- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
09-WLAN用户接入认证命令
本章节下载: 09-WLAN用户接入认证命令 (305.73 KB)
目 录
1.1.2 client url-redirect enable
1.1.3 client-security accounting-delay time
1.1.4 client-security accounting-restart trigger ipv4
1.1.5 client-security accounting-start trigger
1.1.6 client-security accounting-update trigger
1.1.7 client-security accounting dual-stack separate enable
1.1.8 client-security authentication critical-vlan
1.1.9 client-security authentication fail-vlan
1.1.10 client-security authentication-location
1.1.11 client-security authentication-mode
1.1.12 client-security authorization-fail offline
1.1.13 client-security authorization trigger byod
1.1.14 client-security ignore-authentication
1.1.15 client-security ignore-authorization
1.1.18 dot1x eap-termination authentication-method
1.1.19 dot1x eap-termination eap-profile
1.1.21 dot1x handshake secure enable
1.1.23 dot1x re-authenticate enable
1.1.26 mac-authentication domain
1.1.27 mac-authentication max-user
1.1.28 wlan authentication optimization
1.1.29 wlan client-security authentication clear-previous-connection
client url-redirect acl命令用来配置客户端URL重定向的授权ACL。
undo client url-redirect acl命令用来恢复缺省情况。
【命令】
client url-redirect acl acl-number
undo client url-redirect acl
【缺省情况】
未配置客户端URL重定向的授权ACL。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
acl-number:重定向授权ACL编号,取值范围为2000~3999。
【使用指导】
配置本命令后,设备既下发重定向授权ACL又可以下发业务ACL。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置重定向授权ACL 3111。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect acl 3111
【相关命令】
· client url-redirect enable
client url-redirect enable命令用来开启客户端URL重定向功能。
undo client url-redirect enable命令用来关闭客户端URL重定向功能。
【命令】
client url-redirect enable
undo client url-redirect enable
【缺省情况】
客户端URL重定向功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
该功能只能在无线服务模板处于关闭状态时配置。
本功能仅适用于客户端采用RADIUS服务器认证方式进行的MAC地址认证。
在用户进行MAC地址认证上线过程中,如果RADIUS服务器上没有记录用户及其MAC地址的对应信息,但仍需要用户进行认证时,可以通过在设备上开启URL重定向功能。开启后,用户可以根据RADIUS服务器下发的重定向URL,跳转到指定的Web认证界面进行Portal用户认证。Portal用户认证通过后,RADIUS服务器将记录用户的MAC地址信息,并通过DM报文强制用户下线,此后该用户即可正常完成MAC地址认证。有关DM报文的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
只要设备上没有用户Cache相关信息,就认为该用户为初次上线用户。
【举例】
# 在无线服务模板service1下开启客户端URL重定向功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect enable
【相关命令】
· client url-redirect acl
client-security accounting-delay time命令用来开启计费延时功能。
undo client-security accounting-delay time命令用来恢复缺省情况。
【命令】
client-security accounting-delay time time [ no-ip-logoff ]
undo client-security accounting-delay time
【缺省情况】
学习到无线客户端的IP地址后,才会向计费服务器发起计费开始请求。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time time:计费延时的时长,取值范围为1~600,单位为秒。
no-ip-logoff:如果设备在指定的延时时间内没有获取到无线客户端IP地址,则让客户端下线。若不指定该参数,则设备在指定计费延时时间到达后,将会发送计费开始请求报文。
【使用指导】
如果在指定的计费延时时间内设备没有学习到指定类型客户端的IP地址,则执行相应的计费延时动作。触发计费开始的无线客户端IP地址类型由client-security accounting-start trigger命令的配置决定,当客户端IP地址类型为none时,计费延时功能不生效。
