- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-WLAN用户接入认证命令
本章节下载: 01-WLAN用户接入认证命令 (487.63 KB)
目 录
1.1.2 client url-redirect enable
1.1.3 client-security aaa attribute ip-snooping-method
1.1.4 client-security accounting-delay time
1.1.5 client-security accounting-restart trigger ipv4
1.1.6 client-security accounting-start trigger
1.1.7 client-security accounting-update trigger
1.1.8 client-security authentication critical-vlan
1.1.9 client-security authentication fail-vlan
1.1.10 client-security authorization trigger byod
1.1.11 client-security authentication-location
1.1.12 client-security authentication-mode
1.1.13 client-security authorization-fail offline
1.1.14 client-security ignore-authentication
1.1.15 client-security ignore-authorization
1.1.16 client-security intrusion-protection action
1.1.17 client-security intrusion-protection enable
1.1.18 client-security intrusion-protection timer temporary-block
1.1.19 client-security intrusion-protection timer temporary-service-stop
1.1.21 display dot1x connection
1.1.22 display mac-authentication
1.1.23 display mac-authentication connection
1.1.24 display wlan client-security block-mac
1.1.25 display wlan statistics accounting
1.1.29 dot1x eap-termination authentication-method
1.1.30 dot1x eap-termination eap-profile
1.1.32 dot1x handshake secure enable
1.1.34 dot1x re-authenticate enable
1.1.37 mac-authentication domain
1.1.38 mac-authentication max-user
1.1.39 mac-authentication timer
1.1.40 mac-authentication user-name-format
1.1.42 reset mac-authentication statistics
1.1.43 wlan authentication optimization
1.1.44 wlan client-security authentication clear-previous-connection
client url-redirect acl命令用来配置客户端URL重定向的授权ACL。
undo client url-redirect acl命令用来恢复缺省情况。
【命令】
client url-redirect acl acl-number
undo client url-redirect acl
【缺省情况】
未配置客户端URL重定向的授权ACL。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
acl-number:重定向授权ACL编号,取值范围为2000~3999。
【使用指导】
配置本命令后,设备既下发重定向授权ACL又可以下发业务ACL。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置重定向授权ACL 3111。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect acl 3111
【相关命令】
· client url-redirect enable
client url-redirect enable命令用来开启客户端URL重定向功能。
undo client url-redirect enable命令用来关闭客户端URL重定向功能。
【命令】
client url-redirect enable [ mode native [ https [ redirect-stop-timer seconds ][ count number ] ] ]
undo client url-redirect enable
【缺省情况】
客户端URL重定向功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
mode native:指定URL重定向方式为本地重定向,即设备会对初次上线进行MAC地址认证的用户进行URL重定向。
https:对于HTTPS的报文进行本地重定向。
redirect-stop-timer seconds:URL重定向结束时间,取值范围为1~30秒,单位秒,缺省为5秒。
count number:访问URL重定向IP地址的次数,取值范围为3~60,缺省为3。
【使用指导】
该功能只能在无线服务模板处于关闭状态时配置。
本功能仅适用于客户端采用RADIUS服务器认证方式进行的MAC地址认证。
在用户进行MAC地址认证上线过程中,如果RADIUS服务器上没有记录用户及其MAC地址的对应信息,但仍需要用户进行认证时,可以通过在设备上开启URL重定向功能。开启后,用户可以根据RADIUS服务器下发的重定向URL,跳转到指定的Web认证界面进行Portal用户认证。Portal用户认证通过后,RADIUS服务器将记录用户的MAC地址信息,并通过DM报文强制用户下线,此后该用户即可正常完成MAC地址认证。有关DM报文的详细介绍请参见“用户接入与认证配置指导”中的“AAA”。
对于有信息推广需求的客户,需要指定URL重定向为本地重定向,此后设备就会对初次上线进行MAC地址认证的用户进行URL重定向。指定URL重定向为本地重定向后,设备对重定向URL进行一次重定向,一旦确定用户访问过重定向URL,设备将不再进行重定向,此后用户可以正常完成MAC地址认证:
· 对于HTTP的报文,用户只要访问过重定向URL,设备就会认为用户访问过重定向URL。
· 对于HTTPS的报文,用户只有在指定的重定向时间内访问重定向IP地址达到指定次数,设备才会认为用户访问过重定向URL。
只要设备上没有用户Cache相关信息,就认为该用户为初次上线用户。
配置client url-redirect enable mode native时,必须配置client url-redirect acl。
【举例】
# 在无线服务模板service1下开启客户端URL重定向功能,并配置对于URL重定向为本地重定向,对于HTTPS报文配置重定向结束时间为10秒、访问重定向IP地址的次数为10次。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect enable mode native https redirect-stop-timer 10 count 10
【相关命令】
· client url-redirect acl
client-security aaa attribute ip-snooping-method命令用来开启RADIUS报文携带用户IP地址学习方式的功能。
undo client-security aaa attribute ip-snooping-method命令用来恢复缺省情况。
【命令】
client-security aaa attribute ip-snooping-method
undo client-security aaa attribute ip-snooping-method
【缺省情况】
RADIUS报文携带用户IP地址学习方式的功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能,在无线802.1X认证或MAC地址认证的RADIUS报文中携带RADIUS扩展属性,标识用户IP地址学习方式。设备支持的RADIUS扩展属性Vendor-ID为25506,属性的具体介绍请参见“用户接入与认证配置指导”中的“AAA”的“附录C RADIUS扩展属性(Vendor-ID=25506)”。
RADIUS服务器可以根据通过RADIUS扩展属性判断IP地址是否属于服务器分配。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下,开启RADIUS报文携带用户IP地址方式功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security aaa attribute ip-snooping-method
client-security accounting-delay time命令用来开启计费延时功能。
undo client-security accounting-delay time命令用来恢复缺省情况。
【命令】
client-security accounting-delay time time [ no-ip-logoff ]
undo client-security accounting-delay time
【缺省情况】
学习到无线客户端的IP地址后,才会向计费服务器发起计费开始请求。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time time:计费延时的时长,取值范围为1~600,单位为秒。
no-ip-logoff:如果设备在指定的延时时间内没有获取到无线客户端IP地址,则让客户端下线。若不指定该参数,则设备在指定计费延时时间到达后,将会发送计费开始请求报文。
【使用指导】
如果在指定的计费延时时间内设备没有学习到指定类型客户端的IP地址,则执行相应的计费延时动作。触发计费开始的无线客户端IP地址类型由client-security accounting-start trigger命令的配置决定,当客户端IP地址类型为none时,计费延时功能不生效。
建议根据设备获取IP地址的时长来配置计费延时的时长,若网络环境较差,设备需要较长的时间获取到IP地址,则可适当增大该值。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置计费延时时间为15秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-delay time 15 no-ip-logoff
【相关命令】
· client-security accounting-start trigger
client-security accounting-restart trigger ipv4命令用来开启IPv4地址变化客户端的重新计费功能。
undo client-security accounting-restart trigger ipv4命令用来恢复缺省情况。
【命令】
client-security accounting-restart trigger ipv4 [ delay interval ]
undo client-security accounting-restart trigger ipv4
【缺省情况】
IPv4地址变化客户端的重新计费功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
delay interval:重新发送计费开始报文的延迟时间,取值范围为0~20,单位为秒,缺省取值为15秒。
【使用指导】
通过client-security accounting-update trigger命令配置触发计费更新的无线客户端IP地址类型为IPv4后,当客户端IPv4地址发生变化时,设备就会立即向计费服务器发送计费更新报文,对客户端进行重新计费;开启本功能后,当客户端IPv4地址发生变化时,首先设备会立即向计费服务器发送计费停止报文,然后经过配置的重新发送计费开始报文的延时时间,再重新向计费服务器发送计费开始报文,对客户端进行重新计费。
