• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-安全命令参考

目录

01-AAA命令

本章节下载 01-AAA命令  (631.23 KB)

docurl=/cn/Service/Document_Software/Document_Center/Wlan/WX/H3C_WX3000/Command/Command_Manual/H3C_CR(E3703P61_R2509P61_R3709P61)-6W108/07/201707/1012788_30005_0.htm

01-AAA命令

目  录

1 AAA

1.1 AAA配置命令

1.1.1 aaa nas-id profile

1.1.2 access-limit enable

1.1.3 accounting command

1.1.4 accounting default

1.1.5 accounting lan-access

1.1.6 accounting login

1.1.7 accounting optional

1.1.8 accounting portal

1.1.9 accounting ppp

1.1.10 accounting wapi

1.1.11 authentication default

1.1.12 authentication lan-access

1.1.13 authentication login

1.1.14 authentication portal

1.1.15 authentication ppp

1.1.16 authentication wapi

1.1.17 authentication wlan-ap

1.1.18 authentication super

1.1.19 authorization command

1.1.20 authorization default

1.1.21 authorization lan-access

1.1.22 authorization login

1.1.23 authorization portal

1.1.24 authorization ppp

1.1.25 authorization wapi

1.1.26 authorization-attribute

1.1.27 cut connection

1.1.28 display connection

1.1.29 display domain

1.1.30 domain

1.1.31 domain default enable

1.1.32 domain if-unknown

1.1.33 eap-profile

1.1.34 idle-cut enable

1.1.35 ip pool

1.1.36 local-server authentication eap-profile

1.1.37 method

1.1.38 user-credentials

1.1.39 nas-id bind vlan

1.1.40 self-service-url enable

1.1.41 session-time include-idle-time

1.1.42 ssl-server-policy

1.1.43 state(ISP domain view)

1.2 本地用户配置命令

1.2.1 access-limit

1.2.2 authorization-attribute(Local user view/user group view)

1.2.3 bind-attribute

1.2.4 display local-user

1.2.5 display user-group

1.2.6 expiration-date(Local user view)

1.2.7 fast-authentication aging

1.2.8 fast-authentication enable

1.2.9 fast-authentication mac-address

1.2.10 group

1.2.11 group-attribute allow-guest

1.2.12 local-user

1.2.13 password

1.2.14 service-type

1.2.15 state(Local user view)

1.2.16 user-group

1.2.17 validity-date

1.3 RADIUS配置命令

1.3.1 accounting-on enable

1.3.2 attribute 4

1.3.3 attribute 25 car

1.3.4 attribute 41

1.3.5 data-flow-format (RADIUS scheme view)

1.3.6 display radius scheme

1.3.7 display radius statistics

1.3.8 display stop-accounting-buffer (for RADIUS)

1.3.9 eap offload

1.3.10 key (RADIUS scheme view)

1.3.11 nas device-id

1.3.12 nas-backup-ip

1.3.13 nas-ip (RADIUS scheme view)

1.3.14 primary accounting (RADIUS scheme view)

1.3.15 primary authentication (RADIUS scheme view)

1.3.16 radius client

1.3.17 radius dynamic-author client trusted

1.3.18 radius dynamic-author port

1.3.19 radius log packet

1.3.20 radius nas-backup-ip

1.3.21 radius nas-ip

1.3.22 radius scheme

1.3.23 radius trap

1.3.24 reset radius statistics

1.3.25 reset stop-accounting-buffer (for RADIUS)

1.3.26 retry

1.3.27 retry realtime-accounting

1.3.28 retry stop-accounting (RADIUS scheme view)

1.3.29 secondary accounting (RADIUS scheme view)

1.3.30 secondary authentication (RADIUS scheme view)

1.3.31 security-policy-server

1.3.32 server-type

1.3.33 state primary

1.3.34 state secondary

1.3.35 stop-accounting-buffer enable (RADIUS scheme view)

1.3.36 timer quiet (RADIUS scheme view)

1.3.37 timer realtime-accounting

1.3.38 timer response-timeout (RADIUS scheme view)

1.3.39 user-name-format (RADIUS scheme view)

1.4 HWTACACS配置命令

1.4.1 data-flow-format (HWTACACS scheme view)

1.4.2 display hwtacacs

1.4.3 display stop-accounting-buffer (for HWTACACS)

1.4.4 hwtacacs nas-ip

1.4.5 hwtacacs scheme

1.4.6 key (HWTACACS scheme view)

1.4.7 nas-ip (HWTACACS scheme view)

1.4.8 primary accounting (HWTACACS scheme view)

1.4.9 primary authentication (HWTACACS scheme view)

1.4.10 primary authorization

1.4.11 reset hwtacacs statistics

1.4.12 reset stop-accounting-buffer (for HWTACACS)

1.4.13 retry stop-accounting (HWTACACS scheme view)

1.4.14 secondary accounting (HWTACACS scheme view)

1.4.15 secondary authentication (HWTACACS scheme view)

1.4.16 secondary authorization

1.4.17 stop-accounting-buffer enable (HWTACACS scheme view)

1.4.18 timer quiet (HWTACACS scheme view)

1.4.19 timer response-timeout (HWTACACS scheme view)

1.4.20 user-name-format (HWTACACS scheme view)

1.5 LDAP配置命令

1.5.1 authentication-server

1.5.2 authorization-server

1.5.3 display ldap scheme

1.5.4 group-parameters

1.5.5 ldap scheme

1.5.6 login-dn

1.5.7 login-password

1.5.8 protocol-version

1.5.9 server-timeout

1.5.10 server-type

1.5.11 user-parameters


1 AAA

1.1  AAA配置命令

1.1.1  aaa nas-id profile

【命令】

aaa nas-id profile profile-name

undo aaa nas-id profile profile-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

profile-name:Profile名称,为1~16个字符的字符串,不区分大小写。该Profile用于保存NAS-ID与VLAN的绑定关系。

【描述】

aaa nas-id profile命令用来创建NAS-ID Profile并进入NAS-ID-Profile视图。undo aaa nas-id profile命令用来删除一个指定的NAS-ID Profile。

相关配置可参考命令nas-id bind vlan

【举例】

# 创建一个名字为aaa的NAS-ID Profile。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa]

1.1.2  access-limit enable

【命令】

access-limit enable max-user-number

undo access-limit enable

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

max-user-number:表示当前ISP域可容纳接入用户数的最大值,取值范围为1~2147483646。

【描述】

access-limit enable命令用来限制当前ISP域可容纳接入用户数。当接入此域的用户数超过当前ISP域可容纳的最大用户数后,新接入的用户将被拒绝。undo access-limit enable命令用来恢复缺省情况。

缺省情况下,不限制当前ISP域可容纳的接入用户数。

需要注意的是,由于系统资源有限,如果当前ISP域下接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。

相关配置可参考命令display domain

【举例】

# 指定ISP域test最多可容纳500个接入用户。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] access-limit enable 500

1.1.3  accounting command

【命令】

accounting command hwtacacs-scheme hwtacacs-scheme-name

undo accounting command

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

accounting command命令用来配置命令行计费方法。undo accounting command命令用来恢复缺省情况。

缺省情况下,命令行计费采用当前ISP域的缺省计费方法。

需要注意的是:

·     当前ISP域所引用的HWTACACS方案必须是已配置的。

·     命令行计费支持的远程AAA方案目前仅为HWTACACS方案。

相关配置可参考命令accounting defaulthwtacacs scheme

【举例】

# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting command hwtacacs-scheme hwtac

1.1.4  accounting default

【命令】

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting default

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

accounting default命令用来为当前ISP域配置缺省的计费方法。undo accounting default命令用来恢复缺省情况。

缺省情况下,当前ISP域的缺省计费方法为local

需要注意的是:

·     当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

·     当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。

·     本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。

相关配置可参考命令local-userhwtacacs schemeradius scheme

【举例】

# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting default radius-scheme rd local

1.1.5  accounting lan-access

【命令】

accounting lan-access { local | none | radius-scheme radius-scheme-name [ local | none] }

undo accounting lan-access

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

accounting lan-access命令用来为lan-access用户配置计费方法。undo accounting lan-access命令用来恢复缺省情况。

缺省情况下,lan-access用户采用当前ISP域的缺省计费方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令local-useraccounting defaultradius scheme

【举例】

# 在ISP域test下,为lan-access用户配置计费方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access local

# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access radius-scheme rd local

1.1.6  accounting login

【命令】

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting login

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

accounting login命令用来为login用户配置计费方法。undo accounting login命令用来恢复缺省情况。

缺省情况下,login用户采用当前ISP域的缺省计费方法。

需要注意的是:

·     当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

·     FTP类型的login用户不支持计费流程。

相关配置可参考命令local-useraccounting defaulthwtacacs schemeradius scheme

【举例】

# 在ISP域test下,为login用户配置计费方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting login local

# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting login radius-scheme rd local

1.1.7  accounting optional

【命令】

accounting optional

undo accounting optional

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

【描述】

accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。

缺省情况下,计费可选开关处于关闭状态。

需要注意的是:

·     对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了本命令,则用户可以继续使用网络资源,且系统不再为其发送实时计费更新报文,否则用户连接将被切断。该命令适用于不是特别关心计费结果的情况下。

·     计费可选开关打开的情况下,本地用户视图下的access-limit命令配置的本地用户的连接数限制功能不生效。

【举例】

# 打开ISP域test的计费可选开关。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting optional

1.1.8  accounting portal

【命令】

accounting portal { local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting portal

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

accounting portal命令用来为Portal用户配置计费方法。undo accounting portal命令用来恢复缺省情况。

缺省情况下,Portal用户采用当前ISP域的缺省计费方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令local-useraccounting defaultradius scheme

【举例】

# 在ISP域test下,为Portal用户配置计费方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting portal local

# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting portal radius-scheme rd local

1.1.9  accounting ppp

【命令】

accounting ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting ppp

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

accounting ppp命令用来为PPP用户配置计费方法。undo accounting ppp命令用来恢复缺省情况。

缺省情况下,PPP用户采用当前ISP域的缺省计费方法。

需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

相关配置可参考命令local-useraccounting defaulthwtacacs schemeradius scheme

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 在ISP域test下,为PPP用户配置计费方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting ppp local

# 在ISP域test下,配置PPP用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting ppp radius-scheme rd local

1.1.10  accounting wapi

【命令】

accounting wapi { none | radius-scheme radius-scheme-name }

undo accounting wapi

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

accounting wapi命令用来为WAPI用户配置计费方法。undo accounting wapi命令用来恢复缺省情况。

缺省情况下,WAPI用户采用当前ISP域的缺省计费方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关缺省配置可参考命令accounting defaultradius scheme

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 在ISP域test下,配置WAPI用户使用RADIUS方案rd进行计费。

<Sysname> system-view

[Sysname] domain test

[Sysname-domain-test] accounting wapi radius-scheme rd

1.1.11  authentication default

【命令】

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication default

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication default命令用来为当前ISP域配置缺省的认证方法。undo authentication default命令用来为恢复缺省情况。

缺省情况下,当前ISP域的缺省认证方法为local

需要注意的是:

·     当前ISP域所引用的RADIUS、HWTACACS或LDAP方案必须是已配置的。

·     当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。

相关配置可参考命令local-userhwtacacs schemeradius schemeldap scheme

【举例】

# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备份认证方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication default radius-scheme rd local

1.1.12  authentication lan-access

【命令】

authentication lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }

undo authentication lan-access

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication lan-access命令用来为lan-access用户配置认证方法。undo authentication lan-access命令用来恢复缺省情况。

缺省情况下,lan-access用户采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令local-userauthentication defaultradius scheme

【举例】

# 在ISP域test下,为lan-access用户配置认证方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication lan-access local

# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行认证,并且local作为备份认证方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication lan-access radius-scheme rd local

1.1.13  authentication login

【命令】

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication login

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication login命令用来为login用户配置认证方法。undo authentication login命令用来恢复缺省情况。

缺省情况下,login用户采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS、HWTACACS或LDAP方案必须是已配置的。

相关配置可参考命令local-userauthentication defaulthwtacacs schemeradius schemeldap scheme

【举例】

# 在ISP域test下,为login用户配置认证方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication login local

# 在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备份认证方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication login radius-scheme rd local

1.1.14  authentication portal

【命令】

authentication portal { ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication portal

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

ldap-scheme ldap-scheme-name:指定LDAP方案。其中,ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication portal命令用来为Portal用户配置认证方法。undo authentication portal命令用来恢复缺省情况。

缺省情况下,Portal用户采用当前ISP域的缺省认证方法。

需要注意的是,

·     当前ISP域所引用的LDAP或RADIUS方案必须是已配置的。

·     Portal采用的LDAP认证只支持PAP认证方式。

相关配置可参考命令local-userauthentication defaultldap schemeradius scheme

【举例】

# 在ISP域test下,为Portal用户配置认证方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication portal local

# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行认证,并且local作为备份认证方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication portal radius-scheme rd local

1.1.15  authentication ppp

【命令】

authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication ppp

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication ppp命令用来为PPP用户配置认证方法。undo authentication ppp命令用来恢复缺省情况。

缺省情况下,PPP用户采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

相关配置可参考命令local-userauthentication defaulthwtacacs schemeradius scheme

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 在ISP域test下,为PPP用户配置认证方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication ppp local

# 在ISP域test下,配置PPP用户使用RADIUS方案rd进行认证,并且使用local作为备份认证方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication ppp radius-scheme rd local

1.1.16  authentication wapi

【命令】

authentication wapi { none | radius-scheme radius-scheme-name }

undo authentication wapi

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication wapi命令用来为WAPI用户配置认证方法。undo authentication wapi命令用来恢复缺省情况。

缺省情况下,WAPI用户采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关缺省配置可参考命令authentication defaultradius scheme

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 在ISP域wapi下,配置WAPI用户使用RADIUS方案rd进行认证。

<Sysname> system-view

[Sysname] domain wapi

[Sysname-domain-wapi] authentication wapi radius-scheme rd

1.1.17  authentication wlan-ap

【命令】

authentication wlan-ap radius-scheme radius-scheme-name

undo authentication wlan-ap

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication wlan-ap命令用来为WLAN AP用户配置认证方法。AC将使用该认证方法对接入的AP进行认证,以保证AP接入的合法性。undo authentication wlan-ap命令用来恢复缺省情况。

缺省情况下,WLAN AP用户采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令authentication defaultradius scheme

【举例】

# 在ISP域test下,配置WLAN AP用户使用RADIUS方案rd进行认证。

<Sysname> system-view

[Sysname] domain system

[Sysname-isp-system] authentication wlan-ap radius-scheme rd

1.1.18  authentication super

【命令】

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name }

undo authentication super

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication super命令用来配置级别切换认证方法。undo authentication super命令用来恢复缺省情况。

缺省情况下,级别切换认证采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS方案和HWTACACS方案必须是已配置的。

相关配置可参考命令hwtacacs schemeradius scheme和“基础命令参考/CLI”中的命令super authentication-mode

【举例】

# 在ISP域test下,配置使用HWTACACS方案tac进行级别切换认证。

<Sysname> system-view

[Sysname] super authentication-mode scheme

[Sysname] domain test

[Sysname-domain-test] authentication super hwtacacs-scheme tac

1.1.19  authorization command

【命令】

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local | none ] | local | none }

undo authorization command

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的用户只有系统所给予的0级别的命令行访问权限。

【描述】

authorization command命令用来配置命令行授权方法。undo authorization command命令用来恢复缺省情况。

缺省情况下,命令行授权采用当前ISP域的缺省授权方法。

需要注意的是:

·     当前ISP域所引用的HWTACACS方案必须是已配置的。

·     对用户采用本地命令行授权时,成功登录设备的用户只能执行不大于本地用户级别的命令行。

相关配置可参考命令local-userauthorization defaulthwtacacs scheme

【举例】

# 在ISP域test下,配置命令行授权方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization command local

# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local

1.1.20  authorization default

【命令】

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization default

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串。

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console/aux或者Telnet、FTP访问设备的用户)只有系统所给予的0级别的命令行访问权限,其中FTP用户可访问设备的根目录;认证通过的非Login用户可直接访问网络。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authorization default命令用来为当前ISP域配置缺省的授权方法。undo authorization default命令用来恢复缺省情况。

缺省情况下,当前ISP域的缺省授权方法为local

需要注意的是:

·     当前ISP域所引用的RADIUS、HWTACACS或LDAP方案必须是已配置的。

·     当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。

·     在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关配置可参考命令local-userhwtacacs schemeradius schemeldap scheme

【举例】

# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization default radius-scheme rd local

1.1.21  authorization lan-access

【命令】

authorization lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }

undo authorization lan-access

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的lan-access用户可直接访问网络。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authorization lan-access命令用来为lan-access用户配置授权方法。undo authorization lan-access命令用来为恢复缺省情况。

缺省情况下,lan-access用户采用当前ISP域的缺省授权方法。

需要注意的是:

·     当前ISP域所引用的RADIUS方案必须是已配置的。

·     在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关配置可参考命令local-userauthorization defaultradius scheme

【举例】

# 在ISP域test下,为lan-access用户配置授权方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access local

# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access radius-scheme rd local

1.1.22  authorization login

【命令】

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization login

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console/aux或者Telnet、FTP访问设备的用户)只有系统所给予的0级别的命令行访问权限,其中FTP用户可访问设备的根目录。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authorization login命令用来为login用户配置授权方法。undo authorization login命令用来恢复缺省情况。

缺省情况下,login用户采用当前ISP域的缺省授权方法。

需要注意的是:

·     当前ISP域所引用的RADIUS、HWTACACS或LDAP方案必须是已配置的。

·     在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关配置可参考命令local-userauthorization defaulthwtacacs schemeradius schemeldap scheme

【举例】

# 在ISP域test下,为login用户配置授权方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization login local

# 在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization login radius-scheme rd local

1.1.23  authorization portal

【命令】

authorization portal { local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization portal

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的Portal用户可直接访问网络。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authorization portal命令用来为Portal用户配置授权方法。undo authorization portal命令用来恢复缺省情况。

缺省情况下,Portal用户采用当前ISP域的缺省授权方法。

需要注意的是:

·     当前ISP域所引用的RADIUS方案必须是已配置的。

·     在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关配置可参考命令local-userauthorization defaultradius scheme

【举例】

# 在ISP域test下,为Portal用户配置授权方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization portal local

# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization portal radius-scheme rd local

1.1.24  authorization ppp

【命令】

authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization ppp

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的PPP用户可直接访问网络。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authorization ppp命令用来为PPP用户配置授权方法。undo authorization ppp命令用来恢复缺省情况。

