所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAC配置命令(统一模式)

NAC配置命令(统一模式)

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

access-context profile enable

命令功能

access-context profile enable命令用来使能用户上下文识别功能。

undo access-context profile enable命令用来去使能用户上下文识别功能。

缺省情况下,未使能用户上下文识别功能。

命令格式

access-context profile enable

undo access-context profile enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

所谓用户上下文即用户的关联信息,比如用户名、用户VLAN、接入接口等。

为简化认证服务器的配置,管理员根据用户的上下文信息,把具有相同网络访问权限的用户划分到同一个用户上下文模板,并且基于用户上下文模板配置用户的网络访问权限。使能用户上下文识别功能之后,在用户上线时,设备能够识别出用户的上下文信息,并根据识别结果把用户加入到对应的上下文模板中:
  • 用户认证成功时,认证服务器可以根据设备上报的用户上下文信息,为用户授予其所属上下文模板的网络访问权限。
  • 用户认证失败时,设备根据用户认证事件授权策略中,上下文模板绑定的用户认证成功前各阶段的网络访问权限,为其授权。

例如,在一些企业网络中,通过VLAN将整个网络划分成不同的区域,并且不同区域的安全等级不同,管理员希望同一个用户从不同的区域接入网络时,能够获取的网络访问权限也不同。此时,可以在接入设备上使能用户上下文识别功能,并将属于同一区域的一组VLAN划分到同一个用户上下文模板中,管理员根据区域的安全等级,为不同的用户上下文模板授予相应的网络访问权限。这样,同一用户在不同区域上线时,由于其接入VLAN匹配的用户上下文模板不同,因此用户加入的上下文模板也不同,故获取的网络访问权限也不同。

后续任务

  1. 系统视图下,通过命令access-context profile name profile-name,创建用户上下文模板。

  2. 用户上下文模板视图下,通过命令if-match vlan-id { start-vlan-id [ to end-vlan-id ] } &<1-10>,配置基于VLAN ID的用户识别策略。

注意事项

  • 当前设备仅支持识别用户VLAN信息。

使用实例

# 使能用户上下文识别功能。

<HUAWEI> system-view
[HUAWEI] access-context profile enable

access-context profile name

命令功能

access-context profile name命令用来创建用户上下文模板并进入用户上下文模板视图。

undo access-context profile name命令用来删除已创建的用户上下文模板。

缺省情况下,未创建用户上下文模板。

命令格式

access-context profile name profile-name

undo access-context profile name profile-name

参数说明

参数

参数说明

取值

profile-name

指定用户上下文模板名称。

字符串形式,不支持空格,区分大小写,长度范围是1~32。不能配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为简化认证服务器的配置,管理员可以根据用户的上下文信息,将具有相同网络访问权限的用户划分到同一个用户上下文模板,并且基于用户上下文模板,为用户授予网络访问权限。

后续任务

用户上下文模板视图下,通过命令if-match vlan-id start-vlan-id [ to end-vlan-id ] &<1-10>,配置基于VLAN ID的用户识别策略。

使用实例

# 创建名称为“p1”的用户上下文模板。

<HUAWEI> system-view
[HUAWEI] access-context profile name p1

access-author policy global

命令功能

access-author policy global命令用来应用用户认证事件授权策略。

undo access-author policy global命令用来恢复缺省配置。

缺省情况下,未应用用户认证事件授权策略。

命令格式

access-author policy policy-name global

undo access-author policy policy-name global

参数说明

参数

参数说明

取值

policy-name

指定用户认证事件授权策略名称。

必须是设备上已存在的用户认证事件授权策略名称。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户认证成功前,为使用户具有一定的网络访问权限以满足基本的网络访问需求,譬如下载802.1X客户端、更新病毒库等,可以通过用户认证事件授权策略,把用户认证成功前各阶段的网络访问权限和用户上下文模板绑定起来。设备上配置应用用户认证事件授权策略以后,用户上线时,设备基于用户上下文的识别结果,把用户加入到对应的上下文模板中,并根据用户的认证结果,授予相应的网络访问权限。

前置条件

在系统视图下,通过命令access-author policy name policy-name,创建用户认证事件授权策略。

注意事项

该功能仅对配置成功后新上线的用户生效。

使用实例

# 配置全局下应用用户认证事件授权策略“a1”。

<HUAWEI> system-view
[HUAWEI] access-author policy name a1
[HUAWEI-access-author-a1] quit
[HUAWEI] access-author policy a1 global

access-author policy name

命令功能

access-author policy name命令用来创建用户认证事件授权策略并进入认证事件授权策略视图。

undo access-author policy name命令用来删除已创建的用户认证事件授权策略。

缺省情况下,未创建用户认证事件授权策略。

命令格式

access-author policy name policy-name

undo access-author policy name policy-name

参数说明

参数

参数说明

取值

policy-name

指定用户认证事件授权策略名称。

字符串形式,不支持空格,区分大小写,长度范围是1~32。不能配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。

说明:
为避免与命令access-author policy global使用冲突,profile-name不能配置为单词name的首个、首几个字符及该单词本身,也不能配置为该单词的首个、首几个及其本身字符的大小写组合。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户认证成功前,为使用户具有一定的网络访问权限以满足基本的网络访问需求,譬如下载802.1X客户端、更新病毒库等,可以通过用户认证事件授权策略,把用户认证成功前各阶段的网络访问权限和用户上下文模板绑定起来。设备上配置应用用户认证事件授权策略以后,用户上线时,设备基于用户上下文的识别结果,把用户加入到对应的上下文模板中,并根据用户的认证结果,授予相应的网络访问权限。

后续任务

  1. 在用户认证事件授权策略视图下,通过命令match access-context-profile action,配置指定用户在认证成功前各阶段的网络访问权限。

  2. 系统视图下,通过命令access-author policy global,应用用户认证事件授权策略。

使用实例

# 创建用户认证事件授权策略“a1”。

<HUAWEI> system-view
[HUAWEI] access-author policy name a1

access-domain

命令功能

access-domain命令用来在认证模板中配置用户的默认域或强制域。

undo access-domain命令用来删除认证模板中已配置的用户默认域或强制域。

缺省情况下,认证模板中未配置用户的默认域或强制域。

命令格式

access-domain domain-name [ dot1x | mac-authen | portal ] * [ force ]

undo access-domain [ dot1x | mac-authen | portal ] * [ force ]

参数说明

参数

参数说明

取值

domain-name

指定域名。

设备上已经存在的域名。

dot1x

指定802.1X认证用户使用的默认域或强制域。

-

mac-authen

指定MAC认证用户使用的默认域或强制域。

-

portal

指定Portal认证用户使用的默认域或强制域。

-

force

指定配置的域为强制域。

若不指定该参数,配置的域为默认域。

-

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

设备对用户的管理通过域来实现(比如用户使用的AAA方案和授权信息等需要绑定在域下)。用户在认证过程中,设备根据用户名中携带的域名将用户分配到指定的域中进行管理。但在实际网络环境中,很多用户输入的用户名是不带域名的,针对这种情况,可以在认证模板下配置默认域,这样使用该模板的用户在不带域名的情况下,设备会将该用户在默认域中进行管理。

实际网络中,有的用户输入带域名的用户名、有的用户输入不带域名的用户名,此时设备会使用不同的域来管理用户。由于不同域下的认证计费授权信息有差异,会造成用户使用的认证计费授权信息不统一。这种情况下,如果管理员希望使用同一认证模板的用户应用相同的认证计费授权信息,可以在认证模板下配置用户强制域,这样使用该模板的用户不管输入的用户名是否带有域名,设备都会将用户在强制域中进行管理。

前置条件

AAA视图下,执行命令domain(AAA视图)创建域。

注意事项

  • 配置默认域或强制域时,如果不指定使用该域的用户认证方式(参数dot1xmac-authenportal),则该域对使用认证模板的所有接入认证用户都生效;如果指定用户认证方式,则该域仅对指定的用户生效。

  • 同时配置用户默认域和强制域时,用户在强制域中进行认证。

  • 该功能仅对配置成功后新上线的用户生效。

  • 无线场景,AAA不认证用户只有在配置了强制域时才可以进行Radius计费,默认域不支持不认证Radius计费。

使用实例

# 在认证模板“p1”下,配置用户强制域为“huawei”。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] quit
[HUAWEI-aaa] quit
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] access-domain huawei force

access-user arp-detect

命令功能

access-user arp-detect命令用来配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。

undo access-user arp-detect命令用来删除已配置的指定VLAN内用户下线探测报文的源IP地址和源MAC地址。

缺省情况下,未配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。

命令格式

access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address

undo access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address

参数说明

参数

参数说明

取值

vlan vlan-id

指定VLAN ID。

整数形式,取值范围是1~4094。

ip-address ip-address

指定用户下线探测报文的源IP地址。

点分十进制形式,取值是0.0.0.0或255.255.255.255或其他合法的IP地址

mac-address mac-address

指定用户下线探测报文的源MAC地址。

必须为单播MAC地址。格式为H-H-H,其中H为1至4位的十六进制数。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。

如果用户加入的VLAN在设备上不存在对应的VLANIF接口或者VLANIF接口未配置IP地址,设备使用0.0.0.0作为用户下线探测报文的源IP地址。如果网络中存在用户不支持回应源IP地址为0.0.0.0的ARP探测报文,管理员可以直接指定某个IP地址作为用户下线探测报文的源IP地址。

建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。

注意事项

该功能对三层Portal认证用户不生效。

对于物理接口下的在线用户,用户必须重新上线或者设备对其进行重认证之后本命令功能才会生效。

使用实例

# 对VLAN10内的用户配置下线探测报文的源IP地址为192.168.1.1,源MAC地址为2222-1111-1234。

<HUAWEI> system-view
[HUAWEI] access-user arp-detect vlan 10 ip-address 192.168.1.1 mac-address 2222-1111-1234

access-user arp-detect default ip-address

命令功能

access-user arp-detect default ip-address命令用来配置用户下线探测报文的默认源IP地址。

undo access-user arp-detect default ip-address命令用来恢复缺省配置。

缺省情况下,用户下线探测报文的默认源IP地址是0.0.0.0

命令格式

access-user arp-detect default ip-address ip-address

undo access-user arp-detect default ip-address

参数说明

参数

参数说明

取值

ip-address

指定用户下线探测报文的默认源IP地址。

点分十进制形式,取值是0.0.0.0或255.255.255.255或其他合法的IP地址

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。

注意事项

  • 该功能对三层Portal认证用户不生效。

  • SVF或策略联动场景下,建议用户通过命令access-user arp-detect default ip-address,配置探测的源IP地址为全0。AS设备把接收到的ARP应答报文上送到UC设备后,如果该ARP应答报文的目的IP地址为全0并且源IP地址和源MAC地址在用户表项中存在,UC设备就会丢弃该ARP应答报文,避免ARP报文过多占用主控板CPU资源,甚至导致用户认证不成功的问题。需要注意的是,SVF场景下以上命令需要在UC设备上配置,仅对UC探测生效,对于AS探测,默认探测的源IP地址为全0,策略联动场景下以上命令可以直接在AS设备上配置。

  • 正常情况下,设备发送默认源IP地址的ARP探测报文后,实际在线的客户端会立即回应ARP应答报文。如果客户端实际在线,但不回应设备的ARP探测报文,设备就会将客户端下线,为解决该问题,可以使用以下两种方式:
    • 通过命令access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address,指定ARP探测报文的VLAN ID、源IP地址和源MAC地址。
    • 如果不希望使用以上方式,也可以通过命令authentication timer handshake-period handshake-period,适当调大探测周期。这是因为,对于不会立即回应设备发送的ARP探测报文的客户端,设备支持识别客户端发送的免费ARP报文,但是免费ARP报文发送的周期不固定,调大探测周期有利于探测到该报文。

使用实例

# 配置用户下线探测报文的默认源IP地址为0.0.0.0。

<HUAWEI> system-view
[HUAWEI] access-user arp-detect default ip-address 0.0.0.0

access-user dot1x-identity speed-limit

命令功能

access-user dot1x-identity speed-limit命令用来配置对上送CPU的802.1X认证Identity报文进行限速的限速值。

undo access-user dot1x-identity speed-limit命令用来恢复对上送CPU的802.1X认证Identity报文进行限速的限速值为缺省值。

缺省情况下,交换机对上送CPU的802.1X认证Identity报文进行限速的限速值因设备而异。

命令格式

access-user dot1x-identity speed-limit value

undo access-user dot1x-identity speed-limit [ value ]

参数说明

参数 参数说明 取值
value 对上送CPU的802.1X认证Identity报文进行限速的限速值。 整数形式,取值范围是5~2000,单位是个/秒。

视图

系统视图

缺省级别

2:配置级

使用指南

为防止交换机因处理过多的802.1X认证Identity报文造成CPU繁忙,影响正常的业务处理,可以执行access-user dot1x-identity speed-limit命令配置对上送CPU的802.1X认证Identity报文进行限速的限速值。执行该命令后,如果上送CPU的802.1X认证Identity报文的速率超过限速值,交换机会丢弃超过限速值部分的报文。

使用实例

# 配置对上送CPU的802.1X认证Identity报文进行限速的限速值为10个/秒。

<HUAWEI> system-view
[HUAWEI] access-user dot1x-identity speed-limit 10

access-user arp-detect delay

命令功能

access-user arp-detect delay命令用来配置下线探测报文延迟发送时间。

undo access-user arp-detect delay命令用来删除下线探测报文延迟发送时间。

缺省情况下,未配置下线探测报文延迟发送时间。

命令格式

access-user arp-detect delay delay

undo access-user arp-detect delay

参数说明

参数

参数说明

取值

delay 指定下线探测报文延迟发送时间。 整数形式,取值范围是1~120,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

网络中有Windows客户端时,其获取IP地址后会发送源地址为0.0.0.0的探测报文,如果此时设备也发起源地址为0.0.0.0的ARP探测,则会出现冲突。此时,执行该命令配置下线探测报文的延迟时间。Windows探测一般为10秒,可在其探测结束后再发起ARP探测。

使用实例

# 配置下线探测报文延迟发送时间为20秒。

<HUAWEI> system-view
[HUAWEI] access-user arp-detect delay 20

access-user arp-detect fallback

命令功能

access-user arp-detect fallback命令用来配置计算下线探测报文源地址所需的IP地址。

undo access-user arp-detect fallback命令用来删除已配置计算下线探测报文源地址所需的IP地址。

缺省情况下,未配置计算下线探测报文源地址所需的IP地址。

命令格式

access-user arp-detect fallback ip-address { mask | mask-length }

undo access-user arp-detect fallback

参数说明

参数

参数说明

取值

ip-address 指定计算下线探测报文源地址所需的IP地址。 点分十进制格式。
mask 指定IP地址的掩码。 点分十进制格式。

掩码转化为二进制数后最后一位不为0的数前必须全是1。即掩码中的1必须连续,不能间断。

mask-length 指定IP地址掩码长度。

整数形式,取值范围是0~32。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备不做网关时,可以使用与客户端网段相同的源地址进行探测,此地址由设备根据客户端网段和命令中指定的IP地址计算得出。命令中指定的IP地址同反掩码取与运算,再和客户端IP地址网段相加,就得到探测的源地址。例如当客户端网段为192.168.1.0/24时,指定access-user arp-detect fallback 0.0.0.11 24,则计算出的探测报文源地址为192.168.1.11。计算出的地址需从DHCP服务器地址池中排除,避免客户端分配到此地址,出现冲突。

注意事项

该功能对三层Portal认证用户不生效。

对于物理接口下的在线用户,用户必须重新上线或者设备对其进行重认证之后本命令功能才会生效。

使用实例

# 配置计算下线探测报文源地址所需的IP地址为0.0.0.11。

<HUAWEI> system-view
[HUAWEI] access-user arp-detect fallback 0.0.0.11 24

access-user https speed-limit

命令功能

access-user https speed-limit命令用来配置上送CPU的HTTPS协议报文的限速值。

undo access-user https speed-limit命令用来恢复上送CPU的HTTPS协议报文的限速值为缺省值。

缺省情况下,上送CPU的HTTPS协议报文的限速值因交换机而异:
  • 主控板为MPUD的交换机:20pps
  • 其他交换机:9pps

命令格式

access-user https speed-limit value

undo access-user https speed-limit [ value ]

参数说明

参数 参数说明 取值
value 指定限速值。 整数形式,取值范围是3~2000,单位是pps。

视图

系统视图

缺省级别

2:配置级

使用指南

为防止交换机因处理过多的HTTPS协议报文造成CPU繁忙,影响正常的业务处理,可以执行access-user https speed-limit命令配置上送CPU的HTTPS协议报文的限速值。执行该命令后,如果上送CPU的HTTPS协议报文的速率超过限速值,交换机会丢弃超过限速值部分的报文。

使用实例

# 配置上送CPU的HTTPS协议报文的限速值为50pps。

<HUAWEI> system-view
[HUAWEI] access-user https speed-limit 50

access-user portal speed-limit

命令功能

access-user portal speed-limit命令用来配置上送CPU的Portal协议报文的限速值。

undo access-user portal speed-limit命令用来恢复上送CPU的Portal协议报文的限速值为缺省值。

缺省情况下,上送CPU的Portal协议报文的限速值因设备而异。

命令格式

access-user portal speed-limit value

undo access-user portal speed-limit [ value ]

参数说明

参数 参数说明 取值
value 指定限速值。 整数形式,取值范围是5~2000,单位是pps。

视图

系统视图

缺省级别

2:配置级

使用指南

为防止交换机因处理过多的Portal协议报文造成CPU繁忙,影响正常的业务处理,可以执行access-user portal speed-limit命令配置上送CPU的Portal协议报文的限速值。执行该命令后,如果上送CPU的Portal协议报文的速率超过限速值,交换机会丢弃超过限速值部分的报文。

使用实例

# 配置上送CPU的Portal协议报文的限速值为50pps。

<HUAWEI> system-view
[HUAWEI] access-user portal speed-limit 50

access-user syslog-restrain enable

命令功能

access-user syslog-restrain enable命令用来使能Syslog抑制功能。

undo access-user syslog-restrain enable命令用来去使能Syslog抑制功能。

缺省情况下,Syslog抑制功能已使能。

命令格式

access-user syslog-restrain enable

undo access-user syslog-restrain enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

用户接入认证失败或用户下线时,设备会产生并记录系统日志Syslog。Syslog中包括接入设备、接入用户的MAC地址以及当前认证时间等信息。

当用户在接入认证失败后不断尝试重新上线,或用户在短时间内频繁上下线,这些情况都会导致设备产生大量的重复Syslog信息,浪费设备资源,影响系统性能。为了避免此问题,可使能Syslog抑制功能。这可使设备产生并记录某一Syslog信息后,在抑制周期内(请参见命令access-user syslog-restrain period)不会产生相同类型的Syslog信息。

说明:

设备根据用户MAC地址判断是否是相同类型的Syslog信息,譬如当设备产生某一认证失败Syslog信息后,在抑制周期内又发现相同MAC地址的用户认证失败,则不再产生Syslog信息。用户下线Syslog情况相同。没有MAC地址时,按用户名进行Syslog抑制。

使用实例

# 使能Syslog抑制功能。

<HUAWEI> system-view
[HUAWEI] access-user syslog-restrain enable

access-user syslog-restrain period

命令功能

access-user syslog-restrain period命令用来配置Syslog抑制周期。

undo access-user syslog-restrain period命令用来恢复Syslog抑制周期为默认值。

缺省情况下,Syslog抑制周期为300秒。

命令格式

access-user syslog-restrain period period

undo access-user syslog-restrain period

参数说明

参数

参数说明

取值

period

指定Syslog的抑制周期。

整数类型,取值范围为60~604800,单位为秒。

视图

系统视图

缺省级别

2:配置级

使用指南

在使用命令access-user syslog-restrain enable使能Syslog抑制功能后,可使用本命令配置Syslog抑制周期。之后,在抑制周期内,设备不会产生相同类型的Syslog信息。

使用实例

# 配置抑制周期为600s。

<HUAWEI> system-view
[HUAWEI] access-user syslog-restrain period 600

acl authorization statistics enable

命令功能

acl authorization statistics enable命令用来使能命中授权ACL的用户报文的统计功能。

undo acl authorization statistics enable命令用来去使能命中授权ACL的用户报文的统计功能。

缺省情况下,命中授权ACL的用户报文的统计功能处于关闭状态。

命令格式

acl authorization statistics enable

undo acl authorization statistics enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

现网场景中,经常需要对NAC认证成功的用户授权ACL,如果需要查看命中该授权ACL的用户报文的个数,可以执行该命令。

注意事项

该功能仅对使能该功能后新上线的用户生效。

使用实例

# 使能命中授权ACL的用户报文的统计功能。

<HUAWEI> system-view
[HUAWEI] acl authorization statistics enable

acl-id(业务方案视图)

命令功能

acl-id命令用来在业务方案中绑定ACL。

undo acl-id命令用来删除业务方案与ACL的绑定关系。

缺省情况下,业务方案中未绑定ACL。

命令格式

acl-id acl-number

undo acl-id { acl-number | all }

参数说明

参数 参数说明 取值
acl-number

指定与业务方案绑定的ACL编号。

整数形式,取值范围是3000~3999。
all

指定删除与业务方案绑定的所有ACL。

-

视图

业务方案视图

缺省级别

3:管理级

使用指南

应用场景

使用命令service-scheme(AAA视图)创建业务方案后,可以使用本命令将ACL绑定到业务方案。之后,被授予该业务方案的用户即继承了其上绑定的ACL规则。

前置条件

使用命令acl(系统视图)acl name创建了IPv4 ACL。

注意事项

单板混插的情况下,业务方案下发ACL规则的规格以最小的单板规格为准。

对从X系列单板上线的用户授权ACL时,如果该ACL不是自定义ACL,则该ACL规则中的源IP地址属性不会生效。其他所有情况下,用户的IP地址会替换ACL规则中的IP地址。

该命令为覆盖式命令,重复配置此命令行,新配置将覆盖已有配置。

使用实例

# 在业务方案“huawei”下绑定编号为3001的ACL。

<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] quit
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme huawei
[HUAWEI-aaa-service-huawei] acl-id 3001

authentication handshake

命令功能

authentication handshake命令用来使能设备与预连接用户以及已授权用户之间进行握手功能。

undo authentication handshake命令用来去使能设备与预连接用户以及已授权用户之间进行握手功能。

缺省情况下,已使能设备与预连接用户以及已授权用户之间进行握手功能。

命令格式

authentication handshake

undo authentication handshake

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

用户在预连接阶段、认证失败并被授予了网络访问权限阶段以及认证成功后,设备上均会建立起该用户的表项。正常情况下,用户下线后,系统会及时删除下线用户的表项,但当用户由于异常原因(譬如网络断开)下线时,系统不能够及时删除这些用户的用户表项。这类无效用户表项过多时,可能会导致其他用户无法接入网络。

为防止上述情况发生,可使用命令authentication handshake使能设备与预连接用户以及已授权用户之间进行握手功能。在握手周期内如果用户不响应设备的握手请求,则该用户表项将会被删除。

注意事项

  • MAC认证、三层Portal认证和802.1X认证用户的握手周期通过命令authentication timer handshake-period进行配置,二层Portal认证用户的握手周期通过命令portal timer offline-detect进行配置。

  • 对于三层Portal认证用户,该功能仅适用于从X系列单板认证上线的用户。

  • 该功能仅对获取到IP地址的有线用户生效。

  • 握手功能可以通过发送ARP探测报文或ND探测报文实现。

  • 握手功能还可以通过检测是否有用户流量经过接入设备实现。假如握手周期为3n,则设备会在n2n时刻进行用户探测。以0~n时间段为例,n~2n与之类似,不再赘述。
    • 如果在0~n时间段内,有用户流量经过设备,则在n时刻,设备认为用户在线,该时刻设备不会再发送探测报文,并重置握手周期。
    • 如果在0~n时间段内,没有用户流量经过设备,则在n时刻,设备无法感知到用户是否在线,该时刻设备会发送探测报文。如果设备收到用户的回应报文,则认为用户在线,并重置握手周期;如果未收到,则认为用户已下线。
    • 如果在2n~3n时间段内,有用户流量经过设备,则在3n时刻,设备认为用户在线,该时刻设备重置握手周期。
    • 如果在2n~3n时间段内,没有用户流量经过设备,则在3n时刻,设备无法感知到用户是否在线,认为用户已下线。
    如果在n2n3n时刻,设备均认为用户已下线,则设备会删除该用户的所有相关表项。为防止用户PC闲置时被异常下线,请不要将握手周期设置的过小。

