- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-802.1X命令
本章節下載: 04-802.1X命令 (312.89 KB)
目 錄
1.1.2 display dot1x connection
1.1.4 dot1x authentication-method
1.1.8 dot1x ead-assistant enable
1.1.9 dot1x ead-assistant free-ip
1.1.10 dot1x ead-assistant url
1.1.13 dot1x handshake reply enable
1.1.17 dot1x multicast-trigger
1.1.22 dot1x re-authenticate server-unreachable keep-online
1.1.28 dot1x smarton timer supp-timeout
display dot1x命令用來顯示802.1X的相關信息。
【命令】
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
sessions:顯示802.1X的會話連接信息。
statistics:顯示802.1X的相關統計信息。
interface interface-type interface-number:顯示指定端口的802.1X信息。interface-type interface-number為端口類型和端口編號。
【使用指導】
如果不指定參數sessions或者statistics,則顯示802.1X的所有信息,包括會話連接信息、相關統計信息和配置信息等。
如果不指定interface參數,則顯示所有有線和無線的802.1X信息。
如果不指定任何參數,則顯示802.1X的所有信息。
【舉例】
# 顯示802.1X的所有信息。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
CHAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
SmartOn switch ID : 30
SmartOn supp timeout : 30 s
SmartOn retry counts : 3
EAD assistant function : Disabled
URL : http://www.dwsoft.com
Free IP : 6.6.6.0 255.255.255.0
EAD timeout : 30 min
Domain delimiter : @
Online 802.1X wired users : 1
Online 802.1X wireless users : 1
GigabitEthernet1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Unicast trigger : Disabled
Periodic reauth : Disabled
Port role : Authenticator
Authorization mode : Auto
Port access control : Port-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : 3
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Re-auth server-unreachable : Logoff
Max online users : 256
SmartOn : Disabled
EAPOL packets: Tx 3, Rx 4
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0000 Authenticated
AP name: AP1 Radio ID: 1 SSID: wlan_dot1x_ssid
BSSID : 1111-1111-1111
802.1X authentication : Enabled
Handshake : Enabled
Handshake security : Disabled
Periodic reauth : Disabled
Mandatory auth domain : Not configured
Max online users : 256
EAPOL packets: Tx 3, Rx 4
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0002 Authenticated
表1-1 display dot1x命令顯示信息描述表
|
字段 |
描述 |
|
Global 802.1X parameters |
全局802.1X參數配置信息 |
|
802.1X authentication |
全局802.1X的開啟狀態 |
|
CHAP authentication |
啟用EAP終結方式,並采用CHAP認證方法 |
|
EAP authentication |
啟用EAP中繼方式,並支持所有EAP認證方法 |
|
PAP authentication |
啟用EAP終結方式,並采用PAP認證方法 |
|
Max-tx period |
用戶名請求超時定時器的值 |
|
Handshake period |
握手定時器的值 |
|
Quiet timer |
靜默定時器的開啟狀態 |
|
Quiet period |
靜默定時器的值 |
|
Supp timeout |
客戶端認證超時定時器的值 |
|
Server timeout |
認證服務器超時定時器的值 |
|
Reauth period |
重認證定時器的值 |
|
Max auth requests |
設備向接入用戶發送認證請求報文的最大次數 |
|
SmartOn switch ID |
SmartOn的Switch ID |
|
SmartOn supp timeout |
SmartOn的客戶端認證超時定時器的時長 |
|
SmartOn retry counts |
SmartOn的通知請求報文的最大發送次數 |
|
EAD assistant function |
EAD快速部署輔助功能的開啟狀態 |
|
URL |
用戶HTTP訪問的重定向URL |
|
Free IP |
用戶通過認證之前可訪問的網段 |
|
EAD timeout |
EAD老化定時器超時時間 |
|
Domain delimiter |
域名分隔符 |
|
Online 802.1X wired users |
在線802.1X有線用戶和正在發起認證的802.1X有線用戶的總數 |
|
Online 802.1X wireless users |
在線802.1X無線用戶和正在發起認證的802.1X無線用戶的總數 |
|
GigabitEthernet1/0/1 is link-up |
端口GigabitEthernet1/0/1的鏈路狀態 |
|
802.1X authentication |
端口上802.1X的開啟狀態 |
|
Handshake |
在線用戶握手功能的開啟狀態 |
|
Handshake reply |
在線用戶握手回應功能的開啟狀態 |
|
Handshake security |
安全握手功能的開啟狀態 |
|
Unicast trigger |
802.1X單播觸發功能的開啟狀態 |
|
Periodic reauth |
周期性重認證功能的開啟狀態 |
|
Port role |
該端口擔當認證端的作用,目前僅支持作為認證端 |
|
Authorization mode |
端口的授權狀態 · Force-Authorized:強製授權狀態 · Auto:自動識別狀態 · Force-Unauthorized:強製非授權狀態 |
|
Port access control |
端口接入控製方式 · MAC-based:基於MAC地址對接入用戶進行認證 · Port-based:基於端口對接入用戶進行認證 |
|
Multicast trigger |
802.1X組播觸發功能的開啟狀態 |
|
Mandatory auth domain |
