- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
27-802.1X Client命令
本章節下載: 27-802.1X Client命令 (203.91 KB)
目 錄
1.1.1 display dot1x supplicant
1.1.2 dot1x supplicant anonymous identify
1.1.3 dot1x supplicant eap-method
1.1.5 dot1x supplicant mac-address
1.1.6 dot1x supplicant password
1.1.7 dot1x supplicant ssl-client-policy
1.1.8 dot1x supplicant transmit-mode
1.1.9 dot1x supplicant username
display dot1x supplicant命令用來顯示802.1X Client認證信息。
【命令】
display dot1x supplicant [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:表示顯示指定接口上的802.1X Client認證信息。interface-type interface-number為接口類型和接口編號。如果不指定本參數,則表示顯示所有接口上的802.1X Client認證信息。
【舉例】
# 顯示接口Ten-GigabitEthernet1/0/1下802.1X Client認證信息。
<Sysname> display dot1x supplicant interface ten-gigabitethernet 1/0/1
Ten-GigabitEthernet1/0/1
User name : aaa
EAP method : PEAP-MSCHAPv2
Dot1x supplicant : Enabled
Anonymous identifier : bbb
SSL client policy : policy_1
FSM state : Init
EAPOL-Start packets : 0
表1-1 display dot1x supplicant interface命令顯示信息描述表
|
字段 |
描述 |
|
用戶名 |
|
|
EAP method |
認證類型,包括以下取值: · MD5 · PEAP-GTC · PEAP-MSCHAPv2 · TTLS-GTC · TTLS-MSCHAPv2 |
|
Dot1x supplicant |
802.1X Client功能所處狀態: · Enabled:開啟狀態 · Disabled:關閉狀態 |
|
Anonymous identifier |
匿名認證用戶名 |
|
SSL client policy |
802.1X Client引用的SSL客戶端策略 |
|
FSM state |
802.1X Client認證狀態,包括以下取值: · Init:初始狀態 · Connecting:正在連接狀態 · Authenticating:正在認證狀態 · Authenticated:認證成功狀態 · Held:靜默狀態 |
|
EAPOL-Start packets |
發送的EAPOL-Start報文個數 |
dot1x supplicant anonymous identify命令用來配置802.1X Client匿名認證用戶名。
undo dot1x supplicant anonymous identify命令用來恢複缺省情況。
【命令】
dot1x supplicant anonymous identify identifier
undo dot1x supplicant anonymous identify
【缺省情況】
不存在802.1X Client匿名認證用戶名。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
identifier:表示802.1X Client匿名認證用戶名,為1~253個字符的字符串,區分大小寫。
【使用指導】
僅在采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2和TTLS-GTC認證方法時,才需要配置匿名認證用戶名。802.1X Client在第一階段的認證過程中,優先發送匿名認證用戶名,而在第二階段將在被加密的報文中發送配置的認證用戶名。配置了802.1X Client匿名認證用戶名可有效保護認證用戶名不在第一階段的認證過程中被泄露。如果設備上沒有配置匿名認證用戶名,則兩個認證階段均使用配置的認證用戶名進行認證。
當802.1X Client采用的認證方法為MD5-Challenge時,配置的802.1X Client匿名認證用戶名無效,設備仍將使用配置的認證用戶名進行認證。
如果認證服務器廠商不支持匿名認證用戶名,則不要配置匿名認證用戶名。
【舉例】
# 配置802.1X Client匿名認證用戶名為bbb。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant anonymous identify bbb
【相關命令】
· display dot1x supplicant
· dot1x supplicant enable
· dot1x supplicant username
dot1x supplicant eap-method命令用來配置802.1X Client采用的EAP認證方法。
undo dot1x supplicant eap-method命令用來恢複缺省情況。
【命令】
dot1x supplicant eap-method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }
undo dot1x supplicant eap-method
【缺省情況】
802.1X Client采用的EAP認證方法為MD5-Challenge。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
md5:表示采用的認證方法為MD5-Challenge。
peap-gtc:表示采用的認證方法為PEAP-GTC。
peap-mschapv2:表示采用的認證方法為PEAP-MSCHAPv2。
ttls-gtc:表示采用的認證方法為TTLS-GTC。
ttls-mschapv2:表示采用的認證方法為TTLS-MSCHAPv2。
【使用指導】
配置的802.1X Client認證方法必須和認證服務器端支持的EAP認證方法保持一致。
【舉例】
# 配置802.1X Client采用的認證方法為PEAP-GTC。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant eap-method peap-gtc
【相關命令】
· display dot1x supplicant
· dot1x supplicant enable
dot1x supplicant enable命令用來開啟802.1X Client功能。
undo dot1x supplicant enable命令用來關閉802.1X Client功能。
【命令】
dot1x supplicant enable
undo dot1x supplicant enable
【缺省情況】
802.1X Client功能處於關閉狀態。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟802.1X Client功能前,請確保設備(Authenticator)上關於802.1X認證的配置已完成。
請不要在加入聚合接口的以太網接口上開啟802.1X Client功能,否則可能會導致用戶認證失敗。
【舉例】
# 開啟802.1X Client功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant enable
【相關命令】
· display dot1x supplicant
dot1x supplicant mac-address命令用來配置802.1X Client認證使用的MAC地址。
undo dot1x supplicant mac-address命令用來恢複缺省情況。
【命令】
dot1x supplicant mac-address mac-address
