8021x配置命令Word文档下载推荐.docx

8021x配置命令Word文档下载推荐.docx

《8021x配置命令Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《8021x配置命令Word文档下载推荐.docx（16页珍藏版）》请在冰豆网上搜索。

∙32-HWPing命令

∙33-IPv6管理命令

∙34-LLDP命令

∙35-域名解析命令

∙36-PKI命令

∙37-SSL命令

∙38-HTTPS命令

∙39-附录

、H3CS2126-EI以太网交换机命令手册-Release22XX系列（V1.00）

本章节下载（253.62KB）

15-802.1x及System-Guard命令

目 

录

1802.1x配置命令...1-1

1.1802.1x配置命令..1-1

1.1.1displaydot1x.1-1

1.1.2dot1x.1-4

1.1.3dot1xauthentication-method.1-5

1.1.4dot1xdhcp-launch.1-5

1.1.5dot1xguest-vlan.1-6

1.1.6dot1xhandshake.1-7

1.1.7dot1xhandshakesecure.1-8

1.1.8dot1xmandatory-domain.1-8

1.1.9dot1xmax-user1-9

1.1.10dot1xport-control1-10

1.1.11dot1xport-method.1-10

1.1.12dot1xquiet-period.1-11

1.1.13dot1xretry.1-12

1.1.14dot1xretry-version-max.1-13

1.1.15dot1xre-authenticate.1-13

1.1.16dot1xsupp-proxy-check.1-14

1.1.17dot1xtimer1-15

1.1.18dot1xtimerreauth-period.1-17

1.1.19dot1xversion-check.1-17

1.1.20resetdot1xstatistics.1-18

2HABP配置命令...2-1

2.1HABP配置命令..2-1

2.1.1displayhabp.2-1

2.1.2displayhabptable.2-1

2.1.3displayhabptraffic.2-2

2.1.4habpenable.2-3

2.1.5habpservervlan.2-3

2.1.6habptimer2-4

3system-guard配置命令...3-1

3.1system-guard配置命令..3-1

3.1.1displaysystem-guardconfig.3-1

3.1.2system-guardenable.3-1

3.1.3system-guardmode.3-2

3.1.4system-guardpermit3-2

1802.1x配置命令

1.1 

802.1x配置命令

1.1.1 

displaydot1x

【命令】

displaydot1x[sessions|statistics][interfaceinterface-list]

【视图】

任意视图

【参数】

sessions：

显示802.1x的会话连接信息。

statistics：

显示802.1x的相关统计信息。

interface：

显示指定端口的802.1x相关信息。

interface-list：

以太网端口列表，表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&

<

1-10>

。

其中interface-type为端口类型，interface-number为端口号。

命令中&

表示前面的参数最多可以重复输入10次。

【描述】

displaydot1x命令用来显示802.1x的相关信息，包括配置信息、运行情况（会话连接信息）以及相关统计信息等。

如果在执行本命令的时候不指定端口，系统将显示交换机所有802.1x相关信息。

根据该命令的输出信息，可以帮助用户确认当前的802.1x配置是否正确，并进一步有助于802.1x故障的诊断与排除。

相关配置可参考命令resetdot1xstatistics,dot1x,dot1xretry,dot1xmax-user,dot1xport-control,dot1xport-method,dot1xtimer。

【举例】

#显示802.1x的相关信息。

Sysname>

displaydot1x

Global802.1Xprotocolisenabled

CHAPauthenticationisenabled

DHCP-launchisdisabled

Handshakeisenabled 

Proxytrapcheckerisdisabled

Proxylogoffcheckerisdisabled

EADQuickDeployisenabled

Configuration:

TransmitPeriod 

30s, 

HandshakePeriod 

15s

ReAuthPeriod 

3600s, 

ReAuthMaxTimes 

2 

QuietPeriod 

60s, 

QuietPeriodTimerisdisabled

SuppTimeout 

ServerTimeout 

100s

Intervalbetweenversionrequestsis30s

Maximalrequesttimesforversioninformationis3

Themaximalretransmittingtimes 

2

EADQuickDeployconfiguration:

Url 

http:

