用户双网卡

双网卡  时间:2021-05-20  阅读:()
i目录1802.
1X1-11.
1802.
1X配置命令·1-11.
1.
1displaydot1x·1-11.
1.
2displaydot1xconnection1-51.
1.
3dot1x·1-101.
1.
4dot1xauthentication-method·1-111.
1.
5dot1xauth-failvlan1-121.
1.
6dot1xcriticalvlan·1-131.
1.
7dot1xdomain-delimiter1-131.
1.
8dot1xead-assistantenable1-141.
1.
9dot1xead-assistantfree-ip1-151.
1.
10dot1xead-assistanturl1-161.
1.
11dot1xguest-vlan1-171.
1.
12dot1xhandshake1-191.
1.
13dot1xhandshakereplyenable1-191.
1.
14dot1xhandshakesecure1-201.
1.
15dot1xmandatory-domain·1-211.
1.
16dot1xmax-user·1-211.
1.
17dot1xmulticast-trigger·1-221.
1.
18dot1xport-control·1-231.
1.
19dot1xport-method1-241.
1.
20dot1xquiet-period·1-251.
1.
21dot1xre-authenticate·1-251.
1.
22dot1xre-authenticateserver-unreachablekeep-online·1-261.
1.
23dot1xretry·1-271.
1.
24dot1xsmarton·1-271.
1.
25dot1xsmartonpassword1-281.
1.
26dot1xsmartonretry1-291.
1.
27dot1xsmartonswitchid·1-301.
1.
28dot1xsmartontimersupp-timeout·1-311.
1.
29dot1xtimer·1-311.
1.
30dot1xunicast-trigger·1-331.
1.
31resetdot1xguest-vlan1-35ii1.
1.
32resetdot1xstatistics·1-351-11802.
1X由于WX1800H系列、WX2500H系列和WX3000H系列无线控制器不支持IRF功能,因此不支持IRF模式的命令行配置.
1.
1802.
1X配置命令1.
1.
1displaydot1xdisplaydot1x命令用来显示802.
1X的相关信息.
【命令】displaydot1x[sessions|statistics][apap-name[radioradio-id]|interfaceinterface-typeinterface-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】sessions:显示802.
1X的会话连接信息.
statistics:显示802.
1X的相关统计信息.
apap-name:显示指定AP的所有802.
1X的详细信息.
ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、".
"、"["、"]"、"/"及"-",不区分大小写.
radioradio-id:显示指定Radio的所有802.
1X的详细信息.
radio-id表示Radio编号,取值范围与AP型号有关.
若不指定本参数,则表示显示指定AP的所有Radio的802.
1X的详细信息.
interfaceinterface-typeinterface-number:显示指定端口的802.
1X信息.
interface-typeinterface-number为端口类型和端口编号.
【使用指导】如果不指定参数sessions或者statistics,则显示802.
1X的所有信息,包括会话连接信息、相关统计信息和配置信息等.
如果不指定ap和interface参数,则显示所有有线和无线的802.
1X信息.
如果不指定任何参数,则显示802.
1X的所有信息.
【举例】#显示802.
1X的所有信息.
1-2displaydot1xGlobal802.
1Xparameters:802.
1Xauthentication:EnabledCHAPauthentication:EnabledMax-txperiod:30sHandshakeperiod:15sQuiettimer:DisabledQuietperiod:60sSupptimeout:30sServertimeout:100sReauthperiod:3600sMaxauthrequests:2SmartOnswitchID:30SmartOnsupptimeout:30sSmartOnretrycounts:3EADassistantfunction:DisabledURL:http://www.
dwsoft.
comFreeIP:6.
6.
6.
0255.
255.
255.
0EADtimeout:30minDomaindelimiter:@Online802.
1Xwiredusers:1Online802.
1Xwirelessusers:1GigabitEthernet1/0/1islink-up802.
1Xauthentication:EnabledHandshake:EnabledHandshakereply:DisabledHandshakesecurity:DisabledUnicasttrigger:DisabledPeriodicreauth:DisabledPortrole:AuthenticatorAuthorizationmode:AutoPortaccesscontrol:Port-basedMulticasttrigger:EnabledMandatoryauthdomain:NotconfiguredGuestVLAN:3Auth-FailVLAN:NotconfiguredCriticalVLAN:NotconfiguredCriticalvoiceVLAN:DisabledRe-authserver-unreachable:LogoffMaxonlineusers:256SmartOn:DisabledEAPOLpackets:Tx3,Rx4SentEAPRequest/Identitypackets:1EAPRequest/Challengepackets:1EAPSuccesspackets:1EAPFailurepackets:01-3ReceivedEAPOLStartpackets:1EAPOLLogOffpackets:1EAPResponse/Identitypackets:1EAPResponse/Challengepackets:1Errorpackets:0Online802.
1Xusers:1MACaddressAuthstate0001-0000-0000AuthenticatedAPname:AP1RadioID:1SSID:wlan_dot1x_ssidBSSID:1111-1111-1111802.
1Xauthentication:EnabledHandshake:EnabledHandshakesecurity:DisabledPeriodicreauth:DisabledMandatoryauthdomain:NotconfiguredMaxonlineusers:256EAPOLpackets:Tx3,Rx4SentEAPRequest/Identitypackets:1EAPRequest/Challengepackets:1EAPSuccesspackets:1EAPFailurepackets:0ReceivedEAPOLStartpackets:1EAPOLLogOffpackets:1EAPResponse/Identitypackets:1EAPResponse/Challengepackets:1Errorpackets:0Online802.
1Xusers:1MACaddressAuthstate0001-0000-0002Authenticated表1-1displaydot1x命令显示信息描述表字段描述Global802.
1Xparameters全局802.
1X参数配置信息802.
1Xauthentication全局802.
1X的开启状态CHAPauthentication启用EAP终结方式,并采用CHAP认证方法EAPauthentication启用EAP中继方式,并支持所有EAP认证方法PAPauthentication启用EAP终结方式,并采用PAP认证方法Max-txperiod用户名请求超时定时器的值Handshakeperiod握手定时器的值Quiettimer静默定时器的开启状态Quietperiod静默定时器的值Supptimeout客户端认证超时定时器的值1-4字段描述Servertimeout认证服务器超时定时器的值Reauthperiod重认证定时器的值Maxauthrequests设备向接入用户发送认证请求报文的最大次数SmartOnswitchIDSmartOn的SwitchIDSmartOnsupptimeoutSmartOn的客户端认证超时定时器的时长SmartOnretrycountsSmartOn的通知请求报文的最大发送次数EADassistantfunctionEAD快速部署辅助功能的开启状态URL用户HTTP访问的重定向URLFreeIP用户通过认证之前可访问的网段EADtimeoutEAD老化定时器超时时间Domaindelimiter域名分隔符Online802.
