- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-802.1X命令
本章節下載: 02-802.1X命令 (571.17 KB)
目 錄
1.1.2 display dot1x connection
1.1.3 display dot1x mac-address
1.1.5 dot1x { ip-verify-source | ipv6-verify-source } enable
1.1.6 dot1x access-user log enable
1.1.7 dot1x after-mac-auth max-attempt
1.1.8 dot1x authentication-method
1.1.12 dot1x critical-voice-vlan
1.1.14 dot1x duplicate-eapol-start discard
1.1.15 dot1x ead-assistant enable
1.1.16 dot1x ead-assistant free-ip
1.1.17 dot1x ead-assistant permit authentication-escape
1.1.18 dot1x ead-assistant url
1.1.19 dot1x eap-success post-authorization
1.1.20 dot1x eap-tls-fragment to-server
1.1.25 dot1x handshake reply enable
1.1.28 dot1x mac-binding enable
1.1.31 dot1x multicast-trigger
1.1.32 dot1x packet-detect enable
1.1.33 dot1x packet-detect retry
1.1.38 dot1x re-authenticate manual
1.1.39 dot1x re-authenticate server-unreachable keep-online
1.1.41 dot1x server-recovery online-user-sync
1.1.43 dot1x timer reauth-period (interface view)
1.1.44 dot1x unauthenticated-user aging enable
1.1.47 reset dot1x access-user
display dot1x命令用來顯示802.1X的相關信息。
【命令】
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
sessions:顯示802.1X的會話連接信息。
statistics:顯示802.1X的相關統計信息。
interface interface-type interface-number:顯示指定端口的802.1X信息。interface-type interface-number為端口類型和端口編號。
【使用指導】
如果不指定參數sessions或者statistics,則顯示802.1X的所有信息,包括會話連接信息、相關統計信息和配置信息等。
如果不指定interface參數,則顯示所有端口上的802.1X信息。
【舉例】
# 顯示802.1X的所有信息。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
EAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
User aging period for Auth-Fail VLAN : 1000 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
EAD assistant function : Disabled
Permit authentication-escape : Disabled
URL : http://www.dwsoft.com
Free IP : 6.6.6.0 255.255.255.0
EAD timeout : 30 min
Domain delimiter : @
Max EAP-TLS fragment (to-server) : 400 bytes
Online 802.1X wired users : 1
GigabitEthernet1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : MAC-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : 3
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Add Guest VLAN delay : Disabled
Re-auth server-unreachable : Logoff
Max online users : 4294967295
User IP freezing : Disabled
Reauth period : 0 s
Send Packets Without Tag : Disabled
Max Attempts Fail Number : 0
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auth-Fail EAPOL : Disabled
Critical EAPOL : Disabled
Discard duplicate EAPOL-Start : No
EAPOL packets: Tx 3, Rx 3
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0000 Authenticated
表1-1 display dot1x命令顯示信息描述表
|
字段 |
描述 |
|
Global 802.1X parameters |
全局802.1X參數配置信息 |
|
802.1X authentication |
全局802.1X的開啟狀態 |
|
CHAP authentication |
啟用EAP終結方式,並采用CHAP認證方法 |
|
EAP authentication |
啟用EAP中繼方式,並支持所有EAP認證方法 |
|
PAP authentication |
啟用EAP終結方式,並采用PAP認證方法 |
|
Max-tx period |
用戶名請求超時定時器的值 |
|
Handshake period |
握手定時器的值 |
|
Quiet timer |
靜默定時器的開啟狀態 |
|
Quiet period |
靜默定時器的值 |
|
Supp timeout |
客戶端認證超時定時器的值 |
|
Server timeout |
認證服務器超時定時器的值 |
|
Reauth period |
重認證定時器的值 |
|
Max auth requests |
設備向接入用戶發送認證請求報文的最大次數 |
|
User aging period for Auth-Fail VLAN |
Auth-Fail VLAN中用戶的老化時間 |
|
User aging period for critical VLAN |
Critical VLAN中用戶的老化時間 |
|
User aging period for guest VLAN |
Guest VLAN中用戶的老化時間 |
|
EAD assistant function |
EAD快速部署輔助功能的開啟狀態 |
|
Permit authentication-escape |
(僅Release 6331及以上版本支持本字段)EAD快速部署支持訪問Auth-Fail VLAN或Critical VLAN |
|
URL |
用戶HTTP訪問的重定向URL |
|
Free IP |
用戶通過認證之前可訪問的網段 |
|
EAD timeout |
EAD老化定時器超時時間 |
|
Domain delimiter |
域名分隔符 |
|
Max EAP-TLS fragment (to-server) |
向認證服務器發送的認證報文中攜帶的EAP-TLS分片報文最大長度 若未配置EAP-TLS分片報文最大長度,則顯示為N/A |
|
Online 802.1X wired users |
在線802.1X有線用戶和正在發起認證的802.1X有線用戶的總數 |
|
GigabitEthernet1/0/1 is link-up |
端口GigabitEthernet1/0/1的鏈路狀態 |
|
802.1X authentication |
端口上802.1X的開啟狀態 |
|
Handshake |
在線用戶握手功能的開啟狀態 |
|
Handshake reply |
在線用戶握手回應功能的開啟狀態 |
|
Handshake security |
安全握手功能的開啟狀態 |
|
Unicast trigger |
802.1X單播觸發功能的開啟狀態 |
|
Periodic reauth |
周期性重認證功能的開啟狀態 |
|
Port role |
該端口擔當認證端的作用,目前僅支持作為認證端 |
|
Authorization mode |
端口的授權狀態 · Force-Authorized:強製授權狀態 · Auto:自動識別狀態 · Force-Unauthorized:強製非授權狀態 |
|
Port access control |
端口接入控製方式 · MAC-based:基於MAC地址對接入用戶進行認證 · Port-based:基於端口對接入用戶進行認證 |
|
Multicast trigger |
802.1X組播觸發功能的開啟狀態 |
|
Mandatory auth domain |
端口上的接入用戶使用的強製認證域 |
|
Guest VLAN |
端口配置的Guest VLAN,若此功能未配置則顯示Not configured |
|
Auth-fail VLAN |
端口配置的Auth-Fail VLAN,若此功能未配置則顯示Not configured |
|
Critical VLAN |
端口配置的Critical VLAN,若此功能未配置則顯示Not configured |
|
Critical voice VLAN |
端口配置802.1X認證的Critical Voice VLAN功能的開啟狀態,包括如下取值: · Enabled:打開 · Disabled:關閉 |
|
Add Guest VLAN delay |
端口延遲加入Guest VLAN功能的狀態和觸發原因: · EAPOL:802.1X協議報文觸發端口延遲加入802.1X Guest VLAN · NewMac:源MAC地址未知的報文觸發端口延遲加入802.1X Guest VLAN · ALL:802.1X協議報文或源MAC地址未知的報文觸發端口延遲加入802.1X Guest VLAN · Disabled:端口延遲加入802.1X Guest VLAN功能處於關閉狀態 |
|
Re-auth server-unreachable |
重認證時服務器不可達對802.1X在線用戶采取的動作 |
|
Max online users |
本端口最多可容納的接入用戶數 |
|
User IP freezing |
802.1X用戶IP地址凍結功能的開啟狀態 · Enabled:打開 · Disabled:關閉 |
|
Reauth period |
端口上802.1X周期性重認證定時器的值 |
|
Send Packets Without Tag |
端口發送802.1X協議報文不攜帶VLAN Tag的開啟狀態: · Enabled:打開 · Disabled:關閉 |
|
Max Attempts Fail Number |
MAC地址認證成功的用戶進行802.1X認證的最大嚐試次數 |
|
User aging |
非認證成功VLAN中802.1X用戶老化功能的開啟狀態 · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Server-recovery online-user-sync |
RADIUS服務器從不可達狀態恢複為可達時,設備同步802.1X在線用戶信息到RADIUS服務器功能的開啟狀態: · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Auth-Fail EAPOL |
(暫不支持)當802.1X用戶加入到Auth-Fail VLAN後,設備端向客戶端發送EAP-Success報文功能的開啟狀態: · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Critical EAPOL |
當802.1X用戶加入到Critical VLAN後,設備端向客戶端發送EAP-Success報文功能的開啟狀態: · Enabled:處於開啟狀態 · Disabled:處於關閉狀態 |
|
Discard duplicate EAPOL-Start |
在802.1X用戶認證過程中,設備是否丟棄重複的EAPOL-Start報文: · Yes:丟棄 · No:不丟棄 |
|
EAPOL packets |
EAPOL報文數目。Tx表示發送的報文數目;Rx表示接受的報文數目 |
|
Sent EAP Request/Identity packets |
發送的EAP Request/Identity報文數 |
|
EAP Request/Challenge packets |
發送的EAP Request/Challenge報文數 |
|
EAP Success packets |
發送的EAP Success報文數 |
|