使用实例

# 在认证模板“p1”下,使能设备与预连接用户以及已授权用户之间进行握手功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication handshake

authentication control-direction

命令功能

authentication control-direction命令用来配置流量方向控制功能。

缺省情况下,仅进行上行流量控制。

命令格式

authentication control-direction { all | inbound }

参数说明

参数 参数说明 取值
all

指定进行双向流量控制。

-

inbound

指定进行上行流量控制。

-

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

对于802.1X认证或MAC认证用户,缺省情况下,用户认证失败后接入认证设备将丢弃认证失败用户的所有上行流量,但认证失败用户仍可以收到同一VLAN内其他认证成功用户的广播报文,如果不想让认证失败用户收到该报文,可以执行命令authentication control-direction all,进行双向流量控制。如果想恢复缺省情况,可以执行命令authentication control-direction inbound,对认证失败用户仅进行上行流量控制。

注意事项

  • 该功能仅适用于802.1X认证和MAC认证。

  • 该功能仅适用于交换机做接入认证设备的场景,即认证点在接入交换机上,且一个端口下最多只能有一个IP话机和一个PC。

  • 当用户有预连接表项或认证事件表项时,该功能不生效,建议执行命令undo authentication pre-authen-access enable,去使能预连接功能,且不要执行命令authentication event,配置用户在认证成功前各阶段的网络访问权限。

  • 对于从同一接口且同一VLAN接入的用户,双向流量控制功能不生效。

  • 三层口不支持双向流量控制功能。

  • 建议执行命令stp edged-port enable将应用该功能的接口配置为边缘端口,且接口加入的VLAN不超过4个。

  • SVF场景、策略联动场景不支持该功能。

  • 无线场景不支持该功能。

  • 配置该功能时,STP模式推荐使用VBST,用户上线后,如果将STP模式切换为其他模式,用户流量会出现短暂中断。如果STP模式为MSTP或STP,则必须执行命令instance将接口VLAN映射到不同的生成树实例上。
  • 用户VLAN不能规划为RRPP或ERPS等环网特性的控制VLAN。

使用实例

# 在认证模板“authen1”下,配置双向流量控制功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name authen1
[HUAWEI-authen-profile-authen1] authentication control-direction all

authentication device-type voice authorize

命令功能

authentication device-type voice authorize命令用来使能语音终端不认证即上线功能。

undo authentication device-type voice authorize命令用来去使能语音终端不认证即上线功能。

缺省情况下,未使能语音终端不认证即上线功能。

命令格式

authentication device-type voice authorize [ service-scheme scheme-name ]

undo authentication device-type voice authorize [ service-scheme ]

参数说明

参数

参数说明

取值

service-scheme scheme-name

指定为语音终端授权网络访问权限的业务方案名称。

必须是已存在的业务方案名称。

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

在数据终端(PC等)和语音终端(IP Phone等)混合接入设备的场景中,管理员为实现对数据终端的管理控制而在设备上配置NAC功能,但对语音终端没有管理控制的要求,仅需要其能接入网络。此时,可以在设备上使能语音终端不认证即上线功能。使能该功能后,设备识别出的语音终端不认证就可以上线。

注意事项

使用Radius服务器进行动态VLAN下发,需使用RADIUS属性(064)Tunnel-Type(必须指定为VLAN或数值13),(065)Tunnel-Medium-Type(必须指定为802或数值6),(081)Tunnel-Private-Group-ID(可以是VLAN ID、VLAN描述、VLAN名称或VLAN pool)。要通过RADIUS服务器正确下发VLAN属性,以上三个属性必须同时使用,而且Tunnel-Type及Tunnel-Medium-Type两个属性的值必须是指定的值。下发Voice VLAN,还需要使用RADIUS属性(26-33)HW-Voice-Vlan。

为了能够识别出语音终端,交换机需要使能LLDP功能或配置Voice VLAN的OUI,具体配置请参见S12700 V200R013C00 配置指南-网络管理与监控》 LLDP配置 中的“配置LLDP基本功能”或S12700 V200R013C00 配置指南-以太网交换》 Voice VLAN配置 中的“配置基于MAC地址的Voice VLAN”对于不支持LLDP功能、只支持CDP功能的语音设备,交换机需要执行lldp compliance cdp receive命令使能LLDP兼容CDP协议功能。

当接口下执行命令voice-vlan enable命令使能接口的Voice VLAN功能后,当语音终端认证成功后所属VLAN和Voice VLAN为同一VLAN时,则能够授权Voice VLAN。

对于802.1X用户,如果终端主动发起认证,设备优先处理认证流程,认证成功后,终端获取认证成功后的网络访问权限;认证失败时,设备根据识别出的终端类型,使语音终端不认证即上线。

该命令为覆盖式命令,多次配置时,最后一次配置生效。

该功能仅对配置成功后新上线的用户生效。

使用实例

# 在认证模板“p1”下,使能语音终端不认证即上线功能,并在语音终端不认证时,为其授权业务方案“s1”。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme s1
[HUAWEI-aaa-service-s1] quit
[HUAWEI-aaa] quit
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication device-type voice authorize service-scheme s1

authentication dot1x-mac-bypass

命令功能

authentication dot1x-mac-bypass命令用来使能MAC旁路认证功能。

undo authentication dot1x-mac-bypass命令用来去使能MAC旁路认证功能。

缺省情况下,未使能MAC旁路认证功能。

命令格式

authentication dot1x-mac-bypass

undo authentication dot1x-mac-bypass

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

对于无法安装和使用802.1X客户端软件的终端,例如打印机等,可以通过MAC旁路认证方式进行认证。

使能认证模板的MAC旁路认证功能后,使用该认证模板的用户首先会进行802.1X认证,当用户名请求超时后,设备会对用户启动MAC认证流程。

注意事项

MAC旁路认证功能包含了802.1X认证和MAC认证两部分。使用该功能前,需要保证认证模板下已经绑定了802.1X接入模板和MAC接入模板。

使用实例

# 在认证模板“p1”下,使能MAC旁路认证功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication dot1x-mac-bypass

authentication event action authorize

命令功能

authentication event action authorize命令用来配置认证事件授权信息。

undo authentication event action authorize命令用来恢复缺省配置。

缺省情况下,未配置认证事件授权信息。

命令格式

预连接时,给用户的授权:

authentication event pre-authen action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name }

undo authentication event pre-authen action authorize

认证失败时,给用户的授权:

authentication event authen-fail action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name } [ response-fail ]

undo authentication event authen-fail action authorize

认证服务器Down时,给用户的授权:

authentication event authen-server-down action authorize { vlan vlan-id | service-scheme service-scheme-name | ucl-group ucl-group-name } [ response-fail ]

authentication event authen-server-down action authorize keep [ no-response | response-fail ]

undo authentication event authen-server-down action authorize

认证服务器无响应时,给用户的授权:

authentication event authen-server-noreply action authorize keep [ no-response | response-fail ]

undo authentication event authen-server-noreply action authorize

参数说明

参数 参数说明 取值
pre-authen

指定用户与设备建立起预连接时,为用户授予网络访问权限。

-

authen-fail

指定当认证服务器向设备回应认证失败报文时,为用户授予网络访问权限。

-

authen-server-down

指定当认证服务器Down或强制Up时,为用户授予网络访问权限。

-

authen-server-noreply

指定当认证服务器无响应时,为用户授予网络访问权限。

-

response-fail

指定为用户授予网络访问权限后,设备向用户回应认证失败报文。

若不选择该参数,设备默认会向用户回应认证成功报文,这使得用户无法感知自身认证失败的事实。针对这种情况,如果认证失败用户在获取网络访问权限后需要了解自身的认证状态,可配置向用户回应认证失败报文。

-

vlan vlan-id

指定VLAN ID,用户的网络访问权限为该VLAN内的网络资源。

整数形式,取值范围是1~4094。

service-scheme service-scheme-name 指定为用户授予网络访问权限的业务方案名称。

必须是设备上已存在的业务方案名称。

ucl-group ucl-group-name

指定为用户授予网络访问权限的UCL组名称。

必须是设备上已存在的UCL组名称。

keep

指定在线用户保持原有的网络访问权限。

-

no-response

指定为用户授予网络访问权限后,设备向用户不回应报文。

若不选择该参数,设备默认会向用户回应认证成功报文。

-

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

当用户在预连接状态或者认证失败状态时,用户将无任何网络访问权限。

为满足这些用户的基本网络访问需求,比如更新病毒库、下载客户端等,可在设备上配置认证事件授权信息,之后,设备即会根据用户所处的认证阶段为其授权。

注意事项

如果没有配置认证失败或认证服务器Down时用户的网络访问权限,当用户认证失败后,用户仍保持在预连接状态,拥有预连接用户的网络访问权限。

通过VLAN对用户进行授权,不适用于通过VLANIF接口接入的认证用户。

用户采用Portal认证或包含Portal认证的混合认证时,不支持为其授权VLAN。

用户采用Portal认证时,不支持配置keep参数。

配置vlanservice-schemeucl-group成功后,仅对新上线的用户生效

EAP方式的无线802.1X用户认证不支持该功能。

对于非X系列单板,如果业务方案绑定的QoS模板中配置了用户上行速率限制,不要对预连接用户授权该业务方案,否则会导致用户下线。

认证服务器Down、用户认证失败或处于预连接状态时,不支持重定向ACL功能(参见redirect-acl

使用实例

# 在认证模板“authen1”下,配置通过VLAN10为预连接用户授予网络访问权限。
<HUAWEI> system-view
[HUAWEI] vlan batch 10
[HUAWEI] authentication-profile name authen1
[HUAWEI-authen-profile-authen1] authentication event pre-authen action authorize vlan 10

authentication event authen-server-down action close re-authen

命令功能

authentication event authen-server-down action close re-authen命令用来关闭认证服务器状态为Down时重认证功能。

undo authentication event authen-server-down action close re-authen命令用来恢复缺省配置。

缺省情况下,认证服务器状态为Down时,重认证功能处于开启状态。

命令格式

authentication event authen-server-down action close re-authen

undo authentication event authen-server-down action close re-authen

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

在重认证场景中,执行命令authentication event action authorize keep后,认证服务器状态为Down时,在线用户保持原有的网络访问权限。如果对这些用户还进行重认证,造成客户端频繁发起重认证,多次后客户端可能会保持静默,导致用户无法上网。为避免上述现象,建议执行命令authentication event authen-server-down action close re-authen关闭认证服务器状态Down时重认证功能。

使用实例

# 关闭认证服务器状态Down时重认证功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name authen1
[HUAWEI-authen-profile-authen1] authentication event authen-server-down action close re-authen

authentication event authen-server-up action re-authen

命令功能

authentication event authen-server-up action re-authen命令用来使能当认证服务器状态由Down或强制Up转变为真正Up时,设备对处于逃生状态的用户进行重认证。

undo authentication event authen-server-up action re-authen命令用来恢复缺省配置。

缺省情况下,当认证服务器状态由Down或强制Up转变为真正Up时,设备不会对处于逃生状态的用户进行重新认证。

命令格式

authentication event authen-server-up action re-authen

undo authentication event authen-server-up action re-authen

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

在配置由于认证服务器Down而认证失败的用户的网络访问权限之后,获取该权限的用户(即逃生状态的用户)仅能够访问受限的网络资源。针对这种情况,当认证服务器状态恢复为Up后,需要及时对逃生状态的用户进行重认证,以满足其正常的网络访问需求。

设备将RADIUS服务器的状态设置为Down,执行命令radius-server dead-time dead-time配置RADIUS服务器恢复激活状态的时间,当dead-time超时后,设备会将服务器的状态设置为Up,此状态为强制Up。服务器可以成功收发报文时为真正Up状态。服务器状态从Down或强制Up状态转变为真正Up状态时,设备会对处于逃生状态的用户进行重认证。当服务器状态从Down变为强制Up时,不会触发重认证。

前置条件

为使设备能够探测到认证服务器的状态由Down转变为Up,需要在RADIUS服务器模板下配置命令radius-server testuser

注意事项

该功能仅对配置成功后新上线的用户生效。

使用实例

# 认证模板“authen1”下,使能当认证服务器状态由Down或强制Up转变为真正Up时,设备对处于逃生状态的用户进行重认证。

<HUAWEI> system-view
[HUAWEI] authentication-profile name authen1
[HUAWEI-authen-profile-authen1] authentication event authen-server-up action re-authen

authentication event client-no-response action authorize

命令功能

authentication event client-no-response action authorize命令用来配置用户在802.1X客户端无响应时的网络访问权限。

undo authentication event client-no-response action authorize命令用来恢复缺省配置。

缺省情况下,未配置用户在802.1X客户端无响应时的网络访问权限。

命令格式

authentication event client-no-response action authorize { service-scheme service-scheme-name | ucl-group ucl-group-name | vlan vlan-id }

undo authentication event client-no-response action authorize

参数说明

参数 参数说明 取值
service-scheme service-scheme-name 指定授权的业务方案名称。 必须是设备上已存在的业务方案名称。
ucl-group ucl-group-name

指定授权的UCL组名称。

必须是设备上已存在的UCL组名称。
vlan vlan-id

指定授权的VLAN ID,用户的网络访问权限为该VLAN内的网络资源。

整数形式,取值范围是1~4094。

视图

802.1X接入模板视图

缺省级别

2:配置级

使用指南

应用场景

802.1X客户端无响应会造成用户无法通过认证,导致用户无任何网络访问权限。但是,某些用户在认证成功之前,可能需要一些基本的网络访问权限,以完成下载客户端、更新病毒库等需求。此时,可以通过配置用户在802.1X客户端无响应时的网络访问权限,使用户可以访问特定的网络资源。

注意事项

该功能仅对配置成功后新上线的用户生效。

802.1X客户端无响应时,不支持重定向ACL功能(参见redirect-acl

使用实例

# 在802.1X接入模板“d1”下,配置在802.1X客户端无响应时,通过VLAN10为用户授予网络访问权限。

<HUAWEI> system-view
[HUAWEI] vlan batch 10
[HUAWEI] dot1x-access-profile name d1
[HUAWEI-dot1x-access-profile-d1] authentication event client-no-response action authorize vlan 10

authentication event portal-server-down action authorize

命令功能

authentication event portal-server-down action authorize命令用来配置用户在Portal服务器Down时的网络访问权限。

undo authentication event portal-server-down action authorize命令用来删除用户在Portal服务器Down时的网络访问权限。

缺省情况下,未配置用户在Portal服务器Down时的网络访问权限。

命令格式

authentication event portal-server-down action authorize { service-scheme service-scheme-name | ucl-group ucl-group-name }

undo authentication event portal-server-down action authorize

参数说明

参数 参数说明 取值
service-scheme service-scheme-name

指定为用户授予网络访问权限的业务方案名称。

必须是已存在的业务方案名称。

ucl-group ucl-group-name

指定为用户授予网络访问权限的UCL组名称。

必须是已存在的UCL组名称。

视图

Portal接入模板视图

缺省级别

2:配置级

使用指南

应用场景

Portal服务器Down会造成用户无法通过认证,导致用户无任何网络访问权限。但是,某些用户在认证成功之前,可能需要一些基本的网络访问权限,以完成下载客户端、更新病毒库等需求。此时,可以通过配置用户在Portal服务器Down时的网络访问权限,使用户可以访问特定的网络资源。

前置条件

系统视图下,执行命令ucl-group,创建UCL组。

AAA视图下,执行命令service-scheme,创建业务方案。

注意事项

  • 该功能仅对配置成功后新上线的用户生效。

  • 仅HTTP报文触发的Portal认证用户支持该功能,HTTPS报文触发的Portal认证用户不支持。

  • 要使该功能生效,要求服务器支持心跳探测功能、接入设备通过命令server-detect开启服务器探测功能。
  • Portal服务器Down时,不支持重定向ACL功能(参见redirect-acl

使用实例

# 在Portal接入模板“p1”下,配置Portal服务器Down时,通过业务方案“s1”为用户授予网络访问权限。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme s1
[HUAWEI-aaa-service-s1] quit
[HUAWEI-aaa] quit
[HUAWEI] portal-access-profile name p1
[HUAWEI-portal-acces-profile-p1] authentication event portal-server-down action authorize service-scheme s1

authentication event portal-server-up action re-authen

命令功能

authentication event portal-server-up action re-authen命令用来使能当Portal服务器状态由Down转变为Up时,设备对用户进行重认证。

undo authentication event portal-server-up action re-authen命令用来恢复缺省配置。

缺省情况下,当Portal服务器状态由Down转变为Up时,设备不会对用户进行重新认证。

命令格式

authentication event portal-server-up action re-authen

undo authentication event portal-server-up action re-authen

参数说明

视图

Portal接入模板视图

缺省级别

2:配置级

使用指南

应用场景

配置了用户在Portal服务器Down时的网络访问权限之后,设备在探测到Portal服务器Down后,用户能够访问受限的网络资源。Portal服务器恢复Up后,为使用户获取正常的网络访问权限,可以使能当Portal服务器状态由Down转变为Up时,设备对用户进行重认证。当Portal服务器状态恢复Up后,设备会将web-server-down状态的用户置为预连接状态,之后用户访问任意网页即可启动重认证流程,如果认证成功,设备会开放用户正常的网络访问权限。

注意事项

  • 该命令功能对路由主接口下的用户不生效。
  • 该功能仅对配置成功后新上线的用户生效。

  • 要使该功能生效,要求服务器支持心跳探测功能、接入设备通过命令server-detect开启服务器探测功能。

使用实例

# 在Portal接入模板“p1”下,使能当Portal服务器状态由Down转变为Up时,对用户进行重认证。

<HUAWEI> system-view
[HUAWEI] portal-access-profile name p1
[HUAWEI-portal-acces-profile-p1] authentication event portal-server-up action re-authen

authentication ip-address in-accounting-start

命令功能

authentication ip-address in-accounting-start命令用来开启在计费开始报文中携带用户IP地址功能。

undo authentication ip-address in-accounting-start命令用来关闭在计费开始报文中携带用户IP地址功能。

缺省情况下,计费开始报文中携带用户IP地址功能处于关闭状态。

命令格式

authentication ip-address in-accounting-start

undo authentication ip-address in-accounting-start

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

设备通过计费开始报文上报接入信息和用户基本网络信息(IP地址),因此需要支持计费开始报文中携带用户IP地址信息。

有两种情况下,设备无法学习到用户的IP地址,导致设备不会发送计费开始报文:
  • 对于无线用户,执行命令learn-address-client disable关闭了STA地址学习功能。
  • 对于有线用户,已经获取了IP地址或者配置了静态IP地址。

该命令仅对802.1X认证和MAC认证用户生效。Portal认证的计费开始报文中默认已携带用户IP地址。

该命令对IPv4和IPv6用户均生效。

使用实例

# 开启在计费开始报文中携带用户IP地址功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name test 
[HUAWEI-authen-profile-test] authentication ip-address in-accounting-start

authentication ip-conflict-check enable

命令功能

authentication ip-conflict-check enable命令用来开启设备对客户端IP地址进行冲突检测功能。

undo authentication ip-conflict-check enable命令用来关闭设备对客户端IP地址进行冲突检测功能。

缺省情况下,设备对客户端IP地址进行冲突检测。

命令格式

authentication ip-conflict-check enable

undo authentication ip-conflict-check enable

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

IP地址进行冲突检测通过IP HASH表进行,如果客户端的IP地址HASH值与设备的IP HASH表中已有值冲突,客户端无法认证成功。为避免非法用户仿冒IP地址接入,可以开启冲突检测功能。某些客户端由于自身设置,会以同一个固定源IP地址发送ARP探测报文,当网络中存在多个这种客户端时,会出现地址冲突,此时可以关闭该功能。
说明:
关闭该功能后,基于IP地址的授权不生效。

使用实例

# 开启对客户端IP地址进行冲突检测功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name test 
[HUAWEI-authen-profile-test] authentication ip-conflict-check enable

authentication ipv6-control enable

命令功能

authentication ipv6-control enable命令用来开启对IPv6用户的访问权限控制功能。

undo authentication ipv6-control enable命令用来关闭对IPv6用户的访问权限控制功能。

缺省情况下,对IPv6用户的访问权限控制功能处于关闭状态。

说明:

该命令对X系列单板不生效。

命令格式

authentication ipv6-control enable

undo authentication ipv6-control enable

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,设备开启NAC认证功能之后,部分场景下IPv6用户未认证成功也能访问网络,安全起见,可以开启对IPv6用户的访问权限控制功能,IPv6用户认证成功后才能访问网络。

注意事项

不同单板对不同认证状态下用户的IPv6报文处理方式如下表所示。
单板 认证方式 未开启对IPv6用户的访问权限控制功能(缺省情况) 已开启对IPv6用户的访问权限控制功能
未认证 预连接状态 认证成功 未认证状态 预连接状态 认证成功
X系列单板 二层以太网接口下的802.1X认证 不允许通过 不允许通过 允许通过

该命令不生效

VLANIF接口下的MAC认证 不允许通过 不允许通过 允许通过
二层以太网接口下的MAC认证 不允许通过 不允许通过 允许通过
VLANIF接口下的二层Portal认证 不允许通过 不允许通过 允许通过
二层以太网接口下的二层Portal认证 不允许通过 不允许通过 允许通过
VLANIF接口下的三层Portal认证 不允许通过 三层Portal认证不支持预连接 不允许通过
三层以太网接口下的三层Portal认证 不允许通过 三层Portal认证不支持预连接 不允许通过
以上单板除外的其他所有单板 二层以太网接口下的802.1X认证 不允许通过 允许通过 允许通过 不允许通过 不允许通过 允许通过
VLANIF接口下的MAC认证 允许通过 允许通过 允许通过 不允许通过 不允许通过 允许通过
二层以太网接口下的MAC认证 不允许通过 允许通过 允许通过 不允许通过 不允许通过 允许通过
VLANIF接口下的二层Portal认证 允许通过 允许通过 允许通过 不允许通过 不允许通过 允许通过
二层以太网接口下的二层Portal认证 不允许通过 允许通过 允许通过 不允许通过 不允许通过 允许通过
VLANIF接口下的三层Portal认证 允许通过 三层Portal认证不支持预连接 允许通过 不允许通过 三层Portal认证不支持预连接 不允许通过
三层以太网接口下的三层Portal认证 不允许通过 三层Portal认证不支持预连接 不允许通过 不允许通过 三层Portal认证不支持预连接 不允许通过

使用实例

# 开启对IPv6用户的访问权限控制功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name test 
[HUAWEI-authen-profile-test] authentication ipv6-control enable

authentication mode

命令功能

authentication mode命令用来配置用户接入模式。

undo authentication mode命令用来恢复用户接入模式为缺省配置。

缺省情况下,用户接入模式为multi-authen

命令格式

authentication mode { single-terminal | single-voice-with-data | multi-share | multi-authen [ max-user max-user-number [ dot1x | mac-authen | portal | none ] * ] }

undo authentication mode [ multi-authen max-user [ dot1x | mac-authen | portal | none ] * ]

参数说明

参数 参数说明 取值
single-terminal

指定接口仅允许一个用户上线。

-

single-voice-with-data

指定接口仅允许一个数据用户和一个语音用户上线。

该方式用于一个数据用户通过一个语音终端接入网络的场景。

-

multi-share

指定接口允许多个用户上线。

该方式设备仅对第一个用户进行接入认证,若认证成功,则后续用户共享第一个用户的网络访问权限。之后,若第一个用户下线,其他用户也将下线。

-

multi-authen

指定接口允许多个用户上线。

该方式设备对每一个用户都会进行接入认证,若认证成功,授予用户独立的网络访问权限。之后,某一用户下线不会影响其他用户。

-

max-user max-user-number

指定multi-authen模式时,接口允许接入的最大用户数。

整数形式,取值范围根据单板类型不同而不同。

dot1x

指定multi-authen模式时,接口允许接入的802.1X认证最大用户数。

-

mac-authen

指定multi-authen模式时,接口允许接入的MAC认证最大用户数。

-

portal

指定multi-authen模式时,接口允许接入的Portal认证最大用户数。

-

none

指定multi-authen模式时,接口允许接入的预连接用户的最大用户数。

-

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

使能NAC认证功能后,可根据接口下的实际用户接入情况配置用户接入模式。
  • single-terminal:常用于设备接口下仅有一个数据终端接入网络的场景。
  • single-voice-with-data:常用于设备接口下仅有一个数据终端通过一个语音终端接入网络的场景。
  • multi-share:常用于设备接口下存在多个数据终端接入网络且安全性要求不高的场景。
  • multi-authen:常用于设备接口下存在多个数据终端接入网络且安全性要求较高的场景。在该接入模式下,管理员可根据接口下实际的用户数目部署最大接入用户数,这样能够防止该接口下恶意用户占用大量设备资源,导致设备其他接口下用户不能上线的问题。

