- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
24-AAA命令
本章节下载: 24-AAA命令 (1.27 MB)
aaa nas-id profile命令用来创建NAS-ID Profile,并进入NAS-ID-Profile视图。如果指定的NAS-ID Profile已经存在,则直接进入NAS-ID-Profile视图。
undo aaa nas-id profile命令用来删除指定的NAS-ID Profile。
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【缺省情况】
不存在NAS-ID Profile。
系统视图
network-admin
context-admin
【参数】
profile-name:Profile名称,为1~31个字符的字符串,不区分大小写。
在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来获知用户的接入位置,而用户的接入VLAN可标识用户的接入位置,因此接入设备上可通过建立用户接入VLAN与指定的NAS-ID之间的绑定关系来实现接入位置信息的映射。NAS-ID Profile用于保存NAS-ID和VLAN的绑定关系。这样,当用户上线时,设备会将与用户接入VLAN匹配的NAS-ID填充在RADIUS请求报文中的NAS-Identifier属性中发送给RADIUS服务器。
设备支持多种途径配置NAS-ID,按照获取优先级从高到低的顺序依次包括:NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、ISP域视图下的NAS-ID。若以上配置都不存在,则使用设备的名称作为NAS-ID。
# 创建一个名称为aaa的NAS-ID Profile,并进入NAS-ID-Profile视图。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【相关命令】
· nas-id
· nas-id bind vlan
aaa session-id mode命令用来配置设备使用的Acct-Session-Id属性模式。
undo aaa session-id mode命令用来恢复缺省情况。
【命令】
aaa session-id mode { common | simplified }
undo aaa session-id mode
【缺省情况】
设备使用的Acct-Session-Id属性模式为普通模式。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
common:普通模式。该模式下,Acct-Session-Id属性的取值长度为38个字符,由前缀、日期时间、序列号、接入节点的LIP地址、设备ID以及进程的Job ID信息组成。
simplified:精简模式。该模式下,Acct-Session-Id属性的取值长度为16个字符,由前缀、月份值、序列号、设备ID以及接入节点的LIP地址信息组成。
【使用指导】
不同厂商的RADIUS服务器支持的Acct-Session-Id属性的格式可能有所不同,可通过本命令指定设备使用的Acct-Session-Id属性格式。
【举例】
# 配置设备使用的Acct-Session-Id属性模式为精简模式。
<Sysname> system-view
[Sysname] aaa session-id mode simplified
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况。
【命令】
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions
undo aaa session-limit { ftp | http | https | ssh | telnet }
【缺省情况】
同时在线的各类型最大用户连接数均为32。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ftp:表示FTP用户。
http:表示HTTP用户。
https:表示HTTPS用户。
ssh:表示SSH用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,HTTP/HTTPS用户的取值范围为1~64,SSH用户的取值范围为1~32,Telnet用户的取值范围为1~32,FTP用户的取值范围为1~64。
【使用指导】
配置本命令后,当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
对于HTTP/HTTPS用户,不同上层应用的最大用户连接数单独受限。例如,若设置允许同时在线的HTTP最大用户连接数为20,则基于HTTP的RESTful用户、Web用户、NETCONF用户的最大连接数将均为20。
【举例】
# 设置同时在线的最大FTP用户连接数为4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
accounting command命令用来配置命令行计费方法。
undo accounting command命令用来恢复缺省情况。
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【缺省情况】
命令行计费采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
命令行计费过程是指,用户执行过的合法命令会被发送给计费服务器进行记录。若未开启命令行授权功能,则计费服务器对用户执行过的所有合法命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能。
【举例】
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【相关命令】
· accounting default
· command accounting(基础配置命令参考/登录设备)
· hwtacacs scheme
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting default
【缺省情况】
当前ISP域的缺省计费方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。本地计费无效是指没有找到对应的本地用户配置。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
accounting ipoe命令用来为IPoE用户配置计费方法。
undo accounting ipoe命令用来恢复缺省情况。
【命令】
accounting ipoe { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting ipoe
【缺省情况】
IPoE用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
broadcast:指定广播RADIUS方案,即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。
radius-scheme radius-scheme-name1:表示主送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写;
radius-scheme radius-scheme-name2:表示抄送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
当指定broadcast关键字时,将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求,若某RADIUS方案里的主计费服务器不可达,则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时,表示用户计费成功;抄送计费方案的计费结果对用户无影响。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为IPoE用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ipoe local
# 在ISP域test下,配置IPoE用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ipoe radius-scheme rd local
# 在ISP域test下,配置IPoE用户使用RADIUS方案rd1和rd2进行广播计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ipoe broadcast radius-scheme rd1 radius-scheme rd2 local
【相关命令】
· accounting default
· local-user
· radius scheme
· timer realtime-accounting
accounting lan-access命令用来为lan-access用户配置计费方法。
undo accounting lan-access命令用来恢复缺省情况。
【命令】
accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting lan-access
【缺省情况】
lan-access用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
broadcast:指定广播RADIUS方案,即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。
radius-scheme radius-scheme-name1:表示主送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写;
radius-scheme radius-scheme-name2:表示抄送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
当指定broadcast关键字时,将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求,若某RADIUS方案里的主计费服务器不可达,则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时,表示用户计费成功;抄送计费方案的计费结果对用户无影响。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为lan-access用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd1和rd2进行广播计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access broadcast radius-scheme rd1 radius-scheme rd2 local
【相关命令】
· accounting default
· local-user
· radius scheme
· timer realtime-accounting
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting login
【缺省情况】
login用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
不支持对FTP、SFTP以及SCP类型的login用户进行计费。
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。远程计费无效是指,指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【相关命令】
· accounting default
· hwtacacs scheme
· local-user
· radius scheme
accounting quota-out命令用来配置用户计费配额(流量或时长)耗尽策略。
undo accounting quota-out命令用来恢复缺省情况。
【命令】
accounting quota-out { offline | online }
undo accounting quota-out
【缺省情况】
用户的计费配额耗尽后将被强制下线。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
offline:当用户的整体配额耗尽后,强制用户下线。
online:当用户的整体配额耗尽后,允许用户保持在线状态。
【举例】
# 在ISP域test下,配置用户计费配额耗尽策略为:当配额耗尽后用户仍能保持在线状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting quota-out online
accounting start-fail命令用来配置用户计费开始失败策略,即设备向计费服务器发送计费开始请求失败后,是否允许用户接入网络。
undo accounting start-fail命令用来恢复缺省情况。
【命令】
accounting start-fail { offline | online }
undo accounting start-fail
【缺省情况】
如果用户计费开始失败,允许用户保持在线状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
offline:强制用户下线。
online:允许用户保持在线状态。
【使用指导】
目前,计费开始请求失败后强制用户下线功能仅对IPoE用户生效。
【举例】
# 在ISP域test下,配置计费开始失败策略为:用户计费开始失败时允许用户保持在线状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting start-fail online
accounting update-fail命令用来配置用户计费更新失败策略,即设备向计费服务器发送用户的计费更新报文失败时,是否允许用户接入网络。
undo accounting update-fail命令用来恢复缺省情况。
【命令】
accounting update-fail { [ max-times max-times ] offline | online }
undo accounting update-fail
【缺省情况】
如果用户计费更新失败,允许用户保持在线状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-times max-times:允许用户连续计费更新失败的次数,取值范围1~255,缺省值为1。
offline:如果用户连续计费更新失败的次数达到了指定的次数,则强制用户下线。
online:如果用户计费更新失败,允许用户保持在线状态。
【使用指导】
目前,计费更新失败后强制用户下线功能仅对IPoE用户生效。
【举例】
# 在ISP域test下,配置计费更新失败策略为:用户计费更新失败时允许用户保持在线状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting update-fail online
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication default
【缺省情况】
当前ISP域的缺省认证方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication ipoe命令用来为IPoE用户配置认证方法。
undo authentication ipoe命令用来恢复缺省情况。
【命令】
authentication ipoe { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication ipoe
【缺省情况】
IPoE用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地认证。
none:不认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为IPoE用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ipoe local
# 在ISP域test下,配置IPoE用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ipoe radius-scheme rd local
【相关命令】
· authentication default
· local-user
· radius scheme
authentication lan-access命令用来为lan-access用户配置认证方法。
undo authentication lan-access命令用来恢复缺省情况。
【命令】
authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication lan-access
【缺省情况】
lan-access用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为lan-access用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access radius-scheme rd local
【相关命令】
· authentication default
· ldap scheme
· local-user
· radius scheme
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] | sso-scheme sso-scheme-name }
undo authentication login
【缺省情况】
login用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
sso-scheme sso-scheme-name:指定SSO协议方案。其中,sso-scheme-name表示SSO协议方案名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
用户采用SSO单点登录方式登录设备时,需要在ISP域下配置login用户使用SSO协议方案进行认证。并在web sso domain命令中引用该ISP域,有关web sso domain命令的详细介绍,请参见“基础配置指导”中的“登录设备”。
【举例】
# 在ISP域test下,为login用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
# 在ISP域test下,配置login用户使用SSO协议方案pp1进行认证。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login sso-scheme pp1
【相关命令】
· authentication default
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication super命令用来配置用户角色切换认证方法。
undo authentication super命令用来恢复缺省情况。
【命令】
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *
undo authentication super
【缺省情况】
用户角色切换认证采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限。为了保证切换操作的安全性,需要在用户执行用户角色切换时进行身份认证。设备支持本地和远程两种认证方式,关于用户角色切换的详细介绍请参见“基础配置指导”中的“RBAC”。
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证。远程认证无效是指,指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。
【举例】
# 在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-isp-test] authentication super hwtacacs-scheme tac
【相关命令】
· authentication default
· hwtacacs scheme
· radius scheme
authorization command命令用来配置命令行授权方法。
undo authorization command命令用来恢复缺省情况。
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization command
【缺省情况】
命令行授权采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。用户执行角色所允许的命令时,无须接受授权服务器的检查。
【使用指导】
命令行授权是指,用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制,即,仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行,才能被执行。需要注意的是,命令行授权功能只利用角色中的权限规则对命令行执行权限检查,不进行其它方面的权限检查,例如资源控制策略等。
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行。
可以指定多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
【举例】
# 在ISP域test下,配置命令行授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【相关命令】
· command authorization(基础配置命令参考/登录设备)
· hwtacacs scheme
· local-user
authorization default命令用来为当前ISP域配置缺省的授权方法。
undo authorization default命令用来恢复缺省情况。
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization default
【缺省情况】
当前ISP域的缺省授权方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
authorization ipoe命令用来为IPoE用户配置授权方法。
undo authorization ipoe命令用来恢复缺省情况。
【命令】
authorization ipoe { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization ipoe
【缺省情况】
IPoE用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地授权。
none:不授权。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为IPoE用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ipoe local
# 在ISP域test下,配置IPoE用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ipoe radius-scheme rd local
【相关命令】
· authorization default
· local-user
· radius scheme
authorization lan-access命令用来为lan-access用户配置授权方法。
undo authorization lan-access命令用来恢复缺省情况。
【命令】
authorization lan-access { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization lan-access
【缺省情况】
lan-access用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的lan-access用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为lan-access用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access radius-scheme rd local
【相关命令】
· authorization default
· local-user
· radius scheme
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] | sso-scheme sso-scheme-name }
undo authorization login
【缺省情况】
login用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
sso-scheme sso-scheme-name:指定SSO协议方案。其中,sso-scheme-name表示SSO协议方案名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。远程授权无效是指,指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为login用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
【相关命令】
· authorization default
· hwtacacs scheme
· local-user
· radius scheme
authorization-attribute命令用来设置当前ISP域下的用户授权属性。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute user-group user-group-name
undo authorization-attribute user-group
【缺省情况】
当前ISP域下的用户闲置切换功能处于关闭状态,IPv4用户可以同时点播的最大节目数为4,IPv6用户可以同时点播的最大节目数为4,无其它授权属性。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-group user-group-name:表示用户所属用户组。其中,user-group-name表示用户组名,为1~32个字符的字符串,不区分大小写。用户认证成功后,将继承该用户组中的所有属性。
【使用指导】
用户上线后,设备会周期性检测用户的流量,若域内某用户在指定的闲置检测时间内产生的流量小于本命令中指定的最小数据流量,则会被强制下线。需要注意的是,服务器上也可以配置最大空闲时间实现对用户的闲置切断功能,具体为当用户在指定的闲置检测时间内产生的流量小于10240个字节(服务器上该阈值为固定值,不可配置)时,会被强制下线。但是,只有在设备上的闲置切断功能处于关闭状态时,服务器才会根据自身的配置来控制用户的闲置切断。
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
需要注意的是,可通过多次执行本命令配置多个授权属性,但对于相同授权属性,最后一次执行的命令生效。
【举例】
# 设置ISP域test的用户授权组为abc。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization-attribute user-group abc
【相关命令】
· display domain
display domain命令用来显示所有或指定ISP域的配置信息。
【命令】
display domain [ isp-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写。如果不指定该参数,则表示所有ISP域。
【举例】
# 显示系统中所有ISP域的配置信息。
<Sysname> display domain
Total 2 domains
Domain: system
State: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Exclude idle time
NAS-ID: N/A
DHCPv6-follow-IPv6CP timeout: 60 seconds
Authorization attributes:
Idle cut: Disabled
Session timeout: Disabled
IGMP access limit: 4
MLD access limit: 4
Domain: dm
State: Active
Login authentication scheme: RADIUS=rad
Login authorization scheme: HWTACACS=hw
Super authentication scheme: RADIUS=rad
Command authorization scheme: HWTACACS=hw
LAN access authentication scheme: RADIUS=r4
Default authentication scheme: RADIUS=rad, Local, None
Default authorization scheme: Local
Default accounting scheme: None
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Include idle time
User address type: ipv4
NAS-ID: test
Authorization attributes:
Idle cut : Enabled
Idle timeout: 2 minutes
Flow: 10240 bytes
Session timeout: 34 minutes
IP pool: appy
Inbound CAR: CIR 64000 bps PIR 640000 bps
Outbound CAR: CIR 64000 bps PIR 640000 bps
ACL number: 3000
User group: ugg
IPv6 prefix: 1::1/34
IPv6 pool: ipv6pool
Primary DNS server: 6.6.6.6
Secondary DNS server: 3.6.2.3
URL: http://test
VPN instance: vpn1
IGMP access limit: 4
MLD access limit: 4
Default domain name: system
表1-1 display domain命令显示信息描述表
|
字段 |
描述 |
|
Total 2 domains |
总计2个ISP域 |
|
Domain |
ISP域名 |
|
State |
ISP域的状态 |
|
Default authentication scheme |
缺省的认证方案 |
|
Default authorization scheme |
缺省的授权方案 |
|
Default accounting scheme |
缺省的计费方案 |
|
Login authentication scheme |
Login用户认证方案 |
|
Login authorization scheme |
Login用户授权方案 |
|
Login accounting scheme |
Login用户计费方案 |
|
Super authentication scheme |
用户角色切换认证方案 |
|
Command authorization scheme |
命令行授权方案 |
|
Command accounting scheme |
命令行计费方案 |
|
IPoE authentication scheme |
IPoE用户认证方案 |
|
IPoE authorization scheme |
IPoE用户授权方案 |
|
IPoE accounting scheme |
IPoE用户计费方案 |
|
RADIUS |
RADIUS方案 |
|
HWTACACS |
HWTACACS方案 |
|
LDAP |
LDAP方案 |
|
Local |
本地方案 |
|
None |
不认证、不授权和不计费 |
|
Accounting start failure action |
用户计费开始失败的动作,包括以下取值: · Online:如果用户计费开始失败,则保持用户在线 · Offline:如果用户计费开始失败,则强制用户下线 |
|
Accounting update failure max-times |
允许用户连续计费更新失败的次数 |
|
Accounting update failure action |
用户计费更新失败的动作,包括以下取值: · Online:如果用户计费更新失败,则保持用户在线 · Offline:如果用户计费更新失败,则强制用户下线 |
|
Accounting quota out action |
用户计费配额耗尽策略,包括以下取值: · Online:如果用户计费配额耗尽,则保持用户在线 · Offline:如果用户计费配额耗尽,则强制用户下线 |
|
Service type |
ISP域的业务类型,取值为HSI,STB和VoIP |
|
Session time |
当用户异常下线时,设备上传到服务器的用户在线时间情况: · Include idle time:保留用户闲置切断时间 · Exclude idle time:扣除用户闲置切断时间 |
|
User address type |
用户地址类型 |
|
NAS-ID |
设备的NAS-ID 若未配置,则显示为N/A |
|
DHCPv6-follow-IPv6CP timeout(暂不支持)PPPoE/L2TP用户等待Authorization attributes |
ISP的用户授权属性 |
|
Idle cut |
用户闲置切断功能,包括以下取值: · Enabled:处于开启状态,表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时,会被强制下线 · Disabled:处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态 |
|
Idle timeout |
用户闲置切断时间(单位为分钟) |
|
Flow |
用户数据流量阈值(单位为字节) |
|
Session timeout |
用户的会话超时时间(单位为分钟) |
|
IP pool |
授权IPv4地址池的名称 |
|
Session group profile |
授权Session Group Profile的名称 |
|
Inbound CAR |
授权的入方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps) |
|
Outbound CAR |
授权的出方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps) |
|
ACL number |
授权ACL编号 |
|
User group |
授权User group的名称 |
|
IPv6 prefix |
授权IPv6前缀 |
|
IPv6 pool |
授权IPv6地址池的名称 |
|
Primary DNS server |
授权主DNS服务器IPv4地址 |
|
Secondary DNS server |
授权从DNS服务器IPv4地址 |
|
Primary DNSV6 server |
授权主DNS服务器IPv6地址 |
|
Secondary DNSV6 server |
授权从DNS服务器IPv6地址 |
|
URL |
授权重定向URL |
|
VPN instance |
授权VPN实例名称 |
|
IGMP access limit |
(暂不支持)授权IPv4用户可以同时点播的最大节目数 |
|
MLD access limit |
(暂不支持)授权IPv6用户可以同时点播的最大节目数 |
|
Default domain name |
缺省ISP域名 |
domain命令用来创建ISP域,并进入ISP域视图。如果指定的ISP域已经存在,则直接进入ISP域视图。
undo domain命令用来删除指定的ISP域。
【命令】
domain isp-name
undo domain isp-name
【缺省情况】
存在一个ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
所有的ISP域在创建后即处于active状态。
不能删除系统中预定义的ISP域system,只能修改该域的配置。
不能删除作为系统缺省ISP域的ISP域。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
建议设备上配置的ISP域名尽量短,避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度。
【举例】
# 创建一个名称为test的ISP域,并进入其视图。
<Sysname> system-view
[Sysname] domain test
【相关命令】
· display domain
· domain default enable
· domain if-unknown
· state (ISP domain view)
domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。
undo domain default enable命令用来恢复缺省情况。
【命令】
domain default enable isp-name
undo domain default enable
【缺省情况】
存在一个系统缺省的ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
系统中只能存在一个缺省的ISP域。
配置为缺省的ISP域不能被删除。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
【举例】
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【相关命令】
· display domain
· domain
domain if-unknown命令用来为未知域名的用户指定ISP域。
undo domain if-unknown命令用来恢复缺省情况。
【命令】
domain if-unknown isp-name
undo domain if-unknown
【缺省情况】
没有为未知域名的用户指定ISP域。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
isp-name:ISP域名。为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
设备将按照如下先后顺序选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域。
如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证。
【举例】
# 为未知域名的用户指定ISP域为test。
<Sysname> system-view
[Sysname] domain if-unknown test
【相关命令】
· display domain
domain-delimiter命令用来配置全局域名分隔符。
undo domain-delimiter命令用来恢复缺省情况。
【命令】
domain-delimiter [ ipoe | login | super] string
undo domain-delimiter [ ipoe | login | super]
【缺省情况】
全局域名分隔符为“@”、“/”和“\”。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipoe:IPoE用户。
login:登录设备的用户。
ssh:SSH用户。
super:用户角色切换认证用户。
string:多个域名分隔符组成的1~16个字符的字符串,只能包括字符“@”、“.”、“/”或“\”。若要指定域名分隔符“\”,则必须在输入时使用转义操作符“\”,即输入\\。
【使用指导】
域名分隔符是用于分隔用户名和域名的符号。配置域名分隔符,是为了便于设备准确解析用户名和域名。不同的域名分隔符,对应不同的用户名格式:
· “@”:username@domain-name
· “\”:domain-name\username
· “/”:username/domain-name
· “.”:username.domain-name
如果用户名中包含有多个域名分隔符字符,则设备将根据domain-delimiter search-from命令指定的查询顺序选择实际使用的域名分隔符。
若不指定任何参数,则表示对所有接入用户配置全局域名分隔符。
若接入模块指定了域名分隔符,则对该接入类型的用户使用接入模块配置的域名分隔符,不使用全局域名分隔符。
对于不同接入类型的用户,其全局域名分隔符必须与各接入模块指定的域名分隔符保持一致,否则可能导致域名解析失败。有关各接入模块支持的域名分隔符的详细情况,请参见“AAA配置指导”中的“配置域名分隔符”章节。
修改全局域名分隔符对已在线用户没有影响,仅对新上线用户生效。
【举例】
# 为login用户配置全局域名分隔符为“@”和“/”。
<Sysname> system-view
[Sysname] domain-delimiter login @/
【相关命令】
· domain-delimiter search-from
domain-delimiter search-direction命令用来配置域名分隔符的查询方向。
undo domain-delimiter search-direction命令用来恢复缺省情况。
【命令】
domain-delimiter search-direction { backward | forward }
undo domain-delimiter search-direction
【缺省情况】
域名分隔符查询方向为从右向左。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
backward:表示从右向左搜索域名分隔符。
forward:表示从左向右搜索域名分隔符。
【使用指导】
设备能够准确解析用户名和域名对于为用户提供认证服务非常重要。如果用户名中包含有多个域名分隔符字符,则设备将根据domain-delimiter search-from命令指定的查询顺序选择首个匹配的域名分隔符作为实际使用的域名分隔符。比如,用户名为1234@456@789,域名分隔符为@,如果从左向右进行查询,则1234为用户名,456@789为域名;如果从右向左查询,则1234@456用户名,789为域名。
本命令可适用于全局域名分隔符(由domain-delimiter命令指定)以及接入模块配置的域名分隔符。
多次执行本命令,最后一次执行的命令生效。
修改域名分隔符的查询方向对已在线用户没有影响,仅对新上线用户生效。
【举例】
# 配置域名分隔符的查询方向为从左到右。
<Sysname> system-view
[Sysname] domain-delimiter search-direction forward
【相关命令】
· domain-delimiter
local-server log change-password-prompt命令用来开启密码修改周期性提醒日志功能。
undo local-server log change-password-prompt命令用来关闭密码修改周期性提醒日志功能。
【命令】
local-server log change-password-prompt
undo local-server log change-password-prompt
【缺省情况】
密码修改周期性提醒日志功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
为了提高系统的安全性,用户通过Telnet、SSH、HTTP、HTTPS、NETCONF over SSH、NETCONF over SOAP方式登录设备时,系统会根据指定的安全要求对用户密码进行检查。为了及时提醒用户修改不符合系统要求的密码,建议开启密码修改周期性提醒日志功能。
开启本功能后,系统将每隔24小时,对所有不符合密码检查策略的用户打印日志,提醒这些用户尽快修改当前密码。除了周期性提醒之外,系统还会在每个用户登录时,针对不符合密码检查策略的情况立即打印日志进行提醒。
· 对于通过Telnet、SSH、HTTP、HTTPS方式登录设备的用户,如果用户密码为弱密码,且系统在用户登录时未要求其立即更改密码,系统会打印此提醒日志。弱密码是指不符合如下任意一项要求的密码:
¡ 密码组合检测策略。
¡ 密码最小长度限制。
¡ 密码复杂度检查策略。
· 对于通过NETCONF over SSH、NETCONF over SOAP方式登录设备的用户,如果出现以下情况,系统会打印此提醒日志:
¡ 用户密码为弱密码。
¡ 用户密码为缺省密码。
¡ 全局密码管理功能开启后,用户首次登录或使用被更改过的密码。
¡ 用户密码已经过期。
仅当以下情况发生时,系统才会停止打印此提醒日志:
· 关闭了密码修改周期性提醒日志功能。
· 用户密码修改为符合系统安全要求的密码。
· 密码检查策略相关功能的开启状态发生变化,使得密码检查策略变得宽松。
· 密码检查策略的参数设置发生变化。
当前系统中的密码检查策略可通过display password-control命令查看。弱密码检查使用的密码组合检测策略、密码最小长度限制、密码复杂度检查策略可分别通过password-control composition、password-control length、password-control complexity命令修改。关于密码检查策略的具体介绍,请参见“安全命令参考”的“Password Control”。
【举例】
# 开启密码修改周期性提醒日志功能。
<Sysname> system-view
[Sysname] local-server log change-password-prompt
【相关命令】
· display password-control(安全命令参考/Password Control)
· password-control composition(安全命令参考/Password Control)
· password-control length(安全命令参考/Password Control)
nas-id命令用来在ISP域视图下配置NAS-ID。
undo nas-id命令用来恢复缺省情况。
【命令】
nas-id nas-identifier
undo nas-id
【缺省情况】
未配置ISP域下的NAS-ID。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
nas-identifier:NAS-ID名称,为1~31个字符的字符串,区分大小写。
【使用指导】
用户进行RADIUS认证时,系统会获取设备的NAS-ID来设置RADIUS报文中的NAS-Identifier属性,该属性用于向RADIUS服务器标识用户的接入位置。
设备支持多种途径配置NAS-ID,按照获取优先级从高到低的顺序依次包括:NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、ISP域视图下的NAS-ID。若以上配置都不存在,则使用设备的名称作为NAS-ID。
【举例】
# 在ISP域test下配置NAS-ID为test。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] nas-id test
【相关命令】
· aaa nas-id profile
nas-id bind vlan命令用来设置NAS-ID与VLAN的绑定关系。
undo nas-id bind vlan命令用来删除指定的NAS-ID和VLAN的绑定关系。
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
【缺省情况】
不存在NAS-ID与VLAN的绑定关系。
NAS-ID Profile视图
network-admin
context-admin
【参数】
nas-identifier:NAS-ID名称,为1~31个字符的字符串,区分大小写。
vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。
一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。
一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。
# 在名称为aaa的NAS-ID Profile视图下,配置NAS-ID 222与VLAN 2的绑定关系。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
【相关命令】
· aaa nas-id profile
session-time include-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间。
undo session-time include-idle-time命令用来恢复缺省情况。
【命令】
session-time include-idle-time
undo session-time include-idle-time
【缺省情况】
设备上传到服务器的用户在线时间中扣除闲置切断时间。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
请根据实际的计费策略决定是否在用户在线时间中保留闲置切断时间。该闲置切断时间在用户认证成功后由AAA授权。
当用户正常下线时,设备上传到服务器上的用户在线时间为实际在线时间;当用户异常下线时,上传到服务器的用户在线时间具体如下:
· 若配置为保留闲置切断时间,则上传到服务器上的用户在线时间中包含了一定的闲置切断时间。此时,服务器上记录的用户时长将大于用户实际在线时长。
· 若配置为扣除闲置切断时间,则上传到服务器上的用户在线时间为,闲置切断检测机制计算出的用户已在线时长扣除掉一个闲置切断时间。此时,服务器上记录的用户时长将小于用户实际在线时长。
【举例】
# 在ISP域test下,配置设备上传到服务器的用户在线时间中保留闲置切断时间。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] session-time include-idle-time
【相关命令】
· display domain
state命令用来设置当前ISP域的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
当前ISP域处于活动状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。
block:指定当前ISP域处于阻塞状态,即系统不允许该域下的用户请求网络服务。
【使用指导】
当某个ISP域处于阻塞状态时,将不允许该域下的用户请求网络服务,但不影响已经在线的用户。
【举例】
# 设置当前ISP域test处于阻塞状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
【相关命令】
· display domain
user-address-type命令用来设置当前ISP域的用户地址类型。
undo user-address-type命令用来恢复缺省情况。
【命令】
user-address-type { private-ipv4 | public-ds | public-ipv4 }
undo user-address-type
【缺省情况】
未指定当前ISP域的用户地址类型。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
private-ipv4:表示当前用户的地址类型为私网IPv4地址。
public-ds:表示当前用户的地址类型为公网双栈地址。
public-ipv4:表示当前用户的地址类型为公网IPv4地址。
【使用指导】
当更改当前ISP域的用户地址类型时,不影响已经在线的用户。
【举例】
# 设置当前ISP域用户地址类型为私网IPv4地址。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] user-address-type private-ipv4
【相关命令】
· display domain
access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。
undo access-limit命令用来恢复缺省情况。
【命令】
access-limit max-user-number
undo access-limit
【缺省情况】
不限制使用当前本地用户名接入的用户数。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024。
【使用指导】
本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
对于网络接入类本地用户,建议在用户接入的ISP域视图下配置accounting start-fail offline命令,避免计费失败的用户上线,以保证access-limit命令限制的准确性。
【举例】
# 允许同时以本地用户名abc在线的用户数为5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
【相关命令】
· display local-user
access-user email authentication命令用来配置登录为网络接入类本地用户发送Email使用的SMTP服务器所需要的用户名和密码。
undo access-user email authentication命令用来恢复缺省情况。
【命令】
access-user email authentication username user-name password { cipher | simple } string
undo access-user email authentication
【缺省情况】
未配置登录SMTP服务器的用户名和密码。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
username user-name:登录用户名。其中,user-name为1~63个字符的字符串,区分大小写。
password:登录密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。其中,明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
【使用指导】
如果登录SMTP邮箱服务器时需要提供提登录用户名和密码,则必须通过本配置设置相应的登录用户名和密码。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置登录为网络接入类本地用户发送Email使用的SMTP服务器所需要的用户名为abc、密码为明文123。
<Sysname> system-view
[Sysname] access-user email authentication username abc password simple 123
【相关命令】
· access-user email format
· access-user email sender
· access-user email smtp-server
access-user email format命令用来配置网络接入类本地用户通知邮件的主题和内容。
undo access-user email format命令用来恢复缺省情况。
【命令】
access-user email format { body body-string | subject sub-string }
undo access-user email format { body | subject }
【缺省情况】
缺省邮件主题:Password reset notification。
缺省邮件内容:
A random password has been generated for your account.
