- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
10-802.1X配置命令
本章节下载: 10-802.1X配置命令 (210.86 KB)
目 录
1.1.3 default domain-name enbale
1.2.9 display radius attribute
1.2.10 display radius config-attribute
1.2.17 radius config-attribute
1.2.19 radius mac-address-number
1.2.20 radius server-disconnect drop 1x
1.3.9 dot1x timeout re-authperiod
1.3.12 dot1x quiet-period-value
1.3.15 display dot1x interface
域配置命令包括:
· aaa
· access-limit
· default domain-name enable
· domain
· display domain
· radius host binding
· schecme
· state
【命令】
aaa
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来进入AAA配置模式。
进行AAA配置和相关操作时需要进入AAA配置模式。
【举例】
# 进入AAA配置模式。
[H3C] aaa
H3C(config-aaa)#
【命令】
access-limit enable max-link
access-limit disable
【视图】
域配置模式
【缺省级别】
2:系统级
【参数】
max-link:用当前域名登录的最大连接数,值范围为1~640。
【描述】
该命令用来配置当前域的接入数限制。
缺省值为disable,表示无用户数限制。
一个域可以限制其下相关接入的同时存在的连接数。和域相关的接入就是其上线时认证的用户名中包含的域名为该域,使用该域的认证、授权和计费方案。如果该域下没有相关接入,可以任意修改接入数限制;但是如果存在若干个相关接入的话,那么新的限制不能和当前运行情况冲突,例如:如果当前域下存在相关接入8个,而新的接入数限制就只能是大于等于8或者不限制。要修改成更小的,应先将那些相关接入切断,使用state等命令。
【举例】
# 限制用域名green.com登录的最大连接数为500。
H3C(config-aaa-domain-green.com)#access-limit enable 500
【命令】
default domain-name enbale domain-name
default domain-name disable
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
domain-name:域名。
【描述】
该命令用来进入AAA配置模式,配置一个已存在的域为默认域,如该域不存在,则配置不能成功。命令default domain-name disable用来禁止默认域功能。
当认证时用户名不带域名,在没有配置默认域时OLT会把报文当成非法报文不予处理;在配置默认域后,OLT会在不带域名的用户名后加上@和默认域名参加认证。配置默认域时必须指定一个已存在的域,否则不会成功。
【举例】
# 配置并启用默认域为green.com。
H3C(config-aaa)#default domain-name enable green.com
# 禁止默认域功能。
H3C(config-aaa)#default domain-name disable
【命令】
domain domain-name
undo domain domain-name
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
domain-name:域名, 取值范围是1~24个字符, 不区分大小写且不能包含空格。
【描述】
该命令用来进入AAA的域配置模式,如果不存在,则自动创建。该命令的undo形式用来删除该域。
进入域模式配置该域的认证计费的策略。如果域名不存在,就会创建该域,并进入该域模式。设备允许最多8个域,每个域的配置可以不同,实现多ISP运营策略。
域按照需要添加,系统缺省不存在任何具体的域。
创建域后,该域必须用state active命令激活后,才可被使用。
【举例】
# 创建域green.com。
H3C(config-aaa)#domain green.com
H3C(config-aaa-domain-green.com)#
# 删除域green.com
H3C(config-aaa)#undo domain green.com
【命令】
display domain [ domain-name ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
domain-name:域名。
【描述】
该命令用来查看域的配置信息,包括域名、对应的RADIUS服务器、域是否激活等。
【举例】
# 显示green.com域的状态信息。
H3C(config-aaa-domain-green.com)#display domain
【命令】
radius host binding radius-scheme
【视图】
域配置模式
【缺省级别】
2:系统级
【参数】
radius-scheme:RADIUS认证计费配置方案名称,必须是已经存在的。
【描述】
该命令用来配置当前域的RADIUS认证计费配置方案。
【举例】
# 配置当前域使用RADIUS配置方案green。
H3C(config-aaa-domain-green.com)#radius host binding green
scheme { local | radius [ local ] }
【视图】
域配置模式
【缺省级别】
2:系统级
【参数】
local:进行本地认证。
