H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x.pdf

1、H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 目 录i 目 录 第1章 802.1x配置1-1 1.1 802.1x简介 . 1-1 1.1.1 802.1x的体系结构 1-1 1.1.2 802.1x的工作机制 1-3 1.1.3 EAPOL消息的封装 1-3 1.1.4 802.1x的认证过程 1-5 1.1.5 802.1x的定时器 . 1-8 1.1.6 802.1x在S3600 交换机上的实现 . 1-9 1.2 配置 802.1x 1-11 1.3 配置 802.1x基本功能 1-12 1.3.1 配置准备 1-12 1.3.2 配置 80

2、2.1x基本功能 . 1-12 1.4 配置 802.1x的定时器及接入用户的最大数目 . 1-13 1.5 配置 802.1x的应用特性 1-14 1.5.1 配置准备 1-14 1.5.2 配置用户的代理检查功能 . 1-14 1.5.3 配置客户端版本检测功能 . 1-15 1.5.4 配置允许DHCP 触发认证 . 1-16 1.5.5 配置Guest VLAN 功能 1-16 1.6 802.1x显示和维护 1-17 1.7 典型配置举例 . 1-17 1.7.1 802.1x典型配置举例 1-17 第2章 HABP特性配置2-1 2.1 HABP特性简介 . 2-1 2.2 配置H

3、ABP Server 2-1 2.3 配置HABP Client 2-2 2.4 HABP显示 2-2 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-1 第 1章 802.1x 配置 1.1 802.1x简介 IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题，提出了 802.1x 协议。后来， 802.1x 协议作为局域网端口的一个普通接入控制机制用在以太网中，主要解决以太网内认证和安全方面的问题。 802.1x 协议是一种基于端口的网络接入控制（Port Based Network Access C

4、ontrol）协议。“基于端口的网络接入控制”是指在局域网接入控制设备的端口这一级对所接入的设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源相当于连接被物理断开。 1.1.1 802.1x的体系结构 使用 802.1x 的系统为典型的 Client/Server 体系结构，包括三个实体：Supplicant System（客户端）、Authenticator System （设备端）以及 Authentication Server System（认证服务器），如下图所示。 客户端PAE客户端认证服务器认证服务器设备端

5、提供的服务 设备端PAE设备端受控端口端口非授权非受控端口LAN/WLAN图1-1 802.1x认证系统的体系结构 z 客户端是位于局域网段一端的一个实体，由连接到该链接另一端的设备端对其进行认证。客户端一般为一个用户终端设备，用户通过启动客户端软件发起802.1x 认证。客户端软件必须支持 EAPOL（EAP over LANs ，局域网上的 EAP）协议。 z 设备端是位于局域网段一端的一个实体，用于对连接到该链接另一端的实体进行认证。设备端通常为支持 802.1x 协议的网络设备（如 H3C 系列交换机），H3C S3600 系列以太网交换机 操作手册-Release 1510 802.

6、1x 第 1 章 802.1x 配置1-2 它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。 z 认证服务器是为设备端提供认证服务的实体。认证服务器用于实现用户的认证、授权和计费，通常为 RADIUS 服务器。该服务器可以存储用户的相关信息，例如用户的账号、密码以及用户所属的 VLAN、优先级、用户的访问控制列表等。 三个实体涉及如下四个基本概念：端口 PAE、受控端口、受控方向和端口受控方式。 1. PAE（Port Access Entity，端口访问实体） PAE 是认证机制中负责执行算法和协议操作的实体。设备端 PAE 利用认证服务器对需要接入局域网的客户端执行

7、认证，并根据认证结果相应地控制受控端口的授权/非授权状态。客户端 PAE 负责响应设备端的认证请求，向设备端提交用户的认证信息。客户端 PAE 也可以主动向设备端发送认证请求和下线请求。 2. 受控端口 设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚端口：受控端口和非受控端口。 z 非受控端口始终处于双向连通状态，主要用来传递 EAPOL 协议帧，保证客户端始终能够发出或接受认证。 z 受控端口在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开状态，禁止传递任何报文。 z 受控端口和非受控端口是同一端口的两个部分；任何到达该端口的帧，在受控端口与非受控端口上均可见。

