H3C dot1x配置.doc

目 录1 802.1x配置. 1-11.1 802.1x简介. 1-11.1.1 802.1x的体系结构. 1-11.1.2 802.1x的工作机制. 1-21.1.3 EAPOL消息的封装. 1-31.1.4 802.1x的认证过程. 1-51.1.5 802.1x的定时器. 1-81.1.6 802.1x在S3100-52P交换机上的实现. 1-81.2 802.1x配置简介. 1-111.3 配置802.1x基本功能. 1-111.3.1 配置准备. 1-111.3.2 配置802.1x基本功能. 1-121.3.3 配置802.1x的定时器及接入用户的最大数目. 1-131.4 配置802.1x的应用特性. 1-141.4.1 配置代理用户检测功能. 1-141.4.2 配置客户端版本检测功能. 1-151.4.3 配置允许DHCP触发认证. 1-151.4.4 配置Guest VLAN功能. 1-151.4.5 配置802.1x重认证功能. 1-161.4.6 配置802.1x重认证定时器. 1-161.5 802.1x显示和维护. 1-171.6 典型配置举例. 1-171.6.1 802.1x典型配置举例. 1-172 EAD快速部署配置. 2-12.1 EAD快速部署特性简介. 2-12.1.1 概述. 2-12.1.2 实现机制. 2-12.2 EAD快速部署功能配置. 2-12.2.1 配置准备. 2-12.2.2 配置过程. 2-12.2.3 EAD快速部署显示. 2-22.3 EAD快速部署功能配置举例. 2-32.4 常见故障诊断与排除. 2-43 HABP特性配置. 3-13.1 HABP特性简介. 3-13.2 配置HABP Server 3-13.3 配置HABP Client 3-13.4 HABP显示. 3-24 system-guard配置操作. 4-14.1 system-guard简介. 4-14.1.1 IP防攻击. 4-14.1.2 TCN防攻击. 4-14.1.3 三层错误报文防攻击. 4-14.1.4 CPU保护功能. 4-14.2 system-guard防攻击配置. 4-14.2.1 system-guard IP防攻击配置. 4-14.2.2 system-guard TCN防攻击配置. 4-24.2.3 三层错误报文防攻击. 4-24.2.4 CPU保护功能配置. 4-34.3 system-guard显示与调试. 4-31 802.1x配置1.1 802.1x简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1x协议。后来，802.1x协议作为局域网端口的一个普通接入控制机制应用于以太网中，主要解决以太网内认证和安全方面的问题。802.1x协议是一种基于端口的网络接入控制（Port Based Network Access Control）协议。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。1.1.1 802.1x的体系结构使用802.1x的系统为典型的Client/Server体系结构，包括三个实体，如图1-1所示分别为：Supplicant System（客户端）、Authenticator System（设备端）以及Authentication Server System（认证服务器）。图1-1 802.1x认证系统的体系结构l 客户端是位于局域网段一端的一个实体，由该链路另一端的设备端对其进行认证。客户端一般为用户终端设备，用户通过启动客户端软件发起802.1x认证。客户端软件必须支持EAPOL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）协议。l 设备端是位于局域网段一端的另一个实体，用于对所连接的客户端进行认证。设备端通常为支持802.1x协议的网络设备（如H3C系列交换机），它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。l 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费，通常为RADIUS服务器。该服务器可以存储用户的相关信息，例如用户的账号、密码以及用户所属的VLAN、优先级、用户的访问控制列表等。三个实体涉及如下四个基本概念：PAE、受控端口、受控方向和端口受控方式。1. PAE（Port Access Entity，端口访问实体）PAE是认证机制中负责执行算法和协议操作的实体。l 设备端PAE利用认证服务器对需要接入局域网的客户端执行认证，并根据认证结果相应地对受控端口的授权/非授权状态进行相应地控制。l 客户端PAE负责响应设备端的认证请求，向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。2. 受控端口设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚端口：受控端口和非受控端口。l 非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接受认证。l 受控端口在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开状态，禁止传递任何报文。