10s3900系列以太網(wǎng)交換機(jī)命令手冊(cè)安全

1、Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全目 錄目 錄第 1 章 802.1x配置命令1-11.1 802.1x配置命令1-11.1.1 display dot1x1-11.1.2 dot1x1-31.1.3 dot1x authentication-method1-41.1.4 dot1x dhcp-launch1-51.1.5 dot1x max-user.1-61.1.6 dot1x port-control1-71.1.7 dot1x port-method1-81.1.8 dot1x quiet-period1-91.1.9 dot1x retry1-91.1.10

2、dot1x supp-proxy-check1-101.1.11 dot1x timer1-111.1.12 reset dot1x statistics1-13第 2 章 集中式MAC地址認(rèn)證配置命令2-12.1 集中式MAC地址認(rèn)證配置命令2-12.1.1 debugging mac-authentication event2-12.1.2 display mac-authentication2-12.1.3 mac-authentication2-32.1.4 mac-authentication authmode2-42.1.5 mac-authentication authpassw

3、ord2-52.1.6 mac-authentication authusername2-62.1.7 mac-authentication domain2-62.1.8 mac-authentication timer2-7第 3 章 AAA和RADIUS協(xié)議配置命令3-13.1 AAA配置命令3-13.1.1 access-limit3-13.1.2 attribute3-13.1.3 cut connection3-33.1.4 display connection3-43.1.5 display domain3-53.1.6 display local-user.3-63.1.7 do

4、main3-83.1.8 idle-cut3-93.1.9 level3-103.1.10 local-user3-113.1.11 local-user password-display-mode.3-123.1.12 messenger3-123.1.13 password3-13iQuidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全目 錄3.1.14 radius-scheme3-143.1.15 scheme3-153.1.16 self-service-url3-163.1.17 service-type3-173.1.18 state3-183.2 RADIUS協(xié)議配置命令3

5、-183.2.1 accounting optional3-183.2.2 data-flow-format3-193.2.3 display local-server statistics3-203.2.4 display radius3-213.2.5 display radius statistics3-223.2.6 display stop-accounting-buffer3-243.2.7 key3-253.2.8 local-server3-263.2.9 nas-ip3-273.2.10 primary accounting3-273.2.11 primary authent

6、ication3-283.2.12 radius nas-ip3-293.2.13 radius scheme3-303.2.14 reset radius statistics3-313.2.15 reset stop-accounting-buffer3-313.2.16 retry3-323.2.17 retry realtime-accounting3-333.2.18 retry stop-accounting3-343.2.19 secondary accounting3-353.2.20 secondary authentication3-353.2.21 server-type

7、3-363.2.22 state3-373.2.23 stop-accounting-buffer enable3-383.2.24 timer3-383.2.25 timer quiet3-393.2.26 timer realtime-accounting3-403.2.27 timer response-timeout3-413.2.28 user-name-format3-42iiQuidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章802.1x 配置命令第1章 802.1x 配置命令1.1 802.1x 配置命令1.1.1 display dot1x【命令】displa

8、y dot1x sessions | statistics interface interface-list 【視圖】任意視圖【參數(shù)】sessions：顯示 802.1x 的會(huì)話連接信息。statistics：顯示 802.1x 的相關(guān)統(tǒng)計(jì)信息。interface：顯示指定端口的 802.1x 相關(guān)信息。interface-list：以太網(wǎng)端口列表，表示多個(gè)以太網(wǎng)端口，表示方式為 interface-list interface-num to interface-num & < 1-10 >。其中，interface-num 為單個(gè)以太網(wǎng)端口，可表示為interface-n

9、um = interface-type interface-num | interface-name ，interface-type 為端口類型，interface-num 為端，interface-name 為端口名，它們各自的含義和取值范圍請(qǐng)參見本書“端口配置”部分令參數(shù)?！久枋觥縟isplay dot1x 命令用來顯示 802.1x 的相關(guān)信息，包括配置信息、運(yùn)行情況（會(huì)話連接信息）以及相關(guān)統(tǒng)計(jì)信息等。缺省情況下，顯示 802.1x 在各端口的所有相關(guān)信息?？梢允褂么嗣顏盹@示指定端口上的 802.1x 配置、狀態(tài)或統(tǒng)計(jì)信息；如果在執(zhí)行本命令的時(shí)候不指定端口，系統(tǒng)將顯示交換機(jī)所有 802

