- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
14-802.1x-HABP-MAC地址认证命令
本章节下载 (243.64 KB)
目 录
1.1.3 dot1x authentication-method
3.1.1 display mac-authentication
3.1.3 mac-authentication domain
3.1.4 mac-authentication timer
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
任意视图
【参数】
sessions:显示802.1x的会话连接信息。
statistics:显示802.1x的相关统计信息。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
display dot1x命令用来显示802.1x在指定端口或所有端口的会话连接信息、相关统计信息或配置信息。
需要注意的是:
l 如果指定参数sessions,则显示会话连接信息。
l 如果指定参数statistics,则显示相关统计信息。
l 如果不指定参数sessions或者statistics,则显示配置信息。
【举例】
# 显示802.1x的配置信息。
<Sysname> display dot1x
Global 802.1X protocol is enabled
CHAP authentication is enabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Configuration: Transmit Period 30 s, Handshake Period 15 s
Quiet Period 60 s, Quiet Period Timer is disabled
Supp Timeout 30 s, Server Timeout 100 s
The maximal retransmitting times 2
Total maximum 802.1x user resource number is 1024
Total current used 802.1x resource number is 0
Ethernet1/0/1 is link-up
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Handshake is disabled
The port is a(n) authenticator
Authenticate Mode is auto
Port Control Type is Mac-based
Guest VLAN: 0
Max on-line user number is 256
EAPOL Packet: Tx 0, Rx 0
Send EAP Request/Identity Packet : 0
EAP Request/Challenge Packet: 0
EAP Success Packet: 0, Fail Packet: 0
Received EAPOL Start Packet : 0
EAPOL LogOff Packet: 0
EAP Response/Identity Packet : 0
EAP Response/Challenge Packet: 0
Error Packet: 0
Controlled User(s) amount to 0
表1-1 display dot1x命令显示信息描述表
|
字段 |
描述 |
|
|
Global 802.1X protocol is enabled |
设备的802.1x特性已经开启 |
|
|
CHAP authentication is enabled |
使能CHAP认证 |
|
|
Transmit Period |
发送间隔定时器的时长 |
|
|
Handshake Period |
设备向客户端发送握手报文的时间间隔 |
|
|
Quiet Period |
静默定时器的时长 |
|
|
Quiet Period Timer is disable |
静默定时器处于关闭状态 |
|
|
Supp Timeout |
客户端认证超时定时器的时长 |
|
|
Server Timeout |
认证服务器超时定时器的时长 |
|
|
The maximal retransmitting times |
设备向接入用户发送认证请求报文的最大次数 |
|
|
Total maximum 802.1x user resource number |
最多可接入用户数 |
|
|
Total current used 802.1x resource number |
当前在线接入用户数 |
|
|
Ethernet1/0/1 is link-up |
端口Ethernet 1/0/1的状态为up |
|
|
802.1X protocol is disabled |
该端口未使能802.1x协议 |
|
|
Proxy trap checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不发送Trap报文; l enable表示检测用户使用代理后,发送Trap报文。 |
|
|
Proxy logoff checker is disabled |
是否检测通过代理登录用户的接入: l disable表示检测用户使用代理后,不切断用户连接; l enable表示检测用户使用代理后,切断用户连接。 |
|
|
Handshake is disabled |
握手功能是禁止的 |
|
|
The port is a(n) authenticator |
该端口担当设备端认证作用 |
|
|
Authenticate Mode is auto |
端口接入控制的模式为auto |
|
|
Port Control Type is Mac-based |
端口接入控制方式为mac-based |
|
|
Guest VLAN |
端口配置的GuestVlan,没有配置GuestVlan显示0 |
|
|
Max on-line user number |
本端口最多可容纳的接入用户数 |