1Xwiredusers在线802.
1X有线用户和正在发起认证的802.
1X有线用户的总数Online802.
1Xwirelessusers在线802.
1X无线用户和正在发起认证的802.
1X无线用户的总数GigabitEthernet1/0/1islink-up端口GigabitEthernet1/0/1的链路状态802.
1Xauthentication端口上802.
1X的开启状态Handshake在线用户握手功能的开启状态Handshakereply在线用户握手回应功能的开启状态Handshakesecurity安全握手功能的开启状态Unicasttrigger802.
1X单播触发功能的开启状态Periodicreauth周期性重认证功能的开启状态Portrole该端口担当认证端的作用,目前仅支持作为认证端Authorizationmode端口的授权状态Force-Authorized:强制授权状态Auto:自动识别状态Force-Unauthorized:强制非授权状态Portaccesscontrol端口接入控制方式MAC-based:基于MAC地址对接入用户进行认证Port-based:基于端口对接入用户进行认证Multicasttrigger802.
1X组播触发功能的开启状态Mandatoryauthdomain端口上的接入用户使用的强制认证域GuestVLAN端口配置的GuestVLAN,若此功能未配置则显示Notconfigured1-5字段描述Auth-failVLAN端口配置的Auth-FailVLAN,若此功能未配置则显示NotconfiguredCriticalVLAN端口配置的CriticalVLAN,若此功能未配置则显示NotconfiguredCriticalvoiceVLAN端口上CriticalVoiceVLAN功能的开启状态,包括如下取值:Enabled:开启Disabled:关闭Re-authserver-unreachable重认证时服务器不可达对802.
1X在线用户采取的动作Maxonlineusers本端口最多可容纳的接入用户数SmartOn端口上SmartOn的开启状态EAPOLpacketsEAPOL报文数目.
Tx表示发送的报文数目;Rx表示接受的报文数目SentEAPRequest/Identitypackets发送的EAPRequest/Identity报文数EAPRequest/Challengepackets发送的EAPRequest/Challenge报文数EAPSuccesspackets发送的EAPSuccess报文数EAPFailpackets发送的EAPFailure报文数ReceivedEAPOLStartpackets接收的EAPOLStart报文数EAPOLLogOffpackets接收的EAPOLLogOff报文数EAPResponse/Identitypackets接收的EAPResponse/Identity报文数EAPResponse/Challengepackets接收的EAPResponse/Challenge报文数Errorpackets接收的错误报文数Online802.
1Xusers端口上的在线802.
1X用户和正在发起认证的802.
1X用户的总数MACaddress802.
1X用户的MAC地址Authstate802.
1X用户的认证状态APnameAP名称RadioIDRadio编号SSID服务集标识符BSSID基本服务集标识符1.
1.
2displaydot1xconnectiondisplaydot1xconnection命令用来显示当前802.
1X在线用户的详细信息.
1-6【命令】(独立运行模式)displaydot1xconnection[apap-name[radioradio-id]|interfaceinterface-typeinterface-number|user-macmac-address|user-namename-string](IRF模式)displaydot1xconnection[apap-name[radioradio-id]|interfaceinterface-typeinterface-number|slotslot-number|user-macmac-address|user-namename-string]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】apap-name:显示接入指定AP的所有802.
1X在线用户的信息.
ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、".
"、"["、"]"、"/"及"-",不区分大小写.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
radioradio-id:显示接入指定Radio的802.
1X在线用户的信息.
radio-id表示Radio编号,取值范围与AP型号有关.
若不指定本参数,则表示显示接入AP下所有Radio的802.
1X在线用户的信息.
interfaceinterface-typeinterface-number:显示指定端口的802.
1X在线用户信息.
其中interface-typeinterface-number表示端口类型和端口编号.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
slotslot-number:显示指定成员设备上的802.
1X在线用户信息.
slot-number表示设备在IRF中的成员编号.
若不指定本参数,则表示所有成员设备上的802.
1X在线用户信息.
(IRF模式)user-macmac-address:显示指定MAC地址的802.
1X在线用户信息.
其中mac-address表示用户的MAC地址,格式为H-H-H.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
user-namename-string:显示指定用户名的802.
1X在线用户信息.
其中name-string表示用户名,为1~253个字符的字符串,区分大小写.
若不指定本参数,则显示设备上所有802.
1X在线用户的信息.
【使用指导】如果不指定任何参数,则显示所有端口的802.
1X在线用户信息.
(独立运行模式)多台设备组成IRF环境下,如果不指定任何参数,则显示所有成员设备上的802.
1X在线用户信息.
(IRF模式)【举例】#显示所有802.
1X在线用户信息.
(独立运行模式)displaydot1xconnectionTotalconnections:11-7UserMACaddress:0015-e9a6-7cfeAccessinterface:GigabitEthernet1/0/1Username:iasAuthenticationdomain:abcIPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationuntaggedVLAN:6AuthorizationtaggedVLANlist:1to579111315171921232527293133293133353740to100AuthorizationACLnumber/name:3001Authorizationuserprofile:N/ATerminationaction:DefaultSessiontimeoutperiod:2sOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bytes:0/0Receivedpackets/bytes:272/13445Level-1Sentpackets/bytes:0/0Receivedpackets/bytes:45/1248UserMACaddress:0016-ecb7-a879APname:ap1RadioID:1SSID:wlan_dot1x_ssidBSSID:0015-e9a6-7cf0Username:iasAuthenticationdomain:1IPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationVLAN:N/AAuthorizationACLnumber:3001Authorizationuserprofile:N/AAuthorizationCAR:Averageinputrate:102400bpsAverageoutputrate:102400bpsTerminationaction:DefaultSessiontimeoutperiod:2secOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bytes:1/54Receivedpackets/bytes:0/01-8Level-1Sentpackets/bytes:0/0Receivedpackets/bytes:45/1248#显示所有802.
1X在线用户信息.
(IRF模式)displaydot1xconnectionTotalconnections:1SlotID:0UserMACaddress:0015-e9a6-7cfeAccessinterface:GigabitEthernet1/0/1Username:iasAuthenticationdomain:abcIPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationuntaggedVLAN:6AuthorizationtaggedVLANlist:1to579111315171921232527293133293133353740to100AuthorizationACLnumber/name:3001Authorizationuserprofile:N/ATerminationaction:DefaultSessiontimeoutperiod:2sOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bates:1/54Receivedpackets/bates:0/0Level-1Sentpackets/bates:0/0Receivedpackets/bates:45/1248UserMACaddress:0016-ecb7-a879APname:ap1RadioID:1SSID:wlan_dot1x_ssidBSSID:0015-e9a6-7cf0Username:iasAuthenticationdomain:1IPv4address:192.
168.
1.