端口上的接入用戶使用的強製認證域 |
|
Guest VLAN |
端口配置的Guest VLAN,若此功能未配置則顯示Not configured |
|
Auth-fail VLAN |
端口配置的Auth-Fail VLAN,若此功能未配置則顯示Not configured |
|
Critical VLAN |
端口配置的Critical VLAN,若此功能未配置則顯示Not configured |
|
Critical voice VLAN |
(暫不支持)端口上Critical Voice VLAN功能的開啟狀態,包括如下取值: · Enabled:開啟 · Disabled:關閉 |
|
Re-auth server-unreachable |
重認證時服務器不可達對802.1X在線用戶采取的動作 |
|
Max online users |
本端口最多可容納的接入用戶數 |
|
SmartOn |
端口上SmartOn的開啟狀態 |
|
EAPOL packets |
EAPOL報文數目。Tx表示發送的報文數目;Rx表示接受的報文數目 |
|
Sent EAP Request/Identity packets |
發送的EAP Request/Identity報文數 |
|
EAP Request/Challenge packets |
發送的EAP Request/Challenge報文數 |
|
EAP Success packets |
發送的EAP Success報文數 |
|
EAP Fail packets |
發送的EAP Failure報文數 |
|
Received EAPOL Start packets |
接收的EAPOL Start報文數 |
|
EAPOL LogOff packets |
接收的EAPOL LogOff報文數 |
|
EAP Response/Identity packets |
接收的EAP Response/Identity報文數 |
|
EAP Response/Challenge packets |
接收的EAP Response/Challenge報文數 |
|
Error packets |
接收的錯誤報文數 |
|
Online 802.1X users |
端口上的在線802.1X用戶和正在發起認證的802.1X用戶的總數 |
|
MAC address |
802.1X用戶的MAC地址 |
|
Auth state |
802.1X用戶的認證狀態 |
|
AP name |
AP名稱 |
|
Radio ID |
Radio編號 |
|
SSID |
服務集標識符 |
|
BSSID |
基本服務集標識符 |
display dot1x connection命令用來顯示當前802.1X在線用戶的詳細信息。
【命令】
display dot1x connection [ interface interface-type interface-number | user-mac mac-address | user-name name-string ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定端口的802.1X在線用戶信息。其中interface-type interface-number表示端口類型和端口編號。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
user-mac mac-address:顯示指定MAC地址的802.1X在線用戶信息。其中mac-address表示用戶的MAC地址,格式為H-H-H。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
user-name name-string:顯示指定用戶名的802.1X在線用戶信息。其中name-string表示用戶名,為1~253個字符的字符串,區分大小寫。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
【使用指導】
如果不指定任何參數,則顯示所有端口的802.1X在線用戶信息。
【舉例】
# 顯示所有802.1X在線用戶信息。
<Sysname> display dot1x connection
Total connections: 1
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
Authentication domain: abc
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
Authentication method: CHAP
Initial VLAN: 1
Authorization untagged VLAN: 6
Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33
35 37 40 to 100
Authorization ACL number/name: 3001
Authorization user profile: N/A
Termination action: Default
Session timeout period: 2 s
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
Level flow statistic :
Level-0 Sent packets/bytes : 0/0
Received packets/bytes : 272/13445
Level-1 Sent packets/bytes : 0/0
Received packets/bytes : 45/1248
User MAC address : 0016-ecb7-a879
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Authentication domain : 1
IPv4 address : 192.168.1.1
IPv6 address : 2000:0:0:0:1:2345:6789:abcd
Authentication method : CHAP
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR :
Average input rate : 102400 bps
Average output rate : 102400 bps
Authorization URL : http://oauth.h3c.com
Authorization IPv6 URL : N/A
Termination action : Default
Session timeout period : 2 sec
Online from : 2013/03/02 13:14:15
Online duration : 0 h 2 m 15 s
Level flow statistic :
Level-0 Sent packets/bytes : 1/54
Received packets/bytes : 0/0
Level-1 Sent packets/bytes : 0/0
Received packets/bytes : 45/1248
表1-2 display dot1x connection 命令顯示信息描述表
|
字段 |
描述 |
|
Total connections |
在線802.1X認證用戶個數 |
|
User MAC address |
用戶的MAC地址 |
|
Access interface |
用戶的接入接口名稱 |
|
AP name |
AP的名稱 |
|
Radio ID |
Radio的ID |
|
SSID |
服務集標識符 |
|
BSSID |
用戶所屬的基本服務集標識符 |
|
Username |
用戶名 |
|
Authentication domain |
認證時使用的ISP域的名稱 |
|
IPv4 address |
用戶IP地址 若未獲取到用戶的IP地址,則不顯示該字段 |
|
IPv6 address |
用戶IPv6地址 若未獲取到用戶的IP地址,則不顯示該字段 |
|
