所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
802.1x认证配置命令

802.1x认证配置命令

说明:
CE6880EI不支持802.1x。

authentication guest-vlan

命令功能

authentication guest-vlan命令用来配置接口的Guest VLAN。

undo authentication guest-vlan命令用来删除接口配置的Guest VLAN。

缺省情况下,接口下未配置Guest VLAN。

说明:

CE6870EI不支持该命令。

命令格式

系统视图:

authentication guest-vlan vlan-id interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

undo authentication guest-vlan [ vlan-id ] interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

authentication guest-vlan vlan-id

undo authentication guest-vlan vlan-id

参数说明

参数

参数说明

取值

vlan-id

指定Guest VLAN的VLAN ID。

整数形式,取值范围是1~4094,保留VLAN ID(通过命令vlan reserved配置)除外。

interface interface-type { interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型
  • interface-number1表示第一个接口编号
  • interface-number2表示最后一个接口编号

-

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在802.1x认证网络中,通过将特定网络资源规划到某一VLAN中,并将该VLAN配置为Guest VLAN,即可实现在用户认证失败后也能够访问Guest VLAN内特定网络资源的需求(譬如升级病毒库、下载客户端等)。

在系统视图下,本命令能够同时配置一个或多个接口;在接口视图下,本命令仅能配置指定接口。

前置条件

已使用命令VLAN创建了Guest Vlan所对应的VLAN。

注意事项

  • Guest VLAN不能是接口已加入的VLAN。
  • Super VLAN不能作为Guest VLAN,反之亦然。
  • 删除VLAN时,同时会删除相同ID的Guest VLAN。
  • 已经配置Guest VLAN的接口,其接口类型不可更改。
  • QinQ类型的接口不支持Guest VLAN功能。
  • Guest VLAN功能只有在用户发往设备的报文为untagged时才生效。
  • 802.1x认证接入控制方式为基于MAC地址方式时,Guest VLAN功能只能在Access接口和Hybrid接口生效。

使用实例

# 系统视图下,配置接口10GE1/0/1的Guest VLAN为VLAN20。
<HUAWEI> system-view
[~HUAWEI] vlan batch 20
[*HUAWEI] authentication guest-vlan 20 interface 10ge 1/0/1
# 接口视图下,配置接口10GE1/0/1的Guest VLAN为VLAN20。
<HUAWEI> system-view
[~HUAWEI] vlan batch 20
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] authentication guest-vlan 20

display dot1x

命令功能

display dot1x命令用来查看802.1x认证的相关信息。

命令格式

display dot1x [ statistics | sessions ] [ interface interface-type interface-number ]

参数说明

参数

参数说明

取值

statistics

显示802.1x认证的统计信息。

-

sessions

显示802.1x认证会话连接信息。

-

interface interface-type interface-number

显示指定接口下802.1x认证的相关信息。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不选取该参数则查看所有接口下的802.1x认证相关信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

该命令可查看包含802.1x认证所有配置命令的配置结果和802.1x相关报文的收发统计信息等。

根据该命令的输出信息,可以帮助用户确认当前的802.1x配置是否正确,并有助于802.1x的故障诊断与排除。

后续任务

根据显示信息中802.1x相关的报文统计信息,用户可查看该类报文的收发情况,定位异常报文。在进行故障定位后,可使用命令reset dot1x statistics清空统计数据,重新统计后再次使用命令display dot1x查询是否有异常报文信息,进而判断故障是否排除。

使用实例

# 显示802.1x认证相关信息。

<HUAWEI> display dot1x
  Global 802.1x: Enabled                                                        
    Authentication Method   : CHAP                                              
    Max Online Users        : 4096                                              
    Current Online Users    : 1                                                 
    Current Pre-Online Users: 0                                                 
    Reauthen Period         : 3600s                                      
                                                                                
  10GE1/0/1 802.1x: Enabled                                                   
    Port Control Type    : Auto                                                 
    Authentication Mode  : MAC-based                                            
    Authentication Method: CHAP                                                 
    Reauthentication     : Disabled                                             
    Max Users            : 3072                                                 
    Current Users        : 1                                                    
    Guest VLAN           : Disabled   