EAP Fail packets |
發送的EAP Failure報文數 |
|
Received EAPOL Start packets |
接收的EAPOL Start報文數 |
|
EAPOL LogOff packets |
接收的EAPOL LogOff報文數 |
|
EAP Response/Identity packets |
接收的EAP Response/Identity報文數 |
|
EAP Response/Challenge packets |
接收的EAP Response/Challenge報文數 |
|
Error packets |
接收的錯誤報文數 |
|
Online 802.1X users |
端口上的在線802.1X用戶和正在發起認證的802.1X用戶的總數 |
|
MAC address |
802.1X用戶的MAC地址 |
|
Auth state |
802.1X用戶的認證狀態 |
display dot1x connection命令用來顯示當前802.1X在線用戶的詳細信息。
【命令】
display dot1x connection [ open ] [ interface interface-type interface-number | slot slot-number | user-mac mac-address | user-name name-string ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
open:隻顯示在開放認證模式下使用不存在的用戶名或者錯誤的密碼接入的802.1X用戶信息。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
interface interface-type interface-number:顯示指定端口的802.1X在線用戶信息。其中interface-type interface-number表示端口類型和端口編號。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
slot slot-number:顯示指定成員設備上的802.1X在線用戶信息。slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示所有成員設備上的802.1X在線用戶信息。
user-mac mac-address:顯示指定MAC地址的802.1X在線用戶信息。其中mac-address表示用戶的MAC地址,格式為H-H-H。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
user-name name-string:顯示指定用戶名的802.1X在線用戶信息。其中name-string表示用戶名,為1~253個字符的字符串,區分大小寫。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
【舉例】
# 顯示所有802.1X在線用戶信息。
<Sysname> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
User access state: Successful
Authentication domain: aaa
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Authentication method: CHAP
AAA authentication method: Local
Initial VLAN: 1
Authorization untagged VLAN: 6
Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33
35 37 40 to 100
Authorization VSI: N/A
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR:N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: 2 s
Packet detection:
Max attempts: 5
Remaining attempts: 3
Source IPv4 address: 192.168.1.3
Source IPv4 mask: 255.255.0.0
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
表1-2 display dot1x connection 命令顯示信息描述表
|
字段 |
描述 |
|
Total connections |
在線802.1X認證用戶個數 |
|
User MAC address |
用戶的MAC地址 |
|
Access interface |
用戶的接入接口名稱 |
|
Username |
用戶名 |
|
User access state |
用戶的接入狀態 · Successful:802.1X認證成功並接入 · Open:使用不存在的用戶名或者錯誤的密碼進行開放認證並接入 |
|
Authentication domain |
認證時使用的ISP域的名稱 |
|
IPv4 address |
用戶IP地址 若未獲取到用戶的IP地址,則不顯示該字段 |
|
IPv6 address |
用戶IPv6地址 若未獲取到用戶的IP地址,則不顯示該字段 |
|
Authentication method |
802.1X係統的認證方法 · CHAP:啟用EAP終結方式,並采用CHAP認證方法 · EAP:啟用EAP中繼方式,並支持所有EAP認證方法 · PAP:啟用EAP終結方式,並采用PAP認證方法 |
|
AAA authentication method |
(僅Release 6340及以上版本支持本字段)用戶上線的AAA認證方法,取值包括: · Local:本地認證 · HWTACACS:HWTACACS認證 · RADIUS:RADIUS認證 · None:None認證 |
|
Initial VLAN |
初始的VLAN |
|
Authorization untagged VLAN |
授權的untagged VLAN 對於Hybrid端口,當授權VLAN攜帶Tag的情況與端口配置的VLAN情況不一致時,授權VLAN不生效,通過認證後起作用的VLAN仍為端口配置的VLAN。具體請參見“安全配置指導”中的“802.1X”。 |
|
Authorization tagged VLAN list |
授權的tagged VLAN列表 對於Hybrid端口,當授權VLAN攜帶Tag的情況與端口配置的VLAN情況不一致時,授權VLAN不生效,通過認證後起作用的VLAN仍為端口配置的VLAN。具體請參見“安全配置指導”中的“802.1X”。 |
|
Authorization VSI |
(暫不支持)授權的VSI列表 |
|
Authorization ACL number/name |
授權的靜態ACL的編號或名稱。若未授權靜態ACL,則顯示N/A 若未授權成功,則在ACL編號或名稱後顯示“(NOT effective)” |
|
Authorization dynamic ACL name |
授權的動態ACL的名稱。若未授權動態ACL,則顯示N/A 若未授權成功,則在ACL名稱後顯示“(NOT effective)” 僅Release 6331及以上版本支持本字段。 |
|
Authorization user profile |
授權用戶的User profile名稱 |
|
Authorization CAR |
(暫不支持)當服務器未授權用戶CAR屬性時,該字段顯示為N/A。 |
|
Authorization URL |
授權的重定向URL |
|
Termination action |
服務器下發的終止動作類型: · Default:會話超時時長到達後,強製用戶下線。但是,如果設備上開啟了周期性重認證功能,且設備上配置的重認證定時器值小於用戶會話超時時長,則端口會以重認證定時器的值為周期向該端口在線802.1X用戶發起重認證,而不會強製用戶下線 · Radius-Request:會話超時時長到達後,要求802.1X用戶進行重認證 用戶采用本地認證時,該字段顯示為Default |
|
Session timeout period |
服務器下發的會話超時時長,該時間到達之後,用戶所在的會話將會被刪除,之後,對該用戶所采取的動作,由Termination action字段的取值決定 |
|
Packet detection |
報文探測功能信息。僅R6350及以上版本支持本字段 |
|
Max attempts |
報文探測最大次數。僅R6350及以上版本支持本字段 |
|
Remaining attempts |
報文探測剩餘次數,每發一次探測報文次數減一。僅R6350及以上版本支持本字段 |
|
Source IPv4 address |
配置的計算ARP探測報文源IP所需的地址,如果未配置,則顯示為0.0.0.0。僅R6350及以上版本支持本字段 |
|
Source IPv4 mask |
配置的計算ARP探測報文源IP所需的掩碼,如果未配置,則顯示為0.0.0.0。僅R6350及以上版本支持本字段 |
|
Online from |
用戶的上線時間 |
|
Online duration |
用戶的在線時長 |
display dot1x mac-address命令用來顯示指定類型的VLAN中的802.1X用戶的MAC地址信息。
【命令】
display dot1x mac-address { auth-fail-vlan | critical-vlan | guest-vlan } [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
auth-fail-vlan:顯示802.1X Auth-Fail VLAN中的用戶MAC地址信息。
critical-vlan:顯示802.1X Critical VLAN中的用戶MAC地址信息。
guest-vlan:顯示802.1X Guest VLAN中的用戶MAC地址信息。
interface interface-type interface-number:顯示VLAN中指定端口的802.1X用戶的MAC地址信息。其中interface-type interface-number表示端口類型和端口編號。若不指定本參數,則顯示指定類型的VLAN中所有端口的802.1X用戶的MAC地址信息。
【使用指導】
查詢到的MAC地址數量以及MAC地址明細為粗略統計,當有大量用戶頻繁進行認證時可能不能完全精準顯示。
【舉例】
# 顯示所有802.1X Auth-Fail VLAN中的用戶的MAC地址信息。
<Sysname> display dot1x mac-address auth-fail-vlan
Total MAC addresses: 10
Interface: GigabitEthernet1/0/1 Auth-Fail VLAN: 3 Aging time: N/A
MAC addresses: 8
0800-2700-9427 0800-2700-2341 0800-2700-2324 0800-2700-2351
0800-2700-5627 0800-2700-2251 0800-2700-8624 0800-2700-3f51
Interface: GigabitEthernet1/0/2 Auth-Fail VLAN: 5 Aging time: 30 sec
MAC addresses: 2
0801-2700-9427 0801-2700-2341
表1-3 display dot1x mac-address命令顯示信息描述表
|
字段 |
描述 |
|
Total MAC addresses |
指定類型的VLAN中的所有MAC地址總數 |
|
Interface |
用戶的接口名稱 |
|
Type VLAN |
顯示802.1X用戶所在的VLAN信息,Type包含如下取值: · Auth-fail VLAN · Critical VLAN · Guest VLAN |
|
Aging time |
MAC地址老化時間,單位秒。N/A表示該地址不老化 |
|
MAC addresses |
MAC地址數 |
|
xxxx-xxxx-xxxx |
MAC地址 |
【相關命令】
· dot1x auth-fail vlan
· dot1x critical vlan
· dot1x guest-vlan
dot1x命令用來開啟端口上或全局的802.1X。
undo dot1x命令用來關閉端口上或全局的802.1X。
【命令】
dot1x
undo dot1x
【缺省情況】
所有端口以及全局的802.1X都處於關閉狀態。
【視圖】
係統視圖
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有同時開啟全局和端口的802.1X後,802.1X的配置才能在端口上生效。
【舉例】
# 開啟全局的802.1X。
<Sysname> system-view
[Sysname] dot1x
# 開啟端口GigabitEthernet1/0/1上的802.1X。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x
[Sysname-GigabitEthernet1/0/1] quit
【相關命令】
· display dot1x
dot1x { ip-verify-source | ipv6-verify-source } enable命令用來開啟為802.1X認證成功用戶添加IP Source Guard的IPv4/IPv6動態綁定表項功能。
