02-802.1X命令
本章节下载: 02-802.1X命令 (169.88 KB)
1.1.2 display dot1x connection
1.1.3 dot1x authentication-method
1.1.5 dot1x ead-assistant enable
1.1.6 dot1x ead-assistant free-ip
仅WX2500H-WiNet系列不支持slot参数。
display dot1x命令用来显示802.1X的相关信息,包括会话连接信息、相关统计信息和配置信息等。
【命令】
display dot1x [ sessions | statistics ] [ ap ap-name [ radio radio-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
sessions:显示802.1X的会话连接信息。
statistics:显示802.1X的相关统计信息。
ap ap-name:显示指定AP的所有802.1X的详细信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。
radio radio-id:显示指定Radio的所有802.1X的详细信息。radio-id表示Radio编号,取值范围与设备型号有关。不指定该参数,则表示显示指定AP的所有Radio的802.1X的详细信息。
【使用指导】
如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。
如果不指定ap参数,则显示所有的802.1X信息。
【举例】
# 显示802.1X的所有信息。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
EAD assistant function : Disabled
URL : http://www.dwsoft.com
Free IP : 6.6.6.0 255.255.255.0
EAD timeout : 30 min
Domain delimiter : @
Online 802.1X wired users : 1
Online 802.1X wireless users : 1
EAPOL packets: Tx 3, Rx 3
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0000 Authenticated
AP name: AP1 Radio ID: 1 SSID: wlan_dot1x_ssid
BSSID : 1111-1111-1111
802.1X authentication : Enabled
Handshake : Enabled
Handshake security : Disabled
Periodic reauth : Disabled
Mandatory auth domain : Not configured
Max online users : 4096
EAPOL packets: Tx 3, Rx 3
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0002 Authenticated
表1-1 display dot1x命令显示信息描述表
字段 |
描述 |
Global 802.1X parameters |
全局802.1X参数配置信息 |
802.1X authentication |
全局802.1X的开启状态 |
CHAP authentication |
启用EAP终结方式,并采用CHAP认证方法 |
EAP authentication |
启用EAP中继方式,并支持所有EAP认证方法 |
PAP authentication |
启用EAP终结方式,并采用PAP认证方法 |
Max-tx period |
用户名请求超时定时器的值 |
Handshake period |
握手定时器的值 |
Quiet timer |
静默定时器的开启状态 |
Quiet period |
静默定时器的值 |
Supp timeout |
客户端认证超时定时器的值 |
Server timeout |
认证服务器超时定时器的值 |
Reauth period |
重认证定时器的值 |
Max auth requests |
设备向接入用户发送认证请求报文的最大次数 |
EAD assistant function |
EAD快速部署辅助功能的开启状态 |
URL |
用户HTTP访问的重定向URL |
Free IP |
用户通过认证之前可访问的网段 |
EAD timeout |
EAD老化定时器超时时间 |
Domain delimiter |
域名分隔符 |
Online 802.1X wired users |
在线802.1X有线用户和正在发起认证的802.1X有线用户的总数 |
Online 802.1X wireless users |
在线802.1X无线用户和正在发起认证的802.1X无线用户的总数 |
AP name |
AP名称 |
Radio ID |
Radio编号 |
SSID |
服务集标识符 |
BSSID |
基本服务集标识符 |
display dot1x connection命令用来显示当前802.1X在线用户的详细信息。
【命令】
display dot1x connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-addr | user-name name-string ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示接入指定AP的所有802.1X在线用户的信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。
radio radio-id:显示接入指定Radio的802.1X在线用户的信息。radio-id表示Radio编号,取值范围与设备型号有关。不指定该参数,则表示显示接入AP下所有Radio的802.1X在线用户的信息。
slot slot-number:显示指定成员设备上的802.1X用户信息。slot-number表示设备在IRF中的成员编号。
user-mac mac-addr:显示指定MAC地址的802.1X用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。
user-name name-string:显示指定用户名的802.1X用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。
【使用指导】
若不指定任何参数,则显示所有端口的802.1X在线用户信息。
【举例】
# 显示所有802.1X在线用户信息。
<Sysname> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
Authentication domain: h3c
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Authentication method: CHAP
Initial VLAN: 1
Authorization untagged VLAN: N/A
Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33
35 37 40 to 100
Authorization ACL ID: 3001
Authorization user profile: N/A
Termination action: Default
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Authentication domain : 1
IPv4 address : 192.168.1.1
IPv6 address : 2000:0:0:0:1:2345:6789:abcd
Authentication method : CHAP
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : 3001
Authorization user profile : N/A
Termination action : Default
Session timeout period : 2 sec
Online from : 2013/03/02 13:14:15
Online duration : 0 h 2 m 15 s
Total 1 connections matched.
