- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-AAA配置
本章节下载: 01-AAA配置 (231.51 KB)
AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
· 认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。
· 计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。
AAA采用客户端/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,负责验证用户身份与管理用户接入,服务器上则集中管理用户信息。AAA的基本组网结构如图1-1。
图1-1 AAA基本组网结构示意图
当用户想要通过NAS获得访问其它网络的权利或取得某些网络资源的权利时,首先需要通过AAA认证,而NAS就起到了验证用户的作用。NAS负责把用户的认证、授权、计费信息透传给服务器。服务器根据自身的配置对用户的身份进行判断并返回相应的认证、授权、计费结果。NAS根据服务器返回的结果,决定是否允许用户访问外部网络、获取网络资源。
当然,用户也可以只使用AAA提供的一种或两种安全服务。例如,公司仅仅想让员工在访问某些特定资源时进行身份认证,那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录,那么还需要配置计费服务器。
目前,设备支持动态口令认证机制。
NAS对用户的管理是基于ISP(Internet Service Provider,互联网服务提供商)域的,每个用户都属于一个ISP域。一般情况下,用户所属的ISP域是由用户登录时提供的用户名决定的,如图1-2所示。
为便于对不同接入方式的用户进行区分管理,提供更为精细且有差异化的认证、授权、计费服务,AAA将用户划分为以下几个类型:
login用户:登录设备用户,如Telnet、FTP、终端接入用户(即从Console口登录的用户)。
在具体实现中,一个ISP域对应着设备上一套实现AAA的配置策略,它们是管理员针对该域用户制定的一套认证、授权、计费方法,可根据用户的接入特征以及不同的安全需求组合使用。
AAA支持以下认证方法:
· 不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方法。
· 本地认证:认证过程在接入设备上完成,用户信息(包括用户名、密码和各种属性)配置在接入设备上。优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。
AAA支持以下授权方法:
· 不授权:接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的login用户只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非login用户,可直接访问网络。关于缺省用户角色的详细介绍请参见“基础配置指导”中的“RBAC”。
· 本地授权:授权过程在接入设备上进行,根据接入设备上为本地用户配置的相关属性进行授权。
AAA支持以下计费方法:
· 不计费:不对用户计费。
· 本地计费:计费过程在接入设备上完成,实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
除此之外,对于login用户,AAA还可以对其提供以下服务,用于提高对设备操作的安全性:
· 命令行授权:用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。关于命令行授权的详细介绍请参考“基础配置指导”中的“配置用户通过CLI登录设备”。
· 命令行计费:若未开启命令行授权功能,则计费服务器对用户执行过的所有有效命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。关于命令行计费的详细介绍请参考“基础配置指导”中的“配置用户通过CLI登录设备”。
· 用户角色切换认证:在不退出当前登录、不断开当前连接的前提下,用户将当前的用户角色切换为其它用户角色时,只有通过服务器的认证,该切换操作才被允许。关于用户角色切换的详细介绍请参考“基础配置指导”中的“RBAC”。
在作为AAA客户端的接入设备(实现NAS功能的网络设备)上,AAA的基本配置思路如下:
(1) 配置AAA方案:根据不同的组网环境,配置相应的AAA方案。
本地认证:由NAS自身对用户进行认证、授权和计费。需要配置本地用户,即local user的相关属性,包括手动添加用户的用户名和密码等。
(2) 配置实现AAA的方法:在用户所属的ISP域中分别指定实现认证、授权、计费的方法。
· 认证方法:可选择不认证(none)、本地认证(local);
· 授权方法:可选择不授权(none)、本地授权;
· 计费方法:可选择不计费(none)、本地计费(local)。
图1-3 AAA基本配置思路流程图
表1-1 AAA配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
|
配置AAA方案 |
配置本地用户 |