|
|
EAPOL Packet: Tx 0, Rx 0 |
EAPOL协议报文: 发送 0,接收 0 |
|
|
Send EAP Request/Identity Packet : EAP Request/Challenge Packet: EAP Success Packet: 0, Fail Packet: |
发送 EAP Request/Identity 报文 EAP Request/Challenge 报文 EAP Success 报文: ,Fail 报文 |
|
|
Received EAPOL Start Packet : EAPOL LogOff Packet: EAP Response/Identity Packet : EAP Response/Challenge Packet: Error Packet: |
接收 EAPOL Start 报文 EAPOL LogOff 报文 EAP Response/Identity 报文 EAP Response/Challenge报文 无效报文: |
|
|
Controlled User(s) amount to |
该端口受控用户数目 |
|
【命令】
dot1x [ interface interface-list ]
undo dot1x [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x命令用来开启指定端口上或全局的802.1x特性。undo dot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
需要注意的是:
l 在系统视图下,如果不指定参数interface interface-list,则表示开启全局的802.1x特性;如果指定参数interface interface-list,则表示开启指定端口的802.1x特性。
l 在以太网接口视图下,不能指定参数interface interface-list,只能打开当前端口的802.1x特性。
l 802.1x特性启动前后,均可以使用配置命令来配置全局或端口的802.1x特性参数。如果在开启全局802.1x特性前没有配置全局或端口的其它802.1x特性参数,则这些参数在运行时均为缺省值。
l 只有同时开启全局和端口的802.1x特性后,802.1x的配置才能在端口上生效。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口Ethernet 1/0/1上的802.1x特性。
<Sysname> system-view
[Sysname] dot1x interface Ethernet 1/0/1
# 开启全局的802.1x特性。
<Sysname> system-view
[Sysname] dot1x
【命令】
dot1x authentication-method { chap | pap | eap }
undo dot1x authentication-method
【视图】
系统视图
【参数】
chap:采用CHAP认证方式。
pap:采用PAP认证方式。
eap:采用EAP认证方式。
【描述】
dot1x authentication-method命令用来设置802.1x用户的认证方式。undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证方式。
缺省情况下,802.1x用户认证方式为CHAP认证。
需要注意的是::
l PAP(Password Authentication Protocol,密码验证协议),它采用明文方式传送口令。
l CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议),它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。
l EAP认证功能,意味着设备直接把802.1x用户的认证信息以EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS报文后再发给RADIUS服务器来完成认证。这种情况下,user-name-format命令的设置对其无效。
l 本地认证只支持PAP和CHAP。
l 采用RADIUS认证方法时,PAP、CHAP、EAP认证功能的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证。
相关配置可参考命令display dot1x。
【举例】
# 设置设备对802.1x用户采用PAP认证。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【命令】
dot1x guest-vlan vlan-id [ interface interface-list ]
undo dot1x guest-vlan [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
vlan-id:指定的GuestVlan ID,取值范围为1~4094。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x guest-vlan命令用来配置指定端口的GuestVlan。undo dot1x guest-vlan命令用来取消指定端口的GuestVlan。
缺省情况下,端口没有配置GuestVlan。
需要注意的是::
l 在系统视图下,如果不指定参数interface-list,则表示配置所有端口的GuestVlan;如果指定参数interface-list,则表示配置指定端口的GuestVlan。
l 在以太网接口视图下,不能指定参数interface-list,只能配置当前端口的GuestVlan。
l 只有开启802.1x特性的情况下,GuestVlan才能生效。
l 只有端口上进行接入控制的方式为portbased时,GuestVlan配置才能成功。端口配置了GuestVlan后不能再配置端口接入控制的方式。
l 只有端口上进行接入控制的模式为auto时,GuestVlan才能生效。
l GuestVlan功能只在access端口上生效。
l 禁止删除已被配置为GuestVlan的Vlan。
