- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-802.1X配置
本章节下载: 02-802.1X配置 (418.61 KB)
802.1X协议是一种基于端口的网络接入控制协议,即在局域网接入设备的端口上对所接入的用户和设备进行认证,以便控制用户设备对网络资源的访问。
802.1X系统中包括三个实体:客户端(Client)、设备端(Device)和认证服务器(Authentication server),如图1-1所示。
图1-1 802.1X体系结构图
· 客户端是请求接入局域网的用户终端,由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。
· 设备端是局域网中控制客户端接入的网络设备,位于客户端和认证服务器之间,为客户端提供接入局域网的端口(物理端口或逻辑端口),并通过与认证服务器的交互来对所连接的客户端进行认证。
· 认证服务器用于对客户端进行认证、授权和计费,通常为RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性,并将验证结果通知给设备端,由设备端决定是否允许客户端接入。在一些规模较小的网络环境中,认证服务器的角色也可以由设备端来代替,即由设备端对客户端进行本地认证、授权和计费。
设备端为客户端提供的接入局域网的端口被划分为两个逻辑端口:受控端口和非受控端口。任何到达该端口的帧,在受控端口与非受控端口上均可见。
· 非受控端口:始终处于双向连通状态,主要用来传递认证报文,保证客户端始终能够发出或接收认证报文。
· 受控端口:设备端利用认证服务器对需要接入局域网的客户端进行认证,并根据认证结果(Accept或Reject)对受控端口的授权状态进行相应地控制。
¡ 客户端认证成功,受控端口处于授权状态。该状态下端口双向连通,用于传递业务报文。
¡ 客户端认证失败,受控端口处于非授权状态。该状态下,又可以分为两种情况:
- 双向受控状态:禁止帧的发送和接收;
- 单向受控状态时:禁止从客户端接收帧,但允许向客户端发送帧。目前,设备上的受控端口只能处于单向受控状态。
802.1X系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架,它可以支持多种认证方法,例如MD5-Challenge、EAP-TLS(Extensible Authentication Protocol -Transport Layer Security,可扩展认证协议-传输层安全)、PEAP(Protected Extensible Authentication Protocol,受保护的扩展认证协议)等。在客户端与设备端之间,EAP报文使用EAPOL(Extensible Authentication Protocol over LAN,局域网上的可扩展认证协议)封装格式承载于数据帧中传递。在设备端与RADIUS服务器之间,EAP报文的交互有EAP中继和EAP终结两种处理机制。
设备端对收到的EAP报文进行中继,使用EAPOR(EAP over RADIUS)封装格式将其承载于RADIUS报文中发送给RADIUS服务器。
图1-3 EAP中继原理示意图
该处理机制下,EAP认证过程在客户端和RADIUS服务器之间进行。RADIUS服务器作为EAP服务器来处理客户端的EAP认证请求,设备相当于一个中继,仅对EAP报文做中转。
设备对EAP认证过程进行终结,将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中,与服务器之间采用PAP(Password Authentication Protocol,密码认证协议)或CHAP(Challenge Handshake Authentication Protocol,质询握手认证协议)方法进行认证。
图1-4 EAP终结原理示意图
表1-1 EAP中继与EAP终结的对比
|
报文交互方式 |
优势 |
局限性 |
|
EAP中继 |
· 支持多种EAP认证方法 · 设备端的配置和处理流程简单 |
一般来说需要RADIUS服务器支持EAP-Message和Message-Authenticator属性,以及客户端采用的EAP认证方法 |
|
EAP终结 |
对RADIUS服务器无特殊要求,支持PAP认证和CHAP认证即可 |
· 仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证 · 设备端处理相对复杂 |
EAP报文格式如图1-5所示。
图1-5 EAP报文格式
· Code:EAP报文的类型,包括Request(1)、Response(2)、Success(3)和Failure(4)。
· Identifier:用于匹配Request消息和Response消息的标识符。
· Length:EAP报文的长度,包含Code、Identifier、Length和Data域,单位为字节。
