- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-AAA_RADIUS_HWTACACS命令
本章节下载 (403.41 KB)
目 录
1.1.11 authentication lan-access
1.1.18 authorization lan-access
1.1.33 local-user password-display-mode
1.2.2 accounting-on enable interval
1.2.3 accounting-on enable send
1.2.4 data-flow-format (RADIUS scheme view)
1.2.6 display radius statistics
1.2.7 display stop-accounting-buffer
1.2.8 key (RADIUS scheme view)
1.2.9 nas-ip (RADIUS scheme view)
1.2.10 primary accounting (RADIUS scheme view)
1.2.11 primary authentication (RADIUS scheme view)
1.2.16 reset radius statistics
1.2.17 reset stop-accounting-buffer
1.2.19 retry realtime-accounting
1.2.20 retry stop-accounting (RADIUS scheme view)
1.2.21 secondary accounting (RADIUS scheme view)
1.2.22 secondary authentication (RADIUS scheme view)
1.2.26 stop-accounting-buffer enable (RADIUS scheme view)
1.2.27 timer quiet (RADIUS scheme view)
1.2.28 timer realtime-accounting (RADIUS scheme view)
1.2.29 timer response-timeout (RADIUS scheme view)
1.2.30 user-name-format (RADIUS scheme view)
1.3.1 data-flow-format (HWTACACS scheme view)
1.3.3 display stop-accounting-buffer
1.3.6 key (HWTACACS scheme view)
1.3.7 nas-ip (HWTACACS scheme view)
1.3.8 primary accounting (HWTACACS scheme view)
1.3.9 primary authentication (HWTACACS scheme view)
1.3.11 reset hwtacacs statistics
1.3.12 reset stop-accounting-buffer
1.3.13 retry stop-accounting (HWTACACS scheme view)
1.3.14 secondary accounting (HWTACACS scheme view)
1.3.15 secondary authentication (HWTACACS scheme view)
1.3.16 secondary authorization
1.3.17 stop-accounting-buffer enable (HWTACACS scheme view)
1.3.18 timer quiet (HWTACACS scheme view)
1.3.19 timer realtime-accounting (HWTACACS scheme view)
1.3.20 timer response-timeout (HWTACACS scheme view)
1.3.21 user-name-format (HWTACACS scheme view)
【命令】
access-limit { disable | enable max-user-number }
undo access-limit
【视图】
ISP域视图
【参数】
disable:表示不限制当前ISP域可容纳的接入用户数。
enable max-user-number:表示限制当前ISP域可容纳的接入用户数。其中,
max-user-number为当前ISP域可容纳接入用户数的最大值。max-user-number的取值范围为1~1024。
【描述】
access-limit命令用来设置当前ISP域可容纳接入用户数的限制。undo access-limit命令用来取消对域接入用户数的限制。
缺省情况下,不限制当前ISP域可容纳的接入用户数。
由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。
【举例】
# 指定ISP域example.com最多可容纳500个接入用户。
<VG> system-view
[VG] domain example.com
[VG-isp-example.com] access-limit enable 500
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting default
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting default命令用来为所有类型的用户配置缺省的计费方案。undo accounting default命令用来恢复缺省情况。
缺省情况下,所有类型的用户采用local计费方案。
需要注意的是:
l 当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
l 本命令所配置的计费方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。
l 本地计费只是为了支持本地用户的连接数管理,没有实际的统计功能。本地的接入数管理只对本地计费有效,对本地认证和授权没有作用。
l login接入方式中对FTP服务不支持计费流程。
相关配置可参考命令authentication default、authorization default、hwtacacs scheme和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置计费方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system] auccounting default local
# 在系统缺省的ISP域system下,为所有类型的用户配置计费方案为RADIUS方案,方案名为rd,并且local作为备份计费方案。
<VG> system-view
[VG] domain system
[VG-isp-system] accounting default radius-scheme rd local
【命令】
accounting lan-access { local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting lan-access
【视图】
ISP域视图
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting lan-access命令用来为lan-access用户配置计费方案。undo accounting lan-access 命令用来恢复缺省情况。
缺省情况下,lan-access用户采用缺省的计费方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令accounting default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为lan-access用户配置计费方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system]accounting lan-access local
# 在系统缺省的ISP域system下,为lan-access用户配置计费方案为RADIUS方案,方案名为rd,并且local作为备份计费方案。
<VG> system-view
[VG] domain system
[VG-isp-system] accounting lan-access radius-scheme rd local
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting login
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting login命令用来为login用户配置计费方案。undo accounting login命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的计费方案。
需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
相关配置可参考命令accounting default、hwtacacs scheme和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为login用户配置计费方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system] accounting login local
# 在系统缺省的ISP域system下,为login用户配置计费方案为RADIUS方案,方案名为rd,并且local作为备份计费方案。
<VG> system-view
[VG] domain system
[VG-isp-system] accounting login radius-scheme rd local
【命令】
accounting optional
undo accounting optional
【视图】
ISP域视图
【参数】
无
【描述】
accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。
缺省情况下,计费可选处于关闭状态。
需要注意的是:
l 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了本命令,则用户可以继续使用网络资源,否则用户连接将被切断。这个命令经常被用于只认证不计费的情况。
l 对配置了本命令的域内的所有用户,系统不再发送实时计费更新报文和停止计费报文。
【举例】
# 打开名为example.com的ISP域用户的计费可选开关。
<VG> system-view
[VG] domain example.com
[VG-isp-example.com] accounting optional
【命令】
accounting portal { none | radius-scheme radius-scheme-name }
undo accounting portal
【视图】
ISP域视图
【参数】
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting portal命令用来为Portal用户配置计费方案。undo accounting portal命令用来恢复缺省情况。
缺省情况下,Portal用户采用缺省的计费方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令accounting default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为Portal用户配置计费方案为RADIUS的方案,方案名为rd。
<VG> system-view
[VG] domain system
[VG-isp-system] accounting portal radius-scheme rd
【命令】
accounting ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting ppp
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting ppp命令用来为PPP用户配置计费方案。undo accounting ppp 命令用来恢复缺省情况。
缺省情况下,PPP用户采用缺省的计费方案。
需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
相关配置可参考命令accounting default、hwtacacs scheme和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为PPP用户配置计费方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system] accounting ppp local
# 在系统缺省的ISP域system下,为PPP用户配置计费方案为RADIUS方案,方案名为rd,并且local作为备份计费方案。
<VG> system-view
[VG] domain system
[VG-isp-system] accounting ppp radius-scheme rd local
【命令】
accounting voip radius-scheme radius-scheme-name
undo accounting voip
【视图】
ISP视图
【参数】
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accounting voip命令用来为语音用户指定计费使用的RADIUS方案。undo accounting voip命令用来恢复缺省情况。
缺省情况下,VoIP用户采用缺省的计费方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l 若语音业务配置成不打开计费,即使配置了计费方案,也不会进行计费流程;若语音业务配置成打开计费,但没有配置RADIUS计费方案,那么计费将会失败。
相关配置可参考命令domain和radius scheme。
【举例】
# 在系统缺省的ISP域system视图下,配置语音用户RADIUS计费方案为rd。
<VG> system-view
[VG] domain system
[VG-isp-system] accounting voip radius-scheme rd
【命令】
attribute { access-limit max-user-number | idle-cut minute | ip ip-address | location { [ nas-ip ip-address ] port slot-number subslot-number port-number } | mac mac-address | vlan vlan-id }*
undo attribute { access-limit | idle-cut | ip | location | mac | vlan }*
【视图】
本地用户视图
【参数】
access-limit max-user-number:指定可以用当前用户名接入设备的最大用户数。其中,max-user-number表示最大用户数目,取值范围为1~1024。
idle-cut minute:允许本地用户启用闲置切断功能。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。
ip ip-address:指定用户的IP地址。本地用户的attribute ip命令只适用于支持IP地址上传功能的认证,如802.1x认证;对于不支持IP地址上传功能的认证,如果配置了该命令,会导致本地认证失败,如MAC地址认证。
location:设置用户的端口绑定属性。
nas-ip ip-address:指定用户绑定的远端接入服务器的端口IP地址。ip-address缺省为127.0.0.1,表示为本机。若用户绑定的是远程端口,则该用户必须指定nas-ip参数;若用户绑定的是本地端口,则不需要指定nas-ip参数。
port slot-number subslot-number port-number:设置用户绑定的端口。其中slot-number为槽号,取值范围为0~15。subslot-number为子槽号,取值范围为0~15。port-number为端口号,取值范围0~255。绑定的端口只针对端口号,不区分端口类型。
mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。
vlan vlan-id:设置用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。
【描述】
attribute命令用来设置服务类型为lan-access用户的一些属性值。undo attribute命令用来取消对用户属性值的设置。
用户界面视图下配置的闲置切断功能(即idle-cut的设置)只对lan-access用户有效。
相关配置可参考命令display local-user。
【举例】
# 设置本地用户user1的IP地址为10.110.50.1。
<VG> system-view
[VG] local-user user1
[VG-luser-user1] attribute ip 10.110.50.1
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication default
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authentication default命令用来为所有类型的用户配置缺省的认证方案。undo authentication default命令用来恢复缺省情况。
缺省情况下,所有类型的用户采用local认证方案。
需要注意的是:
l 当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
l 本命令配置的认证方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。
相关配置可参考命令authorization default、accounting default、hwtacacs scheme和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置认证方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication default local
# 在系统缺省的ISP域system下,为所有类型的用户配置认证方案为RADIUS方案,方案名为rd,并且local作为备份认证方案。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication default radius-scheme rd local
【命令】
authentication lan-access { local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication lan-access
【视图】
ISP域视图
【参数】
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authentication lan-access命令用来为lan-access用户配置认证方案。undo authentication lan-access命令用来恢复缺省情况。
