01-AAA命令
本章节下载: 01-AAA命令 (561.60 KB)
目 录
1.1.9 authentication lan-access
1.1.15 authorization lan-access
1.1.18 authorization-attribute(ISP domain view)
1.2.2 authorization-attribute(Local user view/user group view)
1.2.9 local-user auto-delete enable
1.3.2 algorithm loading-share enable
1.3.5 data-flow-format (RADIUS scheme view)
1.3.7 display radius statistics
1.3.8 display stop-accounting-buffer (for RADIUS)
1.3.9 key (RADIUS scheme view)
1.3.10 nas-ip (RADIUS scheme view)
1.3.12 primary accounting (RADIUS scheme view)
1.3.13 primary authentication (RADIUS scheme view)
1.3.14 radius dynamic-author server
1.3.17 radius session-control enable
1.3.18 radius-server test-profile
1.3.19 reset radius statistics
1.3.20 reset stop-accounting-buffer (for RADIUS)
1.3.22 retry realtime-accounting
1.3.23 retry stop-accounting (RADIUS scheme view)
1.3.24 secondary accounting (RADIUS scheme view)
1.3.25 secondary authentication (RADIUS scheme view)
1.3.27 snmp-agent trap enable radius
1.3.30 stop-accounting-buffer enable (RADIUS scheme view)
1.3.31 timer quiet (RADIUS scheme view)
1.3.32 timer realtime-accounting (RADIUS scheme view)
1.3.33 timer response-timeout (RADIUS scheme view)
1.3.34 user-name-format (RADIUS scheme view)
1.3.35 vpn-instance (RADIUS scheme view)
1.4.1 data-flow-format (HWTACACS scheme view)
1.4.3 display stop-accounting-buffer (for HWTACACS)
1.4.6 key (HWTACACS scheme view)
1.4.7 nas-ip (HWTACACS scheme view)
1.4.8 primary accounting (HWTACACS scheme view)
1.4.9 primary authentication (HWTACACS scheme view)
1.4.11 reset stop-accounting-buffer (for HWTACACS )
1.4.12 retry stop-accounting (HWTACACS scheme view)
1.4.13 reset hwtacacs statistics
1.4.14 secondary accounting (HWTACACS scheme view)
1.4.15 secondary authentication (HWTACACS scheme view)
1.4.16 secondary authorization
1.4.17 stop-accounting-buffer enable (HWTACACS scheme view)
1.4.18 timer quiet (HWTACACS scheme view)
1.4.19 timer realtime-accounting (HWTACACS scheme view)
1.4.20 timer response-timeout (HWTACACS scheme view)
1.4.21 user-name-format (HWTACACS scheme view)
设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。
aaa nas-id profile命令用来创建NAS-ID Profile,并进入NAS-ID-Profile视图。
undo aaa nas-id profile命令用来删除指定的NAS-ID Profile。
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
profile-name:Profile名称,为1~31个字符的字符串,不区分大小写。该Profile用于保存NAS-ID与VLAN的绑定关系。
用户的接入VLAN可标识用户的接入位置,而在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来标识用户的接入位置,因此接入设备上需要建立用户接入VLAN与指定的NAS-ID之间的绑定关系。NAS-ID Profile用于保存NAS-ID和VLAN的绑定关系。这样,当用户上线时,设备会将与用户接入VLAN匹配的NAS-ID填充在RADIUS请求报文中的NAS-Identifier属性中发送给RADIUS服务器。
# 创建一个名字为aaa的NAS-ID Profile。
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
· portal nas-id-profile(安全命令参考/Portal)
· port-security nas-id-profile(安全命令参考/端口安全)
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来恢复缺省情况。
非FIPS模式下:
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions
undo aaa session-limit { ftp | http | https | ssh | telnet }
FIPS模式下:
aaa session-limit { https | ssh } max-sessions
undo aaa session-limit { https | ssh }
ftp:表示FTP用户。
http:表示HTTP用户。
https:表示HTTPS用户。
ssh:表示SSH用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,取值范围为1~32。
配置本命令后,当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
# 设置同时在线的最大FTP用户连接数为4。
[Sysname] aaa session-limit ftp 4
accounting command命令用来配置命令行计费方法。
undo accounting command命令用来恢复缺省情况。
accounting command hwtacacs-scheme hwtacacs-scheme-name
命令行计费采用当前ISP域的缺省计费方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
命令行计费是指,用户执行过的所有命令或被成功授权执行的命令,会被计费服务器进行记录。
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能。
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
· command accounting(基础命令参考/登录设备)
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
当前ISP域的缺省计费方法为local。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
可以指定一个或多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
accounting lan-access命令用来为lan-access用户配置计费方法。
undo accounting lan-access命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
accounting lan-access { local | radius-scheme radius-scheme-name [ local ] }
lan-access用户采用当前ISP域的缺省计费方法。
ISP域视图
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
# 在ISP域test下,为lan-access用户配置计费方法为local。
[Sysname] domain test
[Sysname-isp-test] accounting lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
login用户采用当前ISP域的缺省计费方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
不支持对FTP类型的login用户进行计费。
可以指定一个或多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
# 在ISP域test下,为login用户配置计费方法为local。
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
accounting portal命令用来为Portal用户配置计费方法。
undo accounting portal命令用来恢复缺省情况。
非FIPS模式下:
accounting portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
FIPS模式下:
accounting portal { local | radius-scheme radius-scheme-name [ local ] }
Portal用户采用当前ISP域的缺省计费方法。
ISP域视图
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
# 在ISP域test下,为Portal用户配置计费方法为local。
[Sysname] domain test
[Sysname-isp-test] accounting portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
[Sysname] domain test
[Sysname-isp-test] accounting portal radius-scheme rd local
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
非FIPS模式下:
FIPS模式下:
当前ISP域的缺省认证方法为local。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定一个或多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
authentication lan-access命令用来为lan-access用户配置认证方法。
undo authentication lan-access命令用来恢复缺省情况。
非FIPS模式下:
authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication lan-access
FIPS模式下:
authentication lan-access { ldap-scheme ldap-scheme-name [ local ] | local | radius-scheme radius-scheme-name [ local ] }
undo authentication lan-access
lan-access用户采用当前ISP域的缺省认证方法。
ISP域视图
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
# 在ISP域test下,为lan-access用户配置认证方法为local。
[Sysname] domain test
[Sysname-isp-test] authentication lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
[Sysname] domain test
[Sysname-isp-test] authentication lan-access radius-scheme rd local
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
login用户采用当前ISP域的缺省认证方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
# 在ISP域test下,为login用户配置认证方法为local。
[Sysname] domain test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
authentication portal命令用来为Portal用户配置认证方法。
undo authentication portal命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
Portal用户采用当前ISP域的缺省认证方法。
ISP域视图
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个或多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
# 在ISP域test下,为Portal用户配置认证方法为local。
[Sysname] domain test
[Sysname-isp-test] authentication portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
[Sysname] domain test
[Sysname-isp-test] authentication portal radius-scheme rd local
authentication super命令用来配置用户角色切换认证方法。
undo authentication super命令用来恢复缺省情况。
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *
用户角色切换认证采用当前ISP域的缺省认证方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证。
# 在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证。
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-domain-test] authentication super hwtacacs-scheme tac
authorization command命令用来配置命令行授权方法。
undo authorization command命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local }
命令行授权采用当前ISP域的缺省授权方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。用户执行角色所允许的命令时,无须接受授权服务器的检查。
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行。
可以指定一个或多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,配置命令行授权方法为local。
[Sysname] domain test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
· authorization accounting(基础命令参考/登录设备)
authorization default命令用来为当前ISP域配置缺省的授权方法。
undo authorization default命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
当前ISP域的缺省授权方法为local。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定一个或多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
authorization lan-access命令用来为lan-access用户配置授权方法。
undo authorization lan-access命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
authorization lan-access { local | radius-scheme radius-scheme-name [ local ] }
lan-access用户采用当前ISP域的缺省授权方法。
ISP域视图
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的lan-access用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定一个或多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,为lan-access用户配置授权方法为local。
[Sysname] domain test
[Sysname-isp-test] authorization lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization lan-access radius-scheme rd local
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
非FIPS模式下:
FIPS模式下:
login用户采用当前ISP域的缺省授权方法。
ISP域视图
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统所给予的缺省用户角色,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于缺省用户角色的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定一个或多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,为login用户配置授权方法为local。
[Sysname] domain test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
authorization portal命令用来为Portal用户配置授权方法。
undo authorization portal命令用来恢复缺省情况。
非FIPS模式下:
authorization portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
FIPS模式下:
authorization portal { local | radius-scheme radius-scheme-name [ local ] }
Portal用户采用当前ISP域的缺省授权方法。
ISP域视图
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的Portal用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定一个或多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
# 在ISP域test下,为Portal用户配置授权方法为local。
[Sysname] domain test
[Sysname-isp-test] authorization portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
[Sysname] domain test
[Sysname-isp-test] authorization portal radius-scheme rd local
authorization-attribute命令用来设置当前ISP域下的用户授权属性。
undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。
undo authorization-attribute { ip-pool | ipv6-pool | user-profile }
未对当前ISP域下的用户设置任何授权属性。
ISP域视图
ip-pool ipv4-pool-name:指定为用户分配IPv4地址的地址池。其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
ipv6-pool ipv6-pool-name:指定为用户分配IPv6地址的地址池。其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
user-profile profile-name:指定用户的授权User Profile。其中,profile-name为User Profile名称,为1~31个字符的字符串,只能包含英文字母[a-z,A-Z]、数字、下划线,且必须以英文字母开始,区分大小写。
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
# 为ISP域test下的用户授权profile1。
[Sysname] domain test
[Sysname-isp-test] authorization-attribute user-profile profile1
display domain命令用来显示所有或指定ISP域的配置信息。
isp-name:指定ISP域名,为1~24个字符的字符串,不区分大小写。
如果不指定ISP域,则显示系统中所有ISP域的配置信息。
# 显示系统中所有ISP域的配置信息。
Total 2 domain(s)
Domain: system
State: Active
default Authentication Scheme: local
default Authorization Scheme: local
default Accounting Scheme: local
Authorzation attributes :
Idle-cut : Disable
Domain: dm
State: Active
login Authentication Scheme: radius: rad
login Authorization Scheme: tacacs: hw
default Authentication Scheme: radius: rad, local, none
default Authorization Scheme: local
default Accounting Scheme: none
Authorzation attributes :
Idle-cut : Disable
User profile: test
Default Domain Name: system
表1-1 display domain命令显示信息描述表
总计2个ISP域 |
|
ISP域名 |
|
ISP域的状态 |
|
Login用户的认证方案 |
|
Login用户的授权方案 |
|
Login用户的计费方案 |
|
ISP的用户授权属性 |
|
用户闲置切断功能,仅支持“ Disable”,表示处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态 |
|
RADIUS方案 |
|
HWTACACS方案 |
|
LDAP方案 |
|
IP pool |
授权IPv4地址池的名称 |
IPv6 pool |
授权IPv6地址池的名称 |
缺省ISP域名 |
domain命令用来创建ISP域并进入其视图。
undo domain命令用来删除指定的ISP域。
系统存在一个名称为system的ISP域。
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
· 所有的ISP域在创建后即处于active状态。
· 不能删除系统中预定义的ISP域system,只能修改该域的配置。
· 不能删除系统缺省的ISP域,除非先恢复要删除的域为非缺省域,系统缺省的ISP域的配置请参考domain default enable命令。
# 创建一个新的ISP域test,并进入其视图。
[Sysname] domain test
· domain if-unknown
domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。
undo domain default enable命令用来恢复缺省情况。
domain default enable isp-name
系统缺省的ISP域为system。
isp-name:ISP域名,为1~24个字符的字符串,不区分大小写。
· 缺省的ISP域有且只有一个。
· 指定的缺省ISP域必须已经存在。
· 配置为缺省的ISP域不能被删除,除非先恢复要删除的域为非缺省域。
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
domain if-unknown命令用来为未知域名的用户指定ISP域。
undo domain if-unknown命令用来恢复缺省情况。
【命令】
domain if-unknown isp-domain-name
undo domain if-unknown
【缺省情况】
没有为未知域名的用户指定ISP域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
isp-domain-name:ISP域名。为1~24个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
设备将按照如下先后顺序选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证。
【举例】
# 为未知域名的用户指定ISP域为test。
<Sysname> system-view
[Sysname] domain if-unknown test
【相关命令】
· display domain
nas-id bind vlan命令用来设置NAS-ID与VLAN的绑定关系。
undo nas-id bind vlan命令用来删除指定的NAS-ID和VLAN的绑定关系。
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
nas-identifier:NAS-ID名称,为1~31个字符的字符串,区分大小写。
vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。
一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。
一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。
# 在名称为aaa的NAS-ID Profile视图下,配置NAS-ID 222与VLAN 2的绑定关系。
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
state命令用来设置当前ISP域的状态。
undo state命令用来恢复缺省情况。
当一个ISP域被创建以后,其状态为active。
ISP域视图
active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。
block:指定当前ISP域处于“阻塞”状态,即系统不允许该域下的用户请求网络服务。
当指定某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。
# 设置当前ISP域test处于“阻塞”状态,域下的接入用户不能再请求网络服务。
[Sysname] domain test
[Sysname-isp-test] state block
access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。
undo access-limit命令用来恢复缺省情况。
max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024。
本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
# 允许同时以本地用户名abc在线的用户数为5。
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。
本地用户视图/用户组视图
acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。本地用户认证成功后,将被授权仅可以访问符合指定ACL规则的网络资源。
idle-cut minute:设置本地用户的闲置切断时间。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
ip-pool ipv4-pool-name:指定本地用户的IPv4地址池信息。本地用户认证成功后,将允许使用该IPv4地址池分配地址。其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
ipv6-pool ipv6-pool-name:指定本地用户的IPv6地址池信息。本地用户认证成功后,将允许使用该IPv6地址池分配地址。其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示User Profile名称,为1~31个字符的字符串,只能包含英文字母[a-z,A-Z]、数字、下划线,且必须以英文字母开始,区分大小写。当用户认证成功后,其访问行为将受到User Profile中的预设配置的限制。关于User Profile的详细介绍请参见“安全配置指导”中的“User Profile”。
user-role role-name:指定本地用户的授权用户角色。其中,role-name为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。缺省情况下,FTP/SFTP/SCP用户可访问设备的根目录,可通过本参数来修改用户可以访问的目录。
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于lan-access,仅授权属性acl、user-profile和vlan有效;
· 对于Portal用户,仅授权属性acl、ip-pool、ipv6-pool和user-profile有效;
· 对于telnet、terminal用户,仅授权属性idle-cut和user-role有效;
· 对于http、https用户,仅授权属性user-role有效;
· 对于ssh用户,仅授权属性idle-cut、user-role和work-directory有效;
· 对于ftp用户,仅授权属性user-role和work-directory有效;
· 用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
· 本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
· 如果希望本地用户仅使用本命令授权的用户角色,建议使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
· 被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。
· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。
# 配置网络接入类本地用户abc的授权VLAN为VLAN 2。
[Sysname] local-user abc class network
[Sysname-luser-network-abc] authorization-attribute vlan 2
# 配置用户组abc的授权VLAN为VLAN 3。
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
# 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz]authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
bind-attribute命令用来设置用户的绑定属性。
undo bind-attribute命令用来删除配置的用户绑定属性。
undo bind-attribute { ip | location | mac | vlan } *
ip ip-address:指定用户的IP地址。
location interface interface-type interface-number:指定用户绑定的接口。其中interface-type interface-number表示接口类型和接口编号。如果用户接入的接口与此处绑定的接口不一致,则认证失败。
mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。
vlan vlan-id:指定用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。
需要注意的是,当对本地用户进行认证时,如果配置了绑定属性,则会检查用户的实际属性与配置的绑定属性是否一致,如果不一致或用户未携带该绑定属性则认证失败。而且,由于认证检测时不区分用户的接入服务类型,即会对所有类型的用户都进行已配置绑定属性的认证检测,因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性。例如,只有支持IP地址上传功能的802.1X认证用户才可以配置绑定IP地址;对于不支持IP地址上传功能的MAC地址认证用户,如果配置了绑定IP地址,则会导致该用户的本地认证失败。
· 绑定属性ip仅适用于lan-access类型中的802.1X用户;
· 绑定属性location、mac和vlan仅适用于lan-access和Portal类型的用户
在绑定接口属性时要考虑绑定接口类型是否合理。对于不同接入类型的用户,请按照如下方式进行绑定接口属性的配置:
· 802.1X用户:配置绑定的接口为使能802.1X的二层以太网接口;
· MAC地址认证用户:配置绑定的接口为使能MAC地址认证的二层以太网接口;
· Portal用户:若使能Portal的接口为VLAN接口,且没有通过portal roaming enable命令配置Portal用户漫游功能,则配置绑定的接口为用户实际接入的二层以太网接口;其它情况下,配置绑定的接口均为使能Portal的接口。
# 配置网络接入类本地用户abc的绑定IP为3.3.3.3。
[Sysname] local-user abc class network
[Sysname-luser-network-abc] bind-attribute ip 3.3.3.3
description命令用来配置网络接入类本地用户的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置网络接入类本地用户的描述信息。
【视图】
网络接入类本地用户视图
【缺省用户角色】
network-admin
【参数】
text:用户的描述信息,为1~255个字符的字符串,区分大小写。
【举例】
# 配置网络接入类本地用户123的描述信息为Manager of MSC company。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] description Manager of MSC company
【相关命令】
· display local-user
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
class:显示指定用户类别的本地用户信息。
· manage:设备管理类用户。
· network:网络接入类用户。
idle-cut { disable | enable }:显示使能或未使能闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息。
· ftp:FTP用户。
· http:HTTP用户。
· https:HTTPS用户。
· lan-access:lan-access类型用户(主要指以太网接入用户,比如802.1X用户)。
· portal:Portal用户。
· ssh:SSH用户。
· telnet:Telnet用户。
· terminal:从Console口登录的终端用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统禁止当前本地用户进行新的认证、授权、计费请求,但是可以接收已经成功计费用户的停止计费请求。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。
vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。
# 显示所有本地用户的相关信息。
Total 2 local users matched.
Device management user root:
State: Active
Service Type: SSH/Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User Group: system
Bind Attributes:
Authorization attributes:
Work Directory: flash:
User Role List: network-admin
Password control configurations:
Password aging: Enabled (3 days)
Network access user jj:
State: Active
Service Type: Lan-access
User Group: system
Bind Attributes:
IP Address: 2.2.2.2
Location Bound: FortyGigE1/0/1
MAC Address: 0001-0001-0001
VLAN ID: 2
Authorization attributes:
Idle TimeOut: 33 (min)
Work Directory: flash:
ACL number: 2000
User profile: test
User Role List: network-operator, level-0, level-3
Description: A guest from company cc
Validity period:
Start date and time: 2016/04/01-08:00:00
Expiration date and time: 2017/04/03-18:00:00
表1-2 display local-user命令显示信息描述表
总计有2个本地用户匹配 |
|
· Active:活动状态 · Block:阻塞状态 |
|
本地用户使用的服务类型,取值包括FTP、HTTP、HTTPS、Lan-access、Portal、SSH、Telnet和Terminal |
|
本地用户的IP地址 |
|
本地用户的MAC地址 |
|
FTP/SFTP/SCP用户可以访问的目录 |
|
IP pool |
本地用户的授权IPv4地址池 |
IPv6 pool |
本地用户的授权IPv6地址池 |
Description |
网络接入类本地用户的描述信息 |
Validity period |
网络接入类本地用户有效期 |
Start date and time |
网络接入类本地用户开始生效的日期和时间 |
Expiration date and time |
网络接入类本地用户的失效日期和时间 |
display user-group命令用来显示用户组的相关配置。
display user-group [ group-name ]
group-name:显示指定用户组的配置。group-name表示用户组名称,为1~32个字符的字符串,不区分大小写。
# 显示所有用户组的相关配置。
Total 2 user groups matched.
The contents of user group system:
Authorization Attributes:
Work Directory: flash:
The contents of user group jj:
Authorization attributes:
Idle TimeOut: 2 (min)
Work Directory: flash:/
ACL Number: 2000
VLAN ID: 2
Password control configurations:
Password aging: Enabled (2 days)
表1-3 display user-group命令显示信息描述表
总计有2个用户组匹配 |
|
Authorization attributes |
授权属性信息 |
FTP/SFTP/SCP用户可以访问的目录 |
|
User profile |
授权User Profile名称 |
IP pool |
授权IPv4地址池 |
IPv6 pool |
授权IPv6地址池 |
group命令用来设置本地用户所属的用户组。
undo group命令用来恢复缺省配置。
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
# 设置设备管理类本地用户111所属的用户组为abc。
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
local-user命令用来添加本地用户,并进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
local-user user-name [ class { manage | network } ]
user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。
· manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、http、https、telnet、ssh和terminal服务。
· network:网络接入类用户,用于通过设备接入网络,访问网络资源。此类用户可以提供lan-access和portal服务。
all:所有的用户。
service-type:指定用户的类型。
· ftp:表示FTP类型用户。
· http:表示HTTP类型用户。
· https:表示HTTPS类型用户。
· lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.1X用户)。
· portal:表示Portal用户。
· ssh:表示SSH用户。
· telnet:表示Telnet用户。
· terminal:表示从Console口登录的终端用户。
# 添加名称为user1的设备管理类本地用户。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
# 添加名称为user2的网络接入类本地用户。
[Sysname] local-user user2 class network
[Sysname-luser-network-user2]
local-user auto-delete enable命令用来开启本地用户过期自动删除功能。
undo local-user auto-delete enable命令用来恢复缺省情况。
【命令】
undo local-user auto-delete enable
【缺省情况】
本地用户过期自动删除功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本地用户过期自动删除功能处于开启状态时,设备将定时(10分钟,不可配)检查网络接入类本地用户是否过期并自动删除过期的本地用户。
【举例】
# 开启本地用户过期自动删除功能。
<Sysname> system-view
[Sysname] local-user auto-delete enable
【相关命令】
· validity-datetime
password命令用来设置本地用户的密码。
undo password命令用来删除本地用户的密码。
非FIPS模式下:
password [ { cipher | hash | simple } password ]
FIPS模式下:
非FIPS模式下:
不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。
FIPS模式下:
cipher:表示以密文方式设置用户密码。
hash:表示以哈希方式设置用户密码。
simple:表示以明文方式设置用户密码。
password:设置的明文密码或密文密码,区分大小写。非FIPS模式下,明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串;密文密码为1~117个字符的字符串;FIPS模式下,明文密码为15~63个字符的字符串,密码元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
如果不指定任何参数,则表示以交互式方式设置本地用户密码,涵义与指定simple关键字相同。若不设置本地用户密码,则本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。因此为提高用户帐户的安全性,建议设置本地用户密码。
· 对于设备管理类本地用户,可以使用交互式方式、明文或哈希方式设置用户密码,设置的明文密码将以哈希计算后生成的密文形式保存在配置文件中,设置的哈希密码将以设置的原始形式保存在配置文件中。FIPS模式下,只支持交互式方式设置本地用户密码,且必须设置本地用户密码,否则用户的本地认证不能成功。
· 对于网络接入类本地用户,可以使用明文或密文方式设置用户密码,设置的明文密码将以加密后生成的密文形式保存在配置文件中,设置的密文密码将以设置的原始形式保存在配置文件中。
# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式设置设备管理类本地用户test的密码。
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
Confirm :
# 设置网络接入类本地用户user2的密码为明文123456TESTuser&!。
[Sysname] local-user user1 class network
[Sysname-luser-network-user1] password simple 123456TESTuser&!
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
非FIPS模式下:
service-type { ftp | lan-access | { http | https | ssh | telnet | terminal } * | portal }
undo service-type { ftp | lan-access | { http | https | ssh | telnet | terminal } * | portal }
FIPS模式下:
service-type { lan-access | { https | ssh | terminal } * | portal }
undo service-type { lan-access | { https | ssh | terminal } * | portal }
ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权FTP用户可访问设备的根目录,授权目录可以通过authorization-attribute work-directory命令来修改。
http:指定用户可以使用HTTP服务。
https:指定用户可以使用HTTPS服务。
lan-access:指定用户可以使用lan-access服务。主要指以太网接入,比如用户可以通过802.1X认证接入。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
portal:指定用户可以使用Portal服务。
# 指定设备管理类用户可以使用Telnet服务和FTP服务。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
state命令用来设置当前本地用户的状态。
undo state命令用来恢复缺省情况。
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统禁止当前本地用户进行新的认证、授权、计费请求,但是可以接收已经成功计费用户的停止计费请求。
# 设置设备管理类本地用户user1处于“阻塞”状态。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
user-group命令用来创建用户组,并进入其视图。
undo user-group命令用来删除指定的用户组。
存在一个名称为system的用户组。
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理。目前,用户组中可配置的内容为本地用户的授权属性。
· 当用户组中有本地用户时,不允许使用undo user-group删除该用户组。
· 不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。
# 创建名称为abc的用户组并进入其视图。
[Sysname] user-group abc
[Sysname-ugroup-abc]
validity-datetime命令用来配置网络接入类本地用户的有效期。
undo validity-datetime命令用来恢复缺省情况。
【命令】
validity-datetime { from start-date start-time to expiration-date expiration-time | from start-date start-time | to expiration-date expiration-time }
undo validity-datetime
【缺省情况】
未限制本地用户的有效期,该用户始终有效。
【视图】
网络接入类本地用户视图
【缺省用户角色】
network-admin
【参数】
from:指定用户有效期的开始日期和时间。若不指定该参数,则表示仅限定用户有效期的结束日期和时间。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
to:指定用户有效期的结束日期和结束时间。若不指定该参数,则表示仅限定用户有效期的开始日期和时间。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
【使用指导】
网络接入类本地用户在有效期内才能认证成功。
若同时指定了有效期的开始时间和结束时间,则有效期的结束时间必须晚于起始时间。
如果仅指定了有效期的开始时间,则表示该时间到达后,用户一直有效。
如果仅指定了有效期的结束时间,则表示该时间到达前,用户一直有效。
【举例】
# 配置网络接入类本地用户123的有效期为2015/10/01 00:00:00到2016/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] validity-datetime from 2015/10/01 00:00:00 to 2016/10/02 12:00:00
【相关命令】
· display local-user
accounting-on enable命令用来配置accounting-on功能。
undo accounting-on enable命令用来恢复缺省情况。
accounting-on enable [ interval seconds | send send-times ] *
accounting-on功能处于关闭状态。
RADIUS方案视图
interval seconds:指定accounting-on报文重发时间间隔,取值范围为1~15,单位为秒,缺省值为3。
send send-times:指定accounting-on报文的最大发送次数,取值范围为1~255,缺省值为50。
在accounting-on功能处于使能的情况下,若设备重启,则设备会在重启之后发送accounting-on报文通知该方案所使用的RADIUS计费服务器,要求RADIUS服务器停止计费且强制该设备的用户下线。
· 执行完该命令后,请执行save操作,以保证设备重启后accounting-on功能生效。
· 在执行accounting-on功能的过程中,使用该命令重新设置的报文重发间隔时间以及报文最大发送次数会立即生效。
# 使能RADIUS认证方案radius1的accounting-on功能,并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on enable interval 5 send 15
algorithm loading-share enable命令用来开启RADIUS服务器负载分担功能。
undo algorithm loading-share enable命令用来关闭RADIUS服务器负载分担功能。
【命令】
algorithm loading-share enable
undo algorithm loading-share enable
【缺省情况】
RADIUS服务器负载分担功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,RADIUS服务器负载分担功能处于关闭状态,RADIUS服务器的调度采用主/从模式。
主/从模式下,设备优先选取状态为active的主服务器进行交互,若主服务器不可达则尝试与从服务器交互。设备尝试与从服务器交互时,按照从服务器的配置顺序依次选择,先配置服务器的将优先被选取。
在主/从模式下,设备选择服务器的逻辑比较单一。如果RADIUS方案中的主服务器或者某一配置顺序靠前的从服务器始终可达,则该服务器将独立承载该方案下所有用户的AAA业务。在大用户量下,这类服务器的负荷过重,将会影响处理用户上线的整体性能。
RADIUS方案中开启服务器负载分担功能后,设备将根据当前各服务器承载的用户负荷调度合适的服务器发送认证/计费请求。考虑到各服务器的性能可能存在差异,设备支持管理员配置服务器时为各个服务器指定适应其性能的权重值(由weight关键字指定),权重值较大的服务器具备较大的被选取可能性。设备在处理用户认证/计费请求时,将综合各个服务器的权重值及当前用户负荷情况,按比例进行用户负荷分配并选择要交互的服务器。
需要注意的是,负载分担模式下,某台计费服务器开始对某用户计费后,该用户后续计费请求报文均会发往同一计费服务器。如果该计费服务器不可达,则直接返回计费失败。
【举例】
# 在RADIUS方案radius1中,开启RADIUS服务器负载分担功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] algorithm loading-share enable
【相关命令】
· display radius scheme
· primary authentication (RADIUS scheme view)
· primary accounting (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
· secondary accounting (RADIUS scheme view)
attribute 15 check-mode命令用来配置RADIUS Attribute 15的检查方式。
undo attribute 15 check-mode命令用来恢复缺省情况。
attribute 15 check-mode { loose | strict }
RADIUS Attribute 15的检查方式为strict方式。
RADIUS方案视图
loose:松散检查方式。设备使用RADIUS Attribute 15的标准属性值对用户业务类型进行检查,对于SSH、FTP、Terminal用户,在RADIUS服务器下发的Login-Service属性值为0(表示用户业务类型为Telnet)时,这类用户才能够通过认证。
strict:严格检查方式。设备使用RADIUS Attribute 15的标准属性值以及扩展属性值对用户业务类型进行检查,对于SSH、FTP、Terminal用户,当RADIUS服务器下发的Login-Service属性值为对应的扩展取值50、51、52时,这类用户才能够通过认证。
由于某些RADIUS服务器不支持自定义的属性,无法下发扩展的Login-Service属性,若要使用这类RADIUS服务器对SSH、FTP、Terminal用户进行认证,建议设备上对RADIUS 15号属性值采用松散检查方式。
# 在RADIUS方案视图radius1下,配置RADIUS Attribute 15的检查方式为loose方式。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 15 check-mode loose
client命令用来指定RADIUS DAE客户端。
undo client命令用来删除指定的RADIUS DAE客户端。
【命令】
client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未指定RADIUS DAE客户端。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:RADIUS DAE客户端IPv4地址。
ipv6 ipv6-address:RADIUS DAE客户端IPv6地址。
key { cipher | simple } string:与RADIUS DAE客户端交互DAE报文时使用的共享密钥。此共享密钥的设置必须与RADIUS DAE客户端的共享密钥设置保持一致。如果此处未指定本参数,则对应的RADIUS DAE客户端上也必须未指定。
· cipher string:以密文方式设置密钥。非FIPS模式下,string为1~117个字符的密文字符串,区分大小写;FIPS模式下,string为15~117个字符的密文字符串,区分大小写。
· simple string:以明文方式设置密钥,该密钥将以密文形式存储。非FIPS模式下,string为1~64个字符的明文字符串,区分大小写;FIPS模式下,string为15~64个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
vpn-instance vpn-instance-name:RADIUS DAE客户端所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示RADIUS DAE客户端位于公网中。
【使用指导】
使能RADIUS DAE服务之后,设备会监听并处理指定的RADIUS DAE客户端发起的DAE请求消息(用于动态授权修改或断开连接),并向其发送应答消息。对于非指定的RADIUS DAE客户端的DAE报文进行丢弃处理。
可通过多次执行本命令指定多个RADIUS DAE客户端。
【举例】
# 设置RADIUS DAE客户端的IP地址为10.110.1.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456,MPLS L3VPN实例名称为abc。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] client ip 10.110.1.2 key simple 123456 vpn-instance abc
【相关命令】
· port
· radius dynamic-author server
data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
undo data-flow-format { data | packet }
数据流的单位为byte,数据包的单位为one-packet。
RADIUS方案视图
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADIUS服务器上的流量统计单位保持一致,否则无法正确计费。
# 在RADIUS方案radius1中,设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。
display radius scheme [ radius-scheme-name ]
radius-scheme-name:显示指定的RADIUS方案的配置信息。radius-scheme-name为RADIUS方案名,为1~32个字符的字符串,不区分大小写。
如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。
# 显示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
Total 2 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name : rad
Index : 0
Primary Auth Server:
Host name: radius.com
IP : 82.0.0.37 Port: 1812
VPN : Not configured
State: Active
Test profile: 132
Probe username: test
Probe interval: 60 minutes
Weight: 40
Primary Acct Server:
Host name: radius.com
IP : 82.0.0.37 Port: 1813
VPN : Not configured
State: Active
Weight: 40
Accounting-On function : Disabled
retransmission times : 50
retransmission interval(seconds) : 3
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Stop-accounting packets buffering : Enabled
Retransmission times : 500
NAS IP Address : Not configured
VPN : Not configured
User Name Format : without-domain
Data flow unit : Byte
Packet unit : One
Attribute 15 check-mode : Strict
Algorithm : primary-secondary
------------------------------------------------------------------
RADIUS scheme name : rad2
Index : 1
Primary Auth Server:
Host name: radius.com
IP : 82.0.0.37 Port: 1812
VPN : 1
State: Active
Test profile: Not configured
Weight: 0
Primary Acct Server:
Host name: radius.com
IP : 82.0.0.37 Port: 1813
VPN : 1
State: Active
Weight: 0
Accounting-On function : Disabled
retransmission times : 50
retransmission interval(seconds) : 3
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Stop-accounting packets buffering : Enabled
Retransmission Times : 500
NAS IP Address : Not configured
VPN : Not configured
User Name Format : Without-domain
Data flow unit : Byte
Packet unit : One
Attribute 15 check-mode : Strict
Algorithm : loading-share
------------------------------------------------------------------
表1-4 display radius scheme命令显示信息描述表
共计1个RADIUS方案 |
|
RADIUS scheme name |
RADIUS方案的名称 |
RADIUS方案的索引号 |
|
主RADIUS认证服务器 |
|
主RADIUS计费服务器 |
|
从RADIUS认证服务器 |
|
从RADIUS计费服务器 |
|
RADIUS认证/计费服务器主机名 |
|
RADIUS认证/计费服务器IP地址 |
|
RADIUS认证/计费服务器接入端口号 |
|
VPN |
RADIUS认证/计费服务器所在的VPN 未配置时,显示为Not configured |
RADIUS认证/计费服务器目前状态 · Active:激活状态 · Block:静默状态 |
|
Test profile |
探测服务器状态使用的模板名称 |
Probe username |
探测服务器状态使用的用户名 |
Probe interval |
探测服务器状态的周期(单位为分钟) |
Weight |
RADIUS服务器权重值 |
accounting-on功能的使能情况 |
|
accounting-on报文的发送尝试次数 |
|
accounting-on报文的重发间隔(单位为秒) |
|
RADIUS服务器超时时间(单位为秒) |
|
发送RADIUS报文的最大尝试次数 |
|
RADIUS服务器恢复激活状态的时间(单位为分钟) |
|
Stop-accounting packets buffering |
RADIUS停止计费请求报文缓存功能的开启情况 |
Retransmission Times |
发起RADIUS停止计费请求的最大尝试次数 |
发送RADIUS报文的源IP地址 |
|
RADIUS方案所属的VPN名称 |
|
发送给RADIUS服务器的用户名格式 · With-domain:携带域名 · Wthout-domain:不携带域名 · Keep-original:与用户输入保持一致 |
|
Data flow unit |
数据流的单位 |
Packet unit |
数据包的单位 |
对RADIUS Attribute 15的检查方式,包括以下两种取值: · Strict:表示使用RADIUS标准属性值和私有扩展的属性值进行检查 · Loose:表示使用RADIUS标准属性值进行检查 |
|
Algorithm |
RADIUS服务器负载分担功能的开启情况 · primary-secondary:关闭状态,服务器工作于主/从模式 · loading-share:开启状态,服务器工作于负载分担模式 |
display radius statistics命令用来显示RADIUS报文的统计信息。
# 显示RADIUS报文的统计信息。
<Sysname> display radius statistics
Auth. Acct. SessCtrl.
Request Packet: 0 0 0
Retry Packet: 0 0 -
Timeout Packet: 0 0 -
Access Challenge: 0 - -
Account Start: - 0 -
Account Update: - 0 -
Account Stop: - 0 -
Terminate Request: - - 0
Set Policy: - - 0
Packet With Response: 0 0 0
Packet Without Response: 0 0 -
Access Rejects: 0 - -
Dropped Packet: 0 0 0
Check Failures: 0 0 0
表1-5 display radius statistics命令显示信息描述表
display stop-accounting-buffer命令用来显示缓存的RADIUS停止计费请求报文的相关信息。
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
radius-scheme radius-scheme-name:表示指定RADIUS方案的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串,不区分大小写。
session-id session-id:表示指定会话的停止计费请求报文。其中,session-id表示会话ID,为1~64个字符的字符串,不包含字母。会话ID用于唯一标识当前的在线用户。
time-range start-time end-time:表示指定时间段内发送且被缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间,end-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:表示指定用户的停止计费请求报文。其中,user-name表示用户名,为1~255个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致。
【举例】
# 显示缓存的用户名为abc的RADIUS停止计费请求报文的相关信息。
<Sysname> display stop-accounting-buffer user-name abc
Total entries: 2
Scheme Session ID Username First sending time Attempts
rad1 1000326232325010 abc 23:27:16-08/31/2015 19
aaa 1000326232326010 abc 23:33:01-08/31/2015 20
表1-6 display stop-accounting-buffer命令显示信息描述表
Total entries: 2 |
共有两条记录匹配 |
Scheme |
RADIUS方案名 |
Session ID |
会话ID |
Username |
用户名 |
First sending time |
首次发送停止计费请求的时间 |
Attempts |
发起停止计费请求的次数 |
【相关命令】
· reset stop-accounting-buffer (for RADIUS)
· retry
· retry stop-accounting (for RADIUS)
· stop-accounting-buffer enable (RADIUS scheme view)
· user-name-format (RADIUS scheme view)
key命令用来配置RADIUS报文的共享密钥。
undo key命令用来删除RADIUS报文的共享密钥。
key { accounting | authentication } { cipher | simple } string
undo key { accounting | authentication }
RADIUS方案视图
accounting:指定RADIUS计费报文的共享密钥。
authentication:指定RADIUS认证报文的共享密钥。
cipher:表示以密文方式设置共享密钥。
simple:表示以明文方式设置共享密钥。
string:设置的明文密钥或密文密钥,区分大小写。非FIPS模式下,明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串;FIPS模式下,明文密钥为15~64个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~117个字符的字符串。
· 设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。
· 必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 将RADIUS方案radius1的计费报文的共享密钥设置为明文ok。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting simple ok
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。
undo nas-ip命令用来删除指定的源IP地址。
nas-ip { ipv4-address | ipv6 ipv6-address }
使用系统视图下由命令radius nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送RADIUS报文的接口的主IP地址。
RADIUS方案视图
ipv4-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
· RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
· 指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用Loopback接口地址。
· 如果重复执行此命令,新配置的IPv4/IPv6源地址会覆盖原有的IPv4/IPv6源地址。
# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 10.1.1.1
port命令用来指定RADIUS DAE服务端口。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
RADIUS DAE服务端口为3799。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
【参数】
port-number:DAE服务器接收DAE请求消息的UDP端口,取值范围为1~65535。
【使用指导】
通常RADIUS DAE客户端使用UDP 3799作为发送DAE报文的目的端口,因此不需要修改设备上的RADIUS DAE服务端口。若要修改,必须保证设备上的RADIUS DAE服务端口与RADIUS DAE客户端发送DAE报文的目的UDP端口一致。
【举例】
# 开启RADIUS DAE服务后,指定DAE服务端口为3790。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] port 3790
【相关命令】
· client
· radius dynamic-author server
primary accounting命令用来配置主RADIUS计费服务器。
undo primary accounting命令用来删除设置的主RADIUS计费服务器。
未配置主RADIUS计费服务器。
RADIUS方案视图
host-name:主RADIUS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。
port-number:主RADIUS计费服务器的UDP端口号,缺省为1813,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。
key { cipher | simple } string:与主RADIUS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~117个字符的密文字符串,区分大小写;FIPS模式下,string为15~117个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~64个字符的明文字符串,区分大小写;FIPS模式下,string为15~64个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
vpn-instance vpn-instance-name:主RADIUS计费服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主RADIUS计费服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多。
在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号和VPN参数不能完全相同。
设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用key accounting命令设置的共享密钥。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级。
当RADIUS服务器负载分担功能处于关闭状态时,如果计费开始请求过程中使用本命令修改或删除了正在使用的主计费服务器,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;当RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信。
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地,这将造成对用户计费的不准确。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文123456TESTacct&!。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!
· algorithm loading-share enable
· display radius scheme
· vpn-instance (RADIUS scheme view)
primary authentication命令用来配置主RADIUS认证服务器。
undo primary authentication命令用来删除设置的主RADIUS认证服务器。
未配置RADIUS主认证服务器。
RADIUS方案视图
host-name:主RADIUS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS认证服务器的IPv6地址。
port-number:主RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省为1812。此端口号必须与服务器提供认证服务的端口号保持一致。
key { cipher | simple } string:与主RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~117个字符的密文字符串,区分大小写; FIPS模式下,string为15~117个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~64个字符的明文字符串,区分大小写;FIPS模式下,string为15~64个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
test-profile profile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:主RADIUS认证服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主RADIUS认证服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多。
在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号和VPN参数不能完全相同。
设备与主认证服务器通信时优先使用本命令设置的共享密钥,如果本命令中未设置,则使用key authenticaiton命令设置的共享密钥。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。
当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中使用本命令修改或删除了正在使用的主认证服务器,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;当RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 设置RADIUS方案radius1的主认证服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务,认证报文的共享密钥为明文123456TESTauth&!。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!
· algorithm loading-share enable
· display radius scheme
· radius-server test-profile
· vpn-instance (RADIUS scheme view)
radius dynamic-author server命令用来开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
undo radius dynamic-author server命令用来关闭RADIUS DAE服务。
【命令】
radius dynamic-author server
undo radius dynamic-author server
【缺省情况】
RADIUS DAE服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启RADIUS DAE服务后,设备将默认开启UDP端口3799,并能够接收指定的RADIUS DAE客户端发送的DAE请求消息,然后根据请求消息进行用户授权信息的修改或断开用户连接请求。
【举例】
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server]
【相关命令】
· client
· port
radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。
undo radius nas-ip命令用来删除指定的源地址。
radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
不指定源地址,即以发送报文的接口的主IP地址作为源地址。
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IPv4/IPv6地址所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
· 系统最多允许指定16个源地址,其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为IPv4或IPv6私网源地址。新配置的IPv4/IPv6公网源地址会覆盖原有的IPv4/IPv6公网源地址。而且,对于同一个VPN,最多只能指定一个IPv4私网源地址和一个IPv6私网源地址。
· 为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
· RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。
[Sysname] radius nas-ip 129.10.10.1
radius scheme命令用来创建RADIUS方案,并进入RADIUS方案视图。
undo radius scheme命令用来删除指定的RADIUS方案。
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
空配置启动时,使用软件功能缺省值,不存在任何RADIUS方案。
缺省配置启动时,使用软件功能出厂值,存在一个名称为system的RADIUS方案。
关于空配置启动和缺省配置启动,请参见“基础配置指导”中的“配置文件管理”。
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。
一个RADIUS方案可以同时被多个ISP域引用。
系统最多支持配置16个RADIUS方案。
# 创建名为radius1的RADIUS方案并进入其视图。
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
radius session-control enable命令用来使能RADIUS session control功能,即打开知名UDP端口1812。
undo radius session-control enable命令恢复缺省情况。
undo radius session-control enable
RADIUS session control功能处于关闭状态,即知名UDP端口1812处于关闭状态。
H3C的IMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。使能RADIUS session control功能后,设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。
需要注意的是,该功能仅能和H3C IMC的RADIUS服务器配合使用。
# 使能RADIUS session control功能。
[Sysname] radius session-control enable
radius-server test-profile命令用来配置RADIUS服务器探测模板。
undo radius-server test-profile命令用来删除指定的RADIUS服务器探测模板。
【命令】
radius-server test-profile profile-name username name [ password { cipher | simple } string ] [ interval interval ]
undo radius-server test-profile profile-name
【缺省情况】
不存在RADIUS服务器探测模板。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:探测模板名称,为1~31个字符的字符串,区分大小写。
username name:探测报文中的用户名,为1~253个字符的字符串,区分大小写。
password:探测报文中的用户密码。若不指定该参数,则表示探测报文中携带的用户密码为设备生成的随机密码。为避免携带随机密码的探测报文被RADIUS服务器判定为攻击报文,建议指定用户密码。
cipher:以密文方式设置用户密码。
simple:以明文方式设置用户密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串。
interval interval:发送探测报文的周期,取值范围为1~3600,单位为分钟,缺省值为60。
【使用指导】
系统支持配置多个RADIUS服务器探测模板。
RADIUS方案视图下的RADIUS服务器配置成功引用了某探测模板后,若被引用的探测模板不存在,则暂不启动探测功能。之后,当该探测模板被成功配置时,针对该服务器的探测过程将会立即开始。
删除一个RADIUS服务器探测模板时,引用该探测模板的所有RADIUS方案中的RADIUS服务器的探测功能也会被关闭。
【举例】
# 配置RADIUS服务器探测模板abc,探测报文中携带的用户名为admin,密码为明文123,探测报文的发送间隔为10分钟。
<Sysname> system-view
[Sysname] radius-server test-profile abc username admin password simple 123 interval 10
【相关命令】
· primary authentication (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
reset radius statistics命令用来清除RADIUS协议的统计信息。
# 清除RADIUS协议的统计信息。
<Sysname> reset radius statistics
reset stop-accounting-buffer命令用来清除缓存的RADIUS停止计费请求报文。
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
radius-scheme radius-scheme-name:表示指定RADIUS方案的停止计费响应报文。其中,radius-scheme-name为RAIUDS方案名,为1~32个字符的字符串,不区分大小写。
session-id session-id:表示指定会话的停止计费响应报文。其中,session-id表示会话ID,为1~64个字符的字符串,不包含字母。会话ID用于唯一标识当前的在线用户。
time-range start-time end-time:表示指定时间段内发送且被缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;end-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:表示指定用户名的停止计费响应报文。其中,user-name表示用户名,为1~255个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。
【举例】
# 清除缓存的用户user0001@test的RADIUS停止计费请求报文。
<Sysname> reset stop-accounting-buffer user-name user0001@test
# 清除从2015年8月31日0点0分0秒到2015年8月31日23点59分59秒期间内缓存的停止计费请求报文。
<Sysname> reset stop-accounting-buffer time-range 00:00:00-08/31/2015 23:59:59-08/31/2015
【相关命令】
· display stop-accounting-buffer (for RADIUS)
· stop-accounting-buffer enable (RADIUS scheme view)
retry命令用来设置发送RADIUS报文的最大尝试次数,即如果某RADIUS服务器在指定的时间内未响应或未及时响应设备发送的RAIUDS报文,设备尝试向该服务器发送RADIUS报文的最大次数。
undo retry命令用来恢复缺省情况。
发送RADIUS报文的最大尝试次数为3次。
RADIUS方案视图
retry-times:发送RAIUDS报文的最大尝试次数,取值范围为1~20。
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内(由timer response-timeout命令配置)没有收到RADIUS服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数已达到最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败。
发送RADIUS报文的最大尝试次数与RADIUS服务器应答超时时间的乘积不能超过300秒。
# 设置在RADIUS方案radius1下,发送RAIUDS报文的最大尝试次数为5次。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
retry realtime-accounting命令用来设置允许发起实时计费请求的最大尝试次数。
undo retry realtime-accounting命令用来恢复缺省情况。
retry realtime-accounting retry-times
undo retry realtime-accounting
设备最多允许5次实时计费请求无响应,之后将切断用户连接。
RADIUS方案视图
retry-times:允许发起实时计费请求的最大尝试次数,取值范围为1~255。
RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,尽量保持设备端与RADIUS服务器同步切断用户连接。设备提供对实时计费请求连续无响应次数限制的设置,保证设备尽可能得在RADIUS服务器的连接超时时长内向RADIUS服务器尝试发出实时计费请求。如果设备没有收到响应的次数超过了设定的限度,才会切断用户连接。
假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费无响应的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。
# 设置RADIUS方案radius1最多允许10次实时计费请求无响应。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
retry stop-accounting命令用来设置发起RADIUS停止计费请求的最大尝试次数。
undo retry stop-accounting命令用来恢复缺省情况。
【命令】
retry stop-accounting retries
undo retry stop-accounting
【缺省情况】
发起RADIUS停止计费请求的最大尝试次数为500。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
【参数】
retries:允许停止计费请求无响应的最大次数,取值范围为10~65535。
【使用指导】
设备通过发起RADIUS停止计费请求的最大尝试次数与其它相关参数一起控制停止计费请求报文的发送。假设存在如下配置:
· RADIUS服务器的应答超时时长(由timer response-timeout命令设置)为3秒;
· 发送RADIUS报文的最大尝试次数(由retry命令设置)为5;
· 开启了对无响应的RADIUS停止计费请求报文的缓存功能;
· 设备发起停止计费请求的最大尝试次数为20(由retry stop-accounting命令设置)。
则,如果设备发送停止计费请求报文后的3秒内得不到服务器响应就重新发送该报文。如果设备发送5次之后仍然没有得到响应,会将该报文缓存在本机上,然后再发起一轮停止计费请求。20次请求尝试均失败以后,设备将缓存的报文丢弃。
【举例】
# 在RADIUS方案radius1中,设置发起RADIUS停止计费请求的最大尝试次数为1000。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry stop-accounting 1000
【相关命令】
· display stop-accounting-buffer (for RADIUS)
· retry
· timer response-timeout (RADIUS scheme view)
secondary accounting命令用来配置从RADIUS计费服务器。
undo secondary accounting命令用来删除指定的从RADIUS计费服务器。
未配置从RADIUS计费服务器
RADIUS方案视图
host-name:从RADIUS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。
port-number:从RADIUS计费服务器的UDP端口号,缺省为1813,取值范围为1~65535。此端口号必须与服务器提供计费服务的端口号保持一致。
key { cipher | simple } string:与从RADIUS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~117个字符的密文字符串,区分大小写;FIPS模式下,string为15~117个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~64个字符的明文字符串,区分大小写;FIPS模式下,string为15~64个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
vpn-instance vpn-instance-name:从RADIUS计费服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从RADIUS计费服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多。
可通过多次执行本命令,配置多个从RADIUS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。
· 在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从计费服务器的主机名、IP地址、端口号和VPN参数也不能完全相同。
· 设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting命令设置的共享密钥。
· 若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。
· 当RADIUS服务器负载分担功能处于关闭状态时,如果在发送计费开始请求过程中使用本命令删除了正在使用的从服务器,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信。
· 如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 设置RADIUS方案radius1的从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
# 设置RADIUS方案radius2的从计费服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1813提供RADIUS计费服务。
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813
[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813
· algorithm loading-share enable
· display radius scheme
· vpn-instance (RADIUS scheme view)
secondary authentication命令用来配置从RADIUS认证服务器。
undo secondary authentication命令用来删除指定的从RADIUS认证服务器。
未配置从RADIUS认证服务器。
RADIUS方案视图
host-name:从RADIUS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS认证服务器的IPv6地址。
port-number:从RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省为1812。此端口号必须与服务器提供认证服务的端口号保持一致。
key { cipher | simple } string:与从RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~117个字符的密文字符串,区分大小写;FIPS模式下,string为15~117个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~64个字符的明文字符串,区分大小写;FIPS模式下,string为15~64个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
test-profile profile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:从RADIUS认证服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从RADIUS认证服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多。
可通过多次执行本命令,配置多个从RADIUS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS认证服务器。
· 在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从认证服务器的主机名、IP地址、端口号和VPN参数也不能完全相同。
· 设备与从认证服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authentication命令设置的共享密钥。
· 若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。
· 当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中使用本命令删除了正在使用的从服务器,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 设置RADIUS方案radius1的从认证服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
# 设置RADIUS方案radius2的从认证服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1812提供RADIUS认证/授权服务。
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812
[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812
· algorithm loading-share enable
· display radius scheme
· radius-server test-profile
· vpn-instance (RADIUS scheme view)
security-policy-server命令用来指定安全策略服务器。
undo security-policy-server命令用来删除指定的安全策略服务器。
security-policy-server { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
RADIUS方案视图
ipv4-address:安全策略服务器IPv4地址。
ipv6 ipv6-address:安全策略服务器的IPv6地址。
vpn-instance vpn-instance-name:安全策略服务器所属的VPN的实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示安全策略服务器属于公网。
all:所有安全策略服务器。
一个RADIUS方案中最多可以指定8个安全策略服务器。
# 指定RADIUS方案radius1的安全策略服务器IP地址为10.110.1.2。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] security-policy-server 10.110.1.2
snmp-agent trap enable radius命令用来开启RADIUS的Trap功能。
undo snmp-agent trap enable radius命令用来关闭指定的RADIUS Trap功能。
所有类型的RADIUS Trap功能处于关闭状态。
accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息。
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息。
authentication-error-threshold:表示认证失败次数超过阈值时发送告警信息。该阈值为认证失败次数占认证请求总数的百分比数值,目前仅能通过MIB方式配置,取值范围为1~100,缺省为30。
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息。
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息。
不指定可选参数时,表示开启/关闭所有类型的RADIUS Trap开关。
开启RADIUS服务器可达状态改变时的Trap功能后,告警信息的发送包括以下两种情况:
· 当NAS向RADIUS服务器发送计费或认证请求没有收到响应时,会重传请求,当重传次数达到最大传送次数时仍然没有收到响应时,NAS认为该服务器不可达,并发送表示RADIUS服务器不可达的告警信息。
· 当timer quiet定时器设定的时间到达后,NAS将服务器的状态置为激活状态并发送表示RADIUS服务器可达的告警信息。
· 当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送表示认证失败次数超过阈值的告警信息。
开启认证失败次数超过阈值时的Trap功能后,当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送表示认证失败次数超过阈值的告警信息。
# 开启RADIUS计费服务器可达状态变为down时的Trap功能。
[Sysname] snmp-agent trap enable radius accounting-server-down
state primary命令用来设置主RADIUS服务器的状态。
state primary { accounting | authentication } { active | block }
RADIUS方案中配置了IP地址的主RADIUS服务器状态为active。
RADIUS方案视图
accounting:设置主RADIUS计费服务器的状态。
authentication:设置主RADIUS认证服务器的状态。
active:设置主RADIUS服务器的状态为active,即处于正常工作状态。
block:设置主RADIUS服务器的状态为block,即处于通信中断状态。
当RADIUS服务器负载分担功能处于关闭状态时,每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态置为block,同时启动主服务器的timer quiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器。在timer quiet定时器设定的时间到达之后,主服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。
当RADIUS服务器负载分担功能处于开启状态时,设备仅根据当前各服务器承载的用户负荷调度状态为active的服务器发送认证或计费请求。
如果主服务器与所有从服务器状态都是block,则认证或计费失败。
认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active,且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能。
# 将RADIUS方案radius1的主认证服务器的状态设置为block。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state primary authentication block
· algorithm loading-share enable
· display radius scheme
· radius-server test-profile
state secondary命令用来设置从RADIUS服务器的状态。
RADIUS方案中配置了IP地址的各从RADIUS服务器状态为active。
RADIUS方案视图
host-name:从RADIUS服务器的主机名,为1~253个字符的字符串,不区分大小写。
accounting:设置从RADIUS计费服务器的状态。
authentication:设置从RADIUS认证服务器的状态。
ipv4-address:指定从RADIUS服务器的IPv4地址。
ipv6 ipv6-address:指定从RADIUS服务器的IPv6地址。
port-number:指定从RADIUS服务器的UDP端口号,取值范围为1~65535,从RADIUS计费服务器的缺省UDP端口号为1813,从RADIUS认证服务器的缺省UDP端口号为1812。
vpn-instance vpn-instance-name:从RADIUS服务器所属的VPN。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。
active:设置从RADIUS服务器的状态为active,即处于正常工作状态。
block:设置从RADIUS服务器的状态为block,即处于通信中断状态。
如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从认证服务器或从计费服务器的状态。
当RADIUS服务器负载分担功能处于关闭状态时,如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timer quiet定时器,并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后,从服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达,则本次认证或计费失败。
当RADIUS服务器负载分担功能处于开启状态时,设备仅根据当前各服务器承载的用户负荷调度状态为active的服务器发送认证或计费请求。
认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active,且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能。
# 将RADIUS方案radius1的从认证服务器的状态设置为block。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication block
· algorithm loading-share enable
· display radius scheme
· radius-server test-profile
stop-accounting-buffer enable命令用来开启对无响应的RADIUS停止计费请求报文的缓存功能。
undo stop-accounting-buffer enable命令用来关闭对无响应的RADIUS停止计费请求报文的缓存功能。
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【缺省情况】
设备缓存未得到响应的RADIUS停止计费请求报文。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
【使用指导】
设备在发送停止计费请求报文而RADIUS服务器没有响应时,会尝试重传该报文,最大尝试次数由retry命令设置。如果设备发送该RADIUS报文的最大尝试次数超过最大值后,仍然没有得到响应,则该功能处于开启状态的情况下设备会缓存该报文,然后再发起一次请求,若仍然未得到响应,则重复上述过程,一定次数(由retry stop-accounting命令设置)之后,设备将其丢弃。
如果RADIUS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费请求报文。
【举例】
# 开启对无响应的RADIUS停止计费请求报文的缓存功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-buffer enable
【相关命令】
· display stop-accounting-buffer (for RADIUS)
· reset stop-accounting-buffer (for RADIUS)
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
RADIUS方案视图
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
建议根据配置的从服务器数量合理设置服务器恢复激活状态的时间。如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。
# 设置服务器恢复激活状态的时间为10分钟。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer quiet 10
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
timer realtime-accounting minutes
undo timer realtime-accounting
实时计费的时间间隔为12分钟。
RADIUS方案视图
minutes:实时计费的时间间隔,取值范围为0~60。
为了对用户实施实时计费,有必要设置实时计费的时间间隔。不同的取值的处理有所不同:
· 若实时计费间隔不为0,则每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。
· 若实时计费间隔设置为0,且服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息。
实时计费间隔的取值与RADIUS服务器的性能和用户的数目有一定关系。取值小,会增加网络中的数据流量,对设备和RADIUS服务器的性能要求就高;取值大,会影响计费的准确性。因此要结合网络的实际情况合理设置计费间隔。一般情况下,建议当用户量比较大(大于等于1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系。
1~99 |
|
100~499 |
|
500~999 |
|
# 将RADIUS方案radius1的实时计费的时间间隔设置为51分钟。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
timer response-timeout命令用来设置RADIUS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
timer response-timeout seconds
RADIUS服务器响应超时时间为3秒。
RADIUS方案视图
seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒。
如果在RADIUS请求报文传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时间,本命令用于调整这个时间。
需要注意的是,发送RADIUS报文的最大尝试次数与RADIUS服务器响应超时时间的乘积不能超过300秒。
# 将RADIUS方案radius1的服务器响应超时时间设置为5秒。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
user-name-format { keep-original | with-domain | without-domain }
空配置启动时,使用软件功能缺省值,设备发送给RADIUS服务器的用户名携带有ISP域名。
缺省配置启动时,使用软件功能出厂值,存在一个名称为system的RADIUS方案,该方案中设备发送给RADIUS服务器的用户名不携带有ISP域名。
关于空配置启动和缺省配置启动,请参见“基础配置指导”中的“配置文件管理”。
RADIUS方案视图
keep-original:发送给RADIUS服务器的用户名与用户的输入保持一致。
with-domain:发送给RADIUS服务器的用户名带ISP域名。
without-domain:发送给RADIUS服务器的用户名不带ISP域名。
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
需要注意的是:如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
vpn-instance命令用来配置RADIUS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
vpn-instance vpn-instance-name
RADIUS方案属于公网。
RADIUS方案视图
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
本命令配置的VPN对于该方案下的所有RADIUS认证/计费服务器生效,但设备优先使用配置RADIUS认证/计费服务器时为各服务器单独指定的VPN。
# 配置RADIUS方案radius1所属的VPN为test。
[Sysname] radius scheme radius1
[Sysname-radius-radius1] vpn-instance test
data-flow-format命令用来配置发送到HWTACACS服务器的数据流的单位。
undo data-flow-format命令用来恢复缺省情况。
undo data-flow-format { data | packet }
数据流的单位为byte,数据包的单位为one-packet。
HWTACACS方案视图
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费。
# 在HWTACACS方案radius1中,设置发往HWTACACS服务器的数据流的数据单位为kilo-byte、数据包的单位为kilo-packet。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
display hwtacacs scheme命令用来查看HWTACACS方案的配置信息或HWTACACS服务相关的统计信息。
display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]
hwtacacs-scheme-name:显示指定的HWTACACS的配置或统计信息。hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
statistics:显示HWTACACS服务相关的统计信息。不指定该参数,则显示HWTACACS方案的配置信息。
如果不指定HWTACACS方案名,则显示所有HWTACACS方案的配置信息。
# 查看所有HWTACACS方案的配置情况。
<Sysname> display hwtacacs scheme
Total 2 TACACS schemes
------------------------------------------------------------------
HWTACACS Scheme Name : tac
Index : 0
Primary Auth Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: Not configured
Single-connection: Disabled
Primary Author Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: Not configured
Single-connection: Disabled
Primary Acct Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: Not configured
Single-connection: Disabled
VPN Instance : Not configured
NAS IP Address : Not configured
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Stop-accounting packets buffering : Enabled
Retransmittion times : 100
Response Timeout Interval(seconds) : 5
Username Format : without-domain
------------------------------------------------------------------
HWTACACS Scheme Name : tac2
Index : 1
Primary Auth Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: 1
Single-connection: Disabled
Primary Author Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: 1
Single-connection: Disabled
Primary Acct Server:
Host name: tacacs.com
IP : 82.0.0.37 Port: 49 State: Active
VPN Instance: 1
Single-connection: Disabled
VPN Instance : Not configured
NAS IP Address : Not configured
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Stop-accounting packets buffering : Enabled
Retransmittion times : 100
Response Timeout Interval(seconds) : 5
Username Format : without-domain
表1-8 display hwtacacs scheme命令显示信息描述表
共计1个HWTACACS方案 |
|
HWTACACS方案的名称 |
|
HWTACACS方案的索引号 |
|
主HWTACACS认证服务器 |
|
主HWTACACS授权服务器 |
|
主HWTACACS计费服务器 |
|
从HWTACACS认证服务器 |
|
从HWTACACS授权服务器 |
|
从HWTACACS计费服务器 |
|
HWTACACS服务器的主机名 |
|
HWTACACS服务器的IP地址 |
|
HWTACACS服务器的端口号 |
|
· Enabled:使用一条TCP连接与服务器通信 · Disabled:每次新建TCP连接与服务器通信 |
|
HWTACACS服务器目前状态 · Active:激活状态 · Block:静默状态 |
|
HWTACACS服务器所在的VPN |
|
HWTACACS方案所属的VPN名称 |
|
发送HWTACACS报文的源IP地址 |
|
主HWTACACS服务器恢复激活状态的时间(分钟) |
|
实时HWTACACS计费更新报文的发送间隔(分钟) |
|
Stop-accounting packets buffering |
HWTACACS停止计费请求报文缓存功能的开启情况 |
Retransmittion times |
发起HWTACACS停止计费请求的最大尝试次数 |
HWTACACS服务器超时时间(秒) |
|
· with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
display stop-accounting-buffer命令用来显示缓存的HWTACACS停止计费请求报文的相关信息。
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
hwtacacs-scheme hwtacacs-scheme-name:表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【举例】
# 显示HWTACACS方案hwt1缓存的HWTACACS停止计费请求报文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1
Total entries: 2
Scheme IP address Username First sending time Attempts
hwt1 192.168.100.1 abc 23:27:16-08/31/2015 19
hwt1 192.168.90.6 bob 23:33:01-08/31/2015 20
表1-9 display stop-accounting-buffer命令显示信息描述表
字段 |
描述 |
Total entries: 2 |
共有两条记录匹配 |
Scheme |
HWTACACS方案名 |
IP address |
用户IP地址 |
Username |
用户名 |
First sending time |
首次发送停止计费请求的时间 |
Attempts |
发送停止计费请求报文的次数 |
【相关命令】
· retry stop-accounting (HWTACACS scheme view)
· reset stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
· user-name-format (HWTACACS scheme view)
hwtacacs nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。
undo hwtacacs nas-ip命令用来删除指定的源地址。
hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
未指定源地址,即以发送报文的接口的主IP地址作为源地址。
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IP地址所属的VPN。MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证、授权和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
· 系统最多允许指定16个源地址,其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为IPv4或IPv6私网源地址。新配置的IPv4/IPv6公网源地址会覆盖原有的IPv4/IPv6公网源地址。而且,对于同一个VPN,最多只能指定一个IPv4私网源地址和一个IPv6私网源地址,新配置会覆盖原有配置。
· HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
# 配置设备发送HWTACACS报文使用的源地址为129.10.10.1。
[Sysname] hwtacacs nas-ip 129.10.10.1
hwtacacs scheme命令用来创建HWTACACS方案,并进入HWTACACS方案视图。
undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。
一个HWTACACS方案可以同时被多个ISP域引用。
最多可以配置16个HWTACACS方案。
# 创建名为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。
undo key命令用来删除配置。
key { accounting | authentication | authorization } { cipher | simple } string
undo key { accounting | authentication | authorization }
HWTACACS方案视图
accounting:指定HWTACACS计费报文的共享密钥。
authentication:指定HWTACACS认证报文的共享密钥。
authorization:指定HWTACACS授权报文的共享密钥。
cipher:表示以密文方式设置共享密钥。
simple:表示以明文方式设置共享密钥。
key:设置的明文密钥或密文密钥,区分大小写。非FIPS模式下,明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串;FIPS模式下,明文密钥为15~255个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~373个字符的字符串。
必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
# 配置HWTACACS认证报文共享密钥为明文123456TESTauth&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!
# 配置HWTACACS授权报文共享密钥为明文123456TESTautr&!。
[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!
# 配置HWTACACS计费报文共享密钥为明文123456TESTacct&!。
[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!
nas-ip命令用来指定设备发送HWTACACS报文使用的源IP地址。
undo nas-ip命令用来删除指定的源IP地址。
nas-ip { ipv4-address | ipv6 ipv6-address }
使用系统视图下由命令hwtacacs nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送HWTACACS报文的接口的主IP地址。
HWTACACS方案视图
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权、计费请求。
· 为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
· HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
· 如果重复执行此命令,新配置的IPv4/IPv6源地址会覆盖原有的IPv4/IPv6源地址。
# 为HWTACACS方案hwt1配置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
primary accounting命令用来配置主HWTACACS计费服务器。
undo primary accounting命令用来删除配置的主HWTACACS计费服务器。
未配置HWTACACS主计费服务器。
HWTACACS方案视图
host-name:主HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS计费服务器的IPv6地址。
port-number:主HWTACACS计费服务器的TCP端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供计费服务的端口号保持一致。
key { cipher | simple } string:与主HWTACACS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写;FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS计费服务器所属的VPN。MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS计费服务器位于公网中。
在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号和VPN参数不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
[Sysname] hwtacacs scheme test1
[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!
· vpn-instance (HWTACACS scheme view)
primary authentication命令用来配置主HWTACACS认证服务器。
undo primary authentication命令用来删除配置的主HWTACACS认证服务器
未配置主HWTACACS认证服务器。
HWTACACS方案视图
host-name:主HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS认证服务器的IPv6地址。
port-number:主HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供认证服务的端口号保持一致。
key { cipher | simple } string:与主HWTACACS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写;FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与主HWTACACS认证服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示向主HWTACACS计费服务器发送计费报文都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS认证服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS认证服务器位于公网中。
在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号和VPN参数不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!
· vpn-instance (HWTACACS scheme view)
primary authorization命令用来配置主HWTACACS授权服务器。
undo primary authorization命令用来删除配置的主HWTACACS授权服务器。
未配置主HWTACACS授权服务器。
HWTACACS方案视图
host-name:主HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS授权服务器的IPv6地址。
port-number:主HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供授权服务的端口号保持一致。
key { cipher | simple } string:与主HWTACACS授权服务器交互的授权报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写; FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS授权服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS授权服务器位于公网中。
在同一个方案中指定的主授权服务器和从授权服务器的主机名、IP地址、端口号和VPN参数不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
当主机名解析出IPv4和IPv6地址时,优先使用IPv4地址作为服务器IP地址。
# 配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!
· vpn-instance (HWTACACS scheme view)
reset stop-accounting-buffer命令用来清除缓存的HWTACACS停止计费请求报文。
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:表示指定HWTACACS方案的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【举例】
# 清除缓存的HWTACACS方案hwt1的HWTACACS停止计费请求报文。
<Sysname> reset stop-accounting-buffer hwtacacs scheme hwt1
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
retry stop-accounting命令用来设置发起HWTACACS停止计费请求的最大尝试次数。
undo retry stop-accounting命令用来恢复缺省情况。
【命令】
retry stop-accounting retries
undo retry stop-accounting
【缺省情况】
发起HWTACACS停止计费请求的最大尝试次数为100。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
retries:允许停止计费请求无响应的最大次数,取值范围为1~300。
【使用指导】
设备发送HWTACACS停止计费请求报文无响应后,将会缓存该报文并尝试重复发送该报文,当发送的停止计费请求总数达到指定的最大尝试次数之后仍未得到响应时,将其丢弃。
【举例】
# 在HWTACACS方案hwt1中,设置发起HWTACACS停止计费请求的最大尝试次数为300。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 300
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· timer response-timeout (HWTACACS scheme view)
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
reset hwtacacs statistics { accounting | all | authentication | authorization }
accounting:清除HWTACACS协议关于计费的统计信息。
all:清除HWTACACS的所有统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
secondary accounting命令用来配置从HWTACACS计费服务器。
undo secondary accounting命令用来删除指定的从HWTACACS计费服务器。
未配置从HWTACACS计费服务器。
HWTACACS方案视图
host-name:从HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS计费服务器的IPv6地址
port-number:从HWTACACS计费服务器的端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供计费服务的端口号保持一致。
key { cipher | simple } string:与从HWTACACS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写;FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS计费服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS计费服务器位于公网中。
可通过多次执行本命令,配置多个从HWTACACS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器。
· 如果不指定任何参数,则undo命令将删除所有从计费服务器。
· 在同一个方案中指定的主计费服务器和从计费服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从计费服务器的主机名、IP地址、端口号和VPN参数也不能完全相同。
· 若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
· 只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
· 配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
# 配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!
· vpn-instance (HWTACACS scheme view)
secondary authentication命令用来配置从HWTACACS认证服务器。
undo secondary authentication命令用来删除指定的从HWTACACS认证服务器。
未配置从HWTACACS认证服务器。
HWTACACS方案视图
host-name:从HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS认证服务器的IPv6地址。
port-number:从HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。此端口号必须与服务器提供认证服务的端口号保持一致。
key { cipher | simple } string:与从HWTACACS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,string为1~373个字符的密文字符串,区分大小写;FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,string为1~255个字符的明文字符串,区分大小写;FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS认证服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS服务器位于公网中。
可通过多次执行本命令,配置多个从HWTACACS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器。
· 如果不指定任何参数,则undo命令命令将删除所有从认证服务器。
· 在同一个方案中指定的主认证服务器和从认证服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从认证服务器的主机名、IP地址、端口号和VPN参数也不能完全相同。
· 若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
· 只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
· 配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
# 配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!
· vpn-instance (HWTACACS scheme view)
secondary authorization命令用来配置从HWTACACS授权服务器。
undo secondary authorization命令用来删除指定的从HWTACACS授权服务器。
未配置从HWTACACS授权服务器。
HWTACACS方案视图
host-name:从HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS授权服务器的IPv6地址。
port-number:从HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省为49。此端口号必须与服务器提供授权服务的端口号保持一致。
key { cipher | simple } string:与从HWTACACS授权服务器交互的授权报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
· cipher string:以密文方式设置共享密钥。非FIPS模式下,为1~373个字符的密文字符串,区分大小写; FIPS模式下,string为15~373个字符的密文字符串,区分大小写。
· simple string:以明文方式设置共享密钥。非FIPS模式下,为1~255个字符的明文字符串,区分大小写, FIPS模式下,string为15~255个字符的明文字符串,区分大小写,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符)。
single-connection:所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS授权服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS授权服务器位于公网中。
可通过多次执行本命令,配置多个从HWTACACS授权服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器。
· 如果不指定任何参数,则undo命令将删除所有从授权服务器。
· 在同一个方案中指定的主授权服务器和从授权服务器的主机名、IP地址、端口号和VPN参数不能完全相同,并且各从授权服务器的主机名、IP地址、端口号和VPN参数也不能完全相同。
· 若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例名称。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