1IPv6address:2000:0:0:0:1:2345:6789:abcdAuthenticationmethod:CHAPInitialVLAN:1AuthorizationVLAN:N/AAuthorizationACLnumber:3001Authorizationuserprofile:N/AAuthorizationCAR:Averageinputrate:102400bpsAverageoutputrate:102400bpsTerminationaction:Default1-9Sessiontimeoutperiod:2secOnlinefrom:2013/03/0213:14:15Onlineduration:0h2m15sLevelflowstatistic:Level-0Sentpackets/bates:1/54Receivedpackets/bates:0/0Level-1Sentpackets/bates:0/0Receivedpackets/bates:45/1248表1-2displaydot1xconnection命令显示信息描述表字段描述Totalconnections在线802.
1X认证用户个数UserMACaddress用户的MAC地址Accessinterface用户的接入接口名称APnameAP的名称RadioIDRadio的IDSSID服务集标识符BSSID用户所属的基本服务集标识符Username用户名Authenticationdomain认证时使用的ISP域的名称IPv4address用户IP地址若未获取到用户的IP地址,则不显示该字段IPv6address用户IPv6地址若未获取到用户的IP地址,则不显示该字段Authenticationmethod802.
1X系统的认证方法CHAP:启用EAP终结方式,并采用CHAP认证方法EAP:启用EAP中继方式,并支持所有EAP认证方法PAP:启用EAP终结方式,并采用PAP认证方法InitialVLAN初始的VLANAuthorizationuntaggedVLAN授权的untaggedVLANAuthorizationtaggedVLANlist授权的taggedVLAN列表AuthorizationACLnumber/name授权ACL的编号或名称.
若未授权ACL,则显示为N/A若未授权成功,则在ACL编号后显示"(NOTeffective)"Authorizationuserprofile授权用户的Userprofile名称AuthorizationCAR当服务器未授权用户CAR属性时,该字段显示为N/A.
当服务器授权用户CAR属性,将分为以下两个字段:Averageinputrate:上行平均速率,单位为bpsAverageoutputrate:下行平均速率,单位为bps1-10字段描述Terminationaction服务器下发的终止动作类型:Default:会话超时时长到达后,强制用户下线.
但是,如果设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.
1X用户发起重认证,而不会强制用户下线Radius-Request:会话超时时长到达后,要求802.
1X用户进行重认证用户采用本地认证时,该字段显示为N/ASessiontimeoutperiod服务器下发的会话超时时长,该时间到达之后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Terminationaction字段的取值决定用户采用本地认证时,该字段显示为N/AOnlinefrom用户的上线时间Onlineduration用户的在线时长Levelflowstatistic按Level计费的流量统计,共有0-8个Level级别,若配置按Level计费功能,则显示配置的Level的流量统计;若未配置按level计费功能或无流量,则不显示该字段Sentpackets/bytes:发送的报文数和字节数Receivedpackets/bytes:接收到的报文数和字节数1.
1.
3dot1xdot1x命令用来开启端口上或全局的802.
1X.
undodot1x命令用来关闭端口上或全局的802.
1X.
【命令】dot1xundodot1x【缺省情况】所有端口以及全局的802.
1X都处于关闭状态.
【视图】系统视图二层以太网接口视图【缺省用户角色】network-admin【使用指导】只有同时开启全局和端口的802.
1X后,802.
1X的配置才能在端口上生效.
【举例】#开启全局的802.
1X.
system-view1-11[Sysname]dot1x#开启端口GigabitEthernet1/0/1上的802.
1X.
[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1x[Sysname-GigabitEthernet1/0/1]quit【相关命令】displaydot1x1.
1.
4dot1xauthentication-methoddot1xauthentication-method命令用来配置802.
1X系统的认证方法.
undodot1xauthentication-method命令用来恢复缺省情况.
【命令】dot1xauthentication-method{chap|eap|pap}undodot1xauthentication-method【缺省情况】设备启用EAP终结方式,并采用CHAP认证方法.
【视图】系统视图【缺省用户角色】network-admin【参数】chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法.
eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法.
pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法.
【使用指导】在EAP终结方式下:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互.
该方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode802.
1X客户端发起的"用户名+密码"方式的EAP认证.
有关PAP和CHAP两种认证方法的详细介绍如下:PAP(PasswordAuthenticationProtocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境.
目前,H3CiNode802.
1X客户端支持此认证方法.
CHAP(ChallengeHandshakeAuthenticationProtocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令.
与PAP相比,CHAP认证保密性较好,更为安全可靠.
1-12在EAP中继方式下:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证.
该方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法.
采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法.
若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见"用户接入与认证命令参考"中的"AAA".
【举例】#启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法.
system-view[Sysname]dot1xauthentication-methodpap【相关命令】displaydot1x1.
1.
5dot1xauth-failvlandot1xauth-failvlan命令用来配置端口的802.
1XAuth-FailVLAN.
undodot1xauth-failvlan命令用来恢复缺省情况.
【命令】dot1xauth-failvlanauthfail-vlan-idundodot1xauth-failvlan【缺省情况】端口上未配置802.
1XAuth-FailVLAN.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】authfail-vlan-id:端口上指定的Auth-FailVLANID,取值范围为1~4094.
该VLAN必须已经创建.
【使用指导】端口上配置此功能后,认证失败的802.
1X用户可以继续访问Auth-FailVLAN中的资源.
禁止删除已被配置为Auth-FailVLAN的VLAN,若要删除该VLAN,请先通过undodot1xauth-failvlan命令取消802.
1XAuth-FailVLAN配置.
端口类型为Hybrid时,请不要将指定的Auth-FailVLAN修改为携带Tag的方式.
【举例】#配置端口GigabitEthernet1/0/1的Auth-FailVLAN为VLAN100.
system-view1-13[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xauth-failvlan100【相关命令】displaydot1x1.
1.
6dot1xcriticalvlandot1xcriticalvlan命令用来配置端口的802.
1XCriticalVLAN.
undodot1xcriticalvlan命令用来恢复缺省情况.
【命令】dot1xcriticalvlancritical-vlan-idundodot1xcriticalvlan【缺省情况】端口上未配置CriticalVLAN.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】critical-vlan-id:端口上指定的CriticalVLANID,取值范围为1~4094.
该VLAN必须已经创建.
【使用指导】配置此功能后,当802.
1X用户认证时对应的ISP域下所有认证服务器都不可达的情况下,此802.
1X用户可以继续访问CriticalVLAN中的资源.
禁止删除已被配置为CriticalVLAN的VLAN,若要删除该VLAN,请先通过undodot1xcriticalvlan命令取消802.
1XCriticalVLAN配置.
端口类型为Hybrid时,请不要将指定的CriticalVLAN修改为携带Tag的方式.