l 受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧，在受控端口与非受控端口上均可见。3. 受控方向在非授权状态下，受控端口可以被设置成单向受控：实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。缺省情况下，受控端口实行单向受控。4. 端口受控方式H3C系列交换机支持以下两种端口受控方式：l 基于端口的认证：只要该物理端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，当第一个用户下线后，其他用户也会被拒绝使用网络。l 基于MAC地址认证：该物理端口下的所有接入用户都需要单独认证，当某个用户下线时，只有该用户无法使用网络，不会影响其他用户使用网络资源。1.1.2 802.1x的工作机制IEEE 802.1x认证系统利用EAP（Extensible Authentication Protocol，可扩展认证协议）协议，在客户端和认证服务器之间交换认证信息。图1-2 802.1x认证系统的工作机制l 在客户端PAE与设备端PAE之间，EAP协议报文使用EAPOL封装格式，直接承载于LAN环境中。l 在设备端PAE与RADIUS服务器之间，EAP协议报文可以使用EAPOR（EAP over RADIUS）封装格式，承载于RADIUS协议中；也可以由设备端PAE进行终结，而在设备端PAE与RADIUS服务器之间传送PAP协议报文或CHAP协议报文。l 当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE根据RADIUS服务器的指示（Accept或Reject）决定受控端口的授权/非授权状态。1.1.3 EAPOL消息的封装1. EAPOL数据包的格式EAPOL是802.1x协议定义的一种报文封装格式，主要用于在客户端和设备端之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。格式如图1-3所示。图1-3 EAPOL数据包格式PAE Ethernet Type：表示协议类型，802.1x分配的协议类型为0x888E。Protocol Version：表示EAPOL帧的发送方所支持的协议版本号。Type：l EAP-Packet（值为00），认证信息帧，用于承载认证信息；l EAPOL-Start（值为01），认证发起帧；l EAPOL-Logoff（值为02），退出请求帧；l EAPOL-Key（值为03），密钥信息帧；l EAPOL-Encapsulated-ASF-Alert（值为04），用于支持ASF（Alerting Standards Forum）的Alerting消息。Length：表示数据长度，也就是“Packet Body”字段的长度。如果为0，则表示没有后面的数据域。Packet Body：根据不同的Type有不同的格式。其中，EAPOL-Start，EAPOL-Logoff和EAPOL-Key仅在客户端和设备端之间存在；在设备端和认证服务器之间，EAP-Packet报文重新封装承载于RADIUS协议上，以便穿越复杂的网络到达认证服务器；EAPOL-Encapsulated-ASF-Alert封装与网管相关的信息，例如各种警告信息，由设备端终结。2. EAP数据包的格式当EAPOL数据包的Type域为EAP-Packet时，Packet Body为EAP数据包内容，如图1-4所示。图1-4 EAP数据包格式Code：指明EAP包的类型，一共有4种：Request，Response，Success，Failure。Identifier：辅助进行Response和Request消息的匹配。Length：EAP包的长度，包含Code、Identifier、Length和Data的全部内容。Data：EAP数据信息，内容格式由Code决定。Success和Failure类型的包没有Data域，相应的Length域的值为4。Request和Response类型的Data域的格式如图1-5所示。图1-5 Request和Response类型的Data域的格式Type：指出EAP的认证类型。其中，值为1时，代表Identity，用来查询对方的身份；值为4时，代表MD5-Challenge，类似于PPP CHAP协议，包含质询消息。Type Data：Type Data域的内容随不同类型的Request和Response而不同。3. EAP属性的封装RADIUS为支持EAP认证增加了两个属性：EAP-Message（EAP消息）和Message-Authenticator（消息认证码）。RADIUS协议的报文格式请参见“AAA操作手册”中的RADIUS协议简介部分。EAP-Message属性用来封装EAP数据包，如图1-6所示，类型代码为79，string域最长为253字节，如果EAP数据包长度大于253字节，可以对其进行分片，依次封装在多个EAP-Message属性中。图1-6 EAP-Message属性封装Message-Authenticator可以用于在使用CHAP、EAP等认证方法的过程中，避免接入请求包被窃听。在含有EAP-Message属性的数据包中，必须同时包含Message-Authenticator，否则该数据包会被认为无效而被丢弃。