- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
18-802.1x命令
本章节下载 (198.36 KB)
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
任意视图
【参数】
sessions:显示802.1x的会话连接信息。
statistics:显示802.1x的相关统计信息。
interface:显示指定端口的802.1x相关信息。
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
display dot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况(会话连接信息)以及相关统计信息等。
缺省情况下,显示802.1x在各端口的所有相关信息。
如果在执行本命令的时候不指定端口,系统将显示交换机所有802.1x相关信息。根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,并进一步有助于802.1x故障的诊断与排除。
相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x max-user, dot1x port-control, dot1x port-method, dot1x timer。
【举例】
# 显示802.1x的配置信息。
<H3C> display dot1x
Equipment 802.1X protocol is enabled
CHAP authentication is enabled
DHCP-launch is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Guest Vlan is disabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
ReAuth Period 003600 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Interval between version requests is 30s
maximal request times for version information is 3
The maximal retransmitting times 2
Total maximum 802.1x user resource number is 4096
Total current used 802.1x resource number is 0
GigabitEthernet2/0/1 is link-up
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Guest Vlan is disabled
Version-Check is disabled
The port is a(n) authenticator
Authenticate Mode is auto
Port Control Type is Mac-based
ReAuthenticate is disabled
Max on-line user number is 1024
……(以下略)
表1-1 802.1x配置信息描述表
|
域名 |
描述 |
|
Equipment 802.1X protocol is enabled |
交换机802.1x特性已经开启 |
|
CHAP authentication is enabled |
使能CHAP认证 |
|
DHCP-launch is disabled |
在DHCP环境中,如果用户私自配置静态IP,交换机触发对该用户的身份认证 |
|
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入:disable表示检测用户使用代理后,不发送Trap报文;enable表示检测用户使用代理后,发送Trap报文 |
|
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入:disable表示检测用户使用代理后,不切断用户连接;enable表示检测用户使用代理后,切断用户连接 |
|
Guest Vlan is disabled |
Guest Vlan功能处于关闭状态 |
|
Transmit Period |
发送间隔定时器 |
|
Handshake Period |
802.1x的握手报文的发送时间间隔 |
|
ReAuth Period |
802.1x重认证定时器 |
|
Quiet Period |
静默定时器设置的静默时长 |
|
Quiet Period Timer is disabled |
静默定时器处于关闭状态 |
|
Supp Timeout |
Supplicant认证超时定时器 |
|
Server Timeout |
Authentication Server超时定时器 |
|
Interval between version requests |
客户端版本请求超时定时器 |
|
maximal request times for version information |
交换机可重复向接入用户发送版本请求帧的最大次数 |
|
The maximal retransmitting times |
交换机可重复向接入用户发送认证请求帧的次数 |
|
Total maximum 802.1x user resource number |
最多可接入用户数 |
|
Total current used 802.1x resource number |
当前在线接入用户数 |
|
GigabitEthernet2/0/1 is link-up |
端口GigabitEthernet 2/0/1的状态为Up |
|
802.1X protocol is disabled |
该端口未使能802.1X协议 |
|
Proxy trap checker is disabled |
该端口是否检测通过代理登录用户的接入:disable表示不检测;enable表示检测用户使用代理后,发送Trap报文 |
|
Proxy logoff checker is disabled |
该端口是否检测通过代理登录用户的接入:disable表示不检测;enable表示检测用户使用代理后,切断用户连接 |
|
Guest Vlan is disabled |
Guest Vlan功能处于关闭状态 |
|
Version-Check is disabled |
版本检测功能处于关闭状态 |
|
The port is a(n) authenticator |
该端口担当Authenticator作用 |
|
Authenticate Mode is auto |
端口接入控制的模式为auto |
|
Port Control Type is Mac-based |
端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证 |
|
Max on-line user number |
本端口最多可容纳的接入用户数 |
|
… |
略 |
【命令】
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性。undo dot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启全局的802.1x特性;如果指定了interface-list,则表示开启指定端口的802.1x特性。在以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x特性。