//192.168.19.23

Free-ip 

192.168.19.0255.255.255.0

Acl-timeout 

30m

Totalmaximum802.1xuserresourcenumberis1024

Totalcurrentused802.1xresourcenumberis1

Ethernet1/0/1 

islink-up

802.1Xprotocolisenabled

Proxytrapcheckerisdisabled

Proxylogoffcheckerisdisabled

Version-Checkisdisabled

Theportisanauthenticator

AuthenticationModeisAuto

PortControlTypeisPort-based

ReAuthenticateisdisabled

Maxnumberofon-lineusersis256

AuthenticationSuccess:

4,Failed:

EAPOLPackets:

Tx7991,Rx14

SentEAPRequest/IdentityPackets:

7981

EAPRequest/ChallengePackets:

0

ReceivedEAPOLStartPackets:

5

EAPOLLogOffPackets:

1

EAPResponse/IdentityPackets:

4

EAPResponse/ChallengePackets:

ErrorPackets:

1.Authenticateduser:

MACaddress:

000d-88f6-44c1

ControlledUser（s）amountto1 

Ethernet1/0/2 

……（以下略）

表1-1802.1x配置信息描述表

域名

描述

Equipment802.1Xprotocolisenabled

交换机802.1x特性已经开启

开启CHAP认证

DHCP触发802.1x认证的功能处于关闭状态

Handshakeisenabled

在线用户握手功能开启

是否检测通过代理登录用户的接入：

● 

disable表示检测用户使用代理后，不发送Trap报文；

enable表示检测用户使用代理后，发送Trap报文。

disable表示检测用户使用代理后，不切断用户连接；

enable表示检测用户使用代理后，切断用户连接。

EAD快速部署功能开启

TransmitPeriod

发送间隔定时器

HandshakePeriod

802.1x的握手报文的发送时间间隔

ReAuthPeriod

重认证周期

ReAuthMaxTimes

重认证最大次数

QuietPeriod

静默定时器设置的静默时长

QuietPeriodTimerisdisabled

静默定时器状态：

disable表示处于关闭状态；

enable表示处于开启状态

SuppTimeout

Supplicant认证超时定时器

ServerTimeout

AuthenticationServer超时定时器

Themaximalretransmittingtimes

交换机可重复向接入用户发送认证请求帧的次数

Url

HTTP重定向的URL

Free-ip

可访问的免认证IP网段

Acl-timeout

ACL超时定时器

Totalmaximum802.1xuserresourcenumber

最多可接入用户数

Totalcurrentused802.1xresourcenumber

当前在线接入用户数

Ethernet1/0/1islink-down

端口Ethernet1/0/1的状态为Down

802.1Xprotocolisdisabled

该端口未开启802.1x协议

Version-Checkisdisabled

端口是否开启客户端版本检测功能：

disable表示关闭；

enable表示开启。

Theportisanauthenticator

该端口担当Authenticator作用

AuthenticationModeisAuto

端口接入控制的模式为auto

PortControlTypeisMac-based

端口接入控制方式为Mac-based，即基于MAC地址对接入用户进行认证

ReAuthenticateisdisabled

端口的802.1x重认证特性处于关闭状态

Maxnumberofon-lineusers

本端口最多可容纳的接入用户数

…

略

1.1.2 

dot1x

dot1x[interfaceinterface-list]

undodot1x[interfaceinterface-list]

系统视图/以太网端口视图

以太网端口列表，表示方式为interface-list={interface-typeinterface-number[tointerface-typeinterface-number]}&

dot1x命令用来开启指定端口上或全局（即当前设备）的802.1x特性。

undodot1x命令用来关闭指定端口上或全局的802.1x特性。

缺省情况下，所有端口及全局的802.1x特性都处于关闭状态。

在系统视图下使用该命令时，如果不输入interface-list参数，则表示开启全局的802.1x特性；

如果指定了interface-list，则表示开启指定端口的802.1x特性。

在以太网端口视图下使用该命令时，不能输入interface-list参数，仅用于打开当前端口的802.1x特性。

全局802.1x特性开启后，必须再开启端口的802.1x特性，802.1x的配置才能在端口上生效。

如果端口启动了802.1x，则不能配置该端口的最大MAC地址学习个数；

反之，如果端口配置了最大MAC地址学习个数，则禁止在该端口上启动802.1x。

如果端口启动了802.1x，则不能配置该端口加入汇聚组。

反之，如果该端口已经加入到某个汇聚组中，则禁止在该端口上启动802.1x。

相关配置可参考命令displaydot1x。

#开启以太网端口Ethernet1/0/1上的802.1x特性。

system-view

SystemView:

returntoUserViewwithCtrl+Z.

