用户双网卡
双网卡 时间:2021-05-20 阅读:()
i目录1802.
1X1-11.
1802.
1X配置命令·1-11.
1.
1displaydot1x·1-11.
1.
2displaydot1xconnection1-51.
1.
3dot1x·1-101.
1.
4dot1xauthentication-method·1-111.
1.
5dot1xauth-failvlan1-121.
1.
6dot1xcriticalvlan·1-131.
1.
7dot1xdomain-delimiter1-131.
1.
8dot1xead-assistantenable1-141.
1.
9dot1xead-assistantfree-ip1-151.
1.
10dot1xead-assistanturl1-161.
1.
11dot1xguest-vlan1-171.
1.
12dot1xhandshake1-191.
1.
13dot1xhandshakereplyenable1-191.
1.
14dot1xhandshakesecure1-201.
1.
15dot1xmandatory-domain·1-211.
1.
16dot1xmax-user·1-211.
1.
17dot1xmulticast-trigger·1-221.
1.
18dot1xport-control·1-231.
1.
19dot1xport-method1-241.
1.
20dot1xquiet-period·1-251.
1.
21dot1xre-authenticate·1-251.
1.
22dot1xre-authenticateserver-unreachablekeep-online·1-261.
1.
23dot1xretry·1-271.
1.
24dot1xsmarton·1-271.
1.
25dot1xsmartonpassword1-281.
1.
26dot1xsmartonretry1-291.
1.
27dot1xsmartonswitchid·1-301.
1.
28dot1xsmartontimersupp-timeout·1-311.
1.
29dot1xtimer·1-311.
1.
30dot1xunicast-trigger·1-331.
1.
31resetdot1xguest-vlan1-35ii1.
1.
32resetdot1xstatistics·1-351-11802.
1X由于WX1800H系列、WX2500H系列和WX3000H系列无线控制器不支持IRF功能,因此不支持IRF模式的命令行配置.
1.
1802.
1X配置命令1.
1.
1displaydot1xdisplaydot1x命令用来显示802.
1X的相关信息.
【命令】displaydot1x[sessions|statistics][apap-name[radioradio-id]|interfaceinterface-typeinterface-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】sessions:显示802.
1X的会话连接信息.
statistics:显示802.
1X的相关统计信息.
apap-name:显示指定AP的所有802.
1X的详细信息.
ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、".
"、"["、"]"、"/"及"-",不区分大小写.
radioradio-id:显示指定Radio的所有802.
1X的详细信息.
radio-id表示Radio编号,取值范围与AP型号有关.
若不指定本参数,则表示显示指定AP的所有Radio的802.
1X的详细信息.
interfaceinterface-typeinterface-number:显示指定端口的802.
1X信息.
interface-typeinterface-number为端口类型和端口编号.
【使用指导】如果不指定参数sessions或者statistics,则显示802.
1X的所有信息,包括会话连接信息、相关统计信息和配置信息等.
如果不指定ap和interface参数,则显示所有有线和无线的802.
1X信息.
如果不指定任何参数,则显示802.
1X的所有信息.
【举例】#显示802.
1X的所有信息.
1-2displaydot1xGlobal802.
1Xparameters:802.
1Xauthentication:EnabledCHAPauthentication:EnabledMax-txperiod:30sHandshakeperiod:15sQuiettimer:DisabledQuietperiod:60sSupptimeout:30sServertimeout:100sReauthperiod:3600sMaxauthrequests:2SmartOnswitchID:30SmartOnsupptimeout:30sSmartOnretrycounts:3EADassistantfunction:DisabledURL:http://www.
dwsoft.
comFreeIP:6.
6.
6.
0255.
255.
255.
0EADtimeout:30minDomaindelimiter:@Online802.
1Xwiredusers:1Online802.
1Xwirelessusers:1GigabitEthernet1/0/1islink-up802.
1Xauthentication:EnabledHandshake:EnabledHandshakereply:DisabledHandshakesecurity:DisabledUnicasttrigger:DisabledPeriodicreauth:DisabledPortrole:AuthenticatorAuthorizationmode:AutoPortaccesscontrol:Port-basedMulticasttrigger:EnabledMandatoryauthdomain:NotconfiguredGuestVLAN:3Auth-FailVLAN:NotconfiguredCriticalVLAN:NotconfiguredCriticalvoiceVLAN:DisabledRe-authserver-unreachable:LogoffMaxonlineusers:256SmartOn:DisabledEAPOLpackets:Tx3,Rx4SentEAPRequest/Identitypackets:1EAPRequest/Challengepackets:1EAPSuccesspackets:1EAPFailurepackets:01-3ReceivedEAPOLStartpackets:1EAPOLLogOffpackets:1EAPResponse/Identitypackets:1EAPResponse/Challengepackets:1Errorpackets:0Online802.
1Xusers:1MACaddressAuthstate0001-0000-0000AuthenticatedAPname:AP1RadioID:1SSID:wlan_dot1x_ssidBSSID:1111-1111-1111802.
1Xauthentication:EnabledHandshake:EnabledHandshakesecurity:DisabledPeriodicreauth:DisabledMandatoryauthdomain:NotconfiguredMaxonlineusers:256EAPOLpackets:Tx3,Rx4SentEAPRequest/Identitypackets:1EAPRequest/Challengepackets:1EAPSuccesspackets:1EAPFailurepackets:0ReceivedEAPOLStartpackets:1EAPOLLogOffpackets:1EAPResponse/Identitypackets:1EAPResponse/Challengepackets:1Errorpackets:0Online802.
1Xusers:1MACaddressAuthstate0001-0000-0002Authenticated表1-1displaydot1x命令显示信息描述表字段描述Global802.
1Xparameters全局802.
1X参数配置信息802.
1Xauthentication全局802.
1X的开启状态CHAPauthentication启用EAP终结方式,并采用CHAP认证方法EAPauthentication启用EAP中继方式,并支持所有EAP认证方法PAPauthentication启用EAP终结方式,并采用PAP认证方法Max-txperiod用户名请求超时定时器的值Handshakeperiod握手定时器的值Quiettimer静默定时器的开启状态Quietperiod静默定时器的值Supptimeout客户端认证超时定时器的值1-4字段描述Servertimeout认证服务器超时定时器的值Reauthperiod重认证定时器的值Maxauthrequests设备向接入用户发送认证请求报文的最大次数SmartOnswitchIDSmartOn的SwitchIDSmartOnsupptimeoutSmartOn的客户端认证超时定时器的时长SmartOnretrycountsSmartOn的通知请求报文的最大发送次数EADassistantfunctionEAD快速部署辅助功能的开启状态URL用户HTTP访问的重定向URLFreeIP用户通过认证之前可访问的网段EADtimeoutEAD老化定时器超时时间Domaindelimiter域名分隔符Online802.
1Xwiredusers在线802.
1X有线用户和正在发起认证的802.
1X有线用户的总数Online802.
1Xwirelessusers在线802.
1X无线用户和正在发起认证的802.
1X无线用户的总数GigabitEthernet1/0/1islink-up端口GigabitEthernet1/0/1的链路状态802.
1Xauthentication端口上802.
1X的开启状态Handshake在线用户握手功能的开启状态Handshakereply在线用户握手回应功能的开启状态Handshakesecurity安全握手功能的开启状态Unicasttrigger802.
1X单播触发功能的开启状态Periodicreauth周期性重认证功能的开启状态Portrole该端口担当认证端的作用,目前仅支持作为认证端Authorizationmode端口的授权状态Force-Authorized:强制授权状态Auto:自动识别状态Force-Unauthorized:强制非授权状态Portaccesscontrol端口接入控制方式MAC-based:基于MAC地址对接入用户进行认证Port-based:基于端口对接入用户进行认证Multicasttrigger802.
1X组播触发功能的开启状态Mandatoryauthdomain端口上的接入用户使用的强制认证域GuestVLAN端口配置的GuestVLAN,若此功能未配置则显示Notconfigured1-5字段描述Auth-failVLAN端口配置的Auth-FailVLAN,若此功能未配置则显示NotconfiguredCriticalVLAN端口配置的CriticalVLAN,若此功能未配置则显示NotconfiguredCriticalvoiceVLAN端口上CriticalVoiceVLAN功能的开启状态,包括如下取值:Enabled:开启Disabled:关闭Re-authserver-unreachable重认证时服务器不可达对802.
1X在线用户采取的动作Maxonlineusers本端口最多可容纳的接入用户数SmartOn端口上SmartOn的开启状态EAPOLpacketsEAPOL报文数目.
Tx表示发送的报文数目;Rx表示接受的报文数目SentEAPRequest/Identitypackets发送的EAPRequest/Identity报文数EAPRequest/Challengepackets发送的EAPRequest/Challenge报文数EAPSuccesspackets发送的EAPSuccess报文数EAPFailpackets发送的EAPFailure报文数ReceivedEAPOLStartpackets接收的EAPOLStart报文数EAPOLLogOffpackets接收的EAPOLLogOff报文数EAPResponse/Identitypackets接收的EAPResponse/Identity报文数EAPResponse/Challengepackets接收的EAPResponse/Challenge报文数Errorpackets接收的错误报文数Online802.
1Xusers端口上的在线802.
1X用户和正在发起认证的802.
1X用户的总数MACaddress802.
1X用户的MAC地址Authstate802.
1X用户的认证状态APnameAP名称RadioIDRadio编号SSID服务集标识符BSSID基本服务集标识符1.
1.
2displaydot1xconnectiondisplaydot1xconnection命令用来显示当前802.
1X在线用户的详细信息.
1-6【命令】(独立运行模式)displaydot1xconnection[apap-name[radioradio-id]|interfaceinterface-typeinterface-number|user-macmac-address|user-namename-string](IRF模式)displaydot1xconnection[apap-name[radioradio-id]|interfaceinterface-typeinterface-number|slotslot-number|user-macmac-address|user-namename-string]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】apap-name:显示接入指定AP的所有802.
1X在线用户的信息.
ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、".
"、"["、"]"、"/"及"-",不区分大小写.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
radioradio-id:显示接入指定Radio的802.
1X在线用户的信息.
radio-id表示Radio编号,取值范围与AP型号有关.
若不指定本参数,则表示显示接入AP下所有Radio的802.
1X在线用户的信息.
interfaceinterface-typeinterface-number:显示指定端口的802.
1X在线用户信息.
其中interface-typeinterface-number表示端口类型和端口编号.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
slotslot-number:显示指定成员设备上的802.
1X在线用户信息.
slot-number表示设备在IRF中的成员编号.
若不指定本参数,则表示所有成员设备上的802.
1X在线用户信息.
(IRF模式)user-macmac-address:显示指定MAC地址的802.
1X在线用户信息.
其中mac-address表示用户的MAC地址,格式为H-H-H.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
user-namename-string:显示指定用户名的802.
1X在线用户信息.
其中name-string表示用户名,为1~253个字符的字符串,区分大小写.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
【使用指导】如果不指定任何参数,则显示所有端口的802.
1X在线用户信息.
(独立运行模式)多台设备组成IRF环境下,如果不指定任何参数,则显示所有成员设备上的802.
1X在线用户信息.
(IRF模式)【举例】#显示所有802.
1X在线用户信息.
(独立运行模式)displaydot1xconnectionTotalconnections:11-7UserMACaddress:0015-e9a6-7cfeAccessinterface:GigabitEthernet1/0/1Username:iasAuthenticationdomain:abcIPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationuntaggedVLAN:6AuthorizationtaggedVLANlist:1to579111315171921232527293133293133353740to100AuthorizationACLnumber/name:3001Authorizationuserprofile:N/ATerminationaction:DefaultSessiontimeoutperiod:2sOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bytes:0/0Receivedpackets/bytes:272/13445Level-1Sentpackets/bytes:0/0Receivedpackets/bytes:45/1248UserMACaddress:0016-ecb7-a879APname:ap1RadioID:1SSID:wlan_dot1x_ssidBSSID:0015-e9a6-7cf0Username:iasAuthenticationdomain:1IPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationVLAN:N/AAuthorizationACLnumber:3001Authorizationuserprofile:N/AAuthorizationCAR:Averageinputrate:102400bpsAverageoutputrate:102400bpsTerminationaction:DefaultSessiontimeoutperiod:2secOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bytes:1/54Receivedpackets/bytes:0/01-8Level-1Sentpackets/bytes:0/0Receivedpackets/bytes:45/1248#显示所有802.
