- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-802.1X命令
本章節下載: 02-802.1X命令 (243.26 KB)
1.1.3 dot1x authentication-method
1.1.6 dot1x binding-mac enable
1.1.10 dot1x critical recovery-action
1.1.15 dot1x multicast-trigger
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
sessions:顯示802.1X的會話連接信息。
statistics:顯示802.1X的相關統計信息。
interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display dot1x命令用來顯示802.1X的相關信息,包括會話連接信息、相關統計信息或配置信息等。
需要注意的是,如果不指定參數sessions或者statistics,則顯示802.1X的所有信息,包括會話連接信息、相關統計信息和配置信息等。
相關配置可參考命令reset dot1x statistics、dot1x、dot1x retry、dot1x max-user、dot1x port-control、dot1x port-method和dot1x timer。
【舉例】
# 顯示802.1X的所有信息。
<Sysname> display dot1x
Equipment 802.1X protocol is enabled
CHAP authentication is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
Reauth Period 3600 s
The maximal retransmitting times 3
The maximum 802.1X user resource number is 1024 per slot
Total current used 802.1X resource number is 1
Ethernet4/0 is link-up
802.1X protocol is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is disabled
Handshake secure is disabled
802.1X unicast-trigger is enabled
Periodic reauthentication is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Port-based
802.1X Multicast-trigger is enabled
Mandatory authentication domain: NOT configured
Guest VLAN: 4
Auth-fail VLAN: NOT configured
Critical VLAN: 3
Critical recovery-action: reinitialize
Max number of on-line users is 256
EAPOL Packet: Tx 1087, Rx 986
Sent EAP Request/Identity Packets : 943
EAP Request/Challenge Packets: 60
EAP Success Packets: 29, Fail Packets: 55
Received EAPOL Start Packets : 60
EAPOL LogOff Packets: 24
EAP Response/Identity Packets : 724
EAP Response/Challenge Packets: 54
Error Packets: 0
Controlled User(s) amount to 1
表1-1 display dot1x命令顯示信息描述表
|
字段 |
描述 |
|
|
|
Equipment 802.1X protocol is enabled |
全局的802.1X特性已經開啟 |
|
|
|
CHAP authentication is enabled |
是否使能CHAP認證 |
|
|
|
Proxy trap checker is disabled |
是否檢測通過代理登錄用戶的接入 · disable表示不檢測; · enable表示檢測到用戶使用代理後,發送Trap報文 |
|
|
|
Proxy logoff checker is disabled |
是否檢測通過代理登錄用戶的接入 · disable表示不檢測; · enable表示檢測到用戶使用代理後,切斷用戶連接 |
|
|
|
Transmit Period |
發送間隔定時器的時長 |
|
|
|
Handshake Period |
設備向客戶端發送握手報文的時間間隔 |
|
|
|
Reauth Period |
周期性重認證的時間間隔 |
|
|
|
Quiet Period |
靜默定時器的時長 |
|
|
|
Quiet Period Timer is disabled |
靜默定時器的開啟狀態 |
|
|
|
Supp Timeout |
客戶端認證超時定時器的時長 |
|
|
|
Server Timeout |
認證服務器超時定時器的時長 |
|
|
|
The maximal retransmitting times |
設備向接入用戶發送認證請求報文的最大次數 |
|
|
|
The maximum 802.1X user resource number per slot |
每板最大支持的接入用戶數 |
|
|
|
Total current used 802.1X resource number |
當前在線接入用戶數 |
|
|
|
Ethernet4/0 is link-up |
端口Ethernet4/0的鏈路狀態 |
|
|
|
802.1X protocol is disabled |
該端口是否使能802.1X協議 |
|
|
|
Proxy trap checker is disabled |
該端口是否檢測通過代理登錄用戶的接入 · disable表示不檢測; · enable表示檢測用戶使用代理後,發送Trap報文 |
|
|
|
Proxy logoff checker is disabled |
該端口是否檢測通過代理登錄用戶的接入 · disable表示不檢測; · enable表示檢測用戶使用代理後,切斷用戶連接 |
|
|
|
Handshake is disabled |
握手功能的使能狀態 |
|
|
|
Handshake secure is disabled |
安全握手功能的使能狀態 |
|
|
|
802.1X unicast-trigger is disabled |
802.1X單播觸發功能的使能狀態 |
|
|
|
Periodic reauthentication is disabled |
周期性重認證功能的使能狀態 |
|
|
|
The port is an authenticator |
