- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
19-AAA-RADIUS-HWTACACS-EAD命令
本章节下载 (398.88 KB)
目 录
1.1.11 local-user password-display-mode
1.2.4 display local-server statistics
1.2.6 display radius statistics
1.2.7 display stop-accounting-buffer
1.2.15 reset radius statistics
1.2.16 reset stop-accounting-buffer
1.2.18 retry realtime-accounting
1.2.21 secondary authentication
1.2.24 stop-accounting-buffer enable
1.2.27 timer realtime-accounting
1.3.3 display stop-accounting-buffer
1.3.11 reset hwtacacs statistics
1.3.12 reset stop-accounting-buffer
1.3.15 secondary authentication
1.3.16 secondary authorization
1.3.17 stop-accounting-buffer enable
1.3.19 timer realtime-accounting
【命令】
access-limit { disable | enable max-user-number }
undo access-limit
【视图】
ISP域视图
【参数】
disable:表示不限制当前ISP域可容纳的接入用户数。
enable max-user-number:设置当前ISP域可容纳接入用户数的最大值,取值范围为1~4120。
【描述】
access-limit命令用来指定当前ISP域可容纳用户数的最大值。
undo access-limit命令用来恢复缺省设置。
缺省情况下,不限制当前ISP域可容纳的用户数。
由于接入用户之间会发生资源的争用,因此适当地配置可接入用户数可以使属于当前ISP域的用户获得可靠的性能保障。
【举例】
# 指定ISP域“example.com”最多可容纳500个接入用户。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] domain example.com
New Domain added.
[H3C-isp-example.com] access-limit enable 500
【命令】
attribute { ip ip-address | mac mac-address | idle-cut second | access-limit max-user-number | vlan vlan-id | location { nas-ip ip-address port port-number | port port-number } }*
undo attribute { ip | mac | idle-cut | access-limit | vlan | location }*
【视图】
本地用户视图
【参数】
ip:指定用户绑定的IP地址。
mac:指定用户绑定的MAC地址。其中,mac-address为线分十六进制格式(即形如H-H-H的样式)。
idle-cut second:允许/禁止本地用户启用闲置切断功能(闲置切断的具体数据则取决于用户所在ISP域下的配置)。second为设定的闲置切断时间,取值范围60~7200,单位为秒。
access-limit max-user-number:指定可以用当前用户名接入设备的最大用户数,max-user-number取值范围为1~4096。
vlan vlan-id:设置用户绑定的VLAN属性,即设置用户所属于的VLAN,vlan-id 为整数,取值范围1~4094。
location:设置用户的端口绑定属性。
nas-ip ip-address:用户远端端口绑定时接入服务器的IP地址,ip-address为IP地址,为点分十进制格式。缺省为127.0.0.1,表示为本机。
port port-number:设置用户绑定的端口,port-number输入为“槽号 子槽号 端口号”样式,如绑定的端口没有子槽号,对应项输入0即可。
【描述】
attribute命令用来设置本地用户的一些属性值。undo attribute命令用来取消对本地用户属性值的设置。
需要说明的是:当指定用户绑定的是远程端口,则该用户必需指定nas-ip参数,若用户绑定的是本地端口,则不需要指定nas-ip参数。
& 说明:
如果本地用户所属的ISP域或者该ISP域所引用的RADIUS方案打开了计费可选开关(通过accounting optional命令配置),则对该本地用户的接入数目限制不起作用,即配置attribute access-limit命令无效。
相关配置可参考命令display local-user。
【举例】
# 设置用户H3C1的IP地址为10.110.50.1。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] local-user H3C1
[H3C-luser-H3C1] attribute ip 10.110.50.1
【命令】
cut connection { all | access-type dot1x | domain domain-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name }
【视图】
系统视图
【参数】
all:切断所有接入用户的连接。
access-type dot1x:切断所有802.1x用户的连接。
domain isp-name:切断ISP域下的所有接入用户的连接。其中,isp-name为ISP域名,为不超过24个字符的字符串。指定的ISP域必须已经存在。
interface interface-type interface-number:切断指定端口的所有接入用户的连接。
ip ip-address:切断IP地址为ip-address的所有接入用户的连接。
mac mac-address:切断MAC地址为mac-address的接入用户的连接。其中,mac-address为线分十六进制格式(即形如H-H-H的样式)。
radius-scheme radius-scheme-name:切断使用名称为radius-scheme-name的RADIUS方案的所有接入用户连接。radius-scheme-name为不超过32个字符的字符串。
vlan vlan-id :切断VLAN ID为vlan-id 的所有接入用户的连接。其中,vlan-id 的取值范围为1~4094。
ucibindex ucib-index:切断某个连接索引号为ucib-index的接入用户的连接,取值范围为0~4119。
user-name user-name:切断用户名为user-name的接入用户的连接。其中,user-name为用户名,为不超过80个字符的字符串,字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符,并且“@”出现的次数不能多于1次,纯用户名(“@”以前部分,即用户标识)不能超过55个字符。
【描述】
cut connection命令用来强制切断某个或某类接入用户的连接。
目前,此命令仅对802.1x用户有效。Telnet、FTP和SFTP登录用户不能用此命令切断连接。
相关配置可参考命令display connection。
【举例】
# 切断域名为“example.com”的ISP域下的所有802.1x用户的连接。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] cut connection domain example.com
【命令】
display connection [ access-type dot1x | domain domain-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name ]
【视图】
任意视图
【参数】
access-type dot1x:显示所有802.1x用户连接。
domain isp-name:显示某个ISP域下的全部接入用户连接。其中,isp-name为ISP域名,为不超过24个字符的字符串。指定的ISP域必须已经存在。
interface interface-type interface-number:显示某个接口的所有接入用户连接。
ip ip-address:显示某个IP地址为ip-address的所有接入用户连接。
mac mac-address:显示某个MAC地址为mac-address的接入用户连接。其中,mac-address为线分十六进制格式(即形如H-H-H的样式)。
radius-scheme radius-scheme-name:显示使用名称为radius-scheme-name的RADIUS方案的所有接入用户连接。radius-scheme-name为不超过32个字符的字符串。
vlan vlan-id :显示ID为vlan-id 的所有接入用户连接。其中,vlan-id 的取值范围为1~4094。
ucibindex ucib-index:显示某个连接索引号为ucib-index的接入用户连接。
user-name user-name:显示某个用户名为user-name的接入用户连接。其中,user-name为用户名,为不超过32个字符的字符串,字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符,并且“@”出现的次数不能多于1次,纯用户名(“@”以前部分,即用户标识)不能超过24个字符。
【描述】
display connection命令用来显示所有或指定的接入用户连接的相关信息。根据输出的信息,可以帮助诊断与排除用户连接方面的故障。
如果不指定任何参数,系统显示所有用户连接的相关信息。
& 说明:
FTP、SFTP登录用户不能通过此命令显示。
相关配置可参考命令cut connection。
【举例】
# 显示所有802.1x用户连接的相关信息。
<H3C> display connection
Total 0 connections matched ,0 listed.
【命令】
display domain [ isp-name ]
【视图】
任意视图
【参数】
isp-name:ISP域名,为不超过24个字符的字符串。所指定的ISP域必须已经存在。
【描述】
display domain命令用来显示指定ISP域的配置信息或所有ISP域的概要信息。
不指定任何参数的情况下,显示所有ISP域的概要信息。
根据输出的信息,可以帮助诊断与排除与ISP域有关的故障。
相关配置可参考命令access-limit,domain,radius-scheme,user-template,state,display domain。
【举例】
# 显示系统中所有ISP域的概要信息。
0 Domain = system
State = Active
Scheme = LOCAL
Access-limit = Disable
Vlan-assignment-mode = Integer
accounting-mode = time
Domain User Template:
Idle-cut = Disable
Self-service = Disable
Messenger Time = Disable
Default Domain Name: system
Total 1 domain(s).1 listed.