undo dot1x { ip-verify-source | ipv6-verify-source } enable命令用來關閉為802.1X認證成功用戶添加IP Source Guard的IPv4/IPv6動態綁定表項功能。
僅Release 6340及以上版本支持本命令。
【命令】
dot1x { ip-verify-source | ipv6-verify-source } enable
undo dot1x { ip-verify-source | ipv6-verify-source } enable
【缺省情況】
為802.1X認證成功用戶添加IP Source Guard的IPv4/IPv6動態綁定表項功能處於開啟狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
執行dot1x { ip-verify-source | ipv6-verify-source } enable命令後,設備不會為已在線的802.1X用戶添加IP Source Guard的IPv4/IPv6動態綁定表項,僅會為後續新上線的802.1X用戶添加IP Source Guard的IPv4/IPv6動態綁定表項。如果已添加動態綁定表項的802.1X用戶IP地址發生了變化,設備會為該用戶更新動態綁定表項。
執行undo dot1x { ip-verify-source | ipv6-verify-source } enable命令後,設備不會為已在線的802.1X用戶刪除IP Source Guard的IPv4/IPv6動態綁定表項,僅對後續新上線的802.1X用戶不再添加IP Source Guard的IPv4/IPv6動態綁定表項。如果已添加動態綁定表項的802.1X用戶IP地址發生了變化,設備會刪除該用戶對應的動態綁定表項。
【舉例】
# 在端口GigabitEthernet1/0/1上關閉為802.1X認證成功用戶添加IP Source Guard的IPv4/IPv6動態綁定表項功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo dot1x ip-verify-source enable
dot1x access-user log enable命令用來開啟802.1X接入用戶日誌信息功能。
undo dot1x access-user log enable命令用來關閉802.1X接入用戶日誌信息功能。
【命令】
dot1x access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *
undo dot1x access-user log enable [ abnormal-logoff | failed-login | normal-logoff | successful-login ] *
【缺省情況】
802.1X接入用戶日誌信息功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
abnormal-logoff:802.1X接入用戶異常下線(例如實時計費失敗下線,重認證失敗下線等)的日誌信息。
failed-login:802.1X接入用戶上線失敗的日誌信息。
normal-logoff:802.1X接入用戶正常下線的日誌信息。
successful-login:802.1X接入用戶上線成功時的日誌信息
【使用指導】
為了防止設備輸出過多的802.1X接入用戶日誌信息,一般情況下建議關閉此功能。
配置本命令時,如果未指定任何參數,將同時開啟或關閉本命令所有參數對應的日誌功能。
【舉例】
# 開啟802.1X接入用戶上線失敗的日誌信息。
<Sysname> system-view
[Sysname] dot1x access-user log enable failed-login
【相關命令】
· info-center source dot1x logfile deny(網絡管理和監控/信息中心)
dot1x after-mac-auth max-attempt命令用來配置MAC地址認證成功的用戶進行802.1X認證的最大嚐試次數。
undo dot1x after-mac-auth max-attempt命令用來恢複缺省情況。
dot1x after-mac-auth max-attempt max-attemps
undo dot1x after-mac-auth max-attempt
不限製MAC地址認證成功的用戶進行802.1X認證的最大嚐試次數。
max-attemps:表示認證的最大嚐試次數,取值範圍為1~50。
在端口上配置此功能後,MAC地址認證成功的用戶進行802.1X認證時,如果用戶進行802.1X認證的嚐試次數超過配置的最大次數,則設備將不再允許此用戶進行802.1X認證。
如果MAC地址認證用戶下線或設備重啟,則此用戶進行802.1X認證的嚐試次數會重新從零計數。
# 在端口GigabitEthernet1/0/1上配置MAC地址認證用戶進行802.1X認證的最大嚐試次數為10次。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x after-mac-auth max-attempt 10
【相關命令】
· display dot1x
dot1x authentication-method命令用來配置802.1X係統的認證方法。
undo dot1x authentication-method命令用來恢複缺省情況。
【命令】
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
【缺省情況】
設備啟用EAP終結方式,並采用CHAP認證方法。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
chap:啟用EAP終結方式,並支持與RADIUS服務器之間采用CHAP類型的認證方法。
eap:啟用EAP中繼方式,並支持客戶端與RADIUS服務器之間所有類型的EAP認證方法。
pap:啟用EAP終結方式,並支持與RADIUS服務器之間采用PAP類型的認證方法。
【使用指導】
在EAP終結方式下:設備將收到的客戶端EAP報文中的用戶認證信息重新封裝在標準的RADIUS報文中,然後采用PAP或CHAP認證方法與RADIUS服務器完成認證交互。該方式的優點是,現有的RADIUS服務器基本均可支持PAP和CHAP認證,無需升級服務器,但設備處理較為複雜,且目前僅能支持MD5-Challenge類型的EAP認證以及iNode 802.1X客戶端發起的“用戶名+密碼”方式的EAP認證。有關PAP和CHAP兩種認證方法的詳細介紹如下:
· PAP(Password Authentication Protocol,密碼驗證協議)通過用戶名和口令來對用戶進行驗證,其特點是在網絡上以明文方式傳送用戶名和口令,僅適用於對網絡安全要求相對較低的環境。目前,H3C iNode 802.1X客戶端支持此認證方法。
· CHAP(Challenge Handshake Authentication Protocol,質詢握手驗證協議)采用客戶端與服務器端交互挑戰信息的方式來驗證用戶身份,其特點是在網絡上以明文方式傳送用戶名,以密文方式傳輸口令。與PAP相比,CHAP認證保密性較好,更為安全可靠。
在EAP中繼方式下:設備將收到的客戶端EAP報文直接封裝到RADIUS報文的屬性字段中,發送給RADIUS服務器完成認證。該方式的優點是,設備處理簡單,且可支持多種類型的EAP認證方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服務器端支持相應的EAP認證方法。
采用遠程RADIUS認證時,PAP、CHAP、EAP認證的最終實現,需要RADIUS服務器支持相應的PAP、CHAP、EAP認證方法。
若采用EAP認證方法,則RADIUS方案下的user-name-format配置無效,user-name-format的介紹請參見“安全命令參考”中的“AAA”。
【舉例】
# 啟用EAP終結方式,並支持與RADIUS服務器之間采用PAP類型的認證方法。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【相關命令】
· display dot1x
dot1x auth-fail vlan命令用來配置端口的802.1X Auth-Fail VLAN。
undo dot1x auth-fail vlan命令用來恢複缺省情況。
【命令】
dot1x auth-fail vlan authfail-vlan-id
undo dot1x auth-fail vlan
【缺省情況】
端口上未配置802.1X Auth-Fail VLAN。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【使用指導】
端口上配置此功能後,認證失敗的802.1X用戶可以繼續訪問Auth-Fail VLAN中的資源。
禁止刪除已被配置為Auth-Fail VLAN的VLAN,若要刪除該VLAN,請先通過undo dot1x auth-fail vlan命令取消802.1X Auth-Fail VLAN配置。
【舉例】
# 配置端口GigabitEthernet1/0/1的Auth-Fail VLAN為VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x auth-fail vlan 100
【相關命令】
· display dot1x
dot1x critical eapol命令用來配置當802.1X用戶被加入到Critical VLAN後,設備端向客戶端發送EAP-Success報文。
undo dot1x critical eapol命令用來恢複缺省情況。
【命令】
dot1x critical eapol
undo dot1x critical eapol
【缺省情況】
當802.1X用戶加入到Critical VLAN後,設備端向客戶端發送EAP-Failure報文。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
缺省情況下,當802.1X用戶因認證服務器不可達而被加入Critical VLAN後,設備端會向客戶端發送一個EAP-Failure報文。對於某些802.1X客戶端(如Windows係統的802.1X客戶端),在收到EAP-Failure報文後,不會再響應設備端後繼發送的EAP-Request/Identity報文。因此當設備端探測到服務器可達並向客戶端發送EAP-Request/Identity報文進行重認證時,客戶端不會進行響應,該類用戶的重認證無法成功。這種情況下,可通過本命令配置當802.1X用戶被加入到Critical VLAN後,設備端向客戶端發送一個EAP-Success報文。客戶端收到該報文後認為802.1X用戶上線成功,此後可以繼續響應設備端發送的EAP-Request/Identity報文進行802.1X重認證。
【舉例】
# 在端口GigabitEthernet1/0/1上配置當802.1X用戶加入到Critical VLAN後,向客戶端發送EAP-Success報文。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x critical eapol
【相關命令】
· dot1x critical vlan
dot1x critical vlan命令用來配置端口的802.1X Critical VLAN。
undo dot1x critical vlan命令用來恢複缺省情況。
【命令】
dot1x critical vlan critical-vlan-id
undo dot1x critical vlan
【缺省情況】
端口上未配置Critical VLAN。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
critical-vlan-id:端口上指定的Critical VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【使用指導】
配置此功能後,當802.1X用戶認證時對應的ISP域下所有認證服務器都不可達的情況下,此802.1X用戶可以繼續訪問Critical VLAN中的資源。
禁止刪除已被配置為Critical VLAN的VLAN,若要刪除該VLAN,請先通過undo dot1x critical vlan命令取消802.1X Critical VLAN配置。
【舉例】
# 配置端口GigabitEthernet1/0/1的Critical VLAN為VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x critical vlan 100
【相關命令】
· display dot1x
dot1x critical-voice-vlan命令用來開啟802.1X Critical Voice VLAN功能。
undo dot1x critical-voice-vlan命令用來關閉802.1X Critical Voice VLAN功能。
【命令】
dot1x critical-voice-vlan
undo dot1x critical-voice-vlan
【缺省情況】
802.1X Critical Voice VLAN功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口上開啟802.1X Critical Voice VLAN功能後,當語音用戶進行802.1X認證采用的ISP域中的所有認證服務器都不可達時,端口將被加入到此端口上的語音VLAN中。有關語音VLAN的配置命令請參見“二層技術-以太網交換命令參考”中的“VLAN”。
