- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-AAA命令
本章节下载: 01-AAA命令 (572.29 KB)
目 录
1.1.12 authentication lan-access
1.1.20 authorization lan-access
1.1.25 authorization-attribute user-profile
1.1.35 local-server authentication eap-profile
1.1.39 self-service-url enable
1.1.40 session-time include-idle-time
1.2.2 authorization-attribute(Local user view/user group view)
1.2.6 expiration-date(Local user view)
1.2.8 group-attribute allow-guest
1.2.10 local-user password-display-mode
1.2.15 validity-date(Local user view)
1.3.3 data-flow-format (RADIUS scheme view)
1.3.5 display radius statistics
1.3.6 display stop-accounting-buffer (for RADIUS)
1.3.8 key (RADIUS scheme view)
1.3.11 primary accounting (RADIUS scheme view)
1.3.12 primary authentication (RADIUS scheme view)
1.3.19 reset radius statistics
1.3.20 reset stop-accounting-buffer (for RADIUS)
1.3.22 retry realtime-accounting
1.3.23 retry stop-accounting (RADIUS scheme view)
1.3.24 secondary accounting (RADIUS scheme view)
1.3.25 secondary authentication (RADIUS scheme view)
1.3.30 stop-accounting-buffer enable (RADIUS scheme view)
1.3.31 timer quiet (RADIUS scheme view)
1.3.32 timer realtime-accounting (RADIUS scheme view)
1.3.33 timer response-timeout (RADIUS scheme view)
1.3.34 user-name-format (RADIUS scheme view)
1.4.1 data-flow-format (HWTACACS scheme view)
1.4.3 display stop-accounting-buffer (for HWTACACS)
1.4.6 key (HWTACACS scheme view)
1.4.7 nas-ip (HWTACACS scheme view)
1.4.8 primary accounting (HWTACACS scheme view)
1.4.9 primary authentication (HWTACACS scheme view)
1.4.11 reset hwtacacs statistics
1.4.12 reset stop-accounting-buffer (for HWTACACS)
1.4.13 retry stop-accounting (HWTACACS scheme view)
1.4.14 secondary accounting (HWTACACS scheme view)
1.4.15 secondary authentication (HWTACACS scheme view)
1.4.16 secondary authorization
1.4.17 stop-accounting-buffer enable (HWTACACS scheme view)
1.4.18 timer quiet (HWTACACS scheme view)
1.4.19 timer realtime-accounting (HWTACACS scheme view)
1.4.20 timer response-timeout (HWTACACS scheme view)
1.4.21 user-name-format (HWTACACS scheme view)
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
profile-name:Profile名称,为1~16个字符的字符串,不区分大小写。该Profile用于保存NAS-ID与VLAN的绑定关系。
【描述】
aaa nas-id profile命令用来创建NAS-ID Profile并进入NAS-ID-Profile视图。undo aaa nas-id profile命令用来删除一个指定的NAS-ID Profile。
相关配置可参考命令nas-id bind vlan。
【举例】
# 创建一个名字为aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【命令】
access-limit enable max-user-number
undo access-limit enable
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
max-user-number:表示当前ISP域可容纳接入用户数的最大值,取值范围为1~2147483646准。
【描述】
access-limit enable命令用来限制当前ISP域可容纳接入用户数。当接入此域的用户数超过当前ISP域可容纳的最大用户数后,新接入的用户将被拒绝。undo access-limit enable命令用来恢复缺省情况。
缺省情况下,不限制当前ISP域可容纳的接入用户数。
需要注意的是,由于系统资源有限,如果当前ISP域下接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。
相关配置可参考命令display domain。
【举例】
# 指定ISP域example.com最多可容纳500个接入用户。
<Sysname> system-view
[Sysname] domain example.com
[Sysname-example.com] access-limit enable 500
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting command命令用来配置命令行计费方法。undo accounting command命令用来恢复缺省情况。
缺省情况下,命令行计费采用当前ISP域的缺省计费方法。
需要注意的是:
· 当前ISP域所引用的HWTACACS方案必须是已配置的。
· 命令行计费支持的远程AAA方案目前仅为HWTACACS方案。
相关配置可参考命令accounting default和hwtacacs scheme。
【举例】
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting default
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting default命令用来为当前ISP域配置缺省的计费方法。undo accounting default命令用来恢复缺省情况。
缺省情况下,当前ISP域的缺省计费方法为local。
需要注意的是:
· 当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
· 当前ISP域的缺省的计费方法对于该域中未指定具体计费方法的所有接入用户都起作用。
· 本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
相关配置可参考命令local-user、hwtacacs scheme和radius scheme。
【举例】
# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
accounting lan-access { local | none | radius-scheme radius-scheme-name [ local | none] }
undo accounting lan-access
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting lan-access命令用来为lan-access用户配置计费方法。undo accounting lan-access命令用来恢复缺省情况。
缺省情况下,lan-access用户采用当前ISP域的缺省计费方法。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令local-user、accounting default和radius scheme。
【举例】
# 在ISP域test下,为lan-access用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting login
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting login命令用来为login用户配置计费方法。undo accounting login命令用来恢复缺省情况。
缺省情况下,login用户采用当前ISP域的缺省计费方法。
需要注意的是:
· 当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
· FTP类型的login用户不支持计费流程。
相关配置可参考命令local-user、accounting default、hwtacacs scheme和radius scheme。
【举例】
# 在ISP域test下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【命令】
accounting optional
undo accounting optional
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
无
【描述】
accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。
缺省情况下,计费可选开关处于关闭状态。
需要注意的是:
· 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了本命令,则用户可以继续使用网络资源,且系统不再为其发送实时计费更新报文,否则用户连接将被切断。该命令适用于不是特别关心计费结果的情况下。
· 对于计费过程失败但因计费可选功能上线的用户,系统不再对其发送实时计费更新报文。
· 计费可选开关打开的情况下,本地用户视图下的access-limit命令配置的本地用户的连接数限制功能不生效。
【举例】
# 打开ISP域test的计费可选开关。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting optional
【命令】
accounting portal { local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting portal
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting portal命令用来为Portal用户配置计费方法。undo accounting portal命令用来恢复缺省情况。
缺省情况下,Portal用户采用当前ISP域的缺省计费方法。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令local-user、accounting default和radius scheme。
【举例】
# 在ISP域test下,为Portal用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal radius-scheme rd local
【命令】
accounting ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting ppp
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting ppp命令用来为PPP用户配置计费方法。undo accounting ppp 命令用来恢复缺省情况。
缺省情况下,PPP用户采用当前ISP域的缺省计费方法。
需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
相关配置可参考命令local-user、accounting default、hwtacacs scheme和radius scheme。
【举例】
# 在ISP域test下,为PPP用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ppp local
# 在ISP域test下,配置PPP用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ppp radius-scheme rd local
【命令】
accounting wapi { none | radius-scheme radius-scheme-name }
undo accounting wapi
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting wapi命令用来为WAPI用户配置计费方法。undo accounting wapi命令用来恢复缺省情况。
缺省情况下,WAPI用户采用当前ISP域的缺省计费方法。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关缺省配置可参考命令accounting default和radius scheme。
accounting wapi的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况。
【举例】
# 在ISP域test下,配置WAPI用户使用RADIUS方案rd进行计费。
<Sysname> system-view
[Sysname] domain test
[Sysname-domain-test] accounting wapi radius-scheme rd
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication default
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authentication default命令用来为当前ISP域配置缺省的认证方法。undo authentication default命令用来为恢复缺省情况。
缺省情况下,当前ISP域的缺省认证方法为local。
需要注意的是:
· 当前ISP域所引用的RADIUS、HWTACACS或LDAP方案必须是已配置的。
· 当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用。
相关配置可参考命令local-user、hwtacacs scheme、radius scheme和ldap scheme。
【举例】
# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,方案名为rd,并且使用local作为备份认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
【命令】
authentication lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }
undo authentication lan-access
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authentication lan-access命令用来为lan-access用户配置认证方法。undo authentication lan-access命令用来恢复缺省情况。
缺省情况下,lan-access用户采用当前ISP域的缺省认证方法。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令local-user、authentication default和radius scheme。
【举例】
# 在ISP域test下,为lan-access用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行认证,并且local作为备份认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access radius-scheme rd local
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication login
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authentication login命令用来为login用户配置认证方法。undo authentication login命令用来恢复缺省情况。
缺省情况下,login用户采用当前ISP域的缺省认证方法。
需要注意的是,当前ISP域所引用的RADIUS、HWTACACS或LDAP方案必须是已配置的。
相关配置可参考命令local-user、authentication default、hwtacacs scheme、radius scheme和ldap scheme。
【举例】
# 在ISP域test下,为login用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备份认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
【命令】
authentication portal { ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication portal
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中,ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authentication portal命令用来为Portal用户配置认证方法。undo authentication portal命令用来恢复缺省情况。
缺省情况下,Portal用户采用当前ISP域的缺省认证方法。
需要注意的是,
· 当前ISP域所引用的LDAP或RADIUS方案必须是已配置的。
· Portal采用的LDAP认证只支持PAP认证方式。
相关配置可参考命令local-user、authentication default、ldap scheme和radius scheme。
【举例】
# 在ISP域test下,为Portal用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行认证,并且local作为备份认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication portal radius-scheme rd local
【命令】
authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication ppp
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authentication ppp命令用来为PPP用户配置认证方法。undo authentication ppp命令用来恢复缺省情况。
缺省情况下,PPP用户采用当前ISP域的缺省认证方法。
需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
相关配置可参考命令local-user、authentication default、hwtacacs scheme和radius scheme。
【举例】
# 在ISP域test下,为PPP用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ppp local
# 在ISP域test下,配置PPP用户使用RADIUS方案rd进行认证,并且使用local作为备份认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ppp radius-scheme rd local
【命令】
authentication wapi { none | radius-scheme radius-scheme-name }
undo authentication wapi
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authentication wapi命令用来为WAPI用户配置认证方法。undo authentication wapi命令用来恢复缺省情况。
缺省情况下,WAPI用户采用当前ISP域的缺省认证方法。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关缺省配置可参考命令authentication default和radius scheme。
authentication wapi的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【举例】
# 在ISP域wapi下,配置WAPI用户使用RADIUS方案rd进行认证。
<Sysname> system-view
[Sysname] domain wapi
[Sysname-domain-wapi] authentication wapi radius-scheme rd
【命令】
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name }
undo authentication super
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authentication super命令用来配置级别切换认证方法。undo authentication super命令用来恢复缺省情况。
缺省情况下,级别切换认证采用当前ISP域的缺省认证方法。
需要注意的是,当前ISP域所引用的RADIUS方案和HWTACACS方案必须是已配置的。
相关配置可参考命令hwtacacs scheme、radius scheme和“基础命令参考/CLI配置命令”中的命令super authentication-mode。
【举例】
# 在ISP域test下,配置使用HWTACACS方案tac进行级别切换认证。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-domain-test] authentication super hwtacacs-scheme tac
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local | none ] | local | none }
undo authorization command
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的用户只有系统所给予的0级别的命令行访问权限。
【描述】
authorization command命令用来配置命令行授权方法。undo authorization command命令用来恢复缺省情况。
缺省情况下,命令行授权采用当前ISP域的缺省授权方法。
需要注意的是:
· 当前ISP域所引用的HWTACACS方案必须是已配置的。
· 对用户采用本地命令行授权时,成功登录设备的用户只能执行不大于本地用户级别的命令行。
相关配置可参考命令local-user、authorization default和hwtacacs scheme。
【举例】
# 在ISP域test下,配置命令行授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备份授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization default
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console/aux/异步串口或者Telnet、FTP访问设备的用户)只有系统所给予的0级别的命令行访问权限,其中FTP用户可访问设备的根目录;认证通过的非Login用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authorization default命令用来为当前ISP域配置缺省的授权方法。undo authorization default命令用来恢复缺省情况。
缺省情况下,当前ISP域的缺省授权方法为local。
需要注意的是:
· 当前ISP域所引用的RADIUS、HWTACACS或LDAP方案必须是已配置的。
· 当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用。
· 在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
相关配置可参考命令local-user、hwtacacs scheme、radius scheme和ldap scheme。
【举例】
# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
【命令】
authorization lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }
undo authorization lan-access
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的lan-access用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authorization lan-access命令用来为lan-access用户配置授权方法。undo authorization lan-access命令用来为恢复缺省情况。
缺省情况下,lan-access用户采用当前ISP域的缺省授权方法。
需要注意的是:
· 当前ISP域所引用的RADIUS方案必须是已配置的。
· 在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
相关配置可参考命令local-user、authorization default和radius scheme。
【举例】
# 在ISP域test下,为lan-access用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access radius-scheme rd local
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization login
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console/aux/异步串口或者Telnet、FTP访问设备的用户)只有系统所给予的0级别的命令行访问权限,其中FTP用户可访问设备的根目录。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authorization login命令用来为login用户配置授权方法。undo authorization login命令用来恢复缺省情况。
缺省情况下,login用户采用当前ISP域的缺省授权方法。
需要注意的是:
· 当前ISP域所引用的RADIUS、HWTACACS或LDAP方案必须是已配置的。
· 在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
相关配置可参考命令local-user、authorization default、hwtacacs scheme、radius scheme和ldap scheme。
【举例】
# 在ISP域test下,为login用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
【命令】
authorization portal { local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization portal
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的Portal用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authorization portal命令用来为Portal用户配置授权方法。undo authorization portal命令用来恢复缺省情况。
缺省情况下,Portal用户采用当前ISP域的缺省授权方法。
需要注意的是:
· 当前ISP域所引用的RADIUS方案必须是已配置的。
· 在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
相关配置可参考命令local-user、authorization default和radius scheme。
【举例】
# 在ISP域test下,为Portal用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization portal radius-scheme rd local
【命令】
authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization ppp
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的PPP用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
authorization ppp命令用来为PPP用户配置授权方法。undo authorization ppp命令用来恢复缺省情况。
缺省情况下,PPP用户采用当前ISP域的缺省授权方法。
需要注意的是:
· 当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
· 在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
相关配置可参考命令local-user、authorization default、hwtacacs scheme和radius scheme。
【举例】
# 在ISP域test下,为PPP用户配置授权证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ppp local
# 在ISP域test下,配置PPP用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ppp radius-scheme rd local
【命令】
authorization wapi { none | radius-scheme radius-scheme-name }
undo authorization wapi
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的WAPI用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写,不区分大小写。
【描述】
authorization wapi命令用来为WAPI用户配置授权方法。undo authorization wapi命令用来恢复缺省情况。
缺省情况下,WAPI用户采用当前ISP域的缺省授权方法。
需要注意的是:
· 当前ISP域所引用的RADIUS方案必须是已配置的。
· 在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
相关缺省配置可参考命令authorization default和radius scheme。
authorization wapi的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【举例】
# 在ISP域test下,配置WAPI用户使用RADIUS方案进行授权。
<Sysname> system-view
[Sysname] domain test
[Sysname-domain-test] authorization wapi radius-scheme rd
【命令】
authorization-attribute user-profile profile-name
undo authorization-attribute user-profile
【视图】
ISP域视图
【缺省级别】
3:管理级
【参数】
profile-name:指定的User Profile名称,为1~31个字符的字符串,区分大小写。User Profile的相关配置请参考“安全配置指导”中的“User Profile”。
【描述】
authorization-attribute user-profile命令用于配置当前ISP域的缺省授权User Porfile。undo authorization-attribute user-profile命令用于恢复缺省情况。
缺省情况下,当前ISP域无缺省授权User Porfile。
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权User Porfile,则系统使用本配置指定的User Porfile作为当前ISP域的授权User Porfile。
需要注意的是,重复配置本命令,会覆盖原有的配置。
【举例】
# 配置test域下的缺省授权User Profile为profile1。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization-attribute user-profile profile1
【命令】
cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
access-type:指定接入方式:
· dot1x:表示802.1X认证接入方式;
· mac-authentication:表示MAC地址认证接入方式;
· portal:表示Portal认证接入方式。
all:指定所有用户连接。
domain isp-name:指定ISP域。其中,isp-name为ISP域名,为1~24个字符的字符串。
interface interface-type interface-number:指定接口。其中,interface-type interface-number为接口类型和接口编号。目前只支持二层以太网接口和WLAN二层虚拟接口。
ip ip-address:指定IP地址。
mac mac-address:指定MAC地址。其中,mac-address为H-H-H格式。
ucibindex ucib-index:指定连接索引号,取值范围为0~4294967295。
user-name user-name:指定用户名。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。若用户输入的用户名未携带域名,则系统默认其带缺省域名或强制认证域名。
vlan vlan-id:指定用户所在VLAN。其中,vlan-id的取值范围为1~4094。
【描述】
cut connection命令用来强制切断指定AAA用户的连接。
此命令目前只对lan-access、Portal和PPP服务类型的用户有效。
需要注意的是:
· 如果客户端配置的用户名携带版本号或者用户名中存在空格,则无法通过用户名来检索和切断用户连接,但是通过其他方式(如IP地址、连接索引号等)仍然可以检索和切断用户的连接。
· 如果接入用户的接口上配置了指定接入类型的强制认证域(例如802.1X强制认证域),则通过该接口上线的指定接入类型的用户将使用强制认证域进行认证、授权和计费,因此若要通过cut connection domain isp-name命令切断该类用户连接,则必须指定用户使用的强制认证域名。
· 对于使用域名分隔符\或者/的802.1X在线用户,不能通过cut connection user-name user-name命令切断其连接。例如,执行命令cut connection user-name aaa\bbb后,不能切断在线用户aaa\bbb的连接。
相关配置可参考命令display connection和service-type。
【举例】
# 切断ISP域test下的所有用户连接。
<Sysname> system-view
[Sysname] cut connection domain test
【命令】
display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
access-type:显示指定接入方式的用户连接:
· dot1x:表示802.1X认证接入方式;
· mac-authentication:表示MAC地址认证接入方式;
· portal:表示Portal认证接入方式。
domain isp-name:显示指定ISP域中的用户连接。其中,isp-name表示ISP域名,为1~24个字符的字符串,不区分大小写。
interface interface-type interface-number:显示指定接口的用户连接。其中,interface-type interface-number为接口类型和接口编号。目前只支持二层以太网接口和WLAN二层虚拟接口。
ip ip-address:显示指定IP地址的用户连接。
mac mac-address:显示指定MAC地址的用户连接。其中,mac-address为H-H-H格式。
ucibindex ucib-index:显示指定连接索引的用户连接。其中,ucib-index表示连接索引号,取值范围请为0~4294967295。
user-name user-name:显示指定用户名的用户连接。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。若用户输入的用户名未携带域名,则系统默认其带缺省域名或强制认证域名。
vlan vlan-id:显示指定VLAN的用户连接。其中,vlan-id的取值范围为1~4094。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display connection命令用来显示所有或指定的AAA用户连接的相关信息。
需要注意的是:
· 不指定任何参数的情况下,系统显示所有AAA用户连接的概要信息。
· 指定参数ucibindex的情况下,显示详细的用户连接信息,指定其它参数则显示概要信息。
· 对于FTP类型用户,无法显示AAA用户连接的相关信息。
· 如果接入用户的接口上配置了强制认证域(例如802.1X强制认证域),则通过该接口上线的用户将使用强制认证域进行认证、授权和计费,因此若要通过display connection domain isp-name命令显示该类用户信息,则必须指定用户使用的强制认证域名。
· 对于使用域名分隔符\或者/的802.1X在线用户,不能通过display connection user-name user-name命令查看到其相关信息。例如,执行命令display connection user-name aaa\bbb后,不能查询到在线用户aaa\bbb的相关信息。
相关配置可参考命令cut connection。
【举例】
# 显示所有AAA用户连接的相关信息。
<Sysname> display connection
Index=1 ,Username=telnet@system
IP=10.0.0.1
IPv6=N/A
Total 1 connection(s) matched.
