所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAC配置命令(传统模式)

NAC配置命令(传统模式)

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

access-user arp-detect

命令功能

access-user arp-detect命令用来配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。

undo access-user arp-detect命令用来删除已配置的指定VLAN内用户下线探测报文的源IP地址和源MAC地址。

缺省情况下,未配置指定VLAN内用户下线探测报文的源IP地址和源MAC地址。

命令格式

access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address

undo access-user arp-detect vlan vlan-id ip-address ip-address mac-address mac-address

参数说明

参数

参数说明

取值

vlan vlan-id

指定VLAN ID。

整数形式,取值范围是1~4094。

ip-address ip-address

指定用户下线探测报文的源IP地址。

点分十进制形式,取值是0.0.0.0或255.255.255.255或其他合法的IP地址

mac-address mac-address

指定用户下线探测报文的源MAC地址。

必须为单播MAC地址。格式为H-H-H,其中H为1至4位的十六进制数。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。

如果用户加入的VLAN在设备上不存在对应的VLANIF接口或者VLANIF接口未配置IP地址,设备使用0.0.0.0作为用户下线探测报文的源IP地址。但是,如果网络中存在用户不支持回应源IP地址为0.0.0.0的ARP探测报文,此时,管理员可以直接指定某个IP地址作为用户下线探测报文的源IP地址。建议用户下线探测报文的源IP地址和源MAC地址配置为用户网关的IP地址和MAC地址。

注意事项

该功能对三层Portal认证用户不生效。

对于物理接口下的在线用户,用户必须重新上线或者设备对其进行重认证之后本命令功能才会生效。

使用实例

# 对VLAN10内的用户配置下线探测报文的源IP地址为192.168.1.1,源MAC地址为2222-1111-1234。

<HUAWEI> system-view
[HUAWEI] access-user arp-detect vlan 10 ip-address 192.168.1.1 mac-address 2222-1111-1234
相关主题

access-user arp-detect default ip-address

命令功能

access-user arp-detect default ip-address命令用来配置用户下线探测报文的默认源IP地址。

undo access-user arp-detect default ip-address命令用来恢复缺省配置。

缺省情况下,用户下线探测报文的默认源IP地址是0.0.0.0

命令格式

access-user arp-detect default ip-address ip-address

undo access-user arp-detect default ip-address

参数说明

参数

参数说明

取值

ip-address

指定用户下线探测报文的默认源IP地址。

点分十进制形式,取值是0.0.0.0或255.255.255.255或其他合法的IP地址

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为确保用户在线状态正常,设备会向在线用户发送ARP下线探测报文,如果用户在下线探测周期内没有回应,则设备认为该用户已下线。

注意事项

该功能对三层Portal认证用户不生效。

使用实例

# 配置用户下线探测报文的默认源IP地址为0.0.0.0。

<HUAWEI> system-view
[HUAWEI] access-user arp-detect default ip-address 0.0.0.0

access-user arp-detect delay

命令功能

access-user arp-detect delay命令用来配置下线探测报文延迟发送时间。

undo access-user arp-detect delay命令用来删除下线探测报文延迟发送时间。

缺省情况下,未配置下线探测报文延迟发送时间。

命令格式

access-user arp-detect delay delay

undo access-user arp-detect delay

参数说明

参数

参数说明

取值

delay 指定下线探测报文延迟发送时间。 整数形式,取值范围是1~120,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

网络中有Windows客户端时,其获取IP地址后会发送源地址为0.0.0.0的探测报文,如果此时设备也发起源地址为0.0.0.0的ARP探测,则会出现冲突。此时,执行该命令配置下线探测报文的延迟时间。Windows探测一般为10秒,可在其探测结束后再发起ARP探测。

使用实例

# 配置下线探测报文延迟发送时间为20秒。

<HUAWEI> system-view
[HUAWEI] access-user arp-detect delay 20

access-user arp-detect fallback

命令功能

access-user arp-detect fallback命令用来配置计算下线探测报文源地址所需的IP地址。

undo access-user arp-detect fallback命令用来删除已配置计算下线探测报文源地址所需的IP地址。

缺省情况下,未配置计算下线探测报文源地址所需的IP地址。

命令格式

access-user arp-detect fallback ip-address { mask | mask-length }

undo access-user arp-detect fallback

参数说明

参数

参数说明

取值

ip-address 指定计算下线探测报文源地址所需的IP地址。 点分十进制格式。
mask 指定IP地址的掩码。 点分十进制格式。

掩码转化为二进制数后最后一位不为0的数前必须全是1。即掩码中的1必须连续,不能间断。

mask-length 指定IP地址掩码长度。

整数形式,取值范围是0~32。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备不做网关时,可以使用与客户端网段相同的源地址进行探测,此地址由设备根据客户端网段和命令中指定的IP地址计算得出。命令中指定的IP地址同反掩码取与运算,再和客户端IP地址网段相加,就得到探测的源地址。例如当客户端网段为192.168.1.0/24时,指定access-user arp-detect fallback 0.0.0.11 24,则计算出的探测报文源地址为192.168.1.11。计算出的地址需从DHCP服务器地址池中排除,避免客户端分配到此地址,出现冲突。

注意事项

该功能对三层Portal认证用户不生效。

对于物理接口下的在线用户,用户必须重新上线或者设备对其进行重认证之后本命令功能才会生效。

使用实例

# 配置计算下线探测报文源地址所需的IP地址为0.0.0.11。

<HUAWEI> system-view
[HUAWEI] access-user arp-detect fallback 0.0.0.11 24

access-user dot1x-identity speed-limit

命令功能

access-user dot1x-identity speed-limit命令用来配置对上送CPU的802.1X认证Identity报文进行限速的限速值。

undo access-user dot1x-identity speed-limit命令用来恢复对上送CPU的802.1X认证Identity报文进行限速的限速值为缺省值。

缺省情况下,交换机对上送CPU的802.1X认证Identity报文进行限速的限速值因设备而异。

命令格式

access-user dot1x-identity speed-limit value

undo access-user dot1x-identity speed-limit [ value ]

参数说明

参数 参数说明 取值
value 对上送CPU的802.1X认证Identity报文进行限速的限速值。 整数形式,取值范围是5~2000,单位是个/秒。

视图

系统视图

缺省级别

2:配置级

使用指南

为防止交换机因处理过多的802.1X认证Identity报文造成CPU繁忙,影响正常的业务处理,可以执行access-user dot1x-identity speed-limit命令配置对上送CPU的802.1X认证Identity报文进行限速的限速值。执行该命令后,如果上送CPU的802.1X认证Identity报文的速率超过限速值,交换机会丢弃超过限速值部分的报文。

使用实例

# 配置对上送CPU的802.1X认证Identity报文进行限速的限速值为10个/秒。

<HUAWEI> system-view
[HUAWEI] access-user dot1x-identity speed-limit 10

access-user syslog-restrain enable

命令功能

access-user syslog-restrain enable命令用来使能Syslog抑制功能。

undo access-user syslog-restrain enable命令用来去使能Syslog抑制功能。

缺省情况下,Syslog抑制功能已使能。

命令格式

access-user syslog-restrain enable

undo access-user syslog-restrain enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

用户接入认证失败或用户下线时,设备会产生并记录系统日志Syslog。Syslog中包括接入设备、接入用户的MAC地址以及当前认证时间等信息。

当用户在接入认证失败后不断尝试重新上线,或用户在短时间内频繁上下线,这些情况都会导致设备产生大量的重复Syslog信息,浪费设备资源,影响系统性能。为了避免此问题,可使能Syslog抑制功能。这可使设备产生并记录某一Syslog信息后,在抑制周期内(请参见命令access-user syslog-restrain period)不会产生相同类型的Syslog信息。

说明:

设备根据用户MAC地址判断是否是相同类型的Syslog信息,譬如当设备产生某一认证失败Syslog信息后,在抑制周期内又发现相同MAC地址的用户认证失败,则不再产生Syslog信息。用户下线Syslog情况相同。

使用实例

# 使能Syslog抑制功能。

<HUAWEI> system-view
[HUAWEI] access-user syslog-restrain enable

access-user syslog-restrain period

命令功能

access-user syslog-restrain period命令用来配置Syslog抑制周期。

undo access-user syslog-restrain period命令用来恢复Syslog抑制周期为默认值。

缺省情况下,Syslog抑制周期为300s。

命令格式

access-user syslog-restrain period period

undo access-user syslog-restrain period

参数说明

参数

参数说明

取值

period

指定Syslog的抑制周期。

整数类型,取值范围为60~604800,单位为秒。

视图

系统视图

缺省级别

2:配置级

使用指南

在使用命令access-user syslog-restrain enable使能Syslog抑制功能后,可使用本命令配置Syslog抑制周期。之后,在抑制周期内,设备不会产生相同类型的Syslog信息。

使用实例

# 配置抑制周期为600s。

<HUAWEI> system-view
[HUAWEI] access-user syslog-restrain period 600

acl authorization statistics enable

命令功能

acl authorization statistics enable命令用来使能命中授权ACL的用户报文的统计功能。

undo acl authorization statistics enable命令用来去使能命中授权ACL的用户报文的统计功能。

缺省情况下,命中授权ACL的用户报文的统计功能处于关闭状态。

命令格式

acl authorization statistics enable

undo acl authorization statistics enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

现网场景中,经常需要对NAC认证成功的用户授权ACL,如果需要查看命中该授权ACL的用户报文的个数,可以执行该命令。

注意事项

该功能仅对使能该功能后新上线的用户生效。

使用实例

# 使能命中授权ACL的用户报文的统计功能。

<HUAWEI> system-view
[HUAWEI] acl authorization statistics enable

acl-id(用户组视图)

命令功能

acl-id命令用来在用户组下绑定ACL。

undo acl-id命令用来删除用户组与ACL的绑定关系。

缺省情况下,用户组下未绑定ACL。

命令格式

acl-id acl-number

undo acl-id { acl-number | all }

参数说明

参数 参数说明 取值
acl-number

指定与用户组绑定的ACL编号。

整数形式,取值范围是3000~3999。
all

指定删除用户组绑定的所有ACL规则。

-

视图

用户组视图

缺省级别

2:配置级

使用指南

应用场景

使用命令user-group创建用户组后,可以使用本命令将用户组与ACL绑定,设备基于用户组下发ACL规则,使每一组用户能够复用ACL规则。
说明:

在用户组下绑定ACL之前,需确保未使用命令user-group enable使能该用户组功能,否则绑定不成功。

前置条件

已使用命令acl(系统视图)acl name创建了ACL,且该ACL下已配置至少一条规则。

注意事项
  • 单板混插的情况下,user-group下发ACL规则的规格以最小的单板规格为准。

  • 与用户组绑定的ACL,不允许在系统视图下直接修改或删除。

  • 若用户组内未配置ACL规则,则设备不会对该用户组内用户的网络访问权限进行限制。

  • 在配置用户组内的ACL规则时,需要添加一条拒绝所有网络访问的规则并且保证该规则最后生效。

  • 如果要求授权到用户组下的所有用户的网络访问权限相同,则用户组绑定的ACL中的规则不能配置有源IP;如果某一ACL规则配置了源IP,则用户组中只有IP地址和该规则中的源IP相同的用户才能够匹配该ACL规则。

使用实例

# 配置编号为3001的ACL与用户组abc绑定。

<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] rule 5 deny ip destination 192.168.5.0 0.0.0.255
[HUAWEI-acl-adv-3001] quit
[HUAWEI] user-group abc
[HUAWEI-user-group-abc] acl-id 3001

authentication critical eapol-success

命令功能

authentication critical eapol-success命令用来配置将用户加入Critical VLAN后向用户回应Eapol-Success报文功能。

undo authentication critical eapol-success命令用来配置将用户加入Critical VLAN后向用户回应Eapol-Fail报文功能。

缺省情况下,将用户加入Critical VLAN后向用户回应Eapol-Fail报文功能。

命令格式

系统视图:

authentication critical eapol-success interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo authentication critical eapol-success interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

authentication critical eapol-success

undo authentication critical eapol-success

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型
  • interface-number1表示第一个接口编号
  • interface-number2表示最后一个接口编号

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

当用户由于认证服务器无响应而被加入Critical VLAN后,为避免用户仍不断的发送接入请求报文,可配置将用户加入Critical VLAN后向用户回应Eapol-Success报文或Eapol-Fail报文的功能。用户在接收到Eapol-Success报文或Eapol-Fail报文后,将不再发送接入请求报文,这有效避免了用户不停尝试上线而造成设备性能的下降。

用户在接收到Eapol-Success报文后,仍具有譬如通过DHCP方式获取IP地址等功能,而用户接收到Eapol-Fail报文则不具有该功能。管理员可根据实际需求选择回应的是Eapol-Success报文还是Eapol-Fail报文。

使用实例

# 在接口GE1/0/1上配置将用户加入Critical-Vlan后向用户回应Eapol-Success报文功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] authentication critical eapol-success

authentication critical-vlan

命令功能

authentication critical-vlan命令用来配置接口的Critical VLAN。

undo authentication critical-vlan命令用来删除接口配置的Critical VLAN。

缺省情况下,接口下未配置Critical VLAN。

命令格式

系统视图:

authentication critical-vlan vlan-id interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo authentication critical-vlan [ vlan-id ] interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

authentication critical-vlan vlan-id

undo authentication critical-vlan [ vlan-id ]

参数说明

参数

参数说明

取值

vlan-id

指定Critical VLAN的VLAN ID。

整数形式,取值范围是1~4094。

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型
  • interface-number1表示第一个接口编号
  • interface-number2表示最后一个接口编号

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

Critical VLAN是认证服务器无响应时为用户授权的VLAN。

当接入设备与认证服务器之间的网络不通或者认证服务器出现故障时,网络中的认证过程将出现中断,用户无法通过认证。开启设备的Critical VLAN功能之后,在此种情况下,设备将会把认证服务器的状态标志为down,同时把用户加入到Critical VLAN,此后用户不需要进行认证即能够访问Critical VLAN内的资源。

前置条件

配置的Critical VLAN必须已经创建。

注意事项

  • 本命令仅对802.1X和MAC认证功能生效。
  • 交换机连接ET1D2IPS0S00、ET1D2FW00S00、ET1D2FW00S01、ET1D2FW00S02单板的XGE接口不支持MAC认证中的Critical VLAN功能。
  • 若配置了free-ip功能,则Critical VLAN功能立即失效。
  • VLAN授权功能生效,对认证接口的链路类型和接入控制方式有如下要求:
    • 接口链路类型是Untagged的Hybrid类型时,其接入控制方式可以为基于MAC地址或基于接口的。
    • 接口链路类型是Access或Trunk类型时,其接入控制方式只能是基于接口的。

使用实例

# 系统视图下,使能接口GE1/0/1基于Port方式的802.1X认证功能,并配置Critical VLAN为VLAN20。

<HUAWEI> system-view
[HUAWEI] vlan batch 20
[HUAWEI] dot1x enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port link-type hybrid
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] dot1x enable interface gigabitethernet 1/0/1
[HUAWEI] dot1x port-method port interface gigabitethernet 1/0/1
[HUAWEI] authentication critical-vlan 20 interface gigabitethernet 1/0/1

# 接口视图下,使能接口GE1/0/1的MAC认证功能,并配置Critical VLAN为VLAN20。

<HUAWEI> system-view
[HUAWEI] vlan batch 20
[HUAWEI] mac-authen
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port link-type hybrid
[HUAWEI-GigabitEthernet1/0/1] mac-authen
[HUAWEI-GigabitEthernet1/0/1] authentication critical-vlan 20

authentication device-type voice authorize

命令功能

authentication device-type voice authorize命令用来使能语音终端不认证即上线功能。

undo authentication device-type voice authorize命令用来去使能语音终端不认证即上线功能。

缺省情况下,未使能语音终端不认证即上线功能。

命令格式

authentication device-type voice authorize [ user-group group-name ]

undo authentication device-type voice authorize [ user-group ]

参数说明

参数 参数说明 取值
user-group group-name 指定为语音终端授权网络访问权限的用户组名称。 必须是已存在的用户组名称。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在数据终端(PC等)和语音终端(IP Phone等)混合接入交换机的场景中,管理员为实现对数据终端的管理控制在交换机上配置NAC功能,但对语音终端没有管理控制的要求仅需要其能接入网络。此时,可以在交换机上使能语音终端不认证即上线功能。使能该功能后,交换机识别出的语音终端不认证就可以上线。

注意事项

为了能够识别出语音终端,交换机需要使能LLDP功能或配置Voice VLAN的OUI,具体配置请参见S12700 V200R013C00 配置指南-网络管理与监控》 LLDP配置 中的“配置LLDP基本功能”或S12700 V200R013C00 配置指南-以太网交换》 Voice VLAN配置 中的“配置基于MAC地址的Voice VLAN”对于不支持LLDP功能、只支持CDP功能的语音设备,交换机需要执行lldp compliance cdp receive命令使能LLDP兼容CDP协议功能。

对于802.1X用户,如果终端主动发起认证,交换机优先处理认证流程,认证成功后,终端获取认证成功后的网络访问权限;认证失败时,交换机根据识别出的终端类型,使语音终端不认证即上线。

不指定参数user-group group-name时,语音终端上线后能够获取认证成功后的网络访问权限。指定参数user-group group-name时,语音终端上线后能够获取用户组定义的网络访问权限。当通过用户组定义语音终端的网络访问权限时,首先需要通过命令user-group group-name创建用户组,并配置组内用户的网络授权信息。需要注意的是,用户组只有使能后才能生效。

该命令为覆盖式命令,多次配置时,最后一次配置生效。

该功能仅对配置成功后新上线的用户生效。

使用实例

# 使能语音终端不认证即上线功能。

<HUAWEI> system-view
[HUAWEI] authentication device-type voice authorize

authentication event

命令功能

authentication event命令用来配置用户在接入认证各阶段的网络访问权限。

undo authentication event命令用来取消配置的用户在接入认证各阶段的网络访问权限。

缺省情况下,未配置用户在接入认证各阶段的网络访问权限。

命令格式

  • 802.1X认证支持的命令行格式

    系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

    authentication event { pre-authen | authen-fail | authen-server-down | client-no-response } { vlan vlan-id | user-group group-name }

    undo authentication event { pre-authen | authen-fail | authen-server-down | client-no-response }

  • MAC认证支持的命令行格式

    系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

    authentication event { pre-authen | authen-fail | authen-server-down } { vlan vlan-id | user-group group-name }

    undo authentication event { pre-authen | authen-fail | authen-server-down }

    VLANIF接口视图:

    authentication event { authen-fail | authen-server-down } user-group group-name

    undo authentication event { authen-fail | authen-server-down }

  • Portal认证支持的命令行格式

    系统视图:

    authentication event { pre-authen | authen-fail | authen-server-down } user-group group-name

    undo authentication event { pre-authen | authen-fail | authen-server-down }

    VLANIF接口视图:

    authentication event { authen-fail | authen-server-down } user-group group-name

    undo authentication event { authen-fail | authen-server-down }

参数说明

参数 参数说明 取值
pre-authen

指定用户在接入认证开始之前的网络访问权限。

针对802.1X认证,指设备未接收到用户802.1X客户端发起的认证报文,而接收到用户终端发送的ARP或DHCP报文时就将该用户加入pre-authen权限。或者仅配置该参数而不配置其他任何事件的网络访问权限,则认证失败后加入pre-authen权限。

针对MAC认证和Portal认证,指仅配置该参数而不配置其他任何事件的网络访问权限,则认证失败后加入pre-authen权限。

-

authen-fail

指定用户在接入认证失败时的网络访问权限。

该参数适用于所有认证失败的情况。

-

authen-server-down

指定用户在接入认证过程中,认证服务器无响应时的网络访问权限。

若该参数与authen-fail同时配置,则当认证服务器无响应而导致认证失败时,该参数优先生效。

-

client-no-response

指定用户在接入认证过程中,802.1X客户端无响应时的网络访问权限。

若该参数与authen-fail同时配置,则当802.1X客户端无响应而导致认证失败时,该参数优先生效。

-

vlan vlan-id

指定VLAN ID,用户的网络访问权限为该VLAN内的网络资源。

整数形式,取值范围是1~4094。

user-group group-name

指定用户组,用户的网络访问权限为该用户组定义的网络资源。

必须是已存在的用户组名称。

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

用户接入认证过程中,为满足用户在各认证阶段均能够有一定的网络访问权限,可使用本命令。

前置条件

为了保证配置生效,需确保已使能802.1X认证、MAC认证或者Portal认证。

注意事项

  • 本命令在接口下的配置优先级高于全局下的配置。
  • 该功能仅对配置成功后新上线的用户生效。

  • 当本命令指定的网络访问权限由用户组定义时,只有用户组内配置的网络访问权限有关的授权信息(即用户组下绑定的ACL和用户组VLAN)生效。
  • 当本命令指定的网络访问权限由用户组定义时,如果在全局下配置该命令,则命令dot1x free-ip的功能不生效;如果在指定接口下配置该命令,则命令dot1x free-ip的功能对该指定接口不生效。
  • 如果本命令指定的网络访问权限由用户组定义,同时使用命令portal free-rule配置的免认证规则的目的网络访问权限也由用户组定义,则该免认证规则不生效。

使用实例

# 在接口GE1/0/1下配置当用户认证失败时,允许其访问VLAN 10内的网络资源。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] authentication event authen-fail vlan 10

authentication event response-fail

命令功能

authentication event response-fail命令用来配置在用户接入认证失败或者认证服务器无响应时,设备回应认证失败报文。

undo authentication event response-fail命令用来恢复缺省配置。

缺省情况下,在用户接入认证失败或者认证服务器无响应时,设备回应认证成功报文。

命令格式

authentication event { authen-fail | authen-server-down } response-fail

undo authentication event { authen-fail | authen-server-down } response-fail

参数说明

参数 参数说明 取值
authen-fail

指定用户在接入认证失败时,设备向802.1X客户端或Portal服务器回应认证失败报文。

-

authen-server-down

指定用户在接入认证过程中,认证服务器无响应时,设备向802.1X客户端或Portal服务器回应认证失败报文。

-

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

使用命令authentication event配置了用户在接入认证失败或认证服务器无响应时的网络访问权限之后,缺省情况下,当认证失败或认证服务器无响应时,设备会向802.1X客户端或Portal服务器回应认证成功报文。这种情况会造成用户无法感知到自身认证失败,并且获取到得仅是有限的网络访问资源。这可能会和用户的期望不符合。

为解决上述问题,管理员可以配置本命令,使用户在接入认证失败或认证服务器无响应时,设备向802.1X客户端或Portal服务器回应认证失败报文,以知会用户认证失败(如果是802.1X认证,802.1X客户端会提示认证失败;如果是Portal认证,Portal服务器会向用户推送认证失败信息),用户即可根据自身情况决定是否进行重认证。

注意事项

  • 本命令在接口下的配置优先级高于全局下的配置。
  • 该功能仅对配置成功后新上线的用户生效。

  • 本命令功能仅适用于802.1X认证和Portal认证。

使用实例

# 在接口GE1/0/1下配置当用户认证失败时,设备向802.1X客户端或Portal服务器回应认证失败报文。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] authentication event authen-fail response-fail

authentication event session-timeout

命令功能

authentication event session-timeout命令用来配置用户在接入认证各阶段所加入网络访问权限的老化时间。

undo authentication event session-timeout命令用来恢复缺省配置。

缺省情况下,用户在接入认证各阶段所加入网络访问权限的老化时间为15分钟。

命令格式

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

authentication event { pre-authen | authen-fail | authen-server-down | client-no-response } session-timeout session-time

undo authentication event { pre-authen | authen-fail | authen-server-down | client-no-response } session-timeout

VLANIF接口视图

authentication event { pre-authen | authen-fail | authen-server-down } session-timeout session-time

undo authentication event { pre-authen | authen-fail | authen-server-down } session-timeout

