设备支持多种途径配置NAS-ID，按照获取优先级从高到低的顺序依次包括：NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、接口视图下的NAS-ID、ISP域视图下的NAS-ID。其中，接口视图下配置的NAS-ID仅对PPP、Portal和IPoE用户有效。若以上配置都不存在，则使用设备的名称作为NAS-ID。

【举例】

# 在接口GigabitEthernet3/1/1下配置NAS-ID为test。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] aaa nas-id test

【相关命令】

· aaa nas-id profile

· nas-id

1.1.4 aaa nas-id profile

aaa nas-id profile命令用来创建NAS-ID Profile，并进入NAS-ID-Profile视图。如果指定的NAS-ID Profile已经存在，则直接进入NAS-ID-Profile视图。

undo aaa nas-id profile命令用来删除指定的NAS-ID Profile。

【命令】

aaa nas-id profile profile-name

undo aaa nas-id profile profile-name

【缺省情况】

不存在NAS-ID Profile。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

profile-name：Profile名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

在某些应用环境中，网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来获知用户的接入位置，而用户的接入VLAN可标识用户的接入位置，因此接入设备上可通过建立用户接入VLAN与指定的NAS-ID之间的绑定关系来实现接入位置信息的映射。NAS-ID Profile用于保存NAS-ID和VLAN的绑定关系。

设备支持多种途径配置NAS-ID，按照获取优先级从高到低的顺序依次包括：NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、接口视图下的设备的NAS-ID、ISP域视图下的NAS-ID。

【举例】

# 创建一个名称为aaa的NAS-ID Profile，并进入NAS-ID-Profile视图。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa]

【相关命令】

· aaa nas-id

· aaa nas-id-profile

· nas-id bind

· portal nas-id-profile（BRAS业务命令参考/Portal）

1.1.5 aaa nas-id-profile

aaa nas-id-profile命令用来指定接口引用的NAS-ID Profile。

undo aaa nas-id-profile命令用来恢复缺省情况。

【命令】

aaa nas-id-profile profile-name

undo aaa nas-id-profile

【缺省情况】

未指定引用的NAS-ID Profile。

【视图】

三层接口视图

【缺省用户角色】

network-admin

【参数】

profile-name：标识指定VLAN和NAS-ID绑定关系的NAS-ID Profile名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

本配置仅对PPP、Portal和IPoE用户有效。

需要注意的是，对于Portal用户，若接口上同时通过aaa nas-id-profile命令和portal nas-id-profile命令指定了NAS-ID Profile，则后者指定的NAS-ID Profile优先级高。关于portal nas-id-profile命令的详细介绍，请参见“BRAS业务命令参考”中的“Portal”。

【举例】

# 在接口GigabitEthernet3/1/1上引用名为 bbb的NAS-ID Profile。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname–GigabitEthernet3/1/1] aaa nas-id-profile bbb

【相关命令】

· aaa nas-id profile

· nas-id bind

· portal nas-id-profile（BRAS业务命令参考/Portal）

1.1.6 aaa nas-ip

aaa nas-ip用来在接口上配置设备的NAS-IP地址。

undo aaa nas-ip用来删除接口上配置的NAS-IP地址。

【命令】

aaa nas-ip { ipv4-address | ipv6 ipv6-address }

undo aaa nas-ip [ ipv6 ]

【缺省情况】

接口上未配置设备的NAS-IP地址。

【视图】

三层接口视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：指定的IPv4 NAS-IP地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定的IPv6 NAS-IP地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

可通过本命令配置设备发送的RADIUS报文中携带的NAS-IP-Address或NAS-IPv6-Address属性内容，简称为NAS-IP地址，该地址用于标识用户接入的设备，且在RADIUS服务器上必须全局唯一。

RADIUS服务器发送的DAE请求报文中若携带该属性，则表示该请求报文要发送给指定的接入设备。当接入设备收到DAE请求报文后，会获取报文中携带的NAS-IP地址与本地保存的NAS-IP地址进行比较，若相同则接受该请求报文并进行后续的处理，否则不对其进行处理。

接口视图、RADIUS方案视图以及系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址，具体生效情况如下：

· 接口视图下配置的NAS-IP地址（通过aaa nas-ip命令）只对在本接口上线的用户有效。

· RADIUS方案视图下配置的NAS-IP地址（通过nas-ip命令）只对本方案有效。

· 系统视图下的配置的NAS-IP地址（通过radius nas-ip命令）对所有RADIUS方案有效。

· 以上各视图下的配置优先级从高到底依次为：接口视图->RADIUS方案视图->系统视图。

一个接口视图下，最多允许指定一个IPv4 NAS-IP地址和一个IPv6 NAS-IP地址。

如果undo aaa nas-ip命令中不指定ipv6参数，则表示删除配置的IPv4 NAS-IP地址。

【举例】

# 在以太网接口GigabitEthernet3/1/1下配置设备的NAS-IP地址为1.1.1.1。

<sysname> system-view

[sysname] interface gigabitethernet 3/1/1

[sysname-interface GigabitEthernet3/1/1] aaa nas-ip 1.1.1.1

【相关命令】

· nas-ip (RADIUS scheme view)

· radius nas-ip

1.1.7 aaa normal-offline-record enable

aaa normal-offline-record enable命令用来开启用户正常下线记录功能。

undo aaa normal-offline-record enable命令用来关闭用户正常下线记录功能。

【命令】

aaa normal-offline-record enable

undo aaa normal-offline-record enable

【缺省情况】

用户正常下线记录功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后，设备会将所有用户正常下线信息（用户基本信息、下线原因等）记录到系统内存中，具体内容可通过display aaa normal-offline-record命令进行查看。当管理员需要分析用户下线原因时，建议开启本功能。

只有用户下线记录功能处于开启状态，本功能才能生效。

设备最多支持存储32768条用户正常下线记录，超过该数目后，新的记录会覆盖旧的记录。

关闭本功能后，系统停止记录用户正常下线信息，可提高当前可用内存容量，但管理员将看不到用户正常下线信息。

【举例】

# 开启用户正常下线记录功能。

<Sysname> system-view

[Sysname] aaa normal-offline-record enable

【相关命令】

· aaa offline-record enable

· display aaa normal-offline-record

1.1.8 aaa roam-domain

aaa roam-domain命令用来配置接口上的漫游域。

undo aaa roam-domain命令用来删除接口上的漫游域。

【命令】

aaa roam-domain isp-name

undo aaa roam-domain

【缺省情况】

接口上未配置漫游域。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

isp-name：ISP域名，为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符，且必须已经存在。

【使用指导】

如果从接口上线的用户需要使用的认证域在设备上不存在，则可以通过接口上指定的漫游域作为用户的归属域进行认证。

本配置仅适用于lan-access、PPP、IPoE、Portal网络接入类用户。

【举例】

# 配置接口GigabitEthernet3/1/1上的漫游域为domain1。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] aaa roam-domain domain1

【相关命令】

· domain

1.1.9 aaa offline-record enable

aaa offline-record enable命令用来开启用户下线记录功能。

undo aaa offline-record enable命令用来关闭用户下线记录功能。

【命令】

aaa offline-record enable

undo aaa offline-record enable

【缺省情况】

用户下线记录功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

本功能用于总体控制用户下线记录功能是否开启。只有本功能处于开启状态，用户正常下线记录功能和用户异常下线记录功能才能生效。

开启本功能后，若用户正常下线记录功能、用户异常下线记录功能处于开启状态，设备会将所有用户正常下线，用户异常下线的信息（用户基本信息、下线原因等）记录到系统内存中，具体内容可通过display aaa offline-record命令进行查看。

设备最多支持存储65536条用户下线记录，超过该数目后，新的记录会覆盖旧的记录。

关闭本功能后，用户下线信息不会被记录到系统内存中，可提高系统当前可用内存容量，但管理员将看不到用户下线信息。

【举例】

# 开启用户下线记录功能。

<Sysname> system-view

[Sysname] aaa offline-record enable

【相关命令】

· aaa abnormal-offline-record enable

· aaa normal-offline-record enable

· display aaa offline-record

1.1.10 aaa online-fail-record enable

aaa online-fail-record enable命令用来开启用户上线失败记录功能。

undo aaa online-fail-record enable命令用来关闭用户上线失败记录功能。

【命令】

aaa online-fail-record enable

undo aaa online-fail-record enable

【缺省情况】

用户上线失败记录功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后，设备会将所有用户上线失败信息（用户基本信息、上线失败原因等）记录到系统内存中，具体内容可通过display aaa online-fail-record命令进行查看。当管理员需要获取用户上线失败记录，以对恶意用户进行初步排查时，建议开启本功能。

设备最多支持存储32768条用户上线失败记录，超过该数目后，新的记录会覆盖旧的记录。

关闭本功能后，系统停止记录用户上线失败信息，可提高当前可用内存容量，但管理员将看不到用户上线失败信息，存在一定风险。

【举例】

# 开启用户上线失败记录功能

<Sysname> system-view

[Sysname] aaa online-fail-record enable

【相关命令】

· display aaa online-fail-record

1.1.11 aaa permit-domain

aaa permit-domain命令用来配置接口上允许用户接入的ISP域。

undo aaa permit-domain命令用来删除接口上允许用户接入的ISP域。

【命令】

aaa permit-domain isp-name

undo aaa permit-domain [ isp-name ]

【缺省情况】

接口上未限制用户接入的ISP域。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

【使用指导】

如果希望仅允许某些域的用户可以接入某接口，则可以通过本配置实现。

本配置仅适用于lan-access、PPP、IPoE、Portal网络接入类用户。

同一个接口下，最多可配置16个允许接入的ISP域。

执行undo命令时，若不指定isp-name参数，则表示删除接口下配置的所有允许接入的域，即不对接口上用户可接入的ISP域进行限制。

同一个接口下，aaa permit-domain命令不能与aaa deny-domain命令同时配置。

【举例】

# 配置接口GigabitEthernet3/1/1上允许用户接入的ISP域为my-domain。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] aaa permit-domain my-domain

1.1.12 aaa stop-accounting-packet master-replace-send

aaa stop-accounting-packet master-replace-send命令用来开启计费停止报文代发功能。

undo aaa stop-accounting-packet master-replace-send命令用来关闭计费停止报文代发功能。

【命令】

aaa stop-accounting-packet master-replace-send

undo aaa stop-accounting-packet master-replace-send

【缺省情况】

计费停止报文代发功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

本功能主要用于解决接口板被拔出时，由于计费服务器未能收到相应的计费停止报文请求，而造成服务器上残留用户信息，导致用户无法再次上线的问题。开启本功能后，主控板会同步所有接口板上需要计费的在线用户信息，并在接口板被拔出时，代替接口板向计费服务器发送计费停止报文，使得服务器上该接口板的用户下线。（独立运行模式）

本功能主要用于解决接口板被拔出时，由于计费服务器未能收到相应的计费停止报文请求，而造成服务器上残留用户信息，导致用户无法再次上线的问题。开启本功能后，全局主用主控板会记录所有接口板上需要计费的在线用户信息，并在接口板被拔出时，代替接口板向计费服务器发送计费停止报文，使得服务器上该接口板的用户下线。（IRF模式）

本功能仅对网络接入类用户生效。

由于开启本功能会占用一定的系统存储和通信资源，因此，仅当计费服务器必须通过计费停止报文来使用户下线时，建议开启此功能。

关闭本功能时，主控板会将之前已经存储的接口板的用户信息全部删除。再次开启本功能时，主控板会主动同步接口板上的在线用户信息。（独立运行模式）

关闭本功能时，全局主用主控板会将之前已经存储的接口板的用户信息全部删除。再次开启本功能时，全局主用主控板会主动同步接口板上的在线用户信息。（IRF模式）

【举例】

# 开启计费停止报文代发功能。

<Sysname> system-view

[Sysname] aaa stop-accounting-packet master-replace-send

1.1.13 aaa session-limit

aaa session-limit命令用来配置同时在线的最大用户连接数，即采用指定登录方式登录设备并同时在线的用户数。

undo aaa session-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况。

【命令】

aaa session-limit { ftp | http | https | ssh | telnet } max-sessions

undo aaa session-limit { ftp | http | https | ssh | telnet }

【缺省情况】

同时在线的各类型最大用户连接数均为32。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ftp：表示FTP用户。

http：表示HTTP用户。

https：表示HTTPS用户。

ssh：表示SSH用户。

telnet：表示Telnet用户。

max-sessions：允许同时在线的最大用户连接数，FTP/SSH/Telnet用户的取值范围为1～32，HTTP/HTTPS用户的取值范围为1～64。

【使用指导】

当指定类型的接入用户的用户数超过当前配置的最大连接数后，新的接入请求将被拒绝。

【举例】

# 设置同时在线的最大FTP用户连接数为4。

<Sysname> system-view

[Sysname] aaa session-limit ftp 4

1.1.14 aaa ssid

aaa ssid命令用来在接口上配置SSID。

undo aaa ssid命令用来删除接口上配置的SSID。

【命令】

aaa ssid ssid-value

undo aaa ssid

【缺省情况】

接口上未配置SSID。

【视图】

三层接口视图

【缺省用户角色】

network-admin

【参数】

ssid-value：SSID的名称，为1～32个字符的字符串，区分大小写。

【使用指导】

在用户通过无线方式接入的组网环境中，可通过在用户接入的接口上配置本命令来指定设备重定向给用户的Web服务器的URL中携带的SSID信息，以及指定接入设备发送的RADIUS认证请求报文中的30号标准属性Called-Station-Id携带的SSID信息（格式为“00-00-00-00-00-00: ssid-value）。

接入设备重定向给用户的Web服务器的URL中是否携带SSID信息，由用户认证域下的web-server url-parameter命令中是否指定了ssid参数决定。

如果用户不属于无线方式接入，则不建议通过本命令在接口上配置SSID。

【举例】

# 在接口GigabitEthernet3/1/1下配置SSID为test11。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] aaa ssid test11

【相关命令】

· web-server url-parameter

1.1.15 accounting command

accounting command命令用来配置命令行计费方法。

undo accounting command命令用来恢复缺省情况。

【命令】

accounting command hwtacacs-scheme hwtacacs-scheme-name

undo accounting command

【缺省情况】

命令行计费采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

命令行计费过程是指，用户执行过的合法命令会被发送给计费服务器进行记录。若未开启命令行授权功能，则计费服务器对用户执行过的所有合法命令进行记录；若开启了命令行授权功能，则计费服务器仅对授权通过的命令进行记录。

目前，仅支持使用远程HWTACACS服务器完成命令行计费功能。

【举例】

# 在ISP域test下，配置使用HWTACACS计费方案hwtac进行命令行计费。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting command hwtacacs-scheme hwtac

【相关命令】

· accounting default

· command accounting（基础配置命令参考/登录设备）

· hwtacacs scheme

1.1.16 accounting default

accounting default命令用来为当前ISP域配置缺省的计费方法。

undo accounting default命令用来恢复缺省情况。

【命令】

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting default

【缺省情况】

当前ISP域的缺省计费方法为local。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用，但是如果某类型的用户不支持指定的计费方法，则该计费方法对于这类用户不能生效。

本地计费只是为了支持本地用户的连接数管理，没有实际的计费相关的统计功能。

可以指定多个备选的计费方法，在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS计费，若RADIUS计费无效则进行本地计费，若本地计费也无效则不进行计费。

当采用本地计费方法为主计费方法，且配置了备选计费方法时，仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下，用户本地计费失败后才会尝试使用备选方法进行认证，其它情况下不会转换计费方法，直接认为计费失败。

【举例】

# 在ISP域test下，配置缺省计费方法为使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting default radius-scheme rd local

【相关命令】

· hwtacacs scheme

· local-user

· radius scheme

1.1.17 accounting dual-stack

accounting dual-stack命令用来配置双协议栈用户的计费方式。

undo accounting dual-stack命令用来恢复缺省情况。

【命令】

accounting dual-stack { merge | separate }

undo accounting dual-stack

【缺省情况】

双协议栈用户的计费方式为统一计费。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

merge：统一计费方式，表示将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器。

separate：分别计费方式，表示将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器。

【使用指导】

双协议栈用户的主机上同时支持IPv4和IPv6两种协议，可能产生两种协议类型的流量。分别计费模式通常应用于IPv4流量费率和IPv6流量费率不一样的情况；统一计费模式通常应用于不需要区分IPv4流量和IPv6流量的情况。

需要注意的是，如果配置双协议栈用户的计费方式为分别计费，则该域下IPoE用户主业务会话的IPv4流量和IPv6流量，除了会分别计费，还将分别应用授权CAR参数。

【举例】

# 在ISP域test下，配置双栈用户的计费方式为统一计费。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting dual-stack merge

1.1.18 accounting ipoe

accounting ipoe命令用来为IPoE用户配置计费方法。

undo accounting ipoe命令用来恢复缺省情况。

【命令】

accounting ipoe { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting ipoe

【缺省情况】

IPoE用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

broadcast：指定广播RADIUS方案，即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。

radius-scheme radius-scheme-name1：表示主送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写；

radius-scheme radius-scheme-name2：表示抄送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS计费，若RADIUS计费无效则进行本地计费，若本地计费也无效则不进行计费。

当指定broadcast关键字时，将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求，若某RADIUS方案里的主计费服务器不可达，则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时，表示用户计费成功；抄送计费方案的计费结果对用户无影响。当用户下线时，将会向主送RADIUS方案和抄送计费方案里的主计费服务器发送计费停止请求。

【举例】

# 在ISP域test下，为IPoE用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting ipoe local

# 在ISP域test下，配置IPoE用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting ipoe radius-scheme rd local

# 在ISP域test下，配置IPoE用户使用RADIUS方案rd1和rd2进行广播计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting ipoe broadcast radius-scheme rd1 radius-scheme rd2 local

【相关命令】

· accounting default

· local-user

· radius scheme

· timer realtime-accounting (RADIUS scheme view)

1.1.19 accounting lan-access

accounting lan-access命令用来为lan-access用户配置计费方法。

undo accounting lan-access命令用来恢复缺省情况。

【命令】

accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting lan-access

【缺省情况】

lan-access用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

broadcast：指定广播RADIUS方案，即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。

radius-scheme radius-scheme-name1：表示主送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写；

radius-scheme radius-scheme-name2：表示抄送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

指定broadcast关键字的情况下，设备将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费开始/更新/停止请求，若某RADIUS方案里的主计费服务器不可达，则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时，表示用户计费成功；抄送计费方案的计费结果对用户无影响。

【举例】

# 在ISP域test下，为lan-access用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting lan-access local

# 在ISP域test下，配置lan-access用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting lan-access radius-scheme rd local

# 在ISP域test下，配置lan-access用户使用RADIUS方案rd1和rd2进行广播计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting lan-access broadcast radius-scheme rd1 radius-scheme rd2 local

【相关命令】

· accounting default

· local-user

· radius scheme

· timer realtime-accounting (RADIUS scheme view)

1.1.20 accounting login

accounting login命令用来为login用户配置计费方法。

undo accounting login命令用来恢复缺省情况。

【命令】

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting login

【缺省情况】

login用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

不支持对FTP、SFTP以及SCP类型的login用户进行计费。

【举例】

# 在ISP域test下，为login用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting login local

# 在ISP域test下，配置login用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting login radius-scheme rd local

【相关命令】

· accounting default

· hwtacacs scheme

· local-user

· radius scheme

1.1.21 accounting portal

accounting portal命令用来为Portal用户配置计费方法。

undo accounting portal命令用来恢复缺省情况。

【命令】

accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting portal

【缺省情况】

Portal用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

broadcast：指定广播RADIUS方案，即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。

radius-scheme radius-scheme-name1：表示主送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写；

radius-scheme radius-scheme-name2：表示抄送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

指定broadcast关键字的情况下，设备将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求，若某RADIUS方案里的主计费服务器不可达，则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费开始/更新/停止请求。主送计费方案计费成功时，表示用户计费成功；抄送计费方案的计费结果对用户无影响。

【举例】

# 在ISP域test下，为Portal用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting portal local

# 在ISP域test下，配置Portal用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting portal radius-scheme rd local

# 在ISP域test下，配置Portal用户使用RADIUS方案rd1和rd2进行广播计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting portal broadcast radius-scheme rd1 radius-scheme rd2 local

【相关命令】

· accounting default

· local-user

· radius scheme

· timer realtime-accounting (RADIUS scheme view)

1.1.22 accounting ppp

accounting ppp命令用来为PPP用户配置计费方法。

undo accounting ppp命令用来恢复缺省情况。

【命令】

accounting ppp { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] | hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting ppp

【缺省情况】

PPP用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

broadcast：指定广播RADIUS方案，即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。

radius-scheme radius-scheme-name1：表示主送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写；

radius-scheme radius-scheme-name2：表示抄送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写。

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

指定broadcast关键字的情况下，设备将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费开始/更新/停止请求，若某RADIUS方案里的主计费服务器不可达，则按照配置顺序依次尝试向RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时，表示用户计费成功；抄送计费方案的计费结果对用户无影响。

【举例】

# 在ISP域test下，为PPP用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting ppp local

# 在ISP域test下，配置PPP用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting ppp radius-scheme rd local

# 在ISP域test下，配置PPP用户使用RADIUS方案rd1和rd2进行广播计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting ppp broadcast radius-scheme rd1 radius-scheme rd2 local

【相关命令】

· accounting default

· hwtacacs scheme

· local-user

· radius scheme

· timer realtime-accounting (RADIUS scheme view)

1.1.23 accounting quota-out

accounting quota-out命令用来配置用户计费配额（流量或时长）耗尽策略。

undo accounting quota-out命令用来恢复缺省情况。

【命令】

accounting quota-out { offline | online | redirect-url url-string [ stop-accounting ] [ user-profile profile-name ] } [ no-accounting-update ]

undo accounting quota-out

【缺省情况】

用户的当前计费配额耗尽后，设备会向服务器发送计费更新报文来获取新的配额，若计费回应报文未携带新的配额，则该用户被强制下线。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

offline：当用户的整体配额耗尽后，强制用户下线。

online：当用户的整体配额耗尽后，允许用户保持在线状态。

redirect-url url-string：当用户的整体流量配额耗尽后，向用户推送重定向Web页面。其中，url-string表示重定向URL，为1～255个字符的字符串，区分大小写。该参数仅对PPPoE用户生效。

stop-accounting：表示向计费服务器发送停止计费报文。若不指定该参数，则表示不发送停止计费报文。

user-profile profile-name：指定下发给用户的User Profile。其中，profile-name为User Profile名称，为1～31个字符的字符串，只能包含英文字母、数字、下划线、减号和英文句号，支持以字母和数字开头，但不能为纯数字，区分大小写。若指定了该参数，用户的整体流量配额耗尽后，该用户的访问行为将受到User Profile配置的限制。若不指定该参数，在用户重新获取流量配额之前，用户的访问行为不受任何User Profile配置的限制。

no-accounting-update：不发送用于获取新配额的计费更新报文。

【使用指导】

需要注意的是，本命令仅在CSPC-GE16XP4L-E、CSPC-GE24L-E、CSPC-GP24GE8XP2L-E单板和CSPEX类单板上配置生效。

若服务器不支持分多次向在线用户授权下发计费配额，则建议配置用户计费配额耗尽策略时指定no-accounting-update参数，以减小服务器的负担。

【举例】

# 在ISP域test下，配置用户计费配额耗尽策略为：当配额耗尽后用户仍能保持在线状态。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting quota-out online

1.1.24 accounting start-delay

accounting start-delay命令用来配置发送计费开始请求报文的延迟时间。

undo accounting start-delay命令用来恢复缺省情况。

【命令】

accounting start-delay delay-time

undo accounting start-delay

【缺省情况】

计费开始请求报文不延迟发送。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

delay-time：表示延迟时间，取值范围为1～300，单位为秒。

【使用指导】

缺省情况下，当认证通过的IPoE、PPPoE双栈用户获取到第一个IP地址后，设备会向计费服务器发送一个计费开始请求报文。之后，该用户每获取到一个IP地址，设备会向计费服务器发送一个实时计费请求报文。如果服务器端并不希望因为用户获取多个IP地址而收到多个计费报文，则可以配置设备发送计费开始报文的延迟时间，使得设备在该延迟时间内，等待用户获取到所有该分配的IP地址后，再统一发送一个计费开始请求报文。如果在该延迟时间到达后，用户未能获取到所有该分配的IP地址，设备将发送一个计费开始请求报文，后续该用户获取到IP地址时设备发送计费更新报文。用户地址分配的完成情况，由用户接入模块决定。

本配置仅对IPoE、PPPoE双栈用户场景生效，不会影响该域下的其它接入用户的计费过程。

过大的延迟时间会对用户的计费准确度有一定的影响，过小的延迟时间可能导致无法实现统一发送计费开始请求报文的效果，因此延迟时间的取值需要结合双栈用户地址分配所需总时长来合理设置。

【举例】

# 在ISP域test下，配置发送计费开始请求报文的延迟发送时间为10秒。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting start-delay 10

【相关命令】

· display domain

1.1.25 accounting start-fail

accounting start-fail命令用来配置用户计费开始失败策略，即设备向计费服务器发送计费开始请求失败后，是否允许用户接入网络。

undo accounting start-fail命令用来恢复缺省情况。

【命令】

accounting start-fail { offline | online }

undo accounting start-fail

【缺省情况】

如果用户计费开始失败，允许用户保持在线状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

offline：强制用户下线。

online：允许用户保持在线状态。

【使用指导】

需要注意的是，本命令仅在CSPC-GE16XP4L-E、CSPC-GE24L-E、CSPC-GP24GE8XP2L-E单板和CSPEX类单板上配置生效。

【举例】

# 在ISP域test下，配置计费开始失败策略为：用户计费开始失败时允许用户保持在线状态。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting start-fail online

1.1.26 accounting update-fail

accounting update-fail命令用来配置用户计费更新失败策略，即设备向计费服务器发送用户的计费更新报文失败时，是否允许用户接入网络。

undo accounting update-fail命令用来恢复缺省情况。

【命令】

accounting update-fail { [ max-times max-times ] offline | online }

undo accounting update-fail

【缺省情况】

如果用户计费更新失败，允许用户保持在线状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

max-times max-times：允许用户连续计费更新失败的次数，取值范围1～255，缺省值为1。

offline：如果用户连续计费更新失败的次数达到了指定的次数，则强制用户下线。

online：如果用户计费更新失败，允许用户保持在线状态。

【使用指导】

需要注意的是，本命令仅在CSPC-GE16XP4L-E、CSPC-GE24L-E、CSPC-GP24GE8XP2L-E单板和CSPEX类单板上配置生效。

【举例】

# 在ISP域test下，配置计费更新失败策略为：用户计费更新失败时允许用户保持在线状态。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting update-fail online

1.1.27 authentication default

authentication default命令用来为当前ISP域配置缺省的认证方法。

undo authentication default命令用来为恢复缺省情况。

【命令】

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication default

【缺省情况】

当前ISP域的缺省认证方法为local。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用，但是如果某类型的用户不支持指定的认证方法，则该认证方法对于这类用户不能生效。

可以指定多个备选的认证方法，在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS认证，若RADIUS认证无效则进行本地认证，若本地认证也无效则不进行认证。

当采用本地认证方案为主认证方法，且配置了备选认证方法时，仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下，用户本地认证失败后才会尝试使用备选方法进行认证，其它情况下不会转换认证方法，直接认为认证失败。

【举例】

# 在ISP域test下，配置缺省认证方法为使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication default radius-scheme rd local

【相关命令】

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.28 authentication ipoe

authentication ipoe命令用来为IPoE用户配置认证方法。

undo authentication ipoe命令用来恢复缺省情况。

【命令】

authentication ipoe { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication ipoe

【缺省情况】

IPoE用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地认证。

none：不认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为IPoE用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication ipoe local

# 在ISP域test下，配置IPoE用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication ipoe radius-scheme rd local

【相关命令】

· authentication default

· local-user

· radius scheme

1.1.29 authentication lan-access

authentication lan-access命令用来为lan-access用户配置认证方法。

undo authentication lan-access命令用来恢复缺省情况。

【命令】

authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication lan-access

【缺省情况】

lan-access用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为lan-access用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication lan-access local

# 在ISP域test下，配置lan-access用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication lan-access radius-scheme rd local

【相关命令】

· authentication default

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.30 authentication login

authentication login命令用来为login用户配置认证方法。

undo authentication login命令用来恢复缺省情况。

【命令】

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication login

【缺省情况】

login用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为login用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication login local

# 在ISP域test下，配置login用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication login radius-scheme rd local

【相关命令】

· authentication default

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.31 authentication portal

authentication portal命令用来为Portal用户配置认证方法。

undo authentication portal命令用来恢复缺省情况。

【命令】

authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication portal

【缺省情况】

Portal用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为Portal用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication portal local

# 在ISP域test下，配置Portal用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication portal radius-scheme rd local

【相关命令】

· authentication default

· ldap scheme

· local-user

· radius scheme

1.1.32 authentication ppp

authentication ppp命令用来为PPP用户配置认证方法。

undo authentication ppp命令用来恢复缺省情况。

【命令】

authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication ppp

【缺省情况】

PPP用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为PPP用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication ppp local

# 在ISP域test下，配置PPP用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication ppp radius-scheme rd local

【相关命令】

· authentication default

· hwtacacs scheme

· local-user

· radius scheme

1.1.33 authentication super

authentication super命令用来配置用户角色切换认证方法。

undo authentication super命令用来恢复缺省情况。

【命令】

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *

undo authentication super

【缺省情况】

用户角色切换认证采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色，改变用户所拥有的命令行权限。为了保证切换操作的安全性，需要在用户执行用户角色切换时进行身份认证。设备支持本地和远程两种认证方式，关于用户角色切换的详细介绍请参见“基础配置分册”中的“RBAC”。

可以指定一个备选的认证方法，在当前的认证方法无效时尝试使用备选的方法完成认证。

【举例】

# 在ISP域test下，配置使用HWTACACS方案tac进行用户角色切换认证。

<Sysname> system-view

[Sysname] super authentication-mode scheme

[Sysname] domain name test

[Sysname-isp-test] authentication super hwtacacs-scheme tac

【相关命令】

· authentication default

· hwtacacs scheme

· radius scheme

1.1.34 authentication-method none authorization-attribute

authentication-method none authorization-attribute命令用来配置采用none认证方法时的用户授权属性。

undo authentication-method none authorization-attribute命令用来恢复缺省情况。

【命令】

authentication-method none authorization-attribute session-timeout timeout

undo authentication-method none authorization-attribute session-timeout

【缺省情况】

ISP域下的用户授权属性由服务器授权，若服务器未授权该属性，则采用ISP域下的授权属性设置。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

session-timeout timeout：用户的会话超时时间，取值范围为1～4294967294，单位为秒。如果用户在线时长超过该值，设备会强制该用户下线。此属性只对lan-access、PPP、IPoE、Portal用户生效。

【使用指导】

缺省情况下，认证用户的授权属性可由服务器下发或在ISP域下由authorization-attribute命令设置，设备并未区分该用户使用的认证方法。为了满足采用none认证方法时设置用户授权属性的灵活性，可以配置本特性。目前，本特性仅支持对用户会话超时时间属性进行设置。

如果配置了采用none认证方法时的用户授权属性，则该设置的优先级将高于ISP域下的授权属性设置。

【举例】

# 在ISP域test下，配置采用none认证方法时的用户会话超时时间为60秒。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication-method none authorization-attribute session-timeout 60

【相关命令】

· authorization-attribute

1.1.35 authorization command

authorization command命令用来配置命令行授权方法。

undo authorization command命令用来恢复缺省情况。

【命令】

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }

undo authorization command

【缺省情况】

命令行授权采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地授权。

none：不授权。用户执行角色所允许的命令时，无须接受授权服务器的检查。

【使用指导】

命令行授权是指，用户执行的每一条命令都需要接受授权服务器的检查，只有授权成功的命令才被允许执行。用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制，即，仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行，才能被执行。需要注意的是，命令行授权功能只利用角色中的权限规则对命令行执行权限检查，不进行其它方面的权限检查，例如资源控制策略等。

对用户采用本地命令行授权时，设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查，只有本地用户中配置的授权用户角色所允许的命令才被允许执行。

可以指定多个备选的命令行授权方法，在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如，hwtacacs-scheme hwtacacs-scheme-name local none表示，先进行HWTACACS授权，若HWTACACS授权无效则进行本地授权，若本地授权也无效则不进行授权。

【举例】

# 在ISP域test下，配置命令行授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization command local

# 在ISP域test下，配置使用HWTACACS方案hwtac进行命令行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local

【相关命令】

· command authorization（基础配置命令参考/登录设备）

· hwtacacs scheme

· local-user

1.1.36 authorization default

authorization default命令用来为当前ISP域配置缺省的授权方法。

undo authorization default命令用来恢复缺省情况。

【命令】

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization default

【缺省情况】

当前ISP域的缺省授权方法为local。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时，认证通过的Login用户（通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户）只有系统给予的缺省用户角色level-0，其中FTP/SFTP/SCP用户的工作目录是设备的根目录，但并无访问权限；认证通过的非Login用户可直接访问网络。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用，但是如果某类型的用户不支持指定的授权方法，则该授权方法对于这类用户不能生效。

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

可以指定多个备选的授权方法，在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS授权，若RADIUS授权无效则进行本地授权，若本地授权也无效则不进行授权。

当采用本地授权方案为主授权方法，且配置了备选授权方法时，仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下，用户本地授权失败后才会尝试使用备选方法进行授权，其它情况下不会转换授权方法，直接认为授权失败。

【举例】

# 在ISP域test下，配置缺省授权方法为使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization default radius-scheme rd local

【相关命令】

· hwtacacs scheme

· local-user

· radius scheme

1.1.37 authorization ipoe

authorization ipoe命令用来为IPoE用户配置授权方法。

undo authorization ipoe命令用来恢复缺省情况。

【命令】

authorization ipoe { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization ipoe

【缺省情况】

IPoE用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地授权。

none：不授权。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，为IPoE用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization ipoe local

# 在ISP域test下，配置IPoE用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization ipoe radius-scheme rd local

【相关命令】

· authorization default

· local-user

· radius scheme

1.1.38 authorization lan-access

authorization lan-access命令用来为lan-access用户配置授权方法。

undo authorization lan-access命令用来恢复缺省情况。

【命令】

authorization lan-access { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization lan-access

【缺省情况】

lan-access用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权，认证通过的lan-access用户可直接访问网络。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，为lan-access用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization lan-access local

# 在ISP域test下，配置lan-access用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization lan-access radius-scheme rd local

【相关命令】

· authorization default

· local-user

· radius scheme

1.1.39 authorization login

authorization login命令用来为login用户配置授权方法。

undo authorization login命令用来恢复缺省情况。

【命令】

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization login

【缺省情况】

login用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时，认证通过的Login用户（通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户）只有系统给予的缺省用户角色level-0，其中FTP/SFTP/SCP用户的工作目录是设备的根目录，但并无访问权限。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，为login用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization login local

# 在ISP域test下，配置login用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization login radius-scheme rd local

【相关命令】

· authorization default

· hwtacacs scheme

· local-user

· radius scheme

1.1.40 authorization portal

authorization portal命令用来为Portal用户配置授权方法。

undo authorization portal命令用来恢复缺省情况。

【命令】

authorization portal { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization portal

【缺省情况】

Portal用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权，认证通过的Portal用户可直接访问网络。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，为Portal用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization portal local

# 在ISP域test下，配置Portal用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization portal radius-scheme rd local

【相关命令】

· authorization default

· local-user

· radius scheme

1.1.41 authorization ppp

authorization ppp命令用来为PPP用户配置授权方法。

undo authorization ppp命令用来恢复缺省情况。

【命令】

authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization ppp

【缺省情况】

PPP用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，为PPP用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization ppp local

# 在ISP域test下，配置PPP用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization ppp radius-scheme rd local

【相关命令】

· authorization default

· hwtacacs scheme

· local-user

· radius scheme

1.1.42 authorization-attribute (ISP domain view)

authorization-attribute命令用来设置当前ISP域下的用户授权属性。

undo authorization-attribute命令用来删除指定的授权属性，恢复用户具有的缺省访问权限。

【命令】

authorization-attribute { acl acl-number | car inbound cir committed-information-rate [ pir peak-information-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] | idle-cut minutes [ flow ] [ traffic { both | inbound | outbound } ] | igmp max-access-number max-access-number | ip-pool ipv4-pool-name | ip-pool-group ipv4-pool-group-name | ipv6-nd-prefix-pool ipv6-prefix-pool-name | ipv6-nd-prefix-pool-group ipv6-prefix-pool-group-name | ipv6-pool ipv6-pool-name | ipv6-pool-group ipv6-pool-group-name | ipv6-prefix ipv6-prefix prefix-length | mld max-access-number max-access-number | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | redirect-times times | session-group-profile session-group-profile-name | session-timeout timeout | url url-string [ unlimited ] | user-group user-group-name | user-priority { inbound | outbound } priority | user-profile profile-name | vpn-instance vpn-instance-name }

undo authorization-attribute { acl | car | idle-cut | igmp | ip-pool | ip-pool-group | ipv6-nd-prefix-pool | ipv6-nd-prefix-pool-group | ipv6-pool | ipv6-pool-group | ipv6-prefix | mld | primary-dns | redirect-times | secondary-dns | session-group-profile | session-timeout | url | user-group | user-priority { inbound | outbound } | user-profile | vpn-instance }

【缺省情况】

当前ISP域下的用户闲置切换功能处于关闭状态，IPv4用户可以同时点播的最大节目数为4，IPv6用户可以同时点播的最大节目数为4，对用户的Web访问请求重定向的次数为2，无其它授权属性。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

acl acl-number：指定用于匹配用户流量的ACL。其中acl-number表示ACL编号，取值范围2000～5999，仅支持配置为2000～4999。此属性只对Portal、lan-access用户生效。与授权ACL规则匹配的流量，将按照规则中指定的permit或deny动作进行处理。

car：指定授权用户的流量监管动作。此属性只对PPP、Portal、IPoE用户生效。

inbound：表示用户的上传速率。

outbound：表示用户的下载速率。

cir committed-information-rate：承诺信息速率，取值范围为1～4194303，单位为kbps。

pir peak-information-rate：峰值信息速率，取值范围为1～4194303，单位为kbps，且不能小于承诺信息速率。若不指定该参数，则表示不对峰值信息速率进行限制。

idle-cut minutes：指定用户的闲置切断时间。其中，minutes的取值范围为1～600，单位为分钟。此属性只对PPP、Portal、IPoE用户生效。

flow：用户在闲置切断时间内产生的数据流量，取值范围1～10240000，单位为字节，缺省值为10240。

traffic：指定闲置切断时间内用户数据流量的统计方向。若不指定该参数，则表示统计用户双向数据流量。

· both：表示用户双向数据流量。

· inbound：表示用户上行数据流量。

· outbound：表示用户下行数据流量。

igmp max-access-number max-access-number：指定IPv4用户可以同时点播的最大节目数。其中，max-access-number的取值范围为1～64。此属性只对PPP、Portal、IPoE用户生效。

ip-pool ipv4-pool-name：指定为用户分配IPv4地址的地址池。其中，ipv4-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。此属性只对PPP、IPoE用户生效。

ip-pool-group ipv4-pool-group-name：指定为用户分配IPv4地址的地址池组，其中，ipv4-pool-group-name为DHCP地址池组名称，为1～63个字符的字符串，不区分大小写。此属性仅对PPP和IPoE用户适用。

ipv6-nd-prefix-pool ipv6-prefix-pool-name：指定ND为IPv6用户分配前缀使用的地址池，简称ND前缀池。其中，ipv6-prefix-pool-name表示DHCPv6地址池的名称，为1～63个字符的字符串，不区分大小写。此属性只对PPP和IPoE用户生效。

ipv6-nd-prefix-pool-group ipv6-pool-group-name：指定ND为IPv6用户分配前缀使用的址池组，简称ND前缀池组。其中，ipv6-pool-group-name表示DHCPv6地址池组的名称，为1～63个字符的字符串，不区分大小写。此属性只对PPP用户生效，优先级低于ipv6-nd-prefix-pool。

ipv6-pool ipv6-pool-name：指定为用户分配IPv6地址的地址池。其中，ipv6-pool-name表示分配IPv6地址的DHCPv6地址池名称，为1～63个字符的字符串，不区分大小写。此属性只对PPP、IPoE用户生效。

ipv6-pool-group ipv6-pool-group-name：指定为用户分配IPv6地址的地址池组，其中，ipv6-pool-group-name 为DHCPv6地址池组名称，为1～63个字符的字符串，不区分大小写。此属性仅对PPP和IPoE用户适用。

ipv6-prefix ipv6-prefix prefix-length：指定为用户分配的IPv6前缀。其中，ipv6-prefix prefix-length为前缀地址和前缀长度，前缀长度取值范围是1～128。此属性只对PPP、IPoE用户生效。

mld max-access-number max-access-number：指定IPv6用户可以同时点播的最大节目数。其中，max-access-number的取值范围为1～64。此属性只对PPP、Portal、IPoE用户生效。

primary-dns ip ipv4-address：指定用户的主DNS服务器IPv4地址。此属性只对PPP、IPoE用户生效。

primary-dns ipv6 ipv6-address：指定用户的主DNS服务器IPv6地址。此属性只对PPP、IPoE用户生效。

secondary-dns ip ipv4-address：指定用户的从DNS服务器IPv4地址。此属性只对PPP、IPoE用户生效。

secondary-dns ipv6 ipv6-address：指定用户的从DNS服务器IPv6地址。此属性只对PPP、IPoE用户生效。

redirect-times times：表示对用户的Web访问请求重定向的次数进行限制，超过指定次数之后，若还未收到用户向重定向URL发起的Web请求，将停止向该用户重定向URL。其中，times表示允许对用户的Web访问请求重定向的最大次数，取值范围为1～10。此属性仅对PPP和IPoE用户生效。

session-group-profile session-group-profile-name：指定用户的授权Session Group Profile。其中，session-group-profile-name为Session Group Profile名称，为1～31个字符的字符串，只能包含英文字母[a-z,A-Z]、数字、下划线和英文句号，支持以字母和数字开头，但不能为纯数字，区分大小写。此属性只对PPP、Portal、IPoE用户生效。

session-timeout timeout：指定用户的会话超时时间。其中，timeout为设定的会话超时时间，取值范围为1～4294967294，单位为秒。如果用户在线时长超过该值，设备会强制该用户下线。如果RADIUS服务器通过Session-Timeout属性给用户下发了会话超时时间，则服务器下发的会话超时时间优先生效。此属性只对PPP、IPoE、Portal、lan-access用户生效。

url url-string：指定用户的重定向URL，为1～255个字符的字符串，区分大小写，且必须携带http://或https://前缀才可生效。用户认证成功后，首次访问网络时将被推送此URL提供的Web页面。此URL只对PPP、IPoE用户生效，且对于PPP用户仅使用80、8080或443端口号的URL生效，对于IPoE用户仅使用80或443端口号的URL生效。

unlimit：表示对用户的所有Web访问请求进行重定向，并不限制次数。若不指定该参数，则表示对用户的Web访问请求重定向的次数进行限制，具体次数由redirect-times参数指定，缺省为2次。本参数仅对PPP和IPoE用户生效。

user-group user-group-name：表示用户所属用户组。其中，user-group-name表示用户组名，为1～32个字符的字符串，不区分大小写。用户认证成功后，将继承该用户组中的所有属性。

user-priority：指定授权用户优先级。该用户优先级通过QoS优先级映射之后，可用于指定报文进入的优先级队列，高优先级队列中的报文在流量拥塞处理时优先得到处理。另外，用户上行报文的IP Precedence字段取值也会被该属性值替换。上行和下行用户优先级可以同时配置。缺省情况下，用户未被授予用户优先级。授权用户优先级属性只对PPP、L2TP、Portal、IPoE用户生效。本关键字仅在CSPEX类单板（CSPEX-1204和CSPEX-1104-E除外）上生效。

inbound：表示用户上行流量的优先级。

outbound：表示用户下行流量的优先级。

priority：表示用户流量的优先级，取值范围为0～7，7的优先级最高。

user-profile profile-name：指定用户的授权User Profile。其中，profile-name为User Profile名称，为1～31个字符的字符串，只能包含英文字母[a-z,A-Z]、数字、下划线、减号和英文句号，支持以字母和数字开头，但不能为纯数字，区分大小写。此属性只对PPP、Portal、IPoE、lan-access用户生效。

vpn-instance vpn-instance-name：指定用户所属的VPN实例。其中，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。用户认证成功后，将被授权允许访问指定VPN中的网络资源。此属性只对PPP、IPoE用户生效。