10、.1x 相關(guān)信息，例如：所有端口的 802.1x 配置情況、802.1x 的會(huì)話連接信息、802.1x 的數(shù)據(jù)統(tǒng)計(jì)信息等。根據(jù)該命令的輸出信息，可以幫助用戶確認(rèn)當(dāng)前的 802.1x 配置是否正確，并進(jìn)一步有助于802.1x 故障的診斷與排除。相關(guān)配置可參考命令 reset dot1x statistics, dot1x, dot1x retry, dot1x max-user, dot1x port-control, dot1x port-method, dot1x timer?！九e例】# 顯示 802.1x 的配置信息。1-1Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1

11、章 802.1x 配置命令<Quidway> display dot1xEquipment 802.1X protocol is enabled CHAP authentication is enabledDHCP-launch is disabledProxy trap checker is disabled Proxy logoff checker is disabledConfiguration: Transmit PeriodQuiet Period Supp Timeout306030s,s,s,Handshake PeriodQuiet Period Timer Ser

12、ver Timeout15 sdisabledis100sTheal retransmittingtimes3Totalum802.1x user resource numberused 802.1x resource numberis 1024is 0Total currentEthernet1/0/1is link-down802.1X protocol is disabled Proxy trap checker is disabled Proxy logoff checker is disabled The port is an authenticator Authentication

13、 Mode is AutoPort Control Type is Mac-basedMax number ofon-lineusers is 256（以下略）表1-1 802.1x 配置信息描述表1-2描述Equipment 802.1X protocol is enabled交換機(jī) 802.1x 特性已經(jīng)開啟CHAP authentication is enabled使能 CHAP 認(rèn)證DHCP-launch is disabled在 DHCP 環(huán)境中，如果用戶私自配置靜態(tài) IP，交換機(jī)是否觸發(fā)對(duì)該用戶的認(rèn)證：disable 表示觸發(fā)；enable 表示不觸發(fā)Proxy trap chec

14、ker is disabled是否檢測(cè)通過 登錄用戶的接入：disable 表示不檢測(cè)；enable 表示檢測(cè)用戶使用 后， Trap 報(bào)文Proxy logoff checker is disabled是否檢測(cè)通過 登錄用戶的接入：disable 表示不檢測(cè)；enable 表示檢測(cè)用戶使用 后，切斷用戶連接Transmit Period間隔定時(shí)器Handshake Period802.1x 的握手報(bào)文的時(shí)間間隔Quiet Period靜默定時(shí)器設(shè)置的靜默時(shí)長(zhǎng)Quidway S3900 系列以太網(wǎng)交換機(jī)安全命令手冊(cè)第 1 章802.1x 配置命令1.1.2dot1x【命令】dot1x inte

15、rface interface-list undo dot1x interface interface-list 【視圖】系統(tǒng)視圖/以太網(wǎng)端口視圖【參數(shù)】interface interface-list ：以太網(wǎng)端口列表，表示多個(gè)以太網(wǎng)端口，表示方式為interface-list interface-num to interface-num & <1-10>。其中，interface-num為單個(gè)以太網(wǎng)端口，可表示為 interface-num = interface-type interface-num |1-3描述Quiet Period Timer is disabl

16、e靜默定時(shí)器處于關(guān)閉狀態(tài)Supp TimeoutSupplicant 認(rèn)證超時(shí)定時(shí)器Server TimeoutAuthentication Server 超時(shí)定時(shí)器。Theal retransmitting times以太網(wǎng)交換機(jī)可重復(fù)向接入用戶認(rèn)證請(qǐng)求幀的次數(shù)Totalum 802.1x user resource number最多可接入用戶數(shù)Total current used 802.1x resource number當(dāng)前接入用戶數(shù)Ethernet1/0/1 is link-up端口 Ethernet 1/0/1 的狀態(tài)為 Up802.1X protocol is disabled該

17、端口未使能 802.1X 協(xié)議Proxy trap checker is disabled該端口是否檢測(cè)通過 登錄用戶的接入：disable 表示 測(cè)；enable 表示檢測(cè)用戶使用 后，發(fā)送Trap 報(bào)文Proxy logoff checker is disabled該端口是否檢測(cè)通過 登錄用戶的接入：disable 表示 測(cè)；enable 表示檢測(cè)用戶使用 后，切斷用戶連接The port is a(n) authenticator該端口擔(dān)當(dāng) Authenticator 作用Authenticate Mode is auto端口接入的模式為 autoPort Control Type is