1X在线用户信息.
(IRF模式)displaydot1xconnectionTotalconnections:1SlotID:0UserMACaddress:0015-e9a6-7cfeAccessinterface:GigabitEthernet1/0/1Username:iasAuthenticationdomain:abcIPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationuntaggedVLAN:6AuthorizationtaggedVLANlist:1to579111315171921232527293133293133353740to100AuthorizationACLnumber/name:3001Authorizationuserprofile:N/ATerminationaction:DefaultSessiontimeoutperiod:2sOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bates:1/54Receivedpackets/bates:0/0Level-1Sentpackets/bates:0/0Receivedpackets/bates:45/1248UserMACaddress:0016-ecb7-a879APname:ap1RadioID:1SSID:wlan_dot1x_ssidBSSID:0015-e9a6-7cf0Username:iasAuthenticationdomain:1IPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationVLAN:N/AAuthorizationACLnumber:3001Authorizationuserprofile:N/AAuthorizationCAR:Averageinputrate:102400bpsAverageoutputrate:102400bpsTerminationaction:Default1-9Sessiontimeoutperiod:2secOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bates:1/54Receivedpackets/bates:0/0Level-1Sentpackets/bates:0/0Receivedpackets/bates:45/1248表1-2displaydot1xconnection命令显示信息描述表字段描述Totalconnections在线802.
1X认证用户个数UserMACaddress用户的MAC地址Accessinterface用户的接入接口名称APnameAP的名称RadioIDRadio的IDSSID服务集标识符BSSID用户所属的基本服务集标识符Username用户名Authenticationdomain认证时使用的ISP域的名称IPv4address用户IP地址若未获取到用户的IP地址,则不显示该字段IPv6address用户IPv6地址若未获取到用户的IP地址,则不显示该字段Authenticationmethod802.
1X系统的认证方法CHAP:启用EAP终结方式,并采用CHAP认证方法EAP:启用EAP中继方式,并支持所有EAP认证方法PAP:启用EAP终结方式,并采用PAP认证方法InitialVLAN初始的VLANAuthorizationuntaggedVLAN授权的untaggedVLANAuthorizationtaggedVLANlist授权的taggedVLAN列表AuthorizationACLnumber/name授权ACL的编号或名称.
若未授权ACL,则显示为N/A若未授权成功,则在ACL编号后显示"(NOTeffective)"Authorizationuserprofile授权用户的Userprofile名称AuthorizationCAR当服务器未授权用户CAR属性时,该字段显示为N/A.
当服务器授权用户CAR属性,将分为以下两个字段:Averageinputrate:上行平均速率,单位为bpsAverageoutputrate:下行平均速率,单位为bps1-10字段描述Terminationaction服务器下发的终止动作类型:Default:会话超时时长到达后,强制用户下线.
但是,如果设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.
1X用户发起重认证,而不会强制用户下线Radius-Request:会话超时时长到达后,要求802.
1X用户进行重认证用户采用本地认证时,该字段显示为N/ASessiontimeoutperiod服务器下发的会话超时时长,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminationaction字段的取值决定用户采用本地认证时,该字段显示为N/AOnlinefrom用户的上线时间Onlineduration用户的在线时长Levelflowstatistic按Level计费的流量统计,共有0-8个Level级别,若配置按Level计费功能,则显示配置的Level的流量统计;若未配置按level计费功能或无流量,则不显示该字段Sentpackets/bytes:发送的报文数和字节数Receivedpackets/bytes:接收到的报文数和字节数1.
1.
3dot1xdot1x命令用来开启端口上或全局的802.
1X.
undodot1x命令用来关闭端口上或全局的802.
1X.
【命令】dot1xundodot1x【缺省情况】所有端口以及全局的802.
1X都处于关闭状态.
【视图】系统视图二层以太网接口视图【缺省用户角色】network-admin【使用指导】只有同时开启全局和端口的802.
1X后,802.
1X的配置才能在端口上生效.
【举例】#开启全局的802.
1X.
system-view1-11[Sysname]dot1x#开启端口GigabitEthernet1/0/1上的802.
1X.
[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1x[Sysname-GigabitEthernet1/0/1]quit【相关命令】displaydot1x1.
1.
4dot1xauthentication-methoddot1xauthentication-method命令用来配置802.
1X系统的认证方法.
undodot1xauthentication-method命令用来恢复缺省情况.
【命令】dot1xauthentication-method{chap|eap|pap}undodot1xauthentication-method【缺省情况】设备启用EAP终结方式,并采用CHAP认证方法.
【视图】系统视图【缺省用户角色】network-admin【参数】chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法.
eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法.
pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法.
【使用指导】在EAP终结方式下:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互.
该方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode802.
1X客户端发起的"用户名+密码"方式的EAP认证.
有关PAP和CHAP两种认证方法的详细介绍如下:PAP(PasswordAuthenticationProtocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境.
目前,H3CiNode802.
1X客户端支持此认证方法.
CHAP(ChallengeHandshakeAuthenticationProtocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令.
与PAP相比,CHAP认证保密性较好,更为安全可靠.
1-12在EAP中继方式下:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证.
该方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法.
采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法.
若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见"用户接入与认证命令参考"中的"AAA".
【举例】#启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法.
system-view[Sysname]dot1xauthentication-methodpap【相关命令】displaydot1x1.
1.
5dot1xauth-failvlandot1xauth-failvlan命令用来配置端口的802.
1XAuth-FailVLAN.
undodot1xauth-failvlan命令用来恢复缺省情况.
【命令】dot1xauth-failvlanauthfail-vlan-idundodot1xauth-failvlan【缺省情况】端口上未配置802.
1XAuth-FailVLAN.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】authfail-vlan-id:端口上指定的Auth-FailVLANID,取值范围为1~4094.
该VLAN必须已经创建.
【使用指导】端口上配置此功能后,认证失败的802.
1X用户可以继续访问Auth-FailVLAN中的资源.
禁止删除已被配置为Auth-FailVLAN的VLAN,若要删除该VLAN,请先通过undodot1xauth-failvlan命令取消802.
1XAuth-FailVLAN配置.
端口类型为Hybrid时,请不要将指定的Auth-FailVLAN修改为携带Tag的方式.
【举例】#配置端口GigabitEthernet1/0/1的Auth-FailVLAN为VLAN100.
system-view1-13[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xauth-failvlan100【相关命令】displaydot1x1.
1.
6dot1xcriticalvlandot1xcriticalvlan命令用来配置端口的802.
1XCriticalVLAN.
undodot1xcriticalvlan命令用来恢复缺省情况.
【命令】dot1xcriticalvlancritical-vlan-idundodot1xcriticalvlan【缺省情况】端口上未配置CriticalVLAN.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】critical-vlan-id:端口上指定的CriticalVLANID,取值范围为1~4094.
该VLAN必须已经创建.
【使用指导】配置此功能后,当802.
1X用户认证时对应的ISP域下所有认证服务器都不可达的情况下,此802.
1X用户可以继续访问CriticalVLAN中的资源.
禁止删除已被配置为CriticalVLAN的VLAN,若要删除该VLAN,请先通过undodot1xcriticalvlan命令取消802.
1XCriticalVLAN配置.
端口类型为Hybrid时,请不要将指定的CriticalVLAN修改为携带Tag的方式.
【举例】#配置端口GigabitEthernet1/0/1的CriticalVLAN为VLAN100.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xcriticalvlan100【相关命令】displaydot1x1.
1.
7dot1xdomain-delimiterdot1xdomain-delimiter命令用来配置802.
1X支持的域名分隔符.
undodot1xdomain-delimiter命令用来恢复缺省情况.
1-14【命令】dot1xdomain-delimiterstringundodot1xdomain-delimiter【缺省情况】802.
1X支持的域名分隔符为@.
【视图】系统视图【缺省用户角色】network-admin【参数】string:多个域名分隔符组成的1~16个字符的字符串,且分隔符只能为@、.
、/或\.
若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\.
【使用指导】目前,802.
1X支持的域名分隔符包括和.
,对应的用户名格式分别为username@domain-name,domain-name\username、username/domain-name和username.
domain-name,其中username为纯用户名、domain-name为域名.
如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.
123/22\@abc,若设备上指定802.
1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.
123/22.
系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.
1X仅会支持命令中指定的分隔符.
【举例】#配置802.
1X支持的域名分隔符为@和/.
system-view[Sysname]dot1xdomain-delimiter@/【相关命令】displaydot1x1.
1.
8dot1xead-assistantenabledot1xead-assistantenable命令用来开启EAD快速部署辅助功能.
undodot1xead-assistantenable命令用来关闭EAD快速部署辅助功能.
【命令】dot1xead-assistantenableundodot1xead-assistantenable【缺省情况】EAD快速部署辅助功能处于关闭状态.
1-15【视图】系统视图【缺省用户角色】network-admin【使用指导】开启EAD快速部署辅助功能后,设备允许未通过认证的802.
1X用户访问一个特定的IP地址段,并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的.
为使EAD快速部署功能生效,必须保证指定端口的授权模式为auto.
该命令与MAC地址认证和端口安全的全局使能命令均互斥,即开启EAD快速部署辅助功能时,若全局使能了MAC地址认证或端口安全,则该配置将会执行失败,反之亦然.
【举例】#开启EAD快速部署辅助功能.
system-view[Sysname]dot1xead-assistantenable【相关命令】displaydot1xdot1xead-assistantfree-ipdot1xead-assistanturl1.
1.
9dot1xead-assistantfree-ipdot1xead-assistantfree-ip命令用来配置FreeIP.
undodot1xead-assistantfree-ip命令用来删除指定的FreeIP.
【命令】dot1xead-assistantfree-ipip-address{mask-address|mask-length}undodot1xead-assistantfree-ip{ip-address{mask-address|mask-length}|all}【缺省情况】未配置FreeIP,用户在通过802.
1X认证之前不能够访问任何网段.
【视图】系统视图【缺省用户角色】network-admin【参数】ip-address:指定的IP地址.
mask-address:指定的IP掩码地址.
mask-length:指定的IP掩码地址长度,取值范围为1~32.
1-16all:所有配置的IP.
【使用指导】全局使能EAD快速部署功能且配置FreeIP之后,未通过认证的802.
1X终端用户可以访问该IP地址段中的网络资源.
可通过重复执行此命令来配置多个FreeIP.
【举例】#配置用户在通过802.
1X认证之前能够访问的网段为192.
168.
1.
1/16.
system-view[Sysname]dot1xead-assistantfree-ip192.
168.
1.
1255.
255.
0.
0【相关命令】displaydot1xdot1xead-assistantenabledot1xead-assistanturl1.
1.
10dot1xead-assistanturldot1xead-assistanturl命令用来配置802.
1X用户HTTP访问的重定向URL.
undodot1xead-assistanturl命令用来恢复缺省情况.
【命令】dot1xead-assistanturlurl-stringundodot1xead-assistanturl【缺省情况】未配置802.
1X用户HTTP访问的重定向URL.
【视图】系统视图【缺省用户角色】network-admin【参数】url-string:重定向URL地址,为1~256个字符的字符串,区分大小写.
【使用指导】用户在802.
1X认证成功之前,如果使用浏览器访问非FreeIP网段的其它网络,设备会将用户访问的URL重定向到已配置的重定向地址.
802.
1X用户重定向的URL和FreeIP必须在同一个网段内,否则用户无法访问指定的重定向URL.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置802.
1X用户HTTP访问的重定向URL为http://test.
com.
system-view[Sysname]dot1xead-assistanturlhttp://test.
com1-17【相关命令】displaydot1xdot1xead-assistantenabledot1xead-assistantfree-ip1.
1.
11dot1xguest-vlandot1xguest-vlan命令用来配置端口的802.
1XGuestVLAN.
undodot1xguest-vlan命令用来恢复缺省情况.
【命令】dot1xguest-vlanguest-vlan-idundodot1xguest-vlan本命令的支持情况与设备型号有关,请以设备的实际情况为准.
