华为S3000系列命令手册之08安全命令1

资源描述

Tags: 华为 s3000 系列命令安全命令Quidway S3000-EI 系列以太网交换机命令手册安全目录Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令第 1 章 802.1x 配置命令1.1 802.1x 配置命令1.1.1 display dot1x命令display dot1x sessions | statistics interface interface-list 视图任意视图参数sessi ons 显示802.1x 的会话连接信息 statistics 显示802.1x 的相关统计信息interface 显示指定端口的802.1x 相关信息interface-list 以太网端口列表表示多个以太网端口表示方式为 interface-list interface-num to interface-num & 其中 interface-num 为单个以太网端口可表示为interface-num = interface-type interface-num | interface-name interface-type 为端口类型interface-num 为端口号 interface-name 为端口名它们各自的含义和取值范围请参见本书端口配置部分的命令参数描述display dot1x 命令用来显示802.1x 的相关信息包括配置信息运行情况会话连接信息以及相关统计信息等如果在执行本命令的时候不指定端口系统将显示交换机所有 802.1x 相关信息根据该命令的输出信息可以帮助用户确认当前的 802.1x 配置是否正确并进一步有助于802.1x 故障的诊断与排除相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x max-user, dot1x port-control, dot1x port-method, dot1x timer举例# 显示802.1x 的配置信息 display dot1xEquipment 802.1X protocol is enabled CHAP authentication is enabled1-1Quidway S3000-EI 系列以太网交换机命令手册安全第 1章 802.1x 配置命令DHCP-launch is disabled Dynamic-binding-user is disabled Proxy trap checker is disabled Proxy logoff checker is disabledConfigure: Transmit Period 30 s, Commit Period 15 s ReAuth Period 3600 sQuiet Period 60 s, Value of Quiet Period Timer is disabledSupp Timeout 30 s, Value of Server Timeout 000100 sThe maximal retransmitting times 3 Handshake period 15 sTotal maximum on-line user number is 1024Total current on-line user number is 0Ethernet0/1 is link-up802.1X protocol is disabledProxy trap checker is disabledProxy logoff checker is disabled Version-Check is disabledThe port is a(n) authenticatorAuthenticate Mode is autoPort Control Type is Mac-basedReAuthenticate is disabledMax on-line user number is 256以下略表 1-1 802.1x 配置信息描述表域名描述Equipment 802.1X protocol is enabled 交换机 802.1x 特性已经开启CHAP authentication is enabled 使能 CHAP 认证DHCP-launch is disabled 在 DHCP 环境中如果用户私自配置静态 IP 交换机触发对该用户的身份认证Dynamic-binding-user is disabled 是否开启动态用户绑定功能enable 表示开启 disable表示关闭Proxy trap checker is disabled 是否检测通过代理登录用户的接入 disable 表示不检测enable表示检测用户使用代理后发送Trap报文Proxy logoff checker is disabled 是否检测通过代理登录用户的接入 disable 表示不检测enable表示检测用户使用代理后切断用户连接Transmit Period 发送间隔定时器1-2Quidway S3000-EI 系列以太网交换机命令手册安全第 1章 802.1x 配置命令域名描述Handshake Period 802.1x 的握手报文的发送时间间隔ReAuth Period 802.1x 重认证定时器Quiet Period 静默定时器设置的静默时长Quiet Period Timer is disabled 静默定时器状态 disable 表示处于关闭状态 enable 表示处于开启状态Supp Timeout Supplicant 认证超时定时器Server Timeout Authentication Server 超时定时器The maximal retransmitting times 交换机可重复向接入用户发送认证请求帧的次数Total maximum on-line user number 最多可接入用户数Total current on-line user number 