該端口擔當設備端作用 |
|
|
|
Authentication Mode is Auto |
端口接入控製的模式為auto |
|
|
|
Port Control Type |
端口接入控製方式 |
|
|
|
802.1X Multicast-trigger is enabled |
802.1X組播觸發功能的使能狀態 |
|
|
|
Mandatory authentication domain |
端口接入用戶的強製認證域 |
|
|
|
Guest VLAN |
端口配置的Guest VLAN,未配置則顯示NOT configured |
|
|
|
Auth-fail VLAN |
端口配置的Auth Fail VLAN,未配置則顯示NOT configured |
|
|
|
Critical VLAN |
端口配置的Critical VLAN,未配置則顯示NOT configured |
||
|
Critical recovery-action |
端口配置的服務器可達時端口的恢複動作,reinitialize表示觸發用戶進行802.1X認證 未配置則顯示NOT configured |
||
|
Max number of on-line users |
本端口最多可容納的接入用戶數 |
|
|
|
EAPOL Packet |
EAPOL報文數目:Tx表示發送的報文數目;Rx表示接受的報文數目 |
|
|
|
Sent EAP Request/Identity Packets |
發送的EAP Request/Identity報文數 |
|
|
|
EAP Request/Challenge Packets |
發送的EAP Request/Challenge報文數 |
|
|
|
EAP Success Packets |
發送的EAP Success報文數 |
|
|
|
Fail Packets |
發送的EAP Fail報文數 |
|
|
|
Received EAPOL Start Packets |
接收的EAPOL Start報文數 |
|
|
|
EAPOL LogOff Packets |
接收的EAPOL LogOff報文數 |
|
|
|
EAP Response/Identity Packets |
接收的EAP Response/Identity報文數 |
|
|
|
EAP Response/Challenge Packets |
接收的EAP Response/Challenge報文數 |
|
|
|
Error Packets |
接收的錯誤報文數 |
|
|
|
Controlled User(s) amount |
該端口受控用戶數目 |
|
|
【命令】
在係統視圖下:
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
在以太網接口視圖下:
dot1x
undo dot1x
【視圖】
係統視圖/以太網接口視圖
【缺省級別】
2:係統級
【參數】
interface interface-list:端口列表,表示多個端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。如果不指定本參數,則表示開啟全局的802.1X特性。
【描述】
dot1x命令用來開啟指定端口上或全局的802.1X特性。undo dot1x命令用來關閉指定端口上或全局的802.1X特性。
缺省情況下,所有端口及全局的802.1X特性都處於關閉狀態。
需要注意的是:
· 802.1X特性啟動前後,均可以使用配置命令來配置全局或端口的802.1X特性參數。如果在開啟全局802.1X特性前沒有配置全局或端口的其它802.1X特性參數,則這些參數在運行時均為缺省值。
· 隻有同時開啟全局和端口的802.1X特性後,802.1X的配置才能在端口上生效。
相關配置可參考命令display dot1x。
【舉例】
# 開啟以太網端口Ethernet1/1和Ethernet1/5到Ethernet1/7上的802.1X特性。
<Sysname> system-view
[Sysname] dot1x interface ethernet 1/1 ethernet 1/5 to ethernet 1/7
或者
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x
[Sysname-Ethernet1/1] quit
[Sysname] interface ethernet 1/5
[Sysname-Ethernet1/5] dot1x
[Sysname-Ethernet1/5] quit
[Sysname] interface ethernet 1/6
[Sysname-Ethernet1/6] dot1x
[Sysname-Ethernet1/6] quit
[Sysname] interface ethernet 1/7
[Sysname-Ethernet1/7] dot1x
# 開啟全局的802.1X特性。
<Sysname> system-view
[Sysname] dot1x
【命令】
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
chap:啟用EAP終結方式,並支持與RADIUS服務器之間采用CHAP類型的認證方法。
eap:啟用EAP中繼方式,並支持客戶端與RADIUS服務器之間所有類型的EAP認證方法。
pap:啟用EAP終結方式,並支持與RADIUS服務器之間采用PAP類型的認證方法。
【描述】
dot1x authentication-method命令用來配置802.1X係統的認證方法。undo dot1x authentication-method命令用來恢複缺省情況。
缺省情況下,設備啟用EAP終結方式,並采用CHAP認證方法。
(1) EAP終結認證方式:設備將收到的客戶端EAP報文中的用戶認證信息重新封裝在標準的RADIUS報文報文中,然後采用PAP或CHAP認證方法與RADIUS服務器完成認證交互。該認證方式的優點是,現有的RADIUS服務器基本均可支持PAP和CHAP認證,無需升級服務器,但設備處理較為複雜,且目前僅能支持MD5-Challenge類型的EAP認證以及iNode 802.1X客戶端發起的“用戶名+密碼”方式的EAP認證。
· PAP(Password Authentication Protocol,密碼驗證協議)通過用戶名和口令來對用戶進行驗證,其特點是在網絡上以明文方式傳送用戶名和口令,僅適用於對網絡安全要求相對較低的環境。目前,僅H3C iNode 802.1X客戶端支持此認證方法。
· CHAP(Challenge Handshake Authentication Protocol,質詢握手驗證協議)采用客戶端與服務器端交互挑戰信息的方式來驗證用戶身份,其特點是在網絡上以明文方式傳送用戶名,以密文方式傳輸口令。與PAP相比,CHAP認證保密性較好,更為安全可靠。
(2) EAP中繼:設備將收到的客戶端EAP報文直接封裝到RADIUS報文的屬性字段中,發送給RADIUS服務器完成認證。該認證方式的優點是,設備處理簡單,且可支持多種類型的EAP認證方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服務器端支持相應的EAP認證方法。
