- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-AAA命令
本章节下载: 01-AAA命令 (724.34 KB)
目 录
1.1.1 aaa abnormal-offline-record enable
1.1.2 aaa normal-offline-record enable
1.1.3 aaa offline-record enable
1.1.4 aaa online-fail-record enable
1.1.14 authorization-attribute (ISP domain view)
1.1.15 display aaa abnormal-offline-record
1.1.16 display aaa normal-offline-record
1.1.17 display aaa offline-record
1.1.18 display aaa online-fail-record
1.1.23 local-server log change-password-prompt
1.1.24 reset aaa abnormal-offline-record
1.1.25 reset aaa normal-offline-record
1.1.26 reset aaa offline-record
1.1.27 reset aaa online-fail-record
1.1.28 session-time include-idle-time
1.1.29 state (ISP domain view)
1.1.30 state block time-range name
1.2.2 authorization-attribute (Local user view/user group view)
1.2.7 password (Device management user view)
1.2.8 service-type (Local user view)
1.3.1 data-flow-format (HWTACACS scheme view)
1.3.3 display stop-accounting-buffer (for HWTACACS)
1.3.7 key (HWTACACS scheme view)
1.3.8 nas-ip (HWTACACS scheme view)
1.3.9 primary accounting (HWTACACS scheme view)
1.3.10 primary authentication (HWTACACS scheme view)
1.3.12 reset hwtacacs statistics
1.3.13 reset stop-accounting-buffer (for HWTACACS )
1.3.14 retry stop-accounting (HWTACACS scheme view)
1.3.15 secondary accounting (HWTACACS scheme view)
1.3.16 secondary authentication (HWTACACS scheme view)
1.3.17 secondary authorization
1.3.18 server-block-action (HWTACACS scheme view)
1.3.19 stop-accounting-buffer enable (HWTACACS scheme view)
1.3.20 timer quiet (HWTACACS scheme view)
1.3.21 timer realtime-accounting (HWTACACS scheme view)
1.3.22 timer response-timeout (HWTACACS scheme view)
aaa abnormal-offline-record enable命令用来开启用户异常下线记录功能。
undo aaa abnormal-offline-record enable命令用来关闭用户异常下线记录功能。
【命令】
aaa abnormal-offline-record enable
undo aaa abnormal-offline-record enable
【缺省情况】
用户异常下线记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,系统会将所有异常下线的用户信息(用户基本信息、下线原因等)记录到系统内存中,方便管理员进行管理和故障定位,具体内容可通过display aaa abnormal-offline-record命令进行查看。当管理员需要分析用户下线原因以及解决用户异常下线问题时,建议开启本功能。
只有用户下线记录功能处于开启状态,本功能才能生效。
设备最多支持存储32768条用户异常下线记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,系统停止记录用户异常下线信息,可提高当前可用内存容量,但管理员将看不到用户异常下线信息,存在一定风险。
【举例】
# 开启用户异常下线记录功能。
<Sysname> system-view
[Sysname] aaa abnormal-offline-record enable
【相关命令】
· aaa offline-record enable
· display aaa abnormal-offline-record
aaa normal-offline-record enable命令用来开启用户正常下线记录功能。
undo aaa normal-offline-record enable命令用来关闭用户正常下线记录功能。
【命令】
aaa normal-offline-record enable
undo aaa normal-offline-record enable
【缺省情况】
用户正常下线记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备会将所有用户正常下线信息(用户基本信息、下线原因等)记录到系统内存中,具体内容可通过display aaa normal-offline-record命令进行查看。当管理员需要分析用户下线原因时,建议开启本功能。
只有用户下线记录功能处于开启状态,本功能才能生效。
设备最多支持存储32768条用户正常下线记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,系统停止记录用户正常下线信息,可提高当前可用内存容量,但管理员将看不到用户正常下线信息。
【举例】
# 开启用户正常下线记录功能。
<Sysname> system-view
[Sysname] aaa normal-offline-record enable
【相关命令】
· aaa offline-record enable
· display aaa normal-offline-record
aaa offline-record enable命令用来开启用户下线记录功能。
undo aaa offline-record enable命令用来关闭用户下线记录功能。
【命令】
aaa offline-record enable
undo aaa offline-record enable
【缺省情况】
用户下线记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
本功能用于总体控制用户下线记录功能是否开启。只有本功能处于开启状态,用户正常下线记录功能和用户异常下线记录功能才能生效。
开启本功能后,若用户正常下线记录功能、用户异常下线记录功能处于开启状态,设备会将所有用户正常下线、用户异常下线的信息(用户基本信息、下线原因等)记录到系统内存中,具体内容可通过display aaa offline-record命令进行查看。
设备最多支持存储65536条用户下线记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,用户下线信息不会被记录到系统内存中,可提高系统当前可用内存容量,但管理员将看不到用户下线信息。
【举例】
# 开启用户下线记录功能。
<Sysname> system-view
[Sysname] aaa offline-record enable
【相关命令】
· aaa abnormal-offline-record enable
· aaa normal-offline-record enable
· display aaa offline-record
aaa online-fail-record enable命令用来开启用户上线失败记录功能。
undo aaa online-fail-record enable命令用来关闭用户上线失败记录功能。
【命令】
aaa online-fail-record enable
undo aaa online-fail-record enable
【缺省情况】
用户上线失败记录功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备会将所有用户上线失败信息(用户基本信息、上线失败原因等)记录到系统内存中,具体内容可通过display aaa online-fail-record命令进行查看。当管理员需要获取用户上线失败记录,以对恶意用户进行初步排查时,建议开启本功能。
设备最多支持存储32768条用户上线失败记录,超过该数目后,新的记录会覆盖旧的记录。
关闭本功能后,系统停止记录用户上线失败信息,可提高当前可用内存容量,但管理员将看不到用户上线失败信息,存在一定风险。
【举例】
# 开启用户上线失败记录功能
<Sysname> system-view
[Sysname] aaa online-fail-record enable
【相关命令】
· display aaa online-fail-record
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况。
【命令】
aaa session-limit { ftp | ssh | telnet } max-sessions
undo aaa session-limit { ftp | ssh | telnet }
【缺省情况】
同时在线的各类型最大用户连接数均为32。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ftp:表示FTP用户。
ssh:表示SSH用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,SSH/Telnet用户的取值范围为1~32,FTP用户的取值范围为1~64。
【使用指导】
配置本命令后,当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
【举例】
# 设置同时在线的最大FTP用户连接数为4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
accounting command命令用来配置命令行计费方法。
undo accounting command命令用来恢复缺省情况。
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【缺省情况】
命令行计费采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
命令行计费过程是指,用户执行过的合法命令会被发送给计费服务器进行记录。若未开启命令行授权功能,则计费服务器对用户执行过的所有合法命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能。
【举例】
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【相关命令】
· accounting default
· command accounting(基础配置命令参考/登录设备)
· hwtacacs scheme
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name ] [ none ] | none }
undo accounting default
【缺省情况】
当前ISP域的缺省计费方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
【使用指导】
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS计费,若HWTACACS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,配置缺省计费方法为使用HWTACACS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting default hwtacacs-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name ] [ none ] | none }
undo accounting login
【缺省情况】
login用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
【使用指导】
不支持对FTP、SFTP以及SCP类型的login用户进行计费。
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS计费,若HWTACACS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用HWTACACS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] accounting login hwtacacs-scheme rd local
【相关命令】
· accounting default
· hwtacacs scheme
· local-user
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name ] [ none ] | none }
undo authentication default
【缺省情况】
当前ISP域的缺省认证方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS计费,若HWTACACS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,配置缺省认证方法为使用HWTACACS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication default hwtacacs-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name ] [ none ] | none }
undo authentication login
【缺省情况】
login用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS计费,若HWTACACS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,为login用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用户使用HWTACACS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authentication login hwtacacs-scheme rd local
【相关命令】
· authentication default
· hwtacacs scheme
· local-user
authentication super命令用来配置用户角色切换认证方法。
undo authentication super命令用来恢复缺省情况。
【命令】
authentication super hwtacacs-scheme hwtacacs-scheme-name
undo authentication super
【缺省情况】
用户角色切换认证采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限。为了保证切换操作的安全性,需要在用户执行用户角色切换时进行身份认证。设备支持本地和远程两种认证方式,关于用户角色切换的详细介绍请参见“基础配置指导”中的“RBAC”。
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证。
【举例】
# 在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain name test
[Sysname-isp-test] authentication super hwtacacs-scheme tac
【相关命令】
· authentication default
· hwtacacs scheme
authorization command命令用来配置命令行授权方法。
undo authorization command命令用来恢复缺省情况。
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization command
【缺省情况】
命令行授权采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。用户执行角色所允许的命令时,无须接受授权服务器的检查。
【使用指导】
命令行授权是指,用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制,即,仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行,才能被执行。需要注意的是,命令行授权功能只利用角色中的权限规则对命令行执行权限检查,不进行其它方面的权限检查,例如资源控制策略等。
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行。
可以指定多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
【举例】
