1.华为网络交换机 802.1x 认证配置
本节命令在华为 Quidway 3950 上运行过。
1.1. VLAN 设置
对 VLAN 进行配置时,首先应根据需求创建 VLAN。
VLAN 配置包括:
(1) 创建/删除 VLAN
(2) 为 VLAN 指定以太网端口
(3) 指定/删除 VLAN 描述字符
(4) 创建/删除 VLAN 接口
(5) 为 VLAN 接口配置/删除 IP 地址及掩码
(6) 打开/关闭 VLAN 接口
1.1.1 创建/删除 VLAN
可以使用下面的命令来创建/删除设备 VLAN。
请在系统视图下进行下列配置。
操作
命令
创建 VLAN 并进入 VLAN 视图
vlan vlan_id
删除已创建的 VLAN
undo vlan vlan_id
创建 VLAN 时,如果该 VLAN 已存在,则直接进入该 VLAN 视图;如果该 VLAN 不存在,
则此配置任务将首先创建 VLAN,然后进入 VLAN 视图。
vlan_id 为 VLAN 的 ID 号。注意:缺省 VLAN 即 VLAN 1 不能被删除。
1.1.2 给 VLAN 指定端口
可以使用下面的命令来给 VLAN 指定以太网端口。
请在 VLAN 视图下进行下列配置。
操作
命令
为指定的 VLAN 增加以太网端口
删除指定的 VLAN 的某些以太网端口
port { interface_type interface_num |
interface_name [ to interface_type
interface_num | interface_name ] }& < 1-10 >
undo port { interface_type interface_num |
interface_name [ to interface_type
interface_num | interface_name ] }& < 1-10 >
上述与以太网端口相关各参数的意义以及端口编号的具体规则,请参见本书“端口配置”
部分的描述,此处不再赘述。
深圳市联软科技有限公司版权所有
1
关键字 to 之后的端口号要大于或等于 to 之前的端口号,并要保证采用 to 形式输入的端口
类型相同,两者之间包含的端口都存在。
命令中&<1-10>表示参数可重复次数,最小为 1,最大为 10。另外,所输入的端口中不能
包含 Trunk 类型的端口。
缺省情况下,系统将所有端口都加入到一个缺省的 VLAN 中,该 VLAN 的 ID 为 1。
1.1.3 指定/删除 VLAN 描述
可以使用下面的命令来指定/删除 VLAN 描述字符。
描述字符串是为了区分各个 VLAN,如小组名称、部门名称等。
请在 VLAN 视图下进行下列配置。
操作
命令
给指定的 VLAN 指定一个描述字符串
description string
删除指定 VLAN 的描述字符串
undo description
缺省情况下,描述字符串为空。
1.1.4 创建/删除 VLAN 接口
可以使用下面的命令来创建/删除 VLAN 接口。
请在系统视图下进行下列配置。
操作
命令
创建或进入 VLAN 接口视图
interface vlan-interface vlan_id
删除 VLAN 接口
undo interface vlan-interface vlan_id
创建一个 VLAN 接口前,必须先创建其对应的 VLAN。
在此项配置中参数 vlan_id 应取值为 VLAN 的 ID。
1.1.5 给 VLAN 接口指定/删除 IP 地址和掩码
为了实现 VLAN 接口上的网络层功能,VLAN 接口需要指定 IP 地址和掩码。可以使用下面
的命令给 VLAN 接口指定/删除 IP 地址和掩码。
请在 VLAN 接口视图下进行下列配置。
掩码
操作
命令
给 VLAN 接口指定 IP 地址和掩码
ip address ip_address ip_netmask
删除指定 VLAN 接口的 IP 地址和掩码 undo ip address [ ip_address
ip_netmask ]
深圳市联软科技有限公司版权所有
2
1.1.6 打开/关闭 VLAN 接口
可以使用下面的命令来打开/关闭 VLAN 接口。
请在 VLAN 接口视图下进行下列配置。
操作
命令
关闭 VLAN 接口
打开 VLAN 接口
shutdown
undo shutdown
需要注意的是,打开/关闭 VLAN 接口的操作对属于该 VLAN 的以太网端口的打开/关闭状
态没有影响。
缺省情况下,当 VLAN 接口下所有以太网端口状态为 DOWN 时,VLAN 接口为 DOWN 状
态,即关闭状态;当 VLAN 接口下有一个或一个以上的以太网端口处于 UP 状态,VLAN 接口
处于 UP 状态,即打开状态。
1.1.7 VLAN 显示
在完成上述配置后,在所有视图下执行 display 命令可以显示配置后 VLAN 的运行情况,
通过查看显示信息验证配置的效果。
操作
命令
显示 VLAN 接口相关信息
display interface VLAN-interface [ vlan_id ]
显示 VLAN 相关信息
display vlan [vlan_id | all | static | dynamic ]
1.1.8 范例
在华为交换机上配置一个 vlan69 的 VLAN。
#输入管理员口令
super
password:
#进入系统视图
system
#显示当前配置的所有 vlan
[Quidway] display vlan all
The following static VLANs exist:
1(default), 2-4092, 4094
#显示静态配置的 vlan
[Quidway] display vlan static
The following static VLANs exist:
1(default), 2-4092, 4094
深圳市联软科技有限公司版权所有
3
#显示 vlan69 信息
[Quidway]display vlan 69
The specified VLAN does not exist.
