第11章 802.1x配置.pdf-道客多多_道客多多docduoduo.com

资源描述

1、第 11 章 802.1X 配置本章主要讲述了迈普系列交换机支持的 802.1X 功能以及详细的配置信息。章节主要内容： z 802.1X 介绍 z 802.1X 配置 z 802.1X 应用举例 z 监控与维护 11.1 802.1X 介绍 11.1.1 802.1X简介 802.1X 是 IEEE 在 2001 年 6 月提出的宽带接入认证方案，它定义了基于物理端口的网络接入控制协议（Port-Based Network Access Control ）。802.1X 利用 IEEE 802 架构局域网的物理访问特性，提供了一套对以点对点方式（point-to-point ）连接到局

2、域网端口（Port ）上的设备进行认证、授权的方法。 802.1X 具有如下特点： 1. 方案简洁。 802.1X 仅仅关注端口的打开与关闭。对于合法用户（根据帐号和密码）接入时该端口打开，而对于非法用户接入或没有用户接入时，则该端口处于关闭状态。认证的结果在于端口状态的改变，是各种认证技术中最简化的实现方案。 2. 802.1X 所使用的EAP 协议只定义了认证消息的通信方式（ the means of communication authentication information），而没有定义具体的认证机制（authentication mechanism ）。因此可以灵活地选择认证机制

3、， (包括：Smart Card 、 Kerberos、 Public Key Encryption、 One Time Password等) 。 3. IEEE 802.1X协议为二层协议，不需要到达三层。也就是说，客户端系统在认证中，不需 IP地址。认证开始时的EAPOL 帧使用 01-80-c2-00-00-03 作为目的MAC 地址，使用发送者的MAC 地址作为源MAC 地址。 4. 采用纯以太网技术，通过认证之后的数据包不存在封装与解封装的问题，因而效率高，消除了版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 1 网络瓶颈。 5. 用户通过认证后，业务流和认证流实现分

4、离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。同时，计费方式可以灵活选择，支持根据用户时长的计费方式。 6. 802.1X实现了分散的访问控制（由靠近用户并支持 802.1X协议的以太网交换机实现）与集中的认证管理（支持RADIUS 和TACACS+ 服务器），因此整个认证结构比较协调。 11.1.2 对标准 802.1X的扩展迈普系列交换机不仅支持标准 802.1X协议还对其进行了扩展和优化以适应各种不同的应用需求。 1. 支持在一个端口下接入多个用户。标准 802.1X协议是基于端口实现的，即只要该端口下某一个

5、用户认证成功后，其他用户无需认证就可以使用网络资源，但是当该用户下线后，其他用户也会被拒绝使用网络。迈普系列交换机支持基于用户的认证（基于 MAC地址），当端口配置为基于用户的认证时，该端口下的每个用户都需要单独认证，只有认证成功的用户才能使用网络资源，某个用户下线后，也只有该用户无法使用网络，并不影响其他已认证用户的网络的使用。 2. 支持EAP 终结。标准 802.1X协议规定客户端和认证服务器之间通过 EAP报文进行交互，设备在此交互中充当着“EAP 中继”的角色，设备将客户端发送来的EAP 数据封装在其他协议中，例如Radius协议，然后发送给认证服务器，同样地，设备也将认证服务器发送

6、过来的EAP 数据封装在EAPOL报文中转发给客户端，这种交互方式我们称之为 EAP中继。EAP 中继要求认证服务器支持 EAP协议，否则认证服务器将无法与客户端使用EAP 进行交互。考虑到实际应用环境中，部署较早的认证服务器可能并不支持EAP 协议，迈普系列交换机对此进行扩展，支持EAP 终结方式，客户端的EAP 数据不会被直接发送到认证服务器，而是由设备完成与客户端的EAP 交互，设备从中提取用户的认证信息然后发送到认证服务器进行认证。 11.1.3 Auto Vlan 802.1X 用户在服务器上通过认证时，服务器会把授权信息传送给设备端。如果服务器上配置了下发VLAN 功能，则授权信