当前在线接入用户数Ethernet0/1 is link-up 端口 Ethernet 0/1 的状态为 Up 802.1X protocol is disabled 该端口未使能 802.1X 协议Proxy trap checker is disabled 该端口是否检测通过代理登录用户的接入 disable 表示不检测 enable 表示检测用户使用代理后发送 Trap 报文Proxy logoff checker is disabled 该端口是否检测通过代理登录用户的接入 disable 表示不检测 enable 表示检测用户使用代理后切断用户连接Version-Check is disabled 端口是否开启客户端版本检测功能disable 表示关闭enable 表示开启The port is a(n) authenticator 该端口担当 Authenticator 作用Authenticate Mode is auto 端口接入控制的模式为 autoPort Control Type is Mac-based 端口接入控制方式为 Mac-based 即基于 MAC 地址对接入用户进行认证ReAuthenticate is disabled 端口是否开启 802.1x 重认证功能 disable 表示关闭 enable 表示开启Max on-line user number 本端口最多可容纳的接入用户数略1.1.2 dot1x 命令dot1x interface interface-list undo dot1x interface interface-list 视图1-3Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令系统视图/以太网端口视图参数interface interface-list以太网端口列表表示多个以太网端口表示方式为 interface-list interface-num to interface-num & 其中 interface-num 为单个以太网端口可表示为 interface-num = interface-type interface-num | interface-name interface-type 为端口类型 interface-num 为端口号 interface-name 为端口名它们各自的含义和取值范围请参见本书端口配置部分的命令参数描述dot1x 命令用来开启指定端口上或全局即当前设备的 802.1x 特性undo dot1x 命令用来关闭指定端口上或全局的 802.1x 特性缺省情况下所有端口及全局的802.1x 特性都处于关闭状态在系统视图下使用该命令时如果不输入 interface-list 参数则表示开启全局的802.1x 特性如果指定了 interface-list 则表示开启指定端口的802.1x 特性在以太网端口视图下使用该命令时不能输入 interface-list 参数仅打开当前端口的802.1x 特性802.1x 特性启动前后均可以使用配置命令来配置全局或端口的802.1x 特性参数如果在开启全局802.1x 特性前没有配置全局或端口的其它802.1x 特性参数则这些参数在运行时均为缺省值全局802.1x 特性开启后必须再开启端口的802.1x 特性802.1x 的配置才能在端口上生效如果端口启动了 802.1x 则不能配置该端口的最大 MAC 地址学习个数通过命令 mac-address max-mac-count 配置反之如果端口配置了最大 MAC 地址学习个数则禁止在该端口上启动802.1x相关配置可参考命令display dot1x举例# 开启以太网端口Ethernet 0/1 上的802.1x 特性Quidway dot1x interface Ethernet 0/1# 开启全局的802.1x 特性Quidway dot1x1.1.3 dot1x authentication-method 命令dot1x authentication-method chap | pap | eap 1-4Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令undo dot1x authentication-method视图系统视图参数chap 采用CHAP 认证方式 pap 采用PAP 认证方式eap采用EAP 认证方式描述dot1x authentication-method 命令用来设置802.1x 用户的认证方法undo dot1xauthentication-method 命令用来恢复802.1x 用户的缺省认证方法缺省情况下802.1x 用户认证方法为CHAP 认证PAP Password Authentication Protocol 是一种两次握手认证协议它采用明文方式传送口令CHAP Challenge Handshake Authentication Protocol 是一种三次握手认证协议它只在网络上传输用户名而并不传输口令相比之下CHAP 认证保密性较好更为安全可靠EAP 认证功能意味着交换机直接把802.1x 用户的认证信息以EAP 报文发送给RADIUS 服务器完成认证而无须将EAP 报文转换成标准的RADIUS 报文后再发给RADIUS 服务器来完成认证如果要采用PEAP EAP-TLS 或者EAP-MD5 这三种认证方法之一只需启动EAP 认证即可相关配置可参考命令display dot1x举例# 设置交换机采用PAP 认证Quidway dot1x authentication-method pap1.1.4 dot1x dhcp-launch命令dot1x dhcp-launch undo dot1x dhcp-launch视图系统视图参数1-5Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令无描述dot1x dhcp-launch 命令用来在DHCP 环境中如果用户私自配置静态IP 设置802.1x 不允许以太网交换机触发对该用户的身份认证 