#新建一个 vlan69,并进入 vlan69 视图
[Quidway]vlan 69
#指定 VLAN 端口
[Quidway-vlan69] port ethernet 1/0/17 to ethernet 1/0/32
#给 VLAN 指定 IP 地址
[Quidway-vlan69] interface vlan-interface 69
[Quidway-vlan-interface69] ip port 192.169.1.251
[Quidway-vlan-interface69] save
[Quidway-vlan-interface69] quit
#显示 vlan69 信息
[Quidway] display vlan 69
VLAN ID: 69
VLAN Type: static
Route Interface: configured
IP Address: 192.169.1.251
Subnet Mask: 255.255.0.0
Description: GuestVlan
Name: VLAN 0069
Tagged
Untagged Ports:
Ethernet1/0/17
Ethernet1/0/20
Ethernet1/0/23
Ethernet1/0/26
Ethernet1/0/29
Ethernet1/0/32
Ports: none
Ethernet1/0/18
Ethernet1/0/21
Ethernet1/0/24
Ethernet1/0/27
Ethernet1/0/30
Ethernet1/0/19
Ethernet1/0/22
Ethernet1/0/25
Ethernet1/0/28
Ethernet1/0/31
1.2. 802.1x 认证设置
802.1x 本身的各项配置任务可以在以太网交换机的系统视图下完成。当全局
802.1x 没有开启时,可以对端口的 802.1x 状态进行配置,其配置项会在开启全局
802.1x 后生效。
深圳市联软科技有限公司版权所有
4
请不要同时启动 802.1x 和 RSTP(或 MSTP),两者同时启动时不能保证交换机
正常工作。
如果端口启动了 802.1x,则不能配置该端口的最大 MAC 地址学习个数(通过
命令 mac-address max-mac-count 配置)。
802.1x 配置包括:
开启/关闭 802.1x 特性
设置端口接入控制的模式
设置端口接入控制方式
检测通过代理登录交换机的用户
设置端口接入用户数量的最大值
配置802.1x 用户的认证方法
设置允许DHCP 触发认证
设置认证请求帧的可重复发送次数
设置802.1x 的握手报文的发送时间间隔
设置定时器参数
打开/关闭 quiet period 定时器
在以上的配置任务中,第一项任务是必配的,否则802.1x 无法发挥作用;其
余任务则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。
1.2.1 启动/关闭 802.1x
可以通过下面的命令开启/关闭指定端口上的802.1x 特性;当不指定任何确定
的端口时,开启/关闭全局的802.1x 特性。请在系统视图或以太网端口视图下进行
下列配置。
操作
命令
开启 802.1x 特性
关闭 802.1x 特性
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
各端口的802.1x 状态在全局802.1x 没有开启之前可以配置,但不起作用;在
全局802.1x 启动后,各端口配置会立即生效。缺省情况下,全局及端口的802.1x 特
性均为关闭状态。
深圳市联软科技有限公司版权所有
5
1.2.2 设置端口的接入控制模式
可以通过下面的命令来设置802.1x 在指定端口上进行接入控制的模式。当没
有指定任何确定的端口时,设置的是所有端口进行接入控制的模式。请在系统或以
太网端口视图下进行下列配置。
操作
命令
dot1x port-control {authorized-force |
设置端口接入控制的模式
unauthorized-force | auto } [ interface
将端口接入控制的模式恢复为缺省值
interface-list ]
undo dot1x port-control [ interface
interface-list ]
缺省情况下,802.1x 在端口上进行接入控制的模式为auto(自动识别模式,
又称为协议控制模式),即:端口初始状态为非授权状态,仅允许EAPoL 报文收发,
不允许用户访问网络资源;如果认证流程通过,则端口切换到授权状态,允许用户
访问网络资源。这也是最常见的情况。
1.2.3 设置端口接入控制方式
可以通过下面的命令来设置802.1x 在指定端口上进行接入控制方式。当没有
