所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
用户接入与认证升级兼容命令

用户接入与认证升级兼容命令

AAA升级兼容命令

adminuser-priority(升级兼容命令)

命令功能

adminuser-priority命令用来指定用户可以作为管理员登录设备,并配置登录时的管理员级别。

命令格式

adminuser-priority level

参数说明

参数 参数说明 取值
level 管理员级别。 整数形式,取值范围是0~15。不同级别的用户登录后,只能使用等于或低于自己级别的命令。

视图

业务方案视图

缺省级别

3:管理级

使用指南

该命令是升级兼容命令,仅在配置恢复阶段可以执行,用户不能手动配置。

该命令功能等同于admin-user privilege level level命令。

authentication-super(升级兼容命令)

命令功能

authentication-super命令用来配置当前认证模板对用户提升级别进行认证时采用的认证模式。

undo authentication-super命令用来恢复用户级别提升时采用的认证模式为缺省值。

缺省情况下,用户提升级别时认证模式为super,即本地认证模式。

命令格式

authentication-super { hwtacacs | radius | super } * [ none ]

authentication-super none

undo authentication-super

参数说明

参数

参数说明

取值

hwtacacs

采用HWTACACS模式对用户提升级别进行认证。

-

radius

采用RADIUS模式对用户级别提升进行认证。

-

super

采用本地认证的模式对用户提升级别进行认证。

-

none

无需进行认证,即直接让用户更改用户级别。

-

视图

认证方案视图

缺省级别

3:管理级

使用指南

该命令是升级兼容命令,仅在配置恢复阶段可以执行,用户不能手动配置。

hwtacacs-server shared-key(升级兼容命令)

命令功能

hwtacacs-server shared-key命令用来配置HWTACACS服务器共享密钥。

undo hwtacacs-server shared-key命令用来删除HWTACACS服务器共享密钥。

缺省情况下,没有配置HWTACACS服务器共享密钥。

命令格式

hwtacacs-server shared-key simple key-string

undo hwtacacs-server shared-key

参数说明

参数

参数说明

取值

simple

指定以明文形式显示共享密钥。

-

key-string

指定HWTACACS服务器的共享密钥。

字符串形式,明文共享密钥长度范围是1~255,密文共享密钥长度范围是20~392

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

该命令是升级兼容命令,仅在配置恢复阶段可以执行,用户不能手动配置。

该命令功能等同于hwtacacs-server shared-key [ cipher ] key-string命令。

local-user(升级兼容命令)

命令功能

local-user命令用来创建本地用户,并配置本地用户的各项参数。

缺省情况下,系统中存在一个名称为“admin”的本地用户,该用户的密码为“admin@huawei.com”,优先级为15,服务类型为http。

命令格式

local-user user-name password { key-string [ old-password password ] | simple simple-string } [ access-limit max-number | idle-timeout minutes [ seconds ] | state { block | active } ] *

参数说明

参数

参数说明

取值

user-name

指定本地用户的用户名。

如果用户名中带域名分隔符,如@,则认为@前面的部分是用户名,后面部分是域名。如果没有@,则整个字符串为用户名,域为默认域。

字符串形式,长度范围是1~64,不支持空格、星号、双引号和问号。
说明:

本地认证或授权时,通过命令authentication-mode { local | local-case }或命令authorization-mode { local | local-case },配置用户名是否区分大小写。当选择参数local时,用户名不区分大小写;当选择参数local-case时,用户名区分大小写。

配置用户名区分大小写时,请注意以下几点:

  • 仅用户名区分大小写,域名不区分大小写。
  • 出于用户安全考虑,不能配置只有大小写差异无其他字符差异的多个本地用户。例如,配置了ABC之后,不能再配置Abc、abc等。
  • 设备由V200R011C10及之前版本升级到新版本时,老版本配置文件中的本地用户名全部按照小写处理;由手工或者第三方工具生成的配置文件,对于仅有大小写差异的本地用户名,按照统一用户进行配置恢复,用户名取排序在前的一个。

password key-string

指定本地用户登录密码。

如果是创建新用户,建议在创建用户的同时设置口令。

字符串类型,不允许有空格,区分大小写,长度为1~256

old-password password

指定本地用户旧登录密码。
说明:

命令无法联想,需要完整输入才能执行。该命令功能应由网络管理员在网管上进行配置,然后下发到设备,不建议直接在设备上使用该参数。

取值为该本地用户本次登录时使用的密码。

password simple simple-string

指定本地用户登录密码。

如果是创建新用户,建议在创建用户的同时设置口令。

字符串类型,不允许有空格,区分大小写,长度为1~256

access-limit max-number

指定用户名可建立的最大连接数目。

如果未指定该参数,则不限制指定用户名可建立的连接数目。

整数形式,取值由单板的类型和数量决定。

idle-timeout minutes [ seconds ]

指定用户界面的超时时间。其中:

  • minutes为用户界面断连的超时时间的分钟数。
  • seconds为用户界面断连的超时时间的秒数。

如果未指定该参数,则采用用户界面视图下通过命令idle-timeout配置的用户级别。

设置minutes [ seconds ]为0 0,即关闭闲置切断功能。

整数形式,minutes的取值范围是0~35791,单位是分钟;seconds的取值范围是0~59,单位是秒。

state { active | block }

指定本地用户的状态。其中:

  • active为激活态。
  • block为阻塞态。

若某用户已经与设备建立连接,此时设置该用户状态为阻塞态,不会对已经建立的连接产生影响,但设备会拒绝该用户以后的接入认证请求。

如果未指定该参数,本地用户的状态为激活态。

-

视图

AAA视图

缺省级别

3:管理级

使用指南

该命令是升级兼容命令,仅在配置恢复阶段可以执行,用户不能手动配置。

该命令功能等同于命令local-user user-name { password { cipher | irreversible-cipher } password | access-limit max-number | ftp-directory directory | idle-timeout minutes [ seconds ] | privilege level level | state { block | active } } *

local-user level(升级兼容命令)

命令功能

local-user level命令用来配置本地用户的优先级。

命令格式

local-user user-name level level

参数说明

参数

参数说明

取值

user-name

用户名。

字符串形式,不支持空格,不区分大小写,长度范围是1~64。

level

用户的优先级。

整数形式,取值范围是0~15,取值越大,用户的优先级越高。

不同级别的用户登录后,只能使用等于或低于自己级别的命令。

视图

AAA视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅在配置恢复阶段可以执行,用户不能手动配置。

该命令功能等同于local-user user-name privilege level level命令。

radius-server accounting(升级兼容命令)

