1、1 802.1x 配置1.1 802.1x 簡介1.1.1 802.1x 的體系結構1.1.2 802.1x 的工作機制1.1.3 EAPOL消息的封裝1.1.4 802.1x 的認證過程1.1.5 802.1x 的定時器1.1.6 802.1x 在S3100-52P交換機上的實現1.2 802.1x配置簡介1.3 配置802.1x基本功能1.3.1 配置準備1.3.2 配置802.1x基本功能1.3.3 配置802.1x的定時器及接入用戶的最大數目1.4 配置802.1x的應用特性1.4.1 配置代理用戶檢測功能1.4.2 配置客戶端版本檢測功能1.4.3 配置允許DHCP；蟲發認證1.4.

2、4 配置 Guest VLAN 功能1.4.5 配置802.1x重認證功能1.4.6 配置802.1x重認證定時器1.5 802.1x 顯示和維護1.6 典型配置舉例2 EAD快速部署配置2.1 EAD快速部署特性簡介2.1.1 概述2.1.2 實現機制2.2 EAD快速部署功能配置2.2.1 配置準備2.2.2 配置過程2.2.3 EAD快速部署顯示2.3 EAD快速部署功能配置舉例2.4 常見故障診斷與排除3 HABP特性配置3.1 HABP特性簡介3.2 配置 HABP Server3.3 配置 HABP Client3.4 HABP 顯示4 system-guard 酉己置操作4.1

3、system-guard 簡介4.1.1 IP 防攻擊4.1.2 TCN防攻擊4.1.3 三層錯誤報文防攻擊4.1.4 CPU保護功能4.2 system-guard 防攻擊酉己置4.2.1 system-guard IP 防攻擊配置4.2.2 system-guard TCN 防攻擊配置4.2.3 三層錯誤報文防攻擊4.2.4 CPU保護功能配置4.3 system-guard 顯示與調試02.1x配置1.1802.1x 簡介IEEE802 LAN/WA凄員會為解決無線局域網網絡安全問題，提出了802.1x協議。后來，802.1x協議作為局域網端口的一個普通接入控制機制應用于以太網中， 主要

4、解決以太網內認證和安全方面的問題。802.1x協議是一種基于端口的網絡接入控制（Port Based Network Access Control ）協議。”基于端口的網絡接入控制”是指在局域網接入設備的端口這 一級對所接入的設備進行認證和控制。連接在端口上的用戶設備如果能通過認 證，就可以訪問局域網中的資源；如果不能通過認證，則無法訪問局域網中的資 源。1.1,1802.1x 的體系結構使用802.1x的系統為典型的Client/Server 體系結構，包括三個實體，如圖1-1 所示分別為：Supplicant System （客戶端）、Authenticator System （設備端）

5、以及 Authentication Server System （認證服務器）。圖1-1 802.1x認證系統的體系結構客戶端是位于局域網段一端的一個實體，由該鏈路另一端的設備端對其進 行認證。客戶端一般為用戶終端設備，用戶通過啟動客戶端軟件發起802.1x認證。客戶端軟件必須支持 EAPOL Extensible Authentication Protocol over LAN局域網上的可擴展認證協議）協議。設備端是位于局域網段一端的另一個實體，用于對所連接的客戶端進行認證。設備端通常為支持802.1x協議的網絡設備（如H3c系列交換機），它為客戶端提供接入局域網的端口，該端口可以是物理端口

6、，也可以是邏輯端口。認證服務器是為設備端提供認證服務的實體。認證服務器用于實現用戶的認證、授權和計費，通常為RADIUS®務器。該服務器可以存儲用戶的相關信息， 例如用戶的賬號、密碼以及用戶所屬的 VLAN優先級、用戶的訪問控制列表等。三個實體涉及如下四個基本概念：PAE受控端口、受控方向和端口受控方式。1. PAE （ Port Access Entity ，端口訪問實體）PAE是認證機制中負責執行算法和協議操作的實體。設備端PAEH用認證服務器對需要接入局域網的客戶端執行認證，并根據認證結果相應地對受控端口的授權/ 非授權狀態進行相應地控制。客戶端PAE負責響應設備端的認證請求，

