18-802.1x及System-Guard命令
本章节下载: 18-802.1x及System-Guard命令 (304.15 KB)
目 录
1.1.3 dot1x authentication-method
1.1.13 dot1x retry-version-max
1.1.17 dot1x timer reauth-period
4.1.1 display system-guard ip state
4.1.2 display system-guard ip-record
4.1.3 display system-guard l3err state
4.1.4 display system-guard tcn state
4.1.5 system-guard cpu-rcv-limit
4.1.6 system-guard ip detect-maxnum
4.1.7 system-guard ip detect-threshold
4.1.9 system-guard l3err enable
4.1.10 system-guard tcn enable
4.1.11 system-guard tcn rate-threshold
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
任意视图
【参数】
sessions:显示802.1x的会话连接信息。
statistics:显示802.1x的相关统计信息。
interface:显示指定端口的802.1x相关信息。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
display dot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况(会话连接信息)以及相关统计信息等。
如果在执行本命令的时候不指定端口,系统将显示交换机所有802.1x相关信息。
根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,并有助于802.1x的故障诊断与排除。
相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x max-user, dot1x port-control, dot1x port-method, dot1x timer。
【举例】
# 显示802.1x的相关信息。
<Sysname> display dot1x
Global 802.1X protocol is enabled
CHAP authentication is enabled
DHCP-launch is disabled
Handshake is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
EAD Quick Deploy is enabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
ReAuth Period 3600 s, ReAuth MaxTimes 2
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Interval between version requests is 30s
Maximal request times for version information is 3
The maximal retransmitting times 2
EAD Quick Deploy configuration:
Url: http: //192.168.19.23
Free-ip: 192.168.19.0 255.255.255.0
Acl-timeout: 30 m
Total maximum 802.1x user resource number is 1024
Total current used 802.1x resource number is 1
Ethernet1/0/1 is link-up
802.1X protocol is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Version-Check is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Port-based
ReAuthenticate is disabled
Max number of on-line users is 256
Authentication Success: 4, Failed: 2
EAPOL Packets: Tx 7991, Rx 14
Sent EAP Request/Identity Packets : 7981
EAP Request/Challenge Packets: 0
Received EAPOL Start Packets : 5
EAPOL LogOff Packets: 1
EAP Response/Identity Packets : 4
EAP Response/Challenge Packets: 4
Error Packets: 0
1. Authenticated user : MAC address: 000d-88f6-44c1
Controlled User(s) amount to 1
Ethernet1/0/2
……(以下略)
表1-1 802.1x配置信息描述表
域名 |
描述 |
Equipment 802.1X protocol is enabled |
交换机802.1x特性已经开启 |
CHAP authentication is enabled |
开启CHAP认证 |
DHCP-launch is disabled |
DHCP触发802.1x认证的功能处于关闭状态 |
Handshake is enabled |
在线用户握手功能开启 |
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不发送Trap报文; l enable表示检测用户使用代理后,发送Trap报文。 |
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不切断用户连接; l enable表示检测用户使用代理后,切断用户连接。 |
EAD Quick Deploy is enabled |
EAD快速部署功能开启 |
Transmit Period |
发送间隔定时器 |
Handshake Period |
802.1x的握手报文的发送时间间隔 |
ReAuth Period |
重认证周期 |
ReAuth MaxTimes |
重认证最大次数 |
Quiet Period |
静默定时器设置的静默时长 |
Quiet Period Timer is disabled |
静默定时器状态:disable表示处于关闭状态;enable表示处于开启状态 |
Supp Timeout |
Supplicant认证超时定时器 |
Server Timeout |
Authentication Server超时定时器 |
The maximal retransmitting times |
交换机可重复向接入用户发送认证请求帧的次数 |
Url |
HTTP重定向的URL |
Free-ip |
可访问的免认证IP网段 |
Acl-timeout |
ACL超时定时器 |
Total maximum 802.1x user resource number |
最多可接入用户数 |
Total current used 802.1x resource number |
当前在线接入用户数 |
Ethernet1/0/1 is link-down |
端口Ethernet 1/0/1的状态为Down |
802.1X protocol is disabled |
该端口未开启802.1x协议 |
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不发送Trap报文; l enable表示检测用户使用代理后,发送Trap报文。 |
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不切断用户连接; l enable表示检测用户使用代理后,切断用户连接。 |
Version-Check is disabled |
端口是否开启客户端版本检测功能: l disable表示关闭; l enable表示开启。 |
The port is an authenticator |
该端口担当Authenticator作用 |
Authentication Mode is Auto |
端口接入控制的模式为auto |
Port Control Type is Mac-based |
端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证 |
