所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置802.1X接入模板

配置802.1X接入模板

创建802.1X接入模板

背景信息

设备通过802.1X接入模板统一管理802.1X接入相关的所有配置。配置802.1X认证之前,首先需要创建802.1X接入模板。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,创建802.1X接入模板并进入802.1X接入模板视图。

    缺省情况下,设备自带1个名称为dot1x_access_profile的802.1X接入模板。

    说明:
    • 升级兼容转换的模板不占用配置规格。自带的1个802.1X接入模板(dot1x_access_profile)可以修改和应用,但不能删除。
    • 删除某个802.1X接入模板时,需要保证该802.1X接入模板没有被任何认证模板绑定。

(可选)配置802.1X用户的认证方式

背景信息

在802.1X认证中,用户通过EAP报文与设备交互认证信息,而设备对EAP报文采用两种方式与RADIUS服务器交互认证信息。
  • EAP终结:设备直接解析EAP报文,把报文中的用户认证信息封装到RADIUS报文中发送给RADIUS服务器进行认证。设备与RADIUS服务器之间的EAP终结认证方式可分为PAP与CHAP两种。

    • PAP是一种两次握手认证协议,它采用明文方式加载到RADIUS报文中传送口令。
    • CHAP是一种三次握手认证协议,它只在RADIUS报文中传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。如果是基于安全性的考虑,建议采用该方式。
  • EAP中继(对应参数中的eap方式):设备不对接收到的包含用户认证信息的EAP报文作任何处理,直接封装到RADIUS报文中发送给RADIUS服务器完成认证,这个技术也称之为EAPOR(EAP over Radius)。

采用EAP终结还是EAP中继,将取决于RADIUS服务器的处理能力。如果RADIUS服务器的处理能力比较强,能够解析大量用户的EAP报文后再进行认证,可以采用EAP中继方式;如果RADIUS服务器处理能力不能够很好的同时解析大量EAP报文并完成认证,建议采用EAP终结方式,由设备帮助RADIUS服务器完成前期的EAP解析工作。在配置对认证报文的处理方式时,务必保证客户端与服务器均支持该种方式,否则用户无法通过认证。
说明:
  • 只有采用RADIUS认证时,802.1X用户的认证方式才可以配置为EAP中继方式。

  • 采用AAA本地认证时,802.1X用户的认证方式只能配置为EAP终结方式。

  • 由于手机终端不支持EAP终结方式(PAP和CHAP协议),故手机终端认证时不支持配置为802.1X+本地认证方式。笔记本电脑等终端也需要安装第三方客户端才能支持EAP终结方式。

  • 如果802.1X客户端采用MD5加密方式,则设备端用户的认证方式可配置为EAP或CHAP方式;如果802.1X客户端采用PEAP认证方式,则设备端用户的认证方式可配置为EAP。

  • 无线场景中,如果安全策略模板配置为WPA或WPA2认证方式,802.1X认证不支持认证前域授权。
  • 当接口下已经有802.1X用户在线时,在接口绑定的802.1X接入模板下修改用户认证方式,会导致已在线的802.1X用户下线。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  3. 执行命令dot1x authentication-method { chap | pap | eap },配置802.1X用户的认证方式。

    缺省情况下,802.1X用户认证方式为eap,即采用可扩展的认证协议EAP(Extensible Authentication Protocol)中继认证方式。

(可选)配置能够触发802.1X认证的报文类型

背景信息

使能802.1X认证功能后,缺省情况下,设备在接收到DHCP或ARP报文后均能触发对用户进行802.1X认证。根据实际网络中的用户情况,管理员可调整允许触发802.1X认证的报文类型。例如网络中的用户均为动态获取IPv4地址的用户,此时可配置仅允许通过DHCP报文触发802.1X认证,这样能够有效的避免网络中存在非法用户配置静态IPv4地址后,不断发送ARP报文触发802.1X认证,占用设备CPU资源。

在进行802.1X认证时,如果客户端配置了静态IPv4地址,此时客户端设备与客户端之前没有DHCP或ARP报文,无法触发802.1X认证,因此可以执行命令authentication trigger-condition any-l2-packet,指定通过任意报文触发802.1X认证。为防止非法用户恶意消耗设备用户表项,任意报文均能触发802.1X认证功能建议配置在接入层设备上,并且在认证模板下执行命令authentication mode max-user max-user-number配置接口最多允许接入的用户数目,推荐值是10个。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  3. 执行命令authentication trigger-condition { dhcp | arp | any-l2-packet } *,配置能够触发802.1X认证的报文类型。