# 显示接口10GE1/0/1下的802.1x认证统计信息。

<HUAWEI> display dot1x statistics interface 10ge 1/0/1
                                                                                
  10GE1/0/1 802.1x: Enabled               
    Authentication Guest-vlan: 3                                          
    Controlled User(s) Amount: 1                                          
                                                                                
    Authentication Success: 1          Failure: 0                               
    EAPOL Packets: TX     : 3          RX     : 3                               
    Sent      EAPOL Request/Identity Packets  : 1                               
              EAPOL Request/Challenge Packets : 1                               
              Multicast Trigger Packets       : 0                               
              EAPOL Success Packets           : 1                               
              EAPOL Failure Packets           : 0                               
    Received  EAPOL Start Packets             : 1                               
              EAPOL Logoff Packets            : 0                               
              EAPOL Response/Identity Packets : 1                               
              EAPOL Response/Challenge Packets: 1  

# 显示所有接口下的802.1x认证会话连接信息。

<HUAWEI> display dot1x sessions
   Total 1 dot1x sessions.                                                      
---------------------------------------                                         
     slot           user-num                                                    
---------------------------------------                                         
       1                 1                                                      
---------------------------------------  

# 显示接口10GE1/0/1下的802.1x认证会话连接信息。

<HUAWEI> display dot1x sessions interface 10ge 1/0/1
UserIndex  Interface               MAC Address      State           VLAN  BindType
----------------------------------------------------------------------------------
   327681  10GE1/0/1               0010-9400-0001   Authenticated    100  Normal
表16-37  display dot1x命令输出信息描述

项目

描述

Global 802.1x
全局802.1x认证是否使能。
  • Enabled:使能
  • Disabled:未使能

配置该功能,请参见dot1x enable

Authentication Method
802.1x认证中设备与RADIUS服务器的报文交互方式。
  • CHAP:采用CHAP协议的EAP终结认证方式。
  • PAP:采用PAP协议的EAP终结认证方式。
  • EAP:采用EAP协议的EAP中继认证方式。

配置该功能,请参见dot1x authentication-method

Max Online Users

设备整机支持的最大在线用户数。

Current Online Users

当前在线用户数。

Current Pre-Online Users

当前预在线用户数。

Reauthen Period

802.1x认证重认证周期。

配置该参数,请参见dot1x timer reauthenticate-period

10GE1/0/1 802.1x: Enabled

接口下802.1x认证已使能。

配置该功能,请参见dot1x enable

Port Control Type
802.1x认证的接口授权方式。
  • Auto:自动识别方式
  • AuthorizedForce:强制授权方式
  • UnauthorizedForce:强制非授权方式

配置该功能,请参见dot1x port-control

Authentication Mode
802.1x认证接入控制方式。
  • MAC-based:基于MAC地址方式
  • Port-based:基于接口方式

配置该功能,请参见dot1x port-method

Reauthentication
对在线802.1x认证用户进行周期重认证。
  • Enabled:使能
  • Disabled:未使能

配置该功能,请参见dot1x reauthenticate

Max Users

接口下允许接入的最大802.1x认证用户数。

配置该参数,请参见dot1x max-user

Current Users

接口下当前在线用户数。

Guest VLAN

Guest VLAN功能是否使能。

配置该参数,请参见authentication guest-vlan

说明:

CE6870EI不支持该参数。

Authentication Guest-vlan

Guest VLAN的VLAN ID。

配置该参数,请参见authentication guest-vlan

说明:

CE6870EI不支持该参数。

Controlled User(s) Amount

接口下的用户总数。

Authentication Success / Failure

用户认证成功/失败的次数。

EAPOL Packets TX / RX

发/收EAPOL报文的总数量。

Sent
发送的各类型报文统计信息。
  • EAPOL Request/Identity Packets:发送的EAPOL Request/Identity报文数量。
  • EAPOL Request/Challenge Packets:发送的EAPOL Request/Challenge报文数量。
  • Multicast Trigger Packets:发送的Multicast Trigger报文数量。
  • EAPOL Success Packets:发送的EAPOL Success报文数量。
  • EAPOL Failure Packets:发送的EAPOL Failure报文数量。
Received
接收的各类型报文统计信息。
  • EAPOL Start Packets:接收的EAPOL Start报文数量。
  • EAPOL Logoff Packets:接收的EAPOL Logoff报文数量。
  • EAPOL Response/Identity Packets:接收的EAPOL Response/Identity报文数量。
  • EAPOL Response/Challenge Packets:接收的EAPOL Response/Challenge报文数量。
Total n dot1x sessions