8、 3. 受控方向 在非授权状态下，受控端口可以被设置成单向受控：实行单向受控时，禁止从客户端接收帧，但允许向客户端发送帧。 默认情况下，受控端口实行单向受控。 4. 端口受控方式 H3C 系列交换机支持以下两种端口受控方式： z 基于端口的认证：只要该物理端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，当第一个用户下线后，其他用户也会被拒绝使用网络。 z 基于 MAC 地址认证：该物理端口下的所有接入用户都需要单独认证，当某个用户下线时，也只有该用户无法使用网络。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1

9、x 配置1-3 1.1.2 802.1x的工作机制 IEEE 802.1x 认证系统利用 EAP（Extensible Authent ication Protocol，可扩展认证协议）协议，作为在客户端和认证服务器之间交换认证信息的手段。 客户端 PAE 设备端 PAE 认证服务器EAPOLRADIUS协议承载的EAP/PAP/CHAP交换图1-2 802.1x认证系统的工作机制 z 在客户端 PAE 与设备端 PAE 之间， EAP 协议报文使用 EAPOL 封装格式，直接承载于 LAN 环境中。 z 在设备端 PAE 与 RADIUS 服务器之间， EAP 协议报文可以使用 EAPOR

10、封装格式（EAP over RADIUS ），承载于 RADIUS 协议中；也可以由设备端 PAE进行终结，而在设备端 PAE 与 RADIUS 服务器之间传送 PAP 协议报文或CHAP 协议报文。 z 当用户通过认证后，认证服务器会把用户的相关信息传递给设备端，设备端PAE 根据 RADIUS 服务器的指示（Accept 或 Reject）决定受控端口的授权/非授权状态。 1.1.3 EAPOL消息的封装 1. EAPOL数据包的格式 EAPOL是 802.1x协议定义的一种报文封装格式，主要用于在客户端和设备端之间传送EAP协议报文，以允许EAP协议报文在LAN 上传送。格式如 图 1-

11、3所示。 PAE Ethernet type Protocol version Length0 2 3 4Packet Body6NType图1-3 EAPOL数据包格式 PAE Ethernet Type：表示协议类型，802.1x 分配的协议类型为 0x888E。 Protocol Version：表示 EAPOL 帧的发送方所支持的协议版本号。 Type： EAP-Packet（值为 00），认证信息帧，用于承载认证信息； EAPOL-Start（值为 01），认证发起帧； EAPOL-Logoff（值为 02），退出请求帧； EAPOL-Key（值为 03），密钥信息帧； H3C S3

12、600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-4 EAPOL-Encapsulated-ASF-Alert（值为 04），用于支持 ASF（Alerting Standards Forum）的 Alerting 消息。 Length：表示数据长度，也就是“Packet Body ”字段的长度。如果为 0，则表示没有后面的数据域。 Packet Body：根据不同的 Type 有不同的格式。 其中， EAPOL-Start， EAPOL-Logoff 和 EAPOL-Key 仅在客户端和设备端之间存在；在设备端和认证服务器之间，EA

13、P-Packet 报文重新封装承载于 RADIUS 协议上，以便穿越复杂的网络到达认证服务器； EAPOL-Encapsulated-ASF-Alert 封装与网管相关的信息，例如各种警告信息，由设备端终结。 2. EAP数据包的格式 当EAPOL 数据包格式Type 域为EAP-Packet 时， Packet Body为EAP数据包结构，如图 1-4所示。 Code Identifier Length DataN0 12 4图1-4 EAP数据包格式 Code：指 明 EAP 包的类型，一共有 4 种： Request， Response， Success， Failure。 Identi

14、fier：辅助进行 Response 和 Request 消息的匹配。 Length：EAP 包的长度，包含 Code、Identifier 、Length 和 Data 的全部内容。 Data：由 Code 决定。 Success 和 Failure 类型的包没有 Data 域，相应的 Length 域的值为 4。 Request 和 Response 类型的 Data 域的格式如下。 Type Type Data图1-5 Request和Response类型的Data域的格式 Type：指出 EAP 的认证类型。其中，值为 1 时，代表 Identity，用来查询对方的身份；值为 4 时，

