选择区域语言: EN CN HK

10-安全命令参考

01-AAA命令

本章节下载  (484.69 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_CR-R2420(V1.12)/10/201212/765582_30005_0.htm

01-AAA命令

目  录

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile

1.1.2 access-limit

1.1.3 access-limit enable

1.1.4 accounting command

1.1.5 accounting default

1.1.6 accounting lan-access

1.1.7 accounting login

1.1.8 accounting optional

1.1.9 accounting portal

1.1.10 accounting ppp

1.1.11 accounting ssl-vpn

1.1.12 authentication default

1.1.13 authentication lan-access

1.1.14 authentication login

1.1.15 authentication portal

1.1.16 authentication ppp

1.1.17 authentication ssl-vpn

1.1.18 authentication super

1.1.19 authorization command

1.1.20 authorization default

1.1.21 authorization lan-access

1.1.22 authorization login

1.1.23 authorization portal

1.1.24 authorization ssl-vpn

1.1.25 authorization ppp

1.1.26 authorization-attribute

1.1.27 authorization-attribute user-profile

1.1.28 bind-attribute

1.1.29 cut connection

1.1.30 display connection

1.1.31 display domain

1.1.32 display local-user

1.1.33 display user-group

1.1.34 domain

1.1.35 domain default enable

1.1.36 expiration-date

1.1.37 group

1.1.38 idle-cut enable

1.1.39 ip pool

1.1.40 local-user

1.1.41 local-user password-display-mode

1.1.42 nas-id bind vlan

1.1.43 password

1.1.44 self-service-url enable

1.1.45 service-type

1.1.46 state

1.1.47 user-group

2 RADIUS配置命令

2.1 RADIUS配置命令

2.1.1 accounting-on enable

2.1.2 accounting-on enable interval

2.1.3 accounting-on enable send

2.1.4 attribute 25 car

2.1.5 data-flow-format (RADIUS scheme view)

2.1.6 display radius scheme

2.1.7 display radius statistics

2.1.8 display stop-accounting-buffer

2.1.9 key (RADIUS scheme view)

2.1.10 nas device-id

2.1.11 nas-backup-ip

2.1.12 nas-ip (RADIUS scheme view)

2.1.13 primary accounting (RADIUS scheme view)

2.1.14 primary authentication (RADIUS scheme view)

2.1.15 radius client

2.1.16 radius nas-backup-ip

2.1.17 radius nas-ip

2.1.18 radius scheme

2.1.19 radius trap

2.1.20 reset radius statistics

2.1.21 reset stop-accounting-buffer

2.1.22 retry

2.1.23 retry realtime-accounting

2.1.24 retry stop-accounting (RADIUS scheme view)

2.1.25 secondary accounting (RADIUS scheme view)

2.1.26 secondary authentication (RADIUS scheme view)

2.1.27 security-policy-server

2.1.28 server-type

2.1.29 state

2.1.30 stop-accounting-buffer enable (RADIUS scheme view)

2.1.31 timer quiet (RADIUS scheme view)

2.1.32 timer realtime-accounting (RADIUS scheme view)

2.1.33 timer response-timeout (RADIUS scheme view)

2.1.34 user-name-format (RADIUS scheme view)

2.1.35 vpn-instance (RADIUS scheme view)

3 HWTACACS配置命令

3.1 HWTACACS配置命令

3.1.1 data-flow-format (HWTACACS scheme view)

3.1.2 display hwtacacs

3.1.3 display stop-accounting-buffer

3.1.4 hwtacacs nas-ip

3.1.5 hwtacacs scheme

3.1.6 key (HWTACACS scheme view)

3.1.7 nas-ip (HWTACACS scheme view)

3.1.8 primary accounting (HWTACACS scheme view)

3.1.9 primary authentication (HWTACACS scheme view)

3.1.10 primary authorization

3.1.11 reset hwtacacs statistics

3.1.12 reset stop-accounting-buffer

3.1.13 retry stop-accounting (HWTACACS scheme view)

3.1.14 secondary accounting (HWTACACS scheme view)

3.1.15 secondary authentication (HWTACACS scheme view)

3.1.16 secondary authorization

3.1.17 stop-accounting-buffer enable (HWTACACS scheme view)

3.1.18 timer quiet (HWTACACS scheme view)

3.1.19 timer realtime-accounting (HWTACACS scheme view)

3.1.20 timer response-timeout (HWTACACS scheme view)

3.1.21 user-name-format (HWTACACS scheme view)

3.1.22 vpn-instance (HWTACACS scheme view)

 

1 AAA配置命令

1.1  AAA配置命令

1.1.1  aaa nas-id profile

【命令】

aaa nas-id profile profile-name

undo aaa nas-id profile profile-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

profile-name:保存NAS-ID与VLAN绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。

【描述】

aaa nas-id profile命令用来创建一个NAS-ID Profile或者进入一个已创建的NAS-ID-Profile视图。undo aaa nas-id profile命令用来删除一个指定的NAS-ID Profile。

相关配置可参考命令nas-id bind vlan

【举例】

# 创建一个名字为aaa的NAS-ID Profile。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa]

1.1.2  access-limit

【命令】

access-limit max-user-number

undo access-limit

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

max-user-number:表示使用当前用户名接入设备的最大用户数,取值范围为1~1024。

【描述】

access-limit命令用来设置当前用户名可容纳的最大接入用户数。undo access-limit命令用来取消对当前用户名的接入用户数限制。

缺省情况下,不限制当前本地用户名可容纳的接入用户数。

需要注意的是,本地用户的access-limit命令只在配置了本地计费方案的情况下生效。

相关配置可参考命令display local-user

【举例】

# 允许同时以用户名abc在线的用户数为5。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] access-limit 5

1.1.3  access-limit enable

【命令】

access-limit enable max-user-number

undo access-limit enable

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

max-user-number:表示限制当前ISP域可容纳的接入用户数。其中,max-user-number为当前ISP域可容纳接入用户数的最大值,取值范围为1~2147483646。

【描述】

access-limit enable命令用来限制当前ISP域可容纳接入用户数。undo access-limit enable命令用来恢复缺省情况。

缺省情况下,不限制当前ISP域可容纳的接入用户数。

需要注意的是,由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。对当前ISP域下所能接入的用户数进行限制后,当接入此域的用户数超过当前ISP域可容纳的最大用户数后,新接入的用户将被拒绝。

【举例】

# 指定ISP域test最多可容纳500个接入用户。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] access-limit enable 500

1.1.4  accounting command

【命令】

accounting command hwtacacs-scheme hwtacacs-scheme-name

undo accounting command

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

【描述】

accounting command命令用来配置命令行计费方案。undo accounting command命令用来恢复缺省情况。

缺省情况下,命令行计费采用缺省的计费方案。

需要注意的是:

l              当前ISP域所引用的HWTACACS方案必须是已配置的。

l              目前只有HWTACACS方案支持命令行计费。

相关配置可参考命令accounting defaulthwtacacs scheme

【举例】

# 在ISP域test下,配置命令行计费方案为HWTACACS计费方案hwtac。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting command hwtacacs-scheme hwtac

1.1.5  accounting default

【命令】

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting default

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting default命令用来为所有类型的用户配置缺省的计费方案。undo accounting default命令用来恢复缺省情况。

缺省情况下,所有类型的用户采用local计费方案。

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              本命令所配置的计费方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。

l              本地计费只是为了支持本地用户的连接数管理,没有实际的统计功能。本地的接入数管理只对本地计费有效,对本地认证和授权没有作用。

相关配置可参考命令authentication defaultauthorization defaulthwtacacs schemeradius scheme

【举例】

# 在系统缺省的ISP域system下,为所有类型的用户配置计费方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] accounting default local

# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting default radius-scheme rd local

1.1.6  accounting lan-access

【命令】

accounting lan-access { local | none | radius-scheme radius-scheme-name [ local | none] }

undo accounting lan-access

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting lan-access命令用来为lan-access用户配置计费方案。undo accounting lan-access命令用来恢复缺省情况。

缺省情况下,lan-access用户采用命令accounting default配置的缺省计费方案。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令accounting defaultradius scheme

【举例】

# 在系统缺省的ISP域system下,为lan-access用户配置计费方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] accounting lan-access local

# 在ISP域test下,为lan-access用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access radius-scheme rd local

1.1.7  accounting login

【命令】

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting login

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地计费。实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting login命令用来为login用户配置计费方案。undo accounting login命令用来恢复缺省情况。

缺省情况下,login用户采用缺省的计费方案。

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              login接入方式中的FTP服务不支持计费流程。

相关配置可参考命令accounting defaulthwtacacs schemeradius scheme

【举例】

# 在系统缺省的ISP域system下,为login用户配置计费方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] accounting login local

# 在ISP域test下,为login用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting login radius-scheme rd local

1.1.8  accounting optional

【命令】

accounting optional

undo accounting optional

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

【描述】

accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。

缺省情况下,计费可选处于关闭状态。

需要注意的是:

l              对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了本命令,则用户可以继续使用网络资源,且系统不再为其发送实时计费更新报文,否则用户连接将被切断。该命令适用于只认证但不关心计费的情况。

l              对于计费过程失败但因计费可选功能上线的用户,系统不再对其发送实时计费更新报文。

l              计费可选开关打开的情况下,本地用户视图下的access-limit命令配置的本地用户的连接数限制功能不生效。

【举例】

# 打开名为ISP域test的ISP域用户的计费可选开关。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting optional

1.1.9  accounting portal

【命令】

accounting portal { local | none | radius-scheme radius-scheme-name  [ local ] }

undo accounting portal

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting portal命令用来为Portal用户配置计费方案。undo accounting portal命令用来恢复缺省情况。

缺省情况下,Portal用户采用缺省的计费方案。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令accounting defaultradius scheme

【举例】

# 在系统缺省的ISP域system下,为Portal用户配置计费方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] accounting portal local

# 在ISP域test下,为Portal用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting portal radius-scheme rd local

1.1.10  accounting ppp

【命令】

accounting ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting ppp

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting ppp命令用来为PPP用户配置计费方案。undo accounting ppp 命令用来恢复缺省情况。

缺省情况下,PPP用户采用缺省的计费方案。

需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

相关配置可参考命令accounting defaulthwtacacs schemeradius scheme

【举例】

# 在系统缺省的ISP域system下,为PPP用户配置计费方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] accounting ppp local

# 在ISP域test下,为PPP用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting ppp radius-scheme rd local

1.1.11  accounting ssl-vpn

【命令】

accounting ssl-vpn radius-scheme radius-scheme-name

undo accounting ssl-vpn

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting ssl-vpn命令用来为SSL VPN用户配置计费方案。undo accounting ssl-vpn命令用来恢复缺省情况。

缺省情况下,SSL VPN用户采用缺省的计费方案。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令accounting defaultradius scheme

本命令仅集中式设备和SSL VPN插卡支持。

 

【举例】

# 在ISP域test下,为SSL VPN用户配置方案名为rd的RADIUS计费方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting ssl-vpn radius-scheme rd

1.1.12  authentication default

【命令】

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication default

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication default命令用来为所有类型的用户配置缺省的认证方案。undo authentication default命令用来为恢复缺省情况。

缺省情况下,所有类型的用户采用local认证。

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              本命令配置的认证方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。

相关配置可参考命令authorization defaultaccounting defaulthwtacacs schemeradius scheme

【举例】

# 在系统缺省的ISP域system下,为所有类型的用户配置认证方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authentication default local

# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication default radius-scheme rd local

1.1.13  authentication lan-access

【命令】

authentication lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }

undo authentication lan-access

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication lan-access命令用来为lan-access用户配置认证方案。undo authentication lan-access命令用来恢复缺省情况。

缺省情况下,lan-access用户采用缺省的认证方案。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令authentication defaultradius scheme

【举例】

# 在系统缺省的ISP域system下,为lan-access用户配置认证方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authentication lan-access local

# 在ISP域test下,为lan-access用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication lan-access radius-scheme rd local

1.1.14  authentication login

【命令】

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication login

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication login命令用来为login用户配置认证方案。undo authentication login命令用来恢复缺省情况。

缺省情况下,login用户采用缺省的认证方案。

需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

相关配置可参考命令authentication defaulthwtacacs schemeradius scheme

【举例】

# 在系统缺省的ISP域system下,为login用户配置认证方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authentication login local

# 在ISP域test下,为login用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication login radius-scheme rd local

1.1.15  authentication portal

【命令】

authentication portal { local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication portal

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication portal命令用来为Portal用户配置认证方案。undo authentication portal命令用来恢复缺省情况。

缺省情况下,Portal用户采用缺省的认证方案。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令authentication defaultradius scheme

【举例】

# 在系统缺省的ISP域system下,为Portal用户配置认证方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authentication portal local

# 在ISP域test下,为Portal用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication portal radius-scheme rd local

1.1.16  authentication ppp

【命令】

authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication ppp

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication ppp命令用来为PPP用户配置认证方案。undo authentication ppp命令用来恢复缺省情况。

缺省情况下,PPP用户采用缺省的认证方案。

需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

相关配置可参考命令authentication defaulthwtacacs schemeradius scheme

【举例】

# 在系统缺省的ISP域system下,为PPP用户配置认证方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authentication ppp local

# 在ISP域test下,为PPP用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication ppp radius-scheme rd local

1.1.17  authentication ssl-vpn

【命令】

authentication ssl-vpn radius-scheme radius-scheme-name

undo authentication ssl-vpn

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication ssl-vpn命令用来为SSL VPN用户配置认证方案。undo authentication ssl-vpn命令用来恢复缺省情况。

缺省情况下,SSL VPN用户采用缺省的认证方案。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令authentication defaultradius scheme

本命令仅集中式设备和SSL VPN插卡支持,

 

【举例】

# 在ISP域test下,为SSL VPN用户配置方案名为rd的RADIUS认证方案。

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authentication ssl-vpn radius-scheme rd

1.1.18  authentication super

【命令】

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name }

undo authentication super

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication super命令用来配置级别切换认证方案。undo authentication super命令用来恢复缺省情况。

缺省情况下,级别切换认证采用缺省的认证方案。

需要注意的是,当前ISP域所引用的RADIUS方案和HWTACACS方案必须是已配置的。

相关配置可参考命令hwtacacs schemeradius scheme和“基础配置命令参考/CLI”中的命令super authentication-mode