· Data:EAP报文的内容,该字段仅在EAP报文的类型为Request和Response时存在,它由类型域和类型数据两部分组成,例如,类型域为1表示Identity类型,类型域为4表示MD5 challenge类型。
EAPOL是802.1X协议定义的一种承载EAP报文的封装技术,主要用于在局域网中传送客户端和设备端之间的EAP协议报文。EAPOL数据包的格式如图1-6所示。
图1-6 EAPOL数据包格式
· PAE Ethernet Type:表示协议类型。EAPOL的协议类型为0x888E。
· Protocol Version:表示EAPOL数据帧的发送方所支持的EAPOL协议版本号。
· Type:表示EAPOL数据帧类型。目前设备上支持的EAPOL数据帧类型见表1-2。
表1-2 EAPOL数据帧类型
|
类型值 |
数据帧类型 |
说明 |
|
0x00 |
EAP-Packet |
认证信息帧,用于承载客户端和设备端之间的EAP报文 |
|
0x01 |
EAPOL-Start |
认证发起帧,用于客户端向设备端发起认证请求 |
|
0x02 |
EAPOL-Logoff |
退出请求帧,用于客户端向设备端发起下线请求 |
· Length:表示数据域的长度,也就是Packet Body字段的长度,单位为字节。当EAPOL数据帧的类型为EAPOL-Start或EAPOL-Logoff时,该字段值为0,表示后面没有Packet Body字段。
· Packet Body:数据域的内容。
RADIUS为支持EAP认证增加了两个属性:EAP-Message(EAP消息)和Message-Authenticator(消息认证码)。在含有EAP-Message属性的数据包中,必须同时包含Message-Authenticator属性。关于RADIUS报文格式的介绍请参见“用户接入与认证配置指导”中的“AAA”的RADIUS协议简介部分。
· EAP-Message
如图1-7所示,EAP-Message属性用来封装EAP报文,Value域最长253字节,如果EAP报文长度大于253字节,可以对其进行分片,依次封装在多个EAP-Message属性中。
图1-7 EAP-Message属性封装
· Message-Authenticator
如图1-8所示,Message-Authenticator属性用于在EAP认证过程中验证携带了EAP-Message属性的RADIUS报文的完整性,避免报文被篡改。如果接收端对接收到的RADIUS报文计算出的完整性校验值与报文中携带的Message-Authenticator属性的Value值不一致,该报文会被认为无效而丢弃。
图1-8 Message-Authenticator属性封装
设备端支持采用EAP中继方式或EAP终结方式与远端RADIUS服务器交互。以下关于802.1X认证过程的描述,都以客户端主动发起认证为例。
这种方式是IEEE 802.1X标准规定的,将EAP承载在其它高层协议中,如EAP over RADIUS,以便EAP报文穿越复杂的网络到达认证服务器。一般来说,需要RADIUS服务器支持EAP属性:EAP-Message和Message-Authenticator。
如图1-9所示,以MD5-Challenge类型的EAP认证为例,具体认证过程如下。
图1-9 IEEE 802.1X认证系统的EAP中继方式认证流程
(1) 当用户需要访问外部网络时打开802.1X客户端程序,输入用户名和密码,发起连接请求。此时,客户端程序将向设备端发出认证请求帧(EAPOL-Start),开始启动一次认证过程。
(2) 设备端收到认证请求帧后,将发出一个Identity类型的请求帧(EAP-Request/Identity)要求用户的客户端程序发送输入的用户名。
(3) 客户端程序响应设备端发出的请求,将用户名信息通过Identity类型的响应帧(EAP-Response/Identity)发送给设备端。
(4) 设备端将客户端发送的响应帧中的EAP报文封装在RADIUS报文(RADIUS Access-Request)中发送给认证服务器进行处理。
(5) RADIUS服务器收到设备端转发的用户名信息后,将该信息与数据库中的用户名列表对比,找到该用户名对应的密码信息,用随机生成的一个MD5 Challenge对密码进行加密处理,同时将此MD5 Challenge通过RADIUS Access-Challenge报文发送给设备端。
(6) 设备端将RADIUS服务器发送的MD5 Challenge转发给客户端。
(7) 客户端收到由设备端传来的MD5 Challenge后,用该Challenge对密码进行加密处理,生成EAP-Response/MD5 Challenge报文,并发送给设备端。
(8) 设备端将此EAP-Response/MD5 Challenge报文封装在RADIUS报文(RADIUS Access-Request)中发送给RADIUS服务器。
(9) RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码信息进行对比,如果相同,则认为该用户为合法用户,并向设备端发送认证通过报文(RADIUS Access-Accept)。