对上述显示信息的各项解释如下表所示。
表1-1 display domain显示信息描述表
|
域名 |
解释 |
|
0 Domain |
ISP域索引号 域名 |
|
State |
状态 |
|
Scheme |
域使用的AAA方案:LOCAL(本地认证)、NONE(不认证)或者RADIUS方案名 |
|
AccessLimit |
接入用户连接数限制 |
|
Vlan-assignment-mode |
动态VLAN下发模式,有整型(Integer)和字符串(String)两种模式 |
|
accounting-mode |
计费模式:time(按时间计费)、traffic(按流量计费) |
|
Domain User Template |
域用户模板 |
|
Idle-cut |
闲置切断功能,Disable表示没有启用闲置切断功能;Enable表示启用了闲置切断功能 |
|
Self-service |
自助服务器的URL,Disable表示没有启动自助服务器定位功能;如果启动了自助服务器定位功能,则显示配置的自助服务器的URL |
|
Messenger Time |
信使提醒服务,Disable表示没有启动信使提醒服务;如果配置了信使提醒服务,则显示信使提醒的时间和周期 |
【命令】
display local-user [ domain isp-name | idle-cut { enable | disable } | service-type { telnet | ftp | ssh | terminal | lan-access } | state { active | block } | user-name user-name | vlan vlan-id ]
【视图】
任意视图
【参数】
domain isp-name:显示属于某个ISP域的全部本地用户。其中,isp-name为ISP域名,为不超过24个字符的字符串。指定的ISP域必须已经存在。
idle-cut:根据是否启用闲置切断功能显示本地用户。其中,disable表示用户没有启用闲置切断功能;enable表示用户启用了闲置切断功能。此参数仅对配置了lan-access业务的用户有效,对于其他业务类型的用户,命令display local-user idle-cut enable和display local-user idle-cut disable不会显示任何用户信息。
service-type:根据用户类型显示本地用户。其中,telnet指定用户为telnet类型;ftp指定用户为ftp类型;lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户);ssh:指定用户为SSH类型。terminal指定用户可以使用terminal服务(即从Console口登录)。
state { active | block }:显示处于某种状态的本地用户。其中,active表示系统允许用户请求网络服务;block表示系统不允许用户请求网络服务。
user-name user-name:显示用户名为user-name的本地用户。其中,user-name为用户名,为不超过80个字符的字符串,字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符,并且“@”出现的次数不能多于1次,纯用户名(“@”以前部分,即用户标识)不能超过55个字符。
vlan-id vlan-id :显示绑定的VLAN ID为vlan-id 的本地用户。其中,vlan-id 为整数,取值范围1~4094。
【描述】
display local-user命令用来显示所有或指定的本地用户的相关信息。根据输出的信息,可以帮助诊断与排除与本地用户有关的故障。
缺省情况下,显示所有本地用户的相关信息。
相关配置可参考命令local-user,service-type。
【举例】
# 显示所有本地用户的相关信息。
<H3C> display local-user
The contents of local user user1:
State: Active ServiceType Mask: T
Idle-cut: Disable
Access-limit: Disable Current AccessNum: 0
Bind location: Disable
Vlan ID: Disable
IP address: Disable
MAC address: Disable
User Privilege: 0
Total 1 local user(s) Matched, 1 listed.
表1-2 display local-user显示信息描述表
|
域名 |
解释 |
|
State |
状态 |
|
ServiceType Mask |
本地用户的服务类型标志: T表示Telnet服务类型 S表示SSH服务类型 C表示终端服务类型 LM表示lan-access服务类型 F表示FTP服务类型 None表示未设置服务类型 |
|
Idle Cut |
闲置切断开关 |
|
AccessLimit |
接入用户连接数限制 |
|
Bind location |
是否与端口捆绑 |
|
VLAN ID |
用户绑定的VLAN |
|
IP address |
用户绑定的IP地址 |
|
MAC address |
用户绑定的MAC地址 |
|
User Privilege |
用户级别 |
【命令】
domain { isp-name | default { disable | enable isp-name } }
undo domain isp-name
【视图】
系统视图
【参数】
isp-name:ISP域名。为不超过24个字符的字符串,且不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符。
default enable isp-name:指定缺省ISP域为isp-name。
disable:恢复缺省ISP域为“system”。
【描述】
domain命令用来创建一个ISP域,或者进入已创建ISP域的视图。undo domain命令用来删除指定的ISP域。
缺省情况下,系统使用的域为“system”。
ISP域即ISP用户群,一个ISP域即是由同属于一个ISP的用户构成的用户群。一般情况下,在“userid@isp-name”形式(例如[email protected])的用户名中,“@”后的“isp-name”(如例中的“example.com”)即为ISP域的域名。在H3C公司的 H3C系列以太网交换机对用户进行接入控制时,对于用户名为“userid@isp-name”形式的ISP用户,系统就将把“userid”作为用于身份认证的用户名,把“isp-name”作为域名。
引入ISP域的设置是为了支持多ISP的应用环境:在这种环境中,同一个接入设备接入的有可能是不同ISP的用户。由于各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP域的方法把它们区别开。在ISP域视图下,可以为每个ISP域配置包括AAA方案(使用的RADIUS方案等)在内的一整套单独的ISP域属性。
对于交换机来说,每个接入用户都属于一个ISP域。系统中最多可以配置16个ISP域。
使用此命令时,如果指定的ISP域不存在,系统将会创建一个新的ISP域,所有的ISP域在创建后即处于active状态。
相关配置可参考命令access-limit,scheme,state,display domain。
【举例】
# 创建一个新的ISP域“example.com”,并进入其视图。
[H3C] domain example.com
New Domain added.
[H3C-isp-example.com]
【命令】
idle-cut { disable | enable minute flow }
【视图】
ISP域视图
【参数】
disable:表示禁止用户启用闲置切断功能。
enable:表示允许用户启用闲置切断功能。
minute:允许的最大空闲时间,单位为分钟,取值范围为1~120。
flow:设置的最小数据流量,单位为字节,取值范围为1~10,240,000(即10M)。
【描述】
idle-cut命令用来设置当前ISP域下的用户模板中的闲置切断属性。
缺省情况下,当一个ISP域被创建以后,其用户模板中的闲置切断开关处于关闭状态。
所谓用户模板,是指一组缺省用户属性的集合。当某个请求网络服务的用户不具有某项必须具备的属性时,则指定用户模板中的属性作为其缺省属性。如果在对某个用户进行认证后,用户及RADIUS服务器均没有明确指出其idle-cut是否开启,则指定用户模板中的idle-cut开关状态作为该用户idle-cut开关的状态。
由于用户模板的作用范围局限于一个ISP域,因此对于不同ISP域的用户,需要分别配置用户模板属性。
相关配置可参考命令domain。
【举例】
# 允许当前ISP域“example.com”下的用户启用用户模板中的闲置切断属性(即允许用户使用闲置切断功能),最大空闲时间为50分,设置的最小数据流为500字节。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] domain example.com
New Domain added.
[H3C-isp-example.com] idle-cut enable 50 500
【命令】
level level
undo level
【视图】
本地用户视图
【参数】
level:指定用户的优先级。level为整数,取值范围0~3。缺省值为0。
【描述】
level命令用来设置用户的优先级。undo level命令用来恢复用户缺省的优先级。
相关配置可参考命令local-user。
& 说明:
用户登录以太网交换机时,其所能使用的命令取决于用户自身的级别设置和用户界面上进行的命令级别设置,如果二者不同:
l 对于使用AAA/RADIUS认证的用户,其所能使用的命令以用户的级别为准。例如:某用户的级别是3级,而VTY 0用户界面上设置的命令级别是1级,则该用户从VTY 0登录系统时,可以使用3级及以下的命令。
l 对于使用RSA公钥认证的用户,其所能使用的命令以用户界面上设置的级别为准。
【举例】
# 设置用户级别为3。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] local-user H3C1
[H3C-luser-H3C1] level 3
【命令】
local-user user-name
undo local-user { user-name | all [ service-type { telnet | ftp | lan-access | ssh | terminal } ] }
【视图】
系统视图
【参数】
user-name:本地用户名。为不超过80个字符的字符串,字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符,并且“@”出现的次数不能多于1次,纯用户名(“@”以前部分,即用户标识)不能超过55个字符。用户名不区分大小写,输入UserA和usera,系统视为同一用户。
service-type:指定用户的类型。其中,telnet指定用户为telnet类型;ftp指定用户为ftp类型;lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户);ssh指定用户为SSH类型。terminal指定用户可以使用终端服务(即从Console口登录)。
all:所有的用户。
【描述】
local-user命令用来添加本地用户并进入本地用户视图。undo local-user命令用来删除指定的本地用户。
缺省情况下,无本地用户。
相关配置可参考命令display local-user, service-type。
【举例】
# 添加名称为H3C1的本地用户
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] local-user H3C1
[H3C-luser-H3C1]
【命令】
local-user password-display-mode { cipher-force | auto }
undo local-user password-display-mode
【视图】
系统视图
【参数】
cipher-force:强制cipher方式,即所有本地用户的密码显示方式必须采用密文方式。
auto:自动方式,即本地用户的密码显示方式和password命令的设置保持一致。
【描述】
local-user password-display-mode命令用来设置所有本地用户的密码显示方式。undo local-user password-display-mode命令用来取消设置的所有本地用户的密码显示方式。
当采用cipher-force方式后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码仍然会显示为密文。
缺省情况下,所有本地用户的密码显示方式为auto。
相关配置可参考命令display local-user, password。
【举例】
# 强制所有本地用户采用密码密文方式显示。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] local-user password-display-mode cipher-force
【命令】
messenger time { enable limit interval | disable }
undo messenger time
【视图】
ISP域视图
【参数】
limit:设置交换机在用户剩余多长上网时间时,开始向客户端发送提醒消息。单位为分钟,取值范围为1~60。
interval:发送提醒消息的间隔。单位为分钟,取值范围为5~60,必须为5的倍数。
【描述】
messenger time enable命令用来开启信使提醒功能并配置其相关参数;messenger time disable命令用来关闭信使提醒功能。undo messenger time命令用来恢复信使提醒功能为缺省情况。
缺省情况下,交换机关闭信使提醒功能。
信使提醒功能指在用户使用网络的过程中,客户端以信息提醒对话框形式,提醒用户剩余的上网时间,使用户可以提前安排自己的工作。
信使提醒功能的实现如下:
l 在交换机上用如下命令配置上网剩余时间(limit)及发送提醒消息的间隔(interval);
l 每隔这个时间间隔,交换机将用户上网剩余时间通知到客户端;
l 客户端即以对话框的形式,提醒用户上网时间。
【举例】
# 设置当用户剩余30分钟上网时间的时候开始发送提醒消息,每隔5分钟发送一次。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] domain system
New Domain added.
