• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S2000-EA(SI)系列以太网交换机 命令手册-Release22XX系列(V1.00)

15-802.1x及System-Guard命令

本章节下载  (242.7 KB)

15-802.1x及System-Guard命令


1 802.1x配置命令

1.1  802.1x配置命令

1.1.1  display dot1x

【命令】

display dot1x [ sessions | statistics ] [ interface interface-list ]

【视图】

任意视图

【参数】

sessions:显示802.1x的会话连接信息。

statistics:显示802.1x的相关统计信息。

interface:显示指定端口的802.1x相关信息。

interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

display dot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况(会话连接信息)以及相关统计信息等。

如果在执行本命令的时候不指定端口,系统将显示交换机所有802.1x相关信息。根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,并进一步有助于802.1x故障的诊断与排除。

相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x max-user, dot1x port-control, dot1x port-method, dot1x timer

【举例】

# 显示802.1x的相关信息。

<Sysname> display dot1x

 Global 802.1X protocol is enabled

 CHAP authentication is enabled

 DHCP-launch is disabled

 Handshake is enabled     

 Proxy trap checker is disabled

 Proxy logoff checker is disabled

 EAD Quick Deploy is enabled

 

 Configuration: Transmit Period     30 s,  Handshake Period       15 s

                ReAuth Period     3600 s,  ReAuth MaxTimes        2  

                Quiet Period        60 s,  Quiet Period Timer is disabled

                Supp Timeout        30 s,  Server Timeout         100 s

                Interval between version requests is 30s

                Maximal request times for version information is 3

                The maximal retransmitting times          2

  EAD Quick Deploy configuration:

                 Url               http://192.168.19.23

                 Free-ip           192.168.19.0 255.255.255.0

                 Acl-timeout       30m

 

Total maximum 802.1x user resource number is 1024

 Total current used 802.1x resource number is 1

 

Ethernet1/0/1  is link-up

   802.1X protocol is enabled

   Proxy trap checker is disabled

   Proxy logoff checker is disabled

   Version-Check is disabled

   The port is an authenticator

   Authentication Mode is Auto

   Port Control Type is Port-based

   ReAuthenticate is disabled

   Max number of on-line users is 256

 

   Authentication Success: 4, Failed: 2

   EAPOL Packets: Tx 7991, Rx 14

   Sent EAP Request/Identity Packets : 7981

        EAP Request/Challenge Packets: 0

   Received EAPOL Start Packets : 5

            EAPOL LogOff Packets: 1

            EAP Response/Identity Packets : 4

            EAP Response/Challenge Packets: 4

            Error Packets: 0

 1. Authenticated user : MAC address: 000d-88f6-44c1

 

   Controlled User(s) amount to 1                  

 

 Ethernet1/0/2 

……(以下略)

表1-1 802.1x配置信息描述表

域名

描述

Equipment 802.1X protocol is enabled

交换机802.1x特性已经开启

CHAP authentication is enabled

开启CHAP认证

DHCP-launch is disabled

DHCP触发802.1x认证的功能处于关闭状态

Handshake is enabled

在线用户握手功能开启

Proxy trap checker is disabled

是否检测通过代理登录用户的接入:

l      disable表示检测用户使用代理后,不发送Trap报文;

l      enable表示检测用户使用代理后,发送Trap报文。

Proxy logoff checker is disabled

是否检测通过代理登录用户的接入:

l      disable表示检测用户使用代理后,不切断用户连接;

l      enable表示检测用户使用代理后,切断用户连接。

EAD Quick Deploy is enabled

EAD快速部署功能开启

Transmit Period

发送间隔定时器

Handshake Period

802.1x的握手报文的发送时间间隔

ReAuth Period

重认证周期

ReAuth MaxTimes

重认证最大次数

Quiet Period

静默定时器设置的静默时长

Quiet Period Timer is disabled

静默定时器状态:disable表示处于关闭状态;enable表示处于开启状态

Supp Timeout

Supplicant认证超时定时器

Server Timeout

Authentication Server超时定时器

The maximal retransmitting times

交换机可重复向接入用户发送认证请求帧的次数

Url

HTTP重定向的URL

Free-ip

可访问的免认证IP网段

Acl-timeout

ACL超时定时器

Total maximum 802.1x user resource number

最多可接入用户数

Total current used 802.1x resource number

当前在线接入用户数

Ethernet1/0/1 is link-down

端口Ethernet 1/0/1的状态为Down

802.1X protocol is disabled

该端口未开启802.1x协议

Proxy trap checker is disabled

是否检测通过代理登录用户的接入:

l      disable表示检测用户使用代理后,不发送Trap报文;

l      enable表示检测用户使用代理后,发送Trap报文。

Proxy logoff checker is disabled

是否检测通过代理登录用户的接入:

l      disable表示检测用户使用代理后,不切断用户连接;

l      enable表示检测用户使用代理后,切断用户连接。

Version-Check is disabled

端口是否开启客户端版本检测功能:

l      disable表示关闭;

l      enable表示开启。

The port is an authenticator

该端口担当Authenticator作用

Authentication Mode is Auto

端口接入控制的模式为auto

Port Control Type is Mac-based

端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证

ReAuthenticate is disabled

端口的802.1x重认证特性处于关闭状态

Max number of on-line users

本端口最多可容纳的接入用户数

 

1.1.2  dot1x

【命令】

dot1x [ interface interface-list ]

undo dot1x [ interface interface-list ]

【视图】

系统视图/以太网端口视图

【参数】

interface-list:以太网端口列表,表示方式为interface-list= { interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性。undo dot1x命令用来关闭指定端口上或全局的802.1x特性。

缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。

在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启全局的802.1x特性;如果指定了interface-list,则表示开启指定端口的802.1x特性。在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用于打开当前端口的802.1x特性。

全局802.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才能在端口上生效。

l    如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数;反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。

l    如果端口启动了802.1x,则不能配置该端口加入汇聚组。反之,如果该端口已经加入到某个汇聚组中,则禁止在该端口上启动802.1x。

 

相关配置可参考命令display dot1x

【举例】

# 开启以太网端口Ethernet 1/0/1上的802.1x特性。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x interface Ethernet 1/0/1

# 开启全局的802.1x特性。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x

1.1.3  dot1x authentication-method

【命令】

dot1x authentication-method { chap | pap | eap }

undo dot1x authentication-method

【视图】

系统视图

【参数】

chap:采用CHAP认证方式。

pap:采用PAP认证方式。

eap:采用EAP认证方式。

【描述】

dot1x authentication-method命令用来设置802.1x用户的认证方法。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方法。

缺省情况下,802.1x用户认证方法为CHAP认证。

PAP(Password Authentication Protocol)是一种两次握手认证协议,它采用明文方式传送口令。

CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。

EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一,只需启动EAP认证即可。

相关配置可参考命令display dot1x

当采用设备本身作为认证服务器时,802.1x用户的认证方法,不可以配置为EAP方式。

 

【举例】

# 设置交换机采用PAP认证。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x authentication-method pap

1.1.4  dot1x dhcp-launch

【命令】

dot1x dhcp-launch

undo dot1x dhcp-launch

【视图】

系统视图

【参数】

【描述】

dot1x dhcp-launch命令用来设置802.1x允许以太网交换机在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。undo dot1x dhcp-launch命令用来取消DHCP触发对接入用户的身份认证。

缺省情况下,不允许DHCP触发对接入用户的身份认证。

相关配置可参考命令display dot1x

【举例】

# 允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x dhcp-launch

1.1.5  dot1x guest-vlan

【命令】

dot1x guest-vlan vlan-id [ interface interface-list ]

undo dot1x guest-vlan [ interface interface-list ]

【视图】

系统视图/以太网端口视图

【参数】

vlan-id:Guest VLAN的VLAN ID,取值范围为1~4094。

interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

dot1x guest-vlan命令用来开启端口的Guest VLAN功能。undo dot1x guest-vlan命令用来关闭Guest VLAN功能。

Guest VLAN的功能开启后:

l              交换机将在所有开启802.1x功能的端口发送触发认证报文(EAP-Request/Identity),如果达到最大发送次数后,端口尚未返回响应报文,则交换机将该端口加入到Guest VLAN中;

l              之后属于该Guest VLAN中的用户访问该Guest VLAN中的资源时,不需要进行802.1x认证,但访问外部的资源时仍需要进行认证。