7、向設備端提交用戶的認證信息。客戶端PAE&可以主動向設備端發送認證請求和下線請求。2. 受控端口設備端為客戶端提供接入局域網的端口，這個端口被劃分為兩個虛端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態，主要用來傳遞EAPO脅議幀，保證客戶端始終能夠發出或接受認證。受控端口在授權狀態下處于連通狀態，用于傳遞業務報文；在非授權狀態下處于斷開狀態，禁止傳遞任何報文。受控端口和非受控端口是同一端口的兩個部分；任何到達該端口的幀，在受控端口與非受控端口上均可見。3. 受控方向在非授權狀態下，受控端口可以被設置成單向受控：實行單向受控時，禁止從客戶端接收幀，但允許向客戶端發送幀。缺省情

8、況下，受控端口實行單向受控。4. 端口受控方式H3c系列交換機支持以下兩種端口受控方式:基于端口的認證：只要該物理端口下的第一個用戶認證成功后，其他接入 用戶無須認證就可使用網絡資源，當第一個用戶下線后，其他用戶也會被拒絕使 用網絡。基于MAO址認證：該物理端口下的所有接入用戶都需要單獨認證，當某 個用戶下線時，只有該用戶無法使用網絡，不會影響其他用戶使用網絡資源。1.1.2 802.1x 的工作機制IEEE 802.1x 認證系統利用 EAP（Extensible Authentication Protocol ,可擴 展認證協議）協議，在客戶端和認證服務器之間交換認證信息。圖1-2 802

9、.1x認證系統的工作機制在客戶端PAE與設備端PA0間，EAP協議報文使用EAPOL寸裝格式，直 接承載于LAN環境中。在設備端PAEW RADIU齦務器之間，EAPW議報文可以使用EAPOREAPover RADIUS封裝格式，承載于RADIUS、議中；也可以由設備端PAE進行終結，而 在設備端PAE與RADIUS®務器之間傳送PAPB議報文或CHAP*議報文。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給設備端，設備 端PAE根據RADIUS®務器的指示（Accept或Reject ）決定受控端口的授權/非 授權狀態。1.1.3 EAPOL消息的封裝1. EAPO

10、L數據包的格式EAPO是802.1x協議定義的一種報文封裝格式，主要用于在客戶端和設備端之 間傳送EAPB議報文，以允許EAPB議報文在LAN上傳送。格式如圖1-3所示。圖1-3 EAPOL數據包格式01526NPAE Ethernet Type :表示協議類型，802.1x分配的協議類型為 0x888E。Protocol Version :表示EAPO瞅的發送方所支持的協議版本號。Type：EAP-Packet （值為00）,認證信息幀，用于承載認證信息；EAPOL-Start （值為01）,認證發起幀；EAPOL-Logoff （值為02）,退出請求幀；EAPOL-Key（值為03）,密鑰

11、信息幀；EAPOL-Encapsulated-ASF-Alert （值為 04）,用于支持 ASF （Alerting Standards Forum ）的 Alerting 消息。Length ：表示數據長度，也就是“ Packet Body”字段的長度。如果為0,則表 示沒有后面的數據域。Packet Body：根據不同的Type有不同的格式。其中，EAPOL-Start, EAPOL-Logoff和EAPOL-Ke雙在客戶端和設備端之間存在； 在設備端和認證服務器之間，EAP-Packet報文重新封裝承載于RADIU的、議上, 以便穿越復雜的網絡到達認證服務器； EAPOL-Encaps

12、ulated-ASF-Alert封裝與 網管相關的信息，例如各種警告信息，由設備端終結。2. EAP數據包的格式當EAPO改據包的Type域為EAP-Packet時，Packet Body為EAPR據包內容， 如圖1-4所示。Code 指明 EAPt1的類型，一共有 4種：Request, Response, Success, Failure 。Identifier :輔助進行Response和Request消息的匹配。Length : EAPfe的長度，包含 Coda Identifier 、Length 和 Data 的全部內容。Data： EA啜據信息，內容格式由 Code決定。Succ

13、ess和Failure 類型的包沒有 Data域，相應的Length域的值為4。Request和Response類型的Data域的格式如 圖1-5所示。圖1-5 Request和Response類型的Data域的格式Type：指出EAP的認證類型。其中，值為1時，代表Identity ,用來查詢對方 的身份；值為4時，代表MD5-Challenge,類似于PPP CHAP、議，包含質詢消 息。Type Data : Type Data域的內容隨不同類型的 Request和Response而不同。3. EAP屬性的封裝RADIU勸支持EAPU證增加了兩個屬性：EAP-Message（ EA用肖息