【举例】

# 在ISP域test下,配置级别切换认证方案为HWTACACS认证方案tac。

<Sysname> system-view

[Sysname] super authentication-mode scheme

[Sysname] domain test

[Sysname-domain-test] authentication super hwtacacs-scheme tac

1.1.19  authorization command

【命令】

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local | none ] | local | none }

undo authorization command

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名名,为1~32个字符的字符串。

local:本地授权。

none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。

【描述】

authorization command命令用来配置命令行授权方案。undo authorization command命令用来恢复缺省情况。

缺省情况下,命令行授权采用缺省的授权方案。

需要注意的是:

l              当前ISP域所引用的HWTACACS方案必须是已配置的。

l              对于本地授权,本地用户必须存在,而且当前要授权的命令行的级别不能大于本地用户的级别,否则本地授权失败。

相关配置可参考命令authorization defaulthwtacacs scheme

【举例】

# 在系统缺省的ISP域system下,配置命令行授权方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authorization command local

# 在ISP域test下,配置命令行授权方案为HWTACACS授权方案hwtac,并且local作为备份认证方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local

1.1.20  authorization default

【命令】

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization default

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地授权。

none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization default命令用来为所有类型的用户配置缺省的授权方案。undo authorization default命令用来恢复缺省情况。

缺省情况下,所有类型的用户采用local授权方案。

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              authorization default命令配置的授权方案不区分用户类型,即对所有类型的用户都起作用。此配置的优先级低于具体接入方式的配置。

l              RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。对于所有RADIUS授权失败的情况,授权失败返回给NAS的原因为server没有响应。

相关配置可参考命令authentication defaultaccounting defaulthwtacacs schemeradius scheme

【举例】

# 在系统缺省的ISP域system下,为所有类型的用户配置授权方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authorization default local

# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization default radius-scheme rd local

1.1.21  authorization lan-access

【命令】

authorization lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }

undo authorization lan-access

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地授权。

none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization lan-access命令用来为lan-access用户配置授权方案。undo authorization lan-access命令用来为恢复缺省情况。

缺省情况下,lan-access用户采用缺省的授权方案。

需要注意的是:

l              当前ISP域所引用的RADIUS方案必须是已配置的。

l              RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。

相关配置可参考命令authorization defaultradius scheme

【举例】

# 在系统缺省的ISP域system下,为lan-access用户配置授权方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system]authorization lan-access local

# 在ISP域test下,为lan-access用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access radius-scheme rd local

1.1.22  authorization login

【命令】

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization login

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地授权。

none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization login命令用来为login用户配置授权方案。undo authorization login命令用来恢复缺省情况。

缺省情况下,login用户采用缺省的授权方案。

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。

相关配置可参考命令authorization defaulthwtacacs schemeradius scheme

【举例】

# 在系统缺省的ISP域system下,为login用户配置授权方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authorization login local

# 在ISP域test下,为login用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization login radius-scheme rd local

1.1.23  authorization portal

【命令】

authorization portal { local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization portal

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地授权。

none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization portal命令用来为Portal用户配置授权方案。undo authorization portal命令用来恢复缺省情况。

缺省情况下,Portal用户采用缺省的授权方案。

需要注意的是:

l              当前ISP域所引用的RADIUS方案必须是已配置的。

l              RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。

相关配置可参考命令authorization defaultradius scheme

【举例】

# 在系统缺省的ISP域system下,为Portal用户配置授权方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authorization portal local

# 在ISP域test下,为Portal用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization portal radius-scheme rd local

1.1.24  authorization ssl-vpn

【命令】

authorization ssl-vpn radius-scheme radius-scheme-name

undo authorization ssl-vpn

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization ssl-vpn命令用来为SSL VPN用户配置授权方案。undo authentication ssl-vpn命令用来恢复缺省情况。

缺省情况下,SSL VPN用户采用缺省的授权方案。

l              当前ISP域所引用的RADIUS方案必须是已配置的。

l              RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。

相关配置可参考命令authorization defaultradius scheme

本命令仅集中式设备和SSL VPN插卡支持。

 

【举例】

# 在ISP域test下,为SSL VPN用户配置方案名为rd的RADIUS授权方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization ssl-vpn radius-scheme rd

1.1.25  authorization ppp

【命令】

authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization ppp

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地授权。

none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization ppp命令用来为PPP用户配置授权方案。undo authorization ppp命令用来恢复缺省情况。

缺省情况下,PPP用户采用缺省的授权方案。

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。

相关配置可参考命令authorization defaulthwtacacs schemeradius scheme

【举例】

# 在系统缺省的ISP域system下,为PPP用户配置授权方案为local

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system]authorization ppp local

# 在ISP域test下,为PPP用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization ppp radius-scheme rd local

1.1.26  authorization-attribute

【命令】

authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } *

undo authorization-attribute { acl | callback-number | idle-cut | level | user-profile | vlan | work-directory } *

【视图】

本地用户视图/用户组视图

【缺省级别】

3:管理级

【参数】

acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。

callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,字母区分大小写。

idle-cut minute:启用本地用户的闲置切断功能。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。

level level:指定本地用户的级别,取值范围为0~3。其中0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的级别越低。缺省值为0。

user-profile profile-name:指定授权本地用户的授权User Profile。其中,profile-name表示用户配置文件的名称,为1~32个字符的字符串,只能包含英文字母、数字、下划线,且必须以英文字母开始,区分大小写。

vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。

work-directory directory-name:授权FTP/SFTP用户可以访问的目录,。其中,directory-name表示FTP/SFTP用户可以访问的目录,为1~135个字符的字符串,不区分大小写,且该目录必须已经存在。

【描述】

authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。undo authorization-attribute命令用来删除配置的授权属性。

缺省情况下,未设置任何授权属性。

需要注意的是:

l              可配置的授权属性都有其明确的使用环境和用途,而且本地用户授权属性的下发并不区分用户的服务类型,即会对所有类型的接入用户都下发已配置的授权属性,因此配置下发的授权属性时要考虑该类型的用户是否需要某些属性。例如,PPP接入用户不需要下发授权目录,因此就不要设置PPP用户的work-directory属性。

l              用户组的授权属性对于组内的所有本地用户生效。

l              若本地用户与所属的用户组都配置了授权属性,则本地用户的配置生效。

l              如果配置登录用户界面的验证方式(authentication-mode为不认证(none)或采用密码认证(password),则用户登录到系统后所能访问的命令级别由用户界面的级别确定。关于配置登录用户界面的验证方式的具体内容请参见“基础配置命令参考/CLI”中的authentication-mode;如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的级别确定。对于SSH用户,使用RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。

l              如果通过文件系统命令删除指定的FTP/SFTP用户可以访问的目录,则FTP/SFTP用户将不能访问此目录;

l              如果在当前指定的FTP/SFTP用户可以访问的目录中携带备板槽位信息,则主备切换后FTP/SFTP用户将不能正常登录,建议用户在指定工作目录时不要携带槽位信息。

【举例】

# 配置用户组abc的授权VLAN为VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

1.1.27  authorization-attribute user-profile

【命令】

authorization-attribute user-profile profile-name

undo authorization-attribute user-profile

【视图】

ISP域视图

【缺省级别】

3:管理级

【参数】

profile-name:指定的User Profile名称,为1~31个字符的字符串,区分大小写。User Profile的相关配置请参考“安全命令参考”中的“User Profile”。

【描述】

authorization-attribute user-profile命令用于配置当前ISP域的缺省授权User Porfile。undo authorization-attribute user-profile命令用于恢复缺省情况。

缺省情况下,当前ISP域无缺省授权User Porfile。

如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权User Porfile,则系统使用本配置指定的User Porfile作为当前ISP域的授权User Porfile。

需要注意的是,重复配置本命令,会覆盖原有的配置。

【举例】

# 配置test域下的缺省授权User Profile为profile1。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization-attribute user-profile profile1

1.1.28  bind-attribute

【命令】

bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *

undo bind-attribute { call-number| ip | location | mac | vlan } *

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

call-number call-number:指定ISDN用户认证的主叫号码。其中call-number为1~64个字符的字符串。

subcall-number:指定子主叫号码。如果配置了子主叫号码,则主叫号码与子主叫号码的总长度不能大于62个字符。

ip ip-address:指定用户的IP地址。

location:设置用户的端口绑定属性。

port slot-number subslot-number port-number:指定用户绑定的端口。其中slot-number为槽号,取值范围为0~255。subslot-number为子槽号,取值范围为0~15。port-number为端口号,取值范围0~255。绑定的端口只针对端口号,不区分端口类型。

mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。

vlan vlan-id:设置用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。

【描述】

bind-attribute命令用来设置用户的绑定属性。undo bind-attribute命令用来删除配置的用户绑定属性。

缺省情况下,未设置用户的任何绑定属性。

需要注意的是:

l              配置的绑定属性是本地用户进行认证时需要检测的项目,如果用户的实际属性与配置的绑定属性不符,则检测不通过,认证失败。而且,由于认证检测时不区分用户的接入服务类型,即会对所有类型的用户都进行已配置绑定属性的认证检测,因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性。

l              本地用户的bind-attribute ip命令只适用于支持IP地址上传功能的认证,如802.1x认证;对于不支持IP地址上传功能的认证,如果配置了该命令,会导致本地认证失败,如MAC地址认证。

l              本地用户的bind-attribute mac命令只适用于lan-access类型的用户,如802.1X认证;对于其它类型用户(如FTP或Telnet)的认证,如果配置了该命令,会导致本地认证失败。

【举例】

# 配置本地用户abc的绑定IP为3.3.3.3。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] bind-attribute ip 3.3.3.3

 

1.1.29  cut connection

【命令】

集中式设备:

cut connection { access-type portal | all | domain isp-name | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name }

分布式设备:

cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id } [ slot slot-number ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

access-type:指定接入方式。

l              dot1x:表示802.1X认证接入方式;

l              mac-authentication:表示MAC地址认证接入方式;

l              portal:表示Portal认证接入方式。

all:切断所有用户连接。

domain isp-name:指定ISP域。其中,isp-name为ISP域名,为1~24个字符的字符串。

interface interface-type interface-number:指定接口。其中,interface-type interface-number为接口类型和接口编号。目前只支持二层以太网接口。

ip ip-address:指定IP地址。

mac mac-address:指定MAC地址。其中,mac-address为H-H-H格式。

ucibindex ucib-index:指定连接索引号,取值范围为0~4294967295。

user-name user-name:指定用户名。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名必须带域名,否则系统默认其带缺省域名。

vlan vlan-id:指定用户所在VLAN。其中,vlan-id的取值范围为14094

slot slot-number:指定接口板所在槽位号。(分布式设备)

【描述】

cut connection命令用来强制切断指定AAA用户的连接。

此命令目前只对lan-access、Portal、PPP服务类型的用户有效。

相关配置可参考命令display connectionservice-type

【举例】

# 切断ISP域test下的所有用户连接。

<Sysname> system-view

[Sysname] cut connection domain test

1.1.30  display connection

【命令】

集中式设备:

display connection [ access-type portal | domain isp-name | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name ]

分布式设备:

display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-nameinterface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ slot slot-number ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

access-type portal:指定接入方式为Portal。

l              dot1x:表示802.1X认证接入方式;

l              mac-authentication:表示MAC地址认证接入方式;

l              portal:表示Portal认证接入方式。

domain isp-name:显示指定ISP域下的全部用户连接。其中,isp-name表示ISP域名,为1~24个字符的字符串,不区分大小写。

interface interface-type interface-number:指定接口。其中,interface-type interface-number为接口类型和接口编号。目前只支持二层以太网接口。

ip ip-address:指定IP地址。

mac mac-address:指定MAC地址。其中,mac-address为H-H-H格式。

ucibindex ucib-index:显示指定连接索引的所有用户连接。其中,ucib-index表示连接索引号,取值范围为0~4294967295。

user-name user-name:显示指定用户名的用户连接。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名必须带域名,否则系统默认其带缺省域名。

vlan vlan-id:指定用户所在VLAN。其中,vlan-id的取值范围为14094

slot slot-number:显示指定接口板上所有用户的连接。其中slot-number为指定接口板所在槽位号。

【描述】

display connection命令用来显示所有或指定的AAA用户连接的相关信息。

需要注意的是:

l              不指定任何参数的情况下,系统显示所有AAA用户连接的概要信息。

l              指定参数ucibindex的情况下,显示详细的用户连接信息,指定其它参数则显示概要信息。

l              对于FTP类型用户,无法显示AAA用户连接的相关信息。

相关配置可参考命令cut connection

【举例】

# 显示所有AAA用户连接的相关信息。(集中式设备)

<Sysname> display connection

 

Index=1   ,Username=telnet@system

IP=10.0.0.1

IPv6=N/A

 Total 1 connection(s) matched.

# 显示所有AAA用户连接的相关信息。(分布式设备)

<Sysname> display connection

Slot:  0

Index=0   , Username=telnet@system

IP=10.0.0.1

IPv6=N/A

 

 Total 1 connection(s) matched on slot 0.

 Total 1 connection(s) matched.

# 显示连接索引为0的AAA用户连接的详细信息。(集中式设备)

<Sysname> display connection ucibindex 0

Index=0   , Username=telnet@system

IP=10.0.0.1

IPv6=N/A

Access=Admin   ,AuthMethod=PAP

Port Type=Virtual ,Port Name=N/A

Initial VLAN=999, Authorization VLAN=N/A

ACL Group=Disable

User Profile=N/A

CAR=Disable

Priority=Disable

Start=2009-07-16 10:53:03 ,Current=2009-07-16 10:57:06 ,Online=00h04m03s

 Total 1 connection matched.

# 显示连接索引为0的AAA用户连接的详细信息。(分布式设备)

<Sysname> display connection ucibindex 0

Slot:  0

Index=0   , Username=telnet@system

IP=10.0.0.1

IPv6=N/A

Access=Admin   ,AuthMethod=PAP

Port Type=Virtual ,Port Name=N/A

Initial VLAN=N/A, Authorization VLAN=N/A

ACL Group=Disable

User Profile=N/A

CAR=Disable

Priority=Disable

Start=2009-07-16 10:53:03 ,Current=2009-07-16 10:57:06 ,Online=00h04m03s

 Total 1 connection matched.