【举例】#配置端口GigabitEthernet1/0/1的CriticalVLAN为VLAN100.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xcriticalvlan100【相关命令】displaydot1x1.
1.
7dot1xdomain-delimiterdot1xdomain-delimiter命令用来配置802.
1X支持的域名分隔符.
undodot1xdomain-delimiter命令用来恢复缺省情况.
1-14【命令】dot1xdomain-delimiterstringundodot1xdomain-delimiter【缺省情况】802.
1X支持的域名分隔符为@.
【视图】系统视图【缺省用户角色】network-admin【参数】string:多个域名分隔符组成的1~16个字符的字符串,且分隔符只能为@、.
、/或\.
若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\.
【使用指导】目前,802.
1X支持的域名分隔符包括和.
,对应的用户名格式分别为username@domain-name,domain-name\username、username/domain-name和username.
domain-name,其中username为纯用户名、domain-name为域名.
如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.
123/22\@abc,若设备上指定802.
1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.
123/22.
系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.
1X仅会支持命令中指定的分隔符.
【举例】#配置802.
1X支持的域名分隔符为@和/.
system-view[Sysname]dot1xdomain-delimiter@/【相关命令】displaydot1x1.
1.
8dot1xead-assistantenabledot1xead-assistantenable命令用来开启EAD快速部署辅助功能.
undodot1xead-assistantenable命令用来关闭EAD快速部署辅助功能.
【命令】dot1xead-assistantenableundodot1xead-assistantenable【缺省情况】EAD快速部署辅助功能处于关闭状态.
1-15【视图】系统视图【缺省用户角色】network-admin【使用指导】开启EAD快速部署辅助功能后,设备允许未通过认证的802.
1X用户访问一个特定的IP地址段,并可以将用户发起的HTTP访问请求重定向到该IP地址段中的一个指定的URL,实现用户自动下载并安装EAD客户端的目的.
为使EAD快速部署功能生效,必须保证指定端口的授权模式为auto.
该命令与MAC地址认证和端口安全的全局使能命令均互斥,即开启EAD快速部署辅助功能时,若全局使能了MAC地址认证或端口安全,则该配置将会执行失败,反之亦然.
【举例】#开启EAD快速部署辅助功能.
system-view[Sysname]dot1xead-assistantenable【相关命令】displaydot1xdot1xead-assistantfree-ipdot1xead-assistanturl1.
1.
9dot1xead-assistantfree-ipdot1xead-assistantfree-ip命令用来配置FreeIP.
undodot1xead-assistantfree-ip命令用来删除指定的FreeIP.
【命令】dot1xead-assistantfree-ipip-address{mask-address|mask-length}undodot1xead-assistantfree-ip{ip-address{mask-address|mask-length}|all}【缺省情况】未配置FreeIP,用户在通过802.
1X认证之前不能够访问任何网段.
【视图】系统视图【缺省用户角色】network-admin【参数】ip-address:指定的IP地址.
mask-address:指定的IP掩码地址.
mask-length:指定的IP掩码地址长度,取值范围为1~32.
1-16all:所有配置的IP.
【使用指导】全局使能EAD快速部署功能且配置FreeIP之后,未通过认证的802.
1X终端用户可以访问该IP地址段中的网络资源.
可通过重复执行此命令来配置多个FreeIP.
【举例】#配置用户在通过802.
1X认证之前能够访问的网段为192.
168.
1.
1/16.
system-view[Sysname]dot1xead-assistantfree-ip192.
168.
1.
1255.
255.
0.
0【相关命令】displaydot1xdot1xead-assistantenabledot1xead-assistanturl1.
1.
10dot1xead-assistanturldot1xead-assistanturl命令用来配置802.
1X用户HTTP访问的重定向URL.
undodot1xead-assistanturl命令用来恢复缺省情况.
【命令】dot1xead-assistanturlurl-stringundodot1xead-assistanturl【缺省情况】未配置802.
1X用户HTTP访问的重定向URL.
【视图】系统视图【缺省用户角色】network-admin【参数】url-string:重定向URL地址,为1~256个字符的字符串,区分大小写.
【使用指导】用户在802.
1X认证成功之前,如果使用浏览器访问非FreeIP网段的其它网络,设备会将用户访问的URL重定向到已配置的重定向地址.
802.
1X用户重定向的URL和FreeIP必须在同一个网段内,否则用户无法访问指定的重定向URL.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置802.
1X用户HTTP访问的重定向URL为http://test.
com.
system-view[Sysname]dot1xead-assistanturlhttp://test.
com1-17【相关命令】displaydot1xdot1xead-assistantenabledot1xead-assistantfree-ip1.
1.
11dot1xguest-vlandot1xguest-vlan命令用来配置端口的802.
1XGuestVLAN.
undodot1xguest-vlan命令用来恢复缺省情况.
【命令】dot1xguest-vlanguest-vlan-idundodot1xguest-vlan本命令的支持情况与设备型号有关,请以设备的实际情况为准.
产品系列产品型号产品代码说明WX1800H系列WX1804H-PWREWP-WX1804H-PWR-CN不支持WX2500H系列WX2508H-PWR-LTEWX2510H-PWRWX2510H-F-PWRWX2540HWX2540H-FWX2560HEWP-WX2508H-PWR-LTEEWP-WX2510H-PWREWP-WX2510H-F-PWREWP-WX2540HEWP-WX2540H-FEWP-WX2560H不支持WX3000H系列WX3010HWX3010H-X-PWRWX3010H-L-PWRWX3024HWX3024H-L-PWRWX3024H-FEWP-WX3010HEWP-WX3010H-X-PWREWP-WX3010H-L-PWREWP-WX3024HEWP-WX3024H-L-PWREWP-WX3024H-F支持WX3500H系列WX3508HWX3508HWX3510HWX3510HWX3520HWX3520H-FWX3540HWX3540HEWP-WX3508HEWP-WX3508H-FEWP-WX3510HEWP-WX3510H-FEWP-WX3520HEWP-WX3520H-FEWP-WX3540HEWP-WX3540H-F不支持WX5500E系列WX5510EWX5540EEWP-WX5510EEWP-WX5540E支持WX5500H系列WX5540HWX5560HWX5580HEWP-WX5540HEWP-WX5560HEWP-WX5580H支持AC插卡系列LSUM1WCME0LSUM1WCME0支持1-18EWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0FEWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0F产品系列产品型号产品代码说明WX1800H系列WX1804H-PWRWX1810H-PWRWX1820HWX1840HEWP-WX1804H-PWREWP-WX1810H-PWREWP-WX1820HEWP-WX1840H-GL不支持WX3800H系列WX3820HWX3840HEWP-WX3820H-GLEWP-WX3840H-GL支持WX5800H系列WX5860HEWP-WX5860H-GL支持【缺省情况】端口上未配置802.
