08-安全命令
Quidway S2000系列以太网交换机命令手册
安全目录
目录
第1章 802.1x配置命令.........................................................................................................1-1
1.1 80
2.1x配置命令.................................................................................................................1-1
1.1.1 display dot1x...........................................................................................................1-1
1.1.2 dot1x........................................................................................................................1-3
1.1.3 dot1x authentication-method...................................................................................1-5
1.1.4 dot1x dhcp-launch...................................................................................................1-6
1.1.5 dot1x max-user........................................................................................................1-6
1.1.6 dot1x port-control....................................................................................................1-7
1.1.7 dot1x port-method...................................................................................................1-9
1.1.8 dot1x quiet-period.................................................................................................1-10
1.1.9 dot1x retry.............................................................................................................1-11
1.1.10 dot1x supp-proxy-check......................................................................................1-11
1.1.11 dot1x timer...........................................................................................................1-13
1.1.12 dot1x timer handshake-period.............................................................................1-14
1.1.13 reset dot1x statistics............................................................................................1-15第2章 AAA和RADIUS协议配置命令..................................................................................2-1
2.1 AAA配置命令....................................................................................................................2-1
2.1.1 access-limit..............................................................................................................2-1
2.1.2 attribute...................................................................................................................2-1
2.1.3 cut connection.........................................................................................................2-3
2.1.4 display connection...................................................................................................2-4
2.1.5 display domain........................................................................................................2-5
2.1.6 display local-user.....................................................................................................2-7
2.1.7 domain.....................................................................................................................2-8
2.1.8 idle-cut...................................................................................................................2-10
