ImageVerifierCode 换一换
格式:DOCX , 页数:16 ,大小:24.57KB ,
资源ID:9572447      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/9572447.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(8021x配置命令.docx)为本站会员(b****8)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

8021x配置命令.docx

1、8021x配置命令目录 H3C S2126-EI以太网交换机 命令手册-Release22XX系列(V1.00) 01-命令行接口命令 02-登录交换机命令 03-配置文件管理命令 04-VLAN命令 05-配置管理VLAN命令 06-IP地址-IP性能命令 07-GVRP命令 08-端口基本配置命令 09-端口汇聚命令 10-端口隔离命令 11-端口安全命令 12-MAC地址转发表管理命令 13-MSTP命令 14-组播协议命令 15-802.1x及System-Guard命令 16-AAA命令 17-MAC地址认证命令 18-ARP命令 19-DHCP命令 20-ACL命令 21-QoS命

2、令 22-镜像命令 23-Cluster命令 24-SNMP-RMON命令 25-NTP命令 26-SSH命令 27-文件系统管理命令 28-FTP-SFTP-TFTP命令 29-信息中心命令 30-系统维护与调试命令 31-VLAN-VPN命令 32-HWPing命令 33-IPv6管理命令 34-LLDP命令 35-域名解析命令 36-PKI命令 37-SSL命令 38-HTTPS命令 39-附录 、H3C S2126-EI以太网交换机 命令手册-Release22XX系列(V1.00)本章节下载(253.62 KB) 15-802.1x及System-Guard命令目 录1 802.1x

3、配置命令. 1-11.1 802.1x配置命令. 1-11.1.1 display dot1x. 1-11.1.2 dot1x. 1-41.1.3 dot1x authentication-method. 1-51.1.4 dot1x dhcp-launch. 1-51.1.5 dot1x guest-vlan. 1-61.1.6 dot1x handshake. 1-71.1.7 dot1x handshake secure. 1-81.1.8 dot1x mandatory-domain. 1-81.1.9 dot1x max-user 1-91.1.10 dot1x port-contr

4、ol 1-101.1.11 dot1x port-method. 1-101.1.12 dot1x quiet-period. 1-111.1.13 dot1x retry. 1-121.1.14 dot1x retry-version-max. 1-131.1.15 dot1x re-authenticate. 1-131.1.16 dot1x supp-proxy-check. 1-141.1.17 dot1x timer 1-151.1.18 dot1x timer reauth-period. 1-171.1.19 dot1x version-check. 1-171.1.20 res

5、et dot1x statistics. 1-182 HABP配置命令. 2-12.1 HABP配置命令. 2-12.1.1 display habp. 2-12.1.2 display habp table. 2-12.1.3 display habp traffic. 2-22.1.4 habp enable. 2-32.1.5 habp server vlan. 2-32.1.6 habp timer 2-43 system-guard配置命令. 3-13.1 system-guard配置命令. 3-13.1.1 display system-guard config. 3-13.1.2

6、 system-guard enable. 3-13.1.3 system-guard mode. 3-23.1.4 system-guard permit 3-21 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x sessions | statistics interface interface-list 【视图】任意视图【参数】sessions:显示802.1x的会话连接信息。statistics:显示802.1x的相关统计信息。interface:显示指定端口的802.1x相关信息。interface-list:以

7、太网端口列表,表示方式为interface-list= interface-type interface-number to interface-type interface-number &。其中interface-type为端口类型,interface-number为端口号。命令中&表示前面的参数最多可以重复输入10次。【描述】display dot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况(会话连接信息)以及相关统计信息等。如果在执行本命令的时候不指定端口,系统将显示交换机所有802.1x相关信息。根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,

8、并进一步有助于802.1x故障的诊断与排除。相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x max-user, dot1x port-control, dot1x port-method, dot1x timer。【举例】# 显示802.1x的相关信息。 display dot1x Global 802.1X protocol is enabledCHAP authentication is enabledDHCP-launch is disabledHandshake is enabled Proxy trap check

9、er is disabledProxy logoff checker is disabledEAD Quick Deploy is enabledConfiguration: Transmit Period 30 s, Handshake Period 15 s ReAuth Period 3600 s, ReAuth MaxTimes 2 Quiet Period 60 s, Quiet Period Timer is disabled Supp Timeout 30 s, Server Timeout 100 s Interval between version requests is 3