Authentication method |
802.1X係統的認證方法 · CHAP:啟用EAP終結方式,並采用CHAP認證方法 · EAP:啟用EAP中繼方式,並支持所有EAP認證方法 · PAP:啟用EAP終結方式,並采用PAP認證方法 |
|
Initial VLAN |
初始的VLAN |
|
Authorization untagged VLAN |
授權的untagged VLAN |
|
Authorization tagged VLAN list |
授權的tagged VLAN列表 |
|
Authorization ACL number/name |
授權ACL的編號或名稱。若未授權ACL,則顯示為N/A 若未授權成功,則在ACL編號後顯示“(NOT effective)” |
|
Authorization user profile |
授權用戶的User profile名稱 |
|
Authorization CAR |
當服務器未授權用戶CAR屬性時,該字段顯示為N/A。 當服務器授權用戶CAR屬性,將分為以下兩個字段: · Average input rate :上行平均速率,單位為bps · Average output rate:下行平均速率,單位為bps |
|
Authorization URL |
授權的重定向URL |
|
Authorization IPv6 URL |
授權的IPv6重定向URL |
|
Termination action |
服務器下發的終止動作類型: · Default:會話超時時長到達後,強製用戶下線。但是,如果設備上開啟了周期性重認證功能,且設備上配置的重認證定時器值小於用戶會話超時時長,則端口會以重認證定時器的值為周期向該端口在線802.1X用戶發起重認證,而不會強製用戶下線 · Radius-Request:會話超時時長到達後,要求802.1X用戶進行重認證 用戶采用本地認證時,該字段顯示為N/A |
|
Session timeout period |
服務器下發的會話超時時長,該時間到達之後,用戶所在的會話將會被刪除,之後,對該用戶所采取的動作,由Termination action字段的取值決定 用戶采用本地認證時,該字段顯示為N/A |
|
Online from |
用戶的上線時間 |
|
Online duration |
用戶的在線時長 |
|
Level flow statistic |
按Level計費的流量統計,共有0-8個Level級別,若配置按Level計費功能,則顯示配置的Level的流量統計;若未配置按level計費功能或無流量,則不顯示該字段 · Sent packets/bytes:發送的報文數和字節數 · Received packets/bytes:接收到的報文數和字節數 |
dot1x命令用來開啟端口上或全局的802.1X。
undo dot1x命令用來關閉端口上或全局的802.1X。
【命令】
dot1x
undo dot1x
【缺省情況】
所有端口以及全局的802.1X都處於關閉狀態。
【視圖】
係統視圖
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有同時開啟全局和端口的802.1X後,802.1X的配置才能在端口上生效。
【舉例】
# 開啟全局的802.1X。
<Sysname> system-view
[Sysname] dot1x
# 開啟端口GigabitEthernet1/0/1上的802.1X。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x
[Sysname-GigabitEthernet1/0/1] quit
【相關命令】
· display dot1x
dot1x authentication-method命令用來配置802.1X係統的認證方法。
undo dot1x authentication-method命令用來恢複缺省情況。
【命令】
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
【缺省情況】
設備啟用EAP終結方式,並采用CHAP認證方法。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
chap:啟用EAP終結方式,並支持與RADIUS服務器之間采用CHAP類型的認證方法。
eap:啟用EAP中繼方式,並支持客戶端與RADIUS服務器之間所有類型的EAP認證方法。
pap:啟用EAP終結方式,並支持與RADIUS服務器之間采用PAP類型的認證方法。
【使用指導】
在EAP終結方式下:設備將收到的客戶端EAP報文中的用戶認證信息重新封裝在標準的RADIUS報文中,然後采用PAP或CHAP認證方法與RADIUS服務器完成認證交互。該方式的優點是,現有的RADIUS服務器基本均可支持PAP和CHAP認證,無需升級服務器,但設備處理較為複雜,且目前僅能支持MD5-Challenge類型的EAP認證以及iNode 802.1X客戶端發起的“用戶名+密碼”方式的EAP認證。有關PAP和CHAP兩種認證方法的詳細介紹如下:
· PAP(Password Authentication Protocol,密碼驗證協議)通過用戶名和口令來對用戶進行驗證,其特點是在網絡上以明文方式傳送用戶名和口令,僅適用於對網絡安全要求相對較低的環境。目前,H3C iNode 802.1X客戶端支持此認證方法。
· CHAP(Challenge Handshake Authentication Protocol,質詢握手驗證協議)采用客戶端與服務器端交互挑戰信息的方式來驗證用戶身份,其特點是在網絡上以明文方式傳送用戶名,以密文方式傳輸口令。與PAP相比,CHAP認證保密性較好,更為安全可靠。
在EAP中繼方式下:設備將收到的客戶端EAP報文直接封裝到RADIUS報文的屬性字段中,發送給RADIUS服務器完成認證。該方式的優點是,設備處理簡單,且可支持多種類型的EAP認證方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服務器端支持相應的EAP認證方法。
采用遠程RADIUS認證時,PAP、CHAP、EAP認證的最終實現,需要RADIUS服務器支持相應的PAP、CHAP、EAP認證方法。
若采用EAP認證方法,則RADIUS方案下的user-name-format配置無效,user-name-format的介紹請參見“用戶接入與認證命令參考”中的“AAA”。
【舉例】
# 啟用EAP終結方式,並支持與RADIUS服務器之間采用PAP類型的認證方法。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【相關命令】
· display dot1x
dot1x auth-fail vlan命令用來配置端口的802.1X Auth-Fail VLAN。
undo dot1x auth-fail vlan命令用來恢複缺省情況。
【命令】
dot1x auth-fail vlan authfail-vlan-id
undo dot1x auth-fail vlan
【缺省情況】
端口上未配置802.1X Auth-Fail VLAN。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
authfail-vlan-id:端口上指定的Auth-Fail VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【使用指導】
端口上配置此功能後,認證失敗的802.1X用戶可以繼續訪問Auth-Fail VLAN中的資源。
禁止刪除已被配置為Auth-Fail VLAN的VLAN,若要刪除該VLAN,請先通過undo dot1x auth-fail vlan命令取消802.1X Auth-Fail VLAN配置。
端口類型為Hybrid時,請不要將指定的Auth-Fail VLAN修改為攜帶Tag的方式。
【舉例】
# 配置端口GigabitEthernet1/0/1的Auth-Fail VLAN為VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x auth-fail vlan 100
【相關命令】