18、 Mac-based端口接入方式為Mac-based，即基于MAC 地址對(duì)接入用戶進(jìn)行認(rèn)證Max on-line user number本端口最多可容納的接入用戶數(shù)略Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章 802.1x 配置命令interface-name ， interface-type 為端口類型， interface-num 為 端，interface-name 為端口名，它們各自的含義和取值范圍請(qǐng)參見本書“端口配置”部分令參數(shù)?！久枋觥縟ot1x 命令用來開啟指定端口上或全局（即當(dāng)前設(shè)備）的 802.1x 特性，undo dot1x命令用來關(guān)閉指定端口上或

19、全局的 802.1x 特性。缺省情況下，所有端口及全局的 802.1x 特性都處于關(guān)閉狀態(tài)。在系統(tǒng)視圖下使用該命令時(shí)，如果不輸入 interface-list 參數(shù)，則表示開啟全局的802.1x 特性；如果指定了 interface-list，則表示開啟指定端口的 802.1x 特性。在以太網(wǎng)端口視圖下使用該命令時(shí)，不能輸入 interface-list 參數(shù)，僅打開當(dāng)前端口的802.1x 特性。802.1x 特性啟動(dòng)前后，均可以使用配置命令來配置全局或端口的 802.1x 特性參數(shù)。如果在開啟全局 802.1x 特性前沒有配置全局或端口的其它 802.1x 特性參數(shù)，則這些參數(shù)在運(yùn)行時(shí)均為缺

20、省值。全局 802.1x 特性開啟后，必須再開啟端口的 802.1x 特性，802.1x 的配置才能在端口上生效。如果端口啟動(dòng)了 802.1x，則不能配置該端口的最大 MAC 地址學(xué)習(xí)個(gè)數(shù)（通過命令mac-address max-mac-count 配置），反之，如果端口配置了最大 MAC 地址學(xué)習(xí)個(gè)數(shù)，則 在該端口上啟動(dòng) 802.1x。相關(guān)配置可參考命令 display dot1x?！九e例】# 開啟以太網(wǎng)端口 Ethernet 1/0/1 上的 802.1x 特性。Quidway dot1x interface Ethernet 1/0/1# 開啟全局的 802.1x 特性。Quidway

21、dot1x1.1.3 dot1x authentication-method【命令】dot1x authentication-method chap | pap | eap md5-challenge undo dot1x authentication-method【視圖】系統(tǒng)視圖1-4Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章 802.1x 配置命令【參數(shù)】chap：采用 CHAP 認(rèn)證方式。pap：采用 PAP 認(rèn)證方式。eap：采用 EAP 認(rèn)證方式。目前，只有 md5 一種加密方法?！久枋觥縟ot1x authentication-method 命令用來設(shè)置

22、802.1x 用戶的認(rèn)證方法，undo dot1x authentication-method 命令用來恢復(fù) 802.1x 用戶的缺省認(rèn)證方法。缺省情況下，802.1x 用戶認(rèn)證方法為 CHAP 認(rèn)證。PAP（Password Authentication Protocol）是一種兩次握手認(rèn)證協(xié)議，它采用明文方式傳送口令;CHAP（Challenge Handshake Authentication Protocol）是一種三次握手認(rèn)證協(xié)議，它只在網(wǎng)絡(luò)上傳輸用戶名，而并不傳輸口令。相比之下，CHAP 認(rèn)證更為安全可靠。性較好，EAP 認(rèn)證功能，意味著交換機(jī)直接把 802.1x 用戶的認(rèn)證信息以

23、 EAP 報(bào)文給RADIUS 服務(wù)器完成認(rèn)證，而無須將 EAP 報(bào)文轉(zhuǎn)換成標(biāo)準(zhǔn)的 RADIUS 報(bào)文后再發(fā)給 RADIUS 服務(wù)器來完成認(rèn)證。需要注意的是，PAP、CHAP、EAP 認(rèn)證功能的最終實(shí)現(xiàn)，需要 RADIUS 服務(wù)器支持相應(yīng)的 PAP、CHAP、EAP 認(rèn)證。相關(guān)配置可參考命令 display dot1x。【舉例】# 設(shè)置交換機(jī) 802.1X 用戶采用 PAP 認(rèn)證。Quidway dot1x authentication-method pap1.1.4 dot1x dhcp-launch【命令】dot1x dhcp-launchundo dot1x dhcp-launch【視圖】