产品系列产品型号产品代码说明WX1800H系列WX1804H-PWREWP-WX1804H-PWR-CN不支持WX2500H系列WX2508H-PWR-LTEWX2510H-PWRWX2510H-F-PWRWX2540HWX2540H-FWX2560HEWP-WX2508H-PWR-LTEEWP-WX2510H-PWREWP-WX2510H-F-PWREWP-WX2540HEWP-WX2540H-FEWP-WX2560H不支持WX3000H系列WX3010HWX3010H-X-PWRWX3010H-L-PWRWX3024HWX3024H-L-PWRWX3024H-FEWP-WX3010HEWP-WX3010H-X-PWREWP-WX3010H-L-PWREWP-WX3024HEWP-WX3024H-L-PWREWP-WX3024H-F支持WX3500H系列WX3508HWX3508HWX3510HWX3510HWX3520HWX3520H-FWX3540HWX3540HEWP-WX3508HEWP-WX3508H-FEWP-WX3510HEWP-WX3510H-FEWP-WX3520HEWP-WX3520H-FEWP-WX3540HEWP-WX3540H-F不支持WX5500E系列WX5510EWX5540EEWP-WX5510EEWP-WX5540E支持WX5500H系列WX5540HWX5560HWX5580HEWP-WX5540HEWP-WX5560HEWP-WX5580H支持AC插卡系列LSUM1WCME0LSUM1WCME0支持1-18EWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0FEWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0F产品系列产品型号产品代码说明WX1800H系列WX1804H-PWRWX1810H-PWRWX1820HWX1840HEWP-WX1804H-PWREWP-WX1810H-PWREWP-WX1820HEWP-WX1840H-GL不支持WX3800H系列WX3820HWX3840HEWP-WX3820H-GLEWP-WX3840H-GL支持WX5800H系列WX5860HEWP-WX5860H-GL支持【缺省情况】端口上未配置802.
1XGuestVLAN.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】guest-vlan-id:端口上指定的GuestVLANID,取值范围为1~4094.
该VLAN必须已经创建.
【使用指导】配置此功能后,在802.
1X用户在未认证的情况下,其可以访问的VLAN资源,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器.
禁止删除已被配置为GuestVLAN的VLAN,若要删除该VLAN,请先通过undodot1xguest-vlan命令取消802.
1XGuestVLAN配置.
端口类型为Hybrid时,请不要将指定的GuestVLAN修改为携带Tag的方式.
【举例】#配置端口GigabitEthernet1/0/1的GuestVLAN为VLAN100.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xguest-vlan100【相关命令】displaydot1x1-191.
1.
12dot1xhandshakedot1xhandshake命令用于开启在线用户握手功能.
undodot1xhandshake命令用于关闭在线用户握手功能.
【命令】dot1xhandshakeundodot1xhandshake【缺省情况】在线用户握手功能处于开启状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1xtimerhandshake-period设置)向通过802.
1X认证的在线用户发送握手报文,以定期检测用户的在线情况.
如果设备连续多次(通过命令dot1xretry设置)没有收到客户端的响应报文,则会将用户置为下线状态.
【举例】#在端口GigabitEthernet1/0/1上开启在线用户握手功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xhandshake【相关命令】displaydot1xdot1xtimerhandshake-perioddot1xretry1.
1.
13dot1xhandshakereplyenabledot1xhandshakereplyenable命令用来开启端口发送在线握手成功报文功能.
undodot1xhandshakereplyenable命令用来关闭端口发送在线握手成功报文功能.
【命令】dot1xhandshakereplyenableundodot1xhandshakereplyenable【缺省情况】端口发送在线握手成功报文功能处于关闭状态.
1-20【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】端口上开启在线用户握手功能后,缺省情况下,设备收到该端口上802.
1X在线用户的在线握手应答报文(EAP-Response/Identity报文)后,则认为该用户在线,并不给客户端回应在线握手成功报文(EAP-Success报文).
但是,有些802.
1X客户端如果没有收到设备回应的在线握手成功报文(EAP-Success报文),就会自动下线.
为了避免这种情况发生,需要在端口上开启发送在线握手成功报文功能.
只有当802.
1X客户端需要收到在线握手成功报文时,才需要开启此功能.
【举例】#在端口GigabitEthernet1/0/1上开启的发送在线握手成功报文功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xhandshakereplyenable【相关命令】dot1xhandshake1.
1.
14dot1xhandshakesecuredot1xhandshakesecure命令用来开启在线用户握手安全功能.
undodot1xhandshakesecure命令用来关闭在线用户握手安全功能.
【命令】dot1xhandshakesecureundodot1xhandshakesecure【缺省情况】在线用户握手安全功能处于关闭状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】开启在线用户握手安全功能后,可以防止在线的802.
1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能.
只有设备上的在线用户握手功能处于开启状态时,安全握手功能才会生效.
本功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效.
1-21【举例】#在端口GigabitEthernet1/0/1上开启在线用户握手安全功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xhandshakesecure【相关命令】displaydot1xdot1xhandshake1.
1.
15dot1xmandatory-domaindot1xmandatory-domain命令用来指定端口上802.
1X用户使用的强制认证域.
undodot1xmandatory-domain命令用来恢复缺省情况.
【命令】dot1xmandatory-domaindomain-nameundodot1xmandatory-domain【缺省情况】未指定802.
1X用户使用的强制认证域.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】domain-name:ISP域名,为1~255个字符的字符串,不区分大小写.
【使用指导】从指定端口上接入的802.
1X用户将按照如下先后顺序选择认证域:端口上指定的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域.
【举例】#指定端口GigabitEthernet1/0/1上802.
1X用户使用的强制认证域为my-domain.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xmandatory-domainmy-domain【相关命令】displaydot1x1.
1.
16dot1xmax-userdot1xmax-user命令用来配置端口上最多允许同时接入的802.
1X用户数.
undodot1xmax-user命令用来恢复缺省情况.
1-22【命令】dot1xmax-usermax-numberundodot1xmax-user【缺省情况】端口上最多允许同时接入的802.
1X用户数为4294967295.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】max-number:端口允许同时接入的802.
1X用户数的最大值,取值范围为1~4294967295.
【使用指导】由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障.
当接入此端口的802.
1X用户数超过最大值后,新接入的用户将被拒绝.
【举例】#配置端口GigabitEthernet1/0/1上最多允许同时接入32个802.
1X用户.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xmax-user321.
1.
17dot1xmulticast-triggerdot1xmulticast-trigger命令用来开启802.
1X的组播触发功能.
undodot1xmulticast-trigger命令用来关闭802.
1X的组播触发功能.
【命令】dot1xmulticast-triggerundodot1xmulticast-trigger【缺省情况】802.
1X的组播触发功能处于开启状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin1-23【使用指导】开启了802.
1X的组播触发功能的端口会定期(间隔时间通过命令dot1xtimertx-period设置)向客户端组播发送EAP-Request/Identity报文来检测客户端并触发认证.
该功能用于支持不能主动发送EAPOL-Start报文来发起认证的客户端.
对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必设备端定期发送802.
1X的组播报文来触发.
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能.
【举例】#在端口GigabitEthernet1/0/1上开启802.
1X的组播触发功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xmulticast-trigger【相关命令】displaydot1xdot1xtimertx-perioddot1xunicast-trigger1.
1.
18dot1xport-controldot1xport-control命令用来设置端口的授权状态.
undodot1xport-control命令用来恢复缺省情况.
【命令】dot1xport-control{authorized-force|auto|unauthorized-force}undodot1xport-control【缺省情况】端口的授权状态为auto.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】authorized-force:强制授权状态,表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源.
auto:自动识别状态,表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户认证通过,则端口切换到授权状态,允许用户访问网络资源.
这也是最常用的一种状态.
unauthorized-force:强制非授权状态,表示端口始终处于非授权状态,不允许用户访问网络资源.
1-24【使用指导】通过配置端口的授权状态,可以控制端口上接入的用户是否需要通过认证才能访问网络资源.
【举例】#指定端口GigabitEthernet1/0/1处于强制非授权状态.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xport-controlunauthorized-force【相关命令】displaydot1x1.
1.
19dot1xport-methoddot1xport-method命令用来配置端口的接入控制方式.
undodot1xport-method命令用来恢复缺省情况.
【命令】dot1xport-method{macbased|portbased}undodot1xport-method【缺省情况】端口的接入控制方式为macbased.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】macbased:表示基于MAC地址对接入用户进行认证,即该端口上的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络.
portbased:表示基于端口对接入用户进行认证,即只要该端口上的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其它用户也会被拒绝使用网络.
【使用指导】在要求所有接入用户都单独认证的情况下,选择基于MAC的控制方式,可提高网络接入的安全性.
否则,可采用基于端口的接入控制方式.
【举例】#在端口GigabitEthernet1/0/1上配置对接入用户进行基于端口的802.
1X认证.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xport-methodportbased【相关命令】displaydot1x1-251.
1.
20dot1xquiet-perioddot1xquiet-period命令用来开启静默定时器功能.
undodot1xquiet-period命令用来关闭静默定时器功能.
【命令】dot1xquiet-periodundodot1xquiet-period【缺省情况】静默定时器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】在静默定时器功能处于开启状态的情况下,设备将在一段时间之内不对802.
1X认证失败的用户进行802.
1X认证处理,该时间由802.
1X静默定时器控制,可通过dot1xtimerquiet-period命令配置.
【举例】#开启静默定时器功能,并配置静默定时器的值为100秒.
system-view[Sysname]dot1xquiet-period[Sysname]dot1xtimerquiet-period100【相关命令】displaydot1xdot1xtimer1.
1.
21dot1xre-authenticatedot1xre-authenticate命令用来开启周期性重认证功能.
undodot1xre-authenticate命令用来关闭周期性重认证功能.
【命令】dot1xre-authenticateundodot1xre-authenticate【缺省情况】周期性重认证功能处于关闭状态.
【视图】二层以太网接口视图1-26【缺省用户角色】network-admin【使用指导】端口开启了802.
1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1xtimerreauth-period)设定的时间间隔定期启动对该端口在线802.
1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN等).
【举例】#在端口GigabitEthernet1/0/1上开启802.
1X重认证功能,并配置周期性重认证时间间隔为1800秒.
system-view[Sysname]dot1xtimerreauth-period1800[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xre-authenticate【相关命令】displaydot1xdot1xtimer1.
1.
22dot1xre-authenticateserver-unreachablekeep-onlinedot1xre-authenticateserver-unreachablekeep-online命令用来配置重认证服务器不可达时端口上的用户保持在线状态.
undodot1xre-authenticateserver-unreachable命令用来恢复缺省情况.
【命令】dot1xre-authenticateserver-unreachablekeep-onlineundodot1xre-authenticateserver-unreachable【缺省情况】端口上的802.
1X在线用户重认证时,若认证服务器不可达,则会被强制下线.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】若端口上开启了802.
1X的周期性重认证功能,则设备会定期对端口上的802.
1X在线用户进行重认证,重认证过程中,若设备发现认证服务器状态不可达,则可以根据本配置,决定是否保持其在线状态.
【举例】#配置端口GigabitEthernet1/0/1上的802.
1X在线用户进行重认证时,若服务器不可达,则保持在线状态.
system-view1-27[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xre-authenticateserver-unreachablekeep-online【相关命令】displaydot1xdot1xre-authenticate1.
1.
23dot1xretrydot1xretry命令用来设置设备向接入用户发送认证请求报文的最大次数.
undodot1xretry命令用来恢复缺省情况.
【命令】dot1xretryretriesundodot1xretry【缺省情况】设备向接入用户发送认证请求报文的最大次数为2.
【视图】系统视图【缺省用户角色】network-admin【参数】retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10.
【使用指导】如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求.
对于EAP-Request/Identity报文,该时间由dot1xtimertx-period设置;对于EAP-Request/MD5Challenge报文,该时间由dot1xtimersupp-timeout设置.
【举例】#配置设备最多向接入用户发送9次认证请求报文.
system-view[Sysname]dot1xretry9【相关命令】displaydot1xdot1xtimer1.
1.
24dot1xsmartondot1xsmarton命令用来开启端口的SmartOn功能.
undodot1xsmarton命令用来关闭端口的SmartOn功能.
1-28【命令】dot1xsmartonundodot1xsmarton【缺省情况】端口的SmartOn功能处于关闭状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】若开启了SmartOn功能的端口上收到802.
1X客户端发送的EAPOL-Start报文,则将向其回复单播的EAP-Request/Notification报文,并开启定时器(dot1xsmartontimersupp-timeout)等待客户端响应EAP-Response/Notification报文.
该Notification报文中包含一个SwitchID和一个MD5摘要,若这两个值与本地配置的SmartOn的SwitchID以及SmartOn密码的MD5摘要值相同,则继续客户端的802.
1X认证,否则中止客户端的802.