缺省情况下,lan-access用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令authentication default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为lan-access用户配置认证方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication lan-access local
# 在系统缺省的ISP域system下,为lan-access用户配置认证方案为RADIUS方案,方案名为rd,并且local作为备份认证方案。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication lan-access radius-scheme rd local
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication login
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authentication login命令用来为login用户配置认证方案。undo authentication login命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
相关配置可参考命令authentication default、hwtacacs scheme和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为login用户配置认证方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication login local
# 在系统缺省的ISP域system下,为login用户配置认证方案为RADIUS的方案,方案名为rd,并且local作为备份认证方案。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication login radius-scheme rd local
【命令】
authentication portal { none | radius-scheme radius-scheme-name }
undo authentication portal
【视图】
ISP域视图
【参数】
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authentication portal命令用来为Portal用户配置认证方案。undo authentication portal命令用来恢复缺省情况。
缺省情况下,Portal用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令authentication default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为Portal用户配置认证方案为RADIUS的方案,方案名为rd。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication portal radius-scheme rd
【命令】
authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication ppp
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authentication ppp命令用来为PPP用户配置认证方案。undo authentication ppp命令用来恢复缺省情况。
缺省情况下,PPP用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
相关配置可参考命令authentication default、hwtacacs scheme和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为PPP用户配置认证方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication ppp local
# 在系统缺省的ISP域system下,为PPP用户配置认证方案为RADIUS方案,方案名为rd,并且local作为备份认证方案。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication ppp radius-scheme rd local
【命令】
authentication voip radius-scheme radius-scheme-name
undo authentication voip
【视图】
ISP域视图
【参数】
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名称,为1~32个字符的字符串。
【描述】
authentication voip命令用来为语音用户指定认证使用的RADIUS方案。undo authentication voip命令用来恢复缺省情况。
缺省情况下,VoIP用户采用缺省的认证方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l 若语音业务配置成不打开认证,即使做了authentication voip配置,也不会进行认证流程;若语音配置成打开了认证,但没有配置RADIUS认证方案,那么认证将会失败。
相关配置可参考命令domain和radius scheme。
【举例】
# 在系统缺省的ISP域system视图下,配置语音用户RADIUS认证方案为rd。
<VG> system-view
[VG] domain system
[VG-isp-system] authentication voip radius-scheme rd
【命令】
authorization command hwtacacs-scheme hwtacacs-scheme-name
undo authorization command
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
【描述】
authorization command命令用来为命令行用户配置授权方案。undo authorization command命令用来恢复缺省情况。
缺省情况下,命令行用户采用缺省的授权方案。
需要注意的是,当前ISP域所引用的HWTACACS方案必须是已配置的。
相关配置可参考命令authorization default和hwtacacs scheme。
【举例】
# 在系统缺省的ISP域system下,为命令行配置HWTACACS授权方案,方案名为hw。
<VG> system-view
[VG] domain system
[VG-isp-system] authorization command hwtacacs-scheme hw
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization default
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorization default命令用来为所有类型的用户配置缺省的授权方案。undo authorization default命令用来恢复缺省情况。
缺省情况下,所有类型的用户采用local授权方案。
需要注意的是:
l 当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
l authorization default命令配置的授权方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。
l RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用。对于所有RADIUS授权失败的情况,授权失败返回给NAS的原因为server没有响应。
相关配置可参考命令authentication default、accounting default、hwtacacs scheme和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置授权方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system] authorization default local
# 在系统缺省的ISP域system下,为所有类型的用户配置授权方案为RADIUS方案,方案名为rd,并且local作为备份授权方案。
<VG> system-view
[VG] domain system
[VG-isp-system] authorization default radius-scheme rd local
【命令】
authorization lan-access { local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization lan-access
【视图】
ISP域视图
【参数】
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorization lan-access命令用来为lan-access用户配置授权方案。undo authorization lan-access命令用来恢复缺省情况。
缺省情况下,lan-access用户采用缺省的授权方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令authorization default和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为lan-access用户配置授权方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system]authorization lan-access local
# 在系统缺省的ISP域system下,为lan-access用户配置授权方案为RADIUS方案,方案名为rd,并且local作为备份授权方案。
<VG> system-view
[VG] domain system
[VG-isp-system] authorization lan-access radius-scheme rd local
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization login
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorization login命令用来为login用户配置授权方案。undo authorization login命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的授权方案。
需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
相关配置可参考命令authorization default、hwtacacs scheme和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为login用户配置授权方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system] authorization login local
# 在系统缺省的ISP域system下,为login用户配置授权方案为RADIUS方案,方案名为rd,并且local作为备份授权方案。
<VG> system-view
[VG] domain system
[VG-isp-system] authorization login radius-scheme rd local
【命令】
authorization portal { none | radius-scheme radius-scheme-name }
undo authorization portal
【视图】
ISP域视图
【参数】
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorization portal命令用来为Portal用户配置授权方案。undo authorization portal命令用来恢复缺省情况。
缺省情况下,Portal用户采用缺省的授权方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令authorization default和radius scheme。
【举例】
#在系统缺省的ISP域system下,为Portal用户配置授权方案为RADIUS的方案,方案名为rd。
<VG> system-view
[VG] domain system
[VG-isp-system] authorization portal radius-scheme rd
【命令】
authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization ppp
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorization ppp命令用来为PPP用户配置授权方案。undo authorization ppp命令用来恢复缺省情况。
缺省情况下,PPP用户采用缺省的授权方案。
需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
相关配置可参考命令authorization default、hwtacacs scheme和radius scheme。
【举例】
# 在系统缺省的ISP域system下,为PPP用户配置授权证方案为local。
<VG> system-view
[VG] domain system
[VG-isp-system]authorization ppp local
# 在系统缺省的ISP域system下,为PPP用户配置授权证方案为RADIUS方案,方案名为rd,并且local作为备份授权方案。
<VG> system-view
[VG] domain system
[VG-isp-system] authorization ppp radius-scheme rd local
【命令】
authorization voip radius-scheme radius-scheme-name
undo authorization voip
【视图】
ISP域视图
【参数】
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名称,为1~32个字符的字符串。
【描述】
authorization voip命令用来为VoIP用户指定授权使用的RADIUS方案,undo authorization voip命令用来恢复缺省情况。
缺省情况下,VoIP用户采用缺省的授权方案。
需要注意的是:
l 当前ISP域所引用的RADIUS方案必须是已配置的。
l 配置授权方案时,命令中指定的方案必须与配置认证方案所指定的方案一样,否则授权将总是失败。
l 若语音业务配置成不打开授权,即使做了授权配置,也不会进行授权流程;若语音配置成打开了授权,但没有配置RADIUS授权方案,那么授权将会失败。
相关配置可参考命令domain和radius scheme。
【举例】
# 在系统缺省的ISP域system视图下,配置语音用户radius授权方案为rd。
<VG> system-view
[VG] domain system
[VG-isp-system] authorization voip radius-scheme rd
【命令】
cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id }
【视图】
系统视图
【参数】
access-type:指定接入方式。
l dot1x:表示802.1x认证接入方式;
l mac-authentication:表示MAC地址认证接入方式;
l portal:表示Portal认证接入方式。
all:切断所有用户连接。
domain isp-name:指定ISP域。其中,isp-name为ISP域名,为1~24个字符的字符串。
interface interface-type interface-number:指定接口。其中,interface-type interface-number为接口类型和接口编号。目前只支持二层以太网接口和WLAN二层虚拟接口。
ip ip-address:指定IP地址。
mac mac-address:指定MAC地址。其中,mac-address为H-H-H格式。
ucibindex ucib-index:指定连接索引号,不同型号的设备支持的取值范围不同,请以设备的实际情况为准。
user-name user-name:指定用户名。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名必须带域名,否则系统默认其带缺省域名。
vlan vlan-id:指定用户所在VLAN。其中,vlan-id的取值范围为1~4094。
【描述】
cut connection命令用来强制切断指定AAA用户的连接。
此命令目前只对lan-access、Portal和PPP服务类型的用户有效。
相关配置可参考命令display connection和service-type。
【举例】
# 切断域名为example.com的ISP域下的所有连接。
<VG> system-view
[VG] cut connection domain example.com
【命令】
display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ]
【视图】
任意视图
【参数】
access-type { dot1x | mac-authentication | portal }:根据接入方式显示用户连接。其中,dot1x指定802.1x认证用户连接,mac-authentication指定MAC认证用户连接,portal指定Portal认证用户连接。
domain isp-name:显示指定ISP域下的全部用户连接。其中,isp-name表示ISP域名,为1~24个字符的字符串,不区分大小写。
interface interface-type interface-number:显示指定接口的所有用户连接。其中,interface-type interface-number表示接口类型和接口编号。
ip ip-address:显示指定IP地址的所有用户连接。
mac mac-address:显示指定MAC地址的所有用户连接。其中,mac-address为H-H-H格式。
ucibindex ucib-index:显示指定连接索引的所有用户连接。其中,ucib-index表示连接索引号,不同型号的设备支持的取值范围不同,请以设备的实际情况为准。
user-name user-name:显示指定用户名的所有用户连接。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名必须带域名,否则系统默认其带缺省域名。
vlan vlan-id:显示指定VLAN内的所有用户连接。其中,vlan-id为VLAN编号,取值范围为1~4094。
【描述】
display connection命令用来显示所有或指定的AAA用户连接的相关信息。
需要注意的是:
l 不指定任何参数的情况下,系统显示所有AAA用户连接的相关信息。
l 对于FTP类型用户,无法显示AAA用户连接的相关信息。
相关配置可参考命令cut connection。
【举例】
# 显示所有AAA用户连接的相关信息。
<VG> display connection
Index=1 ,Username=telnet@system
IP=10.0.0.1
Total 1 connection(s) matched.
