02-802.1X命令
本章节下载: 02-802.1X命令 (446.02 KB)
目 录
1.1.2 display dot1x connection
1.1.3 display dot1x mac-address
1.1.4 display dot1x unicast-trigger quiet-mac
1.1.6 dot1x { ip-verify-source | ipv6-verify-source } enable
1.1.7 dot1x access-user log enable
1.1.8 dot1x after-mac-auth max-attempt
1.1.9 dot1x authentication-method
1.1.12 dot1x auth-server-unavailable escape
1.1.16 dot1x duplicate-eapol-start discard
1.1.17 dot1x ead-assistant enable
1.1.18 dot1x ead-assistant free-ip
1.1.19 dot1x ead-assistant url
1.1.20 dot1x eap-tls-fragment to-server
1.1.25 dot1x handshake reply enable
1.1.28 dot1x mac-binding enable
1.1.31 dot1x multicast-trigger
1.1.32 dot1x offline-detect enable
1.1.37 dot1x re-authenticate manual
1.1.38 dot1x re-authenticate server-unreachable keep-online
1.1.40 dot1x server-recovery online-user-sync
1.1.42 dot1x timer reauth-period (interface view)
1.1.43 dot1x unauthenticated-user aging enable
1.1.46 reset dot1x access-user
1.1.49 reset dot1x unicast-trigger quiet-mac
display dot1x命令用来显示802.1X的相关信息。
【命令】
display dot1x [ sessions | statistics ] [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
sessions:显示802.1X的会话连接信息。
statistics:显示802.1X的相关统计信息。
interface interface-type interface-number:显示指定端口的802.1X信息。interface-type interface-number为端口类型和端口编号。
【使用指导】
如果不指定参数sessions或者statistics,则显示802.1X的所有信息,包括会话连接信息、相关统计信息和配置信息等。
如果不指定interface参数,则显示所有端口上的802.1X信息。
【举例】
# 显示802.1X的所有信息。
<Sysname> display dot1x
Global 802.1X parameters:
802.1X authentication : Enabled
M-LAG member configuration conflict : Unknown
EAP authentication : Enabled
Max-tx period : 30 s
Handshake period : 15 s
Offline detect period : 300 s
Quiet timer : Disabled
Quiet period : 60 s
Supp timeout : 30 s
Server timeout : 100 s
Reauth period : 3600 s
Unicast-trigger quiet period : 0 s
Max auth requests : 2
User aging period for Auth-Fail VLAN : 1000 s
User aging period for critical VLAN : 1000 s
User aging period for guest VLAN : 1000 s
EAD assistant function : Disabled
URL : http://www.dwsoft.com
Track : Not configured
Secondary URL : http://www.dwsoftsec.com
Track : 11 (Positive)
Free IP : 6.6.6.0 255.255.255.0
EAD timeout : 30 min
Domain delimiter : @
Max EAP-TLS fragment (to-server) : 400 bytes
Online 802.1X wired users : 1
GigabitEthernet1/0/1 is link-up
802.1X authentication : Enabled
Handshake : Enabled
Handshake reply : Disabled
Handshake security : Disabled
Offline detection : Disabled
Unicast trigger : Disabled
Periodic reauth : Enabled
Reauth period : 120 s
Port role : Authenticator
Authorization mode : Auto
Port access control : MAC-based
Multicast trigger : Enabled
Mandatory auth domain : Not configured
Guest VLAN : 3