1X认证.
802.
1XSmartOn功能与在线用户握手功能互斥,建议两个功能不要同时开启.
【举例】#开启端口GigabitEthernet1/0/1的SmartOn功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xsmarton【相关命令】displaydot1xdot1xsmartonswitchiddot1xsmartonpassword1.
1.
25dot1xsmartonpassworddot1xsmartonpassword命令用来配置SmartOn密码.
undodot1xsmartonpassword命令用来恢复缺省情况.
【命令】dot1xsmartonpassword{cipher|simple}stringundodot1xsmartonpassword【缺省情况】未配置SmartOn密码.
【视图】系统视图1-29【缺省用户角色】network-admin【参数】cipher:以密文方式设置密码.
simple:以明文方式设置密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~16个字符的字符串,密文密码为1~53个字符的字符串.
【使用指导】开启了SmartOn功能的端口上,需要验证802.
1X客户端发送的EAP-Response/Notification报文中携带的MD5摘要,只有与本命令配置的SmartOn密码的MD5摘要相同,客户端802.
1X的认证才能继续进行.
多次执行本命令,最后一次执行的命令生效【举例】#配置SmartOn密码为明文abc.
system-view[Sysname]dot1xsmartonpasswordsimpleabc【相关命令】displaydot1xdot1xsmartondot1xsmartonswitchid1.
1.
26dot1xsmartonretrydot1xsmartonretry命令用来配置重发SmartOn通知请求报文的最大次数.
undodot1xsmartonretry命令用来恢复缺省情况.
【命令】dot1xsmartonretryretriesundodot1xsmartonretry【缺省情况】重发SmartOn通知请求报文的最大次数为3次.
【视图】系统视图【缺省用户角色】network-admin【参数】retries:重发SmartOn通知请求报文的最大次数,取值范围为1~10.
1-30【使用指导】设备向客户端发送EAP-Request/Notification报文后,会开启通知请求超时定时器(dot1xsmartontimersupp-timeout)等待客户端响应EAP-Response/Notification报文,若定时器超时后客户端仍未回复,则设备会重发EAP-Request/Notification报文,并重新启动定时器.
当重发次数达到规定的最大次数后,会停止对该客户端的802.
1X认证.
【举例】#配置重发SmartOn通知请求报文的最大次数为5.
system-view[Sysname]dot1xsmartonretry5【相关命令】displaydot1xdot1xsmartontimersupp-timeout1.
1.
27dot1xsmartonswitchiddot1xsmartonswitchid命令用来配置SmartOn的SwitchID.
undodot1xsmartonswitchid命令用来恢复缺省情况.
【命令】dot1xsmartonswitchidswitch-stringundodot1xsmartonswitchid【缺省情况】未配置SmartOn的SwitchID.
【视图】系统视图【缺省用户角色】network-admin【参数】switch-string:可显示的SwitchID,其长度的取值范围为1~30,区分大小写.
【使用指导】使能了SmartOn功能的端口上,需要验证802.
1X客户端发送的EAP-Response/Notification报文中携带的SwitchID字符串,只有与本命令配置的值相同,客户端802.
1X的认证才能继续进行.
【举例】#配置SmartOn的SwitchID为abc.
system-view[Sysname]dot1xsmartonswitchidabc【相关命令】displaydot1xdot1xsmarton1-31dot1xsmartonpassword1.
1.
28dot1xsmartontimersupp-timeoutdot1xsmartontimersupp-timeout命令用来配置SmartOn通知请求超时定时器时长.
undodot1xsmartontimersupp-timeout命令用来恢复缺省情况.
【命令】dot1xsmartontimersupp-timeoutsupp-timeout-valueundodot1xsmartontimersupp-timeout【缺省情况】SmartOn通知请求超时定时器时长为30秒.
【视图】系统视图【缺省用户角色】network-admin【参数】supp-timeout-value:SmartOn通知请求超时定时器的值,取值范围为10~120,单位为秒.
【使用指导】设备向客户端发送EAP-Request/Notification报文后,会开启通知请求超时定时器等待客户端响应EAP-Response/Notification报文,若定时器超时后客户端仍未回复,则设备会重发EAP-Request/Notification报文,并重新启动定时器.
当重发次数达到规定的最大次数(dot1xsmartonretry)后,会停止对该客户端的802.
1X认证.
【举例】#配置SmartOn通知请求超时定时器时长为20秒.
system-view[Sysname]dot1xsmartontimersupp-timeout20【相关命令】displaydot1xdot1xsmartonretry1.
1.
29dot1xtimerdot1xtimer命令用来配置802.
1X的定时器参数.
undodot1xtimer命令用来将指定的定时器恢复为缺省情况.
【命令】dot1xtimer{ead-timeoutead-timeout-value|handshake-periodhandshake-period-value|quiet-periodquiet-period-value|reauth-periodreauth-period-value|server-timeoutserver-timeout-value|supp-timeoutsupp-timeout-value|tx-periodtx-period-value}1-32undodot1xtimer{ead-timeout|handshake-period|quiet-period|reauth-period|server-timeout|supp-timeout|tx-period}【缺省情况】握手定时器的值为15秒,EAD超时定时器的值为30分钟,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒.
【视图】系统视图【缺省用户角色】network-admin【参数】ead-timeoutead-timeout-value:EAD超时定时器的值,取值范围为1~1440,单位为分钟.
handshake-periodhandshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒.
quiet-periodquiet-period-value:静默定时器的值,取值范围为10~120,单位为秒.
reauth-periodreauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒.
server-timeoutserver-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒.
supp-timeoutsupp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒.
tx-periodtx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒.
【使用指导】802.
1X认证过程受以下定时器的控制:EAD超时定时器(ead-timeout):管理员可以通过配置EAD规则的老化时间来控制用户对ACL资源的占用,当用户访问网络时该定时器即开始计时,在定时器超时或者用户下载客户端并成功通过认证之后,该用户所占用的ACL资源即被删除,这样那些在老化时间内未进行任何操作的用户所占用的ACL资源会及时得到释放.
握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况.
如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线.
静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不对802.
1X认证失败的用户进行802.
1X认证处理.
周期性重认证定时器(reauth-period):端口上开启了周期性重认证功能(通过命令dot1xre-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证.
对于已在线的802.
1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证.
1-33认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUSAccess-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.
1X认证失败.
客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文.
用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文.
另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端.
tx-period定义了该组播报文的发送时间间隔.
一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程.
除周期性重认证定时器外的其他定时器修改后可立即生效.
【举例】#设置认证服务器的超时定时器时长为150秒.
system-view[Sysname]dot1xtimerserver-timeout150【相关命令】displaydot1x1.
1.
30dot1xunicast-triggerdot1xunicast-trigger命令用来开启端口上的802.
1X的单播触发功能.
undodot1xunicast-trigger命令用来关闭802.
1X的单播触发功能.
【命令】dot1xunicast-triggerundodot1xunicast-trigger本命令的支持情况与设备型号有关,请以设备的实际情况为准.
产品系列产品型号产品代码说明WX1800H系列WX1804H-PWREWP-WX1804H-PWR-CN不支持WX2500H系列WX2508H-PWR-LTEWX2510H-PWRWX2510H-F-PWRWX2540HWX2540H-FWX2560HEWP-WX2508H-PWR-LTEEWP-WX2510H-PWREWP-WX2510H-F-PWREWP-WX2540HEWP-WX2540H-FEWP-WX2560H不支持WX3000H系列WX3010HWX3010H-X-PWRWX3010H-L-PWREWP-WX3010HEWP-WX3010H-X-PWREWP-WX3010H-L-PWR支持1-34产品系列产品型号产品代码说明WX3024HWX3024H-L-PWRWX3024H-FEWP-WX3024HEWP-WX3024H-L-PWREWP-WX3024H-FWX3500H系列WX3508HWX3508HWX3510HWX3510HWX3520HWX3520H-FWX3540HWX3540HEWP-WX3508HEWP-WX3508H-FEWP-WX3510HEWP-WX3510H-FEWP-WX3520HEWP-WX3520H-FEWP-WX3540HEWP-WX3540H-F不支持WX5500E系列WX5510EWX5540EEWP-WX5510EEWP-WX5540E支持WX5500H系列WX5540HWX5560HWX5580HEWP-WX5540HEWP-WX5560HEWP-WX5580H支持AC插卡系列LSUM1WCME0EWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0FLSUM1WCME0EWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0F支持产品系列产品型号产品代码说明WX1800H系列WX1804H-PWRWX1810H-PWRWX1820HWX1840HEWP-WX1804H-PWREWP-WX1810H-PWREWP-WX1820HEWP-WX1840H-GL不支持WX3800H系列WX3820HWX3840HEWP-WX3820H-GLEWP-WX3840H-GL支持WX5800H系列WX5860HEWP-WX5860H-GL支持【缺省情况】802.
1X的单播触发功能处于关闭状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin1-35【使用指导】端口上开启802.
1X的单播触发功能后,当端口收到源MAC未知的报文时,主动向该MAC地址发送单播认证报文来触发认证.
若设备端在设置的客户端认证超时时间内(该时间由dot1xtimersupp-timeout设置)没有收到客户端的响应,则重发该报文(重发次数由dot1xretry设置).
【举例】#在端口GigabitEthernet1/0/1上开启802.
1X的单播触发功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xunicast-trigger【相关命令】displaydot1xdot1xmulticast-triggerdot1xretrydot1xtimer1.
1.
31resetdot1xguest-vlanresetdot1xguest-vlan命令用来清除GuestVLAN内802.
1X用户,使其退出GuestVLAN.
【命令】resetdot1xguest-vlaninterfaceinterface-typeinterface-number[mac-addressmac-address]【视图】用户视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:表示使指定端口上的用户退出GuestVLAN.
interface-typeinterface-number为端口类型和端口编号.
mac-addressmac-address:表示使指定MAC地址的用户退出GuestVLAN.
若不指定本参数,则表示使指定端口上的所有用户退出GuestVLAN.
【举例】#在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的802.
1X用户退出GuestVLAN.
resetdot1xguest-vlaninterfacegigabitethernet1/0/1mac-address1-1-1【相关命令】dot1xguest-vlan1.
1.
32resetdot1xstatisticsresetdot1xstatistics命令用来清除802.
1X的统计信息.
1-36【命令】resetdot1xstatistics[apap-name[radioradio-id]|interfaceinterface-typeinterface-number]【视图】用户视图【缺省用户角色】network-admin【参数】apap-name:清除指定AP的所有802.
1X统计信息.
ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、".
"、"["、"]"、"/"及"-",不区分大小写.
若不指定本参数,则清除所有AP上的802.
1X统计信息.
radioradio-id:清除指定AP的所有的802.
1X统计信息.
radio-id表示Radio编号,取值范围与AP型号有关.
若不指定本参数,则清除指定AP的所有Radio的802.
1X统计信息.
interfaceinterface-typeinterface-number:清除指定端口上的802.
1X统计信息.
interface-typeinterface-number为端口类型和端口编号.
若不指定本参数,则清除所有端口上的802.
1X统计信息.
【使用指导】如果不指定任何参数,则清除所有802.
1X统计信息.
【举例】#清除端口GigabitEthernet1/0/1上的802.
1X统计信息.
resetdot1xstatisticsinterfacegigabitethernet1/0/1【相关命令】displaydot1x
1X1-11.
1802.
1X配置命令·1-11.
1.
1displaydot1x·1-11.
1.
2displaydot1xconnection1-51.
1.
3dot1x·1-101.
1.
4dot1xauthentication-method·1-111.
1.
5dot1xauth-failvlan1-121.
1.
6dot1xcriticalvlan·1-131.
1.
7dot1xdomain-delimiter1-131.
1.
8dot1xead-assistantenable1-141.
1.
9dot1xead-assistantfree-ip1-151.
1.
10dot1xead-assistanturl1-161.
1.
11dot1xguest-vlan1-171.
1.
12dot1xhandshake1-191.
1.
13dot1xhandshakereplyenable1-191.
1.
14dot1xhandshakesecure1-201.
1.
15dot1xmandatory-domain·1-211.
1.
16dot1xmax-user·1-211.
1.
17dot1xmulticast-trigger·1-221.
1.
18dot1xport-control·1-231.
1.
19dot1xport-method1-241.
1.
20dot1xquiet-period·1-251.
1.
21dot1xre-authenticate·1-251.
1.