Username: xxx
Password: yyy
Validity: YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss
其中,xxx为用户名,yyy为用户密码,YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss为用户账户有效期。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
body body-string:邮件的内容。其中,body-string为1~255个字符的字符串,区分大小写。
subject sub-string:邮件的主题。其中,sub-string为1~127个字符的字符串,区分大小写。
【使用指导】
管理员通过Web页面创建网络接入类本地用户、重置网络接入类用户密码时,如果由设备为用户生成随机密码,设备将在生成随机密码后向用户发送通知邮件告知为其生成的随机密码,该通知邮件的主题和内容通过本命令设置。
实际发送的邮件内容将包括设置的body-string与如下三项固定内容:
Username: xxx
Password: yyy
Validity: YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss
其中,xxx为用户名,yyy为用户密码,YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss为用户账户有效期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置网络接入类本地用户通知邮件的主题和内容。
<Sysname> system-view
[Sysname] access-user email format subject new password setting
[Sysname] access-user email format body The username, password, and validity period of the account are given below.
【相关命令】
· access-user email authentication
· access-user email sender
· access-user email smtp-server
access-user email sender命令用来配置网络接入类本地用户通知邮件的发件人地址。
undo access-user email sender命令用来恢复缺省情况。
【命令】
access-user email sender email-address
undo access-user email sender
【缺省情况】
未配置网络接入类本地用户通知邮件的发件人地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
email-address:邮件发件人地址,为1~255个字符的字符串,区分大小写,必须且最多只能携带一个“@”符号,不能仅为“@”。
【使用指导】
未配置发件人地址的情况下,设备无法向任何收件人发送关于网络接入类本地用户的通知邮件。
只能存在一个网络接入类本地用户的发件人地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置网络接入类本地用户通知邮件的发件人地址为[email protected]。
<Sysname> system-view
[Sysname] access-user email sender [email protected]
【相关命令】
· access-user email authentication
· access-user email format
· access-user email smtp-server
access-user email smtp-server命令用来配置为网络接入类本地用户发送Email使用的SMTP服务器。
undo access-user email smtp-server命令用来恢复缺省情况。
【命令】
access-user email smtp-server url-string
undo access-user email smtp-server
【缺省情况】
未配置为网络接入类本地用户发送Email使用的SMTP服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url-string:STMP服务器的URL,为1~255个字符的字符串,区分大小写,符合标准SMTP协议规范,以smtp://开头。
【使用指导】
只能存在一个发送Email使用的SMTP服务器。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置为网络接入类本地用户发送Email使用的SMTP服务器URL为smtp://www.example.com/smtp。
<Sysname> system-view
[Sysname] access-user email smtp-server smtp://www.example.com/smtp
【相关命令】
· access-user email authentication
· access-user email format
· access-user email sender
access-user verify-code email format命令用来配置网络接入类本地用户接收验证码邮件的主题和内容。
undo access-user verify-code email format命令用来恢复缺省情况。
【命令】
access-user verify-code email format { password-reset | user-unlock } { body body-string | subject sub-string }
undo access-user verify-code email format { password-reset | user-unlock } { body | subject }
【缺省情况】
1.参数为password-reset的缺省情况如下:
缺省邮件主题:Password reset code notification
缺省邮件内容:
The following verification code is used to reset the password for your account:
Username: xxx
Code: yyyyyy
Validity: This verification code will be valid for 5 minutes
Please do not provide this verification code to anyone. If you did not request a code, please ignore this message.
其中,xxx为用户名,yyyyyy为验证码,验证码有效时间为5分钟。
2.参数为user-unlock的缺省情况如下:
缺省邮件主题:User unlock code notification
缺省邮件内容:
The following verification code is used to unlock your account:
Username: xxx
Code: yyyyyy
Validity: This verification code will be valid for 5 minutes
Please do not provide this verification code to anyone. If you did not request a code, please ignore this message.
其中,xxx为用户名,yyyyyy为验证码,验证码有效时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
password-reset:表示密码重置。
user-unlock:表示账号解锁。
body body-string:邮件的内容。其中,body-string为1~255个字符的字符串,区分大小写。
subject sub-string:邮件的主题。其中,sub-string为1~127个字符的字符串,区分大小写。
【使用指导】
网络接入类本地用户通过Web页面重置用户密码或者自助解锁时,需要用户输入验证码进行校验。设备将在生成随机验证码后,向用户发送通知邮件,邮件内包含生成的验证码,该通知邮件的主题和内容通过本命令设置。
实际发送的邮件内容将包括设置的body-string与如下三项固定内容:
Username: xxx
code: yyyyyy
Validity: This verification code will be valid for 5 minutes
Please do not provide this verification code to anyone. If you did not request a code, please ignore this message.
其中,xxx为用户名,yyyyyy为验证码,验证码有效时间为5分钟。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置网络接入类本地用户接收密码重置验证码邮件的主题和内容。
<Sysname> system-view
[Sysname] access-user verify-code email format password-reset subject new password setting
[Sysname] access-user verify-code email format password-reset body The username, password, and validity period of the account are given below.
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { user-role role-name | work-directory directory-name } *
undo authorization-attribute { user-role role-name | work-directory } *
【缺省情况】
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
在缺省Context中由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator;在非缺省Context中由用户角色为context-admin或者level-15的用户创建的本地用户被授权用户角色context-operator。
【视图】
本地用户视图
用户组视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-role role-name:指定本地用户的授权用户角色。其中,role-name表示用户角色名称,为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础配置命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。
【使用指导】
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于Telnet、Terminal、SSH用户,仅授权属性user-role有效。
· 对于http、https用户,仅授权属性user-role有效。
· 对于FTP用户,仅授权属性user-role、work-directory有效。
· 对于其它类型的本地用户,所有授权属性均无效。
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
在多台设备组成IRF的环境下,为了避免IRF系统进行主从倒换后FTP/SFTP/SCP用户无法正常登录,建议用户在指定工作目录时不要携带slot信息。
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。
为本地用户授权安全日志管理员角色时,需要注意的是:
· 安全日志管理员角色和其它用户角色互斥:
¡ 为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;
¡ 如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。
· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。
为本地用户授权system-admin、security-admin、audit-admin角色时,需要注意的是:
· 被授权此类角色的本地用户登录设备后,仅有执行指定Web页面的操作权限,以及执行ping和tracert命令的命令行权限,具体权限介绍请参见“基础配置指导”中的“RBAC”。
· 这些角色和其它用户角色互斥,且彼此之间也互斥。为一个用户授权用户角色时,系统会通过提示信息请求确认是否删除与当前用户角色互斥的其它用户角色。
【举例】
# 配置用户组abc的授权VLAN为VLAN 3。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
# 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。
<Sysname> system-view
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
【相关命令】
· display local-user
· display user-group
description命令用来配置网络接入类本地用户的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置网络接入类本地用户的描述信息。
【视图】
网络接入类本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:用户的描述信息,为1~127个字符的字符串,区分大小写。
【使用指导】
如果将本地用户的描述信息取值为固定字符串#user_from_server#,则表示对该用户进行了特殊标识,使其能够在设备的Web管理页面上被用于指定用途的显示和管理,具体用途请以Web管理界面上的实现为准。
【举例】
# 配置网络接入类本地用户123的描述信息为Manager of MSC company。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] description Manager of MSC company
【相关命令】
· display local-user
description命令用来配置用户组的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置用户组的描述信息。
【视图】
用户组视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:用户组的描述信息,为1~127个字符的字符串,区分大小写。
【使用指导】
当系统中存在多个用户组时,可通过配置相应的描述信息来有效区分不同的用户组。
【举例】
# 配置用户组abc的描述信息为student。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc] description student
【相关命令】
· display user-group
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
【命令】
display local-user [ class { manage | network } | idle-cut { disable | enable } | service-type { ftp | http | https | ipoe | ssh | telnet | terminal } | state { active | block } | user-name user-name class { manage | network } | vlan vlan-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
class:显示指定用户类别的本地用户信息。
manage:设备管理类用户。
idle-cut { disable | enable }:显示开启或关闭闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息。
· ftp:FTP用户。
· http:HTTP用户。
· hikagent:系统预定义的管理用户,用户名为admin。
· https:HTTPS用户。
· ipoe:IPoE用户(主要指IP接入用户,比如二/三层专线用户,数字机顶盒接入用户)。
· ssh:SSH用户。
· telnet:Telnet用户。
· terminal:从Console口登录的终端用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name为1~55个字符的字符串,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若本地用户名中携带域名,则格式为“纯用户名@域名”,其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。
【使用指导】
如果不指定任何参数,则显示所有本地用户信息。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
Device management user root:
State: Active
Service type: SSH/Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Password control configurations:
Password aging: Enabled
User account idle time: 50 days
Password complexity: Enabled (username checking)
Disabled (repeated characters checking)
Password history was last reset: 0 days ago
Last Successful Login Time:2022/11/02-00:02:02
Total 1 local users matched.
表1-2 display local-user命令显示信息描述表
|
字段 |
描述 |
|
State |
本地用户状态 · Active:活动状态 · Block:阻塞状态 |
|
Service type |
本地用户使用的服务类型 |
|
Access limit |
是否对使用该用户名的接入用户数进行限制 |
|
Max access number |
最大接入用户数 |
|
Current access number |
使用该用户名的当前接入用户数 |
|
User group |
本地用户所属的用户组 |
|
Bind attributes |
本地用户的绑定属性 |
|
IP address |
本地用户的IP地址 |
|
Location bound |
本地用户绑定的端口 |
|
MAC address |
本地用户的MAC地址 |
|
VLAN ID |
本地用户绑定的VLAN |
|
Authorization attributes |
本地用户的授权属性 |
|
Idle timeout |
本地用户闲置切断时间(单位为分钟) |
|
Session-timeout |
本地用户的会话超时时间(单位为分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
ACL number |
本地用户授权ACL |
|
VLAN ID |
本地用户授权VLAN |
|
User role list |
本地用户的授权用户角色列表 |
|
IP pool |
本地用户的授权IPv4地址池 |
|
IP address |
本地用户的授权IPv4地址 |
|
IPv6 address |
本地用户的授权IPv6地址 |
|
IPv6 prefix |
本地用户的授权IPv6前缀 |
|
IPv6 pool |
本地用户的授权IPv6地址池 |
|
Primary DNS server |
本地用户的授权主DNS服务器IPv4地址 |
|
Secondary DNS server |
本地用户的授权从DNS服务器IPv4地址 |
|
Primary DNSV6 server |
本地用户的授权主DNS服务器IPv6地址 |
|
Secondary DNSV6 server |
本地用户的授权从DNS服务器IPv6地址 |
|
URL |
本地用户的授权PADM URL |
|
VPN instance |
本地用户的授权VPN实例 |
|
Password control configurations |
本地用户的密码控制属性 |
|
Password aging |
密码老化时间 |
|
Password length |
密码最小长度 |
|
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
|
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
|
Maximum login attempts |
用户最大登录尝试次数 |
|
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
|
Password history was last reset |
上一次清除密码历史记录的时间 |
|
Total x local users matched. |
总计有x个本地用户匹配 |
display local-user access-count命令用来显示本地用户的接入计数信息。
【命令】
display local-user user-name user-name class { manage | network } access-count
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
user-name user-name:显示指定用户名的接入计数信息。其中,user-name表示本地用户名,为1~55个字符的字符串,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。
class:指定用户类别。
manage:设备管理类用户。
network:网络接入类用户。
【举例】
# 显示指定本地管理用户的当前接入计数信息。
<Sysname> display local-user user-name admin class manage access-count
Device management user admin:
Configured access limit: 30
Current access count: 15
Access method Slot Access count
Telnet 1 10
SSH 1 5
表1-3 display local-user access-count命令显示信息描述表
|
字段 |
描述 |
|
Configured access limit |
配置的最大接入用户数 |
|
Current access count |
当前的接入用户数 |
|
Access method |
用户接入类型,取值包括: · Telnet · SSH · HTTP · HTTPS · Terminal · IPoE · LAN access |
|
Access count |
指定接入类型的当前接入用户数 |
【相关命令】
· access-limit
display user-group命令用来显示用户组的配置信息。
【命令】
display user-group { all | name group-name } [ identity-member { all | group | user } ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
all:显示所有用户组的配置信息。
name group-name:显示指定用户组的配置。group-name表示用户组名称,为1~32个字符的字符串,不区分大小写。
identity-member { all | group | user }:显示用户组的身份识别成员信息。其中,all表示所有身份识别成员,包括所有用户组类型和用户类型的成员;group表示用户组类型的身份识别成员;user表示仅显示用户类型的身份识别成员信息。若不指定该参数,则不显示用户组的身份识别成员信息。
【举例】
# 显示所有用户组的相关配置。
<Sysname> display user-group all
Total 2 user groups matched.
User group: system
Authorization attributes:
Work directory: flash:
User group: jj
Description: school
Authorization attributes:
Idle timeout: 2 minutes
Work directory: flash:/
ACL number: 2000
VLAN ID: 2
Password control configurations:
Password aging: Enabled (90 days device management users)
Enabled (90 days network access users)
User account idle time: 90 days (device management users)
0 days (network access users)
# 显示所有用户组中的所有身份成员信息。
<Sysname> display user-group all identity-member all
Total 2 user groups matched.
User group: system
Identity groups: 0
Identity users: 0
User group: jj
Description: school
Identity groups: 2
Group name Group description
1 group1
2 group2
Identity users: 2
User ID Username
0x234 user1
0xffffffff user2
表1-4 display user-group命令显示信息描述表
|
字段 |
描述 |
|
Total x user groups matched. |
总计有x个用户组匹配 |
|
User group |
用户组名称 |
|
Authorization attributes |
授权属性信息 |
|
Idle timeout |
闲置切断时间(单位:分钟) |
|
Session-timeout |
会话超时时间(单位:分钟) |
|
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
|
ACL number |
授权ACL号 |
|
VLAN ID |
授权VLAN ID |
|
IP pool |
授权IPv4地址池 |
|
IPv6 prefix |
授权IPv6前缀 |
|
IPv6 pool |
授权IPv6地址池 |
|
Primary DNS server |
授权主DNS服务器IPv4地址 |
|
Secondary DNS server |
授权从DNS服务器IPv4地址 |
|
Primary DNSV6 server |
授权主DNS服务器IPv6地址 |
|
Secondary DNSV6 server |
授权从DNS服务器IPv6地址 |
|
URL |
授权PADM URL |
|
VPN instance |
授权VPN实例 |
|
Password control configurations |
用户组的密码控制属性 |
|
Password aging |
密码老化时间 |
|
Password length |
密码最小长度 |
|
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
|
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
|
Maximum login attempts |
用户最大登录尝试次数 |
|
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
email命令用来配置本地来宾用户或网络接入类本地用户的Email地址。
undo email命令用来恢复缺省情况。
【命令】
email email-string
undo email
【缺省情况】
未配置本地来宾用户或网络接入类本地用户的Email地址。
【视图】
本地来宾用户视图
网络接入类本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
email-string:本地来宾用户或网络接入类本地用户的Email地址,为1~255个字符的字符串,区分大小写,必须且最多只能携带一个“@”符号,不能仅为“@”。
【使用指导】
设备可以通过本命令配置的Email地址给来宾用户发送通知邮件。
设备可以通过本命令配置的Email地址给网络接入类本地用户发送验证码邮件。
【举例】
# 配置本地来宾用户abc的Email地址为[email protected]。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] email [email protected]
【相关命令】
· display local-user
group命令用来设置本地用户所属的用户组。
undo group命令用来恢复缺省配置。
【命令】
group group-name
undo group
【缺省情况】
本地用户属于用户组system。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 设置设备管理类本地用户111所属的用户组为abc。
<Sysname> system-view
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
【相关命令】
· display local-user
local-guest email format命令用来配置本地来宾用户通知邮件的主题和内容。
undo local-guest email format命令用来删除指定的本地来宾用户通知邮件的主题和内容。
【命令】
local-guest email format to { guest | manager | sponsor } { body body-string | subject sub-string }
undo local-guest email format to { guest | manager | sponsor } { body | subject }
【缺省情况】
未配置本地来宾用户通知邮件的主题和内容。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
to:指定邮件的收件人。
· guest:表示来宾用户。
· manager:表示来宾管理员。
· sponsor:表示来宾接待人。
body body-string:邮件的内容。其中,body-string为1~255个字符的字符串,区分大小写。
subject sub-string:邮件的主题。其中,sub-string为1~127个字符的字符串,区分大小写。
【使用指导】
在本地来宾用户注册、创建过程中,设备需要向不同角色的用户发送通知邮件,邮件的主题和内容通过本命令设置,例如,本地来宾用户通过Web页面完成账户注册之后,设备会向来宾管理员发送该用户的审批申请邮件;本地来宾用户创建之后,设备会向本地来宾用户或来宾接待人邮箱发送注册成功通知邮件。
可对不同的收件人指定不同的邮件主题和内容。同一类收件人的邮件格式只能存在一种配置,新配置将覆盖已有配置。
必须同时配置收件人的邮件主题和内容,否则设备不会给该收件人发送邮件。
【举例】
# 配置本地来宾用户通知邮件的主题和内容。
<Sysname> system-view
[Sysname] local-guest email format to guest subject Guest account information
[Sysname] local-guest email format to guest body A guest account has been created for you. The username, password, and validity period of the account are given below.
