8.4 Настройка 802.1X

clear dot1x statistics

Синтаксис команды

clear dot1x statistics [ interface port_type [ v_port_type_list ] ]

Описание синтаксиса

Параметр	Описание
port_type	(oпционально) тип порта ( Giga или 25GigabitEthernet).
v_port_type_list	(oпционально) список номеров портов, например: 1/1,2-10.

Режим команды: Фундаментальный режим.
Уровень доступа: 15

Указания по применению

Используйте команду «clear dot1x statistics» для очистки счетчиков статистики 802.1Х. Если команда введена без аргументов, то происходит очистка счетчиков статистики на всех интерфейсах.

Примеры

Пример показывает, как очистить счетчики статистики 802.1Х:

# clear dot1x statistics
#

dot1x authentication timer inactivity

Синтаксис команды

dot1x authentication timer inactivity v_10_to_100000
no dot1x authentication timer inactivity

Описание синтаксиса

Параметр	Описание
v_10_to_100000	интервал времени в диапазоне от 10 до 100000 секунд.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x authentication timer inactivity» для установки интервала проверки активности на успешно аутентифицированных MAC-адресах. Используйте команду «no dot1x authentication timer inactivity» для отключения проверки активности. По умолчанию проверка активности отключена.

Примеры

Пример показывает, как установить интервал проверки активности на успешно аутентифицированных MAC-адресах равным 100 секундам:

# configure terminal
(config)# dot1x authentication timer inactivity 100
(config)#

dot1x authentication timer re-authenticate

Синтаксис команды

dot1x authentication timer re-authenticate v_1_to_3600
no dot1x authentication timer re-authenticate

Описание синтаксиса

Параметр	Описание
v_1_to_3600	интервал периодической аутентификации клиентов в диапазоне от 1 до 3600 секунд.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x authentication timer re-authenticate» для установки интервала периодической (повторной) аутентификации клиентов. Используйте команду «no dot1x authentication timer re-authenticate» для установки значения по умолчанию. По умолчанию интервал периодической аутентификации клиентов равен 3600 секундам.

Примеры

Пример показывает, как установить интервал периодической (повторной) аутентификации клиентов равным 100 секундам:

# configure terminal
(config)# dot1x authentication timer re-authenticate 100
(config)#

dot1x feature

Синтаксис команды

dot1x feature { [ guest-vlan ] [ radius-qos ] [ radius-vlan ] }
no dot1x feature { [ guest-vlan ] [ radius-qos ] [ radius-vlan ] }

Описание синтаксиса

Параметр	Описание
guest-vlan	включение функции гостевого VLAN (Guest VLAN).
radius-qos	включение функции назначения QoS на основе атрибутов, полученных от RADIUS-сервера в процессе аутентификации.
radius-vlan	включение функции назначения VLAN на основе атрибутов, полученных от RADIUS-сервера в процессе аутентификации.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x feature» для включения дополнительных функций аутентификации IEEE 802.1X. Используйте команду «no dot1x feature» для отключения дополнительных функций. По умолчанию дополнительные функции отключены.

Примеры

Пример показывает, как включить дополнительные функции аутентификации IEEE 802.1X:

# configure terminal
(config)# dot1x feature guest-vlan radius-qos radius-vlan
(config)#

dot1x guest-vlan (interface)

Синтаксис команды

dot1x guest-vlan
no dot1x guest-vlan

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x guest-vlan» для включения функции гостевого VLAN на интерфейсе. Используйте команду «no dot1x guestvlan» для отключения функции гостевого VLAN на интерфейсе. По умолчанию функция гостевого VLAN отключена. Guest VLAN (гостевой VLAN) предназначен для предоставления ограниченных функций для клиентов, которые не поддерживают аутентификацию IEEE 802.1X или нуждаются в выполнении каких-либо задач перед аутентификацией (например, загрузка ПО с сервера).