【使用指导】

用户上线后，设备会周期性检测用户的流量，若域内某用户在指定的闲置检测时间内产生的流量小于本命令中指定的数据流量，则会被强制下线。需要注意的是，服务器上也可以配置最大空闲时间实现对用户的闲置切断功能，具体为当用户在指定的闲置检测时间内产生的流量小于10240个字节（服务器上该阈值为固定值，不可配置）时，会被强制下线。但是，只有在设备上的闲置切断功能处于关闭状态时，服务器才会根据自身的配置来控制用户的闲置切断。

对于IPoE Web认证用户，首先会通过认证前域的认证处理，通过认证前域认证之后，将获得IP地址，并被授予指定认证前域中配置的相关授权属性。

如果当前ISP域的用户认证成功，但认证服务器（包括本地认证下的接入设备）未对该ISP域下发授权属性，则系统使用当前ISP下指定的授权属性为用户授权。对于CAR授权属性以及用户优先级授权属性而言，只要认证服务器下发了任意方向的CAR/用户优先级参数，无论是否同时下发了该属性两个方向的参数，系统均以服务器的授权值为准，不再采用ISP域下配置的对应属性的授权值。

PPP/IPoE用户上线时，重定向URL授权属性的下发情况如下：

· 若服务器对该域中的用户下发了重定向URL，且下发了永久重定向的属性，则表示对该用户的Web访问请求进行重定向，且不限定重定向次数。实际采用的重定向URL为服务器下发的URL。

· 若服务器对该域中的用户下发了重定向URL，且下发了限定次数重定向属性，则按照域中的redirect-times参数设置对该用户的Web访问请求进行重定向。实际采用的重定向URL为服务器下发的URL。若域中未配置redirect-times参数，则重定向次数为2。

· 若服务器未对该域中的用户下发重定向URL，则使用域中的url和redirect-times参数设置对该用户的Web访问请求进行重定向，且忽略服务器下发的其它重定向属性。

¡ 若域中配置的url属性携带unlimit参数，则不限定重定向次数。

¡ 若域中配置的url属性未携带unlimit参数，则按照redirect-times参数设置对该用户的Web访问请求进行重定向。

PPP/IPoE用户在线时，重定向URL授权属性的下发情况如下：

· 若服务器对该域中的用户下发了停止重定向的属性，则停止对该用户的Web访问请求进行重定向。

· 若服务器对该域中的用户下发了永久重定向的属性：

¡ 且服务器同时下发了重定向URL，则对该用户的Web访问请求进行重定向，且不限定重定向次数。实际采用的重定向URL为服务器下发的URL。

¡ 但服务器未同时下发重定向URL，则忽略服务器下发的重定向属性，并向服务器返回重定向属性下发失败消息。

· 若服务器对该域中的用户下发了限定次数重定向属性：

¡ 且服务器同时下发了重定向URL，则按照用户上线时的redirect-times参数设置对该用户的Web访问请求进行重定向。实际采用的重定向URL为服务器下发的URL。若用户上线时该域中未配置redirect-times参数，则重定向次数为2。

¡ 但服务器未同时下发重定向URL，则忽略服务器下发的重定向属性，并向服务器返回重定向属性下发失败消息。

需要注意的是：

· 可通过多次执行本命令配置多个授权属性，但对于相同授权属性，最后一次执行的命令生效。

· 若对用户同时下发了授权地址池和地址池组，则地址池优先生效。

【举例】

# 指定ISP域test下的用户闲置切断时间为30分钟，闲置切断时间内产生的流量为10240字节。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization-attribute idle-cut 30 10240

【相关命令】

· display domain

1.1.43 basic-service-ip-type

basic-service-ip-type命令用来设置PPPoE/L2TP用户主业务依赖的IP地址类型。当配置主业务依赖于某IP地址类型时，如果该类型的IP地址分配失败，则不允许用户上线。

undo basic-service-ip-type命令用来恢复缺省情况。

【命令】

basic-service-ip-type { ipv4 | ipv6 | ipv6-pd } *

undo basic-service-ip-type

【缺省情况】

PPPoE/L2TP用户主业务不依赖于任何IP地址类型。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ipv4：IPv4地址类型。

ipv6：IPv6地址类型。

ipv6-pd：IPv6 PD（Prefix Delegation，前缀授权）类型。该类型的用户通过DHCPv6服务器为其分配的前缀信息生成IPv6地址。

【使用指导】

该特性仅在设备作为PPPoE Server或L2TP LNS时有效。

缺省情况下，如果PPP用户上线后没有获取到相应业务类型对应的IP地址，设备将会强制其下线。

当PPPoE/L2TP用户可能请求多种IP地址类型的业务，且并非所有IP类型的业务均为其主业务时，为了保证非主业务的IP地址获取失败的情况下用户也能够上线，则需要通过本特性来满足该需求。

当配置主业务依赖于某IP类型时，如果该IP类型的地址分配失败，则不允许用户上线。例如，在某ISP下配置basic-service-ip-type ipv6后，则不允许该域中IPv6地址分配失败的PPPoE/L2TP用户上线。

如果同时指定了ipv6和ipv6-pd，则表示不允许该域中IPv6地址协商失败或者PD协商失败的PPPoE/L2TP用户上线。

【举例】

# 在ISP域test下，设置PPPoE/L2TP用户主业务依赖的IP地址类型为IPv4。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-domain-test] basic-service-ip-type ipv4

【相关命令】

· display domain

1.1.44 dhcpv6-follow-ipv6cp

dhcpv6-follow-ipv6cp命令用来设置PPPoE/L2TP用户等待分配IPv6地址/PD的最大时长。

undo dhcpv6-follow-ipv6cp命令用来恢复缺省情况。

【命令】

dhcpv6-follow-ipv6cp timeout delay-time

undo dhcpv6-follow-ipv6cp

【缺省情况】

PPPoE/L2TP接入用户等待分配IPv6地址/PD的最大时长为60秒。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

timeout delay-time：最大等待时长，取值范围30～1000，单位秒。

【使用指导】

该特性仅在设备作为PPPoE Server或L2TP LNS时有效。

PPPoE/L2TP用户与设备完成IPv6CP协商之后，如果在一定的时长内未能成功分配到主业务依赖类型的IPv6地址/PD，则被强制下线，否则使用分配到的IP地址上线。

在设备与PPPoE/L2TP用户连接所在网络质量比较差，使用DHCPv6为用户分配IPv6地址，或者PPPoE/L2TP用户数量比较大时，可以适当增加此等待时长避免用户因为地址分配失败而下线。

【举例】

# 在ISP域test下，设置PPPoE/L2TP用户等待分配IPv6地址/PD的最大时长为90秒。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-domain-test] dhcpv6-follow-ipv6cp timeout 90

【相关命令】

· basic-service-ip-type

· display domain

1.1.45 display aaa abnormal-offline-record

display aaa abnormal-offline-record命令用来显示用户异常下线记录。

【命令】

独立运行模式：

display aaa abnormal-offline-record { access-type { ipoe | lan-access | login | portal | ppp } | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa abnormal-offline-record offline-reason { idle-cut | quota-out | realtime-acct-fail | session-timeout | user-detect-fail } [ brief ]

display aaa abnormal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa abnormal-offline-record

IRF模式：

display aaa abnormal-offline-record { access-type { ipoe | lan-access | login | | portal | ppp } | chassis chassis-number slot slot-number | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa abnormal-offline-record offline-reason { idle-cut | quota-out | realtime-acct-fail | session-timeout | user-detect-fail } [ brief ]

display aaa abnormal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa abnormal-offline-record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type：显示指定用户接入类型的异常下线记录。

ipoe：IPoE接入用户。

lan-access：LAN接入用户。

portal：Portal接入用户。

ppp：PPP接入用户。

domain domain-name：显示通过指定ISP域上线的用户的异常下线记录。domain-name表示ISP域名，为1～255个字符的字符串，不区分大小写。

interface interface-type interface-number：显示通过指定接口上线的用户的异常下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。

ip ipv4-address：显示指定IPv4地址的用户异常下线记录。

ipv6 ipv6-address：显示指定IPv6地址的用户异常下线记录。

mac-address mac-address：显示指定MAC地址的异常下线失败记录。mac-address为用户的MAC地址，格式为H-H-H。

slot slot-number：显示指定单板的用户异常下线失败记录。slot-number表示单板所在槽位号。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的用户异常下线记录，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。（IRF模式）

s-vlan svlan-id：显示通过指定服务提供商VLAN上线的用户的异常下线记录。svlan-id表示VLAN ID，取值范围为1～4094。

c-vlan cvlan-id：显示通过指定用户VLAN上线的用户的异常下线记录。cvlan-id表示VLAN ID，取值范围为1～4094。

username user-name：显示指定用户名的异常下线记录。user-name表示用户名，为1～253个字符的字符串，区分大小写。

fuzzy-match：表示松散匹配用户名，即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名，则匹配成功。若不指定该参数，则表示精确匹配用户名，即user-name字符串必须完全匹配上完整的用户名，才表示匹配成功。

offline-reason：显示指定下线原因的用户异常下线记录。

· idle-cut：闲置超时后切断。

· quota-out：流量配额耗尽。

· realtime-acct-fail：实时计费失败。

· session-timeout：用户会话超时。

· user-detect-fail：用户探测失败。

time：显示指定时间范围内下线用户的异常下线记录。

begin-time：起始时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

end-time：结束时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

date：显示指定日期范围的异常下线记录。若不指定该参数，则表示仅查看当天的记录。

begin-date：起始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

end-date：结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

brief：显示用户异常下线记录的简要信息。若不指定该参数，则表示显示用户异常下线记录的详细信息。

count count：显示指定数量的异常下线记录。count为记录的条目，取值范围为1～32768。

【使用指导】

可通过指定多种组合条件按需查询用户的异常下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。

无论当前系统中的用户异常下线记录功能是否处于开启状态，只要系统中存在用户异常下线记录，就能通过本命令进行查看。

若不指定任何参数，则显示当前系统中的所有用户异常下线记录的详细信息。

如果服务器传递给设备的用户名中会携带不可见字符，则使用指定用户名方式查看该类用户信息时，必须指定fuzzy-match关键字，否则无法查看到该用户信息。

【举例】

# 显示所有用户异常下线记录的详细信息。

<Sysname> display aaa abnormal-offline-record

Total count: 1

Username: jay

Domain: dm1

MAC address: -

Access type: SSH

Access interface： GigabitEthernet3/1/1

SVLAN/CVLAN： -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2017/01/02 15:20:33

Offline time: 2017/2/28 15:20:56

Offline reason: User disconnected from the server.

# 显示login用户异常下线记录的简要信息。

<Sysname> display aaa abnormal-offline-record access-type login brief

Username: jay

MAC address: -

IP address: 11.2.2.41

IPv6 address: -

Offline reason: User disconnected from the server.

表1-1 display aaa abnormal-offline-record命令显示信息描述表

字段	描述
Total count	用户异常下线记录总计数
Username	用户名（若不存在，则显示为空）
Domain	ISP域名（若不存在，则显示为空）
MAC address	用户的MAC地址（若不存在，则显示“-”）
Access type	用户的接入类型： · PPPoPhy：物理链路直接承载的PPP接入用户 · PPPoE：PPPoE接入用户 · PPPoL2TP：PPP over L2TP接入用户 · PPPoFR：PPP over FR接入用户 · VPPP：L2TP自动拨号链路接入用户 · MAC authentication：MAC地址认证用户 · Telnet：Telnet用户 · FTP：FTP用户 · SSH：SSH用户 · Portal：Portal用户 · IPoE：IPoE普通用户 · IPoE interface leased：IPoE接口专线用户 · IPoE subnet leased：IPoE子网专线用户 · IPoE L2VPN leased：IPoE L2VPN专线用户 · NETCONF over SOAP：NETCONF over SOAP用户 · NETCONF over RESTful：NETCONF over RESTful用户 · Terminal：Terminal用户，例如从Console口登录设备的终端用户
Access interface	用户接入的接口名（若不存在，则显示“-”）
SVLAN/CVLAN	服务提供商VLAN/用户VLAN（若不存在，则显示“-”）
IP address	用户的IPv4地址（若不存在，则显示“-”）
IPv6 address	用户的IPv6地址（若不存在，则显示“-”）
Online request time	用户发起上线请求的时间
Offline time	用户下线的时间
Offline reason	用户下线的原因

【相关命令】

· reset aaa abnormal-offline-record

1.1.46 display aaa normal-offline-record

display aaa normal-offline-record命令用来显示用户正常下线记录。

【命令】

独立运行模式：

display aaa normal-offline-record { access-type { ipoe | lan-access | login | portal | ppp } | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa normal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa normal-offline-record

IRF模式：

display aaa normal-offline-record { access-type { ipoe | lan-access | login | portal | ppp } | chassis chassis-number slot slot-number | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa normal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa normal-offline-record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type：显示指定用户接入类型的正常下线记录。

ipoe：IPoE接入用户。

lan-access：LAN接入用户。

portal：Portal接入用户。

ppp：PPP接入用户。

domain domain-name：显示通过指定ISP域上线的用户的正常下线记录。domain-name表示ISP域名，为1～255个字符的字符串，不区分大小写。

interface interface-type interface-number：显示通过指定接口上线的用户的正常下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。

ip ipv4-address：显示指定IPv4地址的用户正常下线记录。

ipv6 ipv6-address：显示指定IPv6地址的用户正常下线记录。

mac-address mac-address：显示指定MAC地址的正常下线记录。mac-address为用户的MAC地址，格式为H-H-H。

slot slot-number：显示指定单板的用户正常下线记录。slot-number表示单板所在槽位号。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的用户正常下线记录，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。（IRF模式）

s-vlan svlan-id：显示通过指定服务提供商VLAN上线的用户的正常下线记录。svlan-id表示VLAN ID，取值范围为1～4094。

c-vlan cvlan-id：显示通过指定用户VLAN上线的用户的正常下线记录。cvlan-id表示VLAN ID，取值范围为1～4094。

username user-name：显示指定用户名的正常下线记录。user-name表示用户名，为1～253个字符的字符串，区分大小写。

time：显示指定时间范围内上线用户的正常下线记录。

begin-time：起始时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

end-time：结束时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

date：显示指定日期范围的正常下线记录。若不指定该参数，则表示仅查看当天的记录。

begin-date：起始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

end-date：结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

brief：显示用户正常下线记录的简要信息。若不指定该参数，则表示显示用户正常下线记录的详细信息。

count count：显示指定数量的正常下线失败记录。count为记录的条目，取值范围为1～32768。

【使用指导】

可通过指定多种组合条件按需查询用户的正常下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。

无论当前系统中的用户正常下线记录功能是否处于开启状态，只要系统中存在用户正常下线记录，就能通过本命令进行查看。

若不指定任何参数，则显示当前系统中的所有用户正常下线记录的详细信息。

【举例】

# 显示所有用户正常下线记录的详细信息。

<Sysname> display aaa normal-offline-record

Total count: 1

Username: jay

Domain: dm1

MAC address: -

Access type: Telnet

Access interface： GigabitEthernet3/1/1

SVLAN/CVLAN： -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2017/01/02 15:20:33

Offline time: 2017/2/28 15:20:56

Offline reason: User request.

# 显示login用户正常下线记录的简要信息。

<Sysname> display aaa offline-record access-type login brief

Username: jay

MAC address: -

IP address: 11.2.2.41

IPv6 address: -

Offline reason: User request.

表1-2 display aaa normal-offline-record命令显示信息描述表

字段	描述
Total count	用户正常下线记录总计数
Username	用户名（若不存在，则显示为空）
Domain	ISP域名（若不存在，则显示为空）
MAC address	用户的MAC地址（若不存在，则显示“-”）
Access type	用户的接入类型： · PPPoPhy：物理链路直接承载的PPP接入用户 · PPPoE：PPPoE接入用户 · PPPoL2TP：PPP over L2TP接入用户 · PPPoFR：PPP over FR接入用户 · VPPP：L2TP自动拨号链路接入用户 · MAC authentication：MAC地址认证用户 · Telnet：Telnet用户 · FTP：FTP用户 · SSH：SSH用户 · Portal：Portal用户 · IPoE：IPoE普通用户 · IPoE interface leased：IPoE接口专线用户 · IPoE subnet leased：IPoE子网专线用户 · IPoE L2VPN leased：IPoE L2VPN专线用户 · NETCONF over SOAP：NETCONF over SOAP用户 · NETCONF over RESTful：NETCONF over RESTful用户 · Terminal：Terminal用户，例如从Console口登录设备的终端用户
Access interface	用户接入的接口名（若不存在，则显示“-”）
SVLAN/CVLAN	服务提供商VLAN/用户VLAN（若不存在，则显示“-”）
IP address	用户的IPv4地址（若不存在，则显示“-”）
IPv6 address	用户的IPv6地址（若不存在，则显示“-”）
Online request time	用户发起上线请求的时间
Offline time	用户下线的时间
Offline reason	用户下线的原因

【相关命令】

· reset aaa normal-offline-record

1.1.47 display aaa offline-record

display aaa offline-record命令用来显示用户下线记录。

【命令】

独立运行模式：

display aaa offline-record { access-type { ipoe | lan-access | login | portal | ppp } | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa offline-record

IRF模式：

display aaa offline-record { access-type { ipoe | lan-access | login | portal | ppp } | chassis chassis-number slot slot-number | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa offline-record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type：显示指定用户接入类型的下线记录。

lan-access：LAN接入用户。

ipoe：IPoE接入用户。

portal：Portal接入用户。

ppp：PPP接入用户。

domain domain-name：显示通过指定ISP域上线的用户的下线记录。domain-name表示ISP域名，为1～255个字符的字符串，不区分大小写。

interface interface-type interface-number：显示通过指定接口上线的用户的下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。

ip ipv4-address：显示指定IPv4地址的用户下线记录。

ipv6 ipv6-address：显示指定IPv6地址的用户下线记录。

mac-address mac-address：显示指定MAC地址的下线记录。mac-address为用户的MAC地址，格式为H-H-H。

slot slot-number：显示指定单板的用户下线记录。slot-number表示单板所在槽位号。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的用户下线记录，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。（IRF模式）

s-vlan svlan-id：显示通过指定服务提供商VLAN上线的用户的下线记录。svlan-id表示VLAN ID，取值范围为1～4094。

c-vlan cvlan-id：显示通过指定用户VLAN上线的用户的下线记录。cvlan-id表示VLAN ID，取值范围为1～4094。

username user-name：显示指定用户名的下线记录。user-name表示用户名，为1～253个字符的字符串，区分大小写。

time：显示指定时间范围内下线用户的下线记录。

begin-time：起始时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

end-time：结束时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

date：显示指定日期范围的下线记录。若不指定该参数，则表示仅查看当天的记录。

begin-date：起始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

end-date：结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

brief：显示用户下线记录的简要信息。若不指定该参数，则表示显示用户下线记录的详细信息。

count count：显示指定数量的下线记录。count为记录的条目，取值范围为1～65536。

【使用指导】

可通过指定多种组合条件按需查询用户的下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。

无论当前系统中的用户下线记录功能是否处于开启状态，只要系统中存在用户下线记录，就能通过本命令进行查看。

若不指定任何参数，则显示当前系统中的所有用户下线记录的详细信息。

如果服务器传递给设备的用户名中会携带不可见字符，因此使用指定用户名方式查看该类用户信息时，必须指定fuzzy-match关键字，否则无法查看到该用户信息。

【举例】

# 显示所有用户下线记录的详细信息。

<Sysname> display aaa offline-record

Total count: 1

Username: jay

Domain: dm1

MAC address: -

Access type: Telnet

Access interface： GigabitEthernet3/1/1

SVLAN/CVLAN： -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2017/01/02 15:20:33

Offline time: 2017/2/28 15:20:56

Offline reason: User request

# 显示login用户下线记录的简要信息。

<Sysname> display aaa offline-record access-type login brief

Username: jay

MAC address: -

IP address: 20.20.20.1

IPv6 address: -

Offline reason: User request.

Username: test

MAC address: -

IP address: 20.20.20.3

IPv6 address: -

Offline reason: User request.

表1-3 display aaa offline-record命令显示信息描述表

字段	描述
Total count	用户下线记录总计数
Username	用户名（若不存在，则显示为空）
Domain	ISP域名（若不存在，则显示为空）
MAC address	用户的MAC地址（若不存在，则显示“-”）
Access type	用户的接入类型： · PPPoPhy：物理链路直接承载的PPP接入用户 · PPPoE：PPPoE接入用户 · PPPoL2TP：PPP over L2TP接入用户 · PPPoFR：PPP over FR接入用户 · VPPP：L2TP自动拨号链路接入用户 · MAC authentication：MAC地址认证用户 · Telnet：Telnet用户 · FTP：FTP用户 · SSH：SSH用户 · Portal：Portal用户 · IPoE：IPoE普通用户 · IPoE interface leased：IPoE接口专线用户 · IPoE subnet leased：IPoE子网专线用户 · IPoE L2VPN leased：IPoE L2VPN专线用户 · NETCONF over SOAP：NETCONF over SOAP用户 · NETCONF over RESTful：NETCONF over RESTful用户 · Terminal：Terminal用户，例如从Console口登录设备的终端用户
Access interface	用户接入的接口名（若不存在，则显示“-”）
SVLAN/CVLAN	服务提供商VLAN/用户VLAN（若不存在，则显示“-”）
IP address	用户的IPv4地址（若不存在，则显示“-”）
IPv6 address	用户的IPv6地址（若不存在，则显示“-”）
Online request time	用户发起上线请求的时间
Offline time	用户下线的时间
Offline reason	用户下线的原因

【相关命令】

· reset aaa offline-record

1.1.48 display aaa online-fail-record

display aaa online-fail-record命令用来显示用户上线失败记录。

【命令】

独立运行模式：

display aaa online-fail-record { access-type { ipoe | lan-access | login | portal | ppp } | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa online-fail-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa online-fail-record

IRF模式：

display aaa online-fail-record { access-type { ipoe | lan-access | login | portal | ppp } | chassis chassis-number slot slot-number | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa online-fail-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa online-fail-record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type：显示指定用户接入类型的上线失败记录。

ipoe：IPoE接入用户。

lan-access：LAN接入用户。

portal：Portal接入用户。

ppp：PPP接入用户。

domain domain-name：显示通过指定ISP域上线的用户的上线失败记录。domain-name表示ISP域名，为1～255个字符的字符串，不区分大小写。

interface interface-type interface-number：显示通过指定接口上线的用户的上线失败信息。interface-type interface-number表示用户接入接口的类型和接口编号。

ip ipv4-address：显示指定IPv4地址的用户上线失败记录。

ipv6 ipv6-address：显示指定IPv6地址的用户上线失败记录。

mac-address mac-address：显示指定MAC地址的上线失败记录。mac-address为用户的MAC地址，格式为H-H-H。

slot slot-number：显示指定单板的用户上线失败记录。slot-number表示单板所在槽位号。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的用户上线失败记录，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。（IRF模式）

s-vlan svlan-id：显示通过指定服务提供商VLAN上线的用户的上线失败记录。svlan-id表示VLAN ID，取值范围为1～4094。

c-vlan cvlan-id：显示通过指定用户VLAN上线的用户的上线失败记录。cvlan-id表示VLAN ID，取值范围为1～4094。

username user-name：显示指定用户名的上线失败记录。user-name表示用户名，为1～253个字符的字符串，区分大小写。

time：显示指定时间范围内上线用户的上线失败记录。

begin-time：起始时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

end-time：结束时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

date：显示指定日期范围的上线失败记录。若不指定该参数，则表示仅查看当天的记录。

begin-date：起始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

end-date：结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

brief：显示用户上线失败记录的简要信息。若不指定该参数，则表示显示用户上线失败记录的详细信息。

count count：显示指定数量的上线失败记录。count为记录的条目，取值范围为1～32768。

【使用指导】

可通过指定多种组合条件按需查询用户的上线失败记录。系统将从最新的一条记录开始显示符合查询条件的记录。

无论当前系统中的用户上线失败记录功能是否处于开启状态，只要系统中存在用户上线失败记录，就能通过本命令进行查看。

若不指定任何参数，则显示当前系统中的所有用户上线失败记录的详细信息。

【举例】

# 显示2条用户名为aaa的login用户上线失败记录的详细信息。

<Sysname> display aaa online-fail-record username aaa access-type login count 2

Username: aaa

Domain: test

MAC address: -

Access type: Telnet

Access interface: GigabitEthernet3/1/1

SVLAN/CVLAN: 100/-

IP address: 19.19.0.1

IPv6 address: -

Online request time: 2017/01/02 15:20:37

Online failure reason: Authentication failed.

Server reply message: no user exists.

Username: aaa

Domain: test

MAC address: -

Access type: Telnet

Access interface: GigabitEthernet3/1/1

SVLAN/CVLAN: -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2017/01/02 15:20:33

Online failure reason: Authentication failed.

Server reply message: no user exists.

# 显示2017/3/1的13:20:50 到2017/3/2的10:20:30这段时间内的上线失败用户记录的简要信息。

<Sysname> display aaa online-fail-record time 13:20:50 10:20:30 date 2017/3/1 2017/3/2 brief

Username: aaa

MAC address: -

IP address: 19.19.0.2

IPv6 address: -

Online failure reason: Authentication failed.

Server reply message: no user exists.

# 显示2017/3/1的13:20:50至2017/3/2的17:20:30期间的用户上线失败记录。

<Sysname> display aaa online-fail-record time 13:20:50 17:20:30 date 2017/3/1 2017/3/2

Username: aaa

Domain: test

MAC address: -

Access type: Telnet

Access interface: GigabitEthernet3/1/1

SVLAN/CVLAN: -/-

IP address: 19.19.0.1

IPv6 address: -

Online request time: 2017/03/02 16:20:33

Online failure reason: Authentication failed

Server reply message: no user exists.

Username: aaa

Domain: test

MAC address: -

Access type: Telnet

Access interface: GigabitEthernet3/1/1

SVLAN/CVLAN: -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2017/03/01 15:20:51

Online failure reason: Authentication failed.

Server reply message: no user exists.

表1-4 display aaa online-fail-record命令显示信息描述表

字段	描述
Total count	用户上线失败记录总数
Username	用户名（若不存在，则显示为空）
Domain	用户上线使用的ISP域名（若不存在，则显示为空）
MAC address	用户的MAC地址（若不存在，则显示“-”）
Access type	用户的接入类型： · PPPoPhy：物理链路直接承载的PPP接入用户 · PPPoE：PPPoE接入用户 · PPPoL2TP：PPP over L2TP接入用户 · PPPoFR：PPP over FR接入用户 · VPPP：L2TP自动拨号链路接入用户 · MAC authentication：MAC地址认证用户 · Telnet：Telnet用户 · FTP：FTP用户 · SSH：SSH用户 · Portal：Portal用户 · IPoE：IPoE普通用户 · IPoE interface leased：IPoE接口专线用户 · IPoE subnet leased：IPoE子网专线用户 · IPoE L2VPN leased：IPoE L2VPN专线用户 · NETCONF over SOAP：NETCONF over SOAP用户 · NETCONF over RESTful：NETCONF over RESTful用户 · Terminal：Terminal用户，例如从Console口登录设备的终端用户
Access interface	用户接入的接口名（若不存在，则显示“-”）
SVLAN/CVLAN	服务提供商VLAN/用户VLAN（若不存在，则显示“-”）
IP address	用户的IPv4地址（若不存在，则显示“-”）
IPv6 address	用户的IPv6地址（若不存在，则显示“-”）
Online request time	用户发起上线请求的时间
Online failure reason	用户上线失败的原因
Server reply message	服务器下发的消息（若未下发，则不显示）

【相关命令】

· reset aaa online-fail-record

1.1.49 display domain

display domain命令用来显示所有或指定ISP域的配置信息。

【命令】

display domain [ isp-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

isp-name：ISP域名，为1～255个字符的字符串，不区分大小写。如果不指定该参数，则表示所有ISP域。

【使用指导】

若要查看ISP域中的负载分担用户组及组内用户数目信息，执行本命令时必须指定该域的名称。

【举例】

# 显示系统中所有ISP域的配置信息。

<Sysname> display domain

Total 2 domains

Domain: system

Current state: Active

State configuration: Active

Default authentication scheme: Local

Default authorization scheme: Local

Default accounting scheme: Local

Accounting start failure action: Online

Accounting update failure action: Online

Accounting quota out policy: Offline

Send accounting update:Yes

Service type: HSI

Session time: Exclude idle time

DHCPv6-follow-IPv6CP timeout: 60 seconds

Dual-stack accounting method: Merge

NAS-ID: N/A

Service rate-limit mode: Separate

Web server URL : Not configured

Web server URL parameters : Not configured

Web server IPv4 address : Not configured

Web server IPv6 address : Not configured

Redirect active time : Not configured

Redirect server IPv4 address: Not configured

Redirect server IPv6 address: Not configured

Temporary redirect : Disabled

L2TP-user RADIUS-force : Disabled

Authorization attributes:

Idle cut: Disabled

IGMP access limit: 4

MLD access limit: 4

IP resource usage warning thresholds:

High threshold: Not configured

Low threshold: Not configured

IPv6 resource usage warning thresholds:

High threshold: Not configured

Low threshold: Not configured

Domain: dm

Current state: Active

State configuration: Blocked during specific time ranges

Time ranges:

Online-user logoff: Enabled

Super authentication scheme: RADIUS=rad

PPP accounting scheme: RADIUS=r1, (RADIUS=r2), HWTACACS=tc, Local

Command authorization scheme: HWTACACS=hw

LAN access authentication scheme: RADIUS=r4

Portal authentication scheme: LDAP=ldp

IPoE authentication scheme: RADIUS=rad, Local, None

SSL VPN authentication scheme: LDAP=ldp, Local, None

SSL VPN authorization scheme: LDAP=ldp, Local

SSL VPN accounting scheme: None

Default authentication scheme: ldap=rad, Local, None

Default authorization scheme: Local

Default accounting scheme: None

Accounting start failure action: Online

Accounting update failure action: Online

Accounting quota out policy: Redirect

Redirect URL : http://3.3.3.3/web

Stop accounting: Yes

User profile : abc

Send accounting update:Yes

ITA service policy: ita1

Service type: HSI

Session time: Include idle time

User basic service IP type: IPv4 IPv6 IPv6-PD

DHCPv6-follow-IPv6CP timeout: 60 seconds

Accounting start delay: 60 seconds

Dual-stack accounting method: Merge

NAS-ID: test

Service rate-limit mode: Separate

Web server URL : http://1.2.3.4

Web server URL parameters : userurl=http://www.test.com/welcome

userip=source-address

usermac=source-mac (format: XXXX-XXXX-XXXX)

Web server IPv4 address : 1.2.3.4

Web server IPv6 address : Not configured

Redirect active time : Not configured

Redirect server IPv4 address: Not configured

Redirect server IPv6 address: Not configured

Temporary redirect : Enabled

L2TP-user RADIUS-force : Disabled

Authorization attributes :

Idle cut : Enabled

Idle timeout: 2 minutes

Flow: 10240 bytes

Traffic direction: Both

IP pool: appy

User profile: test

Session group profile: abc

Inbound CAR: CIR 64000 bps PIR 640000 bps

Outbound CAR: CIR 64000 bps PIR 640000 bps

ACL number: 3000

User group: ugg

IPv6 prefix: 1::1/34

IPv6 pool: ipv6pool

IPv6 ND prefix pool: rnd

IPv6 ND prefix pool group: rndg

Primary DNS server: 6.6.6.6

Secondary DNS server: 3.6.2.3

URL: http://abc

Redirect limit: 5

VPN instance: vpn1

IGMP access limit: 12

MLD access limit: 35

User session timeout: 28 seconds

IP resource usage warning thresholds:

High threshold: 70%

Low threshold: 10%

IPv6 resource usage warning thresholds:

High threshold: 70%

Low threshold: 10%

Access limit per account (case-sensitive): 5

Authorization attributes specific to none authentication:

User session timeout: 28 seconds

Default domain name: system

# 显示ISP域test的配置信息及负载分担用户组的信息。

<Sysname> display domain bbb

Domain: test

Current state: Active

State configuration: Active

Default authentication scheme: Local

Default authorization scheme: Local

Default accounting scheme: Local

Accounting start failure action: Online

Accounting update failure action: Online

Accounting quota out policy: Offline

Send accounting update:Yes

Service type: HSI

Session time: Exclude idle time

DHCPv6-follow-IPv6CP timeout: 60 seconds

Dual-stack accounting method: Merge

NAS-ID: N/A

Service rate-limit mode: Separate

Web server URL : Not configured

Web server URL parameters : Not configured

Web server IPv4 address : Not configured

Web server IPv6 address : Not configured

Redirect active time : Not configured

Redirect server IPv4 address: Not configured

Redirect server IPv6 address: Not configured

Temporary redirect : Enabled

L2TP-user RADIUS-force : Enabled

Authorization attributes:

Idle cut: Disabled

IGMP access limit: 4

MLD access limit: 4

IP resource usage warning thresholds:

High threshold: Not configured

Low threshold: Not configured

IPv6 resource usage warning thresholds:

High threshold: Not configured

Low threshold: 10%

Access limit per account (case-sensitive): 5

Load-sharing user groups:

g1: 323 user(s)

g2: 324 user(s)

Authorization attributes specific to none authentication:

User session timeout: 28 seconds

表1-5 display domain命令显示信息描述表

字段	描述
Total 2 domains	总计2个ISP域
Domain	ISP域名
Current state	ISP域的当前状态，包括以下取值： · Blocked：阻塞状态 · Active：活动状态
State configuration	ISP域的状态配置，包括以下取值： · Active：活动状态 · Blocked during specific time ranges：在指定时间段处于阻塞状态 · Blocked：阻塞状态
Time ranges	ISP域处于阻塞状态的时间段名称
Online-user logoff	ISP域处于阻塞状态后强制在线用户下线功能的状态，包括以下取值： · Enabled：处于开启状态 · Disabled：处于关闭状态
Default authentication scheme	缺省的认证方案
Default authorization scheme	缺省的授权方案
Default accounting scheme	缺省的计费方案
ADVPN authentication scheme	（暂不支持）ADVPN用户认证方案
ADVPN authorization scheme	（暂不支持）ADVPN用户授权方案
ADVPN accounting scheme	（暂不支持）ADVPN用户计费方案
Login authentication scheme	Login用户认证方案
Login authorization scheme	Login用户授权方案
Login accounting scheme	Login用户计费方案
Super authentication scheme	用户角色切换认证方案
PPP authentication scheme	PPP用户的认证方案
PPP authorization scheme	PPP用户的授权方案
PPP accounting scheme	PPP用户的计费方案
Command authorization scheme	命令行授权方案
Command accounting scheme	命令行计费方案
LAN access authentication scheme	lan-access用户认证方案
LAN access authorization scheme	lan-access用户授权方案
LAN access accounting scheme	lan-access用户计费方案
Portal authentication scheme	Portal用户认证方案
Portal authorization scheme	Portal用户授权方案
Portal accounting scheme	Portal用户计费方案
IKE authentication scheme	（暂不支持）IKE扩展认证方案
IKE authorization scheme	（暂不支持）IKE扩展认证的授权方案
IPoE authentication scheme	IPoE用户认证方案
IPoE authorization scheme	IPoE用户授权方案
IPoE accounting scheme	IPoE用户计费方案
SSL VPN authentication scheme	（暂不支持）SSL VPN用户认证方案
SSL VPN authorization scheme	（暂不支持）SSL VPN用户授权方案
SSL VPN accounting scheme	（暂不支持）SSL VPN用户计费方案
RADIUS	RADIUS方案
HWTACACS	HWTACACS方案
LDAP	LDAP方案
Local	本地方案
None	不认证、不授权和不计费
Accounting start failure action	用户计费开始失败的动作，包括以下取值： · Online：如果用户计费开始失败，则保持用户在线 · Offline：如果用户计费开始失败，则强制用户下线
Accounting update failure max-times	允许用户连续计费更新失败的次数
Accounting update failure action	用户计费更新失败的动作，包括以下取值： · Online：如果用户计费更新失败，则保持用户在线 · Offline：如果用户计费更新失败，则强制用户下线
Accounting quota out policy	用户计费配额耗尽策略，包括以下取值： · Online：如果用户计费配额耗尽，则保持用户在线 · Offline：如果用户计费配额耗尽，则强制用户下线 · Redirect：发送重定向URL
Redirect URL	强制重定向的URL
Stop accounting	向计费服务器发送停止计费报文
User profile	下发给用户的User Profile的名称
Send accounting update	用户配额耗尽后是否发送获取新配额的计费更新报文： · Yes：发送 · No：不发送
ITA service policy	采用的ITA业务策略
Service type	ISP域的业务类型，取值为HSI，STB和VoIP
Session time	当用户异常下线时，设备上传到服务器的用户在线时间情况： · Include idle time：保留用户闲置切断时间 · Exclude idle time：扣除用户闲置切断时间
User address type	用户地址类型
User basic service IP type	用户主业务依赖的IP地址类型 · IPv4：IPv4地址类型 · IPv6：IPv6地址类型 · IPv6-PD：IPv6 PD前缀
DHCPv6-follow-IPv6CP timeout	PPPoE/L2TP用户等待分配IPv6地址/PD的时间（单位为秒）
Accounting start delay	发送计费开始请求报文的延迟时间若未配置，则不显示该字段
Dual-stack accounting method	‌双协议栈用户的计费方式，包括以下取值： · Merge：统一计费，即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器 · Separate：分别计费，即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器
NAS-ID	设备的NAS-ID 若未配置，则显示为N/A
Service rate-limit mode	EDSG业务流量限速模式，包括以下取值： · Merge：带内限速，即在用户可用总带宽内，对EDSG业务流量和普通业务流量同时限速，且优先保证EDSG业务带宽 · Separate：带外限速，即对EDSG业务流量进行独立限速，用户普通业务流量带宽不受影响
Web server URL	Web服务器的URL
Web server URL parameters	Web服务器的URL携带的参数信息
format	携带的MAC地址格式，其中3段式和6段式的分隔符可配，取值如下三例所示： · XXXXXXXXXXXX或xxxxxxxxxxxx：1段式 · XXXX-XXXX-XXXX或xxxx-xxxx-xxxx：3段式 · XX-XX-XX-XX-XX-XX或xx-xx-xx-xx-xx-xx：6段式
Web server IPv4 address	Web服务器的IPv4地址
Web server IPv6 address	Web服务器的IPv6地址
Redirect active time	推送Web重定向URL的有效时长，单位为秒
Redirect server IPv4 address	Web重定向页面的服务器IPv4地址
Redirect server IPv6 address	Web重定向页面的服务器IPv6地址
Temporary redirect	临时重定向功能，包括以下取值： · Enabled：处于开启状态 · Disabled：处于关闭状态
L2TP-user RADIUS-force	RADIUS服务器授权L2TP用户功能，包括以下取值： · Enabled：处于开启状态，完全由RADIUS服务器决定用户是否为L2TP用户 · Disabled：处于关闭状态
Authorization attributes	ISP的用户授权属性
Idle cut	用户闲置切断功能，包括以下取值： · Enabled：处于开启状态，表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时，会被强制下线 · Disabled：处于关闭状态，表示不对用户进行闲置切断控制，它为缺省状态
Idle timeout	用户闲置切断时间（单位为分钟）
Flow	用户数据流量阈值（单位为字节）
Traffic direction	用户数据流量的统计方向，包括以下取值： · Both：表示用户双向数据流量 · Inbound：表示用户上行数据流量 · Outbound：表示用户下行数据流量
IP pool	授权IPv4地址池的名称
IP pool group	授权IPv4地址池组的名称
User profile	授权User Profile的名称
Session group profile	授权Session Group Profile的名称
Inbound CAR	授权的入方向CAR（CIR：承诺信息速率，单位为bps；PIR：峰值信息速率，单位为bps）。若未授权入方向CAR，则显示为N/A
Outbound CAR	授权的出方向CAR（CIR：承诺信息速率，单位为bps；PIR：峰值信息速率，单位为bps）。若未授权出方向CAR，则显示为N/A
ACL number	授权ACL编号
User group	授权User group的名称
IPv6 prefix	授权IPv6前缀
IPv6 pool	授权IPv6地址池的名称
IPv6 pool group	授权IPv6地址池组的名称
IPv6 ND prefix pool	授权ND前缀池的名称
IPv6 ND prefix pool group	授权ND前缀池组的名称
Primary DNS server	授权主DNS服务器IPv4地址
Secondary DNS server	授权从DNS服务器IPv4地址
Primary DNSV6 server	授权主DNS服务器IPv6地址
Secondary DNSV6 server	授权从DNS服务器IPv6地址
URL	授权重定向URL
Redirect limit	最大重定向次数，若不限制次数，则显示为Unlimited
VPN instance	授权VPN实例名称
IGMP access limit	授权IPv4用户可以同时点播的最大节目数
MLD access limit	授权IPv6用户可以同时点播的最大节目数
Inbound user priority	授权上行用户优先级
Outbound user priority	授权下行用户优先级
User session timeout	授权用户会话超时时间，单位为秒
IP resource usage warning thresholds	授权IPv4地址池/IPv4地址池组的地址使用率告警阈值
IPv6 resource usage warning thresholds	授权IPv6地址和前缀使用率告警阈值
High threshold	告警上限阈值，若未配置，则显示为Not configured
Low threshold	告警下限阈值，若未配置，则显示为Not configured
Load-sharing user groups	负载分担用户组及组内用户数目
User group and NAT instance bindings	负载分担用户组（组内用户数目）以及当前该组绑定的NAT实例
Authorization attributes specific to none authentication	采用none认证方法时的用户授权属性
Access limit per account (case-sensitive)	单个帐号允许接入的最大用户数（用户名区分大小写）
Access limit per account (case-insensitive)	单个帐号允许接入的最大用户数（用户名不区分大小写）
Default domain name	缺省ISP域名

1.1.50 display domain access-user statistics

display domain access-user statistics命令用来显示ISP域的在线接入用户统计信息。

【命令】

display domain [ isp-name ] access-user statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

isp-name：ISP域名，为1～255个字符的字符串，不区分大小写。如果不指定该参数，则表示所有ISP域。

【使用指导】

目前仅支持对PPP、IPoE接入类型在线用户的计数信息进行详细统计。Portal接入类型的在线用户计数信息不会被详细统计，属于Others类。

对于PPP接入类型的在线用户，必须在PPP计费统计功能处于开启的状态下（通过ppp account-statistics enable命令），才能通过本命令查看到对应的计数信息。

对于有增值业务的用户，比如EDSG、ITA业务，系统会采用独立的业务会话标识对这些业务流量进行独立的认证、授权、计费，但此类增值业务的会话数目并不会被本命令视为用户数目进行统计。

【举例】

# 显示所有ISP域中的在线接入用户统计信息。

<Sysname> display domain access-user statistics

Total online access users: 10

PPP users: 6

Others: 4

Total domains: 3

Domain State Online user count

system Active 10

isp1 Active 0

isp2 Active 0

Domain: system

PPP users: 6 (PPPoE 4, PPPoFR 0, LAC 0, LNS 2)

Others: 4

# 显示ISP域isp2中的在线接入用户统计信息。

<Sysname> display domain isp2 access-user statistics

Domain: isp2

Online user count: 5

PPP users: 5

Others: 0

表1-6 display domain access-user statistics命令显示信息描述表

字段	描述
Total online access users	在线用户总数，其中包括以下接入用户类型： · IPoE users：IPoe在线用户数 · PPP users:：PPP在线用户数 · Others：其它接入在线用户数
Total domains	ISP域的数目
Domain	ISP域的名称
State	ISP域的当前状态，包括以下取值： · Blocked：阻塞状态 · Active：活动状态
Online user count	在线用户数
IPoE users	IPoE接入用户，包括以下类型： · Bind：绑定认证方式的IPoE接入用户 · Web：Web认证方式的IPoE接入用户 · Leased：IPoE专线用户
PPP users	PPP接入用户，包括以下类型： · PPPoE：PPPoE接入用户 · PPPoFR：PPP over FR接入用户 · LAC：LAC上的L2TP接入用户 · LNS：LNS上的L2TP接入用户
Others	其它接入用户

【相关命令】

· ppp account-statistics enable（BRAS业务命令参考/PPP）

1.1.51 display max-user history

display max-user history命令用来显示用户数峰值的历史信息。

【命令】

（独立运行模式）

display max-user history [ slot slot-number ]