2.1.9 local-user...............................................................................................................2-11
2.1.10 local-user password-display-mode......................................................................2-12
2.1.11 password.............................................................................................................2-13
2.1.12 radius-scheme.....................................................................................................2-13
2.1.13 service-type.........................................................................................................2-14
2.1.14 state.....................................................................................................................2-15
2.2 RADIUS协议配置命令.....................................................................................................2-16
2.2.1 accounting optional...............................................................................................2-16
2.2.2 data-flow-format....................................................................................................2-17
2.2.3 display local-server statistics.................................................................................2-18
2.2.4 display radius........................................................................................................2-19
2.2.5 display radius statistics.........................................................................................2-20
2.2.6 display stop-accounting-buffer..............................................................................2-22
2.2.7 key.........................................................................................................................2-23
目录
Quidway S2000系列以太网交换机命令手册
安全
2.2.8 local-server............................................................................................................2-25 2.2.9 primary accounting................................................................................................2-25 2.2.10 primary authentication.........................................................................................2-26 2.2.11 radius scheme.....................................................................................................2-27 2.2.12 reset stop-accounting-buffer...............................................................................2-28 2.2.13 retry.....................................................................................................................2-30 2.2.14 retry realtime-accounting.....................................................................................2-31 2.2.15 retry stop-accounting...........................................................................................2-32 2.2.16 secondary accounting.........................................................................................2-33 2.2.17 secondary authentication....................................................................................2-33 2.2.18 server-type..........................................................................................................2-34 2.2.19 state.....................................................................................................................2-35 2.2.20 stop-accounting-buffer enable.............................................................................2-36 2.2.21 timer....................................................................................................................2-37 2.2.22 timer realtime-accounting....................................................................................2-38 2.2.23 user-name-format................................................................................................2-39