1XGuestVLAN.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】guest-vlan-id:端口上指定的GuestVLANID,取值范围为1~4094.
该VLAN必须已经创建.
【使用指导】配置此功能后,在802.
1X用户在未认证的情况下,其可以访问的VLAN资源,该VLAN内通常放置一些用于用户下载客户端软件或其他升级程序的服务器.
禁止删除已被配置为GuestVLAN的VLAN,若要删除该VLAN,请先通过undodot1xguest-vlan命令取消802.
1XGuestVLAN配置.
端口类型为Hybrid时,请不要将指定的GuestVLAN修改为携带Tag的方式.
【举例】#配置端口GigabitEthernet1/0/1的GuestVLAN为VLAN100.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xguest-vlan100【相关命令】displaydot1x1-191.
1.
12dot1xhandshakedot1xhandshake命令用于开启在线用户握手功能.
undodot1xhandshake命令用于关闭在线用户握手功能.
【命令】dot1xhandshakeundodot1xhandshake【缺省情况】在线用户握手功能处于开启状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】开启设备的在线用户握手功能后,设备会定期(时间间隔通过命令dot1xtimerhandshake-period设置)向通过802.
1X认证的在线用户发送握手报文,以定期检测用户的在线情况.
如果设备连续多次(通过命令dot1xretry设置)没有收到客户端的响应报文,则会将用户置为下线状态.
【举例】#在端口GigabitEthernet1/0/1上开启在线用户握手功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xhandshake【相关命令】displaydot1xdot1xtimerhandshake-perioddot1xretry1.
1.
13dot1xhandshakereplyenabledot1xhandshakereplyenable命令用来开启端口发送在线握手成功报文功能.
undodot1xhandshakereplyenable命令用来关闭端口发送在线握手成功报文功能.
【命令】dot1xhandshakereplyenableundodot1xhandshakereplyenable【缺省情况】端口发送在线握手成功报文功能处于关闭状态.
1-20【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】端口上开启在线用户握手功能后,缺省情况下,设备收到该端口上802.
1X在线用户的在线握手应答报文(EAP-Response/Identity报文)后,则认为该用户在线,并不给客户端回应在线握手成功报文(EAP-Success报文).
但是,有些802.
1X客户端如果没有收到设备回应的在线握手成功报文(EAP-Success报文),就会自动下线.
为了避免这种情况发生,需要在端口上开启发送在线握手成功报文功能.
只有当802.
1X客户端需要收到在线握手成功报文时,才需要开启此功能.
【举例】#在端口GigabitEthernet1/0/1上开启的发送在线握手成功报文功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xhandshakereplyenable【相关命令】dot1xhandshake1.
1.
14dot1xhandshakesecuredot1xhandshakesecure命令用来开启在线用户握手安全功能.
undodot1xhandshakesecure命令用来关闭在线用户握手安全功能.
【命令】dot1xhandshakesecureundodot1xhandshakesecure【缺省情况】在线用户握手安全功能处于关闭状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】开启在线用户握手安全功能后,可以防止在线的802.
1X认证用户使用非法的客户端与设备进行握手报文的交互,而逃过代理检测、双网卡检测等iNode客户端的安全检查功能.
只有设备上的在线用户握手功能处于开启状态时,安全握手功能才会生效.
本功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效.
1-21【举例】#在端口GigabitEthernet1/0/1上开启在线用户握手安全功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xhandshakesecure【相关命令】displaydot1xdot1xhandshake1.
1.
15dot1xmandatory-domaindot1xmandatory-domain命令用来指定端口上802.
1X用户使用的强制认证域.
undodot1xmandatory-domain命令用来恢复缺省情况.
【命令】dot1xmandatory-domaindomain-nameundodot1xmandatory-domain【缺省情况】未指定802.
1X用户使用的强制认证域.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】domain-name:ISP域名,为1~255个字符的字符串,不区分大小写.
【使用指导】从指定端口上接入的802.
1X用户将按照如下先后顺序选择认证域:端口上指定的强制ISP域-->用户名中指定的ISP域-->系统缺省的ISP域.
【举例】#指定端口GigabitEthernet1/0/1上802.
1X用户使用的强制认证域为my-domain.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xmandatory-domainmy-domain【相关命令】displaydot1x1.
1.
16dot1xmax-userdot1xmax-user命令用来配置端口上最多允许同时接入的802.
1X用户数.
undodot1xmax-user命令用来恢复缺省情况.
1-22【命令】dot1xmax-usermax-numberundodot1xmax-user【缺省情况】端口上最多允许同时接入的802.
1X用户数为4294967295.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】max-number:端口允许同时接入的802.
1X用户数的最大值,取值范围为1~4294967295.
【使用指导】由于系统资源有限,如果当前端口上接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前端口的用户获得可靠的性能保障.
当接入此端口的802.
1X用户数超过最大值后,新接入的用户将被拒绝.
【举例】#配置端口GigabitEthernet1/0/1上最多允许同时接入32个802.
1X用户.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xmax-user321.
1.
17dot1xmulticast-triggerdot1xmulticast-trigger命令用来开启802.
1X的组播触发功能.
undodot1xmulticast-trigger命令用来关闭802.
1X的组播触发功能.
【命令】dot1xmulticast-triggerundodot1xmulticast-trigger【缺省情况】802.
1X的组播触发功能处于开启状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin1-23【使用指导】开启了802.
1X的组播触发功能的端口会定期(间隔时间通过命令dot1xtimertx-period设置)向客户端组播发送EAP-Request/Identity报文来检测客户端并触发认证.
该功能用于支持不能主动发送EAPOL-Start报文来发起认证的客户端.
对于无线局域网来说,可以由客户端主动发起认证,或由无线模块发现用户并触发认证,而不必设备端定期发送802.
1X的组播报文来触发.
同时,组播触发报文会占用无线的通信带宽,因此建议无线局域网中的接入设备关闭该功能.
【举例】#在端口GigabitEthernet1/0/1上开启802.
1X的组播触发功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xmulticast-trigger【相关命令】displaydot1xdot1xtimertx-perioddot1xunicast-trigger1.
1.
18dot1xport-controldot1xport-control命令用来设置端口的授权状态.
undodot1xport-control命令用来恢复缺省情况.
【命令】dot1xport-control{authorized-force|auto|unauthorized-force}undodot1xport-control【缺省情况】端口的授权状态为auto.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】authorized-force:强制授权状态,表示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源.
auto:自动识别状态,表示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果用户认证通过,则端口切换到授权状态,允许用户访问网络资源.
这也是最常用的一种状态.
unauthorized-force:强制非授权状态,表示端口始终处于非授权状态,不允许用户访问网络资源.
1-24【使用指导】通过配置端口的授权状态,可以控制端口上接入的用户是否需要通过认证才能访问网络资源.
