802.1x配置命令

1、.目录? h3c s2126-ei 以太网交换机 命令手册 -release22xx系列 (v1.00)? 01- 命令行接口命令? 02- 登录交换机命令? 03- 配置文件管理命令? 04-vlan 命令? 05- 配置管理 vlan 命令? 06-ip 地址 -ip 性能命令? 07-gvrp 命令? 08- 端口基本配置命令? 09- 端口汇聚命令? 10- 端口隔离命令? 11- 端口安全命令? 12-mac 地址转发表管理命令? 13-mstp 命令? 14- 组播协议命令?15-802.1x及 system-guard命令? 16-aaa 命令? 17-mac 地址认证命令? 1

2、8-arp 命令? 19-dhcp 命令? 20-acl 命令? 21-qos 命令? 22- 镜像命令? 23-cluster 命令? 24-snmp-rmon 命令? 25-ntp 命令? 26-ssh 命令? 27- 文件系统管理命令? 28-ftp-sftp-tftp 命令? 29- 信息中心命令? 30- 系统维护与调试命令? 31-vlan-vpn 命令? 32-hwping 命令? 33-ipv6 管理命令? 34-lldp 命令? 35- 域名解析命令? 36-pki 命令? 37-ssl 命令.? 38-https 命令? 39- 附录、h3c s2126-ei以太网交换机命

3、令手册 -release22xx系列 (v1.00)本章节下载 (253.62 kb)15-802.1x 及 system-guard 命令目录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-u

4、ser1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 habp配置命令2.1

5、 habp配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令.3.1.1 display system-guard config3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit.1 802.1x 配置命令1.1802.1x

6、 配置命令1.1.1display dot1x【命令】display dot1x sessions| statistics interfaceinterface-list【视图】任意视图【参数】sessions：显示 802.1x 的会话连接信息。statistics：显示 802.1x 的相关统计信息。interface：显示指定端口的802.1x 相关信息。interface-list ： 以 太 网 端 口 列 表 ， 表 示 方 式 为 interface-list= interface-type interface-number to interface-type interface

7、-number & 。 其 中interface-type 为端口类型， interface-number 为端口号。 命令中 & 表示前面的参数最多可以重复输入 10 次。【描述】display dot1x 命令用来显示 802.1x 的相关信息，包括配置信息、运行情况（会话连接信息）以及相关统计信息等。如果在执行本命令的时候不指定端口，系统将显示交换机所有802.1x 相关信息。根据该命令的输出信息，可以帮助用户确认当前的802.1x 配置是否正确，并进一步有助于 802.1x 故障的诊断与排除。相关配置可参考命令reset dot1x statistics, dot1x, dot1x r

8、etry, dot1x max-user,dot1x port-control,dot1x port-method, dot1x timer。【举例】# 显示 802.1x 的相关信息。 display dot1xglobal 802.1x protocol is enabledchap authentication is enableddhcp-launch is disabledhandshake is enabledproxy trap checker is disabledproxy logoff checker is disabledead quick deploy is enabl

9、edconfiguration: transmit period30 s, handshake period15 sreauth period3600 s, reauth maxtimes2quiet period60 s, quiet period timer is disabledsupp timeout30 s, server timeout100 s.interval between version requests is 30smaximal request times for version information is 3the maximal retransmitting ti

10、mes2ead quick deploy configuration:url3free-ip acl-timeout30mtotal maximum 802.1x user resource number is 1024total current used 802.1x resource number is 1ethernet1/0/1 is link-up802.1x protocol is enabledproxy trap checker is disabledproxy logoff checker

11、is disabledversion-check is disabledthe port is an authenticatorauthentication mode is autoport control type is port-basedreauthenticate is disabledmax number of on-line users is 256authentication success: 4, failed: 2eapol packets: tx 7991, rx 14sent eap request/identity packets : 7981eap request/c

12、hallenge packets: 0received eapol start packets : 5eapol logoff packets: 1eap response/identity packets : 4eap response/challenge packets: 4error packets: 01. authenticated user : mac address: 000d-88f6-44c1 controlled user(s) amount to 1ethernet1/0/2（以下略）表 1-1 802.1x 配置信息描述表域名描述equipment 802.1x pro