会话总数。

slot

设备的堆叠ID。若在非堆叠情况下,默认为1。

user-num

用户数量。

UserIndex

用户索引。

Interface

接口名称。

MAC Address

用户的MAC地址。

State

用户当前状态,包括如下几种。

  • Initial:用户未上线。

  • Connecting:用户连接状态。

  • Response:用户已回应请求信息。

  • Request:请求用户信息状态。

  • Authenticated:用户已认证状态。

  • Held:用户正在下线,系统正在清除用户的信息。

VLAN

用户所属VLAN ID。

BindType

用户绑定VLAN的类型,包括如下几种:

  • Guest:绑定Guest VLAN,以访客身份访问。

  • Normal:绑定正常VLAN,以正常用户访问。

  • -:未绑定VLAN,未授权用户访问。

domain

命令功能

domain命令用来配置802.1x认证域。

undo domain命令用来删除配置的802.1x认证域。

缺省情况下,未配置802.1x认证域。

命令格式

domain domain-name

undo domain

参数说明

参数

参数说明

取值

domain-name

指定域名。

已存在的域名。

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备对802.1x用户的管理通过域来实现。用户在认证过程中,设备根据用户名中携带的域名将用户分配到指定的域中进行认证。

但在实际网络环境中,很多用户输入的用户名是不带域名的,这样不仅会导致过多的用户在缺省的default域中进行认证,认证方案不灵活,而且一旦default域中未配置AAA认证方案,也会造成用户无法通过认证。针对这种情况,管理员可在设备上配置802.1x认证域,这样当802.1x认证用户进行认证时,不管其用户名是否带有域名,设备都会将用户在指定的802.1x认证域中进行认证。

在系统视图下进行配置,命令功能对所有的接口生效;在接口视图下进行配置,命令功能仅对指定的接口生效;若同时在系统视图和接口视图下配置,命令功能以接口下的配置为准。

前置条件

  • 已使用命令domain(AAA视图)创建了域。
  • 在系统视图下执行本命令之前,已使用命令dot1x enable使能全局802.1x认证功能;在接口视图下执行本命令之前,已使用命令dot1x enable使能全局和接口的802.1x认证功能。

使用实例

# 配置接口10GE1/0/1的802.1x认证域为“huawei”。
<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] aaa
[*HUAWEI-aaa] domain huawei
[*HUAWEI-aaa-domain-huawei] quit
[*HUAWEI-aaa] quit
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dot1x enable
[*HUAWEI-10GE1/0/1] domain huawei

dot1x authentication-method

命令功能

dot1x authentication-method命令用来配置802.1x认证方式。

undo dot1x authentication-method命令用来恢复缺省配置。

缺省情况下,802.1x认证方式为CHAP。

命令格式

dot1x authentication-method { chap | pap | eap }

undo dot1x authentication-method [ chap | pap | eap ]

参数说明

参数

参数说明

取值

chap

指定采用质询握手认证协议CHAP(Challenge Handshake Authentication Protocol)的EAP终结认证方式。

-

pap

指定采用密码认证协议PAP(Password Authentication Protocol)的EAP终结认证方式。

-

eap

指定采用可扩展的认证协议EAP(Extensible Authentication Protocol)的EAP中继认证方式。

-

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在802.1x认证中,用户终端通过EAP报文与设备交互认证信息,而设备对EAP报文采用如下方式与RADIUS服务器进行交互。
  • PAP是一种两次握手认证协议,它采用明文方式加载到RADIUS报文中传送口令。该方式安全性较低,不建议使用。
  • CHAP是一种三次握手认证协议,它只在RADIUS报文中传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。如果是基于安全性的考虑,建议采用该方式。
  • EAP认证功能,设备不对接收到的包含用户认证信息的EAP报文作任何处理,直接封装到RADIUS报文中发送给RADIUS服务器完成认证,这个技术也称之为EAPOR(EAP over Radius)。如果采用EAP-MD5认证方法,只需启动EAP认证即可。
其中PAP和CHAP认证属于终结认证,EAP方式属于中继认证方式。