注意事项

  • VLANIF接口不支持该功能。
  • 命令authentication mode multi-authen max-user max-user-number仅表示multi-authen模式时接口允许接入的最大用户数,不表示指定接口的接入模式。接口的接入模式需要修改为multi-authen时,必须配置命令authentication mode multi-authen

  • 物理接口配置multi-share模式时,如果第一个接入的用户没有认证成功并建立预连接,会导致后续接入的用户也无法认证成功。因此,物理接口配置multi-share模式时,在不能确保第一个用户能够认证成功的情况下:
  • 策略联动场景下,AS设备上配置命令authentication mode multi-authen max-user max-user-number不生效。如果想配置AS设备的用户接入数,可执行命令authentication access-point max-user max-user-number,在接入设备的接口上配置允许接入用户的最大数目。

  • 当认证模板下的authentication modemulti-authen时,如果要授权VLAN,策略联动场景需配置端口类型为hybrid或trunk,其他场景需配置端口类型为hybrid。

使用实例

# 在认证模板“p1”下,配置用户接入模式为multi-authen

<HUAWEI> system-view
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication mode multi-authen

authentication mac-authen-first force

命令功能

authentication mac-authen-first force命令用来配置802.1X认证前强制进行MAC认证。

undo authentication mac-authen-first force命令用来恢复缺省配置。

缺省情况下,未配置802.1X认证前强制进行MAC认证。

命令格式

authentication mac-authen-first force

undo authentication mac-authen-first force

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

如果出于安全考虑,要求接入网络的用户必须使用已注册过的终端进行802.1X认证,为防止用户使用未注册终端进行802.1X认证,占用设备和服务器资源,可以配置该功能,强制接入网络的用户先进行MAC认证。只有MAC认证成功后,才能继续进行802.1X认证。对于未注册过的终端,MAC认证失败后直接下线,不再进行802.1X认证。

注意事项

仅无线场景支持该功能。

使用实例

# 配置802.1X认证前强制进行MAC认证。

<HUAWEI> system-view
[HUAWEI] authentication-profile name authen1
[HUAWEI-authen-profile-authen1] authentication mac-authen-first force

authentication mac-move enable

命令功能

authentication mac-move enable命令用来使能MAC迁移功能。

undo authentication mac-move enable命令用来去使能MAC迁移功能。

缺省情况下,未使能MAC迁移功能。

命令格式

authentication mac-move enable vlan { all | { vlan-id1 [ to vlan-id2 ] } & <1–10> }

undo authentication mac-move enable vlan { all | { vlan-id1 [ to vlan-id2 ] } & <1–10> }

参数说明

参数

参数说明

取值

vlan 指定使能MAC迁移功能的VLAN范围。

-

all 指定所有VLAN都使能MAC迁移功能。

-

vlan-id1 [ to vlan-id2 ] 指定特定编号的VLAN使能MAC迁移功能。
  • vlan-id1:表示第一个VLAN的编号。
  • vlan-id2:表示第二个VLAN的编号,vlan-id2的取值必须大于vlan-id1

整数形式,取值范围是1~4094。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户从设备的一个接口认证上线,然后直接插拔网线,移动到设备的另一个接口,此时,用户无法立即发起认证也无法上线;必须等到设备上用户下线探测周期结束或手动将认证接口UP/DOWN清除用户在线表项后,用户才能在后接入的接口上发起认证。为提升用户体验,使用户在切换接入接口后能够立即认证上线,可以使能MAC迁移功能。

MAC迁移功能是指,允许在线的NAC认证用户移动到设备的其他接入接口后,可以立即认证上线。如果用户在后接入的接口上认证成功,原接口上的用户在线表项会立即被清除,保证该用户仅在一个接口上记录在线表项信息。

另外,MAC迁移功能需要指定允许用户移动的VLAN。该VLAN可以是用户移动前所属的VLAN,也可以是用户移动后所属的VLAN。用户移动前后所属的VLAN可以相同也可以不同。

注意事项

  • 通常情况下,不建议开启MAC迁移功能,只有在用户有漫游迁移需求时才建议开启。这是为防止非法用户仿冒已在线用户的MAC地址,在其他认证控制接口上发送ARP、802.1X或DHCP报文触发MAC迁移功能,导致合法用户下线。

  • 策略联动和SVF场景下,设备不支持MAC迁移功能。
  • L2 BNG场景下,设备不支持MAC迁移功能。
  • 不支持用户通过中间设备级联迁移,因为级联的时候用户迁移后不会发ARP、DHCP等报文。
  • 不支持单MAC地址多IP地址用户的MAC迁移功能。
  • 不支持三层Portal认证用户和PPPoE认证用户的MAC迁移功能。
  • 用户从配置了NAC认证的接口迁移到未配置NAC认证的接口时,由于未配置NAC认证的接口不能发送认证报文触发MAC迁移,用户必须等到原在线表项老化后,才能够接入网络。
  • VLANIF接口上线的用户,在发送ARP报文走下线流程后才能够触发Portal认证,否则只能等到原用户在线表项老化后才能重新上线。物理接口不支持用户迁移后进行Portal认证,直到原用户在线表项老化后才能重新上线。
  • VLANIF接口上线的用户多次MAC迁移被静默时,被静默的用户只有当MAC迁移静默时间超时,并且ARP表项老化后,才能进行MAC迁移。
  • 对从除X系列单板之外的单板上线的用户授权VLAN后,会存在部分用户迁移失败,此时必须等迁移前端口的用户表项老化后,这部分用户才能上线。
  • 如果authentication mac-move enable vlan命令中的VLAN使用的是授权VLAN,建议配置MAC迁移前探测功能。

使用实例

# 配置所有VLAN都使能MAC迁移功能。

<HUAWEI> system-view
[HUAWEI] authentication mac-move enable vlan all

authentication mac-move detect enable

命令功能

authentication mac-move detect enable命令用来使能MAC迁移前探测功能。

undo authentication mac-move detect enable命令用来去使能MAC迁移前探测功能。

缺省情况下,未使能MAC迁移前探测功能。

命令格式

authentication mac-move detect enable

undo authentication mac-move detect enable

参数说明

视图

系统视图、认证模板视图

缺省级别

2:配置级

使用指南

开启MAC迁移功能后,为防止非法用户仿冒已在线用户的MAC地址发起攻击的问题,可以使用命令authentication mac-move detect enable开启MAC迁移前探测功能。用户进行MAC迁移前,设备会探测用户是否在线,如果用户不在线则继续MAC迁移,用户会在新接入接口上认证上线;如果用户在线则终止MAC迁移,用户不能在新接入接口上上线。

MAC迁移前探测的时间间隔和次数可以通过命令authentication mac-move detect retry-interval retry-time配置。

缺省情况下,系统视图未开启MAC迁移前探测功能,认证模板视图下已开启MAC迁移前探测功能。只有当系统视图和认证模板视图下都开启了MAC迁移前探测功能时,该功能才生效。如果想关闭部分接口下接入的用户的MAC迁移前探测功能,只需在该接口绑定的认证模板下关闭MAC迁移前探测功能。

使用实例

# 使能MAC迁移前探测功能。

<HUAWEI> system-view
[HUAWEI] authentication mac-move detect enable

authentication mac-move detect retry-interval retry-time

命令功能

authentication mac-move detect retry-interval retry-time命令用来配置MAC迁移前探测的时间间隔和次数。

undo authentication mac-move detect retry-interval retry-time命令用来恢复缺省值。

缺省情况下,MAC迁移前探测的时间间隔是3秒、次数是1次。

命令格式

authentication mac-move detect { retry-interval interval | retry-time times } *

undo authentication mac-move detect { retry-interval | retry-time } *

参数说明

参数

参数说明

取值

interval

指定MAC迁移前探测的时间间隔。

整数形式,取值范围为1~5,单位为秒。

times

指定MAC迁移前探测的次数。

整数形式,取值范围为1~3。

视图

系统视图

缺省级别

2:配置级

使用指南

开启MAC迁移前探测功能后,用户进行MAC迁移前,设备会探测用户是否在线,如果用户不在线则继续MAC迁移,用户会在新接入接口上认证上线;如果用户在线则终止MAC迁移,用户不能在新接入接口上上线。可以使用命令authentication mac-move detect { retry-interval interval | retry-time times } *修改探测的时间间隔和次数。

使用实例

# 配置MAC迁移前探测的时间间隔为5秒、次数为2次。

<HUAWEI> system-view
[HUAWEI] authentication mac-move detect retry-interval 5 retry-time 2

authentication mac-move quiet-log enable

命令功能

authentication mac-move quiet-log enable命令用来使能设备记录MAC迁移静默相关日志的功能。

undo authentication mac-move quiet-log enable命令去使能设备记录MAC迁移静默相关日志的功能。

缺省情况下,已使能设备记录MAC迁移静默相关日志的功能。

命令格式

authentication mac-move quiet-log enable

undo authentication mac-move quiet-log enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

为提高MAC迁移静默功能的可维护性,便于管理员定位用户MAC迁移失败的原因,设备支持在添加或删除MAC迁移静默表项时记录日志。

使用实例

# 使能设备记录MAC迁移静默相关日志的功能。

<HUAWEI> system-view
[HUAWEI] authentication mac-move quiet-log enable

authentication mac-move quiet-times quiet-period

命令功能

authentication mac-move quiet-times quiet-period命令用来配置MAC迁移用户被静默前60秒内允许迁移的次数和静默时间间隔。

undo authentication mac-move quiet-times quiet-period命令用来恢复缺省值。

缺省情况下,MAC迁移用户被静默前60秒内允许迁移的次数为3次、静默的时间间隔为0秒。

命令格式

authentication mac-move { quiet-times times | quiet-period quiet-value } *

undo authentication mac-move { quiet-times | quiet-period } *

参数说明

参数

参数说明

取值

times

指定MAC迁移用户被静默前60秒内允许迁移的次数。

整数形式,取值范围为1~10。

quiet-value

指定MAC迁移用户静默的时间间隔。

整数形式,取值范围为0~3600。

取值为0时表示关闭MAC迁移静默功能。

视图

系统视图

缺省级别

2:配置级

使用指南

用户频繁切换接入接口(特别是环路等原因造成的频繁切换),会导致设备处理大量认证报文和认证表项,出现CPU占用率高的问题。为解决该问题,可以配置MAC迁移静默功能。

配置MAC迁移静默功能后,若某一用户在60秒内迁移的次数超过设置的值(即times),设备会将该用户静默一段时间(即quiet-value)。在静默时间内,设备不允许用户进行MAC迁移。

使用实例

# 配置MAC迁移用户被静默前60秒内允许迁移的次数为5次、静默时间间隔为120秒。

<HUAWEI> system-view
[HUAWEI] authentication mac-move quiet-times 5 quiet-period 120

authentication mac-move quiet-user-alarm enable

命令功能

authentication mac-move quiet-user-alarm enable命令用来使能设备发送MAC迁移静默相关告警的功能。

undo authentication mac-move quiet-user-alarm enable命令去使能设备发送MAC迁移静默相关告警的功能。

缺省情况下,未使能设备发送MAC迁移静默相关告警的功能。

命令格式

authentication mac-move quiet-user-alarm enable

undo authentication mac-move quiet-user-alarm enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

为提高MAC迁移静默功能的可维护性,设备支持发送MAC迁移静默相关告警的功能。当MAC迁移静默表的实际用户数占规格数的百分比高于配置的上限告警阈值时,设备发送告警;之后,如果该比例降到等于或小于配置的下限告警阈值时,设备再发送恢复告警。发送告警的上下限阈值通过命令authentication mac-move quiet-user-alarm percentage配置。

使用实例

# 使能设备发送MAC迁移静默相关告警的功能。

<HUAWEI> system-view
[HUAWEI] authentication mac-move quiet-user-alarm enable

authentication mac-move quiet-user-alarm percentage

命令功能

authentication mac-move quiet-user-alarm percentage命令用来配置MAC迁移静默用户数的告警上下限阈值。

undo authentication mac-move quiet-user-alarm percentage命令用来恢复缺省值。

缺省情况下,MAC迁移静默用户数的告警下限阈值是50、上限阈值是100。

命令格式

authentication mac-move quiet-user-alarm percentage lower-threshold upper-threshold

undo authentication mac-move quiet-user-alarm percentage

参数说明

参数

参数说明

取值

lower-threshold

指定告警下限阈值。

整数形式,取值范围为1~100。

upper-threshold

指定告警上限阈值。

整数形式,取值范围为1~100。

取值必须大于lower-threshold

视图

系统视图

缺省级别

2:配置级

使用指南

为提高MAC迁移静默功能的可维护性,可以通过命令authentication mac-move quiet-user-alarm enable使能设备发送MAC迁移静默相关告警的功能。当MAC迁移静默表的实际用户数占规格数的百分比高于配置的上限告警阈值时,设备发送告警;之后,如果该比例降到等于或小于配置的下限告警阈值时,设备再发送恢复告警。发送告警的上下限阈值通过命令authentication mac-move quiet-user-alarm percentage配置。

使用实例

# 配置MAC迁移静默用户数的告警下限阈值是40、上限阈值是80。

<HUAWEI> system-view
[HUAWEI] authentication mac-move quiet-user-alarm percentage 40 80

authentication no-ip-check

命令功能

authentication no-ip-check命令用来开启设备对客户端IP地址不建立IP HASH表功能。

undo authentication no-ip-check命令用来关闭设备对客户端IP地址不建立IP HASH表功能。

缺省情况下,设备对客户端IP地址建立IP HASH表。

命令格式

authentication no-ip-check

undo authentication no-ip-check

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

用户获取IP地址后,会建立IP HASH表。如果客户端的IP地址HASH值与设备的IP HASH表中已有值冲突时,客户端无法认证成功。当设备下接两个分支时,每个分支上的地址池可能有重叠,导致处于不同分支的两个客户端可能分配到相同的IP地址,当设备对该地址进行冲突检测时,客户端无法上线。对于接入设备下接不同分支的场景,可以配置该命令让设备对客户端IP地址不建立IP HASH表功能。让不同分支的有相同IP地址的两个客户端也能正常上线。

注意事项

不建议配置该功能,否则如果相同IP地址的两个客户端从同一个接口上线,那么根据IP地址设置的规则(如ACL、静态UCL组)有可能会出现误命中。

该功能与Portal认证互斥。

该功能与ip-static-user enable互斥。

开启该功能后,用户权限依赖ARP学习。

使用实例

# 开启对客户端IP地址不建立IP HASH表功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name test 
[HUAWEI-authen-profile-test] authentication no-ip-check

authentication no-replace dot1x

命令功能

authentication no-replace dot1x命令用来配置设备不回应认证成功的MAC或Portal用户的EAP Start报文功能。

undo authentication no-replace dot1x命令用来关闭设备不回应认证成功的MAC或Portal用户的EAP Start报文功能。

缺省情况下,未配置设备不回应认证成功的MAC或Portal用户的EAP Start报文功能。

命令格式

authentication no-replace dot1x [ device-type voice ]

undo authentication no-replace dot1x [ device-type voice ]

参数说明

参数 参数说明 取值
device-type voice

指定该功能仅对语音终端生效。

不配置此参数则该功能对所有终端生效。

-

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

部分语音终端MAC认证成功后,仍会发送EAP Start报文,当设备回应其EAP Start报文后,语音终端会出现状态异常,不再回应设备的认证请求导致下线。为解决此类问题,可以配置设备不回应认证成功的MAC或Portal用户的EAP Start报文功能,当设备收到MAC认证成功的语音终端的EAP Start报文后,不再回应,避免语音终端进入异常状态。

注意事项

该功能仅对有线用户生效。

不论是否配置该功能,设备仍会正常回应802.1X用户的EAP Start报文。

使用实例

# 配置设备不回应认证成功的MAC或Portal用户的EAP Start报文功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication no-replace dot1x device-type voice

authentication pre-authen-access enable

命令功能

authentication pre-authen-access enable命令用来使能预连接功能。

undo authentication pre-authen-access enable命令用来去使能预连接功能。

缺省情况下,预连接功能已使能。即用户在认证成功前且没有任何网络访问权限时,处于预连接状态。

命令格式

authentication pre-authen-access enable

undo authentication pre-authen-access enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户连接使能NAC功能的设备端口后,用户与设备之间就会建立预连接。如果用户没有认证成功,设备默认仍将用户置为预连接状态。由于设备会放行预连接用户的DHCP报文,导致尽管此时用户没有任何网络访问权限,但是依然获取IP地址。这就造成IP地址浪费,同时也给网络安全带来隐患。

如果需要用户在认证成功前不需要具备一定的网络访问权限,可以去使能预连接功能。去使能预连接功能后,用户在认证成功前无任何网络访问权限,也不会为其分配IP地址。

注意事项

对于采用Portal认证或包含Portal认证的混合认证用户,该功能不生效。

对于配置了认证事件授权的用户,该功能不生效。

设备与某些终端对接时,例如MacBook笔记本,如果终端获取IP地址后不再进行认证的情况下,则建议在设备上执行命令undo authentication pre-authen-access enable去使能预连接功能,然后终端再重新连接。

用户使用Option82的DHCP报文进行上线时,如果用户在预连接状态上线失败,则建议在设备上执行命令undo authentication pre-authen-access enable去使能预连接功能。

使用实例

# 去使能预连接功能。

<HUAWEI> system-view
[HUAWEI] undo authentication pre-authen-access enable

authentication port-vlan-modify user-online

命令功能

authentication port-vlan-modify user-online命令用来开启修改端口类型或VLAN时保持用户在线功能。

undo authentication port-vlan-modify user-online命令用来恢复缺省配置。

缺省情况下,未开启修改端口类型或VLAN时保持用户在线功能。

命令格式

authentication port-vlan-modify user-online

undo authentication port-vlan-modify user-online

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

用户接入认证成功后,可以通过RADIUS服务器修改用户允许访问的VLAN或改变用户的接入接口类型。例如,可以通过服务器为客户端授权VLAN的方式进行网络规划部署。部署完成后,为减少链路故障,设备重启等事件对网络的影响,实现网络快速恢复,可以将用户接入的VLAN改为授权的VLAN。此时可以开启修改端口类型或VLAN时保持用户在线功能,在保持用户在线的情况下修改接口和VLAN的配置。

说明:
仅802.1X认证和MAC认证支持该功能。

使用实例

# 开启修改端口类型或VLAN时保持用户在线功能。

<HUAWEI> system-view
[HUAWEI] authentication port-vlan-modify user-online

authentication { update-info-accounting | update-ip-accounting } * enable

命令功能

authentication { update-info-accounting | update-ip-accounting } * enable命令用来使能终端信息更新和地址更新时立即发送计费报文功能。

undo authentication { update-info-accounting | update-ip-accounting } * enable命令用来去使能终端信息更新和地址更新时立即发送计费报文功能。

缺省情况下,终端信息更新和地址更新时立即发送计费报文功能已使能。

命令格式

authentication { update-info-accounting | update-ip-accounting } * enable

undo authentication { update-info-accounting | update-ip-accounting } * enable

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

用户在终端信息更新和地址更新时设备默认会立即发送计费报文到计费服务器,对于某些计费服务器,可能并不需要此计费报文,此时大量的计费报文会导致设备资源的占用。对此可以执行命令undo authentication { update-info-accounting | update-ip-accounting } * enable,去使能终端信息更新和地址更新时立即发送计费报文功能,减少设备资源的占用。终端信息更新和地址更新结束后,设备会重新发送计费报文,不影响计费功能。

其中:
  • update-info-accounting:表示终端信息更新时立即发送计费报文。

    配置该功能,需要同时配置终端类型识别功能。

    配置命令authentication update-info-accounting enable后,当设备获取到计费报文时,会判断报文中的终端信息(包括DHCP Option、UA或LLDP信息)与保存的是否一致。如果不一致、则在第一次收到计费报文时会立即发送,后续再次收到计费报文时不会立即发送;其他情况下,设备收到计费报文时,不会立即发送,会等待实时计费定时器超时时发送。

    配置命令undo authentication update-info-accounting enable后,当设备获取到计费报文时,不会立即发送,会等待实时计费定时器超时时发送。

  • update-ip-accounting:表示地址更新时立即发送计费报文。

使用实例

# 去使能地址更新时立即发送计费报文功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name test 
[HUAWEI-authen-profile-test] undo authentication update-ip-accounting enable

authentication roam pre-authen mac-authen enable

命令功能

authentication roam pre-authen mac-authen enable命令用来开启对漫游用户进行MAC认证功能。

undo authentication roam pre-authen mac-authen enable命令用来关闭对漫游用户进行MAC认证功能。

缺省情况下,对漫游用户进行MAC认证功能处于关闭状态。

命令格式

authentication roam pre-authen mac-authen enable

undo authentication roam pre-authen mac-authen enable

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

V200R012C00之前版本中,对漫游用户进行MAC认证功能处于开启状态。用户通过MAC认证或MAC优先的Portal认证接入网络,如果用户进行漫游,则漫游后会触发MAC认证,此时MAC认证可能失败,用户进入预连接,不再具有原先的访问权限。为避免该情况发生,V200R012C00和后续版本中,缺省情况下对漫游用户进行MAC认证功能处于关闭状态。建议使用缺省配置。

使用实例

# 开启对漫游用户进行MAC认证功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name test 
[HUAWEI-authen-profile-test] authentication roam pre-authen mac-authen enable

authentication single-access

命令功能

authentication single-access命令用来配置设备仅允许用户通过一种方式的接入认证。

undo authentication single-access命令用来恢复缺省配置。

缺省情况下,设备允许用户先后通过不同方式的接入认证。

命令格式

authentication single-access

undo authentication single-access

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

设备配置混合认证后,默认允许用户能够通过不同方式的接入认证。使用本命令能够关闭该默认功能,即仅允许用户通过一种方式的接入认证。这样当用户通过一种方式的认证后,设备不会对其他认证方式的认证报文进行处理。

使用实例

# 在认证模板“authen1”下,配置设备仅允许用户通过一种方式的接入认证。

<HUAWEI> system-view
[HUAWEI] authentication-profile name authen1
[HUAWEI-authen-profile-authen1] authentication single-access

authentication single-stack-control enable

命令功能

authentication single-stack-control enable命令用来开启单栈认证功能。

undo authentication single-stack-control enable命令用来关闭单栈认证功能。

缺省情况下,未开启单栈认证功能。

说明:

该命令仅对X系列单板生效。

命令格式

authentication single-stack-control { ipv4 | ipv6 } enable

undo authentication single-stack-control enable

参数说明

参数 参数说明 取值
ipv4

指定开启IPv4流量的单栈认证功能。

-

ipv6

指定开启IPv6流量的单栈认证功能。

-

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,不针对IPv4或IPv6流量单独进行访问控制。配置单栈认证功能,可以单独对IPv4或IPv6流量进行控制。

注意事项

该功能仅对有线Portal用户生效。

使用实例

# 在认证模板“p1”下,开启IPv6单栈认证功能。

<HUAWEI> system-view
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication single-stack-control ipv6 enable

authentication speed-limit auto

命令功能

authentication speed-limit auto命令用来使能设备对NAC用户报文处理速率动态调整功能。

undo authentication speed-limit auto命令用来去使能设备对NAC用户报文处理速率动态调整功能。

缺省情况下,未使能设备对NAC用户报文处理速率动态调整功能。

命令格式

authentication speed-limit auto

undo authentication speed-limit auto

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

当设备CPU或内存占用率很高时(譬如CPU或内存占有率大于80%),此时如果仍有大量NAC用户进行接入认证或者下线,这会给设备CPU带来很大的负担。使能设备对NAC用户报文处理速率动态调整功能后,当设备的CPU或内存占用率过高时,设备将动态调整每秒能够处理的NAC用户报文数,这在一定程度上能够减轻设备CPU的负担。

使用实例

# 使能设备对NAC用户报文处理速率动态调整功能。

<HUAWEI> system-view
[HUAWEI] authentication speed-limit auto

authentication termination-action reauthenticate

命令功能

authentication termination-action reauthenticate命令用来配置设备在RADIUS服务器通过Session-Timeout属性下发的超时时间到达后对用户进行重认证。

undo authentication termination-action命令用来恢复缺省配置。

缺省情况下,未配置设备在RADIUS服务器通过Session-Timeout属性下发的超时时间到达后对用户进行重认证。

命令格式

authentication termination-action reauthenticate

undo authentication termination-action

参数说明

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

RADIUS服务器通过Session-Timeout属性和Termination-Action属性控制用户的剩余在线时长和超时后是否重认证。缺省情况下,当RADIUS服务器下发Session-Timeout属性,且未下发Termination-Action属性时,设备会在Session-Timeout属性指定的超时时间到达后对用户进行下线处理。此时如果要对用户进行重认证且不想修改服务器的配置,可以执行该命令,当到达超时时间后,设备对用户进行重认证。