需要注意的是:
· 本地認證支持PAP和CHAP。
· 采用RADIUS認證方法時,PAP、CHAP、EAP認證功能的最終實現,需要RADIUS服務器支持相應的PAP、CHAP、EAP認證。
· 若采用EAP認證方式,則RADIUS方案下的user-name-format配置無效,user-name-format的介紹請參見“安全命令參考”中的“AAA”。
相關配置可參考命令display dot1x。
【舉例】
# 啟用EAP終結方式,並支持與RADIUS服務器之間采用PAP類型的認證方法。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【命令】
dot1x auth-fail vlan authfail-vlan-id
undo dot1x auth-fail vlan
【視圖】
以太網接口視圖
【缺省級別】
2:係統級
【參數】
authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【描述】
dot1x auth-fail vlan命令用來配置指定端口的Auth-Fail VLAN,即認證失敗的用戶被授權訪問的VLAN。undo dot1x auth-fail vlan命令用來恢複缺省情況。
缺省情況下,端口沒有配置Auth-Fail VLAN。
需要注意的是:
· 這裏的認證失敗是認證服務器因某種原因明確拒絕用戶認證通過,比如用戶密碼錯誤,而不是認證超時或網絡連接等原因造成的認證失敗。
· 在接入控製方式為portbased的端口上配置的Auth-Fail VLAN,隻有802.1X組播觸發功能開啟的情況下才生效。Auth-Fail VLAN生效後,若將端口的接入控製方式由portbased修改為macbased,則端口會離開Auth-Fail VLAN。目前,在接入控製方式為macbased的端口上暫不支持Auth-Fail VLAN的配置。
· 如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的Auth-Fail VLAN;同樣,如果某個VLAN被指定為某個端口的Auth-Fail VLAN,則該VLAN不能被指定為Super VLAN。關於Super VLAN的詳細內容請參見“二層技術-以太網交換配置指導”中的“Super VLAN”。
· 禁止直接刪除已被配置為Auth-Fail VLAN的VLAN,若要刪除該VLAN,請先通過命令undo dot1x auth-fail vlan取消802.1X的Auth-Fail VLAN配置。
· 同一個端口上可同時配置Auth-Fail VLAN和Guest VLAN。
相關配置可參考命令dot1x和dot1x port-method。
【舉例】
# 在接口Ethernet1/1上配置Auth-Fail VLAN為3。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x auth-fail vlan 3
【命令】
dot1x binding-mac mac-address
undo dot1x binding-mac mac-address
【視圖】
二層以太網接口視圖
【缺省級別】
2:係統級
【參數】
mac-address:表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。
【描述】
dot1x binding-mac命令用來手工配置802.1X認證MAC地址綁定表項。undo dot1x binding-mac命令用來刪除指定的802.1X認證MAC地址綁定表項。
缺省情況下,接口下沒有配置802.1X認證的MAC地址綁定表項。
需要注意的是:
· 隻有在802.1X認證的MAC地址綁定功能處於開啟狀態,且接口為基於MAC的接入控製方式的情況下,手工配置802.1X認證的MAC地址綁定表項才能生效。
· 手工配置的以及自動生成的8021X認證MAC地址綁定表項都不會老化,即使該用戶下線後或設備保存配置重啟後也不會刪除此綁定表項。但是可以通過undo dot1x binding-mac mac-address命令可以刪除此表項。
· 當用戶在線時,不允許刪除與其對應的802.1X認證MAC地址綁定表項。
· 802.1X認證的MAC地址綁定表項除了通過此功能手工配置外,還可以在802.1X認證的MAC地址綁定功能開啟後有用戶認證成功的情況下自動生成。
· 802.1X認證的MAC地址綁定表項數受接口上的最大用戶數(通過dot1x max-user命令配置)的限製,當該表項數超過接口上的最大用戶數時,新的表項不能被創建。
· 當MAC地址綁定表項數等於接口上的最大用戶數時,隻有MAC地址綁定表項裏的用戶可以進行802.1X認證,其他用戶認證失敗。
【舉例】
# 在接口Ethernet 1/1下配置802.1X認證的MAC地址綁定表項為000a-eb29-75f1。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x binding-mac 000a-eb29-75f1
【命令】
dot1x binding-mac enable
undo dot1x binding-mac enable
【視圖】
二層以太網接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
dot1x binding-mac enable命令用來開啟802.1X認證的MAC地址綁定功能並自動生成該接口與802.1X認證成功用戶的MAC地址綁定表項。undo dot1x binding-mac enable命令用來關閉802.1X認證的MAC地址綁定功能。
缺省情況下,802.1X認證的MAC地址綁定功能處於關閉狀態。
接口下開啟MAC地址綁定功能後,係統會將802.1X認證成功用戶的MAC地址與該接口自動綁定,並且生成的綁定表項不會老化,即使該用戶下線後或設備保存配置重啟後也不會刪除此綁定表項。但可通過undo dot1x binding-mac mac-address命令刪除此表項。
需要注意的是:
· 此功能隻有在采用基於MAC的接入控製方式時才生效。
· 當用戶在線時,不允許刪除與其對應的802.1X認證MAC地址綁定表項。
· 802.1X認證的MAC地址綁定表項除了可以通過此功能自動生成外,還可以通過dot1x binding-mac mac-address命令手工配置。
· 802.1X認證的MAC地址綁定表項數受接口上的最大用戶數(通過dot1x max-user命令配置)限製,當表項數超過接口上的最大用戶數時,新的表項不能被創建。
· 當MAC地址綁定表項數等於接口上的最大用戶數時,隻有MAC地址綁定表項裏的用戶可以進行802.1X認證,其他用戶認證失敗。
【舉例】
# 在接口Ethernet 1/1下開啟802.1X認證的MAC地址綁定功能。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x binding-mac enable
【命令】
dot1x domain-delimiter string