第3章 HABP配置命令..........................................................................................................3-1
3.1 HABP命令.........................................................................................................................3-1
3.1.1 display debugging habp..........................................................................................3-1
3.1.2 display habp............................................................................................................3-1
3.1.3 display habp table...................................................................................................3-2
3.1.4 display habp traffic..................................................................................................3-3
3.1.5 habp enable.............................................................................................................3-4
3.1.6 habp server vlan......................................................................................................3-5
3.1.7 habp timer...............................................................................................................3-5
Quidway S2000系列以太网交换机命令手册
安全第1章 802.1x配置命令第1章 802.1x配置命令
1.1 80
2.1x配置命令
1.1.1 display dot1x
【命令】
display dot1x [ sessions | statistics ] [ interface interface-list ]
【视图】
所有视图
【参数】
sessions:显示802.1x的会话连接信息。
statistics:显示802.1x的相关统计信息。
interface:显示指定端口的802.1x相关信息。
interface-list:以太网端口列表,表示多个以太网端口,表示方式为
interface-list= { interface-num [ to interface-num ] } & < 1-10 >。其中,
interface-num为单个以太网端口,可表示为interface-num = { interface-type
interface-num | interface-name},其中interface-type为端口类型,
interface-num为端口号,interface-name为端口名,它们各自的含义和取值
范围请参见本书“端口配置”部分的命令参数。
【描述】
display dot1x命令用来显示802.1x的相关信息,包括配置信息、运行情况
(会话连接信息)以及相关统计信息等。
缺省情况下,显示802.1x在各端口的所有相关信息。
可以使用此命令来显示指定端口上的802.1x配置、状态或统计信息;如果
在执行本命令的时候不指定端口,系统将显示交换机所有802.1x相关信息,
例如:所有端口的802.1x配置情况、802.1x的会话连接信息、802.1x的数
据统计信息等。根据该命令的输出信息,可以帮助用户确认当前的802.1x
配置是否正确,并进一步有助于802.1x故障的诊断与排除。
第1章 802.1x配置命令Quidway S2000系列以太网交换机命令手册
安全
相关配置可参考命令reset dot1x statistics, dot1x, dot1x retry, dot1x
max-user, dot1x port-control,dot1x port-method, dot1x timer。
【举例】
# 显示802.1x的配置信息。
[Quidway] display dot1x
Equipment 802.1X protocol is disabled
CHAP authentication is enabled
DHCP-launch is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
Configure: Transmit Period 000030 s, Commit Period 000015 s
Quiet Period 000060 s, Value of Quiet Period Timer is
disabled
Supp Timeout 000030 s, Value of Server Timeout 000100 s
The maximal retransmitting times 000003
Total maximum on-line user number is 512
Total current on-line user number is 0
Ethernet0/1 is link-down
802.1X protocol is disabled
Proxy trap checker is disabled
Proxy logoff checker is disabled
The port is a(n) authenticator
Authenticate Mode is auto
Port Control Type is Mac-based