Auth-Fail VLAN : Not configured
Critical VLAN : Not configured
Critical voice VLAN : Disabled
Add Guest VLAN delay : Disabled
Re-auth server-unreachable : Logoff
Max online users : 4294967295
Max online preauth-domain users : 4294967295
Max online Auth-Fail-domain users : 4294967295
User IP freezing : Disabled
Reauth period : 0 s
Send Packets Without Tag : Disabled
Max Attempts Fail Number : 0
User aging : Enabled
Server-recovery online-user-sync : Enabled
Auth-Fail EAPOL : Disabled
Critical EAPOL : Disabled
Discard duplicate EAPOL-Start : No
Auth-server-unavailable escape : Enabled
EAPOL packets: Tx 3, Rx 3
Sent EAP Request/Identity packets : 1
EAP Request/Challenge packets: 1
EAP Success packets: 1
EAP Failure packets: 0
Received EAPOL Start packets : 1
EAPOL LogOff packets: 1
EAP Response/Identity packets : 1
EAP Response/Challenge packets: 1
Error packets: 0
Online 802.1X users: 1
MAC address Auth state
0001-0000-0000 Authenticated
表1-1 display dot1x命令显示信息描述表
|
字段 |
描述 |
|
Global 802.1X parameters |
全局802.1X参数配置信息 |
|
802.1X authentication |
全局802.1X的开启状态 |
|
M-LAG member configuration conflict |
两台M-LAG设备配置检查结果 · Conflicted:两台M-LAG设备上的配置不匹配 · Not conflicted:两台M-LAG设备上配置的相匹配 · Unknown:无法检测两台M-LAG设备上的配置是否匹配 |
|
CHAP authentication |
启用EAP终结方式,并采用CHAP认证方法 |
|
EAP authentication |
启用EAP中继方式,并支持所有EAP认证方法 |
|
PAP authentication |
启用EAP终结方式,并采用PAP认证方法 |
|
Max-tx period |
用户名请求超时定时器的值 |
|
Handshake period |
握手定时器的值 |
|
Offline detect period |
下线检测定时器的值 |
|
Quiet timer |
静默定时器的开启状态 |
|
Quiet period |
静默定时器的值 |
|
Supp timeout |
客户端认证超时定时器的值 |
|
Server timeout |
认证服务器超时定时器的值 |
|
Reauth period |
重认证定时器的值 |
|
Unicast-trigger quiet period |
单播触发静默定时器的值 |
|
Max auth requests |
设备向接入用户发送认证请求报文的最大次数 |
|
User aging period for Auth-Fail VLAN |
Auth-Fail VLAN中用户的老化时间 |
|
User aging period for critical VLAN |
Critical VLAN中用户的老化时间 |
|
User aging period for guest VLAN |
Guest VLAN中用户的老化时间 |
|
EAD assistant function |
EAD快速部署辅助功能的开启状态 |
|
URL |
用户HTTP访问的重定向URL |
|
Secondary URL |
用户HTTP访问的备用重定向备URL |
|
Track |
重定向URL关联的Track项的序号(Track项的状态) 若重定向URL未关联Track项,则显示为Not configured |
|
Free IP |
用户通过认证之前可访问的网段 |
|
EAD timeout |
EAD老化定时器超时时间 |
|
Domain delimiter |
域名分隔符 |
|
Max EAP-TLS fragment (to-server) |
向认证服务器发送的认证报文中携带的EAP-TLS分片报文最大长度 若未配置EAP-TLS分片报文最大长度,则显示为N/A |
|
Online 802.1X wired users |
在线802.1X有线用户和正在发起认证的802.1X有线用户的总数 |
|
GigabitEthernet1/0/1 is link-up |
端口GigabitEthernet1/0/1的链路状态 |
|
802.1X authentication |
端口上802.1X的开启状态 |
|
Handshake |
在线用户握手功能的开启状态 |
|
Handshake reply |
在线用户握手回应功能的开启状态 |
|
Handshake security |
安全握手功能的开启状态 |
|
Offline detection |
802.1X认证下线检测的开启状态 · Enabled:处于开启且已生效状态 · Disabled:处于关闭状态 · Enabled(NOT effective):处于开启但未生效状态。在使能了下线检测功能的情况下,修改端口接入控制方式为Port-based时,显示此状态 |