7、息中含有授权下发的 VLAN 信息，设备会将端口加入到下发 VLAN 中。我们称这个下发的 VLAN 为 Auto VLAN。（1 ）如果 RADIUS server 授权信息中没有下发 VLAN 信息，那么认证成功之后，端口的 VLAN 属性保持不变。版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 2 （ 2）如果 RADIUS server 授权信息中含有下发 VLAN 信息，那么认证成功之后，判断这个下发的Auto VLAN 是否存在，如果存在的话，将端口以 untag 方式加入到这个 Auto VLAN，并且端口的缺省VID 为 Auto VLAN 的 VID；如果

8、 Auto VLAN 不存在的话，这个端口的 VLAN 属性保持不变，认证失败。（ 3）用户下线之后，端口恢复为“未认证”状态，端口从这个 Auto VLAN 中删除，端口的缺省VID 也恢复为原来配置的 VID。授权下发的 Auto VLAN 并不改变端口的配置，也不影响端口的配置。但是，授权下发的 Auto VLAN的优先级高于用户配置的 VLAN（即 Config VLAN），即通过认证后起作用的 VLAN 是授权下发的 Auto VLAN，用户配置的 Config VLAN 在用户下线后生效。 VLAN 下发特性所关联的三个 Radius 属性为： 64 Tunnel-Type =

9、 VLAN 65 Tunnel-Medium-Type = 802 81 Tunnel-Private-Group-ID = VLAN ID 注： 1、 auto vlan 不能应用到动态 vlan 上，比如 auto vlan 所指定的 vlan id 是由 gvrp 自动创建的 vlan，那 802.1x 用户将会认证失败。 2、为保证各种功能可以正常使用，请为 voice vlan、 private vlan 以及 802.1X 的 auto vlan 等分配不同的 vlan id。 3、在指定 vlan 已配置的前提下，端口的 auto vlan 可以在两种端口上生效：一种是 ACCE

10、SS 类型端口，且要求认证模式为 portbased 模式；另一种是 HYBRID 类型端口，且要求认证模式为macbased 模式，另外在这种情况下还要求端口启用 mac-vlan 功能。 11.1.4 Guest Vlan Guest VLAN 功能用来允许未认证用户访问某些特定资源。用户认证端口在通过 802.1X 认证之前属于一个缺省 VLAN（即 Guest VLAN），用户访问该 VLAN 内的资源不需要认证，但此时不能够访问其他网络资源；认证成功后，端口离开 Guest VLAN，用户可以访问其他的网络资源。版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 3 用

11、户在 Guest VLAN 中可以获取 802.1X 客户端软件，升级客户端，或执行其他一些应用升级程序（例如防病毒软件、操作系统补丁程序等）。端口上配置 Guest Vlan 成功后，设备会把该端口加入到Guest VLAN。开启 802.1X 特性并正确配置 Guest VLAN 后，该端口将以 untagged 方式加入到 Guest VLAN 内。此时 Guest VLAN 中端口下的用户发起认证，如果认证失败，该端口将会仍然处在 Guest VLAN 内；如果认证成功，分为以下两种情况：（1 ）如果认证服务器下发一个 VLAN，这时端口离开 Guest VLAN，加入下发的 VL

12、AN 中。用户下线后，端口会回到 Guest VLAN 中。（2 ）如果认证服务器不下发 VLAN，这时端口离开 Guest VLAN，加入 Config VLAN 中。用户下线后，端口加入到 Guest VLAN 中。注： 1、端口的 guest vlan 不能应用到动态 vlan 上，比如 guest vlan 所指定的 vlan id 是由gvrp 自动创建的 vlan，那 guest vlan 可以配置成功，但不会生效。 2、为保证各种功能可以正常使用，请为 voice vlan、 private vlan 以及 802.1X 的 guest vlan 等分配不同的 vlan id