Slot:  1

 Total 0 connection matched.

Slot:  2

 Total 0 connection matched.

表1-1 display connection命令显示信息描述表

字段

描述

Index

索引号

Username

当前连接的用户名,格式为username@domain

IP

该用户IP地址

IPv6

该用户IPv6地址

Access

用户接入类型

AuthMethod

认证方法

Port Type

用户接入的端口类型

Port Name

用户接入的端口名称

Initial VLAN

用户所在的初始VLAN

Authorization VLAN

授权VLAN

ACL Group

授权ACL组

User Profile

授权User Profile

CAR(kbps)

授权CAR参数信息

UpPeakRate

上行峰值速率

DnPeakRate

下行峰值速率

UpAverageRate

上行平均速率

DnAverageRate

下行平均速率

Priority

用户报文的处理优先级

Start=xxx ,Current=xxx ,Online=xxx

用户上线的时间,当前的系统时间,用户在线时长

Total 1 connection(s) matched.

总计1个AAA用户连接

 

1.1.31  display domain

【命令】

display domain [ isp-name ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

isp-name:指定ISP域名,为1~24个字符的字符串。

【描述】

display domain命令用来显示指定ISP域的配置信息。

如果不指定ISP域,则显示系统中所有ISP域的配置信息。

相关配置可参考命令access-limit enabledomainstate

【举例】

# 显示系统中所有ISP域的配置信息。

0  Domain : system

   State : Active

   Access-limit : Disabled

   Accounting method : Required

   Default authentication scheme      : local

   Default authorization scheme       : local

   Default accounting scheme          : local

   Domain User Template:

   Idle-cut : Disabled

   Self-service : Disabled

   Authorization attributes :

 

1  Domain : test

   State : Active

   Access-limit : Disabled

   Accounting method : Required

   Default authentication scheme      : local

   Default authorization scheme       : local

   Default accounting scheme          : local

   Lan-access authentication scheme   : radius:test, local

   Lan-access authorization scheme    : hwtacacs:hw, local

   Lan-access accounting scheme       : local

   Domain User Template:

   Idle-cut : Disabled

   Self-service : Disabled

   Authorization attributes :

    User-profile : profile1

 

Default Domain Name: system

Total 2 domain(s).

表1-2 display domain命令显示信息描述表

字段

描述

Domain

域名

State

状态(Active:激活、Block:阻塞)

Access-limit

接入限制数(Disabled:未使能)

Accounting method

计费方法(Required:必选、Optional:可选)

Default authentication scheme

缺省的认证方案

Default authorization scheme

缺省的授权方案

Default accounting scheme

缺省的计费方案

Lan-access authentication scheme

lan-access用户的认证方案

Lan-access authorization scheme

lan-access用户的授权方案

Lan-access accounting scheme

lan-access用户的计费方案

Domain User Template

域用户模板

Idle-cut

闲置切断功能(Disable:未使能、Enable:使能)

Self-service

自助服务功能(Disable:未使能、Enable:使能)

Authorization attributes

授权属性

User-profile

缺省授权User Profile名称

Default Domain Name

缺省ISP域名

Total 2 domain(s).

总计2个ISP域

 

1.1.32  display local-user

【命令】

集中式设备:

display local-user [ service-type { ftp | portal | ppp | ssh | telnet | terminal } | state { active | block } | user-name user-name ]

分布式设备:

display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | portal | ppp | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ] [ slot slot-number ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

idle-cut { disable | enable }:显示指定闲置切断功能的所有本地用户信息。其中,disable表示禁止用户启用闲置切断功能;enable表示允许用户启用闲置切断功能。

service-type:显示指定用户类型的所有本地用户信息。

l              ftp指定用户为FTP类型;

l              lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1X用户);

l              portal为Portal用户;

l              ppp为PPP用户;

l              ssh为SSH用户;

l              telnet为Telnet用户;

l              terminal为从CON口、AUX口登录的终端用户。

state { active | block }:显示指定状态下的所有本地用户信息。其中,active表示系统允许用户请求网络服务;block表示系统不允许用户请求网络服务。

user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。

vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。

slot slot-number:显示指定接口板的所有本地用户信息。其中slot-number表示接口板所在槽位号。

【描述】

display local-user命令用来显示所有或指定的本地用户的相关信息。

相关配置可参考命令local-user

【举例】

l              集中式设备

# 显示所有本地用户的相关信息。

<Sysname> display local-user

The contents of local user abc:

 State:                        Active

 ServiceType:                  lan-access

 Access-limit:                 Enable           Current AccessNum: 0

 Max AccessNum:                300

 User-group:                   system

 Bind attributes:

  IP address:                  1.2.3.4

  Bind location:               0/4/1 (SLOT/SUBSLOT/PORT)

  MAC address:                 0001-0002-0003

  Vlan ID:                     100

 Authorization attributes:

  Idle TimeOut:                10(min)

  Work Directory:              cfa0:/

  User Privilege:              3

  Acl ID:                      2000

  Vlan ID:                     100

  User Profile:                prof1

 Expiration date:               12:12:12-2018/09/16

Total 1 local user(s) matched.

表1-3 display local-user命令显示信息描述表

字段

描述

State

本地用户状态(Active:激活、Block:阻塞)

ServiceType

本地用户使用的服务类型(ftp、lan-access、portal、ppp 、ssh、telnet、terminal)

Idle-cut

闲置切断开关(Disabled:未使能、Enabled:使能)

Access-limit

当前用户名的连接数限制

Max AccessNum

最大接入用户数

User-group

本地用户所属用户组

Bind attributes

本地用户的绑定属性

IP address

本地用户的IP地址

Bind location

本地用户绑定的端口

MAC address

本地用户的MAC地址

VLAN ID

本地用户绑定的VLAN

Calling Number

ISDN用户的主叫号码

Authorization attributes

本地用户的授权属性

Idle TimeOut

本地用户闲置切断时间(单位为分钟)

Callback-number

本地用户的授权PPP回呼号码

Work Directory

FTP/SFTP用户可以访问的目录

User Privilege

本地用户级别

VLAN ID

本地用户授权VLAN

User Profile

本地用户授权User Profile

Expiration date

本地用户的有效期

Total 1 local user(s) matched.

总计有1个本地用户匹配

 

l              分布式设备

# 显示槽位号为0的接口板上的本地用户bbb的相关信息。

<Sysname> display local-user user-name bbb slot 0

Slot:  0

The contents of local user bbb:

 State:                        Active

 ServiceType:                  ftp

 Access-limit:                 Enable            Current AccessNum: 0

 Max AccessNum:                300

 User-group:                   system

 Bind attributes:

  IP address:                  1.2.3.4

  Bind location:               0/4/1 (SLOT/SUBSLOT/PORT)

  MAC address:                 0001-0002-0003

  Vlan ID:                     100

 Authorization attributes:

  Idle TimeOut:                10(min)

  Work Directory:              cfa0:/

  User Privilege:              3

  Acl ID:                      2000

  Vlan ID:                     100

  User Profile:                  prof1

 Expiration date:               12:12:12-2018/09/16

Total 1 local user(s) matched.

表1-4 display local-user命令显示信息描述表

字段

描述

Slot

接口板所在槽位号

State

本地用户状态(Active:激活、Block:阻塞)

ServiceType

本地用户使用的服务类型(ftp、lan-access、portal、ppp 、ssh、telnet、terminal)

Access-limit

当前用户名的连接数限制

Current AccessNum

当前接入用户数

l      若不指定接口板,则显示所有接口板上该用户的接入数总和

l      若指定接口板,则显示指定接口板上用户的接入数

Max AccessNum

最大接入用户数

User-group

本地用户所属用户组

Bind attributes

本地用户的绑定属性

IP address

本地用户的IP地址

Bind location

本地用户绑定的端口

MAC address

本地用户的MAC地址

VLAN ID

本地用户绑定的VLAN

Calling Number

ISDN用户的主叫号码

Authorization attributes

本地用户的授权属性

Idle TimeOut

本地用户闲置切断时间(单位为分钟)

Callback-number

本地用户的授权PPP回呼号码

Work Directory

FTP/SFTP用户可以访问的目录

User Privilege

本地用户级别

VLAN ID

本地用户授权VLAN

User Profile

本地用户授权User Profile

Expiration date

本地用户的有效期

User Profile

本地用户级别

Total 1 local user(s) matched.

总计有1个本地用户匹配

 

1.1.33  display user-group

【命令】

display user-group [ group-name ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。

【描述】

display user-group命令用来显示用户组的相关配置。

相关配置请参考命令user-group

【举例】

# 显示用户组abc的相关配置。

<Sysname> display user-group abc

The contents of user group abc:

 Authorization attributes:

  Idle-cut:                 120(min)

  Work Directory:           cfa0:

  Level:                    1

  Acl Number:               2000

  Vlan ID:                  1

  User-Profile:             1

  Callback-number:          1

Total 1 user group(s) matched.

表1-5 display user-group命令显示信息描述表

字段

描述

Idle-cut

闲置切断时间(单位:分钟)

Work Directory

FTP/SFTP用户可以访问的目录

Level

本地用户的级别

Acl Number

授权ACL号

Vlan ID

授权VlAN ID

User-Profile

授权User Profile名称

Callback-number

PPP回呼号码

Total 1 user group(s) matched.

总计有1个用户组匹配

 

1.1.34  domain

【命令】

domain isp-name

undo domain isp-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。

【描述】

domain命令用来创建ISP域并进入其视图。undo domain命令用来删除指定的ISP域。

缺省情况下,系统存在一个名称为system的ISP域。

需要注意的是:

l              使用此命令时,如果指定的ISP域不存在,系统将会创建一个新的ISP域,所有的ISP域在创建后即处于active状态。

l              系统中缺省存在的ISP域system,不能被删除,只能修改。

相关配置可参考命令statedisplay domain

【举例】

# 创建一个新的ISP域test,并进入其视图。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test]

1.1.35  domain default enable

【命令】

domain default enable isp-name

undo domain default enable

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

isp-name:缺省的ISP域名,为1~24个字符的字符串。

【描述】

domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。undo domain default enable命令用来恢复缺省情况。

缺省情况下,系统缺省的ISP域为system。

需要注意的是:

l              缺省的ISP域有且只有一个。

l              缺省ISP域要生效,必须保证该域存在,否则会导致用户名中未携带域名的用户无法进行认证。

l              配置为缺省的ISP域不能被删除,除非先恢复要删除的域为非缺省域。

相关配置可参考命令statedisplay domain

【举例】

# 创建一个新的ISP域test,并设置为系统缺省的ISP域。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] quit

[Sysname] domain default test

1.1.36  expiration-date

【命令】

expiration-date time

undo expiration-date

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

time:本地用户的有效期截止时间,精确到秒,格式为HH:MM:SS-MM/DD/YYYY(时:分:秒-月/日/年)或HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)。其中,HH:MM:SS中的HH取值范围为0~23,MM和SS取值范围为0~59;MM/DD/YYYY中的MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。除表示零点外,格式中的前导0可以省略不写,比如2:2:0-2008/2/2等效于02:02:00-2008/02/02。

【描述】

expiration-date命令用来配置本地用户的有效期。undo expiration-date用来取消本地用户的有效期配置。

缺省情况下,未设置用户的有效期,设备不进行用户有效期的检查。

在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾帐户,并通过该配置对来宾帐户进行有效期的控制。当该用户进行本地认证时,接入设备检查当前系统时间是否在用户的有效期内,若在有效期内则允许用户登录,否则拒绝用户登录。

需要注意的是:如果设备管理员手工修改系统时间,或其它原因导致系统时间发生变化,则在用户认证时使用修改后的系统时间与配置的用户有效期进行比较。

【举例】

# 配置用户abc的有效日期为2008/05/31的12:10:20。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] expiration-date 12:10:20-2008/05/31

1.1.37  group

【命令】

group group-name

undo group

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。

【描述】

group命令用来设置本地用户所属的用户组。undo group命令用来恢复缺省配置。

缺省情况下,用户属于系统默认创建的用户组system。

【举例】

# 设置本地用户111所属的用户组为abc。

<Sysname> system-view

[Sysname] local-user 111

[Sysname-luser-111] group abc

1.1.38  idle-cut enable

【命令】

idle-cut enable minute  [ flow ]

undo idle-cut enable

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

minute:表示允许用户在线后连续的最大空闲时间,取值范围为1~120,单位为分钟,

flow:表示允许用户闲置时的最小数据流量,取值范围为1~10240000,单位为字节。

【描述】

idle-cut enable命令用来设置当前ISP域下的用户闲置切断功能,当用户在指定的最大空闲时间内的产生的流量小于指定的最小数据流量时,会被强制下线。undo idle-cut命令用来恢复缺省情况。

缺省情况下,用户闲置切断功能处于关闭状态。

需要注意的是,最大空闲时间还可以在服务器上进行配置。如果设备上配置了用户闲置切断参数(最大空闲时间和最小数据流量),则设备上配置的参数值生效;如果设备上的用户闲置切断功能处于关闭状态,则服务器上配置的最大空闲时间生效,但最小数据流量在服务器上不可配,默认为10240字节。

相关配置可参考命令domain

【举例】

# 允许当前ISP域test中的用户启用闲置切断功能,用户的最大空闲时间为50分钟,闲置时的最小数据流量为1024个字节。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] idle-cut enable 50 1024

1.1.39  ip pool

【命令】

ip pool pool-number low-ip-address [ high-ip-address ]

undo ip pool pool-number

【视图】

系统视图/ISP域视图

【缺省级别】

2:系统级

【参数】

pool-number:地址池编号,取值范围为0~99。

low-ip-addresshigh-ip-address:分别为地址池的起始和结束IP地址。一个地址池中起始IP和结束IP地址之间的地址数不能超过1024。如果在定义IP地址池时不指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。

【描述】

ip pool命令用来定义为PPP用户分配IP地址的地址池。undo ip pool命令用来删除指定的IP地址池。

缺省情况下,没有定义为PPP用户分配IP地址的地址池。

需要注意的是:

l              在系统视图下,配置IP地址池。通过在接口视图下使用命令remote address为PPP用户分配IP地址。

l              在ISP域视图下,配置的IP地址池用于为相应的ISP域的PPP用户分配IP地址。这主要用于通过某接口接入的PPP用户较多,而接口所能分配的地址不够用的情况。例如,运行PPPoE协议的Ethernet接口,最多可以接入4096个用户,但在该Ethernet接口的Virtual Template上,只能配置一个地址池,而一个地址池最多只有1024个地址,这显然不能满足要求。通过配置ISP域的地址池,可以为ISP的PPP用户分配地址,从而解决接口地址池中地址不够的问题。