【举例】
# 在系统视图下,配置端口Ethernet1/0/1的GuestVlan为已经创建的VLAN 999。
<Sysname> system-view
[Sysname] dot1x guest-vlan 999 interface ethernet1/0/1
# 在系统视图下,配置端口Ethernet1/0/1~Ethernet1/0/5的GuestVlan为已经创建的VLAN 10。
<Sysname> system-view
[Sysname] dot1x guest-vlan 10 interface ethernet1/0/1 to ethernet1/0/5
# 在系统视图下,配置所有端口的GuestVlan为已经创建的VLAN 7。
<Sysname> system-view
[Sysname] dot1x guest-vlan 7
# 在以太网端口视图下,配置端口Ethernet1/0/7的GuestVlan为已经创建的VLAN 3。
<Sysname> system-view
[Sysname] interface Ethernet 1/0/7
[Sysname-Ethernet1/0/7] dot1x guest-vlan 3
【命令】
dot1x handshake
undo dot1x handshake
【视图】
以太网端口视图
【参数】
无
【描述】
dot1x handshake命令用于开启在线用户握手功能。undo dot1x handshake命令用于关闭在线用户握手功能。
缺省情况下,开启在线用户握手功能。
需要注意802.1x的代理检测功能依赖于在线用户握手功能。在配置代理检测功能之前,必须先开启在线用户握手功能。关闭在线用户握手功能之前,必须先关闭代理检测功能。
【举例】
# 开启在线用户握手功能。
<Sysname> system-view
[Sysname] interface Ethernet 1/0/4
[Sysname-Ethernet1/0/4] dot1x handshake
# 关闭在线用户握手功能。
[Sysname-Ethernet1/0/4] undo dot1x handshake
【命令】
dot1x max-user user-number [ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
user-number:端口同时可容纳接入用户数量的最大值,取值范围为1~256。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user命令用来恢复该值的缺省值。
缺省情况下,端口同时可容纳接入用户数量的最大值为256。
需要注意的是:
l 在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。
l 在以太网接口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet 1/0/1最多可容纳32个接入用户。
<Sysname> system-view
[Sysname] dot1x max-user 32 interface Ethernet 1/0/1
<Sysname> system-view
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x max-user 32
【命令】
dot1x port-control { auto | authorized-force | unauthorized-force } [ interface interface-list ]
undo dot1x port-control [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
auto:自动识别模式;指示端口初始状态为非授权状态,仅允许EAPOL报文收发,不允许用户访问网络资源;如果认证流程通过,则端口切换到授权状态,允许用户访问网络资源。这也是最常见的情况。
authorized-force:强制授权模式;指示端口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
unauthorized-force:强制非授权模式;指示端口始终处于非授权状态,不允许用户访问网络资源。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x port-control命令用来设置802.1x在指定端口上进行接入控制的模式。undo dot1x port-control命令用来恢复缺省的接入控制模式。
缺省情况下,接入控制模式为auto。
需要注意的是:
l 在系统视图下执行该命令可以作用于参数interface-list所指定的端口,如果不指定任何端口则将作用于所有端口。
l 在以太网接口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 1/0/1处于强制非授权状态。
<Sysname> system-view
[Sysname] dot1x port-control unauthorized-force interface Ethernet 1/0/1
<Sysname> system-view
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x port-control unauthorized-force
【命令】
dot1x port-method { macbased | portbased } [ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
macbased:当采用macbased方式时,该端口下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
portbased:当采用portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒绝使用网络。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x port-method命令用来设置802.1x在指定端口上进行接入控制的方式。undo dot1x port-method命令用来恢复缺省的接入控制方式。
