- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-WLAN用戶接入認證命令
本章節下載: 01-WLAN用戶接入認證命令 (487.63 KB)
目 錄
1.1.2 client url-redirect enable
1.1.3 client-security aaa attribute ip-snooping-method
1.1.4 client-security accounting-delay time
1.1.5 client-security accounting-restart trigger ipv4
1.1.6 client-security accounting-start trigger
1.1.7 client-security accounting-update trigger
1.1.8 client-security authentication critical-vlan
1.1.9 client-security authentication fail-vlan
1.1.10 client-security authorization trigger byod
1.1.11 client-security authentication-location
1.1.12 client-security authentication-mode
1.1.13 client-security authorization-fail offline
1.1.14 client-security ignore-authentication
1.1.15 client-security ignore-authorization
1.1.16 client-security intrusion-protection action
1.1.17 client-security intrusion-protection enable
1.1.18 client-security intrusion-protection timer temporary-block
1.1.19 client-security intrusion-protection timer temporary-service-stop
1.1.21 display dot1x connection
1.1.22 display mac-authentication
1.1.23 display mac-authentication connection
1.1.24 display wlan client-security block-mac
1.1.25 display wlan statistics accounting
1.1.29 dot1x eap-termination authentication-method
1.1.30 dot1x eap-termination eap-profile
1.1.32 dot1x handshake secure enable
1.1.34 dot1x re-authenticate enable
1.1.37 mac-authentication domain
1.1.38 mac-authentication max-user
1.1.39 mac-authentication timer
1.1.40 mac-authentication user-name-format
1.1.42 reset mac-authentication statistics
1.1.43 wlan authentication optimization
1.1.44 wlan client-security authentication clear-previous-connection
client url-redirect acl命令用來配置客戶端URL重定向的授權ACL。
undo client url-redirect acl命令用來恢複缺省情況。
【命令】
client url-redirect acl acl-number
undo client url-redirect acl
【缺省情況】
未配置客戶端URL重定向的授權ACL。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
acl-number:重定向授權ACL編號,取值範圍為2000~3999。
【使用指導】
配置本命令後,設備既下發重定向授權ACL又可以下發業務ACL。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 在無線服務模板service1下配置重定向授權ACL 3111。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect acl 3111
【相關命令】
· client url-redirect enable
client url-redirect enable命令用來開啟客戶端URL重定向功能。
undo client url-redirect enable命令用來關閉客戶端URL重定向功能。
【命令】
client url-redirect enable [ mode native [ https [ redirect-stop-timer seconds ][ count number ] ] ]
undo client url-redirect enable
【缺省情況】
客戶端URL重定向功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
mode native:指定URL重定向方式為本地重定向,即設備會對初次上線進行MAC地址認證的用戶進行URL重定向。
https:對於HTTPS的報文進行本地重定向。
redirect-stop-timer seconds:URL重定向結束時間,取值範圍為1~30秒,單位秒,缺省為5秒。
count number:訪問URL重定向IP地址的次數,取值範圍為3~60,缺省為3。
【使用指導】
該功能隻能在無線服務模板處於關閉狀態時配置。
本功能僅適用於客戶端采用RADIUS服務器認證方式進行的MAC地址認證。
在用戶進行MAC地址認證上線過程中,如果RADIUS服務器上沒有記錄用戶及其MAC地址的對應信息,但仍需要用戶進行認證時,可以通過在設備上開啟URL重定向功能。開啟後,用戶可以根據RADIUS服務器下發的重定向URL,跳轉到指定的Web認證界麵進行Portal用戶認證。Portal用戶認證通過後,RADIUS服務器將記錄用戶的MAC地址信息,並通過DM報文強製用戶下線,此後該用戶即可正常完成MAC地址認證。有關DM報文的詳細介紹請參見“用戶接入與認證配置指導”中的“AAA”。
對於有信息推廣需求的客戶,需要指定URL重定向為本地重定向,此後設備就會對初次上線進行MAC地址認證的用戶進行URL重定向。指定URL重定向為本地重定向後,設備對重定向URL進行一次重定向,一旦確定用戶訪問過重定向URL,設備將不再進行重定向,此後用戶可以正常完成MAC地址認證:
· 對於HTTP的報文,用戶隻要訪問過重定向URL,設備就會認為用戶訪問過重定向URL。
· 對於HTTPS的報文,用戶隻有在指定的重定向時間內訪問重定向IP地址達到指定次數,設備才會認為用戶訪問過重定向URL。
隻要設備上沒有用戶Cache相關信息,就認為該用戶為初次上線用戶。
配置client url-redirect enable mode native時,必須配置client url-redirect acl。
【舉例】
# 在無線服務模板service1下開啟客戶端URL重定向功能,並配置對於URL重定向為本地重定向,對於HTTPS報文配置重定向結束時間為10秒、訪問重定向IP地址的次數為10次。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect enable mode native https redirect-stop-timer 10 count 10
【相關命令】
· client url-redirect acl
client-security aaa attribute ip-snooping-method命令用來開啟RADIUS報文攜帶用戶IP地址學習方式的功能。
undo client-security aaa attribute ip-snooping-method命令用來恢複缺省情況。
【命令】
client-security aaa attribute ip-snooping-method
undo client-security aaa attribute ip-snooping-method
【缺省情況】
RADIUS報文攜帶用戶IP地址學習方式的功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟本功能,在無線802.1X認證或MAC地址認證的RADIUS報文中攜帶RADIUS擴展屬性,標識用戶IP地址學習方式。設備支持的RADIUS擴展屬性Vendor-ID為25506,屬性的具體介紹請參見“用戶接入與認證配置指導”中的“AAA”的“附錄C RADIUS擴展屬性(Vendor-ID=25506)”。
RADIUS服務器可以根據通過RADIUS擴展屬性判斷IP地址是否屬於服務器分配。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 在無線服務模板service1下,開啟RADIUS報文攜帶用戶IP地址方式功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security aaa attribute ip-snooping-method
client-security accounting-delay time命令用來開啟計費延時功能。
undo client-security accounting-delay time命令用來恢複缺省情況。
【命令】
client-security accounting-delay time time [ no-ip-logoff ]
undo client-security accounting-delay time
【缺省情況】
學習到無線客戶端的IP地址後,才會向計費服務器發起計費開始請求。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time time:計費延時的時長,取值範圍為1~600,單位為秒。
no-ip-logoff:如果設備在指定的延時時間內沒有獲取到無線客戶端IP地址,則讓客戶端下線。若不指定該參數,則設備在指定計費延時時間到達後,將會發送計費開始請求報文。
【使用指導】
如果在指定的計費延時時間內設備沒有學習到指定類型客戶端的IP地址,則執行相應的計費延時動作。觸發計費開始的無線客戶端IP地址類型由client-security accounting-start trigger命令的配置決定,當客戶端IP地址類型為none時,計費延時功能不生效。
建議根據設備獲取IP地址的時長來配置計費延時的時長,若網絡環境較差,設備需要較長的時間獲取到IP地址,則可適當增大該值。
無線服務模板開啟後,再配置本特性,則配置隻對新上線的客戶端生效,對已經上線的客戶端無效。
【舉例】
# 在無線服務模板service1下,配置計費延時時間為15秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-delay time 15 no-ip-logoff
【相關命令】
· client-security accounting-start trigger
client-security accounting-restart trigger ipv4命令用來開啟IPv4地址變化客戶端的重新計費功能。
undo client-security accounting-restart trigger ipv4命令用來恢複缺省情況。
【命令】
client-security accounting-restart trigger ipv4 [ delay interval ]
undo client-security accounting-restart trigger ipv4
【缺省情況】
IPv4地址變化客戶端的重新計費功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
delay interval:重新發送計費開始報文的延遲時間,取值範圍為0~20,單位為秒,缺省取值為15秒。
【使用指導】
通過client-security accounting-update trigger命令配置觸發計費更新的無線客戶端IP地址類型為IPv4後,當客戶端IPv4地址發生變化時,設備就會立即向計費服務器發送計費更新報文,對客戶端進行重新計費;開啟本功能後,當客戶端IPv4地址發生變化時,首先設備會立即向計費服務器發送計費停止報文,然後經過配置的重新發送計費開始報文的延時時間,再重新向計費服務器發送計費開始報文,對客戶端進行重新計費。