(10) 设备收到认证通过报文后向客户端发送认证成功帧(EAP-Success),并将端口改为授权状态,允许用户通过端口访问网络。
(11) 用户在线期间,设备端会通过向客户端定期发送握手报文的方法,对用户的在线情况进行监测。
(12) 客户端收到握手报文后,向设备发送应答报文,表示用户仍然在线。缺省情况下,若设备端发送的两次握手请求报文都未得到客户端应答,设备端就会让用户下线,防止用户因为异常原因下线而设备无法感知。
(13) 客户端可以发送EAPOL-Logoff帧给设备端,主动要求下线。
(14) 设备端把端口状态从授权状态改变成未授权状态,并向客户端发送EAP-Failure报文。
EAP中继方式下,需要保证在客户端和RADIUS服务器上选择一致的EAP认证方法,而在设备上,只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。
这种方式将EAP报文在设备端终结并映射到RADIUS报文中,利用标准RADIUS协议完成认证、授权和计费。设备端与RADIUS服务器之间可以采用PAP或者CHAP认证方法。如图1-10所示,以CHAP认证为例,具体的认证流程如下。
图1-10 IEEE 802.1X认证系统的EAP终结方式认证流程
EAP终结方式与EAP中继方式的认证流程相比,不同之处在于用来对用户密码信息进行加密处理的MD5 challenge由设备端生成,之后设备端会把用户名、MD5 challenge和客户端加密后的密码信息一起发送给RADIUS服务器,进行相关的认证处理。
设备不仅支持协议所规定的基于端口的接入控制方式(Port-based),还对其进行了扩展、优化,支持基于MAC的接入控制方式(MAC-based)。
· 采用基于端口的接入控制方式时,只要该端口下的第一个用户认证成功后,其它接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其它用户也会被拒绝使用网络。
· 采用基于MAC的接入控制方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线后,也只有该用户无法使用网络。
802.1X支持ACL(Access Control List,访问控制列表)下发提供了对上线用户访问网络资源的过滤与控制功能。当用户上线时,如果RADIUS服务器上或接入设备的本地用户视图中指定了要下发给该用户的授权ACL,则设备会根据下发的授权ACL对用户所在端口的数据流进行过滤,与授权ACL规则匹配的流量,将按照规则中指定的permit或deny动作进行处理。由于服务器上或设备本地用户视图下指定的是授权ACL的编号,因此还需要在设备上创建该ACL并配置对应的ACL规则。管理员可以通过改变授权的ACL编号或设备上对应的ACL规则来改变用户的访问权限。
802.1X认证可成功授权的ACL类型为基本ACL(ACL编号为2000~2999)、高级ACL(ACL编号为3000~3999)和二层ACL(ACL编号为4000~4999)。但当下发的ACL不存在、未配置ACL规则或ACL规则配置了counting、established、fragment、source-mac或logging参数时,授权ACL不生效。有关ACL规则的具体介绍,请参见“ACL和QoS命令参考”中的“ACL”。
802.1X用户采用基于MAC的接入控制方式时,且端口授权状态为auto时,支持RADIUS扩展属性下发重定向URL。802.1X用户认证后,设备会根据RADIUS服务器下发的重定向URL属性,将用户的HTTP请求重定向到指定的Web认证页面。Web认证通过后,RADIUS服务器记录802.1X用户的MAC地址,并通过DM报文强制802.1X用户下线。此后该用户再次发起802.1X认证,由于RADIUS服务器上已记录该用户和其MAC地址的对应信息,用户可以成功上线。
802.1X支持CAR属性下发后,设备可以对802.1X认证上线用户访问网络资源的流量与速率进行控制。当用户通过802.1X认证后,如果RADIUS服务器通过扩展属性字段下发授权CAR属性给该用户,则设备会根据服务器下发的授权CAR属性对用户所在端口的数据流进行限速。RADIUS扩展属性的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
CAR属性具体分为如下几种:
· Input-Peak-Rate:上行峰值速率,单位bps。用于限制端口上接收报文的峰值速率。
· Input-Average-Rate:上行平均速率,单位bps。用于限制该端口上接收报文的平均速率。
· Output-Peak-Rate:下行峰值速率,单位bps。用于限制端口上发送报文的峰值速率。
· Output-Average-Rate:下行平均速率,单位bps。用于限制该端口上发送报文的平均速率。
如果未授权Input-Peak-Rate或Output-Peak-Rate,则表示对用户报文进行单速率流量监管,否则进行双速率流量监管。流量监管的详细介绍请参见“QoS配置指导”中的“QoS”。
