8021x配置命令.docx
《8021x配置命令.docx》由会员分享,可在线阅读,更多相关《8021x配置命令.docx(16页珍藏版)》请在冰豆网上搜索。
8021x配置命令
目录
∙H3CS2126-EI以太网交换机命令手册-Release22XX系列(V1.00)
∙01-命令行接口命令
∙02-登录交换机命令
∙03-配置文件管理命令
∙04-VLAN命令
∙05-配置管理VLAN命令
∙06-IP地址-IP性能命令
∙07-GVRP命令
∙08-端口基本配置命令
∙09-端口汇聚命令
∙10-端口隔离命令
∙11-端口安全命令
∙12-MAC地址转发表管理命令
∙13-MSTP命令
∙14-组播协议命令
∙15-802.1x及System-Guard命令
∙16-AAA命令
∙17-MAC地址认证命令
∙18-ARP命令
∙19-DHCP命令
∙20-ACL命令
∙21-QoS命令
∙22-镜像命令
∙23-Cluster命令
∙24-SNMP-RMON命令
∙25-NTP命令
∙26-SSH命令
∙27-文件系统管理命令
∙28-FTP-SFTP-TFTP命令
∙29-信息中心命令
∙30-系统维护与调试命令
∙31-VLAN-VPN命令
∙32-HWPing命令
∙33-IPv6管理命令
∙34-LLDP命令
∙35-域名解析命令
∙36-PKI命令
∙37-SSL命令
∙38-HTTPS命令
∙39-附录
、H3CS2126-EI以太网交换机命令手册-Release22XX系列(V1.00)
本章节下载(253.62KB)
15-802.1x及System-Guard命令
目 录
1802.1x配置命令...1-1
1.1802.1x配置命令..1-1
1.1.1displaydot1x.1-1
1.1.2dot1x.1-4
1.1.3dot1xauthentication-method.1-5
1.1.4dot1xdhcp-launch.1-5
1.1.5dot1xguest-vlan.1-6
1.1.6dot1xhandshake.1-7
1.1.7dot1xhandshakesecure.1-8
1.1.8dot1xmandatory-domain.1-8
1.1.9dot1xmax-user1-9
1.1.10dot1xport-control1-10
1.1.11dot1xport-method.1-10
1.1.12dot1xquiet-period.1-11
1.1.13dot1xretry.1-12
1.1.14dot1xretry-version-max.1-13
1.1.15dot1xre-authenticate.1-13
1.1.16dot1xsupp-proxy-check.1-14
1.1.17dot1xtimer1-15
1.1.18dot1xtimerreauth-period.1-17
1.1.19dot1xversion-check.1-17
1.1.20resetdot1xstatistics.1-18
2HABP配置命令...2-1
2.1HABP配置命令..2-1
2.1.1displayhabp.2-1
2.1.2displayhabptable.2-1
2.1.3displayhabptraffic.2-2
2.1.4habpenable.2-3
2.1.5habpservervlan.2-3
2.1.6habptimer2-4
3system-guard配置命令...3-1
3.1system-guard配置命令..3-1
3.1.1displaysystem-guardconfig.3-1
3.1.2system-guardenable.3-1
3.1.3system-guardmode.3-2
3.1.4system-guardpermit3-2
1802.1x配置命令
1.1 802.1x配置命令
1.1.1 displaydot1x
【命令】
displaydot1x[sessions|statistics][interfaceinterface-list]
【视图】
任意视图
【参数】
sessions:
显示802.1x的会话连接信息。
statistics:
显示802.1x的相关统计信息。
interface:
显示指定端口的802.1x相关信息。
interface-list:
以太网端口列表,表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&<1-10>。
其中interface-type为端口类型,interface-number为端口号。
命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
displaydot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况(会话连接信息)以及相关统计信息等。
如果在执行本命令的时候不指定端口,系统将显示交换机所有802.1x相关信息。
根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,并进一步有助于802.1x故障的诊断与排除。
相关配置可参考命令resetdot1xstatistics,dot1x,dot1xretry,dot1xmax-user,dot1xport-control,dot1xport-method,dot1xtimer。
【举例】
#显示802.1x的相关信息。
displaydot1x
Global802.1Xprotocolisenabled
CHAPauthenticationisenabled
DHCP-launchisdisabled
Handshakeisenabled
Proxytrapcheckerisdisabled
Proxylogoffcheckerisdisabled
EADQuickDeployisenabled
Configuration:
TransmitPeriod 30s, HandshakePeriod 15s
ReAuthPeriod 3600s, ReAuthMaxTimes 2
QuietPeriod 60s, QuietPeriodTimerisdisabled
SuppTimeout 30s, ServerTimeout 100s
Intervalbetweenversionrequestsis30s
Maximalrequesttimesforversioninformationis3
Themaximalretransmittingtimes 2