在系统视图下使用该命令时:

l              如果不输入interface-list参数,则表示开启所有端口的Guest VLAN功能;

l              如果指定了interface-list,则表示开启指定端口的Guest VLAN功能。

在以太网端口视图下使用该命令时,不能输入interface-list参数,仅能打开当前端口的Guest VLAN功能。

l    只有在端口认证方式下,交换机才可以支持Guest VLAN功能;

l    一台交换机只能配置一个Guest VLAN;

l    当交换机配置为dot1x dhcp-launch方式时,因为该方式下交换机不发送主动认证报文,Guest VLAN功能不能实现。

 

【举例】

# 设置认证方式为基于端口的方式。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x port-method portbased

# 开启所有端口的Guest VLAN功能。

[Sysname] dot1x guest-vlan 1

1.1.6  dot1x handshake

【命令】

dot1x handshake enable

undo dot1x handshake enable

【视图】

系统视图

【参数】

【描述】

dot1x handshake enable命令用于开启在线用户握手功能。undo dot1x handshake enable命令用于关闭在线用户握手功能。

缺省情况下,开启在线用户握手功能。

l    802.1x的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。

l    握手报文的发送需要H3C私有客户端的支持,用以探测用户是否在线。

l    对于非H3C客户端,由于不支持握手功能,在握手周期内交换机不会收到握手回应报文。因此需要将在线用户握手功能关闭,以防止交换机错误地认为用户下线。

 

【举例】

# 开启在线用户握手功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x handshake enable

1.1.7  dot1x handshake secure

【命令】

dot1x handshake secure

undo dot1x handshake secure

【视图】

以太网端口视图

【参数】

【描述】

dot1x handshake secure命令用于开启握手报文的安全扩展功能,防止破解客户端造成的攻击。undo dot1x handshake secure命令用于关闭握手报文的安全扩展功能。

缺省情况下,关闭握手报文的安全扩展功能。

握手报文的安全扩展功能需要支持此功能的客户端与认证服务器配合才能正常使用,若客户端或者认证服务器不支持握手报文的安全扩展功能,则需要关闭此功能。

 

【举例】

# 开启握手报文的安全扩展功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x handshake secure

1.1.8  dot1x max-user

【命令】

dot1x max-user user-number [ interface interface-list ]

undo dot1x max-user [ interface interface-list ]

【视图】

系统视图/以太网端口视图

【参数】

user-number:端口可容纳接入用户数量的最大值,取值范围为1~256。

interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。

缺省情况下,端口上可容纳接入用户数量的最大值为256。

在系统视图下使用该命令时:

l              如果不输入interface-list参数,则表示作用于所有端口;

l              如果指定了interface-list,则表示作用于指定端口。

在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用来设置当前端口的可容纳接入用户数量的最大值。

相关配置可参考命令display dot1x

【举例】

# 设置端口Ethernet 1/0/1最多可容纳32个接入用户。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x max-user 32 interface Ethernet 1/0/1

1.1.9  dot1x port-control

【命令】

dot1x port-control { auto | authorized-force | unauthorized-force } [ interface interface-list ]

undo dot1x port-control [ interface interface-list ]

【视图】

系统视图/以太网端口视图

【参数】

auto:自动识别模式;端口初始状态为非授权状态,仅允许收发EAPoL报文,不允许用户访问网络资源;如果认证通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。

authorized-force:强制授权模式;端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。

unauthorized-force:强制非授权模式;端口始终处于非授权状态,不允许用户访问网络资源。

interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

dot1x port-control命令用来设置802.1x在指定端口的接入控制模式。 undo dot1x port-control命令用来恢复缺省的接入控制模式。

缺省情况下,接入控制模式为auto

dot1x port-control命令用来设置802.1x在指定端口的接入控制模式,即端口所处的状态。

在系统视图下使用该命令时:

l              如果不输入interface-list参数,则表示作用于所有端口;

l              如果指定了interface-list,则表示作用于指定端口。

在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用来设置当前端口的接入控制模式。

相关配置可参考命令display dot1x

【举例】

# 指定端口Ethernet 1/0/1处于强制非授权状态。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x port-control unauthorized-force interface Ethernet 1/0/1

1.1.10  dot1x port-method

【命令】

dot1x port-method { macbased | portbased } [ interface interface-list ]

undo dot1x port-method [ interface interface-list ]