注意事项

仅802.1X认证和二层接口下的MAC认证支持该功能。

使用实例

# 认证模板“authen1”下,配置设备在RADIUS服务器通过Session-Timeout属性下发的超时时间到达后对用户进行重认证。

<HUAWEI> system-view
[HUAWEI] authentication-profile name authen1
[HUAWEI-authen-profile-authen1] authentication termination-action reauthenticate

authentication timer handshake-period

命令功能

authentication timer handshake-period命令用来配置设备与预连接用户以及已授权用户之间的握手周期。

undo authentication timer handshake-period命令用来恢复缺省配置。

缺省情况下,设备与预连接用户以及已授权用户之间的握手周期为300秒。

命令格式

authentication timer handshake-period handshake-period

undo authentication timer handshake-period

参数说明

参数

参数说明

取值

handshake-period

指定握手周期。

整数形式,取值范围是5~7200,单位是秒。

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

使用命令authentication handshake使能设备与预连接用户以及已授权用户之间进行握手功能后,可使用本命令配置握手周期。之后,在握手周期内如果用户不响应设备的握手请求,则该用户表项将会被删除。

注意事项

  • 该命令仅适用于MAC认证、三层Portal认证和802.1X认证方式。

  • 对于三层Portal认证用户,该功能仅适用于从X系列单板认证上线的用户。

  • 该功能仅对有线用户生效;对于没有IP地址的有线用户,如果30分钟后仍然没有IP地址,则会进行流量探测(探测流程见下面的注意事项),如果有流量经过设备,则用户不会被下线,如果没有用户流量经过接入设备,则将用户下线。

  • 该功能仅对配置成功后新上线的用户生效。

  • 握手功能可以通过发送ARP探测报文或ND探测报文实现。

  • 握手功能还可以通过检测是否有用户流量经过接入设备实现。假如握手周期为3n,则设备会在n2n时刻进行用户探测。以0~n时间段为例,n~2n与之类似,不再赘述。
    • 如果在0~n时间段内,有用户流量经过设备,则在n时刻,设备认为用户在线,该时刻设备不会再发送探测报文,并重置握手周期。
    • 如果在0~n时间段内,没有用户流量经过设备,则在n时刻,设备无法感知到用户是否在线,该时刻设备会发送探测报文。如果设备收到用户的回应报文,则认为用户在线,并重置握手周期;如果未收到,则认为用户已下线。
    • 如果在2n~3n时间段内,有用户流量经过设备,则在3n时刻,设备认为用户在线,该时刻设备重置握手周期。
    • 如果在2n~3n时间段内,没有用户流量经过设备,则在3n时刻,设备无法感知到用户是否在线,认为用户已下线。
    如果在n2n3n时刻,设备均认为用户已下线,则设备会删除该用户的所有相关表项。为防止用户PC闲置时被异常下线,请不要将握手周期设置的过小。

使用实例

# 在认证模板“p1”下,配置设备与预连接用户以及已授权用户之间的握手周期为200秒。

<HUAWEI> system-view
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication timer handshake-period 200

authentication timer authen-fail-aging

命令功能

authentication timer authen-fail-aging命令用来配置认证失败用户表项的老化时间。

undo authentication timer authen-fail-aging命令用来恢复认证失败用户表项的老化时间为缺省值。

缺省情况下,认证失败用户表项的老化时间是23小时。

命令格式

authentication timer authen-fail-aging aging-time

undo authentication timer authen-fail-aging

参数说明

参数 参数说明 取值
aging-time

指定老化时间。

整数形式,取值范围是0或60~4294860,单位是秒。

0表示表项不老化。

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

在配置了认证失败用户的网络访问策略后,设备上会建立起这些用户的表项。在用户老化时间到达时,若用户一直没能认证成功,则用户表项将被删除。

由于认证失败用户表项与认证成功用户表项共享设备资源,为避免认证失败用户表项过多而导致其他用户无法通过认证,可使用本命令调小认证失败用户表项的老化时间。另一方面,管理员如果不希望认证失败用户拥有的网络访问权限时间过长,也可使用本命令调小表项的老化时间。

注意事项

该功能仅对配置成功后新上线的用户生效。

使用实例

# 在认证模板“p1”下,配置认证失败用户表项的老化时间为3600秒。

<HUAWEI> system-view
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication timer authen-fail-aging 3600

authentication timer authorize-keep-aging

命令功能

authentication timer authorize-keep-aging命令用来配置保持原有网络访问权限的在线用户表项的老化时间。

undo authentication timer authorize-keep-aging命令用来恢复为缺省值。

缺省情况下,保持原有网络访问权限的在线用户表项的老化时间为0,即该表项不老化。

命令格式

authentication timer authorize-keep-aging aging-time

undo authentication timer authorize-keep-aging

参数说明

参数 参数说明 取值
aging-time

指定老化时间。

整数形式,取值范围是0或60~4294860,单位是秒。

视图

认证模板视图

缺省级别

2:配置级

使用指南

执行命令authentication event action authorize keep后,认证服务器状态为Down或无响应时,在线用户保持原有的网络访问权限,此时设备上会建立起保持原有网络访问权限的在线用户表项。若认证服务器状态一直为Down或无响应,这些用户会一直保持原有的网络访问权限。为避免上述现象,可以执行命令authentication timer authorize-keep-aging适当地调整这些在线用户表项的老化时间,当表项老化时,将这些在线用户下线。

使用实例

# 配置保持原有网络访问权限的在线用户表项的老化时间为600秒。

<HUAWEI> system-view
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication timer authorize-keep-aging 600

authentication timer pre-authen-aging

命令功能

authentication timer pre-authen-aging命令用来配置预连接用户表项的老化时间。

undo authentication timer pre-authen-aging命令用来恢复预连接用户表项老化时间为缺省值。

缺省情况下,预连接用户表项的老化时间为23小时。

命令格式

authentication timer pre-authen-aging aging-time

undo authentication timer pre-authen-aging

参数说明

参数 参数说明 取值
aging-time

指定老化时间。

整数形式,取值范围是0或60~4294860,单位是秒。

0表示表项不老化。

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

在用户与设备建立起预连接时,设备上都会生成预连接用户的表项。在用户老化时间到达时,若用户一直没能认证成功,则用户表项将被删除。

由于预连接用户与认证成功用户的表项共享设备资源,为避免预连接用户表项过多而导致其他用户无法通过认证,可使用本命令调小预连接用户表项的老化时间。另一方面,在为预连接用户授予网络访问策略后,如果需要预连接用户更长时间的拥有该策略,可使用本命令调大预连接用户表项的老化时间。

注意事项

该功能仅对配置成功后新上线的用户生效。

使用实例

# 在认证模板“p1”下,配置预连接用户表项的老化时间为3600秒。

<HUAWEI> system-view
[HUAWEI] authentication-profile name p1
[HUAWEI-authen-profile-p1] authentication timer pre-authen-aging 3600

authentication timer re-authen

命令功能

authentication timer re-authen命令用来配置对预连接用户或认证失败用户进行重认证的周期。

undo authentication timer re-authen命令用来恢复缺省配置。

缺省情况下,对预连接用户或认证失败用户进行重认证的周期为60秒。

命令格式

authentication timer re-authen { pre-authen re-authen-time | authen-fail re-authen-time }

undo authentication timer re-authen { pre-authen | authen-fail }

参数说明

参数 参数说明 取值
pre-authen re-authen-time

指定对预连接用户进行重认证的周期。

整数形式,取值范围是0或30~7200,单位是秒。

0表示关闭预连接用户的重认证功能。

authen-fail re-authen-time

指定对认证失败用户进行重认证的周期。

整数形式,取值范围是0或30~7200,单位是秒。

0表示关闭认证失败用户的重认证功能。

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

用户在预连接阶段或认证失败并授予网络访问权限时,设备会建立对应的用户表项。为使用户能够及时的通过认证,设备将根据用户表项定时对预连接阶段或认证失败用户进行重认证。管理员可以根据实际网络环境使用本命令调节重认证的周期。

注意事项

本命令功能仅适用于802.1X认证和MAC认证。

该功能仅对配置成功后新上线的用户生效。

无线用户不支持在预连接或认证失败状态下对用户进行重认证,故无线用户不支持该命令。

当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。

如果配置了802.1X认证的静态用户认证失败之后进入预连接状态,会先进行802.1X认证,802.1X认证过程中pre-authen re-authen-time定时器不生效,如果802.1X认证失败,pre-authen re-authen-time定时器生效,按照定时器配置的重认证周期触发静态用户的重认证。

使用实例

# 在认证模板“authen1”下,配置对认证失败用户进行重认证的周期为300秒。

<HUAWEI> system-view
[HUAWEI] authentication-profile name authen1
[HUAWEI-authen-profile-authen1] authentication timer re-authen authen-fail 300

authentication trigger-condition(802.1X认证)

命令功能

authentication trigger-condition命令用来配置能够触发802.1X认证的报文类型。

undo authentication trigger-condition命令用来恢复缺省配置。

缺省情况下,DHCP/ARP/DHCPv6/ND报文均能够触发802.1X认证。

命令格式

authentication trigger-condition { dhcp | arp | dhcpv6 | nd | any-l2-packet } *

undo authentication trigger-condition [ dhcp | arp | dhcpv6 | nd | any-l2-packet ] *

参数说明

参数 参数说明 取值
dhcp

指定DHCP报文能够触发802.1X认证。

-

arp

指定ARP报文能够触发802.1X认证。

-

dhcpv6

指定DHCPv6报文能够触发MAC认证。

-

nd

指定ND报文能够触发MAC认证。

-

any-l2-packet

指定任意报文能够触发802.1X认证。

-

视图

802.1X接入模板视图

缺省级别

2:配置级

使用指南

应用场景

使能802.1X认证功能后,缺省情况下,设备在接收到DHCP或ARP报文后均能触发对用户进行802.1X认证。根据实际网络中的用户情况,管理员可调整允许触发802.1X认证的报文类型。例如网络中的用户均为动态获取IPv4地址的用户,此时可配置仅允许通过DHCP报文触发802.1X认证,这样能够有效的避免网络中存在非法用户配置静态IPv4地址后,不断发送ARP报文触发802.1X认证,占用设备CPU资源。

在进行802.1X认证时,如果客户端配置了静态IPv4地址,此时客户端设备与客户端之前没有DHCP或ARP报文,无法触发802.1X认证,因此可以执行命令authentication trigger-condition any-l2-packet,指定通过任意报文触发802.1X认证。为防止非法用户恶意消耗设备用户表项,任意报文均能触发802.1X认证功能建议配置在接入层设备上,并且在认证模板下执行命令authentication mode max-user max-user-number配置接口最多允许接入的用户数目,推荐值是10个。

注意事项

该功能仅对配置成功后新上线的用户生效。

如果希望BPDU报文能够触发802.1X认证,必须全局使能该BPDU报文对应的功能。例如,如果希望LLDPDU报文能够触发802.1X认证,需要执行命令lldp enable(系统视图)全局使能LLDP功能。

混合认证场景,该功能不生效。

配置了any-l2-packet参数时,如果接口下开启了802.1X认证功能,那么客户端发送的EAP报文将首先触发802.1X认证。

接口下同时开启MAC认证和802.1X认证时,能够触发认证的报文类型为MAC接入模板和802.1X接入模板中配置的能够触发认证的报文类型合集。例如,如果MAC接入模板配置ARP报文不能触发认证,而802.1X接入模板配置ARP报文可以触发认证,则接口下同时开启MAC认证和802.1X认证时,ARP报文也可以触发MAC认证。

使用实例

# 在802.1X接入模板“d1”下,配置允许DHCP报文触发802.1X认证。

<HUAWEI> system-view
[HUAWEI] dot1x-access-profile name d1
[HUAWEI-dot1x-access-profile-d1] authentication trigger-condition dhcp

authentication trigger-condition(MAC认证)

命令功能

authentication trigger-condition命令用来配置能够触发MAC认证的报文类型。

undo authentication trigger-condition命令用来恢复缺省配置。

缺省情况下,DHCP/ARP/DHCPv6/ND报文均能够触发MAC认证。

命令格式

authentication trigger-condition { dhcp | arp | dhcpv6 | nd | any-l2-packet } *

undo authentication trigger-condition [ dhcp | arp | dhcpv6 | nd | any-l2-packet ] *

参数说明

参数 参数说明 取值
dhcp

指定DHCP报文能够触发MAC认证。

-

arp

指定ARP报文能够触发MAC认证。

-

dhcpv6

指定DHCPv6报文能够触发MAC认证。

-

nd

指定ND报文能够触发MAC认证。

-

any-l2-packet

指定任意报文能够触发MAC认证。

-

视图

MAC接入模板视图

缺省级别

2:配置级

使用指南

应用场景

使能MAC认证功能后,缺省情况下,设备在接收到DHCP/ARP/DHCPv6/ND报文后均能触发对用户进行MAC认证。根据实际网络中的用户情况,管理员可调整允许触发MAC认证的报文类型。譬如网络中的用户均为动态获取IPv4地址的用户,此时可配置仅允许通过DHCP报文触发MAC认证,这样能够有效的避免网络中存在非法用户配置静态IPv4地址后,不断发送ARP等报文触发MAC认证,占用设备CPU资源。

在进行MAC认证时,如果客户端配置了静态IPv4地址,此时客户端与设备间没有DHCP或ARP报文,因此可以执行命令authentication trigger-condition any-l2-packet,指定通过任意报文均能触发MAC认证。为防止非法用户恶意消耗设备用户表项,任意报文均能触发MAC认证功能建议配置在接入层设备上,并且在认证模板下执行命令authentication mode max-user max-user-number配置接口最多允许接入的用户数目,推荐值是10个。

注意事项

  • 仅ARP报文能触发VLANIF接口下的MAC认证。

  • 该功能仅对配置成功后新上线的用户生效。

  • 当设备支持DHCP报文触发MAC认证,并且用户采用DHCP选项作为MAC用户名时(配置MAC用户名形式请参见mac-authen username),如果通过认证服务器向设备授权华为RADIUS扩展属性HW-Forwarding-VLAN(属性号26-161),那么为使该属性功能生效,用户报文必须携带有双层VLAN Tag并且外层VLAN ID不能和HW-Forwarding-VLAN的ID相同。

  • 仅有线用户支持通过DHCP/ARP/DHCPv6/ND/任意报文触发MAC认证,无线用户通过关联报文触发MAC认证。

  • 执行命令authentication trigger-condition { dhcp | dhcpv6 | nd } *后,会导致静态用户无法上线。

  • 如果希望BPDU报文能够触发MAC认证,必须全局使能该BPDU报文对应的功能。例如,如果希望LLDPDU报文能够触发MAC认证,需要执行命令lldp enable(系统视图)全局使能LLDP功能。
  • 策略联动场景下,仅DHCP/ARP报文能触发MAC认证。

  • 混合认证场景,该功能不生效。
  • IP话机进行MAC认证时,如果执行命令authentication trigger-condition any-l2-packet,指定通过任意报文均能触发MAC认证,则需要执行命令authentication mac-move enableauthentication mac-move detect enable配置MAC迁移功能和MAC迁移前探测功能。
  • 配置了any-l2-packet参数时,如果接口下开启了802.1X认证功能,那么客户端发送的EAP报文将首先触发802.1X认证。
  • 接口下同时开启MAC认证和802.1X认证时,能够触发认证的报文类型为MAC接入模板和802.1X接入模板中配置的能够触发认证的报文类型合集。例如,如果MAC接入模板配置ARP报文不能触发认证,而802.1X接入模板配置ARP报文可以触发认证,则接口下同时开启MAC认证和802.1X认证时,ARP报文也可以触发MAC认证。

使用实例

# 在MAC接入模板“m1”下,配置仅允许ARP报文触发MAC认证。

<HUAWEI> system-view
[HUAWEI] mac-access-profile name m1
[HUAWEI-mac-access-profile-m1] authentication trigger-condition arp

authentication trigger-condition dhcp dhcp-option

命令功能

authentication trigger-condition dhcp dhcp-option命令用来使能DHCP报文触发MAC认证时将DHCP选项信息上送到认证服务器。

undo authentication trigger-condition dhcp dhcp-option命令用来恢复缺省配置。

缺省情况下,DHCP报文触发MAC认证时不会将DHCP选项信息上送到认证服务器。

命令格式

authentication trigger-condition dhcp dhcp-option option-code

undo authentication trigger-condition dhcp dhcp-option option-code

参数说明

参数 参数说明 取值
option-code

指定设备上送到认证服务器的Option选项。

整数形式,取值仅支持82。

视图

MAC接入模板视图

缺省级别

2:配置级

使用指南

应用场景

Option82选项记录了DHCP用户的位置、业务(语音业务、数据业务)等信息。当设备支持通过DHCP报文触发MAC认证时,执行本命令后,设备在接收到DHCP报文触发对用户进行MAC认证时能够将Option82选项信息上送到认证服务器,认证服务器根据该选项记录的用户信息即可为不同位置、不同业务的用户分配不同的网络访问权限。这样能够实现对各个用户的网络访问权限进行精确控制。

注意事项

  • VLANIF接口上线的MAC认证用户,不支持该功能。

  • 该功能仅对配置成功后新上线的用户生效。

  • 仅有线用户支持通过DHCP/ARP/DHCPv6/ND/任意报文触发MAC认证,无线用户通过关联报文触发MAC认证。

使用实例

# 在MAC接入模板m1下,使能DHCP报文触发MAC认证时将Option82选项信息上送到认证服务器功能。

<HUAWEI> system-view
[HUAWEI] mac-access-profile name m1
[HUAWEI-mac-access-profile-m1] authentication trigger-condition dhcp dhcp-option 82

authentication unified-mode

命令功能

authentication unified-mode命令用来将NAC配置模式切换成统一模式。

undo authentication unified-mode命令用来将NAC配置模式切换成传统模式。

缺省情况下,NAC配置模式为统一模式。

命令格式

authentication unified-mode

undo authentication unified-mode

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

相比传统模式,统一模式具有以下优势:采用模板化的配置,使配置层次更加清晰、配置模型更易理解。

基于上述优势,建议使用统一模式部署NAC功能。使用本命令可将NAC配置模式切换为统一模式。

注意事项

  • 传统模式与统一模式相互切换后,设备会自动重启,导致业务中断。
  • 在V200R008C00版本,一些NAC特性相关命令行是不区分配置模式(即命令行的格式和视图在传统模式和统一模式下相同)。设备由V200R008C00及之后版本的传统模式切换到V200R009C00及之后版本的统一模式时,这部分命令行的相关的配置可以切换到统一模式下。
  • 统一模式下,仅传统模式支持的命令不可见,反之亦然。同时,配置模式切换后,两种配置模式共同支持的命令功能一直生效。

使用实例

# 将NAC配置模式切换成统一模式。

<HUAWEI> system-view
[HUAWEI] authentication unified-mode

authentication user-alarm percentage

命令功能

authentication user-alarm percentage命令用来配置NAC认证用户数的告警阈值百分比。

undo authentication user-alarm命令用来恢复NAC认证用户数的告警阈值百分比为缺省情况。

缺省情况下,NAC认证用户数的下限告警阈值百分数为50,上限告警阈值百分数为100。

命令格式

authentication user-alarm percentage percent-lower-value percent-upper-value

undo authentication user-alarm

参数说明

参数 参数说明 取值
percent-lower-value

指定NAC认证用户数的下限告警阈值百分比。

整数形式,取值范围是1~100。

percent-upper-value

指定NAC认证用户数的上限告警阈值百分比。

整数形式,取值范围是1~100,但必须大于或等于下限告警阈值。

视图

系统视图

缺省级别

2:配置级

使用指南

当NAC认证用户达到设备规格的一定比例时,设备会发出告警。可使用命令authentication user-alarm percentage配置NAC认证用户数的告警阈值百分比。

当实际上线的NAC认证用户数占配置的最大用户数比例大于或等于上限告警阈值百分比时,设备将会发出告警。之后,如果该比例又等于或小于下限告警阈值百分比,设备会再次发出告警。

使用实例

# 配置NAC认证用户数的下限告警阈值百分数为30,上限告警阈值百分数为80。

<HUAWEI> system-view
[HUAWEI] authentication user-alarm percentage 30 80

authentication wlan-max-user

命令功能

authentication wlan-max-user命令用来配置单个VAP下允许认证通过的最大用户数。

undo authentication wlan-max-user命令用来恢复缺省配置。

缺省情况下,单个VAP下允许认证通过的最大用户数为128个。

命令格式

authentication wlan-max-user max-user-number

undo authentication wlan-max-user

参数说明

参数

参数说明

取值

max-user-number

指定最大用户数。

整数形式,取值范围是1~128

视图

认证模板视图

缺省级别

2:配置级

使用指南

在无线高密接入场景下,要保证已经上线用户的上网质量,就需要把允许认证通过的用户数量限制在一定范围内,防止过多的用户接入导致已经上线用户的上网体验变差。此时,管理员通过命令authentication wlan-max-user,限制单个AP上的单个VAP下的接入用户数量。
说明:

该功能仅在认证模板绑定到VAP模板时才生效。

使用实例

# 在认证模板“authen1”下,配置单个VAP下允许认证通过的最大用户数为100个。

<HUAWEI> system-view
[HUAWEI] authentication-profile name authen1
[HUAWEI-authen-profile-authen1] authentication wlan-max-user 100

authentication-profile(接口视图&VAP模板视图

命令功能

authentication-profile命令用来在接口或VAP模板下应用认证模板。

undo authentication-profile命令用来恢复缺省配置。

缺省情况下,接口或VAP模板下没有应用认证模板。

命令格式

authentication-profile authentication-profile-name

undo authentication-profile

参数说明

参数

参数说明

取值

authentication-profile-name

指定认证模板的名称。

必须是已存在的认证模板名称。

视图

接口视图、VAP模板视图

缺省级别

2:配置级

使用指南

应用场景

认证模板用来统一管理NAC的相关配置。通过将认证模板绑定到接口或VAP模板视图下来使能NAC,实现对接口或VAP模板下的用户进行接入控制。接口或VAP模板下用户的认证类型由认证模板下绑定的接入模板决定。

前置条件

系统视图下,执行命令authentication-profile(系统视图),创建认证模板。

注意事项

使能NAC功能时,需要注意以下几点:
  • 支持NAC功能的接口或模板有:VLANIF接口、GE接口、XGE接口、40GE接口、100GE接口、Eth-Trunk接口、端口组和VAP模板。NAC功能在不同接口上的支持情况如下:
    • 802.1X认证仅在二层接口上支持。
    • MAC认证在二层接口和VLANIF接口上支持。
    • Portal认证在不同类型接口上的支持情况有差异:路由主接口仅支持三层Portal认证方式、二层接口仅支持二层Portal认证方式、VLANIF接口支持二层和三层Portal认证方式。

    • Super-VLAN对应的VLANIF接口不支持Portal认证。
  • 对于无线用户通过AP接入,在为用户部署NAC认证时,务必保证AP设备也能够通过认证(可采用将AP设备加入静态用户等方式实现),否则无线用户也无法通过认证。
  • 不能在二层以太网接口和其所属VLAN对应的VLANIF接口上同时使能NAC认证功能,否则会导致用户上线后无网络访问权限(其中,X系列单板接入的用户可以获取网络访问权限;其他单板接入的用户不能获取网络访问权限)另外,无线场景下,不能在VAP模板和VLANIF接口上同时使能NAC认证功能。

  • 接口使能NAC功能之后,不能再执行以下命令,反之亦然:

    命令

    功能

    mac-limit

    配置接口的最大MAC地址学习个数。

    mac-address learning disable

    关闭接口的MAC地址学习功能。

    port link-type dot1q-tunnel

    配置接口的链路类型为QinQ。

    port vlan-mapping vlan map-vlan

    port vlan-mapping vlan inner-vlan

    配置接口的VLAN Mapping功能。

    port vlan-stacking

    配置灵活QinQ功能。

    mac-vlan enable

    使能接口的MAC VLAN功能。

    ip-subnet-vlan enable

    使能接口基于IP子网划分VLAN的功能。

    user-bind ip sticky-mac

    说明:

    该命令仅与802.1X认证和MAC认证冲突。

    使能根据绑定表生成Snooping类型MAC表项的功能。
  • 执行encapsulation(二层子接口视图)命令配置二层子接口允许通过的流封装类型为default后,该二层子接口对应的主接口无法配置NAC功能。
  • 主接口配置NAC功能后,其二层子接口无法再执行bridge-domain(二层子接口视图)命令与BD关联;二层子接口执行bridge-domain(二层子接口视图)命令与BD关联后,其主接口无法再配置NAC功能。

使用实例

# 在VLANIF10接口应用认证模板“m1”。

<HUAWEI> system-view
[HUAWEI] authentication-profile name m1
[HUAWEI-authen-profile-m1] quit
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] authentication-profile m1

authentication-profile(系统视图)