undo dot1x domain-delimiter
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
string:指定802.1X認證支持的域名分隔符,為1~16個字符的字符串,可包括字符@、\、/或三者的任意組合,且可重複,例如@/、@/\、\@/、//等。
【描述】
dot1x domain-delimiter命令用來配置802.1X支持的域名分隔符。undo dot1x domain-delimiter命令用來恢複缺省情況。
缺省情況下,802.1X僅支持域名分隔符@。
目前,802.1X支持的域名分隔符包括@、\和/,對應的用戶名格式分別為username@domain-name, domain-name\username和username/domain-name,其中username為純用戶名、domain-name為域名。如果用戶名中包含有多個域名分隔符字符,則僅將第一個出現的域名分隔符識別為實際使用的域名分隔符,其它域名分隔符字符都被認為是域名中的一部分,例如,用戶輸入的用戶名為123/22\@abc,則認為純用戶名為123,域名分隔符為/,域名為22\@abc。
需要注意的是:
· 係統默認支持分隔符@,但如果通過本命令指定的域名分隔符中未包含分隔符@,則802.1X僅會支持命令中指定的分隔符。
· 對於使用域名分隔符\或者/的802.1X在線用戶,不能通過cut connection user-name user-name命令切斷其連接,也不能通過display connection user-name user-name命令查看到其相關信息。例如,執行命令cut connection user-name aaa\bbb後,不能切斷在線用戶aaa\bbb的連接。關於命令display connection和cut connection的介紹請參見“安全命令參考”中的“AAA”。
【舉例】
# 配置802.1X支持的域名分隔符為@、\和/。
<Sysname> system-view
[Sysname] dot1x domain-delimiter @\/
【命令】
在係統視圖下:
dot1x guest-vlan guest-vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
在接口視圖下:
dot1x guest-vlan guest-vlan-id
undo dot1x guest-vlan
【視圖】
係統視圖/以太網接口視圖
【缺省級別】
2:係統級
【參數】
guest-vlan-id:端口上指定的Guest VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
interface interface-list:端口列表,表示多個端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。如果不指定本參數,則表示配置所有二層以太網端口的Guest VLAN。
【描述】
dot1x guest-vlan命令用來配置指定端口的Guest VLAN,即用戶在未認證的情況下可以訪問的VLAN資源,該VLAN內通常放置一些用於用戶下載客戶端軟件或其他升級程序的服務器。undo dot1x guest-vlan命令用來取消指定端口的Guest VLAN。
缺省情況下,端口沒有配置Guest VLAN。
需要注意的是:
· 隻有開啟802.1X特性的情況下,Guest VLAN才能生效。
· 在接入控製方式為portbased的端口上配置的Guest VLAN,隻有802.1X組播觸發功能開啟的情況下才生效。Guest VLAN生效後,若將端口的接入控製方式由portbased修改為macbased,則端口會離開Guest VLAN。目前,在接入控製方式為macbased的端口上暫不支持Guest VLAN的配置。
· 如果某個VLAN被指定為Super VLAN,則該VLAN不能被指定為某個端口的Guest VLAN;同樣,如果某個VLAN被指定為某個端口的Guest VLAN,則該VLAN不能被指定為Super VLAN。關於Super VLAN的詳細內容請參見“二層技術-以太網交換配置指導”中的“Super VLAN”。
· 禁止刪除已被配置為Guest VLAN的VLAN,若要刪除該VLAN,請先通過命令undo dot1x guest-vlan取消802.1X的Guest VLAN配置。
· 同一個端口上可同時配置Guest VLAN和Auth-Fail VLAN。
相關配置可參考命令dot1x、dot1x port-method和dot1x multicast-trigger。
【舉例】
# 配置端口Ethernet1/1的Guest VLAN為已經創建的VLAN 999。
<Sysname> system-view
[Sysname] dot1x guest-vlan 999 interface ethernet 1/1
# 配置端口Ethernet1/2~Ethernet1/5的Guest VLAN為已經創建的VLAN 10。
<Sysname> system-view
[Sysname] dot1x guest-vlan 10 interface ethernet 1/2 to ethernet 1/5
# 配置所有端口的Guest VLAN為已經創建的VLAN 7。
<Sysname> system-view
[Sysname] dot1x guest-vlan 7
# 配置端口Ethernet1/7的Guest VLAN為已經創建的VLAN 3。
<Sysname> system-view
[Sysname] interface ethernet 1/7
[Sysname-Ethernet1/7] dot1x guest-vlan 3
【命令】
dot1x critical vlan vlan-id
undo dot1x critical vlan
【視圖】
以太網接口視圖
【缺省級別】
2:係統級
【參數】
vlan-id:端口上指定的Critical VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【描述】
dot1x critical vlan命令用來配置指定端口的Critical VLAN,即當用戶認證時對應的ISP域下所有認證服務器都不可達的情況下端口加入的VLAN。undo dot1x critical vlan命令用來恢複缺省情況。
缺省情況下,端口沒有配置Critical VLAN。
需要注意的是:
· 認證服務器不可達是指,因網絡故障等原因導致的,用於認證用戶的ISP域所引用的所有服務器都不可達;
· 接入控製方式由Port-based切換到MAC-based時,端口將離開Critical VLAN並返回到其所在的初始VLAN中;目前,在接入控製方式為MAC-based的端口上暫不支持Guest VLAN的配置。
· 如果某個VLAN被指定為Super VLAN,則不能被指定為Critical VLAN;反之,Critical vlan也不能被指定為Super VLAN;
· 已經配置為Critical VLAN的VLAN不允許刪除。若要刪除配置為Critical VLAN的VLAN,必須先取消802.1X的Critical VLAN配置;