client-security accounting-restart trigger ipv4命令的優先級高於client-security accounting-update trigger命令。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 在無線服務模板service1下,開啟IPv4地址變化客戶端的重新計費功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-restart trigger ipv4
client-security accounting-start trigger命令用來配置觸發計費開始的無線客戶端IP地址類型。
undo client-security accounting-start trigger命令用來恢複缺省情況。
【命令】
client-security accounting-start trigger { ipv4 | ipv4-ipv6 | ipv6 | none }
undo client-security accounting-start trigger
【缺省情況】
觸發計費開始的無線客戶端IP地址類型為IPv4。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
ipv4:表示無線客戶端IP地址類型為IPv4。
ipv4-ipv6:表示無線客戶端IP地址類型為IPv4或IPv6。
ipv6:表示無線客戶端IP地址類型為IPv6。
none:表示設備在無線客戶端認證成功後就會發送計費開始請求報文。
【使用指導】
無線客戶端通過802.1X認證或者MAC地址認證方式上線後,設備會根據觸發計費開始的無線客戶端IP地址類型決定是否向計費服務器發送計費開始請求報文,當計費服務器返回計費開始響應報文後開始對客戶端進行計費。
配置觸發計費開始的無線客戶端IP地址類型時,需要開啟相應類型的客戶端地址學習功能,配置才會生效,否則無法觸發計費開始。有關客戶端地址學習功能的詳細介紹請參見“用戶接入與認證配置指導”中的“WLAN IP Snooping”。
本命令配置的無線客戶端IP地址類型需要滿足計費服務器的協議要求。
無線服務模板開啟後,再配置本特性,新配置隻對新上線的客戶端生效,對已經上線的客戶端無效。
【舉例】
# 在無線服務模板service1下,配置觸發計費開始的無線客戶端IP地址類型為IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-start trigger ipv4
【相關命令】
· client ipv4-snooping arp-learning enable(用戶接入與認證命令參考/WLAN IP Snooping)
· client ipv4-snooping dhcp-learning enable(用戶接入與認證命令參考/WLAN IP Snooping)
· client ipv6-snooping dhcpv6-learning enable(用戶接入與認證命令參考/WLAN IP Snooping)
· client ipv6-snooping nd-learning enable(用戶接入與認證命令參考/WLAN IP Snooping)
· client ipv6-snooping snmp-nd-report enable(用戶接入與認證命令參考/WLAN IP Snooping)
· client-security accounting-delay
· client-security accounting-update trigger
client-security accounting-update trigger命令用來配置觸發計費更新的無線客戶端IP地址類型。
undo client-security accounting-update trigger命令用來恢複缺省情況。
【命令】
client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 }
undo client-security accounting-update trigger
【缺省情況】
根據計費服務器下發或設備配置的實時計費的時間間隔周期性發送計費更新請求報文。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
ipv4:表示無線客戶端IP地址類型為IPv4,設備僅在學習到客戶端IPv4地址變化時才會發送計費更新請求報文。
ipv4-ipv6:表示無線客戶端IP地址類型為IPv4或IPv6,設備隻要學習到客戶端IP地址變化就會發送計費更新請求報文。
ipv6:表示無線客戶端IP地址類型為IPv6,設備僅在學習到客戶端IPv6地址變化時才會發送計費更新請求報文。
【使用指導】
僅當觸發計費開始的無線客戶端IP地址類型配置生效時,觸發計費更新的無線客戶端IP地址類型的配置才會生效。
當完成該配置後,該配置和周期性發送計費更新報文功能同時生效。
假設配置的觸發計費更新的無線客戶端IP地址類型為IPv6,周期性發送計費更新報文功能配置的實時計費間隔為12分鍾(timer realtime-accounting命令配置),則設備會每隔12分鍾發起一次計費更新請求,且當在線客戶端IPv6地址發生變化時,設備也會立即發送計費更新請求報文。
無線服務模板開啟後,再配置本特性,則配置隻對新上線的客戶端生效,對已經上線的客戶端無效。
【舉例】
# 在無線服務模板下,配置觸發計費更新的客戶端IP地址類型為IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-update trigger ipv4
【相關命令】
· client-security accounting-start trigger
· timer realtime-accounting(用戶接入與認證命令參考/AAA)
client-security authentication critical-vlan命令用來配置服務模板下的Critical VLAN。
undo client-security authentication critical-vlan命令用來恢複缺省情況。
【命令】
client-security authentication critical-vlan vlan-id
undo client-security authentication critical-vlan
【缺省情況】
未配置Critical VLAN。
【視圖】
【缺省用戶角色】
【參數】
vlan-id:Critical VLAN 的VLAN ID,取值範圍為1~4094。
【使用指導】
Critical VLAN功能允許用戶在認證時,當所有認證服務器都不可達的情況下訪問某一特定VLAN中的資源,這個VLAN稱之為Critical VLAN。配置Critical VLAN後,當用戶認證時,若所有認證服務器都不可達,則用戶將被加入該VLAN,同時設備會啟動一個30秒的定時器,以定期對用戶進行重新認證:
· 如果重認證通過,設備會根據授權服務器是否下發VLAN來重新指定該用戶所在VLAN。即如果授權服務器下發了VLAN,則該用戶將被加入該下發的VLAN,否則該用戶將被加入其原來所屬的VLAN。
· 如果重認證未通過,當認證服務不可達時,用戶仍然僅可訪問Critical VLAN中的資源,當認證服務器可達但因某種原因明確拒絕用戶認證通過,且配置了Fail VLAN時,用戶可以訪問Fail VLAN中的資源。
需要注意的是,如果采用RSNA安全機製的802.1X用戶認證時所有認證服務器都不可達,則用戶會直接下線,不會加入Critical VLAN;在配置了client-security ignore-authentication命令後,認證不可達的客戶端,會因為忽略了認證結果而加入用戶VLAN,而不是Critical VLAN。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 在無線服務模板service1下配置Critical VLAN為VLAN 10。
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication critical-vlan 10
client-security authentication fail-vlan命令用來配置服務模板下的認證失敗VLAN。
undo client-security authentication fail-vlan命令用來恢複缺省情況。
【命令】
client-security authentication fail-vlan vlan-id
undo client-security authentication fail-vlan
【缺省情況】
未配置認證失敗VLAN。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
vlan-id:認證失敗VLAN的VLAN ID,取值範圍為1~4094。
【使用指導】
這裏的認證失敗是認證服務器因某種原因明確拒絕用戶認證通過,比如用戶密碼錯誤,而不是認證超時或網絡連接等原因造成的認證失敗。
配置認證失敗的VLAN必須是已經存在的VLAN。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 在無線服務模板1下配置認證失敗VLAN為VLAN 10。
<Sysname> sysname-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client-security authentication fail-vlan 10
client-security authorization trigger byod命令用來開啟BYOD觸發授權功能。
undo client-security authorization trigger byod命令用來關閉BYOD觸發授權功能。
【命令】
client-security authorization trigger byod
undo client-security authorization trigger byod
【缺省情況】
BYOD觸發授權功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
當網絡狀況較好時,建議開啟BYOD觸發授權功能,用戶認證完成後,接入設備會在獲取到客戶端BYOD信息後觸發授權。有關BYOD相關信息,請參見“用戶接入與認證配置指導”的“AAA”。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 在無線服務模板service1下開啟BYOD觸發授權功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization trigger byod
client-security authentication-location命令用來配置WLAN用戶接入認證位置。
undo client-security authentication-location命令用來恢複缺省情況。
【命令】
client-security authentication-location { ac | ap | central-ac }
undo client-security authentication-location
【缺省情況】
WLAN用戶接入認證位置在AC上。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
ac:在分層AC架構中,表示WLAN用戶接入認證位置在Local AC上;在非分層AC架構中,表示WLAN用戶接入認證位置在AC上。
ap:配置WLAN用戶接入認證位置在AP上。
central-ac:在分層AC架構中,表示WLAN用戶接入認證位置在Central AC上。
【使用指導】
僅在分層AC架構中,可以配置WLAN用戶接入認證位置在Central AC上,否則會導致用戶認證失敗。有關分層AC的詳細介紹,請參見“WLAN高級功能配置指導”中的“分層AC”。
當客戶端數據報文轉發位置為AC時,配置的用戶接入認證位置不能為AP,否則會導致用戶認證失敗。有關客戶端數據報文轉發位置命令的詳細介紹,請參見“WLAN接入命令參考”中的“WLAN接入”。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 配置客戶端的用戶認證位置在AC上。
<Sysname> system-view
[Sysname] wlan service-template s1
[Sysname-wlan-st-s1] client-security authentication-location ac
【相關命令】
· client forwarding-location(WLAN接入命令參考-WLAN接入)
client-security authentication-mode命令用來配置無線用戶接入認證模式。
undo client-security authentication-mode命令用來恢複缺省情況。
【命令】
client-security authentication-mode { dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x | mac-and-dot1x }
undo client-security authentication-mode
【缺省情況】