· display dot1x
dot1x critical vlan命令用來配置端口的802.1X Critical VLAN。
undo dot1x critical vlan命令用來恢複缺省情況。
【命令】
dot1x critical vlan critical-vlan-id
undo dot1x critical vlan
【缺省情況】
端口上未配置Critical VLAN。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
critical-vlan-id:端口上指定的Critical VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【使用指導】
配置此功能後,當802.1X用戶認證時對應的ISP域下所有認證服務器都不可達的情況下,此802.1X用戶可以繼續訪問Critical VLAN中的資源。
禁止刪除已被配置為Critical VLAN的VLAN,若要刪除該VLAN,請先通過undo dot1x critical vlan命令取消802.1X Critical VLAN配置。
端口類型為Hybrid時,請不要將指定的Critical VLAN修改為攜帶Tag的方式。
【舉例】
# 配置端口GigabitEthernet1/0/1的Critical VLAN為VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x critical vlan 100
【相關命令】
· display dot1x
dot1x domain-delimiter命令用來配置802.1X支持的域名分隔符。
undo dot1x domain-delimiter命令用來恢複缺省情況。
【命令】
dot1x domain-delimiter string
undo dot1x domain-delimiter
【缺省情況】
802.1X支持的域名分隔符為@。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
string:多個域名分隔符組成的1~16個字符的字符串,且分隔符隻能為@、.、/或\。若要指定域名分隔符\,則必須在輸入時使用轉義操作符\,即輸入\\。
【使用指導】
目前,802.1X支持的域名分隔符包括@、\、/和.,對應的用戶名格式分別為username@domain-name,domain-name\username、username/domain-name和username.domain-name,其中username為純用戶名、domain-name為域名。如果用戶名中包含有多個域名分隔符字符,則設備僅將最後一個出現的域名分隔符識別為實際使用的域名分隔符,例如,用戶輸入的用戶名為121.123/22\@abc,若設備上指定802.1X支持的域名分隔符為/、\,則識別出的純用戶名為@abc,域名為121.123/22。
係統默認支持分隔符@,但如果通過本命令指定的域名分隔符中未包含分隔符@,則802.1X僅會支持命令中指定的分隔符。
【舉例】
# 配置802.1X支持的域名分隔符為@和/。
<Sysname> system-view
[Sysname] dot1x domain-delimiter @/
【相關命令】
· display dot1x
dot1x ead-assistant enable命令用來開啟EAD快速部署輔助功能。
undo dot1x ead-assistant enable命令用來關閉EAD快速部署輔助功能。
【命令】
dot1x ead-assistant enable
undo dot1x ead-assistant enable
【缺省情況】
EAD快速部署輔助功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟EAD快速部署輔助功能後,設備允許未通過認證的802.1X用戶訪問一個特定的IP地址段,並可以將用戶發起的HTTP訪問請求重定向到該IP地址段中的一個指定的URL,實現用戶自動下載並安裝EAD客戶端的目的。
為使EAD快速部署功能生效,必須保證指定端口的授權模式為auto。
該命令與MAC地址認證和端口安全的全局使能命令均互斥,即開啟EAD快速部署輔助功能時,若全局使能了MAC地址認證或端口安全,則該配置將會執行失敗,反之亦然。
【舉例】
# 開啟EAD快速部署輔助功能。
<Sysname> system-view
[Sysname] dot1x ead-assistant enable
【相關命令】
· display dot1x
· dot1x ead-assistant free-ip
· dot1x ead-assistant url
dot1x ead-assistant free-ip命令用來配置Free IP。
undo dot1x ead-assistant free-ip命令用來刪除指定的Free IP。
【命令】
dot1x ead-assistant free-ip ip-address { mask-address | mask-length }
undo dot1x ead-assistant free-ip { ip-address { mask-address | mask-length } | all }
【缺省情況】
未配置Free IP,用戶在通過802.1X認證之前不能夠訪問任何網段。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:指定的IP地址。
mask-address:指定的IP掩碼地址。
mask-length:指定的IP掩碼地址長度,取值範圍為1~32。
all:所有配置的IP。
【使用指導】
全局使能EAD快速部署功能且配置Free IP之後,未通過認證的802.1X終端用戶可以訪問該IP地址段中的網絡資源。
可通過重複執行此命令來配置多個Free IP。
【舉例】
# 配置用戶在通過802.1X認證之前能夠訪問的網段為192.168.1.1/16。
<Sysname> system-view
[Sysname] dot1x ead-assistant free-ip 192.168.1.1 255.255.0.0
【相關命令】
· display dot1x
· dot1x ead-assistant enable
· dot1x ead-assistant url
dot1x ead-assistant url命令用來配置802.1X用戶HTTP訪問的重定向URL。
undo dot1x ead-assistant url命令用來恢複缺省情況。
【命令】
dot1x ead-assistant url url-string
undo dot1x ead-assistant url
【缺省情況】
未配置802.1X用戶HTTP訪問的重定向URL。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
url-string:重定向URL地址,為1~64個字符的字符串,區分大小寫。
【使用指導】
用戶在802.1X認證成功之前,如果使用瀏覽器訪問非Free IP網段的其它網絡,設備會將用戶訪問的URL重定向到已配置的重定向地址。
802.1X用戶重定向的URL和Free IP必須在同一個網段內,否則用戶無法訪問指定的重定向URL。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置802.1X用戶HTTP訪問的重定向URL為http://test.com。
<Sysname> system-view
[Sysname] dot1x ead-assistant url http://test.com
【相關命令】
· display dot1x
· dot1x ead-assistant enable
· dot1x ead-assistant free-ip
dot1x guest-vlan命令用來配置端口的802.1X Guest VLAN。
undo dot1x guest-vlan命令用來恢複缺省情況。
【命令】
dot1x guest-vlan guest-vlan-id
undo dot1x guest-vlan