radius:使用RADIUS服务器进行认证,此方式可以加local选项,表示如果RADIUS服务器没有响应时则进行本地认证。
【描述】
该命令用来配置域使用RADIUS服务器或者本地用户信息进行认证。
【举例】
# 进行本地认证。
H3C(config-aaa-domain-green.com)#scheme local
【命令】
state { active | block }
【视图】
域配置模式
【缺省级别】
2:系统级
【参数】
active:激活状态,允许该域下用户进行认证。
block:阻塞状态,禁止该域下用户进行认证。
【描述】
该命令用来激活域,或者使域进入阻塞状态。
域创建后缺省为block状态,使用前需要先用此命令激活要使用的域。这是为了防止在配置的过程中,有用户使用未配置完全的域,因此应当等到所有相关配置都完成后,才能激活。
域必须要先用state active命令激活后才能使用。
【举例】
# 激活域green.com。
H3C(config-aaa-domain-green.com)#state active
RADIUS服务器配置命令包括:
· accounting-on
· acct-secret-key
· auth-secret-key
· dnrate-value
· h3c-cams
· nas-ipaddress
· primary-acct-ip
· primary-auth-ip
· display radius attribute
· display radius config-attribute
· display radius host
· uprate-value
· radius 8021p
· radius accounting
· radius attribute
· radius bandwidth-limit
· radius config-attribute
· radius host
· radius mac-address-number
· radius server-disconnect drop 1x
· radius vlan
· realtime-account
· second-acct-ip
· second-auth-ip
· username-format
【命令】
accounting-on { disable | enable num}
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
enable:开启功能。
disable:关闭功能。
num:发送Acconuting-On报文数,取值范围为1~255。
【描述】
该命令用来设置设备在重新启动后,发送Accounting-On报文到RADIUS服务器,要求强制该设备的用户下线,用来解决设备重启后用来在线用户无法重新认证登录的问题。
缺省情况下为disable
【举例】
# 启动功能。
H3C(config-aaa)# accounting-on enable 2
【命令】
acct-secret-key key
undo acct-secret-key
【视图】
RADIUS服务器配置模式
【缺省级别】
2:系统级
【参数】
key:密钥,1~16个字符。
【描述】
该命令用来设置计费RADIUS服务器的密钥,此命令的undo形式执行删除操作。
缺省情况下为空。
【举例】
# 设置计费RADIUS服务器的密钥为123。
H3C(config-aaa-radius-green)#acct-secret-key 123
【命令】
auth-secret-key key
undo auth-secret-key
【视图】
RADIUS服务器配置模式
【缺省级别】
2:系统级
【参数】
key:密钥,1~16个字符。
【描述】
该命令用来设置认证RADIUS服务器的密钥,此命令的undo形式执行删除操作。
缺省情况下为空。
【举例】
# 设置认证RADIUS服务器的密钥为123。
H3C(config-aaa-radius-green)#auth-secret-key 123
【命令】
dnrate-value value
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
vlaue:属性号,取值范围为1~32。
【描述】
在与H3C Cams RADIUS服务器兼容情况下,使用此命令来配置下行带宽在RADIUS报文中Vendor Specific属性名的属性号。
缺省情况下为5。
【举例】
# 配置H3C Cams兼容模式的下行带宽属性号为7。
H3C(config-aaa)#dnrate-value 7
【命令】
h3c-cams { disable | enable }
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
enable:开启功能。
disable:关闭功能。
【描述】
当RADIUS服务器使用H3C Cams时,使用该命令设置兼容模式,完成一些特定操作。
缺省情况下为disable。
【举例】
# 启动H3C Cams兼容模式。
H3C(config-aaa)#h3c-cams enable
【命令】
nas-ipaddress nas-ip
undo nas-ipaddress
【视图】
RADIUS服务器配置模式
【缺省级别】
2:系统级
【参数】
nas-ip: IP地址。
【描述】
该命令用来设置在发送报文时NAS IPAddress属性名的值,此命令的undo形式执行删除操作。
缺省情况下为空,表示使用设备的IP地址。
【举例】
# 设置该值为192.168.0.100。
H3C(config-aaa-radius-green)# nas-ipaddress 192.168.0.100
【命令】
primary-acct-ip server-ip accounting-port
undo primary-acct-ip
【视图】
RADIUS服务器配置模式
【缺省级别】
2:系统级
【参数】
server-ip:主计费RADIUS服务器IP地址。
accounting-port:认证端口,取值范围:1~65535。