建议根据设备获取IP地址的时长来配置计费延时的时长,若网络环境较差,设备需要较长的时间获取到IP地址,则可适当增大该值。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置计费延时时间为15秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-delay time 15 no-ip-logoff
【相关命令】
· client-security accounting-start trigger
client-security accounting-restart trigger ipv4命令用来开启IPv4地址变化客户端的重新计费功能。
undo client-security accounting-restart trigger ipv4命令用来恢复缺省情况。
【命令】
client-security accounting-restart trigger ipv4 [ delay interval ]
undo client-security accounting-restart trigger ipv4
【缺省情况】
IPv4地址变化客户端的重新计费功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
delay interval:重新发送计费开始报文的延迟时间,取值范围为0~20,单位为秒,缺省取值为15秒。
【使用指导】
通过client-security accounting-update trigger命令配置触发计费更新的无线客户端IP地址类型为IPv4后,当客户端IPv4地址发生变化时,设备就会立即向计费服务器发送计费更新报文,对客户端进行重新计费;开启本功能后,当客户端IPv4地址发生变化时,首先设备会立即向计费服务器发送计费停止报文,然后经过配置的重新发送计费开始报文的延时时间,再重新向计费服务器发送计费开始报文,对客户端进行重新计费。
client-security accounting-restart trigger ipv4命令的优先级高于client-security accounting-update trigger命令。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下,开启IPv4地址变化客户端的重新计费功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-restart trigger ipv4 delay 10
client-security accounting-start trigger命令用来配置触发计费开始的无线客户端IP地址类型。
undo client-security accounting-start trigger命令用来恢复缺省情况。
【命令】
client-security accounting-start trigger { ipv4 | ipv4-ipv6 | ipv6 | none }
undo client-security accounting-start trigger
【缺省情况】
触发计费开始的无线客户端IP地址类型为IPv4。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6。
ipv6:表示无线客户端IP地址类型为IPv6。
none:表示设备在无线客户端认证成功后就会发送计费开始请求报文。
【使用指导】
无线客户端通过802.1X认证或者MAC地址认证方式上线后,设备会根据触发计费开始的无线客户端IP地址类型决定是否向计费服务器发送计费开始请求报文,当计费服务器返回计费开始响应报文后开始对客户端进行计费。
配置触发计费开始的无线客户端IP地址类型时,需要开启相应类型的客户端地址学习功能,配置才会生效,否则无法触发计费开始。有关客户端地址学习功能的详细介绍请参见“WLAN配置指导”中的“WLAN IP Snooping”。
本命令配置的无线客户端IP地址类型需要满足计费服务器的协议要求。
无线服务模板开启后,再配置本特性,新配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置触发计费开始的无线客户端IP地址类型为IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-start trigger ipv4
【相关命令】
· client ipv4-snooping arp-learning enable(WLAN命令参考/WLAN IP Snooping)
· client ipv4-snooping dhcp-learning enable(WLAN命令参考/WLAN IP Snooping)
· client ipv6-snooping dhcpv6-learning enable(WLAN命令参考/WLAN IP Snooping)
· client ipv6-snooping nd-learning enable(WLAN命令参考/WLAN IP Snooping)
· client-security accounting-delay
· client-security accounting-update trigger
client-security accounting-update trigger命令用来配置触发计费更新的无线客户端IP地址类型。
undo client-security accounting-update trigger命令用来恢复缺省情况。
【命令】
client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 }
undo client-security accounting-update trigger
【缺省情况】
根据计费服务器下发或设备配置的实时计费的时间间隔周期性发送计费更新请求报文。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4,设备仅在学习到客户端IPv4地址变化时才会发送计费更新请求报文。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6,设备只要学习到客户端IP地址变化就会发送计费更新请求报文。
ipv6:表示无线客户端IP地址类型为IPv6,设备仅在学习到客户端IPv6地址变化时才会发送计费更新请求报文。
