- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-WLAN用户接入认证命令
本章节下载: 01-WLAN用户接入认证命令 (498.67 KB)
目 录
1.1.2 client url-redirect enable
1.1.3 client-security aaa attribute ip-snooping-method
1.1.4 client-security accounting-delay time
1.1.5 client-security accounting-restart trigger ipv4
1.1.6 client-security accounting-start trigger
1.1.7 client-security accounting-update trigger
1.1.8 client-security authentication critical-vlan
1.1.9 client-security authentication fail-vlan
1.1.10 client-security authorization trigger byod
1.1.11 client-security authentication-mode
1.1.12 client-security authorization-fail offline
1.1.13 client-security ignore-authentication
1.1.14 client-security ignore-authorization
1.1.15 client-security intrusion-protection action
1.1.16 client-security intrusion-protection enable
1.1.17 client-security intrusion-protection timer temporary-block
1.1.18 client-security intrusion-protection timer temporary-service-stop
1.1.20 display dot1x connection
1.1.21 display mac-authentication
1.1.22 display mac-authentication connection
1.1.23 display wlan client-security block-mac
1.1.24 display wlan statistics accounting
1.1.25 dot1x authentication-method
1.1.30 dot1x handshake secure enable
1.1.32 dot1x re-authenticate enable
1.1.37 mac-authentication authentication-method
1.1.38 mac-authentication timer
1.1.39 mac-authentication domain
1.1.40 mac-authentication max-user
1.1.42 reset mac-authentication statistics
1.1.43 wlan authentication optimization
1.1.44 wlan client-security authentication clear-previous-connection
client url-redirect acl命令用来配置客户端URL重定向的授权ACL。
undo client url-redirect acl命令用来恢复缺省情况。
【命令】
client url-redirect acl acl-number
undo client url-redirect acl
【缺省情况】
未配置客户端URL重定向的授权ACL。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
acl-number:重定向授权ACL编号,取值范围为2000~3999。
【使用指导】
配置本命令后,设备既下发重定向授权ACL又可以下发业务ACL。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置重定向授权ACL 3111。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect acl 3111
【相关命令】
· client url-redirect enable
client url-redirect enable命令用来开启客户端URL重定向功能。
undo client url-redirect enable命令用来关闭客户端URL重定向功能。
【命令】
client url-redirect enable [ mode native [ https [ redirect-stop-timer seconds ][ count number ] ] ]
undo client url-redirect enable
【缺省情况】
客户端URL重定向功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
mode native:指定URL重定向方式为本地重定向,即设备会对初次上线进行MAC地址认证的用户进行URL重定向。
https:对于HTTPS的报文进行本地重定向。
redirect-stop-timer seconds:URL重定向结束时间,取值范围为1~30秒,单位秒,缺省为5秒。
count number:访问URL重定向IP地址的次数,取值范围为3~60,缺省为3。
【使用指导】
该功能只能在无线服务模板处于关闭状态时配置。
本功能仅适用于客户端采用RADIUS服务器认证方式进行的MAC地址认证。
在用户进行MAC地址认证上线过程中,如果RADIUS服务器上没有记录用户及其MAC地址的对应信息,但仍需要用户进行认证时,可以通过在设备上开启URL重定向功能。开启后,用户可以根据RADIUS服务器下发的重定向URL,跳转到指定的Web认证界面进行Portal用户认证。Portal用户认证通过后,RADIUS服务器将记录用户的MAC地址信息,并通过DM报文强制用户下线,此后该用户即可正常完成MAC地址认证。有关DM报文的详细介绍请参见“用户接入与认证配置指导”中的“AAA” 。
对于有信息推广需求的客户,需要指定URL重定向为本地重定向,此后设备就会对初次上线进行MAC地址认证的用户进行URL重定向。指定URL重定向为本地重定向后,设备对重定向URL进行一次重定向,一旦确定用户访问过重定向URL,设备将不再进行重定向,此后用户可以正常完成MAC地址认证:
· 对于HTTP的报文,用户只要访问过重定向URL,设备就会认为用户访问过重定向URL。
· 对于HTTPS的报文,用户只有在指定的重定向时间内访问重定向IP地址达到指定次数,设备才会认为用户访问过重定向URL。
只要设备上没有用户Cache相关信息,就认为该用户为初次上线用户。
配置client url-redirect enable mode native时,必须配置client url-redirect acl。
【举例】
# 在无线服务模板service1下开启客户端URL重定向功能,并配置对于URL重定向为本地重定向,对于HTTPS报文配置重定向结束时间为10秒、访问重定向IP地址的次数为10次。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client url-redirect enable mode native https redirect-stop-timer 10 count 10
【相关命令】
· client url-redirect acl
client-security aaa attribute ip-snooping-method命令用来开启RADIUS报文携带用户IP地址学习方式的功能。
undo client-security aaa attribute ip-snooping-method命令用来恢复缺省情况。
【命令】
client-security aaa attribute ip-snooping-method
undo client-security aaa attribute ip-snooping-method
【缺省情况】
RADIUS报文携带用户IP地址学习方式的功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能,在无线802.1X认证或MAC地址认证的RADIUS报文中携带RADIUS扩展属性,标识用户IP地址学习方式。设备支持的RADIUS扩展属性Vendor-ID为25506,属性的具体介绍请参见“用户接入与认证配置指导”中的“AAA”的“附录C RADIUS扩展属性(Vendor-ID=25506)”。
RADIUS服务器可以根据通过RADIUS扩展属性判断IP地址是否属于服务器分配。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下,开启RADIUS报文携带用户IP地址方式功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security aaa attribute ip-snooping-method
client-security accounting-delay time命令用来开启计费延时功能。
undo client-security accounting-delay time命令用来恢复缺省情况。
【命令】
client-security accounting-delay time time [ no-ip-logoff ]
undo client-security accounting-delay time
【缺省情况】
学习到无线客户端的IP地址后,才会向计费服务器发起计费开始请求。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time time:计费延时的时长,取值范围为1~600,单位为秒。
no-ip-logoff:如果设备在指定的延时时间内没有获取到无线客户端IP地址,则让客户端下线。若不指定该参数,则设备在指定计费延时时间到达后,将会发送计费开始请求报文。
【使用指导】
如果在指定的计费延时时间内设备没有学习到指定类型客户端的IP地址,则执行相应的计费延时动作。触发计费开始的无线客户端IP地址类型由client-security accounting-start trigger命令的配置决定,当客户端IP地址类型为none时,计费延时功能不生效。
建议根据设备获取IP地址的时长来配置计费延时的时长,若网络环境较差,设备需要较长的时间获取到IP地址,则可适当增大该值。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置计费延时时间为15秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-delay time 15 no-ip-logoff
【相关命令】
· client-security accounting-start trigger
client-security accounting-restart trigger ipv4命令用来开启IPv4地址变化客户端的重新计费功能。
undo client-security accounting-restart trigger ipv4命令用来恢复缺省情况。
【命令】
client-security accounting-restart trigger ipv4 [ delay interval ]
undo client-security accounting-restart trigger ipv4
【缺省情况】
IPv4地址变化客户端的重新计费功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
delay interval:重新发送计费开始报文的延迟时间,取值范围为0~20,单位为秒,缺省取值为15秒。
【使用指导】
通过client-security accounting-update trigger命令配置触发计费更新的无线客户端IP地址类型为IPv4后,当客户端IPv4地址发生变化时,设备就会立即向计费服务器发送计费更新报文,对客户端进行重新计费;开启本功能后,当客户端IPv4地址发生变化时,首先设备会立即向计费服务器发送计费停止报文,然后经过配置的重新发送计费开始报文的延时时间,再重新向计费服务器发送计费开始报文,对客户端进行重新计费。
client-security accounting-restart trigger ipv4命令的优先级高于client-security accounting-update trigger命令。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下,开启IPv4地址变化客户端的重新计费功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-restart trigger ipv4
client-security accounting-start trigger命令用来配置触发计费开始的无线客户端IP地址类型。
undo client-security accounting-start trigger命令用来恢复缺省情况。
【命令】
client-security accounting-start trigger { ipv4 | ipv4-ipv6 | ipv6 | none }