設備通過LLDP(Link Layer Discovery Protocol,鏈路層發現協議)來判斷用戶是否為語音用戶,因此為保證802.1X Critical Voice VLAN功能可以正常工作,請在開啟此功能之前務必確保全局和相應端口上均已開啟LLDP功能。有關LLDP功能的配置命令請參見“二層技術-以太網交換命令參考”中的“LLDP”。
開啟802.1X Critical Voice VLAN功能前,請保證在該端口上已經配置了802.1X Critical VLAN。若端口上的語音用戶在認證時所有認證服務器都不可達,且端口暫未將其識別為語音用戶,則可以將其先加入Critical VLAN。
【舉例】
# 開啟端口GigabitEthernet1/0/1上的802.1X Critical Voice VLAN功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x critical-voice-vlan
【相關命令】
· display dot1x
· lldp enable(二層技術-以太網交換命令參考/LLDP)
· lldp global enable(二層技術-以太網交換命令參考/LLDP)
· voice-vlan enable(二層技術-以太網交換命令參考/VLAN)
dot1x domain-delimiter命令用來配置802.1X支持的域名分隔符。
undo dot1x domain-delimiter命令用來恢複缺省情況。
【命令】
dot1x domain-delimiter string
undo dot1x domain-delimiter
【缺省情況】
802.1X支持的域名分隔符為@。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
string:多個域名分隔符組成的1~16個字符的字符串,且分隔符隻能為@、.、/或\。若要指定域名分隔符\,則必須在輸入時使用轉義操作符\,即輸入\\。
【使用指導】
目前,802.1X支持的域名分隔符包括@、\、/和.,對應的用戶名格式分別為username@domain-name, domain-name\username、username/domain-name和username.domain-name,其中username為純用戶名、domain-name為域名。如果用戶名中包含有多個域名分隔符字符,則設備僅將最後一個出現的域名分隔符識別為實際使用的域名分隔符,例如,用戶輸入的用戶名為121.123/22\@abc,若設備上指定802.1X支持的域名分隔符為/、\,則識別出的純用戶名為@abc,域名為121.123/22。
係統默認支持分隔符@,但如果通過本命令指定的域名分隔符中未包含分隔符@,則802.1X僅會支持命令中指定的分隔符。
【舉例】
# 配置802.1X支持的域名分隔符為@和/。
<Sysname> system-view
[Sysname] dot1x domain-delimiter @/
【相關命令】
· display dot1x
dot1x duplicate-eapol-start discard命令用來配置丟棄重複的802.1X EAPOL-Start報文。
undo dot1x duplicate-eapol-start discard命令用來恢複缺省情況。
【命令】
dot1x duplicate-eapol-start discard
undo dot1x duplicate-eapol-start discard
【缺省情況】
設備不丟棄收到的合法EAPOL-Start報文。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
僅Release 6309P01及以上版本支持本命令。
在用戶的802.1X認證過程中,如果設備收到了該用戶重複的EAPOL-Start報文,為了避免服務器無法響應此類報文而導致用戶認證失敗,建議在用戶接入的端口上直接對其丟棄。
此功能僅在服務器無法響應冗餘EAPOL-Start報文的環境中推薦配置,其它情況下建議保持缺省情況。
【舉例】
# 配置對接口GigabitEthernet1/0/1上收到的重複EAPOL-Start報文進行丟棄處理。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x duplicate-eapol-start discard
【相關命令】
· display dot1x
dot1x ead-assistant enable命令用來開啟EAD快速部署輔助功能。
undo dot1x ead-assistant enable命令用來關閉EAD快速部署輔助功能。
【命令】
dot1x ead-assistant enable
undo dot1x ead-assistant enable
【缺省情況】
EAD快速部署輔助功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟EAD快速部署輔助功能後,設備允許未通過認證的802.1X用戶訪問一個特定的IP地址段,並可以將用戶發起的HTTP或HTTPS訪問請求重定向到該IP地址段中的一個指定的URL,實現用戶自動下載並安裝EAD客戶端的目的。
為使EAD快速部署功能生效,必須保證指定端口的授權模式為auto。
該命令與MAC地址認證和端口安全的全局使能命令均互斥,即開啟EAD快速部署輔助功能時,若全局使能了MAC地址認證或端口安全,則該配置將會執行失敗,反之亦然。
從Release 6328版本開始,EAD快速部署功能與端口安全的全局使能命令互斥,但支持同時使能MAC地址認證和EAD快速部署功能。若同時使能EAD快速部署功能和MAC地址認證功能,需要注意以下情況:
· 同時開啟EAD快速部署輔助功能和MAC地址認證功能時,MAC地址認證用戶認證失敗後,該用戶的MAC地址不會加入靜默MAC。若服務器上沒有相關的用戶信息,MAC地址認證用戶認證失敗後,需要等EAD表項老化之後,才能再次觸發認證。
· 開啟EAD快速部署輔助功能與MAC地址認證的Guest VLAN或Critical VLAN功能不建議同時配置,否則可能導致MAC地址認證的Guest VLAN或Critical VLAN功能無法正常使用。
· 同時開啟EAD快速部署輔助功能和MAC地址認證功能時,不建議同時配置Web認證或IP Source Guard功能,否則可能導致Web認證或IP Source Guard功能無法正常使用。
· 開啟EAD快速部署輔助功能後,對於在使能EAD快速部署輔助功能之前就加入靜默MAC的用戶,需要等靜默MAC老化後才能觸發EAD快速部署功能。
· 開啟EAD快速部署輔助功能可能導致MAC地址認證的Critical VLAN功能無法正常使用,從Release 6331版本開始,可以通過配置dot1x ead-assistant permit authentication-escape命令,使MAC地址認證用戶能夠正常使用Critical VLAN功能。
設備對HTTPS報文進行重定向的內部偵聽端口號缺省為6654。如果需要修改該端口號,具體配置請參見“三層技術-IP業務配置指導”中的“HTTP重定向”。
【舉例】
# 開啟EAD快速部署輔助功能。
<Sysname> system-view
[Sysname] dot1x ead-assistant enable
【相關命令】
· display dot1x
· dot1x ead-assistant free-ip
· dot1x ead-assistant url
· http-redirect https-port(三層技術-IP業務/HTTP重定向)
dot1x ead-assistant free-ip命令用來配置Free IP。
undo dot1x ead-assistant free-ip命令用來刪除指定的Free IP。
【命令】
dot1x ead-assistant free-ip ip-address { mask-address | mask-length }
undo dot1x ead-assistant free-ip { ip-address { mask-address | mask-length } | all }
【缺省情況】
未配置Free IP,用戶在通過802.1X認證之前不能夠訪問任何網段。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:指定的IP地址。
mask-address:指定的IP掩碼地址。
mask-length:指定的IP掩碼地址長度,取值範圍為1~32。
all:所有配置的IP。
【使用指導】
全局使能EAD快速部署功能且配置Free IP之後,未通過認證的802.1X終端用戶可以訪問該IP地址段中的網絡資源。
可通過重複執行此命令來配置多個Free IP。
【舉例】
# 配置用戶在通過802.1X認證之前能夠訪問的網段為192.168.1.1/16。
<Sysname> system-view
[Sysname] dot1x ead-assistant free-ip 192.168.1.1 255.255.0.0
【相關命令】
· display dot1x
· dot1x ead-assistant enable
· dot1x ead-assistant url
dot1x ead-assistant permit authentication-escape命令用來配置當開啟EAD快速部署功能後,802.1X用戶能夠正常使用Auth-Fail VLAN或Critical VLAN功能。
undo dot1x ead-assistant permit authentication-escape命令用來恢複缺省情況。
僅Release 6331及以上版本支持本命令。
【命令】
dot1x ead-assistant permit authentication-escape
undo dot1x ead-assistant permit authentication-escape
【缺省情況】
開啟EAD快速部署功能後,802.1X Auth-Fail VLAN和Critical VLAN功能無法正常使用。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟EAD快速部署功能時,802.1X認證用戶無法正常加入Auth-Fail VLAN或Critical VLAN。配置本命令後,用戶在加入非認證成功Auth-Fail VLAN或Critical VLAN前設備會刪除EAD表項,從而保證802.1X用戶能夠正常加入,並訪問其中的資源。
【舉例】
# 配置當開啟EAD快速部署功能後,802.1X用戶能夠正常使用Auth-Fail VLAN或Critical VLAN功能
<Sysname> system-view
[Sysname] dot1x ead-assistant permit authentication-escape
【相關命令】
· dot1x ead-assistant enable
dot1x ead-assistant url命令用來配置802.1X用戶HTTP或HTTPS訪問的重定向URL。
undo dot1x ead-assistant url命令用來恢複缺省情況。
【命令】
dot1x ead-assistant url url-string
undo dot1x ead-assistant url
【缺省情況】
未配置802.1X用戶HTTP或HTTPS訪問的重定向URL。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
url-string:重定向URL地址,為1~256個字符的字符串,區分大小寫。它以http://或者https://開頭,如果該URL未以http://或者https://開頭,則缺省認為是以http://開頭。URL地址可以包括“?”字符,在命令行接口輸入<?>無法獲得本參數的在線幫助。
【使用指導】
用戶在802.1X認證成功之前,如果使用瀏覽器訪問非Free IP網段的其它網絡,設備會將用戶訪問的URL重定向到已配置的重定向地址。
802.1X用戶重定向的URL和Free IP必須在同一個網段內,否則用戶無法訪問指定的重定向URL。
多次執行本命令,最後一次執行的命令生效。
設備對HTTPS報文進行重定向的內部偵聽端口號缺省為6654。如果需要修改該端口號,具體配置請參見“三層技術-IP業務配置指導”中的“HTTP重定向”。
【舉例】
# 配置802.1X用戶HTTP訪問的重定向URL為http://test.com。
<Sysname> system-view
[Sysname] dot1x ead-assistant url http://test.com
【相關命令】
· display dot1x
· dot1x ead-assistant enable
· dot1x ead-assistant free-ip
· http-redirect https-port(三層技術-IP業務/HTTP重定向)
dot1x eap-success post-authorization命令用來配置授權成功後再向客戶端發送認證成功報文。
undo dot1x eap-success post-authorization命令用來配置認證成功後向客戶端發送認證成功報文。
僅R6355P05及以上版本支持本命令。
【命令】
dot1x eap-success post-authorization
undo dot1x eap-success post-authorization
【缺省情況】