【描述】
该命令用来设置主计费RADIUS服务器的IP地址和端口,此命令的undo形式是删除相关配置。
缺省情况下计费端口为1813。
【举例】
# 设置主计费RADIUS服务器主IP地址为192.168.0.100,计费端口为1813。
H3C(config-aaa-radius-green)#primary-acct-ip 192.168.0.100 1813
【命令】
primary-auth-ip server-ip authentication-port
undo primary-auth-ip
【视图】
RADIUS服务器配置模式
【缺省级别】
2:系统级
【参数】
server-ip:主认证RADIUS服务器IP地址。
authentication-port:认证端口,取值范围:1~65535。
【描述】
该命令用来设置主认证RADIUS服务器的IP地址和端口,此命令的undo形式是删除相关配置。
缺省情况下认证端口为1812。
【举例】
# 设置主认证RADIUS服务器主IP地址为192.168.0.100,认证端口为1812。
H3C(config-aaa-radius-green)#primary-auth-ip 192.168.0.100 1812
【命令】
display radius attribute
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来显示H3C Cams兼容模式的一些属性配置,现在只显示是否发送H3C 客户端版本信息到RADIUS服务器。
【举例】
# 显示是否将H3C客户端版本信息发送到RADIUS服务器。
[H3C] display radius attribute
【命令】
display radius config-attribute
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来显示RADIUS的属性配置,比如是否计费、优先级、VLAN等信息。
【举例】
# 显示RADIUS属性配置。
[H3C] display radius config-attribute
【命令】
display radius host [ radius-scheme ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
radius-scheme:RADIUS服务器名称。
【描述】
该命令用来显示RADIUS服务器信息,包括RADIUS服务器主IP地址、次IP地址、认证端口、计费端口、认证密匙等。
【举例】
# 显示RADIUS服务器信息。
[H3c-aaa-radius-default] display radius host
【命令】
uprate-value value
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
vlaue:属性号,取值范围为1~32。
【描述】
在与H3C Cams RADIUS服务器兼容情况下,该命令用来配置上行带宽在RADIUS报文中Vendor Specific属性名的属性号。
缺省情况下为2。
【举例】
# 配置H3C Cams兼容模式的上行带宽属性号为7。
H3C(config-aaa)# uprate-value 7
【命令】
radius 8021p enable
undo radius 8021p
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来配置用户认证成功后是否修改该用户所在端口的优先级,该命令的undo形式执行删除操作。
缺省功能关闭。
优先级的值通过RADIUS报文中的Vendor Specific属性名中的77属性号传递,此属性号可以通过radius config-attribute命令进行修改。
【举例】
# 开启功能。
H3C(config-aaa)#radius 8021p enable
【命令】
radius accounting
[undo]radius accounting
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来配置用户认证后是否需要启动计费,从而达到认证和计费分离。如果关闭了计费功能,则用户只需要认证通过后就可以上网,不进行计费。
【举例】
# 关闭计费功能。
H3C(config-aaa)# undo radius accounting
【命令】
[undo] radius attribute client-version
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来配置H3C Cams兼容模式下是否将H3C客户端版本信息发送到RADIUS服务器,该命令的undo形式执行删除操作。
默认功能关闭。
【举例】
# 发送H3C客户端版本信息到RADIUS服务器。
H3C(config-aaa)# radius attribute client-version
【命令】
radius bandwidth-limit enable
undo radius bandwidth-limit
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来配置用户认证成功后是否修改该用户所在端口的带宽控制,该命令的undo形式执行删除操作。
默认功能关闭。
上/下行带宽的值通过RADIUS报文中的Vendor Specific属性名中的75/76属性号传递,此属性号可以通过radius config-attribute命令进行修改。
【举例】
# 开启功能。
H3C(config-aaa)# radius bandwidth-limit enable
【命令】
radius config-attribute { access-bandwidth { downlink | uplink } | dscp | mac-address-number } type