不對用戶進行接入認證即Bypass認證。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
dot1x:表示隻進行802.1X認證。
dot1x-then-mac:表示先進行802.1X認證,如果失敗,再進行MAC地址認證。如果認證成功,則不進行MAC地址認證。
mac:表示隻進行MAC地址認證。
mac-then-dot1x:表示先進行MAC地址認證,如果失敗,再進行802.1X認證。如果認證成功,則不進行802.1X認證。
oui-then-dot1x:表示先進行OUI認證,如果失敗,再進行802.1X認證。如果認證成功,則不進行802.1X認證。
mac-and-dot1x:表示既進行MAC地址認證,又進行802.1X認證。先進行MAC地址認證,如果失敗,則不再進行認證。如果認證成功,則再進行802.1X認證。
【使用指導】
以上各模式下,每個無線服務模板上均允許接入多個認證通過的用戶。802.1X用戶的數目由dot1x max-user命令配置,MAC地址認證用戶的數目由mac-authentication max-user命令配置。
本命令隻能在無線服務模板處於關閉狀態時配置。
dot1x-then-mac、mac-then-dot1x和oui-then-dot1x模式需要通過iNode進行認證,當選擇如上模式時,請確保終端上已安裝iNode客戶端。
【舉例】
# 在無線服務模板service1下配置無線用戶接入認證模式為MAC地址認證模式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication-mode mac
client-security authorization-fail offline命令用來開啟授權失敗後的用戶下線功能。
undo client-security authorization-fail offline命令用來關閉授權失敗後的用戶下線功能。
【命令】
client-security authorization-fail offline
undo client-security authorization-fail offline
【缺省情況】
授權失敗後的用戶下線功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
如果開啟了授權失敗後的用戶下線功能,當下發的授權ACL、User Profile不存在、已授權ACL、User Profile被刪除,或者ACL、User Profile下發失敗時,將強製用戶下線;
如果沒有開啟授權失敗後的用戶下線功能,當下發的授權ACL、User Profile不存在、已授權ACL、User Profile被刪除,或者ACL、User Profile下發失敗時,用戶保持在線,授權ACL、User Profile不生效,設備打印Log信息。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 在無線服務模板service1下開啟授權失敗用戶下線功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization-fail offline
client-security ignore-authentication命令用來配置忽略802.1X或MAC地址認證結果。
undo client-security ignore-authentication命令用來恢複缺省情況。
【命令】
client-security ignore-authentication
undo client-security ignore-authentication
【缺省情況】
對於802.1X認證方式的無線用戶,應用802.1X認證結果;對於通過RADIUS服務器進行遠程MAC地址認證的無線用戶,應用MAC地址認證結果。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
本功能僅適用於采用802.1X認證方式的無線用戶以及通過RADIUS服務器進行遠程MAC地址認證+Portal認證的無線用戶。
若某無線服務模板下有漫遊的RSN+802.1X認證方式的無線用戶上線,請勿配置本功能,否則會導致漫遊失敗。
本功能適用於以下兩種用戶:
· 對於802.1X認證的無線用戶,開啟本功能後,當802.1X認證失敗時,設備會忽略這一認證結果,允許用戶訪問網絡資源。
· 對於通過RADIUS服務器進行遠程MAC地址認證+Portal認證的無線用戶,需要依次通過MAC地址認證和Portal認證才能訪問網絡資源,且每次都需要輸入Portal用戶名和密碼。配置本功能後,可以簡化上述認證過程。簡化後的認證過程如下:
¡ 若RADIUS服務器上已經記錄了用戶和客戶端MAC地址的對應信息,判斷用戶通過MAC地址認證,且不需要進行Portal認證即可訪問網絡資源。
¡ 若RADIUS服務器上未記錄用戶和客戶端MAC地址的對應信息,判斷MAC地址認證失敗。此時,設備忽略這一認證結果,直接進行Portal認證。Portal認證通過後即可訪問網絡資源,同時RADIUS服務器將記錄該用戶和客戶端MAC地址的對應信息。
本功能隻能在無線服務模板處於關閉的狀態下進行配置。
【舉例】
# 在無線服務模板service1下配置忽略802.1X或MAC地址認證的結果。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authentication
client-security ignore-authorization命令用來配置忽略RADIUS服務器或設備本地下發的授權信息。
undo client-security ignore-authorization命令用來恢複缺省情況。
【命令】
client-security ignore-authorization
undo client-security ignore-authorization
【缺省情況】
應用RADIUS服務器或設備本地下發的授權信息。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
當用戶通過RADIUS認證或本地認證後,RADIUS服務器或設備會根據用戶帳號配置的相關屬性進行授權,比如動態下發VLAN等。若不希望接受這類動態下發的授權屬性,則可通過配置本命令來忽略。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 在無線服務模板service1下配置忽略RADIUS服務器或設備本地下發的授權信息。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authorization
client-security intrusion-protection action命令用來配置當接收到非法報文時采取的入侵檢測模式。
undo client-security intrusion-protection action命令用來恢複缺省情況。
【命令】
client-security intrusion-protection action { service-stop | temporary-block | temporary-service-stop }
undo client-security intrusion-protection action
【缺省情況】
入侵檢測模式為temporary-block模式。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
service-stop:直接關閉收到非法報文的BSS提供的所有服務。用戶可以手工在Radio口上重新生成該BSS使得用戶正常接入。
temporary-block:臨時將用戶MAC加入阻塞MAC列表中。臨時阻止非法用戶上線的時間由client-security intrusion-protection timer temporary-block命令配置。
temporary-service-stop:臨時將收到非法報文的BSS所提供的所有服務關閉。臨時關閉收到非法報文的BSS所提供服務的時間由client-security intrusion-protection timer temporary-service-stop命令配置。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
隻有開啟入侵檢測功能後,入侵檢測措施才生效。開啟入侵檢測功能由client-security intrusion-protection enable命令配置。
【舉例】
# 在無線服務模板service1下配置入侵檢測措施為service-stop。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action service-stop
【相關命令】
· client-security intrusion-protection enable
· client-security intrusion-protection timer temporary-block
· client-security intrusion-protection timer temporary-service-stop
client-security intrusion-protection enable命令用來開啟入侵檢測功能。
undo client-security intrusion-protection enable命令用來關閉入侵檢測功能。
【命令】
client-security intrusion-protection enable
undo client-security intrusion-protection enable
【缺省情況】
入侵檢測功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
當設備檢測到一個認證失敗的用戶試圖通過該無線服務模板綁定的BSS(基本服務集)接入時,如果入侵檢測功能處於開啟狀態,則設備將對其所在的BSS采取相應的安全措施。具體的安全措施由client-security intrusion-protection action命令指定。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 在無線服務模板service1下開啟入侵檢測功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
【相關命令】
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-block命令用來配置臨時阻塞非法入侵用戶的時長。
undo client-security intrusion-protection timer temporary-block命令用來恢複缺省情況。
【命令】
client-security intrusion-protection timer temporary-block time
undo client-security intrusion-protection timer temporary-block
【缺省情況】
臨時阻塞非法入侵用戶時間為180秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:臨時阻塞非法入侵用戶時長,取值範圍為60~300,單位為秒。
【使用指導】
當入侵檢測功能處於使能狀態且入侵檢測措施為臨時阻塞非法用戶(temporary-block)時,如果用戶認證失敗,則在該配置所指定的時間範圍內,源MAC地址為此非法MAC地址的用戶將無法認證成功,在這段時間之後恢複正常。
當無線服務模板使能後,若修改臨時阻塞非法用戶的時長,則新的配置在原有定時器超時後生效。
【舉例】
# 在無線服務模板service1下配置臨時阻塞非法入侵用戶時長為120秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-block
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-block 120
【相關命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-service-stop命令用來配置臨時關閉BSS服務的時長。
undo client-security intrusion-protection timer temporary-service-stop命令用來恢複缺省情況。
【命令】
client-security intrusion-protection timer temporary-service-stop time
undo client-security intrusion-protection timer temporary-service-stop
【缺省情況】
臨時關閉BSS服務時長為20秒。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
time:臨時關閉BSS服務的時長,取值範圍為10~300,單位為秒。
【使用指導】