格式如图1-7所示。图1-7 Message-Authenticator属性1.1.4 802.1x的认证过程H3C S3100-52P交换机支持EAP终结方式和EAP中继方式进行认证。1. EAP中继方式这种方式是IEEE 802.1x标准规定的，将EAP协议承载在其他高层协议中，如EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说，EAP中继方式需要RADIUS服务器支持EAP属性：EAP-Message（值为79）和Message-Authenticator（值为80）。EAP中继方式有四种认证方法：EAP-MD5、EAP-TLS（Transport Layer Security，传输层安全）、EAP-TTLS（Tunneled Transport Layer Security，隧道传输层安全）和PEAP（Protected Extensible Authentication Protocol，受保护的扩展认证协议）：l EAP-MD5：验证客户端的身份，RADIUS服务器发送MD5加密字（EAP-Request/MD5 Challenge报文）给客户端，客户端用该加密字对口令部分进行加密处理。l EAP-TLS：客户端和RADIUS服务器端通过EAP-TLS认证方法检查彼此的安全证书，验证对方身份，保证通信目的端的正确性，防止网络数据被窃听。l EAP-TTLS：是对EAP-TLS的一种扩展。在EAP TLS中，实现对客户端和认证服务器的双向认证。EAP-TTLS扩展了这种实现，它使用TLS建立起来的安全隧道传递信息。l PEAP：首先创建和使用TLS安全通道来进行完整性保护，然后进行新的EAP协商，从而完成对客户端的身份验证。以下以EAP-MD5方式为例介绍基本业务流程，如图1-8所示。图1-8 IEEE 802.1x认证系统的EAP中继方式业务流程认证过程如下：l 当用户有上网需求时打开802.1x客户端，输入已经申请、登记过的用户名和口令，发起连接请求（EAPOL-Start报文）。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。l 交换机收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求用户的客户端程序发送输入的用户名。l 客户端程序响应交换机发出的请求，将用户名信息通过数据帧（EAP-Response/Identity报文）送给交换机。交换机将客户端送上来的数据帧经过封包处理后（RADIUS Access-Request报文）送给RADIUS服务器进行处理。l RADIUS服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过RADIUS Access-Challenge报文传送给交换机，由交换机传给客户端程序。l 客户端程序收到由交换机传来的加密字（EAP-Request/MD5 Challenge报文）后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的，生成EAP-Response/MD5 Challenge报文），并通过交换机传给RADIUS服务器。l RADIUS服务器将加密后的口令信息（RADIUS Access-Request报文）和自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息（RADIUS Access-Accept报文和EAP-Success报文）。l 交换机将端口状态改为授权状态，允许用户通过该端口访问网络。l 客户端也可以发送EAPoL-Logoff报文给交换机，主动终止已认证状态，交换机将端口状态从授权状态改变成未授权状态。由于EAP中继方式对报文的内容不做改动，如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一，需要在客户端和RADIUS服务器上选择一致的认证方法，而在交换机上，只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。2. EAP终结方式这种方式将EAP报文在设备端终结并映射到RADIUS报文中，利用标准RADIUS协议完成认证和计费。对于EAP终结方式，交换机与RADIUS服务器之间可以采用PAP或者CHAP认证方法。以下以CHAP认证方法为例介绍基本业务流程，如下图所示。图1-9 IEEE 802.1x认证系统的EAP终结方式业务流程EAP终结方式与EAP中继方式的认证流程相比，不同之处在于用来对用户口令信息进行加密处理的随机加密字由交换机生成，之后交换机会把用户名、随机加密字和客户端加密后的口令信息一起送给RADIUS服务器，进行相关的认证处理。1.1.5 802.1x的定时器802.1x认证过程中会启动多个定时器以控制接入用户、交换机以及RADIUS服务器之间进行合理、有序的交互。802.1x的定时器主要有以下几种：l 握手定时器（handshake-period）：此定时器是在用户认证成功后启动的，交换机以此间隔为周期发送握手请求报文，以定期检测用户的在线情况。如果重试一定次数后仍然没有收到客户端的响应报文，就认为用户已经下线。