【使用指导】
仅当触发计费开始的无线客户端IP地址类型配置生效时,触发计费更新的无线客户端IP地址类型的配置才会生效。
当完成该配置后,该配置和周期性发送计费更新报文功能同时生效。
假设配置的触发计费更新的无线客户端IP地址类型为IPv4,周期性发送计费更新报文功能配置的实时计费间隔为12分钟(timer realtime-accounting命令配置),则设备会每隔12分钟发起一次计费更新请求,且当在线客户端IPv4地址发生变化时,设备也会立即发送计费更新请求报文。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板下,配置触发计费更新的客户端IP地址类型为IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-update trigger ipv4
【相关命令】
· client-security accounting-start trigger
· timer realtime-accounting(用户接入与认证命令参考/AAA)
client-security accounting dual-stack separate enable命令用来开启802.1X无线客户端双协议栈流量计费分离功能。
undo client-security accounting dual-stack separate enable命令用来关闭802.1X无线客户端双协议栈流量计费分离功能。
【命令】
client-security accounting dual-stack separate enable
undo client-security accounting dual-stack separate enable
【缺省情况】
802.1X无线客户端双协议栈流量计费分离功能处于关闭状态,即设备会将IPv4网络和IPv6网络的总流量发送给AAA服务器进行计费。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
开启802.1X无线客户端双协议栈流量计费分离功能后,设备会分别统计用户访问IPv4网络和IPv6网络的流量并发给AAA计费服务器。
本命令只能在无线服务模板处于关闭状态时配置。
client-security authentication critical-vlan命令用来配置服务模板下的Critical VLAN。
undo client-security authentication critical-vlan命令用来恢复缺省情况。
【命令】
client-security authentication critical-vlan vlan-id
undo client-security authentication critical-vlan
【缺省情况】
未配置Critical VLAN。
【视图】
【缺省用户角色】
【参数】
vlan-id:Critical VLAN 的VLAN ID,取值范围为1~4094。
【使用指导】
Critical VLAN功能允许用户在认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源,这个VLAN称之为Critical VLAN。配置Critical VLAN后,当用户认证时,若所有认证服务器都不可达,则用户将被加入该VLAN,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证:
· 如果重认证通过,设备会根据授权服务器是否下发VLAN来重新指定该用户所在VLAN。即如果授权服务器下发了VLAN,则该用户将被加入该下发的VLAN,否则该用户将被加入其原来所属的VLAN。
· 如果重认证未通过,当认证服务不可达时,用户仍然仅可访问Critical VLAN中的资源,当认证服务器可达但因某种原因明确拒绝用户认证通过,且配置了Fail VLAN时,用户可以访问Fail VLAN中的资源。
需要注意的是,如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达,则用户会直接下线,不会加入Critical VLAN。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置Critical VLAN为VLAN 10。
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication critical-vlan 10
client-security authentication fail-vlan命令用来配置服务模板下的认证失败VLAN。
undo client-security authentication fail-vlan命令用来恢复缺省情况。
【命令】
client-security authentication fail-vlan vlan-id
undo client-security authentication fail-vlan
【缺省情况】
未配置认证失败VLAN。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
vlan-id:认证失败VLAN的VLAN ID,取值范围为1~4094。
【使用指导】
这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
配置认证失败的VLAN必须是已经存在的VLAN。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板1下配置认证失败VLAN为VLAN 10。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client-security authentication fail-vlan 10
client-security authentication-location命令用来配置WLAN用户接入认证位置。
undo client-security authentication-location命令用来恢复缺省情况。
【命令】
client-security authentication-location { ac | ap }
undo client-security authentication-location
【缺省情况】
WLAN用户接入认证位置在AC上。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ac:表示WLAN用户接入认证位置在AC上。