缺省情况下,PPP用户采用当前ISP域的缺省授权方法。

需要注意的是:

·     当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

·     在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关配置可参考命令local-userauthorization defaulthwtacacs schemeradius scheme

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 在ISP域test下,为PPP用户配置授权证方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization ppp local

# 在ISP域test下,配置PPP用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization ppp radius-scheme rd local

1.1.25  authorization wapi

【命令】

authorization wapi { none | radius-scheme radius-scheme-name }

undo authorization wapi

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的WAPI用户可直接访问网络。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写,不区分大小写。

【描述】

authorization wapi命令用来为WAPI用户配置授权方法。undo authorization wapi命令用来恢复缺省情况。

缺省情况下,WAPI用户采用当前ISP域的缺省授权方法。

需要注意的是:

·     当前ISP域所引用的RADIUS方案必须是已配置的。

·     在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关缺省配置可参考命令authorization defaultradius scheme

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 在ISP域test下,配置WAPI用户使用RADIUS方案进行授权。

<Sysname> system-view

[Sysname] domain test

[Sysname-domain-test] authorization wapi radius-scheme rd

1.1.26  authorization-attribute

【命令】

authorization-attribute { session-timeout minutes | user-profile profile-name }

undo authorization-attribute { session-timeout | user-profile }

【视图】

ISP域视图

【缺省级别】

3:管理级

【参数】

session-timeout minutes:设置本地用户的会话超时时间。其中,minutes为设定的会话超时时间,取值范围为1~129600,单位为分钟。如果用户在线时长超过该值,设备会强制该用户下线。

user-profile profile-name:指定的User Profile名称,为1~31个字符的字符串,区分大小写。User Profile的相关配置请参考“安全配置指导”中的“User Profile”。

【描述】

authorization-attribute命令用于配置当前ISP域的用户授权属性。undo authorization-attribute命令用于恢复缺省情况。

缺省情况下,当前ISP域无用户授权属性。

如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用本配置指定的授权属性作为当前ISP域的授权属性。

需要注意的是,重复配置本命令,会覆盖原有的配置。

【举例】

# 配置test域下的缺省授权User Profile为profile1。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization-attribute user-profile profile1

1.1.27  cut connection

【命令】

cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

access-type:指定接入方式。

·     dot1x:表示802.1X认证接入方式;

·     mac-authentication:表示MAC地址认证接入方式;

·     portal:表示Portal认证接入方式。

all:指定所有用户连接。

domain isp-name:指定ISP域。其中,isp-name为ISP域名,为1~24个字符的字符串。

interface interface-type interface-number:指定接口。其中,interface-type interface-number为接口类型和接口编号。目前只支持二层以太网接口和WLAN二层虚拟接口。

ip ip-address:指定IP地址。

mac mac-address:指定MAC地址。其中,mac-address为H-H-H格式。

ucibindex ucib-index:指定连接索引号,取值范围为0~4294967295。

user-name user-name:指定用户名。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。若用户输入的用户名未携带域名,则系统默认其带缺省域名或强制认证域名。

vlan vlan-id:指定用户所在VLAN。其中,vlan-id的取值范围为14094

【描述】

cut connection命令用来强制切断指定AAA用户的连接。

此命令目前只对lan-accessPortalPPP服务类型的用户有效。

需要注意的是

·     如果客户端配置的用户名携带版本号或者用户名中存在空格,则无法通过用户名来检索和切断用户连接,但是通过其他方式(如IP地址、连接索引号等)仍然可以检索和切断用户的连接。

·     如果接入用户的接口上配置了指定接入类型的强制认证域(例如802.1X强制认证域),则通过该接口上线的指定接入类型的用户将使用强制认证域进行认证、授权和计费,因此若要通过cut connection domain isp-name命令切断该类用户连接,则必须指定用户使用的强制认证域名。

·     对于使用域名分隔符\或者/802.1X在线用户,不能通过cut connection user-name user-name命令切断其连接。例如,执行命令cut connection user-name aaa\bbb后,不能切断在线用户aaa\bbb的连接。

相关配置可参考命令display connectionservice-type

【举例】

# 切断ISPtest下的所有用户连接。

<Sysname> system-view

[Sysname] cut connection domain test

1.1.28  display connection

【命令】

display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

access-type:显示指定接入方式的用户连接。

·     dot1x:表示802.1X认证接入方式;

·     mac-authentication:表示MAC地址认证接入方式;

·     portal:表示Portal认证接入方式。

domain isp-name:显示指定ISP域中的用户连接。其中,isp-name表示ISP域名,为1~24个字符的字符串,不区分大小写。

interface interface-type interface-number:显示指定接口的用户连接。其中,interface-type interface-number为接口类型和接口编号。目前只支持二层以太网接口和WLAN二层虚拟接口。

ip ip-address:显示指定IP地址的用户连接。

mac mac-address:显示指定MAC地址的用户连接。其中,mac-address为H-H-H格式。

ucibindex ucib-index:显示指定连接索引的用户连接。其中,ucib-index表示连接索引号,取值范围为0~4294967295。

user-name user-name:显示指定用户名的用户连接。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。若用户输入的用户名未携带域名,则系统默认其带缺省域名或强制认证域名。

vlan vlan-id:显示指定VLAN的用户连接。其中,vlan-id的取值范围为14094

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display connection命令用来显示所有或指定的AAA用户连接的相关信息。

需要注意的是:

·     不指定任何参数的情况下,系统显示所有AAA用户连接的概要信息。

·     指定参数ucibindex的情况下,显示详细的用户连接信息,指定其它参数则显示概要信息。

·     对于FTP类型用户,无法显示AAA用户连接的相关信息。

·     如果接入用户的接口上配置了强制认证域(例如802.1X强制认证域),则通过该接口上线的用户将使用强制认证域进行认证、授权和计费。通过本命令查看到的用户名形式与用户输入的用户名是否携带域名有关,如果用户输入的用户名未携带域名分隔符,则设备默认以“用户输入的用户名@强制认证域名”的形式显示用户名,因此若要通过display connection domain isp-name命令显示该类用户信息,则必须指定用户使用的强制认证域名;如果用户输入的用户名中已经包含了域名分隔符,则系统仅显示用户输入的用户名,而不携带强制认证域名。例如,用户输入的用户名为aaa@123,上线时使用的强制认证域为dom,则设备上显示出的用户名为aaa@123,而不是aaa@123@dom。

·     对于使用域名分隔符\或者/的802.1X在线用户,不能通过display connection user-name user-name命令查看到其相关信息。例如,执行命令display connection user-name aaa\bbb后,不能查询到在线用户aaa\bbb的相关信息。

相关配置可参考命令cut connection

【举例】

# 显示所有AAA用户连接的相关信息。

<Sysname> display connection

 

Index=1   ,Username=user1@system

MAC=00-15-E9-A6-7C-FE

IP=10.0.0.1

IPv6=N/A

Online=00h00m53s

 Total 1 connection(s) matched.

# 显示连接索引为0的AAA用户连接的详细信息。

<Sysname> display connection ucibindex 0

Index=0   , Username=user1@system

MAC=00-15-E9-A6-7C-FE

IP=10.0.0.1

IPv6=N/A

Access=Admin   ,AuthMethod=PAP

Port Type=Virtual ,Port Name=N/A

Initial VLAN=999, Authorization VLAN=20

ACL Group=Disable

User Profile=N/A

CAR=Disable

Traffic Statistic:

    InputOctets   =12121212   OutputOctets   =12120

    InputGigawords=1          OutputGigawords=0

Priority=Disable

SessionTimeout=60(s), Terminate-Action=Radius-Request

Start=2009-07-16 10:53:03 ,Current=2009-07-16 10:57:06 ,Online=00h04m03s

 Total 1 connection matched.

# 显示连接索引为1的AAA用户连接的详细信息。认证回应报文携带了用于计费的用户名test1

<Sysname> display connection ucibindex 1

Index=1   , Username=test@system

MAC=00-15-E9-A6-7C-FE

IP=10.0.0.1

IPv6=N/A

Access=Admin   ,AuthMethod=PAP

Port Type=Virtual ,Port Name=N/A

Initial VLAN=999, Authorization VLAN=20

ACL Group=Disable

User Profile=N/A

CAR=Disable

Traffic Statistic:

    InputOctets   =12121212   OutputOctets   =12120

    InputGigawords=1          OutputGigawords=0

Priority=Disable

SessionTimeout=60(s), Terminate-Action=Radius-Request

Accounting Username=test1

Start=2009-07-16 10:53:03 ,Current=2009-07-16 10:57:06 ,Online=00h04m03s

 Total 1 connection matched.

表1-1 display connection命令显示信息描述表

字段

描述

Index

用户连接的索引号

Username

当前连接的用户名,格式为username@domain

MAC

当前连接的用户的MAC地址

IP

该用户IPv4地址

IPv6

该用户IPv6地址

Online

用户在线时长

Access

用户接入类型

AuthMethod

认证方法

Port Type

用户接入的端口类型

Port Name

用户接入的端口名称

Initial VLAN

用户所在的初始VLAN

Authorization VLAN

授权untagged VLAN

Authorization Tagged VLAN list

授权tagged VLAN列表

ACL Group

授权ACL

User Profile

授权User Profile

CAR(kbps)

授权CAR参数信息

Traffic Statistic

流量统计

InputOctets

上行流量,单位为字节

说明

该字段需要与InputGigawords字段结合使用,即上行总流量= InputGigawords × 232 + InputOctets,其中232 = 4G

OutputOctets

下行流量,单位为字节

说明

该字段需要与InputGigawords字段结合使用,即下行总流量= OutputGigawords × 232 + OutputOctets,其中232 = 4G

InputGigawords

上行流量,单位为4G ( 232 )字节

OutputGigawords

下行流量,单位为4G ( 232 )字节

Priority

用户报文的处理优先级

SessionTimeout

服务器下发的SessionTimeout属性值,单位为秒,其涵义由Termiante-Action类型决定:

·     Termiante-Action类型为Default时,该值为用户剩余在线时间

·     Termiante-Action类型为Radius-Request时,该值为用户重认证周期

Terminate-Action

到达SessionTimeout指定的时间时设备采取的动作,包括以下两种类型:

·     Default:切断用户

·     Radius-Request:向用户发起重认证

Accounting Username

服务器下发的用于计费的用户名

Start=xxx ,Current=xxx ,Online=xxx

用户上线的时间,当前的系统时间,用户在线时长

Total 1 connection(s) matched.

总计1个AAA用户连接

 

1.1.29  display domain

【命令】

display domain [ isp-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

isp-name:指定ISP域名,为1~24个字符的字符串。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display domain命令用来显示指定ISP域的配置信息。

如果不指定ISP域,则显示系统中所有ISP域的配置信息。

相关配置可参考命令access-limit enabledomainstate

【举例】

# 显示系统中所有ISP域的配置信息。

<Sysname> display domain

0  Domain : system

   State :  Active

   Access-limit :  Disabled

   Accounting method : Required

   Default authentication scheme      : local

   Default authorization scheme       : local

   Default accounting scheme          : local

   Domain User Template:

   Idle-cut : Disabled

   Self-service : Disabled

   Authorization attributes :

 

1  Domain : test

   State : Active

   Access-limit : Disabled

   Accounting method : Required

   Default authentication scheme      : local

   Default authorization scheme       : local

   Default accounting scheme          : local

   Lan-access authentication scheme   : radius:test, local

   Lan-access authorization scheme    : hwtacacs:hw, local

   Lan-access accounting scheme       : local

   Domain User Template:

   Idle-cut : Disabled

   Session-time : exclude-idle-time

   Self-service : Disabled

   Authorization attributes :

    User-profile : profile1

 

Default Domain Name: system

Total 2 domain(s).

表1-2 display domain命令显示信息描述表

字段

描述

Domain

ISP域名

State

ISP域的当前状态

·     Active:激活状态,表示系统允许该域下的用户请求网络服务

·     Block:阻塞状态,表示系统不允许该域下的用户请求网络服务

Access-limit

ISP所能容纳的最大接入用户数(若显示为Disabled,则表示不限制当前ISP域可容纳接入用户数)

Accounting method

计费方法是否可选

·     Required:必选,表示如果发现没有可用的计费服务器或与计费服务器通信失败时,将切断用户连接

·     Optional:可选,表示如果发现没有可用的计费服务器或与计费服务器通信失败时,用户可以继续使用网络资源

Default authentication scheme

缺省的认证方法

Default authorization scheme

缺省的授权方法

Default accounting scheme

缺省的计费方法

Lan-access authentication scheme

lan-access用户的认证方法

Lan-access authorization scheme

lan-access用户的授权方法

Lan-access accounting scheme

lan-access用户的计费方法

Domain User Template

ISP域的用户模板,定义了与域用户相关的一些功能

Idle-cut

ISP域的用户闲置切断功能

·     Disabled:未使能,表示不对用户进行限制切断控制

·     Enabled:使能,表示当域中的用户在指定的最大空闲时间内的产生的流量小于指定的最小数据流量时,会被强制下线

Session-time

上传到服务器的用户在线时间中是否保留闲置切断时间

·     exclude-idle-time:不保留闲置切断时间

·     include-idle-time:保留闲置切断时间

Self-service

自助服务定位功能

·     Disabled:自助服务定位功能处于未使能状态

·     Self-service URL:用户可以通过浏览器访问该URL指定的服务器页面,并进行相应的操作

Authorization attributes

ISP域的缺省授权属性

User-profile

缺省授权User Profile名称

Default Domain Name

缺省ISP域名

Total 2 domain(s).

总计2个ISP域

 

1.1.30  domain

【命令】

domain isp-name

undo domain isp-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“\”、“:”、“*”、“?”、“<”、“>”、“””、“|”以及“@”字符。

【描述】

domain命令用来创建ISP域并进入其视图。undo domain命令用来删除指定的ISP域。

缺省情况下,系统存在一个名称为system的ISP域。

需要注意的是:

·     所有的ISP域在创建后即处于active状态。

·     不能删除系统中预定义的ISP域system,只能修改该域的配置。

·     不能删除系统缺省的ISP域,除非先恢复要删除的域为非缺省域,系统缺省的ISP域的配置请参考domain default enable命令。

相关配置可参考命令statedisplay domain

【举例】

# 创建一个新的ISP域test,并进入其视图。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test]

1.1.31  domain default enable

【命令】

domain default enable isp-name

undo domain default enable

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

isp-name:ISP域名,为1~24个字符的字符串,不区分大小写。

【描述】

domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。undo domain default enable命令用来恢复缺省情况。

缺省情况下,系统缺省的ISP域为system。

需要注意的是:

·     缺省的ISP域有且只有一个。

·     指定的缺省ISP域要必须存在,否则会导致用户名中未携带域名的用户无法进行认证。

·     配置为缺省的ISP域不能被删除,除非先恢复要删除的域为非缺省域。

相关配置可参考命令domainstatedisplay domain

【举例】

# 创建一个新的ISP域test,并设置为系统缺省的ISP域。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] quit

[Sysname] domain default enable test

1.1.32  domain if-unknown

【命令】

domain if-unknown isp-name

undo domain if-unknown

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“\”、“:”、“*”、“?”、“<”、“>”、“””以及“@”字符。

【描述】

domain if-unknown命令用来为未知域名的用户指定ISP域。undo if-unknown命令用来恢复缺省情况。

缺省情况下,没有为未知域名的用户指定ISP域。

设备将按照如下先后顺序选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域,例如802.1X、Portal、MAC地址认证。

如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证。

相关配置可参考命令domain default enable

【举例】

# 为未知域名的用户指定ISP域为test。

<Sysname> system-view

[Sysname] domain if-unknown test

1.1.33  eap-profile

【命令】

eap-profile profile-name

undo eap-profile profile-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

profile-name:EAP配置文件名,为1~16个字符的字符串,不区分大小写。

【描述】

eap-profile命令用于创建一个EAP Profile,或者进入一个已存在的EAP Profile视图。undo eap-profile命令用于删除指定的EAP Profile。

EAP Porfile是一个本地EAP认证选项的配置集合,用于指定EAP认证的认证方法以及某些EAP认证方法需要引用的SSL服务器策略。

相关配置可参考命令eap methodssl-server-policy

【举例】

# 创建一个EAP Profile,并进入其视图。

<Sysname> system-view

[Sysname] eap-profile aprf1

[Sysname-eap-prof-aprf1]

1.1.34  idle-cut enable

【命令】

idle-cut enable minute [ flow ]

undo idle-cut enable

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

minute:指定闲置检测时间,取值范围为1~129600,单位为分钟。

flow:指定用户在闲置检测时间内产生的数据流量,取值范围为1~10240000,单位为字节,缺省值为10240。

【描述】

idle-cut enable命令用来设置当前ISP域下的用户闲置切断功能。用户上线后,设备会周期性检测用户的流量,若域内某用户在指定的闲置检测时间内产生的流量小于本命令中指定的数据流量,则会被强制下线。undo idle-cut enable命令用来恢复缺省情况。

缺省情况下,用户闲置切断功能处于关闭状态。

需要注意的是:

·     服务器上也可以配置最大空闲时间实现对用户的闲置切断功能,具体为当用户在指定的闲置检测时间内产生的流量小于10240个字节时,会被强制下线。但是,只有在设备上的闲置切断功能处于关闭状态时,服务器才会根据自身的配置来控制用户的闲置切断。

·     在Portal双机热备情况下,闲置检测时间建议配置为5分钟以上,以确保已经上线的Portal用户数据进行了相互备份。

【举例】

# 允许ISP域test中的用户启用闲置切断功能,闲置检测时间为50分钟,允许用户闲置时的最小数据流量为1024个字节。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] idle-cut enable 50 1024

1.1.35  ip pool

【命令】

ip pool pool-number low-ip-address [ high-ip-address ]

undo ip pool pool-number

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

pool-number:地址池编号,取值范围为0~99。

low-ip-addresshigh-ip-address:分别为地址池的起始和结束IP地址。一个地址池中起始IP和结束IP地址之间的地址数不能超过1024。如果在定义IP地址池时不指定结束IP地址,则该地址池中只有一个IP地址,即起始IP地址。

【描述】

ip pool命令用来定义为PPP用户分配IP地址的地址池。undo ip pool命令用来删除指定的IP地址池。

缺省情况下,没有定义为PPP用户分配IP地址的地址池。

需要注意的是:

·     为PPP用户分配IP地址的地址池还可以在系统视图下配置。在系统视图下配置的IP地址池用于为不需要进行认证的PPP用户分配IP地址。通过在指定的接口视图下配置命令remote address,来为该接口指定可用于为对端PPP用户分配的IP地址池。

