14-802.1X-HABP-MAC地址认证命令
本章节下载 (222.86 KB)
目 录
1.1.3 dot1x authentication-method
3.1.1 display mac-authentication
3.1.3 mac-authentication domain
3.1.4 mac-authentication timer
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
任意视图
【参数】
sessions:显示802.1x的会话连接信息。
statistics:显示802.1x的相关统计信息。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
display dot1x命令用来显示802.1x在指定端口或所有端口的会话连接信息、相关统计信息或配置信息。
指定参数sessions或者statistics时显示会话连接信息、相关统计信息;不指定参数sessions或者statistics时,将显示配置信息。
【举例】
# 显示802.1x在指定端口GigabitEthernet1/0/1的配置信息。
<Sysname> system-view
[Sysname] display dot1x interface GigabitEthernet 1/0/1
Global 802.1X protocol is disabled
CHAP authentication is enabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
The maximal retransmitting times 2
Total maximum 802.1X user resource number is 1024
Total current used 802.1X resource number is 0
GigabitEthernet1/0/1 is link-up
802.1X protocol is disabled
Handshake is disabled
The port is an authenticator
Authentication Mode is Auto
Port Control Type is Mac-based
Guest VLAN: 0
Max number of on-line users is 256
EAPOL Packet: Tx 0, Rx 0
Sent EAP Request/Identity Packets : 0
EAP Request/Challenge Packets: 0
EAP Success Packets: 0, Fail Packets: 0
Received EAPOL Start Packets : 0
EAPOL LogOff Packets: 0
EAP Response/Identity Packets : 0
EAP Response/Challenge Packets: 0
Error Packets: 0
Controlled User(s) amount to 0
表1-1 display dot1x interface命令显示信息描述表
字段 |
描述 |
Global 802.1X protocol is enabled |
设备的802.1x特性已经开启 |
CHAP authentication is enabled |
使能CHAP认证 |
Transmit Period |
发送间隔定时器的时长 |
Handshake Period |
设备向客户端发送握手报文的时间间隔 |
Quiet Period |
静默定时器的时长 |
Quiet Period Timer is disable |
静默定时器处于关闭状态 |
Supp Timeout |
客户端认证超时定时器的时长 |
Server Timeout |
认证服务器超时定时器的时长 |
The maximal retransmitting times |
设备向接入用户发送认证请求报文的最大次数 |
Total maximum 802.1x user resource number |
最多可接入用户数 |
Total current used 802.1x resource number |
当前在线接入用户数 |
GigabitEthernet1/0/1 is link-up |
端口GigabitEthernet1/0/1的状态为up |
802.1X protocol is disabled |
该端口未使能802.1x协议 |
Handshake is disabled |
握手功能是禁止的 |
The port is a(n) authenticator |
该端口担当设备端作用 |
Authenticate Mode is auto |
端口接入控制的模式为auto |
Port Control Type is Mac-based |
端口接入控制方式为mac-based |
Guest VLAN |
端口配置的GuestVlan,没有配置GuestVlan显示0 |
Max number of on-line users |
本端口最多可容纳的接入用户数 |
EAPOL Packet |
EAPOL报文数目:Tx表示发送的报文数目;Rx表示接受的报文数目 |
Sent EAP Request/Identity Packets |
发送的EAP Request/Identity报文数 |
EAP Request/Challenge Packets |
发送的EAP Request/Challenge报文数 |
EAP Success Packets |
发送的EAP Success报文数 |
Received EAPOL Start Packets |
接收的EAPOL Start报文数 |
EAPOL LogOff Packets |
接收的EAPOL LogOff报文数 |
EAP Response/Identity Packets |
接收的EAP Response/Identity报文数 |
EAP Response/Challenge Packets |
接收的EAP Response/Challenge报文数 |
Error Packets |
接收的错误报文数 |
Controlled User(s) amount |
该端口受控用户数目 |
【命令】
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x命令用来开启指定端口上或全局的802.1x特性。undo dot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
需要注意以下几点:
l 在系统视图下使用该命令时,如果不输入interface interface-list参数,则表示开启全局的802.1x特性;如果指定了interface interface-list,则表示开启指定端口的802.1x特性。在以太网端口视图下使用该命令时,不能输入interface interface-list参数,仅打开当前端口的802.1x特性。
l 802.1x特性启动前后,均可以使用配置命令来配置全局或端口的802.1x特性参数。如果在开启全局802.1x特性前没有配置全局或端口的其它802.1x特性参数,则这些参数在运行时均为缺省值。
l 必须同时开启全局和端口的802.1x特性后,802.1x的配置才能在端口上生效。