· 由于通过配置端口安全特性也可以为用户提供802.1X认证服务,且还可以提供802.1X和MAC地址认证的扩展和组合应用,因此在需要灵活使用以上两种认证方式的组网环境下,推荐使用端口安全特性。无特殊组网要求的情况下,无线环境中通常使用端口安全特性。在仅需要802.1X特性来完成接入控制的组网环境下,推荐单独使用802.1X特性。关于端口安全特性的详细介绍和具体配置请参见“用户接入与认证配置指导”中的“端口安全”。
· M-LAG场景下,在设备上开启RADIUS DAE服务后,设备不支持通过COA请求报文关闭/重启802.1X认证用户的接入端口用户。关于RADIUS DAE服务的详细信息请参见“用户接入与认证配置指导”中的“AAA”。
· 目前仅二层以太网接口和二层聚合接口支持配置802.1X功能。
· 二层以太网接口加入聚合组后,在该接口上配置的802.1X功能不生效。
· 在二层聚合接口上有802.1X认证用户在线的情况下,请不要删除该二层聚合接口。
802.1X配置任务如下:
(1) 开启802.1X
(2) 配置802.1X认证的基本功能
¡ (可选)配置802.1X认证超时定时器
(3) (可选)配置802.1X相关参数的最大值
¡ 配置MAC地址认证成功用户进行802.1X认证的最大尝试次数
(4) (可选)配置802.1X其它功能
在配置802.1X之前,需要完成以下任务:
· 配置802.1X用户所属的ISP认证域及其使用的AAA方案,即本地认证方案或RADIUS方案。
· 如果需要通过RADIUS服务器进行认证,则应该在RADIUS服务器上配置相应的用户名和密码。
· 如果需要本地认证,则应该在设备上手动添加认证的用户名和密码。配置本地认证时,用户使用的服务类型必须设置为lan-access。
只有同时开启全局和端口的802.1X后,802.1X的配置才能在端口上生效。
端口上开启802.1X之前,请保证端口未加入业务环回组。
(1) 进入系统视图。
system-view
(2) 开启全局的802.1X功能。
dot1x
缺省情况下,全局的802.1X处于关闭状态。
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启端口的802.1X功能。
dot1x
缺省情况下,端口的802.1X处于关闭状态。
设备上的802.1X系统采用的认证方法与设备对于EAP报文的处理机制有关,具体如下:
· 若指定authentication-method为eap,则表示设备采用EAP中继认证方式。该方式下,设备端对客户端发送的EAP报文进行中继处理,并能支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
· 若指定authentication-method为chap或pap,则表示设备采用EAP终结认证方式,该方式下,设备端对客户端发送的EAP报文进行本地终结,并能支持与RADIUS服务器之间采用CHAP或PAP类型的认证方法。
· 如果客户端采用了MD5-Challenge类型的EAP认证,则设备端只能采用CHAP认证;如果iNode 802.1X客户端采用了“用户名+密码”方式的EAP认证,设备上可选择使用PAP认证或CHAP认证,从安全性上考虑,通常使用CHAP认证。
· 如果采用EAP中继认证方式,则设备会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format命令的设置无效,user-name-format的介绍请参见“用户接入与认证命令参考”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 配置802.1X系统的认证方法。
dot1x authentication-method { chap | eap | pap }
缺省情况下,设备启用EAP终结方式,并采用CHAP认证方法。
通过配置端口的授权状态,可以控制端口上接入的用户是否需要经过认证来访问网络资源。端口支持以下三种授权状态:
· 强制授权(authorized-force):表示端口始终处于授权状态,允许用户不经认证即可访问网络资源。
· 强制非授权(unauthorized-force):表示端口始终处于非授权状态,不允许用户进行认证。设备端不为通过该端口接入的客户端提供认证服务。
· 自动识别(auto):表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户通过认证,则端口切换到授权状态,允许用户访问网络资源。这也是最常用的一种状态。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置端口的授权状态。
dot1x port-control { authorized-force | auto | unauthorized-force }
缺省情况下,端口的授权状态为auto。
设备支持两种端口接入控制方式:基于端口控制(portbased)和基于MAC控制(macbased)。