undo client-security accounting-start trigger
【缺省情况】
触发计费开始的无线客户端IP地址类型为IPv4。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6。
ipv6:表示无线客户端IP地址类型为IPv6。
none:表示设备在无线客户端认证成功后就会发送计费开始请求报文。
【使用指导】
无线客户端通过802.1X认证或者MAC地址认证方式上线后,设备会根据触发计费开始的无线客户端IP地址类型决定是否向计费服务器发送计费开始请求报文,当计费服务器返回计费开始响应报文后开始对客户端进行计费。
配置触发计费开始的无线客户端IP地址类型时,需要开启相应类型的客户端地址学习功能,配置才会生效,否则无法触发计费开始。有关客户端地址学习功能的详细介绍请参见“用户接入与认证配置指导”中的“WLAN IP Snooping”。
本命令配置的无线客户端IP地址类型需要满足计费服务器的协议要求。
无线服务模板开启后,再配置本特性,新配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板service1下,配置触发计费开始的无线客户端IP地址类型为IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-start trigger ipv4
【相关命令】
· client ipv4-snooping arp-learning enable(用户接入与认证命令参考/WLAN IP Snooping)
· client ipv4-snooping dhcp-learning enable(用户接入与认证命令参考/WLAN IP Snooping)
· client ipv6-snooping dhcpv6-learning enable(用户接入与认证命令参考/WLAN IP Snooping)
· client ipv6-snooping nd-learning enable(用户接入与认证命令参考/WLAN IP Snooping)
· client-security accounting-delay
· client-security accounting-update trigger
client-security accounting-update trigger命令用来配置触发计费更新的无线客户端IP地址类型。
undo client-security accounting-update trigger命令用来恢复缺省情况。
【命令】
client-security accounting-update trigger { ipv4 | ipv4-ipv6 | ipv6 }
undo client-security accounting-update trigger
【缺省情况】
根据计费服务器下发或设备配置的实时计费的时间间隔周期性发送计费更新请求报文。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示无线客户端IP地址类型为IPv4,设备仅在学习到客户端IPv4地址变化时才会发送计费更新请求报文。
ipv4-ipv6:表示无线客户端IP地址类型为IPv4或IPv6,设备只要学习到客户端IP地址变化就会发送计费更新请求报文。
ipv6:表示无线客户端IP地址类型为IPv6,设备仅在学习到客户端IPv6地址变化时才会发送计费更新请求报文。
【使用指导】
仅当触发计费开始的无线客户端IP地址类型配置生效时,触发计费更新的无线客户端IP地址类型的配置才会生效。
当完成该配置后,该配置和周期性发送计费更新报文功能同时生效。
假设配置的触发计费更新的无线客户端IP地址类型为IPv6,周期性发送计费更新报文功能配置的实时计费间隔为12分钟(timer realtime-accounting命令配置),则设备会每隔12分钟发起一次计费更新请求,且当在线客户端IPv6地址发生变化时,设备也会立即发送计费更新请求报文。
无线服务模板开启后,再配置本特性,则配置只对新上线的客户端生效,对已经上线的客户端无效。
【举例】
# 在无线服务模板下,配置触发计费更新的客户端IP地址类型为IPv4。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security accounting-update trigger ipv4
【相关命令】
· client-security accounting-start trigger
· timer realtime-accounting(用户接入与认证命令参考/AAA)
client-security authentication critical-vlan命令用来配置服务模板下的Critical VLAN。
undo client-security authentication critical-vlan命令用来恢复缺省情况。
【命令】
client-security authentication critical-vlan vlan-id
undo client-security authentication critical-vlan
【缺省情况】
未配置Critical VLAN。
【视图】
【缺省用户角色】
【参数】
vlan-id:Critical VLAN 的VLAN ID,取值范围为1~4094。
【使用指导】
Critical VLAN功能允许用户在认证时,当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源,这个VLAN称之为Critical VLAN。配置Critical VLAN后,当用户认证时,若所有认证服务器都不可达,则用户将被加入该VLAN,同时设备会启动一个30秒的定时器,以定期对用户进行重新认证:
· 如果重认证通过,设备会根据授权服务器是否下发VLAN来重新指定该用户所在VLAN。即如果授权服务器下发了VLAN,则该用户将被加入该下发的VLAN,否则该用户将被加入其原来所属的VLAN。
· 如果重认证未通过,当认证服务不可达时,用户仍然仅可访问Critical VLAN中的资源,当认证服务器可达但因某种原因明确拒绝用户认证通过,且配置了Fail VLAN时,用户可以访问Fail VLAN中的资源。
需要注意的是,如果采用RSNA安全机制的802.1X用户认证时所有认证服务器都不可达,则用户会直接下线,不会加入Critical VLAN。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置Critical VLAN为VLAN 10。
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication critical-vlan 10
client-security authentication fail-vlan命令用来配置服务模板下的认证失败VLAN。
undo client-security authentication fail-vlan命令用来恢复缺省情况。
【命令】
client-security authentication fail-vlan vlan-id
undo client-security authentication fail-vlan
【缺省情况】
未配置认证失败VLAN。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
vlan-id:认证失败VLAN的VLAN ID,取值范围为1~4094。
【使用指导】
这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
配置认证失败的VLAN必须是已经存在的VLAN。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板1下配置认证失败VLAN为VLAN 10。
<Sysname> sysname-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] client-security authentication fail-vlan 10
client-security authorization trigger byod命令用来开启BYOD触发授权功能。
undo client-security authorization trigger byod命令用来关闭BYOD触发授权功能。
【命令】
client-security authorization trigger byod
undo client-security authorization trigger byod
【缺省情况】
BYOD触发授权功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当网络状况较好时,建议开启BYOD触发授权功能,用户认证完成后,接入设备会在获取到客户端BYOD信息后触发授权。有关BYOD相关信息,请参见“用户接入与认证配置指导”的“AAA”。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启BYOD触发授权功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization trigger byod
client-security authentication-mode命令用来配置无线用户接入认证模式。
undo client-security authentication-mode命令用来恢复缺省情况。
【命令】
client-security authentication-mode { dot1x | dot1x-then-mac | mac | mac-then-dot1x | oui-then-dot1x | mac-and-dot1x }
undo client-security authentication-mode
【缺省情况】
不对用户进行接入认证即Bypass认证。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
dot1x:表示只进行802.1X认证。
dot1x-then-mac:表示先进行802.1X认证,如果失败,再进行MAC地址认证。如果认证成功,则不进行MAC地址认证。
mac:表示只进行MAC地址认证。
mac-then-dot1x:表示先进行MAC地址认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。
oui-then-dot1x:表示先进行OUI认证,如果失败,再进行802.1X认证。如果认证成功,则不进行802.1X认证。
mac-and-dot1x:表示既进行MAC地址认证,又进行802.1X认证。先进行MAC地址认证,如果失败,则不再进行认证。如果认证成功,则再进行802.1X认证。
【使用指导】
以上各模式下,每个无线服务模板上均允许接入多个认证通过的用户。802.1X用户的数目由dot1x max-user命令配置,MAC地址认证用户的数目由mac-authentication max-user命令配置。
本命令只能在无线服务模板处于关闭状态时配置。
dot1x-then-mac、mac-then-dot1x和oui-then-dot1x模式需要通过iNode进行认证,当选择如上模式时,请确保终端上已安装iNode客户端。
【举例】
# 在无线服务模板service1下配置无线用户接入认证模式为MAC地址认证模式。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authentication-mode mac
client-security authorization-fail offline命令用来开启授权失败后的用户下线功能。
undo client-security authorization-fail offline命令用来关闭授权失败后的用户下线功能。
【命令】
client-security authorization-fail offline
undo client-security authorization-fail offline
【缺省情况】
授权失败后的用户下线功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
如果开启了授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,将强制用户下线;
如果没有开启授权失败后的用户下线功能,当下发的授权ACL、User Profile不存在、已授权ACL、User Profile被删除,或者ACL、User Profile下发失败时,用户保持在线,授权ACL、User Profile不生效,设备打印Log信息。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启授权失败用户下线功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security authorization-fail offline
client-security ignore-authentication命令用来配置忽略802.1X或MAC地址认证结果。
undo client-security ignore-authentication命令用来恢复缺省情况。
【命令】
client-security ignore-authentication
undo client-security ignore-authentication
【缺省情况】