# 显示连接索引为0的AAA用户连接的详细信息。
<Sysname> display connection ucibindex 0
Index=0 , Username=telnet@system
IP=10.0.0.1
IPv6=N/A
Access=Admin ,AuthMethod=PAP
Port Type=Virtual ,Port Name=N/A
Initial VLAN=999, Authorization VLAN=20
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2009-07-16 10:53:03 ,Current=2009-07-16 10:57:06 ,Online=00h04m03s
Total 1 connection matched.
# 显示连接索引为1的AAA用户连接的详细信息。认证回应报文携带了用于计费的用户名test1
<Sysname> display connection ucibindex 1
Index=0 , Username=test@system
IP=10.0.0.1
IPv6=N/A
Access=Admin ,AuthMethod=PAP
Port Type=Virtual ,Port Name=N/A
Initial VLAN=999, Authorization VLAN=20
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Accounting Username=test1
Start=2009-07-16 10:53:03 ,Current=2009-07-16 10:57:06 ,Online=00h04m03s
Total 1 connection matched.
表1-1 display connection命令显示信息描述表
|
字段 |
描述 |
|
Index |
用户连接的索引号 |
|
Username |
当前连接的用户名,格式为username@domain |
|
MAC |
该用户的MAC地址 |
|
IP |
该用户IPv4地址 |
|
IPv6 |
该用户IPv6地址 |
|
Access |
用户接入类型 |
|
AuthMethod |
认证方法 |
|
Port Type |
用户接入的端口类型 |
|
Port Name |
用户接入的端口名称 |
|
Initial VLAN |
用户所在的初始VLAN |
|
Authorization VLAN |
授权untagged VLAN |
|
Authorization Tagged VLAN list |
授权tagged VLAN列表 |
|
ACL Group |
授权ACL组 |
|
User Profile |
授权User Profile |
|
CAR(kbps) |
授权CAR参数信息 |
|
UpPeakRate |
上行峰值速率 |
|
DnPeakRate |
下行峰值速率 |
|
UpAverageRate |
上行平均速率 |
|
DnAverageRate |
下行平均速率 |
|
Priority |
用户报文的处理优先级 |
|
Accounting Username |
服务器下发的用于计费的用户名 |
|
Start=xxx ,Current=xxx ,Online=xxx |
用户上线的时间,当前的系统时间,用户在线时长 |
|
Total 1 connection(s) matched. |
总计1个AAA用户连接 |
【命令】
display domain [ isp-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
isp-name:指定ISP域名,为1~24个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display domain命令用来显示指定ISP域的配置信息。
如果不指定ISP域,则显示系统中所有ISP域的配置信息。
相关配置可参考命令access-limit enable、domain和state。
【举例】
# 显示系统中所有ISP域的配置信息。
0 Domain : system
State : Active
Access-limit : Disabled
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Authorization attributes :
1 Domain : test
State : Active
Access-limit : Disabled
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Lan-access authentication scheme : radius:test, local
Lan-access authorization scheme : hwtacacs:hw, local
Lan-access accounting scheme : local
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Authorization attributes :
User-profile : profile1
Default Domain Name: system
Total 2 domain(s).
表1-2 display domain命令显示信息描述表
|
字段 |
描述 |
|
Domain |
ISP域名 |
|
State |
ISP域的当前状态 · Active:激活状态,表示系统允许该域下的用户请求网络服务 · Block:阻塞状态,表示系统不允许该域下的用户请求网络服务 |
|
Access-limit |
ISP所能容纳的最大接入用户数(若显示为Disabled,则表示不限制当前ISP域可容纳接入用户数) |
|
Accounting method |
计费方法是否可选 · Required:必选,表示如果发现没有可用的计费服务器或与计费服务器通信失败时,将切断用户连接 · Optional:可选,表示如果发现没有可用的计费服务器或与计费服务器通信失败时,用户可以继续使用网络资源 |
|
Default authentication scheme |
缺省的认证方法 |
|
Default authorization scheme |
缺省的授权方法 |
|
Default accounting scheme |
缺省的计费方法 |
|
Lan-access authentication scheme |
lan-access用户的认证方法 |
|
Lan-access authorization scheme |
lan-access用户的授权方法 |
|
Lan-access accounting scheme |
lan-access用户的计费方法 |
|
Domain User Template |
ISP域的用户模板,定义了与域用户相关的一些功能 |
|
Idle-cut |
ISP域的用户闲置切断功能 · Disabled:未使能,表示不对用户进行限制切断控制 · Enabled:使能,表示当域中的用户在指定的最大空闲时间内的产生的流量小于指定的最小数据流量时,会被强制下线 |
|
Self-service |
自助服务定位功能 · Disabled:自助服务定位功能处于未使能状态 · Self-service URL:用户可以通过浏览器访问该URL指定的服务器页面,并进行相应的操作 |
|
Authorization attributes |
ISP域的缺省授权属性 |
|
User-profile |
缺省授权User Profile名称 |
|
Default Domain Name |
缺省ISP域名 |
|
Total 2 domain(s). |
总计2个ISP域 |
【命令】
domain isp-name
undo domain isp-name
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“\”、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【描述】
domain命令用来创建ISP域并进入其视图。undo domain命令用来删除指定的ISP域。
缺省情况下,系统存在一个名称为system的ISP域。
需要注意的是:
· 所有的ISP域在创建后即处于active状态。
· 不能删除系统中预定义的ISP域system,只能修改该域的配置。
· 不能删除系统缺省的ISP域,除非先恢复要删除的域为非缺省域,系统缺省的ISP域的配置请参考domain default enable命令。
相关配置可参考命令state和display domain。
【举例】
# 创建一个新的ISP域test,并进入其视图。
<Sysname> system-view
[Sysname] domain test
【命令】
domain default enable isp-name
undo domain default enable
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写。
【描述】
domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。undo domain default enable命令用来恢复缺省情况。
缺省情况下,系统缺省的ISP域为system。
需要注意的是:
· 缺省的ISP域有且只有一个。
· 指定的缺省ISP域要必须存在,否则会导致用户名中未携带域名的用户无法进行认证。
· 配置为缺省的ISP域不能被删除,除非先恢复要删除的域为非缺省域。
相关配置可参考命令domain、state和display domain。
【举例】
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【命令】
domain if-unknown isp-name
undo domain if-unknown
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“\”、“:”、“*”、“?”、“<”、“>”、“””以及“@”字符。
【描述】
domain if-unknown命令用来为未知域名的用户指定ISP域。undo if-unknown命令用来恢复缺省情况。
缺省情况下,没有为未知域名的用户指定ISP域。
设备将按照如下先后顺序选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域,例如802.1X、Portal、MAC地址认证。
如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证。
相关配置可参考命令domain default enable。
【举例】
# 为未知域名的用户指定ISP域为test。
<Sysname> system-view
[Sysname] domain if-unknown test
【命令】
eap-profile profile-name
undo eap-profile profile-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
profile-name:EAP配置文件名,为1~16个字符的字符串,不区分大小写。
【描述】
eap-profile命令用于创建一个EAP Profile,或者进入一个已存在的EAP Profile视图。undo eap-profile命令用于删除指定的EAP Profile。
EAP Porfile是一个本地EAP认证选项的配置集合,用于指定EAP认证的认证方法以及某些EAP认证方法需要引用的SSL服务器策略。
相关配置可参考命令eap method和ssl-server-policy。
【举例】
# 创建一个EAP Profile,并进入其视图。
[Sysname] eap-profile aprf1
[Sysname-eap-prof-aprf1]
【命令】
idle-cut enable minute [ flow ]
undo idle-cut enable
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
minute:指定闲置检测时间,取值范围为1~600,单位为分钟。
flow:表示允许用户闲置时产生的最小数据流量,取值范围为1~10240000,单位为字节,缺省值为10240。
【描述】
idle-cut enable命令用来设置当前ISP域下的用户闲置切断功能。用户上线后,设备会周期性检测用户的流量,若域内某用户在指定的闲置检测时间内产生的流量小于指定的最小数据流量,则会被强制下线。undo idle-cut enable命令用来恢复缺省情况。
缺省情况下,用户闲置切断功能处于关闭状态。
需要注意的是:
· 服务器上也可以配置最大空闲时间实现对用户的闲置切断功能,具体为当用户在指定的闲置检测时间内产生的流量小于10240个字节时,会被强制下线。但是,只有在设备上的闲置切断功能处于关闭状态时,服务器才会根据自身的配置来控制用户的闲置切断。
· 在Portal双机热备情况下,闲置检测时间建议配置为5分钟以上,以确保已经上线的Portal用户数据进行了相互备份。
【举例】
# 允许ISP域test中的用户启用闲置切断功能,闲置检测时间为50分钟,允许用户闲置时的最小数据流量为1024个字节。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] idle-cut enable 50 1024
【命令】
ip pool pool-number low-ip-address [ high-ip-address ]
undo ip pool pool-number
【视图】
系统视图/ISP域视图
【缺省级别】
2:系统级
【参数】
pool-number:地址池编号,取值范围为0~99。
low-ip-address和high-ip-address:分别为地址池的起始和结束IP地址。一个地址池中起始IP和结束IP地址之间的地址数不能超过1024。如果在定义IP地址池时不指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。
【描述】
ip pool命令用来定义为PPP用户分配IP地址的地址池。undo ip pool命令用来删除指定的IP地址池。
缺省情况下,没有定义为PPP用户分配IP地址的地址池。
需要注意的是:
· 在系统视图下配置的IP地址池用于为不需要进行认证的PPP用户分配IP地址。通过在指定的接口视图下配置命令remote address,来为该接口指定可用于为对端PPP用户分配的IP地址池。
· 在ISP域视图下配置的IP地址池用于为需要在指定ISP域中进行认证的PPP用户分配IP地址。这主要用于通过某接口接入的PPP用户较多,而接口所能分配的地址不够用的情况。例如,运行PPPoE协议的GigabitEthernet接口,最多可以接入4096个用户,但在该GigabitEthernet接口的Virtual Template上,只能配置一个地址池,而一个地址池最多只有1024个地址,这显然不能满足要求。通过配置ISP域的地址池,可以为ISP的PPP用户分配地址,从而解决接口地址池中地址不够的问题。
相关配置请参考“二层技术-广域网接入命令参考/PPP和MP”中的命令remote address。
【举例】
# 配置IP地址池0,地址范围为129.102.0.1到129.102.0.10。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] ip pool 0 129.102.0.1 129.102.0.10
【命令】
local-server authentication eap-profile profile-name
undo local-server authentication eap-profile
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
profile-name:EAP Profile名称,为1~16个字符的字符串,不区分大小写。指定的EAP Profile名称必须已经存在。
【描述】
local-server authentication eap-profile命令用于设置本地认证服务器使用的EAP Profile。undo local-server authentication eap-profile命令用于删除本地认证服务器使用的EAP Profile。
相关配置可参考命令eap-profile。
【举例】
# 为本地认证服务器指定EAP Profile为aprf1。
<Sysname> system-view
[Sysname] local-server authentication eap-profile aprf1
【命令】
method { md5 | peap-gtc | peap-mschapv2 | tls }
undo method { md5 | peap-gtc | peap-mschapv2 | tls }
【视图】
EAP-Profile视图
【缺省级别】
2:系统级
【参数】
md5:表示MD5质询认证方法。
peap-gtc:表示PEAP认证方法,且在建立的TLS隧道内部使用GTC方法进行认证。
peap-mschapv2:表示PEAP认证方法,且在建立的TLS隧道内部使用MSCHAPv2方法进行认证。
tls:表示TLS认证方法。
【描述】
method命令用来设置EAP认证方法。undo method命令用来删除指定的EAP认证方法。
缺省情况下,未设置任何EAP认证方法。
一个EAP Profile内可配置多个EAP认证方法,先配置的认证方法在本地EAP认证时优先选用。但一个EAP Profile内不允许同时配置peap-gtc和peap-mschapv2。
当使用本地服务器对EAP客户端进行EAP认证时,首先需要进行EAP认证方法的协商。协商的具体过程为,本地服务器在配置生成的EAP认证方法列表中为客户端选取第一个认证方法,若客户端支持服务器选定的认证方法,则表示协商成功,可继续后续的认证过程;若客户端不支持,则本地服务器重新发起认证,选用第二个认证方法。若当前使用的认证方法列表中没有客户端支持的方法,本地服务器向客户端发送EAP-Failure报文,通知用户认证失败。
【举例】
# 创建一个EAP Profile,并指定EAP认证方法为MD5和PEAP-MSCHAPv2, PEAP-MSCHAPv2认证方法优先使用。
<Sysname> system-view
[Sysname] eap-profile aprf1
[System-eap-prof-aprf1] method peap-mschapv2
[System-eap-prof-aprf1] method md5
【命令】
user-credentials { ldap-scheme ldap-scheme-name [ local ] | local }
undo user-credentials
【视图】
EAP-Profile视图
【缺省级别】
2:系统级
【参数】
ldap-scheme:表示使用LDAP数据库。
ldap-scheme-name:LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:表示使用本地用户数据库。
【描述】
user-credentials命令用来设置本地EAP认证的用户身份查询方式。undo user-credentials命令用来恢复缺省情况。
缺省情况下,使用本地用户数据库查询用户身份。
【举例】
# 配置本地EAP认证使用本地用户数据库查询用户身份。
<Sysname> system-view
[Sysname] eap-profile aprf1
[Sysname-eap-prof-aprf1] user-credentials local
# 配置本地EAP认证使用LDAP数据库查询用户身份,并且使用本地用户数据库作为备份方案。在EAP Profile aprf2中引用名为test的LDAP方案。
<Sysname> system-view
[Sysname] ldap scheme test
[Sysname-ldap-test] quit
[Sysname] eap-profile aprf2
[Sysname-eap-prof-aprf2] user-credentials ldap-scheme test local
【命令】
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
【视图】