10、0s Maximal request times for version information is 3 The maximal retransmitting times 2 EAD Quick Deploy configuration: Url http:/192.168.19.23 Free-ip 192.168.19.0 255.255.255.0 Acl-timeout 30mTotal maximum 802.1x user resource number is 1024Total current used 802.1x resource number is 1Ethernet1/

11、0/1 is link-up 802.1X protocol is enabled Proxy trap checker is disabled Proxy logoff checker is disabled Version-Check is disabled The port is an authenticator Authentication Mode is Auto Port Control Type is Port-based ReAuthenticate is disabled Max number of on-line users is 256 Authentication Su

12、ccess: 4, Failed: 2 EAPOL Packets: Tx 7991, Rx 14 Sent EAP Request/Identity Packets : 7981 EAP Request/Challenge Packets: 0 Received EAPOL Start Packets : 5 EAPOL LogOff Packets: 1 EAP Response/Identity Packets : 4 EAP Response/Challenge Packets: 4 Error Packets: 01. Authenticated user : MAC address

13、: 000d-88f6-44c1 Controlled User(s) amount to 1 Ethernet1/0/2 (以下略)表1-1 802.1x配置信息描述表域名描述Equipment 802.1X protocol is enabled交换机802.1x特性已经开启CHAP authentication is enabled开启CHAP认证DHCP-launch is disabledDHCP触发802.1x认证的功能处于关闭状态Handshake is enabled在线用户握手功能开启Proxy trap checker is disabled是否检测通过代理登录用户的接入:

14、 disable表示检测用户使用代理后,不发送Trap报文; enable表示检测用户使用代理后,发送Trap报文。Proxy logoff checker is disabled是否检测通过代理登录用户的接入: disable表示检测用户使用代理后,不切断用户连接; enable表示检测用户使用代理后,切断用户连接。EAD Quick Deploy is enabledEAD快速部署功能开启Transmit Period发送间隔定时器Handshake Period802.1x的握手报文的发送时间间隔ReAuth Period重认证周期ReAuth MaxTimes重认证最大次数Quiet

15、Period静默定时器设置的静默时长Quiet Period Timer is disabled静默定时器状态:disable表示处于关闭状态;enable表示处于开启状态Supp TimeoutSupplicant认证超时定时器Server TimeoutAuthentication Server超时定时器The maximal retransmitting times交换机可重复向接入用户发送认证请求帧的次数UrlHTTP重定向的URLFree-ip可访问的免认证IP网段Acl-timeoutACL超时定时器Total maximum 802.1x user resource number

16、最多可接入用户数Total current used 802.1x resource number当前在线接入用户数Ethernet1/0/1 is link-down端口Ethernet 1/0/1的状态为Down802.1X protocol is disabled该端口未开启802.1x协议Proxy trap checker is disabled是否检测通过代理登录用户的接入: disable表示检测用户使用代理后,不发送Trap报文; enable表示检测用户使用代理后,发送Trap报文。Proxy logoff checker is disabled是否检测通过代理登录用户的接入

17、: disable表示检测用户使用代理后,不切断用户连接; enable表示检测用户使用代理后,切断用户连接。Version-Check is disabled端口是否开启客户端版本检测功能: disable表示关闭; enable表示开启。The port is an authenticator该端口担当Authenticator作用Authentication Mode is Auto端口接入控制的模式为autoPort Control Type is Mac-based端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证ReAuthenticate is disabl

18、ed端口的802.1x重认证特性处于关闭状态Max number of on-line users本端口最多可容纳的接入用户数略1.1.2 dot1x【命令】dot1x interface interface-list undo dot1x interface interface-list 【视图】系统视图/以太网端口视图【参数】interface-list:以太网端口列表,表示方式为interface-list= interface-type interface-number to interface-type interface-number &。其中interface-type为端口类型

19、,interface-number为端口号。命令中&表示前面的参数最多可以重复输入10次。【描述】dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性。undo dot1x命令用来关闭指定端口上或全局的802.1x特性。缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启全局的802.1x特性;如果指定了interface-list,则表示开启指定端口的802.1x特性。在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用于打开当前端口的802.1x特性。全局80