|
Unicast trigger |
802.1X单播触发功能的开启状态 |
|
Periodic reauth |
周期性重认证功能的开启状态 |
|
Reauth period |
端口上配置的802.1X重认证定时器的值,若端口上未配置重认证定时器的值,则显示为N/A;若未开启重认证功能,则不显示本字段 |
|
Port role |
该端口担当认证端的作用,目前仅支持作为认证端 |
|
Authorization mode |
端口的授权状态 · Force-Authorized:强制授权状态 · Auto:自动识别状态 · Force-Unauthorized:强制非授权状态 |
|
Port access control |
端口接入控制方式 · MAC-based:基于MAC地址对接入用户进行认证 · Port-based:基于端口对接入用户进行认证 |
|
Multicast trigger |
802.1X组播触发功能的开启状态 |
|
Mandatory auth domain |
端口上的接入用户使用的强制认证域 |
|
Guest VLAN |
端口配置的Guest VLAN,若此功能未配置则显示Not configured |
|
Auth-fail VLAN |
端口配置的Auth-Fail VLAN,若此功能未配置则显示Not configured |
|
Critical VLAN |
端口配置的Critical VLAN,若此功能未配置则显示Not configured |
|
Critical voice VLAN |
(暂不支持)端口配置802.1X认证的Critical Voice VLAN功能的开启状态,包括如下取值: · Enabled:打开 · Disabled:关闭 |
|
Add Guest VLAN delay |
端口延迟加入Guest VLAN功能的状态和触发原因: · EAPOL:802.1X协议报文触发端口延迟加入802.1X Guest VLAN · NewMac:源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN · ALL:802.1X协议报文或源MAC地址未知的报文触发端口延迟加入802.1X Guest VLAN · Disabled:端口延迟加入802.1X Guest VLAN功能处于关闭状态 |
|
Re-auth server-unreachable |
重认证时服务器不可达对802.1X在线用户采取的动作 |
|
Max online users |
本端口最多可容纳的接入用户数 |
|
Max online preauth-domain users |
本端口最多可容纳的前域用户数 |
|
Max online Auth-Fail-domain users |
本端口最多可容纳的失败域用户数 |
|
User IP freezing |
802.1X用户IP地址冻结功能的开启状态 · Enabled:打开 · Disabled:关闭 |
|
Reauth period |
端口上802.1X周期性重认证定时器的值 |
|
Send Packets Without Tag |
端口发送802.1X协议报文不携带VLAN Tag的开启状态: · Enabled:打开 · Disabled:关闭 |
|
Max Attempts Fail Number |
MAC地址认证成功的用户进行802.1X认证的最大尝试次数 |
|
User aging |
非认证成功VLAN中802.1X用户老化功能的开启状态 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Server-recovery online-user-sync |
RADIUS服务器从不可达状态恢复为可达时,设备同步802.1X在线用户信息到RADIUS服务器功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Auth-Fail EAPOL |
当802.1X用户加入到Auth-Fail VLAN后,设备端向客户端发送EAP-Success报文功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Critical EAPOL |
当802.1X用户加入到Critical VLAN后,设备端向客户端发送EAP-Success报文功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
EAPOL packets |
EAPOL报文数目。Tx表示发送的报文数目;Rx表示接受的报文数目 |
|
Discard duplicate EAPOL-Start |
在802.1X用户认证过程中,设备是否丢弃重复的EAPOL-Start报文: · Yes:丢弃 · No:不丢弃 |
|
Auth-server-unavailable escape |
RADIUS服务器不可达时,802.1X在线用户逃生功能的开启状态: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Sent EAP Request/Identity packets |
发送的EAP Request/Identity报文数 |
|
EAP Request/Challenge packets |
发送的EAP Request/Challenge报文数 |
|
EAP Success packets |
发送的EAP Success报文数 |
|
EAP Fail packets |
发送的EAP Failure报文数 |
|
Received EAPOL Start packets |
接收的EAPOL Start报文数 |
|
EAPOL LogOff packets |
接收的EAPOL LogOff报文数 |
|
EAP Response/Identity packets |
接收的EAP Response/Identity报文数 |
|
