系列以太网交换机-命令手册-v.1x及system guard

1、目 录目 录第 1 章 802.1x 配置命令1-11.1 802.1x 配置命令1-11.1.1 display dot1x1-11.1.2 dot1x1-4dot1x authentication-method1-4dot1x dhcp-launch1-4dot1x guest-vlan1-4dot1x handshake1-4dot1x handshake secure1-4dot1x max-user.1-4dot1x port-control1-4dot1x port-method1-4dot1x quiet-period1-4dot1x retry1-41.1.13 dot1x r

2、etry-ver-max1-4dot1x re-authenticate1-4dot1x supp-proxy-check1-4dot1x timer1-4dot1x timer reauth-period1-41.1.18 dot1x ver-check1-41.1.19 reset dot1x sistics1-4第 2 章 HABP 配置命令2-4HABP 命令2-4display habp2-4display habp table2-4display habp traffic2-4habp enable2-4habp server vlan2-4habp timer2-4第 3 章 s

3、ystem-guard 配置命令3-4system-guard 配置命令3-4display system-guard l3err se3-4system-guard l3err enable3-4i第 1 章 802.1x 配置命令第1章 802.1x 配置命令 说明：新增“用户握手”功能，具体请参见1.1.6 dot1x handshake。新增“802.1x 重认证”功能，具体请参见1.1.14 dot1x re-authenticate。新增“配置 802.1X 重认证的超时定时器”功能，具体请参见1.1.17reauth-period。dot1x timer1.1 802.1x 配置

4、命令1.1.1 display dot1x【命令】display dot1x sess | sistics erfaceerface-list 【视图】任意视图【参数】sess：显示 802.1x 的会话连接信息。sistics：显示 802.1x 的相关统计信息。erface：显示指定端口的 802.1x 相关信息。erface-list ：以太网端口列表，表示方式为 erface-list=erface-typeerface-number toerface-typeerface-number & 。其中 erface-type 为端口类型， erface-number 为端的参数最多可以重

5、复输入 10 次。命令中&表示前面【描述】display dot1x 命令用来显示 802.1x 的相关信息，包括配置信息、运行情况（会话连接信息）以及相关统计信息等。如果在执行本命令的时候不指定端口，系统将显示交换机所有 802.1x 相关信息。根据该命令的输出信息，可以帮助用户确认当前的 802.1x 配置是否正确，并有助于802.1x 的故障与排除。1-1第 1 章 802.1x 配置命令相关配置可参考命令 reset dot1x sistics, dot1x, dot1x retry, dot1x max-user,dot1x port-control, dot1x port-meth

6、od, dot1x timer。【举例】# 显示 802.1x 的相关信息。 d i s p l a y do t 1xGl ob a l 802 . 1X p r o t o c o l i s e n a b l e d CHAP a u t h e n ti ca ti on i s e n a b l e d DHCP - l a un c h i s d i s a b l e dHa nd s h a k e i s e n a b l e dP r oxy t r a p c h ec k e r i s d i s a b l e dP r oxy l ogo ff c h e

7、c k e r i s d i s a b l e dCon f i gu r a ti on :T r a n smit Pe r i odReAu t h Pe r i od Qu i e t Pe r i od Supp T ime ou te r v a l b e t30s ,Ha nd s h ak e Pe r i od15s3600 s ,ReAu t h Ma xT ime sQu i e t Pe r i od T ime r Se r v e r T ime ou t2d i s a b l e d6030s ,s ,i s100sn v e rr e qu e s t

8、sv e ri s 30 si n f o rma ti on2a lr e qu e s t time s f o ri s3Th ea l r e t r a n smitti ngtime sTo t a lum802 . 1x u s e ru s e d 802 . 1xr e s ou r ce numb e r i sr e s ou r ce numb e r i s10241To t a l c u rr e n tGi g a b it E t h e r n e t 1 / 0 / 1802 . 1X p r o t o c o l i si s li nk - up e

