02-AAA命令
本章节下载: 02-AAA命令 (371.5 KB)
目 录
1.1.11 authentication lan-access
1.1.18 authorization lan-access
1.1.22 authorization-attribute
1.1.34 local-user password-display-mode
1.1.37 self-service-url enable
2.1.2 accounting-on enable interval
2.1.3 accounting-on enable send
2.1.5 data-flow-format (RADIUS scheme view)
2.1.7 display radius statistics
2.1.8 display stop-accounting-buffer
2.1.9 key (RADIUS scheme view)
2.1.10 nas-ip (RADIUS scheme view)
2.1.11 primary accounting (RADIUS scheme view)
2.1.12 primary authentication (RADIUS scheme view)
2.1.17 reset radius statistics
2.1.18 reset stop-accounting-buffer
2.1.20 retry realtime-accounting
2.1.21 retry stop-accounting (RADIUS scheme view)
2.1.22 secondary accounting (RADIUS scheme view)
2.1.23 secondary authentication (RADIUS scheme view)
2.1.27 stop-accounting-buffer enable (RADIUS scheme view)
2.1.28 timer quiet (RADIUS scheme view)
2.1.29 timer realtime-accounting (RADIUS scheme view)
2.1.30 timer response-timeout (RADIUS scheme view)
2.1.31 user-name-format (RADIUS scheme view)
l 产品对相关命令参数的支持情况、缺省值及取值范围的差异内容请参见“特性差异化列表”部分。
l 设备支持的接口类型和编号与设备的实际情况相关,本手册涉及以太网接口的配置举例统一使用Eth口举例说明。实际使用中请根据具体设备的接口类型和编号进行配置。
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【视图】
系统视图
2:系统级
profile-name:保存NAS-ID与VLAN绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。
aaa nas-id profile命令用来创建一个NAS-ID Profile或者进入一个已创建的NAS-ID-Profile视图。undo aaa nas-id profile命令用来删除一个指定的NAS-ID Profile。
相关配置可参考命令nas-id bind vlan。
# 创建一个名字为aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【命令】
access-limit max-user-number
undo access-limit
【视图】
本地用户视图
3:管理级
max-user-number:表示使用当前用户名接入设备的最大用户数,取值范围为1~1024。
access-limit命令用来设置当前用户名可容纳的最大接入用户数。undo access-limit命令用来取消对当前用户名的接入用户数限制。
缺省情况下,不限制当前本地用户名可容纳的接入用户数。
需要注意的是,本地用户的access-limit命令只在配置了本地计费方案的情况下生效。
相关配置可参考命令display local-user。
# 允许同时以用户名abc在线的用户数为5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] access-limit 5
【命令】
access-limit enable max-user-number
undo access-limit enable
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
max-user-number:表示当前ISP域可容纳的接入用户数。其中,max-user-number为当前ISP域可容纳接入用户数的最大值, 取值范围为1~2147483646。
【描述】
access-limit enable命令用来限制当前ISP域可容纳接入用户数的限制。undo access-limit命令用来恢复缺省情况。
缺省情况下,不限制当前ISP域可容纳的接入用户数。
需要注意的是,由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。对当前ISP域下所能接入的用户数进行限制后,当接入此域的用户数超过当前ISP域可容纳的最大用户数后,新接入的用户将被拒绝。
【举例】
# 指定ISP域test最多可容纳500个接入用户。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] access-limit enable 500
【命令】
accounting default { local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting default
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting default命令用来为所有类型的用户配置缺省的计费方案。undo accounting default命令用来恢复缺省情况。
缺省情况下,所有类型的用户采用local计费方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l 本命令所配置的计费方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。
l 本地计费只是为了支持本地用户的连接数管理,没有实际的统计功能。本地的接入数管理只对本地计费有效,对本地认证和授权没有作用。
相关配置可参考命令authentication default、authorization default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置计费方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting default local
# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
【命令】
accounting lan-access { local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting lan-access
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting lan-access命令用来为lan-access用户配置计费方案。undo accounting lan-access命令用来恢复缺省情况。
缺省情况下,lan-access用户采用命令accounting default配置的缺省计费方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令accounting default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为lan-access用户配置计费方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system]accounting lan-access local
# 在ISP域test下,为lan-access用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
【命令】
accounting login { local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting login
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地计费。实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting login命令用来为login用户配置计费方案。undo accounting login命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的计费方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l login接入方式中的FTP服务不支持计费流程。
相关配置可参考命令accounting default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为login用户配置计费方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting login local
# 在ISP域test下,为login用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【命令】
accounting optional
undo accounting optional
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
无
【描述】
accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。
缺省情况下,计费可选处于关闭状态。
需要注意的是:
l 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了本命令,则用户可以继续使用网络资源,且系统不再为其发送实时计费更新报文,否则用户连接将被切断。该命令适用于只认证但不关心计费的情况。
l 对配置了本命令的域内的所有用户,如果计费失败,则系统不再发送实时计费更新报文。
l 计费可选开关打开的情况下,命令attribute access-limit配置的本地用户的连接数限制功能不生效。
【举例】
# 打开ISP域test的计费可选开关。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting optional
【命令】
accounting ppp { local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting ppp
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting ppp命令用来为PPP用户配置计费方案。undo accounting ppp 命令用来恢复缺省情况。
缺省情况下,PPP用户采用缺省的计费方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令accounting default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为PPP用户配置计费方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting ppp local
# 在ISP域test下,为PPP用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ppp radius-scheme rd local
【命令】
accounting wapi { none | radius-scheme radius-scheme-name }
undo accounting wapi
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting wapi命令用来为WAPI用户配置计费方案。undo accounting wapi命令用来恢复缺省情况。
缺省情况下,WAPI用户采用缺省的计费方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关缺省配置可参考命令accounting default和radius scheme。
【举例】
# 在ISP域test下,为WAPI用户配置方案名为rd的RADIUS计费方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-domain-test] accounting wapi radius-scheme rd
【命令】
authentication default { local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication default
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authentication default命令用来为所有类型的用户配置缺省的认证方案。undo authentication default命令用来为恢复缺省情况。
缺省情况下,所有类型的用户采用local认证。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l 本命令配置的认证方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。
相关配置可参考命令authorization default、accounting default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置认证方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication default local
# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
【命令】
authentication lan-access { local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication lan-access
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authentication lan-access命令用来为lan-access用户配置认证方案。undo authentication lan-access命令用来恢复缺省情况。
缺省情况下,lan-access用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令authentication default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为lan-access用户配置认证方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication lan-access local
# 在ISP域test下,为lan-access用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access radius-scheme rd local
【命令】
authentication login { local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication login
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authentication login命令用来为login用户配置认证方案。undo authentication login命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令authentication default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为login用户配置认证方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication login local
# 在ISP域test下,为login用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
【命令】
authentication ppp { local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication ppp
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authentication ppp命令用来为PPP用户配置认证方案。undo authentication ppp命令用来恢复缺省情况。
缺省情况下,PPP用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令authentication default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为PPP用户配置认证方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication ppp local
# 在ISP域test下,为PPP用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ppp radius-scheme rd local
【命令】
authentication wapi { none | radius-scheme radius-scheme-name }
undo authentication wapi
