Онлайн-демонстрация
Связаться с нами
11.11. Команды dot1x (IEEE 802.1х)
11.11.1. dot1x system-auth-ctrl
Назначение
Команда dot1x system-auth-ctrl используется для глобального запуска функции управления аутентификацией dot1x.
Для удаления этой конфигурации используйте команду no dot1x system-auth-ctrl.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x system-auth-ctrl
no dot1x system-auth-ctrl
Режим ввода
Global Config
Состояние по умолчанию
Отключено
Применение
Для глобального запуска функции dot1x используйте эту команду. Эта команда необходима для правильного функционирования настроек dot1x на каждом порту.
Примеры
Вывод команды dot1x system-auth-ctrl:
Switch# configure terminal
Switch(config)# dot1x system-auth-ctrl
Switch(config)# no dot1x system-auth-ctrl
Связанные команды
show dot1x
dot1x port-control
11.11.2. dot1x initialize
Назначение
Команда dot1x initialize в режиме “Privileged EXEC” используется для ручного перевода указанного порта с поддержкой IEEE 802.1x в неавторизованное состояние перед запуском новой сессии аутентификации на порту.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x initialize interface IFNAME
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
IFNAME |
Укажите имя интерфейса для инициализации |
Эта функция поддерживает маршрутизируемые порты и порты доступа, не поддерживает транковые порты |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Команда dot1x initialize используется для инициализации IEEE 802.1x и создания новой среды для аутентификации. После ввода этой команды статус порта становится неавторизованным.
Примеры
Вывод команды dot1x initialize:
Switch# dot1x initialize interface eth-0-1
Связанные команды
show dot1x
11.11.3. dot1x max-req
Назначение
Команда dot1x max-reauth-req в режиме “Interface Configuration” используется для задания максимального числа попыток перезапуска процесса аутентификации коммутатором до перевода порта в неавторизованное состояние. Для возврата к настройкам по умолчанию используйте команду no dot1x max-req.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x max-req COUNT
no dot1x max-req
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
COUNT |
Число попыток перезапуска процесса аутентификации коммутатором до перевода порта в неавторизованное состояние |
1 - 10 |
Режим ввода
Interface Configuration
Состояние по умолчанию
Значение по умолчанию для команды dot1x max-reauth-req — 2 попытки.
Применение
Изменяйте значение этой команды только при необходимости корректировки для нестандартных ситуаций, таких как ненадежные каналы связи или специфические проблемы поведения некоторых клиентов и серверов аутентификации.
Примеры
Вывод команды dot1x max-reauth-req:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x max-req 4
Связанные команды
show dot1x
11.11.4. dot1x port-control
Назначение
Команда dot1x port-control в режиме “Interface Configuration” используется для управления состоянием авторизации порта вручную. Для возврата к настройкам по умолчанию используйте команду no dot1x port-control.
Поддерживается конфигурация dot1x на маршрутизируемом порту, но не поддерживается на логическом порту, таком как агрегированный порт и т.д.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x port-control (auto|force-authorized|force-unauthorized|dir (both|in))
no dot1x port-control
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
auto |
Включить аутентификацию IEEE 802.1x на порту и привести порт в авторизованное или неавторизованное состояние на основе обмена аутентификацией IEEE 802.1x между коммутатором и клиентом |
- |
force-authorized |
Отключить аутентификацию IEEE 802.1x на порту и привести порт в авторизованное состояние без обмена аутентификацией. Порт отправляет и принимает обычный трафик без аутентификации клиента на основе IEEE 802.1x |
- |
force-unauthorized |
Запретить весь доступ через этот порт, принудительно переведя порт в неавторизованное состояние, игнорируя все попытки клиента аутентифицироваться. Коммутатор не может предоставлять услуги аутентификации клиенту через этот порт |
- |
dir |
Указать направление контроля dot1x |
- |
both |
Отбрасывать полученные и передаваемые пакеты |
- |
in |
Отбрасывать только полученные пакеты |
- |
Режим ввода
Interface Configuration
Состояние по умолчанию
Управление портом dot1x отключено по умолчанию.