相关配置请参考“二层技术-广域网接入命令参考/PPP”中的命令remote address

【举例】

# 配置IP地址池0,地址范围为129.102.0.1到129.102.0.10。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] ip pool 0 129.102.0.1 129.102.0.10

1.1.40  local-user

【命令】

集中式设备:

local-user user-name

undo local-user { user-name | all [ service-type { ftp | portal | ppp | ssh | telnet |terminal } }

分布式设备:

local-user user-name

undo local-user { user-name | all [ service-type { ftp | lan-access | portal | ppp | ssh | telnet | terminal } }

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。

all:所有的用户。

service-type:指定用户的类型。具体用户类型如下:

l              ftp:表示FTP类型用户;

l              lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.1X用户);

l              portal:表示Portal用户;

l              ppp:表示PPP用户;

l              ssh:表示SSH用户;

l              telnet:表示Telnet用户;

l              terminal:表示从Console口、AUX口登录的终端用户。

【描述】

local-user命令用来添加本地用户并进入本地用户视图。undo local-user命令用来删除指定的本地用户。

缺省情况下,无本地用户。

相关配置可参考命令display local-userservice-type

【举例】

# 添加名称为user1的本地用户。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1]

1.1.41  local-user password-display-mode

【命令】

local-user password-display-mode { auto | cipher-force }

undo local-user password-display-mode

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

auto:自动方式,即接入用户的密码显示方式与该用户通过password命令设置的密码显示方式一致。

cipher-force:强制密文方式,即所有接入用户的密码显示方式必须采用密文方式。

【描述】

local-user password-display-mode命令用来设置所有本地用户密码的显示方式。undo local-user password-display-mode命令用来恢复缺省情况。

缺省情况下,所有接入用户的密码显示方式为自动方式。

当采用cipher-force方式后:

l              即使通过password命令指定密码显示方式为明文显示(即simple方式),密码仍然会显示为密文。

l              使用save命令保存当前配置,重启设备后,即使恢复为auto方式,原来配置为明文显示的密码仍然显示为密文。

相关配置可参考命令display local-userpassword

【举例】

# 设置所有本地用户采用密文方式显示密码。

<Sysname> system-view

[Sysname] local-user password-display-mode cipher-force

1.1.42  nas-id bind vlan

【命令】

nas-id nas-identifier bind vlan vlan-id

undo nas-id nas-identifier bind vlan vlan-id

【视图】

NAS-ID Profile视图

【缺省级别】

2:系统级

【参数】

nas-identifier:NAS-ID名称,为1~20个字符的字符串,区分大小写。

vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。

【描述】

nas-id bind vlan命令用来设置NAS-ID与VLAN的绑定关系,即把一个NAS-ID指定给一个VLAN。undo nas-id bind vlan命令用来删除一个指定的NAS-ID和VLAN的绑定关系。

缺省情况下,未设置任何绑定关系。

需要注意的是:

l              一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。

l              一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。

相关配置可参考命令aaa nas-id profile

【举例】

# 把NAS-ID 222指定给VLAN 2。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2

1.1.43  password

【命令】

password { cipher | simple } password

undo password

【视图】

本地用户视图

【缺省级别】

2:系统级

【参数】

cipher:表示密码为密文显示。

simple:表示密码为明文显示。

password:表示设置的密码。明文密码可以是长度小于等于63的连续字符串,如:aabbcc。密文密码的长度取值为24或88,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。

l              对于simple方式,password必须是明文密码。

l              对于cipher方式,password可以是密文密码也可以是明文密码。

【描述】

password命令用来设置本地用户的密码。undo password命令用来取消本地用户的密码。

需要注意的是:

l              当采用local-user password-display-mode cipher-force命令后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码也会显示为密文。

l              cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文,长度大于16且小于等于63的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理。

相关配置可参考命令display local-user

【举例】

# 设置名称为user1的密码为明文显示,密码为123456。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] password simple 123456

1.1.44  self-service-url enable

【命令】

self-service-url enable url-string

undo self-service-url enable

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

url-string:表示自助服务器修改用户密码页面的URL,为1~64个字符的字符串。字符串必须以“http://”开始,字符串中不能包括“?”字符。

【描述】

self-service-url enable命令用来设置自助服务器定位功能。undo self-service-url enable命令用来恢复缺省情况。

缺省情况下,自助服务器定位功能处于关闭状态。

需要注意的是:

l              此命令需要与支持自助服务的RADIUS服务器配合使用,如CAMS/iMC。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。

l              如果在设备上配置了此命令,用户可以通过如下操作定位到自助服务器:用户在802.1x客户端软件上选择“更改用户密码”;客户端软件打开用户缺省的浏览器(IE或者NetScape等),定位到指定的自助服务器更改用户密码的URL页面;用户可以在该页面上修改自己的密码。

l              只有用户通过认证后才能进行在客户端软件上选择“更改用户密码”选项,否则该选项为灰色,不可用。

【举例】

# 在系统缺省的ISP域system下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice/modPasswd1x.jsp|userName。

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] self-service-url enable http://10.153.89.94/selfservice/modPasswd1x.jsp|userName

1.1.45  service-type

【命令】

集中式设备:

service-type { ftp | { ssh | telnet | terminal } * | portal | ppp }

undo service-type { ftp { ssh | telnet | terminal } *| portal | ppp }

分布式设备:

service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal | ppp }

undo service-type { ftp { ssh | telnet | terminal } *| portal | ppp }

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权使用设备的根目录。

lan-access:指定用户可以使用lan-access服务。主要指以太网接入用户,比如802.1X用户。

ssh指定用户可以使用SSH服务。

telnet:指定用户可以使用Telnet服务。

terminal:指定用户可以使用terminal服务(即从Console口、AUX口登录)。

portal:指定用户可以使用Portal服务

ppp:指定用户可以使用PPP服务。

【描述】

service-type命令用来设置用户可以使用的服务类型。undo service-type命令用来删除用户可以使用的服务类型。

缺省情况下,系统不对用户授权任何服务。

【举例】

# 指定用户可以使用Telnet服务。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] service-type telnet

1.1.46  state

【命令】

state { active | block }

undo state

【视图】

ISP域视图/本地用户视图

【缺省级别】

2:系统级

【参数】

active:指定当前ISP域或当前本地用户处于活动状态,即系统允许该域下的用户/当前本地用户请求网络服务。

block:指定当前ISP域/当前本地用户处于“阻塞”状态,即系统不允许该域下的用户/当前本地用户请求网络服务。

【描述】

state命令用来设置当前ISP域/当前本地用户的状态。undo state命令用来恢复缺省情况。

缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。当一个本地用户被创建以后,其状态为active(本地用户视图)。

当指示某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。当指示某个用户处于block状态时,不允许当前本地用户请求网络服务,但是不影响其它用户。

相关配置可参考命令domain

【举例】

# 设置当前ISP域test处于“阻塞”状态,域下的接入用户不能再请求网络服务。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] state block

# 设置用户user1处于“阻塞”状态。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-user-user1] state block

1.1.47  user-group

【命令】

user-group group-name

undo user-group group-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。

【描述】

user-group命令用来创建用户组并进入其视图。undo user-group命令用来删除指定的用户组。

用户组是一个本地用户策略及属性的集合,某些需要集中管理的策略或者属性可在用户组中统一配置和管理。目前,用户组中可配置用户的授权属性。

需要注意的是:

l              当用户组中有本地用户时,不允许使用undo user-group删除该用户组。

l              不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。

相关配置可参考命令display user-group

【举例】

# 创建名称为abc的用户组并进入其视图。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc]

 


2 RADIUS配置命令

2.1  RADIUS配置命令

2.1.1  accounting-on enable

【命令】

accounting-on enable

undo accounting-on enable

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

accounting-on enable命令用来使能accounting-on功能,即设备重启后,发送accounting-on报文通知RADIUS服务器该设备已经重启,要求RADIUS服务器强制该设备的用户下线。undo accounting-on enable命令用来恢复缺省情况。

缺省情况下,accounting-on功能处于关闭状态。

需要注意的是:

l              该命令只用于集中式设备。

l              此命令不会影响其他accounting-on命令的配置,如accounting-on enable send等。

l              设备启动后,如果当前系统中没有使能accounting-on功能的认证方案,则执行完该命令后,必须执行save操作,这样设备重启后accounting-on功能才能生效。但是,如果当前系统中已经有方案使能了accounting-on功能,则对未使能该功能的认证方案执行该命令后,accounting-on功能会立即生效。

相关配置可参考命令radius scheme

【举例】

# 使能RADIUS认证方案rd的accounting-on功能。

<Sysname> system-view

[Sysname] radius scheme rd

[Sysname-radius-rd] accounting-on enable

2.1.2  accounting-on enable interval

【命令】

accounting-on enable interval seconds

undo accounting-on interval

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

seconds:accounting-on报文重发时间间隔,取值范围为1~15,单位为秒。

【描述】

accounting-on enable interval命令用来设置accounting-on报文重发时间间隔。

undo accounting-on enable interval命令用来恢复缺省情况。

缺省情况下,accounting-on报文重发时间间隔为3秒。

需要注意的是:

l              该命令只用于集中式设备。

l              此命令配置不会影响其它accounting-on命令的配置,如accounting-on enable,即当执行undo accounting-on enable interval时,不会关闭accounting-on功能,只是恢复accounting-on报文重发时间间隔为缺省值。

l              在执行accounting-on功能的过程中,使用该命令重新设置的报文重发间隔时间会立即生效。

相关配置可参考命令radius schemeaccounting-on enable

【举例】

# 在RADIUS认证方案rd中设置accounting-on报文重发间隔时间为5秒。

<Sysname> system-view

[Sysname] radius scheme rd

[Sysname-radius-rd] accounting-on enable interval 5

2.1.3  accounting-on enable send

【命令】

accounting-on enable send send-times

undo accounting-on send

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

send-times:accounting-on报文的最大发送次数,取值范围为1~255。

【描述】

accounting-on enable send命令用来设置accounting-on报文的最大发送次数。undo accounting-on enable send命令用来恢复缺省情况。

缺省情况下,accounting-on报文的最大发送次数为5次。

需要注意的是:

l              该命令只用于集中式设备。

l              此命令配置不会影响其它accounting-on命令,如accounting-on enable,即当执行undo accounting-on enable send时,不会关闭accounting-on功能,只是恢复accounting-on报文最大发送次数为缺省值。

l              在执行accounting-on功能的过程中,使用该命令重新设置的报文最大发送次数会立即生效。

相关配置可参考命令radius schemeaccounting-on enable

【举例】

# 在RADIUS认证方案rd中设置accounting-on报文最大发送次数为10次。

<Sysname> system-view

[Sysname] radius scheme rd

[Sysname-radius-rd] accounting-on enable send 10

2.1.4  attribute 25 car

【命令】

attribute 25 car

undo attribute 25 car

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。undo attribute 25 car命令用来恢复缺省情况。

缺省情况下,RADIUS Attribute 25的CAR参数解析功能处于关闭状态。

相关配置可参考命令display radius schemedisplay connection

【举例】

# 开启RADIUS Attribute 25的CAR参数解析功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 25 car

2.1.5  data-flow-format (RADIUS scheme view)

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

data:设置数据的单位。

byte:数据单位为字节。

giga-byte:数据单位千兆字节。

kilo-byte:数据单位为千字节。

mega-byte:数据单位为兆字节。

packet:设置数据包的单位。

giga-packet:数据包的单位为千兆包。

kilo-packet:数据包的单位为千包。

mega-packet:数据包的单位为兆包。

one-packet:数据包的单位为包。

【描述】

data-flow-format命令用来配置发送到RADIUS服务器的数据流的单位。undo data-flow-format命令用来恢复缺省情况。

缺省情况下,数据的单位为byte,数据包的单位为one-packet

需要注意的是,

l              设备上配置的发送给RADIUS服务器的数据流单位应与RADUIS服务器上的流量统计单位保持一致,否则无法正确计费。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令display radius scheme

【举例】

# 设置发往RADIUS服务器的数据流的数据单位为千字节、数据包单位为千包。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet

2.1.6  display radius scheme

【命令】

集中式设备:

display radius scheme [ radius-scheme-name ]

分布式设备:

display radius scheme [ radius-scheme-name ] [ slot slot-number ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

radius-scheme-name:指定RADIUS方案名。

slot slot-number:显示指定接口板上的RADIUS方案配置信息。其中,slot-number表示接口板所在槽位号。

【描述】

display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。

需要注意的是:

l              如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。

l              如果不指定接口板所在槽位号,则仅显示主控板上RADIUS方案的配置信息。

相关配置可参考命令radius scheme

【举例】

# 显示所有RADIUS方案的配置信息。

<Sysname> display radius scheme

------------------------------------------------------------------

  SchemeName  = : radius1

  Index : 0                           Type : extended

  Primary Auth Server:

    IP: 1.1.1.1                                  Port:= 1812   State: block

    Encryption Key : 345

  Primary Acct Server:

    IP: 1.1.1.1                                  Port: 1813   State: block

    Encryption Key : Not configured

  Second Auth Server:

    IP: N/A                                      Port: 1812   State: block

    Encryption Key : Not configured

  Second Acct Server:

    IP: N/A                                      Port: 1813   State: block

    Encryption Key : Not configured

  Auth Server Encryption Key : 123

  Acct Server Encryption Key : Not configured

  Accounting-On packet disable, send times : 5 , interval : 3s

  Interval for timeout(second)                            : 3

  Retransmission times for timeout                        : 3

  Interval for realtime accounting(minute)                : 12

  Retransmission times of realtime-accounting packet      : 5

  Retransmission times of stop-accounting packet          : 500

  Quiet-interval(min)                                     : 5

  Username format                                         : without-domain

  Data flow unit                                          : Byte

  Packet unit                                             : one

  NAS-IP address                                          : 1.1.1.1

  Attribute 25                                            : car

------------------------------------------------------------------

Total 1 RADIUS scheme(s).

