《X典型配置指导》word版.doc

02-802.1X典型配置指导目 录1 802.1X典型配置指导.1-11.1 802.1X简介.1-11.2 802.1X典型配置指导.1-11.2.1应用需求.1-11.2.2配置思路.1-11.2.3适用产品、版本.1-21.2.4配置过程和解释.1-31.2.5完整配置.1-111.2.6配置注意事项.1-121.3 802.1X设备单播触发典型配置案例.1-121.3.1应用需求.1-121.3.2配置思路.1-131.3.3适用产品、版本.1-131.3.4配置过程和解释.1-131.3.5完整配置.1-161.3.6配置注意事项.1-161.4 802.1X的Guest VLAN、动态VLAN下发典型配置举例.1-161.4.1应用需求.1-161.4.2配置思路.1-171.4.3适用产品、版本.1-181.4.4配置过程和解释.1-191.4.5完整配置.1-221.4.6配置注意事项.1-221.5下发ACL和802.1X重认证应用典型配置指导.1-231.5.1应用需求.1-231.5.2配置思路.1-231.5.3适用产品、版本.1-241.5.4配置过程和解释.1-241.5.5完整配置.1-251.5.6配置注意事项.1-261.6 802.1X客户端EAD方案典型配置指导.1-261.6.1应用需求.1-261.6.2配置思路.1-271.6.3适用产品、版本.1-271.6.4配置过程和解释.1-281.6.5 完整配置.1-291.6.6配置注意事项.1-29 1802.1X典型配置指导1.1 802.1X简介IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于端口的网络接入控制协议（Port Based Network Access Control）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。1.2 802.1X典型配置指导1.2.1 应用需求用户通过Switch的端口GE1/0/1接入网络。要求通过对接入设备的配置实现用户的802.1X认证，以控制其访问Internet。具体需求：l 用户采用iNode客户端进行802.1X认证。l 认证、授权、计费服务器均采用iMC服务器。l Switch的端口GE1/0/1下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。l 认证时，先进行RADIUS认证，如果RADIUS服务器没有响应再转而进行本地认证；计费时，采用包月计费方式，每月30小时，20元。图1-1802.1X接入认证组网示意图 1.2.2 配置思路(1) 配置Radius服务器（本例以iMC服务器配置为例）l 增加接入设备：建立iMC服务器和接入设备Switch之间的联动关系。l 增加计费策略：建立iMC CAMS的计费策略。l 增加服务：用户进行认证、授权、计费的各种策略的集合。l 增加接入用户：包含帐号名、密码等信息。(2) 配置接入设备Switchl 创建本地用户，用户名为guest，密码为123456。l 配置RADIUS方案radius1，指定RADIUS认证/授权/计费服务器IP地址为10.1.1.3；Switch与RADIUS服务器交互报文时的共享密钥为expert。l 设置交换机在向RADIUS服务器发送报文后5秒种内如果没有得到响应就向其重新发送报文，发送报文的次数总共为5次，设置系统每15分钟就向RADIUS服务器发送一次实时计费报文。l 创建ISP域test，并在该域下配置所有802.1X用户登录时采用的认证方案为radius1，并采用local作为备选方案。l 开启全局和端口GE1/0/1下的802.1X功能，802.1X用户的接入控制方式是基于MAC地址的接入控制方式。(3) 配置iNode客户端1.2.3 适用产品、版本表1-1配置适用的产品与软硬件版本关系产品软件版本S7500E系列以太网交换机Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列S7600系列以太网交换机Release 6600系列，Release 6610系列S5800&S5820X系列以太网交换机Release 1110，Release 1211CE3000-32F以太网交换机Release 1211S5500-EI系列以太网交换机Release 2202，Release 2208S5500-EI-D系列以太网交换机Release 2208S5500-SI系列以太网交换机Release 2202，Release 2208S5120-EI系列以太网交换机Release 2202，Release 2208S5120-EI-D系列以太网交换机Release 1505S5120-SI系列以太网交换机Release 1101，Release 1505S5120-LI系列以太网交换机Release 1107E552&E528以太网交换机Release 1103S3610&S5510系列以太网交换机Release 5301，Release 5303，Release 5306，Release 5309S3500-EA系列以太网交换机Release 5303，Release 5309S3100V2系列以太网交换机Release 5103E126B以太网交换机Release 5103 1.2.4 配置过程和解释1.RADIUS服务器上的配置（以iMC服务器为例）下面以iMC为例（使用iMC版本为：iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102），说明RADIUS server的基本配置。 iMC服务器上的配置主要包含如下四步：l 增加接入设备：建立iMC服务器和接入设备之间的联动关系。l 增加计费策略：配置计费方案。l 增加服务：配置对用户进行认证、授权、计费的各种策略。