用户可以使用dot1x retry命令配置最大发送次数。l 静默定时器（quiet-period）：对用户认证失败以后，交换机需要静默一段时间（该时间由静默定时器设置）后，用户可以再重新发起认证，在静默期间，交换机不进行该用户的802.1x认证相关处理。l 重认证定时器（reauth-period）：每隔该定时器设置的时长，交换机会定期发起802.1x重认证。l RADIUS服务器超时定时器（server-timeout）：若在该定时器设置的时长内，RADIUS服务器未成功响应，交换机将向RADIUS服务器重发认证请求报文。l 客户端认证超时定时器（supp-timeout）：当交换机向客户端发送了Request/Challenge请求报文后，交换机启动此定时器，若在该定时器设置的时长内，设备端没有收到客户端的响应，交换机将重发该报文。l 传送超时定时器（tx-period）：以下两种情况交换机启动tx-period定时器：其一是在客户端主动发起认证的情况下，当交换机向客户端发送单播Request/Identity请求报文后，交换机启动该定时器，若在该定时器设置的时长内，交换机没有收到客户端的响应，则交换机将重发认证请求报文；其二是为了对不支持主动发起认证的802.1x客户端进行认证，交换机会在启动802.1x功能的端口不停地发送组播Request/Identity报文，发送的间隔为tx-period。l ver-period：客户端版本请求超时定时器。若在该定时器设置的时长内，客户端设备未成功发送版本应答报文，则交换机将重发版本请求报文。1.1.6 802.1x在S3100-52P交换机上的实现S3100-52P交换机除了支持前面所述的802.1x特性外，还支持如下特性：l 与CAMS服务器配合，实现检测客户端功能（检测使用代理登录、用户使用多网卡等）；l 客户端版本检测功能；l Guest VLAN功能。CAMS服务器是H3C公司提供的业务管理系统，支持与交换机等网络产品共同组网，完成终端用户的认证、授权、计费和权限管理等功能，实现网络的可管理、可运营，保证网络和用户信息的安全。1. 代理用户检测交换机的802.1x代理用户检测特性包括：l 检测使用代理服务器登录的用户；l 检测使用IE代理服务器登录的用户；l 检测用户是否使用多网卡（即用户登录时，其PC上处于激活状态的网卡超过一个）。当交换机发现以上任意一种情况时，可以采取以下控制措施：l 只切断用户连接，不发送Trap报文；l 只发送Trap报文，不切断用户连接。此功能的实现需要802.1x客户端和CAMS的配合：l 802.1x客户端需要具备检测用户是否使用多网卡、代理服务器或者IE代理服务器功能；l CAMS上开启认证客户端禁用多网卡、禁用代理服务器或者禁用IE代理服务器功能。802.1x客户端默认关闭防止使用多网卡、代理服务器或IE代理服务器功能，如果CAMS打开防多网卡、代理或IE代理功能，则在用户认证成功时，CAMS会下发属性通知802.1x客户端打开防多网卡、代理或IE代理功能。l 该功能的实现需要H3C 802.1x客户端程序（iNode）的配合。l 对于检测通过代理登录的用户功能，需要在CAMS上也启用该功能，同时需要在交换机上启用客户端版本检测功能（通过命令dot1x version-check配置）。2. 客户端版本检测在交换机上启动了对802.1x客户端的版本验证功能后，交换机会对接入用户的802.1x客户端软件的版本和合法性进行验证，以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。启用客户端版本检测功能后，如果在客户端版本检测定时器设置的时长内，客户端未成功发送版本应答报文，则交换机将重发版本请求报文。该功能的实现需要H3C 802.1x客户端程序（iNode）的配合。3. Guest VLAN功能Guest VLAN功能用来允许未认证用户访问某些特定资源。在实际应用中，如果用户在没有安装802.1x客户端的情况下，需要访问某些资源；或者在用户未认证的情况下升级802.1x客户端，这些情况可以通过开启Guest VLAN功能来解决。Guest VLAN的功能开启后：l 交换机将在所有开启802.1x功能的端口发送触发认证报文（EAP-Request/Identity），如果达到最大发送次数后，仍有端口尚未返回响应报文，则交换机将该端口加入到Guest VLAN中；l 之后属于该Guest VLAN中的用户访问该Guest VLAN中的资源时，不需要进行802.1x认证，但访问外部的资源时仍需要进行认证。通常，Guest VLAN功能与动态VLAN下发功能配合使用。动态VLAN下发功能的具体介绍，请参见“AAA操作手册”中的配置部分。4. 配置802.1x重认证功能802.1x重认证是通过定时器或报文触发，对已经认证成功的用户进行一次重新认证。通过启用802.1x重认证功能，交换机可以定时检测用户的连接状况。当发现接入用户在一定时间内未响应重认证报文，则切断与该用户的连接。若用户希望再次连接，则必须通过客户端软件重新发起802.1x认证。l 重认证时交换机上会进行完整的认证过程，将认证的用户名及其密码上传给认证服务器进行认证，但不同的服务器对重认证的处理策略有所不同，部分服务器会进行用户名密码的校验，部分服务器只是把重认证作为计费和检查用户连接状况的手段，不进行用户名密码的校验。