缺省情况下,接入控制方式为macbased。
需要注意的是:
l 在系统视图下执行该命令可以作用于interface-list参数所指定的端口,如果不指定任何端口则将作用于所有端口。
l 在以太网接口视图下执行该命令时,不能指定参数interface-list,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 1/0/1基于端口对接入用户进行认证。
<Sysname> system-view
[Sysname] dot1x port-method portbased interface Ethernet 1/0/1
<Sysname> system-view
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x port-method portbased
【命令】
dot1x quiet-period
undo dot1x quiet-period
【视图】
系统视图
【参数】
无
【描述】
dot1x quiet-period命令用来开启quiet-period定时器功能。undo dot1x quiet-period命令用来关闭该定时器功能。
缺省情况下,关闭quiet-period定时器功能。
当802.1x用户认证失败以后,设备需要静默一段时间(该时间由静默定时器设置)。在静默期间,设备对该用户不进行802.1x认证的相关处理。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 开启quiet-period定时器。
<Sysname> system-view
[Sysname] dot1x quiet-period
【命令】
dot1x retry max-retry-value
undo dot1x retry
【视图】
系统视图
【参数】
max-retry-value:向接入用户发送认证请求报文的最大次数,取值范围为1~10。
【描述】
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。undo dot1x retry命令用来将该最大发送次数恢复为缺省情况。
缺省情况下,可向接入用户发送认证请求报文的最大次数为2。
需要注意的是::
l 如果设备向用户发送认证请求报文后,在规定的时间里(可通过dot1x timer tx-period tx-period-value或者dot1x timer supp-timeout supp-timeout-value设定)没有收到用户的响应,则设备将根据max-retry-value值决定是否再次向用户发送该认证请求报文。
l 此命令参数max-retry-value取值为1时表示只允许向用户发送一次认证请求报文,如果没有收到响应,不再重复发送;取值为2时表示在首次向用户发送请求又没有收到响应后将重复发送1次;……依次类推。
l 本命令设置后将作用于所有端口。
相关配置可参考命令display dot1x。
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【命令】
dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap } [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
logoff:检测用户使用代理后,切断用户连接。
trap:检测用户使用代理后,发送Trap报文。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
dot1x supp-proxy-check命令用来设置设备对通过代理登录的用户的检测及接入控制。undo dot1x supp-proxy-check命令用来取消设备对通过代理登录的用户的检测及相关控制的设置。
缺省情况下,没有设置设备对通过代理登录的用户的检测及接入控制。
需要注意的是:
l 该功能的实现需要H3C的802.1x客户端程序(iNode)的配合,即需要通过代理登录的用户首先要运行H3C 的802.1x客户端程序(该客户端程序要求版本为V1.29或以上)。
l 在系统视图下执行该命令时,如果不指定参数interface interface-list,则表示开启全局的用户的检测及接入控制;如果指定参数interface interface-list,则表示开启指定端口的用户的检测及接入控制。
l 在以太网接口视图下执行该命令时,不能指定参数interface interface-list,只能打开当前端口的用户的检测及接入控制。
l 必须同时开启全局和指定端口的代理用户检测与控制,此特性的配置才能在该端口上生效。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet1/0/1~Ethernet1/0/8检测到用户使用代理后,切断该用户的连接。
<Sysname> system-view
[Sysname] dot1x supp-proxy-check logoff
[Sysname] dot1x supp-proxy-check logoff interface Ethernet 1/0/1 to Ethernet 1/0/8
# 设置端口Ethernet 1/0/9检测到登录的用户使用代理后,设备发送Trap报文。
配置1:
<Sysname> system-view
[Sysname] dot1x supp-proxy-check trap
[Sysname] dot1x supp-proxy-check trap interface Ethernet 1/0/9
配置2:
<Sysname> system-view
[Sysname] dot1x supp-proxy-check trap
[Sysname] interface Ethernet 1/0/9
[Sysname-Ethernet1/0/9] dot1x supp-proxy-check trap
【命令】