四者至少选其一 |
|
|
在ISP域中配置实现AAA的方法 |
配置ISP域的属性 |
可选 |
|
|
配置ISP域的AAA认证方法 |
三者至少选其一 |
||
|
配置ISP域的AAA授权方法 |
|||
|
配置ISP域的AAA计费方法 |
|||
|
限制同时在线的最大用户连接数 |
可选 |
||
当选择使用本地认证、本地授权、本地计费方法对用户进行认证、授权或计费时,应在设备上创建本地用户并配置相关属性。
所谓本地用户,是指在本地设备上设置的一组用户属性的集合。该集合以用户名和用户类别为用户的唯一标识。本地用户分为两类,一类是设备管理用户;另一类是网络接入用户。设备管理用户供设备管理员登录设备使用,网络接入用户供通过设备访问网络服务的用户使用。网络接入用户中还存在一种来宾用户,供临时接入网络的访客使用。来宾用户可以支持的服务类型为lan-access和Portal。
为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。具体步骤是,创建一个本地用户并进入本地用户视图,然后在本地用户视图下配置相应的用户属性,可配置的用户属性包括:
· 服务类型
用户可使用的网络服务类型。该属性是本地认证的检测项,如果没有用户可以使用的服务类型,则该用户无法通过认证。
支持的服务类型包括:FTP、lan-access、Telnet、Terminal。
· 用户状态
用于指示是否允许该用户请求网络服务器,包括active和block两种状态。active表示允许该用户请求网络服务,block表示禁止该用户请求网络服务。
· 最大用户数
使用当前用户名接入设备的最大用户数目。若当前该用户名的接入用户数已达最大值,则使用该用户名的新用户将被禁止接入。
· 所属的用户组
每一个本地用户都属于一个本地用户组,并继承组中的所有属性(密码管理属性和用户授权属性)。关于本地用户组的介绍和配置请参见“1.3.1 2. 配置用户组属性”。
· 绑定属性
用户认证时需要检测的属性,用于限制接入用户的范围。若用户的实际属性与设置的绑定属性不匹配,则不能通过认证,因此在配置绑定属性时要考虑该用户是否需要绑定某些属性。可绑定的属性包括:用户IP地址、用户接入端口、用户MAC地址。各属性的使用及支持情况请见表1-3。
· 用户授权属性
用户认证通过后,接入设备给用户下发授权属性。支持的授权属性请见表1-3。由于可配置的授权属性都有其明确的使用环境和用途,因此配置授权属性时要考虑该用户是否需要某些属性。
本地用户的授权属性在用户组和本地用户视图下都可以配置,且本地用户视图下的配置优先级高于用户组视图下的配置。用户组的配置对组内所有本地用户生效。
表1-2 配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置本地用户属性 |
必选 |
|
|
配置用户组属性 |
可选 |
|
|
配置本地来宾用户属性 |
可选 |
|
|
配置本地来宾用户管理 |
可选 |
|
|
本地用户及本地用户组显示与维护 |
可选 |
配置本地用户属性时,有以下配置限制和指导:
· 授权属性和密码控制属性均可以在本地用户视图和用户组视图下配置,各视图下的配置优先级顺序从高到底依次为:本地用户视图-->用户组视图。
表1-3 配置本地用户的属性
|
操作 |
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
|
添加本地用户,并进入本地用户视图 |
local-user user-name [ class { manage | network } ] |
缺省情况下,不存在本地用户 |
|
|
(可选)设置本地用户的密码 |
对于网络接入类(network)本地用户 |
password { cipher | simple } password |
缺省情况下,不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功 |
|
对于设备管理类(manage)本地用户 |
password [ { hash | simple } password ] |
||
|
设置本地用户可以使用的服务类型 |
对于网络接入类(network)本地用户 |
service-type lan-access |
缺省情况下,本地用户不能使用任何服务类型 本命令中本地用户可以使用的服务类型的支持情况与设备的型号有关,请以设备的实际情况为准 |
|
对于设备管理类(manage)本地用户 |
service-type { ftp | { telnet | terminal } * } |
||
|
(可选)设置本地用户的状态 |
state { active | block } |
缺省情况下,本地用户处于活动状态,即允许该用户请求网络服务 |
|
|
(可选)设置使用当前本地用户名接入设备的最大用户数 |
access-limit max-user-number |
缺省情况下,不限制使用当前本地用户名接入的用户数 由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制 |
|
|
(可选)设置本地用户的绑定属性 |