（IRF模式）

display max-user history [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number：显示指定单板上的用户数峰值的历史信息。slot-number表示单板所在槽位号。若不指定该参数，则显示设备所有单板的历史在线用户峰值。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的用户数峰值的历史信息。chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在槽位号。若不指定该参数，则显示设备所有单板的用户数峰值的历史信息。（IRF模式）

【使用指导】

可通过本命令查看系统记录的，历史同时发起认证用户数峰值、同时在线用户数峰值、同时下发驱动的在线用户会话数峰值和计费成功用户数峰值，以及达到各个峰值的系统时间。

当接入模块处理繁忙时，将会出现暂时查看不到相关峰值历史信息的情况，需要等待一段时间重新查看。

目前，仅支持显示PPPoE和IPoE接入方式的用户数峰值历史信息。需要注意的是，对于IPoE Web接入用户，仅支持通过本命令查看Web认证阶段的用户数峰值历史信息，不支持查看认证前域阶段的用户数峰值历史信息。

对于在聚合接口等逻辑接口上认证的用户，下发驱动的在线用户数峰值历史信息将在所有成员接口所在slot上均显示，其它类型的用户数峰值历史信息将仅在用户接入的物理口所在slot上显示。

【举例】

# 显示指定Slot上的用户数峰值的历史信息。

<Sysname> display max-user history slot 3

Slot 3:

Max concurrent authenticated PPPoE users: 5000 Time: 2019-04-20 15:51:09

Max concurrent online PPPoE users: 5000 Time: 2019-04-20 15:51:09

Max concurrent PPPoE driver sessions: 5000 Time: 2019-04-20 15:51:09

Max concurrent PPPoE users in accounting: 5000 Time: 2019-04-20 15:51:09

Max concurrent authenticated IPoE users: 15000 Time: 2019-04-20 16:00:43

Max concurrent online IPoE users: 15000 Time: 2019-04-20 16:00:43

Max concurrent IPoE driver sessions: 10908 Time: 2019-04-19 18:59:14

Max concurrent IPoE users in accounting: 10908 Time: 2019-04-19 18:59:14

表1-7 display max-user history命令显示信息描述表

字段	描述
Max concurrent authenticated xxx users	自系统启动之后，历史最大同时发起认证xxx用户数（xxx表示接入用户类型）若用户数为0，则不显示该字段
Max concurrent online xxx users	自系统启动之后，历史最大同时在线xxx用户数（xxx表示接入用户类型），即认证成功的用户数若用户数为0，则不显示该字段
Max concurrent xxx driver sessions	自系统启动之后，历史最大同时下发驱动的xxx会话数（xxx表示接入用户类型）若会话数为0，则不显示该字段
Max concurrent xxx users in accounting	自系统启动之后，历史计费成功的最大在线xxx用户数（xxx表示接入用户类型）若用户数为0，则不显示该字段
Time	达到峰值的系统时间

1.1.52 domain

domain命令用来创建ISP域，并进入ISP域视图。如果指定的ISP域已经存在，则直接进入ISP域视图。

undo domain命令用来删除指定的ISP域。

【命令】

domain name isp-name

undo domain name isp-name

【缺省情况】

存在一个ISP域，名称为system。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

name isp-name：ISP域名，为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

所有的ISP域在创建后即处于active状态。

不能删除系统中预定义的ISP域system，只能修改该域的配置。

不能删除作为系统缺省ISP域的ISP域。如需删除一个系统缺省ISP域，请先使用undo domain default enable命令将其恢复为非缺省的ISP域。

建议设备上配置的ISP域名尽量短，避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度。用户名长度不超过253字符的ISP域名才能生效。

【举例】

# 创建一个名称为test的ISP域，并进入其视图。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test]

【相关命令】

· display domain

· domain default enable

· domain if-unknown

· state (ISP domain view)

1.1.53 domain default enable

domain default enable命令用来配置系统缺省的ISP域，所有在登录时没有提供ISP域名的用户都属于这个域。

undo domain default enable命令用来恢复缺省情况。

【命令】

domain default enable isp-name

undo domain default enable

【缺省情况】

存在一个系统缺省的ISP域，名称为system。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

isp-name：ISP域名，为1～255个字符的字符串，不区分大小写，且必须已经存在。

【使用指导】

系统中只能存在一个缺省的ISP域。

配置为缺省的ISP域不能被删除。如需删除一个系统缺省ISP域，请先使用undo domain default enable命令将其恢复为非缺省的ISP域。

【举例】

# 创建一个新的ISP域test，并设置为系统缺省的ISP域。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] quit

[Sysname] domain default enable test

【相关命令】

· display domain

· domain

1.1.54 domain if-unknown

domain if-unknown命令用来为未知域名的用户指定ISP域。

undo domain if-unknown命令用来恢复缺省情况。

【命令】

domain if-unknown isp-name

undo domain if-unknown

【缺省情况】

没有为未知域名的用户指定ISP域。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

isp-name：ISP域名。为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

设备将按照如下先后顺序选择认证域：接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中，仅部分接入模块支持指定认证域。

如果根据以上原则决定的认证域在设备上不存在，但设备上为未知域名的用户指定了ISP域，则最终使用该指定的ISP域认证，否则，用户将无法认证。

【举例】

# 为未知域名的用户指定ISP域为test。

<Sysname> system-view

[Sysname] domain if-unknown test

【相关命令】

· display domain

1.1.55 ip-usage-warning

ip-usage-warning命令用来配置授权IPv4地址使用率告警阈值。

undo ip-usage-warning命令用来取消指定的授权IPv4地址使用率告警阈值设置。

【命令】

ip-usage-warning { high-threshold high-value | low-threshold low-value }

undo ip-usage-warning { high-threshold | low-threshold }

【缺省情况】

未设置授权IPv4地址使用率告警阈值，系统不会对该域的授权IPv4地址池/IPv4地址池组中的地址使用情况进行告警。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

high-threshold high-value：授权IPv4地址使用率告警上限阈值，取值范围1～100，单位为百分比，且必须大于使用率告警下限阈值。

low-threshold low-value：授权IPv4地址使用率告警下限阈值，取值范围0～99，单位为百分比。

【使用指导】

如果域下配置了授权IPv4地址池/IPv4地址池组，则可以通过配置该域的IPv4地址使用率告警阈值并开启相应的告警功能，实现基于域对授权IPv4地址池/IPv4地址池使用率事件的监控。具体实现为，DHCP模块会定期检查该授权IPv4地址池/IPv4地址池组的地址使用率，并在下述情况下输出相应的告警信息和日志信息：

· 若IPv4地址使用率首次达到或超过告警上限阈值，则触发一次上限告警。之后，当IPv4地址使用率<=（上限阈值–告警差值）时，触发一次上限恢复告警。

· 若IPv4地址使用率首次达到或低于告警下限阈值，则触发一次下限告警。之后，当IPv4地址使用率>=（下限阈值+告警差值）时，触发一次下限恢复告警。

其中，告警差值=（上限阈值–下限阈值）*10%。如果仅配置了上限阈值，则计算告警差值时下限阈值取值为0；如果仅配置了下限阈值，则计算告警差值时上限阈值取值为100。

假设，告警上限阈值设置为70，告警下限阈值设置为20，则告警差值为(70-20)*10%=5。因此，当授权IPv4地址使用率首次达到或超过70%时，触发一次上限告警，当使用率恢复到65%或者更低时，触发一次上限恢复告警；当域中的授权IPv4地址使用率首次达到或低于20%时，触发一次下限告警，当使用率恢复到25%或者更高时，触发一次下限恢复告警。

首次触发上限或下限告警后，若配置不发生变化，且使用率并未恢复，则不再重复触发告警。当如下配置发生变化时，告警的生成会发生相应的变化：

· 取消域下的某授权IPv4地址使用率告警阈值配置后，如果此前已经触发过相应的告警且使用率并未恢复，则在DHCP模块再次检查地址使用率时触发一次恢复告警，否则不会触发任何告警。

· 修改域下的授权IPv4地址使用率告警阈值配置、修改域引用的授权IPv4地址池/IPv4地址池组或者修改引用的授权IPv4地址池/IPv4地址池组中的配置后，DHCP模块再次检查地址使用率时，将使用修改后的配置判断是否触发告警。

域下的授权IPv4地址池通过authorization-attribute ip-pool命令配置，授权IPv4地址池组通过authorization-attribute ip-pool-group命令配置。

需要注意的是，本特性针对的授权IPv4地址必须为最终通过DHCP地址池分配的IPv4地址。

域下的授权IPv4地址使用率告警功能通过snmp-agent trap enable domain ip-pool-warning命令开启。

【举例】

# 在ISP域test下，配置授权IPv4地址使用率告警上限阈值为70%、下限阈值为20%。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] ip-usage-warning high-threshold 70

[Sysname-isp-test] ip-usage-warning low-threshold 20

【相关命令】

· authorization-attribute (ISP domain)

· display domain

· snmp-agent trap enable domain

1.1.56 ipv6-usage-warning

ipv6-usage-warning命令用来配置授权IPv6地址和前缀使用率告警阈值。

undo ipv6-usage-warning命令用来取消指定的授权IPv6地址和前缀使用率告警阈值设置。

【命令】

ipv6-usage-warning { high-threshold high-value | low-threshold low-value }

undo ipv6-usage-warning { high-threshold | low-threshold }

【缺省情况】

未设置授权IPv6地址和前缀使用率告警阈值，系统不会对该域的授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组中的IPv6地址及前缀使用情况进行告警。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

high-threshold high-value：授权IPv6地址和前缀使用率告警上限阈值，取值范围1～100，单位为百分比，且必须大于使用率告警下限阈值。

low-threshold low-value：授权IPv6地址和前缀使用率告警下限阈值，取值范围0～99，单位为百分比。

【使用指导】

如果域下配置了授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组，则可以通过配置该域的IPv6地址和前缀使用率告警阈值并开启相应的告警功能，实现基于域对授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组使用率事件的监控。具体实现为，DHCP模块会定期检查该授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组的IPv6地址和前缀使用率，在下述情况下输出相应的告警信息和日志信息：

· 若IPv6地址或前缀使用率首次达到或超过告警上限阈值，则触发一次上限告警。之后，当IPv6地址或前缀使用率<=（上限阈值–告警差值）时，触发一次上限恢复告警。

· 若IPv6地址或前缀使用率首次达到或低于告警下限阈值，则触发一次下限告警。之后，当IPv6地址或前缀使用率>=（下限阈值+告警差值）时，触发一次下限恢复告警。

假设，告警上限阈值设置为70，告警下限阈值设置为20，则告警差值为(70-20)*10%=5。因此，当授权IPv6地址和前缀使用率首次达到或超过70%时，触发一次上限告警，当使用率恢复到65%或者更低时，触发一次上限恢复告警；当域中的授权IPv6地址和前缀使用率首次达到或低于20%时，触发一次下限告警，当使用率恢复到25%或者更高时，触发一次下限恢复告警。

首次触发上限或下限告警后，若配置不发生变化，且使用率并未恢复，则不再重复触发告警。当如下配置发生变化时，告警的生成会发生相应的变化：

· 取消域下的某授权IPv6地址和前缀使用率告警阈值配置后，如果此前已经触发过相应的告警且使用率并未恢复，则会触发一次恢复告警，否则不会触发任何告警。

· 修改域下的授权IPv6地址和前缀使用率告警阈值配置、修改域引用的授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组或者修改引用的IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组中的配置后，DHCP模块再次检查地址使用率时，将使用修改后的配置判断是否触发告警。

域下的授权IPv6地址池通过authorization-attribute ipv6-pool命令配置；域下的授权前缀池通过authorization-attribute ipv6-nd-prefix-pool命令配置；域下的授权IPv6地址池组通过authorization-attribute ipv6-pool-group命令配置；域下的授权前缀池组通过authorization-attribute ipv6-nd-prefix-pool-group命令配置。

域下的授权IPv6地址和前缀使用率告警功能通过snmp-agent trap enable domain ipv6-pool-warning命令开启。

【举例】

# 在ISP域test下，配置授权IPv6地址和前缀使用率告警上限阈值为70%、下限阈值为20%。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] ipv6-usage-warning high-threshold 70

[Sysname-isp-test] ipv6-usage-warning low-threshold 20

【相关命令】

· authorization-attribute (ISP domain)

· display domain

· snmp-agent trap enable domain

1.1.57 ita-policy

ita-policy命令用来指定当前ISP域采用的ITA业务策略。

undo ita-policy命令用来恢复缺省情况。

【命令】

ita-policy policy-name

undo ita-policy

【缺省情况】

当前ISP域中未采用ITA业务策略。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

service-policy-name：ITA业务策略名称，由1～31个字符组成，不区分大小写。

【使用指导】

仅CSPEX类单板（CSPEX-1104-E除外）支持配置本命令。

当RADIUS服务器为当前用户动态授权了ITA业务策略时，将使用RADIUS服务器授权的ITA业务策略，否则使用用户认证域中指定的ITA业务策略。

若RADIUS服务器为当前用户授权了ITA业务策略，但该策略在设备上不存在，则即使认证域中指定了ITA业务策略且存在，设备也不会对该用户进行ITA业务计费。

若RADIUS服务器为当前用户授权了EDSG业务策略但未授权ITA业务策略，则认证域中指定的ITA业务策略将不会生效。

【举例】

# 在ISP域test中，指定采用ITA业务策略ita1。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] ita-policy ita1

【相关命令】

· ita policy

1.1.58 l2tp-user radius-force

l2tp-user radius-force命令用来开启RADIUS服务器授权L2TP用户功能，即由RADIUS服务器来决定该用户是否为作为L2TP用户。

undo l2tp-user radius-force命令用来关闭RADIUS服务器授权L2TP用户功能。

【命令】

l2tp-user radius-force

undo l2tp-user radius-force

【缺省情况】

RADIUS服务器授权L2TP用户功能处于关闭状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【使用指导】

本配置仅对PPP接入用户生效。

缺省情况下，PPP用户认证成功后，可以由设备上的L2TP配置或RADIUS服务器授权来决定该用户是否作为L2TP用户进行后续的L2TP处理，服务器的授权优先级高。若RADIUS服务器给用户授权了64号属性（Tunnel-Type），且隧道类型为L2TP，则用户将使用服务器授权的L2TP隧道相关属性建立L2TP隧道。否则，将依据设备上的L2TP配置为用户建立L2TP隧道。

如果网络管理员希望完全由RADIUS服务器来决定该用户是否为作为L2TP用户，则需要在用户认证域下配置l2tp-user radius-force命令。这种情况下，若RADIUS服务器通过64号属性下发了隧道类型为L2TP，则用户需要进行后续的L2TP处理；否则用户不需要进行后续的L2TP处理。

【举例】

# 在ISP域test下，开启RADIUS服务器授权L2TP用户功能。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] l2tp-user radius-force

【相关命令】

· display domain

1.1.1 local-server log change-password-prompt

local-server log change-password-prompt命令用来开启密码修改周期性提醒日志功能。

undo local-server log change-password-prompt命令用来关闭密码修改周期性提醒日志功能。

【命令】

local-server log change-password-prompt

undo local-server log change-password-prompt

【缺省情况】

密码修改周期性提醒日志功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

为了提高系统的安全性，用户通过Telnet、SSH、NETCONF over SSH、NETCONF over SOAP方式登录设备时，系统会根据指定的安全策略对用户密码进行检查。为了及时提醒用户修改不符合系统要求的密码，建议开启密码修改周期性提醒日志功能。

开启本功能后，系统将每隔24小时，对所有不符合密码检查策略的用户打印日志，提醒这些用户尽快修改当前密码。除了周期性提醒之外，系统还会在每个用户登录时，针对不符合密码检查策略的情况立即打印日志进行提醒。

· 对于通过Telnet、SSH方式登录设备的用户，如果用户密码为弱密码，且系统在用户登录时未要求其立即更改密码，系统会打印此提醒日志。弱密码是指不符合如下任意一项要求的密码：

¡ 密码组合检测策略。

¡ 密码最小长度限制。

¡ 密码中不能包含用户名或者字符顺序颠倒的用户名。

· 对于通过NETCONF over SSH、NETCONF over SOAP方式登录设备的用户，如果出现以下情况，系统会打印此提醒日志：

¡ 用户密码为弱密码。

¡ 用户密码为缺省密码。

¡ 全局密码管理功能开启后，用户首次登录或使用被更改过的密码。

¡ 用户密码已经过期。

仅当以下情况发生时，系统才会停止打印此提醒日志：

· 关闭了密码修改周期性提醒日志功能。

· 用户密码修改为符合系统安全策略的密码。

· 密码检查策略相关功能的开启状态发生变化，使得密码检查策略变得宽松。

· 密码检查策略的参数设置发生变化。

当前系统中的密码检查策略可通过display password-control命令查看。弱密码检查使用的密码组合检测策略、密码最小长度限制可分别通过password-control composition、password-control length命令修改。关于密码检查策略的具体介绍，请参见“安全命令参考”的“Password Control”。

【举例】

# 开启密码修改周期性提醒日志功能。

<Sysname> system-view

[Sysname] local-server log change-password-prompt

【相关命令】

· display password-control（安全命令参考/Password Control）

· password-control composition（安全命令参考/Password Control）

· password-control length（安全命令参考/Password Control）

1.1.2 load-sharing user-group

load-sharing user-group命令用来配置负载分担用户组，且开启用户组负载分担功能。

undo load-sharing user-group命令用来删除配置的负载分担用户组。

【命令】

load-sharing user-group group-name

undo load-sharing user-group [ group-name ]

【缺省情况】

未配置负载分担用户组，用户组负载分担功能处于关闭状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

group-name：指定用户组名，为1～32个字符的字符串，不区分大小写。指定的用户组必须已经存在，否则负载分担用户组的配置不生效。undo命令中若不指定该参数，则表示删除所有配置的负载分担用户组。

【使用指导】

在一个ISP域视图下，将任意一个用户组配置为负载分担用户组后，该域的用户组负载分担功能将处于开启状态。一个ISP域中，可以配置多个负载分担用户组，采用该域认证上线的用户，将会加入到当前用户数最少的负载分担用户组中。如果当前用户数最少的负载分担用户组存在多个，则将用户加入其中最先配置的用户负载分担组中。

负载分担用户组用于配合业务模块实现分担用户业务流量的目的。

本用户组负载分担功能与NAT业务配合时，仅适用于基于接口配置NAT的组网环境中。

一个ISP域视图下最多配置32个负载分担用户组。

用户最终加入的用户组与实际配置相关，各类型用户组的生效先后顺序依次为：服务器下发的授权用户组、ISP域中配置的负载分担用户组、ISP中配置的授权用户组。

同一个ISP域视图下，user-group name group-name bind nat-instance命令与load-sharing user-group命令互斥，在其中一类配置存在的情况下，或者在该类配置存在的情况下有用户上线后，另外一类命令行不能成功配置。

【举例】

# 在ISP域视图test下，配置用户组g1和g2为负载分担用户组。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] load-sharing user-group g1

[Sysname-isp-test] load-sharing user-group g2

【相关命令】

· display domain

· user-group

· user-group bind nat-instance

1.1.3 nas-id

nas-id命令用来在ISP域视图下配置NAS-ID。

undo nas-id命令用来删除ISP域视图下配置的NAS-ID。

【命令】

nas-id nas-identifier

undo nas-id

【缺省情况】

未配置ISP域下的NAS-ID。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

nas-identifier：NAS-ID名称，为1～253个字符的字符串，区分大小写。

【使用指导】

用户进行RADIUS认证时，系统会获取设备的NAS-ID来设置RADIUS报文中的NAS-Identifier属性，该属性用于向RADIUS服务器标识用户的接入位置。

【举例】

# 在ISP域test下配置NAS-ID为test。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] nas-id test

【相关命令】

· aaa nas-id

· aaa nas-id profile（BRAS业务命令参考/AAA）

1.1.4 nas-id bind

nas-id bind命令用来设置NAS-ID与VLAN的绑定关系。

undo nas-id bind命令用来删除指定的NAS-ID和VLAN的绑定关系。

【命令】

nas-id nas-identifier bind { { c-vid vlan-id | s-vid vlan-id } * | vlan vlan-id }

undo nas-id nas-identifier bind { { c-vid vlan-id | s-vid vlan-id } * | vlan vlan-id }

【缺省情况】

不存在NAS-ID与VLAN的绑定关系。

【视图】

NAS-ID Profile视图

【缺省用户角色】

network-admin

【参数】

nas-identifier：NAS-ID名称，为1～31个字符的字符串，区分大小写。

c-vid vlan-id：与NAS-ID绑定的内层VLAN标签（Customer VLAN ID），取值范围为1～4094。

s-vid vlan-id：与NAS-ID绑定的外层VLAN标签（Service VLAN ID），取值范围为1～4094。

vlan vlan-id：与NAS-ID绑定的VLAN ID，取值范围为1～4094。

【使用指导】

一个NAS-ID Profile视图下，可以指定多个NAS-ID与VLAN的绑定关系。

QinQ组网情况下，建议指定s-vid和c-vid参数或两者之一；非QinQ组网情况下，只能指定vlan参数。

指定了s-vid或c-vid参数的NAS-ID Profile，仅能与aaa nas-id-profile命令配合使用。

一个NAS-ID可以与多个VLAN或多个内层VLAN和外层VLAN的组合绑定，但是一个VLAN或一个内层VLAN和外层VLAN的组合只能与一个NAS-ID绑定。若多次将一个VLAN或一个内层VLAN和外层VLAN的组合与不同的NAS-ID进行绑定，则最后的绑定关系生效。

若报文中携带了双层VLAN标签，则优先匹配与s-vid和c-vid参数同时绑定的NAS-ID，其次匹配仅与s-vid参数绑定的NAS-ID，最后尝试匹配与c-vid参数绑定的NAS-ID。

【举例】

# 在名称为aaa的NAS-ID Profile视图下，配置NAS-ID 222与VLAN 2的绑定关系。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2

【相关命令】

· aaa nas-id profile

1.1.5 redirect active-time

redirect active-time命令用来配置推送Web重定向URL的有效时长。

undo redirect aging-time命令用来恢复缺省情况。

【命令】

redirect active-time time

undo redirect active-time

【缺省情况】

未配置推送Web重定向URL的有效时长。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

time：向用户推送Web重定向URL的有效时长，取值范围为1～900，单位为秒。

【使用指导】

用户认证成功后首次访问网络时，服务器可以通过向用户推送Web重定向URL来强制用户访问指定业务站点页面、广告等通知类页面，或者在用户欠费时推送欠费提醒页面。在实际组网中，用户端的部分应用程序（比如输入法软件）会在后台自动发起访问指定服务器Web页面的请求，提前触发了设备对该用户的Web重定向操作，减少了服务器对用户强推Web页面的机会，导致用户主动发起的Web访问请求有可能不会被重定向。为了避免此问题的发生，可以配置向用户推送Web重定向URL的有效时长，使得自设备对用户首次进行Web重定向操作起，在该时长内，用户端发起的所有HTTP访问请求都会被重定向。

需要注意的是：

· 本配置只对PPP、IPoE用户生效。

· 本配置仅在服务器向用户下发了重定向URL，且下发了限定次数重定向属性的情况下有效。

· 如果用户的认证域下同时还配置了重定向次数（通过authorization-attribute redirect-times命令），则本配置的优先级高，重定向次数不会生效。因此，如果需要限定对用户的Web重定向次数，则必须确保该域下未进行本配置。

【举例】

# 在ISP域test下配置推送Web重定向URL的有效时长为60秒。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] redirect active-time 60

【相关命令】

· authorization-attribute (ISP domain view)

· display domain

· redirect server

1.1.6 redirect move-temporarily enable

redirect move-temporarily enable命令用来开启暂时重定向功能。

undo redirect move-temporarily enable命令用来关闭暂时重定向功能。

【命令】

redirect move-temporarily enable

undo redirect move-temporarily enable

【缺省情况】

暂时重定向功能处于关闭状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下，设备向用户发送HTTP/HTTPS重定向报文时采用Java Script的方式携带重定向URL，用户终端通过解析HTTP/HTTPS报文中Java Script来获取重定向URL。如果用户访问网络的终端（例如APP）不支持解析HTTP/HTTPS报文中Java Script，将无法获取重定向URL，也就无法完成设备预期的重定向行为。这种情况下，设备管理员可以开启暂时重定向功能，改变设备发送HTTP/HTTPS重定向报文时携带重定向URL的方式来适配这些终端。

开启暂时重定向功能后，设备将通过发送状态码为302的暂时重定向响应报文向用户终端推送重定向URL。

目前，本功能仅对PPP和IPoE用户生效。

【举例】

# 在ISP域test下，开启暂时重定向功能。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] redirect move-temporarily enable

【相关命令】

· display domain

1.1.7 redirect server

redirect server命令用来配置提供Web重定向页面的服务器IP地址。

undo redirect server命令用来删除配置的Web重定向页面的服务器IP地址。

【命令】

redirect server { ip ipv4-address | ipv6 ipv6-address }

undo redirect server { ip | ipv6 }

【缺省情况】

未配置提供Web重定向页面的服务器IP地址。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address：重定向服务器的IPv4地址。

ipv6 ipv6-address：重定向服务器的IPv6地址。

【使用指导】

当 AAA授权给用户的重定向URL中未携带服务器的IP地址时，可通过本配置直接指定该URL对应的服务器IP地址，以提高设备对用户进行Web重定向时的效率和准确度。当设备需要对用户的Web访问请求进行重定向时，首先判断该用户的Web访问请求报文的目的地址是否为本命令配置的服务器IP地址，如果是，则直接允许其访问该地址，否则向其推送服务器授权的重定向URL。

· 如果授权的重定向URL中未携带服务器的IP地址，则使用本配置指定的服务器IP地址作为重定向的目的IP地址。因此，需要保证本配置指定的服务器IP地址与该URL解析出的服务器IP地址保持一致。

· 如果授权的重定向URL中携带了服务器的IP地址，但与本配置指定的服务器IP地址不同，则使用本配置指定的服务器IP地址作为重定向的目的IP地址。

· 如果授权的重定向URL中未携带服务器的IP地址，且设备上未配置提供Web重定向页面的服务器IP地址，则可能会因为无法获取重定向服务器IP地址而导致该重定向操作失败。

需要注意的是：

· 本配置只对PPP、IPoE用户生效。

· 一个ISP域下，只能配置一个Web重定向服务器IPv4地址，以及一个Web重定向服务器IPv6地址。

【举例】

# 在ISP域test下配置提供Web重定向页面的服务器IP地址为5.1.1.1。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] redirect server ip 5.1.1.1

【相关命令】

· display domain

· redirect aging-time

1.1.8 reset aaa abnormal-offline-record

reset aaa abnormal-offline-record命令用来清除当前所有用户异常下线记录。

【命令】

reset aaa abnormal-offline-record

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

除非主控板重启，否则已保存的用户异常下线记录将会一直保存在内存中，而记录的信息过多时不便于查看，且占用内存过多，为方便管理员仅获取后续某个时间段内的用户异常下线记录，可执行本命令清除系统当前所有的用户异常下线记录。

执行完该命令后，已被清除的记录不能恢复，因此需要谨慎使用。

【举例】

# 清除当前所有用户异常下线记录。

<Sysname> reset aaa abnormal-offline-record

【相关命令】

· display aaa abnormal-offline-record

1.1.9 reset aaa normal-offline-record

reset aaa normal-offline-record命令用来清除当前所有用户正常下线记录。

【命令】

reset aaa normal-offline-record

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

除非主控板重启，否则已保存的用户正常下线记录将会一直保存在内存中，而记录的信息过多时不便于查看，且占用内存过多，为方便管理员仅获取后续某个时间段内的用户正常下线记录，可以执行本命令清除系统当前所有的用户正常下线记录。

执行完该命令后，已被清除的记录不能恢复，因此需要谨慎使用。

【举例】

# 清除当前所有用户正常下线记录。

<Sysname> reset aaa normal-offline-record

【相关命令】

· display aaa normal-offline-record

1.1.10 reset aaa offline-record

reset aaa offline-record命令用来清除当前所有用户下线记录。

【命令】

reset aaa offline-record

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

除非主控板重启，否则已保存的用户下线失败记录将会一直保存在内存中，而记录的信息过多时不便于查看，且占用内存过多，为方便管理员仅获取后续某个时间段内的用户下线记录，可以执行本命令清除系统当前所有的用户下线记录。

执行完该命令后，已被清除的记录不能恢复，因此需要谨慎使用。

【举例】

# 清除当前所有用户下线记录。

<Sysname> reset aaa offline-record

【相关命令】

· display aaa offline-record

1.1.11 reset aaa online-fail-record

reset aaa online-fail-record命令用来清除当前所有用户上线失败记录。

【命令】

reset aaa online-fail-record

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

除非主控板重启，否则已保存的用户上线失败记录将会一直保存在内存中，而记录的信息过多时不便于查看，且占用内存过多，为了方便管理员仅获取后续某个时间段内的用户上线失败记录，可以执行本命令清除系统当前所有的用户上线失败记录。

执行完该命令后，已被清除的记录不能恢复，因此需要谨慎使用。

【举例】

# 清除当前所有用户上线失败记录。

<Sysname> reset aaa online-fail-record

【相关命令】

· display aaa online-fail-record

1.1.12 service rate-limit mode (ISP domain view)

service rate-limit mode命令用来配置EDSG业务流量限速模式。

undo service rate-limit mode命令用来恢复缺省情况。

【命令】

service rate-limit mode { merge | separate }

undo service rate-limit mode

【缺省情况】

仅对EDSG业务流量限速，且不影响普通业务流量带宽。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

merge：带内限速，即在用户可用总带宽内，对EDSG业务流量和普通业务流量同时限速，且优先保证EDSG业务带宽。

separate：带外限速，即对EDSG业务流量进行独立限速，用户普通业务流量带宽不受影响。

【使用指导】

仅CSPEX类单板（CSPEX-1104-E除外）支持配置本命令。

假如用户最大可用基础带宽为20M，EDSG业务最大可用带宽为12M，不同流量限速模式下的限速效果不同：

· 在separate模式下，EDSG业务的12M带宽是独立于20M之外，实际用户可用带宽为32M，但这12M带宽也只能用于EDSG业务，不能用于普通业务。

· 在merge模式下，EDSG业务的12M带宽包含在20M内，若某时刻EDSG业务占用了12M带宽，则普通业务可用带宽将下降为8M。

EDSG业务流量限速模式在EDSG业务策略视图下的配置优先级高于ISP域视图下的配置。

【举例】

# 在ISP域test中，配置EDSG业务流量限速模式为merge，即对EDSG业务流量限速的同时，也对普通业务流量限速，但优先保证EDSG业务。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] service rate-limit mode merge

【相关命令】

· service policy

· service rate-limit mode (EDSG service policy view)

1.1.13 service-type (ISP domain view)

service-type命令用来设置当前ISP域的业务类型。

undo service-type命令用来恢复缺省情况。

【命令】

service-type { hsi | stb | voip }

undo service-type

【缺省情况】

当前ISP域的业务类型为hsi。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hsi：表示HSI（High Speed Internet，高速上网）业务，主要指使用PPP、IPoE专线方式接入网络的用户业务。

stb：表示STB（Set Top Box，机顶盒）业务，专指使用数字机顶盒接入网络的用户业务。

voip：表示（Voice over IP，IP电话）业务，指使用IP电话的用户业务。

【使用指导】

本命令用来配置当前认证域的用户使用的业务类型，用来决定接入模块是否开启组播功能。

用户使用HSI业务类型的ISP域接入时，接入模块不会开启组播功能，可节省系统资源。

用户使用STB业务类型的ISP域接入时，接入模块会开启组播功能，可提高系统处理组播业务的性能。

用户使用VoIP业务类型的ISP域接入时，QoS功能会开启保证用户语音数据的低延迟传送。

对于IPoE专线用户、PPP用户（非PPPoE用户），ISP域中配置的业务类型无效，系统强制使用HSI业务类型。

一个ISP域中，仅能配置一种类型的业务类型。

【举例】

# 设置域test下用户业务类型为STB终端业务。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] service-type stb

1.1.14 session-time include-idle-time

session-time include-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间。

undo session-time include-idle-time命令用来恢复缺省情况。

【命令】

session-time include-idle-time

undo session-time include-idle-time

【缺省情况】

设备上传到服务器的用户在线时间中扣除闲置切断时间。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【使用指导】

请根据实际的计费策略决定是否在用户在线时间中保留该闲置切换时间。该闲置切断时间在用户认证成功后由AAA授权，对于Portal认证用户，若接入接口上开启了Portal用户在线探测功能，则为在线探测闲置时长。

当用户正常下线时，设备上传到服务器上的用户在线时间为实际在线时间；当用户异常下线时，上传到服务器的用户在线时间具体如下：

· 若配置为保留闲置切断时间，则上传到服务器上的用户在线时间中包含了一定的闲置切断检测间隔。此时，服务器上记录的用户时长将大于用户实际在线时长。

· 若配置为扣除闲置切断时间，则上传到服务器上的用户在线时间为，闲置切断检测机制计算出的用户已在线时长扣除掉一个闲置切断检测间隔。此时，服务器上记录的用户时长将小于用户实际在线时长。

【举例】

#在ISP域test下，配置设备上传到服务器的用户在线时间中保留闲置切断时间。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] session-time include-idle-time

【相关命令】

· display domain

1.1.15 snmp-agent trap enable domain

snmp-agent trap enable domain命令用来开启ISP域告警功能。

undo snmp-agent trap enable domain命令用来关闭ISP域告警功能。

【命令】

snmp-agent trap enable domain { ip-usage-warning | ipv6-usage-warning }

undo snmp-agent trap enable domain { ip-usage-warning | ipv6-usage-warning }

【缺省情况】

ISP域告警功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-usage-warning：表示授权IPv4地址使用率告警，即ISP域下授权IPv4地址池/IPv4地址池组中的IPv4地址使用率达到或超过上限阈值、达到或小于下限阈值，以及恢复到正常范围时产生对应的告警信息。

ipv6-usage-warning：表示授权IPv6地址和前缀使用率告警，即ISP域下授权IPv6地址池/ND前缀地址池/IPv6地址池组/ND前缀地址池组中的IPv6地址或前缀使用率达到或超过上限阈值、达到或小于下限阈值，以及恢复到正常范围时产生对应的告警信息。

【使用指导】

开启ISP域告警功能后，ISP域下发生的指定类型的重要事件将会生成告警信息。生成的告警信息将被送到设备的SNMP模块，通过设置SNMP中的告警信息的发送参数，来决定告警信息输出的相关属性。有关告警信息的详细介绍，请参见“网络管理和监控配置指导”中的“SNMP”。

若要基于ISP域生成授权IPv4地址使用率告警信息，还需要在指定的域下配置授权IPv4地址使用率告警阈值。

若要基于ISP域生成授权IPv6地址和前缀使用率告警信息，还需要在指定的域下配置授权IPv6地址和前缀使用率告警阈值。

当设备作为DHCP中继时，为保证本功能生效，还需要在使用的中继地址池内通过network命令配置和中继地址池关联的服务器相同的网段信息。

【举例】

# 开启ISP域的授权IPv4地址使用率告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable domain ip-usage-warning

【相关命令】

· ip-usage-warning

· ipv6-usage-warning

· network（BRAS业务命令参考/DHCP中继）

1.1.16 state (ISP domain view)

state命令用来设置当前ISP域的状态。

undo state命令用来恢复缺省情况。

【命令】

state { active | block [ time-range ][ offline ] }

undo state

【缺省情况】

当前ISP域处于活动状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

active：指定当前ISP域处于活动状态，即系统允许该域下的用户请求网络服务。

block：指定当前ISP域处于阻塞状态，即系统不允许该域下的用户请求网络服务。该参数对除采用公钥认证的SSH用户之外的所有接入类型的用户都生效。

time-range：指定ISP域基于时间段阻塞。若不指定该参数，则表示ISP域一直处于阻塞状态。

offline：表示ISP域从活动状态切换为阻塞状态后，通过该ISP域接入的网络接入类用户将被强制下线。若不指定该参数，则表示ISP域状态切换为阻塞状态后，不影响当前用户状态。

【使用指导】

若通过time-range关键字指定ISP域基于时间段阻塞，则该ISP域只在通过state block time-range name命令指定的时间段内处于阻塞状态。

【举例】

# 设置当前ISP域test处于阻塞状态。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] state block

【相关命令】

· display domain

· state block time-range name

1.1.17 state block time-range name

state block time-range name命令用来配置ISP域处于阻塞状态的时间段。

undo state block time-range name命令用来删除配置的ISP域处于阻塞状态的时间段。

【命令】

state block time-range name time-range-name

undo state block time-range { all | name time-range-name }

【缺省情况】

未配置ISP域处于阻塞的时间段。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

time-range-name：时间段的名称，为1～32个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，时间段的名称不允许使用英文单词all。

all：表示所有时间段。

【使用指导】

本命令配置的时间段，在ISP域基于时间段阻塞的情况下才能生效。可通过state block time-range命令配置ISP域基于时间段阻塞。

可通过多次执行本命令，指定ISP域处于阻塞状态的多个时间段。

【举例】

# 配置ISP域test处于阻塞状态的时间段为t1和t2。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] state block time-range name t1

[Sysname-isp-test] state block time-range name t2

【相关命令】

· state

· time-range（QoS和ACL命令参考/时间段）

1.1.18 user-address-type

user-address-type命令用来设置当前ISP域的用户地址类型。

undo user-address-type命令用来恢复缺省情况。

【命令】

user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 }

undo user-address-type

【缺省情况】

未指定当前ISP域的用户地址类型。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ds-lite：表示当前用户的地址类型为轻量级双栈地址。

ipv6：表示当前用户的地址类型为IPv6地址。

nat64：表示当前用户的地址类型为NAT64地址。

private-ds：表示当前用户的地址类型为私网双栈地址。

private-ipv4：表示当前用户的地址类型为私网IPv4地址。

public-ds：表示当前用户的地址类型为公网双栈地址。

public-ipv4：表示当前用户的地址类型为公网IPv4地址。

【使用指导】

需要根据用户接入侧的组网环境和用户的地址分配策略选择配置相应的地址类型参数。

更改当前ISP域的用户地址类型，不影响已经在线的用户。

【举例】

# 设置当前ISP域用户地址类型为私网IPv4地址。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] user-address-type private-ipv4

【相关命令】

· display domain

1.1.19 user-group bind nat-instance

user-group bind nat-instance命令用来指定负载分担用户组，并配置负载分担用户组和NAT实例的绑定关系。

undo user-group命令用来删除负载分担用户组和NAT实例的绑定关系。

【命令】

user-group name group-name bind nat-instance instance-name

undo user-group [ name group-name ]

【缺省情况】

未配置负载分担用户组与NAT实例的绑定关系，用户组负载分担功能处于关闭状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

group-name：指定用户组名，为1～32个字符的字符串，不区分大小写。指定的用户组必须已经存在，否则负载分担用户组的配置不生效。

nat-instance instance-name：指定NAT实例名，为1～31个字符的字符串，区分大小写。如果该值中包含空格，需要在值的首末添加英文格式的引号，形如"xxx xxx"。指定的instance-name必须是有效的，否则用户上线可能会失败。

【使用指导】

ISP域视图下配置了负载分担用户组和NAT实例的绑定关系后，该ISP域下的用户组负载分担功能也会同时开启。接入用户认证上线之后，接入设备将依据以下原则将其加入一个负载分担用户组，并为其分配一个NAT实例进行NAT处理：

· 如果AAA服务器为接入用户授权了用户组，则该用户组就是用户的负载分担用户组，接入设备会根据认证域中配置的负载分担用户组与NAT实例的绑定关系为其分配一个NAT实例。如果认证域下未查询到与AAA服务器授权的用户组所绑定的NAT实例，则无NAT实例分配给该用户，用户将会下线。

· 如果AAA服务器没有给接入用户授权用户组，则接入设备将从认证域中指定的负载分担用户组中为其选择一个用户组，并将与其绑定的NAT实例分配给该用户。选择负载分担用户组的机制为：首先选择认证域中在线用户数最少的负载分担用户组，其次选择最后配置的用户负载分担组。

· 如果AAA服务器没有给接入用户授权用户组，且认证域下也没有指定负载分担用户组，则无NAT实例分配给该用户，用户将会下线。

关于NAT实例的相关介绍，请参见“NAT配置指导”中的“NAT”。

undo命令中若不指定name group-name参数，则表示删除所有负载分担用户组与NAT实例的绑定关系。

一个用户组只能绑定一个NAT实例，多个用户组可以绑到同一个NAT实例。

不能通过重复执行本命令来修改绑定的NAT实例。如需修改绑定的NAT实例，请先通过undo user-group name group-name命令删除已有的绑定关系，再执行本命令。修改负载分担用户组与NAT实例的绑定关系不会对已经在线的用户产生影响，已经加入该负载分担用户组的用户仍然属于该组。

一个ISP域视图下最多配置32条绑定命令。

【举例】

# 在ISP域视图test下，配置用户组g1为负载分担用户组，并将其和NAT实例cp1进行绑定。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] user-group name g1 bind nat-instance cp1

【相关命令】

· display domain

· load-sharing user-group

· user-group

1.1.20 users-per-account

users-per-account 命令用来配置单个帐号允许接入的最大用户数。

undo users-per-account命令用来恢复缺省情况。

【命令】

users-per-account max-user-number [ case-insensitive ]

undo users-per-account

【缺省情况】

ISP域下的用户不共享账号，每个用户独享各自的授权流量监管参数。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

max-user-number：最大用户数，取值范围为1～512。

case-insensitive：表示用户名不区分大小写。若不指定该参数，则表示用户名区分大小写。

【使用指导】

ISP域下配置了单个帐号允许接入的最大用户数后，该域内使用同一账户接入的用户数受限，同时这些用户只能共享指定带宽，即这些用户的总业务流量将受到该账户的授权流量监管参数的限制。这类用户被简称为共享账户用户。目前，该配置仅适用于PPPoE用户。

共享账户的用户必须拥有相同的用户名和授权域名，其中的授权域是指服务器给用户授权的域。如果服务器未给用户授权域，则选用该用户的认证域作为授权域。对于共享账户用户，授权限制切断功能不生效。

如果RADIUS服务器下发了最大用户数（通过标准属性62号属性Port-Limit），则服务器的配置优先。如果RADIUS服务器下发的最大用户数大于512，则实际生效值为512。

建议配置单个账号允许接入的最大用户数不超过16。

【举例】

# 在ISP域test下，配置单个帐号允许接入的最大用户数为5，且用户名不区分大小写。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] users-per-account 5 case-insensitive

【相关命令】

· display domain

· display ppp account-user（BRAS业务命令参考/PPP）

1.1.21 web-server { ip | ipv6 }

web-server { ip | ipv6 }命令用来指定Web服务器的IP地址。

undo web-server { ip | ipv6 }命令用来删除指定的Web服务器的IP地址。

【命令】

web-server { ip ipv4-address | ipv6 ipv6-address }

undo web-server { ip | ipv6 }

【缺省情况】

未指定Web服务器的IP地址。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：Web服务器的IPv4地址。

ipv6-address：Web服务器的IPv6地址。

【使用指导】

若在ISP域中指定了Web服务器的IP地址，则用户的Web请求URL中携带该IP地址时，该Web请求报文将不会被重定向，而是直接转发。因此，通过指定Web服务器的IP地址，可以避免用户Web请求的目的地址就是Web服务器时，设备将该Web请求进行一次无意义的重定向。

最多只能配置一个Web服务器的IPv4地址和一个Web服务器的IPv6地址。

【举例】

# 在ISP域test中，指定Web服务器的IP地址为192.168.1.1。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] web-server ip 192.168.1.1

【相关命令】

· display domain

1.1.22 web-server url

web-server url命令用来指定重定向给用户的Web服务器的URL。

undo web-server url命令用来恢复缺省情况。

【命令】

web-server url url-string

undo web-server url

【缺省情况】

未指定重定向给用户的Web服务器的URL。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

url-string：Web服务器的URL，为1～255个字符的字符串，区分大小写，以http://或者https://开头。若输入的URL未以http://或者https://开头，则默认为以http://开头。

【使用指导】

若在IPoE用户的认证前域中指定了Web服务器的URL，则用户在认证之前发送的目的端口为80的HTTP请求和目的端口为443的HTTPS请求将被重定向到指定的Web服务器URL，该URL向用户提供Web认证页面。

【举例】

# 在ISP域test中，指定重定向给用户的Web服务器的URL为http://1.2.3.4。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] web-server url http://1.2.3.4