dot1x timer { handshake-period handshake-period-value | quiet-period quiet-period-value | tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value }
undo dot1x timer { handshake-period | quiet-period | tx-period | supp-timeout | server-timeout }
【视图】
系统视图
【参数】
handshake-period handshake-period-value:设置用户认证成功后,设备端向客户端发送握手请求报文的时间间隔。handshake-period-value取值范围为5~1024,单位为秒。
quiet-period quiet-period-value:设置静默定时器的时长。对用户认证失败以后,设备端需要静默一段时间,在静默期间,设备端不处理认证功能。静默时间是相对于某一个用户来说的,这个时间内不能处理已经认证失败的用户,但还可以认证其他的用户。quiet-period-value取值范围为10~120,单位为秒。
tx-period tx-period-value:设置用户名请求超时定时器的时长。当设备端向客户端发送EAP-Request/Identity请求报文后,设备端启动tx-period定时器。若在该定时器设置的时长内,设备端没有收到客户端的响应,则设备端将重发认证请求报文。tx-period-value取值范围为10~120,单位为秒。
supp-timeout supp-timeout-value:设置客户端认证超时定时器的时长。当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动supp-timeout定时器。若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。supp-timeout-value取值范围为10~120,单位为秒。
server-timeout server-timeout-value:设置认证服务器超时定时器的时长。当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器。若在该定时器设置的时长内,设备端没有收到认证服务器的响应,设备端将重发认证请求报文。server-timeout-value取值范围为100~300,单位为秒。
【描述】
dot1x timer命令用来配置802.1x的各项定时器参数。undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
缺省情况下,handshake-period-value为15秒,quiet-period-value为60秒,tx-period-value为30秒,supp-timeout-value为30秒,server-timeout-value为100秒。
802.1x在运行时会启动很多定时器以控制客户端、设备端以及认证服务器之间进行合理、有序的交互。一般情况下,用户无需修改定时器的值;除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。
相关配置可参考命令display dot1x。
【举例】
# 设置认证服务器的超时定时器时长为150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【命令】
reset dot1x statistics [ interface interface-list ]
【视图】
用户视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
reset dot1x statistics命令用来清除802.1x的统计信息。
需要注意的是:
l 如果不指定端口类型和端口号,则清除设备上的全局及所有端口的802.1x统计信息;
l 如果指定端口类型和端口号,则清除指定端口上的802.1x统计信息。
相关配置可参考命令display dot1x。
【举例】
# 清除以太网端口Ethernet 1/0/1上的802.1x统计信息。
<Sysname> reset dot1x statistics interface Ethernet 1/0/1
【命令】
display habp
【视图】
任意视图
【参数】
无
【描述】
display habp命令用来显示HABP功能的配置信息和状态。
【举例】
# 显示HABP功能的配置信息和状态。
<Sysname> display habp
Global HABP information:
HABP Mode: Server
Sending HABP request packets every 20 seconds
表2-1 display habp命令显示信息描述表
|
字段 |
描述 |
|
HABP Mode |
当前设备的HABP功能的工作模式,可以为Server或者Client |
|
Sending HABP request packets every 20 seconds |
HABP请求报文的发送时间间隔 |
|
Bypass VLAN |
说明在指定的VLAN内发送HABP报文 |
【命令】
display habp table
【视图】
任意视图
【参数】
无
【描述】
display habp table命令用来显示HABP的MAC地址表信息。
【举例】
# 显示HABP的MAC地址表信息。
<Sysname> display habp table
MAC Holdtime Receive Port
001f-3c00-0030 53 Ethernet1/0/1
表2-2 display habp table命令显示信息描述表
|
字段 |
描述 |
|
MAC |
HABP的MAC地址表项中的MAC地址 |
|
Holdtime |
MAC地址表项的保持时间,单位为秒,初始值为发送HABP请求报文的时间间隔的3倍。在此时间内,如果该表项没有被刷新过,该表项将被老化 |
|
Receive Port |
学习到该MAC地址表项的端口 |
【命令】
display habp traffic