    缺省情况下,DHCP/ARP报文均能够触发802.1X认证。

(可选)配置单播报文触发802.1X认证

背景信息

在802.1X认证网络中,若存在用户使用PC操作系统(如微软Windows XP系统)自带的802.1X客户端,则该用户将不能够主动输入用户名与密码触发认证。

针对此类用户管理员可配置单播报文触发802.1X认证功能。在使能单播报文触发802.1X认证功能后,设备在接收到客户端发送的ARP或DHCP请求报文时,将主动向该客户端发送单播认证报文以触发认证。用户PC在收到设备发来的认证报文后,将会自动弹出操作系统自带的802.1X认证界面。之后用户输入用户名与密码即可进行认证。

另一方面,通过使能单播报文触发802.1X认证功能,可使用户能够利用操作系统自带的802.1X客户端进行认证,这将有助于快速部署网络。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  3. 执行命令dot1x unicast-trigger,使能单播报文触发802.1X认证功能。

    缺省情况下,未使能单播报文触发802.1X认证功能。

(可选)配置向802.1X用户回应EAP报文类型值功能

背景信息

当其他厂商设备作为RADIUS服务器时,如果其向设备发送的RADIUS报文中带有61号属性信息且包含EAP报文类型值为0xa(十六进制数形式,十进制表示为10),EAP报文数据区类型为0x19(十六进制数形式,十进制表示为25)的数据信息,则需要在设备上配置命令dot1x eap-notify-packet才能保证其可以正常向用户回应报文类型值为0xa、数据区类型值为0x19的EAP报文,否则设备不处理该类型的EAP报文,这会造成用户的下线。

设备与H3C iMC RADIUS服务器对接时,需要配置该步骤。与H3C iMC RADIUS服务器对接的其他注意事项请参见设备与H3C iMC RADIUS服务器对接时,有哪些注意事项?

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  3. 执行命令dot1x eap-notify-packet eap-code code-number data-type type-number,配置向802.1X用户回应EAP报文类型值功能。

    缺省情况下,设备不向802.1X用户回应EAP报文类型值。

    说明:

    当采用H3C iMC作为RADIUS服务器时,设备上需要配置命令dot1x eap-notify-packet eap-code 10 data-type 25

(可选)配置对在线802.1X用户进行重认证

背景信息

若管理员在认证服务器上修改了某一用户的访问权限、授权属性等参数,此时如果用户已经在线,则需要及时对该用户进行重认证以确保用户的合法性。

配置对在线802.1X用户进行重认证功能后,设备会把保存的在线用户的认证参数(用户上线后,设备上会保存该用户的认证信息)发送到认证服务器进行重认证,若认证服务器上用户的认证信息没有变化,则用户正常在线;若用户的认证信息已更改,则用户将会被下线,此后用户需要重新进行认证。

对802.1X用户进行重认证的方式有两种:
  • 对使用指定802.1X接入模板的用户周期性自动进行重认证。

    说明:

    配置该功能后,会导致802.1X认证的日志信息较多。

  • 手动对指定MAC地址的用户进行单次重认证。

设备与某服务器对接进行重认证时,如果服务器回复重认证拒绝消息导致已在线用户下线,则建议服务器侧定位重认证失败原因或者设备去使能重认证功能。

操作步骤

  • 周期性自动重认证
    1. 执行命令system-view,进入系统视图。
    2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
    3. 执行命令dot1x reauthenticate,配置对在线802.1X用户进行重认证的功能。

      缺省情况下,未配置对在线802.1X用户进行重认证的功能。

    4. (可选)执行命令dot1x timer reauthenticate-period reauthenticate-period-value,配置对在线802.1X用户进行重认证的周期。

      缺省情况下,对在线802.1X用户进行重认证的周期为3600秒。

      说明:

      一般情况下,重认证周期建议采用默认值。如果用户授权时需要下发多条ACL,为提高设备处理性能,建议关闭重认证功能或将重认证周期调长。

      在采用远端认证、授权的情况下,如果配置的重认证周期过短则可能导致CPU占用率较高。

      握手功能仅对有线用户生效。

      当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。

  • 手动单次重认证
    1. 执行命令system-view,进入系统视图。
    2. 执行命令dot1x reauthenticate mac-address mac-address,手动对指定MAC地址的用户进行单次重认证。

(可选)配置设备与在线802.1X用户的握手功能

背景信息

用户由于网络中断等原因而下线时,设备仍会保留该用户的上线信息。这可能会造成计费不准问题,同时若非法用户仿冒该用户访问网络也会带来一定的安全隐患。

为确保用户在线信息正常,可配置设备与在线802.1X用户的握手功能。之后,设备将定时向在线802.1X用户发送握手请求报文,如果用户在最大重传次数内没有回应此握手报文,设备会将用户置为下线状态。