13、。 3、在指定 vlan 已配置的前提下，端口的 guest vlan 可以在两种端口上生效：一种是 ACCESS类型端口，且要求认证模式为 portbased 模式；另一种是 HYBRID 类型端口，且要求认证模式为macbased 模式，另外在这种情况下还要求端口启用 mac-vlan 功能。 11.2 802.1X 配置本节主要内容： z 802.1X 配置命令基本描述 z 802.1X 启用与关闭 z 配置 802.1X 端口最大用户数 z 配置 802.1X 组播触发版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 4 z 配置 802.1X EAP 中继/终结 z

14、配置 802.1X Guest Vlan z 配置 802.1X 端口认证模式 z 配置 802.1X 重认证 z 配置 802.1X EAPOL 报文透传 z 配置 802.1X 定时器参数 11.2.1 基本指令描述命令描述配置模式 dot1x port-control enable|disable 端口启用/ 关闭 802.1X config-port-xxx, config-port-range, config-link-aggregation-x no dot1x port-control enable 端口关闭 802.1X config-port-xxx, config-

15、port-range, config-link-aggregation-x dot1x eapol-relay enable|disable 端口启用/ 关闭 802.1X EAPOL 报文透传 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x eapol-relay enable 端口关闭 802.1X EAPOL 报文透传 config-port-xxx, config-port-range, config-link-aggregation-x dot1x eapol-relay uplink po

16、rt|link-aggregation 配置 EAPOL 报文透传上联端口 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x eapol-relay uplink 取消 EAPOL 透传上联端口 config-port-xxx, config-port-range, config-link-aggregation-x dot1x port-control max-user-num 1-4096 配置端口最大用户数 config-port-xxx, config-port-range, config-li

17、nk-aggregation-x no dot1x port-control max-user-num 取消端口最大用户数 config-port-xxx, config-port-range, config-link-aggregation-x dot1x multicast-trigger 配置端口组播触发 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x multicast-trigger 取消端口组播触发 config-port-xxx, config-port-range, config-li

18、nk-aggregation-x 版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 5 dot1x multicast-period 5-3600 配置端口组播触发周期 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x multicast-period 取消端口组播触发周期 config-port-xxx, config-port-range, config-link-aggregation-x dot1x eap-relay enable|disable 端口启用/ 关闭 EAP 中继

19、config-port-xxx, config-port-range, config-link-aggregation-x no dot1x eap-relay enable 端口关闭 EAP 中继 config-port-xxx, config-port-range, config-link-aggregation-x dot1x guest-vlan vlanId 配置端口 guest vlan config-port-xxx, config-port-range, config-link-aggregation-x no dot1x guest-vlan 取消端口 guest vlan

20、config-port-xxx, config-port-range, config-link-aggregation-x dot1x guest-acl aclname 配置端口 guest acl config-port-xxx, config-port-range, config-link-aggregation-x no dot1x guest-acl 取消端口 guest acl config-port-xxx, config-port-range, config-link-aggregation-x dot1x default 恢复端口 dot1x 缺省配置 config-port

21、-xxx, config-port-range, config-link-aggregation-x dot1x port-method portbased|macbased 配置端口认证模式 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x port-method portbased 取消端口认证模式 config-port-xxx, config-port-range, config-link-aggregation-x dot1x port-method portbased host-mode m

22、ulti-hosts | single-host 配置基于端口认证模式下的主机模式 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x port-method portbased host-mode 取消基于端口认证模式下的主机模式 config-port-xxx, config-port-range, config-link-aggregation-x dot1x max-authfail 1-10 配置端口最大认证失败次数 config-port-xxx, config-port-range, 版权所

23、有 2010，迈普通信技术股份有限公司，保留所有权利 . 6 config-link-aggregation-x no dot1x max-authfail 取消端口最大认证失败次数 config-port-xxx, config-port-range, config-link-aggregation-x dot1x reauthentication 启用端口重认证 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x reauthentication 取消端口重认证 config-port-xxx, co

24、nfig-port-range, config-link-aggregation-x dot1x timeout re-authperiod 5-3600 配置端口重认证定时器参数 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x timeout re-authperiod 取消端口重认证定时器参数 config-port-xxx, config-port-range, config-link-aggregation-x dot1x timeout quiet-period 1-65535 配置端口惩罚