24、系統(tǒng)視圖【參數(shù)】無1-5Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章 802.1x 配置命令【描述】dot1x dhcp-launch 命令用來在 DHCP 環(huán)境中，如果用戶私自配置靜態(tài) IP，設(shè)置802.1x 不命令用來設(shè)置以太網(wǎng)交換機(jī)觸發(fā)對(duì)該用戶的認(rèn)證，undo dot1x dhcp-launch交換機(jī)觸發(fā)對(duì)該用戶的認(rèn)證。缺省情況下，用戶私自配置靜態(tài) IP，交換機(jī)可以觸發(fā)對(duì)其的相關(guān)配置可參考命令 display dot1x。認(rèn)證?！九e例】# 設(shè)置在 DHCP 環(huán)境中，用戶私自配置靜態(tài) IP 的情況下，交換機(jī)不觸發(fā)對(duì)其的認(rèn)證。Quidway dot1x dhcp-la

25、unch1.1.5 dot1x max-user【命令】dot1x max-user user-number interface interface-list undo dot1x max-user interface interface-list 【視圖】系統(tǒng)視圖/以太網(wǎng)端口視圖【參數(shù)】user-number：端口可容納接入用戶數(shù)量的最大值，取值范圍為 1256。缺省情況下，端口上可容納接入用戶數(shù)量的最大值為 256。interface interface-list ：以太網(wǎng)端口列表，表示多個(gè)以太網(wǎng)端口，表示方式為interface-list interface-num to interfa

26、ce-num & < 1-10 > 。其中， interface-num 為單個(gè)以太網(wǎng)端口， 可表示為 interface-num = interface-type interface-num | interface-name ，interface-type 為端口類型，interface-num 為端，interface-name 為端口名，它們各自的含義和取值范圍請(qǐng)參見本書“端口配置”部分令參數(shù)?！久枋觥縟ot1x max-user 命令用來設(shè)置 802.1x 在指定端口上可容納接入用戶數(shù)量的最大值，undo dot1x max-user 命令用來恢復(fù)該值的缺省值。在系

27、統(tǒng)視圖下執(zhí)行該命令可以作用于 interface-list 參數(shù)所指定的某個(gè)端口，如果不指定任何端口則將作用于所有端口。在以太網(wǎng)端口視圖下執(zhí)行該命令時(shí)，不能輸入interface-list 參數(shù)，只能作用于當(dāng)前端口。相關(guān)配置可參考命令 display dot1x。1-6Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章 802.1x 配置命令【舉例】# 設(shè)置端口 Ethernet 1/0/1 最多可容納 32 個(gè)接入用戶。Quidway dot1x max-user 32 interface Ethernet 1/0/11.1.6 dot1x port-control【命令】

28、dot1x port-control auto | authorized-force | unauthorized-force interfaceinterface-list undo dot1x port-control interface interface-list 【視圖】系統(tǒng)視圖/以太網(wǎng)端口視圖【參數(shù)】auto：自動(dòng)識(shí)別模式；指示端口初始狀態(tài)為非狀態(tài)，僅EAPoL 報(bào)文收發(fā)，不用戶網(wǎng)絡(luò)；如果認(rèn)證流程通過，則端口切換到狀態(tài)，用戶網(wǎng)絡(luò)。這也是最常見的情況。authorized-force：強(qiáng)制模式；指示端口始終處于狀態(tài)，用戶不經(jīng)認(rèn)證即可網(wǎng)絡(luò)。unauthorized-force：強(qiáng)制非模

29、式；指示端口始終處于非狀態(tài)，不用戶網(wǎng)絡(luò)。interface interface-list ：以太網(wǎng)端口列表，表示多個(gè)以太網(wǎng)端口，表示方式為interface-list interface-num to interface-num & < 1-10 > 。其中， interface-num 為單個(gè)以太網(wǎng)端口， 可表示為 interface-num = interface-type interface-num | interface-name ，interface-type 為端口類型，interface-num 為端，interface-name 為端口名，它們各自的含義和取

