Failure packets: 0

   Received EAPOL Start packets : 1

            EAPOL LogOff packets: 1

            EAP Response/Identity packets : 1

            EAP Response/Challenge packets: 1

            Error packets: 0

   Online 802.1X users: 1

          MAC address         Auth state

          0001-0000-0000      Authenticated

AP name: AP1  Radio ID: 1  SSID: wlan_dot1x_ssid

   BSSID                      : 1111-1111-1111

   802.1X authentication      : Enabled

   Handshake                  : Enabled

   Handshake security         : Disabled

   Periodic reauth            : Disabled

   Mandatory auth domain      : Not configured

   Max online users           : 4096

 

   EAPOL packets: Tx 3, Rx 3

   Sent EAP Request/Identity packets : 1

        EAP Request/Challenge packets: 1

        EAP Success packets: 1

        EAP Failure packets: 0

   Received EAPOL Start packets : 1

        EAPOL LogOff packets: 1

        EAP Response/Identity packets : 1

        EAP Response/Challenge packets: 1

        Error packets: 0

   Online 802.1X users: 1

          MAC address         Auth state

          0001-0000-0002      Authenticated

表1-1 display dot1x命令显示信息描述表

字段

描述

Global 802.1X parameters

全局802.1X参数配置信息

802.1X authentication

全局802.1X的开启状态

CHAP authentication

启用EAP终结方式,并采用CHAP认证方法

EAP authentication

启用EAP中继方式,并支持所有EAP认证方法

PAP authentication

启用EAP终结方式,并采用PAP认证方法

Max-tx period

用户名请求超时定时器的值

Handshake period

握手定时器的值

Quiet timer

静默定时器的开启状态

Quiet period

静默定时器的值

Supp timeout

客户端认证超时定时器的值

Server  timeout

认证服务器超时定时器的值

Reauth period

重认证定时器的值

Max auth requests

设备向接入用户发送认证请求报文的最大次数

EAD assistant function

EAD快速部署辅助功能的开启状态

URL

用户HTTP访问的重定向URL

Free IP

用户通过认证之前可访问的网段

EAD timeout

EAD老化定时器超时时间

Domain delimiter

域名分隔符

Online 802.1X wired users

在线802.1X有线用户和正在发起认证的802.1X有线用户的总数

Online 802.1X wireless users

在线802.1X无线用户和正在发起认证的802.1X无线用户的总数

AP name

AP名称

Radio ID

Radio编号

SSID

服务集标识符

BSSID

基本服务集标识符

 

1.1.2  display dot1x connection

display dot1x connection命令用来显示当前802.1X在线用户的详细信息。

【命令】

display dot1x connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-addr | user-name name-string ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ap ap-name:显示接入指定AP的所有802.1X在线用户的信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。

radio radio-id:显示接入指定Radio的802.1X在线用户的信息。radio-id表示Radio编号,取值范围与AP型号有关。不指定该参数,则表示显示接入AP下所有Radio的802.1X在线用户的信息。

slot slot-number:显示指定成员设备上的802.1X用户信息。slot-number表示设备在IRF中的成员编号。

user-mac mac-addr:显示指定MAC地址的802.1X用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。

user-name name-string:显示指定用户名的802.1X用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。

【使用指导】

若不指定任何参数,则显示所有端口的802.1X在线用户信息。

【举例】

# 显示所有802.1X在线用户信息。

<Sysname> display dot1x connection

Total connections: 1

 

Slot ID: 1

User MAC address: 0015-e9a6-7cfe

Access interface: GigabitEthernet1/0/1

Username: ias

Authentication domain: h3c

IPv4 address: 192.168.1.1

IPv6 address: 2000:0:0:0:1:2345:6789:abcd

Authentication method: CHAP

Initial VLAN: 1

Authorization untagged VLAN: N/A

Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33

                                35 37 40 to 100

Authorization ACL ID: 3001

Authorization user profile: N/A

Termination action: Default

Session timeout period: 2 s

Online from: 2013/03/02  13:14:15

Online duration: 0h 2m 15s

 

User MAC address                : 0015-e9a6-7cfe

AP name                         : ap1

Radio ID                        : 1

SSID                            : wlan_dot1x_ssid

BSSID                           : 0015-e9a6-7cf0

User name                       : ias

Authentication domain           : 1

IPv4 address                    : 192.168.1.1

IPv6 address                    : 2000:0:0:0:1:2345:6789:abcd

Authentication method           : CHAP

Initial VLAN                    : 1

Authorization VLAN              : N/A

Authorization ACL number        : 3001

Authorization user profile      : N/A

Termination action              : Default

Session timeout period          : 2 sec

Online from                     : 2013/03/02 13:14:15

Online duration                 : 0 h 2 m 15 s

 

Total 1 connections matched.