13、tocol is enabled交换机 802.1x 特性已经开启chap authentication is enabled开启 chap认证dhcp-launch is disableddhcp 触发 802.1x 认证的功能处于关闭状态handshake is enabled在线用户握手功能开启是否检测通过代理登录用户的接入：proxy trap checker is disableddisable表示检测用户使用代理后，不发送trap 报文；enable表示检测用户使用代理后，发送trap 报文。是否检测通过代理登录用户的接入：proxy logoff checker is disab

14、leddisable表示检测用户使用代理后，不切断用户连接；enable表示检测用户使用代理后，切断用户连接。ead quick deploy is enabledead 快速部署功能开启transmit period发送间隔定时器handshake period802.1x 的握手报文的发送时间间隔reauth period重认证周期reauth maxtimes重认证最大次数.域名quiet periodquiet period timer is disabledsupp timeoutserver timeoutthe maximal retransmitting timesurlfre

15、e-ipacl-timeouttotal maximum 802.1x user resource numbertotal current used 802.1x resourcenumberethernet1/0/1 is link-down802.1x protocol is disabledproxy trap checker is disabledproxy logoff checker is disabledversion-check is disabledthe port is an authenticatorauthentication mode is autoport cont

16、rol type is mac-basedreauthenticate is disabledmax number of on-line users.描述静默定 器 置的静默 静默定 器状 ： disable 表示 于关 状 ； enable 表示 于开启状 supplicant 超 定 器authentication server超 定 器交 机可重复向接入用 送 求 的次数http 重定向的url可 的免 ip 网段acl 超 定 器最多可接入用 数当前在 接入用 数端口 ethernet 1/0/1的状 down 端口未开启802.1x 协议是否 通 代理登 用 的接入：disable

17、表示 用 使用代理后，不 送 trap 文； enable 表示 用 使用代理后， 送 trap 文。是否 通 代理登 用 的接入：disable 表示 用 使用代理后，不切断用 接； enable 表示 用 使用代理后，切断用 接。端口是否开启客 端版本 功能：disable 表示关 ；enable 表示开启。 端口担当authenticator作用端口接入控制的模式 auto端口接入控制方式 mac-based ，即基于 mac 地址 接入用 行认证端口的 802.1x 重 特性 于关 状 本端口最多可容 的接入用 数略1.1.2dot1x【命令】dot1x interfaceinterf

18、ace-listundo dot1x interfaceinterface-list.【视图】系统视图 /以太网端口视图【参数】interface-list ： 以 太 网 端 口 列 表 ， 表 示 方 式 为 interface-list= interface-type interface-number to interface-type interface-number & 。 其 中interface-type 为端口类型， interface-number 为端口号。 命令中 & 表示前面的参数最多可以重复输入 10 次。【描述】dot1x命令用来开启指定端口上或全局（即当前设备）的

19、802.1x 特性。 undo dot1x命令用来关闭指定端口上或全局的802.1x 特性。缺省情况下，所有端口及全局的802.1x 特性都处于关闭状态。在系统视图下使用该命令时，如果不输入interface-list参数，则表示开启全局的802.1x 特性；如果指定了 interface-list ，则表示开启指定端口的 802.1x 特性。在以太网端口视图下使用该命令时， 不能输入 interface-list 参数，仅用于打开当前端口的 802.1x 特性。全局 802.1x 特性开启后，必须再开启端口的802.1x 特性， 802.1x 的配置才能在端口上生效。如果端口启动了802.1

20、x ，则不能配置该端口的最大mac 地址学习个数；反之，如果端口配置了最大mac 地址学习个数，则禁止在该端口上启动802.1x 。如果端口启动了802.1x ，则不能配置该端口加入汇聚组。反之，如果该端口已经加入到某个汇聚组中，则禁止在该端口上启动802.1x 。相关配置可参考命令display dot1x。【举例】# 开启以太网端口ethernet 1/0/1上的 802.1x 特性。 system-viewsystem view: return to user view with ctrl+z.sysname dot1x interface ethernet 1/0/1# 开启全局的 8