30、值范圍請(qǐng)參見本書“端口配置”部分令參數(shù)。【描述】dot1x port-control 命令用來設(shè)置 802.1x 在指定端口上進(jìn)行接入的模式，undodot1x port-control 命令用來恢復(fù)缺省的接入缺省情況下，接入模式為 auto。dot1x port-control 命令用來設(shè)置 802.1x 在指定端口上進(jìn)行接入模式。的模式，即端口處于什么狀態(tài)。在系統(tǒng)視圖下執(zhí)行該命令可以作用于 interface-list 參數(shù)所指定的某個(gè)端口，如果不指定任何端口則將作用于所有端口。在以太網(wǎng)端口視圖下執(zhí)行該命令時(shí)，不能輸入 interface-list 參數(shù)，只能作用于當(dāng)前端口。相關(guān)配置可參考

31、命令 display dot1x。1-7Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章 802.1x 配置命令【舉例】# 指定端口 Ethernet 1/0/1 處于強(qiáng)制非受控狀態(tài)。Quidway dot1x port-control unauthorized-force interface Ethernet 1/0/11.1.7 dot1x port-method【命令】dot1x port-method macbased | portbased interface interface-list undo dot1x port-method interface inte

32、rface-list 【視圖】系統(tǒng)視圖/以太網(wǎng)端口視圖【參數(shù)】macbased：指示 802.1x 認(rèn)證系統(tǒng)基于 MAC 地址對(duì)接入用戶進(jìn)行認(rèn)證。portbased：指示 802.1x 認(rèn)證系統(tǒng)基于端口對(duì)接入用戶進(jìn)行認(rèn)證。interface interface-list ：以太網(wǎng)端口列表，表示多個(gè)以太網(wǎng)端口，表示方式為interface-list interface-num to interface-num & < 1-10 > 。其中， interface-num 為單個(gè)以太網(wǎng)端口， 可表示為 interface-num = interface-type interfac

33、e-num | interface-name ，interface-type 為端口類型，interface-num 為端，interface-name 為端口名，它們各自的含義和取值范圍請(qǐng)參見本書“端口配置”部分令參數(shù)。缺省情況下，接入方式為 macbased。【描述】dot1x port-method 命令用來設(shè)置802.1x 在指定端口上進(jìn)行接入的方式，undodot1x port-method 命令用來恢復(fù)缺省的接入此命令用來設(shè)置 802.1x 在指定端口上進(jìn)行接入方式。的方式，即基于什么來對(duì)用戶進(jìn)行認(rèn)證。當(dāng)采用 macbased 方式時(shí)，該端口下的所有接入用戶均需要單獨(dú)認(rèn)證，當(dāng)某個(gè)用

34、戶下線時(shí)，也只有該用戶無法使用網(wǎng)絡(luò)；當(dāng)采用 portbased 方式時(shí)，只要該端口下的第一個(gè)用戶認(rèn)證后，其他接入用戶無須認(rèn)證就可使用網(wǎng)絡(luò)，但是當(dāng)?shù)谝粋€(gè)用戶下線后，其他用戶也會(huì)被拒絕使用網(wǎng)絡(luò)。在系統(tǒng)視圖下執(zhí)行該命令可以作用于 interface-list 參數(shù)所指定的某個(gè)端口，如果不指定任何端口則將作用于所有端口。在以太網(wǎng)端口視圖下執(zhí)行該命令時(shí)，不能輸入interface-list 參數(shù)，只能作用于當(dāng)前端口。相關(guān)配置可參考命令 display dot1x。1-8Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章 802.1x 配置命令【舉例】# 指定端口 Ethernet 1/

35、0/1 基于端口對(duì)接入用戶進(jìn)行認(rèn)證。Quidway dot1x port-method portbased interface Ethernet 1/0/11.1.8 dot1x quiet-period【命令】dot1x quiet-periodundo dot1x quiet-period【視圖】系統(tǒng)視圖【參數(shù)】無【描述】dot1x quiet-period 命令用來開啟 quiet-period 定時(shí)器功能， undo dot1x quiet-period 命令用來關(guān)閉該定時(shí)器功能。當(dāng) 802.1x 用戶認(rèn)證失敗以后，Authenticator 設(shè)備（如 Quidway 系列以太網(wǎng)交換機(jī)

36、） 需要靜默一段時(shí)間（該時(shí)間由靜默定時(shí)器設(shè)置）后再重新發(fā)起認(rèn)證，在靜默期間， Authenticator 設(shè)備不進(jìn)行 802.1x 認(rèn)證的相關(guān)處理。缺省情況下，關(guān)閉 quiet-period 定時(shí)器功能。相關(guān)配置可參考命令 display dot1x，dot1x timer?！九e例】# 打開 quiet-period 定時(shí)器。Quidway dot1x quiet-period1.1.9 dot1x retry【命令】dot1x retry max-retry-valueundo dot1x retry【視圖】系統(tǒng)視圖1-9Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章

