选择区域语言: EN CN HK

02-WLAN命令

05-WLAN用户接入认证命令

本章节下载  (189.72 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WiNet_WX/WX2500H-WiNet/Command/Command_Manual/H3C_WiNet_CR(R5223)-5W100/02/201807/1094282_30005_0.htm

05-WLAN用户接入认证命令


1 WLAN用户接入认证

1.1  WLAN用户接入认证配置命令

1.1.1  client-security accounting-delay time

client-security accounting-delay time命令用来开启计费延时功能。

undo client-security accounting-delay time命令用来恢复缺省情况。

【命令】

client-security accounting-delay time time [ no-ip-logoff ]

undo client-security accounting-delay time

【缺省情况】

学习到无线客户端的IP地址后,才会向计费服务器发起计费开始请求。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time time:计费延时的时长,取值范围为1~600,单位为秒。

no-ip-logoff:如果设备在指定的延时时间内没有获取到无线客户端IP地址,则让客户端下线。若不指定该参数,则设备在指定计费延时时间到达后,将会发送计费开始请求报文。

【使用指导】

如果在指定的计费延时时间内设备没有学习到指定类型客户端的IP地址,则执行相应的计费延时动作。触发计费开始的无线客户端IP地址类型由client-security accounting-start trigger命令的配置决定,当客户端IP地址类型为none时,计费延时功能不生效。

建议根据设备获取IP地址的时长来配置计费延时的时长,若网络环境较差,设备需要较长的时间获取到IP地址,则可适当增大该值。

无线服务模板开启后,再配置本命令,则配置只对新上线的客户端生效,对已经上线的客户端无效。

【举例】

# 在无线服务模板service1下,配置计费延时时间为15秒。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security accounting-delay time 15 no-ip-logoff

【相关命令】

·     client-security accounting-start trigger

1.1.2  client-security accounting-start trigger

client-security accounting-start trigger命令用来配置触发计费开始的无线客户端IP地址类型。

undo client-security accounting-start trigger命令用来恢复缺省情况。

【命令】

client-security accounting-start trigger { ipv4 | ipv4-ipv6 | ipv6 | none }

undo client-security accounting-start trigger

【缺省情况】

触发计费开始的无线客户端IP地址类型为IPv4。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ipv4:表示无线客户端IP地址类型为IPv4。

ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6。

ipv6:表示无线客户端IP地址类型为IPv6。

none:表示设备在无线客户端认证成功后就会发送计费开始请求报文。

【使用指导】

无线客户端通过802.1X认证或者MAC地址认证方式上线后,设备会根据触发计费开始的无线客户端IP地址类型决定是否向计费服务器发送计费开始请求报文,当计费服务器返回计费开始响应报文后开始对客户端进行计费。

配置触发计费开始的无线客户端IP地址类型时,需要开启相应类型的客户端地址学习功能,配置才会生效,否则无法触发计费开始。有关客户端地址学习功能的详细介绍请参见“WLAN配置指导”中的“WLAN IP Snooping”。

本命令配置的无线客户端IP地址类型需要满足计费服务器的协议要求。

无线服务模板开启后,再配置本命令,则配置只对新上线的客户端生效,对已经上线的客户端无效。

【举例】

# 在无线服务模板service1下,配置触发计费开始的无线客户端IP地址类型为IPv6。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security accounting-start trigger ipv6

【相关命令】

·     client ipv4-snooping arp-learning enable(WLAN命令参考/WLAN IP Snooping)

·     client ipv4-snooping dhcp-learning enable(WLAN命令参考/WLAN IP Snooping)

·     client ipv6-snooping dhcpv6-learning enable(WLAN命令参考/WLAN IP Snooping)

·     client ipv6-snooping nd-learning enable(WLAN命令参考/WLAN IP Snooping)

·     client ipv6-snooping snmp-nd-report enable(WLAN命令参考/WLAN IP Snooping)