参数说明

参数 参数说明 取值
pre-authen

指定用户在接入认证开始之前的网络访问权限的老化时间。

-

authen-fail

指定用户在接入认证失败时的网络访问权限的老化时间。

-

authen-server-down

指定用户在接入认证过程中,认证服务器无响应时的网络访问权限的老化时间。

-

client-no-response

指定用户在接入认证过程中,802.1X客户端无响应时的网络访问权限的老化时间。

该参数功能仅对802.1X认证生效。

-

session-time

指定老化时间。

在用户老化时间到达时,若用户一直没能认证成功,则用户表项将被删除。

整数形式,取值范围是0~71581,单位为分钟。

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

使用命令authentication event配置了用户在接入认证各阶段的网络访问权限后,可使用本命令配置用户加入的网络访问权限的老化时间。达到老化时间之前,用户能够访问其加入的网络访问权限内的资源;达到老化时间之后,用户将会下线而不能够访问任何资源。

如果配置老化时间为零,则用户所加入的网络访问权限不会老化,此时若需用户下线,可在设备上使用命令cut access-user或者通过认证服务器下发用户下线信息将用户下线。

注意事项

在VLANIF接口下,本命令功能不适用于802.1X认证。

若仅在系统视图下执行本命令,则本命令功能适用于所有接口;若在系统视图和接口视图下同时执行本命令,则接口下的配置优先级高于全局下的配置。

该功能仅对配置成功后新上线的用户生效。

使用实例

# 在接口GE1/0/1下配置当用户认证失败时,用户所加入网络访问权限的老化时间为100分钟。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] authentication event authen-fail session-timeout 100

authentication guest-vlan

命令功能

authentication guest-vlan命令用来配置接口的Guest VLAN。

undo authentication guest-vlan命令用来删除接口配置的Guest VLAN。

缺省情况下,接口下未配置Guest VLAN。

命令格式

系统视图:

authentication guest-vlan vlan-id interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo authentication guest-vlan [ vlan-id ] interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

authentication guest-vlan vlan-id

undo authentication guest-vlan [ vlan-id ]

参数说明

参数

参数说明

取值

vlan-id

指定Guest VLAN的VLAN ID。

整数形式,取值范围是1~4094。

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型
  • interface-number1表示第一个接口编号
  • interface-number2表示最后一个接口编号

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在802.1X认证和MAC地址认证过程中,为了满足用户不进行认证即能访问某些资源的需求,设备支持通过配置Guest VLAN来实现受限访问。

加入Guest VLAN的用户访问该VLAN中的资源时,不需要进行认证,但访问VLAN外的资源时仍需要进行认证。

说明:
  • Restrict VLAN和Guest VLAN的区别是:用户认证失败时的受限访问方式是加入Restrict VLAN,用户不进行认证时的受限访问方式是加入Guest VLAN。

  • 如果没有配置Restrict VLAN,而配置了Guest VLAN,则用户认证失败以后,也会加入Guest VLAN。

前置条件

配置的Guest VLAN必须已经创建。

为了保证配置生效,需要执行命令dot1x enable使能全局和接口802.1X用户认证功能或者执行命令mac-authen使能全局和接口MAC地址认证功能

注意事项

  • 仅在802.1X认证和MAC认证时,Guest VLAN功能才能生效。
  • Super VLAN不能作为Guest VLAN。
  • 如果配置了免认证IP网段,则Guest VLAN功能立即失效。
  • 只有在用户发往设备的报文为Untagged时,Guest VLAN功能才生效。
  • 不同的接口可以配置不同的Guest VLAN。接口下配置Guest VLAN以后,不能直接删除该VLAN。
  • VLAN授权功能生效,对认证接口的链路类型和接入控制方式有如下要求:
    • 接口链路类型是Untagged的Hybrid类型时,其接入控制方式可以为基于MAC地址或基于接口的。
    • 接口链路类型是Access或Trunk类型时,其接入控制方式只能是基于接口的。

使用实例

# 系统视图下,使能接口GE1/0/1基于Port方式的802.1X认证功能,并配置Guest VLAN为VLAN20。
<HUAWEI> system-view
[HUAWEI] vlan batch 20
[HUAWEI] dot1x enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port link-type hybrid
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] dot1x enable interface gigabitethernet 1/0/1
[HUAWEI] dot1x port-method port interface gigabitethernet 1/0/1
[HUAWEI] authentication guest-vlan 20 interface gigabitethernet 1/0/1
# 接口视图下,使能接口GE1/0/1的MAC认证功能,并配置Guest VLAN为VLAN20。
<HUAWEI> system-view
[HUAWEI] vlan batch 20
[HUAWEI] mac-authen
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port link-type hybrid
[HUAWEI-GigabitEthernet1/0/1] mac-authen
[HUAWEI-GigabitEthernet1/0/1] authentication guest-vlan 20

authentication mac-move enable

命令功能

authentication mac-move enable命令用来使能MAC迁移功能。

undo authentication mac-move enable命令用来去使能MAC迁移功能。

缺省情况下,未使能MAC迁移功能。

命令格式

authentication mac-move enable vlan { all | { vlan-id1 [ to vlan-id2 ] } & <1–10> }

undo authentication mac-move enable vlan { all | { vlan-id1 [ to vlan-id2 ] } & <1–10> }

参数说明

参数

参数说明

取值

vlan 指定使能MAC迁移功能的VLAN范围。

-

all 指定所有VLAN都使能MAC迁移功能。

-

vlan-id1 [ to vlan-id2 ] 指定特定编号的VLAN使能MAC迁移功能。
  • vlan-id1:表示第一个VLAN的编号。
  • vlan-id2:表示第二个VLAN的编号,vlan-id2的取值必须大于vlan-id1

整数形式,取值范围是1~4094。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户从设备的一个接口认证上线,然后直接插拔网线,移动到设备的另一个接口,此时,用户无法立即发起认证也无法上线;必须等到设备上用户下线探测周期结束或手动将认证接口UP/DOWN清除用户在线表项后,用户才能在后接入的接口上发起认证。为提升用户体验,使用户在切换接入接口后能够立即认证上线,可以使能MAC迁移功能。

MAC迁移功能是指,允许在线的NAC认证用户移动到设备的其他接入接口后,可以立即认证上线。如果用户在后接入的接口上认证成功,原接口上的用户在线表项会立即被清除,保证该用户仅在一个接口上记录在线表项信息。

另外,MAC迁移功能需要指定允许用户移动的VLAN。该VLAN可以是用户移动前所属的VLAN,也可以是用户移动后所属的VLAN。用户移动前后所属的VLAN可以相同也可以不同。

注意事项

  • 通常情况下,不建议开启MAC迁移功能,只有在用户有漫游迁移需求时才建议开启。这是为防止非法用户仿冒已在线用户的MAC地址,在其他认证控制接口上发送ARP、802.1X或DHCP报文触发MAC迁移功能,导致合法用户下线。

  • 不支持用户通过中间设备级联迁移,因为级联的时候用户迁移后不会发ARP、DHCP等报文。
  • 不支持三层Portal认证用户和PPPoE认证用户的MAC迁移功能。
  • L2 BNG场景下,设备不支持MAC迁移功能。
  • 用户从配置了NAC认证的接口迁移到未配置NAC认证的接口时,由于未配置NAC认证的接口不能发送认证报文触发MAC迁移,用户必须等到原在线表项老化后,才能够接入网络。
  • VLANIF接口上线的用户,在发送ARP报文走下线流程后才能够触发Portal认证,否则只能等到原用户在线表项老化后才能重新上线。物理接口不支持用户迁移后进行Portal认证,直到原用户在线表项老化后才能重新上线。
  • VLANIF接口上线的用户多次MAC迁移被静默时,被静默的用户只有当MAC迁移静默时间超时,并且ARP表项老化后,才能进行MAC迁移。
  • 如果authentication mac-move enable vlan命令中的VLAN使用的是授权VLAN,建议配置MAC迁移前探测功能。

使用实例

# 配置所有VLAN都使能MAC迁移功能。

<HUAWEI> system-view
[HUAWEI] authentication mac-move enable vlan all

authentication mac-move detect enable

命令功能

authentication mac-move detect enable命令用来使能MAC迁移前探测功能。

undo authentication mac-move detect enable命令用来去使能MAC迁移前探测功能。

缺省情况下,未使能MAC迁移前探测功能。

命令格式

authentication mac-move detect enable

undo authentication mac-move detect enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

开启MAC迁移功能后,为防止非法用户仿冒已在线用户的MAC地址发起攻击的问题,可以使用命令authentication mac-move detect enable开启MAC迁移前探测功能。用户进行MAC迁移前,设备会探测用户是否在线,如果用户不在线则继续MAC迁移,用户会在新接入接口上认证上线;如果用户在线则终止MAC迁移,用户不能在新接入接口上上线。

MAC迁移前探测的时间间隔和次数可以通过命令authentication mac-move detect retry-interval retry-time配置。

使用实例

# 使能MAC迁移前探测功能。

<HUAWEI> system-view
[HUAWEI] authentication mac-move detect enable

authentication mac-move detect retry-interval retry-time

命令功能

authentication mac-move detect retry-interval retry-time命令用来配置MAC迁移前探测的时间间隔和次数。

undo authentication mac-move detect retry-interval retry-time命令用来恢复缺省值。

缺省情况下,MAC迁移前探测的时间间隔是3秒、次数是1次。

命令格式

authentication mac-move detect { retry-interval interval | retry-time times } *

undo authentication mac-move detect { retry-interval | retry-time } *

参数说明

参数

参数说明

取值

interval

指定MAC迁移前探测的时间间隔。

整数形式,取值范围为1~5,单位为秒。

times

指定MAC迁移前探测的次数。

整数形式,取值范围为1~3。

视图

系统视图

缺省级别

2:配置级

使用指南

开启MAC迁移前探测功能后,可以使用命令authentication mac-move detect { retry-interval interval | retry-time times } *修改探测的时间间隔和次数。

使用实例

# 配置MAC迁移前探测的时间间隔为5秒、次数为2次。

<HUAWEI> system-view
[HUAWEI] authentication mac-move detect retry-interval 5 retry-time 2

authentication mac-move quiet-log enable

命令功能

authentication mac-move quiet-log enable命令用来使能设备记录MAC迁移静默相关日志的功能。

undo authentication mac-move quiet-log enable命令去使能设备记录MAC迁移静默相关日志的功能。

缺省情况下,已使能设备记录MAC迁移静默相关日志的功能。

命令格式

authentication mac-move quiet-log enable

undo authentication mac-move quiet-log enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

为提高MAC迁移静默功能的可维护性,便于管理员定位用户MAC迁移失败的原因,设备支持在添加或删除MAC迁移静默表项时记录日志。

使用实例

# 使能设备记录MAC迁移静默相关日志的功能。

<HUAWEI> system-view
[HUAWEI] authentication mac-move quiet-log enable

authentication mac-move quiet-times quiet-period

命令功能

authentication mac-move quiet-times quiet-period命令用来配置MAC迁移用户被静默前60秒内允许迁移的次数和静默时间间隔。

undo authentication mac-move quiet-times quiet-period命令用来恢复缺省值。

缺省情况下,MAC迁移用户被静默前60秒内允许迁移的次数为3次、静默的时间间隔为0秒。

命令格式

authentication mac-move { quiet-times times | quiet-period quiet-value } *

undo authentication mac-move { quiet-times | quiet-period } *

参数说明

参数

参数说明

取值

times

指定MAC迁移用户被静默前60秒内允许迁移的次数。

整数形式,取值范围为1~10。

quiet-value

指定MAC迁移用户静默的时间间隔。

整数形式,取值范围为0~3600。

取值为0时表示关闭MAC迁移静默功能。

视图

系统视图

缺省级别

2:配置级

使用指南

用户频繁切换接入接口(特别是环路等原因造成的频繁切换),会导致设备处理大量认证报文和认证表项,出现CPU占用率高的问题。为解决该问题,可以配置MAC迁移静默功能。

配置MAC迁移静默功能后,若某一用户在60秒内迁移的次数超过设置的值(即times),设备会将该用户静默一段时间(即quiet-value)。在静默时间内,设备不允许用户进行MAC迁移。

使用实例

# 配置MAC迁移用户被静默前60秒内允许迁移的次数为5次、静默时间间隔为120秒。

<HUAWEI> system-view
[HUAWEI] authentication mac-move quiet-times 5 quiet-period 120

authentication mac-move quiet-user-alarm enable

命令功能

authentication mac-move quiet-user-alarm enable命令用来使能设备发送MAC迁移静默相关告警的功能。

undo authentication mac-move quiet-user-alarm enable命令去使能设备发送MAC迁移静默相关告警的功能。

缺省情况下,未使能设备发送MAC迁移静默相关告警的功能。

命令格式

authentication mac-move quiet-user-alarm enable

undo authentication mac-move quiet-user-alarm enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

为提高MAC迁移静默功能的可维护性,设备支持发送MAC迁移静默相关告警的功能。当MAC迁移静默表的实际用户数占规格数的百分比高于配置的上限告警阈值时,设备发送告警;之后,如果该比例降到等于或小于配置的下限告警阈值时,设备再发送恢复告警。发送告警的上下限阈值通过命令authentication mac-move quiet-user-alarm percentage配置。

使用实例

# 使能设备发送MAC迁移静默相关告警的功能。

<HUAWEI> system-view
[HUAWEI] authentication mac-move quiet-user-alarm enable

authentication mac-move quiet-user-alarm percentage

命令功能

authentication mac-move quiet-user-alarm percentage命令用来配置MAC迁移静默用户数的告警上下限阈值。

undo authentication mac-move quiet-user-alarm percentage命令用来恢复缺省值。

缺省情况下,MAC迁移静默用户数的告警下限阈值是50、上限阈值是100。

命令格式

authentication mac-move quiet-user-alarm percentage lower-threshold upper-threshold

undo authentication mac-move quiet-user-alarm percentage

参数说明

参数

参数说明

取值

lower-threshold

指定告警下限阈值。

整数形式,取值范围为1~100。

upper-threshold

指定告警上限阈值。

整数形式,取值范围为1~100。

取值必须大于lower-threshold

视图

系统视图

缺省级别

2:配置级

使用指南

为提高MAC迁移静默功能的可维护性,可以通过命令authentication mac-move quiet-user-alarm enable使能设备发送MAC迁移静默相关告警的功能。当MAC迁移静默表的实际用户数占规格数的百分比高于配置的上限告警阈值时,设备发送告警;之后,如果该比例降到等于或小于配置的下限告警阈值时,设备再发送恢复告警。发送告警的上下限阈值通过命令authentication mac-move quiet-user-alarm percentage配置。

使用实例

# 配置MAC迁移静默用户数的告警下限阈值是40、上限阈值是80。

<HUAWEI> system-view
[HUAWEI] authentication mac-move quiet-user-alarm percentage 40 80

authentication max-reauth-req

命令功能

authentication max-reauth-req命令用来配置对Critical-Vlan用户触发重认证的最大次数。

undo authentication max-reauth-req命令用来恢复对Critical-Vlan用户触发重认证的最大次数为缺省值。

缺省情况下,对Critical-vlan用户触发重认证的次数为20。

命令格式

系统视图:

authentication max-reauth-req times interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo authentication max-reauth-req [ times ] interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

authentication max-reauth-req times

undo authentication max-reauth-req [ times ]

参数说明

参数

参数说明

取值

times

指定触发重认证的最大次数。

整数形式,取值范围是1~20,默认值为20。

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型
  • interface-number1表示第一个接口编号
  • interface-number2表示最后一个接口编号

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

在设备维护的认证服务器的状态由down转变为up时,则设备会触发对已加入Critical-VLAN的用户进行重认证。若认证成功,则该类用户将退出Critical-VLAN。但是如果由于一些其他原因,譬如接入用户客户端自身存在故障而导致始终无法重认证成功,则用户不断的重认证将会降低设备性能。配置对Critical-Vlan用户触发重认证的最大次数后,若在规定的次数内用户仍不能认证成功,设备会将此用户退出Critical-VLAN。

使用实例

# 在接口GE1/0/1上配置对Critical-vlan用户触发重认证的最大次数为5。

<HUAWEI> system-view
[HUAWEI] authentication max-reauth-req 5 interface gigabitethernet 1/0/1

authentication open

命令功能

authentication open命令用来使能接口的Open功能。

undo authentication open命令用来去使能接口的Open功能。

缺省情况下,未使能接口的Open功能。

命令格式

系统视图:

authentication open interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo authentication open interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

authentication open

undo authentication open

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型
  • interface-number1表示第一个接口编号
  • interface-number2表示最后一个接口编号

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在NAC网络部署初期阶段,为了在认证服务器上配置接入用户的用户名、密码以及授权权限等信息,网络管理员更需要关注网络中准备接入的用户的数量、用户的认证方式等情况而非对用户进行接入控制。在接入设备上部署802.1X或MAC认证功能后,由于用户必须通过认证才能接入网络,这就使得网络管理员无法获取到在认证服务器上仍未配置用户名和密码的用户信息。

使能接口的Open功能,可使用户在接入认证失败时仍能够正常接入网络,从而能够解决上述问题。

注意事项

  • Open功能仅适用于802.1X和MAC认证。

  • Open功能仅适用于RADIUS远端认证。

  • Open功能仅在接口接入控制方式为基于MAC方式时有效,支持正常上线用户的动态VLAN授权,不支持Guest-vlan授权。

  • 接口下使能了Open功能后,当MAC认证的用户名采用固定用户名形式时,即使MAC用户的用户名和密码错误,该接口下的MAC认证用户仍能正常接入网络。

使用实例

# 在接口GE1/0/1上使能Open功能。

<HUAWEI> system-view
[HUAWEI] authentication open interface gigabitethernet 1/0/1
相关主题

authentication port-vlan-modify user-online

命令功能

authentication port-vlan-modify user-online命令用来开启修改端口类型或VLAN时保持用户在线功能。

undo authentication port-vlan-modify user-online命令用来恢复缺省配置。

缺省情况下,未开启修改端口类型或VLAN时保持用户在线功能。

命令格式

authentication port-vlan-modify user-online

undo authentication port-vlan-modify user-online

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

用户接入认证成功后,可以通过RADIUS服务器修改用户允许访问的VLAN或改变用户的接入接口类型。例如,可以通过服务器为客户端授权VLAN的方式进行网络规划部署。部署完成后,为减少链路故障,设备重启等事件对网络的影响,实现网络快速恢复,可以将用户接入的VLAN改为授权的VLAN。此时可以开启修改端口类型或VLAN时保持用户在线功能,在保持用户在线的情况下修改接口和VLAN的配置。

说明:
仅802.1X认证和MAC认证支持该功能。

使用实例

# 开启修改端口类型或VLAN时保持用户在线功能。

<HUAWEI> system-view
[HUAWEI] authentication port-vlan-modify user-online

authentication restrict-vlan

命令功能

authentication restrict-vlan命令用来配置接口的Restrict VLAN。

undo authentication restrict-vlan命令用来删除接口配置的Restrict VLAN。

缺省情况下,接口下未配置Restrict VLAN。

命令格式

系统视图:

authentication restrict-vlan vlan-id interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo authentication restrict-vlan [ vlan-id ] interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

authentication restrict-vlan vlan-id

undo authentication restrict-vlan [ vlan-id ]

参数说明

参数

参数说明

取值

vlan-id

指定Restrict VLAN的VLAN ID。

整数形式,取值范围是1~4094。

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型
  • interface-number1表示第一个接口编号
  • interface-number2表示最后一个接口编号

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

为了满足用户在认证失败时也能够访问某些网络资源的需求,比如更新病毒库等。可在设备接口上配置Restrict VLAN。之后,用户在认证失败时将被加入Restrict VLAN进而能够访问Restrict VLAN中的资源。需要注意的是,这里的认证失败是指认证服务器因某种原因而明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接断开等原因造成的认证失败。

说明:
  • Restrict VLAN和Guest VLAN的区别是,用户认证失败时的受限访问方式是加入Restrict VLAN,用户不进行认证时的受限访问方式是加入Guest VLAN。

  • 如果没有配置Restrict VLAN,而配置了Guest VLAN,则用户认证失败以后,也会加入Guest VLAN。

前置条件

配置的Restrict VLAN必须已经创建。

注意事项

  • Super VLAN不能作为Restrict VLAN。
  • 如果配置了免认证IP网段,则Restrict VLAN功能立即失效。
  • 只有在用户发往设备的报文为Untagged时,Restrict VLAN功能才生效。
  • VLAN授权功能生效,对认证接口的链路类型和接入控制方式有如下要求:
    • 接口链路类型是Untagged的Hybrid类型时,其接入控制方式可以为基于MAC地址或基于接口的。
    • 接口链路类型是Access或Trunk类型时,其接入控制方式只能是基于接口的。

使用实例

# 系统视图下,使能接口GE1/0/1基于Port方式的802.1X认证功能,并配置Restrict VLAN为VLAN20。

<HUAWEI> system-view
[HUAWEI] vlan batch 20
[HUAWEI] dot1x enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] port link-type hybrid
[HUAWEI-GigabitEthernet1/0/1] quit
[HUAWEI] dot1x enable interface gigabitethernet 1/0/1
[HUAWEI] dot1x port-method port interface gigabitethernet 1/0/1
[HUAWEI] authentication restrict-vlan 20 interface gigabitethernet 1/0/1

authentication speed-limit auto

命令功能

authentication speed-limit auto命令用来使能设备对NAC用户报文处理速率动态调整功能。

undo authentication speed-limit auto命令用来去使能设备对NAC用户报文处理速率动态调整功能。

缺省情况下,未使能设备对NAC用户报文处理速率动态调整功能。

命令格式

authentication speed-limit auto

undo authentication speed-limit auto

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

当设备CPU或内存占用率很高时(譬如CPU或内存占有率大于80%),此时如果仍有大量NAC用户进行接入认证或者下线,这会给设备CPU带来很大的负担。

执行本命令后,当设备的CPU或内存占用率过高时,设备将动态调整每秒能够处理的NAC用户报文数,这在一定程度上能够减轻设备CPU的负担。

使用实例

# 使能设备对NAC用户报文处理速率动态调整功能。

<HUAWEI> system-view
[HUAWEI] authentication speed-limit auto

authentication timer re-authen

命令功能

authentication timer re-authen命令用来配置对预连接用户或认证失败用户进行重认证的周期。

undo authentication timer re-authen命令用来恢复缺省配置。

缺省情况下,对预连接用户或认证失败用户进行重认证的周期为60秒。

命令格式

authentication timer re-authen { pre-authen re-authen-time | authen-fail re-authen-time }

undo authentication timer re-authen { pre-authen | authen-fail }

参数说明

参数 参数说明 取值
pre-authen re-authen-time

指定对预连接用户进行重认证的周期。

整数形式,取值范围是0或30~7200,单位是秒。

0表示关闭预连接用户的重认证功能。

authen-fail re-authen-time

指定对认证失败用户进行重认证的周期。

整数形式,取值范围是30~7200,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户在预连接阶段或认证失败并授予网络访问策略时,设备会建立对应的用户表项。为使用户能够及时的通过认证,设备将根据用户表项定时对预连接阶段或认证失败用户进行重认证。根据实际网络环境管理员可使用本命令调节重认证的周期。

注意事项

本命令功能仅适用于802.1X认证和MAC认证。

该功能仅对配置成功后新上线的用户生效。

当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。

使用实例

# 配置对认证失败用户进行重认证的周期为300秒。

<HUAWEI> system-view
[HUAWEI] authentication timer re-authen authen-fail 300

authentication user-alarm percentage

命令功能

authentication user-alarm percentage命令用来配置NAC认证用户数的告警阈值百分比。

undo authentication user-alarm命令用来恢复NAC认证用户数的告警阈值百分比为缺省情况。

缺省情况下,NAC认证用户数的下限告警阈值百分数为50,上限告警阈值百分数为100。

命令格式

authentication user-alarm percentage percent-lower-value percent-upper-value

undo authentication user-alarm

参数说明

参数 参数说明 取值
percent-lower-value

指定NAC认证用户数的下限告警阈值百分比。

整数形式,取值范围是1~100。

percent-upper-value

指定NAC认证用户数的上限告警阈值百分比。

整数形式,取值范围是1~100,但必须大于或等于下限告警阈值。

视图

系统视图

缺省级别

2:配置级

使用指南

当NAC认证用户达到设备规格的一定比例时,设备会发出告警。可使用命令authentication user-alarm percentage配置NAC认证用户数的告警阈值百分比。