bind-attribute { location interface interface-type interface-number | mac mac-address } * |
缺省情况下,未设置本地用户的任何绑定属性 |
|
|
(可选)设置本地用户的授权属性 |
authorization-attribute { acl acl-number | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6 ipv6-address } | session-timeout minutes | user-role role-name | work-directory directory-name } * |
缺省情况下,授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator |
|
|
(可选)设置本地用户所属的用户组 |
group group-name |
缺省情况下,本地用户属于用户组system |
|
|
(可选)设置网络接入类本地用户的描述信息 |
description text |
缺省情况下,未配置网络接入类本地用户的描述信息 |
|
为了简化本地用户的配置,增强本地用户的可管理性,引入了用户组的概念。用户组是一个本地用户属性的集合,某些需要集中管理的属性可在用户组中统一配置和管理,用户组内的所有本地用户都可以继承这些属性。目前,用户组中可以管理的用户属性为授权属性。
每个新增的本地用户都默认属于一个系统自动创建的用户组system,且继承该组的所有属性。本地用户所属的用户组可以通过本地用户视图下的group命令来修改。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建用户组,并进入用户组视图 |
user-group group-name |
缺省情况下,存在一个用户组,名称为system |
|
设置用户组的授权属性 |
authorization-attribute { acl acl-number | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | isession-timeout minutes | work-directory directory-name } * |
缺省情况下,未设置用户组的授权属性 |
为使临时接入网络的访客可以通过本地认证并方便管理员对访客的访问权限进行管理,需要在设备上的本地用户数据库中添加相应的本地来宾用户表项。具体步骤是,创建一个本地来宾用户并进入本地来宾用户视图,然后在该视图下配置相应的来宾用户属性,可配置的属性包括:
· 密码
· 描述信息
· 个人信息:姓名、公司、电话号码以及Email地址(用于向来宾发送本地来宾用户用户名和密码的通知邮件)。
· 接待人信息:接待人姓名、接待人所在部门以及接待人Email地址(用于向来宾接待人发送本地来宾用户用户名和密码的通知邮件)。
· 有效期:来宾使用用户名和密码只能在有效期内认证通过。
· 用户组:本地来宾用户的授权属性继承所属用户组的属性。
完成本地来宾用户属性的配置后,可向来宾或来宾接待人发送包含用户名、密码、有效期的通知邮件。
表1-5 配置本地来宾用户属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建本地来宾用户,并进入本地来宾用户视图 |
local-user user-name class network guest |
缺省情况下,不存在本地来宾用户 |
|
配置本地来宾用户的密码 |
password { cipher | simple } password |
缺省情况下,未配置本地来宾用户的密码 |
|
配置本地来宾用户的描述信息 |
description text |
缺省情况下,未配置本地来宾用户的描述信息 |
|
配置本地来宾用户的姓名 |
full-name name-string |
缺省情况下,未配置本地来宾用户的姓名 |
|
配置本地来宾用户所属公司 |
company company-name |
缺省情况下,未配置本地来宾用户所属公司 |
|
配置本地来宾用户的电话号码 |
phone phone-number |
缺省情况下,未配置本地来宾用户电话号码 |
|
配置本地来宾用户的Email地址 |
email email-string |
缺省情况下,未配置本地来宾用户的Email地址 |
|
配置本地来宾用户的接待人姓名 |
sponsor-full-name name-string |
缺省情况下,未配置本地来宾用户的接待人姓名 |
|
配置本地来宾用户接待人所属部门 |
sponsor-department department-string |
缺省情况下,未配置本地来宾用户接待人所属部门 |
|
配置本地来宾用户接待人的Email地址 |
sponsor-email email-string |
缺省情况下,未配置本地来宾用户接待人的Email地址 |
|
配置本地来宾用户的有效期 |
validity-datetime start-date start-time to expiration-date expiration-time |
缺省情况下,未限制本地来宾用户的有效期,该用户始终有效 |
|
配置本地来宾用户所属的用户组 |