802.1x特性启动前后,均可以使用配置命令来配置全局或端口的802.1x特性参数。如果在开启全局802.1x特性前没有配置全局或端口的其它802.1x特性参数,则这些参数在运行时均为缺省值。
全局802.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才能在端口上生效。
如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数(通过命令mac-address max-mac-count配置),反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口Ethernet 3/0/1上的802.1x特性。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x interface Ethernet 3/0/1
# 开启全局的802.1x特性。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x
【命令】
dot1x authentication-method { chap | pap | eap }
undo dot1x authentication-method
【视图】
系统视图
【参数】
chap:采用CHAP认证方式。
pap:采用PAP认证方式。
eap:采用EAP认证方式。
【描述】
dot1x authentication-method命令用来设置802.1x用户的认证方法。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方法。
缺省情况下,802.1x用户认证方法为CHAP认证。
PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令;
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS或者EAP-MD5这三种认证方法之一,只需启动EAP认证即可。
需要注意的是,PAP、CHAP、EAP认证功能的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证。
相关配置可参考命令display dot1x。
【举例】
# 设置交换机802.1X用户采用PAP认证。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x authentication-method pap
【命令】
dot1x dhcp-launch
undo dot1x dhcp-launch
【视图】
系统视图
【参数】
无
【描述】
dot1x dhcp-launch命令用来设置802.1x允许以太网交换机在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。undo dot1x dhcp-launch命令用来指示不允许DHCP触发对接入用户的身份认证。
缺省情况下,不允许DHCP触发对接入用户的身份认证。
相关配置可参考命令display dot1x。
【举例】
# 允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x dhcp-launch
【命令】
dot1x guest-vlan vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:Guest VLAN的VLAN ID,取值范围为1~4094。
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x guest-vlan命令用来开启指定端口的Guest VLAN功能。undo dot1x guest-vlan命令用来关闭Guest VLAN功能。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示开启所有端口的Guest VLAN功能。
l 如果指定了interface-list,则表示开启指定端口的Guest VLAN功能。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的Guest VLAN功能。
注意:
l 只有在端口认证方式下,交换机才可以支持Guest VLAN功能;
l 一台交换机只能配置一个Guest VLAN;
l 当交换机配置为dot1x dhcp-launch方式时,因为该方式下交换机不发送主动认证报文,Guest VLAN功能不能实现。
【举例】
# 设置认证方式为基于端口的方式。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x port-method portbased
# 开启所有端口的Guest VLAN功能。
[H3C] dot1x guest-vlan 1
【命令】
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
user-number:端口可容纳接入用户数量的最大值,取值范围为1~1024。
缺省情况下,端口上可容纳接入用户数量的最大值为1024。
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。
在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet 3/0/1最多可容纳32个接入用户。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x max-user 32 interface Ethernet 3/0/1
【命令】
dot1x port-control { auto | authorized-force | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
auto:自动识别模式;指示端口初始状态为非授权状态,仅允许EAPoL报文收发,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
authorized-force:强制授权模式;指示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
unauthorized-force:强制非授权模式;指示端口始终处于非授权状态,不允许用户访问网络资源。
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x port-control命令用来设置802.1x在指定端口上进行接入控制的模式。undo dot1x port-control命令用来恢复缺省的接入控制模式。
缺省情况下,接入控制模式为auto。
dot1x port-control命令用来设置802.1x在指定端口上进行接入控制的模式,即端口处于什么状态。在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 3/0/1处于强制非授权状态。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x port-control unauthorized-force interface Ethernet 3/0/1
【命令】
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证。
portbased:指示802.1x认证系统基于端口对接入用户进行认证。