Max on-line user number is 64
……(以下略)
Quidway S2000系列以太网交换机命令手册
安全第1章 802.1x配置命令
表1-1802.1x配置信息描述表
域名描述
Equipment 802.1X protocol is enabled交换机802.1x特性已经开启
DHCP-launch is disabled 交换机不允许DHCP触发对接入用户的身份认证
EAP-relay is enabled 交换机EAP中继功能打开
Proxy trap checker is disabled 交换机禁止通过代理登录用户的接入 Proxy logoff checker is disabled 交换机禁止通过代理登录用户的接入 Transmit Period 发送间隔定时器
Commit Period 握手周期定时器
Retry 以太网交换机可重复向接入用户发送认证请求帧的次数
Quiet Period quiet-period命令设置的时长
Quiet Period Timer is disable quiet-period定时器处于关闭状态Supp Timeout supp-timeout命令设置的时长Server Timeout server-timeout命令设置的时长Total maximum on-line user number 最多可接入用户数
Total current on-line user number 当前在线接入用户数
Ethernet0/1 is link-down 端口Ethernet 0/1的状态为down The port is a(n) authenticator 该端口担当Authenticator作用Proxy trap checker is disabled
Proxy logoff checker is disabled
该端口禁止通过代理登录用户的接入Authenticate Mode is auto 端口接入控制的模式为auto
Port Control Type is Mac-based 端口接入控制方式为Mac-based,即基于MAC地址对接入用户进行认证
Max on-line user number 本端口最多可容纳的接入用户数
… …
1.1.2 dot1x
【命令】
dot1x[ interface interface-list ]
undo dot1x[ interface interface-list ]
第1章 802.1x配置命令Quidway S2000系列以太网交换机命令手册
安全
【视图】
系统视图
以太网端口视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式
为interface-list= { interface-num [ to interface-num ] } & < 1-10 >。其中,
interface-num为单个以太网端口,可表示为interface-num = { interface-type
interface-num | interface-name},其中interface-type为端口类型,
interface-num为端口号,interface-name为端口名,它们各自的含义和取值
范围请参见本书“端口配置”部分的命令参数。
【描述】
dot1x命令用来开启指定端口上或全局(即当前设备)的802.1x特性,undo
dot1x命令用来关闭指定端口上或全局的802.1x特性。
缺省情况下,所有端口及全局的802.1x特性都处于关闭状态。
在系统视图下使用该命令时,如果不输入interface-list参数,则表示开启全
局的802.1x特性,将显示交换机所有的802.1x配置信息;如果指定了
interface-list,则表示开启指定端口的802.1x特性。在以太网端口视图下使
用该命令时,不能输入interface-list参数,仅打开当前端口的802.1x特性。
802.1x特性启动前后,均可以使用配置命令来配置全局或端口的802.1x特
性参数。如果在开启全局802.1x特性前没有配置全局或端口的其它802.1x
特性参数,则这些参数在运行时均为缺省值。
全局802.1x特性开启后,必须再开启端口的802.1x特性,802.1x的配置才
能在端口上生效。
请不要同时启动802.1x与RSTP(或MSTP),两者同时启动时不能保证
交换机的正常工作。如果端口启动了802.1x,则不能配置该端口的最大MAC
地址学习个数(通过命令mac-address max-mac-count配置),反之,如
果端口配置了最大MAC地址学习个数,则禁止在该端口上启动802.1x。
相关配置可参考命令display dot1x。
【举例】
# 开启以太网端口Ethernet 0/1上的802.1x特性。
Quidway S2000系列以太网交换机命令手册
安全第1章 802.1x配置命令[Quidway] dot1x interface ethernet 0/1
# 开启全局的802.1x特性。
[Quidway] dot1x
1.1.3 dot1x authentication-method
【命令】
dot1x authentication-method {chap | pap | eap md5-challenge}
undo dot1x authentication-method
【视图】
系统视图
【参数】
chap:采用CHAP认证方式。
pap:采用PAP认证方式。
eap:采用EAP认证方式。目前,只有md5一种加密方法。
【描述】
dot1x authentication-method命令用来设置802.1x用户的认证方法,
undo dot1x authentication-method命令用来恢复802.1x用户的缺省认证
方法。
缺省情况下,802.1x用户认证方法为CHAP认证。
PAP(Password Authentication Protocol)是一种两次握手认证协议,它采
用明文方式传送口令;
CHAP(Challenge Handshake Authentication Protocol)是一种三次握手认
证协议,它只在网络上传输用户名,而并不传输口令。相比之下,CHAP认
证保密性较好,更为安全可靠。
EAP认证功能,意味着交换机直接把802.1x用户的认证信息以EAP报文发
送给RADIUS服务器完成认证,而无须将EAP报文转换成标准的RADIUS
报文后再发给RADIUS服务器来完成认证。
需要注意的是,PAP、CHAP、EAP认证功能的最终实现,需要RADIUS服
务器支持相应的PAP、CHAP、EAP认证。
第1章 802.1x配置命令Quidway S2000系列以太网交换机命令手册
安全
相关配置可参考命令display dot1x。
【举例】
# 设置交换机802.1X用户采用PAP认证。
[Quidway] dot1x authentication-method pap
1.1.4 dot1x dhcp-launch
【命令】
dot1x dhcp-launch
undo dot1x dhcp-launch
【视图】
系统视图
【参数】
无
【描述】
dot1x dhcp-launch命令用来设置802.1x是否允许以太网交换机在接入用
户运行DHCP、申请动态IP地址时就触发对其的身份认证,undo dot1x
dhcp-launch命令用来指示不允许DHCP触发对接入用户的身份认证。
缺省情况下,不允许DHCP触发对接入用户的身份认证。
需要注意的是:若希望Windows XP用户802.1x认证成功,必需使能该命
