• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

07 安全命令參考

目錄

02-802.1X命令

本章節下載 02-802.1X命令  (226.89 KB)

02-802.1X命令


1 802.1X配置命令

1.1  802.1X配置命令

1.1.1  display dot1x

【命令】

display dot1x [ sessions | statistics ] [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]

【視圖】

任意視圖

【缺省級別】

1:監控級

【參數】

sessions:顯示802.1X的會話連接信息。

statistics:顯示802.1X的相關統計信息。

interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。

|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。

begin:從包含指定正則表達式的行開始顯示。

exclude:隻顯示不包含指定正則表達式的行。

include:隻顯示包含指定正則表達式的行。

regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。

【描述】

display dot1x命令用來顯示802.1X的相關信息,包括會話連接信息、相關統計信息或配置信息等。

需要注意的是,如果不指定參數sessions或者statistics,則顯示802.1X的所有信息,包括會話連接信息、相關統計信息和配置信息等。

相關配置可參考命令reset dot1x statisticsdot1xdot1x retrydot1x max-userdot1x port-controldot1x port-methoddot1x timer

【舉例】

# 顯示802.1X的所有信息。

<Sysname> display dot1x

Equipment 802.1X protocol is enabled

CHAP authentication is enabled

Proxy trap checker is disabled

Proxy logoff checker is disabled

EAD quick deploy is enabled

 

Configuration: Transmit Period     30 s,  Handshake Period       15 s

               Quiet Period        60 s,  Quiet Period Timer is disabled

               Supp Timeout        30 s,  Server Timeout         100 s

               Reauth Period     3600 s

               The maximal retransmitting times          2

               The SmartOn Supp Timeout      30 s

               The SmartOn max-tx      3

EAD quick deploy configuration:

               URL: http://192.168.19.23

               Free IP: 192.168.19.0 255.255.255.0

               EAD timeout:    30m

 

The maximum 802.1X user resource number is 1024 per slot

Total current used 802.1X resource number is 1

 

Ethernet1/0/1  is link-up

  802.1X protocol is enabled

  Proxy trap checker is   disabled

  Proxy logoff checker is disabled

  SmartOn is disabled

  Handshake is disabled

  Handshake secure is disabled

  802.1X unicast-trigger is enabled

  Periodic reauthentication is disabled

  The port is an authenticator

  Authenticate Mode is Auto

  Port Control Type is Mac-based

  802.1X Multicast-trigger is enabled

  Mandatory authentication domain: NOT configured

  Guest VLAN: 4

  Auth-fail VLAN: NOT configured

  Critical VLAN: 3

  Critical recovery-action: reinitialize

  Max number of on-line users is 256

 

  EAPOL Packet: Tx 1087, Rx 986

  Sent EAP Request/Identity Packets : 943

       EAP Request/Challenge Packets: 60

       EAP Success Packets: 29, Fail Packets: 55

  Received EAPOL Start Packets : 60

           EAPOL LogOff Packets: 24

           EAP Response/Identity Packets : 724

           EAP Response/Challenge Packets: 54

           Error Packets: 0

1. Authenticated user : MAC address: 0015-e9a6-7cfe

 

  Controlled User(s) amount to 1

表1-1 display dot1x命令顯示信息描述表

字段

描述

Equipment 802.1X protocol is enabled

全局的802.1X特性已經開啟

CHAP authentication is enabled

是否使能CHAP認證

Proxy trap checker is disabled

是否檢測通過代理登錄用戶的接入

·     disable表示不檢測;

·     enable表示檢測到用戶使用代理後,發送Trap報文

Proxy logoff checker is disabled

是否檢測通過代理登錄用戶的接入

·     disable表示不檢測;

·     enable表示檢測到用戶使用代理後,切斷用戶連接

EAD quick deploy is enabled

EAD快速部署功能使能狀態

Transmit Period

發送間隔定時器的時長

Handshake Period

設備向客戶端發送握手報文的時間間隔

Quiet Period

靜默定時器的時長

Quiet Period Timer is disabled

靜默定時器的開啟狀態

Supp Timeout

客戶端認證超時定時器的時長

Server Timeout

認證服務器超時定時器的時長

Reauth Period

周期性重認證的時間間隔

The maximal retransmitting times

設備向接入用戶發送認證請求報文的最大次數

The SmartOn Supp Timeout

SmartOn的客戶端認證超時定時器的時長

The SmartOn max-tx

SmartOn的通知請求報文的最大發送次數

EAD quick deploy configuration

EAD快速部署功能的具體配置

URL

用戶IE訪問重定向的URL

Free IP

用戶可訪問的免認證網段

EAD timeout

ACL老化定時器超時時間

The maximum 802.1X user resource number per slot

每板最大支持的接入用戶數

Total current used 802.1X resource number

當前在線接入用戶數

Ethernet1/0/1 is link-up

端口Ethernet1/0/1的鏈路狀態

802.1X protocol is disabled

該端口是否使能802.1X協議

Proxy trap checker is disabled

該端口是否檢測通過代理登錄用戶的接入

·     disable表示不檢測;

·     enable表示檢測用戶使用代理後,發送Trap報文

Proxy logoff checker is disabled

該端口是否檢測通過代理登錄用戶的接入

·     disable表示不檢測;