【举例】#指定端口GigabitEthernet1/0/1处于强制非授权状态.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xport-controlunauthorized-force【相关命令】displaydot1x1.
1.
19dot1xport-methoddot1xport-method命令用来配置端口的接入控制方式.
undodot1xport-method命令用来恢复缺省情况.
【命令】dot1xport-method{macbased|portbased}undodot1xport-method【缺省情况】端口的接入控制方式为macbased.
【视图】二层以太网接口视图【缺省用户角色】network-admin【参数】macbased:表示基于MAC地址对接入用户进行认证,即该端口上的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络.
portbased:表示基于端口对接入用户进行认证,即只要该端口上的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,当第一个用户下线后,其它用户也会被拒绝使用网络.
【使用指导】在要求所有接入用户都单独认证的情况下,选择基于MAC的控制方式,可提高网络接入的安全性.
否则,可采用基于端口的接入控制方式.
【举例】#在端口GigabitEthernet1/0/1上配置对接入用户进行基于端口的802.
1X认证.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xport-methodportbased【相关命令】displaydot1x1-251.
1.
20dot1xquiet-perioddot1xquiet-period命令用来开启静默定时器功能.
undodot1xquiet-period命令用来关闭静默定时器功能.
【命令】dot1xquiet-periodundodot1xquiet-period【缺省情况】静默定时器功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】在静默定时器功能处于开启状态的情况下,设备将在一段时间之内不对802.
1X认证失败的用户进行802.
1X认证处理,该时间由802.
1X静默定时器控制,可通过dot1xtimerquiet-period命令配置.
【举例】#开启静默定时器功能,并配置静默定时器的值为100秒.
system-view[Sysname]dot1xquiet-period[Sysname]dot1xtimerquiet-period100【相关命令】displaydot1xdot1xtimer1.
1.
21dot1xre-authenticatedot1xre-authenticate命令用来开启周期性重认证功能.
undodot1xre-authenticate命令用来关闭周期性重认证功能.
【命令】dot1xre-authenticateundodot1xre-authenticate【缺省情况】周期性重认证功能处于关闭状态.
【视图】二层以太网接口视图1-26【缺省用户角色】network-admin【使用指导】端口开启了802.
1X的周期性重认证功能后,设备会根据周期性重认证定时器(dot1xtimerreauth-period)设定的时间间隔定期启动对该端口在线802.
1X用户的认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL、VLAN等).
【举例】#在端口GigabitEthernet1/0/1上开启802.
1X重认证功能,并配置周期性重认证时间间隔为1800秒.
system-view[Sysname]dot1xtimerreauth-period1800[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xre-authenticate【相关命令】displaydot1xdot1xtimer1.
1.
22dot1xre-authenticateserver-unreachablekeep-onlinedot1xre-authenticateserver-unreachablekeep-online命令用来配置重认证服务器不可达时端口上的用户保持在线状态.
undodot1xre-authenticateserver-unreachable命令用来恢复缺省情况.
【命令】dot1xre-authenticateserver-unreachablekeep-onlineundodot1xre-authenticateserver-unreachable【缺省情况】端口上的802.
1X在线用户重认证时,若认证服务器不可达,则会被强制下线.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】若端口上开启了802.
1X的周期性重认证功能,则设备会定期对端口上的802.
1X在线用户进行重认证,重认证过程中,若设备发现认证服务器状态不可达,则可以根据本配置,决定是否保持其在线状态.
【举例】#配置端口GigabitEthernet1/0/1上的802.
1X在线用户进行重认证时,若服务器不可达,则保持在线状态.
system-view1-27[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xre-authenticateserver-unreachablekeep-online【相关命令】displaydot1xdot1xre-authenticate1.
1.
23dot1xretrydot1xretry命令用来设置设备向接入用户发送认证请求报文的最大次数.
undodot1xretry命令用来恢复缺省情况.
【命令】dot1xretryretriesundodot1xretry【缺省情况】设备向接入用户发送认证请求报文的最大次数为2.
【视图】系统视图【缺省用户角色】network-admin【参数】retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10.
【使用指导】如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求.
对于EAP-Request/Identity报文,该时间由dot1xtimertx-period设置;对于EAP-Request/MD5Challenge报文,该时间由dot1xtimersupp-timeout设置.
【举例】#配置设备最多向接入用户发送9次认证请求报文.
system-view[Sysname]dot1xretry9【相关命令】displaydot1xdot1xtimer1.
1.
24dot1xsmartondot1xsmarton命令用来开启端口的SmartOn功能.
undodot1xsmarton命令用来关闭端口的SmartOn功能.
1-28【命令】dot1xsmartonundodot1xsmarton【缺省情况】端口的SmartOn功能处于关闭状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin【使用指导】若开启了SmartOn功能的端口上收到802.
1X客户端发送的EAPOL-Start报文,则将向其回复单播的EAP-Request/Notification报文,并开启定时器(dot1xsmartontimersupp-timeout)等待客户端响应EAP-Response/Notification报文.
该Notification报文中包含一个SwitchID和一个MD5摘要,若这两个值与本地配置的SmartOn的SwitchID以及SmartOn密码的MD5摘要值相同,则继续客户端的802.
1X认证,否则中止客户端的802.
1X认证.
802.
1XSmartOn功能与在线用户握手功能互斥,建议两个功能不要同时开启.
【举例】#开启端口GigabitEthernet1/0/1的SmartOn功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xsmarton【相关命令】displaydot1xdot1xsmartonswitchiddot1xsmartonpassword1.
1.
25dot1xsmartonpassworddot1xsmartonpassword命令用来配置SmartOn密码.
undodot1xsmartonpassword命令用来恢复缺省情况.
【命令】dot1xsmartonpassword{cipher|simple}stringundodot1xsmartonpassword【缺省情况】未配置SmartOn密码.
【视图】系统视图1-29【缺省用户角色】network-admin【参数】cipher:以密文方式设置密码.
simple:以明文方式设置密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~16个字符的字符串,密文密码为1~53个字符的字符串.
【使用指导】开启了SmartOn功能的端口上,需要验证802.
1X客户端发送的EAP-Response/Notification报文中携带的MD5摘要,只有与本命令配置的SmartOn密码的MD5摘要相同,客户端802.
1X的认证才能继续进行.
多次执行本命令,最后一次执行的命令生效【举例】#配置SmartOn密码为明文abc.
system-view[Sysname]dot1xsmartonpasswordsimpleabc【相关命令】displaydot1xdot1xsmartondot1xsmartonswitchid1.
1.
26dot1xsmartonretrydot1xsmartonretry命令用来配置重发SmartOn通知请求报文的最大次数.
undodot1xsmartonretry命令用来恢复缺省情况.
【命令】dot1xsmartonretryretriesundodot1xsmartonretry【缺省情况】重发SmartOn通知请求报文的最大次数为3次.
