- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-AAA命令
本章节下载: 02-AAA命令 (410.69 KB)
目 录
1.1.11 authorization-attribute (ISP domain view)
1.1.15 state (ISP domain view)
1.2.2 authorization-attribute (Local user view/user group view)
1.2.5 password (Device management user view)
1.3.1 data-flow-format (HWTACACS scheme view)
1.3.3 display stop-accounting-buffer (for HWTACACS)
1.3.6 key (HWTACACS scheme view)
1.3.7 nas-ip (HWTACACS scheme view)
1.3.8 primary accounting (HWTACACS scheme view)
1.3.9 primary authentication (HWTACACS scheme view)
1.3.11 reset hwtacacs statistics
1.3.12 reset stop-accounting-buffer (for HWTACACS )
1.3.13 retry stop-accounting (HWTACACS scheme view)
1.3.14 secondary accounting (HWTACACS scheme view)
1.3.15 secondary authentication (HWTACACS scheme view)
1.3.16 secondary authorization
1.3.17 stop-accounting-buffer enable (HWTACACS scheme view)
1.3.18 timer quiet (HWTACACS scheme view)
1.3.19 timer realtime-accounting (HWTACACS scheme view)
1.3.20 timer response-timeout (HWTACACS scheme view)
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况。
【命令】
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions
undo aaa session-limit { ftp | http | https | ssh | telnet }
【缺省情况】
同时在线的各类型最大用户连接数均为32。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ftp:表示FTP用户。
http:表示HTTP用户。
https:表示HTTPS用户。
ssh:表示SSH用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,FTP/SSH/Telnet用户的取值范围为1~32,HTTP/HTTPS用户的取值范围为1~64。
【使用指导】
配置本命令后,当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
【举例】
# 设置同时在线的最大FTP用户连接数为4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
accounting command命令用来配置命令行计费方法。
undo accounting command命令用来恢复缺省情况。
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【缺省情况】
命令行计费采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
命令行计费过程是指,用户执行过的合法命令会被发送给计费服务器进行记录。若未开启命令行授权功能,则计费服务器对用户执行过的所有合法命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能。
【举例】
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【相关命令】
· accounting default
· command accounting(基础配置命令参考/登录设备)
· hwtacacs scheme
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo accounting default
【缺省情况】
当前ISP域的缺省计费方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
【使用指导】
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS计费,若HWTACACS计费无效则进行本地计费,若本地计费也无效则不进行计费。
【举例】
# 在ISP域test下,配置缺省计费方法为使用HWTACACS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default hwtacacs-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo accounting login
【缺省情况】
login用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
【使用指导】
不支持对FTP、SFTP以及SCP类型的login用户进行计费。
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS计费,若HWTACACS计费无效则进行本地计费,若本地计费也无效则不进行计费。
【举例】
# 在ISP域test下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用HWTACACS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login hwtacacs-scheme rd local
【相关命令】
· accounting default
· hwtacacs scheme
· local-user
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authentication default
【缺省情况】
当前ISP域的缺省认证方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS认证,若HWTACACS认证无效则进行本地认证,若本地认证也无效则不进行认证。
【举例】
# 在ISP域test下,配置缺省认证方法为使用HWTACACS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default hwtacacs-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authentication login
【缺省情况】
login用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS认证,若HWTACACS认证无效则进行本地认证,若本地认证也无效则不进行认证。
【举例】
# 在ISP域test下,为login用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用户使用HWTACACS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login hwtacacs-scheme rd local
【相关命令】
· authentication default
· hwtacacs scheme
· local-user
authentication super命令用来配置用户角色切换认证方法。
undo authentication super命令用来恢复缺省情况。
【命令】
authentication super hwtacacs-scheme hwtacacs-scheme-name
undo authentication super
【缺省情况】
用户角色切换认证采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限。为了保证切换操作的安全性,需要在用户执行用户角色切换时进行身份认证。设备支持本地和远程两种认证方式,关于用户角色切换的详细介绍请参见“基础配置指导”中的“RBAC”。
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证。
【举例】
# 在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-isp-test] authentication super hwtacacs-scheme tac
【相关命令】
· authentication default
· hwtacacs scheme
authorization command命令用来配置命令行授权方法。
undo authorization command命令用来恢复缺省情况。
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization command
【缺省情况】
命令行授权采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。用户执行角色所允许的命令时,无须接受授权服务器的检查。
【使用指导】
命令行授权是指,用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制,即,仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行,才能被执行。需要注意的是,命令行授权功能只利用角色中的权限规则对命令行执行权限检查,不进行其它方面的权限检查,例如资源控制策略等。