l 如果端口启动了802.1x,则不能配置该端口的最大MAC地址学习个数(通过命令mac-address max-mac-count配置);反之,如果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x特性。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口GigabitEthernet1/0/2上的802.1x特性。
<Sysname> system-view
[Sysname] dot1x interface GigabitEthernet 1/0/2
# 开启全局的802.1x特性。
<Sysname> system-view
[Sysname] dot1x
【命令】
dot1x authentication-method { chap | pap | eap }
undo dot1x authentication-method
【视图】
系统视图
【参数】
chap:采用CHAP认证方式。
pap:采用PAP认证方式。
eap:采用EAP认证方式。
【描述】
dot1x authentication-method命令用来设置802.1x用户的认证方法。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方式。
缺省情况下,802.1x用户认证方法为CHAP认证。
需要注意以下几点:
l PAP(Password Authentication Protocol,密码验证协议),它采用明文方式传送口令。
l CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议),它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
l EAP认证功能,意味着设备直接把802.1x用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。这种情况下,user-name-format命令的设置对其无效。
l 本地认证只支持PAP和CHAP。
l 采用RADIUS认证方法时,PAP、CHAP、EAP认证功能的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证。
相关配置可参考命令display dot1x。
【举例】
# 设置设备对802.1x用户采用PAP认证。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【命令】
dot1x guest-vlan vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:指定的GuestVlan ID,取值范围为1~4094。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x guest-vlan命令用来配置指定端口的GuestVlan。undo dot1x guest-vlan命令用来取消指定端口的GuestVlan。
缺省情况下,端口没有配置GuestVlan。
需要注意以下几点:
l 在系统视图下使用该命令时,如果不输入interface-list参数,则表示配置所有端口的GuestVlan;如果指定了interface-list,则表示配置指定端口的GuestVlan。在以太网端口视图下使用该命令时,不能输入interface-list参数,仅配置当前端口的GuestVlan。
l 只有开启802.1x特性的情况下,GuestVlan才能生效。
l 只有端口上进行接入控制的方式为portbased时,GuestVlan配置才能成功。端口配置了GuestVlan后不能再配置端口接入控制的方式。
l 只有端口上进行接入控制的模式为auto时,GuestVlan才能生效。
l 禁止删除已被配置为GuestVlan的Vlan。
【举例】
# 在系统视图下,配置端口GigabitEthernet1/0/1的GuestVlan为VLAN 999。
<Sysname> system-view
[Sysname] dot1x guest-vlan 999 interface GigabitEthernet1/0/1
# 在系统视图下,配置端口GigabitEthernet1/0/2~GigabitEthernet1/0/5的GuestVlan为VLAN 10。
<Sysname> system-view
[Sysname] dot1x guest-vlan 10 interface GigabitEthernet1/0/2 to GigabitEthernet1/0/5
# 在系统视图下,配置所有端口的GuestVlan为VLAN 7。
<Sysname> system-view
[Sysname] dot1x guest-vlan 7
# 在以太网端口视图下,配置端口GigabitEthernet1/0/7的GuestVlan为VLAN 3。
<Sysname> system-view
[Sysname]interface GigabitEthernet 1/0/7
[Sysname-GigabitEthernet1/0/7] dot1x guest-vlan 3
【命令】
dot1x handshake
undo dot1x handshake
【视图】
以太网端口视图
【参数】
无
【描述】
dot1x handshake命令用于开启在线用户握手功能。undo dot1x handshake命令用于关闭在线用户握手功能。
缺省情况下,开启在线用户握手功能。
【举例】
# 开启在线用户握手功能。
<Sysname> system-view
[Sysname] interface GigabitEthernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake
# 关闭在线用户握手功能。
[Sysname-GigabitEthernet1/0/1] undo dot1x handshake
【命令】
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
user-number:端口同时可容纳接入用户数量的最大值,取值范围为1~256,缺省值为256。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。
缺省情况下,端口同时可容纳接入用户数量的最大值为256。
需要注意的是,在系统视图下执行该命令可以作用于interface-list参数所指定的某些端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 设置端口GigabitEthernet1/0/1最多可容纳32个接入用户。
<Sysname> system-view
[Sysname] dot1x max-user 32 interface GigabitEthernet 1/0/1
【命令】
dot1x port-control { auto | authorized-force | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
auto:自动识别模式;指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证流程通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