NAS-ID Profile视图
【缺省级别】
2:系统级
【参数】
nas-identifier:NAS-ID名称,为1~20个字符的字符串,区分大小写。
vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。
【描述】
nas-id bind vlan命令用来设置NAS-ID与VLAN的绑定关系,即把一个NAS-ID指定给一个VLAN。undo nas-id bind vlan命令用来删除一个指定的NAS-ID和VLAN的绑定关系。
缺省情况下,未设置任何绑定关系。
需要注意的是:
· 一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。
· 一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。
相关配置可参考命令aaa nas-id profile。
【举例】
# 把NAS-ID 222指定给VLAN 2。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
【命令】
self-service-url enable url-string
undo self-service-url enable
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
url-string:表示自助服务器的URL,为1~64个字符的字符串。字符串必须以“http://”开始,字符串中不能包括“?”字符。该URL在安装RADIUS服务器时由服务器管理员指定。
【描述】
self-service-url enable命令用来指定自助服务器的URL。undo self-service-url enable命令用来恢复缺省情况。
缺省情况下,自助服务器定位功能处于关闭状态。
自助服务即用户可以对自己的帐号和密码进行管理和控制。目前,仅CAMS/iMC类型的RADIUS服务器支持自助服务。
【举例】
# 在ISP域test下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] self-service-url enable http://10.153.89.94/selfservice
【命令】
session-time include-idle-time
undo session-time include-idle-time
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
无
【描述】
session-time include-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间。undo session-time include-idle-time命令用来恢复缺省情况。
缺省情况下,设备上传到服务器的用户在线时间中扣除闲置切断时间。
当用户正常下线时,设备上传到服务器上的用户在线时间为实际在线时间。当用户异常下线时,若配置为保留闲置切断时间,则上传到服务器上的用户在线时间中包含了一定的闲置切断检测间隔或用户在线探测间隔(该在线探测机制目前仅Portal认证支持),此时服务器上记录的用户时长将大于用户实际在线时长;若配置为扣除闲置切断时间,则上传到服务器上的用户在线时间为,闲置切断检测机制(或用户在线探测机制)检测到并判断用户已下线的时长扣除掉一个闲置切断检测间隔(或一个用户在线探测间隔),此时服务器上记录的用户时长将小于用户实际在线时长。
请根据实际的计费策略决定是否在用户在线时间中保留该闲置切换时间。
相关配置可参考命令idle-cut enable。
【举例】
# 在ISP域test下,配置设备上传到服务器的用户在线时间中保留闲置切断时间。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] session-time include-idle-time
【命令】
ssl-server-policy policy-name
undo ssl-server-policy
【视图】
EAP-Profile视图
【缺省级别】
2:系统级
【参数】
policy-name:SSL服务器端策略名,为1~16个字符的字符串,不区分大小写。
【描述】
ssl-server-policy命令用来设置用于EAP认证的SSL服务器端策略。undo ssl-server-policy命令用来取消设置的SSL服务器端策略。
缺省情况下,未设置任何SSL服务器端策略。
需要注意的是,在进行该配置之前,需要将SSL服务器端策略以及SSL服务器端策略相关的PKI域预先配置好,否则该配置不能生效。
相关配置可参考“安全配置指导”中的“SSL配置”和“PKI配置”。
【举例】
# 创建一个EAP Profile,并指定用于EAP认证的SSL服务器端策略。
<Sysname> system-view
[Sysname] eap-profile aprf1
[System-eap-prof-aprf1] ssl-server-policy tls-server
【命令】
state { active | block }
undo state
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。
block:指定当前ISP域处于“阻塞”状态,即系统不允许该域下的用户请求网络服务。
【描述】
state命令用来设置当前ISP域的状态。undo state命令用来恢复缺省情况。
缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。
当指定某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。
【举例】
# 设置当前ISP域test处于“阻塞”状态,域下的接入用户不能再请求网络服务。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
【命令】
access-limit max-user-number
undo access-limit
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
max-user-number:表示使用当前用户名接入设备的最大用户数,取值范围为1~1024。
【描述】
access-limit命令用来设置当前用户名可容纳的最大接入用户数。undo access-limit命令用来取消对当前用户名的接入用户数限制。
缺省情况下,不限制当前本地用户名可容纳的接入用户数。
需要注意的是:
· 本地用户的access-limit命令只在该用户采用了本地计费方法的情况下生效。
· 由于FTP用户不支持计费,因此FTP用户不受此属性限制。
相关配置可参考命令display local-user。
【举例】
# 允许同时以用户名abc在线的用户数为5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] access-limit 5
【命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | user-role { guest | guest-manager | security-audit } | vlan vlan-id | work-directory directory-name } *
undo authorization-attribute { acl | callback-number | idle-cut | level | user-profile | user-role | vlan | work-directory } *
【视图】
本地用户视图/用户组视图
【缺省级别】
3:管理级
【参数】
acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源。
callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,区分大小写。本地用户认证成功后,设备将可以使用该用户的授权PPP回呼号码向对端发起回呼。
idle-cut minute:设置本地用户的闲置切断时间。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
level level:指定本地用户的级别,取值范围为0~3。其中0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的级别越低。当登录设备用户界面的验证方式配置为scheme时,用户成功登录后所能访问的命令行的级别由本参数决定。缺省情况下,本地用户的级别为0,即用户成功登录后缺省可以访问级别为0的命令行。
user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示用户配置文件的名称,为1~32个字符的字符串,只能包含英文字母、数字、下划线,且必须以英文字母开始,区分大小写。当用户通过认证上线后,其访问行为将受到User Profile中预设配置的限制。关于User Profile的详细介绍请参见“安全配置指导”中的“User Profile配置”。
user-role:指定授权本地用户的角色,不同角色的用户具有不同的命令行使用权限。该属性仅在本地用户视图下支持。未被授权为某特殊角色的本地用户,其认证成功后具有的访问权限受其它本地用户授权属性限制。目前,设备支持的本地用户角色包括以下几种:
· guest:表示授权本地用户为来宾用户。通常,该角色的用户通过Web页面创建。
· guest-manager:表示授权本地用户为来宾管理员,该类型的本地用户通过认证后,仅能通过Web访问来宾用户相关的页面,比如创建、修改和删除来宾用户。
· security-audit表示授权本地用户为安全日志管理员,该类型的本地用户通过认证后,仅能执行与安全日志文件操作相关的命令,比如保存安全日志文件等,可执行命令的具体情况请参见“网络管理和监控命令参考”中的“信息中心配置”。
vlan vlan-id:指定本地用户的授权VLAN。本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源。其中,vlan-id为VLAN编号,取值范围为1~4094。
work-directory directory-name:授权FTP/SFTP用户可以访问的目录。其中,directory-name表示FTP/SFTP用户可以访问的目录,为1~135个字符的字符串,不区分大小写,且该目录必须已经存在。缺省情况下,FTP/SFTP用户可访问设备的根目录,可通过本参数来修改用户可以访问的目录。
【描述】
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。
缺省情况下,未对本地用户或用户组设置任何授权属性。
需要注意的是:
· 可配置的授权属性都有其明确的使用环境和用途,请仅针对用户的服务类型配置对应的授权属性。
· 用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
· 本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
· 系统中只剩一个角色为安全日志管理员的本地用户时,该本地用户就不能被删除,而且也不能修改或删除该本地用户的安全日志管理员角色,除非再指定一个新的用户为安全日志管理员。
· 一个本地用户只能被指定为一种角色,后设置的角色会覆盖前面设置的角色。
【举例】
# 配置本地用户abc的授权VLAN为VLAN 2。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] authorization-attribute vlan 2
# 配置用户组abc的授权VLAN为VLAN 3。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
【命令】
bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *
undo bind-attribute { call-number | ip | location | mac | vlan } *
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
call-number call-number:指定ISDN用户认证的主叫号码。其中call-number为1~64个字符的字符串。该绑定属性仅适用于PPP用户。
subcall-number:指定子主叫号码。如果配置了子主叫号码,则主叫号码与子主叫号码的总长度不能大于62个字符。
ip ip-address:指定用户的IP地址。该绑定属性仅适用于lan-access类型中的802.1X用户。
location port slot-number subslot-number port-number:指定用户绑定的端口。其中slot-number为单板所在槽位号,取值范围为0~255;subslot-number为子槽位号,取值范围为0~15;port-number为端口号,取值范围0~255。该绑定属性仅适用于lan-access类型的用户。
mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。该绑定属性仅适用于lan-access类型的用户。
vlan vlan-id:指定用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。该绑定属性仅适用于lan-access类型的用户。
【描述】
bind-attribute命令用来设置用户的绑定属性。undo bind-attribute命令用来删除配置的用户绑定属性。
缺省情况下,未设置用户的任何绑定属性。
需要注意的是,当对本地用户进行认证时,如果配置了绑定属性,则会检查用户的实际属性与配置的绑定属性是否一致,如果不一致则认证失败。而且,由于认证检测时不区分用户的接入服务类型,即会对所有类型的用户都进行已配置绑定属性的认证检测,因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性。例如,只有支持IP地址上传功能的802.1X认证用户才可以配置绑定IP地址;对于不支持IP地址上传功能的MAC地址认证用户,如果配置了绑定IP地址,则会导致该用户的本地认证失败。
【举例】
# 配置本地用户abc的绑定IP为3.3.3.3。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] bind-attribute ip 3.3.3.3
【命令】
display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | portal | ppp | ssh | telnet | terminal | web } | state { active | block } | user-name user-name | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
idle-cut { disable | enable }:显示使能或未使能闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息:
· ftp:FTP用户。
· lan-access:lan-access类型用户(主要指以太网接入用户,比如802.1X用户)。
· portal:Portal用户。
· ppp:PPP用户。
· ssh:SSH用户。
· telnet:Telnet用户。
· terminal:从CON口、AUX口登录的终端用户。
· web为Web用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用于处于阻塞状态,即系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。
vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
需要注意的是:如果不指定任何参数,则显示所有本地用户信息。
相关配置可参考命令local-user。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
The contents of local user abc:
State: Active
ServiceType: lan-access
Access-limit: Enabled Current AccessNum: 0
Max AccessNum: 300
User-group: system
Bind attributes:
IP address: 1.2.3.4
Bind location: 0/4/1 (SLOT/SUBSLOT/PORT)
MAC address: 0001-0002-0003
Vlan ID: 100
Authorization attributes:
Idle TimeOut: 10(min)
Work Directory: flash:/
User Privilege: 3
Acl ID: 2000
Vlan ID: 100
User Profile: prof1
Expiration date: 12:12:12-2018/09/16
Total 1 local user(s) matched.
表1-3 display local-user命令显示信息描述表
|
字段 |
描述 |
|
State |
本地用户的状态(Active:激活、Block:阻塞) |
|
ServiceType |
本地用户的服务类型(ftp、lan-access、portal、ppp、ssh、telnet、terminal) |
|
Access-limit |
是否对使用该用户名的接入连接数进行限制(Enabled:使能连接限制功能、Disabled:未使能连接限制功能) |
|
Current AccessNum |
使用该用户名的当前接入用户数 |
|
Max AccessNum |
最大接入用户数 |
|
User-group |
本地用户所属用户组 |
|
Bind attributes |
本地用户的绑定属性 |
|
IP address |
本地用户绑定的IP地址 |
|
Bind location |
本地用户绑定的端口 |
|
MAC address |
本地用户绑定的MAC地址 |
|
VLAN ID |
本地用户绑定的VLAN |
|
Calling Number |
ISDN用户绑定的主叫号码 |
|
Authorization attributes |
本地用户的授权属性 |
|
Idle TimeOut |
本地用户闲置切断时间(单位为分钟) |
|
Callback-number |
本地用户的授权PPP回呼号码 |
|
Work Directory |
FTP/SFTP用户可以访问的目录 |
|
User Privilege |
本地用户级别 |
|
VLAN ID |
本地用户授权VLAN |
|
User Profile |
本地用户授权User Profile |
|
Expiration date |
本地用户的有效期 |
|
Total 1 local user(s) matched. |
总计有1个本地用户匹配 |
【命令】
display user-group [ group-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display user-group命令用来显示用户组的相关配置。不指定用户组名称,则显示所有用户组的相关配置。
相关配置请参考命令user-group。
【举例】
# 显示用户组abc的相关配置。
<Sysname> display user-group abc
The contents of user group abc:
Authorization attributes:
Idle-cut: 120(min)
Work Directory: FLASH:
Level: 1
Acl Number: 2000
Vlan ID: 1
User-Profile: 1
Callback-number: 1
Password aging: Enabled (1 days)
Password length: Enabled (4 characters)
Password composition: Enabled (1 types, 1 characters per type)
Total 1 user group(s) matched.