命令功能

authentication-profile命令用来创建认证模板并进入认证模板视图。

undo authentication-profile命令用来删除认证模板。

缺省情况下,设备自带6个认证模板,名称分别为default_authen_profile、dot1x_authen_profile、mac_authen_profile、portal_authen_profile、dot1xmac_authen_profile和multi_authen_profile

命令格式

authentication-profile name authentication-profile-name

undo authentication-profile name authentication-profile-name

参数说明

参数

参数说明

取值

name authentication-profile-name

指定认证模板的名称。

字符串形式,区分大小写,不支持包含空格、/、\、:、*、?、"、<、>、|、@、'和%,不支持配置为-和--,长度范围是1~31。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

通过NAC能够实现对用户进行接入控制,为便于用户配置NAC的相关功能,设备使用认证模板统一管理NAC的配置信息。通过配置认证模板下的参数(例如:通过配置认证模板绑定的接入模板,确定认证模板的认证类型),实现为不同的用户进行不同的接入控制。认证模板配置完成后,通过将认证模板应用到接口或VAP模板下来使能NAC

后续任务

  1. 配置认证模板:配置认证模板使用的接入模板、授权信息等。
  2. 应用认证模板:通过命令authentication-profile(接口视图&VAP模板视图),在接口或VAP模板下应用认证模板。

注意事项

  • 自带的认证模板default_authen_profile和升级兼容转换的认证模板不占用规格。自带的6个认证模板(default_authen_profile、dot1x_authen_profile、mac_authen_profile、portal_authen_profile、dot1xmac_authen_profile和multi_authen_profile和dot1xmac_authen_profile)可以修改和应用,但不能被删除。
  • 删除某个认证模板时,需要保证该认证模板没有被绑定到任何接口或VAP模板。可以通过命令display authentication-profile configuration,查看认证模板是否被绑定到接口或VAP模板下。

使用实例

# 创建名称为“mac_authen_profile1”的认证模板。

<HUAWEI> system-view
[HUAWEI] authentication-profile name mac_authen_profile1

band-width share-mode

命令功能

band-width share-mode命令用来使能用户带宽共享模式。

undo band-width share-mode命令用来恢复缺省配置。

缺省情况下,未使能用户带宽共享模式。

命令格式

band-width share-mode

undo band-width share-mode

参数说明

视图

系统视图、AAA域视图

缺省级别

3:管理级

使用指南

应用场景

对于家庭网络而言,家庭内所有成员通常采用同一个账号进行认证。此时,为了保障每个家庭成员的上网体验,可以通过本命令使能用户带宽共享模式,使得所有成员可以共享带宽。

注意事项

  • 无线直接转发模式不支持该功能。
  • 对于Eth-Trunk接口接入的用户,当流量位于同一接口板时,可以共享带宽,当流量位于不同接口板时,由该接口板的CAR值限制。
  • 在系统视图下执行此命令,则对所有接入该设备的新上线用户生效;在AAA域下执行该命令,则仅对该域的新上线用户生效。

  • 如果本地或远端RADIUS服务器没有为上线或已在线用户下发CAR值,则共享带宽模式对该用户无效。

  • 配置共享带宽,不同用户使用同一个账号进行认证,对后上线的用户授权CAR时不会影响之前上线的未授权CAR的用户。

使用实例

# 在系统视图下使能用户带宽共享模式。

<HUAWEI> system-view
[HUAWEI] band-width share-mode

# 在AAA域下使能用户带宽共享模式。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] band-width share-mode

cut access-user ucl-group

命令功能

cut access-user ucl-group命令用来强制UCL组用户下线。

命令格式

cut access-user ucl-group { group-index | name group-name }

参数说明

参数

参数说明

取值

group-index

指定UCL组的索引。

UCL组必须已存在。

name group-name

指定UCL组的名称。

UCL组必须已存在。

视图

AAA视图

缺省级别

3:管理级

使用指南

用户上线后,如果管理员需要更改用户的网络访问权限或者发现存在非法用户接入网络等原因,可使用本命令强制用户下线。

使用实例

# 强制UCL组用户下线。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] cut access-user ucl-group name huawei

device-type

命令功能

device-type命令用来配置终端类型标识。

undo device-type命令用来删除已配置的终端类型标识。

缺省情况下,系统未配置终端类型标识。

命令格式

device-type device-name

undo device-type

参数说明

参数

参数说明

取值

device-name

指定设备类型标识的名称。

字符串形式,长度范围是1~31,不支持空格,区分大小写,不能配置为“-”、“--”,且不能包含以下字符:“?”、“'”、“"”。

视图

终端类型识别模板视图

缺省级别

2:配置级

使用指南

应用场景

在终端识别模板中配置终端类型标识后,表明在该模板下该终端类型可以被识别。例如配置终端类型标识“huawei”,如果AC接收到的终端的MAC地址、UA或DHCP Option信息与终端类型模板中的识别规则匹配,则该终端的类型为“huawei”,方便管理员根据终端类型对该终端进行接入控制和权限管理。

注意事项

本命令是覆盖式命令,以最后一次为准。

使用实例

# 在终端类型识别模板“huawei”下,配置可以被识别的终端类型标识“huawei_1”。

<HUAWEI> system-view
[HUAWEI] device-profile profile-name huawei
[HUAWEI-device-profile-huawei] device-type huawei_1

device-profile

命令功能

device-profile命令用来创建终端类型识别模板并进入终端类型识别模板视图,或进入已创建的终端类型识别模板视图。

undo device-profile命令用来删除已创建的终端类型识别模板。

缺省情况下,系统未创建终端类型识别模板。

说明:

终端类型识别功能仅对无线接入用户生效。

AP3010DN-AGN不支持终端类型识别功能。

命令格式

device-profile profile-name profile-name

undo device-profile { all | profile-name profile-name }

参数说明

参数

参数说明

取值

profile-name profile-name

指定终端类型识别模板的名称。

字符串形式,不支持空格、/、\、:、*、?、"、<、>、|、@、'和%,不能配置为-、--,区分大小写,长度范围是1~31。

all

指定删除所有的终端类型识别模板。

-

视图

系统视图

缺省级别

2:配置级

使用指南

随着Internet的发展,许多企业开始考虑允许员工自带智能设备(例如手机、平板或笔记本电脑等移动设备)通过WLAN接入企业内部网络。一方面满足了企业员工对于新科技和个性化追求,另一方面也提高了员工的工作效率,这就是BYOD(Bring Your Own Device)。同时,员工个人电脑的安全性较低,通过个人电脑接入企业内部网络可能会导致安全隐患,而传统的基于用户角色认证和授权的安全技术已不能满足其网络安全的需要。因此,终端类型识别技术应运而生。在使用BYOD技术时,可以通过终端类型识别技术识别出企业员工接入内部网络的设备类型,以控制某些指定移动设备的接入,实现基于用户、设备类型、接入时间、接入地点、设备环境的认证和授权。

终端类型识别模板里包括了设备可以识别的终端类型和识别规则等,通过配置的识别规则,识别出企业员工接入网络的设备类型,方便企业管理员控制企业员工的访问权限。

使用实例

# 创建名为huawei的终端类型识别模板。

<HUAWEI> system-view
[HUAWEI] device-profile profile-name huawei

device-sensor dhcp option

命令功能

device-sensor dhcp option命令用来使能根据DHCP选项字段感知终端类型功能。

undo device-sensor dhcp option命令用来去使能根据DHCP选项字段感知终端类型功能。

缺省情况下,未使能根据DHCP选项字段感知终端类型功能。

命令格式

device-sensor dhcp option option-code &<1-6>

undo device-sensor dhcp option option-code &<1-6>

参数说明

参数 参数说明 取值
option-code

指定设备需要解析的DHCP报文中的Option字段。

DHCP报文中的Option字段可用来存放控制信息和参数,譬如终端类型等信息。

整数形式,取值范围是1~254。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在实际网络部署中,设备下挂的终端类型多种多样,某些时候管理员需要为不同类型的终端分配不同的网络访问权限或者报文处理优先级。譬如设备下挂有语音设备(如IP电话)时,由于语音信号具有时延小,抖动小等特点,因此就需要设备优先处理语音报文。

通过根据DHCP选项字段感知终端类型功能,可以使设备在接收到DHCP Request报文后解析出所需的Option字段(该字段中携带有终端类型信息)。之后,设备会把Option字段信息通过RADIUS计费报文发送到RADIUS服务器。RADIUS服务器即可根据Option字段信息感知到终端类型,进而为终端的部署网络访问权限或报文处理优先级等策略。

注意事项

  • 为使本命令功能生效,需确保AAA方案中的认证或计费模式为RADIUS。

  • 为使本命令功能生效,需确保已使用命令dhcp snooping enable在接口或VLAN下使能DHCP Snooping功能。

使用实例

# 配置设备需要解析的Option字段为option60。
<HUAWEI> system-view
[HUAWEI] device-sensor dhcp option 60

device-sensor lldp tlv

命令功能

device-sensor lldp tlv命令用来使能根据LLDP协议感知终端类型功能。

undo device-sensor lldp tlv命令用来去使能根据LLDP协议感知终端类型功能。

缺省情况下,未使能根据LLDP协议感知终端类型功能。

命令格式

device-sensor lldp tlv tlv-type &<1-4>

undo device-sensor lldp tlv

参数说明

参数 参数说明 取值
tlv-type

指定设备需要感知的LLDP TLV类型。

整数形式,取值为:1、2、5、6、7、8、127。各取值表示的含义如下。
  • 1:Chassis ID TLV,表示发送设备的桥MAC地址。
  • 2:Port ID TLV,表示标识LLD PDU发送端的端口。
  • 5:System Name TLV,表示设备的名称。
  • 6:System Description TLV,表示系统描述。
  • 7:System Capabilities TLV,表示系统能力。
  • 8:Management Address TLV,表示管理地址。
  • 127:Organization Specific TLV,表示站点自定义信息。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在实际网络部署中,设备下挂的终端类型多种多样,某些时候管理员需要为不同类型的终端分配不同的网络访问权限或者报文处理优先级。譬如设备下挂有语音设备(如IP电话)时,由于语音信号具有时延小,抖动小等特点,因此就需要设备优先处理语音报文。

通过根据LLDP协议感知终端类型功能,可以使设备在接收到LLDP报文后能够解析出所需的TLV类型(TLV携带了终端类型信息)。之后,设备会把TLV类型信息通过RADIUS计费报文发送到RADIUS服务器。RADIUS服务器即可根据TLV类型信息感知到终端类型,进而为终端部署网络访问权限或报文处理优先级等策略。

注意事项

  • 为使本命令功能生效,需确保AAA方案中的认证或计费模式为RADIUS。

  • 为使本命令功能生效,需确保在设备以及下挂的对端设备上已使能LLDP功能。

使用实例

# 使能根据LLDP TLV类型5感知终端类型功能。
<HUAWEI> system-view
[HUAWEI] device-sensor lldp tlv 5

display aaa statistics access-type-authenreq

命令功能

display aaa statistics access-type-authenreq命令用来查看MAC、Portal和802.1X认证请求数。

命令格式

display aaa statistics access-type-authenreq

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当用户发起认证请求时,设备会对收到的MAC、Portal和802.1X认证请求数进行统计。

通过执行命令display aaa statistics access-type-authenreq,可以查看MAC、Portal和802.1X认证请求数。

使用实例

# 查看MAC、Portal和802.1X认证请求数。

<HUAWEI> display aaa statistics access-type-authenreq
mac     authentication request     :2
portal  authentication request     :0
dot1x   authentication request     :0
表13-38  display aaa statistics access-type-authenreq命令输出信息描述

项目

描述

mac authentication request

MAC的认证请求数。

portal authentication request

Portal的认证请求数。

dot1x authentication request

802.1X的认证请求数。

display access-context profile

命令功能

display access-context profile命令用来查看用户上下文模板的配置信息。

命令格式

display access-context profile [ name profile-name ]

参数说明

参数

参数说明

取值

name profile-name

显示指定名称的用户上下文模板的配置信息。

不指定参数name profile-name时,则显示设备上已配置的所有用户上下文模板。

必须是设备上已存在的用户上下文模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

完成用户上下文模板的配置后,可以使用该命令查看用户上下文模板的配置信息是否正确。

使用实例

# 查看设备上已配置的所有用户上下文模板。

<HUAWEI> display access-context profile
-------------------------------------------------------------------------------                                                     
    ID        Access-context profile name                                                                                           
-------------------------------------------------------------------------------                                                     
     0        p1                                                                                                                    
     1        aA                                                                                                                    
-------------------------------------------------------------------------------                                                     
    Total 2, printed 2

# 查看用户上下文模板“p1”的详细信息。

<HUAWEI> display access-context profile name p1
  Profile name               : p1                                                                                                   
  if-match vlan-id           : 13 to 20 
表13-39  display access-context profile命令输出信息描述

项目

描述

ID

用户上下文模板的索引。

Access-context profile name或Profile name

用户上下文模板的名称。

该参数可以通过命令access-context profile name配置。

if-match vlan-id

用户上下文模板匹配的VLAN。

该参数可以通过命令if-match vlan-id配置。

display access-author policy

命令功能

display access-author policy命令用来查看用户认证事件授权策略的配置信息。

命令格式

display access-author policy [ name policy-name ]

参数说明

参数

参数说明

取值

name policy-name

显示指定名称的用户认证事件授权策略的配置信息。

不指定参数name policy-name时,则显示设备上已配置的所有用户认证事件授权策略。

必须是设备上已存在的用户认证事件授权策略名称。

视图

所有视图

缺省级别

1:监控级

使用指南

完成用户认证事件授权策略的配置后,可以使用该命令查看用户认证事件授权策略的配置信息是否正确。

使用实例

# 查看设备上已配置的所有用户认证事件授权策略。

<HUAWEI> display access-author policy
-------------------------------------------------------------------------------                                                     
    ID        Access-author policy name                                                                                             
-------------------------------------------------------------------------------                                                     
     0        a1                                                                                                                    
     1        a2                                                                                                                    
-------------------------------------------------------------------------------                                                     
    Total 2, printed 2 

# 查看用户认证事件授权策略“a1”的详细信息。

<HUAWEI> display access-author policy name a1
  Policy name               : a1                                                                                                    
  match access-context-profile p1 action authen-fail service-scheme s1
表13-40  display access-author policy命令输出信息描述

项目

描述

ID

用户认证事件授权策略的索引。

Access-author policy name或Policy name

用户认证事件授权策略的名称。

该参数可以通过命令access-author policy name配置。

match access-context-profile profile-name action authen-fail service-scheme scheme-name

基于用户上下文模板指定用户的授权信息。

该参数可以通过命令match access-context-profile action配置。

display access-user

命令功能

display access-user命令用来查看NAC接入用户的信息。

命令格式

display access-user service-scheme service-scheme

display access-user access-type { dot1x | mac-authen | portal | none | static }

display access-user event { pre-authen | authen-fail | client-no-response | authen-server-down }

display access-user ucl-group { group-index | name ucl-group-name } [ detail ]

display access-user option82 { circuit-id text | remote-id text }

参数说明

参数

参数说明

取值

service-scheme service-scheme

显示被授予指定业务方案的用户信息。

已存在的业务方案名称。

access-type

显示指定认证方式的认证成功用户信息。

-

dot1x

显示802.1X认证成功用户信息。

-

mac-authen

显示MAC认证成功用户信息。

-

portal

显示Portal认证成功用户信息。

-

none

显示AAA方案为不认证时的用户信息。

-

static

显示静态用户信息。

-

event

显示处于指定认证阶段的用户信息。

-

pre-authen

显示处于预连接阶段的用户信息。

-

authen-fail

显示处于认证服务器回应认证失败报文而导致认证失败阶段,并被授予了网络访问策略的用户信息。

-

client-no-response

显示处于802.1X客户端无响应而导致认证失败阶段,并被授予了网络访问策略的802.1X认证用户信息。

-

authen-server-down

显示处于认证服务器DOWN而导致认证失败阶段,并被授予了网络访问策略的用户信息。

-

ucl-group

显示指定UCL组内的用户信息。

-

group-index

指定UCL组的索引。

已存在的UCL组索引。

name ucl-group-name

指定UCL组的名称。

已存在的UCL组名称。

detail

显示详细用户信息。

-

option82

显示用户名采用Option82选项的MAC认证用户信息。

-

circuit-id text

显示以指定circuit-id内容为用户名的MAC认证用户信息。

已存在的circuit-id信息。

remote-id text

显示以指定remote-id内容为用户名的MAC认证用户信息。

已存在的remote-id信息。

视图

所有视图

缺省级别

1:监控级

使用指南

本命令用于管理员在设备上查看已在线的NAC用户信息。

使用实例

# 查看被授予名称为“huawei”的业务方案的用户信息。
<HUAWEI> display access-user service-scheme huawei
 ------------------------------------------------------------------------------ 
 UserID Username                IP address       MAC            Status          
 ------------------------------------------------------------------------------ 
 16018  zqm                     10.12.12.254     78ac-c0c2-0175 Pre-authen      
 ------------------------------------------------------------------------------ 
 Total: 1, printed: 1  
# 查看处于预连接阶段的用户信息。
<HUAWEI> display access-user event pre-authen
 ------------------------------------------------------------------------------ 
 UserID Username                IP address       MAC            Status          
 ------------------------------------------------------------------------------ 
 16018  zqm                     10.12.12.254     78ac-c0c2-0175 Pre-authen      
 ------------------------------------------------------------------------------ 
 Total: 1, printed: 1  
说明:

目前,username仅支持显示为英文字母、数字或特殊字符的组合,不支持显示为中文等其他语言。

username中包含特殊字符和中文等其他语言时,显示时将这些字符都转换成“.”,如果有连续3个以上的这些字符,则都显示为3个“.”。其中,这里的特殊字符是指ASCII码值小于32(空格)或大于126(~)的字符。

username长度超过20个字符时,从第20个开始的字符都转换成“.”,且只显示22个字符。

表13-41  display access-user命令输出信息描述

项目

描述

UserID 用户上线后,设备自动为其分配的ID。
Username 用户名。
IP address 用户IP地址。

当同时出现IPv4地址和IPv6地址时,仅记录IPv4地址。

当仅出现IPv6地址时,仅记录最后一次更新的IPv6地址。

MAC 用户MAC地址。
Status 用户状态。
  • Open:对有线用户是认证失败后使能open功能上线;对无线用户是没有认证
  • Success:认证成功
  • Pre-authen:预认证
  • Client-no-resp:客户端无响应
  • Fail-authorized:认证失败以后授权
  • Web-server-down:WEB服务器down
  • Aaa-server-down:AAA服务器down

display access-user dot1x-identity statistics

命令功能

display access-user dot1x-identity statistics命令用来查看交换机上802.1X认证Identity报文的统计信息。

命令格式

display access-user dot1x-identity statistics

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

执行该命令可以查看交换机上802.1X认证Identity报文的统计信息。

使用实例

# 查看交换机上802.1X认证Identity报文的统计信息。

<HUAWEI> display access-user dot1x-identity statistics
Process:5
-----------------------------------------------------------------------
Receive(Packet)    Pass(Packet)    Drop(Packet)    Last-dropping-time  
-----------------------------------------------------------------------
0                  0               0               -                   
-----------------------------------------------------------------------
...
表13-42  display access-user dot1x-identity statistics输出信息描述
项目 描述
Process 处理802.1X认证Identity报文的进程号。
Receive(Packet) 交换机接收的802.1X认证Identity报文总数。
Pass(Packet) 交换机上送CPU处理的802.1X认证Identity报文数目。
Drop(Packet) 交换机丢弃的802.1X认证Identity报文数目。
Last-dropping-time 交换机最近一次丢弃802.1X认证Identity报文的时间。如果交换机上无丢包记录,则显示为“-”。

display access-user https statistics

命令功能

display access-user https statistics命令用来查看上送CPU处理的HTTPS协议报文的统计信息。

命令格式

display access-user https statistics

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

使用实例

# 查看上送CPU处理的HTTPS协议报文的统计信息。

V200R013C00SPC300版本的回显显示如下:
<HUAWEI> display access-user https statistics
Process:0 
-----------------------------------------------------------------------                                                             
Receive(Packet)    Pass(Packet)    Drop(Packet)    Last-dropping-time                                                               
-----------------------------------------------------------------------                                                             
0                  0               0               -                                                                                
----------------------------------------------------------------------- 
表13-43  display access-user https statistics输出信息描述
项目 描述
Process 处理HTTPS协议报文的进程号。
Receive(Packet) 交换机接收的HTTPS协议报文总数。
Pass(Packet) 交换机上送CPU处理的HTTPS协议报文数目。
Drop(Packet) 交换机丢弃的HTTPS协议报文数目。
Last-dropping-time 交换机最近一次丢弃HTTPS协议报文的时间。如果交换机上无丢包记录,则显示为“-”。

V200R013C00SPC500版本的回显显示如下:

<HUAWEI> display access-user https statistics
Process:0 
-----------------------------------------------------------------------                                                             
Received packets:
    Tcp-syn:519 

Passed packets:
    Tcp-syn:391 

Dropped packets:
    Last dropping time:2019-03-12 09:26:46
    Duplicate tcp-syn within 1 second:0
    Rate-limited packets:128
表13-44  display access-user https statistics输出信息描述
项目 描述
Process 处理HTTPS协议报文的进程号。
Received packets: Tcp-syn 交换机接收到的HTTPS协议的TCP握手报文数目。
Passed packets: Tcp-syn 交换机上送CPU处理的HTTPS协议的TCP握手报文数目。
Dropped packets 交换机丢弃的HTTPS协议的TCP握手报文数目。
Last dropping time 交换机最近一次丢弃HTTPS协议的TCP握手报文数目。如果交换机上无丢包记录,则显示为“-”。
Duplicate tcp-syn within 1 second 丢弃的1秒内重复的TCP握手报文数目。
Rate-limited packets 丢弃的基于限速的TCP握手报文数目。

display access-user portal statistics

命令功能

display access-user portal statistics命令用来查看上送CPU处理的Portal协议报文的统计信息。

命令格式

display access-user portal statistics

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

使用实例

# 查看上送CPU处理的Portal协议报文的统计信息。

<HUAWEI> display access-user portal statistics
Process:9 
-----------------------------------------------------------------------                                                             
Receive(Packet)    Pass(Packet)    Drop(Packet)    Last-dropping-time                                                               
-----------------------------------------------------------------------                                                             
0                  0               0               -                                                                                
-----------------------------------------------------------------------                                                             
...
表13-45  display access-user portal statistics输出信息描述
项目 描述
Process 处理Portal协议报文的进程号。
Receive(Packet) 交换机接收的Portal协议报文总数。
Pass(Packet) 交换机上送CPU处理的Portal协议报文数目。
Drop(Packet) 交换机丢弃的Portal协议报文数目。
Last-dropping-time 交换机最近一次丢弃Portal协议报文的时间。如果交换机上无丢包记录,则显示为“-”。

display access-user roam-table

命令功能

display access-user roam-table命令用来查看漫游用户的漫游表信息。

命令格式

display access-user roam-table [ mac-address mac-address | ip-address ip-address [ vpn-instance vpn-instance-name ] | acct-session-id acct-session-id ]

参数说明

参数

参数说明

取值

mac-address mac-address

查看指定MAC地址的漫游用户的漫游表信息。

格式为H-H-H,其中H为4位的十六进制数。

ip-address ip-address

查看指定IP地址的漫游用户的漫游表信息。

点分十进制形式。

vpn-instance vpn-instance-name

查看指定VPN中IP地址的漫游用户的漫游表信息。

必须是设备上已存在的VPN示例名称。

acct-session-id acct-session-id

查看指定计费ID的漫游用户的漫游表信息。

必须是用户当前的计费ID。

相关命令请参考display access-user user-id user-id查询的User accounting session ID字段。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

用户跨AC漫游以后,在没有重新认证前,在认证点AC上会生成用户漫游表,可以通过该命令行查询用户漫游表信息。

注意事项

对于802.1X认证和MAC认证,仅计费用户才会生成漫游表,非计费用户不生成漫游表。

使用实例

# 查看漫游用户的漫游表信息。

<HUAWEI> display access-user roam-table
 ------------------------------------------------------------------------------
 MAC             IP address                       FAC address
------------------------------------------------------------------------------
 7c7d-3dad-aed8  10.1.1.2                         10.137.213.119 
 ------------------------------------------------------------------------------
<HUAWEI> display access-user roam-table ip-address 10.1.1.2
  User MAC                                 : 7c7d-3dad-aed8
  User accounting session ID               : AP6050-00000000000102fa****0000023
  User IP address                          : 10.1.1.2
  IP address of foreign AC                 : 10.137.213.119
表13-46  display access-user roam-table命令显示信息说明