·     enable表示檢測用戶使用代理後,切斷用戶連接

SmartOn is disabled

SmartOn功能的使能狀態

Handshake is disabled

握手功能的使能狀態

Handshake secure is disabled

安全握手功能的使能狀態

802.1X unicast-trigger is disabled

802.1X單播觸發功能的使能狀態

Periodic reauthentication is disabled

周期性重認證功能的使能狀態

The port is an authenticator

該端口擔當設備端作用

Authenticate Mode is Auto

端口接入控製的模式為auto

Port Control Type is Mac-based

端口接入控製方式為mac-based,即基於MAC地址對接入用戶進行認證

802.1X Multicast-trigger is enabled

802.1X組播觸發功能的使能狀態

Mandatory authentication domain

端口接入用戶的強製認證域

Guest VLAN

端口配置的Guest VLAN,未配置則顯示NOT configured

Auth-fail VLAN

端口配置的Auth Fail VLAN,未配置則顯示NOT configured

Critical VLAN

端口配置的Critical VLAN,未配置則顯示NOT configured

Critical recovery-action

端口配置的服務器可達時端口的恢複動作,reinitialize表示觸發用戶進行802.1X認證

未配置則顯示NOT configured

Max number of on-line users

本端口最多可容納的接入用戶數

EAPOL Packet

EAPOL報文數目:Tx表示發送的報文數目;Rx表示接受的報文數目

Sent EAP Request/Identity Packets

發送的EAP Request/Identity報文數

EAP Request/Challenge Packets

發送的EAP Request/Challenge報文數

EAP Success Packets

發送的EAP Success報文數

Fail Packets

發送的EAP Failure報文數

Received EAPOL Start Packets

接收的EAPOL Start報文數

EAPOL LogOff Packets

接收的EAPOL LogOff報文數

EAP Response/Identity Packets

接收的EAP Response/Identity報文數

EAP Response/Challenge Packets

接收的EAP Response/Challenge報文數

Error Packets

接收的錯誤報文數

Authenticated user

認證通過的用戶

Controlled User(s) amount

該端口受控用戶數目

 

1.1.2  dot1x

【命令】

在係統視圖下:

dot1x [ interface interface-list ]

undo dot1x [ interface interface-list ]

在以太網端口視圖下:

dot1x

undo dot1x

【視圖】

係統視圖/以太網端口視圖

【缺省級別】

2:係統級

【參數】

interface interface-list:端口列表,表示多個端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。如果不指定本參數,則表示開啟全局的802.1X特性。

【描述】

dot1x命令用來開啟指定端口上或全局的802.1X特性。undo dot1x命令用來關閉指定端口上或全局的802.1X特性。

缺省情況下,所有端口及全局的802.1X特性都處於關閉狀態。

需要注意的是:

·     802.1X特性啟動前後,均可以使用配置命令來配置全局或端口的802.1X特性參數。如果在開啟全局802.1X特性前沒有配置全局或端口的其他802.1X特性參數,則這些參數在運行時均為缺省值。

·     隻有同時開啟全局和端口的802.1X特性後,802.1X的配置才能在端口上生效。

相關配置可參考命令display dot1x

【舉例】

# 開啟以太網端口Ethernet1/0/1和Ethernet1/0/5到Ethernet1/0/7上的802.1X特性。

<Sysname> system-view

[Sysname] dot1x interface ethernet 1/0/1 ethernet 1/0/5 to ethernet 1/0/7

或者

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x

[Sysname-Ethernet1/0/1] quit

[Sysname] interface ethernet 1/0/5

[Sysname-Ethernet1/0/5] dot1x

[Sysname-Ethernet1/0/5] quit

[Sysname] interface ethernet 1/0/6

[Sysname-Ethernet1/0/6] dot1x

[Sysname-Ethernet1/0/6] quit

[Sysname] interface ethernet 1/0/7

[Sysname-Ethernet1/0/7] dot1x

# 開啟全局的802.1X特性。

<Sysname> system-view

[Sysname] dot1x

1.1.3  dot1x attempts max-fail

【命令】

dot1x attempts max-fail unsuccessful-attempts

undo dot1x attempts max-fail

【視圖】

二層以太網端口視圖

【缺省級別】

2:係統級

【參數】

unsuccessful-attempts:對於已經通過MAC地址認證的用戶,允許其進行802.1X認證失敗的次數,取值範圍為1~50。

【描述】

dot1x attempts max-fail命令用來配置已經通過MAC地址認證在線的用戶的允許進行802.1X認證失敗的次數。undo dot1x attempts max-fail命令用來恢複缺省情況。

缺省情況下,允許已經通過MAC地址認證的用戶進行802.1X認證。

【舉例】

# 在端口Ethernet1/0/1上配置已經通過MAC地址認證在線的用戶的進行802.1x認證失敗的次數為3。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x attempts max-fail 3

1.1.4  dot1x authentication-method

【命令】

dot1x authentication-method { chap | eap | pap }

undo dot1x authentication-method

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

chap:啟用EAP終結方式,並支持與RADIUS服務器之間采用CHAP類型的認證方法。

eap:啟用EAP中繼方式,並支持客戶端與RADIUS服務器之間所有類型的EAP認證方法。

pap:啟用EAP終結方式,並支持與RADIUS服務器之間采用PAP類型的認證方法。

【描述】

dot1x authentication-method命令用來配置802.1X係統的認證方法。undo dot1x authentication-method命令用來恢複缺省情況。

缺省情況下,設備啟用EAP終結方式,並采用CHAP認證方法。

(1)     EAP終結認證方式:設備將收到的客戶端EAP報文中的用戶認證信息重新封裝在標準的RADIUS報文中,然後采用PAP或CHAP認證方法與RADIUS服務器完成認證交互。該認證方式的優點是,現有的RADIUS服務器基本均可支持PAP和CHAP認證,無需升級服務器,但設備處理較為複雜,且目前僅能支持MD5-Challenge類型的EAP認證以及iNode 802.1X客戶端發起的“用戶名+密碼”方式的EAP認證。

·     PAP(Password Authentication Protocol,密碼驗證協議)通過用戶名和口令來對用戶進行驗證,其特點是在網絡上以明文方式傳送用戶名和口令,僅適用於對網絡安全要求相對較低的環境。目前,僅H3C iNode 802.1X客戶端支持此認證方法。