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authentication wapi命令用来为WAPI用户配置认证方案。undo authentication wapi命令用来恢复缺省情况。
缺省情况下,WAPI用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关缺省配置可参考命令authentication default和radius scheme。
【举例】
# 在ISP域test下,为WAPI用户配置方案名为rd的RADIUS认证方案。
<Sysname> system-view
[Sysname] domain wapi
[Sysname-domain-wapi] authentication wapi radius-scheme rd
【命令】
authentication super radius-scheme radius-scheme-name
undo authentication super
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authentication super命令用来为级别切换用户配置认证方案。undo authentication super命令用来恢复缺省情况。
缺省情况下,级别切换用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令radius scheme和“基础配置命令参考/系统基本配置”中的命令super authentication-mode。
【举例】
# 在ISP域test下,配置级别切换用户的认证方案为RADIUS认证方案tac。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-domain-test] authentication super radius-scheme tac
【命令】
authorization command { local | none }
undo authorization command
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
【描述】
authorization command命令用来为命令行用户配置授权方案。undo authorization command命令用来恢复缺省情况。
缺省情况下,命令行用户采用缺省的授权方案。
需要注意的是:对于本地授权,本地用户必须存在,而且当前要授权的命令行的级别不能大于本地用户的级别,否则本地授权失败。
相关配置可参考命令authorization default。
【举例】
# 在系统缺省的ISP域system下,为命令行用户配置授权方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization command local
【命令】
authorization default { local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization default
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorization default命令用来为所有类型的用户配置缺省的授权方案。undo authorization default命令用来恢复缺省情况。
缺省情况下,所有类型的用户采用local授权方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l authorization default命令配置的授权方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。
l RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。对于所有RADIUS授权失败的情况,授权失败返回给NAS的原因为server没有响应。
相关配置可参考命令authentication default、accounting default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置授权方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization default local
# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
【命令】
authorization lan-access { local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization lan-access
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorization lan-access命令用来为lan-access用户配置授权方案。undo authorization lan-access命令用来为恢复缺省情况。
缺省情况下,lan-access用户采用缺省的授权方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。
相关配置可参考命令authorization default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为lan-access用户配置授权方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system]authorization lan-access local
# 在ISP域test下,为lan-access用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access radius-scheme rd local
【命令】
authorization login { local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization login
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorization login命令用来为login用户配置授权方案。undo authorization login命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的授权方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。
相关配置可参考命令authorization default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为login用户配置授权方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization login local
# 在ISP域test下,为login用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
【命令】
authorization ppp { local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization ppp
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorization ppp命令用来为PPP用户配置授权方案。undo authorization ppp命令用来恢复缺省情况。
缺省情况下,PPP用户采用缺省的授权方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。
相关配置可参考命令authorization default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为PPP用户配置授权证方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system]authorization ppp local
# 在ISP域test下,为PPP用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ppp radius-scheme rd local
【命令】
authorization wapi { none | radius-scheme radius-scheme-name }
undo authorization wapi
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authorization wapi命令用来为WAPI用户配置授权方案。undo authorization wapi命令用来取消授配置的权方案配置。
缺省情况下,WAPI用户采用缺省的授权方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。
相关缺省配置可参考命令authorization default和radius scheme
【举例】
# 在ISP域test下,为WAPI用户配置方案名为rd的RADIUS授权方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-domain-test] authorization wapi radius-scheme rd
【命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | vlan vlan-id | work-directory directory-name } *
undo authorization-attribute { acl | callback-number | idle-cut | level | vlan | work-directory } *
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。
callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,字母区分大小写。
idle-cut minute:启用本地用户的闲置切断功能。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
level level:指定本地用户的级别,取值范围为0~3。其中0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的级别越低。缺省值为0。
vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。
work-directory directory-name:授权FTP/SFTP用户可以访问的目录。其中,directory-name表示FTP/SFTP用户可以访问的目录,为1~135个字符的字符串,不区分大小写,且该目录必须已经存在。
【描述】
authorization-attribute命令用来设置本地用户的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。undo authorization-attribute命令用来删除配置的授权属性。
缺省情况下,未设置任何授权属性。
需要注意的是:
l 可配置的授权属性都有其明确的使用环境和用途,而且本地用户授权属性的下发并不区分用户的服务类型,即会对所有类型的接入用户都下发已配置的授权属性,因此配置下发的授权属性时要考虑该类型的用户是否需要某些属性。例如,PPP接入用户不需要下发授权目录,因此就不要设置PPP用户的work-directory属性。
l 如果配置登录用户界面的验证方式(authentication-mode)为不认证(none)或采用密码认证(password),则用户登录到系统后所能访问的命令级别由用户界面的级别确定。关于配置登录用户界面的验证方式的具体内容请参见“基础配置命令参考/登录设备”中的命令authentication-mode;如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的级别确定。
l 如果通过文件系统命令删除指定的FTP/SFTP用户可以访问的目录,则FTP/SFTP用户将不能访问此目录;
l 如果在当前指定的FTP/SFTP用户可以访问的目录中携带备板槽位信息,则主备切换后FTP/SFTP用户将不能正常登录,建议用户在指定工作目录时不要携带槽位信息。
【举例】
# 配置本地用户abc的授权VLAN为VLAN 3。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] authorization-attribute vlan 3
【命令】
bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *
undo bind-attribute { call-number| ip | location | mac | vlan } *
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
call-number call-number:指定ISDN用户认证的主叫号码。其中call-number为1~64个字符的字符串。
subcall-number:指定子主叫号码。如果配置了子主叫号码,则主叫号码与子主叫号码的总长度不能大于62个字符。
ip ip-address:指定用户的IP地址。
location:设置用户的端口绑定属性。
port slot-number subslot-number port-number:指定用户绑定的端口。其中slot-number为槽号,取值范围为0~1024。subslot-number为子槽号,取值范围为0~15。port-number为端口号,取值范围0~255。绑定的端口只针对端口号,不区分端口类型。
mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。
vlan vlan-id:设置用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。
【描述】
bind-attribute命令用来设置用户的绑定属性。undo bind-attribute命令用来删除配置的用户绑定属性。
缺省情况下,未设置用户的任何绑定属性。
需要注意的是:
l 配置的绑定属性是本地用户进行认证时需要检测的项目,如果用户的实际属性与配置的绑定属性不符,则检测不通过,认证失败。而且,由于认证检测时不区分用户的接入服务类型,即会对所有类型的用户都进行已配置绑定属性的认证检测,因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性。
l 本地用户的bind-attribute ip命令只适用于支持IP地址上传功能的认证,如802.1X认证;对于不支持IP地址上传功能的认证,如果配置了该命令,会导致本地认证失败,如MAC地址认证。
l 本地用户的bind-attribute mac命令只适用于lan-access类型的用户,如802.1X认证;对于其它类型用户(如FTP或Telnet)的认证,如果配置了该命令,会导致本地认证失败。
【举例】
# 配置本地用户abc的绑定IP为3.3.3.3。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] bind-attribute ip 3.3.3.3
【命令】
cut connection { all | domain isp-name | ucibindex ucib-index | user-name user-name }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
all:切断所有用户连接。
domain isp-name:指定ISP域。其中,isp-name为ISP域名,为1~24个字符的字符串。
ucibindex ucib-index:指定连接索引号,取值范围为0~4294967295。
user-name user-name:指定用户名。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名必须带域名,否则系统默认其带缺省域名。
【描述】
cut connection命令用来强制切断指定AAA用户的连接。
此命令目前只对lan-access和PPP服务类型的用户有效。
相关配置可参考命令display connection和service-type。
【举例】
# 切断ISP域test下的所有用户连接。
<Sysname> system-view
[Sysname] cut connection domain test
【命令】
display connection [ domain isp-name | ucibindex ucib-index | user-name user-name ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
domain isp-name:显示指定ISP域下的全部用户连接。其中,isp-name表示ISP域名,为1~24个字符的字符串,不区分大小写。
ucibindex ucib-index:显示指定连接索引的所有用户连接。其中,ucib-index表示连接索引号,取值范围为0~4294967295。
user-name user-name:显示指定用户名的用户连接。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名必须带域名,否则系统默认其带缺省域名。
【描述】
display connection命令用来显示所有或指定的AAA用户连接的概要信息。
需要注意的是:
l 不指定任何参数的情况下,系统显示所有AAA用户连接的相关信息。
l 指定参数ucibindex的情况下,显示详细的用户连接信息,指定其它参数则显示概要信息。
l 对于FTP类型用户,无法显示AAA用户连接的相关信息。
相关配置可参考命令cut connection。
【举例】
# 显示所有AAA用户连接的相关信息。
<Sysname> display connection
Index=1 ,Username=telnet@system
IP=10.0.0.1
Total 1 connection(s) matched.