项目

描述

User accounting session ID

用户的计费ID。

IP address/User IP address

用户的IP地址。

MAC/User MAC

用户的MAC地址。

FAC address/IP address of foreign AC

用户漫游的AC的IP地址。

display access-user-num

命令功能

display access-user-num命令用来查看VAP内允许的最大并发用户数和在线用户数。

命令格式

display access-user-num [ interface wlan-dbss wlan-dbss-interface-id ]

参数说明

参数

参数说明

取值

interface wlan-dbss wlan-dbss-interface-id

查看指定VAP内允许的最大并发用户数和在线用户数。

如果不指定该参数,将查看所有VAP内允许的最大并发用户数和在线用户数。

已存在的WLAN-DBSS接口ID。

视图

所有视图

缺省级别

1:监控级

使用指南

用户配置某VAP模板允许认证通过的最大用户数后,可以执行本命令查看接口、最大并发用户数和在线用户数。

使用实例

# 查看所有VAP内允许的最大并发用户数和在线用户数。

<HUAWEI> display access-user-num                                                 
2016-09-30 11:09:27.790
----------------------------------------------------------------------          
 Interface name              max-user-num              online-user-num          
----------------------------------------------------------------------          
 Wlan-Dbss0                            30                           10          
 Wlan-Dbss1                             2                            0          
----------------------------------------------------------------------  
 Total: 8, printed: 2
表13-47  display access-user-num命令输出信息描述

项目

描述

Interface name WLAN-DBSS接口ID。
max-user-num 允许的最大并发用户数,通过命令authentication wlan-max-user指定
online-user-num 在线用户数。
Total 接口总数。
printed 打印信息条数。

display authentication mac-move configuration

命令功能

display authentication mac-move configuration命令用来查看MAC迁移功能的相关配置信息。

命令格式

display authentication mac-move configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

执行本命令,可以查看MAC迁移功能的相关配置信息,例如MAC迁移用户被静默前60秒内允许迁移的次数、MAC迁移用户被静默的时间间隔、MAC迁移前探测的时间间隔和次数。

使用实例

# 查看MAC迁移功能的相关配置信息。

<HUAWEI> display authentication mac-move configuration
Mac-move vlan config:all                                                                                                            
Mac-move quiet times:1                                                                                                              
Mac-move quiet period(s):120                                                                                                        
Mac-move quiet log:ENABLE                                                                                                           
Mac-move quiet user alarm:ENABLE                                                                                                    
Mac-move quiet user alarm lower percentage(%):50                                                                                    
Mac-move quiet user alarm upper percentage(%):100
Mac-move detect:DISABLE                                                         
Mac-move detect retry-interval(s):3                                             
Mac-move detect retry-time:1 
表13-48  display authentication mac-move configuration命令输出信息描述

项目

描述

Mac-move vlan config

使能MAC迁移功能的VLAN范围。

相关命令请参见authentication mac-move enable

Mac-move quiet times

MAC迁移用户被静默前60秒内允许迁移的次数。

相关命令请参见authentication mac-move quiet-times quiet-period

Mac-move quiet period(s)

MAC迁移用户被静默的时间间隔。

相关命令请参见authentication mac-move quiet-times quiet-period

Mac-move quiet log
是否使能设备记录MAC迁移静默相关日志的功能。包括:
  • ENABLE:已使能
  • DISABLE:未使能

相关命令请参见authentication mac-move quiet-log enable

Mac-move quiet user alarm
是否使能设备发送MAC迁移静默相关告警的功能。包括:
  • ENABLE:已使能
  • DISABLE:未使能

相关命令请参见authentication mac-move quiet-user-alarm enable

Mac-move quiet user alarm lower percentage(%)

MAC迁移静默用户数的告警下限阈值。

相关命令请参见authentication mac-move quiet-user-alarm percentage

Mac-move quiet user alarm upper percentage(%)

MAC迁移静默用户数的告警上限阈值。

相关命令请参见authentication mac-move quiet-user-alarm percentage

Mac-move detect
是否使能MAC迁移前探测功能。包括:
  • ENABLE:已使能
  • DISABLE:未使能

相关命令请参见authentication mac-move detect enable

Mac-move detect retry-interval(s)

MAC迁移前探测的时间间隔。

相关命令请参见authentication mac-move detect retry-interval retry-time

Mac-move detect retry-time

MAC迁移前探测的次数。

相关命令请参见authentication mac-move detect retry-interval retry-time

display authentication mac-move quiet-user

命令功能

display authentication mac-move quiet-user命令用来查看MAC迁移静默用户信息。

命令格式

display authentication mac-move quiet-user { all | mac-address mac-address }

参数说明

参数

参数说明

取值

all

查看所有的MAC迁移静默用户信息。

-

mac-address mac-address

查看指定MAC地址的MAC迁移静默用户信息。

格式为H-H-H。其中H为1至4位的十六进制数。

视图

所有视图

缺省级别

1:监控级

使用指南

执行该命令可以查看处于静默状态的MAC迁移用户信息。

使用实例

# 查看所有的MAC迁移静默用户信息。

<HUAWEI> display authentication mac-move quiet-user all
Quiet MAC Information
-------------------------------------------------------------------------------
Quiet MAC                                                 Quiet Remain Time(Sec)
-------------------------------------------------------------------------------
0001-0002-0003                                            143
-------------------------------------------------------------------------------
1 quiet MAC found, 1 printed. 
表13-49  display authentication mac-move quiet-user all命令输出信息描述

项目

描述

Quiet MAC

MAC迁移静默用户的MAC地址。

Quiet Remain Time(Sec)

MAC迁移静默用户剩余静默时间,单位是秒。

display authentication interface

命令功能

display authentication interface命令用来查看接口下NAC认证方式的配置信息。

命令格式

display authentication interface interface-type interface-number

参数说明

参数

参数说明

取值

interface-type interface-number

显示指定接口下NAC认证方式的配置信息。其中:
  • interface-type表示接口类型
  • interface-number表示接口编号

-

视图

所有视图

缺省级别

1:监控级

使用指南

完成NAC认证方式的各种配置后,可使用本命令查看配置信息。

使用实例

# 显示接口GE1/0/1NAC认证方式的配置信息。
<HUAWEI> display authentication interface gigabitethernet 1/0/1
Authentication profile: p1
Authentication access-point: Enable
Authentication access-point max-user: 10
Port authentication order:
                          MAC
                          DOT1X
                          WEB   
表13-50  display authentication interface命令输出信息说明

项目

描述

Authentication profile 接口上应用的认证模板名称。
Authentication access-point 接口是否作为的接入控制点。
说明:
仅在策略联动方案中支持作为接入设备的款型显示该项目。
Authentication access-point max-user 接入控制点允许接入的最大用户数。
说明:
仅在策略联动方案中支持作为接入设备的款型显示该项目。
Port authentication order 接口上应用的认证模板内配置的认证方式。包括:
  • MAC:MAC认证方式
  • DOT1X:802.1X认证方式
  • WEB:Portal认证方式
说明:
  • 单机环境下,如果在认证模板下通过命令authentication dot1x-mac-bypass使能了MAC旁路认证功能,则DOT1X显示在前;如果未使能MAC旁路认证功能,则MAC显示在前。

  • SVF或策略联动环境下,在AS设备上该项目仅表示认证模板内配置了哪些认证方式,不表示认证顺序。

display authentication mode

命令功能

display authentication mode命令用来查看当前以及重启后的NAC配置模式。

命令格式

display authentication mode

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

用户需要了解当前的NAC配置模式时,可以执行本命令进行查看。

使用实例

# 查看当前以及重启后的NAC配置模式。
<HUAWEI> display authentication mode
  Current authentication mode is unified-mode                               
  Next authentication mode is unified-mode  
表13-51  display authentication mode命令输出信息描述

项目

描述

Current authentication mode is unified-mode 当前NAC配置模式。
  • unified-mode:统一模式
  • common-mode:传统模式
Next authentication mode is unified-mode 设备重启后NAC配置模式。

执行命令authentication unified-mode,将NAC配置模式切换成统一模式。

执行命令undo authentication unified-mode,将NAC配置模式切换成传统模式。

display authentication user-alarm configuration

命令功能

display authentication user-alarm configuration命令用来查看NAC认证用户数告警阈值配置信息。

命令格式

display authentication user-alarm configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

查看NAC认证用户数告警阈值配置信息。

使用实例

# 查看NAC认证用户数告警阈值配置信息。

<HUAWEI> display authentication user-alarm configuration
  Current Alarm Percent:100                                                     
  Current Alarm Resume Percent:60 
表13-52  display authentication user-alarm configuration输出信息描述

项目

描述

Current Alarm Percent NAC认证用户数告警阈值上限百分比。
Current Alarm Resume Percent NAC认证用户数告警阈值下限百分比。

display authentication-profile configuration

命令功能

display authentication-profile configuration命令用来查看认证模板的配置信息。

命令格式

display authentication-profile configuration [ name authentication-profile-name ]

参数说明

参数

参数说明

取值

name authentication-profile-name

显示指定名称的认证模板的详细配置信息。

不指定参数name authentication-profile-name时,显示设备上已配置的所有认证模板。

必须是已经存在的认证模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

完成认证模板的配置后,可以使用该命令查看认证模板的配置信息是否正确。

说明:

升级兼容转换的认证模板名称前带有@符号,并且升级兼容转换的认证模板和自带的认证模板default_authen_profile不占用规格。

使用实例

# 查看设备上已配置的所有认证模板。

<HUAWEI> display authentication-profile configuration
------------------------------------------------------------------------------- 
    ID        Auth-profile name                                                 
------------------------------------------------------------------------------- 
     0        default_authen_profile                                            
     1        dot1x_authen_profile                                              
     2        mac_authen_profile                                                
     3        portal_authen_profile                                             
     4        dot1xmac_authen_profile                                           
     5        multi_authen_profile                                              
------------------------------------------------------------------------------- 
    Total 6, printed 6
表13-53  display authentication-profile configuration输出信息描述

项目

描述

ID

认证模板ID。

Auth-profile name

认证模板名称。

# 查看认证模板“p1”的配置信息。

<HUAWEI> display authentication-profile configuration name p1
  Profile name                                : p1
  Dot1x access profile name                   : -
  Mac access profile name                     : -
  Portal access profile name                  : testdel
  Free rule template                          : -
  Force domain                                : -
  Dot1x force domain                          : -
  Mac-authen force domain                     : -
  Portal force domain                         : -
  Default domain                              : 110
  Dot1x default domain                        : -
  Mac-authen default domain                   : -
  Portal default domain                       : -
  Permit domain                               : -
  Authentication handshake                    : Enable
  Authentication handshake period             : 300s   
  Auth-fail re-auth period                    : 60s
  Pre-auth Re-auth period                     : 60s
  Auth-fail aging time                        : 82800s
  Pre-auth aging time                         : 82800s
  Author-keep aging time                      : 0s
  Dot1x-mac-bypass                            : Disable
  Mac authen before 802.1x authen force       : Enable 
  Single-access                               : Disable
  Device-type authorize service-scheme        : -
  Mac move detect enable                      : Enable    
  Authentication mode                         : multi-authen
  Authen-fail authorize service-scheme        : -
  Authen-server-down authorize service-scheme : -
  Authen-server-down authorize keep           : response-success
  Authen-server-noreply authorize keep        : response-success
  Authen-server-down close re-authen          : N
  Pre-authen authorize service-scheme         : -
  Security-name-delimiter                     : -
  Domain-name-delimiter                       : -
  Domain-location                             : -
  Domainname-parse-direction                  : -
  WLAN max user number                        : 128
  Bound vap profile                           : -
  SVF flag                                    : Disable
  Ip-static-user                              : Disable
  Roam-realtime-accounting                    : Enable                          
  Update-IP-realtime-accounting               : Enable  
  IP-address in-accounting-start              : Enable
  Linkdown offline delay time                 : 10 
  Termination action                          : reauthenticate 
  Control direction                           : Inbound 
  Update-Info-realtime-accounting             : Enable 
  No IP Check Flag                            : N  
  IP Conflict Check Flag                      : Y 
  Authentication roam pre-authen mac-authen   : Enable 
  Authentication single-stack-control enable  : IPv6 
  Authentication no-replace dot1x             : -
表13-54  display authentication-profile configuration name输出信息描述

项目

描述

Profile name

认证模板名称。

Dot1x access profile name

认证模板绑定的802.1X接入模板。

相关命令请参见dot1x-access-profile(认证模板视图)

Mac access profile name

认证模板绑定的MAC接入模板。

相关命令请参见mac-access-profile(认证模板视图)

Portal access profile name

认证模板绑定的Portal接入模板。

相关命令请参见portal-access-profile(认证模板视图)

Free rule template

认证模板绑定的免认证规则模板。

相关命令请参见free-rule-template(认证模板视图)

Force domain

用户的强制域。

相关命令请参见access-domain

Dot1x force domain

802.1X用户的强制域。

相关命令请参见access-domain

Mac-authen force domain

MAC用户的强制域。

相关命令请参见access-domain

Portal force domain

Portal用户的强制域。

相关命令请参见access-domain

Default domain

用户的默认域。

相关命令请参见access-domain

Dot1x default domain

802.1X用户的默认域。

相关命令请参见access-domain

Mac-authen default domain

MAC用户的默认域。

相关命令请参见access-domain

Portal default domain

Portal用户的默认域。

相关命令请参见access-domain

Permit domain

用户的允许域。

相关命令请参见permit-domain

Authentication handshake

握手功能是否使能。

  • Enable
  • Disable

相关命令请参见authentication handshake

Authentication handshake period

握手周期。

相关命令请参见authentication timer handshake-period

Auth-fail re-auth period

认证失败用户的重认证周期。

相关命令请参见authentication timer re-authen

Pre-auth re-auth period

预连接用户的重认证周期。

相关命令请参见authentication timer re-authen

Auth-fail aging Time

认证失败用户表项的老化时间。

相关命令请参见authentication timer authen-fail-aging

Pre-auth aging Time

预连接用户表项的老化时间。

相关命令请参见authentication timer pre-authen-aging

Author-keep aging time

授权保持用户表项的老化时间。

相关命令请参见authentication timer authorize-keep-aging

Dot1x-mac-bypass

MAC旁路认证是否使能。

  • Enable
  • Disable

相关命令请参见authentication dot1x-mac-bypass

Mac authen before 802.1x authen force

802.1X认证前强制进行MAC认证功能是否开启。

  • Enable
  • Disable

相关命令请参见authentication mac-authen-first force

Single-access

设备是否仅允许用户通过一种方式的接入认证。

相关命令请参见authentication single-access

Device-type authorize service-scheme

语音终端不认证时,为其授权的业务方案名称。

相关命令请参见authentication device-type voice authorize

Authentication mode

用户的接入模式。

相关命令请参见authentication mode

Authen-fail authorize service-scheme

用户认证失败时,为其授权的业务方案名称。

相关命令请参见authentication event action authorize

Authen-server-down authorize service-scheme

认证服务器Down时,为用户授权的业务方案名称。

相关命令请参见authentication event action authorize

Authen-server-down authorize keep

认证服务器Down时,为用户保持原有的网络访问权限,同时设备向用户的回应措施。

  • response-success:设备会向用户回应认证成功报文。
  • response-fail:设备会向用户回应认证失败报文。
  • no-response:设备不向用户回应报文。

相关命令请参见authentication event action authorize

Authen-server-noreply authorize keep

认证服务器无响应时,为用户保持原有的网络访问权限,同时设备向用户的回应措施。

  • response-success:设备会向用户回应认证成功报文。
  • response-fail:设备会向用户回应认证失败报文。
  • no-response:设备不向用户回应报文。

相关命令请参见authentication event action authorize

Authen-server-down close re-authen

认证服务器Down时,是否关闭重认证功能。

  • Y
  • N

相关命令请参见authentication event authen-server-down action close re-authen

Pre-authen authorize service-scheme

用户处在预连接状态时,为其授权的业务方案名称。

相关命令请参见authentication event action authorize

Security-name-delimiter

安全字符串分隔符。

相关命令请参见security-name-delimiter

Domain-name-delimiter

域名分隔符。

相关命令请参见domain-name-delimiter

Domain-location

域名的位置。

相关命令请参见domain-location

Domainname-parse-direction

域名解析方向。

相关命令请参见domainname-parse-direction

WLAN max user number

某VAP模板允许认证通过的最大用户数。

相关命令请参见authentication wlan-max-user

Bound vap profile

认证模板绑定的VAP模板。

相关命令请参见authentication-profile(接口视图&VAP模板视图)

SVF flag

SVF使能标记。

  • Enable
  • Disable

Ip-static-user

是否使能通过IP地址标记静态用户的功能。

  • Enable
  • Disable

相关命令请参见ip-static-user enable

Roam-realtime-accounting

是否使能漫游时发送计费报文功能。

  • Enable
  • Disable

Update-IP-realtime-accounting

是否使能地址更新时发送计费报文功能。

  • Enable
  • Disable

相关命令请参见authentication { update-info-accounting | update-ip-accounting } * enable

Linkdown offline delay time

接口链路故障时用户延时下线的时间间隔。

相关命令请参见link-down offline delay

IP-address in-accounting-start

是否开启在计费开始报文中携带用户IP地址功能。

  • Enable
  • Disable

相关命令请参见authentication ip-address in-accounting-start

Termination action

设备在RADIUS服务器通过Session-Timeout属性下发的超时时间到达后对用户进行重认证。

  • reauthenticate:重认证。

相关命令请参见authentication termination-action reauthenticate

Control direction

流量控制方向。

  • Inbound:仅进行上行流量控制。
  • All:进行双向流量控制。

相关命令请参见authentication control-direction

Update-Info-realtime-accounting

是否使能终端信息更新时发送计费报文功能。

  • Enable
  • Disable

相关命令请参见authentication { update-info-accounting | update-ip-accounting } * enable

No IP Check Flag

是否开启对客户端IP地址不建立IP HASH表功能。

  • Y
  • N

相关命令请参见authentication no-ip-check

IP Conflict Check Flag

是否开启对客户端IP地址不进行冲突检测功能。

  • Y
  • N

相关命令请参见authentication ip-conflict-check enable

Authentication roam pre-authen mac-authen

是否开启对漫游用户进行MAC认证功能。

  • Enable
  • Disable

相关命令请参见authentication roam pre-authen mac-authen enable

Authentication single-stack-control enable

是否开启单栈认证功能。

  • IPv4
  • IPv6
  • Disable

相关命令请参见authentication single-stack-control enable

Authentication no-replace dot1x

是否开启设备不回应认证成功的MAC或Portal用户的EAP Start报文功能。

  • dot1x:已开启
  • -:未开启

相关命令请参见authentication no-replace dot1x

display device-profile

命令功能

display device-profile命令用来查看终端类型识别模板的配置信息。

命令格式

display device-profile { all | profile-name profile-name }

参数说明

参数

参数说明

取值

all

显示所有终端类型识别模板的概要信息。

-

profile-name profile-name

显示指定名称的终端类型识别模板的详细信息。

必须是设备上已存在的终端类型识别模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

用户配置终端类型识别后,可以执行本命令查看终端类型识别模板的相关配置信息,例如模板名称、终端类型标识和ACL规则。

使用实例

# 查看所有终端类型识别模板的概要信息。

<HUAWEI> display device-profile all
  -----------------------------------------------------------------------------------------                                                                     
  Name                             Device type                      Rule num     State                                                                          
  -----------------------------------------------------------------------------------------                                                                     
  test                             huawei                           1            enable                                                                         
  -----------------------------------------------------------------------------------------                                                                     
  Total count : 1

# 查看终端类型识别模板test的详细信息。

<HUAWEI> display device-profile profile-name test
  ----------------------------------------------------------------------------
  Name        : test
  Device type : huawei
  State       : disabled
  Rule        :
    rule 1 mac 0006-0045-0078 mask 12
  Match       :
    if-match rule id 1
  ----------------------------------------------------------------------------
表13-55  display device-profile命令输出信息描述

项目

描述

Name

终端类型识别模板的名称。

该参数可以通过命令device-profile配置。

Device type

终端类型标识。

该参数可以通过命令device-type配置。

Rule num

ACL规则数。

State
是否使能终端类型识别功能:
  • enable:使能。
  • disabled:未使能。

该参数可以通过命令enable配置。

Rule

识别规则。

该参数可以通过命令rule配置。

Match

终端类型识别的匹配方式。

该参数可以通过命令if-match配置。

display dot1x

命令功能

display dot1x命令用来查看802.1X认证的相关信息。

命令格式

display dot1x statistics

display dot1x [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

参数说明

参数

参数说明

取值

statistics

查看802.1X的统计信息。

若不选取该参数则不查看802.1X的统计信息。

-

interface { interface-type interface-number1 [ to interface-number2 ] }

查看指定接口下802.1X的相关信息。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不选取该参数则查看设备所有接口下802.1X的相关信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

该命令可查看包含802.1X认证所有配置命令的配置结果和802.1X相关报文的收发统计信息等。

根据该命令的输出信息,可以帮助用户确认当前的802.1X配置是否正确,并有助于802.1X的故障诊断与排除。

后续任务

根据显示信息中802.1X相关的报文统计信息,用户可查看该类报文的收发情况,定位异常报文。在进行故障定位后,可使用命令reset dot1x statistics清空统计数据,重新统计后再次使用命令display dot1x查询是否有异常报文信息,进而判断故障是否排除。

使用实例

# 显示802.1X的相关信息。
<HUAWEI> display dot1x
  Max users: 10000
  Current users: 1
  Global default domain is jqq
  Dot1x abnormal-track cache-record-num: 20
  Quiet function is Disabled
  Mc-trigger port-up-send is Disabled
  Parameter set:Quiet Period                 180s   Quiet-times          1
                Tx Period                     30s   Mac-By-Pass Delay   10s
  Dot1x URL: 123456

 GigabitEthernet0/0/1 status: UP  802.1x protocol is Enabled
  Dot1x access profile is jqq
  Authentication mode is multi-authen
  Authentication method is EAP
  Reauthentication is enabled
  Reauthen period: 300s
  Dot1x retry times: 2
  Authenticating users: 0
  Current users: 0

  Authentication Success: 0          Failure: 0
  Enter Enquence        : 0
  EAPOL Packets: TX     : 68         RX     : 0
  Sent      EAPOL Request/Identity Packets  : 3
            EAPOL Request/Challenge Packets : 0
            Multicast Trigger Packets       : 64
            EAPOL Success Packets           : 0
            EAPOL Failure Packets           : 1
  Received  EAPOL Start Packets             : 0
            EAPOL Logoff Packets            : 0
            EAPOL Response/Identity Packets : 0
            EAPOL Response/Challenge Packets: 0

 Online user(s) info:
 UserId   MAC/VLAN            AccessTime              UserName
 ------------------------------------------------------------------------------
 1047     1044-00c7-07a9/27   2018/12/06 19:27:54     jqq
 ------------------------------------------------------------------------------
 Total: 1, printed: 1

# 显示802.1X的统计信息。

<HUAWEI> display dot1x statistics
  Dropped   EAPOL Access Flow Control       : 0
            EAPOL Check Sysmac Error        : 0
            EAPOL Get Vlan ID Error         : 0
            EAPOL Packet Flow Control       : 0
            EAPOL Online User Reach Max     : 0
            EAPOL Static or BlackHole Mac   : 0
            EAPOL Get Vlan Mac Error        : 0
            EAPOL Temp User Exist           : 0
            EAPOL no replace dot1x          : 0  

  DHCP      Enter Enqueue                        : 0
            Processed Packet                     : 0
            Dropped Packet                       : 0

  ARP       Enter Enqueue                        : 0
            Processed Packet                     : 0
            Dropped Packet                       : 0

  ND        Enter Enqueue                        : 0
            Processed Packet                     : 0
            Dropped Packet                       : 0

  DHCPv6    Enter Enqueue                        : 0
            Processed Packet                     : 0
            Dropped Packet                       : 0

  Sent      Authentication Request               : 0
            Cut Request                          : 0
            Cut Command Ack                      : 0
            Authentication Ack Fail Aff          : 0
            Update Ip                            : 0
            Wlan Eap Authentication Request      : 0
            Wlan Eap Authentication Request Ack  : 0
            Wlan Eap Send Pmk                    : 0
            Wlan Eap Reauthenticate Send Pmk     : 0
            Update User Online Time              : 0

  Received  Authentication Ack                   : 0
            Reauthenticate Command               : 0
            Cut Command                          : 0
            Cut Ack                              : 0
            Sam Nac Ack                          : 0
            Notify Server Up                     : 0
            Wlan Eap Authentication Request      : 0
            Wlan Mac Authentication Request      : 0
            Notify Vlanif Mac Authentication     : 0
表13-56  display dot1x命令显示信息说明