·     CHAP(Challenge Handshake Authentication Protocol,質詢握手驗證協議)采用客戶端與服務器端交互挑戰信息的方式來驗證用戶身份,其特點是在網絡上以明文方式傳送用戶名,以密文方式傳輸口令。與PAP相比,CHAP認證保密性較好,更為安全可靠。

(2)     EAP中繼:設備將收到的客戶端EAP報文直接封裝到RADIUS報文的屬性字段中,發送給RADIUS服務器完成認證。該認證方式的優點是,設備處理簡單,且可支持多種類型的EAP認證方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服務器端支持相應的EAP認證方法。

需要注意的是:

·     本地認證支持PAP和CHAP。

·     采用RADIUS認證方法時,PAP、CHAP、EAP認證功能的最終實現,需要RADIUS服務器支持相應的PAP、CHAP、EAP認證。

·     若采用EAP認證方式,則RADIUS方案下的user-name-format配置無效,user-name-format的介紹請參見“安全命令參考”中的“AAA”。

相關配置可參考命令display dot1x

【舉例】

# 啟用EAP終結方式,並支持與RADIUS服務器之間采用PAP類型的認證方法。

<Sysname> system-view

[Sysname] dot1x authentication-method pap

1.1.5  dot1x auth-fail vlan

【命令】

dot1x auth-fail vlan authfail-vlan-id

undo dot1x auth-fail vlan

【視圖】

以太網端口視圖

【缺省級別】

2:係統級

【參數】

authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。

【描述】

dot1x auth-fail vlan命令用來配置指定端口的Auth-Fail VLAN,即認證失敗的用戶被授權訪問的VLAN。undo dot1x auth-fail vlan命令用來恢複缺省情況。

缺省情況下,端口沒有配置Auth-Fail VLAN。

需要注意的是:

·     這裏的認證失敗是認證服務器因某種原因明確拒絕用戶認證通過,比如用戶密碼錯誤,而不是認證超時或網絡連接等原因造成的認證失敗。

·     在接入控製方式為portbased的端口上配置的Auth-Fail VLAN,隻有802.1X組播觸發功能開啟的情況下才生效。Auth-Fail VLAN生效後,若將端口的接入控製方式由portbased修改為macbased,則端口會離開Auth-Fail VLAN。

·     在接入控製方式為macbased的端口上配置的Auth-Fail VLAN,隻有MAC VLAN功能開啟的情況下才生效。Auth-Fail VLAN生效後,若將端口的接入控製方式由macbased修改為portbased,則已建立的Auth-Fail VLAN表項會被刪除。Auth-Fail VLAN表項中記錄了加入Auth-Fail VLAN的MAC地址與端口上使能的MAC VLAN,可以通過display mac-vlan查看。

·     禁止直接刪除已被配置為Auth-Fail VLAN的VLAN,若要刪除該VLAN,請先通過命令undo dot1x auth-fail vlan取消802.1X的Auth-Fail VLAN配置。

·     同一個端口上可同時配置Auth-Fail VLAN和Guest VLAN。

相關配置可參考命令dot1xdot1x port-method

【舉例】

# 在以太網端口Ethernet1/0/1上配置Auth-Fail VLAN為3。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x auth-fail vlan 3

1.1.6  dot1x critical vlan

【命令】

dot1x critical vlan vlan-id

undo dot1x critical vlan

【視圖】

二層以太網端口視圖

【缺省級別】

2:係統級

【參數】

vlan-id:端口上指定的Critical VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。

【描述】

dot1x critical vlan命令用來配置指定端口的Critical VLAN,即當用戶認證時對應的ISP域下所有認證服務器都不可達的情況下端口加入的VLAN。undo dot1x critical vlan命令用來恢複缺省情況。

缺省情況下,端口沒有配置Critical VLAN。

需要注意的是:

·     認證服務器不可達是指,因網絡故障等原因導致的,用於認證用戶的ISP域所引用的所有服務器都不可達;

·     接入控製方式為MAC-based時,端口上必須先使能MAC VLAN功能,配置的Critical VLAN才生效;

·     接入控製方式在Port-based和MAC-based之間切換時,已經建立的Critical VLAN表項會被刪除,位於其中的用戶將返回到加入Critical VLAN之前所在的VLAN中。

·     已經配置為Critical VLAN的VLAN不允許刪除。若要刪除配置為Critical VLAN的VLAN,必須先取消802.1X的Critical VLAN配置;

·     若端口已經位於802.1X的Guest VLAN或Auth-Fail VLAN,則當所有認證服務器都不可達時,端口並不會離開當前的VLAN而加入Critical VLAN。

相關配置可參考命令dot1xdot1x port-methoddot1x critical recovery-action

【舉例】

# 在端口Ethernet1/0/1上配置Critical VLAN為VLAN 3。

<Sysname> system-view

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x critical vlan 3

1.1.7  dot1x critical recovery-action

【命令】

dot1x critical recovery-action reinitialize

undo dot1x critical recovery-action

【視圖】

二層以太網端口視圖

【缺省級別】

2:係統級

【參數】

reinitialize:表示端口離開Critical VLAN,並開始主動對用戶進行認證。

【描述】

dot1x critical recovery-action命令用於配置端口的恢複動作,即設備檢測到認證服務器恢複為可達狀態後端口執行的動作。undo dot1x critical recovery-action命令用於恢複缺省情況。

缺省情況下,設備檢測到服務器恢複為可達狀態後,端口僅僅離開Critical VLAN,不會對用戶主動進行認證。

需要注意的是:

·     此命令僅用於和端口上的Critical VLAN配合使用。

·     接入控製方式為MAC-based時,如果端口上配置了恢複動作,則當服務器恢複可達後,處於Critical VLAN的端口會主動向已加入Critical VLAN的MAC地址發送單播報文觸發其進行802.1X認證。

·     接入控製方式為Port-based時,如果端口上配置了恢複動作,則當服務器恢複可達後,處於Critical VLAN的端口會主動向客戶端發送組播報文,觸發端口上的客戶端進行802.1X認證。