37、802.1x 配置命令【參數(shù)】max-retry-value：可重復(fù)向接入用戶10。缺省情況下，可重復(fù)向接入用戶認(rèn)證請(qǐng)求幀的最大次數(shù)，取值范圍為 1認(rèn)證請(qǐng)求幀的最大次數(shù)為 3 次。【描述】dot1x retry 命令用來設(shè)置以太網(wǎng)交換機(jī)可重復(fù)向接入用戶認(rèn)證請(qǐng)求幀的最大次數(shù)，undo dot1x retry 命令用來將該最大次數(shù)恢復(fù)為缺省值。如果交換機(jī)初次向用戶則交換機(jī)將再次向用戶認(rèn)證請(qǐng)求幀后，在規(guī)定的時(shí)間里沒有收到用戶的響應(yīng)，該認(rèn)證請(qǐng)求。此命令就是用來設(shè)置以太網(wǎng)交換機(jī)可重復(fù)向接入用戶認(rèn)證請(qǐng)求幀的次數(shù)。取值為 1 時(shí)表示只向用戶一次認(rèn)證請(qǐng)求幀、即如果沒有收到響應(yīng)，不再重復(fù)；取值為 2 時(shí)表示在首

38、次向用戶請(qǐng)求又沒有收到響應(yīng)后將重復(fù)1 次；依此類推。本命令設(shè)置后將作用于所有端口。相關(guān)配置可參考命令 display dot1x?！九e例】# 指示本機(jī)最多向接入用戶9 次認(rèn)證請(qǐng)求幀。Quidway dot1x retry 91.1.10 dot1x supp-proxy-check【命令】dot1x supp-proxy-check logoff | trap interface interface-list undo dot1x supp-proxy-check logoff | trap interface interface-list 【視圖】系統(tǒng)視圖/以太網(wǎng)端口視圖【參數(shù)】logoff

39、：檢測(cè)用戶使用后，切斷用戶連接。trap：檢測(cè)用戶使用后，Trap 報(bào)文。interface interface-list ：以太網(wǎng)端口列表，表示多個(gè)以太網(wǎng)端口，表示方式為interface-list interface-num to interface-num & < 1-10 > 。其中， interface-num 為單個(gè)以太網(wǎng)端口， 可表示為 interface-num = interface-type interface-num | interface-name ，interface-type 為端口類型，interface-num 為端，interface-na

40、me 為端口名，它們各自的含義和取值范圍請(qǐng)參見本書“端口配置”部分令參數(shù)。1-10Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章 802.1x 配置命令【描述】dot1x supp-proxy-check 命令用來設(shè)置交換機(jī)對(duì)通過登錄的用戶的檢測(cè)及接入，undo dot1x supp-proxy-check 命令用來取消交換機(jī)對(duì)通過登錄的用戶的檢測(cè)及相關(guān)的設(shè)置。需要注意的是，該功能的實(shí)現(xiàn)需要802.1X 客戶端程序的配合，即需要通過登錄的用戶需要運(yùn)行802.1X 客戶端程序（該客戶端程序要求版本為 V1.29 或以上）。此命令如果在系統(tǒng)視圖下執(zhí)行，可以作用于 interf

41、ace-list 參數(shù)所指定的某個(gè)端口；如果在以太網(wǎng)端口視圖下執(zhí)行，不能輸入 interface-list 參數(shù)，只能作用于當(dāng)前端口。在系統(tǒng)視圖下開啟全局的用戶檢測(cè)與后，必須再開啟指定端口的用戶檢測(cè)與特性，此特性的配置才能在該端口上生效。相關(guān)配置可參考命令 display dot1x?！九e例】# 設(shè)置端口 Ethernet1/0/1Ethernet1/0/8 檢測(cè)到用戶使用接。后，切斷該用戶的連Quidway dot1x supp-proxy-check logoffQuidway dot1x supp-proxy-check logoff interface Ethernet 1/0/1 t

42、o Ethernet 1/0/8# 設(shè)置端口 Ethernet 1/0/9 檢測(cè)到登錄的用戶使用后，交換機(jī)Trap 報(bào)文。QuidwayQuidwaydot1xdot1xsupp-proxy-checksupp-proxy-checktraptrap interfaceEthernet 1/0/9或QuidwayQuidwaydot1xsupp-proxy-checktrapinterface Ethernet 1/0/9Quidway-Ethernet1/0/9 dot1x supp-proxy-check trap1.1.11 dot1x timer【命令】dot1x timer hand