表1-2 display dot1x connection 命令显示信息描述表

字段

描述

Total connections

在线用户个数

Slot ID

当前设备的成员编号

User MAC address

用户的MAC地址

Access interface

用户的接入接口名称

AP name

AP的名称

Radio ID

Radio的ID

SSID

服务集标识符

BSSID

用户所属的基本服务集标识符

Username

用户名

Authentication domain

认证时使用的ISP域的名称

IPv4 address

用户IP地址

若未获取到用户的IP地址,则不显示该字段

IPv6 address

用户IPv6地址

若未获取到用户的IP地址,则不显示该字段

Authentication method

802.1X系统的认证方法

·     CHAP:启用EAP终结方式,并采用CHAP认证方法

·     EAP:启用EAP中继方式,并支持所有EAP认证方法

·     PAP:启用EAP终结方式,并采用PAP认证方法

Initial VLAN

初始的VLAN

Authorization untagged VLAN

授权的untagged VLAN

Authorization tagged VLAN list

授权的tagged VLAN列表

Authorization ACL ID

授权的ACL的编号

Authorization user profile

授权用户的User profile名称

Termination action

·     服务器下发的终止动作类型:

·     Default:会话超时时长到达后,强制用户下线

·     Radius-Request:会话超时时长到达后,要求802.1X用户进行重认证

用户采用本地认证时,该字段显示为N/A

Session timeout period

服务器下发的会话超时时长,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminate action字段的取值决定

用户采用本地认证时,该字段显示为N/A

Online from

用户的上线时间

Online duration

用户的在线时长

 

1.1.3  dot1x authentication-method

dot1x authentication-method命令用来配置802.1X系统的认证方法。

undo dot1x authentication-method命令用来恢复缺省情况。

【命令】

dot1x authentication-method { chap | eap | pap }

undo dot1x authentication-method

【缺省情况】

设备启用EAP终结方式,并采用CHAP认证方法。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法。

eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。

pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。

【使用指导】

在EAP终结方式下:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该认证方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。有关PAP和CHAP两种认证方法的详细介绍如下:

·     PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。目前,H3C iNode 802.1X客户端支持此认证方法。

·     CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。

在EAP中继方式下:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证。该认证方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法。

采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法。

若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。

【举例】

# 启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。

<Sysname> system-view

[Sysname] dot1x authentication-method pap

【相关命令】

·     display dot1x

1.1.4  dot1x domain-delimiter

dot1x domain-delimiter命令用来配置域名分隔符。

undo dot1x domain-delimiter命令用来恢复缺省情况。

【命令】

dot1x domain-delimiter string

undo dot1x domain-delimiter

【缺省情况】

802.1X支持的域名分隔符为@。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

string:多个域名分隔符组成的1~16个字符的字符串,其中每个字符必须是@、/、\和.四之一。若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\。

【使用指导】

目前,802.1X支持的域名分隔符包括@、\、/和.,对应的用户名格式分别为username@domain-name domain-name\usernameusername/domain-nameusername.domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.123/22\@abc,若设备上指定802.1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.123/22。

需要注意的是,系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.1X仅会支持命令中指定的分隔符。

【举例】

# 配置802.1X支持的域名分隔符为@和/。

<Sysname> system-view

[Sysname] dot1x domain-delimiter @/

【相关命令】

·     display dot1x

1.1.5  dot1x ead-assistant enable

dot1x ead-assistant enable命令用来开启EAD快速部署辅助功能。

undo dot1x ead-assistant enable命令用来关闭EAD快速部署辅助功能。

【命令】

dot1x ead-assistant enable

undo dot1x ead-assistant enable

【缺省情况】

EAD快速部署辅助功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启EAD快速部署辅助功能后,设备允许未通过认证的802.1X用户访问一个特定的IP地址段,并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的。

该命令与MAC地址认证和端口安全的全局使能命令均互斥,即开启EAD快速部署辅助功能时,若全局使能了MAC地址认证或端口安全,则该配置将会执行失败,反之亦然。

【举例】

# 开启EAD快速部署辅助功能。

<Sysname> system-view

[Sysname] dot1x ead-assistant enable

【相关命令】

·     display dot1x

·     dot1x ead-assistant free-ip

·     dot1x ead-assistant url

1.1.6  dot1x ead-assistant free-ip

dot1x ead-assistant free-ip命令用来配置Free IP,即用户在未通过802.1X认证之前能够访问的网段。

undo dot1x ead-assistant free-ip命令用来恢复缺省情况。

【命令】

dot1x ead-assistant free-ip ip-address { mask-address | mask-length }

undo dot1x ead-assistant free-ip { ip-address { mask-address | mask-length } | all }

