华为S3000系列命令手册之08安全命令1讲解Word文档格式.docx

华为S3000系列命令手册之08安全命令1讲解Word文档格式.docx

《华为S3000系列命令手册之08安全命令1讲解Word文档格式.docx》由会员分享，可在线阅读，更多相关《华为S3000系列命令手册之08安全命令1讲解Word文档格式.docx（61页珍藏版）》请在冰点文库上搜索。

displaydot1x命令用来显示

802.1x的相关信息包括配置信息运行情况会话

连接信息以及相关统计信息等

如果在执行本命令的时候不指定端口系统将显示交换机所有

802.1x相关信息根

据该命令的输出信息可以帮助用户确认当前的

802.1x配置是否正确并进一步有

助于

802.1x故障的诊断与排除

相关配置可参考命令

resetdot1xstatistics,dot1x,dot1xretry,dot1xmax-user,

dot1xport-control,dot1xport-method,dot1xtimer

举例

#显示

802.1x的配置信息

<

Quidway>

displaydot1x

Equipment802.1Xprotocolisenabled

CHAPauthenticationisenabled

1-1

安全第1章802.1x配置命令

DHCP-launchisdisabled

Dynamic-binding-userisdisabled

Proxytrapcheckerisdisabled

Proxylogoffcheckerisdisabled

Configure:

TransmitPeriod30s,CommitPeriod15s

ReAuthPeriod3600s

QuietPeriod60s,ValueofQuietPeriodTimerisdisabled

SuppTimeout30s,ValueofServerTimeout000100s

Themaximalretransmittingtimes3

Handshakeperiod15s

Totalmaximumon-lineusernumberis1024

Totalcurrenton-lineusernumberis0

Ethernet0/1islink-up

802.1Xprotocolisdisabled

Version-Checkisdisabled

Theportisa（n）authenticator

AuthenticateModeisauto

PortControlTypeisMac-based

ReAuthenticateisdisabled

Maxon-lineusernumberis256

以下略

表1-1802.1x配置信息描述表

域名描述

Equipment802.1Xprotocolisenabled交换机802.1x特性已经开启

CHAPauthenticationisenabled使能CHAP认证

DHCP-launchisdisabled在DHCP环境中如果用户私自配置静态IP交换机触

发对该用户的身份认证

Dynamic-binding-userisdisabled是否开启动态用户绑定功能enable表示开启disable

表示关闭

Proxytrapcheckerisdisabled是否检测通过代理登录用户的接入disable表示不检

测enable表示检测用户使用代理后发送Trap报文

Proxylogoffcheckerisdisabled是否检测通过代理登录用户的接入disable表示不检

测enable表示检测用户使用代理后切断用户连接

TransmitPeriod发送间隔定时器

1-2

HandshakePeriod802.1x的握手报文的发送时间间隔

ReAuthPeriod802.1x重认证定时器

QuietPeriod静默定时器设置的静默时长

QuietPeriodTimerisdisabled静默定时器状态disable表示处于关闭状态enable

表示处于开启状态

SuppTimeoutSupplicant认证超时定时器

ServerTimeoutAuthenticationServer超时定时器

Themaximalretransmittingtimes交换机可重复向接入用户发送认证请求帧的次数

Totalmaximumon-lineusernumber最多可接入用户数

Totalcurrenton-lineusernumber当前在线接入用户数

Ethernet0/1islink-up端口Ethernet0/1的状态为Up

802.1Xprotocolisdisabled该端口未使能802.1X协议

该端口是否检测通过代理登录用户的接入disable表示

不检测enable表示检测用户使用代理后发送Trap

报文

Proxylogoffcheckerisdisabled

不检测enable表示检测用户使用代理后切断用户连

接

Version-Checkisdisabled端口是否开启客户端版本检测功能disable表示关闭

enable表示开启

Theportisa（n）authenticator该端口担当Authenticator作用

AuthenticateModeisauto端口接入控制的模式为auto

PortControlTypeisMac-based端口接入控制方式为Mac-based即基于MAC地址对

接入用户进行认证

ReAuthenticateisdisabled端口是否开启802.1x重认证功能disable表示关闭

Maxon-lineusernumber本端口最多可容纳的接入用户数

…略

1.1.2dot1x

dot1x[interfaceinterface-list]

undodot1x[interfaceinterface-list]