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
access-bandwidth downlink:配置下行带宽,缺省为75。
access-bandwidth uplink:配置上行带宽,缺省为76。
dscp:配置优先级,缺省为77。
mac-address-number:MAC地址数目限制,缺省为50。
type:属性号。
【描述】
该命令用来配置相关RADIUS扩展特性的值通过RADIUS报文中的Vendor Specific属性名中的那个属性号进行传递。
【举例】
# 配置优先级的值属性号为80。
H3C(config-aaa)# radius config-attribute dscp 80
【命令】
radius host radius-scheme
undo radius radius-scheme
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
radius-scheme:RADIUS服务器名称, 取值范围是1~32个字符,不区分大小写且不能包含空格。
【描述】
该命令用来创建RADIUS服务器,并进入该RADIUS服务器配置模式。如果RADIUS服务器已存在,则直接进入该服务器配置模式。此命令的undo形式是删除radius-scheme指定的RADIUS服务器。
【举例】
# 新建并进入RADIUS服务器myScheme。
H3C(config-aaa)#radius host myScheme
H3C(config-aaa-radius- myScheme)#
【命令】
radius mac-address-number enable
undo radius mac-address-number
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来配置用户认证成功后是否修改该用户所在端口的MAC地址学习数目限制,该命令的undo形式执行删除操作。
默认功能关闭。
MAC地址学习数目限制的值通过RADIUS报文中的Vendor Specific属性名中的50属性号传递,此属性号可以通过radius config-attribute命令进行修改。
【举例】
# 开启功能。
H3C(config-aaa)#radius mac-address-number enable
【命令】
radius server-disconnect drop 1x
undo radius server-disconnect drop 1x
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来设置在计费操作没有响应的时候是否让用户下线,该命令的undo形式执行删除操作。
默认功能关闭。
【举例】
# 使能该功能。
H3C(config-aaa)# radius server-disconnect drop 1x
【命令】
radius vlan enable
undo radius vlan
【视图】
AAA配置模式
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来配置用户认证成功后是否修改该用户所在端口的PVID,该命令的undo形式执行删除操作。
默认功能关闭。
PVID的值通过RADIUS报文中的Tunnel-Pvt-Group-ID属性名进行传递。
【举例】
# 开启功能。
H3C(config-aaa)# radius vlan enable
【命令】
realtime-account interval minute
undo realtime-account
【视图】
RADIUS服务器配置模式
【缺省级别】
2:系统级
【参数】
minute:中间计费报文间隔,取值范围:1~255,单位为分钟。
【描述】
该命令用来设置当前RADIUS服务器的中间计费功能,设置是否发送中间计费报文,如果发送,间隔是多少。undo命令关闭中间计费功能。
缺省情况中间计费功能打开,发送间隔为12分钟。
【举例】
# 设置RADIUS服务器打开中间计费报文发送功能,发送间隔为30分钟。
H3C(config-aaa-radius-green)#realtime-account interval 30
# 关闭中间计费报文发送功能。
H3C(config-aaa-radius-green)#undo realtime-account
【命令】
second-acct-ip server-ip accounting-port
undo second-acct-ip
【视图】
RADIUS服务器配置模式
【缺省级别】
2:系统级
【参数】
server-ip:次计费RADIUS服务器IP地址。
accounting-port:认证端口,取值范围:1~65535。
【描述】
该命令用来设置次计费RADIUS服务器的IP地址和端口,此命令的undo形式是删除相关配置。
缺省情况下计费端口为1813。
【举例】
# 设置次计费RADIUS服务器主IP地址为192.168.0.100,计费端口为1813。
H3C(config-aaa-radius-green)# second-acct-ip 192.168.0.100 1813
【命令】
second-auth-ip server-ip authentication-port
undo second-auth-ip
【视图】
RADIUS服务器配置模式
【缺省级别】
2:系统级
【参数】
server-ip:次认证RADIUS服务器IP地址。
authentication-port:认证端口,取值范围:1~65535。
【描述】
该命令用来设置次认证RADIUS服务器的IP地址和端口,此命令的undo形式是删除相关配置。
缺省情况下认证端口为1812。
【举例】
# 设置次认证RADIUS服务器主IP地址为192.168.0.100,认证端口为1812。
H3C(config-aaa-radius-green)# second-auth-ip 192.168.0.100 1812