【相关命令】
· local-guest email sender
· local-guest email smtp-server
· local-guest manager-email
· local-guest send-email
local-guest email sender命令用来配置本地来宾用户通知邮件的发件人地址。
undo local-guest email sender命令用来恢复缺省情况。
【命令】
local-guest email sender email-address
undo local-guest email sender
【缺省情况】
未配置本地来宾用户通知邮件的发件人地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
email-address:邮件发件人地址,为1~255个字符的字符串,区分大小写,必须且最多只能携带一个“@”符号,不能仅为“@”。
【使用指导】
未配置发件人地址的情况下,设备无法向任何收件人发送关于本地来宾用户的通知邮件。
只能存在一个本地来宾用户的发件人地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置本地来宾用户通知邮件的发件人地址为[email protected]。
<Sysname> system-view
[Sysname] local-guest email sender [email protected]
【相关命令】
· local-guest email format
· local-guest email smtp-server
· local-guest manager-email
· local-guest send-email
local-guest email smtp-server命令用来配置为本地来宾用户发送Email使用的SMTP服务器。
undo local-guest send-email smtp-server命令用来恢复缺省情况。
【命令】
local-guest email smtp-server url-string
undo local-guest email smtp-server
【缺省情况】
未配置为本地来宾用户发送Email使用的SMTP服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url-string:STMP服务器的URL,为1~255个字符的字符串,区分大小写,符合标准SMTP协议规范,以smtp://开头。
【使用指导】
只能存在一个为本地来宾用户发送Email使用的SMTP服务器。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置为本地来宾用户发送Email使用的SMTP服务器URL为smtp://www.example.com/smtp。
<Sysname> system-view
[Sysname] local-guest email smtp-server smtp://www.example.com/smtp
【相关命令】
· local-guest email format
· local-guest email sender
· local-guest manager-email
· local-guest send-email
local-guest generate命令用来批量创建本地来宾用户。
【命令】
local-guest generate username-prefix name-prefix [ password-prefix password-prefix ] suffix suffix-number [ group group-name ] count user-count validity-datetime start-date start-time to expiration-date expiration-time
【视图】
【缺省用户角色】
context-admin
【参数】
username-prefix name-prefix:用户名前缀,name-prefix为1~45个字符的字符串,区分大小写,不能含有字符\、|、/、:、*、?、<、>或@。
password-prefix password-prefix:明文密码前缀,password-prefix为1~53个字符的字符串,区分大小写。若不指定该参数,则由系统为用户逐一生成随机密码
suffix suffix-string:用户名和密码的递增编号后缀,suffix-string为1~10个数字的字符串。
group group-name:用户所属用户组名,group-name为1~32个字符的字符串,区分大小写。若不指定该参数,则表示用户属于system组。
count user-count:批量创建用户的数量,user-count的取值范围为1~256。
validity-datetime:用户有效期。有效期的结束时间必须晚于起始时间。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
to:指定用户有效期的结束日期和结束时间。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
【使用指导】
批量创建的本地来宾用户名由指定的用户名前缀和编号后缀组合而成,且每创建一个用户,用户名编号后缀递增1。例如,当用户名前缀为abc,递增编号后缀为1,生成用户数量为3时,生成的用户名分别为abc1、abc2和abc3。如果指定了密码前缀,则批量创建的本地来宾用户密码由密码前缀和编号后缀组合而成,且逐用户递增。
如果申请创建的本地来宾用户数量过多,导致资源不足时,部分本地来宾用户的批量创建将会失败。
如果批量创建的本地来宾用户与设备上已有的本地来宾用户重名,则批量创建的用户会覆盖已有的同名用户。
【举例】
# 批量创建20个本地来宾用户,用户名从abc01递增到abc20,属于用户组visit,有效期为2018/10/01 00:00:00到2019/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-guest generate username-prefix abc suffix 01 group visit count 20 validity-datetime 2018/10/01 00:00:00 to 2019/10/02 12:00:00
【相关命令】
· local-user
· display local-user
local-guest send-email命令用来配置向本地来宾用户邮箱和来宾接待人邮箱发送邮件。
【命令】
local-guest send-email user-name user-name to { guest | sponsor }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name user-name:本地来宾用户的用户名,为1~55个字符的字符串,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若用户名中携带域名,则格式为“纯用户名@域名”,其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
to:指定邮件的收件人。
· guest:本地来宾用户。
· sponsor:来宾接待人。
【使用指导】
当本地来宾用户创建之后,来宾管理员可通过此命令将用户的密码及有效期信息发送到本地来宾用户或来宾接待人邮箱中。
【举例】
# 向本地来宾用户abc的邮箱发送有关该用户账号信息的通知邮件。
<Sysname> local-guest send-email user-name abc to guest
【相关命令】
· sponsor-email
local-guest timer命令用来配置本地来宾用户的等待审批超时定时器。
【命令】
local-guest timer waiting-approval time-value
undo local-guest timer waiting-approval
【缺省情况】
本地来宾用户的等待审批超时定时器值为24小时。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:本地来宾用户等待审批的超时时间,取值范围为1~720,单位为小时。
【使用指导】
当一个来宾用户在Web页面上完成账户注册之后,设备会为其开启一个来宾注册信息等待审批超时定时器,若在该定时器设置的时长内来宾管理员没有对其注册信息进行审批,则设备将删除该来宾注册信息。
【举例】
# 配置本地来宾用户的等待审批超时定时器的值为12小时。
<Sysname> system-view
[Sysname] local-guest timer waiting-approval 12
local-manage-user rbm-sync enable命令用来开启本地设备管理类用户RBM同步功能。
undo local-manage-user rbm-sync enable命令用来关闭本地设备管理类用户RBM同步功能。
【命令】
local-manage-user rbm-sync enable
undo local-manage-user rbm-sync enable
【缺省情况】
本地设备管理类用户RBM同步功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在RBM场景中,当主设备配置本命令后,主设备会向备设备发起一次本地管理类用户相关配置和数据的平滑同步,从而使备设备的本地管理类用户相关配置和数据与主设备一致。
配置本命令后,本地管理类用户相关配置和数据会响应RBM自动批备事件和手工批备命令configuration manual-sync,即自动批备事件和手工批备命令会触发本地管理类用户相关配置和数据的同步。同时,本地管理类用户的相关配置和数据发生变化时也会实备到对端。
RBM处于镜像模式(通过backup-mode命令配置),或者在RBM场景下配置了本命令,两者满足其一,即可实现本地管理类用户的RBM同步功能。
在RBM场景中,若主设备在主备之间的链路断开后,配置了本命令,则当主备之间的链路恢复时,主设备会向备设备发起一次本地管理类用户相关配置和数据的平滑同步。
【举例】
# 开启本地管理类用户的RBM同步功能。
<Sysname> system-view
[Sysname] local-manage-user rbm-sync enable
【相关命令】
· backup-mode(可靠性命令参考/双机热备(RBM))
· configuration manual-sync(可靠性命令参考/双机热备(RBM))
local-user命令用来添加本地用户,并进入本地用户视图。如果指定的本地用户已经存在,则直接进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
【命令】
local-user user-name [ class manage ]
undo local-user { user-name class { manage | network } | all [ service-type { ftp | http | https | ipoe | ssh | telnet | terminal } | class manage ] }
【缺省情况】
不存在本地用户。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name:表示本地用户名,为1~55个字符的字符串,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若本地用户名中携带域名,则格式为“纯用户名@域名”,其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、http、https、telnet、ssh、terminal服务。
all:所有的用户。
service-type:指定用户的类型。
· ftp:表示FTP类型用户。
· http:表示HTTP类型用户。
· https:表示HTTPS类型用户。
· ipoe:表示IPoE类型用户(主要指以IP接入用户,比如二三层专线,数字机顶盒接入的用户)。
· ssh:表示SSH用户。
· telnet:表示Telnet用户。
· terminal:表示从Console口、AUX口、Asyn口登录的终端用户。
【使用指导】
在本地认证过程中,配置的用户名和用户类别为本地用户的唯一标识,用户名用于匹配设备从用户输入的用户名中解析出的纯用户名,用户类别用于指示用户可以使用的网络服务类型。
设备支持配置多个本地用户,设备管理类本地用户的最大数目为1024,网络接入类本地用户的最大数目为4294967295。
如果配置的本地用户名中包含中文,则需要该本地用户登录设备时使用的终端软件采用的字符集编码格式和设备保存该本地用户配置时采用的编码格式(GB18030)保持一致,否则,可能导致包含中文字符的用户名在设备上不能按照预期解析,甚至导致本地认证失败。
【举例】
# 添加名称为user1的设备管理类本地用户。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
【相关命令】
· display local-user
· service-type
local-user change-password命令用来使本地用户修改自己的密码。
【命令】
local-user change-password
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
只有通过本地认证的设备管理类用户才可以执行该命令修改自己的密码。
修改用户密码的过程中,如果设备等待超过30秒后,用户仍未按照系统提示输入旧密码、新密码或确认密码,当前的密码修改过程将自动终止,也可以通过输入Ctrl+C终止当前的密码修改流程。
【举例】
# 通过本地认证的设备管理类用户修改自己的密码。
<Sysname> local-user change-password
Change password for user: admin
A qualified password must meet the following requirements:
It must contain a minimum of 10 characters.
It must contain a minimum of 2 types, and a minimum of 1 characters for each type.
It can't contain the username or the reversed letters of the username.
Enter old password:
Enter new password:
Confirm new password:
The password has been changed successfully.
local-user-export class network命令用来从设备导出网络接入类本地用户信息到CSV文件。
【命令】
local-user-export class network url url-string [ from { group group-name | user user-name } ]
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url url-string:CSV文件的URL,为1~255个字符的字符串,不区分大小写。
from:指定导出的用户范围。若不指定该参数,则表示导出设备上所有的网络接入类本地用户。
group group-name:导出指定组里的所有用户。group-name表示用户组名,为1~32个字符的字符串,不区分大小写。
user user-name:导出指定用户。user-name表示用户名,为1~55个字符的字符串,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若用户名中携带域名,则格式为“纯用户名@域名”,其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
【使用指导】
导出的CSV文件可直接或在编辑之后通过local-user-import class network命令导入到本设备或其它支持该命令的设备上使用,但文件内容必须符合该命令的要求。
本命令支持TFTP和FTP两种文件上传方式,具体的URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为TFTP服务器IP地址或主机名,path为TFTP工作目录的相对路径,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,path为FTP工作目录的相对路径,例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
【举例】
# 导出网络接入类本地用户信息到ftp://1.1.1.1/user/路径的identityuser.csv文件中。
<Sysname> system-view
[Sysname] local-user-export class network url ftp://1.1.1.1/user/identityuser.csv
【相关命令】
· display local-user
· local-user-import class network
local-user-import class network命令用来从CSV文件中导入用户信息并创建网络接入类本地用户。
【命令】
local-user-import class network url url-string [ auto-create-group | override | start-line line-number ] *
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url url-string:CSV文件的URL,为1~255个字符的字符串,不区分大小写。
auto-create-group:表示当设备上不存在用户所属的用户组时,系统会自动创建用户组,并将用户加入该用户组。若不指定该参数,则表示当设备上不存在用户所属的用户组时,系统不会创建对应的用户组,而是将用户其加入缺省用户组system。
override:表示当导入的用户名已经存在于设备上时,系统使用导入的用户信息覆盖掉已有的同名用户配置。若不指定该参数,则表示不导入文件中的同名用户信息,即保留设备上已有的同名用户配置。
start-line line-number:表示从文件的指定行开始导入用户信息。line-number为文件内容的行编号。若不指定该参数,则表示导入文件中的所有用户信息。
【使用指导】
用于导入的CSV文件中包含多个用户信息,每个用户的各项字段严格按照以下顺序出现:
· 用户名:为1~55个字符的字符串,区分大小写,不支持字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”和“all”。若用户名中包含非法字符,则导入并创建该用户失败,且后续用户的导入操作将会中止。该字段必须存在。
· 密码形式:明文或密文。若该字段为空,则表示密文。
· 用户密码:密文密码字符串长度范围为1~117,明文密码字符串长度访问为1~63,区分大小写。若该字段为空或密码解析失败,则表示用户无密码。
· 所属授权用户组:用于本地授权,为1~32个字符的字符串,不区分大写。若该字段为空,则表示system组。
· 所属身份识别用户组:用于用户身份识别,为1~32个字符的字符串,不区分大写。可支持多个用户组,组名称之间必须以换行字符串0x0A分隔。若该字段为空,则表示不属于任何身份识别用户组。
· 服务类型:包括ipoe中的一个或多个,不区分大小写。服务类型名称之间必须以换行字符串(0x0A)分隔。若该字段为空,则表示不支持任何服务类型。
· 允许同时使用该用户名接入网络的最大用户数:取值范围为1~1024。若该字段为空,则表示无限制。
CSV文件中的不同用户信息之间用回车换行分隔,且每项信息之间以逗号分隔。例如:
Jack,$c$3$uM6DH5empTfbsx341Qk/ORGozkbxNE0=,author-group1,parent-group1(0x0A)parent-group2,portal,1024
Mary,$c$3$YpVonswJTN1dVMEev+zu2pgrCIIJ,author-group2,parent-group1(0x0A)parent-group2,portal,800
编辑CSV文件时,需要注意的是:
· CSV文件中的注释行以#开头,注释行的内容不会被当作实际用户信息导入设备。
· 如果某类数据本身需要包含逗号,为避免与分隔符逗号混淆,必须在该数据两端加单引号,例如某授权用户组名称为author,group,则在CSV文件中要书写为'author,group'。
本命令支持TFTP和FTP两种文件下载方式,具体的文件URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为FTP服务器IP地址或主机名,path为TFTP工作目录的相对路径,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,path为FTP工作目录的相对路径,例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
【举例】
# 从ftp://1.1.1.1/user/路径的localuser.csv文件中导入网络接入类本地用户信息,导入时自动创建用户组,且不导入文件中的同名用户信息。
<Sysname> system-view
[Sysname] local-user-import class network url ftp://1.1.1.1/user/localuser.csv auto-create-group
【相关命令】
· display local-user
· local-user-export class network
local-user-import class network guest命令用来从CVS文件中导入用户信息并创建本地用户。
【命令】
local-user-import class network guest url url-string validity-datetime start-date start-time to expiration-date expiration-time [ auto-create-group | override | start-line line-number ] *
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url url-string:CSV文件的URL。其中,url-string为1~255个字符的字符串,不区分大小写。
validity-datetime:指定用户的有效期。有效期的结束时间必须晚于起始时间。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
to:指定用户有效期的结束日期和结束时间。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
auto-create-group:表示当设备上不存在用户所属的用户组时,系统会自动创建用户组,并将用户加入该用户组。若不指定该参数,则表示当设备上不存在用户所属的用户组时,系统不会创建对应的用户组,而是将该用户加入缺省用户组system。
override:表示当导入的用户名已经存在于设备上时,系统使用导入的用户信息覆盖掉已有的同名用户配置。若不指定该参数,则表示不导入文件中的同名用户信息,即保留设备上已有的同名用户配置。
start-line line-number:表示从文件的指定行开始导入用户信息。其中,line-number为文件内容的行编号。若不指定该参数,则表示导入文件中的所有用户信息。
【使用指导】
用于导入的CSV文件中包含多个用户信息,每个用户的各项字段严格按照以下顺序出现:
· Username:用户名,不支持字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”和“all”。若用户名中包含非法字符,则导入并创建该用户失败,且后续用户的导入操作将会中止。该字段必须存在。
· Password:明文用户密码。若该字段为空,则导入时系统会生成一个密文随机密码。
· User group:所属用户组,用于本地授权。若该字段为空,则表示属于system组。
· Guest full name:来宾用户姓名。
· Guest company:来宾用户公司。
· Guest email:来宾用户Email地址。
· Guest phone:来宾用户电话号码。
· Guest description:来宾用户描述信息。
· Sponsor full name:接待人姓名。
· Sponsor department:接待人部门。
· Sponsor email:接待人Email地址。
以上所有字段的取值必须满足设备上本地用户相应属性的取值要求,否则当前用户的导入操作将会失败,且导入操作中止。之后,可以根据系统提示信息中的出错行编号选择下次从指定行开始导入剩余用户信息。
CSV文件中的不同用户信息之间用回车换行分隔,且每项信息之间以逗号分隔。如果某项信息中包含逗号,则必须在该条信息两端加双引号。例如:Jack,abc,visit,Jack Chen,ETP,[email protected],1399899,”The manager of ETP, come from TP.”,Sam Wang,Ministry of personnel,[email protected]
本命令支持TFTP和FTP两种文件下载方式,具体的文件URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为TFTP服务器IP地址或主机名,path为TFTP工作目录的相对路径,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,path为FTP工作目录的相对路径,例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://path/filename,例如ftp://1.1.1.1/user/user.csv。
【举例】
# 从ftp://1.1.1.1/user/guest.csv路径中导入本地来宾用户信息,用户的有效期为2018/10/01 00:00:00到2019/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user-import class network guest url ftp://1.1.1.1/user/guest.csv validity-datetime 2018/10/01 00:00:00 to 2019/10/02 12:00:00
【相关命令】
· display local-user
· local-user-export class network guest
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password [ { hash | simple } string ]
undo password
【缺省情况】
不存在本地用户密码,且本地用户认证时不能成功。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
hash:表示以哈希方式设置密码。
simple:表示以明文方式设置密码,该密码将以哈希方式存储,哈希加密算法为SHA-512。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串。
【使用指导】
如果不指定任何参数,则表示以交互式设置明文形式的密码。
可以不为本地用户设置密码。若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。为提高用户账户的安全性,建议设置本地用户密码。
必须设置密码,否则用户的本地认证不能成功。
在全局Password Control功能处于开启的情况下,需要注意的是:
· 所有历史密码都以哈希方式存储。
· 当前登录用户以明文方式修改自己的密码时,需要首先提供现有的明文密码,然后保证输入的新密码与所有历史密码不同,且至少要与现有密码存在4个不同字符的差异。
· 当前登录用户以明文方式修改其它用户的密码时,需要保证新密码与所有历史密码不同。
· 当前登录用户删除自己的密码时,需要提供现有的明文密码。
· 其它情况下,均不需要提供现有明文密码,也不与历史密码进行比较。
【举例】
# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式设置设备管理类本地用户test的密码。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
confirm :
【相关命令】
· display local-user
password命令用来设置本地用户的密码。
【命令】
password
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
通过在用户视图下执行本命令,可以采用交互式方式为设备上已存在的设备管理类本地用户设置密码,而无需进入相应的本地用户视图。
可设置的密码为1~63个字符的明文字符串。
在全局Password Control功能处于开启的情况下,需要注意的是:
· 所有历史密码都以哈希方式存储。
· 当前登录用户修改密码时,需要首先提供现有的明文密码,然后保证输入的新密码与所有历史密码不同,且至少要与现有密码存在4个不同字符的差异。
【举例】
# 修改本地用户test的密码。
<Sysname> password
Change password for user: test
Old password:
Enter new password:
Confirm:
phone命令用来配置本地来宾或网络接入类用户的电话号码。
undo phone命令用来恢复缺省情况。
【命令】
phone phone-number
undo phone
【缺省情况】
未配置本地来宾用户电话号码。
【视图】
本地来宾用户视图
网络接入类本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
phone-number:本地来宾用户的电话号码,为1~32个字符的字符串。
【举例】
# 配置本地来宾用户abc的电话号码为13813723920。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] phone 13813723920
# 配置网络接入类本地用户ccc的电话号码为13813723921。
<Sysname> system-view
[Sysname] local-user ccc class network
[Sysname-luser-network-ccc] phone 13813723921
【相关命令】
· display local-user
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
【命令】
service-type {ftp | ipoe | { http | https | ssh | telnet | terminal } *}
undo service-type { ftp | ipoe | { http | https | ssh | telnet | terminal } *}
【缺省情况】
系统不对用户授权任何服务,即用户不能使用任何服务。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
ftp:指定用户可以使用FTP服务。若授权FTP服务,授权目录可以通过authorization-attribute work-directory命令来设置。
http:指定用户可以使用HTTP服务。
https:指定用户可以使用HTTPS服务。
ipoe:指定用户可以使用IPoE服务。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
【使用指导】
可以通过多次执行本命令,设置用户可以使用多种服务类型。
对于hikagent服务类型的用户admin:
· 系统缺省为其生成service-type hikagent配置,但不支持删除该缺省配置。
· 仅支持为其配置或修改用户密码,不支持配置其它用户属性。
· 不支持手工删除该用户。
【举例】
# 指定设备管理类用户可以使用Telnet服务和FTP服务。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
【相关命令】
· display local-user
state命令用来设置当前本地用户的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
本地用户处于活动状态。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。
【举例】
# 设置设备管理类本地用户user1处于“阻塞”状态。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
【相关命令】
· display local-user
user-group命令用来创建用户组,并进入用户组视图。如果指定的用户组已经存在,则直接进入用户组视图。
undo user-group命令用来删除指定的用户组。
【命令】
user-group group-name
undo user-group group-name
【缺省情况】
存在一个用户组,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理。
不允许使用undo user-group命令删除一个包含本地用户的用户组。
不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。
【举例】
# 创建名称为abc的用户组并进入其视图。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【相关命令】
· display user-group
validity-datetime命令用来配置网络接入类本地用户的有效期。
undo validity-datetime命令用来恢复缺省情况。
【命令】
(网络接入类本地用户视图)
validity-datetime { from start-date start-time to expiration-date expiration-time | from start-date start-time | to expiration-date expiration-time }
undo validity-datetime
【缺省情况】
未限制网络接入类本地用户的有效期,该用户始终有效。
【视图】
网络接入类本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
from:指定用户有效期的开始日期和时间。若不指定该参数,则表示仅限定用户有效期的结束日期和时间。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
to:指定用户有效期的结束日期和结束时间。若不指定该参数,则表示仅限定用户有效期的开始日期和时间。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
【使用指导】
网络接入类本地用户在有效期内才能认证成功。
若同时指定了有效期的开始时间和结束时间,则有效期的结束时间必须晚于起始时间。
如果仅指定了有效期的开始时间,则表示该时间到达后,用户一直有效。
如果仅指定了有效期的结束时间,则表示该时间到达前,用户一直有效。
【举例】
# 配置网络接入类本地用户123的有效期为2018/10/01 00:00:00到2019/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] validity-datetime from 2018/10/01 00:00:00 to 2019/10/02 12:00:00
【相关命令】
· display local-user
aaa device-id命令用来配置设备ID。
undo aaa device-id命令用来恢复缺省情况。
【命令】
aaa device-id device-id
undo aaa device-id
【缺省情况】
设备ID为0。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
device-id:设备ID,取值范围为1~255。
【使用指导】
RADIUS计费过程使用Acct-Session-Id属性作为用户的计费ID。设备会为每个在线用户生成一个唯一的Acct-Session-Id值。设备ID是Acct-Session-Id属性值中的一个组成字段。
修改后的设备ID仅对新上线用户生效。
【举例】
# 配置设备ID为1。
<Sysname> system-view
[Sysname] aaa device-id 1
accounting-on enable命令用来开启accounting-on功能。
undo accounting-on enable命令用来关闭accounting-on功能。
【命令】
accounting-on enable [ interval interval | send send-times ] *
undo accounting-on enable
【缺省情况】
accounting-on功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval interval:指定accounting-on报文重发时间间隔,取值范围为1~15,单位为秒,缺省值为3。
send send-times:指定accounting-on报文的最大发送次数,取值范围为1~255,缺省值为50。
【使用指导】
RADIUS方案视图下开启accounting-on功能后,设备会在重启之后自动监听到达该方案使用的所有RADIUS计费服务器的链路可达状态,并在对应的链路可达后向服务器发送accounting-on报文,要求RADIUS服务器停止计费且强制该设备的用户下线。
开启accounting-on功能后,请执行save命令保证accounting-on功能在整个设备下次重启后生效。关于命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。
本命令设置的accounting-on参数会立即生效。
【举例】
# 在RADIUS方案radius1中,开启accounting-on功能并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on enable interval 5 send 15
【相关命令】
· display radius scheme
accounting-on extended命令用来开启accounting-on扩展功能。
undo accounting-on extended命令用来关闭accounting-on扩展功能。
【命令】
accounting-on extended
undo accounting-on extended
【缺省情况】
accounting-on扩展功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
accounting-on扩展功能是为了适应分布式架构而对accounting-on功能的增强。只有在accounting-on功能开启的情况下,accounting-on扩展功能才能生效。
accounting-on扩展功能适用于IPoE用户,该类型的用户数据均保存在用户接入的单板上。开启accounting-on扩展功能后,当有用户发起接入认证的单板重启时(整机未重启),设备会向RADIUS服务器发送携带单板标识的accounting-on报文,用于通知RADIUS服务器对该单板的用户停止计费且强制用户下线。accounting-on报文的重发间隔时间以及最大发送次数由accounting-on enable命令指定。如果自上一次重启之后,单板上没有用户接入认证的记录,则该单板再次重启,并不会触发设备向RADIUS服务器发送携带单板标识的accounting-on报文。
开启accounting-on扩展功能后,请执行save命令保证accounting-on扩展功能在单板下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。
accounting-on扩展功能适用于IPoE用户,该类型的用户数据均保存在用户接入的成员设备上。开启accounting-on扩展功能后,当有用户发起接入认证的成员设备重启时,设备会向RADIUS服务器发送携带成员设备标识的accounting-on报文,用于通知RADIUS服务器对该成员设备的用户停止计费且强制用户下线。accounting-on报文的重发间隔时间以及最大发送次数由accounting-on enable命令指定。如果自上一次重启之后,成员设备上没有用户接入认证的记录,则该成员设备再次重启,并不会触发设备向RADIUS服务器发送携带成员设备标识的accounting-on报文。
开启accounting-on扩展功能后,请执行save命令保证accounting-on扩展功能在成员设备下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。
本功能与RADIUS协议采用WebSocket封装功能同时开启时,本功能不生效。
【举例】
# 在RADIUS方案radius1中,开启accounting-on扩展功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on extended
【相关命令】
· accounting-on enable
· display radius scheme
attribute 15 check-mode命令用来配置对RADIUS Attribute 15的检查方式。