ReAuthenticate is disabled |
端口的802.1x重认证特性处于关闭状态 |
Max number of on-line users |
本端口最多可容纳的接入用户数 |
… |
略 |
【命令】
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list= { interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性。undo dot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示开启全局的802.1x特性;
l 如果指定了interface-list,则表示开启指定端口的802.1x特性。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用于打开当前端口的802.1x特性。
全局802.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才能在端口上生效。
l 如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数;反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。
l 如果端口启动了802.1x,则不能配置该端口加入汇聚组。反之,如果该端口已经加入到某个汇聚组中,则禁止在该端口上启动802.1x。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口Ethernet 1/0/1上的802.1x特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x interface Ethernet 1/0/1
# 开启全局的802.1x特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
【命令】
dot1x authentication-method { chap | pap | eap }
undo dot1x authentication-method
【视图】
系统视图
【参数】
chap:采用CHAP认证方式。
pap:采用PAP认证方式。
eap:采用EAP认证方式。
【描述】
dot1x authentication-method命令用来设置802.1x用户的认证方法。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方法。
缺省情况下,802.1x用户认证方法为CHAP认证。
PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令。
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可。
相关配置可参考命令display dot1x。
当采用设备本身作为认证服务器时,802.1x用户的认证方法,不可以配置为EAP方式。
【举例】
# 设置交换机采用PAP认证。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x authentication-method pap
【命令】
dot1x dhcp-launch
undo dot1x dhcp-launch
【视图】
系统视图
【参数】
无
【描述】
dot1x dhcp-launch命令用来设置802.1x允许以太网交换机在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。undo dot1x dhcp-launch命令用来取消DHCP触发对接入用户的身份认证。
缺省情况下,不允许DHCP触发对接入用户的身份认证。
相关配置可参考命令display dot1x。
【举例】
# 允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x dhcp-launch
【命令】
dot1x guest-vlan vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:Guest VLAN的VLAN ID,取值范围为1~4094。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x guest-vlan命令用来开启端口的Guest VLAN功能。undo dot1x guest-vlan命令用来关闭Guest VLAN功能。
Guest VLAN的功能开启后:
l 交换机将在所有开启802.1x功能的端口发送触发认证报文(EAP-Request/Identity),如果达到最大发送次数后,端口尚未返回响应报文,则交换机将该端口加入到Guest VLAN中;
l 之后属于该Guest VLAN中的用户访问该Guest VLAN中的资源时,不需要进行802.1x认证,但访问外部的资源时仍需要进行认证。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示开启所有端口的Guest VLAN功能;
l 如果指定了interface-list,则表示开启指定端口的Guest VLAN功能。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅能打开当前端口的Guest VLAN功能。
l 只有在端口认证方式下,交换机才可以支持Guest VLAN功能;
l 一台交换机只能配置一个Guest VLAN;
l 当交换机配置为dot1x dhcp-launch方式时,因为该方式下交换机不发送主动认证报文,Guest VLAN功能不能实现。
【举例】
# 设置认证方式为基于端口的方式。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x port-method portbased
# 开启所有端口的Guest VLAN功能。
[Sysname] dot1x guest-vlan 1
【命令】
dot1x handshake enable
undo dot1x handshake enable
【视图】
系统视图
【参数】
无
【描述】
dot1x handshake enable命令用于开启在线用户握手功能。undo dot1x handshake enable命令用于关闭在线用户握手功能。
缺省情况下,开启在线用户握手功能。
l 802.1x的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。
l 握手报文的发送需要H3C私有客户端的支持,用以探测用户是否在线。对于非H3C客户端,由于不支持握手功能,在握手周期内交换机不会收到握手回应报文。因此需要将在线用户握手功能关闭,以防止交换机错误地认为用户下线。
【举例】
# 开启在线用户握手功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x handshake enable
【命令】
dot1x handshake secure
undo dot1x handshake secure
【视图】
以太网端口视图
【参数】
无
【描述】
dot1x handshake secure命令用于开启握手报文的安全扩展功能,防止破解客户端造成的攻击。undo dot1x handshake secure命令用于关闭握手报文的安全扩展功能。
缺省情况下,关闭握手报文的安全扩展功能。
握手报文的安全扩展功能需要支持此功能的客户端与认证服务器配合才能正常使用,若客户端或者认证服务器不支持握手报文的安全扩展功能,则需要关闭此功能。
【举例】
# 开启握手报文的安全扩展功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x handshake secure
【命令】
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
user-number:端口可容纳接入用户数量的最大值,取值范围为1~256。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。
缺省情况下,端口上可容纳接入用户数量的最大值为256。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示作用于所有端口;
l 如果指定了interface-list,则表示作用于指定端口。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用来设置当前端口的可容纳接入用户数量的最大值。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet 1/0/1最多可容纳32个接入用户。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x max-user 32 interface Ethernet 1/0/1