接入設備在用戶認證成功後立即向客戶端發送認證成功報文。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
802.1X認證過程中,當接入設備收到Radius服務器發送的認證通過報文(RADIUS Access-Accept)後,會向客戶端發送認證成功報文(EAP-Success),允許用戶通過相應端口訪問網絡。客戶端收到認證成功報文後,立即發起DHCP請求申請IP地址,但如果此時設備還未收到RADIUS服務器下發的授權信息,則客戶端將直接從現有訪問權限內的網段獲取到IP地址。當RADIUS服務器下發授權後,若現有權限網段與授權內的網段不一致,則客戶端無法上線。
配置本功能後,設備將在RADIUS服務器授權成功後再向客戶端發送認證成功報文,保證客戶端最終獲取的是授權網段內的IP地址。
配置本功能後,在RADIUS服務器或設備因處理的認證流程較多導致授權不及時時,客戶端將會因為認證回複超時而認證失敗,因此請根據實際應用場景中設備上業務流程的處理情況選擇是否配置本功能。
【舉例】
<Sysname> system-view
[Sysname] dot1x eap-success post-authorization
dot1x eap-tls-fragment to-server命令用來設置設備向認證服務器發送的EAP-TLS分片報文最大長度。
undo dot1x eap-tls-fragment to-server命令用來恢複缺省情況。
【命令】
dot1x eap-tls-fragment to-server eap-tls-max-length
undo dot1x eap-tls-fragment to-server
【缺省情況】
未配置EAP-TLS分片報文最大長度,即設備不對EAP-TLS報文進行分片。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
eap-tls-max-length:設備向認證服務器發報文時單個報文裏封裝的EAP-TLS分片報文的最大長度,取值範圍為100~1500,單位為字節。
【使用指導】
如果設備發送給RADIUS服務器的認證報文長度超過服務器能處理的最大長度,會因服務器無法處理報文而導致802.1X認證失敗。
當設備采用EAP中繼方式對802.1X客戶端進行認證,且認證方法為EAP-TLS時,會將EAP-TLS報文封裝在EAP-Message中,並將EAP-Message作為RADIUS屬性攜帶在RADIUS報文中發給RADIUS服務器。此種情況下,為避免RADIUS報文長度超過服務器所能處理的最大長度,可以通過dot1x eap-tls-fragment to-server命令將EAP-TLS報文進行分片,並通過設置EAP-TLS分片報文的最大長度來改變單個RADIUS報文的長度。
執行dot1x eap-tls-fragment to-server命令後,當設備發起認證時,會將攜帶EAP-TLS分片報文的RADIUS報文依次發送給服務器,服務器收到所有RADIUS報文後,會將這些報文中的認證信息拚接成一個完整的認證信息。
例如,當RADIUS服務器能處理的報文最大長度為1200字節的情況下,如果設備的RADIUS報文其它屬性以及固定字段總長度為800字節,則需要設置EAP-TLS分片報文的最大長度為小於400字節,這樣能保證RADIUS報文總長度小於1200字節。
【舉例】
# 配置設備向認證服務器發送報文時單個報文裏封裝的EAP-TLS分片最大長度為400字節。
<Sysname> system-view
[Sysname] dot1x eap-tls-fragment to-server 400
【相關命令】
· display dot1x
· dot1x authentication-method
dot1x eapol untag命令用來配置端口發送802.1X協議報文不攜帶VLAN Tag。
undo dot1x eapol untag命令用來恢複缺省情況。
【命令】
dot1x eapol untag
undo dot1x eapol untag
【缺省情況】
端口發送802.1X協議報文時攜帶VLAN Tag。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
除了本命令使用指導中涉及的應用場景,不要開啟本功能,否則端口發送的所有802.1X報文都將去除VLAN Tag,可能導致正常用戶無法通過802.1X認證。
Hybrid端口開啟802.1X認證,若該端口上通過port hyrid vlan命令配置了轉發缺省VLAN報文攜帶VLAN Tag,則端口發送的缺省VLAN內的802.1X協議報文默認攜帶VLAN Tag。這種情況下,當終端發送的是不帶VLAN Tag的報文進行802.1X認證時,由於接收的是帶Tag的報文,會導致802.1X認證失敗。為了解決這個問題,設備支持配置端口發送802.1X協議報文時不帶VLAN Tag的功能。
僅Hybrid類型的以太網端口支持本功能。
【舉例】
# 在端口GigabitEthernet1/0/1上配置發送802.1X協議報文不攜帶VLAN Tag。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x eapol untag
【相關命令】
· display dot1x
dot1x guest-vlan命令用來配置端口的802.1X Guest VLAN。
undo dot1x guest-vlan命令用來恢複缺省情況。
【命令】
dot1x guest-vlan guest-vlan-id
undo dot1x guest-vlan
【缺省情況】
端口上未配置802.1X Guest VLAN。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
guest-vlan-id:端口上指定的Guest VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【使用指導】
配置此功能後,在802.1X用戶在未認證的情況下,其可以訪問的VLAN資源,該VLAN內通常放置一些用於用戶下載客戶端軟件或其他升級程序的服務器。
禁止刪除已被配置為Guest VLAN的VLAN,若要刪除該VLAN,請先通過undo dot1x guest-vlan命令取消802.1X Guest VLAN配置。
【舉例】
# 配置端口GigabitEthernet1/0/1的Guest VLAN為VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x guest-vlan 100
【相關命令】
· display dot1x
dot1x guest-vlan-delay命令用來開啟端口延遲加入802.1X Guest VLAN的功能。
undo dot1x guest-vlan-delay命令用來關閉端口延遲加入802.1X Guest VLAN的功能。
【命令】
dot1x guest-vlan-delay { eapol | new-mac }
undo dot1x guest-vlan-delay [ eapol | new-mac ]
【缺省情況】
端口延遲加入802.1X Guest VLAN的功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
eapol:表示802.1X協議報文觸發端口延遲加入802.1X Guest VLAN。
new-mac:表示源MAC地址未知的報文觸發端口延遲加入802.1X Guest VLAN。
【使用指導】
開啟802.1X認證,並且端口的受控方式為MAC-based方式時,觸發802.1X認證後端口會立即被加入到802.1X Guest VLAN中。
在這種情況下,如果配置了端口延遲加入802.1X Guest VLAN的功能,端口會主動向觸發認證的源MAC地址單播發送EAP-Request報文。若在指定的時間內(通過命令dot1x timer tx-period設置)沒有收到客戶端的響應,則重發該報文,直到重發次數達到命令dot1x retry設置的最大次數時,若仍沒有收到客戶端的響應,才會加入到802.1X Guest VLAN中。
undo dot1x guest-vlan-delay命令不指定任何參數表示關閉802.1X協議報文觸發和MAC地址未知的報文觸發的端口延遲加入802.1X Guest VLAN的功能。
【舉例】
# 在端口GigabitEthernet1/0/1下配置802.1X協議報文觸發端口延遲加入802.1X Guest VLAN功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x guest-vlan-delay eapol
【相關命令】
· display dot1x
· dot1x retry
· dot1x timer tx-period
dot1x handshake命令用於開啟在線用戶握手功能。
undo dot1x handshake命令用於關閉在線用戶握手功能。
【命令】
dot1x handshake
undo dot1x handshake
【缺省情況】
在線用戶握手功能處於開啟狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟設備的在線用戶握手功能後,設備會定期(時間間隔通過命令dot1x timer handshake-period設置)向通過802.1X認證的在線用戶發送握手報文,以定期檢測用戶的在線情況。如果設備連續多次(通過命令dot1x retry設置)沒有收到客戶端的響應報文,則會將用戶置為下線狀態。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟在線用戶握手功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake
【相關命令】
· display dot1x
· dot1x timer handshake-period
· dot1x retry
dot1x handshake reply enable命令用來開啟端口發送在線握手成功報文功能。
undo dot1x handshake reply enable命令用來關閉端口發送在線握手成功報文功能。
【命令】
dot1x handshake reply enable
undo dot1x handshake reply enable
【缺省情況】
端口發送在線握手成功報文功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口上開啟在線用戶握手功能後,缺省情況下,設備收到該端口上802.1X在線用戶的在線握手應答報文(EAP-Response/Identity報文)後,則認為該用戶在線,並不給客戶端回應在線握手成功報文(EAP-Success報文)。但是,有些802.1X客戶端如果沒有收到設備回應的在線握手成功報文(EAP-Success報文),就會自動下線。為了避免這種情況發生,需要在端口上開啟發送在線握手成功報文功能。
隻有當802.1X客戶端需要收到在線握手成功報文時,才需要開啟此功能。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟的發送在線握手成功報文功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake reply enable
【相關命令】
· dot1x handshake
dot1x handshake secure命令用來開啟在線用戶握手安全功能。
undo dot1x handshake secure命令用來關閉在線用戶握手安全功能。
【命令】
dot1x handshake secure
undo dot1x handshake secure
【缺省情況】
在線用戶握手安全功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟在線用戶握手安全功能後,可以防止在線的802.1X認證用戶使用非法的客戶端與設備進行握手報文的交互,而逃過代理檢測、雙網卡檢測等iNode客戶端的安全檢查功能。
隻有設備上的在線用戶握手功能處於開啟狀態時,安全握手功能才會生效。
本功能僅能在iNode客戶端和iMC服務器配合使用的組網環境中生效。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟在線用戶握手安全功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake secure
【相關命令】
· display dot1x
· dot1x handshake
dot1x mac-binding命令用來手工配置802.1X認證的MAC地址綁定表項。
undo dot1x mac-binding命令用來刪除指定的802.1X認證的MAC地址綁定表項。
【命令】
dot1x mac-binding mac-address
undo dot1x mac-binding { mac-address | all }
【缺省情況】
端口上不存在802.1X認證的MAC地址綁定表項。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
mac-address:表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。
all:表示刪除接口下所有綁定的MAC地址。
【使用指導】
隻有802.1X認證的MAC地址綁定功能處於開啟狀態,且端口接入控製方式為MAC-based方式下,手工配置802.1X認證的MAC地址綁定表項才能生效。