表1-1 display connection命令显示信息描述表
|
字段 |
描述 |
|
Index |
索引号 |
|
Username |
当前连接的用户名,格式为username@domain |
|
IP |
该用户IP地址 |
|
Total 1 connection(s) matched. |
总计1个AAA用户连接 |
【命令】
display domain [ isp-name ]
【视图】
任意视图
【参数】
isp-name:指定ISP域名,为1~24个字符的字符串。
【描述】
display domain命令用来显示指定ISP域的配置信息。
如果不指定ISP域则显示系统中所有ISP域的配置信息。
相关配置可参考命令access-limit、domain和state。
【举例】
# 显示系统中所有ISP域的配置信息。
0 Domain = aabbcc
State = Active
Access-limit = Disable
Accounting method = Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Lan-access authentication scheme radius=test, local
Lan-access authorization scheme hwtacacs=hw, local
Lan-access accounting scheme : local
Domain User Template:
Idle-cut = Disable
Self-service = Disable
1 Domain = system
State = Active
Access-limit = Disable
Accounting method = Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Login Accounting scheme : none
Domain User Template:
Idle-cut = Disable
Self-service = Disable
Default Domain Name: system
Total 2 domain(s).2 listed.
表1-2 display domain命令显示信息描述表
|
字段 |
描述 |
|
Domain |
域名 |
|
State |
状态(Active:激活、Block:阻塞) |
|
Access-limit |
接入限制(Disabled:未使能、Enabled:使能) |
|
Accounting method |
计费方法(Required:必选、Optional:可选) |
|
Default authentication scheme |
缺省的认证方案 |
|
Default authorization scheme |
缺省的授权方案 |
|
Default accounting scheme |
缺省的计费方案 |
|
Authentication scheme |
认证方案 |
|
Authorization scheme |
授权方案 |
|
Accounting scheme |
计费方案 |
|
Domain User Template |
域用户模板 |
|
Idle-cut |
闲置切断功能(Disabled:未使能、Enabled:使能) |
|
Self-service |
自助服务功能(Disabled:未使能、Enabled:使能) |
|
Total 2 domain(s). |
总计2个ISP域 |
【命令】
display local-user [ idle-cut { disable | enable } | service-type { dvpn | ftp | lan-access | pad | ppp | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ]
【视图】
任意视图
【参数】
idle-cut { disable | enable }:显示指定闲置切断功能的所有本地用户信息。其中,disable表示禁止用户启用闲置切断功能;enable表示允许用户启用闲置切断功能。
service-type:显示指定用户类型的所有本地用户信息。
l dvpn为DVPN隧道用户;
l ftp指定用户为FTP类型;
l lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户);
l pad为X.25 PAD用户;
l ppp为PPP用户;
l ssh为SSH用户;
l telnet为Telnet用户;
l terminal为从CON口、AUX口、Asyn口登录的终端用户。
state { active | block }:显示指定状态下的所有本地用户信息。其中,active表示系统允许用户请求网络服务;block表示系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。
vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。
【描述】
display local-user命令用来显示所有或指定的本地用户的相关信息。
相关配置可参考命令local-user。
【举例】
# 显示所有本地用户的相关信息。
<VG> display local-user
The contents of local user abc:
State: Active
ServiceType: ftp
Idle-cut: Disable
Access-limit: Enable Current AccessNum: 0
Bind location: 2.2.2.2/3/2/255 (NAS/SLOT/SUBSLOT/PORT)
Vlan ID: Disable
IP address: Disable
MAC address: Disable
Total 1 local user(s) matched.
表1-3 display local-user命令显示信息描述表
|
字段 |
描述 |
|
State |
用户状态(Active:激活、Block:阻塞) |
|
ServiceType |
用户使用的服务类型(ftp、lan-access、pad、ssh、telnet、terminal) |
|
Idle-cut |
闲置切断开关(Disabled:未使能、Enabled:使能) |
|
Access-limit |
接入用户连接数限制 |
|
Current AccessNum |
当前接入用户数 |
|
Bind location |
是否与端口捆绑 |
|
VLAN ID |
用户所属的VLAN |
|
IP address |
用户的IP地址 |
|
MAC address |
用户的MAC地址 |
|
Password-Aging |
本地用户密码的老化时间 |
|
Password-Length |
本地用户密码的最小长度 |
|
Password-Composition |
本地用户密码的组合策略 |
|
Total 1 local user(s) matched. |
总计有1个本地用户匹配 |
【命令】
domain isp-name
undo domain isp-name
【视图】
系统视图
【参数】
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,且不能包括“/”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
【描述】
domain命令用来创建一个ISP域并进入其视图。undo domain命令用来删除指定的ISP域。
使用此命令时,如果指定的ISP域不存在,系统将会创建一个新的ISP域,所有的ISP域在创建后即处于active状态。
相关配置可参考命令state和display domain。
【举例】
# 创建一个新的ISP域example.com,并进入其视图。
<VG> system-view
[VG] domain example.com
【命令】
domain default { disable | enable isp-name }
【视图】
系统视图
【参数】
disable:禁止配置缺省ISP域。
enable:使能配置缺省ISP域。
isp-name:ISP域名,为1~24个字符的字符串。
【描述】
domain default命令用来手工配置系统缺省的ISP域。
缺省情况下,系统缺省的域为system。
需要注意的是:
l 缺省的ISP域有且只有一个。
l 手工配置缺省域时,该域必须已经存在。
l 配置为缺省的域不能够被删除,除非先恢复要删除的域为非缺省域。
相关配置可参考命令state和display domain。
【举例】
# 创建一个新的ISP域example.com,并设置为系统缺省的ISP域。
<VG> system-view
[VG] domain example.com
[VG-isp-example.com] quit
[VG] domain default enable example.com
【命令】
idle-cut { disable | enable minute }
【视图】
ISP域视图
【参数】
disable:表示禁止用户启用闲置切断功能。
enable minute:表示允许用户启用闲置切断功能。其中,minute表示允许的最大空闲时间,取值范围为1~120,单位为分钟。
【描述】
idle-cut命令用来设置当前ISP域下的闲置切断功能。
缺省情况下,用户闲置切断开关处于关闭状态。
相关配置可参考命令domain。
【举例】
# 允许当前ISP域example.com下的用户启用闲置切断功能,最大空闲时间为50分钟。
<VG> system-view
[VG] domain example.com
[VG-isp-example.com] idle-cut enable 50
【命令】
ip pool pool-number low-ip-address [ high-ip-address ]
undo ip pool pool-number
【视图】
系统视图/ISP域视图
【参数】
pool-number:地址池编号,取值范围为0~99。
low-ip-address和high-ip-address:分别为地址池的起始和结束IP地址。一个地址池中起始IP和结束IP地址之间的地址数不能超过1024。如果在定义IP地址池时不指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。
【描述】
ip pool命令用来定义为PPP用户分配IP地址的地址池。undo ip pool命令用来删除指定的IP地址池。
缺省情况下,没有定义为PPP用户分配IP地址的地址池。
需要注意的是:
l 在系统视图下,配置IP地址池。通过在接口视图下使用命令remote address为PPP用户分配IP地址。
l 在ISP域视图下,配置的IP地址池用于为相应的ISP域的PPP用户分配IP地址。这主要用于通过某接口接入的PPP用户较多,而接口所能分配的地址不够用的情况。例如,运行PPPoE协议的Ethernet接口,最多可以接入4095个用户,但在该Ethernet接口的Virtual Template上,只能配置一个地址池,而一个地址池最多只有1024个地址,这显然不能满足要求。通过配置ISP域的地址池,可以为ISP的PPP用户分配地址,从而解决接口地址池中地址不够的问题。
相关配置请参考命令remote address。
【举例】
# 配置IP地址池0,地址范围为129.102.0.1到129.102.0.10。
<VG> system-view
[VG] domain example.com
[VG-isp-example.com] ip pool 0 129.102.0.1 129.102.0.10
【命令】
level level
undo level
【视图】
本地用户视图
【参数】
level:指定用户的优先级,取值范围为0~3,其中0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的优先级越低。
【描述】
level命令用来设置用户的优先级。undo level命令用来恢复缺省情况。
缺省情况下,用户的优先级为0。
需要注意的是:
l 如果配置的认证方式为不认证或采用密码认证,则用户登录到系统后所能访问的命令级别由用户界面的优先级确定。关于配置登录用户界面的验证方式的具体内容请参见“系统分册/用户界面命令”中的命令authentication-mode。
l 如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的优先级确定。对于SSH用户,使用RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。
相关配置可参考命令local-user。
【举例】
# 设置用户user1级别为3。
<VG> system-view
[VG] local-user user1
[VG-luser-user1] level 3
【命令】
local-user user-name
undo local-user { user-name | all [ service-type { dvpn | ftp | lan-access | pad | ppp | ssh | telnet | terminal } }
【视图】
系统视图
【参数】
user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
all:所有的用户。
service-type:指定用户的类型。具体用户类型如下:
l dvpn:表示DVPN隧道用户;
l ftp:表示FTP类型用户;
l lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.1x用户);
l pad:表示X.25 PAD用户;
l ppp:表示PPP用户;
l ssh:表示SSH用户;
l telnet:表示Telnet用户;
l terminal:表示从Console口、AUX口、Asyn口登录的终端用户。
【描述】
local-user命令用来添加本地用户并进入本地用户视图。undo local-user命令用来删除指定的本地用户。
缺省情况下,无本地用户。
相关配置可参考命令display local-user和service-type。
【举例】
# 添加名称为user1的本地用户。
<VG> system-view
[VG] local-user user1
[VG-luser-user1]
【命令】
local-user password-display-mode { auto | cipher-force }
undo local-user password-display-mode
【视图】
系统视图
【参数】
auto:自动方式,即接入用户的密码显示方式可以由用户自己通过password命令来设置。
cipher-force:强制密文方式,即所有接入用户的密码显示方式必须采用密文方式。
【描述】
local-user password-display-mode命令用来设置所有本地用户密码的显示方式。undo local-user password-display-mode命令用来恢复缺省情况。
缺省情况下,所有接入用户的密码显示方式为自动方式。
当采用cipher-force方式后:
l 即使通过password命令指定密码显示方式为明文显示(即simple方式)后,密码仍然会显示为密文。
l 使用save命令保存当前配置,重启设备后,即使恢复为auto方式,原来配置为明文显示的密码仍然显示为密文。
相关配置可参考命令display local-user和password。
【举例】
# 设置所有本地用户采用密码密文方式显示。
<VG> system-view
[VG] local-user password-display-mode cipher-force
【命令】
password { cipher | simple } password
undo password
【视图】
本地用户视图
【参数】
cipher:表示密码为密文显示。
simple:表示密码为明文显示。
password:表示设置的密码。
l 对于simple方式,password必须是明文密码。
l 对于cipher方式,password可以是密文密码也可以是明文密码。明文密码可以是长度小于等于63的连续字符串,如:aabbcc。密文密码的长度取值为24或88,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
【描述】
password命令用来设置本地用户的密码。undo password命令用来取消本地用户的密码。
需要注意的是:
l 当采用local-user password-display-mode cipher-force命令后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码也会显示为密文。
l 在cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文,长度大于16且小于等于63的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理。
相关配置可参考命令display local-user。
【举例】
# 设置名称为user1的密码为明文显示,密码为123456。
<VG> system-view
[VG] local-user user1
[VG-luser-user1] password simple 123456
【命令】
self-service-url { disable | enable url-string }
undo self-service-url
【视图】
ISP域视图
【参数】
disable:关闭自助服务器定位功能。
enable url-string:启动自助服务器定位功能。其中,url-string表示自助服务器修改用户密码页面的URL,为1~64个字符的字符串。字符串必须以“http://”开始,字符串中不能包括“?”字符。
【描述】
self-service-url命令用来设置自助服务器定位功能。undo self-service-url命令用来恢复缺省情况。
缺省情况下,自助服务器定位功能处于关闭状态。
需要注意的是:
l 此命令需要与支持自助服务的RADIUS服务器配合使用,如CAMS。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。
l 如果在设备上配置了此命令,用户可以通过如下操作定位到自助服务器:用户在802.1x客户端软件上选择“更改用户密码”;客户端软件打开用户缺省的浏览器(IE或者NetScape等),定位到指定的自助服务器更改用户密码的URL页面;用户可以在该页面上修改自己的密码。
l 只有用户通过认证后才能进行在客户端软件上选择“更改用户密码”选项,否则该选项为灰色,不可用。
【举例】
# 在系统缺省的ISP域system下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice/modPasswd1x.jsp|userName。
<VG> system-view
[VG] domain system
[VG-isp-system] self-service-url enable http://10.153.89.94/selfservice/modPasswd1x.jsp|userName
【命令】
service-type { lan-access | { dvpn | pad | ssh | telnet | terminal }* [ level level ] }
undo service-type { lan-access | { pad | ssh | telnet | terminal }* }
【视图】
本地用户视图
【参数】
lan-access:指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户)。
dvpn:指定用户可以使用DVPN服务。
pad:指定用户可以使用PAD服务。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口、AUX口、Asyn口登录)。
level level:指定Telnet、terminal、SSH或PAD用户的级别。其中,level的取值范围为0~3,缺省值为0。
【描述】
service-type命令用来设置用户可以使用的服务类型。undo service-type命令用来删除用户可以使用的服务类型。
缺省情况下,系统不对用户授权任何服务。
相关配置可参考命令service-type ppp和service-type ftp。
【举例】
# 指定用户可以使用Telnet服务。
<VG> system-view
[VG] local-user user1
[VG-luser-user1] service-type telnet
【命令】
service-type ftp
undo service-type ftp
【视图】
本地用户视图
【参数】
无
【描述】
service-type ftp命令用来设置用户可以使用的服务类型为FTP。undo service-type ftp命令用来删除用户可以使用的FTP服务类型。
缺省情况下,系统不支持FTP匿名用户访问,不对用户授权任何服务;若授权FTP服务,缺省授权使用设备的根目录。
相关配置可参考命令work-directory、service-type和service-type ppp。
【举例】
# 指定用户可以使用FTP服务。
<VG> system-view
[VG] local-user user1
[VG-luser-user1] service-type ftp
【命令】
service-type ppp [ call-number call-number [ : subcall-number ] | callback-nocheck | callback-number callback-number ]
undo service-type ppp [ call-number | callback-nocheck | callback-number |]
【视图】
本地用户视图
【参数】
call-number call-number:设置对ISDN用户认证的主叫号码。其中call-number为1~64个字符的字符串。
[ : subcall-number ]:为子主叫号码。如果包含子主叫号码,则主叫号码与子主叫号码的总长不能大于62个字符。
callback-nocheck:设置PPP用户回呼不认证属性。
callback-number callback-number:设置回呼号码。其中callback-number为1~64个字符的字符串。
【描述】
service-type ppp命令用来设置PPP用户的回呼及主叫号码属性。undo service-type ppp命令用来恢复PPP用户的缺省设置。
缺省情况下,系统不对用户授权任何服务;若授权PPP服务,缺省设置为回呼不认证,不设置用户回呼号码,不对ISDN用户进行主叫号码认证。
相关配置可参考命令service-type和service-type ftp。
【举例】
# 设置PPP用户回呼不需要认证。
<VG> system-view
[VG] local-user user1
[VG-luser-user1] service-type ppp callback-nocheck
【命令】
state { active | block }
【视图】
ISP域视图/本地用户视图
【参数】
active:指定当前ISP域或当前本地用户处于活动状态,即系统允许该域下的用户/当前本地用户请求网络服务。
block:指定当前ISP域/当前本地用户处于“阻塞”状态,即系统不允许该域下的用户/当前本地用户请求网络服务。
【描述】
state命令用来设置当前ISP域/当前本地用户的状态。
缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。当一个本地用户被创建以后,其状态为active(本地用户视图)。
当指示某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。当指示某个用户处于block状态时,不允许当前本地用户请求网络服务,但是不影响其它用户。
相关配置可参考命令domain。
【举例】
# 设置当前ISP域example.com处于“阻塞”状态,域下的接入用户不能再请求网络服务。
<VG> system-view
[VG] domain example.com
[VG-isp-example.com] state block
# 设置用户user1处于“阻塞”状态。
<VG> system-view
[VG] local-user user1
[VG-user-user1] state block
【命令】
work-directory directory-name
undo work-directory
【视图】
本地用户视图
【参数】
directory-name:授权FTP/SFTP用户可以访问的目录,为1~135个字符的字符串,不区分大小写。
【描述】
work-directory命令用来设置FTP/SFTP用户可以访问的目录。undo work-directory命令用来恢复缺省情况。
缺省情况下,FTP/SFTP用户可以访问设备的根目录。
需要注意的是:
l 指定可以访问的目录directory-name必须已经创建,否则提示错误;
l 如果通过文件系统命令删除指定的FTP/SFTP用户可以访问的目录,则FTP/SFTP用户将不能访问此目录;
l 如果在当前指定的FTP/SFTP用户可以访问的目录中携带备板槽位信息,则主备切换后FTP/SFTP用户将不能正常登录,建议用户在指定工作目录时不要携带槽位信息。
【举例】
# 设置FTP/SFTP用户可以访问的目录。
<VG> system-view
[VG] local-user user1
[VG-luser-user1] work-directory cf:
【命令】
accounting-on enable
undo accounting-on enable
【视图】
RADIUS方案视图
【参数】
无
【描述】
accounting-on enable命令用来使能accounting-on功能,即设备重启后,通知RADIUS服务器该设备已经重启,要求RADIUS服务器强制该设备的用户下线。undo accounting-on enable命令用来恢复缺省情况。
缺省情况下,accounting-on功能处于关闭状态。
需要注意的是:
l 该命令只用于集中式设备。
l 此命令不会影响其他accounting-on命令的配置,如accounting-on enable send等。
l 系统启动后,如果当前系统中没有使能accounting-on功能的认证方案,则执行完该命令后,必须执行save操作并重启系统使其生效。但是,如果当前系统中已经有方案使能了accounting-on功能,则对未使能该功能的认证方案执行该命令后,accounting-on功能会立即生效。
相关配置可参考命令radius scheme。
【举例】
#使能RADIUS认证方案rd的accounting-on功能。
<VG> system-view
[VG] radius scheme rd
[VG-radius-rd] accounting-on enable
【命令】
accounting-on enable interval seconds
undo accounting-on interval
【视图】
RADIUS方案视图
【参数】
seconds:accounting-on报文重发时间间隔,取值范围为1~15,单位为秒。
【描述】
accounting-on enable interval命令用来设置accounting-on报文重发时间间隔。
undo accounting-on enable interval命令用来恢复缺省情况。
缺省情况下,accounting-on报文重发时间间隔为3秒。
需要注意的是:
l 该命令只用于集中式设备。
l 此命令配置不会影响其它accounting-on命令的配置,如accounting-on enable,即当执行undo accounting-on enable interval时,不会关闭accounting-on功能,只是恢复accounting-on报文重发时间间隔为缺省值。
l 在执行accounting-on功能的过程中,使用该命令重新设置的报文重发间隔时间会立即生效。
相关配置可参考命令radius scheme和accounting-on enable。
【举例】
# 在RADIUS认证方案rd中设置accounting-on报文重发间隔时间为5秒。
<VG> system-view
[VG] radius scheme rd
[VG-radius-rd] accounting-on enable interval 5
【命令】
accounting-on enable send send-times
undo accounting-on send
【视图】
RADIUS方案视图
【参数】
send-times:accounting-on报文重发次数,取值范围为1~255。
【描述】
accounting-on enable send命令用来设置accounting-on报文重发次数。undo accounting-on enable send命令用来恢复缺省情况。
缺省情况下,accounting-on报文重发次数为5次。
需要注意的是:
l 该命令只用于集中式设备。
l 此命令配置不会影响其它accounting-on命令,如accounting-on enable,即当执行undo accounting-on enable send时,不会关闭accounting-on功能,只是恢复accounting-on报文重发次数为缺省值。
l 在执行accounting-on功能的过程中,使用该命令重新设置的报文重发次数会立即生效。
相关配置可参考命令radius scheme和accounting-on enable。
【举例】
# 在RADIUS认证方案rd中设置accounting-on报文重发次数为10次。
<VG> system-view
[VG] radius scheme rd
[VG-radius-rd] accounting-on enable send 10
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } }*
undo data-flow-format { data | packet }
【视图】
RADIUS方案视图
【参数】
data:设置数据的单位。
byte:数据单位为字节。
giga-byte:数据单位千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为千兆包。
kilo-packet:数据包的单位为千包。
mega-packet:数据包的单位为兆包。
one-packet:数据包的单位为包。
【描述】
data-flow-format命令用来配置发送到RADIUS服务器的数据流的单位。undo data-flow-format命令用来恢复缺省情况。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
相关配置可参考命令display radius scheme。
【举例】
# 设置发往RADIUS服务器的数据流的数据单位为千字节、数据包单位为千包。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display radius scheme [ radius-scheme-name ]
【视图】
任意视图
【参数】
radius-scheme-name:指定RADIUS方案名。
【描述】
display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。
需要注意的是,如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。
相关配置可参考命令radius scheme。
【举例】
# 显示所有RADIUS方案的配置信息。
<VG> display radius scheme
------------------------------------------------------------------
SchemeName = radius1
Index = 0 Type = extended
Primary Auth IP = 1.1.1.1 Port = 1812 State = active
Primary Acct IP = 1.1.1.1 Port = 1813 State = active
Second Auth IP = 0.0.0.0 Port = 1812 State = block
Second Acct IP = 0.0.0.0 Port = 1813 State = block
Auth Server Encryption Key= Not configured
Acct Server Encryption Key= Not configured
Accounting-On packet disable, send times = 5 , interval = 3s