undo dot1x dhcp-launch 命令用来设置允许交换机触发对该用户的身份认证缺省情况下用户私自配置静态IP 交换机可以触发对其的身份认证相关配置可参考命令display dot1x举例# 设置在DHCP 环境中用户私自配置静态IP 的情况下交换机不触发对其的身份认证Quidway dot1x dhcp-launch1.1.5 dot1x dynamic-binding-user enable 命令dot1x dynamic-binding-user enableundo dot1x dynamic-binding-user enable视图系统视图参数无描述dot1x dynamic-binding-user enable 用来开启802.1x 动态用户绑定功能undodot1x dynamic-binding-user enable 用来关闭802.1x 动态用户绑定功能缺省情况下802.1x 动态用户绑定功能处于关闭状态802.1x 动态用户绑定功能是指当802.1x 用户通过认证后交换机对该用户的IP地址MAC 地址接入端口以及接入端口所属的VLAN 进行动态绑定此后交换机只允许与这四项都匹配的报文通过如果在用户上网过程中交换机发现用户的报文有任何一项发生了变化都会强制该用户下线配置时请注意(1) 如果用户采用动态获取IP 地址的方式动态用户绑定功能需要与DHCPSnooping 特性配合.在交换机上全局开启DHCP Snooping 1-6Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令z在交换机与DHCP 服务器相连的端口上配置信任端口(2)如果用户采用静态IP 地址方式需要使用华为公司的802.1x 客户端并在802.1x 创建连接 -设置特殊属性窗口中的用户选项处选中上传 IP 地址复选框相关配置可参考命令 dot1x举例# 开启交换机动态用户绑定功能视图系统视图 /以太网端口视图参数vlan-id Guest VLAN 的VLAN ID 取值范围为1 4094interface_list 使能 Guest VLAN 的端口列表 interface_list = interface_type interface_num | interface_name to interface_type interface_num | interface_name & 其中 interface_type 为端口类型 interface_num 为端口号interface_name 为端口名它们各自的含义和取值范围请参见本书端口部分的命令参数此处不再赘述关键字to 之后的端口号要大于或等于 to 之前的端口号命令中& 表示前面的参数最多可以重复输入10 次描述dot1x guest-vlan 命令用来开启指定端口的 Guest VLAN 功能undo dot1x guest-vlan 命令用来关闭Guest VLAN 功能在系统视图下使用该命令时如果不输入 interface-list 参数则表示开启所有端口的Guest VLAN 功能如果指定了 interface-list 则表示开启指定端口的Guest VLAN 功能在以太网端口视图下使用该命令时不能输入 interface-list 参数仅打开当前端口的Guest VLAN 功能1-7Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令相关配置可参考命令 name, vlan-assignment-mode举例# 设置认证方式为基于端口的方式Quidway dot1x port-method portbased# 开启所有端口的Guest VLAN 功能Quidway dot1x guest-vlan 11.1.7 dot1x max-user 命令dot1x max-user user-number interface interface-list undo dot1x max-user interface interface-list 视图系统视图 /以太网端口视图参数user-number 端口可容纳接入用户数量的最大值取值范围为 1 256 缺省情况下端口上可容纳接入用户数量的最大值为256interface interface-list其中以太网端口列表表示多个以太网端口表示方式为 interface-list interface-num to interface-num & interface-num 为单个以太网端口可表示为interface-num = interface-typeinterface-num | interface-name interface-type 为端口类型 interface-num 为端口号interface-name 为端口名它们各自的含义和取值范围请参见本书端口配置部分的命令参数描述dot1x max-user 命令用来设置802.1x 在指定端口上可容纳接入用户数量的最大值undo dot1x max-user 命令用来恢复该值的缺省值在系统视图下执行该命令可以作用于 interface-list 参数所指定的某个端口如果不指定任何端口则将作用于所有端口在以太网端口视图下执行该命令时不能输入 interface-list 参数只能作用于当前端口相关配置可参考命令display dot1x举例# 设置端口Ethernet 0/1 最多可容纳32 个接入用户Quidway dot1x max-user 32 interface Ethernet 0/11-8Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令1.1.8 dot1x port-control 命令dot1x port-control auto | authorized-force | unauthorized-force interface interface-list undo dot1x port-control interface interface-list 