802.1X認證的MAC地址綁定表項數受端口允許同時接入802.1X用戶數的最大值(通過dot1x max-user命令配置)影響,當綁定表項數等於端口允許同時接入802.1X用戶最大用戶數時,MAC地址綁定表項之外的用戶均會認證失敗。
手工配置的802.1X認證MAC地址綁定表項不會老化,即使對應用戶下線或設備保存配置重啟後也不會刪除此綁定表項。隻能通過undo dot1x mac-binding命令刪除此表項。綁定用戶在線時,不允許刪除此表項。
【舉例】
# 在端口GigabitEthernet1/0/1下配置802.1X認證的MAC地址綁定表項,與此端口綁定的MAC地址為000a-eb29-75f1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x mac-binding 000a-eb29-75f1
【相關命令】
· dot1x
· dot1x mac-binding enable
· dot1x port-method
dot1x mac-binding enable命令用來開啟802.1X認證的MAC地址綁定功能。
undo dot1x mac-binding enable命令用來關閉802.1X認證的MAC地址綁定功能。
【命令】
dot1x mac-binding enable
undo dot1x mac-binding enable
【缺省情況】
802.1X認證的MAC地址綁定功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
802.1X認證的MAC地址綁定功能僅在接入控製方式為MAC-based的端口上生效。
802.1X認證的MAC地址綁定表項數受端口允許同時接入802.1X用戶數的最大值(通過dot1x max-user命令配置)影響,當綁定表項數等於端口允許同時接入802.1X用戶最大用戶數時, MAC地址綁定表項之外的用戶均會認證失敗。
自動生成的端口與802.1X認證成功用戶的MAC地址綁定表項不會老化,即使該用戶下線後或設備保存配置重啟後也不會刪除此綁定表項。隻能通過undo dot1x mac-binding命令刪除此表項。綁定用戶在線時,不允許刪除此表項。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟802.1X認證的MAC地址綁定功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x mac-binding enable
【相關命令】
· dot1x
· dot1x mac-binding
· dot1x port-method
dot1x mandatory-domain命令用來指定端口上802.1X用戶使用的強製認證域。
undo dot1x mandatory-domain命令用來恢複缺省情況。
【命令】
dot1x mandatory-domain domain-name
undo dot1x mandatory-domain
【缺省情況】
未指定802.1X用戶使用的強製認證域。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:ISP域名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
從指定端口上接入的802.1X用戶將按照如下先後順序選擇認證域:端口上指定的強製ISP域-->用戶名中指定的ISP域-->係統缺省的ISP域。
【舉例】
# 指定端口GigabitEthernet1/0/1上802.1X用戶使用的強製認證域為my-domain。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x mandatory-domain my-domain
【相關命令】
· display dot1x
dot1x max-user命令用來配置端口上最多允許同時接入的802.1X用戶數。
undo dot1x max-user命令用來恢複缺省情況。
【命令】
dot1x max-user max-number
undo dot1x max-user
【缺省情況】
端口上最多允許同時接入的802.1X用戶數為4294967295。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
max-number:端口允許同時接入的802.1X用戶數的最大值,取值範圍為1~4294967295。
【使用指導】
由於係統資源有限,如果當前端口上接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使屬於當前端口的用戶獲得可靠的性能保障。當接入此端口的802.1X用戶數超過最大值後,新接入的用戶將被拒絕。
【舉例】
# 配置端口GigabitEthernet1/0/1上最多允許同時接入32個802.1X用戶。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x max-user 32
【相關命令】
· display dot1x
dot1x multicast-trigger命令用來開啟802.1X的組播觸發功能。
undo dot1x multicast-trigger命令用來關閉802.1X的組播觸發功能。
【命令】
dot1x multicast-trigger
undo dot1x multicast-trigger
【缺省情況】
802.1X的組播觸發功能處於開啟狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟了802.1X的組播觸發功能的端口會定期(間隔時間通過命令dot1x timer tx-period設置)向客戶端組播發送EAP-Request/Identity報文來檢測客戶端並觸發認證。該功能用於支持不能主動發送EAPOL-Start報文來發起認證的客戶端。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟802.1X的組播觸發功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x multicast-trigger
【相關命令】
· display dot1x
· dot1x timer tx-period
· dot1x unicast-trigger
dot1x packet-detect enable命令用來開啟802.1X認證報文探測功能。
undo dot1x packet-detect enable命令用來恢複缺省情況
僅R6350及以上版本支持本命令。
【命令】
dot1x packet-detect enable
undo dot1x packet-detect enable
【缺省情況】
未開啟802.1X認證的報文探測功能。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟802.1X認證報文探測功能後,設備會每隔一個802.1X下線檢測定時器間隔向端口的802.1X認證在線用戶發送探測報文,在發送次數達到本命令配置的最大值時,若下線檢測定時器間隔內仍未收到該802.1X認證用戶的回應報文,則認為報文探測超時將該用戶下線,同時通知RADIUS服務器停止對此用戶進行計費。
802.1X認證報文探測功能與802.1X認證下線檢測功能同時開啟時,如果802.1X認證下線檢測結果為用戶在線下線,則不會再向其發送探測報文;如果802.1X認證下線檢測結果為用戶下線,則不會立即下線用戶,設備仍會向客戶端發送探測報文,且會等到802.1X認證報文探測超時後再下線用戶。
開啟本功能後,當802.1X在線用戶的IP地址變化時,如果設備上未使能ARP Snooping和ND Snooping功能,則設備感知不到用戶IP地址變化,依舊會向原IP發送探測報文,最終導致報文探測超時而誤下線用戶。因此開啟本功能時,需要在設備上同時使能ARP Snooping和ND Snooping功能,確保設備能感知到用戶IP地址的變化情況。
【舉例】
# 配置802.1X認證報文探測功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x packet-detect enable
【相關命令】
· dot1x timer offline-detect
· port-security packet-detect arp-source-ip factor
· dot1x packet-detect retry
dot1x packet-detect retry命令用來配置802.1X認證報文探測的最大次數。
undo dot1x packet-detect retry命令用來恢複缺省情況。
僅R6350及以上版本支持本命令。
【命令】
dot1x packet-detect retry retries
undo dot1x packet-detect retry
【缺省情況】
802.1X認證報文探測的最大次數為2。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
retries:802.1X認證報文探測的最大次數,取值範圍為1~10。
【使用指導】
開啟802.1X認證報文探測功能後,設備會每隔一個802.1X下線檢測定時器間隔向端口的802.1X認證在線用戶發送探測報文,在發送次數達到本命令配置的最大值時,若下線檢測定時器間隔內仍未收到該802.1X認證用戶的回應報文,則認為報文探測超時將該用戶下線,同時通知RADIUS服務器停止對此用戶進行計費。
802.1X認證用戶上線後如果設備短時間內沒有獲取到用戶的IP地址信息,探測報文發送失敗,但仍會計數。為了避免設備來不及獲取用戶IP地址信息導致探測超時後下線用戶,此場景下802.1X認證報文探測的最大次數會在原有配置次數的基礎上加10。
【舉例】
# 配置802.1X認證報文探測的最大次數為8。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x packet-detect retry 8
【相關命令】
· dot1x packet-detect enable
dot1x port-control命令用來設置端口的授權狀態。
undo dot1x port-control命令用來恢複缺省情況。
【命令】
dot1x port-control { authorized-force | auto | unauthorized-force }
undo dot1x port-control
【缺省情況】
端口的授權狀態為auto。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
authorized-force:強製授權狀態,表示端口始終處於授權狀態,允許用戶不經認證授權即可訪問網絡資源。
auto:自動識別狀態,表示端口初始狀態為非授權狀態,僅允許EAPOL報文收發,不允許用戶訪問網絡資源;如果用戶認證通過,則端口切換到授權狀態,允許用戶訪問網絡資源。這也是最常用的一種狀態。
unauthorized-force:強製非授權狀態,表示端口始終處於非授權狀態,不允許用戶訪問網絡資源。
【使用指導】
通過配置端口的授權狀態,可以控製端口上接入的用戶是否需要通過認證才能訪問網絡資源。
【舉例】
# 指定端口GigabitEthernet1/0/1處於強製非授權狀態。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x port-control unauthorized-force
【相關命令】
· display dot1x
dot1x port-method命令用來配置端口的接入控製方式。
undo dot1x port-method命令用來恢複缺省情況。
【命令】
dot1x port-method { macbased | portbased }
undo dot1x port-method
【缺省情況】
端口的接入控製方式為macbased。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
macbased:表示基於MAC地址對接入用戶進行認證,即該端口上的所有接入用戶均需要單獨認證,當某個用戶下線時,也隻有該用戶無法使用網絡。
portbased:表示基於端口對接入用戶進行認證,即隻要該端口上的第一個用戶認證成功後,其他接入用戶無須認證就可使用網絡資源,當第一個用戶下線後,其它用戶也會被拒絕使用網絡。
【使用指導】
端口存在802.1X在線用戶時,切換接入控製方式會導致在線用戶立刻下線。
【舉例】
# 在端口GigabitEthernet1/0/1上配置對接入用戶進行基於端口的802.1X認證。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x port-method portbased
【相關命令】
· display dot1x
dot1x quiet-period命令用來開啟靜默定時器功能。
undo dot1x quiet-period命令用來關閉靜默定時器功能。
【命令】
dot1x quiet-period
undo dot1x quiet-period
【缺省情況】
靜默定時器功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
在靜默定時器功能處於開啟狀態的情況下,設備將在一段時間之內不對802.1X認證失敗的用戶進行802.1X認證處理,該時間由802.1X靜默定時器控製,可通過dot1x timer quiet-period命令配置。