authorized-force:强制授权模式;指示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
unauthorized-force:强制非授权模式;指示端口始终处于非授权状态,不允许用户访问网络资源。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x port-control命令用来设置802.1x在指定端口上进行接入控制的模式。undo dot1x port-control命令用来恢复缺省的接入控制模式。
缺省情况下,接入控制模式为auto。
需要注意的是,在系统视图下执行该命令可以作用于interface-list参数所指定的某些端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口GigabitEthernet1/0/1处于强制非授权状态。
<Sysname> system-view
[Sysname] dot1x port-control unauthorized-force interface GigabitEthernet 1/0/1
【命令】
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
macbased:当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
portbased:当采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x port-method命令用来设置802.1x在指定端口上进行接入控制的方式。undo dot1x port-method命令用来恢复缺省的接入控制方式。
缺省情况下,接入控制方式为macbased。
在系统视图下执行该命令可以作用于interface-list参数所指定的某些端口,如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口GigabitEthernet1/0/1为基于端口对接入用户进行802.1x认证。
<Sysname> system-view
[Sysname] dot1x port-method portbased interface GigabitEthernet 1/0/1
【命令】
dot1x quiet-period
undo dot1x quiet-period
【视图】
系统视图
【参数】
无
【描述】
dot1x quiet-period命令用来开启quiet-period定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。
缺省情况下,关闭quiet-period定时器功能。
当802.1x用户认证失败以后,设备需要静默一段时间(该时间由静默定时器设置)。在静默期间,设备端对该用户不进行802.1x认证的相关处理。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 开启quiet-period定时器。
<Sysname> system-view
[Sysname] dot1x quiet-period
【命令】
dot1x retry max-retry-value
undo dot1x retry
【视图】
系统视图
【参数】
max-retry-value:可向接入用户发送认证请求报文的最大次数,取值范围为1~10。
【描述】
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省情况。
缺省情况下,可向接入用户发送认证请求报文的最大次数为2。
需要注意以下几点:
l 此命令参数取值为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;取值为2时表示在首次向用户发送请求又没有收到响应后将重复发送1次;……依次类推。
l 如果设备向用户发送认证请求报文后,在规定的时间里(可通过dot1x timer tx-period tx-period-value或者dot1x timer supp-timeout supp-timeout-value设定)没有收到用户的响应,则设备将再次向用户发送该认证请求报文。
l 本命令设置后将作用于所有端口。
相关配置可参考命令display dot1x。
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【命令】
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value }
undo dot1x timer { handshake-period | quiet-period | tx-period | supp-timeout | server-timeout }
【视图】
系统视图
【参数】
handshake-period handshake-period-value:设置用户认证成功后,设备端向客户端发送握手请求报文的时间间隔。handshake-period-value取值范围为5~1024,单位为秒。
l quiet-period quiet-period-value:设置静默定时器的时长。对用户认证失败以后,设备端需要静默一段时间,在静默期间,设备端不处理认证功能。静默时间是相对于某一个用户来说的,这个时间内不能处理已经认证失败的用户,但还可以认证其他的用户。quiet-period-value取值范围为10~120,单位为秒。
l tx-period tx-period-value:设置用户名请求超时定时器的时长。当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动tx-period定时器。若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。tx-period-value取值范围为10~120,单位为秒。
l supp-timeout supp-timeout-value:设置客户端认证超时定时器的时长。当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动supp-timeout定时器。若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。supp-timeout-value取值范围为10~120,单位为秒。
server-timeout server-timeout-value:设置认证服务器超时定时器的时长。当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器。若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。server-timeout-value取值范围为100~300,单位为秒。
【描述】
dot1x timer命令用来配置802.1x的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
缺省情况下,handshake-period-value为15秒,quiet-period-value为60秒,tx-period-value为30秒,supp-timeout-value为30秒,server-timeout-value为100秒。
802.1x在运行时会启动很多定时器以控制客户端、设备端以及认证服务器之间进行合理、有序的交互。一般情况下,用户无需修改定时器的值;除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。
相关配置可参考命令display dot1x。
【举例】
# 设置认证服务器的超时定时器时长为150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【命令】
reset dot1x statistics [ interface interface-list ]
【视图】
用户视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
reset dot1x statistics命令用来清除802.1x的统计信息。
在清除原有的统计信息时,如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1x统计信息;如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息。
相关配置可参考命令display dot1x。
【举例】
# 清除以太网端口GigabitEthernet1/0/1上的802.1x统计信息。
<Sysname> reset dot1x statistics interface GigabitEthernet 1/0/1
【命令】
display habp
【视图】
任意视图
【参数】
无
【描述】
display habp命令用来显示HABP功能的配置信息和状态。
【举例】
# 显示HABP功能的配置信息和状态。
<Sysname> display habp
Global HABP information:
HABP Mode: Server
Sending HABP request packets every 20 seconds
表2-1 display habp命令显示信息描述表
字段 |
描述 |
HABP Mode |
当前设备的HABP功能的工作模式,可以为Server或者Client |
Sending HABP request packets every 20 seconds |
HABP请求报文的发送时间间隔 |
Bypass VLAN |
说明在指定的VLAN内发送HABP报文 |
【命令】
display habp table
【视图】
任意视图
【参数】
无
【描述】
display habp table命令用来显示HABP的MAC地址表信息。
【举例】
# 显示HABP的MAC地址表信息。
<Sysname> system-view
[Sysname] display habp table
MAC Holdtime Receive Port
001f-3c00-0030 53 GigabitEthernet 1/0/1
表2-2 display habp table命令显示信息描述表
字段 |
描述 |
MAC |
HABP的MAC地址表项中的MAC地址 |
Holdtime |
MAC地址表项的保持时间,单位为秒,初始值为发送HABP请求报文的时间间隔的3倍。在此时间内,如果该表项没有被刷新过,该表项将被老化 |
Receive Port |
学习到该MAC地址表项的端口 |
【命令】
display habp traffic
【视图】
任意视图
【参数】
无
【描述】
display habp traffic命令用来显示HABP报文的统计信息。
【举例】
# 显示HABP报文的统计信息。
<Sysname> display habp traffic
HABP counters :
Packets output: 0, Input: 0
ID error: 0, Type error: 0, Version error: 0
Sent failed: 0
表2-3 display habp traffic命令显示信息描述表
字段 |
描述 |
Packets output |
发送的HABP报文数 |
Input |
接收的HABP报文数 |
ID error |
ID错误的报文数 |
Type error |
类型错误的报文数 |
Version error |
版本错误的报文数 |
Sent failed |
发送失败的报文数 |
【命令】
habp enable
undo habp enable
【视图】
系统视图
【参数】
无
【描述】
habp enable命令用来使能设备的HABP功能。undo hapb enable命令用来禁止设备的HABP功能。
缺省情况下,设备的HABP功能处于使能状态。
集群功能和802.1x(或MAC地址认证)功能同时启动时,如果不启动设备的HABP功能,作为管理设备的设备将不能管理下挂的设备。只有在集群功能和802.1x(或MAC地址认证)功能需要同时在设备上启动时,才需要启动设备的HABP功能。
【举例】
# 使能设备的HABP功能。
<Sysname> system-view
[Sysname] habp enable
【命令】
habp server vlan vlan-id
undo habp server
【视图】
系统视图
【参数】
vlan-id:VLAN的ID,取值范围1~4094。
【描述】
habp server vlan命令用来在设备上设置HABP功能的模式为Server模式,同时指定HABP报文在指定的VLAN内传播。undo hapb server vlan命令用来恢复设备HABP功能为缺省模式。
缺省情况下,设备的HABP功能工作在Client模式下。
【举例】
# 在设备上设置HABP模式的模式为Server模式,同时指定HABP报文在指定的VLAN2内传播。
<Sysname> system-view
[Sysname] habp server vlan 2
【命令】
habp timer interval-time
undo habp timer
【视图】
系统视图
【参数】
interval-time:发送HABP请求报文的时间间隔,取值范围为5~600,单位为秒。
【描述】
habp timer命令用来设置设备发送HABP请求报文的时间间隔。undo habp timer命令用来将发送HABP请求报文的时间间隔恢复为缺省情况。
缺省情况下,发送HABP请求报文的时间间隔为20秒。
本配置只需要在HABP功能工作模式为Server的设备上进行配置。
【举例】
# 设置发送HABP请求报文的时间间隔为50秒。
<Sysname> system-view
[Sysname] habp timer 50
【命令】
display mac-authentication [ interface interface-list ]
【视图】
任意视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] } & < 1-10 >。其中,interface-type为端口类型,interface-number为端口号,&<1-10>表示前面的参数最多可以输入10次。
【描述】
display mac-authentication命令用来显示全局或指定端口的MAC地址认证信息。
【举例】
# 显示全局的MAC地址认证信息。
<Sysname> display mac-authentication
MAC address authentication is enabled.
Offline detect period is 300s
Quiet period is 1 minute(s).
Server response timeout value is 100s
Max allowed user number is 1024
Current user number amounts to 0
Current domain: not configured, use default domain
Silent Mac User info:
MAC ADDR From Port Port Index
GigabitEthernet1/0/1 is link-up
MAC address authentication is enabled
Authenticate success: 0, failed: 0
Current online user number is 0
MAC ADDR Authenticate state AuthIndex
......(略)
表3-1 display mac-authentication命令显示信息描述表
域名 |
描述 |
MAC address authentication is enabled |
MAC地址认证特性已经开启 |
Offline detect period |
下线检测定时器,用来设置检测用户是否下线的时间间隔,缺省值为300秒 |
Quiet period |
静默定时器;设置对用户认证失败以后,设备等待重新对用户发起认证的时间 |
Server response timeout value |
服务器连接超时定时器,用于设置与RADIUS服务器连接超时时间 |
Max allowed user number |
交换机支持的最大用户数 |
Current user number amounts |
当前用户数 |
Current domain: not configured, use default domain |
当前认证域没有配置,使用缺省域 |
Silent Mac User info |
静默用户信息 |
GigabitEthernet1/0/1 is link-up |
端口GigabitEthernet1/0/1链路处于UP状态 |
MAC address authentication is Enabled |
端口GigabitEthernet1/0/1MAC地址认证特性已开启 |
Authenticate success: 0, failed: 0 |
端口上MAC地址认证的统计信息,包括认证通过和认证失败的数目 |
Current online user number is |
端口当前的接入用户数 |
MAC ADDR |
MAC地址 |
Authenticate state |
端口接入用户的状态,共有四种: CONNECTING:正在连接 SUCCESS:认证通过 FAILURE:认证失败 LOGOFF:已下线 |
AuthIndex |
认证体索引号 |
【命令】
mac-authentication [ interface interface-list ]
undo mac-authentication [ interface interface-list ]
【视图】
系统视图/以太网接口视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
mac-authentication命令用来开启指定端口上或全局的MAC地址认证特性。undo mac-authentication命令用来关闭指定端口上或全局的MAC地址认证特性。
缺省情况下,所有端口及全局的MAC地址认证特性都处于关闭状态。
l 在系统视图下使用该命令时,如果不输入可选项interface interface-list,则表示开启全局的MAC地址认证特性;如果指定了interface interface-list,则表示开启指定端口的MAC地址认证特性。在以太网接口视图下使用该命令时,无需输入interface interface-list,即可开启当前端口的MAC地址认证特性。
l MAC地址认证特性启动前后,都可以使用命令来配置全局或端口的MAC地址认证特性参数。如果在开启MAC地址认证特性前,没有配置全局或端口的其它MAC地址认证特性参数,则这些参数在运行时均为缺省值。
l 各端口的MAC地址认证状态在全局MAC地址认证没有开启之前可以配置,但不起作用;在全局MAC地址认证启动后,各端口的MAC地址认证配置会立即生效。
【举例】
# 开启以太网端口GigabitEthernet 1/0/1上的MAC地址认证特性。
<Sysname> system-view
[Sysname] mac-authentication interface GigabitEthernet 1/0/1
Mac-auth is enabled on port GigabitEthernet1/0/1.
# 开启全局的MAC地址认证特性。
[Sysname] mac-authentication
Mac-auth is enabled globally.
【命令】
mac-authentication domain isp-name
undo mac-authentication domain
【视图】
系统视图
【参数】
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写。
【描述】
mac-authentication domain命令用来配置MAC地址认证用户所使用的ISP域。undo mac-authentication domain命令用来恢复MAC地址认证用户所使用的ISP域为缺省值。
缺省情况下,MAC地址认证用户使用的域为缺省域system。
【举例】
# 配置MAC地址认证使用的域为domain1。
<Sysname> system-view
[Sysname] mac-authentication domain domain1
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
undo mac-authentication timer { offline-detect | quiet | server-timeout }
【视图】
系统视图
【参数】
offline-detect:下线检测定时器,用来设置交换机检查用户是否已经下线的时间间隔。当检测到用户下线后,交换机即通知RADIUS服务器,停止对该用户的计费。
offline-detect-value:下线检测定时器设置的时长,取值范围1~65535,单位为秒。
quiet:静默定时器。对用户认证失败以后,交换机需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,交换机不处理该用户的认证功能。
quiet-value:静默定时器设置的静默时长,取值范围1~65535,单位为分钟。
server-timeout:服务器超时定时器。在用户的认证过程中,如果交换机同RADIUS Server的连接超时,交换机将在相应的端口上禁止此用户访问网络。
server-timeout-value:服务器超时定时器设置的时长,取值范围为1~300,单位为秒。
【描述】
mac-authentication timer命令用来配置MAC地址认证的各项定时器参数。undo mac-authentication timer命令用来将指定的定时器恢复为缺省情况。
缺省情况下,offline-detect-value的值为300秒,quiet-value的值为1分钟,server-timeout-value的值为100秒。
相关配置可参考命令display mac-authentication。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!