1-3

系统视图

/以太网端口视图

interfaceinterface-list

以太网端口列表

表示多个以太网端口

表示方式为

interface-list{interface-num[tointerface-num]}&

interface-num为单个以太网端口可表示为

interface-num={interface-type

interface-num|interface-name}interface-type为端口类型

interface-num为端

口号

interface-name为端口名它们各自的含义和取值范围请参见本书端口配

置部分的命令参数

dot1x命令用来开启指定端口上或全局即当前设备的

802.1x特性

undodot1x

命令用来关闭指定端口上或全局的

802.1x特性

缺省情况下所有端口及全局的

802.1x特性都处于关闭状态

在系统视图下使用该命令时

如果不输入

interface-list参数

则表示开启全局的

802.1x特性如果指定了

interface-list则表示开启指定端口的

802.1x特性在以

太网端口视图下使用该命令时

不能输入

仅打开当前端口的

802.1x特性启动前后均可以使用配置命令来配置全局或端口的

802.1x特性参数

如果在开启全局

802.1x特性前没有配置全局或端口的其它

802.1x特性参数则这

些参数在运行时均为缺省值

全局

802.1x特性开启后必须再开启端口的

802.1x的配置才能在端

口上生效

如果端口启动了

802.1x则不能配置该端口的最大

MAC地址学习个数通过命令

mac-addressmax-mac-count配置反之如果端口配置了最大

MAC地址学

习个数则禁止在该端口上启动

802.1x

displaydot1x

#开启以太网端口

Ethernet0/1上的

[Quidway]dot1xinterfaceEthernet0/1

#开启全局的

[Quidway]dot1x

1.1.3dot1xauthentication-method

dot1xauthentication-method{chap|pap|eap}

1-4

undodot1xauthentication-method

系统视图

chap采用

CHAP认证方式

pap采用

PAP认证方式

eap采用

EAP认证方式

dot1xauthentication-method命令用来设置

802.1x用户的认证方法

undodot1x

authentication-method命令用来恢复

802.1x用户的缺省认证方法

缺省情况下

802.1x用户认证方法为

CHAP认证

PAPPasswordAuthenticationProtocol是一种两次握手认证协议它采用明文

方式传送口令

;