15、代表 MD5-Challenge，类似于 PPP CHAP 协议，包含质询消息。 Type Data： Type Data 域的内容随不同类型的 Request 和 Response 而不同。 3. EAP属性的封装 RADIUS 为支持 EAP 认证增加了两个属性： EAP-Message（ EAP 消息）和Message-Authenticator （消息认证码）。RADIUS 协议的报文格式请参见“AAA-RADIUS-HWTACACS-EAD 操作手册”中的 RADIUS 协议简介部分。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章

16、 802.1x 配置1-5 EAP-Message属性用来封装EAP数据包，如 图 1-6所示，类型代码为 79， string域最长为 253 字节，如果EAP 数据包长度大于 253 字节，可以对其进行分片，依次封装在多个EAP-Message属性中。 type length string.012EAP-Packets图1-6 EAP-Message属性封装 Message-Authenticator可以用于在使用CHAP 、 EAP等认证方法的过程中，避免接入请求包被窃听。在含有 EAP-Message 属性的数据包中，必须同时包含Message-Authenticator，否则该数据包

17、会被认为无效而丢弃。格式如 图 1-7所示。 type=80 length=18 string.170 12图1-7 Message-Authenticator属性 1.1.4 802.1x的认证过程 H3C S3600 系列交换机支持 EAP 终结方式和 EAP 中继方式进行认证。 1. EAP中继方式 这种方式是 IEEE 802.1x 标准规定的，将 EAP 协议承载在其他高层协议中，如 EAP over RADIUS，以便扩展认证协议报文穿越复杂的网络到达认证服务器。一般来说，EAP 中继方式需要 RADIUS 服务器支持 EAP 属性：EAP-Message （值为 79）和Mess

18、age-Authenticator（值为 80）。 EAP 中继方式有四种认证方法：EAP-MD5 、EAP-TLS （Transport Layer Security ，传输层安全）、 EAP-TTLS 和 PEAP（Protected Extensible Authentication Protocol，受保护的扩展认证协议）： z EAP-MD5 ：验证客户端的身份，RADIUS 服务器发送 MD5 加密字（EAP-Request/MD5 Challenge 报文）给客户端，客户端用该加密字对口令部分进行加密处理。 z EAP-TLS：验证客户端和 RADIUS 服务器端双方的身份，通过

19、 EAP-TLS 认证方法检查彼此的安全证书，保证双方的正确性，防止网络数据被盗窃。 z EAP-TTLS：是对 EAP-TLS 的一种扩展。在 EAP TLS 中，实现对客户端和认证服务器的双向认证。EAP-TTLS 扩展了这种实现，它使用 TLS 建立起来的安全隧道传递信息。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-6 z PEAP：首先创建和使用 TLS 安全通道来进行完整性保护，然后进行新的 EAP协商，从而完成对客户端的身份验证。 以下以EAP-MD5 方式为例介绍基本业务流程，如 图 1-8所示。 客

20、户端 交换机 RADIUS服务器EAPOL EAPOREAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5 ChallengeEAP-SuccessEAP-Response/MD5 ChallengeRADIUS Access-Requ(EAP-Response/IdeRADIUS Access-Chall(EAP-Request/MD5 Chalestntity)engelenge)RADIUS Access-Acce(EAP-Success)RADIUS Access-Reque(EAP-Response/M

21、D5 Chalptstlenge)端口被授权握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff端口非授权图1-8 IEEE 802.1x认证系统的EAP中继方式业务流程 认证过程如下： z 当用户有上网需求时打开 802.1x 客户端，输入已经申请、登记过的用户名和口令，发起连接请求（EAPOL-Start 报文）。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。 z 交换机收到请求认证的数据帧后，将发出一个请求帧（EAP-Request/Identity报文）要求用户的客户端程序

22、发送输入的用户名。 z 客户端程序响应交换机发出的请求，将用户名信息通过数据帧（EAP-Response/Identity 报文）送给交换机。交换机将客户端送上来的数据帧经过封包处理后（RADIUS Access-Request 报文）送给 RADIUS 服务器进行处理。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-7 z RADIUS 服务器收到交换机转发的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字通过 RADIUS Acc