在系统视图下进行配置,命令功能对所有的接口生效;在接口视图下进行配置,命令功能仅对指定的接口生效;若同时在系统视图和接口视图下配置,命令功能以接口下的配置为准。

前置条件

在系统视图下执行本命令之前,已使用命令dot1x enable使能全局802.1x认证功能;在接口视图下执行本命令之前,已使用命令dot1x enable使能全局和接口的802.1x认证功能。

使用实例

# 系统视图下,配置802.1x认证方式为EAP中继方式。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x authentication-method eap

dot1x dhcp-trigger

命令功能

dot1x dhcp-trigger命令用来使能通过DHCP报文触发对802.1x用户进行身份认证的功能。

undo dot1x dhcp-trigger命令用来去使能通过DHCP报文触发对802.1x用户进行身份认证的功能。

缺省情况下,未使能通过DHCP报文触发对802.1x用户进行身份认证的功能。

命令格式

dot1x dhcp-trigger

undo dot1x dhcp-trigger

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

使能通过DHCP报文触发对802.1x用户进行身份认证的功能后,设备在接收到用户发送的DHCP Request报文时,会向用户回应802.1x认证启动报文。用户在收到设备回应的802.1x认证启动报文,用户端设备会自动弹出802.1x认证界面,此时即可输入用户名与密码进行认证。

在802.1x网络部署过程中,通过该命令可使得802.1x用户不经过特定的客户端软件拨号即可开始802.1x认证,这将有助于快速部署网络。

说明:

设备接收到802.1x用户的请求报文后,就启动对用户进行认证过程。若用户认证成功,设备则通过DHCP服务器为用户分配IP地址;若认证失败,则用户无法从DHCP Server获得动态IP地址。

前置条件

在系统视图下执行本命令之前,已使用命令dot1x enable使能全局802.1x认证功能。

使用实例

# 使能通过DHCP报文触发对802.1x用户进行身份认证的功能。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x dhcp-trigger

dot1x enable

命令功能

dot1x enable命令用来使能802.1x认证功能。

undo dot1x enable命令用来去使能802.1x认证功能。

缺省情况下,未使能802.1x认证功能。

命令格式

系统视图:

dot1x enable [ interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10> ]

undo dot1x enable [ interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10> ]

接口视图:

dot1x enable

undo dot1x enable

参数说明

参数

参数说明

取值

interface interface-type { interface-number1 [ to interface-number2 ] }

使能指定接口的802.1x认证功能。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不选取该参数则使能全局802.1x认证功能。

-

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

若需对某一接口下的用户进行802.1x认证,管理员必须首先使能全局802.1x认证,然后再使能接口下的802.1x认证。

在使能全局802.1x认证后,使能接口下的802.1x认证有以下两种方式。
  • 接口视图下执行命令dot1x enable使能指定接口的802.1x认证。
  • 系统视图下执行命令dot1x enable interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>使能一个或多个接口的802.1x认证。

注意事项

使用实例

# 在系统视图下,使能接口10GE1/0/1的802.1x认证功能。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x enable interface 10ge 1/0/1

# 在接口视图下,使能接口10GE1/0/1的802.1x认证功能。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dot1x enable
相关主题

dot1x handshake

命令功能

dot1x handshake命令用来使能设备与802.1x在线用户握手功能。

undo dot1x handshake命令用来去使能设备与802.1x在线用户握手功能。

缺省情况下,未使能设备与802.1x在线用户握手功能。

命令格式

dot1x handshake

undo dot1x handshake

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了实时掌握802.1x用户的在线状态,可使用命令dot1x handshake使能设备与802.1x在线用户握手的功能。之后,设备将向用户发送握手请求报文,如果在握手周期内,用户回应报文,说明用户在线,反之,说明用户不在线。
说明:
对于不支持握手功能的客户端,在握手周期内设备不会收到握手回应报文。在这种情况下,为了防止设备错误地认为用户下线,需要去使能设备与802.1x在线用户握手功能。