【命令】
dot1x port-control { auto | authorized-force | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
auto:自动识别模式;端口初始状态为非授权状态,仅允许收发EAPoL报文,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
authorized-force:强制授权模式;端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
unauthorized-force:强制非授权模式;端口始终处于非授权状态,不允许用户访问网络资源。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x port-control命令用来设置802.1x在指定端口的接入控制模式。 undo dot1x port-control命令用来恢复缺省的接入控制模式。
缺省情况下,接入控制模式为auto。
dot1x port-control命令用来设置802.1x在指定端口的接入控制模式,即端口所处的状态。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示作用于所有端口;
l 如果指定了interface-list,则表示作用于指定端口。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用来设置当前端口的接入控制模式。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 1/0/1处于强制非授权状态。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x port-control unauthorized-force interface Ethernet 1/0/1
【命令】
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证。
portbased:指示802.1x认证系统基于端口对接入用户进行认证。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x port-method命令用来设置802.1x在指定端口的接入控制方式。 undo dot1x port-method命令用来恢复缺省的接入控制方式。
缺省情况下,接入控制方式为macbased。
此命令用来设置802.1x在指定端口的接入控制方式:
l 当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;
l 当采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
l 802.1x用户在线时,如果通过dot1x port-method命令更改端口接入控制方式,则在线用户会被强制下线。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示作用于所有端口;
l 如果指定了interface-list,则表示作用于指定端口。
在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用来设置当前端口的接入控制方式。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 1/0/1基于端口对接入用户进行认证。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x port-method portbased interface Ethernet 1/0/1
【命令】
dot1x quiet-period
undo dot1x quiet-period
【视图】
系统视图
【参数】
无
【描述】
dot1x quiet-period命令用来开启静默定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。
当802.1x用户认证失败以后,Authenticator设备(如H3C系列以太网交换机)需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator设备不进行该用户的802.1x认证相关处理。
缺省情况下,静默定时器功能处于关闭状态。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 打开quiet-period定时器。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x quiet-period
【命令】
dot1x retry max-retry-value
undo dot1x retry
【视图】
系统视图
【参数】
max-retry-value:可重复向接入用户发送认证请求帧的最大次数,取值范围为1~10。
【描述】
dot1x retry命令用来设置以太网交换机可重复向接入用户发送认证请求帧的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省值。
缺省情况下,可重复向接入用户发送认证请求帧的最大次数为2次。
如果交换机初次向用户发送认证请求帧后,在规定的时间里没有收到用户的响应,则交换机将再次向用户发送该认证请求。当发送次数达到由本配置任务配置的最大次数后仍没有收到响应,交换机不再重复向用户发送该认证请求。本命令设置后将作用于所有端口。
相关配置可参考命令display dot1x。
【举例】
# 指示本机最多向接入用户发送9次认证请求帧。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x retry 9
【命令】
dot1x retry-version-max max-retry-version-value
undo dot1x retry-version-max
【视图】
系统视图
【参数】
max-retry-version-value:重复向接入用户发送版本请求帧的最大次数,取值范围为1~10。
【描述】
dot1x retry-version-max命令用来设置以太网交换机可重复向接入用户发送版本请求帧的最大次数。undo dot1x retry-version-max命令用来将该最大发送次数恢复为缺省值。
缺省情况下,以太网交换机可重复向接入用户发送版本请求的最大次数为3次。
当交换机初次向用户发送客户端版本请求帧后,如果在一定时间(由版本验证的超时定时器指定)内没有收到客户端的响应,交换机会再次向客户端发送版本请求,当发送次数达到由本配置任务配置的最大次数后仍没有收到响应,交换机不再对客户端的版本进行验证,而继续进行后续的认证过程。本命令设置后将作用于所有启动版本验证功能的端口。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 配置交换机最多向接入用户发送6次版本请求帧。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x retry-version-max 6
【命令】
dot1x re-authenticate [ interface interface-list ]
undo dot1x re-authenticate [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x re-authenticate命令用来开启交换机特定端口或所有端口的802.1x重认证特性。undo dot1x re-authenticate用来关闭交换机特定端口或所有端口的802.1x重认证特性。
缺省情况下,所有端口的802.1x重认证特性都处于关闭状态。
在系统视图下使用该命令时:
l 如果不输入interface-list参数,则表示开启所有端口的802.1x重认证特性;
l 如果指定了interface-list参数,则表示开启指定端口的802.1x重认证特性。
以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x重认证特性。
在启动端口802.1x重认证功能之前,必须开启全局802.1x特性和该端口的802.1x特性。
【举例】
# 在端口Ethernet 1/0/1上启用802.1x重认证功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x
802.1X is enabled globally.