# 在ISP域test下,配置命令行授权方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【相关命令】
· command authorization(基础配置命令参考/登录设备)
· hwtacacs scheme
· local-user
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name ] [ none ] | none }
undo authorization login
【缺省情况】
login用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
【使用指导】
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS计费,若HWTACACS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方案,且配置了备选认证方案时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方案进行认证,其它情况下不会转换认证方案,直接认为认证失败。
【举例】
# 在ISP域test下,为login用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用户使用HWTACACS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization login hwtacacs-scheme rd local
【相关命令】
· authorization default
· hwtacacs scheme
· local-user
authorization-attribute命令用来设置当前ISP域下的用户授权属性。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute user-group user-group-name
undo authorization-attribute user-group
【缺省情况】
,IPv6用户可以同时点播的最大节目数为4无授权属性。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
user-group user-group-name:表示用户所属用户组。其中,user-group-name表示用户组名,为1~32个字符的字符串,不区分大小写。用户认证成功后,将继承该用户组中的所有属性。
【使用指导】
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
指定授权ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示未授权ACL规则。
【举例】
# 设置ISP域test的用户授权组为abc。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] authorization-attribute user-group abc
【相关命令】
· display domain
display aaa abnormal-offline-record命令用来显示用户异常下线记录。
【命令】
display aaa abnormal-offline-record { access-type login | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | svlan svlan-id [ cvlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa abnormal-offline-record offline-reason { idle-cut | quota-out | realtime-acct-fail | session-timeout | user-detect-fail } [ brief ]
display aaa abnormal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa abnormal-offline-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
access-type:显示指定用户接入类型的异常下线记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
domain domain-name:显示通过指定ISP域上线的用户的异常下线记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的异常下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户异常下线记录。
ipv6 ipv6-address:显示指定IPv6地址的用户异常下线记录。
mac-address mac-address:显示指定MAC地址的异常下线失败记录。mac-address为用户的MAC地址,格式为H-H-H。
slot slot-number:指定设备编号,取值只能为1。
s-vlan svlan-id:显示通过指定服务提供商VLAN上线的用户的异常下线记录。svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示通过指定用户VLAN上线的用户的异常下线记录。cvlan-id表示VLAN ID,取值范围为1~4094。
username user-name:显示指定用户名的异常下线记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
offline-reason:显示指定下线原因的用户异常下线记录。
· idle-cut:闲置超时后切断。
· quota-out:流量配额耗尽。
· realtime-acct-fail:实时计费失败。
· session-timeout:用户会话超时。
· user-detect-fail:用户探测失败。
time:显示指定时间范围内下线用户的异常下线记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的异常下线记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户异常下线记录的简要信息。若不指定该参数,则表示显示用户异常下线记录的详细信息。
count count:显示指定数量的异常下线记录。count为记录的条目,取值范围为1~32768。
【使用指导】
可通过指定多种组合条件按需查询用户的异常下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户异常下线记录功能是否处于开启状态,只要系统中存在用户异常下线记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户异常下线记录的详细信息。
如果服务器传递给设备的用户名中携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示所有用户异常下线记录的详细信息。
<Sysname> display aaa abnormal-offline-record
Total count: 1
Username: jay
Domain: dm1
MAC address: -
Access type: SSH
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2020-01-02 15:20:33
Offline time: 2020-2-28 15:20:56
Offline reason: User disconnected from the server.
# 显示login用户异常下线记录的简要信息。
<Sysname> display aaa abnormal-offline-record access-type login brief
Username: jay
MAC address: -
IP address: 11.2.2.41
IPv6 address: -
Offline reason: User disconnected from the server.
表1-1 display aaa abnormal-offline-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户异常下线记录总计数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · NETCONF over SOAP:NETCONF over SOAP用户 · NETCONF over RESTful:NETCONF over RESTful用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Offline time |
用户下线的时间 |
|
Offline reason |
用户的下线原因,详细介绍请参见表1-2 |
下表罗列内容为所有产品可支持上/下线原因的合集,具体产品支持情况有所不同。
表1-2 用户上/下线原因描述表
|
字段 |
描述 |
|
Lost carrier. |
物理链路DOWN |
|
Lost service. |
用户业务不支持 |
|
NAS error. |
设备错误 |
|
NAS reboot. |
设备重启 |
|
Admin reboot. |
管理员重启设备 |
|
Process exit. |
接入进程退出 |
|
NAS request. |
设备请求用户下线 |
|
Cut command. |
管理员手动执行命令强制用户下线 |
|
User request. |
用户请求下线 |
|
Authentication failed |
认证失败 |
|
Authorization failed. |
授权失败 |
|
Start accounting failed. |
开始计费失败 |
|
No AAA response during authentication. |
用户在进行远端服务器认证时,设备在认证超时时间内未收到认证服务器的回应 |
|
AAA authorization information invalid. |
授权信息错误或者设备上没有对应的授权配置 |
|
No AAA response for accounting start. |
用户向远端服务器发送计费开始时,设备在计费开始超时时间内未收到认证服务器的回应 |
|
TACACS authentication rejected. |
用户名或密码与HWTACACS服务器上的信息不一致,导致认证失败 |
|
Authentication method error. |
接入模块的认证配置错误。可能是用户请求的认证类型与端口下配置的认证类型不一致 |
|
No AAA response for accounting stop. |
未收到服务器对停止计费请求的回应 |
|
The local user doesn't exist. |
设备上未配置该本地用户 |
|
Local authentication request was rejected. |
用户密码错误导致本地认证被拒绝 |
|
IP assignment failed. |
IP地址分配失败 |
|
Concurrent user login limit reached. |
一个本地用户帐号允许接入的用户数超过了限制 |
|
NAS interface access limit reached. |
NAS接口下上线的用户数已达到了该接口下配置的允许上线用户数目最大限制 |
|
Maximum number of concurrent users that use this account already reached. |
使用该账户的用户达到了上限个数 |
|
Insufficient hardware resources. |
硬件资源不足 |
|
Failed to obtain IPv6 prefix. |
没有可用的IPv6地址前缀用来为用户分配 |
|
No response from DHCP server. |
设备向远端DHCP服务器申请IP地址时,没有收到远端服务器的响应 |
|
DHCP IP address allocation failure. |
DHCPv6地址分配失败,可能的原因包括: · AAA域下没有配置授权IPv6地址池 · IPv6地址池被锁定 |
|
DHCP session conflict. |
新建的DHCP会话与已有的会话冲突 |
|
DHCP user request. |
DHCP用户请求下线 |
|
DHCP lease timeout. |
DHCP用户地址租期到期下线 |
|
DHCP declined. |
已有主机使用服务器分配的IP地址 设备收到用户的DHCP-DECLINE报文,可能是客户端检测到用户网络中存在另一个相同的IP地址 |
|
DHCP configuration changed. |
DHCP配置变化触发用户下线 |
|
NAK from the DHCP server or tenant duration is 0. |
客户端请求的IP地址与设备分配的IP地址网段不一致或续租时间为0 |
|
IP conflict on DHCP server. |
设备检测到IP地址冲突 |
|
DHCP server notified. |
DHCP服务器通知用户下线 |
|
DHCP server notified, and the device deleted the user. |
DHCP服务器端通知用户下线,设备删除用户 |
|
The ND RS session is updated. |
ND用户在线时,又收到该用户的ND上线请求,触发用户下线 |
|
Repeated LCP negotiation packets. |
收到重复的LCP协商报文,可能是客户端断开后重新发起连接 |
|
COA failure. |
设备处理COA授权消息失败 |
|
Failed to update authorization information. |
更新用户授权信息失败 |
|
Realtime accounting request to AAA failed. |
实时计费请求失败 |
|
Session timeout. |
用户会话超时 |
|
Data quota limit reached. |
用户可用流量额度已经达到限定值 |
|
Session idle cut. |
闲置切断,即单位时间内用户的流量小于指定值,设备强制用户下线 |
|
User online detection failure. |
用户在线探测失败 |
|
Port was removed from VLAN. |
用户上线的物理端口被移出所在VLAN |
|
Port error. |
端口错误 |
|
Interface down or deactive. |
接口协议down、链路down或接口未激活 |
|
MAC address change. |
用户MAC地址变化 |
|
Failed to recover AAA resources. |
恢复用户的AAA资源失败 |
|
User aged out before coming online. |
达到了接入模块的上线超时时间 |
|
MPU-LPU data synchronization failure. |
板间数据平滑失败 |
|
Failed to synchronize data with DHCP server. |
与DHCP服务器之间数据同步失败 |
|
Failed to synchronize user information with the server. |
与服务器同步用户信息失败 |
|
User recovery failure. |
用户数据恢复失败 |
|
Failed to obtain physical information. |
获取物理信息失败 |
|
Authorization ACL for the online user changed. |
授权的ACL配置变化 |
|
Magic number check failed. |
魔术字检查失败 |
|
Reauthentication failed. |
重认证失败 |
|
No AAA response during realtime accounting. |
实时计费无响应 |
|
Invalid username or password. |
无效用户名或者密码 |
|
No VTY line available. |
没有VTY资源,登录VTY的用户数达到了最大值 |
|
SSH server received a packet with an incorrect message authentication code. |
SSH客户端报文的消息认证码(Message Authentication Code)错误 |
|
User disconnected from the server. |
SSH或FTP用户与服务器断开连接 |
|
No working directory available. |
无可用工作路径错误 |
|
PTY allocation failed. |
PTY(伪终端)申请失败 |
|
FTP server error. |
用户连接的FTP服务器异常,由于FTP服务器自身的原因导致用户无法登录 |
|
Server is disabled. |
服务未开启 |
|
Service type not supported. |
服务类型不支持 |
|
RBAC denied file management operations in the login command. |
登录命令中的文件系统操作权限被RBAC禁止 |
|
Failed to issue RBAC access permissions to the login user. |
登录命令行执行权限被RBAC禁止 |
|
NETCONF inner error. |
NETCONF内部错误 |
|
NETCONF session was terminated by another NETCONF session. |
用户的Netconf会话被其它Netconf会话打断 |
|
Failed to allocate public network ports in a CGN network. |
CGN公网端口分配失败 |
|
Failed to obtain an IP address of the type specified for basic services of users. |
用户主业务依赖的IP地址分配失败 |
|
UserGroup configuration changed. |
用户组配置变化 |
|
Service-type mismatch. |
未找到本地用户的服务类型配置 |
|
The local user is blocked. |
本地用户处于阻塞状态 |
|
The local user is in the password control blacklist. |
本地用户处于Password Control黑名单中 |
|
Binding attributes mismatch. |
本地用户的绑定属性不匹配 |
|
The ISP domain does not exist. |
认证ISP域不存在 |
|
The ISP domain is blocked. |
ISP域处于阻塞状态 |
|
HWTACACS authorization server is unreachable or the server configuration does not exist. |
HWTACACS授权服务器不可达或者服务器配置不存在 |
【相关命令】
· reset aaa abnormal-offline-record
display aaa normal-offline-record命令用来显示用户正常下线记录。
【命令】
display aaa normal-offline-record { access-type login | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa normal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa normal-offline-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
access-type:显示指定用户接入类型的正常下线记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
domain domain-name:显示通过指定ISP域上线的用户的正常下线记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的正常下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户正常下线记录。
ipv6 ipv6-address:显示指定IPv6地址的用户正常下线记录。
mac-address mac-address:显示指定MAC地址的正常下线记录。mac-address为用户的MAC地址,格式为H-H-H。
slot slot-number:指定设备编号,取值只能为1。
s-vlan svlan-id:显示通过指定服务提供商VLAN上线的用户的正常下线记录。svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示通过指定用户VLAN上线的用户的正常下线记录。cvlan-id表示VLAN ID,取值范围为1~4094。
username user-name:显示指定用户名的正常下线记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
time:显示指定时间范围内上线用户的正常下线记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的正常下线记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户正常下线记录的简要信息。若不指定该参数,则表示显示用户正常下线记录的详细信息。
count count:显示指定数量的正常下线失败记录。count为记录的条目,取值范围为1~32768。
【使用指导】
可通过指定多种组合条件按需查询用户的正常下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户正常下线记录功能是否处于开启状态,只要系统中存在用户正常下线记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户正常下线记录的详细信息。
如果服务器传递给设备的用户名中携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示所有用户正常下线记录的详细信息。
<Sysname> display aaa normal-offline-record
Total count: 1
Username: jay
Domain: dm1
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2020-01-02 15:20:33
Offline time: 2020-2-28 15:20:56
Offline reason: User request.
# 显示login用户正常下线记录的简要信息。
<Sysname> display aaa offline-record access-type login brief
Username: jay
MAC address: -
IP address: 11.2.2.41
IPv6 address: -
Offline reason: User request.
表1-3 display aaa normal-offline-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户正常下线记录总计数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · NETCONF over SOAP:NETCONF over SOAP用户 · NETCONF over RESTful:NETCONF over RESTful用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Offline time |
用户下线的时间 |
|
Offline reason |
用户的下线原因,详细介绍请参见表1-2 |
【相关命令】
· reset aaa normal-offline-record
display aaa offline-record命令用来显示用户下线记录。
【命令】
display aaa offline-record { access-type login | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa offline-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
access-type:显示指定用户接入类型的下线记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
domain domain-name:显示通过指定ISP域上线的用户的下线记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户下线记录。
ipv6 ipv6-address:显示指定IPv6地址的用户下线记录。
mac-address mac-address:显示指定MAC地址的下线记录。mac-address为用户的MAC地址,格式为H-H-H。
slot slot-number:指定设备编号,取值只能为1。
s-vlan svlan-id:显示通过指定服务提供商VLAN上线的用户的下线记录。svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示通过指定用户VLAN上线的用户的下线记录。cvlan-id表示VLAN ID,取值范围为1~4094。
username user-name:显示指定用户名的下线记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
time:显示指定时间范围内下线用户的下线记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的下线记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户下线记录的简要信息。若不指定该参数,则表示显示用户下线记录的详细信息。
count count:显示指定数量的下线记录。count为记录的条目,取值范围为1~65536。
【使用指导】
可通过指定多种组合条件按需查询用户的下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户下线记录功能是否处于开启状态,只要系统中存在用户下线记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户下线记录的详细信息。
如果服务器传递给设备的用户名中携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示所有用户下线记录的详细信息。
<Sysname> display aaa offline-record
Total count: 1
Username: jay
Domain: dm1
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2020-01-02 15:20:33
Offline time: 2020-2-28 15:20:56
Offline reason: User request
# 显示login用户下线记录的简要信息。
<Sysname> display aaa offline-record access-type login brief
Username: jay
MAC address: -
IP address: 20.20.20.1
IPv6 address: -
Offline reason: User request.
Username: test
MAC address: -
IP address: 20.20.20.3
IPv6 address: -
Offline reason: User request.
表1-4 display aaa offline-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户下线记录总计数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · NETCONF over SOAP:NETCONF over SOAP用户 · NETCONF over RESTful:NETCONF over RESTful用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Offline time |
用户下线的时间 |
|
Offline reason |
用户的下线原因,详细介绍请参见表1-2 |
【相关命令】
· reset aaa offline-record
display aaa online-fail-record命令用来显示用户上线失败记录。
【命令】
display aaa online-fail-record { access-type login | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | s-vlan svlan-id [ c-vlan cvlan-id ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]
display aaa online-fail-record time begin-time end-time [ date begin-date end-date ] [ brief ]
display aaa online-fail-record
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
access-type:显示指定用户接入类型的上线失败记录。
login:登录设备的用户,如SSH、Telnet、FTP用户。
domain domain-name:显示通过指定ISP域上线的用户的上线失败记录。domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写。
interface interface-type interface-number:显示通过指定接口上线的用户的上线失败信息。interface-type interface-number表示用户接入接口的类型和接口编号。
ip ipv4-address:显示指定IPv4地址的用户上线失败记录。
ipv6 ipv6-address:显示指定IPv6地址的用户上线失败记录。
mac-address mac-address:显示指定MAC地址的上线失败记录。mac-address为用户的MAC地址,格式为H-H-H。
slot slot-number:指定设备编号,取值只能为1。
s-vlan svlan-id:显示通过指定服务提供商VLAN上线的用户的上线失败记录。svlan-id表示VLAN ID,取值范围为1~4094。
c-vlan cvlan-id:显示通过指定用户VLAN上线的用户的上线失败记录。cvlan-id表示VLAN ID,取值范围为1~4094。
username user-name:显示指定用户名的上线失败记录。user-name表示用户名,为1~253个字符的字符串,区分大小写。
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功。若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功。
time:显示指定时间范围内上线用户的上线失败记录。
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59。
date:显示指定日期范围的上线失败记录。若不指定该参数,则表示仅查看当天的记录。
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日)。MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
brief:显示用户上线失败记录的简要信息。若不指定该参数,则表示显示用户上线失败记录的详细信息。
count count:显示指定数量的上线失败记录。count为记录的条目,取值范围为1~32768。
【使用指导】
可通过指定多种组合条件按需查询用户的上线失败记录。系统将从最新的一条记录开始显示符合查询条件的记录。
无论当前系统中的用户上线失败记录功能是否处于开启状态,只要系统中存在用户上线失败记录,就能通过本命令进行查看。
若不指定任何参数,则显示当前系统中的所有用户上线失败记录的详细信息。
如果服务器传递给设备的用户名中携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息。
【举例】
# 显示2条用户名为aaa的login用户上线失败记录的详细信息。
<Sysname> display aaa online-fail-record username aaa access-type login count 2
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: 100/-
IP address: 19.19.0.1
IPv6 address: -
Online request time: 2020-01-02 15:20:37
Online failure reason: Authentication failed.
Server reply message: no user exists.
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2020-01-02 15:20:33
Online failure reason: Authentication failed.
Server reply message: no user exists.
# 显示2020/2/1的13:20:50 到2020/2/2的10:20:30这段时间内的上线失败用户记录的简要信息。
<Sysname> display aaa online-fail-record time 13:20:50 10:20:30 date 2020/2/1 2020/2/2 brief
Username: aaa
MAC address: -
IP address: 19.19.0.2
IPv6 address: -
Online failure reason: Authentication failed.
Server reply message: no user exists.
# 显示2020/2/1的13:20:50至2020/2/2的17:20:30期间的用户上线失败记录。
<Sysname> display aaa online-fail-record time 13:20:50 17:20:30 date 2020/2/1 2020/2/2
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.1
IPv6 address: -
Online request time: 2020-02-02 16:20:33
Online failure reason: Authentication failed
Server reply message: no user exists.
Username: aaa
Domain: test
MAC address: -
Access type: Telnet
Access interface: HundredGigE1/0/1
SVLAN/CVLAN: -/-
IP address: 19.19.0.2
IPv6 address: -
Online request time: 2020-02-01 15:20:51
Online failure reason: Authentication failed.
Server reply message: no user exists.
表1-5 display aaa online-fail-record命令显示信息描述表
|
字段 |
描述 |
|
Total count |
用户上线失败记录总数 |
|
Username |
用户名(若不存在,则显示为空) |
|
Domain |
用户上线使用的ISP域名(若不存在,则显示为空) |
|
MAC address |
用户的MAC地址(若不存在,则显示“-”) |
|
Access type |
用户的接入类型: · Telnet:Telnet用户 · FTP:FTP用户 · SSH:SSH用户 · NETCONF over SOAP:NETCONF over SOAP用户 · NETCONF over RESTful:NETCONF over RESTful用户 · Terminal:Terminal用户,例如从Console口登录设备的终端用户 |
|
Access interface |
用户接入的接口名(若不存在,则显示“-”) |
|
SVLAN/CVLAN |
服务提供商VLAN/用户VLAN(若不存在,则显示“-”) |
|
IP address |
用户的IPv4地址(若不存在,则显示“-”) |
|
IPv6 address |
用户的IPv6地址(若不存在,则显示“-”) |
|
Online request time |
用户发起上线请求的时间 |
|
Online failure reason |
用户的上线失败原因,详细介绍请参见表1-2 |
|
Server reply message |
服务器下发的消息(若未下发,则不显示) |
【相关命令】
· reset aaa online-fail-record
display domain命令用来显示所有或指定ISP域的配置信息。
【命令】
display domain [ isp-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写。如果不指定该参数,则表示所有ISP域。
【举例】
# 显示系统中所有ISP域的配置信息。
<Sysname> display domain
Total 2 domains
Domain: system
Current state: Active
State configuration: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Offline
Send accounting update:Yes
Service type: HSI
Session time: Exclude idle time
DHCPv6-follow-IPv6CP timeout: Not configured
Dual-stack accounting method: Merge
NAS-ID: N/A
Web server URL : Not configured
Web server URL parameters : Not configured
Web server IPv4 address : Not configured
Web server IPv6 address : Not configured
Authorization attributes:
Idle cut: Disabled
IGMP access limit: 4
MLD access limit: 4
Domain: dm
Current state: Active
State configuration: Blocked during specific time ranges
Time ranges:
t1
t2
Online-user logoff: Disabled
Login authentication scheme: RADIUS=rad
Login authorization scheme: HWTACACS=hw
Super authentication scheme: RADIUS=rad
Command authorization scheme: HWTACACS=hw
Default authentication scheme: RADIUS=rad, Local, None
Default authorization scheme: Local
Default accounting scheme: None
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Offline
Service type: HSI
Session time: Include idle time
Dual-stack accounting method: Merge
NAS-ID: test
Web server URL : Not configured
Web server URL parameters : Not configured
Web server IPv4 address : Not configured
Web server IPv6 address : Not configured
Authorization attributes:
User group: ugg
IGMP access limit: 4
MLD access limit: 4
Default domain name: system
表1-6 display domain命令显示信息描述表
|
字段 |
描述 |
|
Total 2 domains |
总计2个ISP域 |
|
Domain |
ISP域名 |
|
Current state |
ISP域的当前状态,包括以下取值: · Blocked:阻塞状态 · Active:活动状态 |
|
State configuration |
ISP域的状态配置,包括以下取值: · Active:活动状态 · Blocked during specific time ranges:在指定时间段处于阻塞状态 · Blocked:阻塞状态 |
|
Time ranges |
ISP域处于阻塞状态的时间段名称 |
|
Online-user logoff |
ISP域处于阻塞状态后强制在线用户下线功能的状态,包括以下取值: · Enabled:处于开启状态 · Disabled:处于关闭状态 |
|
Default authentication scheme |
缺省的认证方案 |
|
Default authorization scheme |
缺省的授权方案 |
|
Default accounting scheme |
缺省的计费方案 |
|
Login authentication scheme |
Login用户认证方案 |
|
Login authorization scheme |
Login用户授权方案 |
|
Login accounting scheme |
Login用户计费方案 |
|
Super authentication scheme |
用户角色切换认证方案 |
|
Command authorization scheme |
命令行授权方案 |
|
Command accounting scheme |
命令行计费方案 |
|
RADIUS |
(暂不支持)RADIUS方案 |
|
HWTACACS |
HWTACACS方案 |
|
Local |
本地方案 |
|
None |
不认证、不授权和不计费 |
|
Accounting start failure action |
(暂不支持)用户计费开始失败的动作,包括以下取值: · Online:如果用户计费开始失败,则保持用户在线 · Offline:如果用户计费开始失败,则强制用户下线 |
|
Accounting update failure max-times |
(暂不支持)允许用户连续计费更新失败的次数 |
|
Accounting update failure action |
(暂不支持)用户计费更新失败的动作,包括以下取值: · Online:如果用户计费更新失败,则保持用户在线 · Offline:如果用户计费更新失败,则强制用户下线 |
|
Accounting quota out policy |
(暂不支持)用户计费配额耗尽策略,包括以下取值: · Online:如果用户计费配额耗尽,则保持用户在线 · Offline:如果用户计费配额耗尽,则强制用户下线 · Redirect:发送重定向URL |
|
Send accounting update |
用户配额耗尽后是否发送获取新配额的计费更新报文: · Yes:发送 · No:不发送 |
|
Service type |
(暂不支持)ISP域的业务类型,取值为HSI,STB和VoIP |
|
Session time |
当用户异常下线时,设备上传到服务器的用户在线时间情况: · Include idle time:保留用户闲置切断时间 · Exclude idle time:扣除用户闲置切断时间 |
|
User address type |
用户地址类型 |
|
DHCPv6-follow-IPv6CP timeout |
(暂不支持)PPPoE/L2TP用户等待分配IPv6地址/PD的最大时长(单位为秒) 若未配置,则显示为Not configured |
|
Dual-stack accounting method |
(暂不支持)双协议栈用户的计费方式,包括以下取值: · Merge:统一计费,即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器 · Separate:分别计费,即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器 |
|
NAS-ID |
设备的NAS-ID 若未配置,则显示为N/A |
|
Web server URL |
(暂不支持)Web服务器的URL |
|
Web server URL parameters |
(暂不支持)Web服务器的URL携带的参数信息 |
|
Web server IPv4 address |
(暂不支持)Web服务器的IPv4地址 |
|
Web server IPv6 address |
(暂不支持)Web服务器的IPv6地址 |
|
Authorization attributes |
ISP的用户授权属性 |
|
Idle cut |
(暂不支持)用户闲置切断功能,包括以下取值: · Enabled:处于开启状态,表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时,会被强制下线 · Disabled:处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态 |
|
User group |
授权User group的名称 |
|
IGMP access limit |
(暂不支持)授权IPv4用户可以同时点播的最大节目数 |
|
MLD access limit |
(暂不支持)授权IPv6用户可以同时点播的最大节目数 |
|
Default domain name |
缺省ISP域名 |
domain命令用来创建ISP域,并进入ISP域视图。如果指定的ISP域已经存在,则直接进入ISP域视图。
undo domain命令用来删除指定的ISP域。
【命令】
形式1:
domain name isp-name
undo domain name isp-name
形式2:
domain isp-name
undo domain isp-name
【缺省情况】
存在一个ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
name isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。若采用不指定name参数的命令行形式,则ISP域名为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
所有的ISP域在创建后即处于active状态。
不能删除系统中预定义的ISP域system,只能修改该域的配置。
不能删除作为系统缺省ISP域的ISP域。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
建议设备上配置的ISP域名尽量短,避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度。
【举例】
# 创建一个名称为test的ISP域,并进入其视图。
<Sysname> system-view
[Sysname] domain name test
【相关命令】
· display domain
· domain default enable
· domain if-unknown
· state (ISP domain view)
domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。
undo domain default enable命令用来恢复缺省情况。
【命令】
domain default enable isp-name
undo domain default enable
【缺省情况】
存在一个系统缺省的ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
系统中只能存在一个缺省的ISP域。
配置为缺省的ISP域不能被删除。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
【举例】
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【相关命令】
· display domain
· domain
domain if-unknown命令用来为未知域名的用户指定ISP域。
undo domain if-unknown命令用来恢复缺省情况。
【命令】
domain if-unknown isp-name
undo domain if-unknown
【缺省情况】
没有为未知域名的用户指定ISP域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
isp-name:ISP域名。为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。
【使用指导】
设备将按照如下先后顺序选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域。
如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证。
【举例】
# 为未知域名的用户指定ISP域为test。
<Sysname> system-view
[Sysname] domain if-unknown test
【相关命令】
· display domain
local-server log change-password-prompt命令用来开启密码修改周期性提醒日志功能。
undo local-server log change-password-prompt命令用来关闭密码修改周期性提醒日志功能。
【命令】
local-server log change-password-prompt
undo local-server log change-password-prompt
【缺省情况】
密码修改周期性提醒日志功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了提高系统的安全性,用户通过Telnet、SSH、NETCONF over SSH、NETCONF over SOAP方式登录设备时,系统会根据指定的安全要求对用户密码进行检查。为了及时提醒用户修改不符合系统要求的密码,建议开启密码修改周期性提醒日志功能。
开启本功能后,系统将每隔24小时,对所有不符合密码检查策略的用户打印日志,提醒这些用户尽快修改当前密码。除了周期性提醒之外,系统还会在每个用户登录时,针对不符合密码检查策略的情况立即打印日志进行提醒。
· 对于通过Telnet、SSH方式登录设备的用户,如果用户密码为弱密码,且系统在用户登录时未要求其立即更改密码,系统会打印此提醒日志。弱密码是指不符合如下任意一项要求的密码:
¡ 密码组合检测策略。
¡ 密码最小长度限制。
¡ 密码复杂度检查策略。
· 对于通过NETCONF over SSH、NETCONF over SOAP方式登录设备的用户,如果出现以下情况,系统会打印此提醒日志:
¡ 用户密码为弱密码。
¡ 用户密码为缺省密码。
¡ 全局密码管理功能开启后,用户首次登录或使用被更改过的密码。
¡ 用户密码已经过期。
仅当以下情况发生时,系统才会停止打印此提醒日志:
· 关闭了密码修改周期性提醒日志功能。
· 用户密码修改为符合系统安全要求的密码。
· 密码检查策略相关功能的开启状态发生变化,使得密码检查策略变得宽松。
· 密码检查策略的参数设置发生变化。
当前系统中的密码检查策略可通过display password-control命令查看。弱密码检查使用的密码组合检测策略、密码最小长度限制、密码复杂度检查策略可分别通过password-control composition、password-control length、password-control complexity命令修改。关于密码检查策略的具体介绍,请参见“用户接入与认证命令参考”的“Password Control”。
【举例】
# 开启密码修改周期性提醒日志功能。
<Sysname> system-view
[Sysname] local-server log change-password-prompt
【相关命令】
· display password-control(用户接入与认证命令参考/Password Control)
· password-control composition(用户接入与认证命令参考/Password Control)
· password-control length(用户接入与认证命令参考/Password Control)
reset aaa abnormal-offline-record命令用来清除当前所有用户异常下线记录。
【命令】
reset aaa abnormal-offline-record
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
除非设备重启,否则已保存的用户异常下线记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为方便管理员仅获取后续某个时间段内的用户异常下线记录,可执行本命令清除系统当前所有的用户异常下线记录。
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用。
【举例】
# 清除当前所有用户异常下线记录。
<Sysname> reset aaa abnormal-offline-record
【相关命令】
· display aaa abnormal-offline-record
reset aaa normal-offline-record命令用来清除当前所有用户正常下线记录。
【命令】
reset aaa normal-offline-record
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
除非设备重启,否则已保存的用户正常下线记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为方便管理员仅获取后续某个时间段内的用户正常下线记录,可以执行本命令清除系统当前所有的用户正常下线记录。
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用。
【举例】
# 清除当前所有用户正常下线记录。
<Sysname> reset aaa normal-offline-record
【相关命令】
· display aaa normal-offline-record
reset aaa offline-record命令用来清除当前所有用户下线记录。
【命令】
reset aaa offline-record
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
除非设备重启,否则已保存的用户下线失败记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为方便管理员仅获取后续某个时间段内的用户下线记录,可以执行本命令清除系统当前所有的用户下线记录。
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用。
【举例】
# 清除当前所有用户下线记录。
<Sysname> reset aaa offline-record
【相关命令】
· display aaa offline-record
reset aaa online-fail-record命令用来清除当前所有用户上线失败记录。
【命令】
reset aaa online-fail-record
【视图】
用户视图
【缺省用户角色】
network-admin
【使用指导】
除非设备重启,否则已保存的用户上线失败记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为了方便管理员仅获取后续某个时间段内的用户上线失败记录,可以执行本命令清除系统当前所有的用户上线失败记录。
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用。
【举例】
# 清除当前所有用户上线失败记录。
<Sysname> reset aaa online-fail-record
【相关命令】
· display aaa online-fail-record
session-time include-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间。
undo session-time include-idle-time命令用来恢复缺省情况。
【命令】
session-time include-idle-time
undo session-time include-idle-time
【缺省情况】
设备上传到服务器的用户在线时间中扣除闲置切断时间。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【使用指导】
请根据实际的计费策略决定是否在用户在线时间中保留闲置切断时间。该闲置切断时间在用户认证成功后由AAA授权。
当用户正常下线时,设备上传到服务器上的用户在线时间为实际在线时间;当用户异常下线时,上传到服务器的用户在线时间具体如下:
· 若配置为保留闲置切断时间,则上传到服务器上的用户在线时间中包含了一定的闲置切断时间。此时,服务器上记录的用户时长将大于用户实际在线时长。
· 若配置为扣除闲置切断时间,则上传到服务器上的用户在线时间为,闲置切断检测机制计算出的用户已在线时长扣除掉一个闲置切断时间。此时,服务器上记录的用户时长将小于用户实际在线时长。
【举例】
# 在ISP域test下,配置设备上传到服务器的用户在线时间中保留闲置切断时间。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] session-time include-idle-time
【相关命令】
· display domain
state命令用来设置当前ISP域的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block [ time-range ] }
undo state
【缺省情况】
当前ISP域处于活动状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。
block:指定当前ISP域处于阻塞状态,即系统不允许该域下的用户请求网络服务。该参数对除采用公钥认证的SSH用户之外的所有接入类型的用户都生效。
time-range:指定ISP域基于时间段阻塞。若不指定该参数,则表示ISP域一直处于阻塞状态。
【使用指导】
若通过time-range关键字指定ISP域基于时间段阻塞,则该ISP域只在通过state block time-range name命令指定的时间段内处于阻塞状态。
【举例】
# 设置当前ISP域test处于阻塞状态。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] state block
【相关命令】
· display domain
· state block time-range name
state block time-range name命令用来配置ISP域处于阻塞状态的时间段。
undo state block time-range name命令用来删除配置的ISP域处于阻塞状态的时间段。
【命令】
state block time-range name time-range-name
undo state block time-range { all | name time-range-name }
【缺省情况】
未配置ISP域处于阻塞的时间段。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,时间段的名称不允许使用英文单词all。
all:表示所有时间段。
【使用指导】
本命令配置的时间段,在ISP域基于时间段阻塞的情况下才能生效。可通过state block time-range命令配置ISP域基于时间段阻塞。
可通过多次执行本命令,指定ISP域处于阻塞状态的多个时间段。
【举例】
# 配置ISP域test处于阻塞状态的时间段为t1和t2。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] state block time-range name t1
[Sysname-isp-test] state block time-range name t2
【相关命令】
· state
· time-range(QoS和ACL命令参考/时间段)
user-address-type命令用来设置当前ISP域的用户地址类型。
undo user-address-type命令用来恢复缺省情况。
【命令】
user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 }
undo user-address-type
【缺省情况】
未指定当前ISP域的用户地址类型。
【视图】
ISP域视图
【缺省用户角色】
network-admin
【参数】
ds-lite:表示当前用户的地址类型为轻量级双栈地址。
ipv6:表示当前用户的地址类型为IPv6地址。
nat64:表示当前用户的地址类型为NAT64地址。
private-ds:表示当前用户的地址类型为私网双栈地址。
private-ipv4:表示当前用户的地址类型为私网IPv4地址。
public-ds:表示当前用户的地址类型为公网双栈地址。
public-ipv4:表示当前用户的地址类型为公网IPv4地址。
【使用指导】
需要根据用户接入侧的组网环境和用户的地址分配策略选择配置相应的地址类型参数。
当更改当前ISP域的用户地址类型时,不影响已经在线的用户。
【举例】
# 设置当前ISP域用户地址类型为私网IPv4地址。
<Sysname> system-view
[Sysname] domain name test
[Sysname-isp-test] user-address-type private-ipv4
【相关命令】
· display domain
access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。
undo access-limit命令用来恢复缺省情况。
【命令】
access-limit max-user-number
undo access-limit
【缺省情况】
不限制使用当前本地用户名接入的用户数。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024。
【使用指导】
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
【举例】
# 允许同时以本地用户名abc在线的用户数为5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
【相关命令】
· display local-user
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *
undo authorization-attribute { idle-cut | user-role role-name | work-directory } *
【缺省情况】
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。
【视图】
本地用户视图
用户组视图
【缺省用户角色】
network-admin
【参数】
idle-cut minutes:设置本地用户的闲置切断时间。其中,minutes为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
user-role role-name:指定本地用户的授权用户角色。其中,role-name表示用户角色名称,为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础配置命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。
【使用指导】
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于Telnet、Terminal、SSH用户,仅授权属性idle-cut、user-role有效。
· 对于FTP用户,仅授权属性user-role、work-directory有效。
· 对于其它类型的本地用户,所有授权属性均无效。
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
指定授权ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示未授权ACL规则。
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“设备管理配置”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。
为本地用户授权安全日志管理员角色时,需要注意的是:
· 安全日志管理员角色和其它用户角色互斥:
¡ 为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;
¡ 如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。
· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。
【举例】
# 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。
<Sysname> system-view
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
【相关命令】
· display local-user
· display user-group
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
【命令】
display local-user [ class manage | idle-cut { disable | enable } | service-type { ftp | ssh | telnet | terminal } | state { active | block } | user-name user-name class manage | vlan vlan-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
class:显示指定用户类别的本地用户信息。
manage:设备管理类用户。
idle-cut { disable | enable }:显示开启或关闭闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息。
· ftp:FTP用户。
· ssh:SSH用户。
· telnet:Telnet用户。
· terminal:从Console口登录的终端用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~80个字符的字符串,可以为“纯用户名@域名”或者纯用户名。其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。
【使用指导】
如果不指定任何参数,则显示所有本地用户信息。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
Total 1 local users matched.