14、）和 Message-Authenticator （消息認證碼）。RADIUS議的報文格式請參見“ AAA 操作手冊”中的RADIU的、議簡介部分。EAP-MessageH性用來封裝EAPR據包，如圖1-6所示，類型代碼為79, string 域最長為253字節，如果EAPgC據包長度大于253字節，可以對其進行分片，依 次封裝在多個EAP-MessagdS性中圖1-6 EAP-Message屬性封裝3NMessage-Authenticator 可以用于在使用CHAP EAP等認證方法的過程中，避免 接入請求包被竊聽。在含有 EAP-MessageS性的數據包中，必須同時包含 Message

15、-Authenticator ,否則該數據包會被認為無效而被丟棄。格式如 圖1-7 所示。圖 1-7 Message-Authenticator 屬性byle?ELngrthString11.1.4802.1x的認證過程H3C S3100-52P交換機支持EA結方式和EAP中繼方式進行認證。1. EAP中繼方式這種方式是IEEE 802.1x標準規定的，將EAP協議承載在其他高層協議中，如 EAP over RADIUS,以便擴展認證協議報文穿越復雜的網絡到達認證服務器。一 般來說，EAP中繼方式需要 RADIUS®務器支持EAP屬卜EAP-Message值為79） 和 Messag

16、e-Authenticator （值為 80）。EAP中繼方式有四種認證方法：EAP-MD5 EAP-TLS（Transport Layer Security , 傳輸層安全）、EAP-TTLS（Tunneled Transport Layer Security,隧道傳輸層安全）和 PEAP（Protected Extensible Authentication Protocol ,受保護的 擴展認證協議）：EAP-MD5驗證客戶端的身份，RADIUS!務器發送MD51口密字 （EAP-Request/MD5Challenge報文）給客戶端，客戶端用該加密字對口令部分 進行加密處理。EAP-T

17、LS客戶端和RADIUSR務器端通過EAP-TLSVI證方法檢查彼此的安 全證書，驗證對方身份，保證通信目的端的正確性，防止網絡數據被竊聽。EAP-TTLS是對EAP-TLS的一種擴展。在 EAP TLS中，實現對客戶端和認 證服務器的雙向認證。EAP-TTLST展了這種實現，它使用TLS建立起來的安全 隧道傳遞信息。PEAP首先創建和使用TLS安全通道來進行完整性保護，然后進行新的EAP 協商，從而完成對客戶端的身份驗證。以下以EAP-MD5f式為例介紹基本業務流程，如 圖1-8所示。圖1-8 IEEE 802.1x 認證系統的EAP中繼方式業務流程S upplicarrt Sysiefri

18、ME 1*EAPOLAuthiert icazor SysDe rnRADU IS5ervttrEAFX)L-S:acEAP-Req距磯川療an ityEAf由呻qe ierlityEAP-Request / MDS ciiailengeEAP-Rftsponsai M 口5 challengeRADIUS Aiurii-Chal enge (EAP Request 1MDE 上hallftfi津)RADIUS Access-Request (EAP-Re spoils a ' Identity；fWDILlS Aei_臼2ABeepi iEAP-Succesi)i Pon autho

19、rized iRADIUS Access-RsusKlfEAP-RGCponsn IM口5 dialkMiga)HandJidktt timerHands haK res-pcnwEAP-RpFpnrss f Irterlrv EAPOL-LogH. im , r w， / ，r *m ijPon unaLAthoruad iJ.認證過程如下：當用戶有上網需求時打開802.1x客戶端，輸入已經申請、登記過的用戶名 和口令，發起連接請求(EAPOL-Start報文)。此時，客戶端程序將發出請求認 證的報文給交換機，開始啟動一次認證過程。交換機收到請求認證的數據幀后，將發出一個請求幀(EAP-Re

20、quest/Identity 報文)要求用戶的客戶端程序發送輸入的用戶名。客戶端程序響應交換機發出的請求，將用戶名信息通過數據幀（EAP-Response/Identity 報文）送給交換機。交換機將客戶端送上來的數據幀 經過封包處理后（RADIUSAccess-Request報文）送給RADIUS）艮務器進行處理。RADIUS®務器收到交換機轉發的用戶名信息后，將該信息與數據庫中的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對它進 行加密處理，同時也將此加密字通過 RADIUSAccess-Challenge報文傳送給交換 機，由交換機傳給客戶端程序。客戶端程

21、序收到由交換機傳來的加密字（EAP-Request/MD5 Challenge報 文）后，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的， 生成EAP-Response/MD5 Challenge報文），并通過交換機傳給 RADIUSE務器。RADIUS®務器將加密后的口令信息（RADIUS Access-Request報文）和自 己經過加密運算后的口令信息進行對比，如果相同，則認為該用戶為合法用戶， 反饋認證通過的消息（RADIUS Access-Accept報文和EAP-Success報文）。交換機將端口狀態改為授權狀態，允許用戶通過該端口訪問網絡。客戶端也可以發送