表1-2 display dot1x connection 命令显示信息描述表
字段 |
描述 |
Total connections |
在线用户个数 |
Slot ID |
当前设备的成员编号 |
User MAC address |
用户的MAC地址 |
Access interface |
用户的接入接口名称 |
AP name |
AP的名称 |
Radio ID |
Radio的ID |
SSID |
服务集标识符 |
BSSID |
用户所属的基本服务集标识符 |
Username |
用户名 |
Authentication domain |
认证时使用的ISP域的名称 |
IPv4 address |
用户IP地址 若未获取到用户的IP地址,则不显示该字段 |
IPv6 address |
用户IPv6地址 若未获取到用户的IP地址,则不显示该字段 |
Authentication method |
802.1X系统的认证方法 · CHAP:启用EAP终结方式,并采用CHAP认证方法 · EAP:启用EAP中继方式,并支持所有EAP认证方法 · PAP:启用EAP终结方式,并采用PAP认证方法 |
Initial VLAN |
初始的VLAN |
Authorization untagged VLAN |
授权的untagged VLAN |
Authorization tagged VLAN list |
授权的tagged VLAN列表 |
Authorization ACL ID |
授权的ACL的编号 |
Authorization user profile |
授权用户的User profile名称 |
Termination action |
· 服务器下发的终止动作类型: · Default:会话超时时长到达后,强制用户下线 · Radius-Request:会话超时时长到达后,要求802.1X用户进行重认证 用户采用本地认证时,该字段显示为N/A |
Session timeout period |
服务器下发的会话超时时长,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminate action字段的取值决定 用户采用本地认证时,该字段显示为N/A |
Online from |
用户的上线时间 |
Online duration |
用户的在线时长 |
dot1x authentication-method命令用来配置802.1X系统的认证方法。
undo dot1x authentication-method命令用来恢复缺省情况。
【命令】
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
【缺省情况】
设备启用EAP终结方式,并采用CHAP认证方法。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法。
eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
【使用指导】
在EAP终结方式下:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该认证方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。有关PAP和CHAP两种认证方法的详细介绍如下:
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。目前,H3C iNode 802.1X客户端支持此认证方法。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
在EAP中继方式下:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证。该认证方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法。
采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法。
若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见“安全命令参考”中的“AAA”。
【举例】
# 启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【相关命令】
· display dot1x
dot1x domain-delimiter命令用来配置域名分隔符。
undo dot1x domain-delimiter命令用来恢复缺省情况。
【命令】
dot1x domain-delimiter string
undo dot1x domain-delimiter
【缺省情况】
802.1X支持的域名分隔符为@。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
string:多个域名分隔符组成的1~16个字符的字符串,其中每个字符必须是@、/、\和.四之一。若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\。
【使用指导】
目前,802.1X支持的域名分隔符包括@、\、/和.,对应的用户名格式分别为username@domain-name, domain-name\username、username/domain-name和username.domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.123/22\@abc,若设备上指定802.1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.123/22。
需要注意的是,系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.1X仅会支持命令中指定的分隔符。
【举例】
# 配置802.1X支持的域名分隔符为@和/。
<Sysname> system-view
[Sysname] dot1x domain-delimiter @/
【相关命令】
· display dot1x
dot1x ead-assistant enable命令用来开启EAD快速部署辅助功能。
undo dot1x ead-assistant enable命令用来关闭EAD快速部署辅助功能。
【命令】
dot1x ead-assistant enable
undo dot1x ead-assistant enable
【缺省情况】
EAD快速部署辅助功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启EAD快速部署辅助功能后,设备允许未通过认证的802.1X用户访问一个特定的IP地址段,并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的。
该命令与MAC地址认证和端口安全的全局使能命令均互斥,即开启EAD快速部署辅助功能时,若全局使能了MAC地址认证或端口安全,则该配置将会执行失败,反之亦然。
【举例】
# 开启EAD快速部署辅助功能。
<Sysname> system-view
[Sysname] dot1x ead-assistant enable
【相关命令】
· display dot1x
· dot1x ead-assistant free-ip
· dot1x ead-assistant url
dot1x ead-assistant free-ip命令用来配置Free IP,即用户在未通过802.1X认证之前能够访问的网段。
undo dot1x ead-assistant free-ip命令用来恢复缺省情况。
【命令】
dot1x ead-assistant free-ip ip-address { mask-address | mask-length }
undo dot1x ead-assistant free-ip { ip-address { mask-address | mask-length } | all }