【缺省情況】
端口上未配置802.1X Guest VLAN。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
guest-vlan-id:端口上指定的Guest VLAN ID,取值範圍為1~4094。該VLAN必須已經創建。
【使用指導】
配置此功能後,在802.1X用戶在未認證的情況下,其可以訪問的VLAN資源,該VLAN內通常放置一些用於用戶下載客戶端軟件或其他升級程序的服務器。
禁止刪除已被配置為Guest VLAN的VLAN,若要刪除該VLAN,請先通過undo dot1x guest-vlan命令取消802.1X Guest VLAN配置。
端口類型為Hybrid時,請不要將指定的Guest VLAN修改為攜帶Tag的方式。
【舉例】
# 配置端口GigabitEthernet1/0/1的Guest VLAN為VLAN 100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x guest-vlan 100
【相關命令】
· display dot1x
dot1x handshake命令用於開啟在線用戶握手功能。
undo dot1x handshake命令用於關閉在線用戶握手功能。
【命令】
dot1x handshake
undo dot1x handshake
【缺省情況】
在線用戶握手功能處於開啟狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟設備的在線用戶握手功能後,設備會定期(時間間隔通過命令dot1x timer handshake-period設置)向通過802.1X認證的在線用戶發送握手報文,以定期檢測用戶的在線情況。如果設備連續多次(通過命令dot1x retry設置)沒有收到客戶端的響應報文,則會將用戶置為下線狀態。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟在線用戶握手功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake
【相關命令】
· display dot1x
· dot1x timer handshake-period
· dot1x retry
dot1x handshake reply enable命令用來開啟端口發送在線握手成功報文功能。
undo dot1x handshake reply enable命令用來關閉端口發送在線握手成功報文功能。
【命令】
dot1x handshake reply enable
undo dot1x handshake reply enable
【缺省情況】
端口發送在線握手成功報文功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口上開啟在線用戶握手功能後,缺省情況下,設備收到該端口上802.1X在線用戶的在線握手應答報文(EAP-Response/Identity報文)後,則認為該用戶在線,並不給客戶端回應在線握手成功報文(EAP-Success報文)。但是,有些802.1X客戶端如果沒有收到設備回應的在線握手成功報文(EAP-Success報文),就會自動下線。為了避免這種情況發生,需要在端口上開啟發送在線握手成功報文功能。
隻有當802.1X客戶端需要收到在線握手成功報文時,才需要開啟此功能。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟的發送在線握手成功報文功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake reply enable
【相關命令】
· dot1x handshake
dot1x handshake secure命令用來開啟在線用戶握手安全功能。
undo dot1x handshake secure命令用來關閉在線用戶握手安全功能。
【命令】
dot1x handshake secure
undo dot1x handshake secure
【缺省情況】
在線用戶握手安全功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟在線用戶握手安全功能後,可以防止在線的802.1X認證用戶使用非法的客戶端與設備進行握手報文的交互,而逃過代理檢測、雙網卡檢測等iNode客戶端的安全檢查功能。
隻有設備上的在線用戶握手功能處於開啟狀態時,安全握手功能才會生效。
本功能僅能在iNode客戶端和iMC服務器配合使用的組網環境中生效。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟在線用戶握手安全功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake secure
【相關命令】
· display dot1x
· dot1x handshake
dot1x mandatory-domain命令用來指定端口上802.1X用戶使用的強製認證域。
undo dot1x mandatory-domain命令用來恢複缺省情況。
【命令】
dot1x mandatory-domain domain-name
undo dot1x mandatory-domain
【缺省情況】
未指定802.1X用戶使用的強製認證域。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:ISP域名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
從指定端口上接入的802.1X用戶將按照如下先後順序選擇認證域:端口上指定的強製ISP域-->用戶名中指定的ISP域-->係統缺省的ISP域。
【舉例】
# 指定端口GigabitEthernet1/0/1上802.1X用戶使用的強製認證域為my-domain。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x mandatory-domain my-domain
【相關命令】
· display dot1x
dot1x max-user命令用來配置端口上最多允許同時接入的802.1X用戶數。
undo dot1x max-user命令用來恢複缺省情況。
【命令】
dot1x max-user max-number
undo dot1x max-user
【缺省情況】
端口上最多允許同時接入的802.1X用戶數為4294967295。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
max-number:端口允許同時接入的802.1X用戶數的最大值,取值範圍為1~4294967295。
【使用指導】
由於係統資源有限,如果當前端口上接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使屬於當前端口的用戶獲得可靠的性能保障。當接入此端口的802.1X用戶數超過最大值後,新接入的用戶將被拒絕。
【舉例】
# 配置端口GigabitEthernet1/0/1上最多允許同時接入32個802.1X用戶。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x max-user 32
dot1x multicast-trigger命令用來開啟802.1X的組播觸發功能。
undo dot1x multicast-trigger命令用來關閉802.1X的組播觸發功能。
【命令】
dot1x multicast-trigger
undo dot1x multicast-trigger
【缺省情況】
802.1X的組播觸發功能處於開啟狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟了802.1X的組播觸發功能的端口會定期(間隔時間通過命令dot1x timer tx-period設置)向客戶端組播發送EAP-Request/Identity報文來檢測客戶端並觸發認證。該功能用於支持不能主動發送EAPOL-Start報文來發起認證的客戶端。