l 增加接入用户：添加802.1X用户的帐号名、密码等信息。具体配置如下：(1) 增加接入设备。登录进入iMC管理平台，选择“业务”页签，单击导航树中的接入业务/接入设备配置菜单项，进入“接入设备配置”页面，在该页面中单击“增加”按钮，进入增加接入设备页面。l 设置与Switch交互报文时的认证、计费共享密钥为expert；l 设置认证及计费的端口号分别为1812和1813；l 选择业务类型为“LAN接入业务”；l 选择接入设备类型为H3C；l 选择或手工增加接入设备，添加IP地址为192.168.0.1的接入设备。图1-2增加接入设备 (2) 增加计费策略选择“业务”页签，单击导航树中的计费策略管理菜单项，在该页面中单击“增加”按钮，进入增加计费策略页面。l 配置策略名称“test”；l 计费策略模板选择“包月类型计费”；l 包月基本信息：计费方式“按时长”，计费周期类型“月”，周期内固定费用“20”元；l 包月使用量限制设置：周期内限制量“30”，周期内限制单位“小时”；l 其它参数采用缺省值，点击按钮。 (3) 增加服务。选择“业务”页签，单击导航树中的接入业务/服务配置管理菜单项，进入“服务配置管理”页面，在该页面中单击“增加”按钮，进入增加服务配置页面。l 输入服务名“service1”(可以任意命名)，服务后缀“test”（关于服务后缀的设置规则请参考表1-2）；l 计费策略选择上一步中设置的“test”策略；l 其它参数采用缺省值；l 点击按钮。 (4) 增加接入用户。选择“用户”页签，单击导航树中的接入用户视图/所有接入用户菜单项，进入“所有接入用户”列表页面，在该页面中单击按钮，进入增加接入用户页面。l 单击按钮，添加用户信息；l 选择或增加新用户；l 输入帐号名“guest”（该帐号为用户接入网络时使用的标识），密码“123456”；l 在接入服务部分选中“service1”；l 点击按钮。 2.接入设备上的配置(1) 配置各接口的IP地址。 system-viewSwitch interface vlan-interface 1Switch-vlan-interface1 ip address 192.168.0.1 255.255.255.0Switch-vlan-interface1 quit(2) 添加本地接入用户，用户名为guest，密码为123456。Switch local-user guestSwitch-luser-guest service-type lan-accessSwitch-luser-guest password simple 123456Switch-luser-guest quit(3) 配置RADIUS方案#创建RADIUS方案radius1并进入其视图。Switch radius scheme radius1#设置主认证/授权/计费RADIUS服务器的IP地址。Switch-radius-radius1 primary authentication 10.1.1.3Switch-radius-radius1 primary accounting 10.1.1.3#设置系统与RADIUS服务器交互报文时的共享密钥。Switch-radius-radius1 key authentication expertSwitch-radius-radius1 key accounting expert#设置服务类型为extended.Switch-radius-radius1 server-type extended#设置系统向RADIUS服务器重发报文的时间间隔与次数。Switch-radius-radius1 timer response-timeout 5Switch-radius-radius1 retry 5#设置系统向RADIUS服务器发送实时计费报文的时间间隔。Switch-radius-radius1 timer realtime-accounting 15#查看并确认RADIUS方案的配置。Switch-radius-radius1 display this#radius scheme radius1 server-type extended primary authentication 10.1.1.3 primary accounting 10.1.1.3 key authentication expert key accounting expert timer realtime-accounting 15 timer response-timeout 5 retry 5Switch-radius-radius1 quit(4) 创建并配置域#创建域test并进入其视图。Switch domain test#指定radius1为该域用户的RADIUS方案，并采用local作为备选方案。Switch-isp-test authentication default radius-scheme radius1 localSwitch-isp-test authorization default radius-scheme radius1 localSwitch-isp-test accounting default radius-scheme radius1 local#设置该域最多可容纳30个用户。Switch-isp-test access-limit enable 30#启动闲置切断功能并设置相关参数。Switch-isp-test idle-cut enable 20#配置域test为缺省用户域。Switch domain default enable test(5) 配置802.1X功能#开启指定端口GE1/0/1的802.1X功能。Switch interface gigabitthernet 1/0/1Switch-GigabitEthernet1/0/1 dot1xSwitch-GigabitEthernet1/0/1 quit#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。