·     client-security accounting-delay

·     client-security accounting-update trigger

1.1.3  client-security accounting-update trigger

client-security accounting-update trigger命令用来配置触发计费更新的无线客户端IP地址类型。

undo client-security accounting-update trigger命令用来恢复缺省情况。

【命令】

client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 }

undo client-security accounting-update trigger

【缺省情况】

根据计费服务器下发或设备配置的实时计费的时间间隔周期性发送计费更新请求报文。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ipv4:表示无线客户端IP地址类型为IPv4,设备仅在学习到客户端IPv4地址变化时才会发送计费更新请求报文。

ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6,设备只要学习到客户端IP地址变化就会发送计费更新请求报文。

ipv6:表示无线客户端IP地址类型为IPv6,设备仅在学习到客户端IPv6地址变化时才会发送计费更新请求报文。

【使用指导】

仅当触发计费开始的无线客户端IP地址类型配置生效时,触发计费更新的无线客户端IP地址类型的配置才会生效。

当完成该配置后,该配置和周期性发送计费更新报文功能同时生效。

假设配置的触发计费更新的无线客户端IP地址类型为IPv6,周期性发送计费更新报文功能配置的实时计费间隔为12分钟(timer realtime-accounting命令配置),则设备会每隔12分钟发起一次计费更新请求,且当在线客户端IPv6地址发生变化时,设备也会立即发送计费更新请求报文。

无线服务模板开启后,再配置本命令,则配置只对新上线的客户端生效,对已经上线的客户端无效。

【举例】

# 在无线服务模板下,配置触发计费更新的客户端IP地址类型为IPv6。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security accounting-update trigger ipv6

【相关命令】

·     client-security accounting-start trigger

·     timer realtime-accounting(安全命令参考/AAA)

1.1.4  client-security authentication fail-vlan

client-security authentication fail-vlan命令用来配置服务模板下的认证失败VLAN。

undo client-security authentication fail-vlan命令用来恢复缺省情况。

【命令】

client-security authentication fail-vlan vlan-id

undo client-security authentication fail-vlan

【缺省情况】

未配置认证失败VLAN

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

vlan-id:认证失败VLAN的VLAN ID,取值范围为1~4094。

【使用指导】

这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。

配置认证失败的VLAN必须是已经存在的VLAN。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板1下配置认证失败VLAN为VLAN 10。

<Sysname> sysname-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] client-security authentication fail-vlan 10

1.1.5  client-security authentication-location

client-security authentication-location命令用来配置WLAN用户接入认证位置。

undo client-security authentication-location命令用来恢复缺省情况。

【命令】

client-security authentication-location { ac | ap }

undo client-security authentication-location

【缺省情况】

WLAN用户接入认证位置在AC上。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

ac:表示WLAN用户接入认证位置在AC上。

ap:配置WLAN用户接入认证位置在AP上。

【使用指导】

当客户端数据报文转发位置为AC时,配置的用户接入认证位置不能为AP,否则会导致用户认证失败。有关客户端数据报文转发位置命令的详细介绍,请参见“WLAN命令参考”中的“WLAN接入”。

该命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 配置客户端的用户认证位置在AC上。

<Sysname> system-view

[Sysname] wlan service-template s1

[Sysname-wlan-st-s1] client-security authentication-location ac

【相关命令】

·     client forwarding-location(WLAN命令参考-WLAN接入)

1.1.6  client-security authentication-mode

client-security authentication-mode命令用来配置无线用户接入认证模式。

undo client-security authentication-mode命令用来恢复缺省情况。

【命令】

client-security authentication-mode { dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x }

undo client-security authentication-mode

【缺省情况】

不对用户进行接入认证即Bypass认证。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

dot1x:表示只进行802.1X认证。

dot1x-then-mac:表示先进行802.1X认证,如果失败,再进行MAC地址认证。如果认证成功,则不进行MAC地址认证。

mac:表示只进行MAC地址认证。

mac-then-dot1x:表示先进行MAC地址认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。

oui-then-dot1x:表示先进行OUI认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。

【使用指导】

以上各模式下,每个无线服务模板上均允许接入多个认证通过的用户。802.1X用户的数目由dot1x max-user命令配置,MAC地址认证用户的数目由mac-authentication max-user命令配置。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板service1下配置无线用户接入认证模式为MAC地址认证模式。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security authentication-mode mac