·     在ISP域视图下配置的IP地址池用于为需要在指定ISP域中进行认证的PPP用户分配IP地址。这主要用于通过某接口接入的PPP用户较多,而接口所能分配的地址不够用的情况。例如,运行PPPoE协议的GigabitEthernet接口,最多可以接入4096个用户,但在该GigabitEthernet接口的Virtual Template上,只能配置一个地址池,而一个地址池最多只有1024个地址,这显然不能满足要求。通过配置ISP域的地址池,可以为ISP的PPP用户分配地址,从而解决接口地址池中地址不够的问题。

【举例】

# 配置IP地址池0,地址范围为129.102.0.1到129.102.0.10。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] ip pool 0 129.102.0.1 129.102.0.10

1.1.36  local-server authentication eap-profile

【命令】

local-server authentication eap-profile profile-name

undo local-server authentication eap-profile

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

profile-name:EAP Profile名称,为1~16个字符的字符串,不区分大小写。指定的EAP Profile名称必须已经存在。

【描述】

local-server authentication eap-profile命令用于设置本地认证服务器使用的EAP Profile。undo local-server authentication eap-profile命令用于删除本地认证服务器使用的EAP Profile。

相关配置可参考命令eap-profile

【举例】

# 为本地认证服务器指定EAP Profile为aprf1。

<Sysname> system-view

[Sysname] local-server authentication eap-profile aprf1

1.1.37  method

【命令】

method { md5 | peap-gtc | peap-mschapv2 | tls | ttls }

undo method { md5 | peap-gtc | peap-mschapv2 | tls | ttls }

【视图】

EAP-Profile视图

【缺省级别】

2:系统级

【参数】

md5:表示MD5质询认证方法。

peap-gtc:表示PEAP认证方法,且在建立的TLS隧道内部使用GTC方法进行认证。

peap-mschapv2:表示PEAP认证方法,且在建立的TLS隧道内部使用MSCHAPv2方法进行认证。

tls:表示TLS认证方法。

ttls:表示TTLS认证方法。

【描述】

method命令用来设置EAP认证方法。undo method命令用来删除指定的EAP认证方法。

缺省情况下,未设置任何EAP认证方法。

一个EAP Profile内可配置多个EAP认证方法,先配置的认证方法在本地EAP认证时优先选用。但一个EAP Profile内不允许同时配置peap-gtcpeap-mschapv2

当使用本地服务器对EAP客户端进行EAP认证时,首先需要进行EAP认证方法的协商。协商的具体过程为,本地服务器在配置生成的EAP认证方法列表中为客户端选取第一个认证方法,若客户端支持服务器选定的认证方法,则表示协商成功,可继续后续的认证过程;若客户端不支持,则本地服务器重新发起认证,选用第二个认证方法。若当前使用的认证方法列表中没有客户端支持的方法,本地服务器向客户端发送EAP-Failure报文,通知用户认证失败。

EAP-TTLS认证整个过程包含两个阶段:TLS握手阶段和TLS隧道阶段。TLS握手阶段也称为外层认证,主要是协商密钥、建立隧道的过程,它所建立的隧道则用于保护TLS隧道阶段,也称为内层认证。EAP-TTLS支持多种内层认证方法,目前设备只支持PAP和MSCHAPv2。其中,PAP认证方法支持所有用户身份查询方式(localldap-sheme);MSCHAPv2只支持使用本地数据库的查询方式(local)。所以,在采用MSCHAPv2内层认证方法的情况下,若设置的用户身份查询方式仅包含ldap-sheme方式,则用户认证将 会失败;若设置的用户身份查询方式中包含local方式,则无论是否设置了ldap-sheme方式,都会直接使用本地数据库进行用户身份的查询。

相关配置可参考命令user-credentials

【举例】

# 创建一个EAP Profile,并指定EAP认证方法为MD5和PEAP-MSCHAPv2, PEAP-MSCHAPv2认证方法优先使用。

<Sysname> system-view

[Sysname] eap-profile aprf1

[System-eap-prof-aprf1] method peap-mschapv2

[System-eap-prof-aprf1] method md5

1.1.38  user-credentials

【命令】

user-credentials { ldap-scheme ldap-scheme-name [ local ] | local }

undo user-credentials

【视图】

EAP-Profile视图

【缺省级别】

2:系统级

【参数】

ldap-scheme:表示使用LDAP数据库。

ldap-scheme-name:LDAP方案名,为1~32个字符的字符串,不区分大小写。

local:表示使用本地用户数据库。

【描述】

user-credentials命令用来设置本地EAP认证的用户身份查询方式。undo user-credentials命令用来恢复缺省情况。

缺省情况下,使用本地用户数据库查询用户身份。

【举例】

# 配置本地EAP认证使用本地用户数据库查询用户身份。

<Sysname> system-view

[Sysname] eap-profile aprf1

[Sysname-eap-prof-aprf1] user-credentials local

# 配置本地EAP认证使用LDAP数据库查询用户身份,并且使用本地用户数据库作为备份方案。在EAP Profile aprf2中引用名为test的LDAP方案。

<Sysname> system-view

[Sysname] ldap scheme test

[Sysname-ldap-test] quit

[Sysname] eap-profile aprf2

[Sysname-eap-prof-aprf2] user-credentials ldap-scheme test local

1.1.39  nas-id bind vlan

【命令】

nas-id nas-identifier bind vlan vlan-id

undo nas-id nas-identifier bind vlan vlan-id

【视图】

NAS-ID Profile视图

【缺省级别】

2:系统级

【参数】

nas-identifier:NAS-ID名称,为1~20个字符的字符串,区分大小写。

vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。

【描述】

nas-id bind vlan命令用来设置NAS-ID与VLAN的绑定关系,即把一个NAS-ID指定给一个VLAN。undo nas-id bind vlan命令用来删除一个指定的NAS-ID和VLAN的绑定关系。

缺省情况下,未设置任何绑定关系。

需要注意的是:

·     一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。

·     一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。

相关配置可参考命令aaa nas-id profile

【举例】

# 把NAS-ID 222指定给VLAN 2。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2

1.1.40  self-service-url enable

【命令】

self-service-url enable url-string

undo self-service-url enable

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

url-string:表示自助服务器的URL,为1~64个字符的字符串。字符串必须以“http://”开始,字符串中不能包括“?”字符。该URL在安装RADIUS服务器时由服务器管理员指定。

【描述】

self-service-url enable命令用来指定自助服务器的URL。undo self-service-url enable命令用来恢复缺省情况。

缺省情况下,自助服务器定位功能处于关闭状态。

自助服务即用户可以对自己的帐号和密码进行管理和控制。目前,仅iMC类型的RADIUS服务器支持自助服务。

【举例】

# 在ISP域test下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] self-service-url enable http://10.153.89.94/selfservice

1.1.41  session-time include-idle-time

【命令】

session-time include-idle-time

undo session-time include-idle-time

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

【描述】

session-time include-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间。undo session-time include-idle-time命令用来恢复缺省情况。

缺省情况下,设备上传到服务器的用户在线时间中扣除闲置切断时间。

当用户正常下线时,设备上传到服务器上的用户在线时间为实际在线时间。当用户异常下线时,若配置为保留闲置切断时间,则上传到服务器上的用户在线时间中包含了一定的闲置切断检测间隔或用户在线探测间隔(该在线探测机制目前仅Portal认证支持),此时服务器上记录的用户时长将大于用户实际在线时长;若配置为扣除闲置切断时间,则上传到服务器上的用户在线时间为,闲置切断检测机制(或用户在线探测机制)检测到并判断用户已下线的时长扣除掉一个闲置切断检测间隔(或一个用户在线探测间隔),此时服务器上记录的用户时长将小于用户实际在线时长。

请根据实际的计费策略决定是否在用户在线时间中保留该闲置切换时间。

相关配置可参考命令idle-cut enable

【举例】

# 在ISP域test下,配置设备上传到服务器的用户在线时间中保留闲置切断时间。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] session-time include-idle-time

1.1.42  ssl-server-policy

【命令】

ssl-server-policy policy-name

undo ssl-server-policy

【视图】

EAP-Profile视图

【缺省级别】

2:系统级

【参数】

policy-name:SSL服务器端策略名,为1~16个字符的字符串,不区分大小写。

【描述】

ssl-server-policy命令用来设置用于EAP认证的SSL服务器端策略。undo ssl-server-policy命令用来取消设置的SSL服务器端策略。

缺省情况下,未设置任何SSL服务器端策略。

需要注意的是,在进行该配置之前,需要将SSL服务器端策略以及SSL服务器端策略相关的PKI域预先配置好,否则该配置不能生效。

相关配置可参考“安全配置指导”中的“SSL”和“PKI”。

【举例】

# 创建一个EAP Profile,并指定用于EAP认证的SSL服务器端策略。

<Sysname> system-view

[Sysname] eap-profile aprf1

[System-eap-prof-aprf1] ssl-server-policy tls-server

1.1.43  state(ISP domain view)

【命令】

state { active | block }

undo state

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。

block:指定当前ISP域处于“阻塞”状态,即系统不允许该域下的用户请求网络服务。

【描述】

state命令用来设置当前ISP域的状态。undo state命令用来恢复缺省情况。

缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。

当指定某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。

【举例】

# 设置当前ISP域test处于“阻塞”状态,域下的接入用户不能再请求网络服务。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] state block

1.2  本地用户配置命令

1.2.1  access-limit

【命令】

access-limit max-user-number

undo access-limit

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

max-user-number:表示使用当前用户名接入设备的最大用户数,取值范围为1~1024。

【描述】

access-limit命令用来设置当前用户名可容纳的最大接入用户数。undo access-limit命令用来取消对当前用户名的接入用户数限制。

缺省情况下,不限制当前本地用户名可容纳的接入用户数。

需要注意的是:

·     本地用户的access-limit命令只在该用户采用了本地计费方法的情况下生效。

·     由于FTP用户不支持计费,因此FTP用户不受此属性限制。

相关配置可参考命令display local-user

【举例】

# 允许同时以用户名abc在线的用户数为5。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] access-limit 5

1.2.2  authorization-attribute(Local user view/user group view)

【命令】

authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | session-timeout minutes | user-profile profile-name | user-role { guest | guest-manager } | vlan vlan-id | work-directory directory-name } *

undo authorization-attribute { acl | callback-number | idle-cut | level | session-timeout | user-profile | user-role | vlan | work-directory } *

【视图】

本地用户视图/用户组视图

【缺省级别】

3:管理级

【参数】

acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源。

callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,区分大小写。本地用户认证成功后,设备将可以使用该用户的授权PPP回呼号码向对端发起回呼。

idle-cut minute:设置本地用户的闲置切断时间。其中,minute为设定的闲置切断时间,取值范围为1~129600,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。

level level:指定本地用户的级别,取值范围为0~3。其中0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的级别越低。当登录设备用户界面的验证方式配置为scheme时,用户成功登录后所能访问的命令行的级别由本参数决定。缺省情况下,本地用户的级别为0,即用户成功登录后缺省可以访问级别为0的命令行。

session-timeout minutes:设置本地用户的会话超时时间。其中,minutes为设定的会话超时时间,取值范围为1~129600,单位为分钟。如果用户在线时长超过该值,设备会强制该用户下线。

user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示用户配置文件的名称,为1~32个字符的字符串,只能包含英文字母、数字、下划线,且必须以英文字母开始,区分大小写。当用户通过认证上线后,其访问行为将受到User Profile中预设配置的限制。关于User Profile的详细介绍请参见“安全配置指导”中的“User Profile”。

user-role:指定授权本地用户的角色,不同角色的用户具有不同的命令行使用权限。该属性仅在本地用户视图下支持。未被授权为某特殊角色的本地用户,其认证成功后具有的访问权限受其它本地用户授权属性限制。目前,设备支持的本地用户角色包括以下几种:

·     guest:表示授权本地用户为来宾用户。通常,该角色的用户通过Web页面创建。

·     guest-manager:表示授权本地用户为来宾管理员,该类型的本地用户通过认证后,仅能通过Web访问来宾用户相关的页面,比如创建、修改和删除来宾用户。该参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍;

vlan vlan-id:指定本地用户的授权VLAN。本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源。其中,vlan-id为VLAN编号,取值范围为1~4094。

work-directory directory-name:授权FTP/SFTP用户可以访问的目录。其中,directory-name表示FTP/SFTP用户可以访问的目录,为1~135个字符的字符串,不区分大小写,且该目录必须已经存在。缺省情况下,FTP/SFTP用户可访问设备的根目录,可通过本参数来修改用户可以访问的目录。

【描述】

authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。

缺省情况下,未对本地用户或用户组设置任何授权属性。

需要注意的是:

·     可配置的授权属性都有其明确的使用环境和用途,请仅针对用户的服务类型配置对应的授权属性。

·     用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。

·     本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。

·     一个本地用户只能被指定为一种角色,后设置的角色会覆盖前面设置的角色。

【举例】

# 配置本地用户abc的授权VLAN为VLAN 2。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] authorization-attribute vlan 2

# 配置用户组abc的授权VLAN为VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

1.2.3  bind-attribute

【命令】

bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *

undo bind-attribute { call-number | ip | location | mac | vlan } *

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

call-number call-number:指定ISDN用户认证的主叫号码。其中call-number为1~64个字符的字符串。该绑定属性仅适用于PPP用户。

subcall-number:指定子主叫号码。如果配置了子主叫号码,则主叫号码与子主叫号码的总长度不能大于62个字符。

ip ip-address:指定用户的IP地址。

location port slot-number subslot-number port-number:指定用户绑定的端口。其中slot-number为单板所在槽位号,取值范围为0~255;subslot-number为子槽位号,取值范围为0~15;port-number为端口号,取值范围0~255。

mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。

vlan vlan-id:指定用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。

【描述】

bind-attribute命令用来设置用户的绑定属性。undo bind-attribute命令用来删除配置的用户绑定属性。

缺省情况下,未设置用户的任何绑定属性。

需要注意的是,当对本地用户进行认证时,如果配置了绑定属性,则会检查用户的实际属性与配置的绑定属性是否一致,如果不一致则认证失败。而且,由于认证检测时不区分用户的接入服务类型,即会对所有类型的用户都进行已配置绑定属性的认证检测,因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性。例如,只有支持IP地址上传功能的802.1X认证用户才可以配置绑定IP地址;对于不支持IP地址上传功能的MAC地址认证用户,如果配置了绑定IP地址,则会导致该用户的本地认证失败。

【举例】

# 配置本地用户abc的绑定IP为3.3.3.3。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] bind-attribute ip 3.3.3.3

1.2.4  display local-user

【命令】

display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | portal | ppp | ssh | telnet | terminal | web } | state { active | block } | user-name user-name | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

idle-cut { disable | enable }:显示使能或未使能闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。

service-type:显示指定用户类型的本地用户信息。

·     ftp:FTP用户,该参数在FIPS模式下不可用。

·     lan-access:lan-access类型用户(主要指以太网接入用户,比如802.1X用户)。

·     portal:Portal用户。

·     ppp:PPP用户。该参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

·     ssh:SSH用户。

·     telnet:Telnet用户,该参数在FIPS模式下不可用。

·     terminal:从CON口、AUX口登录的终端用户。

·     web:Web用户。

state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用于处于阻塞状态,即系统不允许用户请求网络服务。

user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。

vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。

需要注意的是:如果不指定任何参数,则显示所有本地用户信息。

相关配置可参考命令local-user

【举例】

# 显示所有本地用户的相关信息。

<Sysname> display local-user

The contents of local user abc:

 State:                    Active

 ServiceType:              lan-access

 Access-limit:             Enabled           Current AccessNum: 0

 Max AccessNum:            300

 User-group:               system

 Bind attributes:

  IP address:              1.2.3.4

  Bind location:           0/4/1 (SLOT/SUBSLOT/PORT)

  MAC address:             00-01-00-02-00-03

  Vlan ID:                 100

 Authorization attributes:

  Idle TimeOut:            10(min)

  Work Directory:          flash:/

  User Privilege:          3

  Acl ID:                  2000

  Vlan ID:                 100

  User Profile:            prof1

 Expiration date:          12:12:12-2018/09/16

 Password aging:           Enabled (30 days)

 Password length:          Enabled (4 characters)

 Password composition:     Enabled (4 types,  2 characters per type)

Total 1 local user(s) matched.

表1-3 display local-user命令显示信息描述表

字段

描述

State

本地用户的状态(Active:激活、Block:阻塞)

ServiceType

本地用户的服务类型(ftp、lan-access、portal、ppp、ssh、telnet、terminal)

Access-limit

是否对使用该用户名的接入连接数进行限制(Enabled:使能连接限制功能、Disabled:未使能连接限制功能)

Current AccessNum

使用该用户名的当前接入用户数

Max AccessNum

最大接入用户数

User-group

本地用户所属用户组

Bind attributes

本地用户的绑定属性

IP address

本地用户绑定的IP地址

Bind location

本地用户绑定的端口

MAC address

本地用户绑定的MAC地址

VLAN ID

本地用户绑定的VLAN

Calling Number

ISDN用户绑定的主叫号码

Authorization attributes

本地用户的授权属性

Idle TimeOut

本地用户闲置切断时间(单位为分钟)

Callback-number

本地用户的授权PPP回呼号码

Work Directory

FTP/SFTP用户可以访问的目录

User Privilege

本地用户级别

VLAN ID

本地用户授权VLAN

User Profile

本地用户授权User Profile

Expiration date

本地用户的有效期

Password aging

本地用户密码的老化时间

Password length

本地用户密码的最小长度

Password composition

本地用户密码的组合策略

Total 1 local user(s) matched.

总计有1个本地用户匹配

 

1.2.5  display user-group

【命令】

display user-group [ group-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display user-group命令用来显示用户组的相关配置。不指定用户组名称,则显示所有用户组的相关配置。

相关配置请参考命令user-group

【举例】

# 显示用户组abc的相关配置。

<Sysname> display user-group abc

The contents of user group abc:

 Authorization attributes:

  Idle-cut:                120(min)

  Work Directory:          FLASH:

  Level:                   1

  Acl Number:              2000

  Vlan ID:                 1

  User-Profile:            1

  Callback-number:         1

 Password aging:           Enabled (1 days)

 Password length:          Enabled (4 characters)

 Password composition:     Enabled (1 types,  1 characters per type)

Total 1 user group(s) matched.

表1-4 display user-group命令显示信息描述表

字段

描述

Idle-cut

闲置切断时间(单位:分钟)

Work Directory

FTP/SFTP用户可以访问的目录

Level

本地用户的级别

Acl Number

授权ACL

Vlan ID

授权VlAN ID

User-Profile

授权User Profile名称

Callback-number

PPP回呼号码

Password aging

本地用户密码老化时间

Password length

本地用户密码最小长度

Password composition

本地用户密码组合策略

Total 1 user group(s) matched.