【相关命令】

· display domain

· ip subscriber pre-auth domain（BRAS业务命令参考/IPoE）

· web-server url-parameter

1.1.23 web-server url-parameter

web-server url-parameter命令用来配置设备重定向给用户的Web服务器的URL中携带的参数信息。

undo web-server url-parameter命令用来删除配置的Web服务器URL携带的参数信息。

【命令】

web-server url-parameter param-name { nas-id | nas-port-id | original-url | remote-id | source-address | source-mac [ encryption { aes | des } key { cipher | simple } string ] [ section { 1 | { 3 | 6 } [ separator separator-character ] } { lowercase | uppercase } ] | ssid | user-location | value expression }

undo web-server url-parameter param-name

【缺省情况】

未配置设备重定向给用户的Web服务器的URL中携带的参数信息。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

param-name：URL参数名，为1～32个字符的字符串，区分大小写。URL参数名对应的参数内容由param-name后的参数指定。

nas-id：网络接入服务器标识。

nas-port-id：网络接入服务器端口标识。

original-url：用户初始访问的Web页面的URL。

remote-id：用户DHCP报文中的Remote ID子选项。

source-address：用户的IP地址。

source-mac：用户的MAC地址。

encryption：表示以密文的方式携带用户的MAC地址。若不指定该参数，则表示以明文的方式携带用户的MAC地址。

aes：指定加密算法为AES算法。

des：指定加密算法为DES算法。

key：指定加密密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。密钥的长度范围和选择的加密方式有关，具体关系如下：

· 对于des算法，密文密钥为41个字符的字符串。

· 对于des算法，明文密钥为8个字符的字符串。

· 对于aes算法，密文密钥为1～73个字符的字符串。

· 对于aes算法，明文为1～31个字符的字符串。

section：指定MAC地址分段数。若不指定该参数，则MAC地址采用3段形式且为大写字母，如XXXX-XXXX-XXXX。

1：MAC地址被分为1段，如XXXXXXXXXXXX。

3：MAC地址被分为3段，如XXXX-XXXX-XXXX。

6：MAC地址被分为6段，如XX-XX-XX-XX-XX-XX。

separator separator-character：MAC地址的分隔符，为单个字符，区分大小写。若不指定该参数，则表示分隔符为“-”。

lowercase：MAC地址为小写字母形式。

uppercase：MAC地址为大写字母形式。

ssid：用户所属的SSID（Service Set Indentifier，服务集标识符）。

user-location：用户接入的物理位置信息，包含物理接口和VLAN信息，具体格式为port:vlan1.vlan2。其中，port表示接口类型及接口编号，例如eth/6/0/4，vlan1表示外层VLAN编号，vlan2表示内层VLAN编号。若没有VLAN信息，则vlan1和vlan2均取值为0，例如eth/6/0/4:0.0；若仅有单层VLAN信息，则vlan2取值为0，例如eth/6/0/4:10.0；若为聚合接口，则接口类型为ethtrunk，例如ethtrunk/44:11.10。

value expression：自定义字符串，为1～256个字符的字符串，区分大小写。

【使用指导】

该命令用于配置用户访问Web服务器时，要求携带的一些参数，比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定，携带一些特定的字符信息。可以通过多次执行本命令配置多条参数信息。配置完成后，在设备给用户重定向URL时会携带这些参数，例如配置Web服务器的URL为：http://1.2.3.4/，若同时配置如下两个参数信息：url-parameter userip source-address和url-parameter userurl value http://www.abc.com/welcome，则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为：http://1.2.3.4/?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

需要注意的是，为了使携带自定义参数的重定向URL生效，配置的Web服务器URL必需以/结尾。

param-name这个URL参数名必须与具体应用环境中的Web服务器所支持的URL参数名保持一致，不同的服务器支持URL参数名是不一样的，请根据具体情况配置URL参数名。例如iMC服务器支持的URL参数名如下：

· userurl：表示original-url

· userip：表示source-address

· usermac：表示source-mac

在Web服务器为iMC服务器的组网环境中，如果设备重定向给用户的Web服务器的URL中需要携带用户的IP地址参数信息时，必须把param-name参数配置成userip，否则，iMC服务器不能识别用户的IP地址。

对于同一个参数名param-name后的参数设置，最后配置的生效。

【举例】

# 在ISP域test中，指定重定向给用户的Web服务器的URL中携带参数userip和userurl，其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] web-server url-parameter userip source-address

[Sysname-isp-test] web-server url-parameter userurl value http://www.abc.com/welcome

# 在ISP域test中，指定重定向给用户的Web服务器的URL中携带参数usermac，其值为用户MAC地址，并使用des算法进行加密。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] web-server url-parameter usermac source-mac encryption des key simple 12345678

【相关命令】

· aaa ssid

· display domain

· web-server url

1.2 本地用户配置命令

1.2.1 access-limit

access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。

undo access-limit命令用来恢复缺省情况。

【命令】

access-limit max-user-number

undo access-limit

【缺省情况】

不限制使用当前本地用户名接入的用户数。

【视图】

本地用户视图

【缺省用户角色】

network-admin

【参数】

max-user-number：表示使用当前本地用户名接入设备的最大用户数，取值范围为1～1024。

【使用指导】

本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。

对于网络接入类本地用户，还需要在用户接入的ISP域视图下配置accounting start-fail offline命令，否则使用当前用户名接入的用户数并不受access-limit命令的限制。

由于FTP/SFTP/SCP用户不支持计费，因此FTP/SFTP/SCP用户不受此属性限制。

【举例】

# 允许同时以本地用户名abc在线的用户数为5。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-manage-abc] access-limit 5

【相关命令】

· accounting start-fail offline

· display local-user

1.2.2 authorization-attribute (Local user view/user group view)

authorization-attribute命令用来设置本地用户或用户组的授权属性，该属性在本地用户认证通过之后，由设备下发给用户。

undo authorization-attribute命令用来删除指定的授权属性，恢复用户具有的缺省访问权限。

【命令】

authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minutes | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-group-profile session-group-profile-name | session-timeout minutes | subscriber-id subscriber-id | url url-string | user-profile user-profile-name | user-role role-name | vlan vlan-id | vpn-instance vpn-instance-name | work-directory directory-name } *

undo authorization-attribute { acl | callback-number | idle-cut | ip | ip-pool | ipv6 | ipv6-pool | ipv6-prefix | { primary-dns | secondary-dns } { ip | ipv6 } | session-group-profile | session-timeout | subscriber-id | url | user-profile | user-role role-name | vlan | vpn-instance | work-directory } *

【缺省情况】

授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录，但无访问权限。

由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。

【视图】

本地用户视图

用户组视图

【缺省用户角色】

network-admin

【参数】

acl acl-number：指定本地用户的授权ACL。其中，acl-number为授权ACL的编号，取值范围为2000～5999，仅支持配置为2000～4999。与授权ACL规则匹配的流量，将按照规则中指定的permit或deny动作进行处理。

callback-number callback-number：指定本地用户的授权PPP回呼号码。其中，callback-number为1～64个字符的字符串，区分大小写。本地用户认证成功后，设备将可以使用该用户的授权PPP回呼号码向PPP协商的对端设备发起回呼。

idle-cut minutes：设置本地用户的闲置切断时间。其中，minutes为设定的闲置切断时间，取值范围为1～120，单位为分钟。如果用户在线后连续闲置的时长超过该值，设备会强制该用户下线。

ip ipv4-address：指定本地用户的静态IP地址。本地用户认证成功后，将允许使用该IP地址。

ip-pool ipv4-pool-name：指定本地用户的IPv4地址池信息。本地用户认证成功后，将允许使用该IPv4地址池分配地址。其中，ipv4-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。

ipv6 ipv6-address：指定本地用户的静态IPv6地址。本地用户认证成功后，将允许使用该IPv6地址。

ipv6-pool ipv6-pool-name：指定本地用户的IPv6地址池信息。本地用户认证成功后，将允许使用该IPv6地址池分配地址。其中，ipv6-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。

ipv6-prefix ipv6-prefix prefix-length：指定本地用户的IPv6前缀信息。ipv6-prefix prefix-length为前缀地址和前缀长度，前缀长度取值范围是1～128。本地用户认证成功后，将允许使用该IPv6前缀。

primary-dns ip ipv4-address：指定本地用户的主DNS服务器IPv4地址。本地用户认证成功后，将被授权使用该主DNS服务器。

primary-dns ipv6 ipv6-address：指定本地用户的主DNS服务器IPv6地址。本地用户认证成功后，将被授权使用该主DNS服务器。

secondary-dns ip ipv4-address：指定本地用户的从DNS服务器IPv4地址。本地用户认证成功后，将被授权使用该从DNS服务器。

secondary-dns ipv6 ipv6-address：指定本地用户的从DNS服务器IPv6地址。本地用户认证成功后，将被授权使用该从DNS服务器。

session-group-profile session-group-profile-name：指定本地用户的授权Session Group Profile。其中，session-group-profile-name为Session Group Profile名称，为1～31个字符的字符串，区分大小写。关于Session Group Profile的详细介绍请参见“BRAS业务配置指导”中的“User Profile”。

session-timeout minutes：设置本地用户的会话超时时间。其中，minutes为设定的会话超时时间，取值范围为1～1440，单位为分钟。如果用户在线时长超过该值，设备会强制该用户下线。

subscriber-id subscriber-id：设置本地用户授权Subscriber ID，取值范围为1～4095。授权Subscriber ID用于配合为家庭用户配置的Session Group Profile实现家庭级别的QoS，以及用于标记报文的QoS本地ID值来配合实现HQoS。关于QoS配置的详细介绍请参见“ACL和QoS配置指导”中的“QoS”。关于HQoS配置的详细介绍请参见“ACL和QoS配置指导”中的“HQoS”。

url url-string：指定本地用户的授权PADM（PPPoE Active Discovery Message） URL，为1～255个字符的字符串，区分大小写，且必须携带http://或https://前缀才可生效。用户认证成功后，此URL将被推送至PPP客户端，且仅支持默认的80和8080端口。

user-profile user-profile-name：指定本地用户的授权User Profile。其中，user-profile-name表示User Profile名称，为1～31个字符的字符串，只能包含英文字母[a-z,A-Z]、数字、下划线、减号和英文句号，支持以字母和数字开头，但不能为纯数字，区分大小写。当用户认证成功后，其访问行为将受到User Profile中的预设配置的限制。关于User Profile的详细介绍请参见“BRAS业务配置指导”中的“User Profile”。

user-role role-name：指定本地用户的授权用户角色。其中，role-name表示用户角色名称，为1～63个字符的字符串，区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置，不能在本地用户组视图下配置。

vlan vlan-id：指定本地用户的授权VLAN。其中，vlan-id为VLAN编号，取值范围为1～4094。本地用户认证成功后，将被授权仅可以访问指定VLAN内的网络资源。

vpn-instance vpn-instance-name：指定本地用户所属的VPN实例。其中，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。本地用户认证成功后，将允许访问指定VPN中的网络资源。

work-directory directory-name：授权FTP/SFTP/SCP用户可以访问的目录。其中，directory-name表示FTP/SFTP/SCP用户可以访问的目录，为1～255个字符的字符串，不区分大小写，且该目录必须已经存在。缺省情况下，FTP/SFTP/SCP用户可访问设备的根目录，可通过本参数来修改用户可以访问的目录。

【使用指导】

可配置的授权属性都有其明确的使用环境和用途，请针对用户的服务类型配置对应的授权属性：

· 对于PPP用户，仅授权属性callback-number、idle-cut、ip、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-group-profile、session-timeout、subscriber-id、url、user-profile、vpn-instance有效。

· 对于IPoE用户，仅授权属性idle-cut、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-group-profile、session-timeout、subscriber-id、user-profile、vpn-instance有效。当IPoE用户为专线接入用户时，授权属性vpn-instance不生效。

· 对于Portal用户，仅授权属性acl、idle-cut、session-timeout、user-profile有效。

· 对于lan-access用户，仅授权属性acl、session-timeout、vlan、user-profile有效。

· 对于Telnet、Terminal、SSH用户，仅授权属性idle-cut、user-role有效。

· 对于HTTP、HTTPS用户，仅授权属性user-role有效。

· 对于FTP用户，仅授权属性user-role、work-directory有效。

· 对于其它类型的本地用户，所有授权属性均无效。

用户组的授权属性对于组内的所有本地用户生效，因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。

本地用户视图下未配置的授权属性继承所属用户组的授权属性配置，但是如果本地用户视图与所属的用户组视图下都配置了某授权属性，则本地用户视图下的授权属性生效。

为了避免设备上进行主备倒换后FTP/SFTP/SCP用户无法正常登录，建议用户在指定工作目录时不要携带槽位信息。

为确保本地用户仅使用本命令指定的授权用户角色，请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。

被授权安全日志管理员的本地用户登录设备后，仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令，具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍，请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍，请参见“基础配置命令参考”中的“文件系统管理”。

为本地用户授权安全日志管理员角色时，需要注意的是：

· 安全日志管理员角色和其它用户角色互斥：

¡ 为一个用户授权安全日志管理员角色时，系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色；

¡ 如果已经授权当前用户安全日志管理员角色，再授权其它的用户角色时，系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。

· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。

【举例】

# 配置网络接入类本地用户abc的授权VLAN为VLAN 2。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] authorization-attribute vlan 2

# 配置用户组abc的授权VLAN为VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

# 配置设备管理类本地用户xyz的授权用户角色为security-audit（安全日志管理员）。

<Sysname> system-view

[Sysname] local-user xyz class manage

[Sysname-luser-manage-xyz]authorization-attribute user-role security-audit

This operation will delete all other roles of the user. Are you sure? [Y/N]:y

【相关命令】

· display local-user

· display user-group

1.2.3 bind-attribute

bind-attribute命令用来设置用户的绑定属性。

undo bind-attribute命令用来删除指定的用户绑定属性。

【命令】

bind-attribute { call-number call-number [ : subcall-number ]| location interface interface-type interface-number | mac mac-address | vlan vlan-id } *

undo bind-attribute { call-number |location | mac | vlan } *

【缺省情况】

未设置用户的绑定属性。

【视图】

本地用户视图

【缺省用户角色】

network-admin

【参数】

call-number call-number：指定PPP用户认证的主叫号码。其中call-number为1～64个字符的字符串。该绑定属性仅适用于PPP用户。

subcall-number：指定子主叫号码。如果配置了子主叫号码，则主叫号码与子主叫号码的总长度不能大于62个字符。

location interface interface-type interface-number：指定用户绑定的接口。其中interface-type interface-number表示接口类型和接口编号。如果用户接入的接口与此处绑定的接口不一致，则认证失败。该绑定属性仅适用于lan-access、PPP、IPoE、Portal类型的用户。

mac mac-address：指定用户的MAC地址。其中，mac-address为H-H-H格式。该绑定属性仅适用于lan-access、PPP、IPoE、Portal类型的用户。

vlan vlan-id：指定用户所属于的VLAN。其中，vlan-id为VLAN编号，取值范围为1～4094。该绑定属性仅适用于lan-access、PPP、IPoE、Portal类型的用户。

【使用指导】

设备对用户进行本地认证时，会检查用户的实际属性与配置的绑定属性是否一致，如果不一致或用户未携带该绑定属性则认证失败。

绑定属性的检测不区分用户的接入服务类型，因此在配置绑定属性时要考虑某接入类型的用户是否需要绑定某些属性。

在绑定接口属性时要考虑绑定接口类型是否合理。对于不同接入类型的用户，请按照如下方式进行绑定接口属性的配置：

· MAC地址认证用户：配置绑定的接口为开启MAC地址认证的二层以太网接口。

· Portal用户：若使能Portal的接口为VLAN接口，且没有通过portal roaming enable命令配置Portal用户漫游功能，则配置绑定的接口为用户实际接入的二层以太网接口；其它情况下，配置绑定的接口均为使能Portal的接口。

【举例】

# 配置网络接入类本地用户abc的绑定MAC地址为0001-0002-0003。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] bind-attribute mac 0001-0002-0003

【相关命令】

· display local-user

1.2.4 company

company命令用来配置本地来宾用户所属公司。

undo company命令用来恢复缺省情况。

【命令】

company company-name

undo company

【缺省情况】

未配置本地来宾用户所属公司。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

company-name：本地来宾用户所属公司名称，为1～255个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc所属的公司名称为yyy。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] company yyy

【相关命令】

· display local-user

1.2.5 description

description命令用来配置本地来宾用户的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

未配置本地来宾用户的描述信息。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

text：本地来宾用户的描述信息，为1～255个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc的描述信息为Manager of MSC company。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] description Manager of MSC company

【相关命令】

· display local-user

1.2.6 display local-user

display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。

【命令】

display local-user [ class { manage | network [ guest ] } | idle-cut { disable | enable } | service-type { ftp | http | https | ipoe | lan-access | portal | ppp | ssh | telnet | terminal } | state { active | block } | user-name user-name class { manage | network [ guest ] } | vlan vlan-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

class：显示指定用户类别的本地用户信息。

· manage：设备管理类用户。

· network：网络接入类用户。

· guest：来宾用户。

idle-cut { disable | enable }：显示开启或关闭闲置切断功能的本地用户信息。其中，disable表示未启用闲置切断功能的本地用户；enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。

service-type：显示指定用户类型的本地用户信息。

· ftp：FTP用户。

· http：HTTP用户。

· https：HTTPS用户。

· ipoe：IPoE用户（主要指IP接入用户，比如二/三层专线用户，数字机顶盒接入用户）。

· lan-access：lan-access类型用户（主要指以太网接入用户）。

· portal：Portal用户。

· ppp：PPP用户。

· ssh：SSH用户。

· telnet：Telnet用户。

· terminal：从Console口登录的终端用户。

state { active | block }：显示处于指定状态的本地用户信息。其中，active表示用户处于活动状态，即系统允许该用户请求网络服务；block表示用户处于阻塞状态，即系统不允许用户请求网络服务。

user-name user-name：显示指定用户名的本地用户信息。user-name表示本地用户名，为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“*”、“?”、“<”、“>”和“@”，并且不能为“a”、“al”或“all”；域名不区分大小写，不能包含符号“@”。

vlan vlan-id：显示指定VLAN内的所有本地用户信息。其中，vlan-id为VLAN编号，取值范围为1～4094。

【使用指导】

如果不指定任何参数，则显示所有本地用户信息。

【举例】

# 显示所有本地用户的相关信息。

<Sysname> display local-user

Total 3 local users matched.

Device management user root:

State: Active

Service type: SSH/Telnet/Terminal

Access limit: Enabled Max access number: 3

Current access number: 1

User group: system

Bind attributes:

Authorization attributes:

Work directory: flash:

User role list: network-admin

Password control configurations:

Password aging: 3 days

Password remaining lifetime: 2 days 12 hours 30 minutes 30 seconds

Password history was last reset: 0 days ago

Network access user jj:

State: Active

Service type: LAN access

User group: system

Bind attributes:

Location bound: GigabitEthernet3/1/1

MAC address: 0001-0001-0001

VLAN ID: 2

Authorization attributes:

Idle timeout: 33 minutes

Work directory: flash:

ACL number: 2000

User profile: pp

User role list: network-operator, level-0, level-3

SSL VPN policy group: spg

Network access guest user user1:

State: Active

Service type: LAN access/Portal

User group: guest1

Full name: Jack

Company: cc

Email: Jack@cc.com

Phone: 131129237

Description: A guest from company cc

Sponsor full name: Sam

Sponsor department: security

Sponsor email: Sam@aa.com

Period of validity:

Start date and time: 2015/04/01-08:00:00

Expiration date and time:2015/04/03-18:00:00

表1-8 display local-user命令显示信息描述表

字段	描述
Total 3 local users matched.	总计有3个本地用户匹配
State	本地用户状态 · Active：活动状态 · Block：阻塞状态
Service type	本地用户使用的服务类型
Access limit	是否对使用该用户名的接入用户数进行限制
Max access number	最大接入用户数
Current access number	使用该用户名的当前接入用户数
User group	本地用户所属的用户组
Bind attributes	本地用户的绑定属性
Location bound	本地用户绑定的端口
MAC address	本地用户的MAC地址
VLAN ID	本地用户绑定的VLAN
Authorization attributes	本地用户的授权属性
Idle timeout	本地用户闲置切断时间（单位为分钟）
Session-timeout	本地用户的会话超时时间（单位为分钟）
Callback number	本地用户的授权PPP回呼号码
Work directory	FTP/SFTP/SCP用户可以访问的目录
ACL number	本地用户授权ACL
VLAN ID	本地用户授权VLAN
User profile	本地用户授权User Profile
User role list	本地用户的授权用户角色列表
IP pool	本地用户的授权IPv4地址池
SSL VPN policy group	（暂不支持）本地用户的授权SSL VPN策略组
IP address	本地用户的授权IPv4地址
IPv6 address	本地用户的授权IPv6地址
IPv6 prefix	本地用户的授权IPv6前缀
IPv6 pool	本地用户的授权IPv6地址池
Primary DNS server	本地用户的授权主DNS服务器IPv4地址
Secondary DNS server	本地用户的授权从DNS服务器IPv4地址
Primary DNSV6 server	本地用户的授权主DNS服务器IPv6地址
Secondary DNSV6 server	本地用户的授权从DNS服务器IPv6地址
URL	本地用户的授权PADM URL
VPN instance	本地用户的授权VPN实例
Subscriber ID	本地用户的授权Subscriber ID
Session group profile	本地用户的授权Session Group Profile
Password control configurations	本地用户的密码控制属性
Password aging	密码老化时间
Password length	密码最小长度
Password composition	密码组合策略（密码元素的组合类型、至少要包含每种元素的个数）
Password complexity	密码复杂度检查策略（是否包含用户名或者颠倒的用户名；是否包含三个或以上相同字符）
Maximum login attempts	用户最大登录尝试次数
Action for exceeding login attempts	登录尝试次数达到设定次数后的用户账户锁定行为
Password remaining lifetime	剩余密码老化时间
Password history was last reset	上一次清除密码历史记录的时间
Full name	本地来宾用户的姓名
Company	本地来宾用户的公司
Email	本地来宾用户的Email地址
Phone	本地来宾用户的电话号码
Description	本地来宾用户的描述信息
Sponsor full name	本地来宾用户接待人的姓名
Sponsor department	本地来宾用户接待人所属部门
Sponsor email	本地来宾用户接待人的Email地址
Period of validity	本地来宾用户有效期
Start date and time	本地来宾用户开始生效的日期和时间
Expiration date and time	本地来宾用户的失效日期和时间

1.2.7 display user-group

display user-group命令用来显示用户组的配置信息。

【命令】

display user-group { all | name group-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all：显示所有用户组的配置信息。

name group-name：显示指定用户组的配置。group-name表示用户组名称，为1～32个字符的字符串，不区分大小写。

【举例】

# 显示所有用户组的相关配置。

<Sysname> display user-group all

Total 2 user groups matched.

User group: system

Authorization attributes:

Work directory: flash:

User group: jj

Authorization attributes:

Idle timeout: 2 minutes

Callback number: 2:2

Work directory: flash:/

ACL number: 2000

VLAN ID: 2

User profile: pp

SSL VPN policy group: policygroup1

Password control configurations:

Password aging: 2 days

表1-9 display user-group命令显示信息描述表

字段	描述
Total 2 user groups matched.	总计有2个用户组匹配
Authorization attributes	授权属性信息
Idle timeout	闲置切断时间（单位：分钟）
Session-timeout	本地用户的会话超时时间（单位为分钟）
Callback number	PPP回呼号码
Work directory	FTP/SFTP/SCP用户可以访问的目录
ACL number	授权ACL号
VLAN ID	授权VLAN ID
User profile	授权User Profile名称
IP pool	授权IPv4地址池
SSL VPN policy group	（暂不支持）授权SSL VPN策略组名称
IPv6 prefix	授权IPv6前缀
IPv6 pool	授权IPv6地址池
Primary DNS server	授权主DNS服务器IPv4地址
Secondary DNS server	授权从DNS服务器IPv4地址
Primary DNSV6 server	授权主DNS服务器IPv6地址
Secondary DNSV6 server	授权从DNS服务器IPv6地址
URL	授权强制URL
Subscriber ID	授权Subscriber ID
Session group profile	授权Session Group Profile名称
VPN instance	授权VPN实例
Password control configurations	用户组的密码控制属性
Password aging	密码老化时间
Password length	密码最小长度
Password composition	密码组合策略（密码元素的组合类型、至少要包含每种元素的个数）
Password complexity	密码复杂度检查策略（是否包含用户名或者颠倒的用户名；是否包含三个或以上相同字符）
Maximum login attempts	用户最大登录尝试次数
Action for exceeding login attempts	登录尝试次数达到设定次数后的用户账户锁定行为

1.2.8 email

email命令用来配置本地来宾用户的Email地址。

undo email命令用来恢复缺省情况。

【命令】

email email-string

undo email

【缺省情况】

未配置本地来宾用户的Email地址。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

email-string：本地来宾用户的Email地址，为按照RFC 822定义的1～255个字符的字符串，区分大小写，例如sec@abc.com。

【使用指导】

设备可以通过本命令配置的Email地址给来宾用户发送通知邮件。

【举例】

# 配置本地来宾用户abc的Email地址为abc@yyy.com。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] email abc@yyy.com

【相关命令】

· display local-user

1.2.9 full-name

full-name命令用来配置本地来宾用户的姓名。

undo full-name命令用来恢复缺省情况。

【命令】

full-name name-string

undo full-name

【缺省情况】

未配置本地来宾用户的姓名。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

name-string：本地来宾用户的姓名，为1～255个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc的姓名为abc Snow。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] full-name abc Snow

【相关命令】

· display local-user

1.2.10 group

group命令用来设置本地用户所属的用户组。

undo group命令用来恢复缺省配置。

【命令】

group group-name

undo group

【缺省情况】

本地用户属于用户组system。

【视图】

本地用户视图

【缺省用户角色】

network-admin

【参数】

group-name：用户组名称，为1～32个字符的字符串，不区分大小写。

【举例】

# 设置设备管理类本地用户111所属的用户组为abc。

<Sysname> system-view

[Sysname] local-user 111 class manage

[Sysname-luser-manage-111] group abc

【相关命令】

· display local-user

1.2.11 local-guest auto-delete enable

local-guest auto-delete enable用来开启来宾用户过期自动删除功能。

undo local-guest auto-delete enable用来恢复缺省情况。

【命令】

local-guest auto-delete enable

undo local-guest auto-delete enable

【缺省情况】

来宾用户过期自动删除功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

来宾用户过期自动删除功能处于开启状态时，设备会在来宾用户有效期结束后自动删除用户。

【举例】

# 开启来宾用户过期自动删除功能。

<Sysname> system-view

[Sysname] local-guest auto-delete enable

【相关命令】

· validity-datatime

1.2.12 local-guest email format

local-guest email format命令用来配置本地来宾用户通知邮件的主题和内容。

undo local-guest email format命令用来删除指定的本地来宾用户通知邮件的主题和内容。

【命令】

local-guest email format to { guest | manager | sponsor } { body body-string | subject sub-string }

undo local-guest email format to { guest | manager | sponsor } { body | subject }

【缺省情况】

未配置本地来宾用户通知邮件的主题和内容。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

to：指定邮件的收件人。

· guest：表示来宾用户。

· manager：表示来宾管理员。

· sponsor：表示来宾接待人。

body body-string：邮件的内容。其中，body-string为1～255个字符的字符串，区分大小写。

subject sub-string：邮件的主题。其中，sub-string为1～127个字符的字符串，区分大小写。

【使用指导】

在本地来宾用户注册、创建过程中，设备需要向不同角色的用户发送通知邮件，邮件的主题和内容通过本命令设置。

可对不同的收件人指定不同的邮件主题和内容。同一类收件人的邮件格式只能存在一种配置，新配置将覆盖已有配置。

必须同时配置收件人的邮件主题和内容，否则设备不会给该收件人发送邮件。

【举例】

# 配置本地来宾用户通知邮件的主题和内容。

<Sysname> system-view

[Sysname] local-guest email format to guest subject Guest account information

[Sysname] local-guest email format to guest body A guest account has been created for you. The username, password, and validity period of the account are given below.

【相关命令】

· local-guest email sender

· local-guest email smtp-server

· local-guest manager-email

· local-guest send-email

1.2.13 local-guest email sender

local-guest email sender命令用来配置本地来宾用户通知邮件的发件人地址。

undo local-guest email sender命令用来恢复缺省情况。

【命令】

local-guest email sender email-address

undo local-guest email sender

【缺省情况】

未配置本地来宾用户通知邮件的发件人地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

email-address：邮件发件人地址，为1～255个字符的字符串，区分大小写。

【使用指导】

未配置发件人地址的情况下，设备无法向任何收件人发送关于本地来宾用户的通知邮件。

只能存在一个本地来宾用户的发件人地址。多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置本地来宾用户通知邮件的发件人地址为abc@yyy.com。

<Sysname> system-view

[Sysname] local-guest email sender abc@yyy.com

【相关命令】

· local-guest email format

· local-guest email smtp-server

· local-guest manager-email

· local-guest send-email

1.2.14 local-guest email smtp-server

local-guest email smtp-server命令用来配置为本地来宾用户发送Email使用的SMTP服务器。

undo local-guest send-email smtp-server命令用来恢复缺省情况。

【命令】

local-guest email smtp-server url-string

undo local-guest email smtp-server

【缺省情况】

未配置为本地来宾用户发送Email使用的SMTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url-string：STMP服务器的URL，为1～255个字符的字符串，区分大小写，符合标准SMTP协议规范，以smtp://开头。

【使用指导】

只能存在一个为本地来宾用户发送Email使用的SMTP服务器。多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置为本地来宾用户发送Email使用的SMTP服务器URL为smtp://www.test.com/smtp。

<Sysname> system-view

[Sysname] local-guest email smtp-server smtp://www.test.com/smtp

【相关命令】

· local-guest email format

· local-guest email sender

· local-guest manager-email

· local-guest send-email

1.2.15 local-guest generate

local-guest generate命令用来批量创建本地来宾用户。

【命令】

local-guest generate username-prefix name-prefix [ password-prefix password-prefix ] suffix suffix-number [ group group-name ] count user-count validity-datetime start-date start-time to expiration-date expiration-time

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

username-prefix name-prefix：用户名前缀，name-prefix为1～70个字符的字符串，区分大小写，不能含有字符\、|、/、*、?、<、>或@。

password-prefix password-prefix：明文密码前缀，password-prefix为1～53个字符的字符串，区分大小写。若不指定该参数，则由系统为用户逐一生成随机密码

suffix suffix-string ：用户名和密码的递增编号后缀，suffix-string为1～10个数字的字符串。

group group-name：用户所属用户组名，group-name为1～32个字符的字符串，区分大小写。若不指定该参数，则表示用户属于system组。

count user-count：批量创建用户的数量，user-count的取值范围为1～256。

validity-datetime：用户有效期。

start-date：用户有效期的开始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日），MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

start-time：用户有效期的开始时间，格式为HH:MM:SS（小时:分钟:秒），HH取值范围为0～23，MM和SS取值范围为0～59。如果要设置成整分，则可以不输入秒；如果要设置成整点，则可以不输入分和秒。比如将start-time参数设置为0表示零点。

to：指定用户有效期的结束日期和结束时间。

expiration-date：用户有效期的结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日），MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

expiration-time：用户有效期的结束时间，格式为HH:MM:SS（小时:分钟:秒），HH取值范围为0～23，MM和SS取值范围为0～59。如果要设置成整分，则可以不输入秒；如果要设置成整点，则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。

【使用指导】

批量创建的本地来宾用户名由指定的用户名前缀和编号后缀组合而成，且每创建一个用户，用户名编号后缀递增1。例如，当用户名前缀为abc，递增编号后缀为1，生成用户数量为3时，生成的用户名分别为abc1、abc2和abc3。如果指定了密码前缀，则批量创建的本地来宾用户密码由密码前缀和编号后缀组合而成，且逐用户递增。

如果申请创建的本地来宾用户数量过多，导致资源不足时，部分本地来宾用户的批量创建将会失败。

如果批量创建的本地来宾用户与设备上已有的本地来宾用户重名，则批量创建的用户会覆盖已有的同名用户。

【举例】

# 批量创建20个本地来宾用户，用户名从abc01递增到abc20，属于用户组visit，有效期为2014/10/01 00:00:00到2015/10/02 12:00:00。

<Sysname> system-view

[Sysname] local-guest generate username-prefix abc suffix 01 group visit count 20 validity-datetime 2014/10/01 00:00:00 to 2015/10/02 12:00:00

【相关命令】

· local-user

· display local-user

1.2.16 local-guest send-email

local-guest send-email命令用来配置向本地来宾用户邮箱和来宾接待人邮箱发送邮件。

【命令】

local-guest send-email user-name user-name to { guest | sponsor }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

user-name user-name：本地来宾用户的用户名，为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“*”、“?”、“<”、“>”和“@”，并且不能为“a”、“al”或“all”；域名不区分大小写，不能包含符号“@”。

to：指定邮件的收件人。

· guest：本地来宾用户。

· sponsor：来宾接待人。

【使用指导】

当本地来宾用户创建之后，来宾管理员可通过此命令将用户的密码及有效期信息发送到本地来宾用户或来宾接待人邮箱中。

【举例】

# 向本地来宾用户abc的邮箱发送有关该用户帐号信息的通知邮件。

<Sysname> local-guest send-email user-name abc to guest

【相关命令】

· email

· sponsor-email

1.2.17 local-user

local-user命令用来添加本地用户，并进入本地用户视图。如果指定的本地用户已经存在，则直接进入本地用户视图。

undo local-user命令用来删除指定的本地用户。

【命令】

local-user user-name [ class { manage | network [ guest ] } ]

undo local-user { user-name class { manage | network [ guest ] } | all [ service-type { ftp | http | https | ipoe | lan-access | portal | ppp | ssh | telnet | terminal } | class { manage | network [ guest ] } ] }

【缺省情况】

不存在本地用户。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

user-name：表示本地用户名，为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“*”、“?”、“<”、“>”和“@”，并且不能为“a”、“al”或“all”；域名不区分大小写，不能包含符号“@”。

class：指定本地用户的类别。若不指定本参数，则表示设备管理类用户。

· manage：设备管理类用户，用于登录设备，对设备进行配置和监控。此类用户可以提供ftp、http、https、telnet、ssh、terminal服务。

· network：网络接入类用户，用于通过设备接入网络，访问网络资源。此类用户可以提供lan-access、ppp、ipoe、portal服务。

guest：来宾用户，仅能在账户有效期内提供lan-access、portal服务。

all：所有的用户。

service-type：指定用户的类型。

· ftp：表示FTP类型用户。

· http：表示HTTP类型用户。

· https：表示HTTPS类型用户。

· ipoe：表示IPoE类型用户（主要指以IP接入用户，比如二三层专线，数字机顶盒接入的用户）。

· lan-access：表示lan-access类型用户（主要指以太网接入用户）。

· portal：表示Portal用户。

· ppp：PPP用户。

· ssh：表示SSH用户。

· telnet：表示Telnet用户。

· terminal：表示从Console口登录的终端用户。

【举例】

# 添加名称为user1的设备管理类本地用户。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1]

# 添加名称为user2的网络接入类本地用户。

<Sysname> system-view

[Sysname] local-user user2 class network

[Sysname-luser-network-user2]

# 添加名称为user3的网络接入类本地来宾用户。

<Sysname> system-view

[Sysname] local-user user3 class network guest

[Sysname-luser-network(guest)-user3]

【相关命令】

· display local-user

· service-type

1.2.18 local-user-export

local-user-export命令用来从设备导出本地来宾用户信息到指定路径的CSV文件。

【命令】

local-user-export class network guest url url-string

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

class：指定本地用户的类别。

network：网络接入类用户。

guest：本地来宾用户。

url url-string：保存本地用户信息文件的URL，为1～255个字符的字符串，不区分大小写。

【使用指导】

导出的CSV文件可直接或在编辑之后通过local-user-import命令导入到本设备或其它支持该命令的设备上使用，但文件内容必须符合该命令的要求。

本命令支持TFTP和FTP两种文件上传方式，具体的URL格式要求如下：

· TFTP协议URL格式：tftp://server/path/filename，server为TFTP服务器IP地址或主机名，例如tftp://1.1.1.1/user/user.csv。

· FTP协议URL格式：

¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中，username为FTP用户名，password为FTP认证密码，server为FTP服务器IP地址或主机名，例如ftp://1:1@1.1.1.1/user/user.csv。如果FTP用户名中携带域名，则该域名会被设备忽略，例如ftp://1@abc:1@1.1.1.1/user/user.csv将被当作ftp://1:1@1.1.1.1/user/user.csv处理。

¡ 不需要携带用户名和密码的格式为ftp://server/path/filename，例如ftp://1.1.1.1/user/user.csv。

【举例】

# 导出本地来宾用户信息到ftp://1.1.1.1/user/路径的guest.csv文件中。

<Sysname> system-view

[Sysname] local-user-export class network guest url ftp://1.1.1.1/user/guest.csv

【相关命令】

· local-user-import

1.2.19 local-user-import

local-user-import命令用来从指定路径的文件中导入用户信息并创建本地用户。

【命令】

local-user-import class network guest url url-string validity-datetime start-date start-time to expiration-date expiration-time [ auto-create-group | override | start-line line-number ] *

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

class：指定本地用户的类别。

network：网络接入类用户。

guest：本地来宾用户。

url url-string：要导入用户信息文件的URL。其中，url-string为1～255个字符的字符串，不区分大小写。

validity-datetime：指定用户的有效期。

to：指定用户有效期的结束日期和结束时间。

auto-create-group：表示当设备上不存在用户所属的用户组时，系统会自动创建用户组，并将用户加入该用户组。若不指定该参数，则表示当设备上不存在用户所属的用户组时，系统不会创建对应的用户组，而是将该用户加入缺省用户组system。

override：表示当导入的用户名已经存在于设备上时，系统使用导入的用户信息覆盖掉已有的同名用户配置。若不指定该参数，则表示不导入文件中的同名用户信息，即保留设备上已有的同名用户配置。

start-line line-number：表示从文件的指定行开始导入用户信息。其中，line-number为文件内容的行编号。若不指定该参数，则表示导入文件中的所有用户信息。

【使用指导】

用于导入的CSV文件中包含多个用户信息，每个用户的各项字段严格按照以下顺序出现：

· Username：用户名。该字段必须存在。

· Password：明文用户密码。若该字段为空，则导入时系统会生成一个密文随机密码。

· User group：所属用户组，用于本地授权。若该字段为空，则表示属于system组。

· Guest full name：来宾用户姓名。

· Guest company：来宾用户公司。

· Guest email：来宾用户Email地址。

· Guest phone：来宾用户电话号码。

· Guest description：来宾用户描述信息。

· Sponsor full name：接待人姓名。

· Sponsor department：接待人部门。

· Sponsor email：接待人Email地址。

以上所有字段的取值必须满足设备上本地用户相应属性的取值要求，否则当前用户的导入操作将会失败，且导入操作中止。之后，可以根据系统提示信息中的出错行编号选择下次从指定行开始导入剩余用户信息。

CSV文件中的不同用户信息之间用回车换行分隔，且每项信息之间以逗号分隔。如果某项信息中包含逗号，则必须在该条信息两端加双引号。例如：Jack,abc,visit,Jack Chen,ETP,jack@etp.com,1399899,”The manager of ETP, come from TP.”,Sam Wang,Ministry of personnel,Sam@yy.com

本命令支持TFTP和FTP两种文件下载方式，具体的文件URL格式要求如下：

· TFTP协议URL格式：tftp://server/path/filename，server为TFTP服务器IP地址或主机名，例如tftp://1.1.1.1/user/user.csv。

· FTP协议URL格式：

¡ 不需要携带用户名和密码的格式为ftp://path/filename，例如ftp://1.1.1.1/user/user.csv。

【举例】

# 从ftp://1.1.1.1/user/guest.csv路径中导入本地来宾用户信息，用户的有效期为2014/10/01 00:00:00到2014/10/02 12:00:00。

<Sysname> system-view

[Sysname] local-user-import class network guest url ftp://1.1.1.1/user/guest.csv validity-datetime 2014/10/01 00:00:00 to 2014/10/02 12:00:00

【相关命令】

· local-user-export

· display local-user

1.2.20 password (Device management user view)

password命令用来设置本地用户的密码。

undo password命令用来恢复缺省情况。

【命令】

password [ { hash | simple } string ]

undo password

【缺省情况】

不存在本地用户密码，即本地用户认证时无需输入密码，只要用户名有效且其它属性验证通过即可认证成功。

【视图】

设备管理类本地用户视图

【缺省用户角色】

network-admin

【参数】

hash：表示以哈希方式设置密码。

simple：表示以明文方式设置密码，该密码将以密文形式存储。

string：密码字符串，区分大小写。明文密码为1～63个字符的字符串；哈希密码为1～110个字符的字符串。

【使用指导】

如果不指定任何参数，则表示以交互式设置明文形式的密码。

用户可以不为本地用户设置密码。若不为本地用户设置密码，则该用户认证时无需输入密码，只要用户名有效且其它属性验证通过即可认证成功。为提高用户账户的安全性，建议设置本地用户密码。

【举例】

# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] password simple 123456TESTplat&!

# 以交互式方式设置设备管理类本地用户test的密码。

<Sysname> system-view

[Sysname] local-user test class manage

[Sysname-luser-manage-test] password

Password:

confirm :

【相关命令】

· display local-user

1.2.21 password (Network access user view)

password命令用来设置本地用户的密码。

undo password命令用来恢复缺省情况。

【命令】

password { cipher | simple } string

undo password

【缺省情况】

不存在本地用户密码，即本地用户认证时无需输入密码，只要用户名有效且其它属性验证通过即可认证成功。

【视图】

网络接入类本地用户视图

【缺省用户角色】

network-admin

【参数】

cipher：表示以密文方式设置密码。

simple：表示以明文方式设置密码，该密码将以密文形式存储。

string：密码字符串，区分大小写。明文密码为1～63个字符的字符串；密文密码为1～117个字符的字符串。

【使用指导】

为提高用户账户的安全性，建议设置本地用户密码。

【举例】

# 设置网络接入类本地用户user1的密码为明文123456TESTuser&!。

<Sysname> system-view

[Sysname] local-user user1 class network

[Sysname-luser-network-user1] password simple 123456TESTuser&!