對於無線局域網來說,可以由客戶端主動發起認證,或由無線模塊發現用戶並觸發認證,而不必設備端定期發送802.1X的組播報文來觸發。同時,組播觸發報文會占用無線的通信帶寬,因此建議無線局域網中的接入設備關閉該功能。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟802.1X的組播觸發功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x multicast-trigger
【相關命令】
· display dot1x
· dot1x timer tx-period
· dot1x unicast-trigger
dot1x port-control命令用來設置端口的授權狀態。
undo dot1x port-control命令用來恢複缺省情況。
【命令】
dot1x port-control { authorized-force | auto | unauthorized-force }
undo dot1x port-control
【缺省情況】
端口的授權狀態為auto。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
authorized-force:強製授權狀態,表示端口始終處於授權狀態,允許用戶不經認證授權即可訪問網絡資源。
auto:自動識別狀態,表示端口初始狀態為非授權狀態,僅允許EAPOL報文收發,不允許用戶訪問網絡資源;如果用戶認證通過,則端口切換到授權狀態,允許用戶訪問網絡資源。這也是最常用的一種狀態。
unauthorized-force:強製非授權狀態,表示端口始終處於非授權狀態,不允許用戶訪問網絡資源。
【使用指導】
通過配置端口的授權狀態,可以控製端口上接入的用戶是否需要通過認證才能訪問網絡資源。
【舉例】
# 指定端口GigabitEthernet1/0/1處於強製非授權狀態。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x port-control unauthorized-force
【相關命令】
· display dot1x
dot1x port-method命令用來配置端口的接入控製方式。
undo dot1x port-method命令用來恢複缺省情況。
【命令】
dot1x port-method { macbased | portbased }
undo dot1x port-method
【缺省情況】
端口的接入控製方式為macbased。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【參數】
macbased:表示基於MAC地址對接入用戶進行認證,即該端口上的所有接入用戶均需要單獨認證,當某個用戶下線時,也隻有該用戶無法使用網絡。
portbased:表示基於端口對接入用戶進行認證,即隻要該端口上的第一個用戶認證成功後,其他接入用戶無須認證就可使用網絡資源,當第一個用戶下線後,其它用戶也會被拒絕使用網絡。
【使用指導】
在要求所有接入用戶都單獨認證的情況下,選擇基於MAC的控製方式,可提高網絡接入的安全性。否則,可采用基於端口的接入控製方式。
【舉例】
# 在端口GigabitEthernet1/0/1上配置對接入用戶進行基於端口的802.1X認證。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x port-method portbased
【相關命令】
· display dot1x
dot1x quiet-period命令用來開啟靜默定時器功能。
undo dot1x quiet-period命令用來關閉靜默定時器功能。
【命令】
dot1x quiet-period
undo dot1x quiet-period
【缺省情況】
靜默定時器功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
在靜默定時器功能處於開啟狀態的情況下,設備將在一段時間之內不對802.1X認證失敗的用戶進行802.1X認證處理,該時間由802.1X靜默定時器控製,可通過dot1x timer quiet-period命令配置。
【舉例】
# 開啟靜默定時器功能,並配置靜默定時器的值為100秒。
<Sysname> system-view
[Sysname] dot1x quiet-period
[Sysname] dot1x timer quiet-period 100
【相關命令】
· display dot1x
· dot1x timer
dot1x re-authenticate命令用來開啟周期性重認證功能。
undo dot1x re-authenticate命令用來關閉周期性重認證功能。
【命令】
dot1x re-authenticate
undo dot1x re-authenticate
【缺省情況】
周期性重認證功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口開啟了802.1X的周期性重認證功能後,設備會根據周期性重認證定時器(dot1x timer reauth-period)設定的時間間隔定期啟動對該端口在線802.1X用戶的認證,以檢測用戶連接狀態的變化,更新服務器下發的授權屬性(例如ACL、VLAN等)。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟802.1X重認證功能,並配置周期性重認證時間間隔為1800秒。
<Sysname> system-view
[Sysname] dot1x timer reauth-period 1800
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate
【相關命令】
· display dot1x
· dot1x timer
dot1x re-authenticate server-unreachable keep-online命令用來配置重認證服務器不可達時端口上的用戶保持在線狀態。
undo dot1x re-authenticate server-unreachable命令用來恢複缺省情況。
【命令】
dot1x re-authenticate server-unreachable keep-online
undo dot1x re-authenticate server-unreachable
【缺省情況】
端口上的802.1X在線用戶重認證時,若認證服務器不可達,則會被強製下線。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
若端口上開啟了802.1X的周期性重認證功能,則設備會定期對端口上的802.1X在線用戶進行重認證,重認證過程中,若設備發現認證服務器狀態不可達,則可以根據本配置,決定是否保持其在線狀態。
【舉例】
# 配置端口GigabitEthernet1/0/1上的802.1X在線用戶進行重認證時,若服務器不可達,則保持在線狀態。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x re-authenticate server-unreachable keep-online
【相關命令】
· display dot1x
· dot1x re-authenticate
dot1x retry命令用來設置設備向接入用戶發送認證請求報文的最大次數。
undo dot1x retry命令用來恢複缺省情況。
【命令】
dot1x retry retries
undo dot1x retry
【缺省情況】
設備向接入用戶發送認證請求報文的最大次數為2。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
retries:向接入用戶發送認證請求報文的最大嚐試次數,取值範圍為1~10。
【使用指導】
如果設備向用戶發送認證請求報文後,在規定的時間裏沒有收到用戶的響應,則設備將向用戶重發該認證請求報文,若設備累計發送認證請求報文的次數達到配置的最大值後,仍然沒有得到用戶響應,則停止發送認證請求。對於EAP-Request/Identity報文,該時間由dot1x timer tx-period設置;對於EAP-Request/MD5 Challenge報文,該時間由dot1x timer supp-timeout設置。
