8021x配置命令.docx
《8021x配置命令.docx》由会员分享,可在线阅读,更多相关《8021x配置命令.docx(15页珍藏版)》请在冰点文库上搜索。
8021x配置命令
∙H3CS2126-EI以太网交换机命令手册-Release22XX系列(V1.00)
∙01-命令行接口命令
∙02-登录交换机命令
∙03-配置文件管理命令
∙04-VLAN命令
∙05-配置管理VLAN命令
∙06-IP地址-IP性能命令
∙07-GVRP命令
∙08-端口基本配置命令
∙09-端口汇聚命令
∙10-端口隔离命令
∙11-端口安全命令
∙12-MAC地址转发表管理命令
∙13-MSTP命令
∙14-组播协议命令
∙15-802.1x及System-Guard命令
∙16-AAA命令
∙17-MAC地址认证命令
∙18-ARP命令
∙19-DHCP命令
∙20-ACL命令
∙21-QoS命令
∙22-镜像命令
∙23-Cluster命令
∙24-SNMP-RMON命令
∙25-NTP命令
∙26-SSH命令
∙27-文件系统管理命令
∙28-FTP-SFTP-TFTP命令
∙29-信息中心命令
∙30-系统维护与调试命令
∙31-VLAN-VPN命令
∙32-HWPing命令
∙33-IPv6管理命令
∙34-LLDP命令
∙35-域名解析命令
∙36-PKI命令
∙37-SSL命令
∙38-HTTPS命令
∙39-附录
、H3CS2126-EI以太网交换机命令手册-Release22XX系列(V1.00)
本章节下载(253.62KB)
15-802.1x及System-Guard命令
目 录
1802.1x配置命令
1.1 802.1x配置命令
1.1.1 displaydot1x
【命令】
displaydot1x[sessions|statistics][interfaceinterface-list]
【视图】
任意视图
【参数】
sessions:
显示802.1x的会话连接信息。
statistics:
显示802.1x的相关统计信息。
interface:
显示指定端口的802.1x相关信息。
interface-list:
以太网端口列表,表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&<1-10>。
其中interface-type为端口类型,interface-number为端口号。
命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
displaydot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况(会话连接信息)以及相关统计信息等。
如果在执行本命令的时候不指定端口,系统将显示交换机所有802.1x相关信息。
根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,并进一步有助于802.1x故障的诊断与排除。
相关配置可参考命令resetdot1xstatistics,dot1x,dot1xretry,dot1xmax-user,dot1xport-control,dot1xport-method,dot1xtimer。
【举例】
#显示802.1x的相关信息。
displaydot1x
Global802.1Xprotocolisenabled
CHAPauthenticationisenabled
DHCP-launchisdisabled
Handshakeisenabled
Proxytrapcheckerisdisabled
Proxylogoffcheckerisdisabled
EADQuickDeployisenabled
Configuration:
TransmitPeriod 30s, HandshakePeriod 15s
ReAuthPeriod 3600s, ReAuthMaxTimes 2
QuietPeriod 60s, QuietPeriodTimerisdisabled
SuppTimeout 30s, ServerTimeout 100s
Intervalbetweenversionrequestsis30s
Maximalrequesttimesforversioninformationis3
Themaximalretransmittingtimes 2
EADQuickDeployconfiguration:
Url http:
//192.168.19.23
Free-ip 192.168.19.0255.255.255.0
Acl-timeout 30m
Totalmaximum802.1xuserresourcenumberis1024
Totalcurrentused802.1xresourcenumberis1
Ethernet1/0/1 islink-up
802.1Xprotocolisenabled
Proxytrapcheckerisdisabled
Proxylogoffcheckerisdisabled
Version-Checkisdisabled
Theportisanauthenticator
AuthenticationModeisAuto
PortControlTypeisPort-based
ReAuthenticateisdisabled
Maxnumberofon-lineusersis256
AuthenticationSuccess:
4,Failed:
2
EAPOLPackets:
Tx7991,Rx14
SentEAPRequest/IdentityPackets:
7981
EAPRequest/ChallengePackets:
0
ReceivedEAPOLStartPackets:
5
EAPOLLogOffPackets:
1
EAPResponse/IdentityPackets:
4
EAPResponse/ChallengePackets:
4
ErrorPackets:
0
1.Authenticateduser:
MACaddress:
000d-88f6-44c1
ControlledUser(s)amountto1
Ethernet1/0/2
……(以下略)
表1-1802.1x配置信息描述表
域名
描述
Equipment802.1Xprotocolisenabled
交换机802.1x特性已经开启