【缺省情况】

未配置Free IP,用户在通过802.1X认证之前不能够访问任何网段。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address:指定的IP地址。

mask-address:指定的IP掩码地址。

mask-length:指定的IP掩码地址长度,取值范围为1~32。

all:所有配置的IP。

【使用指导】

全局使能EAD快速部署功能且配置Free IP之后,未通过认证的802.1X终端用户可以访问该IP地址段中的网络资源。

【举例】

# 配置用户在通过802.1X认证之前能够访问的网段为192.168.1.1/16。

<Sysname> system-view

[Sysname] dot1x ead-assistant free-ip 192.168.1.1 255.255.0.0

【相关命令】

·     display dot1x

·     dot1x ead-assistant enable

·     dot1x ead-assistant url

1.1.7  dot1x ead-assistant url

dot1x ead-assistant url命令用来配置802.1X用户HTTP访问的重定向URL。

undo dot1x ead-assistant url命令用来恢复缺省情况。

【命令】

dot1x ead-assistant url url-string

undo dot1x ead-assistant url

【缺省情况】

未配置802.1X用户HTTP访问的重定向URL。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url-string:重定向URL地址,为1~64个字符的字符串,不区分大小写。

【使用指导】

用户在802.1X认证成功之前,如果使用浏览器访问非Free IP网段的其它网络,设备会将用户访问的URL重定向到已配置的HTTP访问的重定向地址。

802.1X用户HTTP访问的重定向URL和Free IP必须在同一个网段内,否则用户无法访问指定的重定向URL。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置802.1X用户HTTP访问的重定向URL为http://test.com。

<Sysname> system-view

[Sysname] dot1x ead-assistant url http://test.com

【相关命令】

·     display dot1x

·     dot1x ead-assistant enable

·     dot1x ead-assistant free-ip

1.1.8  dot1x retry

dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。

undo dot1x retry命令用来恢复缺省情况。

【命令】

dot1x retry retries

undo dot1x retry

【缺省情况】

设备向接入用户发送认证请求报文的最大次数为2。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10。

【使用指导】

如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。对于EAP-Request/Identity报文,该时间由dot1x timer tx-period设置;对于EAP-Request/MD5 Challenge报文,该时间由dot1x timer supp-timeout设置。

【举例】

# 配置设备最多向接入用户发送9次认证请求报文。

<Sysname> system-view

[Sysname] dot1x retry 9

【相关命令】

·     display dot1x

·     dot1x timer

1.1.9  dot1x timer

dot1x timer命令用来配置802.1X的定时器参数。

undo dot1x timer命令用来将指定的定时器恢复为缺省情况。

【命令】

dot1x timer { ead-timeout ead-timeout-value | handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }

undo dot1x timer { ead-timeout | handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

【缺省情况】

握手定时器的值为15秒,EAD超时定时器的值为30分钟,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ead-timeout ead-timeout-value:EAD超时定时器的值,取值范围为1~1440,单位为分钟。

handshake-period handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。

quiet-period quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。

reauth-period reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。

server-timeout server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。

supp-timeout supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。

tx-period tx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒。

【使用指导】

802.1X认证过程受以下定时器的控制:

·     握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。

·     静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不对802.1X认证失败的用户进行802.1X认证处理。

·     周期性重认证定时器(reauth-period):端口下开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。

·     认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。

·     客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。

·     用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。

一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。

除周期性重认证定时器外的其他定时器修改后可立即生效。

【举例】

# 设置认证服务器的超时定时器时长为150秒。

<Sysname> system-view

[Sysname] dot1x timer server-timeout 150

【相关命令】

·     display dot1x

1.1.10  reset dot1x statistics

reset dot1x statistics命令用来清除802.1X的统计信息。

【命令】

reset dot1x statistics [ ap ap-name [ radio radio-id ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

ap ap-name:清除指定AP的所有802.1X统计信息,ap-name表示AP的名称,为1~63个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。

radio radio-id:清除指定AP的所有的802.1X统计信息,radio-id表示Radio编号,取值范围与AP型号有关。如果不指定该参数,则清除指定AP的所有Radio的802.1X统计信息。

【使用指导】

如果不指定任何参数,则清除所有802.1X统计信息。

【举例】

# 清除802.1X统计信息。

<Sysname> reset dot1x statistics

【相关命令】

·     display dot1x

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们