【命令】
username-format with-domain
username-format without-domain
【视图】
RADIUS服务器配置模式
【缺省级别】
2:系统级
【参数】
with-domain:用户名带域名。
without-domain:用户名不带域名。
【描述】
该命令用来设定OLT发往RADIUS服务器的报文中的用户名是否携带域名。
缺省值为with-domain。
在网络实际应用中,有些RADIUS服务器支持用户名带域名,有些不支持,所以在配置RADIUS服务器时可以根据实际情况选择是否携带域名。
【举例】
# 设置OLT发往服务器名为green的RADIUS服务器的报文中用户名不带域名。
H3C(config-aaa-radius-green)#username-format without-domain
802.1X配置相关命令包括:
· dot1x method
· dot1x daemon
· dot1x eap-finish
· dot1x eap-transfer
· dot1x max-user
· dot1x port-control
· dot1x re-authenticate
· dot1x re-authentication
· dot1x timeout re-authperiod
· dot1x user cut
· dot1x detect
· dot1x quiet-period-value
· display dot1x
· display dot1x daemon
· display dot1x interface
· display dot1x session
【命令】
dot1x method [ macbased portbased ]
undo dot1x
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来开启802.1X认证功能,此命令的undo形式是关闭802.1X认证功能。
缺省情况下802.1X认证功能处于disable状态。
只有在用dot1x命令打开802.1X认证功能后,802.1X认证功能的配置才能生效。有些命令只有在打开802.1X认证功能后才能使用。
【举例】
# 启动802.1X认证功能,基于用户认证模式。
[H3C] dot1x method macbased
# 关闭802.1X认证功能。
[H3C] undo dot1x
【命令】
dot1x daemon [ time time-value ] [ interface interface-list ]
undo dot1x daemon
【视图】
端口配置模式/系统视图
【缺省级别】
2:系统级
【参数】
time-value:发送802.1x守望报文的间隔,单位为秒,取值范围为10~600。
interface-list:端口列表,表示多个以太网端口,interface-list由端口类型+端口号组成,端口类型是gigabitethernet,端口号的表示形式为slot-num/broad-num/port-num,slot-num取值为1,broad-num是槽号,取值为0,port-num是槽中的端口号,取值范围是1~8,连续的同类端口可以用“to”连接,但紧跟“to”前面的端口号一定要小于紧跟“to”后面的端口号,这种形式最多允许重复3次,在端口模式下无该参数。
【描述】
该命令用来配置端口是否发送802.1x守望报文及发送周期。
缺省情况下不发送802.1x守望报文,打开后默认60秒发送一次。
该命令只有在开启802.1X认证功能后才能使用。
在开启802.1X认证功能时,运营商可根据实际情况配置此功能。
【举例】
# 端口模式下开启以太网端口5守望功能,周期为20秒。
[H3C gigabitethernet 1/0/5] dot1x daemon
[H3C gigabitethernet 1/0/5] dot1x daemon time 20
# 系统视图下开启以太网端口5守望功能,周期为20秒。
[H3C] dot1x daemon interface gigabitethernet 1/0/5
[H3C] dot1x daemon time 20 interface gigabitethernet 1/0/5
# 端口模式下禁止以太网端口5守望功能。
[H3C gigabitethernet 1/0/5] undo dot1x daemon
# 系统视图下禁止以太网端口5守望功能。
[H3C] undo dot1x daemon interface gigabitethernet 1/0/5
【命令】
dot1x eap-finish
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来配置OLT把用户发过来的、用EAP帧封装的802.1X认证报文,先转换为用其他高层次协议(如 RADIUS)封装的数据帧,再转发给RADIUS服务器。
缺省情况下,系统用eap-finish方式转发用户的认证报文。
请根据RADIUS服务器配置情况,选择使用dot1x eap-finish或dot1x eap-transfer命令。如果系统的认证报文转发方式与RADIUS服务器的认证报文接受方式不一致,认证将不能通过。
【举例】
# 将系统的认证报文转发方式设置为eap-finish。
[H3C] dot1x eap-finish
【命令】
dot1x eap-transfer
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
使用该命令后,系统将把用户发过来的、用EAP帧封装的802.1X认证报文不作任何处理直接转发给RADIUS服务器。
缺省情况下用eap-finish方式转发用户的认证报文。
请根据RADIUS服务器配置情况,选择使用dot1x eap-finish或dot1x eap-transfer命令。如果系统的认证报文转发方式与RADIUS服务器的认证报文接受方式不一致,认证将不能通过。
【举例】