表1-1 display connection命令显示信息描述表
字段 |
描述 |
Index |
索引号 |
Username |
当前连接的用户名,格式为username@domain |
IP |
该用户IP地址 |
Total 1 connection(s) matched. |
总计1个AAA用户连接 |
【命令】
display domain [ isp-name ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
isp-name:指定ISP域名,为1~24个字符的字符串。
【描述】
display domain命令用来显示指定ISP域的配置信息。
如果不指定ISP域,则显示系统中所有ISP域的配置信息。
相关配置可参考命令access-limit enable、domain和state。
【举例】
# 显示系统中所有ISP域的配置信息。
0 Domain : system
State : Active
Access-limit : Disabled
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
1 Domain : test
State : Active
Access-limit : Disable
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Default Domain Name: system
Total 2 domain(s).
表1-2 display domain命令显示信息描述表
字段 |
描述 |
Domain |
域名 |
State |
状态(Active:激活、Block:阻塞) |
Access-limit |
接入限制数(Disabled:未使能) |
Accounting method |
计费方法(Required:必选、Optional:可选) |
Default authentication scheme |
缺省的认证方案 |
Default authorization scheme |
缺省的授权方案 |
Default accounting scheme |
缺省的计费方案 |
Lan-access authentication scheme |
lan-access用户的认证方案 |
Lan-access authorization scheme |
lan-access用户的授权方案 |
Lan-access accounting scheme |
lan-access用户的计费方案 |
Domain User Template |
域用户模板 |
Idle-cut |
闲置切断功能(Disabled:未使能、Enabled:使能) |
Self-service |
自助服务功能(Disabled:未使能、Enabled:使能) |
Authorization attributes |
授权属性 |
Default Domain Name |
缺省ISP域名 |
Total 2 domain(s). |
总计2个ISP域 |
【命令】
display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | ppp | ssh | telnet | terminal } | state { active | block } | user-name user-name | | vlan vlan-id ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
idle-cut { disable | enable }:显示指定闲置切断功能的所有本地用户信息。其中,disable表示禁止用户启用闲置切断功能;enable表示允许用户启用闲置切断功能。
service-type:显示指定用户类型的所有本地用户信息。
l ftp指定用户为FTP类型。
l lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1X用户)。
l ppp为PPP用户。
l ssh为SSH用户。
l telnet为Telnet用户。
l terminal为从CON口、Asyn口登录的终端用户。
state { active | block }:显示指定状态下的所有本地用户信息。其中,active表示系统允许用户请求网络服务;block表示系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。
vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。
【描述】
display local-user命令用来显示所有或指定的本地用户的相关信息。
相关配置可参考命令local-user。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
The contents of local user abc:
State: Active
ServiceType: lan-access
Idle-cut: Disable
Access-limit: Enable Current AccessNum: 0
Max AccessNum: 300
Bind attributes:
IP address: 1.2.3.4
Bind location: 0/4/1 (SLOT/SUBSLOT/PORT)
MAC address: 0001-0002-0003
Vlan ID: 100
Authorization attributes:
Idle TimeOut: 10(min)
Work Directory: flash:/
User Privilege: 3
Acl ID: 2000
Vlan ID: 100
Expiration date: 12:12:12-2018/09/16
Total 1 local user(s) matched.
表1-3 display local-user命令显示信息描述表
字段 |
描述 |
State |
本地用户状态(Active:激活、Block:阻塞) |
ServiceType |
本地用户使用的服务类型(ftp、lan-access、ppp、telnet) |
Idle-cut |
闲置切断开关(Disabled:未使能、Enabled:使能) |
Access-limit |
当前用户名的接入用户连接数限制 |
Current AccessNum |
当前接入用户数 |
Max AccessNum |
最大接入用户数 |
Bind attributes |
本地用户的绑定属性 |
IP address |
本地用户的IP地址 |
Bind location |
本地用户绑定的端口 |
MAC address |
本地用户的MAC地址 |
VLAN ID |
本地用户绑定的VLAN |
Authorization attributes |
本地用户的授权属性 |
Idle TimeOut |
本地用户闲置切断时间(单位为分钟) |
Callback-number |
本地用户的授权PPP回呼号码 |
Work Directory |
FTP/SFTP用户可以访问的目录 |
User Privilege |
本地用户级别 |
VLAN ID |
本地用户授权VLAN |
Expiration date |
本地用户的有效期 |
Total 1 local user(s) matched. |
总计有1个本地用户匹配 |
【命令】
domain isp-name
undo domain isp-name
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
【描述】
domain命令用来创建ISP域并进入其视图。undo domain命令用来删除指定的ISP域。
需要注意的是:
l 使用此命令时,如果指定的ISP域不存在,系统将会创建一个新的ISP域,所有的ISP域在创建后即处于active状态。
l 系统中存在一个缺省的ISP域,不能删除,只能修改,所有在登录时没有提供ISP域名的用户都属于这个缺省域。关于缺省ISP域的详细介绍请参考命令domain default enable。
相关配置可参考命令state和display domain。
【举例】
# 创建一个新的ISP域test,并进入其视图。
<Sysname> system-view
[Sysname] domain test
【命令】
domain default enable isp-name
undo domain default enable
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
isp-name:缺省的ISP域名,为1~24个字符的字符串。
【描述】
domain default enable命令用来手工配置系统缺省的ISP域。
undo domain default enable命令用来恢复缺省情况。
缺省情况下,系统缺省的ISP域为system。
需要注意的是:
l 缺省的ISP域有且只有一个。
l 缺省ISP域要生效,必须保证该域存在,否则会导致用户名中未携带域名的用户无法进行认证。
l 手工配置缺省域时,该域必须已经存在。
l 配置为缺省的ISP域不能被删除,除非先恢复要删除的域为非缺省域。
相关配置可参考命令state和display domain。
【举例】
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【命令】
expiration-date time
undo expiration-date
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
time:本地用户的有效期截止时间,精确到秒,格式为HH:MM:SS-MM/DD/YYYY(时:分:秒-月/日/年)或HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)。其中,HH:MM:SS中的HH取值范围为0~23,MM和SS取值范围为0~59;MM/DD/YYYY中的MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。除表示零点外,格式中的前导0可以省略不写,比如2:2:0-2008/2/2等效于02:02:00-2008/02/02。
【描述】
expiration-date命令用来配置本地用户的有效期。undo expiration-date用来取消本地用户的有效期配置。
缺省情况,未设置用户的有效期,设备不进行用户有效期的检查。
在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾帐户,并通过该配置对来宾帐户进行有效期的控制。当该用户进行本地认证时,接入设备检查当前系统时间是否在用户的有效期内,若在有效日期内则允许用户登录,否则拒绝用户登录。
需要注意的是,如果设备管理员手工修改系统时间,或其它原因导致系统时间发生变化,则在用户认证时使用修改后的系统时间与配置的用户有效期进行比较。
【举例】
# 配置用户abc的有效日期为2008/05/31的12:10:20。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] expiration-date 12:10:20-2008/05/31
【命令】
idle-cut enable minute flow
undo idle-cut enable
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