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x
802.1X is enabled on port Ethernet1/0/1 already.
[Sysname-Ethernet1/0/1] dot1x re-authenticate
Re-authentication is enabled on port Ethernet1/0/1
【命令】
dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
logoff:检测到用户使用代理或者开启多网卡登录后,切断用户连接。
trap:检测到用户使用代理或者开启多网卡登录后,发送Trap报文。
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x supp-proxy-check用来开启指定端口上的802.1x代理用户检测特性。undo dot1x supp-proxy-check用来关闭指定端口上对802.1x代理用户检测特性。
缺省情况下,所有端口的802.1x代理用户检测特性都处于关闭状态。
此命令如果在系统视图下执行:
l 如果指定了interface-list参数,可以作用于interface-list参数所指定的某个端口;
l 如果不输入interface-list参数,则为全局配置。
如果在以太网端口视图下执行,不能输入interface-list参数,只能作用于当前端口。
在系统视图下开启全局的代理用户检测功能后,必须再开启指定端口的代理用户检测特性,此特性的配置才能在该端口上生效。
交换机的802.1x代理用户检测特性包括:
l 检测使用代理服务器登录的用户;
l 检测使用IE代理服务器登录的用户;
l 检测用户是否使用多网卡(即用户登录时,其PC上处于激活状态的网卡超过一个)。
当交换机发现以上任意一种情况时,可以采取以下控制措施:
l 只切断用户连接,不发送Trap报文(使用命令dot1x supp-proxy-check logoff配置);
l 只发送Trap报文,不切断用户连接(使用命令dot1x supp-proxy-check trap配置)。
此功能的实现需要802.1x客户端和CAMS的配合:
l 802.1x客户端需要具备检测用户是否使用多网卡、代理服务器或者IE代理服务器功能;
l CAMS上开启认证客户端禁用多网卡、禁用代理服务器或者禁用IE代理服务器功能。
802.1x客户端默认关闭代理用户检测功能,如果CAMS打开防多网卡、代理或IE代理功能,则在用户认证成功时,CAMS会下发属性通知802.1x客户端打开防多网卡、代理或IE代理功能。
l 该功能的实现需要H3C 802.1x客户端程序(iNode)的配合。
l 对于检测通过代理登录的用户功能,同时需要在交换机上启用客户端版本检测功能(通过命令dot1x version-check配置)。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet1/0/1~Ethernet1/0/8检测到用户使用代理后,切断该用户的连接。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x supp-proxy-check logoff
[Sysname] dot1x supp-proxy-check logoff interface Ethernet 1/0/1 to Ethernet 1/0/8
# 设置端口Ethernet 1/0/9检测到登录的用户使用代理后,交换机发送Trap报文。
[Sysname] dot1x supp-proxy-check trap
[Sysname] dot1x supp-proxy-check trap interface Ethernet 1/0/9
【命令】
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | ver-period ver-period-value }
undo dot1x timer { handshake-period | quiet-period | server-timeout | supp-timeout | tx-period | ver-period }
【视图】
系统视图
【参数】
handshake-period:此定时器是在用户认证成功后启动的,系统以此间隔为周期发送握手请求报文。如果dot1x retry命令配置重试次数为N,则系统连续N次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线状态。
handshake-period-value:握手时间间隔,取值范围为5~1024,单位为秒。缺省情况下,握手报文的发送时间间隔为15秒。
quiet-period:静默定时器。对用户认证失败以后,Authenticator设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,交换机不进行该用户的802.1x认证相关处理。
quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒。缺省情况下,quiet-period-value为60秒。
server-timeout:Authentication Server超时定时器。若在该定时器设置的时长内,Authentication Server未成功响应,Authenticator设备将重发认证请求报文。
server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒。缺省情况下,server-timeout-value为100秒。
supp-timeout:Supplicant认证超时定时器。当Authenticator设备向Supplicant设备发送了Request/Challenge请求报文(该报文用于请求Supplicant设备的MD5加密密文)后,Authenticator设备启动supp-timeout定时器,若在该定时器设置的时长内,Supplicant设备未成功响应,Authenticator设备将重发该报文。
supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,supp-timeout-value为30秒。
tx-period:传送超时定时器。以下两种情况Authenticator设备启动tx-period定时器:其一是在客户端主动发起认证的情况下,当交换机向客户端发送单播Request/Identity请求报文后,交换机启动该定时器,若在该定时器设置的时长内,交换机没有收到客户端的响应,则交换机将重发认证请求报文;其二是为了对不支持主动发起认证的802.1x客户端进行认证,交换机会在启动802.1x功能的端口定期地发送组播Request/Identity报文,发送的间隔为tx-period。