对于802.1X认证方式的无线用户,应用802.1X认证结果;对于通过RADIUS服务器进行远程MAC地址认证的无线用户,应用MAC地址认证结果。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本功能仅适用于采用802.1X认证方式的无线用户以及通过RADIUS服务器进行远程MAC地址认证+Portal认证的无线用户。
若某无线服务模板下有漫游的RSN+802.1X认证方式的无线用户上线,请勿配置本功能,否则会导致漫游失败。
本功能适用于以下两种用户:
· 对于802.1X认证的无线用户,开启本功能后,当802.1X认证失败时,设备会忽略这一认证结果,允许用户访问网络资源。
· 对于通过RADIUS服务器进行远程MAC地址认证+Portal认证的无线用户,需要依次通过MAC地址认证和Portal认证才能访问网络资源,且每次都需要输入Portal用户名和密码。配置本功能后,可以简化上述认证过程。简化后的认证过程如下:
¡ 若RADIUS服务器上已经记录了用户和客户端MAC地址的对应信息,判断用户通过MAC地址认证,且不需要进行Portal认证即可访问网络资源。
¡ 若RADIUS服务器上未记录用户和客户端MAC地址的对应信息,判断MAC地址认证失败。此时,设备忽略这一认证结果,直接进行Portal认证。Portal认证通过后即可访问网络资源,同时RADIUS服务器将记录该用户和客户端MAC地址的对应信息。
本功能只能在无线服务模板处于关闭的状态下进行配置。
【举例】
# 在无线服务模板service1下配置忽略802.1X或MAC地址认证的结果。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authentication
client-security ignore-authorization命令用来配置忽略RADIUS服务器或设备本地下发的授权信息。
undo client-security ignore-authorization命令用来恢复缺省情况。
【命令】
client-security ignore-authorization
undo client-security ignore-authorization
【缺省情况】
应用RADIUS服务器或设备本地下发的授权信息。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当用户通过RADIUS认证或本地认证后,RADIUS服务器或设备会根据用户帐号配置的相关属性进行授权,比如动态下发VLAN等。若不希望接受这类动态下发的授权属性,则可通过配置本命令来忽略。当前可以忽略的授权信息包括VLAN和CAR限速值。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下配置忽略RADIUS服务器或设备本地下发的授权信息。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security ignore-authorization
client-security intrusion-protection action命令用来配置当接收到非法报文时采取的入侵检测模式。
undo client-security intrusion-protection action命令用来恢复缺省情况。
【命令】
client-security intrusion-protection action { service-stop | temporary-block | temporary-service-stop }
undo client-security intrusion-protection action
【缺省情况】
入侵检测模式为temporary-block模式。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
service-stop:直接关闭收到非法报文的BSS提供的所有服务。用户可以手工在Radio口上重新生成该BSS使得用户正常接入。
temporary-block:临时将用户MAC加入阻塞MAC列表中。临时阻止非法用户上线的时间由client-security intrusion-protection timer temporary-block命令配置。
temporary-service-stop:临时将收到非法报文的BSS所提供的所有服务关闭。临时关闭收到非法报文的BSS所提供服务的时间由client-security intrusion-protection timer temporary-service-stop命令配置。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
只有开启入侵检测功能后,入侵检测措施才生效。开启入侵检测功能由client-security intrusion-protection enable命令配置。
【举例】
# 在无线服务模板service1下配置入侵检测措施为service-stop。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action service-stop
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection timer temporary-block
· client-security intrusion-protection timer temporary-service-stop
client-security intrusion-protection enable命令用来开启入侵检测功能。
undo client-security intrusion-protection enable命令用来关闭入侵检测功能。
【命令】
client-security intrusion-protection enable
undo client-security intrusion-protection enable
【缺省情况】
入侵检测功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当设备检测到一个认证失败的用户试图通过该无线服务模板绑定的BSS(基本服务集)接入时,如果入侵检测功能处于开启状态,则设备将对其所在的BSS采取相应的安全措施。具体的安全措施由client-security intrusion-protection action命令指定。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 在无线服务模板service1下开启入侵检测功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
【相关命令】
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-block命令用来配置临时阻塞非法入侵用户的时长。
undo client-security intrusion-protection timer temporary-block命令用来恢复缺省情况。
【命令】
client-security intrusion-protection timer temporary-block time
undo client-security intrusion-protection timer temporary-block
【缺省情况】
临时阻塞非法入侵用户时间为180秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:临时阻塞非法入侵用户时长,取值范围为60~300,单位为秒。
【使用指导】
当入侵检测功能处于使能状态且入侵检测措施为临时阻塞非法用户(temporary-block)时,如果用户认证失败,则在该配置所指定的时间范围内,源MAC地址为此非法MAC地址的用户将无法认证成功,在这段时间之后恢复正常。
当无线服务模板使能后,若修改临时阻塞非法用户的时长,则新的配置在原有定时器超时后生效。
【举例】
# 在无线服务模板service1下配置临时阻塞非法入侵用户时长为120秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-block
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-block 120
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
client-security intrusion-protection timer temporary-service-stop命令用来配置临时关闭BSS服务的时长。
undo client-security intrusion-protection timer temporary-service-stop命令用来恢复缺省情况。
【命令】
client-security intrusion-protection timer temporary-service-stop time
undo client-security intrusion-protection timer temporary-service-stop
【缺省情况】
临时关闭BSS服务时长为20秒。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
time:临时关闭BSS服务的时长,取值范围为10~300,单位为秒。
【使用指导】
当入侵检测功能处于使能状态,且入侵检测措施为临时关闭服务(temporary-service-stop)时,如果设备检测到非法报文,则在该配置指定的时间段内关闭用户所在的BSS所提供的所有服务,在此期间用户将无法通过该服务接入网络,这段时间之后恢复正常。
当无线服务模板使能后,若修改临时关闭BSS服务的时长,则新的配置在原有定时器超时后生效。
【举例】
# 在无线服务模板service1下配置临时关闭BSS服务的时长为30秒。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] client-security intrusion-protection enable
[Sysname-wlan-st-service1] client-security intrusion-protection action temporary-service-stop
[Sysname-wlan-st-service1] client-security intrusion-protection timer temporary-service-stop 30
【相关命令】
· client-security intrusion-protection enable
· client-security intrusion-protection action
display dot1x命令用来显示802.1X的相关信息。
【命令】
display dot1x [ sessions | statistics ] [ ap ap-name [ radio radio-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
sessions:显示802.1X的会话连接信息。
statistics:显示802.1X的相关统计信息。
ap ap-name:显示指定AP的所有802.1X的详细信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。
radio radio-id:显示指定Radio的所有802.1X的详细信息。radio-id表示Radio编号,取值范围与设备型号有关。不指定该参数,则表示显示指定AP的所有Radio的802.1X的详细信息。
【使用指导】
如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。
【举例】
# 显示802.1X的所有信息。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
M-LAG member configuration conflict : Unknown
EAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Offline detect period : 300 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Max auth requests : 2
SmartOn supp timeout : 30 s
SmartOn retry counts : 3
User aging period for Auth-Fail VLAN : 1000 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
EAD assistant function : Disabled
URL : http://www.dwsoft.com
Free IP : 6.6.6.0 255.255.255.0
EAD timeout : 30 min
Domain delimiter : @
Max EAP-TLS fragment (to-server) : 400 bytes
Online 802.1X wired users : 1
Online 802.1X wireless users : 1
AP name: AP1 Radio ID: 1 SSID: wlan_dot1x_ssid
BSSID : 1111-1111-1111
802.1X authentication : Enabled
Handshake : Enabled
Handshake security : Disabled
Periodic reauth : Disabled