端口存在802.1X在线用户时,切换接入控制方式会导致在线用户立刻下线。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置端口接入控制方式。
dot1x port-method { macbased | portbased }
缺省情况下,端口采用的接入控制方式为macbased。
802.1X认证过程中会启动多个定时器以控制客户端、设备以及RADIUS服务器之间进行合理、有序的交互。可配置的802.1X认证定时器包括以下两种:
· 客户端认证超时定时器:当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
· 认证服务器超时定时器:当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.1X认证失败。
一般情况下,无需改变认证超时定时器的值,除非在一些特殊或恶劣的网络环境下,才需要通过命令来调节。例如,用户网络状况比较差的情况下,可以适当地将客户端认证超时定时器值调大一些;还可以通过调节认证服务器超时定时器的值来适应不同认证服务器的性能差异。
建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retry与timer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“用户接入与认证配置指导”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 配置客户端认证超时定时器。
dot1x timer supp-timeout supp-timeout-value
缺省情况下,客户端认证超时定时器的值为30秒。
(3) 配置认证服务器超时定时器。
dot1x timer server-timeout server-timeout-value
缺省情况下,认证服务器超时定时器的值为100秒。
由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用。因此限制接入用户数可以使属于当前端口的用户获得可靠的性能保障。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置端口同时接入用户数的最大值。
dot1x max-user max-number
缺省情况下,端口同时接入用户数的最大值为4294967295。
开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1x timer handshake-period设置)向通过802.1X认证的在线用户发送握手请求报文(EAP-Request/Identity),以定期检测用户的在线情况。如果设备连续多次(通过命令dot1x retry设置)没有收到客户端的应答报文(EAP-Response/Identity),则会将用户置为下线状态。
有些802.1X客户端如果没有收到设备回应的在线握手成功报文(EAP-Success),就会自动下线。为了避免这种情况发生,需要在端口上开启发送在线握手成功报文功能。
在线用户握手功能处于开启状态的前提下,还可以通过开启在线用户握手安全功能,来防止在线的802.1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能。开启了在线用户握手安全功能的设备通过检验客户端上传的握手报文中携带的验证信息,来确认用户是否使用iNode客户端进行握手报文的交互。如果握手检验不通过,则会将用户置为下线状态。
· 部分802.1X客户端不支持与设备进行握手报文的交互,因此建议在这种情况下,关闭设备的在线用户握手功能,避免该类型的在线用户因没有回应握手报文而被强制下线。
· 在线用户握手功能处于开启状态时,安全握手功能才会生效。
· 在线用户握手安全功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效。
· 只有当802.1X客户端需要收到在线握手成功报文时,才需要开启端口发送在线握手成功报文功能。
(1) 进入系统视图。
system-view
(2) (可选)配置握手定时器。
dot1x timer handshake-period handshake-period-value
缺省情况下,握手定时器的值为15秒。
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启在线用户握手功能。
dot1x handshake
缺省情况下,在线用户握手功能处于开启状态。
(5) (可选)开启在线用户握手安全功能。
dot1x handshake secure
缺省情况下,在线用户握手安全功能处于关闭状态。
(6) (可选)开启端口发送在线握手成功报文功能。
dot1x handshake reply enable
缺省情况下,端口不发送在线握手成功报文。
开启端口的802.1X认证下线检测功能后,若设备在一个下线检测定时器间隔内,未收到此端口下某802.1X在线用户的报文,则将切断该用户的连接,同时通知RADIUS服务器停止对此用户进行计费。