[Sysname]dot1xinterfaceEthernet1/0/1

#开启全局的802.1x特性。

[Sysname]dot1x

1.1.3 

dot1xauthentication-method

dot1xauthentication-method{chap|pap|eap}

undodot1xauthentication-method

系统视图

chap：

采用CHAP认证方式。

pap：

采用PAP认证方式。

eap：

采用EAP认证方式。

dot1xauthentication-method命令用来设置802.1x用户的认证方法。

undodot1xauthentication-method命令用来恢复802.1x用户的缺省认证方法。

缺省情况下，802.1x用户认证方法为CHAP认证。

PAP（PasswordAuthenticationProtocol）是一种两次握手认证协议，它采用明文方式传送口令。

CHAP（ChallengeHandshakeAuthenticationProtocol）是一种三次握手认证协议，它只在网络上传输用户名，而并不传输口令。

相比之下，CHAP认证保密性较好，更为安全可靠。

EAP认证功能，意味着交换机直接把802.1x用户的认证信息以EAP报文发送给RADIUS服务器完成认证，而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。

如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一，只需启动EAP认证即可。

当采用设备本身作为认证服务器时，802.1x用户的认证方法，不可以配置为EAP方式。

#设置交换机采用PAP认证。

[Sysname]dot1xauthentication-methodpap

1.1.4 

dot1xdhcp-launch

dot1xdhcp-launch

undodot1xdhcp-launch

无

dot1xdhcp-launch命令用来设置802.1x允许以太网交换机在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。

undodot1xdhcp-launch命令用来取消DHCP触发对接入用户的身份认证。

缺省情况下，不允许DHCP触发对接入用户的身份认证。

#允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。

[Sysname]dot1xdhcp-launch

1.1.5 

dot1xguest-vlan

dot1xguest-vlanvlan-id[interfaceinterface-list]

undodot1xguest-vlan[interfaceinterface-list]

vlan-id：

GuestVLAN的VLANID，取值范围为1～4094。

dot1xguest-vlan命令用来开启端口的GuestVLAN功能。

undodot1xguest-vlan命令用来关闭GuestVLAN功能。

GuestVLAN的功能开启后：

交换机将在所有开启802.1x功能的端口发送触发认证报文（EAP-Request/Identity），如果达到最大发送次数后，端口尚未返回响应报文，则交换机将该端口加入到GuestVLAN中；

之后属于该GuestVLAN中的用户访问该GuestVLAN中的资源时，不需要进行802.1x认证，但访问外部的资源时仍需要进行认证。

在系统视图下使用该命令时：

如果不输入interface-list参数，则表示开启所有端口的GuestVLAN功能；

如果指定了interface-list，则表示开启指定端口的GuestVLAN功能。

在以太网端口视图下使用该命令时，不能输入interface-list参数，仅能打开当前端口的GuestVLAN功能。

只有在端口认证方式下，交换机才可以支持GuestVLAN功能；

一台交换机只能配置一个GuestVLAN；

当交换机配置为dot1xdhcp-launch方式时，因为该方式下交换机不发送主动认证报文，GuestVLAN功能不能实现。

#设置认证方式为基于端口的方式。

[Sysname]dot1xport-methodportbased

#开启所有端口的GuestVLAN功能。

[Sysname]dot1xguest-vlan1

1.1.6 

dot1xhandshake

dot1xhandshakeenable

undodot1xhandshakeenable

dot1xhandshakeenable命令用于开启在线用户握手功能。

undodot1xhandshakeenable命令用于关闭在线用户握手功能。

缺省情况下，开启在线用户握手功能。

802.1x的代理检测功能依赖于