23、ess-Challenge 报文传送给交换机，由交换机传给客户端程序。 z 客户端程序收到由交换机传来的加密字（EAP-Request/MD5 Challenge 报文）后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的，生成 EAP-Response/MD5 Challenge 报文），并通过交换机传给 RADIUS 服务器。 z RADIUS 服务器将加密后的口令信息（RADIUS Access-Requeset 报文）和自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息（RADIUS Access-Accept 报文和 EAP-Suc

24、cess 报文）。 z 交换机将端口状态改为授权状态，允许用户通过该端口访问网络。 z 客户端也可以发送 EAPoL-Logoff 报文给交换机，主动终止已认证状态，交换机将端口状态从授权状态改变成未授权状态。 说明： 由于EAP中继方式对报文的内容不做改动，如果要采用PEAP、EAP-TLS、EAP-TTLS或者EAP-MD5这四种认证方法之一，需要在客户端和RADIUS服务器上选择一致的认证方法，而在交换机上，只需要通过dot1x authentication-method eap命令启动EAP中继方式即可。 2. EAP终结方式 这种方式将 EAP 报文在设备端终结并映射到 RADIUS

25、 报文中，利用标准 RADIUS协议完成认证和计费。 对于 EAP 终结方式，交换机与 RADIUS 服务器之间可以采用 PAP 或者 CHAP 认证方法。以下以 CHAP 认证方法为例介绍基本业务流程，如下图所示。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-8 客户端 交换机 RADIUS服务器EAPOL RADIUSEAPOL-StartEAP-Request/IdentityEAP-Response/IdentityEAP-Request/MD5 ChallengeEAP-SuccessEAP-Respons

26、e/MD5 ChallengeRADIUS Access-Request(CHAP-Response/MD5 Challenge)RADIUS Access-Accep(CHAP-Success)t端口被授权握手定时器超时握手请求报文EAP-Request/Identity握手应答报文EAP-Response/IdentityEAPOL-Logoff端口非授权图1-9 IEEE 802.1x认证系统的EAP终结方式业务流程 EAP 终结方式与 EAP 中继方式的认证流程相比，不同之处在于用来对用户口令信息进行加密处理的随机加密字由交换机生成，之后交换机会把用户名、随机加密字和客户端加密后的口令

27、信息一起送给 RADIUS 服务器，进行相关的认证处理。 1.1.5 802.1x的定时器 802.1x 认证过程中会启动多个定时器以控制接入用户、交换机以及 RADIUS 服务器之间进行合理、有序的交互。802.1x 的定时器主要有以下几种： z 握手定时器（handshake-period ）：此定时器是在用户认证成功后启动的，交换机以此间隔为周期发送握手请求报文，以定期检测用户的在线情况。如果dot1x retry 命令配置重试次数为 N，则如果交换机连续 N 次没有收到客户端的响应报文，就认为用户已经下线。 H3C S3600 系列以太网交换机 操作手册-Release 1510 80

28、2.1x 第 1 章 802.1x 配置1-9 z 静默定时器（quiet-period）：对用户认证失败以后，交换机需要静默一段时间（该时间由静默定时器设置）后，用户可以再重新发起认证，在静默期间，交换机不处理认证功能。 z RADIUS 服务器超时定时器（server-timeout ）：若在该定时器设置的时长内，RADIUS 服务器未成功响应，交换机将重发认证请求报文。 z 客户端认证超时定时器（ supp-timeout）：当交换机向客户端发送了Request/Challenge 请求报文后，交换机启动此定时器，若在该定时器设置的时长内，设备端没有收到客户端的响应，交换机将重发该报文。

29、 z 传送超时定时器（tx-period ）：以下两种情况 Authenticator 设备启动 tx-period定时器：其一是在客户端主动发起认证的情况下，当交换机向客户端发送单播Request/Identity 请求报文后，交换机启动该定时器，若在该定时器设置的时长内，交换机没有收到客户端的响应，则交换机将重发认证请求报文；其二是为了对不支持主动发起认证的 802.1x 客户端进行认证，交换机会在启动802.1x 功能的端口不停地发送组播 Request/Identity 报文，发送的间隔为tx-period。 z ver-period：客户端版本请求超时定时器。若在该定时器设置的时长内