只有当端口接入控制方式为MAC-based方式时,下线检测功能才能生效。在下线检测为开启状态时,修改端口接入控制方式为Port-based会导致下线检测功能失效。
在二层聚合接口上开启下线检测功能后,用户实际下线的时间会相对定时器设定的时间有所延迟。
建议不要将握手定时器(通过dot1x timer handshake-period命令配置)设置为与下线检测定时器相同的值,否则可能出现定时器超时后,设备实际处理与预期不符的情况。
(1) 进入系统视图。
system-view
(2) 配置下线检测定时器。
dot1x timer offline-detect offline-detect-value
缺省情况下,下线检测定时器的值为300秒。
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启端口的802.1X认证下线检测功能。
dot1x offline-detect enable
缺省情况下,端口的802.1X认证下线检测功能处于关闭状态。
当端口上开启了MAC地址认证和802.1X认证的情况下,若已经通过MAC地址认证的用户向设备发送了EAP报文请求进行802.1X认证,缺省情况下,设备允许其进行802.1X认证。若该用户通过了802.1X认证,设备将强制此MAC地址认证用户下线,以802.1X用户的身份上线;若该用户未通过802.1X认证,则后续会进行多次802.1X认证尝试。若并不希望此类用户多次进行802.1X认证尝试,则可以通过本命令限制MAC地址认证成功用户进行802.1X认证的最大尝试次数。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置MAC地址认证成功用户进行802.1X认证的最大次数。
dot1x after-mac-auth max-attempt max-attempts
缺省情况下,不限制MAC地址认证成功的用户进行802.1X认证的最大次数。
强制用户下线后,设备会删除对应的用户信息,用户再次上线时,需要重新进行802.1X认证。
在用户视图下执行如下命令。
reset dot1x access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id ]
802.1X接入用户日志信息是为了满足网络管理员维护的需要,对802.1X认证用户的接入信息进行记录。设备生成的802.1X接入用户日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“设备管理配置指导”中的“信息中心”。
为了防止设备输出过多的802.1X接入用户日志信息,一般情况下建议关闭此功能。
(1) 进入系统视图。
system-view
(2) 开启802.1X接入用户日志信息功能。
dot1x access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *
缺省情况下,802.1X接入用户日志信息功能处于关闭状态。
配置本命令时,如果未指定任何参数,将同时开启所有参数对应的日志功能。
可在任意视图下执行以下命令:
· 显示802.1X的会话连接信息、相关统计信息或配置信息。
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
· 显示当前802.1X在线用户的详细信息。
display dot1x connection [ open ] [ [ m-lag [ local | peer ] ] interface interface-type interface-number | [ m-lag [ local | peer ] ] slot slot-number | user-mac mac-address | [ m-lag [ local | peer ] ] user-name name-string ]
请在用户视图下执行以下命令:
· 清除802.1X的统计信息。
reset dot1x statistics [ interface interface-type interface-number ]
用户在浏览器中输入地址,但该HTTP访问不能被正确重定向到指定的URL服务器。
· 用户在浏览器地址栏内输入了字符串类型的地址。由于用户主机使用的操作系统首先会将这个字符串地址作为名字进行网络地址解析,如果解析不成功通常会以非X.X.X.X形式的网络地址发送ARP请求,这样的请求不能进行重定向;
· 用户在IE地址栏内输入了Free IP内的任意地址。设备会认为用户试图访问Free IP内的某台主机,而不对其进行重定向,即使这台主机不存在;
· 用户在配置和组网时没有将服务器加入Free IP,或者配置的URL为不存在的地址,或者该URL指向的服务器没有提供Web服务。
· 地址栏内输入的地址应该为X.X.X.X(点分十进制格式)的非Free IP地址才有效。
· 确保设备及服务器上的配置正确且有效。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