undo attribute 15 check-mode命令用来恢复缺省情况。
【命令】
attribute 15 check-mode { loose | strict }
undo attribute 15 check-mode
【缺省情况】
对RADIUS Attribute 15的检查方式为strict方式。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
loose:松散检查方式,设备使用RADIUS Attribute 15的标准属性值对用户业务类型进行检查。 对于SSH、FTP、Terminal、HTTP、HTTPS用户,在RADIUS服务器下发的Login-Service属性值为0(表示用户业务类型为Telnet)时才,这类用户才能够通过认证。
strict:严格检查方式,设备使用RADIUS Attribute 15的标准属性值以及扩展属性值对用户业务类型进行检查。对于SSH、FTP、Terminal、HTTP、HTTPS用户,当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时,这类用户才能够通过认证。
【使用指导】
由于某些RADIUS服务器不支持自定义的属性,无法下发扩展的Login-Service属性,若要使用这类RADIUS服务器对SSH、FTP、Terminal、HTTP、HTTPS用户进行认证,建议设备上对RADIUS 15号属性值采用松散检查方式。
【举例】
# 在RADIUS方案radius1中,配置对RADIUS Attribute 15采用松散检查方式。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 15 check-mode loose
【相关命令】
· display radius scheme
attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。
undo attribute 25 car命令用来关闭RADIUS Attribute 25的CAR参数解析功能。
【命令】
attribute 25 car
undo attribute 25 car
【缺省情况】
RADIUS Attribute 25的CAR参数解析功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
RADIUS的25号属性为class属性,该属性由RADIUS服务器下发给设备。目前,某些RADIUS服务器利用class属性来对用户下发CAR参数,可以通过本特性来控制设备是否将RADIUS 25号属性解析为CAR参数,解析出的CAR参数可被用来进行基于用户的流量监管控制。
【举例】
# 在RADIUS方案radius1中,开启RADIUS Attribute 25的CAR参数解析功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 25 car
【相关命令】
· display radius scheme
attribute 31 mac-format命令用来配置RADIUS Attribute 31中的MAC地址格式。
undo attribute 31 mac-format命令用来恢复缺省情况。
【命令】
attribute 31 mac-format section { one | { six | three } separator separator-character } { lowercase | uppercase }
undo attribute 31 mac-format
【缺省情况】
RADIUS Attribute 31中的MAC地址为大写字母格式,且被分隔符“-”分成6段,即为HH-HH-HH-HH-HH-HH的格式。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
section:指定MAC地址分段数。
one:表示MAC地址被分为1段,格式为HHHHHHHHHHHH。
six:表示MAC地址被分为6段,格式为HH-HH-HH-HH-HH-HH。
three:表示MAC地址被分为3段,格式为HHHH-HHHH-HHHH。
separator separator-character:MAC地址的分隔符,为单个字符,区分大小写。
lowercase:表示MAC地址为小写字母格式。
uppercase:表示MAC地址为大写字母格式。
【使用指导】
不同的RADIUS服务器对填充在RADIUS Attribute 31中的MAC地址有不同的格式要求,为了保证RADIUS报文的正常交互,设备发送给服务器的RADIUS Attribute 31号属性中MAC地址的格式必须与服务器的要求保持一致。
【举例】
# 在RADIUS方案radius1中,配置RADIUS Attribute 31的MAC地址格式为hh:hh:hh:hh:hh:hh。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 31 mac-format section six separator : lowercase
【相关命令】
· display radius scheme
attribute 182 vendor-id 25506 vlan命令用来开启厂商私有182号属性解析为授权VLAN功能。
undo attribute 182 vendor-id 25506 vlan命令用来关闭厂商私有182号属性解析为授权VLAN功能。
【命令】
attribute 182 vendor-id 25506 vlan
undo attribute 182 vendor-id 25506 vlan
【缺省情况】
厂商私有182号属性解析为授权VLAN功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
RADIUS服务器可通过下发微分段来对接入用户进行精细化的访问控制。若接入设备上需要通过授权VLAN信息实现基于微分段的访问控制,那么就需要开启本功能;若接入设备上需要通过授权微分段ID实现基于微分段的访问控制,请保证本功能处于关闭状态。
开启本功能后,设备会将RADIUS服务器下发的Vendor ID为25506的厂商私有微分段ID属性(编号为182)解析为授权VLAN信息。当该属性值为整数时,将其解析为VLAN ID;其它取值时,将其解析为VLAN名称。
如果RADIUS服务器使用其它RADIUS属性来下发微分段,则需要首先通过RADIUS属性解释功能将其转换为Vendor ID为25506的厂商私有微分段ID属性(编号为182)。
【举例】
# 在RADIUS方案radius1中,开启厂商私有182号属性解析为授权VLAN的功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 182 vendor-id 25506 vlan
【相关命令】
· attribute translate
· display radius scheme
attribute convert命令用来配置RADIUS属性转换规则。
undo attribute convert命令用来删除RADIUS属性转换规则。
【命令】
attribute convert src-attr-name to dest-attr-name { { coa-ack | coa-request } * | { received | sent } * }
undo attribute convert [ src-attr-name ]
【缺省情况】
不存在RADIUS属性转换规则,系统按照标准RADIUS协议对RADIUS属性进行处理。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
src-attr-name:源属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
dest-attr-name:目的属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
coa-ack:COA应答报文。
coa-request:COA请求报文。
received:接收到的DAE报文。
sent:发送的DAE报文。
【使用指导】
RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理。
只有在RADIUS属性解释功能开启之后,RADIUS属性转换规则才能生效。
配置RADIUS属性转换规则时,需要遵循以下原则:
· 源属性内容和目的属性内容的数据类型必须相同。
· 源属性和目的属性的名称不能相同。
· 一个属性只能按照一种方式(按报文类型或报文处理方向)进行转换。
· 一个源属性不能同时转换为多个目的属性。
执行undo attribute convert命令时,如果不指定源属性名称,则表示删除所有RADIUS属性转换规则。
【举例】
# 在RADIUS DAE服务器视图下,配置一条RADIUS属性转换规则,指定将接收到的DAE报文中的Hw-Server-String属性转换为Connect-Info属性。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] attribute convert Hw-Server-String to Connect-Info received
【相关命令】
· attribute translate
attribute convert命令用来配置RADIUS属性转换规则。
undo attribute convert命令用来删除RADIUS属性转换规则。
【命令】
attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute convert [ src-attr-name ]
【缺省情况】
不存在RADIUS属性转换规则,系统按照标准RADIUS协议对RADIUS属性进行处理。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
src-attr-name:源属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
dest-attr-name:目的属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
access-accept:RADIUS认证成功报文。
access-request:RADIUS认证请求报文。
accounting:RADIUS计费报文。
received:接收到的RADIUS报文。
sent:发送的RADIUS报文。
【使用指导】
RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理。
只有在RADIUS属性解释功能开启之后,RADIUS属性转换规则才能生效。
配置RADIUS属性转换规则时,需要遵循以下原则:
· 源属性内容和目的属性内容的数据类型必须相同。
· 源属性和目的属性的名称不能相同。
· 一个属性只能按照一种方式(按报文类型或报文处理方向)进行转换。
· 一个源属性不能同时转换为多个目的属性。
执行undo attribute convert命令时,如果不指定源属性名称,则表示删除所有RADIUS属性转换规则。
【举例】
# 在RADIUS方案radius1中,配置一条RADIUS属性转换规则,指定将接收到的RADIUS报文中的Hw-Server-String属性转换为Connect-Info属性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute convert Hw-Server-String to Connect-Info received
【相关命令】
· attribute translate
attribute reject命令用来配置RADIUS属性禁用。
undo attribute reject命令用来取消配置的RADIUS属性禁用。
【命令】
attribute reject attr-name { { coa-ack | coa-request } * | { received | sent } * }
undo attribute reject [ attr-name ]
【缺省情况】
不存在RADIUS属性禁用规则。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
attr-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
coa-ack:COA应答报文。
coa-request:COA请求报文。
received:接收到的DAE报文。
sent:发送的DAE报文。
【使用指导】
当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时,可以定义基于发送方向的属性禁用规则,使得设备发送RADIUS报文时,将该属性从报文中删除。
当RADIUS服务器发送给设备的某些属性是设备不希望收到的属性时,可以定义基于接收方向的属性禁用规则,使得设备接收RADIUS报文时,不处理报文中的该属性。
当某些类型的属性是设备不希望处理的属性时,可以定义基于类型的属性禁用规则。
只有在RADIUS属性解释功能开启之后,RADIUS属性禁用规则才能生效。
一个属性只能按照一种方式(按报文类型或报文处理方向)进行禁用。
执行undo attribute reject命令时,如果不指定属性名称,则表示删除所有RADIUS属性禁用规则。
【举例】
# 在RADIUS DAE服务器视图下,配置一条RADIUS属性禁用规则,指定禁用发送的DAE报文中的Connect-Info属性。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] attribute reject Connect-Info sent
【相关命令】
· attribute translate
attribute reject命令用来配置RADIUS属性禁用规则。
undo attribute reject命令用来删除RADIUS属性禁用规则。
【命令】
attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute reject [ attr-name ]
【缺省情况】
不存在RADIUS属性禁用规则。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
attr-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
access-accept:RADIUS认证成功报文。
access-request:RADIUS认证请求报文。
accounting:RADIUS计费报文。
received:接收到的RADIUS报文。
sent:发送的RADIUS报文。
【使用指导】
当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时,可以定义基于发送方向的属性禁用规则,使得设备发送RADIUS报文时,将该属性从报文中删除。
当RADIUS服务器发送给设备的某些属性是不希望收到的属性时,可以定义基于接收方向的属性禁用规则,使得设备接收RADIUS报文时,不处理报文中的该属性。
当某些类型的属性是设备不希望处理的属性时,可以定义基于类型的属性禁用规则。
只有在RADIUS属性解释功能开启之后,RADIUS属性禁用规则才能生效。
一个属性只能按照一种方式(按报文类型或报文处理方向)进行禁用。
执行undo attribute reject命令时,如果不指定属性名称,则表示删除所有RADIUS属性禁用规则。
【举例】
# 在RADIUS方案radius1中,配置一条RADIUS属性禁用规则,指定禁用发送的RADIUS报文中的Connect-Info属性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute reject Connect-Info sent
【相关命令】
· attribute translate
attribute remanent-volume命令用来配置RADIUS Remanent-Volume属性的流量单位。
undo attribute remanent-volume命令用来恢复缺省情况。
【命令】
attribute remanent-volume unit { byte | giga-byte | kilo-byte | mega-byte }
undo attribute remanent-volume unit
【缺省情况】
Remanent-Volume属性的流量单位是千字节。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
byte:表示流量单位为字节。
giga-byte:表示流量单位为千兆字节。
kilo-byte:表示流量单位为千字节。
mega-byte:表示流量单位为兆字节。
【使用指导】
Remanent-Volume属性为H3C自定义RADIUS属性,携带在RADIUS服务器发送给接入设备的认证响应或实时计费响应报文中,用于向接入设备通知在线用户的剩余流量值。设备管理员通过本命令设置的流量单位应与RADIUS服务器上统计用户流量的单位保持一致,否则设备无法正确使用Remanent-Volume属性值对用户进行计费。
【举例】
# 在RADIUS方案radius1中,设置RADIUS服务器下发的Remanent-Volume属性的流量单位为千字节。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute remanent-volume unit kilo-byte
【相关命令】
· display radius scheme
attribute translate命令用来开启RADIUS属性解释功能。
undo attribute translate命令用来关闭RADIUS属性解释功能。
【命令】
attribute translate
undo attribute translate
【缺省情况】
RADIUS属性解释功能处于关闭状态。
【视图】
RADIUS方案视图/RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
不同厂商的RADIUS服务器所支持的RADIUS属性集有所不同,而且相同属性的用途也可能不同。为了兼容不同厂商的服务器的RADIUS属性,需要开启RADIUS属性解释功能,并定义相应的RADIUS属性转换规则和RADIUS属性禁用规则。
【举例】
# 在RADIUS方案radius1中,开启RADIUS属性解释功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute translate
【相关命令】
· attribute convert
· attribute reject
attribute vendor-id 2011 version命令用来配置Vendor ID为2011的RADIUS服务器版本号。
undo attribute vendor-id 2011 version命令用来恢复缺省情况。
【命令】
attribute vendor-id 2011 version { 1.0 | 1.1 }
undo attribute vendor-id 2011 version
【缺省情况】
设备采用版本1.0与Vendor ID为2011的RADIUS服务器交互。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
1.0:版本1.0。
1.1:版本1.1。
【使用指导】
当设备与Vendor ID为2011的RADIUS服务器交互时,需要保证本命令设置的服务器版本号与对端服务器的实际版本号一致,否则会导致部分RADIUS属性解析错误。该厂商相关RADIUS属性在设备上的解析情况如下:
· 当RADIUS服务器下发属性HW_ARRT_26_1时,如果设备采用1.0版本,则将该属性解析为用户的上行峰值速率;如果设备采用1.1版本,则将其解析为上行突发尺寸。
· 当RADIUS服务器下发属性HW_ARRT_26_2时,无论设备采用1.0版本或1.1版本,均将该属性解析为用户的上行平均速率。
· 当RADIUS服务器下发属性HW_ARRT_26_3时,如果设备采用1.0版本,则不处理该属性;如果设备采用1.1版本,则将其解析为上行峰值速率。
· 当RADIUS服务器下发属性HW_ARRT_26_4时,如果设备采用1.0版本,则将该属性解析为用户的下行峰值速率;如果设备采用1.1版本,则将其解析为下行突发尺寸。
· 当RADIUS服务器下发属性HW_ARRT_26_5时,无论设备采用1.0版本或1.1版本,均将该属性解析为用户的下行平均速率。
· 当RADIUS服务器下发属性HW_ARRT_26_6时,如果设备采用1.0版本,则不处理该属性;如果设备采用1.1版本,则将其解析为下行峰值速率。
【举例】
# 在RADIUS方案radius1中,配置Vendor ID为2011的RADIUS服务器版本号为1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute vendor-id 2011 version 1.1
【相关命令】
· display radius scheme
client命令用来指定RADIUS DAE客户端。
undo client命令用来删除指定的RADIUS DAE客户端。
【命令】
client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vendor-id 2011 version { 1.0 | 1.1 } | vpn-instance vpn-instance-name ] *
undo client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未指定RADIUS DAE客户端。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip ipv4-address:RADIUS DAE客户端IPv4地址。
ipv6 ipv6-address:RADIUS DAE客户端IPv6地址。
key:与RADIUS DAE客户端交互DAE报文时使用的共享密钥。此共享密钥的设置必须与RADIUS DAE客户端的共享密钥设置保持一致。如果此处未指定本参数,则对应的RADIUS DAE客户端上也必须未指定。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
vendor-id 2011:表示RADIUS DAE客户端的Vendor-ID为2011。
version:版本号。
1.0:版本1.0。
1.1:版本1.1。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:RADIUS DAE客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示RADIUS DAE客户端位于公网中。
【使用指导】
开启RADIUS DAE服务之后,设备会监听并处理指定的RADIUS DAE客户端发起的DAE请求消息(用于动态授权修改或断开连接),并向其发送应答消息。对于非指定的RADIUS DAE客户端的DAE报文进行丢弃处理。
可通过多次执行本命令指定多个RADIUS DAE客户端。
缺省情况下,设备支持与版本1.0的Vendor-ID为2011的RADIUS DAE客户端通信,若对端为1.1版本,则需要通过指定vendor-id 2011 version 1.1参数来保证版本的一致性,否则无法正确解析部分DAE请求。
【举例】
# 设置RADIUS DAE客户端的IP地址为10.110.1.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] client ip 10.110.1.2 key simple 123456
【相关命令】
· radius dynamic-author server
· port
data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情况】
数据流的单位为字节,数据包的单位为包。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【使用指导】
设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADIUS服务器上的流量统计单位保持一致,否则无法正确计费。
【举例】
# 在RADIUS方案radius1中,设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【相关命令】
· display radius scheme
display radius scheme命令用来显示RADIUS方案的配置信息。
【命令】
display radius scheme [ radius-scheme-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则表示所有RADIUS方案。
【使用指导】
显示指定RADIUS方案或者显示所有的RADIUS方案时,会同时显示每一个RADIUS服务器当前Active状态的持续时间以及最近5次状态变化信息。
【举例】
# 显示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: radius1
Index : 0
Primary authentication server:
IP : 2.2.2.2 Port: 2083
VPN : vpn1
SSL client policy : policy1
State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)
Most recent state changes:
2021/08/15 20:38:45 Changed to active state
2021/08/15 20:33:45 Changed to blocked state
2021/08/15 20:31:19 Changed to active state
2021/08/15 20:26:19 Changed to blocked state
2021/08/15 20:26:00 Changed to active state
Test profile: 132
Probe username: test
Probe interval: 60 minutes
Probe count : 5
Weight: 40
Primary accounting server:
IP : 1.1.1.1 Port: 2083
VPN : Not configured
SSL client policy : policy1
State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)
Most recent state changes:
2023/08/15 20:38:45 Changed to active state
2023/08/15 20:33:45 Changed to blocked state
2023/08/15 20:31:19 Changed to active state
2023/08/15 20:26:19 Changed to blocked state
2021/08/15 20:26:00 Changed to active state
Weight: 40
Second authentication server:
IP : 3.3.3.3 Port: 1812
VPN : Not configured
SSL client policy : Not configured
State: Blocked
Most recent state changes:
2023/08/15 20:33:45 Changed to blocked state
2023/08/15 20:31:19 Changed to active state
2023/08/15 20:26:19 Changed to blocked state
2023/08/15 20:26:00 Changed to active state
Test profile: Not configured
Weight: 40
Second accounting server:
IP : 3.3.3.3 Port: 1813
VPN : Not configured
SSL client policy : Not configured
State: Blocked (mandatory)
Most recent state changes:
2023/08/15 20:33:45 Changed to blocked state
2023/08/15 20:31:19 Changed to active state
2023/08/15 20:26:19 Changed to blocked state
2023/08/15 20:26:00 Changed to active state
Weight: 40
RADIUS-over-WebSocket : Enabled
Accounting-On function : Enabled
extended function : Disabled
retransmission times : 5
retransmission interval(seconds) : 2
Timeout Interval(seconds) : 3
TLS idle timeout(seconds) : 60
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(seconds) : 22
NAS IP Address : 1.1.1.1
VPN : Not configured
User Name Format : with-domain
Data flow unit : Megabyte
Packet unit : One
Attribute 15 check-mode : Strict
Attribute 25 : CAR
Attribute Remanent-Volume unit : Mega
RADIUS server version (vendor ID 2011) : 1.0
Server-load-sharing : Enabled
Attribute 30 format : hh:hh:hh:hh:hh:hh:SSID
Attribute 31 MAC format : hh:hh:hh:hh:hh:hh
Attribute 17 carry old password : Disabled
Attribute 182 vendor-ID 25506 VLAN : Enabled
H3c-DHCP-Option attribute format : Format 2 (2-byte Type field)
Username authorization : Applied
------------------------------------------------------------------
表1-5 display radius scheme命令显示信息描述表
|
字段 |
描述 |
|
Total 1 RADIUS schemes. |
共计1个RADIUS方案 |
|
RADIUS scheme name |
RADIUS方案的名称 |
|
Index |
RADIUS方案的索引号 |
|
Primary authentication server |
主RADIUS认证服务器 |
|
Primary accounting server |
主RADIUS计费服务器 |
|
Second authentication server |
从RADIUS认证服务器 |
|
Second accounting server |
从RADIUS计费服务器 |
|
IP |
RADIUS认证/计费服务器IP地址 未配置时,显示为Not configured |
|
SSL client policy |
TLS连接使用的SSL客户端策略名 |
|
Port |
RADIUS认证/计费服务器接入端口号 未配置时,显示缺省值 |
|
State |
RADIUS认证/计费服务器目前状态 · Active:激活状态 · Blocked:自动转换的静默状态 · Blocked (mandatory):手工配置的静默状态 若状态为Active,则同时显示该状态的持续时间 |
|
duration |
RADIUS服务器当前Active状态的持续时间 |
|
Most recent blocked period |
RADIUS服务器最后一次转换为Block状态的开始时间及结束时间。若最终状态为Block状态,则结束时间用“now”表示 |
|
Most recent state changes |
RADIUS服务器最近5次的状态变化信息 |
|
VPN |
RADIUS认证/计费服务器或RADIUS方案所在的VPN 未配置时,显示为Not configured |
|
Test profile |
探测服务器状态使用的模板名称 |
|
Probe username |
探测服务器状态使用的用户名 |
|
Probe interval |
探测服务器状态的周期(单位为分钟) |
|
Probe count |
每一轮可达性判断所需的连续探测次数 |
|
Weight |
RADIUS服务器权重值 |
|
RADIUS-over-WebSocket |
RADIUS协议采用WebSocket封装功能的开启状态 · Enabled:开启 · Disabled:未开启 |
|
Accounting-On function |
accounting-on功能的开启情况 |
|
extended function |
accounting-on扩展功能的开启情况 |
|
retransmission times |
accounting-on报文的发送尝试次数 |
|
retransmission interval(seconds) |
accounting-on报文的重发间隔(单位为秒) |
|
Timeout Interval(seconds) |
RADIUS服务器超时时间(单位为秒) |
|
TLS idle timeout(seconds) |
TLS连接的闲置超时时间(单位为秒) |
|
Retransmission Times |
发送RADIUS报文的最大尝试次数 |
|
Retransmission Times for Accounting Update |
实时计费更新报文的最大尝试次数 |
|
Server Quiet Period(minutes) |
RADIUS服务器恢复激活状态的时间(单位为分钟) |
|
Realtime Accounting Interval(seconds) |
实时计费更新报文的发送间隔(单位为秒) |
|
NAS IP Address |
发送RADIUS报文的源IP地址 未配置时,显示为Not configured |
|
User Name Format |
发送给RADIUS服务器的用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
|
Data flow unit |
数据流的单位 |
|
Packet unit |
数据包的单位 |
|
Attribute 15 check-mode |
对RADIUS Attribute 15的检查方式,包括以下两种取值: · Strict:表示使用RADIUS标准属性值和私有扩展的属性值进行检查 · Loose:表示使用RADIUS标准属性值进行检查 |
|
Attribute 25 |
对RADIUS Attribute 25的处理,包括以下两种取值: · Standard:表示不对RADIUS Attribute 25进行解析 · CAR:表示将RADIUS 25号属性解析为CAR参数 |
|
Attribute Remanent-Volume unit |
RADIUS Remanent-Volume属性的流量单位 |
|
RADIUS server version (vendor ID 2011) |
Vendor ID为2011的RADIUS服务器版本号,包括1.0和1.1两种取值 |
|
Server-load-sharing |
RADIUS服务器负载分担模式使能状态 · Enabled:使能 · Disabled:未使能 |
|
Attribute 31 MAC format |
RADIUS Attribute 31中携带的MAC地址格式 |
|
Attribute 17 carry old password |
对 RADIUS Attribute 17 的处理,包括以下两种取值: · Enabled:表示开启了在线用户修改密码功能,使用RADIUS 17号属性携带旧密码 · Disabled:表示不支持在线修改用户密码功能 |
|
Attribute 182 vendor-ID 25506 VLAN |
Vendor ID为25506的厂商私有182号属性解释为授权VLAN功能的开启情况 |
|
H3c-DHCP-Option attribute format |
RADIUS报文中封装属性H3c-DHCP-Option时所采用的封装格式: · Format 1 (1-byte Type field):封装该属性时,属性的Type字段长度为1字节。该方式封装的属性适用于与大多数的RADIUS服务器互通 · Format 2 (2-byte Type field):封装该属性时,属性的Type字段长度为2字节。该方式封装的属性适用于与特殊RADIUS服务器互通,例如HUAWEI的RADIUS服务器 如果RADIUS报文中未携带属性H3c-DHCP-Option,则不显示该信息 |
|
Username authorization |
RADIUS服务器下发的用户名处理 · Applied:表示接受RADIUS服务器下发的用户名 · Not applied:表示不接受RADIUS服务器下发的用户名 |
|
Parsing rules for attribute 18 |
RADIUS 18号属性的解析规则 |
|
If match |
匹配表达式,为双引号内的字符串 |
|
Action |
当该属性携带的信息包含匹配表达式时,表示的动作含义: · New password:表示要求用户输入新密码 · Next token:表示采用双因子认证机制,且需要用户提交下一个身份认证因素进行二次验证 |
display radius server-load statistics命令用来显示RADIUS服务器的负载统计信息。
【命令】
display radius server-load statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
本命令用来显示上一个5秒统计周期内设备发往RADIUS认证/计费服务器的认证/计费请求统计信息和自从设备启动后记录的历史认证/计费请求统计信息,具体统计过程如下:
· 系统从第一个用户认证请求开始,每隔5秒钟统计一次RADIUS认证/计费请求数目,并在下一个5秒内提供该统计值供查看。
· 只要设备发起一次用户认证请求或用户计费开始请求,对应服务器的历史负载统计数值随之加1,但后续不会因为用户下线、服务器响应或超时而减小该值。
前5秒的统计信息提供了RADIUS认证/计费服务器最近5秒的负载分担效果,管理员可以根据此统计信息调控RADIUS服务器的配置参数,比如配置顺序、权重参数等。当没有用户触发认证/计费时,前5秒的统计数据就不能给管理员提供有效的负载分担信息了,此时管理员可以参考历史负载统计信息对RADIUS认证/计费服务器的配置做调整。
需要注意的是:
· 所有RADIUS方案中指定了IP地址的服务器,都可以通过本命令查看到它的负载统计数据。
· 若RADIUS认证/计费服务器的配置被删除,或主认证/计费服务器的VPN、IP和端口参数发生变化,则该服务器的前5秒的统计数据及历史负载统计数据将会被删除。如果从认证/计费服务器的VPN、IP和端口参数发生变化,则会新增一条与之对应的统计数据。
· 主备倒换后,历史统计数据不会被删除,但会不准确。
【举例】
# 显示RADIUS服务器的负载统计信息。
<Sysname> display radius server-load statistics
Authentication servers: 2
IP VPN Port Last 5 sec History
1.1.1.1 N/A 1812 20 100
2.2.2.2 ABC 1812 0 20
Accounting servers: 2
IP VPN Port Last 5 sec History
1.1.1.1 N/A 1813 20 100
2.2.2.2 ABC 1813 0 20
表1-6 display radius server-load statistics命令显示信息描述表
|
字段 |
描述 |
|
Authentication servers |
RADIUS认证服务器总个数 |
|
Accounting servers |
RADIUS计费服务器总个数 |
|
IP |
RADIUS认证/计费服务器的IP地址 |
|
VPN |
RADIUS认证/计费服务器所在的VPN 若未配置该参数,则显示N/A |
|
Port |
RADIUS认证/计费服务器的UDP端口号 |
|
Last 5 sec |
上一个5秒统计周期内发往RADIUS认证/计费服务器的请求数 |
|
History |
RADIUS认证/计费服务器的历史负载统计值 |
【相关命令】
· reset radius server-load statistics
display radius statistics命令用来显示RADIUS报文的统计信息。
【命令】
display radius statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示RADIUS报文的统计信息。
<Sysname> display radius statistics
Auth. Acct. SessCtrl.