前置条件

在系统视图下执行本命令之前,已使用命令dot1x enable使能全局802.1x认证功能。

使用实例

# 使能设备与802.1x在线用户握手功能。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x handshake

dot1x max-user

命令功能

dot1x max-user命令用来配置接口下允许接入的最大802.1x认证用户数量。

undo dot1x max-user命令用来恢复缺省配置。

缺省情况下,接口下允许接入的最大802.1x认证用户数量为3072

命令格式

系统视图:

dot1x max-user user-number interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x max-user user-number interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x max-user user-number

undo dot1x max-user [ user-number ]

参数说明

参数

参数说明

取值

user-number

指定接口的最大用户数量。

整数形式,取值范围是1~3072

interface interface-type { interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

管理员若需要限制特定接口下允许接入的最大802.1x用户数量时,可使用本命令。

在系统视图下,本命令能够同时配置一个或多个接口;在接口视图下,本命令仅能配置指定接口。

前置条件

已使用命令dot1x enable使能全局和接口的802.1x认证功能。

注意事项

在配置接口允许接入的最大用户数量之前,若该接口下的在线用户数量已经超过此最大值,此时不会影响在线用户,只会限制后续请求接入的用户。

使用实例

# 在系统视图下,配置接口10GE1/0/1允许接入的最大802.1x认证用户数量为100。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x enable interface 10ge 1/0/1
[*HUAWEI] dot1x max-user 100 interface 10ge 1/0/1

# 在接口视图下,配置接口10GE1/0/1允许接入的最大802.1x认证用户数量为100。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dot1x enable
[*HUAWEI-10GE1/0/1] dot1x max-user 100

dot1x port-control

命令功能

dot1x port-control命令用来配置802.1x认证的接口授权方式。

undo dot1x port-control命令用来恢复缺省配置。

缺省情况下,802.1x认证的接口授权方式为auto

命令格式

系统视图:

dot1x port-control { auto | authorized-force | unauthorized-force } interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x port-control { auto | authorized-force | unauthorized-force } interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x port-control { auto | authorized-force | unauthorized-force }

undo dot1x port-control [ auto | authorized-force | unauthorized-force ]

参数说明

参数

参数说明

取值

auto

指定802.1x认证的接口授权方式为自动识别。

-

authorized-force

指定802.1x认证的接口授权方式为强制授权。

-

unauthorized-force

指定802.1x认证的接口授权方式为强制非授权。

-

interface interface-type { interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

802.1x认证的接口授权方式分为以下三种。
  • 自动识别:接口初始状态为非授权状态,仅允许收发EAPOL报文,不允许用户访问网络资源;如果认证通过,则接口切换到授权状态,允许用户访问网络资源。正常情况下,接口授权方式建议配置为该方式。

  • 强制授权:接口始终处于授权状态,允许用户不经认证即可访问网络资源。该方式可用于对接口下的用户完全信任,无需进行认证即允许其访问网络资源的场景。

  • 强制非授权:接口始终处于非授权状态,不允许用户访问网络资源。该方式可用于基于一些安全性考虑需要关闭某接口下所有用户访问权限的场景。

在系统视图下,本命令能够同时配置一个或多个接口;在接口视图下,本命令仅能配置指定接口。

前置条件

已使用命令dot1x enable使能全局和接口的802.1x认证功能。

使用实例

# 在系统视图下,配置接口10GE1/0/1处于强制非授权状态。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x enable interface 10ge 1/0/1
[*HUAWEI] dot1x port-control unauthorized-force interface 10ge 1/0/1

# 在接口视图下,配置接口10GE1/0/1处于强制非授权状态。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dot1x enable
[*HUAWEI-10GE1/0/1] dot1x port-control unauthorized-force

dot1x port-method

命令功能

dot1x port-method命令用来配置802.1x认证接入控制方式。

undo dot1x port-method命令用来恢复缺省配置。

缺省情况下,802.1x认证接入控制方式为基于MAC地址方式。

命令格式

系统视图:

dot1x port-method { mac | port } interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x port-method { mac | port } interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x port-method { mac | port }

undo dot1x port-method [ mac | port ]