21、02.1x 特性。 system-viewsystem view: return to user view with ctrl+z.sysname dot1x1.1.3dot1x authentication-method【命令】dot1x authentication-method chap| pap | eap undo dot1x authentication-method【视图】.系统视图【参数】chap ：采用 chap 认证方式。pap ：采用 pap 认证方式。eap ：采用 eap 认证方式。【描述】dot1x authentication-method命令用来设置802.1x

22、用户的认证方法。 undo dot1xauthentication-method命令用来恢复802.1x 用户的缺省认证方法。缺省情况下， 802.1x用户认证方法为 chap 认证。pap （ password authentication protocol）是一种两次握手认证协议，它采用明文方式传送口令。chap （ challenge handshake authentication protocol）是一种三次握手认证协议，它只在网络上传输用户名，而并不传输口令。相比之下， chap 认证保密性较好， 更为安全可靠。eap 认证功能，意味着交换机直接把802.1x用户的认证信息以eap

23、 报文发送给radius服务器完成认证， 而无须将 eap 报文转换成标准的 radius 报文后再发给radius服务器来完成认证。如果要采用peap 、 eap-tls 、 eap-ttls 或者eap-md5这四种认证方法之一，只需启动eap 认证即可。相关配置可参考命令display dot1x 。当采用设备本身作为认证服务器时，802.1x 用户的认证方法，不可以配置为eap 方式。【举例】# 设置交换机采用 pap 认证。 system-viewsystem view: return to user view with ctrl+z.sysname dot1x authentica

24、tion-method pap1.1.4dot1x dhcp-launch【命令】dot1x dhcp-launchundo dot1x dhcp-launch【视图】系统视图【参数】无.【描述】dot1xdhcp-launch命令用来设置802.1x允许以太网交换机在接入用户运行dhcp 、申请动态令用来取消 dhcp 缺省情况下，不允许相关配置可参考命令ip 地址时就触发对其的身份认证。 undo dot1x dhcp-launch 命触发对接入用户的身份认证。dhcp 触发对接入用户的身份认证。display dot1x。【举例】# 允许在接入用户运行 dhcp 、申请动态 ip 地址时

25、就触发对其的身份认证。 system-viewsystem view: return to user view with ctrl+z.sysname dot1x dhcp-launch1.1.5dot1x guest-vlan【命令】dot1x guest-vlanvlan-id interfaceinterface-listundo dot1x guest-vlan interfaceinterface-list【视图】系统视图 /以太网端口视图【参数】vlan-id ： guest vlan的 vlan id ，取值范围为1 4094 。interface-list ： 以 太 网 端

26、口 列 表 ， 表 示 方 式 为 interface-list= interface-type interface-number to interface-type interface-number & 。 其 中interface-type 为端口类型， interface-number 为端口号。 命令中 & 表示前面的参数最多可以重复输入 10 次。【描述】dot1x guest-vlan 命令用来开启端口的 guest vlan 功能。 undo dot1x guest-vlan 命令用来关闭 guest vlan 功能。guest vlan的功能开启后：交 换 机 将 在 所 有

27、开 启802.1x功 能 的 端 口 发 送 触 发 认 证 报 文（ eap-request/identity），如果达到最大发送次数后，端口尚未返回响应报文，则交换机将该端口加入到guest vlan中；之后属于该guest vlan中的用户访问该guest vlan中的资源时， 不需要进行 802.1x 认证，但访问外部的资源时仍需要进行认证。在系统视图下使用该命令时：如果不输入 interface-list 参数，则表示开启所有端口的 guest vlan 功能；如果指定了 interface-list ，则表示开启指定端口的 guest vlan 功能。.在以太网端口视图下使用该命令

28、时，不能输入interface-list参数， 仅能打开当前端口的 guest vlan 功能。只有在端口认证方式下，交换机才可以支持guest vlan功能；一台交换机只能配置一个guest vlan ；当交换机配置为dot1x dhcp-launch方式时，因为该方式下交换机不发送主动认证报文， guest vlan功能不能实现。【举例】# 设置认证方式为基于端口的方式。 system-viewsystem view: return to user view with ctrl+z.sysname dot1x port-method portbased# 开启所有端口的 guest vlan 功能。sysname dot1x guest-vlan 11.1.6dot1x handshake【命令】dot1x handshake enableundo dot1x handshake enable【视图】系统视图【参数】无【描述】do