Значение по умолчанию для направления контроля — “in”.
Применение
Необходимо глобально включить аутентификацию IEEE 802.1x на коммутаторе с помощью команды глобальной конфигурации dot1x system-auth-control до того, как включать аутентификацию IEEE 802.1x на отдельных портах.
Примеры
Вывод команды dot1x port-control:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x port-control auto
Связанные команды
show dot1x
11.11.5. dot1x protocol-version
Назначение
Команда dot1x protocol-version используется для установки версии пакетов EAPOL на коммутаторе. Для возврата к настройкам по умолчанию используйте команду no dot1x protocol-version.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x protocol-version VER
no dot1x protocol-version
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
VER |
Версия EAPOL |
1 - 2 |
Режим ввода
Interface Configuration
Состояние по умолчанию
Значение версии EAPOL по умолчанию — 2.
Применение
Перед установкой версии EAPOL необходимо указать управление состоянием авторизации порта с помощью команды dot1x port-control.
Примеры
Вывод команды dot1x protocol-version:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x protocol-version 1
Связанные команды
show dot1x
11.11.6. dot1x timeout quiet-period
Назначение
Команда dot1x timeout quiet-period используется для установки интервала времени ожидания.
Для возврата к настройкам по умолчанию используйте команду no dot1x timeout quiet-period.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x timeout quiet-period SECONDS
no dot1x timeout quiet-period
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SECONDS |
Интервал времени (в секундах) между попытками аутентификации |
1 - 65535 секунд |
Режим ввода
Interface Configuration
Состояние по умолчанию
Значение интервала времени ожидания dot1x по умолчанию — 60 секунд.
Применение
Во время периода ожидания коммутатор не принимает и не инициирует никаких запросов на аутентификацию. Если вы хотите обеспечить более быстрое время отклика для пользователя, введите значение меньшее, чем значение по умолчанию.
Примеры
Вывод команды dot1x timeout quiet-period:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x timeout quiet-period 100
Связанные команды
show dot1x
11.11.7. dot1x handshake
Назначение
Команда dot1x handshake для включения периодической проверки состояния аутентификации клиента. Команда no dot1x handshake возвращает настройку к значению по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x handshake
no dot1x handshake
Режим ввода
Interface Configuration
Состояние по умолчанию
Нет
Применение
Настройка по умолчанию для dot1x handshake - отключено. Когда проверка состояния аутентификации клиента отключена, настройки таймаута проверки состояния аутентификации клиента не должны применяться.
Примеры
Вывод команды dot1x handshake:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x handshake
Связанные команды
dot1x timeout
dot1x max-req
11.11.8. dot1x timeout handshake-period
Назначение
Команда dot1x timeout handshake-period используется для настройки интервала времени между проверками состояния аутентификации.
Для возврата к настройке по умолчанию используйте команду no dot1x timeout handshake-period.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x timeout handshake-period SECONDS
no dot1x timeout handshake-period
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
SECONDS |
Интервал времени (в секундах) между проверками состояния аутентификации для активных пользователей |
5 - 7200 секунд |
Режим ввода
Interface Configuration
Состояние по умолчанию
Значение по умолчанию для параметра dot1x handshake-period — 60 секунд.
Применение
Если период проверки состояния изменен при уже включенной функции проверки, изменения вступят в силу немедленно для активных пользователей.
Примеры
Вывод команды dot1x timeout handshake-period:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x timeout handshake-period 100
Связанные команды
dot1x handshake
dot1x max-req
11.11.9. dot1x reauthentication
Назначение
Команда dot1x reauthentication используется для включения периодической повторной аутентификации клиента.
Для возврата к настройке по умолчанию используйте команду no dot1x reauthentication.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x reauthentication
no dot1x reauthentication
Режим ввода
Interface Configuration
Состояние по умолчанию
Нет
Применение
По умолчанию повторная аутентификация dot1x отключена. Если повторная аутентификация отключена, настройки таймаута повторной аутентификации не вступят в силу.