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行。
可以指定多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。
【举例】
# 在ISP域test下,配置命令行授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【相关命令】
· command authorization(基础配置命令参考/登录设备)
· hwtacacs scheme
· local-user
authorization default命令用来为当前ISP域配置缺省的授权方法。
undo authorization default命令用来恢复缺省情况。
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization default
【缺省情况】
当前ISP域的缺省授权方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络。关于用户角色色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
【使用指导】
当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。
【举例】
# 在ISP域test下,配置缺省授权方法为使用HWTACACS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default hwtacacs-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization login
【缺省情况】
login用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
【使用指导】
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。
【举例】
# 在ISP域test下,为login用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用户使用HWTACACS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login hwtacacs-scheme rd local
【相关命令】
· authorization default
· hwtacacs scheme
· local-user
authorization-attribute命令用来设置当前ISP域下的用户授权属性。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute user-group user-group-name
undo authorization-attribute user-group
【缺省情况】
无授权属性。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
user-group user-group-name:表示用户所属用户组。其中,user-group-name表示用户组名,为1~32个字符的字符串,不区分大小写。用户认证成功后,将继承该用户组中的所有属性。
【使用指导】
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
需要注意的是,可通过多次执行本命令配置多个授权属性,但对于相同授权属性,最后一次执行的命令生效。
【举例】
# 设置ISP域test的用户授权组为abc。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization-attribute user-group abc
【相关命令】
· display domain
display domain命令用来显示所有或指定ISP域的配置信息。
【命令】
display domain [ isp-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写。如果不指定该参数,则表示所有ISP域。
【举例】
# 显示系统中所有ISP域的配置信息。
<Sysname> display domain
Total 2 domains
Domain: system
State: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Offline
Service type: HSI
Session time: Exclude idle time
Dual-stack accounting method: Merge
Authorization attributes:
Idle cut: Disabled
IGMP access limit: 4
MLD access limit: 4
Domain: dm
State: Active
Login authentication scheme: RADIUS=rad
Login authorization scheme: HWTACACS=hw
Super authentication scheme: RADIUS=rad
Command authorization scheme: HWTACACS=hw
Default authentication scheme: RADIUS=rad, Local, None
Default authorization scheme: Local
Default accounting scheme: None
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Offline
Service type: HSI
Session time: Include idle time
Dual-stack accounting method: Merge
Authorization attributes:
Idle cut : Disabled
IP pool: appy
Inbound CAR: CIR 64000 bps PIR 640000 bps
Outbound CAR: CIR 64000 bps PIR 640000 bps
ACL number: 3000
User group: ugg
IPv6 pool: ipv6pool
URL: http://test
IGMP access limit: 4
MLD access limit: 4
Default domain name: system
表1-1 display domain命令显示信息描述表
|
字段 |
描述 |
|
Total 2 domains |
总计2个ISP域 |
|
Domain |
ISP域名 |
|
State |
ISP域的状态 |
|
Default authentication scheme |
缺省的认证方案 |
|
Default authorization scheme |
缺省的授权方案 |
|
Default accounting scheme |
缺省的计费方案 |
|
Login authentication scheme |
Login用户认证方案 |
|
Login authorization scheme |
Login用户授权方案 |
|
Login accounting scheme |
Login用户计费方案 |
|
Super authentication scheme |
用户角色切换认证方案 |
|
Command authorization scheme |
命令行授权方案 |
|
Command accounting scheme |
命令行计费方案 |
|
RADIUS |
(暂不支持)RADIUS方案 |
|
HWTACACS |
HWTACACS方案 |
|
Local |
本地方案 |
|
None |
不认证、不授权和不计费 |
|
Accounting start failure action |
用户计费开始失败的动作,包括以下取值: · Online:如果用户计费开始失败,则保持用户在线 · Offline:如果用户计费开始失败,则强制用户下线 |
|
Accounting update failure max-times |
允许用户连续计费更新失败的次数 |
|
Accounting update failure action |
用户计费更新失败的动作,包括以下取值: · Online:如果用户计费更新失败,则保持用户在线 · Offline:如果用户计费更新失败,则强制用户下线 |
|
Accounting quota out policy |
用户计费配额耗尽策略,包括以下取值: · Online:如果用户计费配额耗尽,则保持用户在线 · Offline:如果用户计费配额耗尽,则强制用户下线 |
|
Service type |
(暂不支持)ISP域的业务类型,取值为HSI,STB和VoIP |
|
Session time |
当用户异常下线时,设备上传到服务器的用户在线时间情况: · Include idle time:保留用户闲置切断时间 · Exclude idle time:扣除用户闲置切断时间 |
|
Dual-stack accounting method |
(暂不支持)双协议栈用户的计费方式,包括以下取值: · Merge:统一计费,即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器 · Separate:分别计费,即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器 |
|
Authorization attributes |
ISP的用户授权属性 |
|
Idle cut |
(暂不支持)用户闲置切断功能,包括以下取值: · Enabled:处于开启状态,表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时,会被强制下线 · Disabled:处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态 |