CHAPauthenticationisenabled
开启CHAP认证
DHCP-launchisdisabled
DHCP触发802.1x认证的功能处于关闭状态
Handshakeisenabled
在线用户握手功能开启
Proxytrapcheckerisdisabled
是否检测通过代理登录用户的接入:
● disable表示检测用户使用代理后,不发送Trap报文;
● enable表示检测用户使用代理后,发送Trap报文。
Proxylogoffcheckerisdisabled
是否检测通过代理登录用户的接入:
● disable表示检测用户使用代理后,不切断用户连接;
● enable表示检测用户使用代理后,切断用户连接。
EADQuickDeployisenabled
EAD快速部署功能开启
TransmitPeriod
发送间隔定时器
HandshakePeriod
802.1x的握手报文的发送时间间隔
ReAuthPeriod
重认证周期
ReAuthMaxTimes
重认证最大次数
QuietPeriod
静默定时器设置的静默时长
QuietPeriodTimerisdisabled
静默定时器状态:
disable表示处于关闭状态;enable表示处于开启状态
SuppTimeout
Supplicant认证超时定时器
ServerTimeout
AuthenticationServer超时定时器
Themaximalretransmittingtimes
交换机可重复向接入用户发送认证请求帧的次数
Url
HTTP重定向的URL
Free-ip
可访问的免认证IP网段
Acl-timeout
ACL超时定时器
Totalmaximum802.1xuserresourcenumber
最多可接入用户数
Totalcurrentused802.1xresourcenumber
当前在线接入用户数
Ethernet1/0/1islink-down
端口Ethernet1/0/1的状态为Down
802.1Xprotocolisdisabled
该端口未开启802.1x协议
Proxytrapcheckerisdisabled
是否检测通过代理登录用户的接入:
● disable表示检测用户使用代理后,不发送Trap报文;
● enable表示检测用户使用代理后,发送Trap报文。
Proxylogoffcheckerisdisabled
是否检测通过代理登录用户的接入:
● disable表示检测用户使用代理后,不切断用户连接;
● enable表示检测用户使用代理后,切断用户连接。
Version-Checkisdisabled
端口是否开启客户端版本检测功能:
● disable表示关闭;
● enable表示开启。
Theportisanauthenticator
该端口担当Authenticator作用
AuthenticationModeisAuto
端口接入控制的模式为auto
PortControlTypeisMac-based
端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证
ReAuthenticateisdisabled
端口的802.1x重认证特性处于关闭状态
Maxnumberofon-lineusers
本端口最多可容纳的接入用户数
…
略
1.1.2 dot1x
【命令】
dot1x[interfaceinterface-list]
undodot1x[interfaceinterface-list]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:
以太网端口列表,表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&<1-10>。
其中interface-type为端口类型,interface-number为端口号。
命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性。
undodot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启全局的802.1x特性;如果指定了interface-list,则表示开启指定端口的802.1x特性。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用于打开当前端口的802.1x特性。
全局802.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才能在端口上生效。
● 如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数;反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。
● 如果端口启动了802.1x,则不能配置该端口加入汇聚组。
反之,如果该端口已经加入到某个汇聚组中,则禁止在该端口上启动802.1x。
相关配置可参考命令displaydot1x。
【举例】
#开启以太网端口Ethernet1/0/1上的802.1x特性。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1xinterfaceEthernet1/0/1
#开启全局的802.1x特性。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1x
1.1.3 dot1xauthentication-method
【命令】
dot1xauthentication-method{chap|pap|eap}
undodot1xauthentication-method
【视图】
系统视图
【参数】
chap:
采用CHAP认证方式。
pap:
采用PAP认证方式。
eap:
采用EAP认证方式。
【描述】
dot1xauthentication-method命令用来设置802.1x用户的认证方法。
undodot1xauthentication-method命令用来恢复802.1x用户的缺省认证方法。
缺省情况下,802.1x用户认证方法为CHAP认证。
PAP(PasswordAuthenticationProtocol)是一种两次握手认证协议,它采用明文方式传送口令。