Mandatory auth domain : Not configured
Max online users : 256
EAPOL packets: Tx 3, Rx 3
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0002 Authenticated
表1-1 display dot1x命令显示信息描述表
|
字段 |
描述 |
|
Global 802.1X parameters |
全局802.1X参数配置信息 |
|
802.1X authentication |
全局802.1X的开启状态 |
|
M-LAG member configuration conflict |
(暂不支持)两台M-LAG设备配置检查结果 · Conflicted:两台M-LAG设备上的配置不匹配 · Not conflicted:两台M-LAG设备上配置的相匹配 · Unknown:无法检测两台M-LAG设备上的配置是否匹配 |
|
CHAP authentication |
启用EAP终结方式,并采用CHAP认证方法 |
|
EAP authentication |
启用EAP中继方式,并支持所有EAP认证方法 |
|
PAP authentication |
启用EAP终结方式,并采用PAP认证方法 |
|
Max-tx period |
用户名请求超时定时器的值 |
|
Handshake period |
握手定时器的值 |
|
Offline detect period |
下线检测定时器的值 |
|
Quiet timer |
静默定时器的开启状态 |
|
Quiet period |
静默定时器的值 |
|
Supp timeout |
客户端认证超时定时器的值 |
|
Server timeout |
认证服务器超时定时器的值 |
|
Reauth period |
重认证定时器的值 |
|
Max auth requests |
设备向接入用户发送认证请求报文的最大次数 |
|
SmartOn switch ID |
(暂不支持)SmartOn的Switch ID |
|
SmartOn supp timeout |
(暂不支持)SmartOn的客户端认证超时定时器的时长 |
|
User aging period for Auth-Fail VLAN |
Auth-Fail VLAN中用户的老化时间 |
|
User aging period for critical VLAN |
Critical VLAN中用户的老化时间 |
|
User aging period for guest VLAN |
(暂不支持)Guest VLAN中用户的老化时间 |
|
EAD assistant function |
EAD快速部署辅助功能的开启状态 |
|
URL |
用户HTTP访问的重定向URL |
|
Free IP |
用户通过认证之前可访问的网段 |
|
EAD timeout |
EAD老化定时器超时时间 |
|
Domain delimiter |
域名分隔符 |
|
Max EAP-TLS fragment (to-server) |
向认证服务器发送的认证报文中携带的EAP-TLS分片报文最大长度 若未配置EAP-TLS分片报文最大长度,则显示为N/A |
|
Online 802.1X wired users |
在线802.1X有线用户和正在发起认证的802.1X有线用户的总数 |
|
Online 802.1X wireless users |
在线802.1X无线用户和正在发起认证的802.1X无线用户的总数 |
|
AP name |
AP名称 |
|
Radio ID |
Radio编号 |
|
SSID |
服务集标识符 |
|
BSSID |
基本服务集标识符 |
|
802.1X authentication |
端口上802.1X的开启状态 |
|
Handshake |
在线用户握手功能的开启状态 |
|
Handshake security |
安全握手功能的开启状态 |
|
Periodic reauth |
周期性重认证功能的开启状态 |
|
Mandatory auth domain |
端口上的接入用户使用的强制认证域 |
|
Max online users |
本端口最多可容纳的接入用户数 |
|
EAPOL packets |
EAPOL报文数目。Tx表示发送的报文数目;Rx表示接受的报文数目 |
|
Sent EAP Request/Identity packets |
发送的EAP Request/Identity报文数 |
|
EAP Request/Challenge packets |
发送的EAP Request/Challenge报文数 |
|
EAP Success packets |
发送的EAP Success报文数 |
|
EAP Failure packets |
发送的EAP Failure报文数 |
|
Received EAPOL Start packets |
接收的EAPOL Start报文数 |
|
EAPOL LogOff packets |
接收的EAPOL LogOff报文数 |
|
EAP Response/Identity packets |
接收的EAP Response/Identity报文数 |
|
EAP Response/Challenge packets |
接收的EAP Response/Challenge报文数 |
|
Error packets |
接收的错误报文数 |
|
Online 802.1X users |
端口上的在线802.1X用户和正在发起认证的802.1X用户的总数 |
|
MAC address |
802.1X用户的MAC地址 |
|
Auth state |
802.1X用户的认证状态 |
display dot1x connection命令用来显示当前802.1X在线用户的详细信息。
【命令】
display dot1x connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-address | user-name name-string ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示接入指定AP的所有802.1X在线用户的信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
radio radio-id:显示接入指定Radio的802.1X在线用户的信息。radio-id表示Radio编号,取值范围与设备型号有关。不指定该参数,则表示显示接入AP下所有Radio的802.1X在线用户的信息。
slot slot-number:显示指定成员设备上的802.1X在线用户信息。slot-number表示设备在云集群中的成员编号。若不指定该参数,则表示所有成员设备上的802.1X在线用户信息。
user-mac mac-address:显示指定MAC地址的802.1X在线用户信息。其中mac-address表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
user-name name-string:显示指定用户名的802.1X在线用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
【举例】
# 显示所有802.1X在线用户信息。
<Sysname> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Anonymous username : test
Authentication domain : 1
IPv4 address : 192.168.1.1
IPv6 address : 2000:0:0:0:1:2345:6789:abcd
Authentication method : CHAP
Initial VLAN : 1
Authorization VLAN : N/A
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : http://oauth.h3c.com
Authorization IPv6 URL : N/A
Termination action : Default
Session timeout last from : 2023/05/30 17:32:42
Session timeout period : 86400 s
Online from : 2023/05/30 11:20:41
Online duration : 6h 18m 39s
表1-2 display dot1x connection 命令显示信息描述表
|
字段 |
描述 |
|
Total connections |
在线802.1X认证用户个数 |
|
User MAC address |
用户的MAC地址 |
|
AP name |
AP的名称 |
|
Radio ID |
Radio的ID |
|
SSID |
服务集标识符 |
|
BSSID |
用户所属的基本服务集标识符 |
|
Username |
用户名 |
|
Anonymous username |
匿名用户的用户名,若未配置匿名用户名,则显示为N/A |
|
Authentication domain |
认证时使用的ISP域的名称 |
|
IPv4 address |
用户IP地址 若未获取到用户的IP地址,则不显示该字段 |
|
IPv6 address |
用户IPv6地址 若未获取到用户的IP地址,则不显示该字段 |
|
Authentication method |
802.1X系统的认证方法 · CHAP:启用EAP终结方式,并采用CHAP认证方法 · EAP:启用EAP中继方式,并支持所有EAP认证方法 · PAP:启用EAP终结方式,并采用PAP认证方法 |
|
Initial VLAN |
初始的VLAN |
|
Authorization VLAN |
授权的 VLAN |
|
Authorization ACL number |
授权ACL的编号。若未授权ACL,则显示N/A;若未授权成功,则在ACL编号后显示“(NOT effective)” |
|
Authorization user profile |
授权用户的User profile名称 |
|
Authorization CAR |
当服务器未授权用户CAR属性时,该字段显示为N/A。 当服务器授权用户CAR属性,将分为以下四个字段: · Average input rate :上行平均速率,单位为kbps · Peak input rate:上行峰值速率,单位为kbps · Average output rate:下行平均速率,单位为kbps · Peak output rate:下行峰值速率,单位为kbps 若只下发上、下行平均速率,则该上、下行峰值速率默认与其平均速率相同。目前不支持服务器单独授权上、下行峰值速率 |
|
Authorization URL |
授权的重定向URL |
|
Authorization IPv6 URL |
授权的IPv6重定向URL |
|
Termination action |
服务器下发的终止动作类型: · Default:会话超时时长到达后,强制用户下线。但是,如果设备上开启了周期性重认证功能,且设备上配置的重认证定时器值小于用户会话超时时长,则端口会以重认证定时器的值为周期向该端口在线802.1X用户发起重认证,而不会强制用户下线 · Radius-Request:会话超时时长到达后,要求802.1X用户进行重认证 用户采用本地认证时,该字段显示为Default |
|
Session timeout last from |
会话超时的时间 |
|
Session timeout period |
服务器下发的会话超时定时器,单位为秒。该定时器超时后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定 |
|
Online from |
用户的上线时间 |
|
Online duration |
用户的在线时长 |
display mac-authentication命令用来显示MAC地址认证的相关信息。
【命令】
display mac-authentication [ ap ap-name [ radio radio-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示指定AP的所有MAC地址认证的详细信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。
radio radio-id:显示指定Radio的所有的MAC地址认证的详细信息。radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则显示指定AP的所有Radio的MAC地址认证的详细信息。
【使用指导】
如果不指定任何参数,则显示所有在线MAC地址认证的详细信息,主要包括全局及端口的配置信息、认证报文统计信息以及认证用户信息。
【举例】
# 显示MAC地址认证信息。
<Sysname> display mac-authentication
Global MAC authentication parameters:
MAC authentication : Enabled
Authentication method : PAP
M-LAG member configuration conflict : Unknown
Username format : MAC address in lowercase(xx-xx-xx-xx-xx-xx)
Username : mac
Password : Not configured