Request Packet: 0 0 0
Retry Packet: 0 0 -
Timeout Packet: 0 0 -
Access Challenge: 0 - -
Account Start: - 0 -
Account Update: - 0 -
Account Stop: - 0 -
Terminate Request: - - 0
Set Policy: - - 0
Packet With Response: 0 0 0
Packet Without Response: 0 0 -
Access Rejects: 0 - -
Dropped Packet: 0 0 0
Check Failures: 0 0 0
TCP Connections: 2 2 0
TCP Connect Failures: 1 0 0
SSL Connections: 1 2 0
SSL Connect Failures: 1 0 0
表1-7 display radius statistics命令显示信息描述表
|
字段 |
描述 |
|
Auth. |
认证报文 |
|
Acct. |
计费报文 |
|
SessCtrl. |
Session-control报文 |
|
Request Packet |
发送的请求报文总数 |
|
Retry Packet |
重传的请求报文总数 |
|
Timeout Packet |
超时的请求报文总数 |
|
Access Challenge |
Access challenge报文数 |
|
Account Start |
计费开始报文的数目 |
|
Account Update |
计费更新报文的数目 |
|
Account Stop |
计费结束报文的数目 |
|
Terminate Request |
服务器强制下线报文的数目 |
|
Set Policy |
更新用户授权信息报文的数目 |
|
Packet With Response |
有回应信息的报文数 |
|
Packet Without Response |
无回应信息的报文数 |
|
Access Rejects |
认证拒绝报文的数目 |
|
Dropped Packet |
丢弃的报文数 |
|
Check Failures |
报文校验错误的报文数目 |
|
TCP Connections |
TCP连接建立次数,认证和计费共用连接,使用创建连接时的服务器类型来归属认证和计费。 |
|
TCP Connect Failures |
TCP连接建立失败次数,认证和计费共用连接,使用创建连接时的服务器类型来归属认证和计费。 |
|
SSL Connection |
SSL连接建立次数,认证和计费共用连接,使用创建连接时的服务器类型来归属认证和计费。 |
|
SSL Connect Failures |
SSL连接建立失败次数,认证和计费共用连接,使用创建连接时的服务器类型来归属认证和计费。 |
【相关命令】
· reset radius statistics
exclude命令用来配置RADIUS报文中不能携带的属性。
undo exclude命令用来取消在RADIUS报文中不能携带的属性配置。
【命令】
exclude { accounting | authentication } name attribute-name
undo exclude { accounting | authentication } name attribute-name
【缺省情况】
未配置RADIUS报文中不能携带的属性。
【视图】
RADIUS属性测试组视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:表示RADIUS计费请求报文。
authentication:表示RADIUS认证请求报文。
name attribute-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。这些属性为RADIUS报文中缺省携带的属性,具体包括:Service-Type、Framed-Protocol、NAS-Identifier、Acct-Delay-Time、Acct-Session-Id、Acct-Terminate-Cause和NAS-Port-Type,其中Service-Type、Framed-Protocol、NAS-Identifier,Acct-Session-Id和NAS-Port-Type为认证请求报文缺省携带的属性,NAS-Identifier、Acct-Delay-Time、Acct-Session-Id和Acct-Terminate-Cause为计费请求报文缺省携带的属性。
【使用指导】
通过本命令配置的RADIUS属性将不会在属性测试过程中被携带在相应的RADIUS请求报文中发送给RADIUS服务器。在实际测试过程中,可通过本命令排除掉RADIUS报文中携带的一些基础属性,来辅助排查认证/计费故障。
如果一个属性已经被配置为需要携带在RADIUS报文中(通过include命令),则需要先执行undo include命令取消该配置,才能将其配置为不携带在RADIUS报文中。
【举例】
# 在RADIUS属性测试组t1中,配置在RADIUS认证请求报文中不携带属性名称为Service-Type的标准属性。
<Sysname> system-view
[Sysname] radius attribute-test-group t1
[Sysname-radius-attr-test-grp-t1] exclude authentication name Service-Type
【相关命令】
· include
· test-aaa
include命令用来配置RADIUS报文中携带的属性。
undo include命令用来取消指定的属性配置。
【命令】
include { accounting | authentication } { name attribute-name | [ vendor vendor-id ] code attribute-code } type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string } value attribute-value
undo include { accounting | authentication} { name attribute-name | [ vendor vendor-id ] code attribute-code }
【缺省情况】
未配置RADIUS报文中携带的属性。
【视图】
RADIUS属性测试组视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:表示RADIUS计费请求报文。
authentication:表示RADIUS认证请求报文。
name attribute-name:标准RADIUS属性名称,为1~63个字符的字符串,不区分大小写。
vendor vendor-id:RADIUS属性所属的设备厂商标识。vendor-id为厂商标识号码,取值范围为1~65535。如果不指定该参数,则表示RADIUS属性为标准属性。其中,2011表示HUAWEI,25506表示H3C,9表示Cisco,311表示Microsoft,43表示3COM,3561表示DSL论坛,20942表示中国电信,40808表示WFA无线,2636表示Juniper,28357表示CMCC。
code attribute-code:RADIUS属性编号,取值范围为1~255。
type:属性内容的数据类型,包括以下取值:
· binary:二进制类型。
· date:时间类型。
· integer:整数类型。
· interface-id:接口ID类型。
· ip:IPv4地址类型。
· ipv6:IPv6地址类型。
· ipv6-prefix:IPv6地址前缀类型。
· octets:八进制类型。
· string:字符串类型。
value attribute-value:RADIUS属性值,取值与数据类型有关,具体如下:
· 二进制属性值:1~256个十六进制字符,表示最多128个字节的二进制数。
· 时间类型属性值:0~4294967295。
· 整数类型属性值:0~4294967295。
· 接口ID类型属性值:1~ffffffffffffffff。
· IPv6地址前缀类型属性值:prefix/prefix-length样式。
· 八进制属性值:1~256个十六进制字符,表示最多128个字节的八进制数。
· 字符串类型属性值:1~253个字符。
【使用指导】
可以通过本命令配置RADIUS报文中携带的属性以及对应的属性值,具体情况如下:
· 对于RADIUS报文中默认携带的属性,可通过include命令来修改属性取值,并可通过undo include命令将该属性值恢复为缺省值。RADIUS报文中默认携带的能够修改的属性包括:
¡ 认证请求报文默认携带的属性:User-Name、CHAP-Password(User-Password)、CHAP-Challenge、NAS-IP-Address(NAS-IPv6-Address)、Service-Type、Framed-Protocol、NAS-Identifier、NAS-Port-Type、Acct-Session-Id。
¡ 计费请求报文默认携带的属性:User-Name、Acct-Status-Type、NAS-IP-Address(NAS-IPv6-Address)、NAS-Identifier、Acct-Session-Id、Acct-Delay-Time、Acct-Terminate-Cause。
· 对于并非RADIUS报文中默认携带的属性,可通过include命令将其添加在RADIUS报文中,并可通过undo include命令将该属性从RADIUS报文中删除。
为了保证测试效果的准确性,请务必保证各属性参数的匹配性,比如属性值要匹配属性类型。
保存在配置文件中的标准属性的属性名称将被转换为属性编号的形式。
如果一个属性已经被配置为不能携带在RADIUS报文中(通过exclude命令),则需要先执行undo exclude命令取消该配置,才能将其配置为携带在RADIUS报文中。
设备按照配置的先后顺序在RADIUS报文中添加RADIUS属性,由于RADIUS报文最大长度为4096个字节,如果配置了过多的RADIUS属性,则在报文长度超过最大值后,部分属性将不会被添加在报文中。因此,请合理规划要添加的RADIUS报文属性数目。
【举例】
# 在RADIUS属性测试组t1中,配置在RADIUS认证请求报文中携带一个标准属性:名称为Calling-Station-Id,属性值为08-00-27-00-34-D8。
<Sysname> system-view
[Sysname] radius attribute-test-group t1
[Sysname-radius-attr-test-grp-t1] include authentication name Calling-Station-Id type string value 08-00-27-00-34-d8
【相关命令】
· exclude
· test-aaa
include-attribute h3c-dhcp-option命令用来配置在RADIUS报文中携带私有属性H3c-DHCP-Option。
undo include-attribute h3c-dhcp-option命令用来恢复缺省情况。
【命令】
include-attribute h3c-dhcp-option format { format1 | format2 }
undo include-attribute h3c-dhcp-option
【缺省情况】
RADIUS报文中携带以format1的格式封装的私有属性H3c-DHCP-Option。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
format:指定属性的封装格式。
· format1:属性的Type字段长度为1字节。该格式封装的属性适用于与大多数的RADIUS服务器互通。
· format2:属性的Type字段长度为2字节。该格式封装的属性适用于与特殊RADIUS服务器互通,例如HUAWEI的RADIUS服务器。
【使用指导】
设备厂商可以通过对RADIUS协议中的26号属性进行扩展,以实现标准RADIUS未定义的功能。H3C定义了私有属性H3c-DHCP-Option,用来携带客户端的DHCP Option信息。设备通过在RADIUS认证请求报文、计费开始请求报文或计费更新请求报文中携带该属性,将客户端的DHCP Option信息发送给RADIUS服务器。
是否需要设备在RADIUS报文中携带H3c-DHCP-Option属性,以及采用哪种封装格式,请以RADIUS服务器的要求为准。
【举例】
# 在RADIUS方案rad中,配置在RADIUS报文中携带私有属性H3c-DHCP-Option,且属性的封装格式为format2。
<Sysname> system-view
[Sysname] radius scheme rad
[Sysname-radius-rad] include-attribute h3c-dhcp-option format format2
【相关命令】
· display radius scheme
key命令用来配置RADIUS报文的共享密钥。
undo key命令用来删除RADIUS报文的共享密钥。
【命令】
key { accounting | authentication } { cipher | simple } string
undo key { accounting | authentication }
【缺省情况】
未配置RADIUS报文的共享密钥。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:指定RADIUS计费报文的共享密钥。
authentication:指定RADIUS认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。
必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
【举例】
# 在RADIUS方案radius1中,配置计费报文的共享密钥为明文ok。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting simple ok
【相关命令】
· display radius scheme
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。
undo nas-ip命令用来删除指定类型的发送RADIUS报文使用的源IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
【缺省情况】
未指定设备发送RADIUS报文使用的源IP地址,使用系统视图下由命令radius nas-ip指定的源IP地址。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。
RADIUS方案视图和系统视图下均可以配置发送RADIUS报文使用的源IP地址,具体生效情况如下:
· RADIUS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过radius nas-ip命令)对所有RADIUS方案有效。
· RADIUS方案视图下的设置具有更高的优先级。
一个RADIUS方案视图下,最多允许指定一个IPv4源地址和一个IPv6源地址。
如果undo nas-ip命令中不指定任何参数,则表示删除配置的发送RADIUS报文使用的源IPv4地址。
【举例】
# 在RADIUS方案radius1中,设置设备发送RADIUS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 10.1.1.1
【相关命令】
· display radius scheme
· radius nas-ip
port命令用来指定RADIUS DAE服务端口。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
RADIUS DAE服务端口为3799。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
port-number:DAE服务器接收DAE请求消息的UDP端口,取值范围为1~65535。
【使用指导】
必须保证设备上的RADIUS DAE服务端口与RADIUS DAE客户端发送DAE报文的目的UDP端口一致。
【举例】
# 开启RADIUS DAE服务后,指定DAE服务端口为3790。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] port 3790
【相关命令】
· client
· radius dynamic-author server
primary accounting命令用来配置主RADIUS计费服务器。
undo primary accounting命令用来恢复缺省情况。
【命令】
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | ssl-client-policy policy-name | vpn-instance vpn-instance-name | weight weight-value ] *
undo primary accounting
【缺省情况】
未配置主RADIUS计费服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。
port-number:主RADIUS计费服务器的端口号,取值范围为1~65535。使用UDP方式通信时,缺省端口号为1813;使用TLS方式通信时,缺省端口号为2083。
key:与主RADIUS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:主RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主RADIUS计费服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的计费请求报文越多。
ssl-client-policy policy-name:主计费服务器使用的SSL客户端策略,为1~255个字符的字符串,不区分大小写。配置此策略时,表示使用RADIUS over TLS方式与服务器通信;未配置此策略时,表示使用RADIUS over UDP方式与服务器通信。
【使用指导】
配置的主计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同。
设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用key accounting命令设置的共享密钥。如果key accounting命令也未设置且RADIUS服务器类型为RADIUS over TLS服务器,则使用缺省的共享密钥radsec。
当RADIUS服务器负载分担功能处于关闭状态时,如果在计费开始请求报文发送过程中修改或删除了正在使用的主计费服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;当RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信。
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地,这将造成对用户计费的不准确。
本功能与RADIUS协议采用WebSocket封装功能互斥。
配置相同IP地址、端口号、VPN的计费服务器时,只能配置RADIUS over UDP或RADIUS over TLS中的一种通信方式。如果配置了RADIUS over TLS通信方式,则各RADIUS方案下的SSL客户端策略名称必须相同。如果配置了RADIUS over UDP通信方式,则各RADIUS方案下都不能配置SSL客户端策略。
【举例】
# 在RADIUS方案radius1中,配置主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!
# 在RADIUS方案radius1中,配置主计费服务器的IP地址为10.110.1.2,SSL客户端策略为policy1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.1 ssl-client-policy policy1
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· secondary accounting (RADIUS scheme view)
primary authentication命令用来配置主RADIUS认证服务器。
undo primary authentication命令用来恢复缺省情况。
【命令】
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | ssl-client-policy policy-name | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *
undo primary authentication
【缺省情况】
未配置RADIUS主认证服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS认证服务器的IPv6地址。
port-number:主RADIUS认证服务器的端口号,取值范围为1~65535。此端口号必须与服务器提供认证服务的端口号保持一致。使用UDP方式通信时,缺省端口号为1812;使用TLS方式通信时,缺省端口号为2083。
key:与主RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
test-profile profile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:主RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主RADIUS认证服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多。
ssl-client-policy policy-name:主认证服务器使用的SSL客户端策略,为1~255个字符的字符串,不区分大小写。配置此策略时,表示使用RADIUS over TLS方式与服务器通信;未配置此策略时,表示使用RADIUS over UDP方式与服务器通信。
【使用指导】
配置的主认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同。
设备与主认证服务器通信时优先使用本命令设置的共享密钥,如果本命令中未设置,则使用key authenticaiton命令设置的共享密钥。如果key authenticaiton命令也未设置且RADIUS服务器类型为RADIUS over TLS服务器,则使用缺省的共享密钥radsec。
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能。
当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中修改或删除了正在使用的主认证服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。当RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信。
本功能与RADIUS协议采用WebSocket封装功能互斥。
配置相同IP地址、端口号、VPN的认证服务器时,只能配置RADIUS over UDP或RADIUS over TLS中的一种通信方式。如果配置了RADIUS over TLS通信方式,则各RADIUS方案下的SSL客户端策略名称必须相同。如果配置了RADIUS over UDP通信方式,则各RADIUS方案下都不能配置SSL客户端策略。
【举例】
# 在RADIUS方案radius1中,配置主认证服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!
# 在RADIUS方案radius1中,配置主认证服务器的IP地址为10.110.1.1,SSL客户端策略为policy1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 ssl-client-policy policy1
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· radius-server test-profile
· secondary authentication (RADIUS scheme view)
· vpn-instance (RADIUS scheme view)
radius attribute extended命令用来定义RADIUS扩展属性。
undo radius attribute extended命令用来删除定义的RADIUS扩展属性。
【命令】
radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }
undo radius attribute extended [ attribute-name ]
【缺省情况】
不存在自定义RADIUS扩展属性。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
attribute-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。该名称不能与系统已支持的(包括标准的以及自定义的)RADIUS属性名称相同。
vendor vendor-id:RADIUS属性所属的设备厂商标识。vendor-id为厂商标识号码,取值范围为1~65535。如果不指定该参数,则表示RADIUS属性为标准属性。
code attribute-code:RADIUS属性在RADIUS属性集里的序号,取值范围为1~255。
type:属性内容的数据类型,包括以下取值:
· binary:二进制类型。
· date:时间类型。
· integer:整数类型。
· interface-id:接口ID类型。
· ip:IPv4地址类型。
· ipv6:IPv6地址类型。
· ipv6-prefix:IPv6地址前缀类型。
· octets:八进制类型。
· string:字符串类型。
【使用指导】
当系统需要支持其他厂商的私有RADIUS属性时,可以通过radius attribute extended命令为其定义为一个扩展属性,并通过attribute convert命令将其映射到系统可以识别的一个已知属性。这样,当RADIUS服务器发送给设备的RADIUS报文中携带了此类不可识别的私有属性时,设备将根据已定义的属性转换规则将其转换为可处理的属性。同理,设备在发送RADIUS报文时也可以将自己可识别的属性转换为服务器能识别的属性。
每一个RADIUS属性有唯一的属性名称,且该属性的名称、设备厂商标识以及序号的组合必须在设备上唯一。
执行undo radius attribute extended命令时,如果不指定属性名称,则表示删除所有已定义RADIUS扩展属性。
【举例】
# 配置一个RADIUS扩展属性,名称为Owner-Password,Vendor ID为122,属性序号为80,类型为字符串。
<Sysname> system-view
[Sysname] radius attribute extended Owner-Password vendor 122 code 80 type string
【相关命令】
· attribute convert
· attribute reject
radius attribute-test-group命令用来创建RADIUS属性测试组,并进入RADIUS属性测试组视图。如果指定的RADIUS属性测试组视图已经存在,则直接进入RADIUS属性测试组视图。
undo radius attribute-test-group命令用来删除指定的RADIUS属性测试组。
【命令】
radius attribute-test-group attr-test-group-name
undo radius attribute-test-group attr-test-group-name
【缺省情况】
不存在RADIUS属性测试组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
attr-test-group-name:测试组名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
RADIUS属性测试组用于配置向RADIUS服务器发送的认证/计费请求报文中需要携带的RADIUS属性的集合。
系统支持配置多个RADIUS属性测试组。
【举例】
# 创建名称为t1的RADIUS属性测试组,并进入该视图。
<Sysname> system-view
[Sysname] radius attribute-test-group t1
[Sysname-radius-attr-test-grp-t1]
【相关命令】
· exclude
· include
· test-aaa
radius authentication-request first命令用来开启RADIUS认证请求优先处理功能。
undo radius authentication-request first命令用来关闭RADIUS认证请求优先处理功能。
【命令】
radius authentication-request first
undo radius authentication-request first
【缺省情况】
RADIUS认证请求优先处理功能处于关闭状态,设备依次处理接入模块发起的所有RADIUS请求。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
接入模块发起的RADIUS请求包括RADIUS认证请求、RADIUS计费开始请求、RADIUS计费更新请求和RADIUS计费结束请求。缺省情况下,设备依次处理各接入模块发起的所有类型的RADIUS请求。此时,如果有大量用户下线后立即再次上线的情况发生,则会由于设备首先处理较早的停止计费请求,而导致处理后续的认证请求时,接入模块的认证请求已经超时。认证请求超时后,用户认证失败。为了解决这个问题,建议在有大量用户频繁上下线的组网环境中开启本功能,使得设备优先处理RADIUS认证请求,从而保证用户可以正常上线。
需要注意的是,当RADIUS服务器上以用户名标识用户,并且不允许相同用户名的用户重复认证的情况下,不建议开启此功能,否则可能会导致用户下线后再次认证失败。
当设备上有用户在线时,不建议修改此配置。
【举例】
# 开启RADIUS认证请求优先处理功能。
<Sysname> system-view
[Sysname] radius authentication-request first
radius dscp命令用来配置RADIUS协议报文的DSCP优先级。
undo radius dscp命令用来恢复缺省情况。
【命令】
radius [ ipv6 ] dscp dscp-value
undo radius [ ipv6 ] dscp
【缺省情况】
RADIUS报文的DSCP优先级为0。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6:表示设置IPv6 RADIUS报文。若不指定该参数,则表示设置IPv4 RADIUS报文。
dscp-value:RADIUS报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。
【使用指导】
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定设备发送的RADIUS报文携带的DSCP优先级的取值。
【举例】
# 配置IPv4 RADIUS报文的DSCP优先级为10。
<Sysname> system-view
[Sysname] radius dscp 10
radius dynamic-author server命令用来开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
undo radius dynamic-author server命令用来关闭RADIUS DAE服务。
【命令】
radius dynamic-author server
undo radius dynamic-author server
【缺省情况】
RADIUS DAE服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启RADIUS DAE服务后,设备将会监听指定的RADIUS DAE客户端发送的DAE请求消息,然后根据请求消息修改用户授权信息、断开用户连接请求。
【举例】
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server]
【相关命令】
· client
· port
radius nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。
undo radius nas-ip命令用来删除指定的发送RADIUS报文使用的源IP地址。
【命令】
radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未指定发送RADIUS报文使用的源IP地址,设备将使用到达RADIUS服务器的路由出接口的主IPv4地址或IPv6地址作为发送RADIUS报文的源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
【使用指导】
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。
RADIUS方案视图和系统视图下均可以配置发送RADIUS报文使用的源IP地址,具体情况如下:
· RADIUS方案视图下配置的源IP地址(通过nas-ip命令)只对本RADIUS方案有效。
· 系统视图下的配置的源IP地址(通过radius nas-ip命令)对所有RADIUS方案有效。
· RADIUS方案视图下的设置具有更高的优先级。
【举例】
# 设置设备发送RADIUS报文使用的源IP地址为129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【相关命令】
· nas-ip (RADIUS scheme view)
radius scheme命令用来创建RADIUS方案,并进入RADIUS方案视图。如果指定的RADIUS方案已经存在,则直接进入RADIUS方案视图。
undo radius scheme命令用来删除指定的RADIUS方案。
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【缺省情况】
不存在RADIUS方案。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
radius-scheme-name:RADIUS方案的名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个RADIUS方案可以同时被多个ISP域引用。
系统最多支持配置16个RADIUS方案。
【举例】
# 创建名为radius1的RADIUS方案并进入其视图。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【相关命令】
· display radius scheme
radius session-control client命令用来指定session control客户端。
undo radius session-control client命令用来删除指定的session control客户端。
【命令】
radius session-control client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo radius session-control client { all | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
【缺省情况】
未指定session control客户端。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip ipv4-address:session control客户端的IPv4地址。
ipv6 ipv6-address:session control客户端的IPv6地址。
key:与session control客户端交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:session control客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示session control客户端属于公网。
all:表示所有session control客户端。
【使用指导】
设备和H3C的iMC RADIUS服务器配合使用时,将作为session control服务器端与其交互,因此需要指定session control客户端来验证收到的session control报文的合法性。当设备收到服务器发送的session control报文时,直接根据报文的源IP地址、VPN属性与已有的session control客户端配置进行匹配,并使用匹配到的客户端共享密钥对报文进行验证。如果报文匹配失败或设备上未配置session control客户端,则使用已有的RADIUS方案配置进行匹配,并使用匹配到的认证服务器的共享密钥对报文进行验证。
指定的session control客户端仅在RADIUS session control功能处于开启状态时生效。
配置的session control客户端参数必须与服务器的配置保持一致。
系统支持指定多个session control客户端。
【举例】
# 指定一个session control客户端IP地址为10.110.1.2,共享密钥为明文12345。
<Sysname> system-view
[Sysname] radius session-control client ip 10.110.1.2 key simple 12345
【相关命令】
· radius session-control enable
radius session-control enable命令用来开启RADIUS session control功能。
undo radius session-control enable命令用来关闭RADIUS session control功能。
【命令】
radius session-control enable
undo radius session-control enable
【缺省情况】
RADIUS session control功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
H3C iMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。开启RADIUS session control功能后,设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。
该功能仅能和H3C iMC的RADIUS服务器配合使用。
【举例】
# 开启RADIUS session control功能。
<Sysname> system-view
[Sysname] radius session-control enable
radius trap-version命令用来配置发送RADIUS告警信息采用的MIB节点版本。
undo radius trap-version命令用来恢复缺省情况。
【命令】
radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *
undo radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *
【缺省情况】
使用v1版本的MIB节点发送RADIUS告警信息。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
v1:采用v1版本的MIB节点发送RADIUS告警信息。
v2:采用v2版本的MIB节点发送RADIUS告警信息。
accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息。
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息。
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息。
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息。
【使用指导】
请按照NMS(Network Management System,网络管理系统)的要求,选择设备需要采用的发送RADIUS告警信息采用的MIB节点版本。
表1-8 v1版本的MIB节点
|
MIB节点名 |
OID |
|
hh3cRadiusAuthServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.1 |
|
hh3cRadiusAccServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.2 |
|
hh3cRadiusAuthServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.1 |
|
hh3cRadiusAccServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.2 |
表1-9 v2版本的MIB节点
|
MIB节点名 |
OID |
|
hh3cRadiusAuthenticationServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.4 |
|
hh3cRadiusAccountingServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.5 |
|
hh3cRadiusAuthenticationServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.0.6 |
|
hh3cRadiusAccountingServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.0.7 |
若不指定任何参数,则表示设备发送所有类型的RADIUS服务器状态变化告警信息时,均采用相同版本的MIB节点。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置在RADIUS计费服务器可达状态变为down时发送告警信息采用v2版本的MIB节点。
<Sysname> system-view
[Sysname] radius trap-version v2 accounting-server-down
【相关命令】
· snmp-agent trap enable radius
radius-over-websocket enable命令用来开启RADIUS协议采用WebSocket封装功能。
undo radius-over-websocket enable命令用来关闭RADIUS协议采用WebSocket封装功能。
【命令】
radius-over-websocket enable
undo radius-over-websocket enable
【缺省情况】
RADIUS协议采用WebSocket封装功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在云简网络场景中,开启本功能后,设备作为RADIUS客户端与云简服务器进行报文交互时,RADIUS报文将使用WebSocket协议进行封装。借助WebSocket协议的加密的能力,实现RADIUS协议的加密功能。
配置本功能后,设备不支持逃生认证。
【举例】
# 开启RADIUS协议采用WebSocket封装功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] radius-over-websocket enable
【相关命令】
· display radius scheme
radius-server test-profile命令用来配置RADIUS服务器探测模板。
undo radius-server test-profile命令用来删除指定的RADIUS服务器探测模板。
【命令】
radius-server test-profile profile-name username name [ interval interval ] [ probe-count count ]
undo radius-server test-profile profile-name
【缺省情况】
不存在RADIUS服务器探测模板。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
profile-name:探测模板名称,为1~31个字符的字符串,区分大小写。
username name:探测报文中的用户名,为1~253个字符的字符串,区分大小写。
interval interval:发送探测报文的周期,取值范围为1~3600,单位为分钟,缺省值为60。
probe-count count:每一轮可达性判断所需的连续探测次数,取值范围为1~10,缺省值为1。
【使用指导】