视图系统视图/以太网端口视图参数auto 自动识别模式指示端口初始状态为非授权状态仅允许EAPoL 报文收发不允许用户访问网络资源如果认证流程通过则端口切换到授权状态允许用户访问网络资源这也是最常见的情况authorized-force 强制授权模式指示端口始终处于授权状态允许用户不经认证授权即可访问网络资源unauthorized-force 强制非授权模式指示端口始终处于非授权状态不允许用户访问网络资源interface interface-list以太网端口列表表示多个以太网端口表示方式为interface-list interface-num to interface-num & 其中 interface-num 为单个以太网端口可表示为 interface-num = interface-typeinterface-num | interface-name interface-type 为端口类型 interface-num 为端口号interface-name 为端口名它们各自的含义和取值范围请参见本书端口配置部分的命令参数描述dot1x port-control 命令用来设置802.1x 在指定端口上进行接入控制的模式 undodot1x port-control 命令用来恢复缺省的接入控制模式缺省情况下接入控制模式为autodot1x port-control 命令用来设置802.1x 在指定端口上进行接入控制的模式即端口处于什么状态在系统视图下执行该命令可以作用于 interface-list 参数所指定的某个端口如果不指定任何端口则将作用于所有端口在以太网端口视图下执行该命令时不能输入interface-list 参数只能作用于当前端口相关配置可参考命令display dot1x举例# 指定端口Ethernet 0/1 处于强制非受控状态Quidway dot1x port-control unauthorized-force interface Ethernet 0/1 1-9Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令1.1.9 dot1x port-method 命令dot1x port-method macbased | portbased interface interface-list undo dot1x port-method interface interface-list 视图系统视图/以太网端口视图参数macbased 指示802.1x 认证系统基于MAC 地址对接入用户进行认证portbased 指示802.1x 认证系统基于端口号对接入用户进行认证 interface interface-list以太网端口列表表示多个以太网端口表示方式为 interface-list interface-num to interface-num & 其中 interface-num 为单个以太网端口可表示为 interface-num = interface-type interface-num | interface-name interface-type 为端口类型 interface-num 为端口号 interface-name 为端口名它们各自的含义和取值范围请参见本书端口配置部分的命令参数缺省情况下接入控制方式为macbased描述dot1x port-method 命令用来设置802.1x 在指定端口上进行接入控制的方式 undodot1x port-method 命令用来恢复缺省的接入控制方式此命令用来设置802.1x 在指定端口上进行接入控制的方式即基于什么来对用户进行认证当采用macbased方式时该端口下的所有接入用户均需要单独认证当某个用户下线时也只有该用户无法使用网络当采用portbased 方式时只要该端口下的第一个用户认证成功后其他接入用户无须认证就可使用网络资源但是当第一个用户下线后其他用户也会被拒绝使用网络在系统视图下执行该命令可以作用于interface-list 参数所指定的某个端口如果不指定任何端口则将作用于所有端口在以太网端口视图下执行该命令时不能输入 interface-list 参数只能作用于当前端口相关配置可参考命令display dot1x举例# 指定端口Ethernet 0/1 基于端口号对接入用户进行认证Quidway dot1x port-method portbased interface Ethernet 0/11-10Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令1.1.10 dot1x quiet-period命令dot1x quiet-periodundo dot1x quiet-period视图系统视图参数描述dot1x quiet-period 命令用来开启 quiet-period 定时器功能undo dot1xquiet-period 命令用来关闭该定时器功能当802.1x 用户认证失败以后Authenticator 设备如Quidway 系列以太网交换机需要静默一段时间该时间由静默定时器设置后再重新发起认证在静默期间 Authenticator 设备不进行802.1x 认证的相关处理缺省情况下关闭 quiet-period 定时器功能相关配置可参考命令 display dot1x dot1x timer举例# 打开 quiet-period 定时器Quidway dot1x quiet-period1.1.11 dot1x re-authenticate 命令dot1x re-authenticate interface interface-list undo dot1x re-authenticate interface interface-list 视图系统视图/以太网端口视图参数interface interface-list以太网端口列表表示多个以太网端口其中表示方式为interface-list interface-num to interface-num & interface-num 为单个以太网端口可表示为 interface-num = interface-type1-11Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令interface-num | interface-name 其中 interface-type 为端口类型 interface-num 为端口号interface-name 为端口名描述dot1x re-authenticate 用来开启特定端口或设备所有 Authenticator 端口的802.1X 重认证特性undo dot1x re-authenticate 用来关闭特定端口或设备所有 Authenticator 端口的802.1X 重认证特性缺省情况下所有端口的802.1X 重认证特性都处于关闭状态在系统视图下使用该命令时如果不输入 interface-list 参数则表示开启所有端口的802.1X 重认证特性如果指定了 interface-list 参数则表示开启指定端口的802.1X 重认证特性以太网端口视图下使用该命令时不能输入 interface-list 参数仅打开当前端口的802.1X 重认证特性在配置端口802.1X 重认证特性之前必须开启全局802.1X 特性和该端口的802.1x 特性举例# 在端口Ethernet 0/1 上启动 802.1X 重认证功能Quidway-Ethernet0/1 dot1x re-authenticate Re-authentication is enabled on port Ethernet0/11.1.12 dot1x retry命令dot1x retry max-retry-valueundo dot1x retry视图系统视图参数max-retry-value 可重复向接入用户发送认证请求帧的最大次数取值范围为110 缺省情况下可重复向接入用户发送认证请求帧的最大次数为3次描述dot1x retry 命令用来设置以太网交换机可重复向接入用户发送认证请求帧的最大次数undo dot1x retry 命令用来将该最大发送次数恢复为缺省值如果交换机初次向用户发送认证请求帧后在规定的时间里没有收到用户的响应则交换机将再次向用户发送该认证请求此命令就是用来设置以太网交换机可重复向接入用户发送认证请求帧的次数取值为1 时表示只允许向用户发送一次认证请1-12Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令求帧即如果没有收到响应不再重复发送取值为2 时表示在首次向用户发送请求又没有收到响应后将重复发送1 次依次类推本命令设置后将作用于所有端口相关配置可参考命令display dot1x# 指示本机最多向接入用户发送9 次认证请求帧Quidway dot1x retry 91.1.13 dot1x retry-version-max 命令dot1x retry-version-max max-retry-version-value undo dot1x retry-version-max视图系统视图参数max-retry-version-value 重复向接入用户发送版本请求帧的最大次数取值范围为1 10 缺省为3次描述dot1x retry-version-max 命令用来设置以太网交换机可重复向接入用户发送版本请求帧的最大次数undo dot1x retry-version-max 命令用来将该最大发送次数恢复为缺省值当交换机初次向用户发送客户端版本请求帧后如果在一定时间由版本验证的超时定时器指定内没有收到客户端的响应交换机会再次向客户端发送版本请求当发送次数达到由本配置任务配置的最大次数后仍没有收到响应交换机不再对客户端的版本进行验证而继续进行后续的认证过程本命令设置后将作用于所有启动版本验证功能的端口相关配置可参考命令display dot1x dot1x timer# 配置交换机最多向接入用户发送6 次版本请求帧Quidway dot1x retry-version-max 61.1.14 dot1x supp-proxy-check 命令1-13Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令dot1x supp-proxy-check logoff | trap interface interface-list undo dot1x supp-proxy-check logoff | trap interface interface-list 视图系统视图/以太网端口视图参数logoff 检测用户使用代理后切断用户连接 trap 检测用户使用代理后发送Trap 报文interface interface-list以太网端口列表表示多个以太网端口表示方式为interface-list interface-num to interface-num & 其中 interface-num 为单个以太网端口可表示为interface-num = interface-typeinterface-num | interface-name interface-type 为端口类型 interface-num 为端口号interface-name 为端口名它们各自的含义和取值范围请参见本书端口配置部分的命令参数描述dot1x supp-proxy-check 命令用来设置交换机对通过代理登录的用户的检测及接入控制undo dot1x supp-proxy-check 命令用来取消交换机对通过代理登录的用户的检测及相关控制的设置需要注意的是该功能的实现需要华为802.1X 客户端程序的配合即需要通过代理登录的用户需要运行华为802.1X 客户端程序该客户端程序要求版本为V1.29 或以上此命令如果在系统视图下执行可以作用于 interface-list 参数所指定的某个端口如果在以太网端口视图下执行不能输入 interface-list 参数只能作用于当前端口在系统视图下开启全局的代理用户检测与控制后必须再开启指定端口的代理用户检测与控制特性此特性的配置才能在该端口上生效相关配置可参考命令 