ap:配置WLAN用户接入认证位置在AP上。
【使用指导】
当客户端数据报文转发位置为AC时,配置的用户接入认证位置不能为AP,否则会导致用户认证失败。有关客户端数据报文转发位置命令的详细介绍,请参见“WLAN命令参考”中的“WLAN接入”。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 配置客户端的用户认证位置在AC上。
<Sysname> system-view
[Sysname] wlan service-template s1
[Sysname-wlan-st-s1] client-security authentication-location ac
【相关命令】
· client forwarding-location(WLAN命令参考-WLAN接入)
client-security authentication-mode命令用来配置无线用户接入认证模式。
undo client-security authentication-mode命令用来恢复缺省情况。
【命令】
client-security authentication-mode { dot1x | mac | mac-and-dot1x }
undo client-security authentication-mode
【缺省情况】
不对用户进行接入认证即Bypass认证。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
dot1x:表示只进行802.1X认证。
mac:表示只进行MAC地址认证。
mac-and-dot1x:表示既进行MAC地址认证,又进行802.1X认证。先进行MAC地址认证,如果失败,则不再进行认证。如果认证成功,则再进行802.1X认证。
【使用指导】
以上各模式下,每个无线服务模板上均允许接入多个认证通过的用户。802.1X用户的数目由dot1x max-user命令配置,MAC地址认证用户的数目由mac-authentication max-user命令配置。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置无线用户接入认证模式为MAC地址认证模式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication-mode mac
client-security authorization-fail offline命令用来开启授权失败后的用户下线功能。
undo client-security authorization-fail offline命令用来关闭授权失败后的用户下线功能。
【命令】
client-security authorization-fail offline
undo client-security authorization-fail offline
【缺省情况】
授权失败后的用户下线功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
如果开启了授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;
如果没有开启授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效,设备打印Log信息。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启授权失败用户下线功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization-fail offline
client-security authorization trigger byod命令用来开启BYOD触发授权功能。
undo client-security authorization trigger byod命令用来关闭BYOD触发授权功能。
【命令】
client-security authorization trigger byod
undo client-security authorization trigger byod
【缺省情况】
BYOD触发授权功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当网络状况较好时,建议开启BYOD触发授权功能,用户认证完成后,接入设备会在获取到客户端BYOD信息后触发授权。有关BYOD相关信息,请参见“用户接入与认证配置指导”的“AAA”。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启BYOD触发授权功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization trigger byod
client-security ignore-authentication命令用来配置忽略802.1X或MAC地址认证结果。
undo client-security ignore-authentication命令用来恢复缺省情况。
【命令】
client-security ignore-authentication
undo client-security ignore-authentication
【缺省情况】
对于802.1X认证方式的无线用户,应用802.1X认证结果;对于通过RADIUS服务器进行远程MAC地址认证的无线用户,应用MAC地址认证结果。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本功能仅适用于采用不加密的802.1X认证方式的无线用户以及通过RADIUS服务器进行远程MAC地址认证+Portal认证的无线用户。
若某无线服务模板下有漫游的RSN+802.1X认证方式的无线用户上线,请勿配置本功能,否则会导致漫游失败。
本功能适用于以下两种用户:
· 对于不配置任何加密功能(akm mode、security-ie、cipher-suite和wep mode dynamic)的802.1X认证的无线用户,开启本功能后,当802.1X认证失败时,设备会忽略这一认证结果,允许用户访问网络资源。若配置了加密功能,则无法忽略802.1X认证结果。
· 对于通过RADIUS服务器进行远程MAC地址认证+Portal认证的无线用户,需要依次通过MAC地址认证和Portal认证才能访问网络资源,且每次都需要输入Portal用户名和密码。配置本功能后,可以简化上述认证过程。简化后的认证过程如下:
¡ 若RADIUS服务器上已经记录了用户和客户端MAC地址的对应信息,判断用户通过MAC地址认证,且不需要进行Portal认证即可访问网络资源。
¡ 若RADIUS服务器上未记录用户和客户端MAC地址的对应信息,判断MAC地址认证失败。此时,设备忽略这一认证结果,直接进行Portal认证。Portal认证通过后即可访问网络资源,同时RADIUS服务器将记录该用户和客户端MAC地址的对应信息。
本功能只能在无线服务模板处于关闭的状态下进行配置。
【举例】
# 在无线服务模板service1下配置忽略802.1X或MAC地址认证的结果。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authentication
client-security ignore-authorization命令用来配置忽略RADIUS服务器或设备本地下发的授权信息。
undo client-security ignore-authorization命令用来恢复缺省情况。
【命令】
client-security ignore-authorization
undo client-security ignore-authorization
【缺省情况】
应用RADIUS服务器或设备本地下发的授权信息。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。若不希望接受这类动态下发的授权属性,则可通过配置本命令来忽略。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置忽略RADIUS服务器或设备本地下发的授权信息。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authorization
dot1x domain命令用来指定无线服务模板下802.1X用户的认证域。
undo dot1x domain命令用来恢复缺省情况。
【命令】
dot1x domain domain-name
undo dot1x domain
【缺省情况】
未指定无线服务模板下的802.1X用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择认证域:无线服务模板下指定的认证域-->用户名中指定的认证域-->系统缺省的认证域。
【举例】
# 配置无线服务模板service1下802.1X用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x domain my-domain
dot1x eap命令用来配置802.1X认证的EAP协议模式。
undo dot1x eap命令用来恢复缺省情况。
【命令】
dot1x eap { extended | standard }
undo dot1x eap
【缺省情况】
EAP协议模式为standard。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
extended:表示EAP协议模式为扩展的EAP协议,即要求客户端和设备按照私有EAP协议的规范和报文格式进行交互。
standard:表示EAP协议模式为标准的EAP协议,即要求客户端和设备按照标准EAP协议的规范和报文格式进行交互。
【使用指导】
只能在无线服务模板关闭的状态下开启该功能。
【举例】
# 在无线服务模板1下配置802.1X认证的EAP协议为扩展模式。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] dot1x eap extended
dot1x eap-termination authentication-method命令用来配置802.1X认证采用EAP终结方式时与认证服务器之间进行交互认证的方法。
undo dot1x eap-termination authentication-method命令用来恢复缺省情况。
【命令】
dot1x eap-termination authentication-method { chap | pap }
undo dot1x eap-termination authentication-method
【缺省情况】
采用CHAP方法进行认证。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
chap:与认证服务器之间采用CHAP方法进行认证。
pap:与认证服务器之间采用PAP方法进行认证。
【使用指导】
当客户端采用EAP中继方式通过认证服务器认证失败时,可以配置本命令,设备采用EAP终结方式以指定的认证方法与认证服务器进行交互,从而使客户端通过认证。
目前本命令仅支持采用PEAP-GTC认证方式的认证请求报文进行处理。
【举例】
# 配置802.1X认证采用EAP终结方式时与认证服务器之间采用PAP方法进行认证。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x eap-termination authentication-method pap
dot1x eap-termination eap-profile命令用来配置802.1X认证采用EAP终结方式时引用的EAP认证方案。
undo dot1x eap-termination eap-profile命令用来恢复缺省情况。
【命令】
dot1x eap-termination eap-profile eap-profile-name
undo dot1x eap-termination eap-profile
【缺省情况】
未配置802.1X认证采用EAP终结方式时引用的EAP认证方案。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
eap-profile-name:EAP认证方案名称,为1~32个字符的字符串,不区分大小写。引用的EAP认证方案名称必须已经存在。
【使用指导】
当客户端使用了RADIUS服务器不支持的认证方法,并采用EAP中继方式进行认证,造成认证失败时,可以配置本命令,设备采用EAP终结方式将客户端认证请求报文封装在标准RADIUS报文中发送给认证服务器,从而使客户端通过认证。
目前本命令仅支持采用PEAP-GTC认证方式的认证请求报文进行处理。
【举例】
# 配置802.1X认证采用EAP终结方式时引用的EAP认证方案为gtcprofile。
<Sysname> system-view