【舉例】
# 開啟靜默定時器功能,並配置靜默定時器的值為100秒。
<Sysname> system-view
[Sysname] dot1x quiet-period
[Sysname] dot1x timer quiet-period 100
【相關命令】
· display dot1x
· dot1x timer
dot1x re-authenticate命令用來開啟周期性重認證功能。
undo dot1x re-authenticate命令用來關閉周期性重認證功能。
【命令】
dot1x re-authenticate
undo dot1x re-authenticate
【缺省情況】
周期性重認證功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口開啟了802.1X的周期性重認證功能後,設備會根據周期性重認證定時器(dot1x timer reauth-period)設定的時間間隔定期啟動對該端口在線802.1X用戶的認證,以檢測用戶連接狀態的變化,更新服務器下發的授權屬性(例如ACL、VLAN)。
如果同時配置了重認證功能和當RADIUS服務器變為可達後,設備向RADIUS服務器同步802.1X在線用戶信息的功能,則當重認證定時器超時時,設備不會對用戶進行重認證,而是對用戶進行同步操作。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟802.1X重認證功能,並配置周期性重認證時間間隔為1800秒。
<Sysname> system-view
[Sysname] dot1x timer reauth-period 1800
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate
【相關命令】
· display dot1x
· dot1x server-recovery online-user-sync
· dot1x timer
dot1x re-authenticate manual命令用來強製端口上所有802.1X在線用戶進行重認證。
【命令】
dot1x re-authenticate manual
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
強製端口上所有802.1X在線用戶進行重認證後,不論服務器是否下發重認證或端口下是否開啟了周期性重認證,強製重認證都會正常執行,端口上的所有在線802.1X用戶會依次進行重認證操作。
【舉例】
# 強製GigabitEthernet1/0/1端口上所有802.1X在線用戶進行重認證。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate manual
【相關命令】
· dot1x re-authenticate
dot1x re-authenticate server-unreachable keep-online命令用來配置重認證服務器不可達時端口上的用戶保持在線狀態。
undo dot1x re-authenticate server-unreachable命令用來恢複缺省情況。
【命令】
dot1x re-authenticate server-unreachable keep-online
undo dot1x re-authenticate server-unreachable
【缺省情況】
端口上的802.1X在線用戶重認證時,若認證服務器不可達,則會被強製下線。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
若端口上開啟了802.1X的周期性重認證功能,則設備會定期對端口上的802.1X在線用戶進行重認證,重認證過程中,若設備發現認證服務器狀態不可達,則可以根據本配置,決定是否保持其在線狀態。
【舉例】
# 配置端口GigabitEthernet1/0/1上的802.1X在線用戶進行重認證時,若服務器不可達,則保持在線狀態。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate server-unreachable keep-online
【相關命令】
· display dot1x
· dot1x re-authenticate
dot1x retry命令用來設置設備向接入用戶發送認證請求報文的最大次數。
undo dot1x retry命令用來恢複缺省情況。
【命令】
dot1x retry retries
undo dot1x retry
【缺省情況】
設備向接入用戶發送認證請求報文的最大次數為2。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
retries:向接入用戶發送認證請求報文的最大嚐試次數,取值範圍為1~10。
【使用指導】
如果設備向用戶發送認證請求報文後,在規定的時間裏沒有收到用戶的響應,則設備將向用戶重發該認證請求報文,若設備累計發送認證請求報文的次數達到配置的最大值後,仍然沒有得到用戶響應,則停止發送認證請求。對於EAP-Request/Identity報文,該時間由dot1x timer tx-period設置;對於EAP-Request/MD5 Challenge報文,該時間由dot1x timer supp-timeout設置。
【舉例】
# 配置設備最多向接入用戶發送9次認證請求報文。
<Sysname> system-view
[Sysname] dot1x retry 9
【相關命令】
· display dot1x
· dot1x timer
dot1x server-recovery online-user-sync命令用來開啟RADIUS服務器變為可達後的802.1X在線用戶信息同步功能。
undo dot1x server-recovery online-user-sync命令用來關閉802.1X在線用戶信息同步功能。
【命令】
dot1x server-recovery online-user-sync
undo dot1x server-recovery online-user-sync
【缺省情況】
802.1X在線用戶信息同步功能處於關閉狀態,即當RADIUS服務器從不可達狀態恢複為可達後,設備不向RADIUS服務器同步802.1X在線用戶信息。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
設備向RADIUS服務器同步802.1X在線用戶信息功能隻能與H3C iMC服務器配合使用。
開啟本功能後,當通過RADIUS服務器探測功能(具體配置步驟請參見“安全配置指導”中的“AAA”)探測到服務器由不可達變為可達後,設備便主動對端口上的所有在線用戶依次向服務器發起認證請求,等到這些用戶均通過認證後,達到服務器上的在線用戶信息與該端口上的在線用戶信息一致的目的。
在設備向RADIUS服務器同步802.1X在線用戶過程中,特殊情況處理如下:
· 如果在RADIUS服務器可達情況下,某用戶認證失敗,則設備強製該用戶下線。
· 如果在設備發起下一次RADIUS服務器探測前,RADIUS服務器變為不可達而導致用戶認證失敗,則用戶仍然保持在線。
· 如果有新用戶發起認證,則該認證用戶的信息不會向RADIUS服務器進行同步。
· 如果設備配置了周期性重認證功能,當重認證定時器超時時,設備不會對在線用戶發起重認證,而是對用戶進行同步操作。
當RADIUS服務器從不可達變為可達時,處於Critical VLAN中的用戶也會再次發起認證,在設備上802.1X在線用戶較多的情況下,如果配置了本功能,會因為同時進行認證的用戶數量較大,而導致用戶的上線時間變長。
本功能需要與RADIUS服務器探測功能配合使用,且RADIUS服務器探測周期必須小於RADIUS服務器恢複激活狀態時長(通過timer quiet (RADIUS scheme view)命令),以避免服務器恢複激活狀態定時器超時後將服務器的狀態變為active而產生誤報。
【舉例】
# 配置設備向RADIUS服務器同步GigabitEthernet1/0/1端口下的802.1X在線用戶信息。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x server-recovery online-user-sync
【相關命令】
· display dot1x
· radius-server test-profile(安全命令參考/AAA)
· timer quiet (RADIUS scheme view)(安全命令參考/AAA)
dot1x timer命令用來配置802.1X的定時器參數。
undo dot1x timer命令用來將指定的定時器恢複為缺省情況。
【命令】
dot1x timer { ead-timeout ead-timeout-value | handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | user-aging { auth-fail-vlan | critical-vlan | guest-vlan } aging-time-value }
undo dot1x timer { ead-timeout | handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period | user-aging { auth-fail-vlan | critical-vlan | guest-vlan } }
【缺省情況】
EAD超時定時器的值為30分鍾,握手定時器的值為15秒,靜默定時器的值為60秒,周期性重認證定時器的值為3600秒,認證服務器超時定時器的值為100秒,客戶端認證超時定時器的值為30秒,用戶名請求超時定時器的值為30秒,指定類型的非認證成功VLAN用戶老化定時器的值為1000秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ead-timeout ead-timeout-value:EAD超時定時器的值,取值範圍為1~1440,單位為分鍾。
handshake-period handshake-period-value:握手定時器的值,取值範圍為5~1024,單位為秒。
quiet-period quiet-period-value:靜默定時器的值,取值範圍為10~120,單位為秒。
reauth-period reauth-period-value:周期性重認證定時器的值,取值範圍為60~7200,單位為秒。從Release 6342版本開始,取值範圍為60~86400,單位為秒。
server-timeout server-timeout-value:認證服務器超時定時器的值,取值範圍為100~300,單位為秒。
supp-timeout supp-timeout-value:客戶端認證超時定時器的值,取值範圍為1~120,單位為秒。
tx-period tx-period-value:用戶名請求超時定時器的值,取值範圍為1~120,單位為秒。
user-aging:設置加入到指定類型的非認證成功VLAN中用戶的老化定時器。
auth-fail-vlan:加入到Auth-Fail VLAN中用戶的老化定時器。
critical-vlan:加入到Critical VLAN中用戶的老化定時器。
guest-vlan:加入到Guest VLAN中用戶的老化定時器。
aging-time-value:用戶老化定時器的值,取值範圍為60~2147483647,單位為秒。
【使用指導】
802.1X認證過程受以下定時器的控製:
· EAD超時定時器(ead-timeout):管理員可以通過配置EAD規則的老化時間來控製用戶對ACL資源的占用,當用戶訪問網絡時該定時器即開始計時,在定時器超時或者用戶下載客戶端並成功通過認證之後,該用戶所占用的ACL資源即被刪除,這樣那些在老化時間內未進行任何操作的用戶所占用的ACL資源會及時得到釋放。
· 握手定時器(handshake-period):此定時器是在用戶認證成功後啟動的,設備端以此間隔為周期發送握手請求報文,以定期檢測用戶的在線情況。如果配置發送次數為N,則當設備端連續N次沒有收到客戶端的響應報文,就認為用戶已經下線。
· 靜默定時器(quiet-period):對用戶認證失敗以後,設備端需要靜默一段時間(該時間由靜默定時器設置),在靜默期間,設備端不對802.1X認證失敗的用戶進行802.1X認證處理。
· 周期性重認證定時器(reauth-period):端口上開啟了周期性重認證功能(通過命令dot1x re-authenticate)後,設備端以此間隔為周期對端口上的在線用戶發起重認證。對於已在線的802.1X用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。
· 認證服務器超時定時器(server-timeout):當設備端向認證服務器發送了RADIUS Access-Request請求報文後,設備端啟動server-timeout定時器,若在該定時器設置的時長內,設備端沒有收到認證服務器的響應,則802.1X認證失敗。
建議將server-timeout的值設定為小於或等於設備發送RADIUS報文的最大嚐試次數(retry)與RADIUS服務器響應超時時間(timer response-timeout)之積。如果server-timeout的值大於retry與timer response-timeout之積,則可能在server-timeout設定的服務器超時時間到達前,用戶被強製下線。關於發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間的具體配置請參見“安全配置指導”中的“AAA”。