命令功能

radius-server accounting命令用来配置RADIUS计费服务器。

undo radius-server accounting命令用来删除RADIUS计费服务器的相关配置。

缺省情况下,未配置RADIUS计费服务器。

命令格式

radius-server accounting ipv4-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address } | weight weight-value ] * secondary

radius-server accounting ipv6-address port [ source { loopback interface-number | ip-address ipv6-address } | weight weight-value ] * secondary

undo radius-server accounting secondary

undo radius-server accounting ipv4-address port source { loopback | ip-address ipv4-address } secondary

undo radius-server accounting ipv6-address port source { loopback | ip-address ipv6-address } secondary

参数说明

参数

参数说明

取值

ipv4-address

指定RADIUS计费服务器的IPv4地址。

点分十进制格式。必须是合法的单播地址。

ipv6-address

指定RADIUS计费服务器的IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

port

指定服务器的端口号。

整数形式,取值范围是1~65535。

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

必须是已存在的VPN实例名称。

source loopback interface-number

指定Loopback接口的编号。

必须是已存在的Loopback接口。

source ip-address ipv4-address

指定计费服务器的源IPv4地址。

点分十进制格式,必须是合法的单播地址。

source ip-address ipv6-address

指定计费服务器的源IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

weight weight-value

指定计费服务器的权重值。

整数形式,取值范围是0~100。

secondary

指定配置的计费服务器为备用计费服务器。若不配置该参数,则是对主用计费服务器进行配置。

-

视图

RADIUS服务器模板视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅在配置恢复阶段可以执行,用户不能手动配置。

该命令功能等同于radius-server accounting ipv4-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address } | weight weight-value ] *或命令radius-server accounting ipv6-address port [ source { loopback interface-number | ip-address ipv6-address } | weight weight-value ] *命令。

radius-server authentication(升级兼容命令)

命令功能

radius-server authentication命令用来配置RADIUS认证服务器。

undo radius-server authentication命令用来删除RADIUS认证服务器。

缺省情况下,未配置RADIUS认证服务器。

命令格式

radius-server authentication ipv4-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address } | weight weight-value ] * secondary

radius-server authentication ipv6-address port [ source { loopback interface-number | ip-address ipv6-address } | weight weight-value ] * secondary

undo radius-server authentication secondary

undo radius-server authentication ipv4-address port source { loopback | ip-address ipv4-address } secondary

undo radius-server authentication ipv6-address port source { loopback | ip-address ipv6-address } secondary

参数说明

参数

参数说明

取值

ipv4-address

指定RADIUS认证服务器的IPv4地址。

点分十进制格式,必须是合法的单播地址。

ipv6-address

指定RADIUS认证服务器的IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

port

指定RADIUS认证服务器的端口号。

整数形式,取值范围是1~65535。

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

字符串形式,区分大小写,不支持空格,长度范围是1~31。

source loopback interface-number

指定Loopback接口的IP地址作为源IP地址。其中,interface-number表示Loopback接口编号。

整数形式,取值范围是0~1023。

source ip-address ipv4-address

指定IPv4地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IPv4地址。

如果没有配置此参数,则使用出接口的IPv4地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IPv4地址。

点分十进制格式,必须是合法的单播地址。

source ip-address ipv6-address

指定IPv6地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IPv6地址。

如果没有配置此参数,则使用出接口的IPv6地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

weight weight-value

指定RADIUS认证服务器的权重值。

整数形式,取值范围是0~100。

secondary

指定配置的认证服务器为备用认证服务器。若不配置该参数,则是对主用认证服务器进行配置。

-

视图

RADIUS服务器模板视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于命令radius-server authentication ipv4-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address } | weight weight-value ] *或命令radius-server authentication ipv6-address port [ source { loopback interface-number | ip-address ipv6-address } | weight weight-value ] *

radius-server authorization(升级兼容命令)

命令功能

radius-server authorization命令用来配置RADIUS授权服务器。

undo radius-server authorization命令用来删除已配置的RADIUS授权服务器。

缺省情况下,未配置RADIUS授权服务器。

命令格式

radius-server authorization ip-address [ vpn-instance vpn-instance-name ] { server-group group-name | shared-key { key-string | simple simple-string } } * [ ack-reserved-interval interval ]

undo radius-server authorization ip-address [ vpn-instance vpn-instance-name ]

参数说明

参数

参数说明

取值

ip-address

指定授权服务器的IP地址。

点分十进制格式,必须是合法的单播地址。

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

字符串形式,区分大小写,不支持空格,长度范围是1~31。

server-group group-name

指定RADIUS授权服务器对应的RADIUS服务器模板名称。

字符串形式,不支持空格,区分大小写,长度范围是1~32。

shared-key key-string

指定密文形式的共享密钥。

字符串形式,可以是32位的密文密码,如:%$%$m^NF$L^SO%2@^y$T`^1'|lcZ%$%$;也可以是长度范围是1~16的明文形式,如:1234567。

shared-key simple simple-string

指定明文形式的共享密钥。

字符串类型,不支持空格,区分大小写,长度为1~16。缺省情况下,共享密钥转化为密文密钥。

ack-reserved-interval interval 指定授权回应报文的保留时长。

整数形式,取值范围是0~300,单位为秒。缺省值为0秒。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于命令radius-server authorization

radius-server shared-key(升级兼容命令)

命令功能

radius-server shared-key命令用来配置RADIUS服务器的共享密钥。

缺省情况下,RADIUS共享密钥是huawei,采用密文形式显示用户口令。

命令格式

radius-server shared-key { key-string | simple simple-string }

参数说明

参数

参数说明

取值

key-string

指定密文共享密钥。

字符串形式,不支持空格、单引号和问号,区分大小写,长度为1~256

simple simple-string 指定明文共享密钥。

字符串类型,不允许有空格,区分大小写,长度为1~16。

视图

RADIUS服务器模板视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于命令radius-server shared-key cipher key-string

radius-server testuser(升级兼容命令)