client-security accounting-restart trigger ipv4命令的优先级高于client-security accounting-update trigger命令。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下,开启IPv4地址变化客户端的重新计费功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-restart trigger ipv4
client-security accounting-start trigger命令用来配置触发计费开始的无线客户端IP地址类型。
undo client-security accounting-start trigger命令用来恢复缺省情况。
【命令】
client-security accounting-start trigger { ipv4 | ipv4-ipv6 | ipv6 | none }
undo client-security accounting-start trigger
【缺省情况】
触发计费开始的无线客户端IP地址类型为IPv4。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6。
ipv6:表示无线客户端IP地址类型为IPv6。
none:表示设备在无线客户端认证成功后就会发送计费开始请求报文。
【使用指导】
无线客户端通过802.1X认证或者MAC地址认证方式上线后,设备会根据触发计费开始的无线客户端IP地址类型决定是否向计费服务器发送计费开始请求报文,当计费服务器返回计费开始响应报文后开始对客户端进行计费。
配置触发计费开始的无线客户端IP地址类型时,需要开启相应类型的客户端地址学习功能,配置才会生效,否则无法触发计费开始。有关客户端地址学习功能的详细介绍请参见“用户接入与认证配置指导”中的“WLAN IP Snooping”。
本命令配置的无线客户端IP地址类型需要满足计费服务器的协议要求。
无线服务模板开启后,再配置本特性,新配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置触发计费开始的无线客户端IP地址类型为IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-start trigger ipv4
【相关命令】
· client ipv4-snooping arp-learning enable(用户接入与认证命令参考/WLAN IP Snooping)
· client ipv4-snooping dhcp-learning enable(用户接入与认证命令参考/WLAN IP Snooping)
· client ipv6-snooping dhcpv6-learning enable(用户接入与认证命令参考/WLAN IP Snooping)
· client ipv6-snooping nd-learning enable(用户接入与认证命令参考/WLAN IP Snooping)
· client ipv6-snooping snmp-nd-report enable(用户接入与认证命令参考/WLAN IP Snooping)
· client-security accounting-delay
· client-security accounting-update trigger
client-security accounting-update trigger命令用来配置触发计费更新的无线客户端IP地址类型。
undo client-security accounting-update trigger命令用来恢复缺省情况。
【命令】
client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 }
undo client-security accounting-update trigger
【缺省情况】
根据计费服务器下发或设备配置的实时计费的时间间隔周期性发送计费更新请求报文。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4,设备仅在学习到客户端IPv4地址变化时才会发送计费更新请求报文。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6,设备只要学习到客户端IP地址变化就会发送计费更新请求报文。
ipv6:表示无线客户端IP地址类型为IPv6,设备仅在学习到客户端IPv6地址变化时才会发送计费更新请求报文。
【使用指导】
仅当触发计费开始的无线客户端IP地址类型配置生效时,触发计费更新的无线客户端IP地址类型的配置才会生效。
当完成该配置后,该配置和周期性发送计费更新报文功能同时生效。
假设配置的触发计费更新的无线客户端IP地址类型为IPv6,周期性发送计费更新报文功能配置的实时计费间隔为12分钟(timer realtime-accounting命令配置),则设备会每隔12分钟发起一次计费更新请求,且当在线客户端IPv6地址发生变化时,设备也会立即发送计费更新请求报文。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板下,配置触发计费更新的客户端IP地址类型为IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-update trigger ipv4
【相关命令】
· client-security accounting-start trigger
· timer realtime-accounting(用户接入与认证命令参考/AAA)
client-security authentication critical-vlan命令用来配置服务模板下的Critical VLAN。
undo client-security authentication critical-vlan命令用来恢复缺省情况。
【命令】
client-security authentication critical-vlan vlan-id
undo client-security authentication critical-vlan
【缺省情况】
未配置Critical VLAN。
【视图】
【缺省用户角色】
【参数】
vlan-id:Critical VLAN 的VLAN ID,取值范围为1~4094。
【使用指导】
Critical VLAN功能允许用户在认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源,这个VLAN称之为Critical VLAN。配置Critical VLAN后,当用户认证时,若所有认证服务器都不可达,则用户将被加入该VLAN,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证:
· 如果重认证通过,设备会根据授权服务器是否下发VLAN来重新指定该用户所在VLAN。即如果授权服务器下发了VLAN,则该用户将被加入该下发的VLAN,否则该用户将被加入其原来所属的VLAN。
· 如果重认证未通过,当认证服务不可达时,用户仍然仅可访问Critical VLAN中的资源,当认证服务器可达但因某种原因明确拒绝用户认证通过,且配置了Fail VLAN时,用户可以访问Fail VLAN中的资源。
需要注意的是,如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达,则用户会直接下线,不会加入Critical VLAN;在配置了client-security ignore-authentication命令后,认证不可达的客户端,会因为忽略了认证结果而加入用户VLAN,而不是Critical VLAN。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置Critical VLAN为VLAN 10。
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication critical-vlan 10
client-security authentication fail-vlan命令用来配置服务模板下的认证失败VLAN。
undo client-security authentication fail-vlan命令用来恢复缺省情况。
【命令】
client-security authentication fail-vlan vlan-id
undo client-security authentication fail-vlan
【缺省情况】
未配置认证失败VLAN。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
vlan-id:认证失败VLAN的VLAN ID,取值范围为1~4094。
【使用指导】
这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
配置认证失败的VLAN必须是已经存在的VLAN。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板1下配置认证失败VLAN为VLAN 10。
<Sysname> sysname-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client-security authentication fail-vlan 10
client-security authorization trigger byod命令用来开启BYOD触发授权功能。
undo client-security authorization trigger byod命令用来关闭BYOD触发授权功能。
【命令】
client-security authorization trigger byod
undo client-security authorization trigger byod
【缺省情况】
BYOD触发授权功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当网络状况较好时,建议开启BYOD触发授权功能,用户认证完成后,接入设备会在获取到客户端BYOD信息后触发授权。有关BYOD相关信息,请参见“用户接入与认证配置指导”的“AAA”。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启BYOD触发授权功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization trigger byod
client-security authentication-location命令用来配置WLAN用户接入认证位置。
undo client-security authentication-location命令用来恢复缺省情况。
【命令】
client-security authentication-location { ac | ap | central-ac }
undo client-security authentication-location
【缺省情况】
WLAN用户接入认证位置在AC上。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ac:在分层AC架构中,表示WLAN用户接入认证位置在Local AC上;在非分层AC架构中,表示WLAN用户接入认证位置在AC上。
ap:配置WLAN用户接入认证位置在AP上。
central-ac:在分层AC架构中,表示WLAN用户接入认证位置在Central AC上。
【使用指导】
仅在分层AC架构中,可以配置WLAN用户接入认证位置在Central AC上,否则会导致用户认证失败。有关分层AC的详细介绍,请参见“WLAN高级功能配置指导”中的“分层AC”。
当客户端数据报文转发位置为AC时,配置的用户接入认证位置不能为AP,否则会导致用户认证失败。有关客户端数据报文转发位置命令的详细介绍,请参见“WLAN接入命令参考”中的“WLAN接入”。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 配置客户端的用户认证位置在AC上。
<Sysname> system-view
[Sysname] wlan service-template s1