RADIUS方案视图下的RADIUS服务器配置成功引用了某探测模板后,若被引用的探测模板存在,则设备将会启动对该RADIUS服务器的可达性探测。若被引用的探测模板暂不存在,则当该探测模板被成功配置时,针对该服务器的探测过程才会开始。
设备采用探测模板中配置的探测用户名、密码构造一个认证请求报文,并在探测周期内选择随机时间点向引用了探测模板的RADIUS服务器发送该报文。如果在连续指定数目个探测周期内均收到服务器的认证响应报文,则认为该服务器可达;如果在连续指定数目个探测周期内均未收到服务器的认证响应报文,则认为该服务器不可达;其它情况视为该服务器状态未改变。
在网络质量不稳定时,适当增加每一轮可达性判断的探测次数,可提高探测的准确性,降低误判率;否则,请减少每一轮可达性判断的探测次数,以保障探测结果的实效性。
删除一个RADIUS服务器探测模板时,引用该探测模板的所有RADIUS方案中的RADIUS服务器的探测功能也会被关闭。
系统支持配置多个RADIUS服务器探测模板。
【举例】
# 配置RADIUS服务器探测模板abc,探测报文中携带的用户名为admin,探测报文的发送间隔为10分钟,每一轮可达性判断所需的连续探测次数为2次。
<Sysname> system-view
[Sysname] radius-server test-profile abc username admin interval 10 probe-count 2
【相关命令】
· primary authentication (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
reset radius statistics命令用来清除RADIUS协议的统计信息。
【命令】
reset radius statistics
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 清除RADIUS协议的统计信息。
<Sysname> reset radius statistics
【相关命令】
· display radius statistics
reset radius server-load statistics命令用来清除所有RADIUS服务器的历史负载统计信息。
【命令】
reset radius server-load statistics
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
该命令只会清除所有RADIUS认证/计费服务器的历史负载统计数据,不会清除前5秒钟负载统计数据。
【举例】
# 清除所有RADIUS服务器上的历史负载统计信息。
<Sysname> reset radius server-load statistics
【相关命令】
· display radius server-load statistics
retry命令用来设置发送RADIUS报文的最大尝试次数。
undo retry命令用来恢复缺省情况。
【命令】
retry retries
undo retry
【缺省情况】
发送RADIUS报文的最大尝试次数为3次。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
retries:发送RADIUS报文的最大尝试次数,取值范围为1~20。
【使用指导】
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内(由timer response-timeout命令配置)没有收到RADIUS服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数已达到最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败。
需要注意的是:
· 发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线。
· 设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败。因此,为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间。
【举例】
# 在RADIUS方案radius1中,设置发送RADIUS报文的最大尝试次数为5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【相关命令】
· radius scheme
· timer response-timeout (RADIUS scheme view)
retry realtime-accounting命令用来设置允许发起实时计费请求的最大尝试次数。
undo retry realtime-accounting命令用来恢复缺省情况。
【命令】
retry realtime-accounting retries
undo retry realtime-accounting
【缺省情况】
设备允许发起实时计费请求的最大尝试次数为5。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
retries:允许发起实时计费请求的最大尝试次数,取值范围为1~255。
【使用指导】
RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记账。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,尽量保持设备端与RADIUS服务器同步切断用户连接。设备提供对实时计费请求连续无响应次数限制的设置,保证设备尽可能得在RADIUS服务器的连接超时时长内向RADIUS服务器尝试发出实时计费请求。如果设备没有收到响应的次数超过了设定的限度,才会认为用户的实时计费失败。
【举例】
# 在RADIUS方案radius1中,设置允许发起实时计费请求的最大尝试次数为10。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
【相关命令】
· retry
· timer realtime-accounting (RADIUS scheme view)
· timer response-timeout (RADIUS scheme view)
secondary accounting命令用来配置从RADIUS计费服务器。
undo secondary accounting命令用来删除指定的从RADIUS计费服务器。
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | ssl-client-policy policy-name | weight weight-value ] *
undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } ]
【缺省情况】
未配置从RADIUS计费服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。
port-number:从RADIUS计费服务器的端口号,取值范围为1~65535。使用UDP方式通信时,缺省端口号为1813;使用TLS方式通信时,缺省端口号为2083。
key:与从RADIUS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:从RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从RADIUS计费服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的计费请求报文越多。
ssl-client-policy:从计费服务器使用的SSL客户端策略。配置此策略时,表示使用RADIUS over TLS方式与服务器通信;未配置此策略时,表示使用RADIUS over UDP方式与服务器通信。
policy-name:从计费服务器使用的SSL客户端策略名,为1~255个字符的字符串,不区分大小写。
【使用指导】
配置的从计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、IP地址、端口号也不能完全相同。
设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting命令设置的共享密钥。如果key accounting命令也未设置且RADIUS服务器类型为RADIUS over TLS服务器,则使用缺省的共享密钥radsec。
当RADIUS服务器负载分担功能处于关闭状态时,如果在计费开始请求报文发送过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信。
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
本功能与RADIUS协议采用WebSocket封装功能互斥。
配置相同IP地址、端口号、VPN的计费服务器时,只能配置RADIUS over UDP或RADIUS over TLS中的一种通信方式。如果配置了RADIUS over TLS通信方式,则各RADIUS方案下的SSL客户端策略名称必须相同。如果配置了RADIUS over UDP通信方式,则各RADIUS方案下都不能配置SSL客户端策略。
【举例】
# 在RADIUS方案radius1中,配置从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
# 在RADIUS方案radius2中,配置两个从计费服务器,IP地址分别为10.110.1.1、10.110.1.2,且均使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813
[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813
# 在RADIUS方案radius1中,配置从计费服务器的IP地址为10.110.1.1,SSL客户端策略为policy1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 ssl-client-policy policy1
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· primary accounting
secondary authentication命令用来配置从RADIUS认证服务器。
undo secondary authentication命令用来删除指定的从RADIUS认证服务器。
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | ssl-client-policy policy-name | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *
undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name | ssl-client-policy ] *]
【缺省情况】
未配置从RADIUS认证服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS认证服务器的IPv6地址。
port-number:从RADIUS认证服务器的端口号,取值范围为1~65535。使用UDP方式通信时,缺省端口号为1812;使用TLS方式通信时,缺省端口号为2083。
key:与从RADIUS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
test-profile profile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:从RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从RADIUS认证服务器位于公网中。
weight weight-value:RADIUS服务器负载分担的权重。weight-value表示权重值,取值范围为0~100,缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多。
ssl-client-policy:从认证服务器使用的SSL客户端策略。配置此策略时,表示使用RADIUS over TLS方式与服务器通信;未配置此策略时,表示使用RADIUS over UDP方式与服务器通信。
policy-name:从认证服务器使用的SSL客户端策略名,为1~255个字符的字符串,不区分大小写。
【使用指导】
配置的从认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
每个RADIUS方案中最多支持配置16个从RADIUS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、IP地址、端口号也不能完全相同。
设备与从认证服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authentication命令设置的共享密钥。如果key authenticaiton命令也未设置且RADIUS服务器类型为RADIUS over TLS服务器,则使用缺省的共享密钥radsec。
当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信。
本功能与RADIUS协议采用WebSocket封装功能互斥。
配置相同IP地址、端口号、VPN的认证服务器时,只能配置RADIUS over UDP或RADIUS over TLS中的一种通信方式。如果配置了RADIUS over TLS通信方式,则各RADIUS方案下的SSL客户端策略名称必须相同。如果配置了RADIUS over UDP通信方式,则各RADIUS方案下都不能配置SSL客户端策略。
【举例】
# 在RADIUS方案radius1中,配置从认证服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
# 在RADIUS方案radius2中,配置两个从认证服务器,IP地址分别为10.110.1.1、10.110.1.2,且均使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812
[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812
# 在RADIUS方案radius1中,配置从认证服务器的IP地址为10.110.1.2,SSL客户端策略为policy1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 ssl-client-policy policy1
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· primary authentication (RADIUS scheme view)
· radius-server test-profile
· vpn-instance (RADIUS scheme view)
server-load-sharing enable命令用来开启RADIUS服务器负载分担功能。
undo server-load-sharing enable命令用来关闭RADIUS服务器负载分担功能。
【命令】
server-load-sharing enable
undo server-load-sharing enable
【缺省情况】
RADIUS服务器负载分担功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,RADIUS服务器负载分担功能处于关闭状态,RADIUS服务器的调度采用主/从模式。
主/从模式下,设备优先选取状态为active的主服务器进行交互,若主服务器不可达则尝试与从服务器交互。设备尝试与从服务器交互时,按照从服务器的配置顺序依次选择,先配置的服务器将优先被选取。
在主/从模式下,设备选择服务器的逻辑比较单一。如果RADIUS方案中的主服务器或者某一配置顺序靠前的从服务器始终可达,则该服务器将独立承载该方案下所有用户的AAA业务。在大用户量下,这类服务器的负荷过重,将会影响处理用户上线的整体性能。
RADIUS方案中开启服务器负载分担功能后,设备将根据当前各服务器承载的用户负荷调度合适的服务器发送认证/计费请求。考虑到各服务器的性能可能存在差异,设备支持管理员配置服务器时为各个服务器指定适应其性能的权重值(由weight关键字指定),权重值较大的服务器具备较大的被选取可能性。设备在处理用户认证/计费请求时,将综合各个服务器的权重值及当前用户负荷情况,按比例进行用户负荷分配并选择要交互的服务器。
需要注意的是,负载分担模式下,某台计费服务器开始对某用户计费后,该用户后续计费请求报文均会发往同一计费服务器。如果该计费服务器不可达,则直接返回计费失败。
本功能与RADIUS协议采用WebSocket封装功能同时开启时,本功能不生效。
【举例】
# 在RADIUS方案radius1中,开启RADIUS服务器负载分担功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-load-sharing enable
【相关命令】
· primary authentication (RADIUS scheme view)
· primary accounting (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
· secondary accounting (RADIUS scheme view)
snmp-agent trap enable radius命令用来开启RADIUS告警功能。
undo snmp-agent trap enable radius命令用来关闭指定的RADIUS告警功能。
【命令】
snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
undo snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
【缺省情况】
所有类型的RADIUS告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息。
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息。
authentication-error-threshold:表示认证失败次数超过阈值时发送告警信息。该阈值为认证失败次数占认证请求总数的百分比数值,目前仅能通过MIB方式配置,取值范围为1~100,缺省为30。
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息。
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息。
【使用指导】
不指定任何参数时,表示开启或关闭所有类型的RADIUS告警功能。
开启RADIUS服务器告警功能后,系统将会生成以下几种告警信息:
· RADIUS服务器不可达的告警:当NAS向RADIUS服务器发送计费或认证请求没有收到响应时,会重传请求,当重传次数达到最大传送次数时仍然没有收到响应时,则发送该告警信息。
· RADIUS服务器可达的告警:当timer quiet定时器设定的时间到达后,NAS将服务器的状态置为激活状态并发送该告警信息。
· 认证失败次数超过阈值的告警:当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送该告警信息。
【举例】
# 开启RADIUS计费服务器可达状态变为down时的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable radius accounting-server-down
state primary命令用来设置主RADIUS服务器的状态。
【命令】
state primary { accounting | authentication } { active | block }
【缺省情况】
主RADIUS服务器状态为active。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:主RADIUS计费服务器。
authentication:主RADIUS认证服务器。
active:正常工作状态。
block:通信中断状态。
【使用指导】
每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态置为block,同时启动主服务器的timer quiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器。在timer quiet定时器设定的时间到达之后,主服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。
当主/从服务器状态都是block时,若主服务器状态是自动设置为block且已配置主服务器,则采用主服务器进行认证或计费;若主服务器状态是被手工设置为block或未配置主服务器,则在自动设置为block状态的所有从服务器中按顺序选择从服务器进行认证或计费。
认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active,且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能。
本功能与RADIUS协议采用WebSocket封装功能同时开启时,本功能不生效。
【举例】
# 在RADIUS方案radius1中,设置主认证服务器的状态为block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state primary authentication block
【相关命令】
· display radius scheme
· radius-server test-profile
· state secondary
state secondary命令用来设置从RADIUS服务器的状态。
【命令】
state secondary { accounting | authentication } [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] *] { active | block }
【缺省情况】
从RADIUS服务器状态为active。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:从RADIUS计费服务器。
authentication:从RADIUS认证服务器。
ipv4-address:从RADIUS服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS服务器的IPv6地址。
port-number:从RADIUS服务器的UDP端口号,取值范围为1~65535,从RADIUS计费服务器的缺省UDP端口号为1813,从RADIUS认证服务器的缺省UDP端口号为1812。
vpn-instance vpn-instance-name:从RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。
active:正常工作状态。
block:通信中断状态。
【使用指导】
如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从认证服务器或从计费服务器的状态。
如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timer quiet定时器,并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后,从服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达,则本次认证或计费失败。
认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active,且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能。
本功能与RADIUS协议采用WebSocket封装功能同时开启时,本功能不生效。
【举例】
# 在RADIUS方案radius1中,设置从认证服务器的状态设置为block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication block
【相关命令】
· display radius scheme
· radius-server test-profile
· state primary
test-aaa命令用来发起一次AAA请求测试。
【命令】
test-aaa user user-name password password radius-scheme radius-scheme-name [ radius-server { ipv4-address | ipv6 ipv6-address } port-number [ vpn-instance vpn-instance-name ] ] [ chap | pap ] [ attribute-test-group attr-test-group-name ] [ trace ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
user user-name:待测试的用户名,为1~80个字符的字符串,区分大小写。用户名中可以携带域名,形式为“纯用户名@域名”,其中纯用户名区分大小写,域名不区分大小写。
password password:待测试用户的明文密码,为1~63个字符的字符串,区分大小写。
radius-scheme radius-scheme-name:RADIUS方案名称,为1~32个字符的字符串,不区分大小写。
radius-server:指定具体的RADIUS服务器。
ipv4-address:RADIUS服务器的IPv4地址。
ipv6 ipv6-address:RADIUS服务器的IPv6地址。
port-number:RADIUS服务器的UDP端口号,取值范围为1~65535。
vpn-instance vpn-instance-name:RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示待探测RADIUS服务器位于公网中。
chap:采用CHAP认证方式。该方式也是缺省认证方式。
pap:采用PAP认证方式。
attribute-test-group attr-test-group-name:RADIUS属性测试组的名称,为1~31个字符的字符串,不区分大小写。
trace:显示详细的RADIUS报文交互信息。若不指定该参数,则表示仅显示报文收发结果及最终的测试结果。
【使用指导】
本命令主要用于排查设备与AAA服务器交互时的故障原因,目前仅支持对RADIUS服务器的测试。当故障发生时,执行本命令发起一次RADIUS请求测试,通过查看打印出的认证/计费请求结果以及报文交互信息,有利于快速定位故障发生的关键环节,以及及时排查影响认证/计费结果的RADIUS属性。
可以在执行本命令时指定RADIUS属性测试组,指定的测试组中定义了RADIUS请求报文中要携带的属性。如果本命令中未指定RADIUS属性测试组或指定的RADIUS属性测试组不存在,则测试过程中发送的RADIUS请求报文中将会携带一些缺省属性,缺省属性的介绍请参见AAA配置手册。
由于测试期间不能保证设备与AAA服务器可以正常通信,因此不建议同时允许用户进行正常的上线、下线操作。
测试过程中,如果引用的RADIUS方案配置发生变化,则仅在下次测试中生效,并不影响本次探测。
仅允许在同一时间内存在一个测试过程,下一次测试只能在当前测试过程完成后执行。
本功能与RADIUS协议采用WebSocket封装功能同时开启时,本功能不生效。
【举例】
# 发起一次AAA请求测试,使用的测试用户名为user1,密码为123456,RADIUS方案名为test,同时打印详细的RADIUS报文交互信息。
<Sysname> test-aaa user user1 password 123456 radius-scheme test chap trace
Sent a RADIUS authentication request.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1812
Packet type : Authentication request
Packet length: 118 bytes
Packet ID : 0
Attribute list:
[User-Name(1)] [6] [user1]
[CHAP-Password(3)] [19] [******]
[NAS-IP-Address(4)] [6] [192.168.1.166]
[Service-Type(6)] [6] [2] [Framed]
[Framed-Protocol(7)] [6] [1] [PPP]
[NAS-Identifier(32)] [5] [Sysname]
[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]
[CHAP-Challenge(60)] [18] [******]
[NAS-Port-Type(61)] [6] [15] [Ethernet]
Received a RADIUS authentication response.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1812
Packet type : Access-Reject
Packet length: 20 bytes
Packet ID : 0
Reply-Message: "E63032: Incorrect password. You can retry 9 times."
Sent a RADIUS start-accounting request.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Start-accounting request
Packet length: 63 bytes
Packet ID : 1
Attribute list:
[User-Name(1)] [6] [user1]
[Acct-Status-Type(40)] [6] [1] [Start]
[NAS-IP-Address(4)] [6] [192.168.1.166]
[NAS-Identifier(32)] [5] [Sysname]
[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]
Received a RADIUS start-accounting response.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Start-accounting response
Packet length: 20 bytes
Packet ID : 1
Sent a RADIUS stop-accounting request.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Stop-accounting request
Packet length: 91 bytes
Packet ID : 1
Attribute list:
[User-Name(1)] [6] [user1]
[Acct-Status-Type(40)] [6] [2] [Stop]
[NAS-IP-Address(4)] [6] [192.168.1.166]
[NAS-Identifier(32)] [5] [Sysname]
[Acct-Delay-Time(41)] [6] [0]
[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]
[Acct-Terminate-Cause(49)] [6] [1] [User Request]
Received a RADIUS stop-accounting response.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Stop-accounting response
Packet length: 20 bytes
Packet ID : 1
Test result: Failed
# 发起一次AAA请求测试,使用的测试用户名为user1,密码为123456 ,RADIUS方案名为test,指定探测test下认证服务器192.168.1.110,且不打印详细的RADIUS报文交互信息。
<Sysname> test-aaa user user1 password 123456 radius-scheme test radius-server 192.168.1.110 1812
Sent a RADIUS authentication request.
Received a RADIUS authentication response.
Test result: Successful
# 发起一次AAA请求测试,使用的测试用户名为user1,密码为123456 ,RADIUS方案名为test,且不打印详细的RADIUS报文交互信息。
<Sysname> test-aaa user user1 password 123456 radius-scheme test
Waiting to create a connection with the RADIUS over TLS server.
Failed to create a connection with the RADIUS over TLS server for packet, Server IP: 1.1.2.1, VPN instance: N/A, Server port: 2083, SSL client policy: s1, Packet type : Authentication request.
Waiting to create a connection with the RADIUS over TLS server.
Sent a RADIUS authentication request.
Received a RADIUS authentication response.
Waiting to create a connection with the RADIUS over TLS server.
Failed to create a connection with the RADIUS over TLS server for packet, Server IP: 1.1.2.1, VPN instance: N/A, Server port: 2083, SSL client policy: s1, Packet type : Start-accounting request.
Waiting to create a connection with the RADIUS over TLS server.
Sent a RADIUS start-accounting request.
Received a RADIUS start-accounting response.
Waiting to create a connection with the RADIUS over TLS server.
Sent a RADIUS stop-accounting request.
Received a RADIUS stop-accounting response.
Test result: Successful.
表1-10 test-aaa命令显示信息描述表
|
字段 |
描述 |
|
Server IP |
服务器的IP地址 |
|
Source IP |
RADIUS报文源IP地址 |
|
VPN instance |
RADIUS认证/计费服务器所在的VPN,服务器位于公网时,显示为N/A |
|
Server port |
RADIUS认证/计费服务器的端口号 |
|
SSL client policy |
服务器配置的SSL客户端策略 |
|
Packet type |
RADIUS报文类型: · Authentication request:认证请求报文 · Access-Accept:认证接受报文 · Access-Reject:认证拒绝报文 · Start-accounting request:开始计费请求报文 · Start-accounting response:开始计费响应报文 · Stop-accounting request:停止计费请求报文 · Stop-accounting response:停止计费响应报文 |
|
Packet length |
报文总长度,单位为字节 |
|
Packet ID |
报文ID,用于匹配响应报文和对应的请求报文 |
|
[attribute-name (code)] [length] [value] [description] |
RADIUS属性信息: · attribute-name:属性名称 · code:属性编号 · length:属性值的长度,单位为字节 · value:属性值 · description:特殊属性值的描述信息 |
|
Sent a RADIUS authentication request. |
成功发送了一个认证请求报文 |
|
Failed to receive a RADIUS authentication response. |
认证请求已超时,未收到应答 |
|
Received a RADIUS authentication response. |
接收到一个认证响应报文 |
|
Waiting to create a connection with the RADIUS over TLS server. |
等待与RADIUS over TLS服务器建立连接 |
|
Failed to create a connection with the RADIUS over TLS server for packet, Server IP: server-ip, VPN instance: server-vpn, Server port: server-port, SSL client policy: ssl-client-policy, Packet type : packet-type |
为报文与RADIUS over TLS服务器连接失败,服务器IP: server-ip, 服务器VPN: server-vpn, 服务器端口: server-port, 服务器SSL客户端策略:ssl-client-policy,报文类型:packet-type |
|
Sent a RADIUS start-accounting request. |
成功发送了一个计费开始请求报文 |
|
Failed to receive a RADIUS start-accounting response. |
计费开始请求已超时,未收到应答 |
|
Received a RADIUS start-accounting response. |
接收到一个计费开始请求报文 |
|
Sent a RADIUS stop-accounting request. |
成功发送了一个计费停止请求报文 |
|
Failed to receive a RADIUS stop-accounting response. |
计费停止请求已超时,未收到应答 |
|
Received a RADIUS stop-accounting response. |
接收到一个计费停止请求报文 |
|
Reply-Message: |
RADIUS服务器拒绝此认证请求,并下发提示信息 |
|
The authentication server is not configured. |
指定的RADIUS方案中未配置要探测的认证服务器 |
|
The accounting server is not configured. |
指定的RADIUS方案中未配置要探测的计费服务器 |
|
Test result |
测试结果: · Successful:当前用户的AAA测试成功 · Failed:当前用户的AAA测试失败(只要有一个请求报文测试失败,即为失败) |
【相关命令】
· radius attribute-test-group
· radius scheme
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
【命令】
timer quiet minutes
undo timer quiet
【缺省情况】
服务器恢复激活状态的时间为5分钟。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【使用指导】
建议合理设置服务器恢复激活状态的时间:
· 如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。
· 如果服务器恢复激活状态时间设置的过长,当服务器恢复可达后,设备不能及时与其进行通信,会降低对用户进行认证或计费的效率。
【举例】
# 在RADIUS方案radius1中,配置服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer quiet 10
【相关命令】
· display radius scheme
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
【命令】
timer realtime-accounting interval [ second ]
undo timer realtime-accounting
【缺省情况】
实时计费的时间间隔为12分钟。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval:实时计费的时间间隔,取值范围为0~71582。
second:表示实时计费的时间间隔以秒为单位,缺省以分钟为单位。
【使用指导】
为了对用户实施实时计费,有必要设置实时计费的时间间隔。不同的取值的处理有所不同:
· 若实时计费间隔不为0,则每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。
· 若实时计费间隔设置为0,且服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息。
实时计费间隔的取值小,计费准确性高,但对设备和RADIUS服务器的性能要求就高。
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
大于等于1000 |
大于等于15 |
不同情况下修改的实时计费间隔,对于已在线用户的生效情况有所不同:
· 将实时计费间隔从非0有效值改为0,或者从0修改为非0有效值后,已在线用户会依然采用原有取值,修改后的取值对其不生效。
· 将实时计费间隔从某非0有效值修改为其它非0有效值后,已在线用户将会采用修改后的取值。
需要注意的是,无论实时计费间隔取值为多少,对于双栈用户,设备缺省会在用户申请到IPv4地址时为其发送一个计费开始报文,并在随后用户申请到IPv6地址/PD时再发送一个计费更新报文。
对于未进行RADIUS认证和授权,仅进行RADIUS计费的用户,只能使用计费方案下设置的实时计费间隔,不会使用RADIUS服务器设置的实时计费间隔。
【举例】
# 在RADIUS方案radius1中,设置实时计费的时间间隔为51分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
【相关命令】
· retry realtime-accounting
timer response-timeout命令用来设置RADIUS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情况】
RADIUS服务器响应超时时间为3秒。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒。
【使用指导】
如果在RADIUS请求报文传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时间,本命令用于调整这个时间。
需要注意的是:
· 发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线。
· 设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败。因此,为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间。
【举例】
# 在RADIUS方案radius1中,设置服务器响应超时时间设置为5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【相关命令】
· display radius scheme
· retry
timer tls-idle-timeout命令用来配置RADIUS认证中TLS连接的闲置超时时间。
undo timer tls-idle-timeout命令用来恢复缺省情况。
【命令】
timer tls-idle-timeout timeout-value
undo timer tls-idle-timeout
【缺省情况】
RADIUS认证中TLS连接的闲置超时时间为60秒。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
timeout-value:RADIUS认证中TLS连接的闲置超时时间,取值范围为0~3600,单位为秒。
【使用指导】
当设备处理完最后一个认证、计费请求后,会取用最后一个请求所在的RADIUS方案下配置的TLS连接的闲置超时时间,更新闲置超时定时器。在达到闲置超时时间后,若没有认证、计费请求,TLS连接将会自动断开。若TLS连接的闲置超时时间配置为0,则表示TLS连接不会超时断开。