1.1.7  client-security authorization-fail offline

client-security authorization-fail offline命令用来开启授权失败后的用户下线功能。

undo client-security authorization-fail offline命令用来关闭授权失败后的用户下线功能。

【命令】

client-security authorization-fail offline

undo client-security authorization-fail offline

【缺省情况】

授权失败后的用户下线功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

如果开启了授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;

如果没有开启授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效,设备打印Log信息。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板service1下开启授权失败用户下线功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security authorization-fail offline

1.1.8  client-security ignore-authentication

client-security ignore-authentication命令用来配置忽略802.1X或MAC地址认证结果

undo client-security ignore-authentication命令用来恢复缺省情况。

【命令】

client-security ignore-authentication

undo client-security ignore-authentication

【缺省情况】

对于802.1X认证方式的无线用户,应用802.1X认证结果;对于RADIUS服务器认证方式进行的MAC地址认证的无线用户,应用MAC地址认证结果。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

本功能仅适用于采用802.1X认证方式的无线用户或者采用RADIUS服务器认证方式进行的MAC地址认证+Portal认证的无线用户。

对于进行802.1X认证的无线用户,开启忽略802.1X或MAC地址认证结果功能后,当802.1X认证失败时,设备会忽略这一认证结果,用户可以访问网络资源。

对于同时进行MAC地址认证和Portal认证的无线用户,则用户须依次通过MAC地址认证和Portal认证才能访问网络资源,且用户每次都需要输入Portal认证的用户名和密码才能完成认证。配置忽略802.1X或MAC地址认证结果,可以简化上述认证操作,具体认证过程如下:

·     若RADIUS服务器上已经记录了用户和其MAC地址的对应信息,则用户通过MAC地址认证,且不再需要进行Portal认证即可访问网络资源。

·     若RADIUS服务器上未记录用户和其MAC地址的对应信息,则MAC地址认证失败。此时,设备忽略这一认证结果,直接进行Portal认证。Portal认证通过后即可访问网络资源,同时RADIUS服务器将记录该用户和其MAC地址的对应信息。此后,该用户仅需要完成MAC地址认证即可访问网络资源,而不再需要进行Portal认证。

本功能只能在无线服务模板处于关闭的状态下进行配置。

【举例】

# 在无线服务模板service1下配置忽略802.1X或MAC地址认证的结果。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security ignore-authentication

1.1.9  client-security ignore-authorization

client-security ignore-authorization命令用来配置忽略RADIUS服务器或设备本地下发的授权信息。

undo client-security ignore-authorization命令用来恢复缺省情况。

【命令】

client-security ignore-authorization

undo client-security ignore-authorization

【缺省情况】

应用RADIUS服务器或设备本地下发的授权信息。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。若不希望接受这类动态下发的授权属性,则可通过配置本命令来忽略。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板service1下配置忽略RADIUS服务器或设备本地下发的授权信息。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security ignore-authorization

1.1.10  client-security intrusion-protection action

client-security intrusion-protection action命令用来配置当接收到非法报文时采取的入侵检测模式。

undo client-security intrusion-protection action命令用来恢复缺省情况。

【命令】

client-security intrusion-protection action { service-stop | temporary-block | temporary-service-stop }

undo client-security intrusion-protection action

【缺省情况】

入侵检测模式为temporary-block模式。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

service-stop:直接关闭收到非法报文的BSS提供的所有服务。用户可以手工在Radio口上重新生成该BSS使得用户正常接入。

temporary-block:临时将用户MAC加入阻塞MAC列表中。临时阻止非法用户上线的时间由client-security intrusion-protection timer temporary-block命令配置。

temporary-service-stop:临时将收到非法报文的BSS所提供的所有服务关闭。临时关闭收到非法报文的BSS所提供服务的时间由client-security intrusion-protection timer temporary-service-stop命令配置。

【使用指导】

该命令只能在无线服务模板处于关闭的状态下进行配置。

只有开启入侵检测功能后,入侵检测措施才生效。开启入侵检测功能由client-security intrusion-protection enable命令配置。

【举例】

# 在无线服务模板service1下配置入侵检测措施为service-stop

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security intrusion-protection enable

[Sysname-wlan-st-service1] client-security intrusion-protection action service-stop