Interval for timeout(second) =3
Retransmission times for timeout =3
Interval for realtime accounting(minute) =12
Retransmission times of realtime-accounting packet =5
Retransmission times of stop-accounting packet =500
Quiet-interval(min) =5
Username format =without-domain
Data flow unit =Byte
Packet unit =one
------------------------------------------------------------------
Total 1 RADIUS scheme(s).
表1-4 display radius scheme命令显示信息描述表
|
字段 |
描述 |
|
SchemeName |
Radius方案的名称 |
|
Index |
Radius方案的索引号 |
|
Type |
Radius服务器的类型 |
|
Primary Auth IP/ Port/ State |
主认证服务器IP地址/接入端口号/该服务器目前状态(active:激活、block:阻塞) |
|
Primary Acct IP/ Port/ State |
主计费服务器IP地址/接入端口号/该服务器目前状态(active:激活、block:阻塞) |
|
Second Auth IP/ Port/ State |
从认证服务器IP地址/接入端口号/该服务器目前状态(active:激活、block:阻塞) |
|
Second Acct IP/ Port/ State |
从计费服务器IP地址/接入端口号/该服务器目前状态(active:激活、block:阻塞) |
|
Auth Server Encryption Key |
认证服务器的共享密钥 |
|
Acct Server Encryption Key |
计费服务器的共享密钥 |
|
Accounting-On packet disable |
accounting-on功能未使能 |
|
send times |
accounting-on报文的重发次数 |
|
interval |
accounting-on报文的重发间隔(秒) |
|
Interval for timeout(second) |
超时时间(秒) |
|
Retransmission times for timeout |
超时重发次数 |
|
Interval for realtime accounting(minute) |
实时计费间隔(分) |
|
Retransmission times of realtime-accounting packet |
实时计费报文重发次数 |
|
Retransmission times of stop-accounting packet |
无响应停止计费报文重发次数 |
|
Quiet-interval(min) |
主服务器恢复激活状态的时间 |
|
Username format |
用户名格式 |
|
Data flow unit |
流量数据的单位 |
|
Packet unit |
数据包的单位 |
|
Total 1 RADIUS scheme(s). |
共计1个RADIUS方案 |
【命令】
display radius statistics
【视图】
任意视图
【参数】
无
【描述】
display radius statistics命令用来显示RADIUS报文的统计信息。
相关配置可参考命令radius scheme。
【举例】
# 显示RADIUS报文的统计信息。
<VG> display radius statistics
state statistic(total=1024):
DEAD = 1024 AuthProc = 0 AuthSucc = 0
AcctStart = 0 RLTSend = 0 RLTWait = 0
AcctStop = 0 OnLine = 0 Stop = 0
Received and Sent packets statistic:
Sent PKT total = 0 Received PKT total = 0
RADIUS received packets statistic:
Resend Times Resend total
1 0
2 0
Total 0
Running statistic:
RADIUS received messages statistic:
Normal auth request Num = 0 Err = 0 Succ = 0
EAP auth request Num = 0 Err = 0 Succ = 0
Account request Num = 0 Err = 0 Succ = 0
Account off request Num = 0 Err = 0 Succ = 0
PKT auth timeout Num = 0 Err = 0 Succ = 0
PKT acct_timeout Num = 0 Err = 0 Succ = 0
Realtime Account timer Num = 0 Err = 0 Succ = 0
PKT response Num = 0 Err = 0 Succ = 0
Session ctrl pkt Num = 0 Err = 0 Succ = 0
Normal author request Num = 0 Err = 0 Succ = 0
RADIUS sent messages statistic:
Auth accept Num = 0
Auth reject Num = 0
EAP auth replying Num = 0
Account success Num = 0
Account failure Num = 0
Server ctrl req Num = 0
RecError_MSG_sum = 0
SndMSG_Fail_sum = 0
Timer_Err = 0
Alloc_Mem_Err = 0
State Mismatch = 0
Other_Error = 0
No-response-acct-stop packet = 0
Discarded No-response-acct-stop packet for buffer overflow = 0
表1-5 display radius statistics命令显示信息描述表
|
字段 |
描述 |
|
state statistic(total=1024) |
状态统计(总数=1024) |
|
DEAD |
空闲态报文数 |
|
AuthProc |
认证等待态报文数 |
|
AuthSucc |
认证成功态报文数 |
|
AcctStart |
计费开始态报文数 |
|
RLTSend |
实时计费发送态报文数 |
|
RLTWait |
实时计费等待态报文数 |
|
AcctStop |
计费等待停止态报文数 |
|
OnLine |
在线态报文数 |
|
Stop |
停止态报文数 |
|
Received and Sent packets statistic |
收发报文数目统计 |
|
Sent PKT total |
发送报文总数 |
|
Received PKT total |
接收报文总数 |
|
RADIUS received packets statistic |
RADIUS模块接收报文数目统计 |
|
Code |
报文类型 |
|
Num |
报文总数 |
|
Err |
错误报文数 |
|
Running statistic |
运行间报文数目统计 |
|
RADIUS received messages statistic |
RAIUDS已接收消息数目统计 |
|
Normal auth request |
普通认证请求报文数 |
|
EAP auth request |
EAP认证请求报文数 |
|
Account request |
计费请求报文数 |
|
Account off request |
计费停止请求报文数 |
|
PKT auth timeout |
认证超时报文数 |
|
PKT acct_timeout |
计费超时报文数 |
|
Realtime Account timer |
实时计费请求报文数 |
|
PKT response |
响应报文数 |
|
Session ctrl pkt |
会话控制报文数 |
|
Normal author request |
普通授权请求报文数 |
|
Succ |
成功报文数 |
|
RADIUS sent messages statistic |
RAIUDS已发送消息数目统计 |
|
Auth accept |
认证接收报文数 |
|
Auth reject |
认证拒绝报文数 |
|
EAP auth replying |
EAP认证回应报文数 |
|
Account success |
计费成功报文数 |
|
Account failure |
计费失败报文数 |
|
Server ctrl req |
服务器控制请求报文数 |
|
RecError_MSG_sum |
接收错误消息总数 |
|
SndMSG_Fail_sum |
发送消息失败总数 |
|
Timer_Err |
启动定时器失败报文数 |
|
Alloc_Mem_Err |
申请内存失败报文数 |
|
State Mismatch |
状态不匹配报文数 |
|
Other_Error |
其它错误报文数 |
|
No-response-acct-stop packet |
停止计费报文无响应数 |
|
Discarded No-response-acct-stop packet for buffer overflow |
因缓存区满而丢弃的无响应停止计费报文总数 |
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
任意视图
【参数】
radius-scheme radius-scheme-name:根据指定RADIUS方案名显示缓存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串。
session-id session-id:根据指定会话ID显示缓存的停止计费请求报文。其中,session-id为1~50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻的起始和停止时间显示缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被显示。
user-name user-name:根据指定用户名显示缓存的停止计费请求报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。
【描述】
display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。
需要注意的是:
l 可以选择显示发往某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来显示报文;还可以指定一个时间段,显示那些发起停止计费请求的时刻处于指定时间段内的报文。根据显示的报文信息,可以帮助诊断与排除RADIUS相关故障。
l 在发送停止计费请求报文而RADIUS服务器没有响应时,设备系统会缓存该报文,然后以一定的次数发送,具体发送的次数由retry stop-accounting命令设置。
相关配置可参考命令reset stop-accounting-buffer、stop-accounting-buffer enable、user-name-format和retry stop-accounting。
【举例】
# 显示从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<VG> display stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006
Total find 0 record(0)
【命令】
key { accounting |authentication } string
undo key { accounting | authentication }
【视图】
RADIUS方案视图
【参数】
accounting:指定RADIUS计费报文的共享密钥。
authentication:指定RADIUS认证/授权报文的共享密钥。
string:密钥,为1~16个字符的字符串,区分大小写。
【描述】
key命令用来配置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来删除配置。
缺省情况下,无共享密钥。
需要注意的是,必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
相关配置可参考命令display radius scheme。
【举例】
# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为hello。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] key authentication hello
# 将RADIUS方案radius1的计费报文的共享密钥设置为ok。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] key accounting ok
【命令】
nas-ip ip-address
undo nas-ip
【视图】
RADIUS方案视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
【描述】
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。undo nas-ip命令用来删除配置。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
l 指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用Loopback接口地址。
l RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
相关配置可参考命令radius nas-ip。
【举例】
# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。
<VG> system-view
[VG] radius scheme test1
[VG-radius-test1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port-number ]
undo primary accounting
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址。
port-number:UDP端口号。取值范围为1~65535。
【描述】
primary accounting命令用来设置主RADIUS计费服务器的IP地址和端口号。undo primary accounting命令用来将主RADIUS计费服务器的IP地址和端口号恢复为缺省情况。
缺省情况下,主计费服务器的IP地址为0.0.0.0,UDP端口号为1813。
需要注意的是:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。
相关配置可参考命令key、radius scheme和state。
【举例】
# 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] primary accounting 10.110.1.2 1813
【命令】
primary authentication ip-address [ port-number ]
undo primary authentication
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址。
port-number:UDP端口号,取值范围为1~65535。
【描述】
primary authentication命令用来设置主RADIUS认证/授权服务器的IP地址和端口号。undo primary authentication命令用来将主RADIUS认证/授权服务器的IP地址和端口号恢复为缺省情况。
缺省情况下,主认证/授权服务器的IP地址为0.0.0.0,UDP端口号为1812。
需要注意的是:
l 当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置。这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证设备上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
l 主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。
相关配置可参考命令key、radius scheme和state。
【举例】
# 设置RADIUS方案radius1的主认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] primary authentication 10.110.1.1 1812
【命令】
radius client enable
undo radius client
【视图】
系统视图
【参数】
无
【描述】
radius client enable命令用来使能RADIUS客户端的监听端口,使能后的端口可以接收和发送RADIUS报文。undo radius client命令用来关闭RADIUS客户端的监听端口。
缺省情况下,监听端口处于使能状态。
需要注意的是:
l 关闭RADIUS客户端的监听端口后,RADIUS可以接受认证/授权/计费请求,也可以处理RADIUS的定时器消息,但报文发送会失败,同时不能接收来自RADIUS服务器的报文。
l 关闭RADIUS客户端的监听端口后,在线用户的计费结束报文无法发出,且不能被缓存。同时,RADIUS服务器收不到在线用户的下线报文,会出现有一段时间用户已经下线,但RADIUS服务器上还有此用户的情况。
l 关闭RADIUS客户端的监听端口后,如果配置了RADIUS方案和本地认证/授权/计费方案,则RADIUS请求失败后会转由本地方案继续认证/授权/计费。
l 关闭RADIUS客户端的监听端口后,缓存的计费报文的发送会失败,失败次数达到配置的最大次数后,计费报文将从缓存中被删除。
【举例】
# 使能RADIUS客户端的监听端口。
<VG> system-view
[VG] radius client enable
【命令】
radius nas-ip ip-address
undo radius nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
【描述】
radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。undo radius nas-ip命令用来恢复缺省情况。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
l 指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
l 本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
l RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
相关配置可参考命令nas-ip。
【举例】
# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。
<VG> system-view
[VG] radius nas-ip 129.10.10.1
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【视图】
系统视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
radius scheme命令用来创建RADIUS方案并进入其视图。undo radius scheme命令用来删除指定的RADIUS方案。
缺省情况下,未定义RADIUS方案。
需要注意的是:
l RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至少须指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数。
l 一个RADIUS方案可以同时被多个ISP域引用。
l 当有使用RADIUS方案的用户在线时,不允许使用undo radius scheme命令删除该方案。
相关配置可参考命令key、retry realtime-accounting、timer realtime-accounting、stop-accounting-buffer enable、 retry stop-accounting、server-type、state、user-name-format,retry、display radius scheme和display radius statistics。
【举例】
# 创建名为radius1的RADIUS方案并进入其视图。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1]
【命令】
radius trap { accounting-server-down | authentication-server-down }
undo radius trap { accounting-server-down | authentication-server-down }
【视图】
系统视图
【参数】
accounting-server-down:使能RADIUS计费服务器无响应时的trap功能。
authentication-server-down:使能RADIUS认证服务器无响应时的trap功能。
【描述】
radius trap命令用来使能RADIUS trap功能。undo radius trap命令用来关闭RADIUS trap功能。
缺省情况下,RADIUS trap功能处于关闭状态。
需要注意的是:
l 使能RADIUS trap功能后,当NAS向RADIUS服务器发送计费或认证请求没有响应时,NAS会向服务器重发计费或认证请求报文。当NAS向服务器发送的报文累计次数达到最大传送次数的1/2时,系统会发送一次trap报文;当NAS向服务器发送的报文累计次数达到最大传送次数时,系统会再发送一次trap报文。
l 当最大传送次数为奇数时,最大传送次数的1/2取值为大于最大传送次数1/2的最小整数。
【举例】
# 使能RADIUS计费服务器无响应时的trap功能。
<VG> system-view
[VG] radius trap accounting-server-down
【命令】
reset radius statistics
【视图】
用户视图
【参数】
无
【描述】
reset radius statistics命令用来清除RADIUS协议的统计信息。
相关配置请参考命令display radius scheme。
【举例】
# 清除RADIUS协议的统计信息。
<VG> reset radius statistics
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
用户视图
【参数】
radius-scheme radius-scheme-name:根据指定RADIUS方案清除缓存的停止计费响应报文。其中,radius-scheme-name为RAIUDS方案名,为1~32个字符的字符串。
session-id session-id:根据指定会话ID清除缓存的停止计费响应报文。其中,session-id为会话ID,为1~50个字符的字符串。
time-range start-time stop-time:根据指定停止计费请求时刻的起始和结束时间清除缓存的停止计费响应报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:根据指定用户名清除缓存的停止计费响应报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。
【描述】
reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable、retry stop-accounting、user-name-format和display stop-accounting-buffer。
【举例】
# 清除用户user0001@example.com缓存在系统中的停止计费请求报文。
<VG> reset stop-accounting-buffer user-name user0001@example.com
# 清除从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<VG> reset stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006
【命令】
retry retry-times
undo retry
【视图】
RADIUS方案视图
【参数】
retry-times:报文重传次数的最大值,取值范围为1~20。
【描述】
retry命令用来设置RAIUDS报文超时重传次数的最大值。undo retry命令用来恢复缺省情况。
缺省情况下,RADIUS报文超时重传次数的最大值为3次。
需要注意的是:
l 由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次认证失败。
l RADIUS各报文超时重传次数的最大值与RADIUS服务器应答超时时间的乘积不能超过75秒。
相关配置可参考命令radius scheme和timer response-timeout。
【举例】
# 设置在RADIUS方案radius1下,RAIUDS报文的最大超时重传次数为5次。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] retry 5
【命令】
retry realtime-accounting retry-times
undo retry realtime-accounting
【视图】
RADIUS方案视图
【参数】
retry-times:允许实时计费请求无响应的最大次数,取值范围为1~255。
【描述】
retry realtime-accounting命令用来设置允许实时计费请求无响应的最大次数。undo retry realtime-accounting命令用来恢复缺省情况。
缺省情况下,最多允许5次实时计费请求无响应。
需要注意的是:
l RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,在设备端尽量与RADIUS服务器同步切断用户连接。设备提供对连续实时计费请求无响应次数限制的设置——在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备将切断用户连接。
l 假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,超时重传次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费失败的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时记费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。
相关配置可参考命令radius scheme和timer realtime-accounting。
【举例】
# 设置RADIUS方案radius1最多允许10次实时计费请求无响应。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] retry realtime-accounting 10
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
RADIUS方案视图
【参数】
retry-times:允许停止计费请求无响应的最大次数,取值范围为10~65535。
【描述】
retry stop-accounting命令用来设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数。undo retry stop-accounting命令用来恢复缺省情况。
缺省情况下,缓存的停止计费请求报文的最大发送次数为500。
假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,超时重传次数(retry命令设置)为5,设备允许的停止计费请求无响应的最大次数为20次(retry stop-accounting命令设置),则其含义为:设备发起停止计费请求,如果3秒钟内得不到回应就重新发起一次请求,如果重传5次都没有得到回应就认为该次停止计费请求失败,设备会将其缓存在本机上,然后再发起一次请求,重复上述过程,20次尝试均失败以后,设备将其丢弃。
相关配置可参考命令radius scheme和display stop-accounting-buffer。
【举例】
# 设置对于RADIUS方案radius1中的服务器,设备最多可以将缓存的停止计费请求报文发送1000次。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] retry stop-accounting 1000
【命令】
secondary accounting ip-address [ port-number ]
undo secondary accounting
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址。
port-number:UDP端口号,取值范围为1~65535。
【描述】
secondary accounting命令用来设置从RADIUS计费服务器的IP地址和端口号。undo secondary accounting命令用来将从RADIUS计费服务器的IP地址和端口号恢复为缺省情况。
缺省情况下,从计费服务器的IP地址为0.0.0.0,UDP端口号为1813。
需要注意的是:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。
相关配置可参考命令key、radius scheme和state。
【举例】
# 设置RADIUS方案radius1的从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] secondary accounting 10.110.1.1 1813
【命令】
secondary authentication ip-address [ port-number ]
undo secondary authentication
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址。
port-number:UDP端口号。取值范围为1~65535。缺省情况下,从认证/授权服务的UDP端口号为1812。
【描述】
secondary authentication命令用来设置从RADIUS认证/授权服务器的IP地址和端口号。undo secondary authentication命令用来将从RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值。
缺省情况下,从认证/授权服务器的IP地址为0.0.0.0,UDP端口号为1812。
需要注意的是:
l 主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。
相关配置可参考命令key、radius scheme和state。
【举例】
# 设置RADIUS方案radius1的从认证/授权服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] secondary authentication 10.110.1.2 1812
【命令】
security-policy-server ip-address
undo security-policy-server { ip-address | all }
【视图】
RADIUS方案视图
【参数】
ip-address:安全策略服务器IP地址。
all:所有安全策略服务器IP地址。
【描述】
security-policy-server命令用来设置安全策略服务器的IP地址。undo security-policy-server命令用来删除配置的安全策略服务器的IP地址。
缺省情况下,安全策略服务器IP地址未设置。
相关配置可参考命令radius nas-ip。
【举例】
# 设置RADIUS方案radius1的安全策略服务器IP地址为10.110.1.2。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] security-policy-server 10.110.1.2
【命令】