命令功能

radius-server testuser命令用来创建基于RADIUS模板的自动探测用户。

undo radius-server testuser命令用来删除基于RADIUS模板的自动探测用户。

缺省情况下,未创建基于RADIUS模板的自动探测用户。

命令格式

radius-server testuser username username password password

undo radius-server testuser

参数说明

参数

参数说明

取值

username username

探测用户名。

字符串形式,不支持空格,不区分大小写,长度范围是1~64。

password password

探测用户密码。

字符串形式,不支持空格、单引号和问号,区分大小写,长度范围是1~16。若为密文形式用户口令,长度是32。

视图

RADIUS模板视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于命令radius-server testuser username username password cipher password

radius-server test-user(升级兼容命令)

命令功能

radius-server test-user命令用来创建基于RADIUS模板的自动探测用户。

undo radius-server test-user命令用来删除基于RADIUS模板的自动探测用户。

缺省情况下,未创建基于RADIUS模板的自动探测用户。

命令格式

radius-server test-user username password

undo radius-server test-user

参数说明

参数

参数说明

取值

username

探测用户名。

字符串形式,不支持空格,不区分大小写,长度范围是1~64。

password

探测用户密码。

字符串形式,不支持空格、单引号和问号,区分大小写,长度范围是1~16。若为密文形式用户口令,长度是32。

视图

RADIUS服务器模板视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于命令radius-server testuser username username password cipher password

radius-server test-user detect interval(升级兼容命令)

命令功能

radius-server test-user detect interval命令用来配置自动探测用户的时间间隔。

命令格式

radius-server test-user detect interval interval-time

参数说明

参数

参数说明

取值

interval-time

指定自动探测用户的时间间隔。

整数形式,取值范围为5~3600。单位:秒。

视图

RADIUS模板视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于命令radius-server detect-server interval interval interval

radius-server user-name domain-included force(升级兼容命令)

命令功能

radius-server user-name domain-included force命令用来配置设备向RADIUS服务器发送的报文中的用户名包含域名。

命令格式

radius-server user-name domain-included force

参数说明

视图

RADIUS服务器模板视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于命令radius-server user-name domain-included

NAC升级兼容命令

authentication arp handshake(升级兼容命令)

命令功能

authentication arp handshake命令用来使能设备与预连接用户以及已授权用户之间进行握手功能。

undo authentication arp handshake命令用来去使能设备与预连接用户以及已授权用户之间进行握手功能。

缺省情况下,已使能设备与预连接用户以及已授权用户之间进行握手功能。

命令格式

authentication arp handshake

undo authentication arp handshake

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令undo authentication handshake

authentication handshake(升级兼容命令)

命令功能

authentication handshake命令用来使能设备与预连接用户以及已授权用户之间进行握手功能。

undo authentication handshake命令用来去使能设备与预连接用户以及已授权用户之间进行握手功能。

缺省情况下,已使能设备与预连接用户以及已授权用户之间进行握手功能。

命令格式

authentication handshake

undo authentication handshake

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication handshake

authentication event action authorize(升级兼容命令)

命令功能

authentication event action authorize命令用来配置用户在认证成功前各阶段的网络访问策略。

undo authentication event action authorize命令用来删除配置的网络访问策略。

缺省情况下,未配置用户在认证成功前各阶段的网络访问策略。

命令格式

authentication event pre-authen action authorize service-scheme service-scheme

undo authentication event pre-authen action authorize

authentication event { authen-fail | authen-server-down } action authorize service-scheme service-scheme [ response-fail ]

undo authentication event { authen-fail | authen-server-down } action authorize

参数说明

参数 参数说明 取值
pre-authen

指定用户与设备建立起预连接时,为用户授予网络访问策略。

-

authen-fail

指定当认证服务器向设备回应认证失败报文时,为用户授予网络访问策略。

-

authen-server-down

指定当认证服务器Down而导致用户认证失败时,为用户授予网络访问策略。

-

response-fail

指定为用户授权网络访问策略后,向用户回应认证失败报文。

若不选择该参数,设备默认会向用户回应认证成功报文,这使得用户无法感知自身认证失败的事实。针对这种情况,如果认证失败用户在获取网络访问策略后需要了解自身的认证状态,可配置向用户回应认证失败报文。

-

service-scheme service-scheme

指定为用户授权网络访问策略的业务方案名称。

字符串形式,区分大小写,长度范围是1~32,不支持空格,且不能包含双引号内字符“\ / : < > | @ ' % * " ?”。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication event pre-authen action authorize service-scheme scheme-nameauthentication event { authen-fail | authen-server-down } action authorize service-scheme service-scheme [ response-fail ]。

authentication event authen-server-up action re-authen(升级兼容命令)

命令功能

authentication event authen-server-up action re-authen命令用来使能当认证服务器状态由Down转变为Up时,对用户进行重认证。

undo authentication event authen-server-up action re-authen命令用来恢复缺省配置。

缺省情况下,当认证服务器由Down转变为Up时,设备不会对用户进行重新认证。

命令格式

authentication event authen-server-up action re-authen

undo authentication event authen-server-up action re-authen

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication event authen-server-up action re-authen

authentication event client-no-response action authorize(升级兼容命令)

命令功能

authentication event client-no-response action authorize命令用来配置用户在802.1X客户端无响应时的网络访问策略。

undo authentication event client-no-response action authorize命令用来删除已配置的网络访问策略。

缺省情况下,未配置用户在802.1X客户端无响应时的网络访问策略。

命令格式

authentication event client-no-response action authorize service-scheme service-scheme

undo authentication event client-no-response action authorize

参数说明

参数 参数说明 取值
service-scheme service-scheme

指定为用户授权网络访问策略的业务方案名称。

字符串形式,区分大小写,长度范围是1~32,不支持空格,且不能包含双引号内字符“\ / : < > | @ ' % * " ?”。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令authentication event client-no-response action authorize service-scheme service-scheme

authentication event portal-server-down action authorize(升级兼容命令)

命令功能

authentication event portal-server-down action authorize命令用来配置用户在Portal服务器Down时的网络访问策略。

undo authentication event portal-server-down action authorize命令用来删除已配置的网络访问策略。

缺省情况下,未配置用户在Portal服务器Down时的网络访问策略。

命令格式

authentication event portal-server-down action authorize service-scheme service-scheme

undo authentication event portal-server-down action authorize

参数说明

参数 参数说明 取值
service-scheme service-scheme

指定为用户授权网络访问策略的业务方案名称。

字符串形式,区分大小写,长度范围是1~32,不支持空格,且不能包含双引号内字符“\ / : < > | @ ' % * " ?”。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于Portal接入模板视图下的命令authentication event portal-server-down action authorize service-scheme service-scheme

authentication event portal-server-up action re-authen(升级兼容命令)