[Sysname] wlan service-template srvtmp1
[Sysname-wlan-st-srvtmp1] dot1x eap-termination eap-profile gtcprofile
【相关命令】
· eap-profile(用户接入与认证命令参考/AAA)
· method(用户接入与认证命令参考/AAA)
· ssl-server-policy
dot1x handshake enable命令用来开启802.1X在线用户握手功能。
undo dot1x handshake enable命令用来关闭802.1X在线用户握手功能。
【命令】
dot1x handshake enable
undo dot1x handshake enable
【缺省情况】
802.1X在线用户握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数(最大重发次数通过命令dot1x retry设置),而还没有收到用户响应,则强制该用户下线。
由于802.1X握手成功,设备不会再对用户进行回复,导致某些客户端在一段时间后会进行重认证或者下线。请根据实际情况配置本功能。
本命令只能在无线服务模板处于关闭状态时配置。
开启本功能后,某些无线客户端可能会出现下线情况,如出现客户端下线,建议关闭本功能。
【举例】
# 开启无线服务模板service1下的802.1X在线用户握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
【相关命令】
· dot1x handshake secure enable
· dot1x retry
· dot1x timer
dot1x handshake secure enable命令用来开启802.1X在线用户安全握手功能。
undo dot1x handshake secure enable命令用来关闭802.1X在线用户安全握手功能。
【命令】
dot1x handshake secure enable
undo dot1x handshake secure enable
【缺省情况】
802.1X在线用户的安全握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
802.1X安全握手功能只有在开启了802.1X握手功能的前提下才生效。
该命令只对进行802.1X接入认证且成功上线的用户有效。
【举例】
# 开启无线服务模板service1下的802.1X在线用户安全握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
[Sysname-wlan-st-service1] dot1x handshake secure enable
【相关命令】
· dot1x handshake enable
dot1x max-user命令用来配置单个射频下单个无线服务模板上的802.1X最大用户数。
undo dot1x max-user命令用来恢复缺省情况。
【命令】
dot1x max-user count
undo dot1x max-user
【缺省情况】
单个射频下单个无线服务模板上允许同时接入的802.1X用户数为512个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:单个射频下单个无线服务模板上最多允许同时接入的802.1X用户数,取值范围为1~512。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当单个射频下单个无线服务模板上同时接入的802.1X用户数超过最大值后,新的用户将被拒绝。
【举例】
# 配置单个射频下单个无线服务模板service1上的802.1X最大用户数为500。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x max-user 500
dot1x re-authenticate enable命令用来开启802.1X周期性重认证功能。
undo dot1x re-authenticate enable命令用来关闭802.1X周期性重认证功能。
【命令】
dot1x re-authenticate enable
undo dot1x re-authenticate enable
【缺省情况】
802.1X周期性重认证功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
无线服务模板启动了802.1X的周期性重认证功能后,设备会根据系统视图下配置的周期性重认证定时器(dot1x timer reauth-period)时间间隔对在线802.1X用户启动认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL,VLAN,User Profile)。
用户进行802.1X认证成功后,如果服务器下发了Termination action和Session timeout属性(display dot1x connection),且Termination action取值为Radius-Request,Session timeout取值不为0,设备将以Session timeout为周期对用户进行重认证,以检测用户在线状态,并更新授权信息。
本命令只能在无线服务模板处于关闭状态时配置。
在认证服务器没有下发Terminal action和Session timeout属性或下发的Terminal action取值不为Request的情况下,如果使能802.1X重认证功能,设备也会定期向已经在线的802.1X用户发起重认证,此时重认证周期由802.1X重认证定时器配置。
开启本功能后,某些无线客户端可能会出现下线情况,如出现客户端下线,建议关闭本功能。
【举例】
# 开启无线服务模板service1下的802.1X重认证功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x re-authenticate enable
【相关命令】
· dot1x timer
fail-permit enable命令用来开启用户逃生功能。
undo fail-permit enable命令用来关闭用户逃生功能。
【命令】
fail-permit enable [ keep-online | url-user-logoff ] [ always-service ]
undo fail-permit enable