令。
相关配置可参考命令display dot1x。
【举例】
# 允许在接入用户运行DHCP、申请动态IP地址时就触发对其的身份认证。
[Quidway] dot1x dhcp-launch
1.1.5 dot1x max-user
【命令】
Quidway S2000系列以太网交换机命令手册
安全第1章 802.1x配置命令dot1x max-user user-number[ interface interface-list ]
undo dot1x max-user [ interface interface-list ]
【视图】
系统视图
以太网端口视图
【参数】
user-number:端口可容纳接入用户数量的最大值,取值范围为1~64。
缺省情况下,端口上可容纳接入用户数量的最大值为64。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式
为interface-list= { interface-num [ to interface-num ] } & < 1-10 >。其中,
interface-num为单个以太网端口,可表示为interface-num = { interface-type
interface-num | interface-name},其中interface-type为端口类型,
interface-num为端口号,interface-name为端口名,它们各自的含义和取值
范围请参见本书“端口配置”部分的命令参数。
【描述】
dot1x max-user命令用来设置802.1x在指定端口上可容纳接入用户数量的
最大值,undo dot1x max-user命令用来恢复该值的缺省值。
在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口,
如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令
时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 设置端口Ethernet 0/1最多可容纳32个接入用户。
[Quidway] dot1x max-user 32 interface ethernet 0/1
1.1.6 dot1x port-control
【命令】
dot1x port-control { auto | authorized-force | unauthorized-force}
[ interface interface-list ]
第1章 802.1x配置命令Quidway S2000系列以太网交换机命令手册
安全
undo dot1x port-control [ interface interface-list ]
【视图】
系统视图
以太网端口视图
【参数】
auto:自动识别模式;指示端口初始状态为非授权状态,仅允许EAPoL报
文收发,不允许用户访问网络资源;如果认证流程通过,则端口切换到授权
状态,允许用户访问网络资源。这也是最常见的情况。
authorized-force:强制授权模式;指示端口始终处于授权状态,允许用户
不经认证授权即可访问网络资源。
unauthorized-force:强制非授权模式;指示端口始终处于非授权状态,不
允许用户访问网络资源。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式
为interface-list= { interface-num [ to interface-num ] } & < 1-10 >。其中,
interface-num为单个以太网端口,可表示为interface-num = { interface-type
interface-num | interface-name},其中interface-type为端口类型,
interface-num为端口号,interface-name为端口名,它们各自的含义和取值
范围请参见本书“端口配置”部分的命令参数。
【描述】
dot1x port-control命令用来设置802.1x在指定端口上进行接入控制的模
式,undo dot1x port-control命令用来恢复缺省的接入控制模式。
缺省情况下,接入控制模式为auto。
dot1x port-control命令用来设置802.1x在指定端口上进行接入控制的模
式,即端口处于什么状态。在系统视图下执行该命令可以作用于interface-list
参数所指定的某个端口,如果不指定任何端口则将作用于所有端口。在以太
网端口视图下执行该命令时,不能输入interface-list参数,只能作用于当前
端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 0/1处于强制非受控状态。
Quidway S2000系列以太网交换机命令手册
安全第1章 802.1x配置命令[Quidway] dot1x port-control unauthorized-force interface ethernet 0/1
1.1.7 dot1x port-method
【命令】
dot1x port-method { macbased | portbased }[ interface interface-list ]
undo dot1x port-method [ interface interface-list ]
【视图】
系统视图
以太网端口视图
【参数】
macbased:指示802.1x认证系统基于MAC地址对接入用户进行认证。
portbased:指示802.1x认证系统基于端口号对接入用户进行认证。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式
为interface-list= { interface-num [ to interface-num ] } & < 1-10 >。其中,
interface-num为单个以太网端口,可表示为interface-num = { interface-type
interface-num | interface-name},其中interface-type为端口类型,
interface-num为端口号,interface-name为端口名,它们各自的含义和取值
范围请参见本书“端口配置”部分的命令参数。
缺省情况下,接入控制依据为macbased。
【描述】
dot1x port-method命令用来设置802.1x在指定端口上进行接入控制的方
式,undo dot1x port-method命令用来恢复缺省的接入控制依据。
此命令用来设置802.1x在指定端口上进行接入控制的方式,即基于什么来
对用户进行认证。当采用macbased方式时,该端口下的所有接入用户均需
要单独认证,当某个用户下线时,也只有该用户无法使用网络;当采用
portbased方式时,只要该端口下的第一个用户认证成功后,其他接入用户
无须认证就可使用网络资源,但是当第一个用户下线后,其他用户也会被拒
绝使用网络。
第1章 802.1x配置命令Quidway S2000系列以太网交换机命令手册
安全
在系统视图下执行该命令可以作用于interface-list参数所指定的某个端口,
如果不指定任何端口则将作用于所有端口。在以太网端口视图下执行该命令
时,不能输入interface-list参数,只能作用于当前端口。
相关配置可参考命令display dot1x。
【举例】