22、EAPoL-Logoff報文給交換機，主動終止已認證狀態，交 換機將端口狀態從授權狀態改變成未授權狀態。說明由于EAP中繼方式對報文的內容不做改動， 如果要采用PEAP EAP-TLS EAP-TTLS 或者EAP-MD這四種認證方法之一，需要在客戶端和RADIUS!務器上選擇一致的認證方法，而在交換機上，只需要通過dot1x authentication-method eap命令啟動EAP中繼方式即可。2. EAP終結方式這種方式將EAP報文在設備端終結并映射到 RADIUS艮文中，利用標準RADIUS 協議完成認證和計費。對于EAP終結方式，交換機與RADIUS!務器之間可以采用PAP或者

23、CHAPX證方 法。以下以CHAFU證方法為例介紹基本業務流程，如下圖所示。圖1-9 IEEE 802.1x 認證系統的EAPJ結方式業務流程Supplicant sysiorriEAPOLActliflnticator syfiLem PAE< p-EAPOb StarEAR- Req ue5t/IdentityRADIUSRADIUS serverEAP- Respanse'IdentityEAR-Kscuftst hfDf> ChallengeEAF1 Response /MD5 ChallengeauLhorlzedHandsrtake request EAP*Rs

24、queBt/ldentily一PtlflRADIUS Access-Request(CHAP-ResponsebMD5 ChallencjRADIUS Aecr-sg Accept (CHAP-Success-)* Handstiate timer ；Handstiake response EAP- RcsponED lderitily|EAPOL- Log 浦 lti authorized tEA%結方式與EAP中繼方式的認證流程相比，不同之處在于用來對用戶口令信 息進行加密處理的隨機加密字由交換機生成，之后交換機會把用戶名、隨機加密字和客戶端加密后的口令信息一起送給RADIU爭艮務器，進行

25、相關的認證處理。1.1.5802.1x的定時器802.1x認證過程中會啟動多個定時器以控制接入用戶、交換機以及RADIUS®務器之間進行合理、有序的交互。802.1x的定時器主要有以下幾種：握手定時器(handshake-period ):此定時器是在用戶認證成功后啟動的， 交換機以此間隔為周期發送握手請求報文，以定期檢測用戶的在線情況。如果重試一定次數后仍然沒有收到客戶端的響應報文，就認為用戶已經下線。用戶可以使用dot1x retry 命令配置最大發送次數。靜默定時器(quiet-period )：對用戶認證失敗以后，交換機需要靜默一 段時間(該時間由靜默定時器設置)后，用戶可以

26、再重新發起認證，在靜默期間， 交換機不進行該用戶的802.1x認證相關處理。重認證定時器(reauth-period ):每隔該定時器設置的時長，交換機會 定期發起802.1x重認證。RADIUS)艮務器超時定時器(server-timeout )：若在該定時器設置的時長 內，RADIUSK務器未成功響應，交換機將向 RADIUSK務器重發認證請求報文。客戶端認證超時定時器(supp-timeout )：當交換機向客戶端發送了 Request/Challenge請求報文后，交換機啟動此定時器，若在該定時器設置的時 長內，設備端沒有收到客戶端的響應，交換機將重發該報文。傳送超時定時器(tx-pe

27、riod ):以下兩種情況交換機啟動tx-period 定 時器：其一是在客戶端主動發起認證的情況下，當交換機向客戶端發送單播 Request/Identity 請求報文后，交換機啟動該定時器，若在該定時器設置的時 長內，交換機沒有收到客戶端的響應，則交換機將重發認證請求報文；其二是為 了對不支持主動發起認證的802.1x客戶端進行認證，交換機會在啟動 802.1x 功能的端口不停地發送組播 Request/Identity 報文，發送的間隔為tx-period <ver-period :客戶端版本請求超時定時器。若在該定時器設置的時長內， 客戶端設備未成功發送版本應答報文，則交換機將重