[H3C-isp-system] messenger time enable 30 5
【命令】
name string
undo name
【视图】
VLAN视图
【参数】
string:指定下发的VLAN名称,为不超过32个字符的字符串。
【描述】
name用来配置下发VLAN的名称。undo name用来删除该下发VLAN的名称。
缺省情况下,下发VLAN的名称为该VLAN的VLAN ID,如“VLAN 0001”。
此命令用来配合动态VLAN下发功能使用。动态VLAN下发的相关介绍请参见命令vlan-assignment-mode。
相关配置可参考命令dot1x guest-vlan,vlan-assignment-mode。
【举例】
# 为VLAN 100设置名称为test。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] vlan 100
[H3C-vlan100] name test
【命令】
password { simple | cipher } password
undo password
【视图】
本地用户视图
【参数】
simple:表示密码为明文显示。
cipher:表示密码为密文显示。
password:表示设置的密码,对于simple方式,password必须是明文密码。对于cipher方式,password可以是密文密码也可以是明文密码,结果视输入而定。明文密码可以是长度小于等于16的连续字符串,如:H3C918。密文密码的长度必须是24位,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
【描述】
password命令用来设置本地用户的密码。undo password命令用来取消设置的密码。
需要注意的是,当采用local-user password-display-mode cipher-force命令后,即使用户通过password命令指定密码显示方式为明文(即simple方式),密码也会显示为密文。
相关配置可参考命令display local-user。
【举例】
# 设置名称为user1的用户采用明文加密方式,密码为20060522。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] local-user user1
[H3C-luser-user1] password simple 20060522
radius-scheme radius-scheme-name
radius-scheme-name:引用的RADIUS方案名,为不超过32个字符的字符串。
radius-scheme命令用来指定当前ISP域引用的RADIUS方案。
缺省情况下,当一个ISP域被创建以后,其引用的AAA方案为本地认证(local),不使用RADIUS方案。
radius-scheme命令为当前ISP域指定引用的RADIUS方案。所指定引用的RADIUS方案必须是已经设置好的。此功能也可以通过scheme命令指定所引用的RADIUS方案实现。
相关配置可参考命令radius scheme,display radius。
# 指定当前ISP域“example.com”引用的RADIUS方案为“extended”。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] domain example.com
New Domain added.
[H3C-isp-example.com] radius-scheme extended
【命令】
scheme { radius-scheme radius-scheme-name [ local ] | local | none }
undo scheme [ radius-scheme | none ]
【视图】
ISP域视图
【参数】
radius-scheme-name:引用的RADIUS方案名,为不超过32个字符的字符串。
local:本地认证。
none:不认证。
【描述】
scheme命令用来指定当前ISP域使用的AAA方案。undo scheme命令用来恢复域使用的缺省的AAA方案。
缺省情况下,系统使用的AAA方案为local。
如果配置了radius-scheme radius-scheme-name local,则local为RADIUS服务器没有正常响应后的备选认证方案。即当RADIUS服务器有效时,不使用本地认证;当RADIUS服务器无效时,使用本地认证。配置RADIUS方案,但没有配置本地认证时,认证失败后本地认证不起作用。
如果指定AAA方案为local,那么系统只采用本地认证,不会再采用RADIUS。none与local相同。
也可以通过radius-scheme命令配置ISP域使用的RADIUS方案。
相关配置可参考命令radius scheme,display radius。
【举例】
# 指定当前ISP域“example.com”使用RADIUS方案“extended”作为其AAA方案。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] domain example.com
New Domain added.
[H3C-isp-example.com] scheme radius-scheme extended
【命令】
self-service-url enable url-string
self-service-url disable
【视图】
ISP域视图
【参数】
url-string:自助服务器修改用户密码页面的URL,为字符串形式,长度为1~64个字符。字符串中不能包括 “?”字符,如自助服务器的URL中包括“?”,则在命令行输入该URL时,需要将“?”转换为“|”。
【描述】
self-service-url enable命令用来启动自助服务器定位功能,self-service-url disable命令用来关闭自助服务器定位功能。
缺省情况下,交换机关闭自助服务器定位功能。
此命令需要与支持自助服务的RADIUS服务器配合使用,如CAMS。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。
如果在交换机上配置了此命令,用户可以通过如下操作定位到自助服务器:
l 用户在802.1x客户端软件上选择“更改用户密码”;
l 客户端软件打开用户缺省的浏览器(IE或者NetScape等),定位到指定的自助服务器更改用户密码的URL页面;
l 用户可以在该页面上修改自己的密码。
只有用户通过认证后才能进行在客户端软件上选择“更改用户密码”选项,否则该选项为灰色,不可用。
【举例】
# 在系统缺省的ISP域system下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice/modPasswd1x.jsp|userName。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] domain system
[H3C-isp-system] self-service-url enable http://10.153.89.94/selfservice/modPasswd1x.jsp|userName
【命令】
service-type { ftp [ ftp-directory directory ] | lan-access | { ssh | telnet | terminal }* [ level level ] }
undo service-type { ftp [ ftp-directory ] | lan-access | { ssh | telnet | terminal }* }
【视图】
本地用户视图
【参数】
ftp:指定用户为ftp类型。
ftp-directory directory:指定ftp用户的路径。directory为不超过64字符的字符串。
lan-access:指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户)。
ssh: 指定用户为SSH类型。
telnet:指定用户为telnet类型。
terminal:授权用户可以使用terminal服务(即从Console口登录)。
level level:指定Telnet、terminal或者SSH用户的级别。level为整数,取值范围0~3。缺省为0。
【描述】
service-type命令用来设置指定用户的服务类型。undo service-type命令用来取消指定用户的服务类型。
【举例】
# 设置用户user1为lan-access用户。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] local-user user1
[H3C-luser-user1] service-type lan-access
【命令】
state { active | block }
【视图】
ISP域视图/本地用户视图
【参数】
active:指定当前ISP域(ISP域视图)/当前用户(本地用户视图)处于活动状态,即系统允许该域下的用户(ISP域视图)/当前用户(本地用户视图)请求网络服务。
block:指定当前ISP域(ISP域视图)/当前用户(本地用户视图)处于“挂起”状态,即系统不允许该域下的用户(ISP域视图)/当前用户(本地用户视图)请求网络服务。
【描述】
state命令用来设置当前ISP域/当前用户的状态。
缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。
当一个本地用户被创建以后,其状态为active(本地用户视图)。
在ISP域视图下,每个ISP域有两个状态:active或block。当指示某个ISP域处于active状态时,允许该域下的用户请求网络服务;当指示某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。
相关配置可参考命令domain。
【举例】
# 设置当前ISP域“example.com”处于“挂起”状态,其下的接入用户不能再请求网络服务。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] domain example.com
New Domain added.