|
Idle timeout |
用户闲置切断时间(单位为分钟) |
|
Flow |
用户数据流量阈值(单位为字节) |
|
Traffic direction |
用户数据流量的统计方向,包括以下取值: · Both:表示用户双向数据流量 · Inbound:表示用户上行数据流量 · Outbound:表示用户下行数据流量 |
|
IP pool |
授权IPv4地址池的名称 |
|
Inbound CAR |
授权的入方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps)。若未授权入方向CAR,则显示为N/A |
|
Outbound CAR |
授权的出方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps)。若未授权出方向CAR,则显示为N/A |
|
ACL number |
授权ACL编号 |
|
User group |
授权User group的名称 |
|
IPv6 pool |
授权IPv6地址池的名称 |
|
URL |
授权重定向URL |
|
IGMP access limit |
授权IPv4用户可以同时点播的最大节目数 |
|
MLD access limit |
授权IPv6用户可以同时点播的最大节目数 |
|
Default domain name |
缺省ISP域名 |
domain命令用来创建ISP域,并进入ISP域视图。如果指定的ISP域已经存在,则直接进入ISP域视图。
undo domain命令用来删除指定的ISP域。
【命令】
domain isp-name
undo domain isp-name
【缺省情况】
存在一个ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
所有的ISP域在创建后即处于active状态。
不能删除系统中预定义的ISP域system,只能修改该域的配置。
不能删除作为系统缺省ISP域的ISP域。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
建议设备上配置的ISP域名尽量短,避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度。
【举例】
# 创建一个名称为test的ISP域,并进入其视图。
<Sysname> system-view
[Sysname] domain test
【相关命令】
· display domain
· domain default enable
· domain if-unknown
· state (ISP domain view)
domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。
undo domain default enable命令用来恢复缺省情况。
【命令】
domain default enable isp-name
undo domain default enable
【缺省情况】
存在一个系统缺省的ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
系统中只能存在一个缺省的ISP域。
配置为缺省的ISP域不能被删除。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
【举例】
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【相关命令】
· display domain
· domain
state命令用来设置当前ISP域的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
当前ISP域处于活动状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。
block:指定当前ISP域处于阻塞状态,即系统不允许该域下的用户请求网络服务。
【使用指导】
当某个ISP域处于阻塞状态时,将不允许该域下的用户请求网络服务,但不影响已经在线的用户。
【举例】
# 设置当前ISP域test处于阻塞状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
【相关命令】
· display domain
access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。
undo access-limit命令用来恢复缺省情况。
【命令】
access-limit max-user-number
undo access-limit
【缺省情况】
不限制使用当前本地用户名接入的用户数。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024。
【使用指导】
本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
【举例】
# 允许同时以本地用户名abc在线的用户数为5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
【相关命令】
· accounting start-fail offline
· display local-user
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *
undo authorization-attribute { idle-cut | user-role role-name | work-directory } *
【缺省情况】
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。
【视图】
本地用户视图
用户组视图
【缺省用户角色】
network-admin
【参数】
idle-cut minutes:设置本地用户的闲置切断时间。其中,minutes为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
user-role role-name:指定本地用户的授权用户角色。其中,role-name表示用户角色名称,为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础配置命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。
【使用指导】
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于Telnet、Terminal、SSH用户,仅授权属性idle-cut、user-role有效。
· 对于http、https用户,仅授权属性user-role有效。
· 对于FTP用户,仅授权属性user-role、work-directory有效。
· 对于其它类型的本地用户,所有授权属性均无效。
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。
为本地用户授权安全日志管理员角色时,需要注意的是:
· 安全日志管理员角色和其它用户角色互斥:
¡ 为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;
¡ 如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。
· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。
【举例】
# 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。
<Sysname> system-view
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
【相关命令】
· display local-user
· display user-group
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
【命令】
display local-user [ class { manage | network } | idle-cut { disable | enable } | service-type { ftp | http | https | ssh | telnet | terminal } | state { active | block } | user-name user-name class { manage | network } ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
class:显示指定用户类别的本地用户信息。
manage:设备管理类用户。
idle-cut { disable | enable }:显示开启或关闭闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息。
· ftp:FTP用户。
· http:HTTP用户。
· https:HTTPS用户。
· ssh:SSH用户。
· telnet:Telnet用户。
· terminal:从Console口登录的终端用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。
【使用指导】
如果不指定任何参数,则显示所有本地用户信息。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
Device management user root:
State: Active
Service type: SSH/Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Password control configurations:
Password aging: 3 days
Password history was last reset: 0 days ago
Total 1 local users matched.