EAP Response/Challenge packets |
接收的EAP Response/Challenge报文数 |
|
Error packets |
接收的错误报文数 |
|
Online 802.1X users |
端口上的在线802.1X用户和正在发起认证的802.1X用户的总数 |
|
MAC address |
802.1X用户的MAC地址 |
|
Auth state |
802.1X用户的认证状态 |
display dot1x connection命令用来显示当前802.1X在线用户的详细信息。
【命令】
display dot1x connection [ open ] [ [ m-lag [ local | peer ] ] [ interface interface-type interface-number | online-type { auth-fail-domain | critical-domain | preauth-domain | success } | slot slot-number | user-name name-string ] | user-mac mac-address ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
open:只显示在开放认证模式下使用不存在的用户名或者错误的密码接入的802.1X用户信息。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
m-lag [ local | peer ]:显示M-LAG组网中,M-LAG接口上802.1X在线用户的信息。如果不指定该参数,则显示设备上所有802.1X在线用户的信息。如果不指定local和peer参数,则显示本端M-LAG设备和对端M-LAG设备上802.1X在线用户的信息
· local:显示本端M-LAG设备上802.1X在线用户的信息。
· peer:显示对端M-LAG设备上802.1X在线用户的信息。
interface interface-type interface-number:显示指定端口的802.1X在线用户信息。其中interface-type interface-number表示端口类型和端口编号。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
online-type:显示指定类型的802.1X在线用户信息。
· auth-fail-domain:显示认证失败域内的802.1X用户信息。
· critical-domain:显示认证逃生域内的802.1X用户信息。
· preauth-domain:显示认证前域内的802.1X用户信息。
· success:显示认证成功的802.1X用户信息。
slot slot-number:显示指定成员设备上的802.1X在线用户信息。slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示所有成员设备上的802.1X在线用户信息。
user-mac mac-address:显示指定MAC地址的802.1X在线用户信息。其中mac-address表示用户的MAC地址,格式为H-H-H。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
user-name name-string:显示指定用户名的802.1X在线用户信息。其中name-string表示用户名,为1~253个字符的字符串,区分大小写。若不指定本参数,则显示设备上所有802.1X在线用户的信息。
【举例】
# 显示所有802.1X在线用户信息。
<Sysname> display dot1x connection
Total connections: 1
Slot ID: 1
User MAC address: 0015-e9a6-7cfe
Access interface: GigabitEthernet1/0/1
Username: ias
User access state: Successful
Authentication domain: aaa
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
IPv4 address source: User packet
IPv6 address source: User packet
EAP packet identifier: 4
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 1
Authorization untagged VLAN: 6
Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33
35 37 40 to 100
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: 2 sec
Offline detection: 100 sec (command-configured)
Online from: 2013/03/02 13:14:15
Online duration: 0h 2m 15s
User MAC address: 0015-e9a6-abcd
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Bridge-Aggregation1
Username: luser
User access state: Successful
Authentication domain: aaa
IPv4 address: 192.168.1.1
IPv6 address: 2000:0:0:0:1:2345:6789:abcd
IPv4 address source: User packet
IPv6 address source: User packet
EAP packet identifier: 4
Authentication method: CHAP