22dot1xre-authenticateserver-unreachablekeep-online·1-261.
1.
23dot1xretry·1-271.
1.
24dot1xsmarton·1-271.
1.
25dot1xsmartonpassword1-281.
1.
26dot1xsmartonretry1-291.
1.
27dot1xsmartonswitchid·1-301.
1.
28dot1xsmartontimersupp-timeout·1-311.
1.
29dot1xtimer·1-311.
1.
30dot1xunicast-trigger·1-331.
1.
31resetdot1xguest-vlan1-35ii1.
1.
32resetdot1xstatistics·1-351-11802.
1X由于WX1800H系列、WX2500H系列和WX3000H系列无线控制器不支持IRF功能,因此不支持IRF模式的命令行配置.
1.
1802.
1X配置命令1.
1.
1displaydot1xdisplaydot1x命令用来显示802.
1X的相关信息.
【命令】displaydot1x[sessions|statistics][apap-name[radioradio-id]|interfaceinterface-typeinterface-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】sessions:显示802.
1X的会话连接信息.
statistics:显示802.
1X的相关统计信息.
apap-name:显示指定AP的所有802.
1X的详细信息.
ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、".
"、"["、"]"、"/"及"-",不区分大小写.
radioradio-id:显示指定Radio的所有802.
1X的详细信息.
radio-id表示Radio编号,取值范围与AP型号有关.
若不指定本参数,则表示显示指定AP的所有Radio的802.
1X的详细信息.
interfaceinterface-typeinterface-number:显示指定端口的802.
1X信息.
interface-typeinterface-number为端口类型和端口编号.
【使用指导】如果不指定参数sessions或者statistics,则显示802.
1X的所有信息,包括会话连接信息、相关统计信息和配置信息等.
如果不指定ap和interface参数,则显示所有有线和无线的802.
1X信息.
如果不指定任何参数,则显示802.
1X的所有信息.
【举例】#显示802.
1X的所有信息.
1-2displaydot1xGlobal802.
1Xparameters:802.
1Xauthentication:EnabledCHAPauthentication:EnabledMax-txperiod:30sHandshakeperiod:15sQuiettimer:DisabledQuietperiod:60sSupptimeout:30sServertimeout:100sReauthperiod:3600sMaxauthrequests:2SmartOnswitchID:30SmartOnsupptimeout:30sSmartOnretrycounts:3EADassistantfunction:DisabledURL:http://www.
dwsoft.
comFreeIP:6.
6.
6.
0255.
255.
255.
0EADtimeout:30minDomaindelimiter:@Online802.
1Xwiredusers:1Online802.
1Xwirelessusers:1GigabitEthernet1/0/1islink-up802.
1Xauthentication:EnabledHandshake:EnabledHandshakereply:DisabledHandshakesecurity:DisabledUnicasttrigger:DisabledPeriodicreauth:DisabledPortrole:AuthenticatorAuthorizationmode:AutoPortaccesscontrol:Port-basedMulticasttrigger:EnabledMandatoryauthdomain:NotconfiguredGuestVLAN:3Auth-FailVLAN:NotconfiguredCriticalVLAN:NotconfiguredCriticalvoiceVLAN:DisabledRe-authserver-unreachable:LogoffMaxonlineusers:256SmartOn:DisabledEAPOLpackets:Tx3,Rx4SentEAPRequest/Identitypackets:1EAPRequest/Challengepackets:1EAPSuccesspackets:1EAPFailurepackets:01-3ReceivedEAPOLStartpackets:1EAPOLLogOffpackets:1EAPResponse/Identitypackets:1EAPResponse/Challengepackets:1Errorpackets:0Online802.
1Xusers:1MACaddressAuthstate0001-0000-0000AuthenticatedAPname:AP1RadioID:1SSID:wlan_dot1x_ssidBSSID:1111-1111-1111802.
1Xauthentication:EnabledHandshake:EnabledHandshakesecurity:DisabledPeriodicreauth:DisabledMandatoryauthdomain:NotconfiguredMaxonlineusers:256EAPOLpackets:Tx3,Rx4SentEAPRequest/Identitypackets:1EAPRequest/Challengepackets:1EAPSuccesspackets:1EAPFailurepackets:0ReceivedEAPOLStartpackets:1EAPOLLogOffpackets:1EAPResponse/Identitypackets:1EAPResponse/Challengepackets:1Errorpackets:0Online802.
1Xusers:1MACaddressAuthstate0001-0000-0002Authenticated表1-1displaydot1x命令显示信息描述表字段描述Global802.
1Xparameters全局802.
1X参数配置信息802.
1Xauthentication全局802.
1X的开启状态CHAPauthentication启用EAP终结方式,并采用CHAP认证方法EAPauthentication启用EAP中继方式,并支持所有EAP认证方法PAPauthentication启用EAP终结方式,并采用PAP认证方法Max-txperiod用户名请求超时定时器的值Handshakeperiod握手定时器的值Quiettimer静默定时器的开启状态Quietperiod静默定时器的值Supptimeout客户端认证超时定时器的值1-4字段描述Servertimeout认证服务器超时定时器的值Reauthperiod重认证定时器的值Maxauthrequests设备向接入用户发送认证请求报文的最大次数SmartOnswitchIDSmartOn的SwitchIDSmartOnsupptimeoutSmartOn的客户端认证超时定时器的时长SmartOnretrycountsSmartOn的通知请求报文的最大发送次数EADassistantfunctionEAD快速部署辅助功能的开启状态URL用户HTTP访问的重定向URLFreeIP用户通过认证之前可访问的网段EADtimeoutEAD老化定时器超时时间Domaindelimiter域名分隔符Online802.
1Xwiredusers在线802.
1X有线用户和正在发起认证的802.
1X有线用户的总数Online802.
1Xwirelessusers在线802.
1X无线用户和正在发起认证的802.
1X无线用户的总数GigabitEthernet1/0/1islink-up端口GigabitEthernet1/0/1的链路状态802.
1Xauthentication端口上802.
1X的开启状态Handshake在线用户握手功能的开启状态Handshakereply在线用户握手回应功能的开启状态Handshakesecurity安全握手功能的开启状态Unicasttrigger802.
1X单播触发功能的开启状态Periodicreauth周期性重认证功能的开启状态Portrole该端口担当认证端的作用,目前仅支持作为认证端Authorizationmode端口的授权状态Force-Authorized:强制授权状态Auto:自动识别状态Force-Unauthorized:强制非授权状态Portaccesscontrol端口接入控制方式MAC-based:基于MAC地址对接入用户进行认证Port-based:基于端口对接入用户进行认证Multicasttrigger802.
1X组播触发功能的开启状态Mandatoryauthdomain端口上的接入用户使用的强制认证域GuestVLAN端口配置的GuestVLAN,若此功能未配置则显示Notconfigured1-5字段描述Auth-failVLAN端口配置的Auth-FailVLAN,若此功能未配置则显示NotconfiguredCriticalVLAN端口配置的CriticalVLAN,若此功能未配置则显示NotconfiguredCriticalvoiceVLAN端口上CriticalVoiceVLAN功能的开启状态,包括如下取值:Enabled:开启Disabled:关闭Re-authserver-unreachable重认证时服务器不可达对802.
1X在线用户采取的动作Maxonlineusers本端口最多可容纳的接入用户数SmartOn端口上SmartOn的开启状态EAPOLpacketsEAPOL报文数目.
Tx表示发送的报文数目;Rx表示接受的报文数目SentEAPRequest/Identitypackets发送的EAPRequest/Identity报文数EAPRequest/Challengepackets发送的EAPRequest/Challenge报文数EAPSuccesspackets发送的EAPSuccess报文数EAPFailpackets发送的EAPFailure报文数ReceivedEAPOLStartpackets接收的EAPOLStart报文数EAPOLLogOffpackets接收的EAPOLLogOff报文数EAPResponse/Identitypackets接收的EAPResponse/Identity报文数EAPResponse/Challengepackets接收的EAPResponse/Challenge报文数Errorpackets接收的错误报文数Online802.
1Xusers端口上的在线802.
1X用户和正在发起认证的802.
1X用户的总数MACaddress802.
1X用户的MAC地址Authstate802.
1X用户的认证状态APnameAP名称RadioIDRadio编号SSID服务集标识符BSSID基本服务集标识符1.
1.
2displaydot1xconnectiondisplaydot1xconnection命令用来显示当前802.
1X在线用户的详细信息.
1-6【命令】(独立运行模式)displaydot1xconnection[apap-name[radioradio-id]|interfaceinterface-typeinterface-number|user-macmac-address|user-namename-string](IRF模式)displaydot1xconnection[apap-name[radioradio-id]|interfaceinterface-typeinterface-number|slotslot-number|user-macmac-address|user-namename-string]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】apap-name:显示接入指定AP的所有802.
1X在线用户的信息.
ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、".
"、"["、"]"、"/"及"-",不区分大小写.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
radioradio-id:显示接入指定Radio的802.
1X在线用户的信息.
radio-id表示Radio编号,取值范围与AP型号有关.
若不指定本参数,则表示显示接入AP下所有Radio的802.
1X在线用户的信息.
interfaceinterface-typeinterface-number:显示指定端口的802.
1X在线用户信息.
其中interface-typeinterface-number表示端口类型和端口编号.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
slotslot-number:显示指定成员设备上的802.
1X在线用户信息.
slot-number表示设备在IRF中的成员编号.
若不指定本参数,则表示所有成员设备上的802.
1X在线用户信息.
(IRF模式)user-macmac-address:显示指定MAC地址的802.
1X在线用户信息.
其中mac-address表示用户的MAC地址,格式为H-H-H.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
user-namename-string:显示指定用户名的802.
1X在线用户信息.
其中name-string表示用户名,为1~253个字符的字符串,区分大小写.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
【使用指导】如果不指定任何参数,则显示所有端口的802.
1X在线用户信息.
(独立运行模式)多台设备组成IRF环境下,如果不指定任何参数,则显示所有成员设备上的802.
1X在线用户信息.
(IRF模式)【举例】#显示所有802.
1X在线用户信息.
(独立运行模式)displaydot1xconnectionTotalconnections:11-7UserMACaddress:0015-e9a6-7cfeAccessinterface:GigabitEthernet1/0/1Username:iasAuthenticationdomain:abcIPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationuntaggedVLAN:6AuthorizationtaggedVLANlist:1to579111315171921232527293133293133353740to100AuthorizationACLnumber/name:3001Authorizationuserprofile:N/ATerminationaction:DefaultSessiontimeoutperiod:2sOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bytes:0/0Receivedpackets/bytes:272/13445Level-1Sentpackets/bytes:0/0Receivedpackets/bytes:45/1248UserMACaddress:0016-ecb7-a879APname:ap1RadioID:1SSID:wlan_dot1x_ssidBSSID:0015-e9a6-7cf0Username:iasAuthenticationdomain:1IPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationVLAN:N/AAuthorizationACLnumber:3001Authorizationuserprofile:N/AAuthorizationCAR:Averageinputrate:102400bpsAverageoutputrate:102400bpsTerminationaction:DefaultSessiontimeoutperiod:2secOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bytes:1/54Receivedpackets/bytes:0/01-8Level-1Sentpackets/bytes:0/0Receivedpackets/bytes:45/1248#显示所有802.
1X在线用户信息.
(IRF模式)displaydot1xconnectionTotalconnections:1SlotID:0UserMACaddress:0015-e9a6-7cfeAccessinterface:GigabitEthernet1/0/1Username:iasAuthenticationdomain:abcIPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationuntaggedVLAN:6AuthorizationtaggedVLANlist:1to579111315171921232527293133293133353740to100AuthorizationACLnumber/name:3001Authorizationuserprofile:N/ATerminationaction:DefaultSessiontimeoutperiod:2sOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bates:1/54Receivedpackets/bates:0/0Level-1Sentpackets/bates:0/0Receivedpackets/bates:45/1248UserMACaddress:0016-ecb7-a879APname:ap1RadioID:1SSID:wlan_dot1x_ssidBSSID:0015-e9a6-7cf0Username:iasAuthenticationdomain:1IPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationVLAN:N/AAuthorizationACLnumber:3001Authorizationuserprofile:N/AAuthorizationCAR:Averageinputrate:102400bpsAverageoutputrate:102400bpsTerminationaction:Default1-9Sessiontimeoutperiod:2secOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bates:1/54Receivedpackets/bates:0/0Level-1Sentpackets/bates:0/0Receivedpackets/bates:45/1248表1-2displaydot1xconnection命令显示信息描述表字段描述Totalconnections在线802.