minute:表示允许用户在线后连续的最大空闲空间,取值范围为1~120,单位为分钟。
flow:表示允许用户闲置时的最小数据流量,取值范围为1~10240000,单位为字节。
【描述】
idle-cut enable命令用来设置当前ISP域下的用户闲置切断功能,当用户在指定的最大空闲时间内的产生的流量小于指定的最小数据流量时,会被强制下线。undo idle-cut命令用来恢复缺省情况。
缺省情况下,用户闲置切断功能开关处于关闭状态。
需要注意的是,最大空闲时间还可以在服务器上进行配置。如果设备上配置了用户闲置切断参数(最大空闲时间和最小数据流量),则设备上配置的参数值生效;如果设备上的用户闲置切断功能处于关闭状态,则服务器上配置的最大空闲时间生效,但最小数据流量在服务器上不可配,默认为10240字节。
相关配置可参考命令domain。
【举例】
# 允许ISP域test中的用户启用闲置切断功能,用户的最大空闲时间为50分钟,闲置时的最小数据流量为1024个字节。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] idle-cut enable 50 1024
【命令】
ip pool pool-number low-ip-address [ high-ip-address ]
undo ip pool pool-number
【视图】
系统视图/ISP域视图
【缺省级别】
2:系统级
【参数】
pool-number:地址池编号,取值范围为0~99。
low-ip-address和high-ip-address:分别为地址池的起始和结束IP地址。一个地址池中起始IP和结束IP地址之间的地址数不能超过1024。如果在定义IP地址池时不指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。
【描述】
ip pool命令用来定义为PPP用户分配IP地址的地址池。undo ip pool命令用来删除指定的IP地址池。
缺省情况下,没有定义为PPP用户分配IP地址的地址池。
需要注意的是:
l 在系统视图下,配置IP地址池。通过在接口视图下使用命令remote address为PPP用户分配IP地址。
l 在ISP域视图下,配置的IP地址池用于为相应的ISP域的PPP用户分配IP地址。这主要用于通过某接口接入的PPP用户较多,而接口所能分配的地址不够用的情况。例如,运行PPPoE协议的Ethernet接口,最多可以接入4096个用户,但在该Ethernet接口的Virtual Template上,只能配置一个地址池,而一个地址池最多只有1024个地址,这显然不能满足要求。通过配置ISP域的地址池,可以为ISP的PPP用户分配地址,从而解决接口地址池中地址不够的问题。
相关配置请参考“二层技术-广域网接入命令参考/PPP”中的命令remote address。
【举例】
# 配置IP地址池0,地址范围为129.102.0.1到129.102.0.10。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] ip pool 0 129.102.0.1 129.102.0.10
【命令】
local-user user-name
undo local-user { user-name | all [ service-type { ftp | lan-access | ppp | ssh | telnet | terminal } ] }
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
all:所有的用户。
service-type:指定用户的类型。具体用户类型如下:
l ftp:表示FTP类型用户;
l lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.1X用户);
l ppp:表示PPP用户;
l ssh:表示SSH用户;
l telnet:表示Telnet用户。
l terminal:表示从Console口、Asyn口登录的终端用户。
【描述】
local-user命令用来添加本地用户并进入本地用户视图。undo local-user命令用来删除指定的本地用户。
缺省情况下,无本地用户。
相关配置可参考命令display local-user和service-type。
【举例】
# 添加名称为user1的本地用户。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1]
【命令】
local-user password-display-mode { auto | cipher-force }
undo local-user password-display-mode
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
auto:自动方式,即接入用户的密码显示方式与该用户通过password命令设置的密码显示方式一致。
cipher-force:强制密文方式,即所有接入用户的密码显示方式必须采用密文方式。
【描述】
local-user password-display-mode命令用来设置所有本地用户密码的显示方式。undo local-user password-display-mode命令用来恢复缺省情况。
缺省情况下,所有接入用户的密码显示方式为自动方式。
当采用cipher-force方式后:
l 即使通过password命令指定密码显示方式为明文显示(即simple方式),密码仍然会显示为密文。
l 使用save命令保存当前配置,重启设备后,即使恢复为auto方式,原来配置为明文显示的密码仍然显示为密文。
相关配置可参考命令display local-user和password。
【举例】
# 设置所有本地用户采用密文方式显示密码。
<Sysname> system-view
[Sysname] local-user password-display-mode cipher-force
【命令】
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
【视图】
【缺省级别】
2:系统级
【参数】
nas-identifier:NAS-ID名称,为1~20个字符的字符串,区分大小写。
vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。
nas-id bind vlan命令用来设置NAS-ID与VLAN的绑定关系,即把一个NAS-ID指定给一个VLAN。undo nas-id bind vlan命令用来删除一个指定的NAS-ID和VLAN的绑定关系。
缺省情况下,未设置任何绑定关系。
需要注意的是:
l 一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。
l 一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。
相关配置可参考命令aaa nas-id profile。
# 把NAS-ID 222指定给VLAN 2。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
【命令】
password { cipher | simple } password
undo password
【视图】
本地用户视图
【缺省级别】
2:系统级
【参数】
cipher:表示密码为密文显示。
simple:表示密码为明文显示。
password:表示设置的密码。明文密码可以是长度小于等于63的连续字符串,如:aabbcc。密文密码的长度取值为24或88,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
l 对于simple方式,password必须是明文密码。
l 对于cipher方式,password可以是密文密码也可以是明文密码。明文密码可以是长度小于等于63的连续字符串,如:aabbcc。密文密码的长度取值为24或88,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
【描述】
password命令用来设置本地用户的密码。undo password命令用来取消本地用户的密码。
需要注意的是:
l 当采用local-user password-display-mode cipher-force命令后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码也会显示为密文。
l 在cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文,长度大于16且小于等于63的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理。
相关配置可参考命令display local-user。
【举例】
# 设置名称为user1的密码为明文显示,密码为1234567890。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] password simple 1234567890
【命令】
self-service-url enable url-string
undo self-service-url enable
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
url-string:表示自助服务器修改用户密码页面的URL,为1~64个字符的字符串。字符串必须以“http://”开始,字符串中不能包括“?”字符。
【描述】
self-service-url enable命令用来设置自助服务器定位功能。
undo self-service-url enable命令用来恢复缺省情况。
缺省情况下,自助服务器定位功能处于关闭状态。
需要注意的是:
l 此命令需要与支持自助服务的RADIUS服务器配合使用,如CAMS/iMC。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。
l 如果在设备上配置了此命令,用户可以通过如下操作定位到自助服务器:用户在802.1X客户端软件上选择“更改用户密码”;客户端软件打开用户缺省的浏览器(IE或者NetScape等),定位到指定的自助服务器更改用户密码的URL页面;用户可以在该页面上修改自己的密码。
l 只有用户通过认证后才能进行在客户端软件上选择“更改用户密码”选项,否则该选项为灰色,不可用。
【举例】
# 在系统缺省的ISP域system下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice/modPasswd1x.jsp|userName。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] self-service-url enable http://10.153.89.94/selfservice/modPasswd1x.jsp|userName
【命令】
service-type { ftp | lan-access | { ssh | telnet | terminal } * | ppp }
undo service-type{ ftp | lan-access | { ssh | telnet | terminal } * | ppp }
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权使用设备的根目录。