命令功能

authentication event portal-server-up action re-authen命令用来使能当Portal服务器状态由Down转变为Up时,对用户进行重认证。

undo authentication event portal-server-up action re-authen命令用来恢复缺省配置。

缺省情况下,当Portal服务器由Down转变为Up时,设备不会对用户进行重新认证。

命令格式

authentication event portal-server-up action re-authen

undo authentication event portal-server-up action re-authen

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于Portal接入模板视图下的命令authentication event portal-server-up action re-authen

authentication timer arp handshake-period(升级兼容命令)

命令功能

authentication timer arp handshake-period命令用来配置设备与预连接用户以及已授权用户之间的握手周期。

undo authentication timer arp命令用来恢复缺省配置。

缺省情况下,设备与预连接用户以及已授权用户之间的握手周期为300秒。

命令格式

authentication timer arp handshake-period handshake-period

undo authentication timer arp

参数说明

参数

参数说明

取值

handshake-period

指定握手周期。

整数形式,取值范围是5~7200,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication timer handshake-period handshake-period

authentication timer handshake-period(升级兼容命令)

命令功能

authentication timer handshake-period命令用来配置设备与预连接用户以及已授权用户之间的握手周期。

undo authentication timer handshake-period命令用来恢复缺省配置。

缺省情况下,设备与预连接用户以及已授权用户之间的握手周期为300秒。

命令格式

authentication timer handshake-period handshake-period

undo authentication timer handshake-period

参数说明

参数

参数说明

取值

handshake-period

指定握手周期。

整数形式,取值范围是5~7200,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication timer handshake-period handshake-period

authentication timer authen-fail-user-aging(升级兼容命令)

命令功能

authentication timer authen-fail-user-aging命令用来配置认证失败用户表项的老化时间。

undo authentication timer authen-fail-user-aging命令用来恢复认证失败用户表项的老化时间为缺省值。

缺省情况下,认证失败用户表项的老化时间是23小时。

命令格式

authentication timer authen-fail-user-aging aging-time

undo authentication timer authen-fail-user-aging

参数说明

参数 参数说明 取值
aging-time

指定老化时间。

在用户老化时间到达时,若用户一直没能认证成功,则用户表项将被删除。

整数形式,取值范围是0或60~4294860,单位是秒。

0表示表项不老化。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication timer authen-fail-aging aging-time

authentication timer pre-authen-user-aging(升级兼容命令)

命令功能

authentication timer pre-authen-user-aging命令用来配置预连接用户表项的老化时间。

undo authentication timer pre-authen-user-aging命令用来恢复预连接用户表项老化时间为缺省值。

缺省情况下,预连接用户表项的老化时间为23小时。

命令格式

authentication timer pre-authen-user-aging aging-time

undo authentication timer pre-authen-user-aging

参数说明

参数 参数说明 取值
aging-time

指定老化时间。

在用户老化时间到达时,若用户一直没能认证成功,则用户表项将被删除。

整数形式,取值范围是0或60~4294860,单位是秒。

0表示表项不老化。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication timer pre-authen-aging aging-time

authentication timer re-authen(升级兼容命令)

命令功能

authentication timer re-authen命令用来配置对预连接用户或认证失败用户进行重认证的周期。

undo authentication timer re-authen命令用来恢复缺省配置。

缺省情况下,对预连接用户或认证失败用户进行重认证的周期为60秒。

命令格式

authentication timer re-authen { pre-authen re-authen-time | authen-fail re-authen-time }

undo authentication timer re-authen { pre-authen | authen-fail }

参数说明

参数 参数说明 取值
pre-authen re-authen-time

指定对预连接用户进行重认证的周期。

整数形式,取值范围是0或30~7200,单位是秒。

0表示关闭预连接用户的重认证功能。

authen-fail re-authen-time

指定对认证失败用户进行重认证的周期。

整数形式,取值范围是30~7200,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication timer re-authen { pre-authen re-authen-time | authen-fail re-authen-time }。

authentication device-type voice authorize(升级兼容命令)

命令功能

authentication device-type voice authorize命令用来使能语音终端不认证即上线功能。

undo authentication device-type voice authorize命令用来去使能语音终端不认证即上线功能。

缺省情况下,未使能语音终端不认证即上线功能。

命令格式

authentication device-type voice authorize [ service-scheme scheme-name ]

undo authentication device-type voice authorize [ service-scheme ]

参数说明

参数

参数说明

取值

service-scheme

指定通过业务方案为语音终端授权网络访问权限。

-

scheme-name

指定为语音终端授权网络访问权限的业务方案名称。

必须是已存在的业务方案名称。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication device-type voice authorize service-scheme scheme-name

authentication free-rule(升级兼容命令)

命令功能

authentication free-rule命令用来配置NAC认证用户的免认证规则。

undo authentication free-rule命令用来恢复缺省配置。

缺省情况下,未配置NAC认证用户的免认证规则。

命令格式

authentication free-rule rule-id { destination { any | ip { ip-address mask { mask-length | ip-mask } [ tcp destination-port port | udp destination-port port ] | any } } | source { any | { interface interface-type interface-number | ip { ip-address mask { mask-length | ip-mask } | any } | vlan vlan-id } * } } *

undo authentication free-rule { rule-id | all }

参数说明

参数 参数说明 取值
rule-id

指定NAC认证用户免认证规则的序号。

整数形式,取值范围根据产品形态不同而不同。

destination

指定NAC认证用户可以免认证访问的目的网络资源。

-

source

指定特定源信息的NAC认证用户免认证。

-

any

任何条件。与不同的关键字组合,具有不同的影响范围。

-

ip ip-address

指定IP地址,与不同的关键字组合,可以是指源地址或目的地址。

点分十进制格式。

mask mask-length

指定IP地址掩码长度,与不同的关键字组合,可以是指源地址掩码或目的地址掩码。

整数形式,取值范围是1~32。

mask ip-mask

指定IP掩码,与不同的关键字组合,可以是指源地址掩码或目的地址掩码。

点分十进制格式。

tcp destination-port port

指定TCP目的端口号。

整数形式,取值范围是1~65535。

udp destination-port port

指定UDP目的端口号。

整数形式,取值范围是1~65535。

interface interface-type interface-number

指定规则中的源接口。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

vlan vlan-id

指定规则中源报文的VLAN。

整数形式,取值范围是1~4094。

all

指定所有规则。

-

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于免认证规则模板视图下的命令free-rule rule-id { destination { any | ip { ip-address mask { mask-length | ip-mask } [ tcp destination-port port | udp destination-port port ] | any } } | source { any | { interface interface-type interface-number | ip { ip-address mask { mask-length | ip-mask } | any } | vlan vlan-id } * } } *

authentication max-user(升级兼容命令)