group group-name |
缺省情况下,本地来宾用户属于系统默认创建的用户组system |
随着无线智能终端的快速发展,对于来公司参观的访客,公司需要提供一些网络服务。这些访客成员通常为供应商、贵宾、听众或者是其他合作伙伴等。当访客用自己的手机、笔记本、IPAD等终端接入公司网络时,涉及到用户账号注册,以及访问权限控制的问题。为了简化访客的注册和审批流程,以及对访客权限的管理控制,提供了本地来宾用户管理功能,具体包括:
· 来宾用户过期自动删除功能:设备定时检查本地来宾用户是否过期并自动删除过期的用户。
· 本地来宾用户的注册与审批,具体过程如下:
(1) 来宾用户通过设备推出的Portal Web页面填写注册信息,主要包括用户名、密码和Email地址,并提交该信息。
(2) 设备收到来宾用户的注册信息后,记录该注册信息,并向来宾管理员发送一个注册申请通知邮件。
(3) 来宾管理员收到注册申请通知邮件之后,在设备的Web页面上对该帐户进行编辑和审批。
(4) 如果该帐户在等待审批时间超时前被来宾管理员审批通过,则设备将自动在本地创建一个本地来宾用户,并生成该用户的相关属性。若该帐户在等待审批时间超时后还未被审批通过,则设备将会删除本地记录的该用户注册信息。
(5) 本地来宾用户创建之后,设备将自动发送邮件通知本地来宾用户或来宾接待人用户注册成功,向他们告知本地来宾用户的密码及有效期信息。
(6) 本地来宾用户收到注册成功通知后,将可以使用注册的帐户访问网络。
· 邮件通知功能:向来宾、来宾接待人、来宾管理员发送帐户审批、密码信息的邮件。
· 批量创建本地来宾用户:在设备上批量生成一系列本地来宾帐户,这些账户的用户名和密码按照指定规律生成。
· 导入本地来宾用户信息:将指定路径CSV文件的本地来宾帐户信息导入到设备上,并生成相应的本地来宾用户。导入操作成功后,该类帐户可直接用于访问网络。
· 导出本地来宾用户信息:将设备上的本地来宾帐户信息导出到指定路径CSV文件中供其它设备使用
表1-6 配置本地来宾用户管理功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置本地来宾用户的邮件格式 |
local-guest email format to { guest | manager | sponsor } { body body-string | subject sub-string } |
缺省情况下,未配置本地来宾用户的邮件格式 |
|
配置本地来宾用户的发件人Email地址 |
local-guest email sender email-address |
缺省情况下,未配置本地来宾用户的发件人Email地址 |
|
配置本地来宾用户发送Email使用的SMTP服务器 |
local-guest email smtp-server url-string |
缺省情况下,未配置本地来宾用户发送Email使用的SMTP服务器 |
|
配置来宾管理员的Email地址 |
local-guest manager-email email-address |
缺省情况下,未配置来宾管理员的Email地址。 |
|
(可选)配置本地来宾用户的等待审批超时定时器 |
local-guest timer waiting-approval time-value |
缺省情况下,来宾注册信息等待审批超时定时器的值为24小时 |
|
(可选)从指定路径的文件中导入用户信息并创建本地来宾用户 |
local-user-import class network guest url url-string validity-datetime start-date start-time to expiration-date expiration-time [ auto-create-group | override | start-line line-number ] * |
本命令用于将指定文件的本地来宾帐户信息导入到接入设备上,并生成相应的本地来宾用户。导入操作成功后,该类帐户可直接用于访问网络 |
|
(可选)批量创建本地来宾用户 |
local-guest generate username-prefix name-prefix [ password-prefix password-prefix ] suffix suffix-number [ group group-name ] count user-count validity-datetime start-date start-time to expiration-date expiration-time |
本命令用于在设备上批量生成一系列本地来宾帐户,这些账户的用户名和密码等属性按照指定规律生成。批量创建成功后,该类帐户可直接用于访问网络 |
|
(可选)从设备导出本地来宾用户信息到指定路径的CSV文件 |
local-user-export class network guest url url-string |
本命令用于将设备上的本地来宾帐户信息导出到文件中供其它设备使用 |
|
(可选)开启来宾用户过期自动删除功能 |
local-guest auto-delete enable |
缺省情况下,来宾用户过期自动删除功能处于关闭状态 |
|
退回用户视图 |