当实际上线的NAC认证用户数占配置的最大用户数比例大于或等于上限告警阈值百分比时,设备将会发出告警。之后,如果该比例又等于或小于下限告警阈值百分比,设备会再次发出告警。

使用实例

# 配置NAC认证用户数的下限告警阈值百分数为30,上限告警阈值百分数为80。

<HUAWEI> system-view
[HUAWEI] authentication user-alarm percentage 30 80

band-width share-mode

命令功能

band-width share-mode命令用来使能用户带宽共享模式。

undo band-width share-mode命令用来恢复缺省配置。

缺省情况下,未使能用户带宽共享模式。

命令格式

band-width share-mode

undo band-width share-mode

参数说明

视图

系统视图、AAA域视图

缺省级别

3:管理级

使用指南

应用场景

对于家庭网络而言,家庭内所有成员通常采用同一个账号进行认证。此时,为了保障每个家庭成员的上网体验,可以通过本命令使能用户带宽共享模式,使得所有成员可以共享带宽。

注意事项

  • 对于Eth-Trunk接口接入的用户,当流量位于同一接口板时,可以共享带宽,当流量位于不同接口板时,由该接口板的CAR值限制。
  • 在系统视图下执行此命令,则对所有接入该设备的新上线用户生效;在AAA域下执行该命令,则仅对该域的新上线用户生效。

  • 如果本地或远端RADIUS服务器没有为上线或已在线用户下发CAR值,则共享带宽模式对该用户无效。

  • 配置共享带宽,不同用户使用同一个账号进行认证,对后上线的用户授权CAR时不会影响之前上线的未授权CAR的用户。

使用实例

# 在系统视图下使能用户带宽共享模式。

<HUAWEI> system-view
[HUAWEI] band-width share-mode

# 在AAA域下使能用户带宽共享模式。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] band-width share-mode

car(用户组视图)

命令功能

car命令用来配置对用户组内的用户进行流量监管。

undo car命令用来取消对用户组内用户的流量监管。

缺省情况下,未对用户组内的用户进行流量监管。

命令格式

car { outbound | inbound } cir cir-value [ pir pir-value | cbs cbs-value | pbs pbs-value ] *

undo car { outbound | inbound }

参数说明

参数 参数说明 取值
outbound

指定将用户组CAR应用在接口出方向上,以对流出该接口的流量进行监管。

-

inbound

指定将用户组CAR应用在接口入方向上,以对流入该接口的流量进行监管。

-

cir cir-value

指定承诺信息速率(Committed Information Rate),即保证能够通过的平均速率。

整数形式,取值范围是64~4294967295。单位:Kbps。

pir pir-value

指定峰值信息速率(Peak Information Rate),即最大能够通过的速率。

整数形式,取值范围是64~4294967295。单位:Kbps。

pir-value必须大于等于cir-value,缺省等于cir-value

cbs cbs-value

指定承诺突发尺寸(Committed Burst Size),即瞬间能够通过的承诺突发流量。

整数形式,取值范围是10000~4294967295。单位:Byte。

cbs-value缺省等于188*cir-value

pbs pbs-value

指定峰值突发尺寸(Peak Burst Size),即瞬间能够通过的峰值突发流量。

整数形式,取值范围是10000~4294967295。单位:Byte。

pbs-value必须大于cbs-value,缺省等于188*pir-value

视图

用户组视图

缺省级别

2:配置级

使用指南

应用场景

在使用命令user-group创建用户组之后,如果需让不同用户组内的用户具有不同的网络带宽,则可使用本命令配置对用户组内的用户进行流量监管。

注意事项

  • 本命令功能对用户组内的每个用户单独生效。

  • 该功能仅对配置成功后新上线的用户生效。

通过Eth-Trunk接口连接到设备的用户进行Portal认证上线时,仅X系列单板支持对此类用户进行流量监管。

使用实例

# 配置对用户组内用户的接口出方向的承诺速率值为10000Kbps,承诺突发尺寸值为50000Byte。

<HUAWEI> system-view
[HUAWEI] user-group huawei
[HUAWEI-user-group-huawei] car outbound cir 10000 cbs 50000

cut access-user

命令功能

cut access-user命令用来强制用户下线。

命令格式

cut access-user open

cut access-user user-group group-name

参数说明

参数

参数说明

取值

open

指定强制Open用户下线。

-

user-group group-name

指定根据用户所属的用户组强制用户下线。

已存在的用户组名称。

视图

AAA视图

缺省级别

3:管理级

使用指南

用户上线后,如果管理员需要更改用户的网络访问权限或者发现存在非法用户接入网络等原因,可使用本命令强制用户下线。

使用实例

# 强制Open用户下线。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] cut access-user open

display aaa statistics access-type-authenreq

命令功能

display aaa statistics access-type-authenreq命令用来查看MAC、Portal和802.1X认证请求数。

命令格式

display aaa statistics access-type-authenreq

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

当用户发起认证请求时,设备会对收到的MAC、Portal和802.1X认证请求数进行统计。

通过执行命令display aaa statistics access-type-authenreq,可以查看MAC、Portal和802.1X认证请求数。

使用实例

# 查看MAC、Portal和802.1X认证请求数。

<HUAWEI> display aaa statistics access-type-authenreq
mac     authentication request     :2
portal  authentication request     :0
dot1x   authentication request     :0
表13-85  display aaa statistics access-type-authenreq命令输出信息描述

项目

描述

mac authentication request

MAC的认证请求数。

portal authentication request

Portal的认证请求数。

dot1x authentication request

802.1X的认证请求数。

display authentication mode

命令功能

display authentication mode命令用来查看当前以及重启后的NAC配置模式。

命令格式

display authentication mode

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

用户需要了解当前的NAC配置模式时,可以执行本命令进行查看。

使用实例

# 查看当前以及重启后的NAC配置模式。
<HUAWEI> display authentication mode
  Current authentication mode is unified-mode                               
  Next authentication mode is unified-mode  
表13-86  display authentication mode命令输出信息描述

项目

描述

Current authentication mode is unified-mode 当前NAC配置模式。
  • unified-mode:统一模式
  • common-mode:传统模式
Next authentication mode is unified-mode 设备重启后NAC配置模式。

执行命令authentication unified-mode,将NAC配置模式切换成统一模式。

执行命令undo authentication unified-mode,将NAC配置模式切换成传统模式。

display access-user

命令功能

display access-user命令用来查看NAC接入用户的信息。

命令格式

display access-user open

display access-user option82 { circuit-id text | remote-id text }

display access-user user-group group-name [ detail ]

参数说明

参数

参数说明

取值

open

显示Open用户信息。

-

option82

显示用户名采用Option82选项的MAC认证用户信息。

-

circuit-id text

显示以指定circuit-id内容为用户名的MAC认证用户信息。

已存在的circuit-id信息。

remote-id text

显示以指定remote-id内容为用户名的MAC认证用户信息。

已存在的remote-id信息。

user-group group-name

显示指定用户组内的用户信息。

已存在的用户组名称。
detail

显示详细用户信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

本命令用于管理员在设备上查看已在线的NAC用户信息。

使用实例

# 查看Open用户的信息。

<HUAWEI> display access-user open 
-------------------------------------------------------------------------------
 UserID Username                IP address         MAC             Status 
 ------------------------------------------------------------------------------
 16016  1@radius                10.8.7.5           0011-0904-2f61  Success 
 ------------------------------------------------------------------------------
 Total: 1, printed: 1, Open: 1, printed: 1
说明:

目前,username仅支持显示为英文字母、数字或特殊字符的组合,不支持显示为中文等其他语言。

username中包含特殊字符和中文等其他语言时,显示时将这些字符都转换成“.”,如果有连续3个以上的这些字符,则都显示为3个“.”。其中,这里的特殊字符是指ASCII码值小于32(空格)或大于126(~)的字符。

username长度超过20个字符时,从第20个开始的字符都转换成“.”,且只显示22个字符。

表13-87  display access-user命令输出信息描述

项目

描述

UserID 用户上线后,设备自动为其分配的ID。
Username 用户名。
IP address 用户IP地址。
MAC 用户MAC地址。
Status

用户状态。

  • Open:对有线用户是认证失败后使能open功能上线;对无线用户是没有认证
  • Success:认证成功
  • Pre-authen:预认证
  • Client-no-resp:客户端无响应
  • Fail-authorized:认证失败以后授权
  • Web-server-down:WEB服务器down
  • Aaa-server-down:AAA服务器down

display access-user dot1x-identity statistics

命令功能

display access-user dot1x-identity statistics命令用来查看交换机上802.1X认证Identity报文的统计信息。

命令格式

display access-user dot1x-identity statistics

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

执行该命令可以查看交换机上802.1X认证Identity报文的统计信息。

使用实例

# 查看交换机上802.1X认证Identity报文的统计信息。

<HUAWEI> display access-user dot1x-identity statistics
Process:5
-----------------------------------------------------------------------
Receive(Packet)    Pass(Packet)    Drop(Packet)    Last-dropping-time  
-----------------------------------------------------------------------
0                  0               0               -                   
-----------------------------------------------------------------------
...
表13-88  display access-user dot1x-identity statistics输出信息描述
项目 描述
Process 处理802.1X认证Identity报文的进程号。
Receive(Packet) 交换机接收的802.1X认证Identity报文总数。
Pass(Packet) 交换机上送CPU处理的802.1X认证Identity报文数目。
Drop(Packet) 交换机丢弃的802.1X认证Identity报文数目。
Last-dropping-time 交换机最近一次丢弃802.1X认证Identity报文的时间。如果交换机上无丢包记录,则显示为“-”。

display authentication mac-move configuration

命令功能

display authentication mac-move configuration命令用来查看MAC迁移功能的相关配置信息。

命令格式

display authentication mac-move configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

执行本命令,可以查看MAC迁移功能的相关配置信息,例如MAC迁移用户被静默前60秒内允许迁移的次数、MAC迁移用户被静默的时间间隔、MAC迁移前探测的时间间隔和次数。

使用实例

# 查看MAC迁移功能的相关配置信息。

<HUAWEI> display authentication mac-move configuration
Mac-move vlan config:all                                                                                                            
Mac-move quiet times:1                                                                                                              
Mac-move quiet period(s):120                                                                                                        
Mac-move quiet log:ENABLE                                                                                                           
Mac-move quiet user alarm:ENABLE                                                                                                    
Mac-move quiet user alarm lower percentage(%):50                                                                                    
Mac-move quiet user alarm upper percentage(%):100
Mac-move detect:DISABLE                                                         
Mac-move detect retry-interval(s):3                                             
Mac-move detect retry-time:1 
表13-89  display authentication mac-move configuration命令输出信息描述

项目

描述

Mac-move vlan config

使能MAC迁移功能的VLAN范围。

相关命令请参见authentication mac-move enable

Mac-move quiet times

MAC迁移用户被静默前60秒内允许迁移的次数。

相关命令请参见authentication mac-move quiet-times quiet-period

Mac-move quiet period(s)

MAC迁移用户被静默的时间间隔。

相关命令请参见authentication mac-move quiet-times quiet-period

Mac-move quiet log
是否使能设备记录MAC迁移静默相关日志的功能。包括:
  • ENABLE:已使能
  • DISABLE:未使能

相关命令请参见authentication mac-move quiet-log enable

Mac-move quiet user alarm
是否使能设备发送MAC迁移静默相关告警的功能。包括:
  • ENABLE:已使能
  • DISABLE:未使能

相关命令请参见authentication mac-move quiet-user-alarm enable

Mac-move quiet user alarm lower percentage(%)

MAC迁移静默用户数的告警下限阈值。

相关命令请参见authentication mac-move quiet-user-alarm percentage

Mac-move quiet user alarm upper percentage(%)

MAC迁移静默用户数的告警上限阈值。

相关命令请参见authentication mac-move quiet-user-alarm percentage

Mac-move detect
是否使能MAC迁移前探测功能。包括:
  • ENABLE:已使能
  • DISABLE:未使能

相关命令请参见authentication mac-move detect enable

Mac-move detect retry-interval(s)

MAC迁移前探测的时间间隔。

相关命令请参见authentication mac-move detect retry-interval retry-time

Mac-move detect retry-time

MAC迁移前探测的次数。

相关命令请参见authentication mac-move detect retry-interval retry-time

display authentication mac-move quiet-user

命令功能

display authentication mac-move quiet-user命令用来查看MAC迁移静默用户信息。

命令格式

display authentication mac-move quiet-user { all | mac-address mac-address }

参数说明

参数

参数说明

取值

all

查看所有的MAC迁移静默用户信息。

-

mac-address mac-address

查看指定MAC地址的MAC迁移静默用户信息。

格式为H-H-H。其中H为1至4位的十六进制数。

视图

所有视图

缺省级别

1:监控级

使用指南

执行该命令可以查看处于静默状态的MAC迁移用户信息。

使用实例

# 查看所有的MAC迁移静默用户信息。

<HUAWEI> display authentication mac-move quiet-user all
Quiet MAC Information
-------------------------------------------------------------------------------
Quiet MAC                                                 Quiet Remain Time(Sec)
-------------------------------------------------------------------------------
0001-0002-0003                                            143
-------------------------------------------------------------------------------
1 quiet MAC found, 1 printed. 
表13-90  display authentication mac-move quiet-user all命令输出信息描述

项目

描述

Quiet MAC

MAC迁移静默用户的MAC地址。

Quiet Remain Time(Sec)

MAC迁移静默用户剩余静默时间,单位是秒。

display authentication user-alarm configuration

命令功能

display authentication user-alarm configuration命令用来查看NAC认证用户数告警阈值配置信息。

命令格式

display authentication user-alarm configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

查看NAC认证用户数告警阈值配置信息。

使用实例

# 查看NAC认证用户数告警阈值配置信息。

<HUAWEI> display authentication user-alarm configuration
  Current Alarm Percent:100                                                     
  Current Alarm Resume Percent:60 
表13-91  display authentication user-alarm configuration输出信息描述

项目

描述

Current Alarm Percent NAC认证用户数告警阈值上限百分比。
Current Alarm Resume Percent NAC认证用户数告警阈值下限百分比。

display dot1x

命令功能

display dot1x命令用来查看802.1X认证的相关信息。

命令格式

display dot1x statistics

display dot1x [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

参数说明

参数

参数说明

取值

statistics

查看802.1X的统计信息。

若不选取该参数则不查看802.1X的统计信息。

-

interface { interface-type interface-number1 [ to interface-number2 ] }

查看指定接口下802.1X的相关信息。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不选取该参数则查看设备所有接口下802.1X的相关信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

该命令可查看包含802.1X认证所有配置命令的配置结果和802.1X相关报文的收发统计信息等。

根据该命令的输出信息,可以帮助用户确认当前的802.1X配置是否正确,并有助于802.1X的故障诊断与排除。

后续任务

根据显示信息中802.1X相关的报文统计信息,用户可查看该类报文的收发情况,定位异常报文。在进行故障定位后,可使用命令reset dot1x statistics清空统计数据,重新统计后再次使用命令display dot1x查询是否有异常报文信息,进而判断故障是否排除。

使用实例

# 显示802.1X的相关信息。

<HUAWEI> display dot1x
  Global 802.1x is Enabled
  Authentication method is CHAP
  Max users: 65536
  Current users: 1
  DHCP-trigger is Disabled
  Handshake is Enabled
  Quiet function is Enabled
  Mc-trigger port-up-send is Disabled
  Parameter set:Dot1x Handshake Period        16s   Reauthen Period     60s
                Arp Handshake Period           0s   Client Timeout      10s
                Quiet Period                 600s   Quiet-times          2
                Eth-Trunk Handshake Period   120s   Tx Period           30
                Mac-By-Pass Delay             30s
  Dot1x URL: www.123.com.cn
  Free-ip configuration(IP/mask):
   192.168.1.0     /255.255.255.0

 GigabitEthernet1/0/3 status: UP  802.1x protocol is Enabled
  Port control type is Auto
  Authentication mode is MAC-based
  Authentication method is CHAP
  Reauthentication is disabled
  Dot1x retry times: 2
  Authenticating users: 1
  Current users: 1

  Authentication Success: 1          Failure: 0
  Enter Enquence        : 0
  EAPOL Packets: TX     : 19         RX     : 0
  Sent      EAPOL Request/Identity Packets       : 1
            EAPOL Request/Challenge Packets      : 0
            Multicast Trigger Packets            : 18
            EAPOL Success Packets                : 0
            EAPOL Failure Packets                : 0
  Received  EAPOL Start Packets                  : 0
            EAPOL Logoff Packets                 : 0
            EAPOL Response/Identity Packets      : 0
            EAPOL Response/Challenge Packets     : 0

 Online user(s) info:
 UserId   MAC/VLAN            AccessTime              UserName
 ------------------------------------------------------------------------------
 17487    000c-2952-fd80/34   2018/07/30 09:49:15     lss
 ------------------------------------------------------------------------------
 Total: 1, printed: 1                                                           
# 显示802.1X的统计信息。
<HUAWEI> display dot1x statistics
  Dropped   EAPOL Access Flow Control       : 0
            EAPOL Check Sysmac Error        : 0
            EAPOL Get Vlan ID Error         : 0
            EAPOL Packet Flow Control       : 0
            EAPOL Online User Reach Max     : 0
            EAPOL Static or BlackHole Mac   : 0
            EAPOL Get Vlan Mac Error        : 0
            EAPOL Temp User Exist           : 0
            EAPOL no replace dot1x          : 0  

  DHCP      Enter Enqueue                        : 0
            Processed Packet                     : 0
            Dropped Packet                       : 0

  ARP       Enter Enqueue                        : 0
            Processed Packet                     : 0
            Dropped Packet                       : 0

  ND        Enter Enqueue                        : 0
            Processed Packet                     : 0
            Dropped Packet                       : 0

  DHCPv6    Enter Enqueue                        : 0
            Processed Packet                     : 0
            Dropped Packet                       : 0

  Sent      Authentication Request               : 0
            Cut Request                          : 0
            Cut Command Ack                      : 0
            Authentication Ack Fail Aff          : 0
            Update Ip                            : 0
            Wlan Eap Authentication Request      : 0
            Wlan Eap Authentication Request Ack  : 0
            Wlan Eap Send Pmk                    : 0
            Wlan Eap Reauthenticate Send Pmk     : 0
            Update User Online Time              : 0

  Received  Authentication Ack                   : 0
            Reauthenticate Command               : 0
            Cut Command                          : 0
            Cut Ack                              : 0
            Sam Nac Ack                          : 0
            Notify Server Up                     : 0
            Wlan Eap Authentication Request      : 0
            Wlan Mac Authentication Request      : 0
            Notify Vlanif Mac Authentication     : 0
表13-92  display dot1x命令显示信息说明

项目

描述

Global 802.1x is Enabled

全局使能802.1X认证功能。

配置该功能,请参见dot1x enable

Authentication method is CHAP

CHAP认证方法开启。认证方法一共有三种:EAP、CHAP、PAP。

配置该功能,请参见dot1x authentication-method

Max users

全局最大在线用户数,取值因设备形态而异

配置该功能,请参见dot1x max-user

Current users

当前在线用户数。

DHCP-trigger is Disabled

DHCP报文触发认证功能的使能状态。

配置该功能,请参见dot1x dhcp-trigger

Handshake is Enabled

在线用户握手功能。

配置该功能,请参见dot1x handshake

Quiet function is Disabled

用户静默功能的使能状态。

配置该功能,请参见dot1x quiet-period

Mc-trigger port-up-send is Disabled

设备接口Up时802.1X的组播立即触发功能的使能状态。

配置该功能,请参见dot1x mc-trigger port-up-send enable

Parameter set

802.1X参数设置状态。

Dot1x Handshake Period

设备与非Eth-Trunk接口下的802.1X客户端握手周期。

配置该功能,请参见dot1x timer

Reauthen Period

用户重认证定时器周期。

配置该功能,请参见dot1x timer

Arp Handshake Period

设备与预连接用户以及已授权用户之间的握手周期。

Client Timeout

客户超时定时器周期。

配置该功能,请参见dot1x timer

Quiet Period

静默定时器设置的静默时长。

配置该功能,请参见dot1x timer

Quiet-times

802.1X认证用户被静默前允许认证失败的次数。

配置该功能,请参见dot1x quiet-times

Eth-Trunk Handshake Period

设备与Eth-Trunk接口下的802.1X客户端握手周期。

配置该功能,请参见dot1x timer

Tx Period

发送认证请求的时间间隔。

配置该功能,请参见dot1x timer

Mac-By-Pass Delay MAC旁路认证延迟的时间间隔。

配置该功能,请参见dot1x timer

Dot1x URL

802.1X用户HTTP访问的重定向URL。

配置该功能,请参见dot1x url

Free-ip configuration(IP/mask)

802.1X认证用户在802.1X认证成功之前可访问的免认证网段。

配置该功能,请参见dot1x free-ip

GigabitEthernet1/0/1 state

接口的状态。

  • UP:接口开启
  • DOWN:接口关闭

802.1x protocol is Enabled[mac-bypass]

接口802.1X认证功能的使能状态。配置该功能,请参见dot1x enable

如果配置MAC旁路认证功能,请参见dot1x mac-bypass。在此处会显示“[mac-bypass]”。

Port control type is Auto

接口上802.1X用户接入的控制模式。分为auto模式、authorized-force模式和unauthorized-force模式。

具体配置方法和模式解释请参见命令dot1x port-control

Authentication mode is MAC-based

接口的认证方式。

配置该功能,请参见dot1x port-method

Reauthentication is disabled

接口上的802.1X用户重认证功能的使能状态。

配置该功能,请参见dot1x reauthenticate

Dot1x retry times

802.1X用户发送认证请求的最大次数。

配置该功能,请参见dot1x retry

Authenticating users

正在认证的用户数。

Current users

接口当前在线用户数。

Authentication Success

认证成功的次数。

这里的统计结果只包含802.1X上线用户,没有包含MAC旁路认证用户。

Failure

认证失败的次数。

这里的统计结果只包含802.1X上线用户,没有包含MAC旁路认证用户。

EAPOL Packets

全局EAPOL报文的总次数:

  • TX:发送EAPOL报文的次数。
  • RX:接收EAPOL报文的次数。

Sent

发送报文统计。

EAPOL Request/Identity Packets

全局EAPOL Request/Identity类型的报文的数量。

EAPOL Request/Challenge Packets

全局EAPOL Request/Challenge类型的报文的数量。

Multicast Trigger Packets

全局组播触发类型的报文的数量。

EAPOL Success Packets

全局EAPOL Success类型的报文的数量。

EAPOL Failure Packets

全局EAPOL Failure类型的报文的数量。

Received

接收报文统计。

EAPOL Start Packets

全局EAPOL Start类型的报文的数量。

EAPOL Logoff Packets

全局EAPOL LogOff类型的报文的数量。

EAPOL Response/Identity Packets

全局EAPOL Response/Identity类型的报文的数量。

EAPOL Response/Challenge Packets

全局EAPOL Response/Challenge类型的报文的数量。

Online user(s) info 在线用户信息:
  • UserId:用户ID。
  • MAC/VLAN:MAC地址/VLAN ID。
  • AccessTime:接入时间。
  • UserName:用户名。
  • Total:在线用户总数目。
  • printed:显示的在线用户数目。
Dropped
设备丢弃的各类EAP报文数。
  • EAPOL Access Flow Control:超过用户接入速率而被丢弃的报文数。
  • EAPOL Check Sysmac Error:检查设备MAC地址错误而被丢弃的报文数。
  • EAPOL Get Vlan ID Error:获取VLAN ID错误而被丢弃的报文数。
  • EAPOL Packet Flow Control:超过报文接入速率而被丢弃的报文数。
  • EAPOL Online User Reach Max:达到最大在线用户而被丢弃的报文数。
  • EAPOL Static or BlackHole Mac:报文MAC地址为静态MAC或黑洞MAC而被丢弃的报文数。
  • EAPOL Get Vlan Mac Error:获取VLAN MAC错误而被丢弃的报文数。
  • EAPOL Temp User Exist:临时用户存在而被丢弃的报文数。
  • EAPOL no replace dot1x:认证成功的MAC或Portal用户又进行802.1X认证而被丢弃的EAP Start报文数。
DHCP DHCP报文统计信息。
ARP ARP报文统计信息。
ND ND报文统计信息。
DHCPv6 DHCPv6报文统计信息。
ANYL2 任意二层报文统计信息。
Enter Enqueue 进入队列的报文数量。
Processed Packet 已处理的报文数量。
Dropped Packet 丢弃的报文数量。
Authentication Request 认证请求消息次数。
Cut Request 下线请求消息次数。
Cut Command Ack 下线命令请求的应答消息次数。
Authentication Ack Fail Aff 无线用户认证失败后将用户去关联次数。
Update Ip 更新IP地址的消息次数。
Wlan Eap Authentication Request WLAN发起的EAP认证请求消息次数。
Wlan Eap Authentication Request Ack WLAN发起的EAP认证请求的应答消息次数。
Wlan Eap Send Pmk WLAN进行EAP认证发送PMK消息次数。
Wlan Eap Reauthenticate Send Pmk WLAN进行EAP重认证发送PMK消息次数。
Update User Online Time 更新用户在线时长消息次数。
Authentication Ack 认证应答消息次数。
Reauthenticate Command 重认证消息次数。
Cut Command 下线命令请求消息次数。
Cut Ack 下线请求的应答消息次数。
Sam Nac Ack SAM回应EAP消息次数。
Notify Server Up RADIUS服务器UP消息次数。
Wlan Mac Authentication Request WLAN发起的MAC认证请求消息次数。
Notify Vlanif Mac Authentication VLANIF接口的MAC认证请求消息次数。

display dot1x quiet-user

命令功能

display dot1x quiet-user命令用来查看802.1X认证静默用户信息。

命令格式

display dot1x quiet-user { all | mac-address mac-address }

参数说明

参数

参数说明

取值

all

查看所有的802.1X认证静默用户信息。

-

mac-address mac-address

查看指定MAC地址的802.1X认证静默用户信息。

格式为H-H-H。其中H为1至4位的十六进制数。

视图

所有视图

缺省级别

1:监控级

使用指南

执行该命令可以查看处于静默状态的802.1X认证用户信息。

使用实例

# 查看所有的802.1X认证静默用户信息。

<HUAWEI> display dot1x quiet-user all
-------------------------------------------------------------------------------
MacAddress                                                Quiet Remain Time(Sec)
-------------------------------------------------------------------------------
0001-0002-0003                                            50
-------------------------------------------------------------------------------
1 silent mac address(es) found, 1 printed. 
表13-93  display dot1x quiet-user all命令输出信息描述

项目

描述

MacAddress

802.1X认证静默用户的MAC地址。

Quiet Remain Time(Sec)

802.1X认证静默用户剩余静默时间,单位是秒。

display mac-address authen

命令功能

display mac-address authen命令用来查看系统当前存在的authen类型的MAC地址表项。

命令格式

display mac-address authen [ interface-type interface-number | vlan vlan-id ] * [ verbose ]

参数说明

参数 参数说明 取值
vlan vlan-id

显示包含指定VLAN参数的MAC地址表项。

如果不指定VLAN参数,将显示设备中包含所有VLAN参数的MAC地址表项。

整数形式,取值范围是1~4094。
interface-type interface-number

显示包含指定接口参数的MAC地址表项。

如果不指定接口参数,将显示设备中包含所有接口参数的MAC地址表项。

-

verbose

显示MAC地址表项的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

authen类型是指预连接用户或者用户通过认证后形成的MAC地址表项。管理员可通过执行本命令查看设备上存在的authen类型的MAC地址表项。通过这些表项可以查看各用户接入的具体情况,以便帮助管理员定位用户接入的异常状况。

注意事项

若设备上存在大量的authen的MAC地址表项信息,在使用本命令时,推荐通过指定VLAN或使用管道符的方式对显示的信息进行过滤。否则可能会因为显示信息过多而导致:
  • 终端屏幕不停地刷新使得管理员无法获取需要的信息。

  • 设备长时间的信息遍历和检索,造成设备无响应。

使用实例

# 查看系统中所有authen类型的MAC地址表项。

<HUAWEI> display mac-address authen
-------------------------------------------------------------------------------  
MAC Address    VLAN/VSI/BD                          Learned-From        Type        
-------------------------------------------------------------------------------
0000-0000-0100 3000/-/-                              GE1/0/1            authen
0000-0000-0400 3000/-/-                              GE1/0/1            authen
0000-0000-0200 3000/-/-                              GE1/0/1            authen
-------------------------------------------------------------------------------  
Total items displayed = 3                     
表13-94  display mac-address authen命令显示信息说明

项目

描述

MAC Address

认证用户的MAC地址。

VLAN/VSI/BD

出接口所在的VLAN/所属的VSI/BD域ID

Learned-From

MAC地址所对应的出接口。

Type

MAC地址的类型。

Total items displayed

符合查看条件的显示项总数。

display mac-address pre-authen

命令功能

display mac-address pre-authen命令用来查看设备上当前存在的Pre-authen类型的MAC地址表项。

命令格式

display mac-address pre-authen [ interface-type interface-number | vlan vlan-id ] * [ verbose ]

参数说明

参数 参数说明 取值
vlan vlan-id

显示包含指定VLAN参数的MAC地址表项。

如果不指定VLAN参数,将显示设备中包含所有VLAN参数的MAC地址表项。

整数形式,取值范围是1~4094。
interface-type interface-number

显示包含指定接口参数的MAC地址表项。

如果不指定接口参数,将显示设备中包含所有接口参数的MAC地址表项。

-

verbose

显示MAC地址表项的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

管理员可使用本命令查看设备上存在的预连接类型的MAC地址表项,了解各预连接用户接入的具体情况,以便帮助其定位用户接入的异常状况。

注意事项

若设备上存在大量的pre-authen类型的MAC地址表项信息,在使用本命令时,推荐通过指定VLAN或使用管道符的方式对显示的信息进行过滤。否则可能会因为显示信息过多而导致:
  • 终端屏幕不停地刷新使得管理员无法获取需要的信息。

  • 设备长时间的信息遍历和检索,造成设备无响应。

使用实例

# 查看系统中所有pre-authen类型的MAC地址表项。

<HUAWEI> display mac-address pre-authen
-------------------------------------------------------------------------------  
MAC Address    VLAN/VSI/BD                          Learned-From        Type        
-------------------------------------------------------------------------------
0000-0000-0100 3000/-/-                              GE1/0/1            pre-authen
0000-0000-0400 3000/-/-                              GE1/0/1            pre-authen
0000-0000-0200 3000/-/-                              GE1/0/1            pre-authen
-------------------------------------------------------------------------------  
Total items displayed = 3                     
表13-95  display mac-address pre-authen命令显示信息说明

项目

描述

MAC Address

认证用户的MAC地址。

VLAN/VSI/BD

出接口所在的VLAN/所属的VSI/BD域ID

Learned-From

MAC地址所对应的出接口。

Type

MAC表项类型。

Total items displayed

符合查看条件的显示项总数。

display mac-authen

命令功能

display mac-authen命令用来查看MAC认证相关信息。

命令格式

display mac-authen [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> | configuration ]

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

查看指定接口下的MAC认证相关信息。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不选取该参数则查看设备所有接口下MAC认证的相关信息。

-

configuration

查看全局的MAC认证相关信息。

-

视图

所有视图

缺省级别

1 :监控级

使用指南

应用场景

该命令可参看包含MAC认证所有配置命令的配置结果。根据输出信息,管理员可确认当前的MAC认证配置是否正确,将有助于MAC认证的故障诊断与排除。

后续任务

显示信息中的报文统计信息,可以帮组管理员根据报文的收发情况,定位异常报文,在进行故障定位后,可以使用reset mac-authen statistics清空统计数据,重新统计,再次使用display mac-authen查询是否有异常报文信息,进而判断故障是否排除。

使用实例

# 查看所有MAC地址认证信息。

<HUAWEI> display mac-authen
  MAC address authentication is Enabled.
  Username format: use MAC address without-hyphen as username
  Quiet period is 60s                                                     
  Authentication fail times before quiet is 1
  Offline detect period is 300s                                           
  Reauthenticate period is 1000s
  Guest user reauthenticate period is 60s                          
  Maximum users: 100
  Current users: 1                                                
  Global domain is not configured                                        
  Trigger condition: dhcp arp dhcpv6 nd     
                                                                                
 GigabitEthernet1/0/1 state : UP. MAC address authentication is enabled                                        
  Reauthentication is enabled                                                   
  Reauthen Period: 1000s                                                        
  Maximum users: 100                                                           
  Current users: 1                                                              
  Authentication Success: 0, Failure: 0                                         
                                                                                
 Online user(s) info:                                                           
 UserId   MAC/VLAN            AccessTime              UserName                  
 ------------------------------------------------------------------------------ 
 16016    5489-9801-583d/2003 2014/01/26 09:22:49     wlan                      
 ------------------------------------------------------------------------------ 
 Total 1,1 printed   
表13-96  display mac-authen命令显示信息说明

项目

描述

Mac address authentication is Enabled

使能MAC地址认证。相关命令请参见mac-authen

Username format

MAC认证用户采用的用户名形式。

  • use MAC address without-hyphen as username:无分隔符的MAC地址,例如“0005e01c02e3”。
  • use MAC address with-hyphen as username:带分隔符的MAC地址,例如“0005-e01c-02e3”。
  • use MAC address with-hyphen normal as username:normal类型分隔符的MAC地址,例如“00-05-e0-1c-02-e3”。
  • use MAC address without-hyphen upper as username:无分隔符的大写MAC地址,例如“0005E01C02E3”。
  • use MAC address with-hyphen upper as username:带分隔符的大写MAC地址,例如“0005-E01C-02E3”。
  • use MAC address with-hyphen normal upper as username:normal类型分隔符的大写MAC地址,例如“00-05-E0-1C-02-E3”。
  • use MAC address with-hyphen colon as username:带分隔符“:”的MAC地址,例如“0005:e01c:02e3”。
  • use MAC address with-hyphen normal colon as username:normal类型带分隔符“:”的MAC地址,例如“00:05:e0:1c:02:e3”。
  • use MAC address with-hyphen colon upper as username:带分隔符“:”的大写MAC地址,例如“0005:E01C:02E3”。
  • use MAC address with-hyphen normal colon upper as username:normal类型带分隔符“:”的大写MAC地址,例如“00:05:E0:1C:02:E3”。
  • fixed username:固定用户名。
  • use option82 as username:Option 82选项内容作为用户名。
  • not configured:未配置。

相关命令请参见mac-authen username

Quiet period

静默定时器,用户认证失败后再次认证之前需要等待的时间,缺省值为60秒。

相关命令请参见mac-authen timer

Authentication fail times before quiet

用户被静默前允许认证失败的次数。

Offline detect period

下线检测定时器,定时探测用户是否在线的时间间隔,缺省值为300秒。

相关命令请参见mac-authen timer

Reauthenticate period is 1000s

对用户进行重认证的时间间隔,缺省值1800秒。

相关命令请参见mac-authen timer

Guest user reauthenticate period is 60s

对Guest VLAN内的用户进行重认证的时间间隔,缺省值60秒。

相关命令请参见mac-authen timer

Maximum users

设备支持的最大用户数,取值因设备形态而异

相关命令请参见mac-authen max-user

Current users

当前在线用户数。

Global domain

当前使用的认证域,缺省未配置。如果未配置则采用系统的“default”认证域。

相关命令请参见mac-authen domain

Trigger condition

能够触发MAC认证的报文类型。

配置该功能,请参见mac-authen trigger

GigabitEthernet1/0/1 current state

接口状态。

  • UP:接口开启
  • DOWN:接口关闭

MAC address authentication is Enabled

接口MAC地址认证功能已使能。相关命令请参见mac-authen

Reauthentication is enabled

MAC认证重认证功能已使能。相关命令请参见mac-authen reauthenticate

Reauthen Period

对用户进行重认证的时间间隔,缺省值1800秒。

相关命令请参见mac-authen timer reauthenticate-period

Maximum users

接口允许接入的MAC地址认证用户的最大数量。

相关命令请参见mac-authen max-user

Current users

接口当前在线用户数。

Authentication Success: 0, Failure: 0

接口下用户认证成功的次数和失败的次数。

UserId

在线用户的ID。

MAC/VLAN

用户的MAC地址和用户所在的VLAN。
说明:

如果AAA服务器下发了授权VLAN,则显示授权VLAN信息。

AccessTime

用户接入时间。

UserName

用户名。

display mac-authen quiet-user

命令功能

display mac-authen quiet-user命令用来查看MAC认证静默用户信息。

命令格式

display mac-authen quiet-user { all | mac-address mac-address }

参数说明

参数

参数说明

取值

all

查看所有的MAC认证静默用户信息。

-

mac-address mac-address

查看指定MAC地址的MAC认证静默用户信息。

格式为H-H-H。其中H为1至4位的十六进制数。

视图

所有视图

缺省级别

1:监控级

使用指南

执行该命令可以查看处于静默状态的MAC认证用户信息。

使用实例

# 查看所有的MAC认证静默用户信息。

<HUAWEI> display mac-authen quiet-user all
-------------------------------------------------------------------------------
MacAddress                                                Quiet Remain Time(Sec)
-------------------------------------------------------------------------------
0001-0002-0003                                            50
-------------------------------------------------------------------------------
1 silent mac address(es) found, 1 printed. 
表13-97  display mac-authen quiet-user all命令输出信息描述

项目

描述

MacAddress

MAC认证静默用户的MAC地址。

Quiet Remain Time(Sec)

MAC认证静默用户剩余静默时间,单位是秒。

display portal

命令功能

display portal命令用来查看Portal认证的配置信息。

命令格式

display portal [ interface interface-type interface-number | configuration ]

参数说明

参数 参数说明 取值
interface interface-type interface-number
查看指定接口下配置的Portal认证信息。其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不指定该参数,则查看全局以及所有接口下配置的Portal认证信息。

-
configuration

查看全局下配置的Portal认证信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

在配置完成Portal认证的相关信息后,可执行此命令查看Portal认证的配置信息,用户可根据显示的信息判断配置是否正确。

使用实例

# 查看设备的Portal认证配置信息。

<HUAWEI> display portal
 Portal timer offline-detect length:500                        
 Portal max-user number:100                                              
 Quiet function is Disabled                                            
 Different-server is Disabled
 Parameter set: Quiet Period      60s   Quiet-times          3     
 Logout packets resend: Resend-times 3  Timeout 5s
 Portal user(s) on slot 1:1
                                                                   
 Vlanif10 protocol status: up, web-auth-server layer2(direct)
   Portal domain: tsm                                           
   Auth-network:                                              
       10.3.3.3          255.255.255.255                    
       10.8.0.0          255.255.0.0                        

# 查看VLANIF10接口下的Portal认证配置信息。

<HUAWEI> display portal interface vlanif 10
                                                                                
 Vlanif10 protocol status: up, web-auth-server layer2(direct)                 
    Portal domain: tsm                                           
    Auth-network:                                              
       10.3.3.3          255.255.255.255                    
       10.8.0.0          255.255.0.0                        
表13-98  display portal命令显示信息说明

项目

描述

Portal timer offline-detect length

Portal认证用户下线探测周期。

相关命令请参见portal timer offline-detect

Portal max-user number

设备允许接入的最大Portal认证用户数,取值因设备形态而异

相关命令请参见portal max-user

Quiet function is Enabled或Quiet function is Disabled

Portal认证静默功能是否使能:
  • Enabled:使能Portal认证静默功能。
  • Disabled:未使能Portal认证静默功能。

相关命令请参见portal quiet-period

Different-server is Enabled或Different-server is Disabled

设备是否处理非用户上线的Portal服务器发送的用户下线请求消息:
  • Enabled:设备处理非用户上线的Portal服务器发送的用户下线请求消息。
  • Disabled:设备不处理非用户上线的Portal服务器发送的用户下线请求消息。

相关命令请参见portal logout different-server enable

Parameter set

Portal认证静默功能的相关参数配置信息:
  • Quiet Period:Portal认证静默周期,相关命令请参见portal timer quiet-period
  • Quiet-times:Portal认证用户被静默前60秒内允许认证失败的次数,相关命令请参见portal quiet-times

Logout packets resend

Portal认证用户下线报文重传功能的相关配置信息:
  • Resend-times:Portal认证用户下线报文的重传次数。
  • Timeout:Portal认证用户下线报文的重传周期。

相关命令请参见portal logout resend timeout

Portal user(s) on slot 1

接口板上Portal认证上线用户的统计计数。

说明:

无Portal认证用户在线时不显示该项目。

当Portal认证用户通过Eth-Trunk端口上线时,则Eth-Trunk成员端口所在接口板上的Portal认证用户的统计计数与接口板上的实际在线Portal用户数保持一致。

Vlanif10 protocol status

接口的链路协议状态:

  • up:表示接口处于正常启动的状态。
  • down:表示接口处于未启动的状态。
  • web-auth-server layer2(direct):表示接口认证方式为二层Portal认证方式。

Portal domain

Portal强制认证域名。

相关命令请参见portal domain

Auth-network

Portal认证网段。

相关命令请参见portal auth-network

display portal free-rule

命令功能

display portal free-rule命令用来查看Portal认证用户的免认证规则。

命令格式

display portal free-rule [ rule-id ]

参数说明

参数 参数说明 取值
rule-id

指定Portal认证用户免认证规则的序号。若不选择该参数,则显示所有的免认证规则。

整数形式,取值范围是0~1023。

视图

所有视图

缺省级别

1:监控级

使用指南

根据该命令的输出信息,用户可以确认当前的免认证规则是否正确,并有助于Portal认证的故障诊断与排除。

使用实例

# 显示所有的Portal认证用户的免认证规则信息。

<HUAWEI> display portal free-rule
portal free-rule 0 destination ip 10.1.1.1 mask 255.255.255.255                  
portal free-rule 10 destination ip 10.1.1.2 mask 255.255.255.255                
Total 2 free-rules                                               

# 显示ID为10的Portal认证用户的免认证规则信息。

<HUAWEI> display portal free-rule 10
portal free-rule 10 destination ip 10.1.1.1 mask 255.255.255.255                                              
相关主题

display portal https-redirect blacklist

命令功能

display portal https-redirect blacklist命令用来查看HTTPS重定向的黑名单中的IPv4地址。

命令格式

display portal https-redirect blacklist

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

执行该命令可以查看HTTPS重定向的黑名单中的地址信息,用于检查被加入黑名单的地址是否准确无误。

使用实例

# 查看HTTPS重定向的黑名单中的IPv4地址。

<HUAWEI> display portal https-redirect blacklist
--------------------------------------
IP Address        Aging Time          
--------------------------------------
 10.1.1.1         2018-06-26 21:01:59 
--------------------------------------
 Total:1   Print:1
表13-99  display portal https-redirect blacklist命令输出信息描述
项目 描述
IP Address 黑名单中的IPv4地址,可通过portal https-redirect blacklist命令进行配置,或者当某一地址满足portal https-redirect blacklist packet-rate命令或portal https-redirect blacklist retry-times interval命令指定的条件后被加入黑名单。
Aging Time

黑名单中地址的老化时间点,当交换机上的时间达到该时间点时,交换机会将该地址从黑名单中删除。

可通过portal https-redirect blacklist aging-time命令配置黑名单中地址的老化时间。

Total:m Print:n 黑名单中的总地址数m和打印数n。

display portal https-redirect whitelist

命令功能

display portal https-redirect whitelist命令用来查看HTTPS重定向的白名单中的IPv4地址。

命令格式

display portal https-redirect whitelist

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

执行该命令可以查看HTTPS重定向的白名单中的地址信息,用于检查被加入白名单的地址是否准确无误。

使用实例

# 查看HTTPS重定向的白名单中的IPv4地址。

<HUAWEI> display portal https-redirect whitelist
IP Address:                    
-------------------------------
 10.1.2.1                      
-------------------------------
 Total:1   Print:1 
表13-100  display portal https-redirect whitelist命令输出信息描述
项目 描述
IP Address 白名单中的IPv4地址,可通过portal https-redirect whitelist命令进行配置。
Total:m Print:n 白名单中的总地址数m和打印数n。

display portal quiet-user

命令功能

display portal quiet-user命令用来查看Portal认证静默用户信息。

命令格式

display portal quiet-user { all | server-ip ip-address | user-ip ip-address }

参数说明

参数 参数说明 取值
all

显示所有的Portal认证静默用户信息。

-

user-ip ip-address

显示指定IP地址的Portal认证静默用户信息。

点分十进制格式。

server-ip ip-address

显示指定IP地址的Portal认证服务器下的所有静默用户信息。

点分十进制格式。

视图

所有视图

缺省级别

1:监控级

使用指南

在使能Portal认证静默功能后,可执行此命令查看Portal认证静默用户信息。

使用实例

# 查看所有的Portal认证静默用户信息。

<HUAWEI> display portal quiet-user all
Quiet IP information
-------------------------------------------------------------------------------------
Quiet ip                                                    Quiet Remain Time(Sec)
------------------------------------------------------------------------------------
192.168.1.1                                                   10
192.168.1.2                                                   20
------------------------------------------------------------------------------------
2 quiet IP found, 2 printed.

# 显示IP地址为192.168.2.1的Portal认证服务器下的所有静默用户信息。

<HUAWEI> display portal quiet-user server-ip 192.168.2.1
Quiet IP information
-------------------------------------------------------------------------------------
Quiet ip                                                    Quiet Remain Time(Sec)
------------------------------------------------------------------------------------
192.168.1.3                                                   10
192.168.1.4                                                   20
------------------------------------------------------------------------------------
2 quiet IP found, 2 printed.

