网络设备命令合集中兴交换机命令大全( 八 ) _生活百科

当arp 表项在交换机上存在的时间（此间没有接收到此ip 地址的报文）,大于ip 端口上的老化时间时，交换机将删除此arp 表项。
5．查看arp 表中的表项show arp [static|dynamic|invalid|ipport [0-63] {static|dynamic|invalid} |ipaddress [a.b.c.d]]十二、接入服务配置随着宽带以太网建设规模的迅速扩大，为了满足接入用户数量急剧增加和宽带业务多样性的要求，在交换机上嵌入了接入服务（nas），以完备接入用户的认证和管理功能，更好地支持宽带网络的计费、安全、运营和管理。
接入服务在运用802.1x 协议和radius 协议的基础上，实现对用户接入的认证和管理功能，具有高效、安全、易于运营等优点。
ieee 802.1x 称为基于端口的访问控制协议（port-based network access control）。
它的协议体系结构包括三个重要部分：

客户端系统、
认证系统
认证服务器。

radius（远程用户拨号认证系统）是一个在radius server 和radius client 之间进行认证、授权、配置数据信息交互的协议标准。
radius 采用client/server 模型。在nas 上运行的是client 端，负责传送用户信息到指定的radius 服务器，并根据服务器返回的结果进行相应的操作。
pap（password authentication protocol）是一种简单的明文验证方式。nas 要求用户提供用户名和密码，用户以明文方式返回用户信息。服务器端根据用户配置查看是否有此用户以及密码是否正确，然后返回不同的响应。这种验证方式的安全性较差，传送的用户名和密码容易被窃取。
chap（challenge handshake authentication protocol）是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。nas 向用户发送一个随机产生的挑战口令，用户用自己的密码和md5 算法对挑战口令进行加密，并返回用户名和加密的挑战口令（加密口令）。
服务器端用自己保存的用户密码和md5 算法对挑战口令进行加密。比较用户和服务器端的加密口令，根据比较结果返回不同的响应。
配置802.1x先进入nas 管理模式：config nas
1．开启/关闭端口的802.1x 功能aaa-control port [portlist] dot1x {enable|disable}2．配置端口的认证控制模式aaa-control port [portlist] port-mode {auto|force-unauthorized| force-authorized}可以配置的模式如下：

auto：从配置成auto 的端口接入的用户必须通过认证，认证成功与否决定了用户能否接入成功。
force-authorized：强制认证通过，用户不需要认证便可以通过该端口接入。
force-unauthorized：强制认证不通过，用户不能通过该端口接入。

默认的认证控制模式为auto 。
3．允许/禁止端口多用户接入aaa-control port [portlist] multiple-hosts {enable|disable}4．配置端口的最大用户接入数目aaa-control port [portlist] max-hosts [0-64]一个端口可以接入多个用户，每个用户有自己独立的认证和计费过程。一个端口允许有多个用户接入时，aaa-control port max-hosts 命令才有意义。
5．打开/关闭配置重认证机制dot1x re-authenticate {enable|disable}6．配置重认证的时间间隔dot1x re-authenticate period [1-4294967295]为了判断接入的用户是否一直保持连接，nas 可以定时要求接入的用户进行重认证。重认证需要为每个在线用户启动一次完整的认证过程，如果用户量较大，认证报文将非常频繁，会对交换机造成一定的负担。
7．打开/关闭端口的异常下线检测机制aaa-control port [portlist] keepalive {enable|disable}8．设置端口的异常下线检测周期aaa-control port [portlist] keepalive period [1-3600]除了重认证机制，为判断接入用户是否保持连接，nas 模块还提供了异常下线检测机制。异常下线检测只需要少量的报文交互便可以确定用户是否在线。
异常下线检测机制是通过设备主动向客户端定期发送检测请求来实现的。
请求报文利用了802.1x 协议定义的eapol/eap repid 报文，如果收到客户端的eapol/eap respid 响应说明该用户在线；如果未收到响应则说明用户已经下线。
9．配置端口的认证方式aaa-control port [portlist] protocol {pap|chap|eap }用户接入认证时，在认证服务器与认证系统之间有三种用户身份识别方式，包含pap，chap 和eap-md5 方式。系统默认为eap-md5 。
10．配置协议参数设置认证系统一次认证失败后到接受下一次认证请求的间隔