总计有1个用户组匹配

 

1.2.6  expiration-date(Local user view)

【命令】

expiration-date time

undo expiration-date

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

time:本地用户的有效期,精确到秒,格式为HH:MM:SS-MM/DD/YYYY(时:分:秒-月/日/年)、HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)、MM/DD/YYYY-HH:MM:SS(月/日/年-时:分:秒)或YYYY/MM/DD-HH:MM:SS(年/月/日-时:分:秒)。其中,HH:MM:SS中的HH取值范围为0~23,MM和SS取值范围为0~59;MM/DD/YYYY或YYYY/MM/DD中的MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。除表示零点外,格式中的前导0可以省略不写,比如2:2:0-2008/2/2等效于02:02:00-2008/02/02。

【描述】

expiration-date命令用来设置本地用户的有效期。undo expiration-date用来取消本地用户的有效期配置。

缺省情况下,未设置用户的有效期,设备不进行用户有效期的检查。

在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾帐户,并通过本命令与vaildity-date命令一起完成对用户有效起止时间的控制。当用户进行本地认证时,接入设备检查当前系统时间是否在该用户的生效时间与有效期之间,若在则允许用户登录,否则拒绝用户登录。

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 配置用户abc的有效期为2008/05/31的12:10:20。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] expiration-date 12:10:20-2008/05/31

1.2.7  fast-authentication aging

【命令】

fast-authentication aging aging-value

undo fast-authentication aging

【视图】

本地用户视图

【缺省级别】

2:系统级

【参数】

aging-value:MAC绑定表项的老化时间,取值范围为1~2160,单位为小时。

【描述】

fast-authentication aging命令用来配置快速认证时Portal用户的MAC绑定表项的老化时间。undo fast-authentication aging命令用来恢复缺省情况。

缺省情况下,快速认证时Portal用户的MAC绑定表项老化时间为12小时。  

【举例】

# 配置快速认证时,test用户的MAC绑定表项老化时间为720小时。

<Sysname> system-view

[Sysname] local-user test

[Sysname-luser-test] fast-authentication aging 720

1.2.8  fast-authentication enable

【命令】

fast-authentication enable

undo fast-authentication enable

【视图】

本地用户视图

【缺省级别】

2:系统级

【描述】

fast-authentication enable命令用来开启用户快速认证功能。undo fast-authentication enable命令用来关闭用户快速认证功能。

缺省情况下,未开启用户快速认证功能。

当本地Portal用户认证成功后,如果用户开启了快速认证功能,设备会自动将该Portal用户的MAC地址添加到该用户的MAC地址绑定表项中,如果后续Portal用户使用相同的MAC地址进行MAC地址认证成功后,则无需在再进行Portal认证,达到快速认证的目的。认证用户的服务类型必须同时为portal和lan-access。

【举例】

# 开启test用户快速认证功能。

<Sysname> system-view

[Sysname] local-user test

[Sysname-luser-test] fast-authentication enable

1.2.9  fast-authentication mac-address

【命令】

fast-authentication mac-address mac-address

undo fast-authentication mac-address mac-address

【视图】

本地用户视图

【缺省级别】

2:系统级

【参数】

mac-address:Portal认证用户的MAC地址,格式为H-H-H。

【描述】

fast-authentication mac-address命令用来配置快速认证时的Portal认证用户的MAC地址。undo fast-authentication mac-address命令用来删除绑定的Portal认证用户的MAC地址。

【举例】

# 配置快速认证时的Portal认证用户的MAC地址为1-1-1。

<Sysname> system-view

[Sysname] local-user test

[Sysname-luser-test] fast-authentication mac-address 1-1-1

1.2.10  group

【命令】

group group-name

undo group

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。

【描述】

group命令用来设置本地用户所属的用户组。undo group命令用来恢复缺省配置。

缺省情况下,用户属于系统默认创建的用户组system

【举例】

# 设置本地用户111所属的用户组为abc。

<Sysname> system-view

[Sysname] local-user 111

[Sysname-luser-111] group abc

1.2.11  group-attribute allow-guest

【命令】

group-attribute allow-guest

undo group-attribute allow-guest

【视图】

用户组视图

【缺省级别】

3:管理级

【参数】

【描述】

group-attribute allow-guest命令用来设置用户组的来宾可选属性,即允许来宾用户管理员在Web页面上创建的来宾用户加入该用户组。undo group-attribute allow-guest命令用来恢复缺省情况。

缺省情况下,用户组不具有来宾可选属性,来宾用户管理员在Web界面上创建的来宾用户不能加入该用户组。

需要注意的是,系统默认创建的用户组system缺省就具有来宾可选属性,并且该属性不能被删除。

【举例】

# 设置用户组test允许来宾用户加入。

<Sysname> system-view

[Sysname] user-group test

[Sysname-ugroup-test] group-attribute allow-guest

1.2.12  local-user

【命令】

local-user user-name

undo local-user { user-name | all [ service-type { ftp | lan-access | portal | ppp | ssh | telnet | terminal | web } ] }

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”、“all”。

all:所有的用户。

service-type:指定用户的类型。具体用户类型如下:

·     ftp:表示FTP类型用户,该参数在FIPS模式下不可用;

·     lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.1X用户);

·     portal:表示Portal用户;

·     ppp:表示PPP用户。该参数的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍;

·     ssh:表示SSH用户;

·     telnet:表示Telnet用户,该参数在FIPS模式下不可用;

·     terminal:表示从Console口、AUX口登录的终端用户,FIPS模式下必须指定该用户类型;

·     web:表示Web用户。

【描述】

local-user命令用来添加本地用户并进入本地用户视图。undo local-user命令用来删除指定的本地用户。

缺省情况下,系统有一个用户名为admin的本地用户。

相关配置可参考命令display local-userservice-type

【举例】

# 添加名称为user1的本地用户。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1]

1.2.13  password

【命令】

password [ [ hash ] { cipher | simple } password ]

undo password

【视图】

本地用户视图

【缺省级别】

2:系统级

【参数】

hash:表示以哈希值的方式保存并显示设置的密码。若不指定该参数,则表示以密文的形式保存并显示设置的密码。

cipher:表示以密文方式设置用户密码。

simple:表示以明文方式设置用户密码。

password:设置的明文密码或密文密码,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串。指定hash关键字的情况下,密文密码为1~110个字符的字符串。

【描述】

password命令用来设置本地用户的密码。undo password命令用来取消本地用户的密码。

需要注意的是:

·     如果不指定任何参数,则表示以交互式方式设置本地用户密码,涵义与指定simple关键字相同。相关命令的具体介绍请参见“安全命令参考”中的“Password Control”。

·     不指定hash关键字的情况下,以明文或密文方式设置的用户密码,均以密文的方式保存在配置文件中;指定hash关键字的情况下,以明文或密文方式设置的用户密码,均以哈希值的方式保存在配置文件中。

·     使能Password Control特性的全局密码管理功能(通过命令password-control enable)后,本地用户密码的设置将受到Password Control特性的约束,比如密码的长度、复杂度等将会受到限制,并且设备上将不显示配置的本地用户密码。另外,用户也不能通过password hash cipher命令配置用户密码。

·     在FIPS模式下,password命令不可用,必须使用password-control命令来设置本地用户的密码。

相关配置可参考命令display local-user

【举例】

# 设置本地用户user1的密码为明文123456,并以密文的方式保存及显示。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] password simple 123456

# 以交互式方式设置本地用户user1的密码为123456,并以密文的方式保存及显示。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] password

Password:******

Confirm :******

# 设置本地用户user1的密码为明文123456,并以哈希值的方式保存及显示。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] password hash simple 123456

1.2.14  service-type

【命令】

service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal | ppp | web }

undo service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal | ppp | web }

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权FTP用户可访问设备的根目录,该参数在FIPS模式下不可用。

lan-access:指定用户可以使用lan-access服务。主要指以太网接入,比如用户可以通过802.1X认证接入。

ssh:指定用户可以使用SSH服务。

telnet:指定用户可以使用Telnet服务,该参数在FIPS模式下不可用。

terminal:指定用户可以使用terminal服务(即从Console口、AUX口登录),该参数在FIPS模式下必选。

portal:指定用户可以使用Portal服务。

ppp:指定用户可以使用PPP服务。该参数支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

web:指定用户可以使用Web服务。

【描述】

service-type命令用来设置用户可以使用的服务类型。undo service-type命令用来删除用户可以使用的服务类型。

缺省情况下,系统不对本地用户授权任何服务。

可以通过多次执行本命令,设置用户可以使用多种服务类型。

【举例】

# 指定用户可以使用Telnet服务。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] service-type telnet

1.2.15  state(Local user view)

【命令】

state { active | block }

undo state

【视图】

本地用户视图

【缺省级别】

2:系统级

【参数】

active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。

block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。

【描述】

state命令用来设置当前本地用户的状态。undo state命令用来恢复缺省情况。

缺省情况下,当一个本地用户被创建以后,其状态为active(本地用户视图)。

当指示某个用户处于block状态时,不允许当前本地用户请求网络服务,但是不影响其它用户。

相关配置可参考命令local-user

【举例】

# 设置本地用户user1处于“阻塞”状态。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] state block

1.2.16  user-group

【命令】

user-group group-name

undo user-group group-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。

【描述】

user-group命令用来创建用户组并进入其视图。undo user-group命令用来删除指定的用户组。

用户组是一个本地用户策略及属性的集合,某些需要集中管理的策略或者属性可在在用户组中统一配置和管理。目前,用户组中可配置的内容包括本地用户密码的控制策略和用户的授权属性。

需要注意的是:

·     当用户组中有本地用户时,不允许使用undo user-group删除该用户组。

·     不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。

相关配置可参考命令display user-group

【举例】

# 创建名称为abc的用户组并进入其视图。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc]

1.2.17  validity-date

【命令】

validity-date time

undo validity-date

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

time:本地用户的生效时间,精确到秒,格式为HH:MM:SS-MM/DD/YYYY(时:分:秒-月/日/年)、MM/DD/YYYY-HH:MM:SS(月/日/年-时:分:秒)、YYYY/MM/DD-HH:MM:SS(年/月/日-时:分:秒)或HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)。其中,HH:MM:SS中的HH取值范围为0~23,MM和SS取值范围为0~59;MM/DD/YYYY中的MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。除表示零点外,格式中的前导0可以省略不写,比如2:2:0-2008/2/2等效于02:02:00-2008/02/02。

【描述】

validity-date命令用来设置本地用户的生效时间。undo validity-date用来取消本地用户的生效时间配置。

缺省情况下,未设置用户的生效时间,设备不进行用户生效时间的检查。

在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾帐户,并通过本命令与expiration-date命令一起完成对用户有效起止时间的控制。当用户进行本地认证时,接入设备检查当前系统时间是否在该用户的生效时间与有效期之间,若在则允许用户登录,否则拒绝用户登录。

【举例】

# 配置用户abc的生效时间为2008/04/30的12:10:20,有效期截至2008/05/31的12:10:20。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] validity-date 12:10:20-2008/04/30

[Sysname-luser-abc] expiration-date 12:10:20-2008/05/31

1.3  RADIUS配置命令

1.3.1  accounting-on enable

【命令】

accounting-on enable [ interval seconds | send send-times ] *

undo accounting-on enable

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

seconds:accounting-on报文重发时间间隔,取值范围为1~15,单位为秒,缺省值为3。

send-times:accounting-on报文的最大发送次数,取值范围为1~255,缺省值为50。

【描述】

accounting-on enable命令用来配置accounting-on功能。在accounting-on功能处于使能的情况下,若设备重启,则设备会在重启之后发送accounting-on报文通知该方案所使用的计费RADIUS服务器,要求RADIUS服务器停止计费且强制该设备的用户下线。undo accounting-on enable命令用来恢复缺省情况。

缺省情况下,accounting-on功能处于关闭状态。

需要注意的是:

·     执行完该命令后,请执行save操作,以保证设备重启后accounting-on功能生效。

·     在执行accounting-on功能的过程中,使用该命令重新设置的报文重发间隔时间以及报文最大发送次数会立即生效。

【举例】

# 使能RADIUS认证方案radius1的accounting-on功能,并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] accounting-on enable interval 5 send 15

1.3.2  attribute 4

【命令】

attribute 4 ip-address

undo attribute 4

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:本机向RADIUS服务器发送的RADIUS请求报文中的4号属性的值,为合法的IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

【描述】

attribute 4命令用来配置RADIUS请求报文中携带的4号属性(NAS-IP-Address)的值。undo attribute 4命令用来恢复缺省情况。

缺省情况下,使用发送RADIUS报文的源IP地址作为 4号属性值。

MAC-BAC组网环境下,RADIUS请求报文中携带的4号属性值必须配置为Master AC的IP地址。

配置了4号属性后,仅改变RADIUS请求报文中携带的NAS-IP-Address属性值,但RADIUS请求报文的源IP地址不会改变。

相关配置可参考命令radius nas-ipnas-ip(RADIUS scheme view)。

【举例】

# 配置RADIUS请求报文中携带的4号属性值为192.168.0.2。

<Sysname> system-view

[Sysname] radius scheme aaa

[Sysname-radius-aaa] attribute 4 192.168.0.2

1.3.3  attribute 25 car

【命令】

attribute 25 car

undo attribute 25 car

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。undo attribute 25 car命令用来恢复缺省情况。

缺省情况下,RADIUS Attribute 25的CAR参数解析功能处于关闭状态。

相关配置可参考命令display radius schemedisplay connection

【举例】

# 开启RADIUS Attribute 25的CAR参数解析功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 25 car

1.3.4  attribute 41

【命令】

attribute 41 value

undo attribute 41

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

value:指定RADIUS计费报文中携带的41号属性(Account-Delay-Time属性)值,取值范围为0255

【描述】

attribute 41命令用来配置RADIUS计费报文中携带的41号属性(Account-Delay-Time属性)的值。undo attribute 41命令用来恢复缺省情况。

缺省情况下,根据RADIUS计费报文的延迟时间填写41号属性值。

【举例】

# 配置RADIUS计费报文中携带的41号属性值为0。

<Sysname> system-view

[Sysname] radius scheme aaa

[Sysname-radius-aaa] attribute 41 0

1.3.5  data-flow-format (RADIUS scheme view)

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

data:设置数据流的单位。

·     byte:数据流的单位为字节。

·     giga-byte:数据流的单位千兆字节。

·     kilo-byte:数据流的单位为千字节。

·     mega-byte:数据流的单位为兆字节。

packet:设置数据包的单位。

·     giga-packet:数据包的单位为千兆包。

·     kilo-packet:数据包的单位为千包。

·     mega-packet:数据包的单位为兆包。

·     one-packet:数据包的单位为包。

【描述】

data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位。undo data-flow-format命令用来恢复缺省情况。

缺省情况下,数据流的单位为byte,数据包的单位为one-packet

需要注意的是,设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADUIS服务器上的流量统计单位保持一致,否则无法正确计费。

相关配置可参考命令display radius scheme

【举例】

# 在RADIUS方案radius1中,设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet

1.3.6  display radius scheme

【命令】

display radius scheme [ radius-scheme-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

radius-scheme-name:指定RADIUS方案名。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。

需要注意的是:如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。

相关配置可参考命令radius scheme

【举例】

# 显示所有RADIUS方案的配置信息。

<Sysname> display radius scheme

------------------------------------------------------------------

SchemeName  : radius1

  Index : 0                           Type : extended

  Primary Auth Server:

    IP: 1.1.1.1                                  Port: 1812   State: active

    Encryption Key : ******

    Probe username :test

    Probe interval : 10min

  Primary Acct Server:

    IP: 1.1.1.1                                  Port: 1813   State: active

    Encryption Key : ******

    Probe username :test

    Probe interval : 10min

  Second Auth Server:

    IP: 1.1.2.1                                  Port: 1812   State: active

    Encryption Key : N/A

    Probe username :test

    Probe interval : 10min

    IP: 1.1.3.1                                  Port: 1812   State: active

    Encryption Key : N/A

    Probe username :N/A

    Probe interval : N/A

  Second Acct Server:

    IP: 1.1.2.1                                  Port: 1813   State: block

    Encryption Key : N/A

    Probe username :N/A

    Probe interval : N/A

  Auth Server Encryption Key : ******

  Acct Server Encryption Key : N/A

  Accounting-On packet disable, send times : 50 , interval : 3s

  Interval for timeout(second)                            : 3

  Retransmission times for timeout                        : 3

  Interval for realtime accounting(minute)                : 12

  Retransmission times of realtime-accounting packet      : 5

  Retransmission times of stop-accounting packet          : 500

  Quiet-interval(min)                                     : 5

  Username format                                         : without-domain

  Data flow unit                                          : Byte

  Packet unit                                             : one

  NAS-IP address                                          : 1.1.1.1

  Attribute 25                                            : car

------------------------------------------------------------------

Total 1 RADIUS scheme(s).

表1-5 display radius scheme命令显示信息描述表

字段

描述

SchemeName

RADIUS方案的名称

Index

RADIUS方案的索引号

Type

设备支持的RADIUS服务器的类型

·     extended类型:要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互

·     standard类型:要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互

Primary Auth Server

主认证服务器相关信息

Primary Acct Server

主计费服务器相关信息

Second Auth Server

从认证服务器相关信息

Second Acct Server

从计费服务器相关信息

IP

认证/计费服务器的IP地址

Port

认证/计费服务器的接入端口号

未配置时,显示缺省值

State

认证/计费服务器的目前状态

·     active:激活

·     block:阻塞

Encryption Key

认证/计费报文的共享密钥

·     已配置时,显示为******

·     未配置时,显示为N/A

Probe username

探测服务器状态使用的用户名

Probe interval

探测服务器状态的周期(分钟)

Auth Server Encryption Key

认证报文的共享密钥

·     已配置时,显示为******

·     未配置时,显示为N/A

Acct Server Encryption Key

计费报文的共享密钥

·     已配置时,显示为******

·     未配置时,显示为N/A

Accounting-On packet disable

accounting-on功能未使能

send times

accounting-on报文的重发次数

interval

accounting-on报文的重发间隔(秒)

Interval for timeout(second)

RADIUS服务器的响应超时时间(秒)

Retransmission times for timeout

发送RADIUS报文的最大尝试次数

Interval for realtime accounting(minute)

实时计费的时间间隔(分钟)

Retransmission times of realtime-accounting packet

允许实时计费请求无响应的最大次数

Retransmission times of stop-accounting packet

发起停止计费请求的最大尝试次数

Quiet-interval(min)

主服务器恢复激活状态的时间

Username format

发送给RADIUS服务器的用户名格式

Data flow unit

发送给RADIUS服务器的数据流的单位

Packet unit

发送给RADIUS服务器的数据包的单位

NAS-IP address

发送RADIUS报文的源IP地址

Backup-NAS-IP address

发送RADIUS报文的备份源IP地址

Attribute 25

将RADIUS Attribute 25解析为CAR参数

Total 1 RADIUS scheme(s).