【缺省情况】
用户逃生功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
keep-online:逃生时在线用户依然保持在线。若不指定本参数,则表示逃生时在线用户会被强制踢下线。
url-user-logoff:若上线的MAC认证用户被授权了重定向URL后发生了逃生,则强制用户下线,否则依然保持在线。本参数仅对MAC地址认证生效。
always-service:发生逃生时,无论是否配置了逃生服务模板,当前无线服务模板都可以继续提供无线服务。如果未配置本参数,且未配置逃生服务模板,当前使用MAC地址或者Bypass认证的无线服务模板会继续提供服务;如果未配置本参数,但配置了逃生服务模板,发生逃生时,当前无线服务模板不会继续提供服务。本参数仅对MAC地址认证和Bypass认证生效。
【使用指导】
开启用户逃生功能后,该无线服务模板下的用户采用802.1X认证、MAC地址认证或Bypass认证接入网络且AC与RADIUS服务器断开连接或AC与AP断开连接时,可以通过逃生功能继续访问网络。
对于采用不同认证方式的在线用户,逃生功能对其产生的影响有所不同:
· 用户采用Bypass认证接入网络:
¡ 如果配置了fail-permit template和fail-permit enable(无参数always-service),发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络。
¡ 如果没有配置fail-permit template或者配置了fail-permit enable always-service,用户可以在当前开启用户逃生功能的无线服务模板下发生逃生,继续访问网络且无感知。
· 用户采用MAC地址认证接入网络:
¡ 如果配置了fail-permit template和fail-permit enable(无参数always-service),发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络。
¡ 如果没有配置fail-permit template或者配置了fail-permit enable always-service,用户可以在当前开启用户逃生功能的无线服务模板下发生逃生,但会短暂被踢下线,需等待网络重新自动连接后可继续访问网络。
· 用户采用802.1X认证接入网络:需要提前配置好逃生服务模板,发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络。
用户要逃生成功必须通过radius-server test-profile命令配置RADIUS服务器探测模板,当探测到RADIUS服务器不可达时,用户进行逃生。同时,建议根据实际情况配置发送探测报文的周期,周期越短,响应越快。关于RADIUS服务器探测模板的详细介绍,请参见“用户接入认证配置指导”中的“AAA”。
在一些网络环境中,RADIUS服务器会对上线的MAC认证用户下发授权重定向URL,然后MAC认证用户会根据下发的重定向URL跳转到指定的Web认证界面继续进行用户认证,例如AD Campus(Application Driven Campus,应用驱动园区网)组网方案。若上线的MAC认证用户被授权了重定向URL后发生了逃生,可能会由于RADIUS服务器不可达导致用户停留在认证状态,所以需要配置参数url-user-logoff强制用户下线,然后再重新连接逃生服务网络后才可继续访问网络。
同一个Radio下仅支持绑定一个逃生服务模板,当发生逃生时,多个开启用户逃生功能的无线服务模板下的用户会全部逃生到一个逃生服务模板上线,导致无线网络使用体验变差。为了避免全部用户都通过一个逃生服务模板上线,可以在认证方式为MAC地址认证或者Bypass认证的服务模板下配置参数always-service,确保发生逃生时,无论是否配置了逃生服务模板,当前开启用户逃生功能的无线服务模板都可以继续提供无线服务。
本命令只能在无线服务模板处于关闭状态时配置。
本命令不能在同一无线服务模板下与fail-permit template命令同时配置。
若未指定任何参数,则表示逃生时在线用户会被强制踢下线。
【举例】
# 在无线服务模板视图开启用户逃生功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] fail-permit enable
【相关命令】
· client url-redirect enable
· fail-permit template
fail-permit template命令用来配置当前无线服务模板为逃生服务模板。
undo fail-permit template用来取消配置当前无线服务模板为逃生服务模板。
【命令】
fail-permit template
undo fail-permit template
【缺省情况】
未配置当前无线服务模板为逃生服务模板。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当无线用户通过fail-permit enable命令在当前无线服务模板开启了用户逃生功能后,可以通过配置本命令,将其它无线服务模板配置为逃生服务模板。当AC与RADIUS服务器断开连接或AC与AP断开连接时,用户服务会被切换到逃生服务模板上并被踢下线,需手动重新连接到逃生服务模板配置的SSID后才可继续访问网络。
当无线5G用户接入网络,可以通过配置本命令将除当前Radio上绑定的无线服务模板外的其它无线服务模板配置为逃生服务模板,并绑定到同一AP的其它Radio上。当前Radio雷达静默时,用户服务切换到其他Radio上的逃生服务模板,从而使用户继续访问网络。
本命令只能在无线服务模板处于关闭状态时配置。
本命令不能在同一无线服务模板下与fail-permit enable命令同时配置。
建议系统中仅配置一个逃生服务模板。当配置了多个逃生服务模板时,需要通过display wlan bss all命令查看显示信息,第一个显示的逃生服务模板生效。
建议配置逃生服务模板时将akm mode配置为psk模式或不配置akm mode,否则可能导致逃生失败。
建议配置了本命令的无线服务模板的转发位置在AP上,否则可能会导致用户逃生失败。
如果开启了用户逃生功能的无线服务模板的认证位置在AP上,则配置了本命令的无线服务模板的认证位置也要在AP上。
配置5G用户逃生服务模板时,逃生服务模板与当前Radio绑定的无线服务模板配置必须保持一致。
【举例】