# 将系统的认证报文转发方式设置为eap-transfer。
[H3C] dot1x eap-transfer
【命令】
dot1x max-user host-num
undo dot1x max-user
【视图】
端口视图/系统视图
【缺省级别】
2:系统级
【参数】
host-num:1~32的整数。
【描述】
该命令用来配置在802.1x功能打开的情况下一个端口下最多允许多少个用户同时连接,此命令的undo形式将用户数量限制设置为32。
百兆以太网端口的缺省值为32,千兆以太网端口的缺省值为32。
该命令只有在打开802.1X认证功能后才能使用。
在打开802.1X认证功能时,运营商可根据实际情况控制某个端口的最大认证用户数,百兆以太网端口的最大用户数为32,千兆以太网端口的最大用户数为32。
【举例】
# 端口模式下设置以太网端口5允许同时连接的用户数为10。
[H3C gigabitethernet 1/0/5] dot1x max-user 10
# 系统视图下设置以太网端口5允许同时连接的用户数为10。
[H3C] dot1x max-user 10 interface gigabitethernet 1/0/5
# 端口模式下恢复以太网端口5允许同时连接的用户数的设置。
[H3C gigabitethernet 1/0/5] undo dot1x max-user
# 系统视图下恢复以太网端口5允许同时连接的用户数的设置。
[H3C] undo dot1x max-user interface gigabitethernet 1/0/5
【命令】
dot1x port-control { auto | forceauthorized | forceunauthorized }
undo dot1x port-control
【视图】
端口视图/系统视图
【缺省级别】
2:系统级
【参数】
auto:需认证,连接到该类型端口的用户只有在认证通过后,才可访问LAN内的资源。
forceauthorized:强制授权,连接到该类型端口的用户可以直接访问LAN内的资源,不需验证。
forceunauthorized:强制非授权,不允许连接到该类型端口的用户访问LAN内的资源。
【描述】
该命令用来设置端口的控制模式。该命令的undo形式用来恢复端口的控制模式为默认值。
缺省情况下,端口的控制模式为auto。
该命令只有在打开802.1X认证功能后才能使用。
通常在打开802.1X认证功能后,要将系统访问RADIUS服务器的端口的控制模式设置为forceauthorized状态,使系统可以将用户的认证信息传递给RADIUS服务器进行认证。
给用户使用的端口可以设置为auto状态,连接到该类型端口的用户只有在认证通过后,才可访问LAN内的资源。
【举例】
# 若系统访问RADIUS服务器的端口为端口5,在端口配置模式下将该端口的控制模式设置为forceauthorized。
[H3C gigabitethernet 1/0/5] dot1x port-control forceauthorized
# 在系统视图下将该端口的控制模式设置为forceauthorized。
[H3C] dot1x port-control forceauthorized interface gigabitethernet 1/0/5
【命令】
dot1x re-authenticate
【视图】
端口视图/系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来对当前端口进行立即重认证。
该命令只有在打开802.1X认证功能后才能使用。
802.1X立即重认证功能只支持dot1x eap-transfer的报文转发方式。
【举例】
# 端口模式下设置对以太网端口5进行立即重认证。
[H3C gigabitethernet 1/0/5] dot1x re-authenticate
# 系统视图下设置对以太网端口5进行立即重认证。
[H3C] dot1x re-authenticate interface gigabitethernet 1/0/5
【命令】
dot1x re-authentication
undo dot1x re-authentication
【视图】
端口视图/系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来打开802.1X周期重认证功能,此命令的undo形式关闭802.1X周期重认证功能。
缺省为关闭802.1X周期重认证功能。
该命令必须在802.1X认证功能打开后,才能使用。
802.1X周期重认证功能只支持dot1x eap-transfer的报文转发方式。
相关命令dot1x、dot1x eap-finish、dot1x eap-transfer。
【举例】
# 打开以太网端口5的周期重认证功能。
[H3C gigabitethernet 1/0/5] dot1x re-authentication
[H3C] dot1x re-authentication interface gigabitethernet 1/0/5
【命令】
dot1x timeout re-authperiod seconds [ interface interface-num ]
undo dot1x timeout re-authperiod [ interface interface-num ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
seconds:802.1X重认证周期,范围为1~65535秒。
interface-num:选择的端口号。
【描述】
该命令用来设置802.1X重认证周期,此命令的undo形式用来恢复802.1X重认证周期为缺省值。
802.1X重认证周期缺省值为3600秒。
该命令必须在802.1X认证功能打开后,才能使用。
当没有指定端口,即使用上面的第一条命令dot1x timeout re-authperiod时,将修改所有端口的802.1X重认证周期;否则只修改指定端口的802.1X重认证周期。