[H3C-isp-example.com] state block
# 设置用户user1处于“挂起”状态
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] local-user user1
[H3C-luser-user1] state block
【命令】
vlan-assignment-mode { integer | string }
【视图】
ISP域视图
【参数】
integer:配置VLAN下发模式为整型。
string:配置VLAN下发模式为字符串型。
【描述】
vlan-assignment-mode命令用来配置VLAN下发模式(整型或者字符串型)。
缺省情况下,VLAN下发模式为integer,即交换机支持RADIUS认证服务器下发整型的VLAN ID。
动态VLAN下发是指以太网交换机根据RADIUS服务器下发的属性值,将已经通过身份认证的用户所在端口加入到不同的VLAN中,从而对用户所能访问的网络资源进行控制。在实际应用中,为了与Guest VLAN配合使用,一般将端口设置为基于端口的方式。
目前交换机支持RADIUS服务器下发整型和字符串型的VLAN ID:
l 整型:交换机根据RADIUS服务器下发的整型ID将端口加入相应VLAN中,如果该VLAN不存在,则首先创建VLAN,而后将端口加入到新创建的VLAN中。
l 字符串型:交换机根据RADIUS服务器下发的字符串型ID,与交换机上已存在VLAN的名称进行比对,如果找到匹配项,则将该端口加入相应VLAN中,否则VLAN下发失败,用户无法通过认证。
交换机支持整型模式和字符串型模式的动态VLAN下发的是为了适应认证服务器而设置的。不同的服务器下发方式不同,建议用户根据所使用的服务器动态VLAN下发的格式来选择设备上的配置。
这里列出几种常用的服务器的下发模式:
表1-3 常用的RADIUS服务器的下发模式
|
服务器类型 |
动态VLAN下发方式 |
|
CAMS |
整型(最新版本根据属性值确定下发的是整型还是字符串型) |
|
ACS |
字符串型 |
|
FreeRADIUS |
根据属性值确定(100就是整型,“100”就是字符串型) |
|
Shiva Access Manager |
字符串型 |
|
Steel-Belted Radius Administrator |
字符串型 |
注意:
l 建议交换机的VLAN下发模式配置为和RADIUS认证服务器下发属性值的模式一致。选择正确的vlan-assignment-mode配置方式,便于交换机准确识别服务器下发的动态VLAN;若下发模式不一致,有可能无法达到预期结果。
l 以字符串模式下发时,欲下发的VLAN在交换机上必须已经存在,并且配置了VLAN名称;以整型模式下发时,则无此要求。
l 对于字符串型VLAN下发模式,交换机在处理过程中遵循整型优先的原则:如果RADIUS服务器下发的VLAN名称是全数字的字符串,如字符串“1024”,并且转换成整型的数值在合法的VLAN范围之内,则交换机会将全数字型的字符串转换为整型处理,将认证端口加入转换后的整型数值VLAN中,即该端口会被加入到VLAN 1024中。
相关配置可参考命令name,dot1x guest-vlan。
【举例】
# 配置VLAN下发模式为字符串型。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] domain example.com
New Domain added.
[H3C-isp-example.com] vlan-assignment-mode string
【命令】
accounting-on enable [ send times | interval interval ]
undo accounting-on { enable | send | interval }
【视图】
RADIUS方案视图
【参数】
times:发送Accounting-On报文的最大次数,取值范围1~256次,缺省值为40次。
interval:发送Accounting-On报文的时间间隔,取值范围1~30秒,缺省值为3秒。
【描述】
accounting-on enable命令用来启动设备重启用户再认证功能。undo accounting-on enable命令用来关闭该功能,并恢复发送Accounting-On报文的时间间隔和最大次数为缺省值。
undo accounting-on send命令用来恢复发送Accounting-On报文的最大次数为缺省值。
undo accounting-on interval命令用来恢复发送Accounting-On报文的时间间隔为缺省值。
缺省情况下,设备重启用户再认证功能处于关闭状态。
设备重启用户再认证功能能够解决交换机重启后,用户无法再次登录的问题。启动设备重启用户再认证功能后,交换机每次发生重启时:
l 交换机生成Accounting-On报文,该报文主要包括NAS-ID、NAS-IP(源IP)和会话ID信息;
l 交换机每隔设定的时间间隔向CAMS发送Accouting-On报文;
l CAMS收到Accounting-On报文后,立即向交换机发送一个响应报文,并根据Accouting-On报文中的NAS-ID、NAS-IP和会话ID,找到并删除通过交换机接入的原用户在线信息,并按照最后一次计费更新报文结束计费。
l 当交换机收到CAMS的响应报文后,即停止发送Accounting-On报文。
l 如果交换机发送Accounting-On报文的次数已达到设定的最大发送次数,但是仍没有收到CAMS的响应报文,则交换机停止发送Accounting-On报文。
& 说明:
Accounting-On报文中的主要属性:NAS-ID、NAS-IP和会话ID由交换机自动生成。其中NAS-IP还可以通过命令(nas-ip)手工配置,如果手工配置,请注意配置正确、合法的IP地址;如果不配置,交换机会自动选择VLAN虚接口的IP地址作为NAS-IP地址。
相关配置可参考命令nas-ip。
【举例】
# 启动名为CAMS的RADIUS方案的设备重启用户再认证功能。
<H3C> system-view
[H3C] radius scheme CAMS
[H3C-radius-CAMS] accounting-on enable
【命令】
accounting optional
undo accounting optional
【视图】
RADIUS方案视图/ISP域视图
【参数】
无
【描述】
命令accounting optional用来打开RADIUS计费可选开关,命令undo accounting optional用来关闭计费可选开关。
系统缺省为关闭RADIUS计费可选开关。
在对用户上线计费时如果发现没有可用的RADIUS计费服务器或与RADIUS计费服务器通信失败时,若配置了accounting optional命令,则用户也可以通过认证。
对配置了accounting optional命令的RADIUS方案内的所有用户,系统不再发送实时计费更新报文和停止计费报文。
RADIUS方案视图下的计费可选开关配置对使用此RADIUS方案的计费有效。
【举例】
# 打开名为CAMS的RADIUS方案的计费可选开关。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme CAMS
[H3C-radius-cams] accounting optional
【命令】
data-flow-format data { byte | giga-byte | kilo-byte | mega-byte } packet { giga-packet | kilo-packet | mega-packet | one-packet }
undo data-flow-format
【视图】
RADIUS方案视图
【参数】
data:设置数据的单位。
byte:数据单位为字节。
giga-byte:数据单位千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为“giga-packet”。
kilo-packet:数据包的单位为“kilo-packet”。
mega-packet:数据包的单位为“mega-packet”。
one-packet:数据包的单位为“one-packet”。
【描述】
data-flow-format命令用来配置发送到RADIUS服务器的数据流的单位。undo data-flow-format命令用来恢复发送到RADIUS服务器的数据流的单位为缺省设置。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
相关配置可参考命令display radius。
【举例】
# 设置发往RADIUS服务器的数据流的单位为千字节,数据包的单位为kilo-packet。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius- radius1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display local-server statistics
【视图】
任意视图
【参数】
无
【描述】
display local-server statistics命令用来显示本地RADIUS认证服务器的统计信息。
相关配置可参考命令local-server。
【举例】
# 显示本地RADIUS认证服务器的统计信息。
<H3C> display local-server statistics
The localserver packet statistics:
Receive: 30 Send: 30
Discard: 0 Receive Packet Error: 0
Auth Receive: 10 Auth Send: 10
Acct Receive: 20 Acct Send: 20
【命令】
display radius [ radius-scheme-name ]
【视图】
任意视图
【参数】
radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。此项如果为空,则显示所有RADIUS方案的配置信息。
【描述】
display radius命令用来显示所有或指定RADIUS方案的配置信息。
缺省情况下,显示所有RADIUS方案的配置信息。
相关配置可参考命令radius scheme。
【举例】
# 显示所有RADIUS方案的配置信息。
<H3C> display radius
------------------------------------------------------------------
SchemeName =system Index=0 Type=extended
Primary Auth IP =127.0.0.1 Port=1645 State=active
Primary Acct IP =127.0.0.1 Port=1646 State=active
Second Auth IP =0.0.0.0 Port=1812 State=block
Second Acct IP =0.0.0.0 Port=1813 State=block
Auth Server Encryption Key= Not configured
Acct Server Encryption Key= Not configured
Accounting method = required
TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12
Permitted send realtime PKT failed counts =5
Retry sending times of noresponse acct-stop-PKT =500
Source-IP-address =0.0.0.0
Quiet-interval(min) =5
Username format =without-domain
Data flow unit =Byte
Packet unit =1
------------------------------------------------------------------
Total 1 RADIUS scheme(s). 1 listed
表1-4 RADIUS服务器配置信息描述表
|
域名 |
描述 |
|
SchemeName |
RADIUS方案的名称 |
|
Index |
RADIUS方案的索引号 |
|
Type |
RADIUS服务器的类型 |
|
Primary Auth IP/ Port/ State |
主认证服务器IP地址/接入端口号/该服务器目前状态 |
|
Primary Acct IP/ Port/ State |
主计费服务器IP地址/接入端口号/该服务器目前状态 |
|
Second Auth IP/ Port/ State |
备份认证服务器IP地址/接入端口号/该服务器目前状态 |
|
Second Acct IP/ Port/ State |
备份计费服务器IP地址/接入端口号/该服务器目前状态 |
|
Auth Server Encryption Key |
认证服务器的登录密码 |
|
Acct Server Encryption Key |
计费服务器的登录密码 |
|
TimeOutValue (seconds) |
RADIUS服务器响应超时定时器时长 |
|
Retry Times |
RADIUS请求报文的最大传送次数 |
|
Permitted send realtime PKT failed counts |
允许发送的实时计费请求无响应报文的最大次数 |
|
Retry sending times of noresponse acct-stop-PKT |
缓存的停止计费请求报文的最大重发次数 |
|
Username format |
用户名的格式 |
|
Data flow unit |
数据流的单位 |
|
Packet unit |
报文包的单位 |
【命令】
display radius statistics
【视图】
任意视图
【参数】
无
【描述】
display radius statistics命令用来显示RADIUS报文的统计信息。根据显示的信息,可以帮助诊断与排除RADIUS相关故障。
相关配置可参考命令radius scheme。
【举例】
# 显示RADIUS报文的统计信息。
<H3C> display radius statistics
state statistic(total=4120):
DEAD=4120 AuthProc=0 AuthSucc=0
AcctStart=0 RLTSend=0 RLTWait=0
AcctStop=0 OnLine=0 Stop=0
StateErr=0
Received and Sent packets statistic:
Sent PKT total :0 Received PKT total:0
RADIUS received packets statistic:
Code= 2,Num=0 ,Err=0
Code= 3,Num=0 ,Err=0
Code= 5,Num=0 ,Err=0
Code=11,Num=0 ,Err=0
Running statistic:
RADIUS received messages statistic:
Normal auth request , Num=0 , Err=0 , Succ=0
EAP auth request , Num=0 , Err=0 , Succ=0
Account request , Num=0 , Err=0 , Succ=0
Account off request , Num=0 , Err=0 , Succ=0