项目

描述

Max users

全局最大在线用户数,取值因设备形态而异

Current users

当前在线用户数。

Global default domain is

全局默认认证域。

配置该功能,请参见domain(系统视图)

Dot1x abnormal-track cache-record-num

设备允许记录的异常802.1X认证的EAP报文数。配置该功能,请参见dot1x abnormal-track cache-record-num

Quiet function is

用户静默功能的使能状态。

  • Enabled
  • Disabled

配置该功能,请参见dot1x quiet-period

Mc-trigger port-up-send is

设备接口Up时802.1X的组播立即触发功能的使能状态。

  • Enabled
  • Disabled

配置该功能,请参见dot1x mc-trigger port-up-send enable

Parameter set

802.1X参数设置状态。包括:
  • Quiet Period:静默定时器设置的静默时长。配置该功能,请参见dot1x timer quiet-period
  • Quiet-times:用户被静默前允许认证失败的次数。配置该功能,请参见dot1x quiet-times
  • Tx Period:发送认证请求的时间间隔。配置该功能,请参见dot1x timer tx-period
  • Mac-By-Pass Delay:MAC旁路认证延迟的时间间隔。

Dot1x URL

802.1X用户HTTP访问的重定向URL。

配置该功能,请参见dot1x url

interface status

接口的状态:
  • UP:接口开启。
  • DOWN:接口关闭。

802.1x protocol is

接口802.1X认证功能的是否使能。

  • Enabled
  • Disabled

Dot1x access profile is

802.1X接入模板的名称。

配置该功能,请参见dot1x-access-profile(系统视图)

Authentication mode is

用户接入模式。

配置该功能,请参见authentication mode

Authentication method is

802.1X用户的认证方式。

配置该功能,请参见dot1x authentication-method

Reauthentication is

对在线802.1X认证用户进行重认证的功能是否使能。

  • enabled
  • disabled

配置该功能,请参见dot1x reauthenticate

Dot1x retry times

向802.1X用户发送认证请求的最大次数。

配置该功能,请参见dot1x retry

Authenticating users

正在认证的用户数。

Current users

接口当前的在线用户数。

Authentication Success

认证成功次数。

这里的统计结果只包含802.1X上线用户,没有包含MAC旁路认证用户。

Failure

认证失败次数。

这里的统计结果只包含802.1X上线用户,没有包含MAC旁路认证用户。

Enter Enquence

进入队列的报文数量。

EAPOL Packets

全局EAPOL报文的总次数:

  • TX:发送EAPOL报文的次数。
  • RX:接收EAPOL报文的次数。

Sent

发送报文统计。

EAPOL Request/Identity Packets

全局EAPOL Request/Identity类型的报文的数量。

EAPOL Request/Challenge Packets

全局EAPOL Request/Challenge类型的报文的数量。

Multicast Trigger Packets

全局组播触发类型的报文的数量。

EAPOL Success Packets

全局EAPOL Success类型的报文的数量。

EAPOL Failure Packets

全局EAPOL Failure类型的报文的数量。

Received

接收报文统计。

EAPOL Start Packets

全局EAPOL Start类型的报文的数量。

EAPOL Logoff Packets

全局EAPOL LogOff类型的报文的数量。

EAPOL Response/Identity Packets

全局EAPOL Response/Identity类型的报文的数量。

EAPOL Response/Challenge Packets

全局EAPOL Response/Challenge类型的报文的数量。

Online user(s) info 在线用户信息:
  • UserId:用户ID。
  • MAC/VLAN:MAC地址/VLAN ID。
  • AccessTime:接入时间。
  • UserName:用户名。
  • Total:在线用户总数目。
  • printed:显示的在线用户数目。
Dropped
设备丢弃的各类EAP报文数。
  • EAPOL Access Flow Control:超过用户接入速率而被丢弃的报文数。
  • EAPOL Check Sysmac Error:检查设备MAC地址错误而被丢弃的报文数。
  • EAPOL Get Vlan ID Error:获取VLAN ID错误而被丢弃的报文数。
  • EAPOL Packet Flow Control:超过报文接入速率而被丢弃的报文数。
  • EAPOL Online User Reach Max:达到最大在线用户而被丢弃的报文数。
  • EAPOL Static or BlackHole Mac:报文MAC地址为静态MAC或黑洞MAC而被丢弃的报文数。
  • EAPOL Get Vlan Mac Error:获取VLAN MAC错误而被丢弃的报文数。
  • EAPOL Temp User Exist:临时用户存在而被丢弃的报文数。
  • EAPOL no replace dot1x:认证成功的MAC或Portal用户又进行802.1X认证而被丢弃的EAP Start报文数。
DHCP DHCP报文统计信息。
ARP ARP报文统计信息。
ND ND报文统计信息。
DHCPv6 DHCPv6报文统计信息。
Enter Enqueue 进入队列的报文数量。
Processed Packet 已处理的报文数量。
Dropped Packet 丢弃的报文数量。
Authentication Request 认证请求消息次数。
Cut Request 下线请求消息次数。
Cut Command Ack 下线命令请求的应答消息次数。
Authentication Ack Fail Aff 无线用户认证失败后将用户去关联次数。
Update Ip 更新IP地址的消息次数。
Wlan Eap Authentication Request WLAN发起的EAP认证请求消息次数。
Wlan Eap Authentication Request Ack WLAN发起的EAP认证请求的应答消息次数。
Wlan Eap Send Pmk WLAN进行EAP认证发送PMK消息次数。
Wlan Eap Reauthenticate Send Pmk WLAN进行EAP重认证发送PMK消息次数。
Update User Online Time 更新用户在线时长消息次数。
Authentication Ack 认证应答消息次数。
Reauthenticate Command 重认证消息次数。
Cut Command 下线命令请求消息次数。
Cut Ack 下线请求的应答消息次数。
Sam Nac Ack SAM回应EAP消息次数。
Notify Server Up RADIUS服务器UP消息次数。
Wlan Mac Authentication Request WLAN发起的MAC认证请求消息次数。
Notify Vlanif Mac Authentication VLANIF接口的MAC认证请求消息次数。

display dot1x-access-profile configuration

命令功能

display dot1x-access-profile configuration命令用来查看802.1X接入模板的配置信息。

命令格式

display dot1x-access-profile configuration [ name access-profile-name ]

参数说明

参数

参数说明

取值

name access-profile-name

显示指定名称的802.1X接入模板的配置信息。

不指定参数name access-profile-name时,显示设备上已配置的所有802.1X接入模板;指定参数name access-profile-name时,显示指定802.1X接入模板的详细配置信息。

必须是已经存在的802.1X接入模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

完成802.1X接入模板的配置后,可以使用该命令查看802.1X接入模板的配置信息是否正确。

说明:

升级兼容转换的模板名称前带有@符号,并且升级兼容转换的模板不占用配置规格。

使用实例

# 查看设备上已配置的所有802.1X接入模板。

<HUAWEI> display dot1x-access-profile configuration
-------------------------------------------------------------------------------
 ID             Dot1x-Access-Profile Name
-------------------------------------------------------------------------------
 0              dot1x_access_profile
 1              d1
 2              d2
 3              d3
 4              d4
-------------------------------------------------------------------------------
 Total: 5 printed: 5. 
表13-57  display dot1x-access-profile configuration输出信息描述

项目

描述

ID

802.1X接入模板ID。

Dot1x-Access-Profile Name

802.1X接入模板名称。

# 查看802.1X接入模板“d1”的配置信息。

<HUAWEI> display dot1x-access-profile configuration name d1
  Profile Name                 : d1
  Authentication method        : EAP
  Port control                 : authorized-force
  Re-authen                    : Enable
  Client-no-response authorize : -
  Trigger condition            : arp
  Unicast trigger              : Enable
  Trigger dhcp-bind            : Enable
  Handshake                    : Disable
  Handshake packet-type        : request-identity
  Max retry value              : 2
  Reauthen Period              : 3600s
  Client Timeout               : 5s
  Handshake Period             : 60s
  Eth-trunk handshake period   : 120s
  Bound authentication profile : -
表13-58  display dot1x-access-profile configuration name输出信息描述

项目

描述

Profile Name

802.1X接入模板名称。

Authentication method

802.1X用户的认证方式:
  • CHAP:采用质询握手认证协议CHAP(Challenge Handshake Authentication Protocol)的EAP终结认证方式。
  • PAP:采用密码认证协议PAP(Password Authentication Protocol)的EAP终结认证方式。
  • EAP:采用可扩展的认证协议EAP(Extensible Authentication Protocol)中继认证方式。

相关命令请参见dot1x authentication-method

Port control

802.1X认证接口的授权状态:
  • auto:自动识别。
  • authorized-force:强制授权模式。
  • unauthorized-force:强制非授权模式。

相关命令请参见dot1x port-control

Re-authen

对在线802.1X认证用户进行重认证的功能是否开启:
  • Enable:开启。
  • Disable:关闭。

相关命令请参见dot1x reauthenticate

Client-no-response authorize

用户在802.1X客户端无响应时的网络访问权限。

  • service-scheme:授权的业务方案名称。
  • ucl-group:授权的UCL组名称。
  • vlan:授权的VLAN ID。

相关命令请参见authentication event client-no-response action authorize

Trigger condition

允许触发802.1X认证的报文类型:
  • dhcp
  • arp
  • dhcpv6
  • nd
  • any-l2-packet

相关命令请参见authentication trigger-condition(802.1X认证)

Unicast trigger

单播报文触发802.1X认证功能是否开启:
  • Enable:开启。
  • Disable:关闭。

相关命令请参见dot1x unicast-trigger

Trigger dhcp-bind

设备自动生成静态IP用户的DHCP Snooping绑定表的功能是否开启:
  • Enable:开启。
  • Disable:关闭。

相关命令请参见dot1x trigger dhcp-binding

Handshake

设备与802.1X在线用户握手功能是否开启:
  • Enable:开启。
  • Disable:关闭。

相关命令请参见dot1x handshake

Handshake packet-type

802.1X认证握手报文的类型:
  • request-identity
  • srp-sha1-part2

相关命令请参见dot1x handshake packet-type

Max retry value

向802.1X用户发送认证请求的最大次数。

相关命令请参见dot1x retry

Reauthen Period

对在线802.1X用户进行重认证的周期。

相关命令请参见dot1x timer

Client Timeout

802.1X客户端认证超时时间。

相关命令请参见dot1x timer

Handshake Period

设备与非Eth-Trunk接口下的802.1X客户端握手的周期。

相关命令请参见dot1x timer

Eth-trunk handshake period

设备与Eth-Trunk接口下的802.1X客户端握手的周期。

相关命令请参见dot1x timer

Bound authentication profile

802.1X接入模板绑定的认证模板。

相关命令请参见dot1x-access-profile(认证模板视图)

display dot1x quiet-user

命令功能

display dot1x quiet-user命令用来查看802.1X认证静默用户信息。

命令格式

display dot1x quiet-user { all | mac-address mac-address }

参数说明

参数

参数说明

取值

all

查看所有的802.1X认证静默用户信息。

-

mac-address mac-address

查看指定MAC地址的802.1X认证静默用户信息。

格式为H-H-H。其中H为1至4位的十六进制数。

视图

所有视图

缺省级别

1:监控级

使用指南

执行该命令可以查看处于静默状态的802.1X认证用户信息。

使用实例

# 查看所有的802.1X认证静默用户信息。

<HUAWEI> display dot1x quiet-user all
-------------------------------------------------------------------------------
MacAddress                                                Quiet Remain Time(Sec)
-------------------------------------------------------------------------------
0001-0002-0003                                            50
-------------------------------------------------------------------------------
1 silent mac address(es) found, 1 printed. 
表13-59  display dot1x quiet-user all命令输出信息描述

项目

描述

MacAddress

802.1X认证静默用户的MAC地址。

Quiet Remain Time(Sec)

802.1X认证静默用户剩余静默时间,单位是秒。

display free-rule

命令功能

display free-rule命令用来查看ACL定义的免认证规则的下发状态。

命令格式

display free-rule

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

用户想要了解ACL定义的免认证规则的下发状态时,可以执行本命令进行查看。

使用实例

# 查看ACL定义的免认证规则的下发状态。

<HUAWEI> display free-rule
 ------------------------------------------------------------------------------                                                     
     Slot-ID                        Acl-ID                          Status                                                          
 ------------------------------------------------------------------------------                                                     
        7                            6000                           SUCCESS                                                         
        8                            6000                           SUCCESS                                                         
 ------------------------------------------------------------------------------                                                     
Total 1 free-rule(s) 
表13-60  display free-rule输出信息描述

项目

描述

Slot-ID 槽位号。
Acl-ID ACL编号。
Status ACL定义的免认证规则在槽位slot-id上是否下发成功。

display free-rule-template configuration

命令功能

display free-rule-template configuration命令用来查看免认证规则模板的配置信息。

命令格式

display free-rule-template configuration [ name free-rule-name ]

参数说明

参数

参数说明

取值

name free-rule-name

显示指定名称的免认证规则模板的配置信息。

不指定参数name free-rule-name时,显示设备上已配置的所有免认证规则模板;指定参数name free-rule-name时,显示指定免认证规则模板的详细配置信息。

必须是已经存在的免认证规则模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

完成免认证规则模板的配置后,可以使用该命令查看免认证规则模板的配置信息是否正确。

使用实例

# 查看设备上已配置的所有免认证规则模板。

<HUAWEI> display free-rule-template configuration
-------------------------------------------------------------------------------                                                     
 ID             Free-rule-template Name                                                                                             
-------------------------------------------------------------------------------                                                     
 0              default_free_rule                                                                                                   
-------------------------------------------------------------------------------                                                     
 Total: 1 printed: 1.
表13-61  display free-rule-template configuration输出信息描述

项目

描述

ID

免认证规则模板ID。

Free-rule-template Name

免认证规则模板名称。

display mac-address authen

命令功能

display mac-address authen命令用来查看系统当前存在的authen类型的MAC地址表项。

命令格式

display mac-address authen [ interface-type interface-number | vlan vlan-id ] * [ verbose ]

参数说明

参数 参数说明 取值
vlan vlan-id

显示包含指定VLAN参数的MAC地址表项。

如果不指定VLAN参数,将显示设备中包含所有VLAN参数的MAC地址表项。

整数形式,取值范围是1~4094。
interface-type interface-number

显示包含指定接口参数的MAC地址表项。

如果不指定接口参数,将显示设备中包含所有接口参数的MAC地址表项。

-

verbose

显示MAC地址表项的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

MAC认证或802.1X认证配置成功后,管理员可通过执行本命令查看设备上存在的authen类型的MAC地址表项。通过这些表项可以查看各用户接入的具体情况,以便帮助管理员定位用户接入的异常状况。其中authen类型是指用户通过MAC认证或802.1X认证后形成的MAC地址表项。

注意事项

若设备上存在大量的authen类型的MAC地址表项信息,在使用本命令时,推荐通过指定VLAN或使用管道符的方式对显示的信息进行过滤。否则可能会因为显示信息过多而导致:
  • 终端屏幕不停地刷新使得管理员无法获取需要的信息。

  • 设备长时间的信息遍历和检索,造成设备无响应。

使用实例

# 查看系统中所有authen类型的MAC地址表项。

<HUAWEI> display mac-address authen
-------------------------------------------------------------------------------  
MAC Address    VLAN/VSI/BD                          Learned-From        Type        
-------------------------------------------------------------------------------
0000-0000-0100 3000/-/-                              GE1/0/1            authen
0000-0000-0400 3000/-/-                              GE1/0/1            authen
0000-0000-0200 3000/-/-                              GE1/0/1            authen
-------------------------------------------------------------------------------  
Total items displayed = 3                     
表13-62  display mac-address authen命令显示信息说明

项目

描述

MAC Address

认证用户的MAC地址。

VLAN/VSI/BD

出接口所在的VLAN/所属的VSI/BD域ID

Learned-From

MAC地址所对应的出接口。

Type

MAC表项类型。

Total items displayed

符合查看条件的显示项总数。

display mac-address pre-authen

命令功能

display mac-address pre-authen命令用来查看设备上当前存在的Pre-authen类型的MAC地址表项。

命令格式

display mac-address pre-authen [ interface-type interface-number | vlan vlan-id ] * [ verbose ]

参数说明

参数 参数说明 取值
vlan vlan-id

显示包含指定VLAN参数的MAC地址表项。

如果不指定VLAN参数,将显示设备中包含所有VLAN参数的MAC地址表项。

整数形式,取值范围是1~4094。
interface-type interface-number

显示包含指定接口参数的MAC地址表项。

如果不指定接口参数,将显示设备中包含所有接口参数的MAC地址表项。

-

verbose

显示MAC地址表项的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

管理员可使用本命令查看设备上存在的预连接类型的MAC地址表项,了解各预连接用户接入的具体情况,以便帮助其定位用户接入的异常状况。

注意事项

若设备上存在大量的Pre-authen类型的MAC地址表项信息,在使用本命令时,推荐通过指定VLAN或使用管道符的方式对显示的信息进行过滤。否则可能会因为显示信息过多而导致:
  • 终端屏幕不停地刷新使得管理员无法获取需要的信息。

  • 设备长时间的信息遍历和检索,造成设备无响应。

使用实例

# 查看系统中所有Pre-authen类型的MAC地址表项。

<HUAWEI> display mac-address pre-authen
-------------------------------------------------------------------------------  
MAC Address    VLAN/VSI/BD                          Learned-From        Type        
-------------------------------------------------------------------------------
0000-0000-0100 3000/-/-                              GE1/0/1             pre-authen
0000-0000-0400 3000/-/-                              GE1/0/1             pre-authen
0000-0000-0200 3000/-/-                              GE1/0/1             pre-authen
-------------------------------------------------------------------------------  
Total items displayed = 3                     
表13-63  display mac-address pre-authen命令显示信息说明

项目

描述

MAC Address

认证用户的MAC地址。

VLAN/VSI/BD

接口所在的VLAN/所属的VSI/BD域ID

Learned-From

学习到认证用户MAC地址的接口。

Type

MAC表项类型。

Total items displayed

符合查看条件的显示项总数。

display mac-access-profile configuration

命令功能

display mac-access-profile configuration命令用来查看MAC接入模板的配置信息。

命令格式

display mac-access-profile configuration [ name access-profile-name ]

参数说明

参数

参数说明

取值

name access-profile-name

显示指定名称的MAC接入模板的配置信息。

不指定参数name access-profile-name时,显示设备上已配置的所有MAC接入模板;指定参数name access-profile-name时,显示指定MAC接入模板的详细配置信息。

必须是已经存在的MAC接入模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

完成MAC接入模板的配置后,可以使用该命令查看MAC接入模板的配置信息是否正确。

说明:

升级兼容转换的模板名称前带有@符号,并且升级兼容转换的模板不占用配置规格。

使用实例

# 查看设备上已配置的所有MAC接入模板。

<HUAWEI> display mac-access-profile configuration
-------------------------------------------------------------------------------                                                     
 ID             Mac-Access-Profile Name                                                                                           
-------------------------------------------------------------------------------                                                     
 0              mac_access_profile                                                                                                
 1              m1                                                                                                                  
 2              m2                                                                                                                   
 3              m3                                                                                                                   
 4              m4                                                                                                        
-------------------------------------------------------------------------------                                                     
 Total: 5 printed: 5. 
表13-64  display mac-access-profile configuration输出信息描述

项目

描述

ID

MAC接入模板ID。

Mac-Access-Profile Name

MAC接入模板名称。

# 查看MAC接入模板“m1”的配置信息(MAC认证用户配置密码)。

<HUAWEI> display mac-access-profile configuration name m1
  Profile Name                 : m1                                             
  Authentication method        : CHAP 
  Username format              : fixed username: a1                             
  Password type                : cipher                                         
  Re-authen                    : Disable                                        
  Trigger condition            : arp dhcp nd dhcpv6                             
  Offline dhcp-release         : Disable                                        
  Re-authen dhcp-renew         : Disable                                        
  Trigger dhcp-bind            : Enable 
  Reauthen Period              : 1800s                                          
  Bound authentication profile : -  

# 查看MAC接入模板“m2”的配置信息(MAC认证用户没有配置密码)。

<HUAWEI> display mac-access-profile configuration name m2
  Profile Name                 : m2                                             
  Authentication method        : CHAP 
  Username format              : fixed username: a1                             
  Password                     : not configured 
  Re-authen                    : Disable                                        
  Trigger condition            : arp dhcp nd dhcpv6                             
  Offline dhcp-release         : Disable                                        
  Re-authen dhcp-renew         : Disable                                        
  Trigger dhcp-bind            : Enable 
  Reauthen Period              : 1800s                                          
  Bound authentication profile : -  
表13-65  display mac-access-profile configuration name输出信息描述

项目

描述

Profile Name

MAC接入模板名称。

Authentication method

MAC认证用户的认证方式。

  • CHAP
  • PAP

相关命令请参见mac-authen authentication-method

Username format

MAC认证用户采用的用户名形式。

  • use MAC address without-hyphen as username:无分隔符的MAC地址,例如“0005e01c02e3”。
  • use MAC address with-hyphen as username:带分隔符“-”的MAC地址,例如“0005-e01c-02e3”。
  • use MAC address with-hyphen normal as username:normal类型带分隔符“-”的MAC地址,例如“00-05-e0-1c-02-e3”。
  • use MAC address without-hyphen upper as username:无分隔符的大写MAC地址,例如“0005E01C02E3”。
  • use MAC address with-hyphen upper as username:带分隔符“-”的大写MAC地址,例如“0005-E01C-02E3”。
  • use MAC address with-hyphen normal upper as username:normal类型带分隔符“-”的大写MAC地址,例如“00-05-E0-1C-02-E3”。
  • use MAC address with-hyphen colon as username:带分隔符“:”的MAC地址,例如“0005:e01c:02e3”。
  • use MAC address with-hyphen normal colon as username:normal类型带分隔符“:”的MAC地址,例如“00:05:e0:1c:02:e3”。
  • use MAC address with-hyphen colon upper as username:带分隔符“:”的大写MAC地址,例如“0005:E01C:02E3”。
  • use MAC address with-hyphen normal colon upper as username:normal类型带分隔符“:”的大写MAC地址,例如“00:05:E0:1C:02:E3”。
  • fixed username:固定用户名。
  • use option82 as username:Option 82选项内容作为用户名。
  • not configured:未配置。

相关命令请参见mac-authen username

Password type

MAC认证用户的密码显示方式。

  • cipher:密文。

相关命令请参见mac-authen username

password

MAC认证用户的密码,只有一种取值:
  • not configured:未配置,即MAC认证用户没有配置密码。

Re-authen

对在线MAC认证用户进行重认证的功能是否开启:
  • Enable:开启。
  • Disable:关闭。

相关命令请参见mac-authen reauthenticate

Trigger condition

允许触发MAC认证的报文类型。

相关命令请参见authentication trigger-condition(MAC认证)

Offline dhcp-release

设备在接收到MAC认证用户的DHCP Release报文后,清除用户表项的功能是否开启。

  • Enable:开启。
  • Disable:关闭。

相关命令请参见mac-authen offline dhcp-release

Re-authen dhcp-renew

设备在接收到MAC认证用户的DHCP续租报文后,对用户进行重认证的功能是否开启。

  • Enable:开启。
  • Disable:关闭。

相关命令请参见mac-authen reauthenticate dhcp-renew

Trigger dhcp-bind

配置静态IP用户MAC认证成功后或处于预连接阶段时,设备自动生成对应的DHCP Snooping绑定表功能是否开启。

  • Enable:开启。
  • Disable:关闭。

相关命令请参见mac-authen trigger dhcp-binding

Reauthen Period

对在线MAC认证用户进行重认证的周期。

相关命令请参见mac-authen timer reauthenticate-period

Bound authentication profile

MAC接入模板绑定的认证模板。

相关命令请参见mac-access-profile(认证模板视图)

display mac-authen

命令功能

display mac-authen命令用来查看MAC认证相关信息。

命令格式

display mac-authen [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> | configuration ]

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

查看指定接口下的MAC认证相关信息。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不选取该参数则查看设备所有接口下MAC认证的相关信息。

-

configuration

查看全局的MAC认证相关信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

该命令可参看包含MAC认证配置命令的配置结果。根据输出信息,管理员可确认当前的MAC认证配置是否正确,将有助于MAC认证的故障诊断与排除。

后续任务

显示信息中的报文统计信息,可以帮组管理员根据报文的收发情况,定位异常报文,在进行故障定位后,可以使用reset mac-authen statistics清空统计数据,重新统计,再次使用display mac-authen查询是否有异常报文信息,进而判断故障是否排除。

使用实例

# 查看MAC地址认证配置信息。

<HUAWEI> display mac-authen
  Quiet period is 60s
  Authentication fail times before quiet is 1
  Maximum users: 65536
  Current users: 1
  Global default domain is default

 GigabitEthernet1/0/1 state: UP.  MAC address authentication is enabled
  MAC access profile is mac_access_profile
  Reauthentication is disabled
  Current users: 1
  Username format: fixed username: gcs
  Password type: cipher
  Fixed password: %^%#2}*{%bMY.D*Kw3HxDgU3CW7g'|54H&<]S,Zfu;%^%#
  Authentication Success: 22, Failure: 85
  0 silent mac address(es) found, 0 printed.