tx-period-value:传送超时定时器设置的时长,取值范围为1~120,单位为秒。缺省情况下,tx-period-value为30秒。
ver-period:客户端版本请求超时定时器。若在该定时器设置的时长内,Supplicant设备未成功发送版本应答报文,则Authenticator设备将重发版本请求报文。
ver-period-value:版本请求超时定时器设置的时长,取值范围为1~30,单位为秒。缺省值为30秒。
【描述】
dot1x timer命令用来配置802.1x的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省值。
802.1x在运行时会启动很多定时器以控制接入用户(Supplicant)、接入认证设备(Authenticator)以及认证服务器(Authentication Server)之间进行合理、有序的交互。使用此命令可以改变部分定时器值(另外部分定时器是不可调节的),以调节交互进程。这在较为特殊或比较恶劣的网络环境下可能是必需的措施。不过,一般情况下,建议保持这些定时器的缺省值。
相关配置可参考命令display dot1x。
【举例】
# 设置Authentication Server超时定时器时长为150秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x timer server-timeout 150
【命令】
dot1x timer reauth-period reauth-period-value
undo dot1x timer reauth-period
【视图】
系统视图
【参数】
reauth-period:重认证超时定时器。在经过该定时器间隔后,交换机会发起802.1x重认证。
reauth-period-value:重认证周期时间,取值范围为60~7200,单位为秒。
【描述】
dot1x timer reauth-period命令用来配置802.1x的重认证周期时间。undo dot1x timer reauth-period命令用来将802.1x的重认证周期时间恢复为缺省值。
缺省情况下,802.1x的重认证周期时间为3600秒。
【举例】
# 设置802.1x的重认证周期时间为150秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x timer reauth-period 150
【命令】
dot1x version-check [ interface interface-list ]
undo dot1x version-check [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
dot1x version-check用来开启端口的802.1x客户端版本检测特性。undo dot1x version-check用来关闭端口的802.1x客户端的版本检测特性。
缺省情况下,所有端口的802.1x客户端版本检测特性都处于关闭状态。
在系统视图下使用该命令时:
如果不输入interface-list参数,则表示开启所有端口的802.1x客户端版本检测特性;如果指定了interface-list参数,则表示开启指定端口的802.1x客户端版本检测特性。以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x版本检测特性。
【举例】
# 配置端口Ethernet1/0/1在接收到认证报文时检测802.1x客户端的版本。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname]interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x version-check
【命令】
reset dot1x statistics [ interface interface-list ]
【视图】
用户视图
【参数】
interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。
【描述】
reset dot1x statistics命令用来清除802.1x的统计信息。
当用户想删除802.1x原有统计信息,重新进行相关信息统计时,可以使用该命令。
在清除原有的统计信息时:
l 如果不指定端口类型和端口号,则清除交换机上的全局及所有端口的802.1x统计信息;
l 如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息。
相关配置可参考命令display dot1x。
【举例】
# 清除以太网端口Ethernet 1/0/1上的802.1x统计信息。
<Sysname> reset dot1x statistics interface Ethernet 1/0/1
【命令】
dot1x free-ip ip-address { mask-address | mask-length }
undo dot1x free-ip [ ip-address { mask-address | mask-length } ]
【视图】
系统视图
【参数】
ip-address:免认证IP地址,为点分十进制格式。
mask-address:免认证IP地址的子网掩码,为点分十进制格式。
mask-length:免认证IP地址的掩码长度,取值范围为0~32。
【描述】
dot1x free-ip命令用来配置免认证IP网段,是指802.1x认证成功之前(包括认证失败),终端用户可以访问的IP地址段。undo dot1x free-ip命令用来删除所有配置的免认证网段IP地址。
缺省情况下,没有配置免认证的网段地址。
l 在配置免认证IP网段时必须先配置重定向的URL。
l 一台设备最多可以配置两个免认证IP网段。
【举例】
# 配置用户在认证成功前可以访问的免认证网段IP地址。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x free-ip 192.168.19.23 24
【命令】
dot1x timer acl-timeout acl-timeout-value
undo dot1x timer acl-timeout
【视图】
系统视图
【参数】
acl-timeout-value:ACL定时器超时时间,单位为分钟,取值范围为1~1440。
【描述】
dot1x timer acl-timeout命令用来配置ACL超时时间。undo dot1x timer acl-timeout命令用来恢复ACL超时时间为缺省值。
缺省情况下,ACL超时时间为30分钟。
相关配置可参考dot1x的配置命令。
【举例】