表1-2 display local-user命令显示信息描述表
|
字段 |
描述 |
|
State |
本地用户状态 · Active:活动状态 · Block:阻塞状态 |
|
Service type |
本地用户使用的服务类型 |
|
Access limit |
是否对使用该用户名的接入用户数进行限制 |
|
Max access number |
最大接入用户数 |
|
Current access number |
使用该用户名的当前接入用户数 |
|
User group |
本地用户所属的用户组 |
|
Bind attributes |
本地用户的绑定属性 |
|
IP address |
本地用户的IP地址 |
|
Location bound |
本地用户绑定的端口 |
|
MAC address |
本地用户的MAC地址 |
|
Authorization attributes |
本地用户的授权属性 |
|
Idle timeout |
本地用户闲置切断时间(单位为分钟) |
|
Session-timeout |
本地用户的会话超时时间(单位为分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
ACL number |
本地用户授权ACL |
|
User role list |
本地用户的授权用户角色列表 |
|
IP pool |
本地用户的授权IPv4地址池 |
|
IPv6 pool |
本地用户的授权IPv6地址池 |
|
Password control configurations |
本地用户的密码控制属性 |
|
Password aging |
密码老化时间 |
|
Password length |
密码最小长度 |
|
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
|
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
|
Maximum login attempts |
用户最大登录尝试次数 |
|
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
|
Password history was last reset |
上一次清除密码历史记录的时间 |
|
Total x local users matched. |
总计有x个本地用户匹配 |
local-user命令用来添加本地用户,并进入本地用户视图。如果指定的本地用户已经存在,则直接进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
【命令】
local-user user-name [ class manage ]
undo local-user { user-name class manage | all [ service-type { ftp | http | https | ssh | telnet | terminal } | class manage ] }
【缺省情况】
不存在本地用户。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为与“all”或“auto-delete”中自第一个字母“a”起向右若干连续字符完全相同的字符串,例如不能为“a”、“al”、“all”、“au”、“aut”、“auto”、“auto-”、“auto-d”等。
class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。
manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、http、https、telnet、ssh、terminal服务。
all:所有的用户。
service-type:指定用户的类型。
· ftp:表示FTP类型用户。
· http:表示HTTP类型用户。
· https:表示HTTPS类型用户。
· ssh:表示SSH用户。
· telnet:表示Telnet用户。
· terminal:表示从Console口登录的终端用户。
【举例】
# 添加名称为user1的设备管理类本地用户。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
【相关命令】
· display local-user
· service-type
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password [ { hash | simple } string ]
undo password
【缺省情况】
不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。
【视图】
设备管理类本地用户视图
【缺省用户角色】
network-admin
【参数】
hash:表示以哈希方式设置密码。
simple:表示以明文方式设置密码,该密码将以哈希方式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串。
【使用指导】
如果不指定任何参数,则表示以交互式设置明文形式的密码。
可以不为本地用户设置密码。若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。为提高用户账户的安全性,建议设置本地用户密码。
【举例】
# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式设置设备管理类本地用户test的密码。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
confirm :
【相关命令】
· display local-user
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
【命令】
service-type { ftp | { http | https | ssh | telnet | terminal } * }
undo service-type { ftp | { http | https | ssh | telnet | terminal } * }
【缺省情况】
系统不对用户授权任何服务,即用户不能使用任何服务。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
ftp:指定用户可以使用FTP服务。若授权FTP服务,授权目录可以通过authorization-attribute work-directory命令来设置。
http:指定用户可以使用HTTP服务。
https:指定用户可以使用HTTPS服务。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
【使用指导】
可以通过多次执行本命令,设置用户可以使用多种服务类型。
【举例】
# 指定设备管理类用户可以使用Telnet服务和FTP服务。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
【相关命令】
· display local-user
state命令用来设置当前本地用户的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
本地用户处于活动状态。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。
【举例】
# 设置设备管理类本地用户user1处于“阻塞”状态。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
【相关命令】
· display local-user
data-flow-format命令用来配置发送到HWTACACS服务器的数据流或者数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情况】
数据流的单位为byte,数据包的单位为one-packet。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【使用指导】
设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费。
【举例】