server-type { extended | standard }
undo server-type
【视图】
RADIUS方案视图
【参数】
extended:指定extended类型的RADIUS服务器(一般为CAMS),即要求RADIUS客户端(设备系统)和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。
standard:指定standard类型的RADIUS服务器,即要求RADIUS客户端(设备系统)和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互。
【描述】
server-type命令用来指定设备系统支持的RADIUS服务器类型。undo server-type命令用来恢复缺省情况。
缺省情况下,设备系统支持的RADIUS服务器类型为standard。
相关配置可参考命令radius scheme。
【举例】
# 将RADIUS方案radius1的RADIUS服务器类型设置为standard。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] server-type standard
【命令】
state { primary | secondary } { accounting | authentication } { active | block }
【视图】
RADIUS方案视图
【参数】
primary:设置主RADIUS服务器的状态。
secondary:设置从RADIUS服务器的状态。
accounting:设置RADIUS计费服务器的状态。
authentication:设置RADIUS认证/授权服务器的状态。
active:设置RADIUS服务器的状态为active,即处于正常工作状态。
block:设置RADIUS服务器的状态为block,即处于通信中断状态。
【描述】
state命令用来设置RADIUS服务器的状态。
缺省情况下,RADIUS方案中配置了IP地址的各RADIUS服务器的状态均为active。
需要注意的是:
l 对于某个RADIUS方案中的主、从服务器(无论是认证/授权服务器还是计费服务器),当主服务器因故障而导致其与设备的通信中断时,设备会主动地转而与从服务器交互报文。
l 当主服务器不可达时,状态变为block,设备与已配置了IP地址的从服务器交互。若从服务器可达,设备将开启超时定时器,在timer quiet设定的时间达到后主服务器状态立即恢复为active,从服务器状态不变;若从服务器不可达,设备立即将主服务器状态恢复为active。之后,如果主服务器恢复正常,设备会立即恢复与其通信,而中断与从服务器通信。而计费开始后,客户端与从计费服务器之间的通信不会因为主计费服务器的恢复而切换。
l 当主服务器与从服务器的状态都为block时,若希望使用从服务器进行认证,必须将从服务器的状态置为active,否则无法完成主从服务器的切换。
l 在一个服务器状态为active、另外一个服务器状态为block的情况下,即使状态为active的服务器不可达,设备也不会进行主从服务器的切换。
相关配置可参考命令radius scheme、primary authentication、secondary authentication、primary accounting和secondary accounting。
【举例】
# 将RADIUS方案radius1的从认证服务器的状态设置为active。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] state secondary authentication active
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
RADIUS方案视图
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到RADIUS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer、radius scheme和display stop-accounting-buffer。
【举例】
# 指示对于RADIUS方案radius1中的服务器,设备能够缓存没有得到响应的停止计费请求报文。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
RADIUS方案视图
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【描述】
timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。
缺省情况下,主服务器恢复激活状态的时间为5分钟。
相关配置可参考命令display radius scheme。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
<VG> system-view
[VG] radius scheme test1
[VG-radius-test1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
RADIUS方案视图
【参数】
minutes:实时计费的时间间隔,取值范围为3~60,单位为分钟,取值范围为3~60,必须为3的倍数。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。
缺省情况下,实时计费的时间间隔为12分钟。
需要注意的是:
l 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。
l 实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求,取值越小,对设备和RADIUS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
相关配置可参考命令retry realtime-accounting和radius scheme。
【举例】
# 将RADIUS方案radius1的实时计费的时间间隔设置为51分钟。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
RADIUS方案视图
【参数】
seconds:RADIUS服务器应答超时时间,取值范围为1~10,单位为秒。
【描述】
timer response-timeout命令用来设置RADIUS服务器应答超时时间。undo timer response-timeout命令用来恢复缺省情况。
缺省情况下,RADIUS服务器应答超时时间为3秒。
需要注意的是:
l 如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长。设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,命令timer response-timeout就是用来设置这个定时器时长的。
l 根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
l RADIUS报文超时重传次数的最大值与RADIUS服务器应答超时时间的乘积不能超过75秒。
相关配置可参考命令radius scheme和retry。
【举例】
# 将RADIUS方案radius1的响应超时定时器设置为5秒。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] timer response-timeout 5
【命令】
user-name-format { with-domain | without-domain }
【视图】
RADIUS方案视图
【参数】
with-domain:发送给RADIUS服务器的用户名带ISP域名。
without-domain:发送给RADIUS服务器的用户名不带ISP域名。
【描述】
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
缺省情况下,RADIUS方案发送给RADIUS服务器的用户名携带有ISP域名。
需要注意的是:
l 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
l 如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
相关配置可参考命令radius scheme。
【举例】
# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。
<VG> system-view
[VG] radius scheme radius1
[VG-radius-radius1] user-name-format without-domain
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } }*
undo data-flow-format { data | packet }
【视图】
HWTACACS方案视图
【参数】
data:设置数据的单位。
byte:数据单位为字节。
giga-byte:数据单位千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为千兆包。
kilo-packet:数据包的单位为千包。
mega-packet:数据包的单位为兆包。
one-packet:数据包的单位为包。
【描述】
data-flow-format命令用来配置发送到HWTACACS服务器的数据流的单位。undo data-flow-format data命令用来恢复发送到HWTACACS服务器的数据流的数据单位为缺省设置;undo data-flow-format packet命令用来恢复缺省情况。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
相关配置可参考命令display hwtacacs。
【举例】
# 设置发往HWTACACS服务器的数据流的数据单位为kilo-byte、数据包的单位为kilo-packet。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display hwtacacs [ hwtacacs-scheme-name [ statistics]
【视图】
任意视图
【参数】
hwtacacs-scheme-name:指定HWTACACS方案名。
statistics:显示HWTACACS服务器的详细统计信息。
【描述】
display hwtacacs命令用来查看HWTACACS方案的配置信息或统计信息。
需要注意的是,如果不指定HWTACACS方案名,则显示所有HWTACACS方案的配置信息。
相关配置请参考命令hwtacacs scheme。
【举例】
# 查看HWTACACS方案hwt1的配置情况。
--------------------------------------------------------------------
HWTACACS-server template name : hwt1
Primary-authentication-server : 172.31.1.11:49
Primary-authorization-server : 172.31.1.11:49
Primary-accounting-server : 172.31.1.11:49
Secondary-authentication-server : 0.0.0.0:0
Secondary-authorization-server : 0.0.0.0:0
Secondary-accounting-server : 0.0.0.0:0
Current-authentication-server : 172.31.1.11:49
Current-authorization-server : 172.31.1.11:49
Current-accounting-server : 172.31.1.11:49
NAS-IP-address : 0.0.0.0
Key authentication : 790131
Key authorization : 790131
Key accounting : 790131
Quiet-interval(min) : 5
Realtime-accounting-interval(min) : 12
Response-timeout-interval(sec) : 5
Acct-stop-PKT retransmit times : 100
Domain-included : Yes
Data traffic-unit : B
Packet traffic-unit : one-packet
--------------------------------------------------------------------
表1-7 display hwtacacs命令显示信息描述表
|
字段 |
描述 |
|
HWTACACS-server template name |
HWTACACS服务器方案名 |
|
Primary-authentication-server |
主认证服务器 |
|
Primary-authorization-server |
主授权服务器 |
|
Primary-accounting-server |
主计费服务器 |
|
Secondary-authentication-server |
备认证服务器 |
|
Secondary-authorization-server |
备授权服务器 |
|
Secondary-accounting-server |
备计费服务器 |
|
Current-authentication-server |
当前认证服务器 |
|
Current-authorization-server |
当前授权服务器 |
|
Current-accounting-server |
当前计费服务器 |
|
NAS-IP-address |
Nas IP地址 |
|
Key authentication |
认证密钥 |
|
Key authorization |
授权密钥 |
|
Key accounting |
计费密钥 |
|
Quiet-interval |
主服务器恢复激活状态的时间 |
|
Realtime-accounting-interval |
实时记费间隔 |
|
Response-timeout-interval |
服务器响应超时间隔 |
|
Acct-stop-PKT retransmit times |
停止计费报文的重传次数 |
|
Domain-included |
包含域名 |
|
Data traffic-unit |
数据流量单位 |
|
Packet traffic-unit |
包流量单位 |
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
任意视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案显示缓存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串。
【描述】
display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。
相关配置可参考命令reset stop-accounting-buffer、stop-accounting-buffer enable和retry stop-accounting。
【举例】
# 显示HWTACACS方案hwt1缓存的停止计费请求报文。
<VG> display stop-accounting-buffer hwtacacs-scheme hwt1
Total 0 record(s) Matched
【命令】
hwtacacs nas-ip ip-address
undo hwtacacs nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
【描述】
hwtacacs nas-ip命令用来指定设备发送hwtacacs报文使用的源地址。undo hwtacacs nas-ip命令用来恢复缺省状态。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
l 指定发送HWTACACS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