Примеры
Вывод команды dot1x reauthentication:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x reauthentication
Связанные команды
show dot1x
dot1x timeout
11.11.10. dot1x re-authenticate
Назначение
Команда dot1x re-authenticate в режиме “Privileged EXEC” используется для ручного инициирования повторной аутентификации указанного порта, поддерживающего IEEE 802.1x.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x re-authenticate interface IFNAME
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
IFNAME |
Интерфейс для повторной аутентификации |
Эта функция поддерживает маршрутизируемые порты и порты доступа, но не поддерживает магистральные порты |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Вы можете использовать эту команду для повторной аутентификации клиента без ожидания заданного числа секунд между попытками повторной аутентификации (re-authperiod) и автоматической повторной аутентификации.
Примеры
Вывод команды dot1x re-authenticate:
Switch# dot1x re-authenticate interface eth-0-1
Связанные команды
show dot1x
11.11.11. dot1x timeout
Назначение
Команда dot1x timeout в режиме “Interface Configuration” на стековом или автономном коммутаторе используется для установки таймеров IEEE 802.1x.
Для возврата к настройкам по умолчанию используйте команду no dot1x timeout.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x timeout (re-authperiod SECONDS|server-timeout SECONDS|supp-timeout SECONDS|tx-period SECONDS)
no dot1x timeout (reauth-period|server-timeout|supp-timeout|tx-period)
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
re-authperiod SECONDS |
Установить количество секунд между попытками повторной аутентификации. |
60 - 65535 секунд |
server-timeout SECONDS |
Количество секунд ожидания коммутатором повторной передачи пакетов на сервер аутентификации. |
1 - 65535 секунд |
supp-timeout SECONDS |
Количество секунд ожидания коммутатором повторной передачи пакетов на клиент IEEE 802.1x. |
1-65535 секунд |
tx-period SECONDS |
Количество секунд ожидания коммутатором ответа на EAP-запрос/кадр идентификации от клиента перед повторной передачей запроса. |
1 - 65535 секунд |
Режим ввода
Interface Configuration
Состояние по умолчанию
Нет
Применение
Следует изменять значение этой команды только для корректировки в необычных обстоятельствах, таких как ненадежные соединения или специфические проблемы с определенными клиентами и серверами аутентификации.
Команда dot1x timeout re-authperiod в режиме конфигурации интерфейса влияет на поведение коммутатора только в случае включения периодической повторной аутентификации с помощью команды dot1x reauthentication в режиме конфигурации интерфейса.
Значение по умолчанию для re-authperiod - 3600 секунд.
Значение по умолчанию для tx-period - 30 секунд.
Значение по умолчанию для supp-timeout - 30 секунд.
Значение по умолчанию для server-timeout - 30 секунд.
Примеры
Вывод команды dot1x timeout:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout re-authperiod 4000
Связанные команды
dot1x reauthentication
show dot1x
11.11.12. dot1x guest-vlan
Назначение
Команда dot1x guest-vlan в режиме “Interface Configuration” используется для указания активной VLAN в качестве гостевой VLAN 802.1x.
Для возврата к настройкам по умолчанию используйте команду no dot1x guest-vlan.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x guest-vlan VLAN_ID
no dot1x guest-vlan
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
VLAN_ID |
Указать активную VLAN в качестве гостевой VLAN 802.1x. |
2-4094 |
Режим ввода
Interface Configuration
Состояние по умолчанию
Гостевая VLAN не настроена.
Применение
При настройке гостевой VLAN клиенты, не поддерживающие 802.1x, помещаются в гостевую VLAN, когда сервер не получает ответ на запрос идентификации (EAPOL). Клиенты, поддерживающие 802.1x, но не прошедшие аутентификацию, не получают доступ к сети.
Функция гостевой VLAN не поддерживается на внутренних VLAN (маршрутизируемых портах) или транковых портах; она поддерживается только на портах доступа.