【视图】
任意视图
【参数】
无
【描述】
display habp traffic命令用来显示HABP报文的统计信息。
【举例】
# 显示HABP报文的统计信息。
<Sysname> display habp traffic
HABP counters :
Packets output: 0, Input: 0
ID error: 0, Type error: 0, Version error: 0
Sent failed: 0
表2-3 display habp traffic命令显示信息描述表
|
字段 |
描述 |
|
Packets output |
发送的HABP报文数 |
|
Input |
接收的HABP报文数 |
|
ID error |
ID错误的报文数 |
|
Type error |
类型错误的报文数 |
|
Version error |
版本错误的报文数 |
|
Sent failed |
发送失败的报文数 |
【命令】
habp enable
undo habp enable
【视图】
系统视图
【参数】
无
【描述】
habp enable命令用来使能设备的HABP功能。undo hapb enable命令用来禁止设备的HABP功能。
缺省情况下,设备的HABP功能处于使能状态。
& 说明:
集群功能和802.1x认证(或MAC地址认证)功能需要同时启动时,需要启动设备的HABP功能,如果不启动设备的HABP功能,管理设备将不能管理下挂的设备。
【举例】
# 使能设备的HABP功能。
<Sysname> system-view
[Sysname] habp enable
【命令】
habp server vlan vlan-id
undo habp server
【视图】
系统视图
【参数】
vlan-id:VLAN的ID,取值范围1~4094。
【描述】
habp server vlan命令用来在设备上设置HABP功能的模式为Server模式,同时指定HABP报文在指定的VLAN内传播。undo hapb server vlan命令用来恢复设备HABP功能为缺省模式。
缺省情况下,设备的HABP功能工作在Client模式下。
【举例】
# 在设备上设置HABP功能的模式为Server模式,同时指定HABP报文在指定的VLAN2内传播。
<Sysname> system-view
[Sysname] habp server vlan 2
【命令】
habp timer interval-time
undo habp timer
【视图】
系统视图
【参数】
interval-time:发送HABP请求报文的时间间隔,取值范围为5~600,单位为秒。
【描述】
habp timer命令用来设置设备发送HABP请求报文的时间间隔。undo habp timer命令用来将发送HABP请求报文的时间间隔恢复为缺省情况。
缺省情况下,发送HABP请求报文的时间间隔为20秒。
本配置只需要在HABP功能工作模式为Server的设备上进行配置。
【举例】
# 设置发送HABP请求报文的时间间隔为50秒。
<Sysname> system-view
[Sysname] habp timer 50
【命令】
display mac-authentication [ interface interface-list ]
【视图】
任意视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] } & < 1-10 >。其中,interface-type为端口类型,interface-number为端口号,&<1-10>表示前面的参数最多可以输入10次。
【描述】
display mac-authentication命令用来显示全局或指定端口的MAC地址认证信息,包括是否使能MAC地址认证特性、当前各个定时器的值、在线用户个数、处于静默期的MAC地址以及各个端口的MAC认证情况。
【举例】
# 显示全局的MAC地址认证信息。
<Sysname> display mac-authentication
MAC address authentication is enabled.
Offline detect period is 300s
Quiet period is 1 minute(s).
Server response timeout value is 100s
Max allowed user number is 1024
Current user number amounts to 0
Current domain is aa
Silent Mac User info:
MAC ADDR From Port Port Index
Ethernet1/0/1 is link-up
MAC address authentication is Enabled
Authenticate success: 0, failed: 0
Current online user number is 0
MAC ADDR Authenticate state AuthIndex
<以下内容略>
表3-1 display mac-authentication命令显示信息描述表
|
字段 |
描述 |
|
MAC address authentication is enabled |
MAC地址认证特性已经开启 |
|
Offline detect period |
下线检测定时器,用来设置检测用户是否下线的时间间隔,缺省值为300秒 |
|
Quiet period |
静默定时器;设置对用户认证失败以后,设备等待重新对用户发起认证的时间 |
|
Server response timeout value |
服务器连接超时定时器,用于设置与RADIUS服务器连接超时时间 |
|
Max allowed user number |
交换机支持的最大用户数 |
|
Current user number amounts |
当前用户数 |
|
Current domain is |
当前使用的域,缺省使用默认域 |
|
Silent Mac User info |
静默用户信息 |
|
Ethernet1/0/1 is link-up |
端口Ethernet1/0/1链路处于UP状态 |