【视图】

系统视图/以太网端口视图

【参数】

macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证。

portbased:指示802.1x认证系统基于端口对接入用户进行认证。

interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

dot1x port-method命令用来设置802.1x在指定端口的接入控制方式。 undo dot1x port-method命令用来恢复缺省的接入控制方式。

此命令用来设置802.1x在指定端口的接入控制方式:

l              当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络;

l              当采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。

l              802.1x用户在线时,如果通过dot1x port-method命令更改端口接入控制方式,则在线用户会被强制下线。

在系统视图下使用该命令时:

l              如果不输入interface-list参数,则表示作用于所有端口;

l              如果指定了interface-list,则表示作用于指定端口。

在以太网端口视图下使用该命令时,不能输入interface-list参数,仅用来设置当前端口的接入控制方式。

相关配置可参考命令display dot1x

【举例】

# 指定端口Ethernet 1/0/1基于端口对接入用户进行认证。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x port-method portbased interface Ethernet 1/0/1

1.1.11  dot1x quiet-period

【命令】

dot1x quiet-period

undo dot1x quiet-period

【视图】

系统视图

【参数】

【描述】

dot1x quiet-period命令用来开启静默定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。

当802.1x用户认证失败以后,Authenticator设备(如H3C系列以太网交换机)需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,Authenticator设备不进行该用户的802.1x认证的相关处理。

缺省情况下, 静默定时器功能处于关闭状态。

相关配置可参考命令display dot1xdot1x timer

【举例】

# 打开quiet-period定时器。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x quiet-period

1.1.12  dot1x retry

【命令】

dot1x retry max-retry-value

undo dot1x retry

【视图】

系统视图

【参数】

max-retry-value:可重复向接入用户发送认证请求帧的最大次数,取值范围为1~10。

【描述】

dot1x retry命令用来设置以太网交换机可重复向接入用户发送认证请求帧的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省值。

缺省情况下,可重复向接入用户发送认证请求帧的最大次数为2次。

如果交换机初次向用户发送认证请求帧后,在规定的时间里没有收到用户的响应,则交换机将再次向用户发送该认证请求。当发送次数达到由本配置任务配置的最大次数后仍没有收到响应,交换机不再重复向用户发送该认证请求。本命令设置后将作用于所有端口。

相关配置可参考命令display dot1x

【举例】

# 指示本机最多向接入用户发送9次认证请求帧。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x retry 9

1.1.13  dot1x retry-version-max

【命令】

dot1x retry-version-max max-retry-version-value

undo dot1x retry-version-max

【视图】

系统视图

【参数】

max-retry-version-value:重复向接入用户发送版本请求帧的最大次数,取值范围为1~10。

【描述】

dot1x retry-version-max命令用来设置以太网交换机可重复向接入用户发送版本请求帧的最大次数。undo dot1x retry-version-max命令用来将该最大发送次数恢复为缺省值。

缺省情况下,以太网交换机可重复向接入用户发送版本请求的最大次数为3次。

当交换机初次向用户发送客户端版本请求帧后,如果在一定时间(由版本验证的超时定时器指定)内没有收到客户端的响应,交换机会再次向客户端发送版本请求,当发送次数达到由本配置任务配置的最大次数后仍没有收到响应,交换机不再对客户端的版本进行验证,而继续进行后续的认证过程。本命令设置后将作用于所有启动版本验证功能的端口。

相关配置可参考命令display dot1xdot1x timer

【举例】

# 配置交换机最多向接入用户发送6次版本请求帧。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x retry-version-max 6

1.1.14  dot1x re-authenticate

【命令】

dot1x re-authenticate [ interface interface-list ]

undo dot1x re-authenticate [ interface interface-list ]

【视图】

系统视图/以太网端口视图

【参数】

interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以输入10次。

【描述】

dot1x re-authenticate命令用来开启交换机特定端口或所有端口的802.1x重认证特性。undo dot1x re-authenticate用来关闭交换机特定端口或所有端口的802.1x重认证特性。

缺省情况下,所有端口的802.1x重认证特性都处于关闭状态。

在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启所有端口的802.1x重认证特性;如果指定了interface-list参数,则表示开启指定端口的802.1x重认证特性。以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x重认证特性。

在启动端口802.1x重认证功能之前,必须开启全局802.1x特性和该端口的802.1x特性。

 

【举例】

# 在端口Ethernet 1/0/1上启用802.1x重认证功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x

 802.1X is enabled globally.