當入侵檢測功能處於使能狀態,且入侵檢測措施為臨時關閉服務(temporary-service-stop)時,如果設備檢測到非法報文,則在該配置指定的時間段內關閉用戶所在的BSS所提供的所有服務,在此期間用戶將無法通過該服務接入網絡,這段時間之後恢複正常。
當無線服務模板使能後,若修改臨時關閉BSS服務的時長,則新的配置在原有定時器超時後生效。
【舉例】
# 在無線服務模板service1下配置臨時關閉BSS服務的時長為30秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-service-stop
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-service-stop 30
【相關命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
display dot1x命令用來顯示802.1X的相關信息。
【命令】
display dot1x [ sessions | statistics ] [ ap ap-name [ radio radio-id ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
sessions:顯示802.1X的會話連接信息。
statistics:顯示802.1X的相關統計信息。
ap ap-name:顯示指定AP的所有802.1X的詳細信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,區分大小寫。
radio radio-id:顯示指定Radio的所有802.1X的詳細信息。radio-id表示Radio編號,取值範圍與設備型號有關。不指定該參數,則表示顯示指定AP的所有Radio的802.1X的詳細信息。
【使用指導】
如果不指定參數sessions或者statistics,則顯示802.1X的所有信息,包括會話連接信息、相關統計信息和配置信息等。
【舉例】
# 顯示802.1X的所有信息。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
M-LAG member configuration conflict : Unknown
EAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Offline detect period : 300 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
SmartOn supp timeout : 30 s
SmartOn retry counts : 3
User aging period for Auth-Fail VLAN : 1000 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
EAD assistant function : Disabled
URL : http://www.dwsoft.com
Free IP : 6.6.6.0 255.255.255.0
EAD timeout : 30 min
Domain delimiter : @
Max EAP-TLS fragment (to-server) : 400 bytes
Online 802.1X wired users : 1
Online 802.1X wireless users : 1
AP name: AP1 Radio ID: 1 SSID: wlan_dot1x_ssid
BSSID : 1111-1111-1111
802.1X authentication : Enabled
Handshake : Enabled
Handshake security : Disabled
Periodic reauth : Disabled
Mandatory auth domain : Not configured
Max online users : 256
EAPOL packets: Tx 3, Rx 3
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0002 Authenticated
表1-1 display dot1x命令顯示信息描述表
|
字段 |
描述 |
|
Global 802.1X parameters |
全局802.1X參數配置信息 |
|
802.1X authentication |
全局802.1X的開啟狀態 |
|
M-LAG member configuration conflict |
(暫不支持)兩台M-LAG設備配置檢查結果 · Conflicted:兩台M-LAG設備上的配置不匹配 · Not conflicted:兩台M-LAG設備上配置的相匹配 · Unknown:無法檢測兩台M-LAG設備上的配置是否匹配 |
|
CHAP authentication |
啟用EAP終結方式,並采用CHAP認證方法 |
|
EAP authentication |
啟用EAP中繼方式,並支持所有EAP認證方法 |
|
PAP authentication |
啟用EAP終結方式,並采用PAP認證方法 |
|
Max-tx period |
用戶名請求超時定時器的值 |
|
Handshake period |
握手定時器的值 |
|
Offline detect period |
下線檢測定時器的值 |
|
Quiet timer |
靜默定時器的開啟狀態 |
|
Quiet period |
靜默定時器的值 |
|
Supp timeout |
客戶端認證超時定時器的值 |
|
Server timeout |
認證服務器超時定時器的值 |
|
Reauth period |
重認證定時器的值 |
|
Max auth requests |
設備向接入用戶發送認證請求報文的最大次數 |
|
SmartOn switch ID |
(暫不支持)SmartOn的Switch ID |
|
SmartOn supp timeout |
(暫不支持)SmartOn的客戶端認證超時定時器的時長 |
|
User aging period for Auth-Fail VLAN |
Auth-Fail VLAN中用戶的老化時間 |
|
User aging period for critical VLAN |
Critical VLAN中用戶的老化時間 |
|
User aging period for guest VLAN |
(暫不支持)Guest VLAN中用戶的老化時間 |
|
EAD assistant function |
EAD快速部署輔助功能的開啟狀態 |
|
URL |
用戶HTTP訪問的重定向URL |
|
Free IP |
用戶通過認證之前可訪問的網段 |
|
EAD timeout |
EAD老化定時器超時時間 |
|
Domain delimiter |
域名分隔符 |
|
Max EAP-TLS fragment (to-server) |
向認證服務器發送的認證報文中攜帶的EAP-TLS分片報文最大長度 若未配置EAP-TLS分片報文最大長度,則顯示為N/A |
|
Online 802.1X wired users |
在線802.1X有線用戶和正在發起認證的802.1X有線用戶的總數 |
|
Online 802.1X wireless users |
在線802.1X無線用戶和正在發起認證的802.1X無線用戶的總數 |
|
AP name |
AP名稱 |
|
Radio ID |
Radio編號 |
|
SSID |
服務集標識符 |
|
BSSID |
基本服務集標識符 |
|
802.1X authentication |
端口上802.1X的開啟狀態 |
|
Handshake |
在線用戶握手功能的開啟狀態 |
|
Handshake security |
安全握手功能的開啟狀態 |
|
Periodic reauth |
周期性重認證功能的開啟狀態 |
|
Mandatory auth domain |
端口上的接入用戶使用的強製認證域 |
|
Max online users |
本端口最多可容納的接入用戶數 |
|
EAPOL packets |
EAPOL報文數目。Tx表示發送的報文數目;Rx表示接受的報文數目 |
|
Sent EAP Request/Identity packets |
發送的EAP Request/Identity報文數 |
|
EAP Request/Challenge packets |
發送的EAP Request/Challenge報文數 |
|
EAP Success packets |
發送的EAP Success報文數 |
|
EAP Failure packets |
發送的EAP Failure報文數 |
|
Received EAPOL Start packets |
接收的EAPOL Start報文數 |
|
EAPOL LogOff packets |
接收的EAPOL LogOff報文數 |
|
EAP Response/Identity packets |
接收的EAP Response/Identity報文數 |
|
EAP Response/Challenge packets |
接收的EAP Response/Challenge報文數 |
|
Error packets |
接收的錯誤報文數 |
|
Online 802.1X users |
端口上的在線802.1X用戶和正在發起認證的802.1X用戶的總數 |
|
MAC address |
802.1X用戶的MAC地址 |
|
Auth state |
802.1X用戶的認證狀態 |
display dot1x connection命令用來顯示當前802.1X在線用戶的詳細信息。
【命令】
display dot1x connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-address | user-name name-string ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ap ap-name:顯示接入指定AP的所有802.1X在線用戶的信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,區分大小寫。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
radio radio-id:顯示接入指定Radio的802.1X在線用戶的信息。radio-id表示Radio編號,取值範圍與設備型號有關。不指定該參數,則表示顯示接入AP下所有Radio的802.1X在線用戶的信息。
slot slot-number:顯示指定成員設備上的802.1X在線用戶信息。slot-number表示設備在雲集群中的成員編號。若不指定該參數,則表示所有成員設備上的802.1X在線用戶信息。
user-mac mac-address:顯示指定MAC地址的802.1X在線用戶信息。其中mac-address表示用戶的MAC地址,格式為H-H-H。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
user-name name-string:顯示指定用戶名的802.1X在線用戶信息。其中name-string表示用戶名,為1~253個字符的字符串,區分大小寫。若不指定本參數,則顯示設備上所有802.1X在線用戶的信息。
【舉例】
# 顯示所有802.1X在線用戶信息。
<Sysname> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Anonymous username : test
Authentication domain : 1
IPv4 address : 192.168.1.1
IPv6 address : 2000:0:0:0:1:2345:6789:abcd
Authentication method : CHAP
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : http://oauth.h3c.com
Authorization IPv6 URL : N/A
Termination action : Default
Session timeout last from : 2023/05/30 17:32:42
Session timeout period : 86400 s
Online from : 2023/05/30 11:20:41
Online duration : 6h 18m 39s
表1-2 display dot1x connection 命令顯示信息描述表
|
字段 |
描述 |
|
Total connections |
在線802.1X認證用戶個數 |
|
User MAC address |
用戶的MAC地址 |
|
AP name |
AP的名稱 |
|
Radio ID |
Radio的ID |
|
SSID |
服務集標識符 |
|
BSSID |
用戶所屬的基本服務集標識符 |
|
Username |
用戶名 |
|
Anonymous username |
匿名用戶的用戶名,若未配置匿名用戶名,則顯示為N/A |
|
