Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

show dot1x interface

语法

描述

显示所有端口的当前运行状态以及已连接用户的列表。

此命令显示从 RADIUS 身份验证服务器接收的连接请求方的列表,而不考虑会话状态,即,对于经过身份验证的请求方和尝试身份验证的请求方。

选项

none

显示所有验证器端口的信息。

brief | detail | extensive

(可选)显示指定的输出级别。

interface interface-name

(可选)显示指定接口的信息以及已连接请求方的列表。

所需权限级别

视图

输出字段

表 1 列出了命令 show dot1x interface 的输出字段。输出字段按其出现的大致顺序列出。

表 1:显示 dot1x 接口输出字段

字段名称

字段说明

输出级别

Interface

端口的名称。

MAC address

端口上已连接请求方的 MAC 地址。

Role

接口的 802.1X 身份验证角色。在接口上启用 802.1X 时,角色为 身份验证器。作为 身份验证器,接口会阻止 LAN 访问,直到请求方通过 802.1X 或 MAC RADIUS 身份验证进行身份验证。

briefdetail

State

端口的状态:

  • 已通过身份验证 - 请求方已通过 RADIUS 服务器进行身份验证,或者已允许通过服务器故障回退进行访问。

  • 身份验证 — 请求方通过 RADIUS 服务器进行身份验证。

  • 已保留 — 在 RADIUS 服务器超时期间,已通过服务器故障回退触发操作。请求方被拒绝访问、允许通过指定 VLAN 进行访问,或保持在发生 RADIUS 服务器超时之前授予它的经过身份验证的状态。

briefextensive

User

已连接请求方的用户名。

brief, extensive

Administrative state

端口的管理状态:

  • auto — 根据身份验证结果允许流量通过端口(默认情况下)。

  • 强制授权 — 无论身份验证结果如何,所有流量都流经端口。VLAN 成员资格已设置为 动态的接口上不允许此状态。

  • 强制取消授权 — 无论身份验证结果如何,端口上的所有流量都会丢弃。VLAN 成员资格已设置为 动态的接口上不允许此状态。

detail

Supplicant

请求方的模式:

  • 单一 - 仅对第一个请求方进行身份验证。稍后连接到端口的所有其他请求方都可以完全访问,而无需任何进一步的身份验证。他们有效地 利用 了第一个请求方的身份验证。

  • 单一安全 — 只允许一个请求方连接到端口。在第一个请求方注销之前,不允许其他请求方进行连接。

  • 多个 — 允许多个请求方连接到端口。每个请求方都经过单独身份验证。

detail

Quiet period

在与请求方进行失败的身份验证交换后,端口在重试身份验证之前等待的秒数。

detail

Transmit period

端口在将初始 EAPOL PDU 重新传输到请求方之前等待的秒数。

detail

MAC Radius

MAC RADIUS 身份验证:

  • 已启用 — 设备向连接主机发送 EAPOL 请求以尝试 802.1X 身份验证,如果连接主机无响应,设备将尝试使用 MAC 地址对主机进行身份验证。

  • 禁用 - 默认值。设备不会尝试验证连接主机的 MAC 地址。

detail

MAC Radius authentication protocol

MAC RADIUS 身份验证协议:

  • EAP-MD5 — EAP-MD5 协议用于 MAC RADIUS 身份验证。EAP-MD5 是属于可扩展身份验证协议 (EAP) 身份验证框架的身份验证方法。EAP-MD5 是默认的身份验证协议。

  • PAP — 密码认证协议 (PAP) 认证协议用于 MAC RADIUS 认证。

detail

MAC Radius restrict

身份验证方法仅限于 MAC RADIUS。未启用 802.1X 身份验证。

detail

Reauthentication

重新身份验证状态:

  • 禁用 — 禁用客户端的定期重新身份验证。

  • 间隔 - 设置定期重新验证时间间隔。

detail

Supplicant timeout

在重新发送请求之前,将来自身份验证服务器的请求中继到请求方时,端口等待响应的秒数。

detail

Server timeout

在超时之前将请求方的响应中继到身份验证服务器时,端口等待回复的秒数。

detail

Maximum EAPOL requests

在身份验证会话超时之前,EAPOL 请求数据包重新传输到请求方的最大次数。

detail

Number of clients bypassed because of authentication

通过静态 MAC 旁路授予 LAN 访问权限的非 802.1X 客户端的数量。将显示以下字段:

  • 客户端 - 客户端的 MAC 地址。

  • VLAN — 客户端连接到的 VLAN 的名称。

detail

Guest VLAN member

使用访客 VLAN 对请求方进行身份验证时请求方连接到的 VLAN。如果未在接口上配置访客 VLAN,则此字段将显示<未配置>。

detail

Retain mac aged session

IEEE 802.1X 客户端在其 MAC 地址老化时的行为:

  • 已启用 — 即使 IEEE 802.1X 客户端的 MAC 地址老化,也能保持其活动状态,并再次重新学习 MAC 地址。

  • 禁用 - 默认值。当 MAC 地址老化时,不会重新学习 MAC 地址。

detail

Number of connected supplicants

连接到端口的请求方数量。

detail

Supplicant

已连接请求方的用户名和 MAC 地址。

detail

Authentication method

`

请求方使用的身份验证方法:

  • CWA Authentication— 请求方由中央 Web 认证 (CWA) 服务器进行身份验证。

  • Guest VLAN— 请求方通过访客 VLAN 连接到 LAN。

  • MAC RADIUS— 无响应主机根据其 MAC 地址进行身份验证。MAC 地址在 RADIUS 服务器上配置为允许的。RADIUS 服务器会让设备知道 MAC 地址是允许的地址,并且设备会打开对所连接接口上无响应主机的 LAN 访问。

  • RADIUS— 在 RADIUS 服务器上配置请求方,RADIUS 服务器将此通信给设备,设备在请求方连接的接口上打开 LAN 访问。

  • Server-fail- 以下回退操作之一生效,因为无法访问 RADIUS 服务器。指示 EAPOL 阻止是否有效,以及 EAPOL 阻止的剩余时间(以秒为单位)。

    • deny— 请求方被拒绝访问 LAN,从而阻止流量从请求方流经接口。这是默认的服务器故障回退操作。

    • permit— 允许请求方访问 LAN,就像请求方已通过 RADIUS 服务器的成功身份验证一样。

    • use-cache- 如果请求方尝试重新进行身份验证时 RADIUS 服务器超时,则仅当请求方先前已通过身份验证时,才会重新对其进行身份验证;否则,请求方将被拒绝 LAN 访问。

    • VLAN— 如果 RADIUS 服务器无法对请求方重新进行身份验证,则请求方配置为移动到指定的 VLAN。(VLAN 必须已存在于设备上。)

detail, extensive

Authenticated VLAN

请求方连接到的 VLAN。

detail, extensive

Dynamic filter

RADIUS 服务器发送的用户策略筛选器。

detail

Group Based Policy (GBP) ID

瞻博网络交换过滤器 VSA 或基于瞻博网络组策略 ID VSA 接收的已配置的 GBP 标记。

detail

Session Reauth interval

配置的重新身份验证间隔。

detail

Reauthentication due in

为连接的请求方再次进行重新身份验证的秒数。

detail

Session Accounting Interim Interval

临时 RADIUS 记帐消息之间的秒数。

detail

Accounting Update due in

下一次临时 RADIUS 记帐更新到期前的秒数。

detail

CWA Redirect URL

用于将请求方重定向到中央 Web 服务器进行身份验证的 URL。

detail

经过身份验证的 VoIP VLAN

请求方连接到的 VoIP VLAN。

detail, extensive

示例输出

显示 dot1x 接口简介

显示 dot1x 接口详细信息(为 QFX 和 EX 交换机配置 GBP)

显示 dot1x 接口广泛

发布信息

在 Junos OS 版本 15.1X49-D80 中引入的命令。

Junos OS 19.4R1 版中引入的广泛选项,用于显示与简要选项相比的其他字段。其他字段包括 authentication methodvlan-id

显示 dot1x 接口详细信息(以检查经过身份验证的 VoIP VLAN)