28、發版本請求報文。1.1,6802.1x 在S3100-52P交換機上的實現S3100-52P交換機除了支持前面所述的802.1x特性外，還支持如下特性：與CAMS艮務器配合，實現檢測客戶端功能(檢測使用代理登錄、用戶使用 多網卡等)；客戶端版本檢測功能；Guest VLAN 功能。說明CAMS艮務器是H3償司提供的業務管理系統，支持與交換機等網絡產品共同組 網，完成終端用戶的認證、授權、計費和權限管理等功能，實現網絡的可管理、 可運營，保證網絡和用戶信息的安全。1.代理用戶檢測交換機的802.1x代理用戶檢測特性包括:檢測使用代理服務器登錄的用戶;檢測使用IE代理服務器登錄的用戶;檢測用戶是否

29、使用多網卡（即用戶登錄時，其PC上處于激活狀態的網卡超 過一個）。當交換機發現以上任意一種情況時，可以采取以下控制措施：只切斷用戶連接，不發送Trap報文；只發送Trap報文，不切斷用戶連接。此功能的實現需要802.1x客戶端和CAMS勺配合：802.1x客戶端需要具備檢測用戶是否使用多網卡、代理服務器或者IE代理服務器功能；CAMSt開啟認證客戶端禁用多網卡、禁用代理服務器或者禁用IE代理服務器功能。1.1 .1x客戶端默認關閉防止使用多網卡、代理服務器或 IE代理服務器功能，如 果CAMS丁開防多網卡、代理或IE代理功能，則在用戶認證成功時，CAM噲下 發屬性通知802.1x客戶端打開防多

30、網卡、代理或IE代理功能。說朗該功能的實現需要H3c 802.1x客戶端程序（iNode）的配合。對于檢測通過代理登錄的用戶功能，需要在CAMSL也啟用該功能，同時需要在交換機上啟用客戶端版本檢測功能（通過命令dot1xversion-check 酉己置）。2 .客戶端版本檢測在交換機上啟動了對802.1x客戶端的版本驗證功能后，交換機會對接入用戶的2.1 .1x客戶端軟件的版本和合法性進行驗證，以防止使用有缺陷的老版本客戶 端或者非法客戶端的用戶上網。啟用客戶端版本檢測功能后，如果在客戶端版本檢測定時器設置的時長內， 客戶 端未成功發送版本應答報文，則交換機將重發版本請求報文。說明該功能的實

31、現需要H3c 802.1x客戶端程序(iNode)的配合3 . Guest VLAN 功能Guest VLAN功能用來允許未認證用戶訪問某些特定資源。在實際應用中，如果用戶在沒有安裝 802.1x客戶端的情況下，需要訪問某些資 源；或者在用戶未認證的情況下升級 802.1x客戶端，這些情況可以通過開啟 Guest VLAN功能來解決。Guest VLAN的功能開啟后：交換機將在所有開啟802.1x功能的端口發送觸發認證報文(EAP-Request/Identity ),如果達到最大發送次數后，仍有端口尚未返回響應 報文，則交換機將該端口加入到 Guest VLAN中；之后屬于該Guest VL

32、AN中的用戶訪問該Guest VLAN中的資源時，不需要 進行802.1x認證，但訪問外部的資源時仍需要進行認證。通常，Guest VLAN功能與動態VLANT發功能配合使用。動態VLANT發功能的具體介紹，請參見“ AAAB作手冊”中的配置部分。4 .配置802.1x重認證功能802.1x重認證是通過定時器或報文觸發，對已經認證成功的用戶進行一次重新 認證。通過啟用802.1x重認證功能，交換機可以定時檢測用戶的連接狀況。當 發現接入用戶在一定時間內未響應重認證報文，則切斷與該用戶的連接。若用戶 希望再次連接，則必須通過客戶端軟件重新發起802.1x認證。說明重認證時交換機上會進行完整的認證

33、過程，將認證的用戶名及其密碼 上傳給認證服務器進行認證，但不同的服務器對重認證的處理策略有所 不同，部分服務器會進行用戶名密碼的校驗，部分服務器只是把重認證 作為計費和檢查用戶連接狀況的手段，不進行用戶名密碼的校驗。當認證服務器為CAMS寸，PAP?口 CHAPA證方式下重認證時服務器不 進行用戶名、密碼校驗，EAP認證方式下重認證時進行用戶名、密碼校 驗。圖1-10 802.1x 重認證功能示意圖802.1x重認證功能的開啟方式有如下兩種：RADIUS®務器觸發交換機對接入用戶的 802.1x重認證：RADIU可艮務器向 交換機發送Termination-Action 屬性字段為1