Примеры
Настройка VLAN 5 в качестве гостевой VLAN 802.1x:
Switch# configure terminal
Switch(config)# vlan database
Switch(config-vlan)# vlan 5
Switch(config-vlan)# exit
Switch(config)# interface eth-0-1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x guest-vlan 5
Связанные команды
show dot1x
11.11.13. show dot1x
Назначение
Команда show dot1x в режиме “Privileged EXEC” отображает конфигурацию сеанса IEEE 802.1x, административный статус и рабочий статус для коммутатора или указанного порта.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
show dot1x interface IFNAME
show dot1x session brief ((interface IFPHYSICAL (mac MACADDR| ))| )
show dot1x ( all| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
IFNAME |
Указать интерфейс |
Поддержка физических портов |
MACADDR |
Указать MAC-адрес |
MAC-адрес в формате HHHH.HHHH.HHHH |
all |
Отобразить информацию IEEE 802.1x для всех интерфейсов |
- |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Н/Д
Примеры
Вывод команды show dot1x:
Switch# show dot1x all
Switch# show dot1x all
802.1X Port-Based Authentication Enabled
=====================================
802.1X info for interface eth-0-2
portEnabled : false
portControl : Auto
portMode : Port based
portStatus : Unauthorized
Mac Auth bypass : disabled
reAuthenticate : enabled
reAuthPeriod : 3600
Max user number : 255
Current session number : 0
Accept user number : 0
Reject user number : 0
Guest VLAN : N/A
Assign VLAN : N/A
QuietPeriod : 60
ReqMax : 2
TxPeriod : 30
SuppTimeout : 30
ServerTimeout : 30
CD: adminControlledDirections : in
CD: operControlledDirections : in
CD: bridgeDetected : false
========================================
Связанные команды
dot1x system-auth-ctrl
dot1x port-control
11.11.14. show dot1x statistics
Назначение
Команда show dot1x statistics в режиме “Privileged EXEC” для отображения статистики пакетов IEEE 802.1x EAPOL для коммутатора или для указанного порта.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
show dot1x statistics interface IFNAME
show dot1x statistics (all| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
IFNAME |
Указание интерфейса |
Поддерживаются физические порты |
all |
Отображение информации IEEE 802.1x для всех интерфейсов |
- |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Н/Д
Примеры
Вывод команды show dot1x:
Switch# show dot1x statistics interface eth-0-1
802.1X statistics for interface eth-0-1
EAPOL Frames Rx: 0 - EAPOL Frames Tx: 323
EAPOL Start Frames Rx: 0 - EAPOL Logoff Frames Rx: 0
EAP Rsp/Id Frames Rx: 0 - EAP Response Frames Rx: 0
EAP Req/Id Frames Tx: 241 - EAP Request Frames Tx: 0
Invalid EAPOL Frames Rx: 0 - EAP Length Error Frames Rx: 0
EAPOL Last Frame Version Rx: 0 - EAPOL Last Frame Src: 0000.0000.0000
Связанные команды
dot1x system-auth-ctrl
dot1x port-control
11.11.15. show dot1x radius-server status
Назначение
Команда show dot1x radius-server status используется для вывода статуса сервера RADIUS.
Требования
Платформа |
Программное обеспечение |
Лицензия |
Комментарии |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
show dot1x radius-server status (interface IF_NAME| )
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
IF_NAME |
Имя порта |
eth-x-x |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Нет
Связанные команды
Нет
11.11.16. show running-config interface dot1x
Назначение
Команда show running-config interface dot1x состояния dot1x на портах.
Требования
Платформа |
Программное обеспечение |
Лицензия |
Комментарии |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
show running-config interface IF_NAME dot1x
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Нет
Связанные команды
Нет
11.11.17. show running-config switch dot1x
Назначение
Команда show running-config switch dot1x используется для вывода состояния dot1x на коммутаторе (глобально).