共计1个RADIUS方案

 

1.3.7  display radius statistics

【命令】

display radius statistics [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display radius statistics命令用来显示RADIUS报文的统计信息。

相关配置可参考命令radius scheme

【举例】

# 显示RADIUS报文的统计信息。

<Sysname> display radius statistics

state statistic(total=24576):

     DEAD = 24576     AuthProc = 0        AuthSucc = 0

AcctStart = 0         RLTSend = 0         RLTWait = 0

 AcctStop = 0          OnLine = 0            Stop = 0

 

Received and Sent packets statistic:

Sent PKT total   = 1547     Received PKT total = 23

Resend Times     Resend total

1                508

2                508

Total            1016

RADIUS received packets statistic:

Code =  2   Num = 15       Err = 0

Code =  3   Num = 4        Err = 0

Code =  5   Num = 4        Err = 0

Code = 11   Num = 0        Err = 0

 

Radius relay statistic:                                                        

Send request relay packets     = 0          Receive response relay packets = 0 

Receive request relay packets  = 0          Reply response relay packets   = 0 

Send account update packets    = 0          Receive account update packets = 0 

Relay request packets error    = 0          Send relay packet errors       = 0 

 

Running statistic:

RADIUS received messages statistic:

Auth request             Num = 24       Err = 0        Succ = 24

Account request          Num = 4        Err = 0        Succ = 4

Account off request      Num = 503      Err = 0        Succ = 503

PKT auth timeout         Num = 15       Err = 5        Succ = 10

PKT acct_timeout         Num = 1509     Err = 503      Succ = 1006

Realtime Account timer   Num = 0        Err = 0        Succ = 0

PKT response             Num = 23       Err = 0        Succ = 23

Session ctrl pkt         Num = 0        Err = 0        Succ = 0

Normal author request    Num = 0        Err = 0        Succ = 0

Set policy result        Num = 0        Err = 0        Succ = 0

Accounting on request    Num = 0        Err = 0        Succ = 0

Accounting on response   Num = 0        Err = 0        Succ = 0

Dynamic Author Ext request  Num = 0        Err = 0        Succ = 0

Free handle request      Num = 0        Err = 0        Succ = 0                

RADIUS sent messages statistic:

Auth accept              Num = 10

Auth reject              Num = 14

Auth continue            Num = 0

Account success          Num = 4

Account failure          Num = 3

Server ctrl req          Num = 0

RecError_MSG_sum = 0

SndMSG_Fail_sum  = 0

Timer_Err        = 0

Alloc_Mem_Err    = 0

State Mismatch   = 0

Other_Error      = 0

 

No-response-acct-stop packet = 1

Discarded No-response-acct-stop packet for buffer overflow = 0

 

表1-6 display radius statistics命令显示信息描述表

字段

描述

state statistic(total=24576)

各状态的用户数统计信息(用户总数为24576

总数的取值范围与产品的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

DEAD

处于空闲态的用户数

该值的最大数与产品的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

AuthProc

处于认证等待态的用户数

AuthSucc

处于认证成功态的用户数

AcctStart

处于计费开始态的用户数

RLTSend

处于实时计费发送态的用户数

RLTWait

处于实时计费等待态的用户数

AcctStop

处于计费等待停止态的用户数

OnLine

处于在线态的用户数

Stop

处于停止态的用户数

Received and Sent packets statistic

RADIUS模块收发报文的数目统计信息

Sent PKT total

发送报文总数

Received PKT total

接收报文总数

Resend Times

重传报文的次数

Resend total

单次重传报文数

Total

重传报文总数

RADIUS received packets statistic

RADIUS模块接收报文数目统计

Code

报文类型

Num

报文总数

Radius relay statistic

RADIUS模块中继报文的数目统计信息

Send request relay packets

发送中继请求报文数

Receive response relay packets

接收中继响应报文数

Receive request relay packets

接收中继请求报文数

Reply response relay packets

回复中继响应报文数

Send account update packets

发送计费更新报文数

Receive account update packets

接收计费更新报文数

Relay request packets error

处理失败的中继请求报文数

Send relay packet errors

发送处理失败的中继报文数

Err

处理失败的报文数或消息数

Succ

成功处理的消息数

Running statistic

RADIUS模块收发报文的分类统计信息

RADIUS received messages statistic

RADIUS已接收消息数目统计

Auth request

认证请求报文数

Account request

计费请求报文数

Account off request

计费停止请求报文数

PKT auth timeout

认证超时报文数

PKT acct_timeout

计费超时报文数

Realtime Account timer

实时计费请求报文数

PKT response

服务器的响应报文数

Session ctrl pkt

会话控制报文数

Normal author request

普通授权请求报文数

Set policy result

Set policy结果报文数

Accounting on request

accounting on请求报文数

Accounting on response

accounting on响应报文数

Dynamic Author Ext request

动态授权扩展请求报文数

Free handle request

释放句柄请求

RADIUS sent messages statistic

RADIUS模块已发送消息数目统计

Auth accept

认证接收报文数

Auth reject

认证拒绝报文数

Auth continue

认证持续报文数

Account success

计费成功报文数

Account failure

计费失败报文数

Server ctrl req

服务器控制请求报文数

RecError_MSG_sum

接收错误消息总数

SndMSG_Fail_sum

发送消息失败总数

Timer_Err

启动定时器失败报文数

Alloc_Mem_Err

申请内存失败报文数

State Mismatch

状态不匹配报文数

Other_Error

其它错误报文数

No-response-acct-stop packet

停止计费报文无响应数

Discarded No-response-acct-stop packet for buffer overflow

因缓存区满而丢弃的无响应停止计费报文总数

 

1.3.8  display stop-accounting-buffer (for RADIUS)

【命令】

display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:显示缓存的、向指定RADIUS方案中的计费服务器发送的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串。

session-id session-id:显示缓存的指定会话ID的停止计费请求报文。其中,session-id为1~50个字符的字符串。

time-range start-time stop-time:显示缓存的指定时间段内的停止计费请求报文,即只要是在指定时间段内的发起且被暂存的停止计费请求报文都会被显示。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。

user-name user-name:显示缓存的指定用户名的停止计费请求报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文的相关信息,主要包括该计费请求报文所属的会话ID、用户名以及产生停止计费请求的时间。

在发送停止计费请求报文而RADIUS服务器没有响应时,设备会尝试重传该报文,如果发送该报文的最大尝试次数超过指定的值(由retry命令设置)后仍然没有得到响应,则设备会缓存该报文,然后再发起一次请求,若继续无响应,则重复上述过程,一定次数(由retry stop-accounting命令设置)之后,设备将其丢弃。

相关配置可参考命令reset stop-accounting-bufferstop-accounting-buffer enableuser-name-formatretryretry stop-accounting

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 显示系统缓存的用户名为abc的停止计费请求报文的相关信息。

<Sysname> display stop-accounting-buffer user-name abc

RDIdx Session-ID               user name                  Happened time

1    1000326232325010          abc                       23:27:16-08/31/2006

1    1000326232326010          abc                       23:33:01-08/31/2006

Total 2 record(s) Matched

1.3.9  eap offload

【命令】

eap offload method peap-mschapv2

undo eap offload method peap-mschapv2

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

method peap-mschapv2:本地支持的EAP认证方法。目前,仅支持PEAP-MSCHAPv2认证方法。

【描述】

eap offload命令用于使能EAP Offload功能。undo eap offload命令用于关闭EAP Offload功能。

缺省情况下,EAP Offload功能处于关闭状态,系统对EAP认证请求采用透传(pass-through)的方式,即将完整的EAP报文交给远端RADIUS服务器进行EAP认证处理。

某些RADIUS服务器不支持EAP认证,因此需要在指定该RADIUS服务器的RADIUS方案中能EAP Offload功能,将客户端发送的EAP认证请求在接入设备上进行本地预处理,然后再发送给RADIUS服务器进行EAP认证处理

【举例】

# 配置使用EAP认证的接入用户采用RADIUS认证时,进行EAP Offload处理。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] eap offload method peap-mschapv2

1.3.10  key (RADIUS scheme view)

【命令】

key { accounting | authentication } [ cipher | simple ] key

undo key { accounting | authentication }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

accounting:指定RADIUS计费报文的共享密钥。

authentication:指定RADIUS认证/授权报文的共享密钥。

cipher:表示以密文方式设置共享密钥。

simple:表示以明文方式设置共享密钥。

key:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。不指定simplecipher时,表示以明文方式设置共享密钥。在FIPS模式下,该密钥至少需要设置为8位,包含数字、大写字母、小写字母和特殊符号。

【描述】

key命令用来配置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来删除配置。

缺省情况下,无共享密钥。

需要注意的是:

·     以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

·     设备优先采用配置RADIUS认证/授权/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/授权/计费服务器时未指定相应密钥的情况下使用。

·     必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。

相关配置可参考命令display radius scheme

【举例】

# 将RADIUS方案radius1的计费报文的共享密钥设置为明文ok。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key accounting simple ok

# 将RADIUS方案radius1的计费报文的共享密钥设置为明文ok。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key accounting ok

# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为密文$c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key authentication cipher $c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B

1.3.11  nas device-id

【命令】

nas device-id device-id

undo nas device-id

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

device-id:设备ID值,在双机热备组网环境下只能取值为12,在MAC-BAC组网环境下取值范围为1255

【描述】

nas device-id命令用于配置设备IDundo nas device-id命令用于恢复缺省情况。

缺省情况下,设备ID1

在双机热备组网环境下,设备ID用于区分互为备份的两台设备。在MAC-BAC组网环境下,设备ID用于区分同一Master AC管理的不同BAS AC

需要注意的是:

·     改变设备ID后,设备上所有在线用户均会被强制下线。

·     为保证双机热备模式下两台设备之间的业务备份正常工作,需要保证两台设备的设备ID分别为1和2。

·     在双机热备组网环境下,由于设备ID是设备运行在双机模式下的标志,因此单机运行的环境下,不需要配置此命令。

·     在MAC-BAC组网环境下,必须保证与同一个Master AC相关联的不同BAS AC的设备ID必须不同。

说明

 

【举例】

# 在双机热备的组网环境中,配置本端设备运行在双机热备模式,设备ID为1。

<Sysname> system-view

[Sysname] nas device-id 1

Warning: This command will cut all user connections on this device. Continue? [Y

/N]

此时,在对端设备上应该配置设备的设备ID2,业务备份才能正常工作。

# MAC-BAC组网环境中,配置设备ID为3。

<Sysname> system-view

[Sysname] nas device-id 3

1.3.12  nas-backup-ip

【命令】

nas-backup-ip ip-address

undo nas-backup-ip

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的备份源IP地址,禁止配置全0地址、全1地址、D类地址、E类地址,且必须指定为双机热备环境中对端设备上发送RADIUS报文的源IP地址。

【描述】

nas-backup-ip命令用来设置设备发送RADIUS报文使用的备份源IP地址。undo nas-backup-ip命令用来恢复缺省情况。

缺省情况下,未指定设备发送RADIUS报文使用的备份源IP地址。

需要注意的是:

·     该配置只在双机热备环境下需要配置,可以保证双机热备环境中主设备发生故障时,服务器发送的报文可以被备份设备收到并进行处理。

·     RADIUS方案视图下的命令nas-backup-ip只对本RADIUS方案有效,系统视图下的命令radius nas-backup-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

·     如果多次执行本命令,则新配置的备份源IP地址会覆盖原有的备份源IP地址。

相关配置可参考命令nas-ipradius nas-ip

说明

 

【举例】

# 在双机热备的组网环境中,设置本端设备发送RADIUS报文使用的源IP地址为2.2.2.2,备份源IP为3.3.3.3。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] nas-ip 2.2.2.2

[Sysname-radius-radius1] nas-backup-ip 3.3.3.3

此时,在对端设备上应该设置设备发送RADIUS报文使用的源IP地址为3.3.3.3,备份源IP为2.2.2.2,业务备份才能正常工作。

1.3.13  nas-ip (RADIUS scheme view)

【命令】

nas-ip { ipv4-address | ipv6 ipv6-address }

undo nas-ip

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ipv4-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址。

ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为本地链路地址。

【描述】

nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。undo nas-ip命令用来恢复缺省情况。

缺省情况下,使用系统视图下由命令radius nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送RADIUS报文的接口的IP地址。

需要注意的是:

·     RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

·     RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

·     本命令配置的源IP地址与RADIUS方案中设置的服务器IP地址的协议版本必须保持一致,否则配置不生效。

·     如果重复执行此命令,新配置的源地址会覆盖原有的源地址。

相关配置可参考命令radius nas-ip

【举例】

# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] nas-ip 10.1.1.1

1.3.14  primary accounting (RADIUS scheme view)

【命令】

primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *

undo primary accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ipv4-address:主RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。其中,ipv6-address为合法的IPv6全球单播地址。

port-number:主RADIUS计费服务器的UDP端口号,缺省为1813,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。

key [ cipher | simple ] key:与主RADIUS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。在FIPS模式下,设置的密钥长度至少为8位,包含数字、大写字母、小写字母和特殊符号;密钥加密和解密使用的算法为3des

·     cipher key:以密文方式设置共享密钥。key为1~117个字符的字符串,区分大小写。

·     simple key:以明文方式设置共享密钥。key为1~64个字符的字符串,区分大小写。

·     不指定ciphersimple时,表示以明文方式设置共享密钥。

probe:开启对主RADIUS计费服务器状态的探测功能。

username name:设置探测主RADIUS计费服务器状态时计费报文中使用的用户名。该用户名并不要求是计费服务器上存在的用户名。

interval interval:设置探测主RADIUS计费服务器是否可达的时间间隔,取值范围为1~3600,单位为分钟,缺省值为10。

 

【描述】

primary accounting命令用来配置主RADIUS计费服务器。undo primary accounting命令用来删除设置的主RADIUS计费服务器。

缺省情况下,未配置主计费服务器。

需要注意的是:

·     主计费服务器和从计费服务器的IP地址不能相同,且IP地址协议版本必须一致。

·     设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting [ cipher | simple ] key命令设置的共享密钥。

·     计费服务器与认证/授权服务器的IP地址协议版本必须一致。

·     如果在发送计费开始请求过程中修改了主计费服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。

·     如果在线用户正在使用的计费服务器被删除,则设备将将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。

·     以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

·     开启了计费服务器的探测功能后,设备将在一个探测周期内随机发送一个模拟的计费请求报文,用户名为配置的探测用户名。若在该探测周期内,设备发送了真实用户的计费请求,且整个周期内未收到任何计费请求回应报文,则认为计费服务器不可达,并生成告警信息;若连续三个探测周期内,设备没有发送任何真实用户的计费请求,且没有收到任何计费请求回应报文,则认为计费服务器不可达,并生成告警信息。在服务器状态不可达期间,如果设备收到计费回应报文,则立即生成服务器状态可达的告警,并重新启动一个探测周期。

·     使能了探测功能后,timer quiet定时器将不生效。

相关配置可参考命令key

【举例】

# 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文hello。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple hello

# 设置RADIUS方案radius1的主计费服务器状态探测的用户名为test,探测周期为120分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 probe username test interval 120

1.3.15  primary authentication (RADIUS scheme view)

【命令】

primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *

undo primary authentication

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ipv4-address:主RADIUS认证/授权服务器的IPv4地址。

ipv6 ipv6-address:主RADIUS认证/授权服务器的IPv6地址。其中,ipv6-address为合法的IPv6全球单播地址。

port-number:主RADIUS认证/授权服务器的UDP端口号,缺省为1812,取值范围为1~65535。此端口号必须与服务器提供认证/授权服务的端口号保持一致。

key [ cipher | simple ] key:与主RADIUS认证/授权服务器交互的认证/授权报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。在FIPS模式下,设置的密钥长度至少为8位,包含数字、大写字母、小写字母和特殊符号;密钥加密和解密使用的算法为3des

·     cipher key:以密文方式设置共享密钥。key为1~117个字符的字符串,区分大小写。

·     simple key:以明文方式设置共享密钥。key为1~64个字符的字符串,区分大小写。

·     不指定ciphersimple时,表示以明文方式设置共享密钥。

probe:开启对主RADIUS认证/授权服务器状态的探测功能。

username name:设置探测主RADIUS认证/授权服务器状态时认证报文中使用的用户名。该用户名并不要求是认证/授权服务器上存在的用户名。

interval interval:设置探测主RADIUS认证/授权服务器是否可达的时间间隔,取值范围为1~3600,单位为分钟,缺省值为10。

【描述】

primary authentication命令用来配置主RADIUS认证/授权服务器。undo primary authentication命令用来删除设置的主RADIUS认证/授权服务器。

缺省情况下,未配置主认证/授权服务器。

需要注意的是:

·     设备与主认证/授权服务器通信时优先使用本命令设置的共享密钥,如果本命令中未设置,则使用命令key authenticaiton [ cipher | simple ] key命令设置的共享密钥。

·     主认证/授权服务器和从认证/授权服务器的IP地址不能相同,且IP地址协议版本必须一致。

·     认证/授权服务器与计费服务器的IP地址协议版本必须一致。

·     如果在认证过程中使用本命令删除了主认证服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。

·     以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

·     开启了认证服务器的探测功能后,设备将在一个探测周期内随机发送一个模拟的认证请求报文,用户名为配置的探测用户名。若在该探测周期内,设备发送了真实用户的认证请求,且整个周期内未收到任何认证请求回应报文,则认为认证服务器不可达,并生成告警信息;若连续三个探测周期内,设备没有发送任何真实用户的认证请求,且没有收到任何认证请求回应报文,则认为认证服务器不可达,并生成告警信息。在服务器状态不可达期间,如果设备收到认证回应报文,则立即生成服务器状态可达的告警,并重新启动一个探测周期。

·     使能了探测功能后,timer quiet定时器将不生效。

相关配置可参考命令key

【举例】

# 设置RADIUS方案radius1的主认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务,认证/授权报文的共享密钥为明文hello。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key hello

# 设置对RADIUS方案radius1中的主认证/授权服务器状态进行探测时使用的用户名为test,探测周期为120分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 probe username test interval 120

1.3.16  radius client

【命令】

radius client enable

undo radius client

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

radius client enable命令用来使能设备的RADIUS客户端功能,使得设备可以作为RADIUS客户端接收和发送RADIUS报文。undo radius client命令用来关闭设备的RADIUS客户端功能。

缺省情况下,设备的RADIUS客户端功能处于使能状态。

需要注意的是,关闭设备的RADIUS客户端功能后:

·     在线用户的计费结束报文无法发出,也不能被缓存下来尝试继续发送。RADIUS服务器因为收不到在线用户的下线报文,会出现有一段时间用户已经下线,但RADIUS服务器上还有此用户的情况。另外,已缓存的计费报文会发送失败,如果发送失败的次数达到配置的最大次数后,仍然没有收到响应,计费报文将从缓存中被删除。计费报文的发送失败,都会直接影响用户计费信息的准确性。

·     如果配置了本地认证/授权/计费作为备份方法,则RADIUS请求失败后会转由设备本地继续认证/授权/计费,其中本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。

【举例】

# 使能设备的RADIUS客户端功能。

<Sysname> system-view

[Sysname] radius client enable

1.3.17  radius dynamic-author client trusted

【命令】

radius dynamic-author client trusted ip ip-address

undo radius dynamic-author client trusted ip

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip ip-addressDAE客户端的IP地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

【描述】

radius dynamic-author client trusted命令用来配置免校验DAE客户端的IP地址。undo radius dynamic-author client trusted命令用于取消配置的免校验DAE客户端的IP地址。

缺省情况下,对所有收到的DAE报文的Authenticator字段都要进行校验。

MAC-BAC组网环境下,需要在BAS AC上配置此值为Master ACIP地址。BAS AC收到DAE请求报文后,若该报文的源IP地址为配置的免校验DAE客户端的IP地址,则不对该报文的Authenticator字段进行校验,且向该IP发送DAE应答报文时也不需要计算Authenticator字段。

目前,设备上仅支持一条免校验DAE客户端的IP地址,后配置的覆盖先配置的。

【举例】

# 配置免校验的DAE客户端的IP地址为192.168.0.2。

<Sysname> system-view

[Sysname] radius dynamic-author client trusted ip 192.168.0.2

1.3.18  radius dynamic-author port

【命令】

radius dynamic-author port listen-port

undo radius dynamic-author port

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

listen-port:本机监听和接收DAE报文的UDP端口号,取值范围为165535

【描述】

radius dynamic-author port命令用来配置监听和接收DAE报文的端口。undo radius dynamic-author port命令用来恢复缺省情况。

缺省情况下,监听和接收DAE报文的端口为3799

MAC-BAC组网环境下,BAS AC作为DAE服务器端监听和接收Master AC转发的DAE请求报文。向同一个Master AC注册的所有BAS AC,都需要保持DAE监听端口一致。Master ACBAS AC发送DAE报文时的目的端口(由server port命令设置)也必须和BAS AC监听和接收DAE报文的端口一致。

【举例】

# 配置监听和接收DAE报文的端口为30000。

<Sysname> system-view

[Sysname] radius dynamic-author port 30000

1.3.19  radius log packet

【命令】

radius log packet

undo radius log packet

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

radius log packet命令用来打开RADIUS报文信息的日志开关。undo radius log packet命令用来关闭RADIUS报文信息的日志开关。

缺省情况下,RADIUS报文信息的日志开关处于关闭状态。

【举例】

# 打开RADIUS报文信息的日志开关。

<Sysname> system-view

[Sysname] radius log packet

1.3.20  radius nas-backup-ip

【命令】

radius nas-backup-ip ip-address

undo radius nas-backup-ip

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的备份源IP地址,禁止配置全0地址、全1地址、D类地址、E类地址,且必须指定为双机热备环境中对端设备上发送RADIUS报文的源IP地址。

【描述】

radius nas-backup-ip命令用来设置设备发送RADIUS报文使用的备份源IP地址。undo radius nas-backup-ip命令用来恢复缺省情况。

缺省情况下,未指定设备发送RADIUS报文使用的备份源IP地址。

需要注意的是:

·     设置发送RADIUS报文使用的备份源IP地址,可以保证双机热备环境中主设备发生故障时,服务器发送的报文可以被备份设备收到并进行处理。

·     系统最多允许指定1个公网备份源地址,新配置的公网备份源地址会覆盖原有的公网备份源地址。

·     RADIUS方案视图下的命令nas-backup-ip只对本RADIUS方案有效,系统视图下的命令radius nas-backup-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

相关配置可参考命令nas-backup-ip

说明

 

【举例】

# 在双机热备的组网环境中,设置本端设备发送RADIUS报文使用的源IP地址为2.2.2.2,备份源IP为3.3.3.3。

<Sysname> system-view

[Sysname] radius nas-ip 2.2.2.2

[Sysname] radius nas-backup-ip 3.3.3.3

在对端设备上,应该设置设备发送RADIUS报文使用的源IP地址为3.3.3.3,备份源IP为2.2.2.2。

1.3.21  radius nas-ip

【命令】

radius nas-ip { ipv4-address | ipv6 ipv6-address }

undo radius nas-ip { ipv4-address | ipv6 ipv6-address }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ipv4-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址。

ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为本地链路地址。

【描述】

radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。undo radius nas-ip命令用来删除指定的源地址。

缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。

需要注意的是:

·     系统最多允许指定1个公网源地址,新配置的公网源地址会覆盖原有的公网源地址。

·     RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

·     RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

相关配置可参考命令nas-ip

【举例】

# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。

<Sysname> system-view

[Sysname] radius nas-ip 129.10.10.1

1.3.22  radius scheme

【命令】

radius scheme radius-scheme-name

undo radius scheme radius-scheme-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

radius scheme命令用来创建RADIUS方案并进入其视图。undo radius scheme命令用来删除指定的RADIUS方案。

缺省情况下,未定义RADIUS方案。

需要注意的是:

·     一个RADIUS方案可以同时被多个ISP域引用。

·     不允许使用undo radius scheme命令删除被ISP域引用的RADIUS方案。

相关配置可参考命令display radius scheme

【举例】

# 创建名为radius1的RADIUS方案并进入其视图。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1]

1.3.23  radius trap

【命令】

radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }

undo radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

accounting-server-down:表示RADIUS计费服务器可达状态改变时发送Trap信息。

authentication-error-threshold:表示认证失败次数超过阈值时发送Trap信息。该阈值为认证失败次数占认证请求总数的百分比数值,目前仅能通过MIB方式配置,取值范围为1~100,缺省为30。

authentication-server-down:表示RADIUS认证服务器可达状态改变时发送Trap信息。

【描述】

radius trap命令用来使能RADIUS Trap功能。undo radius trap命令用来关闭指定的RADIUS Trap功能。

缺省情况下,RADIUS Trap功能处于关闭状态。

使能RADIUS服务器可达状态改变时的Trap功能后,Trap信息的发送包括以下两种情况:

·     当NAS向RADIUS服务器发送计费或认证请求没有响应时,会重传请求,当重传次数达到最大传送次数时仍然没有响应时,NAS认为该服务器不可达,并发送Trap信息。

·     当NAS收到处于不可达状态的RADIUS服务器发送的报文时,则认为该服务器可达,并发送一次Trap报文。

使能认证失败次数超过阈值时的Trap功能后,当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,系统会发送一次Trap报文。

【举例】

# 使能RADIUS计费服务器可达状态改变时的 Trap功能。

<Sysname> system-view

[Sysname] radius trap accounting-server-down

1.3.24  reset radius statistics

【命令】

reset radius statistics

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

【描述】

reset radius statistics命令用来清除RADIUS协议的统计信息。

相关配置请参考命令display radius statistics

【举例】

# 清除RADIUS协议的统计信息。

<Sysname> reset radius statistics

1.3.25  reset stop-accounting-buffer (for RADIUS)

【命令】

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:根据指定RADIUS方案清除缓存的停止计费响应报文。其中,radius-scheme-name为RAIUDS方案名,为1~32个字符的字符串。

session-id session-id:根据指定会话ID清除缓存的停止计费响应报文。其中,session-id为会话ID,为1~50个字符的字符串。

time-range start-time stop-time:根据指定停止计费请求时刻的起始和结束时间清除缓存的停止计费响应报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。

user-name user-name:根据指定用户名清除缓存的停止计费响应报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。

【描述】

reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。

相关配置可参考命令stop-accounting-buffer enabledisplay stop-accounting-buffer

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 清除用户user0001@test缓存在系统中的停止计费请求报文。

<Sysname> reset stop-accounting-buffer user-name user0001@test

# 清除从2010年8月31日0点0分0秒到2010年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。

<Sysname> reset stop-accounting-buffer time-range 0:0:0-08/31/2010 23:59:59-08/31/2010

1.3.26  retry

【命令】

retry retry-times

undo retry

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:发送RAIUDS报文的最大尝试次数,取值范围为1~20。

【描述】

retry命令用来设置发送RADIUS报文的最大尝试次数,即由于某RADIUS服务器未响应或未及时响应设备发送的RAIUDS报文,设备尝试向该服务器发送RADIUS报文的最大次数。undo retry命令用来恢复缺省情况。

缺省情况下,发送RADIUS报文的最大尝试次数为3次。

需要注意的是:

·     由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败。

·     发送RADIUS报文的最大尝试次数与RADIUS服务器应答超时时间的乘积不能超过75秒。

相关配置可参考命令radius schemetimer response-timeout

【举例】

# 设置在RADIUS方案radius1下,发送RAIUDS报文的最大尝试次数为5次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry 5

1.3.27  retry realtime-accounting

【命令】

retry realtime-accounting retry-times

undo retry realtime-accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:允许实时计费请求无响应的最大次数,取值范围为1~255。

【描述】

retry realtime-accounting命令用来设置允许实时计费请求无响应的最大次数。undo retry realtime-accounting命令用来恢复缺省情况。

缺省情况下,设备最多允许5次实时计费请求无响应,之后将切断用户连接。

RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,尽量保持设备端与RADIUS服务器同步切断用户连接。设备提供对实时计费请求连续无响应次数限制的设置,保证在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备才会切断用户连接。

假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费无响应的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。

相关配置可参考命令retrytimer response-timeouttimer realtime-accounting

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 设置RADIUS方案radius1最多允许10次实时计费请求无响应。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry realtime-accounting 10

1.3.28  retry stop-accounting (RADIUS scheme view)

【命令】

retry stop-accounting retry-times

undo retry stop-accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:允许停止计费请求无响应的最大次数,取值范围为10~65535。

【描述】

retry stop-accounting命令用来设置发起停止计费请求的最大尝试次数。undo retry stop-accounting命令用来恢复缺省情况。

缺省情况下,发起停止计费请求的最大尝试次数为500

假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为5,设备允许的停止计费请求无响应的最大次数为20次(retry stop-accounting命令设置),则其含义为:设备发起停止计费请求,如果3秒钟内得不到回应就重新发起一次请求,如果尝试5次都没有得到回应就认为该次停止计费请求失败,设备会将其缓存在本机上,然后再发起一次请求,重复上述过程,20次尝试均失败以后,设备将其丢弃。

相关配置可参考命令retryretry stop-accountingtimer response-timeoutdisplay stop-accounting-buffer

【举例】

# 在RADIUS方案radius1中,设置设备最多可以尝试向该方案中的服务器发起1000次停止计费请求。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry stop-accounting 1000

1.3.29  secondary accounting (RADIUS scheme view)

【命令】

secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *

undo secondary accounting [ ipv4-address | ipv6 ipv6-address ]

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ipv4-address:从RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。其中,ipv6-address为合法的IPv6全球单播地址。

port-number:从RADIUS计费服务器的UDP端口号,缺省为1813,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。

key [ cipher | simple ] key:与从RADIUS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。在FIPS模式下,设置的密钥长度至少为8位,包含数字、大写字母、小写字母和特殊符号;密钥加密和解密使用的算法为3des

·     cipher key:以密文方式设置共享密钥。key为1~117个字符的字符串,区分大小写。

·     simple key:以明文方式设置共享密钥。key为1~64个字符的字符串,区分大小写。

·     不指定ciphersimple时,表示以明文方式设置共享密钥。

probe:开启对从RADIUS计费服务器状态的探测功能。

username name:设置探测从RADIUS计费服务器状态时计费报文中使用的用户名。该用户名并不要求是计费服务器上存在的用户名。

interval interval:设置探测从RADIUS计费服务器是否可达的时间间隔,取值范围为1~3600,单位为分钟,缺省值为10。

【描述】

secondary accounting命令用来配置从RADIUS计费服务器。undo secondary accounting命令用来删除指定的从RADIUS计费服务器。

缺省情况下,未配置从计费服务器。

需要注意的是:

·     可通过多次执行本命令,配置多个从RADIUS计费服务器,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。

·     从RADIUS计费服务器的IP地址协议版本与主RADIUS计费服务器必须一致,并且各从RADIUS计费服务器的IP地址协议版本也必须一致。

·     主计费服务器和从计费服务器的IP地址不能相同,并且各从计费服务器的IP地址也不能相同。

·     设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting [ cipher | simple ] key命令设置的共享密钥。

·     计费服务器与认证服务器的IP地址协议版本必须一致。

·     如果在发送计费开始请求过程中删除了从服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。

·     如果在线用户正在使用的计费服务器被删除,则设备将将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。

·     以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

·     开启了计费服务器的探测功能后,设备将在一个探测周期内随机发送一个模拟的计费请求报文,用户名为配置的探测用户名。若在该探测周期内,设备发送了真实用户的计费请求,且整个周期内未收到任何计费请求回应报文,则认为计费服务器不可达,并生成告警信息;若连续三个探测周期内,设备没有发送任何真实用户的计费请求,且没有收到任何计费请求回应报文,则认为计费服务器不可达,并生成告警信息。在服务器状态不可达期间,如果设备收到计费回应报文,则立即生成服务器状态可达的告警,并重新启动一个探测周期。

·     使能了探测功能后,timer quiet定时器将不生效。

相关配置可参考命令keystate

【举例】

# 设置RADIUS方案radius1的从计费服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文hello。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813 key hello

[Sysname-radius-radius1] secondary accounting 10.110.1.2 1813 key hello

# 设置RADIUS方案radius2的从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为密文$c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813 key cipher $c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B

# 设置RADIUS方案radius1的从计费服务器状态探测的用户名为test,探测周期为120分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1]secondary accounting 10.110.1.1 probe username test interval 120

1.3.30  secondary authentication (RADIUS scheme view)

【命令】

secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *

undo secondary authentication [ ipv4-address | ipv6 ipv6-address ]

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ipv4-address:从RADIUS认证/授权服务器的IPv4地址。

ipv6 ipv6-address:从RADIUS认证/授权服务器的IPv6地址。其中,ipv6-address为合法的IPv6全球单播地址。

port-number:从RADIUS认证/授权服务器的UDP端口号,缺省为1812,取值范围为1~65535。此端口号必须与服务器提供认证/授权服务的端口号保持一致。

key [ cipher | simple ] key:从RADIUS认证/授权服务器的认证/授权报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。在FIPS模式下,设置的密钥长度至少为8位,包含数字、大写字母、小写字母和特殊符号;密钥加密和解密使用的算法为3des

·     cipher key:以密文方式设置共享密钥。key为1~117个字符的字符串,区分大小写。

·     simple key:以明文方式设置共享密钥。key为1~64个字符的字符串,区分大小写。

·     不指定ciphersimple时,表示以明文方式设置共享密钥。

probe:开启对从RADIUS认证/授权服务器状态的探测功能。

username name:设置探测从RADIUS认证/授权服务器状态时认证报文中使用的用户名。该用户名并不要求是认证/授权服务器上存在的用户名。

interval interval:设置探测从RADIUS认证/授权服务器是否可达的时间间隔,取值范围为1~3600,单位为分钟,缺省值为10。

【描述】

secondary authentication命令用来配置从RADIUS认证/授权服务器。undo secondary authentication命令用来删除指定的从RADIUS认证/授权服务器。

缺省情况下,未配置从认证/授权服务器。

需要注意的是:

·     可通过多次执行本命令,配置多个从RADIUS认证/授权服务器,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。

·     主认证/授权服务器和从认证/授权服务器的IP地址协议版本必须一致,并且各从RADIUS认证/授权服务器的IP地址协议版本也必须一致。

·     主认证/授权服务器和从认证/授权服务器的IP地址不能相同,并且各从认证服务器的IP地址不能相同。

·     认证/授权服务器与计费服务器的IP地址协议版本必须一致。

·     设备与从认证/授权服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authentication [ cipher | simple ] key命令设置的共享密钥。

·     如果在认证过程中使用本命令删除了从认证服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。

·     以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

·     开启了认证服务器的探测功能后,设备将在一个探测周期内随机发送一个模拟的认证请求报文,用户名为配置的探测用户名。若在该探测周期内,设备发送了真实用户的认证请求,且整个周期内未收到任何认证请求回应报文,则认为认证服务器不可达,并生成告警信息;若连续三个探测周期内,设备没有发送任何真实用户的认证请求,且没有收到任何认证请求回应报文,则认为认证服务器不可达,并生成告警信息。在服务器状态不可达期间,如果设备收到认证回应报文,则立即生成服务器状态可达的告警,并重新启动一个探测周期。

·     使能了探测功能后,timer quiet定时器不生效。

相关配置可参考命令keystate

【举例】

# 设置RADIUS方案radius1的从认证/授权服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1812提供RADIUS认证/授权服务,认证/授权报文的共享密钥为明文hello。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary authentication 10.110.1.1 1812 key simple hello

[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812 key simple hello

# 设置RADIUS方案radius2的从认证/授权服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务,认证/授权报文的共享密钥为密文$c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812 key cipher $c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B

# 设置对RADIUS方案radius1中的从认证/授权服务器状态进行探测时使用的用户名为test,探测周期为120分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary authentication 10.110.1.1 probe username test interval 120

1.3.31  security-policy-server

【命令】

security-policy-server ip-address

undo security-policy-server { ip-address | all }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:安全策略服务器IP地址。

all:所有安全策略服务器。

【描述】

security-policy-server命令用来指定安全策略服务器。undo security-policy-server命令用来删除指定的安全策略服务器。

缺省情况下,未指定安全策略服务器。

需要注意的是:

·     一个RADIUS方案中最多可以指定8个安全策略服务器。

·     只有当该RADIUS方案没有被用户使用时,才能改变此配置。

【举例】

# 指定RADIUS方案radius1的安全策略服务器IP地址为10.110.1.2。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] security-policy-server 10.110.1.2

1.3.32  server-type

【命令】

server-type { extended | standard }

undo server-type

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

extended:指定extended类型的RADIUS服务器(一般为iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。

standard:指定standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互。

【描述】

server-type命令用来配置设备支持的RADIUS服务器类型。undo server-type命令用来恢复缺省情况。

缺省情况下,设备支持的RADIUS服务器类型为standard

【举例】

# 将RADIUS方案radius1的RADIUS服务器类型设置为standard

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-type standard

1.3.33  state primary

【命令】

state primary { accounting | authentication } { active | block }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

accounting:设置主RADIUS计费服务器的状态。

authentication:设置主RADIUS认证/授权服务器的状态。

active:设置主RADIUS服务器的状态为active,即处于正常工作状态。

block:设置主RADIUS服务器的状态为block,即处于通信中断状态。

【描述】

state primary命令用来设置主RADIUS服务器的状态。

缺省情况下,RADIUS方案中配置了IP地址的主RADIUS服务器状态为active

需要注意的是:

·     每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态置为block,同时启动主服务器的timer quiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器进行通信。在timer quiet定时器设定的时间到达之后,主服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active

·     如果主服务器与所有从服务器状态都是block,则默认使用主服务器进行认证或计费。

相关配置可参考命令display radius schemestate secondary

【举例】

# 将RADIUS方案radius1的主认证服务器的状态设置为block

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state primary authentication block

1.3.34  state secondary

【命令】

state secondary { accounting | authentication } [ ip ipv4-address | ipv6 ipv6-address ] { active | block }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

accounting:设置从RADIUS计费服务器的状态。

authentication:设置从RADIUS认证/授权服务器的状态。

ip ipv4-address:指定从RADIUS服务器的IPv4地址。

ipv6 ipv6-address:指定从RADIUS服务器的IPv6地址。

active:设置从RADIUS服务器的状态为active,即处于正常工作状态。

block:设置从RADIUS服务器的状态为block,即处于通信中断状态。

【描述】

state secondary命令用来设置从RADIUS服务器的状态。

缺省情况下,RADIUS方案中配置了IP地址的各从RADIUS服务器状态为active

需要注意的是:

·     如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从认证/授权服务器或从计费服务器的状态。

·     如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timer quiet定时器,并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后,从服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达,则本次认证或计费失败。

相关配置可参考命令display radius schemestate primary

【举例】

# 将RADIUS方案radius1的从认证服务器的状态设置为block

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state secondary authentication block

1.3.35  stop-accounting-buffer enable (RADIUS scheme view)

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。

缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。

由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到RADIUS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。但在计费服务器已被删除的情况下,停止计费报文不会被缓存。

相关配置可参考命令reset stop-accounting-bufferdisplay stop-accounting-buffer

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 指示设备能够缓存没有得到响应的停止计费请求报文。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] stop-accounting-buffer enable

1.3.36  timer quiet (RADIUS scheme view)

【命令】

timer quiet minutes

undo timer quiet

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

minutes:恢复激活状态的时间,取值范围为0~255,单位为分钟。当该参数取值为0时,若当前用户使用的认证或计费服务器不可达,则设备并不会切换它的状态,而是保持其为active,并且将使用该服务器的用户认证或计费的报文发送给下一个状态为active的服务器,而后续其它用户的认证请求报文仍然可以发送给该服务器进行处理。

【描述】

timer quiet命令用来设置服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。

缺省情况下,服务器恢复激活状态的时间为5分钟。

本命令除了可以调节服务器恢复激活状态的时间之外,还可以控制是否对不可达服务器进行状态切换。例如,若判断主服务器不可达是网络端口短暂中断或者服务器忙碌造成的,则可以结合网络的实际运行状况,将服务器的恢复激活时间置为0,使得用户尽可能得集中在主服务器上进行认证和计费。

建议根据配置的从服务器数量合理设置服务器恢复激活状态的时间。如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。

相关配置可参考命令display radius scheme

【举例】

# 设置服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer quiet 10

1.3.37  timer realtime-accounting

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

minutes:实时计费的时间间隔,取值范围为0~60,非零取值必须为3的倍数,单位为分钟。0表示设备不向RADIUS服务器发送在线用户的计费信息。

【描述】

timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。

缺省情况下,实时计费的时间间隔为12分钟。

需要注意的是:

·     为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。

·     当实时计费间隔设置为0时,如果服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息。

·     实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求,取值小,会增加网络中的数据流量,对设备和RADIUS服务器的性能要求就高;取值大,会影响计费的准确性。因此要结合网络的实际情况合理设置计费间隔的大小,一般情况下,建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:

表1-7 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

¦1000

¦15

 

相关配置可参考命令retry realtime-accounting

说明

本命令的支持情况与设备的型号有关,请参见“命令参考导读”中的“命令行及参数差异情况”部分的介绍。

 

【举例】

# 将RADIUS方案radius1的实时计费的时间间隔设置为51分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer realtime-accounting 51

1.3.38  timer response-timeout (RADIUS scheme view)

【命令】

timer response-timeout seconds

undo timer response-timeout

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒。

【描述】

timer response-timeout命令用来设置RADIUS服务器响应超时时间。undo timer response-timeout命令用来恢复缺省情况。

缺省情况下,RADIUS服务器响应超时时间为3秒。

如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,本命令用于调整这个时长。

需要注意的是,发送RADIUS报文的最大尝试次数与RADIUS服务器响应超时时间的乘积不能超过75秒。

相关配置可参考命令retry

【举例】

# 将RADIUS方案radius1的响应超时定时器设置为5秒。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer response-timeout 5

1.3.39  user-name-format (RADIUS scheme view)

【命令】

user-name-format { keep-original | with-domain | without-domain }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

keep-original:发送给RADIUS服务器的用户名与用户输入的保持一致。

with-domain:发送给RADIUS服务器的用户名带ISP域名。

without-domain:发送给RADIUS服务器的用户名不带ISP域名。

【描述】

user-name-format命令用来设置发送给RADIUS服务器的用户名格式。

缺省情况下,RADIUS方案发送给RADIUS服务器的用户名携带有ISP域名。

需要注意的是:

·     接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。

·     如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。

·     在802.1X用户采用EAP认证方式的情况下,RADIUS方案中配置的user-name-format命令无效,客户端传送给RADIUS服务器的用户名不会有改动。

·     无线用户漫游时,建议配置参数keep-original,否则可能引起认证失败。

相关配置可参考命令radius scheme

【举例】

# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] user-name-format without-domain

1.4  HWTACACS配置命令

1.4.1  data-flow-format (HWTACACS scheme view)

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

data:设置数据流的单位。

·     byte:数据流的单位为字节。

·     giga-byte:数据流的单位千兆字节。

·     kilo-byte:数据流的单位为千字节。

·     mega-byte:数据流的单位为兆字节。

packet:设置数据包的单位。

·     giga-packet:数据包的单位为千兆包。

·     kilo-packet:数据包的单位为千包。

·     mega-packet:数据包的单位为兆包。

·     one-packet:数据包的单位为包。

【描述】

data-flow-format命令用来配置发送到HWTACACS服务器的数据流的单位。undo data-flow-format命令用来恢复缺省情况。

缺省情况下,数据的单位为byte,数据包的单位为one-packet

需要注意的是,设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费。

相关配置可参考命令display hwtacacs

【举例】

# 在HWTACACS方案radius1中,设置发往HWTACACS服务器的数据流的数据单位为kilo-byte、数据包的单位为kilo-packet

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet

1.4.2  display hwtacacs

【命令】

display hwtacacs [ hwtacacs-scheme-name [ statistics ] ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

hwtacacs-scheme-name:指定HWTACACS方案名。

statistics:显示HWTACACS服务器的统计信息。不指定该参数,则显示HWTACACS方案的配置信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display hwtacacs命令用来查看HWTACACS方案的配置信息或HWTACACS服务器的统计信息。

需要注意的是:如果不指定HWTACACS方案名,则显示所有HWTACACS方案的配置信息。

相关配置请参考命令hwtacacs scheme

【举例】

# 查看HWTACACS方案gy的配置情况。

<Sysname> display hwtacacs gy

  --------------------------------------------------------------------

  HWTACACS-server template name     : gy

  Primary-authentication-server     : 172.31.1.11:49

  Primary-authorization-server      : 172.31.1.11:49

  Primary-accounting-server         : 172.31.1.11:49

  Secondary-authentication-server   : 0.0.0.0:0

  Secondary-authorization-server    : 0.0.0.0:0

  Secondary-accounting-server       : 0.0.0.0:0

  Current-authentication-server     : 172.31.1.11:49

  Current-authorization-server      : 172.31.1.11:49

  Current-accounting-server         : 172.31.1.11:49

  NAS-IP-address                    : 0.0.0.0

  key authentication                : ******

  key authorization                 : ******

  key accounting                    : ******

  Quiet-interval(min)               : 5

  Realtime-accounting-interval(min) : 12

  Response-timeout-interval(sec)    : 5

  Acct-stop-PKT retransmit times    : 100

  Username format                   : with-domain

  Data traffic-unit                 : B

  Packet traffic-unit               : one-packet

  -------------------------------------------------------------------- 

表1-8 display hwtacacs命令显示信息描述表

字段

描述

HWTACACS-server template name

HWTACACS服务器方案名

Primary-authentication-server

主认证服务器IP地址/接入端口号

未配置主认证服务器时,IP地址/接入端口号显示为0.0.0.0:0。下面各服务器同理显示

Primary-authorization-server

主授权服务器IP地址/接入端口号

Primary-accounting-server

主计费服务器IP地址/接入端口号

Secondary-authentication-server

从认证服务器IP地址/接入端口号

Secondary-authorization-server

从授权服务器IP地址/接入端口号

Secondary-accounting-server

从计费服务器IP地址/接入端口号

Current-authentication-server

当前认证服务器IP地址/接入端口号

Current-authorization-server

当前授权服务器IP地址/接入端口号

Current-accounting-server

当前计费服务器IP地址/接入端口号

NAS-IP-address

NAS的IP地址

未指定NAS的IP地址时,此处显示为0.0.0.0

key authentication

认证密钥

·     已配置时,显示为******

·     未配置时,显示为-

key authorization

授权密钥

·     已配置时,显示为******

·     未配置时,显示为-

key accounting

计费密钥

·     已配置时,显示为******

·     未配置时,显示为-

Quiet-interval

主服务器恢复激活状态的时间

Realtime-accounting-interval

实时计费间隔

设备暂不支持HWTACACS的实时计费功能

Response-timeout-interval

服务器响应超时间隔

Acct-stop-PKT retransmit times

停止计费报文的重传次数

Username format

发送给HWTACACS服务器的用户名格式

Data traffic-unit

数据流量单位

Packet traffic-unit

包流量单位

 

# 查看HWTACACS方案gy中各服务器的统计信息。

<Sysname> display hwtacacs gy statistics

---[HWTACACS template gy primary authentication]---

HWTACACS server open number: 10

HWTACACS server close number: 10

HWTACACS authen client access request packet number: 10

HWTACACS authen client access response packet number: 6

HWTACACS authen client unknown type number: 0

HWTACACS authen client timeout number: 4

HWTACACS authen client packet dropped number: 4

HWTACACS authen client access request change password number: 0

HWTACACS authen client access request login number: 5

HWTACACS authen client access request send authentication number: 0

HWTACACS authen client access request send password number: 0

HWTACACS authen client access connect abort number: 0

HWTACACS authen client access connect packet number: 5

HWTACACS authen client access response error number: 0

HWTACACS authen client access response failure number: 0

HWTACACS authen client access response follow number: 0

HWTACACS authen client access response getdata number: 0

HWTACACS authen client access response getpassword number: 5

HWTACACS authen client access response getuser number: 0

HWTACACS authen client access response pass number: 1

HWTACACS authen client access response restart number: 0

HWTACACS authen client malformed access response number: 0

HWTACACS authen client round trip time(s): 5

---[HWTACACS template gy primary authorization]---

HWTACACS server open number: 1

HWTACACS server close number: 1

HWTACACS author client request packet number: 1

HWTACACS author client response packet number: 1

HWTACACS author client timeout number: 0

HWTACACS author client packet dropped number: 0

HWTACACS author client unknown type number: 0

HWTACACS author client request EXEC number: 1

HWTACACS author client request PPP number: 0

HWTACACS author client request VPDN number: 0

HWTACACS author client response error number: 0

HWTACACS author client response EXEC number: 1

HWTACACS author client response PPP number: 0

HWTACACS author client response VPDN number: 0

HWTACACS author client round trip time(s): 3

---[HWTACACS template gy primary accounting]---

HWTACACS server open number: 0

HWTACACS server close number: 0

HWTACACS account client request packet number: 0

HWTACACS account client response packet number: 0

HWTACACS account client unknown type number: 0

HWTACACS account client timeout number: 0

HWTACACS account client packet dropped number: 0

HWTACACS account client request command level number: 0

HWTACACS account client request connection number: 0

HWTACACS account client request EXEC number: 0

HWTACACS account client request network number: 0

HWTACACS account client request system event number: 0

HWTACACS account client request update number: 0

HWTACACS account client response error number: 0

HWTACACS account client round trip time(s): 0

1.4.3  display stop-accounting-buffer (for HWTACACS)

【命令】

display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案显示缓存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。

相关配置可参考命令reset stop-accounting-bufferstop-accounting-buffer enableretry stop-accounting

【举例】

# 显示HWTACACS方案hwt1缓存的停止计费请求报文。

<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1

Total 0 record(s) Matched

1.4.4  hwtacacs nas-ip

【命令】

hwtacacs nas-ip ip-address

undo hwtacacs nas-ip ip-address

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址。

【描述】

hwtacacs nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo hwtacacs nas-ip命令用来删除指定的源地址。

缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。

需要注意的是:

·     HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。

·     系统最多允许指定1个公网源地址,新配置的公网源地址会覆盖原有的公网源地址。

·     HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。

相关配置可参考命令nas-ip

【举例】

# 配置设备发送HWTACACS报文使用的源地址为129.10.10.1。

<Sysname> system-view

[Sysname] hwtacacs nas-ip 129.10.10.1

1.4.5  hwtacacs scheme

【命令】

hwtacacs scheme hwtacacs-scheme-name

undo hwtacacs scheme hwtacacs-scheme-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。

【描述】

hwtacacs scheme命令用来创建HWTACACS方案并进入其视图。undo hwtacacs scheme命令用来删除指定的HWTACACS方案。

缺省情况下,没有定义HWTACACS方案。

需要注意的是:

·     一个HWTACACS方案可以同时被多个ISP域引用。

·     不允许使用undo hwtacacs scheme命令删除被ISP域引用的HWTACACS方案。

【举例】

# 创建名为hwt1的HWTACACS方案并进入相应的HWTACACS视图。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1]

1.4.6  key (HWTACACS scheme view)

【命令】

key { accounting | authentication | authorization } [ cipher | simple ] key

undo key { accounting | authentication | authorization }

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

accounting:配置HWTACACS计费报文的共享密钥。

authentication:配置HWTACACS认证报文的共享密钥。

authorization:配置HWTACACS授权报文的共享密钥。

cipher:表示以密文方式设置共享密钥。

simple:表示以明文方式设置共享密钥。

key:设置的明文密钥或密文密钥,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。不指定simplecipher时,表示以明文方式设置共享密钥。在FIPS模式下,该密钥至少需要设置为8位,包含数字、大写字母、小写字母和特殊符号。

【描述】

key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。undo key命令用来删除配置。

缺省情况下,无共享密钥。

必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。

以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。

在FIPS模式下,密钥加密和解密使用的算法为3des

相关配置可参考命令display hwtacacs

【举例】

# 配置HWTACACS计费报文共享密钥为明文hello。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] key accounting simple hello

# 配置HWTACACS计费报文共享密钥为明文hello。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] key accounting hello

# 配置HWTACACS计费报文共享密钥为密文$c$3$jaeN0ej15fjuHKeuVh8mqicHzaHdMw==。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] key accounting cipher $c$3$jaeN0ej15fjuHKeuVh8mqicHzaHdMw==

1.4.7  nas-ip (HWTACACS scheme view)

【命令】

nas-ip ip-address

undo nas-ip

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址。

【描述】

nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo nas-ip命令用来恢复缺省情况。

缺省情况下,使用系统视图下由命令hwtacacs nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送HWTACACS报文的接口的IP地址。

需要注意的是:

·     HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。

·     如果重复执行此命令,新配置的源地址会覆盖原有的源地址。

·     HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。

相关配置可参考命令hwtacacs nas-ip

【举例】

# 配置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1

1.4.8  primary accounting (HWTACACS scheme view)

【命令】

primary accounting ip-address [ port-number ]

undo primary accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主HWTACACS计费服务器的IP地址。

port-number:主HWTACACS计费服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。

【描述】

primary accounting命令用来配置主HWTACACS计费服务器。undo primary accounting命令用来删除配置的主HWTACACS计费服务器。

缺省情况下,未配置主计费服务器。

需要注意的是:

·     主计费服务器和从计费服务器的IP地址不能相同。

·     只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。

相关配置可参考命令display hwtacacs

【举例】

# 配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49提供HWTACACS计费服务。

<Sysname> system-view

[Sysname] hwtacacs scheme test1

[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49

1.4.9  primary authentication (HWTACACS scheme view)

【命令】

primary authentication ip-address [ port-number ]

undo primary authentication

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主HWTACACS认证服务器的IP地址。

port-number:主HWTACACS认证服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供认证服务的端口号保持一致。

【描述】

primary authentication命令用来配置主HWTACACS认证服务器。undo primary authentication命令用来删除配置的主HWTACACS认证服务器。

缺省情况下,未配置主认证服务器。

需要注意的是:

·     主认证服务器和从认证服务器的IP地址不能相同。

·     只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。

相关配置可参考命令display hwtacacs

【举例】

# 配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS认证服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49

1.4.10  primary authorization

【命令】

primary authorization ip-address [ port-number ]

undo primary authorization

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主HWTACACS授权服务器的IP地址。

port-number:主HWTACACS授权服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供授权服务的端口号保持一致。

【描述】

primary authorization命令用来配置主HWTACACS授权服务器。undo primary authorization命令用来删除配置的主HWTACACS授权服务器。

缺省情况下,未配置主授权服务器。

需要注意的是:

·     主授权服务器和从授权服务器的IP地址不能相同。

·     只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。

相关配置可参考命令display hwtacacs

【举例】

# 配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS授权服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49

1.4.11  reset hwtacacs statistics

【命令】

reset hwtacacs statistics { accounting | all | authentication | authorization }

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

accounting:清除HWTACACS协议关于计费的统计信息。

all:清除HWTACACS的所有统计信息。

authentication:清除HWTACACS协议关于认证的统计信息。

authorization:清除HWTACACS协议关于授权的统计信息。

【描述】

reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。

相关配置请参考命令display hwtacacs

【举例】

# 清除HWTACACS协议的所有统计信息。

<Sysname> reset hwtacacs statistics all

1.4.12  reset stop-accounting-buffer (for HWTACACS)

【命令】

reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案清除缓存的停止计费请求报文。其中,hwtacacs-server-name为HWTACACS方案名,为1~32个字符的字符串。

【描述】

reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。

相关配置可参考命令stop-accounting-buffer enabledisplay stop-accounting-buffer

【举例】

# 清除HWTACACS方案hwt1缓存在系统中的停止计费请求报文。

<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1

1.4.13  retry stop-accounting (HWTACACS scheme view)