表2-1 display radius scheme命令显示信息描述表

字段

描述

SchemeName

Radius方案的名称

Index

Radius方案的索引号

Type

Radius服务器的类型

Primary Auth Server

主认证服务器

Primary Acct Server

主计费服务器

Second Auth Server

从认证服务器

Second Acct Server

从计费服务器

Encryption Key

认证/计费服务器的共享密钥

IP

主认证/计费服务器IP地址

未配置时,显示为N/A

Port

主认证/计费服务器接入端口号

未配置时,显示缺省值

State

主认证/计费服务器目前状态

l      active:激活

l      block:阻塞

Auth Server Encryption Key

认证服务器的共享密钥

Acct Server Encryption Key

计费服务器的共享密钥

Accounting-On packet disable

accounting-on功能未使能

send times

accounting-on报文的重发次数

interval

accounting-on报文的重发间隔(秒)

Interval for timeout(second)

超时时间(秒)

Retransmission times for timeout

超时重发次数

Interval for realtime accounting(minute)

实时计费间隔(分钟)

Retransmission times of realtime-accounting packet

实时计费报文重发次数

Retransmission times of stop-accounting packet

无响应停止计费报文重发次数

Quiet-interval(min)

主服务器恢复激活状态的时间

Username format

发送给RADIUS服务器的用户名格式

NAS-IP address

发送RADIUS报文的源IP地址

Backup-NAS-IP address

发送RADIUS报文的备份源IP地址

Attribute 25

将RADIUS Attribute 25解析为CAR参数

Total 1 RADIUS scheme(s).

共计1个RADIUS方案

 

2.1.7  display radius statistics

【命令】

集中式设备:

display radius statistics

分布式设备:

display radius statistics [ slot slot-number ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

slot slot-number:显示指定接口板上RADIUS报文的统计信息。其中,slot-number表示接口板所在槽位号。

【描述】

display radius statistics命令用来显示RADIUS报文的统计信息。

相关配置可参考命令radius scheme

【举例】

l              集中式设备:

# 显示RADIUS报文的统计信息。

<Sysname> display radius statistics

state statistic(total=18000):

     DEAD = 18000     AuthProc = 0        AuthSucc = 0

AcctStart = 0         RLTSend = 0         RLTWait = 0

 AcctStop = 0          OnLine = 0            Stop = 0

Received and Sent packets statistic:

Sent PKT total   = 1547     Received PKT total = 23

Resend Times     Resend total

1                508

2                508

Total            1016

RADIUS received packets statistic:

Code =  2   Num = 15       Err = 0

Code =  3   Num = 4        Err = 0

Code =  5   Num = 4        Err = 0

Code = 11   Num = 0        Err = 0

Running statistic:

RADIUS received messages statistic:

Normal auth request      Num = 24       Err = 0        Succ = 24

EAP auth request         Num = 0        Err = 0        Succ = 0

Account request          Num = 4        Err = 0        Succ = 4

Account off request      Num = 503      Err = 0        Succ = 503

PKT auth timeout         Num = 15       Err = 5        Succ = 10

PKT acct_timeout         Num = 1509     Err = 503      Succ = 1006

Realtime Account timer   Num = 0        Err = 0        Succ = 0

PKT response             Num = 23       Err = 0        Succ = 23

Session ctrl pkt         Num = 0        Err = 0        Succ = 0

Normal author request    Num = 0        Err = 0        Succ = 0

Set policy result        Num = 0        Err = 0        Succ = 0

RADIUS sent messages statistic:

Auth accept              Num = 10

Auth reject              Num = 14

EAP auth replying        Num = 0

Account success          Num = 4

Account failure          Num = 3

Server ctrl req          Num = 0

RecError_MSG_sum = 0

SndMSG_Fail_sum  = 0

Timer_Err        = 0

Alloc_Mem_Err    = 0

State Mismatch   = 0

Other_Error      = 0

No-response-acct-stop packet = 1

Discarded No-response-acct-stop packet for buffer overflow = 0

表2-2 display radius statistics命令显示信息描述表

字段

描述

state statistic(total=18000)

状态统计(总数=18000)

DEAD

空闲态用户数

AuthProc

认证等待态用户数

AuthSucc

认证成功态用户数

AcctStart

计费开始态用户数

RLTSend

实时计费发送态用户数

RLTWait

实时计费等待态用户数

AcctStop

计费等待停止态报用户数

OnLine

在线态用户数

Stop

停止态报文数

Received and Sent packets statistic

收发报文数目统计

Sent PKT total

发送报文总数

Received PKT total

接收报文总数

Resend Times

重传报文的次数

Resend total

单次重传报文数

Total

重传报文总数

RADIUS received packets statistic

RADIUS模块接收报文数目统计

Code

报文类型

Num

报文总数

Err

错误报文数

Running statistic

运行间报文数目统计

RADIUS received messages statistic

RADIUS已接收消息数目统计

Normal auth request

普通认证请求报文数

EAP auth request

EAP认证请求报文数

Account request

计费请求报文数

Account off request

计费停止请求报文数

PKT auth timeout

认证超时报文数

PKT acct_timeout

计费超时报文数

Realtime Account timer

实时计费请求报文数

PKT response

响应报文数

Session ctrl pkt

会话控制报文数

Normal author request

普通授权请求报文数

Succ

成功报文数

Set policy result

Set policy结果报文数

RADIUS sent messages statistic

RADIUS已发送消息数目统计

Auth accept

认证接收报文数

Auth reject

认证拒绝报文数

EAP auth replying

EAP认证回应报文数

Account success

计费成功报文数

Account failure

计费失败报文数

Server ctrl req

服务器控制请求报文数

RecError_MSG_sum

接收错误消息总数

SndMSG_Fail_sum

发送消息失败总数

Timer_Err

启动定时器失败报文数

Alloc_Mem_Err

申请内存失败报文数

State Mismatch

状态不匹配报文数

Other_Error

其它错误报文数

No-response-acct-stop packet

停止计费报文无响应数

Discarded No-response-acct-stop packet for buffer overflow

因缓存区满而丢弃的无响应停止计费报文总数

 

l              分布式设备:

# 显示槽位号为0的接口板上的RADIUS报文统计信息。

<Sysname> display radius statistics slot 0

 Slot  0:state statistic(total=18000):

     DEAD = 18000     AuthProc = 0        AuthSucc = 0

AcctStart = 0         RLTSend = 0         RLTWait = 0

 AcctStop = 0          OnLine = 0            Stop = 0

 StateErr = 0

 

Received and Sent packets statistic:

Sent PKT total   = 1547

Received PKT total = 23

Resend Times     Resend total

1                508

2                508

Total            1016

RADIUS received packets statistic:

Code =  2   Num = 15       Err = 0

Code =  3   Num = 4        Err = 0

Code =  5   Num = 4        Err = 0

Code = 11   Num = 0        Err = 0

 

Running statistic:

RADIUS received messages statistic:

Normal auth request      Num = 24       Err = 0        Succ = 24

Account request          Num = 4        Err = 0        Succ = 4

Account off request      Num = 503      Err = 0        Succ = 503

PKT auth timeout         Num = 15       Err = 5        Succ = 10

PKT acct_timeout         Num = 1509     Err = 503      Succ = 1006

Realtime Account timer   Num = 0        Err = 0        Succ = 0

PKT response             Num = 23       Err = 0        Succ = 23

Session ctrl pkt         Num = 0        Err = 0        Succ = 0

Normal author request    Num = 0        Err = 0        Succ = 0

Set policy result        Num = 0        Err = 0        Succ = 0

RADIUS sent messages statistic:

Auth accept              Num = 10

Auth reject              Num = 14

Account success          Num = 4

Account failure          Num = 3

Server ctrl req          Num = 0

RecError_MSG_sum = 0

SndMSG_Fail_sum  = 0

Timer_Err        = 0

Alloc_Mem_Err    = 0

State Mismatch   = 0

Other_Error      = 0

 

No-response-acct-stop packet = 1

Discarded No-response-acct-stop packet for buffer overflow = 0

表2-3 display radius statistics命令显示信息描述表

字段

描述

slot

接口板所在槽位号

state statistic(total=18000)

状态统计(总数=18000)

DEAD

空闲态用户数

AuthProc

认证等待态用户数

AuthSucc

认证成功态用户数

AcctStart

计费开始态用户数

RLTSend

实时计费发送态用户数

RLTWait

实时计费等待态用户数

AcctStop

计费等待停止态用户数

OnLine

在线态用户数

Stop

停止态用户数

StateErr

未知错误态用户数

Received and Sent packets statistic

收发报文数目统计

Sent PKT total

发送报文总数

Received PKT total

接收报文总数

Resend Times

重传报文的次数

Resend total

单次重传报文数

Total

重传报文总数

RADIUS received packets statistic

RADIUS模块接收报文数目统计

Code

报文类型

Num

报文总数

Err

错误报文数

Running statistic

运行间报文数目统计

RADIUS received messages statistic

RADIUS已接收消息数目统计

Normal auth request

普通认证请求报文数

Account request

计费请求报文数

Account off request

计费停止请求报文数

PKT auth timeout

认证超时报文数

PKT acct_timeout

计费超时报文数

Realtime Account timer

实时计费请求报文数

PKT response

响应报文数

Session ctrl pkt

会话控制报文数

Normal author request

普通授权请求报文数

Succ

成功报文数

Set policy result

Set policy结果报文数

RADIUS sent messages statistic

RAIUDS已发送消息数目统计

Auth accept

认证接收报文数

Auth reject

认证拒绝报文数

Account success

计费成功报文数

Account failure

计费失败报文数

Server ctrl req

服务器控制请求报文数

RecError_MSG_sum

接收错误消息总数

SndMSG_Fail_sum

发送消息失败总数

Timer_Err

启动定时器失败报文数

Alloc_Mem_Err

申请内存失败报文数

State Mismatch

状态不匹配报文数

Other_Error

其它错误报文数

No-response-acct-stop packet

停止计费报文无响应数

Discarded No-response-acct-stop packet for buffer overflow

因缓存区满而丢弃的无响应停止计费报文总数

 

2.1.8  display stop-accounting-buffer

【命令】

集中式设备:

display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }

分布式设备:

display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:根据指定RADIUS方案显示缓存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串。

session-id session-id:根据指定会话ID显示缓存的停止计费请求报文。其中,session-id为1~50个字符的字符串。

time-range start-time stop-time:根据停止计费请求时刻的起始和停止时间显示缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-timestop-time范围内的、暂存的停止计费请求报文都会被显示。

user-name user-name:根据指定用户名显示缓存的停止计费请求报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致。

slot slot-number:显示指定接口板上缓存的停止计费请求报文。其中,slot-number表示接口板所在槽位号。

【描述】

display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。

需要注意的是:

l              可以选择显示发往某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来显示报文;还可以指定一个时间段,显示那些发起停止计费请求的时刻处于指定时间段内的报文。根据显示的报文信息,可以帮助诊断与排除RADIUS相关故障。

l              在发送停止计费请求报文而RADIUS服务器没有响应时,设备系统会缓存该报文,然后以一定的次数发送,具体发送的次数由retry stop-accounting命令设置。

相关配置可参考命令reset stop-accounting-bufferstop-accounting-buffer enableuser-name-formatretry stop-accounting

【举例】

l              集中式设备

# 显示从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。

<Sysname> display stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006

Total find 0 record(s)

l              分布式设备

# 在槽位号为0的接口板上,显示从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。

<Sysname> display stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006 slot 0

 Slot  0:

Total 0 record(s) Matched

2.1.9  key (RADIUS scheme view)

【命令】

key { accounting | authentication } string

undo key { accounting | authentication }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

accounting:指定RADIUS计费报文的共享密钥。

authentication:指定RADIUS认证/授权报文的共享密钥。

string:密钥,为1~64个字符的字符串,区分大小写。

【描述】

key命令用来配置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来删除配置。

缺省情况下,无共享密钥。

需要注意的是:

l              设备优先采用配置RADIUS认证/授权/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/授权/计费服务器时未指定相应密钥的情况下使用。

l              必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令display radius scheme

【举例】

# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为hello。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key authentication hello

# 将RADIUS方案radius1的计费报文的共享密钥设置为ok。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key accounting ok

2.1.10  nas device-id

【命令】

nas device-id device-id

undo nas device-id

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

device-id:表示设备ID,取值为12

【描述】

nas device-id命令用于配置双机热备模式下的设备ID。双机热备组网环境下的两台设备的设备ID分别为1和2。undo nas device-id命令用于恢复缺省情况。

缺省情况下,设备工作在单机模式,无设备ID。

需要注意的是:

l              改变设备ID后,设备上所有在线用户均会被强制下线。

l              为保证双机模式下两台设备之间的业务备份正常工作,需要保证两台设备的设备ID分别为1和2。

l              由于设备ID是设备运行在双机模式下的标志,因此单机运行的环境下,不建议配置此命令。

本命令仅集中式设备支持。

 

【举例】

# 在双机热备的组网环境中,配置本端设备运行在双机热备模式,设备ID为1。

<Sysname> system-view

[Sysname] nas device-id 1

Warning: This command will cut all user connections on this device. Continue? [Y

/N]

在对端设备上,应该配置设备的设备ID2

2.1.11  nas-backup-ip

【命令】

nas-backup-ip ip-address

undo nas-backup-ip

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的备份源IP地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。在双机热备运行的环境下,此地址必须指定为对端设备上发送RADIUS报文的源IP地址。

【描述】

nas-backup-ip命令用来设置设备发送RADIUS报文使用的备份源IP地址。undo nas-backup-ip命令用来恢复缺省情况。

缺省情况下,未指定设备发送RADIUS报文使用的备份源IP地址。

需要注意的是:

l              指定发送RADIUS报文使用的备份源IP地址,可以保证双机热备环境中主设备发生故障时,服务器发送的报文可以被备份设备收到并进行处理。

l              RADIUS方案视图下的命令nas-backup-ip只对本RADIUS方案有效,系统视图下的命令radius nas-backup-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

l              当配置了本命令的RADIUS方案被引用时,不可以修改或者删除已配置的备份源IP地址。

l              本命令只能指定一个备份源IP地址,新配置的备份源IP地址会覆盖原有的备份源IP地址。

相关配置可参考命令nas-ipradius nas-ip

本命令仅集中式设备支持。

 