【相关命令】

· display local-user

1.2.22 phone

phone命令用来配置本地来宾用户的电话号码。

undo phone命令用来恢复缺省情况。

【命令】

phone phone-number

undo phone

【缺省情况】

未配置本地来宾用户电话号码。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

phone-number：本地来宾用户的电话号码，为1～32个字符的字符串。

【举例】

# 配置本地来宾用户abc的电话号码为138137239201。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] phone 138137239201

【相关命令】

· display local-user

1.2.23 service-type (Local user view)

service-type命令用来设置用户可以使用的服务类型。

undo service-type命令用来删除用户可以使用的服务类型。

【命令】

service-type { ftp | ipoe | lan-access | { http | https | ssh | telnet | terminal } * | portal | ppp }

undo service-type { ftp | ipoe | lan-access | { http | https | ssh | telnet | terminal } * | portal | ppp }

【缺省情况】

系统不对用户授权任何服务，即用户不能使用任何服务。

【视图】

本地用户视图

【缺省用户角色】

network-admin

【参数】

ftp：指定用户可以使用FTP服务。若授权FTP服务，缺省授权FTP用户可访问设备的根目录，授权目录可以通过authorization-attribute work-directory命令来修改。

http：指定用户可以使用HTTP服务。

https：指定用户可以使用HTTPS服务。

ipoe：指定用户可以使用IPoE服务。

lan-access：指定用户可以使用lan-access服务。主要指以太网接入。

ssh：指定用户可以使用SSH服务。

telnet：指定用户可以使用Telnet服务。

terminal：指定用户可以使用terminal服务（即从Console口登录）。

portal：指定用户可以使用Portal服务。

ppp：指定用户可以使用PPP服务。

【使用指导】

可以通过多次执行本命令，设置用户可以使用多种服务类型。

【举例】

# 指定设备管理类用户可以使用Telnet服务和FTP服务。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] service-type telnet

[Sysname-luser-manage-user1] service-type ftp

【相关命令】

· display local-user

1.2.24 sponsor-department

sponsor-department命令用来配置本地来宾用户接待人所属部门。

undo sponsor-department命令用来恢复缺省情况。

【命令】

sponsor-department department-string

undo sponsor-department

【缺省情况】

未配置本地来宾用户接待人所属部门。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

department-string：本地来宾用户接待人所属部门名称，为1～127个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc的接待人所属部门为test。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] sponsor-department test

【相关命令】

· display local-user

1.2.25 sponsor-email

sponsor-email命令用来配置本地来宾用户接待人的Email地址。

undo sponsor-email命令用来恢复缺省情况。

【命令】

sponsor-email email-string

undo sponsor-email

【缺省情况】

未配置本地来宾用户接待人的Email地址。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

email-string：本地来宾接待人的Email地址，为按照RFC 822定义的1～255个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc的接待人Email地址为Sam@a.com。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] sponsor-email Sam@a.com

【相关命令】

· display local-user

1.2.26 sponsor-full-name

s ponsor-full-name命令用来配置本地来宾用户的接待人姓名。

undo sponsor-full-name命令用来恢复缺省情况。

【命令】

sponsor-full-name name-string

undo sponsor-full-name

【缺省情况】

未配置本地来宾用户的接待人姓名。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

name-string：本地来宾用户接待人姓名，为1～255个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc的接待人姓名为Sam Li。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] sponsor-full-name Sam Li

【相关命令】

· display local-user

1.2.27 state (Local user view)

state命令用来设置当前本地用户的状态。

undo state命令用来恢复缺省情况。

【命令】

state { active | block }

undo state

【缺省情况】

本地用户处于活动状态。

【视图】

本地用户视图/本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

active：指定当前本地用户处于活动状态，即系统允许当前本地用户请求网络服务。

block：指定当前本地用户处于“阻塞”状态，即系统不允许当前本地用户请求网络服务。

【举例】

# 设置设备管理类本地用户user1处于“阻塞”状态。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] state block

【相关命令】

· display local-user

1.2.28 user-group

user-group命令用来创建用户组，并进入用户组视图。如果指定的用户组已经存在，则直接进入用户组视图。

undo user-group命令用来删除指定的用户组。

【命令】

user-group group-name

undo user-group group-name

【缺省情况】

存在一个用户组，名称为system。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

group-name：用户组名称，为1～32个字符的字符串，不区分大小写。

【使用指导】

用户组是一个本地用户的集合，某些需要集中管理的属性可在用户组中统一配置和管理。

不允许删除一个包含本地用户的用户组。

不能删除系统中存在的默认用户组system，但可以修改该用户组的配置。

【举例】

# 创建名称为abc的用户组并进入其视图。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc]

【相关命令】

· display user-group

1.2.29 validity-datetime

validity-datetime命令用来配置本地来宾用户的有效期。

undo validity-datetime命令用来恢复缺省情况。

【命令】

validity-datetime start-date start-time to expiration-date expiration-time

undo validity-datetime

【缺省情况】

未限制本地来宾用户的有效期，该用户始终有效。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

to：指定用户有效期的结束日期和结束时间。

【使用指导】

本地来宾用户有效期的结束时间必须晚于起始时间。

本地来宾用户在有效期内才能认证成功。

【举例】

# 配置本地来宾用户abc的有效期为2014/10/01 00:00:00到2015/10/02 12:00:00。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] validity-datetime 2014/10/01 00:00:00 to 2015/10/02 12:00:00

【相关命令】

· display local-user

1.3 RADIUS配置命令

1.3.1 aaa device-id

aaa device-id命令用来配置设备ID。

undo aaa debice-id命令用来恢复缺省情况。

【命令】

aaa device-id device-id

undo aaa device-id

【缺省情况】

设备ID为0。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

device-id：设备ID，取值范围为1～255。

【使用指导】

RADIUS计费过程使用Acct-Session-Id属性作为用户的计费ID。设备使用系统时间、随机数以及设备ID为每个在线用户生成一个唯一的Acct-Session-Id值。

修改后的设备ID仅对新上线用户生效。

【举例】

# 配置设备ID为1。

<Sysname> system-view

[Sysname] aaa device-id 1

1.3.2 aaa nas-port-id vlanid uppercase

aaa nas-port-id vlanid uppercase命令用来设置NAS-Port-ID属性中携带的VLANID字符串为大写。

undo aaa nas-port-id vlanid uppercase命令用来恢复缺省情况。

【命令】

aaa nas-port-id vlanid uppercase

undo aaa nas-port-id vlanid uppercase

【缺省情况】

NAS-Port-ID属性中携带的VLANID字符串为小写。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

某些组网环境中，RADIUS服务器要求接入设备发送的NAS-Port-ID属性携带的vlanid字符串均为大写字母，此时就需要通过配置aaa nas-port-id vlanid uppercase命令将NAS-Port-ID属性中携带的小写“vlanid”转换为大写“VLANID”。例如，缺省情况下某NAS-Port-ID属性的内容为slot=xx;subslot=xx;port=xx;vlanid=xx（xx表示各字段取值），则转换后为slot=xx;subslot=xx;port=xx;VLANID=xx。

【举例】

# 设置NAS-Port-ID属性中携带的VLANID字符串为大写。

<Sysname> system-view

[Sysname] aaa nas-port-id vlanid uppercase

1.3.3 accounting-on enable

accounting-on enable命令用来开启accounting-on功能。

undo accounting-on enable命令用来关闭accounting-on功能。

【命令】

accounting-on enable [ interval interval | send send-times ] *

undo accounting-on enable

【缺省情况】

accounting-on功能处于关闭状态。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

interval interval：指定accounting-on报文重发时间间隔，取值范围为1～15，单位为秒，缺省值为3。

send send-times：指定accounting-on报文的最大发送次数，取值范围为1～255，缺省值为50。

【使用指导】

accounting-on功能使得整个设备在重启之后通过发送accounting-on报文通知该方案所使用的RADIUS计费服务器，要求RADIUS服务器停止计费且强制该设备的用户下线。

开启accounting-on功能后，请执行save命令保证accounting-on功能在整个设备下次重启后生效。关于命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。

本命令设置的accounting-on参数会立即生效。

【举例】

# 在RADIUS方案radius1中，开启accounting-on功能并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] accounting-on enable interval 5 send 15

【相关命令】

· display radius scheme

1.3.4 accounting-on extended

accounting-on extended命令用来开启accounting-on扩展功能。

undo accounting-on extended命令用来关闭accounting-on扩展功能。

【命令】

accounting-on extended

undo accounting-on extended

【缺省情况】

accounting-on扩展功能处于关闭状态。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

accounting-on扩展功能是为了适应分布式架构而对accounting-on功能的增强。只有在accounting-on功能开启的情况下，accounting-on扩展功能才能生效。

accounting-on扩展功能适用于lan-access、PPP（L2TP组网的LAC侧）、IPoE用户，该类型的用户数据均保存在用户接入的单板上。开启accounting-on扩展功能后，当有用户发起接入认证的单板重启时（整机未重启），设备会向RADIUS服务器发送携带单板标识的accounting-on报文，用于通知RADIUS服务器对该单板的用户停止计费且强制用户下线。accounting-on报文的重发间隔时间以及最大发送次数由accounting-on enable命令指定。如果自上一次重启之后，单板上没有用户接入认证的记录，则该单板再次重启，并不会触发设备向RADIUS服务器发送携带单板标识的accounting-on报文。

开启accounting-on扩展功能后，请执行save命令保证accounting-on扩展功能在单板下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。

【举例】

# 在RADIUS方案radius1中，开启accounting-on扩展功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] accounting-on extended

【相关命令】

· accounting-on enable

· display radius scheme

1.3.5 attribute 5 format

attribute 5 format命令用来配置RADIUS Attribute 5的封装格式。

undo attribute 5 format命令用来恢复缺省情况。

【命令】

attribute 5 format qinq

undo attribute 5 format

【缺省情况】

采用单层VLAN格式封装RADIUS Attribute 5，具体为：槽位号（8bit）+子槽位号（4bit）+端口号（8bit）+VLAN ID（12bit）。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

qinq：表示采用QinQ格式封装RADIUS Attribute 5，具体为：槽位号（3bit）+子槽位号（1bit）+端口号（4bit）+S-VLAN ID（12bit）+C-VLAN ID（12bit）。

【使用指导】

RADIUS Attribute 5为NAS-Port属性。QinQ组网情况下，建议配置采用QinQ格式封装RADIUS Attribute 5。

如果配置了采用QinQ格式封装RADIUS Attribute 5，但实际用户接入网络为非QINQ组网，系统仍然会按照QinQ格式填充RADIUS Attribute 5，考虑到用户认证报文仅携带一层VLAN信息，S-VLAN区段将会用0填充。

需要注意的是，如果用户接入的物理端口信息取值超过RADIUS Attribute 5封装格式中各字段的取值范围，则对应的封装字段内容无效。

【举例】

# 在RADIUS方案rad中，配置采用QinQ格式封装RADIUS Attribute 5。

<Sysname> system-view

[Sysname] radius scheme rad

[Sysname-radius-rad] attribute 5 format qinq

【相关命令】

· display radius scheme

1.3.6 attribute 6 value

attribute 6 value命令用来配置RADIUS Attribute 6的值。

undo attribute 6 value命令用来恢复缺省情况。

【命令】

attribute 6 value outbound user-type ipoe [ value-added-service ]

undo attribute 6 value outbound user-type ipoe

【缺省情况】

设备向服务器发送RADIUS报文时，针对不同的用户，RADIUS Attribute 6的取值不同：对于MAC地址认证用户，取值为CallCheck（10）；对于设备管理用户，取值为Login（1）；其他用户取值为Framed（2）。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

outbound：表示取值为Outbound，对应取值编码为5。目前仅支持取值为Outbound。

user-type ipoe：表示接入用户类型为IPoE。目前，仅支持对IPoE用户进行设置。

value-added-service：表示本属性值对用户增值业务的RADIUS报文也生效。若不指定该参数，则表示本属性值仅对用户普通业务的RADIUS报文生效。

【使用指导】

RADIUS的6号属性是Service-Type属性。不同的RADIUS服务器对填充在RADIUS Attribute 6中的属性值有不同的要求，为了保证RADIUS报文的正常交互，设备发送给服务器的RADIUS Attribute 6号属性值必须与服务器的要求保持一致。

如果运营商希望设备发送的IPoE用户的认证请求报文和计费请求报文中的Service-Type属性值为Outbound（5），就需要在对应的RADIUS方案视图下配置attribute 6 value outbound user-type ipoe。如果还希望该设置对用户增值业务的RADIUS报文也生效，则需要该命令携带value-added-service参数。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 在RADIUS方案radius1中，配置设备向服务器发送IPoE 用户的RADIUS报文时，RADIUS Attribute 6的取值为Outbound，且该取值对用户的增值业务也生效。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 6 value outbound user-type ipoe value-added-service

【相关命令】

· display radius scheme

1.3.7 attribute 15 check-mode

attribute 15 check-mode命令用来配置对RADIUS Attribute 15的检查方式。

undo attribute 15 check-mode命令用来恢复缺省情况。

【命令】

attribute 15 check-mode { loose | strict }

undo attribute 15 check-mode

【缺省情况】

对RADIUS Attribute 15的检查方式为strict方式。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

loose：松散检查方式，设备使用RADIUS Attribute 15的标准属性值对用户业务类型进行检查。对于SSH、FTP、Terminal用户，在RADIUS服务器下发的Login-Service属性值为0（表示用户业务类型为Telnet）时，这类用户才能够通过认证。

strict：严格检查方式，设备使用RADIUS Attribute 15的标准属性值以及扩展属性值对用户业务类型进行检查。对于SSH、FTP、Terminal用户，当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时，这类用户才能够通过认证。

【使用指导】

由于某些RADIUS服务器不支持自定义的属性，无法下发扩展的Login-Service属性，若要使用这类RADIUS服务器对SSH、FTP、Terminal用户进行认证，建议设备上对RADIUS 15号属性值采用松散检查方式。

【举例】

# 在RADIUS方案radius1中，配置对RADIUS Attribute 15采用松散检查方式。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 15 check-mode loose

【相关命令】

· display radius scheme

1.3.8 attribute 25 car

attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。

undo attribute 25 car命令用来关闭RADIUS Attribute 25的CAR参数解析功能。

【命令】

attribute 25 car

undo attribute 25 car

【缺省情况】

RADIUS Attribute 25的CAR参数解析功能处于关闭状态。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

RADIUS的25号属性为class属性，该属性由RADIUS服务器下发给设备。目前，某些RADIUS服务器利用class属性来对用户下发CAR参数，可以通过本特性来控制设备是否将RADIUS 25号属性解析为CAR参数，解析出的CAR参数可被用来进行基于用户的流量监管控制。

目前，设备可以成功解析的class属性格式为string1string2string3string4，每个string的长度为8个字符，且每个字符必须为0～9之间的数字。

开启了本功能的情况下，如果设备成功将某RADIUS服务器下发的class属性解析为CAR参数，则后续发送给该RADIUS服务器的计费报文中除了携带class属性之外，还将会通过私有属性携带解析后的CAR参数。

【举例】

# 在RADIUS方案radius1中，开启RADIUS Attribute 25的CAR参数解析功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 25 car

【相关命令】

· display radius scheme

1.3.9 attribute 31 mac-format

attribute 31 mac-format命令用来配置RADIUS Attribute 31中的MAC地址格式。

undo attribute 31 mac-format命令用来恢复缺省情况。

【命令】

attribute 31 mac-format section { six | three } separator separator-character { lowercase | uppercase }

undo attribute 31 mac-format

【缺省情况】

RADIUS Attribute 31中的MAC地址为大写字母格式，且被分隔符“-”分成6段，即为HH-HH-HH-HH-HH-HH的格式。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

section：指定MAC地址分段数。

six：表示MAC地址被分为6段，格式为HH-HH-HH-HH-HH-HH。

three：表示MAC地址被分为3段，格式为HHHH-HHHH-HHHH。

separator separator-character：MAC地址的分隔符，为单个字符，区分大小写。

lowercase：表示MAC地址为小写字母格式。

uppercase：表示MAC地址为大写字母格式。

【使用指导】

不同的RADIUS服务器对填充在RADIUS Attribute 31中的MAC地址有不同的格式要求，为了保证RADIUS报文的正常交互，设备发送给服务器的RADIUS Attribute 31号属性中MAC地址的格式必须与服务器的要求保持一致。

【举例】

# 在RADIUS方案radius1中，配置RADIUS Attribute 31的MAC地址格式为hh:hh:hh:hh:hh:hh。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 31 mac-format section six separator : lowercase

【相关命令】

· display radius scheme

1.3.10 attribute 85 preferred

attribute 85 preferred命令用来配置通过RADIUS Attribute 85号属性下发的实时计费间隔优先生效。

undo attribute 85 preferred命令用来恢复缺省情况。

【命令】

attribute 85 preferred

undo attribute 85 preferred

【缺省情况】

RADIUS方案下配置的计费间隔优先级高于由RADIUS服务器通过Attribute 85号属性下发的实时计费间隔。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

设备通过实时计费更新报文定期向RADIUS服务器发送在线用户的计费信息，发送周期可以通过RADIUS方案下的实时计费间隔命令设置（timer realtime-accounting），也可以由RADIUS服务器通过85号属性（Acct-Interim-Interval）下发。缺省情况下，如果RADIUS方案下配置了非0的实时计费间隔，则该值优先级高于服务器下发的实时计费间隔。如果需要支持服务器下发的配置优先级高于RADIUS方案下的配置，则可以通过执行attribute 85 preferred命令来实现。

对于已在线用户，在其使用的RADIUS方案视图下执行attribute 85 preferred命令后，用户的实时计费间隔保持不变，在其使用的RADIUS方案视图下执行undo attribute 85 preferred命令后，用户的实时计费间隔由本方案下的timer realtime-accounting配置决定。

【举例】

# 在RADIUS方案radius1中，配置通过Attribute 85号属性下发的实时计费间隔优先生效。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 85 preferred

【相关命令】

· display radius scheme

· timer realtime-accounting

1.3.11 attribute 87 format

attribute 87 format命令用来配置RADIUS Attribute 87的格式。

undo attribute 87 format命令用来恢复缺省情况。

【命令】

attribute 87 format { custom { c-vid [ delimiter ] | interface-type [ delimiter ] | port [ delimiter ] | s-vid [ delimiter ] | slot [ delimiter ] | string string [ delimiter ] | subslot [ delimiter ] | vxlan-id [ delimiter ] } * | vendor vendor-id }

undo attribute 87 format

【缺省情况】

未配置RADIUS Attribute 87的格式，直接采用接入模块定义的RADIUS Attribute 87格式，具体为：

· 对于Portal：SlotID00IfNOVlanID，其中SlotID占用2个字符、00为固定字符、IfNO占用3个字符、VlanID占用9个字符；

· 对于IPoE、PPP、MAC地址认证：slot=xx;subslot=xx;port=xx;vlanid=xx;vlanid2=xx；

· 对于Login：不填充任何内容。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

custom：表示采用自定义的属性格式。

c-vid：用户报文的内层VLAN ID。

interface-type：用户接入的接口类型。

port：用户接入的端口号。

s-vid：用户报文的外层VLAN ID。

slot：用户接入单板所在槽位号。

string string：自定义的属性字符串，其中string为1～63个字符的字符串，区分大小写。

subslot：用户接入单板所在子槽位号。

vxlan-id：用户所属的VXLAN ID。

delimiter：本属性字段与下一个属性字段之间的分隔符，为除问号之外的任意可输入字符。若不指定该参数，则表示不使用分隔符。

vendor vendor-id：表示采用指定设备厂商的属性格式，其中vendor-id厂商标识号码，取值范围目前仅为9（Cisco）和2636（Juniper）。

【使用指导】

RADIUS Attribute 87为NAS-Port-ID属性。不同的RADIUS服务器对NAS-Port-ID属性的解析格式要求不同，为了保证RADIUS报文的正常交互，设备发送给服务器的NAS-Port-ID属性的格式必须与服务器的要求保持一致。

可通过本命令修改设备发送的RADIUS NAS-Port-ID属性的格式，具体情况如下：

· 如果采用指定设备厂商的属性格式，则NAS-Port-ID属性内容完全按照厂商要求填充。

· 如果采用自定义属性格式，则NAS-Port-ID属性中可携带哪些属性字段、各字段之间使用的分隔符以及各字段的排列顺序，由配置决定。其中，各字段的填充先后顺序，与本命令中对应关键字的配置顺序一致。

指定厂商ID为2636（Juniper）时，NAS-Port-ID属性填充格式如下：

· 对于ATM接口，格式为atm slot/port.subinterface:vpi.vci。其中，slot为槽位号，port表示端口号，subinterface为子接口号，vpi为PVC VPI值，vci为PVC VCI值。

· 对于以太网接口以及聚合接口：

¡ 双层VLAN情况下，格式为{fastEthernet|gigabitEthernet|ethernet|trunk} slot/port.vpivci:vpi-vci。其中，slot为槽位号，port为端口号，vpi为外层VLAN编号，vci为内层VLAN编号，例如gigabitEthernet 2/5.40940001:4094-1。需要注意的是，冒号前的vci必须通过填充0凑成4位，比如内层VLAN=1，则此处为0001。

¡ 单层VLAN情况下，格式为{fastEthernet|gigabitEthernet|ethernet|trunk} slot/port.subinterface:vlan。其中，slot为槽位号，port为端口号，subinterface为子接口号，vlan为VLAN编号，例如gigabitEthernet 2/5.4:4。在L2TP组网中，NAS-Port-ID属性中填充的subinterface字段取值无效。

¡ 无VLAN信息时，格式为{fastEthernet|gigabitEthernet|ethernet|trunk} slot/port.0，例如gigabitEthernet 2/5.0。

指定厂商为ID为9（Cisco）时，NAS-Port-ID属性填充格式为{ethernet|trunk|atm} slot/subslot/port。其中，{ethernet|trunk|atm}表示端口类型，slot表示槽位号，subslot表示子槽位号，port表示端口号，例如ethernet 2/0/5。

配置自定义属性格式时，请综合考虑用户的实际组网环境以及设备形态，避免指定无效的属性字段。

如果配置了本命令，则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由本命令决定，接入模块定义的RADIUS NAS-Port-ID属性格式不再生效。

【举例】

# 在RADIUS方案rad中，配置使用Cisco的RADIUS Attribute 87格式。

<Sysname> system-view

[Sysname] radius scheme rad

[Sysname-radius-rad] attribute 87 format vendor 9

# 在RADIUS方案rad2中，配置使用自定义的RADIUS Attribute 87格式，属性中依次携带用户报文的内层VLAN ID和接口类型，属性分隔符为；。

<Sysname> system-view

[Sysname] radius scheme rad2

[Sysname-radius-rad2] attribute 87 format custom c-vid ; interface-type ;

【相关命令】

· display radius scheme

1.3.12 attribute convert (RADIUS DAE server view)

attribute convert命令用来配置RADIUS属性转换规则。

undo attribute convert命令用来删除RADIUS属性转换规则。

【命令】

attribute convert src-attr-name to dest-attr-name { { coa-ack | coa-request } * | { received | sent } * }

undo attribute convert [ src-attr-name ]

【缺省情况】

不存在RADIUS属性转换规则，系统按照标准RADIUS协议对RADIUS属性进行处理。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

src-attr-name：源属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

dest-attr-name：目的属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

coa-ack：COA应答报文。

coa-request：COA请求报文。

received：接收到的DAE报文。

sent：发送的DAE报文。

【使用指导】

RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理。

只有在RADIUS属性解释功能开启之后，RADIUS属性转换规则才能生效。

配置RADIUS属性转换规则时，需要遵循以下原则：

· 源属性内容和目的属性内容的数据类型必须相同。

· 源属性和目的属性的名称不能相同。

· 一个属性只能按照一种方式（按报文类型或报文处理方向）进行转换。

· 一个源属性不能同时转换为多个目的属性。

执行undo attribute convert命令时，如果不指定源属性名称，则表示删除所有RADIUS属性转换规则。

【举例】

# 在RADIUS DAE服务器视图下，配置一条RADIUS属性转换规则，指定将接收到的DAE报文中的Hw-Server-String属性转换为Connect-Info属性。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] attribute convert Hw-Server-String to Connect-Info received

【相关命令】

· attribute translate

1.3.13 attribute convert (RADIUS scheme view)

attribute convert命令用来配置RADIUS属性转换规则。

undo attribute convert命令用来删除RADIUS属性转换规则。

【命令】

attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }

undo attribute convert [ src-attr-name ]

【缺省情况】

不存在RADIUS属性转换规则，系统按照标准RADIUS协议对RADIUS属性进行处理。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

src-attr-name：源属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

dest-attr-name：目的属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

access-accept：RADIUS认证成功报文。

access-request：RADIUS认证请求报文。

accounting：RADIUS计费报文。

received：接收到的RADIUS报文。

sent：发送的RADIUS报文。

【使用指导】

RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理。

只有在RADIUS属性解释功能开启之后，RADIUS属性转换规则才能生效。

配置RADIUS属性转换规则时，需要遵循以下原则：

· 源属性内容和目的属性内容的数据类型必须相同。

· 源属性和目的属性的名称不能相同。

· 一个属性只能按照一种方式（按报文类型或报文处理方向）进行转换。

· 一个源属性不能同时转换为多个目的属性。

执行undo attribute convert命令时，如果不指定源属性名称，则表示删除所有RADIUS属性转换规则。

【举例】

# 在RADIUS方案radius1中，配置一条RADIUS属性转换规则，指定将接收到的RADIUS报文中的Hw-Server-String属性转换为User-Address-Type属性。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute convert Hw-Server-String to User-Address-Type received

【相关命令】

· attribute translate

· display radius scheme

1.3.14 attribute reject (RADIUS DAE server view)

attribute reject命令用来配置RADIUS属性禁用。

undo attribute reject命令用来取消配置的RADIUS属性禁用。

【命令】

attribute reject attr-name { { coa-ack | coa-request } * | { received | sent } * }

undo attribute reject [ attr-name ]

【缺省情况】

不存在RADIUS属性禁用规则。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

attr-name：RADIUS属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

coa-ack：COA应答报文。

coa-request：COA请求报文。

received：接收到的DAE报文。

sent：发送的DAE报文。

【使用指导】

当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时，可以定义基于发送方向的属性禁用规则，使得设备发送RADIUS报文时，将该属性从报文中删除。

当RADIUS服务器发送给设备的某些属性是设备不希望收到的属性时，可以定义基于接收方向的属性禁用规则，使得设备接收RADIUS报文时，不处理报文中的该属性。

当某些类型的属性是设备不希望处理的属性时，可以定义基于类型的属性禁用规则。

只有在RADIUS属性解释功能开启之后，RADIUS属性禁用规则才能生效。

一个属性只能按照一种方式（按报文类型或报文处理方向）进行禁用。

执行undo attribute reject命令时，如果不指定属性名称，则表示删除所有RADIUS属性禁用规则。

【举例】

# 在RADIUS DAE服务器视图下，配置一条RADIUS属性禁用规则，指定禁用发送的DAE报文中的Connect-Info属性。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] attribute reject Connect-Info sent

【相关命令】

· attribute translate

1.3.15 attribute reject (RADIUS scheme view)

attribute reject命令用来配置RADIUS属性禁用规则。

undo attribute reject命令用来删除RADIUS属性禁用规则。

【命令】

attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }

undo attribute reject [ attr-name ]

【缺省情况】

不存在RADIUS属性禁用规则。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

attr-name：RADIUS属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

access-accept：RADIUS认证成功报文。

access-request：RADIUS认证请求报文。

accounting：RADIUS计费报文。

received：接收到的RADIUS报文。

sent：发送的RADIUS报文。

【使用指导】

当RADIUS服务器发送给设备的某些属性是不希望收到的属性时，可以定义基于接收方向的属性禁用规则，使得设备接收RADIUS报文时，不处理报文中的该属性。

当某些类型的属性是设备不希望处理的属性时，可以定义基于类型的属性禁用规则。

只有在RADIUS属性解释功能开启之后，RADIUS属性禁用规则才能生效。

一个属性只能按照一种方式（按报文类型或报文处理方向）进行禁用。

执行undo attribute reject命令时，如果不指定属性名称，则表示删除所有RADIUS属性禁用规则。

【举例】

# 在RADIUS方案radius1中，配置一条RADIUS属性禁用规则，指定禁用发送的RADIUS报文中的Connect-Info属性。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute reject Connect-Info sent

【相关命令】

· attribute translate

1.3.16 attribute remanent-volume

attribute remanent-volume命令用来配置RADIUS Remanent-Volume属性的流量单位。

undo attribute remanent-volume命令用来恢复缺省情况。

【命令】

attribute remanent-volume unit { byte | giga-byte | kilo-byte | mega-byte }

undo attribute remanent-volume unit

【缺省情况】

Remanent-Volume属性的流量单位是千字节。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

byte：表示流量单位为字节。

giga-byte：表示流量单位为千兆字节。

kilo-byte：表示流量单位为千字节。

mega-byte：表示流量单位为兆字节。

【使用指导】

Remanent-Volume属性为H3C自定义RADIUS属性，携带在RADIUS服务器发送给接入设备的认证响应或实时计费响应报文中，用于向接入设备通知在线用户的剩余流量值。设备管理员通过本命令设置的流量单位应与RADIUS服务器上统计用户流量的单位保持一致，否则设备无法正确使用Remanent-Volume属性值对用户进行计费。

【举例】

# 在RADIUS方案radius1中，设置RADIUS服务器下发的Remanent-Volume属性的流量单位为千字节。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute remanent-volume unit kilo-byte

【相关命令】

· display radius scheme

1.3.17 attribute translate

attribute translate命令用来开启RADIUS属性解释功能。

undo attribute translate命令用来关闭RADIUS属性解释功能。

【命令】

attribute translate

undo attribute translate

【缺省情况】

RADIUS属性解释功能处于关闭状态。

【视图】

RADIUS方案视图/RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【使用指导】

不同厂商的RADIUS服务器所支持的RADIUS属性集有所不同，而且相同属性的用途也可能不同。为了兼容不同厂商的服务器的RADIUS属性，需要开启RADIUS属性解释功能，并定义相应的RADIUS属性转换规则和RADIUS属性禁用规则。

【举例】

# 在RADIUS方案radius1中，开启RADIUS属性解释功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute translate

【相关命令】

· attribute convert

· attribute reject

1.3.18 attribute vendor-id 2011 version

attribute vendor-id 2011 version命令用来设置Vendor ID为2011的RADIUS服务器版本号。

undo attribute vendor-id 2011 version命令用来恢复缺省情况。

【命令】

attribute vendor-id 2011 version { 1.0 | 1.1 }

undo attribute vendor-id 2011 version

【缺省情况】

设备采用版本1.0与Vendor ID为2011的RADIUS服务器交互。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

1.0：版本1.0。

1.1：版本1.1。

【使用指导】

当设备与Vendor ID为2011的RADIUS服务器交互时，需要保证本命令设置的服务器版本号与对端服务器的实际版本号一致，否则会导致部分RADIUS属性解析错误。该厂商相关RADIUS属性在设备上的解析情况如下：

· 当RADIUS服务器下发属性HW_ARRT_26_1时，如果设备采用1.0版本，则将该属性解析为用户的上行峰值速率；如果设备采用1.1版本，则将其解析为上行突发尺寸。

· 当RADIUS服务器下发属性HW_ARRT_26_2时，无论设备采用1.0版本或1.1版本，均将该属性解析为用户的上行平均速率。

· 当RADIUS服务器下发属性HW_ARRT_26_3时，如果设备采用1.0版本，则不处理该属性；如果设备采用1.1版本，则将其解析为上行峰值速率。

· 当RADIUS服务器下发属性HW_ARRT_26_4时，如果设备采用1.0版本，则将该属性解析为用户的下行峰值速率；如果设备采用1.1版本，则将其解析为下行突发尺寸。

· 当RADIUS服务器下发属性HW_ARRT_26_5时，无论设备采用1.0版本或1.1版本，均将该属性解析为用户的下行平均速率。

· 当RADIUS服务器下发属性HW_ARRT_26_6时，如果设备采用1.0版本，则不处理该属性；如果设备采用1.1版本，则将其解析为下行峰值速率。

【举例】

# 在RADIUS方案radius1中，设置Vendor ID为2011的RADIUS服务器版本号为1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute vendor-id 2011 version 1.1

【相关命令】

· client

1.3.19 client

client命令用来指定RADIUS DAE客户端。

undo client命令用来删除指定的RADIUS DAE客户端。

【命令】

client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vendor-id 2011 version { 1.0 | 1.1 } | vpn-instance vpn-instance-name ] *

undo client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定RADIUS DAE客户端。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address：RADIUS DAE客户端IPv4地址。

ipv6 ipv6-address：RADIUS DAE客户端IPv6地址。

key：与RADIUS DAE客户端交互DAE报文时使用的共享密钥。此共享密钥的设置必须与RADIUS DAE客户端的共享密钥设置保持一致。如果此处未指定本参数，则对应的RADIUS DAE客户端上也必须未指定。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vendor-id 2011：表示RADIUS DAE客户端的Vendor-ID为2011。

version：版本号。

1.0：版本1.0。

1.1：版本1.1。

vpn-instance vpn-instance-name：RADIUS DAE客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示RADIUS DAE客户端位于公网中。

【使用指导】

开启RADIUS DAE服务之后，设备会监听并处理指定的RADIUS DAE客户端发起的DAE请求消息（用于动态授权修改或断开连接），并向其发送应答消息。对于非指定的RADIUS DAE客户端的DAE报文进行丢弃处理。

可通过多次执行本命令指定多个RADIUS DAE客户端。

缺省情况下，设备支持与版本1.0的Vendor-ID为2011的RADIUS服务器通信，若对端为1.1版本，则需要通过指定vendor-id 2011 version 1.1参数来保证版本的一致性，否则无法正确解析部分DAE请求。

【举例】

# 设置RADIUS DAE客户端的IP地址为10.110.1.2，与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] client ip 10.110.1.2 key simple 123456

【相关命令】

· attribute vendor-id 2011 version

· radius dynamic-author server

· port

1.3.20 dae-loose-check enable

dae-loose-check enable命令用来开启DAE报文的宽松检查功能。

undo dae-loose-check enable命令用来关闭DAE报文的宽松检查功能。

【命令】

dae-loose-check enable

undo dae-loose-check enable

【缺省情况】

DAE报文的宽松检查功能处于关闭状态。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【使用指导】

设备作为DAE服务器接收到DAE请求报文后，可根据报文中携带的用户标识信息（如用户名、用户IP地址、Acct-Session-Id等）、设备标识信息（如NAS-IP，NAS-ID等）在本地查找对应的用户，并对用户进行强制下线或者更改授权信息。如果设备没有查找到对应的用户，则不处理该DAE请求。

缺省情况下，设备对DAE请求报文中的所有用户标识信息以及设备信息都进行校验，只有在设备上查找到了严格匹配所有信息的用户才会处理该DAE请求。

如果设备上开启了宽松检查功能，则设备只会校验DAE报文中的部分用户标识信息（用户IP地址、Acct-Session-Id以及纯用户名部分），不再校验设备标识信息。

有些DAE客户端上记录的用户以及设备信息可能与设备上用户的实际信息不完全一致，为了避免DAE客户端发送的DAE请求因无法进行完全匹配式校验而被丢弃，建议在这种情况下开启DAE请求报文的宽松检查功能。

【举例】

# 开启DAE报文的宽松检查功能。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] dae-loose-check enable

【相关命令】

· radius dynamic-author server

1.3.21 data-flow-format (RADIUS scheme view)

data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位。

undo data-flow-format命令用来恢复缺省情况。

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【缺省情况】

数据流的单位为字节，数据包的单位为包。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

data：设置数据流的单位。

· byte：数据流的单位为字节。

· giga-byte：数据流的单位千兆字节。

· kilo-byte：数据流的单位为千字节。

· mega-byte：数据流的单位为兆字节。

packet：设置数据包的单位。

· giga-packet：数据包的单位为千兆包。

· kilo-packet：数据包的单位为千包。

· mega-packet：数据包的单位为兆包。

· one-packet：数据包的单位为包。

【使用指导】

设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADIUS服务器上的流量统计单位保持一致，否则无法正确计费。

【举例】

# 在RADIUS方案radius1中，设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet

【相关命令】

· display radius scheme

1.3.22 display radius scheme

display radius scheme命令用来显示RADIUS方案的配置信息。

【命令】

display radius scheme [ radius-scheme-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

radius-scheme-name：RADIUS方案名，为1～32个字符的字符串，不区分大小写。如果不指定该参数，则表示所有RADIUS方案。

【举例】

# 显示所有RADIUS方案的配置信息。

<Sysname> display radius scheme

Total 1 RADIUS schemes

------------------------------------------------------------------

RADIUS scheme name: radius1

Index : 0

Primary authentication server:

IP : 2.2.2.2 Port: 1812

VPN : vpn1

State: Active

Test profile: 132

Probe username: test

Probe interval: 60 minutes

Weight: 40

Primary accounting server:

IP : 1.1.1.1 Port: 1813

VPN : Not configured

State: Active

Weight: 40

Second authentication server:

IP: 3.3.3.3 Port: 1812

VPN : Not configured

State: Block

Test profile: Not configured

Weight: 40

Second accounting server:

IP : 3.3.3.3 Port: 1813

VPN : Not configured

State: Block (Mandatory)

Weight: 0

Accounting-On function : Enabled

extended function : Enabled

retransmission times : 5

retransmission interval(seconds) : 2

Timeout Interval(seconds) : 3

Retransmission Times : 3

Retransmission Times for Accounting Update : 5

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(seconds) : 22

Stop-accounting packets buffering : Enabled

Retransmission Times : 500

NAS IP Address : 1.1.1.1

Source IP address : 1.1.1.1

VPN : Not configured

Username format : with-domain

Data flow unit : Megabyte

Packet unit : One

Attribute 6:

IPoE : Outbound (value-added services included)

Attribute 15 check-mode : Strict

Attribute 25 : CAR

Remanent-Volume threshold : 1024

Attribute Remanent-Volume unit : Mega

Server-load-sharing : Enabled

Server-load-sharing mode : Session-based

Attribute 31 MAC format : HH-HH-HH-HH-HH-HH

Stop-accounting-packet send-force : Disabled

RADIUS server version (vendor ID 2011) : 1.1

Attribute 87 format customized : c-vid@interface-type/s-vid

Authentication response pending limit : 10

Accounting response pending limit : 10

Username authorization : Applied

All-server-block action : Attempt the top-priority server

Attribute 5 format : QinQ

Attribute 85 preferred : Enabled

------------------------------------------------------------------

表1-10 display radius scheme命令显示信息描述表

字段	描述
Total 1 RADIUS schemes.	共计1个RADIUS方案
RADIUS scheme name	RADIUS方案的名称
Index	RADIUS方案的索引号
Primary authentication server	主RADIUS认证服务器
Primary accounting server	主RADIUS计费服务器
Second authentication server	从RADIUS认证服务器
Second accounting server	从RADIUS计费服务器
IP	RADIUS认证/计费服务器IP地址未配置时，显示为Not configured
Port	RADIUS认证/计费服务器接入端口号未配置时，显示缺省值
State	RADIUS认证/计费服务器目前状态 · Active：激活状态 · Block：自动转换的静默状态 · Block(Mandatory)：手工配置的静默状态
VPN	RADIUS认证/计费服务器所在的VPN 未配置时，显示为Not configured
Test profile	探测服务器状态使用的模板名称
Probe username	探测服务器状态使用的用户名
Probe interval	探测服务器状态的周期（单位为分钟）
Weight	RADIUS服务器权重值
Accounting-On function	accounting-on功能的开启情况
extended function	accounting-on扩展功能的开启情况
retransmission times	accounting-on报文的发送尝试次数
retransmission interval(seconds)	accounting-on报文的重发间隔（单位为秒）
Timeout Interval(seconds)	RADIUS服务器超时时间（单位为秒）
Retransmission Times	发送RADIUS报文的最大尝试次数
Retransmission Times for Accounting Update	实时计费更新报文的最大尝试次数
Server Quiet Period(minutes)	RADIUS服务器恢复激活状态的时间（单位为分钟）
Realtime Accounting Interval(seconds)	实时计费更新报文的发送间隔（单位为秒）
Stop-accounting packets buffering	RADIUS停止计费请求报文缓存功能的开启情况
Retransmission Times	发起RADIUS停止计费请求的最大尝试次数
NAS IP Address	发送RADIUS报文携带的NAS-IP地址未配置时，显示为Not configured
Source IP address	发送RADIUS报文使用的源IP地址未配置时，显示为Not configured
VPN	‌RADIUS方案所属的VPN名称未配置时，显示为Not configured
Username format	发送给RADIUS服务器的用户名格式 · with-domain：携带域名 · without-domain：不携带域名 · keep-original：与用户输入保持一致
Data flow unit	数据流的单位
Packet unit	数据包的单位
Attribute 6	对IPoE用户的RADIUS Attribute 6取值的设置，包括以下两种情况： · Outbound (value-added services included)：表示IPoE用户的认证请求和计费请求报文中的Service-Type属性值为Outbound（5），且适用于增值业务 · Outbound (value-added services excluded)：表示IPoE用户的认证请求和计费请求报文中的Service-Type属性值为Outbound（5），但不适用于增值业务
Attribute 15 check-mode	对RADIUS Attribute 15的检查方式，包括以下两种取值： · Strict：表示使用RADIUS标准属性值和私有扩展的属性值进行检查 · Loose：表示使用RADIUS标准属性值进行检查
Attribute 25	对RADIUS Attribute 25的处理，包括以下两种取值： · Standard：表示不对RADIUS Attribute 25进行解析 · CAR：表示将RADIUS 25号属性解析为CAR参数
Remanent-Volume threshold	用户剩余流量阈值（单位为Attribute Remanent-Volume unit的取值）
Attribute Remanent-Volume unit	RADIUS Remanent-Volume属性的流量单位
Server-load-sharing	RADIUS服务器负载分担功能的开启情况 · Disabled：关闭状态，服务器工作于主/从模式 · Enabled：开启状态，服务器工作于负载分担模式
Server-load-sharing mode	RADIUS认证服务器负载分担模式 · Session-based：基于会话的负载分担模式 · Packet-based：基于报文的负载分担模式
Attribute 31 MAC format	RADIUS Attribute 31中携带的MAC地址格式
Stop-accounting-packets send-force	用户下线时设备强制发送RADIUS计费停止报文功能的开启情况
RADIUS server version (vendor ID 2011)	Vendor ID为2011的RADIUS服务器版本号
Attribute 87 format vendor-specific	RADIUS Attribute 87的设备厂商编号
Attribute 87 format customized	用户自定义的RADIUS Attribute 87格式
Authentication response pending limit	未收到认证服务器响应的请求报文的最大数目未配置时，显示为Not configured
Accounting response pending limit	未收到计费服务器响应的请求报文的最大数目未配置时，显示为Not configured
Username authorization	设备对RADIUS服务器下发的用户名的处理机制 · Applied：表示接受RADIUS服务器下发的用户名 · Not applied：表示不接受RADIUS服务器下发的用户名
All-server-block action	当前方案中的RADIUS服务器都处于block状态后的设备处理动作： · Attempt the top-priority server：尝试与当前方案中高优先级的服务器建立一次连接 · Skip all servers in the scheme：跳过当前方案中的所有服务器
Attribute 5 format	RADIUS Attribute 5的封装格式： · QinQ：表示使用QinQ格式 · Default：表示使用缺省格式
Attribute 85 preferred	是否优先使用通过RADIUS Attribute 85下发的实时计费间隔： · Enabled：优先使用 · Disabled：不优先使用

1.3.23 display radius server-load statistics

display radius server-load statistics命令用来显示RADIUS服务器的负载统计信息。

【命令】

display radius server-load statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

本命令用来显示上一个5秒统计周期内设备发往RADIUS认证/计费服务器的认证/计费请求统计信息和自从设备启动后记录的历史认证/计费请求统计信息，具体统计过程如下：

· 系统从第一个用户认证请求开始，每隔5秒钟统计一次RADIUS认证/计费请求数目，并在下一个5秒内提供该统计值供查看。

· 只要设备发起一次用户认证请求或用户计费开始请求，对应服务器的历史负载统计数值随之加1，但后续不会因为用户下线、服务器响应或超时而减小该值。

前5秒的统计信息提供了RADIUS认证/计费服务器最近5秒的负载分担效果，管理员可以根据此统计信息调控RADIUS服务器的配置参数，比如配置顺序、权重参数等。当没有用户触发认证/计费时，前5秒的统计数据就不能给管理员提供有效的负载分担信息了，此时管理员可以参考历史负载统计信息对RADIUS认证/计费服务器的配置做调整。

需要注意的是：

· 只要该RADIUS认证/计费服务器的配置被某RADIUS方案所引用，则就可以通过本命令查看到它的负载统计数据。

· 若RADIUS认证/计费服务器的配置被删除，或主认证/计费服务器的IP、端口、VPN参数配置发生变化，则该服务器的前5秒的统计数据及历史负载统计数据将会被删除。

· 主备倒换后，历史统计数据不会被删除，但会不准确。

【举例】

# 显示RADIUS服务器的负载统计信息。

<Sysname> display radius server-load statistics

Authentication servers: 2

IP VPN Port Last 5 sec History

1.1.1.1 N/A 1812 20 100

1::1 ABC 1812 0 20

Accounting servers: 2

IP VPN Port Last 5 sec History

1.1.1.1 N/A 1813 20 100

1::1 ABC 1813 0 20

表1-11 display radius server-load statistics命令显示信息描述表

字段	描述
Authentication servers	RADIUS认证服务器总个数
Accounting servers	RADIUS计费服务器总个数
IP	RADIUS认证/计费服务器的IP地址
VPN	RADIUS认证/计费服务器所在的VPN 若未配置该参数，则显示N/A
Port	RADIUS认证/计费服务器的UDP端口号
Last 5 sec	上一个5秒统计周期内发往RADIUS认证/计费服务器的请求数
History	RADIUS认证/计费服务器的历史负载统计值

【相关命令】

· reset radius server-load statistics

1.3.24 display radius statistics

display radius statistics命令用来显示RADIUS报文的统计信息。

【命令】

display radius statistics [ server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-number ] { accounting | authentication } ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ip ipv4-address：指定RADIUS服务器的IPv4地址。

ipv6 ipv6-address：指定RADIUS服务器的IPv6地址。

vpn-instance vpn-instance-name：指定RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示RADIUS服务器位于公网中。

port port-number：指定RADIUS服务器的UDP端口号，取值范围为1～65535，对于认证报文，缺省值为1812，对于计费报文，缺省值为1813。

accounting：表示RADIUS计费报文统计信息。

authentication：表示RADIUS认证报文统计信息。

【使用指导】

可通过本命令查看设备和RADIUS服务器之间交互的报文统计信息，包括RADIUS认证报文、RADIUS计费报文、DAE报文和Session Control报文的统计信息。

若不指定任何参数，则表示显示设备和所有RADIUS服务器交互的所有类型的RADIUS报文统计信息；若指定了服务器参数，则表示仅显示设备和指定RADIUS服务器之间交互的RADIUS认证报文或RADIUS计费报文统计信息。

【举例】

# 显示设备和所有RADIUS服务器交互的报文统计信息。

<Sysname> display radius statistics

Auth. Acct. SessCtrl. DAE.