Authentication domain |
認證時使用的ISP域的名稱 |
|
IPv4 address |
用戶IP地址 若未獲取到用戶的IP地址,則不顯示該字段 |
|
IPv6 address |
用戶IPv6地址 若未獲取到用戶的IP地址,則不顯示該字段 |
|
Authentication method |
802.1X係統的認證方法 · CHAP:啟用EAP終結方式,並采用CHAP認證方法 · EAP:啟用EAP中繼方式,並支持所有EAP認證方法 · PAP:啟用EAP終結方式,並采用PAP認證方法 |
|
Initial VLAN |
初始的VLAN |
|
Authorization VLAN |
授權的 VLAN |
|
Authorization ACL number |
授權ACL的編號。若未授權ACL,則顯示N/A;若未授權成功,則在ACL編號後顯示“(NOT effective)” |
|
Authorization user profile |
授權用戶的User profile名稱 |
|
Authorization CAR |
當服務器未授權用戶CAR屬性時,該字段顯示為N/A。 當服務器授權用戶CAR屬性,將分為以下四個字段: · Average input rate :上行平均速率,單位為kbps · Peak input rate:上行峰值速率,單位為kbps · Average output rate:下行平均速率,單位為kbps · Peak output rate:下行峰值速率,單位為kbps 若隻下發上、下行平均速率,則該上、下行峰值速率默認與其平均速率相同。目前不支持服務器單獨授權上、下行峰值速率 |
|
Authorization URL |
授權的重定向URL |
|
Authorization IPv6 URL |
授權的IPv6重定向URL |
|
Termination action |
服務器下發的終止動作類型: · Default:會話超時時長到達後,強製用戶下線。但是,如果設備上開啟了周期性重認證功能,且設備上配置的重認證定時器值小於用戶會話超時時長,則端口會以重認證定時器的值為周期向該端口在線802.1X用戶發起重認證,而不會強製用戶下線 · Radius-Request:會話超時時長到達後,要求802.1X用戶進行重認證 用戶采用本地認證時,該字段顯示為Default |
|
Session timeout last from |
會話超時的時間 |
|
Session timeout period |
服務器下發的會話超時定時器,單位為秒。該定時器超時後,用戶所在的會話將會被刪除,之後,對該用戶所采取的動作,由Termination action字段的取值決定 |
|
Online from |
用戶的上線時間 |
|
Online duration |
用戶的在線時長 |
display mac-authentication命令用來顯示MAC地址認證的相關信息。
【命令】
display mac-authentication [ ap ap-name [ radio radio-id ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ap ap-name:顯示指定AP的所有MAC地址認證的詳細信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,區分大小寫。
radio radio-id:顯示指定Radio的所有的MAC地址認證的詳細信息。radio-id表示Radio編號,取值範圍與設備型號有關。如果不指定該參數,則顯示指定AP的所有Radio的MAC地址認證的詳細信息。
【使用指導】
如果不指定任何參數,則顯示所有在線MAC地址認證的詳細信息,主要包括全局及端口的配置信息、認證報文統計信息以及認證用戶信息。
【舉例】
# 顯示MAC地址認證信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
M-LAG member configuration conflict : Unknown
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
MAC range accounts : 0
MAC address Mask Username
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : Not configured, use default domain
HTTP proxy port list : Not configured
HTTPS proxy port list : Not configured
Online MAC-auth wired users : 0
Online MAC-auth wireless users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
AP name: AP1 Radio ID: 1 SSID: wlan_maca_ssid
BSSID : 1111-1111-1111
MAC authentication : Enabled
Authentication domain : Not configured
Max online users : 256
Authentication attempts : successful 1, failed 0
Current online users : 2
MAC address Auth state
0001-0000-0002 Authenticated
0001-0000-0003 Unauthenticated
表1-3 display mac-authentication命令顯示信息描述表
|
字段 |
描述 |
|
Global MAC authentication parameters |
全局MAC地址認證參數 |
|
MAC authentication |
MAC地址認證的開啟狀態 |
|
Authentication method |
MAC地址認證采用的認證方法 · CHAP:采用CHAP認證方法 · PAP:采用PAP認證方法 |
|
M-LAG member configuration conflict |
(暫不支持)兩台M-LAG設備配置檢查結果 · Conflicted:兩台M-LAG設備上的配置不匹配 · Not conflicted:兩台M-LAG設備上的配置相匹配 · Unknown:無法檢測兩台M-LAG設備上的配置是否匹配 |
|
Username format |
MAC地址認證使用的賬號格式 · 若采用MAC地址賬號,則顯示具體的用戶名格式以及是否帶連字符、字母是否大小寫,例如本例中“MAC address in lowercase(xx-xx-xx-xx-xx-xx)”,它表示用戶名格式為六段式的MAC地址,其中字母為小寫 · 若采用固定用戶名賬號,則顯示“Fixed account” |
|
Username |
用戶名 · 采用MAC地址賬號時,該值顯示為“mac”,無實際意義,僅表示采用MAC地址作為用戶名和密碼 · 采用固定用戶名賬號時,該值為配置的用戶名(缺省為mac) |
|
Password |
用戶名的密碼 · 采用MAC地址賬號時,該值顯示為“Not configured” · 采用固定用戶名賬號時,配置的值將顯示為****** |
|
MAC range accounts |
指定MAC地址範圍的MAC地址認證用戶賬號信息列表 |
|
MAC address |
指定的MAC地址 |
|
Mask |
MAC地址掩碼 |
|
Username |
MAC地址認證用戶名稱 |
|
Offline detect period |
下線檢測定時器的值 |
|
Quiet period |
靜默定時器的值 |
|
Server timeout |
服務器連接超時定時器的值 |
|
Reauth period |
重認證定時器的值 |
|
User aging period for critical VLAN |
Critical VLAN中用戶的老化時間 |
|
User aging period for guest VLAN |
(暫不支持)Guest VLAN中用戶的老化時間 |
|
Authentication domain |
係統視圖下指定的MAC地址認證用戶使用的認證域,如果沒有指定認證域,則顯示Not configured, use default domain |
|
HTTP proxy port list |
(暫不支持)HTTP代理服務器端口 |
|
HTTPS proxy port list |
(暫不支持)HTTPS代理服務器端口 |
|
Online MAC-auth wired users |
(暫不支持)在線有線用戶和正在發起MAC地址認證的有線用戶的總數 |
|
Online MAC-auth wireless users |
在線無線用戶和正在發起MAC地址認證的無線用戶的總數 |
|
Silent MAC users |
靜默用戶信息(包括設備添加的靜默用戶和服務器授權下發黑洞MAC的靜默用戶) |
|
MAC address |
靜默用戶的MAC地址 |
|
VLAN ID |
靜默用戶所在的VLAN |
|
From port |
靜默用戶接入的端口名稱 |
|
Port index |
靜默用戶接入的端口索引號 |
|
AP name |
AP名稱 |
|
Radio ID |
Radio編號 |
|
SSID |
服務集標識符 |
|
BSSID |
基本服務集標識符 |
|
MAC authentication |
當前端口的MAC地址認證開啟狀態 · Enabled:處於開啟狀態 · Enabled (but NOT effective):處於開啟狀態,但功能未生效。未生效原因為設備上ACL資源全部被占用 · Disabled:處於關閉狀態 |
|
Authentication domain |
端口上指定的MAC地址認證用戶使用的認證域 |
|
Max online users |
本端口最多可容納的接入用戶數 |
|
Authentication attempts: successful 1, failed 0 |
端口上MAC地址認證的統計信息,包括認證通過的次數和認證失敗的次數 |
|
MAC address |
接入用戶的MAC地址 |
|
Auth state |
接入用戶的狀態 · Authenticated:認證成功 · Unauthenticated:認證失敗 |
display mac-authentication connection命令用來顯示MAC地址認證在線用戶的詳細信息。
【命令】
display mac-authentication connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-address | user-name user-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ap ap-name:顯示接入指定AP的所有MAC地址認證用戶的信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,區分大小寫。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
radio radio-id:顯示接入指定Radio的所有的MAC地址認證用戶的信息。radio-id表示Radio編號,取值範圍與設備型號有關。如果不指定該參數,則顯示AP的所有Radio的MAC地址認證用戶的信息。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
slot slot-number:顯示指定成員設備上的MAC地址認證用戶信息。slot-number表示設備在雲集群中的成員編號。若不指定本參數,則顯示所有成員設備上的MAC地址認證用戶信息。
user-mac mac-address:顯示指定MAC地址的MAC地址認證用戶信息。其中mac-addr表示用戶的MAC地址,格式為H-H-H。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
user-name user-name:顯示指定用戶名的MAC地址認證用戶信息。其中user-name表示用戶名(可包含域名),為1~55個字符的字符串,區分大小寫。若不指定本參數,則顯示設備上所有的MAC地址認證用戶信息。
【舉例】
# 顯示所有MAC地址認證在線用戶信息。
<Sysname> display mac-authentication connection
Total connections: 1
Slot ID: 0
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Authentication domain : 1
Initial VLAN : 1
Authorization VLAN : 100
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : N/A
Authroization IPv6 URL : N/A
Termination action : Radius-request