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x

 802.1X is enabled on port Ethernet1/0/1 already.

[Sysname-Ethernet1/0/1] dot1x re-authenticate

 Re-authentication is enabled on port Ethernet1/0/1

1.1.15  dot1x supp-proxy-check

【命令】

dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]

undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]

【视图】

系统视图/以太网端口视图

【参数】

logoff:检测到用户使用代理或者开启多网卡登录后,切断用户连接。

trap:检测到用户使用代理或者开启多网卡登录后,发送Trap报文。

interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

dot1x supp-proxy-check用来开启指定端口上的802.1x代理用户检测特性。undo dot1x supp-proxy-check用来关闭指定端口上对802.1x代理用户检测特性。

缺省情况下,所有端口的802.1x代理用户检测特性都处于关闭状态。

此命令如果在系统视图下执行:

l              如果指定了interface-list参数,可以作用于interface-list参数所指定的某个端口;

l              如果不输入interface-list参数,则为全局配置。

如果在以太网端口视图下执行,不能输入interface-list参数,只能作用于当前端口。

在系统视图下开启全局的代理用户检测功能后,必须再开启指定端口的代理用户检测特性,此特性的配置才能在该端口上生效。

交换机的802.1x代理用户检测特性包括:

l              检测使用代理服务器登录的用户;

l              检测使用IE代理服务器登录的用户;

l              检测用户是否使用多网卡(即用户登录时,其PC上处于激活状态的网卡超过一个)。

当交换机发现以上任意一种情况时,可以采取以下控制措施:

l              只切断用户连接,不发送Trap报文(使用命令dot1x supp-proxy-check logoff配置);

l              只发送Trap报文,不切断用户连接(使用命令dot1x supp-proxy-check trap配置)。

此功能的实现需要802.1x客户端和CAMS的配合:

l              802.1x客户端需要具备检测用户是否使用多网卡、代理服务器或者IE代理服务器功能;

l              CAMS上开启认证客户端禁用多网卡、禁用代理服务器或者禁用IE代理服务器功能。

802.1x客户端默认关闭代理用户检测功能,如果CAMS打开防多网卡、代理或IE代理功能,则在用户认证成功时,CAMS会下发属性通知802.1x客户端打开防多网卡、代理或IE代理功能。

l    该功能的实现需要H3C 802.1x客户端程序(iNode)的配合。

l    对于检测通过代理登录的用户功能,同时需要在交换机上启用客户端版本检测功能(通过命令dot1x version-check配置)。

 

相关配置可参考命令display dot1x

【举例】

# 设置端口Ethernet1/0/1~Ethernet1/0/8检测到用户使用代理后,切断该用户的连接。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x supp-proxy-check logoff

[Sysname] dot1x supp-proxy-check logoff interface Ethernet 1/0/1 to Ethernet 1/0/8

# 设置端口Ethernet 1/0/9检测到登录的用户使用代理后,交换机发送Trap报文。

[Sysname] dot1x supp-proxy-check trap

[Sysname] dot1x supp-proxy-check trap interface Ethernet 1/0/9

1.1.16  dot1x timer

【命令】

dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | ver-period ver-period-value }

undo dot1x timer { handshake-period | quiet-period | server-timeout | supp-timeout | tx-period | ver-period }

【视图】

系统视图

【参数】

handshake-period:此定时器是在用户认证成功后启动的,系统以此间隔为周期发送握手请求报文。如果dot1x retry命令配置重试次数为N,则系统连续N次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线状态。

handshake-period-value:握手时间间隔,取值范围为5~1024,单位为秒。缺省情况下,握手报文的发送时间间隔为15秒。

quiet-period:静默定时器。对用户认证失败以后,Authenticator设备需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,交换机不进行该用户的802.1x认证相关处理。

quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位为秒。缺省情况下,quiet-period-value为60秒。

server-timeout:Authentication Server超时定时器。若在该定时器设置的时长内,Authentication Server未成功响应,Authenticator设备将重发认证请求报文。

server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为100~300,单位为秒。缺省情况下,server-timeout-value为100秒。