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
缺省情况下,接入控制方式为macbased。
【描述】
dot1x port-method命令用来设置802.1x在指定端口上进行接入控制的方式。undo dot1x port-method命令用来恢复缺省的接入控制方式。
此命令用来设置802.1x在指定端口上进行接入控制的方式,即基于什么来对用户进行认证。当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;当采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 3/0/1基于端口对接入用户进行认证。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x port-method portbased interface Ethernet 3/0/1
【命令】
dot1x quiet-period
undo dot1x quiet-period
【视图】
系统视图
【参数】
无
【描述】
dot1x quiet-period命令用来开启quiet-period定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。
当802.1x用户认证失败以后,Authenticator设备(如H3C系列以太网交换机)需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator设备不进行802.1x认证的相关处理。
缺省情况下,关闭quiet-period定时器功能。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 打开quiet-period定时器。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x quiet-period
【命令】
dot1x re-authenticate [ interface interface-list ]
undo dot1x re-authenticate [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x re-authenticate用来开启特定端口或设备所有Authenticator端口的802.1X重认证特性。undo dot1x re-authenticate用来关闭特定端口或设备所有Authenticator端口的802.1X重认证特性。
缺省情况下,所有端口的802.1X重认证特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启所有端口的802.1X重认证特性;如果指定了interface-list参数,则表示开启指定端口的802.1X重认证特性。以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1X重认证特性。
在配置端口802.1X重认证特性之前,必须开启全局802.1X特性和该端口的802.1x特性。
【举例】
# 在端口Ethernet 3/0/1上启动802.1X重认证功能。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] interface Ethernet 3/0/1
[H3C-Ethernet3/0/1] dot1x re-authenticate
【命令】
dot1x retry max-retry-value
undo dot1x retry
【视图】
系统视图
【参数】
max-retry-value:可重复向接入用户发送认证请求帧的最大次数,取值范围为1~10。缺省情况下,可重复向接入用户发送认证请求帧的最大次数为2次。
【描述】
dot1x retry命令用来设置以太网交换机可重复向接入用户发送认证请求帧的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省值。
如果交换机初次向用户发送认证请求帧后,在规定的时间里没有收到用户的响应,则交换机将再次向用户发送该认证请求。此命令就是用来设置以太网交换机可重复向接入用户发送认证请求帧的次数。取值为1时表示只允许向用户发送一次认证请求帧,如果没有收到响应,不再重复发送;取值为2时表示在首次向用户发送请求又没有收到响应后,将重复发送1次;……依次类推。本命令设置后将作用于所有端口。
相关配置可参考命令display dot1x。
【举例】
# 指示本机最多向接入用户发送9次认证请求帧。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x retry 9
【命令】
dot1x retry-version-max max-retry-version-value
undo dot1x retry-version-max
【视图】
系统视图
【参数】
max-retry-version-value:重复向接入用户发送版本请求帧的最大次数,取值范围为1~10。
【描述】
dot1x retry-version-max命令用来设置以太网交换机可重复向接入用户发送版本请求帧的最大次数。undo dot1x retry-version-max命令用来将该最大发送次数恢复为缺省值。
缺省情况下,太网交换机可重复向接入用户发送版本请求帧的最大次数为3次。
当交换机初次向用户发送客户端版本请求帧后,如果在一定时间(由版本验证的超时定时器指定)内没有收到客户端的响应,交换机会再次向客户端发送版本请求,当发送次数达到由本配置任务配置的最大次数后仍没有收到响应,交换机不再对客户端的版本进行验证,而继续进行后续的认证过程。本命令设置后将作用于所有启动版本验证功能的端口。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 配置交换机最多向接入用户发送6次版本请求帧。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x retry-version-max 6
【命令】
dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
logoff:检测到用户使用代理或者开启多网卡登录后,切断用户连接。
trap:检测到用户使用代理或者开启多网卡登录后,发送Trap报文。
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x supp-proxy-check命令用来设置交换机对通过代理登录的用户的检测及接入控制。undo dot1x supp-proxy-check命令用来取消交换机对通过代理登录的用户的检测及相关控制的设置。
此命令如果在系统视图下执行,可以作用于interface-list参数所指定的某个端口;如果不输入interface-list参数,则为全局配置;如果在以太网端口视图下执行,不能输入interface-list参数,只能作用于当前端口。
在系统视图下开启全局的代理用户检测功能后,必须再开启指定端口的代理用户检测特性,此特性的配置才能在该端口上生效。
交换机的802.1x客户端检测特性包括:
l 检测使用代理服务器登录的用户;
l 检测使用IE代理服务器登录的用户;
l 检测用户是否使用多网卡(即用户登录时,其PC上处于激活状态的网卡超过一个)。
当交换机发现以上任意一种情况时,可以采取以下控制措施:
l 切断用户连接,并发送Trap报文(使用命令dot1x supp-proxy-check logoff配置);