# 配置当前无线服务模板为逃生服务模板。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] fail-permit template
【相关命令】
· fail-permit enable
· akm mode
mac-authentication domain命令用来指定无线服务模板下MAC地址认证用户的ISP域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定无线服务模板下的MAC地址认证用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。
【举例】
# 配置无线服务模板service1下MAC地址认证用户使用的ISP域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication domain my-domain
mac-authentication max-user命令用来配置单个射频下单个无线服务模板上的MAC地址认证最大用户数。
undo mac-authentication max-user命令用来恢复缺省情况。
【命令】
mac-authentication max-user count
undo mac-authentication max-user
【缺省情况】
单个射频下单个无线服务模板上允许接入的MAC地址认证最大用户数为4096个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:单个射频下单个无线服务模板上最多允许同时接入的MAC地址认证用户数,取值范围为1~4096。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当单个射频下单个无线服务模板上同时接入的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置单个射频下单个无线服务模板上的MAC地址认证最大用户数为32个。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication max-user 32
wlan authentication optimization命令用来配置802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值。
undo wlan authentication optimization命令用来恢复缺省情况。
【命令】
wlan authentication optimization value
undo wlan authentication optimization
【缺省情况】
802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值为0,即不对802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率进行优化,采用实际值。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
value:优化802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的参数值,取值范围为900~1000。该数值配置越小,802.1X认证、MAC地址认证及二层Portal认证的认证成功率越小,在线用户异常下线率越大。
【使用指导】
认证成功率是指802.1X认证、MAC地址认证及二层Portal认证时认证成功的总次数占认证总次数的百分比。在线用户异常下线率是指在线用户异常断开连接的总次数占在线用户认证成功的总次数与当前在线用户总数之和的百分比。
设备会重新对802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率进行优化计算。
只有802.1X认证、MAC地址认证及二层Portal认证采用RADIUS服务器进行远程认证时,本命令配置的优化参数才会生效。
【举例】
# 配置802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值为950。
<Sysname> system-view
[Sysname] wlan authentication optimization 950
wlan client-security authentication clear-previous-connection命令用来开启已认证无线客户端再次上线认证清除旧连接功能。
undo wlan client-security authentication clear-previous-connection命令用来关闭已认证无线客户端再次上线认证清除旧连接功能。
【命令】
wlan client-security authentication clear-previous-connection
undo wlan client-security authentication clear-previous-connection
【缺省情况】
已认证无线客户端再次上线认证清除旧连接功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当无线客户端进行802.1X或者MAC地址认证时,设备会检查自身是否存在该无线客户端的表项:
· 当不存在该无线客户端表项时,客户端进行认证上线。
· 当存在该无线客户端表项时,设备会删除该无线客户端的表项并向RADIUS服务器发送认证请求报文。有一些RADIUS服务器收到认证请求报文后,若发现本地已经存在该无线客户端的表项,会向设备回复认证失败的报文,导致客户端无法通过认证上线。
为了解决此类RADIUS服务器上因表项冲突而导致用户无法上线的问题,建议开启本功能。开启本功能后,设备存在表项的同时会向RADIUS服务器发送计费停止报文。当RADIUS服务器收到该报文后,会删除本地存在的无线客户端表项,客户端可以进行认证上线。
需要注意的是,开启本功能后,802.1X重认证功能、Fail VLAN功能和Critical VLAN功能将不能生效。
【举例】
# 开启已认证无线客户端再次上线认证清除旧连接功能。
<Sysname> system-view
[Sysname] wlan client-security authentication clear-previous-connection
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