undo dot1x supplicant mac-address
【缺省情況】
802.1X Client認證使用接口的MAC地址,若獲取不到接口MAC地址則使用設備的MAC地址。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
mac-address:MAC地址,格式為H-H-H,不支持組播MAC地址、全0的MAC地址和全F的MAC地址。輸入本參數時,可以省去MAC地址中每段開頭的“0”,例如輸入“f-e2-1”即表示輸入 “000f-00e2-0001”。
設備作為802.1X Client時,如果有多個以太網接口需要與對端建立MACsec連接,為了保證各接口能夠順利通過802.1X認證,需要為各接口上配置不同的MAC地址。可通過以太網接口視圖下的mac-address命令為接口配置不同的MAC地址,或通過本命令為以太網接口配置不同的802.1X Client認證使用的MAC地址。
有關MACsec的詳細介紹,請參考“安全配置指導”中的“MACsec”。
【舉例】
# 配置802.1X Client認證使用的MAC地址為0001-0001-0001。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant mac-address 1-1-1
dot1x supplicant password命令用來配置802.1X Client認證密碼。
undo dot1x supplicant password命令用來恢複缺省情況。
【命令】
dot1x supplicant password { cipher | simple } string
undo dot1x supplicant password
【缺省情況】
不存在802.1X Client認證密碼。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
cipher:以密文方式設置密碼。
simple:以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~127個字符的字符串,密文密碼為1~201個字符的字符串。
【舉例】
# 配置802.1X Client的明文認證密碼為123456。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant password simple 123456
【相關命令】
· display dot1x supplicant
· dot1x supplicant enable
dot1x supplicant ssl-client-policy命令用來指定802.1X Client引用的SSL客戶端策略。
undo dot1x supplicant ssl-client-policy命令用來恢複缺省情況。
【命令】
dot1x supplicant ssl-client-policy policy-name
undo dot1x supplicant ssl-client-policy policy-name
【缺省情況】
802.1X Client引用係統缺省的SSL客戶端策略。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
policy-name:SSL客戶端策略名,為1~31個字符的字符串,不區分大小寫,且引用的SSL客戶端策略必須已存在。
【使用指導】
當802.1X Client認證采用PEAP-MSCHAPv2、PEAP-GTC、TTLS-MSCHAPv2或TTLS-GTC時,被認證設備作為SSL客戶端會在802.1X Client第一階段認證過程中,與對端SSL服務器進行SSL協商。在第二階段被認證設備使用SSL協商出來的結果對交互的認證報文進行加密傳輸。
在SSL協商過程中,802.1X Client作為SSL客戶端連接SSL服務器時,需要使用本命令來引用SSL客戶端策略。SSL客戶端策略中配置了SSL客戶端啟動時使用的SSL參數,包括使用的PKI域、支持的加密套件和使用的SSL協議版本。有關SSL客戶端策略的詳細配置請參見“安全配置指導”中的“SSL”。
當802.1X Client認證采用MD5-Challenge認證方法時,認證過程不會引用SSL客戶端策略。
【舉例】
# 在接口Ten-GigabitEthernet1/0/1下指定802.1X Client引用的SSL客戶端策略為policy_1。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant ssl-client-policy policy_1
【相關命令】
· display dot1x supplicant
· dot1x supplicant enable
· ssl client-policy(安全命令參考/SSL)
dot1x supplicant transmit-mode命令用來配置802.1X Client認證使用的報文發送方式。
undo dot1x supplicant transmit-mode命令用來恢複缺省情況。
【命令】
dot1x supplicant transmit-mode { multicast | unicast }
undo dot1x supplicant transmit-mode
【缺省情況】
802.1X Client認證使用單播方式發送EAP-Response和EAPOL-Logoff報文。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
multicast:使用組播方式發送EAP-Response和EAPOL-Logoff報文,該報文目的地址為組播MAC地址01-80-C2-00-00-03。
unicast:使用單播方式發送EAP-Response和EAPOL-Logoff報文。
【使用指導】
設備作為802.1X Client進行802.1X認證時,如果網絡中的NAS設備不支持接收單播EAP-Response或EAPOL-Logoff報文,會導致802.1X認證失敗,此時建議開啟組播發送方式。
【舉例】
# 配置端口Ten-GigabitEthernet1/0/1上802.1X Client認證使用的報文類型為組播。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant transmit-mode multicast
dot1x supplicant username命令用來配置802.1X Client認證用戶名。
undo dot1x supplicant username命令用來恢複缺省情況。
【命令】
dot1x supplicant username username
undo dot1x supplicant username
【缺省情況】
不存在802.1X Client認證用戶名。
【視圖】
以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
username:表示802.1X Client認證用戶名,為1~253個字符的字符串,區分大小寫。
【使用指導】
802.1X Client認證用戶名可以攜帶域名,域名中可用的分隔符包括@、\、/和.,對應的用戶名格式分別為username@domain-name、domain-name\username、username/domain-name和username.domain-name,其中username為純用戶名、domain-name為域名。如果用戶名中包含有多個域名分隔符字符,則設備僅將最後一個出現的域名分隔符識別為實際使用的域名分隔符。若要指定域名分隔符\,則必須在輸入時使用轉義操作符\,即輸入\\。域名分隔符的使用方法同命令dot1x domain-delimiter,有關此命令的詳細介紹請參見“安全命令參考”中的“802.1X”。
【舉例】
# 配置802.1X Client認證用戶名為aaa。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] dot1x supplicant username aaa
【相關命令】
· display dot1x supplicant
· dot1x domain-delimiter(安全命令參考/802.1X)
· dot1x supplicant enable
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