l 只发送Trap报文,不切断用户连接(使用命令dot1x supp-proxy-check trap配置)。
此功能的实现需要802.1x客户端和CAMS的配合:
l 802.1x客户端需要具备检测用户是否使用多网卡、代理服务器或者IE代理服务器功能;
l CAMS上开启认证客户端禁用多网卡、禁用代理服务器或者禁用IE代理服务器功能。
802.1x客户端默认关闭防止使用多网卡、代理服务器或IE代理服务器功能,如果CAMS打开防多网卡、代理或IE代理功能,则在用户认证成功时,CAMS会下发属性通知802.1x客户端打开防多网卡、代理或IE代理功能。
& 说明:
l 该功能的实现需要H3C 802.1x客户端程序(iNode)的配合(该客户端程序要求版本为V1.29或以上)。
l 对于检测通过代理登录的用户功能,需要在CAMS上也启用该功能,同时需要在交换机上启用客户端版本检测功能(通过命令dot1x version-check配置)。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet3/0/1~Ethernet3/0/8检测到用户使用代理后,切断该用户的连接。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x supp-proxy-check logoff
[H3C] dot1x supp-proxy-check logoff interface Ethernet 3/0/1 to Ethernet 3/0/8
# 设置端口Ethernet 3/0/9检测到登录的用户使用代理后,交换机发送Trap报文。
[H3C] dot1x supp-proxy-check trap
[H3C] dot1x supp-proxy-check trap interface Ethernet 3/0/9
或
[H3C] dot1x supp-proxy-check trap
[H3C] interface Ethernet 3/0/9
[H3C-Ethernet3/0/9] dot1x supp-proxy-check trap
【命令】
dot1x timer { handshake-period handshake-period-value | reauth-period reauth-period-value | quiet-period quiet-period-value | tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value | ver-period ver-period-value }
undo dot1x timer { handshake-period | reauth-period | quiet-period | tx-period | supp-timeout | server-timeout | ver-period }
【视图】
系统视图
【参数】
handshake-period:此定时器是在用户认证成功后启动的,系统以此间隔为周期发送握手请求报文。如果dot1x retry命令配置重试次数为N,则系统连续N次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线状态。
handshake-period-value:握手时间间隔,取值范围为1~1024,单位为秒。缺省情况下,握手报文的发送时间间隔为15秒。
reauth-period:重认证超时定时器。在该定时器设置的时长内,Supplicant设备会发起802.1X重认证。
reauth-period-value:重认证超时定时器设置的时长,取值范围为1~86400,单位为秒。缺省值为3600秒。
quiet-period:静默定时器。对用户认证失败以后,Authenticator设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator设备不处理认证功能。
quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒。缺省情况下,quiet-period-value为60秒。
tx-period:传送超时定时器。以下两种情况Authenticator设备启动tx-period定时器:其一是在客户端主动发起认证的情况下,当交换机向客户端发送单播Request/Identity请求报文后,交换机启动该定时器,若在该定时器设置的时长内,交换机没有收到客户端的响应,则交换机将重发认证请求报文;其二是为了对不支持主动发起认证的802.1x客户端进行认证,交换机会在启动802.1x功能的端口不停地发送组播Request/Identity报文,发送的间隔为tx-period。
tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,tx-period-value为30秒。
supp-timeout:Supplicant认证超时定时器。当Authenticator设备向Supplicant设备发送了Request/Challenge请求报文(该报文用于请求Supplicant设备的MD5加密密文)后,Authenticator设备启动supp-timeout定时器,若在该定时器设置的时长内,Supplicant设备未成功响应,Authenticator设备将重发该报文。
supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,supp-timeout-value为30秒。
server-timeout:Authentication Server超时定时器。若在该定时器设置的时长内,Authentication Server未成功响应,Authenticator设备将重发认证请求报文。
server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒。缺省情况下,server-timeout-value为100秒。
ver-period:客户端版本请求超时定时器。若在该定时器设置的时长内,Supplicant设备未成功发送版本应答报文,则Authenticator设备将重发版本请求报文。
ver-period-value:版本请求超时定时器设置的时长,取值范围为1~30,单位为秒。缺省值为30秒。
【描述】
dot1x timer命令用来配置802.1x的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省值。
802.1x在运行时会启动很多定时器以控制接入用户(Supplicant)、接入认证设备(Authenticator)以及认证服务器(Authentication Server)之间进行合理、有序的交互。使用此命令可以改变部分定时器值(另外部分定时器是不可调节的),以调节交互进程。这在较为特殊或比较恶劣的网络环境下可能是必需的措施。一般情况下,请保持这些定时器的缺省值。
相关配置可参考命令display dot1x。
【举例】
# 设置Authentication Server超时定时器时长为150秒。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] dot1x timer server-timeout 150
【命令】
dot1x version-check [ interface interface-list ]
undo dot1x version-check [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x version-check用来开启指定端口上的802.1X客户端版本检测特性。undo dot1x version-check用来关闭指定端口上对802.1X客户端的版本检测特性。