Switch dot1x port-method macbased interface gigabitethernet 1/0/1#开启全局802.1 X功能。Switch dot1x3.接入用户上的配置接入用户需要安装H3C公司iNode客户端，然后进行如下操作：(1) 启动客户端图1-3iNode客户端界面示意图 (2) 新建802.1X连接点击按钮，接入新建连接向导对话框，并选择“802.1X协议”。图1-4新建802.1X连接示意图 (3) 输入用户名和密码图1-5802.1X用户名、密码配置示意图 需要注意：iNode认证连接的用户名，备用于认证的域，以及服务器的后缀三者密切相连，具体的配置关系参加下表。表1-2认证域配置关系表iNode认证连接的用户名设备用于认证的domian设备配置的相关命令iMC中的服务后缀XYYwith-domainYwithout-domain无XDefault domain(设备上指定的缺省域)with-domainDefault domainwithout-domain无 (4) 设置连接属性图1-6802.1X连接属性配置示意图 需要注意的是：用户选项中如果选择了“上传客户端版本号”则客户端会对标准的认证协议进行扩展，在上传用户名的报文中添加客户端版本号来与iMC服务器配合进行认证。如果不选此项，则采用标准的EAP报文进行身份认证。本例的认证方式是RADIUS认证失败转本地认证，由于本地认证不能对客户端上传的版本号进行识别，因此请不要勾选“上传客户端版本号”选项。(5) 创建新连接图1-7完成新建连接示意图 (6) 启动连接完成新建连接后，点击iNode客户端的按钮，发起802.1X连接。图1-8802.1X启动连接示意图 输入正确的用户名和密码后，客户端认证成功，可以正常使用网络。图1-9802.1X连接成功示意图 1.2.5 完整配置l 接入设备Switch上的完整配置如下# domain default enable test# dot1x#vlan 1#radius scheme radius1 server-type extended primary authentication 10.1.1.3 primary accounting 10.1.1.3 key authentication name key accounting money timer realtime-accounting 15 timer response-timeout 5 retry 5#domain test authentication default radius-scheme radius1 local authorization default radius-scheme radius1 local accounting default radius-scheme radius1 local access-limit enable 30 state active idle-cut enable 20 10240 self-service-url disable#local-user guest password simple 123456 service-type lan-access#interface Vlan-interface1 ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet1/0/1 dot1x#1.2.6 配置注意事项l 使能全局的802.1X认证功能一般放在最后，因为当相关参数未配置完成时，会造成合法用户无法访问网络。l 只有同时开启全局和端口的802.1X特性后，802.1X的配置才能在端口上生效。l 一般情况下，用户无需使用dot1x timer命令改变部分定时器值，除非在一些特殊或恶劣的网络环境下，可以使用该命令调节交互进程。例如，用户网络状况比较差的情况下，可以适当地将客户端认证超时定时器值调大一些；网络处在风险位置，容易受攻击的情况下，可以适当地将静默定时器值调大一些，反之，可以将其调小一些来提高对用户认证请求的响应速度。另外，可以通过调节认证服务器超时定时器的值来适应认证服务器性能的不同情况。l 对于802.1X用户，如果采用EAP中继认证方式，则设备会把客户端输入的内容直接封装后发给服务器，这种情况下user-name-format命令的设置无效。1.3 802.1X设备单播触发典型配置案例1.3.1 应用需求用户Host通过Switch的端口GE1/0/1接入网络。为了提高网络的安全性，要求通过对接入设备的配置实现接入用户的802.1X认证，以控制其访问Internet，且用户网络内不希望出现过多的认证触发报文。具体需求：l 用户采用Windows XP自带的802.1X客户端软件进行认证。l 认证/授权服务器均采用iMC服务器。l 802.1X用户的接入控制方式是基于MAC地址的接入控制方式，认证时，采用进行RADIUS认证、授权方式。l 所有接入用户都属于一个缺省的域：guest，该域最多可容纳30个用户。图1-10802.1X接入认证组网示意图二 1.3.2 配置思路本例与上例的主要区别在于：l 客户端采用了Windows XP自带的802.1X客户端进行认证l 客户端网络不希望收到太多的EAP认证触发报文由于Windows XP自带的802.1X客户端不能主动发送EAPOL-Start报文，且客户端网络不希望收到太多的EAP认证触发报文，因此建议关闭802.1X的组播触发方式（交换机默认开启），开启802.1X的单播触发方式，在该方式下，当端口GE1/0/1收到一个数据帧，且该数据帧的源MAC地址不在设备当前的MAC地址表中，则认为端口下有新用户接入，此时设备将从该端口发送单播报文来触发802.1X认证。设备上的其它配置，同上例类似，这里不再重复描述。