# 查看IP地址为192.168.1.1的静默用户的信息。

<HUAWEI> display portal quiet-user user-ip 192.168.1.1
 Quiet remain second     100
表13-101  display portal quiet-user命令显示信息说明

项目

描述

Quiet IP information

静默用户的信息。

Quiet ip

静默用户的IP地址。

Quiet Remain Time(Sec)

静默用户剩余静默时间,单位:秒。

Quiet remain second

静默用户剩余静默时间。

display portal user-logout

命令功能

display portal user-logout命令用来查看Portal认证用户的下线临时表项信息。

命令格式

display portal user-logout [ ip-address ip-address [ vpn-instance vpn-instance-name ] ]

参数说明

参数

参数说明

取值

ip-address ip-address

查看指定IP地址的Portal认证用户的下线临时表项信息。

点分十进制格式。

vpn-instance vpn-instance-name

查看指定VPN实例的Portal认证用户的下线临时表项信息。

必须是已存在的VPN实例名称。

视图

所有视图

缺省级别

1:监控级

使用指南

Portal认证用户下线后会记录临时表项,通过该命令可以查看下线临时表的相关信息,帮助网络管理人员定位问题。

如果不指定参数ip-address ip-address [ vpn-instance vpn-instance-name ],则显示所有Portal认证用户的下线临时表项信息。

使用实例

# 查看所有Portal认证用户的下线临时表项信息。

<HUAWEI> display portal user-logout
 --------------------------------------------------------------                                                                     
 UserIP           Vrf      Resend Times TableID                                                                                     
 --------------------------------------------------------------                                                                     
 192.168.111.100  1        3            0                                                                                           
 --------------------------------------------------------------                                                                     
 Total: 1, printed: 1
表13-102  display portal user-logout命令输出信息描述

项目

描述

UserIP

Portal认证用户的IP地址。

Vrf

Portal认证用户所属的VPN实例。

Resend Times

下线报文的重传次数。

相关命令请参见portal logout resend timeout

TableID

下线临时表项的索引值。

Total: m, printed: n

下线临时表项的总数目m和打印出的表项数目n

display portal url-encode configuration

命令功能

display portal url-encode configuration命令用来查看URL编解码功能的配置信息。

命令格式

display portal url-encode configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

在配置完成URL编解码功能后,可使用命令display portal url-encode configuration查看URL编解码功能的是否开启。

使用实例

# 查看URL编解码功能的配置信息。

<HUAWEI> display portal url-encode configuration
  Portal URL Encode : Disable
表13-103  display portal url-encode configuration命令显示信息说明

项目

描述

Portal URL Encode

URL编解码功能的是否开启,包括:
  • Disable:关闭。
  • Enable:打开。

相关命令请参见portal url-encode enable

display server-detect state

命令功能

display server-detect state命令用来查看Portal服务器状态信息。

命令格式

display server-detect state [ web-auth-server server-name ]

参数说明

参数 参数说明 取值
web-auth-server server-name 显示指定Portal服务器模板下配置的Portal服务器状态信息。

若不指定该参数,则显示配置的所有Portal服务器状态信息。

必须是已存在的Portal服务器模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

可使用命令display server-detect state查看Portal服务器的状态信息。

使用实例

# 查看Portal服务器模板“abc”下配置的Portal服务器状态信息。

<HUAWEI> display server-detect state web-auth-server abc
  Web-auth-server     :    abc                      
  Total-servers       :    4                                                    
  Live-servers        :    1                                                    
  Critical-num        :    0                                                    
  Status              :    Normal                                               
  Ip-address               Status                                               
  192.168.2.1              UP                                                   
  192.168.2.2              DOWN                                                 
  192.168.2.3              DOWN                                                 
  192.168.2.4              DOWN  
表13-104  display server-detect state命令显示信息说明

项目

描述

Web-auth-server

Portal服务器模板名称。

Total-servers

配置的Portal服务器数目。

Live-servers

状态为UP的Portal服务器数目。

Critical-num

状态为UP的服务器最小数目,少于该值则使能设备针对对应Portal服务器模板的逃生功能。

Status

Portal服务器状态,分为:
  • Normal:正常状态。
  • Permit-all:逃生状态。

Ip-address

服务器IP地址。

Status

服务器IP地址指定的Portal服务器是否可达,分为:
  • UP:可达。
  • DOWN:不可达。

display snmp-agent trap feature-name mid_aaa all

命令功能

display snmp-agent trap feature-name mid_aaa all命令用来查看AAA模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name mid_aaa all

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

在打开AAA模块的告警开关后,执行该命令可以查看AAA模块所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name mid_aaa命令打开AAA模块告警开关。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

使用实例

# 查看AAA模块的所有告警开关信息。

<HUAWEI> display snmp-agent trap feature-name mid_aaa all
------------------------------------------------------------------------------  
Feature name: MID_AAA                                                           
Trap number : 2                                                                 
------------------------------------------------------------------------------  
Trap name                       Default switch status   Current switch status   
hwMacMovedQuietMaxUserAlarm     on                      on                      
hwMacMovedQuietUserClearAlarm   on                      on                      
表13-105  display snmp-agent trap feature-name mid_aaa all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,AAA模块的告警包括:

  • hwMacMovedQuietMaxUserAlarm:当处于静默状态的MAC迁移用户数占规格的百分比超过设定的上限阈值时发送华为私有Trap消息。

  • hwMacMovedQuietUserClearAlarm:当处于静默状态的MAC迁移用户数占规格的百分比降到设定的下限阈值时发送华为私有Trap消息。

Default switch status

告警开关缺省状态:
  • on:表示缺省情况下告警处于打开状态。

  • off:表示缺省情况下告警处于关闭状态。

Current switch status

告警的状态:

  • on:表示告警处于打开状态。

  • off:表示告警处于关闭状态。

display snmp-agent trap feature-name mid_eapol all

命令功能

display snmp-agent trap feature-name mid_eapol all命令用来查看DOT1X模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name mid_eapol all

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

在打开DOT1X模块的告警开关后,执行该命令可以查看DOT1X模块所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name mid_eapol命令打开DOT1X模块告警开关。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

使用实例

# 查看DOT1X模块的所有告警开关信息。

<HUAWEI> display snmp-agent trap feature-name mid_eapol all
------------------------------------------------------------------------------                                                      
Feature name: MID_EAPOL                                                                                                             
Trap number : 2                                                                                                                     
------------------------------------------------------------------------------                                                      
Trap name                       Default switch status   Current switch status                                                       
hwSrvcfgEapMaxUserAlarm         on                      on                                                                          
hwMacAuthenMaxUserAlarm         on                      on 
表13-106  display snmp-agent trap feature-name mid_eapol all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,DOT1X模块的告警包括:

  • hwSrvcfgEapMaxUserAlarm:当802.1X认证用户数目达到接口的最大阈值时发送华为私有Trap消息。

  • hwMacAuthenMaxUserAlarm:当MAC认证用户数目达到接口的最大阈值时发送华为私有Trap消息。

Default switch status

告警开关缺省状态:
  • on:表示缺省情况下告警处于打开状态。

  • off:表示缺省情况下告警处于关闭状态。

Current switch status

告警的状态:

  • on:表示告警处于打开状态。

  • off:表示告警处于关闭状态。

display snmp-agent trap feature-name mid_web all

命令功能

display snmp-agent trap feature-name mid_web all命令用来查看WEB认证模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name mid_web all

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

在打开WEB认证模块的告警开关后,执行该命令可以查看WEB认证模块所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name mid_web命令打开WEB认证模块告警开关。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

使用实例

# 查看WEB认证模块的所有告警开关信息。

<HUAWEI> display snmp-agent trap feature-name mid_web all
------------------------------------------------------------------------------                                                      
Feature name: MID_WEB                                                                                                               
Trap number : 4                                                                                                                     
------------------------------------------------------------------------------                                                      
Trap name                       Default switch status   Current switch status                                                       
hwPortalServerUp                on                      on                                                                          
hwPortalServerDown              on                      on                                                                          
hwPortalMaxUserAlarm            on                      on                                                                          
hwPortalUserClearAlarm          on                      on 
表13-107  display snmp-agent trap feature-name mid_web all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,WEB认证模块的告警包括:

  • hwPortalServerUp:当设备探测到Portal服务器状态由DOWN转变为UP时发送华为私有Trap消息。

  • hwPortalServerDown:当设备探测到Portal服务器状态由UP转变为DOWN时发送华为私有Trap消息。

  • hwPortalMaxUserAlarm:当Portal认证上线用户数目超过上限阈值时发送华为私有Trap消息。

  • hwPortalUserClearAlarm:当Portal认证上线用户数目低于下限阈值时发送华为私有Trap消息。

Default switch status

告警开关缺省状态:
  • on:表示缺省情况下告警处于打开状态。

  • off:表示缺省情况下告警处于关闭状态。

Current switch status

告警的状态:

  • on:表示告警处于打开状态。

  • off:表示告警处于关闭状态。

display static-user

命令功能

display static-user命令用来查看静态用户的信息。

命令格式

display static-user [ domain-name domain-name | interface interface-type interface-number | ip-address start-ip-address [ end-ip-address ] | vpn-instance vpn-instance-name ] * [ detail ]

参数说明

参数

参数说明

取值

domain-name domain-name

显示指定域下的静态用户信息。

字符串形式,不能包括空格、“*”、“?”和“"”,不能配置为“-”或“--”,区分大小写,长度范围是1~64。

interface interface-type interface-number

显示指定接口下的静态用户信息。其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

ip-address start-ip-address [ end-ip-address ]

显示指定IP地址范围的静态用户信息。

点分十进制格式。

vpn-instance vpn-instance-name

显示接入指定VPN实例的静态用户信息。

必须是已存在的VPN实例名称。
detail

显示静态用户的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

在配置完成静态用户信息后,可使用命令display static-user查看配置的信息。

使用实例

# 查看配置的所有静态用户的信息。

<HUAWEI> display static-user
 IP-address       Interface       MAC-address    VPN                             
------------------------------------------------------------------------------- 
 10.1.1.1         GE1/0/3         -              -                               
 10.1.1.2         GE1/0/3         -              -                               
 10.1.1.3         GE1/0/3         -              -                               
 10.1.1.5         GE1/0/5         0001-0001-0001 -                               
 10.1.1.6         GE1/0/5         0001-0001-0001 -                               
 10.1.1.7         GE1/0/5         0001-0001-0001 -                               
 10.1.1.8         GE1/0/5         0001-0001-0001 -                               
 10.1.1.10        -               0002-0002-0002 -                               
 10.1.1.11        -               0002-0002-0002 -                               
 10.1.1.12        -               0002-0002-0002 -                               
------------------------------------------------------------------------------- 
Total item(s) displayed = 10                                                    

# 查看配置的所有静态用户的详细信息。

<HUAWEI> display static-user detail
------------------------------------------------------------------------------- 
  IP address                            : 10.1.1.2
  IP static user                        : Yes                            
  Vpn-instance                          : -                                     
  Domain-name                           : local                                 
  Interface                             : -                                     
  MAC address                           : -                                     
  VLAN                                  : 0                                     
  Detect                                : Disable                               
  Keep-online                           : Disable                               
------------------------------------------------------------------------------- 
  IP address                            : 10.1.1.4
  IP static user                        : Yes                                                           
  Vpn-instance                          : -                                     
  Domain-name                           : -                                     
  Interface                             : -                                     
  MAC address                           : -                                     
  VLAN                                  : 0                                     
  Detect                                : Disable                               
  Keep-online                           : Enable                                
------------------------------------------------------------------------------- 
Total item(s) number= 2, displayed number= 2                                    
                                                                                
Ip-static-user enable status:                                                   
------------------------------------------------------------------------------- 
------------------------------------------------------------------------------- 
Total item(s) number= 0, displayed number= 0                      
表13-108  display static-user命令显示信息说明

项目

描述

IP-address/IP address

静态用户的IP地址。

Interface

静态用户的接入的接口。

MAC-address/MAC address

静态用户的MAC地址。

VPN/Vpn-instance

静态用户接入的VPN实例。

Total item(s) number= m, displayed number= n

表项总数为m,显示的表项数为n

Ip-static-user enable status

通过IP地址标记静态用户功能的开启状态。

IP static user 是否为静态用户。
  • Yes:是
  • No:否
Domain-name 静态用户所属的域。
VLAN 静态用户所属的VLAN。
Detect 是否允许设备主动发送ARP报文触发未上线静态用户进行认证。
  • Enable:是
  • Disable:否
Keep-online 是否指定静态用户保持一直在线,不对其进行下线探测。
  • Enable:是
  • Disable:否

display url-template

命令功能

display url-template命令用来显示配置的URL模板信息。

命令格式

display url-template { all | name template-name }

参数说明

参数

参数说明

取值

all

查看已配置的所有URL模板信息。

-

name template-name

查看指定名称的URL模板信息。

字符串形式,区分大小写,长度范围是1~31,不支持空格,不能配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。

视图

所有视图

缺省级别

1:监控级

使用指南

在配置完成URL模板后,可以使用命令display url-template查看URL模板的信息。

使用实例

# 显示配置的所有URL模板的配置信息。

<HUAWEI> display url-template all
                                                                                
------------------------------------------------------------------------------- 
  Name                              URL     Start  Assignment  Isolate          
                                    Number  Mark   Mark        Mark           
------------------------------------------------------------------------------- 
  huawei                            0       ?      =           &                
  huawei2                           0       ?      =           &                
  huawei3                           0       ?      =           &                
------------------------------------------------------------------------------- 
  Total 3                 

# 显示名称为“huawei”的URL模板的配置信息。

<HUAWEI> display url-template name huawei
  Name : huawei                                                                 
  URL  :                                                                        
    1. http://10.1.1.1                                                          
  Start mark      : !                                                           
  Assignment mark : j                                                           
  Isolate mark    : =                                                           
  User MAC        :                                                             
  Redirect URL    :                                                             
  User IP address :                                                             
  Sysname         :                                                             
  Delimiter       : %                                                           
  Format          : normal 
  Login URL Key   : logiurl
  Login URL       : http:\\huawei.com
表13-109  display url-template命令显示信息说明

项目

描述

Name

URL模板名称。

URL

指向Portal服务器的URL。相关命令请参见url(URL模板视图)

Start mark

URL参数中的开始符号。相关命令请参见parameter

Assignment mark

URL参数中的赋值符号。相关命令请参见parameter

Isolate mark

URL不同参数之间的分隔符。相关命令请参见parameter

User MAC

用户的MAC地址。相关命令请参见url-parameter

Redirect URL

用户原始报文中的URL。相关命令请参见url-parameter

User IP address

用户的IP地址。相关命令请参见url-parameter

Sysname

设备名称。相关命令请参见url-parameter

Delimiter

URL参数中MAC地址的分隔符。相关命令请参见url-parameter mac-address format

Format

URL参数中MAC地址的格式。相关命令请参见url-parameter mac-address format

Login URL Key

重定向时携带给Portal服务器登录URL的识别关键字。相关命令请参见url-parameter

Login URL

登录设备的URL。相关命令请参见url-parameter

display user-group

命令功能

display user-group命令用来查看用户组的配置信息。

命令格式

display user-group [ group-name ]

参数说明

参数 参数说明 取值
group-name 查看指定用户组的配置信息。

若不指定该参数,则显示所有用户组的配置信息。

字符串形式,不支持空格,区分大小写,长度范围是1~64。

视图

所有视图

缺省级别

1:监控级

使用指南

在检查用户组的配置时,可执行此命令获取用户组的配置信息,用户可以根据这些信息进行问题定位。

使用实例

# 查看所有用户组配置信息。

<HUAWEI> display user-group
 -------------------------------------------------------------------------------
 ID    Group name                     Rule-num   User-num  Status
 -------------------------------------------------------------------------------
 0     abc                            0          0         disabled
 -------------------------------------------------------------------------------
 Total 1 
说明:

Group name超过14个字符时缩略显示。

# 查看用户组abc的配置信息。

<HUAWEI> display user-group abc
  User group ID           : 0
  Group name              : abc
  ACL ID                  :
  ACL rule number         : 0
  User-num                : 0
  VLAN                    :
  Remark dscp             :
  Remark 8021p            :
  Status                  : disabled
表13-110  display user-group命令输出信息描述

项目

描述

ID

用户组ID。

Rule-num

ACL规则数。

User group ID

用户组ID。

Group name

用户组名称。

ACL ID

用户组绑定的ACL ID。

相关命令请参见acl-id(用户组视图)

ACL rule number

ACL规则数。

User-num

用户组绑定的上线用户数。

VLAN

用户组VLAN。

相关命令请参见user-vlan(用户组视图)

Remark dscp

对IP报文的处理优先级。

相关命令请参见remark

Remark 8021p

对以太二层报文的处理优先级。

相关命令请参见remark

Status

用户组状态。

  • disabled:表示未使能用户组功能。
  • enabled:表示已使能用户组功能。

display web-auth-server configuration

命令功能

display web-auth-server configuration命令用来查看Portal服务器相关的配置信息。

命令格式

display web-auth-server configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

在Portal服务器模板配置完成后,可使用此命令查看配置的Portal服务器相关的配置信息。

使用实例

# 查看Portal服务器的配置信息。

<HUAWEI> display web-auth-server configuration
  Listening port        : 2000
  Portal                : version 1, version 2
  Include reply message : enabled

------------------------------------------------------------------------------- 
  Enabled protocol      : https
  Listening port        : 8443 
  SSL policy            : default_policy

-------------------------------------------------------------------------------
  Web-auth-server Name : huawei
  IP-address           :
  Shared-key           :
  Source-IP            : -
  Port / PortFlag      : 50100 / NO
  URL                  : https://192.168.2.10:8443/webauth
  URL Template         :
  URL Template ParaName:                                                        
  URL Template IVName  :                                                        
  URL Template Key     :                       
  Redirection          : Enable
  Sync                 : Disable
  Sync Seconds         : 300
  Sync Max-times       : 3
  Detect               : Disable
  Detect Seconds       : 60
  Detect Max-times     : 3
  Detect Critical-num  : 0
  Detect Action        :
  VPN Instance         :
  Bound Vlanif         :                                                        
  Bound Interface      : 

  Protocol             : http
  Http Get-method      : disable 
  Password Encrypt     : none
  Cmd ParseKey         : cmd
  Username ParseKey    : username
  Password ParseKey    : password
  MAC Address ParseKey : macaddress
  IP Address ParseKey  : ipaddress
  Initial URL ParseKey : initurl
  Login Cmd            : login  
  Logout Cmd           : logout
  Login Success 
       Reply Type      : redirect initial URL
       Redirect URL    :
       Message         : LoginSuccess!
  Login Fail 
       Reply Type      : redirect login URL
       Redirect URL    :
       Message         : LoginFail!
  Logout Success 
       Reply Type      : message
       Redirect URL    :
       Message         : LogoutSuccess!
  Logout Fail 
       Reply Type      : message
       Redirect URL    :
       Message         : LogoutFail!

-------------------------------------------------------------------------------
  1 Web authentication server(s) in total                    
表13-111  display web-auth-server configuration命令显示信息说明

项目

描述

Listening port

Portal协议报文的侦听端口。

配置该功能,请参见web-auth-server listening-port

Portal

Portal协议版本。

  • version 1, version 2:同时支持v2与v1版本。
  • version 2:支持v2版本。

配置该功能,请参见web-auth-server version

Include reply message

从设备发送给Portal服务器的报文中是否携带认证回应信息。

  • enabled
  • disabled

配置该功能,请参见web-auth-server reply-message

Enabled protocol

开启HTTP或HTTPS协议。

  • http
  • https

配置该功能,请参见portal web-authen-server

Listening port

HTTP或HTTPS的端口号。

配置该功能,请参见portal web-authen-server

SSL policy

HTTPS引用的SSL策略。

配置该功能,请参见portal web-authen-server

Web-auth-server Name

Portal服务器模板名。

配置该功能,请参见web-auth-server(系统视图)

IP-address

Portal服务器IP地址。

配置该功能,请参见server-ip(Portal服务器模板视图)

Shared-key

共享密钥。

配置该功能,请参见shared-key(Portal服务器模板视图)

Source-IP

与Portal服务器通信的IP地址。

配置该功能,请参见source-ip(Portal服务器模板视图)

Port / PortFlag

  • Port:服务器端口号。
  • PortFlag:是否总是使用该服务器端口发送报文。

配置该功能,请参见port(Portal服务器模板视图)

URL

服务器的URL。

配置该功能,请参见url(Portal服务器模板视图)

URL Template

Portal服务器模板下绑定的URL模板。

配置该功能,请参见url-template(Portal服务器模板视图)

Redirection

Portal认证重定向开关状态。
  • Disable:关闭认证重定向开关
  • Enable:打开认证重定向开关

配置该功能,请参见web-redirection disable(Portal服务器模板视图)

Sync

用户信息同步功能。

  • Disable:关闭该功能。
  • Enable:打开该功能。

配置该功能,请参见user-sync

Sync Seconds

用户信息同步周期。

配置该功能,请参见user-sync

Sync max-times

用户信息同步最大失败次数。

配置该功能,请参见user-sync

Detect

Portal服务器探测与逃生功能。

  • Disable:关闭该功能。
  • Enable:打开该功能。

配置该功能,请参见server-detect

Detect Seconds

Portal服务器探测周期。

配置该功能,请参见server-detect

Detect max-times

Portal服务器探测失败最大次数。

配置该功能,请参见server-detect

Detect Critical-num

状态为UP的服务器最小数目,少于该值则使能设备针对对应Portal服务器模板的逃生功能。

配置该功能,请参见server-detect

Detect Action

Portal服务器探测失败次数超过最大次数后的动作。
  • log:Portal服务器探测失败次数超过最大次数后发送日志信息。
  • trap:Portal服务器探测失败次数超过最大次数后发送告警信息。
  • permit-all:Portal服务器探测失败次数超过最大次数后取消接口的Portal认证功能。

配置该功能,请参见server-detect

Bound Vlanif

Portal服务器模板被绑定到的VLANIF接口。

配置该功能,请参见web-auth-server(接口视图)

VPN instance

Portal认证使用的VPN实例。

配置该功能,请参见vpn-instance(Portal服务器模板视图)

Bound Interface

Portal服务器模板被绑定到的以太网接口或Eth-Trunk接口。

配置该功能,请参见web-auth-server(接口视图)

Http Get-method

是否使用GET方式向设备提交用户名和密码。

  • disable:未使用。
  • enable:使用。

配置该功能,请参见http get-method enable

Protocol

Portal认证时使用的协议。

  • Portal
  • http

配置该功能,请参见protocol(Portal服务器模板视图)

Password Encrypt

密码是否加密。

  • none:不加密。
  • uam:密码使用ASCII码方式加密。

配置该功能,请参见protocol(Portal服务器模板视图)

Cmd ParseKey

命令的识别关键字。

配置该功能,请参见http-method post

Username ParseKey

用户名的识别关键字。

配置该功能,请参见http-method post

Password ParseKey

用户密码的识别关键字。

配置该功能,请参见http-method post

MAC Address ParseKey

用户MAC地址的识别关键字。

配置该功能,请参见http-method post

IP Address ParseKey

用户IP地址的识别关键字。

配置该功能,请参见http-method post

Initial URL ParseKey

用户初始登录的URL的识别关键字。

配置该功能,请参见http-method post

Login Cmd

用户登录的识别关键字。

配置该功能,请参见http-method post

Logout Cmd

用户注销的识别关键字。

配置该功能,请参见http-method post

Login Success

用户登录成功。

Reply Type

重定向响应类型。

  • redirect initial URL:用户登录成功后重定向到初始登录的URL。
  • redirect login URL:用户登录失败后重定向到登录URL。
  • message:指定显示的消息。
  • redirect URL:重定向到一个指定的URL。

配置该功能,请参见http-method post

Redirect URL

重定向URL。

配置该功能,请参见http-method post

Message

显示的消息。

配置该功能,请参见http-method post

Login Fail

用户登录失败。

Logout Success

用户注销成功。

Logout Fail

用户注销失败。

device-sensor dhcp option

命令功能

device-sensor dhcp option命令用来使能根据DHCP选项字段感知终端类型功能。

undo device-sensor dhcp option命令用来去使能根据DHCP选项字段感知终端类型功能。

缺省情况下,未使能根据DHCP选项字段感知终端类型功能。

命令格式

device-sensor dhcp option option-code &<1-6>

undo device-sensor dhcp option option-code &<1-6>

参数说明

参数 参数说明 取值
option-code

指定设备需要解析的DHCP报文中的Option字段。

DHCP报文中的Option字段可用来存放控制信息和参数,譬如终端类型等信息。

整数形式,取值范围是1~254。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在实际网络部署中,设备下挂的终端类型多种多样,某些时候管理员需要为不同类型的终端分配不同的网络访问权限或者报文处理优先级。譬如设备下挂有语音设备(如IP电话)时,由于语音信号具有时延小,抖动小等特点,因此就需要设备优先处理语音报文。

通过根据DHCP选项字段感知终端类型功能,可以使设备在接收到DHCP Request报文后解析出所需的Option字段(该字段中携带有终端类型信息)。之后,设备会把Option字段信息通过RADIUS计费报文发送到RADIUS服务器。RADIUS服务器即可根据Option字段信息感知到终端类型,进而为终端的部署网络访问权限或报文处理优先级等策略。

注意事项

  • 为使本命令功能生效,需确保AAA方案中的认证或计费模式为RADIUS。

  • 为使本命令功能生效,需确保已使用命令dhcp snooping enable在接口或VLAN下使能DHCP Snooping功能。

使用实例

# 配置设备需要解析的Option字段为option60。
<HUAWEI> system-view
[HUAWEI] device-sensor dhcp option 60

device-sensor lldp tlv

命令功能

device-sensor lldp tlv命令用来使能根据LLDP协议感知终端类型功能。

undo device-sensor lldp tlv命令用来去使能根据LLDP协议感知终端类型功能。

缺省情况下,未使能根据LLDP协议感知终端类型功能。

命令格式

device-sensor lldp tlv tlv-type &<1-4>

undo device-sensor lldp tlv

参数说明

参数 参数说明 取值
tlv-type

指定设备需要感知的LLDP TLV类型。

整数形式,取值为:1、2、5、6、7、8、127。各取值表示的含义如下。
  • 1:Chassis ID TLV,表示发送设备的桥MAC地址。
  • 2:Port ID TLV,表示标识LLD PDU发送端的端口。
  • 5:System Name TLV,表示设备的名称。
  • 6:System Description TLV,表示系统描述。
  • 7:System Capabilities TLV,表示系统能力。
  • 8:Management Address TLV,表示管理地址。
  • 127:Organization Specific TLV,表示站点自定义信息。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在实际网络部署中,设备下挂的终端类型多种多样,某些时候管理员需要为不同类型的终端分配不同的网络访问权限或者报文处理优先级。譬如设备下挂有语音设备(如IP电话)时,由于语音信号具有时延小,抖动小等特点,因此就需要设备优先处理语音报文。