CHAPChallengeHandshakeAuthenticationProtocol是一种三次握手认证协议

它只在网络上传输用户名而并不传输口令相比之下

CHAP认证保密性较好

更为安全可靠

EAP认证功能意味着交换机直接把

802.1x用户的认证信息以

EAP报文发送给

RADIUS服务器完成认证而无须将

EAP报文转换成标准的

RADIUS报文后再发

给

RADIUS服务器来完成认证如果要采用

PEAPEAP-TLS或者

EAP-MD5这三

种认证方法之一只需启动

EAP认证即可

#设置交换机采用

PAP认证

[Quidway]dot1xauthentication-methodpap

1.1.4dot1xdhcp-launch

dot1xdhcp-launch

undodot1xdhcp-launch

参数

1-5

无

dot1xdhcp-launch命令用来在

DHCP环境中如果用户私自配置静态

IP设置

802.1x不允许以太网交换机触发对该用户的身份认证

命令用来设置允许交换机触发对该用户的身份认证

缺省情况下用户私自配置静态

IP交换机可以触发对其的身份认证

#设置在

DHCP环境中用户私自配置静态

IP的情况下交换机不触发对其的身份

认证

[Quidway]dot1xdhcp-launch

1.1.5dot1xdynamic-binding-userenable

dot1xdynamic-binding-userenable

undodot1xdynamic-binding-userenable

dot1xdynamic-binding-userenable用来开启

802.1x动态用户绑定功能

undo

dot1xdynamic-binding-userenable用来关闭

802.1x动态用户绑定功能

802.1x动态用户绑定功能处于关闭状态

802.1x动态用户绑定功能是指当

802.1x用户通过认证后交换机对该用户的

IP

地址

MAC地址接入端口以及接入端口所属的

VLAN进行动态绑定此后交

换机只允许与这四项都匹配的报文通过如果在用户上网过程中交换机发现用户

的报文有任何一项发生了变化都会强制该用户下线

配置时请注意

（1）如果用户采用动态获取

IP地址的方式动态用户绑定功能需要与

DHCP

Snooping特性配合

..在交换机上全局开启

DHCPSnooping

1-6

z

在交换机与

DHCP服务器相连的端口上配置信任端口

（2）

如果用户采用静态

IP地址方式需要使用华为公司的

802.1x客户端并在

[802.1x创建连接

-设置特殊属性

]窗口中的用户选项处选中上传

IP地

址复选框

dot1x

#开启交换机动态用户绑定功能

vlan-idGuestVLAN的

VLANID取值范围为

14094

interface_list使能

GuestVLAN的端口列表

interface_list={interface_type

interface_num|interface_name}[to{interface_typeinterface_num|

interface_name}]&

1-10>

interface_type为端口类型

interface_num为端

interface_name为端口名它们各自的含义和取值范围请参见本书端口

部分的命令参数此处不再赘述关键字

to之后的端口号要大于或等于

to之前的

端口号命令中

&

表示前面的参数最多可以重复输入

10次

dot1xguest-vlan命令用来开启指定端口的

GuestVLAN功能

guest-vlan命令用来关闭

GuestVLAN功能

在系统视图下使用该命令时如果不输入

interface-list参数则表示开启所有端口

的

GuestVLAN功能如果指定了

GuestVLAN

功能

在以太网端口视图下使用该命令时不能输入

interface-list参数仅打开当前端口

1-7

name,vlan-assignment-mode

#设置认证方式为基于端口的方式

[Quidway]dot1xport-methodportbased

#开启所有端口的

[Quidway]dot1xguest-vlan1

1.1.7dot1xmax-user

dot1xmax-useruser-number[interfaceinterface-list]

undodot1xmax-user[interfaceinterface-list]

user-number端口可容纳接入用户数量的最大值取值范围为

1256

缺省情况下端口上可容纳接入用户数量的最大值为

256

dot1xmax-user命令用来设置

802.1x在指定端口上可容纳接入用户数量的最大

值

undodot1xmax-user命令用来恢复该值的缺省值

在系统视图下执行该命令可以作用于

interface-list参数所指定的某个端口如果不

指定任何端口则将作用于所有端口在以太网端口视图下执行该命令时不能输入

interface-list参数只能作用于当前端口

#设置端口

Ethernet0/1最多可容纳

32个接入用户

[Quidway]dot1xmax-user32interfaceEthernet0/1

1-8

1.1.8dot1xport-control

dot1xport-control{auto|authorized-force|unauthorized-force}[interface

interface-list]

undodot1xport-control[interfaceinterface-list]

auto自动识别模式指示端口初始状态为非授权状态仅允许

EAPoL报文收发

不允许用户访问网络资源如果认证流程通过则端口切换到授权状态允许用户

访问网络资源这也是最常见的情况

authorized-force强制授权模式指示端口始终处于授权状态允许用户不经认

证授权即可访问网络资源

unauthorized-force强制非授权模式指示端口始终处于非授权状态不允许用

户访问网络资源

dot1xport-control命令用来设置

802.1x在指定端口上进行接入控制的模式

dot1xport-control命令用来恢复缺省的接入控制模式

缺省情况下接入控制模式为

auto

802.1x在指定端口上进行接入控制的模式即端

口处于什么状态在系统视图下执行该命令可以作用于

interface-list参数所指定的

某个端口如果不指定任何端口则将作用于所有端口在以太网端口视图下执行该

命令时不能输入

#指定端口

Ethernet0/1处于强制非受控状态

[Quidway]dot1xport-controlunauthorized-forceinterfaceEthernet0/1

1-9

1.1.9dot1xport-method

dot1xport-method{macbased|portbased}[interfaceinterfac