25、定时器参数 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x timeout quiet-period 取消端口惩罚定时器参数 config-port-xxx, config-port-range, config-link-aggregation-x dot1x timeout server-timeout 5-3600 配置服务器超时定时器参数 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x timeout

26、server-timeout 取消服务器超时定时器参数 config-port-xxx, config-port-range, config-link-aggregation-x dot1x timeout supp-timeout 5-3600 配置客户端超时定时器参数 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x timeout supp-timeout 取消客户端超时定时器参数 config-port-xxx, config-port-range, config-link-aggregatio

27、n-x dot1x timeout offline-detect 5-3600 配置 MAC 认证用户下线检测定时器参数 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x timeout offline-detect 取消 MAC 认证用户下线检测定时器参数 config-port-xxx, config-port-range, config-link-aggregation-x dot1x mac-authentication 端口启用/ 关闭 MAC 认证功能 config-port-xxx, 版权

28、所有 2010，迈普通信技术股份有限公司，保留所有权利 . 7 enable|disable config-port-range, config-link-aggregation-x no dot1x mac-authentication enable 端口关闭 MAC 认证功能 config-port-xxx, config-port-range, config-link-aggregation-x dot1x mac-authentication user-name-format fixed account username password password | mac-address

29、with-hyphen | without-hyphen 配置 MAC 认证用户名格式 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x mac-authentication user-name-format 取消 MAC 认证用户名格式 config-port-xxx, config-port-range, config-link-aggregation-x dot1x keepalive enable|disable 端口启用/ 关闭保活报文功能 config-port-xxx, config-po

30、rt-range, config-link-aggregation-x no dot1x keepalive enable 端口关闭保活报文功能 config-port-xxx, config-port-range, config-link-aggregation-x dot1x keepalive period 5-3600 配置保活报文发送周期 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x keepalive period 取消保活报文发送周期 config-port-xxx, config-p

31、ort-range, config-link-aggregation-x dot1x keepalive retries 1-100 配置保活报文重传次数 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x keepalive retries 取消保活报文重传次数 config-port-xxx, config-port-range, config-link-aggregation-x dot1x eapou layer2 端口启用 EAPOU 功能 config-port-xxx, config-por

32、t-range, config-link-aggregation-x no dot1x eapou layer2 端口关闭 EAPOU 功能 config-port-xxx, config-port-range, config-link-aggregation-x dot1x eapou udp-port 0-65535 配置 EAPOU 的 udp 端口号 config-port-xxx, config-port-range, 版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 8 config-link-aggregation-x no dot1x eapou udp-port

33、取消 EAPOU 的 udp 端口号 config-port-xxx, config-port-range, config-link-aggregation-x dot1x syslog enable|disable 端口启用/ 关闭失败信息提示功能 config-port-xxx, config-port-range, config-link-aggregation-x no dot1x syslog enable 关闭失败信息提示功能 config-port-xxx, config-port-range, config-link-aggregation-x dot1x port-cont

34、rol 该命令在端口启用或者关闭 802.1X 功能。该命令的 no 形式也可关闭 802.1X 功能。 dot1x port-control enable|disable no dot1x port-control enable 语法描述 enable 启用 802.1X disable 关闭 802.1X 【缺省情况】disable 注： 1、如果端口上启用了 MAC 认证（ dot1x mac-authentication enable）功能，则该功能不能启用。 2、为保证各功能间不冲突，不要同时在同一端口上启用 802.1X 功能和端口安全功能。 dot1x port-metho

35、d 该命令配置端口 802.1X 的认证模式，基于端口认证模式或者基于用户认证模式。该命令的 no 形式也可将认证模式配置成缺省值。 dot1x port-method portbased|macbased no dot1x port-method portbased 语法描述 portbased 基于端口的认证模式版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 9 macbased 基于用户的认证模式【缺省情况】 macbased 注：基于端口的认证模式时，端口最大用户数不生效。基于用户的认证模式时，端口最大用户数缺省值为 256。 dot1x port-method