EADQuickDeployconfiguration:
Url http:
//192.168.19.23
Free-ip 192.168.19.0255.255.255.0
Acl-timeout 30m
Totalmaximum802.1xuserresourcenumberis1024
Totalcurrentused802.1xresourcenumberis1
Ethernet1/0/1 islink-up
802.1Xprotocolisenabled
Proxytrapcheckerisdisabled
Proxylogoffcheckerisdisabled
Version-Checkisdisabled
Theportisanauthenticator
AuthenticationModeisAuto
PortControlTypeisPort-based
ReAuthenticateisdisabled
Maxnumberofon-lineusersis256
AuthenticationSuccess:
4,Failed:
2
EAPOLPackets:
Tx7991,Rx14
SentEAPRequest/IdentityPackets:
7981
EAPRequest/ChallengePackets:
0
ReceivedEAPOLStartPackets:
5
EAPOLLogOffPackets:
1
EAPResponse/IdentityPackets:
4
EAPResponse/ChallengePackets:
4
ErrorPackets:
0
1.Authenticateduser:
MACaddress:
000d-88f6-44c1
ControlledUser(s)amountto1
Ethernet1/0/2
……(以下略)
表1-1802.1x配置信息描述表
域名
描述
Equipment802.1Xprotocolisenabled
交换机802.1x特性已经开启
CHAPauthenticationisenabled
开启CHAP认证
DHCP-launchisdisabled
DHCP触发802.1x认证的功能处于关闭状态
Handshakeisenabled
在线用户握手功能开启
Proxytrapcheckerisdisabled
是否检测通过代理登录用户的接入:
● disable表示检测用户使用代理后,不发送Trap报文;
● enable表示检测用户使用代理后,发送Trap报文。
Proxylogoffcheckerisdisabled
是否检测通过代理登录用户的接入:
● disable表示检测用户使用代理后,不切断用户连接;
● enable表示检测用户使用代理后,切断用户连接。
EADQuickDeployisenabled
EAD快速部署功能开启
TransmitPeriod
发送间隔定时器
HandshakePeriod
802.1x的握手报文的发送时间间隔
ReAuthPeriod
重认证周期
ReAuthMaxTimes
重认证最大次数
QuietPeriod
静默定时器设置的静默时长
QuietPeriodTimerisdisabled
静默定时器状态:
disable表示处于关闭状态;enable表示处于开启状态
SuppTimeout
Supplicant认证超时定时器
ServerTimeout
AuthenticationServer超时定时器
Themaximalretransmittingtimes
交换机可重复向接入用户发送认证请求帧的次数
Url
HTTP重定向的URL
Free-ip
可访问的免认证IP网段
Acl-timeout
ACL超时定时器
Totalmaximum802.1xuserresourcenumber
最多可接入用户数
Totalcurrentused802.1xresourcenumber
当前在线接入用户数
Ethernet1/0/1islink-down
端口Ethernet1/0/1的状态为Down
802.1Xprotocolisdisabled
该端口未开启802.1x协议
Proxytrapcheckerisdisabled
是否检测通过代理登录用户的接入:
● disable表示检测用户使用代理后,不发送Trap报文;
● enable表示检测用户使用代理后,发送Trap报文。
Proxylogoffcheckerisdisabled
是否检测通过代理登录用户的接入:
● disable表示检测用户使用代理后,不切断用户连接;
● enable表示检测用户使用代理后,切断用户连接。
Version-Checkisdisabled
端口是否开启客户端版本检测功能:
● disable表示关闭;
● enable表示开启。
Theportisanauthenticator
该端口担当Authenticator作用
AuthenticationModeisAuto
端口接入控制的模式为auto
PortControlTypeisMac-based
端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证
ReAuthenticateisdisabled
端口的802.1x重认证特性处于关闭状态
Maxnumberofon-lineusers
本端口最多可容纳的接入用户数
…
略
1.1.2 dot1x
【命令】
dot1x[interfaceinterface-list]
undodot1x[interfaceinterface-list]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:
以太网端口列表,表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&<1-10>。
其中interface-type为端口类型,interface-number为端口号。
命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性。
undodot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启全局的802.1x特性;如果指定了interface-list,则表示开启指定端口的802.1x特性。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用于打开当前端口的802.1x特性。