命令功能

authentication max-user命令用来配置某VAP模板允许认证通过的最大用户数。

undo authentication max-user命令用来恢复缺省配置。

缺省情况下,VAP模板允许认证通过的最大用户数为128个。

命令格式

authentication max-user max-user-number

undo authentication max-user

参数说明

参数

参数说明

取值

max-user-number

指定最大用户数。

整数形式,取值范围是1~128

视图

认证模板视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication wlan-max-user max-user-number

authentication mode(升级兼容命令)

命令功能

authentication mode命令用来配置用户接入模式。

undo authentication mode命令用来恢复用户接入模式为缺省配置。

缺省情况下,用户接入模式为multi-authen

命令格式

authentication mode { single-terminal | single-voice-with-data | multi-share | multi-authen [ max-user max-user-number ] }

undo authentication mode [ multi-authen max-user ]

参数说明

参数 参数说明 取值
single-terminal

指定接口仅允许一个用户上线。

-

single-voice-with-data

指定接口仅允许一个数据用户和一个语音用户上线。

该方式用于一个数据用户通过一个语音终端接入网络的场景。

-

multi-share

指定接口允许多个用户上线。

该方式设备仅对第一个用户进行接入认证,若认证成功,则后续用户共享第一个用户的网络访问权限。之后,若第一个用户下线,其他用户也将下线。

-

multi-authen

指定接口允许多个用户上线。

该方式设备对每一个用户都会进行接入认证,若认证成功,授予用户独立的网络访问权限。之后,某一用户下线不会影响其他用户。

-

max-user max-user-number

指定multi-authen模式时,接口允许接入的最大用户数。

整数形式,取值范围根据设备形态不同而不同。

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication mode { single-terminal | single-voice-with-data | multi-share | multi-authen [ max-user max-user-number ] }。

authentication(升级兼容命令)

命令功能

authentication命令用来使能NAC认证功能。

undo authentication命令用来去使能NAC认证功能。

缺省情况下,未使能NAC认证功能。

命令格式

二层接口视图:

authentication { { dot1x | mac-authen } * [ portal ] | portal }

undo authentication { dot1x | mac-authen | portal } *

VLANIF接口视图:

authentication { mac-authen [ portal ] | portal }

undo authentication { mac-authen | portal } *

三层接口视图:

authentication portal

undo authentication portal

参数说明

参数 参数说明 取值
dot1x

指定使能802.1X认证。

-

mac-authen

指定使能MAC认证。

-

portal

指定使能Portal认证。

-

视图

VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令dot1x-access-profile access-profile-namemac-access-profile access-profile-nameportal-access-profile access-profile-name

authentication single-access(升级兼容命令)

命令功能

authentication single-access命令用来使能设备仅允许用户通过一种方式的接入认证。

undo authentication single-access命令用来恢复缺省配置。

缺省情况下,设备允许用户先后通过不同方式的接入认证。

命令格式

authentication single-access

undo authentication single-access

参数说明

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令authentication single-access

authentication trigger-condition dhcp dhcp-option(升级兼容命令)

命令功能

authentication trigger-condition dhcp dhcp-option命令用来使能DHCP报文触发MAC认证时将DHCP选项信息上送到认证服务器。

undo authentication trigger-condition dhcp dhcp-option命令用来恢复缺省配置。

缺省情况下,DHCP报文触发MAC认证时不会将DHCP选项信息上送到认证服务器。

命令格式

authentication trigger-condition dhcp dhcp-option option-code

undo authentication trigger-condition dhcp dhcp-option option-code

参数说明

参数 参数说明 取值
option-code

指定设备上送到认证服务器的Option选项。

整数形式,取值仅支持82。

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于MAC接入模板视图下的命令authentication trigger-condition dhcp dhcp-option option-code

authentication trigger-condition(802.1X认证)(升级兼容命令)

命令功能

authentication trigger-condition命令用来配置允许触发802.1X认证的报文类型。

undo authentication trigger-condition命令用来恢复缺省配置。

缺省情况下,DHCP/ARP报文均能够触发802.1X认证。

命令格式

authentication trigger-condition { dhcp | arp } *

undo authentication trigger-condition [ dhcp | arp ] *

参数说明

参数 参数说明 取值
dhcp

指定通过DHCP报文触发802.1X认证。

-

arp

指定通过ARP报文触发802.1X认证。

-

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令authentication trigger-condition { dhcp | arp } *

authentication trigger-condition(MAC认证)(升级兼容命令)

命令功能

authentication trigger-condition命令用来配置允许触发MAC认证的报文类型。

undo authentication trigger-condition命令用来恢复缺省配置。

缺省情况下,DHCP/ARP/DHCPv6/ND报文均能够触发MAC认证。

命令格式

authentication trigger-condition { dhcp | arp | dhcpv6 | nd } *

undo authentication trigger-condition [ dhcp | arp | dhcpv6 | nd ] *

参数说明

参数 参数说明 取值
dhcp

指定允许通过DHCP报文触发MAC认证。

-

arp

指定允许通过ARP报文触发MAC认证。

-

dhcpv6

指定允许通过DHCPv6报文触发MAC认证。

-

nd

指定允许通过ND报文触发MAC认证。

-

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于MAC接入模板视图下的命令authentication trigger-condition { dhcp | arp | dhcpv6 | nd } *

domain(升级兼容命令)

命令功能

domain命令用来配置用户默认域和强制域。

undo domain命令用来删除已配置的用户默认域和强制域。

缺省情况下,未配置用户默认域和强制域。

命令格式

二层接口视图:

domain name domain-name [ dot1x | mac-authen | portal ] [ force ]

undo domain name domain-name [ dot1x | mac-authen | portal ] [ force ]

VLANIF接口视图:

domain name domain-name [ mac-authen | portal ] [ force ]

undo domain name domain-name [ mac-authen | portal ] [ force ]

三层接口视图:

domain name domain-name [ portal ] [ force ]

undo domain name domain-name [ portal ] [ force ]