参数说明

参数

参数说明

取值

mac

指定802.1x认证接入控制方式为基于MAC地址方式。

-

port

指定802.1x认证接入控制方式为基于接口方式。

-

interface interface-type { interface-number1 [ to interface-number2 ] }

指定接口类型及接口编号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

802.1x认证接入控制方式分为基于MAC地址和基于接口两种方式。

  • 基于MAC地址方式:接口下的所有802.1x认证用户都需要单独认证,当某一用户下线时,不影响其他用户接入网络。此认证方式比较适合零散用户。
  • 基于接口方式:接口下有一个用户认证成功,其他802.1x认证用户即可通过认证也可无须认证均能够接入网络,但在所有通过认证的用户下线后,其他未认证用户也会被拒绝接入网络。此认证方案比较适合集团用户。

在系统视图下,本命令能够同时配置一个或多个接口;在接口视图下,本命令仅能配置指定接口。

前置条件

已使用命令dot1x enable使能全局和接口的802.1x认证功能。

注意事项

当基于接口方式切换到基于MAC地址方式时,已在线用户不会下线。反之亦然。

基于接口方式的802.1x认证不支持在Eth-Trunk成员口上配置。

使用实例

# 在系统视图下,配置接口10GE1/0/1下的802.1x认证接入控制方式为基于接口方式。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x enable interface 10ge 1/0/1
[*HUAWEI] dot1x port-method port interface 10ge 1/0/1

# 在接口视图下,配置接口10GE1/0/1下的802.1x认证接入控制方式为基于接口方式。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dot1x enable
[*HUAWEI-10GE1/0/1] dot1x port-method port

dot1x reauthenticate

命令功能

dot1x reauthenticate命令用来使能对在线802.1x认证用户进行周期重认证功能。

undo dot1x reauthenticate命令用来去使能对在线802.1x认证用户进行周期重认证功能。

缺省情况下,未使能对在线802.1x认证用户进行周期重认证功能。

命令格式

系统视图:

dot1x reauthenticate interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x reauthenticate interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x reauthenticate

undo dot1x reauthenticate

参数说明

参数

参数说明

取值

interface interface-type { interface-number1 [ to interface-number2 ] }

指定接口类型及接口编号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

若管理员在认证服务器上修改了某一用户的用户名、密码、访问权限或授权属性等参数,此时如果用户已经在线,则需要及时对该用户进行重认证以确保用户的合法性。

配置对802.1x用户进行周期重认证后,设备会周期性的向客户端请求用户名和密码并发送到认证服务器进行重认证,若认证服务器上用户的认证信息没有变化,用户正常在线;若用户的认证信息已更改,用户将会被下线(譬如用户密码变更)或者访问权限等被更改(譬如访问权限变更)。

说明:

重认证周期可通过命令dot1x timer reauthenticate-period进行配置。

在系统视图下,本命令能够同时配置一个或多个接口;在接口视图下,本命令仅能配置指定接口。

前置条件

已使用命令dot1x enable使能全局和接口的802.1x认证功能。

使用实例

# 在系统视图下,使能接口10GE1/0/1对在线802.1x用户进行周期重认证功能。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x enable interface 10ge 1/0/1
[*HUAWEI] dot1x reauthenticate interface 10ge 1/0/1

# 在接口视图下,使能接口10GE1/0/1对在线802.1x用户进行周期重认证功能。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dot1x enable
[*HUAWEI-10GE1/0/1] dot1x reauthenticate

dot1x retry

命令功能

dot1x retry命令用来配置向802.1x用户发送认证请求的最大次数。

undo dot1x retry命令用来恢复向802.1x用户发送认证请求的最大次数为缺省值。

缺省情况下,设备向802.1x用户发送认证请求的最大次数为2次。

命令格式

dot1x retry max-retry-value

undo dot1x retry

参数说明

参数 参数说明 取值
max-retry-value

指定向802.1x用户发送认证请求的最大次数。

整数形式,取值范围是1~10。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户可以执行该命令配置设备向802.1x用户发送认证请求的最大次数,包括对未上线用户的发送的认证请求报文次数以及对已上线用户发送的握手请求报文次数。