# 配置ACL的超时时间40分钟。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x timer acl-timeout 40
【命令】
dot1x url url-string
undo dot1x url
【视图】
系统视图
【参数】
url-string:HTTP重定向的URL,URL格式为:“http://x.x.x.x”。
【描述】
dot1x url命令用来配置HTTP重定向服务器的URL。undo dot1x url命令用来删除HTTP重定向服务器的URL。
缺省情况下,没有配置HTTP重定向的URL。
相关配置可参考dot1x的配置命令。
【举例】
# 配置HTTP重定向的URL。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] dot1x url http://192.168.19.23
【命令】
display habp
【视图】
任意视图
【参数】
无
【描述】
display habp命令用来显示HABP特性的配置信息和状态。
【举例】
# 显示HABP特性的配置信息和状态。
<Sysname> display habp
Global HABP information:
HABP Mode: Server
Sending HABP request packets every 20 seconds
Bypass VLAN: 2
表3-1 display habp命令显示信息描述表
字段 |
描述 |
HABP Mode |
当前交换机的HABP特性的工作模式,可以为server或者client |
Sending HABP request packets every 20 seconds |
HABP请求报文的发送时间间隔为20秒 |
Bypass VLAN |
在指定的VLAN内发送HABP报文 |
【命令】
display habp table
【视图】
任意视图
【参数】
无
【描述】
display habp table命令用来显示HABP的MAC地址表的信息。
【举例】
# 显示HABP的MAC地址表的信息。
<Sysname> display habp table
MAC Holdtime Receive Port
001f-3c00-0030 53 Ethernet1/0/1
表3-2 display habp table命令显示信息描述表
字段 |
描述 |
MAC |
HABP的MAC地址表项中的MAC地址 |
Holdtime |
MAC地址表项的保持时间,在此时间内如果该表项没有被刷新过,该表项将被老化 |
Receive Port |
学习到该MAC地址表项的端口 |
【命令】
display habp traffic
【视图】
任意视图
【参数】
无
【描述】
display habp traffic命令用来显示HABP报文的统计信息。
【举例】
# 显示HABP报文的统计信息。
<Sysname> display habp traffic
HABP counters :
Packets output: 0, Input: 0
ID error: 0, Type error: 0, Version error: 0
Sent failed: 0
表3-3 display habp traffic命令显示信息描述表
字段 |
描述 |
Packets output |
发送的HABP报文数 |
Input |
接收的HABP报文数 |
ID error |
ID错误的报文数 |
Type error |
类型错误的报文数 |
Version error |
版本错误的报文数 |
Sent failed |
发送失败的报文数 |
【命令】
habp enable
undo habp enable
【视图】
系统视图
【参数】
无
【描述】
habp enable命令用来启动交换机的HABP特性。undo habp enable命令用来关闭HABP特性。
缺省情况下,交换机上启动HABP特性。
如果交换机上启动了802.1x特性,如果不启动交换机的HABP特性,作为管理设备的交换机将不能管理下挂的交换机。因此在启动了802.1x特性的网络中,需要启动相应交换机的HABP特性。
【举例】
# 启动交换机的HABP特性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] habp enable
【命令】
habp server vlan vlan-id
undo habp server
【视图】
系统视图
【参数】
vlan-id:VLAN的ID,取值范围1~4094。
【描述】
habp server vlan命令用来在交换机上设置HABP特性的模式为Server模式,同时指定HABP报文在指定的VLAN内传播。undo habp server vlan命令用来恢复交换机HABP特性为缺省模式。
缺省情况下,交换机的HABP特性工作在client模式下。
用户必须首先使用habp enable命令在交换机上启动HABP特性,然后才能指定HABP特性工作在Server模式下。在不启动HABP特性时,用户也可以配置交换机的HABP特性工作在Server模式下,但命令不生效。
【举例】
# 在交换机上设置HABP特性的模式为Server模式,同时指定HABP报文在指定的VLAN 2内传播。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] habp server vlan 2
【命令】
habp timer interval
undo habp timer
【视图】
系统视图
【参数】
interval:发送HABP请求报文的时间间隔,取值范围为5~600,单位为秒。
【描述】
habp timer命令用来设置交换机发送HABP请求报文的时间间隔。undo habp timer命令用来将发送HABP请求报文的时间间隔恢复为缺省值。
缺省情况下,交换机发送HABP请求报文的时间间隔为20秒。
本配置只需要在HABP特性工作模式为Server的交换机上进行配置。
【举例】
# 设置发送HABP请求报文的时间间隔为50秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] habp timer 50
新增“CPU保护”功能,具体请参见4.1.5 system-guard cpu-rcv-limit。
【命令】
display system-guard ip state
【视图】
任意视图
【参数】
无
【描述】
display system-guard ip state命令用来显示当前IP防攻击的监测结果以及设置的参数。
【举例】
# 显示当前IP防攻击的监测结果以及设置的参数。
<Sysname> display system-guard ip state
System-guard IP is running!