[Sysname-wlan-st-s1] client-security authentication-location ac
【相关命令】
· client forwarding-location(WLAN接入命令参考-WLAN接入)
client-security authentication-mode命令用来配置无线用户接入认证模式。
undo client-security authentication-mode命令用来恢复缺省情况。
【命令】
client-security authentication-mode { dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x | mac-and-dot1x }
undo client-security authentication-mode
【缺省情况】
不对用户进行接入认证即Bypass认证。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
dot1x:表示只进行802.1X认证。
dot1x-then-mac:表示先进行802.1X认证,如果失败,再进行MAC地址认证。如果认证成功,则不进行MAC地址认证。
mac:表示只进行MAC地址认证。
mac-then-dot1x:表示先进行MAC地址认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。
oui-then-dot1x:表示先进行OUI认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。
mac-and-dot1x:表示既进行MAC地址认证,又进行802.1X认证。先进行MAC地址认证,如果失败,则不再进行认证。如果认证成功,则再进行802.1X认证。
【使用指导】
以上各模式下,每个无线服务模板上均允许接入多个认证通过的用户。802.1X用户的数目由dot1x max-user命令配置,MAC地址认证用户的数目由mac-authentication max-user命令配置。
本命令只能在无线服务模板处于关闭状态时配置。
dot1x-then-mac、mac-then-dot1x和oui-then-dot1x模式需要通过iNode进行认证,当选择如上模式时,请确保终端上已安装iNode客户端。
【举例】
# 在无线服务模板service1下配置无线用户接入认证模式为MAC地址认证模式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication-mode mac
client-security authorization-fail offline命令用来开启授权失败后的用户下线功能。
undo client-security authorization-fail offline命令用来关闭授权失败后的用户下线功能。
【命令】
client-security authorization-fail offline
undo client-security authorization-fail offline
【缺省情况】
授权失败后的用户下线功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
如果开启了授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;
如果没有开启授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效,设备打印Log信息。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启授权失败用户下线功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization-fail offline
client-security ignore-authentication命令用来配置忽略802.1X或MAC地址认证结果。
undo client-security ignore-authentication命令用来恢复缺省情况。
【命令】
client-security ignore-authentication
undo client-security ignore-authentication
【缺省情况】
对于802.1X认证方式的无线用户,应用802.1X认证结果;对于通过RADIUS服务器进行远程MAC地址认证的无线用户,应用MAC地址认证结果。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本功能仅适用于采用802.1X认证方式的无线用户以及通过RADIUS服务器进行远程MAC地址认证+Portal认证的无线用户。
若某无线服务模板下有漫游的RSN+802.1X认证方式的无线用户上线,请勿配置本功能,否则会导致漫游失败。
本功能适用于以下两种用户:
· 对于802.1X认证的无线用户,开启本功能后,当802.1X认证失败时,设备会忽略这一认证结果,允许用户访问网络资源。
· 对于通过RADIUS服务器进行远程MAC地址认证+Portal认证的无线用户,需要依次通过MAC地址认证和Portal认证才能访问网络资源,且每次都需要输入Portal用户名和密码。配置本功能后,可以简化上述认证过程。简化后的认证过程如下:
¡ 若RADIUS服务器上已经记录了用户和客户端MAC地址的对应信息,判断用户通过MAC地址认证,且不需要进行Portal认证即可访问网络资源。
¡ 若RADIUS服务器上未记录用户和客户端MAC地址的对应信息,判断MAC地址认证失败。此时,设备忽略这一认证结果,直接进行Portal认证。Portal认证通过后即可访问网络资源,同时RADIUS服务器将记录该用户和客户端MAC地址的对应信息。
本功能只能在无线服务模板处于关闭的状态下进行配置。
【举例】
# 在无线服务模板service1下配置忽略802.1X或MAC地址认证的结果。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authentication
client-security ignore-authorization命令用来配置忽略RADIUS服务器或设备本地下发的授权信息。
undo client-security ignore-authorization命令用来恢复缺省情况。
【命令】
client-security ignore-authorization
undo client-security ignore-authorization
【缺省情况】
应用RADIUS服务器或设备本地下发的授权信息。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。若不希望接受这类动态下发的授权属性,则可通过配置本命令来忽略。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置忽略RADIUS服务器或设备本地下发的授权信息。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authorization
client-security intrusion-protection action命令用来配置当接收到非法报文时采取的入侵检测模式。
undo client-security intrusion-protection action命令用来恢复缺省情况。
【命令】
client-security intrusion-protection action { service-stop | temporary-block | temporary-service-stop }
undo client-security intrusion-protection action
【缺省情况】
入侵检测模式为temporary-block模式。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
service-stop:直接关闭收到非法报文的BSS提供的所有服务。用户可以手工在Radio口上重新生成该BSS使得用户正常接入。
temporary-block:临时将用户MAC加入阻塞MAC列表中。临时阻止非法用户上线的时间由client-security intrusion-protection timer temporary-block命令配置。
temporary-service-stop:临时将收到非法报文的BSS所提供的所有服务关闭。临时关闭收到非法报文的BSS所提供服务的时间由client-security intrusion-protection timer temporary-service-stop命令配置。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
只有开启入侵检测功能后,入侵检测措施才生效。开启入侵检测功能由client-security intrusion-protection enable命令配置。
【举例】
# 在无线服务模板service1下配置入侵检测措施为service-stop。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action service-stop
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection timer temporary-block
· client-security intrusion-protection timer temporary-service-stop
client-security intrusion-protection enable命令用来开启入侵检测功能。
undo client-security intrusion-protection enable命令用来关闭入侵检测功能。
【命令】
client-security intrusion-protection enable
undo client-security intrusion-protection enable
【缺省情况】
入侵检测功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当设备检测到一个认证失败的用户试图通过该无线服务模板绑定的BSS(基本服务集)接入时,如果入侵检测功能处于开启状态,则设备将对其所在的BSS采取相应的安全措施。具体的安全措施由client-security intrusion-protection action命令指定。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启入侵检测功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
【相关命令】
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-block命令用来配置临时阻塞非法入侵用户的时长。
undo client-security intrusion-protection timer temporary-block命令用来恢复缺省情况。
【命令】
client-security intrusion-protection timer temporary-block time
undo client-security intrusion-protection timer temporary-block
【缺省情况】
临时阻塞非法入侵用户时间为180秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:临时阻塞非法入侵用户时长,取值范围为60~300,单位为秒。
【使用指导】
当入侵检测功能处于使能状态且入侵检测措施为临时阻塞非法用户(temporary-block)时,如果用户认证失败,则在该配置所指定的时间范围内,源MAC地址为此非法MAC地址的用户将无法认证成功,在这段时间之后恢复正常。
当无线服务模板使能后,若修改临时阻塞非法用户的时长,则新的配置在原有定时器超时后生效。
【举例】
# 在无线服务模板service1下配置临时阻塞非法入侵用户时长为120秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-block
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-block 120
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-service-stop命令用来配置临时关闭BSS服务的时长。