34、的Access-Accept報文，交換機 收到此報文后會對接入的用戶進行周期性的重新認證。交換機上配置對接入用戶的 802.1x重認證：用戶在交換機上啟用 802.1x 重認證功能后，交換機則會對接入的用戶進行周期性的重新認證。說明在使用CAMS乍為認證服務器時，由于CAMW有對認證用戶開始計費時才建立用 戶會話，當配置CAMS艮務器對用戶只認證不計費時，802.1x重認證將無法成功。 因此，當要啟用802.1x重認證時，不能在domain中配置accounting none。而 其他服務器無此限制。1.2802.1x配置簡介802.1x提供了一個用戶身份認證的實現方案，為了實現此方案，除了配

35、置802.1x 相關命令外，還需要在交換機上配置 AAA方案，選擇使用RADIUS本地認證方 案，以配合802.1x完成用戶身份認證。圖1-11 802.1x配置示意圖802.1x用戶通過域名和交換機上配置的ISP域相關聯。配置ISP域使用的AAAT案，包括本地認證方案、RADIUS案如果是需要本地認證，則需要在交換機上手動添加認證的用戶名和密碼， 當用戶使用和交換機中記錄相同的用戶名和密碼，啟動802.1x客戶端軟件進行認證時，就可以通過認證。如果采用RADIUS案，通過遠端的RADIUS!務器進行認證，則需要在 RADIUS!務器上配置相應的用戶名和密碼， 然后在交換機上進行RADIU吩戶

36、端 的相關設置。也可以配置交換機先采用 RADIUST案，通過RADIUSR務器進行認證，如 果RADIUS®務器無效，則使用本地認證。AAA方案的具體配置細節，請參見“ AAA操作手冊”中的配置部分。1.3 配置802.1x基本功能1.3.1 配置準備配置ISP域及其使用的AAATJ案，選擇使用RADIUS者本地認證方案，以 配合802.1x完成用戶的身份認證。配置本地認證時，本地用戶的服務類型(service-type )必須配置為 lan-access 。1.3.2 配置802.1x基本功能表1-1配置802.1x基本功能操作命令說明操作命令說明進入系統視圖system-vie

37、w-開啟全局的802.1x特性dotlx必選缺省情況卜，全局的802.1x特，莊為關閉狀態開啟端口 的 802.1x 特性系統視圖卜dotlx interface interface-list必選缺省情況卜，端口的802.1x 特性均為關閉狀態端口視圖卜interface interface-type interface-numberdot1xquit設置端口 接入控制 的模式系統視圖卜dot1x port-control authorized-force|unauthorized-force|auto interface interface-list可選缺省情況卜，802.1x在端口 上進行

38、接入控制的模式為 auto端口視圖卜interface interface-type interface-numberdot1x port-control authorized-force|unauthorized-force | auto quit設置端口 接入控制 方式系統視圖卜dot1x port-method macbased| portbased interfaceinterface-list可選缺省情況卜，802.1x在端口 上進行接入控制方式為 macbased,即基于 MA04址 進行認證端口視圖卜interface interface-type interface-numbe

39、rdot1x port-method macbased| portbased quit設置802.1x用戶的認證 方法dot1xauthentication-method chap | pap | eap 可選缺省情況下，交換機采用 EAP結方式的CHAPI證方 法開啟在線用戶握手功能dot1x handshake enable可選缺省情況下，開啟在線用戶 握手功能操作命令說明進入以太網端口視圖interface interface-type interface-number-開啟握手報文的安全擴 展功能dot1x handshake secure可選缺省情況卜，關閉握手報文 的安全擴展功能4

40、k注意必須同時開啟全局和端口的802.1x特性后，802.1x的配置才能生效。如果端口啟動了 802.1x ,則不能配置該端口的最大 MA她址學習個數； 反之,如果端口配置了最大 MAO址學習個數，則禁止在該端口上啟動 802.1xo如果端口啟動了 802.1x,則不能配置該端口加入匯聚組。反之，如果 該端口已經加入到某個匯聚組中，則禁止在該端口上啟動802.1x。802.1x用戶在線時，如果通過dotlx port-method 命令更改端口接入 控制方式，則在線用戶會被強制下線。當采用設備本身作為認證服務器時，802.1x用戶的認證方法，不可以 配置為EA叨式。握手報文的發送需要H3cM有