【舉例】
# 配置設備最多向接入用戶發送9次認證請求報文。
<Sysname> system-view
[Sysname] dot1x retry 9
【相關命令】
· display dot1x
· dot1x timer
dot1x smarton命令用來開啟端口的SmartOn功能。
undo dot1x smarton命令用來關閉端口的SmartOn功能。
【命令】
dot1x smarton
undo dot1x smarton
【缺省情況】
端口的SmartOn功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
若開啟了SmartOn功能的端口上收到802.1X客戶端發送的EAPOL-Start報文,則將向其回複單播的EAP-Request/Notification報文,並開啟定時器(dot1x smarton timer supp-timeout)等待客戶端響應EAP-Response/Notification報文。該Notification報文中包含一個Switch ID和一個MD5摘要,若這兩個值與本地配置的SmartOn的Switch ID以及SmartOn密碼的MD5摘要值相同,則繼續客戶端的802.1X認證,否則中止客戶端的802.1X認證。
802.1X SmartOn功能與在線用戶握手功能互斥,建議兩個功能不要同時開啟。
【舉例】
# 開啟端口GigabitEthernet1/0/1的SmartOn功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x smarton
【相關命令】
· display dot1x
· dot1x smarton switchid
· dot1x smarton password
dot1x smarton password命令用來配置SmartOn密碼。
undo dot1x smarton password命令用來恢複缺省情況。
【命令】
dot1x smarton password { cipher | simple } string
undo dot1x smarton password
【缺省情況】
未配置SmartOn密碼。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
cipher:以密文方式設置密碼。
simple:以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~16個字符的字符串,密文密碼為1~53個字符的字符串。
【使用指導】
開啟了SmartOn功能的端口上,需要驗證802.1X客戶端發送的EAP-Response/Notification報文中攜帶的MD5摘要,隻有與本命令配置的SmartOn密碼的MD5摘要相同,客戶端802.1X的認證才能繼續進行。
多次執行本命令,最後一次執行的命令生效
【舉例】
# 配置SmartOn密碼為明文abc。
<Sysname> system-view
[Sysname] dot1x smarton password simple abc
【相關命令】
· display dot1x
· dot1x smarton
· dot1x smarton switchid
dot1x smarton retry命令用來配置重發SmartOn通知請求報文的最大次數。
undo dot1x smarton retry命令用來恢複缺省情況。
【命令】
dot1x smarton retry retries
undo dot1x smarton retry
【缺省情況】
重發SmartOn通知請求報文的最大次數為3次。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
retries:重發SmartOn通知請求報文的最大次數,取值範圍為1~10。
【使用指導】
設備向客戶端發送EAP-Request/Notification報文後,會開啟通知請求超時定時器(dot1x smarton timer supp-timeout)等待客戶端響應EAP-Response/Notification報文,若定時器超時後客戶端仍未回複,則設備會重發EAP-Request/Notification報文,並重新啟動定時器。當重發次數達到規定的最大次數後,會停止對該客戶端的802.1X認證。
【舉例】
# 配置重發SmartOn通知請求報文的最大次數為5。
<Sysname> system-view
[Sysname] dot1x smarton retry 5
【相關命令】
· display dot1x
· dot1x smarton timer supp-timeout
dot1x smarton switchid命令用來配置SmartOn的Switch ID。
undo dot1x smarton switchid命令用來恢複缺省情況。
【命令】
dot1x smarton switchid switch-string
undo dot1x smarton switchid
【缺省情況】
未配置SmartOn的Switch ID。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
switch-string:可顯示的Switch ID,其長度的取值範圍為1~30,區分大小寫。
【使用指導】
使能了SmartOn功能的端口上,需要驗證802.1X客戶端發送的EAP-Response/Notification報文中攜帶的Switch ID字符串,隻有與本命令配置的值相同,客戶端802.1X的認證才能繼續進行。
【舉例】
# 配置SmartOn的Switch ID為abc。
<Sysname> system-view
[Sysname] dot1x smarton switchid abc
【相關命令】
· display dot1x
· dot1x smarton
· dot1x smarton password
dot1x smarton timer supp-timeout命令用來配置SmartOn通知請求超時定時器時長。
undo dot1x smarton timer supp-timeout命令用來恢複缺省情況。
【命令】
dot1x smarton timer supp-timeout supp-timeout-value
undo dot1x smarton timer supp-timeout
【缺省情況】
SmartOn通知請求超時定時器時長為30秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
supp-timeout-value:SmartOn通知請求超時定時器的值,取值範圍為10~120,單位為秒。
【使用指導】
設備向客戶端發送EAP-Request/Notification報文後,會開啟通知請求超時定時器等待客戶端響應EAP-Response/Notification報文,若定時器超時後客戶端仍未回複,則設備會重發EAP-Request/Notification報文,並重新啟動定時器。當重發次數達到規定的最大次數(dot1x smarton retry)後,會停止對該客戶端的802.1X認證。
【舉例】
# 配置SmartOn通知請求超時定時器時長為20秒。
<Sysname> system-view
[Sysname] dot1x smarton timer supp-timeout 20
【相關命令】
· display dot1x
· dot1x smarton retry
dot1x timer命令用來配置802.1X的定時器參數。
undo dot1x timer命令用來將指定的定時器恢複為缺省情況。
【命令】
dot1x timer { ead-timeout ead-timeout-value | handshake-period handshake-period-value | quiet-period quiet-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value | tx-period tx-period-value }