l 当认证服务器为CAMS时，PAP和CHAP认证方式下重认证时服务器不进行用户名、密码校验，EAP认证方式下重认证时进行用户名、密码校验。图1-10 802.1x重认证功能示意图802.1x重认证功能的开启方式有如下两种：l RADIUS服务器触发交换机对接入用户的802.1x重认证：RADIUS服务器向交换机发送Termination-Action属性字段为1的Access-Accept报文，交换机收到此报文后会对接入的用户进行周期性的重新认证。l 交换机上配置对接入用户的802.1x重认证：用户在交换机上启用802.1x重认证功能后，交换机则会对接入的用户进行周期性的重新认证。在使用CAMS作为认证服务器时，由于CAMS只有对认证用户开始计费时才建立用户会话，当配置CAMS服务器对用户只认证不计费时，802.1x重认证将无法成功。因此，当要启用802.1x重认证时，不能在domain中配置accounting none。而其他服务器无此限制。1.2 802.1x配置简介802.1x提供了一个用户身份认证的实现方案，为了实现此方案，除了配置802.1x相关命令外，还需要在交换机上配置AAA方案，选择使用RADIUS或本地认证方案，以配合802.1x完成用户身份认证。图1-11 802.1x配置示意图l 802.1x用户通过域名和交换机上配置的ISP域相关联。l 配置ISP域使用的AAA方案，包括本地认证方案、RADIUS方案。l 如果是需要本地认证，则需要在交换机上手动添加认证的用户名和密码，当用户使用和交换机中记录相同的用户名和密码，启动802.1x客户端软件进行认证时，就可以通过认证。l 如果采用RADIUS方案，通过远端的RADIUS服务器进行认证，则需要在RADIUS服务器上配置相应的用户名和密码，然后在交换机上进行RADIUS客户端的相关设置。l 也可以配置交换机先采用RADIUS方案，通过RADIUS服务器进行认证，如果RADIUS服务器无效，则使用本地认证。AAA方案的具体配置细节，请参见“AAA操作手册”中的配置部分。1.3 配置802.1x基本功能1.3.1 配置准备l 配置ISP域及其使用的AAA方案，选择使用RADIUS或者本地认证方案，以配合802.1x完成用户的身份认证。l 配置本地认证时，本地用户的服务类型（service-type）必须配置为lan-access。1.3.2 配置802.1x基本功能表1-1 配置802.1x基本功能操作命令说明进入系统视图system-view-开启全局的802.1x特性dot1x必选缺省情况下，全局的802.1x特性为关闭状态开启端口的802.1x特性系统视图下dot1x interface interface-list 必选缺省情况下，端口的802.1x特性均为关闭状态端口视图下interface interface-type interface-numberdot1xquit设置端口接入控制的模式系统视图下dot1x port-control authorized-force | unauthorized-force | auto interface interface-list 可选缺省情况下，802.1x在端口上进行接入控制的模式为auto端口视图下interface interface-type interface-numberdot1x port-control authorized-force | unauthorized-force | auto quit设置端口接入控制方式系统视图下dot1x port-method macbased | portbased interface interface-list 可选缺省情况下，802.1x在端口上进行接入控制方式为macbased，即基于MAC地址进行认证端口视图下interface interface-type interface-numberdot1x port-method macbased | portbased quit设置802.1x用户的认证方法dot1x authentication-method chap | pap | eap 可选缺省情况下，交换机采用EAP终结方式的CHAP认证方法开启在线用户握手功能dot1x handshake enable可选缺省情况下，开启在线用户握手功能进入以太网端口视图interface interface-type interface-number-开启握手报文的安全扩展功能dot1x handshake secure可选缺省情况下，关闭握手报文的安全扩展功能l 必须同时开启全局和端口的802.1x特性后，802.1x的配置才能生效。l 如果端口启动了802.1x，则不能配置该端口的最大MAC地址学习个数；反之，如果端口配置了最大MAC地址学习个数，则禁止在该端口上启动802.1x。l 如果端口启动了802.1x，则不能配置该端口加入汇聚组。反之，如果该端口已经加入到某个汇聚组中，则禁止在该端口上启动802.1x。l 802.1x用户在线时，如果通过dot1x port-method命令更改端口接入控制方式，则在线用户会被强制下线。l 当采用设备本身作为认证服务器时，802.1x用户的认证方法，不可以配置为EAP方式。l 握手报文的发送需要H3C私有客户端的支持，用以探测用户是否在线。对于非H3C客户端，由于不支持握手功能，在握手周期内交换机不会收到握手回应报文。