9、 n a b l e di s d i s a b l e dP r oxyP r oxy Ve rt r a p c h ec k e rl ogo ff c h ec k e r i s d i s a b l e d- Ch ec k i s d i s a b l e dTh e po r t i s a n a u t h e n ti ca t o r Au t h e n ti ca ti on Mod e i s Au t oPo r t Con t r o l Typ e i s Po r t - b a s e dReAu t h e n ti ca t eMa x num

10、b e r o fi s d i s a b l e don - li n e u s e r s i s 256Au t h e n ti ca ti onEAPOL Pac k e t s :Su cs : 4 , Fa il e d : 2Tx 7991 , Rx 14Se n t EAP Re qu e s t/ I d e n tit y Pac k e t s : 7981EAP Re qh a ll e ng e Pac k e t s : 0Rece i v e d EAPOL S t a r t Pac k e t s : 5EAPOL LogOff Pac k e t s

11、: 1EAP Re s pon s e / I d e n tit y Pac k e t s :41-2第 1 章802.1x 配置命令EAP Re s pon s e / Ch a ll e ng e Pac k e t s : 4E rr o r Pac k e t s :1 . Au t h e n ti ca t e d u s e r : MAC0a dd r e ss : 000d - 88 f 6 - 44c 1Con t r o ll e d Us e r( s )amoun tt o 1Gi g a b it E t h e r n e t 1 / 0 / 2（以下略）表1

12、-1 802.1x 配置信息描述表1-3描述Equipment 802.1X protocol is enabled交换机 802.1x 特性已经开启CHAP authentication is enabled开启 CHAP 认证DHCP-launch is disabledDHCP 触发 802.1x 认证的功能处于关闭状态Handshake is enabled用户握手功能开启Proxy trap checker is disabled是否检测通过登录用户的接入：disable 表示检测用户使用后，不发送 Trap报文；enable 表示检测用户使用后，发送Trap 报文。Proxy lo

13、goff checker is disabled是否检测通过登录用户的接入：disable 表示检测用户使用后，不切断用户连接；enable 表示检测用户使用后，切断用户连接。Transmit Period发送间隔定时器Handshake Period802.1x 的握手报文的发送时间间隔ReAuth Period重认证周期ReAuth MaxTimes重认证最大次数Quiet Period静默定时器设置的静默时长Quiet Period Timer is disabled静默定时器状态：disable 表示处于关闭状态；enable表示处于开启状态Supp TimeoutSupplicant

14、 认证超时定时器Server TimeoutAuthentication Server 超时定时器Theal retransmitting times交换机可重复向接入用户发送认证请求帧的次数Totalum 802.1x user resource number最多可接入用户数Total current used 802.1x resource number当前接入用户数GigabitEthernet1/0/1 is link-down端口 GigabitEthernet 1/0/1 的状态为Down第 1 章802.1x 配置命令1.1.2dot1x【命令】dot1x erfaceerfac

15、e-list undo dot1x erfaceerface-list 【视图】系统视图/以太网端口视图【参数】erface-list ：以太网端口列表，表示方式为erface-list= erface-typeerface-number toerface-typeerface-number & 。其中 erface-type 为端口类型， erface-number 为端的参数最多可以重复输入 10 次。命令中&表示前面【描述】dot1x 命令用来开启指定端口上或全局（即当前设备）的 802.1x 特性。undo dot1x命令用来关闭指定端口上或全局的 802.1x 特性。1-4描述802

16、.1X protocol is disabled该端口未开启 802.1x 协议Proxy trap checker is disabled是否检测通过登录用户的接入：disable 表示检测用户使用后，不发送 Trap报文；enable 表示检测用户使用后，发送Trap 报文。Proxy logoff checker is disabled是否检测通过登录用户的接入：disable 表示检测用户使用后，不切断用户连接；enable 表示检测用户使用后，切断用户连接。Ver-Check is disabled端口是否开启客户端版本检测功能：disable 表示关闭；enable 表示开启。Th