l 本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
l HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
相关配置可参考命令nas-ip。
【举例】
# 配置设备发送hwtacacs报文使用的源地址为129.10.10.1。
<VG> system-view
[VG] hwtacacs nas-ip 129.10.10.1
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【视图】
系统视图
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。
【描述】
hwtacacs scheme命令用来创建HWTACACS方案并进入其视图。undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
缺省情况下,没有定义HWTACACS方案。
【举例】
# 创建名为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1]
【命令】
key { accounting | authentication | authorization } string
undo key { accounting | authentication | authorization } string
【视图】
HWTACACS方案视图
【参数】
accounting:指示HWTACACS计费报文的共享密钥。
authentication:指示HWTACACS认证报文的共享密钥。
authorization:指示HWTACACS授权报文的共享密钥。
string:密钥,为不超过16个字符的字符串。
【描述】
key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。undo key命令用来删除配置。
缺省情况下,无共享密钥。
相关配置可参考命令display hwtacacs。
【举例】
# 配置HWTACACS计费报文共享密钥为hello。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] key accounting hello
【命令】
nas-ip ip-address
undo nas-ip
【视图】
HWTACACS方案视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
【描述】
nas-ip命令用来指定设备发送hwtacacs报文使用的源地址。undo nas-ip命令用来恢复缺省情况。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
l 指定发送hwtacacs报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
l 本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
l HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
相关配置可参考命令hwtacacs nas-ip。
【举例】
# 配置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port-number ]
undo primary accounting
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,必须是合法的单播地址。
port-number:服务器的端口号,取值范围为1~65535。
【描述】
primary accounting命令用来配置HWTACACS主计费服务器。undo primary accounting命令用来删除配置的HWTACACS主计费服务器。
缺省情况下,主计费服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
【举例】
# 配置主计费服务器。
<VG> system-view
[VG] hwtacacs scheme test1
[VG-hwtacacs-test1] primary accounting 10.163.155.12 49
【命令】
primary authentication ip-address [ port-number ]
undo primary authentication
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,必须是合法的单播地址。
port-number:服务器的端口号,取值范围为1~65535。
【描述】
primary authentication命令用来配置HWTACACS认证服务器。undo primary authentication命令用来删除配置的认证服务器。
缺省情况下,主认证服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主认证服务器。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] primary authentication 10.163.155.13 49
【命令】
primary authorization ip-address [ port-number ]
undo primary authorization
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,必须是合法的单播地址。
port-number:服务器的端口号,取值范围为1~65535。
【描述】
primary authorization命令用来配置HWTACACS主授权服务器。undo primary authorization命令用来删除配置的主授权服务器。
缺省情况下,主授权服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主授权服务器。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] primary authorization 10.163.155.13 49
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization }
【视图】
用户视图
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
all:清除HWTACACS的所有统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
【描述】
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
相关配置请参考命令display hwtacacs。
【举例】
# 清除HWTACACS协议的所有统计信息。
<VG> reset hwtacacs statistics all
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
用户视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案清除缓存的停止计费请求报文。其中,hwtacacs-server-name为HWTACACS方案名,为1~32个字符的字符串。
【描述】
reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable、retry stop-accounting和display stop-accounting-buffer。
【举例】
# 删除mailto:HWTACACS方案hwt1缓存在系统中的停止计费请求报文。
<VG> reset stop-accounting-buffer hwtacacs-scheme hwt1
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
HWTACACS方案视图
【参数】
retry-times:停止计费请求报文的最大重试次数,取值范围为1~300。
【描述】
retry stop-accounting命令用来设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,停止计费请求报文的最大重试次数。undo retry stop-accounting命令用来恢复缺省情况。
缺省情况下,停止计费请求报文的最大发送次数为100。
相关配置可参考命令reset stop-accounting-buffer、hwtacacs scheme和display stop-accounting-buffer。
【举例】
# 设置对于HWTACACS方案hwt1中的服务器,设备系统最多可以将缓存的停止计费请求报文发送50次。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] retry stop-accounting 50
【命令】
secondary accounting ip-address [ port-number ]
undo secondary accounting
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,必须是合法的单播地址。
port-number:服务器的端口号,取值范围为1~65535。
【描述】
secondary accounting命令用来配置HWTACACS从计费服务器。undo secondary accounting命令用来删除配置的HWTACACS从计费服务器。
缺省情况下,从计费服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。
【举例】
# 配置从计费服务器。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] secondary accounting 10.163.155.12 49
【命令】
secondary authentication ip-address [ port-number ]
undo secondary authentication
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,必须是合法的单播地址。
port-number:服务器的端口号,取值范围为1~65535。
【描述】
secondary authentication命令用来配置HWTACACS从认证服务器。undo secondary authentication命令用来删除配置的从认证服务器。
缺省情况下,从认证服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从认证服务器。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] secondary authentication 10.163.155.13 49
【命令】
secondary authorization ip-address [ por-number t ]
undo secondary authorization
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,必须是合法的单播地址。
port-number:服务器的端口号,取值范围为1~65535。
【描述】
secondary authorization命令用来配置HWTACACS从授权服务器。undo secondary authorization命令用来删除配置的从授权服务器。
缺省情况下,从授权服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。
l 需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从授权服务器。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] secondary authorization 10.163.155.13 49
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
HWTACACS方案视图
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer、hwtacacs scheme和display stop-accounting-buffer。
【举例】
# 指示对于HWTACACS方案hwt1中的服务器,设备能够缓存没有得到响应的停止计费请求报文。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
HWTACACS方案视图
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【描述】
timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。
缺省情况下,主服务器恢复激活状态的时间为5分钟。
相关配置可参考命令display hwtacacs。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
HWTACACS方案视图
【参数】
minutes:实时计费的时间间隔,取值范围为3~60,单位为分钟,必须为3的倍数。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。
缺省情况下,实时计费的时间间隔为12分钟。
需要注意的是:
l 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。
l 实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求,取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
【举例】
# 将HWTACACS方案hwt1的实时计费的时间间隔设置为51分钟。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
HWTACACS方案视图
【参数】
seconds:服务器应答超时时间,取值范围为1~300,单位为秒。
【描述】
timer response-timeout命令用来设置HWTACACS服务器应答超时时间。undo timer response-timeout命令用来恢复缺省情况。
缺省情况下,HWTACACS服务器应答超时时间为5秒。
需要注意的是,由于HWTACACS是基于TCP实现的,因此,服务器应答超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
相关配置可参考命令display hwtacacs。
【举例】
# 配置TACACS服务器应答超时时间为30秒。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] timer response-timeout 30
【命令】
user-name-format { with-domain | without-domain }
【视图】
HWTACACS方案视图
【参数】
with-domain:发送给HWTACACS服务器的用户名带ISP域名。
without-domain:发送给HWTACACS服务器的用户名不带ISP域名。
【描述】
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
缺省情况下,HWTACACS方案默认发送给HWTACACS服务器的用户名携带有ISP域名。
需要注意的是:
l 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
l 如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
相关配置可参考命令hwtacacs scheme。
【举例】
# 指定发送给HWTACACS方案hwt1的用户不得携带ISP域名。
<VG> system-view
[VG] hwtacacs scheme hwt1
[VG-hwtacacs-hwt1] user-name-format without-domain
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