缺省情况下,所有端口的802.1X客户端版本检测特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启所有端口的802.1X客户端版本检测特性;如果指定了interface-list参数,则表示开启指定端口的802.1X客户端版本检测特性。以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1X版本检测特性。
【举例】
# 配置端口Ethernet3/0/1在接收到认证报文时检测802.1X客户端的版本。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] interface Ethernet 3/0/1
[H3C-Ethernet3/0/1] dot1x version-check
【命令】
reset dot1x statistics [ interface interface-list ]
【视图】
用户视图
【参数】
interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-name [ to interface-name ] } & < 1-10 >。其中,interface-name为单个以太网端口,可表示为interface-name = { interface-type interface-num },interface-type为端口类型,interface-num为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
reset dot1x statistics命令用来清除802.1x的统计信息。
当用户想删除802.1x原有统计信息,重新进行相关信息统计时,可以使用该命令。
在清除原有的统计信息时,如果不指定端口类型和端口号,则清除交换机上的全局及所有端口的802.1x统计信息;如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息。
相关配置可参考命令display dot1x。
【举例】
# 清除以太网端口Ethernet 3/0/1上的802.1x统计信息。
<H3C> reset dot1x statistics interface Ethernet 3/0/1
【命令】
display habp
【视图】
任意视图
【参数】
无
【描述】
display habp命令用来显示HABP特性的配置信息和状态。
【举例】
# 显示HABP特性的配置信息和状态。
<H3C> display habp
Global HABP information:
HABP Mode: Server
Sending HABP request packets every 20 seconds
Bypass VLAN: 2
|
域名 |
解释 |
|
HABP Mode |
当前交换机的HABP特性的工作模式,可以为server或者client |
|
Sending HABP request packets every 20 seconds |
HABP请求报文的发送时间间隔 |
|
Bypass VLAN |
在指定的VLAN内发送HABP报文 |
【命令】
display habp table
【视图】
任意视图
【参数】
无
【描述】
display habp table命令用来显示HABP的MAC地址表的信息。
【举例】
# 显示HABP的MAC地址表的信息。
<H3C> display habp table
MAC Holdtime Receive Port
001f-3c00-0030 53 Ethernet2/0/1
|
域名 |
解释 |
|
MAC |
HABP的MAC地址表项中的MAC地址 |
|
Holdtime |
MAC地址表项的保持时间,在此时间内如果该表项没有被刷新过,该表项将被老化 |
|
Receive Port |
学习到该MAC地址表项的端口 |
【命令】
display habp traffic
【视图】
任意视图
【参数】
无
【描述】
display habp traffic命令用来显示HABP报文的统计信息。
【举例】
# 显示HABP报文的统计信息。
<H3C> display habp traffic
HABP counters :
Packets output: 0, Input: 0
ID error: 0, Type error: 0, Version error: 0
Sent failed: 0
|
域名 |
解释 |
|
Packets output |
发送的HABP报文数 |
|
Input |
接收的HABP报文数 |
|
ID error |
ID错误的报文数 |
|
Type error |
类型错误的报文数 |
|
Version error |
版本错误的报文数 |
|
Sent failed |
发送失败的报文数 |
【命令】
habp enable
undo habp enable
【视图】
系统视图
【参数】
无
【描述】
habp enable命令用来启动交换机的HABP特性。undo habp enable命令用来关闭HABP特性。
缺省情况下,交换机上启动HABP特性。
如果交换机上启动了802.1x特性,如果不启动交换机的HABP特性,作为管理设备的交换机将不能管理下挂的交换机。因此在启动了802.1x特性的网络中,需要启动相应交换机的HABP特性。
【举例】
# 启动交换机的HABP特性。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] habp enable
【命令】
habp server vlan vlan-id
undo habp server
【视图】
系统视图
【参数】
vlan-id:VLAN的ID,取值范围1~4094。
【描述】
habp server vlan命令用来在交换机上设置HABP特性的模式为server模式,同时指定HABP报文在指定的VLAN内传播。undo habp server vlan命令用来恢复交换机HABP特性为缺省模式。
缺省情况下,交换机的HABP特性工作在client模式下。
用户必须首先使用habp enable命令在交换机上启动HABP特性,然后才能指定HABP特性工作在server模式下。在不使能HABP特性时,用户也可以配置交换机的HABP特性工作在server模式下,但命令不生效。
【举例】
# 在交换机上设置HABP特性的模式为server模式,同时指定HABP报文在指定的VLAN 2内传播。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] habp server vlan 2
【命令】
habp timer interval
undo habp timer
【视图】
系统视图
【参数】
interval:发送HABP请求报文的时间间隔,取值范围为5~600,单位为秒。
【描述】
habp timer命令用来设置交换机发送HABP请求报文的时间间隔。undo habp timer命令用来将发送HABP请求报文的时间间隔恢复为缺省值。
缺省情况下,交换机发送HABP请求报文的时间间隔为20秒。
本配置只需要在HABP特性工作模式为server的交换机上进行配置。
【举例】
# 设置发送HABP请求报文的时间间隔为50秒。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] habp timer 50
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