17、e port is an authenticator该端口担当 Authenticator 作用Authentication Mode is Auto端口接入控制的模式为 autoPort Control Type is Mac-based端口接入控制方式为Mac-based，即基于MAC 地址对接入用户进行认证ReAuthenticate is disabled端口的 802.1x 重认证特性处于关闭状态Max number of on-line users本端口最多可容纳的接入用户数略第 1 章 802.1x 配置命令缺省情况下，所有端口及全局的 802.1x 特性都处于关闭状态。在系统视

18、图下使用该命令时：如果不输入erface-list 参数，则表示开启全局的 802.1x 特性；erface-list，则表示开启指定端口的 802.1x 特性。如果指定了在以太网端口视图下使用该命令时，不能输入端口的 802.1x 特性。erface-list 参数，仅用于打开当前全局 802.1x 特性开启后，必须再开启端口的 802.1x 特性，802.1x 的配置才能在端口上生效。 说明：如果端口启动了 802.1x，则不能配置该端口的最大 MAC 地址学习个数；反之，如果端口配置了最大 MAC 地址学习个数，则在该端口上启动 802.1x。如果端口启动了 802.1x，则不能配置该端

19、口加入汇聚组。反之，如果该端口已经加入到某个汇聚组中，则在该端口上启动 802.1x。相关配置可参考命令 display dot1x。【举例】# 开启以太网端口 GigabitEthernet 1/0/1 上的 802.1x 特性。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame do t 1xe rf ace Gi g a b it E t h e r n e t 1 / 0 / 1# 开启全局的 802.1x 特性。 s y s t em- v i e

20、wSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame do t 1x1.1.3 dot1x authentication-method【命令】dot1x authentication-method chap | pap | eap undo dot1x authentication-method【视图】系统视图【参数】chap：采用 CHAP 认证方式。1-5第 1 章 802.1x 配置命令pap：采用 PAP 认证方式。eap：采用 EAP 认证方式。【描述】dot1x authentica

21、tion-method 命令用来设置 802.1x 用户的认证方法。undo dot1x authentication-method 命令用来恢复 802.1x 用户的缺省认证方法。缺省情况下，802.1x 用户认证方法为 CHAP 认证。PAP（Password Authentication Protocol）是一种两次握手认证协议，它采用明文方式传送口令。CHAP（Challenge Handshake Authentication Protocol）是一种三次握手认证协议，它只在网络上传输用户名，而并不传输口令。相比之下，CHAP 认证更为安全可靠。性较好，EAP 认证功能，意味着交换机

22、直接把 802.1x 用户的认证信息以 EAP 报文发送给RADIUS 服务器完成认证，而无须将 EAP 报文转换成标准的 RADIUS 报文后再发给 RADIUS 服务器来完成认证。如果要采用 PEAP-TLS、EAP-TTLS 或者EAP-MD5 这四种认证方法之一，只需启动 EAP 认证即可。相关配置可参考命令 display dot1x。 说明：当采用设备本身作为认证服务器时，802.1x 用户的认证方法，不可以配置为方式。EAP【举例】# 设置交换机采用 PAP 认证。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r

23、 Vi ew wit h C t r l +Z . Sy s n ame do t 1x a u t h e n ti ca ti on -me t hod p a p1.1.4 dot1x dhcp-launch【命令】dot1x dhcp-launchundo dot1x dhcp-launch【视图】系统视图【参数】1-6第 1 章 802.1x 配置命令无【描述】dot1x dhcp-launch 命令用来设置 802.1x 允许以太网交换机在接入用户运行DHCP、申请动态 IP 地址时就触发对其的令用来取消 DHCP 触发对接入用户的认证。undo dot1x dhcp-launch