系统视图(针对所有接入认证用户):

domain domain-name force [ mac-address mac-address mask mask ]

undo domain domain-name force [ mac-address mac-address ]

系统视图(仅针对MAC认证用户):

domain domain-name mac-authen force

undo domain domain-name mac-authen force

domain name domain-name mac-authen force [ mac-address mac-address mask mask ]

undo domain name domain-name mac-authen force [ mac-address mac-address ]

参数说明

参数

参数说明

取值

name domain-name

指定默认域或强制域名称。

若不指定用户的认证方式,则默认域或强制域对所有的接入认证用户生效。

设备上实际存在的域名。

mac-address mac-address mask mask
指定MAC地址段的MAC认证用户使用的强制域。包括:
  • mac-address mac-address:用户的MAC地址。
  • mask mask:用户的MAC地址掩码。
说明:
最多可指定16个MAC地址段。

MAC地址和掩码的格式均为H-H-H,其中H为1至4位的十六进制数。

dot1x

指定用户的认证方式为802.1X认证。

-

mac-authen

指定用户的认证方式为MAC认证。

-

portal

指定用户的认证方式为Portal认证。

-

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于认证模板视图下的命令access-domain domain-name [ dot1x | mac-authen | portal ]* [ force ]。

dot1x authentication-method(升级兼容命令)

命令功能

dot1x authentication-method命令用来配置802.1X用户的认证方式。

undo dot1x authentication-method命令用来恢复802.1X用户的认证方式为缺省情况。

缺省情况下,全局802.1X用户认证方式为CHAP认证;接口下802.1X用户认证方式与全局配置的认证方式一致。

命令格式

dot1x authentication-method { chap | pap | eap }

undo dot1x authentication-method

参数说明

参数

参数说明

取值

chap

采用质询握手认证协议CHAP (Challenge Handshake Authentication Protocol)的EAP终结认证方式。

-

pap

采用密码认证协议PAP(Password Authentication Protocol)的EAP终结认证方式。

-

eap

采用可扩展的认证协议EAP(Extensible Authentication Protocol)中继认证方式。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令dot1x authentication-method { chap | pap | eap }。

dot1x eap-notify-packet(升级兼容命令)

命令功能

dot1x eap-notify-packet命令用来使能向用户回应EAP报文类型值功能。

undo dot1x eap-notify-packet命令用来去使能向用户回应EAP报文类型值功能。

缺省情况下,未使能向用户回应EAP报文类型值功能。

命令格式

dot1x eap-notify-packet eap-code code-number data-type type-number

undo dot1x eap-notify-packet [ eap-code code-number data-type type-number ]

参数说明

参数

参数说明

取值

eap-code code-number

指定向用户回应的EAP报文类型值。

整数形式,取值范围是5~255。缺省值为255。

data-type type-number

指定向用户回应的EAP报文中的数据区类型。

整数形式,取值范围是1~255。缺省值为255。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令dot1x eap-notify-packet eap-code code-number data-type type-number

dot1x handshake(升级兼容命令)

命令功能

dot1x handshake命令用来使能设备与802.1X在线用户握手功能。

undo dot1x handshake命令用来去使能设备与802.1X在线用户握手功能。

缺省情况下,未使能设备与802.1X在线用户握手功能。

命令格式

dot1x handshake

undo dot1x handshake

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令dot1x handshake

dot1x reauthenticate(升级兼容命令)

命令功能

dot1x reauthenticate命令用来使能接口对在线802.1X用户进行周期重认证功能。

undo dot1x reauthenticate命令用来去使能接口对在线802.1X用户进行周期重认证功能。

缺省情况下,未使能接口对在线802.1X用户进行周期重认证功能。

命令格式

dot1x reauthenticate

undo dot1x reauthenticate

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令dot1x reauthenticate

dot1x retry(升级兼容命令)

命令功能

dot1x retry命令用来配置向802.1X用户发送认证请求的最大次数。

undo dot1x retry命令用来恢复向802.1X用户发送认证请求的最大次数为缺省值。

缺省情况下,设备向802.1X用户发送认证请求的最大次数为2次。

命令格式

dot1x retry max-retry-value

undo dot1x retry

参数说明

参数

参数说明

取值

max-retry-value

指定向802.1X用户发送认证请求的最大次数。

建议采用缺省值。

整数形式,取值范围为1~10。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令dot1x retry max-retry-value

dot1x timer reauthenticate-period(升级兼容命令)

命令功能

dot1x timer reauthenticate-period命令用来配置802.1X认证重认证周期。

undo dot1x timer reauthenticate-period命令用来恢复802.1X认证重认证周期为缺省值。

缺省情况下,802.1X认证重认证周期为3600秒。

命令格式

dot1x timer reauthenticate-period reauthenticate-period-value

undo dot1x timer reauthenticate-period

参数说明

参数

参数说明

取值

reauthenticate-period-value

指定802.1X认证重认证周期。

整数形式,取值范围为60~7200,单位是秒。

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令dot1x timer reauthenticate-period reauthenticate-period-value

dot1x timer(升级兼容命令)

命令功能

dot1x timer命令用来配置802.1X各项定时器参数。

undo dot1x timer命令用来恢复802.1X各项定时器参数为缺省值。

缺省情况下,未配置802.1X各项定时器参数。

命令格式

dot1x timer { client-timeout client-timeout-value | handshake-period handshake-period-value | eth-trunk-access handshake-period handshake-period-value }

undo dot1x timer { client-timeout | handshake-period | eth-trunk-access handshake-period }

参数说明

参数

参数说明

取值

client-timeout client-timeout-value

配置客户端认证超时时间。

请参考命令dot1x retry(升级兼容命令)

整数形式,取值范围为1~120,单位是秒。

缺省情况下,客户端认证超时时间为5秒。

handshake-period handshake-period-value

配置设备与非Eth-Trunk接口下的802.1X客户端握手周期。

请参考命令dot1x handshake(升级兼容命令)

整数形式,取值范围为5~7200,单位是秒。

缺省情况下,握手报文的发送时间间隔为15秒。

eth-trunk-access handshake-period handshake-period-value

配置设备与Eth-Trunk接口下的802.1X客户端握手周期。

请参考命令dot1x handshake(升级兼容命令)