36、 portbased host-mode 该命令配置 802.1X 基于端口认证模式下的主机模式。该命令的 no 形式也可设置主机模式为缺省值。 dot1x port-method portbased host-mode multi-hosts | single-host no dot1x port-method portbased host-mode 语法描述 multi-hosts 多主机模式，当该端口上有一个用户认证通过后，该端口上的其它用户无需认证即可以访问网络 single-host 单主机模式，该端口上只允许一个认证通过的用户访问网络，其它用户无法访问网络，也无法再认证通过。【

37、缺省情况】multi-hosts 注：主机模式配置只在基于端口的认证模式下生效，在配置该命令时请先设置端口为 portbased 模式；如果在配置了主机模式为 single-host 的情况下将端口设置为 macbased 模式时，主机模式自动失效。 dot1x port-control max-user-num 该命令设置端口的最大用户数。该命令的 no 形式设置端口的最大用户数为缺省值。 dot1x port-control max-user-num 1-4096 no dot1x port-control max-user-num 语法描述 1-4096 最大用户数【缺省情况】2

38、56 注：版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 10 该命令只在基于用户的认证（macbased ）模式下有效，基于端口的认证（portbased ）模式下，该配置不生效。 dot1x multicast-trigger 该命令开启端口组播触发功能，使用相关的 no 命令关闭端口组播触发功能。 dot1x multicast-trigger no dot1x multicast-trigger 【缺省情况】关闭 dot1x multicast-period 该命令配置端口组播报文的发送周期。该命令的 no 形式设置组播报文的发送周期为缺省值。 dot1x multi

39、cast-period 5-3600 no dot1x multicast-period 语法描述 5-3600 组播报文发送周期（秒）【缺省情况】15（秒） dot1x eap-relay 该命令配置端口的 EAP 模式，EAP 中继或者 EAP 终结。该命令的 no 形式关闭 EAP 中继。 dot1x eap-relay enable|disable no dot1x eap-relay enable 语法描述 enable 启用 EAP 中继模式 disable 关闭 EAP 中继模式（启用 EAP 终结模式）【缺省情况】disable （EAP 终结模式）注：使用 EAP

40、终结模式时支持 PAP 认证（仅适合客户端使用迈普 802.1X 客户端）和 CHAP 认证。使用EAP 中继模式时，具体支持的认证机制取决于 802.1X 客户端和认证服务器。版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 11 dot1x guest-vlan 该命令配置端口的 guest vlan，相关的 no 命令取消端口的 guest vlan。 dot1x guest-vlan vlanId no dot1x guest-vlan 语法描述 vlanId vlan 号【缺省情况】无注： 1、端口的 Guest vlan 可以应用到两种端口上：一种是在基于

41、ACCESS 模式的端口且认证模式为portbased 模式时生效，在这种情况下端口配置 guest vlan 后，端口处于 guest vlan 中，此时用户无需认证就能且仅能访问该 vlan 的网路资源，一旦用户认证成功后，端口自动恢复到以前配置的vlan 中，如果认证服务器下发了有效的 vlan 号，则端口自动加入到下发的 vlan 中，用户下线后，端口又恢复到 guest vlan 中；另一种是在基于 HYBRID 模式的端口且认证模式为 macbased 模式时生效，在这种情况下端口配置 guest vlan 后，如果相关配置还满足： A、端口 mac-vlan 使能； B、对应 v

42、lan 存在，则该端口将以 untagged 方式加入到 Guest Vlan 内，当删除 Guest Vlan 配置、更改接入控制方式、 mac-vlan 使能关闭、更改端口模式都会导致端口退出 Guest Vlan。 2、如果用户将已经配置了 guest vlan 的端口切换到非 ACCESS 或 HYBRID 模式，guest vlan的配置将丢失。 3、端口的 guest vlan 不能应用到动态 vlan 上，比如 guest vlan 所指定的 vlan id 是由gvrp 自动创建的 vlan，那 guest vlan 可以配置成功，但不会生效。 4、为保证各种功能可以正常使用，