1X认证用户个数UserMACaddress用户的MAC地址Accessinterface用户的接入接口名称APnameAP的名称RadioIDRadio的IDSSID服务集标识符BSSID用户所属的基本服务集标识符Username用户名Authenticationdomain认证时使用的ISP域的名称IPv4address用户IP地址若未获取到用户的IP地址,则不显示该字段IPv6address用户IPv6地址若未获取到用户的IP地址,则不显示该字段Authenticationmethod802.
1X系统的认证方法CHAP:启用EAP终结方式,并采用CHAP认证方法EAP:启用EAP中继方式,并支持所有EAP认证方法PAP:启用EAP终结方式,并采用PAP认证方法InitialVLAN初始的VLANAuthorizationuntaggedVLAN授权的untaggedVLANAuthorizationtaggedVLANlist授权的taggedVLAN列表AuthorizationACLnumber/name授权ACL的编号或名称.
若未授权ACL,则显示为N/A若未授权成功,则在ACL编号后显示"(NOTeffective)"Authorizationuserprofile授权用户的Userprofile名称AuthorizationCAR当服务器未授权用户CAR属性时,该字段显示为N/A.
当服务器授权用户CAR属性,将分为以下两个字段:Averageinputrate:上行平均速率,单位为bpsAverageoutputrate:下行平均速率,单位为bps1-10字段描述Terminationaction服务器下发的终止动作类型:Default:会话超时时长到达后,强制用户下线.
但是,如果设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.
1X用户发起重认证,而不会强制用户下线Radius-Request:会话超时时长到达后,要求802.
1X用户进行重认证用户采用本地认证时,该字段显示为N/ASessiontimeoutperiod服务器下发的会话超时时长,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminationaction字段的取值决定用户采用本地认证时,该字段显示为N/AOnlinefrom用户的上线时间Onlineduration用户的在线时长Levelflowstatistic按Level计费的流量统计,共有0-8个Level级别,若配置按Level计费功能,则显示配置的Level的流量统计;若未配置按level计费功能或无流量,则不显示该字段Sentpackets/bytes:发送的报文数和字节数Receivedpackets/bytes:接收到的报文数和字节数1.
1.
3dot1xdot1x命令用来开启端口上或全局的802.
1X.
undodot1x命令用来关闭端口上或全局的802.
1X.
【命令】dot1xundodot1x【缺省情况】所有端口以及全局的802.
1X都处于关闭状态.
【视图】系统视图二层以太网接口视图【缺省用户角色】network-admin【使用指导】只有同时开启全局和端口的802.
1X后,802.
1X的配置才能在端口上生效.
【举例】#开启全局的802.
1X.
system-view1-11[Sysname]dot1x#开启端口GigabitEthernet1/0/1上的802.
1X.
[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1x[Sysname-GigabitEthernet1/0/1]quit【相关命令】displaydot1x1.
1.
4dot1xauthentication-methoddot1xauthentication-method命令用来配置802.
1X系统的认证方法.
undodot1xauthentication-method命令用来恢复缺省情况.
【命令】dot1xauthentication-method{chap|eap|pap}undodot1xauthentication-method【缺省情况】设备启用EAP终结方式,并采用CHAP认证方法.
【视图】系统视图【缺省用户角色】network-admin【参数】chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法.
eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法.
pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法.
【使用指导】在EAP终结方式下:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互.
该方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode802.
1X客户端发起的"用户名+密码"方式的EAP认证.
有关PAP和CHAP两种认证方法的详细介绍如下:PAP(PasswordAuthenticationProtocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境.
目前,H3CiNode802.
1X客户端支持此认证方法.
CHAP(ChallengeHandshakeAuthenticationProtocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令.
与PAP相比,CHAP认证保密性较好,更为安全可靠.
1-12在EAP中继方式下:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证.
该方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法.
采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法.
若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见"用户接入与认证命令参考"中的"AAA".
【举例】#启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法.
system-view[Sysname]dot1xauthentication-methodpap【相关命令】displaydot1x1.
1.
5dot1xauth-failvlandot1xauth-failvlan命令用来配置端口的802.
1XAuth-FailVLAN.
undodot1xauth-failvlan命令用来恢复缺省情况.
【命令】dot1xauth-failvlanauthfail-vlan-idundodot1xauth-failvlan【缺省情况】端口上未配置802.
1XAuth-FailVLAN.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】authfail-vlan-id:端口上指定的Auth-FailVLANID,取值范围为1~4094.
该VLAN必须已经创建.
【使用指导】端口上配置此功能后,认证失败的802.
1X用户可以继续访问Auth-FailVLAN中的资源.
禁止删除已被配置为Auth-FailVLAN的VLAN,若要删除该VLAN,请先通过undodot1xauth-failvlan命令取消802.
1XAuth-FailVLAN配置.
端口类型为Hybrid时,请不要将指定的Auth-FailVLAN修改为携带Tag的方式.
【举例】#配置端口GigabitEthernet1/0/1的Auth-FailVLAN为VLAN100.
system-view1-13[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xauth-failvlan100【相关命令】displaydot1x1.
1.
6dot1xcriticalvlandot1xcriticalvlan命令用来配置端口的802.
1XCriticalVLAN.
undodot1xcriticalvlan命令用来恢复缺省情况.
【命令】dot1xcriticalvlancritical-vlan-idundodot1xcriticalvlan【缺省情况】端口上未配置CriticalVLAN.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】critical-vlan-id:端口上指定的CriticalVLANID,取值范围为1~4094.
该VLAN必须已经创建.
【使用指导】配置此功能后,当802.
1X用户认证时对应的ISP域下所有认证服务器都不可达的情况下,此802.
1X用户可以继续访问CriticalVLAN中的资源.
禁止删除已被配置为CriticalVLAN的VLAN,若要删除该VLAN,请先通过undodot1xcriticalvlan命令取消802.
1XCriticalVLAN配置.
端口类型为Hybrid时,请不要将指定的CriticalVLAN修改为携带Tag的方式.
【举例】#配置端口GigabitEthernet1/0/1的CriticalVLAN为VLAN100.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xcriticalvlan100【相关命令】displaydot1x1.
1.
7dot1xdomain-delimiterdot1xdomain-delimiter命令用来配置802.
1X支持的域名分隔符.
undodot1xdomain-delimiter命令用来恢复缺省情况.
1-14【命令】dot1xdomain-delimiterstringundodot1xdomain-delimiter【缺省情况】802.
1X支持的域名分隔符为@.
【视图】系统视图【缺省用户角色】network-admin【参数】string:多个域名分隔符组成的1~16个字符的字符串,且分隔符只能为@、.
、/或\.
若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\.
【使用指导】目前,802.
1X支持的域名分隔符包括和.
,对应的用户名格式分别为username@domain-name,domain-name\username、username/domain-name和username.
domain-name,其中username为纯用户名、domain-name为域名.
如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.
123/22\@abc,若设备上指定802.
1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.
123/22.
系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.
1X仅会支持命令中指定的分隔符.
【举例】#配置802.
1X支持的域名分隔符为@和/.
system-view[Sysname]dot1xdomain-delimiter@/【相关命令】displaydot1x1.
1.
8dot1xead-assistantenabledot1xead-assistantenable命令用来开启EAD快速部署辅助功能.
undodot1xead-assistantenable命令用来关闭EAD快速部署辅助功能.
【命令】dot1xead-assistantenableundodot1xead-assistantenable【缺省情况】EAD快速部署辅助功能处于关闭状态.
1-15【视图】系统视图【缺省用户角色】network-admin【使用指导】开启EAD快速部署辅助功能后,设备允许未通过认证的802.
1X用户访问一个特定的IP地址段,并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的.
为使EAD快速部署功能生效,必须保证指定端口的授权模式为auto.
该命令与MAC地址认证和端口安全的全局使能命令均互斥,即开启EAD快速部署辅助功能时,若全局使能了MAC地址认证或端口安全,则该配置将会执行失败,反之亦然.
【举例】#开启EAD快速部署辅助功能.
system-view[Sysname]dot1xead-assistantenable【相关命令】displaydot1xdot1xead-assistantfree-ipdot1xead-assistanturl1.
1.
9dot1xead-assistantfree-ipdot1xead-assistantfree-ip命令用来配置FreeIP.
undodot1xead-assistantfree-ip命令用来删除指定的FreeIP.
【命令】dot1xead-assistantfree-ipip-address{mask-address|mask-length}undodot1xead-assistantfree-ip{ip-address{mask-address|mask-length}|all}【缺省情况】未配置FreeIP,用户在通过802.
1X认证之前不能够访问任何网段.
【视图】系统视图【缺省用户角色】network-admin【参数】ip-address:指定的IP地址.
mask-address:指定的IP掩码地址.
mask-length:指定的IP掩码地址长度,取值范围为1~32.
1-16all:所有配置的IP.
【使用指导】全局使能EAD快速部署功能且配置FreeIP之后,未通过认证的802.
1X终端用户可以访问该IP地址段中的网络资源.
可通过重复执行此命令来配置多个FreeIP.
【举例】#配置用户在通过802.
1X认证之前能够访问的网段为192.
168.
1.
1/16.
system-view[Sysname]dot1xead-assistantfree-ip192.
168.
1.
1255.
255.
0.
0【相关命令】displaydot1xdot1xead-assistantenabledot1xead-assistanturl1.
1.
10dot1xead-assistanturldot1xead-assistanturl命令用来配置802.
1X用户HTTP访问的重定向URL.
undodot1xead-assistanturl命令用来恢复缺省情况.
【命令】dot1xead-assistanturlurl-stringundodot1xead-assistanturl【缺省情况】未配置802.
1X用户HTTP访问的重定向URL.
【视图】系统视图【缺省用户角色】network-admin【参数】url-string:重定向URL地址,为1~256个字符的字符串,区分大小写.
【使用指导】用户在802.
1X认证成功之前,如果使用浏览器访问非FreeIP网段的其它网络,设备会将用户访问的URL重定向到已配置的重定向地址.
802.
1X用户重定向的URL和FreeIP必须在同一个网段内,否则用户无法访问指定的重定向URL.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置802.
1X用户HTTP访问的重定向URL为http://test.
com.
system-view[Sysname]dot1xead-assistanturlhttp://test.
com1-17【相关命令】displaydot1xdot1xead-assistantenabledot1xead-assistantfree-ip1.
1.
11dot1xguest-vlandot1xguest-vlan命令用来配置端口的802.
1XGuestVLAN.
undodot1xguest-vlan命令用来恢复缺省情况.
【命令】dot1xguest-vlanguest-vlan-idundodot1xguest-vlan本命令的支持情况与设备型号有关,请以设备的实际情况为准.
产品系列产品型号产品代码说明WX1800H系列WX1804H-PWREWP-WX1804H-PWR-CN不支持WX2500H系列WX2508H-PWR-LTEWX2510H-PWRWX2510H-F-PWRWX2540HWX2540H-FWX2560HEWP-WX2508H-PWR-LTEEWP-WX2510H-PWREWP-WX2510H-F-PWREWP-WX2540HEWP-WX2540H-FEWP-WX2560H不支持WX3000H系列WX3010HWX3010H-X-PWRWX3010H-L-PWRWX3024HWX3024H-L-PWRWX3024H-FEWP-WX3010HEWP-WX3010H-X-PWREWP-WX3010H-L-PWREWP-WX3024HEWP-WX3024H-L-PWREWP-WX3024H-F支持WX3500H系列WX3508HWX3508HWX3510HWX3510HWX3520HWX3520H-FWX3540HWX3540HEWP-WX3508HEWP-WX3508H-FEWP-WX3510HEWP-WX3510H-FEWP-WX3520HEWP-WX3520H-FEWP-WX3540HEWP-WX3540H-F不支持WX5500E系列WX5510EWX5540EEWP-WX5510EEWP-WX5540E支持WX5500H系列WX5540HWX5560HWX5580HEWP-WX5540HEWP-WX5560HEWP-WX5580H支持AC插卡系列LSUM1WCME0LSUM1WCME0支持1-18EWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0FEWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0F产品系列产品型号产品代码说明WX1800H系列WX1804H-PWRWX1810H-PWRWX1820HWX1840HEWP-WX1804H-PWREWP-WX1810H-PWREWP-WX1820HEWP-WX1840H-GL不支持WX3800H系列WX3820HWX3840HEWP-WX3820H-GLEWP-WX3840H-GL支持WX5800H系列WX5860HEWP-WX5860H-GL支持【缺省情况】端口上未配置802.