因此需要将在线用户握手功能关闭，以防止错误地认为用户下线。l 握手报文的安全扩展功能需要支持此功能的客户端与认证服务器配合才能正常使用，若客户端或者认证服务器不支持握手报文的安全扩展功能，则需要关闭此功能。1.3.3 配置802.1x的定时器及接入用户的最大数目表1-2 配置802.1x的定时器及接入用户的最大数目操作命令说明进入系统视图system-view-设置端口同时接入用户数量的最大值系统视图下dot1x max-user user-number interface interface-list 可选缺省情况下，所有的端口上都允许同时最多有256个接入用户端口视图下interface interface-type interface-numberdot1x max-user user-numberquit设置允许认证请求帧的最大发送次数dot1x retry max-retry-value可选缺省情况下，max-retry-value为2，即设备最多可向接入用户发送2次认证请求帧配置定时器参数dot1x timer handshake-period handshake-period-value | quiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | ver-period ver-period-value 可选缺省情况下，handshake-period-value为15秒，quiet-period-value为60秒server-timeout-value为100秒supp-timeout-value为30秒，tx-period-value为30秒， ver-period-value为30秒开启静默定时器dot1x quiet-period可选缺省情况下，静默定时器处于关闭状态l dot1x max-user命令还可以在端口视图下进行配置。在系统视图下，当没有指定任何确定的端口时，是对所有端口进行相关配置。在端口视图下使用此命令时，不能输入interface-list参数，仅对当前端口进行配置。l 一般情况下，建议保持802.1x定时器的缺省值。1.4 配置802.1x的应用特性802.1x的应用特性的各项配置都是可选的，包括如下配置任务：l 配置802.1x与CAMS配合应用的特性：检测客户端使用多网卡、代理等；l 配置客户端版本检测功能；l 配置允许DHCP触发认证；l 配置Guest VLAN功能；l 配置802.1x重认证功能；l 配置802.1x重认证的超时定时器。在配置802.1x的应用特性前，请首先完成802.1x的基本功能配置。1.4.1 配置代理用户检测功能表1-3 配置代理用户检测功能操作命令说明进入系统视图system-view-开启全局的代理检测功能dot1x supp-proxy-check logoff | trap 必选缺省情况下，全局的802.1x代理检测特性都处于关闭状态开启端口的代理检测功能系统视图下dot1x supp-proxy-check logoff | trap interface interface-list 必选缺省情况下，端口的802.1x代理检测特性都处于关闭状态端口视图下interface interface-type interface-numberdot1x supp-proxy-check logoff | trap quitl 该功能的实现需要H3C 802.1x客户端程序（iNode）的配合。l 802.1x的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前，必须先开启在线用户握手功能。l 对于检测通过代理登录的用户功能，需要在CAMS上也启用该功能，同时需要在交换机上启用客户端版本检测功能（通过命令dot1x version-check配置）。1.4.2 配置客户端版本检测功能表1-4 配置客户端版本检测功能操作命令说明进入系统视图system-view-启动对802.1x客户端的版本验证功能系统视图下dot1x version-check interface interface-list 必选缺省情况下，所有端口的802.1x客户端版本检测特性都处于关闭状态端口视图下interface interface-type interface-numberdot1x version-checkquit设置交换机向客户端发送版本验证请求帧的最大次数dot1x retry-version-max max-retry-version-value可选缺省情况下，可重复向客户端发送版本请求帧的最大次数为3次配置版本验证的超时定时器dot1x timer ver-period ver-period-value可选缺省情况下，版本验证的超时定时器为30秒dot1x version-check命令还可以在端口视图下进行配置。在系统视图下，当没有指定任何确定的端口时，是对所有端口进行相关配置。在端口视图下使用此命令时，不能输入interface-list参数，仅对当前端口进行配置。1.4.3 配置允许DHCP触发认证通过如下配置，802.1x允许设备在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。