30、，Supplicant 设备未成功发送版本应答报文，则 Authenticator 设备将重发版本请求报文。 1.1.6 802.1x在S3600交换机上的实现 S3600 交换机除了支持前面所述的 802.1x 特性外，还支持如下特性： z 与 CAMS 服务器配合，实现代理用户检测功能（检测使用代理登陆、用户使用多网卡等）； z 客户端版本检测功能； z Guest VLAN 功能。 1. 代理用户检测 交换机的 802.1x 代理用户检测特性包括： z 检测使用代理服务器登录的用户； z 检测使用 IE 代理服务器登录的用户； z 检测用户是否使用多网卡（即用户登录时，其 PC 上处于激

31、活状态的网卡超过一个）。 当交换机发现以上任意一种情况时，可以采取以下控制措施： H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-10 z 只切断用户连接，不发送 Trap 报文（使用命令 dot1x supp-proxy-check logoff 配置）； z 只发送 Trap 报文，不切断用户连接（使用命令 dot1x supp-proxy-check trap配置）。 此功能的实现需要 802.1x 客户端和 CAMS 的配合： z 802.1x 客户端需要具备检测用户是否使用多网卡、代理服务器或者 IE 代理服务

32、器功能； z CAMS 上开启认证客户端禁用多网卡、禁用代理服务器或者禁用 IE 代理服务器功能。 802.1x 客户端默认关闭防止使用多网卡、代理服务器或 IE 代理服务器功能，如果CAMS 打开防多网卡、代理或 IE 代理功能，则在用户认证成功时， CAMS 会下发属性通知 802.1x 客户端打开防多网卡、代理或 IE 代理功能。 说明： z 该功能的实现需要H3C 802.1x客户端程序（iNode）的配合。 z 对于检测通过代理登录的用户功能，需要在CAMS上也启用该功能，同时需要在交换机上启用客户端版本检测功能（通过命令dot1x version-check配置）。 2. 客户端版

33、本检测 在交换机上启动了对 802.1x 客户端的版本验证功能后，交换机会对接入用户的802.1x 客户端软件的版本和合法性进行验证，以防止使用有缺陷的老版本客户端或者非法客户端的用户上网。 启用客户端版本检测功能后，如果在客户端版本检测定时器设置的时长内，客户端未成功发送版本应答报文，则交换机将重发版本请求报文。 说明： 该功能的实现需要H3C 802.1x客户端程序（iNode）的配合。 3. Guest VLAN功能 Guest VLAN 能够允许未认证用户访问某些资源。 在实际应用中，如果用户在没有安装 802.1x 客户端的情况下，需要访问某些资源；或者在用户未认证的情况下升级 80

34、2.1x 客户端，这些情况可以通过开启 Guest VLAN 功能来解决。 Guest VLAN 的功能开启后： H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-11 z 交换机将在所有开启 802.1x 功能的端口发送多播触发报文； z 如果达到最大发送次数后，仍有端口尚未返回响应报文，则交换机将该端口加入到 Guest VLAN 中； z 之后属于该 Guest VLAN 中的用户访问该 Guest VLAN 中的资源时，不需要进行 802.1x 认证，但访问外部的资源时仍需要进行认证。 通常，Guest VLAN

35、功能与动态 VLAN 下发功能配合使用。 动态 VLAN 下发功能的具体介绍，请参见“AAA-RADIUS-HWTACACS-EAD 操作手册”中的配置部分。 1.2 配置802.1x 802.1x 提供了一个用户身份认证的实现方案，为了实现此方案，除了配置 802.1x相关命令外，还需要在交换机上配置 AAA 方案，选择使用 RADIUS 或本地认证方案，以配合 802.1x 完成用户身份认证： ISP域配置 AAA方案本地认证RADIUS方案802.1x配置图1-10 802.1x配置示意图 z 802.1x 用户通过域名和交换机上配置的 ISP 域相关联。 z 配置 ISP 域使用的 A