MAC range accounts : 0
MAC address Mask Username
Offline detect period : 300 s
Quiet period : 60 s
Server timeout : 100 s
Reauth period : 3600 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
Authentication domain : Not configured, use default domain
HTTP proxy port list : Not configured
HTTPS proxy port list : Not configured
Online MAC-auth wired users : 0
Online MAC-auth wireless users : 1
Silent MAC users:
MAC address VLAN ID From port Port index
AP name: AP1 Radio ID: 1 SSID: wlan_maca_ssid
BSSID : 1111-1111-1111
MAC authentication : Enabled
Authentication domain : Not configured
Max online users : 256
Authentication attempts : successful 1, failed 0
Current online users : 2
MAC address Auth state
0001-0000-0002 Authenticated
0001-0000-0003 Unauthenticated
表1-3 display mac-authentication命令显示信息描述表
|
字段 |
描述 |
|
Global MAC authentication parameters |
全局MAC地址认证参数 |
|
MAC authentication |
MAC地址认证的开启状态 |
|
Authentication method |
MAC地址认证采用的认证方法 · CHAP:采用CHAP认证方法 · PAP:采用PAP认证方法 |
|
M-LAG member configuration conflict |
(暂不支持)两台M-LAG设备配置检查结果 · Conflicted:两台M-LAG设备上的配置不匹配 · Not conflicted:两台M-LAG设备上的配置相匹配 · Unknown:无法检测两台M-LAG设备上的配置是否匹配 |
|
Username format |
MAC地址认证使用的账号格式 · 若采用MAC地址账号,则显示具体的用户名格式以及是否带连字符、字母是否大小写,例如本例中“MAC address in lowercase(xx-xx-xx-xx-xx-xx)”,它表示用户名格式为六段式的MAC地址,其中字母为小写 · 若采用固定用户名账号,则显示“Fixed account” |
|
Username |
用户名 · 采用MAC地址账号时,该值显示为“mac”,无实际意义,仅表示采用MAC地址作为用户名和密码 · 采用固定用户名账号时,该值为配置的用户名(缺省为mac) |
|
Password |
用户名的密码 · 采用MAC地址账号时,该值显示为“Not configured” · 采用固定用户名账号时,配置的值将显示为****** |
|
MAC range accounts |
指定MAC地址范围的MAC地址认证用户账号信息列表 |
|
MAC address |
指定的MAC地址 |
|
Mask |
MAC地址掩码 |
|
Username |
MAC地址认证用户名称 |
|
Offline detect period |
下线检测定时器的值 |
|
Quiet period |
静默定时器的值 |
|
Server timeout |
服务器连接超时定时器的值 |
|
Reauth period |
重认证定时器的值 |
|
User aging period for critical VLAN |
Critical VLAN中用户的老化时间 |
|
User aging period for guest VLAN |
(暂不支持)Guest VLAN中用户的老化时间 |
|
Authentication domain |
系统视图下指定的MAC地址认证用户使用的认证域,如果没有指定认证域,则显示Not configured, use default domain |
|
HTTP proxy port list |
(暂不支持)HTTP代理服务器端口 |
|
HTTPS proxy port list |
(暂不支持)HTTPS代理服务器端口 |
|
Online MAC-auth wired users |
(暂不支持)在线有线用户和正在发起MAC地址认证的有线用户的总数 |
|
Online MAC-auth wireless users |
在线无线用户和正在发起MAC地址认证的无线用户的总数 |
|
Silent MAC users |
静默用户信息(包括设备添加的静默用户和服务器授权下发黑洞MAC的静默用户) |
|
MAC address |
静默用户的MAC地址 |
|
VLAN ID |
静默用户所在的VLAN |
|
From port |
静默用户接入的端口名称 |
|
Port index |
静默用户接入的端口索引号 |
|
AP name |
AP名称 |
|
Radio ID |
Radio编号 |
|
SSID |
服务集标识符 |
|
BSSID |
基本服务集标识符 |
|
MAC authentication |
当前端口的MAC地址认证开启状态 · Enabled:处于开启状态 · Enabled (but NOT effective):处于开启状态,但功能未生效。未生效原因为设备上ACL资源全部被占用 · Disabled:处于关闭状态 |
|
Authentication domain |
端口上指定的MAC地址认证用户使用的认证域 |
|
Max online users |
本端口最多可容纳的接入用户数 |
|
Authentication attempts: successful 1, failed 0 |
端口上MAC地址认证的统计信息,包括认证通过的次数和认证失败的次数 |
|
MAC address |
接入用户的MAC地址 |
|
Auth state |
接入用户的状态 · Authenticated:认证成功 · Unauthenticated:认证失败 |
display mac-authentication connection命令用来显示MAC地址认证在线用户的详细信息。
【命令】
display mac-authentication connection [ ap ap-name [ radio radio-id ] | slot slot-number | user-mac mac-address | user-name user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ap ap-name:显示接入指定AP的所有MAC地址认证用户的信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
radio radio-id:显示接入指定Radio的所有的MAC地址认证用户的信息。radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则显示AP的所有Radio的MAC地址认证用户的信息。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
slot slot-number:显示指定成员设备上的MAC地址认证用户信息。slot-number表示设备在云集群中的成员编号。若不指定本参数,则显示所有成员设备上的MAC地址认证用户信息。
user-mac mac-address:显示指定MAC地址的MAC地址认证用户信息。其中mac-addr表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
user-name user-name:显示指定用户名的MAC地址认证用户信息。其中user-name表示用户名(可包含域名),为1~55个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有的MAC地址认证用户信息。
【举例】
# 显示所有MAC地址认证在线用户信息。
<Sysname> display mac-authentication connection
Total connections: 1
Slot ID: 0
User MAC address : 0015-e9a6-7cfe
AP name : ap1
Radio ID : 1
SSID : wlan_dot1x_ssid
BSSID : 0015-e9a6-7cf0
User name : ias
Authentication domain : 1
Initial VLAN : 1
Authorization VLAN : 100
Authorization ACL number : 3001
Authorization user profile : N/A
Authorization CAR : N/A
Authorization URL : N/A
Authroization IPv6 URL : N/A
Termination action : Radius-request
Session timeout last from : 2023/05/30 17:32:42
Session timeout period : 86400 s
Online from : 2023/05/30 11:20:41
Online duration : 6h 18m 39s
表1-4 display mac-authentication connection 命令显示信息描述表
|
字段 |
描述 |
|
Total connections |
在线MAC地址认证用户个数 |
|
User MAC address |
用户的MAC地址 |
|
Access interface |
用户的接入接口名称 |
|
AP name |
AP的名称 |
|
Radio ID |
Radio的ID |
|
SSID |
服务集标识符 |
|
BSSID |
用户所属的基本服务集标识符 |
|
Username |
用户名 |
|
Authentication domain |
认证时所用的ISP域的名称 |
|
Initial VLAN |
初始的VLAN |
|
Authorization VLAN |
授权的VLAN |
|
Authorization ACL number |
授权ACL的编号。若未授权ACL,则显示N/A;若未授权成功,则在ACL编号后显示“(NOT effective)” |
|
Authorization user profile |
授权用户的User profile名称 |
|
Authorization CAR |
当服务器未授权用户CAR属性时,该字段显示为N/A。 当服务器授权用户CAR属性,将分为以下四个字段: · Average input rate :上行平均速率,单位为kbps · Peak input rate:上行峰值速率,单位为kbps · Average output rate:下行平均速率,单位为kbps · Peak output rate:下行峰值速率,单位为kbps 若未授权成功,则显示为(NOT effective) 若只下发上、下行平均速率,则该上、下行峰值速率默认与其平均速率相同。目前不支持服务器单独授权上、下行峰值速率 |
|
Authorization URL |
授权的重定向URL |
|
Authorization IPv6 URL |
授权的IPv6重定向URL |
|
Termination action |
服务器下发的终止动作类型: · Default:会话超时时间到达后,强制用户下线 · Radius-Request:会话超时时间到达后,请求MAC地址认证用户进行重认证 用户采用本地认证时,该字段显示为Default |
|
Session timeout last from |
会话超时的时间 |
|
Session timeout period |
服务器下发的会话超时定时器,单位为秒。该定时器超时后,用户所在的会话将会被删除,之后,对该用户所采取的动作,由Termination action字段的取值决定 |
|
Online from |
MAC认证用户的上线时间 |
|
Online duration |
MAC认证用户的在线时长 |
display wlan client-security block-mac命令用来显示阻塞MAC地址信息。
【命令】
display wlan client-security block-mac
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
阻塞MAC是指入侵检测模式为temporary-block时,被加入到阻塞MAC列表中的用户。
【举例】
# 显示所有阻塞 MAC地址信息。
<Sysname> display wlan client-security block-mac
MAC address AP ID RADIO ID BSSID
0002-0002-0002 1 1 00ab-0de1-0001
000d-88f8-0577 1 1 0ef1-0001-02c1
Total entries: 2
表1-5 display wlan client-security block-mac命令显示信息描述表