【举例】

# 在双机热备的组网环境中,设置本端设备发送RADIUS报文使用的源IP地址为2.2.2.2,备份源IP为3.3.3.3。

<Sysname> system-view

[Sysname] radius scheme aaa

[Sysname-radius-aaa] nas-ip 2.2.2.2

[Sysname-radius-aaa] nas-backup-ip 3.3.3.3

在对端设备上,应该设置设备发送RADIUS报文使用的源IP地址为3.3.3.3,备份源IP2.2.2.2

2.1.12  nas-ip (RADIUS scheme view)

【命令】

nas-ip { ip-address | ipv6 ipv6-address }

undo nas-ip

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IP v4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。

【描述】

nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。undo nas-ip命令用来恢复缺省情况。

缺省情况下,使用系统视图下由命令radius nas-ip指定的源地址。

需要注意的是:

l              指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用Loopback接口地址。

l              RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

l              本命令配置的源IP地址与RADIUS方案中设置的服务器IP地址的协议版本必须保持一致,否则配置能成功但不能生效。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令radius nas-ip

【举例】

# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] radius scheme test1

[Sysname-radius-test1] nas-ip 10.1.1.1

2.1.13  primary accounting (RADIUS scheme view)

【命令】

primary accounting { ip-address [ port-number | vpn-instance vpn-instance-name | key string ] *  | ipv6 ipv6-address [ port-number  | key string ] * }

undo primary accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主RADIUS计费服务器的IP v4地址。

ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。

port-number:UDP端口号,缺省为1813,取值范围为1~65535。

key string:主RADIUS计费服务器的计费报文的共享密钥,为1~64个字符的字符串,区分大小写。

vpn-instance vpn-instance-name:主RADIUS计费服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

primary accounting命令用来配置主RADIUS计费服务器。undo primary accounting命令用来删除设置的主RADIUS计费服务器。

缺省情况下,未配置主计费服务器。

需要注意的是:

l              主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。

l              需保证设备上设置的计费报文的共享密钥与RADIUS服务器上的完全一致。

l              设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting string命令设置的共享密钥。

l              若设备与MPLS VPN私网服务器通信,为保证RADIUS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              主计费服务器和从计费服务器的IP地址协议版本必须一致,否则提示错误。

l              计费服务器与认证服务器的IP地址协议版本必须一致,否则提示错误。

l              本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令keyradius schemestatevpn-instance (RADIUS scheme view)。

【举例】

# 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 1813

2.1.14  primary authentication (RADIUS scheme view)

【命令】

primary authentication { ip-address [ port-number | key string | vpn-instance vpn-instance-name ] * | ipv6 ipv6-address [ port-number | key string ] * }

undo primary authentication

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主RADIUS认证/授权服务器的IPv4地址。

ipv6 ipv6-address:主RADIUS认证/授权服务器的IPv6地址。

port-number:UDP端口号,缺省为1812,取值范围为1~65535。

key string:主RADIUS认证/授权服务器的认证/授权报文的共享密钥,为1~64个字符的字符串,区分大小写。

vpn-instance vpn-instance-name:主RADIUS认证/授权服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

primary authentication命令用来配置主RADIUS认证/授权服务器。undo primary authentication命令用来删除设置的主RADIUS认证/授权服务器。

缺省情况下,未配置主认证/授权服务器。

需要注意的是:

l              当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置。这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证设备上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。

l              需保证设备上设置的认证/授权报文的共享密钥与RADIUS服务器上的完全一致。

l              设备与主认证/授权服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authenticaiton string命令设置的共享密钥。

l              若设备与MPLS VPN私网服务器通信,为保证RADIUS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。

l              主认证/授权服务器和从认证/授权服务器的IP地址协议版本必须一致,否则提示错误。

l              认证/授权服务器与计费服务器的IP地址协议版本必须一致,否则提示错误。

l              本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令keyradius schemestatevpn-instance (RADIUS scheme view)。

【举例】

# 设置RADIUS方案radius1的主认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 1812

2.1.15  radius client

【命令】

radius client enable

undo radius client

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

radius client enable命令用来使能RADIUS客户端的监听端口,使能后的端口可以接收和发送RADIUS报文。undo radius client命令用来关闭RADIUS客户端的监听端口。

缺省情况下,监听端口处于使能状态。

需要注意的是:

l              关闭RADIUS客户端的监听端口后,RADIUS可以接受认证/授权/计费请求,也可以处理RADIUS的定时器消息,但报文发送会失败,同时不能接收来自RADIUS服务器的报文。

l              关闭RADIUS客户端的监听端口后,在线用户的计费结束报文无法发出,且不能被缓存。同时,RADIUS服务器收不到在线用户的下线报文,会出现有一段时间用户已经下线,但RADIUS服务器上还有此用户的情况。

l              关闭RADIUS客户端的监听端口后,如果配置了RADIUS方案和本地认证/授权/计费方案,则RADIUS请求失败后会转由本地方案继续认证/授权/计费。

l              关闭RADIUS客户端的监听端口后,缓存的计费报文的发送会失败,失败次数达到配置的最大次数后,计费报文将从缓存中被删除。

【举例】

# 使能RADIUS客户端的监听端口。

<Sysname> system-view

[Sysname] radius client enable

2.1.16  radius nas-backup-ip

【命令】

radius nas-backup-ip ip-address [ vpn-instance vpn-instance-name ]

undo radius nas-backup-ip

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的备份源IP地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。在双机热备运行的环境下,此地址必须指定为对端设备上发送RADIUS报文的源IP地址。

vpn-instance vpn-instance-name:备份源IP地址所属的VPN实例名称,为1~31个字符的字符串,区分大小写。若指定该参数,则表示配置的是私网备份源地址;若不指定该参数,则表示配置的是公网备份源地址。

【描述】

radius nas-backup-ip命令用来设置设备发送RADIUS报文使用的备份源IP地址。undo radius nas-backup-ip命令用来恢复缺省情况。

缺省情况下,未指定设备发送RADIUS报文使用的备份源IP地址。

需要注意的是:

l              设置发送RADIUS报文使用的备份源IP地址,可以保证双机热备环境中主设备发生故障时,服务器发送的报文可以被备份设备收到并进行处理。

l              包括公网备份源地址和私网备份源地址在内,系统最多允许指定16个备份源地址。其中,最多只能指定一个公网备份源地址,新配置的公网备份源地址会覆盖原有的公网备份源地址。而且,每一个VPN只能指定一个私网备份源地址,新配置会覆盖原有配置。

l              RADIUS方案视图下的命令nas-backup-ip只对本RADIUS方案有效,系统视图下的命令radius nas-backup-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

l              当某个RADIUS方案被用户使用时,不能修改系统视图下的备份源IP地址。

相关配置可参考命令radius nas-backup-ip

本命令仅集中式设备支持。

 

【举例】

# 在双机热备的组网环境中,设置本端设备发送RADIUS报文使用的源IP地址为2.2.2.2,备份源IP为3.3.3.3。

<Sysname> system-view

[Sysname] radius nas-ip 2.2.2.2

[Sysname] radius nas-backup-ip 3.3.3.3

在对端设备上,应该设置设备发送RADIUS报文使用的源IP地址为3.3.3.3,备份源IP为2.2.2.2。

2.1.17  radius nas-ip

【命令】

radius nas-ip { ip-address [ vpn-instance vpn-instance-name ] | ipv6 ipv6-address }

undo radius nas-ip { ip-address [ vpn-instance vpn-instance-name ] | ipv6 ipv6-address }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。

vpn-instance vpn-instance-name:源IPv4地址所属的VPN实例名称,为1~31个字符的字符串,区分大小写。若指定该参数,则表示配置的是私网源地址;若不指定该参数,则表示配置的是公网源地址。

ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。

【描述】

radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。undo radius nas-ip命令用来恢复缺省情况。

缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。

需要注意的是:

l              指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。

l              包括公网源地址和私网源地址在内,系统最多允许指定16个源地址。其中,最多只能指定一个公网源地址,新配置的公网源地址会覆盖原有的公网源地址。而且,每一个VPN只能指定一个私网源地址,新配置会覆盖原有配置。

l              RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

l              本命令配置的源IP地址与使用该源地址的RADIUS方案中设置的服务器IP地址的协议版本必须保持一致,否则配置能成功但不能生效。

相关配置可参考命令nas-ip

【举例】

# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。

<Sysname> system-view

[Sysname] radius nas-ip 129.10.10.1

2.1.18  radius scheme

【命令】

radius scheme radius-scheme-name

undo radius scheme radius-scheme-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

radius scheme命令用来创建RADIUS方案并进入其视图。undo radius scheme命令用来删除指定的RADIUS方案。

缺省情况下,未定义RADIUS方案。

需要注意的是:

l              RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至少须指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数。

l              一个RADIUS方案可以同时被多个ISP域引用。

l              当有使用RADIUS方案的用户在线时,不允许使用undo radius scheme命令删除该方案。

相关配置可参考命令keyretry realtime-accountingtimer realtime-accountingstop-accounting-buffer enable、retry stop-accountingserver-typestateuser-name-formatretrydisplay radius schemedisplay radius statistics

【举例】

# 创建名为radius1的RADIUS方案并进入其视图。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1]

2.1.19  radius trap

【命令】

radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }

undo radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

accounting-server-down:表示RADIUS计费服务器可达状态改变时发送Trap信息。

authentication-error-threshold:表示认证失败次数超过阈值时发送Trap信息。该阈值为认证失败次数与认证请求总数的百分比,目前仅能通过MIB方式配置,取值范围为1%~100%,缺省为30%。

authentication-server-down:表示RADIUS认证服务器可达状态改变时发送Trap信息。

【描述】

radius trap命令用来使能RADIUS trap功能。undo radius trap命令用来关闭指定的RADIUS Trap功能。

缺省情况下,RADIUS Trap功能处于关闭状态。

使能RADIUS服务器可达状态改变时的Trap功能后,Trap信息的发送包括以下两种情况:

l              当NAS向RADIUS服务器发送计费或认证请求没有响应时,NAS认为服务器不可达,并发送Trap信息。具体为,当NAS向服务器发送的报文累计次数达到最大传送次数的1/2时,系统发送一次Trap报文。若最大传送次数为奇数时,则最大传送次数的1/2取值为大于最大传送次数1/2的最小整数。

l              当RADIUS服务器在不可达状态下收到服务器发送的报文时,NAS认为服务器可达,并发送一次Trap报文。

l              使能认证失败次数超过阈值时的Trap功能后,当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,系统会发送一次Trap报文。

【举例】

# 使能RADIUS计费服务器可达状态改变时的Trap功能。

<Sysname> system-view

[Sysname] radius trap accounting-server-down

2.1.20  reset radius statistics

【命令】

集中式设备:

reset radius statistics

分布式设备:

reset radius statistics [ slot slot-number ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

slot slot-number:清除指定接口板上RADIUS协议的统计信息。其中,slot-number表示接口板所在槽位号。

【描述】

reset radius statistics命令用来清除RADIUS协议的统计信息。

相关配置请参考命令display radius scheme

【举例】

# 清除RADIUS协议的统计信息。

<Sysname> reset radius statistics

2.1.21  reset stop-accounting-buffer

【命令】

集中式设备:

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }

分布式设备:

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:根据指定RADIUS方案清除缓存的停止计费响应报文。其中,radius-scheme-name为RAIUDS方案名,为1~32个字符的字符串。

session-id session-id:根据指定会话ID清除缓存的停止计费响应报文。其中,session-id为会话ID,为1~50个字符的字符串。

time-range start-time stop-time:根据指定停止计费请求时刻的起始和结束时间清除缓存的停止计费响应报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。

user-name user-name:根据指定用户名清除缓存的停止计费响应报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。

slot slot-number:根据指定接口板清除缓存的停止计费响应报文。其中,slot-number表示接口板所在槽位号。

【描述】

reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。

相关配置可参考命令stop-accounting-buffer enableretry stop-accountinguser-name-formatdisplay stop-accounting-buffer

【举例】

# 清除用户user0001@test缓存在系统中的停止计费请求报文。

<Sysname> reset stop-accounting-buffer user-name user0001@test

# 清除从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。

<Sysname> reset stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006

2.1.22  retry

【命令】

retry retry-times

undo retry

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:报文重传次数的最大值,取值范围为1~20。

【描述】

retry命令用来设置RAIUDS报文超时重传次数的最大值。undo retry命令用来恢复缺省情况。

缺省情况下,RADIUS报文超时重传次数的最大值为3次。

需要注意的是:

l              由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次认证失败。

l              该命令配置的累计传送次数为设备向主、备服务器发送的所有重传报文之和。假设配置的重传次数为N,在主备RADIUS服务器都存在的情况下,如果累计重传次数达到N/2(N为偶数)或(N+1)/2(N为奇数)时,当前服务器仍没有响应设备,则设备会转而向另一个服务器发送请求报文。

l              RADIUS报文超时重传次数的最大值与RADIUS服务器应答超时时间的乘积不能超过75秒。

相关配置可参考命令radius schemetimer response-timeout

【举例】

# 设置在RADIUS方案radius1下,RAIUDS报文的最大超时重传次数为5次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry 5

2.1.23  retry realtime-accounting

【命令】

retry realtime-accounting retry-times

undo retry realtime-accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:允许实时计费请求无响应的最大次数,取值范围为1~255。

【描述】

retry realtime-accounting命令用来设置允许实时计费请求无响应的最大次数。undo retry realtime-accounting命令用来恢复缺省情况。

缺省情况下,最多允许5次实时计费请求无响应。

需要注意的是:

l              RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,在设备端尽量与RADIUS服务器同步切断用户连接。设备提供对连续实时计费请求无响应次数限制的设置——在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备将切断用户连接。

l              假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,超时重传次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费失败的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。

相关配置可参考命令radius schemetimer realtime-accounting

【举例】

# 设置RADIUS方案radius1最多允许10次实时计费请求无响应。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry realtime-accounting 10

2.1.24  retry stop-accounting (RADIUS scheme view)

【命令】

retry stop-accounting retry-times

undo retry stop-accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:允许停止计费请求无响应的最大次数,取值范围为10~65535。

【描述】

retry stop-accounting命令用来设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,允许停止计费请求无响应的最大次数。undo retry stop-accounting命令用来恢复缺省情况。