PKT auth timeout , Num=0 , Err=0 , Succ=0
PKT acct_timeout , Num=0 , Err=0 , Succ=0
<以下略>
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
任意视图
【参数】
radius-scheme radius-scheme-name:根据RADIUS方案名显示暂存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为不超过32个字符的字符串。
session-id session-id:根据会话ID显示暂存的停止计费请求报文。其中,session-id为会话ID,为不超过50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻显示暂存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被显示。
user-name user-name:根据用户名显示暂存的停止计费请求报文。其中,user-name为用户名,为不超过32个字符的字符串。
【描述】
display stop-accounting-buffer命令用来显示缓存在交换机系统中的停止计费请求报文。可以选择显示发往某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来显示报文;还可以指定一个时间段,显示那些发起停止计费请求的时刻处于指定时间段内的报文。根据显示的报文信息,可以帮助诊断与排除RADIUS相关故障。
在发送停止计费请求报文而RADIUS服务器没有响应时,交换机系统会缓存该报文,然后以一定的次数重新发送,具体发送的次数由retry stop-accounting命令设置。
相关配置可参考命令reset stop-accounting-buffer,stop-accounting-buffer enable,retry stop-accounting。
【举例】
# 显示从2003年8月31日0点0分0秒到2003年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<H3C> display stop-accounting-buffer time-range 0:0:0-2003/08/31 23:59:59-2003/08/31
Total find 0 record
【命令】
key { accounting | authentication } string
undo key { accounting | authentication }
【视图】
RADIUS方案视图
【参数】
accounting:设置RADIUS计费报文的共享密钥。
authentication:设置RADIUS认证/授权报文的共享密钥。
string:密钥,为不超过16个字符的字符串。无缺省密钥。
【描述】
key命令用来设置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来恢复相应的共享密钥为缺省设置。
RADIUS客户端(即交换机系统)与RADIUS服务器使用MD5算法来加密交互的RADIUS报文,双方通过设置加密密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应。因此,必须保证:交换机系统上设置的加密密钥与RADIUS服务器上的完全一样。在认证/授权服务器与计费服务器不相同且这两台服务器中的加密密钥也不同时,必须分别设置认证/授权报文和计费报文的加密密钥。
相关配置可参考命令primary accounting, primary authentication, radius scheme。
【举例】
# 将RADIUS方案“extended”的认证/授权报文的加密密钥设置为“hello”。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] key authentication hello
# 将RADIUS方案“radius1”的计费报文的加密密钥设置为“ok”。
[H3C-radius-radius1] key accounting ok
【命令】
local-server nas-ip ip-address key password
undo local-server nas-ip ip-address
【视图】
系统视图
【参数】
nas-ip ip-address:设置接入服务器的NAS-IP地址,地址采用点分十进制格式。
key password:设置认证服务器与接入服务器的共享密钥。password为密钥,为不超过16个字符的字符串。
【描述】
local-server命令用来设置本地RADIUS认证服务器的相关参数。
undo local-server命令用来删除指定设置的本地RADIUS认证服务器。
缺省情况下,设备启用本地RADIUS认证服务器,缺省的nas-ip为127.0.0.1,也就是允许本机既作为RADIUS认证服务器,又作为网络接入服务器,所有的认证都在本机内部完成;无缺省共享密钥。
需要注意以下几点:
l 设备除了支持传统的作为RADIUS客户端的服务——即分别采用认证/授权服务器、计费服务器的方式进行用户的认证管理外,还提供了本地简单RADIUS服务器功能(包括认证和授权),称之为本地RADIUS认证服务器功能。
l 采用本地RADIUS认证服务器功能时,其认证/授权服务的UDP端口号必须为1645,计费服务的UDP端口号为1646。
l local-server命令配置的报文加密密钥(key password参数)必须与在RADIUS方案视图下用key authentication命令配置的认证/授权报文加密密钥一致。
l 包括缺省的本地RADIUS认证服务器配置在内,设备最多支持配置16个网络接入服务器IP地址及其共享密钥,也就是说设备作为RADIUS认证服务器时,最多能够同时为16个网络接入服务器提供认证服务。
l 设备作为本地RADIUS认证服务器时,不支持EAP认证方法。
相关配置可参考命令radius scheme,state。
【举例】
# 设置RADIUS认证服务器允许的网络接入服务器的IP地址为10.110.1.2,共享密钥为aabbcc。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] local-server nas-ip 10.110.1.2 key aabbcc
【命令】
nas-ip ip-address
undo nas-ip
【视图】
RADIUS方案视图
【参数】
ip-address:指定的源IP地址,为本机的IP地址,禁止配置全0地址、D类地址。
【描述】
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。
undo nas-ip命令用来删除此配置。
& 说明:
RADIUS方案视图下的nas-ip命令和系统视图下的radius nas-ip命令的作用相同,在RADIUS方案视图下进行的配置优先级高于系统视图下的配置。
指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
缺省情况下,报文的源IP地址是发送接口的IP地址。
相关配置可参考命令display radius,radius nas-ip。
【举例】
# 配置交换机发送RADIUS报文使用的源IP地址为10.1.1.1。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme test1
[H3C-radius-test1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port-number ]
undo primary accounting
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
primary accounting命令用来设置主RADIUS计费服务器的IP地址和端口号。undo primary accounting命令用来将主RADIUS计费服务器的IP地址和端口号恢复为缺省值。
缺省情况下,对于系统创建的RADIUS方案“system”,其主计费服务器的IP地址为127.0.0.1,UDP端口号为1646;对于新创建的RADIUS方案,其主计费服务器的IP地址为0.0.0.0,UDP端口号为1813。
当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置,这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和备份服务器的区别。 在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证以太网交换机上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的主计费服务器的IP地址为10.110.1.2、使用UDP端口1813提供RADIUS计费服务。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] primary accounting 10.110.1.2 1813
【命令】
primary authentication ip-address [ port-number ]
undo primary authentication
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
primary authentication命令用来设置主RADIUS认证/授权服务器的IP地址和端口号。undo primary authentication命令用来将主RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值。
缺省情况下,对于系统创建的RADIUS方案“system”,其主认证服务器的IP地址为127.0.0.1,UDP端口号为1645,备份认证服务器的IP地址为0.0.0.0,UDP端口号为1812;对于新创建的RADIUS方案,其主、备份认证服务器的IP地址为0.0.0.0,UDP端口号为1812。
当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置,这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和备份服务器的区别。 在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证以太网交换机上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的主认证/授权服务器的IP地址为10.110.1.1、使用UDP端口1812提供RADIUS认证/授权服务。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] primary authentication 10.110.1.1 1812
【命令】
radius nas-ip ip-address
undo radius nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,点分十进制形式。
【描述】
radius nas-ip命令用来指定NAS发送RADIUS报文使用的源地址。undo radius nas-ip命令用来恢复缺省状态。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
& 说明:
RADIUS方案视图下的nas-ip命令和系统视图下的radius nas-ip命令的作用相同,在RADIUS方案视图下进行的配置优先级高于系统视图下的配置。
需要注意以下几点:
l 指定发送RADIUS报文使用的源IP地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
l 本命令只能指定一个源IP地址,新配置的源IP地址会覆盖原有的源IP地址。
相关配置可参考命令nas-ip。
【举例】
# 配置交换机发送RADIUS报文使用的源地址为129.10.10.1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] radius nas-ip 129.10.10.1
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【视图】
系统视图
【参数】
radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。
【描述】
radius scheme命令用来创建RADIUS方案并进入其视图。undo radius scheme命令用来删除指定的RADIUS方案。
缺省情况下,系统中已创建了一个名为“system”的RADIUS方案,其各项属性均为缺省值。
RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至少须指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端(交换机系统)与之交互所需的一些参数。因此,在进行其它RADIUS协议配置之前,必须先创建RADIUS方案并进入其视图。
一个RADIUS方案可以同时被多个ISP域引用。包括系统缺省创建的“system”方案在内,用户最多能够配置16个RADIUS方案。
undo radius scheme命令虽然可以用来删除指定的RADIUS方案,但是不能删除缺省的RADIUS方案。注意:当有使用该方案的用户在线时不允许删除。
相关配置可参考命令key,retry realtime-accounting, radius-scheme,timer realtime-accounting,stop-accounting-buffer enable, retry stop-accounting,server-type,state,user-name-format, retry , display radius,display radius statistics。
【举例】
# 创建名为“radius1”的RADIUS方案并进入其视图。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1]
【命令】
reset radius statistics
【视图】
用户视图
【参数】
无
【描述】
reset radius statistics命令用来清除RADIUS协议的统计信息。
相关配置请参考命令display radius。
【举例】
# 清除RADIUS协议的统计信息。
<H3C> reset radius statistics
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
用户视图
【参数】
radius-scheme radius-scheme-name:根据RADIUS方案名删除暂存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为不超过32个字符的字符串。
session-id session-id:根据会话ID删除暂存的停止计费请求报文。其中,session-id为会话ID,为不超过50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻删除暂存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被删除。