Session timeout last from : 2023/05/30 17:32:42
Session timeout period : 86400 s
Online from : 2023/05/30 11:20:41
Online duration : 6h 18m 39s
表1-4 display mac-authentication connection 命令顯示信息描述表
|
字段 |
描述 |
|
Total connections |
在線MAC地址認證用戶個數 |
|
User MAC address |
用戶的MAC地址 |
|
Access interface |
用戶的接入接口名稱 |
|
AP name |
AP的名稱 |
|
Radio ID |
Radio的ID |
|
SSID |
服務集標識符 |
|
BSSID |
用戶所屬的基本服務集標識符 |
|
Username |
用戶名 |
|
Authentication domain |
認證時所用的ISP域的名稱 |
|
Initial VLAN |
初始的VLAN |
|
Authorization VLAN |
授權的VLAN |
|
Authorization ACL number |
授權ACL的編號。若未授權ACL,則顯示N/A;若未授權成功,則在ACL編號後顯示“(NOT effective)” |
|
Authorization user profile |
授權用戶的User profile名稱 |
|
Authorization CAR |
當服務器未授權用戶CAR屬性時,該字段顯示為N/A。 當服務器授權用戶CAR屬性,將分為以下四個字段: · Average input rate :上行平均速率,單位為kbps · Peak input rate:上行峰值速率,單位為kbps · Average output rate:下行平均速率,單位為kbps · Peak output rate:下行峰值速率,單位為kbps 若未授權成功,則顯示為(NOT effective) 若隻下發上、下行平均速率,則該上、下行峰值速率默認與其平均速率相同。目前不支持服務器單獨授權上、下行峰值速率 |
|
Authorization URL |
授權的重定向URL |
|
Authorization IPv6 URL |
授權的IPv6重定向URL |
|
Termination action |
服務器下發的終止動作類型: · Default:會話超時時間到達後,強製用戶下線 · Radius-Request:會話超時時間到達後,請求MAC地址認證用戶進行重認證 用戶采用本地認證時,該字段顯示為Default |
|
Session timeout last from |
會話超時的時間 |
|
Session timeout period |
服務器下發的會話超時定時器,單位為秒。該定時器超時後,用戶所在的會話將會被刪除,之後,對該用戶所采取的動作,由Termination action字段的取值決定 |
|
Online from |
MAC認證用戶的上線時間 |
|
Online duration |
MAC認證用戶的在線時長 |
display wlan client-security block-mac命令用來顯示阻塞MAC地址信息。
【命令】
display wlan client-security block-mac [ ap ap-name [ radio radio-id ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ap ap-name:顯示接入指定AP的所有阻塞MAC地址信息,ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“[”、“]”、“/”及“-”,區分大小寫。如果未指定本參數,則顯示所有阻塞MAC地址信息。
radio radio-id:顯示接入指定射頻的所有阻塞MAC地址信息,其中radio-id為射頻編號,本參數的取值範圍與AP型號有關,請以設備的實際情況為準。如果未指定本參數,則顯示AP下所有Radio下的阻塞MAC地址信息。
【使用指導】
阻塞MAC是指入侵檢測模式為temporary-block時,被加入到阻塞MAC列表中的用戶。
【舉例】
# 顯示所有阻塞MAC地址信息。
<Sysname> display wlan client-security block-mac
MAC address AP ID RADIO ID BSSID
0002-0002-0002 1 1 00ab-0de1-0001
000d-88f8-0577 1 1 0ef1-0001-02c1
Total entries: 2
表1-5 display wlan client-security block-mac命令顯示信息描述表
|
字段 |
描述 |
|
MAC address |
阻塞MAC地址,格式為“H-H-H” |
|
AP ID |
阻塞MAC地址所在AP的編號 |
|
RADIO ID |
阻塞MAC地址所在的Radio編號 |
|
BSSID |
基本服務集標識符,格式為H-H-H |
|
Total entries |
阻塞MAC地址表項條數 |
【相關命令】
· client-security intrusion-protection action
· client-security intrusion-protection timer temporary-block
display wlan statistics accounting命令用來查看無線客戶端的RADIUS計費報文統計信息。
【命令】
display wlan statistics accounting
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示無線客戶端的RADIUS計費報文統計信息。
<Sysname> display wlan statistics accounting
Account start request : 1
Account start response : 1
Account update request : 3
Account update response : 3
Account stop request : 1
Account stop response : 1
表1-6 display wlan statistics accounting命令顯示信息描述表
|
字段 |
描述 |
|
Account start request |
發送RADIUS計費開始請求報文數目 |
|
Account start response |
收到RADIUS計費開始回應報文數目 |
|
Account update request |
發送RADIUS計費更新請求報文數目 |
|
Account update response |
收到RADIUS計費更新回應報文數目 |
|
Account stop request |
發送RADIUS計費停止請求報文數目 |
|
Account stop response |
收到RADIUS計費停止回應報文數目 |
dot1x domain命令用來指定無線服務模板下802.1X用戶的認證域。
undo dot1x domain命令用來恢複缺省情況。
【命令】
dot1x domain domain-name
undo dot1x domain
【缺省情況】
未指定無線服務模板下的802.1X用戶的ISP域。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:ISP域名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
從無線服務模板上接入的802.1X用戶將按照如下先後順序進行選擇認證域:無線服務模板下指定的認證域-->用戶名中指定的認證域-->係統缺省的認證域。
【舉例】
# 配置無線服務模板service1下802.1X用戶使用認證域為my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x domain my-domain
dot1x domain-delimiter命令用來配置802.1X支持的域名分隔符。
undo dot1x domain-delimiter命令用來恢複缺省情況。
【命令】
dot1x domain-delimiter string
undo dot1x domain-delimiter
【缺省情況】
802.1X支持的域名分隔符為@。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
string:多個域名分隔符組成的1~16個字符的字符串,且分隔符隻能為@、.、/或\。若要指定域名分隔符\,則必須在輸入時使用轉義操作符\,即輸入\\。
【使用指導】
目前,802.1X支持的域名分隔符包括@、\、/和.,對應的用戶名格式分別為username@domain-name,domain-name\username、username/domain-name和username.domain-name,其中username為純用戶名、domain-name為域名。如果用戶名中包含有多個域名分隔符字符,則設備僅將最後一個出現的域名分隔符識別為實際使用的域名分隔符,例如,用戶輸入的用戶名為121.123/22\@abc,若設備上指定802.1X支持的域名分隔符為/、\,則識別出的純用戶名為@abc,域名為121.123/22。
係統默認支持分隔符@,但如果通過本命令指定的域名分隔符中未包含分隔符@,則802.1X僅會支持命令中指定的分隔符。
【舉例】
# 配置802.1X支持的域名分隔符為@和/。
<Sysname> system-view
[Sysname] dot1x domain-delimiter @/
【相關命令】
· display dot1x
dot1x eap命令用來配置802.1X認證的EAP協議模式。
undo dot1x eap命令用來恢複缺省情況。
【命令】
dot1x eap { extended | standard }
undo dot1x eap
【缺省情況】
EAP協議模式為standard。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
extended:表示EAP協議模式為擴展的EAP協議,即要求客戶端和設備按照私有EAP協議的規範和報文格式進行交互。
standard:表示EAP協議模式為標準的EAP協議,即要求客戶端和設備按照標準EAP協議的規範和報文格式進行交互。
【使用指導】
隻能在無線服務模板關閉的狀態下開啟該功能。
【舉例】
# 在無線服務模板1下配置802.1X認證的EAP協議為擴展模式。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] dot1x eap extended
dot1x eap-termination authentication-method命令用來配置802.1X認證采用EAP終結方式時與認證服務器之間進行交互認證的方法。
undo dot1x eap-termination authentication-method命令用來恢複缺省情況。
【命令】
dot1x eap-termination authentication-method { chap | pap }
undo dot1x eap-termination authentication-method
【缺省情況】
采用CHAP方法進行認證。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
chap:與認證服務器之間采用CHAP方法進行認證。
pap:與認證服務器之間采用PAP方法進行認證。
【使用指導】
當客戶端采用EAP中繼方式通過認證服務器認證失敗時,可以配置本命令,設備采用EAP終結方式以指定的認證方法與認證服務器進行交互,從而使客戶端通過認證。
目前本命令僅支持采用PEAP-GTC認證方式的認證請求報文進行處理。
【舉例】
# 配置802.1X認證采用EAP終結方式時與認證服務器之間采用PAP方法進行認證。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x eap-termination authentication-method pap
dot1x eap-termination eap-profile命令用來配置802.1X認證采用EAP終結方式時引用的EAP認證方案。
undo dot1x eap-termination eap-profile命令用來恢複缺省情況。
【命令】
dot1x eap-termination eap-profile eap-profile-name
undo dot1x eap-termination eap-profile
【缺省情況】
未配置802.1X認證采用EAP終結方式時引用的EAP認證方案。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
eap-profile-name:EAP認證方案名稱,為1~32個字符的字符串,不區分大小寫。引用的EAP認證方案名稱必須已經存在。
【使用指導】