表1-4 display user-group命令显示信息描述表
|
字段 |
描述 |
|
Idle-cut |
闲置切断时间(单位:分钟) |
|
Work Directory |
FTP/SFTP用户可以访问的目录 |
|
Level |
本地用户的级别 |
|
Acl Number |
授权ACL号 |
|
Vlan ID |
授权VlAN ID |
|
User-Profile |
授权User Profile名称 |
|
Callback-number Password aging Password length Password composition |
PPP回呼号码 本地用户密码老化时间 本地用户密码最小长度 本地用户密码组合策略 |
|
Total 1 user group(s) matched. |
总计有1个用户组匹配 |
【命令】
expiration-date time
undo expiration-date
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
time:本地用户的有效期,精确到秒,格式为HH:MM:SS-MM/DD/YYYY(时:分:秒-月/日/年)或HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)。其中,HH:MM:SS中的HH取值范围为0~23,MM和SS取值范围为0~59;MM/DD/YYYY中的MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。除表示零点外,格式中的前导0可以省略不写,比如2:2:0-2008/2/2等效于02:02:00-2008/02/02。
【描述】
expiration-date命令用来设置本地用户的有效期。undo expiration-date用来取消本地用户的有效期配置。
缺省情况下,未设置用户的有效期,设备不进行用户有效期的检查。
在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾帐户,并通过本命令与vaildity-date命令一起完成对用户有效起止时间的控制。当用户进行本地认证时,接入设备检查当前系统时间是否在该用户的生效时间与有效期之间,若在则允许用户登录,否则拒绝用户登录。
【举例】
# 配置用户abc的有效期为2008/05/31的12:10:20。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] expiration-date 12:10:20-2008/05/31
【命令】
group group-name
undo group
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【描述】
group命令用来设置本地用户所属的用户组。undo group命令用来恢复缺省配置。
缺省情况下,用户属于系统默认创建的用户组system。
【举例】
# 设置本地用户111所属的用户组为abc。
<Sysname> system-view
[Sysname] local-user 111
[Sysname-luser-111] group abc
【命令】
group-attribute allow-guest
undo group-attribute allow-guest
【视图】
用户组视图
【缺省级别】
3:管理级
【参数】
无
【描述】
group-attribute allow-guest命令用来设置用户组的来宾可选属性,即允许来宾用户管理员在Web页面上创建的来宾用户加入该用户组。undo group-attribute allow-guest命令用来恢复缺省情况。
缺省情况下,用户组不具有来宾可选属性,来宾用户管理员在Web界面上创建的来宾用户不能加入该用户组。
需要注意的是,系统默认创建的用户组system缺省就具有来宾可选属性,并且该属性不能被删除。
【举例】
# 设置用户组test允许来宾用户加入。
<Sysname> system-view
[Sysname] user-group test
[Sysname-ugroup-test] group-attribute allow-guest
【命令】
local-user user-name
undo local-user { user-name | all [ service-type { ftp | lan-access | portal | ppp | ssh | telnet | terminal | web } ] }
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
all:所有的用户。
service-type:指定用户的类型。具体用户类型如下:
· ftp:表示FTP类型用户;
· lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.1X用户);
· portal:表示Portal用户;
· ppp:表示PPP用户;
· ssh:表示SSH用户;
· telnet:表示Telnet用户;
· terminal:表示从Console口、AUX口登录的终端用户;
· web:表示Web用户。
【描述】
local-user命令用来添加本地用户并进入本地用户视图。目前设备支持的可添加本地用户数多大1024个。undo local-user命令用来删除指定的本地用户。
缺省情况下,无本地用户。
相关配置可参考命令display local-user和service-type。
【举例】
# 添加名称为user1的本地用户。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1]
【命令】
local-user password-display-mode { auto | cipher-force }
undo local-user password-display-mode
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
auto:自动方式,即接入用户的密码显示方式与该用户通过password命令设置的密码显示方式一致。
cipher-force:强制密文方式,即所有接入用户的密码显示方式必须采用密文方式。
【描述】
local-user password-display-mode命令用来设置所有本地用户密码的显示方式。undo local-user password-display-mode命令用来恢复缺省情况。
缺省情况下,所有接入用户的密码显示方式为自动方式。
当采用cipher-force方式后:
· 即使通过password命令指定密码显示方式为明文显示(即simple方式),密码仍然会显示为密文。
· 使用save命令保存当前配置,重启设备后,即使恢复为auto方式,重启前配置为明文显示的密码仍然显示为密文,但重启后新配置的密码显示依然遵循当前配置的本地用户密码显示方式。
相关配置可参考命令display local-user和password。
【举例】
# 设置所有本地用户采用密文方式显示密码。
<Sysname> system-view
[Sysname] local-user password-display-mode cipher-force
【命令】
password { cipher | simple } password
undo password
【视图】
本地用户视图
【缺省级别】
2:系统级
【参数】
cipher:表示密码为密文显示。
simple:表示密码为明文显示。
password:表示设置的密码,区分大小写。明文密码可以是长度小于等于63的连续字符串,如:aabbcc。密文密码的长度取值为24或88,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
· 对于simple方式,password必须是明文密码。
· 对于cipher方式,password可以是密文密码也可以是明文密码。
【描述】
password命令用来设置本地用户的密码。undo password命令用来取消本地用户的密码。
需要注意的是:
· 当通过local-user password-display-mode命令指定本地用户密码的显示方式为cipher-force后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码也会显示为密文。保存当前配置并重启设备后,即使本地用户名密码的显示方式恢复为auto方式,重启前配置为明文显示的密码仍然显示为密文,但重启后新配置的密码显示依然遵循当前配置的本地用户密码的显示方式。
· 在cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文,长度大于16且小于等于63的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理。
相关配置可参考命令display local-user和local-user password-display-mode。
【举例】
# 设置本地用户user1的密码为明文显示的123456。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] password simple 123456
【命令】
service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal | ppp | web }
undo service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal | ppp | web }
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权FTP用户可访问设备的根目录。
lan-access:指定用户可以使用lan-access服务。主要指以太网接入,比如用户可以通过802.1X认证接入。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口、AUX口登录)。
portal:指定用户可以使用Portal服务。
ppp:指定用户可以使用PPP服务。
web:指定用户可以使用Web服务。
【描述】
service-type命令用来设置用户可以使用的服务类型。undo service-type命令用来删除用户可以使用的服务类型。
缺省情况下,系统不对本地用户授权任何服务。
可以通过多次执行本命令,设置用户可以使用多种服务类型。
【举例】
# 指定用户可以使用Telnet服务。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] service-type telnet
【命令】
state { active | block }
undo state
【视图】
本地用户视图
【缺省级别】
2:系统级
【参数】
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。
【描述】
state命令用来设置当前本地用户的状态。undo state命令用来恢复缺省情况。
缺省情况下,当一个本地用户被创建以后,其状态为active(本地用户视图)。
当指示某个用户处于block状态时,不允许当前本地用户请求网络服务,但是不影响其它用户。
相关配置可参考命令local-user。
【举例】
# 设置本地用户user1处于“阻塞”状态。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] state block
【命令】
user-group group-name
undo user-group group-name
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【描述】
user-group命令用来创建用户组并进入其视图。undo user-group命令用来删除指定的用户组。
用户组是一个本地用户策略及属性的集合,某些需要集中管理的策略或者属性可在在用户组中统一配置和管理。目前,用户组中可配置的内容包括本地用户密码的控制策略和用户的授权属性。
需要注意的是:
· 当用户组中有本地用户时,不允许使用undo user-group删除该用户组。
· 不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。
相关配置可参考命令display user-group。
【举例】
# 创建名称为abc的用户组并进入其视图。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【命令】
validity-date time
undo validity-date
【视图】
本地用户视图
【缺省级别】
3:管理级
【参数】
time:本地用户的生效时间,精确到秒,格式为HH:MM:SS-MM/DD/YYYY(时:分:秒-月/日/年)、MM/DD/YYYY-HH:MM:SS(月/日/年-时:分:秒)、YYYY/MM/DD-HH:MM:SS(年/月/日-时:分:秒)或HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)。其中,HH:MM:SS中的HH取值范围为0~23,MM和SS取值范围为0~59;MM/DD/YYYY中的MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。除表示零点外,格式中的前导0可以省略不写,比如2:2:0-2008/2/2等效于02:02:00-2008/02/02。
【描述】
validity-date命令用来设置本地用户的生效时间。undo validity-date用来取消本地用户的生效时间配置。
缺省情况下,未设置用户的生效时间,设备不进行用户生效时间的检查。
在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾帐户,并通过本命令与expiration-date命令一起完成对用户有效起止时间的控制。当用户进行本地认证时,接入设备检查当前系统时间是否在该用户的生效时间与有效期之间,若在则允许用户登录,否则拒绝用户登录。
【举例】
# 配置用户abc的生效时间为2008/04/30的12:10:20,有效期截至2008/05/31的12:10:20。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] validity-date 12:10:20-2008/04/30
[Sysname-luser-abc] expiration-date 12:10:20-2008/05/31
【命令】
accounting-on enable [ interval seconds | send send-times ] *
undo accounting-on enable
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
seconds:accounting-on报文重发时间间隔,取值范围为1~15,单位为秒,缺省值为3。
send-times:accounting-on报文的最大发送次数,取值范围为1~255,缺省值为50。
【描述】
accounting-on enable命令用来配置accounting-on功能。在accounting-on功能处于使能的情况下,若设备重启,则设备会在重启之后发送accounting-on报文通知该方案所使用的RADIUS服务器,要求RADIUS服务器强制该设备的用户下线。undo accounting-on enable命令用来恢复缺省情况。
缺省情况下,accounting-on功能处于关闭状态。
需要注意的是:
· 执行完该命令后,请执行save操作,以保证设备重启后accounting-on功能生效。
· 在执行accounting-on功能的过程中,使用该命令重新设置的报文重发间隔时间以及报文最大发送次数会立即生效。
【举例】
# 使能RADIUS认证方案radius1的accounting-on功能,并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on enable interval 5 send 15
【命令】
attribute 25 car
undo attribute 25 car
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
无
【描述】
attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。undo attribute 25 car命令用来恢复缺省情况。
缺省情况下,RADIUS Attribute 25的CAR参数解析功能处于关闭状态。
相关配置可参考命令display radius scheme和display connection。
【举例】
# 开启RADIUS Attribute 25的CAR参数解析功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 25 car
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【描述】
data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位。undo data-flow-format命令用来恢复缺省情况。
缺省情况下,数据流的单位为byte,数据包的单位为one-packet。
需要注意的是,设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADUIS服务器上的流量统计单位保持一致,否则无法正确计费。
相关配置可参考命令display radius scheme。
【举例】
# 在RADIUS方案radius1中,设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display radius scheme [ radius-scheme-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
radius-scheme-name:指定RADIUS方案名。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。
需要注意的是:如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。
相关配置可参考命令radius scheme。
【举例】
# 显示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
------------------------------------------------------------------
SchemeName : radius1
Index : 0 Type : extended
Primary Auth Server:
IP: 1.1.1.1 Port: 1812 State: active
Encryption Key : TElnZvIq9pI=
Probe username :test
Probe interval : 60
Primary Acct Server:
IP: 1.1.1.1 Port: 1813 State: active
Encryption Key : TElnZvIq9pI=
Probe username :test
Probe interval : 60
Second Auth Server:
IP: 1.1.2.1 Port: 1812 State: active
Encryption Key : N/A
Probe username :test
Probe interval : 60
IP: 1.1.3.1 Port: 1812 State: active
Encryption Key : N/A
Second Acct Server:
IP: 1.1.2.1 Port: 1813 State: block
Encryption Key : N/A
Probe username :test
Probe interval : 60
Auth Server Encryption Key : 4v4P3kE6gIs=
Acct Server Encryption Key : 4v4P3kE6gIs=
Accounting-On packet disable, send times : 50 , interval : 3s
Interval for timeout(second) : 3
Retransmission times for timeout : 3
Interval for realtime accounting(minute) : 12
Retransmission times of realtime-accounting packet : 5
Retransmission times of stop-accounting packet : 500
Quiet-interval(min) : 5
Username format : without-domain
Data flow unit : Byte
Packet unit : one
NAS-IP address : 1.1.1.1
Attribute 25 : car
------------------------------------------------------------------
Total 1 RADIUS scheme(s).
表1-5 display radius scheme命令显示信息描述表
|
字段 |
描述 |
|
SchemeName |
RADIUS方案的名称 |
|
Index |
RADIUS方案的索引号 |
|
Type |
RADIUS服务器的类型 · extended类型 · standard类型 |
|
Primary Auth Server |
主认证服务器相关信息 |
|
Primary Acct Server |
主计费服务器相关信息 |
|
Second Auth Server |
从认证服务器相关信息 |
|
Second Acct Server |
从计费服务器相关信息 |
|
IP |
认证/计费服务器的IP地址 |
|
Port |
认证/计费服务器的接入端口号 未配置时,显示缺省值 |
|
State |
认证/计费服务器的目前状态 · active:激活 · block:阻塞 |
|
Encryption Key |
认证/计费报文的共享密钥(明文或密文) 未配置时,显示为N/A 该密钥仅在配置RADIUS服务器同时未指定相应密钥的情况下时使用 |
|
Auth Server Encryption Key |
认证报文的共享密钥(明文或密文) |
|
Acct Server Encryption Key |
计费报文的共享密钥(明文或密文) |
|
Probe username |
探测服务器状态使用的用户名 |
|
Probe interval |
探测服务器状态的周期(分) |
|
Accounting-On packet disable |
accounting-on功能未使能 |
|
send times |
accounting-on报文的重发次数 |
|
interval |
accounting-on报文的重发间隔(秒) |
|
Interval for timeout(second) |
RADIUS服务器的响应超时时间(秒) |
|
Retransmission times for timeout |
发送RADIUS报文的最大尝试次数 |
|
Interval for realtime accounting(minute) |
实时计费的时间间隔(分钟) |
|
Retransmission times of realtime-accounting packet |
允许实时计费请求无响应的最大次数 |
|
Retransmission times of stop-accounting packet |
发起停止计费请求的最大尝试次数 |
|
Quiet-interval(min) |
主服务器恢复激活状态的时间 |
|
Username format |
发送给RADIUS服务器的用户名格式 |
|
Data flow unit |
发送给RADIUS服务器的数据流的单位 |
|
Packet unit |
发送给RADIUS服务器的数据包的单位 |
|
NAS-IP address |
发送RADIUS报文的源IP地址 |
|
Backup-NAS-IP address |
发送RADIUS报文的备份源IP地址
Backup-NAS-IP address的支持情况与设备的型号有关,请参见“配置指导导读”中的“特性差异情况”部分的介绍。 |
|
Attribute 25 |
将RADIUS Attribute 25解析为CAR参数 |
|
Total 1 RADIUS scheme(s). |
共计1个RADIUS方案 |
【命令】
display radius statistics [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display radius statistics命令用来显示RADIUS报文的统计信息。
相关配置可参考命令radius scheme。
【举例】
# 显示RADIUS报文的统计信息。
<Sysname> display radius statistics
state statistic(total=1024):
DEAD = 1024 AuthProc = 0 AuthSucc = 0
AcctStart = 0 RLTSend = 0 RLTWait = 0
AcctStop = 0 OnLine = 0 Stop = 0
Received and Sent packets statistic:
Sent PKT total = 1547 Received PKT total = 23
Resend Times Resend total
1 508
2 508
Total 1016
RADIUS received packets statistic:
Code = 2 Num = 15 Err = 0
Code = 3 Num = 4 Err = 0
Code = 5 Num = 4 Err = 0
Code = 11 Num = 0 Err = 0
Running statistic:
RADIUS received messages statistic:
Auth request Num = 24 Err = 0 Succ = 24
Account request Num = 4 Err = 0 Succ = 4
Account off request Num = 503 Err = 0 Succ = 503
PKT auth timeout Num = 15 Err = 5 Succ = 10
PKT acct_timeout Num = 1509 Err = 503 Succ = 1006
Realtime Account timer Num = 0 Err = 0 Succ = 0
PKT response Num = 23 Err = 0 Succ = 23
Accounting on response Num = 0 Err = 0 Succ = 0
Session ctrl pkt Num = 0 Err = 0 Succ = 0
Normal author request Num = 0 Err = 0 Succ = 0
Set policy result Num = 0 Err = 0 Succ = 0
Accounting on request Num = 0 Err = 0 Succ = 0
Accountiong on response Num = 0 Err = 0 Succ = 0
Distribute request Num = 0 Err = 0 Succ = 0
RADIUS sent messages statistic:
Auth accept Num = 10
Auth reject Num = 14
Auth continue Num = 0
Account success Num = 4
Account failure Num = 3
Server ctrl req Num = 0
RecError_MSG_sum = 0
SndMSG_Fail_sum = 0
Timer_Err = 0
Alloc_Mem_Err = 0
State Mismatch = 0
Other_Error = 0
No-response-acct-stop packet = 1
Discarded No-response-acct-stop packet for buffer overflow = 0
表1-6 display radius statistics命令显示信息描述表
|
字段 |
描述 |
|
state statistic(total=1024) |
各状态的用户数统计信息(用户总数为1024)
total的取值与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。 |
|
DEAD |
处于空闲态的用户数
DEAD的最大数与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。 |
|
AuthProc |
处于认证等待态的用户数 |
|
AuthSucc |
处于认证成功态的用户数 |
|
AcctStart |
处于计费开始态的用户数 |
|
RLTSend |
处于实时计费发送态的用户数 |
|
RLTWait |
处于实时计费等待态的用户数 |
|
AcctStop |
处于计费等待停止态的用户数 |
|
OnLine |
处于在线态的用户数 |
|
Stop |
处于停止态的用户数 |
|
Received and Sent packets statistic |
RADIUS模块收发报文的数目统计信息 |
|
Sent PKT total |
发送报文总数 |
|
Received PKT total |
接收报文总数 |
|
Resend Times |
重传报文的次数 |
|
Resend total |
单次重传报文数 |
|
Total |
重传报文总数 |
|
RADIUS received packets statistic |
RADIUS模块接收报文数目统计 |
|
Code |
报文类型 |
|
Num |
报文总数 |
|
Err |
错误报文数 |
|
Succ |
成功报文数 |
|
Running statistic |
RADIUS模块收发报文的分类统计信息 |
|
RADIUS received messages statistic |
RADIUS已接收消息数目统计 |
|
Auth request |
普通认证请求报文数 |
|
Account request |
计费请求报文数 |
|
Account off request |
计费停止请求报文数 |
|
PKT auth timeout |
认证超时报文数 |
|
PKT acct_timeout |
计费超时报文数 |
|
Realtime Account timer |
实时计费请求报文数 |
|
PKT response |
服务器的响应报文数 |
|
Session ctrl pkt |