Requests: 8 16 0 0

Retransmissions: 0 0 - 0

Start requests: - 8 - -

Realtime requests: - 0 - -

Stop requests: - 8 - -

Pending requests: 0 0 - -

Packet timeouts: 0 0 - -

Challenge packets: 0 - - -

Packets with responses: 0 0 0 0

Packets without responses:0 0 - -

Reject responses: 0 - - -

Dropped responses: 0 0 0 0

Bad authenticator: 0 0 0 0

Terminate request: - - 0 0

Set policy: - - 0 0

Authentication servers: 1

IP: 1.1.1.1 Port: 1812

VPN:

Authentication packets:

Requests : 8 Retransmissions : 0

Pending requests : 0 Packet timeouts : 0

Request failures : 0 Challenge packets : 0

Accept responses : 8 Reject responses : 0

Unknown-type responses : 0 Malformed responses : 0

Bad authenticators : 0 Dropped responses : 0

Accounting servers: 1

IP: 1.1.1.1 Port: 1813

VPN:

Accounting packets:

Requests : 16 Retransmissions : 0

Start requests : 8 Realtime requests : 0

Stop requests : 8 Pending requests : 0

Packet timeouts : 0 Request failures : 0

Unknown-type responses : 0 Malformed responses : 0

Bad authenticators : 0 Dropped responses : 0

# 显示设备与IP地址为1.1.1.1、端口号为1812的RADIUS服务器之间交互的认证报文统计信息。

<Sysname> display radius statistics server ip 1.1.1.1 port 1812 authentication

Requests : 8 Retransmissions : 0

Pending requests : 0 Packet timeouts : 0

Request failures : 0 Challenge packets : 0

Accept responses : 8 Reject responses : 0

Unknown-type responses : 0 Malformed responses : 0

Bad authenticators : 0 Dropped responses : 0

表1-12 display radius statistics命令显示信息描述表

字段	描述
Auth.	认证报文
Acct.	计费报文
SessCtrl.	Session-control报文
DAE	DAE报文
Requests	认证/计费请求报文数该计数不包含报文重传计数，但增加时Pending Requests计数也会增加
Retransmissions	重传的认证/计费请求报文数该计数不会叠加在Requests计数中
Start requests	开始计费请求报文数
Realtime requests	实时计费请求报文数
Stop requests	计费停止请求报文数
Pending requests	未得到服务器响应且未超时的认证/计费请求报文数
Packet timeouts	超时的认证/计费请求报文数
Request failures	发送失败的认证/计费请求报文数
Challenge packets	认证挑战报文数
Packets without responses	无响应的认证/计费请求报文数当所有服务器都不响应某认证/计费请求报文时，该计数才会增加 “-”表示未统计该值
Packets with responses	合法的认证/计费响应报文数 “-”表示未统计该值
Accept responses	认证接受报文数
Reject responses	认证拒绝报文数
Unknown-type responses	非标准定义的认证/计费响应报文数
Malformed responses	不合法的认证/计费响应报文数非法原因包括报文长度错误、用户不存在、验证字错误等
Bad authenticators	验证字错误的认证/计费响应报文数验证字错误的响应报文也属于不合法的响应报文
Dropped responses	因为其它原因丢弃的认证/计费响应报文数
Terminate request	强制用户下线报文统计信息
Set policy	更新用户授权信息报文统计信息
Authentication servers	认证服务器数目
Accounting servers	计费服务器数目
IP	服务器的IP地址
Port	服务器的端口号
VPN	服务器所在的VPN 若服务器属于公网，则该字段取值为空
Authentication packets	认证服务器报文统计信息
Authentication packets	计费服务器报文统计信息

【相关命令】

· reset radius statistics

1.3.25 display stop-accounting-buffer (for RADIUS)

display stop-accounting-buffer命令用来显示缓存的RADIUS停止计费请求报文的相关信息。

【命令】

display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

radius-scheme radius-scheme-name：表示指定RADIUS方案的停止计费请求报文。其中，radius-scheme-name为RADIUS方案名，为1～32个字符的字符串，不区分大小写。

session-id session-id：表示指定会话的停止计费请求报文。其中，session-id表示会话ID，为1～64个字符的字符串，不包含字母。会话ID用于唯一标识当前的在线用户。

time-range start-time end-time：表示指定时间段内发送且被缓存的停止计费请求报文。其中，start-time为请求时间段的起始时间，end-time为请求时间段的结束时间，格式为hh:mm:ss-mm/dd/yyyy（时:分:秒-月/日/年）或hh:mm:ss-yyyy/mm/dd（时:分:秒-年/月/日）。

user-name user-name：表示指定用户的停止计费请求报文。其中，user-name表示用户名，为1～255个字符的字符串，区分大小写。输入的用户名是否携带ISP域名，必须与RADIUS方案中的user-name-format配置保持一致。

【举例】

# 显示缓存的用户名为abc的RADIUS停止计费请求报文的相关信息。

<Sysname> display stop-accounting-buffer user-name abc

Total entries: 2

Scheme Session ID Username First sending time Attempts

rad1 1000326232325010 abc 23:27:16-08/31/2015 19

aaa 1000326232326010 abc 23:33:01-08/31/2015 20

表1-13 display stop-accounting-buffer命令显示信息描述表

字段	描述
Total entries: 2	共有两条记录匹配
Scheme	RADIUS方案名
Session ID	会话ID（Acct-Session-Id属性值）
Username	用户名
First sending time	首次发送停止计费请求的时间
Attempts	发起停止计费请求的次数

【相关命令】

· reset stop-accounting-buffer (for RADIUS)

· retry

· retry stop-accounting (for RADIUS)

· stop-accounting-buffer enable (RADIUS scheme view)

· user-name-format (RADIUS scheme view)

1.3.26 exclude

exclude命令用来配置RADIUS报文中不能携带的属性。

undo exclude命令用来取消在RADIUS报文中不能携带的属性配置。

【命令】

exclude { accounting | authentication } name attribute-name

undo exclude { accounting | authentication } name attribute-name

【缺省情况】

未配置RADIUS报文中不能携带的属性。

【视图】

RADIUS属性测试组视图

【缺省用户角色】

network-admin

【参数】

accounting：表示RADIUS计费请求报文。

authentication：表示RADIUS认证请求报文。

name attribute-name：RADIUS属性名称，为1～63个字符的字符串，不区分大小写。这些属性为RADIUS报文中缺省携带的属性，具体包括：Service-Type、Framed-Protocol、NAS-Identifier、Acct-Delay-Time、Acct-Session-Id、Acct-Terminate-Cause和NAS-Port-Type，其中Service-Type、Framed-Protocol、NAS-Identifier，Acct-Session-Id和NAS-Port-Type为认证请求报文缺省携带的属性，NAS-Identifier、Acct-Delay-Time、Acct-Session-Id和Acct-Terminate-Cause为计费请求报文缺省携带的属性。

【使用指导】

通过本命令配置的RADIUS属性将不会在属性测试过程中被携带在相应的RADIUS请求报文中发送给RADIUS服务器。在实际测试过程中，可通过本命令排除掉RADIUS报文中携带的一些基础属性，来辅助排查认证/计费故障。

如果一个属性已经被配置为需要携带在RADIUS报文中（通过include命令），则需要先执行undo include命令取消该配置，才能将其配置为不携带在RADIUS报文中。

【举例】

# 在RADIUS属性测试组t1中，配置在RADIUS认证请求报文中不携带属性名称为Service-Type的标准属性。

<Sysname> system-view

[Sysname] radius attribute-test-group t1

[Sysname-radius-attr-test-grp-t1] exclude authentication name Service-Type

【相关命令】

· include

· test-aaa

1.3.27 include

include命令用来配置RADIUS报文中携带的属性。

undo include命令用来取消指定的属性配置。

【命令】

include { accounting | authentication } { name attribute-name | [ vendor vendor-id ] code attribute-code } type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string } value attribute-value

undo include { accounting | authentication} { name attribute-name | [ vendor vendor-id ] code attribute-code }

【缺省情况】

未配置RADIUS报文中携带的属性。

【视图】

RADIUS属性测试组视图

【缺省用户角色】

network-admin

【参数】

accounting：表示RADIUS计费请求报文。

authentication：表示RADIUS认证请求报文。

name attribute-name：标准RADIUS属性名称，为1～63个字符的字符串，不区分大小写。

vendor vendor-id：RADIUS属性所属的设备厂商标识。vendor-id为厂商标识号码，取值范围为1～65535。如果不指定该参数，则表示RADIUS属性为标准属性。其中，2011表示HUAWEI，25506表示H3C，9表示Cisco，311表示Microsoft，43表示3COM，3561表示DSL论坛，20942表示中国电信，40808表示WFA无线，2636表示Juniper，28357表示CMCC。

code attribute-code：RADIUS属性编号，取值范围为1～255。

type：属性内容的数据类型，包括以下取值：

· binary：二进制类型。

· date：时间类型。

· integer：整数类型。

· interface-id：接口ID类型。

· ip：IPv4地址类型。

· ipv6：IPv6地址类型。

· ipv6-prefix：IPv6地址前缀类型。

· octets：八进制类型。

· string：字符串类型。

value attribute-value：RADIUS属性值，取值与数据类型有关，具体如下：

· 二进制属性值：1～256个十六进制字符，表示最多128个字节的二进制数。

· 时间类型属性值：0～4294967295。

· 整数类型属性值：0～4294967295。

· 接口ID类型属性值：1～ffffffffffffffff。

· IPv6地址前缀类型属性值：prefix/prefix-length样式。

· 八进制属性值：1～256个十六进制字符，表示最多128个字节的八进制数。

· 字符串类型属性值：1～253个字符。

【使用指导】

可以通过本命令配置RADIUS报文中携带的属性以及对应的属性值，具体情况如下：

· 对于RADIUS报文中默认携带的属性，可通过include命令来修改属性取值，并可通过undo include命令将该属性值恢复为缺省值。RADIUS报文中默认携带的能够修改的属性包括：

¡ 认证请求报文默认携带的属性：User-Name、CHAP-Password（User-Password）、CHAP-Challenge、NAS-IP-Address（NAS-IPv6-Address）、Service-Type、Framed-Protocol、NAS-Identifier、NAS-Port-Type、Acct-Session-Id。

¡ 计费请求报文默认携带的属性：User-Name、Acct-Status-Type、NAS-IP-Address（NAS-IPv6-Address）、NAS-Identifier、Acct-Session-Id、Acct-Delay-Time、Acct-Terminate-Cause。

· 对于并非RADIUS报文中默认携带的属性，可通过include命令将其添加在RADIUS报文中，并可通过undo include命令将该属性从RADIUS报文中删除。

为了保证测试效果的准确性，请务必保证各属性参数的匹配性，比如属性值要匹配属性类型。

保存在配置文件中的标准属性的属性名称将被转换为属性编号的形式。

如果一个属性已经被配置为不能携带在RADIUS报文中（通过exclude命令），则需要先执行undo exclude命令取消该配置，才能将其配置为携带在RADIUS报文中。

设备按照配置的先后顺序在RADIUS报文中添加RADIUS属性，由于RADIUS报文最大长度为4096个字节，如果配置了过多的RADIUS属性，则在报文长度超过最大值后，部分属性将不会被添加在报文中。因此，请合理规划要添加的RADIUS报文属性数目。

【举例】

# 在RADIUS属性测试组t1中，配置在RADIUS认证请求报文中携带一个标准属性：名称为Calling-Station-Id，属性值为08-00-27-00-34-D8。

<Sysname> system-view

[Sysname] radius attribute-test-group t1

[Sysname-radius-attr-test-grp-t1] include authentication name Calling-Station-Id type string value 08-00-27-00-34-d8

【相关命令】

· exclude

· test-aaa

1.3.28 key (RADIUS scheme view)

key命令用来配置RADIUS报文的共享密钥。

undo key命令用来删除RADIUS报文的共享密钥。

【命令】

key { accounting | authentication } { cipher | simple } string

undo key { accounting | authentication }

【缺省情况】

未配置RADIUS报文的共享密钥。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

accounting：指定RADIUS计费报文的共享密钥。

authentication：指定RADIUS认证报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

【使用指导】

设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥，本配置中指定的报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。

必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。

【举例】

# 在RADIUS方案radius1中，配置计费报文的共享密钥为明文ok。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key accounting simple ok

【相关命令】

· display radius scheme

1.3.29 nas-ip (RADIUS scheme view)

nas-ip命令用来设置RADIUS报文中携带的NAS-IP地址。

undo nas-ip命令用来删除指定类型的NAS-IP地址。

【命令】

nas-ip { ipv4-address | ipv6 ipv6-address }

undo nas-ip [ ipv6 ]

【缺省情况】

未设置RADIUS报文中携带的NAS-IP地址，使用系统视图下由命令radius nas-ip指定的NAS-IP地址。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：指定RADIUS报文中携带的IPv4 NAS-IP地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定RADIUS报文中携带的IPv6 NAS-IP地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

接口视图、RADIUS方案视图和系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址，具体生效情况如下：

· 接口视图下配置的NAS-IP地址（通过aaa nas-ip命令）只对在本接口上线的用户有效。

· RADIUS方案视图下配置的NAS-IP地址（通过nas-ip命令）只对本方案有效。

· 系统视图下的配置的NAS-IP地址（通过radius nas-ip命令）对所有RADIUS方案有效。

· 以上各视图下的配置优先级从高到底依次为：接口视图->RADIUS方案视图->系统视图。

一个RADIUS方案视图下，最多允许指定一个IPv4 NAS-IP和一个IPv6 NAS-IP地址。

如果undo nas-ip命令中不指定ipv6参数，则表示删除配置的IPv4 NAS-IP地址。

【举例】

# 在RADIUS方案radius1中，设置RADIUS报文携带的IPv4 NAS-IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] nas-ip 10.1.1.1

【相关命令】

· aaa nas-ip

· display radius scheme

· radius nas-ip

1.3.30 port

port命令用来指定RADIUS DAE服务端口。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

RADIUS DAE服务端口为3799。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

port-number：DAE服务器接收DAE请求消息的UDP端口，取值范围为1～65535。

【使用指导】

必须保证设备上的RADIUS DAE服务端口与RADIUS DAE客户端发送DAE报文的目的UDP端口一致。

【举例】

# 开启RADIUS DAE服务后，指定DAE服务端口为3790。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] port 3790

【相关命令】

· client

· radius dynamic-author server

1.3.31 primary accounting (RADIUS scheme view)

primary accounting命令用来配置主RADIUS计费服务器。

undo primary accounting命令用来恢复缺省情况。

【命令】

primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *

undo primary accounting

【缺省情况】

未配置主RADIUS计费服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：主RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address：主RADIUS计费服务器的IPv6地址。

port-number：主RADIUS计费服务器的UDP端口号，取值范围为1～65535，缺省值为1813。

key：与主RADIUS计费服务器交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vpn-instance vpn-instance-name：主RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主RADIUS计费服务器位于公网中。

weight weight-value：RADIUS服务器负载分担的权重。weight-value表示权重值，取值范围为0～100，缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后，该参数才能生效，且权重值越大的服务器可以处理的计费请求报文越多。

【使用指导】

配置的主计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主计费服务器和从计费服务器的IP地址、端口号和VPN参数不能完全相同。

设备与主计费服务器通信时优先使用本命令设置的共享密钥，如果此处未设置，则使用key accounting命令设置的共享密钥。

若服务器位于MPLS VPN私网中，为保证RADIUS报文被发送到指定的私网服务器，必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级。

当RADIUS服务器负载分担功能处于关闭状态时，如果在计费开始请求报文发送过程中修改或删除了正在使用的主计费服务器配置，则设备在与当前服务器通信超时后，将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信；当RADIUS服务器负载分担功能处于开启状态时，设备将仅与发起计费开始请求的服务器通信。

如果在线用户正在使用的计费服务器被删除，则设备将无法发送用户的实时计费请求和停止计费请求，且停止计费报文不会被缓存到本地，这将造成对用户计费的不准确。

【举例】

# 在RADIUS方案radius1中，配置主计费服务器的IP地址为10.110.1.2，使用UDP端口1813提供RADIUS计费服务，计费报文的共享密钥为明文123456TESTacct&!。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!

【相关命令】

· display radius scheme

· key (RADIUS scheme view)

· secondary accounting (RADIUS scheme view)

· server-load-sharing enable

· vpn-instance (RADIUS scheme view)

1.3.32 primary authentication (RADIUS scheme view)

primary authentication命令用来配置主RADIUS认证服务器。

undo primary authentication命令用来恢复缺省情况。

【命令】

primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *

undo primary authentication

【缺省情况】

未配置RADIUS主认证服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：主RADIUS认证服务器的IPv4地址。

ipv6 ipv6-address：主RADIUS认证服务器的IPv6地址。

port-number：主RADIUS认证服务器的UDP端口号，取值范围为1～65535，缺省值为1812。此端口号必须与服务器提供认证服务的端口号保持一致。

key：与主RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

test-profile profile-name：RADIUS服务器探测模板名称，为1～31个字符的字符串，区分大小写。

vpn-instance vpn-instance-name：主RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主RADIUS认证服务器位于公网中。

weight weight-value：RADIUS服务器负载分担的权重。weight-value表示权重值，取值范围为0～100，缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后，该参数才能生效，且权重值越大的服务器可以处理的认证请求报文越多。

【使用指导】

配置的主认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主认证服务器和从认证服务器的IP地址、端口号和VPN参数不能完全相同。

设备与主认证服务器通信时优先使用本命令设置的共享密钥，如果本命令中未设置，则使用key authenticaiton命令设置的共享密钥。

RADIUS认证服务器引用了存在的服务器探测模板后，将会触发对该服务器的探测功能。

若服务器位于MPLS VPN私网中，为保证RADIUS报文被发送到指定的私网服务器，必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。

当RADIUS服务器负载分担功能处于关闭状态时，如果在认证过程中修改或删除了正在使用的主认证服务器配置，则设备在与当前服务器通信超时后，将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信；当RADIUS服务器负载分担功能处于开启状态时，如果在认证过程中修改或删除了正在使用的认证服务器配置，则设备在与当前服务器通信超时后，将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信。

【举例】

# 在RADIUS方案radius1中，配置主认证服务器的IP地址为10.110.1.1，使用UDP端口1812提供RADIUS认证/授权服务，认证报文的共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!

【相关命令】

· display radius scheme

· key (RADIUS scheme view)

· radius-server test-profile

· secondary authentication (RADIUS scheme view)

· server-load-sharing enable

· vpn-instance (RADIUS scheme view)

1.3.33 radius attribute extended

radius attribute extended命令用来定义RADIUS扩展属性。

undo radius attribute extended命令用来删除定义的RADIUS扩展属性。

【命令】

radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }

undo radius attribute extended [ attribute-name ]

【缺省情况】

不存在自定义RADIUS扩展属性。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

attribute-name：RADIUS属性名称，为1～63个字符的字符串，不区分大小写。该名称不能与系统已支持的（包括标准的以及自定义的）RADIUS属性名称相同。

code attribute-code：RADIUS属性在RADIUS属性集里的序号，取值范围为1～255。

type：属性内容的数据类型，包括以下取值：

· binary：二进制类型。

· date：时间类型。

· integer：整数类型。

· interface-id：接口ID类型。

· ip：IPv4地址类型。

· ipv6：IPv6地址类型。

· ipv6-prefix：IPv6地址前缀类型。

· octets：八进制类型。

· string：字符串类型。

【使用指导】

当系统需要支持其他厂商的私有RADIUS属性时，可以通过radius attribute extended命令为其定义为一个扩展属性，并通过attribute convert命令将其映射到系统可以识别的一个已知属性。这样，当RADIUS服务器发送给设备的RADIUS报文中携带了此类不可识别的私有属性时，设备将根据已定义的属性转换规则将其转换为可处理的属性。同理，设备在发送RADIUS报文时也可以将自己可识别的属性转换为服务器能识别的属性。

每一个RADIUS属性有唯一的属性名称，且该属性的名称、设备厂商标识以及序号的组合必须在设备上唯一。

执行undo radius attribute extended命令时，如果不指定属性名称，则表示删除所有已定义RADIUS扩展属性。

【举例】

# 配置一个RADIUS扩展属性，名称为Owner-Password，Vendor ID为122，属性序号为80，类型为字符串。

<Sysname> system-view

[Sysname] radius attribute extended Owner-Password vendor 122 code 80 type string

【相关命令】

· attribute convert

· attribute reject

· attribute translate

1.3.34 radius attribute-test-group

radius attribute-test-group命令用来创建RADIUS属性测试组，并进入RADIUS属性测试组视图。如果指定的RADIUS属性测试组视图已经存在，则直接进入RADIUS属性测试组视图。

undo radius attribute-test-group命令用来删除指定的RADIUS属性测试组。

【命令】

radius attribute-test-group attr-test-group-name

undo radius attribute-test-group attr-test-group-name

【缺省情况】

不存在RADIUS属性测试组。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

attr-test-group-name：测试组名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

RADIUS属性测试组用于配置向RADIUS服务器发送的认证/计费请求报文中需要携带的RADIUS属性的集合。

系统支持配置多个RADIUS属性测试组。

【举例】

# 创建名称为t1的RADIUS属性测试组，并进入该视图。

<Sysname> system-view

[Sysname] radius attribute-test-group t1

[Sysname-radius-attr-test-grp-t1]

【相关命令】

· exclude

· include

· test-aaa

1.3.35 radius authentication-request first

radius authentication-request first命令用来开启RADIUS认证请求优先处理功能。

undo radius authentication-request first命令用来关闭RADIUS认证请求优先处理功能。

【命令】

radius authentication-request first

undo radius authentication-request first

【缺省情况】

RADIUS认证请求优先处理功能处于关闭状态，设备依次处理接入模块发起的所有RADIUS请求。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

接入模块发起的RADIUS请求包括RADIUS认证请求、RADIUS计费开始请求、RADIUS计费更新请求和RADIUS计费结束请求。缺省情况下，设备依次处理各接入模块发起的所有类型的RADIUS请求。此时，如果有大量用户下线后立即再次上线的情况发生，则会由于设备首先处理较早的停止计费请求，而导致处理后续的认证请求时，接入模块的认证请求已经超时。认证请求超时后，用户认证失败。为了解决这个问题，建议在有大量用户频繁上下线的组网环境中开启本功能，使得设备优先处理RADIUS认证请求，从而保证用户可以正常上线。

需要注意的是，当RADIUS服务器上以用户名标识用户，并且不允许相同用户名的用户重复认证的情况下，不建议开启此功能，否则可能会导致用户下线后再次认证失败。

当设备上有用户在线时，不建议修改此配置。

【举例】

# 开启RADIUS认证请求优先处理功能。

<Sysname> system-view

[Sysname] radius authentication-request first

1.3.36 radius dscp

radius dscp命令用来配置RADIUS协议报文的DSCP优先级。

undo radius dscp命令用来恢复缺省情况。

【命令】

radius [ ipv6 ] dscp dscp-value

undo radius [ ipv6 ] dscp

【缺省情况】

RADIUS报文的DSCP优先级为0。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv6：表示设置IPv6 RADIUS报文。若不指定该参数，则表示设置IPv4 RADIUS报文。

dscp-value：RADIUS报文的DSCP优先级，取值范围为0～63。取值越大，优先级越高。

【使用指导】

DSCP携带在IP报文中的ToS字段，用来体现报文自身的优先等级，决定报文传输的优先程度。通过本命令可以指定设备发送的RADIUS报文携带的DSCP优先级的取值。

【举例】

# 配置IPv4 RADIUS报文的DSCP优先级为10。

<Sysname> system-view

[Sysname] radius dscp 10

1.3.37 radius dynamic-author server

radius dynamic-author server命令用来开启RADIUS DAE服务，并进入RADIUS DAE服务器视图。

undo radius dynamic-author server命令用来关闭RADIUS DAE服务。

【命令】

radius dynamic-author server

undo radius dynamic-author server

【缺省情况】

RADIUS DAE服务处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启RADIUS DAE服务后，设备将会监听指定的RADIUS DAE客户端发送的DAE请求消息，然后根据请求消息进行用户授权信息的修改、断开用户连接请求或关闭/重启用户接入端口。

【举例】

# 开启RADIUS DAE服务，并进入RADIUS DAE服务器视图。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server]

【相关命令】

· client

· port

1.3.38 radius nas-ip

radius nas-ip命令用来设置RADIUS报文中携带的NAS-IP地址。

undo radius nas-ip命令用来删除指定的NAS-IP地址。

【命令】

radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

undo radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未设置RADIUS报文中携带的NAS-IP地址，设备将以发送RADIUS报文的接口的主IPv4地址或IPv6地址作为NAS-IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：指定的IPv4 NAS-IP地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定的IPv6 NAS-IP地址，必须是单播地址，不能为环回地址与本地链路地址。

vpn-instance vpn-instance-name：指定私网NAS-IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。若不指定该参数，则表示配置的是公网NAS-IP地址。

【使用指导】

接口视图、RADIUS方案视图和系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址，具体情况如下：

· 接口视图下配置的NAS-IP地址（通过aaa nas-ip命令）只对在本接口上线的用户有效。

· RADIUS方案视图下配置的NAS-IP地址（通过nas-ip命令）只对本RADIUS方案有效。

· 系统视图下的配置的NAS-IP地址（通过radius nas-ip命令）对所有RADIUS方案有效。

· 以上各视图下的配置优先级从高到底依次为：接口视图->RADIUS方案视图->系统视图。

系统视图下最多允许指定16个NAS-IP地址。其中，最多包括一个IPv4公网NAS-IP地址和一个IPv6公网NAS-IP地址，其余为私网NAS-IP地址。对于同一个VPN，系统视图下最多允许指定一个IPv4私网NAS-IP地址和一个IPv6私网NAS-IP地址。

【举例】

# 设置设备发送RADIUS报文使用的IPv4 NAS-IP地址为129.10.10.1。

<Sysname> system-view

[Sysname] radius nas-ip 129.10.10.1

【相关命令】

· aaa nas-ip

· nas-ip (RADIUS scheme view)

1.3.39 radius offline-reason-convert user-tye ppp

radius offline-reason-convert user-type ppp命令用来开启PPP用户下线原因转换功能。

undo radius offline-reason-convert user-type ppp命令用来关闭PPP用户下线原因转换功能。

【命令】

radius offline-reason-convert user-type ppp

undo radius offline-reason-convert user-type ppp

【缺省情况】

PPP用户下线原因转换功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后，握手失败导致的PPP用户下线原因（Lost Carrier）将被转换为用户请求下线原因（User Request）上报给RADIUS服务器。请按照RADIUS服务器对用户下线原因的具体定义和要求，慎重选择是否开启本功能。

需要注意的是，本功能仅用于转换携带在RADIUS报文中上报给服务器的下线原因，不改变设备上通过其它途径显示的此类错误原因。

【举例】

# 开启PPP用户下线原因转换功能。

<Sysname> system-view

[sysname] radius offline-reason-conver user-type ppp

1.3.40 radius scheme

radius scheme命令用来创建RADIUS方案，并进入RADIUS方案视图。如果指定的RADIUS方案已经存在，则直接进入RADIUS方案视图。

undo radius scheme命令用来删除指定的RADIUS方案。

【命令】

radius scheme radius-scheme-name

undo radius scheme radius-scheme-name

【缺省情况】

不存在RADIUS方案。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

radius-scheme-name：RADIUS方案的名称，为1～32个字符的字符串，不区分大小写。

【使用指导】

一个RADIUS方案可以同时被多个ISP域引用。

系统最多支持配置16个RADIUS方案。

【举例】

# 创建名为radius1的RADIUS方案并进入其视图。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1]

【相关命令】

· display radius scheme

1.3.41 radius session-control client

radius session-control client命令用来指定session control客户端。

undo radius session-control client命令用来删除指定的session control客户端。

【命令】

radius session-control client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo radius session-control client { all | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

【缺省情况】

未指定session control客户端。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address：session control客户端的IPv4地址。

ipv6 ipv6-address：session control客户端的IPv6地址。

key：与session control客户端交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vpn-instance vpn-instance-name：session control客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定本参数，则表示session control客户端属于公网。

all：表示所有session control客户端。

【使用指导】

设备和H3C的iMC RADIUS服务器配合使用时，将作为session control服务器端与其交互，因此需要指定session control客户端来验证收到的session control报文的合法性。当设备收到服务器发送的session control报文时，直接根据报文的源IP地址、VPN属性与已有的session control客户端配置进行匹配，并使用匹配到的客户端共享密钥对报文进行验证。如果报文匹配失败或设备上未配置session control客户端，则使用已有的RADIUS方案配置进行匹配，并使用匹配到的认证服务器的共享密钥对报文进行验证。

指定的session control客户端仅在RADIUS session control功能处于开启状态时生效。

配置的session control客户端参数必须与服务器的配置保持一致。

系统支持指定多个session control客户端。

【举例】

# 指定一个session control客户端IP地址为10.110.1.2，共享密钥为明文12345。

<Sysname> system-view

[Sysname] radius session-control client ip 10.110.1.2 key simple 12345

【相关命令】

· radius session-control enable

1.3.42 radius session-control enable

radius session-control enable命令用来开启RADIUS session control功能。

undo radius session-control enable命令用来关闭RADIUS session control功能。

【命令】

radius session-control enable

undo radius session-control enable

【缺省情况】

RADIUS session control功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

H3C iMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。开启RADIUS session control功能后，设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。

该功能仅能和H3C iMC的RADIUS服务器配合使用。

【举例】

# 开启RADIUS session control功能。

<Sysname> system-view

[Sysname] radius session-control enable

1.3.43 radius source-ip

radius source-ip命令用来设置设备发送RADIUS报文使用的源IP地址。

undo radius source-ip命令用来删除指定的发送RADIUS报文使用的源IP地址。

【命令】

radius source-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

undo radius source-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定发送RADIUS报文使用的源IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：指定的源IPv4地址，为本机的地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定的源IPv6地址，为本机的地址，必须是单播地址，不能为环回地址与本地链路地址。

vpn-instance vpn-instance-name：指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。若不指定该参数，则表示配置的是公网源地址。

【使用指导】

RADIUS服务器上通过IP地址来标识接入设备，并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证或计费请求。为保证RADIUS报文可被服务器正常接收并处理，接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。

设备按照以下顺序选择发送RADIUS报文实际使用的源IP地址：

· RADIUS方案视图下配置的源IP地址（通过source-ip命令）。

· 系统视图下的配置的源IP地址（通过radius source-ip命令）。

· RADIUS方案视图下配置的NAS-IP地址（通过nas-ip命令）。

· 系统视图下的配置的源NAS-IP地址（通过radius nas-ip命令）。

· 发送RADIUS报文的出接口的IP地址。

系统视图下的配置的源IP地址对所有RADIUS方案有效。

设备支持MPLS L3VPN组网时，系统视图下最多允许指定16个源地址。其中，最多包括一个IPv4公网源地址和一个IPv6公网源地址，其余为私网源地址。对于同一个VPN，系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址。

设备不支持MPLS L3VPN组网时，系统视图下最多允许指定一个IPv4源地址和一个IPv6源地址.

【举例】

# 设置设备发送RADIUS报文使用的源IPv4地址为129.10.10.1。

<Sysname> system-view

[Sysname] radius source-ip 129.10.10.1

【相关命令】

· nas-ip (RADIUS scheme view)

· radius nas-ip

· source-ip (RADIUS scheme view)

1.3.44 radius-server test-profile

radius-server test-profile命令用来配置RADIUS服务器探测模板。

undo radius-server test-profile命令用来删除指定的RADIUS服务器探测模板。

【命令】

radius-server test-profile profile-name username name [ interval interval ]

undo radius-server test-profile profile-name

【缺省情况】

不存在RADIUS服务器探测模板。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

profile-name：探测模板名称，为1～31个字符的字符串，区分大小写。

username name：探测报文中的用户名，为1～253个字符的字符串，区分大小写。

interval interval：发送探测报文的周期，取值范围为1～3600，单位为分钟，缺省值为60。

【使用指导】

系统支持配置多个RADIUS服务器探测模板。

RADIUS方案视图下的RADIUS服务器配置成功引用了某探测模板后，若被引用的探测模板不存在，则暂不启动探测功能。之后，当该探测模板被成功配置时，针对该服务器的探测过程将会立即开始。

删除一个RADIUS服务器探测模板时，引用该探测模板的所有RADIUS方案中的RADIUS服务器的探测功能也会被关闭。

【举例】

# 配置RADIUS服务器探测模板abc，探测报文中携带的用户名为admin，探测报文的发送间隔为10分钟。

<Sysname> system-view

[Sysname] radius-server test-profile abc username admin interval 10

【相关命令】

· primary authentication (RADIUS scheme view)

· secondary authentication (RADIUS scheme view)

1.3.45 reset radius server-load statistics

reset radius server-load statistics命令用来清除所有RADIUS服务器的历史负载统计信息。

【命令】

reset radius server-load statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

该命令只会清除所有RADIUS认证/计费服务器的历史负载统计数据，不会清除前5秒钟负载统计数据。

【举例】

# 清除所有RADIUS服务器上的历史负载统计信息。

<Sysname> reset radius server-load statistics

【相关命令】

· display radius server-load statistics

1.3.46 reset radius statistics

reset radius statistics命令用来清除RADIUS报文的统计信息。

【命令】

reset radius statistics [ server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-number ] { accounting | authentication } ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address：指定RADIUS服务器的IPv4地址。

ipv6 ipv6-address：指定RADIUS服务器的IPv6地址。

vpn-instance vpn-instance-name：指定RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主RADIUS计费服务器位于公网中。

port port-number：指定RADIUS服务器的UDP端口号，取值范围为1～65535，对于认证报文，缺省值为1812，对于计费报文，缺省值为1813。

accounting：表示RADIUS计费报文统计信息。

authentication：表示RADIUS认证报文统计信息。

【使用指导】

可通过本命令清除设备和RADIUS服务器之间交互的报文统计信息，包括RADIUS认证报文、RADIUS计费报文、DAE报文和Session Control报文的统计信息。

若不指定任何参数，则表示清除设备和所有RADIUS服务器交互的所有RADIUS报文统计信息。

当需要精确了解某段时间内指定的RADIUS报文统计信息时，可以先使用reset radius statistics命令清除该统计数，然后再使用display radius statistics命令精确查看当前时间段的RADIUS报文统计信息。

需要注意的是，清除设备与某个RADIUS服务器交互的RADIUS报文统计信息时，通过display radius statistics命令查看到的RADIUS报文总体统计计数并不会发生改变。

【举例】

# 清除所有RADIUS报文统计信息。

<Sysname> reset radius statistics

# 清除设备与IP地址为1.1.1.1、端口号为1813的RADIUS服务器之间交互的计费报文统计信息。

<Sysname> reset radius statistics server ip 1.1.1.1 port 1813 accounting

【相关命令】

· display radius statistics

1.3.47 reset stop-accounting-buffer (for RADIUS)

reset stop-accounting-buffer命令用来清除缓存的RADIUS停止计费请求报文。

【命令】

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

radius-scheme radius-scheme-name：表示指定RADIUS方案的停止计费响应报文。其中，radius-scheme-name为RAIUDS方案名，为1～32个字符的字符串，不区分大小写。

session-id session-id：表示指定会话的停止计费响应报文。其中，session-id表示会话ID，为1～64个字符的字符串，不包含字母。会话ID用于唯一标识当前的在线用户。

time-range start-time end-time：表示指定时间段内发送且被缓存的停止计费请求报文。其中，start-time为请求时间段的起始时间；end-time为请求时间段的结束时间，格式为hh:mm:ss-mm/dd/yyyy（时:分:秒-月/日/年）或hh:mm:ss-yyyy/mm/dd（时:分:秒-年/月/日）。

user-name user-name：表示指定用户名的停止计费响应报文。其中，user-name表示用户名，为1～255个字符的字符串，区分大小写。输入的用户名是否携带ISP域名，必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。

【举例】

# 清除缓存的用户user0001@test的RADIUS停止计费请求报文。

<Sysname> reset stop-accounting-buffer user-name user0001@test

# 清除从2015年8月31日0点0分0秒到2015年8月31日23点59分59秒期间内缓存的停止计费请求报文。

<Sysname> reset stop-accounting-buffer time-range 00:00:00-08/31/2015 23:59:59-08/31/2015

【相关命令】

· display stop-accounting-buffer (for RADIUS)

· stop-accounting-buffer enable (RADIUS scheme view)

1.3.48 response-pending-limit

response-pending-limit命令用来配置发送给RADIUS服务器且未收到响应的请求报文的最大数目。

undo response-pending-limit命令用来取消配置的指定类型请求报文的最大数目。

【命令】

response-pending-limit { accounting | authentication } max-number

undo response-pending-limit { accounting | authentication }

【缺省情况】

未限制发送给RADIUS服务器且未收到响应的请求报文的最大数目。

【视图】

RADIUS方案视图

【参数】

accounting：指定未收到计费服务器响应的请求报文的最大数目。

authentication：指定未收到认证服务器响应的请求报文的最大数目。

max-number：请求报文的最大值，取值范围为1～255。

【缺省用户角色】

network-admin

【使用指导】

如果RADIUS服务器处理能力有限，不能并发处理过多的RADIUS请求报文，则可以通过本配置控制设备发送给RADIUS服务器的请求报文的速率。系统中存在两类Pending报文计数器，分别服务于RADIUS认证服务器和计费服务器，用于统计已发送给RADIUS服务器但还未收到响应的请求报文数，其最大值由本配置决定。在一个RADIUS方案下指定了认证/计费Pending报文计数器的最大值后，针对该方案下的每一个RADIUS认证/计费服务器，设备均会在向其发送首个认证/计费请求报文后启动一个Pending报文计数器。Pending报文计数器的具体工作机制如下：

(1) 设备向RADIUS服务器每发送一个请求报文后，都会将对应的Pending报文计数器加一，且在每收到一个响应报文或者该请求响应超时后，又将该Pending报文计数器减一。

(2) 当该计数器值达到最大值时，设备停止向对应的服务器发送请求报文，并将后续准备发送的请求报文缓存起来。

(3) 等到该计数器值低于最大值后，设备再按照缓存的先后顺序依次发送那些缓存的请求报文。当前可发送的请求报文数，取决于计数器值与最大值的差值。

删除本配置后，将不再限制发送给RADIUS服务器且未收到响应的请求报文的最大数目。

设备仅支持对lan-access、PPP、IPoE、Portal类型的接入用户请求速率进行控制。这些类型的用户数据均保存在用户接入的单板上，因此配置的速率基于单板生效。

【举例】

# 在RADIUS方案radius1中，配置发送给RADIUS认证服务器且未收到响应的请求报文的最大数为100。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] response-pending-limit authentication 100

【相关命令】

· display radius scheme

1.3.49 retry

retry命令用来设置发送RADIUS报文的最大尝试次数。

undo retry命令用来恢复缺省情况。

【命令】

retry retries

undo retry

【缺省情况】

发送RADIUS报文的最大尝试次数为3次。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

retries：发送RAIUDS报文的最大尝试次数，取值范围为1～20。

【使用指导】

由于RADIUS协议采用UDP报文来承载数据，因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内（由timer response-timeout命令配置）没有收到RADIUS服务器的响应，则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数已达到最大传送次数而RADIUS服务器仍旧没有响应，则设备将认为本次请求失败。

需要注意的是：

· 发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数，三者的乘积不能超过接入模块定义的用户认证超时时间，否则在RADIUS认证过程完成之前用户就有可能被强制下线。

· 设备在按照配置顺序尝试与下一个RADIUS服务器通信之前，会首先判断当前累计尝试持续时间是否达到或超过300秒，如果超过或达到300秒，将不再向下一个RADIUS服务器发送RADIUS请求报文，即认为该RADIUS请求发送失败。因此，为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到，建议基于配置的RADIUS服务器总数，合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间。

【举例】

# 在RADIUS方案radius1中，设置发送RAIUDS报文的最大尝试次数为5次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry 5

【相关命令】

· radius scheme

· timer response-timeout (RADIUS scheme view)

1.3.50 retry realtime-accounting

retry realtime-accounting命令用来设置允许发起实时计费请求的最大尝试次数。

undo retry realtime-accounting命令用来恢复缺省情况。

【命令】

retry realtime-accounting retries

undo retry realtime-accounting

【缺省情况】

设备允许发起实时计费请求的最大尝试次数为5。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

retries：允许发起实时计费请求的最大尝试次数，取值范围为1～255。

【使用指导】

RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文，它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性，有必要在不可预见的故障条件下，尽量保持设备端与RADIUS服务器同步切断用户连接。设备提供对实时计费请求连续无响应次数限制的设置，保证设备尽可能得在RADIUS服务器的连接超时时长内向RADIUS服务器尝试发出实时计费请求。如果设备没有收到响应的次数超过了设定的限度，才会切断用户连接。

假设RADIUS服务器的应答超时时长（timer response-timeout命令设置）为3秒，发送RADIUS报文的最大尝试次数（retry命令设置）为3，设备的实时计费间隔（timer realtime-accounting命令设置）为12分钟，设备允许实时计费无响应的最大次数为5次（retry realtime-accounting命令设置），则其含义为：设备每隔12分钟发起一次计费请求，如果3秒钟得不到回应就重新发起一次请求，如果3次发送都没有得到回应就认为该次实时计费失败，然后每隔12分钟再发送一次，5次均失败以后，设备将切断用户连接。

【举例】

# 在RADIUS方案radius1中，设置允许发起实时计费请求的最大尝试次数为10。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry realtime-accounting 10

【相关命令】

· retry

· timer realtime-accounting (RADIUS scheme view)

· timer response-timeout (RADIUS scheme view)

1.3.51 retry stop-accounting (RADIUS scheme view)

retry stop-accounting命令用来设置发起RADIUS停止计费请求的最大尝试次数。

undo retry stop-accounting命令用来恢复缺省情况。

【命令】

retry stop-accounting retries

undo retry stop-accounting

【缺省情况】

发起RADIUS停止计费请求的最大尝试次数为500。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

retries：允许停止计费请求无响应的最大次数，取值范围为10～65535。

【使用指导】

设备通过发起RADIUS停止计费请求的最大尝试次数与其它相关参数一起控制停止计费请求报文的发送。假设存在如下配置：

· RADIUS服务器的应答超时时长（由timer response-timeout命令设置）为3秒；

· 发送RADIUS报文的最大尝试次数（由retry命令设置）为5；

· 开启了对无响应的RADIUS停止计费请求报文的缓存功能；

· 设备发起停止计费请求的最大尝试次数为20（由retry stop-accounting命令设置）。

则，如果设备发送停止计费请求报文后的3秒内得不到服务器响应就重新发送该报文。如果设备发送5次之后仍然没有得到响应，会将该报文缓存在本机上，然后再发起一轮停止计费请求。20次请求尝试均失败以后，设备将缓存的报文丢弃。

【举例】

# 在RADIUS方案radius1中，设置发起RADIUS停止计费请求的最大尝试次数为1000。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry stop-accounting 1000

【相关命令】

· display stop-accounting-buffer (for RADIUS)

· retry

· timer response-timeout (RADIUS scheme view)

1.3.52 secondary accounting (RADIUS scheme view)

secondary accounting命令用来配置从RADIUS计费服务器。

undo secondary accounting命令用来删除指定的从RADIUS计费服务器。

【命令】

secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *

undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从RADIUS计费服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：从RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address：从RADIUS计费服务器的IPv6地址。

port-number：从RADIUS计费服务器的UDP端口号，取值范围为1～65535，缺省值为1813。

key：与从RADIUS计费服务器交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vpn-instance vpn-instance-name：从RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从RADIUS计费服务器位于公网中。

【使用指导】

配置的从计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。

每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

在同一个方案中指定的主计费服务器和从计费服务器的IP地址、端口号和VPN参数不能完全相同，并且各从计费服务器的IP地址、端口号和VPN参数也不能完全相同。

设备与从计费服务器通信时优先使用本命令设置的共享密钥，如果此处未设置，则使用命令key accounting命令设置的共享密钥。

当RADIUS服务器负载分担功能处于关闭状态时，如果在计费开始请求报文发送过程中删除了正在使用的从服务器配置，则设备在与当前服务器通信超时后，将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信；在RADIUS服务器负载分担功能处于开启状态时，设备将仅与发起计费开始请求的服务器通信。

如果在线用户正在使用的计费服务器被删除，则设备将无法发送用户的实时计费请求和停止计费请求，且停止计费报文不会被缓存到本地。

【举例】

# 在RADIUS方案radius1中，配置从计费服务器的IP地址为10.110.1.1，使用UDP端口1813提供RADIUS计费服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813

# 在RADIUS方案radius2中，配置两个从计费服务器，IP地址分别为10.110.1.1、10.110.1.2，且均使用UDP端口1813提供RADIUS计费服务。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813

[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813

【相关命令】

· display radius scheme

· key (RADIUS scheme view)

· primary accounting

· vpn-instance (RADIUS scheme view)

1.3.53 secondary authentication (RADIUS scheme view)

secondary authentication命令用来配置从RADIUS认证服务器。

undo secondary authentication命令用来删除指定的从RADIUS认证服务器。

【命令】

secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *

undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从RADIUS认证服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：从RADIUS认证服务器的IPv4地址。

ipv6 ipv6-address：从RADIUS认证服务器的IPv6地址。

port-number：从RADIUS认证服务器的UDP端口号，取值范围为1～65535，缺省值为1812。

key：与从RADIUS认证服务器交互的认证报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

test-profile profile-name：RADIUS服务器探测模板名称，为1～31个字符的字符串，区分大小写。

vpn-instance vpn-instance-name：从RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从RADIUS认证服务器位于公网中。

【使用指导】

配置的从认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。

每个RADIUS方案中最多支持配置16个从RADIUS认证服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

RADIUS认证服务器引用了存在的服务器探测模板后，将会触发对该服务器的探测功能。

在同一个方案中指定的主认证服务器和从认证服务器的IP地址、端口号和VPN参数不能完全相同，并且各从认证服务器的IP地址、端口号和VPN参数也不能完全相同。

设备与从认证服务器通信时优先使用本命令设置的共享密钥，如果此处未设置，则使用命令key authentication命令设置的共享密钥。

当RADIUS服务器负载分担功能处于关闭状态时，如果在认证过程中删除了正在使用的从服务器配置，则设备在与当前服务器通信超时后，将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信；在RADIUS服务器负载分担功能处于开启状态时，如果在认证过程中修改或删除了正在使用的认证服务器配置，则设备在与当前服务器通信超时后，将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信。

【举例】

# 在RADIUS方案radius1中，配置从认证服务器的IP地址为10.110.1.2，使用UDP端口1812提供RADIUS认证/授权服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812

# 在RADIUS方案radius2中，配置两个从认证服务器，IP地址分别为10.110.1.1、10.110.1.2，且均使用UDP端口1812提供RADIUS认证/授权服务。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812

[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812

【相关命令】

· display radius scheme

· key (RADIUS scheme view)

· primary authentication (RADIUS scheme view)

· radius-server test-profile

· vpn-instance (RADIUS scheme view)

1.3.54 server-block-action (RADIUS scheme view)

server-block-action命令用来设置RADIUS服务器都处于block状态后的请求动作。

undo server-block-action命令用来恢复缺省情况。

【命令】

server-block-action { attempt | skip }

undo server-block-action

【缺省情况】

所有RADIUS服务器都处于block状态后的请求动作为attempt。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

attempt：Attempt方式，表示该方案下的所有服务器都处于block状态后，设备收到用户的认证/计费请求时，仍然会尝试向一个认证/计费服务器（优先选择主服务器，若未配置则选择配置的第一个从服务器）发送retry retries次认证/计费请求，如果在timer response-timeout seconds时间内都没收到该服务器的响应报文，才会切换到为该用户配置的下一个认证/计费方法去处理这个请求。

skip：Skip方式，表示该方案下的所有服务器都处于block状态后，设备收到用户的认证/计费请求时，会跳过当前方案中的所有服务器，直接使用为该用户配置的下一个认证/计费方法去处理这个请求。

【使用指导】

Attempt方式下，由于该方案下的所有RADIUS服务器都处于block状态后，设备仍会首先尝试与高优先级的服务器建立连接，与该服务器建立连接失败后，才会切换到配置的下一个认证/计费方法，此方法保证了设备尽量优先使用第一个认证/计费方法处理用户请求，但同时会增加请求的响应时间。因此，对于对AAA响应时间要求比较高的场合，建议选择Skip方式。

设备处理一个认证/计费请求的过程中，如果已经跳过了当前方案中的所有服务器，则后续就算该方案中有服务器状态切换回active，设备也不会再使用该方案来处理它。

【举例】

# 在RADIUS方案radius1中，设置RADIUS服务器都处于block状态后的动作为跳过当前方案中的所有服务器。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-block-action skip

【相关命令】

· display radius scheme

· retry

· timer response-timeout (RADIUS scheme view)

1.3.55 server-load-sharing enable

server-load-sharing enable命令用来开启RADIUS服务器负载分担功能。

undo server-load-sharing enable命令用来关闭RADIUS服务器负载分担功能。

【命令】

server-load-sharing enable

undo server-load-sharing enable

【缺省情况】

RADIUS服务器负载分担功能处于关闭状态。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下，RADIUS服务器负载分担功能处于关闭状态，RADIUS服务器的调度采用主/从模式。

主/从模式下，设备优先选取状态为active的主服务器进行交互，若主服务器不可达则尝试与从服务器交互。设备尝试与从服务器交互时，按照从服务器的配置顺序依次选择，先配置的服务器将优先被选取。

在主/从模式下，设备选择服务器的逻辑比较单一。如果RADIUS方案中的主服务器或者某一配置顺序靠前的从服务器始终可达，则该服务器将独立承载该方案下所有用户的AAA业务。在大用户量下，这类服务器的负荷过重，将会影响处理用户上线的整体性能。

RADIUS方案中开启服务器负载分担功能后，设备将根据当前各服务器承载的用户负荷调度合适的服务器发送认证/计费请求。考虑到各服务器的性能可能存在差异，设备支持管理员配置服务器时为各个服务器指定适应其性能的权重值（由weight关键字指定），权重值较大的服务器具备较大的被选取可能性。设备在处理用户认证/计费请求时，将综合各个服务器的权重值及当前用户负荷情况，按比例进行用户负荷分配并选择要交互的服务器。

需要注意的是，负载分担模式下，某台计费服务器开始对某用户计费后，该用户后续计费请求报文均会发往同一计费服务器。如果该计费服务器不可达，则直接返回计费失败。

【举例】

# 在RADIUS方案radius1中，开启RADIUS服务器负载分担功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-load-sharing enable

【相关命令】

· display radius server-load statistics

· primary authentication (RADIUS scheme view)

· primary accounting (RADIUS scheme view)

· secondary authentication (RADIUS scheme view)

· secondary accounting (RADIUS scheme view)

· server-load-sharing mode

1.3.56 server-load-sharing mode

server-load-sharing mode命令用来配置RADIUS认证服务器的负载分担方式。

undo server-load-sharing mode命令用来恢复缺省情况。

【命令】

server-load-sharing mode { packet-based | session-based }

undo server-load-sharing mode

【缺省情况】

RADIUS认证服务器的负载分担方式为session-based。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

packet-based：表示认证基于报文进行负载分担。

session-based：表示认证基于会话进行负载分担。

【使用指导】

RADIUS服务器负载分担功能处于开启状态时，设备支持两种负载分担方式选择向该方案中的哪个认证服务器发送认证请求报文：

· 基于会话负载分担：根据各认证服务器当前承载的并发会话数，基于权重比例调度服务器。每当设备向某服务器发送一个认证请求报文后，该服务器承载的会话数增加一；若设备收到该服务器的认证响应报文，则会将它承载的会话数减去一。因此，该方式适用于并发用户数大且各服务器性能较为均衡的情况。

· 基于报文负载分担：根据各认证服务器已承载的请求报文数，基于权重比例调度服务器。每当设备向某服务器发送一个认证请求报文后，该服务器承载的请求报文数增加一；若设备重启，则所有服务器承载的请求报文数将被清零。这种方式可以满足希望用户认证报文均匀分配到各服务器上，避免某一个服务器一直处于工作状态的需求。

该命令只有在RADIUS服务器负载分担功能开启状态下有效，并且只用来控制认证负载分担的算法。

【举例】

# 在RADIUS方案radius1中，配置RADIUS认证服务器采用基于报文的负载分担方式。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-load-sharing mode packet-based

【相关命令】

· server-load-sharing enable

1.3.57 snmp-agent trap enable radius

snmp-agent trap enable radius命令用来开启RADIUS告警功能。

undo snmp-agent trap enable radius命令用来关闭指定的RADIUS告警功能。

【命令】

snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *

undo snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *

【缺省情况】

所有类型的RADIUS告警功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

accounting-server-down：表示RADIUS计费服务器可达状态变为down时发送告警信息。

accounting-server-up：表示RADIUS计费服务器可达状态变为up时发送告警信息。

authentication-error-threshold：表示认证失败次数超过阈值时发送告警信息。该阈值为认证失败次数占认证请求总数的百分比数值，目前仅能通过MIB方式配置，取值范围为1～100，缺省为30。

authentication-server-down：表示RADIUS认证服务器可达状态变为down时发送告警信息。

authentication-server-up：表示RADIUS认证服务器可达状态变为up时发送告警信息。

【使用指导】

不指定任何参数时，表示开启或关闭所有类型的RADIUS告警功能。

开启RADIUS服务器告警功能后，系统将会生成以下几种告警信息：

· RADIUS服务器不可达的告警：当NAS向RADIUS服务器发送计费或认证请求没有收到响应时，会重传请求，当重传次数达到最大传送次数时仍然没有收到响应时，则发送该告警信息。

· RADIUS服务器可达的告警：当timer quiet定时器设定的时间到达后，NAS将服务器的状态置为激活状态并发送该告警信息。

· 认证失败次数超过阈值的告警：当NAS发现认证失败次数与认证请求总数的百分比超过阈值时，会发送该告警信息。

【举例】

# 开启RADIUS计费服务器可达状态变为down时的告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable radius accounting-server-down

1.3.58 source-ip

source-ip命令用来设置设备发送RADIUS报文使用的源IP地址。

undo source-ip命令用来删除指定类型的发送RADIUS报文使用的源IP地址。

【命令】

source-ip { ipv4-address | ipv6 ipv6-address }

undo source-ip [ ipv6 ]

【缺省情况】

未指定设备发送RADIUS报文使用的源IP地址，使用系统视图下由命令radius source-ip指定的源IP地址。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：源IPv4地址，为本机地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：源IPv6地址，为本机地址，且必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

RADIUS服务器上通过IP地址来标识接入设备，并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证或计费请求。因此，为保证RADIUS报文可被服务器正常接收并处理，接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。

设备按照以下顺序选择发送RADIUS报文实际使用的源IP地址：

· RADIUS方案视图下配置的源IP地址（通过source-ip命令）。

· 系统视图下的配置的源IP地址（通过radius source-ip命令）。

· RADIUS方案视图下配置的NAS-IP地址（通过nas-ip命令）。

· 系统视图下的配置的源NAS-IP地址（通过radius nas-ip命令）。

· 发送RADIUS报文的出接口的IP地址。

一个RADIUS方案视图下，最多允许指定一个IPv4源地址和一个IPv6源地址。

如果undo source-ip命令中不指定ipv6参数，则表示删除配置的发送RADIUS报文使用的源IPv4地址。

【举例】

#在RADIUS方案radius1中，设置设备发送RADIUS报文使用的源IPv4地址为10.1.1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] source-ip 10.1.1.1

【相关命令】

· display radius scheme

· nas-ip (RADIUS scheme view)

· radius nas-ip

· radius source-ip

1.3.59 state primary

state primary命令用来设置主RADIUS服务器的状态。

【命令】

state primary { accounting | authentication } { active | block }

【缺省情况】

主RADIUS服务器状态为active。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

accounting：主RADIUS计费服务器。

authentication：主RADIUS认证服务器。

active：正常工作状态。

block：通信中断状态。

【使用指导】

当RADIUS服务器负载分担功能处于关闭状态时，每次用户发起认证或计费，如果主服务器状态为active，则设备都会首先尝试与主服务器进行通信，如果主服务器不可达，则将主服务器的状态置为block，同时启动主服务器的timer quiet定时器，然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器。在timer quiet定时器设定的时间到达之后，主服务器状态将由block恢复为active。若该定时器超时之前，通过本命令将主服务器的状态手工设置为block，则定时器超时之后主服务器状态不会自动恢复为active，除非通过本命令手工将其设置为active。

当RADIUS服务器负载分担功能处于开启状态时，若当前存在状态为active的认证/计费服务器，则设备仅根据当前各服务器承载的用户负荷来选择与之通信的服务器。

认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active，且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时，则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时，会关闭对该服务器的可达性探测功能。

【举例】

# 在RADIUS方案radius1中，设置主认证服务器的状态为block。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state primary authentication block

【相关命令】

· display radius scheme

· radius-server test-profile

· server-load-sharing enable

· state secondary

1.3.60 state secondary

state secondary命令用来设置从RADIUS服务器的状态。

【命令】

state secondary { accounting | authentication } [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block }

【缺省情况】

从RADIUS服务器状态为active。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

accounting：从RADIUS计费服务器。

authentication：从RADIUS认证服务器。

ipv4-address：从RADIUS服务器的IPv4地址。

ipv6 ipv6-address：从RADIUS服务器的IPv6地址。

port-number：从RADIUS服务器的UDP端口号，取值范围为1～65535，从RADIUS计费服务器的缺省UDP端口号为1813，从RADIUS认证服务器的缺省UDP端口号为1812。

vpn-instance vpn-instance-name：从RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称，为1～31个字符的字符串，区分大小写。

active：正常工作状态。

block：通信中断状态。

【使用指导】

如果不指定从服务器IP地址，那么本命令将会修改所有已配置的从认证服务器或从计费服务器的状态。

当RADIUS服务器负载分担功能处于关闭状态时，如果设备查找到的状态为active的从服务器不可达，则设备会将该从服务器的状态置为block，同时启动该服务器的timer quiet定时器，并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后，从服务器状态将由block恢复为active。若该定时器超时之前，通过本命令将从服务器的状态手工设置为block，则定时器超时之后从服务器状态不会自动恢复为active，除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达，则本次认证或计费失败。

【举例】

# 在RADIUS方案radius1中，设置从认证服务器的状态设置为block。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state secondary authentication block

【相关命令】

· display radius scheme

· radius-server test-profile

· server-load-sharing enable

· state primary

1.3.61 stop-accounting-buffer enable (RADIUS scheme view)

stop-accounting-buffer enable命令用来开启对无响应的RADIUS停止计费请求报文的缓存功能。

undo stop-accounting-buffer enable命令用来关闭对无响应的RADIUS停止计费请求报文的缓存功能。

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【缺省情况】

设备缓存未得到响应的RADIUS停止计费请求报文。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

设备在发送停止计费请求报文而RADIUS服务器没有响应时，会尝试重传该报文，最大尝试次数由retry命令设置。如果设备发送该RADIUS报文的最大尝试次数超过最大值后，仍然没有得到响应，则该功能处于开启状态的情况下设备会缓存该报文，然后再发起一次请求，若仍然未得到响应，则重复上述过程，一定次数（由retry stop-accounting命令设置）之后，设备将其丢弃。

如果RADIUS方案中的某计费服务器被删除，则设备将会丢弃相应的已缓存停止计费请求报文。

【举例】

# 开启对无响应的RADIUS停止计费请求报文的缓存功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] stop-accounting-buffer enable

【相关命令】

· display stop-accounting-buffer (for RADIUS)

· reset stop-accounting-buffer (for RADIUS)

1.3.62 stop-accounting-packet send-force

stop-accounting-packet send-force命令用来配置用户下线时设备强制发送RADIUS计费停止报文。

undo stop-accounting-packet send-force命令用来恢复缺省情况。

【命令】

stop-accounting-packet send-force

undo stop-accounting-packet send-force

【缺省情况】

用户下线时设备不会强制发送计费停止报文。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

通常，RADIUS服务器在收到用户的计费开始报文后才会生成用户表项，但有一些RADIUS服务器在用户认证成功后会立即生成用户表项。如果设备使用该类RADIUS服务器进行认证/授权/计费，则在用户认证后，因为一些原因（比如授权失败）并未发送计费开始报文，则在该用户下线时设备也不会发送RADIUS计费停止报文，就会导致RADIUS服务器上该用户表项不能被及时释放，形成服务器和设备上用户信息不一致的问题。为了解决这个问题，建议开启本功能。

开启本功能后，只要用户使用RADIUS服务器进行计费，且设备未向RADIUS服务器发送计费开始报文，或者设备未能收到计费开始响应报文，则在用户下线时设备会强制发送一个RADIUS计费停止报文给服务器，使得服务器收到此报文后及时释放用户表项。

本功能暂时不支持ITA业务场景。

【举例】

# 在RADIUS方案radius1中，配置用户下线时设备强制发送RADIUS计费停止报文。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] stop-accounting-packet send-force

【相关命令】

· display radius scheme

1.3.63 test-aaa

test-aaa命令用来发起一次AAA请求测试。

【命令】

test-aaa user user-name password password radius-scheme radius-scheme-name [ radius-server { ipv4-address | ipv6 ipv6-address } port-number [ vpn-instance vpn-instance-name ] ] [ chap | pap ] [ attribute-test-group attr-test-group-name ] [ trace ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

user user-name：待测试的用户名，为1～80个字符的字符串，区分大小写。用户名中可以携带域名，形式为“纯用户名@域名”，其中纯用户名区分大小写，域名不区分大小写。

password password：待测试用户的明文密码，为1～63个字符的字符串，区分大小写。

radius-scheme radius-scheme-name：RADIUS方案名称，为1～32个字符的字符串，不区分大小写。

radius-server：指定具体的RADIUS服务器。

ipv4-address：RADIUS服务器的IPv4地址。

ipv6 ipv6-address：RADIUS服务器的IPv6地址。

port-number：RADIUS服务器的UDP端口号，取值范围为1～65535。

vpn-instance vpn-instance-name：RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示待探测RADIUS服务器位于公网中。

chap：采用CHAP认证方式。该方式也是缺省认证方式。

pap：采用PAP认证方式。

attribute-test-group attr-test-group-name：RADIUS属性测试组的名称，为1～31个字符的字符串，不区分大小写。

trace：显示详细的RADIUS报文交互信息。若不指定该参数，则表示仅显示报文收发结果及最终的测试结果。

【使用指导】

本命令主要用于排查设备与AAA服务器交互时的故障原因，目前仅支持对RADIUS服务器的测试。当故障发生时，执行本命令发起一次RADIUS请求测试，通过查看打印出的认证/计费请求结果以及报文交互信息，有利于快速定位故障发生的关键环节，以及及时排查影响认证/计费结果的RADIUS属性。

可以在执行本命令时指定RADIUS属性测试组，指定的测试组中定义了RADIUS请求报文中要携带的属性。如果本命令中未指定RADIUS属性测试组或指定的RADIUS属性测试组不存在，则测试过程中发送的RADIUS请求报文中将会携带一些缺省属性，缺省属性的介绍请参见AAA配置手册。

由于测试期间不能保证设备与AAA服务器可以正常通信，因此不建议同时允许用户进行正常的上线、下线操作。

测试过程中，如果引用的RADIUS方案配置发生变化，则仅在下次测试中生效，并不影响本次探测。

仅允许在同一时间内存在一个测试过程，下一次测试只能在当前测试过程完成后执行。

【举例】

# 发起一次AAA请求测试，使用的测试用户名为user1，密码为123456，RADIUS方案名为test，同时打印详细的RADIUS报文交互信息。

<Sysname> test-aaa user user1 password 123456 radius-scheme test chap trace

Sent a RADIUS authentication request.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1812

Packet type : Authentication request

Packet length: 118 bytes

Packet ID : 0

Attribute list:

[User-Name(1)] [6] [user1]

[CHAP-Password(3)] [19] [******]

[NAS-IP-Address(4)] [6] [192.168.1.166]

[Service-Type(6)] [6] [2] [Framed]

[Framed-Protocol(7)] [6] [1] [PPP]

[NAS-Identifier(32)] [5] [Sysname]

[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]

[CHAP-Challenge(60)] [18] [******]

[NAS-Port-Type(61)] [6] [15] [Ethernet]

Received a RADIUS authentication response.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1812

Packet type : Access-Reject

Packet length: 20 bytes

Packet ID : 0

Reply-Message: "E63032: Incorrect password. You can retry 9 times."

Sent a RADIUS start-accounting request.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Start-accounting request

Packet length: 63 bytes

Packet ID : 1

Attribute list:

[User-Name(1)] [6] [user1]

[Acct-Status-Type(40)] [6] [1] [Start]

[NAS-IP-Address(4)] [6] [192.168.1.166]

[NAS-Identifier(32)] [5] [Sysname]

[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]

Received a RADIUS start-accounting response.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Start-accounting response

Packet length: 20 bytes

Packet ID : 1

Sent a RADIUS stop-accounting request.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Stop-accounting request

Packet length: 91 bytes

Packet ID : 1

Attribute list:

[User-Name(1)] [6] [user1]

[Acct-Status-Type(40)] [6] [2] [Stop]

[NAS-IP-Address(4)] [6] [192.168.1.166]

[NAS-Identifier(32)] [5] [Sysname]

[Acct-Delay-Time(41)] [6] [0]

[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]

[Acct-Terminate-Cause(49)] [6] [1] [User Request]

Received a RADIUS stop-accounting response.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Stop-accounting response

Packet length: 20 bytes

Packet ID : 1

Test result: Failed

# 发起一次AAA请求测试，使用的测试用户名为user1，密码为123456 ，RADIUS方案名为test，指定探测test下认证服务器192.168.1.110，且不打印详细的RADIUS报文交互信息。

<Sysname> test-aaa user user1 password 123456 radius-scheme test radius-server 192.168.1.110 1812

Sent a RADIUS authentication request.

Received a RADIUS authentication response.

Test result: Successful

表1-14 test-aaa命令显示信息描述表

字段	描述
Server IP	服务器的IP地址
Source IP	RADIUS报文源IP地址
VPN instance	RADIUS认证/计费服务器所在的VPN，服务器位于公网时，显示为N/A
Server port	RADIUS认证/计费服务器的UDP端口号
Packet type	RADIUS报文类型： · Authentication request：认证请求报文 · Access-Accept：认证接受报文 · Access-Reject：认证拒绝报文 · Start-accounting request：开始计费请求报文 · Start-accounting response：开始计费响应报文 · Stop-accounting request：停止计费请求报文 · Stop-accounting response：停止计费响应报文
Packet length	报文总长度，单位为字节
Packet ID	报文ID，用于匹配响应报文和对应的请求报文
[attribute-name (code)] [length] [value] [description]	RADIUS属性信息： · attribute-name：属性名称 · code：属性编号 · length：属性值的长度，单位为字节 · value：属性值 · description：特殊属性值的描述信息
Sent a RADIUS authentication request.	成功发送了一个认证请求报文
Failed to receive a RADIUS authentication response.	认证请求已超时，未收到应答
Received a RADIUS authentication response.	接收到一个认证响应报文
Sent a RADIUS start-accounting request.	成功发送了一个计费开始请求报文
Failed to receive a RADIUS start-accounting response.	计费开始请求已超时，未收到应答
Received a RADIUS start-accounting response.	接收到一个计费开始请求报文
Sent a RADIUS stop-accounting request.	成功发送了一个计费停止请求报文
Failed to receive a RADIUS stop-accounting response.	计费停止请求已超时，未收到应答
Received a RADIUS stop-accounting response.	接收到一个计费停止请求报文
Reply-Message:	RADIUS服务器拒绝此认证请求，并下发提示信息
The authentication server is not configured.	指定的RADIUS方案中未配置要探测的认证服务器
The accounting server is not configured.	指定的RADIUS方案中未配置要探测的计费服务器
Test result	测试结果： · Successful：当前用户的AAA测试成功 · Failed：当前用户的AAA测试失败（只要有一个请求报文测试失败，即为失败）

【相关命令】

· radius attribute-test-group

· radius scheme

1.3.64 threshold remanent-volume

threshold remanent-volume命令用来配置用户剩余流量阈值。

undo threshold remanent-volume命令用来恢复缺省情况。

【命令】

threshold remanent-volume threshold-value

undo threshold remanent-volume

【缺省情况】

用户剩余流量阈值为0。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

threshold-value：剩余流量阈值，取值范围为0～4294967295，单位由attribute remanent-volume unit命令决定。

【使用指导】

用户认证上线后，若RADIUS服务器分多次向用户授权下发流量配额，则每当用户可用流量达到指定的剩余流量阈值时，设备会立即向服务器为该用户申请新的流量配额。例如，RADIUS服务器上设置某用户可用的总流量为50M，且每次向用户下发的流量配额为10M，同时设备上配置的剩余流量阈值为2M，则当该用户剩余流量为2M时，设备会向RADIUS服务器发起实时计费请求来获取新的配额。之后，RADIUS服务器服务器再次向用户授权下发10M的配额，此过程循环进行，直到用户耗尽所有可用流量配额。

【举例】

# 在RADIUS方案radius1中，配置用户剩余流量阈值为2048兆字节。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] threshold remanent-volume 2048

[Sysname-radius-radius1] attribute remanent-volume unit mega-byte

【相关命令】

· attribute remanent-volume unit

· display radius scheme

1.3.65 timer quiet (RADIUS scheme view)

timer quiet命令用来设置服务器恢复激活状态的时间。

undo timer quiet命令用来恢复缺省情况。

【命令】

timer quiet minutes

undo timer quiet

【缺省情况】

服务器恢复激活状态的时间为5分钟。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

minutes：恢复激活状态的时间，取值范围为1～255，单位为分钟。

【使用指导】

建议合理设置服务器恢复激活状态的时间：

· 如果服务器恢复激活状态时间设置的过短，就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。

· 如果服务器恢复激活状态时间设置的过长，当服务器恢复可达后，设备不能及时与其进行通信，会降低对用户进行认证或计费的效率。

【举例】

# 在RADIUS方案radius1中，配置服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer quiet 10

【相关命令】

· display radius scheme

1.3.66 timer realtime-accounting (RADIUS scheme view)

timer realtime-accounting命令用来设置实时计费的时间间隔。

undo timer realtime-accounting命令用来恢复缺省情况。

【命令】

timer realtime-accounting interval [ second ]

undo timer realtime-accounting

【缺省情况】

实时计费的时间间隔为12分钟。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

interval：实时计费的时间间隔，取值范围为0～71582。

second：表示实时计费的时间间隔以秒为单位，缺省以分钟为单位。

【使用指导】

为了对用户实施实时计费，有必要设置实时计费的时间间隔。不同的取值的处理有所不同：

· 若实时计费间隔不为0，则每隔设定的时间，设备会向RADIUS服务器发送一次在线用户的计费信息。

· 若实时计费间隔设置为0，且服务器上配置了实时计费间隔，则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息；如果服务器上没有配置该值，则设备不向RADIUS服务器发送在线用户的计费信息。

实时计费间隔的取值小，计费准确性高，但对设备和RADIUS服务器的性能要求就高。

表1-15 实时计费间隔与用户量之间的推荐比例关系

用户数	实时计费间隔（分钟）
1～99	3
100～499	6
500～999	12
大于等于1000	大于等于15

不同情况下修改的实时计费间隔，对于已在线用户的生效情况有所不同：

· 将实时计费间隔从非0有效值改为0，或者从0修改为非0有效值后，已在线用户会依然采用原有取值，修改后的取值对其不生效。

· 将实时计费间隔从某非0有效值修改为其它非0有效值后，已在线用户将会采用修改后的取值。

对于未进行RADIUS认证和授权，仅进行RADIUS计费的用户，只能使用计费方案下设置的实时计费间隔，不会使用RADIUS服务器设置的实时计费间隔。

需要注意的是，无论实时计费间隔取值为多少，对于双栈用户，设备缺省会在用户申请到IPv4地址时为其发送一个计费开始报文，并在随后用户申请到IPv6地址/PD时再发送一个计费更新报文。

【举例】

# 在RADIUS方案radius1中，设置实时计费的时间间隔为51分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer realtime-accounting 51

【相关命令】

· retry realtime-accounting

1.3.67 timer response-timeout (RADIUS scheme view)

timer response-timeout命令用来设置RADIUS服务器响应超时时间。

undo timer response-timeout命令用来恢复缺省情况。

【命令】

timer response-timeout seconds

undo timer response-timeout

【缺省情况】

RADIUS服务器响应超时时间为3秒。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

seconds：RADIUS服务器响应超时时间，取值范围为1～10，单位为秒。

【使用指导】

如果在RADIUS请求报文传送出去一段时间后，设备还没有得到RADIUS服务器的响应，则有必要重传RADIUS请求报文，以保证用户尽可能地获得RADIUS服务，这段时间被称为RADIUS服务器响应超时时间，本命令用于调整这个时间。

需要注意的是：

【举例】

# 在RADIUS方案radius1中，设置服务器响应超时时间设置为5秒。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer response-timeout 5

【相关命令】

· display radius scheme

· retry

1.3.68 trust ip

trust ip命令用来配置免校验RADIUS DAE客户端的IP地址。

undo trust ip命令用来删除指定的免校验RADIUS DAE客户端的IP地址。

【命令】

trust ip ipv4-address [ vpn-instance vpn-instance-name ]

undo trust ip ipv4-address [ vpn-instance vpn-instance-name ]

【缺省情况】

未配置免校验RADIUS DAE客户端的IP地址。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：免校验的RADIUS DAE客户端IPv4地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

【使用指导】

在DAE代理组网环境中，作为DAE代理的设备收到DAE请求报文后，必须校验报文的合法性，校验合法的报文才会被转发给RADIUS DAE服务器。如果RADIUS DAE服务器信任DAE代理转发的DAE请求报文，则可以通过配置免校验DAE客户端的IP地址来决定不对哪些报文进行重复校验。当RADIUS DAE服务器收到DAE请求报文后，如果报文的源地址在配置的免校验DAE客户端的IP地址列表中，则不校验该报文，否则正常校验。

通过多次执行本命令可配置多个免校验的RADIUS DAE客户端的IP地址。

【举例】

# 配置免校验DAE客户端的IP地址10.110.1.2。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] trust ip 10.110.1.2

【相关命令】

· trust ipv6

1.3.69 trust ipv6

trust ipv6命令用来配置免校验RADIUS DAE客户端的IPv6地址。

undo trust ipv6命令用来删除指定的免校验RADIUS DAE客户端的IPv6地址。

【命令】

trust ipv6 ipv6-address [ vpn-instance vpn-instance-name ]

undo trust ipv6 ipv6-address [ vpn-instance vpn-instance-name ]

【缺省情况】

未配置免校验RADIUS DAE客户端的IPv6地址。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

ipv6-address：免校验的RADIUS DAE客户端IPv6地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

通过多次执行本命令可配置多个免校验的RADIUS DAE客户端的IPv6地址。

【举例】

# 配置免校验DAE客户端的IPv6地址10:110::1:2。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] trust ipv6 10:110::1:2

【相关命令】

· trust ip

1.3.70 user-name-format (RADIUS scheme view)

user-name-format命令用来设置发送给RADIUS服务器的用户名格式。

undo user-name-format命令用来恢复缺省情况。

【命令】

user-name-format { keep-original | with-domain | without-domain }

undo user-name-format

【缺省情况】

发送给RADIUS服务器的用户名携带ISP域名。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

keep-original：发送给RADIUS服务器的用户名与用户的输入保持一致。

with-domain：发送给RADIUS服务器的用户名携带ISP域名。

without-domain：发送给RADIUS服务器的用户名不携带ISP域名。

【使用指导】

接入用户通常以“userid@isp-name”的格式命名，“@”后面的部分为ISP域名，设备就是通过该域名来决定将用户归于哪个ISP域的。但是，有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名，在这种情况下，有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此，设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。

如果指定某个RADIUS方案不允许用户名中携带有ISP域名，那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案。否则，会出现虽然实际用户不同（在不同的ISP域中），但RADIUS服务器认为用户相同（因为传送到它的用户名相同）的错误。

【举例】

# 在RADIUS方案radius1中，设置发送给RADIUS服务器的用户名不得携带域名。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] user-name-format without-domain

【相关命令】

· display radius scheme

1.3.71 username-authorization apply

username-authorization apply命令用来配置接受RADIUS服务器下发的用户名。

undo username-authorization apply命令用来恢复缺省情况。

【命令】

username-authorization apply

undo username-authorization apply

【缺省情况】

不接受RADIUS服务器下发的用户名，而是采用用户认证时使用的用户名进行AAA处理。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

在某些运营商组网环境中，RADIUS服务器希望接入设备在用户认证成功后采用指定的用户名进行后续的AAA处理，该用户名与用户认证时采用的用户名不同。因此，需要设备端可以接受这种用户名，并且使用此用户名进行计费、用户信息的查询和显示等AAA处理。

配置了本功能后，如果RADIUS服务器发送给设备的认证应答报文中携带了User-Name属性，则设备会将此属性的内容告知给接入模块，且在后续的AAA处理过程中使用服务器下发的用户名进行处理。例如，这种情况下，设备发送给RADIUS服务器的计费开始请求报文中将会携带服务器下发的用户名，具体封装在User-Name属性中的内容需要结合RADIUS方案中的用户名格式（通过user-name-format配置）进行处理：

· 如果用户名格式为keep-original，则User-Name属性内容为服务器下发的用户名。

· 如果用户名格式为without-domain，则将服务器下发的用户名去掉域名后封装在User-Name属性中。

· 如果用户名格式为with-domain，则首先将服务器下发的用户名中的域名替换为认证时采用的域名，然后将此用户名封装在User-Name属性中。

目前，本功能仅对IPoE用户生效。

配置本功能后，通过display ip subscriber命令查询IPoE在线用户信息时，显示信息中的用户名将是RADIUS服务器下发的用户名。

【举例】

# 在RADIUS方案radius1中，配置接受RADIUS服务器下发的用户名。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] username-authorization apply

【相关命令】

· display ip subscriber（BRAS业务分册/IPoE）

· display radius scheme

1.3.72 vpn-instance (RADIUS scheme view)

vpn-instance命令用来配置RADIUS方案所属的VPN。

undo vpn-instance命令用来恢复缺省情况。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情况】

RADIUS方案属于公网。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

vpn-instance-name：MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。

【使用指导】

本命令配置的VPN对于该方案下的所有RADIUS认证/计费服务器生效，但设备优先使用配置RADIUS认证/计费服务器时为各服务器单独指定的VPN。

【举例】

# 配置RADIUS方案radius1所属的VPN为test。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] vpn-instance test

【相关命令】

· display radius scheme

1.4 HWTACACS配置命令

1.4.1 data-flow-format (HWTACACS scheme view)

data-flow-format命令用来配置发送到HWTACACS服务器的数据流或者数据包的单位。

undo data-flow-format命令用来恢复缺省情况。

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【缺省情况】

数据流的单位为byte，数据包的单位为one-packet。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

data：设置数据流的单位。

· byte：数据流的单位为字节。

· giga-byte：数据流的单位千兆字节。

· kilo-byte：数据流的单位为千字节。

· mega-byte：数据流的单位为兆字节。

packet：设置数据包的单位。

· giga-packet：数据包的单位为千兆包。

· kilo-packet：数据包的单位为千包。

· mega-packet：数据包的单位为兆包。

· one-packet：数据包的单位为包。

【使用指导】

设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致，否则无法正确计费。

【举例】

# 在HWTACACS方案hwt1中，设置发往HWTACACS服务器的数据流的数据单位为千字节、数据包的单位为千包。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet

【相关命令】

· display hwtacacs scheme

1.4.2 display hwtacacs scheme

display hwtacacs scheme命令用来查看HWTACACS方案的配置信息或HWTACACS服务相关的统计信息。

【命令】

display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

hwtacacs-scheme-name：HWTACACS方案的名称，为1～32个字符的字符串，不区分大小写。如果不指定该参数，则显示所有HWTACACS方案的配置信息。

statistics：显示HWTACACS服务相关的统计信息。不指定该参数，则显示HWTACACS方案的配置信息。

【举例】

# 显示所有HWTACACS方案的配置情况。

<Sysname> display hwtacacs scheme

Total 1 HWTACACS schemes

------------------------------------------------------------------

HWTACACS scheme name: hwtac

Index : 0

Primary authentication server:

IP : 2.2.2.2 Port: 49 State: Active

VPN Instance: 2

Single-connection: Enabled

Primary authorization server:

IP : 2.2.2.2 Port: 49 State: Active

VPN Instance: 2

Single-connection: Disabled

Primary accounting server:

IP : Not Configured Port: 49 State: Block

VPN Instance: Not configured

Single-connection: Disabled

VPN Instance : 2

NAS IP Address : 2.2.2.3

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(minutes) : 12

Stop-accounting packets buffering : Enabled

Retransmission times : 100

Response Timeout Interval(seconds) : 5

Username Format : with-domain

Data flow unit : Byte

Packet unit : One

------------------------------------------------------------------

表1-16 display hwtacacs scheme命令显示信息描述表

字段	描述
Total 1 HWTACACS schemes	共计1个HWTACACS方案
HWTACACS scheme name	HWTACACS方案的名称
Index	HWTACACS方案的索引号
Primary authentication server	主HWTACACS认证服务器
Primary authorization server	主HWTACACS授权服务器
Primary accounting server	主HWTACACS计费服务器
Secondary authentication server	从HWTACACS认证服务器
Secondary authorization server	从HWTACACS授权服务器
Secondary accounting server	从HWTACACS计费服务器
IP	HWTACACS服务器的IP地址未配置时，显示为Not configured
Port	HWTACACS服务器的端口号未配置时，显示缺省值
State	HWTACACS服务器目前状态 · Active：激活状态 · Block：静默状态
VPN Instance	HWTACACS服务器所在的VPN 未配置时，显示为Not configured
Single-connection	单连接状态 · Enabled：使用一条TCP连接与服务器通信 · Disabled：每次新建TCP连接与服务器通信
VPN Instance	HWTACACS方案所属的VPN名称未配置时，显示为Not configured
NAS IP Address	发送HWTACACS报文的源IP地址
Server Quiet Period(minutes)	主HWTACACS服务器恢复激活状态的时间（分钟）
Realtime Accounting Interval(minutes)	实时HWTACACS计费更新报文的发送间隔（分钟）
Stop-accounting packets buffering	HWTACACS停止计费请求报文缓存功能的开启情况
Retransmission times	发起HWTACACS停止计费请求的最大尝试次数
Response Timeout Interval(seconds)	HWTACACS服务器超时时间（秒）
Username Format	用户名格式 · with-domain：携带域名 · without-domain：不携带域名 · keep-original：与用户输入保持一致
Data flow unit	数据流的单位 · Byte：字节 · Kilobyte：千字节 · Megabyte：兆字节 · Gigabyte：十亿字节
Packet unit	数据包的单位 · One：个 · Kilo：千 · Mega：兆 · Giga：十亿

# 显示名称为tac的HWTACACS方案的配置信息。

<Sysname> display hwtacacs scheme tac statistics

HWTACACS scheme name: tac

Primary authentication server: 3.3.3.3

Round trip time: 0 seconds

Request packets: 1

Change-password request packets: 0

Request packets including plaintext password: 0

Request packets including ciphertext password: 0

Response packets: 2

Pass response packets: 1

Failure response packets: 0

Get-data response packets: 0

Get-username response packets: 0

Get-password response packets: 1

Restart response packets: 0

Error response packets: 0

Follow response packets: 0

Malformed response packets: 0

Continue packets: 1

Continue-abort packets: 0

Pending request packets: 0

Timeout packets: 0

Unknown type response packets: 0

Dropped response packets: 0

Primary authorization server: 3.3.3.3

Round trip time: 1 seconds

Request packets: 1

Response packets: 1

PassAdd response packets: 1

PassReply response packets: 0

Failure response packets: 0

Error response packets: 0

Follow response packets: 0

Malformed response packets: 0

Pending request packets: 0

Timeout packets: 0

Unknown type response packets: 0

Dropped response packets: 0

Primary accounting server: 3.3.3.3

Round trip time: 0 seconds

Request packets: 2

Accounting start request packets: 1

Accounting stop request packets: 1

Accounting update request packets: 0

Pending request packets: 0

Response packets: 2

Success response packets: 2

Error response packets: 0

Follow response packets: 0

Malformed response packets: 0

Timeout response packets: 0

Unknown type response packets: 0

Dropped response packets: 0

表1-17 display hwtacacs scheme statistics命令显示信息描述表

字段	描述
HWTACACS scheme name	HWTACACS方案名称
Primary authentication server	主HWTACACS认证服务器
Primary authorization server	主HWTACACS授权服务器
Primary accounting server	主HWTACACS计费服务器
Secondary authentication server	从HWTACACS认证服务器
Secondary authorization server	从HWTACACS授权服务器
Secondary accounting server	从HWTACACS计费服务器
Round trip time	设备处理最近一组响应报文和请求报文的时间间隔（单位为秒）
Request packets	发送的请求报文个数
Response packets	接收到的响应报文个数
Failure response packets	认证或授权失败的响应报文个数
Error response packets	错误类型的响应报文个数
Follow response packets	Follow类型的响应报文的个数
Malformed response packets	不合法的响应报文个数
Pending request packets	等待响应的请求报文个数
Timeout packets	超时的请求报文个数
Unknown type response packets	未知报文类型的响应报文个数
Dropped response packets	被丢弃响应报文个数
Login request packets	登录认证的请求报文个数
Change-password request packets	更改密码的请求报文个数
Request packets including plaintext passwords	发送明文密码的请求报文个数
Request packets including ciphertext passwords	发送密文密码的请求报文个数
Pass response packets	表示认证通过的响应报文个数
Get-data response packets	表示获取数据的响应报文个数
Get-username response packets	表示获取用户名的响应报文个数
Get-password response packets	表示获取密码的响应报文个数
Restart response packets	要求重认证的响应报文个数
Continue packets	发送的Continue报文个数
Continue-abort packets	发送的Continue-abort报文个数
PassAdd response packets	接收到的PassAdd类型的响应报文个数。此报文表示同意授权所有请求的属性，并添加其他授权属性
PassReply response packets	接收到的PassReply类型的响应报文个数。此报文表示采用响应报文中指定的授权属性替换请求的授权属性
Accounting start request packets	发送的计费开始请求报文个数
Accounting stop request packets	发送的计费结束请求报文个数
Accounting update request packets	发送的计费更新报文个数
Accounting start-and-update request packets	发送的赋值的计费开始报文的个数
Success response packets	接收到的计费成功的响应报文个数

【相关命令】

· reset hwtacacs statistics

1.4.3 display stop-accounting-buffer (for HWTACACS)

display stop-accounting-buffer命令用来显示缓存的HWTACACS停止计费请求报文的相关信息。

【命令】

display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

hwtacacs-scheme hwtacacs-scheme-name：表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

【举例】

# 显示HWTACACS方案hwt1缓存的HWTACACS停止计费请求报文。

<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1

Total entries: 2

Scheme IP address Username First sending time Attempts

hwt1 192.168.100.1 abc 23:27:16-08/31/2015 19

hwt1 192.168.90.6 bob 23:33:01-08/31/2015 20

表1-18 display stop-accounting-buffer命令显示信息描述表

字段	描述
Total entries: 2	共有两条记录匹配
Scheme	HWTACACS方案名
IP address	用户IP地址
Username	用户名
First sending time	首次发送停止计费请求的时间
Attempts	发送停止计费请求报文的次数

【相关命令】

· retry stop-accounting (HWTACACS scheme view)

· reset stop-accounting-buffer (for HWTACACS)

· stop-accounting-buffer enable (HWTACACS scheme view)

· user-name-format (HWTACACS scheme view)

1.4.4 hwtacacs nas-ip

hwtacacs nas-ip命令用来设置设备发送HWTACACS报文使用的源地址。

undo hwtacacs nas-ip命令用来删除指定的发送HWTACACS报文使用的源地址。

【命令】

hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

undo hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未设置发送HWTACACS报文使用的源地址，设备将以发送报文的接口的主IP地址作为源地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：指定的源IPv4地址，应该为本机的地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定的源IPv6地址，应该为本机的地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

HWTACACS服务器上通过IP地址来标识接入设备，并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证或计费请求。因此，为保证HWTACACS报文可被服务器正常接收并处理，接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。

HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址，具体生效情况如下：

· HWTACACS方案视图下配置的源IP地址（通过nas-ip命令）只对本方案有效。

· 系统视图下的配置的源IP地址（通过hwtacacs nas-ip命令）对所有HWTACACS方案有效。

· HWTACACS方案视图下的设置具有更高的优先级。

设备不支持MPLS L3VPN组网时，系统视图下最多允许指定一个IPv4源地址和一个IPv6源地址。

【举例】

# 设置设备发送HWTACACS报文使用的源地址为129.10.10.1。

<Sysname> system-view

[Sysname] hwtacacs nas-ip 129.10.10.1

【相关命令】

· nas-ip (HWTACACS scheme view)

1.4.5 hwtacacs scheme

hwtacacs scheme命令用来创建HWTACACS方案，并进入HWTACACS方案视图。如果指定的HWTACACS方案已经存在，则直接进入HWTACACS方案视图。

undo hwtacacs scheme命令用来删除指定的HWTACACS方案。

【命令】

hwtacacs scheme hwtacacs-scheme-name

undo hwtacacs scheme hwtacacs-scheme-name

【缺省情况】

不存在HWTACACS方案。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme-name：HWTACACS方案名称，为1～32个字符的字符串，不区分大小写。

【使用指导】

一个HWTACACS方案可以同时被多个ISP域引用。

最多可以配置16个HWTACACS方案。

【举例】

# 创建名称为hwt1的HWTACACS方案并进入相应的HWTACACS视图。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1]

【相关命令】

· display hwtacacs scheme

1.4.6 key (HWTACACS scheme view)

key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。

undo key命令用来删除指定的HWTACACS报文的共享密钥。

【命令】

key { accounting | authentication | authorization } { cipher | simple } string

undo key { accounting | authentication | authorization }

【缺省情况】

未配置HWTACACS报文的共享密钥。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

accounting：指定HWTACACS计费报文的共享密钥。

authentication：指定HWTACACS认证报文的共享密钥。

authorization：指定HWTACACS授权报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

【使用指导】

必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。

【举例】

# 在HWTACACS方案hwt1中，配置HWTACACS认证报文共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!

# 配置HWTACACS授权报文共享密钥为明文123456TESTautr&!。

[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!

