华为S3000系列命令手册之08安全命令1讲解Word文档格式.docx
《华为S3000系列命令手册之08安全命令1讲解Word文档格式.docx》由会员分享,可在线阅读,更多相关《华为S3000系列命令手册之08安全命令1讲解Word文档格式.docx(61页珍藏版)》请在冰点文库上搜索。
displaydot1x命令用来显示
802.1x的相关信息包括配置信息运行情况会话
连接信息以及相关统计信息等
如果在执行本命令的时候不指定端口系统将显示交换机所有
802.1x相关信息根
据该命令的输出信息可以帮助用户确认当前的
802.1x配置是否正确并进一步有
助于
802.1x故障的诊断与排除
相关配置可参考命令
resetdot1xstatistics,dot1x,dot1xretry,dot1xmax-user,
dot1xport-control,dot1xport-method,dot1xtimer
举例
#显示
802.1x的配置信息
<
Quidway>
displaydot1x
Equipment802.1Xprotocolisenabled
CHAPauthenticationisenabled
1-1
安全第1章802.1x配置命令
DHCP-launchisdisabled
Dynamic-binding-userisdisabled
Proxytrapcheckerisdisabled
Proxylogoffcheckerisdisabled
Configure:
TransmitPeriod30s,CommitPeriod15s
ReAuthPeriod3600s
QuietPeriod60s,ValueofQuietPeriodTimerisdisabled
SuppTimeout30s,ValueofServerTimeout000100s
Themaximalretransmittingtimes3
Handshakeperiod15s
Totalmaximumon-lineusernumberis1024
Totalcurrenton-lineusernumberis0
Ethernet0/1islink-up
802.1Xprotocolisdisabled
Version-Checkisdisabled
Theportisa(n)authenticator
AuthenticateModeisauto
PortControlTypeisMac-based
ReAuthenticateisdisabled
Maxon-lineusernumberis256
以下略
表1-1802.1x配置信息描述表
域名描述
Equipment802.1Xprotocolisenabled交换机802.1x特性已经开启
CHAPauthenticationisenabled使能CHAP认证
DHCP-launchisdisabled在DHCP环境中如果用户私自配置静态IP交换机触
发对该用户的身份认证
Dynamic-binding-userisdisabled是否开启动态用户绑定功能enable表示开启disable
表示关闭
Proxytrapcheckerisdisabled是否检测通过代理登录用户的接入disable表示不检
测enable表示检测用户使用代理后发送Trap报文
Proxylogoffcheckerisdisabled是否检测通过代理登录用户的接入disable表示不检
测enable表示检测用户使用代理后切断用户连接
TransmitPeriod发送间隔定时器
1-2
HandshakePeriod802.1x的握手报文的发送时间间隔
ReAuthPeriod802.1x重认证定时器
QuietPeriod静默定时器设置的静默时长
QuietPeriodTimerisdisabled静默定时器状态disable表示处于关闭状态enable
表示处于开启状态
SuppTimeoutSupplicant认证超时定时器
ServerTimeoutAuthenticationServer超时定时器
Themaximalretransmittingtimes交换机可重复向接入用户发送认证请求帧的次数
Totalmaximumon-lineusernumber最多可接入用户数
Totalcurrenton-lineusernumber当前在线接入用户数
Ethernet0/1islink-up端口Ethernet0/1的状态为Up
802.1Xprotocolisdisabled该端口未使能802.1X协议
该端口是否检测通过代理登录用户的接入disable表示
不检测enable表示检测用户使用代理后发送Trap
报文
Proxylogoffcheckerisdisabled
不检测enable表示检测用户使用代理后切断用户连
接
Version-Checkisdisabled端口是否开启客户端版本检测功能disable表示关闭
enable表示开启
Theportisa(n)authenticator该端口担当Authenticator作用
AuthenticateModeisauto端口接入控制的模式为auto