通过根据LLDP协议感知终端类型功能,可以使设备在接收到LLDP报文后能够解析出所需的TLV类型(TLV携带了终端类型信息)。之后,设备会把TLV类型信息通过RADIUS计费报文发送到RADIUS服务器。RADIUS服务器即可根据TLV类型信息感知到终端类型,进而为终端部署网络访问权限或报文处理优先级等策略。

注意事项

  • 为使本命令功能生效,需确保AAA方案中的认证或计费模式为RADIUS。

  • 为使本命令功能生效,需确保在设备以及下挂的对端设备上已使能LLDP功能。

使用实例

# 使能根据LLDP TLV类型5感知终端类型功能。

<HUAWEI> system-view
[HUAWEI] device-sensor lldp tlv 5

dot1x authentication-method

命令功能

dot1x authentication-method命令用来配置802.1X用户的认证方式。

undo dot1x authentication-method命令用来恢复802.1X用户的认证方式为缺省情况。

缺省情况下,全局802.1X用户认证方式为CHAP认证;接口下802.1X用户认证方式与全局配置的认证方式一致。

命令格式

dot1x authentication-method { chap | pap | eap }

undo dot1x authentication-method

参数说明

参数

参数说明

取值

chap

采用质询握手认证协议CHAP (Challenge Handshake Authentication Protocol)的EAP终结认证方式。

-

pap

采用密码认证协议PAP(Password Authentication Protocol)的EAP终结认证方式。

-

eap

采用可扩展的认证协议EAP(Extensible Authentication Protocol)中继认证方式。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

在802.1X认证中,用户通过EAP报文与设备交互认证信息,而设备对EAP报文采用两种方式与RADIUS服务器交互认证信息。
  • EAP终结:设备直接解析EAP报文,把报文中的用户认证信息封装到RADIUS报文中发送给RADIUS服务器进行认证。设备与RADIUS服务器之间的EAP终结认证方式可分为PAP与CHAP两种。

    • PAP是一种两次握手认证协议,它采用明文方式加载到RADIUS报文中传送口令。该方式安全性较低,不建议使用。
    • CHAP是一种三次握手认证协议,它只在RADIUS报文中传输用户名,而并不传输口令。相比之下,CHAP认证保密性较好,更为安全可靠。如果是基于安全性的考虑,建议采用该方式。

    通过EAP终结认证设备在本地直接解析EAP报文后,用户信息可以在本地AAA模块或者发送到RADIUS服务器或者HWTACACS服务器进行认证。

  • EAP中继(对应参数中的eap方式):设备不对接收到的包含用户认证信息的EAP报文作任何处理,直接封装到RADIUS报文中发送给RADIUS服务器完成认证,这个技术也称之为EAPOR(EAP over Radius)。

采用EAP终结还是EAP中继,将取决于RADIUS服务器的处理能力。如果RADIUS服务器的处理能力比较强,能够解析大量用户的EAP报文后再进行认证,可以采用EAP中继方式;如果RADIUS服务器处理能力不能够很好的同时解析大量EAP报文并完成认证,建议采用EAP终结方式,由设备帮助RADIUS服务器完成前期的EAP解析工作。
说明:
  • 只有采用RADIUS认证时,802.1X用户的认证方式才可以配置为EAP中继方式。

  • 如果802.1X客户端采用MD5加密方式,则设备端用户的认证方式可配置为EAP或CHAP方式;如果802.1X客户端采用PEAP认证方式,则设备端用户的认证方式可配置为EAP。

使用实例

# 系统视图下,配置设备采用EAP方式对802.1X用户进行认证。

<HUAWEI> system-view
[HUAWEI] dot1x authentication-method eap

# 在接口GE1/0/1下,配置设备采用EAP方式对802.1X用户进行认证。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x authentication-method eap
相关主题

dot1x dhcp-trigger

命令功能

dot1x dhcp-trigger命令用来使能通过DHCP报文触发对802.1X用户进行身份认证的功能。

undo dot1x dhcp-trigger命令用来去使能通过DHCP报文触发对802.1X用户进行身份认证的功能。

缺省情况下,未使能通过DHCP报文触发对802.1X用户进行身份认证的功能。

命令格式

dot1x dhcp-trigger

undo dot1x dhcp-trigger

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

使用命令dot1x dhcp-trigger使能通过DHCP报文触发对802.1X用户进行身份认证的功能后,在设备接收到用户发送的DHCP Request报文时,会向用户回应802.1X认证启动报文。用户在收到设备回应的802.1X认证启动报文,用户端设备会自动弹出802.1X认证界面,此时即可输入用户名与密码进行认证。在802.1X网络部署过程中,通过本功能可使得802.1X用户不经过特定的客户端软件拨号即可开始802.1X认证,这将有助于快速部署网络。
说明:

设备接收到802.1X用户的请求报文后,就启动对用户进行认证过程。若用户认证成功,设备则通过DHCP服务器为用户分配IP地址;若认证失败,则用户无法从DHCP Server获得动态IP地址。

前置条件

为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。

注意事项

使用此项功能,需要用户端设备支持DHCP及802.1X认证功能。

使用实例

# 使能通过DHCP报文触发对802.1X用户进行身份认证的功能。

<HUAWEI> system-view
[HUAWEI] dot1x dhcp-trigger

dot1x domain

命令功能

dot1x domain命令用来配置802.1X认证用户强制域。

undo dot1x domain命令用来恢复缺省配置。

缺省情况下,未配置802.1X认证用户强制域。

命令格式

dot1x domain domain-name

undo dot1x domain

参数说明

参数

参数说明

取值

domain-name

指定强制域域名。

已存在的域名。

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在认证过程中,用户输入的用户名不带域名,在默认域中进行认证,当用户输入的用户名带域名,在指定的域中进行认证。

在实际网络中,如果存在大量用户输入的用户名不带域名,将会导致过多的用户在默认域下进行认证,认证方案不灵活;另一方面如果同一接口下的所有用户需要使用相同的认证授权计费方式,而部分用户输入带域名的用户名,部分用户输入不带域名的用户名,这样设备也很难满足该需求。针对这种情况,可配置用户强制域,这样接口下的所有用户不管输入的用户名是否带有域名,都将在强制域中进行认证。

前置条件

已使用命令domain(AAA视图)创建域。

使用实例

# 配置接口GE1/0/1下802.1X认证用户强制域为huawei。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] quit
[HUAWEI-aaa] quit
[HUAWEI] interface gigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x domain huawei

dot1x eap-notify-packet

命令功能

dot1x eap-notify-packet命令用来使能向用户回应EAP报文类型值功能。

undo dot1x eap-notify-packet命令用来去使能向用户回应EAP报文类型值功能。

缺省情况下,未使能向用户回应EAP报文类型值功能。

命令格式

dot1x eap-notify-packet eap-code code-number data-type type-number

undo dot1x eap-notify-packet [ eap-code code-number data-type type-number ]

参数说明

参数

参数说明

取值

eap-code code-number

指定向用户回应的EAP报文类型值。

整数形式,取值范围是5~255。

data-type type-number

指定向用户回应的EAP报文中的数据区类型。

整数形式,取值范围是1~255。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当其他厂商设备作为RADIUS服务器时,如果其向设备发送的RADIUS报文中带有61号属性信息且包含EAP报文类型值为0xa(十六进制数形式,十进制表示为10),EAP报文数据区类型为0x19(十六进制数形式,十进制表示为25)的数据信息,则需要在设备上配置该命令才能保证其可以正常向用户回应报文类型值为0xa、数据区类型值为0x19的EAP报文,否则设备不处理该类型的EAP报文,这会造成用户的下线。

注意事项

EAP报文类型值与数据区类型值仅配置为10与25时有效,设备才可以向用户回应该类型的EAP报文。

使用实例

# 配置设备可以向用户回应报文类型值为10的EAP报文,同时EAP报文中的数据区类型为25。

<HUAWEI> system-view
[HUAWEI] dot1x eap-notify-packet eap-code 10 data-type 25
相关主题

dot1x enable

命令功能

dot1x enable命令用来使能设备的802.1X认证功能。

undo dot1x enable命令用来去使能设备的802.1X认证功能。

缺省情况下,未使能设备的802.1X认证功能。

命令格式

系统视图:

dot1x enable [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

undo dot1x enable [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

接口视图:

dot1x enable

undo dot1x enable

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

使能设备指定接口的802.1X认证功能。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不选取该参数则使能全局802.1X认证功能。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

IEEE 802.1X标准(以下简称802.1X)的是一种基于端口的网络接入控制(Port Based Network Access Control)协议。在全局和接口下分别使能802.1X认证功能后才能启动802.1X认证功能。

要使802.1X的配置在接口上生效,有以下两种方法(前提是全局802.1X特性开关已经打开):
  • 接口视图下执行dot1x enable命令。
  • 系统视图下执行dot1x enable interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> 命令。

注意事项

使用实例

# 在系统视图下,使能接口GE1/0/1的802.1X功能。

<HUAWEI> system-view
[HUAWEI] dot1x enable
[HUAWEI] dot1x enable interface gigabitethernet 1/0/1

# 在接口视图下,使能接口GE1/0/1的802.1X功能。

<HUAWEI> system-view
[HUAWEI] dot1x enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x enable
相关主题

dot1x free-ip

命令功能

dot1x free-ip命令用来配置免认证IP网段。

undo dot1x free-ip命令用来删除已配置的免认证IP网段。

缺省情况下,未配置免认证IP网段。

命令格式

dot1x free-ip ip-address { mask-length | mask-address }

undo dot1x free-ip { ip-address { mask-length | mask-address } | all }

参数说明

参数 参数说明 取值
ip-address 指定免认证网段的IP地址。 点分十进制格式。
mask-length 指定IP地址的掩码长度。 整数形式,取值范围是1~32。
mask-address 指定IP地址的掩码。 点分十进制格式。
all 删除所有免认证IP网段。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

802.1X用户在802.1X认证成功之前,无法访问网络。通过配置免认证IP网段,可使用户未认证成功即能访问免认证IP网段的网络资源。

注意事项

  • 为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。

  • 配置了free-ip功能后,Guest VLAN、Critical VLAN以及Restrict VLAN功能将不再生效。

  • free-ip功能只在端口授权状态为auto的情况下生效。

  • 未通过802.1X认证的用户,如果希望通过DHCP服务器动态获得IP地址,需要把DHCP服务器所在的网段配置成免认证IP网段,使用户能够访问DHCP服务器。

  • 当802.1X用户通过客户端主动下线后,为了防止恶意攻击,用户会在一段时间内受到限制而无法访问免费区网络资源。

  • 用户成为802.1X快速部署用户后,不能访问除免认证IP网段以外的资源,但能够访问设备的一些资源。

使用实例

# 配置终端用户在802.1X认证之前可访问的免认证网段为192.168.1.0/24。

<HUAWEI> system-view
[HUAWEI] dot1x free-ip 192.168.1.0 24

dot1x handshake

命令功能

dot1x handshake命令用来使能设备与802.1X在线用户握手功能。

undo dot1x handshake命令用来去使能设备与802.1X在线用户握手功能。

缺省情况下,未使能设备与802.1X在线用户握手功能。

命令格式

dot1x handshake

undo dot1x handshake

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

为了实时掌握802.1X用户的在线状态,可使用命令dot1x handshake使能设备与802.1X在线用户握手功能。之后,设备将向用户发送握手请求报文,如果在握手周期(该周期可以使用dot1x timer命令配置)内,用户回应报文,说明用户在线,反之,说明用户不在线。
说明:

对于不支持握手功能的客户端,在握手周期内设备不会收到握手回应报文。在这种情况下,为了防止设备错误地认为用户下线,需要去使能设备与802.1X在线用户握手功能。

执行命令dot1x timer arp-detect arp-detect-value配置ARP探测功能后,设备与802.1X在线用户握手功能不生效。

使用实例

# 使能设备与802.1X在线用户握手功能。

<HUAWEI> system-view
[HUAWEI] dot1x handshake

dot1x handshake packet-type

命令功能

dot1x handshake packet-type命令用于配置802.1X认证握手报文的类型。

undo dot1x handshake packet-type命令用于恢复802.1X认证握手报文的类型为缺省值。

缺省情况下,802.1X认证握手报文的类型是request-identity。

命令格式

dot1x handshake packet-type { request-identity | srp-sha1-part2 }

undo dot1x handshake packet-type

参数说明

参数 参数说明 取值
request-identity 指定802.1X认证握手报文的类型为request-identity -
srp-sha1-part2 指定802.1X认证握手报文的类型为srp-sha1-part2 -

视图

系统视图

缺省级别

2:配置级

使用指南

在802.1X认证中,不同厂商支持的握手报文类型不一样,设备默认支持的握手报文类型是request-identity,为了保证与其他厂商设备的顺利对接,dot1x handshake packet-type可以配置握手报文的类型为srp-sha1-part2
说明:

该命令只对配置该命令后上线的用户生效,对已经在线的用户无效。

使用实例

# 配置802.1认证的握手报文类型为srp-sha1-part2。

<HUAWEI> system-view
[HUAWEI] dot1x handshake packet-type srp-sha1-part2
相关主题

dot1x mac-bypass

命令功能

dot1x mac-bypass命令用来使能接口的MAC旁路认证功能。

undo dot1x mac-bypass命令用来去使能接口的MAC旁路认证功能。

缺省情况下,未使能接口的MAC旁路认证功能。

命令格式

系统视图:

dot1x mac-bypass { interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> }

undo dot1x mac-bypass { interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> }

接口视图:

dot1x mac-bypass

undo dot1x mac-bypass

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

使能指定接口的MAC旁路认证功能。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

对于无法安装和使用802.1X客户端软件的终端,例如打印机等,可以通过MAC旁路认证方式进行认证。

在接口上使用命令dot1x mac-bypass使能接口的MAC旁路认证功能后,用户首先会进行802.1X认证,当用户名请求超时后,设备会对用户启动MAC认证流程。
说明:

MAC旁路认证功能内在包含了802.1X认证功能,即执行命令dot1x mac-bypass时将同时使能接口的802.1X功能,执行命令undo dot1x mac-bypass也将同时去使能接口的802.1X认证功能。而若接口下开始已使能802.1X功能,在执行本命令后,接口的认证方式将被更改为MAC旁路认证。

前置条件

为了保证配置生效,需要执行命令dot1x enable开启全局的802.1X用户认证功能。

使用实例

# 在系统视图下,使能接口GE1/0/1的MAC旁路认证功能。

<HUAWEI> system-view
[HUAWEI] dot1x mac-bypass interface gigabitethernet 1/0/1

# 在接口视图下,使能接口GE1/0/1的MAC旁路认证功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x mac-bypass

dot1x mac-bypass mac-auth-first

命令功能

dot1x mac-bypass mac-auth-first命令用来使能MAC旁路认证过程中优先进行MAC认证功能。

undo dot1x mac-bypass mac-auth-first命令用来去使能MAC旁路认证过程中优先进行MAC认证功能。

缺省情况下,未使能MAC旁路认证过程中优先进行MAC认证功能。

命令格式

系统视图:

dot1x mac-bypass mac-auth-first interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x mac-bypass mac-auth-first interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x mac-bypass mac-auth-first

undo dot1x mac-bypass mac-auth-first

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

使能指定接口下MAC旁路认证过程中优先进行MAC认证功能。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在使能了MAC旁路认证功能的接口下若同时存在无法安装和使用802.1X客户端的终端(如打印机)以及可以进行802.1X认证的用户(如PC),如果无法安装和使用802.1X客户端的终端需要快速通过MAC认证,则可使用命令dot1x mac-bypass mac-auth-first使能MAC旁路认证过程中优先进行MAC认证功能。之后,设备将优先对用户启动MAC认证流程,在认证失败后才会触发802.1X认证。

前置条件

为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。

后续任务

使用命令dot1x mac-bypass用来使能接口的MAC旁路认证功能。

使用实例

# 在系统视图下,使能接口GE1/0/1的MAC旁路认证过程中优先进行MAC认证功能。

<HUAWEI> system-view
[HUAWEI] dot1x mac-bypass mac-auth-first interface gigabitethernet 1/0/1

# 在接口视图下,使能接口GE1/0/1的MAC旁路认证过程中优先进行MAC认证功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x mac-bypass mac-auth-first

dot1x max-user

命令功能

dot1x max-user命令用来配置接口下允许接入的最大802.1X用户数量。

undo dot1x max-user命令用来恢复接口下允许接入的最大802.1X用户数量为缺省值。

缺省情况下,在规格范围内,设备允许接入的最大802.1X认证用户数没有限制。

命令格式

系统视图:

dot1x max-user user-number interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x max-user [ user-number ] interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x max-user user-number

undo dot1x max-user [ user-number ]

参数说明

参数

参数说明

取值

user-number

指定接口的最大用户数量。

整数形式,取值范围根据单板型号不同而不同。

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

管理员若需要限制特定接口下允许接入的最大802.1X用户数量时,可使用命令dot1x max-user

前置条件

为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。

注意事项

若接口上用户的接入方式为基于端口方式(通过命令dot1x port-method进行配置),则接口下允许接入的最大802.1X用户数量固定为1。此时若需通过命令dot1x max-user配置接口下允许接入的最大802.1X用户数量,首先需要使用命令undo dot1x port-method恢复接口上用户的接入方式为基于MAC地址方式。

使用实例

# 在系统视图下,配置接口GE1/0/1可容纳的最大802.1X用户数量为7。

<HUAWEI> system-view
[HUAWEI] dot1x max-user 7 interface gigabitethernet 1/0/1

# 在接口视图下,配置接口GE1/0/1可容纳的最大802.1X用户数量为7。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x max-user 7

dot1x mc-trigger

命令功能

dot1x mc-trigger命令用来使能802.1X的组播触发功能。

undo dot1x mc-trigger命令用来去使能802.1X的组播触发功能。

缺省情况下,已使能802.1X的组播触发功能。

命令格式

dot1x mc-trigger

undo dot1x mc-trigger

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

若客户端(例如Windows系统自带的802.1X客户端)不支持主动发送EAPOL-Start报文进行802.1X认证,则可使能802.1X的组播触发功能。之后,设备将主动向客户端组播发送Identity类型的EAP-Request帧来触发认证。

前置条件

为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。

使用实例

# 使能802.1X的组播触发功能。

<HUAWEI> system-view
[HUAWEI] dot1x mc-trigger
相关主题

dot1x mc-trigger port-up-send enable

命令功能

dot1x mc-trigger port-up-send enable命令用来开启设备接口Up时802.1X的组播立即触发功能。

undo dot1x mc-trigger port-up-send enable命令用来关闭设备接口Up时802.1X的组播立即触发功能。

缺省情况下,设备接口Up时802.1X的组播立即触发功能处于关闭状态。

命令格式

dot1x mc-trigger port-up-send enable

undo dot1x mc-trigger port-up-send enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,设备会周期性地向客户端组播发送Identity类型的EAP-Request报文来触发客户端发送EAPOL-Start报文进行802.1X认证。设备与客户端互联的接口Down后再Up时,客户端需重新发送EAPOL-Start报文进行802.1X认证,而这过程耗时较长,此时可以在设备上执行命令dot1x mc-trigger port-up-send enable,使得设备接口Up时立即向客户端组播发送Identity类型的EAP-Request帧来触发客户端进行802.1X认证,以便节省重新认证时间。

注意事项

当设备接口接入控制方式为基于MAC方法时,则dot1x mc-trigger port-up-send enable命令功能不生效。

使用实例

# 开启设备接口Up时802.1X的组播立即触发功能。

<HUAWEI> system-view
[HUAWEI] dot1x mc-trigger port-up-send enable

dot1x port-control

命令功能

dot1x port-control命令用来配置接口的授权状态。

undo dot1x port-control命令用来恢复接口的授权状态为缺省情况。

缺省情况下,接口的授权状态为auto

命令格式

系统视图:

dot1x port-control { auto | authorized-force | unauthorized-force } interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x port-control interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x port-control { auto | authorized-force | unauthorized-force }

undo dot1x port-control

参数说明

参数

参数说明

取值

auto

指定接口的授权状态为自动识别:接口初始状态为非授权状态,仅允许收发EAPOL报文,不允许用户访问网络资源;如果认证通过,则接口切换到授权状态,允许用户访问网络资源。

-

authorized-force

指定接口的授权状态为强制授权模式:接口始终处于授权状态,允许用户不经认证授权即可访问网络资源。

-

unauthorized-force

指定接口的授权状态为强制非授权模式:接口始终处于非授权状态,不允许用户访问网络资源。

-

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

正常情况下,接口的授权状态建议配置为auto,此后只有用户通过认证后设备才允许用户接入网络;如果对某接口下的用户完全信任,不需对该接口下的用户进行认证时,则可配置该接口的授权状态为authorized-force;如果基于一些安全性考虑需要关闭某接口下所有用户的访问权限时,则可配置该接口的授权状态为unauthorized-force

前置条件

为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。

注意事项

配置在极限MAC模式的单板不支持用户接入。

当接口下已经有802.1X用户在线时,不允许执行dot1x port-control命令,否则系统会提示警告信息。

建议在网络部署初期完成配置接口的授权状态。在网络正常运行中,若需要更改接口的授权状态,需首先使用命令cut access-user让该接口下的所有用户下线后再进行配置。

使用实例

# 在系统视图下,指定接口GE1/0/1处于强制非授权状态。

<HUAWEI> system-view
[HUAWEI] dot1x port-control unauthorized-force interface gigabitethernet 1/0/1

# 在接口视图下,指定接口GE1/0/1处于强制非授权状态。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x port-control unauthorized-force

dot1x port-method

命令功能

dot1x port-method命令用来配置802.1X在指定接口上进行接入控制的方式。

undo dot1x port-method命令用来恢复802.1X在指定接口上进行接入控制的方式为缺省情况。

缺省情况下,802.1X在指定接口上进行接入控制的方式为基于MAC地址方式。

命令格式

系统视图:

dot1x port-method { mac | port } interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x port-method interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x port-method { mac | port }

undo dot1x port-method

参数说明

参数

参数说明

取值

mac

指定基于MAC地址对用户进行认证。

-

port

指定基于接口对用户进行认证。

-

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口编号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

802.1X在指定接口上进行接入控制的方式分为基于MAC地址和基于接口两种方式:

  • 当采用mac方式时,该接口下的所有802.1X用户均需要单独认证,当某一用户下线时,不影响其他用户接入网络。此认证方式比较适合零散用户。
  • 当采用port方式时,只要该接口下有一个用户认证成功,则其他802.1X用户无须认证即可使用网络资源,但若认证通过的用户下线后,其他用户也会被拒绝使用网络。此认证方案比较适合集团用户。

前置条件

为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。

注意事项

  • 若有802.1X用户在线,则不允许通过dot1x port-method命令更改该用户所在接口的接入控制方式。

  • 若接口的接入控制方式为基于接口方式,则接口下允许接入的最大802.1X用户数量为1。此后若执行命令undo dot1x port-method恢复接口的接入控制方式为基于MAC地址方式,接口允许接入的最大802.1X用户数仍为1,此时根据需要可执行命令dot1x max-user配置接口允许接入的最大802.1X用户数。

使用实例

# 在系统视图下,配置802.1X认证在接口GE1/0/1上进行接入控制的方式为port方式。

<HUAWEI> system-view
[HUAWEI] dot1x port-method port interface gigabitethernet 1/0/1

# 在接口视图下,配置802.1X认证在接口GE1/0/1上进行接入控制的方式为port方式。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x port-method port

dot1x quiet-period

命令功能

dot1x quiet-period命令用来使能静默定时器功能。

undo dot1x quiet-period命令用来去使能静默定时器功能。

缺省情况下,已使能静默定时器功能。

命令格式

dot1x quiet-period

undo dot1x quiet-period

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

开启静默定时器功能后,若某一802.1X用户在60秒内认证失败的次数超过规定的值(配置该值,请参考命令dot1x quiet-times)时,则设备会将该用户静默一段时间,在静默期间,设备会丢弃该用户的802.1X认证请求。这样可以防止用户频繁认证对系统造成冲击。