1.3.3 适用产品、版本表1-3配置适用的产品与软硬件版本关系产品软件版本S7500E系列以太网交换机Release 6600系列，Release 6610系列S7600系列以太网交换机Release 6600系列，Release 6610系列S5800&S5820X系列以太网交换机Release 1110，Release 1211CE3000-32F以太网交换机Release 1211S5500-EI系列以太网交换机Release 2208S5500-EI-D系列以太网交换机Release 2208S5500-SI系列以太网交换机Release 2208S5120-EI系列以太网交换机Release 2208S5120-EI-D系列以太网交换机Release 1505S5120-SI系列以太网交换机Release 1505S3100V2系列以太网交换机Release 5103E126B以太网交换机Release 5103 1.3.4 配置过程和解释1.RADIUS服务器上的配置（同上例）2.接入设备的配置(1) 创建VLAN和VLAN接口，并配置各接口的IP地址。 system-viewSwitch interface vlan-interface 1Switch-vlan-interface1 ip address 192.168.0.1 255.255.255.0Switch-vlan-interface1 quit(2) 配置RADIUS方案#创建RADIUS方案radius1并进入其视图。Switch radius scheme radius1#设置主认证/授权/计费RADIUS服务器的IP地址。Switch-radius-radius1 primary authentication 10.1.1.3Switch-radius-radius1 primary accounting 10.1.1.3#设置备份认证/计费RADIUS服务器的IP地址。Switch-radius-radius1 secondary authentication 10.1.1.3Switch-radius-radius1 secondary accounting 10.1.1.3#设置系统与认证RADIUS服务器交互报文时的共享密钥。Switch-radius-radius1 key authentication expert#设置系统与计费RADIUS服务器交互报文时的共享密钥。Switch-radius-radius1 key accounting expert#设置服务类型为extended.Switch-radius-radius1 server-type extended(3) 配置认证域#创建域test并进入其视图。Switch domain test#指定radius1为该域用户的RADIUS方案。Switch-isp-test authentication default radius-scheme radius1Switch-isp-test authorization default radius-scheme radius1Switch-isp-test accounting default radius-scheme radius1#设置该域最多可容纳30个用户。Switch-isp-test access-limit enable 30#配置域test为缺省用户域。Switch domain default enable test(4) 配置802.1X功能#关闭端口GE1/0/1的802.1X的组播触发功能。Switch interface gigabitthernet 1/0/1Switch-GigabitEthernet1/0/1 undo dot1x multicast-trigger#开启端口GE1/0/1的802.1X的单播触发功能。Switch-GigabitEthernet 1/0/1 dot1x unicast-trigger#开启端口GE1/0/1的802.1X功能。Switch-GigabitEthernet1/0/1 dot1xSwitch-GigabitEthernet1/0/1 quit#设置接入控制方式（该命令可以不配置，因为端口的接入控制在缺省情况下就是基于MAC地址的）。Switch dot1x port-method macbased interface gigabitethernet 1/0/1#开启全局802.1 X功能。Switch dot1x3.接入用户上的配置接入用户以Windows XP自带客户端为例进行介绍。(1) 启动Windows XP的802.1X验证功能 启动802.1X验证功能以后，如果用户需要访问internet，接入设备的端口GE1/0/1会收到源MAC地址不在设备当前的MAC地址表中的数据帧，该端口将发送EAP单播报文来触发802.1X认证。因此，Host的状态栏会收到如下提示，用户输入正确的用户名和密码，方可接入网络。 (2) 输入用户名“guesttest”，密码“123456”后，客户端可以正常访问Internet。 