会话控制报文数 |
|
Normal author request |
普通授权请求报文数 |
|
Set policy result |
Set policy结果报文数 |
|
Accounting on request |
accounting on请求报文数 |
|
Accounting on response |
accounting on响应报文数 |
|
Distribute request |
分发请求报文数 |
|
Auth accept |
认证接收报文数 |
|
Auth reject |
认证拒绝报文数 |
|
Auth continue |
认证持续报文数 |
|
Account success |
计费成功报文数 |
|
Account failure |
计费失败报文数 |
|
Server ctrl req |
服务器控制请求报文数 |
|
RecError_MSG_sum |
接收错误消息总数 |
|
SndMSG_Fail_sum |
发送消息失败总数 |
|
Timer_Err |
启动定时器失败报文数 |
|
Alloc_Mem_Err |
申请内存失败报文数 |
|
State Mismatch |
状态不匹配报文数 |
|
Other_Error |
其它错误报文数 |
|
No-response-acct-stop packet |
停止计费报文无响应数 |
|
Discarded No-response-acct-stop packet for buffer overflow |
因缓存区满而丢弃的无响应停止计费报文总数 |
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
radius-scheme radius-scheme-name:显示缓存的、向指定RADIUS方案中的计费服务器发送的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串。
session-id session-id:显示缓存的指定会话ID的停止计费请求报文。其中,session-id为1~50个字符的字符串。
time-range start-time stop-time:显示缓存的指定时间段内的停止计费请求报文,即只要是在指定时间段内的发起且被暂存的停止计费请求报文都会被显示。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:显示缓存的指定用户名的停止计费请求报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文的相关信息,主要包括该计费请求报文所属的会话ID、用户名以及产生停止计费请求的时间。
在发送停止计费请求报文而RADIUS服务器没有响应时,设备会尝试重传该报文,如果发送该报文的最大尝试次数超作指定的值(由retry命令设置)后仍然没有得到响应,则设备会缓存该报文,然后再发起一次请求,若继续无响应,则重复上述过程,一定次数(由retry stop-accounting命令设置)之后,设备将其丢弃。
相关配置可参考命令reset stop-accounting-buffer、stop-accounting-buffer enable、user-name-format、retry和retry stop-accounting。
【举例】
# 显示系统缓存的用户名为abc的停止计费请求报文的相关信息。
<Sysname> display stop-accounting-buffer user-name abc
RDIdx Session-ID user name Happened time
1 1000326232325010 abc 23:27:16-08/31/2006
1 1000326232326010 abc 23:33:01-08/31/2006
Total 2 record(s) Matched
【命令】
eap offload method peap-mschapv2
undo eap offload method peap-mschapv2
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
method peap-mschapv2:本地支持的EAP认证方法。目前,仅支持PEAP-MSCHAPv2认证方法。
【描述】
eap offload命令用于使能EAP Offload功能。undo eap offload命令用于关闭EAP Offload功能。
缺省情况下,EAP Offload功能处于关闭状态,系统对EAP认证请求采用透传(pass-through)的方式,即将完整的EAP报文交给远端RADIUS服务器进行EAP认证处理。
某些RADIUS服务器不支持EAP认证,因此需要在指定该RADIUS服务器的RADIUS方案中能EAP Offload功能,将客户端发送的EAP认证请求在接入设备上进行本地预处理,然后再发送给RADIUS服务器进行EAP认证处理
【举例】
# 配置使用EAP认证的接入用户采用RADIUS认证时,进行EAP Offload处理。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] eap offload method peap-mschapv2
【命令】
key { accounting | authentication } [ cipher | simple ] key
undo key { accounting | authentication }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
accounting:指定RADIUS计费报文的共享密钥。
authentication:指定RADIUS认证/授权报文的共享密钥。
cipher:表示设置密文密钥,且密钥将以密文显示。
simple:表示设置明文密钥,且密钥将以明文显示。
key:设置的明文密码或密文密码,区分大小写。明文密码的长度不大于128位,例如aabbcc;密文密码的长度取值可为12、24、32、44、64、76、88、96、108、120、128、140、152、160、172或184位,例如_(TT8F]Y\5SQ=^Q`MAF4<1!!。不指定simple和cipher的情况下,key为设置的明文密码,且将以密文显示。
【描述】
key命令用来配置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来删除配置。
缺省情况下,无共享密钥。
需要注意的是:
· 设备优先采用配置RADIUS认证/授权/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/授权/计费服务器时未指定相应密钥的情况下使用。
· 必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
相关配置可参考命令display radius scheme。
【举例】
# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为密文IT8Q4sHnitM=,且将以密文显示。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key authentication cipher IT8Q4sHnitM=
[Sysname-radius-radius1] display this
#
radius scheme radius1
key authentication cipher IT8Q4sHnitM=
#
# 将RADIUS方案radius1的计费报文的共享密钥设置为明文ok,且将以明文显示。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting simple ok
[Sysname-radius-radius1] display this
#
radius scheme radius1
key accounting simple ok
#
# 将RADIUS方案radius1的计费报文的共享密钥设置为明文ok,且将以密文显示。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting ok
[Sysname-radius-radius1] display this
#
radius scheme radius1
key accounting cipher aMjIsi9yePg=
#
【命令】
nas device-id device-id
undo nas device-id
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
device-id:表示设备ID,取值为1或2。
【描述】
nas device-id命令用于配置双机热备模式下的设备ID。双机热备组网环境下的两台设备的设备ID分别为1和2。undo nas device-id命令用于恢复缺省情况。
缺省情况下,设备工作在单机模式,无设备ID。
需要注意的是:
· 改变设备ID后,设备上所有在线用户均会被强制下线。
· 为保证双机模式下两台设备之间的业务备份正常工作,需要保证两台设备的设备ID分别为1和2。
· 由于设备ID是设备运行在双机模式下的标志,因此单机运行的环境下,不需要配置此命令。
nas device-id的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【举例】
# 在双机热备的组网环境中,配置本端设备运行在双机热备模式,设备ID为1。
<Sysname> system-view
[Sysname] nas device-id 1
Warning: This command will cut all user connections on this device. Continue? [Y
/N]
此时,在对端设备上应该配置设备的设备ID为2,业务备份才能正常工作。
【命令】
nas-backup-ip ip-address
undo nas-backup-ip
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:指定的备份源IP地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址,且必须指定为双机热备环境中对端设备上发送RADIUS报文的源IP地址。
【描述】
nas-backup-ip命令用来设置设备发送RADIUS报文使用的备份源IP地址。undo nas-backup-ip命令用来恢复缺省情况。
缺省情况下,未指定设备发送RADIUS报文使用的备份源IP地址。
需要注意的是:
· 该配置只在双机热备环境下需要配置,可以保证双机热备环境中主设备发生故障时,服务器发送的报文可以被备份设备收到并进行处理。
· RADIUS方案视图下的命令nas-backup-ip只对本RADIUS方案有效,系统视图下的命令radius nas-backup-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
· 如果多次执行本命令,则新配置的备份源IP地址会覆盖原有的备份源IP地址。
相关配置可参考命令nas-ip或radius nas-ip。
nas-backup-ip的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【举例】
# 在双机热备的组网环境中,设置本端设备发送RADIUS报文使用的源IP地址为2.2.2.2,备份源IP为3.3.3.3。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 2.2.2.2
[Sysname-radius-radius1] nas-backup-ip 3.3.3.3
此时,在对端设备上应该设置设备发送RADIUS报文使用的源IP地址为3.3.3.3,备份源IP为2.2.2.2,业务备份才能正常工作。
【命令】
nas-ip { ip-address | ipv6 ipv6-address }
undo nas-ip
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【描述】
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。undo nas-ip命令用来恢复缺省情况。
缺省情况下,使用系统视图下由命令radius nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送RADIUS报文的接口的IP地址。
需要注意的是:
· RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
· RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
· 本命令配置的源IP地址与RADIUS方案中设置的服务器IP地址的协议版本必须保持一致,否则配置不生效。
· 如果重复执行此命令,新配置的源地址会覆盖原有的源地址。
相关配置可参考命令radius nas-ip。
【举例】
# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 10.1.1.1
【命令】
primary accounting { ip-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *
undo primary accounting
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:主RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。
port-number:主RADIUS计费服务器的UDP端口号,缺省为1813,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。
key [ cipher | simple ] key:与主RADIUS计费服务器交互的计费报文的共享密钥。
· cipher key:设置密文密钥,且密钥将以密文显示。其中,key为特定长度的密文密钥,长度取值可为12、24、32、44、64、76、88或96位,区分大小写,例如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
· simple key:设置明文密钥,且密钥将以明文显示。其中,key为长度不大于64位的明文密钥,区分大小写,例如aabbcc。
· 在不指定cipher和simple的情况下,key为长度不大于64位的明文密钥,区分大小写,且将以密文显示。
probe:开启主RADIUS计费服务器状态的探测功能。
username name:设置探测主RADIUS计费服务器状态时认证报文中使用的用户名。
interval interval:设置探测主RADIUS计费服务器的周期,缺省为10分钟,取值范围为1~3600,单位为分。
【描述】
primary accounting命令用来配置主RADIUS计费服务器。undo primary accounting命令用来删除设置的主RADIUS计费服务器。
缺省情况下,未配置主计费服务器。
需要注意的是:
· 主计费服务器和从计费服务器的IP地址不能相同,且IP地址协议版本必须一致。
· 本命令配置的计费报文的共享密钥与RADIUS服务器上配置的共享密钥必须一致。设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting [ cipher | simple ] string命令设置的共享密钥。
· 计费服务器与认证/授权服务器的IP地址协议版本必须一致。
· 如果在发送计费开始请求过程中修改了主计费服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。
· 如果在线用户正在使用的计费服务器被删除,则设备将将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
· 开启了计费服务器的探测功能后,设备将在一个探测周期内随机发送一个模拟的计费请求报文,用户名为配置的探测用户名。若在该探测周期内,设备发送了真实用户的计费请求,且整个周期内未收到任何计费请求回应报文,则认为计费服务器不可达,并生成告警信息;若连续三个探测周期内,设备没有发送任何真实用户的计费请求,且没有收到任何计费请求回应报文,则认为计费服务器不可达,并生成告警信息。在服务器状态不可达期间,如果设备收到计费回应报文,则立即生成服务器状态可达的告警,并重新启动一个探测周期。
· 使能了探测功能后,timer quiet定时器将不生效。
相关配置可参考命令key。
【举例】
# 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为密文IT8Q4sHnitM=,且将以密文显示。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key cipher IT8Q4sHnitM=
# 设置RADIUS方案radius1的主计费服务器状态探测的用户名为test,探测周期为120分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 probe username test interval 120
【命令】
primary authentication { ip-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *
undo primary authentication
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:主RADIUS认证/授权服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS认证/授权服务器的IPv6地址。
port-number:主RADIUS认证/授权服务器的UDP端口号,缺省为1812,取值范围为1~65535。此端口号必须与服务器提供认证/授权服务的端口号保持一致。
key [ cipher | simple ] key:与主RADIUS认证/授权服务器交互的认证/授权报文的共享密钥。
· cipher key:设置密文密钥,且密钥将以密文显示。其中,key为特定长度的密文密钥,长度取值可为12、24、32、44、64、76、88或96位,区分大小写,例如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
· simple key:设置明文密钥,且密钥将以明文显示。其中,key为长度不大于64位的明文密钥,区分大小写,例如aabbcc。
· 在不指定cipher和simple的情况下,key为长度不大于64位的明文密钥,区分大小写,且将以密文显示。
Probe: 开启主RADIUS认证/授权服务器状态的探测功能。
username name:设置探测主RADIUS认证/授权服务器状态时认证报文中使用的用户名。
interval interval:设置探测主RADIUS认证/授权服务器的周期,缺省为10分钟,取值范围为1~3600,单位为分。
【描述】
primary authentication命令用来配置主RADIUS认证/授权服务器。undo primary authentication命令用来删除设置的主RADIUS认证/授权服务器。
缺省情况下,未配置主认证/授权服务器。
需要注意的是:
· 本命令配置的认证/授权报文的共享密钥与RADIUS服务器上配置的共享密钥必须一致。设备与主认证/授权服务器通信时优先使用本命令设置的共享密钥,如果本命令中未设置,则使用命令key authenticaiton [ cipher | simple ] string命令设置的共享密钥。
· 主认证/授权服务器和从认证/授权服务器的IP地址不能相同,且IP地址协议版本必须一致。
· 认证/授权服务器与计费服务器的IP地址协议版本必须一致。
· 如果在认证过程中使用本命令删除了主认证服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。
· 开启了认证服务器的探测功能后,设备将在一个探测周期内随机发送一个模拟的认证请求报文,用户名为配置的探测用户名。若在该探测周期内,设备发送了真实用户的认证请求,且整个周期内未收到任何认证请求回应报文,则认为认证服务器不可达,并生成告警信息;若连续三个探测周期内,设备没有发送任何真实用户的认证请求,且没有收到任何认证请求回应报文,则认为认证服务器不可达,并生成告警信息。在服务器状态不可达期间,如果设备收到认证回应报文,则立即生成服务器状态可达的告警,并重新启动一个探测周期。
· 使能了探测功能后,timer quiet定时器将不生效。
相关配置可参考命令key。
【举例】
# 设置RADIUS方案radius1的主认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务,认证/授权报文的共享密钥为明文hello,且将以密文显示。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key hello
# 设置RADIUS方案radius1的主认证服务器状态探测的用户名为test,探测周期为120分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 probe username test interval 120
【命令】
radius client enable
undo radius client
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
radius client enable命令用来使能RADIUS客户端的监听端口,使能后的端口可以接收和发送RADIUS报文。undo radius client命令用来关闭RADIUS客户端的监听端口。
缺省情况下,监听端口处于使能状态。
需要注意的是,关闭RADIUS客户端的监听端口后:
· 在线用户的计费结束报文无法发出,也不能被缓存下来尝试继续发送。RADIUS服务器因为收不到在线用户的下线报文,会出现有一段时间用户已经下线,但RADIUS服务器上还有此用户的情况。另外,已缓存的计费报文会发送失败,如果发送失败的次数达到配置的最大次数后,仍然没有收到响应,计费报文将从缓存中被删除。计费报文的发送失败,都会直接影响用户计费信息的准确性。
· 如果配置了本地认证/授权/计费作为备份方法,则RADIUS请求失败后会转由设备本地继续认证/授权/计费,其中本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
【举例】
# 使能RADIUS客户端的监听端口。
<Sysname> system-view
[Sysname] radius client enable
【命令】
radius log packet
undo radius log packet
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
radius log packet命令用来打开RADIUS报文信息的日志开关。undo radius log packet令用来关闭RADIUS报文信息的日志开关。
缺省情况下,RADIUS报文信息的日志开关处于关闭状态。
【举例】
# 打开RADIUS报文信息的日志开关。
<Sysname> system-view
[Sysname] radius log packet
【命令】
radius nas-backup-ip ip-address
undo radius nas-backup-ip
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address:指定的备份源IP地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址,且必须指定为双机热备环境中对端设备上发送RADIUS报文的源IP地址。
【描述】
radius nas-backup-ip命令用来设置设备发送RADIUS报文使用的备份源IP地址。undo radius nas-backup-ip命令用来恢复缺省情况。
缺省情况下,未指定设备发送RADIUS报文使用的备份源IP地址。
需要注意的是:
· 设置发送RADIUS报文使用的备份源IP地址,可以保证双机热备环境中主设备发生故障时,服务器发送的报文可以被备份设备收到并进行处理。
· 系统最多允许指定1个公网备份源地址和15个私网备份源地址。新配置的公网备份源地址会覆盖原有的公网备份源地址。
· RADIUS方案视图下的命令nas-backup-ip只对本RADIUS方案有效,系统视图下的命令radius nas-backup-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
相关配置可参考命令nas-backup-ip。
radius nas-backup-ip的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。
【举例】
# 在双机热备的组网环境中,设置本端设备发送RADIUS报文使用的源IP地址为2.2.2.2,备份源IP为3.3.3.3。
<Sysname> system-view
[Sysname] radius nas-ip 2.2.2.2
[Sysname] radius nas-backup-ip 3.3.3.3
在对端设备上,应该设置设备发送RADIUS报文使用的源IP地址为3.3.3.3,备份源IP为2.2.2.2。
【命令】
radius nas-ip { ip-address | ipv6 ipv6-address }
undo radius nas-ip { ip-address | ipv6 ipv6-address }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【描述】
radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。undo radius nas-ip命令用来删除指定的源地址。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
· 系统最多允许指定1个公网源地址和15个私网源地址。新配置的公网源地址会覆盖原有的公网源地址。
· RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
· RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
相关配置可参考命令nas-ip。
【举例】
# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
radius scheme命令用来创建RADIUS方案并进入其视图。undo radius scheme命令用来删除指定的RADIUS方案。
缺省情况下,未定义RADIUS方案。
需要注意的是:
· 一个RADIUS方案可以同时被多个ISP域引用。
· 不允许使用undo radius scheme命令删除被ISP域引用的RADIUS方案。
相关配置可参考命令display radius scheme。
【举例】
# 创建名为radius1的RADIUS方案并进入其视图。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【命令】
radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }
undo radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
accounting-server-down:表示RADIUS计费服务器可达状态改变时发送Trap信息。
authentication-error-threshold:表示认证失败次数超过阈值时发送Trap信息。该阈值为认证失败次数占认证请求总数的百分比数值,目前仅能通过MIB方式配置,取值范围为1~100,缺省为30。
authentication-server-down:表示RADIUS认证服务器可达状态改变时发送Trap信息。
【描述】
radius trap命令用来使能RADIUS Trap功能。undo radius trap命令用来关闭指定的RADIUS Trap功能。
缺省情况下,RADIUS Trap功能处于关闭状态。
使能RADIUS服务器可达状态改变时的Trap功能后,Trap信息的发送包括以下两种情况:
· 当NAS向RADIUS服务器发送计费或认证请求没有响应时,会重传请求,当重传次数达到最大传送次数时仍然没有响应时,NAS认为该服务器不可达,并发送Trap信息。
· 当NAS收到处于不可达状态的RADIUS服务器发送的报文时,则认为该服务器可达,并发送一次Trap报文。
使能认证失败次数超过阈值时的Trap功能后,当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,系统会发送一次Trap报文。
【举例】
# 使能RADIUS计费服务器可达状态改变时的 Trap功能。
<Sysname> system-view
[Sysname] radius trap accounting-server-down
【命令】
reset radius statistics
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
无
【描述】
reset radius statistics命令用来清除RADIUS协议的统计信息。
相关配置请参考命令display radius statistics。
【举例】
# 清除RADIUS协议的统计信息。
<Sysname> reset radius statistics
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
radius-scheme radius-scheme-name:根据指定RADIUS方案清除缓存的停止计费响应报文。其中,radius-scheme-name为RAIUDS方案名,为1~32个字符的字符串。
session-id session-id:根据指定会话ID清除缓存的停止计费响应报文。其中,session-id为会话ID,为1~50个字符的字符串。
time-range start-time stop-time:根据指定停止计费请求时刻的起始和结束时间清除缓存的停止计费响应报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:根据指定用户名清除缓存的停止计费响应报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。
【描述】
reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable和display stop-accounting-buffer。
【举例】
# 清除用户user0001@test缓存在系统中的停止计费请求报文。
<Sysname> reset stop-accounting-buffer user-name user0001@test