# 指定端口Ethernet 0/1基于端口号对接入用户进行认证。
[Quidway] dot1x port-method portbased interface ethernet 0/1
1.1.8 dot1x quiet-period
【命令】
dot1x quiet-period
undo dot1x quiet-period
【视图】
系统视图
【参数】
无
【描述】
dot1x quiet-period命令用来开启quiet-period定时器功能,undo dot1x
quiet-period命令用来关闭该定时器功能。
当802.1x用户认证失败以后,Authenticator设备(如Quidway系列以太网
交换机)需要静默一段时间(该时间由静默定时器设置)后再重新发起认证,
在静默期间,Authenticator设备不进行802.1x认证的相关处理。
相关配置可参考命令display dot1x,dot1x timer。
【举例】
# 打开quiet-period定时器。
[Quidway] dot1x quiet-period
Quidway S2000系列以太网交换机命令手册
安全第1章 802.1x配置命令1.1.9 dot1x retry
【命令】
dot1x retry max-retry-value
undo dot1x retry
【视图】
系统视图
【参数】
max-retry-value:可重复向接入用户发送认证请求帧的最大次数,取值范围
为1~10。缺省情况下,可重复向接入用户发送认证请求帧的最大次数为3
次。
【描述】
dot1x retry命令用来设置以太网交换机可重复向接入用户发送认证请求帧
的最大次数,undo dot1x retry命令用来将该最大发送次数恢复为缺省值。
如果交换机初次向用户发送认证请求帧后,在规定的时间里没有收到用户的
响应,则交换机将再次向用户发送该认证请求。此命令就是用来设置以太网
交换机可重复向接入用户发送认证请求帧的次数。取值为1时表示只允许向
用户发送一次认证请求帧、即如果没有收到响应,不再重复发送;取值为2
时表示在首次向用户发送请求又没有收到响应后将重复发送1次;……依次
类推。本命令设置后将作用于所有端口。
相关配置可参考命令display dot1x。
【举例】
# 指示本机最多可9次向接入用户发送认证请求帧。
[Quidway] dot1x retry 9
1.1.10 dot1x supp-proxy-check
【命令】
dot1x supp-proxy-check { logoff | trap }[ interface interface-list ]
undo dot1x supp-proxy-check { logoff | trap }[ interface interface-list ]
第1章 802.1x配置命令Quidway S2000系列以太网交换机命令手册
安全
【视图】
系统视图
以太网端口视图
【参数】
logoff:拒绝通过代理的用户登录交换机。
trap:允许通过代理的用户登录交换机,但交换机会发送trap报文。
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式
为interface-list= { interface-num [ to interface-num ] } & < 1-10 >。其中,
interface-num为单个以太网端口,可表示为interface-num = { interface-type
interface-num | interface-name},其中interface-type为端口类型,
interface-num为端口号,interface-name为端口名,它们各自的含义和取值
范围请参见本书“端口配置”部分的命令参数。
【描述】
dot1x supp-proxy-check命令用来设置交换机对通过代理登录的用户的检
测及接入控制,undo dot1x supp-proxy-check命令用来取消交换机对通
过代理登录的用户的检测及相关控制的设置。
需要注意的是,该功能的实现需要华为802.1X客户端程序的配合,即需要
通过代理登录的用户需要运行华为802.1X客户端程序(该客户端程序要求
版本为V1.29或以上)。
此命令在系统视图下执行,可以作用于interface-list参数所指定的某个端口,
在以太网端口视图下执行,不能输入interface-list参数,只能作用于当前端
口。
相关配置可参考命令display dot1x。
【举例】
#设置交换机,不允许通过代理的用户登录端口Ethernet 0/3
[Quidway] dot1x supp-proxy-check logoff interface ethernet 0/3
#设置交换机,允许通过代理的用户登录端口Ethernet 0/3
[Quidway] dot1x supp-proxy-check trap
[Quidway] dot1x supp-proxy-check trap interface ethernet 0/3
Quidway S2000系列以太网交换机命令手册
安全第1章 802.1x配置命令或
[Quidway] dot1x supp-proxy-check trap
[Quidway] interface Ethernet 0/3
[Quidway-Ethernet0/3] dot1x supp-proxy-check trap
1.1.11 dot1x timer
【命令】
dot1x timer { quiet-period quiet-period-value| server-timeout
server-timeout-value| supp-timeout supp-timeout-value| tx-period
tx-period-value }
undo dot1x timer { quiet-period| server-timeout| supp-timeout|
tx-period }
【视图】
系统视图
【参数】
quiet-period:静默定时器。对用户认证失败以后,Authenticator设备需要
静默一段时间(该时间由静默定时器设置)后再重新发起认证,在静默期间,
Authenticator设备不处理认证功能。
quiet-period-value:静默定时器设置的静默时长,取值范围10~120,单位
为秒。缺省情况下,quiet-period-value为60秒。
server-timeout:Authentication Server超时定时器。若在该定时器设置的
时长内,Authentication Server未成功响应,Authenticator设备将重发认证
请求报文。
server-timeout-value:RADIUS服务器超时定时器设置的时长,取值范围为
100~300,单位为秒。缺省情况下,server-timeout-value为100秒。
supp-timeout:Supplicant认证超时定时器。若在该定时器设置的时长内,
Supplicant设备未成功响应,Authenticator设备将重发认证请求报文。
supp-timeout-value:Supplicant认证超时定时器设置的时长,取值范围为
10~120,单位为秒。缺省情况下,supp-timeout-value为30秒。
tx-period:传送超时定时器。若在该定时器设置的时长内,Supplicant设备
未成功发送认证应答报文,则Authenticator设备将重发认证请求报文。
第1章 802.1x配置命令Quidway S2000系列以太网交换机命令手册