lan-access:指定用户可以使用lan-access服务。主要指以太网接入用户,比如802.1X用户。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口、Asyn口登录)。
ppp:指定用户可以使用PPP服务。
【描述】
service-type命令用来设置用户可以使用的服务类型。undo service-type命令用来删除用户可以使用的服务类型。
缺省情况下,系统不对用户授权任何服务。
【举例】
# 指定用户可以使用Telnet服务。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] service-type telnet
【命令】
state { active | block }
undo state
【视图】
ISP域视图/本地用户视图
【缺省级别】
2:系统级
【参数】
active:指定当前ISP域或当前本地用户处于活动状态。undo state命令用来恢复缺省情况。。
block:指定当前ISP域/当前本地用户处于“阻塞”状态,即系统不允许该域下的用户/当前本地用户请求网络服务。
【描述】
state命令用来设置当前ISP域/当前本地用户的状态。
缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。当一个本地用户被创建以后,其状态为active(本地用户视图)。
当指示某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。当指示某个用户处于block状态时,不允许当前本地用户请求网络服务,但是不影响其它用户。
相关配置可参考命令domain。
【举例】
# 设置当前ISP域test处于“阻塞”状态,域下的接入用户不能再请求网络服务。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
# 设置用户user1处于“阻塞”状态。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-1user-user1] state block
【命令】
accounting-on enable
undo accounting-on enable
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
无
【描述】
accounting-on enable命令用来使能accounting-on功能,即设备重启后,发送accounting-on报文通知RADIUS服务器该设备已经重启,要求RADIUS服务器强制该设备的用户下线。undo accounting-on enable命令用来恢复缺省情况。
缺省情况下,accounting-on功能处于关闭状态。
需要注意的是:
l 此命令不会影响其他accounting-on命令的配置,如accounting-on enable send等。
l 设备启动后,如果当前系统中没有使能accounting-on功能的认证方案,则执行完该命令后,必须执行save操作,这样设备重启后accounting-on功能才能生效。但是,如果当前系统中已经有方案使能了accounting-on功能,则对未使能该功能的认证方案执行该命令后,accounting-on功能会立即生效。
相关配置可参考命令radius scheme。
【举例】
# 使能RADIUS认证方案rd的accounting-on功能。
<Sysname> system-view
[Sysname] radius scheme rd
[Sysname-radius-rd] accounting-on enable
【命令】
accounting-on enable interval seconds
undo accounting-on interval
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
seconds:accounting-on报文重发时间间隔,取值范围为1~15,单位为秒。
【描述】
accounting-on enable interval命令用来设置accounting-on报文重发时间间隔。
undo accounting-on enable interval命令用来恢复缺省情况。
缺省情况下,accounting-on报文重发时间间隔为3秒。
需要注意的是:
l 此命令配置不会影响其它accounting-on命令的配置,如accounting-on enable,即当执行undo accounting-on enable interval时,不会关闭accounting-on功能,只是恢复accounting-on报文重发时间间隔为缺省值。
l 在执行accounting-on功能的过程中,使用该命令重新设置的报文重发间隔时间会立即生效。
相关配置可参考命令radius scheme和accounting-on enable。
【举例】
# 在RADIUS认证方案rd中设置accounting-on报文重发间隔时间为5秒。
<Sysname> system-view
[Sysname] radius scheme rd
[Sysname-radius-rd] accounting-on enable interval 5
【命令】
accounting-on enable send send-times
undo accounting-on send
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
send-times:accounting-on报文的最大发送次数,取值范围为1~255。
【描述】
accounting-on enable send命令用来设置accounting-on报文的最大发送次数。undo accounting-on enable send命令用来恢复缺省情况。
缺省情况下,accounting-on报文的最大发送次数为5次。
需要注意的是:
l 此命令配置不会影响其它accounting-on命令,如accounting-on enable,即当执行undo accounting-on enable send时,不会关闭accounting-on功能,只是恢复accounting-on报文最大发送次数为缺省值。
l 在执行accounting-on功能的过程中,使用该命令重新设置的报文最大发送次数会立即生效。
相关配置可参考命令radius scheme和accounting-on enable。
【举例】
# 在RADIUS认证方案rd中设置accounting-on报文最大发送次数为10次。
<Sysname> system-view
[Sysname] radius scheme rd
[Sysname-radius-rd] accounting-on enable send 10
【命令】
attribute 25 car
undo attribute 25 car
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
无
attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。undo attribute 25 car命令用来恢复缺省情况。
缺省情况下,RADIUS Attribute 25的CAR参数解析功能处于关闭状态。
相关配置可参考命令display radius scheme和display connection。
# 开启RADIUS Attribute 25的CAR参数解析功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 25 car
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
data:设置数据的单位。
byte:数据单位为字节。
giga-byte:数据单位千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为千兆包。
kilo-packet:数据包的单位为千包。
mega-packet:数据包的单位为兆包。
one-packet:数据包的单位为包。
【描述】
data-flow-format命令用来配置发送到RADIUS服务器的数据流的单位。undo data-flow-format命令用来恢复缺省情况。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
需要注意的是:
l 设备上配置的发送给RADIUS服务器的数据流单位应与RADUIS服务器上的流量统计单位保持一致,否则无法正确计费。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令display radius scheme。
【举例】
# 设置发往RADIUS服务器的数据流的数据单位为千字节、数据包单位为千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display radius scheme [ radius-scheme-name ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
radius-scheme-name:指定RADIUS方案名,为1~32个字符的字符串。
【描述】
display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。
需要注意的是:如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。
相关配置可参考命令radius scheme。
【举例】
# 显示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
------------------------------------------------------------------
Index : 0 Type : extended
IP: 1.1.1.1 Port: 1812 State: block
IP: 1.1.1.1 Port: 1813 State: block
IP: N/A Port: 1812 State: block
IP: N/A Port: 1813 State: block
Auth Server Encryption Key : 123
Acct Server Encryption Key : Not configured
Accounting-On packet disable, send times : 5 , interval : 3s
Interval for timeout(second) : 3
Retransmission times for timeout : 3
Interval for realtime accounting(minute) : 12
Retransmission times of realtime-accounting packet : 5
Retransmission times of stop-accounting packet : 500
Quiet-interval(min) : 5
Username format : without-domain
Data flow unit : Byte
Packet unit : one
NAS-IP address : 1.1.1.1
Attribute 25 : car
------------------------------------------------------------------
Total 1 RADIUS scheme(s).