· 若端口已經位於802.1X的Guest VLAN或Auth-Fail VLAN,則當所有認證服務器都不可達時,端口並不會離開當前的VLAN而加入Critical VLAN;
· 若端口已經位於MAC地址認證的Guest VLAN,則當所有認證服務器都不可達時,端口會離開當前的VLAN並加入Critical VLAN。
相關配置可參考命令dot1x、dot1x port-method和dot1x critical recovery-action。
【舉例】
# 在接口Ethernet1/1上配置Critical VLAN為VLAN 3。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x critical vlan 3
【命令】
dot1x critical recovery-action reinitialize
undo dot1x critical recovery-action
【視圖】
以太網接口視圖
【缺省級別】
2:係統級
【參數】
reinitialize:表示端口離開Critical VLAN,並開始主動對用戶進行認證。
【描述】
dot1x critical recovery-action命令用於配置端口的恢複動作,即設備檢測到認證服務器恢複為可達狀態後端口執行的動作。undo dot1x critical recovery-action命令用於恢複缺省情況。
缺省情況下,設備檢測到服務器恢複為可達狀態後,端口僅離開Critical VLAN,不會對用戶主動進行認證。
需要注意的是:
· 此命令僅用於和端口上的Critical VLAN配合使用。
· 接入控製方式為MAC-based時,如果端口上配置了恢複動作,則當服務器恢複可達後,處於Critical VLAN的端口會主動向已加入Critical VLAN的MAC地址發送單播報文觸發其進行802.1X認證。
· 接入控製方式為Port-based時,如果端口上配置了恢複動作,則當服務器恢複可達後,處於Critical VLAN的端口會主動向客戶端發送組播報文,觸發端口上的客戶端進行802.1X認證。
· 若需要實現認證服務器狀態檢測的實時性,使得設備能夠及時發現有服務器恢複為可達狀態,可配置認證服務器狀態的探測功能。該功能的相關配置請參見“安全命令參考”中的“AAA”。
【舉例】
# 在接口Ethernet1/1上配置服務器可達後端口的動作為端口離開Critical VLAN,並開始對用戶進行認證。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x critical recovery-action reinitialize
【命令】
dot1x handshake
undo dot1x handshake
【視圖】
以太網接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
dot1x handshake命令用於開啟在線用戶握手功能,通過設備端定期向客戶端發送握手報文來探測用戶是否在線。undo dot1x handshake命令用於關閉在線用戶握手功能。
缺省情況下,在線用戶握手功能處於開啟狀態。
需要注意的是:
· 802.1X的代理檢測功能依賴於在線用戶握手功能。在配置代理檢測功能之前,必須先開啟在線用戶握手功能。關閉在線用戶握手功能之前,必須先關閉配置代理檢測功能。
· 建議在線用戶握手功能與iNode客戶端配合使用,以保證該功能可以正常運行。
【舉例】
# 開啟在線用戶握手功能。
<Sysname> system-view
[Sysname] interface ethernet 1/4
[Sysname-Ethernet1/4] dot1x handshake
【命令】
dot1x handshake secure
undo dot1x handshake secure
【視圖】
以太網接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
dot1x handshake secure命令用於開啟在線用戶握手安全功能。undo dot1x handshake secure命令用於關閉在線用戶握手安全功能。
缺省情況下,在線用戶握手安全功能處於關閉狀態。
需要注意的是:
· 在線用戶握手安全功能的實現依賴於在線用戶握手功能。為使在線用戶握手安全功能生效,請保證在線用戶握手功能處於開啟狀態。
· 建議在線用戶握手安全功能與iNode客戶端以及iMC服務器配合使用,以保證該功能可以正常運行。
相關配置請參見命令dot1x handshake。
【舉例】
# 開啟在線用戶握手安全功能。
<Sysname> system-view
[Sysname] interface ethernet 1/4
[Sysname-Ethernet1/4] dot1x handshake secure
【命令】
dot1x mandatory-domain domain-name
undo dot1x mandatory-domain
【視圖】
以太網接口視圖
【缺省級別】
2:係統級
【參數】
domain-name:ISP認證域名,為1~63個字符的字符串,不分區大小寫。
【描述】
dot1x mandatory-domain命令用來配置接口上802.1X用戶的強製認證域。undo dot1x mandatory-domain命令用來刪除該接口上802.1X用戶的認證域。
缺省情況下,未定義強製認證域。
需要注意的是:
· 從指定接口上接入的802.1X用戶將按照如下先後順序選擇認證域:接口上配置的強製ISP域-->用戶名中指定的ISP域-->係統缺省的ISP域。
· 接口上配置了強製認證域之後,使用不攜帶任何參數的display connection命令顯示該接口下的用戶連接信息時,所顯示的用戶域名為用戶登錄時使用的認證域名。但是,若要通過display connection domain isp-name 命令顯示該類用戶、或者通過cut connection domain isp-name命令切斷該類用戶連接時,必須指定強製認證域名。關於命令display connection的介紹請參見“安全命令參考”中的“AAA”。
相關配置可參考命令display dot1x。
【舉例】
# 在接口Ethernet1/1上配置802.1X用戶使用強製認證域my-domain。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x mandatory-domain my-domain
# 802.1X用戶usera通過認證後,通過命令display connection可查看接口Ethernet1/1上的用戶連接信息,該命令的具體介紹請參見“安全命令參考”中的“AAA”。
[Sysname-Ethernet1/1] display connection interface ethernet 1/1
Index=68 ,Username=usera@my-domian
MAC=00-15-E9-A6-7C-FE
IP=3.3.3.3
IPv6=N/A
Total 1 connection(s) matched.