IP-record threshold: 30
Deny threshold: 1
Isolated times of aging time: 3
Number of suspicious hosts that can be detected: 30
Number of suspicious hosts detected: 0
表4-1 display system-guard ip state命令显示信息描述表
域名 |
描述 |
System-guard IP is running |
IP防攻击功能正在运行 |
IP-record threshold |
10秒钟内地址学习数目的上限 |
Deny threshold |
重复监测次数 |
Isolated times of aging time |
隔离时间(为MAC地址老化时间的倍数) |
Number of suspicious hosts that can be detected |
最大监测数目 |
Number of suspicious hosts detected |
受病毒感染的主机数 |
【命令】
display system-guard ip-record
【视图】
任意视图
【参数】
无
【描述】
display system-guard ip-record命令用来显示本次监测周期中,交换机的CPU上收到的IP报文的情况。
【举例】
# 显示本次监测周期中,交换机的CPU上收到的IP报文的情况。
<Sysname> display system-guard ip-record
'M': Master port of link aggregation
Index Source IP Destination IP Port
--------------------------------------------------
1 000.000.000.000 000.000.000.000 0/0/0
2 000.000.000.000 000.000.000.000 0/0/0
3 000.000.000.000 000.000.000.000 0/0/0
4 000.000.000.000 000.000.000.000 0/0/0
5 000.000.000.000 000.000.000.000 0/0/0
……
表4-2 display system-guard ip-record命令显示信息描述表
域名 |
描述 |
Index |
索引号 |
Source IP |
源IP |
Destination IP |
目的IP |
Port |
入端口号 |
【命令】
display system-guard l3err state
【视图】
任意视图
【参数】
无
【描述】
display system-guard l3err state命令用来显示三层错误报文防攻击的状态。
【举例】
# 显示三层错误报文防攻击的状态。
<Sysname> display system-guard l3err state
System-guard l3err status: enabled
【命令】
display system-guard tcn state
【视图】
任意视图
【参数】
无
【描述】
display system-guard tcn state命令用来显示TCN防攻击的状态。
【举例】
# 显示TCN防攻击的状态。
<Sysname> display system-guard tcn state
System-guard TCN state: enabled
【命令】
system-guard cpu-rcv-limit protection-parameter
undo system-guard cpu-rcv-limit
【视图】
系统视图
【参数】
protection-parameter:指定CPU保护参数,取值范围为1~1000,参数越大表示单位时间内允许上送CPU的报文数量越多,推荐参数值为800。
【描述】
system-guard cpu-rcv-limit命令用于开启CPU保护功能,并设置保护参数。undo system-guard cpu-rcv-limit命令用于关闭CPU保护功能。
缺省情况下,设备的CPU保护功能关闭。
CPU保护功能通过限制单位时间内上送CPU报文的总数量来实现,会有部分正常功能的报文受到影响不能被及时调度,从而导致功能使用不是很流畅。因此没有特殊需要不建议使用该功能。
【举例】
# 开启CPU保护功能,设置保护参数为800。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] system-guard cpu-rcv-limit 800
# 关闭CPU保护功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] undo system-guard cpu-rcv-limit
【命令】
system-guard ip detect-maxnum number
undo system-guard ip detect-maxnum
【视图】
系统视图
【参数】
number:最大监测次数,取值范围为1~100。
【描述】
system-guard ip detect-maxnum命令用来设置当前最大可监测染毒主机的数目,undo system-guard ip detect-maxnum命令用来恢复可监测染毒主机的数目为缺省值。
缺省情况下,system-guard最大的可监测染毒主机数目为30。
【举例】
# 设置当前最大可监测染毒主机的数目为50。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] system-guard ip detect-maxnum 50
【命令】
system-guard ip detect-threshold ip-record-threshold record-times-threshold isolate-time
undo system-guard ip detect-threshold
【视图】
系统视图
【参数】
ip-record-threshold:10秒钟内地址学习数目的上限,取值范围为1~100。