undo client-security intrusion-protection timer temporary-service-stop命令用来恢复缺省情况。
【命令】
client-security intrusion-protection timer temporary-service-stop time
undo client-security intrusion-protection timer temporary-service-stop
【缺省情况】
临时关闭BSS服务时长为20秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:临时关闭BSS服务的时长,取值范围为10~300,单位为秒。
【使用指导】
当入侵检测功能处于使能状态,且入侵检测措施为临时关闭服务(temporary-service-stop)时,如果设备检测到非法报文,则在该配置指定的时间段内关闭用户所在的BSS所提供的所有服务,在此期间用户将无法通过该服务接入网络,这段时间之后恢复正常。
当无线服务模板使能后,若修改临时关闭BSS服务的时长,则新的配置在原有定时器超时后生效。
【举例】
# 在无线服务模板service1下配置临时关闭BSS服务的时长为30秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-service-stop
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-service-stop 30
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
display dot1x命令用来显示802.1X的相关信息。
【命令】
display dot1x [ sessions | statistics ] [ ap ap-name [ radio radio-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
sessions:显示802.1X的会话连接信息。
statistics:显示802.1X的相关统计信息。
ap ap-name:显示指定AP的所有802.1X的详细信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。
radio radio-id:显示指定Radio的所有802.1X的详细信息。radio-id表示Radio编号,取值范围与设备型号有关。不指定该参数,则表示显示指定AP的所有Radio的802.1X的详细信息。
【使用指导】
如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。
【举例】
# 显示802.1X的所有信息。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
M-LAG member configuration conflict : Unknown
EAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Offline detect period : 300 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
SmartOn supp timeout : 30 s
SmartOn retry counts : 3
User aging period for Auth-Fail VLAN : 1000 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
EAD assistant function : Disabled
URL : http://www.dwsoft.com
Free IP : 6.6.6.0 255.255.255.0
EAD timeout : 30 min
Domain delimiter : @
Max EAP-TLS fragment (to-server) : 400 bytes
Online 802.1X wired users : 1
Online 802.1X wireless users : 1
AP name: AP1 Radio ID: 1 SSID: wlan_dot1x_ssid
BSSID : 1111-1111-1111
802.1X authentication : Enabled
Handshake : Enabled
Handshake security : Disabled
Periodic reauth : Disabled
Mandatory auth domain : Not configured
Max online users : 256
EAPOL packets: Tx 3, Rx 3
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0002 Authenticated
表1-1 display dot1x命令显示信息描述表
|
字段 |
描述 |
|
Global 802.1X parameters |
全局802.1X参数配置信息 |
|
802.1X authentication |
全局802.1X的开启状态 |
|
M-LAG member configuration conflict |
(暂不支持)两台M-LAG设备配置检查结果 · Conflicted:两台M-LAG设备上的配置不匹配 · Not conflicted:两台M-LAG设备上配置的相匹配 · Unknown:无法检测两台M-LAG设备上的配置是否匹配 |
|
CHAP authentication |
启用EAP终结方式,并采用CHAP认证方法 |
|
EAP authentication |
启用EAP中继方式,并支持所有EAP认证方法 |
|
PAP authentication |
启用EAP终结方式,并采用PAP认证方法 |
|
Max-tx period |
用户名请求超时定时器的值 |
|
Handshake period |
握手定时器的值 |
|
Offline detect period |
下线检测定时器的值 |
|
Quiet timer |
静默定时器的开启状态 |
|
Quiet period |
静默定时器的值 |
|
Supp timeout |
客户端认证超时定时器的值 |
|
Server timeout |
认证服务器超时定时器的值 |
|
Reauth period |
重认证定时器的值 |
|
Max auth requests |
设备向接入用户发送认证请求报文的最大次数 |
|
SmartOn switch ID |
(暂不支持)SmartOn的Switch ID |
|
SmartOn supp timeout |
(暂不支持)SmartOn的客户端认证超时定时器的时长 |
|
User aging period for Auth-Fail VLAN |
Auth-Fail VLAN中用户的老化时间 |
|
User aging period for critical VLAN |
Critical VLAN中用户的老化时间 |
|
User aging period for guest VLAN |
(暂不支持)Guest VLAN中用户的老化时间 |
|
EAD assistant function |
EAD快速部署辅助功能的开启状态 |
|
URL |
用户HTTP访问的重定向URL |
|
Free IP |
用户通过认证之前可访问的网段 |
|
EAD timeout |
EAD老化定时器超时时间 |
|
Domain delimiter |
域名分隔符 |
|
Max EAP-TLS fragment (to-server) |
向认证服务器发送的认证报文中携带的EAP-TLS分片报文最大长度 若未配置EAP-TLS分片报文最大长度,则显示为N/A |
|
Online 802.1X wired users |
在线802.1X有线用户和正在发起认证的802.1X有线用户的总数 |
|
Online 802.1X wireless users |
在线802.1X无线用户和正在发起认证的802.1X无线用户的总数 |
|
AP name |
AP名称 |
|
Radio ID |
Radio编号 |
|
SSID |
服务集标识符 |
|
BSSID |
基本服务集标识符 |
|
802.1X authentication |
端口上802.1X的开启状态 |
|
Handshake |
在线用户握手功能的开启状态 |
|
Handshake security |
安全握手功能的开启状态 |
|
Periodic reauth |
周期性重认证功能的开启状态 |
|
Mandatory auth domain |
端口上的接入用户使用的强制认证域 |
|
Max online users |
本端口最多可容纳的接入用户数 |
|
EAPOL packets |
EAPOL报文数目。Tx表示发送的报文数目;Rx表示接受的报文数目 |
|
Sent EAP Request/Identity packets |
发送的EAP Request/Identity报文数 |
|
EAP Request/Challenge packets |
发送的EAP Request/Challenge报文数 |
|
EAP Success packets |
发送的EAP Success报文数 |
|
EAP Failure packets |
发送的EAP Failure报文数 |
|
Received EAPOL Start packets |
接收的EAPOL Start报文数 |
|
EAPOL LogOff packets |
接收的EAPOL LogOff报文数 |
|
EAP Response/Identity packets |
接收的EAP Response/Identity报文数 |
|
EAP Response/Challenge packets |
接收的EAP Response/Challenge报文数 |
|
Error packets |
接收的错误报文数 |
|
Online 802.1X users |
端口上的在线802.1X用户和正在发起认证的802.1X用户的总数 |
|
MAC address |
802.1X用户的MAC地址 |
|
Auth state |
802.1X用户的认证状态 |
display dot1x connection命令用来显示当前802.1X在线用户的详细信息。
【命令】
display dot1x connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-address | user-name name-string ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示接入指定AP的所有802.1X在线用户的信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
radio radio-id:显示接入指定Radio的802.1X在线用户的信息。radio-id表示Radio编号,取值范围与设备型号有关。不指定该参数,则表示显示接入AP下所有Radio的802.1X在线用户的信息。
slot slot-number:显示指定成员设备上的802.1X在线用户信息。slot-number表示设备在云集群中的成员编号。若不指定该参数,则表示所有成员设备上的802.1X在线用户信息。
user-mac mac-address:显示指定MAC地址的802.1X在线用户信息。其中mac-address表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
user-name name-string:显示指定用户名的802.1X在线用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
【举例】
# 显示所有802.1X在线用户信息。
<Sysname> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Anonymous username : test
Authentication domain : 1
IPv4 address : 192.168.1.1
IPv6 address : 2000:0:0:0:1:2345:6789:abcd
Authentication method : CHAP
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : http://oauth.h3c.com