當客戶端使用了RADIUS服務器不支持的認證方法,並采用EAP中繼方式進行認證,造成認證失敗時,可以配置本命令,設備采用EAP終結方式將客戶端認證請求報文封裝在標準RADIUS報文中發送給認證服務器,從而使客戶端通過認證。
目前本命令僅支持采用PEAP-GTC認證方式的認證請求報文進行處理。
【舉例】
# 配置802.1X認證采用EAP終結方式時引用的EAP認證方案為gtcprofile。
<Sysname> system-view
[Sysname] wlan service-template srvtmp1
[Sysname-wlan-st-srvtmp1] dot1x eap-termination eap-profile gtcprofile
【相關命令】
· eap-profile(用戶接入與認證命令參考/AAA)
· method(用戶接入與認證命令參考/AAA)
· ssl-server-policy
dot1x handshake enable命令用來開啟802.1X在線用戶握手功能。
undo dot1x handshake enable命令用來關閉802.1X在線用戶握手功能。
【命令】
dot1x handshake enable
undo dot1x handshake enable
【缺省情況】
802.1X在線用戶握手功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
使能802.1X握手功能之後,設備將定期向通過802.1X認證的在線用戶發送握手報文,即單播EAP-Request/Identity報文,來檢測用戶的在線狀態。握手報文發送的時間間隔由802.1X握手定時器控製(時間間隔通過命令dot1x timer handshake-period設置)。如果連續發送握手報文的次數達到802.1X報文最大重發次數(最大重發次數通過命令dot1x retry設置),而還沒有收到用戶響應,則強製該用戶下線。
由於802.1X握手成功,設備不會再對用戶進行回複,導致某些客戶端在一段時間後會進行重認證或者下線。請根據實際情況配置本功能。
本命令隻能在無線服務模板處於關閉狀態時配置。
【舉例】
# 開啟無線服務模板service1下的802.1X在線用戶握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
【相關命令】
· dot1x handshake secure enable
· dot1x retry
· dot1x timer handshake-period
dot1x handshake secure enable命令用來開啟802.1X在線用戶安全握手功能。
undo dot1x handshake secure enable命令用來關閉802.1X在線用戶安全握手功能。
【命令】
dot1x handshake secure enable
undo dot1x handshake secure enable
【缺省情況】
802.1X在線用戶的安全握手功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
802.1X安全握手功能隻有在開啟了802.1X握手功能的前提下才生效。
該命令隻對進行802.1X接入認證且成功上線的用戶有效。
【舉例】
# 開啟無線服務模板service1下的802.1X在線用戶安全握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
[Sysname-wlan-st-service1] dot1x handshake secure enable
【相關命令】
· dot1x handshake enable
dot1x max-user命令用來配置單個射頻下單個無線服務模板上的802.1X最大用戶數。
undo dot1x max-user命令用來恢複缺省情況。
【命令】
dot1x max-user count
undo dot1x max-user
【缺省情況】
單個射頻下單個無線服務模板上允許同時接入的802.1X用戶數為512個。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
count:單個射頻下單個無線服務模板上最多允許同時接入的802.1X用戶數,取值範圍為1~512。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
配置本命令後,當單個射頻下單個無線服務模板上同時接入的802.1X用戶數超過最大值後,新的用戶將被拒絕。
【舉例】
# 配置單個射頻下單個無線服務模板service1上的802.1X最大用戶數為500。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x max-user 500
dot1x re-authenticate enable命令用來開啟802.1X周期性重認證功能。
undo dot1x re-authenticate enable命令用來關閉802.1X周期性重認證功能。
【命令】
dot1x re-authenticate enable
undo dot1x re-authenticate enable
【缺省情況】
802.1X周期性重認證功能處於關閉狀態。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【使用指導】
無線服務模板啟動了802.1X的周期性重認證功能後,設備會根據係統視圖下配置的周期性重認證定時器(dot1x timer reauth-period)時間間隔對在線802.1X用戶啟動認證,以檢測用戶連接狀態的變化,更新服務器下發的授權屬性(例如ACL,VLAN,User Profile)。
用戶進行802.1X認證成功後,如果服務器下發了Termination action和Session timeout屬性(display dot1x connection),且Termination action取值為Radius-Request,Session timeout取值不為0,設備將以Session timeout為周期對用戶進行重認證,以檢測用戶在線狀態,並更新授權信息。
本命令隻能在無線服務模板處於關閉狀態時配置。
在認證服務器沒有下發Terminal action和Session timeout屬性或下發的Terminal action取值不為Request的情況下,如果使能802.1X重認證功能,設備也會定期向已經在線的802.1X用戶發起重認證,此時重認證周期由802.1X重認證定時器配置。
【舉例】
# 開啟無線服務模板service1下的802.1X重認證功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x re-authenticate enable
【相關命令】
· dot1x timer
dot1x retry命令用來設置設備向接入用戶發送認證請求報文的最大次數。
undo dot1x retry命令用來恢複缺省情況。
【命令】
dot1x retry retries
undo dot1x retry
【缺省情況】
設備向接入用戶發送認證請求報文的最大次數為2。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
retries:向接入用戶發送認證請求報文的最大嚐試次數,取值範圍為1~10。
【使用指導】
如果設備向用戶發送認證請求報文後,在規定的時間裏沒有收到用戶的響應,則設備將向用戶重發該認證請求報文,若設備累計發送認證請求報文的次數達到配置的最大值後,仍然沒有得到用戶響應,則停止發送認證請求。對於EAP-Request/Identity報文,該時間由dot1x timer tx-period設置;對於EAP-Request/MD5 Challenge報文,該時間由dot1x timer supp-timeout設置。
【舉例】
# 配置設備最多向接入用戶發送9次認證請求報文。
<Sysname> system-view
[Sysname] dot1x retry 9
【相關命令】
· display dot1x
· dot1x timer
dot1x timer命令用來配置802.1X的定時器參數。
undo dot1x timer命令用來將指定的定時器恢複為缺省情況。
【命令】
dot1x timer { handshake-period handshake-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value }
undo dot1x timer { handshake-period | reauth-period | server-timeout | supp-timeout }
【缺省情況】
握手定時器的值為15秒,周期性重認證定時器的值為3600秒,認證服務器超時定時器的值為100秒,客戶端認證超時定時器的值為30秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
handshake-period handshake-period-value:握手定時器的值,取值範圍為5~1024,單位為秒。
reauth-period reauth-period-value:周期性重認證定時器的值,取值範圍為60~7200,單位為秒。
server-timeout server-timeout-value:認證服務器超時定時器的值,取值範圍為100~300,單位為秒。
supp-timeout supp-timeout-value:客戶端認證超時定時器的值,取值範圍為1~120,單位為秒。
【使用指導】
802.1X認證過程受以下定時器的控製:
· 握手定時器(handshake-period):此定時器是在用戶認證成功後啟動的,設備端以此間隔為周期發送握手請求報文,以定期檢測用戶的在線情況。如果配置發送次數為N,則當設備端連續N次沒有收到客戶端的響應報文,就認為用戶已經下線。
· 周期性重認證定時器(reauth-period):端口上開啟了周期性重認證功能(通過命令dot1x re-authenticate)後,設備端以此間隔為周期對端口上的在線用戶發起重認證。對於已在線的802.1X用戶,要等當前重認證周期結束並且認證通過後才會按新配置的周期進行後續的重認證。
· 認證服務器超時定時器(server-timeout):當設備端向認證服務器發送了RADIUS Access-Request請求報文後,設備端啟動server-timeout定時器,若在該定時器設置的時長內,設備端沒有收到認證服務器的響應,則802.1X認證失敗。
· 客戶端認證超時定時器(supp-timeout):當設備端向客戶端發送了EAP-Request/MD5 Challenge請求報文後,設備端啟動此定時器,若在該定時器設置的時長內,設備端沒有收到客戶端的響應,設備端將重發該報文。
一般情況下,用戶無需修改定時器的值,除非在一些特殊或惡劣的網絡環境下,可以使用該命令調節交互進程。
除周期性重認證定時器外的其他定時器修改後可立即生效。
【舉例】
# 設置認證服務器的超時定時器時長為150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【相關命令】
· display dot1x
mac-authentication domain命令用來指定無線服務模板下MAC地址認證用戶的ISP域。
undo mac-authentication domain命令用來恢複缺省情況。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情況】
未指定無線服務模板下的MAC地址認證用戶的ISP域。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
domain-name:ISP域名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
從無線服務模板上接入的MAC地址認證用戶將按照如下先後順序進行選擇ISP域:無線服務模板下指定的ISP域-->全局MAC地址ISP域-->係統缺省的ISP域。
【舉例】
# 配置無線服務模板service1下MAC地址認證用戶使用的ISP域為my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication domain my-domain
mac-authentication max-user命令用來配置單個射頻下單個無線服務模板上的MAC地址認證最大用戶數。
undo mac-authentication max-user命令用來恢複缺省情況。
【命令】
mac-authentication max-user count
undo mac-authentication max-user
【缺省情況】
單個射頻下單個無線服務模板上允許同時接入的MAC地址認證最大用戶數為512個。
【視圖】
無線服務模板視圖
【缺省用戶角色】
network-admin
【參數】
count:單個射頻下單個無線服務模板上最多允許同時接入的MAC地址認證用戶數,取值範圍為1~512。
【使用指導】
本命令隻能在無線服務模板處於關閉狀態時配置。
配置本命令後,當單個射頻下單個無線服務模板上同時接入的MAC地址認證用戶數超過最大值後,新接入的用戶將被拒絕。
【舉例】