20、2.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才能在端口上生效。 如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数;反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。 如果端口启动了802.1x,则不能配置该端口加入汇聚组。反之,如果该端口已经加入到某个汇聚组中,则禁止在该端口上启动802.1x。相关配置可参考命令display dot1x。【举例】# 开启以太网端口Ethernet 1/0/1上的802.1x特性。 system-viewSystem View: return to User View with Ctr

21、l+Z.Sysname dot1x interface Ethernet 1/0/1# 开启全局的802.1x特性。 system-viewSystem View: return to User View with Ctrl+Z.Sysname dot1x1.1.3 dot1x authentication-method【命令】dot1x authentication-method chap | pap | eap undo dot1x authentication-method【视图】系统视图【参数】chap:采用CHAP认证方式。pap:采用PAP认证方式。eap:采用EAP认证方式。【描

22、述】dot1x authentication-method命令用来设置802.1x用户的认证方法。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方法。缺省情况下,802.1x用户认证方法为CHAP认证。PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令。CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。EAP认证

23、功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可。相关配置可参考命令display dot1x。当采用设备本身作为认证服务器时,802.1x用户的认证方法,不可以配置为EAP方式。【举例】# 设置交换机采用PAP认证。 system-viewSystem View: return to User View with Ctrl+Z.Sysname dot1

24、x authentication-method pap1.1.4 dot1x dhcp-launch【命令】dot1x dhcp-launchundo dot1x dhcp-launch【视图】系统视图【参数】无【描述】dot1x dhcp-launch命令用来设置802.1x允许以太网交换机在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。undo dot1x dhcp-launch命令用来取消DHCP触发对接入用户的身份认证。缺省情况下,不允许DHCP触发对接入用户的身份认证。相关配置可参考命令display dot1x。【举例】# 允许在接入用户运行DHCP、申请动态IP地

25、址时就触发对其的身份认证。 system-viewSystem View: return to User View with Ctrl+Z.Sysname dot1x dhcp-launch1.1.5 dot1x guest-vlan【命令】dot1x guest-vlan vlan-id interface interface-list undo dot1x guest-vlan interface interface-list 【视图】系统视图/以太网端口视图【参数】vlan-id:Guest VLAN的VLAN ID,取值范围为14094。interface-list:以太网端口列表,表

26、示方式为interface-list= interface-type interface-number to interface-type interface-number &。其中interface-type为端口类型,interface-number为端口号。命令中&表示前面的参数最多可以重复输入10次。【描述】dot1x guest-vlan命令用来开启端口的Guest VLAN功能。undo dot1x guest-vlan命令用来关闭Guest VLAN功能。Guest VLAN的功能开启后: 交换机将在所有开启802.1x功能的端口发送触发认证报文(EAP-Request/Iden

27、tity),如果达到最大发送次数后,端口尚未返回响应报文,则交换机将该端口加入到Guest VLAN中; 之后属于该Guest VLAN中的用户访问该Guest VLAN中的资源时,不需要进行802.1x认证,但访问外部的资源时仍需要进行认证。在系统视图下使用该命令时: 如果不输入interface-list参数,则表示开启所有端口的Guest VLAN功能; 如果指定了interface-list,则表示开启指定端口的Guest VLAN功能。在以太网端口视图下使用该命令时,不能输入interface-list参数,仅能打开当前端口的Guest VLAN功能。 只有在端口认证方式下,交换机才

28、可以支持Guest VLAN功能; 一台交换机只能配置一个Guest VLAN; 当交换机配置为dot1x dhcp-launch方式时,因为该方式下交换机不发送主动认证报文,Guest VLAN功能不能实现。【举例】# 设置认证方式为基于端口的方式。 system-viewSystem View: return to User View with Ctrl+Z.Sysname dot1x port-method portbased# 开启所有端口的Guest VLAN功能。Sysname dot1x guest-vlan 11.1.6 dot1x handshake【命令】dot1x handshake enableundo dot1x handshake enable【视图】系统视图【参数】无【描述】dot1x handshake enable命令用于开启在线用户握手功能。undo dot1x handshake enable命令用于关闭在线用户握手功能。缺省情况下,开启在线用户握手功能。 802.1x的代理检测功能依赖于

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1