表2-1 display radius scheme命令显示信息描述表
字段 |
描述 |
SchemeName |
Radius方案的名称 |
Index |
Radius方案的索引号 |
Type |
Radius服务器的类型 |
Primary Auth Server |
主认证服务器 |
Primary Acct Server |
主计费服务器 |
Second Auth Server |
从认证服务器 |
Second Acct Server |
从计费服务器 |
IP |
主认证/计费服务器IP地址 未配置时,显示为N/A |
Port |
主认证/计费服务器接入端口号 未配置时,显示缺省值 |
State |
主认证/计费服务器目前状态 l active:激活 l block:阻塞 |
Auth Server Encryption Key |
认证服务器的共享密钥 |
Acct Server Encryption Key |
计费服务器的共享密钥 |
Accounting-On packet disable |
accounting-on功能未使能 |
send times |
accounting-on报文的重发次数 |
interval |
accounting-on报文的重发间隔(秒) |
Interval for timeout(second) |
超时时间(秒) |
Retransmission times for timeout |
超时重发次数 |
Interval for realtime accounting(minute) |
实时计费间隔(分钟) |
Retransmission times of realtime-accounting packet |
实时计费报文重发次数 |
Retransmission times of stop-accounting packet |
无响应停止计费报文重发次数 |
Quiet-interval(min) |
主服务器恢复激活状态的时间 |
Username format |
用户名格式 |
Data flow unit |
流量数据的单位 |
Packet unit |
数据包的单位 |
NAS-IP address |
发送RADIUS报文的源IP地址 |
Backup-NAS-IP address |
发送RADIUS报文的备份源IP地址 该显示信息的支持情况与设备的型号有关,请以设备的实际情况为准 |
Attribute 25 |
将RADIUS Attribute 25解析为CAR参数 |
Total 1 RADIUS scheme(s). |
共计1个RADIUS方案 |
【命令】
display radius statistics
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
无
【描述】
display radius statistics命令用来显示RADIUS报文的统计信息。
相关配置可参考命令radius scheme。
【举例】
# 显示RADIUS报文的统计信息。
<Sysname> display radius statistics
state statistic(total=128):
DEAD = 128 AuthProc = 0 AuthSucc = 0
AcctStart = 0 RLTSend = 0 RLTWait = 0
AcctStop = 0 OnLine = 0 Stop = 0
Received and Sent packets statistic:
Sent PKT total = 1547 Received PKT total = 23
Resend Times Resend total
1 508
2 508
Total 1016
RADIUS received packets statistic:
Code = 2 Num = 15 Err = 0
Code = 3 Num = 4 Err = 0
Code = 5 Num = 4 Err = 0
Code = 11 Num = 0 Err = 0
Running statistic:
RADIUS received messages statistic:
Normal auth request Num = 24 Err = 0 Succ = 24
EAP auth request Num = 0 Err = 0 Succ = 0
Account request Num = 4 Err = 0 Succ = 4
Account off request Num = 503 Err = 0 Succ = 503
PKT auth timeout Num = 15 Err = 5 Succ = 10
PKT acct_timeout Num = 1509 Err = 503 Succ = 1006
Realtime Account timer Num = 0 Err = 0 Succ = 0
PKT response Num = 23 Err = 0 Succ = 23
Session ctrl pkt Num = 0 Err = 0 Succ = 0
Normal author request Num = 0 Err = 0 Succ = 0
Set policy result Num = 0 Err = 0 Succ = 0
RADIUS sent messages statistic:
Auth accept Num = 10
Auth reject Num = 14
EAP auth replying Num = 0
Account success Num = 4
Account failure Num = 3
Server ctrl req Num = 0
RecError_MSG_sum = 0
SndMSG_Fail_sum = 0
Timer_Err = 0
Alloc_Mem_Err = 0
State Mismatch = 0
Other_Error = 0
No-response-acct-stop packet = 1
Discarded No-response-acct-stop packet for buffer overflow = 0
表2-2 display radius statistics命令显示信息描述表
字段 |
描述 |
state statistic(total=2048) |
状态统计(总数=2048) |
DEAD |
空闲态用户数 |
AuthProc |
认证等待态用户数 |
AuthSucc |
认证成功态用户数 |
AcctStart |
计费开始态用户数 |
RLTSend |
实时计费发送态用户数 |
RLTWait |
实时计费等待态用户数 |
AcctStop |
计费等待停止态用户数 |
OnLine |
在线态用户数 |
Stop |
停止态用户数 |
Received and Sent packets statistic |
收发报文数目统计 |
Sent PKT total |
发送报文总数 |
Received PKT total |
接收报文总数 |
Resend Times |
重传报文的次数 |
Resend total |
单次重传报文数 |
Total |
重传报文总数 |
RADIUS received packets statistic |
RADIUS模块接收报文数目统计 |
Code |
报文类型 |
Num |
报文总数 |
Err |
错误报文数 |
Running statistic |
运行间报文数目统计 |
RADIUS received messages statistic |
RADIUS已接收消息数目统计 |
Normal auth request |
普通认证请求报文数 |
EAP auth request |
EAP认证请求报文数 |
Account request |
计费请求报文数 |
Account off request |
计费停止请求报文数 |
PKT auth timeout |
认证超时报文数 |
PKT acct_timeout |
计费超时报文数 |
Realtime Account timer |
实时计费请求报文数 |
PKT response |
响应报文数 |
Session ctrl pkt |
会话控制报文数 |
Normal author request |
普通授权请求报文数 |
Succ |
成功报文数 |
Set policy result |
Set policy结果报文数 |
RADIUS sent messages statistic |
RAIUDS已发送消息数目统计 |
Auth accept |
认证接收报文数 |
Auth reject |
认证拒绝报文数 |
EAP auth replying |
EAP认证回应报文数 |
Account success |
计费成功报文数 |
Account failure |
计费失败报文数 |
Server ctrl req |
服务器控制请求报文数 |
RecError_MSG_sum |
接收错误消息总数 |
SndMSG_Fail_sum |
发送消息失败总数 |
Timer_Err |
启动定时器失败报文数 |
Alloc_Mem_Err |
申请内存失败报文数 |
State Mismatch |
状态不匹配报文数 |
Other_Error |
其它错误报文数 |
No-response-acct-stop packet |
停止计费报文无响应数 |
Discarded No-response-acct-stop packet for buffer overflow |
因缓存区满而丢弃的无响应停止计费报文总数 |
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
radius-scheme radius-scheme-name:根据指定RADIUS方案显示缓存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串。
session-id session-id:根据指定会话ID显示缓存的停止计费请求报文。其中,session-id为1~50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻的起始和停止时间显示缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被显示。
user-name user-name:根据指定用户名显示缓存的停止计费请求报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致。
【描述】
display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。
需要注意的是:
l 可以选择显示发往某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来显示报文;还可以指定一个时间段,显示那些发起停止计费请求的时刻处于指定时间段内的报文。根据显示的报文信息,可以帮助诊断与排除RADIUS相关故障。
l 在发送停止计费请求报文而RADIUS服务器没有响应时,设备系统会缓存该报文,然后以一定的次数发送,具体发送的次数由retry stop-accounting命令设置。
相关配置可参考命令reset stop-accounting-buffer、stop-accounting-buffer enable、user-name-format和retry stop-accounting。
【举例】
# 显示从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<Sysname> display stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006
Total find 0 records(0)
【命令】
key { accounting | authentication } string
undo key { accounting | authentication }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
accounting:指定RADIUS计费报文的共享密钥。
authentication:指定RADIUS认证/授权报文的共享密钥。
string:密钥,为1~64个字符的字符串,区分大小写。
【描述】
key命令用来配置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来删除配置。
缺省情况下,无共享密钥。
需要注意的是:
l 必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令display radius scheme。
【举例】
# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为hello。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key authentication hello
# 将RADIUS方案radius1的计费报文的共享密钥设置为ok。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting ok
【命令】
nas-ip { ip-address | ipv6 ipv6-address }
undo nas-ip
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。undo nas-ip命令用来恢复缺省情况。
缺省情况下,使用系统视图下由命令radius nas-ip指定的源地址。
需要注意的是:
l 指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用Loopback接口地址。
l RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
l 本命令配置的源IP地址与RADIUS方案中设置的服务器IP地址的协议版本必须保持一致,否则配置能成功但不能生效。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令radius nas-ip。
# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme test1
[Sysname-radius-test1] nas-ip 10.1.1.1
【命令】
primary accounting { ip-address | ipv6 ipv6-address } [ port-number ]
undo primary accounting
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:主RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。