· 只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
· 以明文或密文方式设置的共享密钥,均以密文的方式保存在配置文件中。
· 配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
# 配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!
· vpn-instance (HWTACACS scheme view)
stop-accounting-buffer enable命令用来开启对无响应的HWTACACS停止计费请求报文的缓存功能。
undo stop-accounting-buffer enable命令用来关闭对无响应的HWTACACS停止计费请求报文的缓存功能。
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【缺省情况】
设备缓存未得到响应的HWTACACS计费请求报文。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【使用指导】
开启对无响应的HWTACACS停止计费请求报文的缓存功能后,设备在发送停止计费请求报文而HWTACACS服务器没有响应时,会将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制(由retry stop-accounting命令设置)后将其丢弃。
如果HWTACACS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费报文。
【举例】
# 开启对无响应的HWTACACS停止计费请求报文的缓存功能。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· reset stop-accounting-buffer (for HWTACACS)
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
HWTACACS方案视图
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
# 设置服务器恢复激活状态的时间为10分钟。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
timer realtime-accounting minutes
undo timer realtime-accounting
实时计费的时间间隔为12分钟。
HWTACACS方案视图
minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟。0表示设备不向HWTACACS服务器发送在线用户的计费信息。
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。
实时计费间隔的取值与HWTACACS服务器的性能和用户的数目有一定的关系。取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(大于等于1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系。
1~99 |
|
100~499 |
|
500~999 |
|
# 将HWTACACS方案hwt1的实时计费的时间间隔设置为51分钟。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
timer response-timeout命令用来设置HWTACACS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
timer response-timeout seconds
HWTACACS服务器响应超时时间为5秒。
HWTACACS方案视图
seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒。
由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
# 配置HWTACACS服务器响应超时时间为30秒。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
user-name-format { keep-original | with-domain | without-domain }
设备发送给HWTACACS服务器的用户名携带有ISP域名。
HWTACACS方案视图
keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。
with-domain:发送给HWTACACS服务器的用户名带ISP域名。
without-domain:发送给HWTACACS服务器的用户名不带ISP域名。
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
需要注意的是:如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
# 指定发送给HWTACACS方案hwt1的用户不带ISP域名。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
vpn-instance命令用来配置HWTACACS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
vpn-instance vpn-instance-name
HWTACACS方案属于公网。
HWTACACS方案视图
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效,但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN。
# 配置HWTACACS方案hw1所属的VPN为test。
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] vpn-instance test
authentication-server命令用来指定LDAP认证服务器。
undo authentication-server命令用来删除指定的LDAP认证服务器。
authentication-server server-name
undo authentication-server server-name
未指定LDAP认证服务器。
LDAP方案视图
server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写。该服务器必须已经存在。
一个LDAP方案视图下仅能指定一个LDAP认证服务器,如果重复执行此命令,新的配置将覆盖原来的配置。
# 指定LDAP认证服务器为ccc。
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authentication-server ccc
display ldap scheme命令用来查看LDAP方案的配置信息。
display ldap scheme [ scheme-name ]
scheme-name:指定LDAP方案名,为1~32个字符的字符串,不区分大小写。
如果不指定LDAP方案名,则显示所有LDAP方案的配置信息。
# 查看所有LDAP方案的配置信息。
Total 1 LDAP schemes
------------------------------------------------------------------
LDAP Scheme Name : ldap-sch
Authentication Server : cc
IP : 2.2.2.2
Port : 389
VPN Instance : 2
LDAP Protocol Version : LDAPv2
Server Timeout Interval : 10 (seconds)
Login Account DN : lda
Base DN : ll
Search Scope : single-level
User Searching Parameters:
User Object Class : Not configured
Username Attribute : cn
Username Format : with-domain
------------------------------------------------------------------
表1-11 display ldap scheme命令显示信息描述表
总共有1个LDAP方案 |
|
LDAP方案名称 |
|
LDAP认证服务器名称 未配置时,显示为Not configured |
|
LDAP认证服务器的IP地址 未配置认证服务器IP时,IP地址显示为Not configured |
|
LDAP认证服务器的端口号 未配置认证服务器IP时,端口号显示为缺省值 |
|
VPN实例名称 未配置时,显示为Not configured |
|
LDAP协议的版本号(LDAPv2、LDAPv3) |
|
LDAP服务器连接超时时间(单位为秒) |
|
管理员用户的DN |
|
用户DN查询的起始DN |
|
用户DN查询的范围(all-level:所有子目录查询,single-level:下级目录查询) |
|
查询用户DN时使用的用户对象类型 未配置时,显示为Not configured |
|
ip命令用来配置LDAP服务器的IP地址。
undo ip命令用来删除配置的LDAP服务器IP地址。
ip ip-address [ port port-number ] [ vpn-instance vpn-instance-name ]
未配置LDAP服务器的IP地址。
LDAP服务器视图
ip-address:LDAP服务器的IP地址。
port port-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。
vpn-instance vpn-instance-name:LDAP服务器所属的VPN。vpn-instance-name表示MPLS L3VPN实例的名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示LDAP服务器属于公网。
· 需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
· 更改后的服务器IP地址和端口号,只对更改之后进行的LDAP认证生效。
# 配置LDAP服务器的IP地址为192.168.0.10,端口号为4300。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300
ipv6命令用来配置LDAP服务器的IPv6地址。
undo ipv6命令用来删除配置的LDAP服务器IPv6地址。
ipv6 ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ]
缺省情况下,未配置LDAP服务器的IP地址。
LDAP服务器视图
ipv6-address:LDAP服务器的IPv6地址。
port port-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。
vpn-instance vpn-instance-name:LDAP服务器所属的VPN。vpn-instance-name表示MPLS L3VPN实例的名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示LDAP服务器属于公网。
需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
更改后的服务器IP地址和端口号,只对更改之后的LDAP认证生效。
# 配置LDAP服务器的IPv6地址为1:2::3:4,端口号为4300。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300
ldap scheme命令用来创建LDAP方案,并进入LDAP方案视图。
undo ldap scheme命令用来删除指定的LDAP方案。
undo ldap scheme ldap-scheme-name
未定义LDAP方案。
ldap-scheme-name:LDAP方案名,为1~32个字符的字符串,不区分大小写。
一个LDAP方案可以同时被多个ISP域引用。
系统最多支持配置16个LDAP方案。
# 创建名为ldap1的LDAP方案并进入其视图。
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1]
ldap server用来创建LDAP服务器并进入LDAP服务器视图。
undo ldap server命令用来删除配置的LDAP服务器。
不存在LDAP服务器。
server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写。
# 创建LDAP服务器ccc并进入其视图。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc]
login-dn命令用来配置具有管理员权限的用户DN。
undo login-dn命令用来删除已配置的具有管理员权限的用户DN。
LDAP服务器视图
dn-string:具有管理员权限的用户DN,是绑定服务器时使用的用户标识名,为1~255个字符的字符串,不区分大小写。
· 设备上的管理员DN必须与服务器上管理员的DN一致。
· 更改后的管理员DN,只对更改之后的LDAP认证生效。
# 配置管理员权限的用户DN为uid=test, ou=people, o=example, c=city。
[Sysname] ldap server ldap1
[Sysname-ldap-server-ldap1] login-dn uid=test,ou=people,o=example,c=city
login-password命令用来配置LDAP认证中,绑定服务器时所使用的具有管理员权限的用户密码。
undo login-password命令用来恢复缺省情况。
login-password { cipher | simple } password
LDAP服务器视图
cipher:表示以密文方式设置用户密码。
simple:表示以明文方式设置用户密码。
string:设置的明文密码或密文密码,区分大小写。明文密码为1~128个字符的字符串;密文密码为1~201个字符的字符串。
该命令只有在配置了login-dn的情况下生效。当未配置login-dn时,该命令不生效。
以明文或密文方式设置的用户密码,均以密文的方式保存在配置文件中。
# 配置具有管理员权限的用户密码为明文abcdefg。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-password simple abcdefg
protocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号。
undo protocol-version命令用来恢复缺省情况。
LDAP版本号为LDAPv3。
LDAP服务器视图
v2:表示LDAP协议版本号为LDAPv2。
v3:表示LDAP协议版本号为LDAPv3。
为保证LDAP认证成功,请保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致。
Microsoft的LDAP服务器只支持LDAPv3,配置LDAP版本为v2时无效。
# 配置LDAP协议版本号为LDAPv2。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] protocol-version v2
search-base-dn命令用来配置用户查询的起始DN。
undo search-base-dn命令用来恢复缺省情况。
LDAP服务器视图
base-dn:表示查询待认证用户的起始DN。base-dn表示起始DN的值,为1~255个字符的字符串,不区分大小写。
# 配置用户查询的起始DN为dc=ldap,dc=com。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com
search-scope命令用来配置用户查询的范围。
undo search-scope命令用来恢复缺省情况。
search-scope { all-level | single-level }
LDAP服务器视图
all-level:表示在起始DN的所有子目录下进行查询。
single-level:表示只在起始DN的下一级子目录下进行查询。
# 配置在起始DN的所有子目录下查询LDAP认证用户。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-scope all-level
server-timeout命令用来配置LDAP服务器连接超时时间,即认证、授权时等待LDAP服务器回应的最大时间。
undo server-timeout命令用来恢复缺省情况。
LDAP服务器连接超时时间为10秒。
LDAP服务器视图
time-interval:LDAP服务器连接超时时间,取值范围为5~20,单位为秒。
# 配置LDAP服务器连接超时时间为15秒。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] server-timeout 15
user-parameters命令用来配置LDAP用户查询的属性参数,包括用户名属性、用户名格式和自定义用户对象类型。
undo user-parameters命令用来恢复缺省情况。
undo user-parameters { user-name-attribute | user-name-format | user-object-class }
user-name-attribute为cn;user-name-format为without-domain;未指定自定义user-object-class,根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型。
LDAP服务器视图
user-name-attribute { name-attribute | cn | uid }:表示用户名的属性类型。其中,name-attribute表示属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户登录帐号的属性为cn(Common Name);uid表示用户登录帐号的属性为uid(User ID)。
user-name-format { with-domain | without-domain }:表示发送给服务器的用户名格式。其中,with-domain表示发送给服务器的用户名带ISP域名;without-domain表示发送给服务器的用户名不带ISP域名。
user-object-class object-class-name:表示查询用户DN时使用的用户对象类型。其中,object-class-name表示对象类型值,为1~64个字符的字符串,不区分大小写。
如果LDAP服务器上的用户名不包含域名,必须配置user-name-format为without-domain,将用户名的域名去除后再传送给LDAP服务器;如果包含域名则需配置user-name-format为with-domain。
# 配置用户对象类型为person。
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] user-parameters user-object-class person
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!