缺省情况下,缓存的停止计费请求报文的最大发送次数为500。

假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,超时重传次数(retry命令设置)为5,设备允许的停止计费请求无响应的最大次数为20次(retry stop-accounting命令设置),则其含义为:设备发起停止计费请求,如果3秒钟内得不到回应就重新发起一次请求,如果重传5次都没有得到回应就认为该次停止计费请求失败,设备会将其缓存在本机上,然后再发起一次请求,重复上述过程,20次尝试均失败以后,设备将其丢弃。

相关配置可参考命令radius schemedisplay stop-accounting-buffer

【举例】

# 设置对于RADIUS方案radius1中的服务器,设备最多可以将缓存的停止计费请求报文发送1000次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry stop-accounting 1000

2.1.25  secondary accounting (RADIUS scheme view)

【命令】

secondary accounting { ip-address [ port-number | key string | vpn-instance vpn-instance-name ] * | ipv6 ipv6-address [ port-number | key string ] * }

undo secondary accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。

port-number:UDP端口号,缺省为1813,取值范围为1~65535。]

key string:从RADIUS计费服务器的计费报文的共享密钥,为1~64个字符的字符串,区分大小写。

vpn-instance vpn-instance-name:从RADIUS计费服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

secondary accounting命令用来配置从RADIUS计费服务器。undo secondary accounting命令用来删除配置的从RADIUS计费服务器。

缺省情况下,未配置从计费服务器。

需要注意的是:

l              主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。

l              需保证设备上设置的计费报文的共享密钥与RADIUS服务器上的完全一致。

l              设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting string命令设置的共享密钥。

l              若设备与MPLS VPN私网服务器通信,为保证RADIUS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              主计费服务器和从计费服务器的IP地址协议版本必须一致,否则提示错误。

l              计费服务器与认证服务器的IP地址协议版本必须一致,否则提示错误。

l              本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令keyradius schemestatevpn-instance (RADIUS scheme view)。

【举例】

# 设置RADIUS方案radius1的从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813

2.1.26  secondary authentication (RADIUS scheme view)

【命令】

secondary authentication { ip-address [ port-number | key string | vpn-instance vpn-instance-name ] * | ipv6 ipv6-address [ port-number | key string ] * }

undo secondary authentication

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从RADIUS认证/授权服务器的IPv4地址。

ipv6 ipv6-address:从RADIUS认证/授权服务器的IPv6地址。

port-number:UDP端口号,缺省为1812,取值范围为1~65535。

key string:从RADIUS认证/授权服务器的认证/授权报文的共享密钥,为1~64个字符的字符串,区分大小写。

vpn-instance vpn-instance-name:从RADIUS认证/授权服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

secondary authentication命令用来配置从RADIUS认证/授权服务器。undo secondary authentication命令用来删除配置的从RADIUS认证/授权服务器。

缺省情况下,未配置从认证/授权服务器。

需要注意的是:

l              主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。

l              需保证设备上设置的认证/授权报文的共享密钥与RADIUS服务器上的完全一致。

l              设备与从认证/授权服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authentication string命令设置的共享密钥。

l              若设备与MPLS VPN私网服务器通信,为保证RADIUS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              主认证/授权服务器和从认证/授权服务器的IP地址协议版本必须一致,否则提示错误。

l              认证/授权服务器与计费服务器的IP地址协议版本必须一致,否则提示错误。

l              本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令keyradius schemestatevpn-instance (RADIUS scheme view)。

【举例】

# 设置RADIUS方案radius1的从认证/授权服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812

2.1.27  security-policy-server

【命令】

security-policy-server ip-address

undo security-policy-server { ip-address | all }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:安全策略服务器IP地址。

all:所有安全策略服务器IP地址。

【描述】

security-policy-server命令用来设置安全策略服务器。undo security-policy-server命令用来删除指定的安全策略服务器。

缺省情况下,未指定安全策略服务器。

需要注意的是:

l              一个RADIUS方案中可以配置多个安全策略服务器IP地址,最多不能超过8个。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令radius nas-ip

【举例】

# 设置RADIUS方案radius1的安全策略服务器IP地址为10.110.1.2。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] security-policy-server 10.110.1.2

2.1.28  server-type

【命令】

server-type { extended | standard }

undo server-type

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

extended:指定extended类型的RADIUS服务器(一般为CAMS/iMC),即要求RADIUS客户端(设备系统)和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。

standard:指定standard类型的RADIUS服务器,即要求RADIUS客户端(设备系统)和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互。

【描述】

server-type命令用来指定设备系统支持的RADIUS服务器类型。undo server-type命令用来恢复缺省情况。

缺省情况下,设备系统支持的RADIUS服务器类型为standard

需要注意的是,只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令radius scheme

【举例】

# 将RADIUS方案radius1的RADIUS服务器类型设置为standard

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-type standard

2.1.29  state

【命令】

state { primary | secondary } { accounting | authentication } { active | block }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

primary:设置主RADIUS服务器的状态。

secondary:设置从RADIUS服务器的状态。

accounting:设置RADIUS计费服务器的状态。

authentication:设置RADIUS认证/授权服务器的状态。

active:设置RADIUS服务器的状态为active,即处于正常工作状态。

block:设置RADIUS服务器的状态为block,即处于通信中断状态。

【描述】

state命令用来设置RADIUS服务器的状态。

缺省情况下,RADIUS方案中配置了IP地址的各RADIUS服务器的状态均为active

需要注意的是:

l              当主/从服务器状态均为active时,设备首先与主服务器通信,若主服务器不可达,则主服务器状态变为block,设备转而与从服务器交互。在timer quiet设定的时间达到后主服务器状态恢复为active,从服务器状态不变,设备与主服务器进行通信。后续报文交互时设备仍然遵从以上规则进行主从服务器的切换。而计费开始后,客户端与从计费服务器之间的通信不会因为主计费服务器的恢复而切换。

l              当主/从服务器的状态都被指定为block时,设备仅与主服务器通信,若主服务器可达,则主服务器状态变为active。若主从服务器状态都为block时,希望使用从服务器进行认证,必须将从服务器的状态手工配置为active,否则不会进行主从服务器的切换。

l              在一个服务器状态为active、另外一个服务器状态为block的情况下,设备仅与状态为active的服务器通信,即使该服务器不可达,设备也不会尝试与另外一个服务器通信。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令radius schemeprimary authenticationsecondary authenticationprimary accountingsecondary accounting

【举例】

# 将RADIUS方案radius1的从认证服务器的状态设置为active

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state secondary authentication active

2.1.30  stop-accounting-buffer enable (RADIUS scheme view)

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。

缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。

由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到RADIUS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。

需要注意的是,只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令reset stop-accounting-bufferradius schemedisplay stop-accounting-buffer

【举例】

# 指示对于RADIUS方案radius1中的服务器,设备能够缓存没有得到响应的停止计费请求报文。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] stop-accounting-buffer enable

2.1.31  timer quiet (RADIUS scheme view)

【命令】

timer quiet minutes

undo timer quiet

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。

【描述】

timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。

缺省情况下,主服务器恢复激活状态的时间为5分钟。

相关配置可参考命令display radius scheme

【举例】

# 设置主服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] radius scheme test1

[Sysname-radius-test1] timer quiet 10

2.1.32  timer realtime-accounting (RADIUS scheme view)

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟,非零取值必须为3的倍数。

【描述】

timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。

缺省情况下,实时计费的时间间隔为12分钟。

需要注意的是:

l              为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。

l              当实时计费间隔设置为0时,如果服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息。

l              实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求,取值小,会增加网络中的数据流量,对设备和RADIUS服务器的性能要求就高;取值大,会影响计费的准确性。因此要结合网络的实际情况合理设置计费间隔的大小,一般情况下,建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:

表2-4 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

¦1000

¦15

 

相关配置可参考命令retry realtime-accountingradius scheme

【举例】

# 将RADIUS方案radius1的实时计费的时间间隔设置为51分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer realtime-accounting 51

2.1.33  timer response-timeout (RADIUS scheme view)

【命令】

timer response-timeout seconds

undo timer response-timeout

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

seconds:RADIUS服务器应答超时时间,取值范围为1~10,单位为秒。

【描述】

timer response-timeout命令用来设置RADIUS服务器应答超时时间。undo timer response-timeout命令用来恢复缺省情况。

缺省情况下,RADIUS服务器应答超时时间为3秒。

需要注意的是:

l              如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长。设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,命令timer response-timeout就是用来设置这个定时器时长的。

l              根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。

l              RADIUS报文超时重传次数的最大值与RADIUS服务器应答超时时间的乘积不能超过75秒。

相关配置可参考命令radius schemeretry

【举例】

# 将RADIUS方案radius1的响应超时定时器设置为5秒。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer response-timeout 5

2.1.34  user-name-format (RADIUS scheme view)

【命令】

user-name-format { keep-original | with-domain | without-domain }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

keep-original:发送给RADIUS服务器的用户名与用户输入的保持一致。

with-domain:发送给RADIUS服务器的用户名带ISP域名。

without-domain:发送给RADIUS服务器的用户名不带ISP域名。

【描述】

user-name-format命令用来设置发送给RADIUS服务器的用户名格式。

缺省情况下,RADIUS方案发送给RADIUS服务器的用户名携带有ISP域名。

需要注意的是:

l              接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。

l              如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。

l              在802.1x用户采用EAP认证方式的情况下,RADIUS方案中配置的user-name-format命令无效,客户端传送给RADIUS服务器的用户名不会有改动。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令radius scheme

【举例】

# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] user-name-format without-domain

2.1.35  vpn-instance (RADIUS scheme view)

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

vpn-instance-name:VPN实例的名称,为1~31个字符的字符串,区分大小写。

【描述】

vpn-instance命令用来配置RADIUS方案所属的VPN实例。undo vpn-instance命令用来取消RADIUS方案所属的VPN实例。

需要注意的是:

l              本命令配置的VPN实例对于该方案下的所有RADIUS认证/授权/计费服务器生效,但设备优先使用配置RADIUS认证/授权/计费服务器时为各服务器单独指定的VPN实例。

l              目前,本命令指定的VPN实例对于IPv6协议的RADIUS认证/授权/计费服务器不生效。

相关配置可参考命令radius schemedisplay radius scheme

【举例】

# 配置RADIUS方案radius1所属的VPN实例为test。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] vpn-instance test

 


3 HWTACACS配置命令

3.1  HWTACACS配置命令

3.1.1  data-flow-format (HWTACACS scheme view)

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

data:设置数据的单位。

byte:数据单位为字节。

giga-byte:数据单位千兆字节。

kilo-byte:数据单位为千字节。

mega-byte:数据单位为兆字节。

packet:设置数据包的单位。

giga-packet:数据包的单位为千兆包。

kilo-packet:数据包的单位为千包。

mega-packet:数据包的单位为兆包。

one-packet:数据包的单位为包。

【描述】

data-flow-format命令用来配置发送到HWTACACS服务器的数据流的单位。undo data-flow-format命令用来恢复缺省情况。

缺省情况下,数据的单位为byte,数据包的单位为one-packet

相关配置可参考命令display hwtacacs

【举例】

# 设置发往HWTACACS服务器的数据流的数据单位为kilo-byte、数据包的单位为kilo-packet

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet

3.1.2  display hwtacacs

【命令】

集中式设备:

display hwtacacs [ hwtacacs-scheme-name [ statistics ] ]

分布式设备:

display hwtacacs [ hwtacacs-scheme-name [ statistics ] ] [ slot slot-number ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme-name:指定HWTACACS方案名。

statistics显示HWTACACS服务器的详细统计信息。

slot slot-number:显示指定接口板上的HWTACACS方案的配置信息或统计信息。其中,slot-number表示接口板所在槽位号。

【描述】

display hwtacacs命令用来查看HWTACACS方案的配置信息或统计信息。

需要注意的是:

l              如果不指定HWTACACS方案名,则显示所有HWTACACS方案的配置信息。

l              如果不指定接口板所在槽位号,则显示主控板上HWTACACS方案的配置信息。

相关配置请参考命令hwtacacs scheme

【举例】

# 查看HWTACACS方案gy的配置情况。

<Sysname> display hwtacacs gy

  --------------------------------------------------------------------

  HWTACACS-server template name     : gy

  Primary-authentication-server     : 172.31.1.11:49

  Primary-authorization-server      : 172.31.1.11:49

  Primary-accounting-server         : 172.31.1.11:49

  Secondary-authentication-server   : 0.0.0.0:0

  Secondary-authorization-server    : 0.0.0.0:0

  Secondary-accounting-server       : 0.0.0.0:0

  Current-authentication-server     : 172.31.1.11:49

  Current-authorization-server      : 172.31.1.11:49

  Current-accounting-server         : 172.31.1.11:49

  NAS-IP-address                    : 0.0.0.0

  key authentication                : 790131

  key authorization                 : 790131

  key accounting                    : 790131

  Quiet-interval(min)               : 5

  Realtime-accounting-interval(min) : 12

  Response-timeout-interval(sec)    : 5

  Acct-stop-PKT retransmit times    : 100

  Username format                   : with-domain

  Domain-included                   : Yes

  Data traffic-unit                 : B

  Packet traffic-unit               : one-packet

  -------------------------------------------------------------------- 

表3-1 display hwtacacs命令显示信息描述表

字段

描述

HWTACACS-server template name

HWTACACS服务器方案名

Primary-authentication-server

主认证服务器IP地址/接入端口号

l      未配置主认证服务器时,IP地址/接入端口号显示为0.0.0.0:0。下面各服务器同理显示

Primary-authorization-server

主授权服务器IP地址/接入端口号

Primary-accounting-server

主计费服务器IP地址/接入端口号

Secondary-authentication-server

备认证服务器IP地址/接入端口号

Secondary-authorization-server

备授权服务器IP地址/接入端口号

Secondary-accounting-server

备计费服务器IP地址/接入端口号

Current-authentication-server

当前认证服务器IP地址/接入端口号

Current-authorization-server

当前授权服务器IP地址/接入端口号

Current-accounting-server

当前计费服务器IP地址/接入端口号

NAS-IP-address

NAS的IP地址

l      未指定时,IP地址显示为0.0.0.0

key authentication

认证密钥

key authorization

授权密钥

key accounting

计费密钥

Quiet-interval

主服务器恢复激活状态的时间

Realtime-accounting-interval

实时计费间隔

Response-timeout-interval

服务器响应超时间隔

Acct-stop-PKT retransmit times

停止计费报文的重传次数

Username format

发送给HWTACACS服务器的用户名格式

Data traffic-unit

数据流量单位

Packet traffic-unit

包流量单位

 