表1-5 配置检测用户配置静态IP地址功能操作命令说明进入系统视图system-view-允许DHCP触发认证dot1x dhcp-launch必选缺省情况下，不允许DHCP触发对接入用户的身份认证1.4.4 配置Guest VLAN功能表1-6 配置Guest VLAN功能操作命令说明进入系统视图system-view-设置端口接入控制方式dot1x port-method portbased必选缺省情况下，802.1x在端口上进行接入控制方式为基于MAC地址进行认证开启Guest VLAN功能系统视图下dot1x guest-vlan vlan-id interface interface-list 必选缺省情况下，Guest VLAN功能处于关闭状态端口视图下interface interface-type interface-numberdot1x guest-vlan vlan-idquitl 只有在端口认证方式下，交换机才可以支持Guest VLAN功能。l 一台交换机只能配置一个Guest VLAN。l 当交换机配置为dot1x dhcp-launch方式时，因为该方式下交换机不发送主动认证报文，Guest VLAN功能不能实现。1.4.5 配置802.1x重认证功能表1-7 启用802.1x用户重认证功能操作命令说明进入系统视图system-view-启用802.1x用户重认证功能系统视图下dot1x re-authenticate interface interface-list 必选缺省情况下，所有端口的802.1x重认证功能均处于关闭状态端口视图下dot1x re-authenticatel 在启动端口802.1x重认证功能之前，必须开启全局802.1x功能和该端口的802.1x功能。l 重认证时交换机上会进行完整的认证过程，将认证的用户名及其密码上传给认证服务器进行认证，但不同的服务器对重认证的处理策略有所不同，部分服务器会进行用户名密码的校验，部分服务器只是把重认证作为计费和检查用户连接状况的手段，不进行用户名密码的校验。l 当认证服务器为CAMS时，PAP和CHAP认证方式下重认证时服务器不进行用户名、密码校验，EAP认证方式下重认证时进行用户名、密码校验。1.4.6 配置802.1x重认证定时器交换机启用重认证功能后，通过以下两种方式可以确定重认证周期时间：(1) 交换机以RADIUS服务器下发的Access-Accept报文中Session-timeout属性字段的取值，作为重认证周期。(2) 交换机以dot1x timer reauth-period命令设置的值，作为接入用户的重认证周期。需要注意的是：在重认证过程中，无论采用上述哪种方式确定802.1x重认证周期时间，交换机只采用最后一次设定的重认证周期。例如，用户在交换机上配置了重认证的周期后，交换机又收到了Termination-Action属性字段为1的Access-Accept报文，则交换机将按照Access-Accept报文中的Session-timeout属性字段的取值作为最终的重认证周期。下面给出在交换机上进行配置的过程。表1-8 配置定时器的超时时长操作命令说明进入系统视图system-view-配置重认证定时器的时长dot1x timer reauth-period reauth-period-value可选缺省情况下，重认证定时器的值为3600秒1.5 802.1x显示和维护在完成上述配置后，在任意视图下执行display命令可以显示配置802.1x后的运行情况，通过查看显示信息验证配置的效果。在用户视图下，执行reset命令可以清除802.1x的统计信息。表1-9 802.1x配置的显示和维护操作命令说明显示802.1x的配置信息、运行情况和统计信息display dot1x sessions | statistics interface interface-list display命令可以在任意视图下执行清除802.1x的统计信息reset dot1x statistics interface interface-list reset命令在用户视图下执行1.6 典型配置举例1.6.1 802.1x典型配置举例1. 组网需求l 要求在各端口上对用户接入进行认证，以控制其访问Internet；接入控制模式要求是基于MAC地址的接入控制。l 所有接入用户都属于一个缺省的域：，该域最多可容纳30个用户；认证时，先进行RADIUS认证，如果RADIUS服务器没有响应再转而进行本地认证；计费时，如果RADIUS计费失败则切断用户连接使其下线；此外，接入时在用户名后不添加域名，正常连接时如果用户有超过20分钟流量持续小于2000Bytes的情况则切断其连接。l 由两台RADIUS服务器组成的服务器组与交换机相连，其IP地址分别为和，前者作为主认证/备份计费服务器，后者作为备份认证/主计费服务器；设置系统与认证RADIUS服务器交互报文时的加密密码为“name”、与计费RADIUS服务器交互报文时的加密密码“money”，设置系统在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文，重复发送报文的次数总共为5次，设置系统每15分钟就向RADIUS服务器发送一次实时计费报文，指示系统从用户名中去除用户域名后再将之传给RADIUS服务器。l 本地802.1x接入用户的用户名为localuser，密码为localpass，使用明文输入，闲置切断功能处于打开状态。2. 组网图图1-12 启动802.1x和RAD