- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-用户命令
本章节下载: 05-用户命令 (452.15 KB)
目 录
1.1.10 clear user-wechat white-list
1.1.18 display user-recognition
1.2.12 user-policy user-whitelist
1.2.14 user-sms without-awareness
1.2.15 user-webauth without-awareness
1.2.16 user-webauth force-timeout
1.2.18 user-webauth keepalive-timeout
1.2.19 user-webauth login-multi
1.2.20 user-webauth login-single
1.2.21 user-webauth traffic-alive
1.2.24 user-wechat official-acct-name
1.2.29 user-wechat without-awareness
1.2.31 user-wechat flow-pass-time
1.2.32 user-qrcode without-awareness
1.2.33 user-qrcode qrcode-timeout
1.2.34 user-qrcode keepalive-timeout
1.2.35 user-qrcode jump-access-web
1.2.36 user-qrcode jump-auth-web
1.2.37 user-qrcode jump-redirect-web
1.5.9 ldap-auth easy-name-match
1.6.1 imc-server1 (imc-server2)
1.8.2 user-policy listen authentication
alias命令用来配置用户别称,改别称可以在命令行查看。
【命令】
alias name 命令用来创建用户的别名。
no alias 命令用来删除该用户的别名。
【视图】
用户配置视图
【参数】
name :用户的别名。
【使用指导】
alias name是指用户的别名,在实际使用中可以设置为用户的实际姓名或者职位等。
【举例】
HOST# system-view
HOST(config)# user user10
HOST(config-user)# alias nickname
HOST(config-user)# exit
HOST(config)# display user user10
Name: user10
Alias: nickname
Description: 你好
Reference count: 0
User Status: authenticate-need
Authenticate Mode: NONLOCAL
NONLOACAL
【相关命令】
display user
bind exclude ip命令用来创建绑定地址的排除地址。
no bind exclude ip 命令用来删除绑定地址的排除地址。
【命令】
bind exclude ip { address ip-address | range start_ip end_ip | net IPNET }
no bind exclude ip { address ip-address | range start_ip end_ip | net IPNET }
【视图】
用户配置视图
【参数】
ip-address:要排除的地址。
start-ip:排除地址范围的起始地址。
end-ip:排除地址范围的结束地址。
IPNET:排除地址为一个网段,例如:1.1.1.1/24或者1.1.1.1/255.255.255.0。
【使用指导】
排除IP地址可以配置多条,但是条目之间不能有冲突现象。一个用户最多绑定256个IP地址。
【举例】
# 将用户user1绑定到地址范围1.1.1.1-1.1.1.5,并且排除地址1.1.1.4。
host# system-view
host(config)# user user1
host(config)#enable bind
host(config-user)# bind ip range 1.1.1.1 1.1.1.5
host(config-user)# bind exclude ip address 1.1.1.4
【相关命令】
· display user
bind ip命令用来绑定地址或地址范围。
no bind ip命令用来删除地址或地址范围绑定。
【命令】
bind ip { address ip-address | range start_ip end_ip | net IPNET }
no bind ip { address ip-address | range start_ip end_ip | net IPNET }
【视图】
用户配置视图
【参数】
ip-address:要绑定的地址。
start-ip:绑定地址范围的起始地址。
end-ip:绑定地址范围的结束地址。
IPNET:排除地址为一个网段,例如:1.1.1.1/24或者1.1.1.1/255.255.255.0。
【使用指导】
绑定IP地址可以配置多条,但是条目之间不能有冲突现象。一个用户最多绑定256个IP地址。
【举例】
# 将用户user1绑定到地址范围1.1.1.1-1.1.1.5。
host# system-view
host(config)# user user1
host(config)#enable bind
host(config-user)# bind ip range 1.1.1.1 1.1.1.5
【相关命令】
· display user
bind mac address命令用来绑定MAC地址。
no bind mac address命令用来删除绑定的MAC地址。
【命令】
bind mac address HH:HH:HH:HH:HH:HH
no bind mac address HH:HH:HH:HH:HH:HH
【视图】
用户配置视图
【参数】
HH:HH:HH:HH:HH:HH:绑定的mac地址。
【使用指导】
绑定MAC地址可以配置多条,但是条目之间不能有冲突现象。
【举例】
# 将用户user1绑定mac地址00:01:0a:0b:0c:11
host# system-view
host(config)# user user1
host(config)#enable bind
host(config-user)# bind mac address 00:01:0a:0b:0c:11
【相关命令】
· display user
bind-group 命令用于将用户绑定到指定用户组中。
【命令】
bind-group GROUP-NAME
【视图】
用户配置视图
【参数】
GROUP-NAME:用户组路径,格式如:/organization/产品部/资料组。
【使用指导】
该命令用于将用户绑定到指定的用户组中。没有重名用户组的情况下,可以只填写用户组名称,有重名用户组的情况下,必须填写完整路径。
【举例】
HOST# system-view
HOST(config)# user user10
HOST(config-user)# bind-group /organization/产品部/资料组
【相关命令】
user-group
clear user 命令用于清除某一个在线用户。
【命令】
clear user NAME address A.B.C.D time YYYY-MM-DD HH:MM
【视图】
全局视图
【参数】
NAME:用户名称。
A.B.C.D:用户的ip地址。
YYYY-MM-DD HH:MM:用户的上线时间。
【使用指导】
该命令用户清除某一个在线用户。
【举例】
HOST# clear user 192.168.200.36 address 192.168.200.36 time 2019-03-31 12:00
【相关命令】
display user
clear user-policy命令用于清除用户认证策略白名单。
【命令】
clear user-policy { user-whitelist | whitelist}
【视图】
全局视图
【参数】
user-whitelist:清除用户白名单。
whitelist:清除域名白名单。
【使用指导】
该命令用于清除用户白名单,清除白名单后,所有在用户认证范围内的用户都要经过认证才能正常使用网络。
【举例】
#清除用户认证策略用户白名单
HOST# clear user-policy user-whitelist
HOST#
【相关命令】
user-policy whitelist
user-policy user-whitelist
clear user-recognition命令用来清除所有或者某个动态识别出的在线用户信息。
【命令】
clear user-recognition [ name | ip A.B.C.D ]
【视图】
用户视图
【参数】
name:要清除在线用户信息的用户名,为1~63个字符的字符串。
A.B.C.D:要清除在线用户的信息的IP地址。
【举例】
# 清除所有动态识别出的在线用户信息。
host# clear user-recognition
clear user-waa命令用于清除所有无感知上线的用户。
【命令】
clear user-waa {local-waa | qrcode-waa | sms-waa | wechat-waa} [usermac MAC]
【视图】
全局配置视图
【参数】
local-waa:清除本地无感知认证上线的用户。
qrcode-waa:清除二维码无感知认证上线的用户。
sms-waa:清除短信无感知认证上线的用户。
wechat-waa:清除微信无感知认证上线的用户。
MAC:清除指定MAC地址对应的用户。
【使用指导】
清除无感知上线用户后,通过无感知方式上线的用户将被强制下线。
【举例】
HOST# clear user-waa local-waa
%Clear the local-waa list success
HOST#
【相关命令】
display user
clear user-wechat white-list命令用于清除微信认证白名单用户。
【命令】
clear user-wechat white-list
【视图】
全局配置视图
【参数】
无
【使用指导】
使用该命令可以将微信认证白名单清除。
【举例】
HOST# system-view
HOST(config)# clear user-wechat white-list
HOST(config)#
【相关命令】
user-wechat whitelist
description命令用来设置本地用户描述。
no description命令用来清除本地用户描述
【命令】
description text
no description
【缺省情况】
缺省情况下,没有配置本地用户描述。
【视图】
用户配置视图
用户组配置视图
【参数】
text:用户描述信息,为0~127个字符的字符串,特殊字符只能包含“@._-()[]| ”。
【举例】
# 创建用户名为user1的用户,添加描述first user。
host# system-view
host(config)# user user1
host(config-user)# description firstuser
disable命令用来禁用本地用户。
【命令】
disable
【缺省情况】
缺省情况下,用户创建后是启用状态。
【视图】
用户配置视图
【举例】
# 禁用用户名为user1的用户。
host# system-view
host(config)# user user1
host(config-user)# disable
【相关命令】
· display user
· enable
disable bind mac命令用于将取消用户绑定mac的信息。
【命令】
disable bind mac
【视图】
用户配置视图
【参数】
无
【使用指导】
使用该命令来取消用户绑定的MAC地址。
【举例】
HOST# system-view
HOST(config)# user user10
HOST(config-user)# disable bind mac
【相关命令】
enable bind mac
display 命令用于查看用户信息。
【命令】
display { user-am | user-sols | user-srun} switch 查看第三方认证服务器同步的开关的状态
display user-authed [ usermac MAC | username NAME ] 查看认证用户的信息
display user-policy user-whitelist 查看用户认证白名单
display user-policy whitelist 查看用户认证白名单
display user-portal-escape info 查看portal逃生配置信息和功能状态。
display user-portal-server dhcp mac查看CMCC认证信息
display user-radius-ap-mac查看ap-mac学习状态
display user-radius-listen查看radius监听状态
display user-waa { local-waa | qrcode-waa | sms-waa | wechat-waa }查看无感知认证用户
【视图】
全局配置视图
【参数】
无
【使用指导】
该命令主要用于快速查询用户的信息。
【举例】
#查看用户组信息
HOST# display user-group
Flags: g--Group
Name Ref Members
anonymous 0
organization 0 default(g), 产品部(g), 研发部(g), 财务部(g), 销售部(g), ...
authen-method 0 wechat(g), portal-server(g), sso(g), imc(g), Radius-user(g), ...
default 0 ser10
wechat 0
mobile 0
portal-server 0
sso 0
imc 0
Radius-user 0
sols 0
srun 0
telecom 0
Ldap-user 0
sms_authentication 0
app 0
free 0
qrcode_authentication 0
【相关命令】
user
display user命令用来显示系统中配置的本地用户。
【命令】
display user [ username ]
【视图】
用户视图
【参数】
username:要显示的用户名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【举例】
# 显示系统中配置的所有本地用户。
host# display user
Flags: E--Enabled, F--Frozen-Enabled, A--Authenticate-Need, B--Bind-Address
Name Ref Status Frozen-EndTime Account Bind-Address
any 0 E---
123 0 E-A- [SERVER GROUP]
A 0 E-A- [LOCAL]
user1 1 E---
user2 0 E--B 1.1.1.1-1.1.1.5, 1.1.1.4(e)
user3 0 E---
表1-1 display user命令显示信息描述表
|
字段 |
描述 |
|
|
Name |
本地用户名 |
|
|
Ref |
用户引用计数 |
|
|
Status |
用户状态 |
|
|
E |
用户启用 |
|
|
F |
用户被冻结 |
|
|
A |
是认证用户 |
|
|
B |
是绑定用户 |
|
|
Frozen-EndTime |
冻结结束时间 |
|
|
Account |
用户认证类型 |
|
|
[LOCAL] |
用户是本地认证 |
|
|
[RADIUS] |
用户是RADIUS认证 |
|
|
[LDAP] |
用户是LDAP认证 |
|
|
[SERVER GROUP] |
用户是RADIUS或者LDAP组认证 |
|
|
Bind-Address |
绑定用户的绑定地址 |
|
|
(e) |
表示前边的地址是绑定地址中排除的部分 |
|
# 显示用户名为user1的用户信息。
host# display user user1
Name: user1
Alias:
Description: first user
Reference count: 1
User Status: enabled
表1-2 display user命令显示信息描述表
|
字段 |
描述 |
|
Name |
本地用户命 |
|
Alias |
用户别名 |
|
Description |
用户描述 |
|
Reference count |
引用计数 |
|
User Status |
用户启用状态 |
display user-group命令用来显示用户组。
【命令】
display user-group [ group-name ]
【视图】
用户视图
【参数】
group-name:用户组名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【举例】
# 显示系统所有用户组。
host# display user-group
Flags: g--Group
Name Ref Members
anonymous 0
mobile 0
group1 0 user1
表1-3 display user-group命令显示信息描述表
|
字段 |
描述 |
|
Name |
用户组名 |
|
Ref Members |
引用计数 |
|
Members |
用户组内用户成员 |
# 显示用户组group1。
host# display user-group group1
Name: group1
Description:
Reference count: 0
Member count: 1
Entry Members:
user1
表1-4 display user-group group-name命令显示信息描述表
|
字段 |
描述 |
|
Name |
用户组名 |
|
Description |
用户组描述 |
|
Reference count |
引用计数 |
|
Member count |
用户组内成员个数 |
|
Entry Members |
用户组内成员条目 |
display user-param命令用来显示用户识别属性。
【命令】
display user-param
【视图】
用户视图
【举例】
# 显示用户识别属性。
host# display user-param
Address Scope: private[Strict Mode]
Recognition threshold: 60000
Recognition minimum ttl: 120 seconds
Recognition maximum ttl: 1200 seconds
表1-5 display user-param命令显示信息描述表
|
字段 |
描述 |
|
Address Scope |
用户识别范围的地址对象名 |
|
[ mode ] |
用户识别的方式 |
|
Recognition threshold |
可识别用户的个数 |
|
Recognition minimum ttl |
识别老化时间的最小值 |
|
Recognition maximum ttl |
识别老化时间的最大值 |
display user-recognition命令用来显示本地已识别用户。
【命令】
display user-recognition [address {host A.B.C.D | name NAME | range A.B.C.D A.B.C.D} | authenticated | user name NAME [address { host A.B.C.D | name NAME | range A.B.C.D A.B.C.D }]]
【视图】
全局配置视图
【参数】
user name:只显示某个用户名的用户。
name:显示的用户名。
address:只显示地址为某种条件的用户。
host:只显示用户地址是某个地址的用户。
host-ip:用户地址。
range:只显示用户地址在某个地址范围内的用户。
start-ip:地址范围开始地址。
end-ip:地址范围结束地址。
name:只显示用户地址在某个地址对象范围内的用户。
address-name:地址对象名。
【举例】
# 显示本地已识别用户。
host# display user-recognition
Address Scope: private[Heuristic Mode]
Recognitions: 32
Name Identity IP MAC Status Online-StartTime Frozen-EndTime
192.168.1.56 anonymous 192.168.1.56 28:d2:44:38:43:0 2014/07/04 11:03
192.168.1.239 anonymous 192.168.1.239 00:23:ff:4b:6c:d1 2014/07/04 10:59
169.254.67.28 anonymous 169.254.67.28 c8:1f:66:f2:53:e6 2014/07/04 10:57
192.168.1.157 anonymous 192.168.1.157 7c:e9:d3:f5:13:d1 2014/07/04 10:50
表1-6 display user-recognition命令显示信息描述表
|
字段 |
描述 |
|
|
Address Scope |
用户识别范围的地址对象名 |
|
|
[ mode ] |
用户识别的方式 |
|
|
Recognitions |
已识别用户个数 |
|
|
Name |
识别的用户名 |
|
|
Identity |
识别用户类型 |
|
|
anonymous |
匿名用户 |
|
|
static |
本地认证/静态绑定用户 |
|
|
mobile |
移动用户 |
|
|
IP |
用户登录地址 |
|
|
MAC |
用户登录mac地址 |
|
|
Status |
用户状态,是否被冻结 |
|
|
Online-StartTime |
用户登录的时间 |
|
|
Frozen-EndTime |
冻结结束时间 |
|
enable命令用来启用本地用户。
disbale命令用来禁用本地用户。
【命令】
enable
disable
【缺省情况】
缺省情况下,用户创建后是启用状态。
【视图】
用户配置视图
【举例】
# 禁用用户名为user1的用户。
host# system-view
host(config)# user user1
host(config-user)# disable
【相关命令】
· display user
enable bind命令用来配置用户为绑定用户
no enable bind命令用配置用户为非绑定用户。
【命令】
enable bind
no enable bind
【视图】
用户配置视图
【举例】
# 创建用户名为user1的用户并且设置为绑定用户。
host# system-view
host(config)# user user1
host(config-user)# enable bind
【相关命令】
· display user
enable命令用来启用静态绑定mac用户。
disable命令用来禁用静态绑定mac用户。
【命令】
enable bind mac
disable bind mac
【视图】
用户配置视图
【举例】
# 创建用户名为user1的用户并且设置为静态绑定mac用户。
host# system-view
host(config)# user user1
host(config-user)# enable bind mac
【相关命令】
· display user
expire-set 命令用于设置账户过期时间。
【命令】
expire-set {YYYY-MM-DD | never-expire }
【视图】
用户配置视图
【参数】
YYYY-MM-DD:用户到期时间,超过此时间后,该用户即过期。
never-expire :该用户永不过期
【使用指导】
默认永不过期
【举例】
#配置用户user10的过期时间为2019年4月1日。
HOST# system-view
HOST(config)# user user10
HOST(config-user)# expire-set 2019-04-01
【相关命令】
user
match user命令用来测试一个用户是否属于一个用户组。
【命令】
match user username
【视图】
用户组配置视图
【参数】
username:要测试的用户名,为1~63个字符的字符串。
【使用指导】
某种情况下,可能用户组会套嵌多层用户组,这样不太好判断一个用户是否属于这个用户组。这个命令可以用来测试使用户是否属于这个用户组。
【举例】
# 测试用user1是否属于用户组group1。
host# system-view
host(config)# user-group group1
host(config-user-group)# match user user1
Hit user user1
【相关命令】
· user-group
· member
· display user-group
user命令用来创建本地用户。
no user命令用来删除本地用户。
【命令】
user username
no user username
【缺省情况】
缺省情况下,存在一个any用户。
【视图】
系统视图
【参数】
username:用户名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【使用指导】
该命令执行完后进入用户配置节点。
【举例】
# 创建用户名为user1的用户。
host# system-view
host(config)# user user1
host(config-user)#
【相关命令】
· display user
· display running-config user
user-group命令用来创建本地用户组。
no user-group命令用来删除本地用户组。
【命令】
user-group groupname
no user-group groupname
【缺省情况】
缺省情况下,存在一个anonymous用户组。
【视图】
系统视图
【参数】
groupname:用户组名,为1~63个字符的字符串,且不能包含“%!"#$&`*+,/:;<=>?\^'{}!”。
【使用指导】
该命令执行完后进入用户组配置节点。
【举例】
# 创建用户名为group1的用户。
host# system-view
host(config)# user-group group1
host(config-user-group)#
【相关命令】
· member
· match user
· display user-group
· display running-config user-group
user-param auth命令用来启用和配置第三方认证。
no user-param auth命令用来禁用第三方认证。
【命令】
user-param auth { radius | ldap } name
user-param auth { radius | ldap } group name
no user-param auth
【缺省情况】
缺省情况下,第三方认证未开启,且未配置第三方认证服务器。
【视图】
用户配置视图
【参数】
name:第三方认证服务器名称,或者认证服务器组名称。
radius:第三方认证服务器为Radius服务器。
ldap:第三方认证服务器为Ldap服务器。
【使用指导】
第三方认证配置前,需要先在认证服务器配置中配置好Radius或Ldap认证服务器,或服务器组。然后在启用配置第三方认证时选择相应的认证服务器。
【举例】
# 配置第三方认证为Radius认证。
host# system-view
host(config)# radius-server test 192.168.1.103 test
host(config)# user-param auth radius test
【相关命令】
· display running-config user-param
user-param recognition命令用来修改用户识别属性。
no user-param recognition命令用来恢复用户识别属性。
【命令】
user-param recognition scope address-object { heuristic | strict }
no user-param recognition scope address-object
user-param threshold count
【缺省情况】
缺省情况下,用户识别的范围是地址对象private,方式是强制模式的,识别用户的个数是因设备内存大小不同会有差异。
(1)内存大于等于8G 的规格为60000;
(2)内存大于等于4G而小于8G的规格为40000;
(3)内存小于4G的规格为10000
【视图】
用户配置视图
【参数】
address-object:设置的用户识别的地址对象或者地址组对象名称,为1~31个字符的字符串。
heuristic:启发式识别,。
strict:强制识别。
count:识别用户上限,范围是5000~10000000。
【使用指导】
识别模式分为“启发模式”和“强制模式”两种。
· “启发模式”指的是,优先将属于识别范围的IP地址识别为用户,识别顺序是先识别会话中的源IP,再识别目的IP,如果源目IP都不属于识别范围会将源IP识别为用户。
· “强制模式”指的是,只有源IP或目的IP地址属于识别范围时,才会被识别为用户;否则不识别,该IP地址不进后续用户策略流程,不受用户策略限制,不会出现在在线用户当中。
【举例】
# 将所有私有地址private识别模式改为强制模式。
host# system-view
host(config)# user-param recognition scope private strict
【相关命令】
· display user
user-param threshold命令用来配置用户识别规格。
【命令】
user-param threshold <5000-10000000>
【缺省情况】
缺省情况下,设备已根据内存大小做了用户识别规格适配,不需要修改此配置。
(1)内存大于等于8G 的规格为60000;
(2)内存大于等于4G而小于8G的规格为40000;
(3)内存小于4G的规格为10000
【视图】
用户配置视图
【参数】
<5000-10000000>:规格最小为5000,最大为10000000。
【使用指导】
设备已根据内存大小做了用户识别规格适配,建议不要修改此配置。
【举例】
# 修改用户识别规格为10000。
host# system-view
host(config)# user-param threshold 10000
【相关命令】
· display user-param
authenticate命令用来配置用户的认证方式。
【命令】
authenticate local password change-password {enable | disable}
【缺省情况】
缺省情况下,没有配置用户认证。
【视图】
用户配置视图
【参数】
local:启用本地认证。
password:本地认证的密码,为6~31个字符的字符串。
change-password:是否允许用户修改密码
enable:允许用户修改密码
disable:不允许用户修改密码
【使用指导】
认证方式要用no authenticate命令删除。
【举例】
# 配置用户user1使用本地认证,密码是123456,不允许修改密码。
host# system-view
host(config)# user user1
host(config-user)# authenticate local 123456 change-password disable
【相关命令】
· display user
display user-policy命令用来显示用户策略。
【命令】
display user-policy查看用户认证策略。
display user-policy user-whitelist 查看用户认证白名单。
display user-policy whitelist 查看用户认证白名单。
【视图】
用户视图
【举例】
# 显示用户策略。
host(config)# display user-policy
---------------------------------------------------------------------------------------
ID In-interface Out-interface Source-address Dest-address Schedul Action
----------------------------------------------------------------------------------------
1 any any any any always local-webauth
表1-7 display user-policy命令显示信息描述表
|
字段 |
描述 |
|
ID |
用户策略的ID号 |
|
In-interface |
匹配流量入接口 |
|
Out-interface |
匹配流量出接口 |
|
Source-address |
匹配流量源地址 |
|
Dest-address |
匹配流量目的地址 |
|
Schedule |
匹配流量时间组 |
|
Action |
匹配的流量的执行动作 |
|
permit |
匹配用户的流量直接放行 |
|
local-webauth |
用户必须通过WEB认证后,流量才可以通过 |
|
portal-server-webauth |
用户必须通过portal认证后,流量才可以通过 |
move命令用于移动用户认证策略的先后顺序。
【命令】
move {before <1-65535>| after <1-65535> | head | tail}
【视图】
用户认证策略视图。
【参数】
before:将目标策略移动至某一个策略ID之前。
after:将目标策略移动至某一个策略ID之后。
head:将目标策略移动至所有策略之前。
tail:将目标策略移动至所有策略之后。
【使用指导】
用户认证策略是顺序匹配的,如果某用户同时符合2个认证策略,那么该用户会优先匹配ID比较靠前的策略。
【举例】
#将策略1移动到最前面
HOST(config)# user-policy 1
HOST(config-user-policy)# move head
HOST(config-user-policy)#
【相关命令】
display user-policy
user-free timeout命令用来配置免认证方式用户超时老化时间。
no user-free timeout命令用来取消超时时间。
【命令】
user- free timeout timeout
【缺省情况】
缺省情况下,用户老化超时时间为15分钟。
【视图】
系统视图
【参数】
timeout:范围10-144000,单位分钟,缺省15分钟
【举例】
# 配置免认证用户超时老化时间为10分钟。
host# system-view
host(config)# user-free timeout 10
user-imc imc-web-auth命令用于配置IMC认证对接。
【命令】
user-imc imc-web-auth log-name NAME1 real-name NAME2 ip A.B.C.D [group-name NAME3]
【视图】
系统视图
【参数】
NAME1:用户登录名
NAME2:用户实际名称
A.B.C.D:IMC服务器的IP地址
NAME3:团体名。
【缺省情况】
默认无该配置
【使用指导】
设备上的配置需要和IMC服务器的配置一致。
【举例】
HOST(config)# user-imc imc-web-auth log-name AAA real-name BBB ip 1.1.1.1 group-name CCC
HOST(config)#
【相关命令】
user-imc port
user-imc port 用于配置IMC上的对接端口。
【命令】
user-imc port <1-65535>
【视图】
系统视图
【参数】
<1-65535>:IMC服务器上配置的端口号。
【缺省情况】
缺省情况没有配置。
【举例】
HOST# system-view
HOST(config)# user-imc port 2001
【相关命令】
user-imc timeout
user-imc timeout命令用于修改IMC用户的超时时间。
【命令】
user-imc timeout {< 10-144000 > | infinite }
【视图】
系统视图。
【参数】
< 10-144000 >:超时时间。
infinite:设置为不超时。
【缺省情况】
缺省情况下为30。
【举例】
HOST# system-view
HOST(config)# user-imc timeout infinite
HOST(config)#
【相关命令】
user-imc port
user-mix命令用于配置混合认证用户跳转方式。
【命令】
user-mix { jump-access-web | jump-auth-web | hello-url {enable | disable} URL }
【视图】
系统视图
【参数】
jump-access-web:跳转到之前访问的网页
jump-auth-web:跳转到认证成功网页
hello-url:跳转到指定URL页面
【缺省情况】
默认跳转到认证成功页面。
【举例】
HOST(config)# user-mix hello-url enable http://www.baidu.com
HOST(config)#
【相关命令】
display running-config
user-policy命令用来创建用户策略。
no user-policy命令用来删除用户策略。
【命令】
user-policy { if_in | any } { if_out | any } { sip | any } { dip | any } { schedule | always } {free-webauth|sms-webauth|mix-webauth|local-webauth|portal-server-webauth|wechat-webauth|sso-no-authen-ip|sso-match-other | sam-webauth | qrcode-webauth } {enable | disable } NAME {GROUP | no-record} { PERIOD | forever | once }
no user-policy id
【缺省情况】
缺省情况下,没有启用用户策略。
【视图】
系统视图
【参数】
if_in:流量入接口。
any:任何接口。
if_out:流量出接口。
any:任何接口:
sip:源地址匹配的地址对象或对象组。
any:任何源地址。
dip :目的地址匹配的地址对象或对象组。
any:任何目的地址。
schedule :配的时间对象。
always:任何时间。
free-webauth :用户通过免认证方式后,流量才可以放通。
sms-webauth :用户通过短信认证方式后,流量才可以放通。
mix-webauth :通过混合认证方式后,流量才可以放通。
local-webauth:用户必须通过WEB认证后,流量才可以放通。
portal-server-webauth:用户必须通过portal认证后,流量才可以放通。
wechat-webauth:用户必须通过微信认证后,流量才可以放通。
sso-no-authen-ip:用户必须通过单点登录认证后,流量才可以放通,若认证失败直接以IP上线。
sso-match-other:用户必须通过单点登录认证后,流量才可以放通,若认证失败继续匹配策略。
sam-webauth :用户必须通过SAM认证后,流量才可以放通。
qrcode-webauth:用户必须通过二维码认证后,流量才可以放通。
enable:启用该策略。
disable:不启用该策略。
NAME:配置策略名称。
GROUP:选择用户录入组,格式:group1/group2/。
PERIOD:用户录入有效时间节点,格式:YYYY-MM-DD。
forever:用户录入永久有效。
once:用户临时录入。
no-record:不录入用户。
【使用指导】
用户在策略匹配时有顺序要求,一般按照显示的顺序从上到下匹配。
【举例】
# 创建配置所有通过设备的流量必须通过WEB认证。
host# system-view
host(config)# user-policy any any any any always local-webauth enable test-web no-record forever
【相关命令】
· display user-policy
user-policy move命令用来调整用户策略的匹配顺序。
【命令】
user-policy move id { head | tail | { before | after } compare-id }
【视图】
系统视图
【参数】
id:给要调整的用户策略id号,范围是1到65535,缺省从1开始自动排列。
head:将用户策略的匹配顺序到放到最前面。
tail:将用户策略的匹配顺序到放到最后面。
before:将用户策略的匹配顺序发到某条策略之前。
after:将用户策略的匹配顺序发到某条策略之后。
compare-id:before和after使用时的基准策略id,范围是1~65535。
【使用指导】
用户策略的匹配时有顺序的,一般按照显示的顺序从上到下匹配。
【举例】
# 将用户策略100调整到用户策略2之后。
host# system-view
host(config)# user-policy move 100 after 2
【相关命令】
· display user-policy
user-policy whitelist 命令用来域名白名单。
no user- policy whitelist 命令用来删除域名白名单。
【命令】
user-policy whitelist {exclude{host HOST}|host Host}
【缺省情况】
缺省情况下, 没有配置域名白名单。
【视图】
系统视图
【参数】
exclude:白名单排除地址,可以设置为IP或域名。
host:白名单地址,可以设置为IP或域名。
【使用指导】
域名白名单对所有认证方式都生效,用户在未认证前即可访问白名单地址。
【举例】
# 将192.168.1.0/24加入域名白名单,排除IP为192.168.1.50。
# 将qq.com加入域名白名单,排除域名为news.qq.com。
host# system-view
host(config)# user-policy whitelist host 192.168.1.0/24
host(config)# user-policy whitelist exclude host 192.168.1.50
host(config)#user-policy whitelist host qq.com
host(config)#user-policy whitelist exclude host news.qq.com
【相关命令】
· display user-policy whitelist
· display running-config user-policy
user-policy user-whitelist命令用来配置认证全局白名单。
no user-policy user-whitelist 命令用来删除认证全局白名单。
【命令】
user-policy user-whitelist{A.B.C.D|A.B.C.D/M}
no user-policy user-whitelist{A.B.C.D|A.B.C.D/M}
【缺省情况】
缺省情况下, 没有配置认证全局白名单。
【视图】
系统视图
【参数】
A.B.C.D:全局白名单IP。
A.B.C.D/M:全局白名单IP地址段。
【使用指导】
全局认证白名单针对所有认证方式都生效,配置为全局白名单的用户不需要认证即可访问网络。
【举例】
# 将192.168.2.128和192.168.1.0/24加入认证全局白名单。
host# system-view
host(config)# user-policy user-whitelist 192.168.2.128
host(config)# user-policy user-whitelist 192.168.1.0/24
user-sms timeout命令用来配置短信认证方式用户超时老化时间。
no user-sms timeout命令用来取消超时时间。
【命令】
user- sms timeout timeout
【缺省情况】
缺省情况下,用户超时老化时间为15分钟。
【视图】
系统视图
【参数】
timeout:范围10-144000,单位分钟,缺省15分钟
【举例】
# 配置短信认证用户超时老化时间为10分钟。
host# system-view
host(config)# user-sms timeout 10
user-sms without-awareness enable 命令用来开启短信认证无感知功能。
user-sms without-awareness disable命令用来关闭短信认证无感知功能。
【命令】
user-sms without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启短信认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-sms without-awareness enable
host(config)# user-sms without-awareness timeout 7200
user-webauth without-awareness enable 命令用来开启本地WEB认证无感知功能。
user-webauth without-awareness disable命令用来关闭本地WEB认证无感知功能。
【命令】
user-webauth without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启本地WEB认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-webauth without-awareness enable
host(config)# user-webauth without-awareness timeout 7200
user-webauth force-timeout命令用来配置WEB强制重新认证时间。
no user-webauth force-timeout命令用来关闭WEB强制重新认证时间。
【命令】
user-webauth force-timeout timeout
no no user-webauth force-timeout
【缺省情况】
缺省情况下,不启用WEB强制重新认证。
【视图】
系统视图
【参数】
timeout:WEB强制重新认证时间,范围是10~144000,单位是分钟,缺省不启用。
【使用指导】
当用户登录以后,即使用户一直在线,在设定的时间长度之后,也必须重新登录。
【举例】
# 设置WEB强制重新认证时间为60分钟。
host# system-view
host(config)# user-webauth force-timeout 60
user-webauth hello-url 命令用来配置WEB认证重定向URL。
no user-webauth hello-url命令用来关闭WEB认证重定向。
【命令】
user-webauth hello-url { enable | disable } url
no user-webauth hello-url
【缺省情况】
缺省情况下,不启用WEB认证重定向。
【视图】
系统视图
【参数】
url:WEB认证重定向的URL地址,为1~127个字符的字符串。
【举例】
# 设置WEB认证重定向到www.abc.com。
host# system-view
host(config)# user-webauth hello-url enable http://www.abc.com
user-webauth keepalive-timeout命令用来配置WEB心跳间隔时间。
no user-webauth keepalive-timeout命令用来恢复心跳间隔时间的默认配置。
【命令】
user-webauth keepalive-timeout timeout
no user-webauth keepalive-timeout
【缺省情况】
缺省情况下,心跳间隔时间是10分钟。
【视图】
系统视图
【参数】
timeout:WEB心跳间隔时间,范围是10到144000,单位是分钟,缺省是10分钟。
【举例】
# 设置心跳间隔时间为30分钟。
host# system-view
host(config)# user-webauth keepalive-timeout 30
user-webauth login-multi命令用来允许同一个用户名登录同时登录多次。
【命令】
user-webauth login-multi number [ count ]
【缺省情况】
缺省情况下,不允许同一个用户同时登录多次。
【视图】
系统视图
【参数】
count:允许同一个用户同时登录的次数,范围是2到1000次,如果不输入数字,缺省是无限制。
【举例】
# 设置WEB认证允许同一用户名在同时无限次登录。
host# system-view
host(config)# user-webauth login-multi number
user-webauth login-single命令用来限制用户同时只能登录一次。
【命令】
user-webauth login-single mode { kick-old | forbid-new }
【缺省情况】
缺省情况下,用户同时只能登录一次,缺省策略是踢出老用户。
【视图】
系统视图
【参数】
kick-old:新用户会踢出老用户。
forbid-new:禁止老用户登录。
【举例】
# 配置用户同时只能登录一次,新用户登录会踢出老用户。
host# system-view
host(config)# user-webauth login-single mode kick-old
user-webauth traffic-alive命令用来配置用户老化方式为流量超时老化。
【命令】
user-webauth traffic-alive
【缺省情况】
缺省情况下,用户老化方式为心跳超时老化。
【视图】
系统视图
【参数】
无
【举例】
# 配置用户老化方式为流量超时老化,超时时间为15分钟。
host# system-view
host(config)# user-webauth traffic-alive
host(config)#
user-wechat timeout命令用来配置用户超时时间。
no user-wechat timeout命令用来取消用户超时时间。
【命令】
user-wechat timeout timeout
no user-wechat timeout
【缺省情况】
缺省情况下,用户超时时间默认为15分钟。
【视图】
系统视图
【参数】
timeout:在线用户超时时间,范围是10~144000,单位是分钟,缺省15分钟。
【举例】
# 配置用户超时时间为20分钟。
host# system-view
host(config)# user-wechat timeout 20
user-wechat name-type命令用来配置用户名类型。
【命令】
user-wechat name-type { ip | openid | phone_number }
【缺省情况】
缺省情况下,用户名类型默认为IP地址。
【视图】
系统视图
【参数】
ip:用户名为用户的IP地址。
openid:为加密后的微信号,每个用户对每个公众号的OpenID是唯一的。对于不同公众号,同一用户的OpenID不同。
phone_number:为用户注册微信的手机号码。
【举例】
# 配置用户名为openid。
host# system-view
host(config)# user-wechat name-type openid
user-wechat official-acct-name 命令用来配置微信公众号名称。
【命令】
user-wechat official-acct-name STRING
【缺省情况】
缺省情况下,未配置微信公众号名称。
【视图】
系统视图
【参数】
STRING:微信公众号名称,从公众平台申请微信公众号。
【举例】
# 配置公众号名称为testname。
host# system-view
host(config)# user-wechat official-acct-name testname
user-wechat appid命令用来配置微信公众号应用id。
【命令】
user-wechat appid STRING
【缺省情况】
缺省情况下,未配置微信公众号appid。
【视图】
系统视图
【参数】
STRING:应用id,从公众平台获取。
【举例】
# 配置微信应用id为wxa921dcce3f9ea198。
host# system-view
host(config)# user-wechat appid wxa921dcce3f9ea198
user-wechat appsecret命令用来配置微信公众号应用密钥。
【命令】
user-wechat appsecret STRING
【缺省情况】
缺省情况下,未配置微信公众号appsecret。
【视图】
系统视图
【参数】
STRING:应用密钥,从公众平台获取。
【举例】
# 配置微信应用密钥为86691be59b208d489111429f75f7f678。
host# system-view
host(config)# user-wechat appsecret 86691be59b208d489111429f75f7f678
user-wechat user-wechat auth-step 命令用来配置认证步骤说明。
【命令】
user-wechat auth-step STRING
【缺省情况】
缺省情况下,默认认证步骤说明是“请点击认证菜单进行微信认证”。
【视图】
系统视图
【参数】
STRING:认证步骤说明,默认认证步骤说明是“请点击认证菜单进行微信认证”,用户可以根据自己公众号的配置进行自定义配置。
【举例】
# 配置微信认证步骤说明为:请点击“微信认证”菜单进行认证。
host# system-view
host(config)# user-wechat auth-step 请点击“微信认证”菜单进行认证
user-wechat auth-url命令用来配置微信认证URL。
【命令】
user-wechat auth-url URL
【缺省情况】
缺省情况下,未配置认证URL。
【视图】
系统视图
【参数】
URL:不能配置为已经存在的URL,只能配置为无法访问的URL,例如:http://www.testurl123.com/test;不支持https。
【举例】
# 设置auth-url地址为:http://www.testurl123.com/test
host# system-view
host(config)# user-wechat auth-url http://www.testurl123.com/test
user-wechat without-awareness enable 命令用来开启微信认证无感知功能。
user-wechat without-awareness disable命令用来关闭微信认证无感知功能。
【命令】
user-wechat without-awareness { enable | disable | timeout }
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启本地WEB认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-wechat without-awareness enable
host(config)# user-wechat without-awareness timeout 7200
user-wechat white-list 命令用来配置微信认证白名单。
no user-wechat white-list 命令用来删除微信认证白名单。
【命令】
user-wechat white-list {A.B.C.D|A.B.C.D/M}
【缺省情况】
缺省情况下, 没有配置微信认证白名单。
【视图】
系统视图
【参数】
A.B.C.D:白名单IP。
A.B.C.D/M:白名单IP地址段。
【使用指导】
微信认证白名单只针对微信认证方式生效,其他认证方式白名单可通过配置全局白名单实现。
微信认证白名单对混合认证中的微信认证不生效。
【举例】
# 将192.168.2.128和192.168.1.0/24加入微信认证白名单。
host# system-view
host(config)# user-wechat white-list 192.168.2.128
host(config)# user-wechat white-list 192.168.1.0/24
user-wechat flow-pass-time 命令用来配置流量放通时间。
【命令】
user-wechat flow-pass-time <20-180>
【缺省情况】
缺省情况下,流量放通时间为60秒。
【视图】
系统视图
【参数】
<20-180>:流量放通时间,范围是20~180,单位是秒,缺省为60秒。
【使用指导】
微信认证流量放通时间是指弹出微信认证页面后点击打开微信,流量开始放通,默认流量放通时间为60秒,用户可以通过命令调整放通时间为20~180s。
【举例】
# 将流量放通时间调整为90s。
host# system-view
host(config)# user-wechat flow-pass-time 90
user-qrcode without-awareness enable 命令用来开启本地二维码认证无感知功能。
user-qrcode without-awareness disable命令用来关闭本地二维码认证无感知功能。
【命令】
user-qrcode without-awareness {enable|disable|timeout}
【缺省情况】
缺省情况下, 无感知功能关闭。
【视图】
系统视图
【参数】
enable:开启无感知功能。
disable:关闭无感知功能。
timeout:无感知功能超时时间,范围是10~144000,单位是分钟,缺省为10080分钟。
【使用指导】
当用户认证登录以后,设备会记录用户的MAC地址,加入无感知表,在超时时间范围内,用户下次再次上线设备先查询无感知表,查询到已记录的MAC后直接认证自动完成认证上线,实现无感知功能。
【举例】
# 开启本地二维码认证无感知功能,并设置无感知功能超时时间为7200分钟。
host# system-view
host(config)# user-qrcode without-awareness enable
host(config)# user-qrcode without-awareness timeout 7200
user-qrcode qrcode-timeout命令用来配置二维码失效时间。
no user-qrcode qrcode-timeout命令用来恢复心跳间隔时间的默认配置。
【命令】
user-qrcode qrcode-timeout timeout
no user-qrcode qrcode-timeout
【缺省情况】
缺省情况下,二维码失效时间是2分钟。
【视图】
系统视图
【参数】
timeout:二维码超时时间,范围是2~10,单位是分钟。
【举例】
# 设置二维码失效时间为3分钟。
host# system-view
host(config)# user-qrcode qrcode-timeout 3
user-qrcode keepalive-timeout 命令用来配置二维码认证流量超时时间。
no user-qrcode keepalive-timeout命令用来恢复二维码认证流量超时时间的默认配置。
【命令】
user-qrcode keepalive-timeout timeout
no user-qrcode keepalive-timeout
【缺省情况】
缺省情况下,流量超时时间是10分钟。
【视图】
系统视图
【参数】
timeout:二维码认证超时时间,范围是10~144000,单位是分钟。
【举例】
# 设置二维码认证流量超时时间为17分钟。
host# system-view
host(config)# user-qrcode keepalive-timeout 17
user-qrcode jump-access-web 命令用来配置二维码认证成功后跳转回之前访问的页面。
【命令】
user-qrcode jump-access-web
【缺省情况】
缺省情况下,二维码认证成功后回跳转回之前访问的页面。
【视图】
系统视图
【举例】
#二维码认证成功后回跳转回之前访问的页面。
host# system-view
host(config)# user-qrcode jump-access-web
user-qrcode jump-auth-web命令用来配置二维码认证成功后转到认证成功页面。
【命令】
user-qrcode jump-auth-web
【视图】
系统视图
【举例】
# 设置二维码认证成功后转到认证成功页面。
host# system-view
host(config)# user-qrcode jump-auth-web
user-qrcode jump-redirect-web命令用来重定向二维码认证成功后的网页。
【命令】
user-qrcode jump-redirect-web url
【缺省情况】
缺省情况下,没有配置重定向url。
【视图】
系统视图
【参数】
url:可输入1-127字符http/https前缀的url,且只能设置一条url。
【举例】
# 配置二维码认证后重定向url到http://www.1123.com。
host# system-view
host(config)# user-qrcode jump-redirect-web http://www.1123.com
user-qrcode auditor命令用来配置二维码认证审核人。
【命令】
user-qrcode auditor name
【缺省情况】
缺省情况下,审核人为any。
【视图】
系统视图
【参数】
name:用户或用户组名称
【举例】
# 配置二维码认证审核人为用户组Sale。
host# system-view
host(config)# user-qrcode auditor Sale
# 配置二维码认证审核人为用户Sale-wangxin。
host# system-view
host(config)# user-qrcode auditor Sale-wangxin
user-qrcode audit-type命令用来配置二维码认证的审核方式。
【命令】
user-qrcode audit-type{indirectly|directly}
【缺省情况】
缺省情况下,为indirectly方式。
【视图】
系统视图
【参数】
Indirectly:弹出审核页面,审核人备注并授权
directly:不弹审核页面,以审核人身份登录
【举例】
# 配置二维码认证审核方式为indirectly。
host# system-view
host(config)# user-qrcode audit-type indirectly
# 配置二维码认证审核方式为directly。
host# system-view
host(config)# user-qrcode audit-type directly
bindtype命令用来配置LDAP服务器绑定类型及用户、密码。
【命令】
bindtype { simple user name passwd password }
【视图】
LDAP配置视图
【参数】
simple:绑定类型为简单。
user:配置用户名。
name:用户名,为1~128个字符的字符串。
passwd:配置密码。
password:密码,为1~16个字符的字符串。
【举例】
# 配置LDAP服务器server2的用户名为ldap1,密码为123456。
host# system-view
host(config)# ldap server2
host(config-ldap)# bindtype simple user ldap1 passwd 123456
【相关命令】
· ldap
· cnid
· dn
· filter
cnid命令用来配置通用名称。
【命令】
cnid cnid
【视图】
LDAP配置视图
【参数】
cnid:通用标识名,为1~4个字符的字符串。
【举例】
# 配置LDAP服务器server2的通用标识名为cn。
host# system-view
host(config)# ldap server2
host(config-ldap)# cnid cn
【相关命令】
· ldap
· bindtype
· dn
· filter
display radius-server命令用来显示系统中配置的服务器。
【命令】
display radius-server [ servername ]
【视图】
用户视图
【参数】
servername:要显示的服务器名字,为1~256个字符的字符串。
【举例】
host# display radius-server
# 显示系统内所有的RADIUS服务器。
Radius-Server Name Secret IP Address Port Reference Count
aaa ****** 1.1.1.1 1812 1
12312 ***** 2.2.2.2 1812 0
server1 ****** 1.1.1.1 1812 0
Total radius-servers : 3
表1-8 display radius-server命令显示信息描述表
|
字段 |
描述 |
|
Radius-Server Name |
RADIUS服务器名称 |
|
Secret |
服务器密码,已经加密 |
|
IP Address |
服务器地址 |
|
Port |
服务器端口 |
|
Reference Count |
引用计数 |
|
Total radius-servers |
系统内RADIUS服务器个数 |
display server-group命令用来显示配置的服务器组。
【命令】
display server-group [ groupname ]
【视图】
用户视图
【参数】
groupname:要显示的服务组名称,为1-256个字符的字符串。
【举例】
# 显示系统所有的服务器组。
host(config)# display server-group
Group Name Type Mode Imprint_Clean Access_Security Rule Refer_Count
bbbb firewall 1
dddd firewall 0
group2 firewall 0
Total groups : 3
表1-9 display server-group命令显示信息描述表
|
字段 |
描述 |
|
Group Name |
服务器组名称 |
|
Type |
服务器组类型 |
|
Refer_Count |
引用计数 |
|
Total groups |
系统内服务器组的个数 |
# 显示RADIUS服务器组bbbb和LDAP服务器组group2。
host(config)# display server-group bbbb
Group Name Type Mode Imprint_Clean Access_Security Rule Refer_Count User List
bbbb firewall 1 123
1 user in group (bbbb)
Group Name Type Mode Refer_Count Radius-server List
bbbb firewall 1 aaa
radius-server in group (bbbb)
host(config)# display server-group group2
Group Name Type Mode Imprint_Clean Access_Security Rule Refer_Count User List
group2 firewall 0
0 user in group (group2)
Group Name Type Mode Refer_Count Ldap-server List
group2 firewall 0 server2
1 ldap-server in group (group2
表1-10 display server-group groupname 命令显示信息描述表
|
字段 |
描述 |
|
Group Name |
服务器组名称 |
|
Type |
服务器组类型 |
|
Refer_Count |
引用计数 |
|
Total groups |
服务器组的个数 |
|
User List |
使用此服务器组认证的用户列表 |
|
Radius-server List |
服务器组内RADIUS服务器列表 |
|
Ldap-server |
服务器组内LDAP服务器列表 |
dn命令用来配置LDAP服务器区别名。
【命令】
dn dn
【视图】
LDAP配置视图
【参数】
dn:区别名,为1~128个字符的字符串。
【举例】
# 配置LDAP服务器server2的区别名为OU=users,OU=test, DC=com。
host# system-view
host(config)# ldap server2
host(config-ldap)# dn OU=users,OU=test,DC=com
【相关命令】
· ldap
· bindtype
· cnid
· filter
ldap命令用来配置LDAP服务器地址。
【命令】
ldap server-ip port
【视图】
LDAP配置视图
【参数】
server-ip:LDAP服务器地址。
port:LDAP服务器端口,范围是1~65535,缺省389。
【举例】
# 配置LDAP服务器server2的地址为2.2.2.2。
host# system-view
host(config)# ldap server2
host(config-ldap)# ldap 2.2.2.2 389
【相关命令】
· ldap
· bindtype
· cnid
· dn
ldap命令用来创建和管理LDAP服务器。
no ldap命令用来删除和管理LDAP服务器。
【命令】
ldap name [ group groupname ]
no ldap name [ group groupname ]
【缺省情况】
缺省情况下,没有配置LDAP服务器。
【视图】
系统视图
【参数】
name:LDAP服务器名称,为1~127个字符的字符串。
group将服务器加入到LDAP组中。
groupname:LDAP服务器要加入的服务器组名称,为1~19个字符的字符串。
【使用指导】
创建LDAP服务器后,会进入LDAP配置视图。
【举例】
# 创建名字为server2的LDAP服务器。
host# system-view
host(config)# ldap server2
host(config-ldap)#
【相关命令】
· ldap
· bindtype
· cnid
· dn
radius-server命令用来配置或管理RADIUS服务器。
no radius-server命令用来管理或删除RADIUS服务器。
【命令】
radius-server name { server-ip secret [ port ] | group group-name }
no radius-server name [ group group-name ]
【缺省情况】
缺省情况下,没有配置RADIUS服务器。
【视图】
用视图
【参数】
name:RADIUS服务器名字,为1~256个字符的字符串。
server-ip:服务器IP地址。
secret:服务器密码,为1~256个字符的字符串。
port:服务器的端口号,范围是1~65535,缺省是1812。
group:将服务器加入或删除RADIUS服务器组中。
group-name:服务器组名称,为1~256个字符的字符串。
【举例】
# 创建RADIUS服务器server1,IP地址1.1.1.1,密码123456。
host# system-view
host(config)# radius-server server1 1.1.1.1 123456
【相关命令】
· display radius-server
server-group命令用来创建服务器组。
no server-group命令用来删除服务器组。
【命令】
server-group name { radius | ldap } firewall
no server-group name
【缺省情况】
缺省情况下,没有配置服务组。
【视图】
系统视图
【参数】
name:服务器组名,为1~256个字符的字符串。
radius:服务器组为RADIUS服务器组。
ldap:服务器组为LDAP服务器组。
【举例】
# 创建名字为group2的LDAP服务器组。
host# system-view
host(config)# server-group group2 ldap firewall
【相关命令】
· radius-server
· ldap
user-portal-server命令用来配置Portal认证的服务器IP地址。
no user-portal-server命令用来管理或删除Portal认证的服务器IP地址。
【命令】
user-portal-server {server server-ip | radius server-name | timeout time-value}
no user-portal-server {server server-ip | radius server-name | timeout time-value| portal-url URL }
【缺省情况】
缺省情况下,没有配置Portal服务器。
【视图】
用户视图
【参数】
server-ip:Portal服务器IP地址。
server-name:RADIUS服务器的名称。
time-out:Portal认证用户的超时时间,范围是1到144000,单位是分钟,缺省是15分钟。
Portal-url:格式如
http://serverip/portal?userip=<USERIP>&usermac=<USERMAC>&origurl=<ORIGURL>&nasip=nasip。
【举例】
# 配置Portal服务器的IP地址是192.168.10.1,radius服务器的名称是rad-server。
host# system-view
host(config)# user-portal-server server 192.168.10.1
host(config)# user-portal-server radius rad-server
user-radius-ap-mac 命令用于启用AP-Mac学习功能。
【命令】
user-radius-ap-mac {enable | disable}
【视图】
系统视图
【参数】
enable:启用AP-Mac学习功能
disable:关闭AP-Mac学习功能
【缺省情况】
缺省情况下,此功能关闭。
【使用指导】
在无线非经场景中需要识别AP的mac地址来确认场所。
【举例】
#开启AP-Mac学习
HOST# system-view
HOST(config)# user-radius-ap-mac enable
【相关命令】
display user-radius-ap-mac
sso-match-other命令用来配置继续匹配后续策略。
【命令】
user-policy {IF_IN | any} {IF_OUT | any} {SIP |any} {DIP | any} {SCHEDULE | always} sso-match-other { enable | disable } NAME {GROUP | no-record} { PERIOD | forever | once }
【缺省情况】
缺省情况下,未开启单点登录。
【视图】
Config视图
【参数】
if_in:流量入接口。
any:任何接口。
if_out:流量出接口。
any:任何接口:
sip:源地址匹配的地址对象或对象组。
any:任何源地址。
dip :目的地址匹配的地址对象或对象组。
any:任何目的地址。
schedule :配的时间对象。
always:任何时间。
sso-match-other:用户必须通过单点登录认证后,流量才可以放通,若认证失败继续匹配策略。
enable:启用该策略。
disable:不启用该策略。
NAME:配置策略名称。
GROUP:选择用户录入组,格式:group1/group2/。
PERIOD:用户录入有效时间节点,格式:YYYY-MM-DD。
forever:用户录入永久有效。
once:用户临时录入。
no-record:不录入用户。
【举例】
# 开启单点登录,源目ip默认、引用时间默认,配置单点登录认证失败后继续匹配后续策略。
host# system-view
host(config)# user-policy any any any any always sso-match-other enable test-sso1 no-record forever
sso-no-authen-ip命令用来配置认证失败后以地址作为用户名。
【命令】
user-policy {IF_IN | any} {IF_OUT | any} {SIP |any}{DIP | any} {SCHEDULE | always} sso-no-authen-ip { enable | disable } NAME {GROUP | no-record} { PERIOD | forever | once }
【缺省情况】
缺省情况下,默认是认证失败后以ip地址作为用户名
【视图】
Config视图
【参数】
if_in:流量入接口。
any:任何接口。
if_out:流量出接口。
any:任何接口:
sip:源地址匹配的地址对象或对象组。
any:任何源地址。
dip :目的地址匹配的地址对象或对象组。
any:任何目的地址。
schedule :配的时间对象。
always:任何时间。
sso-no-authen-ip:用户必须通过单点登录认证后,流量才可以放通,若认证失败直接以IP上线。
enable:启用该策略。
disable:不启用该策略。
NAME:配置策略名称。
GROUP:选择用户录入组,格式:group1/group2/。
PERIOD:用户录入有效时间节点,格式:YYYY-MM-DD。
forever:用户录入永久有效。
once:用户临时录入。
no-record:不录入用户。
【使用指导】
配置认证失败后,允许以ip地址作为用户名
【举例】
# 开启单点登录,源目ip默认、引用时间默认,配置单点登录认证失败后以ip地址作为用户名。
host# system-view
host(config)#user-policy any any any any always sso-no-authen-ip enable test-sso2 no-record forever
【相关命令】
· display running-config user-sso
user-adsso key命令用来配置单点登录密码。
【命令】
User-adsso key password
【缺省情况】
缺省情况下,未开启单点登录。
【视图】
Config视图
【使用指导】
配置单点登录使用的密码
【举例】
# 配置单点登录密码为123456。
host# system-view
host(config)# user-adsso key 123456
【相关命令】
· display running-config user-sso
· no user-adsso key
user-adsso timeouts命令用于配置单点登录超时时间
【命令】
user-adsso timeouts <1-72>
【视图】
配置视图
【参数】
<1-72>:超时时间
【缺省情况】
【使用指导】
命令用于配置单点登录超时时间,超过该时间后,无法实现单点登录。
【举例】
#配置单点登录的超时时间为60s
HOST(config)# user-adsso timeouts 60
【相关命令】
user-adsso key
bindtype ldap服务器的认证方式。
【命令】
bindtype simple user NAME passwd PASSWORD
【视图】
ldap配置视图
【使用指导】
Ldap服务器的认证方式,当域服务器需要认证才能同步用户时必须使用simple认证方式。
【举例】
# 配置ldap服务器拥有管理权限的域服务器管理员。
host# system-view
host(config)# ldap ad-ldap
host(config-ldap)#bindtype simple user cn=Manager,dc=sa,dc=com passwd 123456
【相关命令】
· display ldapserver
cnid 通用名标示。通常情况下有两种类型一种cn,一种upn
1、cn 全称 common name :每个用户节点的识别属性标识
2、upn 用于用户登录名进行web认证时使用的标识
【命令】
cnid
【缺省情况】
缺省情况下,cnid为空
【视图】
ldap配置视图
【使用指导】
1、cn 全称 common name :每个用户节点的识别属性标识,当使用标示名时使用cn。
2、upn 用于用户登录名进行web认证时使用的标识。
【举例】
# 启用负载均衡组。
host# system-view
host(config)# ldap ad-ldap
host(config)#cnid cn
【相关命令】
· display ldapserver
dn也叫Base dn用于获取同步信息的服务器域名路径
【命令】
Dn distinguish name
【缺省情况】
缺省情况下,DN为空
【视图】
ldap配置视图
【使用指导】
当配置dn时需保证dn路径正常,否则ldap服务器无法同步和认证
【举例】
# 配置dn路径。
host# system-view
host(config)# ldap ad-ldap
host(config)#dn ou=spl,ou=abt,dc=sa,dc=com
【相关命令】
· display ldap
display sync-task 命令用来查看LDAP用户同步情况。
【命令】
display sync-task
【视图】
全局视图
【使用指导】
该命令用于查看LDAP用户同步。
【举例】
# 配置ldap服务器自动同步,并设置同步时间为0点
HOST# display sync-task
--------------------------------------------------------------------------------------
NAME DESC STATUS SYNC_TYPE SYNC_TIME RECORD_LOCAL LATEST_SYNC_STATUS
---------------------------------------------------------------------------------------
123 enable LDAP同步 0 enable
同步成功
【相关命令】
· display ldap
ldap auto-syn命令用来配置ldap服务器
【命令】
ldap auto-syn {enable | disable| <0-23>}
【视图】
ldap配置视图
【使用指导】
只有开启自动同步后才可以配置同步时间,默认23点同步。
【举例】
# 配置ldap服务器自动同步,并设置同步时间为0点
host# system-view
host(config)# ldap ad-ldap
host(config-ldap)# ldap auto-syn enable
host(config-ldap)# ldap auto-syn 0
【相关命令】
· display ldapserver
ldap A.B.C.D 命令用来配置ldap服务器地址
【命令】
ldap A.B.C.D
【缺省情况】
缺省情况下,没有ldap服务器地址,默认端口389
【视图】
LDAP配置视图
【参数】
server-ip:LDAP服务器地址。
port:LDAP服务器端口,范围是1~65535,缺省389。
【举例】
# 配置LDAP服务器server2的地址为A.B.C.D。
host# system-view
host(config)# ldap server2
host(config-ldap)# ldap A.B.C.D 389
【相关命令】
· display ldap
ldap name命令用来ldap配置试图。
No ldap name命令删除ldap服务器。
【命令】
Ldap name
No ldap name
【缺省情况】
缺省情况下,未配置ldap服务器
【视图】
系统视图
【使用指导】
当需要使用ldap认证或者同步时需要配置ldap服务器
【举例】
# 创建ldap服务器名称。
host# system-view
host(config)# ldap ad-ldap
host(config-ldap)#
表1-11 LDAP服务器页面的详细说明
|
字段 |
说明 |
|
Ldap name名称 |
LDAP服务器名称 |
|
addr服务器IP |
LDAP服务器地址 |
|
port端口 |
LDAP服务器端口,默认389明文,暂不支持636加密同步 |
|
cnid通用名标示 |
1、cn 全称 common name :每个用户节点的识别属性标识 2、upn 用于用户登录名进行web认证时使用的标识 |
|
dn |
用于获取同步信息的服务器域名路径 |
|
bindtype绑定方式 |
1.匿名 2.简单 |
|
管理员 |
拥有管理权限的域服务器管理员 |
|
管理员密码 |
管理员对应密码 |
|
自动同步 |
开启关闭自动同步 |
|
时间 |
勾选自动同步后配置自动同步时间向AD服务器发送同步请求 |
ldap-auth easy-name-match命令用来配置ldap认证用户名称是否区分大小写。
【命令】
ldap-auth easy-name-match{enable|disable}
【视图】
(config)#视图
【使用指导】
默认情况下设备认证过程中用户名称区分大小写,而LDAP服务器在检验用户名时不区分大小写,如在LDAP服务器上配置用户名为aaa,用户在认证时输入AAA,也可以认证通过,但在设备侧上线时记录的用户名是AAA,由于设备从LDAP服务器同步下来的用户名是aaa,其他策略在调用aaa做控制后,由于上线时的用户为AAA,导致策略无法匹配上,为了解决这一问题,设备侧开启认证用户名称不区分大小写,即使用户输入了AAA,上线时也会显示为aaa,与本地存的用户名一模一样,保证了后续用户对象正常匹配。
【举例】
# 配置ldap认证用户名称大小写匹配
(config)# ldap-auth easy-name-match enable 开启后认证时对用户名不区分大小写匹配
(config)# ldap-auth easy-name-match disable 默认区分认证时对用户名区分大小写匹配
【相关命令】
· display ldap-auth easy-name-match switch
ldap-task 命令用于从ldap服务器同步用户到设备。
【命令】
ldap-task { enable | disable} NAME LDAPSVERVER { ou | sg } {enable | disable } <0-23> <1-24> [.DESCRIPTION]
【视图】
config视图
【参数】
enable|disable:启用|禁用同步任务
NAME:同步任务名称
ou | sg:同步模式,可以选择 ou或 sg(安全组)
<0-23>:同步时间,once标识只同步一次
<1-24>:间隔多久同步一次
LDAPSVERVER:LDAP服务器名称
.DESCRIPTION:描述信息,非必填项
【使用指导】
配置此命令前,需要先配置LDAP服务器。
【举例】
HOST(config)# ldap-task enable 123 ldap1 ou enable 0 24
【相关命令】
display ldap-task
imc-server1(imc-server2)命令用来配置第三方用户同步接口服务器1(服务器2)。
no imc-server1(imc-server2)命令用来删除第三方服务器1(服务器2)。
【命令】
imc-server1(imc-server2) NAME A.B.C.D PASSWD
no imc-server1(imc-server2)
【视图】
系统配置视图
【参数】
NAME:第三方服务器名称。
A.B.C.D:第三方服务器地址。
PASSWD:与第三方服务器之间对接的密钥,需要与服务器保持一致。。
【使用指导】
原有命令格式为imc-server NAME A.B.C.D PASSWD,为了与UI上的服务器1、服务器2配置对应,修改命令格式为imc-server1 NAME A.B.C.D PASSWD,imc-server2 NAME A.B.C.D PASSWD,同时做了版本升级配置兼容性,版本升级后自动适配为新的命令格式,但不支持版本回退配置兼容。
【举例】
#配置第三方用户同步接口名称为imc1,服务器地址为10.0.50.210,密钥为123456
HOST# system-view
HOST(config)# imc-server1 imc1 10.0.50.210 123456
【相关命令】
· display imc-server
user-radius-listen accounting port <1-65535>命令用来配置Radius服务器上计费报文的接收端口。
user-radius-listen authentication port <1-65535>命令用来配置Radius服务器上认证报文的接收端口。
user-radius-listen { disable|enable [NAME]}命令用来禁用/开启radius用户同步功能,并设置将同步成功的radius账号加入本地已创建的用户组
user-radius-listen timeout <10-144000>命令用来配置通过同步上线的radius用户超时时间
【命令】
user-radius-listen accounting port <1-65535>
user-radius-listen authentication port <1-65535>
user-radius-listen { disable|enable [NAME]}
user-radius-listen timeout <10-144000>
【视图】
系统配置视图
【参数】
<1-65535>:Radius服务器上计费报文的接收端口,默认为1812。
<1-65535>:Radius服务器上认证报文的接收端口,默认 1813。
disable:禁用radius用户同步功能,默认为禁用状态。
enable:启用radius用户同步功能,同步成功的用户默认加入Radius用户组。
NAME:将Radius同步成功的用户加入本地创建的指定用户组中。
<10-144000>:配置通过Radius同步上线的用户超时时间,默认为15分钟。
【使用指导】
Radius报文直接过设备或通过旁路方式镜像到设备的场景均支持。
【举例】
#配置Radius用户同步
HOST# system-view
HOST(config)# user-radius-listen enable 开启Radius用户同步
HOST(config)# user-radius-listen authentication port 1812 配置radius认证端口为1812
HOST(config)# user-radius-listen accounting port 1813 配置Radius计费端口为1813
HOST(config)#user-radius-listen timeout 144000 配置超时时间为144000分钟
【相关命令】
· display user-radius-listen
user-srun switch 命令用来配置与第三方深澜认证服务器对接。
【命令】
user-srun switch {enable|disable}
【视图】
系统配置视图
【参数】
enable:启用与第三方深澜认证服务器对接功能。
disable:禁用与第三方深澜认证服务器对接功能。
【使用指导】
深澜认证服务器报文直接通过旁路方式镜像到设备即可。
【举例】
#配置与第三方深澜认证服务器对接
HOST# system-view
HOST(config)# user-srun switch enable 开启与第三方深澜认证服务器对接的用户同步
HOST(config)#
【相关命令】
· display user-srun switch
user-sols switch 命令用来配置与第三方城市热点认证服务器对接。
【命令】
user-sols switch {enable|disable}
【视图】
系统配置视图
【参数】
enable:启用与第三方城市热点认证服务器对接功能。
disable:禁用与第三方城市热点认证服务器对接功能。
【使用指导】
城市热点认证服务器报文直接通过旁路方式镜像到设备即可。
【举例】
#配置与第三方城市热点认证服务器对接
HOST# system-view
HOST(config)# user-sols switch enable 开启与第三方城市热点认证服务器对接的用户同步
HOST(config)#
【相关命令】
· display user-sols switch
user-am switch 命令用来配置与第三方安美认证服务器对接。
【命令】
user-am switch {enable|disable}
【视图】
系统配置视图
【参数】
enable:启用与第三方安美认证服务器对接功能。
disable:禁用与第三方安美认证服务器对接功能。
【使用指导】
安美认证服务器报文直接通过旁路方式镜像到设备即可。
【举例】
#配置与第三方安美认证服务器对接
HOST# system-view
HOST(config)# user-am switch enable 开启与第三方安美认证服务器对接的用户同步
HOST(config)#
【相关命令】
· display user-am switch
pppoe user-snooper 命令用来配置与第三方pppoe认证服务器对接。
【命令】
pppoe user-snooper {enable|disable}
【视图】
系统配置视图
【参数】
enable:启用与第三方pppoe认证服务器对接功能。
disable:禁用与第三方pppoe认证服务器对接功能。
【使用指导】
pppoe认证报文直接过设备或通过旁路方式镜像到设备场景都支持。
【举例】
#配置与第三方pppoe认证服务器对接
HOST# system-view
HOST(config)# pppoe user-snooper enable 开启与第三方安美认证服务器对接的用户同步
HOST(config)#
user mac-sensitive 命令用来配置用户识别是否对MAC变化保持敏感。
【命令】
user mac-sensitive{enable|disable}
【视图】
(config)#视图
【参数】
enable:开启用户MAC敏感,用户MAC发生变化后会被踢下线重新识别。
disable:关闭用户MAC敏感。
【使用指导】
用户MAC敏感命令是配合SNMP跨三层学习MAC功能一起使用的,默认情况下为disable状态,即用户MAC发生变化后用户不会被踢下线;在跨三层环境下由于通过SNMP获取到真实MAC后在线用户的MAC会发生变化,开启MAC敏感以将用户踢下线,重新进行识别,以便重新关联用户。
说明:跨三层环境下,用户上线时MAC识别为匿名用户,MAC 地址为下联三层设备的接口MAC1,用户静态绑定条目为(user2 MAC2),当开启跨三层学习后,正常获取到用户的真实MAC2,如果用户MAC敏感为关闭状态,用户不会重新识别会导致无法关联上静态绑定用户,在线用户仍然会显示匿名用户,就会导致所有引用了账号user2的策略均不生效。
【举例】
# 配置用户MAC敏感
(config)# user mac-sensitive enable 开启用户MAC敏感
(config)# user mac-sensitive disable 关闭用户MAC敏感
【相关命令】
无
旁路认证是指设备旁路部署,为用户提供安全认证服务,如本地web认证、portal认证,不改变客户原有网络架构。
deploy-mode listen enable命令用于接口启用旁路部署。
deploy-mode listen disable命令用于关闭接口旁路部署。
【命令】
deploy-mode listen {enable| disable}
【缺省情况】
缺省情况下, 旁路认证未开启。
【视图】
接口视图
【参数】
enable:开启旁路监听功能。
disable:关闭旁路监听功能。
【使用指导】
· 旁路模式并不替换用户的路由器,也不提供任何NAT,DHCP或者DNS服务。它通常 放在交换机旁边,通过镜像的方式,仅仅提供认证的功能。旁路模式不修改网络结构, 甚至不关心网络细节,关机也不掉线。
· 核心交换机将所有流量镜像给Device,Device需另外配置一个管理口与内网pc路由可达,开启旁路认证功能,配置认证策略进行认证。
【举例】
# 开启旁路认证功能,配置认证策略为本地web认证。
H3C # system-view
H3C (config)# interface ge8
H3C (config-ge8)# deploy-mode listen enable
H3C (config)# user-policy listen authentication enable
H3C (config)# user-policy ge8 ge8 any any always local-webauth enable test no-record forever
user-policy listen authentication 命令打开或关闭旁路认证。
【命令】
user-policy listen authentication {enable| disable}
【缺省情况】
缺省情况下, 旁路认证未开启。
【视图】
系统视图
【参数】
enable:开启旁路认证功能。
disable:关闭旁路认证功能。
【使用指导】
Ø 旁路模式并不替换用户的路由器,也不提供任何NAT,DHCP或者DNS服务。它通常 放在交换机旁边,通过镜像的方式,仅仅提供认证的功能。旁路模式不修改网络结构, 甚至不关心网络细节,关机也不掉线。
Ø 核心交换机将所有流量镜像给Device,Device需另外配置一个管理口与内网pc路由可达,开启旁路认证功能,配置认证策略进行认证。
Ø 旁路认证功能必须与用户策略配合使用才能生效,具体用户策略配置请参考用户认证章节。
【举例】
# 开启旁路认证功能,配置认证策略为本地web认证。
H3C # system-view
H3C (config)# int ge8
H3C (config-ge8)# deploy-mode listen enable
H3C (config)# user-policy listen authentication enable
H3C (config)# user-policy ge8 ge8 any any always local-webauth enable test no-record forever
policy listen block enable 命令用来开启旁路阻断功能。
policy listen block disable 命令用来关闭旁路阻断功能。
【命令】
policy listen block{enable | disable}
【缺省情况】
缺省情况下,旁路阻断功能是关闭。
【视图】
系统视图
【参数】
enable:开启旁路阻断功能。
disable:关闭旁路阻断功能。
【使用指导】
旁路阻断是针对用户发送TCP rst报文进行阻挡,通过匹配IPV4安全策略阻断相应的上网行为,旁路模式下不修改网络结构,不关心网络细节,甚至设备故障下线也不会影响用户上网。
【举例】
# 将设备开启旁路阻断功能。
H3C # system-view
H3C (config)# policy listen block enable
【相关命令】
· display running-config policy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