· 客戶端認證超時定時器(supp-timeout):當設備端向客戶端發送了EAP-Request/MD5 Challenge請求報文後,設備端啟動此定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,設備端將重發該報文。
· 用戶名請求超時定時器(tx-period):當設備端向客戶端發送EAP-Request/Identity請求報文後,設備端啟動該定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,則設備端將重發認證請求報文。另外,為了兼容不主動發送EAPOL-Start連接請求報文的客戶端,設備會定期組播EAP-Request/Identity請求報文來檢測客戶端。tx-period定義了該組播報文的發送時間間隔。
· 用戶老化定時器(user-aging):用來設置指定類型的非認證成功VLAN內用戶老化時間。
¡ 接入控製方式為Port-based時,在端口加入到Auth-Fail VLAN、Critical VLANAuth-Fail VLAN、Critical VLAN後,設備啟動該定時器。如果到達設定的老化時間,則端口離開指定的VLAN。
¡ 接入控製方式為MAC-based時,在用戶加入到Auth-Fail VLAN、Critical VLAN、Guest VLANAuth-Fail VLAN、Critical VLAN、Guest VLAN後,設備啟動該定時器。如果到達設定的老化時間,則用戶離開指定的VLAN。
隻有通過dot1x unauthenticated-user aging enable命令開啟非認證成功VLAN中802.1X用戶的老化功能時,該定時器生效。
請不要將非認證成功VLAN內用戶老化時間設置為用戶名請求超時定時器時長(通過命令dot1x timer tx-period tx-period-value進行配置)的整數倍,否則會導致對應VLAN內用戶老化定時器失效。
一般情況下,用戶無需修改定時器的值,除非在一些特殊或惡劣的網絡環境下,可以使用該命令調節交互進程。
除周期性重認證定時器外的其他定時器修改後可立即生效。
【舉例】
# 設置認證服務器的超時定時器時長為150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【相關命令】
· display dot1x
· dot1x unauthenticated-user aging enable
· retry(安全命令參考/AAA)
· timer response-timeout (RADIUS scheme view)(安全命令參考/AAA)
dot1x timer reauth-period命令用來在端口上配置802.1X周期性重認證定時器。
undo dot1x timer reauth-period命令用來恢複缺省情況。
【命令】
dot1x timer reauth-period reauth-period-value
undo dot1x timer reauth-period
【缺省情況】
端口上未配置802.1X周期性重認證定時器,端口使用係統視圖下配置的802.1X周期性重認證定時器的取值。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
reauth-period-value:周期性重認證定時器的值,取值範圍為60~7200,單位為秒。從Release 6342版本開始,取值範圍為60~86400,單位為秒。
【使用指導】
端口上開啟了802.1X周期性重認證功能後,設備將周期性地對端口上認證成功的802.1X用戶發起重認證。重認證周期的選擇優先級高低順序為:服務器下發的重認證時間間隔、接口視圖下配置的周期性重認證定時器的值、係統視圖下配置的周期性重認證定時器的值、設備缺省的周期性重認證定時器的值。
對於已在線的802.1X用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期性重認證定時器的值進行後續的重認證。
【舉例】
# 在端口GigabitEthernet1/0/1上配置802.1X周期性重認證定時器的值為60秒。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x timer reauth-period 60
【相關命令】
· dot1x timer
dot1x unauthenticated-user aging enable命令用來開啟非認證成功VLAN中802.1X用戶的老化功能。
undo dot1x unauthenticated-user aging enable命令用來關閉非認證成功VLAN中802.1X用戶的老化功能。
【命令】
dot1x unauthenticated-user aging enable
undo dot1x unauthenticated-user aging enable
【缺省情況】
非認證成功VLAN中802.1X用戶的老化功能處於開啟狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
接入控製方式為Port-based的端口上開啟非認證成功VLAN中802.1X用戶的老化功能後,當端口加入到Auth-Fail VLAN或Critical VLAN時,設備啟動用戶老化定時器,到達老化時間(通過dot1x timer user-aging命令配置)後,端口離開對應的VLAN。
接入控製方式為MAC-based的端口上開啟非認證成功VLAN中802.1X用戶的老化功能後,當用戶加入到Auth-Fail VLAN或Critical VLAN、Guest VLAN時,設備啟動用戶老化定時器,到達老化時間(通過dot1x timer user-aging命令配置)後,用戶離開對應的VLAN。
當端口上非認證成功VLAN的用戶需要遷移到其它端口接入時,請開啟本端口上非認證成功VLAN用戶的老化功能,將本端口上的用戶MAC地址老化刪除,否則用戶無法在其它端口正常接入。反之,當本端口非認證成功VLAN的用戶不需要遷移到其它端口接入時,建議關閉本功能,以免用戶老化退出後無法訪問對應VLAN中的資源。
【舉例】
# 關閉端口GigabitEthernet1/0/1上非認證成功VLAN中802.1X用戶的老化功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo dot1x unauthenticated-user aging enable
【相關命令】
· dot1x timer
dot1x unicast-trigger命令用來開啟端口上的802.1X的單播觸發功能。
undo dot1x unicast-trigger命令用來關閉802.1X的單播觸發功能。
【命令】
dot1x unicast-trigger
undo dot1x unicast-trigger
【缺省情況】
802.1X的單播觸發功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口上開啟802.1X的單播觸發功能後,當端口收到源MAC未知的報文時,主動向該MAC地址發送單播認證報文來觸發認證。若設備端在設置的客戶端認證超時時間內(該時間由dot1x timer supp-timeout設置)沒有收到客戶端的響應,則重發該報文(重發次數由dot1x retry設置)。
單播觸發功能建議隻在端口接入控製方式為MAC-based時配置;若在端口接入控製方式為Port-based時配置單播觸發功能,可能會導致用戶正常無法上線。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟802.1X的單播觸發功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x unicast-trigger
【相關命令】
· display dot1x
· dot1x multicast-trigger
· dot1x port-method
· dot1x retry
· dot1x timer
dot1x user-ip freeze命令用來開啟802.1X用戶IP地址凍結功能。
undo dot1x user-ip freeze命令用來關閉802.1X用戶IP地址凍結功能。
【命令】
dot1x user-ip freeze
undo dot1x user-ip freeze
【缺省情況】
802.1X用戶IP地址凍結功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟802.1X用戶IP地址凍結功能後,端口首次獲取且保存了802.1X上線用戶的IP地址之後,不會隨著該用戶IP地址的變化而更新IP Source Guard表項。有關IP Source Guard命令的詳細介紹,請參見“安全命令參考”中的“IP Source Guard”。
【舉例】
# 開啟端口GigabitEthernet1/0/1上的802.1X用戶IP地址凍結功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x user-ip freeze
reset dot1x access-user命令用來強製802.1X用戶下線。
【命令】
reset dot1x access-user [ interface interface-type interface-number | mac mac-address | username username | vlan vlan-id ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示強製指定端口下的802.1X用戶下線。interface-type interface-number為端口類型和端口編號。
mac mac-address:表示強製指定MAC地址的802.1X用戶下線。mac-address表示802.1X用戶的MAC地址,格式為H-H-H。
username username:表示強製指定名稱的802.1X用戶下線。username表示802.1X用戶的名稱,為1~253個字符的字符串,區分大小寫。
vlan vlan-id:表示強製指定VLAN內的802.1X用戶下線。vlan-id表示802.1X用戶當前所在VLAN的VLAN ID(可通過display mac-address命令查看),取值範圍為1~4094。
【使用指導】
僅Release 6318P01及以上版本支持本命令。
reset dot1x access-user命令用來強製指定的802.1X用戶下線。強製用戶下線後,設備會刪除對應的用戶信息,用戶再次上線時,需要重新進行802.1X認證。
指定vlan vlan-id參數時,設備會對如下幾種802.1X用戶進行下線處理:
· 對於已經認證成功且服務器已授權VLAN的用戶,將服務器授權的VLAN為vlan-id的用戶強製下線;
· 對於已經認證成功且服務器未授權VLAN的用戶,將設備上對用戶生效的VLAN為vlan-id的用戶強製下線;
· 對於正在認證中的用戶,將初始VLAN為vlan-id的用戶強製下線。
如果不指定任何參數,則強製設備上所有802.1X用戶下線。
【舉例】
# 強製端口GigabitEthernet1/0/1上的所有802.1X用戶下線。
<Sysname> reset dot1x access-user interface gigabitethernet 1/0/1
【相關命令】
· display dot1x connection
reset dot1x guest-vlan命令用來清除Guest VLAN內802.1X用戶,使其退出Guest VLAN。
【命令】
reset dot1x guest-vlan interface interface-type interface-number [ mac-address mac-address ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示使指定端口上的用戶退出Guest VLAN。interface-type interface-number為端口類型和端口編號。
mac-address mac-address:表示使指定MAC地址的用戶退出Guest VLAN。若不指定本參數,則表示使指定端口上的所有用戶退出Guest VLAN。
【舉例】
# 在端口GigabitEthernet1/0/1上使得MAC地址為1-1-1的802.1X用戶退出Guest VLAN。
<Sysname> reset dot1x guest-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
【相關命令】
· dot1x guest-vlan
reset dot1x statistics命令用來清除802.1X的統計信息。
【命令】
reset dot1x statistics [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:清除指定端口上的802.1X統計信息。interface-type interface-number為端口類型和端口編號。如果不指定本參數,則清除所有端口上的802.1X統計信息。
【舉例】
# 清除端口GigabitEthernet1/0/1上的802.1X統計信息。
<Sysname> reset dot1x statistics interface gigabitethernet 1/0/1
· display dot1x
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