·     若需要實現認證服務器狀態檢測的實時性,使得設備能夠及時發現有服務器恢複為可達狀態,可配置認證服務器狀態的探測功能。該功能的相關配置請參見“安全命令參考”中的“AAA”。

【舉例】

# 在端口Ethernet1/0/1上配置服務器可達後端口的動作為端口離開Critical VLAN,並開始對用戶進行認證。

<Sysname> system-view

[Sysname] interface Ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x critical recovery-action reinitialize

1.1.8  dot1x domain-delimiter

【命令】

dot1x domain-delimiter string

undo dot1x domain-delimiter

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

string:指定802.1X認證支持的域名分隔符,為1~16個字符的字符串,可包括字符@、\、/或三者的任意組合,且可重複,例如@/、@/\、\@/、//等。

【描述】

dot1x domain-delimiter命令用來配置802.1X支持的域名分隔符。undo dot1x domain-delimiter命令用來恢複缺省情況。

缺省情況下,802.1X僅支持域名分隔符@。

目前,802.1X支持的域名分隔符包括@、\和/,對應的用戶名格式分別為username@domain-name domain-name\usernameusername/domain-name,其中username為純用戶名、domain-name為域名。如果用戶名中包含有多個域名分隔符字符,則僅將第一個出現的域名分隔符識別為實際使用的域名分隔符,其他域名分隔符字符都被認為是域名中的一部分,例如,用戶輸入的用戶名為123/22\@abc,則認為純用戶名為123,域名分隔符為/,域名為22\@abc。

需要注意的是:

·     係統默認支持分隔符@,但如果通過本命令指定的域名分隔符中未包含分隔符@,則802.1X僅會支持命令中指定的分隔符。

·     對於使用域名分隔符\或者/的802.1X在線用戶,不能通過cut connection user-name user-name命令切斷其連接,也不能通過display connection user-name user-name命令查看到其相關信息。例如,執行命令cut connection user-name aaa\bbb後,不能切斷在線用戶aaa\bbb的連接。關於命令display connectioncut connection的介紹請參見“安全命令參考”中的“AAA”。

【舉例】

# 配置802.1X支持的域名分隔符為@、\和/。

<Sysname> system-view

[Sysname] dot1x domain-delimiter @\/

1.1.9  dot1x guest-vlan

【命令】

在係統視圖下:

dot1x guest-vlan guest-vlan-id [ interface interface-list ]

undo dot1x guest-vlan [ interface interface-list ]

在以太網端口視圖下:

dot1x guest-vlan guest-vlan-id

undo dot1x guest-vlan

【視圖】

係統視圖/以太網端口視圖

【缺省級別】

2:係統級

【參數】

guest-vlan-id:端口上指定的Guest VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。

interface interface-list:端口列表,表示多個端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。如果不指定本參數,則表示配置所有二層以太網端口的Guest VLAN。

【描述】

dot1x guest-vlan命令用來配置指定端口的Guest VLAN。undo dot1x guest-vlan命令用來取消指定端口的Guest VLAN。

缺省情況下,端口沒有配置Guest VLAN。

需要注意的是:

·     隻有開啟802.1X特性的情況下,Guest VLAN才能生效。

·     在接入控製方式為portbased的端口上配置的Guest VLAN,隻有802.1X組播觸發功能開啟的情況下才生效。Guest VLAN生效後,若將端口的接入控製方式由portbased修改為macbased,則端口會離開Guest VLAN。

·     在接入控製方式為macbased的端口上配置的Guest VLAN,隻有MAC VLAN功能開啟的情況下才生效。Guest VLAN生效後,若將端口的接入控製方式由macbased修改為portbased,則已建立的Guest VLAN表項會被刪除。Guest VLAN表項中記錄了加入Guest VLAN的MAC地址與端口上使能的MAC VLAN,可以通過display mac-vlan查看。

·     禁止刪除已被配置為Guest VLAN的VLAN,若要刪除該VLAN,請先通過命令undo dot1x guest-vlan取消802.1X的Guest VLAN配置。

·     同一個端口上可同時配置Guest VLAN和Auth-Fail VLAN。

相關配置可參考命令dot1xdot1x port-methoddot1x multicast-trigger和“二層技術-以太網交換命令參考/VLAN”中的mac-vlan enabledisplay mac-vlan

【舉例】

# 配置端口Ethernet1/0/1的Guest VLAN為已經創建的VLAN 999。

<Sysname> system-view

[Sysname] dot1x guest-vlan 999 interface ethernet 1/0/1

# 配置端口Ethernet1/0/2~Ethernet1/0/5的Guest VLAN為已經創建的VLAN 10。

<Sysname> system-view

[Sysname] dot1x guest-vlan 10 interface ethernet 1/0/2 to ethernet 1/0/5

# 配置所有端口的Guest VLAN為已經創建的VLAN 7。

<Sysname> system-view

[Sysname] dot1x guest-vlan 7

# 配置端口Ethernet1/0/7的Guest VLAN為已經創建的VLAN 3。

<Sysname> system-view

[Sysname] interface ethernet 1/0/7

[Sysname-Ethernet1/0/7] dot1x guest-vlan 3

1.1.10  dot1x handshake

【命令】

dot1x handshake

undo dot1x handshake

【視圖】

以太網端口視圖

【缺省級別】

2:係統級

【參數】

【描述】

dot1x handshake命令用於開啟在線用戶握手功能,通過設備端定期向客戶端發送握手報文來探測用戶是否在線。undo dot1x handshake命令用於關閉在線用戶握手功能。