user-name user-name:根据用户名删除暂存的停止计费请求报文。user-name为用户名,为不超过32个字符的字符串。
【描述】
reset stop-accounting-buffer命令用来删除缓存的、没有得到响应的停止计费请求报文。
在发送停止计费请求报文而RADIUS服务器没有响应时,交换机系统会缓存该报文,然后以一定的次数重新发送,具体发送的次数由retry stop-accounting命令设置。
reset stop-accounting-buffer命令用来删除缓存在交换机系统中的停止计费请求报文。可以选择删除发往某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来删除报文;还可以指定一个时间段,删除那些发起停止计费请求的时刻处于指定时间段内的报文。
相关配置可参考命令stop-accounting-buffer enable, retry stop-accounting,display stop-accounting-buffer。
【举例】
# 删除用户“[email protected]”缓存在系统中的停止计费请求报文。
<H3C> reset stop-accounting-buffer user-name [email protected]
# 删除从2002年8月31日0点0分0秒到2002年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<H3C> reset stop-accounting-buffer time-range 0:0:0-2002/08/31 23:59:59-2002/08/31
【命令】
retry retry-times
undo retry
【视图】
RADIUS方案视图
【参数】
retry-times:最大传送次数,取值范围为1~20。缺省情况下,RADIUS请求报文的最大传送次数为3次。
【描述】
retry命令用来设置RAIUDS请求报文的最大传送次数。
undo retry命令用来将RAIUDS请求报文的最大传送次数恢复为缺省值。
需要注意:
l 由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次认证失败。
l 根据网络状况合理的设置重发次数可以提高系统的响应速度。
相关配置可参考命令radius scheme。
【举例】
# 设置在RADIUS方案“radius1”下,RADIUS请求报文的最大传送次数为5次。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] retry 5
【命令】
retry realtime-accounting retry-times
undo retry realtime-accounting
【视图】
RADIUS方案视图
【参数】
retry-times:允许实时计费失败的最大次数,取值范围为1~255。
【描述】
retry realtime-accounting命令用来设置允许实时计费失败的最大次数,。undo retry realtime-accounting命令用来恢复允许实时计费失败的最大次数为缺省值。
缺省情况下,最多允许5次实时计费失败。
需要注意以下几点:
l RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下在设备端尽量与RADIUS服务器同步切断用户连接。设备提供对连续实时计费请求无响应次数限制的设置——在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备将切断用户连接。
l 一次计费可以包括多次(RADIUS方案视图下的retry命令设置)实时计费请求报文的发送,均无响应才认为该次计费失败。假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,超时重传次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费失败的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时记费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。
相关配置可参考命令radius scheme,timer realtime-accounting。
【举例】
# 设置RADIUS方案“radius1”最多允许10次实时计费失败。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] retry realtime-accounting 10
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
RADIUS方案视图
【参数】
retry-times:缓存的停止计费请求报文的最大重发次数,取值范围为10~65535。缺省情况下,取值为500。
【描述】
retry stop-accounting命令用来指示当出现没有得到响应的停止计费请求时,将该报文存入交换机缓存后,停止计费请求报文的最大重发次数。undo retry stop-accounting命令用来恢复停止计费请求报文的最大重发次数为缺省值。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此NAS应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对交换机发出的停止计费请求报文没有响应,交换机应将其缓存在本机上,然后重新发送直到RADIUS计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,radius scheme,display stop-accounting-buffer。
【举例】
# 指示对于RADIUS方案“radius1”中的服务器,交换机系统最多可以将缓存的停止计费请求报文重发1000次。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] retry stop-accounting 1000
【命令】
secondary accounting ip-address [ port-number ]
undo secondary accounting
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。缺省情况下,从计费服务器的IP地址为0.0.0.0。
port-number:UDP端口号。取值范围为1~65535。缺省情况下,从计费服务的UDP端口号为1813。
【描述】
secondary accounting命令用来设置备份RADIUS计费服务器的IP地址和端口号。undo secondary accounting命令用来将备份RADIUS计费服务器的IP地址和端口号恢复为缺省值。
具体的描述请参见primary accounting命令的描述部分。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的备份计费服务器的IP地址为10.110.1.1、使用UDP端口1813提供RADIUS计费服务。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] secondary accounting 10.110.1.1 1813
【命令】
secondary authentication ip-address [ port-number ]
undo secondary authentication
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。缺省情况下,从认证/授权服务器的IP地址为0.0.0.0。
port-number:UDP端口号。取值范围为1~65535。缺省情况下,从认证/授权服务的UDP端口号为1812。
【描述】
secondary authentication命令用来设置从RADIUS认证/授权服务器的IP地址和端口号。undo secondary authentication命令用来将从RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值。
具体的描述请参见primary authentication命令的描述部分。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的从认证/授权服务器的IP地址为10.110.1.2、使用UDP端口1812提供RADIUS认证/授权服务。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] secondary authentication 10.110.1.2 1812
【命令】
server-type { extended | standard }
undo server-type
【视图】
RADIUS方案视图
【参数】
extended:指示交换机系统支持extended类型的RADIUS服务器(一般为CAMS),即要求RADIUS客户端(交换机系统)和RADIUS服务器按照H3C公司私有RADIUS协议的规程和报文格式进行交互。
standard:指示交换机系统支持Standard类型的RADIUS服务器,即要求RADIUS客户端(交换机系统)和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互。
【描述】
server-type命令用来指定交换机支持的RADIUS服务器类型。undo server-type命令用来恢复交换机支持的RADIUS服务器类型为缺省设置。
缺省情况下,对于新创建的RADIUS方案,其服务器类型为standard;对于系统缺省创建的RADIUS方案“system”,其服务器类型为extended。
相关配置可参考命令radius scheme。
【举例】
# 将RADIUS方案“radius1”的RADIUS服务器类型设置为extended。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] server-type extended
【命令】
state { primary | secondary } { accounting | authentication } { block | active }
【视图】
RADIUS方案视图
【参数】
primary:设置主RADIUS服务器的状态。
secondary:设置从RADIUS服务器的状态。
accounting:设置RADIUS计费服务器的状态。
authentication:设置RADIUS认证/授权服务器的状态。
block:设置RADIUS服务器的状态为block,即处于宕机状态。
active:设置RADIUS服务器的状态为active,即处于正常工作状态。
【描述】
state命令用来设置RADIUS服务器的状态。
缺省情况下,RADIUS方案中的主、从RADIUS服务器的状态均为block。
对于某个RADIUS方案中的主、备服务器(无论是认证/授权服务器还是计费服务器),当主服务器因故障而导致其与NAS的通信中断时,NAS会主动地转而与从服务器交互报文。当主服务器恢复正常后,NAS却不会立即恢复与其通信,而是继续与从服务器通信;直到从服务器也出现故障后,NAS才能再转而恢复与主服务器交互报文。为了使NAS在主服务器故障排除后迅速恢复与其通信,需要通过state命令手工将主服务器的状态设为active。
当主服务器与从服务器的状态都为active或都为block时,NAS将只把报文发送到主服务器上。
相关配置可参考命令radius scheme,primary authentication, secondary authentication, primary accounting, secondary accounting。
【举例】
# 将RADIUS方案“radius1”的从认证服务器的状态设置为active。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1 ] state secondary authenticaiton active
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
RADIUS方案视图
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在交换机系统上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在交换机系统上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许交换机缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此NAS应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对交换机发出的停止计费请求报文没有响应,交换机应将其缓存在本机上,然后重新发送直到RADIUS计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,radius scheme ,display stop-accounting-buffer。
【举例】
# 设置对于RADIUS方案“radius1”中的服务器,交换机系统能够缓存没有得到响应的停止计费请求报文。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] stop-accounting-buffer enable
【命令】
timer seconds
undo timer
【视图】
RADIUS方案视图
【参数】
seconds:RADIUS服务器响应超时定时器,单位为秒,取值范围为1~10。缺省情况下,RADIUS服务器响应超时定时器为3秒。
【描述】
timer命令用来设置RADIUS服务器响应超时定时器。undo timer命令用来将RADIUS服务器响应超时定时器恢复为缺省值。
需要注意以下几点:
l 如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,timer命令就是用来设置这个定时器长度的。
l 根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
l timer命令与timer response-timeout命令的作用相同。
相关配置可参考命令radius scheme, retry。
【举例】
# 将RADIUS方案“radius1”的响应超时定时器设置为5秒。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] timer 5
【命令】
timer quiet minutes
undo timer quiet
【视图】
RADIUS方案视图
【参数】
minutes:静默时间间隔,单位为分钟,取值范围为1~255,缺省值为5分钟。
【描述】
timer quiet命令用来配置静默时间间隔,即主、从RADIUS服务器切换的时间间隔。undo timer quiet命令用来恢复静默时间间隔为缺省值。
静默时间作用如下:
l 交换机首先向主RADIUS服务器发送RADIUS报文;
l 在确定主服务器没有响应后,交换机就会向从RADIUS服务器发送RADIUS报文;
l 每隔静默时间间隔,交换机就会将主RADIUS服务器状态置为active,下次RADIUS报文将发送至主服务器。
【举例】