PortControlTypeisMac-based端口接入控制方式为Mac-based即基于MAC地址对
接入用户进行认证
ReAuthenticateisdisabled端口是否开启802.1x重认证功能disable表示关闭
Maxon-lineusernumber本端口最多可容纳的接入用户数
…略
1.1.2dot1x
dot1x[interfaceinterface-list]
undodot1x[interfaceinterface-list]
1-3
系统视图
/以太网端口视图
interfaceinterface-list
以太网端口列表
表示多个以太网端口
表示方式为
interface-list{interface-num[tointerface-num]}&
interface-num为单个以太网端口可表示为
interface-num={interface-type
interface-num|interface-name}interface-type为端口类型
interface-num为端
口号
interface-name为端口名它们各自的含义和取值范围请参见本书端口配
置部分的命令参数
dot1x命令用来开启指定端口上或全局即当前设备的
802.1x特性
undodot1x
命令用来关闭指定端口上或全局的
802.1x特性
缺省情况下所有端口及全局的
802.1x特性都处于关闭状态
在系统视图下使用该命令时
如果不输入
interface-list参数
则表示开启全局的
802.1x特性如果指定了
interface-list则表示开启指定端口的
802.1x特性在以
太网端口视图下使用该命令时
不能输入
仅打开当前端口的
802.1x特性启动前后均可以使用配置命令来配置全局或端口的
802.1x特性参数
如果在开启全局
802.1x特性前没有配置全局或端口的其它
802.1x特性参数则这
些参数在运行时均为缺省值
全局
802.1x特性开启后必须再开启端口的
802.1x的配置才能在端
口上生效
如果端口启动了
802.1x则不能配置该端口的最大
MAC地址学习个数通过命令
mac-addressmax-mac-count配置反之如果端口配置了最大
MAC地址学
习个数则禁止在该端口上启动
802.1x
displaydot1x
#开启以太网端口
Ethernet0/1上的
[Quidway]dot1xinterfaceEthernet0/1
#开启全局的
[Quidway]dot1x
1.1.3dot1xauthentication-method
dot1xauthentication-method{chap|pap|eap}
1-4
undodot1xauthentication-method
系统视图
chap采用
CHAP认证方式
pap采用
PAP认证方式
eap采用
EAP认证方式
dot1xauthentication-method命令用来设置
802.1x用户的认证方法
undodot1x
authentication-method命令用来恢复
802.1x用户的缺省认证方法
缺省情况下
802.1x用户认证方法为
CHAP认证
PAPPasswordAuthenticationProtocol是一种两次握手认证协议它采用明文
方式传送口令
;
CHAPChallengeHandshakeAuthenticationProtocol是一种三次握手认证协议
它只在网络上传输用户名而并不传输口令相比之下
CHAP认证保密性较好
更为安全可靠
EAP认证功能意味着交换机直接把
802.1x用户的认证信息以
EAP报文发送给
RADIUS服务器完成认证而无须将
EAP报文转换成标准的
RADIUS报文后再发
给
RADIUS服务器来完成认证如果要采用
PEAPEAP-TLS或者
EAP-MD5这三
种认证方法之一只需启动
EAP认证即可
#设置交换机采用
PAP认证
[Quidway]dot1xauthentication-methodpap
1.1.4dot1xdhcp-launch
dot1xdhcp-launch
undodot1xdhcp-launch
参数
1-5
无
dot1xdhcp-launch命令用来在
DHCP环境中如果用户私自配置静态
IP设置
802.1x不允许以太网交换机触发对该用户的身份认证
命令用来设置允许交换机触发对该用户的身份认证
缺省情况下用户私自配置静态
IP交换机可以触发对其的身份认证
#设置在
DHCP环境中用户私自配置静态
IP的情况下交换机不触发对其的身份
认证
[Quidway]dot1xdhcp-launch
1.1.5dot1xdynamic-binding-userenable
dot1xdynamic-binding-userenable
undodot1xdynamic-binding-userenable
dot1xdynamic-binding-userenable用来开启
802.1x动态用户绑定功能
undo
dot1xdynamic-binding-userenable用来关闭