quit |
- |
|
向本地来宾用户邮箱和来宾接待人邮箱发送邮件 |
local-guest send-email user-name user-name to { guest | sponsor } |
可以通过执行本命令向相关人发送通知邮件,邮件中包含用户名、密码以及有效期信息 |
完成上述配置后,在任意视图下执行display命令可以显示配置后本地用户及本地用户组的运行情况,通过查看显示信息验证配置的效果。
表1-7 本地用户及本地用户组显示和维护
|
操作 |
命令 |
|
显示本地用户的配置信息和在线用户数的统计信息 |
display local-user [ class { manage | network } | idle-cut { disable | enable } | service-type { advpn | ftp | http | https | ike | ipoe | lan-access | pad | portal | ppp | ssh | sslvpn | telnet | terminal } | state { active | block } | user-name user-name class { manage | network } | vlan vlan-id ] |
|
显示本地用户组的相关配置 |
display user-group { all | name group-name [ byod-authorization ] } [ identity-member { all | group | user } ] |
|
显示待审批来宾用户注册信息 |
display local-guest waiting-approval [ user-name user-name ] |
|
清除待审批的来宾用户注册信息 |
reset local-guest waiting-approval [ user-name user-name ] |
通过在ISP域视图下引用预先配置的认证、授权、计费方案来实现对用户的认证、授权和计费。如果用户所属的ISP域下未应用任何认证、授权、计费方法,系统将使用缺省的认证、授权、计费方法,分别为本地认证、本地授权和本地计费。
若采用本地认证方案,则请先完成本地用户的配置。有关本地用户的配置请参见“1.3.1 配置本地用户”。
一个ISP域中可配置以下属性,这些属性对于接入该域的所有用户均生效:
· ISP域的状态:通过域的状态(active、block)控制是否允许该域中的用户请求网络服务。
· ISP域的用户授权属性:用户认证成功之后,对于User Group、Session Group Profile授权属性,用户优先采用服务器下发的属性值,其次采用ISP域下配置的属性值;对于用户闲置切断授权属性,用户优先采用ISP域下配置的属性值,其次采用服务器下发的属性值。
¡ 用户闲置切断时间:用户上线后,设备会周期性检测用户的流量,若ISP域内某用户在指定的闲置检测时间内产生的流量小于指定的数据流量,则会被强制下线。
¡ 授权Session Group Profile:用户认证成功后,其访问行为将受到该Session Group Profile中预设配置的限制。
¡ 授权用户组:用户认证成功后,将继承该用户组中的所有属性。
· 设备上传到服务器的用户在线时间中保留闲置切断时间:当用户异常下线时,上传到服务器上的用户在线时间中包含了一定的闲置切断检测间隔,此时服务器上记录的用户时长将大于用户实际在线时长。
表1-8 配置ISP域的属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ISP域视图 |
domain isp-name |
- |
|
设置ISP域的状态 |
state { active | block } |
缺省情况下,当前ISP域处于活动状态,即允许任何属于该域的用户请求网络服务 |
|
设置当前ISP域下的用户授权属性 |
authorization-attribute { idle-cut minute [ flow ] | session-group-profile session-group-profile-name | user-group user-group-name } |
缺省情况下,未对当前ISP域下的用户设置任何授权属性,其中用户闲置切换功能处于关闭状态 |
|
设置设备上传到服务器的用户在线时间中保留闲置切断时间 |
session-time include-idle-time |
缺省情况下,设备上传到服务器的用户在线时间中扣除闲置切断时间 |
|
设置当前ISP域下的用户地址类型 |
user-address-type { ds-lite | ipv6 | nat64 | public-ds | public-ipv4 | private-ipv4 | private-ds | private-ipv4 } |
缺省情况下,未配置用户地址类型 |
|
设置当前ISP域的业务类型 |
service-type { hsi | stb | voip } |
缺省情况下,当前ISP域的业务类型为hsi |
配置前的准备工作:
(1) 确定要配置的接入方式或者服务类型。AAA可以对不同的接入方式和服务类型配置不同的认证方案。