Authorization IPv6 URL : N/A
Termination action : Default
Session timeout last from : 2023/05/30 17:32:42
Session timeout period : 86400 s
Online from : 2023/05/30 11:20:41
Online duration : 6h 18m 39s
表1-2 display dot1x connection 命令显示信息描述表
|
字段 |
描述 |
|
Total connections |
在线802.1X认证用户个数 |
|
User MAC address |
用户的MAC地址 |
|
AP name |
AP的名称 |
|
Radio ID |
Radio的ID |
|
SSID |
服务集标识符 |
|
BSSID |
用户所属的基本服务集标识符 |
|
Username |
用户名 |
|
Anonymous username |
匿名用户的用户名,若未配置匿名用户名,则显示为N/A |
|
Authentication domain |
认证时使用的ISP域的名称 |
|
IPv4 address |
用户IP地址 若未获取到用户的IP地址,则不显示该字段 |
|
IPv6 address |
用户IPv6地址 若未获取到用户的IP地址,则不显示该字段 |
|
Authentication method |
802.1X系统的认证方法 · CHAP:启用EAP终结方式,并采用CHAP认证方法 · EAP:启用EAP中继方式,并支持所有EAP认证方法 · PAP:启用EAP终结方式,并采用PAP认证方法 |
|
Initial VLAN |
初始的VLAN |
|
Authorization VLAN |
授权的 VLAN |
|
Authorization ACL number |
授权ACL的编号。若未授权ACL,则显示N/A;若未授权成功,则在ACL编号后显示“(NOT effective)” |
|
Authorization user profile |
授权用户的User profile名称 |
|
Authorization CAR |
当服务器未授权用户CAR属性时,该字段显示为N/A。 当服务器授权用户CAR属性,将分为以下四个字段: · Average input rate :上行平均速率,单位为kbps · Peak input rate:上行峰值速率,单位为kbps · Average output rate:下行平均速率,单位为kbps · Peak output rate:下行峰值速率,单位为kbps 若只下发上、下行平均速率,则该上、下行峰值速率默认与其平均速率相同。目前不支持服务器单独授权上、下行峰值速率 |
|
Authorization URL |
授权的重定向URL |
|
Authorization IPv6 URL |
授权的IPv6重定向URL |
|
Termination action |
服务器下发的终止动作类型: · Default:会话超时时长到达后,强制用户下线。但是,如果设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.1X用户发起重认证,而不会强制用户下线 · Radius-Request:会话超时时长到达后,要求802.1X用户进行重认证 用户采用本地认证时,该字段显示为Default |
|
Session timeout last from |
会话超时的时间 |
|
Session timeout period |
服务器下发的会话超时定时器,单位为秒。该定时器超时后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定 |
|
Online from |
用户的上线时间 |
|
Online duration |
用户的在线时长 |
display mac-authentication命令用来显示MAC地址认证的相关信息。
【命令】
display mac-authentication [ ap ap-name [ radio radio-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示指定AP的所有MAC地址认证的详细信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。
radio radio-id:显示指定Radio的所有的MAC地址认证的详细信息。radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则显示指定AP的所有Radio的MAC地址认证的详细信息。
【使用指导】
如果不指定任何参数,则显示所有在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
【举例】
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
M-LAG member configuration conflict : Unknown
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
MAC range accounts : 0
MAC address Mask Username
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : Not configured, use default domain
HTTP proxy port list : Not configured
HTTPS proxy port list : Not configured
Online MAC-auth wired users : 0
Online MAC-auth wireless users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
AP name: AP1 Radio ID: 1 SSID: wlan_maca_ssid
BSSID : 1111-1111-1111
MAC authentication : Enabled
Authentication domain : Not configured
Max online users : 256
Authentication attempts : successful 1, failed 0
Current online users : 2
MAC address Auth state
0001-0000-0002 Authenticated
0001-0000-0003 Unauthenticated
表1-3 display mac-authentication命令显示信息描述表
|
字段 |
描述 |
|
Global MAC authentication parameters |
全局MAC地址认证参数 |
|
MAC authentication |
MAC地址认证的开启状态 |
|
Authentication method |
MAC地址认证采用的认证方法 · CHAP:采用CHAP认证方法 · PAP:采用PAP认证方法 |
|
M-LAG member configuration conflict |
(暂不支持)两台M-LAG设备配置检查结果 · Conflicted:两台M-LAG设备上的配置不匹配 · Not conflicted:两台M-LAG设备上的配置相匹配 · Unknown:无法检测两台M-LAG设备上的配置是否匹配 |
|
Username format |
MAC地址认证使用的账号格式 · 若采用MAC地址账号,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xx-xx-xx-xx-xx-xx)”,它表示用户名格式为六段式的MAC地址,其中字母为小写 · 若采用固定用户名账号,则显示“Fixed account” |
|
Username |
用户名 · 采用MAC地址账号时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码 · 采用固定用户名账号时,该值为配置的用户名(缺省为mac) |
|
Password |
用户名的密码 · 采用MAC地址账号时,该值显示为“Not configured” · 采用固定用户名账号时,配置的值将显示为****** |
|
MAC range accounts |
指定MAC地址范围的MAC地址认证用户账号信息列表 |
|
MAC address |
指定的MAC地址 |
|
Mask |
MAC地址掩码 |
|
Username |
MAC地址认证用户名称 |
|
Offline detect period |
下线检测定时器的值 |
|
Quiet period |
静默定时器的值 |
|
Server timeout |
服务器连接超时定时器的值 |
|
Reauth period |
重认证定时器的值 |
|
User aging period for critical VLAN |
Critical VLAN中用户的老化时间 |
|
User aging period for guest VLAN |
(暂不支持)Guest VLAN中用户的老化时间 |
|
Authentication domain |
系统视图下指定的MAC地址认证用户使用的认证域,如果没有指定认证域,则显示Not configured, use default domain |
|
HTTP proxy port list |
(暂不支持)HTTP代理服务器端口 |
|
HTTPS proxy port list |
(暂不支持)HTTPS代理服务器端口 |
|
Online MAC-auth wired users |
(暂不支持)在线有线用户和正在发起MAC地址认证的有线用户的总数 |
|
Online MAC-auth wireless users |
在线无线用户和正在发起MAC地址认证的无线用户的总数 |
|
Silent MAC users |
静默用户信息(包括设备添加的静默用户和服务器授权下发黑洞MAC的静默用户) |
|
MAC address |
静默用户的MAC地址 |
|
VLAN ID |
静默用户所在的VLAN |
|
From port |
静默用户接入的端口名称 |
|
Port index |
静默用户接入的端口索引号 |
|
AP name |
AP名称 |
|
Radio ID |
Radio编号 |
|
SSID |
服务集标识符 |
|
BSSID |
基本服务集标识符 |
|
MAC authentication |
当前端口的MAC地址认证开启状态 · Enabled:处于开启状态 · Enabled (but NOT effective):处于开启状态,但功能未生效。未生效原因为设备上ACL资源全部被占用 · Disabled:处于关闭状态 |
|
Authentication domain |
端口上指定的MAC地址认证用户使用的认证域 |
|
Max online users |
本端口最多可容纳的接入用户数 |
|
Authentication attempts: successful 1, failed 0 |
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数 |
|
MAC address |
接入用户的MAC地址 |
|
Auth state |
接入用户的状态 · Authenticated:认证成功 · Unauthenticated:认证失败 |
display mac-authentication connection命令用来显示MAC地址认证在线用户的详细信息。
【命令】
display mac-authentication connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-address | user-name user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示接入指定AP的所有MAC地址认证用户的信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
radio radio-id:显示接入指定Radio的所有的MAC地址认证用户的信息。radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则显示AP的所有Radio的MAC地址认证用户的信息。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