supp-timeout:Supplicant认证超时定时器。当Authenticator设备向Supplicant设备发送了Request/Challenge请求报文(该报文用于请求Supplicant设备的MD5加密密文)后,Authenticator设备启动supp-timeout定时器,若在该定时器设置的时长内,Supplicant设备未成功响应,Authenticator设备将重发该报文。

supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,supp-timeout-value为30秒。

tx-period:传送超时定时器。以下两种情况Authenticator设备启动tx-period定时器:其一是在客户端主动发起认证的情况下,当交换机向客户端发送单播Request/Identity请求报文后,交换机启动该定时器,若在该定时器设置的时长内,交换机没有收到客户端的响应,则交换机将重发认证请求报文;其二是为了对不支持主动发起认证的802.1x客户端进行认证,交换机会在启动802.1x功能的端口定期地发送组播Request/Identity报文,发送的间隔为tx-period

tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位为秒。缺省情况下,tx-period-value为30秒。

ver-period:客户端版本请求超时定时器。若在该定时器设置的时长内,Supplicant设备未成功发送版本应答报文,则Authenticator设备将重发版本请求报文。

ver-period-value:版本请求超时定时器设置的时长,取值范围为1~30,单位为秒。缺省值为30秒。

【描述】

dot1x timer命令用来配置802.1x的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省值。

802.1x在运行时会启动很多定时器以控制接入用户(Supplicant)、接入认证设备(Authenticator)以及认证服务器(Authentication Server)之间进行合理、有序的交互。使用此命令可以改变部分定时器值(另外部分定时器是不可调节的),以调节交互进程。这在较为特殊或比较恶劣的网络环境下可能是必需的措施。不过,一般情况下,建议保持这些定时器的缺省值。

相关配置可参考命令display dot1x

【举例】

#设置Authentication Server超时定时器时长为150秒。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x timer server-timeout 150

1.1.17  dot1x timer reauth-period

【命令】

dot1x timer reauth-period reauth-period-value

undo dot1x timer reauth-period

【视图】

系统视图

【参数】

reauth-period:重认证超时定时器。在经过该定时器间隔后,交换机会发起802.1x重认证。

reauth-period-value:重认证周期时间,取值范围为60~7200,单位为秒。

【描述】

dot1x timer reauth-period命令用来配置802.1x的重认证周期时间。undo dot1x timer reauth-period命令用来将802.1x的重认证周期时间恢复为缺省值。

缺省情况下,802.1x的重认证周期时间为3600秒。

【举例】

#设置802.1x的重认证周期时间为150秒。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] dot1x timer reauth-period 150

1.1.18  dot1x version-check

【命令】

dot1x version-check [ interface interface-list ]

undo dot1x version-check [ interface interface-list ]

【视图】

系统视图/以太网端口视图

【参数】

interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

dot1x version-check用来开启端口上的802.1x客户端版本检测特性。undo dot1x version-check用来关闭端口上对802.1x客户端的版本检测特性。

缺省情况下,所有端口的802.1x客户端版本检测特性都处于关闭状态。

在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启所有端口的802.1x客户端版本检测特性;如果指定了interface-list参数,则表示开启指定端口的802.1x客户端版本检测特性。以太网端口视图下使用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x版本检测特性。

【举例】

# 配置端口Ethernet1/0/1在接收到认证报文时检测802.1x客户端的版本。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname]interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x version-check

1.1.19  reset dot1x statistics

【命令】

reset dot1x statistics [ interface interface-list ]

【视图】

用户视图

【参数】

interface-list:以太网端口列表,表示方式为interface-list={ interface-type interface-number [ to interface-type interface-number ] } &<1-10>。其中interface-type为端口类型,interface-number为端口号。命令中&<1-10>表示前面的参数最多可以重复输入10次。

【描述】

reset dot1x statistics命令用来清除802.1x的统计信息。

当用户想删除802.1x原有统计信息,重新进行相关信息统计时,可以使用该命令。

在清除原有的统计信息时:

l              如果不指定端口类型和端口号,则清除交换机上的全局及所有端口的802.1x统计信息;

l              如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息。

相关配置可参考命令display dot1x

【举例】

# 清除以太网端口Ethernet 1/0/1上的802.1x统计信息。

<Sysname> reset dot1x statistics interface Ethernet 1/0/1

 