Примеры

Пример показывает, как включить функцию гостевого VLAN на интерфейс gigabitethernet 1/1:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# dot1x guest-vlan
(config-if)#

dot1x guest-vlan (global)

Синтаксис команды

dot1x guest-vlan value
no dot1x guest-vlan

Описание синтаксиса

Параметр	Описание
value	идентификатор VLAN в диапазоне от 1 до 4095.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x guest-vlan» для установки идентификатора гостевого VLAN на устройстве. Используйте команду «no dot1x guest-vlan» для установки значения по умолчанию. По умолчанию гостевой VLAN не задан.

Примеры

Пример показывает, как установить номер гостевого VLAN равным 5:

# configure terminal
(config)# dot1x guest-vlan 5
(config)#

dot1x guest-vlan supplicant

Синтаксис команды

dot1x guest-vlan supplicant
no dot1x guest-vlan supplicant

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x guest-vlan supplicant» для включения автоматического входа интерфейсов в гостевой VLAN. Используйте команду «no dot1x guest-vlan supplicant» для отключения функции. По умолчанию автоматический вход интерфейсов в гостевой VLAN отключен. Коммутатор запоминает событие получения фрейма EAPoL на интерфейсе. Если режим автоматического входа интерфейса в гостевой VLAN включен, то интерфейс входит в гостевой VLAN автоматически. В противном случае интерфейс входит в гостевой VLAN, только если интерфейс не получал фреймы EAPoL.

Примеры

Пример показывает, как включить автоматический вход интерфейсов в гостевой VLAN:

# configure terminal
(config)# dot1x guest-vlan supplicant
(config)#

dot1x initialize

Синтаксис команды

dot1x initialize [ interface port_type [ plist ] ]

Описание синтаксиса

Параметр	Описание
port_type	тип порта (Giga или 25GigabitEthernet).
plist	список номеров портов, например: 1/1,2-8.

Режим команды: Фундаментальный режим.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x initialize» для инициализации аутентификации на интерфейсе. Если команда введена без аргументов, то происходит инициализация аутентификации на всех интерфейсах Ethernet.

Примеры

Пример показывает, как провести инициализацию аутентификации на интерфейсе gigabitethernet 1/1:

# dot1x initialize interface GigabitEthernet 1/1
#

dot1x max-reauth-req

Синтаксис команды

dot1x max-reauth-req value
no dot1x max-reauth-req

Описание синтаксиса

Параметр	Описание
value	количество повторов при отправке фреймов EAP request/identity клиенту перед перезапуском процесса аутентификации в диапазоне от 1 до 255.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x max-reauthreq» для установки максимального количества повторов при отправке фреймов Extensible Authentication Protocol (EAP) request/identity (в случае отсутствия ответов) клиенту перед входом интерфейса в гостевой VLAN. Используйте команду «no dot1x max-reauth-req» для установки значения по умолчанию. По умолчанию количество повторов равно 2. Значение настройки рекомендуется изменять только в случае возникновения проблем из-за ненадежного подключения клиентов или проблем совместимости между клиентами и серверами аутентификации.

Примеры

Пример показывает, как установить максимальное количество повторов при отправке фреймов Extensible Authentication Protocol (EAP) request/identity равным 5:

# configure terminal
(config)# dot1x max-reauth-req 5
(config)#

dot1x port-control

Синтаксис команды

dot1x port-control { force-authorized | force-unauthorized | auto | single | multi | mac-based}
no dot1x port-control

Описание синтаксиса

Параметр	Описание
force-authorized	отключение аутентификации 802.1X и безусловное разрешение доступа на интерфейсе (прием и передача трафика).
force-unauthorized	отключение аутентификации 802.1X и безусловный запрет доступа на интерфейсе. Интерфейс игнорирует все попытки аутентификации и запрещает любой прием и передачу трафика через него.
auto	включение аутентификации 802.1X на интерфейсе. Состояние аутентификации на интерфейсе определяется обменом по протоколу IEEE 802.1X между устройством и клиентом.
single	установка режима аутентификации с одним хостом.
multi	установка режима аутентификации с множеством хостов.
mac-based	установка режима аутентификации по MAC-адресу хоста.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x port-control» для установки состояния аутентификации на интерфейсе. Используйте команду «no dot1x portcontrol» для установки значения по умолчанию. По умолчанию установлено отключение аутентификации 802.1X и безусловное разрешение доступа на интерфейсе (прием и передача трафика). Рекомендуется отключить протоколы Spanning-Tree на интерфейсах в режиме «auto». В режиме с одним хостом аутентификация производится только для одного хоста. После успешной аутентификации хоста только этот хост получает доступ в сеть. В режиме с множеством хостов, при успешной аутентификации любого из хостов доступ в сеть разрешен всем хостам, подключенным к интерфейсу. При завершении сессии, доступ в сеть запрещен всем хостам, подключенным к интерфейсу.