将RADIUS方案下的闲置超时时间,由0配置为非0时,会遍历方案下服务器的连接,将闲置超时定时器更改为最新闲置超时时间。
【举例】
# 在RADIUS方案radius1中,配置RADIUS认证中TLS连接的闲置超时时间为30秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer tls-idle-timeout 30
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情况】
发送给RADIUS服务器的用户名携带ISP域名。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
keep-original:发送给RADIUS服务器的用户名与用户的输入保持一致。
with-domain:发送给RADIUS服务器的用户名携带ISP域名。
without-domain:发送给RADIUS服务器的用户名不携带ISP域名。
【使用指导】
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
【举例】
# 在RADIUS方案radius1中,设置发送给RADIUS服务器的用户名不得携带域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
【相关命令】
· display radius scheme
vpn-instance命令用来配置RADIUS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
RADIUS方案属于公网。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的VPN对于该方案下的所有RADIUS认证/计费服务器生效,但设备优先使用配置RADIUS认证/计费服务器时为各服务器单独指定的VPN。
本功能与RADIUS协议采用WebSocket封装功能同时开启时,本功能不生效。
【举例】
# 配置RADIUS方案radius1所属的VPN为test。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] vpn-instance test
【相关命令】
· display radius scheme
data-flow-format命令用来配置发送到HWTACACS服务器的数据流及数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情况】
数据流的单位为byte,数据包的单位为one-packet。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【使用指导】
设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费。
【举例】
# 在HWTACACS方案hwt1中,设置发往HWTACACS服务器的数据流的数据单位为千字节、数据包的单位为千包。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【相关命令】
· display hwtacacs scheme
display hwtacacs scheme命令用来显示HWTACACS方案的配置信息或HWTACACS服务相关的统计信息。
【命令】
display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
hwtacacs-scheme-name:HWTACACS方案的名称,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则显示所有HWTACACS方案的配置信息。
statistics:显示HWTACACS服务相关的统计信息。不指定该参数,则显示HWTACACS方案的配置信息。
【使用指导】
显示指定HWTACACS方案或者显示所有HWTACACS方案配置信息时,会同时显示每一个HWTACACS服务器当前Active状态的持续时间以及最近5次状态变化信息。
【举例】
# 显示所有HWTACACS方案的配置情况。
<Sysname> display hwtacacs scheme
Total 1 HWTACACS schemes
-------------------------------------------------------------------------
HWTACACS Scheme Name : hwtac
Index : 0
Primary Auth Server:
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)
Most recent blocked period: 2019/08/08 20:33:45 - 2019/08/08 20:38:45
Single-connection: Enabled
Track ID: 1
Primary Author Server:
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)
Most recent blocked period: 2019/08/08 20:33:45 - 2019/08/08 20:38:45
Single-connection: Disabled
Track ID: 1
Primary Acct Server:
IP : Not Configured Port: 49 State: Block
VPN Instance: Not configured
State: Blocked
Most recent blocked period: 2019/08/08 20:33:45 - now
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : one
All-server-block action : Attempt the top-priority server
-------------------------------------------------------------------------
# 显示HWTACACS方案hwtac的配置情况。
<Sysname> display hwtacacs scheme hwtac
HWTACACS Scheme Name : hwtac
Index : 0
Primary Auth Server:
IP : 2.2.2.2 Port: 49
VPN Instance: 2
State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)
Most recent state changes:
2019/08/08 21:01:23 Changed to active state
2019/08/08 20:56:22 Changed to blocked state
Single-connection: Enabled
Track ID: 1
Primary Author Server:
IP : 2.2.2.2 Port: 49
VPN Instance: 2
State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)
Most recent state changes:
2019/08/08 21:01:23 Changed to active state
2019/08/08 20:56:22 Changed to blocked state
Single-connection: Disabled
Track ID: 1
Primary Acct Server:
IP : Not Configured Port: 49
VPN Instance: Not configured
State: Blocked
Most recent state changes:
2019/08/08 22:16:52 Changed to blocked state
2019/08/08 22:01:25 Changed to active state
2019/08/08 21:56:22 Changed to blocked state
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : one
All-server-block action : Attempt the top-priority server
表1-12 display hwtacacs scheme命令显示信息描述表
|
字段 |
描述 |
|
Total 1 HWTACACS schemes |
共计1个HWTACACS方案 |
|
HWTACACS Scheme Name |
HWTACACS方案的名称 |
|
Index |
HWTACACS方案的索引号 |
|
Primary Auth Server |
主HWTACACS认证服务器 |
|
Primary Author Server |
主HWTACACS授权服务器 |
|
Primary Acct Server |
主HWTACACS计费服务器 |
|
Secondary Auth Server |
从HWTACACS认证服务器 |
|
Secondary Author Server |
从HWTACACS授权服务器 |
|
Secondary Acct Server |
从HWTACACS计费服务器 |
|
IP |
HWTACACS服务器的IP地址 未配置时,显示为Not configured |
|
Port |
HWTACACS服务器的端口号 未配置时,显示缺省值 |
|
VPN Instance |
HWTACACS服务器或HWTACACS方案所在的VPN 未配置时,显示为Not configured |
|
State |
HWTACACS服务器目前状态 · Active:激活状态 · Blocked:静默状态 若状态为Active,则同时显示该状态的持续时间 |
|
duration |
HWTACACS服务器当前Active状态的持续时间 |
|
Most recent blocked period |
HWTACACS服务器最后一次转换为Block状态的开始时间及结束时间。若最终状态为Block状态,则结束时间用“now”表示 |
|
Most recent state changes |
HWTACACS服务器最近5次的状态变化信息 |
|
Single-connection |
单连接状态 · Enabled:使用一条TCP连接与服务器通信 · Disabled:每次新建TCP连接与服务器通信 |
|
Track ID |
HWTACACS服务器关联的Track项的序号 若该服务器未关联Track项,则不显示该字段 |
|
NAS IP Address |
配置的发送HWTACACS报文的源IP地址 未配置时,显示为Not configured |
|
Server Quiet Period(minutes) |
主HWTACACS服务器恢复激活状态的时间(分钟) |
|
Realtime Accounting Interval(minutes) |
实时HWTACACS计费更新报文的发送间隔(分钟) |
|
Response Timeout Interval(seconds) |
HWTACACS服务器超时时间(秒) |
|
Username Format |
用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
|
Data flow unit |
数据流的单位 |
|
Packet unit |
数据包的单位 |
|
All-server-block action |
当前方案中的服务器都处于block状态后 · Attempt the top-priority server:尝试与当前方案中高优先级的服务器建立一次连接 · Skip all servers in the scheme:跳过当前方案中的所有服务器 |
<Sysname> display hwtacacs scheme tac statistics
HWTACACS scheme name: tac
Primary authentication server: 3.3.3.3
Round trip time: 0 seconds
Request packets: 1
Login request packets: 1
Change-password request packets: 0
Request packets including plaintext password: 0
Request packets including ciphertext password: 0
Response packets: 2
Pass response packets: 1
Failure response packets: 0
Get-data response packets: 0
Get-username response packets: 0
Get-password response packets: 1
Restart response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Continue packets: 1
Continue-abort packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary authorization server: 3.3.3.3
Round trip time: 1 seconds
Request packets: 1
Response packets: 1
PassAdd response packets: 1
PassReply response packets: 0
Failure response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary accounting server: 3.3.3.3
Round trip time: 0 seconds
Request packets: 2
Accounting start request packets: 1
Accounting stop request packets: 1
Accounting update request packets: 0
Pending request packets: 0
Response packets: 2
Success response packets: 2
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Timeout response packets: 0
Unknown type response packets: 0
Dropped response packets: 0
表1-13 display hwtacacs scheme statistics命令显示信息描述表
|
字段 |
描述 |
|
HWTACACS scheme name |
HWTACACS方案名称 |
|
Primary authentication server |
主HWTACACS认证服务器 |
|
Primary authorization server |
主HWTACACS授权服务器 |
|
Primary accounting server |
主HWTACACS计费服务器 |
|
Secondary authentication server |
从HWTACACS认证服务器 |
|
Secondary authorization server |
从HWTACACS授权服务器 |
|
Secondary accounting server |
从HWTACACS计费服务器 |
|
Round trip time |
设备处理最近一组响应报文和请求报文的时间间隔(单位为秒) |
|
Request packets |
发送的请求报文个数 |
|
Response packets |
接收到的响应报文个数 |
|
Failure response packets |
认证或授权失败的响应报文个数 |
|
Error response packets |
错误类型的响应报文个数 |
|
Follow response packets |
Follow类型的响应报文的个数 |
|
Malformed response packets |
不合法的响应报文个数 |
|
Pending request packets |
等待响应的请求报文个数 |
|
Timeout packets |
超时的请求报文个数 |
|
Unknown type response packets |
未知报文类型的响应报文个数 |
|
Dropped response packets |
被丢弃响应报文个数 |
|
Login request packets |
登录认证的请求报文个数 |
|
Change-password request packets |
更改密码的请求报文个数 |
|
Request packets including plaintext passwords |
发送明文密码的请求报文个数 |
|
Request packets including ciphertext passwords |
发送密文密码的请求报文个数 |
|
Pass response packets |
表示认证通过的响应报文个数 |
|
Get-data response packets |
表示获取数据的响应报文个数 |
|
Get-username response packets |
表示获取用户名的响应报文个数 |
|
Get-password response packets |
表示获取密码的响应报文个数 |
|
Restart response packets |
要求重认证的响应报文个数 |
|
Continue packets |
发送的Continue报文个数 |
|
Continue-abort packets |
发送的Continue-abort报文个数 |
|
PassAdd response packets |
接收到的PassAdd类型的响应报文个数。此报文表示同意授权所有请求的属性,并添加其他授权属性 |
|
PassReply response packets |
接收到的PassReply类型的响应报文个数。此报文表示采用响应报文中指定的授权属性替换请求的授权属性 |
|
Accounting start request packets |
发送的计费开始请求报文个数 |
|
Accounting stop request packets |
发送的计费结束请求报文个数 |
|
Accounting update request packets |
发送的计费更新报文个数 |
|
Accounting start-and-update request packets |
发送的赋值的计费开始报文的个数 |
|
Success response packets |
接收到的计费成功的响应报文个数 |
【相关命令】
· reset hwtacacs statistics
hwtacacs nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。
undo hwtacacs nas-ip命令用来删除指定的发送HWTACACS报文使用的源IP地址。
【命令】
hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未指定发送HWTACACS报文使用的源IP地址,设备将使用到达HWTACACS服务器的路由出接口的主IPv4地址或IPv6地址作为发送HWTACACS报文的源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
【举例】
# 设置设备发送HWTACACS报文使用的源IP地址为129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【相关命令】
· nas-ip (HWTACACS scheme view)
hwtacacs scheme命令用来创建HWTACACS方案,并进入HWTACACS方案视图。如果指定的HWTACACS方案已经存在,则直接进入HWTACACS方案视图。
undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【缺省情况】
不存在HWTACACS方案。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个HWTACACS方案可以同时被多个ISP域引用。
最多可以配置16个HWTACACS方案。
【举例】
# 创建名称为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【相关命令】
· display hwtacacs scheme
hwtacacs server-probe track命令用来配置HWTACACS服务器与Track项关联,探测服务器是否可达。
undo hwtacacs server-probe track命令用来取消HWTACACS服务器与指定Track项的关联。
【命令】
hwtacacs server-probe { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-number ] track track-entry-number
undo hwtacacs server-probe { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-number ] track
【缺省情况】
HWTACACS服务器未与任何Track项相关联。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip ipv4-address:HWTACACS服务器的IPv4地址。
ipv6 ipv6-address:HWTACACS服务器的IPv6地址。
vpn-instance vpn-instance-name:HWTACACS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示HWTACACS服务器位于公网中。
port port-number:HWTACACS服务器的TCP端口号,取值范围为1~65535,缺省值为49。
track-entry-number:关联的Track项的序号,取值范围为1~1024。
【使用指导】
在对HWTACACS认证、授权、计费的实时性要求较高的组网环境中,可以通过配置HWTACACS服务器与Track项关联来对HWTACACS服务器的可达性状态进行主动探测。
缺省情况下,设备发送HWTACACS请求报文后,若在指定的响应时间内没有得到HWTACACS服务器的响应,则会将该服务器的状态置为block,并向下一个HWTACACS服务器发起请求。处于block状态的服务器在设定的静默定时器间隔之后,将自动恢复为active状态。这种基于定时器的服务器状态变迁机制使得设备并不能及时感知到服务器的真实状态。通过配置HWTACACS服务器与Track项关联,并由Track项联动TCP类型的NQA测试组,可以实现通过NQA测试机制来主动探测服务器是否可达:
· 服务器与Track项关联期间,该服务器的状态仅由探测结果决定。
· 启动与Track项联动的NQA测试组后,Track模块将根据NQA的监测结果改变Track项的状态,AAA模块再根据Track项的状态来设置服务器的状态:
¡ 若Track项状态为Positive,说明服务器状态变为可达,则服务器状态将被置为active。
¡ 若Track项状态为Negative,说明服务器状态变为不可达,则服务器状态将被置为block,同时该服务器对应的静默定时器也将被关闭。
¡ 若Track项状态一直处于NotReady,或由其它状态变为NotReady,说明探测机制不生效,此时服务器的状态将被置为active。
· 取消服务器与Track项的关联后,该服务器的状态将恢复为由定时器机制决定。
对HWTACACS服务器的可达性探测是通过在设备上执行nqa schedule命令,对与Track联动的TCP类型的NQA测试组进行调动启动的,因此请结合实际情况确定探测时间和探测参数。关于Track项与NQA测试组联动的具体配置,请参见“网络管理和监控配置指导”中“Track”。关于TCP类型的NQA探测组以及调度NQA测试组的具体配置,请参见“网络管理和监控配置指导”中的“NQA”。
【举例】
# 配置IP地址为10.163.155.13,使用TCP端口49的HWTACACS服务器关联Track项1。
<Sysname> system-view
[Sysname] hwtacacs server-probe ip 10.163.155.13 port 49 track 1
【相关命令】
· display hwtacacs scheme
· nqa schedule(网络管理和监控命令参考/NQA)
· track nqa (网络管理和监控/Track)
key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。
undo key命令用来删除指定的HWTACACS报文的共享密钥。
【命令】
key { accounting | authentication | authorization } { cipher | simple } string
undo key { accounting | authentication | authorization }
【缺省情况】
未配置HWTACACS报文的共享密钥。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:指定HWTACACS计费报文的共享密钥。
authentication:指定HWTACACS认证报文的共享密钥。
authorization:指定HWTACACS授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。
【使用指导】
必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。
【举例】
# 在HWTACACS方案hwt1中,配置HWTACACS认证报文共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!
# 配置HWTACACS授权报文共享密钥为明文123456TESTautr&!。
[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!
# 配置HWTACACS计费报文共享密钥为明文123456TESTacct&!。
[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。
undo nas-ip命令用来删除指定类型的发送HWTACACS报文使用的源IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
【缺省情况】
未指定设备发送HWTACACS报文使用的源IP地址,使用系统视图下由命令hwtacacs nas-ip指定的源IP地址。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权、计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
一个HWTACACS方案视图下,最多允许指定一个IPv4源地址和一个IPv6源地址。
如果undo nas-ip命令中不指定任何关键字,则表示删除发送HWTACACS报文使用的源IPv4地址。
【举例】
# 在HWTACACS方案hwt1中,设置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【相关命令】
· display hwtacacs scheme
· hwtacacs nas-ip
primary accounting命令用来配置主HWTACACS计费服务器。
undo primary accounting命令用来恢复缺省情况。
【命令】
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary accounting
【缺省情况】
未配置HWTACACS主计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS计费服务器的IPv6地址。
port-number:主HWTACACS计费服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。
single-connection:所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS计费服务器位于公网中。
【使用指导】
配置的主计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hw1
[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary accounting
· vpn-instance (HWTACACS scheme view)
primary authentication命令用来配置主HWTACACS认证服务器。
undo primary authentication命令用来恢复缺省情况。
【命令】
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authentication
【缺省情况】
未配置主HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS认证服务器的IPv6地址。
port-number:主HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。
single-connection:所有与主HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS认证服务器位于公网中。
【使用指导】
配置的主认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authentication
· vpn-instance (HWTACACS scheme view)
primary authorization命令用来配置主HWTACACS授权服务器。
undo primary authorization命令用来恢复缺省情况。
【命令】
primary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authorization
【缺省情况】
未配置主HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS授权服务器的IPv6地址。
port-number:主HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。
single-connection:所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS授权服务器位于公网中。
【使用指导】
配置的主授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主授权服务器和从授权服务器的VPN、IP地址、端口号不能完全相同。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authorization
· vpn-instance (HWTACACS scheme view)
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
all:清除HWTACACS的所有统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
【举例】
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
【相关命令】
· display hwtacacs scheme
secondary accounting命令用来配置从HWTACACS计费服务器。
undo secondary accounting命令用来删除指定的从HWTACACS计费服务器。
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] *]
【缺省情况】
未配置从HWTACACS计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS计费服务器的IPv6地址。
port-number:从HWTACACS计费服务器的端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS计费服务器位于公网中。
【使用指导】
配置的从计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从计费服务器。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary accounting (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authentication命令用来配置从HWTACACS认证服务器。
undo secondary authentication命令用来删除指定的从HWTACACS认证服务器。
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] *]
【缺省情况】
未配置从HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS认证服务器的IPv6地址。
port-number:从HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS服务器位于公网中。
【使用指导】
配置的从认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从认证服务器。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authentication (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authorization命令用来配置从HWTACACS授权服务器。
undo secondary authorization命令用来删除指定的从HWTACACS授权服务器。
【命令】
secondary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authorization [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS授权服务器的IPv6地址。
port-number:从HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS授权服务器位于公网中。
【使用指导】
配置的从授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从授权服务器。
在同一个方案中指定的主授权服务器和从授权服务器的VPN、IP地址、端口号不能完全相同,并且各从授权服务器的VPN、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authorization (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
server-block-action命令用来设置服务器都处于block状态后的请求动作。
undo server-block-action命令用来恢复缺省情况。
【命令】
server-block-action { attempt | skip }
undo server-block-action
【缺省情况】
所有服务器都处于block状态后的请求动作为attempt。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
attempt:Attempt方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/授权/计费请求时,仍然会尝试与一个认证/授权/计费服务器(优先选择主服务器,若未配置则选择配置的第一个从服务器,手工置于block状态的主从服务器除外)建立一次连接,如果与该服务器建立连接失败,才会切换到为该用户配置的下一个认证/授权/计费方法去处理这个请求。
skip:Skip方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/授权/计费请求时,会跳过当前方案中的所有服务器,直接使用为该用户配置的下一个认证/授权/计费方法去处理这个请求。
【使用指导】
Attempt方式下,由于该方案下的所有服务器都处于block状态后,设备仍会首先尝试与一个服务器建立连接,与该服务器建立连接失败后,才会切换到配置的下一个认证/授权/计费方法,此方法保证了设备尽量优先使用第一个认证/授权/计费方法处理用户请求,但同时会增加请求的响应时间。因此,对于对AAA响应时间要求比较高的场合,建议选择Skip方式。
设备处理一个认证/授权/计费请求的过程中,如果已经跳过了当前方案中的所有服务器,则后续就算该方案中有服务器状态切换回active,设备也不会再使用该方案来处理它。
【举例】
# 在HWTACACS方案hwt1中,设置服务器都处于block状态后的动作为跳过当前方案中的所有服务器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] server-block-action skip
【相关命令】
· display hwtacacs scheme
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
【命令】
timer quiet minutes
undo timer quiet
【缺省情况】
服务器恢复激活状态的时间为5分钟。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【举例】
# 设置服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【相关命令】
· display hwtacacs scheme
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【缺省情况】
实时计费的时间间隔为12分钟。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟。0表示设备不向HWTACACS服务器发送在线用户的计费信息。
【使用指导】
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。
实时计费间隔的取值小,计费准确性高,但对设备和HWTACACS服务器的性能要求就高。
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
大于等于1000 |
大于等于15 |
【举例】
# 在HWTACACS方案hwt1中,设置实时计费的时间间隔为51分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【相关命令】
· display hwtacacs scheme
timer response-timeout命令用来设置HWTACACS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情况】
HWTACACS服务器响应超时时间为5秒。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒。
【使用指导】
由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
HWTACACS服务器响应超时时间与配置的HWTACACS服务器总数的乘积不能超过接入模块定义的用户认证超时时间,否则在HWTACACS认证过程完成之前用户就有可能被强制下线。
【举例】
# 在HWTACACS方案hwt1中,设置HWTACACS服务器响应超时时间为30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【相关命令】
· display hwtacacs scheme
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情况】
发送给HWTACACS服务器的用户名携带ISP域名。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。
with-domain:发送给HWTACACS服务器的用户名携带ISP域名。
without-domain:发送给HWTACACS服务器的用户名不携带ISP域名。
【使用指导】
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
【举例】
# 在HWTACACS方案hwt1中,设置发送给HWTACACS服务器的用户名不携带ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
【相关命令】
· display hwtacacs scheme
vpn-instance命令用来配置HWTACACS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
HWTACACS方案属于公网。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效,但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN。
【举例】
# 配置HWTACACS方案hw1所属的VPN为test。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] vpn-instance test
【相关命令】
· display hwtacacs scheme
attribute-map命令用来在LDAP方案中引用LDAP属性映射表。
undo attribute-map命令用来恢复缺省情况。
【命令】
attribute-map map-name
undo attribute-map
【缺省情况】
未引用任何LDAP属性映射表。
【视图】
LDAP方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
map-name:LDAP属性映射表的名称,为1~31个字符的字符串,区分大小写。
【使用指导】
在使用LDAP授权方案的情况下,可以通过在LDAP方案中引用LDAP属性映射表,将LDAP授权服务器下发给用户的LDAP属性映射为AAA模块可以解析的某类属性。
一个LDAP方案视图中只能引用一个LDAP属性映射表,后配置的生效。
如果在LDAP授权过程中修改了引用的LDAP属性映射表,或者修改了引用的LDAP属性映射表的内容,则该修改对当前的授权过程不会生效,只对修改后新的LDAP授权过程生效。
【举例】
# 在LDAP方案ldap1中,引用名称为map1的LDAP属性映射表。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] attribute-map map1
【相关命令】
· display ldap scheme
· ldap attribute-map
authentication-server命令用来指定LDAP认证服务器。
undo authentication-server命令用来恢复缺省情况。
【命令】
authentication-server server-name
undo authentication-server
【缺省情况】
未指定LDAP认证服务器。
【视图】
LDAP方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:LDAP服务器的名称,为1~64个字符的字符串,区分大小写。
【使用指导】
一个LDAP方案视图下仅能指定一个LDAP认证服务器,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在LDAP方案ldap1中,指定LDAP认证服务器为ccc。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authentication-server ccc
【相关命令】
· display ldap scheme
· ldap server
authorization-server命令用来指定LDAP授权服务器。
undo authorization-server命令用来恢复缺省情况。
【命令】
authorization-server server-name
undo authorization-server
【缺省情况】
未指定LDAP授权服务器。
【视图】
LDAP方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:LDAP服务器的名称,为1~64个字符的字符串,区分大小写。
【使用指导】
一个LDAP方案视图下仅能指定一个LDAP授权服务器,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在LDAP方案ldap1中,指定LDAP授权服务器为ccc。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authorization-server ccc
【相关命令】
· display ldap scheme
· ldap server