1.3.5 完整配置l 接入设备Switch上的完整配置如下# domain default enable test# dot1x#vlan 1#radius scheme radius1 server-type extended primary authentication 10.1.1.3 primary accounting 10.1.1.3 key authentication name key accounting money timer realtime-accounting 15 timer response-timeout 5 retry 5#domain test authentication default radius-scheme radius1 local authorization default radius-scheme radius1 local accounting default radius-scheme radius1 local access-limit enable 30 state active idle-cut enable 20 10240 self-service-url disable#local-user guest password simple 123456 service-type lan-access#interface Vlan-interface1 ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet1/0/1 undo dot1x multicast-trigger dot1x dot1x unicast-trigger#1.3.6 配置注意事项开启单播触发功能时，建议关闭组播触发功能，以免认证报文重复发送。1.4 802.1X的Guest VLAN、动态VLAN下发典型配置举例1.4.1 应用需求用户Host（已安装iNode 802.1X客户端软件）通过交换机的端口GE1/0/1接入网络。Update Server是用于客户端软件下载和升级的服务器；RADIUS为认证、授权服务器，且支持动态VLAN下发功能。具体应用需求如下：l Host初始状态属于VLAN 1。l 如果Host一段时间未发起802.1X认证或认证失败，端口将被加入Guest VLAN10中，此时Host可以访问VLAN10内的Update Server，通过Update Server进行下载或升级802.1X客户端等操作。l 如果Host成功通过802.1X认证，则RADIUS服务器下发VLAN 5，用户可以正常访问Internet。l Host正常下线后，重新回到VLAN 1。图1-11Guest Vlan、动态下发VLAN典型组网图 1.4.2 配置思路分析组网需求可以发现，用户Host存在三种状态：初始状态（也可以看作是用户正常下线状态）、用户未进行认证或认证失败状态和用户认证成功状态；不同状态下用户的权限不同。通过设置802.1X的Guest VLAN功能，和RADIUS服务器的动态VLAN下发功能，可以满足此需求。在GE1/0/1上开启802.1X功能，设置VLAN 10为端口的Guest VLAN，当设备从端口发送触发认证报文（EAP-Request/Identity）超过设定的最大次数而没有收到任何回应报文后，GE1/0/1被加入Guest VLAN中，此时Host只能访问Update Server（升级服务器可用于下载802.1X客户端），如下图所示。图1-12端口加入Guest VLAN 当端口上处于Guest VLAN中的用户发起认证且失败时，该端口仍然处于Guest VLAN内。当用户认证成功，RADIUS服务器下发VLAN 5。此时Host在VLAN 5内，可以访问Internet。图1-13用户上线，VLAN下发 1.4.3 适用产品、版本表1-4配置适用的产品与软硬件版本关系产品软件版本S7500E系列以太网交换机Release 6100系列，Release 6300系列，Release 6600系列，Release 6610系列S7600系列以太网交换机Release 6600系列，Release 6610系列S5800&S5820X系列以太网交换机Release 1110，Release 1211CE3000-32F以太网交换机Release 1211S5500-EI系列以太网交换机Release 2202，Release 2208S5500-EI-D系列以太网交换机Release 2208S5500-SI系列以太网交换机Release 2202，Release 2208S5120-EI系列以太网交换机Release 2202，Release 2208S5120-EI-D系列以太网交换机Release 1505S5120-SI系列以太网交换机Release 1101，Release 1505S5120-LI系列以太网交换机Release 1107E552&E528以太网交换机Release 1103S3610&S5510系列以太网交换机Release 5301，Release 5303，Release 5306，Release 5309S3500-EA系列以太网交换机Release 5303，Release 5309S3100V2系列以太网交换机Release 5103E126B以太网交换机Release 5103 1.4.4 配置过程和解释1.RADIUS服务器上的配置（以iMC服务器为例）iMC服务器上的配置主要包含如下三步：l 增加接入设备：建立iMC服务器和接入设备之间的联动关系。l 增加服务：配置对用户进行认证、授权的各种策略。l 增加接入用户：添加802.1X用户的帐号名、密码等信息。具体配置和“802.1X用户RADIUS认证/授权/计费典型配置指导”中的RADIUS服务器配置相似，仅需要在“增加服务”时，配置相应的下发VLAN。如图1-14。图1-14配置授权VLAN 2.接入设备Switch的配置(1) 创建VLAN并将端口加入对应VLAN。 system-viewSwitch vlan 2Switch-vlan2 port gigabitethernet 1/0/3Switch-vlan2 quitSwitch vlan 5Switch-vlan5 port gigabitethernet 1/0/2Switch-vlan5 quitSwitch vlan 10Switch-vlan10 port gigabitethernet 1/0/4Switch-vlan10 quit(2) 配置RADIUS方案#创建RADIUS方案2000。