【缺省情况】
未配置Free IP,用户在通过802.1X认证之前不能够访问任何网段。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address:指定的IP地址。
mask-address:指定的IP掩码地址。
mask-length:指定的IP掩码地址长度,取值范围为1~32。
all:所有配置的IP。
【使用指导】
全局使能EAD快速部署功能且配置Free IP之后,未通过认证的802.1X终端用户可以访问该IP地址段中的网络资源。
【举例】
# 配置用户在通过802.1X认证之前能够访问的网段为192.168.1.1/16。
<Sysname> system-view
[Sysname] dot1x ead-assistant free-ip 192.168.1.1 255.255.0.0
【相关命令】
· display dot1x
· dot1x ead-assistant enable
· dot1x ead-assistant url
dot1x ead-assistant url命令用来配置802.1X用户HTTP访问的重定向URL。
undo dot1x ead-assistant url命令用来恢复缺省情况。
【命令】
dot1x ead-assistant url url-string
undo dot1x ead-assistant url
【缺省情况】
未配置802.1X用户HTTP访问的重定向URL。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
url-string:重定向URL地址,为1~64个字符的字符串,不区分大小写。
【使用指导】
用户在802.1X认证成功之前,如果使用浏览器访问非Free IP网段的其它网络,设备会将用户访问的URL重定向到已配置的HTTP访问的重定向地址。
802.1X用户HTTP访问的重定向URL和Free IP必须在同一个网段内,否则用户无法访问指定的重定向URL。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置802.1X用户HTTP访问的重定向URL为http://test.com。
<Sysname> system-view
[Sysname] dot1x ead-assistant url http://test.com
【相关命令】
· display dot1x
· dot1x ead-assistant enable
· dot1x ead-assistant free-ip
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。
undo dot1x retry命令用来恢复缺省情况。
【命令】
dot1x retry retries
undo dot1x retry
【缺省情况】
设备向接入用户发送认证请求报文的最大次数为2。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10。
【使用指导】
如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。对于EAP-Request/Identity报文,该时间由dot1x timer tx-period设置;对于EAP-Request/MD5 Challenge报文,该时间由dot1x timer supp-timeout设置。
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【相关命令】
· display dot1x
· dot1x timer
dot1x timer命令用来配置802.1X的定时器参数。
undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
【命令】
dot1x timer { ead-timeout ead-timeout-value | handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }
undo dot1x timer { ead-timeout | handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }
【缺省情况】
握手定时器的值为15秒,EAD超时定时器的值为30分钟,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ead-timeout ead-timeout-value:EAD超时定时器的值,取值范围为1~1440,单位为分钟。
handshake-period handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。
quiet-period quiet-period-value:静默定时器的值,取值范围为10~120,单位为秒。
reauth-period reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。
supp-timeout supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。
tx-period tx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒。
【使用指导】
802.1X认证过程受以下定时器的控制:
· 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。
· 静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不对802.1X认证失败的用户进行802.1X认证处理。
· 周期性重认证定时器(reauth-period):端口下开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。
· 客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
· 用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端。tx-period定义了该组播报文的发送时间间隔。
一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。
除周期性重认证定时器外的其他定时器修改后可立即生效。
【举例】
# 设置认证服务器的超时定时器时长为150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【相关命令】
· display dot1x
reset dot1x statistics命令用来清除802.1X的统计信息。
【命令】
reset dot1x statistics [ ap ap-name [ radio radio-id ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ap ap-name:清除指定AP的所有802.1X统计信息,ap-name表示AP的名称,为1~63个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。
radio radio-id:清除指定AP的所有的802.1X统计信息,radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则清除指定AP的所有Radio的802.1X统计信息。
【使用指导】
如果不指定任何参数,则清除所有802.1X统计信息。
【举例】
# 清除802.1X统计信息。
<Sysname> reset dot1x statistics
· display dot1x
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!