43、请为 voice vlan、 private vlan 以及 802.1X 的 guest vlan 等分配不同的 vlan id。 dot1x guest-acl 该命令配置端口的 guest acl。该命令的 no 形式取消端口的 guest acl。 dot1x guest-acl aclname no dot1x guest-acl 语法描述版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 12 aclname ACL 名称，该 ACL 需要预先在设备上进行配置【缺省情况】无注： 1、端口上配置的 Guest Acl 是 802.1X 下发 ACL 功能的一部分，

44、 802.1X 下发 ACL 功能针对的是用户，因此当认证模式为 portbased 模式时， Guest Acl 不会生效。 2、只有在认证模式为 macbased 模式，且配置了 Guest Vlan 的情况下 Guest Acl 才可能生效。也就是说只有在用户认证未通过被划入 Guest Vlan 的时候， Guest Acl 所指定的 ACL 真实存在的话，用户在 Guest Vlan 中的行为就会受该 ACL 的限制。 dot1x reauthentication 该命令启用端口的重认证功能，相关的 no 命令关闭端口重认证功能。 dot1x reauthentication no

45、dot1x reauthentication 【缺省情况】启用重认证 dot1x eapol-relay 该命令启用/ 关闭端口的 EAPOL 报文透传功能。该命令的 no 形式也可以关闭 EAPOL 透传功能。 dot1x eapol-relay enable|disable no dot1x eapol-relay enable 语法描述 enable 启用 EAPOL 报文透传 disable 关闭 EAPOL 报文透传【缺省情况】disable 注：只有当端口未启用 802.1X 认证（ dot1x port-control enable）时，该功能才生效。 dot1x eapo

46、l-relay uplink 该命令配置 EAPOL 报文透传时的上联端口，相关的 no 命令取消上联端口。 dot1x eapol-relay uplink port| link-aggregation 版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 13 no dot1x eapol-relay uplink 语法描述 port 非汇聚端口 link-aggregation 汇聚端口【缺省情况】无注： 1、只有在端口上的 eapol-relay 生效的情况下，该上联端口配置才会生效。 2、上联端口上不能启用 802.1X 功能。 3、上联端口目前不支持将收到的组播报文

47、转发到其它端口的功能，因此从上联端口进入的组播报文不会触发到其它端口上的 802.1X 客户端软件，因此在这种应用环境中只能通过客户端软件主动发起认证请求才能开始 802.1X 认证过程。 dot1x max-authfail 该命令配置端口最大认证失败次数，当用户认证失败次数达到上限时，用户必须等待一定的时间之后才能重新开始认证。该命令的 no 形式设置最大失败次数为缺省值。 dot1x max-authfail 1-10 no dot1x max-authfail 语法描述 1-10 最大失败次数【缺省情况】1 dot1x timeout re-authperiod 该命令配置端口的重

48、认证时间（秒），在端口重认证开启的情况下，每个该时间间隔周期都会执行重认证。该命令的 no 形式设置重认证时间为缺省值。 dot1x timeout re-authperiod 5-3600 no dot1x timeout re-authperiod 语法描述 5-3600 重认证时间【缺省情况】600 版权所有 2010，迈普通信技术股份有限公司，保留所有权利 . 14 dot1x timeout quiet-period 该命令配置端口的惩罚时间（秒），当用户连续认证失败达到上限时，在惩罚时间内，该用户不能再继续认证。该命令的 no 形式设置惩罚时间为缺省值。 dot1x timeout quiet-period 1-65535 no dot1x timeout quiet-period 语法描述 1-65535 惩罚时间【缺省情况】60 dot1x timeout server-timeout 该命令配置服务器的超时时间（秒），当设备向服务器发送认证报文后，如果在该时间内还未收到服务器的应答，则认为服务器超时无应答。该命令的 no 形式设置服务器超

展开阅读全文