【命令】

retry stop-accounting retry-times

undo retry stop-accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:停止计费请求报文的最大重试次数,取值范围为1~300。

【描述】

retry stop-accounting命令用来设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,发送停止计费请求报文的最大次数。undo retry stop-accounting命令用来恢复缺省情况。

缺省情况下,停止计费请求报文的最大发送次数为100

相关配置可参考命令reset stop-accounting-bufferdisplay stop-accounting-buffer

【举例】

# 在HWTACACS方案hwt1中,设置设备最多可以尝试向该方案中的服务器发送50次停止计费请求报文。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] retry stop-accounting 50

1.4.14  secondary accounting (HWTACACS scheme view)

【命令】

secondary accounting ip-address [ port-number ]

undo secondary accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从HWTACACS计费服务器的IP地址。

port-number:从HWTACACS计费服务器的端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。

【描述】

secondary accounting命令用来配置从HWTACACS计费服务器。undo secondary accounting命令用来删除配置的从HWTACACS计费服务器。

缺省情况下,未配置从计费服务器。

需要注意的是:

·     主计费服务器和从计费服务器的IP地址不能相同。

·     只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。

相关配置可参考命令display hwtacacs

【举例】

# 配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49提供HWTACACS计费服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49

1.4.15  secondary authentication (HWTACACS scheme view)

【命令】

secondary authentication ip-address [ port-number ]

undo secondary authentication

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从HWTACACS认证服务器的IP地址。

port-number:从HWTACACS认证服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供认证服务的端口号保持一致。

【描述】

secondary authentication命令用来配置从HWTACACS认证服务器。undo secondary authentication命令用来删除配置的从HWTACACS认证服务器。

缺省情况下,未配置从认证服务器。

需要注意的是:

·     主认证服务器和从认证服务器的IP地址不能相同。

·     只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。

相关配置可参考命令display hwtacacs

【举例】

# 配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS认证服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49

1.4.16  secondary authorization

【命令】

secondary authorization ip-address [ port-number ]

undo secondary authorization

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从HWTACACS授权服务器的IP地址。

port-number:从HWTACACS授权服务器的TCP端口号,缺省为49,取值范围为1~65535。此端口号必须与服务器提供授权服务的端口号保持一致。

【描述】

secondary authorization命令用来配置从HWTACACS授权服务器。undo secondary authorization命令用来删除配置的从HWTACACS授权服务器。

缺省情况下,未配置从授权服务器。

需要注意的是:

·     主授权服务器和从授权服务器的IP地址不能相同。

·     只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。

相关配置可参考命令display hwtacacs

【举例】

# 配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS授权服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49

1.4.17  stop-accounting-buffer enable (HWTACACS scheme view)

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。

缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。

由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。

相关配置可参考命令reset stop-accounting-bufferdisplay stop-accounting-buffer

【举例】

# 指示对于HWTACACS方案hwt1中的服务器,设备能够缓存没有得到响应的停止计费请求报文。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable

1.4.18  timer quiet (HWTACACS scheme view)

【命令】

timer quiet minutes

undo timer quiet

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。

【描述】

timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。

缺省情况下,主服务器恢复激活状态的时间为5分钟。

相关配置可参考命令display hwtacacs

【举例】

# 设置主服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer quiet 10

1.4.19  timer response-timeout (HWTACACS scheme view)

【命令】

timer response-timeout seconds

undo timer response-timeout

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒。

【描述】

timer response-timeout命令用来设置HWTACACS服务器响应超时时间。undo timer response-timeout命令用来恢复缺省情况。

缺省情况下,HWTACACS服务器响应超时时间为5秒。

需要注意的是,由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。

相关配置可参考命令display hwtacacs

【举例】

# 配置TACACS服务器响应超时时间为30秒。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer response-timeout 30

1.4.20  user-name-format (HWTACACS scheme view)

【命令】

user-name-format { keep-original | with-domain | without-domain }

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。

with-domain:发送给HWTACACS服务器的用户名带ISP域名。

without-domain:发送给HWTACACS服务器的用户名不带ISP域名。

【描述】

user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。

缺省情况下,HWTACACS方案默认发送给HWTACACS服务器的用户名携带有ISP域名。

需要注意的是:

·     接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。

·     如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。

·     无线用户漫游时,建议配置参数keep-original,否则可能引起认证失败。

【举例】

# 指定发送给HWTACACS方案hwt1的用户不带ISP域名。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] user-name-format without-domain

1.5  LDAP配置命令

1.5.1  authentication-server

【命令】

authentication-server ip-address [ port-number ]

undo authentication-server

【视图】

LDAP方案视图

【缺省级别】

2:系统级

【参数】

ip-address:LDAP认证服务器的IP地址。

port-number:LDAP认证服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。

【描述】

authentication-server命令用来配置LDAP认证服务器。undo authentication-server命令用来删除配置的LDAP认证服务器。

缺省情况下,未配置LDAP认证服务器。

需要注意的是:

·     需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。

·     更改后的认证服务器IP地址和端口号,只对更改之后的LDAP认证生效。

相关配置可参考命令display ldap scheme

【举例】

# 配置LDAP认证服务器的IP地址为192.168.0.10,端口号为4300。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] authentication-server 192.168.0.10 4300

1.5.2  authorization-server

【命令】

authorization-server ip-address [ port-number ]

undo authorization-server

【视图】

LDAP方案视图

【缺省级别】

2:系统级

【参数】

ip-address:LDAP授权服务器的IP地址。

port-number:LDAP授权服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。

【描述】

authorization-server命令用来配置LDAP授权服务器。undo authorization-server命令用来删除配置的LDAP授权服务器。

缺省情况下,未配置LDAP授权服务器。

需要注意的是:

·     需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。

·     更改后的授权服务器IP地址和端口号,只对更改之后的LDAP授权生效。

相关配置可参考命令display ldap scheme

【举例】

# 配置LDAP授权服务器的IP地址为192.168.0.10,端口号为4300。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] authorization-server 192.168.0.10 4300

1.5.3  display ldap scheme

【命令】

display ldap scheme [ scheme-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

scheme-name:指定LDAP方案名。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display ldap scheme命令用来查看LDAP方案的配置信息。

需要注意的是:如果不指定LDAP方案名,则显示所有LDAP方案的配置信息。

相关配置请参考命令ldap scheme

【举例】

# 查看LDAP方案的配置信息。

<Sysname> display ldap scheme

------------------------------------------------------------------

  Scheme name  = default

  Index = 0

  Authentication IP   = 1.1.1.1          Port = 390

  Authorization IP    = 0.0.0.0          Port = 389

 

  LDAP protocol version : LDAPv3

  LDAP server type      : Microsoft

 

  Server timeout interval : 10 (seconds)

  Login account DN        : (not configured)

  Login account password  : ******

 

  User searching parameters:

    Base DN              : (not configured)

    Search scope         : all-level

    User object class    : (not configured)

    Username attribute   : cn

    Username format      : without-domain

    User group attribute : (not configured)

 

  Group searching parameters:

    Base DN              : (not configured)

    Search scope         : all-level

    Group object class   : (not configured)

    Member attribute     : (not configured)

    Groupname attribute  : cn

 

------------------------------------------------------------------

Total 1 LDAP scheme(s).

表1-9 display ldap scheme命令显示信息描述表

字段

描述

Scheme name

LDAP方案名称

Index

LDAP方案的索引号

Authentication IP/Port

认证服务器的IP地址/端口号

未配置认证服务器时,IP地址显示为0.0.0.0,端口号显示为缺省值,下面授权服务器同理显示

Authorization IP/Port

授权服务器的IP地址/端口号

LDAP protocol version

LDAP协议的版本号(LDAPv2、LDAPv3)

LDAP server type

LDAP服务器的厂商名称(IBM、Microsoft、Sun)

Server timeout interval

LDAP服务器连接超时时间(单位为秒)

Login account DN

管理员用户的DN

Login account password

管理员用户的密码,已配置时显示为******

User searching parameters

用户查询参数

Base DN

用户DN查询的起始DN

Search scope

用户DN查询的范围(all-level:所有子目录查询,single-level:下级目录查询)

User object class

自定义的用户对象类型

Username attribute

自定义的用户名称属性

Username format

用户名格式(with-domain:用户名带域名,without-domain:用户名不带域名)

User group attribute

用户所在组在服务器上的属性类型

Group searching parameters

用户组查询参数

Base DN

查询用户组时使用的起始DN

Search scope

用户组查询的范围

Group object class

自定义的待查询组的对象类型

Member attribute

自定义的用户组中成员的属性类型

Groupname attribute

待查询的用户组名称的属性类型

Total 1 LDAP scheme(s)

总共有1个LDAP方案

 

1.5.4  group-parameters

【命令】

group-parameters { group-name-attribute { name-attribute | cn | uid } | group-object-class object-class-name | member-name-attribute attribute-name | search-base-dn base-dn | search-scope { all-level | single-level } }

undo group-parameters { group-name-attribute | group-object-class | member-name-attribute | search-base-dn | search-scope }

【视图】

LDAP方案视图

【缺省级别】

2:系统级

【参数】

group-name-attribute { name-attribute | cn | uid }:表示查询用户组时需要返回的用户组名的属性类型。其中,name-attribute表示自定义的组名的属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户组名称的属性为cn(Common Name),即返回用户组中的cn值;uid表示用户组名称的属性为uid(User ID),即返回用户组中的uid值。

group-object-class object-class-name:表示待查询的组对象类型。其中,object-class-name表示自定义的组对象类型值,为1~64个字符的字符串,不区分大小写。

member-name-attribute attribute-name:表示待查询的用户组中包含的成员的属性类型。其中,attribute-name为组成员属性类型值,为1~64个字符的字符串,不区分大小写。

search-base-dn base-dn:表示在用户组查询中使用的起始DN,其中,base-dn表示起始DN的值,为1~255个字符的字符串,不区分大小写。

search-scope { all-level | single-level }:表示查询用户组的范围。其中,all-level表示在起始DN的所有子目录下进行查询;single-level表示只在起始DN的下一级子目录下进行查询。

【描述】

group-parameters命令用来配置LDAP组属性参数。undo group-parameters命令用来取消各参数的配置。

缺省情况下,未指定search-base-dngroup-name-attributecnsearch-scopeall-level;未指定自定义group-object-class;未指定自定义member-name-attribute

需要注意的是:

·     可以通过多次执行本命令,配置多个LDAP组属性参数。

·     对于组对象类型和组成员属性,有些服务器厂商定义了缺省属性值,若厂商未定义缺省值或用户需要使用自定义的值,则可以通过本命令进行配置。

相关配置可参考命令display ldap schemelogin-dn

【举例】

# 配置查询用户组的范围为只在起始DN的下一级子目录下进行查询。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] group-parameters search-scope single-level

1.5.5  ldap scheme

【命令】

ldap scheme ldap-scheme-name

undo ldap scheme ldap-scheme-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

ldap-scheme-name:LDAP方案名,为1~32个字符的字符串,不区分大小写。

【描述】

ldap scheme命令用来创建LDAP方案并进入其视图。undo ldap scheme命令用来删除指定的LDAP方案。

缺省情况下,未创建LDAP方案。

需要注意的是:

·     LDAP协议的配置是以LDAP方案为单位进行的。每个LDAP方案至少须指明LDAP认证/授权服务器的IP地址以及具有管理员权限的用户DN和用户密码。

·     一个LDAP方案可以同时被多个ISP域引用。

·     不允许使用undo ldap scheme命令删除被ISP域引用的LDAP方案。

相关配置可参考命令display ldap scheme

【举例】

# 创建名为ldap1的LDAP方案并进入其视图。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1]

1.5.6  login-dn

【命令】

login-dn dn-string

undo login-dn

【视图】

LDAP方案视图

【缺省级别】

2:系统级

【参数】

dn-string:具有管理员权限的用户DN,是绑定服务器时使用的用户标识名,为1~255个字符的字符串,不区分大小写。

【描述】

login-dn命令用来配置具有管理员权限的用户DN。undo login-dn命令用来删除已配置的具有管理员权限的用户DN。

缺省情况下,未配置具有管理员权限的用户DN

需要注意的是:

·     设备上的管理员DN必须与服务器上管理员的DN一致。

·     更改后的管理员DN,只对更改之后的LDAP认证、授权生效。

相关配置可参考命令display ldap scheme

【举例】

# 配置管理员权限的用户DN为uid=test, ou=people, o=example, c=city。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] login-dn uid=test,ou=people,o=example,c=city

1.5.7  login-password

【命令】

login-password [ ciper | simple ] password

undo login-password

【视图】

LDAP方案视图

【缺省级别】

2:系统级

【参数】

cipher:表示以密文方式设置用户密码。

simple:表示以明文方式设置用户密码。

string:设置的明文密码或密文密码,区分大小写。明文密码为1~128个字符的字符串;密文密码为1~201个字符的字符串。不指定ciphersimple时,表示以明文方式设置用户密码。

【描述】

login-password命令用来配置LDAP认证中,绑定服务器时所使用的具有管理员权限的用户密码。undo login-password命令用来恢复缺省情况。

缺省情况下,未配置具有管理权限的用户密码。

需要注意的是:

·     该命令只有在配置了login-dn的情况下生效。当未配置login-dn时,该命令不生效。

·     以明文或密文方式设置的用户密码,均以密文的方式保存在配置文件中。

相关配置可参考命令display ldap schemelogin-dn

【举例】

# 配置具有管理员权限的用户密码为明文abcdefg。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] login-password simple abcdefg

# 配置具有管理员权限的用户密码为密文/tbw94rb4yDN1Ez5vkK1pw==。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] login-password cipher /tbw94rb4yDN1Ez5vkK1pw==

1.5.8  protocol-version

【命令】

protocol-version { v2 | v3 }

undo protocol-version

【视图】

LDAP方案视图

【缺省级别】

2:系统级

【参数】

v2:表示LDAP协议版本号为LDAPv2。

v3:表示LDAP协议版本号为LDAPv3。

【描述】

protocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号。undo protocol-version命令用来恢复缺省情况。

缺省情况下,LDAP版本号为LDAPv3。

需要注意的是:

·     需保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致。

·     更改后的服务器版本号,只对更改之后的LDAP认证、授权生效。

·     Microsoft的LDAP服务器只支持LDAPv3,配置LDAP版本为v2时无效。

相关配置可参考命令display ldap scheme

【举例】

# 配置LDAP协议版本号为LDAPv2。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] protocol-version v2

1.5.9  server-timeout

【命令】

server-timeout time-interval

undo server-timeout

【视图】

LDAP方案视图

【缺省级别】

2:系统级

【参数】

time-interval:LDAP服务器连接超时时间,取值范围为5~20,单位为秒。

【描述】

server-timeout命令用来配置LDAP服务器连接超时时间,即认证、授权时等待LDAP服务器回应的最大时间。undo server-timeout命令用来恢复缺省情况。

缺省情况下,LDAP服务器连接超时时间为10秒。

需要注意的是,更改后的连接超时时间,只对更改之后的LDAP认证、授权生效。

相关配置可参考命令display ldap scheme

【举例】

# 配置LDAP服务器连接超时时间为15秒。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-scheme-ldap1] server-timeout 15

1.5.10  server-type

【命令】

server-type { ibm | microsoft | sun }

undo server-type

【视图】

LDAP方案视图

【缺省级别】

2:系统级

【参数】

ibm:表示LDAP服务器厂商为IBM。

microsoft:表示LDAP服务器厂商为Microsoft。

sun:表示LDAP服务器厂商为Sun。

【描述】

server-type命令用来配置LDAP服务器厂商类型。undo server-type命令用来恢复缺省情况。

缺省情况下,LDAP服务器类型为Microsoft。

需要注意的是:

·     需保证设备上的LDAP服务器厂商类型与使用的LDAP服务器厂商一致。

·     更改后的服务器厂商类型,只对更改之后的LDAP认证、授权生效。

相关配置可参考命令display ldap scheme

【举例】

# 配置LDAP服务器类型为IBM。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] server-type ibm

1.5.11  user-parameters

【命令】

user-parameters { search-base-dn base-dn | search-scope { all-level | single-level } | user-group-attribute attribute-name | user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }

undo user-parameters { search-base-dn | search-scope | user-group-attribute | user-name-attribute | user-name-format | user-object-class }

【视图】

LDAP方案视图

【缺省级别】

2:系统级

【参数】

search-base-dn base-dn:表示用户DN查询的起始节点。其中,base-dn表示起始DN的值,为1~255个字符的字符串,不区分大小写。

search-scope { all-level | single-level }:表示用户DN查询的范围。其中,all-level表示在起始DN的所有子目录下进行查询;single-level表示只在起始DN的下一级子目录下进行查询。

user-group-attribute attribute-name:表示在服务器上定义的用户所在组的属性名。其中,attribute-name表示属性名,为1~64个字符的字符串,不区分大小写。

user-name-attribute { name-attribute | cn | uid }:表示用户帐号的属性类型。其中,name-attribute表示属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户帐号的属性为cn(Common Name);uid表示用户帐号的属性为uid(User ID)。

user-name-format { with-domain | without-domain }:表示发送给服务器的用户名格式。其中,with-domain表示发送给服务器的用户名带ISP域名;without-domain表示发送给服务器的用户名不带ISP域名。

user-object-class object-class-name:表示查询用户DN时使用的用户对象类型。其中,object-class-name表示对象类型值,为1~64个字符的字符串,不区分大小写。

【描述】

user-parameters命令用来配置LDAP用户属性参数。undo user-parameters命令用来取消各属性参数的配置。

缺省情况下,未指定search-base-dnsearch-scopeall-level;未指定自定义user-group-attributeuser-name-attributecnuser-name-formatwithout-domain;未指定自定义user-object-class

需要注意的是:

·     可以通过多次执行本命令,配置多个LDAP用户属性参数。

·     有些LDAP服务器厂商定义了的缺省用户组属性和用户对象类型,则设备上可以不配置该属性。若厂商未定义缺省值或用户需要使用自定义的值,则可以通过本命令进行配置,但要与LDAP服务器上定义的属性值保持一致。各厂商对缺省用户组属性的支持情况不同,只有Microsoft服务器支持(属性名为memberOf)缺省的用户组属性,IBM和Sun服务器的此属性无缺省配置。

·     接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,但是在LDAP服务器的目录树上,用户标识(可以是cn、uid等)可以不包含ISP域名。如果服务器上的用户名不含有域名,必须将用户名中携带的域名去除后再传送给LDAP服务器,即配置user-name-formatwithout-domain

相关配置可参考命令display ldap scheme

【举例】

# 配置查询待认证用户的范围为single-level

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] user-parameters search-scope single-level

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们