Требования
Платформа |
Программное обеспечение |
Лицензия |
Комментарии |
|---|---|---|---|
AQ-N3000 |
7.4.0 |
Advanced |
- |
AQ-N5000 |
7.4.0 |
Advanced |
- |
AQ-N6000 |
7.4.0 |
Advanced |
- |
Синтаксис
show running-config switch dot1x
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Нет
Примеры
Вывод информации о глобальном состоянии dot1x (включен):
Switch# show running-config switch dot1x
Building configuration...
!
dot1x system-auth-ctrl
!
Вывод информации о глобальном состоянии dot1x (отключен):
Switch# show running-config switch dot1x
Building configuration...
!
Switch#
Связанные команды
Нет
11.11.18. debug dot1x
Назначение
Команда debug dot1x используется для включения отладки модуля dot1x.
Чтобы вернуть настройки по умолчанию, используйте команду no debug dot1x.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
debug dot1x (event|timer|packet|all)
no debug dot1x (event|timer|packet|all)
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
event |
вывод отладочных сообщений о событиях dot1x |
- |
timer |
вывод отладочных сообщений о таймерах dot1x |
- |
packet |
вывод отладочных сообщений о пакетах dot1x, включая отправленные и полученные |
- |
all |
вывод всех отладочных сообщений, указанных выше |
- |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Команда terminal monitor используется для отображения отладочных сообщений непосредственно в виртуальном терминале (VTY).
Команда show logging buffer используется для проверки отладочных сообщений в буфере журналов.
Примеры
Включение всех отладочных переключателей dot1x:
Switch# debug dot1x all
Связанные команды
terminal monitor
show logging buffer
11.11.19. clear dot1x statistics
Назначение
Команда clear dot1x statistics в режиме “Privileged EXEC”, чтобы очистить статистику IEEE 802.1x для коммутатора или указанного порта.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
clear dot1x statistics
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Используйте команду clear dot1x для очистки статистики IEEE 802.1x для коммутатора или указанного порта.
Используйте команду show dot1x, чтобы отобразить статистику IEEE 802.1x.
Примеры
Использование команды clear dot1x:
Switch# clear dot1x statistics
Связанные команды
dot1x system-auth-ctrl
dot1x port-control
show dot1x
11.11.20. dot1x port-mode
Назначение
Команда dot1x port-mode используется для установки режима управления интерфейсом.
Используйте команду no dot1x port-mode для восстановления значения по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x port-mode (port|mac)
no dot1x port-mode
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
port |
Установить режим dot1x на основе порта |
- |
mac |
Установить режим dot1x на основе MAC-адреса |
- |
Режим ввода
Interface Configuration
Состояние по умолчанию
По умолчанию используется режим “Port”.
Применение
Используйте команду dot1x port-mode для установки режима управления интерфейсом.
Используйте команду no dot1x port-mode для восстановления значения по умолчанию.
Перед установкой режима управления необходимо включить dot1x port-control.
Режим управления не может быть изменен, если присутствуют аутентифицированные клиенты.
Примеры
Использование команды dot1x port-mode:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x port-mode mac
Связанные команды
dot1x port-control
11.11.21. dot1x max-user
Назначение
Команда dot1x max-user используется для установки максимального количества пользователей на интерфейсе.
Используйте команду no dot1x max-user для восстановления значения по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x max-user COUNT
no dot1x max-user
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
COUNT |
Максимальное количество пользователей на порту |
1 - 255 |
Режим ввода
Interface Configuration
Состояние по умолчанию
По умолчанию количество пользователей на порту не ограничено. Максимальное количество зависит от профиля аппаратного обеспечения системы.
Применение
Используйте команду dot1x max-user для установки максимального количества пользователей на интерфейсе.
Используйте команду no dot1x max-user для восстановления значения по умолчанию.
Перед установкой максимального значения необходимо включить dot1x port-control.
Если на линии есть пользователи, установленное значение должно быть больше или равно количеству текущих пользователей.
Установленное значение не может превышать значение, ограниченное аппаратной реализацией для платформы (серии). Текущее значение можно узнать при помощи команды show stm prefer в строке number of dot1x mac based.