【视图】系统视图【缺省用户角色】network-admin【参数】retries:重发SmartOn通知请求报文的最大次数,取值范围为1~10.
1-30【使用指导】设备向客户端发送EAP-Request/Notification报文后,会开启通知请求超时定时器(dot1xsmartontimersupp-timeout)等待客户端响应EAP-Response/Notification报文,若定时器超时后客户端仍未回复,则设备会重发EAP-Request/Notification报文,并重新启动定时器.
当重发次数达到规定的最大次数后,会停止对该客户端的802.
1X认证.
【举例】#配置重发SmartOn通知请求报文的最大次数为5.
system-view[Sysname]dot1xsmartonretry5【相关命令】displaydot1xdot1xsmartontimersupp-timeout1.
1.
27dot1xsmartonswitchiddot1xsmartonswitchid命令用来配置SmartOn的SwitchID.
undodot1xsmartonswitchid命令用来恢复缺省情况.
【命令】dot1xsmartonswitchidswitch-stringundodot1xsmartonswitchid【缺省情况】未配置SmartOn的SwitchID.
【视图】系统视图【缺省用户角色】network-admin【参数】switch-string:可显示的SwitchID,其长度的取值范围为1~30,区分大小写.
【使用指导】使能了SmartOn功能的端口上,需要验证802.
1X客户端发送的EAP-Response/Notification报文中携带的SwitchID字符串,只有与本命令配置的值相同,客户端802.
1X的认证才能继续进行.
【举例】#配置SmartOn的SwitchID为abc.
system-view[Sysname]dot1xsmartonswitchidabc【相关命令】displaydot1xdot1xsmarton1-31dot1xsmartonpassword1.
1.
28dot1xsmartontimersupp-timeoutdot1xsmartontimersupp-timeout命令用来配置SmartOn通知请求超时定时器时长.
undodot1xsmartontimersupp-timeout命令用来恢复缺省情况.
【命令】dot1xsmartontimersupp-timeoutsupp-timeout-valueundodot1xsmartontimersupp-timeout【缺省情况】SmartOn通知请求超时定时器时长为30秒.
【视图】系统视图【缺省用户角色】network-admin【参数】supp-timeout-value:SmartOn通知请求超时定时器的值,取值范围为10~120,单位为秒.
【使用指导】设备向客户端发送EAP-Request/Notification报文后,会开启通知请求超时定时器等待客户端响应EAP-Response/Notification报文,若定时器超时后客户端仍未回复,则设备会重发EAP-Request/Notification报文,并重新启动定时器.
当重发次数达到规定的最大次数(dot1xsmartonretry)后,会停止对该客户端的802.
1X认证.
【举例】#配置SmartOn通知请求超时定时器时长为20秒.
system-view[Sysname]dot1xsmartontimersupp-timeout20【相关命令】displaydot1xdot1xsmartonretry1.
1.
29dot1xtimerdot1xtimer命令用来配置802.
1X的定时器参数.
undodot1xtimer命令用来将指定的定时器恢复为缺省情况.
【命令】dot1xtimer{ead-timeoutead-timeout-value|handshake-periodhandshake-period-value|quiet-periodquiet-period-value|reauth-periodreauth-period-value|server-timeoutserver-timeout-value|supp-timeoutsupp-timeout-value|tx-periodtx-period-value}1-32undodot1xtimer{ead-timeout|handshake-period|quiet-period|reauth-period|server-timeout|supp-timeout|tx-period}【缺省情况】握手定时器的值为15秒,EAD超时定时器的值为30分钟,静默定时器的值为60秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒,用户名请求超时定时器的值为30秒.
【视图】系统视图【缺省用户角色】network-admin【参数】ead-timeoutead-timeout-value:EAD超时定时器的值,取值范围为1~1440,单位为分钟.
handshake-periodhandshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒.
quiet-periodquiet-period-value:静默定时器的值,取值范围为10~120,单位为秒.
reauth-periodreauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒.
server-timeoutserver-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒.
supp-timeoutsupp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒.
tx-periodtx-period-value:用户名请求超时定时器的值,取值范围为1~120,单位为秒.
【使用指导】802.
1X认证过程受以下定时器的控制:EAD超时定时器(ead-timeout):管理员可以通过配置EAD规则的老化时间来控制用户对ACL资源的占用,当用户访问网络时该定时器即开始计时,在定时器超时或者用户下载客户端并成功通过认证之后,该用户所占用的ACL资源即被删除,这样那些在老化时间内未进行任何操作的用户所占用的ACL资源会及时得到释放.
握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况.
如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线.
静默定时器(quiet-period):对用户认证失败以后,设备端需要静默一段时间(该时间由静默定时器设置),在静默期间,设备端不对802.
1X认证失败的用户进行802.
1X认证处理.
周期性重认证定时器(reauth-period):端口上开启了周期性重认证功能(通过命令dot1xre-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证.
对于已在线的802.
1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证.
1-33认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUSAccess-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.
1X认证失败.
客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文.
用户名请求超时定时器(tx-period):当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动该定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文.
另外,为了兼容不主动发送EAPOL-Start连接请求报文的客户端,设备会定期组播EAP-Request/Identity请求报文来检测客户端.
tx-period定义了该组播报文的发送时间间隔.
一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程.
除周期性重认证定时器外的其他定时器修改后可立即生效.
【举例】#设置认证服务器的超时定时器时长为150秒.
system-view[Sysname]dot1xtimerserver-timeout150【相关命令】displaydot1x1.
1.
30dot1xunicast-triggerdot1xunicast-trigger命令用来开启端口上的802.
1X的单播触发功能.
undodot1xunicast-trigger命令用来关闭802.
1X的单播触发功能.
【命令】dot1xunicast-triggerundodot1xunicast-trigger本命令的支持情况与设备型号有关,请以设备的实际情况为准.