【相关命令】

·     client-security intrusion-protection enable

·     client-security intrusion-protection timer temporary-block

·     client-security intrusion-protection timer temporary-service-stop

1.1.11  client-security intrusion-protection enable

client-security intrusion-protection enable命令用来开启入侵检测功能。

undo client-security intrusion-protection enable命令用来关闭入侵检测功能。

【命令】

client-security intrusion-protection enable

undo client-security intrusion-protection enable

【缺省情况】

入侵检测功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

当设备检测到一个认证失败的用户试图通过该无线服务模板绑定的BSS(基本服务集)接入时,如果入侵检测功能处于开启状态,则设备将对其所在的BSS采取相应的安全措施。具体的安全措施由client-security intrusion-protection action命令指定。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板service1下开启入侵保护功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security intrusion-protection enable

【相关命令】

·     client-security intrusion-protection action

1.1.12  client-security intrusion-protection timer temporary-block

client-security intrusion-protection timer temporary-block命令用来配置临时阻塞非法入侵用户的时长。

undo client-security intrusion-protection timer temporary-block命令用来恢复缺省情况。

【命令】

client-security intrusion-protection timer temporary-block time

undo client-security intrusion-protection timer temporary-block

【缺省情况】

临时阻塞非法入侵用户时间为180秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:临时阻塞非法入侵用户时长,取值范围为60~300,单位为秒。

【使用指导】

当入侵检测功能处于使能状态且入侵检测措施为临时阻塞非法用户(temporary-block)时,如果用户认证失败,则在该配置所指定的时间范围内,源MAC地址为此非法MAC地址的用户将无法认证成功,在这段时间之后恢复正常。

当无线服务模板使能后,若修改临时阻塞非法用户的时长,则新的配置在原有定时器超时后生效。

【举例】

# 在无线服务模板service1下配置临时阻塞非法入侵用户时长为120秒。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security intrusion-protection enable

[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-block

[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-block 120

【相关命令】

·     client-security intrusion-protection enable

·     client-security intrusion-protection action

1.1.13  client-security intrusion-protection timer temporary-service-stop

client-security intrusion-protection timer temporary-service-stop命令用来配置临时关闭BSS服务的时长。

undo client-security intrusion-protection timer temporary-service-stop命令用来恢复缺省情况。

【命令】

client-security intrusion-protection timer temporary-service-stop time

undo client-security intrusion-protection timer temporary-service-stop

【缺省情况】

临时关闭BSS服务时长为20秒。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

time:临时关闭BSS服务的时长,取值范围为10~300,单位为秒。

【使用指导】

当入侵检测功能处于使能状态,且入侵检测措施为临时关闭服务(temporary-service-stop)时,如果设备检测到非法报文,则在该配置指定的时间段内关闭用户所在的BSS所提供的所有服务,在此期间用户将无法通过该服务接入网络,这段时间之后恢复正常。

当无线服务模板使能后,若修改临时关闭BSS服务的时长,则新的配置在原有定时器超时后生效。

【举例】

# 在无线服务模板service1下配置临时关闭BSS服务的时长为30秒。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] client-security intrusion-protection enable

[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-service-stop

[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-service-stop 30

【相关命令】

·     client-security intrusion-protection enable

·     client-security intrusion-protection action

1.1.14  display wlan client-security block-mac

display wlan client-security block-mac命令用来显示阻塞MAC地址信息。

【命令】

display wlan client-security block-mac [ ap ap-name [ radio radio-id ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ap ap-name:显示接入指定AP的所有阻塞MAC地址信息,ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,不区分大小写。如果未指定本参数,则显示所有阻塞MAC地址信息。

radio radio-id:显示接入指定Radio的所有阻塞MAC地址信息,radio-id表示Radio编号,取值范围与设备型号有关。如果未指定本参数,则显示AP下所有Radio下的阻塞MAC地址信息。

【使用指导】

阻塞MAC是指入侵检测模式为temporary-block时,被加入到阻塞MAC列表中的用户。

【举例】

# 显示所有阻塞 MAC地址信息。

<Sysname> display wlan client-security block-mac

MAC address         AP ID       RADIO ID     BSSID

0002-0002-0002      1           1            00ab-0de1-0001

000d-88f8-0577      1           1            0ef1-0001-02c1

 