(2) 确定是否为所有的接入方式或服务类型配置缺省的认证方法,缺省的认证方法对所有接入用户都起作用,但其优先级低于为具体接入方式或服务类型配置的认证方法。
表1-9 配置ISP域的AAA认证方法
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ISP域视图 |
domain isp-name |
- |
|
为当前ISP域配置缺省的认证方法 |
authentication default { local [ none ] | none } |
缺省情况下,当前ISP域的缺省认证方法为local |
|
为login用户配置认证方法 |
authentication login { local [ none ] | none } |
缺省情况下,login用户采用缺省的认证方法 |
配置前的准备工作:
(1) 确定要配置的接入方式或者服务类型,AAA可以按照不同的接入方式和服务类型进行AAA授权的配置。
(2) 确定是否为所有的接入方式或服务类型配置缺省的授权方法,缺省的授权方法对所有接入用户都起作用,但其优先级低于为具体接入方式或服务类型配置的授权方法。
表1-10 配置ISP域的AAA授权方法
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ISP域视图 |
domain isp-name |
- |
|
为当前ISP域配置缺省的授权方法 |
authorization default { local [ none ] | none } |
缺省情况下,当前ISP域的缺省授权方法为local |
|
配置命令行授权方法 |
authorization command { local [ none ] | none } |
缺省情况下,命令行授权采用缺省的授权方法 |
|
为login用户配置授权方法 |
authorization login { local [ none ] | none } |
缺省情况下,login用户采用缺省的授权方法 |
配置ISP域的AAA认证方法时,需要注意的是:
· 不支持对FTP类型login用户进行计费。
· 本地计费仅用于配合本地用户视图下的access-limit命令来实现对本地用户连接数的限制功能。
配置前的准备工作:
(1) 确定要配置的接入方式或者服务类型,AAA可以按照不同的接入方式和服务类型进行AAA计费的配置。
(2) 确定是否为所有的接入方式或服务类型配置缺省的计费方法,缺省的计费方法对所有接入用户都起作用,但其优先级低于为具体接入方式或服务类型配置的计费方法。
表1-11 配置ISP域的AAA计费方法
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入ISP域视图 |
domain isp-name |
- |
|
为当前ISP域配置缺省的计费方法 |
accounting default { local [ none ] | none } |
缺省情况下,当前ISP域的缺省计费方法为local |
|
配置命令行计费方法 |
accounting command hwtacacs-scheme hwtacacs-scheme-name |
缺省情况下,命令行计费采用缺省的计费方法 |
|
为login用户配置计费方法 |
accounting login { local [ none ] | none } |
缺省情况下,login用户采用缺省的计费方法 |
|
配置用户计费开始失败策略 |
accounting start-fail { offline | online } |
缺省情况下,如果用户计费开始失败,则允许用户保持在线状态 |
|
配置用户计费更新失败策略 |
accounting update-fail { [ max-times times ] offline | online } |
缺省情况下,如果用户计费更新失败,允许用户保持在线状态 |
|
用户计费流量配额耗尽策略 |
accounting quota-out { offline | online } |
缺省情况下,用户的计费流量配额耗尽后将被强制下线 |
通过配置同时在线的最大用户连接数,可以限制采用指定登录方式(FTP、SSH、Telnet等)同时接入设备的在线用户数。
该配置对于通过任何一种认证方式(none、password或者scheme)接入设备的用户都生效。
表1-12 配置同时在线的最大用户连接数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置同时在线的最大用户连接数 |
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions |
缺省情况下,最大用户连接数为32 |
完成上述配置后,在任意视图下执行display命令可以显示配置后AAA的运行情况,通过查看显示信息验证配置的效果。
表1-13 ISP域显示和维护
|
操作 |
命令 |
|
显示所有或指定ISP域的配置信息 |
display domain [ isp-name ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