说明:

若802.1X客户端不支持与设备进行握手报文的交互,则握手周期内设备将不会收到握手回应报文。因此,为了防止设备错误地认为用户下线,需要将在线用户握手功能关闭。

该功能仅对有线用户生效。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  3. 执行命令dot1x handshake,使能设备与在线802.1X用户的握手功能。

    缺省情况下,未使能设备与在线802.1X用户的握手功能。

  4. (可选)执行命令dot1x handshake packet-type { request-identity | srp-sha1-part2 },配置802.1X认证握手报文的类型。

    缺省情况下,802.1X认证握手报文的类型是request-identity。

    为了保证与其他厂商设备顺利对接,管理员可根据实际情况选择握手报文的类型。

  5. (可选)配置设备与在线802.1X用户的握手周期。

    • 执行命令dot1x timer handshake-period handshake-period-value,配置设备与非Eth-Trunk接口下的在线802.1X用户的握手周期。

      缺省情况下,握手报文的发送时间间隔为15秒。

    • 执行命令dot1x timer eth-trunk-access handshake-period handshake-period-value,配置设备与Eth-Trunk接口下的在线802.1X用户的握手周期。

      缺省情况下,握手报文的发送时间间隔为120秒。

  6. (可选)执行命令dot1x retry max-retry-value,配置向用户发送握手报文的重传次数。

    缺省情况下,向用户发送握手报文的重传次数为2次。

(可选)配置802.1X客户端无响应时的网络访问权限

背景信息

802.1X客户端无响应会造成用户无法通过认证,导致用户无任何网络访问权限。但是,某些用户在认证成功之前,可能需要一些基本的网络访问权限,以完成下载客户端、更新病毒库等需求。此时,可以通过配置用户在802.1X客户端无响应时的网络访问权限,使用户可以访问特定的网络资源。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 配置授权参数

    • VLAN

      需在设备上配置VLAN及VLAN内的网络资源。

    • UCL组

      1. 执行命令ucl-group group-index [ name group-name ],创建UCL组。

        缺省情况下,未创建UCL组。

        说明:

        S1720GF、S1720GFR-P、S1720GW-E、S1720GWR-E、S1720X-E、S2720EI、S5710-X-LI、S5720LI、S5720S-LI、S5720SI、S5720S-SI、S5720I-SI、S5730SI、S5730S-EI、S6720LI、S6720S-LI、S6720SI、S6720S-SI、S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持UCL组。

      2. (可选)执行命令ucl-group ip ip-address { mask-length | ip-mask } { group-index | name group-name },配置静态UCL组。

        缺省情况下,未配置静态UCL组。

        说明:

        S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持静态UCL组。

      3. 配置用户ACL,根据UCL组对报文进行过滤。详细配置请参见S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全》 ACL配置 中的“配置用户ACL”。
      4. 可采用以下方式对报文进行处理:

        • 执行命令traffic-filter inbound acl { acl-number | name acl-name },配置基于ACL对报文进行过滤。

          缺省情况下,未配置基于ACL对报文进行过滤。

        • 执行命令traffic-redirect inbound acl { acl-number | name acl-name } [ vpn-instance vpn-instance-name ] ip-nexthop nexthop-address,配置基于ACL对报文进行重定向。

          缺省情况下,未配置基于ACL对报文进行重定向。

          说明:

          S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持traffic-redirect命令。

    • 业务方案

      1. 执行命令aaa,进入AAA视图。
      2. 执行命令service-scheme service-scheme-name,创建一个业务方案,并进入业务方案视图。

        缺省情况下,设备上没有创建业务方案。

      3. 配置业务方案中控制用户网络访问策略的各种参数。管理员可根据实际网络情况选取需要配置的参数。

        • 执行命令acl-id acl-number ,在业务方案下绑定ACL。

          缺省情况下,业务方案下未绑定ACL。

          说明:

          执行该命令之前,需确保已使用命令acl(系统视图)acl name创建了ACL;并使用命令rule配置相应的ACL规则。

          各类访问策略优先级顺序为:

          RADIUS服务器下发的ACL编号 > 本地配置的ACL编号 > RADIUS服务器通过编号26-82的属性HW-Data-Filter下发的ACL规则 > RADIUS服务器下发的用户组 > 本地配置的用户组 > RADIUS服务器下发的UCL组 > 本地配置的UCL组