Total entries: 2

表1-1 display wlan client-security block-mac 命令显示信息描述表

字段

描述

MAC address

阻塞MAC地址,格式为“H-H-H”

AP ID

阻塞MAC地址所在AP的编号

RADIO ID

阻塞MAC地址所在的Radio编号

BSSID

基本服务集标识符,格式为H-H-H

Total entries

阻塞MAC地址表项条数

 

【相关命令】

·     client-security instrusion-protection action

·     client-security instrusion-protection timer temporary-block

1.1.15  dot1x domain

dot1x domain命令用来指定无线服务模板下802.1X用户的认证域。

undo dot1x domain命令用来恢复缺省情况。

【命令】

dot1x domain domain-name

undo dot1x domain

【缺省情况】

未指定无线服务模板下的802.1X用户的ISP域。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

本命令只能在无线服务模板处于关闭的状态时配置。

从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择认证域:无线服务模板下指定的认证域-->用户名中指定的认证域-->系统缺省的认证域。

【举例】

# 配置无线服务模板service1下802.1X用户使用认证域为my-domain。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x domain my-domain

1.1.16  dot1x eap

dot1x eap命令用来配置802.1X认证的EAP协议模式。

undo dot1x eap命令用来恢复缺省情况。

【命令】

dot1x eap { extended | standard }

undo dot1x eap

【缺省情况】

EAP协议模式为standard

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

extended:表示EAP协议模式为扩展的EAP协议,即要求客户端和设备按照私有EAP协议的规范和报文格式进行交互。

standard:表示EAP协议模式为标准的EAP协议,即要求客户端和设备按照标准EAP协议的规范和报文格式进行交互。

【使用指导】

只能在无线服务模板关闭的状态下开启该功能。

【举例】

# 在无线服务模板1下配置802.1X认证的EAP协议为扩展模式。

<Sysname> system-view

[Sysname] wlan service-template 1

[Sysname-wlan-st-1] dot1x eap extended

1.1.17  dot1x handshake enable

dot1x handshake enable命令用来开启802.1X在线用户握手功能。

undo dot1x handshake enable命令用来关闭802.1X在线用户握手功能。

【命令】

dot1x handshake enable

undo dot1x handshake enable

【缺省情况】

802.1X在线用户握手功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数(最大重发次数通过命令dot1x retry设置),而还没有收到用户响应,则强制该用户下线。

本命令只能在无线服务模板处于关闭状态时配置。

【举例】

# 在无线服务模板service1下使能802.1X握手功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x handshake enable

【相关命令】

·     dot1x handshake secure enable

·     dot1x retry(安全命令参考-802.1X)

·     dot1x timer handshake-period(安全命令参考-802.1X)

1.1.18  dot1x handshake secure enable

dot1x handshake secure enable命令用来开启802.1X在线用户安全握手功能。

undo dot1x handshake secure enable命令用来关闭802.1X在线用户安全握手功能。

【命令】

dot1x handshake secure enable

undo dot1x handshake secure enable

【缺省情况】

802.1X在线用户的安全握手功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

本命令只能在无线服务模板处于关闭的状态时配置。

802.1X安全握手功能只有在开启了802.1X握手功能的前提下才生效。

该命令只对进行802.1X接入认证且成功上线的用户有效。

【举例】

# 开启无线服务模板service1下的802.1X在线用户安全握手功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x handshake enable

[Sysname-wlan-st-service1] dot1x handshake secure enable

【相关命令】

·     dot1x handshake enable

1.1.19  dot1x max-user

dot1x max-user命令用来配置无线服务模板上的802.1X最大用户数。

undo dot1x max-user命令用来恢复缺省情况。

【命令】

dot1x max-user count

undo dot1x max-user

【缺省情况】

无线服务模板上允许同时接入的802.1X用户数为4096个。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

count:无线服务模板上最多允许同时接入的802.1X用户数,取值范围为1~4096。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