# 清除从2010年8月31日0点0分0秒到2010年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<Sysname> reset stop-accounting-buffer time-range 0:0:0-08/31/2010 23:59:59-08/31/2010
【命令】
retry retry-times
undo retry
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
retry-times:发送RAIUDS报文的最大尝试次数,取值范围为1~20。
【描述】
retry命令用来设置发送RADIUS报文的最大尝试次数,即由于某RADIUS服务器未响应或未及时响应设备发送的RAIUDS报文,设备尝试向该服务器发送RADIUS报文的最大次数。undo retry命令用来恢复缺省情况。
缺省情况下,发送RADIUS报文的最大尝试次数为3次。
需要注意的是:
· 由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败。
· 发送RADIUS报文的最大尝试次数与RADIUS服务器应答超时时间的乘积不能超过75秒。
相关配置可参考命令radius scheme和timer response-timeout。
【举例】
# 设置在RADIUS方案radius1下,发送RAIUDS报文的最大尝试次数为5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【命令】
retry realtime-accounting retry-times
undo retry realtime-accounting
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
retry-times:允许实时计费请求无响应的最大次数,取值范围为1~255。
【描述】
retry realtime-accounting命令用来设置允许实时计费请求无响应的最大次数。undo retry realtime-accounting命令用来恢复缺省情况。
缺省情况下,设备最多允许5次实时计费请求无响应,之后将切断用户连接。
RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,尽量保持设备端与RADIUS服务器同步切断用户连接。设备提供对实时计费请求连续无响应次数限制的设置,保证在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备才会切断用户连接。
假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费无响应的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。
相关配置可参考命令retry、retry realtime-accounting、timer response-timeout和timer realtime-accounting。
【举例】
# 设置RADIUS方案radius1最多允许10次实时计费请求无响应。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
retry-times:允许停止计费请求无响应的最大次数,取值范围为10~65535。
【描述】
retry stop-accounting命令用来设置发起停止计费请求的最大尝试次数。undo retry stop-accounting命令用来恢复缺省情况。
缺省情况下,发起停止计费请求的最大尝试次数为500。
假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为5,设备允许的停止计费请求无响应的最大次数为20次(retry stop-accounting命令设置),则其含义为:设备发起停止计费请求,如果3秒钟内得不到回应就重新发起一次请求,如果尝试5次都没有得到回应就认为该次停止计费请求失败,设备会将其缓存在本机上,然后再发起一次请求,重复上述过程,20次尝试均失败以后,设备将其丢弃。
相关配置可参考命令retry、retry stop-accounting、timer response-timeout和display stop-accounting-buffer。
【举例】
# 在RADIUS方案radius1中,设置设备最多可以尝试向该方案中的服务器发起1000次停止计费请求。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry stop-accounting 1000
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *
undo secondary accounting [ ipv4-address | ipv6 ipv6-address ]
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ipv4-address:从RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。
port-number:从RADIUS计费服务器的UDP端口号,缺省为1813,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。
key [ cipher | simple ] key:与从RADIUS计费服务器交互的计费报文的共享密钥。
· cipher key:设置密文密钥,且密钥将以密文显示。其中,key为特定长度的密文密钥,长度取值可为12、24、32、44、64、76、88或96位,区分大小写,例如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
· simple key:设置明文密钥,且密钥将以明文显示。其中,key为长度不大于64位的明文密钥,区分大小写,例如aabbcc。
· 在不指定cipher和simple的情况下,key为长度不大于64位的明文密钥,区分大小写,且将以密文显示。
probe:开启从RADIUS计费服务器状态的探测功能。
username name:设置探测从RADIUS计费服务器状态时认证报文中使用的用户名。
interval interval:设置探测从RADIUS计费服务器的周期,缺省为10分钟,取值范围为1~3600,单位为分。
【描述】
secondary accounting命令用来配置从RADIUS计费服务器。undo secondary accounting命令用来删除指定的从RADIUS计费服务器。
缺省情况下,未配置从计费服务器。
需要注意的是:
· 可通过多次执行本命令,配置多个从RADIUS计费服务器,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。
· 从RADIUS计费服务器的IP地址协议版本与主RADIUS计费服务器必须一致,并且各从RADIUS计费服务器的IP地址协议版本也必须一致。
· 主计费服务器和从计费服务器的IP地址不能相同,并且各从计费服务器的IP地址也不能相同。
· 本命令配置的计费报文的共享密钥与RADIUS服务器上配置的共享密钥必须一致。设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting [ cipher | simple ] string命令设置的共享密钥。
· 计费服务器与认证服务器的IP地址协议版本必须一致。
· 如果在发送计费开始请求过程中删除了从服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。
· 如果在线用户正在使用的计费服务器被删除,则设备将将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
· 开启了计费服务器的探测功能后,设备将在一个探测周期内随机发送一个模拟的计费请求报文,用户名为配置的探测用户名。若在该探测周期内,设备发送了真实用户的计费请求,且整个周期内未收到任何计费请求回应报文,则认为计费服务器不可达,并生成告警信息;若连续三个探测周期内,设备没有发送任何真实用户的计费请求,且没有收到任何计费请求回应报文,则认为计费服务器不可达,并生成告警信息。在服务器状态不可达期间,如果设备收到计费回应报文,则立即生成服务器状态可达的告警,并重新启动一个探测周期。
· 使能了探测功能后,timer quiet定时器将不生效。
相关配置可参考命令key和state。
【举例】
# 设置RADIUS方案radius1的从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为密文IT8Q4sHnitM=,且将以密文显示。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813 key cipher IT8Q4sHnitM=
# 设置RADIUS方案radius2的从计费服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文hello,且将以密文显示。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813 key hello
[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813 key hello
# 设置RADIUS方案radius1的从计费服务器状态探测的用户名为test,探测周期为120分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]secondary accounting 10.110.1.1 probe username test interval 120
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *
undo secondary authentication [ ipv4-address | ipv6 ipv6-address ]
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ipv4-address:从RADIUS认证/授权服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS认证/授权服务器的IPv6地址。
port-number:从RADIUS认证/授权服务器的UDP端口号,缺省为1812,取值范围为1~65535。此端口号必须与服务器提供认证/授权服务的端口号保持一致。
key [ cipher | simple ] key:从RADIUS认证/授权服务器的认证/授权报文的共享密钥。
· cipher key:设置密文密钥,且密钥将以密文显示。其中,key为特定长度的密文密钥,长度取值可为12、24、32、44、64、76、88或96位,区分大小写,例如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
· simple key:设置明文密钥,且密钥将以明文显示。其中,key为长度不大于64位的明文密钥,区分大小写,例如aabbcc。
· 在不指定cipher和simple的情况下,key为长度不大于64位的明文密钥,区分大小写,且将以密文显示。
probe:开启从RADIUS认证/授权服务器状态的探测功能。
username name:设置探测从RADIUS认证/授权服务器状态时认证报文中使用的用户名。
interval interval:设置探测从RADIUS认证/授权服务器的周期,缺省为10分钟,取值范围为1~3600,单位为分。
【描述】
secondary authentication命令用来配置从RADIUS认证/授权服务器。undo secondary authentication命令用来删除指定的从RADIUS认证/授权服务器。
缺省情况下,未配置从认证/授权服务器。
需要注意的是:
· 可通过多次执行本命令,配置多个从RADIUS认证/授权服务器,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。
· 主认证/授权服务器和从认证/授权服务器的IP地址协议版本必须一致,并且各从RADIUS认证/授权服务器的IP地址协议版本也必须一致。
· 主认证/授权服务器和从认证/授权服务器的IP地址不能相同,并且各从认证服务器的IP地址不能相同。
· 认证/授权服务器与计费服务器的IP地址协议版本必须一致。
· 本命令配置的认证/授权报文的共享密钥与RADIUS服务器上配置的共享密钥必须一致。设备与从认证/授权服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authentication [ cipher | simple ] string命令设置的共享密钥。
· 如果在认证过程中使用本命令删除了从认证服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。
· 开启了认证服务器的探测功能后,设备将在一个探测周期内随机发送一个模拟的认证请求报文,用户名为配置的探测用户名。若在该探测周期内,设备发送了真实用户的认证请求,且整个周期内未收到任何认证请求回应报文,则认为认证服务器不可达,并生成告警信息;若连续三个探测周期内,设备没有发送任何真实用户的认证请求,且没有收到任何认证请求回应报文,则认为认证服务器不可达,并生成告警信息。在服务器状态不可达期间,如果设备收到认证回应报文,则立即生成服务器状态可达的告警,并重新启动一个探测周期。
· 使能了探测功能后, timer quiet定时器不生效。
相关配置可参考命令key、radius scheme和state 。
【举例
# 设置RADIUS方案radius1的从认证/授权服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务,认证/授权报文的共享密钥为密文IT8Q4sHnitM=,且将以密文显示。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812 key cipher IT8Q4sHnitM=
# 设置RADIUS方案radius2的从认证/授权服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1812提供RADIUS认证/授权服务,认证/授权报文的共享密钥为明文hello,且将以明文显示。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812 key simple hello
[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812 key simple hello
# 设置RADIUS方案radius1的从认证服务器状态探测的用户名为test,探测周期为120分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]secondary authentication 10.110.1.1 probe username test interval 120
【命令】
security-policy-server ip-address
undo security-policy-server { ip-address | all }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:安全策略服务器IP地址。
all:所有安全策略服务器。
【描述】
security-policy-server命令用来指定安全策略服务器。undo security-policy-server命令用来删除指定的安全策略服务器。
缺省情况下,未指定安全策略服务器。
需要注意的是:
· 一个RADIUS方案中最多可以指定8个安全策略服务器。
· 只有当该RADIUS方案没有被用户使用时,才能改变此配置。
【举例】
# 指定RADIUS方案radius1的安全策略服务器IP地址为10.110.1.2。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] security-policy-server 10.110.1.2
【命令】
server-type { extended | standard }
undo server-type
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
extended:指定extended类型的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。
standard:指定standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互。
【描述】
server-type命令用来配置设备支持的RADIUS服务器类型。undo server-type命令用来恢复缺省情况。
缺省情况下,设备支持的RADIUS服务器类型为standard。
【举例】
# 将RADIUS方案radius1的RADIUS服务器类型设置为standard。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-type standard
【命令】
state primary { accounting | authentication } { active | block }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
accounting:设置主RADIUS计费服务器的状态。
authentication:设置主RADIUS认证/授权服务器的状态。
active:设置主RADIUS服务器的状态为active,即处于正常工作状态。
block:设置主RADIUS服务器的状态为block,即处于通信中断状态。
【描述】
state primary命令用来设置主RADIUS服务器的状态。
缺省情况下,RADIUS方案中配置了IP地址的主RADIUS服务器状态为active。
需要注意的是:
· 每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态置为block,同时启动主服务器的timer quiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器进行通信。在timer quiet定时器设定的时间到达之后,主服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。
· 如果主服务器与所有从服务器状态都是block,则默认使用主服务器进行认证或计费。
相关配置可参考命令display radius scheme和state secondary。
【举例】
# 将RADIUS方案radius1的主认证服务器的状态设置为block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state primary authentication block
【命令】
state secondary { accounting | authentication } [ ip ipv4-address | ipv6 ipv6-address ] { active | block }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
accounting:设置从RADIUS计费服务器的状态。
authentication:设置从RADIUS认证/授权服务器的状态。
ip ipv4-address:指定从RADIUS服务器的IPv4地址。
ipv6 ipv6-address:指定从RADIUS服务器的IPv6地址。
active:设置从RADIUS服务器的状态为active,即处于正常工作状态。
block:设置从RADIUS服务器的状态为block,即处于通信中断状态。
【描述】
state secondary命令用来设置从RADIUS服务器的状态。
缺省情况下,RADIUS方案中配置了IP地址的各从RADIUS服务器状态为active。
需要注意的是:
· 如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从认证/授权服务器或从计费服务器的状态。
· 如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timer quiet定时器,并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后,从服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达,则本次认证或计费失败。
相关配置可参考命令display radius和state primary。
【举例】
# 将RADIUS方案radius1的从认证服务器的状态设置为block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication block
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到RADIUS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。但在计费服务器已被删除的情况下,停止计费报文不会被缓存。
相关配置可参考命令reset stop-accounting-buffer和display stop-accounting-buffer。
【举例】
# 指示设备能够缓存没有得到响应的停止计费请求报文。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
minutes:恢复激活状态的时间,取值范围为0~255,单位为分钟。当该参数取值为0时,若当前用户使用的认证或计费服务器不可达,则设备并不会切换它的状态,而是保持其为active,并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器,而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理。
【描述】
timer quiet命令用来设置服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。
缺省情况下,服务器恢复激活状态的时间为5分钟。
本命令除了可以调节服务器恢复激活状态的时间之外,还可以控制是否对不可达服务器进行状态切换。例如,若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将服务器的恢复激活时间置为0,使得用户尽可能得集中在主服务器上进行认证和计费。
建议根据配置的从服务器数量合理设置服务器恢复激活状态的时间。如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。
相关配置可参考命令display radius scheme。
【举例】
# 设置服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
minutes:实时计费的时间间隔,取值范围为0~60,非零取值必须为3的倍数,单位为分钟。0表示设备不向RADIUS服务器发送在线用户的计费信息。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。
缺省情况下,实时计费的时间间隔为12分钟。
需要注意的是:
· 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。
· 当实时计费间隔设置为0时,如果服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息。
· 实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求,取值小,会增加网络中的数据流量,对设备和RADIUS服务器的性能要求就高;取值大,会影响计费的准确性。因此要结合网络的实际情况合理设置计费间隔的大小,一般情况下,建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
相关配置可参考命令retry realtime-accounting 。
【举例】
# 将RADIUS方案radius1的实时计费的时间间隔设置为51分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒。
【描述】
timer response-timeout命令用来设置RADIUS服务器响应超时时间。undo timer response-timeout命令用来恢复缺省情况。
缺省情况下,RADIUS服务器响应超时时间为3秒。
如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,本命令用于调整这个时长。
需要注意的是,发送RADIUS报文的最大尝试次数与RADIUS服务器响应超时时间的乘积不能超过75秒。
相关配置可参考命令retry和timer response-timeout。
【举例】
# 将RADIUS方案radius1的响应超时定时器设置为5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【命令】
user-name-format { keep-original | with-domain | without-domain }
【视图】
RADIUS方案视图
【缺省级别】
2:系统级
【参数】
keep-original:发送给RADIUS服务器的用户名与用户输入的保持一致。
with-domain:发送给RADIUS服务器的用户名带ISP域名。
without-domain:发送给RADIUS服务器的用户名不带ISP域名。
【描述】
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
缺省情况下,RADIUS方案发送给RADIUS服务器的用户名携带有ISP域名。
需要注意的是:
· 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
· 如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
· 在802.1X用户采用EAP认证方式的情况下,RADIUS方案中配置的user-name-format命令无效,客户端传送给RADIUS服务器的用户名不会有改动。
· 无线用户漫游时,建议配置参数keep-original,否则可能引起认证失败。
相关配置可参考命令radius scheme。
【举例】
# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【描述】
data-flow-format命令用来配置发送到HWTACACS服务器的数据流的单位。undo data-flow-format命令用来恢复缺省情况。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
需要注意的是,设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费。
相关配置可参考命令display hwtacacs。
【举例】
# 在HWTACACS方案radius1中,设置发往HWTACACS服务器的数据流的数据单位为kilo-byte、数据包的单位为kilo-packet。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display hwtacacs [ hwtacacs-scheme-name [ statistics ] ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme-name:指定HWTACACS方案名。
statistics:显示HWTACACS服务器的统计信息。不指定该参数,则显示HWTACACS方案的配置信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display hwtacacs命令用来查看HWTACACS方案的配置信息或统计信息。
需要注意的是:
· 如果不指定HWTACACS方案名,则显示所有HWTACACS方案的配置信息。
· 如果不指定单板所在槽位号,则显示主控板上HWTACACS方案的配置信息。
· 如果不指定成员编号,则显示所有成员设备上HWTACACS方案的配置信息。
相关配置请参考命令hwtacacs scheme。
【举例】
# 查看HWTACACS方案gy的配置情况。
--------------------------------------------------------------------
HWTACACS-server template name : gy
Primary-authentication-server : 172.31.1.11:49
Primary-authorization-server : 172.31.1.11:49
Primary-accounting-server : 172.31.1.11:49
Secondary-authentication-server : 0.0.0.0:0
Secondary-authorization-server : 0.0.0.0:0
Secondary-accounting-server : 0.0.0.0:0
Current-authentication-server : 172.31.1.11:49
Current-authorization-server : 172.31.1.11:49
Current-accounting-server : 172.31.1.11:49
NAS-IP-address : 0.0.0.0
key authentication : 790131
key authorization : 790131
key accounting : 790131
Quiet-interval(min) : 5
Realtime-accounting-interval(min) : 12
Response-timeout-interval(sec) : 5
Acct-stop-PKT retransmit times : 100
Username format : with-domain
Data traffic-unit : B
Packet traffic-unit : one-packet
--------------------------------------------------------------------
表1-8 display hwtacacs命令显示信息描述表
|
字段 |
描述 |
|
HWTACACS-server template name |
HWTACACS服务器方案名 |
|
Primary-authentication-server |
主认证服务器IP地址/接入端口号 未配置主认证服务器时,IP地址/接入端口号显示为0.0.0.0:0。下面各服务器同理显示 |
|