缺省情況下,在線用戶握手功能處於開啟狀態。

需要注意的是:建議在線用戶握手功能與iNode客戶端配合使用,以保證該功能可以正常運行。

【舉例】

# 開啟在線用戶握手功能。

<Sysname> system-view

[Sysname] interface ethernet 1/0/4

[Sysname-Ethernet1/0/4] dot1x handshake

1.1.11  dot1x handshake secure

【命令】

dot1x handshake secure

undo dot1x handshake secure

【視圖】

以太網端口視圖

【缺省級別】

2:係統級

【參數】

【描述】

dot1x handshake secure命令用於開啟在線用戶握手安全功能。undo dot1x handshake secure命令用於關閉在線用戶握手安全功能。

缺省情況下,在線用戶握手安全功能處於關閉狀態。

需要注意的是:

·     在線用戶握手安全功能的實現依賴於在線用戶握手功能。為使在線用戶握手安全功能生效,請保證在線用戶握手功能處於開啟狀態。

·     建議在線用戶握手安全功能與iNode客戶端以及iMC服務器配合使用,以保證該功能可以正常運行。

相關配置請參見命令dot1x handshake

【舉例】

# 開啟在線用戶握手安全功能。

<Sysname> system-view

[Sysname] interface ethernet 1/0/4

[Sysname-Ethernet1/0/4] dot1x handshake secure

1.1.12  dot1x mandatory-domain

【命令】

dot1x mandatory-domain domain-name

undo dot1x mandatory-domain

【視圖】

以太網端口視圖

【缺省級別】

2:係統級

【參數】

domain-name:ISP認證域名,為1~24個字符的字符串,不區分大小寫。

【描述】

dot1x mandatory-domain命令用來配置以太網端口上802.1X用戶的強製認證域。undo dot1x mandatory-domain命令用來刪除該以太網端口上802.1X用戶的認證域。

缺省情況下,未定義強製認證域。

需要注意的是:

·     從指定以太網端口上接入的802.1X用戶將按照如下先後順序選擇認證域:端口上配置的強製ISP域-->用戶名中指定的ISP域-->係統缺省的ISP域。

·     以太網端口上配置了強製認證域之後,使用不攜帶任何參數的display connection命令顯示該端口下的用戶連接信息時,所顯示的用戶域名為用戶登錄時使用的認證域名。但是,若要通過display connection domain isp-name命令顯示該類用戶、或者通過cut connection domain isp-name命令切斷該類用戶連接時,必須指定強製認證域名。關於命令display connection的介紹請參見“安全命令參考”中的“AAA”。

相關配置可參考命令display dot1x

【舉例】

# 在以太網端口Ethernet1/0/1上配置802.1X用戶使用強製認證域my-domain。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x mandatory-domain my-domain

# 802.1X用戶usera通過認證後,通過命令display connection可查看以太網端口Ethernet1/0/1 上的用戶連接信息,該命令的具體介紹請參見“安全命令參考”中的“AAA”。

[Sysname-Ethernet1/0/1] display connection interface ethernet 1/0/1

Slot:  1

Index=68  ,Username=usera@my-domain

 IP=3.3.3.3

 IPv6=N/A

 MAC=0015-e9a6-7cfe

 

 Total 1 connection(s) matched on slot 1.

 Total 1 connection(s) matched.

1.1.13  dot1x max-user

【命令】

在係統視圖下:

dot1x max-user user-number [ interface interface-list ]

undo dot1x max-user [ interface interface-list ]

在以太網端口視圖下:

dot1x max-user user-number

undo dot1x max-user

【視圖】

係統視圖/以太網端口視圖

【缺省級別】

2:係統級

【參數】

user-number:端口同時可容納接入用戶數量的最大值,取值範圍為1~256。

interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。

【描述】

dot1x max-user命令用來設置802.1X在指定端口上可容納接入用戶數量的最大值。undo dot1x max-user命令用來恢複該值的缺省值。

缺省情況下,端口同時可容納接入用戶數量的最大值為256。

需要注意的是:

·     在係統視圖下執行該命令可以作用於參數interface-list所指定的端口,如果不指定任何端口則將作用於所有端口。

·     在以太網端口視圖下執行該命令時,不能指定參數interface-list,隻能作用於當前端口。

相關配置可參考命令display dot1x

【舉例】

# 配置端口Ethernet1/0/1上最多可容納32個接入用戶。

<Sysname> system-view

[Sysname] dot1x max-user 32 interface ethernet 1/0/1

或者

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x max-user 32

# 配置端口Ethernet1/0/2Ethernet1/0/5中的每個端口上最多可容納32個接入用戶。

<Sysname> system-view

[Sysname] dot1x max-user 32 interface ethernet 1/0/2 to ethernet 1/0/5

1.1.14  dot1x multicast-trigger

【命令】

dot1x multicast-trigger

undo dot1x multicast-trigger

【視圖】

以太網端口視圖

【缺省級別】

2:係統級

【參數】

【描述】

dot1x multicast-trigger命令用來使能802.1X的組播觸發功能,即周期性地向客戶端發送組播觸發報文。undo dot1x multicast-trigger命令用來關閉802.1X的組播觸發功能。

缺省情況下,802.1X的組播觸發功能處於開啟狀態。

相關配置可參考命令display dot1x

【舉例】

# 在以太網端口Ethernet1/0/1上開啟802.1X的組播觸發功能。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x multicast-trigger

1.1.15  dot1x port-control

【命令】

在係統視圖下:

dot1x port-control { authorized-force | auto | unauthorized-force } [ interface interface-list ]

undo dot1x port-control [ interface interface-list ]

在以太網端口視圖下:

dot1x port-control { authorized-force | auto | unauthorized-force }

undo dot1x port-control

【視圖】

係統視圖/以太網端口視圖

【缺省級別】

2:係統級

【參數】

authorized-force:強製授權。指示端口始終處於授權狀態,允許用戶不經認證授權即可訪問網絡資源。

auto:自動識別。指示端口初始狀態為非授權狀態,僅允許EAPOL報文收發,不允許用戶訪問網絡資源;如果認證通過,則端口切換到授權狀態,允許用戶訪問網絡資源。這也是最常見的情況。

unauthorized-force:強製非授權。指示端口始終處於非授權狀態,不允許用戶訪問網絡資源。

interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。

【描述】

dot1x port-control命令用來設置端口的授權狀態。undo dot1x port-control命令用來恢複缺省的端口授權狀態。

缺省情況下,端口的授權狀態為auto

需要注意的是:

·     在係統視圖下執行該命令時,若指定了參數interface-list,則作用於參數interface-list所指定的端口;若不指定任何端口,則作用於當前係統中的所有端口。

·     在以太網端口視圖下執行該命令時,不能指定參數interface-list,隻能作用於當前端口。

相關配置可參考命令display dot1x

【舉例】

# 指定端口Ethernet1/0/1處於強製非授權狀態。

<Sysname> system-view

[Sysname] dot1x port-control unauthorized-force interface ethernet 1/0/1

或者

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x port-control unauthorized-force

# 指定端口Ethernet1/0/2~Ethernet1/0/5均處於強製非授權狀態。

<Sysname> system-view

[Sysname] dot1x port-control unauthorized-force interface ethernet 1/0/2 to ethernet 1/0/5

1.1.16  dot1x port-method

【命令】

在係統視圖下:

dot1x port-method { macbased | portbased } [ interface interface-list ]

undo dot1x port-method [ interface interface-list ]

在以太網端口視圖下:

dot1x port-method { macbased | portbased }

undo dot1x port-method

【視圖】

係統視圖/以太網端口視圖

【缺省級別】

2:係統級

【參數】

macbased:表示基於MAC地址對接入用戶進行認證,即該端口下的所有接入用戶均需要單獨認證,當某個用戶下線時,也隻有該用戶無法使用網絡。

portbased:表示基於端口對接入用戶進行認證,即隻要該端口下的第一個用戶認證成功後,其他接入用戶無須認證就可使用網絡資源,但是當第一個用戶下線後,其他用戶也會被拒絕使用網絡。

interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。

【描述】

dot1x port-method命令用來配置802.1X在指定端口上進行接入控製的方式。undo dot1x port-method命令用來恢複缺省的接入控製方式。

缺省情況下,接入控製方式為macbased

需要注意的是:

·     在係統視圖下執行該命令時,若指定了參數interface-list,則作用於interface-list參數所指定的端口;若不指定任何端口,則作用於當前係統中的所有端口。

·     在以太網端口視圖下執行該命令時,不能指定參數interface-list,隻能作用於當前端口。

相關配置可參考命令display dot1x

【舉例】

# 在端口Ethernet1/0/1上配置對接入用戶進行基於端口的802.1X認證。

<Sysname> system-view

[Sysname] dot1x port-method portbased interface ethernet 1/0/1

或者

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x port-method portbased

# 配置端口Ethernet1/0/2~Ethernet1/0/5上對接入用戶進行基於端口的802.1X認證。

<Sysname> system-view

[Sysname] dot1x port-method portbased interface ethernet 1/0/2 to ethernet 1/0/5

1.1.17  dot1x quiet-period

【命令】

dot1x quiet-period

undo dot1x quiet-period

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

【描述】

dot1x quiet-period命令用來開啟靜默定時器功能。undo dot1x quiet-period命令用來關閉靜默定時器功能。

缺省情況下,靜默定時器功能處於關閉狀態。

當802.1X用戶認證失敗以後,設備需要靜默一段時間(該時間由靜默定時器設置)。在靜默期間,設備對該用戶不進行802.1X認證的相關處理。

相關配置可參考命令display dot1xdot1x timer

【舉例】

# 開啟靜默定時器。

<Sysname> system-view

[Sysname] dot1x quiet-period

1.1.18  dot1x re-authenticate

【命令】

dot1x re-authenticate

undo dot1x re-authenticate

【視圖】

以太網端口視圖

【缺省級別】

2:係統級

【參數】

【描述】

dot1x re-authenticate命令用來開啟周期性重認證功能。undo dot1x re-authenticate命令用來關閉周期性重認證功能。

缺省情況下,周期性重認證功能處於關閉狀態。

端口啟動了802.1X的周期性重認證功能後,設備會根據周期性重認證定時器(dot1x timer reauth-period)設定的時間間隔定期啟動對該端口在線802.1X用戶的認證,以檢測用戶連接狀態的變化,更新服務器下發的授權屬性(例如ACL、VLAN、QoS Profile)。

相關配置可參考命令dot1x timer reauth-period

【舉例】

# 在以太網端口Ethernet1/0/1上開啟802.1X重認證功能,並配置周期性重認證時間間隔為1800秒。

<Sysname> system-view

[Sysname] dot1x timer reauth-period 1800

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x re-authenticate

1.1.19  dot1x supp-proxy-check

【命令】

在係統視圖下:

dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]

undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]

在以太網端口視圖下:

dot1x supp-proxy-check { logoff | trap }

undo dot1x supp-proxy-check { logoff | trap }

【視圖】

係統視圖/以太網端口視圖

【缺省級別】

2:係統級

【參數】

logoff:檢測到用戶使用代理後,切斷用戶連接。

trap:檢測到用戶使用代理後,向網管係統發送Trap報文。

interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。如果不指定本參數,則表示開啟全局的用戶檢測及接入控製。

【描述】

dot1x supp-proxy-check命令用來設置設備對通過代理登錄的用戶的檢測及接入控製。undo dot1x supp-proxy-check命令用來取消設備對通過代理登錄的用戶的檢測及相關控製的設置。

缺省情況下,設備不對通過代理登錄的用戶進行檢測及接入控製。

需要注意的是:

·     該功能的實現需要iNode客戶端程序的配合。

·     必須同時開啟全局和指定端口的代理用戶檢測與控製,此特性的配置才能在該端口上生效。

相關配置可參考命令display dot1x

【舉例】

# 配置端口Ethernet1/0/1~Ethernet1/0/8檢測到用戶使用代理後,切斷該用戶的連接。

<Sysname> system-view

[Sysname] dot1x supp-proxy-check logoff

[Sysname] dot1x supp-proxy-check logoff interface Ethernet 1/0/1 to Ethernet 1/0/8

# 配置端口Ethernet1/0/9檢測到登錄的用戶使用代理後,設備發送Trap報文。

<Sysname> system-view

[Sysname] dot1x supp-proxy-check trap

[Sysname] dot1x supp-proxy-check trap interface Ethernet 1/0/9

或者

<Sysname> system-view

[Sysname] dot1x supp-proxy-check trap

[Sysname] interface Ethernet 1/0/9

[Sysname-Ethernet1/0/9] dot1x supp-proxy-check trap

1.1.20  dot1x retry

【命令】

dot1x retry max-retry-value

undo dot1x retry

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

max-retry-value:向接入用戶發送認證請求報文的最大次數,取值範圍為1~10。

【描述】

dot1x retry命令用來設置設備向接入用戶發送認證請求報文的最大次數。undo dot1x retry命令用來將該最大發送次數恢複為缺省情況。

缺省情況下,向接入用戶發送認證請求報文的最大次數為2。

如果設備向用戶發送認證請求報文後,在規定的時間裏(可通過命令dot1x timer tx-period或者dot1x timer supp-timeout設定)沒有收到用戶的響應,則設備將向用戶重發該認證請求報文,若設備累計發送認證請求報文的次數達到配置的最大值後,仍然沒有得到用戶響應,則停止發送認證請求。

需要注意的是:

·     此命令參數max-retry-value取值為1時表示隻允許向用戶發送一次認證請求報文,如果沒有收到響應,不再重複發送;取值為2時表示在首次向用戶發送請求又沒有收到響應後將重複發送1次;……依次類推。

·     本命令設置後將作用於所有端口。

相關配置可參考命令display dot1x

【舉例】

# 配置設備最多向接入用戶發送9次認證請求報文。

<Sysname> system-view

[Sysname] dot1x retry 9

1.1.21  dot1x timer

【命令】

dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }

undo dot1x timer { handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

handshake-period-value:握手定時器的值,取值範圍為5~1024,單位為秒。

quiet-period-value:靜默定時器的值,取值範圍為10~120,單位為秒。

reauth-period-value:周期性重認證定時器的值,取值範圍為60~7200,單位為秒。

server-timeout-value:認證服務器超時定時器的值,取值範圍為100~300,單位為秒。

supp-timeout-value:客戶端認證超時定時器的值,取值範圍為1~120,單位為秒。

tx-period-value:用戶名請求超時定時器的值,取值範圍為10~120,單位為秒。

【描述】

dot1x timer命令用來配置802.1X的各項定時器參數。undo dot1x timer命令用來將指定的定時器恢複為缺省情況。

缺省情況下,握手定時器的值為15秒,靜默定時器的值為60秒,周期性重認證定時器的值為3600秒,認證服務器超時定時器的值為100秒,客戶端認證超時定時器的值為30秒,用戶名請求超時定時器的值為30秒。

802.1X認證過程受以下定時器的控製:

·     握手定時器(handshake-period):此定時器是在用戶認證成功後啟動的,設備端以此間隔為周期發送握手請求報文,以定期檢測用戶的在線情況。如果配置發送次數為N,則當設備端連續N次沒有收到客戶端的響應報文,就認為用戶已經下線。

·     靜默定時器(quiet-period):對用戶認證失敗以後,設備端需要靜默一段時間(該時間由靜默定時器設置),在靜默期間,設備端不處理該用戶的認證功能。

·     周期性重認證定時器(reauth-period):端口下開啟了周期性重認證功能(通過命令dot1x re-authenticate)後,設備端以此間隔為周期對端口上的在線用戶發起重認證。對於已在線的802.1X用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。

·     認證服務器超時定時器(server-timeout):當設備端向認證服務器發送了RADIUS Access-Request請求報文後,設備端啟動server-timeout定時器,若在該定時器設置的時長內,設備端沒有收到認證服務器的響應,設備端將重發認證請求報文。

·     客戶端認證超時定時器(supp-timeout):當設備端向客戶端發送了EAP-Request/MD5 Challenge請求報文後,設備端啟動此定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,設備端將重發該報文。

·     用戶名請求超時定時器(tx-period):當設備端向客戶端發送EAP-Request/Identity請求報文後,設備端啟動該定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,則設備端將重發認證請求報文。另外,為了兼容不主動發送EAPOL-Start連接請求報文的客戶端,設備會定期組播EAP-Request/Identity請求報文來檢測客戶端。tx-period定義了該組播報文的發送時間間隔。

需要注意的是,一般情況下,用戶無需修改定時器的值,除非在一些特殊或惡劣的網絡環境下,可以使用該命令調節交互進程。修改後的定時器值,可立即生效。

相關配置可參考命令display dot1x

【舉例】

# 設置認證服務器的超時定時器時長為150秒。

<Sysname> system-view

[Sysname] dot1x timer server-timeout 150

1.1.22  dot1x unicast-trigger

【命令】

dot1x unicast-trigger

undo dot1x unicast-trigger

【視圖】

以太網端口視圖

【缺省級別】

2:係統級

【參數】

【描述】

dot1x unicast-trigger命令用來開啟端口上的802.1X的單播觸發功能。undo dot1x unicast-trigger命令用來關閉802.1X的單播觸發功能。

缺省情況下,802.1X的單播觸發功能處於關閉狀態。

本功能開啟後,當端口收到源MAC未知的報文時,主動向該MAC地址發送單播認證報文來觸發認證。若設備端在設置的客戶端認證超時時間內(該時間由dot1x timer tx-period設置)沒有收到客戶端的響應,則重發該報文(重發次數由dot1x retry設置)。