# 在HWTACACS方案hwt1中,设置发往HWTACACS服务器的数据流的数据单位为千字节、数据包的单位为千包。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【相关命令】
· display hwtacacs scheme
display hwtacacs scheme命令用来查看HWTACACS方案的配置信息或HWTACACS服务相关的统计信息。
【命令】
display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
hwtacacs-scheme-name:HWTACACS方案的名称,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则显示所有HWTACACS方案的配置信息。
statistics:显示HWTACACS服务相关的统计信息。不指定该参数,则显示HWTACACS方案的配置信息。
【举例】
# 查看所有HWTACACS方案的配置情况。
<Sysname> display hwtacacs scheme
Total 1 HWTACACS schemes
------------------------------------------------------------------
HWTACACS Scheme Name : hwtac
Index : 0
Primary Auth Server:
Host name: Not configured
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Enabled
Primary Author Server:
Host name: Not configured
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Disabled
Primary Acct Server:
Host name: Not configured
IP : Not Configured Port: 49 State: Block
VPN Instance: Not configured
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Stop-accounting packets buffering : Enabled
Retransmission times : 100
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : one
------------------------------------------------------------------
表1-3 display hwtacacs scheme命令显示信息描述表
|
字段 |
描述 |
|
Total 1 HWTACACS schemes |
共计1个HWTACACS方案 |
|
HWTACACS Scheme Name |
HWTACACS方案的名称 |
|
Index |
HWTACACS方案的索引号 |
|
Primary Auth Server |
主HWTACACS认证服务器 |
|
Primary Author Server |
主HWTACACS授权服务器 |
|
Primary Acct Server |
主HWTACACS计费服务器 |
|
Secondary Auth Server |
从HWTACACS认证服务器 |
|
Secondary Author Server |
从HWTACACS授权服务器 |
|
Secondary Acct Server |
从HWTACACS计费服务器 |
|
Host name |
HWTACACS服务器的主机名 未配置时,显示为Not configured |
|
IP |
HWTACACS服务器的IP地址 未配置时,显示为Not configured |
|
Port |
HWTACACS服务器的端口号 未配置时,显示缺省值 |
|
State |
HWTACACS服务器目前状态 · Active:激活状态 · Block:静默状态 |
|
VPN Instance |
HWTACACS服务器或HWTACACS方案所在的VPN 未配置时,显示为Not configured |
|
Single-connection |
单连接状态 · Enabled:使用一条TCP连接与服务器通信 · Disabled:每次新建TCP连接与服务器通信 |
|
NAS IP Address |
配置的发送HWTACACS报文的源IP地址或源接口 未配置时,显示为Not configured |
|
Server Quiet Period(minutes) |
主HWTACACS服务器恢复激活状态的时间(分钟) |
|
Realtime Accounting Interval(minutes) |
实时HWTACACS计费更新报文的发送间隔(分钟) |
|
Stop-accounting packets buffering |
HWTACACS停止计费请求报文缓存功能的开启情况 |
|
Retransmission times |
发起HWTACACS停止计费请求的最大尝试次数 |
|
Response Timeout Interval(seconds) |
HWTACACS服务器超时时间(秒) |
|
Username Format |
用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
|
Data flow unit |
数据流的单位 |
|
Packet unit |
数据包的单位 |
# 查看HWTACACS方案tac的统计信息。
<Sysname> display hwtacacs scheme tac statistics
Primary authentication server : 111.8.0.244
Round trip time: 20 seconds
Request packets: 1
Login request packets: 1
Change-password request packets: 0
Request packets including plaintext passwords: 0
Request packets including ciphertext passwords: 0
Response packets: 2
Pass response packets: 1
Failure response packets: 0
Get-data response packets: 0
Get-username response packets: 0
Get-password response packets: 1
Restart response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Continue packets: 1
Continue-abort packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary authorization server :111.8.0.244
Round trip time: 1 seconds
Request packets: 1
Response packets: 1
PassAdd response packets: 1
PassReply response packets: 0
Failure response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary accounting server :111.8.0.244
Round trip time: 0 seconds
Request packets: 2
Accounting start request packets: 1
Accounting stop request packets: 1
Accounting update request packets: 0
Pending request packets: 0
Response packets: 2
Success response packets: 2
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Timeout response packets: 0
Unknown type response packets: 0
Dropped response packets: 0
表1-4 display hwtacacs scheme statistics命令显示信息描述表