# 设置RADIUS方案“radius1”的静默时间间隔为3分钟。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] timer quiet 3
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
RADIUS方案视图
【参数】
minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,必须为3的倍数。缺省情况下,实时计费的时间间隔为12分钟。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来将实时计费的时间间隔恢复为缺省值。
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,NAS会向RADIUS服务器发送一次在线用户的计费信息。
实时计费间隔的取值对NAS和RADIUS服务器的性能有一定的相关性要求——取值越小,对NAS和RADIUS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
相关配置可参考命令retry realtime-accounting,radius scheme。
【举例】
# 将RADIUS方案“radius1”的实时计费的时间间隔设置为51分钟。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1 ] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
RADIUS方案视图
【参数】
seconds:RADIUS服务器应答超时时间,单位为秒,取值范围为1~10。缺省值为3秒。
【描述】
timer response-timeout命令用来设置RADIUS服务器应答超时时间。undo timer response-timeout命令用来将RADIUS服务器应答超时时间恢复为缺省值。
需要注意以下几点:
l 如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器。timer response-timeout命令就是用来设置这个定时器时长的。
l 根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
l 本命令与timer命令的作用相同。
相关配置可参考命令radius scheme,retry。
【举例】
# 将RADIUS方案“radius1”的响应超时定时器设置为5秒。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] timer response-timeout 5
【命令】
user-name-format { with-domain | without-domain }
【视图】
RADIUS方案视图
【参数】
with-domain:指定发送给RADIUS服务器的用户名带域名。
without-domain:指定发送给RADIUS服务器的用户名不带域名。
【描述】
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
缺省情况下,对于新创建的RADIUS方案,发送给RADIUS服务器的用户名带有ISP域名;对于系统缺省创建的RADIUS方案“system”,发送给RADIUS服务器的用户名不带ISP域名。
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,交换机就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,交换机提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
& 说明:
如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案,否则,会出现虽然实际用户不同(在不同的ISP域中)、但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
相关配置可参考命令radius scheme。
【举例】
# 指定发送给RADIUS方案“radius1”中RADIUS服务器的用户名不得携带域名。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme radius1
[H3C-radius-radius1] user-name-format without-domain
【命令】
data-flow-format data { byte | giga-byte | kilo-byte | mega-byte }
data-flow-format packet { giga-packet | kilo-packet | mega-packet | one-packet }
undo data-flow-format { data | packet }
【视图】
HWTACACS方案视图
【参数】
data:设置数据的单位。
byte:数据单位为比特。
giga-byte:数据单位为千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位,表示每个giga-packet包含1G的数据包。
kilo-packet:数据包的单位,表示每个kilo-packet包含1K的数据包。
mega-packet:数据包的单位,表示每个mega-packet包含1M的数据包。
one-packet:数据包的单位,表示每个one-packet包含1个数据包。
【描述】
data-flow-format命令用来配置发送到TACACS服务器的数据流的单位。undo data-flow-format命令用来恢复发送到TACACS服务器的数据流的单位为缺省设置。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
相关配置可参考命令display hwtacacs。
【举例】
# 设置发往TACACS服务器的数据流的单位为kilo-byte,数据包的单位为kilo-packet。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C- hwtacacs- test1] data-flow-format data kilo-byte
[H3C- hwtacacs- test1] data-flow-format packet kilo-packet
【命令】
display hwtacacs [ hwtacacs-scheme-name [ statistics ] ]
【视图】
任意视图
【参数】
hwtacacs-scheme-name:HWTACACS方案名,字符串形式,长度为1~32,不区分大小写。此项如果为空,则显示所有HWTACACS方案的配置信息。
statistics:显示HWTACACS方案的详细统计信息。
【描述】
display hwtacacs命令用来查看所有或指定HWTACACS方案的配置或统计信息。
缺省情况下,显示所有HWTACACS方案的配置信息。
相关配置请参考命令hwtacacs scheme。
【举例】
# 查看HWTACACS方案gy的配置情况。
<H3C> display hwtacacs gy
-------------------------------------------------------------------- HWTACACS-server template name : gy
Primary-authentication-server : 172.31.1.11:49
Primary-authorization-server : 172.31.1.11:49
Primary-accounting-server : 172.31.1.11:49
Secondary-authentication-server : 0.0.0.0:0
Secondary-authorization-server : 0.0.0.0:0
Secondary-accounting-server : 0.0.0.0:0
Current-authentication-server : 172.31.1.11:49
Current-authorization-server : 172.31.1.11:49
Current-accounting-server : 172.31.1.11:49
Source-IP-address : 0.0.0.0
key authentication : 790131
key authorization : 790131
key accounting : 790131
Quiet-interval(min) : 5
Response-timeout-Interval(sec) : 5
Domain-included : No
Traffic-unit : B
Packet traffic-unit : one-packet
-------------------------------------------------------------
Total 1,1 printed
【命令】
display stop-accounting-buffer { hwtacacs-scheme hwtacacs-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
任意视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据HWTACACS方案名显示暂存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,是不超过32个字符的字符串。
session-id session-id:根据会话ID显示暂存的停止计费请求报文。其中,session-id为会话ID,为不超过50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻显示暂存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被显示。
user-name user-name:根据用户名显示暂存的停止计费请求报文。其中,user-name为用户名,为不超过32个字符的字符串。
【描述】
display stop-accounting-buffer命令用来显示缓存在交换机上的停止计费请求报文。
相关配置可参考命令reset stop-accounting-buffer,stop-accounting-buffer enable,retry stop-accounting。
【举例】
# 显示HWTACACS方案“hwt1”缓存的停止计费请求报文。
<H3C> display stop-accounting-buffer hwtacacs-scheme hwt1
【命令】
hwtacacs nas-ip ip-address
undo hwtacacs nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、D类地址、A类、B类和C类的广播地址,以及127网段地址。
【描述】
hwtacacs nas-ip命令用来指定NAS发送hwtacacs报文使用的源地址。undo hwtacacs nas-ip命令用来恢复缺省状态。
指定发送hwtacacs报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
配置NAS发送HWTACACS报文使用的源地址时,HWTACACS方案视图的优先级高于系统视图优先级。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
【举例】
# 配置设备发送hwtacacs报文使用的源地址为129.10.10.1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs nas-ip 129.10.10.1
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【视图】
系统视图
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,字符串形式,长度为1~32。
【描述】
hwtacacs scheme命令用来进入HWTACACS方案视图,如果指定的HWTACACS方案名不存在,则创建该HWTACACS方案。undo hwtacacs scheme命令用来删除一个HWTACACS方案。
【举例】
# 创建名为test1的HWTACACS方案并进入相应的HWTACACS方案视图。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
Create a new HWTACACS-server scheme
[H3C-hwtacacs-test1]
【命令】
key { accounting | authentication | authorization } string
undo key { accounting | authentication | authorization } string
【视图】
HWTACACS方案视图
【参数】
accounting:计费服务器的共享密钥。
authentication:认证服务器的共享密钥。
authorization:授权服务器的共享密钥。
string:密钥,为0~16个字符的字符。
【描述】
key命令用来设置HWTACACS认证、授权、计费服务器的共享密钥。undo key命令用来删除配置。
缺省情况下,TACACS服务器没有密钥。
TACACS客户端(即交换机)与TACACS服务器使用MD5算法来加密交互的HWTACACS报文,双方通过设置共享密钥来验证报文的合法性。只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并做出响应。因此,必须保证交换机上设置的共享密钥与TACACS服务器上的完全一样。在认证/授权服务器与计费服务器不相同且这两台服务器中的共享密钥也不同时,必须分别设置认证/授权报文和计费报文的共享密钥。
相关配置可参考命令display hwtacacs。
【举例】
# 配置TACACS计费服务器共享密钥为hello。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] key accounting hello
【命令】
nas-ip ip-address
undo nas-ip
【视图】
HWTACACS方案视图
【参数】
ip-address:源IP地址,点分十进制形式。
【描述】
nas-ip命令用来设置NAS(交换机)发送HWTACACS报文使用的源IP地址,这样发送到TACACS服务器的所有报文携带相同的源IP地址。undo nas-ip命令用来删除此配置。
指定发送HWTACACS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
缺省情况下,报文的源IP地址是发送接口的IP地址。
相关配置可参考命令display hwtacacs,hwtacacs nas-ip
【举例】
# 配置NAS(交换机)发送HWTACACS报文使用的源IP地址为10.1.1.1。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port ]
undo primary accounting
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
primary accounting命令用来配置TACACS主计费服务器。undo primary accounting命令用来删除配置的TACACS主计费服务器。