1XGuestVLAN.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】guest-vlan-id:端口上指定的GuestVLANID,取值范围为1~4094.
该VLAN必须已经创建.
【使用指导】配置此功能后,在802.
1X用户在未认证的情况下,其可以访问的VLAN资源,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器.
禁止删除已被配置为GuestVLAN的VLAN,若要删除该VLAN,请先通过undodot1xguest-vlan命令取消802.
1XGuestVLAN配置.
端口类型为Hybrid时,请不要将指定的GuestVLAN修改为携带Tag的方式.
【举例】#配置端口GigabitEthernet1/0/1的GuestVLAN为VLAN100.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xguest-vlan100【相关命令】displaydot1x1-191.
1.
12dot1xhandshakedot1xhandshake命令用于开启在线用户握手功能.
undodot1xhandshake命令用于关闭在线用户握手功能.
【命令】dot1xhandshakeundodot1xhandshake【缺省情况】在线用户握手功能处于开启状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1xtimerhandshake-period设置)向通过802.
1X认证的在线用户发送握手报文,以定期检测用户的在线情况.
如果设备连续多次(通过命令dot1xretry设置)没有收到客户端的响应报文,则会将用户置为下线状态.
【举例】#在端口GigabitEthernet1/0/1上开启在线用户握手功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xhandshake【相关命令】displaydot1xdot1xtimerhandshake-perioddot1xretry1.
1.
13dot1xhandshakereplyenabledot1xhandshakereplyenable命令用来开启端口发送在线握手成功报文功能.
undodot1xhandshakereplyenable命令用来关闭端口发送在线握手成功报文功能.
【命令】dot1xhandshakereplyenableundodot1xhandshakereplyenable【缺省情况】端口发送在线握手成功报文功能处于关闭状态.
1-20【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】端口上开启在线用户握手功能后,缺省情况下,设备收到该端口上802.
1X在线用户的在线握手应答报文(EAP-Response/Identity报文)后,则认为该用户在线,并不给客户端回应在线握手成功报文(EAP-Success报文).
但是,有些802.
1X客户端如果没有收到设备回应的在线握手成功报文(EAP-Success报文),就会自动下线.
为了避免这种情况发生,需要在端口上开启发送在线握手成功报文功能.
只有当802.
1X客户端需要收到在线握手成功报文时,才需要开启此功能.
【举例】#在端口GigabitEthernet1/0/1上开启的发送在线握手成功报文功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xhandshakereplyenable【相关命令】dot1xhandshake1.
1.
14dot1xhandshakesecuredot1xhandshakesecure命令用来开启在线用户握手安全功能.
undodot1xhandshakesecure命令用来关闭在线用户握手安全功能.
【命令】dot1xhandshakesecureundodot1xhandshakesecure【缺省情况】在线用户握手安全功能处于关闭状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】开启在线用户握手安全功能后,可以防止在线的802.
1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能.
只有设备上的在线用户握手功能处于开启状态时,安全握手功能才会生效.
本功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效.
1-21【举例】#在端口GigabitEthernet1/0/1上开启在线用户握手安全功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xhandshakesecure【相关命令】displaydot1xdot1xhandshake1.
1.
15dot1xmandatory-domaindot1xmandatory-domain命令用来指定端口上802.
1X用户使用的强制认证域.
undodot1xmandatory-domain命令用来恢复缺省情况.
【命令】dot1xmandatory-domaindomain-nameundodot1xmandatory-domain【缺省情况】未指定802.
1X用户使用的强制认证域.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】domain-name:ISP域名,为1~255个字符的字符串,不区分大小写.
【使用指导】从指定端口上接入的802.
1X用户将按照如下先后顺序选择认证域:端口上指定的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域.
【举例】#指定端口GigabitEthernet1/0/1上802.
1X用户使用的强制认证域为my-domain.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xmandatory-domainmy-domain【相关命令】displaydot1x1.
1.
16dot1xmax-userdot1xmax-user命令用来配置端口上最多允许同时接入的802.
1X用户数.
undodot1xmax-user命令用来恢复缺省情况.
1-22【命令】dot1xmax-usermax-numberundodot1xmax-user【缺省情况】端口上最多允许同时接入的802.
1X用户数为4294967295.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】max-number:端口允许同时接入的802.
1X用户数的最大值,取值范围为1~4294967295.
【使用指导】由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障.
当接入此端口的802.
1X用户数超过最大值后,新接入的用户将被拒绝.
【举例】#配置端口GigabitEthernet1/0/1上最多允许同时接入32个802.
1X用户.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xmax-user321.
1.
17dot1xmulticast-triggerdot1xmulticast-trigger命令用来开启802.
1X的组播触发功能.
undodot1xmulticast-trigger命令用来关闭802.
1X的组播触发功能.
【命令】dot1xmulticast-triggerundodot1xmulticast-trigger【缺省情况】802.
1X的组播触发功能处于开启状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin1-23【使用指导】开启了802.
1X的组播触发功能的端口会定期(间隔时间通过命令dot1xtimertx-period设置)向客户端组播发送EAP-Request/Identity报文来检测客户端并触发认证.
该功能用于支持不能主动发送EAPOL-Start报文来发起认证的客户端.
对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必设备端定期发送802.
1X的组播报文来触发.
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能.
【举例】#在端口GigabitEthernet1/0/1上开启802.
1X的组播触发功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xmulticast-trigger【相关命令】displaydot1xdot1xtimertx-perioddot1xunicast-trigger1.
1.
18dot1xport-controldot1xport-control命令用来设置端口的授权状态.
undodot1xport-control命令用来恢复缺省情况.
【命令】dot1xport-control{authorized-force|auto|unauthorized-force}undodot1xport-control【缺省情况】端口的授权状态为auto.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】authorized-force:强制授权状态,表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源.
auto:自动识别状态,表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户认证通过,则端口切换到授权状态,允许用户访问网络资源.
这也是最常用的一种状态.
unauthorized-force:强制非授权状态,表示端口始终处于非授权状态,不允许用户访问网络资源.
1-24【使用指导】通过配置端口的授权状态,可以控制端口上接入的用户是否需要通过认证才能访问网络资源.
【举例】#指定端口GigabitEthernet1/0/1处于强制非授权状态.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xport-controlunauthorized-force【相关命令】displaydot1x1.
1.
19dot1xport-methoddot1xport-method命令用来配置端口的接入控制方式.
undodot1xport-method命令用来恢复缺省情况.
【命令】dot1xport-method{macbased|portbased}undodot1xport-method【缺省情况】端口的接入控制方式为macbased.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】macbased:表示基于MAC地址对接入用户进行认证,即该端口上的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络.
portbased:表示基于端口对接入用户进行认证,即只要该端口上的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其它用户也会被拒绝使用网络.
【使用指导】在要求所有接入用户都单独认证的情况下,选择基于MAC的控制方式,可提高网络接入的安全性.
否则,可采用基于端口的接入控制方式.
【举例】#在端口GigabitEthernet1/0/1上配置对接入用户进行基于端口的802.
1X认证.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xport-methodportbased【相关命令】displaydot1x1-251.
1.
20dot1xquiet-perioddot1xquiet-period命令用来开启静默定时器功能.
undodot1xquiet-period命令用来关闭静默定时器功能.
【命令】dot1xquiet-periodundodot1xquiet-period【缺省情况】静默定时器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】在静默定时器功能处于开启状态的情况下,设备将在一段时间之内不对802.
1X认证失败的用户进行802.
1X认证处理,该时间由802.
1X静默定时器控制,可通过dot1xtimerquiet-period命令配置.
【举例】#开启静默定时器功能,并配置静默定时器的值为100秒.
system-view[Sysname]dot1xquiet-period[Sysname]dot1xtimerquiet-period100【相关命令】displaydot1xdot1xtimer1.
1.
21dot1xre-authenticatedot1xre-authenticate命令用来开启周期性重认证功能.
undodot1xre-authenticate命令用来关闭周期性重认证功能.
【命令】dot1xre-authenticateundodot1xre-authenticate【缺省情况】周期性重认证功能处于关闭状态.
【视图】二层以太网接口视图1-26【缺省用户角色】network-admin【使用指导】端口开启了802.
1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1xtimerreauth-period)设定的时间间隔定期启动对该端口在线802.
1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN等).
【举例】#在端口GigabitEthernet1/0/1上开启802.
1X重认证功能,并配置周期性重认证时间间隔为1800秒.
system-view[Sysname]dot1xtimerreauth-period1800[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xre-authenticate【相关命令】displaydot1xdot1xtimer1.
1.
22dot1xre-authenticateserver-unreachablekeep-onlinedot1xre-authenticateserver-unreachablekeep-online命令用来配置重认证服务器不可达时端口上的用户保持在线状态.
undodot1xre-authenticateserver-unreachable命令用来恢复缺省情况.
【命令】dot1xre-authenticateserver-unreachablekeep-onlineundodot1xre-authenticateserver-unreachable【缺省情况】端口上的802.
1X在线用户重认证时,若认证服务器不可达,则会被强制下线.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】若端口上开启了802.
1X的周期性重认证功能,则设备会定期对端口上的802.
1X在线用户进行重认证,重认证过程中,若设备发现认证服务器状态不可达,则可以根据本配置,决定是否保持其在线状态.
【举例】#配置端口GigabitEthernet1/0/1上的802.
1X在线用户进行重认证时,若服务器不可达,则保持在线状态.
system-view1-27[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xre-authenticateserver-unreachablekeep-online【相关命令】displaydot1xdot1xre-authenticate1.
1.
23dot1xretrydot1xretry命令用来设置设备向接入用户发送认证请求报文的最大次数.
undodot1xretry命令用来恢复缺省情况.
【命令】dot1xretryretriesundodot1xretry【缺省情况】设备向接入用户发送认证请求报文的最大次数为2.
【视图】系统视图【缺省用户角色】network-admin【参数】retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10.
【使用指导】如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求.
对于EAP-Request/Identity报文,该时间由dot1xtimertx-period设置;对于EAP-Request/MD5Challenge报文,该时间由dot1xtimersupp-timeout设置.
【举例】#配置设备最多向接入用户发送9次认证请求报文.
system-view[Sysname]dot1xretry9【相关命令】displaydot1xdot1xtimer1.
1.
24dot1xsmartondot1xsmarton命令用来开启端口的SmartOn功能.
undodot1xsmarton命令用来关闭端口的SmartOn功能.
1-28【命令】dot1xsmartonundodot1xsmarton【缺省情况】端口的SmartOn功能处于关闭状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】若开启了SmartOn功能的端口上收到802.
1X客户端发送的EAPOL-Start报文,则将向其回复单播的EAP-Request/Notification报文,并开启定时器(dot1xsmartontimersupp-timeout)等待客户端响应EAP-Response/Notification报文.
该Notification报文中包含一个SwitchID和一个MD5摘要,若这两个值与本地配置的SmartOn的SwitchID以及SmartOn密码的MD5摘要值相同,则继续客户端的802.
1X认证,否则中止客户端的802.
1X认证.
802.
1XSmartOn功能与在线用户握手功能互斥,建议两个功能不要同时开启.
【举例】#开启端口GigabitEthernet1/0/1的SmartOn功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xsmarton【相关命令】displaydot1xdot1xsmartonswitchiddot1xsmartonpassword1.
1.
25dot1xsmartonpassworddot1xsmartonpassword命令用来配置SmartOn密码.
undodot1xsmartonpassword命令用来恢复缺省情况.
【命令】dot1xsmartonpassword{cipher|simple}stringundodot1xsmartonpassword【缺省情况】未配置SmartOn密码.
【视图】系统视图1-29【缺省用户角色】network-admin【参数】cipher:以密文方式设置密码.
simple:以明文方式设置密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~16个字符的字符串,密文密码为1~53个字符的字符串.
【使用指导】开启了SmartOn功能的端口上,需要验证802.
1X客户端发送的EAP-Response/Notification报文中携带的MD5摘要,只有与本命令配置的SmartOn密码的MD5摘要相同,客户端802.
1X的认证才能继续进行.