|
字段 |
描述 |
|
Primary authentication server |
主HWTACACS认证服务器 |
|
Primary authorization server |
主HWTACACS授权服务器 |
|
Primary accounting server |
主HWTACACS计费服务器 |
|
Secondary authentication server |
从HWTACACS认证服务器 |
|
Secondary authorization server |
从HWTACACS授权服务器 |
|
Secondary accounting server |
从HWTACACS计费服务器 |
|
Round trip time |
设备处理最近一组响应报文和请求报文的时间间隔(单位为秒) |
|
Request packets |
发送的请求报文个数 |
|
Login request packets |
发送的登录认证的请求报文个数 |
|
Change-password request packets |
发送的更改密码的请求报文个数 |
|
Request packets including plaintext passwords |
发送明文密码的请求报文个数 |
|
Request packets including ciphertext passwords |
发送密文密码的请求报文个数 |
|
Response packets |
接收到的响应报文个数 |
|
Pass response packets |
表示认证通过的响应报文个数 |
|
Failure response packets |
认证或授权失败的响应报文个数 |
|
Get-data response packets |
表示获取数据的响应报文个数 |
|
Get-username response packets |
表示获取用户名的响应报文个数 |
|
Get-password response packets |
表示获取密码的响应报文个数 |
|
Restart response packets |
要求重认证的响应报文个数 |
|
Error response packets |
错误类型的响应报文个数 |
|
Follow response packets |
Follow类型的响应报文的个数 |
|
Malformed response packets |
不合法的响应报文个数 |
|
Continue packets |
发送的Continue报文个数 |
|
Continue-abort packets |
发送的Continue-abort报文个数 |
|
Pending request packets |
等待响应的请求报文个数 |
|
Timeout response packets |
超时的请求报文个数 |
|
Unknown type response packets |
未知报文类型的响应报文个数 |
|
Dropped response packets |
被丢弃响应报文个数 |
|
PassAdd response packets |
接收到的PassAdd类型的响应报文个数。此报文表示同意授权所有请求的属性,并添加其他授权属性 |
|
PassReply response packets |
接收到的PassReply类型的响应报文个数。此报文表示采用响应报文中指定的授权属性替换请求的授权属性 |
|
Accounting start request packets |
发送的计费开始请求报文个数 |
|
Accounting stop request packets |
发送的计费结束请求报文个数 |
|
Accounting update request packets |
发送的计费更新请求报文个数 |
|
Success response packets |
接收到的计费成功的响应报文个数 |
【相关命令】
· reset hwtacacs statistics
display stop-accounting-buffer命令用来显示缓存的HWTACACS停止计费请求报文的相关信息。
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
hwtacacs-scheme hwtacacs-scheme-name:表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【举例】
# 显示HWTACACS方案hwt1缓存的HWTACACS停止计费请求报文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1
Total entries: 2
Scheme IP address Username First sending time Attempts
hwt1 192.168.100.1 abc 23:27:16-08/31/2015 19
hwt1 192.168.90.6 bob 23:33:01-08/31/2015 20
表1-5 display stop-accounting-buffer命令显示信息描述表
|
字段 |
描述 |
|
Total entries: 2 |
共有两条记录匹配 |
|
Scheme |
HWTACACS方案名 |
|
IP address |
用户IP地址 |
|
Username |
用户名 |
|
First sending time |
首次发送停止计费请求的时间 |
|
Attempts |
发送停止计费请求报文的次数 |
【相关命令】
· retry stop-accounting (HWTACACS scheme view)
· reset stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
· user-name-format (HWTACACS scheme view)
hwtacacs nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。
undo hwtacacs nas-ip命令用来删除指定的发送HWTACACS报文使用的源IP地址。
【命令】
hwtacacs nas-ip { interface interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo hwtacacs nas-ip { interface | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
【缺省情况】
未指定发送HWTACACS报文使用的源IP地址,设备将使用到达HWTACACS服务器的路由出接口的主IPv4地址或IPv6地址作为发送HWTACACS报文的源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:指定源接口,即发送HWTACACS报文的源IPv4地址为该接口的主IPv4地址,发送HWTACACS报文的源IPv6地址为该接口上配置的IPv6地址。interface-type interface-number为接口类型和接口编号。
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
系统视图下最多允许指定16个源地址。其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址。对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址。
系统视图下,最多允许指定一个源接口,请确保指定的源接口与HWTACACS服务器路由可达。
源接口配置和源IP地址配置不能同时存在,后配置的生效。
【举例】
# 设置设备发送HWTACACS报文使用的源IP地址为129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【相关命令】
· nas-ip (HWTACACS scheme view)
hwtacacs scheme命令用来创建HWTACACS方案,并进入HWTACACS方案视图。如果指定的HWTACACS方案已经存在,则直接进入HWTACACS方案视图。
undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【缺省情况】
不存在HWTACACS方案。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个HWTACACS方案可以同时被多个ISP域引用。