Device management user root:
State: Active
Service type: SSH/Telnet/Terminal
Access limit: Enabled
Max access number: 3
Current access number: 1
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Password control configurations:
Password aging: 3 days
Password history was last reset: 0 days ago
Password remaining lifetime: 2 days 12 hours 30 minutes 30 seconds
Network access user jj:
State: Active
Service type: Telnet
User group: system
Bind attributes:
IP address: 2.2.2.2
Location bound: HundredGigE1/0/1
MAC address: 0001-0001-0001
VLAN ID: 2
Authorization attributes:
Idle timeout: 33 minutes
Work directory: flash:
ACL number: 2000
User role list: network-operator, level-0, level-3
Description: A network access user from company cc
Validity period:
Start date and time: 2020/01/01-00:01:01
Expiration date and time: 2020/01/01-01:01:01
表1-7 display local-user命令显示信息描述表
|
字段 |
描述 |
|
Total x local users matched. |
总计有x个本地用户匹配 |
|
State |
本地用户状态 · Active:活动状态 · Block:阻塞状态 |
|
Service type |
本地用户使用的服务类型 |
|
Access limit |
是否对使用该用户名的接入用户数进行限制 |
|
Max access number |
最大接入用户数 |
|
Current access number |
使用该用户名的当前接入用户数 |
|
User group |
本地用户所属的用户组 |
|
Bind attributes |
(暂不支持)本地用户的绑定属性 |
|
WLAN VLAN ID |
本地无线用户授权VLAN |
|
WLAN VLAN group name |
本地无线用户授权VLAN组 |
|
Authorization attributes |
本地用户的授权属性 |
|
Idle timeout |
本地用户闲置切断时间(单位为分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
User role list |
本地用户的授权用户角色列表 |
|
Password control configurations |
本地用户的密码控制属性 |
|
Password aging |
密码老化时间 |
|
Password length |
密码最小长度 |
|
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
|
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
|
Maximum login attempts |
用户最大登录尝试次数 |
|
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
|
Password history was last reset |
上一次清除密码历史记录的时间 |
|
Password remaining lifetime |
剩余密码老化时间 |
display user-group命令用来显示用户组的配置信息。
【命令】
display user-group { all | name group-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
all:显示所有用户组的配置信息。
name group-name:显示指定用户组的配置。group-name表示用户组名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 显示所有用户组的相关配置。
<Sysname> display user-group all
Total 2 user groups matched.
User group: system
Authorization attributes:
Work directory: flash:
BYOD authorization attributes: Not configured
User group: jj
Authorization attributes:
Idle timeout: 2 minutes
Work directory: flash:/
Password control configurations:
Password aging: 2 days
表1-8 display user-group命令显示信息描述表
|
字段 |
描述 |
|
Total 2 user groups matched. |
总计有2个用户组匹配 |
|
User group |
用户组名称 |
|
Authorization attributes |
授权属性信息 |
|
Idle timeout |
闲置切断时间(单位:分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
BYOD authorization attributes |
(暂不支持)BYOD授权属性信息 |
|
Password control configurations |
用户组的密码控制属性 |
|
Password aging |
密码老化时间 |
|
Password length |
密码最小长度 |
|
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
|
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
|
Maximum login attempts |
用户最大登录尝试次数 |
|
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
|
User ID |
用户的ID |
|
Group ID |
用户组的ID |
|
Username |
用户的名称 |
group命令用来设置本地用户所属的用户组。
undo group命令用来恢复缺省配置。
【命令】
group group-name
undo group
【缺省情况】
本地用户属于用户组system。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 设置设备管理类本地用户111所属的用户组为abc。
<Sysname> system-view
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
【相关命令】
· display local-user
local-user命令用来添加本地用户,并进入本地用户视图。如果指定的本地用户已经存在,则直接进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
【命令】
local-user user-name [ class manage ]
undo local-user { user-name class manage | all [ class manage | service-type { ftp | ssh | telnet | terminal } ] }
【缺省情况】
不存在本地用户。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
user-name:表示本地用户名,为1~80个字符的字符串,可以为“纯用户名@域名”或者纯用户名。其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为与“all”或“auto-delete”中自第一个字母“a”起向右若干连续字符完全相同的字符串,例如不能为“a”、“al”、“all”、“au”、“aut”、“auto”、“auto-”、“auto-d”等;域名不区分大小写,不能包含符号“@”。
class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。
manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、telnet、ssh、terminal服务。
all:所有的用户。
service-type:指定用户的类型。
· ftp:表示FTP类型用户。
· ssh:表示SSH用户。
· telnet:表示Telnet用户。
· terminal:表示从Console口登录的终端用户。
【使用指导】
如果配置的本地用户名中包含中文,则需要该本地用户登录设备时使用的终端软件采用的字符集编码格式和设备当前采用的编码格式保持一致,否则,可能导致包含中文字符的用户名在设备上不能按照预期解析,甚至导致本地认证失败。设备当前采用的字符集编码格式可以通过display character-encoding命令查看。
【举例】
# 添加名称为user1的设备管理类本地用户。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
【相关命令】
· display local-user
· display character-encoding(基础配置命令参考/登录设备)
· service-type (Local user view)
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password [ { hash | simple } string ]
undo password
【缺省情况】
不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。
【视图】
设备管理类本地用户视图
【缺省用户角色】
network-admin
【参数】
hash:表示以哈希方式设置密码。
simple:表示以明文方式设置密码,该密码将以哈希方式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串。
【使用指导】
如果不指定任何参数,则表示以交互式设置明文形式的密码。
可以不为本地用户设置密码。若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。为提高用户账户的安全性,建议设置本地用户密码。
在全局Password Control功能处于开启的情况下,需要注意的是:
· 所有历史密码都以哈希方式存储。
· 当前登录用户以明文方式修改自己的密码时,需要首先提供现有的明文密码,然后保证输入的新密码与所有历史密码不同,且至少要与现有密码存在4个不同字符的差异。
· 当前登录用户以明文方式修改其它用户的密码时,需要保证新密码与所有历史密码不同。
· 当前登录用户删除自己的密码时,需要提供现有的明文密码。
其它情况下,均不需要提供现有明文密码,也不与历史密码进行比较。
【举例】
# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式设置设备管理类本地用户test的密码。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
Confirm:
【相关命令】
· display local-user
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
【命令】
service-type { ftp | { | ssh | telnet | terminal } * }
undo service-type { ftp | { | ssh | telnet | terminal } * }
【缺省情况】
系统不对用户授权任何服务,即用户不能使用任何服务。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
ftp:指定用户可以使用FTP服务。若授权FTP服务,授权目录可以通过authorization-attribute work-directory命令来设置。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
【使用指导】
可以通过多次执行本命令,设置用户可以使用多种服务类型。
【举例】
# 指定设备管理类用户可以使用Telnet服务和FTP服务。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
【相关命令】
· display local-user
state命令用来设置当前本地用户的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
本地用户处于活动状态。
【视图】
本地用户视图
【缺省用户角色】
network-admin
【参数】
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。
【举例】
# 设置设备管理类本地用户user1处于“阻塞”状态。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
【相关命令】
· display local-user
user-group命令用来创建用户组,并进入用户组视图。如果指定的用户组已经存在,则直接进入用户组视图。
undo user-group命令用来删除指定的用户组。
【命令】
user-group group-name
undo user-group group-name
【缺省情况】
存在一个用户组,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理。
不允许删除一个包含本地用户的用户组。
不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。
【举例】
# 创建名称为abc的用户组并进入其视图。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【相关命令】
· display user-group
data-flow-format命令用来配置发送到HWTACACS服务器的数据流或者数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情况】
数据流的单位为byte,数据包的单位为one-packet。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【使用指导】
设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费。
【举例】
# 在HWTACACS方案hwt1中,设置发往HWTACACS服务器的数据流的数据单位为千字节、数据包的单位为千包。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【相关命令】
· display hwtacacs scheme
display hwtacacs scheme命令用来查看HWTACACS方案的配置信息或HWTACACS服务相关的统计信息。
【命令】
display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
hwtacacs-scheme-name:HWTACACS方案的名称,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则显示所有HWTACACS方案的配置信息。
statistics:显示HWTACACS服务相关的统计信息。不指定该参数,则显示HWTACACS方案的配置信息。
【举例】
# 查看所有HWTACACS方案的配置情况。
<Sysname> display hwtacacs scheme
Total 1 HWTACACS schemes
------------------------------------------------------------------
HWTACACS Scheme Name : hwtac
Index : 0
Primary Auth Server:
Host name: Not configured
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Enabled
Primary Author Server:
Host name: Not configured
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Disabled
Primary Acct Server:
Host name: Not configured
IP : Not Configured Port: 49 State: Block
VPN Instance: Not configured
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Stop-accounting packets buffering : Enabled
Retransmission times : 100
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : one
------------------------------------------------------------------