全局802.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才能在端口上生效。
● 如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数;反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。
● 如果端口启动了802.1x,则不能配置该端口加入汇聚组。
反之,如果该端口已经加入到某个汇聚组中,则禁止在该端口上启动802.1x。
相关配置可参考命令displaydot1x。
【举例】
#开启以太网端口Ethernet1/0/1上的802.1x特性。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1xinterfaceEthernet1/0/1
#开启全局的802.1x特性。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1x
1.1.3 dot1xauthentication-method
【命令】
dot1xauthentication-method{chap|pap|eap}
undodot1xauthentication-method
【视图】
系统视图
【参数】
chap:
采用CHAP认证方式。
pap:
采用PAP认证方式。
eap:
采用EAP认证方式。
【描述】
dot1xauthentication-method命令用来设置802.1x用户的认证方法。
undodot1xauthentication-method命令用来恢复802.1x用户的缺省认证方法。
缺省情况下,802.1x用户认证方法为CHAP认证。
PAP(PasswordAuthenticationProtocol)是一种两次握手认证协议,它采用明文方式传送口令。
CHAP(ChallengeHandshakeAuthenticationProtocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。
相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。
如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可。
相关配置可参考命令displaydot1x。
当采用设备本身作为认证服务器时,802.1x用户的认证方法,不可以配置为EAP方式。
【举例】
#设置交换机采用PAP认证。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1xauthentication-methodpap
1.1.4 dot1xdhcp-launch
【命令】
dot1xdhcp-launch
undodot1xdhcp-launch
【视图】
系统视图
【参数】
无
【描述】
dot1xdhcp-launch命令用来设置802.1x允许以太网交换机在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
undodot1xdhcp-launch命令用来取消DHCP触发对接入用户的身份认证。
缺省情况下,不允许DHCP触发对接入用户的身份认证。
相关配置可参考命令displaydot1x。
【举例】
#允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1xdhcp-launch
1.1.5 dot1xguest-vlan
【命令】
dot1xguest-vlanvlan-id[interfaceinterface-list]
undodot1xguest-vlan[interfaceinterface-list]
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:
GuestVLAN的VLANID,取值范围为1~4094。
interface-list:
以太网端口列表,表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&<1-10>。
其中interface-type为端口类型,interface-number为端口号。
命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1xguest-vlan命令用来开启端口的GuestVLAN功能。
undodot1xguest-vlan命令用来关闭GuestVLAN功能。
GuestVLAN的功能开启后:
● 交换机将在所有开启802.1x功能的端口发送触发认证报文(EAP-Request/Identity),如果达到最大发送次数后,端口尚未返回响应报文,则交换机将该端口加入到GuestVLAN中;
● 之后属于该GuestVLAN中的用户访问该GuestVLAN中的资源时,不需要进行802.1x认证,但访问外部的资源时仍需要进行认证。
在系统视图下使用该命令时:
● 如果不输入interface-list参数,则表示开启所有端口的GuestVLAN功能;
● 如果指定了interface-list,则表示开启指定端口的GuestVLAN功能。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅能打开当前端口的GuestVLAN功能。
● 只有在端口认证方式下,交换机才可以支持GuestVLAN功能;
● 一台交换机只能配置一个GuestVLAN;
● 当交换机配置为dot1xdhcp-launch方式时,因为该方式下交换机不发送主动认证报文,GuestVLAN功能不能实现。
【举例】
#设置认证方式为基于端口的方式。
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[Sysname]dot1xport-methodportbased
#开启所有端口的GuestVLAN功能。
[Sysname]dot1xguest-vlan1
1.1.6 dot1xhandshake
【命令】
dot1xhandshakeenable
undodot1xhandshakeenable
【视图】
系统视图
【参数】
无
【描述】
dot1xhandshakeenable命令用于开启在线用户握手功能。
undodot1xhandshakeenable命令用于关闭在线用户握手功能。
缺省情况下,开启在线用户握手功能。
● 802.1x的代理检测功能依赖于