最多可以配置16个HWTACACS方案。
【举例】
# 创建名称为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【相关命令】
· display hwtacacs scheme
key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。
undo key命令用来删除指定的HWTACACS报文的共享密钥。
【命令】
key { accounting | authentication | authorization } { cipher | simple } string
undo key { accounting | authentication | authorization }
【缺省情况】
未配置HWTACACS报文的共享密钥。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
accounting:指定HWTACACS计费报文的共享密钥。
authentication:指定HWTACACS认证报文的共享密钥。
authorization:指定HWTACACS授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
【使用指导】
必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。
【举例】
# 在HWTACACS方案hwt1中,配置HWTACACS认证报文共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!
# 配置HWTACACS授权报文共享密钥为明文123456TESTautr&!。
[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!
# 配置HWTACACS计费报文共享密钥为明文123456TESTacct&!。
[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。
undo nas-ip命令用来删除指定类型的发送HWTACACS报文使用的源IP地址。
【命令】
nas-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }
undo nas-ip [ interface | ipv6 ]
【缺省情况】
未指定设备发送HWTACACS报文使用的源IP地址,使用系统视图下由命令hwtacacs nas-ip指定的源IP地址。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:指定源接口,即发送HWTACACS报文的源IPv4地址为该接口的主IPv4地址,发送HWTACACS报文的源IPv6地址为该接口上配置的IPv6地址。interface-type interface-number为接口类型和接口编号。
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权、计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
一个HWTACACS方案视图下:
· 最多允许指定一个IPv4源地址和一个IPv6源地址。
· 最多允许指定一个源接口,请确保指定的源接口与HWTACACS服务器路由可达。
· 源接口配置和源IP地址配置不能同时存在,后配置的生效。
如果undo nas-ip命令中不指定任何关键字,则表示删除发送HWTACACS报文使用的源IPv4地址。
【举例】
# 在HWTACACS方案hwt1中,设置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【相关命令】
· display hwtacacs scheme
· hwtacacs nas-ip
primary accounting命令用来配置主HWTACACS计费服务器。
undo primary accounting命令用来恢复缺省情况。
【命令】
primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary accounting
【缺省情况】
未配置HWTACACS主计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:主HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS计费服务器的IPv6地址。
port-number:主HWTACACS计费服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS计费服务器位于公网中。
【使用指导】
配置的主计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hw1
[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary accounting
· vpn-instance (HWTACACS scheme view)
primary authentication命令用来配置主HWTACACS认证服务器。
undo primary authentication命令用来恢复缺省情况。
【命令】
primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authentication
【缺省情况】
未配置主HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:主HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS认证服务器的IPv6地址。
port-number:主HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS认证服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示向主HWTACACS计费服务器发送计费报文都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS认证服务器位于公网中。
【使用指导】
配置的主认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authentication
· vpn-instance (HWTACACS scheme view)
primary authorization命令用来配置主HWTACACS授权服务器。
undo primary authorization命令用来恢复缺省情况。
【命令】
primary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authorization
【缺省情况】
未配置主HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:主HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS授权服务器的IPv6地址。
port-number:主HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS授权服务器位于公网中。
【使用指导】
配置的主授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主授权服务器和从授权服务器的VPN、主机名、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authorization
· vpn-instance (HWTACACS scheme view)
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
all:清除HWTACACS的所有统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
【举例】
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
【相关命令】
· display hwtacacs scheme
reset stop-accounting-buffer命令用来清除缓存的HWTACACS停止计费请求报文。
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:表示指定HWTACACS方案的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【举例】
# 清除缓存的HWTACACS方案hwt1的HWTACACS停止计费请求报文。
<Sysname> reset stop-accounting-buffer hwtacacs scheme hwt1
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
retry stop-accounting命令用来设置发起HWTACACS停止计费请求的最大尝试次数。
undo retry stop-accounting命令用来恢复缺省情况。
【命令】
retry stop-accounting retries
undo retry stop-accounting
【缺省情况】
发起HWTACACS停止计费请求的最大尝试次数为100。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
retries:允许停止计费请求无响应的最大次数,取值范围为1~300。
【使用指导】
设备发送HWTACACS停止计费请求报文无响应后,将会缓存该报文并尝试重复发送该报文,当发送的停止计费请求总数达到指定的最大尝试次数之后仍未得到响应时,将其丢弃。
【举例】
# 在HWTACACS方案hwt1中,设置发起HWTACACS停止计费请求的最大尝试次数为300。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 300
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· timer response-timeout (HWTACACS scheme view)