多次执行本命令,最后一次执行的命令生效【举例】#配置SmartOn密码为明文abc.
system-view[Sysname]dot1xsmartonpasswordsimpleabc【相关命令】displaydot1xdot1xsmartondot1xsmartonswitchid1.
1.
26dot1xsmartonretrydot1xsmartonretry命令用来配置重发SmartOn通知请求报文的最大次数.
undodot1xsmartonretry命令用来恢复缺省情况.
【命令】dot1xsmartonretryretriesundodot1xsmartonretry【缺省情况】重发SmartOn通知请求报文的最大次数为3次.
【视图】系统视图【缺省用户角色】network-admin【参数】retries:重发SmartOn通知请求报文的最大次数,取值范围为1~10.
1-30【使用指导】设备向客户端发送EAP-Request/Notification报文后,会开启通知请求超时定时器(dot1xsmartontimersupp-timeout)等待客户端响应EAP-Response/Notification报文,若定时器超时后客户端仍未回复,则设备会重发EAP-Request/Notification报文,并重新启动定时器.
当重发次数达到规定的最大次数后,会停止对该客户端的802.
1X认证.
【举例】#配置重发SmartOn通知请求报文的最大次数为5.
system-view[Sysname]dot1xsmartonretry5【相关命令】displaydot1xdot1xsmartontimersupp-timeout1.
1.
27dot1xsmartonswitchiddot1xsmartonswitchid命令用来配置SmartOn的SwitchID.
undodot1xsmartonswitchid命令用来恢复缺省情况.
【命令】dot1xsmartonswitchidswitch-stringundodot1xsmartonswitchid【缺省情况】未配置SmartOn的SwitchID.
【视图】系统视图【缺省用户角色】network-admin【参数】switch-string:可显示的SwitchID,其长度的取值范围为1~30,区分大小写.
【使用指导】使能了SmartOn功能的端口上,需要验证802.
1X客户端发送的EAP-Response/Notification报文中携带的SwitchID字符串,只有与本命令配置的值相同,客户端802.
1X的认证才能继续进行.
【举例】#配置SmartOn的SwitchID为abc.
system-view[Sysname]dot1xsmartonswitchidabc【相关命令】displaydot1xdot1xsmarton1-31dot1xsmartonpassword1.
1.
28dot1xsmartontimersupp-timeoutdot1xsmartontimersupp-timeout命令用来配置SmartOn通知请求超时定时器时长.
undodot1xsmartontimersupp-timeout命令用来恢复缺省情况.
【命令】dot1xsmartontimersupp-timeoutsupp-timeout-valueundodot1xsmartontimersupp-timeout【缺省情况】SmartOn通知请求超时定时器时长为30秒.
【视图】系统视图【缺省用户角色】network-admin【参数】supp-timeout-value:SmartOn通知请求超时定时器的值,取值范围为10~120,单位为秒.
【使用指导】设备向客户端发送EAP-Request/Notification报文后,会开启通知请求超时定时器等待客户端响应EAP-Response/Notification报文,若定时器超时后客户端仍未回复,则设备会重发EAP-Request/Notification报文,并重新启动定时器.
当重发次数达到规定的最大次数(dot1xsmartonretry)后,会停止对该客户端的802.
1X认证.
【举例】#配置SmartOn通知请求超时定时器时长为20秒.
system-view[Sysname]dot1xsmartontimersupp-timeout20【相关命令】displaydot1xdot1xsmartonretry1.
1.
29dot1xtimerdot1xtimer命令用来配置802.
1X的定时器参数.
undodot1xtimer命令用来将指定的定时器恢复为缺省情况.
【命令】dot1xtimer{ead-timeoutead-timeout-value|handshake-periodhandshake-period-value|quiet-periodquiet-period-value|reauth-periodreauth-period-value|server-timeoutserver-timeout-value|supp-timeoutsupp-timeout-value|tx-periodtx-period-value}1-32undodot1xtimer{ead-timeout|handshake-period|quiet-period|reauth-period|server-timeout|supp-timeout|tx-period}【缺省情况】握手定时器的值为15秒,EAD超时定时器的值为30分钟,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒.
【视图】系统视图【缺省用户角色】network-admin【参数】ead-timeoutead-timeout-value:EAD超时定时器的值,取值范围为1~1440,单位为分钟.
handshake-periodhandshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒.
quiet-periodquiet-period-value:静默定时器的值,取值范围为10~120,单位为秒.
reauth-periodreauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒.
server-timeoutserver-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒.
supp-timeoutsupp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒.
tx-periodtx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒.
【使用指导】802.
1X认证过程受以下定时器的控制:EAD超时定时器(ead-timeout):管理员可以通过配置EAD规则的老化时间来控制用户对ACL资源的占用,当用户访问网络时该定时器即开始计时,在定时器超时或者用户下载客户端并成功通过认证之后,该用户所占用的ACL资源即被删除,这样那些在老化时间内未进行任何操作的用户所占用的ACL资源会及时得到释放.
握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况.
如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线.
静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不对802.
1X认证失败的用户进行802.
1X认证处理.
周期性重认证定时器(reauth-period):端口上开启了周期性重认证功能(通过命令dot1xre-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证.
对于已在线的802.
1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证.
1-33认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUSAccess-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.
1X认证失败.
客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文.
用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文.
另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端.
tx-period定义了该组播报文的发送时间间隔.
一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程.
除周期性重认证定时器外的其他定时器修改后可立即生效.
【举例】#设置认证服务器的超时定时器时长为150秒.
system-view[Sysname]dot1xtimerserver-timeout150【相关命令】displaydot1x1.
1.
30dot1xunicast-triggerdot1xunicast-trigger命令用来开启端口上的802.
1X的单播触发功能.
undodot1xunicast-trigger命令用来关闭802.
1X的单播触发功能.
【命令】dot1xunicast-triggerundodot1xunicast-trigger本命令的支持情况与设备型号有关,请以设备的实际情况为准.
产品系列产品型号产品代码说明WX1800H系列WX1804H-PWREWP-WX1804H-PWR-CN不支持WX2500H系列WX2508H-PWR-LTEWX2510H-PWRWX2510H-F-PWRWX2540HWX2540H-FWX2560HEWP-WX2508H-PWR-LTEEWP-WX2510H-PWREWP-WX2510H-F-PWREWP-WX2540HEWP-WX2540H-FEWP-WX2560H不支持WX3000H系列WX3010HWX3010H-X-PWRWX3010H-L-PWREWP-WX3010HEWP-WX3010H-X-PWREWP-WX3010H-L-PWR支持1-34产品系列产品型号产品代码说明WX3024HWX3024H-L-PWRWX3024H-FEWP-WX3024HEWP-WX3024H-L-PWREWP-WX3024H-FWX3500H系列WX3508HWX3508HWX3510HWX3510HWX3520HWX3520H-FWX3540HWX3540HEWP-WX3508HEWP-WX3508H-FEWP-WX3510HEWP-WX3510H-FEWP-WX3520HEWP-WX3520H-FEWP-WX3540HEWP-WX3540H-F不支持WX5500E系列WX5510EWX5540EEWP-WX5510EEWP-WX5540E支持WX5500H系列WX5540HWX5560HWX5580HEWP-WX5540HEWP-WX5560HEWP-WX5580H支持AC插卡系列LSUM1WCME0EWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0FLSUM1WCME0EWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0F支持产品系列产品型号产品代码说明WX1800H系列WX1804H-PWRWX1810H-PWRWX1820HWX1840HEWP-WX1804H-PWREWP-WX1810H-PWREWP-WX1820HEWP-WX1840H-GL不支持WX3800H系列WX3820HWX3840HEWP-WX3820H-GLEWP-WX3840H-GL支持WX5800H系列WX5860HEWP-WX5860H-GL支持【缺省情况】802.
1X的单播触发功能处于关闭状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin1-35【使用指导】端口上开启802.
1X的单播触发功能后,当端口收到源MAC未知的报文时,主动向该MAC地址发送单播认证报文来触发认证.
若设备端在设置的客户端认证超时时间内(该时间由dot1xtimersupp-timeout设置)没有收到客户端的响应,则重发该报文(重发次数由dot1xretry设置).
【举例】#在端口GigabitEthernet1/0/1上开启802.
1X的单播触发功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xunicast-trigger【相关命令】displaydot1xdot1xmulticast-triggerdot1xretrydot1xtimer1.
1.
31resetdot1xguest-vlanresetdot1xguest-vlan命令用来清除GuestVLAN内802.
1X用户,使其退出GuestVLAN.
【命令】resetdot1xguest-vlaninterfaceinterface-typeinterface-number[mac-addressmac-address]【视图】用户视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:表示使指定端口上的用户退出GuestVLAN.
interface-typeinterface-number为端口类型和端口编号.
mac-addressmac-address:表示使指定MAC地址的用户退出GuestVLAN.
若不指定本参数,则表示使指定端口上的所有用户退出GuestVLAN.
【举例】#在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的802.
1X用户退出GuestVLAN.
resetdot1xguest-vlaninterfacegigabitethernet1/0/1mac-address1-1-1【相关命令】dot1xguest-vlan1.
1.
32resetdot1xstatisticsresetdot1xstatistics命令用来清除802.
1X的统计信息.
1-36【命令】resetdot1xstatistics[apap-name[radioradio-id]|interfaceinterface-typeinterface-number]【视图】用户视图【缺省用户角色】network-admin【参数】apap-name:清除指定AP的所有802.
1X统计信息.
ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、".
"、"["、"]"、"/"及"-",不区分大小写.
若不指定本参数,则清除所有AP上的802.
1X统计信息.
radioradio-id:清除指定AP的所有的802.
1X统计信息.
radio-id表示Radio编号,取值范围与AP型号有关.
若不指定本参数,则清除指定AP的所有Radio的802.
1X统计信息.
interfaceinterface-typeinterface-number:清除指定端口上的802.
1X统计信息.
interface-typeinterface-number为端口类型和端口编号.
若不指定本参数,则清除所有端口上的802.
1X统计信息.
【使用指导】如果不指定任何参数,则清除所有802.
1X统计信息.
【举例】#清除端口GigabitEthernet1/0/1上的802.
1X统计信息.
resetdot1xstatisticsinterfacegigabitethernet1/0/1【相关命令】displaydot1x
racknerd:美国大硬盘服务器,$599/月,Ryzen7-3700X/32G内存/120gSSD+192T hdd
racknerd当前对美国犹他州数据中心的大硬盘服务器(存储服务器)进行低价促销,价格跌破眼镜啊。提供AMD和Intel两个选择,默认32G内存,120G SSD系统盘,12个16T HDD做数据盘,接入1Gbps带宽,每个月默认给100T流量,5个IPv4... 官方网站:https://www.racknerd.com 加密数字货币、信用卡、PayPal、支付宝、银联(卡),可以付款! ...
819云(240元)香港CN2 日本CN2 物理机 E5 16G 1T 20M 3IP
819云是我们的老熟人了,服务器一直都是稳定为主,老板人也很好,这次给大家带来了新活动,十分给力 香港CN2 日本CN2 物理机 E5 16G 1T 20M 3IP 240元0官方网站:https://www.819yun.com/ 特惠专员Q:442379204套餐介绍套餐CPU内存硬盘带宽IP价格香港CN2 (特价)E5 随机分配16G1T 机械20M3IP240元/月日本CN2 (...
buyvm美国大硬盘VPS,1Gbps带宽不限流量
buyvm正式对外开卖第四个数据中心“迈阿密”的块存储服务,和前面拉斯维加斯、纽约、卢森堡一样,依旧是每256G硬盘仅需1.25美元/月,最大支持10T硬盘。配合buyvm自己的VPS,1Gbps带宽、不限流量,在vps上挂载块存储之后就可以用来做数据备份、文件下载、刷BT等一系列工作。官方网站:https://buyvm.net支持信用卡、PayPal、支付宝付款,支付宝付款用的是加元汇率,貌似...
双网卡为你推荐
-
支持ipad支持ipadxp如何关闭445端口请大家帮帮忙,怎样关闭135和445端口?tcpip上的netbiostcpip上的netbios是什么用的,有安全隐患吗?开启还是关上ms17-010win10华为 slatl10是什么型号ios5.1.1完美越狱我的苹果手机版本显示的是5.1.1,怎么才知道是不是ios啊?我现在想越狱卡巴斯基好用吗卡巴斯基好吗?的是div视频主机视频剪辑电脑配置乏燃料池什么是乏燃料?跟核废料是同一个说法吗?