表1-9 display hwtacacs scheme命令显示信息描述表
|
字段 |
描述 |
|
Total 1 TACACS schemes |
共计1个HWTACACS方案 |
|
HWTACACS Scheme Name |
HWTACACS方案的名称 |
|
Index |
HWTACACS方案的索引号 |
|
Primary Auth Server |
主HWTACACS认证服务器 |
|
Primary Author Server |
主HWTACACS授权服务器 |
|
Primary Acct Server |
主HWTACACS计费服务器 |
|
Secondary Auth Server |
从HWTACACS认证服务器 |
|
Secondary Author Server |
从HWTACACS授权服务器 |
|
Secondary Acct Server |
从HWTACACS计费服务器 |
|
Host name |
HWTACACS服务器的主机名 未配置时,显示为Not configured |
|
IP |
HWTACACS服务器的IP地址 未配置时,显示为Not configured |
|
Port |
HWTACACS服务器的端口号 未配置时,显示缺省值 |
|
State |
HWTACACS服务器目前状态 · Active:激活状态 · Block:静默状态 |
|
VPN Instance |
HWTACACS服务器或HWTACACS方案所在的VPN 未配置时,显示为Not configured |
|
Single-connection |
单连接状态 · Enabled:使用一条TCP连接与服务器通信 · Disabled:每次新建TCP连接与服务器通信 |
|
NAS IP Address |
配置的发送HWTACACS报文的源IP地址或源接口 未配置时,显示为Not configured |
|
Server Quiet Period(minutes) |
主HWTACACS服务器恢复激活状态的时间(分钟) |
|
Realtime Accounting Interval(minutes) |
实时HWTACACS计费更新报文的发送间隔(分钟) |
|
Stop-accounting packets buffering |
HWTACACS停止计费请求报文缓存功能的开启情况 |
|
Retransmission times |
发起HWTACACS停止计费请求的最大尝试次数 |
|
Response Timeout Interval(seconds) |
HWTACACS服务器超时时间(秒) |
|
Username Format |
用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
|
Data flow unit |
数据流的单位 |
|
Packet unit |
数据包的单位 |
# 查看HWTACACS方案tac的统计信息。
<Sysname> display hwtacacs scheme tac statistics
HWTACACS scheme name: tac
Primary authentication server: 111.8.0.244 (Port: 49, VPN instance: v1)
Round trip time: 20 seconds
Request packets: 1
Login request packets: 1
Change-password request packets: 0
Request packets including plaintext passwords: 0
Request packets including ciphertext passwords: 0
Response packets: 2
Pass response packets: 1
Failure response packets: 0
Get-data response packets: 0
Get-username response packets: 0
Get-password response packets: 1
Restart response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Continue packets: 1
Continue-abort packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary authorization server :111.8.0.244 (Port: 49, VPN instance: v1)
Round trip time: 1 seconds
Request packets: 1
Response packets: 1
PassAdd response packets: 1
PassReply response packets: 0
Failure response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary accounting server :111.8.0.244 (Port: 49, VPN instance: v1)
Round trip time: 0 seconds
Request packets: 2
Accounting start request packets: 1
Accounting stop request packets: 1
Accounting update request packets: 0
Pending request packets: 0
Response packets: 2
Success response packets: 2
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Timeout response packets: 0
Unknown type response packets: 0
Dropped response packets: 0
表1-10 display hwtacacs scheme statistics命令显示信息描述表
|
字段 |
描述 |
|
HWTACACS scheme name |
HWTACACS方案名称 |
|
Primary authentication server |
主HWTACACS认证服务器 |
|
Primary authorization server |
主HWTACACS授权服务器 |
|
Primary accounting server |
主HWTACACS计费服务器 |
|
Secondary authentication server |
从HWTACACS认证服务器 |
|
Secondary authorization server |
从HWTACACS授权服务器 |
|
Secondary accounting server |
从HWTACACS计费服务器 |
|
Port |
HWTACACS服务器的端口号 |
|
VPN instance |
HWTACACS服务器或HWTACACS方案所在的VPN 若是公网,则显示为“-” |
|
Round trip time |
设备处理最近一组响应报文和请求报文的时间间隔(单位为秒) |
|
Request packets |
发送的请求报文个数 |
|
Login request packets |
发送的登录认证的请求报文个数 |
|
Change-password request packets |
发送的更改密码的请求报文个数 |
|
Request packets including plaintext passwords |
发送明文密码的请求报文个数 |
|
Request packets including ciphertext passwords |
发送密文密码的请求报文个数 |
|
Response packets |
接收到的响应报文个数 |
|
Pass response packets |
表示认证通过的响应报文个数 |
|
Failure response packets |
认证或授权失败的响应报文个数 |
|
Get-data response packets |
表示获取数据的响应报文个数 |
|
Get-username response packets |
表示获取用户名的响应报文个数 |
|
Get-password response packets |
表示获取密码的响应报文个数 |
|
Restart response packets |
要求重认证的响应报文个数 |
|
Error response packets |
错误类型的响应报文个数 |
|
Follow response packets |
Follow类型的响应报文的个数 |
|
Malformed response packets |
不合法的响应报文个数 |
|
Continue packets |
发送的Continue报文个数 |
|
Continue-abort packets |
发送的Continue-abort报文个数 |
|
Pending request packets |
等待响应的请求报文个数 |
|
Timeout response packets |
超时的请求报文个数 |
|
Unknown type response packets |
未知报文类型的响应报文个数 |
|
Dropped response packets |
被丢弃响应报文个数 |
|
PassAdd response packets |
接收到的PassAdd类型的响应报文个数。此报文表示同意授权所有请求的属性,并添加其他授权属性 |
|
PassReply response packets |
接收到的PassReply类型的响应报文个数。此报文表示采用响应报文中指定的授权属性替换请求的授权属性 |
|
Accounting start request packets |
发送的计费开始请求报文个数 |
|
Accounting stop request packets |
发送的计费结束请求报文个数 |
|
Accounting update request packets |
发送的计费更新请求报文个数 |
|
Success response packets |
接收到的计费成功的响应报文个数 |
【相关命令】
· reset hwtacacs statistics
display stop-accounting-buffer命令用来显示缓存的HWTACACS停止计费请求报文的相关信息。
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
hwtacacs-scheme hwtacacs-scheme-name:表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【举例】
# 显示HWTACACS方案hwt1缓存的HWTACACS停止计费请求报文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1
Total entries: 2
Scheme IP address Username First sending time Attempts
hwt1 192.168.100.1 abc 23:27:16-01/15/2020 19
hwt1 192.168.90.6 bob 23:33:01-01/15/2020 20
表1-11 display stop-accounting-buffer命令显示信息描述表
|
字段 |
描述 |
|
Total entries: 2 |
共有两条记录匹配 |
|
Scheme |
HWTACACS方案名 |
|
IP address |
用户IP地址 |
|
Username |
用户名 |
|
First sending time |
首次发送停止计费请求的时间 |
|
Attempts |
发送停止计费请求报文的次数 |
【相关命令】
· retry stop-accounting (HWTACACS scheme view)
· reset stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
· user-name-format (HWTACACS scheme view)
hwtacacs dscp命令用来配置HWTACACS协议报文的DSCP优先级。
undo hwtacacs dscp命令用来恢复缺省情况。
【命令】
hwtacacs [ ipv6 ] dscp dscp-value
undo hwtacacs [ ipv6 ] dscp
【缺省情况】
HWTACACS报文的DSCP优先级为0。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6:表示设置IPv6 HWTACACS报文。若不指定该参数,则表示设置IPv4 HWTACACS报文。
dscp-value:HWTACACS报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。
【使用指导】
DSCP携带在IPv4报文中的ToS字段以及IPv6报文中的Traffic Class字段中,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定设备发送的HWTACACS报文携带的DSCP优先级的取值。
【举例】
# 配置IPv4 HWTACACS报文的DSCP优先级为10。
<Sysname> system-view
[Sysname] hwtacacs dscp 10
hwtacacs nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。
undo hwtacacs nas-ip命令用来删除指定的发送HWTACACS报文使用的源IP地址。
【命令】
hwtacacs nas-ip { interface interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo hwtacacs nas-ip { interface | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
【缺省情况】
未指定发送HWTACACS报文使用的源IP地址,设备将使用到达HWTACACS服务器的路由出接口的主IPv4地址或IPv6地址作为发送HWTACACS报文的源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
interface interface-type interface-number:指定源接口,即发送HWTACACS报文的源IPv4地址为该接口的主IPv4地址,发送HWTACACS报文的源IPv6地址为该接口上配置的IPv6地址。interface-type interface-number为接口类型和接口编号。
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
系统视图下最多允许指定16个源地址。其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址。对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址。
系统视图下,最多允许指定一个源接口,请确保指定的源接口与HWTACACS服务器路由可达。
源接口配置和源IP地址配置不能同时存在,后配置的生效。
【举例】
# 设置设备发送HWTACACS报文使用的源IP地址为129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【相关命令】
· nas-ip (HWTACACS scheme view)
hwtacacs scheme命令用来创建HWTACACS方案,并进入HWTACACS方案视图。如果指定的HWTACACS方案已经存在,则直接进入HWTACACS方案视图。
undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【缺省情况】
不存在HWTACACS方案。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个HWTACACS方案可以同时被多个ISP域引用。
最多可以配置16个HWTACACS方案。
【举例】
# 创建名称为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【相关命令】
· display hwtacacs scheme
key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。
undo key命令用来删除指定的HWTACACS报文的共享密钥。
【命令】
key { accounting | authentication | authorization } { cipher | simple } string
undo key { accounting | authentication | authorization }
【缺省情况】
未配置HWTACACS报文的共享密钥。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
accounting:指定HWTACACS计费报文的共享密钥。
authentication:指定HWTACACS认证报文的共享密钥。
authorization:指定HWTACACS授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
【使用指导】
必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。
【举例】
# 在HWTACACS方案hwt1中,配置HWTACACS认证报文共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!
# 配置HWTACACS授权报文共享密钥为明文123456TESTautr&!。
[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!