【命令】
在係統視圖下:
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
在以太網接口視圖下:
dot1x max-user user-number
undo dot1x max-user
【視圖】
係統視圖/以太網接口視圖
【缺省級別】
2:係統級
【參數】
user-number:端口同時可容納接入用戶數量的最大值,取值範圍為1~256,缺省值為256。
interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。
【描述】
dot1x max-user命令用來設置802.1X在指定端口上可容納接入用戶數量的最大值。undo dot1x max-user命令用來恢複該值的缺省值。
需要注意的是:
· 在係統視圖下執行該命令可以作用於參數interface-list所指定的端口,如果不指定任何端口則將作用於所有端口。
· 在以太網接口視圖下執行該命令時,不能指定參數interface-list,隻能作用於當前端口。
相關配置可參考命令display dot1x。
【舉例】
# 配置端口Ethernet1/1上最多可容納32個接入用戶。
<Sysname> system-view
[Sysname] dot1x max-user 32 interface ethernet 1/1
或者
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x max-user 32
# 配置端口Ethernet1/2~Ethernet1/5中的每個端口上最多可容納32個接入用戶。
<Sysname> system-view
[Sysname] dot1x max-user 32 interface ethernet 1/2 to ethernet 1/5
【命令】
dot1x multicast-trigger
undo dot1x multicast-trigger
【視圖】
以太網接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
dot1x multicast-trigger命令用來使能802.1X的組播觸發功能,即周期性地向客戶端發送組播觸發報文。undo dot1x multicast-trigger命令用來關閉802.1X的組播觸發功能。
缺省情況下,802.1X的組播觸發功能處於開啟狀態。
相關配置可參考命令display dot1x。
【舉例】
# 在接口Ethernet1/1上開啟802.1X的組播觸發功能。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x multicast-trigger
【命令】
在係統視圖下:
dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
在以太網接口視圖下:
dot1x port-control { authorized-force | auto | unauthorized-force }
undo dot1x port-control
【視圖】
係統視圖/以太網接口視圖
【缺省級別】
2:係統級
【參數】
authorized-force:強製授權。指示端口始終處於授權狀態,允許用戶不經認證授權即可訪問網絡資源。
auto:自動識別。指示端口初始狀態為非授權狀態,僅允許EAPOL報文收發,不允許用戶訪問網絡資源;如果認證通過,則端口切換到授權狀態,允許用戶訪問網絡資源。這也是最常見的情況。
unauthorized-force:強製非授權。指示端口始終處於非授權狀態,不允許用戶訪問網絡資源。
interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。
【描述】
dot1x port-control命令用來設置端口的授權狀態。undo dot1x port-control命令用來恢複缺省的端口授權狀態。
缺省情況下,端口的授權狀態為auto。
需要注意的是:
· 在係統視圖下執行該命令時,若指定了參數interface-list,則作用於參數interface-list所指定的端口;若不指定任何端口,則作用於當前係統中的所有端口。
· 在以太網接口視圖下執行該命令時,不能指定參數interface-list,隻能作用於當前端口。
相關配置可參考命令display dot1x。
【舉例】
# 指定端口Ethernet1/1處於強製非授權狀態。
<Sysname> system-view
[Sysname] dot1x port-control unauthorized-force interface ethernet 1/1
或者
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x port-control unauthorized-force
# 指定端口Ethernet1/2~Ethernet1/5均處於強製非授權狀態。
<Sysname> system-view
[Sysname] dot1x port-control unauthorized-force interface ethernet 1/2 to ethernet 1/5
【命令】
在係統視圖下:
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
在以太網接口視圖下:
dot1x port-method { macbased | portbased }
undo dot1x port-method
【視圖】
係統視圖/以太網接口視圖
【缺省級別】
2:係統級
【參數】
macbased:表示基於MAC地址對接入用戶進行認證,即該端口下的所有接入用戶均需要單獨認證,當某個用戶下線時,也隻有該用戶無法使用網絡。
portbased:表示基於端口對接入用戶進行認證,即隻要該端口下的第一個用戶認證成功後,其他接入用戶無須認證就可使用網絡資源,但是當第一個用戶下線後,其他用戶也會被拒絕使用網絡。
interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。
【描述】
dot1x port-method命令用來配置802.1X在指定端口上進行接入控製的方式。undo dot1x port-method命令用來恢複缺省的接入控製方式。
缺省情況下,接入控製方式為macbased。
需要注意的是:
· 在係統視圖下執行該命令時,若指定了參數interface-list,則作用於interface-list參數所指定的端口;若不指定任何端口,則作用於當前係統中的所有端口。
· 在以太網接口視圖下執行該命令時,不能指定參數interface-list,隻能作用於當前端口。
相關配置可參考命令display dot1x。
【舉例】
# 在端口Ethernet1/1上配置對接入用戶進行基於端口的802.1X認證。
<Sysname> system-view
[Sysname] dot1x port-method portbased interface ethernet 1/1
或者
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x port-method portbased
# 配置端口Ethernet1/2~Ethernet1/5上對接入用戶進行基於端口的802.1X認證。
<Sysname> system-view
[Sysname] dot1x port-method portbased interface ethernet 1/2 to ethernet 1/5
【命令】
dot1x quiet-period
undo dot1x quiet-period
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
dot1x quiet-period命令用來開啟靜默定時器功能。undo dot1x quiet-period命令用來關閉靜默定時器功能。
缺省情況下,靜默定時器功能處於關閉狀態。
當802.1X用戶認證失敗以後,設備需要靜默一段時間(該時間由靜默定時器設置)。在靜默期間,設備對該用戶不進行802.1X認證的相關處理。
相關配置可參考命令display dot1x和dot1x timer。