24、 命认证。缺省情况下，不允许 DHCP 触发对接入用户的相关配置可参考命令 display dot1x。认证。【举例】# 允许在接入用户运行 DHCP、申请动态 IP 地址时就触发对其的认证。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew Sy s n ame do t 1x dh c p - l a un c hwit h C t r l +Z .1.1.5 dot1x guest-vlan【命令】dot1x guest-vlan vlan-id erfaceerface-list erface-list un

25、do dot1x guest-vlan erface【视图】系统视图/以太网端口视图【参数】vlan-id：Guest VLAN 的 VLAN ID，取值范围为 14094。erface-list ：以太网端口列表，表示方式为 erface-list=erface-typeerface-number toerface-typeerface-number & 。其中 erface-type 为端口类型， erface-number 为端的参数最多可以重复输入 10 次。命令中&表示前面【描述】dot1x guest-vlan 命令用来开启端口的Guest VLAN 功能。undo dot1x g

26、uest-vlan命令用来关闭 Guest VLAN 功能。Guest VLAN 的功能开启后：交换机将在所有开启 802.1x 功能的端口发送触发认证 报 文（EAP-Request/Identity），如果达到最大发送次数后，端口尚未返回响应报文，则交换机将该端口加入到 Guest VLAN 中；1-7第 1 章802.1x 配置命令之后属于该 Guest VLAN 中的用户该 Guest VLAN 中的资源时，不需要进行 802.1x 认证，但外部的资源时仍需要进行认证。在系统视图下使用该命令时：erface-list 参数，则表示开启所有端口的 Guest VLAN 功能；erface

27、-list，则表示开启指定端口的 Guest VLAN 功能。如果不输入如果指定了在以太网端口视图下使用该命令时，不能输入erface-list 参数，仅能打开当前端口的 Guest VLAN 功能。注意：只有在端口认证方式下，交换机才可以支持 Guest VLAN 功能；一台交换机只能配置一个 Guest VLAN；当交换机配置为 dot1x dhcp-launch 方式时，因为该方式下交换机不发送主动认证报文，Guest VLAN 功能不能实现。【举例】# 设置认证方式为基于端口的方式。 system-viewSystem View: return to User View with Sy

28、sname dot1x port-method portbasedCtrl+Z.# 开启所有端口的 Guest VLAN 功能。Sysname dot1x guest-vlan 11.1.6 dot1x handshake【命令】dot1x handshake enableundo dot1x handshake enable【视图】系统视图【参数】无【描述】dot1x handshake enable 命令用于开启用户握手功能。undo dot1xhandshake enable 命令用于关闭用户握手功能。1-8第 1 章 802.1x 配置命令缺省情况下，开启用户握手功能。注意：802.1

29、x 的须先开启检测功能依赖于用户握手功能。用户握手功能。在配置检测功能之前，必握手报文的发送需要私有客户端的支持，用以探测用户是否。对于为客户端，由于不支持握手功能，在握手周期内交换机不会收到握手回应报文。因此需要将用户握手功能关闭，以防止交换机错误地认为用户下线。【举例】# 开启用户握手功能。 system-viewSystem View: return to User View with Ctrl+Z. Sysname dot1x handshake enable1.1.7 dot1x handshake secure【命令】dot1x handshake secureundo dot1x

30、 handshake secure【视图】以太网端口视图【参数】无【描述】dot1x handshake secure 命令用于开启握手报文的安全扩展功能，防止客户端造成的。undo dot1x handshake secure 命令用于关闭握手报文的安全扩展功能。缺省情况下，关闭握手报文的安全扩展功能。注意：握手报文的安全扩展功能需要支持此功能的客户端与认证服务器配合才能正常使用，若客户端或者认证服务器不支持握手报文的安全扩展功能，则需要关闭此功能。【举例】1-9第 1 章 802.1x 配置命令# 开启握手报文的安全扩展功能。 s y s t em- v i ewSy s t em Vi