# 配置HWTACACS计费报文共享密钥为明文123456TESTacct&!。

[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!

【相关命令】

· display hwtacacs scheme

1.4.7 nas-ip (HWTACACS scheme view)

nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。

undo nas-ip命令用来删除指定类型的发送HWTACACS报文使用的源IP地址。

【命令】

nas-ip { ipv4-address | ipv6 ipv6-address }

undo nas-ip [ ipv6 ]

【缺省情况】

使用系统视图下由命令hwtacacs nas-ip指定的源地址，若系统视图下未指定源地址，则使用发送HWTACACS报文的接口的主IP地址。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：指定的源IPv4地址，应该为本机的地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定的源IPv6地址，应该为本机的地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

HWTACACS服务器上通过IP地址来标识接入设备，并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证、授权、计费请求。因此，为保证HWTACACS报文可被服务器正常接收并处理，接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。

HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址，具体生效情况如下：

· HWTACACS方案视图下配置的源IP地址（通过nas-ip命令）只对本方案有效。

· 系统视图下的配置的源IP地址（通过hwtacacs nas-ip命令）对所有HWTACACS方案有效。

· HWTACACS方案视图下的设置具有更高的优先级。

一个HWTACACS方案视图下，最多允许指定一个IPv4源地址和一个IPv6源地址。

如果undo nas-ip命令中不指定ipv6关键字，则表示删除发送HWTACACS报文使用的源IPv4地址。

【举例】

# 在HWTACACS方案hwt1中，设置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1

【相关命令】

· hwtacacs nas-ip

1.4.8 primary accounting (HWTACACS scheme view)

primary accounting命令用来配置主HWTACACS计费服务器。

undo primary accounting命令用来恢复缺省情况。

【命令】

primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo primary accounting

【缺省情况】

未配置HWTACACS主计费服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：主HWTACACS计费服务器的IPv4地址。

ipv6 ipv6-address：主HWTACACS计费服务器的IPv6地址。

port-number：主HWTACACS计费服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与主HWTACACS计费服务器交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数，则表示每次计费都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：主HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主HWTACACS计费服务器位于公网中。

【使用指导】

配置的主计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主计费服务器和从计费服务器的IP地址、端口号和VPN参数不能完全相同。

若服务器位于MPLS VPN私网中，为保证HWTACACS报文被发送到指定的私网服务器，必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。

只有在设备与计费服务器没有报文交互时，才允许删除该服务器。计费服务器删除后，只对之后的计费过程有影响。

配置single-connection参数后可节省TCP连接资源，但有些HWTACACS服务器不支持这种方式，需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下，建议配置single-connection参数，以提高性能和效率。

【举例】

# 在HWTACACS方案hwt1中，配置主HWTACACS计费服务器的IP地址为10.163.155.12，使用TCP端口49与HWTACACS计费服务器通信，计费报文的共享密钥为明文123456TESTacct&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hw1

[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary accounting

· vpn-instance (HWTACACS scheme view)

1.4.9 primary authentication (HWTACACS scheme view)

primary authentication命令用来配置主HWTACACS认证服务器。

undo primary authentication命令用来恢复缺省情况。

【命令】

primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo primary authentication

【缺省情况】

未配置主HWTACACS认证服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：主HWTACACS认证服务器的IPv4地址。

ipv6 ipv6-address：主HWTACACS认证服务器的IPv6地址。

port-number：主HWTACACS认证服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与主HWTACACS认证服务器交互的认证报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与主HWTACACS认证服务器交互的计费报文使用同一个TCP连接。如果未指定本参数，则表示向主HWTACACS计费服务器发送计费报文都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：主HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主HWTACACS认证服务器位于公网中。

【使用指导】

配置的主认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主认证服务器和从认证服务器的IP地址、端口号和VPN参数不能完全相同。

只有在设备与认证服务器没有报文交互时，才允许删除该服务器。认证服务器删除后，只对之后的认证过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置主HWTACACS认证服务器的IP地址为10.163.155.13，使用TCP端口49与HWTACACS认证服务器通信，认证报文的共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary authentication

· vpn-instance (HWTACACS scheme view)

1.4.10 primary authorization

primary authorization命令用来配置主HWTACACS授权服务器。

undo primary authorization命令用来恢复缺省情况。

【命令】

primary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo primary authorization

【缺省情况】

未配置主HWTACACS授权服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：主HWTACACS授权服务器的IPv4地址。

ipv6 ipv6-address：主HWTACACS授权服务器的IPv6地址。

port-number：主HWTACACS授权服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与主HWTACACS授权服务器交互的授权报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数，则表示每次授权都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：主HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主HWTACACS授权服务器位于公网中。

【使用指导】

配置的主授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主授权服务器和从授权服务器的IP地址、端口号和VPN参数不能完全相同。

只有在设备与授权服务器没有报文交互时，才允许删除该服务器。授权服务器删除后，只对之后的授权过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置主HWTACACS授权服务器的IP地址为10.163.155.13，使用TCP端口49与HWTACACS授权服务器通信，授权报文的共享密钥为明文123456TESTautr&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary authorization

· vpn-instance (HWTACACS scheme view)

1.4.11 reset hwtacacs statistics

reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。

【命令】

reset hwtacacs statistics { accounting | all | authentication | authorization }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

accounting：清除HWTACACS协议关于计费的统计信息。

all：清除HWTACACS的所有统计信息。

authentication：清除HWTACACS协议关于认证的统计信息。

authorization：清除HWTACACS协议关于授权的统计信息。

【举例】

# 清除HWTACACS协议的所有统计信息。

<Sysname> reset hwtacacs statistics all

【相关命令】

· display hwtacacs scheme

1.4.12 reset stop-accounting-buffer (for HWTACACS )

reset stop-accounting-buffer命令用来清除缓存的HWTACACS停止计费请求报文。

【命令】

reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：表示指定HWTACACS方案的停止计费请求报文。其中，hwtacacs-scheme-name为HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

【举例】

# 清除缓存的HWTACACS方案hwt1的HWTACACS停止计费请求报文。

<Sysname> reset stop-accounting-buffer hwtacacs scheme hwt1

【相关命令】

· display stop-accounting-buffer (for HWTACACS)

· stop-accounting-buffer enable (HWTACACS scheme view)

1.4.13 retry stop-accounting (HWTACACS scheme view)

retry stop-accounting命令用来设置发起HWTACACS停止计费请求的最大尝试次数。

undo retry stop-accounting命令用来恢复缺省情况。

【命令】

retry stop-accounting retries

undo retry stop-accounting

【缺省情况】

发起HWTACACS停止计费请求的最大尝试次数为100。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

retries：允许停止计费请求无响应的最大次数，取值范围为1～300。

【使用指导】

设备发送HWTACACS停止计费请求报文无响应后，将会缓存该报文并尝试重复发送该报文，当发送的停止计费请求总数达到指定的最大尝试次数之后仍未得到响应时，将其丢弃。

【举例】

# 在HWTACACS方案hwt1中，设置发起HWTACACS停止计费请求的最大尝试次数为300。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] retry stop-accounting 300

【相关命令】

· display stop-accounting-buffer (for HWTACACS)

· timer response-timeout (HWTACACS scheme view)

1.4.14 secondary accounting (HWTACACS scheme view)

secondary accounting命令用来配置从HWTACACS计费服务器。

undo secondary accounting命令用来删除指定的从HWTACACS计费服务器。

【命令】

secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从HWTACACS计费服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：从HWTACACS计费服务器的IPv4地址。

ipv6 ipv6-address：从HWTACACS计费服务器的IPv6地址。

port-number：从HWTACACS计费服务器的端口号，取值范围为1～65535，缺省值为49。

key：与从HWTACACS计费服务器交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数，则表示每次计费都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：从HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从HWTACACS计费服务器位于公网中。

【使用指导】

配置的从计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。

每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

如果不指定任何参数，则undo命令将删除所有从计费服务器。

配置single-connection参数后可节省TCP连接资源，但有些TACACS服务器不支持这种方式，需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下，建议配置single-connection参数，以提高性能和效率。

只有在设备与计费服务器没有报文交互时，才允许删除该服务器。计费服务器删除后，只对之后的计费过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置从HWTACACS计费服务器的IP地址为10.163.155.12，使用TCP端口49与HWTACACS计费服务器通信，计费报文的共享密钥为明文123456TESTacct&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary accounting (HWTACACS scheme view)

· vpn-instance (HWTACACS scheme view)

1.4.15 secondary authentication (HWTACACS scheme view)

secondary authentication命令用来配置从HWTACACS认证服务器。

undo secondary authentication命令用来删除指定的从HWTACACS认证服务器。

【命令】

secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从HWTACACS认证服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：从HWTACACS认证服务器的IPv4地址。

ipv6 ipv6-address：从HWTACACS认证服务器的IPv6地址。

port-number：从HWTACACS认证服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与从HWTACACS认证服务器交互的认证报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数，则表示每次认证都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：从HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从HWTACACS服务器位于公网中。

【使用指导】

配置的从认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。

每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

如果不指定任何参数，则undo命令将删除所有从认证服务器。

只有在设备与认证服务器没有报文交互时，才允许删除该服务器。认证服务器删除后，只对之后的认证过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置从HWTACACS认证服务器的IP地址为10.163.155.13，使用TCP端口49与HWTACACS认证服务器通信，认证报文的共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary authentication (HWTACACS scheme view)

· vpn-instance (HWTACACS scheme view)

1.4.16 secondary authorization

secondary authorization命令用来配置从HWTACACS授权服务器。

undo secondary authorization命令用来删除指定的从HWTACACS授权服务器。

【命令】

secondary authorization { ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo secondary authorization [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从HWTACACS授权服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：从HWTACACS授权服务器的IPv4地址。

ipv6 ipv6-address：从HWTACACS授权服务器的IPv6地址。

port-number：从HWTACACS授权服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与从HWTACACS授权服务器交互的授权报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数，则表示每次授权都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：从HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从HWTACACS授权服务器位于公网中。

【使用指导】

配置的从授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。

每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

如果不指定任何参数，则undo命令将删除所有从授权服务器。

在同一个方案中指定的主授权服务器和从授权服务器的IP地址、端口号和VPN参数不能完全相同，并且各从授权服务器的IP地址、端口号和VPN参数也不能完全相同。

只有在设备与授权服务器没有报文交互时，才允许删除该服务器。授权服务器删除后，只对之后的授权过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置从HWTACACS授权服务器的IP地址为10.163.155.13，使用TCP端口49与HWTACACS授权服务器通信，授权报文的共享密钥为明文123456TESTautr&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary authorization (HWTACACS scheme view)

· vpn-instance (HWTACACS scheme view)

1.4.17 stop-accounting-buffer enable (HWTACACS scheme view)

stop-accounting-buffer enable命令用来开启对无响应的HWTACACS停止计费请求报文的缓存功能。

undo stop-accounting-buffer enable命令用来关闭对无响应的HWTACACS停止计费请求报文的缓存功能。

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【缺省情况】

设备缓存未得到响应的HWTACACS计费请求报文。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【使用指导】

开启对无响应的HWTACACS停止计费请求报文的缓存功能后，设备在发送停止计费请求报文而HWTACACS服务器没有响应时，会将其缓存在本机上，然后发送直到HWTACACS计费服务器产生响应，或者在发送的次数达到指定的次数限制（由retry stop-accounting命令设置）后将其丢弃。

如果HWTACACS方案中的某计费服务器被删除，则设备将会丢弃相应的已缓存停止计费报文。

【举例】

# 开启对无响应的HWTACACS停止计费请求报文的缓存功能。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable

【相关命令】

· display stop-accounting-buffer (for HWTACACS)

· reset stop-accounting-buffer (for HWTACACS)

1.4.18 timer quiet (HWTACACS scheme view)

timer quiet命令用来设置服务器恢复激活状态的时间。

undo timer quiet命令用来恢复缺省情况。

【命令】

timer quiet minutes

undo timer quiet

【缺省情况】

服务器恢复激活状态的时间为5分钟。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

minutes：恢复激活状态的时间，取值范围为1～255，单位为分钟。

【举例】

# 设置服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer quiet 10

【相关命令】

· display hwtacacs scheme

1.4.19 timer realtime-accounting (HWTACACS scheme view)

timer realtime-accounting命令用来设置实时计费的时间间隔。

undo timer realtime-accounting命令用来恢复缺省情况。

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【缺省情况】

实时计费的时间间隔为12分钟。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

minutes：实时计费的时间间隔，取值范围为0～60，单位为分钟。0表示设备不向HWTACACS服务器发送在线用户的计费信息。

【使用指导】

为了对用户实施实时计费，有必要设置实时计费的时间间隔。在设置了该属性以后，每隔设定的时间，设备会向HWTACACS服务器发送一次在线用户的计费信息。

实时计费间隔的取值小，计费准确性高，但对设备和HWTACACS服务器的性能要求就高。

表1-19 实时计费间隔与用户量之间的推荐比例关系

用户数	实时计费间隔（分钟）
1～99	3
100～499	6
500～999	12
大于等于1000	大于等于15

不同情况下修改的实时计费间隔，对于已在线用户的生效情况有所不同：

· 将实时计费间隔从非0有效值改为0，或者从0修改为非0有效值后，已在线用户会依然采用原有取值，修改后的取值对其不生效。

· 将实时计费间隔从某非0有效值修改为其它非0有效值后，已在线用户将会采用修改后的取值。

【举例】

# 在HWTACACS方案hwt1中，设置实时计费的时间间隔为51分钟。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer realtime-accounting 51

【相关命令】

· display hwtacacs scheme

1.4.20 timer response-timeout (HWTACACS scheme view)

timer response-timeout命令用来设置HWTACACS服务器响应超时时间。

undo timer response-timeout命令用来恢复缺省情况。

【命令】

timer response-timeout seconds

undo timer response-timeout

【缺省情况】

HWTACACS服务器响应超时时间为5秒。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

seconds：HWTACACS服务器响应超时时间，取值范围为1～300，单位为秒。

【使用指导】

由于HWTACACS是基于TCP实现的，因此，服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。

HWTACACS服务器响应超时时间与配置的HWTACACS服务器总数的乘积不能超过接入模块定义的用户认证超时时间，否则在HWTACACS认证过程完成之前用户就有可能被强制下线。

【举例】

# 在HWTACACS方案hwt1中，设置HWTACACS服务器响应超时时间为30秒。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer response-timeout 30

【相关命令】

· display hwtacacs scheme

1.4.21 user-name-format (HWTACACS scheme view)

user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。

undo user-name-format命令用来恢复缺省情况。

【命令】

user-name-format { keep-original | with-domain | without-domain }

undo user-name-format

【缺省情况】

发送给HWTACACS服务器的用户名携带ISP域名。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

keep-original：发送给HWTACACS服务器的用户名与用户输入的保持一致。

with-domain：发送给HWTACACS服务器的用户名携带ISP域名。

without-domain：发送给HWTACACS服务器的用户名不携带ISP域名。

【使用指导】

接入用户通常以“userid@isp-name”的格式命名，“@”后面的部分为ISP域名，设备就是通过该域名来决定将用户归于哪个ISP域的。但是，有些HWTACACS服务器不能接受携带有ISP域名的用户名，在这种情况下，有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此，设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。

如果指定某个HWTACACS方案不允许用户名中携带有ISP域名，那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则，会出现虽然实际用户不同（在不同的ISP域中），但HWTACACS服务器认为用户相同（因为传送到它的用户名相同）的错误。

【举例】

# 在HWTACACS方案hwt1中，设置发送给HWTACACS服务器的用户名不携带ISP域名。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] user-name-format without-domain

【相关命令】

· display hwtacacs scheme

1.4.22 vpn-instance (HWTACACS scheme view)

vpn-instance命令用来配置HWTACACS方案所属的VPN。

undo vpn-instance命令用来恢复缺省情况。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情况】

HWTACACS方案属于公网。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

vpn-instance-name：MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。

【使用指导】

本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效，但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN。

【举例】

# 配置HWTACACS方案hw1所属的VPN为test。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] vpn-instance test

【相关命令】

· display hwtacacs scheme

1.5 LDAP配置命令

1.5.1 attribute-map

attribute-map命令用来在LDAP方案中引用LDAP属性映射表。

undo attribute-map命令用来恢复缺省情况。

【命令】

attribute-map map-name

undo attribute-map

【缺省情况】

未引用任何LDAP属性映射表。

【视图】

LDAP方案视图

【缺省用户角色】

network-admin

【参数】

map-name：LDAP属性映射表的名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

在使用LDAP授权方案的情况下，可以通过在LDAP方案中引用LDAP属性映射表，将LDAP授权服务器下发给用户的LDAP属性映射为AAA模块可以解析的某类属性。

一个LDAP方案视图中只能引用一个LDAP属性映射表，后配置的生效。

如果在LDAP授权过程中修改了引用的LDAP属性映射表，或者修改了引用的LDAP属性映射表的内容，则该修改对当前的授权过程不会生效，只对修改后新的LDAP授权过程生效。

【举例】

# 在LDAP方案ldap1中，引用名称为map1的LDAP属性映射表。

<Sysname> system-view

[Sysname] ldap scheme test

[Sysname-ldap-test] attribute-map map1

【相关命令】

· display ldap-scheme

· ldap attribute-map

1.5.2 authentication-server

authentication-server命令用来指定LDAP认证服务器。

undo authentication-server命令用来恢复缺省情况。

【命令】

authentication-server server-name

undo authentication-server

【缺省情况】

未指定LDAP认证服务器。

【视图】

LDAP方案视图

【缺省用户角色】

network-admin

【参数】

server-name：LDAP服务器的名称，为1～64个字符的字符串，不区分大小写。

【使用指导】

一个LDAP方案视图下仅能指定一个LDAP认证服务器，多次执行本命令，最后一次执行的命令生效。

【举例】

# 在LDAP方案ldap1中，指定LDAP认证服务器为ccc。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] authentication-server ccc

【相关命令】

· display ldap scheme

· ldap server

1.5.3 authorization-server

authorization-server命令用来指定LDAP授权服务器。

undo authorization-server命令用来恢复缺省情况。

【命令】

authorization-server server-name

undo authorization-server

【缺省情况】

未指定LDAP授权服务器。

【视图】

LDAP方案视图

【缺省用户角色】

network-admin

【参数】

server-name：LDAP服务器的名称，为1～64个字符的字符串，不区分大小写。

【使用指导】

一个LDAP方案视图下仅能指定一个LDAP授权服务器，多次执行本命令，最后一次执行的命令生效。

【举例】

# 在LDAP方案ldap1中，指定LDAP授权服务器为ccc。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] authorization-server ccc

【相关命令】

· display ldap scheme

· ldap server

1.5.4 display ldap scheme

display ldap scheme命令用来查看LDAP方案的配置信息。

【命令】

display ldap scheme [ ldap-scheme-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ldap-scheme-name：LDAP方案的名称，为1～32个字符的字符串，不区分大小写。如果不指定该参数，则显示所有LDAP方案的配置信息。

【举例】

# 查看所有LDAP方案的配置信息。

<Sysname> display ldap scheme

Total 1 LDAP schemes

------------------------------------------------------------------

LDAP scheme name : aaa

Authentication server : aaa

IP : 1.1.1.1

Port : 111

VPN instance : Not configured

LDAP protocol version : LDAPv3

Server timeout interval : 10 seconds

Base DN : Not configured

Search scope : all-level

User searching parameters:

User object class : Not configured

Username attribute : cn

Username format : with-domain

Authorization server : aaa

IP : 1.1.1.1

Port : 111

VPN instance : Not configured

LDAP protocol version : LDAPv3

Server timeout interval : 10 seconds

Base DN : Not configured

Search scope : all-level

User searching parameters:

User object class : Not configured

Username attribute : cn

Username format : with-domain

Attribute map : map1

------------------------------------------------------------------

表1-20 display ldap scheme命令显示信息描述表

字段	描述
Total 1 LDAP schemes	总共有1个LDAP方案
LDAP Scheme Name	LDAP方案名称
Authentication Server	LDAP认证服务器名称未配置时，显示为Not configured
Authorization server	LDAP授权服务器名称未配置时，显示为Not configured
IP	LDAP认证服务器的IP地址未配置认证服务器IP时，IP地址显示为Not configured
Port	LDAP认证服务器的端口号未配置认证服务器IP时，端口号显示为缺省值
VPN Instance	VPN实例名称未配置时，显示为Not configured
LDAP Protocol Version	LDAP协议的版本号（LDAPv2、LDAPv3）
Server Timeout Interval	LDAP服务器连接超时时间（单位为秒）
Login Account DN	管理员用户的DN
Base DN	用户DN查询的起始DN
Search Scope	用户DN查询的范围（all-level：所有子目录查询，single-level：下级目录查询）
User Searching Parameters	用户查询参数
User Object Class	查询用户DN时使用的用户对象类型未配置时，显示为Not configured
Username Attribute	用户登录帐号的属性类型
Username Format	发送给服务器的用户名格式
Attribute map	引用的LDAP属性映射表名称未配置时，显示为Not configured

1.5.5 ip

ip命令用来配置LDAP服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ip-address [ port port-number ] [ vpn-instance vpn-instance-name ]

undo ip

【缺省情况】

未配置LDAP服务器的IP地址。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

ip-address：LDAP服务器的IP地址。

port port-number：LDAP服务器所使用的TCP端口号，取值范围为1～65535，缺省值为389。

vpn-instance vpn-instance-name：LDAP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例的名称，为1～31个字符的字符串，区分大小写。不指定该参数时，表示LDAP服务器属于公网。

【使用指导】

需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。

更改后的服务器IP地址和端口号，只对更改之后进行的LDAP认证生效。

【举例】

# 配置LDAP服务器ccc的IP地址为192.168.0.10、端口号为4300。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300

【相关命令】

· ldap server

1.5.6 ipv6

ipv6命令用来配置LDAP服务器的IPv6地址。

undo ipv6命令用来恢复缺省情况。

【命令】

ipv6 ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ]

undo ipv6

【缺省情况】

未配置LDAP服务器的IP地址。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

ipv6-address：LDAP服务器的IPv6地址。

port port-number：LDAP服务器所使用的TCP端口号，取值范围为1～65535，缺省值为389。

【使用指导】

需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。

更改后的服务器IP地址和端口号，只对更改之后的LDAP认证生效。

【举例】

# 配置LDAP服务器ccc的IPv6地址为1:2::3:4、端口号为4300。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300

【相关命令】

· ldap server

1.5.7 ldap attribute-map

ldap attribute-map命令用来创建LDAP属性映射表，并进入LDAP属性映射表视图。如果指定的LDAP属性映射表已经存在，则直接进入LDAP属性映射表视图。

undo ldap attribute-map命令用来删除指定的LDAP属性映射表。

【命令】

ldap attribute-map map-name

undo ldap attribute-map map-name

【缺省情况】

不存在LDAP属性映射表。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

map-name：LDAP属性映射表的名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

一个LDAP的属性映射表中可以添加多个LDAP属性映射表项，每个表项表示一个LDAP 属性和一个AAA属性的映射关系。

可以通过多次执行本命令配置多个LDAP的属性映射表。

【举例】

# 创建名称为map1的LDAP属性映射表，并进入该属性映射表视图。

<Sysname> system-view

[Sysname] ldap attribute-map map1

[Sysname-ldap-map-map1]

【相关命令】

· attribute-map

· ldap scheme

· map

1.5.8 ldap scheme

ldap scheme命令用来创建LDAP方案，并进入LDAP方案视图。如果指定的LDAP方案已经存在，则直接进入LDAP方案视图。

undo ldap scheme命令用来删除指定的LDAP方案。

【命令】

ldap scheme ldap-scheme-name

undo ldap scheme ldap-scheme-name

【缺省情况】

不存在LDAP方案。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ldap-scheme-name：LDAP方案的名称，为1～32个字符的字符串，不区分大小写。

【使用指导】

一个LDAP方案可以同时被多个ISP域引用。

系统最多支持配置16个LDAP方案。

【举例】

# 创建名称为ldap1的LDAP方案并进入其视图。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1]

【相关命令】

· display ldap scheme

1.5.9 ldap server

ldap server用来创建LDAP服务器，并进入LDAP服务器视图。如果指定的LDAP服务器已经存在，则直接进入LDAP服务器视图。

undo ldap server命令用来删除指定的LDAP服务器。

【命令】

ldap server server-name

undo ldap server server-name

【缺省情况】

不存在LDAP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name：LDAP服务器的名称，为1～64个字符的字符串，不区分大小写。

【举例】

# 创建LDAP服务器ccc并进入其视图。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc]

【相关命令】

· display ldap scheme

1.5.10 login-dn

undo login-dn命令用来恢复缺省情况。

【命令】

undo login-dn

【缺省情况】

未配置具有管理员权限的用户DN。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

dn-string：具有管理员权限的用户DN，是绑定服务器时使用的用户标识名，为1～255个字符的字符串，不区分大小写。

【使用指导】

设备上的管理员DN必须与服务器上管理员的DN一致。

更改后的管理员DN，只对更改之后的LDAP认证生效。

【举例】

# 在LDAP服务器视图ccc下，配置管理员权限的用户DN为uid=test, ou=people, o=example, c=city。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] login-dn uid=test,ou=people,o=example,c=city

【相关命令】

· display ldap scheme

1.5.11 login-password

undo login-password命令用来恢复缺省情况。

【命令】

undo login-password

【缺省情况】

未配置具有管理权限的用户密码。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

cipher：表示以密文方式设置密码。

simple：表示以明文方式设置密码，该密码将以密文形式存储。

string：密码字符串，区分大小写。明文密码为1～128个字符的字符串，密文密码为1～201个字符的字符串。

【使用指导】

该命令只有在配置了login-dn的情况下生效。当未配置login-dn时，该命令不生效。

【举例】

# 在LDAP服务器视图ccc下，配置具有管理员权限的用户密码为明文abcdefg。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] login-password simple abcdefg

【相关命令】

· display ldap scheme

· login-dn

1.5.12 map

map命令用来配置LDAP属性映射表项。

undo map命令用来删除指定的LDAP属性映射表项。

【命令】

map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute { user-group | user-profile }

undo map [ ldap-attribute ldap-attribute-name ]

【缺省情况】

未指定LDAP属性映射关系。

【视图】

LDAP属性映射表视图

【缺省用户角色】

network-admin

【参数】

ldap-attribute ldap-attribute-name：表示要映射的LDAP属性。其中，ldap-attribute-name表示LDAP属性名称，为1～63个字符的字符串，不区分大小写。

prefix prefix-value delimiter delimiter-value：表示按照一定的格式提取LDAP属性字符串中的内容映射为AAA属性。其中，prefix-value表示LDAP属性字符串中的某内容前缀（例如cn=），为1～7个字符的字符串，不区分大小写；delimiter-value表示LDAP属性字符串中的内容分隔符（例如逗号）。若不指定该可选参数，则表示要将一个完整的LDAP属性字符串映射为指定的AAA属性。

aaa-attribute：表示要映射为的AAA属性。

user-group：表示User group类型的AAA属性。

user-profile：表示User Profile类型的AAA属性。

【使用指导】

如果某LDAP服务器下发给用户的属性不能被AAA模块解析，则该属性将被忽略。因此，需要通过本命令指定要获取哪些LDAP属性，以及LDAP服务器下发的这些属性将被AAA模块解析为什么类型的AAA属性，具体映射为哪种类型的AAA属性由实际应用需求决定。

一个LDAP服务器属性只能映射为一个AAA属性，但不同的LDAP服务器属性可映射为同一个AAA属性。

如果undo map命令中不指定ldap-attribute参数，则表示删除所有的LDAP属性映射表项。

【举例】

# 在LDAP属性映射表视图map1下，配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号（,）的格式提取出的内容映射成AAA属性User group。

<Sysname> system-view

[Sysname] ldap attribute-map map1

[Sysname-ldap-map-map1] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group

【相关命令】

· ldap attribute-map

· user-group

· user-profile（BRAS业务命令参考/User Profile）

1.5.13 protocol-version

protocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号。

undo protocol-version命令用来恢复缺省情况。

【命令】

protocol-version { v2 | v3 }

undo protocol-version

【缺省情况】

LDAP版本号为LDAPv3。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

v2：表示LDAP协议版本号为LDAPv2。

v3：表示LDAP协议版本号为LDAPv3。

【使用指导】

为保证LDAP认证成功，请保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致。

更改后的服务器版本号，只对更改之后的LDAP认证生效。

Microsoft的LDAP服务器只支持LDAPv3，配置LDAP版本为v2时无效。

【举例】

# 在LDAP服务器视图ccc下，配置LDAP协议版本号为LDAPv2。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] protocol-version v2

【相关命令】

· display ldap scheme

1.5.14 search-base-dn

search-base-dn命令用来配置用户查询的起始DN。

undo search-base-dn命令用来恢复缺省情况。

【命令】

search-base-dn base-dn

undo search-base-dn

【缺省情况】

未指定用户查询的起始DN。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

base-dn：查询待认证用户的起始DN值，为1～255个字符的字符串，不区分大小写。

【举例】

# 在LDAP服务器视图ccc下，配置用户查询的起始DN为dc=ldap,dc=com。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com

【相关命令】

· display ldap scheme

· ldap server

1.5.15 search-scope

search-scope命令用来配置用户查询的范围。

undo search-scope命令用来恢复缺省情况。

【命令】

search-scope { all-level | single-level }

undo search-scope

【缺省情况】

用户查询的范围为all-level。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

all-level：表示在起始DN的所有子目录下进行查询。

single-level：表示只在起始DN的下一级子目录下进行查询。

【举例】

# 在LDAP服务器视图ccc下，配置在起始DN的所有子目录下查询LDAP认证用户。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] search-scope all-level

【相关命令】

· display ldap scheme

· ldap server

1.5.16 server-timeout

server-timeout命令用来配置LDAP服务器连接超时时间，即认证、授权时等待LDAP服务器回应的最大时间。

undo server-timeout命令用来恢复缺省情况。

【命令】

server-timeout time-interval

undo server-timeout

【缺省情况】

LDAP服务器连接超时时间为10秒。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

time-interval：LDAP服务器连接超时时间，取值范围为5～20，单位为秒。

【使用指导】

更改后的连接超时时间，只对更改之后的LDAP认证生效。

【举例】

# 在LDAP服务器视图ccc下，配置LDAP服务器连接超时时间为15秒。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] server-timeout 15

【相关命令】

· display ldap scheme

1.5.17 user-parameters

user-parameters命令用来配置LDAP用户查询的属性参数，包括用户名属性、用户名格式和自定义用户对象类型。

undo user-parameters命令用来将指定的LDAP用户查询的属性参数恢复为缺省值。

【命令】

user-parameters { user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }

undo user-parameters { user-name-attribute | user-name-format | user-object-class }

【缺省情况】

user-name-attribute为cn；user-name-format为without-domain；未指定自定义user-object-class，根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

user-name-attribute { name-attribute | cn | uid }：表示用户名的属性类型。其中，name-attribute表示属性类型值，为1～64个字符的字符串，不区分大小写；cn表示用户登录帐号的属性为cn（Common Name）；uid表示用户登录帐号的属性为uid（User ID）。

user-name-format { with-domain | without-domain }：表示发送给服务器的用户名格式。其中，with-domain表示发送给服务器的用户名带ISP域名；without-domain表示发送给服务器的用户名不带ISP域名。

user-object-class object-class-name：表示查询用户DN时使用的用户对象类型。其中，object-class-name表示对象类型值，为1～64个字符的字符串，不区分大小写。

【使用指导】

如果LDAP服务器上的用户名不包含域名，必须配置user-name-format为without-domain，将用户名的域名去除后再传送给LDAP服务器；如果包含域名则需配置user-name-format为with-domain。

【举例】

# 在LDAP服务器视图ccc下，配置用户对象类型为person。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] user-parameters user-object-class person

【相关命令】

· display ldap scheme

· login-dn

1.6 本地话单缓存配置命令

1.6.1 display local-bill

display local-bill命令用来显示缓存中指定的具体话单信息或者缓存中话单资源的使用情况。

【命令】

display local-bill { cache-usage | verbose start-number count count }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

cache-usage：查看本地缓存中话单资源的使用情况。

verbose：查看本地缓存中的具体话单信息。

start-number：指定显示话单的起始位置，即从第几个话单开始显示，取值范围为1～50000。

count count：连续显示的话单总数目，取值范围为1～100。

【举例】

# 从本地缓存的第一个话单开始显示连续2个话单的详细信息。

<Sysname> display local-bill verbose 1 count 2

Bill 1 details:

Session ID : 00000005201801181806480000195e6176100378

User name : user1@h3c

Start time : 2013-05-21 18:04:10

Stop time : 2013-05-21 18:05:35 Duration : 0:01:35

IP address : 111.8.10.125 MAC address: 0016-ecb7-a879

IPv6 address: N/A

Service type: lan-access Access type: lan-access

Interface : GigabitEthernet3/1/1

SVLAN/CVLAN : -/-

Status : Offline Reason code: 6 Ref: 98

User traffic:

Received: 0 bytes, 0 packets

Sent : 0 bytes, 0 packets

Bill 2 details:

Session ID : 00000005201801181806480000195e6176100379

User name : user2

Start time : 2013-05-21 18:14:15

Stop time : 2013-05-21 18:15:35 Duration : 0:01:20

IP address : 111.8.10.124 MAC address: 0016-ec89-a8e9

IPv6 address: N/A

Service type: lan-access Access type: lan-access

Interface : GigabitEthernet3/1/2

SVLAN/CVLAN : 100/100

Status : Offline Reason code: 6 Ref: 98

User traffic:

Received: 0 bytes, 0 packets

Sent : 0 bytes, 0 packets

Total bills: 2.

表1-21 display local-bill verbose命令显示信息描述表

字段	描述
Bill 1 details	第n个话单的详细内容
Session ID	会话ID，用户的唯一标识
User name	用户名称
Start time	开始计费时间
Stop time	停止计费时间
Duration	用户在线时长
IP address	用户IP地址
MAC address	用户MAC地址
IPv6 address	用户IPv6地址
Service type	用户使用的服务类型
Access type	用户使用的接入类型
Interface	用户接入到设备的接口
SVLAN/CVLAN	用户接入的Service-VLAN/Customer-VLAN（“-”表示无对应的VLAN信息）
Status	话单类型，取值如下： · Invalid：无效 · Realtime：实时计费话单 · Offline：下线话单 · CRC Failed：错误话单，即CRC校验错误的话单目前，仅支持Offline
Reason code	设备外部的下线原因代码。为按照RFC 2866远端计费提供的标准下线原因，具体请参考RFC 2866
Ref	设备内部的下线原因代码，作为外部下线原因的补充，提供更加详细的原因，一般无需使用
User traffic	用户流量统计信息，包括上行字节数、上行包数、下行字节数、下行包数
Received	下行流量，即用户收到报文的流量
Sent	上行流量，即用户发送出去的流量
Total bills	当前显示的话单总数

#显示本地缓存中的话单资源的使用情况。

<Sysname> display local-bill cache-usage

Cache usage:

Existing bills: 0 Available bills : 50000

Max bills : 50000 Auto export threshold: 4000

Bytes per bill: 448

表1-22 display local-bill cache-usage命令显示信息描述表

字段	描述
Cache usage	缓存的使用情况
Existing bills	当前缓存中已保存的话单数目
Available bills	当前缓存中还可以保存的话单数目
Max bills	当前缓存中可保存的话单总数
Auto export threshold	自动上传阈值，取值为触发自动上传的话单数
Bytes per bill	缓存中每个话单的存储空间大小（单位：字节）

【相关命令】

· local-bill enable

· local-bill export

· local-bill export-interval

· local-bill export-url

1.6.2 local-bill enable

local-bill enable命令用来开启本地话单缓存功能。

undo local-bill enable命令用来关闭本地话单缓存功能。

【命令】

local-bill enable

undo local-bill enable

【缺省情况】

本地话单缓存功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本地话单缓存功能后，当AAA服务器不能提供计费服务时（例如计费服务器不可达时），接入设备会将用户计费停止时产生的话单保存在本地。本地保存的话单可以通过FTP或TFTP的方式自动或手动上传到指定服务器上，上传的话单将以文本格式保存在指定路径中供计费、审校或分析。

本功能可以支持对lan-access、PPP、IPoE、Portal用户进行本地话单缓存。

【举例】

# 开启本地话单缓存功能。

<Sysname> system-view

[Sysname] local-bill enable

【相关命令】

· local-bill export

· local-bill export-interval

· local-bill export-url

1.6.3 local-bill export

local-bill export命令用来执行话单手动上传。

【命令】

local-bill export [ url ] [ clear-cache ]

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url：手动上传话单的URL，为1～256个字符的字符串。若不指定该参数，则会将本地缓存的话单上传到local-bill export-url命令指定的路径上。

clear-cache：手动上传话单后，清除本地缓存的话单信息。若不指定该参数，则表示手动上传话单后，不清除本地缓存的话单信息。

【使用指导】

通常情况下，使用话单自动上传功能即可，在自动上传路径不可达（例如存储话单的服务器故障）、有临时审计、数据分析等需求的情况下，可通过本命令进行手工上传话单。

具体上传URL格式要求如下：

· TFTP协议URL格式：tftp://server/path，其中server为TFTP服务器的IP地址或主机名。例如tftp://1.1.1.1/lbill。

· FTP协议URL格式：

¡ 携带用户名和密码的格式为ftp://username:password@server/path，例如ftp://1:1@1.1.1.1/lbill。其中，username为FTP用户名，password为FTP认证密码，server为FTP服务器IP地址或主机名。如果FTP用户名中携带域名，则该域名会被设备忽略，例如ftp://1@abc:1@1.1.1.1/lbill将被当作ftp://1:1@1.1.1.1/lbill处理。

¡ 不需要携带用户名和密码的格式为ftp://server/path，例如ftp://1.1.1.1/lbill。

在上传的话单用于计费或审计等用途的情况下，建议执行话单手动上传的同时，指定clear-cache参数清除本地缓存的话单信息；在上传的话单用于数据分析、故障排除等用途的情况下，建议执行话单手工上传的同时，不要指定clear-cache参数，保留本地缓存的话单信息用于正常的话单上传。

手动上传操作仅能同时在一个用户线上执行。某用户线上的用户执行了该操作后，系统需要一定的时间进行上传，在此期间，该用户线上的用户必须等待上传结果，不能执行命令行操作，且正在进行的自动上传也会暂停等待。同时，其它用户线上的用户执行手动上传话单命令时，系统会提示当前正在处理手动上传话单不能执行本次命令。

【举例】

# 将本地缓存话单手动上传到URL为tftp://10.10.10.10/tftp的服务器上，并在上传后清除缓存的话单信息。

<Sysname> system-view

[Sysname] local-bill export tftp://10.10.10.10/tftp clear-cache

【相关命令】

· local-bill enable

· local-bill export-interval

· local-bill export-url

1.6.4 local-bill export-interval

local-bill export-interval命令用来配置话单自动上传的周期。

undo local-bill export-interval命令用来恢复缺省情况。

【命令】

local-bill export-interval interval

undo local-bill export-interval

【缺省情况】

自动上传话单的周期为1440分钟。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval：话单自动上传的周期，取值范围为1～65535，单位为分钟。

【使用指导】

本地话单缓存功能开启之后，系统将以本命令指定的周期向指定路径上进行话单上传。

【举例】

# 配置本地缓存话单自动上传的周期为100分钟。

<Sysname> system-view

[Sysname] local-bill export-interval 100

【相关命令】

· local-bill enable

· local-bill export

· local-bill export-url

1.6.5 local-bill export-url

local-bill export-url命令用来配置对本地缓存话单进行上传的URL。

undo local-bill export-url命令用来恢复缺省情况。

【命令】

local-bill export-url url

undo local-bill export-url

【缺省情况】

未指定对话单上传的URL，对缓存话单的自动上传会失败。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url：对本地缓存话单进行上传的URL，为1～256个字符的字符串。

【使用指导】

本地话单缓存功能处于开启状态的情况下，指定合法的上传话单的URL后，系统将定期向该指定路径上进行话单上传，或当本地缓存话单数目达到系统设定的阈值时，系统也会自动向该指定路径上进行话单上传。上传的话单将以文本格式保存在指定路径中供计费、审校或分析。每次话单信息上传完成之后，系统将自动清除当前本地话单缓存中的所有话单信息。

具体上传URL格式要求如下：

· TFTP协议URL格式：tftp://server/path，其中server为TFTP服务器的IP地址或主机名。例如tftp://1.1.1.1/lbill。

· FTP协议URL格式：

¡ 不需要携带用户名和密码的格式为ftp://server/path，例如ftp://1.1.1.1/lbill。

【举例】

# 配置本地缓存话单的上传URL为tftp://10.10.10.10/tftp。

<Sysname> system-view

[Sysname] local-bill export-url tftp://10.10.10.10/tftp

【相关命令】

· local-bill enable

· local-bill export-interval

1.6.6 snmp-agent trap enable local-bill

snmp-agent trap enable local-bill命令用来开启本地话单缓存告警功能。

undo snmp-agent trap enable local-bill用来关闭本地话单缓存告警功能。

【命令】

snmp-agent trap enable local-bill

undo snmp-agent trap enable local-bill

【缺省情况】

本地话单缓存告警功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本地话单上传缓存告警功能后，当系统定时自动上传或超过阈值时自动上传本地缓存的话单到服务器失败时，会发送表示本地话单上传失败的告警信息。

发送告警信息的最小时间间隔为10秒。当出现上传话单失败而需要发送告警信息时，如果距离上次上传失败发送告警信息间隔不足10秒，则本次不会发送告警信息。

【举例】

# 开启本地话单缓存告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable local-bill

【相关命令】

· local-bill export-interval

· local-bill export-url

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

行业解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

16-BRAS业务命令参考

目录

01-AAA命令

1 AAA

1.1 ISP域中实现AAA配置命令

1.1.12 aaa stop-accounting-packet master-replace-send

1.1.14 aaa ssid

1.1.18 accounting ipoe

1.1.23 accounting quota-out

1.1.24 accounting start-delay

1.1.27 authentication default

1.1.28 authentication ipoe

1.1.33 authentication super

1.1.34 authentication-method none authorization-attribute

1.1.37 authorization ipoe

1.1.42 authorization-attribute (ISP domain view)

1.1.52 domain

1.1.53 domain default enable

1.1.58 l2tp-user radius-force