【举例】
# 将以太网端口3的802.1X重认证周期设为1800。
[H3C] dot1x timeout re-authperiod 1800 interface gigabitethernet 1/0/3
# 恢复所有端口的802.1X重认证周期缺省值。
[H3C] undo dot1x timeout re-authperiod
【命令】
dot1x user cut { username username | mac-address mac-address }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
username:要删除的用户名。
mac-address:要删除的用户的mac地址。
【描述】
该命令用来删除指定的在线用户。
【举例】
# 删除用户名为[email protected]的用户。
[H3C] dot1x user cut username [email protected]
【命令】
dot1x detect { interval time-value | interface interface-num }
undo dot1x detect
【视图】
端口视图/系统视图
【缺省级别】
2:系统级
【参数】
time-value:发送1x心跳报文的间隔,单位为秒。
interface-num:选择的端口号。
【描述】
配置在802.1x用户的心跳检测功能及心跳打开情况下间隔时间。
缺省情况下关闭1x心跳功能,打开后默认是25秒发送一次。
该命令只有在打开802.1X认证功能后才能使用。
在打开802.1X认证功能时,运营商可根据实际情况控制是否向1x认证用户发送心跳检测报文及发送间隔。
【举例】
# 打开1x用户心跳检测功能,周期为50秒。
[H3C] dot1x detect interval 50
【命令】
dot1x quiet-period-value time-value
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
time-value:静默时间的间隔,单位为秒,默认为0表示功能关闭。
【描述】
该命令用来配置静态功能,在802.1x用户在认证失败后某段时间内不能继续进行认证。
缺省情况下关闭。
该命令只有在打开802.1X认证功能后才能使用。
【举例】
# 开启静默功能,配置时间为50秒。
[H3C] dot1x quiet-period-value 50
【命令】
display dot1x
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
无
【描述】
该命令用来显示802.1X认证功能的状态信息,如802.1X认证功能是否打开、使用何种认证方式等。
在配置前,可以先用display命令显示相关信息,再进行配置。
【举例】
# 显示OLT的802.1X认证功能的状态信息。
[H3C] display dot1x
【命令】
display dot1x daemon [ interface interface-num ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
interface-num:指定端口的端口编号。
inerface-num:由端口类型+端口号组成,端口类型是gigabitethernet,端口号的表示形式为slot-num/broad-num/port-num,slot-num取值为1,broad-num是槽号,取值为0,port-num是槽中的端口号,取值范围是1~8。
【描述】
该命令用来显示802.1x认证端口的守望功能配置。
【举例】
# 显示OLT所有端口的802.1x守望状态。
[H3C] display dot1x daemon
【命令】
display dot1x interface [ interface-num ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
interface-num:指定端口的端口编号。
inerface-num:由端口类型+端口号组成,端口类型是gigabitethernet,端口号的表示形式为slot-num/broad-num/port-num,slot-num取值为1,broad-num是槽号,取值为0,port-num是槽中的端口号,取值范围是1~8。
【描述】
该命令用来显示OLT端口的控制模式、重认证状态、重认证周期、端口允许认证最大用户数等配置。
在配置前,可以先用该命令显示相关信息,再进行配置。配置完成后,可以用 display 命令查看修改是否成功。
【举例】
# 显示OLT的以太网端口5的控制模式、重认证状态、重认证周期、端口允许认证最大用户数等配置。
[H3C] display dot1x interface gigabitethernet 1/0/5
【命令】
display dot1x session [ interface interface-num ] [ mac-address mac ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
interface-num:指定端口的端口编号。
inerface-num:由端口类型 + 端口号组成,端口类型是gigabitethernet,端口号的表示形式为slot-num/broad-num/port-num,slot-num取值为1,broad-num是槽号,取值为0,port-num是槽中的端口号,取值范围是1~8。
mac:选择所要查看的mac地址
【描述】
该命令用来显示802.1X功能的统计数据,包括用户的在线状态(端口号、VLAN ID、mac地址、用户名等信息)。
可以用该命令显示用户的在线状态,进行实时监测。
【举例】
# 显示OLT所有认证用户的在线状态。
[H3C] display dot1x session
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