31、ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame e r f ace Gi g a b it E t h e r n e t 1 / 0 / 1 Sy s n ame -Gi g a b it E t h e r n e t 1 / 0 / 1 do t 1x h a nd s h a k e s ec u r e1.1.8 dot1x max-user【命令】dot1x max-user user-number undo dot1x max-user erfaceerfaceerface-list erface-li

32、st 【视图】系统视图/以太网端口视图【参数】user-number：端口可容纳接入用户数量的最大值，取值范围为 1256。erface-list ：以太网端口列表，表示方式为 erface-list=erface-typeerface-number toerface-typeerface-number & 。其中 erface-type 为端口类型， erface-number 为端的参数最多可以重复输入 10 次。命令中&表示前面【描述】dot1x max-user 命令用来设置 802.1x 在指定端口上可容纳接入用户数量的最大值。undo dot1x max-user 命令用来恢复该值

33、的缺省值。缺省情况下，端口上可容纳接入用户数量的最大值为 256。在系统视图下使用该命令时：erface-list 参数，则表示作用于所有端口；erface-list，则表示作用于指定端口。如果不输入如果指定了在以太网端口视图下使用该命令时，不能输入erface-list 参数，仅用来设置当前端口的可容纳接入用户数量的最大值。相关配置可参考命令 display dot1x。【举例】# 设置端口 GigabitEthernet 1/0/1 最多可容纳 32 个接入用户。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew

34、 wit h C t r l +Z . Sy s n ame do t 1x ma x - u s e r 32e rf ace Gi g a b it E t h e r n e t 1 / 0 / 11-10第 1 章 802.1x 配置命令1.1.9 dot1x port-control【命令】dot1x port-control auto | authorized-force | unauthorized-force erface-list erfaceundo dot1x port-control erfaceerface-list 【视图】系统视图/以太网端口视图【参数】auto：

35、自动识别模式；端口初始状态为非状态，仅允许收发 EAPoL 报文，不允许用户网络资源；如果认证通过，则端口切换到状态，允许用户网络资源。这也是最常见的情况。authorized-force：强制模式；端口始终处于状态，允许用户不经认证授权即可网络资源。unauthorized-force：强制非问网络资源。模式；端口始终处于非状态，不允许用户访erface-list ：以太网端口列表，表示方式为 erface-list=erface-typeerface-number toerface-typeerface-number & 。其中 erface-type 为端口类型， erface-numb

36、er 为端的参数最多可以重复输入 10 次。命令中&表示前面【描述】dot1x port-control 命令用来设置 802.1x 在指定端口的接入控制模式。undo dot1x port-control 命令用来恢复缺省的接入控制模式。缺省情况下，接入控制模式为 auto。dot1x port-control 命令用来设置 802.1x 在指定端口的接入控制模式，即端口所处的状态。在系统视图下使用该命令时：erface-list 参数，则表示作用于所有端口；erface-list，则表示作用于指定端口。如果不输入如果指定了在以太网端口视图下使用该命令时，不能输入erface-list 参数

37、，仅用来设置当前端口的接入控制模式。相关配置可参考命令 display dot1x。【举例】1-11第 1 章 802.1x 配置命令# 指定端口 GigabitEthernet 1/0/1 处于强制非状态。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame do t 1x po r t - c on t r o1 / 0 / 1a u t ho r i ze d -f o r cee rf ace Gi g a b it E t h e r n e t1.