静默定时器的静默时间可通过命令dot1x timer进行配置,超过所配置的静默时间后,设备即会重新开始对用户进行认证。

前置条件

为了保证配置生效,需要执行命令dot1x enable启动全局和接口的802.1X用户认证功能。

使用实例

# 使能静默定时器。

<HUAWEI> system-view
[HUAWEI] dot1x quiet-period
相关主题

dot1x quiet-times

命令功能

dot1x quiet-times命令用来配置802.1X用户被静默前60秒内允许认证失败的次数。

undo dot1x quiet-times命令用来恢复802.1X用户被静默前60秒内允许认证失败的次数为缺省值。

缺省情况下,802.1X用户被静默前60秒内允许认证失败的次数为10次。

命令格式

dot1x quiet-times fail-times

undo dot1x quiet-times

参数说明

参数

参数说明

取值

fail-times

指定802.1X用户被静默前允许认证失败的次数。

整数形式,取值范围是1~10。

视图

系统视图

缺省级别

2:配置级

使用指南

使用命令dot1x quiet-period使能了设备的静默定时器功能后,若802.1X用户在60秒内认证失败的次数超过了dot1x quiet-times所配置的值后,设备会将该用户静默一段时间。这样可以防止用户频繁认证对系统造成冲击。

使用实例

# 配置802.1X用户在60秒内认证失败4次后被静默。

<HUAWEI> system-view
[HUAWEI] dot1x quiet-times 4
相关主题

dot1x reauthenticate

命令功能

dot1x reauthenticate命令用来使能接口对在线802.1X用户进行周期重认证功能。

undo dot1x reauthenticate命令用来去使能接口对在线802.1X用户进行周期重认证功能。

缺省情况下,未使能接口对在线802.1X用户进行周期重认证功能。

命令格式

系统视图:

dot1x reauthenticate interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x reauthenticate interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x reauthenticate

undo dot1x reauthenticate

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

管理员在认证服务器上对某一用户认证参数进行修改后,此时如果用户已经在线,那么就需要及时对该用户进行重认证已确保用户的合法性。

用户上线后,设备将会保存已在线用户的认证参数。使用命令dot1x reauthenticate使能对在线802.1X用户进行周期重认证功能后,设备将会按照一定的周期将保存的在线用户的认证参数自动发送到认证服务器进行重认证,如果认证服务器上用户的认证信息没有变化,则用户正常在线;如果用户的认证信息已更改,则用户将会被下线,此后需要用户重新根据更改后的认证参数进行重认证。
说明:

重认证周期可通过命令dot1x timer reauthenticate-period进行配置。

设备与某服务器对接进行重认证时,如果服务器回复重认证拒绝消息导致已在线用户下线,则建议服务器侧定位重认证失败原因或者设备去使能重认证功能。

注意事项

如果使能了802.1X的周期重认证功能,则会导致802.1X认证的日志信息较多。

使用实例

# 在系统视图下,使能接口GE1/0/1对在线802.1X用户进行周期重认证功能。

<HUAWEI> system-view
[HUAWEI] dot1x reauthenticate interface gigabitethernet 1/0/1

# 在接口视图下,使能接口GE1/0/1对在线802.1X用户进行周期重认证功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x reauthenticate

dot1x reauthenticate mac-address

命令功能

dot1x reauthenticate mac-address命令用来使能对指定MAC地址的在线802.1X用户进行重认证功能。

缺省情况下,未使能对指定MAC地址的在线802.1X用户进行重认证功能。

命令格式

dot1x reauthenticate mac-address mac-address

参数说明

参数

参数说明

取值

mac-address

指定进行重认证的802.1X用户的MAC地址。

格式为H-H-H,其中H为1至4位的十六进制数。

视图

系统视图

缺省级别

2:配置级

使用指南

该命令应用场景请参见命令dot1x reauthenticate

该命令与命令dot1x reauthenticate都是对在线802.1X用户进行重认证,但是存在以下差异:
  • 执行命令dot1x reauthenticate mac-address后,设备会立即对指定MAC地址的用户进行重认证,且只进行一次认证。
  • 执行命令dot1x reauthenticate后,设备将对指定接口下所有的在线802.1X用户进行周期性的重认证。

使用实例

# 对MAC地址为00e0-fc01-0005的802.1X用户进行重认证。

<HUAWEI> system-view
[HUAWEI] dot1x reauthenticate mac-address 00e0-fc01-0005

dot1x retry

命令功能

dot1x retry命令用来配置向802.1X用户发送认证请求报文或握手报文的重传次数。

undo dot1x retry命令用来恢复缺省值。

缺省情况下,设备向802.1X用户发送认证请求报文或握手报文的重传次数为2次。

命令格式

dot1x retry max-retry-value

undo dot1x retry

参数说明

参数

参数说明

取值

max-retry-value

指定向802.1X用户发送认证请求报文或握手报文的重传次数。

建议采用缺省值。

整数形式,取值范围为1~10。

缺省情况下,设备向802.1X用户发送认证请求报文或握手报文的重传次数为2次。

视图

系统视图

缺省级别

2:配置级

使用指南

设备向用户发送认证请求报文或握手报文时,若在规定的时间内没有收到用户的响应信息,则设备会再次向用户发送认证请求报文或握手报文,若再次发送的认证请求报文或握手报文次数达到重传次数时仍未收到用户的响应,则用户认证失败或握手失败。该过程中设备向用户发送认证请求或握手报文的总次数为max-retry-value+1。

说明:
  • 执行此命令后,配置的最大次数将对所有使能802.1X认证的接口生效。
  • 重复向用户发送认证请求会占用大量的设备资源,在使用本命令时,配置的具体次数可参考用户需求和设备资源情况而定。建议采用缺省值。
  • 发送认证请求的时间间隔可通过命令dot1x timer进行配置,其中对未上线用户通过tx-periodclient-timeout定时器控制;对已在线用户通过handshake-period定时器控制。
  • 本命令功能可与Guest VLAN功能(可参见命令authentication guest-vlan)相结合,当用户在本命令配置的最大次数内仍无认证响应,将被加入到Guest VLAN,以便用户不经过认证也能够访问Guest VLAN内的资源。

使用实例

# 配置向802.1X用户发送认证请求报文或握手报文的重传次数为4次。

<HUAWEI> system-view
[HUAWEI] dot1x retry 4

dot1x timer

命令功能

dot1x timer命令用来配置802.1X各项定时器参数。

undo dot1x timer命令用来恢复802.1X各项定时器参数为缺省值。

缺省情况下,未配置802.1X各项定时器参数。

命令格式

dot1x timer { arp-detect arp-detect-value | client-timeout client-timeout-value | handshake-period handshake-period-value | eth-trunk-access handshake-period handshake-period-value | quiet-period quiet-period-value | tx-period tx-period-value | mac-bypass-delay delay-time-value | free-ip-timeout free-ip-time-value }

undo dot1x timer { arp-detect | client-timeout | handshake-period | eth-trunk-access handshake-period | quiet-period | tx-period | mac-bypass-delay | free-ip-timeout }

参数说明

参数

参数说明

取值

arp-detect arp-detect-value

配置ARP探测报文发送时间间隔。

整数形式,取值范围为5~7200或0,单位是秒。0表示关闭该功能。

缺省情况下,ARP探测时间间隔为120秒。

client-timeout client-timeout-value

配置客户端认证超时时间。

说明:

如果网络中存在部分终端,设备向其发送EAP-Request/MD5 Challenge报文后,终端经过一个较长的时间才予以回应。此时可以适当调大client-timeout client-timeout-value参数的取值,防止因终端回应较慢导致上线失败,调整的原则是:

3 * client-timeout-value > 终端延迟回应的时间

整数形式,取值范围为1~120,单位是秒。

缺省情况下,客户端认证超时时间为5秒。

handshake-period handshake-period-value

配置设备与非Eth-Trunk接口下的802.1X客户端握手周期。

请参考命令dot1x handshake

整数形式,取值范围为5~7200,单位是秒。

缺省情况下,握手报文的发送时间间隔为60秒。

eth-trunk-access handshake-period handshake-period-value

配置设备与Eth-Trunk接口下的802.1X客户端握手周期。

请参考命令dot1x handshake

整数形式,取值范围为30~7200,单位是秒。

缺省情况下,握手报文的发送时间间隔为120秒。

说明:
开启ARP探测功能后,设备与Eth-Trunk接口下的802.1X客户端的实际握手周期为ARP探测配置的时间间隔。

quiet-period quiet-period-value

配置静默周期。

请参考命令dot1x quiet-period

整数形式,取值范围为1~3600,单位是秒。

缺省情况下,认证失败用户处于静默周期的时间为60秒。

tx-period tx-period-value

配置发送认证请求的时间间隔。

以下两种情况设备将启动tx-period定时器:
  • 在客户端主动发起认证的情况下,当设备向客户端发送单播Request/Identity请求报文后,将同时启动该定时器。若在该定时器规定的时长内,设备没有收到客户端的响应,则将重发认证请求报文。
  • 为了对不支持主动发起认证的802.1X客户端进行认证,设备会在启动802.1X功能的端口定期地发送组播Request/Identity报文,发送的间隔是该定时器配置的值。

整数形式,取值范围为1~120,单位是秒。

缺省情况下,发送认证请求的时间间隔为30秒。

mac-bypass-delay delay-time-value

配置MAC旁路认证延迟定时器。

当配置MAC旁路认证功能后,设备首先会对用户进行802.1X认证,同时启动MAC旁路认证延迟定时器。如果MAC旁路认证延迟时间到达而802.1X认证仍未成功,则设备开始对用户进行MAC旁路认证。

整数形式,取值范围为1~300,单位是秒。

缺省情况下,MAC旁路认证延迟时间为30秒。

free-ip-timeout free-ip-time-value

配置免认证用户表项的老化时间。

当配置802.1X免认证IP网段后,设备在接收到802.1X用户的ARP/DHCP报文后,即会为其建立免认证用户表项。为防止用户异常下线而导致免认证表项无法删除,可配置免认证用户表项的老化时间。

整数形式,取值范围为0~71581,单位是分钟。0表示免认证用户表项不老化。

缺省情况下,免认证用户表项不老化。

视图

系统视图

缺省级别

2:配置级

使用指南

802.1X在运行过程中会启动多个定时器以控制接入用户、接入设备以及认证服务器之间进行合理、有序的交互。使用此命令可以更改部分定时器值(另外部分定时器是不可调节的),以调节交互进程。这在较为特殊或比较恶劣的网络环境下是必需的措施。不过,一般情况下,建议保持这些定时器的缺省值。

ARP探测功能还可以通过检测是否有用户流量经过接入设备实现。假如ARP探测周期为n,则设备会在n2n时刻进行用户探测。以0~n时间段为例,n~2n与之类似,不再赘述。
  • 如果在0~n时间段内,有用户流量经过设备,则在n时刻,设备认为用户在线,该时刻设备不会再发送探测报文,并重置ARP探测定时器。
  • 如果在0~n时间段内,没有用户流量经过设备,则在n时刻,设备无法感知到用户是否在线,该时刻设备会发送探测报文。如果设备收到用户的回应报文,则认为用户在线,并重置ARP探测周期;如果未收到,则认为用户已下线。
  • 如果在2n~3n时间段内,有用户流量经过设备或收到用户的回应报文,则在3n时刻,设备认为用户在线,该时刻设备重置ARP探测定时器。
  • 如果在2n~3n时间段内,没有用户流量经过设备且未收到用户的回应报文,则在3n时刻,设备无法感知到用户是否在线,认为用户已下线。
如果在n2n3n时刻,设备均认为用户已下线,则设备会删除该用户的所有相关表项。为防止用户PC闲置时被异常下线,请不要将ARP探测周期设置的过小。

使用实例

# 设置客户端认证超时时间为90秒。

<HUAWEI> system-view
[HUAWEI] dot1x timer client-timeout 90

dot1x timer reauthenticate-period

命令功能

dot1x timer reauthenticate-period命令用来配置802.1X认证重认证周期。

undo dot1x timer reauthenticate-period命令用户恢复802.1X认证重认证周期为缺省值。

缺省情况下,802.1X认证重认证周期为3600秒。

命令格式

dot1x timer reauthenticate-period reauthenticate-period-value

undo dot1x timer reauthenticate-period

参数说明

参数

参数说明

取值

reauthenticate-period-value

指定802.1X认证重认证周期。

当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。

整数形式,取值范围是1~65535,单位是秒。

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

使用命令dot1x reauthenticate使能接口对在线802.1X用户进行周期重认证功能后,可使用命令dot1x timer reauthenticate-period配置802.1X认证重认证周期。之后,设备将根据重认证周期对已认证成功的用户进行重认证,以确保用户的合法性。

在系统视图下执行此命令,则对所有的接口命令功能生效;在系统视图和接口视图下同时执行此命令,则以接口视图下的配置为准。

说明:

一般情况下,重认证周期建议采用默认值。如果用户授权时需要下发多条ACL,为提高设备处理性能,建议关闭重认证功能或将重认证周期调长。

在采用远端认证、授权的情况下,如果配置的重认证周期过短则可能导致CPU占用率较高。

当用户数较多时,为减少对设备性能的影响,用户进行重认证的周期可能大于配置的重认证的周期。

使用实例

# 配置802.1X的重认证周期为7200秒。

<HUAWEI> system-view
[HUAWEI] dot1x timer reauthenticate-period 7200

dot1x trigger dhcp-binding

命令功能

dot1x trigger dhcp-binding命令用来配置静态IP用户802.1X认证成功后,设备自动生成对应的DHCP Snooping绑定表。

undo dot1x trigger dhcp-binding命令用来恢复缺省配置。

缺省情况下,静态IP用户802.1X认证成功后,设备不会自动生成对应的DHCP Snooping绑定表。

命令格式

dot1x trigger dhcp-binding

undo dot1x trigger dhcp-binding

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

网络中存在非法用户,将自己的MAC地址修改为合法用户的MAC地址,当合法用户通过802.1X认证上线后,非法用户就可以获取与合法用户相同的身份认证,达到不认证就上网的目的,这无疑造成了认证和计费的漏洞。非法用户上线后,还可以发起ARP欺骗攻击,发送伪造合法用户的ARP报文,使设备记录错误的ARP表项,严重影响合法用户之间的正常通信。利用IPSG功能和DAI功能,可以预防以上非法用户的攻击。IPSG功能和DAI功能是基于绑定表实现的。对于静态IP用户,可以通过命令user-bind static配置静态绑定表。但是,如果静态IP用户较多,通过以上命令逐条配置静态绑定表的工作量较大。

为减少工作量,可以配置设备自动生成静态IP用户的DHCP Snooping绑定表功能。配置该功能后,802.1X认证成功的静态IP用户,通过EAP报文触发生成用户信息表,根据用户信息表中记录的MAC地址、IP地址、接口信息等,在设备上自动生成对应的DHCP Snooping绑定表。

执行命令display dhcp snooping user-bind,可以查看静态IP用户802.1X认证成功后,设备自动生成的DHCP Snooping绑定表。该功能生成的DHCP Snooping绑定表在用户下线后会自动删除。

后续任务

DHCP Snooping绑定表生成之后,需要结合IPSG和DAI功能,防止非法用户攻击。

注意事项

  • 配置设备自动生成静态IP用户的DHCP Snooping绑定表之前,必须已经通过命令dot1x enabledhcp snooping enable使能了全局和接口的802.1X认证功能和DHCP Snooping功能。

  • 由于EAP协议没有规定标准的属性来携带IP地址信息,对于EAP请求报文中不携带IP地址信息的静态IP用户,DHCP Snooping绑定表中的IP地址信息是从用户发送的ARP请求报文(用户认证成功后发送的第一个与用户信息表中MAC地址相同的ARP请求报文)中提取的。由于网络中可能存在非法用户伪造合法用户的MAC地址向设备发起ARP欺骗攻击的情况,生成的DHCP Snooping绑定表可能不可靠,所以不建议用户开启此功能,建议通过命令user-bind static配置静态绑定表。

  • 对于DHCP方式分配IP地址的用户,设备上无需配置命令dot1x trigger dhcp-binding,直接通过DHCP Snooping功能就能够自动生成DHCP Snooping绑定表。

使用实例

# 配置静态IP用户802.1X认证成功后,设备自动生成DHCP Snooping绑定表。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] dot1x trigger dhcp-binding

dot1x unicast-trigger

命令功能

dot1x unicast-trigger命令用来使能单播报文触发802.1X认证功能。

undo dot1x unicast-trigger命令用来去使能单播报文触发802.1X认证功能。

缺省情况下,未使能单播报文触发802.1X认证功能。

命令格式

系统视图:

dot1x unicast-trigger interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo dot1x unicast-trigger interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

dot1x unicast-trigger

undo dot1x unicast-trigger

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

使用命令dot1x unicast-trigger使能单播报文触发802.1X认证功能后,当设备接收到客户端发送的ARP或DHCP请求报文时,将主动向该客户端发送单播认证报文来触发认证。若设备在客户端认证超时时间(配置该参数,请参见命令dot1x timer)内没有收到客户端的响应,则重发该单播认证报文(配置向802.1X用户发送认证请求的最大次数,请参见命令dot1x retry)。在802.1X网络部署过程中,通过本功能可使得802.1X用户不经过特定的客户端软件拨号即可开始802.1X认证,这将有助于快速部署网络。
说明:

dot1x unicast-trigger的功能类似于dot1x dhcp-trigger

使用实例

# 在系统视图下使能接口GE1/0/1的单播报文触发802.1X认证功能。

<HUAWEI> system-view
[HUAWEI] dot1x unicast-trigger interface gigabitethernet 1/0/1
相关主题

dot1x url

命令功能

dot1x url命令用来配置802.1X认证的重定向URL。

undo dot1x url命令用来取消配置的802.1X认证的重定向URL。

缺省情况下,未配置802.1X认证的重定向URL。

命令格式

dot1x url url-string

undo dot1x url

参数说明

参数 参数说明 取值
url-string 指定重定向URL。 字符串形式,长度范围是1~200,区分大小写。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络部署初期,802.1X客户端部署困难且工作量大。针对这种情况,可使用命令dot1x url配置重定向URL地址为802.1X客户端的下载页面地址。此后,当用户通过浏览器访问非免认证IP网段地址时,设备在接收到用户发送的HTTP报文时会将用户访问的URL重定向到802.1X客户端下载页面,这样用户即可从该页面下载802.1X客户端并进行安装。

后续任务

执行dot1x free-ip命令将802.1X认证的重定向URL所在网段配置为免认证IP网段。

注意事项

重定向URL地址必须在免认证IP网段内,否则无法访问指定的重定向URL。

使用实例

# 配置802.1X认证的重定向URL为http://www.123.com.cn。

<HUAWEI> system-view
[HUAWEI] dot1x url http://www.123.com.cn

force-push

命令功能

force-push命令用来使能强推URL模板或URL功能。

undo force-push命令用来去使能强推URL模板或URL功能。

缺省情况下,未使能强推URL模板或URL。

命令格式

force-push { url-template template-name | url url-address }

undo force-push

参数说明

参数

参数说明

取值

url-template template-name

指定强推的URL模板的名称。

必须是设备上已经存在的URL模板名称。

url url-address

指定强推的URL。

字符串形式,不支持空格与“?”,区分大小写,长度范围是1~200。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

在用户认证通过后,通过配置WEB页面推送功能,可以实现设备在接收到用户首次进行Web访问发出的HTTP报文时将其强制访问指定网页。这种功能除了能够为用户提供广告推送等服务,还可以通过用户发送的HTTP报文获取到用户的终端信息,以便为其他功能服务。有两种方式可以推送WEB页面:
  1. URL方式:根据WEB页面的URL直接进行推送。
  2. URL模板方式:根据URL模板进行推送。该方式需先创建URL模板,然后在URL模板中配置需要推送的WEB页面的URL以及URL中的各参数。

前置条件

为了保证配置生效,在URL模板视图下使用命令url(URL模板视图)配置的URL不能为重定向URL。

注意事项

对于X系列单板上线的用户,强推功能仅对收到的用户的第一个HTTP报文生效。如果用户终端上安装有能够主动发送HTTP报文的应用程序,并且在用户首次进行WEB访问之前该应用程序已发送了HTTP报文,那么用户将感知不到WEB页面推送功能。

对于从除了X系列单板之外的单板上线的用户强推功能必须和重定向ACL配合使用才能生效,如果用户表中一直存在重定向ACL,则只要用户发出的HTTP报文匹配重定向ACL规则,就会进行强推。重定向ACL一般通过RADIUS服务器对用户授权华为扩展RADIUS属性HW-Redirect-ACL实现,也可以执行命令redirect-acl配置。

使用实例

# 在“huawei”域下强推名称为“abc”的URL模板。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] force-push url-template abc

http get-method enable

命令功能

http get-method enable命令用来配置进行Portal认证时允许用户使用GET方式向设备提交用户名和密码等信息。

undo http get-method enable命令用来恢复为缺省配置。

缺省情况下,进行Portal认证时不允许用户使用GET方式向设备提交用户名和密码等信息。

命令格式

http get-method enable

undo http get-method enable

参数说明

视图

Portal服务器模板视图

缺省级别

2:配置级

使用指南

应用场景

缺省情况下,进行Portal认证时不允许用户使用GET方式向设备提交用户名和密码等信息。如果用户希望使用GET方式向设备提交用户名和密码等信息,可以执行命令http get-method enable

注意事项

使用GET方式存在密码泄露风险,推荐使用POST方式。

本命令仅适用于通过HTTP/HTTPS协议进行Portal对接的场景。

使用实例

# 配置进行Portal认证时允许用户使用GET方式向设备提交用户名和密码等信息。

<HUAWEI> system-view
[HUAWEI] web-auth-server abc
[HUAWEI-web-auth-server-abc] http get-method enable

http-method post

命令功能

http-method post命令用来配置解析和回应HTTP/HTTPS协议的POST请求报文的参数。

undo http-method post命令用来恢复为缺省配置。

缺省情况下,系统已配置解析和回应HTTP/HTTPS协议的POST请求报文的参数,详情请参见命令中的参数说明。

命令格式

http-method post { cmd-key cmd-key [ login login-key | logout logout-key ] * | init-url-key init-url-key | login-fail response { err-msg { authenserve-reply-message | msg msg } | redirect-login-url | redirect-url redirect-url [ append-reply-message msgkey ] } | login-success response { msg msg | redirect-init-url | redirect-url redirect-url } | logout-fail response { msg msg | redirect-url redirect-url } | logout-success response { msg msg | redirect-url redirect-url } | password-key password-key | user-mac-key user-mac-key | userip-key userip-key | username-key username-key } *

undo http-method post { all | { cmd-key | init-url-key | login-fail | login-success | logout-fail | logout-success | password-key | user-mac-key | userip-key | username-key } * }

参数说明

参数

参数说明

取值

cmd-key cmd-key

指定命令的识别关键字。其缺省值为cmd。

字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~16。

login login-key

指定用户登录的识别关键字。其缺省值为login。

字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~15。

logout logout-key

指定用户注销的识别关键字。其缺省值为logout。

字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~15。

init-url-key init-url-key

指定用户初始登录的URL的识别关键字。其缺省值为initurl。

字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~16。

login-fail response { err-msg { authenserve-reply-message | msg msg } | redirect-login-url | redirect-url redirect-url [ append-reply-message msgkey ] }

指定用户登录失败时响应的消息内容。

  • err-msg authenserve-reply-message:用户登录失败时显示认证服务器返回的消息。
  • err-msg msg msg:用户登录失败时显示指定的消息内容。
  • redirect-login-url:用户登录失败时重定向到登录URL。此方式为缺省方式。
  • redirect-url redirect-url:用户登录失败时重定向到指定的URL。
  • append-reply-message msgkey:重定向URL携带认证服务器返回的消息的识别关键字。
  • msg:字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~200。

  • redirect-url:字符串形式,不支持空格,区分大小写,长度范围是1~200。

  • msgkey:字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~16。
login-success response { msg msg | redirect-init-url | redirect-url redirect-url }

指定用户登录成功时响应的消息内容。

  • msg msg:用户登录成功时显示指定的消息内容。
  • redirect-init-url:用户登录成功时重定向到初始登录的URL。此方式为缺省方式。
  • redirect-url redirect-url:用户登录成功时重定向到指定的URL。
  • msg:字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~200。