secondary accounting命令用来配置从HWTACACS计费服务器。
undo secondary accounting命令用来删除指定的从HWTACACS计费服务器。
【命令】
secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:从HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS计费服务器的IPv6地址。
port-number:从HWTACACS计费服务器的端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS计费服务器位于公网中。
【使用指导】
配置的从计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从计费服务器。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、主机名、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary accounting (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authentication命令用来配置从HWTACACS认证服务器。
undo secondary authentication命令用来删除指定的从HWTACACS认证服务器。
【命令】
secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authentication [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:从HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS认证服务器的IPv6地址。
port-number:从HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS服务器位于公网中。
【使用指导】
配置的从认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从认证服务器。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、主机名、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authentication (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authorization命令用来配置从HWTACACS授权服务器。
undo secondary authorization命令用来删除指定的从HWTACACS授权服务器。
【命令】
secondary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authorization [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:从HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS授权服务器的IPv6地址。
port-number:从HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS授权服务器位于公网中。
【使用指导】
配置的从授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从授权服务器。
在同一个方案中指定的主授权服务器和从授权服务器的VPN参数、主机名、IP地址、端口号不能完全相同,并且各从授权服务器的VPN、主机名、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authorization (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
stop-accounting-buffer enable命令用来开启对无响应的HWTACACS停止计费请求报文的缓存功能。
undo stop-accounting-buffer enable命令用来关闭对无响应的HWTACACS停止计费请求报文的缓存功能。
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【缺省情况】
设备缓存未得到响应的HWTACACS计费请求报文。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【使用指导】
开启对无响应的HWTACACS停止计费请求报文的缓存功能后,设备在发送停止计费请求报文而HWTACACS服务器没有响应时,会将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制(由retry stop-accounting命令设置)后将其丢弃。
如果HWTACACS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费报文。
【举例】
# 开启对无响应的HWTACACS停止计费请求报文的缓存功能。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· reset stop-accounting-buffer (for HWTACACS)
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
【命令】
timer quiet minutes
undo timer quiet
【缺省情况】
服务器恢复激活状态的时间为5分钟。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【举例】
# 设置服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【相关命令】
· display hwtacacs scheme
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【缺省情况】
实时计费的时间间隔为12分钟。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟。0表示设备不向HWTACACS服务器发送在线用户的计费信息。
【使用指导】
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。
实时计费间隔的取值小,计费准确性高,但对设备和HWTACACS服务器的性能要求就高。
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
大于等于1000 |
大于等于15 |
不同情况下修改的实时计费间隔,对于已在线用户的生效情况有所不同:
· 将实时计费间隔从非0有效值改为0,或者从0修改为非0有效值后,已在线用户会依然采用原有取值,修改后的取值对其不生效。
· 将实时计费间隔从某非0有效值修改为其它非0有效值后,已在线用户将会采用修改后的取值。
【举例】
# 在HWTACACS方案hwt1中,设置实时计费的时间间隔为51分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【相关命令】
· display hwtacacs scheme
timer response-timeout命令用来设置HWTACACS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情况】
HWTACACS服务器响应超时时间为5秒。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒。
【使用指导】
由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
HWTACACS服务器响应超时时间与配置的HWTACACS服务器总数的乘积不能超过接入模块定义的用户认证超时时间,否则在HWTACACS认证过程完成之前用户就有可能被强制下线。
【举例】
# 在HWTACACS方案hwt1中,设置HWTACACS服务器响应超时时间为30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【相关命令】
· display hwtacacs scheme
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情况】
发送给HWTACACS服务器的用户名携带ISP域名。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。
with-domain:发送给HWTACACS服务器的用户名携带ISP域名。
without-domain:发送给HWTACACS服务器的用户名不携带ISP域名。
【使用指导】
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
【举例】
# 在HWTACACS方案hwt1中,设置发送给HWTACACS服务器的用户名不携带ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
【相关命令】
· display hwtacacs scheme
vpn-instance命令用来配置HWTACACS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
HWTACACS方案属于公网。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效,但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN。
【举例】
# 配置HWTACACS方案hw1所属的VPN为test。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] vpn-instance test
【相关命令】
· display hwtacacs scheme
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