# 配置單個射頻下單個無線服務模板上的MAC地址認證最大用戶數為32個。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication max-user 32
mac-authentication timer命令用來配置MAC地址認證的定時器參數。
undo mac-authentication timer命令用來恢複缺省情況。
【命令】
mac-authentication timer { offline-detect offline-detect-value | server-timeout server-timeout-value }
undo mac-authentication timer { offline-detect | server-timeout }
【缺省情況】
下線檢測定時器的值為300秒,服務器超時定時器的值為100秒。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
offline-detect offline-detect-value:表示下線檢測定時器。其中,offline-detect-value表示下線檢測定時器的值,取值範圍為60~2147483647,單位為秒。
server-timeout server-timeout-value:表示服務器超時定時器。其中,server-timeout-value表示服務器超時定時器的值,取值範圍為100~300,單位為秒。
【使用指導】
MAC地址認證過程受以下定時器的控製:
· 下線檢測定時器(offline-detect):用來設置在線用戶空閑超時的時間間隔。若設備在一個下線檢測定時器間隔之內,沒有收到某在線用戶的報文,將切斷該用戶的連接,同時通知RADIUS服務器停止對其計費。
· 服務器超時定時器(server-timeout):用來設置設備同RADIUS服務器的連接超時時間。在用戶的認證過程中,如果到服務器超時定時器超時時設備一直沒有收到RADIUS服務器的應答,則設備將在相應的端口上禁止此用戶訪問網絡。
【舉例】
# 設置服務器超時定時器時長為150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相關命令】
· display mac-authentication
mac-authentication user-name-format命令用來配置MAC地址認證用戶的帳號格式。
undo mac-authentication user-name-format命令用來恢複缺省情況。
【命令】
mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } string ] | mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ] }
undo mac-authentication user-name-format
【缺省情況】
使用用戶的MAC地址作為用戶名和密碼,其中字母為小寫,且不帶連字符“-”。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
fixed:表示采用固定用戶名賬號。
account name:指定發送給RADIUS服務器進行認證或者在本地進行認證的用戶名。其中name為用戶名,為1~55個字符的字符串,區分大小寫,不能包括字符@,缺省為mac。
password:指定固定用戶名的密碼。如果不指定該參數,則表示無密碼。
· cipher:以密文方式設置密碼。
· simple:以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串,密文密碼為1~117個字符的字符串。
mac-address:表示使用用戶的MAC地址作為用戶名和密碼。
with-hyphen [ six-section | three-section ]:帶連字符“-”的MAC地址格式,six-section表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX;three-section表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。如果不指定任何參數,缺省采用六段式MAC地址格式。
without-hyphen:不帶連字符“-”的MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。
lowercase:MAC地址中的字母為小寫。
uppercase:MAC地址中的字母為大寫。
【使用指導】
若指定用戶的MAC地址為用戶名,則用戶密碼也為用戶的MAC地址。這種情況下,每一個MAC地址認證用戶都使用唯一的用戶名進行認證,安全性高,但要求認證服務器端配置多個MAC形式的用戶賬戶。
若指定一個固定的用戶名,則表示不論用戶的MAC地址為何值,所有用戶均使用設備上指定的一個固定用戶名和密碼作為身份信息進行認證。由於同一個端口下可以有多個用戶進行認證,因此這種情況下端口上的所有MAC地址認證用戶均使用同一個固定用戶名賬號進行認證,服務器端僅需要配置一個用戶賬戶即可滿足所有認證用戶的認證需求,適用於接入客戶端比較可信的網絡環境。
【舉例】
# 配置MAC地址認證的用戶名為abc,密碼是明文xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用戶的MAC地址為用戶名和密碼,使用不帶連字符“-”的MAC地址格式,其中字母大寫。
<Sysname> system-view
[Sysname] mac-authentication user-name-format mac-address without-hyphen uppercase
【相關命令】
· display mac-authentication
reset dot1x statistics命令用來清除802.1X的統計信息。
【命令】
reset dot1x statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
ap ap-name:清除指定AP的所有802.1X統計信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“.”、“[”、“]”、“/”及“-”,區分大小寫。若不指定本參數,則清除所有AP上的802.1X統計信息。
radio radio-id:清除指定AP的所有的802.1X統計信息。radio-id表示Radio編號,取值範圍與AP型號有關。若不指定本參數,則清除指定AP的所有Radio的802.1X統計信息。
interface interface-type interface-number:清除指定端口上的802.1X統計信息。interface-type interface-number為端口類型和端口編號。若不指定本參數,則清除所有端口上的802.1X統計信息。
【使用指導】
如果不指定任何參數,則清除所有802.1X統計信息。
【舉例】
# 清除端口GigabitEthernet1/0/1上的802.1X統計信息。
<Sysname> reset dot1x statistics interface gigabitethernet 1/0/1
· display dot1x
reset mac-authentication statistics命令用來清除MAC地址認證的統計信息。
【命令】
reset mac-authentication statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
ap ap-name:清除指定AP的所有MAC地址認證統計信息。ap-name表示AP的名稱,為1~64個字符的字符串,可以包含字母、數字、下劃線、“.”、“[”、“]”、“/”及“-”,區分大小寫。如果不指定本參數,則清除所有AP上的MAC地址認證統計信息。
radio radio-id:清除指定AP的所有的MAC地址認證統計信息。radio-id表示Radio編號,取值範圍與AP型號有關。若不指定本參數,則清除指定AP的所有射頻天線下的MAC地址認證統計信息。
interface interface-type interface-number:清除指定端口的MAC地址認證統計信息。interface-type interface-number為端口類型和端口編號。如果不指定本參數,則清除所有端口上的MAC地址認證統計信息。
【使用指導】
如果不指定任何參數,則清除所有MAC地址認證統計信息。
【舉例】
# 清除以太網端口GigabitEthernet1/0/1上的MAC認證統計信息。
<Sysname> reset mac-authentication statistics interface gigabitethernet 1/0/1
【相關命令】
· display mac-authentication
wlan authentication optimization命令用來配置802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率的優化參數值。
undo wlan authentication optimization命令用來恢複缺省情況。
【命令】
wlan authentication optimization value
undo wlan authentication optimization
【缺省情況】
802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率的優化參數值為0,即不對802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率進行優化,采用實際值。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
value:優化802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率的參數值,取值範圍為900~1000。該數值配置越小,802.1X認證、MAC地址認證及二層Portal認證的認證成功率越小,在線用戶異常下線率越大。
【使用指導】
認證成功率是指802.1X認證、MAC地址認證及二層Portal認證時認證成功的總次數占認證總次數的百分比。在線用戶異常下線率是指在線用戶異常斷開連接的總次數占在線用戶認證成功的總次數與當前在線用戶總數之和的百分比。
設備會重新對802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率進行優化計算。
隻有802.1X認證、MAC地址認證及二層Portal認證采用RADIUS服務器進行遠程認證時,本命令配置的優化參數才會生效。
【舉例】
# 配置802.1X認證、MAC地址認證及二層Portal認證的認證成功率、在線用戶異常下線率的優化參數值為950。
<Sysname> system-view
[Sysname] wlan authentication optimization 950
wlan client-security authentication clear-previous-connection命令用來開啟已認證無線客戶端再次上線認證清除舊連接功能。
undo wlan client-security authentication clear-previous-connection命令用來關閉已認證無線客戶端再次上線認證清除舊連接功能。
【命令】
wlan client-security authentication clear-previous-connection
undo wlan client-security authentication clear-previous-connection
【缺省情況】
已認證無線客戶端再次上線認證清除舊連接功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
當無線客戶端進行802.1X或者MAC地址認證時,設備會檢查自身是否存在該無線客戶端的表項:
· 當不存在該無線客戶端表項時,客戶端進行認證上線。
· 當存在該無線客戶端表項時,設備會刪除該無線客戶端的表項並向RADIUS服務器發送認證請求報文。有一些RADIUS服務器收到認證請求報文後,若發現本地已經存在該無線客戶端的表項,會向設備回複認證失敗的報文,導致客戶端無法通過認證上線。
為了解決此類RADIUS服務器上因表項衝突而導致用戶無法上線的問題,建議開啟本功能。開啟本功能後,設備存在表項的同時會向RADIUS服務器發送計費停止報文。當RADIUS服務器收到該報文後,會刪除本地存在的無線客戶端表項,客戶端可以進行認證上線。
需要注意的是,開啟本功能後,802.1X重認證功能、Fail VLAN功能和Critical VLAN功能將不能生效。
【舉例】
# 開啟已認證無線客戶端再次上線認證清除舊連接功能。
<Sysname> system-view
[Sysname] wlan client-security authentication clear-previous-connection
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