36、AA 方案，包括本地认证方案和 RADIUS 方案。 z 如果采用 RADIUS 方案，通过远端的 RADIUS 服务器进行认证，则需要在RADIUS 服务器上配置相应的用户名和密码，然后在交换机上进行 RADIUS客户端的相关设置。 z 如果是需要本地认证，则需要在交换机上手动添加认证的用户名和密码，当用户使用和交换机中记录相同的用户名和密码，启动 802.1x 客户端软件进行认证时，就可以通过认证。 z 也可以配置交换机先采用 RADIUS 方案，通过 RADIUS 服务器进行认证，如果 RADIUS 服务器无效，则使用本地认证。 AAA 方案的具体配置细节，请参见“AAA-RADIUS-

37、HWTACACS-EAD 操作手册”中的配置部分。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-12 1.3 配置802.1x基本功能 802.1x 基本功能的配置任务包括 802.1x 特性配置中涉及的基本配置，完成本节的配置就可以使用 802.1x 特性。 以下各项配置除了“开启 802.1x 特性”任务外，其余配置则是可选的，用户可以根据各自的具体需求决定是否进行这些配置。 1.3.1 配置准备 z 配置 ISP 域及其使用的 AAA 方案，选择使用 RADIUS 或者本地认证方案，以配合 802.1x 完成用

38、户的身份认证。 z 配置本地认证时，本地用户的服务类型（service-type ）必须配置为lan-access。 1.3.2 配置802.1x基本功能 表1-1 配置802.1x基本功能 操作 命令 说明 进入系统视图 system-view - 开启全局的 802.1x 特性 dot1x 必选 缺省情况下，全局的 802.1x 特性为关闭状态 系统视图下 dot1x interface interface-list 开启端口的 802.1x 特性 端口视图下 dot1x 必选 缺省情况下，端口的 802.1x 特性均为关闭状态 设置端口接入控制的模式 dot1x port-control

39、 authorized-force | unauthorized-force | auto interface interface-list 可选 缺省情况下，802.1x 在端口上进行接入控制的模式为 auto 设置端口接入控制方式 dot1x port-method macbased | portbased interface interface-list 可选 缺省情况下，802.1x 在端口上进行接入控制方式为macbased，即基于 MAC 地址进行认证 设置 802.1x 用户的认证方法 dot1x authentication-method chap | pap | eap 可选

40、 缺省情况下，交换机采用 EAP终结方式的 CHAP 认证方法 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-13 注意： z 802.1x的各项配置任务都可以在系统视图下完成。其中，设置端口接入控制的模式、设置端口接入控制方式还可以在端口视图下进行配置。 z 在系统视图下，当没有指定任何确定的端口时，是对所有端口进行相关配置。在以太网端口视图下使用配置命令时，不能输入interface-list参数，仅对当前端口进行配置。 z 必须同时开启全局和端口的802.1x特性后，802.1x的配置才能生效。 z 如果端口启动

41、了802.1x，则不能配置该端口的最大MAC地址学习个数（通过命令mac-address max-mac-count配置）；反之，如果端口配置了最大MAC地址学习个数，则禁止在该端口上启动802.1x。 z 如果端口启动了802.1x，则不能配置该端口加入汇聚组。反之，如果该端口已经加入到某个汇聚组中，则禁止在该端口上启动802.1x。 z 当采用设备本身作为认证服务器时，802.1x用户的认证方法，不可以配置为EAP方式。 1.4 配置802.1x的定时器及接入用户的最大数目 表1-2 配置802.1x的定时器及接入用户的最大数目 操作 命令 说明 进入系统视图 system-view -

42、系统视图下 dot1x max-user user-number interface interface-list 设置端口同时接入用户数量的最大值 端口视图下 dot1x max-user user-number 可选 缺省情况下，所有的端口上都允许同时最多有 256 个接入用户 设置认证请求帧的最大可发送次数 dot1x retry max-retry-value 可选 缺省情况下，max-retry-value为 2，即设备最多可向接入用户发送 2 次认证请求帧 配置定时器参数 dot1x timer handshake-period handshake-period-value | q