41、客戶端的支持，用以探測用戶是否在線。 對于非H3Cg戶端，由于不支持握手功能，在握手周期內交換機不會收 到握手回應報文。因此需要將在線用戶握手功能關閉，以防止錯誤地認 為用戶下線。握手報文的安全擴展功能需要支持此功能的客戶端與認證服務器配 合才能正常使用，若客戶端或者認證服務器不支持握手報文的安全擴展 功能，則需要關閉此功能。1.3.3配置802.1x的定時器及接入用戶的最大數目表1-2配置802.1x的定時器及接入用戶的最大數目操作命令說明進入系統視圖system-view-設置端口 同時接入 用戶數量 的最大值系統視圖 下dotlx max-user user-number interfa

42、ce interface-list可選缺省情況下，所有的端口上都 允許同時最多有256個接入 用戶端口視圖 下interface interface-type interface-numberdot1x max-user user-number quit設置允許認證請求幀 的最大發送次數dot1x retry max-retry-value可選缺省情況卜，max-retry-value 為 2,即設備最多可向接入用戶發送2 次認證請求幀配置定時器參數dot1x timer handshake-period handshake-period-value | quiet-period quiet-

43、period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | ver-period ver-period-value 可選缺省情況卜，handshake-period-value 為 15 秒，quiet-period-value 為60秒server-timeout-value 為 100 秒 supp-timeout-value 為 30 秒，tx-period-value 為30秒,ver-period-value 為 3

44、0 秒開啟靜默定時器dot1x quiet-period可選缺省情況下，靜默定時器處于 關閉狀態*說明dotlx max-user命令還可以在端口視圖下進行配置。在系統視圖下， 當沒有指定任何確定的端口時，是對所有端口進行相關配置。在端口視 圖下使用此命令時，不能輸入interface-list 參數，僅對當前端口進行 配置。般情況下，建議保持802.1x定時器的缺省值。1.4 配置802.1x的應用特性802.1x的應用特性的各項配置都是可選的，包括如下配置任務：配置802.1x與CAM配合應用的特性：檢測客戶端使用多網卡、代理等;配置客戶端版本檢測功能；配置允許DHC觸發認證；配置Gues

45、t VLAN功能；配置802.1x重認證功能；配置802.1x重認證的超時定時器。在配置802.1x的應用特性前，請首先完成802.1x的基本功能配置。1.4.1配置代理用戶檢測功能表1-3配置代理用戶檢測功能操作命令說明進入系統視圖system-view-開啟全局的代理檢測功能dot1x supp-proxy-check logoff | trap 必選缺省情況卜，全局的802.1x代理檢測特性都處于關閉狀態開啟端口的 代理檢測功 能系統視圖卜dot1x supp-proxy-check logoff | trap interface interface-list必選缺省情況卜，端口的802

46、.1x代理檢測特性都處于關閉狀態端口視圖卜interface interface-type interface-numberdot1x supp-proxy-check logoff | trap quit曾說明該功能的實現需要H3c 802.1x客戶端程序（iNode）的配合。802.1x的代理檢測功能依賴于在線用戶握手功能。在配置代理檢測功能之前，必須先開啟在線用戶握手功能。對于檢測通過代理登錄的用戶功能，需要在CAMSL也啟用該功能，同時需要在交換機上啟用客戶端版本檢測功能（通過命令dotlxversion-check 酉己置）。1.4.2 配置客戶端版本檢測功能表1-4配置客戶端版本檢

47、測功能操作命令說明進入系統視圖system-view-啟動對802.1x 客 戶端的版 本驗證功 臺匕 目匕系統視圖 下dot1x version-check interface interface-list必選缺省情況卜，所有端口的802.1x客戶端版本檢測特 性都處于關閉狀態端口視圖 下interface interface-type interface-numberdot1x version-checkquit設置交換機向客戶端發 送版本驗證請求幀的最 大次數dot1x retry-version-max max-retry-version-value可選缺省情況卜，可重復向客 戶端發送

48、版本請求幀的最大次數為3次配置版本驗證的超時定 時器dot1x timer ver-period ver-period-value可選缺省情況卜，版本驗證的 超時定時器為30秒說明dotlx version-check 命令還可以在端口視圖下進行配置。在系統視圖下，當沒 有指定任何確定的端口時，是對所有端口進行相關配置。在端口視圖下使用此命 令時，不能輸入interface-list 參數，僅對當前端口進行配置。1.4.3 配置允許DHC觸發認證通過如下配置，802.1x允許設備在接入用戶運行 DHCP申請動態IP地址時就觸 發對其的身份認證。表1-5配置檢測用戶配置靜態IP地址功能操作命令說