display dot1x举例# 设置端口Ethernet0/1 Ethernet0/8 检测到用户使用代理后切断该用户的连接Quidway dot1x supp-proxy-check logoffQuidway dot1x supp-proxy-check logoff interface Ethernet 0/1 to Ethernet 0/8# 设置端口Ethernet 0/9 检测到登录的用户使用代理后交换机发送Trap 报文Quidway dot1x supp-proxy-check trapQuidway dot1x supp-proxy-check trap interface Ethernet 0/9或1-14Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令Quidway dot1x supp-proxy-check trapQuidway interface Ethernet 0/9Quidway-Ethernet0/9 dot1x supp-proxy-check trap1.1.15 dot1x timer命令dot1x timer handshake-period handshake-period-value | reauth-period reauth-period-value | quiet-period quiet-period-value | tx-period tx-period-value | supp-timeout supp-timeout-value | server-timeout server-timeout-value | ver-period ver-period-value undo dot1x timer handshake-period | reauth-period | quiet-period | tx-period| supp-timeout | server-timeout | ver-period 视图系统视图参数 tx-period传送超时定时器当Authenticator 设备向Supplicant 设备发送Request/Identity 请求报文该报文用于请求用户的用户名或者用户名和密码Authenticator 设备启动定时器tx-period 若在该定时器设置的时长内Supplicant 设备未成功发送认证应答报文则Authenticator 设备将重发认证请求报文后tx-period-value 传送超时定时器设置的时长取值范围为10 120 单位为秒缺省情况下 tx-period-value 为30 秒supp-timeout请求报文Supplicant 认证超时定时器当Authenticator 设备向Supplicant设备发送了Request/Challenge 该报文用于请求Supplicant 设备的MD5加密密文后Authenticator 设备启动 supp-timeout 定时器若在该定时器设置的时长内Supplicant 设备未成功响应Authenticator 设备将重发该报文supp-timeout-value Supplicant 认证超时定时器设置的时长取值范围为 10 120单位为秒缺省情况下 supp-timeout-value 为30 秒server-timeout Authentication Server 超时定时器若在该定时器设置的时长内Authentication Server 未成功响应Authenticator 设备将重发认证请求报文server-timeout-value RADIUS 服务器超时定时器设置的时长取值范围为 100300 单位为秒缺省情况下 server-timeout-value 为100 秒handshake-period 此定时器是在用户认证成功后启动的系统以此间隔为周期发送握手请求报文如果dot1x retry 命令配置重试次数为N 则系统连续N 次没有收到客户端的响应报文就认为用户已经下线将用户置为下线状态1-15Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令handshake-period-value 握手时间间隔取值范围为1 1024 单位为秒缺省情况下握手报文的发送时间间隔为15 秒reauth-period 重认证超时定时器在该定时器设置的时长内 Supplicant 设备会发起802.1X 重认证reauth-period-value 重认证超时定时器设置的时长取值范围为1 86400 单位为秒缺省值为3600 秒 quiet-period 段时间静默定时器对用户认证失败以后 Authenticator 设备需要静默一该时间由静默定时器设置后再重新发起认证在静默期间 Authenticator 设备不处理认证功能quiet-period-value 静默定时器设置的静默时长取值范围10 120 单位为秒缺省情况下quiet-period-value 为60 秒ver-period 客户端版本请求超时定时器若在该定时器设置的时长内 Supplicant设备未成功发送版本应答报文则Authenticator 设备将重发版本请求报文ver-period-value 版本请求超时定时器设置的时长取值范围为 1 30 单位为秒缺省值为1秒描述dot1x timer 命令用来配置802.1x 的各项定时器参数 undo dot1x timer 命令用来将指定的定时器恢复为缺省值802.1x 在运行时会启动很多定时器以控制接入用户 Supplicant 接入认证设备Authenticator 以及认证服务器Authenticator Server 之间进行合理有序的交互使用此命令可以改变部分定时器值另外部分定时器是不可调节的以调节交互进程这在较为特殊或比较恶劣的网络环境下可能是必需的措施不过般情况下请保持这些定时器的缺省值相关配置可参考命令 display