802.1x动态用户绑定功能
802.1x动态用户绑定功能处于关闭状态
802.1x动态用户绑定功能是指当
802.1x用户通过认证后交换机对该用户的
IP
地址
MAC地址接入端口以及接入端口所属的
VLAN进行动态绑定此后交
换机只允许与这四项都匹配的报文通过如果在用户上网过程中交换机发现用户
的报文有任何一项发生了变化都会强制该用户下线
配置时请注意
(1)如果用户采用动态获取
IP地址的方式动态用户绑定功能需要与
DHCP
Snooping特性配合
..在交换机上全局开启
DHCPSnooping
1-6
z
在交换机与
DHCP服务器相连的端口上配置信任端口
(2)
如果用户采用静态
IP地址方式需要使用华为公司的
802.1x客户端并在
[802.1x创建连接
-设置特殊属性
]窗口中的用户选项处选中上传
IP地
址复选框
dot1x
#开启交换机动态用户绑定功能
vlan-idGuestVLAN的
VLANID取值范围为
14094
interface_list使能
GuestVLAN的端口列表
interface_list={interface_type
interface_num|interface_name}[to{interface_typeinterface_num|
interface_name}]&
1-10>
interface_type为端口类型
interface_num为端
interface_name为端口名它们各自的含义和取值范围请参见本书端口
部分的命令参数此处不再赘述关键字
to之后的端口号要大于或等于
to之前的
端口号命令中
&
表示前面的参数最多可以重复输入
10次
dot1xguest-vlan命令用来开启指定端口的
GuestVLAN功能
guest-vlan命令用来关闭
GuestVLAN功能
在系统视图下使用该命令时如果不输入
interface-list参数则表示开启所有端口
的
GuestVLAN功能如果指定了
GuestVLAN
功能
在以太网端口视图下使用该命令时不能输入
interface-list参数仅打开当前端口
1-7
name,vlan-assignment-mode
#设置认证方式为基于端口的方式
[Quidway]dot1xport-methodportbased
#开启所有端口的
[Quidway]dot1xguest-vlan1
1.1.7dot1xmax-user
dot1xmax-useruser-number[interfaceinterface-list]
undodot1xmax-user[interfaceinterface-list]
user-number端口可容纳接入用户数量的最大值取值范围为
1256
缺省情况下端口上可容纳接入用户数量的最大值为
256
dot1xmax-user命令用来设置
802.1x在指定端口上可容纳接入用户数量的最大
值
undodot1xmax-user命令用来恢复该值的缺省值
在系统视图下执行该命令可以作用于
interface-list参数所指定的某个端口如果不
指定任何端口则将作用于所有端口在以太网端口视图下执行该命令时不能输入
interface-list参数只能作用于当前端口
#设置端口
Ethernet0/1最多可容纳
32个接入用户
[Quidway]dot1xmax-user32interfaceEthernet0/1
1-8
1.1.8dot1xport-control
dot1xport-control{auto|authorized-force|unauthorized-force}[interface
interface-list]
undodot1xport-control[interfaceinterface-list]
auto自动识别模式指示端口初始状态为非授权状态仅允许
EAPoL报文收发
不允许用户访问网络资源如果认证流程通过则端口切换到授权状态允许用户
访问网络资源这也是最常见的情况
authorized-force强制授权模式指示端口始终处于授权状态允许用户不经认
证授权即可访问网络资源
unauthorized-force强制非授权模式指示端口始终处于非授权状态不允许用
户访问网络资源
dot1xport-control命令用来设置
802.1x在指定端口上进行接入控制的模式
dot1xport-control命令用来恢复缺省的接入控制模式
缺省情况下接入控制模式为
auto
802.1x在指定端口上进行接入控制的模式即端
口处于什么状态在系统视图下执行该命令可以作用于
interface-list参数所指定的
某个端口如果不指定任何端口则将作用于所有端口在以太网端口视图下执行该
命令时不能输入
#指定端口
Ethernet0/1处于强制非受控状态
[Quidway]dot1xport-controlunauthorized-forceinterfaceEthernet0/1
1-9
1.1.9dot1xport-method
dot1xport-method{macbased|portbased}[interfaceinterfac