Примеры

Пример показывает, как включить аутентификацию 802.1X на интерфейсе gigabitethernet 1/1:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# dot1x port-control auto
(config-if)#

dot1x radius-qos

Синтаксис команды

dot1x radius-qos
no dot1x radius-qos

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x radius-qos» для включения функции назначения QoS по атрибутам, полученным от RADIUS-сервера. Используйте команду «no dot1x radius-qos» для отключения функции. По умолчанию функция отключена.

Примеры

Пример показывает, как включить функцию назначения QoS по атрибутам, полученным от RADIUS-сервера, на интерфейсе gigabitethernet 1/1:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# dot1x radius-qos
(config-if)#

dot1x radius-vlan

Синтаксис команды

dot1x radius-vlan
no dot1x radius-vlan

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x radius-vlan» для включения функции назначения VLAN по атрибутам, полученным от RADIUS-сервера. Используйте команду «no dot1x radius-vlan» для отключения функции. По умолчанию функция отключена.

Примеры

Пример показывает, как включить функцию назначения VLAN по атрибутам, полученным от RADIUS-сервера, на интерфейсе gigabitethernet 1/1:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# dot1x radius-vlan
(config-if)#

dot1x re-authenticate

Синтаксис команды

dot1x re-authenticate

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим настройки интерфейса.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x re-authenticate» для проведения повторной аутентификации на всех или конкретном интерфейсе.

Примеры

Пример показывает, как провести повторную аутентификацию на интерфейсе gigabitethernet 1/1:

# configure terminal
(config)# interface GigabitEthernet 1/1
(config-if)# dot1x re-authenticate
(config-if)#

dot1x re-authentication

Синтаксис команды

dot1x re-authentication
no dot1x re-authentication

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x reauthentication» для включения повторной аутентификации на интерфейсах. Используйте команду «no dot1x re-authentication» для отключения повторной аутентификации на интерфейсах. По умолчанию повторная аутентификация отключена.

Примеры

Пример показывает, как включить повторную аутентификацию на интерфейсах:

# configure terminal
(config)# dot1x re-authentication
(config)#

dot1x system-auth-control

Синтаксис команды

dot1x system-auth-control
no dot1x system-auth-control

Описание синтаксиса

Команда не имеет аргументов.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x system-authcontrol» для глобального включения аутентификации IEEE 802.1X. Используйте команду «no dot1x system-auth-control» для глобального отключения аутентификации IEEE 802.1X. По умолчанию аутентификация IEEE 802.1X отключена.

Примеры

Пример показывает, как включить аутентификацию IEEE 802.1X глобально:

# configure terminal
(config)# dot1x system-auth-control
(config)#

dot1x timeout quiet-period

Синтаксис команды

dot1x timeout quiet-period v_10_to_1000000
no dot1x timeout quiet-period

Описание синтаксиса

Параметр	Описание
v_10_to_1000000	интервал ожидания после неуспешной аутентификации в диапазоне от 10 до 1000000 секунд.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x timeout quietperiod» для установки интервала ожидания после неуспешной аутентификации. Используйте команду «no dot1x timeout quiet-period» для установки значения по умолчанию. По умолчанию интервал ожидания равен 10 секундам. В течение интервала ожидания устройство не принимает и не инициирует попытки аутентификации. Значение настройки рекомендуется изменять только в случае возникновения проблем изза ненадежного подключения клиентов или проблем совместимости между клиентами и серверами аутентификации. Интервал ожидания предназначен для уменьшения вероятности подбора пароля. Команда изменяет интервал ожидания только для аутентификации 802.1X.