# 配置HWTACACS计费报文共享密钥为明文123456TESTacct&!。
[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。
undo nas-ip命令用来删除指定类型的发送HWTACACS报文使用的源IP地址。
【命令】
nas-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }
undo nas-ip [ interface | ipv6 ]
【缺省情况】
未指定设备发送HWTACACS报文使用的源IP地址,使用系统视图下由命令hwtacacs nas-ip指定的源IP地址。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
interface interface-type interface-number:指定源接口,即发送HWTACACS报文的源IPv4地址为该接口的主IPv4地址,发送HWTACACS报文的源IPv6地址为该接口上配置的IPv6地址。interface-type interface-number为接口类型和接口编号。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权、计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
一个HWTACACS方案视图下:
· 最多允许指定一个IPv4源地址和一个IPv6源地址。
· 最多允许指定一个源接口,请确保指定的源接口与HWTACACS服务器路由可达。
· 源接口配置和源IP地址配置不能同时存在,后配置的生效。
如果undo nas-ip命令中不指定任何关键字,则表示删除发送HWTACACS报文使用的源IPv4地址。
【举例】
# 在HWTACACS方案hwt1中,设置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【相关命令】
· display hwtacacs scheme
· hwtacacs nas-ip
primary accounting命令用来配置主HWTACACS计费服务器。
undo primary accounting命令用来恢复缺省情况。
【命令】
primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary accounting
【缺省情况】
未配置HWTACACS主计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:主HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS计费服务器的IPv6地址。
port-number:主HWTACACS计费服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS计费服务器位于公网中。
【使用指导】
配置的主计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hw1
[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary accounting
· vpn-instance (HWTACACS scheme view)
primary authentication命令用来配置主HWTACACS认证服务器。
undo primary authentication命令用来恢复缺省情况。
【命令】
primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authentication
【缺省情况】
未配置主HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:主HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS认证服务器的IPv6地址。
port-number:主HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS认证服务器位于公网中。
【使用指导】
配置的主认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authentication
· vpn-instance (HWTACACS scheme view)
primary authorization命令用来配置主HWTACACS授权服务器。
undo primary authorization命令用来恢复缺省情况。
【命令】
primary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authorization
【缺省情况】
未配置主HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:主HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:主HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS授权服务器的IPv6地址。
port-number:主HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS授权服务器位于公网中。
【使用指导】
配置的主授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主授权服务器和从授权服务器的VPN、主机名、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authorization
· vpn-instance (HWTACACS scheme view)
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
all:清除HWTACACS的所有统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
【举例】
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
【相关命令】
· display hwtacacs scheme
reset stop-accounting-buffer命令用来清除缓存的HWTACACS停止计费请求报文。
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:表示指定HWTACACS方案的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【举例】
# 清除缓存的HWTACACS方案hwt1的HWTACACS停止计费请求报文。
<Sysname> reset stop-accounting-buffer hwtacacs scheme hwt1
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
retry stop-accounting命令用来设置发起HWTACACS停止计费请求的最大尝试次数。
undo retry stop-accounting命令用来恢复缺省情况。
【命令】
retry stop-accounting retries
undo retry stop-accounting
【缺省情况】
发起HWTACACS停止计费请求的最大尝试次数为100。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
retries:允许停止计费请求无响应的最大次数,取值范围为1~300。
【使用指导】
设备发送HWTACACS停止计费请求报文无响应后,将会缓存该报文并尝试重复发送该报文,当发送的停止计费请求总数达到指定的最大尝试次数之后仍未得到响应时,将其丢弃。
【举例】
# 在HWTACACS方案hwt1中,设置发起HWTACACS停止计费请求的最大尝试次数为300。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 300
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· timer response-timeout (HWTACACS scheme view)
secondary accounting命令用来配置从HWTACACS计费服务器。
undo secondary accounting命令用来删除指定的从HWTACACS计费服务器。
【命令】
secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:从HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS计费服务器的IPv6地址。
port-number:从HWTACACS计费服务器的端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS计费服务器位于公网中。
【使用指导】
配置的从计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从计费服务器。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、主机名、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary accounting (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authentication命令用来配置从HWTACACS认证服务器。
undo secondary authentication命令用来删除指定的从HWTACACS认证服务器。
【命令】
secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authentication [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:从HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS认证服务器的IPv6地址。
port-number:从HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS服务器位于公网中。
【使用指导】
配置的从认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从认证服务器。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、主机名、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authentication (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authorization命令用来配置从HWTACACS授权服务器。
undo secondary authorization命令用来删除指定的从HWTACACS授权服务器。
【命令】
secondary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authorization [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
host-name:从HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写。
ipv4-address:从HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS授权服务器的IPv6地址。
port-number:从HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS授权服务器位于公网中。
【使用指导】
配置的从授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从授权服务器。
在同一个方案中指定的主授权服务器和从授权服务器的VPN参数、主机名、IP地址、端口号不能完全相同,并且各从授权服务器的VPN、主机名、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authorization (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
server-block-action命令用来设置服务器都处于block状态后的请求动作。
undo server-block-action命令用来恢复缺省情况。
【命令】
server-block-action { attempt | skip }
undo server-block-action
【缺省情况】
所有服务器都处于block状态后的请求动作为attempt。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
attempt:Attempt方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/授权/计费请求时,仍然会尝试与一个认证/授权/计费服务器(优先选择主服务器,若未配置则选择配置的第一个从服务器)建立一次连接,如果与该服务器建立连接失败,才会切换到为该用户配置的下一个认证/授权/计费方法去处理这个请求。
skip:Skip方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/授权/计费请求时,会跳过当前方案中的所有服务器,直接使用为该用户配置的下一个认证/授权/计费方法去处理这个请求。
【使用指导】
Attempt方式下,由于该方案下的所有服务器都处于block状态后,设备仍会首先尝试与一个服务器建立连接,与该服务器建立连接失败后,才会切换到配置的下一个认证/授权/计费方法,此方法保证了设备尽量优先使用第一个认证/授权/计费方法处理用户请求,但同时会增加请求的响应时间。因此,对于对AAA响应时间要求比较高的场合,建议选择Skip方式。
设备处理一个认证/授权/计费请求的过程中,如果已经跳过了当前方案中的所有服务器,则后续就算该方案中有服务器状态切换回active,设备也不会再使用该方案来处理它。
【举例】
# 在HWTACACS方案hwt1中,设置服务器都处于block状态后的动作为跳过当前方案中的所有服务器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] server-block-action skip
【相关命令】
· display hwtacacs scheme
stop-accounting-buffer enable命令用来开启对无响应的HWTACACS停止计费请求报文的缓存功能。
undo stop-accounting-buffer enable命令用来关闭对无响应的HWTACACS停止计费请求报文的缓存功能。
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【缺省情况】
设备缓存未得到响应的HWTACACS停止计费请求报文。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【使用指导】
开启对无响应的HWTACACS停止计费请求报文的缓存功能后,设备在发送停止计费请求报文而HWTACACS服务器没有响应时,会将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制(由retry stop-accounting命令设置)后将其丢弃。
如果HWTACACS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费报文。
【举例】
# 开启对无响应的HWTACACS停止计费请求报文的缓存功能。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable
【相关命令】
· display stop-accounting-buffer (for HWTACACS)
· reset stop-accounting-buffer (for HWTACACS)
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
【命令】
timer quiet minutes
undo timer quiet
【缺省情况】
服务器恢复激活状态的时间为5分钟。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【举例】
# 设置服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【相关命令】
· display hwtacacs scheme
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【缺省情况】
实时计费的时间间隔为12分钟。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟。0表示设备不向HWTACACS服务器发送在线用户的计费信息。
【使用指导】
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。
实时计费间隔的取值小,计费准确性高,但对设备和HWTACACS服务器的性能要求就高。
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
大于等于1000 |
大于等于15 |
【举例】
# 在HWTACACS方案hwt1中,设置实时计费的时间间隔为51分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【相关命令】
· display hwtacacs scheme
timer response-timeout命令用来设置HWTACACS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情况】
HWTACACS服务器响应超时时间为5秒。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒。
【使用指导】
由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
HWTACACS服务器响应超时时间与配置的HWTACACS服务器总数的乘积不能超过接入模块定义的用户认证超时时间,否则在HWTACACS认证过程完成之前用户就有可能被强制下线。
【举例】
# 在HWTACACS方案hwt1中,设置HWTACACS服务器响应超时时间为30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【相关命令】
· display hwtacacs scheme
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情况】
发送给HWTACACS服务器的用户名携带ISP域名。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。
with-domain:发送给HWTACACS服务器的用户名携带ISP域名。
without-domain:发送给HWTACACS服务器的用户名不携带ISP域名。
【使用指导】
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
【举例】
# 在HWTACACS方案hwt1中,设置发送给HWTACACS服务器的用户名不携带ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
【相关命令】
· display hwtacacs scheme
vpn-instance命令用来配置HWTACACS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
HWTACACS方案属于公网。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
【参数】
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效,但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN。
【举例】
# 配置HWTACACS方案hw1所属的VPN为test。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] vpn-instance test
【相关命令】
· display hwtacacs scheme
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