dot1x举例#设置Authentication Server 超时定时器时长为150 秒Quidway dot1x timer server-timeout 1501.1.16 dot1x version-check命令dot1x version-check interface interface-list undo dot1x version-check interface interface-list 视图系统视图 /以太网端口视图1-16Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令参数 interface interface-list其中以太网端口列表表示多个以太网端口表示方式为 interface-list interface-num to interface-num & interface-num 为单个以太网端口可表示为 interface-num = interface-type interface-num | interface-name 其中 interface-type 为端口类型 interface-num 为端口号 interface-name 为端口名描述dot1x version-check 用来开启指定端口上的802.1X 客户端版本检测特性undodot1x version-check 用来关闭指定端口上对802.1X 客户端的版本检测特性缺省情况下所有端口的802.1X 客户端版本检测特性都处于关闭状态在系统视图下使用该命令时如果不输入 interface-list 参数则表示开启所有端口的802.1X 客户端版本检测特性如果指定了 interface-list 参数则表示开启指定端口的802.1X 客户端版本检测特性以太网端口视图下使用该命令时不能输入 interface-list 参数仅打开当前端口的802.1X 版本检测特性举例# 配置端口Ethernet0/1 在接收到认证报文时检测802.1X 客户端的版本Quidway-Ethernet0/1 dot1x version-check1.1.17 reset dot1x statistics命令reset dot1x statistics interface interface-list 视图用户视图参数interface interface-list以太网端口列表表示多个以太网端口表示方式为interface-list interface-num to interface-num & 其中 interface-num 为单个以太网端口可表示为interface-num = interface-typeinterface-num | interface-name interface-type 为端口类型 interface-num 为端口号interface-name 为端口名它们各自的含义和取值范围请参见本书端口配置部分的命令参数描述reset dot1x statistics 命令用来清除802.1x 的统计信息当用户想删除802.1x 原有统计信息重新进行相关信息统计时可以使用该命令1-17Quidway S3000-EI 系列以太网交换机命令手册安全第1章802.1x 配置命令举例在清除原有的统计信息时如果不指定端口类型和端口号则清除交换机上的全局及所有端口的802.1x 统计信息如果指定端口类型和端口号则清除指定端口上的802.1x 统计信息相关配置可参考命令display dot1x# 清除以太网端口Ethernet 0/1 上的802.1x 统计信息 reset dot1x statistics interface Ethernet 0/11-18Quidway S3000-EI 系列以太网交换机命令手册安全第2 章 AAA 和RADIUS 协议配置命令第 2 章 AAA 和 RADIUS 协议配置命令2.1 AAA 配置命令2.1.1 access-limit命令access-limit disable | enable max-user-number undo access-limit视图ISP 域视图参数disable 表示不对当前ISP 域可容纳的接入用户数作限制 enable max-user-number 指示当前ISP 域可容纳接入用户数的最大值取值范围为1 1024描述access-limit 命令用来指定当前ISP 域可容纳接入用户数的最大值undoaccess-limit 命令用来恢复缺省设置缺省情况下不对当前ISP 域可容纳的接入用户数作限制由于接入用户之间会发生资源的争用因此适当地配置该值可以使属于当前 ISP 域的用户获得可靠的性能保障举例# 指定ISP 域最多可容纳500 个接入用户Quidway-isp- access-limit enable 5002.1.2 attribute 命令 attribute ip ip-address | mac mac-address | idle-cut second | access-limit max-user-number | vlan vlanid | location nas-ip ip-address port portnum | port portnum * undo attribute ip | mac | idle-cut | access-limit | vlan | location * 2-1Quidway S3000-EI 系列以太网交换机命令手册安全第2 章 AAA 和RADIUS 协议配置命令视图本地用户视图参数ip 指定用户的IP 地址mac 指定用户的MAC 地址其中mac-address为点分十六进制格式禁止本地用户启用闲置切断功能即形如X-X-X 的样式idle-cut second 允许 /闲置切断的具体数据则取决于用户所在ISP 域下的配置second 为设定的闲置切断时间取值范围607200 单位为秒access-limit max-user-number 指定可以用当

展开阅读全文

华为S3000系列命令手册之08安全命令1

最新文档