相關配置可參考命令display dot1xdot1x timer tx-perioddot1x retry

【舉例】

# 在端口Ethernet1/0/1上開啟802.1X的單播觸發功能。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] dot1x unicast-trigger

1.1.23  reset dot1x statistics

【命令】

reset dot1x statistics [ interface interface-list ]

【視圖】

用戶視圖

【缺省級別】

2:係統級

【參數】

interface interface-list:以太網端口列表,表示多個以太網端口,表示方式為interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type為端口類型,interface-number為端口號。&<1-10>表示前麵的參數最多可以輸入10次。起始端口類型必須和終止端口類型一致,並且終止端口號必須大於起始端口號。

【描述】

reset dot1x statistics命令用來清除802.1X的統計信息。

需要注意的是:

·     如果不指定端口類型和端口號,則清除設備上的全局及所有端口的802.1X統計信息;

·     如果指定端口類型和端口號,則清除指定端口上的802.1X統計信息。

相關配置可參考命令display dot1x

【舉例】

# 清除端口Ethernet1/0/1上的802.1X統計信息。

<Sysname> reset dot1x statistics interface ethernet 1/0/1

1.1.24  vlan-group

【命令】

vlan-group group-name

undo vlan-group group-name

【視圖】

係統視圖

【缺省級別】

3:管理級

【參數】

group-name:指定VLAN組的名稱,為1~31個字符的字符串,首字符不可以是數字,區分大小寫。

【描述】

vlan-group命令用來創建VLAN組並進入VLAN組視圖。undo vlan-group命令用來刪除指定的VLAN組。

缺省情況下,不存在VLAN組。

設備最多允許配置100個VLAN組。

【舉例】

# 創建一個名稱為test的VLAN組,並進入該VLAN組視圖。

<Sysname> system-view

[Sysname] vlan-group test

1.1.25  vlan-list

【命令】

vlan-list vlan-list

undo vlan-list vlan-list

【視圖】

VLAN組視圖

【缺省級別】

2:係統級

【參數】

vlan-list:指定VLAN列表。表示方式為vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>。其中,vlan-id1vlan-id2為指定VLAN的編號,取值範圍為1~4094,vlan-id2的值要大於或等於vlan-id1的值。&<1-10>表示前麵的參數最多可以重複輸入10次。

【描述】

vlan-list命令用來配置VLAN組的VLAN成員。undo vlan-list命令用來刪除VLAN組中的VLAN成員。

需要注意的是:

·     配置的VLAN可以沒有創建。

·     同一個VLAN可以屬於不同的VLAN組。

·     可以通過多次執行本命令配置多個VLAN成員。

【舉例】

# 配置VLAN6、7、8屬於VLAN組test。

<Sysname> system-view

[Sysname] vlan-group test

[Sysname-vlan-group-test] vlan-list 6 7 8


2 EAD快速部署命令

2.1  EAD快速部署命令

2.1.1  dot1x free-ip

【命令】

dot1x free-ip ip-address { mask-address | mask-length }

undo dot1x free-ip { ip-address { mask | mask-length } | all }

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

ip-address:免認證網段IP地址。

mask:免認證網段IP地址的掩碼。

mask-length:免認證網段IP地址的掩碼長度。

all:所有免認證網段。

【描述】

dot1x free-ip命令用來配置Free IP,即用戶在802.1X認證成功之前可訪問的免認證網段。undo dot1x free-ip命令用來刪除配置的Free IP。

缺省情況下,未定義Free IP。

需要注意的是:

·     Free IP功能與全局使能MAC認證、端口安全功能互斥;

·     Free IP功能隻在端口接入控製的模式為auto的情況下生效;

·     Free IP可配置多條,但具體數目與產品型號有關,請以設備的實際情況為準。

相關配置可參考命令display dot1x

【舉例】

# 配置終端用戶在802.1X認證之前可訪問的免認證網段為192.168.0.0/24。

<Sysname> system-view

[Sysname] dot1x free-ip 192.168.0.0 24

2.1.2  dot1x timer ead-timeout

【命令】

dot1x timer ead-timeout ead-timeout-value

undo dot1x timer ead-timeout

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

ead-timeout-value:EAD規則的老化時間,取值範圍為1~1440,單位為分鍾。

【描述】

dot1x timer ead-timeout命令用來配置EAD規則的老化時間。undo dot1x timer ead-timeout命令用來恢複缺省配置。

缺省情況下,EAD規則的老化時間為30分鍾。

相關配置可參考命令display dot1x

【舉例】

# 配置EAD規則的老化時間為5分鍾。

<Sysname> system-view

[Sysname] dot1x timer ead-timeout 5

2.1.3  dot1x url

【命令】

dot1x url url-string

undo dot1x url

【視圖】

係統視圖

【缺省級別】

2:係統級

【參數】

url-string:重定向URL地址,為1~64個字符的字符串,區分大小寫,格式為“http://string”。

【描述】

dot1x url命令用來配置用戶HTTP訪問的重定向URL,即用戶在802.1X認證成功之前,如果使用瀏覽器訪問非Free IP網段的其它網絡,設備會將用戶訪問的URL重定向到已配置的HTTP訪問的重定向地址。undo dot1x url命令用來刪除用戶HTTP訪問的重定向URL。

缺省情況下,未定義重定向URL。

需要注意的是:

·     重定向的URL和Free IP必須在同一個網段內,否則無法訪問指定的重定向URL;

·     用戶HTTP訪問的重定向URL可多次配置,但僅最後配置的一條有效。

相關配置可參考命令display dot1xdot1x free-ip

【舉例】

# 配置用戶HTTP訪問的重定向URL為http://192.168.0.1。

<Sysname> system-view

[Sysname] dot1x url http://192.168.0.1

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們