slot slot-number:显示指定成员设备上的MAC地址认证用户信息。slot-number表示设备在云集群中的成员编号。若不指定本参数,则显示所有成员设备上的MAC地址认证用户信息。
user-mac mac-address:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
【举例】
# 显示所有MAC地址认证在线用户信息。
<Sysname> display mac-authentication connection
Total connections: 1
Slot ID: 0
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Authentication domain : 1
Initial VLAN : 1
Authorization VLAN : 100
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : N/A
Authroization IPv6 URL : N/A
Termination action : Radius-request
Session timeout last from : 2023/05/30 17:32:42
Session timeout period : 86400 s
Online from : 2023/05/30 11:20:41
Online duration : 6h 18m 39s
表1-4 display mac-authentication connection 命令显示信息描述表
|
字段 |
描述 |
|
Total connections |
在线MAC地址认证用户个数 |
|
User MAC address |
用户的MAC地址 |
|
Access interface |
用户的接入接口名称 |
|
AP name |
AP的名称 |
|
Radio ID |
Radio的ID |
|
SSID |
服务集标识符 |
|
BSSID |
用户所属的基本服务集标识符 |
|
Username |
用户名 |
|
Authentication domain |
认证时所用的ISP域的名称 |
|
Initial VLAN |
初始的VLAN |
|
Authorization VLAN |
授权的VLAN |
|
Authorization ACL number |
授权ACL的编号。若未授权ACL,则显示N/A;若未授权成功,则在ACL编号后显示“(NOT effective)” |
|
Authorization user profile |
授权用户的User profile名称 |
|
Authorization CAR |
当服务器未授权用户CAR属性时,该字段显示为N/A。 当服务器授权用户CAR属性,将分为以下四个字段: · Average input rate :上行平均速率,单位为kbps · Peak input rate:上行峰值速率,单位为kbps · Average output rate:下行平均速率,单位为kbps · Peak output rate:下行峰值速率,单位为kbps 若未授权成功,则显示为(NOT effective) 若只下发上、下行平均速率,则该上、下行峰值速率默认与其平均速率相同。目前不支持服务器单独授权上、下行峰值速率 |
|
Authorization URL |
授权的重定向URL |
|
Authorization IPv6 URL |
授权的IPv6重定向URL |
|
Termination action |
服务器下发的终止动作类型: · Default:会话超时时间到达后,强制用户下线 · Radius-Request:会话超时时间到达后,请求MAC地址认证用户进行重认证 用户采用本地认证时,该字段显示为Default |
|
Session timeout last from |
会话超时的时间 |
|
Session timeout period |
服务器下发的会话超时定时器,单位为秒。该定时器超时后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定 |
|
Online from |
MAC认证用户的上线时间 |
|
Online duration |
MAC认证用户的在线时长 |
display wlan client-security block-mac命令用来显示阻塞MAC地址信息。
【命令】
display wlan client-security block-mac [ ap ap-name [ radio radio-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示接入指定AP的所有阻塞MAC地址信息,ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。如果未指定本参数,则显示所有阻塞MAC地址信息。
radio radio-id:显示接入指定射频的所有阻塞MAC地址信息,其中radio-id为射频编号,本参数的取值范围与AP型号有关,请以设备的实际情况为准。如果未指定本参数,则显示AP下所有Radio下的阻塞MAC地址信息。
【使用指导】
阻塞MAC是指入侵检测模式为temporary-block时,被加入到阻塞MAC列表中的用户。
【举例】
# 显示所有阻塞MAC地址信息。
<Sysname> display wlan client-security block-mac
MAC address AP ID RADIO ID BSSID
0002-0002-0002 1 1 00ab-0de1-0001
000d-88f8-0577 1 1 0ef1-0001-02c1
Total entries: 2
表1-5 display wlan client-security block-mac命令显示信息描述表
|
字段 |
描述 |
|
MAC address |
阻塞MAC地址,格式为“H-H-H” |
|
AP ID |
阻塞MAC地址所在AP的编号 |
|
RADIO ID |
阻塞MAC地址所在的Radio编号 |
|
BSSID |
基本服务集标识符,格式为H-H-H |
|
Total entries |
阻塞MAC地址表项条数 |
【相关命令】
· client-security intrusion-protection action
· client-security intrusion-protection timer temporary-block
display wlan statistics accounting命令用来查看无线客户端的RADIUS计费报文统计信息。
【命令】
display wlan statistics accounting
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示无线客户端的RADIUS计费报文统计信息。
<Sysname> display wlan statistics accounting
Account start request : 1
Account start response : 1
Account update request : 3
Account update response : 3
Account stop request : 1
Account stop response : 1
表1-6 display wlan statistics accounting命令显示信息描述表
|
字段 |
描述 |
|
Account start request |
发送RADIUS计费开始请求报文数目 |
|
Account start response |
收到RADIUS计费开始回应报文数目 |
|
Account update request |
发送RADIUS计费更新请求报文数目 |
|
Account update response |
收到RADIUS计费更新回应报文数目 |
|
Account stop request |
发送RADIUS计费停止请求报文数目 |
|
Account stop response |
收到RADIUS计费停止回应报文数目 |
dot1x domain命令用来指定无线服务模板下802.1X用户的认证域。
undo dot1x domain命令用来恢复缺省情况。
【命令】
dot1x domain domain-name
undo dot1x domain
【缺省情况】
未指定无线服务模板下的802.1X用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择认证域:无线服务模板下指定的认证域-->用户名中指定的认证域-->系统缺省的认证域。
【举例】
# 配置无线服务模板service1下802.1X用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x domain my-domain
dot1x domain-delimiter命令用来配置802.1X支持的域名分隔符。
undo dot1x domain-delimiter命令用来恢复缺省情况。
【命令】
dot1x domain-delimiter string
undo dot1x domain-delimiter
【缺省情况】
802.1X支持的域名分隔符为@。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
string:多个域名分隔符组成的1~16个字符的字符串,且分隔符只能为@、.、/或\。若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\。
【使用指导】
目前,802.1X支持的域名分隔符包括@、\、/和.,对应的用户名格式分别为username@domain-name,domain-name\username、username/domain-name和username.domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.123/22\@abc,若设备上指定802.1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.123/22。
系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.1X仅会支持命令中指定的分隔符。
【举例】
# 配置802.1X支持的域名分隔符为@和/。
<Sysname> system-view
[Sysname] dot1x domain-delimiter @/
【相关命令】
· display dot1x
dot1x eap命令用来配置802.1X认证的EAP协议模式。
undo dot1x eap命令用来恢复缺省情况。
【命令】
dot1x eap { extended | standard }
undo dot1x eap
【缺省情况】
EAP协议模式为standard。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
extended:表示EAP协议模式为扩展的EAP协议,即要求客户端和设备按照私有EAP协议的规范和报文格式进行交互。
standard:表示EAP协议模式为标准的EAP协议,即要求客户端和设备按照标准EAP协议的规范和报文格式进行交互。
【使用指导】
只能在无线服务模板关闭的状态下开启该功能。
【举例】
# 在无线服务模板1下配置802.1X认证的EAP协议为扩展模式。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] dot1x eap extended
dot1x eap-termination authentication-method命令用来配置802.1X认证采用EAP终结方式时与认证服务器之间进行交互认证的方法。
undo dot1x eap-termination authentication-method命令用来恢复缺省情况。
【命令】
dot1x eap-termination authentication-method { chap | pap }
undo dot1x eap-termination authentication-method
【缺省情况】
采用CHAP方法进行认证。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
chap:与认证服务器之间采用CHAP方法进行认证。
pap:与认证服务器之间采用PAP方法进行认证。
【使用指导】