2 HABP配置命令

2.1  HABP配置命令

2.1.1  display habp

【命令】

display habp

【视图】

任意视图

【参数】

【描述】

display habp命令用来显示HABP特性的配置信息和状态。

【举例】

# 显示HABP特性的配置信息和状态。

<Sysname> display habp

Global HABP information:

        HABP Mode: Server

        Sending HABP request packets every 20 seconds

        Bypass VLAN: 2

表2-1 display habp命令显示信息描述表

字段

描述

HABP Mode

当前交换机的HABP特性的工作模式,可以为server或者client

Sending HABP request packets every 20 seconds

HABP请求报文的发送时间间隔为20秒

Bypass VLAN

在指定的VLAN内发送HABP报文

 

2.1.2  display habp table

【命令】

display habp table

【视图】

任意视图

【参数】

【描述】

display habp table命令用来显示HABP的MAC地址表的信息。

【举例】

# 显示HABP的MAC地址表的信息。

<Sysname> display habp table

MAC             Holdtime  Receive Port

001f-3c00-0030  53        Ethernet1/0/1

表2-2 display habp table命令显示信息描述表

字段

描述

MAC

HABP的MAC地址表项中的MAC地址

Holdtime

MAC地址表项的保持时间,在此时间内如果该表项没有被刷新过,该表项将被老化

Receive Port

学习到该MAC地址表项的端口

 

2.1.3  display habp traffic

【命令】

display habp traffic

【视图】

任意视图

【参数】

【描述】

display habp traffic命令用来显示HABP报文的统计信息。

【举例】

# 显示HABP报文的统计信息。

<Sysname> display habp traffic

HABP counters :

        Packets output: 0, Input: 0

        ID error: 0, Type error: 0, Version error: 0

        Sent failed: 0

表2-3 display habp traffic命令显示信息描述表

字段

描述

Packets output

发送的HABP报文数

Input

接收的HABP报文数

ID error

ID错误的报文数

Type error

类型错误的报文数

Version error

版本错误的报文数

Sent failed

发送失败的报文数

 

2.1.4  habp enable

【命令】

habp enable

undo habp enable

【视图】

系统视图

【参数】

【描述】

habp enable命令用来启动交换机的HABP特性。undo habp enable命令用来关闭HABP特性。

缺省情况下,交换机上启动HABP特性。

如果交换机上启动了802.1x特性,如果不启动交换机的HABP特性,作为管理设备的交换机将不能管理下挂的交换机。因此在启动了802.1x特性的网络中,需要启动相应交换机的HABP特性。

【举例】

# 启动交换机的HABP特性。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] habp enable

2.1.5  habp server vlan

【命令】

habp server vlan vlan-id

undo habp server

【视图】

系统视图

【参数】

vlan-id:VLAN的ID,取值范围1~4094。

【描述】

habp server vlan命令用来在交换机上设置HABP特性的模式为Server模式,同时指定HABP报文在指定的VLAN内传播。undo habp server vlan命令用来恢复交换机HABP特性为缺省模式。

缺省情况下,交换机的HABP特性工作在client模式下。

用户必须首先使用habp enable命令在交换机上启动HABP特性,然后才能指定HABP特性工作在Server模式下。在不启动HABP特性时,用户也可以配置交换机的HABP特性工作在Server模式下,但命令不生效。

【举例】

# 在交换机上设置HABP特性的模式为Server模式,同时指定HABP报文在指定的VLAN 2内传播。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] habp server vlan 2

2.1.6  habp timer

【命令】

habp timer interval

undo habp timer

【视图】

系统视图

【参数】

interval:发送HABP请求报文的时间间隔,取值范围为5~600,单位为秒。

【描述】

habp timer命令用来设置交换机发送HABP请求报文的时间间隔。undo habp timer命令用来将发送HABP请求报文的时间间隔恢复为缺省值。

缺省情况下,交换机发送HABP请求报文的时间间隔为20秒。

本配置只需要在HABP特性工作模式为Server的交换机上进行配置。

【举例】

# 设置发送HABP请求报文的时间间隔为50秒。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] habp timer 50

 