CHAP(ChallengeHandshakeAuthenticationProtocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。
相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。
如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可。
相关配置可参考命令displaydot1x。
当采用设备本身作为认证服务器时,802.1x用户的认证方法,不可以配置为EAP方式。
【举例】
#设置交换机采用PAP认证。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1xauthentication-methodpap
1.1.4 dot1xdhcp-launch
【命令】
dot1xdhcp-launch
undodot1xdhcp-launch
【视图】
系统视图
【参数】
无
【描述】
dot1xdhcp-launch命令用来设置802.1x允许以太网交换机在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
undodot1xdhcp-launch命令用来取消DHCP触发对接入用户的身份认证。
缺省情况下,不允许DHCP触发对接入用户的身份认证。
相关配置可参考命令displaydot1x。
【举例】
#允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1xdhcp-launch
1.1.5 dot1xguest-vlan
【命令】
dot1xguest-vlanvlan-id[interfaceinterface-list]
undodot1xguest-vlan[interfaceinterface-list]
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:
GuestVLAN的VLANID,取值范围为1~4094。
interface-list:
以太网端口列表,表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&<1-10>。
其中interface-type为端口类型,interface-number为端口号。
命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1xguest-vlan命令用来开启端口的GuestVLAN功能。
undodot1xguest-vlan命令用来关闭GuestVLAN功能。
GuestVLAN的功能开启后:
● 交换机将在所有开启802.1x功能的端口发送触发认证报文(EAP-Request/Identity),如果达到最大发送次数后,端口尚未返回响应报文,则交换机将该端口加入到GuestVLAN中;
● 之后属于该GuestVLAN中的用户访问该GuestVLAN中的资源时,不需要进行802.1x认证,但访问外部的资源时仍需要进行认证。
在系统视图下使用该命令时:
● 如果不输入interface-list参数,则表示开启所有端口的GuestVLAN功能;
● 如果指定了interface-list,则表示开启指定端口的GuestVLAN功能。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅能打开当前端口的GuestVLAN功能。
● 只有在端口认证方式下,交换机才可以支持GuestVLAN功能;
● 一台交换机只能配置一个GuestVLAN;
● 当交换机配置为dot1xdhcp-launch方式时,因为该方式下交换机不发送主动认证报文,GuestVLAN功能不能实现。
【举例】
#设置认证方式为基于端口的方式。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1xport-methodportbased
#开启所有端口的GuestVLAN功能。
[Sysname]dot1xguest-vlan1
1.1.6 dot1xhandshake
【命令】
dot1xhandshakeenable
undodot1xhandshakeenable
【视图】
系统视图
【参数】
无
【描述】
dot1xhandshakeenable命令用于开启在线用户握手功能。
undodot1xhandshakeenable命令用于关闭在线用户握手功能。
缺省情况下,开启在线用户握手功能。
● 802.1x的代理检测功能依赖于在线用户握手功能。
在配置代理检测功能之前,必须先开启在线用户握手功能。
● 握手报文的发送需要H3C私有客户端的支持,用以探测用户是否在线。
● 对于非H3C客户端,由于不支持握手功能,在握手周期内交换机不会收到握手回应报文。
因此需要将在线用户握手功能关闭,以防止交换机错误地认为用户下线。
【举例】
#开启在线用户握手功能。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1xhandshakeenable
1.1.7 dot1xhandshakesecure
【命令】
dot1xhandshakesecure
undodot1xhandshakesecure
【视图】
以太网端口视图
【参数】
无
【描述】
dot1xhandshakesecure命令用于开启握手报文的安全扩展功能,防止破解客户端造成的攻击。
undodot1xhandshakesecure命令用于关闭握手报文的安全扩展功能。
缺省情况下,关闭握手报文的安全扩展功能。
握手报文的安全扩展功能需要支持此功能的客户端与认证服务器配合才能正常使用,若客户端或者认证服务器不支持握手报文的安全扩展功能,则需要关闭此功能。
【举例】
#开启握手报文的安全扩展功能。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]interfaceEthernet1/0/1
[Sysname-Ethernet1/0/1]dot1xhandshakesecure
1.1.8 dot1xmandatory-domain
【命令】
dot1xmandatory-domaindomain-name
undodot1xmandatory-domain
【视图】
以太网端口视图
【参数】
domain-name:
ISP认证域名,
升级会员 