指定任何确定的端口时,设置的是所有端口进行接入控制的方式。请在系统或以太
网端口视图下进行下列配置。
操作
命令
设置端口接入控制方式
将端口接入控制方式恢复为缺省值
dot1x port-method { macbased |
portbased } [ interface interface-list ]
undo dot1x port-method [ interface
interface-list ]
缺省情况下,802.1x 在端口上进行接入控制方式为macbased,即基于MAC地
址进行认证。
1.2.4 设置端口接入用户数量最大值
可以通过下面的命令来设置802.1x 在指定端口上可容纳接入用户数量的最大
值。当没有指定任何确定的端口时,指示所有端口都可容纳相同数量的接入用户。
请在系统或以太网端口视图下进行下列配置。
深圳市联软科技有限公司版权所有
6
操作
命令
设置端口接入用户数量的最大值
interface-list ]
dot1x max-user user-number [ interface
将端口接入用户数量的最大值恢复为缺
省值
undo dot1x max-user [ interface
interface-list ]
缺省情况下,在E 系列以太网交换机中,E026-SI 交换机所有的端口上允许最
多有64 个接入用户;E026 和E050 交换机所有的端口上允许最多有256 个
接入用户。
1.2.5 设置允许 DHCP 触发认证
可以通过下面的命令来设置802.1x 是否允许以太网交换机在用户运行DHCP、
申请动态IP 地址时就触发对其的身份认证。请在系统视图下进行下列配置。
操作
命令
允许DHCP 触发认证
dot1x dhcp-launch
不允许DHCP 触发认证
undo dot1x dhcp-launch
缺省情况下,不允许在用户运行DHCP 申请动态IP 地址时就触发对其的身份
认证。
1.2.6 设置 802.1x 用户的认证方法
可以通过下面的命令来设置802.1x 用户的认证方法。目前提供3 种认证方法:
PAP 认证(该功能的实现,需要RADIUS 服务器支持PAP 认证)、CHAP认证(该功
能的实现,需要RADIUS 服务器支持CHAP 认证)、EAP 中继认证(直接把认证信息
以EAP 报文的形式发送给RADIUS 服务器,该功能的实现,需要RADIUS 服务器支持
EAP 认证)。请在系统视图下进行下列配置。
操作
命令
设置802.1x 用户的认证方法
dot1x authentication-method { chap | pap |
eap md5-challenge }
恢复缺省802.1x 用户认证方法
undo dot1x authentication-method
缺省情况下,交换机802.1x 用户认证方法为CHAP 认证。
深圳市联软科技有限公司版权所有
7
1.2.7 设置认证请求帧的最大可重复发送次数
可以通过下面的命令来设置以太网交换机可重复向接入用户发送认证请求帧
的最大次数。请在系统视图下进行下列配置。
操作
命令
设置认证请求帧的最大可重复发送次数
dot1x retry max-retry-value
将认证请求帧的最大可重复发送次数恢复为
undo dot1x retry
缺省值
缺省情况下,max-retry-value 为3,即交换机最多可重复向接入用户发送3次认
证请求帧。
1.2.8 设置 802.1x 的握手报文的发送时间间隔
可以通过下面的命令来设置802.1x 的握手报文的发送时间间隔。配置后,系
统以此间隔为周期发送握手请求报文。如果dot1x retry 命令配置重试次数为N,则
系统连续N 次没有收到客户端的响应报文,就认为用户已经下线,将用户置为下线
状态。请在系统视图下进行下列配置。
操作
命令
设置802.1x 的握手报文的发送时间间隔
dot1x timer handshake-period interval
恢复时间间隔为缺省值
undo dot1x timer handshake-period
缺省情况下,握手报文的发送时间间隔为15 秒。
1.2.9 配置定时器参数
可以通过下面的命令来配置802.1x 的各项定时器参数。请在系统视图下进行
操作
命令
下列配置。
配置定时器参数
将定时器参数恢复为缺省值
dot1x timer { quiet-period quiet-period-value |
tx-period tx-period-value | supp-timeout
supp-timeout-value | server-timeout
server-timeout-value }
undo dot1x timer { quiet-period | tx-period |
supp-timeout | server-timeout }
深圳市联软科技有限公司版权所有
8