        • 执行命令ucl-group { group-index | name group-name },在业务方案下绑定UCL组。

          缺省情况下,业务方案下未绑定UCL组。

          执行该命令之前,需确保已创建并配置了标记用户类别的UCL组。

        • 执行命令user-vlan vlan-id,在业务方案中配置用户VLAN。

          缺省情况下,在业务方案中未配置用户VLAN。

          执行该命令之前,需确保已使用命令vlan创建了VLAN。

        • 执行命令voice-vlan在业务方案中使能Voice VLAN功能。

          缺省情况下,在业务方案中未使能Voice VLAN功能。

          为使本命令功能生效,需已使用命令voice-vlan enable配置指定VLAN为Voice VLAN,同时使能接口的Voice VLAN功能。

        • 执行命令qos-profile profile-name,在业务方案中绑定QoS模板。

          缺省情况下,在业务方案中未绑定QoS模板。

          说明:

          S5720EI、S5720HI、S5730HI、S6720HI、S6720EI和S6720S-EI支持QoS模板,且仅S5720HI支持user-queue命令。

          执行该命令之前,需确保已配置了QoS模板。配置QoS模板操作步骤如下:
          1. 在系统视图下执行命令qos-profile name profile-name,创建QoS模板并进入QoS模板视图。
          2. 在QoS模板视图下配置流量监管、报文处理优先级与用户队列。(业务方案下绑定QoS模板后,QoS模板中仅以下命令生效。)
            • 执行命令car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs-value ] { inbound | outbound },在QoS模板中配置流量监管。

              缺省情况下,QoS模板中没有配置流量监管。

            • 执行命令remark dscp dscp-value { inbound | outbound },在QoS模板中配置重标记IP报文的DSCP优先级。

              缺省情况下,QoS模板中没有配置重标记IP报文的DSCP优先级。

            • 执行命令remark 8021p 8021p-value,在QoS模板中配置重标记VLAN报文802.1p优先级。

              缺省情况下,QoS模板中没有配置重标记VLAN报文802.1p优先级。

            • 执行命令user-queue pir pir-value [ flow-queue-profile flow-queue-profile-name ] [ flow-mapping-profile flow-mapping-profile-name ],在QoS模板中创建用户队列实现HQoS调度。

              缺省情况下,QoS模板中未配置用户队列。

            • 执行命令quit,返回到系统视图。
      4. 执行命令quit,返回到AAA视图。
      5. 执行命令quit,返回到系统视图。

  3. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  4. 执行命令authentication event client-no-response action authorize { service-scheme service-scheme-name | ucl-group ucl-group-name | vlan vlan-id },配置用户在802.1X客户端无响应时的网络访问权限。

    缺省情况下,未配置用户在802.1X客户端无响应时的网络访问权限。

(可选)配置设备自动生成静态IP用户的DHCP Snooping绑定表

背景信息

网络中存在非法用户,将自己的MAC地址修改为合法用户的MAC地址,当合法用户通过802.1X认证上线后,非法用户就可以获取与合法用户相同的身份认证,达到不认证就上网的目的,这无疑造成了认证和计费的漏洞。非法用户上线后,还可以发起ARP欺骗攻击,发送伪造合法用户的ARP报文,使设备记录错误的ARP表项,严重影响合法用户之间的正常通信。利用IPSG功能和DAI功能,可以预防以上非法用户的攻击。IPSG功能和DAI功能是基于绑定表实现的。对于静态IP用户,可以通过命令user-bind static配置静态绑定表。但是,如果静态IP用户较多,通过以上命令逐条配置静态绑定表的工作量较大。

为减少工作量,可以配置设备自动生成静态IP用户的DHCP Snooping绑定表功能。配置该功能后,802.1X认证成功或处于预连接阶段的静态IP用户,通过EAP报文触发生成用户信息表,根据用户信息表中记录的MAC地址、IP地址、接口信息等,在设备上自动生成对应的DHCP Snooping绑定表。

要使该功能生效,还必须在绑定802.1X接入模板的接口上,通过命令dhcp snooping enable使能了全局和接口的DHCP Snooping功能。

说明:
  • 由于EAP协议没有规定标准的属性来携带IP地址信息,对于EAP请求报文中不携带IP地址信息的静态IP用户,DHCP Snooping绑定表中的IP地址信息是从用户发送的ARP请求报文(用户认证成功后或处于预连接阶段时发送的第一个与用户信息表中MAC地址相同的ARP请求报文)中提取的。由于网络中可能存在非法用户伪造合法用户的MAC地址向设备发起ARP欺骗攻击的情况,生成的DHCP Snooping绑定表可能不可靠,所以不建议用户开启此功能,建议通过命令user-bind static配置静态绑定表。