undo dot1x timer { ead-timeout | handshake-period | quiet-period | reauth-period | server-timeout | supp-timeout | tx-period }
【缺省情況】
握手定時器的值為15秒,EAD超時定時器的值為30分鍾,靜默定時器的值為60秒,周期性重認證定時器的值為3600秒,認證服務器超時定時器的值為100秒,客戶端認證超時定時器的值為30秒,用戶名請求超時定時器的值為30秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ead-timeout ead-timeout-value:EAD超時定時器的值,取值範圍為1~1440,單位為分鍾。
handshake-period handshake-period-value:握手定時器的值,取值範圍為5~1024,單位為秒。
quiet-period quiet-period-value:靜默定時器的值,取值範圍為10~120,單位為秒。
reauth-period reauth-period-value:周期性重認證定時器的值,取值範圍為60~7200,單位為秒。
server-timeout server-timeout-value:認證服務器超時定時器的值,取值範圍為100~300,單位為秒。
supp-timeout supp-timeout-value:客戶端認證超時定時器的值,取值範圍為1~120,單位為秒。
tx-period tx-period-value:用戶名請求超時定時器的值,取值範圍為1~120,單位為秒。
【使用指導】
802.1X認證過程受以下定時器的控製:
· EAD超時定時器(ead-timeout):管理員可以通過配置EAD規則的老化時間來控製用戶對ACL資源的占用,當用戶訪問網絡時該定時器即開始計時,在定時器超時或者用戶下載客戶端並成功通過認證之後,該用戶所占用的ACL資源即被刪除,這樣那些在老化時間內未進行任何操作的用戶所占用的ACL資源會及時得到釋放。
· 握手定時器(handshake-period):此定時器是在用戶認證成功後啟動的,設備端以此間隔為周期發送握手請求報文,以定期檢測用戶的在線情況。如果配置發送次數為N,則當設備端連續N次沒有收到客戶端的響應報文,就認為用戶已經下線。
· 靜默定時器(quiet-period):對用戶認證失敗以後,設備端需要靜默一段時間(該時間由靜默定時器設置),在靜默期間,設備端不對802.1X認證失敗的用戶進行802.1X認證處理。
· 周期性重認證定時器(reauth-period):端口上開啟了周期性重認證功能(通過命令dot1x re-authenticate)後,設備端以此間隔為周期對端口上的在線用戶發起重認證。對於已在線的802.1X用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。
· 認證服務器超時定時器(server-timeout):當設備端向認證服務器發送了RADIUS Access-Request請求報文後,設備端啟動server-timeout定時器,若在該定時器設置的時長內,設備端沒有收到認證服務器的響應,則802.1X認證失敗。
· 客戶端認證超時定時器(supp-timeout):當設備端向客戶端發送了EAP-Request/MD5 Challenge請求報文後,設備端啟動此定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,設備端將重發該報文。
· 用戶名請求超時定時器(tx-period):當設備端向客戶端發送EAP-Request/Identity請求報文後,設備端啟動該定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,則設備端將重發認證請求報文。另外,為了兼容不主動發送EAPOL-Start連接請求報文的客戶端,設備會定期組播EAP-Request/Identity請求報文來檢測客戶端。tx-period定義了該組播報文的發送時間間隔。
一般情況下,用戶無需修改定時器的值,除非在一些特殊或惡劣的網絡環境下,可以使用該命令調節交互進程。
除周期性重認證定時器外的其他定時器修改後可立即生效。
【舉例】
# 設置認證服務器的超時定時器時長為150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【相關命令】
· display dot1x
dot1x unicast-trigger命令用來開啟端口上的802.1X的單播觸發功能。
undo dot1x unicast-trigger命令用來關閉802.1X的單播觸發功能。
【命令】
dot1x unicast-trigger
undo dot1x unicast-trigger
【缺省情況】
802.1X的單播觸發功能處於關閉狀態。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
端口上開啟802.1X的單播觸發功能後,當端口收到源MAC未知的報文時,主動向該MAC地址發送單播認證報文來觸發認證。若設備端在設置的客戶端認證超時時間內(該時間由dot1x timer supp-timeout設置)沒有收到客戶端的響應,則重發該報文(重發次數由dot1x retry設置)。
【舉例】
# 在端口GigabitEthernet1/0/1上開啟802.1X的單播觸發功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x unicast-trigger
【相關命令】
· display dot1x
· dot1x multicast-trigger
· dot1x retry
· dot1x timer
reset dot1x guest-vlan命令用來清除Guest VLAN內802.1X用戶,使其退出Guest VLAN。
【命令】
reset dot1x guest-vlan interface interface-type interface-number [ mac-address mac-address ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:表示使指定端口上的用戶退出Guest VLAN。interface-type interface-number為端口類型和端口編號。
mac-address mac-address:表示使指定MAC地址的用戶退出Guest VLAN。若不指定本參數,則表示使指定端口上的所有用戶退出Guest VLAN。
【舉例】
# 在端口GigabitEthernet1/0/1上使得MAC地址為1-1-1的802.1X用戶退出Guest VLAN。
<Sysname> reset dot1x guest-vlan interface gigabitethernet 1/0/1 mac-address 1-1-1
【相關命令】
· dot1x guest-vlan
reset dot1x statistics命令用來清除802.1X的統計信息。
【命令】
reset dot1x statistics [ interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:清除指定端口上的802.1X統計信息。interface-type interface-number為端口類型和端口編號。若不指定本參數,則清除所有端口上的802.1X統計信息。
【使用指導】
如果不指定任何參數,則清除所有802.1X統計信息。
【舉例】
# 清除端口GigabitEthernet1/0/1上的802.1X統計信息。
<Sysname> reset dot1x statistics interface gigabitethernet 1/0/1
· display dot1x
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