38、1.10 dot1x port-method【命令】dot1x port-method macbased | portbased erfaceerface-list undo dot1x port-method erfaceerface-list 【视图】系统视图/以太网端口视图【参数】macbased：指示 802.1x 认证系统基于 MAC 地址对接入用户进行认证。portbased：指示 802.1x 认证系统基于端口对接入用户进行认证。erface-list ：以太网端口列表，表示方式为 erface-list=erface-typeerface-number toerface-typ

39、eerface-number & 。其中 erface-type 为端口类型， erface-number 为端的参数最多可以重复输入 10 次。命令中&表示前面【描述】dot1x port-method 命令用来设置 802.1x 在指定端口的接入控制方式。 undo dot1x port-method 命令用来恢复缺省的接入控制方式。缺省情况下，接入控制方式为 macbased。此命令用来设置 802.1x 在指定端口的接入控制方式：当采用 macbased 方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络；当采用 portbased 方式时，只要该

40、端口下的第一个用户认证成功后，其他接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其他用户也会被使用网络。802.1x 用户时，如果通过 dot1x port-method 命令更改端口接入控制方式，则用户会被强制下线。在系统视图下使用该命令时：如果不输入erface-list 参数，则表示作用于所有端口；1-12第 1 章 802.1x 配置命令如果指定了erface-list，则表示作用于指定端口。在以太网端口视图下使用该命令时，不能输入端口的接入控制方式。erface-list 参数，仅用来设置当前相关配置可参考命令 display dot1x。【举例】# 指定端口 Gigab

41、itEthernet 1/0/1 基于端口对接入用户进行认证。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame do t 1x po r t -me t hod po r t b a s e de rf ace Gi g a b it E t h e r n e t1 / 0 / 11.1.11 dot1x quiet-period【命令】dot1x quiet-periodundo dot1x quiet-period【视图】系统视图【参数】无【描述】d

42、ot1x quiet-period 命令用来开启静默定时器功能。undo dot1x quiet-period 命令用来关闭该定时器功能。当 802.1x 用户认证失败以后，Authenticator 设备（如 Quidway 系列以太网交换机）需要静默一段时间（该时间由静默定时器设置）后再重新发起认证，在静默期间， Authenticator 设备不进行该用户的 802.1x 认证相关处理。缺省情况下， 静默定时器功能处于关闭状态。相关配置可参考命令 display dot1x，dot1x timer。【举例】# 打开 quiet-period 定时器。 s y s t em- v i ew

43、Sy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame do t 1x qu i e t - p e r i od1-13第 1 章 802.1x 配置命令1.1.12 dot1x retry【命令】dot1x retry max-retry-valueundo dot1x retry【视图】系统视图【参数】max-retry-value：可重复向接入用户发送认证请求帧的最大次数，取值范围为 110。【描述】dot1x retry 命令用来设置以太网交换机可重复向接入用户发送认证请求帧的最大次数。u

44、ndo dot1x retry 命令用来将该最大发送次数恢复为缺省值。缺省情况下，可重复向接入用户发送认证请求帧的最大次数为 2 次。如果交换机初次向用户发送认证请求帧后，在规定的时间里没有收到用户的响应，则交换机将再次向用户发送该认证请求。当发送次数达到由本配置任务配置的最大次数后仍没有收到响应，交换机不再重复向用户发送该认证请求。本命令设置后将作用于所有端口。相关配置可参考命令 display dot1x。【举例】# 指示本机最多向接入用户发送 9 次认证请求帧。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew

45、 wit h C t r l +Z . Sy s n ame do t 1xr e t r y 91.1.13 dot1x retry-ver-max【命令】dot1x retry-ver-max max-retry-ver-valueundo dot1x retry-ver-max【视图】系统视图【参数】1-14第 1 章 802.1x 配置命令max-retry-ver-value：重复向接入用户发送版本请求帧的最大次数，取值范围为110。【描述】dot1x retry-ver-max 命令用来设置以太网交换机可重复向接入用户发送版本请求帧的最大次数。undo dot1x retry-ve