|
字段 |
描述 |
|
MAC address |
阻塞MAC地址,格式为“H-H-H” |
|
AP ID |
阻塞MAC地址所在AP的编号 |
|
RADIO ID |
阻塞MAC地址所在的Radio编号 |
|
BSSID |
基本服务集标识符,格式为H-H-H |
|
Total entries |
阻塞MAC地址表项条数 |
【相关命令】
· client-security intrusion-protection action
· client-security intrusion-protection timer temporary-block
display wlan statistics accounting命令用来查看无线客户端的RADIUS计费报文统计信息。
【命令】
display wlan statistics accounting
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示无线客户端的RADIUS计费报文统计信息。
<Sysname> display wlan statistics accounting
Account start request : 1
Account start response : 1
Account update request : 3
Account update response : 3
Account stop request : 1
Account stop response : 1
表1-6 display wlan statistics accounting命令显示信息描述表
|
字段 |
描述 |
|
Account start request |
发送RADIUS计费开始请求报文数目 |
|
Account start response |
收到RADIUS计费开始回应报文数目 |
|
Account update request |
发送RADIUS计费更新请求报文数目 |
|
Account update response |
收到RADIUS计费更新回应报文数目 |
|
Account stop request |
发送RADIUS计费停止请求报文数目 |
|
Account stop response |
收到RADIUS计费停止回应报文数目 |
dot1x authentication-method命令用来配置802.1X系统的认证方法。
undo dot1x authentication-method命令用来恢复缺省情况。
【命令】
dot1x authentication-method { chap | eap | pap }
undo dot1x authentication-method
【缺省情况】
设备启用EAP中继方式,并采用EAP认证方法。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法。
eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法。
pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
【使用指导】
在EAP终结方式下:设备将收到的客户端EAP报文中的用户认证信息重新封装在标准的RADIUS报文中,然后采用PAP或CHAP认证方法与RADIUS服务器完成认证交互。该方式的优点是,现有的RADIUS服务器基本均可支持PAP和CHAP认证,无需升级服务器,但设备处理较为复杂,且目前仅能支持MD5-Challenge类型的EAP认证以及iNode 802.1X客户端发起的“用户名+密码”方式的EAP认证。有关PAP和CHAP两种认证方法的详细介绍如下:
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。目前,H3C iNode 802.1X客户端支持此认证方法。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
在EAP中继方式下:设备将收到的客户端EAP报文直接封装到RADIUS报文的属性字段中,发送给RADIUS服务器完成认证。该方式的优点是,设备处理简单,且可支持多种类型的EAP认证方法,例如MD5-Challenge、EAP-TLS、PEAP等,但要求服务器端支持相应的EAP认证方法。
采用远程RADIUS认证时,PAP、CHAP、EAP认证的最终实现,需要RADIUS服务器支持相应的PAP、CHAP、EAP认证方法。
若采用EAP认证方法,则RADIUS方案下的user-name-format配置无效,user-name-format的介绍请参见“用户接入与认证命令参考”中的“AAA”。
【举例】
# 启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法。
<Sysname> system-view
[Sysname] dot1x authentication-method pap
【相关命令】
· display dot1x
dot1x domain命令用来指定无线服务模板下802.1X用户的认证域。
undo dot1x domain命令用来恢复缺省情况。
【命令】
dot1x domain domain-name
undo dot1x domain
【缺省情况】
未指定无线服务模板下的802.1X用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的802.1X用户将按照如下先后顺序进行选择认证域:无线服务模板下指定的认证域-->用户名中指定的认证域-->系统缺省的认证域。
【举例】
# 配置无线服务模板service1下802.1X用户使用认证域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x domain my-domain
dot1x domain-delimiter命令用来配置802.1X支持的域名分隔符。
undo dot1x domain-delimiter命令用来恢复缺省情况。
【命令】
dot1x domain-delimiter string
undo dot1x domain-delimiter
【缺省情况】
802.1X支持的域名分隔符为@。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
string:多个域名分隔符组成的1~16个字符的字符串,且分隔符只能为@、.、/或\。若要指定域名分隔符\,则必须在输入时使用转义操作符\,即输入\\。
【使用指导】
目前,802.1X支持的域名分隔符包括@、\、/和.,对应的用户名格式分别为username@domain-name, domain-name\username、username/domain-name和username.domain-name,其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符,则设备仅将最后一个出现的域名分隔符识别为实际使用的域名分隔符,例如,用户输入的用户名为121.123/22\@abc,若设备上指定802.1X支持的域名分隔符为/、\,则识别出的纯用户名为@abc,域名为121.123/22。
系统默认支持分隔符@,但如果通过本命令指定的域名分隔符中未包含分隔符@,则802.1X仅会支持命令中指定的分隔符。
【举例】
# 配置802.1X支持的域名分隔符为@和/。
<Sysname> system-view
[Sysname] dot1x domain-delimiter @/
【相关命令】
· display dot1x
dot1x eap命令用来配置802.1X认证的EAP协议模式。
undo dot1x eap命令用来恢复缺省情况。
【命令】
dot1x eap { extended | standard }
undo dot1x eap
【缺省情况】
EAP协议模式为standard。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
extended:表示EAP协议模式为扩展的EAP协议,即要求客户端和设备按照私有EAP协议的规范和报文格式进行交互。
standard:表示EAP协议模式为标准的EAP协议,即要求客户端和设备按照标准EAP协议的规范和报文格式进行交互。
【使用指导】
只能在无线服务模板关闭的状态下开启该功能。
【举例】
# 在无线服务模板1下配置802.1X认证的EAP协议为扩展模式。
<Sysname> system-view
[Sysname] wlan service-template 1
[Sysname-wlan-st-1] dot1x eap extended
dot1x handshake enable命令用来开启802.1X在线用户握手功能。
undo dot1x handshake enable命令用来关闭802.1X在线用户握手功能。
【命令】
dot1x handshake enable
undo dot1x handshake enable
【缺省情况】
802.1X在线用户握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
使能802.1X握手功能之后,设备将定期向通过802.1X认证的在线用户发送握手报文,即单播EAP-Request/Identity报文,来检测用户的在线状态。握手报文发送的时间间隔由802.1X握手定时器控制(时间间隔通过命令dot1x timer handshake-period设置)。如果连续发送握手报文的次数达到802.1X报文最大重发次数(最大重发次数通过命令dot1x retry设置),而还没有收到用户响应,则强制该用户下线。
由于802.1X握手成功,设备不会再对用户进行回复,导致某些客户端在一段时间后会进行重认证或者下线。请根据实际情况配置本功能。
本命令只能在无线服务模板处于关闭状态时配置。
【举例】
# 开启无线服务模板service1下的802.1X在线用户握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
【相关命令】
· dot1x handshake secure enable
· dot1x retry(用户接入与认证命令参考/AAA)
· dot1x timer handshake-period(用户接入与认证命令参考/AAA)
dot1x handshake secure enable命令用来开启802.1X在线用户安全握手功能。
undo dot1x handshake secure enable命令用来关闭802.1X在线用户安全握手功能。
【命令】
dot1x handshake secure enable
undo dot1x handshake secure enable
【缺省情况】
802.1X在线用户的安全握手功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
802.1X安全握手功能只有在开启了802.1X握手功能的前提下才生效。
该命令只对进行802.1X接入认证且成功上线的用户有效。
【举例】
# 开启无线服务模板service1下的802.1X在线用户安全握手功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x handshake enable
[Sysname-wlan-st-service1] dot1x handshake secure enable
【相关命令】
· dot1x handshake enable
dot1x max-user命令用来配置单个射频下单个无线服务模板上的802.1X最大用户数。
undo dot1x max-user命令用来恢复缺省情况。
【命令】
dot1x max-user count
undo dot1x max-user
【缺省情况】
单个射频下单个无线服务模板上允许同时接入的802.1X用户数为512个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:单个射频下单个无线服务模板上最多允许同时接入的802.1X用户数,取值范围为1~512。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当单个射频下单个无线服务模板上同时接入的802.1X用户数超过最大值后,新的用户将被拒绝。
【举例】
# 配置单个射频下单个无线服务模板service1上的802.1X最大用户数为500。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x max-user 500
dot1x re-authenticate enable命令用来开启802.1X周期性重认证功能。
undo dot1x re-authenticate enable命令用来关闭802.1X周期性重认证功能。
【命令】
dot1x re-authenticate enable
undo dot1x re-authenticate enable
【缺省情况】
802.1X周期性重认证功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
无线服务模板启动了802.1X的周期性重认证功能后,设备会根据系统视图下配置的周期性重认证定时器(dot1x timer reauth-period)时间间隔对在线802.1X用户启动认证,以检测用户连接状态的变化,更新服务器下发的授权属性(例如ACL,VLAN,User Profile)。
用户进行802.1X认证成功后,如果服务器下发了Termination action和Session timeout属性(display dot1x connection),且Termination action取值为Radius-Request,Session timeout取值不为0,设备将以Session timeout为周期对用户进行重认证,以检测用户在线状态,并更新授权信息。