  • 对于DHCP方式分配IP地址的用户,设备上无需配置命令dot1x trigger dhcp-binding,直接通过DHCP Snooping功能就能够自动生成DHCP Snooping绑定表。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  3. 执行命令dot1x trigger dhcp-binding,配置静态IP用户802.1X认证成功后或处于预连接阶段时,设备自动生成对应的DHCP Snooping绑定表。

    缺省情况下,静态IP用户802.1X认证成功后或处于预连接阶段时,设备不会自动生成对应的DHCP Snooping绑定表。

检查配置结果

执行命令display dhcp snooping user-bind,可以查看静态IP用户802.1X认证成功后或处于预连接阶段时,设备自动生成的DHCP Snooping绑定表。该功能生成的DHCP Snooping绑定表在用户下线后会自动删除。

后续处理

DHCP Snooping绑定表生成之后,需要结合IPSG和DAI功能,防止非法用户攻击。
  • 接口视图下,执行命令ip source check user-bind enable,使能IPSG功能。

  • 接口视图下,执行命令arp anti-attack check user-bind enable,使能DAI功能。

(可选)配置向用户发送认证请求报文或握手报文的重传次数

背景信息

设备向用户发送认证请求报文或握手报文时,若在规定的时间内没有收到用户的响应信息,则设备会再次向用户发送认证请求报文或握手报文,若再次发送的认证请求报文或握手报文次数达到重传次数时仍未收到用户的响应,则用户认证失败或握手失败。该过程中设备向用户发送认证请求或握手报文的总次数为max-retry-value+1。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  3. 执行命令dot1x retry max-retry-value,配置向802.1X用户发送认证请求报文或握手报文的重传次数。

    缺省情况下,向802.1X用户发送认证请求报文或握手报文的重传次数为2次。

(可选)配置802.1X客户端认证超时定时器

背景信息

当设备向802.1X客户端发送了EAP-Request/MD5 Challenge请求报文后,设备启动802.1X客户端认证超时定时器。若在该定时器设置的时长内,设备没有收到客户端的响应,则设备将重发该报文。若设备重传请求报文的次数达到配置的最大值(通过命令dot1x retry max-retry-value)后,仍然没有得到用户响应,则停止发送认证请求。这能够避免不断重复向用户发送认证请求报文而占用大量的设备资源。

图2-51所示,设备发送EAP-Request/MD5 Challenge请求报文超时后,给客户端发送认证失败报文。通常情况下,客户端认证失败时,为使得客户端能够继续访问网络,会在接入设备上启用备用机制(MAC认证、Portal认证或授权特定的访问权限)。EAP-Request/MD5 Challenge请求超时计算公式如下所示:

Timeout = (max-retry-value +1) * client-timeout-value

图2-51  802.1X客户端认证超时流程图

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  3. 执行命令dot1x timer client-timeout client-timeout-value,配置802.1X客户端认证超时定时器。

    缺省情况下,802.1X客户端认证超时定时器默认开启、时长为5秒。

  4. (可选)执行命令dot1x retry max-retry-value,配置向802.1X用户发送认证请求报文的重传次数。

    缺省情况下,向802.1X用户发送认证请求报文的重传次数为2次。

(可选)配置接口授权状态

背景信息

通过配置接口的授权状态,可以控制接入用户是否需要经过认证来访问网络资源。接口支持三种授权状态:
  • 自动识别模式(auto):接口初始状态为非授权状态,仅允许收发EAPOL报文,不允许用户访问网络资源;如果认证通过,则接口切换到授权状态,允许用户访问网络资源。
  • 强制授权模式(authorized-force):接口始终处于授权状态,允许用户不经认证授权即可访问网络资源。
  • 强制非授权模式(unauthorized-force):接口始终处于非授权状态,不允许用户访问网络资源。

操作步骤

  1. 执行命令system-view,进入系统视图。
  2. 执行命令dot1x-access-profile name access-profile-name,进入802.1X接入模板视图。
  3. 执行命令dot1x port-control { auto | authorized-force | unauthorized-force },配置接口的授权状态。

    缺省情况下,接口的授权状态为auto

检查802.1X接入模板配置结果

背景信息

完成802.1X接入模板的配置后,执行以下命令查看配置信息。

操作步骤

  • 执行命令display dot1x-access-profile configuration [ name access-profile-name ],查看802.1X接入模板的配置信息。
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29835

下载量:1207

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页