46、r复为缺省值。-max 命令用来将该最大发送次数恢缺省情况下，以太网交换机可重复向接入用户发送版本请求的最大次数为 3 次。当交换机初次向用户发送客户端版本请求帧后，如果在一定时间（由版本验证的超时定时器指定）内没有收到客户端的响应，交换机会再次向客户端发送版本请求，当发送次数达到由本配置任务配置的最大次数后仍没有收到响应，交换机不再对客户端的版本进行验证，而继续进行后续的认证过程。本命令设置后将作用于所有启动版本验证功能的端口。相关配置可参考命令 display dot1x，dot1x timer。【举例】# 配置交换机最多向接入用户发送 6 次版本请求帧。 s y s t em- v i

47、ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame do t 1x r e t r y - v e r-ma x 61.1.14 dot1x re-authenticate【命令】dot1x re-authenticate erfaceerface-list undo dot1x re-authenticate erfaceerface-list 【视图】系统视图/以太网端口视图【参数】erface-list ：以太网端口列表，表示方式为 erface-list=erface-typeerf

48、ace-number toerface-typeerface-number & 。其中 erface-type 为端口类型， erface-number 为端的参数最多可以输入 10 次。命令中&表示前面【描述】1-15第 1 章802.1x 配置命令dot1x re-authenticate 命令用来开启交换机特定端口或所有端口的 802.1x 重认证特性。undo dot1x re-authenticate 用来关闭交换机特定端口或所有端口的 802.1x重认证特性。缺省情况下，所有端口的 802.1x 重认证特性都处于关闭状态。在系统视图下使用该命令时：erface-list 参数，则表

49、示开启所有端口的 802.1x 重认证特性；erface-list 参数，则表示开启指定端口的 802.1x 重认证特性。如果不输入如果指定了以太网端口视图下使用该命令时，不能输入erface-list 参数，仅打开当前端口的802.1x 重认证特性。 说明：在启动端口 802.1x 重认证功能之前，必须开启全局 802.1x 特性和该端口的 802.1x特性。【举例】# 在端口 GigabitEthernet 1/0/1 上启用 802.1x 重认证功能。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit

50、h C t r l +Z . Sy s n ame do t 1x802 . 1X i s e n a b l e d g l ob a ll y . Sy s n ame e r f ace Gi g a b it E t h e r n e t 1 / 0 / 1 Sy s n ame -Gi g a b it E t h e r n e t 1 / 0 / 1 do t 1x802 . 1X i s e n a b l e d on po r t Gi g a b it E t h e r n e t 1 / 0 / 1 a l r ea dy . Sy s n ame -Gi g a

51、b it E t h e r n e t 1 / 0 / 1 do t 1x r e - a u t h e n ti ca t eRe - a u t h e n ti ca ti on i s e n a b l e d on po r t Gi g a b it E t h e rn e t 1 / 0 / 11.1.15 dot1x supp-proxy-check【命令】dot1x supp-proxy-check logoff | trap erfaceerface-list undo dot1x supp-proxy-check logoff | trap erfaceerfac

52、e-list 【视图】系统视图/以太网端口视图【参数】logoff：检测到用户使用或者开启多网卡登录后，切断用户连接。trap：检测到用户使用或者开启多网卡登录后，发送 Trap 报文。1-16第 1 章 802.1x 配置命令erface-list ：以太网端口列表，表示方式为 erface-list=erface-typeerface-number toerface-typeerface-number & 。其中 erface-type 为端口类型， erface-number 为端的参数最多可以重复输入 10 次。命令中&表示前面【描述】dot1x supp-proxy-check 用来

53、开启指定端口上的 802.1xdot1x supp-proxy-check 用来关闭指定端口上对 802.1x用户检测特性。undo用户检测特性。缺省情况下，所有端口的 802.1x此命令如果在系统视图下执行：用户检测特性都处于关闭状态。如果指定了erface-list 参数，可以作用于erface-list 参数所指定的某个端口；如果不输入erface-list 参数，则为全局配置。如果在以太网端口视图下执行，不能输入erface-list 参数，只能作用于当前端口。在系统视图下开启全局的用户检测功能后，必须再开启指定端口的用户检测特性，此特性的配置才能在该端口上生效。交换机的 802.1x