本命令只能在无线服务模板处于关闭状态时配置。
在认证服务器没有下发Terminal action和Session timeout属性或下发的Terminal action取值不为Request的情况下,如果使能802.1X重认证功能,设备也会定期向已经在线的802.1X用户发起重认证,此时重认证周期由802.1X重认证定时器配置。
【举例】
# 开启无线服务模板service1下的802.1X重认证功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] dot1x re-authenticate enable
【相关命令】
· dot1x timer(用户接入与认证命令参考/AAA)
dot1x retry命令用来设置设备向接入用户发送认证请求报文的最大次数。
undo dot1x retry命令用来恢复缺省情况。
【命令】
dot1x retry retries
undo dot1x retry
【缺省情况】
设备向接入用户发送认证请求报文的最大次数为2。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
retries:向接入用户发送认证请求报文的最大尝试次数,取值范围为1~10。
【使用指导】
如果设备向用户发送认证请求报文后,在规定的时间里没有收到用户的响应,则设备将向用户重发该认证请求报文,若设备累计发送认证请求报文的次数达到配置的最大值后,仍然没有得到用户响应,则停止发送认证请求。对于EAP-Request/Identity报文,该时间由dot1x timer tx-period设置;对于EAP-Request/MD5 Challenge报文,该时间由dot1x timer supp-timeout设置。
【举例】
# 配置设备最多向接入用户发送9次认证请求报文。
<Sysname> system-view
[Sysname] dot1x retry 9
【相关命令】
· display dot1x
· dot1x timer
dot1x timer命令用来配置802.1X的定时器参数。
undo dot1x timer命令用来将指定的定时器恢复为缺省情况。
【命令】
dot1x timer { handshake-period handshake-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value }
undo dot1x timer { handshake-period handshake-period-value | reauth-period reauth-period-value | server-timeout server-timeout-value | supp-timeout supp-timeout-value }
【缺省情况】
客户端认证超时定时器的值为30秒,认证服务器超时定时器的值为100秒,握手定时器的值为15秒,周期性重认证定时器的值为3600秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
handshake-period handshake-period-value:握手定时器的值,取值范围为5~1024,单位为秒。
reauth-period reauth-period-value:周期性重认证定时器的值,取值范围为60~7200,单位为秒。
server-timeout server-timeout-value:认证服务器超时定时器的值,取值范围为100~300,单位为秒。
supp-timeout supp-timeout-value:客户端认证超时定时器的值,取值范围为1~120,单位为秒。
【使用指导】
802.1X认证过程受以下定时器的控制:
· 握手定时器(handshake-period):此定时器是在用户认证成功后启动的,设备端以此间隔为周期发送握手请求报文,以定期检测用户的在线情况。如果配置发送次数为N,则当设备端连续N次没有收到客户端的响应报文,就认为用户已经下线。
· 周期性重认证定时器(reauth-period):端口上开启了周期性重认证功能(通过命令dot1x re-authenticate)后,设备端以此间隔为周期对端口上的在线用户发起重认证。对于已在线的802.1X用户,要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证。
· 认证服务器超时定时器(server-timeout):当设备端向认证服务器发送了RADIUS Access-Request请求报文后,设备端启动server-timeout定时器,若在该定时器设置的时长内,设备端没有收到认证服务器的响应,则802.1X认证失败。
建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retry与timer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“用户接入与认证配置指导”中的“AAA”。
· 客户端认证超时定时器(supp-timeout):当设备端向客户端发送了EAP-Request/MD5 Challenge请求报文后,设备端启动此定时器,若在该定时器设置的时长内,设备端没有收到客户端的响应,设备端将重发该报文。
一般情况下,用户无需修改定时器的值,除非在一些特殊或恶劣的网络环境下,可以使用该命令调节交互进程。
除周期性重认证定时器外的其他定时器修改后可立即生效。
【相关命令】
· display dot1x
· dot1x unauthenticated-user aging enable
· retry(用户接入与认证命令参考/AAA)
· timer response-timeout (RADIUS scheme view)(用户接入与认证命令参考/AAA)
fail-permit enable命令用来开启用户逃生功能。
undo fail-permit enable命令用来关闭用户逃生功能。
【命令】
fail-permit enable [ keep-online | url-user-logoff ] [ always-service ]
undo fail-permit enable
【缺省情况】
用户逃生功能处于关闭状态。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
keep-online:逃生时在线用户依然保持在线。若不指定本参数,则表示逃生时在线用户会被强制踢下线。
url-user-logoff:若上线的MAC认证用户被授权了重定向URL后发生了逃生,则强制用户下线,否则依然保持在线。本参数仅对MAC地址认证生效。
always-service:发生逃生时,无论是否配置了逃生服务模板,当前无线服务模板都可以继续提供无线服务。如果未配置本参数,且未配置逃生服务模板,当前使用MAC地址或者Bypass认证的无线服务模板会继续提供服务;如果未配置本参数,但配置了逃生服务模板,发生逃生时,当前无线服务模板不会继续提供服务。本参数仅对MAC地址认证和Bypass认证生效。
【使用指导】
开启用户逃生功能后,该无线服务模板下的用户采用802.1X认证、MAC地址认证或Bypass认证接入网络且AC与RADIUS服务器断开连接或AC与AP断开连接时,AP会继续为用户提供数据转发和接入服务,从而使用户可以进行逃生,继续访问网络。
对于采用不同认证方式的在线用户,逃生功能对其产生的影响有所不同:
· 用户采用Bypass认证接入网络:
¡ 如果配置了fail-permit template和fail-permit enable(无参数always-service),发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络。
¡ 如果没有配置fail-permit template或者配置了fail-permit enable always-service,用户可以在当前开启用户逃生功能的无线服务模板下发生逃生,继续访问网络且无感知。
· 用户采用MAC地址认证接入网络:
¡ 如果配置了fail-permit template和fail-permit enable(无参数always-service),发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络。
¡ 如果没有配置fail-permit template或者配置了fail-permit enable always-service,用户可以在当前开启用户逃生功能的无线服务模板下发生逃生,但会短暂被踢下线,需等待网络重新自动连接后可继续访问网络。
· 用户采用802.1X认证接入网络:需要提前配置好逃生服务模板,发生逃生时,用户服务会被切换到逃生服务模板上,需手动重新连接逃生服务模板网络后才可继续访问网络。
用户要逃生成功必须通过radius-server test-profile命令配置RADIUS服务器探测模板,当探测到RADIUS服务器不可达时,用户进行逃生。同时,建议根据实际情况配置发送探测报文的周期,周期越短,响应越快。关于RADIUS服务器探测模板的详细介绍,请参见“用户接入与认证配置指导”中的“AAA”。
在一些网络环境中,RADIUS服务器会对上线的MAC认证用户下发授权重定向URL,然后MAC认证用户会根据下发的重定向URL跳转到指定的Web认证界面继续进行用户认证,例如AD Campus(Application Driven Campus,应用驱动园区网)组网方案。若上线的MAC认证用户被授权了重定向URL后发生了逃生,可能会由于RADIUS服务器不可达导致用户停留在认证状态,所以需要配置参数url-user-logoff强制用户下线,然后再重新连接逃生服务网络后才可继续访问网络。
同一个Radio下仅支持绑定一个逃生服务模板,当发生逃生时,多个开启用户逃生功能的无线服务模板下的用户会全部逃生到一个逃生服务模板上线,导致无线网络使用体验变差。为了避免全部用户都通过一个逃生服务模板上线,可以在认证方式为MAC地址认证或者Bypass认证的服务模板下配置参数always-service,确保发生逃生时,无论是否配置了逃生服务模板,当前开启用户逃生功能的无线服务模板都可以继续提供无线服务。
本命令只能在无线服务模板处于关闭状态时配置。
本命令不能在同一无线服务模板下与fail-permit template命令同时配置。
若未指定任何参数,则表示逃生时在线用户会被强制踢下线。
【举例】
# 在无线服务模板视图开启用户逃生功能。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] fail-permit enable
【相关命令】
· client url-redirect enable
· fail-permit template
fail-permit template命令用来配置当前无线服务模板为认证逃生服务模板。
undo fail-permit template用来取消配置当前无线服务模板为认证逃生服务模板。
【命令】
fail-permit template
undo fail-permit template
【缺省情况】
未配置当前无线服务模板为认证逃生服务模板。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【使用指导】
当无线用户通过fail-permit enable命令在当前无线服务模板开启了用户逃生功能后,可以通过配置本命令,将其它无线服务模板配置为逃生服务模板。当AC与RADIUS服务器断开连接或AC与AP断开连接时,用户服务会被切换到逃生服务模板上并被踢下线,需手动重新连接到逃生服务模板配置的SSID后才可继续访问网络。
当无线5G用户接入网络,可以通过配置本命令将除当前Radio上绑定的无线服务模板外的其它无线服务模板配置为逃生服务模板,并绑定到同一AP的其它Radio上。当前Radio雷达静默时,用户服务切换到其他Radio上的逃生服务模板,从而使用户继续访问网络。
本命令只能在无线服务模板处于关闭状态时配置。
本命令不能在同一无线服务模板下与fail-permit enable命令同时配置。
建议系统中仅配置一个认证逃生服务模板,如果配置多个,则第一个绑定到Radio的逃生服务模板生效。
建议配置逃生服务模板时将akm mode配置为psk模式或不配置akm mode,否则可能导致逃生失败。
建议配置了本命令的无线服务模板的转发位置在AP上,否则可能会导致用户逃生失败。
如果开启了用户逃生功能的无线服务模板的认证位置在AP上,则配置了本命令的无线服务模板的认证位置也要在AP上。
配置5G用户逃生服务模板时,逃生服务模板与当前Radio绑定的无线服务模板配置必须保持一致。
【举例】
# 配置当前无线服务模板为认证逃生服务模板。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] fail-permit template
【相关命令】
· fail-permit enable
mac-authentication authentication-method命令用来配置MAC地址认证采用的认证方法。
undo mac-authentication authentication-method命令用来恢复缺省情况。
【命令】
mac-authentication authentication-method { chap | pap }
undo mac-authentication authentication-method
【缺省情况】
设备采用PAP认证方法进行MAC地址认证。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