当客户端采用EAP中继方式通过认证服务器认证失败时,可以配置本命令,设备采用EAP终结方式以指定的认证方法与认证服务器进行交互,从而使客户端通过认证。
目前本命令仅支持采用PEAP-GTC认证方式的认证请求报文进行处理。
【举例】
# 配置802.1X认证采用EAP终结方式时与认证服务器之间采用PAP方法进行认证。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x eap-termination authentication-method pap
dot1x eap-termination eap-profile命令用来配置802.1X认证采用EAP终结方式时引用的EAP认证方案。
undo dot1x eap-termination eap-profile命令用来恢复缺省情况。
【命令】
dot1x eap-termination eap-profile eap-profile-name
undo dot1x eap-termination eap-profile
【缺省情况】
未配置802.1X认证采用EAP终结方式时引用的EAP认证方案。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
eap-profile-name:EAP认证方案名称,为1~32个字符的字符串,不区分大小写。引用的EAP认证方案名称必须已经存在。
【使用指导】
当客户端使用了RADIUS服务器不支持的认证方法,并采用EAP中继方式进行认证,造成认证失败时,可以配置本命令,设备采用EAP终结方式将客户端认证请求报文封装在标准RADIUS报文中发送给认证服务器,从而使客户端通过认证。
目前本命令仅支持采用PEAP-GTC认证方式的认证请求报文进行处理。
【举例】
# 配置802.1X认证采用EAP终结方式时引用的EAP认证方案为gtcprofile。
<Sysname> system-view
[Sysname] wlan service-template srvtmp1
[Sysname-wlan-st-srvtmp1] dot1x eap-termination eap-profile gtcprofile
【相关命令】
· eap-profile(用户接入与认证命令参考/AAA)
· method(用户接入与认证命令参考/AAA)
· ssl-server-policy
dot1x handshake enable命令用来开启802.1X在线用户握手功能。
undo dot1x handshake enable命令用来关闭802.1X在线用户握手功能。
【命令】
dot1x handshake enable
undo dot1x handshake enable
【缺省情况】
802.1X在线用户握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数(最大重发次数通过命令dot1x retry设置),而还没有收到用户响应,则强制该用户下线。
由于802.1X握手成功,设备不会再对用户进行回复,导致某些客户端在一段时间后会进行重认证或者下线。请根据实际情况配置本功能。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 开启无线服务模板service1下的802.1X在线用户握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
【相关命令】
· dot1x handshake secure enable
· dot1x retry
· dot1x timer handshake-period
dot1x handshake secure enable命令用来开启802.1X在线用户安全握手功能。
undo dot1x handshake secure enable命令用来关闭802.1X在线用户安全握手功能。
【命令】
dot1x handshake secure enable
undo dot1x handshake secure enable
【缺省情况】
802.1X在线用户的安全握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
802.1X安全握手功能只有在开启了802.1X握手功能的前提下才生效。
该命令只对进行802.1X接入认证且成功上线的用户有效。
【举例】
# 开启无线服务模板service1下的802.1X在线用户安全握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
[Sysname-wlan-st-service1] dot1x handshake secure enable
【相关命令】
· dot1x handshake enable
dot1x max-user命令用来配置单个射频下单个无线服务模板上的802.1X最大用户数。
undo dot1x max-user命令用来恢复缺省情况。
【命令】
dot1x max-user count
undo dot1x max-user
【缺省情况】
单个射频下单个无线服务模板上允许同时接入的802.1X用户数为512个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:单个射频下单个无线服务模板上最多允许同时接入的802.1X用户数,取值范围为1~512。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当单个射频下单个无线服务模板上同时接入的802.1X用户数超过最大值后,新的用户将被拒绝。
【举例】
# 配置单个射频下单个无线服务模板service1上的802.1X最大用户数为500。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x max-user 500
dot1x re-authenticate enable命令用来开启802.1X周期性重认证功能。
undo dot1x re-authenticate enable命令用来关闭802.1X周期性重认证功能。
【命令】
dot1x re-authenticate enable
undo dot1x re-authenticate enable
【缺省情况】
802.1X周期性重认证功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
无线服务模板启动了802.1X的周期性重认证功能后,设备会根据系统视图下配置的周期性重认证定时器(dot1x timer reauth-period)时间间隔对在线802.1X用户启动认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL,VLAN,User Profile)。
用户进行802.1X认证成功后,如果服务器下发了Termination action和Session timeout属性(display dot1x connection),且Termination action取值为Radius-Request,Session timeout取值不为0,设备将以Session timeout为周期对用户进行重认证,以检测用户在线状态,并更新授权信息。
本命令只能在无线服务模板处于关闭状态时配置。
在认证服务器没有下发Terminal action和Session timeout属性或下发的Terminal action取值不为Request的情况下,如果使能802.1X重认证功能,设备也会定期向已经在线的802.1X用户发起重认证,此时重认证周期由802.1X重认证定时器配置。
【举例】
# 开启无线服务模板service1下的802.1X重认证功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x re-authenticate enable
【相关命令】
· dot1x timer
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。
undo dot1x retry命令用来恢复缺省情况。
【命令】
dot1x retry retries
undo dot1x retry
【缺省情况】
设备向接入用户发送认证请求报文的最大次数为2。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10。
【使用指导】
如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。对于EAP-Request/Identity报文,该时间由dot1x timer tx-period设置;对于EAP-Request/MD5 Challenge报文,该时间由dot1x timer supp-timeout设置。
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【相关命令】
· display dot1x
· dot1x timer
dot1x timer命令用来配置802.1X的定时器参数。
undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
【命令】
dot1x timer { handshake-period handshake-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value }
undo dot1x timer { handshake-period | reauth-period | server-timeout | supp-timeout }
【缺省情况】
握手定时器的值为15秒,周期性重认证定时器的值为3600秒,认证服务器超时定时器的值为100秒,客户端认证超时定时器的值为30秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
handshake-period handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。
reauth-period reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。
supp-timeout supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。
【使用指导】
802.1X认证过程受以下定时器的控制:
· 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。
· 周期性重认证定时器(reauth-period):端口上开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.1X认证失败。
· 客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。
除周期性重认证定时器外的其他定时器修改后可立即生效。
【举例】
# 设置认证服务器的超时定时器时长为150秒。
<Sysname> system-view
[Sysname] dot1x timer server-timeout 150
【相关命令】
· display dot1x
mac-authentication domain命令用来指定无线服务模板下MAC地址认证用户的ISP域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定无线服务模板下的MAC地址认证用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。
【举例】
# 配置无线服务模板service1下MAC地址认证用户使用的ISP域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication domain my-domain
mac-authentication max-user命令用来配置单个射频下单个无线服务模板上的MAC地址认证最大用户数。
undo mac-authentication max-user命令用来恢复缺省情况。
【命令】
mac-authentication max-user count
undo mac-authentication max-user
【缺省情况】