54、用户检测特性包括：检测使用检测使用 IE服务器登录的用户；服务器登录的用户；检测用户是否使用多网卡（即用户登录时，其PC 上处于激活状态的网卡超过一个）。当交换机发现以上任意一种情况时，可以采取以下控制措施：只切断用户连接，不发送 Trap 报文（使用命令 dot1x supp-proxy-check logoff 配置）；只发送 Trap 报文，不切断用户连接（使用命令 dot1x supp-proxy-check trap配置）。此功能的实现需要 802.1x 客户端和 CAMS 的配合：802.1x 客户端需要具备检测用户是否使用多网卡、务器功能；服务器或者 IE服CAMS 上开启认证客

55、户端禁用多网卡、禁用器功能。服务器或者禁用 IE服务802.1x 客户端默认关闭用户检测功能，如果 CAMS 打开防多网卡、或 IE功能，则在用户认证成功时，CAMS 会下发属性通知 802.1x 客户端打开防多网卡、或 IE功能。1-17第 1 章 802.1x 配置命令 说明：该功能的实现需要802.1x 客户端程序的配合。对于检测通过登录的用户功能，同时需要在交换机上启用客户端版本检测功能（通过命令 dot1x ver-check 配置）。相关配置可参考命令 display dot1x。【举例】# 设置端口 GigabitEthernet1/0/1GigabitEthernet1/0/8

56、 检测到用户使用后，切断该用户的连接。 s y s t em- v i ewSy s t em Vi ew: r e t u r n t o Us e r Vi ew wit h C t r l +Z . Sy s n ame do t 1x s upp - p r oxy - c h ec k l ogo ff Sy s n ame do t 1x s upp - p r oxy - c h ec k l ogo ff Gi g a b it E t h e r n e t 1 / 0 / 8e rf ace Gi g a b it E t h e r n e t 1 / 0 / 1 t o

57、# 设置端口 GigabitEthernet 1/0/9 检测到登录的用户使用报文。后，交换机发送 Trap Sy s n ame do t 1x Sy s n ame do t 1xs upp - p r oxy - c h ec k t r a ps upp - p r oxy - c h ec k t r a pe rf ace Gi g a b it E t h e r n e t 1 / 0 / 91.1.16 dot1x timer【命令】dot1x timer handshake-period handshake-period-value | quiet-periodquiet-

58、period-value|server-timeoutserver-timeout-value|supp-timeouteriod-value server-timeout |supp-timeout-value | tx-period tx-period-value | veriod vundo dot1x timer handshake-period | quiet-period |supp-timeout | tx-period | veriod 【视图】系统视图【参数】handshake-period：此定时器是在用户认证成功后启动的，系统以此间隔为周期发送握手请求报文。如果 dot1

59、x retry 命令配置重试次数为 N，则系统连续 N 次没有收到客户端的响应报文，就认为用户已经下线，将用户置为下线状态。handshake-period-value：握手时间间隔，取值范围为 51024，情况下，握手报文的发送时间间隔为 15 秒。为秒。缺省1-18第 1 章 802.1x 配置命令quiet-period：静默定时器。对用户认证失败以后，Authenticator 设备需要静默一段时间（该时间由静默定时器设置）后再重新发起认证，在静默期间，交换机不进行该用户的 802.1x 认证相关处理。quiet-period-value：静默定时器设置的静默时长，取值范围 10120

60、，缺省情况下，quiet-period-value 为 60 秒。为秒。server-timeout：Authentication Server 超时定时器。若在该定时器设置的时长内，Authentication Server 未成功响应，Authenticator 设备将重发认证请求报文。server-timeout-value：RADIUS 服务器超时定时器设置的时长，取值范围为 100300，为秒。缺省情况下，server-timeout-value 为 100 秒。supp-timeout：Supplicant 认证超时定时器。当 Authenticator 设备向 Supplican