43、uiet-period quiet-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value | ver-period ver-period-value 可选 缺省情况下，handshake-period-value 为 15秒， quiet-period-value 为 60 秒server-timeout-value 为 100 秒supp-timeout-value 为 30 秒，tx-period-value 为 30

44、秒， ver-period-value 为 30 秒 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-14 操作 命令 说明 打开 quiet-period 定时器 dot1x quiet-period 可选 缺省情况下， quiet-period 定时器处于关闭状态 说明： z dot1x max-user命令还可以在端口视图下进行配置。在系统视图下，当没有指定任何确定的端口时，是对所有端口进行相关配置。在端口视图下使用此命令时，不能输入interface-list参数，仅对当前端口进行配置。 z 一般情况下，建议保持

45、802.1x定时器的缺省值。 1.5 配置802.1x的应用特性 802.1x 的应用特性的各项配置都是可选的，包括如下配置任务： z 配置 802.1x 与 CAMS 配合应用的特性：检测客户端使用多网卡、代理等； z 配置客户端版本检测功能； z 配置允许 DHCP 触发认证； z 配置 Guest VLAN 功能； 1.5.1 配置准备 802.1x 基本功能已经配置完成 1.5.2 配置用户的代理检查功能 此功能的实现需要 802.1x 客户端和 CAMS 的配合： z 802.1x 客户端需要具备检测用户是否使用多网卡、代理服务器或者 IE 代理服务器功能； z CAMS 上开启认证

46、客户端禁用多网卡、禁用代理服务器或者禁用 IE 代理服务器功能。 802.1x 客户端默认关闭防止使用多网卡、代理服务器或 IE 代理服务器功能，如果CAMS 打开防多网卡、代理或 IE 代理功能，则在用户认证成功时， CAMS 会下发属性通知 802.1x 客户端打开防多网卡、代理或 IE 代理功能。 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-15 表1-3 配置用户的代理检查功能 操作 命令 说明 进入系统视图 system-view - 开启全局的代理检测功能 dot1x supp-proxy-check l

47、ogoff | trap 必选 缺省情况下，全局的 802.1x 代理检测特性都处于关闭状态 系统视图下 dot1x supp-proxy-check logoff | trap interface interface-list 开启端口的代理检测功能 端口视图下 dot1x supp-proxy-check logoff | trap 必选 缺省情况下，端口的 802.1x 代理检测特性都处于关闭状态 说明： z 该功能的实现需要H3C 802.1x客户端程序（iNode）的配合。 z 对于检测通过代理登录的用户功能，需要在CAMS上也启用该功能，同时需要在交换机上启用客户端版本检测功能（通

48、过命令dot1x version-check配置）。 1.5.3 配置客户端版本检测功能 表1-4 配置客户端版本检测功能 操作 命令 说明 进入系统视图 system-view - 启动对 802.1x客户端的版本验证功能 dot1x version-check interface interface-list 必选 缺省情况下，所有端口的802.1X 客户端版本检测特性都处于关闭状态 设置交换机向客户端发送版本验证请求帧的最大次数 dot1x retry-version-max max-retry-version-value 可选 缺省情况下，可重复向客户端发送版本请求帧的最大次数为3 次

49、 配置版本验证的超时定时器dot1x timer ver-period ver-period-value 可选 缺省情况下，ver-period-value为 30 秒 H3C S3600 系列以太网交换机 操作手册-Release 1510 802.1x 第 1 章 802.1x 配置1-16 说明： dot1x version-check命令还可以在端口视图下进行配置。在系统视图下，当没有指定任何确定的端口时，是对所有端口进行相关配置。在端口视图下使用此命令时，不能输入interface-list参数，仅对当前端口进行配置。 1.5.4 配置允许DHCP触发认证 通过如下配置，802.1x 允许设备在接入用户运行 DHCP、申请动态 IP 地址时就触发对其的身份认证。 表1-5 配置检测用户配置静态IP地址功能 操作 命令 说明 进入系统视图 system-view - 允许 DHCP 触发认证 dot1x dhcp-launch 可选 缺省情况下，不允许 DHCP 触发对接入用户的身份认