3 system-guard配置命令

3.1  防攻击配置命令

3.1.1  display system-guard attack-record

【命令】

display system-guard attack-record

【视图】

任意视图

【参数】

【描述】

display system-guard attack-record命令用来显示防攻击记录信息。

【举例】

# 显示防攻击记录信息。

<Sysname> display system-guard attack-record

 Target No.  : 1

 Range       : 2

 Packet type : BOGUS

 Port        : 1

 MAC address : 00e0-fc00-0001

 IP address  : 10.10.10.10

 Alive time  : 6

表3-1 display system-guard attack-record命令显示信息描述表

字段

描述

Target No

攻击记录的编号

Range

对此攻击的控制范围

Packet type

攻击报文类型

Port

被攻击的端口号

MAC address

攻击报文的源mac地址

IP address

攻击报文的源ip地址

Alive time

对此类型攻击报文进行隔离的剩余时间

 

3.1.2  display system-guard state

【命令】

display system-guard state

【视图】

任意视图

【参数】

【描述】

display system-guard state命令用来显示防攻击状态信息。

相关配置可参考命令system-guard enablesystem-guard detect-thresholdsystem-guard timer-interval

【举例】

# 显示防攻击状态信息。

<Sysname> display system-guard state

 System-guard Status: Enabled

 Permitted Interfaces:

  Ethernet1/0/1  

 Detect Threshold: 201

 Isolated Time: 20

 Attack Number: 0   

表3-2 display system-guard state命令显示信息描述表

字段

描述

System-guard Status

防攻击特性使能状态

Permitted Interfaces

防攻击特性使能端口

Detect Threshold

系统防攻击检测报文数量的门限

Isolated Time

检测到攻击时的隔离时间

Attack Number

攻击次数统计

 

3.1.3  system-guard detect-threshold

【命令】

system-guard detect-threshold threshold-value

undo system-guard detect-threshold

【视图】

系统视图

【参数】

threshold-value:攻击检测报文数量的门限值,取值范围为20~10000。

【描述】

system-guard detect-threshold命令用来设置系统防攻击检测报文数量的门限,即也就是对同一种报文,当收到多少个报文时,进行一次防攻击统计。undo system-guard detect-threshold命令用来恢复系统防攻击检测报文数量的门限为缺省值。

缺省门限值是200个报文。

相关配置可参考命令display system-guard state

【举例】

# 设置系统防攻击检测报文数量的门限值为300。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname]system-guard detect-threshold 300 

3.1.4  system-guard enable

【命令】

system-guard enable

undo system-guard enable

【视图】

系统视图

【参数】

【描述】

system-guard enable命令用来使能系统防攻击功能。undo system-guard enable命令用来关闭系统防攻击功能。

缺省情况下,关闭系统防攻击功能。

相关配置可参考命令display system-guard state

【举例】

# 使能系统防攻击功能。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname]system-guard enable

 System-guard is enabled

3.1.5  system-guard permit

【命令】

system-guard permit interface-list

undo system-guard permit interface-list

【视图】

系统视图

【参数】

permit: 指定开启防攻击的端口。

interface-list:以太网端口列表,表示方式为interface-list = { interface-type interface-num [ to interface-type interface-num ] }&<1-10>。

l              interface-type为端口类型,interface-num为端口号。

l              关键字to表示指定一组连续的端口,to之后的端口号要大于或等于to之前的端口号。

l              &<1-10>表示前面的参数最多可以重复输入10次。

【描述】

system-guard permit命令用来指定开启防攻击的端口列表,交换机对这些端口进行定期检测,以便及时发现攻击端口。

undo system-guard permit命令用来取消指定开启防攻击的端口列表。

缺省情况下,没有开启防攻击特性的端口。

【举例】

# 设置防攻击端口列表为Ethernet 1/0/1~Ethernet 1/0/10。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname] system-guard permit Ethernet 1/0/1 to Ethernet 1/0/10

3.1.6  system-guard timer-interval

【命令】

system-guard timer-interval isolate-timer

undo system-guard timer-interval

【视图】

系统视图

【参数】

isolate-timer: 隔离时间,单位为分钟,取值范围1~10000。

【描述】

system-guard timer-interval命令用来设置当检测到攻击时的隔离时间。undo system-guard timer-interval命令用来恢复缺省的隔离时间。

缺省情况下,隔离时间为10分钟。

相关配置可参考命令display system-guard state

【举例】

# 设置当检测到攻击时的隔离时间为20分钟。

<Sysname> system-view

System View: return to User View with Ctrl+Z.

[Sysname]system-guard timer-interval 20

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们