【舉例】
# 開啟靜默定時器。
<Sysname> system-view
[Sysname] dot1x quiet-period
【命令】
dot1x re-authenticate
undo dot1x re-authenticate
【視圖】
以太網接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
dot1x re-authenticate命令用來開啟周期性重認證功能。undo dot1x re-authenticate命令用來關閉周期性重認證功能。
缺省情況下,周期性重認證功能處於關閉狀態。
端口啟動了802.1X的周期性重認證功能後,設備會根據周期性重認證定時器(dot1x timer reauth-period)設定的時間間隔定期啟動對該端口在線802.1X用戶的認證,以檢測用戶連接狀態的變化,更新服務器下發的授權屬性(例如ACL、VLAN、QoS Profile)。
相關配置可參考命令dot1x timer reauth-period。
【舉例】
# 在接口Ethernet1/1上開啟802.1X重認證功能,並配置周期性重認證時間間隔為1800秒。
<Sysname> system-view
[Sysname] dot1x timer reauth-period 1800
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x re-authenticate
【命令】
dot1x retry max-retry-value
undo dot1x retry
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
max-retry-value:向接入用戶發送認證請求報文的最大次數,取值範圍為1~10。
【描述】
dot1x retry命令用來設置設備向接入用戶發送認證請求報文的最大次數。undo dot1x retry命令用來將該最大發送次數恢複為缺省情況。
缺省情況下,向接入用戶發送認證請求報文的最大次數為2。
如果設備向用戶發送認證請求報文後,在規定的時間裏(可通過命令dot1x timer tx-period或者dot1x timer supp-timeout設定)沒有收到用戶的響應,則設備將向用戶重發該認證請求報文,若設備累計發送認證請求報文的次數達到配置的最大值後,仍然沒有得到用戶響應,則停止發送認證請求。
需要注意的是:
· 此命令參數max-retry-value取值為1時表示隻允許向用戶發送一次認證請求報文,如果沒有收到響應,不再重複發送;取值為2時表示在首次向用戶發送請求又沒有收到響應後將重複發送1次;……依次類推。
· 本命令設置後將作用於所有端口。
相關配置可參考命令display dot1x。
【舉例】
# 配置設備最多向接入用戶發送9次認證請求報文。
<Sysname> system-view
[Sysname] dot1x retry 9
【命令】
在係統視圖下:
dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
在以太網接口視圖下:
dot1x supp-proxy-check { logoff | trap }
undo dot1x supp-proxy-check { logoff | trap }
【視圖】
係統視圖/以太網接口視圖
【缺省級別】
2:係統級
【參數】
logoff:檢測到用戶使用代理後,切斷用戶連接。
trap:檢測到用戶使用代理後,向網管係統發送Trap報文。
interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。如果不指定本參數,則表示開啟全局的用戶檢測及接入控製。
【描述】
dot1x supp-proxy-check命令用來設置設備對通過代理登錄的用戶的檢測及接入控製。undo dot1x supp-proxy-check命令用來取消設備對通過代理登錄的用戶的檢測及相關控製的設置。
缺省情況下,設備不對通過代理登錄的用戶進行檢測及接入控製。
需要注意的是:
· 該功能的實現需要iNode客戶端程序的配合。
· 必須同時開啟全局和指定端口的代理用戶檢測與控製,此特性的配置才能在該端口上生效。
相關配置可參考命令display dot1x。
【舉例】
# 配置端口Ethernet1/1~Ethernet1/8檢測到用戶使用代理後,切斷該用戶的連接。
<Sysname> system-view
[Sysname] dot1x supp-proxy-check logoff
[Sysname] dot1x supp-proxy-check logoff interface ethernet 1/1 to ethernet 1/8
# 配置端口Ethernet1/9檢測到登錄的用戶使用代理後,設備發送Trap報文。
<Sysname> system-view
[Sysname] dot1x supp-proxy-check trap
[Sysname] dot1x supp-proxy-check trap interface ethernet 1/9
或者
<Sysname> system-view
[Sysname] dot1x supp-proxy-check trap
[Sysname] interface ethernet 1/9
[Sysname-Ethernet1/9] dot1x supp-proxy-check trap
【命令】
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }
undo dot1x timer { handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
handshake-period-value:握手定時器的值,取值範圍為5~1024,單位為秒。
quiet-period-value:靜默定時器的值,取值範圍為10~120,單位為秒。
reauth-period-value:周期性重認證定時器的值,取值範圍為60~86400,單位為秒。
server-timeout-value:認證服務器超時定時器的值,取值範圍為100~300,單位為秒。
supp-timeout-value:客戶端認證超時定時器的值,取值範圍為1~120,單位為秒。
tx-period-value:用戶名請求超時定時器的值,取值範圍為10~120,單位為秒。
【描述】
dot1x timer命令用來配置802.1X的各項定時器參數。undo dot1x timer命令用來將指定的定時器恢複為缺省情況。
缺省情況下,握手定時器的值為15秒,靜默定時器的值為60秒,周期性重認證定時器的值為3600秒,認證服務器超時定時器的值為100秒,客戶端認證超時定時器的值為30秒,用戶名請求超時定時器的值為30秒。
802.1X認證過程受以下定時器的控製:
· 握手定時器(handshake-period):此定時器是在用戶認證成功後啟動的,設備端以此間隔為周期發送握手請求報文,以定期檢測用戶的在線情況。如果配置發送次數為N,則當設備端連續N次沒有收到客戶端的響應報文,就認為用戶已經下線。
· 靜默定時器(quiet-period):對用戶認證失敗以後,設備端需要靜默一段時間(該時間由靜默定時器設置),在靜默期間,設備端不處理該用戶的認證功能。
· 周期性重認證定時器(reauth-period):端口下開啟了周期性重認證功能(通過命令dot1x re-authenticate)後,設備端以此間隔為周期對端口上的在線用戶發起重認證。對於已在線的802.1X用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。
· 認證服務器超時定時器(server-timeout):當設備端向認證服務器發送了RADIUS Access-Request請求報文後,設備端啟動server-timeout定時器,若在該定時器設置的時長內,設備端沒有收到認證服務器的響應,設備端將重發認證請求報文。
· 客戶端認證超時定時器(supp-timeout):當設備端向客戶端發送了EAP-Request/MD5 Challenge請求報文後,設備端啟動此定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,設備端將重發該報文。