配置本命令后,当接入此无线服务模板的802.1X用户数超过最大值后,新的用户将被拒绝。

【举例】

# 配置无线服务模板service1上的802.1X最大用户数为500。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x max-user 500

1.1.20  dot1x re-authenticate enable

dot1x re-authenticate enable命令用来开启802.1X周期性重认证功能。

undo dot1x re-authenticate enable命令用来关闭802.1X周期性重认证功能。

【命令】

dot1x re-authenticate enable

undo dot1x re-authenticate enable

【缺省情况】

802.1X周期性重认证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

无线服务模板启动了802.1X的周期性重认证功能后,设备会根据系统视图下配置的周期性重认证定时器(dot1x timer reauth-period)时间间隔对在线802.1X用户启动认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL,VLAN,User Profile)。

用户进行802.1X认证成功后,如果服务器下发了Termination action和Session timeout属性(display dot1x connection),且Termination action取值为Radius-Request,Session timeout取值不为0,设备将以Session timeout为周期对用户进行重认证,以检测用户在线状态,并更新授权信息。

本命令只能在无线服务模板处于关闭状态时配置。

在认证服务器没有下发Terminal action和Session timeout属性或下发的Terminal action取值不为Request的情况下,如果使能802.1X重认证功能,设备也会定期向已经在线的802.1X用户发起重认证,此时重认证周期由802.1X重认证定时器配置。

【举例】

# 在无线服务模板service1上开启802.1X重认证功能。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] dot1x re-authenticate enable

【相关命令】

·     dot1x timer(安全命令参考-802.1X)

1.1.21  port-security oui

port-security oui命令用来配置允许通过认证的用户的OUI值。

undo port-security oui命令用来删除指定索引的OUI值。

【命令】

port-security oui index index-value mac-address oui-value

undo port-security oui index index-value

【缺省情况】

不存在允许通过认证的用户OUI值。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

index-value:标识此OUI的索引值,取值范围为1~16。

oui-value:OUI值,输入格式为H-H-H的48位MAC地址。系统会自动取输入的前24位做为OUI值,忽略后24位。

【使用指导】

OUI是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。当需要允许某些特殊设备的(有线接入)报文总是可以通过认证,或仅允许这些设备的(无线接入)报文可以进行认证的情况下,就可以通过本命令来指定这些设备的OUI值,例如,某公司仅允许A厂商的IP电话在本企业网内使用,则可以通过本命令将A厂商设备的OUI值设置为认证的OUI值。

可通过多次执行本命令,配置多个OUI值。

配置的OUI值只在端口安全模式为userLoginWithOUI时生效。在userLoginWithOUI模式下,端口上除了允许一个802.1X认证用户接入之外,还额外允许一个特殊用户接入,该用户报文的源MAC地址的OUI与设备上配置的某个OUI值相符。

【举例】

# 配置一个允许通过认证的用户OUI值为000d2a,索引为4。

<Sysname> system-view

[Sysname] port-security oui index 4 mac-address 000d-2a10-0033

1.1.22  mac-authentication domain

mac-authentication domain命令用来指定无线服务模板下MAC地址认证用户的ISP域。

undo mac-authentication domain命令用来恢复缺省情况。

【命令】

mac-authentication domain domain-name

undo mac-authentication domain

【缺省情况】

未指定无线服务模板下的MAC地址认证用户的ISP域。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。

【使用指导】

本命令只能在无线服务模板处于关闭状态时配置。

从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。

【举例】

# 配置无线服务模板service1下MAC地址认证用户使用的ISP域为my-domain。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] mac-authentication domain my-domain

1.1.23  mac-authentication max-user

mac-authentication max-user命令用来配置无线服务模板上的MAC地址认证最大用户数。

undo mac-authentication max-user命令用来恢复缺省情况。

【命令】

mac-authentication max-user count

undo mac-authentication max-user

【缺省情况】

无线服务模板上允许接入的MAC地址认证最大用户数为4096个。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

count:可接入无线服务模板的MAC地址认证用户个数,取值范围为1~4096。

【使用指导】

该命令只能在无线服务模板处于关闭状态时配置。

配置本命令后,当接入此无线服务模板的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。

【举例】

# 配置最大接入MAC地址认证用户数为32个。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] mac-authentication max-user 32

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!