单个射频下单个无线服务模板上允许同时接入的MAC地址认证最大用户数为512个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:单个射频下单个无线服务模板上最多允许同时接入的MAC地址认证用户数,取值范围为1~512。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当单个射频下单个无线服务模板上同时接入的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置单个射频下单个无线服务模板上的MAC地址认证最大用户数为32个。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication max-user 32
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
【命令】
mac-authentication timer { offline-detect offline-detect-value | server-timeout server-timeout-value }
undo mac-authentication timer { offline-detect | server-timeout }
【缺省情况】
下线检测定时器的值为300秒,服务器超时定时器的值为100秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
【使用指导】
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相关命令】
· display mac-authentication
mac-authentication user-name-format命令用来配置MAC地址认证用户的帐号格式。
undo mac-authentication user-name-format命令用来恢复缺省情况。
【命令】
mac-authentication user-name-format { fixed [ account name ] [ password { cipher | simple } string ] | mac-address [ { with-hyphen [ six-section | three-section ] | without-hyphen } [ lowercase | uppercase ] ] }
undo mac-authentication user-name-format
【缺省情况】
使用用户的MAC地址作为用户名和密码,其中字母为小写,且不带连字符“-”。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
fixed:表示采用固定用户名账号。
account name:指定发送给RADIUS服务器进行认证或者在本地进行认证的用户名。其中name为用户名,为1~55个字符的字符串,区分大小写,不能包括字符@,缺省为mac。
password:指定固定用户名的密码。如果不指定该参数,则表示无密码。
· cipher:以密文方式设置密码。
· simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
mac-address:表示使用用户的MAC地址作为用户名和密码。
with-hyphen [ six-section | three-section ]:带连字符“-”的MAC地址格式,six-section表示六段式MAC地址格式,例如xx-xx-xx-xx-xx-xx或XX-XX-XX-XX-XX-XX;three-section表示三段式MAC地址格式,例如xxxx-xxxx-xxxx或XXXX-XXXX-XXXX。如果不指定任何参数,缺省采用六段式MAC地址格式。
without-hyphen:不带连字符“-”的MAC地址格式,例如xxxxxxxxxxxx或XXXXXXXXXXXX。
lowercase:MAC地址中的字母为小写。
uppercase:MAC地址中的字母为大写。
【使用指导】
若指定用户的MAC地址为用户名,则用户密码也为用户的MAC地址。这种情况下,每一个MAC地址认证用户都使用唯一的用户名进行认证,安全性高,但要求认证服务器端配置多个MAC形式的用户账户。
若指定一个固定的用户名,则表示不论用户的MAC地址为何值,所有用户均使用设备上指定的一个固定用户名和密码作为身份信息进行认证。由于同一个端口下可以有多个用户进行认证,因此这种情况下端口上的所有MAC地址认证用户均使用同一个固定用户名账号进行认证,服务器端仅需要配置一个用户账户即可满足所有认证用户的认证需求,适用于接入客户端比较可信的网络环境。
【举例】
# 配置MAC地址认证的用户名为abc,密码是明文xyz。
<Sysname> system-view
[Sysname] mac-authentication user-name-format fixed account abc password simple xyz
# 配置用户的MAC地址为用户名和密码,使用不带连字符“-”的MAC地址格式,其中字母大写。
<Sysname> system-view
[Sysname] mac-authentication user-name-format mac-address without-hyphen uppercase
【相关命令】
· display mac-authentication
reset dot1x statistics命令用来清除802.1X的统计信息。
【命令】
reset dot1x statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ap ap-name:清除指定AP的所有802.1X统计信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“.”、“[”、“]”、“/”及“-”,区分大小写。若不指定本参数,则清除所有AP上的802.1X统计信息。
radio radio-id:清除指定AP的所有的802.1X统计信息。radio-id表示Radio编号,取值范围与AP型号有关。若不指定本参数,则清除指定AP的所有Radio的802.1X统计信息。
interface interface-type interface-number:清除指定端口上的802.1X统计信息。interface-type interface-number为端口类型和端口编号。若不指定本参数,则清除所有端口上的802.1X统计信息。
【使用指导】
如果不指定任何参数,则清除所有802.1X统计信息。
【举例】
# 清除端口GigabitEthernet1/0/1上的802.1X统计信息。
<Sysname> reset dot1x statistics interface gigabitethernet 1/0/1
· display dot1x
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
【命令】
reset mac-authentication statistics [ ap ap-name [ radio radio-id ] | interface interface-type interface-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ap ap-name:清除指定AP的所有MAC地址认证统计信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“.”、“[”、“]”、“/”及“-”,区分大小写。如果不指定本参数,则清除所有AP上的MAC地址认证统计信息。
radio radio-id:清除指定AP的所有的MAC地址认证统计信息。radio-id表示Radio编号,取值范围与AP型号有关。若不指定本参数,则清除指定AP的所有射频天线下的MAC地址认证统计信息。
interface interface-type interface-number:清除指定端口的MAC地址认证统计信息。interface-type interface-number为端口类型和端口编号。如果不指定本参数,则清除所有端口上的MAC地址认证统计信息。
【使用指导】
如果不指定任何参数,则清除所有MAC地址认证统计信息。
【举例】
# 清除以太网端口GigabitEthernet1/0/1上的MAC认证统计信息。
<Sysname> reset mac-authentication statistics interface gigabitethernet 1/0/1
【相关命令】
· display mac-authentication
wlan authentication optimization命令用来配置802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值。
undo wlan authentication optimization命令用来恢复缺省情况。
【命令】
wlan authentication optimization value
undo wlan authentication optimization
【缺省情况】
802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值为0,即不对802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率进行优化,采用实际值。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
value:优化802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的参数值,取值范围为900~1000。该数值配置越小,802.1X认证、MAC地址认证及二层Portal认证的认证成功率越小,在线用户异常下线率越大。
【使用指导】
认证成功率是指802.1X认证、MAC地址认证及二层Portal认证时认证成功的总次数占认证总次数的百分比。在线用户异常下线率是指在线用户异常断开连接的总次数占在线用户认证成功的总次数与当前在线用户总数之和的百分比。
设备会重新对802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率进行优化计算。
只有802.1X认证、MAC地址认证及二层Portal认证采用RADIUS服务器进行远程认证时,本命令配置的优化参数才会生效。
【举例】
# 配置802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值为950。
<Sysname> system-view
[Sysname] wlan authentication optimization 950
wlan client-security authentication clear-previous-connection命令用来开启已认证无线客户端再次上线认证清除旧连接功能。
undo wlan client-security authentication clear-previous-connection命令用来关闭已认证无线客户端再次上线认证清除旧连接功能。
【命令】
wlan client-security authentication clear-previous-connection
undo wlan client-security authentication clear-previous-connection
【缺省情况】
已认证无线客户端再次上线认证清除旧连接功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当无线客户端进行802.1X或者MAC地址认证时,设备会检查自身是否存在该无线客户端的表项:
· 当不存在该无线客户端表项时,客户端进行认证上线。
· 当存在该无线客户端表项时,设备会删除该无线客户端的表项并向RADIUS服务器发送认证请求报文。有一些RADIUS服务器收到认证请求报文后,若发现本地已经存在该无线客户端的表项,会向设备回复认证失败的报文,导致客户端无法通过认证上线。
为了解决此类RADIUS服务器上因表项冲突而导致用户无法上线的问题,建议开启本功能。开启本功能后,设备存在表项的同时会向RADIUS服务器发送计费停止报文。当RADIUS服务器收到该报文后,会删除本地存在的无线客户端表项,客户端可以进行认证上线。
需要注意的是,开启本功能后,802.1X重认证功能、Fail VLAN功能和Critical VLAN功能将不能生效。
【举例】
# 开启已认证无线客户端再次上线认证清除旧连接功能。
<Sysname> system-view
[Sysname] wlan client-security authentication clear-previous-connection
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