49、明進入系統視圖:system-view-允許DHC觸發認證dot1x dhcp-launch必選缺省情況卜，不允許DHCPS蟲 發對接入用戶的身份認證1.4.4 配置 Guest VLAN 功能表1-6配置Guest VLAN功能操作命令說明進入系統視圖system-view-設置端口接入控制方式dot1x port-method portbased必選缺省情況卜，802.1x在端口上進行接入控制方式為基于MAC!址進行認證開啟GuestVLANft 能系統視圖 下dot1x guest-vlan vlan-id interface interface-list必選缺省情況卜，Guest VL

50、AN功能處于關閉狀態端口視圖 下interface interface-type interface-numberdot1x guest-vlan vlan-idquit小注意只有在端口認證方式下，交換機才可以支持Guest VLAN功能。一臺交換機只能配置一個Guest VLAN。當交換機配置為dotlx dhcp-launch方式時，因為該方式下交換機不 發送主動認證報文，Guest VLAN功能不能實現。1.4.5 配置802.1x重認證功能表1-7啟用802.1x用戶重認證功能操作命令說明進入系統視圖system-view-啟用802.1x 用戶重認證 功能系統視圖 下dot1x re

51、-authenticateinterface interface-list必選缺省情況卜，所有端口的802.1x重認證功能均處于 關閉狀態端口視圖 下dot1x re-authenticate學說明在啟動端口 802.1x重認證功能之前，必須開啟全局 802.1x功能和該端口的802.1x功能。重認證時交換機上會進行完整的認證過程，將認證的用戶名及其密碼 上傳給認證服務器進行認證，但不同的服務器對重認證的處理策略有所 不同，部分服務器會進行用戶名密碼的校驗，部分服務器只是把重認證 作為計費和檢查用戶連接狀況的手段，不進行用戶名密碼的校驗。當認證服務器為CAMS寸，PAP?口 CHAPI證方式下

52、重認證時服務器不 進行用戶名、密碼校驗，EAP認證方式下重認證時進行用戶名、密碼校 驗。1.4.6配置802.1x重認證定時器交換機啟用重認證功能后，通過以下兩種方式可以確定重認證周期時間：(1) 交換機以 RADIUS®務器下發的 Access-Accept 報文中 Session-timeout 屬性字段的取值，作為重認證周期。(2) 交換機以dot1x timer reauth-period 命令設置的值，作為接入用戶的重 認證周期。需要注意的是：在重認證過程中，無論采用上述哪種方式確定802.1x重認證周期時間，交換機只采用最后一次設定的重認證周期。 例如，用戶在交換機上配置

53、了重認證的周期 后，交換機又收到了 Termination-Action 屬性字段為1的Access-Accept報文, 則交換機將按照Access-Accept報文中的Session-timeout屬性字段的取值作為 最終的重認證周期。卜面給出在交換機上進行配置的過程表1-8配置定時器的超時時長操作命令說明進入系統視圖system-view-配置重認證定時器的 時長dot1x timer reauth-period reauth-period-value可選缺省情況卜，重認證定時器的值為3600秒1.5 802.1x 顯示和維護在完成上述配置后，在任意視圖下執行display命令可以顯示配置

54、802.1x后的運行情況，通過查看顯示信息驗證配置的效果。在用戶視圖下，執行reset命令可以清除802.1x的統計信息表1-9 802.1x配置的顯示和維護操作顯示802.1x的配置信息、運行情況和統計信息命令display dot1x sessions | statistics interface interface-list 說明display 命令可以在任意視圖下執行操作命令說明消除802.1x的統計信息reset dot1x statistics interface interface-listreset命令在用戶視圖卜 執行1.6 典型配置舉例1.6.1 802.1x典型配置舉例1

55、 .組網需求要求在各端口上對用戶接入進行認證，以控制其訪問Internet ;接入控制模式要求是基于MAC*址的接入控制。所有接入用戶都屬于一個缺省的域： ,該域最多可容納30個用 戶；認證時，先進行RADIUS1證，如果RADIU號艮務器沒有響應再轉而進行本地 認證；計費時，如果RADIUS費失敗則切斷用戶連接使其下線；止匕外，接入時 在用戶名后不添加域名，正常連接時如果用戶有超過20分鐘流量持續小于2000Bytes的情況則切斷其連接。由兩臺RADIUSR務器組成的服務器組與交換機相連，其IP地址分別為1.1.1.1 1和10.11.1.2，前者作為主認證/備份計費服務器，后者作為備份認證 /主計費服務器；設置系統與認證 RADIUS®務器交互報文時的加密密碼為 “nam3、與計費RADIUS