Switch radius scheme 2000Switch-radius-2000 primary authentication 10.11.1.1 1812Switch-radius-2000 primary accounting 10.11.1.1 1813Switch-radius-2000 key authentication expertSwitch-radius-2000 key accounting expertSwitch-radius-2000 server-type extendedSwitch-radius-2000 quit(3) 配置认证域配置认证域，该域使用RADIUS方案2000。Switch domain systemSwitch-isp-system authentication default radius-scheme 2000Switch-isp-system authorization default radius-scheme 2000Switch-isp-system accounting default radius-scheme 2000Switch-isp-system quit(4) 配置802.1X功能#开启端口GE1/0/1的802.1X功能。Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1 dot1x#配置端口上进行接入控制的方式为portbased。Switch-GigabitEthernet1/0/1 dot1x port-method portbased#配置端口上进行接入控制的模式为auto。Switch-GigabitEthernet1/0/1 dot1x port-control autoSwitch-GigabitEthernet1/0/1 quit#配置指定端口的Guest VLAN。Switch dot1x guest-vlan 10 interface gigabitethernet 1/0/1#开启全局802.1X特性。Switch dot1x3.接入用户上的配置具体配置和“802.1X用户RADIUS认证/授权/计费典型配置指导”中的iNode客户端配置相似，仅需要在设置“连接属性”时，选则“连接断开后自动更新IP地址”，如图1-15所示。图1-15802.1X连接属性配置示意图 4.验证配置结果通过命令display dot1x interface GigabitEthernet 1/0/1可以查看端口下802.1X的相关配置。 display dot1x interface gigabitethernet1/0/1 Equipment 802.1X protocol is enabled CHAP authentication is enabled EAD quick deploy is disabled Configuration: Transmit Period 30 s, Handshake Period 15 s Quiet Period 60 s, Quiet Period Timer is disabled Supp Timeout 30 s, Server Timeout 100 s Reauth Period 3600 s The maximal retransmitting times 2 EAD quick deploy configuration: EAD timeout: 30 m The maximum 802.1X user resource number is 2048 per slot Total current used 802.1X resource number is 0 GigabitEthernet1/0/1 is link-up 802.1X protocol is enabled Handshake is enabled Periodic reauthentication is disabled The port is an authenticator Authentication Mode is Auto Port Control Type is Port-based 802.1X Multicast-trigger is enabled Mandatory authentication domain: NOT configured Guest VLAN: 10 Max number of on-line users is 2048初始状态下，端口GE1/0/1属于VLAN 1。通过display brief interface gigabitethernet1/0/1可以查看： display brief interface gigabitethernet1/0/1The brief information of interface(s) under bridge mode:Interface Link Speed Duplex Link-type PVIDGE1/0/1 UP 1G(a) full(a) access 1用户输入正确的802.1X用户名和密码后，成功上线，端口GE1/0/1被加入到服务器下发的VLAN 5中，此时用户可以正常访问Internet。 display brief interface gigabitethernet1/0/1The brief information of interface(s) under bridge mode:Interface Link Speed Duplex Link-type PVIDGE1/0/1 UP 1G(a) full(a) access 5用户下线（或一段时间该端口没有用户上线，或用户认证失败等情况下）发送触发认证报文（EAP-Request/Identity）超过设定的最大次数时，端口GE1/0/1被加入到Guest VLAN内，此时： display brief interface gigabitethernet1/0/1The brief information of interface(s) under bridge mode: