- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-AAA命令
本章节下载 (964.55 KB)
目 录
1.1.1 aaa abnormal-offline-record enable
1.1.6 aaa normal-offline-record enable
1.1.7 aaa offline-record enable
1.1.8 aaa online-fail-record enable
1.1.20 authentication-method none authorization-attribute
1.1.25 authorization-attribute (ISP domain view)
1.1.26 display aaa abnormal-offline-record
1.1.27 display aaa normal-offline-record
1.1.28 display aaa offline-record
1.1.29 display aaa online-fail-record
1.1.30 display aaa online-offline-reason
1.1.32 display domain access-user statistics
1.1.36 local-server log change-password-prompt
1.1.39 reset aaa abnormal-offline-record
1.1.40 reset aaa normal-offline-record
1.1.41 reset aaa offline-record
1.1.42 reset aaa online-fail-record
1.1.43 session-time include-idle-time
1.1.44 state (ISP domain view)
1.1.45 state block time-range name
1.2.2 authorization-attribute (Local user view/user group view)
1.2.6 display user-group identity-active
1.2.9 password (Device management user view)
1.2.10 password (Network access user view)
1.2.11 service-type (Local user view)
1.2.12 state (Local user view)
1.2.14 validity-datetime (Device management user view)
1.3.3 attribute convert (RADIUS scheme view)
1.3.4 attribute reject (RADIUS scheme view)
1.3.6 attribute vendor-id 2011 version
1.3.7 data-flow-format (RADIUS scheme view)
1.3.9 display radius server-load statistics
1.3.10 display radius statistics
1.3.11 display stop-accounting-buffer (for RADIUS)
1.3.14 key (RADIUS scheme view)
1.3.15 nas-ip (RADIUS scheme view)
1.3.16 primary accounting (RADIUS scheme view)
1.3.17 primary authentication (RADIUS scheme view)
1.3.18 radius attribute extended
1.3.19 radius attribute-test-group
1.3.24 radius stop-accounting-buffer cache
1.3.25 radius stop-accounting-buffer overwrite-oldest
1.3.26 radius stop-accounting-buffer warning-threshold
1.3.28 radius-server test-profile
1.3.29 reset radius server-load statistics
1.3.30 reset radius statistics
1.3.31 reset stop-accounting-buffer (for RADIUS)
1.3.34 retry stop-accounting (RADIUS scheme view)
1.3.35 secondary accounting (RADIUS scheme view)
1.3.36 secondary authentication (RADIUS scheme view)
1.3.37 server-block-action (RADIUS scheme view)
1.3.38 server-load-sharing enable
1.3.39 server-load-sharing mode
1.3.40 snmp-agent trap enable radius
1.3.44 stop-accounting-buffer enable (RADIUS scheme view)
1.3.45 stop-accounting-packet send-force
1.3.47 timer quiet (RADIUS scheme view)
1.3.48 timer response-timeout (RADIUS scheme view)
1.3.49 user-name-format (RADIUS scheme view)
1.3.50 vpn-instance (RADIUS scheme view)
1.4.1 data-flow-format (HWTACACS scheme view)
1.4.3 display stop-accounting-buffer (for HWTACACS)
1.4.6 hwtacacs-user change-password
1.4.7 key (HWTACACS scheme view)
1.4.8 nas-ip (HWTACACS scheme view)
1.4.9 primary accounting (HWTACACS scheme view)
1.4.10 primary authentication (HWTACACS scheme view)
1.4.12 reset hwtacacs statistics
1.4.13 reset stop-accounting-buffer (for HWTACACS )
1.4.14 retry stop-accounting (HWTACACS scheme view)
1.4.15 secondary accounting (HWTACACS scheme view)
1.4.16 secondary authentication (HWTACACS scheme view)
1.4.17 secondary authorization
1.4.18 stop-accounting-buffer enable (HWTACACS scheme view)
1.4.19 timer quiet (HWTACACS scheme view)
1.4.20 timer response-timeout (HWTACACS scheme view)
aaa abnormal-offline-record enable命令用来开启用户异常下线记录功能。
undo aaa abnormal-offline-record enable命令用来关闭用户异常下线记录功能。
【命令】
aaa abnormal-offline-record enable
undo aaa abnormal-offline-record enable
【缺省情况】
用户异常下线记录功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启本功能后,系统会将所有异常下线的用户信息(用户基本信息、下线原因等)记录到系统内存中,方便管理员进行管理和故障定位,具体内容可通过display aaa abnormal-offline-record命令进行查看。当管理员需要分析用户下线原因以及解决用户异常下线问题时,建议开启本功能。
只有用户下线记录功能处于开启状态,本功能才能生效。
设备最多支持存储32768条用户异常下线记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,系统停止记录用户异常下线信息,可提高当前可用内存容量,但管理员将看不到用户异常下线信息,存在一定风险。
【举例】
# 开启用户异常下线记录功能。
<Sysname> system-view
[Sysname] aaa abnormal-offline-record enable
【相关命令】
· aaa offline-record enable
· display aaa abnormal-offline-record
aaa nas-id命令用来在接口上配置NAS-ID。
undo aaa nas-id命令用来恢复缺省情况。
【命令】
aaa nas-id nas-identifier
undo aaa nas-id
【缺省情况】
接口上未配置NAS-ID。
【视图】
三层接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
nas-identifier:NAS-ID名称,为1~253个字符的字符串,不区分大小写。
【使用指导】
用户进行RADIUS认证时,系统会获取设备的NAS-ID来设置RADIUS报文中的NAS-Identifier属性,该属性用于向RADIUS服务器标识用户的接入位置。
设备支持多种途径配置NAS-ID,按照获取优先级从高到低的顺序依次包括:NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、接口视图下的NAS-ID、ISP域视图下的NAS-ID。其中,接口视图下配置的NAS-ID仅对PPP用户有效。若以上配置都不存在,则使用设备的名称作为NAS-ID。
【举例】
# 在接口GigabitEthernet1/2/0/1上配置NAS-ID为test。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/2/0/1
[Sysname-GigabitEthernet1/2/0/1] aaa nas-id test
【相关命令】
· aaa nas-id profile
· nas-id
aaa nas-id profile命令用来创建NAS-ID Profile,并进入NAS-ID-Profile视图。如果指定的NAS-ID Profile已经存在,则直接进入NAS-ID-Profile视图。
undo aaa nas-id profile命令用来删除指定的NAS-ID Profile。
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【缺省情况】
不存在NAS-ID Profile。
系统视图
network-admin
mdc-admin
【参数】
profile-name:Profile名称,为1~31个字符的字符串,不区分大小写。
在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来获知用户的接入位置,而用户的接入VLAN可标识用户的接入位置,因此接入设备上可通过建立用户接入VLAN与指定的NAS-ID之间的绑定关系来实现接入位置信息的映射。NAS-ID Profile用于保存NAS-ID和VLAN的绑定关系。
设备支持多种途径配置NAS-ID,按照获取优先级从高到低的顺序依次包括:NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、接口视图下的设备的NAS-ID、ISP域视图下的NAS-ID。
# 创建一个名称为aaa的NAS-ID Profile,并进入NAS-ID-Profile视图。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【相关命令】
· aaa nas-id
· aaa nas-id-profile
· nas-id bind
aaa nas-id-profile命令用来指定接口引用的NAS-ID Profile。
undo aaa nas-id-profile命令用来恢复缺省情况。
【命令】
aaa nas-id-profile profile-name
undo aaa nas-id-profile
【缺省情况】
未指定引用的NAS-ID Profile。
【视图】
三层接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
profile-name:标识指定VLAN和NAS-ID绑定关系的NAS-ID Profile名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
本配置仅对PPP用户有效。
【举例】
# 在接口GigabitEthernet1/2/0/1上引用名为 bbb的NAS-ID Profile。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/2/0/1
[Sysname–GigabitEthernet1/2/0/1] aaa nas-id-profile bbb
【相关命令】
· aaa nas-id profile
· nas-id bind
aaa nas-ip命令用来在接口上配置设备的NAS-IP地址。
undo aaa nas-ip命令用来删除接口上配置的NAS-IP地址。
【命令】
aaa nas-ip { ipv4-address | ipv6 ipv6-address }
undo aaa nas-ip [ ipv6 ]
【缺省情况】
接口上未配置设备的NAS-IP地址。
【视图】
三层接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:指定的IPv4 NAS-IP地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的IPv6 NAS-IP地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
可通过本命令配置设备发送的RADIUS报文中携带的NAS-IP-Address或NAS-IPv6-Address属性内容,简称为NAS-IP地址,该地址用于标识用户接入的设备,且在RADIUS服务器上必须全局唯一。
RADIUS服务器发送的DAE请求报文中若携带该属性,则表示该请求报文要发送给指定的接入设备。当接入设备收到DAE请求报文后,会获取报文中携带的NAS-IP地址与本地保存的NAS-IP地址进行比较,若相同则接受该请求报文并进行后续的处理,否则不对其进行处理。
接口视图、RADIUS方案视图以及系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址,具体生效情况如下:
· 接口视图下配置的NAS-IP地址(通过aaa nas-ip命令)只对在本接口上线的用户有效。
· RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的NAS-IP地址(通过radius nas-ip命令)对所有RADIUS方案有效。
· 以上各视图下的配置优先级从高到底依次为:接口视图->RADIUS方案视图->系统视图。
一个接口视图下,最多允许指定一个IPv4 NAS-IP地址和一个IPv6 NAS-IP地址。
如果undo aaa nas-ip命令中不指定ipv6参数,则表示删除配置的IPv4 NAS-IP地址。
【举例】
# 在接口GigabitEthernet1/2/0/1上配置设备的NAS-IP地址为1.1.1.1。
<Sysname> system-view
[sysname] interface gigabitethernet 1/2/0/1
[sysname-GigabitEthernet1/2/0/1] aaa nas-ip 1.1.1.1
【相关命令】
· nas-ip (RADIUS scheme view)
· radius nas-ip
aaa normal-offline-record enable命令用来开启用户正常下线记录功能。
undo aaa normal-offline-record enable命令用来关闭用户正常下线记录功能。
【命令】
aaa normal-offline-record enable
undo aaa normal-offline-record enable
【缺省情况】
用户正常下线记录功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启本功能后,设备会将所有用户正常下线信息(用户基本信息、下线原因等)记录到系统内存中,具体内容可通过display aaa normal-offline-record命令进行查看。当管理员需要分析用户下线原因时,建议开启本功能。
只有用户下线记录功能处于开启状态,本功能才能生效。
设备最多支持存储32768条用户正常下线记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,系统停止记录用户正常下线信息,可提高当前可用内存容量,但管理员将看不到用户正常下线信息。
【举例】
# 开启用户正常下线记录功能。
<Sysname> system-view
[Sysname] aaa normal-offline-record enable
【相关命令】
· aaa offline-record enable
· display aaa normal-offline-record
aaa offline-record enable命令用来开启用户下线记录功能。
undo aaa offline-record enable命令用来关闭用户下线记录功能。
【命令】
aaa offline-record enable
undo aaa offline-record enable
【缺省情况】
用户下线记录功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
本功能用于总体控制用户下线记录功能是否开启。只有本功能处于开启状态,用户正常下线记录功能和用户异常下线记录功能才能生效。
开启本功能后,若用户正常下线记录功能、用户异常下线记录功能处于开启状态,设备会将所有用户正常下线、用户异常下线的信息(用户基本信息、下线原因等)记录到系统内存中,具体内容可通过display aaa offline-record命令进行查看。
设备最多支持存储65536条用户下线记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,用户下线信息不会被记录到系统内存中,可提高系统当前可用内存容量,但管理员将看不到用户下线信息。
【举例】
# 开启用户下线记录功能。
<Sysname> system-view
[Sysname] aaa offline-record enable
【相关命令】
· aaa abnormal-offline-record enable
· aaa normal-offline-record enable
· display aaa offline-record
aaa online-fail-record enable命令用来开启用户上线失败记录功能。
undo aaa online-fail-record enable命令用来关闭用户上线失败记录功能。
【命令】
aaa online-fail-record enable
undo aaa online-fail-record enable
【缺省情况】
用户上线失败记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启本功能后,设备会将所有用户上线失败信息(用户基本信息、上线失败原因等)记录到系统内存中,具体内容可通过display aaa online-fail-record命令进行查看。当管理员需要获取用户上线失败记录,以对恶意用户进行初步排查时,建议开启本功能。
设备最多支持存储32768条用户上线失败记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,系统停止记录用户上线失败信息,可提高当前可用内存容量,但管理员将看不到用户上线失败信息,存在一定风险。
【举例】
# 开启用户上线失败记录功能
<Sysname> system-view
[Sysname] aaa online-fail-record enable
【相关命令】
· display aaa online-fail-record
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况。
【命令】
aaa session-limit { ftp | http | https | ssh [ service-type { netconf | scp | sftp | stelnet } ] | telnet } max-sessions
undo aaa session-limit { ftp | http | https | ssh [ service-type { netconf | scp | sftp | stelnet } ] | telnet }
【缺省情况】
同时在线的各类型最大用户连接数均为32。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ftp:表示FTP用户。
http:表示HTTP用户。
https:表示HTTPS用户。
ssh:表示SSH用户,包括NETCONF over SSH、SCP、SFTP、Stelnet四种子服务类型。
service-type:表示SSH子服务类型。
· netconf:表示NETCONF over SSH用户。
· scp:表示SCP用户。
· sftp:表示SFTP用户。
· stelnet:表示Stelnet用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,FTP/SSH/Telnet用户的取值范围为1~32,HTTP/HTTPS用户的取值范围为1~64。
【使用指导】
当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
可以对SSH用户和各类SSH子服务用户(NETCONF over SSH/SCP/SFTP/Stelnet用户)分别设置最大连接数。对于SSH子服务用户,需要受子服务用户最大连接数和SSH用户最大连接数的双重限制。子服务用户上线时,系统首先检查在线的SSH子服务用户连接数之和是否已经达到了SSH用户的最大连接数,然后再检查对应的子服务连接数是否已经达到该服务的最大连接数。
【举例】
# 设置同时在线的最大FTP用户连接数为4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
access-limit用来配置ISP域下允许接入的最大用户数。
undo access-limit命令用来恢复缺省情况。
【命令】
access-limit limit-number
undo access-limit
【缺省情况】
该域下未限制接入的用户数。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
limit-number:表示允许接入的最大用户数,取值范围为1~2147483647。
【使用指导】
ISP域下允许接入的用户数并不区分接入用户的类型,只要接入用户总数超过限定值后,新接入的用户将被拒绝认证。对于login用户,还需要受到系统视图下aaa session-limit的限制。
在线用户重认证时,不受所在域的最大用户数限制。
【举例】
# 配置ISP域my-domain下允许接入的最大用户数为100。
<Sysname> system-view
[Sysname] domain name my-domain
[Sysname-isp-my-domain] access-limit 100
【相关命令】
· display domain
accounting command命令用来配置命令行计费方法。
undo accounting command命令用来恢复缺省情况。
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【缺省情况】
命令行计费采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
命令行计费过程是指,用户执行过的合法命令会被发送给计费服务器进行记录。若未开启命令行授权功能,则计费服务器对用户执行过的所有合法命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能。
【举例】
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【相关命令】
· accounting default
· command accounting(基础配置命令参考/登录设备)
· hwtacacs scheme
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting default
【缺省情况】
当前ISP域的缺省计费方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域system下,配置缺省计费方法为local。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-system] accounting default local
# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting login
【缺省情况】
login用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
不支持对FTP、SFTP以及SCP类型的login用户进行计费。
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting login radius-scheme rd local
【相关命令】
· accounting default
· hwtacacs scheme
· local-user
· radius scheme
accounting ppp命令用来为PPP用户配置计费方法。
undo accounting ppp命令用来恢复缺省情况。
【命令】
accounting ppp { local [ none ] | none }
undo accounting ppp
【缺省情况】
PPP用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
local:本地计费。
none:不计费。
【使用指导】
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为PPP用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting ppp local
【相关命令】
· accounting default
· local-user
accounting start-fail命令用来配置用户计费开始失败策略,即设备向计费服务器发送计费开始请求失败后,是否允许用户接入网络。
undo accounting start-fail命令用来恢复缺省情况。
【命令】
accounting start-fail { offline | online }
undo accounting start-fail
【缺省情况】
如果用户计费开始失败,允许用户保持在线状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
offline:强制用户下线。
online:允许用户保持在线状态。
【举例】
# 在ISP域test下,配置计费开始失败策略为:用户计费开始失败时允许用户保持在线状态。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting start-fail online
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication default
【缺省情况】
当前ISP域的缺省认证方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域system下,配置缺省认证方法为local。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-system] authentication default local
# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication login
【缺省情况】
login用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为login用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication login radius-scheme rd local
【相关命令】
· authentication default
· hwtacacs scheme
· local-user
· radius scheme
authentication ppp命令用来为PPP用户配置认证方法。
undo authentication ppp命令用来恢复缺省情况。
【命令】
authentication ppp { local [ none ] | none }
undo authentication ppp
【缺省情况】
PPP用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
local:本地认证。
none:不进行认证。
【使用指导】
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为PPP用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication ppp local
【相关命令】
· authentication default
· local-user
authentication super命令用来配置用户角色切换认证方法。
undo authentication super命令用来恢复缺省情况。
【命令】
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *
undo authentication super
【缺省情况】
用户角色切换认证采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限。为了保证切换操作的安全性,需要在用户执行用户角色切换时进行身份认证。设备支持本地和远程两种认证方式,关于用户角色切换的详细介绍请参见“基础配置分册”中的“RBAC”。
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证。
【举例】
# 在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain name test
[Sysname-isp-test] authentication super hwtacacs-scheme tac
【相关命令】
· authentication default
· hwtacacs scheme
· radius scheme
authentication-method none authorization-attribute命令用来配置采用none认证方法时的用户授权属性。
undo authentication-method none authorization-attribute命令用来恢复缺省情况。
【命令】
authentication-method none authorization-attribute session-timeout timeout
undo authentication-method none authorization-attribute session-timeout
【缺省情况】
ISP域下的用户授权属性由服务器授权,若服务器未授权该属性,则采用ISP域下的授权属性设置。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
session-timeout timeout:用户的会话超时时间,取值范围为1~4294967294,单位为秒。如果用户在线时长超过该值,设备会强制该用户下线。此属性只对PPP用户生效。
【使用指导】
缺省情况下,认证用户的授权属性可由服务器下发或在ISP域下由authorization-attribute命令设置,设备并未区分该用户使用的认证方法。为了满足采用none认证方法时设置用户授权属性的灵活性,可以配置本特性。目前,本特性仅支持对用户会话超时时间属性进行设置。
对于采用none认证方法的用户,如果通过本命令设置了指定的授权属性,则该授权属性优先级高于ISP域下由authorization-attribute命令设置的对应授权属性。
【举例】
# 在ISP域test下,配置采用none认证方法时的用户会话超时时间为60秒。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication-method none authorization-attribute session-timeout 60
【相关命令】
· authorization-attribute
authorization command命令用来配置命令行授权方法。
undo authorization command命令用来恢复缺省情况。
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization command
【缺省情况】
命令行授权采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。用户执行角色所允许的命令时,无须接受授权服务器的检查。
【使用指导】
命令行授权是指,用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制,即,仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行,才能被执行。需要注意的是,命令行授权功能只利用角色中的权限规则对命令行执行权限检查,不进行其它方面的权限检查,例如资源控制策略等。
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行。
可以指定多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
【举例】
# 在ISP域test下,配置命令行授权方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【相关命令】
· command authorization(基础配置命令参考/登录设备)
· hwtacacs scheme
· local-user
authorization default命令用来为当前ISP域配置缺省的授权方法。
undo authorization default命令用来恢复缺省情况。
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization default
【缺省情况】
当前ISP域的缺省授权方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域system下,配置缺省授权方法为local。
<Sysname> system-view
[Sysname] domain name system
[Sysname-isp-system] authorization default local
# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization login
【缺省情况】
login用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为login用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization login radius-scheme rd local
【相关命令】
· authorization default
· hwtacacs scheme
· local-user
· radius scheme
authorization ppp命令用来为PPP用户配置授权方法。
undo authorization ppp命令用来恢复缺省情况。
【命令】
authorization ppp { local [ none ] | none }
undo authorization ppp
【缺省情况】
PPP用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。
【使用指导】
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为PPP用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization ppp local
【相关命令】
· authorization default
· local-user
authorization-attribute命令用来设置当前ISP域下的用户授权属性。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { idle-cut minutes [ flow ] [ traffic { both | inbound | outbound } ] | session-timeout }
undo authorization-attribute { idle-cut | session-timeout }
【缺省情况】
当前ISP域下的用户闲置切换功能处于关闭状态,无其它授权属性。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
idle-cut minutes:指定用户的闲置切断时间。其中,minutes的取值范围为1~600,单位为分钟。此属性只对PPP用户生效。
flow:用户在闲置切断时间内产生的最小数据流量,取值范围1~10240000,单位为字节,缺省值为10240。
traffic:指定闲置切断时间内用户数据流量的统计方向。若不指定该参数,则表示统计用户双向数据流量。
· both:表示用户双向数据流量。
· inbound:表示用户上行数据流量。
· outbound:表示用户下行数据流量。
session-timeout timeout:指定用户的会话超时时间。其中,timeout为设定的会话超时时间,取值范围为1~4294967294,单位为秒。如果用户在线时长超过该值,设备会强制该用户下线。如果RADIUS服务器通过Session-Timeout属性给用户下发了会话超时时间,则服务器下发的会话超时时间优先生效。此属性只对PPP用户生效。
【使用指导】
用户上线后,设备会周期性检测用户的流量,若域内某用户在指定的闲置检测时间内产生的流量小于本命令中指定的最小数据流量,则会被强制下线。需要注意的是,服务器上也可以配置最大空闲时间实现对用户的闲置切断功能,具体为当用户在指定的闲置检测时间内产生的流量小于10240个字节(服务器上该阈值为固定值,不可配置)时,会被强制下线。但是,只有在设备上的闲置切断功能处于关闭状态时,服务器才会根据自身的配置来控制用户的闲置切断。
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
需要注意的是:
· 可通过多次执行本命令配置多个授权属性,但对于相同授权属性,最后一次执行的命令生效。
【举例】
# 指定ISP域test下的用户闲置切断时间为30分钟,闲置切断时间内产生的流量为10240字节。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization-attribute idle-cut 30 10240
【相关命令】
· display domain
display aaa abnormal-offline-record命令用来显示用户异常下线记录。
【命令】
display aaa abnormal-offline-record { access-type { login | ppp } | chassis chassis-number slot slot-number | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa abnormal-offline-record offline-reason { idle-cut | quota-out | realtime-acct-fail | session-timeout | user-detect-fail } [ brief ]
display aaa abnormal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa abnormal-offline-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
access-type:显示指定用户接入类型的异常下线记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
ppp:PPP接入用户。
domain domain-name:显示通过指定ISP域上线的用户的异常下线记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的异常下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户异常下线记录。
ipv6 ipv6-address:显示指定IPv6地址的用户异常下线记录。
slot slot-number:指定单板。slot-number为单板所在的槽位号。
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
username user-name:显示指定用户名的异常下线记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
offline-reason:显示指定下线原因的用户异常下线记录。
· idle-cut:闲置超时后切断。
· quota-out:流量配额耗尽。
· realtime-acct-fail:实时计费失败。
· session-timeout:用户会话超时。
· user-detect-fail:用户探测失败。
time:显示指定时间范围内下线用户的异常下线记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的异常下线记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户异常下线记录的简要信息。若不指定该参数,则表示显示用户异常下线记录的详细信息。
count count:显示指定数量的异常下线记录。count为记录的条目,取值范围为1~32768。
【使用指导】
可通过指定多种组合条件按需查询用户的异常下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户异常下线记录功能是否处于开启状态,只要系统中存在用户异常下线记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户异常下线记录的详细信息。
如果服务器传递给设备的用户名中会携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示所有用户异常下线记录的详细信息。
<Sysname> display aaa abnormal-offline-record
Total count: 1
Username: jay
Domain: dm1
MAC address: -
Access type: SSH
Access interface: GigabitEthernet1/2/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2019-01-02 15:20:33
Offline time: 2019-2-28 15:20:56
Offline reason: User disconnected from the server.
# 显示login用户异常下线记录的简要信息。
<Sysname> display aaa abnormal-offline-record access-type login brief
Username: jay
MAC address: -
IP address: 11.2.2.41
IPv6 address: -
Offline reason: User disconnected from the server.
表1-1 display aaa abnormal-offline-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户异常下线记录总计数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Offline time |
用户下线的时间 |
|
Offline reason |
用户的下线原因,详细介绍请参见表1-2 |
|
Detailed message |
用户下线的详细原因 目前,仅当接口板或者UP发生故障导致用户下线时才会显示本字段,包括如下信息: · 接口板的位置 · 详细原因 |
下表罗列内容为所有产品可支持上/下线原因的合集,具体产品支持情况有所不同。
表1-2 用户上/下线原因描述表
|
字段 |
描述 |
|
Lost carrier. |
物理链路DOWN |
|
Lost service. |
用户业务不支持 |
|
NAS error. |
设备错误 |
|
NAS reboot. |
设备重启 |
|
Admin reboot. |
管理员重启设备 |
|
Process exit. |
接入进程退出 |
|
NAS request. |
设备请求用户下线 |
|
Cut command. |
管理员手动执行命令强制用户下线 |
|
Logged off by the RADIUS server. |
RADIUS服务器要求用户下线 |
|
User request. |
用户请求下线 |
|
Authentication failed |
认证失败 |
|
Authorization failed. |
授权失败 |
|
Start accounting failed. |
开始计费失败 |
|
No AAA response during authentication. |
用户在进行远端服务器认证时,设备在认证超时时间内未收到认证服务器的回应 |
|
RADIUS authentication rejected. |
用户名或密码与RADIUS服务器上的信息不一致,导致认证失败 |
|
AAA authorization information invalid. |
授权信息错误或者设备上没有对应的授权配置 |
|
No AAA response for accounting start. |
用户向远端服务器发送计费开始时,设备在计费开始超时时间内未收到认证服务器的回应 |
|
Authentication request to AAA failed. |
由于设备与RADIUS服务器间路由不可达,导致认证请求发送失败 |
|
Accounting request to AAA failed. |
由于设备与RADIUS服务器间路由不可达,导致计费请求发送失败 |
|
TACACS authentication rejected. |
用户名或密码与HWTACACS服务器上的信息不一致,导致认证失败 |
|
Authentication method error. |
接入模块的认证配置错误。可能是用户请求的认证类型与端口下配置的认证类型不一致 |
|
No AAA response for accounting stop. |
未收到服务器对停止计费请求的回应 |
|
The local user doesn't exist. |
设备上未配置该本地用户 |
|
Local authentication request was rejected. |
用户密码错误导致本地认证被拒绝 |
|
IP assignment failed. |
IP地址分配失败 |
|
Concurrent user login limit reached. |
一个本地用户帐号允许接入的用户数超过了限制 |
|
NAS interface access limit reached. |
NAS接口下上线的用户数已达到了该接口下配置的允许上线用户数目最大限制 |
|
Maximum number of concurrent users that use this account already reached. |
使用该账户的用户达到了上限个数 |
|
PPP negotiation terminated. |
PPP协商过程失败 |
|
Insufficient hardware resources. |
硬件资源不足 |
|
Failed to obtain IPv6 prefix. |
没有可用的IPv6地址前缀用来为用户分配 |
|
No response from DHCP server. |
设备向远端DHCP服务器申请IP地址时,没有收到远端服务器的响应 |
|
DHCP IP address allocation failure. |
DHCPv6地址分配失败,可能的原因包括: · AAA域下没有配置授权IPv6地址池 · IPv6地址池被锁定 |
|
DHCP session conflict. |
新建的DHCP会话与已有的会话冲突 |
|
DHCP user request. |
DHCP用户请求下线 |
|
DHCP lease timeout. |
DHCP用户地址租期到期下线 |
|
DHCP declined. |
已有主机使用服务器分配的IP地址 设备收到用户的DHCP-DECLINE报文,可能是客户端检测到用户网络中存在另一个相同的IP地址 |
|
DHCP configuration changed. |
DHCP配置变化触发用户下线 |
|
UP ID synchronization between DHCP and UPLB failed. |
DHCP与UPLB平滑UP ID失败 |
|
DHCP configuration synchronization between CTRL-VM and BRAS-VM failed. |
CTRL-VM和BRAS-VM平滑配置失败 |
|
DHCP VSRP status changed to Down. |
DHCP VSRP的状态改变,主设备down或备用设备down |
|
Address leases deleted in bulk on the VSRP backup device. |
在VSRP备用设备上批量删除用户的IP地址租约 |
|
Address leases deleted upon CPDR backup mode change from hot to cold. |
CP灾备从热备模式切换为冷备模式,用户的IP地址租约被删除 |
|
Network for the DHCP pool was deleted. |
删除IP地址池下的网段配置,导致网段下的IP地址租约一同被删除 |
|
All subnets in the DHCP address pool have been allocated. |
ODAP类型的IP地址池中无空闲子网段可分配 |
|
All subnets in the DHCP address pool group have been allocated. |
ODAP类型的IP地址池组中无空闲子网段可分配 |
|
All subnets in the DHCPv6 address pool have been allocated. |
ODAP类型的IPv6地址池中无空闲子网段可分配 |
|
All subnets in the DHCPv6 address pool group have been allocated. |
ODAP类型的IPv6地址池组中无空闲子网段可分配 |
|
All prefix ranges in the DHCPv6 address pool have been allocated. |
ODAP类型的IPv6地址池中无空闲前缀段可分配 |
|
All prefix ranges in the DHCPv6 address pool group have been allocated. |
ODAP类型的IPv6地址池组中无空闲前缀段可分配 |
|
NAK from the DHCP server or tenant duration is 0. |
客户端请求的IP地址与设备分配的IP地址网段不一致或续租时间为0 |
|
IP conflict on DHCP server. |
设备检测到IP地址冲突 |
|
DHCP server notified. |
DHCP服务器通知用户下线 |
|
DHCP server notified, and the device deleted the user. |
DHCP服务器端通知用户下线,设备删除用户 |
|
Force user offline by up switch unbind. |
UP备份策略模板下主备接口解绑,强制用户下线 |
|
Force user offline by deleting the remote interface. |
UP管理视图下的远端接口被删除,强制用户下线 |
|
Force user offline by removing the interface from up-backup-profile in warm-standby mode. |
温备模式下,接口从UP备份策略模板中删除,强制用户下线 |
|
AM configuration error. |
AM模块配置错误 |
|
The ND RS session is updated. |
ND用户在线时,又收到该用户的ND上线请求,触发用户下线 |
|
The peer did not respond to control packets. |
对端设备未回应本端的PPP控制报文 |
|
Repeated LCP negotiation packets. |
收到重复的LCP协商报文,可能是客户端断开后重新发起连接 |
|
COA failure. |
设备处理COA授权消息失败 |
|
Failed to update authorization information. |
更新用户授权信息失败 |
|
Realtime accounting request to AAA failed. |
实时计费请求失败 |
|
Session timeout. |
用户会话超时 |
|
Data quota limit reached. |
用户可用流量额度已经达到限定值 |
|
Session idle cut. |
闲置切断,即单位时间内用户的流量小于指定值,设备强制用户下线 |
|
User online detection failure. |
用户在线探测失败 |
|
Port was removed from VLAN. |
用户上线的物理端口被移出所在VLAN |
|
Port error. |
端口错误 |
|
Interface down or deactive. |
接口协议down、链路down或接口未激活 |
|
VSRP status changed. |
VSRP状态变化 |
|
Backup device deleted user data that is inconsistent with data on the master device. |
VSRP备设备删除了与主设备上不一致的用户数据 |
|
MAC address change. |
用户MAC地址变化 |
|
Failed to recover AAA resources. |
恢复用户的AAA资源失败 |
|
Deleted users because of inter-card session conflict. |
不同单板上的会话冲突导致用户下线 |
|
User aged out before coming online. |
达到了接入模块的上线超时时间 |
|
MPU-LPU data synchronization failure. |
板间数据平滑失败 |
|
Failed to synchronize data with DHCP server. |
与DHCP服务器之间数据同步失败 |
|
Failed to synchronize data with portal server. |
与Portal服务器之间同步数据失败 |
|
Failed to synchronize user information with the server. |
与服务器同步用户信息失败 |
|
User recovery failure. |
用户数据恢复失败 |
|
Failed to obtain physical information. |
获取物理信息失败 |
|
Authorization ACL for the online user changed. |
授权的ACL配置变化 |
|
Authorization user profile for the online user changed. |
授权的User Profile配置变化 |
|
Magic number check failed. |
魔术字检查失败 |
|
Reauthentication failed. |
重认证失败 |
|
No AAA response during realtime accounting. |
实时计费无响应 |
|
Invalid username or password. |
无效用户名或者密码 |
|
No VTY line available. |
没有VTY资源,登录VTY的用户数达到了最大值 |
|
SSH server received a packet with an incorrect message authentication code. |
SSH客户端报文的消息认证码(Message Authentication Code)错误 |
|
User disconnected from the server. |
SSH或FTP用户与服务器断开连接 |
|
No working directory available. |
无可用工作路径错误 |
|
PTY allocation failed. |
PTY(伪终端)申请失败 |
|
FTP server error. |
用户连接的FTP服务器异常,由于FTP服务器自身的原因导致用户无法登录 |
|
Server is disabled. |
服务未开启 |
|
Service type not supported. |
服务类型不支持 |
|
RBAC denied file management operations in the login command. |
登录命令中的文件系统操作权限被RBAC禁止 |
|
Failed to issue RBAC access permissions to the login user. |
登录命令行执行权限被RBAC禁止 |
|
NETCONF inner error. |
NETCONF内部错误 |
|
NETCONF session was terminated by another NETCONF session. |
用户的Netconf会话被其它Netconf会话打断 |
|
Failed to allocate public network ports in a CGN network. |
CGN公网端口分配失败 |
|
Failed to obtain an IP address of the type specified for basic services of users. |
用户主业务依赖的IP地址分配失败 |
|
UserGroup configuration changed. |
用户组配置变化 |
|
MAC conflict. |
MAC地址冲突 |
|
RedisDBM clear. |
在数据迁出设备上执行RedisDBM的clear操作导致用户下线 |
|
RedisDBM conflict. |
在数据迁入设备上恢复Redis数据时发生数据冲突 |
|
RedisDBM block. |
在数据迁出设备上执行RedisDBM的block操作导致用户下线 |
|
Logged out by the RADIUS proxy |
被RADIUS代理强制下线 |
|
NAT failed to issue the user port block info to the driver. |
用户上线成功之后,端口块会下发驱动,如果下发驱动失败,用户会下线 |
|
Failed to match NAT configuration. |
用户上线没有匹配上NAT的配置(比如nat outbound 3000 address-group 1配置的ACL与用户信息不符),或者用户平滑时没有匹配上NAT的配置 |
|
Failed to come online by using CGN because the matching NAT doesn't support port block-based NAT. |
用户上线时命中的NAT配置不支持端口块方式,导致用户联动上线失败 |
|
Failed to get NAT instance or NAT instance configuration is not correct. |
负载分担用户组获取NAT实例失败或者NAT实例配置有误,导致用户上线失败 |
|
The NAT address was released. |
由于NAT地址被回收,导致用户下线 |
|
NAT configured with flow-triggered port block assignment doesn't support CGN. |
目前仅有端口块方式支持联动上线,端口块的分配方式由命令行决定,如果开启了流量触发分配端口块,那么被重定向到这个实例的用户上线失败 |
|
NAT failed to issue the user port block info to the driver. |
用户上线成功之后,端口块会下发驱动,如果下发驱动失败,用户会下线 |
|
Failed to come online by using CGN because of session service-location configuration matching failure. |
匹配session service-location命令失败,导致用户上线失败 |
|
Online failed because of matched CGN configuration doesn't support port block. |
用户上线匹配到的NAT配置因没有配置端口块方式导致用户上线失败 |
|
Memory allocation failed for AFT. |
当前内存资源不足,AFT为上线用户申请资源失败 |
|
Failed to add NAT user data (invalid private network address). |
添加NAT用户数据失败,原因是用户地址无效 |
|
NAT obtained an invalid backup instance ID from the user online request message in a UP hot backup environment. |
双机环境中,地址转换模块从用户上线消息中获取的备份实例ID无效,用户上线失败 |
|
NAT instance state error. |
NAT实例状态错误 |
|
The NAT instance was unbound from CGN-UP backup profile. |
CGN-UP备份策略模板与NAT实例解绑 |
|
Failed to obtain user group information. |
获取用户组信息失败 |
|
NAT and BRAS unification failed due to UCM and CGN backup mode mismatch. |
UCM备份模式与CGN备份模式的组合,不支持接入与NAT联动 |
|
User authentication and NAT unification failed due to nat instance is sub type. |
联动上线消息中的NAT实例为子实例,用户上线失败 |
|
Login time beyond validity period. |
登录时间不在本地用户的有效期内 |
|
Maximum number of concurrent SSH users already reached. |
已达到同时在线的最大SSH用户连接数 |
|
BRAS user offline. |
BRAS上的IPoE用户下线导致对应的PPPoE代拨用户下线 |
|
User is in local-user blacklist |
本地用户处于Password Control黑名单中 |
【相关命令】
· reset aaa abnormal-offline-record
display aaa normal-offline-record命令用来显示用户正常下线记录。
【命令】
display aaa normal-offline-record { access-type { login | ppp } | chassis chassis-number slot slot-number | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa normal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa normal-offline-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
access-type:显示指定用户接入类型的正常下线记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
ppp:PPP接入用户。
domain domain-name:显示通过指定ISP域上线的用户的正常下线记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的正常下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户正常下线记录。
ipv6 ipv6-address:显示指定IPv6地址的用户正常下线记录。
slot slot-number:指定单板。slot-number为单板所在的槽位号。
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
username user-name:显示指定用户名的正常下线记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
time:显示指定时间范围内上线用户的正常下线记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的正常下线记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户正常下线记录的简要信息。若不指定该参数,则表示显示用户正常下线记录的详细信息。
count count:显示指定数量的正常下线失败记录。count为记录的条目,取值范围为1~32768。
【使用指导】
可通过指定多种组合条件按需查询用户的正常下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户正常下线记录功能是否处于开启状态,只要系统中存在用户正常下线记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户正常下线记录的详细信息。
如果服务器传递给设备的用户名中会携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示所有用户正常下线记录的详细信息。
<Sysname> display aaa normal-offline-record
Total count: 1
Username: jay
Domain: dm1
MAC address: -
Access type: Telnet
Access interface: GigabitEthernet1/2/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2019-01-02 15:20:33
Offline time: 2019-2-28 15:20:56
Offline reason: User request.
# 显示login用户正常下线记录的简要信息。
<Sysname> display aaa offline-record access-type login brief
Username: jay
MAC address: -
IP address: 11.2.2.41
IPv6 address: -
Offline reason: User request.
表1-3 display aaa normal-offline-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户正常下线记录总计数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · Web:通过Web登录设备的用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Offline time |
用户下线的时间 |
|
Offline reason |
用户的下线原因,详细介绍请参见表1-2 |
【相关命令】
· reset aaa normal-offline-record
display aaa offline-record命令用来显示用户下线记录。
【命令】
display aaa offline-record { access-type { login | ppp } | chassis chassis-number slot slot-number | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa offline-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
access-type:显示指定用户接入类型的下线记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
ppp:PPP接入用户。
domain domain-name:显示通过指定ISP域上线的用户的下线记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户下线记录。
ipv6 ipv6-address:显示指定IPv6地址的用户下线记录。
slot slot-number:指定单板。slot-number为单板所在的槽位号。
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
username user-name:显示指定用户名的下线记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
time:显示指定时间范围内下线用户的下线记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的下线记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户下线记录的简要信息。若不指定该参数,则表示显示用户下线记录的详细信息。
count count:显示指定数量的下线记录。count为记录的条目,取值范围为1~65536。
【使用指导】
可通过指定多种组合条件按需查询用户的下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户下线记录功能是否处于开启状态,只要系统中存在用户下线记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户下线记录的详细信息。
如果服务器传递给设备的用户名中会携带不可见字符,因此使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示所有用户下线记录的详细信息。
<Sysname> display aaa offline-record
Total count: 1
Username: jay
Domain: dm1
MAC address: -
Access type: Telnet
Access interface: GigabitEthernet1/2/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2019-01-02 15:20:33
Offline time: 2019-2-28 15:20:56
Offline reason: User request
# 显示login用户下线记录的简要信息。
<Sysname> display aaa offline-record access-type login brief
Username: jay
MAC address: -
IP address: 20.20.20.1
IPv6 address: -
Offline reason: User request.
Username: test
MAC address: -
IP address: 20.20.20.3
IPv6 address: -
Offline reason: User request.
表1-4 display aaa offline-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户下线记录总计数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Offline time |
用户下线的时间 |
|
Offline reason |
用户的下线原因,详细介绍请参见表1-2 |
|
Detailed message |
用户下线的详细原因 目前,仅当接口板或者UP发生故障导致用户下线时才会显示本字段,包括如下信息: · 接口板的位置 · 详细原因 |
【相关命令】
· reset aaa offline-record
display aaa online-fail-record命令用来显示用户上线失败记录。
【命令】
display aaa online-fail-record { access-type { login | ppp } | chassis chassis-number slot slot-number | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa online-fail-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa online-fail-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
access-type:显示指定用户接入类型的上线失败记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
ppp:PPP接入用户。
domain domain-name:显示通过指定ISP域上线的用户的上线失败记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的上线失败信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户上线失败记录。
ipv6 ipv6-address:显示指定IPv6地址的用户上线失败记录。
slot slot-number:指定单板。slot-number为单板所在的槽位号。
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在集群中的成员编号,slot-number表示单板所在的槽位号。
username user-name:显示指定用户名的上线失败记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
time:显示指定时间范围内上线用户的上线失败记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的上线失败记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户上线失败记录的简要信息。若不指定该参数,则表示显示用户上线失败记录的详细信息。
count count:显示指定数量的上线失败记录。count为记录的条目,取值范围为1~32768。
【使用指导】
可通过指定多种组合条件按需查询用户的上线失败记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户上线失败记录功能是否处于开启状态,只要系统中存在用户上线失败记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户上线失败记录的详细信息。
如果服务器传递给设备的用户名中会携带不可见字符,因此使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示2条用户名为aaa的login用户上线失败记录的详细信息。
<Sysname> display aaa online-fail-record username aaa access-type login count 2
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: GigabitEthernet1/2/0/1
SVLAN/CVLAN: 100/-
IP address: 19.19.0.1
IPv6 address: -
Online request time: 2019-01-02 15:20:37
Online failure reason: Authentication failed.
Server reply message: no user exists.
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: GigabitEthernet1/2/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2019-01-02 15:20:33
Online failure reason: Authentication failed.
Server reply message: no user exists.
# 显示2019/3/1的13:20:50 到2019/3/2的10:20:30这段时间内的上线失败用户记录的简要信息。
<Sysname> display aaa online-fail-record time 13:20:50 10:20:30 date 2019/3/1 2019/3/2 brief
Username: aaa
MAC address: -
IP address: 19.19.0.2
IPv6 address: -
Online failure reason: Authentication failed.
Server reply message: no user exists.
# 显示2019/3/1的13:20:50至2019/3/2的17:20:30期间的用户上线失败记录。
<Sysname> display aaa online-fail-record time 13:20:50 17:20:30 date 2019/3/1 2019/3/2
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: GigabitEthernet1/2/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.1
IPv6 address: -
Online request time: 2019-03-02 16:20:33
Online failure reason: Authentication failed
Server reply message: no user exists.
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: GigabitEthernet1/2/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2019-03-01 15:20:51
Online failure reason: Authentication failed.
Server reply message: no user exists.
表1-5 display aaa online-fail-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户上线失败记录总数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
用户上线使用的ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Online failure reason |
用户的上线失败原因,详细介绍请参见表1-2 |
|
Server reply message |
服务器下发的消息(若未下发,则不显示) |
【相关命令】
· reset aaa online-fail-record
display aaa online-offline-reason命令用来显示用户上下线原因码的描述信息。
【命令】
display aaa online-offline-reason [ code code-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
code code-id:上下线原因码的编号,最小值为1,具体取值范围请在参数位置输入<?>查看。
【使用指导】
用户上线失败以及正常或异常下线时,设备会细分原因并使用原因码标识它们。在用户下线时,设备还会在计费停止请求报文中携带该原因码向服务器端告知用户下线的原因。管理员可以在设备上通过执行本命令来查看这些原因码所代表的含义。
若不指定任何参数,则表示显示所有的用户上下线原因码描述信息(不包括预留原因码)。因此,在使用本命令查看用户上下线原因码的描述信息时,建议通过指定原因编号的方式对显示信息进行过滤,避免信息过多,不易查找。
【举例】
# 显示编号为1的用户上下线原因码的描述信息。
<Sysname> display aaa online-offline-reason code 1
Code Description
1 user logoff
display domain命令用来显示所有或指定ISP域的配置信息。
【命令】
display domain [ name isp-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
name isp-name:ISP域名,为1~255个字符的字符串,不区分大小写。如果不指定该参数,则表示所有ISP域。
【使用指导】
若要查看ISP域中的负载分担用户组及组内用户数目信息,执行本命令时必须指定该域的名称。
【举例】
# 显示系统中所有ISP域的配置信息。
<Sysname> display domain
Total 2 domains
Domain: system
Current state: Active
State configuration: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Offline
Send accounting update:Yes
Service type: HSI
Session time: Exclude idle time
DHCPv6-follow-IPv6CP timeout: 60 seconds
IPv6CP interface ID assignment: Enable
Dual-stack accounting method: Merge
NAS-ID: N/A
Service rate-limit mode: Separate
Web server IPv4 URL : Not configured
Track : Not configured
Web server IPv6 URL : Not configured
Track : Not configured
Web server URL parameters : Not configured
Web server IPv4 address : Not configured
Web server IPv6 address : Not configured
Secondary Web server IPv4 URL : Not configured
Track : Not configured
Secondary Web server IPv6 URL : Not configured
Track : Not configured
Secondary Web server IPv4 address : Not configured
Secondary Web server secondary IPv4 address: Not configured
Secondary Web server IPv6 address : Not configured
Secondary Web server secondary IPv6 address: Not configured
Redirect active time : Not configured
Redirect server IPv4 address : Not configured
Temporary redirect : Disabled
Redirect server IPv6 address : Not configured
Access user auto-save : Enabled
Authorization attributes:
Idle cut: Disabled
IGMP access limit: 4
MLD access limit: 4
Inbound user profile: a
Outbound user profile: b
IPv4 multicast user profile: c
IPv6 multicast user profile: d
Access limit: Not configured
Access interface VPN instance strict check: Disabled
Dynamic authorization effective attributes: Not configured
Authen-radius-unavailable: Not configured
Authen-radius-recover: Not configured
IP resource usage warning thresholds:
High threshold: Not configured
Low threshold: Not configured
IPv6 resource usage warning thresholds:
High threshold: Not configured
Low threshold: Not configured
Authen-fail action: Offline
L2TP-user RADIUS-force: Disabled
IPv6 ND autoconfiguration:
Managed-address flag: Unset
Other flag : Unset
Domain: dm
Current state: Active
State configuration: Blocked during specific time ranges
Time ranges:
t1
t2
Online-user logoff: Enabled
Login authentication scheme: RADIUS=rad
Login authorization scheme: HWTACACS=hw
Super authentication scheme: RADIUS=rad
Command authorization scheme: HWTACACS=hw
LAN access authentication scheme: RADIUS=r4
Default authentication scheme: RADIUS=rad, Local, None
Default authorization scheme: Local
Default accounting scheme: None
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Redirect
Redirect URL : http://3.3.3.3/web
Stop accounting: Yes
User profile : abc
Send accounting update:Yes
ITA service policy: ita1
Service type: HSI
Session time: Include idle time
User basic service IP type: IPv4 IPv6 IPv6-PD
DHCPv6-follow-IPv6CP timeout: 33 seconds
IPv6CP interface ID assignment: Enable
Accounting start delay: 60 seconds
Dual-stack accounting method: Merge
NAS-ID: test
Service rate-limit mode: Separate
Web server IPv4 URL : http://1.2.3.4
Track : 11 (Positive)
Web server IPv6 URL : http://1:2::3:4
Track : 12 (Positive)
Web server URL parameters : userurl=http://www.test.com/welcome
userip=source-address
usermac=source-mac (format: XXXX-XXXX-XXXX)
userlct=user-location (format: port:vlan1.vlan2)
Web server IPv4 address : 1.2.3.4
Web server secondary IPv4 address: Not configured
Web server IPv6 address : Not configured
Web server secondary IPv6 address: Not configured
Secondary Web server IPv4 URL : Not configured
Track : Not configured
Secondary Web server IPv6 URL : Not configured
Track : Not configured
Secondary Web server IPv4 address : Not configured
Secondary Web server secondary IPv4 address: Not configured
Secondary Web server IPv6 address : Not configured
Secondary Web server secondary IPv6 address: Not configured
Redirect active time : 60 seconds
Redirect server IPv4 address : 1.1.1.2
Temporary redirect : Enabled
Redirect server IPv6 address : 1:2::3:2
Access user auto-save : Enabled
Authorization attributes :
IP pool: appy
User profile: test
Session group profile: abc
Inbound CAR: CIR 64000 bps PIR 640000 bps
Outbound CAR: CIR 64000 bps PIR 640000 bps
ACL number: 3000
User group: ugg
IPv6 prefix: 1::/34
IPv6 pool: ipv6pool
IPv6 ND prefix pool: rnd
Primary DNS server: 6.6.6.6
Secondary DNS server: 3.6.2.3
URL: http://abc
Redirect limit: 5
VPN instance: vpn1
IGMP access limit: 12
MLD access limit: 35
User session timeout: 28 seconds
Access limit: 400
Access interface VPN instance strict check: Enabled
Dynamic authorization effective attributes:
CAR
URL
User group
Authen-radius-unavailable: Online domain dm2
Authen-radius-recover: Online domain dm
IP resource usage warning thresholds:
High threshold: 70%
Low threshold: 10%
IPv6 resource usage warning thresholds:
High threshold: 70%
Low threshold: 10%
Authen-fail action: Online on domain dm1
L2TP-user RADIUS-force: Enabled
L2TP-group group-number: 1
Access limit per account (case-sensitive): 5
Authorization attributes specific to none authentication:
User session timeout: 28 seconds
IPv6 ND autoconfiguration:
Managed-address flag: Set
Other flag : Unset
Default domain name: system
# 显示ISP域bbb的配置信息及负载分担用户组的信息。
<Sysname> display domain name bbb
Domain: bbb
Current state: Active
State configuration: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Offline
Send accounting update:Yes
Service type: HSI
Session time: Exclude idle time
DHCPv6-follow-IPv6CP timeout: 60 seconds
IPv6CP interface ID assignment: Enable
Dual-stack accounting method: Merge
NAS-ID: N/A
Service rate-limit mode: Separate
Web server IPv4 URL : Not configured
Track : Not configured
Web server IPv6 URL : Not configured
Track : Not configured
Web server URL parameters : Not configured
Web server IPv4 address : Not configured
Web server secondary IPv4 address: 1.2.3.5
Web server IPv6 address : Not configured
Web server secondary IPv6 address: Not configured
Secondary Web server IPv4 URL : Not configured
Track : Not configured
Secondary Web server IPv6 URL : Not configured
Track : Not configured
Secondary Web server IPv4 address : Not configured
Secondary Web server secondary IPv4 address: 1.2.3.6
Secondary Web server IPv6 address : Not configured
Secondary Web server secondary IPv6 address: Not configured
Redirect active time : Not configured
Redirect server IPv4 address : Not configured
Temporary redirect : Disabled
Redirect server IPv6 address : Not configured
Access user auto-save : Enabled
Authorization attributes:
Idle cut: Disabled
IGMP access limit: 4
MLD access limit: 4
Access limit: Not configured
Access interface VPN instance strict check: Enabled
Dynamic authorization effective attributes: Not configured
Authen-radius-unavailable: Not configured
Authen-radius-recover: Offline
IP resource usage warning thresholds:
High threshold: Not configured
Low threshold: Not configured
IPv6 resource usage warning thresholds:
High threshold: Not configured
Low threshold: Not configured
Load-sharing user groups:
g1: 323 user(s)
g2: 324 user(s)
Authen-fail action: Offline
L2TP-user RADIUS-force: Disabled
Authorization attributes specific to none authentication:
User session timeout: 28 seconds
IPv6 ND autoconfiguration:
Managed-address flag: Unset
Other flag : Unset
表1-6 display domain命令显示信息描述表
|
字段 |
描述 |
|
Total x domains |
总计X个ISP域 |
|
Domain |
ISP域名 |
|
Current state |
ISP域的当前状态,包括以下取值: · Blocked:阻塞状态 · Active:活动状态 |
|
State configuration |
ISP域的状态配置,包括以下取值: · Active:活动状态 · Blocked during specific time ranges:在指定时间段处于阻塞状态 · Blocked:阻塞状态 |
|
Time ranges |
ISP域处于阻塞状态的时间段名称 |
|
Online-user logoff |
ISP域处于阻塞状态后强制在线用户下线功能的状态,包括以下取值: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Default authentication scheme |
缺省的认证方案 |
|
Default authorization scheme |
缺省的授权方案 |
|
Default accounting scheme |
缺省的计费方案 |
|
Login authentication scheme |
Login用户认证方案 |
|
Login authorization scheme |
Login用户授权方案 |
|
Login accounting scheme |
Login用户计费方案 |
|
Super authentication scheme |
用户角色切换认证方案 |
|
PPP authentication scheme |
PPP用户的认证方案 |
|
PPP authorization scheme |
PPP用户的授权方案 |
|
PPP accounting scheme |
PPP用户的计费方案 |
|
Command authorization scheme |
命令行授权方案 |
|
Command accounting scheme |
命令行计费方案 |
|
RADIUS |
RADIUS方案 |
|
HWTACACS |
HWTACACS方案 |
|
Local |
本地方案 |
|
None |
不认证、不授权和不计费 |
|
Accounting start failure action |
(暂不支持)用户计费开始失败的动作,包括以下取值: · Online:如果用户计费开始失败,则保持用户在线 · Offline:如果用户计费开始失败,则强制用户下线 |
|
Accounting update failure max-times |
(暂不支持)允许用户连续计费更新失败的次数 |
|
Accounting update failure action |
(暂不支持)用户计费更新失败的动作,包括以下取值: · Online:如果用户计费更新失败,则保持用户在线 · Offline:如果用户计费更新失败,则强制用户下线 |
|
Accounting quota out policy |
(暂不支持)用户计费配额耗尽策略,包括以下取值: · Online:如果用户计费配额耗尽,则保持用户在线 · Offline:如果用户计费配额耗尽,则强制用户下线 · Redirect:发送重定向URL |
|
Redirect URL |
(暂不支持)强制重定向的URL |
|
Stop accounting |
(暂不支持)向计费服务器发送停止计费报文 |
|
User profile |
下发给用户的User Profile的名称 |
|
Send accounting update |
用户配额耗尽后是否发送获取新配额的计费更新报文: · Yes:发送 · No:不发送 |
|
ITA service policy |
采用的ITA业务策略 |
|
Service type |
ISP域的业务类型,取值为HSI,STB和VoIP |
|
Session time |
当用户异常下线时,设备上传到服务器的用户在线时间情况: · Include idle time:保留用户闲置切断时间 · Exclude idle time:扣除用户闲置切断时间 |
|
User address type |
(暂不支持)用户地址类型 |
|
User basic service IP type |
(暂不支持)用户主业务依赖的IP地址类型 · IPv4:IPv4地址类型 · IPv6:IPv6地址类型 · IPv6-PD:IPv6 PD前缀 |
|
DHCPv6-follow-IPv6CP timeout |
(暂不支持)用户等待分配IPv6地址/PD的时间(单位为秒) |
|
IPv6CP interface ID assignment |
(暂不支持)IPv6CP协商时由设备强制分配接口ID功能,包括以下取值: · Enable:处于开启状态,表示IPv6CP协商时,由BRAS强制分配接口ID,不接受用户携带的非0且不冲突接口ID · Disable:处于关闭状态,表示IPv6CP协商时接受用户携带的非0且不冲突接口ID |
|
Dual-stack accounting method |
(暂不支持)双协议栈用户的计费方式,包括以下取值: · Merge:统一计费,即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器 · Separate:分别计费,即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器 |
|
Accounting start delay |
(暂不支持)发送计费开始请求报文的延迟时间 若未配置,则不显示该字段 |
|
NAS-ID |
设备的NAS-ID 若未配置,则显示为N/A |
|
Web server IPv4 URL |
(暂不支持)Web服务器的IPv4 URL |
|
Web server IPv6 URL |
(暂不支持)Web服务器的IPv6 URL |
|
Track |
(暂不支持)Web服务器URL关联的Track项的序号(Track项的状态) 若Web服务器URL未关联Track项,则显示为Not configured |
|
Web server URL parameters |
(暂不支持)Web服务器的URL携带的参数信息 |
|
format |
携带的MAC地址格式,其中3段式和6段式的分隔符可配,取值如下三例所示: · XXXXXXXXXXXX或xxxxxxxxxxxx:1段式 · XXXX-XXXX-XXXX或xxxx-xxxx-xxxx:3段式 · XX-XX-XX-XX-XX-XX或xx-xx-xx-xx-xx-xx:6段式 |
|
Web server IPv4 address |
(暂不支持)Web服务器的IPv4地址 若提供Web认证页面的服务器IPv4地址有两个,则还需要将其中一个指定为备份的IPv4地址 |
|
Web server secondary IPv4 address |
(暂不支持)Web服务器备份的IPv4地址 |
|
Web server IPv6 address |
(暂不支持)Web服务器的IPv6地址 若提供Web认证页面的服务器IPv6地址有两个,则还需要将其中一个指定为备份的IPv6地址 |
|
Web server secondary IPv6 address |
(暂不支持)Web服务器备份的IPv6地址 |
|
Secondary Web server IPv4 URL |
(暂不支持)备用Web服务器的IPv4 URL |
|
Secondary Web server IPv6 URL |
(暂不支持)备用Web服务器的IPv6 URL |
|
Secondary Web server IPv4 address |
(暂不支持)备用Web服务器的IPv4地址 若提供Web认证页面的服务器IPv4地址有两个,则还需要将其中一个指定为备份的IPv4地址 |
|
Secondary Web server secondary IPv4 address |
(暂不支持)备用Web服务器备份的IPv4地址 |
|
Secondary Web server IPv6 address |
(暂不支持)备用Web服务器的IPv6地址 若提供Web认证页面的服务器IPv6地址有两个,则还需要将其中一个指定为备份的IPv6地址 |
|
Secondary Web server secondary IPv6 address |
(暂不支持)备用Web服务器备份的IPv6地址 |
|
Redirect active time |
(暂不支持)推送Web重定向URL的有效时长,单位为秒 |
|
Redirect server IPv4 address |
(暂不支持)Web重定向页面的服务器IPv4地址 |
|
Temporary redirect |
(暂不支持)临时重定向功能,包括以下取值: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Redirect server IPv6 address |
(暂不支持)Web重定向页面的服务器IPv6地址 |
|
Access user auto-save |
DHCP用户信息自动备份功能 · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Authorization attributes |
ISP的用户授权属性 |
|
Idle cut |
用户闲置切断功能,包括以下取值: · Enabled:处于开启状态,表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时,会被强制下线 · Disabled:处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态 |
|
Idle timeout |
用户闲置切断时间(单位为分钟) |
|
Flow |
用户数据流量阈值(单位为字节) |
|
Traffic direction |
用户数据流量的统计方向,包括以下取值: · Both:表示用户双向数据流量 · Inbound:表示用户上行数据流量 · Outbound:表示用户下行数据流量 |
|
IP pool |
(暂不支持)授权IPv4地址池的名称 |
|
IP pool group |
(暂不支持)授权IPv4地址池组的名称 |
|
Inbound user profile |
(暂不支持)授权入方向的User Profile名称 |
|
Outbound user profile |
(暂不支持)授权出方向的User Profile名称 |
|
User profile |
(暂不支持)授权User Profile的名称 |
|
IPv4 multicast user profile |
(暂不支持)授权IPv4可控组播的User Profile名称 |
|
IPv6 multicast user profile |
(暂不支持)授权IPv6可控组播的User Profile名称 |
|
Session group profile |
(暂不支持)授权Session Group Profile的名称 |
|
Inbound CAR |
(暂不支持)授权的入方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps)。若未授权入方向CAR,则显示为N/A |
|
Outbound CAR |
(暂不支持)授权的出方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps)。若未授权出方向CAR,则显示为N/A |
|
ACL number |
(暂不支持)授权ACL编号 |
|
User group |
(暂不支持)授权User group的名称 |
|
IPv6 prefix |
(暂不支持)授权IPv6前缀 |
|
IPv6 pool |
(暂不支持)授权IPv6地址池的名称 |
|
IPv6 pool group |
(暂不支持)授权IPv6地址池组的名称 |
|
IPv6 ND prefix pool |
(暂不支持)授权ND前缀池的名称 |
|
IPv6 ND prefix pool group |
(暂不支持)授权ND前缀池组的名称 |
|
Primary DNS server |
(暂不支持)授权主DNS服务器IPv4地址 |
|
Secondary DNS server |
(暂不支持)授权从DNS服务器IPv4地址 |
|
Primary DNSV6 server |
(暂不支持)授权主DNS服务器IPv6地址 |
|
Secondary DNSV6 server |
(暂不支持)授权从DNS服务器IPv6地址 |
|
URL |
(暂不支持)授权重定向URL |
|
Redirect limit |
(暂不支持)最大重定向次数,若不限制次数,则显示为Unlimited |
|
VPN instance |
(暂不支持)授权VPN实例名称 |
|
IGMP access limit |
(暂不支持)授权IPv4用户可以同时点播的最大节目数 |
|
MLD access limit |
(暂不支持)授权IPv6用户可以同时点播的最大节目数 |
|
Inbound user priority |
(暂不支持)授权上行用户优先级 |
|
Outbound user priority |
(暂不支持)授权下行用户优先级 |
|
User session timeout |
(暂不支持)授权用户会话超时时间,单位为秒 |
|
Access limit |
允许接入的最大用户数 |
|
Access interface VPN instance strict check |
对用户上线接口的VPN配置进行严格一致性检查功能,包括以下取值: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Dynamic authorization effective attributes |
(暂不支持)通过COA授权该域时需要生效的授权属性 |
|
Authen-radius-unavailable |
RADIUS认证服务器不可达时,用户的逃生域 |
|
Authen-radius-recover |
(暂不支持)逃生域中的用户,在RADIUS认证服务器恢复可达后,采取的策略,包括以下取值: · Offline:直接下线 · Online domain isp-name:保持在线,且用户切换到逃生恢复域isp-name |
|
IP resource usage warning thresholds |
(暂不支持)授权IPv4地址池/IPv4地址池组的地址使用率告警阈值 |
|
IPv6 resource usage warning thresholds |
(暂不支持)授权IPv6地址和前缀使用率告警阈值 |
|
High threshold |
(暂不支持)告警上限阈值。若未配置,则显示为Not configured |
|
Low threshold |
(暂不支持)告警下限阈值。若未配置,则显示为Not configured |
|
Load-sharing user groups |
(暂不支持)负载分担用户组及组内用户数目 |
|
Authen-fail action |
(暂不支持)用户认证失败后采取的策略,包括以下取值: · Offline:直接下线 · Online on domain isp-name:保持在线,且采用指定的域重新进行认证/授权/计费 |
|
L2TP-user RADIUS-force |
(暂不支持)RADIUS服务器授权L2TP用户功能,包括以下取值: · Disabled:处于关闭状态 |
|
Access limit per account (case-sensitive) |
单个帐号允许接入的最大用户数(用户名区分大小写) |
|
Access limit per account (case-insensitive) |
单个帐号允许接入的最大用户数(用户名不区分大小写) |
|
Authorization attributes specific to none authentication |
采用none认证方法时的用户授权属性 |
|
IPv6 ND autoconfiguration |
(暂不支持)RA消息中的自动配置标志位状态 |
|
Managed-address flag |
(暂不支持)被管理地址的配置标志位: · Set:主机通过有状态自动配置(例如DHCPv6服务器)获取IPv6地址 · Unset:主机可以通过无状态或有状态自动配置获取IPv6地址 |
|
Other flag |
(暂不支持)其他信息配置标志位 · Set:主机通过有状态自动配置(例如DHCPv6服务器)获取除IPv6地址外的其他信息 · Unset:主机可以通过无状态或有状态自动配置获取其他信息 |
|
Default domain name |
缺省ISP域名 |
display domain access-user statistics命令用来显示ISP域的在线接入用户统计信息。
【命令】
display domain [ name isp-name ] access-user statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
name isp-name:ISP域名,为1~255个字符的字符串,不区分大小写。如果不指定该参数,则表示所有ISP域。
【使用指导】
目前仅支持对PPP接入类型在线用户的计数信息进行详细统计。
对于PPP接入类型的在线用户,必须在PPP计费统计功能处于开启的状态下(通过ppp account-statistics enable命令),才能通过本命令查看到对应的计数信息。
【举例】
# 显示所有ISP域中的在线接入用户统计信息。
<Sysname> display domain access-user statistics
Total online access users: 12
PPP users: 8
Others: 4
Total domains: 3
Domain State Online user count
system Active 12
isp1 Active 0
isp2 Active 0
Domain: system
PPP users: 8
Others: 4
表1-7 display domain access-user statistics命令显示信息描述表
|
字段 |
描述 |
|
Total online access users |
在线用户总数,其中包括以下接入用户类型: · PPP users::PPP在线用户数 · Others:其它接入在线用户数 |
|
Total domains |
ISP域的数目 |
|
Domain |
ISP域的名称 |
|
State |
ISP域的当前状态,包括以下取值: · Blocked:阻塞状态 · Active:活动状态 |
|
Online user count |
在线用户数 |
|
PPP users |
PPP接入用户 |
|
Others |
其它接入用户 |
【相关命令】
· ppp account-statistics enable(二层技术-广域网接入命令参考/PPP)
domain命令用来创建ISP域,并进入ISP域视图。如果指定的ISP域已经存在,则直接进入ISP域视图。
undo domain命令用来删除指定的ISP域。
【命令】
domain name isp-name
undo domain name isp-name
【缺省情况】
存在一个ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
name isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
所有的ISP域在创建后即处于active状态。
不能删除系统中预定义的ISP域system,只能修改该域的配置。
不能删除作为系统缺省ISP域的ISP域。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
建议设备上配置的ISP域名尽量短,避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度。
不能通过undo domain name命令直接删除被接口视图下的aaa default-domain、aaa permit-domain、aaa deny-domain、aaa roam-domain命令指定的ISP域。如需删除该域,请先在接口视图下使用对应的undo命令取消对它的引用。
ISP域中有在线用户时,不能通过undo domain name命令直接删除该域。
【举例】
# 创建一个名称为test的ISP域,并进入其视图。
<Sysname> system-view
[Sysname] domain name test
【相关命令】
· display domain
· domain default enable
· domain if-unknown
· state (ISP domain view)
domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。
undo domain default enable命令用来恢复缺省情况。
【命令】
domain default enable isp-name
undo domain default enable
【缺省情况】
存在一个系统缺省的ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
系统中只能存在一个缺省的ISP域。
配置为缺省的ISP域不能被删除。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
【举例】
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【相关命令】
· display domain
· domain
domain if-unknown命令用来为未知域名的用户指定ISP域。
undo domain if-unknown命令用来恢复缺省情况。
【命令】
domain if-unknown isp-name
undo domain if-unknown
【缺省情况】
没有为未知域名的用户指定ISP域。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
isp-name:ISP域名。为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
用户认证时,设备将按照一定的规则为用户选择认证域,详情请见“安全配置指导”中的“AAA”。
如果系统为用户选择的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则使用该指定的ISP域认证,否则,用户将无法认证。
【举例】
# 为未知域名的用户指定ISP域为test。
<Sysname> system-view
[Sysname] domain if-unknown test
【相关命令】
· display domain
local-server log change-password-prompt命令用来开启密码修改周期性提醒日志功能。
undo local-server log change-password-prompt命令用来关闭密码修改周期性提醒日志功能。
【命令】
local-server log change-password-prompt
undo local-server log change-password-prompt
【缺省情况】
密码修改周期性提醒日志功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
为了提高系统的安全性,用户通过Telnet、SSH、NETCONF over SSH、NETCONF over SOAP方式登录设备时,系统会根据指定的安全要求对用户密码进行检查。为了及时提醒用户修改不符合系统要求的密码,建议开启密码修改周期性提醒日志功能。
开启本功能后,系统将每隔24小时,对所有不符合密码检查策略的用户打印日志,提醒这些用户尽快修改当前密码。除了周期性提醒之外,系统还会在每个用户登录时,针对不符合密码检查策略的情况立即打印日志进行提醒。
· 对于通过Telnet、SSH方式登录设备的用户,如果用户密码为弱密码,且系统在用户登录时未要求其立即更改密码,系统会打印此提醒日志。弱密码是指不符合如下任意一项要求的密码:
¡ 密码组合检测策略。
¡ 密码最小长度限制。
¡ 密码复杂度检查策略。
· 对于通过NETCONF over SSH、NETCONF over SOAP方式登录设备的用户,如果出现以下情况,系统会打印此提醒日志:
¡ 用户密码为弱密码。
¡ 用户密码为缺省密码。
¡ 全局密码管理功能开启后,用户首次登录或使用被更改过的密码。
¡ 用户密码已经过期。
仅当以下情况发生时,系统才会停止打印此提醒日志:
· 关闭了密码修改周期性提醒日志功能。
· 用户密码修改为符合系统安全要求的密码。
· 密码检查策略相关功能的开启状态发生变化,使得密码检查策略变得宽松。
· 密码检查策略的参数设置发生变化。
当前系统中的密码检查策略可通过display password-control命令查看。弱密码检查使用的密码组合检测策略、密码最小长度限制、密码复杂度检查策略可分别通过password-control composition、password-control length、password-control complexity命令修改。关于密码检查策略的具体介绍,请参见“安全命令参考”的“Password Control”。
【举例】
# 开启密码修改周期性提醒日志功能。
<Sysname> system-view
[Sysname] local-server log change-password-prompt
【相关命令】
· display password-control(安全命令参考/Password Control)
· password-control composition(安全命令参考/Password Control)
· password-control length(安全命令参考/Password Control)
nas-id命令用来在ISP域视图下配置NAS-ID。
undo nas-id命令用来删除ISP域视图下配置的NAS-ID。
【命令】
nas-id nas-identifier
undo nas-id
【缺省情况】
未配置ISP域下的NAS-ID。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
nas-identifier:NAS-ID名称,为1~253个字符的字符串,区分大小写。
【使用指导】
用户进行RADIUS认证时,系统会获取设备的NAS-ID来设置RADIUS报文中的NAS-Identifier属性,该属性用于向RADIUS服务器标识用户的接入位置。
设备支持多种途径配置NAS-ID,按照获取优先级从高到低的顺序依次包括:NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、ISP域视图下的NAS-ID。若以上配置都不存在,则使用设备的名称作为NAS-ID。
【举例】
# 在ISP域test下配置NAS-ID为test。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] nas-id test
【相关命令】
· aaa nas-id
· aaa nas-id profile(安全命令参考/AAA)
nas-id bind命令用来设置NAS-ID与VLAN的绑定关系。
undo nas-id bind命令用来删除指定的NAS-ID和VLAN的绑定关系。
nas-id nas-identifier bind { { c-vid vlan-id | s-vid vlan-id } * | vlan vlan-id }
undo nas-id nas-identifier bind { { c-vid vlan-id | s-vid vlan-id } * | vlan vlan-id }
【缺省情况】
不存在NAS-ID与VLAN的绑定关系。
NAS-ID Profile视图
network-admin
mdc-admin
【参数】
nas-identifier:NAS-ID名称,为1~253个字符的字符串,区分大小写。
c-vid vlan-id:与NAS-ID绑定的内层VLAN标签(Customer VLAN ID),取值范围为1~4094。
s-vid vlan-id:与NAS-ID绑定的外层VLAN标签(Service VLAN ID),取值范围为1~4094。
vlan vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。
一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。
QinQ组网情况下,建议指定s-vid和c-vid参数或两者之一;非QinQ组网情况下,只能指定vlan参数。
指定了s-vid或c-vid参数的NAS-ID Profile,仅能与aaa nas-id-profile命令配合使用。
一个NAS-ID可以与多个VLAN或多个内层VLAN和外层VLAN的组合绑定,但是一个VLAN或一个内层VLAN和外层VLAN的组合只能与一个NAS-ID绑定。若多次将一个VLAN或一个内层VLAN和外层VLAN的组合与不同的NAS-ID进行绑定,则最后的绑定关系生效。
若报文中携带了双层VLAN标签,则优先匹配与s-vid和c-vid参数同时绑定的NAS-ID,其次匹配仅与s-vid参数绑定的NAS-ID,最后尝试匹配与c-vid参数绑定的NAS-ID。
# 在名称为aaa的NAS-ID Profile视图下,配置NAS-ID 222与VLAN 2的绑定关系。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
【相关命令】
· aaa nas-id profile
reset aaa abnormal-offline-record命令用来清除当前所有用户异常下线记录。
【命令】
reset aaa abnormal-offline-record
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
除非主控板重启,否则已保存的用户异常下线记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为方便管理员仅获取后续某个时间段内的用户异常下线记录,可执行本命令清除系统当前所有的用户异常下线记录。
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用。
【举例】
# 清除当前所有用户异常下线记录。
<Sysname> reset aaa abnormal-offline-record
【相关命令】
· display aaa abnormal-offline-record
reset aaa normal-offline-record命令用来清除当前所有用户正常下线记录。
【命令】
reset aaa normal-offline-record
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
除非主控板重启,否则已保存的用户正常下线记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为方便管理员仅获取后续某个时间段内的用户正常下线记录,可以执行本命令清除系统当前所有的用户正常下线记录。
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用。
【举例】
# 清除当前所有用户正常下线记录。
<Sysname> reset aaa normal-offline-record
【相关命令】
· display aaa normal-offline-record
reset aaa offline-record命令用来清除当前所有用户下线记录。
【命令】
reset aaa offline-record
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
除非主控板重启,否则已保存的用户下线失败记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为方便管理员仅获取后续某个时间段内的用户下线记录,可以执行本命令清除系统当前所有的用户下线记录。
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用。
【举例】
# 清除当前所有用户下线记录。
<Sysname> reset aaa offline-record
【相关命令】
· display aaa offline-record
reset aaa online-fail-record命令用来清除当前所有用户上线失败记录。
【命令】
reset aaa online-fail-record
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
除非主控板重启,否则已保存的用户上线失败记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为了方便管理员仅获取后续某个时间段内的用户上线失败记录,可以执行本命令清除系统当前所有的用户上线失败记录。
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用。
【举例】
# 清除当前所有用户上线失败记录。
<Sysname> reset aaa online-fail-record
【相关命令】
· display aaa online-fail-record
session-time include-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间。
undo session-time include-idle-time命令用来恢复缺省情况。
【命令】
session-time include-idle-time
undo session-time include-idle-time
【缺省情况】
设备上传到服务器的用户在线时间中扣除闲置切断时间。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
请根据实际的计费策略决定是否在用户在线时间中保留该闲置切换时间。该闲置切断时间在用户认证成功后由AAA授权。
当用户正常下线时,设备上传到服务器上的用户在线时间为实际在线时间;当用户异常下线时,上传到服务器的用户在线时间具体如下:
· 若配置为保留闲置切断时间,则上传到服务器上的用户在线时间中包含了一定的闲置切断检测间隔。此时,服务器上记录的用户时长将大于用户实际在线时长。
· 若配置为扣除闲置切断时间,则上传到服务器上的用户在线时间为,闲置切断检测机制计算出的用户已在线时长扣除掉一个闲置切断检测间隔。此时,服务器上记录的用户时长将小于用户实际在线时长。
【举例】
#在ISP域test下,配置设备上传到服务器的用户在线时间中保留闲置切断时间。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] session-time include-idle-time
【相关命令】
· display domain
state命令用来设置当前ISP域的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block [ time-range ][ offline ] }
undo state
【缺省情况】
当前ISP域处于活动状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。
block:指定当前ISP域处于阻塞状态,即系统不允许该域下的用户请求网络服务。该参数对除采用公钥认证的SSH用户之外的所有接入类型的用户都生效。
time-range:指定ISP域基于时间段阻塞。若不指定该参数,则表示ISP域一直处于阻塞状态。
offline:表示ISP域从活动状态切换为阻塞状态后,通过该ISP域接入的网络接入类(包括PPP)用户将被强制下线。若不指定该参数,则表示ISP域状态切换为阻塞状态后,不影响当前用户状态。
【使用指导】
若通过time-range关键字指定ISP域基于时间段阻塞,则该ISP域只在通过state block time-range name命令指定的时间段内处于阻塞状态。
【举例】
# 设置当前ISP域test处于阻塞状态。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] state block
【相关命令】
· display domain
· state block time-range name
state block time-range name命令用来配置ISP域处于阻塞状态的时间段。
undo state block time-range name命令用来删除配置的ISP域处于阻塞状态的时间段。
【命令】
state block time-range name time-range-name
undo state block time-range { all | name time-range-name }
【缺省情况】
未配置ISP域处于阻塞的时间段。
【视图】
ISP域视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,时间段的名称不允许使用英文单词all。
all:表示所有时间段。
【使用指导】
本命令配置的时间段,在ISP域基于时间段阻塞的情况下才能生效。可通过state block time-range命令配置ISP域基于时间段阻塞。
可通过多次执行本命令,指定ISP域处于阻塞状态的多个时间段。
【举例】
# 配置ISP域test处于阻塞状态的时间段为t1和t2。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] state block time-range name t1
[Sysname-isp-test] state block time-range name t2
【相关命令】
· state
· time-range(QoS和ACL命令参考/时间段)
access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。
undo access-limit命令用来恢复缺省情况。
【命令】
access-limit max-user-number
undo access-limit
【缺省情况】
不限制使用当前本地用户名接入的用户数。
【视图】
本地用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024。
【使用指导】
本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。
对于网络接入类本地用户,还需要在用户接入的ISP域视图下配置accounting start-fail offline命令,否则使用当前用户名接入的用户数并不受access-limit命令的限制。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
【举例】
# 允许同时以本地用户名abc在线的用户数为5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
【相关命令】
· accounting start-fail offline
· display local-user
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute {idle-cut minutes | session-timeout minutes |user-role role-name | work-directory directory-name } *
undo authorization-attribute { idle-cut | session-timeout | user-role role-name | work-directory } *
【缺省情况】
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
在缺省MDC中由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator;在非缺省MDC中由用户角色为mdc-admin或者level-15的用户创建的本地用户被授权用户角色mdc-operator。
【视图】
本地用户视图
用户组视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
idle-cut minutes:设置本地用户的闲置切断时间。其中,minutes为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
session-timeout minutes:设置本地用户的会话超时时间。其中,minutes为设定的会话超时时间,取值范围为1~1440,单位为分钟。如果用户在线时长超过该值,设备会强制该用户下线。
user-role role-name:指定本地用户的授权用户角色。其中,role-name表示用户角色名称,为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础配置命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。缺省情况下,FTP/SFTP/SCP用户可访问设备的根目录,可通过本参数来修改用户可以访问的目录。
【使用指导】
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于Telnet、Terminal、SSH用户,仅授权属性idle-cut、user-role有效。
· 对于FTP用户,仅授权属性user-role、work-directory有效。
· 对于其它类型的本地用户,所有授权属性均无效。
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
为了避免设备上进行主备倒换后FTP/SFTP/SCP用户无法正常登录,建议用户在指定工作目录时不要携带slot信息。
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。
为本地用户授权安全日志管理员角色时,需要注意的是:
· 安全日志管理员角色和其它用户角色互斥:
¡ 为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;
¡ 如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。
系统中的最后一个安全日志管理员角色的本地用户不可被删除。
【举例】
# 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。
<Sysname> system-view
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz]authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
【相关命令】
· display local-user
· display user-group
bind-attribute命令用来设置用户的绑定属性。
undo bind-attribute命令用来删除指定的用户绑定属性。
【命令】
bind-attribute { ip ip-address | location interface interface-type interface-number } *
undo bind-attribute { ip | location } *
【缺省情况】
未设置用户的绑定属性。
【视图】
本地用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip ip-address:指定用户的IP地址。该绑定属性仅适用于lan-access类型中的802.1X用户。
location interface interface-type interface-number:指定用户绑定的接口。其中interface-type interface-number表示接口类型和接口编号。如果用户接入的接口与此处绑定的接口不一致,则认证失败。该绑定属性仅适用于PPP类型的用户。
【使用指导】
设备对用户进行本地认证时,会检查用户的实际属性与配置的绑定属性是否一致,如果不一致或用户未携带该绑定属性则认证失败。
绑定属性的检测不区分用户的接入服务类型,因此在配置绑定属性时要考虑某接入类型的用户是否需要绑定某些属性。
【举例】
# 配置PPP用户abc的绑定IP地址172.16.10.254。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] bind-attribute ip 172.16.10.254
【相关命令】
· display local-user
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
【命令】
display local-user [ class { manage | network } | idle-cut { disable | enable } | service-type { ftp | http | https | ppp | ssh | telnet | terminal } | state { active | block } | user-name user-name class { manage | network } ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
class:显示指定用户类别的本地用户信息。
manage:设备管理类用户。
network:网络接入类用户。
idle-cut { disable | enable }:显示开启或关闭闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息。
· ftp:FTP用户。
· ppp:PPP用户。
· ssh:SSH用户。
· telnet:Telnet用户。
· terminal:从Console口登录的终端用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。user-name表示本地用户名,为1~80个字符的字符串,可以为“纯用户名@域名”或者纯用户名。其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
【使用指导】
如果不指定任何参数,则显示所有本地用户信息。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
Total 3 local users matched.
Device management user root:
State: Active
Service type: SSH/Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Password control configurations:
Password aging: 3 days
Password remaining lifetime: 2 days 12 hours 30 minutes 30 seconds
Validity period:
Start date and time: 2022/03/08-11:11:11
Expiration date and time: 2022/03/08-12:00:00
Network access user jj:
State: Active
Service type: PPP
User group: system
Bind attributes:
Location bound: GigabitEthernet1/2/0/1
Authorization attributes:
Idle timeout: 33 minutes
User profile: pp
表1-8 display local-user命令显示信息描述表
|
字段 |
描述 |
|
Total x local users matched. |
总计有x个本地用户匹配 |
|
State |
本地用户状态 · Active:活动状态 · Block:阻塞状态 |
|
Service type |
本地用户使用的服务类型 |
|
Access limit |
是否对使用该用户名的接入用户数进行限制 |
|
Max access number |
最大接入用户数 |
|
Current access number |
使用该用户名的当前接入用户数 |
|
User group |
本地用户所属的用户组 |
|
Bind attributes |
本地用户的绑定属性 |
|
IP address |
本地用户的IP地址 |
|
Location bound |
本地用户绑定的端口 |
|
Calling number |
(暂不支持)ISDN用户的主叫号码 |
|
Authorization attributes |
本地用户的授权属性 |
|
Idle timeout |
本地用户闲置切断时间(单位为分钟) |
|
Session-timeout |
本地用户的会话超时时间(单位为分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
User profile |
本地用户授权User Profile |
|
User role list |
本地用户的授权用户角色列表 |
|
Password control configurations |
本地用户的密码控制属性 |
|
Password aging |
密码老化时间 |
|
Password length |
密码最小长度 |
|
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
|
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
|
Maximum login attempts |
用户最大登录尝试次数 |
|
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
|
Password history was last reset |
上一次清除密码历史记录的时间 |
|
Password remaining lifetime |
剩余密码老化时间 |
|
Validity period |
设备管理类本地用户有效期 |
|
Start date and time |
设备管理类本地用户开始生效的日期和时间 |
|
Expiration date and time |
设备管理类本地用户的失效日期和时间 |
display user-group命令用来显示用户组的配置信息。
【命令】
display user-group { all | identity-member | name group-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
all:显示所有用户组的配置信息。
identity-member:显示用户组的身份识别成员信息。
name group-name:显示指定用户组的配置。group-name表示用户组名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 显示所有用户组的相关配置。
<Sysname> display user-group all
Total 2 user groups matched.
User group: system
Authorization attributes:
Work directory: flash:
User group: jj
Authorization attributes:
Idle timeout: 2 minutes
Work directory: flash:/
User profile: pp
Password control configurations:
Password aging: 2 days
# 显示所有用户组中的身份成员信息。
<Sysname> display user-group identity-member
Total 2 user groups matched.
User group: system
Identity groups: 0
User group: jj
Identity groups: 2
Group ID Group name
0xffffffff group1
0x567 group2
Identity users: 2
User ID Username
0x234 user1
0xffffffff user2
表1-9 display user-group命令显示信息描述表
|
字段 |
描述 |
|
Total 2 user groups matched. |
总计有2个用户组匹配 |
|
Authorization attributes |
授权属性信息 |
|
Idle timeout |
闲置切断时间(单位:分钟) |
|
Session-timeout |
本地用户的会话超时时间(单位为分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
User profile |
授权User Profile名称 |
|
Password control configurations |
用户组的密码控制属性 |
|
Password aging |
密码老化时间 |
|
Password length |
密码最小长度 |
|
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
|
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
|
Maximum login attempts |
用户最大登录尝试次数 |
|
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
|
Identity users |
用户类型的身份识别成员数目 |
|
Identity groups |
用户组类型的身份识别成员数目 |
|
User ID |
用户的ID |
|
Group ID |
用户组的ID |
|
Username |
用户的名称 |
|
Group name |
用户组的名称 |
display user-group identity-active命令用来显示处于激活状态的身份识别用户组。
【命令】
display user-group identity-active
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【使用指导】
当身份识别用户组被对象策略等安全特性引用之后,若该引用配置生效,则该用户组将处于激活状态。只有身份识别用户组处于激活状态时,该用户组才能在基于用户身份的访问控制过程中生效。
【举例】
# 显示处于激活状态的身份识别用户组。
<Sysname> display user-group identity-active
Total 2 user groups matched.
Group ID Group name
0x1 group1
0x567 group2
表1-10 display user-group identity-active命令显示信息描述表
|
字段 |
描述 |
|
Total 2 user groups matched. |
总计有2个身份识别用户组匹配 |
|
Group ID |
身份识别用户组的ID |
|
Group name |
身份识别用户组的名称 |
group命令用来设置本地用户所属的用户组。
undo group命令用来恢复缺省配置。
【命令】
group group-name
undo group
【缺省情况】
本地用户属于用户组system。
【视图】
本地用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 设置设备管理类本地用户111所属的用户组为abc。
<Sysname> system-view
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
【相关命令】
· display local-user
local-user命令用来添加本地用户,并进入本地用户视图。如果指定的本地用户已经存在,则直接进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
【命令】
local-user user-name [ class { manage | network } ]
undo local-user { user-name class { manage | network } | all [ service-type { ftp | http | https || ppp | ssh | telnet | terminal } | class { manage | network } ] }
【缺省情况】
不存在本地用户。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
user-name:表示本地用户名,为1~80个字符的字符串,可以为“纯用户名@域名”或者纯用户名。其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。
manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、、http、https、telnet、ssh和terminal服务。
network:网络接入类用户,用于通过设备接入网络,访问网络资源。此类用户可以提供ppp服务。
all:所有的用户。
service-type:指定用户的类型。
· ftp:表示FTP类型用户。
· http:表示HTTP类型用户。
· https:表示HTTPS类型用户。
· ppp:PPP用户。
· ssh:表示SSH用户。
· telnet:表示Telnet用户。
· terminal:表示从Console口登录的终端用户。
【使用指导】
设备支持配置多个本地用户,设备管理类本地用户的最大数目为1024,请以设备的实际情况为准,网络接入类本地用户的最大数目为1024。
如果配置的本地用户名中包含中文,则需要该本地用户登录设备时使用的终端软件采用的字符集编码格式和设备保存该本地用户配置时采用的编码格式(GB18030)保持一致,否则,可能导致包含中文字符的用户名在设备上不能按照预期解析,甚至导致本地认证失败。
【举例】
# 添加名称为user1的设备管理类本地用户。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
# 添加名称为user2的网络接入类本地用户。
<Sysname> system-view
[Sysname] local-user user2 class network
[Sysname-luser-network-user2]
【相关命令】
· display local-user
· service-type
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password [ { hash | simple } string ]
undo password
【缺省情况】
不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。
【视图】
设备管理类本地用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hash:表示以哈希方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为x~63个字符的字符串;哈希密码为1~110个字符的字符串。若Password Control的密码最小长度管理功能处于开启状态,则x取值由password-control length命令取值决定;若Password Control的密码最小长度管理功能处于关闭状态,则x取值为1。 Password Control相关命令的详细介绍,请参见“安全命令参考”中的“Password Control”。
【使用指导】
如果不指定任何参数,则表示以交互式设置明文形式的密码。
可以不为本地用户设置密码。若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。为提高用户账户的安全性,建议设置本地用户密码。
【举例】
# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式设置设备管理类本地用户test的密码。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
confirm :
【相关命令】
· display local-user
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password { cipher | simple } string
undo password
【缺省情况】
不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。
【视图】
网络接入类本地用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串。
【使用指导】
为提高用户账户的安全性,建议设置本地用户密码。
【举例】
# 设置网络接入类本地用户user1的密码为明文123456TESTuser&!。
<Sysname> system-view
[Sysname] local-user user1 class network
[Sysname-luser-network-user1] password simple 123456TESTuser&!
【相关命令】
· display local-user
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
【命令】
service-type { ftp | { http | https | ssh | telnet | terminal } * ppp }
undo service-type { ftp | { http | https | ssh | telnet | terminal } * ppp }
【缺省情况】
系统不对用户授权任何服务,即用户不能使用任何服务。
【视图】
本地用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权FTP用户可访问设备的根目录,授权目录可以通过authorization-attribute work-directory命令来修改。
http:指定用户可以使用HTTP服务。
https:指定用户可以使用HTTPS服务。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
ppp:指定用户可以使用PPP服务。
【使用指导】
可以通过多次执行本命令,设置用户可以使用多种服务类型。
【举例】
# 指定设备管理类用户可以使用Telnet服务和FTP服务。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
【相关命令】
· display local-user
state命令用来设置当前本地用户的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
本地用户处于活动状态。
【视图】
本地用户视图/本地来宾用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。
【举例】
# 设置设备管理类本地用户user1处于“阻塞”状态。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
【相关命令】
· display local-user
user-group命令用来创建用户组,并进入用户组视图。如果指定的用户组已经存在,则直接进入用户组视图。
undo user-group命令用来删除指定的用户组。
【命令】
user-group group-name
undo user-group group-name
【缺省情况】
存在一个用户组,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理。
不允许删除一个包含本地用户的用户组。
不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。
【举例】
# 创建名称为abc的用户组并进入其视图。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【相关命令】
· display user-group
validity-datetime命令用来配置设备管理类本地用户的有效期。
undo validity-datetime命令用来恢复缺省情况。
【命令】
validity-datetime { from start-date start-time to expiration-date expiration-time | from start-date start-time | to expiration-date expiration-time }
undo validity-datetime
【缺省情况】
未限制设备管理类本地用户的有效期,该用户始终有效。
【视图】
设备管理类本地用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
from:指定用户有效期的开始日期和开始时间。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
to:指定用户有效期的结束日期和结束时间。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
【使用指导】
设备管理类本地用户有效期的结束时间必须晚于起始时间。
设备管理类本地用户在有效期内才能认证成功。
【举例】
# 配置设备管理类本地用户abc的有效期为2022/03/01 00:00:00到2022/05/02 12:00:00。
<Sysname> system-view
[Sysname] local-user abc class manage
[Sysname-luser-manage-abc] validity-datetime 2022/03/01 00:00:00 to 2022/05/02 12:00:00
【相关命令】
· display local-user
aaa device-id命令用来配置设备ID。
undo aaa device-id命令用来恢复缺省情况。
【命令】
aaa device-id device-id
undo aaa device-id
【缺省情况】
设备ID为0。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
device-id:设备ID,取值范围为1~255。
【使用指导】
RADIUS计费过程使用Acct-Session-Id属性作为用户的计费ID。设备使用系统时间、随机数以及设备ID为每个在线用户生成一个唯一的Acct-Session-Id值。在多机备份环境中,多台设备使用相同的RADIUS计费服务器时,为了避免不同设备为用户生成的计费ID出现小概率重复,影响计费的准确性,建议使用本命令为不同设备配置不同的设备ID。
修改后的设备ID仅对新上线用户生效。
【举例】
# 配置设备ID为1。
<Sysname> system-view
[Sysname] aaa device-id 1
attribute 15 check-mode命令用来配置对RADIUS Attribute 15的检查方式。
undo attribute 15 check-mode命令用来恢复缺省情况。
【命令】
attribute 15 check-mode { loose | strict }
undo attribute 15 check-mode
【缺省情况】
对RADIUS Attribute 15的检查方式为strict方式。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
loose:松散检查方式,设备使用RADIUS Attribute 15的标准属性值对用户业务类型进行检查。 对于SSH、FTP、Terminal用户,在RADIUS服务器下发的Login-Service属性值为0(表示用户业务类型为Telnet)时,这类用户才能够通过认证。
strict:严格检查方式,设备使用RADIUS Attribute 15的标准属性值以及扩展属性值对用户业务类型进行检查。对于SSH、FTP、Terminal用户,当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时,这类用户才能够通过认证。
【使用指导】
由于某些RADIUS服务器不支持自定义的属性,无法下发扩展的Login-Service属性,若要使用这类RADIUS服务器对SSH、FTP、Terminal用户进行认证,建议设备上对RADIUS 15号属性值采用松散检查方式。
【举例】
# 在RADIUS方案radius1中,配置对RADIUS Attribute 15采用松散检查方式。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 15 check-mode loose
【相关命令】
· display radius scheme
attribute convert命令用来配置RADIUS属性转换规则。
undo attribute convert命令用来删除RADIUS属性转换规则。
【命令】
attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute convert [ src-attr-name ]
【缺省情况】
不存在RADIUS属性转换规则,系统按照标准RADIUS协议对RADIUS属性进行处理。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
src-attr-name:源属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
dest-attr-name:目的属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
access-accept:RADIUS认证成功报文。
access-request:RADIUS认证请求报文。
accounting:RADIUS计费报文。
received:接收到的RADIUS报文。
sent:发送的RADIUS报文。
【使用指导】
RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理。
只有在RADIUS属性解释功能开启之后,RADIUS属性转换规则才能生效。
配置RADIUS属性转换规则时,需要遵循以下原则:
· 源属性内容和目的属性内容的数据类型必须相同。
· 源属性和目的属性的名称不能相同。
· 一个属性只能按照一种方式(按报文类型或报文处理方向)进行转换。
· 一个源属性不能同时转换为多个目的属性。
执行undo attribute convert命令时,如果不指定源属性名称,则表示删除所有RADIUS属性转换规则。
【举例】
# 在RADIUS方案radius1中,配置一条RADIUS属性转换规则,指定将接收到的RADIUS报文中的Hw-Server-String属性转换为User-Address-Type属性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute convert Hw-Server-String to User-Address-Type received
【相关命令】
· attribute translate
· display radius scheme
attribute reject命令用来配置RADIUS属性禁用规则。
undo attribute reject命令用来删除RADIUS属性禁用规则。
【命令】
attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute reject [ attr-name ]
【缺省情况】
不存在RADIUS属性禁用规则。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
attr-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
access-accept:RADIUS认证成功报文。
access-request:RADIUS认证请求报文。
accounting:RADIUS计费报文。
received:接收到的RADIUS报文。
sent:发送的RADIUS报文。
【使用指导】
当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时,可以定义基于发送方向的属性禁用规则,使得设备发送RADIUS报文时,将该属性从报文中删除。
当RADIUS服务器发送给设备的某些属性是不希望收到的属性时,可以定义基于接收方向的属性禁用规则,使得设备接收RADIUS报文时,不处理报文中的该属性。
当某些类型的属性是设备不希望处理的属性时,可以定义基于类型的属性禁用规则。
只有在RADIUS属性解释功能开启之后,RADIUS属性禁用规则才能生效。
一个属性只能按照一种方式(按报文类型或报文处理方向)进行禁用。
执行undo attribute reject命令时,如果不指定属性名称,则表示删除所有RADIUS属性禁用规则。
【举例】
# 在RADIUS方案radius1中,配置一条RADIUS属性禁用规则,指定禁用发送的RADIUS报文中的Connect-Info属性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute reject Connect-Info sent
【相关命令】
· attribute translate
attribute translate命令用来开启RADIUS属性解释功能。
undo attribute translate命令用来关闭RADIUS属性解释功能。
【命令】
attribute translate
undo attribute translate
【缺省情况】
RADIUS属性解释功能处于关闭状态。
【视图】
RADIUS方案视图/RADIUS DAE服务器视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
不同厂商的RADIUS服务器所支持的RADIUS属性集有所不同,而且相同属性的用途也可能不同。为了兼容不同厂商的服务器的RADIUS属性,需要开启RADIUS属性解释功能,并定义相应的RADIUS属性转换规则和RADIUS属性禁用规则。
【举例】
# 在RADIUS方案radius1中,开启RADIUS属性解释功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute translate
【相关命令】
· attribute convert
· attribute reject
attribute vendor-id 2011 version命令用来设置Vendor ID为2011的RADIUS服务器版本号。
undo attribute vendor-id 2011 version命令用来恢复缺省情况。
【命令】
attribute vendor-id 2011 version { 1.0 | 1.1 }
undo attribute vendor-id 2011 version
【缺省情况】
设备采用版本1.0与Vendor ID为2011的RADIUS服务器交互。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
1.0:版本1.0。
1.1:版本1.1。
【使用指导】
当设备与Vendor ID为2011的RADIUS服务器交互时,需要保证本命令设置的服务器版本号与对端服务器的实际版本号一致,否则会导致部分RADIUS属性解析错误。该厂商相关RADIUS属性在设备上的解析情况如下:
· 当RADIUS服务器下发属性HW_ARRT_26_1时,如果设备采用1.0版本,则将该属性解析为用户的上行峰值速率;如果设备采用1.1版本,则将其解析为上行突发尺寸。
· 当RADIUS服务器下发属性HW_ARRT_26_2时,无论设备采用1.0版本或1.1版本,均将该属性解析为用户的上行平均速率。
· 当RADIUS服务器下发属性HW_ARRT_26_3时,如果设备采用1.0版本,则不处理该属性;如果设备采用1.1版本,则将其解析为上行峰值速率。
· 当RADIUS服务器下发属性HW_ARRT_26_4时,如果设备采用1.0版本,则将该属性解析为用户的下行峰值速率;如果设备采用1.1版本,则将其解析为下行突发尺寸。
· 当RADIUS服务器下发属性HW_ARRT_26_5时,无论设备采用1.0版本或1.1版本,均将该属性解析为用户的下行平均速率。
· 当RADIUS服务器下发属性HW_ARRT_26_6时,如果设备采用1.0版本,则不处理该属性;如果设备采用1.1版本,则将其解析为下行峰值速率。
【举例】
# 在RADIUS方案radius1中,设置Vendor ID为2011的RADIUS服务器版本号为1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute vendor-id 2011 version 1.1
【相关命令】
· client
data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情况】
数据流的单位为字节,数据包的单位为包。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【使用指导】
设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADIUS服务器上的流量统计单位保持一致,否则无法正确计费。
【举例】
# 在RADIUS方案radius1中,设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【相关命令】
· display radius scheme
display radius scheme命令用来显示RADIUS方案的配置信息。
【命令】
display radius scheme [ radius-scheme-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【使用指导】
显示指定RADIUS方案配置信息时,会同时显示每一个RADIUS服务器当前Active状态的持续时间以及最近5次状态变化信息;显示所有RADIUS方案配置信息时,会同时显示每一个RADIUS服务器当前Active状态的持续时间以及最近1次Block状态的开始时间和结束时间。
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则表示所有RADIUS方案。
【举例】
# 显示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: radius1
Index : 0
Primary authentication server:
IP : 2.2.2.2 Port: 1812
VPN : vpn1
State: Active (duration: 1 weeks 2 days 1 hours 32 minutes 34 seconds)
Most recent blocked period: 2021/08/15 20:33:45 –2021/08/15 20:38:45
Test profile: 132
Probe username: test
Probe interval: 60 seconds
Weight: 40
Primary accounting server:
IP : 1.1.1.1 Port: 1813
VPN : Not configured
State: Active (duration: 1 weeks 2 days 1 hours 32 minutes 34 seconds)
Most recent blocked period: 2021/08/15 20:33:45 - 2021/08/15 20:38:45
Weight: 40
Second authentication server:
IP: 3.3.3.3 Port: 1812
VPN : Not configured
State: Blocked
Most recent blocked period: 2021/08/15 20:33:45 - now
Test profile: Not configured
Weight: 40
Second accounting server:
IP : 3.3.3.3 Port: 1813
VPN : Not configured
State: Blocked (mandatory)
Most recent blocked period: 2021/08/15 20:33:45 - now
Weight: 0
Accounting-On function : Enabled
extended function : Disabled
retransmission times : 5
retransmission interval(seconds) : 2
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(seconds) : 22
Stop-accounting packets buffering : Enabled
Retransmission times : 500
NAS IP Address : 1.1.1.1
Source IP address : Not configured
VPN : Not configured
Username format : with-domain
Data flow unit : Megabyte
Packet unit : One
Attribute 5 format : QinQ
Attribute 15 check-mode : Strict
Attribute 25 : CAR
Remanent-Volume threshold : 1024
Attribute Remanent-Volume unit : Mega
Server-load-sharing : Disabled
Server-load-sharing mode : Session-based
Attribute 31 MAC format : hh:hh:hh:hh:hh:hh
Stop-accounting-packet send-force : Disabled
RADIUS server version (vendor ID 2011) : 1.0
Attribute 85 preferred : Enabled
Attribute 87 format customized : c-vid@interface-type/s-vid
Authentication response pending limit : Not configured
Accounting response pending limit : Not configured
Username authorization : Not applied
All-server-block action : Attempt the top-priority server
------------------------------------------------------------------
# 显示RADIUS方案radius1的配置信息。
<Sysname> display radius scheme radius1
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: radius1
Index : 0
Primary authentication server:
IP : 2.2.2.2 Port: 1812
VPN : vpn1
State: Active (duration: 1 weeks 2 days 1 hours 32 minutes 34 seconds)
Most recent state changes:
2021/08/15 20:38:45 Changed to active state
2021/08/15 20:33:45 Changed to blocked state
2021/08/15 20:31:19 Changed to active state
2021/08/15 20:26:19 Changed to blocked state
2021/08/15 20:26:00 Changed to active state
Test profile: 132
Probe username: test
Probe interval: 60 seconds
Weight: 40
Primary accounting server:
IP : 1.1.1.1 Port: 1813
VPN : Not configured
State: Active (duration: 1 weeks 2 days 1 hours 32 minutes 34 seconds)
Most recent state changes:
2021/08/15 20:38:45 Changed to active state
2021/08/15 20:33:45 Changed to blocked state
2021/08/15 20:31:19 Changed to active state
2021/08/15 20:26:19 Changed to blocked state
2021/08/15 20:26:00 Changed to active state
Weight: 40
Second authentication server:
IP: 3.3.3.3 Port: 1812
VPN : Not configured
State: Blocked
Most recent state changes:
2021/08/15 20:56:22 Changed to blocked state
2021/08/15 20:48:45 Changed to active state
2021/08/15 20:43:45 Changed to blocked state
2021/08/15 20:41:19 Changed to active state
2021/08/15 20:46:19 Changed to blocked state
Test profile: Not configured
Weight: 40
Second accounting server:
IP : 3.3.3.3 Port: 1813
VPN : Not configured
State: Blocked (mandatory)
2021/08/15 20:56:22 Changed to blocked state
2021/08/15 20:48:45 Changed to active state
2021/08/15 20:43:45 Changed to blocked state
2021/08/15 20:41:19 Changed to active state
2021/08/15 20:46:19 Changed to blocked state
Most recent blocked period: 2021/08/15 20:33:45 - now
Weight: 0
Accounting-On function : Enabled
extended function : Disabled
retransmission times : 5
retransmission interval(seconds) : 2
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(seconds) : 22
Stop-accounting packets buffering : Enabled
Retransmission times : 500
NAS IP Address : 1.1.1.1
Source IP address : Not configured
VPN : Not configured
Username format : with-domain
Data flow unit : Megabyte
Packet unit : One
Attribute 5 format : QinQ
Attribute 6:
IPoE : Outbound (value-added services included)
Attribute 15 check-mode : Strict
Attribute 25 : CAR
Remanent-Volume threshold : 1024
Attribute Remanent-Volume unit : Mega
Server-load-sharing : Disabled
Server-load-sharing mode : Session-based
Attribute 31 MAC format : hh:hh:hh:hh:hh:hh
Stop-accounting-packet send-force : Disabled
RADIUS server version (vendor ID 2011) : 1.0
Attribute 85 preferred : Enabled
Attribute 87 format customized : c-vid@interface-type/s-vid
Authentication response pending limit : Not configured
Accounting response pending limit : Not configured
Username authorization : Not applied
All-server-block action : Attempt the top-priority server
------------------------------------------------------------------
表1-11 display radius scheme命令显示信息描述表
|
字段 |
描述 |
|
Total 1 RADIUS schemes. |
共计1个RADIUS方案 |
|
RADIUS scheme name |
RADIUS方案的名称 |
|
Index |
RADIUS方案的索引号 |
|
Primary authentication server |
主RADIUS认证服务器 |
|
Primary accounting server |
主RADIUS计费服务器 |
|
Second authentication server |
从RADIUS认证服务器 |
|
Second accounting server |
从RADIUS计费服务器 |
|
IP |
RADIUS认证/计费服务器IP地址 未配置时,显示为Not configured |
|
Port |
RADIUS认证/计费服务器接入端口号 未配置时,显示缺省值 |
|
State |
RADIUS认证/计费服务器目前状态 · Active:激活状态 · Blocked:自动转换的静默状态 · Blocked (mandatory):手工配置的静默状态 若状态为Active,则同时显示该状态的持续时间 |
|
duration |
RADIUS服务器当前Active状态的持续时间 |
|
Most recent blocked period |
RADIUS服务器最后一次转换为Block状态的开始时间及结束时间。若最终状态为Block状态,则结束时间用“now”表示 |
|
Most recent state changes |
RADIUS服务器最近5次的状态变化信息 |
|
VPN |
RADIUS认证/计费服务器所在的VPN 未配置时,显示为Not configured |
|
Test profile |
探测服务器状态使用的模板名称 |
|
Probe username |
探测服务器状态使用的用户名 |
|
Probe interval |
探测服务器状态的周期(单位为秒) |
|
Weight |
RADIUS服务器权重值 |
|
Accounting-On function |
accounting-on功能的开启情况 |
|
extended function |
accounting-on扩展功能的开启情况 |
|
retransmission times |
accounting-on报文的发送尝试次数 |
|
retransmission interval(seconds) |
accounting-on报文的重发间隔(单位为秒) |
|
Timeout Interval(seconds) |
RADIUS服务器超时时间(单位为秒) |
|
Retransmission Times |
发送RADIUS报文的最大尝试次数 |
|
Retransmission Times for Accounting Update |
实时计费更新报文的最大尝试次数 |
|
Server Quiet Period(minutes) |
RADIUS服务器恢复激活状态的时间(单位为分钟) |
|
Realtime Accounting Interval(seconds) |
实时计费更新报文的发送间隔(单位为秒) |
|
Stop-accounting packets buffering |
RADIUS停止计费请求报文缓存功能的开启情况 |
|
Retransmission times |
发起RADIUS停止计费请求的最大尝试次数 |
|
NAS IP Address |
发送RADIUS报文携带的NAS-IP地址 未配置时,显示为Not configured |
|
Source IP address |
发送RADIUS报文使用的源IP地址 未配置时,显示为Not configured |
|
VPN |
RADIUS方案所属的VPN名称 未配置时,显示为Not configured |
|
Username format |
发送给RADIUS服务器的用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
|
Data flow unit |
数据流的单位 |
|
Packet unit |
数据包的单位 |
|
Attribute 5 format |
RADIUS Attribute 5的封装格式: · QinQ:表示使用QinQ格式 · Default:表示使用缺省格式 |
|
Attribute 15 check-mode |
对RADIUS Attribute 15的检查方式,包括以下两种取值: · Strict:表示使用RADIUS标准属性值和私有扩展的属性值进行检查 · Loose:表示使用RADIUS标准属性值进行检查 |
|
Attribute 25 |
对RADIUS Attribute 25的处理,包括以下两种取值: · Standard:表示不对RADIUS Attribute 25进行解析 · CAR:表示将RADIUS 25号属性解析为CAR参数 |
|
Remanent-Volume threshold |
用户剩余流量阈值(单位为Attribute Remanent-Volume unit的取值) |
|
Attribute Remanent-Volume unit |
RADIUS Remanent-Volume属性的流量单位 |
|
Server-load-sharing |
RADIUS服务器负载分担功能的开启情况 · Disabled:关闭状态,服务器工作于主/从模式 · Enabled:开启状态,服务器工作于负载分担模式 |
|
Server-load-sharing mode |
RADIUS认证服务器负载分担模式 · Session-based:基于会话的负载分担模式 · Packet-based:基于报文的负载分担模式 |
|
Attribute 31 MAC format |
RADIUS Attribute 31中携带的MAC地址格式 |
|
Stop-accounting-packets send-force |
用户下线时设备强制发送RADIUS计费停止报文功能的开启情况 |
|
RADIUS server version (vendor ID 2011) |
Vendor ID为2011的RADIUS服务器版本号 |
|
Attribute 85 preferred |
是否优先使用通过RADIUS Attribute 85下发的实时计费间隔: · Enabled:优先使用 · Disabled:不优先使用 |
|
Attribute 87 format vendor-specific |
RADIUS Attribute 87的设备厂商编号 |
|
Attribute 87 format customized |
用户自定义的RADIUS Attribute 87格式 |
|
Authentication response pending limit |
未收到认证服务器响应的请求报文的最大数目 未配置时,显示为Not configured |
|
Accounting response pending limit |
未收到计费服务器响应的请求报文的最大数目 未配置时,显示为Not configured |
|
Username authorization |
设备对RADIUS服务器下发的用户名的处理机制 · Applied:表示接受RADIUS服务器下发的用户名 · Not applied:表示不接受RADIUS服务器下发的用户名 |
|
All-server-block action |
当前方案中的RADIUS服务器都处于block状态后的设备处理动作: · Attempt the top-priority server:尝试与当前方案中高优先级的服务器建立一次连接 · Skip all servers in the scheme:跳过当前方案中的所有服务器 |
display radius server-load statistics命令用来显示RADIUS服务器的负载统计信息。
【命令】
display radius server-load statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【使用指导】
本命令用来显示上一个5秒统计周期内设备发往RADIUS认证/计费服务器的认证/计费请求统计信息和自从设备启动后记录的历史认证/计费请求统计信息,具体统计过程如下:
· 系统从第一个用户认证请求开始,每隔5秒钟统计一次RADIUS认证/计费请求数目,并在下一个5秒内提供该统计值供查看。
· 只要设备发起一次用户认证请求或用户计费开始请求,对应服务器的历史负载统计数值随之加1,但后续不会因为用户下线、服务器响应或超时而减小该值。
前5秒的统计信息提供了RADIUS认证/计费服务器最近5秒的负载分担效果,管理员可以根据此统计信息调控RADIUS服务器的配置参数,比如配置顺序、权重参数等。当没有用户触发认证/计费时,前5秒的统计数据就不能给管理员提供有效的负载分担信息了,此时管理员可以参考历史负载统计信息对RADIUS认证/计费服务器的配置做调整。
需要注意的是:
· 只要该RADIUS认证/计费服务器的配置被某RADIUS方案所引用,则就可以通过本命令查看到它的负载统计数据。
· 若RADIUS认证/计费服务器的配置被删除,或主认证/计费服务器的VPN、IP、端口配置发生变化,则该服务器的前5秒的统计数据及历史负载统计数据将会被删除。
· 主备倒换后,历史统计数据不会被删除,但会不准确。
【举例】
# 显示RADIUS服务器的负载统计信息。
<Sysname> display radius server-load statistics
Authentication servers: 2
IP VPN Port Last 5 sec History
1.1.1.1 N/A 1812 20 100
1::1 ABC 1812 0 20
Accounting servers: 2
IP VPN Port Last 5 sec History
1.1.1.1 N/A 1813 20 100
1::1 ABC 1813 0 20
表1-12 display radius server-load statistics命令显示信息描述表
|
字段 |
描述 |
|
Authentication servers |
RADIUS认证服务器总个数 |
|
Accounting servers |
RADIUS计费服务器总个数 |
|
IP |
RADIUS认证/计费服务器的IP地址 |
|
VPN |
RADIUS认证/计费服务器所在的VPN 若未配置该参数,则显示N/A |
|
Port |
RADIUS认证/计费服务器的UDP端口号 |
|
Last 5 sec |
上一个5秒统计周期内发往RADIUS认证/计费服务器的请求数 |
|
History |
RADIUS认证/计费服务器的历史负载统计值 |
【相关命令】
· reset radius server-load statistics
display radius statistics命令用来显示RADIUS报文的统计信息。
【命令】
display radius statistics [ server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-number ] { accounting | authentication } ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
ip ipv4-address:指定RADIUS服务器的IPv4地址。
ipv6 ipv6-address:指定RADIUS服务器的IPv6地址。
vpn-instance vpn-instance-name:指定RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示RADIUS服务器位于公网中。
port port-number:指定RADIUS服务器的UDP端口号,取值范围为1~65535,对于认证报文,缺省值为1812,对于计费报文,缺省值为1813。
accounting:表示RADIUS计费报文统计信息。
authentication:表示RADIUS认证报文统计信息。
【使用指导】
可通过本命令查看设备和RADIUS服务器之间交互的报文统计信息,包括RADIUS认证报文、RADIUS计费报文、DAE报文、session control的统计信息。
若不指定任何参数,则表示显示设备和所有RADIUS服务器交互的所有类型的RADIUS报文统计信息;若指定了服务器参数,则表示仅显示设备和指定RADIUS服务器之间交互的RADIUS认证报文或RADIUS计费报文统计信息。
【举例】
# 显示设备和所有RADIUS服务器交互的报文统计信息。
<Sysname> display radius statistics
Authentication packets:
Requests : 8 Retransmissions : 0
Pending requests : 0 Packet timeouts : 0
Request failures : 0 Challenge packets : 0
Packets without responses : 0 Packets with responses : 0
Accept responses : 8 Reject responses : 0
Unknown-type responses : 0 Malformed responses : 0
Bad authenticators : 0 Dropped responses : 0
Invalid server addresses : 0
Accounting packets:
Requests : 16 Retransmissions : 0
Start requests : 8 Realtime requests : 0
Stop requests : 8 Pending requests : 0
Packet timeouts : 0 Request failures : 0
Packets without responses : 0 Packets with responses : 0
Unknown-type responses : 0 Malformed responses : 0
Bad authenticators : 0 Dropped responses : 0
Invalid server addresses : 0
DAE packets:
DM:
Requests : 0 Request retransmissions: 0
ACKs : 0 NAKs : 0
Timeouts : 0 Malformed requests : 0
Bad authenticators : 0 Dropped requests : 0
CoA:
Requests : 0 Request retransmissions: 0
ACKs : 0 NAKs : 0
Timeouts : 0 Malformed requests : 0
Bad authenticators : 0 Dropped requests : 0
Unknown-type requests : 0
Session-control packets:
Terminate:
Requests : 0 Successes : 0
Failures : 0 Timeouts : 0
Set-policy:
Requests : 0 Successes : 0
Failures : 0 Timeouts : 0
Unknown-type requests : 0 Malformed requests : 0
Bad authenticators : 0 Dropped requests : 0
PPPoEA packets:
COA requests : 0 COA responses : 0
PPPoE agent responses:
Successes : 0 Failures : 0
Offlines : 0
DM requests : 0 DM responses : 0
Authentication servers: 1
IP: 1.1.1.1 Port: 1812
VPN:
Authentication packets:
Requests : 8 Retransmissions : 0
Pending requests : 0 Packet timeouts : 0
Request failures : 0 Challenge packets : 0
Accept responses : 8 Reject responses : 0
Unknown-type responses : 0 Malformed responses : 0
Bad authenticators : 0 Dropped responses : 0
Accounting servers: 1
IP: 1.1.1.1 Port: 1813
VPN:
Accounting packets:
Requests : 16 Retransmissions : 0
Start requests : 8 Realtime requests : 0
Stop requests : 8 Pending requests : 0
Packet timeouts : 0 Request failures : 0
Unknown-type responses : 0 Malformed responses : 0
Bad authenticators : 0 Dropped responses : 0
Accept responses : 16
# 显示设备与IP地址为1.1.1.1、端口号为1812的RADIUS服务器之间交互的认证报文统计信息。
<Sysname> display radius statistics server ip 1.1.1.1 port 1812 authentication
Requests : 8 Retransmissions : 0
Pending requests : 0 Packet timeouts : 0
Request failures : 0 Challenge packets : 0
Accept responses : 8 Reject responses : 0
Unknown-type responses : 0 Malformed responses : 0
Bad authenticators : 0 Dropped responses : 0
表1-13 display radius statistics命令显示信息描述表
|
字段 |
描述 |
|
Authentication packets |
认证报文统计信息 |
|
Accounting packets |
计费报文统计信息 |
|
Requests |
认证/计费请求报文数 该计数不包含报文重传计数,但增加时Pending Requests计数也会增加 |
|
Retransmissions |
重传的认证/计费请求报文数 该计数不会叠加在Requests计数中 |
|
Start requests |
开始计费请求报文数 |
|
Realtime requests |
实时计费请求报文数 |
|
Stop requests |
计费停止请求报文数 |
|
Pending requests |
未得到服务器响应且未超时的认证/计费请求报文数 |
|
Packet timeouts |
超时的认证/计费请求报文数 |
|
Request failures |
发送失败的认证/计费请求报文数 |
|
Challenge packets |
认证挑战报文数 |
|
Packets without responses |
无响应的认证/计费请求报文数 当所有服务器都不响应某认证/计费请求报文时,该计数才会增加 “-”表示未统计该值 |
|
Packets with responses |
合法的认证/计费响应报文数 “-”表示未统计该值 |
|
Accept responses |
认证接受报文数/计费响应报文数 |
|
Reject responses |
认证拒绝报文数 |
|
Unknown-type responses |
非标准定义的认证/计费响应报文数 |
|
Malformed responses |
长度不合法的认证/计费响应报文数 |
|
Bad authenticators |
验证字错误的认证/计费响应报文数 验证字错误的响应报文也属于不合法的响应报文 |
|
Dropped responses |
因为其它原因丢弃的认证/计费响应报文数 |
|
Invalid server addresses |
无效服务器地址报文数 |
|
DAE packets |
DAE报文统计信息 |
|
DM |
DM报文统计信息 |
|
CoA |
CoA报文统计信息 |
|
Requests |
DAE请求报文数 此计数不包括重传的DAE请求报文数 |
|
Request retransmissions |
重传的DAE请求报文数 |
|
ACKs |
DAE请求接受报文数 |
|
NAKs |
DAE请求拒绝报文数 |
|
Session-control packets |
session control报文统计信息 |
|
Terminate |
强制用户下线报文统计信息 |
|
Set-policy |
更新用户授权信息报文统计信息 |
|
Requests |
session control请求报文数 |
|
Successes |
session control请求接受报文数 |
|
Failures |
session control请求拒绝报文数 |
|
Timeouts |
DAE/session control请求超时报文数 |
|
Unknown-type requests |
非标准定义的DAE/session control请求报文数 |
|
Malformed requests |
长度不合法的DAE/session control请求报文数 |
|
Bad authenticators |
验证字错误的DAE/session control请求报文数 |
|
Dropped requests |
丢弃的DAE/session control请求报文数 |
|
PPPoEA packets |
PPPoE代拨报文统计信息 |
|
COA requests |
收到服务器的代拨请求COA报文数 |
|
COA responses |
发送给服务器的代拨应答COA报文数 |
|
PPPoE agent responses |
收到的PPPoE代拨应答消息数 |
|
Successes |
PPPoE代拨上线成功消息数 |
|
Failures |
PPPoE代拨上线失败消息数 |
|
Offlines |
PPPoE代拨下线消息数 |
|
DM requests |
收到服务器强制代拨用户下线的DM请求 |
|
DM responses |
发送给服务器的强制代拨用户下线结果的DM应答 |
|
Authentication servers |
认证服务器数目 |
|
Accounting servers |
计费服务器数目 |
|
IP |
服务器的IP地址 |
|
Port |
服务器的端口号 |
|
VPN |
服务器所在的VPN 若服务器属于公网,则该字段取值为空 |
|
Authentication packets |
认证服务器报文统计信息 |
|
Authentication packets |
计费服务器报文统计信息 |
【相关命令】
· reset radius statistics
display stop-accounting-buffer命令用来显示缓存的RADIUS停止计费请求报文的相关信息。
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
radius-scheme radius-scheme-name:表示指定RADIUS方案的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串,不区分大小写。
session-id session-id:表示指定会话的停止计费请求报文。其中,session-id表示会话ID,为1~64个字符的字符串,不包含字母。会话ID用于唯一标识当前的在线用户。
time-range start-time end-time:表示指定时间段内发送且被缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间,end-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:表示指定用户的停止计费请求报文。其中,user-name表示用户名,为1~255个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致。
【举例】
# 显示缓存的用户名为abc的RADIUS停止计费请求报文的相关信息。
<Sysname> display stop-accounting-buffer user-name abc
Total entries: 2
Scheme Session ID Username First sending time Attempts
rad1 1000326232325010 abc 23:27:16-08/31/2019 19
aaa 1000326232326010 abc 23:33:01-08/31/2019 20
表1-14 display stop-accounting-buffer命令显示信息描述表
|
Total entries: 2 |
共有两条记录匹配 |
|
Scheme |
RADIUS方案名 |
|
Session ID |
会话ID(Acct-Session-Id属性值) |
|
Username |
用户名 |
|
First sending time |
首次发送停止计费请求的时间 |
|
Attempts |
发起停止计费请求的次数 |
【相关命令】
· reset stop-accounting-buffer (for RADIUS)
· retry
· retry stop-accounting (for RADIUS)
· stop-accounting-buffer enable (RADIUS scheme view)
· user-name-format (RADIUS scheme view)
exclude命令用来配置RADIUS报文中不能携带的属性。
undo exclude命令用来取消在RADIUS报文中不能携带的属性配置。
【命令】
exclude { accounting | authentication } name attribute-name
undo exclude { accounting | authentication } name attribute-name
【缺省情况】
未配置RADIUS报文中不能携带的属性。
【视图】
RADIUS属性测试组视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
accounting:表示RADIUS计费请求报文。
authentication:表示RADIUS认证请求报文。
name attribute-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。这些属性为RADIUS报文中缺省携带的属性,具体包括:Service-Type、Framed-Protocol、NAS-Identifier、Acct-Delay-Time、Acct-Session-Id、Acct-Terminate-Cause和NAS-Port-Type,其中Service-Type、Framed-Protocol、NAS-Identifier,Acct-Session-Id和NAS-Port-Type为认证请求报文缺省携带的属性,NAS-Identifier、Acct-Delay-Time、Acct-Session-Id和Acct-Terminate-Cause为计费请求报文缺省携带的属性。
【使用指导】
通过本命令配置的RADIUS属性将不会在属性测试过程中被携带在相应的RADIUS请求报文中发送给RADIUS服务器。在实际测试过程中,可通过本命令排除掉RADIUS报文中携带的一些基础属性,来辅助排查认证/计费故障。
如果一个属性已经被配置为需要携带在RADIUS报文中(通过include命令),则需要先执行undo include命令取消该配置,才能将其配置为不携带在RADIUS报文中。
【举例】
# 在RADIUS属性测试组t1中,配置在RADIUS认证请求报文中不携带属性名称为Service-Type的标准属性。
<Sysname> system-view
[Sysname] radius attribute-test-group t1
[Sysname-radius-attr-test-grp-t1] exclude authentication name Service-Type
【相关命令】
· include
· test-aaa
include命令用来配置RADIUS报文中携带的属性。
undo include命令用来取消指定的属性配置。
【命令】
include { accounting | authentication } { name attribute-name | [ vendor vendor-id ] code attribute-code } type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string } value attribute-value
undo include { accounting | authentication} { name attribute-name | [ vendor vendor-id ] code attribute-code }
【缺省情况】
未配置RADIUS报文中携带的属性。
【视图】
RADIUS属性测试组视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
accounting:表示RADIUS计费请求报文。
authentication:表示RADIUS认证请求报文。
name attribute-name:标准RADIUS属性名称,为1~63个字符的字符串,不区分大小写。
vendor vendor-id:RADIUS属性所属的设备厂商标识。vendor-id为厂商标识号码,取值范围为1~65535。如果不指定该参数,则表示RADIUS属性为标准属性。其中,2011表示HUAWEI,25506表示H3C,9表示Cisco,311表示Microsoft,43表示3COM,3561表示DSL论坛,20942表示中国电信,40808表示WFA无线,2636表示Juniper,28357表示CMCC。
code attribute-code:RADIUS属性编号,取值范围为1~255。
type:属性内容的数据类型,包括以下取值:
· binary:二进制类型。
· date:时间类型。
· integer:整数类型。
· interface-id:接口ID类型。
· ip:IPv4地址类型。
· ipv6:IPv6地址类型。
· ipv6-prefix:IPv6地址前缀类型。
· octets:八进制类型。
· string:字符串类型。
value attribute-value:RADIUS属性值,取值与数据类型有关,具体如下:
· 二进制属性值:1~256个十六进制字符,表示最多128个字节的二进制数。
· 时间类型属性值:0~4294967295。
· 整数类型属性值:0~4294967295。
· 接口ID类型属性值:1~ffffffffffffffff。
· IPv6地址前缀类型属性值:prefix/prefix-length样式。
· 八进制属性值:1~256个十六进制字符,表示最多128个字节的八进制数。
· 字符串类型属性值:1~253个字符。
【使用指导】
可以通过本命令配置RADIUS报文中携带的属性以及对应的属性值,具体情况如下:
· 对于RADIUS报文中默认携带的属性,可通过include命令来修改属性取值,并可通过undo include命令将该属性值恢复为缺省值。RADIUS报文中默认携带的能够修改的属性包括:
¡ 认证请求报文默认携带的属性:User-Name、CHAP-Password(User-Password)、CHAP-Challenge、NAS-IP-Address(NAS-IPv6-Address)、Service-Type、Framed-Protocol、NAS-Identifier、NAS-Port-Type、Acct-Session-Id。
¡ 计费请求报文默认携带的属性:User-Name、Acct-Status-Type、NAS-IP-Address(NAS-IPv6-Address)、NAS-Identifier、Acct-Session-Id、Acct-Delay-Time、Acct-Terminate-Cause。
· 对于并非RADIUS报文中默认携带的属性,可通过include命令将其添加在RADIUS报文中,并可通过undo include命令将该属性从RADIUS报文中删除。
为了保证测试效果的准确性,请务必保证各属性参数的匹配性,比如属性值要匹配属性类型。
保存在配置文件中的标准属性的属性名称将被转换为属性编号的形式。
如果一个属性已经被配置为不能携带在RADIUS报文中(通过exclude命令),则需要先执行undo exclude命令取消该配置,才能将其配置为携带在RADIUS报文中。
设备按照配置的先后顺序在RADIUS报文中添加RADIUS属性,由于RADIUS报文最大长度为4096个字节,如果配置了过多的RADIUS属性,则在报文长度超过最大值后,部分属性将不会被添加在报文中。因此,请合理规划要添加的RADIUS报文属性数目。
【举例】
# 在RADIUS属性测试组t1中,配置在RADIUS认证请求报文中携带一个标准属性:名称为Calling-Station-Id,属性值为08-00-27-00-34-D8。
<Sysname> system-view
[Sysname] radius attribute-test-group t1
[Sysname-radius-attr-test-grp-t1] include authentication name Calling-Station-Id type string value 08-00-27-00-34-d8
【相关命令】
· exclude
· test-aaa
key命令用来配置RADIUS报文的共享密钥。
undo key命令用来删除RADIUS报文的共享密钥。
【命令】
key { accounting | authentication } { cipher | simple } string
undo key { accounting | authentication }
【缺省情况】
未配置RADIUS报文的共享密钥。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
accounting:指定RADIUS计费报文的共享密钥。
authentication:指定RADIUS认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。
必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
【举例】
# 在RADIUS方案radius1中,配置计费报文的共享密钥为明文ok。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting simple ok
【相关命令】
· display radius scheme
nas-ip命令用来设置RADIUS报文中携带的NAS-IP地址。
undo nas-ip命令用来删除指定类型的NAS-IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
【缺省情况】
未设置RADIUS报文中携带的NAS-IP地址,使用系统视图下由命令radius nas-ip指定的NAS-IP地址。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:指定RADIUS报文中携带的IPv4 NAS-IP地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定RADIUS报文中携带的IPv6 NAS-IP地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
可通过本命令配置设备发送的RADIUS报文中携带的NAS-IP-Address或NAS-IPv6-Address属性内容,简称为NAS-IP地址,该地址用于标识用户接入的设备,且在RADIUS服务器上必须全局唯一。
RADIUS服务器发送的DAE请求报文中若携带该属性,则表示该请求报文要发送给指定的接入设备。当接入设备收到DAE请求报文后,会获取报文中携带的NAS-IP地址与本地保存的NAS-IP地址进行比较,若相同则接受该请求报文并进行后续的处理,否则不对其进行处理。
接口视图、RADIUS方案视图和系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址,具体生效情况如下:
· 接口视图下配置的NAS-IP地址(通过aaa nas-ip命令)只对在本接口上线的用户有效。
· RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的NAS-IP地址(通过radius nas-ip命令)对所有RADIUS方案有效。
· 以上各视图下的配置优先级从高到底依次为:接口视图->RADIUS方案视图->系统视图。
一个RADIUS方案视图下,最多允许指定一个IPv4 NAS-IP地址和一个IPv6 NAS-IP地址。
如果undo nas-ip命令中不指定ipv6参数,则表示删除配置的IPv4 NAS-IP地址。
【举例】
# 在RADIUS方案radius1中,设置RADIUS报文携带的IPv4 NAS-IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 10.1.1.1
【相关命令】
· aaa nas-ip
· display radius scheme
· radius nas-ip
primary accounting命令用来配置主RADIUS计费服务器。
undo primary accounting命令用来恢复缺省情况。
【命令】
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *
undo primary accounting
【缺省情况】
未配置主RADIUS计费服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:主RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。
port-number:主RADIUS计费服务器的UDP端口号,取值范围为1~65535,缺省值为1813。
key:与主RADIUS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:主RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主RADIUS计费服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的计费请求报文越多。
【使用指导】
配置的主计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同。
设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用key accounting命令设置的共享密钥。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级。
当RADIUS服务器负载分担功能处于关闭状态时,如果在计费开始请求报文发送过程中修改或删除了正在使用的主计费服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;当RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信。
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地,这将造成对用户计费的不准确。
【举例】
# 在RADIUS方案radius1中,配置主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· secondary accounting (RADIUS scheme view)
· server-load-sharing enable
· vpn-instance (RADIUS scheme view)
primary authentication命令用来配置主RADIUS认证服务器。
undo primary authentication命令用来恢复缺省情况。
【命令】
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *
undo primary authentication
【缺省情况】
未配置RADIUS主认证服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:主RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS认证服务器的IPv6地址。
port-number:主RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省值为1812。此端口号必须与服务器提供认证服务的端口号保持一致。
key:与主RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
test-profile profile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:主RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主RADIUS认证服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多。
【使用指导】
配置的主认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同。
设备与主认证服务器通信时优先使用本命令设置的共享密钥,如果本命令中未设置,则使用key authenticaiton命令设置的共享密钥。
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。
当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中修改或删除了正在使用的主认证服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;当RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信。
【举例】
# 在RADIUS方案radius1中,配置主认证服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· radius-server test-profile
· secondary authentication (RADIUS scheme view)
· server-load-sharing enable
· vpn-instance (RADIUS scheme view)
radius attribute extended命令用来定义RADIUS扩展属性。
undo radius attribute extended命令用来删除定义的RADIUS扩展属性。
【命令】
radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }
undo radius attribute extended [ attribute-name ]
【缺省情况】
不存在自定义RADIUS扩展属性。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
attribute-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。该名称不能与系统已支持的(包括标准的以及自定义的)RADIUS属性名称相同。
vendor vendor-id:RADIUS属性所属的设备厂商标识。vendor-id为厂商标识号码,取值范围为1~65535。如果不指定该参数,则表示RADIUS属性为标准属性。其中,2011表示HUAWEI,25506表示H3C,9表示Cisco,311表示Microsoft,43表示3COM,3561表示DSL论坛,20942表示中国电信,40808表示WFA无线,2636表示Juniper,28357表示CMCC。
code attribute-code:RADIUS属性在RADIUS属性集里的序号,取值范围为1~255。
type:属性内容的数据类型,包括以下取值:
· binary:二进制类型。
· date:时间类型。
· integer:整数类型。
· interface-id:接口ID类型。
· ip:IPv4地址类型。
· ipv6:IPv6地址类型。
· ipv6-prefix:IPv6地址前缀类型。
· octets:八进制类型。
· string:字符串类型。
【使用指导】
当系统需要支持其他厂商的私有RADIUS属性时,可以通过radius attribute extended命令为其定义为一个扩展属性,并通过attribute convert命令将其映射到系统可以识别的一个已知属性。这样,当RADIUS服务器发送给设备的RADIUS报文中携带了此类不可识别的私有属性时,设备将根据已定义的属性转换规则将其转换为可处理的属性。同理,设备在发送RADIUS报文时也可以将自己可识别的属性转换为服务器能识别的属性。
每一个RADIUS属性有唯一的属性名称,且该属性的名称、设备厂商标识以及序号的组合必须在设备上唯一。
执行undo radius attribute extended命令时,如果不指定属性名称,则表示删除所有已定义RADIUS扩展属性。
【举例】
# 配置一个RADIUS扩展属性,名称为Owner-Password,Vendor ID为122,属性序号为80,类型为字符串。
<Sysname> system-view
[Sysname] radius attribute extended Owner-Password vendor 122 code 80 type string
【相关命令】
· attribute convert
· attribute reject
· attribute translate
radius attribute-test-group命令用来创建RADIUS属性测试组,并进入RADIUS属性测试组视图。如果指定的RADIUS属性测试组视图已经存在,则直接进入RADIUS属性测试组视图。
undo radius attribute-test-group命令用来删除指定的RADIUS属性测试组。
【命令】
radius attribute-test-group attr-test-group-name
undo radius attribute-test-group attr-test-group-name
【缺省情况】
不存在RADIUS属性测试组。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
attr-test-group-name:测试组名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
RADIUS属性测试组用于配置向RADIUS服务器发送的认证/计费请求报文中需要携带的RADIUS属性的集合。
系统支持配置多个RADIUS属性测试组。
【举例】
# 创建名称为t1的RADIUS属性测试组,并进入该视图。
<Sysname> system-view
[Sysname] radius attribute-test-group t1
[Sysname-radius-attr-test-grp-t1]
【相关命令】
· exclude
· include
· test-aaa
radius dscp命令用来配置RADIUS协议报文的DSCP优先级。
undo radius dscp命令用来恢复缺省情况。
【命令】
radius [ ipv6 ] dscp dscp-value
undo radius [ ipv6 ] dscp
【缺省情况】
RADIUS报文的DSCP优先级为0。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv6:表示设置IPv6 RADIUS报文。若不指定该参数,则表示设置IPv4 RADIUS报文。
dscp-value:RADIUS报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。
【使用指导】
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定设备发送的RADIUS报文携带的DSCP优先级的取值。
【举例】
# 配置IPv4 RADIUS报文的DSCP优先级为10。
<Sysname> system-view
[Sysname] radius dscp 10
radius nas-ip命令用来设置RADIUS报文中携带的NAS-IP地址。
undo radius nas-ip命令用来删除指定的NAS-IP地址。
【命令】
radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未设置RADIUS报文中携带的NAS-IP地址,设备将以发送RADIUS报文的接口的主IPv4地址或IPv6地址作为NAS-IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:指定的IPv4 NAS-IP地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的IPv6 NAS-IP地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网NAS-IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网NAS-IP地址。
【使用指导】
可通过本命令配置设备发送的RADIUS报文中携带的NAS-IP-Address或NAS-IPv6-Address属性内容,简称为NAS-IP地址,该地址用于标识用户接入的设备,且在RADIUS服务器上必须全局唯一。
RADIUS服务器发送的DAE请求报文中若携带该属性,则表示该请求报文要发送给指定的接入设备。当接入设备收到DAE请求报文后,会获取报文中携带的NAS-IP地址与本地保存的NAS-IP地址进行比较,若相同则接受该请求报文并进行后续的处理,否则不对其进行处理。
接口视图、RADIUS方案视图和系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址,具体情况如下:
· 接口视图下配置的NAS-IP地址(通过aaa nas-ip命令)只对在本接口上线的用户有效。
· RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令)只对本RADIUS方案有效。
· 系统视图下的配置的NAS-IP地址(通过radius nas-ip命令)对所有RADIUS方案有效。
· 以上各视图下的配置优先级从高到底依次为:接口视图->RADIUS方案视图->系统视图。
系统视图下最多允许指定16个NAS-IP地址。其中,最多包括一个IPv4公网NAS-IP地址和一个IPv6公网NAS-IP地址,其余为私网NAS-IP地址。对于同一个VPN,系统视图下最多允许指定一个IPv4私网NAS-IP地址和一个IPv6私网NAS-IP地址。
【举例】
# 设置设备发送RADIUS报文使用的IPv4 NAS-IP地址为129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【相关命令】
· aaa nas-ip
· nas-ip (RADIUS scheme view)
radius scheme命令用来创建RADIUS方案,并进入RADIUS方案视图。如果指定的RADIUS方案已经存在,则直接进入RADIUS方案视图。
undo radius scheme命令用来删除指定的RADIUS方案。
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【缺省情况】
不存在RADIUS方案。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
radius-scheme-name:RADIUS方案的名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个RADIUS方案可以同时被多个ISP域引用。
系统最多支持配置16个RADIUS方案。
【举例】
# 创建名为radius1的RADIUS方案并进入其视图。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【相关命令】
· display radius scheme
radius source-ip命令用来设置设备发送RADIUS报文使用的源IP地址。
undo radius source-ip命令用来删除指定的发送RADIUS报文使用的源IP地址。
【命令】
radius source-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo radius source-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未指定发送RADIUS报文使用的源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:指定的源IPv4地址,为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
【使用指导】
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。
设备按照以下顺序选择发送RADIUS报文实际使用的源IP地址:
(1) RADIUS方案视图下配置的源IP地址(通过source-ip命令)。
(2) 系统视图下的配置的源IP地址(通过radius source-ip命令)。
(3) RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令)。
(4) 系统视图下的配置的源NAS-IP地址(通过radius nas-ip命令)。
(5) 发送RADIUS报文的出接口的IP地址。
系统视图下的配置的源IP地址对所有RADIUS方案有效。
系统视图下最多允许指定16个源地址。其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址。对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址。
【举例】
# 设置设备发送RADIUS报文使用的源IPv4地址为129.10.10.1。
<Sysname> system-view
[Sysname] radius source-ip 129.10.10.1
【相关命令】
· nas-ip (RADIUS scheme view)
· radius nas-ip
· source-ip (RADIUS scheme view)
radius stop-accounting-buffer cache命令用来配置RADIUS停止计费报文的最大缓存数目。
undo radius stop-accounting-buffer cache命令用来恢复缺省配置。
【命令】
radius stop-accounting-buffer cache max-packet-number
undo radius stop-accounting-buffer cache
【缺省情况】
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
max-packet-number:最大RADIUS停止计费报文数,范围为取值范围是256~2147483647。
【使用指导】
在RADIUS计费场景下,若开启了对无响应的RADIUS停止计费报文缓存功能,设备会将停止计费报文缓存在本机上,然后多次尝试向服务器发起停止计费请求。为了限制RADIUS停止计费报文对系统资源的占用,支持对设备可缓存的停止计费报文的最大数目进行设置。在网络连接质量不太稳定,且用户下线请求比较集中的环境中,建议提前规划并配置可缓存的报文数目,以避免用户下线业务短期内占用过多系统缓存资源。
当期望配置的缓存数目小于设备上已有的停止计费报文缓存数目时,配置将会失败。这种情况下,可以等待缓存报文数目减小或者手动清空部分缓存报文后,再次重新配置。通过reset stop-accounting-buffer命令清除缓存的RADIUS停止计费请求报文前,请首先通过display stop-accounting-buffer命令了解已缓存的RADIUS停止计费请求报文状况。
【举例】
# 配置RADIUS停止计费报文的最大缓存数目为9000。
<Sysname> system-view
[Sysname] radius stop-accounting-buffer cache 9000
【相关命令】
· display stop-accounting-buffer (for RADIUS)
· reset stop-accounting-buffer (for RADIUS)
· stop-accounting-buffer enable
radius stop-accounting-buffer overwrite-oldest命令用来配置当RADIUS停止计费报文个数达到最大缓存数目时,新产生的停止计费报文覆盖缓存时间最久的停止计费报文。
undo radius stop-accounting-buffer overwrite-oldest命令用来删除指定的覆盖缓存相关配置。
【命令】
radius stop-accounting-buffer { exceed | memory-minor-threshold } overwrite-oldest
undo radius stop-accounting-buffer { exceed | memory-minor-threshold } overwrite-oldest
【缺省情况】
当RADIUS停止计费报文个数达到最大缓存数目时,新产生的停止计费报文缓存失败。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
exceed:表示停止计费报文个数达到最大缓存数目。
memory-minor-threshold:表示设备剩余内存触发一级告警。
【使用指导】
当设备上已缓存的RADIUS停止计费报文数目达到最大值或设备产生一级内存告警时,对于新产生的需要缓存的停止计费报文,有两种处理方式供选择:
· 缺省模式:新增加的停止计费报文缓存失败。如果对较早下线用户的计费准确度要求更高,建议采用此方式。
· 覆盖模式:新增加的停止计费报文覆盖原有已缓存的停止计费报文,且从缓存时间最久的停止计费报文开始覆盖。如果对较晚下线的用户的计费准确度要求更高,建议采用此方式。
指定exceed和指定memory-minor-threshold的命令行可以同时存在,任何一个条件满足时,都可以允许新产生的停止计费报文覆盖式保存。
RADIUS停止计费报文的最大缓存数目由radius stop-accounting-buffer cache命令配置。
设备的内存告警门限情况可通过display memory-threshold命令查看。
【举例】
# 配置当RADIUS停止计费报文个数达到最大缓存数目时,让新产生的停止计费报文覆盖缓存时间最久的停止计费报文。
<Sysname> system-view
[Sysname] radius stop-accounting-buffer exceed overwrite-oldest
# 配置当设备产生一级内存告警时,让新产生的停止计费报文覆盖缓存时间最久的停止计费报文。
<Sysname> system-view
[Sysname] radius stop-accounting-buffer memory-minor-threshold overwrite-oldest
【相关命令】
· display memory-threshold(基础配置命令参考/设备管理)
· radius stop-accounting-buffer cache
radius stop-accounting-buffer warning-threshold命令用来配置RADIUS停止计费报文缓存告警阈值。
undo radius stop-accounting-buffer warning-threshold命令用来恢复缺省情况。
【命令】
radius stop-accounting-buffer warning-threshold upper upper-threshold lower lower-threshold
undo radius stop-accounting-buffer warning-threshold
【缺省情况】
未配置RADIUS停止计费报文缓存告警阈值。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
upper upper-threshold:触发RADIUS停止计费报文缓存告警的上限阈值,取值范围为1~100,单位为百分比。
lower lower-threshold:触发RADIUS停止计费报文缓存告警的恢复阈值,取值0~99,单位为百分比。取值为0表示设备上没有缓存RADIUS停止计费报文时,触发恢复告警。
【使用指导】
为了限制RADIUS停止计费报文对系统资源的占用,可以对设备上缓存的停止计费报文的最大数目进行限制。为了及时掌握停止计费报文的资源占用情况,需要开启RADIUS停止计费报文缓存告警并设置合理的缓存告警阈值。缓存告警阈值是一种预警门限,此时RADIUS停止计费报文仍然处于正常缓存的状态,但需要提醒设备管理员提前关注设备和RADIUS服务器之间的链路状态是否异常。
通过snmp-agent trap enable radius命令开启对应的RADIUS停止计费报文缓存告警后,当设备上已缓存的RADIUS停止计费报文数目与radius stop-accounting-buffer cache命令配置的最大缓存数目的比值达到指定的百分比时,将触发设备输出相应的SNMP告警信息:
· 当该比值首次达到指定的上限阈值(upper-threshold),或者从低于等于恢复阈值增长到上限阈值时,将触发上限告警。
· 当该比值从大于等于上限阈值下降到恢复阈值时(lower-threshold),将触发输出恢复告警。
通常情况下,建议上限阈值与恢复阈值的差值为30左右。
【举例】
# 配置RADIUS停止计费报文缓存告警的上限阈值为90、恢复阈值为50。
<Sysname> system-view
[Sysname] radius stop-accounting-buffer warning-threshold upper 90 lower 50
【相关命令】
· snmp-agent trap enable radius
radius trap-version命令用来配置发送RADIUS告警信息采用的MIB节点版本。
undo radius trap-version命令用来恢复缺省情况。
【命令】
radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *
undo radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *
【缺省情况】
使用v1版本的MIB节点发送RADIUS告警信息。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
v1:采用v1版本的MIB节点发送RADIUS告警信息。
v2:采用v2版本的MIB节点发送RADIUS告警信息。
accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息。
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息。
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息。
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息。
【使用指导】
请按照NMS(Network Management System,网络管理系统)的要求,选择设备需要采用的发送RADIUS告警信息采用的MIB节点版本。
表1-15 v1版本的MIB节点
|
MIB节点名 |
OID |
|
hh3cRadiusAuthServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.1 |
|
hh3cRadiusAccServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.2 |
|
hh3cRadiusAuthServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.1 |
|
hh3cRadiusAccServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.2 |
表1-16 v2版本的MIB节点
|
MIB节点名 |
OID |
|
hh3cRadiusAuthenticationServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.4 |
|
hh3cRadiusAccountingServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.5 |
|
hh3cRadiusAuthenticationServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.0.6 |
|
hh3cRadiusAccountingServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.0.7 |
若不指定任何参数,则表示设备发送所有类型的RADIUS服务器状态变化告警信息时,均采用相同版本的MIB节点。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置在RADIUS计费服务器可达状态变为down时发送告警信息采用v2版本的MIB节点。
<Sysname> system-view
[Sysname] radius trap-version v2 accounting-server-down
【相关命令】
· snmp-agent trap enable radius
radius-server test-profile命令用来配置RADIUS服务器探测模板。
undo radius-server test-profile命令用来删除指定的RADIUS服务器探测模板。
【命令】
radius-server test-profile profile-name username name [ interval [ second ] interval ]
undo radius-server test-profile profile-name
【缺省情况】
不存在RADIUS服务器探测模板。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
profile-name:探测模板名称,为1~31个字符的字符串,区分大小写。
username name:探测报文中的用户名,为1~253个字符的字符串,区分大小写。
interval:发送探测报文的周期,缺省值为60分钟。
second:单位为秒。若不指定该参数,则表示单位为分钟。
interval:探测周期。以分钟为单位时,取值范围为1~3600;以秒为单位时,取值范围为10~216000。
【使用指导】
系统支持配置多个RADIUS服务器探测模板。
RADIUS方案视图下的RADIUS服务器配置成功引用了某探测模板后,若被引用的探测模板不存在,则暂不启动探测功能。之后,当该探测模板被成功配置时,针对该服务器的探测过程将会立即开始。
删除一个RADIUS服务器探测模板时,引用该探测模板的所有RADIUS方案中的RADIUS服务器的探测功能也会被关闭。
【举例】
# 配置RADIUS服务器探测模板abc,探测报文中携带的用户名为admin,探测报文的发送间隔为10分钟。
<Sysname> system-view
[Sysname] radius-server test-profile abc username admin interval 10
【相关命令】
· primary authentication (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
reset radius server-load statistics命令用来清除所有RADIUS服务器的历史负载统计信息。
【命令】
reset radius server-load statistics
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
该命令只会清除所有RADIUS认证/计费服务器的历史负载统计数据,不会清除前5秒钟负载统计数据。
【举例】
# 清除所有RADIUS服务器上的历史负载统计信息。
<Sysname> reset radius server-load statistics
【相关命令】
· display radius server-load statistics
reset radius statistics命令用来清除RADIUS报文的统计信息。
【命令】
reset radius statistics [ server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-number ] { accounting | authentication } ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip ipv4-address:指定RADIUS服务器的IPv4地址。
ipv6 ipv6-address:指定RADIUS服务器的IPv6地址。
vpn-instance vpn-instance-name:指定RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主RADIUS计费服务器位于公网中。
port port-number:指定RADIUS服务器的UDP端口号,取值范围为1~65535,对于认证报文,缺省值为1812,对于计费报文,缺省值为1813。
accounting:表示RADIUS计费报文统计信息。
authentication:表示RADIUS认证报文统计信息。
【使用指导】
可通过本命令清除设备和RADIUS服务器之间交互的报文统计信息,包括RADIUS认证报文、RADIUS计费报文、DAE报文和session control报文的统计信息。
若不指定任何参数,则表示清除设备和所有RADIUS服务器交互的所有RADIUS报文统计信息。
当需要精确了解某段时间内指定的RADIUS报文统计信息时,可以先使用reset radius statistics命令清除该统计数,然后再使用display radius statistics命令精确查看当前时间段的RADIUS报文统计信息。
需要注意的是,清除设备与某个RADIUS服务器交互的RADIUS报文统计信息时,通过display radius statistics命令查看到的RADIUS报文总体统计计数并不会发生改变。
【举例】
# 清除所有RADIUS报文统计信息。
<Sysname> reset radius statistics
# 清除设备与IP地址为1.1.1.1、端口号为1813的RADIUS服务器之间交互的计费报文统计信息。
<Sysname> reset radius statistics server ip 1.1.1.1 port 1813 accounting
【相关命令】
· display radius statistics
reset stop-accounting-buffer命令用来清除缓存的RADIUS停止计费请求报文。
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
radius-scheme radius-scheme-name:表示指定RADIUS方案的停止计费响应报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串,不区分大小写。
session-id session-id:表示指定会话的停止计费响应报文。其中,session-id表示会话ID,为1~64个字符的字符串,不包含字母。会话ID用于唯一标识当前的在线用户。
time-range start-time end-time:表示指定时间段内发送且被缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;end-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:表示指定用户名的停止计费响应报文。其中,user-name表示用户名,为1~255个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。
【举例】
# 清除缓存的用户user0001@test的RADIUS停止计费请求报文。
<Sysname> reset stop-accounting-buffer user-name user0001@test
# 清除从2019年5月31日0点0分0秒到2019年5月31日23点59分59秒期间内缓存的停止计费请求报文。
<Sysname> reset stop-accounting-buffer time-range 00:00:00-05/31/2019 23:59:59-05/31/2019
【相关命令】
· display stop-accounting-buffer (for RADIUS)
· stop-accounting-buffer enable (RADIUS scheme view)
response-pending-limit命令用来配置发送给RADIUS服务器且未收到响应的请求报文的最大数目。
undo response-pending-limit命令用来取消配置的指定类型请求报文的最大数目。
【命令】
response-pending-limit { accounting | authentication } max-number
undo response-pending-limit { accounting | authentication }
【缺省情况】
未限制发送给RADIUS服务器且未收到响应的请求报文的最大数目。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
accounting:指定未收到计费服务器响应的请求报文的最大数目。
authentication:指定未收到认证服务器响应的请求报文的最大数目。
max-number:请求报文的最大值,取值范围为1~255。
【使用指导】
如果RADIUS服务器处理能力有限,不能并发处理过多的RADIUS请求报文,则可以通过本配置控制设备发送给RADIUS服务器的请求报文的速率。系统中存在两类Pending报文计数器,分别服务于RADIUS认证服务器和计费服务器,用于统计已发送给RADIUS服务器但还未收到响应的请求报文数,其最大值由本配置决定。在一个RADIUS方案下指定了认证/计费Pending报文计数器的最大值后,针对该方案下的每一个RADIUS认证/计费服务器,设备均会在向其发送首个认证/计费请求报文后启动一个Pending报文计数器。Pending报文计数器的具体工作机制如下:
(1) 设备向RADIUS服务器每发送一个请求报文后,都会将对应的Pending报文计数器加一,且在每收到一个响应报文或者该请求响应超时后,又将该Pending报文计数器减一。
(2) 当该计数器值达到最大值时,设备停止向对应的服务器发送请求报文,并将后续准备发送的请求报文缓存起来。
(3) 等到该计数器值低于最大值后,设备再按照缓存的先后顺序依次发送那些缓存的请求报文。当前可发送的请求报文数,取决于计数器值与最大值的差值。
删除本配置后,将不再限制发送给RADIUS服务器且未收到响应的请求报文的最大数目。
仅支持对PPP类型的接入用户请求速率进行控制。
由于接入用户数据均保存在用户接入的单板上,因此配置的速率基于单板生效。
【举例】
# 在RADIUS方案radius1中,配置发送给RADIUS认证服务器且未收到响应的请求报文的最大数为100。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] response-pending-limit authentication 100
【相关命令】
· display radius scheme
retry命令用来设置发送RADIUS报文的最大尝试次数。
undo retry命令用来恢复缺省情况。
【命令】
retry retries
undo retry
【缺省情况】
发送RADIUS报文的最大尝试次数为3次。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
retries:发送RADIUS报文的最大尝试次数,取值范围为1~20。
【使用指导】
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内(由timer response-timeout命令配置)没有收到RADIUS服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数已达到最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败。
需要注意的是:
· 发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线。
· 设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败。因此,为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间。
【举例】
# 在RADIUS方案radius1中,设置发送RADIUS报文的最大尝试次数为5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【相关命令】
· radius scheme
· timer response-timeout (RADIUS scheme view)
retry stop-accounting命令用来设置发起RADIUS停止计费请求的最大尝试次数。
undo retry stop-accounting命令用来恢复缺省情况。
【命令】
retry stop-accounting retries
undo retry stop-accounting
【缺省情况】
发起RADIUS停止计费请求的最大尝试次数为500。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
retries:允许停止计费请求无响应的最大次数,取值范围为10~65535。
【使用指导】
设备通过发起RADIUS停止计费请求的最大尝试次数与其它相关参数一起控制停止计费请求报文的发送。假设存在如下配置:
· RADIUS服务器的应答超时时长(由timer response-timeout命令设置)为3秒;
· 发送RADIUS报文的最大尝试次数(由retry命令设置)为5;
· 开启了对无响应的RADIUS停止计费请求报文的缓存功能;
· 设备发起停止计费请求的最大尝试次数为20(由retry stop-accounting命令设置)。
则,如果设备发送停止计费请求报文后的3秒内得不到服务器响应就重新发送该报文。如果设备发送5次之后仍然没有得到响应,会将该报文缓存在本机上,然后再发起一轮停止计费请求。20次请求尝试均失败以后,设备将缓存的报文丢弃。
【举例】
# 在RADIUS方案radius1中,设置发起RADIUS停止计费请求的最大尝试次数为1000。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry stop-accounting 1000
【相关命令】
· display stop-accounting-buffer (for RADIUS)
· retry
· timer response-timeout (RADIUS scheme view)
secondary accounting命令用来配置从RADIUS计费服务器。
undo secondary accounting命令用来删除指定的从RADIUS计费服务器。
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *
undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从RADIUS计费服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:从RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。
port-number:从RADIUS计费服务器的UDP端口号,取值范围为1~65535,缺省值为1813。
key:与从RADIUS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:从RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从RADIUS计费服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的计费请求报文越多。
【使用指导】
配置的从计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、IP地址、端口号也不能完全相同。
设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting命令设置的共享密钥。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。
当RADIUS服务器负载分担功能处于关闭状态时,如果在计费开始请求报文发送过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信。
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
【举例】
# 在RADIUS方案radius1中,配置从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
# 在RADIUS方案radius2中,配置两个从计费服务器,IP地址分别为10.110.1.1、10.110.1.2,且均使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813
[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· primary accounting
· vpn-instance (RADIUS scheme view)
secondary authentication命令用来配置从RADIUS认证服务器。
undo secondary authentication命令用来删除指定的从RADIUS认证服务器。
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *
undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从RADIUS认证服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:从RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS认证服务器的IPv6地址。
port-number:从RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省值为1812。
key:与从RADIUS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
test-profile profile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:从RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从RADIUS认证服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多。
【使用指导】
配置的从认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
每个RADIUS方案中最多支持配置16个从RADIUS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、IP地址、端口号也不能完全相同。
设备与从认证服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authentication命令设置的共享密钥。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。
当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信。
【举例】
# 在RADIUS方案radius1中,配置从认证服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
# 在RADIUS方案radius2中,配置两个从认证服务器,IP地址分别为10.110.1.1、10.110.1.2,且均使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812
[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· primary authentication (RADIUS scheme view)
· radius-server test-profile
· vpn-instance (RADIUS scheme view)
server-block-action命令用来设置RADIUS服务器都处于block状态后的请求动作。
undo server-block-action命令用来恢复缺省情况。
【命令】
server-block-action { attempt | skip }
undo server-block-action
【缺省情况】
所有RADIUS服务器都处于block状态后的请求动作为attempt。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
attempt:Attempt方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/计费请求时,仍然会尝试向当前方案中的一个认证/计费服务器发送认证/计费请求。
skip:Skip方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/计费请求时,会跳过当前方案中的所有服务器,直接使用为该用户配置的下一个认证/计费方法去处理这个请求。
【使用指导】
Attempt方式下,由于该方案下的所有RADIUS服务器都处于block状态后,设备仍会首先尝试与高优先级的服务器建立连接,与该服务器建立连接失败后,才会切换到配置的下一个认证/计费方法,此方法保证了设备尽量优先使用第一个认证/计费方法处理用户请求,但同时会增加请求的响应时间。因此,对于对AAA响应时间要求比较高的场合,建议选择Skip方式。
设备处理一个认证/计费请求的过程中,如果已经跳过了当前方案中的所有服务器,则后续就算该方案中有服务器状态切换回active,设备也不会再使用该方案来处理它。
【举例】
# 在RADIUS方案radius1中,设置RADIUS服务器都处于block状态后的动作为跳过当前方案中的所有服务器。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-block-action skip
【相关命令】
· display radius scheme
· retry
· timer response-timeout (RADIUS scheme view)
server-load-sharing enable命令用来开启RADIUS服务器负载分担功能。
undo server-load-sharing enable命令用来关闭RADIUS服务器负载分担功能。
【命令】
server-load-sharing enable
undo server-load-sharing enable
【缺省情况】
RADIUS服务器负载分担功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
缺省情况下,RADIUS服务器负载分担功能处于关闭状态,RADIUS服务器的调度采用主/从模式。
主/从模式下,设备优先选取状态为active的主服务器进行交互,若主服务器不可达则尝试与从服务器交互。设备尝试与从服务器交互时,按照从服务器的配置顺序依次选择,先配置的服务器将优先被选取。
在主/从模式下,设备选择服务器的逻辑比较单一。如果RADIUS方案中的主服务器或者某一配置顺序靠前的从服务器始终可达,则该服务器将独立承载该方案下所有用户的AAA业务。在大用户量下,这类服务器的负荷过重,将会影响处理用户上线的整体性能。
RADIUS方案中开启服务器负载分担功能后,设备将根据当前各服务器承载的用户负荷调度合适的服务器发送认证/计费请求。考虑到各服务器的性能可能存在差异,设备支持管理员配置服务器时为各个服务器指定适应其性能的权重值(由weight关键字指定),权重值较大的服务器具备较大的被选取可能性。设备在处理用户认证/计费请求时,将综合各个服务器的权重值及当前用户负荷情况,按比例进行用户负荷分配并选择要交互的服务器。
需要注意的是,负载分担模式下,某台计费服务器开始对某用户计费后,该用户后续计费请求报文均会发往同一计费服务器。如果该计费服务器不可达,则直接返回计费失败。
【举例】
# 在RADIUS方案radius1中,开启RADIUS服务器负载分担功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-load-sharing enable
【相关命令】
· display radius server-load statistics
· primary authentication (RADIUS scheme view)
· primary accounting (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
· secondary accounting (RADIUS scheme view)
· server-load-sharing mode
server-load-sharing mode命令用来配置RADIUS认证服务器的负载分担方式。
undo server-load-sharing mode命令用来恢复缺省情况。
【命令】
server-load-sharing mode { packet-based | session-based }
undo server-load-sharing mode
【缺省情况】
RADIUS认证服务器的负载分担方式为session-based。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
packet-based:表示认证基于报文进行负载分担。
session-based:表示认证基于会话进行负载分担。
【使用指导】
RADIUS服务器负载分担功能处于开启状态时,设备支持两种负载分担方式选择向该方案中的哪个认证服务器发送认证请求报文:
· 基于会话负载分担:根据各认证服务器当前承载的并发会话数,基于权重比例调度服务器。每当设备向某服务器发送一个认证请求报文后,该服务器承载的会话数增加一;若设备收到该服务器的认证响应报文,则会将它承载的会话数减去一。因此,该方式适用于并发用户数大且各服务器性能较为均衡的情况。
· 基于报文负载分担:根据各认证服务器已承载的请求报文数,基于权重比例调度服务器。每当设备向某服务器发送一个认证请求报文后,该服务器承载的请求报文数增加一;若设备重启,则所有服务器承载的请求报文数将被清零。这种方式可以满足希望用户认证报文均匀分配到各服务器上,避免某一个服务器一直处于工作状态的需求。
该命令只有在RADIUS服务器负载分担功能开启状态下有效,并且只用来控制认证负载分担的算法。
【举例】
# 在RADIUS方案radius1中,配置RADIUS认证服务器采用基于报文的负载分担方式。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-load-sharing mode packet-based
【相关命令】
· server-load-sharing enable
snmp-agent trap enable radius命令用来开启RADIUS告警功能。
undo snmp-agent trap enable radius命令用来关闭指定的RADIUS告警功能。
【命令】
snmp-agent trap enable radius [ accounting-cache-discard | accounting-cache-lower-threshold | accounting-cache-upper-threshold | accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
undo snmp-agent trap enable radius [ accounting-cache-discard | accounting-cache-lower-threshold | accounting-cache-upper-threshold | accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
【缺省情况】
所有类型的RADIUS告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
accounting-cache-discard:表示设备产生一级内存告警且丢弃RADIUS停止计费报文时发送告警信息。
accounting-cache-lower-threshold:表示RADIUS停止计费报文缓存率到达恢复阈值时发送告警信息。
accounting-cache-upper-threshold:表示RADIUS停止计费报文缓存率到达上限阈值时发送告警信息。
accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息。
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息。
authentication-error-threshold:表示认证失败次数超过阈值时发送告警信息。该阈值为认证失败次数占认证请求总数的百分比数值,目前仅能通过MIB方式配置,取值范围为1~100,缺省为30。
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息。
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息。
【使用指导】
不指定任何参数时,表示开启或关闭所有类型的RADIUS告警功能。
系统可以生成以下几种RADIUS告警信息:
· 设备触发一级内存门限的告警:设备产生一级内存告警,且开始丢弃已缓存或待缓存的RADIUS停止计费报文时,会发送该告警信息。
· RADIUS停止计费报文缓存率到达阈值的告警:当设备上的RADIUS停止计费报文缓存率到达预设的百分比时,会发送该类告警信息。相关阈值由radius accounting cache-warning-threshold命令设置。
· RADIUS服务器不可达的告警:当NAS向RADIUS服务器发送计费或认证请求没有收到响应时,会重传请求,当重传次数达到最大传送次数时仍然没有收到响应时,则发送该告警信息。
· RADIUS服务器可达的告警:当timer quiet定时器设定的时间到达后,NAS将服务器的状态置为激活状态并发送该告警信息。
· 认证失败次数超过阈值的告警:当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送该告警信息。
【举例】
# 开启RADIUS计费服务器可达状态变为down时的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable radius accounting-server-down
【相关命令】
· radius accounting cache-warning-threshold
source-ip命令用来设置设备发送RADIUS报文使用的源IP地址。
undo source-ip命令用来删除指定类型的发送RADIUS报文使用的源IP地址。
【命令】
source-ip { ipv4-address | ipv6 ipv6-address }
undo source-ip [ ipv6 ]
【缺省情况】
未指定设备发送RADIUS报文使用的源IP地址,使用系统视图下由命令radius source-ip指定的源IP地址。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:源IPv4地址,为本机地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:源IPv6地址,为本机地址,且必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。
设备按照以下顺序选择发送RADIUS报文实际使用的源IP地址:
(1) RADIUS方案视图下配置的源IP地址(通过source-ip命令)。
(2) 系统视图下的配置的源IP地址(通过radius source-ip命令)。
(3) RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令)。
(4) 系统视图下的配置的源NAS-IP地址(通过radius nas-ip命令)。
(5) 发送RADIUS报文的出接口的IP地址。
一个RADIUS方案视图下,最多允许指定一个IPv4源地址和一个IPv6源地址。
如果undo source-ip命令中不指定ipv6参数,则表示删除配置的发送RADIUS报文使用的源IPv4地址。
【举例】
#在RADIUS方案radius1中,设置设备发送RADIUS报文使用的源IPv4地址为10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] source-ip 10.1.1.1
【相关命令】
· display radius scheme
· nas-ip (RADIUS scheme view)
· radius nas-ip
· radius source-ip
state primary命令用来设置主RADIUS服务器的状态。
【命令】
state primary { accounting | authentication } { active | block }
【缺省情况】
主RADIUS服务器状态为active。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
accounting:主RADIUS计费服务器。
authentication:主RADIUS认证服务器。
active:正常工作状态。
block:通信中断状态。
【使用指导】
当RADIUS服务器负载分担功能处于关闭状态时,每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态置为block,同时启动主服务器的timer quiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器。在timer quiet定时器设定的时间到达之后,主服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。
当RADIUS服务器负载分担功能处于开启状态时,若当前存在状态为active的认证/计费服务器,则设备仅根据当前各服务器承载的用户负荷来选择与之通信的服务器。
认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active,且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能。
【举例】
# 在RADIUS方案radius1中,设置主认证服务器的状态为block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state primary authentication block
【相关命令】
· display radius scheme
· radius-server test-profile
· server-load-sharing enable
· state secondary
state secondary命令用来设置从RADIUS服务器的状态。
【命令】
state secondary { accounting | authentication } [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block }
【缺省情况】
从RADIUS服务器状态为active。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
accounting:从RADIUS计费服务器。
authentication:从RADIUS认证服务器。
ipv4-address:从RADIUS服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS服务器的IPv6地址。
port-number:从RADIUS服务器的UDP端口号,取值范围为1~65535,从RADIUS计费服务器的缺省UDP端口号为1813,从RADIUS认证服务器的缺省UDP端口号为1812。
vpn-instance vpn-instance-name:从RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。
active:正常工作状态。
block:通信中断状态。
【使用指导】
如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从认证服务器或从计费服务器的状态。
当RADIUS服务器负载分担功能处于关闭状态时,如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timer quiet定时器,并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后,从服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达,则本次认证或计费失败。
当RADIUS服务器负载分担功能处于开启状态时,若当前存在状态为active的认证/计费服务器,则设备仅根据当前各服务器承载的用户负荷来选择与之通信的服务器。
认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active,且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能。
【举例】
# 在RADIUS方案radius1中,设置从认证服务器的状态设置为block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication block
【相关命令】
· display radius scheme
· radius-server test-profile
· server-load-sharing enable
· state primary
stop-accounting-buffer enable命令用来开启对无响应的RADIUS停止计费请求报文的缓存功能。
undo stop-accounting-buffer enable命令用来关闭对无响应的RADIUS停止计费请求报文的缓存功能。
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【缺省情况】
设备缓存未得到响应的RADIUS停止计费请求报文。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
设备在发送停止计费请求报文而RADIUS服务器没有响应时,会尝试重传该报文,最大尝试次数由retry命令设置。如果设备发送该RADIUS报文的最大尝试次数超过最大值后,仍然没有得到响应,则该功能处于开启状态的情况下设备会缓存该报文,然后再发起一次请求,若仍然未得到响应,则重复上述过程,一定次数(由retry stop-accounting命令设置)之后,设备将其丢弃。
如果RADIUS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费请求报文。
【举例】
# 开启对无响应的RADIUS停止计费请求报文的缓存功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-buffer enable
【相关命令】
· display stop-accounting-buffer (for RADIUS)
· reset stop-accounting-buffer (for RADIUS)
stop-accounting-packet send-force命令用来配置用户下线时设备强制发送RADIUS计费停止报文。
undo stop-accounting-packet send-force命令用来恢复缺省情况。
【命令】
stop-accounting-packet send-force
undo stop-accounting-packet send-force
【缺省情况】
用户下线时设备不会强制发送计费停止报文。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
通常,RADIUS服务器在收到用户的计费开始报文后才会生成用户表项,但有一些RADIUS服务器在用户认证成功后会立即生成用户表项。如果设备使用该类RADIUS服务器进行认证/授权/计费,则在用户认证后,因为一些原因(比如授权失败)并未发送计费开始报文,则在该用户下线时设备也不会发送RADIUS计费停止报文,就会导致RADIUS服务器上该用户表项不能被及时释放,形成服务器和设备上用户信息不一致的问题。为了解决这个问题,建议开启本功能。
开启本功能后,只要用户使用RADIUS服务器进行计费,且设备未向RADIUS服务器发送计费开始报文,则在用户下线时设备会强制发送一个RADIUS计费停止报文给服务器,使得服务器收到此报文后及时释放用户表项。
【举例】
# 在RADIUS方案radius1中,配置用户下线时设备强制发送RADIUS计费停止报文。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-packet send-force
【相关命令】
· display radius scheme
test-aaa命令用来发起一次AAA请求测试。
【命令】
test-aaa user user-name password password radius-scheme radius-scheme-name [ radius-server { ipv4-address | ipv6 ipv6-address } port-number [ vpn-instance vpn-instance-name ] ] [ chap | pap ] [ attribute-test-group attr-test-group-name ] [ trace ]
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
user user-name:待测试的用户名,为1~80个字符的字符串,区分大小写。用户名中可以携带域名,形式为“纯用户名@域名”,其中纯用户名区分大小写,域名不区分大小写。
password password:待测试用户的明文密码,为1~63个字符的字符串,区分大小写。
radius-scheme radius-scheme-name:RADIUS方案名称,为1~32个字符的字符串,不区分大小写。
radius-server:指定具体的RADIUS服务器。
ipv4-address:RADIUS服务器的IPv4地址。
ipv6 ipv6-address:RADIUS服务器的IPv6地址。
port-number:RADIUS服务器的UDP端口号,取值范围为1~65535。
vpn-instance vpn-instance-name:RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示待探测RADIUS服务器位于公网中。
chap:采用CHAP认证方式。该方式也是缺省认证方式。
pap:采用PAP认证方式。
attribute-test-group attr-test-group-name:RADIUS属性测试组的名称,为1~31个字符的字符串,不区分大小写。
trace:显示详细的RADIUS报文交互信息。若不指定该参数,则表示仅显示报文收发结果及最终的测试结果。
【使用指导】
本命令主要用于排查设备与AAA服务器交互时的故障原因,目前仅支持对RADIUS服务器的测试。当故障发生时,执行本命令发起一次RADIUS请求测试,通过查看打印出的认证/计费请求结果以及报文交互信息,有利于快速定位故障发生的关键环节,以及及时排查影响认证/计费结果的RADIUS属性。
可以在执行本命令时指定RADIUS属性测试组,指定的测试组中定义了RADIUS请求报文中要携带的属性。如果本命令中未指定RADIUS属性测试组或指定的RADIUS属性测试组不存在,则测试过程中发送的RADIUS请求报文中将会携带一些缺省属性,缺省属性的介绍请参见AAA配置手册。
由于测试期间不能保证设备与AAA服务器可以正常通信,因此不建议同时允许用户进行正常的上线、下线操作。
测试过程中,如果引用的RADIUS方案配置发生变化,则仅在下次测试中生效,并不影响本次探测。
仅允许在同一时间内存在一个测试过程,下一次测试只能在当前测试过程完成后执行。
【举例】
# 发起一次AAA请求测试,使用的测试用户名为user1,密码为123456,RADIUS方案名为test,同时打印详细的RADIUS报文交互信息。
<Sysname> test-aaa user user1 password 123456 radius-scheme test chap trace
Sent a RADIUS authentication request.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1812
Packet type : Authentication request
Packet length: 118 bytes
Packet ID : 0
Attribute list:
[User-Name(1)] [6] [user1]
[CHAP-Password(3)] [19] [******]
[NAS-IP-Address(4)] [6] [192.168.1.166]
[Service-Type(6)] [6] [2] [Framed]
[Framed-Protocol(7)] [6] [1] [PPP]
[NAS-Identifier(32)] [5] [Sysname]
[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]
[CHAP-Challenge(60)] [18] [******]
[NAS-Port-Type(61)] [6] [15] [Ethernet]
Received a RADIUS authentication response.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1812
Packet type : Access-Reject
Packet length: 20 bytes
Packet ID : 0
Reply-Message: "E63032: Incorrect password. You can retry 9 times."
Sent a RADIUS start-accounting request.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Start-accounting request
Packet length: 63 bytes
Packet ID : 1
Attribute list:
[User-Name(1)] [6] [user1]
[Acct-Status-Type(40)] [6] [1] [Start]
[NAS-IP-Address(4)] [6] [192.168.1.166]
[NAS-Identifier(32)] [5] [Sysname]
[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]
Received a RADIUS start-accounting response.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Start-accounting response
Packet length: 20 bytes
Packet ID : 1
Sent a RADIUS stop-accounting request.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Stop-accounting request
Packet length: 91 bytes
Packet ID : 1
Attribute list:
[User-Name(1)] [6] [user1]
[Acct-Status-Type(40)] [6] [2] [Stop]
[NAS-IP-Address(4)] [6] [192.168.1.166]
[NAS-Identifier(32)] [5] [Sysname]
[Acct-Delay-Time(41)] [6] [0]
[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]
[Acct-Terminate-Cause(49)] [6] [1] [User Request]
Received a RADIUS stop-accounting response.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Stop-accounting response
Packet length: 20 bytes
Packet ID : 1
Test result: Failed
# 发起一次AAA请求测试,使用的测试用户名为user1,密码为123456 ,RADIUS方案名为test,指定探测test下认证服务器192.168.1.110,且不打印详细的RADIUS报文交互信息。
<Sysname> test-aaa user user1 password 123456 radius-scheme test radius-server 192.168.1.110 1812
Sent a RADIUS authentication request.
Received a RADIUS authentication response.
Test result: Successful
表1-17 test-aaa命令显示信息描述表
|
字段 |
描述 |
|
Server IP |
服务器的IP地址 |
|
Source IP |
RADIUS报文源IP地址 |
|
VPN instance |
RADIUS认证/计费服务器所在的VPN,服务器位于公网时,显示为N/A |
|
Server port |
RADIUS认证/计费服务器的UDP端口号 |
|
Packet type |
RADIUS报文类型: · Authentication request:认证请求报文 · Access-Accept:认证接受报文 · Access-Reject:认证拒绝报文 · Start-accounting request:开始计费请求报文 · Start-accounting response:开始计费响应报文 · Stop-accounting request:停止计费请求报文 · Stop-accounting response:停止计费响应报文 |
|
Packet length |
报文总长度,单位为字节 |
|
Packet ID |
报文ID,用于匹配响应报文和对应的请求报文 |
|
[attribute-name (code)] [length] [value] [description] |
RADIUS属性信息: · attribute-name:属性名称 · code:属性编号 · length:属性值的长度,单位为字节 · value:属性值 · description:特殊属性值的描述信息 |
|
Sent a RADIUS authentication request. |
成功发送了一个认证请求报文 |
|
Failed to receive a RADIUS authentication response. |
认证请求已超时,未收到应答 |
|
Received a RADIUS authentication response. |
接收到一个认证响应报文 |
|
Sent a RADIUS start-accounting request. |
成功发送了一个计费开始请求报文 |
|
Failed to receive a RADIUS start-accounting response. |
计费开始请求已超时,未收到应答 |
|
Received a RADIUS start-accounting response. |
接收到一个计费开始请求报文 |
|
Sent a RADIUS stop-accounting request. |
成功发送了一个计费停止请求报文 |
|
Failed to receive a RADIUS stop-accounting response. |
计费停止请求已超时,未收到应答 |
|
Received a RADIUS stop-accounting response. |
接收到一个计费停止请求报文 |
|
Reply-Message: |
RADIUS服务器拒绝此认证请求,并下发提示信息 |
|
The authentication server is not configured. |
指定的RADIUS方案中未配置要探测的认证服务器 |
|
The accounting server is not configured. |
指定的RADIUS方案中未配置要探测的计费服务器 |
|
Test result |
测试结果: · Successful:当前用户的AAA测试成功 · Failed:当前用户的AAA测试失败(只要有一个请求报文测试失败,即为失败) |
【相关命令】
· radius attribute-test-group
· radius scheme
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
【命令】
timer quiet minutes
undo timer quiet
【缺省情况】
服务器恢复激活状态的时间为5分钟。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【使用指导】
建议合理设置服务器恢复激活状态的时间:
· 如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。
· 如果服务器恢复激活状态时间设置的过长,当服务器恢复可达后,设备不能及时与其进行通信,会降低对用户进行认证或计费的效率。
【举例】
# 在RADIUS方案radius1中,配置服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer quiet 10
【相关命令】
· display radius scheme
timer response-timeout命令用来设置RADIUS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情况】
RADIUS服务器响应超时时间为3秒。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒。
【使用指导】
如果在RADIUS请求报文传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时间,本命令用于调整这个时间。
需要注意的是:
· 发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线。
· 设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败。因此,为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间。
【举例】
# 在RADIUS方案radius1中,设置服务器响应超时时间设置为5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【相关命令】
· display radius scheme
· retry
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情况】
发送给RADIUS服务器的用户名携带ISP域名。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
keep-original:发送给RADIUS服务器的用户名与用户的输入保持一致。
with-domain:发送给RADIUS服务器的用户名携带ISP域名。
without-domain:发送给RADIUS服务器的用户名不携带ISP域名。
【使用指导】
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
在802.1X用户采用EAP认证方式的情况下,RADIUS方案中配置的user-name-format命令无效,客户端传送给RADIUS服务器的用户名与用户输入的用户名保持一致。
【举例】
# 在RADIUS方案radius1中,设置发送给RADIUS服务器的用户名不得携带域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
【相关命令】
· display radius scheme
vpn-instance命令用来配置RADIUS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
RADIUS方案属于公网。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的VPN对于该方案下的所有RADIUS认证/计费服务器生效,但设备优先使用配置RADIUS认证/计费服务器时为各服务器单独指定的VPN。
【举例】
# 配置RADIUS方案radius1所属的VPN为test。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] vpn-instance test
【相关命令】
· display radius scheme
data-flow-format命令用来配置发送到HWTACACS服务器的数据流或者数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情况】
数据流的单位为byte,数据包的单位为one-packet。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【使用指导】
设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费。
【举例】
# 在HWTACACS方案hwt1中,设置发往HWTACACS服务器的数据流的数据单位为千字节、数据包的单位为千包。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【相关命令】
· display hwtacacs scheme
display hwtacacs scheme命令用来查看HWTACACS方案的配置信息或HWTACACS服务相关的统计信息。
【命令】
display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
hwtacacs-scheme-name:HWTACACS方案的名称,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则显示所有HWTACACS方案的配置信息。
statistics:显示HWTACACS服务相关的统计信息。不指定该参数,则显示HWTACACS方案的配置信息。
【使用指导】
显示指定HWTACACS方案配置信息时,会同时显示每一个HWTACACS服务器当前Active状态的持续时间以及最近5次状态变化信息;显示所有HWTACACS方案配置信息时,会同时显示每一个HWTACACS服务器当前Active状态的持续时间以及最近1次Block状态的开始时间和结束时间。
【举例】
# 查看所有HWTACACS方案的配置情况。
<Sysname> display hwtacacs scheme
Total 1 HWTACACS schemes
------------------------------------------------------------------
HWTACACS scheme name: hwtac
Index : 0
Primary authentication server:
IP : 2.2.2.2 Port: 49
VPN Instance: 2
State: Active (duration: 1 weeks 2 days 1 hours 32 minutes 34 seconds)
Most recent blocked period: 2021/08/15 20:33:45 - 2021/08/15 20:38:45
Single-connection: Enabled
Primary authorization server:
IP : 2.2.2.2 Port: 49
VPN Instance: 2
State: Active (duration: 1 weeks 2 days 1 hours 32 minutes 34 seconds)
Most recent blocked period: 2021/08/15 20:33:45 - 2021/08/15 20:38:45
Single-connection: Disabled
Primary accounting server:
IP : Not Configured Port: 49
VPN Instance: Not configured
State: Blocked
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Stop-accounting packets buffering : Enabled
Retransmission times : 100
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : One
------------------------------------------------------------------
#显示HWTACACS方案hwtac的配置情况。
<Sysname> display hwtacacs scheme hwtac
Total 1 HWTACACS schemes
------------------------------------------------------------------
HWTACACS scheme name: hwtac
Index : 0
Primary authentication server:
IP : 2.2.2.2 Port: 49
VPN Instance: 2
State: Active (duration: 1 weeks 2 days 1 hours 32 minutes 34 seconds)
Most recent state changes:
2021/08/15 21:01:23 Changed to active state
2021/08/15 20:56:22 Changed to blocked stat
Single-connection: Enabled
Primary authorization server:
IP : 2.2.2.2 Port: 49
VPN Instance: 2
State: Active (duration: 1 weeks 2 days 1 hours 32 minutes 34 seconds)
Most recent state changes:
2021/08/15 21:01:23 Changed to active state
2021/08/15 20:56:22 Changed to blocked state
Single-connection: Disabled
Primary accounting server:
IP : Not Configured Port: 49
VPN Instance: Not configured
State: Blocked
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Stop-accounting packets buffering : Enabled
Retransmission times : 100
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : One
------------------------------------------------------------------
表1-18 display hwtacacs scheme命令显示信息描述表
|
字段 |
描述 |
|
Total 1 HWTACACS schemes |
共计1个HWTACACS方案 |
|
HWTACACS scheme name |
HWTACACS方案的名称 |
|
Index |
HWTACACS方案的索引号 |
|
Primary authentication server |
主HWTACACS认证服务器 |
|
Primary authorization server |
主HWTACACS授权服务器 |
|
Primary accounting server |
主HWTACACS计费服务器 |
|
Secondary authentication server |
从HWTACACS认证服务器 |
|
Secondary authorization server |
从HWTACACS授权服务器 |
|
Secondary accounting server |
从HWTACACS计费服务器 |
|
IP |
HWTACACS服务器的IP地址 未配置时,显示为Not configured |
|
Port |
HWTACACS服务器的端口号 未配置时,显示缺省值 |
|
State |
HWTACACS服务器目前状态 · Active:激活状态 · Blocked:静默状态 若状态为Active,则同时显示该状态的持续时间 |
|
duration |
HWTACACS服务器当前Active状态的持续时间 |
|
Most recent blocked period |
HWTACACS服务器最后一次转换为Block状态的开始时间及结束时间。若最终状态为Block状态,则结束时间用“now”表示 |
|
Most recent state changes |
HWTACACS服务器最近5次的状态变化信息 |
|
VPN Instance |
HWTACACS服务器所在的VPN 未配置时,显示为Not configured |
|
Single-connection |
单连接状态 · Enabled:使用一条TCP连接与服务器通信 · Disabled:每次新建TCP连接与服务器通信 |
|
VPN Instance |
HWTACACS方案所属的VPN名称 未配置时,显示为Not configured |
|
NAS IP Address |
发送HWTACACS报文的源IP地址 |
|
Server Quiet Period(minutes) |
主HWTACACS服务器恢复激活状态的时间(分钟) |
|
Realtime Accounting Interval(minutes) |
实时HWTACACS计费更新报文的发送间隔(分钟) |
|
Stop-accounting packets buffering |
HWTACACS停止计费请求报文缓存功能的开启情况 |
|
Retransmission times |
发起HWTACACS停止计费请求的最大尝试次数 |
|
Response Timeout Interval(seconds) |
HWTACACS服务器超时时间(秒) |
|
Username Format |
用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
|
Data flow unit |
数据流的单位 · Byte:字节 · Kilobyte:千字节 · Megabyte:兆字节 · Gigabyte:十亿字节 |
|
Packet unit |
数据包的单位 · One:个 · Kilo:千 · Mega:兆 · Giga:十亿 |
<Sysname> display hwtacacs scheme tac statistics
HWTACACS scheme name: tac
Primary authentication server: 3.3.3.3
Round trip time: 0 seconds
Request packets: 1
Login request packets: 1
Change-password request packets: 0
Request packets including plaintext password: 0
Request packets including ciphertext password: 0
Response packets: 2
Pass response packets: 1
Failure response packets: 0
Get-data response packets: 0
Get-username response packets: 0
Get-password response packets: 1
Restart response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Continue packets: 1
Continue-abort packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary authorization server: 3.3.3.3
Round trip time: 1 seconds
Request packets: 1
Response packets: 1
PassAdd response packets: 1
PassReply response packets: 0
Failure response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary accounting server: 3.3.3.3
Round trip time: 0 seconds
Request packets: 2
Accounting start request packets: 1
Accounting stop request packets: 1
Accounting update request packets: 0
Pending request packets: 0
Response packets: 2
Success response packets: 2
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Timeout response packets: 0
Unknown type response packets: 0
Dropped response packets: 0
表1-19 display hwtacacs scheme statistics命令显示信息描述表
|
字段 |
描述 |
|
HWTACACS scheme name |
HWTACACS方案名称 |
|
Primary authentication server |
主HWTACACS认证服务器 |
|
Primary authorization server |
主HWTACACS授权服务器 |
|
Primary accounting server |
主HWTACACS计费服务器 |
|
Secondary authentication server |
从HWTACACS认证服务器 |
|
Secondary authorization server |
从HWTACACS授权服务器 |
|
Secondary accounting server |
从HWTACACS计费服务器 |
|
Round trip time |
设备处理最近一组响应报文和请求报文的时间间隔(单位为秒) |
|
Request packets |
发送的请求报文个数 |
|
Response packets |
接收到的响应报文个数 |
|
Failure response packets |
认证或授权失败的响应报文个数 |
|
Error response packets |
错误类型的响应报文个数 |
|
Follow response packets |
Follow类型的响应报文的个数 |
|
Malformed response packets |
不合法的响应报文个数 |
|
Pending request packets |
等待响应的请求报文个数 |
|
Timeout packets |
超时的请求报文个数 |
|
Unknown type response packets |
未知报文类型的响应报文个数 |
|
Dropped response packets |
被丢弃响应报文个数 |
|
Login request packets |
登录认证的请求报文个数 |
|
Change-password request packets |
更改密码的请求报文个数 |
|
Request packets including plaintext passwords |
发送明文密码的请求报文个数 |
|
Request packets including ciphertext passwords |
发送密文密码的请求报文个数 |
|
Pass response packets |
表示认证通过的响应报文个数 |
|
Get-data response packets |
表示获取数据的响应报文个数 |
|
Get-username response packets |
表示获取用户名的响应报文个数 |
|
Get-password response packets |
表示获取密码的响应报文个数 |
|
Restart response packets |
要求重认证的响应报文个数 |
|
Continue packets |
发送的Continue报文个数 |
|
Continue-abort packets |
发送的Continue-abort报文个数 |
|
PassAdd response packets |
接收到的PassAdd类型的响应报文个数。此报文表示同意授权所有请求的属性,并添加其他授权属性 |
|
PassReply response packets |
接收到的PassReply类型的响应报文个数。此报文表示采用响应报文中指定的授权属性替换请求的授权属性 |
|
Accounting start request packets |
发送的计费开始请求报文个数 |
|
Accounting stop request packets |
发送的计费结束请求报文个数 |
|
Accounting update request packets |
发送的计费更新报文个数 |
|
Accounting start-and-update request packets |
发送的赋值的计费开始报文的个数 |
|
Success response packets |
接收到的计费成功的响应报文个数 |
【相关命令】
· reset hwtacacs statistics
display stop-accounting-buffer命令用来显示缓存的HWTACACS停止计费请求报文的相关信息。
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
hwtacacs-scheme hwtacacs-scheme-name:表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【举例】
# 显示HWTACACS方案hwt1缓存的HWTACACS停止计费请求报文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1
Total entries: 2
Scheme IP address Username First sending time Attempts
hwt1 192.168.100.1 abc 23:27:16-05/31/2019 19
hwt1 192.168.90.6 bob 23:33:01-05/31/2019 20
表1-20 display stop-accounting-buffer命令显示信息描述表
|
字段 |
描述 |
|
Total entries: 2 |
共有两条记录匹配 |
|
Scheme |
HWTACACS方案名 |
|
IP address |
用户IP地址 |
|
Username |
用户名 |
|
First sending time |
首次发送停止计费请求的时间 |
|
Attempts |
发送停止计费请求报文的次数 |
【相关命令】
· retry stop-accounting (HWTACACS scheme view)
· reset stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
· user-name-format (HWTACACS scheme view)
hwtacacs nas-ip命令用来设置设备发送HWTACACS报文使用的源地址。
undo hwtacacs nas-ip命令用来删除指定的发送HWTACACS报文使用的源地址。
【命令】
hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未设置发送HWTACACS报文使用的源地址,设备将以发送报文的接口的主IP地址作为源地址。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
系统视图下最多允许指定16个源地址。其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址。对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址。
【举例】
# 设置设备发送HWTACACS报文使用的源地址为129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【相关命令】
· nas-ip (HWTACACS scheme view)
hwtacacs scheme命令用来创建HWTACACS方案,并进入HWTACACS方案视图。如果指定的HWTACACS方案已经存在,则直接进入HWTACACS方案视图。
undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【缺省情况】
不存在HWTACACS方案。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个HWTACACS方案可以同时被多个ISP域引用。
最多可以配置16个HWTACACS方案。
【举例】
# 创建名称为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【相关命令】
· display hwtacacs scheme
hwtacacs-user change-password命令用来修改HWTACACS服务器上存储的用户密码。
【命令】
hwtacacs-user change-password hwtacacs-scheme hwtacacs-scheme-name { all-servers | first-server | server-ip { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * }
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS认证服务器所属的HWTACACS方案。hwtacacs-scheme-name表示HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。指定的HWTACACS方案必须已存在。
all-servers:表示要遍历修改指定HWTACACS方案下所有认证服务器上的用户密码。
first-server:表示仅修改指定HWTACACS方案下配置的首个可达的认证服务器上的用户密码。
server-ip:表示要修改指定IP地址的HWTACACS认证服务器上的用户密码。
ipv4-address:HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:HWTACACS认证服务器的IPv6地址。
port-number:HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
vpn-instance vpn-instance-name:HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示指定的HWTACACS认证服务器位于公网中。
【使用指导】
管理用户可以通过在设备上执行本命令主动修改远程HWTACACS认证服务器上存储的用户密码。
执行本命令后,设备会根据设置的服务器参数,向指定的HWTACACS方案下对应的HWTACACS认证服务器发起连接请求。若此服务器可达,设备会提示用户输入待修改的用户信息(用户名、旧密码、新密码、确认密码,具体信息形式各服务器实现不同),然后使用该用户信息向服务器发起密码修改请求,完成对应的用户密码修改操作。设置的服务器参数不同,密码修改流程有所不同:
· 如果设置了server-ip参数,设备将使用用户输入的信息与指定的一个认证服务器交互,完成其上指定用户密码的修改。
· 如果设置了first-server参数,设备将使用用户输入的信息与方案下首个可达的认证服务器交互修改用户密码,然后结束整个过程。若方案下的首个认证服务器不可达,设备会遍历查找该方案下的其他认证服务器来执行修改动作,直到遍历完毕或遇到一个可达的认证服务器为止。
· 如果设置了all-servers参数,设备将使用用户输入的信息与该方案下的认证服务器交互修改用户密码,如果当前服务器上的密码修改成功,则立即提示用户是否继续修改下一个服务器上的用户密码,每次提示等待3秒:
¡ 如果3秒内用户选择继续修改,或未输入任何信息,则直接使用相同的用户信息轮询下一个服务器。
¡ 如果3秒内用户选择不继续修改,则整个过程结束。
如果某个服务器不可达或密码修改失败,则同上提示,并根据用户选择决定是否跳过此服务器继续后续的过程。
执行本命令的用户必须是经过HWTACACS认证登录设备的用户。仅network-admin、level-15角色的用户可以通过本命令修改其他HWTACACS用户的密码,其它角色的用户仅具有修改自身密码的权限。
执行本命令时,指定的HWTACACS认证服务器参数必须与指定的HWTACACS方案下设置的参数一致,否则命令无法成功执行。
执行本命令后,如果要修改的用户密码已过期,HWTACACS认证服务器将返回用户密码过期错误信息,且不允许更改该用户密码。
修改用户密码的过程中,如果设备等待超过30秒后,用户仍未按照系统提示输入用户名、旧密码、新密码或确认密码,当前的密码修改过程将自动终止。
可以通过输入Ctrl+C终止当前的密码修改流程。
【举例】
# 修改HWTACACS方案hw1下指定HWTACACS认证服务器上的用户密码:服务器IP地址为10.1.1.2、服务器TCP端口号为49、待修改用户名为tacacs1。
<Sysname> hwtacacs-user change-password hwtacacs-scheme hw1 server-ip 10.1.1.2 49
Connected to the HWTACACS server at 10.1.1.2.
Interacting with the server... Please wait.
Username: tacacs1
Old password:
New password:
Confirm new password:
Changed the password successfully.
<Sysname>
# 修改HWTACACS方案下所有HWTACACS认证服务器上的用户密码:待修改用户名为tacacs2。
<Sysname> hwtacacs-user change-password hwtacacs-scheme hw1 all-servers
Connected to the HWTACACS server at 10.1.1.2.
Interacting with the server... Please wait.
Username: tacacs2
Old password:
New password:
Confirm new password:
Changed the password successfully.
Continue to change the user's password on the next HWTACACS server? [Y/N] Y
Connected to the HWTACACS server at 10.1.1.6.
Interacting with the server... Please wait.
Changed the password successfully.
Continue to change the user's password on the next HWTACACS server? [Y/N] Y
Connected to the HWTACACS server at 10.1.1.10.
Interacting with the server... Please wait.
Changed the password successfully.
Changed the password successfully on all HWTACACS servers.
<Sysname>
key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。
undo key命令用来删除指定的HWTACACS报文的共享密钥。
【命令】
key { accounting | authentication | authorization } { cipher | simple } string
undo key { accounting | authentication | authorization }
【缺省情况】
未配置HWTACACS报文的共享密钥。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
accounting:指定HWTACACS计费报文的共享密钥。
authentication:指定HWTACACS认证报文的共享密钥。
authorization:指定HWTACACS授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
【使用指导】
必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。
【举例】
# 在HWTACACS方案hwt1中,配置HWTACACS认证报文共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!
# 配置HWTACACS授权报文共享密钥为明文123456TESTautr&!。
[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!
# 配置HWTACACS计费报文共享密钥为明文123456TESTacct&!。
[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。
undo nas-ip命令用来删除指定类型的发送HWTACACS报文使用的源IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
【缺省情况】
使用系统视图下由命令hwtacacs nas-ip指定的源地址,若系统视图下未指定源地址,则使用发送HWTACACS报文的接口的主IP地址。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权、计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
一个HWTACACS方案视图下,最多允许指定一个IPv4源地址和一个IPv6源地址。
如果undo nas-ip命令中不指定ipv6关键字,则表示删除发送HWTACACS报文使用的源IPv4地址。
【举例】
# 在HWTACACS方案hwt1中,设置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【相关命令】
· hwtacacs nas-ip
primary accounting命令用来配置主HWTACACS计费服务器。
undo primary accounting命令用来恢复缺省情况。
【命令】
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary accounting
【缺省情况】
未配置HWTACACS主计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:主HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS计费服务器的IPv6地址。
port-number:主HWTACACS计费服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS计费服务器位于公网中。
【使用指导】
配置的主计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hw1
[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary accounting
· vpn-instance (HWTACACS scheme view)
primary authentication命令用来配置主HWTACACS认证服务器。
undo primary authentication命令用来恢复缺省情况。
【命令】
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authentication
【缺省情况】
未配置主HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:主HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS认证服务器的IPv6地址。
port-number:主HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS认证服务器位于公网中。
【使用指导】
配置的主认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authentication
· vpn-instance (HWTACACS scheme view)
primary authorization命令用来配置主HWTACACS授权服务器。
undo primary authorization命令用来恢复缺省情况。
【命令】
primary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authorization
【缺省情况】
未配置主HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:主HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS授权服务器的IPv6地址。
port-number:主HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS授权服务器位于公网中。
【使用指导】
配置的主授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主授权服务器和从授权服务器的VPN、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authorization
· vpn-instance (HWTACACS scheme view)
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization }
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
all:清除HWTACACS的所有统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
【举例】
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
【相关命令】
· display hwtacacs scheme
reset stop-accounting-buffer命令用来清除缓存的HWTACACS停止计费请求报文。
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:表示指定HWTACACS方案的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【举例】
# 清除缓存的HWTACACS方案hwt1的HWTACACS停止计费请求报文。
<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
retry stop-accounting命令用来设置发起HWTACACS停止计费请求的最大尝试次数。
undo retry stop-accounting命令用来恢复缺省情况。
【命令】
retry stop-accounting retries
undo retry stop-accounting
【缺省情况】
发起HWTACACS停止计费请求的最大尝试次数为100。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
retries:允许停止计费请求无响应的最大次数,取值范围为1~300。
【使用指导】
设备发送HWTACACS停止计费请求报文无响应后,将会缓存该报文并尝试重复发送该报文,当发送的停止计费请求总数达到指定的最大尝试次数之后仍未得到响应时,将其丢弃。
【举例】
# 在HWTACACS方案hwt1中,设置发起HWTACACS停止计费请求的最大尝试次数为300。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 300
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· timer response-timeout (HWTACACS scheme view)
secondary accounting命令用来配置从HWTACACS计费服务器。
undo secondary accounting命令用来删除指定的从HWTACACS计费服务器。
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:从HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS计费服务器的IPv6地址。
port-number:从HWTACACS计费服务器的端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS计费服务器位于公网中。
【使用指导】
配置的从计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从计费服务器。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary accounting (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authentication命令用来配置从HWTACACS认证服务器。
undo secondary authentication命令用来删除指定的从HWTACACS认证服务器。
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:从HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS认证服务器的IPv6地址。
port-number:从HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS服务器位于公网中。
【使用指导】
配置的从认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从认证服务器。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authentication (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authorization命令用来配置从HWTACACS授权服务器。
undo secondary authorization命令用来删除指定的从HWTACACS授权服务器。
【命令】
secondary authorization { ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authorization [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4-address:从HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS授权服务器的IPv6地址。
port-number:从HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS授权服务器位于公网中。
【使用指导】
配置的从授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从授权服务器。
在同一个方案中指定的主授权服务器和从授权服务器的VPN、IP地址、端口号不能完全相同,并且各从授权服务器的VPN、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authorization (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
stop-accounting-buffer enable命令用来开启对无响应的HWTACACS停止计费请求报文的缓存功能。
undo stop-accounting-buffer enable命令用来关闭对无响应的HWTACACS停止计费请求报文的缓存功能。
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【缺省情况】
设备缓存未得到响应的HWTACACS停止计费请求报文。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启对无响应的HWTACACS停止计费请求报文的缓存功能后,设备在发送停止计费请求报文而HWTACACS服务器没有响应时,会将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制(由retry stop-accounting命令设置)后将其丢弃。
如果HWTACACS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费报文。
【举例】
# 开启对无响应的HWTACACS停止计费请求报文的缓存功能。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· reset stop-accounting-buffer (for HWTACACS)
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
【命令】
timer quiet minutes
undo timer quiet
【缺省情况】
服务器恢复激活状态的时间为5分钟。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【举例】
# 设置服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【相关命令】
· display hwtacacs scheme
timer response-timeout命令用来设置HWTACACS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情况】
HWTACACS服务器响应超时时间为5秒。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒。
【使用指导】
由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
HWTACACS服务器响应超时时间与配置的HWTACACS服务器总数的乘积不能超过接入模块定义的用户认证超时时间,否则在HWTACACS认证过程完成之前用户就有可能被强制下线。
【举例】
# 在HWTACACS方案hwt1中,设置HWTACACS服务器响应超时时间为30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【相关命令】
· display hwtacacs scheme
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情况】
发送给HWTACACS服务器的用户名携带ISP域名。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。
with-domain:发送给HWTACACS服务器的用户名携带ISP域名。
without-domain:发送给HWTACACS服务器的用户名不携带ISP域名。
【使用指导】
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
【举例】
# 在HWTACACS方案hwt1中,设置发送给HWTACACS服务器的用户名不携带ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
【相关命令】
· display hwtacacs scheme
vpn-instance命令用来配置HWTACACS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
HWTACACS方案属于公网。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效,但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN。
【举例】
# 配置HWTACACS方案hw1所属的VPN为test。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] vpn-instance test
【相关命令】
· display hwtacacs scheme
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