AAA authentication method: RADIUS
Initial VLAN: 1
Authorization untagged VLAN: 6
Authorization tagged VLAN list: 1 to 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 29 31 33
35 37 40 to 100
Authorization ACL number/name: 3001
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Authorization temporary redirect: Disabled
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: 2 sec
Offline detection: 100 sec (command-configured)
Online from: 2020/12/02 13:14:15
Online duration: 0h 7m 15s
表1-2 display dot1x connection命令显示信息描述表
|
字段 |
描述 |
|
Total connections |
在线802.1X认证用户个数 |
|
User MAC address |
用户的MAC地址 |
|
M-LAG NAS-IP type |
M-LAG组网中,M-LAG接口上的用户认证时采用的NAS-IP地址类型 · Local:本地NAS-IP地址,即使用本端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 · Peer:对端NAS-IP地址,使用对端M-LAG设备上的IP地址作为发送RADIUS报文使用的源IP地址 |
|
M-LAG user state |
M-LAG组网中,M-LAG接口上的用户状态 · Active:激活状态,此时由本端M-LAG设备与AAA服务器交互用户认证信息 · Inactive:未激活状态,此时由对端M-LAG设备与AAA服务器交互用户认证信息 |
|
Access interface |
用户的接入接口名称 |
|
Username |
用户名 |
|
User access state |
用户的接入状态 · Auth-Fail domain:接入用户处于认证失败域中 · Critical domain:接入用户处于认证逃生域中 · Preauth domain:接入用户处于认证前域中 · Successful:802.1X认证成功并接入 · Open:使用不存在的用户名或者错误的密码进行开放认证并接入 |
|
Authentication domain |
认证时使用的ISP域的名称 |
|
IPv4 address |
用户IP地址 若未获取到用户的IP地址,则不显示该字段 |
|
IPv6 address |
用户IPv6地址 若未获取到用户的IP地址,则不显示该字段 |
|
IPv4 address source |
表示获取到的用户IPv4地址来源 · User packet:从用户报文中获取 · IP Source Guard:IP Source Guard模块通知 |
|
IPv6 address source |
表示获取到的用户IPv6地址来源 · User packet:从用户报文中获取 · IP Source Guard:IP Source Guard模块通知 |
|
EAP packet identifier |
用户的EAP报文标识符 |
|
Authentication method |
802.1X系统的认证方法 · CHAP:启用EAP终结方式,并采用CHAP认证方法 · EAP:启用EAP中继方式,并支持所有EAP认证方法 · PAP:启用EAP终结方式,并采用PAP认证方法 |
|
AAA authentication method |
用户成功上线采用的AAA认证方法,取值包括: · Local:本地认证 · RADIUS:RADIUS认证 · None:不进行认证 · N/A:未认证成功上线,比如进入逃生域或失败域等 |
|
Initial VLAN |
初始的VLAN |
|
Authorization untagged VLAN |
授权的untagged VLAN 对于Hybrid端口,当授权VLAN携带Tag的情况与端口配置的VLAN情况不一致时,授权VLAN不生效,通过认证后起作用的VLAN仍为端口配置的VLAN。具体请参见“安全配置指导”中的“802.1X”。 |
|
Authorization tagged VLAN list |
授权的tagged VLAN列表 对于Hybrid端口,当授权VLAN携带Tag的情况与端口配置的VLAN情况不一致时,授权VLAN不生效,通过认证后起作用的VLAN仍为端口配置的VLAN。具体请参见“安全配置指导”中的“802.1X”。 |
|
Authorization ACL number/name |
授权的静态ACL的编号或名称。若未授权静态ACL,则显示N/A 若未授权成功,则在ACL编号或名称后显示“(NOT effective)” |
|
Authorization dynamic ACL name |
授权的动态ACL的名称。若未授权动态ACL,则显示N/A 若未授权成功,则在ACL名称后显示“(NOT effective)” |
|
Authorization CAR |
(暂不支持)当服务器未授权用户CAR属性时,该字段显示为N/A。 |
|
Authorization URL |
授权的重定向URL |
|
Authorization IPv6 URL |
授权的IPv6重定向URL |
|
Authorization temporary redirect |
表示是否授权暂时重定向功能 · Enabled:授权了暂时重定向功能,发送给用户的HTTP/HTTPS重定向报文中携带的状态码为302 · Disabled:未授权暂时重定向功能,发送给用户的HTTP/HTTPS重定向报文中携带的状态码为200 |
|
Start accounting |
支持