Это значение должно ограничивать количество пользователей dot1x на основе MAC-адреса в состояниях “accept”, “reject” и “reauth”. Общее количество пользователей, включая состояние “waiting”, должно быть в 2 раза больше выбранного количества.
Примеры
Использование команды dot1x max-user:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x max-user 10
Связанные команды
dot1x port-control
11.11.22. dot1x re-activate radius-server
Назначение
Команда dot1x re-activate radius-server используется для реинициализации указанных серверов RADIUS.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x re-activate radius-server (all| )
dot1x re-activate radius-server host HOST_IP_ADDR {acct-port PORT|auth-port PORT| }
dot1x re-activate radius-server interface IFNAME
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
all |
Реактивировать все серверы RADIUS |
- |
HOST_IP_ADDR |
IP-адрес сервера, который необходимо реактивировать |
IPv4-адрес |
PORT |
Номер UDP-порта. По умолчанию - |
1 - 65535 |
IFNAME |
Реактивировать серверы RADIUS подключенные к порту |
Поддерживаются L3-интерфейсы и access-порты, не поддерживаются trunk-порты |
Режим ввода
Privileged EXEC
Состояние по умолчанию
Нет
Применение
Используйте эту команду для реинициализации сервера RADIUS.
Примеры
Использование команды dot1x re-active radius-server:
Switch# dot1x re-activate radius-server
Switch# dot1x re-activate radius-server host 3.3.3.3 auth-port 1812
Switch# dot1x re-activate radius-server interface eth-0-9
Связанные команды
radius-server host
radius-server deadtime
show radius-server
11.11.23. dot1x accounting-mode radius
Назначение
Команда dot1x accounting-mode radius используется для глобального запуска функции аутентификации dot1x.
Для удаления этой настройки используйте команду no dot1x accounting-mode radius.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x accounting-mode radius
no dot1x accounting-mode
Режим ввода
Global Config
Состояние по умолчанию
Отключено
Применение
Эта команда используется для глобального запуска функции аутентификации dot1x. В момент ввода команда не применяется к пользователям, которые уже аутентифицированы.
Примеры
Использование команды dot1x accounting-mode radius:
Switch# configure terminal
Switch(config)# dot1x accounting-mode radius
Switch(config)# no dot1x accounting-mode
Связанные команды
Нет
11.11.24. dot1x accounting start-fail
Назначение
Команда dot1x accounting start-fail используется для глобальной настройки политики при сбое запуска аутентификации.
Для восстановления значения по умолчанию используйте команду no dot1x accounting start-fail.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x accounting start-fail (offline|online)
no dot1x accounting start-fail
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
offline |
Настройка политики start-fail: отклонить пользователя для подключения в случае сбоя запуска. |
- |
online |
Настройка политики start-fail: разрешить пользователю подключиться в случае сбоя запуска. |
- |
Режим ввода
Global Config
Состояние по умолчанию
Offline
Применение
Устройство отправляет начальный пакет аутентификации на сервер аутентификации после подключения пользователя. Политика start-fail будет выполнена при отсутствии ответа от сервера аутентификации. В момент ввода команда не применяется к пользователям, которые уже аутентифицированы.
Примеры
Использование команды dot1x accounting start-fail:
Switch# configure terminal
Switch(config)# dot1x accounting start-fail online
Switch(config)# dot1x start-fail offline
Связанные команды
dot1x accounting-mode radius
11.11.25. dot1x accounting realtime
Назначение
Команда dot1x accounting realtime используется для глобального включения функции аутентификации dot1x в реальном времени и установки интервала аутентификации в реальном времени.
Для удаления этой настройки используйте команду no dot1x accounting realtime.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x accounting realtime INTERVAL
no dot1x accounting realtime
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
INTERVAL |
Установить интервал для отправки пакета аутентификации в реальном времени |
1 - 65535 minute |
Режим ввода
Global Config
Состояние по умолчанию
Интервал аутентификации dot1x в реальном времени по умолчанию не настроен, что означает, что аутентификация в реальном времени отключена.