43、shake-period handshake-period-value | quiet-period quiet-period-value | tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value undo dot1x timer handshake-period | quiet-period | tx-period | supp-timeout| server-timeout 【視圖】系統(tǒng)視圖1-11Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手

44、冊(cè)安全第 1 章 802.1x 配置命令【參數(shù)】tx-period ：傳送超時(shí)定時(shí)器。當(dāng) Authenticator 設(shè)備向 Supplicant 設(shè)備Request/Identity 請(qǐng)求報(bào)文（該報(bào)文用于請(qǐng)求用戶的用戶名，或者用戶名和）后，Authenticator 設(shè)備啟動(dòng)定時(shí)器 tx-period，若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)，Supplicant認(rèn)證應(yīng)答報(bào)文，則 Authenticator 設(shè)備將重發(fā)認(rèn)證請(qǐng)求報(bào)文。設(shè)備未tx-period-value：傳送超時(shí)定時(shí)器設(shè)置的時(shí)長(zhǎng)，取值范圍為 10120， 省情況下，tx-period-value 為 30 秒。supp-timeout：Sup

45、plicant 認(rèn)證超時(shí)定時(shí)器。當(dāng) Authenticator 設(shè)備向 Supplicant為秒。缺設(shè)備了 Reqhallenge 請(qǐng)求報(bào)文（該報(bào)文用于請(qǐng)求 Supplicant 設(shè)備的 MD5加密密文）后，Authenticator 設(shè)備啟動(dòng) supp-timeout 定時(shí)器，若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)，Supplicant 設(shè)備未響應(yīng)，Authenticator 設(shè)備將重發(fā)該報(bào)文。supp-timeout-value：Supplicant 認(rèn)證超時(shí)定時(shí)器設(shè)置的時(shí)長(zhǎng)，取值范圍為 10120， 為秒。缺省情況下，supp-timeout-value 為 30 秒。server-timeout：A

46、uthentication Server 超時(shí)定時(shí)器。若在該定時(shí)器設(shè)置的時(shí)長(zhǎng)內(nèi)，Authentication Server 未響應(yīng)，Authenticator 設(shè)備將重發(fā)認(rèn)證請(qǐng)求報(bào)文。server-timeout-value：RADIUS 服務(wù)器超時(shí)定時(shí)器設(shè)置的時(shí)長(zhǎng)，取值范圍為 100300，為秒。缺省情況下，server-timeout-value 為 100 秒。handshake-period：此定時(shí)器是在用戶認(rèn)證后啟動(dòng)的，系統(tǒng)以此間隔為周期發(fā)送握手請(qǐng)求報(bào)文。如果 dot1x retry 命令配置重試次數(shù)為 N，則系統(tǒng)連續(xù) N 次沒有收到客戶端的響應(yīng)報(bào)文，就認(rèn)為用戶已經(jīng)下線，將用戶置為下

47、線狀態(tài)。handshake-period-value：握手時(shí)間間隔，取值范圍為 11024， 情況下，握手報(bào)文的 時(shí)間間隔為 15 秒。quiet-period：靜默定時(shí)器。對(duì)用戶認(rèn)證失敗以后，Authenticator 設(shè)備需要靜默一段時(shí)間（該時(shí)間由靜默定時(shí)器設(shè)置）后再重新發(fā)起認(rèn)證，在靜默期間，Authenticator 設(shè)備不處理認(rèn)證功能。為秒。缺省quiet-period-value：靜默定時(shí)器設(shè)置的靜默時(shí)長(zhǎng)，取值范圍 10120，缺省情況下，quiet-period-value 為 60 秒。為秒?！久枋觥縟ot1x timer 命令用來配置 802.1x 的各項(xiàng)定時(shí)器參數(shù)，undo