整数形式,取值范围为30~7200,单位是秒。

缺省情况下,握手报文的发送时间间隔为120秒。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令dot1x timer { client-timeout client-timeout-value | handshake-period handshake-period-value | eth-trunk-access handshake-period handshake-period-value }。

dot1x trigger dhcp-binding(升级兼容命令)

命令功能

dot1x trigger dhcp-binding命令用来配置静态IP用户802.1X认证成功后或处于预连接阶段时,设备自动生成对应的DHCP Snooping绑定表。

undo dot1x trigger dhcp-binding命令用来恢复缺省配置。

缺省情况下,静态IP用户802.1X认证成功后或处于预连接阶段时,设备不会自动生成对应的DHCP Snooping绑定表。

命令格式

dot1x trigger dhcp-binding

undo dot1x trigger dhcp-binding

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令dot1x trigger dhcp-binding

dot1x unicast-trigger(升级兼容命令)

命令功能

dot1x unicast-trigger命令用来使能单播报文触发802.1X认证功能。

undo dot1x unicast-trigger命令用来去使能单播报文触发802.1X认证功能。

缺省情况下,未使能单播报文触发802.1X认证功能。

命令格式

dot1x unicast-trigger

undo dot1x unicast-trigger

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于802.1X接入模板视图下的命令dot1x unicast-trigger

mac-authen offline dhcp-release(升级兼容命令)

命令功能

mac-authen offline dhcp-release命令用来使能设备在接收到MAC认证用户的DHCP Release报文后清除用户表项。

undo mac-authen offline dhcp-release命令用来恢复缺省配置。

缺省情况下,设备在接收到MAC认证用户的DHCP Release报文后不会清除用户表项。

命令格式

系统视图:

mac-authen offline dhcp-release interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo mac-authen offline dhcp-release interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

mac-authen offline dhcp-release

undo mac-authen offline dhcp-release

参数说明

参数

参数说明

取值

interface interface-type interface-number1 [ to interface-number2 ] } &<1-10>

指定接口类型和接口编号。其中:
  • interface-type表示接口类型。
  • interface-number1表示第一个接口的编号。
  • interface-number2表示最后一个接口的编号。interface-number2的取值必须大于interface-number1的取值,它和interface-number1共同确定一个范围。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于MAC接入模板视图下的命令mac-authen offline dhcp-release

mac-authen permit mac-address(升级兼容命令)

命令功能

mac-authen permit mac-address命令用来配置设备允许用户进行MAC认证的MAC地址段。

undo mac-authen permit mac-address命令用来删除配置的设备允许用户进行MAC认证的MAC地址段。

缺省情况下,未配置允许进行MAC认证的地址段。

命令格式

mac-authen permit mac-address mac-address mask { mask | mask-length }

undo mac-authen permit mac-address mac-address mask { mask | mask-length }

参数说明

参数

参数说明

取值

mac-address 指定设备允许用户进行MAC认证的MAC地址。 格式为H-H-H,其中H为1至4位的十六进制数。
mask mask 指定MAC地址的掩码。 格式为H-H-H,其中H为1至4位的十六进制数。
mask mask-length 指定MAC地址掩码长度。

整数形式,取值范围是1~48。

视图

VLANIF接口视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于MAC接入模板视图下的命令mac-authen permit mac-address mac-address mask { mask | mask-length }。

mac-authen reauthenticate dhcp-renew(升级兼容命令)

命令功能

mac-authen reauthenticate dhcp-renew命令用来使能设备在接收到MAC认证用户的DHCP续租报文后,对用户进行重认证。

undo mac-authen reauthenticate dhcp-renew命令用来恢复缺省配置。

缺省情况下,设备在接收到MAC认证用户的DHCP续租报文后,不会对用户进行重认证。

命令格式

mac-authen reauthenticate dhcp-renew

undo mac-authen reauthenticate dhcp-renew

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于MAC接入模板视图下的命令mac-authen reauthenticate dhcp-renew

mac-authen reauthenticate(升级兼容命令)

命令功能

mac-authen reauthenticate命令用来使能对指定接口下所有在线MAC认证用户进行周期重认证功能。

undo mac-authen reauthenticate命令用来去使能对指定接口下所有在线MAC认证用户进行周期重认证功能。

缺省情况下,已使能对指定接口下所有在线MAC认证用户进行周期重认证功能。

命令格式

mac-authen reauthenticate

undo mac-authen reauthenticate

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于MAC接入模板视图下的命令mac-authen reauthenticate

mac-authen timer reauthenticate-period(升级兼容命令)

命令功能

mac-authen timer reauthenticate-period命令用来配置MAC认证重认证周期。

undo mac-authen timer reauthenticate-period命令用来恢复MAC认证重认证周期为缺省值。

缺省情况下,MAC认证重认证周期为1800秒。

命令格式

mac-authen timer reauthenticate-period reauthenticate-period-value

undo mac-authen timer reauthenticate-period

参数说明

参数

参数说明

取值

reauthenticate-period-value

指定MAC认证重认证周期。

整数形式,取值范围是60~7200,单位是秒。

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于MAC接入模板视图下的命令mac-authen timer reauthenticate-period reauthenticate-period-value

mac-authen username(升级兼容命令)

命令功能

mac-authen username命令用来配置MAC认证用户采用的用户名形式。

undo mac-authen username命令用来恢复MAC认证用户采用的用户名形式为缺省情况。

缺省情况下,MAC认证的用户名和密码均为不带分隔符“-”的MAC地址。

命令格式

mac-authen username { fixed username [ password cipher password ] | macaddress [ format { with-hyphen | without-hyphen } [ password cipher password ] ] | dhcp-option option-code { circuit-id | remote-id } password cipher password }

undo mac-authen username [ fixed username [ password cipher password ] | macaddress [ format { with-hyphen | without-hyphen } [ password cipher password ] ] | dhcp-option option-code [ password cipher password ] ]

参数说明

参数

参数说明

取值

fixed username

指定MAC认证用户采用的用户名为固定用户名。

字符串形式,不支持空格与“?”,区分大小写,长度范围是1~64。

password cipher password

指定MAC认证用户的密码并以密文形式显示。
  • 对于固定用户名形式,若不设置密码则用户无需使用密码即可登录,不建议使用。
  • 对于MAC地址形式,若不设置密码则用户密码即为用户的MAC地址。当AAA认证方案采用本地认证时,必须配置密码。
  • 对于DHCP选项形式,必须配置密码。
说明:

在VLANIF接口视图、Eth-Trunk接口视图或端口组视图下配置固定用户名格式,则必须配置密码。

端口组视图下,配置用户名为MAC地址格式时,不支持配置密码。

字符串形式,区分大小写,字符串中不能包含 “?”和空格。取值范围可以是1~128位的明文,也可以是48~188位的密文。

说明:

为提高安全性,建议密码至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密码长度不小于6个字符。

macaddress

指定MAC认证用户采用的用户名为MAC地址。

-

format

指定MAC地址的格式。

-

with-hyphen

指定MAC地址带有分隔符“-”,例如“0005-e01c-02e3”。

-

without-hyphen

指定MAC地址不带有分隔符“-”,例如“0005e01c02e3”。

-

dhcp-option option-code

指定MAC认证用户采用的用户名为特定的DHCP选项。其中:
  • circuit-id:表示指定MAC认证用户名采用DHCP Option82选项中的circuit-id信息。
  • remote-id:表示指定MAC认证用户名采用DHCP Option82选项中的remote-id信息。
说明:
VLANIF接口视图下不支持该参数。

整数形式,取值仅支持82。

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于MAC接入模板视图下的命令mac-authen username

portal auth-network(升级兼容命令)

命令功能

portal auth-network命令用来配置Portal认证的源认证网段。

undo portal auth-network命令用来恢复Portal认证的源认证网段为缺省值。

缺省情况下,Portal认证的源认证网段为0.0.0.0/0,表示对所有网段的用户都进行Portal认证。

命令格式

portal auth-network network-address { mask-length | mask-address }

undo portal auth-network { network-address { mask-length | mask-address } | all }

参数说明

参数 参数说明 取值
network-address 指定Portal认证网段地址。 点分十进制格式。
mask-length 掩码长度。 整数形式,取值范围是1~32。
mask-address Portal认证网段地址的掩码。 点分十进制格式。
all 删除所有Portal认证网段。 -

视图

VLANIF接口视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于Portal接入模板视图下的命令portal auth-network network-address { mask-length | mask-address }。

portal timer offline-detect(升级兼容命令)

命令功能

portal timer offline-detect命令用来配置Portal认证用户的下线探测周期。

undo portal timer offline-detect命令用来恢复Portal认证用户的下线探测周期的缺省值。

缺省情况下,Portal认证用户的下线探测周期为300秒。

命令格式

portal timer offline-detect time-length

undo portal timer offline-detect

参数说明

参数 参数说明 取值
time-length 指定下线探测周期。 整数形式,取值范围是0或30~7200,单位是秒,缺省值是300。0表示不进行用户下线探测。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于Portal接入模板视图下的命令portal timer offline-detect time-length

url(URL模板视图)(升级兼容命令)

命令功能

url命令用来配置指向Portal服务器的重定向URL或强制推送的URL。

undo url命令用来删除配置的指向Portal服务器的重定向URL或强制推送的URL。

缺省情况下,未配置指向Portal服务器的重定向URL或强制推送的URL。

命令格式

url [ ssid ssid ] [ push-only | redirect-only ] url-string

参数说明

参数

参数说明

取值

url-string

指定指向Portal服务器的重定向URL或强制推送的URL。

字符串形式,不支持空格与“?”,区分大小写,长度范围是1~200。

ssid ssid

指定用户关联的SSID。

已存在的SSID名。

push-only

指定配置的URL为强制推送URL。

-

redirect-only

指定配置的URL为指向Portal服务器的重定向URL。

-

视图

URL模板视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

使用实例

# 配置指向Portal服务器的重定向URL为http://10.1.1.1。

<HUAWEI> system-view
[HUAWEI] url-template name huawei
[HUAWEI-url-template-huawei] url http://10.1.1.1

ucl-group(升级兼容命令)

命令功能

ucl-group命令用来创建UCL组。

缺省情况下,未创建UCL组。

命令格式

ucl-group name group-name [ extend ]

参数说明

参数 参数说明 取值
name group-name

指定UCL组名称。

字符串形式,不支持空格,区分大小写,长度范围1~31。
extend

指定扩展的最大UCL组数。

-

视图

系统视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

使用实例

# 创建一个名称为“abc”的UCL组。

<HUAWEI> system-view
[HUAWEI] ucl-group name abc

voice-vlan(业务方案视图)(升级兼容命令)

命令功能

voice-vlan命令用来在业务方案中配置Voice VLAN。

undo voice-vlan命令用来删除业务方案中配置的Voice VLAN。

缺省情况下,在业务方案中未配置Voice VLAN。

命令格式

voice-vlan vlan-id

undo voice-vlan

参数说明

参数

参数说明

取值

vlan-id

指定Voice VLAN的ID。

整数形式,取值范围是1~4094。

视图

业务方案视图

缺省级别

3:管理级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

使用实例

# 在业务方案“huawei”中配置用户Voice VLAN为100。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme huawei
[HUAWEI-aaa-service-huawei] voice-vlan 100

web-auth-server(接口视图)(升级兼容命令)

命令功能

web-auth-server命令用来在接口下绑定Portal服务器模板。

undo web-auth-server命令用来删除接口下绑定的Portal服务器模板。

缺省情况下,接口下未绑定Portal服务器模板。

命令格式

  • 二层接口视图

    web-auth-server server-name [ bak-server-name ] direct

    undo web-auth-server [ server-name [ bak-server-name ] direct ]

  • VLANIF接口视图

    web-auth-server server-name [ bak-server-name ] { direct | layer3 }

    undo web-auth-server [ server-name [ bak-server-name ] { direct | layer3 } ]

  • 路由主接口视图

    web-auth-server server-name [ bak-server-name ] layer3

    undo web-auth-server [ server-name [ bak-server-name ] layer3 ]

参数说明

参数 参数说明 取值
server-name 指定Portal服务器模板名称。

已存在的Portal服务器模板名称。

bak-server-name

指定备用Portal服务器模板名称。

说明:

备用Portal服务器的名称不能配置为命令行关键字directlayer3

已存在的Portal服务器模板名称。

direct

指定Portal认证方式为二层认证方式。

当用户与设备之间没有三层转发设备时,需配置二层认证方式。

-
layer3

指定Portal认证方式为三层认证方式。

当用户与设备之间存在三层转发设备时,需配置三层认证方式。

-

视图

VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于Portal接入模板视图下的命令web-auth-server server-name [ bak-server-name ] { direct | layer3 }。

翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10037

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页