· 用戶名請求超時定時器(tx-period):當設備端向客戶端發送EAP-Request/Identity請求報文後,設備端啟動該定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,則設備端將重發認證請求報文。另外,為了兼容不主動發送EAPOL-Start連接請求報文的客戶端,設備會定期組播EAP-Request/Identity請求報文來檢測客戶端。tx-period定義了該組播報文的發送時間間隔。
需要注意的是,一般情況下,用戶無需修改定時器的值,除非在一些特殊或惡劣的網絡環境下,可以使用該命令調節交互進程。修改後的定時器值,可立即生效。
相關配置可參考命令display dot1x。
【舉例】
# 設置認證服務器的超時定時器時長為150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【命令】
dot1x unicast-trigger
undo dot1x unicast-trigger
【視圖】
以太網接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
dot1x unicast-trigger命令用來開啟端口上的802.1X的單播觸發功能。undo dot1x unicast-trigger命令用來關閉802.1X的單播觸發功能。
缺省情況下,802.1X的單播觸發功能處於關閉狀態。
本功能開啟後,當端口收到源MAC未知的報文時,主動向該MAC地址發送單播認證報文來觸發認證。若設備端在設置的客戶端認證超時時間內(該時間由dot1x timer tx-period設置)沒有收到客戶端的響應,則重發該報文(重發次數由dot1x retry設置)。
相關配置可參考命令display dot1x、dot1x timer tx-period和dot1x retry。
【舉例】
# 在端口Ethernet1/1上開啟802.1X的單播觸發功能。
<Sysname> system-view
[Sysname] interface ethernet 1/1
[Sysname-Ethernet1/1] dot1x unicast-trigger
【命令】
reset dot1x statistics [ interface interface-list ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。
【描述】
reset dot1x statistics命令用來清除802.1X的統計信息。
需要注意的是:
· 如果不指定端口類型和端口號,則清除設備上的全局及所有端口的802.1X統計信息;
· 如果指定端口類型和端口號,則清除指定端口上的802.1X統計信息。
相關配置可參考命令display dot1x。
【舉例】
# 清除端口Ethernet1/1上的802.1X統計信息。
【命令】
dot1x free-ip ip-address { mask-address | mask-length }
undo dot1x free-ip { ip-address { mask | mask-length } | all }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ip-address:免認證網段IP地址。
mask:免認證網段IP地址的掩碼。
mask-length:免認證網段IP地址的掩碼長度。
all:所有免認證網段。
【描述】
dot1x free-ip命令用來配置Free IP,即用戶在802.1X認證成功之前可訪問的免認證網段。undo dot1x free-ip命令用來刪除配置的Free IP。
缺省情況下,未定義Free IP。
需要注意的是:
· Free IP功能與全局使能MAC認證、端口安全功能及二層Portal功能互斥;
· Free IP功能隻在端口接入控製的模式為auto的情況下生效;
· Free IP最多可配置6條。
相關配置可參考命令display dot1x。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
dot1x free-ip |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
僅MSR 30-11E、30-11F支持 |
|
|
MSR 50 |
不支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置終端用戶在802.1X認證之前可訪問的免認證網段為192.168.0.0/24。
<Sysname> system-view
[Sysname] dot1x free-ip 192.168.0.0 24
【命令】
dot1x timer ead-timeout ead-timeout-value
undo dot1x timer ead-timeout
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ead-timeout-value:EAD規則的老化時間,取值範圍為1~1440,單位為分鍾。
【描述】
dot1x timer ead-timeout命令用來配置EAD規則的老化時間。undo dot1x timer ead-timeout命令用來恢複缺省配置。
缺省情況下,EAD規則的老化時間為30分鍾。
相關配置可參考命令display dot1x。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
dot1x timer ead-timeout |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
僅MSR 30-11E、30-11F支持 |
|
|
MSR 50 |
不支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置EAD規則的老化時間為5分鍾。
<Sysname> system-view
[Sysname] dot1x timer ead-timeout 5
【命令】
dot1x url url-string
undo dot1x url
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
url-string:重定向URL地址,為1~64個字符的字符串,區分大小寫,格式為“http://string”。
【描述】
dot1x url命令用來配置用戶HTTP訪問的重定向URL,即用戶在802.1X認證成功之前,如果使用瀏覽器訪問非Free IP網段的其它網絡,設備會將用戶訪問的URL重定向到已配置的HTTP訪問的重定向地址。undo dot1x url命令用來刪除用戶HTTP訪問的重定向URL。
缺省情況下,未定義重定向URL。
需要注意的是:
· 重定向的URL和Free IP必須在同一個網段內,否則無法訪問指定的重定向URL;
· 用戶HTTP訪問的重定向URL可多次配置,但僅最後配置的一條有效。
相關配置可參考命令display dot1x和dot1x free-ip。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
MSR800 |
dot1x url |
不支持 |
|
MSR 900 |
不支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
不支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
僅MSR 30-11E、30-11F支持 |
|
|
MSR 50 |
不支持 |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
支持 |
【舉例】
# 配置用戶HTTP訪問的重定向URL為http://192.168.0.1。
<Sysname> system-view
[Sysname] dot1x url http://192.168.0.1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