port-number:UDP端口号,缺省为1813,取值范围为1~65535。
【描述】
primary accounting命令用来配置主RADIUS计费服务器。undo primary accounting命令用来删除设置的主RADIUS计费服务器。
缺省情况下,未配置主计费服务器。
需要注意的是:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。
l 主计费服务器和从计费服务器的IP地址协议版本必须一致,否则提示错误。
l 计费服务器与认证服务器的IP地址协议版本必须一致,否则提示错误。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令key、radius scheme和state。
【举例】
# 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813
【命令】
primary authentication { ip-address | ipv6 ipv6-address } [ port-number ]
undo primary authentication
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:主RADIUS认证/授权服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS认证/授权服务器的IPv6地址。该参数是否支持与设备型号有关,请以设备实际情况为准。
port-number:UDP端口号,缺省为1812,取值范围为1~65535。
【描述】
primary authentication命令用来配置主RADIUS认证/授权服务器。undo primary authentication命令用来删除设置的主RADIUS认证/授权服务器。
缺省情况下,未配置主认证/授权服务器。
需要注意的是:
l 当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置。这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证设备上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
l 主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。
l 主认证/授权服务器和从认证/授权服务器的IP地址协议版本必须一致,否则提示错误。
l 认证/授权服务器与计费服务器的IP地址协议版本必须一致,否则提示错误。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令key、radius scheme和state。
【举例】
# 设置RADIUS方案radius1的主认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812
【命令】
radius client enable
undo radius client
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
radius client enable命令用来使能RADIUS客户端的监听端口,使能后的端口可以接收和发送RADIUS报文。undo radius client命令用来关闭RADIUS客户端的监听端口。
缺省情况下,监听端口处于使能状态。
需要注意的是:
l 关闭RADIUS客户端的监听端口后,RADIUS可以接受认证/授权/计费请求,也可以处理RADIUS的定时器消息,但报文发送会失败,同时不能接收来自RADIUS服务器的报文。
l 关闭RADIUS客户端的监听端口后,在线用户的计费结束报文无法发出,且不能被缓存。同时,RADIUS服务器收不到在线用户的下线报文,会出现有一段时间用户已经下线,但RADIUS服务器上还有此用户的情况。
l 关闭RADIUS客户端的监听端口后,如果配置了RADIUS方案和本地认证/授权/计费方案,则RADIUS请求失败后会转由本地方案继续认证/授权/计费。
l 关闭RADIUS客户端的监听端口后,缓存的计费报文的发送会失败,失败次数达到配置的最大次数后,计费报文将从缓存中被删除。
【举例】
# 使能RADIUS客户端的监听端口。
<Sysname> system-view
[Sysname] radius client enable
【命令】
radius nas-ip { ip-address | ipv6 ipv6-address }
undo radius nas-ip
【视图】
系统视图
2:系统级
ip-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。undo radius nas-ip命令用来恢复缺省情况。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
l 指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
l 本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
l RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
l 本命令配置的源IP地址与使用该源地址的RADIUS方案中设置的服务器IP地址的协议版本必须保持一致,否则配置能成功但不能生效。
相关配置可参考命令nas-ip。
# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
radius scheme命令用来创建RADIUS方案并进入其视图。undo radius scheme命令用来删除指定的RADIUS方案。
缺省情况下,未定义RADIUS方案。
需要注意的是:
l RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至少须指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数。
l 一个RADIUS方案可以同时被多个ISP域引用。
l 当有使用RADIUS方案的用户在线时,不允许使用undo radius scheme命令删除该方案。
相关配置可参考命令key、retry realtime-accounting、timer realtime-accounting、stop-accounting-buffer enable、retry stop-accounting、server-type、state、user-name-format、retry、display radius scheme和display radius statistics。
【举例】
# 创建名为radius1的RADIUS方案并进入其视图。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【命令】
radius trap { accounting-server-down | authentication-server-down }
undo radius trap { accounting-server-down | authentication-server-down }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
accounting-server-down:使能RADIUS计费服务器无响应时的trap功能。
authentication-server-down:使能RADIUS认证服务器无响应时的trap功能。
【描述】
radius trap命令用来使能RADIUS trap功能。undo radius trap命令用来关闭RADIUS trap功能。
缺省情况下,RADIUS trap功能处于关闭状态。
需要注意的是:
l 使能RADIUS trap功能后,当NAS向RADIUS服务器发送计费或认证请求没有响应时,NAS会向服务器重发计费或认证请求报文。当NAS向服务器发送的报文累计次数达到最大传送次数的1/2时,系统会发送一次trap报文;当NAS向服务器发送的报文累计次数达到最大传送次数时,系统会再发送一次trap报文。
l 当最大传送次数为奇数时,最大传送次数的1/2取值为大于最大传送次数1/2的最小整数。
【举例】
# 使能RADIUS计费服务器无响应时的trap功能。
<Sysname> system-view
[Sysname] radius trap accounting-server-down
【命令】
reset radius statistics
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset radius statistics命令用来清除RADIUS协议的统计信息。
相关配置请参考命令display radius scheme。
【举例】
# 清除RADIUS协议的统计信息。
<Sysname> reset radius statistics
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
radius-scheme radius-scheme-name:根据指定RADIUS方案清除缓存的停止计费响应报文。其中,radius-scheme-name为RAIUDS方案名,为1~32个字符的字符串。
session-id session-id:根据指定会话ID清除缓存的停止计费响应报文。其中,session-id为会话ID,为1~50个字符的字符串。
time-range start-time stop-time:根据指定停止计费请求时刻的起始和结束时间清除缓存的停止计费响应报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:根据指定用户名清除缓存的停止计费响应报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。
【描述】
reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable、retry stop-accounting、user-name-format和display stop-accounting-buffer。
【举例】
# 清除用户user0001@test缓存在系统中的停止计费请求报文。
<Sysname> reset stop-accounting-buffer user-name user0001@test
# 清除从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<Sysname> reset stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006
【命令】
retry retry-times
undo retry
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
retry-times:报文重传次数的最大值,取值范围为1~20。
【描述】
retry命令用来设置RAIUDS报文超时重传次数的最大值。undo retry命令用来恢复缺省情况。
缺省情况下,RADIUS报文超时重传次数的最大值为3次。
需要注意的是:
l 由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次认证失败。
l 该命令配置的累计传送次数为设备向主、备服务器发送的所有重传报文之和。假设配置的重传次数为N,在主备RADIUS服务器都存在的情况下,如果累计重传次数达到N/2(N为偶数)或(N+1)/2(N为奇数)时,当前服务器仍没有响应设备,则设备会转而向另一个服务器发送请求报文。
l RADIUS报文超时重传次数的最大值与RADIUS服务器应答超时时间的乘积不能超过75秒。
相关配置可参考命令radius scheme和timer response-timeout。
【举例】
# 设置在RADIUS方案radius1下,RAIUDS报文的最大超时重传次数为5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【命令】
retry realtime-accounting retry-times
undo retry realtime-accounting
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
retry-times:允许实时计费请求无响应的最大次数,取值范围为1~255。
【描述】
retry realtime-accounting命令用来设置允许实时计费请求无响应的最大次数。undo retry realtime-accounting命令用来恢复缺省情况。
缺省情况下,最多允许5次实时计费请求无响应。
需要注意的是:
l RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,在设备端尽量与RADIUS服务器同步切断用户连接。设备提供对连续实时计费请求无响应次数限制的设置——在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备将切断用户连接。
l 假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,超时重传次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费失败的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。
相关配置可参考命令radius scheme和timer realtime-accounting。
【举例】
# 设置RADIUS方案radius1最多允许10次实时计费请求无响应。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
retry-times:允许停止计费请求无响应的最大次数,取值范围为10~65535。
【描述】
retry stop-accounting命令用来设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数。
undo retry stop-accounting命令用来恢复缺省情况。
缺省情况下,缓存的停止计费请求报文的最大发送次数为500。
假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,超时重传次数(retry命令设置)为5,设备允许的停止计费请求无响应的最大次数为20次(retry stop-accounting命令设置),则其含义为:设备发起停止计费请求,如果3秒钟内得不到回应就重新发起一次请求,如果重传5次都没有得到回应就认为该次停止计费请求失败,设备会将其缓存在本机上,然后再发起一次请求,重复上述过程,20次尝试均失败以后,设备将其丢弃。