Primary-authorization-server |
主授权服务器IP地址/接入端口号 |
|
Primary-accounting-server |
主计费服务器IP地址/接入端口号 |
|
Secondary-authentication-server |
从认证服务器IP地址/接入端口号 |
|
Secondary-authorization-server |
从授权服务器IP地址/接入端口号 |
|
Secondary-accounting-server |
从计费服务器IP地址/接入端口号 |
|
Current-authentication-server |
当前认证服务器IP地址/接入端口号 |
|
Current-authorization-server |
当前授权服务器IP地址/接入端口号 |
|
Current-accounting-server |
当前计费服务器IP地址/接入端口号 |
|
NAS-IP-address |
NAS的IP地址 未指定NAS的IP地址时,此处显示为0.0.0.0 |
|
key authentication |
认证密钥 |
|
key authorization |
授权密钥 |
|
key accounting |
计费密钥 |
|
Quiet-interval |
主服务器恢复激活状态的时间 |
|
Realtime-accounting-interval |
实时计费间隔 |
|
Response-timeout-interval |
服务器响应超时间隔 |
|
Acct-stop-PKT retransmit times |
停止计费报文的重传次数 |
|
Username format |
发送给HWTACACS服务器的用户名格式 |
|
Data traffic-unit |
数据流量单位 |
|
Packet traffic-unit |
包流量单位 |
# 查看HWTACACS方案gy中各服务器的统计信息。
<Sysname> display hwtacacs gy statistics
---[HWTACACS template gy primary authentication]---
HWTACACS server open number: 10
HWTACACS server close number: 10
HWTACACS authen client access request packet number: 10
HWTACACS authen client access response packet number: 6
HWTACACS authen client unknown type number: 0
HWTACACS authen client timeout number: 4
HWTACACS authen client packet dropped number: 4
HWTACACS authen client access request change password number: 0
HWTACACS authen client access request login number: 5
HWTACACS authen client access request send authentication number: 0
HWTACACS authen client access request send password number: 0
HWTACACS authen client access connect abort number: 0
HWTACACS authen client access connect packet number: 5
HWTACACS authen client access response error number: 0
HWTACACS authen client access response failure number: 0
HWTACACS authen client access response follow number: 0
HWTACACS authen client access response getdata number: 0
HWTACACS authen client access response getpassword number: 5
HWTACACS authen client access response getuser number: 0
HWTACACS authen client access response pass number: 1
HWTACACS authen client access response restart number: 0
HWTACACS authen client malformed access response number: 0
HWTACACS authen client round trip time(s): 5
---[HWTACACS template gy primary authorization]---
HWTACACS server open number: 1
HWTACACS server close number: 1
HWTACACS author client request packet number: 1
HWTACACS author client response packet number: 1
HWTACACS author client timeout number: 0
HWTACACS author client packet dropped number: 0
HWTACACS author client unknown type number: 0
HWTACACS author client request EXEC number: 1
HWTACACS author client request PPP number: 0
HWTACACS author client request VPDN number: 0
HWTACACS author client response error number: 0
HWTACACS author client response EXEC number: 1
HWTACACS author client response PPP number: 0
HWTACACS author client response VPDN number: 0
HWTACACS author client round trip time(s): 3
---[HWTACACS template gy primary accounting]---
HWTACACS server open number: 0
HWTACACS server close number: 0
HWTACACS account client request packet number: 0
HWTACACS account client response packet number: 0
HWTACACS account client unknown type number: 0
HWTACACS account client timeout number: 0
HWTACACS account client packet dropped number: 0
HWTACACS account client request command level number: 0
HWTACACS account client request connection number: 0
HWTACACS account client request EXEC number: 0
HWTACACS account client request network number: 0
HWTACACS account client request system event number: 0
HWTACACS account client request update number: 0
HWTACACS account client response error number: 0
HWTACACS account client round trip time(s): 0
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案显示缓存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。
相关配置可参考命令reset stop-accounting-buffer、stop-accounting-buffer enable和retry stop-accounting。
【举例】
# 显示HWTACACS方案hwt1缓存的停止计费请求报文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1
Total 0 record(s) Matched
【命令】
hwtacacs nas-ip ip-address
undo hwtacacs nas-ip ip-address
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
【描述】
hwtacacs nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo hwtacacs nas-ip命令用来删除指定的源地址。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
· HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
· 系统最多允许指定1个公网源地址和15个私网源地址。新配置的公网源地址会覆盖原有的公网源地址。
· HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
相关配置可参考命令nas-ip。
【举例】
# 配置设备发送HWTACACS报文使用的源地址为129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。
【描述】
hwtacacs scheme命令用来创建HWTACACS方案并进入其视图。undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
缺省情况下,没有定义HWTACACS方案。
需要注意的是:
· 一个HWTACACS方案可以同时被多个ISP域引用。
· 不允许使用undo hwtacacs scheme命令删除被ISP域引用的HWTACACS方案。
【举例】
# 创建名为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【命令】
key { accounting | authentication | authorization } key
undo key { accounting | authentication | authorization }
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
accounting:指示HWTACACS计费报文的共享密钥。
authentication:指示HWTACACS认证报文的共享密钥。
authorization:指示HWTACACS授权报文的共享密钥。
key:密钥,为1~64个字符的字符串,区分大小写。
【描述】
key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。undo key命令用来删除配置。
缺省情况下,无共享密钥。
必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。
相关配置可参考命令display hwtacacs。
【举例】
# 配置HWTACACS计费报文共享密钥为hello。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key accounting hello
【命令】
nas-ip ip-address
undo nas-ip
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
【描述】
nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo nas-ip命令用来恢复缺省情况。
缺省情况下,使用系统视图下由命令hwtacacs nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送HWTACACS报文的接口的IP地址。
需要注意的是:
· HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
· 如果重复执行此命令,新配置的源地址会覆盖原有的源地址。
· HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
相关配置可参考命令hwtacacs nas-ip。
【举例】
# 配置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port-number ]
undo primary accounting
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:主HWTACACS计费服务器的IP地址。
port-number:主HWTACACS计费服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。
【描述】
primary accounting命令用来配置主HWTACACS计费服务器。undo primary accounting命令用来删除配置的主HWTACACS计费服务器。
缺省情况下,未配置主计费服务器。
需要注意的是:
· 主计费服务器和从计费服务器的IP地址不能相同。
· 只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49提供HWTACACS计费服务。
<Sysname> system-view
[Sysname] hwtacacs scheme test1
[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49
【命令】
primary authentication ip-address [ port-number ]
undo primary authentication
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:主HWTACACS认证服务器的IP地址。
port-number:主HWTACACS认证服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供认证服务的端口号保持一致。
【描述】
primary authentication命令用来配置主HWTACACS认证服务器。undo primary authentication命令用来删除配置的主HWTACACS认证服务器。
缺省情况下,未配置主认证服务器。
需要注意的是:
· 主认证服务器和从认证服务器的IP地址不能相同。
· 只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS认证服务。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49
【命令】
primary authorization ip-address [ port-number ]
undo primary authorization
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:主HWTACACS授权服务器的IP地址。
port-number:主HWTACACS授权服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供授权服务的端口号保持一致。
【描述】
primary authorization命令用来配置主HWTACACS授权服务器。undo primary authorization命令用来删除配置的主HWTACACS授权服务器。
缺省情况下,未配置主授权服务器。
需要注意的是:
· 主授权服务器和从授权服务器的IP地址不能相同。
· 只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS授权服务。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization }
【视图】
用户视图
【缺省级别】
1:监控级
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
all:清除HWTACACS的所有统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
【描述】
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
相关配置请参考命令display hwtacacs。
【举例】
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案清除缓存的停止计费请求报文。其中,hwtacacs-server-name为HWTACACS方案名,为1~32个字符的字符串。
【描述】
reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable和display stop-accounting-buffer。
【举例】
# 清除HWTACACS方案hwt1缓存在系统中的停止计费请求报文。
<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
retry-times:停止计费请求报文的最大重试次数,取值范围为1~300。
【描述】
retry stop-accounting命令用来设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,发送停止计费请求报文的最大次数。undo retry stop-accounting命令用来恢复缺省情况。
缺省情况下,停止计费请求报文的最大发送次数为100。
相关配置可参考命令reset stop-accounting-buffer和display stop-accounting-buffer。
【举例】
# 在HWTACACS方案hwt1中,设置设备最多可以尝试向该方案中的服务器发送50次停止计费请求报文。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 50
【命令】
secondary accounting ip-address [ port-number ]
undo secondary accounting
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:从HWTACACS计费服务器的IP地址。
port-number:从HWTACACS计费服务器的端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。
【描述】
secondary accounting命令用来配置从HWTACACS计费服务器。undo secondary accounting命令用来删除配置的从HWTACACS计费服务器。
缺省情况下,未配置从计费服务器。
需要注意的是:
· 主计费服务器和从计费服务器的IP地址不能相同。
· 只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49提供HWTACACS计费服务。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49
【命令】
secondary authentication ip-address [ port-number ]
undo secondary authentication
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:从HWTACACS认证服务器的IP地址。
port-number:从HWTACACS认证服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供认证服务的端口号保持一致。
【描述】
secondary authentication命令用来配置从HWTACACS认证服务器。undo secondary authentication命令用来删除配置的从HWTACACS认证服务器。
缺省情况下,未配置从认证服务器。
需要注意的是:
· 主认证服务器和从认证服务器的IP地址不能相同。
· 只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS认证服务。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49
【命令】
secondary authorization ip-address [ port-number ]
undo secondary authorization
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
ip-address:从HWTACACS授权服务器的IP地址。
port-number:从HWTACACS授权服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供授权服务的端口号保持一致。
【描述】
secondary authorization命令用来配置从HWTACACS授权服务器。undo secondary authorization命令用来删除配置的从HWTACACS授权服务器。
缺省情况下,未配置从授权服务器。
需要注意的是:
· 主授权服务器和从授权服务器的IP地址不能相同。
· 只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS授权服务。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer和display stop-accounting-buffer。
【举例】
# 指示对于HWTACACS方案hwt1中的服务器,设备能够缓存没有得到响应的停止计费请求报文。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【描述】
timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。
缺省情况下,主服务器恢复激活状态的时间为5分钟。
相关配置可参考命令display hwtacacs。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
minutes:实时计费的时间间隔,取值范围为0~60,非零取值必须为3的倍数,单位为分钟。0表示设备不向HWTACACS服务器发送在线用户的计费信息。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。
缺省情况下,实时计费的时间间隔为12分钟。
需要注意的是:
· 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。
· 实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求,取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
【举例】
# 将HWTACACS方案hwt1的实时计费的时间间隔设置为51分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒。
【描述】
timer response-timeout命令用来设置HWTACACS服务器响应超时时间。undo timer response-timeout命令用来恢复缺省情况。
缺省情况下,HWTACACS服务器响应超时时间为5秒。
需要注意的是,由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
相关配置可参考命令display hwtacacs。
【举例】
# 配置TACACS服务器响应超时时间为30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【命令】
user-name-format { keep-original | with-domain | without-domain }
【视图】
HWTACACS方案视图
【缺省级别】
2:系统级
【参数】
keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。
with-domain:发送给HWTACACS服务器的用户名带ISP域名。
without-domain:发送给HWTACACS服务器的用户名不带ISP域名。
【描述】
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
缺省情况下,HWTACACS方案默认发送给HWTACACS服务器的用户名携带有ISP域名。
需要注意的是:
· 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
· 如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
· 无线用户漫游时,建议配置参数keep-original,否则可能引起认证失败。
【举例】
# 指定发送给HWTACACS方案hwt1的用户不带ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
【命令】
authentication-server ip-address [ port-number ]
undo authentication-server
【视图】
LDAP方案视图
【缺省级别】
2:系统级
【参数】
ip-address:LDAP认证服务器的IP地址。
port-number:LDAP认证服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。
【描述】
authentication-server命令用来配置LDAP认证服务器。undo authentication-server命令用来删除配置的LDAP认证服务器。
缺省情况下,未配置LDAP认证服务器。
需要注意的是:
· 需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
· 更改后的认证服务器IP地址和端口号,只对更改之后的LDAP认证生效。
相关配置可参考命令display ldap scheme。
【举例】
# 配置LDAP认证服务器的IP地址为192.168.0.10,端口号为4300。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authentication-server 192.168.0.10 4300
【命令】
authorization-server ip-address [ port-number ]
undo authorization-server
【视图】
LDAP方案视图
【缺省级别】
2:系统级
【参数】
ip-address:LDAP授权服务器的IP地址。
port-number:LDAP授权服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。
【描述】
authorization-server命令用来配置LDAP授权服务器。undo authorization-server命令用来删除配置的LDAP授权服务器。
缺省情况下,未配置LDAP授权服务器。
需要注意的是:
· 需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
· 更改后的授权服务器IP地址和端口号,只对更改之后的LDAP授权生效。
相关配置可参考命令display ldap scheme。
【举例】
# 配置LDAP授权服务器的IP地址为192.168.0.10,端口号为4300。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authorization-server 192.168.0.10 4300
【命令】
display ldap scheme [ scheme-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
2:系统级
【参数】
scheme-name:指定LDAP方案名。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ldap scheme命令用来查看LDAP方案的配置信息。
需要注意的是:如果不指定LDAP方案名,则显示所有LDAP方案的配置信息。
相关配置请参考命令ldap scheme。
【举例】
# 查看LDAP方案的配置信息。
<Sysname> display ldap scheme
------------------------------------------------------------------
Scheme name = default
Index = 0
Authentication IP = 1.1.1.1 Port = 390
Authorization IP = 0.0.0.0 Port = 389
LDAP protocol version : LDAPv3
LDAP server type : Microsoft
Server timeout interval : 10 (seconds)
Login account DN : (not configured)
Login account password : (not configured)
User searching parameters:
Base DN : (not configured)
Search scope : all-level
User object class : (not configured)
Username attribute : cn
Username format : without-domain
User group attribute : (not configured)
Group searching parameters:
Base DN : (not configured)
Search scope : all-level
Group object class : (not configured)
Member attribute : (not configured)
Groupname attribute : cn
------------------------------------------------------------------
Total 1 LDAP scheme(s).