3.1.3  display stop-accounting-buffer

【命令】

集中式设备:

display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

分布式设备:

display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案显示缓存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串。

slot slot-number:显示指定接口板上的缓存的停止计费请求报文。其中,slot-number表示接口板所在槽位号。

【描述】

display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。

相关配置可参考命令reset stop-accounting-bufferstop-accounting-buffer enableretry stop-accounting

【举例】

l              集中式设备

# 显示HWTACACS方案hwt1缓存的停止计费请求报文。

<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1

Total 0 record(s) Matched

l              分布式设备

# 在槽位号为0的接口板上,显示HWTACACS方案hwt1缓存的停止计费请求报文。

<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1 slot 0

  Slot  0:

Total 0 record(s) Matched

3.1.4  hwtacacs nas-ip

【命令】

hwtacacs nas-ip ip-address

undo hwtacacs nas-ip

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。

【描述】

hwtacacs nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo hwtacacs nas-ip命令用来恢复缺省状态。

缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。

需要注意的是:

l              指定发送HWTACACS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。

l              本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。

l              HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。

相关配置可参考命令nas-ip

【举例】

# 配置设备发送HWTACACS报文使用的源地址为129.10.10.1。

<Sysname> system-view

[Sysname] hwtacacs nas-ip 129.10.10.1

3.1.5  hwtacacs scheme

【命令】

hwtacacs scheme hwtacacs-scheme-name

undo hwtacacs scheme hwtacacs-scheme-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。

【描述】

hwtacacs scheme命令用来创建HWTACACS方案并进入其视图。undo hwtacacs scheme命令用来删除指定的HWTACACS方案。

缺省情况下,没有定义HWTACACS方案。

需要注意的是,当有使用HWTACACS方案的用户在线时,不允许使用undo hwtacacs scheme命令删除该方案。

【举例】

# 创建名为hwt1的HWTACACS方案并进入相应的HWTACACS视图。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1]

3.1.6  key (HWTACACS scheme view)

【命令】

key { accounting | authentication | authorization } string

undo key { accounting | authentication | authorization } string

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

accounting:指示HWTACACS计费报文的共享密钥。

authentication:指示HWTACACS认证报文的共享密钥。

authorization:指示HWTACACS授权报文的共享密钥。

string:密钥,为不超过1~64个字符的字符串,区分大小写。

【描述】

key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。undo key命令用来删除配置。

缺省情况下,无共享密钥。

相关配置可参考命令display hwtacacs

【举例】

# 配置HWTACACS计费报文共享密钥为hello。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] key accounting hello

3.1.7  nas-ip (HWTACACS scheme view)

【命令】

nas-ip ip-address

undo nas-ip

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。

【描述】

nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo nas-ip命令用来恢复缺省情况。

缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。

需要注意的是:

l              指定发送HWTACACS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。

l              本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。

l              HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。

相关配置可参考命令hwtacacs nas-ip

【举例】

# 配置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1

3.1.8  primary accounting (HWTACACS scheme view)

【命令】

primary accounting ip-address [ port-number | vpn-instance vpn-instance-name ] *

undo primary accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主HWTACACS计费服务器的IP地址,必须是合法的单播地址。

port-number:主HWTACACS计费服务器的端口号,缺省为49,取值范围为1~65535。

vpn-instance vpn-instance-name:主HWTACACS计费服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

primary accounting命令用来配置HWTACACS主计费服务器。undo primary accounting命令用来删除配置的HWTACACS主计费服务器。

缺省情况下,未配置主计费服务器。

需要注意的是:

l              主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              若设备与MPLS VPN私网服务器通信,为保证HWTACACS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              本命令指定的服务器所属的VPN实例比HWTACACS方案所属的VPN实例具有更高的优先级。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。

相关配置可参考命令display hwtacacshwtacacs schemevpn-instance (HWTACACS scheme view)。

【举例】

# 配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49提供HWTACACS计费服务。

<Sysname> system-view

[Sysname] hwtacacs scheme test1

[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49

3.1.9  primary authentication (HWTACACS scheme view)

【命令】

primary authentication ip-address [ port-number | vpn-instance vpn-instance-name ] *

undo primary authentication

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主HWTACACS认证服务器的IP地址,必须是合法的单播地址。

port-number:主HWTACACS认证服务器的端口号,缺省为49,取值范围为1~65535。

vpn-instance vpn-instance-name:主HWTACACS认证服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

primary authentication命令用来配置HWTACACS认证服务器。undo primary authentication命令用来删除配置的认证服务器。

缺省情况下,未配置主认证服务器。

需要注意的是:

l              主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              若设备与MPLS VPN私网服务器通信,为保证HWTACACS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              本命令指定的服务器所属的VPN实例比HWTACACS方案所属的VPN实例具有更高的优先级。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。

相关配置可参考命令display hwtacacshwtacacs schemevpn-instance (HWTACACS scheme view)。

【举例】

# 配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS认证服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49

3.1.10  primary authorization

【命令】

primary authorization ip-address [ port-number | vpn-instance vpn-instance-name ] *

undo primary authorization

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主HWTACACS授权服务器的IP地址,必须是合法的单播地址。

port-number:主HWTACACS授权服务器的端口号,缺省为49,取值范围为1~65535。

vpn-instance vpn-instance-name:主HWTACACS授权服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

primary authorization命令用来配置HWTACACS主授权服务器。undo primary authorization命令用来删除配置的主HWTACACS授权服务器。

缺省情况下,未配置主授权服务器。

需要注意的是:

l              主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              若设备与MPLS VPN私网服务器通信,为保证HWTACACS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              本命令指定的服务器所属的VPN实例比HWTACACS方案所属的VPN实例具有更高的优先级。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。删除服务器只对之后的报文有效。

相关配置可参考命令display hwtacacshwtacacs schemevpn-instance (HWTACACS scheme view)。

【举例】

# 配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS授权服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49

3.1.11  reset hwtacacs statistics

【命令】

集中式设备:

reset hwtacacs statistics { accounting | all | authentication | authorization }

分布式设备:

reset hwtacacs statistics { accounting | all | authentication | authorization } [ slot slot-number ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

accounting:清除HWTACACS协议关于计费的统计信息。

all:清除HWTACACS的所有统计信息。

authentication:清除HWTACACS协议关于认证的统计信息。

authorization:清除HWTACACS协议关于授权的统计信息。

slot slot-number:清除指定接口板上的HWTACACS协议的统计信息。其中,slot-number为接口板所在槽位号。

【描述】

reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。

相关配置请参考命令display hwtacacs

【举例】

# 清除HWTACACS协议的所有统计信息。

<Sysname> reset hwtacacs statistics all

3.1.12  reset stop-accounting-buffer

【命令】

集中式设备:

reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

分布式设备:

reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案清除缓存的停止计费请求报文。其中,hwtacacs-server-name为HWTACACS方案名,为1~32个字符的字符串。

slot slot-number:清除指定接口板上缓存的停止计费请求报文。其中,slot-number表示接口板所在槽位号。

【描述】

reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。

相关配置可参考命令stop-accounting-buffer enableretry stop-accountingdisplay stop-accounting-buffer

【举例】

# 清除HWTACACS方案hwt1缓存在系统中的停止计费请求报文。

<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1

3.1.13  retry stop-accounting (HWTACACS scheme view)

【命令】

retry stop-accounting retry-times

undo retry stop-accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:停止计费请求报文的最大重试次数,取值范围为1~300。

【描述】

retry stop-accounting命令用来设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,停止计费请求报文的最大重试次数。undo retry stop-accounting命令用来恢复缺省情况。

缺省情况下,停止计费请求报文的最大发送次数为100。

相关配置可参考命令reset stop-accounting-bufferhwtacacs schemedisplay stop-accounting-buffer

【举例】

# 设置对于HWTACACS方案hwt1中的服务器,设备系统最多可以将缓存的停止计费请求报文发送50次。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] retry stop-accounting 50

3.1.14  secondary accounting (HWTACACS scheme view)

【命令】

secondary accounting ip-address [ port-number | vpn-instance vpn-instance-name ] *

undo secondary accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从HWTACACS计费服务器的IP地址,必须是合法的单播地址。

port-number:从HWTACACS计费服务器的端口号,缺省为49,取值范围为1~65535。

vpn-instance vpn-instance-name:从HWTACACS计费服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

secondary accounting命令用来配置HWTACACS从计费服务器。undo secondary accounting命令用来删除配置的HWTACACS从计费服务器。

缺省情况下,未配置从计费服务器。

需要注意的是:

l              主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              若设备与MPLS VPN私网服务器通信,为保证HWTACACS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              本命令指定的服务器所属的VPN实例比HWTACACS方案所属的VPN实例具有更高的优先级。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。

相关配置可参考命令display hwtacacshwtacacs schemevpn-instance (HWTACACS scheme view)

【举例】

# 配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49提供HWTACACS计费服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary accouting 10.163.155.12 49

3.1.15  secondary authentication (HWTACACS scheme view)

【命令】

secondary authentication ip-address [ port-number | vpn-instance vpn-instance-name ] *

undo secondary authentication

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从HWTACACS服务器的IP地址,必须是合法的单播地址。

port-number:从HWTACACS服务器的端口号,缺省为49,取值范围为1~65535。

vpn-instance vpn-instance-name:从HWTACACS服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

secondary authentication命令用来配置HWTACACS从认证服务器。undo secondary authentication命令用来删除配置的从认证服务器。

缺省情况下,未配置从认证服务器。

需要注意的是:

l              主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              若设备与MPLS VPN私网服务器通信,为保证HWTACACS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              本命令指定的服务器所属的VPN实例比HWTACACS方案所属的VPN实例具有更高的优先级。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。

相关配置可参考命令display hwtacacshwtacacs schemevpn-instance (HWTACACS scheme view)。

【举例】

# 配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS认证服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49

3.1.16  secondary authorization

【命令】

secondary authorization ip-address [ port-numbert | vpn-instance vpn-instance-name ] *

undo secondary authorization

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从HWTACACS授权服务器的IP地址,必须是合法的单播地址。

port-number:从HWTACACS授权服务器的端口号,缺省为49,取值范围为1~65535。

vpn-instance vpn-instance-name:从HWTACACS授权服务器所属的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

secondary authorization命令用来配置HWTACACS从授权服务器。undo secondary authorization命令用来删除配置的从授权服务器。

缺省情况下,未配置从授权服务器。

需要注意的是:

l              主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              若设备与MPLS VPN私网服务器通信,为保证HWTACACS报文被发送到指定的私网服务器,需保证本命令中指定的VPN实例和服务器实际所在的VPN实例一致。

l              本命令指定的服务器所属的VPN实例比HWTACACS方案所属的VPN实例具有更高的优先级。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。

相关配置可参考命令display hwtacacshwtacacs schemevpn-instance (HWTACACS scheme view)。

【举例】

# 配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS授权服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49

3.1.17  stop-accounting-buffer enable (HWTACACS scheme view)

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。

缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。

由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。

相关配置可参考命令reset stop-accounting-bufferhwtacacs schemedisplay stop-accounting-buffer

【举例】

# 指示对于HWTACACS方案hwt1中的服务器,设备能够缓存没有得到响应的停止计费请求报文。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable

3.1.18  timer quiet (HWTACACS scheme view)

【命令】

timer quiet minutes

undo timer quiet

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。

【描述】

timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。

缺省情况下,主服务器恢复激活状态的时间为5分钟。

相关配置可参考命令display hwtacacs

【举例】

# 设置主服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer quiet 10

3.1.19  timer realtime-accounting (HWTACACS scheme view)

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟,非零取值必须为3的倍数。0表示设备不向HWTACACS服务器发送在线用户的计费信息。

【描述】

timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。

缺省情况下,实时计费的时间间隔为12分钟。

需要注意的是:

l              为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。

l              实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求,取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:

表3-2 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

¦1000

¦15

 

【举例】

# 将HWTACACS方案hwt1的实时计费的时间间隔设置为51分钟。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer realtime-accounting 51

3.1.20  timer response-timeout (HWTACACS scheme view)

【命令】

timer response-timeout seconds

undo timer response-timeout

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

seconds:服务器应答超时时间,取值范围为1~300,单位为秒。

【描述】

timer response-timeout命令用来设置HWTACACS服务器应答超时时间。undo timer response-timeout命令用来恢复缺省情况。

缺省情况下,HWTACACS服务器应答超时时间为5秒。

需要注意的是,由于HWTACACS是基于TCP实现的,因此,服务器应答超时或TCP超时都可能导致与HWTACACS服务器的连接断开。

相关配置可参考命令display hwtacacs

【举例】

# 配置TACACS服务器应答超时时间为30秒。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer response-timeout 30

3.1.21  user-name-format (HWTACACS scheme view)

【命令】

user-name-format { keep-original | with-domain | without-domain }

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。

with-domain:发送给HWTACACS服务器的用户名带ISP域名。

without-domain:发送给HWTACACS服务器的用户名不带ISP域名。

【描述】

user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。

缺省情况下,HWTACACS方案默认发送给HWTACACS服务器的用户名携带有ISP域名。

需要注意的是:

l              接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。

l              如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。

相关配置可参考命令hwtacacs scheme

【举例】

# 指定发送给HWTACACS方案hwt1的用户不带ISP域名。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] user-name-format without-domain

3.1.22  vpn-instance (HWTACACS scheme view)

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

vpn-instance-name:VPN实例的名称,为1~31个字符的字符串,区分大小写。

【描述】

vpn-instance命令用来配置HWTACACS方案所属的VPN实例。undo vpn-instance命令用来取消HWTACACS方案所属的VPN实例。

需要注意的是,本命令配置的VPN实例对于该方案下的所有HWTACACS认证/授权/计费服务器生效,但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN实例。

相关配置可参考命令hwtacacs schemedisplay hwtacacs scheme

【举例】

# 配置HWTACACS方案hw1所属的VPN实例为test。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] vpn-instance test

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!