在设备向用户发送认证请求时,若在规定的时间内没有收到用户的响应信息,则设备会再次向用户发送认证请求。执行该命令后:
  • 对未上线用户,若发送的认证请求报文次数达到最大值时仍未收到用户的响应,则设备不再发起认证,此次认证失败。
  • 对已在线用户,若发送的握手请求报文次数达到最大值时仍未收到用户的响应,则设备认为用户已经下线,将用户置为下线状态。

前置条件

在系统视图下执行本命令之前,已使用命令dot1x enable使能全局802.1x认证功能。

使用实例

# 配置设备向802.1x用户发送认证请求的最大次数为4次。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x retry 4

dot1x timer

命令功能

dot1x timer命令用来配置802.1x的各项定时器参数,包括握手报文的发送时间间隔和客户端认证超时时间。

undo dot1x timer命令用来恢复802.1x的各项定时器参数为缺省值。

缺省情况下,握手报文的发送时间间隔为60秒;客户端认证超时时间为30秒;发送认证请求的时间间隔为30秒。

命令格式

dot1x timer { handshake-period handshake-period | client-timeout client-timeout | tx-period tx-period }

undo dot1x timer { handshake-period | client-timeout | tx-period }

参数说明

参数 参数说明 取值
handshake-period handshake-period

指定握手报文的发送时间间隔。

如果在握手周期内,用户回应报文,说明用户在线,反之,说明用户不在线。

整数形式,取值范围是5~7200,单位是秒。
client-timeout client-timeout

指定客户端认证超时时间。

当设备向客户端发送了EAP-Request/MD5-Challenge请求报文后,设备启动此定时器。若在该定时器设置的时长内,设备没有收到客户端的响应,则设备将重发该报文。

整数形式,取值范围是1~120,单位是秒。
tx-period tx-period

指定发送认证请求的时间间隔。

以下两种情况设备将启动tx-period定时器:
  • 在客户端主动发起认证的情况下,当设备向客户端发送单播Request/Identity请求报文后,将同时启动该定时器。若在该定时器规定的时长内,设备没有收到客户端的响应,则将重发认证请求报文。

  • 为了对不支持主动发起认证的802.1x客户端进行认证,设备会在启动802.1x功能的端口定期地发送组播Request/Identity报文,发送的间隔是该定时器配置的值。

整数形式,取值范围为1~120,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

802.1x在运行过程中会启动多个定时器以控制接入用户、接入设备以及认证服务器之间进行合理、有序的交互。使用此命令可以更改部分定时器值(另外部分定时器是不可调节的),以调节交互进程。这在较为特殊或比较恶劣的网络环境下是必需的措施。

前置条件

在系统视图下执行本命令之前,已使用命令dot1x enable使能全局802.1x认证功能。

使用实例

# 配置客户端认证超时时间为90秒。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x timer client-timeout 90
# 配置发送认证请求的时间间隔为90秒。
<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x timer tx-period 90

dot1x timer reauthenticate-period

命令功能

dot1x timer reauthenticate-period命令用来配置802.1x认证重认证周期。

undo dot1x timer reauthenticate-period命令用户恢复802.1x认证重认证周期为缺省值。

缺省情况下,802.1x认证重认证周期为3600秒。

命令格式

dot1x timer reauthenticate-period reauthenticate-period-value

undo dot1x timer reauthenticate-period [ reauthenticate-period-value ]

参数说明

参数

参数说明

取值

reauthenticate-period-value

指定802.1x认证重认证周期。

整数形式,取值范围为60~7200,单位是秒。

视图

系统视图、GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

使用命令dot1x reauthenticate使能接口对在线802.1x认证用户进行周期重认证后,可使用本命令配置802.1x认证重认证周期。之后,设备将根据重认证周期对已认证成功的用户进行重认证,以确保用户的合法性。

在系统视图下进行配置,命令功能对所有的接口生效;在接口视图下进行配置,命令功能仅对指定的接口生效;若同时在系统视图和接口视图下配置,命令功能以接口下的配置为准。

前置条件

在系统视图下执行本命令之前,已使用命令dot1x enable使能全局802.1x认证功能;在接口视图下执行本命令之前,已使用命令dot1x enable使能全局和接口的802.1x认证功能。