record-times-threshold:10秒钟内重复监测次数的上限,即该IP地址被命中几次后交换机对其采取措施,取值范围为1~10。
isolate-time:隔离时间,即交换机对一个染毒IP地址采取措施后,等待isolate-time倍MAC地址老化时间再对该IP进行恢复。取值范围3~100,单位为MAC地址老化时间的倍数。
【描述】
system-guard ip detect-threshold命令用来设置地址学习数目的上限、重复监测次数的上限和隔离时间。undo system-guard ip detect-threshold命令用来将地址学习数目的上限、重复监测次数的上限和隔离时间恢复为缺省值。
缺省情况下,system-guard地址学习数目的上限、重复监测次数的上限、隔离时间为30、1、3。
system-guard ip detect-threshold命令设置的各参数的相互关系,通过如下举例得以较为清晰的体现:在设置了地址学习数目的上限为50、重复监测次数的上限为3、隔离时间为5倍的MAC地址老化时间后,系统如果连续3次监测到10秒钟的周期内来自某一个源IP地址的IP报文(其目的IP地址不是交换机的IP地址)的个数超过了50,系统就认为受到了攻击,将此源IP监测出来,在5倍的MAC地址老化时间内降低此源IP的报文上送CPU处理的优先级。
【举例】
# 设置地址学习数目的上限为50、重复监测次数的上限为3、隔离时间为5倍的MAC地址老化时间。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] system-guard ip detect-threshold 50 3 5
【命令】
system-guard ip enable
undo system-guard ip enable
【视图】
系统视图
【参数】
无
【描述】
system-guard ip enable命令用来开启system-guard IP防攻击监测功能,undo system-guard ip enable命令用来恢复system-guard IP防攻击监测功能为缺省状态。
缺省情况下,禁止system-guard监测功能。
system-guard功能通过监控10秒钟内CPU收到的IP报文,找到这10秒中内有攻击特性的源IP地址,并对其进行统计,一旦超过设定的阈值,则对此IP地址采取如下控制措施:当检查到有攻击特性的源IP地址时,如果该源IP地址对应的主机发送的报文需要交换机发送至CPU进行处理,则交换机会降低此源IP的报文上送CPU处理的优先级。
【举例】
# 开启系统的system-guard监测功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] system-guard ip enable
【命令】
system-guard l3err enable
undo system-guard l3err enable
【视图】
系统视图
【参数】
无
【描述】
system-guard l3err enable命令用来开启三层错误报文防攻击功能,undo system-guard l3err enable命令用来关闭此功能。
缺省情况下,三层错误报文防攻击功能处于开启状态。
三层错误报文防攻击功能是用来控制所有被交换机认为是错误的三层报文的处理方式:
l 关闭三层错误报文防攻击功能后,对于所有交换机认为是错误的三层报文(包括带选项的IP报文),交换机会将其发送给CPU进行处理。
l 开启三层错误报文防攻击功能后,所有交换机认为是错误的三层报文都会被直接丢弃,不再进行处理。
一般情况下,建议开启三层错误报文防攻击功能。由于交换机不支持转发错误报文和带选项(Option)的IP报文,如果将这些报文都发送至CPU进行处理,可能会对CPU正常工作造成冲击。
【举例】
# 开启三层错误报文防攻击功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] system-guard l3err enable
【命令】
system-guard tcn enable
undo system-guard tcn enable
【视图】
系统视图
【参数】
无
【描述】
system-guard tcn enable命令用来开启TCN防攻击功能,undo system-guard tcn enable命令用来关闭此功能。
TCN防攻击监测端口的TCN/TC收包速率,如果高于设定值,那么将输出trap和log信息通知用户,而且从下一个周期开始每个周期(10秒)只上送一个TCN/TC报文到CPU。这样,可以防止STP/RSTP协议频繁删除MAC和ARP表项,用户也可以采取相应的措施。
缺省情况下,TCN防攻击功能处于关闭状态。
【举例】
# 开启TCN防攻击功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] system-guard tcn enable
【命令】
system-guard tcn rate-threshold rate-threshold
undo system-guard tcn rate-threshold
【视图】
系统视图
【参数】
rate-threshold:TCN/TC报文的收包速率,单位为pps,取值范围为1~20。
【描述】
system-guard tcn rate-threshold命令用来设置TCN防攻击监测端口的TCN/TC收包速率,超过设置的收包速率则发送Trap或记入日志。undo system-guard tcn rate-threshold命令用来恢复缺省值。
缺省情况下,TCN/TC报文的收包速率限制为1 pps。
因为设备监测周期为10秒,所以缺省情况下10秒内收到的TCN/TC报文超过10个,则会发送trap和log。
当一个10秒的监测周期内收到的TCN/TC报文低于设置的收包速率时,则下一个周期设备恢复正常状态,不再发送trap和log。
【举例】
# 设置TCN/TC收包速率为20pps。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] system-guard tcn rate-threshold 20
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!