Применение
Используйте эту команду для глобального включения функции аутентификации dot1x в реальном времени или изменения интервала аутентификации в реальном времени. В момент ввода команда не применяется к пользователям, которые уже аутентифицированы.
Примеры
Использование команды dot1x accounting realtime:
Switch# configure terminal
Switch(config)# dot1x accounting realtime 1
Switch(config)# no dot1x accounting realtime
Связанные команды
dot1x accounting-mode radius
11.11.26. dot1x accounting interim-fail
Назначение
Команда dot1x accounting interim-fail используется для глобальной настройки максимально допустимого количества запросов аутентификации, не получивших ответа и установки политики для подобных случаев.
Для восстановления значения по умолчанию используйте команду no dot1x accounting interim-fail.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.0 |
Advanced |
- |
AQ-N5000 |
7.0 |
Advanced |
- |
AQ-N6000 |
7.0 |
Advanced |
- |
Синтаксис
dot1x accounting interim-fail (max-times TIMES| ) (offline|online)
no dot1x accounting interim-fail
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
TIMES |
Настройка максимального количества допустимых периодов без ответа на запрос аутентификации в реальном времени |
1 - 255 |
offline |
Настройка политики на случай неудачи аутентификации: запрет пользователю доступа к сети. |
- |
online |
Настройка политики на случай неудачи аутентификации: разрешение пользователю доступа к сети. |
- |
Режим ввода
Global Config
Состояние по умолчанию
Политика по умолчанию: max-times 3 online для случая ошибки промежуточного аутентификации.
Применение
В момент ввода команда не применяется к пользователям, которые уже аутентифицированы.
Примеры
Использование команды dot1x accounting interim-fail:
Switch# configure terminal
Switch(config)# dot1x accounting interim-fail max-times 2 offline
Switch(config)# no dot1x accounting interim-fail
Связанные команды
dot1x accounting-mode radius dot1x accounting realtime
11.11.27. dot1x auth-fail-vlan
Назначение
Команда dot1x auth-fail-vlan используется для настройки указанной VLAN в качестве auth-fail-VLAN.
Команда no dot1x auth-fail-vlan используется для отмены настройки VLAN в качестве auth-fail-VLAN.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.4.0 |
Advanced |
- |
AQ-N5000 |
7.4.0 |
Advanced |
- |
AQ-N6000 |
7.4.0 |
Advanced |
- |
Синтаксис
dot1x auth-fail-vlan <2-4094>
Режим ввода
Interface Configuration
Состояние по умолчанию
По умолчанию auth-fail-VLAN не назначен.
Применение
Auth-fail-VLAN используется для перемещения в нее сетевых устройств, не прошедших аутентификацию.
Перед назначением определенной VLAN в качестве auth-fail-VLAN она должна быть создана, а на порте должен быть включен dot1x.
Примеры
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x auth-fail-vlan 2
Связанные команды
Нет
11.11.28. dot1x critical-vlan
Назначение
Команда dot1x critical-vlan используется для настройки указанной VLAN в качестве critical-VLAN.
Команда no dot1x critical-vlan используется для отмены настройки VLAN в качестве critical-VLAN.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.4.0 |
Advanced |
- |
AQ-N5000 |
7.4.0 |
Advanced |
- |
AQ-N6000 |
7.4.0 |
Advanced |
- |
Синтаксис
dot1x critical-vlan <2-4094>
Режим ввода
Interface Configuration
Состояние по умолчанию
По умолчанию critical-VLAN не назначен.
Применение
Critical-VLAN используется для перемещения в нее сетевых устройств, при попытке аутентификации которых сервер RADIUS оказался недоступен.
Перед назначением определенной VLAN в качестве critical-VLAN она должна быть создана, а на порте должен быть включен dot1x.
Примеры
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x critical-vlan 2
Связанные команды
Нет
11.11.29. dot1x mac-auth-bypass
Назначение
Команда dot1x mac-auth-bypass используется для включения MAB на порте.