安全
tx-period-value:传送超时定时器设置的时长,取值范围为10~120,单位
为秒。缺省情况下,tx-period-value为30秒。
【描述】
dot1x timer命令用来配置802.1x的各项定时器参数,undo dot1x timer
命令用来将指定的定时器恢复为缺省值。
802.1x在运行时会启动很多定时器以控制接入用户(Supplicant)、接入认
证设备(Authenticator)以及认证服务器(Authenticator Server)之间进行
合理、有序的交互。使用此命令可以改变部分定时器值(另外部分定时器是
不可调节的),以调节交互进程。这在较为特殊或比较恶劣的网络环境下可
能是必需的措施。不过,一般情况下,请保持这些定时器的缺省值。
相关配置可参考命令display dot1x。
【举例】
#设置Authentication Server超时定时器时长为150秒
[Quidway] dot1x timer server-timeout 150
1.1.12 dot1x timer handshake-period
【命令】
dot1x timer handshake-period interval
undo dot1x timer handshake-period
【视图】
系统视图
【参数】
interval:握手时间间隔,取值范围为1~1024,单位为秒。缺省情况下,握
手报文的发送时间间隔为15秒。
【描述】
dot1x timer handshake-period命令用来设置802.1x的握手报文的发送时
间间隔。undo dot1x timer handshake-period命令用来恢复时间间隔的缺
省值。
Quidway S2000系列以太网交换机命令手册
安全第1章 802.1x配置命令
通过dot1x timer handshake-period命令配置握手请求报文的时间间隔
后,系统以此间隔为周期发送握手请求报文。如果dot1x retry命令配置重
试次数为N,则系统连续N次没有收到客户端的响应报文,就认为用户已经
下线,将用户置为下线状态。
【举例】
# 设置802.1x的握手报文的发送时间间隔为200秒,即8021x用户上线之
后,系统每隔200秒向用户发出握手报文。
[Quidway] dot1x timer handshake-period 200
1.1.13 reset dot1x statistics
【命令】
reset dot1x statistics[ interface interface-list ]
【视图】
用户视图
【参数】
interface interface-list:以太网端口列表,表示多个以太网端口,表示方式
为interface-list= { interface-num [ to interface-num ] } & < 1-10 >。其中,
interface-num为单个以太网端口,可表示为interface-num = { interface-type
interface-num | interface-name},其中interface-type为端口类型,
interface-num为端口号,interface-name为端口名,它们各自的含义和取值
范围请参见本书“端口配置”部分的命令参数。
【描述】
reset dot1x statistics命令用来清除802.1x的统计信息。
当用户想删除802.1x原有统计信息,重新进行相关信息统计时,可以使用
该命令。
在清除原有的统计信息时,如果不指定端口类型和端口号,则清除交换机上
的全局及所有端口的802.1x统计信息;如果指定端口类型和端口号,则清
除指定端口上的802.1x统计信息。
相关配置可参考命令display dot1x。
第1章 802.1x配置命令Quidway S2000系列以太网交换机命令手册
安全
【举例】
# 清除以太网端口Ethernet 0/1上的802.1x统计信息。
Quidway S2000系列以太网交换机命令手册
安全第2章AAA和RADIUS协议配置命令第2章 AAA和RADIUS协议配置命令
2.1 AAA配置命令
2.1.1 access-limit
【命令】
access-limit { disable | enable max-user-number }
undo access-limit
【视图】
ISP域视图
【参数】
disable:表示不对当前ISP域可容纳的接入用户数作限制。
enable max-user-number:指示当前ISP域可容纳接入用户数的最大值,
取值范围为1~512。
【描述】
access-limit命令用来指定当前ISP域可容纳接入用户数的最大值。undo
access-limit命令用来恢复缺省设置。
缺省情况下,不对当前ISP域可容纳的接入用户数作限制。
由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前
ISP域的用户获得可靠的性能保障。
【举例】
# 指定ISP域“https://www.sodocs.net/doc/6f727711.html,”最多可容纳500个接入用户。
[https://www.sodocs.net/doc/6f727711.html,] access-limit enable 500
2.1.2 attribute
【命令】
第2章AAA和RADIUS协议配置命令Quidway S2000系列以太网交换机命令手册
安全
attribute { ip ip-address| mac mac-address| idle-cut second|
access-limit max-user-number| vlan vlanid| location { nas-ip
ip-address port portnum | port portnum } }*
undo attribute { ip | mac |idle-cut | access-limit | vlan | location }*
【视图】
本地用户视图
【参数】
ip:指定用户的IP地址。
mac:指定用户的MAC地址。其中,mac-address为点分十六进制格式(即
形如X-X-X的样式)。
idle-cut second:允许/禁止本地用户启用闲置切断功能(闲置切断的具体数
据则取决于用户所在ISP域下的配置)。second为设定的闲置切断时间,
取值范围60~7200,单位为秒。
access-limit max-user-number:指示当前ISP域可容纳接入用户数的最大
值。max-user-number取值范围为1~512。
vlan vlanid:设置用户的VLAN属性,即设置用户所属于的VLAN,vlanid
为整数,取值范围1~4094。
location:设置用户的端口绑定属性。
nas-ip ip-address:用户远端端口绑定时接入服务器的IP地址,ip-address
为IP地址,为点分十进制格式。缺省为127.0.0.1,表示为本机。
port portnum:设置用户绑定的端口,portnum输入为“槽号子槽号端口
号”样式,如绑定的端口没有子槽号,对应项输入0即可。
【描述】
attribute命令用来设置本地用户的一些属性值;undo attribute命令用来取
消对本地用户属性值的设置。
需要说明的是:当指定用户绑定的是远程端口,则该用户必需指定nas-ip
参数,若用户绑定的是本地端口,则不需要指定nas-ip参数。
相关配置可参考命令display local-user。
【举例】