Примеры

Пример показывает, как установить интервал ожидания после неуспешной аутентификации равным 50 секундам:

# configure terminal
(config)# dot1x timeout quiet-period 50
(config)#

dot1x timeout tx-period

Синтаксис команды

dot1x timeout tx-period v_1_to_65535
no dot1x timeout tx-period

Описание синтаксиса

Параметр	Описание
v_1_to_65535	интервал ожидания ответа на запрос EAP request/identity от клиента перед повторной отправкой запроса в диапазоне от 1 до 65535 секунд.

Режим команды: Режим глобальной настройки.
Уровень доступа: 15

Указания по применению

Используйте команду «dot1x timeout txperiod» для установки интервала ожидания ответа от клиента на запрос EAP (Extensible Authentication Protocol) request/identity перед повторной отправкой запроса. Используйте команду «no dot1x timeout tx-period» для установки значения по умолчанию. По умолчанию интервал ожидания равен 30 секундам. Значение настройки рекомендуется изменять только в случае возникновения проблем из-за ненадежного подключения клиентов или проблем совместимости между клиентами и серверами аутентификации. Команда изменяет интервал ожидания только для аутентификации 802.1X.

Примеры

Пример показывает, как установить интервал ожидания ответа от клиента на запрос EAP request/identity перед повторной отправкой запроса равным 50 секундам:

# configure terminal
(config)# dot1x timeout tx-period 50
(config)#

show dot1x statistics

Синтаксис команды

show dot1x statistics { eapol | radius | all } [interface port_type [ v_port_type_list ] ]

Описание синтаксиса

Параметр	Описание
eapol	вывод статистики EAPoL.
radius	вывод статистики RADIUS.
all	вывод всей статистики.
port_type	тип порта ( Giga или 25GigabitEthernet).
v_port_type_list	список номеров портов, например: 1/1,2-10.

Режим команды: Фундаментальный режим.
Уровень доступа: 0

Указания по применению

Используйте команду «show dot1x statistics» для вывода счетчиков статистики аутентификации IEEE 802.1X.

Примеры

Пример показывает, как вывести счетчики статистики аутентификации IEEE 802.1X для интерфейса gigabitethernet 1/1:

# show dot1x statistics all interface GigabitEthernet 1/1
Gi 1/1 EAPOL Statistics:
Rx Total:                     0   Tx Total:               0
Rx Response/Id:               0   Tx Request/Id:          0
Rx Response:                  0   Tx Request:             0
Rx Start:                     0
Rx Logoff:                    0
Rx Invalid Type:              0
Rx Invalid Length:            0
Gi 1/1 Backend Server Statistics:
Rx Access Challenges:         0   Tx Responses:           0
Rx Other Requests:            0
Rx Auth. Successes:           0
Rx Auth. Failures:            0
#

show dot1x status

Синтаксис команды

show dot1x status [interface port_type [v_port_type_list ] ] [ brief ]

Описание синтаксиса

Параметр	Описание
port_type	тип порта ( Giga или 25GigabitEthernet).
v_port_type_list	список номеров портов, например: 1/1,2-10.
brief	вывод краткой информации.

Режим команды: Фундаментальный режим.
Уровень доступа: 0

Указания по применению

Используйте команду «show dot1x status» для вывода состояния аутентификации IEEE 802.1X.

Примеры

Пример показывает, как вывести краткую информацию о состоянии аутентификации IEEE 802.1X:

# show dot1x status brief
Interface Admin PortState LastSrc LastID QOS VLAN Guest
--------- ----- --------- ------- ------ --- ---- -----
Gi 1/1    Auth  Down      -       -      -   -    -
Gi 1/2    Auth  Auth      -       -      -   -    -
Gi 1/3    Auth  Down      -       -      -   -    -
Gi 1/4    Auth  Down      -       -      -   -    -
Gi 1/5    Auth  Down      -       -      -   -    -
Gi 1/6    Auth  Down      -       -      -   -    -
Gi 1/7    Auth  Down      -       -      -   -    -
Gi 1/8    Auth  Down      -       -      -   -    -
Gi 1/9    Auth  Down      -       -      -   -    -
Gi 1/10   Auth  Down      -       -      -   -    -
...
#