缺省情况下,TACACS计费服务器的IP地址为全零。
需要注意以下几点:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
【举例】
# 配置主计费服务器。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] primary accounting 10.163.155.12 49
【命令】
primary authentication ip-address [ port ]
undo primary authentication
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
primary authentication命令用来配置TACACS认证服务器。undo primary authentication命令用来删除配置的认证服务器。
缺省情况下,TACACS认证服务器的IP地址为全零。
需要注意以下几点:
l 主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主认证服务器。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] primary authentication 10.163.155.13 49
【命令】
primary authorization ip-address [ port ]
undo primary authorization
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
primary authorization命令用来配置TACACS主授权服务器。undo primary authorization命令用来删除配置的主授权服务器。
缺省情况下,TACACS授权服务器的IP地址为全零。
需要注意以下几点:
l 主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主授权服务器。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] primary authorization 10.163.155.13 49
【命令】
reset hwtacacs statistics { accounting | authentication | authorization | all }
【视图】
用户视图
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
all:清除所有统计信息。
【描述】
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
相关配置请参考命令display hwtacacs。
【举例】
# 清除所有HWTACACS协议的统计信息。
<H3C> reset hwtacacs statistics all
【命令】
reset stop-accounting-buffer { hwtacacs-scheme hwtacacs-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
用户视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据HWTACACS方案名删除暂存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为不超过32个字符的字符串,且不能包括 “?”字符。
session-id session-id:根据会话ID删除暂存的停止计费请求报文。其中,session-id为会话ID,为不超过50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻删除暂存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被删除。
user-name user-name:根据用户名删除暂存的停止计费请求报文。user-name为用户名,为不超过32个字符的字符串。
【描述】
reset stop-accounting-buffer命令用来清除那些在交换机上缓存的、没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable,retry stop-accounting,display stop-accounting-buffer。
【举例】
# 删除HWTACACS方案“hwt1”缓存在系统中的停止计费请求报文。
<H3C> reset stop-accounting-buffer hwtacacs-scheme hwt1
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
HWTACACS方案视图
【参数】
retry-times:停止计费报文传送的最大次数,取值范围为1~300。缺省情况下,取值为100。
【描述】
retry stop-accounting命令用来使能停止计费报文重传功能,并配置停止计费报文传送的最大次数。undo retry stop-accounting命令用来恢复停止计费报文传送次数为缺省值。
缺省情况下,使能停止计费报文重传功能,可传送报文的最大次数为100。
相关配置可参考命令reset stop-accounting-buffer,hwtacacs scheme,display stop-accounting-buffer。
【举例】
# 使能停止计费报文重发功能,最大传送次数为50次。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] retry stop-accounting 50
【命令】
secondary accounting ip-address [ port ]
undo secondary accounting
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式,必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
secondary accounting命令用来配置TACACS从计费服务器。undo secondary accounting命令用来删除配置的TACACS从计费服务器。
缺省情况下,TACACS计费服务器的IP地址为全零。
需要注意以下几点:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。
【举例】
# 配置从计费服务器。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] secondary accounting 10.163.155.12 49
【命令】
secondary authentication ip-address [ port ]
undo secondary authentication
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
secondary authentication命令用来配置TACACS从认证服务器。undo secondary authentication命令用来删除配置的从服务器。
缺省情况下,TACACS认证服务器的IP地址为全零。
需要注意以下几点:
l 主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从服务器。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] secondary authentication 10.163.155.13 49
【命令】
secondary authorization ip-address [ port ]
undo secondary authorization
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
secondary authorization命令用来配置TACACS从授权服务器。undo secondary authorization命令用来删除配置的从授权服务器。
缺省情况下,TACACS授权服务器的IP地址为全零。
需要注意以下几点:
l 主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从授权服务器。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] secondary authorization 10.163.155.13 49
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
HWTACACS方案视图
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后重新发送直到HWTACACS计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,hwtacacs scheme,display stop-accounting-buffer。
【举例】
# 配置对于HWTACACS方案“test1”中的服务器,设备能够缓存没有得到响应的停止计费请求报文。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
HWTACACS方案视图
【参数】
minutes:取值范围为1~255,单位为分钟。缺省情况下,主服务器恢复激活状态前需要等待5分钟。
【描述】
timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省配置。
配置timer quiet的目的在于当交换机与服务器的通信中断的时候,交换机不再处理用户的请求报文,直到交换机等待通信的时间等于或者大于timer quiet配置的时间的时候,交换机才将用户请求报文发送到服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
HWTACACS方案视图
【参数】
minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,必须为3的倍数。缺省情况下,实时计费的时间间隔为12分钟。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来将实时计费的时间间隔恢复为缺省值。
需要注意以下几点:
l 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向TACACS服务器发送一次在线用户的计费信息。
l 实时计费间隔的取值对设备和TACACS服务器的性能有一定的相关性要求——取值越小,对设备和TACACS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。表1-6是实时计费间隔与用户量之间的推荐比例关系。
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
【举例】
# 将HWTACACS方案“test1”的实时计费的时间间隔设置为51分钟。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
HWTACACS方案视图
【参数】
seconds:取值范围为1~300,单位为秒。缺省情况下,TACACS服务器应答超时时间为5秒。
【描述】
timer response-timeout命令用来设置TACACS服务器应答超时时间。undo timer response-timeout命令用来恢复缺省配置。
& 说明:
HWTACACS是基于TCP实现的,因此,服务器应答超时或TCP超时都可能导致与TACACS服务器的连接断开。
相关配置可参考命令display hwtacacs。
【举例】
# 置TACACS服务器应答超时时间为30秒。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] timer response-timeout 30
【命令】
user-name-format { with-domain | without-domain }
【视图】
HWTACACS方案视图
【参数】
with-domain:指定发送给TACACS服务器的用户名带域名。
without-domain:指定发送给TACACS服务器的用户名不带域名。
【描述】
user-name-format命令用来设置发送给TACACS服务器的用户名格式。
缺省情况下,HWTACACS方案默认发送给TACACS服务器的用户名携带有ISP域名。
需要注意:
l 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的TACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给TACACS服务器。因此,设备提供此命令以指定发送给TACACS服务器的用户名是否携带有ISP域名。
l 如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但TACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
相关配置可参考命令hwtacacs scheme。
【举例】
# 指定发送给HWTACACS方案“test1”的用户不携带域名。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] hwtacacs scheme test1
[H3C-hwtacacs-test1] user-name-format without-domain
【命令】
security-policy-server ip-address
undo security-policy-server [ ip-address | all ]
【视图】
RADIUS方案视图
【参数】
ip-address:安全策略服务器的IP地址。
all:所有安全策略服务器的IP地址。
【描述】
security-policy-server命令用来配置安全策略服务器的IP地址。undo security-policy-server命令用来取消安全策略服务器的IP地址的配置。
每个RADIUS方案中最多允许配置8个不同IP的安全策略服务器地址。在用户上网过程中,交换机只会响应从认证服务器以及安全策略服务器发来的会话控制报文。
【举例】
# 配置安全策略服务器的IP地址为192.168.0.1。
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C] radius scheme extended
[H3C-radius-extended] security-policy-server 192.168.0.1
[H3C-radius-extended] display current-configuration
…
radius scheme extended
primary authentication 1.1.11.29 1812
secondary authentication 127.0.0.1 1645
security-policy-server 192.168.0.1
user-name-format without-domain
…
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