相关配置可参考命令radius scheme和display stop-accounting-buffer。
【举例】
# 设置对于RADIUS方案radius1中的服务器,设备最多可以将缓存的停止计费请求报文发送1000次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry stop-accounting 1000
【命令】
secondary accounting { ip-address | ipv6 ipv6-address } [ port-number ]
undo secondary accounting
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:从RADIUS计费服务器的IPv4IP地址。
ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。
port-number:UDP端口号,缺省为1813,取值范围为1~65535。
【描述】
secondary accounting命令用来配置从RADIUS计费服务器。undo secondary accounting命令用来删除配置的从RADIUS计费服务器。
缺省情况下,未配置从计费服务器。
需要注意的是:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。
l 主计费服务器和从计费服务器的IP地址协议版本必须一致,否则提示错误。
l 计费服务器与认证服务器的IP地址协议版本必须一致,否则提示错误。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令key、radius scheme和state。
【举例】
# 设置RADIUS方案radius1的从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
【命令】
secondary authentication { ip-address | ipv6 ipv6-address } [ port-number ]
undo secondary authentication
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:从RADIUS认证/授权服务器的IPv4IP地址。
ipv6 ipv6-address:从RADIUS认证/授权服务器的IPv6地址。
port-number:UDP端口号,缺省为1812,取值范围为1~65535
【描述】
secondary authentication命令用来配置从RADIUS认证/授权服务器。undo secondary authentication命令用来删除配置的从RADIUS认证/授权服务器。
缺省情况下,未配置从认证/授权服务器。
需要注意的是:
l 主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。
l 主认证/授权服务器和从认证/授权服务器的IP地址协议版本必须一致,否则提示错误。
l 认证/授权服务器与计费服务器的IP地址协议版本必须一致,否则提示错误。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令key、radius scheme和state。
【举例】
# 设置RADIUS方案radius1的从认证/授权服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
【命令】
security-policy-server ip-address
undo security-policy-server { ip-address | all }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:安全策略服务器IP地址。
all:所有安全策略服务器IP地址。
【描述】
security-policy-server命令用来设置安全策略服务器。
undo security-policy-server命令用来删除指定的安全策略服务器。
缺省情况下,未指定安全策略服务器。
需要注意的是:
l 当接入设备上有多个端口配置了用户接入认证功能时,各接口所对应的安全策略服务器可能不同,因此一个RADIUS方案中可以配置多个安全策略服务器IP地址,最多不能超过8个。
l 指定的安全策略服务器必须为通过配置的安全策略服务器或RADIUS服务器,否则,设备认为其非法。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令radius nas-ip。
【举例】
# 设置RADIUS方案radius1的安全策略服务器IP地址为10.110.1.2。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] security-policy-server 10.110.1.2
【命令】
server-type { extended | standard }
undo server-type
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
extended:指定extended类型的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端(设备系统)和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。
standard:指定standard类型的RADIUS服务器,即要求RADIUS客户端(设备系统)和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互。
【描述】
server-type命令用来指定设备系统支持的RADIUS服务器类型。undo server-type命令用来恢复缺省情况。
缺省情况下,设备系统支持的RADIUS服务器类型为standard。
需要注意的是,只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令radius scheme。
【举例】
# 将RADIUS方案radius1的RADIUS服务器类型设置为standard。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-type standard
【命令】
state { primary | secondary } { accounting | authentication } { active | block }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
primary:设置主RADIUS服务器的状态。
secondary:设置从RADIUS服务器的状态。
accounting:设置RADIUS计费服务器的状态。
authentication:设置RADIUS认证/授权服务器的状态。
active:设置RADIUS服务器的状态为active,即处于正常工作状态。
block:设置RADIUS服务器的状态为block,即处于通信中断状态。
【描述】
state命令用来设置RADIUS服务器的状态。
缺省情况下,RADIUS方案中配置了IP地址的各RADIUS服务器的状态均为active。
需要注意的是:
l 对于某个RADIUS方案中的主、从服务器(无论是认证/授权服务器还是计费服务器),当主服务器因故障而导致其与设备的通信中断时,设备会主动地转而与从服务器交互报文。
l 当主服务器不可达时,状态变为block,设备与已配置了IP地址的从服务器交互。若从服务器可达,设备将开启超时定时器,在timer quiet设定的时间达到后主服务器状态立即恢复为active,从服务器状态不变;若从服务器不可达,设备立即将主服务器状态恢复为active。之后,如果主服务器恢复正常,设备会立即恢复与其通信,而中断与从服务器通信。而计费开始后,客户端与从计费服务器之间的通信不会因为主计费服务器的恢复而切换。
l 当主服务器与从服务器的状态都为block时,若希望使用从服务器进行认证,必须将从服务器的状态置为active,否则无法完成主从服务器的切换。
l 在一个服务器状态为active、另外一个服务器状态为block的情况下,即使状态为active的服务器不可达,设备也不会进行主从服务器的切换。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令radius scheme、primary authentication、secondary authentication、primary accounting和secondary accounting。
【举例】
# 将RADIUS方案radius1的从认证服务器的状态设置为active。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication active
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到RADIUS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。
需要注意的是,只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令reset stop-accounting-buffer、radius scheme和display stop-accounting-buffer。
【举例】
# 指示对于RADIUS方案radius1中的服务器,设备能够缓存没有得到响应的停止计费请求报文。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
minutes:恢复激活状态的时间,取值范围为0~255,单位为分钟。
【描述】
timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。
缺省情况下,主服务器恢复激活状态的时间为5分钟。
相关配置可参考命令display radius scheme。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] radius scheme test1
[Sysname-radius-test1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟,非零取值必须为3的倍数。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。
缺省情况下,实时计费的时间间隔为12分钟。
需要注意的是:
l 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。
l 当实时计费间隔设置为0时,如果服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息。
l 实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求,取值小,会增加网络中的数据流量,对设备和RADIUS服务器的性能要求就高;取值大,会影响计费的准确性。因此要结合网络的实际情况合理设置计费间隔的大小,一般情况下,建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
¦1000 |
¦15 |
相关配置可参考命令retry realtime-accounting和radius scheme。
【举例】
# 将RADIUS方案radius1的实时计费的时间间隔设置为51分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
seconds:RADIUS服务器应答超时时间,取值范围为1~10,单位为秒。
【描述】
timer response-timeout命令用来设置RADIUS服务器应答超时时间。undo timer response-timeout命令用来恢复缺省情况。
缺省情况下,RADIUS服务器应答超时时间为3秒。
需要注意的是:
l 如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长。设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,命令timer response-timeout就是用来设置这个定时器时长的。
l 根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
l RADIUS报文超时重传次数的最大值与RADIUS服务器应答超时时间的乘积不能超过75秒。
相关配置可参考命令radius scheme和retry。
【举例】
# 将RADIUS方案radius1的响应超时定时器设置为5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【命令】
user-name-format { keep-original | with-domain | without-domain }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
keep-original:发送给RADIUS服务器的用户名与用户输入的保持一致。
with-domain:发送给RADIUS服务器的用户名带ISP域名。
without-domain:发送给RADIUS服务器的用户名不带ISP域名。
【描述】
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
缺省情况下,RADIUS方案发送给RADIUS服务器的用户名携带有ISP域名。
需要注意的是:
l 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
l 如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
l 在802.1X用户采用EAP认证方式的情况下,RADIUS方案中配置的user-name-format命令无效,客户端传送给RADIUS服务器的用户名不会有改动。
l 无线用户漫游时,建议配置参数keep-original,否则可能引起认证失败。
l 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
相关配置可参考命令radius scheme。
【举例】
# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!