|
MAC address authentication is Enabled |
端口Ethernet1/0/1MAC地址认证特性已开启 |
|
Authenticate success: 0, failed: 0 |
端口上MAC地址认证的统计信息,包括认证通过和认证失败的数目 |
|
Current online user number is |
端口当前的接入用户数 |
|
MAC ADDR |
MAC地址 |
|
Authenticate state |
端口接入用户的状态,共有四种: CONNECTING:正在连接 SUCCESS:认证通过 FAILURE:认证失败 LOGOFF:已下线 |
|
AuthIndex |
认证体索引号 |
【命令】
mac-authentication [ interface interface-list ]
undo mac-authentication [ interface interface-list ]
【视图】
系统视图/以太网端口视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中,interface-type为端口类型,interface-number为端口号。&<1-10>表示前面的参数最多可以输入10次。
【描述】
mac-authentication命令用来开启指定端口上或全局(即当前设备)的MAC地址认证特性。undo mac-authentication命令用来关闭指定端口上或全局的MAC地址认证特性。
缺省情况下,所有端口及全局的MAC地址认证特性都处于关闭状态。
需要注意的是:
l 在系统视图下使用该命令时,如果不输入interface interface-list参数,则表示开启全局的MAC地址认证特性;如果指定了interface interface-list,则表示开启指定端口的MAC地址认证特性。在以太网端口视图下使用该命令时,不能输入interface interface-list参数,只打开当前端口的MAC地址认证特性。
l MAC地址认证特性启动前后,都可以使用命令来配置全局或端口的MAC地址认证特性参数。如果在开启MAC地址认证特性前,没有配置全局或端口的其它MAC地址认证特性参数,则这些参数在运行时均为缺省值。
l 各端口的MAC地址认证状态在全局MAC地址认证没有开启之前可以配置,但不起作用;在全局MAC地址认证启动后,各端口的MAC地址认证配置会立即生效。
【举例】
# 开启以太网端口GigabitEthernet 1/1/1上的MAC地址认证特性。
<Sysname> system-view
[Sysname] mac-authentication interface GigabitEthernet 1/1/1
Mac-auth is enabled on port GigabitEthernet1/1/1.
或者
<Sysname> systme-view
[Sysname] interface GigabitEthernet 1/1/1
[Sysname- GigabitEthernet1/1/1] mac-authentication
Mac-auth is enabled on port GigabitEthernet1/1/1.
# 开启全局的MAC地址认证特性。
<Sysname> system-view
[Sysname] mac-authentication
Mac-auth is enabled globally.
【命令】
mac-authentication domain isp-name
undo mac-authentication domain
【视图】
系统视图
【参数】
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写。
【描述】
mac-authentication domain命令用来配置MAC地址认证用户所使用的ISP域。undo mac-authentication domain命令用来恢复MAC地址认证用户所使用的ISP域为缺省值。
缺省情况下,MAC地址认证用户使用的域为缺省域system。
【举例】
# 配置MAC地址认证使用的域为domain1。
<Sysname> system-view
[Sysname] mac-authentication domain domain1
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
undo mac-authentication timer { offline-detect | quiet | server-timeout }
【视图】
系统视图
【参数】
offline-detect:下线检测定时器,用来设置交换机检查用户是否已经下线的时间间隔。当检测到用户下线后,交换机即通知RADIUS服务器,停止对该用户的计费。
offline-detect-value:下线检测定时器设置的时长,取值范围1~65535,单位为秒。
quiet:静默定时器。对用户认证失败以后,交换机需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,交换机不处理该用户的认证功能。
quiet-value:静默定时器设置的静默时长,取值范围1~65535,单位为分钟。
server-timeout:服务器超时定时器。在用户的认证过程中,如果交换机同RADIUS Server的连接超时,交换机将在相应的端口上禁止此用户访问网络。
server-timeout-value:服务器超时定时器设置的时长,取值范围为1~300,单位为秒。
【描述】
mac-authentication timer命令用来配置MAC地址认证的各项定时器参数。undo mac-authentication timer命令用来将指定的定时器恢复为缺省情况。
缺省情况下,offline-detect-value的值为300秒,quiet-value的值为1分钟,server-timeout-value的值为100秒。
相关配置可参考命令display mac-authentication。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