chap:采用CHAP类型的认证方法。
pap:采用PAP类型的认证方法。
【使用指导】
通过该命令可以配置设备进行MAC地址认证时,与RADIUS服务器之间采用的认证方法。PAP和CHAP认证方法的详细介绍如下:
· PAP(Password Authentication Protocol,密码验证协议)通过用户名和口令来对用户进行验证,其特点是在网络上以明文方式传送用户名和口令,仅适用于对网络安全要求相对较低的环境。
· CHAP(Challenge Handshake Authentication Protocol,质询握手验证协议)采用客户端与服务器端交互挑战信息的方式来验证用户身份,其特点是在网络上以明文方式传送用户名,以密文方式传输口令。与PAP相比,CHAP认证保密性较好,更为安全可靠。
【举例】
# 配置设备采用PAP认证方法进行MAC地址认证。
<Sysname> system-view
[Sysname] mac-authentication authentication-method pap
【相关命令】
mac-authentication timer命令用来配置MAC地址认证的定时器参数。
undo mac-authentication timer命令用来恢复缺省情况。
【命令】
mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }
【缺省情况】
下线检测定时器的值为300秒,静默定时器的值为60秒,服务器超时定时器的值为100秒。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
offline-detect offline-detect-value:表示下线检测定时器。其中,offline-detect-value表示下线检测定时器的值,取值范围为60~2147483647,单位为秒。
quiet quiet-value:表示静默定时器。其中quiet-value表示静默定时器的值,取值范围为1~3600,单位为秒。
server-timeout server-timeout-value:表示服务器超时定时器。其中,server-timeout-value表示服务器超时定时器的值,取值范围为100~300,单位为秒。
【使用指导】
MAC地址认证过程受以下定时器的控制:
· 下线检测定时器(offline-detect):用来设置在线用户空闲超时的时间间隔。开启MAC地址认证下线检测功能后,若设备在一个下线检测定时器间隔之内,没有收到某在线用户的报文,将切断该用户的连接,同时通知RADIUS服务器停止对其计费。配置offline-detect时,需要将MAC地址老化时间配成相同时间,否则会导致用户异常下线。只有当端口的MAC地址认证下线检测功能处于开启状态时,该定时器生效。
· 静默定时器(quiet):用来设置用户认证失败以后,设备需要等待的时间间隔。在静默期间,设备不对来自认证失败用户的报文进行认证处理,直接丢弃。静默期后,如果设备再次收到该用户的报文,则依然可以对其进行认证处理。
· 服务器超时定时器(server-timeout):用来设置设备同RADIUS服务器的连接超时时间。在用户的认证过程中,如果到服务器超时定时器超时时设备一直没有收到RADIUS服务器的应答,则设备将在相应的端口上禁止此用户访问网络。
建议将server-timeout的值设定为小于或等于设备发送RADIUS报文的最大尝试次数(retry)与RADIUS服务器响应超时时间(timer response-timeout)之积。如果server-timeout的值大于retry与timer response-timeout之积,则可能在server-timeout设定的服务器超时时间到达前,用户被强制下线。
关于发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间的具体配置请参见“用户接入与认证配置指导”中的“AAA”。
【举例】
# 设置服务器超时定时器时长为150秒。
<Sysname> system-view
[Sysname] mac-authentication timer server-timeout 150
【相关命令】
· display mac-authentication
· mac-authentication guest-vlan auth-period
· mac-authentication unauthenticated-user aging enable
· retry(用户接入与认证命令参考/AAA)
· timer response-timeout (RADIUS scheme view)(用户接入与认证命令参考/AAA)
mac-authentication domain命令用来指定无线服务模板下MAC地址认证用户的ISP域。
undo mac-authentication domain命令用来恢复缺省情况。
【命令】
mac-authentication domain domain-name
undo mac-authentication domain
【缺省情况】
未指定无线服务模板下的MAC地址认证用户的ISP域。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
domain-name:ISP域名,为1~255个字符的字符串,不区分大小写。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
从无线服务模板上接入的MAC地址认证用户将按照如下先后顺序进行选择ISP域:无线服务模板下指定的ISP域-->全局MAC地址ISP域-->系统缺省的ISP域。
【举例】
# 配置无线服务模板service1下MAC地址认证用户使用的ISP域为my-domain。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication domain my-domain
mac-authentication max-user命令用来配置单个射频下单个无线服务模板上的MAC地址认证最大用户数。
undo mac-authentication max-user命令用来恢复缺省情况。
【命令】
mac-authentication max-user count
undo mac-authentication max-user
【缺省情况】
单个射频下单个无线服务模板上允许同时接入的MAC地址认证最大用户数为512个。
【视图】
无线服务模板视图
【缺省用户角色】
network-admin
【参数】
count:单个射频下单个无线服务模板上最多允许同时接入的MAC地址认证用户数,取值范围为1~512。
【使用指导】
本命令只能在无线服务模板处于关闭状态时配置。
配置本命令后,当单个射频下单个无线服务模板上同时接入的MAC地址认证用户数超过最大值后,新接入的用户将被拒绝。
【举例】
# 配置单个射频下单个无线服务模板上的MAC地址认证最大用户数为32个。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] mac-authentication max-user 32
reset dot1x statistics命令用来清除802.1X的统计信息。
【命令】
reset dot1x statistics [ ap ap-name [ radio radio-id ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ap ap-name:清除指定AP的所有802.1X统计信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。如果不指定本参数,则清除所有AP上的802.1X统计信息。
radio radio-id:清除指定AP的所有的802.1X统计信息。radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则清除指定AP的所有Radio的802.1X统计信息。
【举例】
# 清除全部802.1X统计信息。
<Sysname> reset dot1x statistics
· display dot1x
reset mac-authentication statistics命令用来清除MAC地址认证的统计信息。
【命令】
reset mac-authentication statistics [ ap ap-name [ radio radio-id ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
ap ap-name:清除指定AP的所有MAC地址认证统计信息。ap-name表示AP的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“[”、“]”、“/”及“-”,区分大小写。如果不指定本参数,则清除所有AP上的MAC地址认证统计信息。
radio radio-id:清除指定AP的所有的MAC地址认证统计信息。radio-id表示Radio编号,取值范围与设备型号有关。如果不指定该参数,则清除指定AP的所有射频天线下的MAC地址认证统计信息。
【举例】
# 清除全部MAC认证统计信息。
<Sysname> reset mac-authentication statistics
【相关命令】
· display mac-authentication
wlan authentication optimization命令用来配置802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值。
undo wlan authentication optimization命令用来恢复缺省情况。
【命令】
wlan authentication optimization value
undo wlan authentication optimization
【缺省情况】
802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值为0,即不对802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率进行优化,采用实际值。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
value:优化802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的参数值,取值范围为900~1000。该数值配置越小,802.1X认证、MAC地址认证及二层Portal认证的认证成功率越小,在线用户异常下线率越大。
【使用指导】
认证成功率是指802.1X认证、MAC地址认证及二层Portal认证时认证成功的总次数占认证总次数的百分比。在线用户异常下线率是指在线用户异常断开连接的总次数占在线用户认证成功的总次数与当前在线用户总数之和的百分比。
设备会重新对802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率进行优化计算。
只有802.1X认证、MAC地址认证及二层Portal认证采用RADIUS服务器进行远程认证时,本命令配置的优化参数才会生效。
【举例】
# 配置802.1X认证、MAC地址认证及二层Portal认证的认证成功率、在线用户异常下线率的优化参数值为950。
<Sysname> system-view
[Sysname] wlan authentication optimization 950
wlan client-security authentication clear-previous-connection命令用来开启已认证无线客户端再次上线认证清除旧连接功能。
undo wlan client-security authentication clear-previous-connection命令用来关闭已认证无线客户端再次上线认证清除旧连接功能。
【命令】
wlan client-security authentication clear-previous-connection
undo wlan client-security authentication clear-previous-connection
【缺省情况】
已认证无线客户端再次上线认证清除旧连接功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当无线客户端进行802.1X或者MAC地址认证时,设备会检查自身是否存在该无线客户端的表项:
· 当不存在该无线客户端表项时,客户端进行认证上线。
· 当存在该无线客户端表项时,设备会删除该无线客户端的表项并向RADIUS服务器发送认证请求报文。有一些RADIUS服务器收到认证请求报文后,若发现本地已经存在该无线客户端的表项,会向设备回复认证失败的报文,导致客户端无法通过认证上线。
为了解决此类RADIUS服务器上因表项冲突而导致用户无法上线的问题,建议开启本功能。开启本功能后,设备存在表项的同时会向RADIUS服务器发送计费停止报文。当RADIUS服务器收到该报文后,会删除本地存在的无线客户端表项,客户端可以进行认证上线。
需要注意的是,开启本功能后,802.1X重认证功能、Fail VLAN功能和Critical VLAN功能将不能生效。
【举例】
# 开启已认证无线客户端再次上线认证清除旧连接功能。
<Sysname> system-view
[Sysname] wlan client-security authentication clear-previous-connection
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