Команда no dot1x mac-auth-bypass используется для отключения MAB на порте.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.4.0 |
Advanced |
- |
AQ-N5000 |
7.4.0 |
Advanced |
- |
AQ-N6000 |
7.4.0 |
Advanced |
- |
Синтаксис
dot1x mac-auth-bypass
no dot1x mac-auth-bypass
Режим ввода
Interface Configuration
Состояние по умолчанию
По умолчанию MAB отключен.
Применение
Для включения MAB сначала необходимо включить dot1x на порте в режиме “MAC” (команда dot1x port-mode mac).
Примеры
Включение dot1x на порте в режиме “MAC”, включение MAB:
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x port-mode mac
Switch(config-if)# dot1x mac-auth-bypass
Связанные команды
Нет
11.11.30. dot1x set-priority
Назначение
Команда dot1x set-priority используется для установки приоритетного способа аутентификации - dot1x или MAB.
Команда no dot1x set-priority используется для установки приоритетного способа аутентификации по умолчанию.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.4.0 |
Advanced |
- |
AQ-N5000 |
7.4.0 |
Advanced |
- |
AQ-N6000 |
7.4.0 |
Advanced |
- |
Синтаксис
dot1x set-priority (dot1x|mab)
dot1x set-priority
Параметр |
Описание параметра |
Значение параметра |
|---|---|---|
dot1x |
Установка аутентификации IEEE 802.1x в приоритет |
- |
mab |
Установка аутентификации MAB в приоритет |
- |
Режим ввода
Interface Configuration
Состояние по умолчанию
Dot1x
Применение
Команда dot1x set-priority предоставляет возможность клиенту использовать оба метода аутентификации: “dot1x” и “MAB”, вследствие чего повышается надежность процедуры аутентификации.
Аутентификация начинается с приоритетного метода, переключение на другой метод происходит после истечения таймера (команда dot1x timeout tx-period).
Для применения настройки на порте должен быть включен MAB (команда dot1x mac-auth-bypass).
Примеры
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dot1x set-priority mab
Связанные команды
Нет
11.11.31. switchport mode hybrid
Назначение
Команда switchport mode hybrid используется для установки гибридного режима работы порта.
Команда no switchport mode hybrid используется для отключения гибридного режима работы порта.
Требования
Серия |
Версия ОС |
Тип лицензии |
Примечания |
|---|---|---|---|
AQ-N3000 |
7.4.0 |
Advanced |
- |
AQ-N5000 |
7.4.0 |
Advanced |
- |
AQ-N6000 |
7.4.0 |
Advanced |
- |
Синтаксис
switchport mode hybrid
no switchport mode hybrid
Режим ввода
Interface Configuration
Состояние по умолчанию
Отключено
Применение
Гибридный режим работы порта предназначен для автоматического добавления VoIP-устройств в голосовую VLAN после успешной аутентификации.
Для корректного добавления VoIP-устройств в голосовую VLAN, она должна быть глобально включена на коммутаторе (команда voice vlan enable).
Команда switchport mode hybrid должна быть применена до включения dot1x на порте.
Примеры
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# switchport mode hybrid
Связанные команды
Нет
11.11.32. switchport hybrid vlan
Назначение
Команда switchport hybrid vlan используется для установки VLAN по умолчанию для порта, работающего в гибридном режиме.
Команда no switchport hybrid vlan используется для отмены установки VLAN по умолчанию.
Требования
Платформа |
Программное обеспечение |
Лицензия |
Комментарии |
|---|---|---|---|
AQ-N3000 |
7.4.0 |
Advanced |
- |
AQ-N5000 |
7.4.0 |
Advanced |
- |
AQ-N6000 |
7.4.0 |
Advanced |
- |
Синтаксис
switchport hybrid vlan <2-4094>
no switchport hybrid vlan
Режим ввода
Interface Configuration
Состояние по умолчанию
VLAN не настроен
Применение
Команда работает аналогично команде switchport access vlan, но в режиме гибридного порта.
Примеры
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# switchport hybrid vlan 3
Связанные команды
Нет