  • redirect-url:字符串形式,不支持空格,区分大小写,长度范围是1~200。

logout-fail response { msg msg | redirect-url redirect-url }

指定用户注销失败时响应的消息内容。

  • msg msg:用户注销失败时显示指定的消息内容。其缺省值为“LogoutFail!”
  • redirect-url redirect-url:用户注销失败时重定向到指定的URL。
  • msg:字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~200。

  • redirect-url:字符串形式,不支持空格,区分大小写,长度范围是1~200。

logout-success response { msg msg | redirect-url redirect-url }

指定用户注销成功时响应的消息内容。

  • msg msg:用户注销成功时显示指定的消息内容。其缺省值为“LogoutSuccess!”
  • redirect-url redirect-url:用户注销成功时重定向到指定的URL。
  • msg:字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~200。

  • redirect-url:字符串形式,不支持空格,区分大小写,长度范围是1~200。

password-key password-key

指定密码的识别关键字。其缺省值为password。

字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~16。

user-mac-key user-mac-key

指定用户MAC地址的识别关键字。其缺省值为macaddress。

字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~16。

userip-key userip-key

指定用户IP地址的识别关键字。其缺省值为ipaddress。

字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~16。

username-key username-key

指定用户名的识别关键字。其缺省值为username。

字符串形式,不支持空格、问号(?)、和号(&)和等于号(=),区分大小写,长度范围是1~16。

all

指定所有参数。

-

视图

Portal服务器模板视图

缺省级别

2:配置级

使用指南

设备通过HTTP/HTTPS协议与Portal服务器对接时,用户认证时根据Portal服务器的要求给设备发送POST请求报文(报文中会携带用户名、用户MAC地址等参数);设备收到POST请求报文后,会解析POST请求报文中的参数,如果这些参数的识别关键字与设备的配置不一致,则导致用户认证失败。因此,用户需要根据Portal服务器的实际情况,执行命令http-method post,配置这些识别关键字。

同时,用户登录/注销成功或者失败时,设备根据http-method post命令的配置将用户登录/注销的结果发送给用户,例如缺省情况下,用户注销成功时,设备会发送“LogoutSuccess!”消息给用户。

使用实例

# 配置解析HTTP/HTTPS协议的POST请求报文的命令关键字为cmd1。

<HUAWEI> system-view
[HUAWEI] web-auth-server abc
[HUAWEI-web-auth-server-abc] http-method post cmd-key cmd1

mac-authen

命令功能

mac-authen命令用来使能全局或接口的MAC地址认证功能。

undo mac-authen命令用来去使能全局或接口的MAC地址认证功能。

缺省情况下,未使能全局和接口的MAC地址认证功能。

命令格式

系统视图:

mac-authen [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

undo mac-authen [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

接口视图:

mac-authen

undo mac-authen

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。在MAC认证过程中,用户名和密码即是用户的MAC地址。该技术对于MAC地址固定,安全性要求不是非常高的环境很适用,同时可以满足像打印机这类不能够安装认证客户端的终端的认证需求。

在系统视图下执行mac-authen命令且不带接口参数时,相当于打开全局MAC认证开关,此后MAC认证的相关配置才会生效,MAC旁路认证功能不受此命令控制。

使能接口的MAC地址认证功能,有两种方法:
  • 相应接口视图下执行mac-authen命令。
  • 系统视图下执行mac-authen interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> 命令。

注意事项

  • 配置在极限MAC模式的单板不支持用户接入。
  • 在执行undo mac-authen命令前,需确保当前没有MAC认证在线用户,否则不允许执行此命令。此处MAC认证在线用户不包括通过MAC旁路认证的在线用户。

  • 如在VLANIF接口下使能MAC认证,则对从该VLANIF接口上线的MAC认证用户,Guest VLAN、Critical VLAN以及服务器动态授权VLAN功能不生效。
  • 如在VLANIF接口下使能MAC认证,则需保证已使用命令undo arp learning strict关闭ARP表项严格学习功能,否则用户无法上线。
  • 使用命令mac-address static mac-address interface-type interface-number vlan vlan-id配置静态MAC地址表项后,该表项对应的用户将无法通过MAC认证。
  • 如果接口使能了MAC认证,则不能在该接口下配置以下命令,反之亦然:

    命令

    功能

    mac-limit

    配置接口的最大MAC地址学习个数。

    mac-address learning disable

    关闭接口的MAC地址学习功能。

    port link-type dot1q-tunnel

    配置接口的链路类型为QinQ。

    port vlan-mapping vlan map-vlan

    port vlan-mapping vlan inner-vlan

    配置接口的VLAN Mapping功能。

    port vlan-stacking

    配置灵活QinQ功能。

    mac-vlan enable

    使能接口的MAC VLAN功能。

    ip-subnet-vlan enable

    使能接口基于IP子网划分VLAN的功能。

    user-bind ip sticky-mac

    使能根据绑定表生成Snooping类型MAC表项的功能。

使用实例

# 使能全局MAC地址认证功能。

<HUAWEI> system-view
[HUAWEI] mac-authen

# 在系统视图下,使能接口GE1/0/1的MAC地址认证功能。

<HUAWEI> system-view
[HUAWEI] mac-authen
[HUAWEI] mac-authen interface gigabitethernet 1/0/1

# 在接口视图下,使能接口GE1/0/1的MAC地址认证功能。

<HUAWEI> system-view
[HUAWEI] mac-authen
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-authen

mac-authen trigger

命令功能

mac-authen trigger命令用来配置允许触发MAC认证的报文类型。

undo mac-authen trigger命令用来恢复缺省配置。

缺省情况下,DHCP/ARP/DHCPv6/ND报文均能够触发MAC认证。

命令格式

系统视图:

mac-authen { dhcp-trigger | arp-trigger | dhcpv6-trigger | nd-trigger } * [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

undo mac-authen { dhcp-trigger | arp-trigger | dhcpv6-trigger | nd-trigger } * [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

接口视图:

mac-authen { dhcp-trigger | arp-trigger | dhcpv6-trigger | nd-trigger } *

undo mac-authen { dhcp-trigger | arp-trigger | dhcpv6-trigger | nd-trigger } *

参数说明

参数

参数说明

取值

dhcp-trigger

指定允许通过DHCP报文触发MAC认证。

-

arp-trigger

指定允许通过ARP报文触发MAC认证。

-

dhcpv6-trigger

指定允许通过DHCPv6报文触发MAC认证。

-

nd-trigger

指定允许通过ND报文触发MAC认证。

-

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

若不选择该参数,则命令功能对所有的接口生效。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

使能MAC认证功能后,缺省情况下,设备在接收到DHCP/ARP/DHCPv6/ND报文后均能触发对用户进行MAC认证。根据实际网络中的用户情况,管理员可调整允许触发MAC认证的报文类型。譬如网络中的用户均为动态获取IPv4地址的用户,此时可配置仅允许通过DHCP报文触发MAC认证,这样能够有效的避免网络中存在非法用户配置静态IPv4地址后,不断发送ARP等报文触发MAC认证,占用设备CPU资源。

注意事项

在全局下执行本命令,对多个接口命令功能生效;在全局和接口下同时执行本命令,接口下的配置优先生效。

配置该命令会使能MAC认证功能,且与接口下使能MAC认证的命令mac-authen会互相覆盖,最后配置的命令生效。如果最后在接口下执行命令mac-authen使能了MAC认证,则DHCP/ARP/DHCPv6/ND报文均能够触发MAC认证。

使用实例

# 在系统视图下,配置仅允许DHCP报文触发MAC认证。

<HUAWEI> system-view
[HUAWEI] mac-authen dhcp-trigger
相关主题

mac-authen dhcp-trigger dhcp-option

命令功能

mac-authen dhcp-trigger dhcp-option命令用来使能DHCP报文触发MAC认证时将DHCP选项信息上送到认证服务器。

undo mac-authen dhcp-trigger dhcp-option命令用来恢复缺省配置。

缺省情况下,DHCP报文触发MAC认证时不会将DHCP选项信息上送到认证服务器。

命令格式

系统视图:

mac-authen dhcp-trigger dhcp-option option-code [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

undo mac-authen dhcp-trigger dhcp-option option-code [ interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10> ]

接口视图:

mac-authen dhcp-trigger dhcp-option option-code

undo mac-authen dhcp-trigger dhcp-option option-code

参数说明

参数 参数说明 取值
option-code

指定设备上送到认证服务器的Option选项。

整数形式,取值仅支持82。
interface { interface-type interface-number1 [ to interface-number2 ] } 指定接口类型及接口号。其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。
-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

Option82选项记录了DHCP用户的位置、业务(语音业务、数据业务)等信息。当设备支持通过DHCP报文触发MAC认证时,执行本命令后,设备在接收到DHCP报文触发对用户进行MAC认证时能够将Option82选项信息上送到认证服务器,认证服务器根据该选项记录的用户信息即可为不同位置、不同业务的用户分配不同的网络访问权限。这样能够实现对各个用户的网络访问权限进行精确控制。

使用实例

# 全局使能DHCP报文触发MAC认证时将Option82选项信息上送到认证服务器功能。

<HUAWEI> system-view
[HUAWEI] mac-authen dhcp-trigger dhcp-option 82
相关主题

mac-authen domain

命令功能

mac-authen domain命令用来配置MAC认证用户所使用的认证域。

undo mac-authen domain命令用来恢复MAC认证用户所使用的认证域为全局默认域。

缺省情况下,MAC认证用户所使用的认证域为全局默认域。

命令格式

系统视图:

mac-authen domain isp-name [ mac-address mac-address mask mask ]

undo mac-authen domain [ isp-name [ mac-address mac-address ] | [ mac-address { mac-address | all } ] ]

接口视图:

mac-authen domain isp-name

undo mac-authen domain

参数说明

参数

参数说明

取值

isp-name

指定固定用户名的认证域。

字符串形式,不支持空格,不能使用星号“*”、问号“?”、引号“"”、横线“-”、双横线“--”,不区分大小写,长度范围是1~64。

mac-address mac-address

配置指定MAC地址的MAC认证用户所使用的认证域。

格式为H-H-H,其中H为1至4位的十六进制数。

mask mask

指定MAC地址的掩码。

格式为H-H-H,其中H为1至4位的十六进制数。

all

恢复所有MAC认证用户所使用的认证域为全局默认域。

-

视图

系统视图、VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在用户名中不带域名的MAC认证中,如果不配置设备或者接口所属的域,设备会将接入用户从Default域进行认证,这会导致多用户都在Default域下认证,认证方案不灵活。mac-authen domain可以配置MAC认证用户在指定域进行认证,不同的接口可以在不同的域认证,同时还可以配置指定MAC地址的用户在指定域认证,特别适合不同认证需求的用户,采用不同的认证方案进行认证。

说明:
  • 如果用户名中自带域名(可以使用mac-authen username命令配置),该用户优先从该域认证。

  • 该用户名和域名和AAA中的配置一致。

  • 域下的认证方案由AAA中的配置决定。

前置条件

配置的域必须已经在AAA视图下用domain(AAA视图)命令创建完成。

为了保证配置生效,需要执行命令mac-authen启动全局和接口的MAC地址认证功能。

注意事项

接口下配置优先,如果接口下没有配置,则采用全局配置的认证域。

mac-authen domain只能输入单播MAC,全零的MAC不触发认证。

如果需要使用undo mac-authen domain命令取消配置,会使用掩码计算过的MAC地址,而非输入的MAC地址,可以使用display this命令查询配置生效后的MAC地址,再使用undo mac-authen domain取消配置。

在802.1X认证和MAC旁路认证相结合场景中,建议MAC旁路认证和802.1X认证指定在不同域,否则如果MAC旁路认证的认证方案是不认证,802.1X认证失败后802.1X用户会进入MAC旁路认证,用户就会不经过认证非法上线了。

使用实例

# 在系统视图下,配置MAC地址认证用户使用的认证域为cams。

<HUAWEI> system-view
[HUAWEI] mac-authen domain cams

# 在接口视图下,配置MAC地址认证用户使用的认证域为cams。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-authen domain cams

mac-authen max-user

命令功能

mac-authen max-user命令用来配置接口下允许接入的MAC认证用户的最大数量。

undo mac-authen max-user命令用来恢复接口下允许接入的MAC认证用户的最大数量为缺省值。

缺省情况下,在规格范围内,设备允许接入的最大MAC认证用户数没有限制。

命令格式

系统视图:

mac-authen max-user user-number interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo mac-authen max-user [ user-number ] interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

mac-authen max-user user-number

undo mac-authen max-user [ user-number ]

参数说明

参数

参数说明

取值

user-number

指定接口下允许接入的MAC认证用户的最大数量。

整数形式,取值范围根据单板型号不同而不同。

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

当设备的某个接口对接入的MAC认证用户有限制的时候,可以通过该命令进行配置。当接口下接入用户到达所配置的最大数量时,设备将不会再对该接口下后续用户进行认证触发动作,这些用户也就无法正常访问网络。

前置条件

为了保证配置生效,需要执行命令mac-authen启动全局和接口的MAC地址认证功能。

使用实例

# 在系统视图下,配置接口GE1/0/1最多允许接入8个MAC地址认证用户。

<HUAWEI> system-view
[HUAWEI] mac-authen max-user 8 interface gigabitethernet 1/0/1

# 在接口视图下,配置接口GE1/0/1最多允许接入8个MAC地址认证用户。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-authen max-user 8

mac-authen offline dhcp-release

命令功能

mac-authen offline dhcp-release命令用来使能设备在接收到MAC认证用户的DHCP Release报文后清除用户表项。

undo mac-authen offline dhcp-release命令用来恢复缺省配置。

缺省情况下,设备在接收到MAC认证用户的DHCP Release报文后不会清除用户表项。

命令格式

系统视图:

mac-authen offline dhcp-release interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo mac-authen offline dhcp-release interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

mac-authen offline dhcp-release

undo mac-authen offline dhcp-release

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型和接口编号。其中:
  • interface-type表示接口类型。
  • interface-number1表示第一个接口的编号。
  • interface-number2表示最后一个接口的编号。interface-number2的取值必须大于interface-number1的取值,它和interface-number1共同确定一个范围。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

MAC认证用户发送DHCP Release报文下线后,设备上对应的用户表项并不能立刻删除,这将占用设备资源,可能导致其他用户无法上线。为了在MAC认证用户下线后及时清除对应的用户表项,可使用本命令。

注意事项

设备作为DHCP Relay时,还需配置DHCP Snooping功能,否则本命令配置不生效。

该功能仅在L2 BNG场景生效。

使用实例

# 在系统视图下,使能设备在接收到接口GE1/0/1下的MAC认证用户的DHCP Release报文后清除用户表项功能。

<HUAWEI> system-view
[HUAWEI] mac-authen offline dhcp-release interface gigabitethernet 1/0/1

# 在接口视图下,使能设备在接收到接口GE1/0/1下的MAC认证用户的DHCP Release报文后清除用户表项功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-authen offline dhcp-release
相关主题

mac-authen permit mac-address

命令功能

mac-authen permit mac-address命令用来配置设备允许用户进行MAC认证的MAC地址段。

undo mac-authen permit mac-address命令用来删除配置的设备允许用户进行MAC认证的MAC地址段。

缺省情况下,未配置允许进行MAC认证的地址段。

命令格式

mac-authen permit mac-address mac-address mask { mask | mask-length }

undo mac-authen permit mac-address mac-address mask { mask | mask-length }

参数说明

参数

参数说明

取值

mac-address 指定设备允许用户进行MAC认证的MAC地址。

格式为H-H-H,其中H为1至4位的十六进制数。

mask mask 指定MAC地址的掩码。

格式为H-H-H,其中H为1至4位的十六进制数。

mask mask-length 指定MAC地址掩码长度。

整数形式,取值范围是1~48。

视图

VLANIF接口视图

缺省级别

2:配置级

使用指南

在VLANIF接口下配置MAC认证后,设备上默认只要产生新的MAC表项,该MAC地址就可以进行MAC认证。为了更精确的控制能够在VLANIF接口下进行MAC认证的用户,可使用本命令配置设备允许用户进行MAC认证的MAC地址段。

使用实例

# 配置设备允许用户进行MAC认证的MAC地址为1011-1111-1111,MAC地址掩码长度为24。

<HUAWEI> system-view
[HUAWEI] interface Vlanif 10
[HUAWEI-Vlanif10] mac-authen permit mac-address 1011-1111-1111 mask 24

mac-authen quiet-times

命令功能

mac-authen quiet-times命令用来配置MAC认证用户被静默前60秒内允许认证失败的次数。

undo mac-authen quiet-times命令用来恢复MAC认证用户被静默前60秒内允许认证失败的次数为缺省值。

缺省情况下,MAC认证用户被静默前60秒内允许认证失败的次数为10次。

命令格式

mac-authen quiet-times fail-times

undo mac-authen quiet-times

参数说明

参数

参数说明

取值

fail-times

指定MAC认证用户被静默前允许认证失败的次数。

整数形式,取值范围是1~10。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备的MAC认证静默功能默认已使能,缺省情况下,当MAC认证用户在60秒内认证失败的次数超过了10次,设备会将该用户静默一段时间,且不再处理该用户的认证请求,从而防止一直尝试进行认证的攻击者对系统造成冲击。

注意事项

将MAC认证用户静默前的认证失败次数调整为大于设置的值后,正处于静默状态的用户,仍需等待静默期过后才能重新认证。再次认证时,如果该用户又一次输错了用户名密码造成认证失败,设备将不再对其进行静默,而是允许其立即重新进行认证。

使用实例

# 配置MAC认证用户在60秒内认证失败4次后被静默。

<HUAWEI> system-view
[HUAWEI] mac-authen quiet-times 4

mac-authen reauthenticate

命令功能

mac-authen reauthenticate命令用来使能对指定接口下所有在线MAC认证用户进行周期重认证功能。

undo mac-authen reauthenticate命令用来去使能对指定接口下所有在线MAC认证用户进行周期重认证功能。

缺省情况下,已使能对指定接口下所有在线MAC认证用户进行周期重认证功能。

命令格式

系统视图

mac-authen reauthenticate interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo mac-authen reauthenticate interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

mac-authen reauthenticate

undo mac-authen reauthenticate

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型及接口号。其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

管理员在认证服务器上对某一用户认证参数进行修改后,此时如果用户已经在线,那么就需要及时对该用户进行重认证已确保用户的合法性。

用户上线后,设备将会保存已在线用户的认证参数。使用命令mac-authen reauthenticate使能对指定接口下所有在线MAC认证用户进行周期重认证功能后,设备将会按照一定的周期将保存的该接口下在线用户的认证参数自动发送到认证服务器进行重认证,如果认证服务器上用户的认证信息没有变化,则用户正常在线;如果用户的认证信息已更改,则用户将会被下线,此后需要用户重新根据更改后的认证参数进行重认证。
说明:

重认证周期可通过命令mac-authen timer reauthenticate-period进行配置。

设备与某服务器对接进行重认证时,如果服务器回复重认证拒绝消息导致已在线用户下线,则建议服务器侧定位重认证失败原因或者设备去使能重认证功能。

使用实例

# 在系统视图下,使能对接口GE1/0/1下所有在线MAC认证用户进行周期重认证功能。

<HUAWEI> system-view
[HUAWEI] mac-authen reauthenticate interface gigabitethernet 1/0/1

# 在接口视图下,使能对接口GE1/0/1下所有在线MAC认证用户进行周期重认证功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-authen reauthenticate
相关主题

mac-authen reauthenticate dhcp-renew

命令功能

mac-authen reauthenticate dhcp-renew命令用来使能设备在接收到MAC认证用户的DHCP续租报文后,对用户进行重认证。

undo mac-authen reauthenticate dhcp-renew命令用来恢复缺省配置。

缺省情况下,设备在接收到MAC认证用户的DHCP续租报文后,不会对用户进行重认证。

命令格式

系统视图:

mac-authen reauthenticate dhcp-renew interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

undo mac-authen reauthenticate dhcp-renew interface { interface-type interface-number1 [ to interface-number2 ] } &<1-10>

接口视图:

mac-authen reauthenticate dhcp-renew

undo mac-authen reauthenticate dhcp-renew

参数说明

参数

参数说明

取值

interface { interface-type interface-number1 [ to interface-number2 ] }

指定接口类型和接口编号。其中:
  • interface-type表示接口类型。
  • interface-number1表示第一个接口的编号。
  • interface-number2表示最后一个接口的编号。interface-number2的取值必须大于interface-number1的取值,它和interface-number1共同确定一个范围。

-

视图

系统视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

用户上线后,管理员可能在认证服务器上更改用户的认证参数或者网络访问权限。为了确保用户的合法性或者及时更新用户的网络访问权限,可使用本命令使能设备在接收到MAC认证用户的DHCP续租报文后,对用户进行重认证。

说明:

该功能仅适用于L2 BNG场景。

使用实例

# 在系统视图下,使能设备在接收到接口GE1/0/1下的MAC认证用户的DHCP续租报文后,对用户进行重认证。

<HUAWEI> system-view
[HUAWEI] mac-authen reauthenticate dhcp-renew interface gigabitethernet 1/0/1

# 在接口视图下,使能设备在接收到接口GE1/0/1下的MAC认证用户的DHCP续租报文后,对用户进行重认证。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] mac-authen reauthenticate dhcp-renew
相关主题

mac-authen reauthenticate mac-address

命令功能

mac-authen reauthenticate mac-address命令用来使能对指定MAC地址的在线MAC认证用户进行重认证功能。

缺省情况下,未使能对指定MAC地址的在线MAC认证用户进行重认证功能。

命令格式

mac-authen reauthenticate mac-address mac-address

参数说明

参数

参数说明

取值

mac-address

所有合法的单播MAC地址。

格式为H-H-H,其中H为1至4位的十六进制数。

视图

系统视图

缺省级别

2:配置级

使用指南

使用该命令可参见命令mac-authen reauthenticate

该命令与命令mac-authen reauthenticate都是对在线MAC认证用户进行重认证,但是存在以下差异:
  • 执行命令mac-authen reauthenticate mac-address后,设备会立即对指定MAC地址的用户进行重认证,且只进行一次认证。
  • 执行命令mac-authen reauthenticate后,设备将对指定接口下所有的在线MAC认证用户进行周期性的重认证。

使用实例

# 对已经通过认证的MAC地址0001-0002-0003进行重认证。

<HUAWEI> system-view
[HUAWEI] mac-authen reauthenticate mac-address 0001-0002-0003
相关主题

mac-authen timer

命令功能

mac-authen timer命令用来配置MAC认证各项定时器参数。

undo mac-authen timer命令用来恢复MAC认证各项定时器参数为缺省值。

命令格式

mac-authen timer { guest-vlan reauthenticate-period interval | offline-detect offline-detect-value | quiet-period quiet-value }

undo mac-authen timer { guest-vlan reauthenticate-period | offline-detect | quiet-period }

参数说明

参数

参数说明

取值

guest-vlan reauthenticate-period interval

指定设备对Guest VLAN内的用户进行重认证的时间间隔。

整数形式,取值范围是60~3600,单位是秒。缺省值为60秒。

offline-detect offline-detect-value

指定下线探测定时器的值。

该定时器用来设置检查用户是否已经下线的时间间隔。

说明:

该定时器同时对MAC认证用户以及静态用户生效。

整数形式,取值范围是30~7200以及0,单位是秒。缺省值为300秒。

0表示关闭用户下线探测功能。

quiet-period quiet-value

指定静默定时器的值。对用户认证失败以后,设备需要静默一段时间后再处理用户认证请求。在静默期间,设备将不处理该用户的认证请求。

整数形式,取值范围为0~3600,单位是秒。

缺省情况下,认证失败用户处于静默周期的时间为60秒。

说明:

指定静默定时器的值为0时,表示关闭静默功能。

视图

系统视图

缺省级别

2:配置级

使用指南

MAC认证在运行过程中会启动多个定时器以控制接入用户、接入认证设备以及认证服务器之间进行合理、有序的交互。使用此命令可以更改部分定时器值(另外部分定时器是不可调节的),以调节交互进程。这在较为特殊或比较恶劣的网络环境下是必需的措施。不过,一般情况下,建议保持这些定时