 Online user(s) info:
 UserId   MAC/VLAN            AccessTime              UserName
 ------------------------------------------------------------------------------
 37223    a088-b44d-573c/2003 2014/09/28 15:45:45     gcs
 ------------------------------------------------------------------------------
 Total: 1, printed: 1 
表13-66  display mac-authen命令显示信息说明

项目

描述

Quiet period

静默定时器,用户认证失败后再次认证之前需要等待的时间,缺省值为60秒。

相关命令请参见mac-authen timer quiet-period

Authentication fail times before quiet

用户被静默前允许认证失败的次数。

相关命令请参见mac-authen quiet-times

Maximum users

设备支持的最大用户数,取值因设备形态而异

Current users

当前在线用户数。

Global default domain

全局默认认证域。

相关命令请参见domain(系统视图)

interface state

接口状态。

  • UP:接口开启
  • DOWN:接口关闭

MAC address authentication

接口MAC地址认证功能是否使能。

  • enabled
  • disabled

MAC access profile

MAC接入模板的名称。

相关命令请参见mac-access-profile(系统视图)

Reauthentication

MAC认证重认证功能是否使能。

  • enabled
  • disabled

相关命令请参见mac-authen reauthenticate

Current users

接口当前在线用户数。

Username format

MAC认证用户采用的用户名形式。

  • use MAC address without-hyphen as username:无分隔符的MAC地址,例如“0005e01c02e3”。
  • use MAC address with-hyphen as username:带分隔符“-”的MAC地址,例如“0005-e01c-02e3”。
  • use MAC address with-hyphen normal as username:normal类型带分隔符“-”的MAC地址,例如“00-05-e0-1c-02-e3”。
  • use MAC address without-hyphen upper as username:无分隔符的大写MAC地址,例如“0005E01C02E3”。
  • use MAC address with-hyphen upper as username:带分隔符“-”的大写MAC地址,例如“0005-E01C-02E3”。
  • use MAC address with-hyphen normal upper as username:normal类型带分隔符“-”的大写MAC地址,例如“00-05-E0-1C-02-E3”。
  • use MAC address with-hyphen colon as username:带分隔符“:”的MAC地址,例如“0005:e01c:02e3”。
  • use MAC address with-hyphen normal colon as username:normal类型带分隔符“:”的MAC地址,例如“00:05:e0:1c:02:e3”。
  • use MAC address with-hyphen colon upper as username:带分隔符“:”的大写MAC地址,例如“0005:E01C:02E3”。
  • use MAC address with-hyphen normal colon upper as username:normal类型带分隔符“:”的大写MAC地址,例如“00:05:E0:1C:02:E3”。
  • fixed username:固定用户名。
  • use option82 as username:Option 82选项内容作为用户名。
  • not configured:未配置。

相关命令请参见mac-authen username

Password type

MAC认证用户的密码显示方式。

  • cipher:密文。

相关命令请参见mac-authen username

Fixed password

MAC认证用户的密码。

相关命令请参见mac-authen username

Authentication Success: m, Failure: n

接口下用户认证成功的次数(m)和失败的次数(n)。

m silent mac address(es) found, n printed

静默MAC地址数目,被打印数目。

Online user(s) info

在线用户信息。包括:
  • UserId:在线用户的ID。
  • MAC/VLAN:在线用户的MAC地址和所属VLAN。
  • AccessTime:在线用户上线时间。
  • UserName:在线用户名。
  • Total:在线用户总数目。
  • printed:显示的在线用户数目。

display mac-authen quiet-user

命令功能

display mac-authen quiet-user命令用来查看MAC认证静默用户信息。

命令格式

display mac-authen quiet-user { all | mac-address mac-address }

参数说明

参数

参数说明

取值

all

查看所有的MAC认证静默用户信息。

-

mac-address mac-address

查看指定MAC地址的MAC认证静默用户信息。

格式为H-H-H。其中H为1至4位的十六进制数。

视图

所有视图

缺省级别

1:监控级

使用指南

执行该命令可以查看处于静默状态的MAC认证用户信息。

使用实例

# 查看所有的MAC认证静默用户信息。

<HUAWEI> display mac-authen quiet-user all
-------------------------------------------------------------------------------
MacAddress                                                Quiet Remain Time(Sec)
-------------------------------------------------------------------------------
0001-0002-0003                                            50
-------------------------------------------------------------------------------
1 silent mac address(es) found, 1 printed. 
表13-67  display mac-authen quiet-user all命令输出信息描述

项目

描述

MacAddress

MAC认证静默用户的MAC地址。

Quiet Remain Time(Sec)

MAC认证静默用户剩余静默时间,单位是秒。

display portal

命令功能

display portal命令用来查看Portal认证的配置信息。

命令格式

display portal [ interface interface-type interface-number | configuration ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

查看指定接口下的Portal认证相关信息。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不选取该参数则查看设备所有接口下Portal认证的相关信息。

-

configuration

查看全局下配置的Portal认证相关信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

在配置完成Portal认证的相关信息后,可执行此命令查看Portal认证的配置信息,用户可根据显示的信息判断配置是否正确。

使用实例

# 查看设备的Portal认证配置信息。

<HUAWEI> display portal
  Portal max-user number:65536
  Quiet function is Enabled
  Different-server is Enabled 
  Parameter set:Quiet Period        60s   Quiet-times          3
  Logout packets resend: Resend-times 3  Timeout 5s
  Portal Https Redirect: Enable
  Portal JS Redirect   : Enable

  Vlanif10 protocol status: down, web-auth-server layer2(direct)
表13-68  display portal命令显示信息说明

项目

描述

Portal max-user number

设备允许接入的最大Portal认证用户数,取值因设备形态而异

相关命令请参见portal max-user

Quiet function is Enabled或Quiet function is Disabled

Portal认证静默功能是否使能:
  • Enabled:使能Portal认证静默功能。
  • Disabled:未使能Portal认证静默功能。

相关命令请参见portal quiet-period

Different-server is Enabled或Different-server is Disabled

设备是否处理非用户上线的Portal服务器发送的用户下线请求消息:
  • Enabled:设备处理非用户上线的Portal服务器发送的用户下线请求消息。
  • Disabled:设备不处理非用户上线的Portal服务器发送的用户下线请求消息。

相关命令请参见portal logout different-server enable

Parameter set

Portal认证静默功能的相关参数配置信息:
  • Quiet Period:Portal认证静默周期,相关命令请参见portal timer quiet-period
  • Quiet-times:Portal认证用户被静默前60秒内允许认证失败的次数,相关命令请参见portal quiet-times
Logout packets resend
Portal认证用户下线报文重传功能的相关配置信息:
  • Resend-times:Portal认证用户下线报文的重传次数。
  • Timeout:Portal认证用户下线报文的重传周期。

相关命令请参见portal logout resend timeout

Portal Https Redirect

Portal认证HTTPS重定向功能是否使能:

  • Enable:使能Portal认证HTTPS重定向功能。
  • Disable:未使能Portal认证HTTPS重定向功能。

相关命令请参见portal https-redirect enable

Portal JS Redirect
Portal重定向过程插入JavaScript脚本功能:
  • Enable:使能Portal重定向过程插入JavaScript脚本功能。
  • Disable:未使能Portal重定向过程插入JavaScript脚本功能。

相关命令请参见portal redirect js enable

interface protocol status

接口的链路协议状态及使能的Portal认证方式:

  • up:表示接口处于正常启动的状态。
  • down:表示接口处于未启动的状态。
  • web-auth-server layer3:表示接口认证方式为三层Portal认证方式。
  • web-auth-server layer2(direct):表示接口认证方式为二层Portal认证方式。

display portal https-redirect blacklist

命令功能

display portal https-redirect blacklist命令用来查看HTTPS重定向的黑名单中的IPv4地址。

命令格式

display portal https-redirect blacklist

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

执行该命令可以查看HTTPS重定向的黑名单中的地址信息,用于检查被加入黑名单的地址是否准确无误。

使用实例

# 查看HTTPS重定向的黑名单中的IPv4地址。

<HUAWEI> display portal https-redirect blacklist
--------------------------------------
IP Address        Aging Time          
--------------------------------------
 10.1.1.1         2018-06-26 21:01:59 
--------------------------------------
 Total:1   Print:1
表13-69  display portal https-redirect blacklist命令输出信息描述
项目 描述
IP Address 黑名单中的IPv4地址,可通过portal https-redirect blacklist命令进行配置,或者当某一地址满足portal https-redirect blacklist packet-rate命令或portal https-redirect blacklist retry-times interval命令指定的条件后被加入黑名单。
Aging Time

黑名单中地址的老化时间点,当交换机上的时间达到该时间点时,交换机会将该地址从黑名单中删除。

可通过portal https-redirect blacklist aging-time命令配置黑名单中地址的老化时间。

Total:m Print:n 黑名单中的总地址数m和打印数n。

display portal https-redirect whitelist

命令功能

display portal https-redirect whitelist命令用来查看HTTPS重定向的白名单中的IPv4地址。

命令格式

display portal https-redirect whitelist

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

执行该命令可以查看HTTPS重定向的白名单中的地址信息,用于检查被加入白名单的地址是否准确无误。

使用实例

# 查看HTTPS重定向的白名单中的IPv4地址。

<HUAWEI> display portal https-redirect whitelist
IP Address:                    
-------------------------------
 10.1.2.1                      
-------------------------------
 Total:1   Print:1 
表13-70  display portal https-redirect whitelist命令输出信息描述
项目 描述
IP Address 白名单中的IPv4地址,可通过portal https-redirect whitelist命令进行配置。
Total:m Print:n 白名单中的总地址数m和打印数n。

display portal-access-profile configuration

命令功能

display portal-access-profile configuration命令用来查看Portal接入模板的配置信息。

命令格式

display portal-access-profile configuration [ name access-profile-name ]

参数说明

参数

参数说明

取值

name access-profile-name

显示指定名称的Portal接入模板的配置信息。

不指定参数name access-profile-name时,显示设备上已配置的所有Portal接入模板;指定参数name access-profile-name时,显示指定Portal接入模板的详细配置信息。

必须是已经存在的Portal接入模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

完成Portal接入模板的配置后,可以使用该命令查看Portal接入模板的配置信息是否正确。

说明:

升级兼容转换的模板名称前带有@符号,并且升级兼容转换的模板不占用配置规格。

使用实例

# 查看设备上已配置的所有Portal接入模板。

<HUAWEI> display portal-access-profile configuration
-------------------------------------------------------------------------------                                                     
 ID             Portal-access-profile Name                                                                                          
-------------------------------------------------------------------------------                                                     
 0              portal_access_profile                                                                                               
 1              p1                                                                                                                  
 2              p2                                                                                                                  
-------------------------------------------------------------------------------                                                     
 Total: 3 printed: 3.
表13-71  display portal-access-profile configuration输出信息描述

项目

描述

ID

Portal接入模板ID。

Portal-access-profile Name

Portal接入模板名称。

# 查看Portal接入模板“p1”的配置信息。

<HUAWEI> display portal-access-profile configuration name p1
  Profile name                      : p1
  Portal timer offline-detect length: 300
  Service-scheme name               : -
  Ucl-group name                    : -
  Re-auth                           : Disable
  Network IP Num                    : 1
  Network IP List                   : 10.1.1.0 255.255.255.0
  Web-auth-server Name              : abc
  Layer                             : Layer two portal
  Bound authentication profile      : p1
表13-72  display portal-access-profile configuration name输出信息描述

项目

描述

Profile name

Portal接入模板名称。

Portal timer offline-detect length

Portal认证用户的下线探测周期。

相关命令请参见portal timer offline-detect

Service-scheme name

Portal服务器Down时,通过业务方案为用户授予的网络访问权限。

相关命令请参见authentication event portal-server-down action authorize

Ucl-group name

Portal服务器Down时,通过UCL组为用户授予的网络访问权限。

相关命令请参见authentication event portal-server-down action authorize

Re-auth

Portal服务器状态由Down转变为Up时,设备对用户进行重认证的功能是否打开。

  • Enable
  • Disable

相关命令请参见authentication event portal-server-up action re-authen

Network IP Num

Portal认证的源认证网段个数。

相关命令请参见portal auth-network

Network IP List

Portal认证的源认证网段。

相关命令请参见portal auth-network

Web-auth-server Name

Portal接入模板使用的Portal服务器模板。

相关命令请参见web-auth-server(Portal接入模板视图)

Layer

Portal认证方式。

  • Layer two portal:二层Portal认证。
  • Layer three portal:三层Portal认证。

相关命令请参见web-auth-server(Portal接入模板视图)

Bound authentication profile

Portal接入模板绑定的认证模板。

相关命令请参见portal-access-profile(认证模板视图)

display portal quiet-user

命令功能

display portal quiet-user命令用来查看Portal认证静默用户信息。

命令格式

display portal quiet-user { all | user-ip ip-address | server-ip ip-address }

参数说明

参数 参数说明 取值
all

显示所有的Portal认证静默用户信息。

-

user-ip ip-address

显示指定IP地址的Portal认证静默用户信息。

点分十进制格式。

server-ip ip-address

显示指定IP地址的Portal认证服务器下的所有静默用户信息。

点分十进制格式。

视图

所有视图

缺省级别

1:监控级

使用指南

在使能Portal认证静默功能后,可执行此命令查看Portal认证静默用户信息。

使用实例

# 查看所有的Portal认证静默用户信息。

<HUAWEI> display portal quiet-user all
Quiet IP information
-------------------------------------------------------------------------------------
Quiet ip                                                    Quiet Remain Time(Sec)
------------------------------------------------------------------------------------
192.168.1.1                                                   10
192.168.1.2                                                   20
------------------------------------------------------------------------------------
2 quiet IP found, 2 printed.

# 显示IP地址为192.168.2.1的Portal认证服务器下的所有静默用户信息。

<HUAWEI> display portal quiet-user server-ip 192.168.2.1
Quiet IP information
-------------------------------------------------------------------------------------
Quiet ip                                                    Quiet Remain Time(Sec)
------------------------------------------------------------------------------------
192.168.1.3                                                   10
192.168.1.4                                                   20
------------------------------------------------------------------------------------
2 quiet IP found, 2 printed.

# 查看IP地址为192.168.1.1的静默用户的信息。

<HUAWEI> display portal quiet-user user-ip 192.168.1.1
 Quiet remain second     100
表13-73  display portal quiet-user命令显示信息说明

项目

描述

Quiet IP information

静默用户的信息。

Quiet ip

静默用户的IP地址。

Quiet Remain Time(Sec)

静默用户剩余静默时间,单位:秒。

Quiet remain second

静默用户剩余静默时间。

display portal url-encode configuration

命令功能

display portal url-encode configuration命令用来查看URL编解码功能的配置信息。

命令格式

display portal url-encode configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

在配置完成URL编解码功能后,可使用命令display portal url-encode configuration查看URL编解码功能的是否开启。

使用实例

# 查看URL编解码功能的配置信息。

<HUAWEI> display portal url-encode configuration
  Portal URL Encode : Disable
表13-74  display portal url-encode configuration命令显示信息说明

项目

描述

Portal URL Encode

URL编解码功能的是否开启,包括:
  • Disable:关闭。
  • Enable:打开。

相关命令请参见portal url-encode enable

display portal user-logout

命令功能

display portal user-logout命令用来查看Portal认证用户的下线临时表项信息。

命令格式

display portal user-logout [ ip-address ip-address [ vpn-instance vpn-instance-name ] ]

参数说明

参数

参数说明

取值

ip-address ip-address

查看指定IP地址的Portal认证用户的下线临时表项信息。

点分十进制格式。

vpn-instance vpn-instance-name

查看指定VPN实例的Portal认证用户的下线临时表项信息。

必须是已存在的VPN实例名称。

视图

所有视图

缺省级别

1:监控级

使用指南

Portal认证用户下线后,设备向Portal服务器发送下线请求报文,如果设备没有收到Portal服务器回应的ACK报文,会记录该下线用户的临时表项信息。通过命令display portal user-logout,可以查看Portal认证用户的下线临时表项。

如果不指定参数ip-address ip-address [ vpn-instance vpn-instance-name ],则显示所有Portal认证用户的下线临时表项信息。

使用实例

# 查看所有Portal认证用户的下线临时表项信息。

<HUAWEI> display portal user-logout
 --------------------------------------------------------------                                                                     
 UserIP           Vrf      Resend Times TableID                                                                                     
 --------------------------------------------------------------                                                                     
 192.168.111.100  1        3            0                                                                                           
 --------------------------------------------------------------                                                                     
 Total: 1, printed: 1
表13-75  display portal user-logout命令输出信息描述

项目

描述

UserIP

Portal认证用户的IP地址。

Vrf

Portal认证用户所属的VPN实例。

Resend Times

下线报文的重传次数。

相关命令请参见portal logout resend timeout

TableID

下线临时表项的索引值。

Total: m, printed: n

下线临时表项的总数目m和打印出的表项数目n

display server-detect state

命令功能

display server-detect state命令用来查看Portal服务器状态信息。

命令格式

display server-detect state [ web-auth-server server-name ]

参数说明

参数 参数说明 取值
web-auth-server server-name 显示指定Portal服务器模板下配置的Portal服务器状态信息。

若不指定该参数,则显示配置的所有Portal服务器状态信息。

必须是已存在的Portal服务器模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

使用Portal认证时,可使用命令display server-detect state查看Portal服务器的状态信息。

使用实例

# 查看Portal服务器模板“abc”下配置的Portal服务器状态信息。

<HUAWEI> display server-detect state web-auth-server abc
  Web-auth-server     :    abc                      
  Total-servers       :    4                                                    
  Live-servers        :    1                                                    
  Critical-num        :    0                                                    
  Status              :    Normal                                               
  Ip-address               Status                                               
  192.168.2.1              UP                                                   
  192.168.2.2              DOWN                                                 
  192.168.2.3              DOWN                                                 
  192.168.2.4              DOWN  
表13-76  display server-detect state命令显示信息说明

项目

描述

Web-auth-server

Portal服务器模板名称。

Total-servers

配置的Portal服务器数目。

Live-servers

状态为UP的Portal服务器数目。

Critical-num

状态为UP的服务器最小数目,少于该值则使能设备针对对应Portal服务器模板的逃生功能。

Status

Portal服务器状态,分为:
  • Normal:正常状态。当UP的服务器数大于Critical-num值时,Status显示为Normal。未在Portal服务器模板下执行命令server-ip server-ip-address &<1-10>配置指向Portal服务器的IP地址时,Status显示为Normal。
  • Abnormal:异常状态。当UP的服务器数小于等于Critical-num时,Status显示为Abnormal。

Ip-address

服务器IP地址。

Status

服务器IP地址指定的Portal服务器是否可达,分为:
  • UP:可达。
  • DOWN:不可达。

display static-user

命令功能

display static-user命令用来查看静态用户的信息。

命令格式

display static-user [ domain-name domain-name | interface interface-type interface-number | ip-address start-ip-address [ end-ip-address ] | vpn-instance vpn-instance-name ] * [ detail ]

参数说明

参数

参数说明

取值

domain-name domain-name

显示指定域下的静态用户信息。

必须是设备上已存在的域名称。

interface interface-type interface-number

显示指定接口下的静态用户信息。其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

ip-address start-ip-address [ end-ip-address ]

显示指定IP地址范围的静态用户信息。

点分十进制格式。

vpn-instance vpn-instance-name

显示接入指定VPN实例的静态用户信息。

必须是设备上已存在的VPN实例名称。

detail

显示静态用户的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

在配置完成静态用户信息后,可使用命令display static-user查看配置的信息。

使用实例

# 查看配置的所有静态用户的信息。

<HUAWEI> display static-user
 IP-address       Interface       MAC-address    VPN
-------------------------------------------------------------------------------
 10.1.1.6         GE1/0/1         0001-0001-0001 -
 10.1.1.7         GE1/0/1         0001-0001-0001 -
 10.1.1.8         GE1/0/1         0001-0001-0001 -
 10.1.1.10        -               0002-0002-0002 -
 10.1.1.11        -               0002-0002-0002 -
 10.1.1.12        -               0002-0002-0002 -
-------------------------------------------------------------------------------
Total item(s) number= 6, displayed number= 6 

Ip-static-user enable status:
-------------------------------------------------------------------------------
 Vlanif10 : success
------------------------------------------------------------------------------- 
Total item(s) number= 1, displayed number= 1 

# 查看配置的所有静态用户的详细信息。

<HUAWEI> display static-user detail
------------------------------------------------------------------------------- 
  IP address                            : 10.1.1.2
  IP static user                        : Yes                            
  Vpn-instance                          : -                                     
  Domain-name                           : local                                 
  Interface                             : -                                     
  MAC address                           : -                                     
  VLAN                                  : 0                                     
  Detect                                : Disable                               
  Keep-online                           : Disable                               
------------------------------------------------------------------------------- 
  IP address                            : 10.1.1.4
  IP static user                        : Yes                                                           
  Vpn-instance                          : -                                     
  Domain-name                           : -                                     
  Interface                             : -                                     
  MAC address                           : -                                     
  VLAN                                  : 0                                     
  Detect                                : Disable                               
  Keep-online                           : Enable                                
------------------------------------------------------------------------------- 
Total item(s) number= 2, displayed number= 2                                    
                                                                                
Ip-static-user enable status:                                                   
------------------------------------------------------------------------------- 
------------------------------------------------------------------------------- 
Total item(s) number= 0, displayed number= 0                      
表13-77  display static-user命令显示信息说明

项目

描述

IP-address/IP address

静态用户的IP地址。

Interface

静态用户的接入的接口。

MAC-address/MAC address

静态用户的MAC地址。

VPN/Vpn-instance

静态用户接入的VPN实例。

Total item(s) number= m, displayed number= n

表项总数为m,显示的表项数为n

Ip-static-user enable status

通过IP地址标记静态用户功能的开启状态。

相关命令请参见ip-static-user enable

if-n : success

接口if-n上使能了通过IP地址标记静态用户的功能。

IP static user 是否为静态用户。
  • Yes:是
  • No:否
Domain-name 静态用户所属的域。
VLAN 静态用户所属的VLAN。
Detect 是否允许设备主动发送ARP报文触发未上线静态用户进行认证。
  • Enable:是
  • Disable:否
Keep-online 是否指定静态用户保持一直在线,不对其进行下线探测。
  • Enable:是
  • Disable:否

display ucl-group all

命令功能

display ucl-group all命令用来查看创建的所有UCL组信息。

命令格式

display ucl-group all

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用命令ucl-group创建了UCL组后,可使用本命令查看创建的UCL组信息。

使用实例

# 查看所有UCL组配置信息。
<HUAWEI> display ucl-group all
ID       UCL group name                                                         
--------------------------------------------------------------------------------
10       huawei                                                                 
--------------------------------------------------------------------------------
Total : 1    
表13-78  display ucl-group all输出信息描述

项目

描述

ID UCL组索引。
UCL group name UCL组名称。

display ucl-group ip

命令功能

display ucl-group ip命令用来查看静态UCL组的IP地址信息。

命令格式

display ucl-group ip ip-address { mask-length | ip-mask }

display ucl-group ip { group-index | name group-name | static | local-access-user | all } [ verbose ]

参数说明

参数

参数说明

取值

ip-address

显示指定IP地址的静态UCL组信息。

已存在的UCL组的IP地址。

mask-length

指定IP地址掩码长度。

已存在的UCL组的IP地址掩码长度。

ip-mask

指定IP地址掩码。

已存在的UCL组的IP地址掩码。

group-index

显示指定索引的静态UCL组信息。

已存在的UCL组的索引。

name group-name

显示指定名称的静态UCL组信息。

已存在的UCL组的名称。

static

显示静态UCL组信息。

-

local-access-user

显示用户上线授权动态生成的UCL组信息。

-

all

显示所有静态UCL组信息。

-

verbose

显示静态UCL组的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

设备上可查询的UCL组的IP地址信息包括手动添加(通过命令ucl-group ip)和用户上线授权动态生成的。用户上线授权动态生成是指在用户上线成功被授权某个UCL组时将用户的IP(32为掩码)添加到对应的UCL组,用户下线或IP更改时从对应组中删除相应IP地址。