产品系列产品型号产品代码说明WX1800H系列WX1804H-PWREWP-WX1804H-PWR-CN不支持WX2500H系列WX2508H-PWR-LTEWX2510H-PWRWX2510H-F-PWRWX2540HWX2540H-FWX2560HEWP-WX2508H-PWR-LTEEWP-WX2510H-PWREWP-WX2510H-F-PWREWP-WX2540HEWP-WX2540H-FEWP-WX2560H不支持WX3000H系列WX3010HWX3010H-X-PWRWX3010H-L-PWREWP-WX3010HEWP-WX3010H-X-PWREWP-WX3010H-L-PWR支持1-34产品系列产品型号产品代码说明WX3024HWX3024H-L-PWRWX3024H-FEWP-WX3024HEWP-WX3024H-L-PWREWP-WX3024H-FWX3500H系列WX3508HWX3508HWX3510HWX3510HWX3520HWX3520H-FWX3540HWX3540HEWP-WX3508HEWP-WX3508H-FEWP-WX3510HEWP-WX3510H-FEWP-WX3520HEWP-WX3520H-FEWP-WX3540HEWP-WX3540H-F不支持WX5500E系列WX5510EWX5540EEWP-WX5510EEWP-WX5540E支持WX5500H系列WX5540HWX5560HWX5580HEWP-WX5540HEWP-WX5560HEWP-WX5580H支持AC插卡系列LSUM1WCME0EWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0FLSUM1WCME0EWPXM1WCME0LSQM1WCMX20LSUM1WCMX20RTLSQM1WCMX40LSUM1WCMX40RTEWPXM2WCMD0FEWPXM1MAC0F支持产品系列产品型号产品代码说明WX1800H系列WX1804H-PWRWX1810H-PWRWX1820HWX1840HEWP-WX1804H-PWREWP-WX1810H-PWREWP-WX1820HEWP-WX1840H-GL不支持WX3800H系列WX3820HWX3840HEWP-WX3820H-GLEWP-WX3840H-GL支持WX5800H系列WX5860HEWP-WX5860H-GL支持【缺省情况】802.
1X的单播触发功能处于关闭状态.
【视图】二层以太网接口视图【缺省用户角色】network-admin1-35【使用指导】端口上开启802.
1X的单播触发功能后,当端口收到源MAC未知的报文时,主动向该MAC地址发送单播认证报文来触发认证.
若设备端在设置的客户端认证超时时间内(该时间由dot1xtimersupp-timeout设置)没有收到客户端的响应,则重发该报文(重发次数由dot1xretry设置).
【举例】#在端口GigabitEthernet1/0/1上开启802.
1X的单播触发功能.
system-view[Sysname]interfacegigabitethernet1/0/1[Sysname-GigabitEthernet1/0/1]dot1xunicast-trigger【相关命令】displaydot1xdot1xmulticast-triggerdot1xretrydot1xtimer1.
1.
31resetdot1xguest-vlanresetdot1xguest-vlan命令用来清除GuestVLAN内802.
1X用户,使其退出GuestVLAN.
【命令】resetdot1xguest-vlaninterfaceinterface-typeinterface-number[mac-addressmac-address]【视图】用户视图【缺省用户角色】network-admin【参数】interfaceinterface-typeinterface-number:表示使指定端口上的用户退出GuestVLAN.
interface-typeinterface-number为端口类型和端口编号.
mac-addressmac-address:表示使指定MAC地址的用户退出GuestVLAN.
若不指定本参数,则表示使指定端口上的所有用户退出GuestVLAN.
【举例】#在端口GigabitEthernet1/0/1上使得MAC地址为1-1-1的802.
1X用户退出GuestVLAN.
resetdot1xguest-vlaninterfacegigabitethernet1/0/1mac-address1-1-1【相关命令】dot1xguest-vlan1.
1.
32resetdot1xstatisticsresetdot1xstatistics命令用来清除802.
1X的统计信息.
1-36【命令】resetdot1xstatistics[apap-name[radioradio-id]|interfaceinterface-typeinterface-number]【视图】用户视图【缺省用户角色】network-admin【参数】apap-name:清除指定AP的所有802.
1X统计信息.
ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、".
"、"["、"]"、"/"及"-",不区分大小写.
若不指定本参数,则清除所有AP上的802.
1X统计信息.
radioradio-id:清除指定AP的所有的802.
1X统计信息.
radio-id表示Radio编号,取值范围与AP型号有关.
若不指定本参数,则清除指定AP的所有Radio的802.
1X统计信息.
interfaceinterface-typeinterface-number:清除指定端口上的802.
1X统计信息.
interface-typeinterface-number为端口类型和端口编号.
若不指定本参数,则清除所有端口上的802.
1X统计信息.
【使用指导】如果不指定任何参数,则清除所有802.
1X统计信息.
【举例】#清除端口GigabitEthernet1/0/1上的802.
1X统计信息.
resetdot1xstatisticsinterfacegigabitethernet1/0/1【相关命令】displaydot1x

易探云香港vps主机价格多少钱?香港云服务器主机租用价格

易探云香港vps主机价格多少钱?香港vps主机租用费用大体上是由配置决定的,我们选择香港vps主机租用最大的优势是免备案vps。但是,每家服务商的机房、配置、定价也不同。我们以最基础配置为标准,综合比对各大香港vps主机供应商的价格,即可选到高性能、价格适中的香港vps主机。通常1核CPU、1G内存、2Mbps独享带宽,价格在30元-120元/月。不过,易探云香港vps主机推出四个机房的优惠活动,...

HoRain Cloud:国内特价物理机服务器,镇江机房,内地5线BGP接入,月付499元起

horain怎么样?horain cloud是一家2019年成立的国人主机商家,隶属于北京辰帆科技有限公司,horain持有增值电信业务经营许可证(B1-20203595),与中国电信天翼云、腾讯云、华为云、UCloud、AWS等签署渠道合作协议,主要提企业和个人提供云服务器,目前商家推出了几款特价物理机,都是在内地,性价比不错,其中有目前性能比较强悍的AMD+NVMe系列。点击进入:horain...

牦牛云(3.5USD/月 )阿里云国际版云服务器 1核1G40G

收到好多消息,让我聊一下阿里云国际版本,作为一个阿里云死忠粉,之前用的服务器都是阿里云国内版的VPS主机,对于现在火热的阿里云国际版,这段时间了解了下,觉得还是有很多部分可以聊的,毕竟,实名制的服务器规则导致国际版无需实名这一特点被无限放大。以前也写过几篇综合性的阿里云国际版vps的分析,其中有一点得到很多人的认同,那句是阿里云不管国内版还是国际版的IO读写速度实在不敢恭维,相对意义上的,如果在这...

双网卡为你推荐
模式ios8支持ipad重庆宽带测速重庆哪一种宽带网速最快phpecho为什么在PHP中使用echo FALSE;什么也输出不了?应该如何输出FALSE?谢谢!canvas2Canvas ~セピア色のモチーフ~ 这个动画片的中文翻译是什么?从哪看?iphonewifi苹果手机突然用不了Wi-Fi了google中国地图强大的谷歌地图,为什么中国不用起来重庆电信宽带管家重庆电信宽带安装收费chromeframe有用过 Google Chrome Frame 的吗kb4012598win7怎么查看电脑是否安装了 ms17 010
动态域名 什么是二级域名 新网域名管理 linode日本 fdcservers edis 美国便宜货网站 河南移动邮件系统 河南m值兑换 网站卫士 域名接入 国外代理服务器地址 什么是服务器托管 爱奇艺vip免费试用7天 服务器合租 支付宝扫码领红包 多线空间 优酷黄金会员账号共享 便宜空间 umax 更多