48、dot1x timer 命令用來將指定的定時(shí)器恢復(fù)為缺省值。802.1x 在運(yùn)行時(shí)會(huì)啟動(dòng)很多定時(shí)器以接入用戶（Supplicant）、接入認(rèn)證設(shè)備（Authenticator）以及認(rèn)證服務(wù)器（Authenticator Server）之間進(jìn)行合理、有序的交互。使用此命令可以改變部分定時(shí)器值（另外部分定時(shí)器是不可調(diào)節(jié)的），以調(diào)節(jié)交互進(jìn)程。這在較為特殊或比較惡劣的網(wǎng)絡(luò)環(huán)境下可能是必需的措施。不過，一般情況下，請(qǐng)保持這些定時(shí)器的缺省值。1-12Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 1 章 802.1x 配置命令相關(guān)配置可參考命令 display dot1x。【舉例】#設(shè)置 A

49、uthentication Server 超時(shí)定時(shí)器時(shí)長(zhǎng)為 150 秒。Quidway dot1x timer server-timeout 1501.1.12 reset dot1x statistics【命令】reset dot1x statistics interface interface-list 【視圖】用戶視圖【參數(shù)】interface interface-list ：以太網(wǎng)端口列表，表示多個(gè)以太網(wǎng)端口，表示方式為interface-list interface-num to interface-num & < 1-10 > 。其中， interface-nu

50、m 為單個(gè)以太網(wǎng)端口， 可表示為 interface-num = interface-type interface-num | interface-name ，interface-type 為端口類型，interface-num 為端，interface-name 為端口名，它們各自的含義和取值范圍請(qǐng)參見本書“端口配置”部分令參數(shù)。【描述】reset dot1x statistics 命令用來清除 802.1x 的統(tǒng)計(jì)信息。當(dāng)用戶想刪除 802.1x 原有統(tǒng)計(jì)信息，重新進(jìn)行相關(guān)信息統(tǒng)計(jì)時(shí)，可以使用該命令。在清除原有的統(tǒng)計(jì)信息時(shí)，如果不指定端口類型和端，則清除交換機(jī)上的全局及所有端口的 802.

51、1x 統(tǒng)計(jì)信息；如果指定端口類型和端802.1x 統(tǒng)計(jì)信息。相關(guān)配置可參考命令 display dot1x。，則清除指定端口上的【舉例】# 清除以太網(wǎng)端口 Ethernet 1/0/1 上的 802.1x 統(tǒng)計(jì)信息。<Quidway> reset dot1x statistics interface Ethernet 1/0/11-13Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 2 章 集中式 MAC 地址認(rèn)證配置命令第2章 集中式 MAC 地址認(rèn)證配置命令 說明：在 S3900 系列以太網(wǎng)交換機(jī)中，S3900-EI 系列支持集中式 MAC 地址認(rèn)證特性。2.1

52、集中式MAC 地址認(rèn)證配置命令2.1.1 debugging mac-authentication event【命令】debugging mac-authentication eventundo debugging mac-authentication event【視圖】用戶視圖【參數(shù)】無【描述】debugging mac-authentication event 命令用來打開集中式MAC 地址認(rèn)證的調(diào)試信息開關(guān)；undo debugging mac-authentication event 命令用來關(guān)閉集中式MAC 地址認(rèn)證的調(diào)試信息開關(guān)?！九e例】# 打開集中式 MAC 地址認(rèn)證的調(diào)試信息開

53、關(guān)。<Quidway> debugging mac-authentication event2.1.2 display mac-authentication【命令】display mac-authentication interface interface-list 【視圖】任意視圖2-1Quidway S3900 系列以太網(wǎng)交換機(jī) 命令手冊(cè)安全第 2 章 集中式 MAC 地址認(rèn)證配置命令【參數(shù)】interface interface-list ：以太網(wǎng)端口列表，表示多個(gè)以太網(wǎng)端口，表示方式為interface-list interface-num to interface-num

54、 & < 1-10 > 。其中， interface-num 為單個(gè)以太網(wǎng)端口， 可表示為 interface-num = interface-type interface-num | interface-name ，interface-type 為端口類型，interface-num 為端，interface-name 為端口名，它們各自的含義和取值范圍請(qǐng)參見本書“端口配置”部分令參數(shù)?！久枋觥縟isplay mac-authentication 命令用來顯示集中式 MAC 地址認(rèn)證的全局信息，包括是否使能集中式 MAC 地址認(rèn)證特性、當(dāng)前各個(gè)定時(shí)器的值、于靜默期的 MAC 地址以及各個(gè)接口的 MAC 認(rèn)證情況。用戶個(gè)數(shù)、處【舉例】# 顯示集中式 MAC 地址認(rèn)證的全局信息。<Quidway> display mac-authentication mac address authentication is Enabled.authentication mode is