表1-10 display ldap scheme命令显示信息描述表
|
字段 |
描述 |
|
Scheme name |
LDAP方案名称 |
|
Index |
LDAP方案的索引号 |
|
Authentication IP/Port |
认证服务器的IP地址/端口号 未配置认证服务器时,IP地址显示为0.0.0.0,端口号显示为缺省值,下面授权服务器同理显示 |
|
Authorization IP/Port |
授权服务器的IP地址/端口号 |
|
LDAP protocol version |
LDAP协议的版本号(LDAPv2、LDAPv3) |
|
LDAP server type |
LDAP服务器的厂商名称(IBM、Microsoft、Sun) |
|
Server timeout interval |
LDAP服务器连接超时时间(单位为秒) |
|
Login account DN |
管理员用户的DN |
|
Login account password |
管理员用户的密码 |
|
User searching parameters |
用户查询参数 |
|
Base DN |
用户DN查询的起始DN |
|
Search scope |
用户DN查询的范围(all-level:所有子目录查询,single-level:下级目录查询) |
|
User object class |
自定义的用户对象类型 |
|
Username attribute |
自定义的用户名称属性 |
|
Username format |
用户名格式(with-domain:用户名带域名,without-domain:用户名不带域名) |
|
User group attribute |
用户所在组在服务器上的属性类型 |
|
Group searching parameters |
用户组查询参数 |
|
Base DN |
查询用户组时使用的起始DN |
|
Search scope |
用户组查询的范围 |
|
Group object class |
自定义的待查询组的对象类型 |
|
Member attribute |
自定义的用户组中成员的属性类型 |
|
Groupname attribute |
待查询的用户组名称的属性类型 |
|
Total 1 LDAP scheme(s) |
总共有1个LDAP方案 |
【命令】
group-parameters { group-name-attribute { name-attribute | cn | uid } | group-object-class object-class-name | member-name-attribute attribute-name | search-base-dn base-dn | search-scope { all-level | single-level } }
undo group-parameters { group-name-attribute | group-object-class | member-name-attribute | search-base-dn | search-scope }
【视图】
LDAP方案视图
【缺省级别】
2:系统级
【参数】
group-name-attribute { name-attribute | cn | uid }:表示查询用户组时需要返回的用户组名的属性类型。其中,name-attribute表示自定义的组名的属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户组名称的属性为cn(Common Name),即返回用户组中的cn值;uid表示用户组名称的属性为uid(User ID),即返回用户组中的uid值。
group-object-class object-class-name:表示待查询的组对象类型。其中,object-class-name表示自定义的组对象类型值,为1~64个字符的字符串,不区分大小写。
member-name-attribute attribute-name:表示待查询的用户组中包含的成员的属性类型。其中,attribute-name为组成员属性类型值,为1~64个字符的字符串,不区分大小写。
search-base-dn base-dn:表示在用户组查询中使用的起始DN,其中,base-dn表示起始DN的值,为1~255个字符的字符串,不区分大小写。
search-scope { all-level | single-level }:表示查询用户组的范围。其中,all-level表示在起始DN的所有子目录下进行查询;single-level表示只在起始DN的下一级子目录下进行查询。
【描述】
group-parameters命令用来配置LDAP组属性参数。undo group-parameters命令用来取消各参数的配置。
缺省情况下,未指定search-base-dn;group-name-attribute为cn;search-scope为all-level;未指定自定义group-object-class;未指定自定义member-name-attribute。
需要注意的是:
· 可以通过多次执行本命令,配置多个LDAP组属性参数。
· 对于组对象类型和组成员属性,有些服务器厂商定义了缺省属性值,若厂商未定义缺省值或用户需要使用自定义的值,则可以通过本命令进行配置。
相关配置可参考命令display ldap scheme和login-dn。
【举例】
# 配置查询用户组的范围为只在起始DN的下一级子目录下进行查询。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] group-parameters search-scope single-level
【命令】
ldap scheme ldap-scheme-name
undo ldap scheme ldap-scheme-name
【视图】
系统视图
【缺省级别】
3:管理级
【参数】
ldap-scheme-name:LDAP方案名,为1~32个字符的字符串,不区分大小写。
【描述】
ldap scheme命令用来创建LDAP方案并进入其视图。undo ldap scheme命令用来删除指定的LDAP方案。
缺省情况下,未创建LDAP方案。
需要注意的是:
· LDAP协议的配置是以LDAP方案为单位进行的。每个LDAP方案至少须指明LDAP认证/授权服务器的IP地址以及具有管理员权限的用户DN和用户密码。
· 一个LDAP方案可以同时被多个ISP域引用。
· 不允许使用undo ldap scheme命令删除被ISP域引用的LDAP方案。
相关配置可参考命令display ldap scheme。
【举例】
# 创建名为ldap1的LDAP方案并进入其视图。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1]
【命令】
login-dn dn-string
undo login-dn
【视图】
LDAP方案视图
【缺省级别】
2:系统级
【参数】
dn-string:具有管理员权限的用户DN,是绑定服务器时使用的用户标识名,为1~255个字符的字符串,不区分大小写。
【描述】
login-dn命令用来配置具有管理员权限的用户DN。undo login-dn命令用来删除已配置的具有管理员权限的用户DN。
缺省情况下,未配置具有管理员权限的用户DN。
需要注意的是:
· 设备上的管理员DN必须与服务器上管理员的DN一致。
· 更改后的管理员DN,只对更改之后的LDAP认证、授权生效。
相关配置可参考命令display ldap scheme。
【举例】
# 配置管理员权限的用户DN为uid=test, ou=people, o=example, c=city。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] login-dn uid=test,ou=people,o=example,c=city
【命令】
login-password [ ciper | simple ] password
undo login-password
【视图】
LDAP方案视图
【缺省级别】
2:系统级
【参数】
cipher password:输入password为密文密码,显示为密文密码,字符长度为1~184,区分大小写。
simple password:输入password为明文密码,显示为明文密码,字符长度为1~128,区分大小写。
不加cipher或simple关键字时,输入password为明文密码,但显示为密文密码。
【描述】
login-password命令用来配置LDAP认证中,绑定服务器时所使用的具有管理员权限的用户密码。undo login-password命令用来恢复缺省情况。
缺省情况下,未配置具有管理权限的用户密码。
需要注意的是,该命令只有在配置了login-dn的情况下生效。当未配置login-dn时,该命令不生效。
相关配置可参考命令display ldap scheme和login-dn。
【举例】
# 配置具有管理员权限的用户密码为明文显示的明文密码abcdefg。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] login-password simple abcdefg
# 配置具有管理员权限的用户密码为密文显示的密文密码/tbw94rb4yDN1Ez5vkK1pw==。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] login-password cipher /tbw94rb4yDN1Ez5vkK1pw==
# 配置具有管理员权限的用户密码为密文显示的明文密码abcdefg。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] login-password abcdefg
【命令】
protocol-version { v2 | v3 }
undo protocol-version
【视图】
LDAP方案视图
【缺省级别】
2:系统级
【参数】
v2:表示LDAP协议版本号为LDAPv2。
v3:表示LDAP协议版本号为LDAPv3。
【描述】
protocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号。undo protocol-version命令用来恢复缺省情况。
缺省情况下,LDAP版本号为LDAPv3。
需要注意的是:
· 需保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致。
· 更改后的服务器版本号,只对更改之后的LDAP认证、授权生效。
· Microsoft的LDAP服务器只支持LDAPv3,配置LDAP版本为v2时无效。
相关配置可参考命令display ldap scheme。
【举例】
# 配置LDAP协议版本号为LDAPv2。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] protocol-version v2
【命令】
server-timeout time-interval
undo server-timeout
【视图】
LDAP方案视图
【缺省级别】
2:系统级
【参数】
time-interval:LDAP服务器连接超时时间,取值范围为5~20,单位为秒。
【描述】
server-timeout命令用来配置LDAP服务器连接超时时间,即认证、授权时等待LDAP服务器回应的最大时间。undo server-timeout命令用来恢复缺省情况。
缺省情况下,LDAP服务器连接超时时间为10秒。
需要注意的是,更改后的连接超时时间,只对更改之后的LDAP认证、授权生效。
相关配置可参考命令display ldap scheme。
【举例】
# 配置LDAP服务器连接超时时间为15秒。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-scheme-ldap1] server-timeout 15
【命令】
server-type { ibm | microsoft | sun }
undo server-type
【视图】
LDAP方案视图
【缺省级别】
2:系统级
【参数】
ibm:表示LDAP服务器厂商为IBM。
microsoft:表示LDAP服务器厂商为Microsoft。
sun:表示LDAP服务器厂商为Sun。
【描述】
server-type命令用来配置LDAP服务器厂商类型。undo server-type命令用来恢复缺省情况。
缺省情况下,LDAP服务器类型为Microsoft。
需要注意的是:
· 需保证设备上的LDAP服务器厂商类型与使用的LDAP服务器厂商一致。
· 更改后的服务器厂商类型,只对更改之后的LDAP认证、授权生效。
相关配置可参考命令display ldap scheme。
【举例】
# 配置LDAP服务器类型为IBM。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] server-type ibm
【命令】
user-parameters { search-base-dn base-dn | search-scope { all-level | single-level } | user-group-attribute attribute-name | user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }
undo user-parameters { search-base-dn | search-scope | user-group-attribute | user-name-attribute | user-name-format | user-object-class }
【视图】
LDAP方案视图
【缺省级别】
2:系统级
【参数】
search-base-dn base-dn:表示用户DN查询的起始节点。其中,base-dn表示起始DN的值,为1~255个字符的字符串,不区分大小写。
search-scope { all-level | single-level }:表示用户DN查询的范围。其中,all-level表示在起始DN的所有子目录下进行查询;single-level表示只在起始DN的下一级子目录下进行查询。
user-group-attribute attribute-name:表示在服务器上定义的用户所在组的属性名。其中,attribute-name表示属性名,为1~64个字符的字符串,不区分大小写。
user-name-attribute { name-attribute | cn | uid }:表示用户帐号的属性类型。其中,name-attribute表示属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户帐号的属性为cn(Common Name);uid表示用户帐号的属性为uid(User ID)。
user-name-format { with-domain | without-domain }:表示发送给服务器的用户名格式。其中,with-domain表示发送给服务器的用户名带ISP域名;without-domain表示发送给服务器的用户名不带ISP域名。
user-object-class object-class-name:表示查询用户DN时使用的用户对象类型。其中,object-class-name表示对象类型值,为1~64个字符的字符串,不区分大小写。
【描述】
user-parameters命令用来配置LDAP用户属性参数。undo user-parameters命令用来取消各属性参数的配置。
缺省情况下,未指定search-base-dn;search-scope为all-level;未指定自定义user-group-attribute;user-name-attribute为cn;user-name-format为without-domain;未指定自定义user-object-class。
需要注意的是:
· 可以通过多次执行本命令,配置多个LDAP用户组属性参数。
· 有些LDAP服务器厂商定义了的缺省用户组属性和用户对象类型,则设备上可以不配置该属性。若厂商未定义缺省值或用户需要使用自定义的值,则可以通过本命令进行配置,但要与LDAP服务器上定义的属性值保持一致。各厂商对缺省用户组属性的支持情况不同,只有Microsoft服务器支持(属性名为memberOf)缺省的用户组属性,IBM和Sun服务器的此属性无缺省配置。
· 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,但是在LDAP服务器的目录树上,用户标识(可以是cn、uid等)可以不包含ISP域名。如果服务器上的用户名不含有域名,必须将用户名中携带的域名去除后再传送给LDAP服务器,即配置user-name-format为without-domain。
相关配置可参考命令display ldap scheme。
【举例】
# 配置查询待认证用户的范围为single-level。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] user-parameters search-scope single-level
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