使用实例

# 在系统视图下,配置802.1x认证重认证周期为7200秒。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x timer reauthenticate-period 7200

dot1x unicast-trigger

命令功能

dot1x unicast-trigger命令用来在接口视图下使能指定接口的单播报文触发802.1x认证功能。

undo dot1x unicast-trigger命令用来在接口视图下去使能指定接口的单播报文触发802.1x认证功能。

缺省情况下,未使能单播报文触发802.1x认证功能。

命令格式

dot1x unicast-trigger

undo dot1x unicast-trigger

参数说明

视图

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

执行该命令后,当设备接收到客户端发送的ARP/DHCP请求报文时,将主动向该客户端发送单播认证报文来触发认证。若设备在客户端认证超时时间内没有收到客户端的响应,则重发该单播认证报文。

在802.1x网络部署过程中,通过该命令可使得802.1x用户不经过特定的客户端软件拨号即可开始802.1x认证,这将有助于快速部署网络。

前置条件

已使用命令dot1x enable使能全局和接口的802.1x认证功能。

使用实例

# 在接口10GE1/0/1下,使能该接口的单播报文触发802.1x认证功能。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] dot1x enable
[*HUAWEI-10GE1/0/1] dot1x unicast-trigger

dot1x unicast-trigger interface

命令功能

dot1x unicast-trigger interface命令用来在系统视图下使能指定接口的单播报文触发802.1x认证功能。

undo dot1x unicast-trigger interface命令用来在系统视图下去使能指定接口的单播报文触发802.1x认证功能。

缺省情况下,未使能单播报文触发802.1x认证功能。

命令格式

dot1x unicast-trigger interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x unicast-trigger interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

参数说明

参数 参数说明 取值
interface { interface-type interface-number1 [ to interface-number2 ] }
指定接口类型和编号,其中:
  • interface-type表示接口类型。
  • interface-number1表示第一个接口的编号。
  • interface-number2表示最后一个接口的编号。interface-number2的取值必须大于interface-number1的取值,它和interface-number1共同确定一个接口范围。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

执行该命令后,当设备接收到客户端发送的ARP/DHCP请求报文时,将主动向该客户端发送单播认证报文来触发认证。若设备在客户端认证超时时间内没有收到客户端的响应,则重发该单播认证报文。

在802.1x网络部署过程中,通过该命令可使得802.1x用户不经过特定的客户端软件拨号即可开始802.1x认证,这将有助于快速部署网络。

前置条件

已使用命令dot1x enable使能全局和接口的802.1x认证功能。

使用实例

# 在系统视图下,使能10GE1/0/1接口的单播报文触发802.1x认证功能。

<HUAWEI> system-view
[~HUAWEI] dot1x enable
[*HUAWEI] dot1x enable interface 10ge 1/0/1
[*HUAWEI] dot1x unicast-trigger interface 10ge 1/0/1

reset dot1x statistics

命令功能

reset dot1x statistics命令用来清除802.1x认证的报文统计信息。

命令格式

reset dot1x statistics interface interface-type { interface-number1 [ to interface-number2 ] } &<1-10>

参数说明

参数

参数说明

取值

interface interface-type { interface-number1 [ to interface-number2 ] }

清除指定接口下的802.1x认证统计信息。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

802.1x认证的统计信息包括接口下的用户认证成功和失败的次数、收发报文数量等信息。在如下两种场合下需要清空统计数据。
  • 当重新进行业务部署时,需要清空统计数据,然后再重新统计数据。
  • 当出现故障时,在采用相应的故障排除措施后,可以使用本命令清空统计数据,然后再重新统计,之后使用命令display dot1x查询认证结果、报文收发是否异常,进而判断故障是否排除。

注意事项

统计信息被清除后将无法恢复,请慎重操作。

使用实例

# 清除接口10GE1/0/1上的802.1x认证统计信息。

<HUAWEI> reset dot1x statistics interface 10ge 1/0/1
相关主题
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:15962

下载量:402

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页