character-encoding命令用来配置LDAP服务器使用的字符编码格式。
undo character-encoding命令用来恢复缺省情况。
【命令】
character-encoding { gb18030 | utf-8 }
undo character-encoding
【缺省情况】
未配置LDAP服务器使用的字符编码格式,设备与LDAP服务器交互时,不对交互信息的字符编码格式做更改。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
gb18030:GB18030编码格式。
utf-8:UTF-8编码格式。
【使用指导】
缺省情况下,系统使用的字符编码格式为GB18030。管理员在Web界面上输入的配置均以GB18030方式编码后保存在设备上,通过终端软件的命令行界面输入的配置将以终端软件上设置的字符编码方式保存在设备上。如果设备和LDAP服务器交互时使用的字符编码格式不同,可能会出现交互信息中包含的部分字符无法正确解析的问题。例如,当LDAP认证服务器上的用户DN为中文时,这些用户可能会因为DN查询失败而无法上线。因此,为了适配不同LDAP服务器,需要在设备上指定与LDAP服务器兼容的字符编码格式。
指定了LDAP服务器使用的字符编码格式后,设备向服务器发送LDAP报文时,将首先使用缺省的GB18030格式对保存的配置进行解码,然后以指定的字符编码格式对其重新编码;当设备收到LDAP服务器的响应报文后,先按照指定的格式进行解码,然后再以GB18030方式编码后保存。
如果希望切换字符编码格式,建议先完成字符编码的切换,然后再对用户进行LDAP认证。
【举例】
# 在LDAP服务器视图ccc下,配置该LDAP服务器使用的字符编码格式为UTF-8。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] character-encoding utf-8
【相关命令】
· display ldap scheme
display ldap scheme命令用来查看LDAP方案的配置信息。
【命令】
display ldap scheme [ ldap-scheme-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ldap-scheme-name:LDAP方案的名称,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则显示所有LDAP方案的配置信息。
【举例】
# 查看所有LDAP方案的配置信息。
<Sysname> display ldap scheme
Total 1 LDAP schemes
------------------------------------------------------------------
LDAP scheme name : aaa
Authentication server : aaa
IP : 1.1.1.1
Port : 111
VPN instance : Not configured
SSL client policy : Policy1
Source IP : Provided by interface
GigabitEthernet1/0/1
LDAP protocol version : LDAPv3
Server timeout interval : 10 seconds
Login account DN : Not configured
Base DN : Not configured
Search scope : all-level
User searching parameters:
User object class : Not configured
Username attribute : cn
Username format : with-domain
Group filter : (objectclass=group)
Character encoding : UTF-8
Multi-connection : Disabled
TCP idle timeout : 600 seconds
Authorization server : aaa
IP : 1.1.1.1
Port : 111
VPN instance : Not configured
SSL client policy : Policy1
Source IP : 2.2.2.2
LDAP protocol version : LDAPv3
Server timeout interval : 10 seconds
Login account DN : Not configured
Base DN : Not configured
Search scope : all-level
User searching parameters:
User object class : Not configured
Username attribute : cn
Username format : with-domain
Group filter : (objectclass=group)
Character encoding : GB18030
Multi-connection : Disabled
TCP idle timeout : 600 seconds
Attribute map : map1
Search-result-reference : Ignored
------------------------------------------------------------------
表1-15 display ldap scheme命令显示信息描述表
|
字段 |
描述 |
|
Total 1 LDAP schemes |
总共有1个LDAP方案 |
|
LDAP Scheme Name |
LDAP方案名称 |
|
Authentication Server |
LDAP认证服务器名称 未配置时,显示为Not configured |
|
Authorization server |
LDAP授权服务器名称 未配置时,显示为Not configured |
|
IP |
LDAP认证服务器的IP地址 未配置认证服务器IP时,IP地址显示为Not configured |
|
Port |
LDAP认证服务器的端口号 未配置认证服务器IP时,端口号显示为缺省值 |
|
VPN Instance |
VPN实例名称 未配置时,显示为Not configured |
|
SSL client policy |
SSL客户端策略名 未配置时,显示为Not configured |
|
Source IP |
向LDAP服务器发送LDAP报文使用的源IP地址 未配置时,显示为Not configured |
|
LDAP Protocol Version |
LDAP协议的版本号(LDAPv2、LDAPv3) |
|
Server Timeout Interval |
LDAP服务器连接超时时间(单位为秒) |
|
Login Account DN |
管理员用户的DN |
|
Base DN |
用户DN查询的起始DN |
|
Search Scope |
用户DN查询的范围(all-level:所有子目录查询,single-level:下级目录查询) |
|
User Searching Parameters |
用户查询参数 |
|
User Object Class |
查询用户DN时使用的用户对象类型 未配置时,显示为Not configured |
|
Username Attribute |
用户登录账号的属性类型 |
|
Username Format |
发送给服务器的用户名格式 |
|
Group filter |
LDAP用户组过滤条件 |
|
Character encoding |
LDAP服务器使用的字符编码格式(GB18030、UTF-8) 未配置时,不显示该信息 |
|
Multi-conneciont |
TCP多连接模式的开启状态 · Enabled · Disabled |
|
TCP idle timeout |
TCP连接空闲超时定时器的值,单位为秒 |
|
Attribute map |
引用的LDAP属性映射表名称 未配置时,显示为Not configured |
|
Search-result-reference |
是否忽略LDAP响应报文中SearchResultReference字段 · Ingored:忽略 · Not ingnored:正常处理 |
group-filter命令用来配置用户组过滤条件。
undo group-filter命令用来恢复缺省情况。
【命令】
group-filter group-filter
undo group-filter
【缺省情况】
用户组的过滤条件是"(objectclass=group)"。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-filter:组过滤条件,为1~127个字符的字符串,区分大小写。组过滤条件字符串的写作规则由LDAP服务器定义。
【使用指导】
设备从LDAP服务器上导入用户组信息时,LDAP服务器会根据设置的用户组过滤条件筛选出符合条件的用户组信息发送给设备。
【举例】
# 在LDAP服务器视图ccc下,配置用户组过滤条件为(&(objectclass=group)(name=group1))。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] group-filter (&(objectclass=group)(name=group1))
【相关命令】
· display ldap scheme
ignore search-result-reference命令用来配置设备忽略LDAP查询结果中的SearchResultReference字段。
undo ignore search-result-reference命令用来恢复缺省情况。
【命令】
ignore search-result-reference
undo ignore search-result-reference
【缺省情况】
设备正常处理LDAP查询结果中的SearchResultReference字段。
【视图】
LDAP方案视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
如果网络中的LDAP数据库进行了分布式部署,那么收到用户DN查询请求的LDAP服务器可能会因为本机指定目录下未能查询到所有用户DN,而在发送给设备的查询响应报文中携带一个或多个SearchResultReference字段,每个SearchResultReference字段携带一个URL信息,用于通知设备继续向此URL指代的LDAP服务器进行查询。
缺省情况下,设备收到查询响应报文后,如果设备上同时部属了DNS客户端功能,将会对SearchResultReference字段中的URL发起域名解析,然后向解析成功的LDAP服务器地址发起匿名查询请求(即,未进行管理员绑定操作,直接进行用户DN查询)。在此过程中,设备发起的任意一次域名解析失败,或者任意一次LDAP服务器匿名查询失败,均会导致最终的LDAP查询结果为失败,设备会将已经获取到的查询结果全部丢弃。
如果设备上配置了DNS客户端功能,在LDAP服务器管理员确认待查询的用户数据集中保存于其中一个LDAP数据库上时,建议开启此功能。在LDAP方案视图下开启本功能后,设备将会忽略LDAP查询结果中携带的SearchResultReference字段,保存当前查询到的用户数据,以避免因以下两种情况导致的整体查询失败:
· LDAP服务器部署异常,导致LDAP服务器应答查询请求时携带了SearchResultReference字段,而设备未能及时完成对SearchResultReference字段中所有URL的域名解析。
· LDAP服务器不支持匿名查询功能,设备发起的匿名查询请求被服务器拒绝。
【举例】
# 在LDAP方案视图ldap1下,配置设备忽略LDAP查询结果中的SearchResultReference字段。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] ignore search-result-reference
【相关命令】
· display ldap scheme
ip命令用来配置LDAP服务器的IP地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ip-address [ port port-number ] [ vpn-instance vpn-instance-name ] [ ssl-client-policy policy-name ] [ multi-connection ]
undo ip
【缺省情况】
未配置LDAP服务器的IP地址。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:LDAP服务器的IP地址。
port port-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。如果指定了ssl-client-policy参数,则该缺省值为636。
vpn-instance vpn-instance-name:LDAP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例的名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示LDAP服务器属于公网。
ssl-client-policy policy-name:指定LDAP服务器引用的SSL客户端策略。其中policy-name表示SSL客户端策略名,为1~255个字符的字符串,不区分大小写。引用的SSL客户端策略必须已存在。不指定该参数时,表示LDAP认证不支持SSL。
multi-connection:与LDAP服务器进行会话时建立的TCP连接采用多连接模式,即不同的会话会建立不同的TCP连接。如果不指定本参数,则与LDAP服务器交互建立的TCP连接采用单连接模式,即所有会话均采用同一个TCP连接。
【使用指导】
在LDAP认证过程中,某些特殊服务器只能根据源端口号来识别和处理不同的会话请求。缺省情况下,LDAP客户端与本命令指定的LDAP服务器采用单连接模式建立TCP连接。但当不同用户终端同时进行LDAP认证,所有用户会话均采用同一条TCP连接时,不同用户TCP连接的源端口号均相同,服务器可能无法正确接收和处理这些并发的会话请求,从而导致部分用户认证失败。这种情况下指定multi-connection参数,通过建立不同的TCP连接,保证不同账号终端建立TCP连接的源端口号不一致,可以避免因并发认证而导致的认证失败问题。
需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
更改后的服务器IP地址和端口号,只对更改之后进行的LDAP认证生效。
有关SSL客户端策略的详细介绍,请参见“安全配置指导”中的“SSL”。
【举例】
# 配置LDAP服务器ccc的IP地址为192.168.0.10、端口号为4300、VPN实例名为vpn1、SSL客户端策略名为policy1。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300 vpn-instance vpn1 ssl-client-policy policy1
【相关命令】
· ldap server
ipv6命令用来配置LDAP服务器的IPv6地址。
undo ipv6命令用来恢复缺省情况。
【命令】
ipv6 ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ] [ ssl-client-policy policy-name ] [ multi-connection ]
undo ipv6
【缺省情况】
未配置LDAP服务器的IP地址。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:LDAP服务器的IPv6地址。
port port-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。如果指定了ssl-client-policy参数,则该缺省值为636。
vpn-instance vpn-instance-name:LDAP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例的名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示LDAP服务器属于公网。
ssl-client-policy policy-name:指定LDAP服务器引用的SSL客户端策略。其中policy-name表示SSL客户端策略名,为1~255个字符的字符串,不区分大小写。引用的SSL客户端策略必须已存在。不指定该参数时,表示LDAP认证不支持SSL。
multi-connection:与LDAP服务器进行会话交互时建立的TCP连接采用多连接模式,即不同的会话会建立不同的TCP连接。如果不指定本参数,则与LDAP服务器交互建立的TCP连接采用单连接模式,即所有会话均采用同一个TCP连接。
【使用指导】
在LDAP认证过程中,某些特殊服务器只能根据源端口号来识别和处理不同的会话请求。缺省情况下,LDAP客户端与本命令指定的LDAP服务器采用单连接模式建立TCP连接。但当不同用户终端同时进行LDAP认证,所有用户会话均采用同一条TCP连接时,不同用户TCP连接的源端口号均相同,服务器可能无法正确接收和处理这些并发的会话请求,从而导致部分用户认证失败。这种情况下指定multi-connection参数,通过建立不同的TCP连接,保证不同账号终端建立TCP连接的源端口号不一致,可以避免因并发认证而导致的认证失败问题。
需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
更改后的服务器IP地址和端口号,只对更改之后的LDAP认证生效。
有关SSL客户端策略的详细介绍,请参见“安全配置指导”中的“SSL”。
【举例】
# 配置LDAP服务器ccc的IPv6地址为1:2::3:4、端口号为4300、VPN实例名为vpn1、SSL客户端策略名为policy1。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300 vpn-instance vpn1 ssl-client-policy policy1
【相关命令】
· ldap server
ldap attribute-map命令用来创建LDAP属性映射表,并进入LDAP属性映射表视图。如果指定的LDAP属性映射表已经存在,则直接进入LDAP属性映射表视图。
undo ldap attribute-map命令用来删除指定的LDAP属性映射表。
【命令】
ldap attribute-map map-name
undo ldap attribute-map map-name
【缺省情况】
不存在LDAP属性映射表。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
map-name:LDAP属性映射表的名称,为1~31个字符的字符串,分大小写。
【使用指导】
一个LDAP的属性映射表中可以添加多个LDAP属性映射表项,每个表项表示一个LDAP 属性和一个AAA属性的映射关系。
可以通过多次执行本命令配置多个LDAP的属性映射表。
【举例】
# 创建名称为map1的LDAP属性映射表,并进入该属性映射表视图。
<Sysname> system-view
[Sysname] ldap attribute-map map1
[Sysname-ldap-map-map1]
【相关命令】
· attribute-map
· ldap scheme
· map
ldap scheme命令用来创建LDAP方案,并进入LDAP方案视图。如果指定的LDAP方案已经存在,则直接进入LDAP方案视图。
undo ldap scheme命令用来删除指定的LDAP方案。
【命令】
ldap scheme ldap-scheme-name
undo ldap scheme ldap-scheme-name
【缺省情况】
不存在LDAP方案。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-scheme-name:LDAP方案的名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个LDAP方案可以同时被多个ISP域引用。
系统最多支持配置16个LDAP方案。
【举例】
# 创建名称为ldap1的LDAP方案并进入其视图。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1]
【相关命令】
· display ldap scheme
ldap server用来创建LDAP服务器,并进入LDAP服务器视图。如果指定的LDAP服务器已经存在,则直接进入LDAP服务器视图。
undo ldap server命令用来删除指定的LDAP服务器。
【命令】
ldap server server-name
undo ldap server server-name
【缺省情况】
不存在LDAP服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写。
【举例】
# 创建LDAP服务器ccc并进入其视图。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc]
【相关命令】
· display ldap scheme
login-dn命令用来配置具有管理员权限的用户DN。
undo login-dn命令用来恢复缺省情况。
【命令】
login-dn dn-string
undo login-dn
【缺省情况】
未配置具有管理员权限的用户DN。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
dn-string:具有管理员权限的用户DN,是绑定服务器时使用的用户标识名,为1~255个字符的字符串,不区分大小写。
【使用指导】
设备上的管理员DN必须与服务器上管理员的DN一致。
更改后的管理员DN,只对更改之后的LDAP认证生效。
【举例】
# 在LDAP服务器视图ccc下,配置管理员权限的用户DN为uid=test, ou=people, o=example, c=city。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-dn uid=test,ou=people,o=example,c=city
【相关命令】
· display ldap scheme
login-password命令用来配置LDAP认证中,绑定服务器时所使用的具有管理员权限的用户密码。
undo login-password命令用来恢复缺省情况。
【命令】
login-password { cipher | simple } string
undo login-password
【缺省情况】
未配置具有管理权限的用户密码。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~128个字符的字符串,密文密码为1~201个字符的字符串。
【使用指导】
该命令只有在配置了login-dn的情况下生效。当未配置login-dn时,该命令不生效。
【举例】
# 在LDAP服务器视图ccc下,配置具有管理员权限的用户密码为明文abcdefg。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-password simple abcdefg
【相关命令】
· display ldap scheme
· login-dn
map命令用来配置LDAP属性映射表项。
undo map命令用来删除指定的LDAP属性映射表项。
【命令】
map ldap-attribute ldap-attribute-name [ prefix prefix-value ] [ delimiter delimiter-value ] aaa-attribute user-group
undo map [ ldap-attribute ldap-attribute-name ]
【缺省情况】
未指定LDAP属性映射关系。
【视图】
LDAP属性映射表视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-attribute ldap-attribute-name:表示要映射的LDAP属性。其中,ldap-attribute-name表示LDAP属性名称,为1~63个字符的字符串,区分大小写。
prefix prefix-value:表示按照一定的格式提取LDAP属性字符串中的内容映射为AAA属性。其中,prefix-value表示LDAP属性字符串中的某内容前缀(例如cn=),为1~7个字符的字符串,区分大小写。若不指定该参数,则表示要映射的LDAP属性字符串没有前缀。
delimiter delimiter-value:表示LDAP属性字符串中的内容分隔符(例如逗号)。若不指定该参数,则表示映射的LDAP属性字符串是一个整体,不需要内容分隔。
aaa-attribute:表示要映射为的AAA属性。
mobile-number:表示Mobile number类型的AAA属性。
user-group:表示User group类型的AAA属性。
【使用指导】
如果某LDAP服务器下发给用户的属性不能被AAA模块解析,则该属性将被忽略。因此,需要通过本命令指定要获取哪些LDAP属性,以及LDAP服务器下发的这些属性将被AAA模块解析为什么类型的AAA属性,具体映射为哪种类型的AAA属性由实际应用需求决定。
一个LDAP服务器属性只能映射为一个AAA属性,但不同的LDAP服务器属性可映射为同一个AAA属性。
如果undo map命令中不指定ldap-attribute参数,则表示删除所有的LDAP属性映射表项。
【举例】
# 在LDAP属性映射表视图map1下,配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号(,)的格式提取出的内容映射成AAA属性User group。
<Sysname> system-view
[Sysname] ldap attribute-map map1
[Sysname-ldap-map-map1] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
【相关命令】
· ldap attribute-map
· user-group
protocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号。
undo protocol-version命令用来恢复缺省情况。
【命令】
protocol-version { v2 | v3 }
undo protocol-version
【缺省情况】
LDAP版本号为LDAPv3。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
v2:表示LDAP协议版本号为LDAPv2。
v3:表示LDAP协议版本号为LDAPv3。
【使用指导】
为保证LDAP认证成功,请保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致。
更改后的服务器版本号,只对更改之后的LDAP认证生效。
Microsoft的LDAP服务器只支持LDAPv3,配置LDAP版本为v2时无效。
【举例】
# 在LDAP服务器视图ccc下,配置LDAP协议版本号为LDAPv2。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] protocol-version v2
【相关命令】
· display ldap scheme
search-base-dn命令用来配置用户查询的起始DN。
undo search-base-dn命令用来恢复缺省情况。
【命令】
search-base-dn base-dn
undo search-base-dn
【缺省情况】
未指定用户查询的起始DN。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
base-dn:查询待认证用户的起始DN值,为1~255个字符的字符串,不区分大小写。
【举例】
# 在LDAP服务器视图ccc下,配置用户查询的起始DN为dc=ldap,dc=com。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com
【相关命令】
· display ldap scheme
· ldap server
search-scope命令用来配置用户查询的范围。
undo search-scope命令用来恢复缺省情况。
【命令】
search-scope { all-level | single-level }
undo search-scope
【缺省情况】
用户查询的范围为all-level。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
all-level:表示在起始DN的所有子目录下进行查询。
single-level:表示只在起始DN的下一级子目录下进行查询。
【举例】
# 在LDAP服务器视图ccc下,配置在起始DN的所有子目录下查询LDAP认证用户。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-scope all-level
【相关命令】
· display ldap scheme
· ldap server
server-timeout命令用来配置LDAP服务器连接超时时间,即认证、授权时等待LDAP服务器回应的最大时间。
undo server-timeout命令用来恢复缺省情况。
【命令】
server-timeout time-interval
undo server-timeout
【缺省情况】
LDAP服务器连接超时时间为10秒。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-interval:LDAP服务器连接超时时间,取值范围为5~20,单位为秒。
【使用指导】
更改后的连接超时时间,只对更改之后的LDAP认证生效。
【举例】
# 在LDAP服务器视图ccc下,配置LDAP服务器连接超时时间为15秒。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] server-timeout 15
【相关命令】
· display ldap scheme
source-ip命令用来配置设备发送LDAP报文使用的源IP地址。
undo source-ip命令用来删除指定的发送LDAP报文使用的源IP地址。
【命令】
source-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }
undo source-ip [ interface | ipv6 ]
【缺省情况】
未指定发送LDAP报文使用的源IP地址,设备将使用到达LDAP服务器的路由出接口的主IPv4地址或IPv6地址作为发送LDAP报文的源IP地址。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface interface-type interface-number:指定源接口,即发送LDAP报文的源IPv4地址为该接口的主IPv4地址,发送LDAP报文的源IPv6地址为该接口上配置的IPv6地址。interface-type interface-number为接口类型和接口编号。
ipv4-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
如果对设备向LDAP服务器发送LDAP报文使用的源IP地址有特殊要求,可通过命令进行设置。
一个LDAP服务器视图下:
· 最多允许指定一个IPv4源地址和一个IPv6源地址。
· 最多允许指定一个源接口,请确保指定的源接口与LDAP服务器路由可达。
· 指定的源接口所属的VPN实例必须与LDAP服务器所属的VPN实例相同,否则源接口配置不会生效。
· 指定的源地址协议类型(IPv4或IPv6)必须与LDAP服务器地址的协议类型相同,否则源地址配置不会生效。
· 源接口配置和源IP地址配置不能同时存在,后配置的生效。
【举例】
# 在LDAP服务器视图ccc下,配置发送LDAP报文使用的源IP地址为3.3.3.3。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] source-ip 3.3.3.3
# 在LDAP服务器视图ddd下,配置发送LDAP报文使用的源接口为GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] ldap server ddd
[Sysname-ldap-server-ddd] source-ip interface gigabitethernet 1/0/1
timer connect-idle-timeout命令用来配置TCP连接空闲超时时间。
undo timer connect-idle-timeout命令用来恢复缺省情况。
【命令】
timer connect-idle-timeout time-value
undo timer connect-idle-timeout
【缺省情况】
TCP连接空闲超时时间为10分钟。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:TCP连接空闲超时时间,取值范围为0~3600,单位为秒。
【使用指导】
为了避免TCP连接处于无效、僵死或者异常状态下占用资源,以及应对网络异常、故障或恶意攻击等情况。因此,需要配置TCP连接空闲超时时间,以确保网络连接可以在一定时间内得到有效维护和及时处理异常情况,从而提高网络通信的稳定性和可靠性。
LDAP客户端与LDAP服务器建立TCP连接后,TCP连接空闲超时定时器启动。如果在空闲超时时间内,LDAP客户端与LDAP服务器通过此连接进行了报文交互(LDAP客户端发送请求报文或LDAP服务器回复报文),则刷新此TCP连接的空闲超时时间,否则断开此TCP连接。
多次执行本命令,最后一次执行的配置生效。
【举例】
# 在LDAP服务器视图ccc下,配置TCP连接闲置定时器的值为600秒。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] timer connect-idle-timeout 600
【相关命令】
· ldap server
user-parameters命令用来配置LDAP用户查询的属性参数,包括用户名属性、用户名格式和自定义用户对象类型。
undo user-parameters命令用来将指定的LDAP用户查询的属性参数恢复为缺省值。
【命令】
user-parameters { user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }
undo user-parameters { user-name-attribute | user-name-format | user-object-class }
【缺省情况】
user-name-attribute为cn;user-name-format为without-domain;未指定自定义user-object-class,根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name-attribute { name-attribute | cn | uid }:表示用户名的属性类型。其中,name-attribute表示属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户登录账号的属性为cn(Common Name);uid表示用户登录账号的属性为uid(User ID)。
user-name-format { with-domain | without-domain }:表示发送给服务器的用户名格式。其中,with-domain表示发送给服务器的用户名带ISP域名;without-domain表示发送给服务器的用户名不带ISP域名。
user-object-class object-class-name:表示查询用户DN时使用的用户对象类型。其中,object-class-name表示对象类型值,为1~64个字符的字符串,不区分大小写。
【使用指导】
如果LDAP服务器上的用户名不包含域名,必须配置user-name-format为without-domain,将用户名的域名去除后再传送给LDAP服务器;如果包含域名则需配置user-name-format为with-domain。
【举例】
# 在LDAP服务器视图ccc下,配置用户对象类型为person。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] user-parameters user-object-class person
【相关命令】
· display ldap scheme
· login-dn
aaa sso scheme命令用来创建SSO协议方案,并进入SSO协议方案视图。如果指定的SSO协议方案已经存在,则直接进入SSO协议方案视图。
undo aaa sso scheme命令用来删除指定的SSO协议方案。
【命令】
aaa sso scheme scheme-name
undo aaa sso scheme scheme-name
【缺省情况】
不存在SSO协议方案。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
mdc-context
vsys-admin
【参数】
scheme-name:SSO协议方案的名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
AAA支持SSO(Single Sign on,单点登录)是指用户只需要完成一次登录认证,即可访问所有相互信任的设备。SSO的基本原理是使用一种安全的方式进行身份验证,然后将用户的凭证保存在一个受信任的位置。当用户要访问设备时,这些设备可以通过该位置验证用户的身份,而不必再次要求用户输入用户名和密码。通过SSO单点登录,用户可以方便快捷地访问各种设备,无需输入大量的用户名和密码,这样既提高了用户体验,又降低了信息安全风险。
SSO协议方案用于定义设备与指定类型的SSO认证服务器交互SSO协议报文时使用的相关配置参数。
一个SSO协议方案可以同时被多个ISP域引用。
系统最多支持配置16个SSO协议方案。
【举例】
# 创建名称为pp1的SSO协议方案,并进入SSO协议方案视图。
<Sysname> system-view
[Sysname] aaa sso scheme pp1
[Sysname-aaa-sso-pp1]
【相关命令】
· display aaa sso scheme
body-parameter命令用来配置设备以POST方式发送请求报文时携带的参数。
undo body-parameter命令用来删除指定类型的参数。
【命令】
body-parameter { get-token | get-user } parameter-name value value
undo body-parameter { get-token | get-user } parameter-name
【缺省情况】
未配置请求报文中携带的任何参数。
【视图】
SSO协议方案视图
【缺省用户角色】
network-admin
mdc-admin
context-admin
vsys-admin
【参数】
get-token:表示该参数用于获取Token。
get-user:表示该参数用于获取用户信息。
parameter-name:请求报文中携带的参数名称,为1~32个字符的字符串,区分大小写。参数名称对应的参数值由value后的参数指定。
value value:指定参数值,其中value表示参数值,为1~256个字符的字符串,区分大小写。
【使用指导】
设备向SSO认证服务器认证时,认证报文中需要携带一些参数信息,用于SSO认证服务器对设备进行身份认证,用户也可以根据认证服务器的要求配置自定义的其他参数。
可以通过多次执行本命令配置多条参数。
多次执行本命令且参数类型和参数名parameter-name均相同,则最后一次执行的命令生效。
本命令配置的参数由第三方服务器管理员提供。
【举例】
# 以POST方式获取Token时,需携带的参数名为grant-type,参数值为authorization_code。
<Sysname> system-view
[Sysname] aaa sso scheme ccc
[Sysname-sso-ccc] body-parameter get-token grant-type value authorization_code
display aaa sso scheme命令用来查看SSO协议方案的配置信息。
【命令】
display aaa sso scheme [ scheme-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
scheme-name:SSO协议方案的名称,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则显示所有SSO协议方案的配置信息。
【举例】
# 查看所有SSO协议方案的配置信息。
<Sysname> display aaa sso scheme
Total 1 SSO protocol schemes
------------------------------------------------------------------
SSO protocol scheme name : pp1
Redirect :
URL : https://example
Parse-parm:
Attribute From Attribute-object
code parameter abc
Get token:
URL : https://xyz
Request method : post
Body :
Parameter Value
token $token
Response format : json
Parse-parm : access_token
Get user:
URL : https://xyz
Request method : get
Response format : json
Parse-parm : Not configured
Decrypt object :data
Key name :sso
Public key :Not configured
# 查看SSO协议方案pp1的配置信息。
<Sysname> display aaa sso scheme pp1
------------------------------------------------------------------
SSO protocol scheme name : pp1
Redirect :
URL : https://example
Parse-parm : Not configured
Get token:
URL : https://xyz
Request method : post
Body :Not configured
Response format : json
Parse-parm : access_token
Get user:
URL : https://xyz
Request method : get
Response format : json
Parse-parm : Not configured
Decrypt object :data
Key name :sso
Public key :Not configured
表1-16 display aaa sso scheme命令显示信息描述表
|
字段 |
描述 |
|
Total x SSO protocol schemes |
总共有x个SSO协议方案 |
|
SSO protocol scheme name |
SSO协议方案名称 |
|
Redirect |
重定向配置 |
|
URL |
URL配置,未配置时,显示为Not configured |
|
Get token |
获取用户Token配置 |
|
Request method |
请求方法,取值包括: · post:请求方式为POST · get:请求方式为GET 未配置时,显示为Not configured |
|
Get user |
获取用户信息配置 |
|
Body |
当请求方法为POST时显示该字段,请求方法为GET时不显示该字段 未配置时,显示为Not configured |
|
Parameter |
参数名 |
|
Value |
参数值 |
|
Response format |
回应报文的格式,取值包括: · json:报文格式为JSON · xml:报文格式为XML 未配置时,显示为Not configured |
|
Parse-parm |
回应报文需要解析的参数 未配置时,显示为Not configured |
|
Attribute |
需要获取的信息类型,取值包括: · access-token:从报文中获取Token · code:从报文中获取Code · ticket :从报文中获取Ticket · user-name:从报文中获取用户名 · user-role:从报文中获取用户角色 |
|
From |
获取信息的来源 |
|
Attribute-object |
报文解析规则 |
|
Decrypt object |
需要加密的对象 未配置时,显示为Not configured |
|
Key name |
获取用户信息时使用的私钥 未配置时,显示为Not configured |
|
Public key |
获取用户信息时第三方服务器使用的公钥 未配置时,显示为Not configured |
【相关命令】
· aaa sso scheme
get-token url命令用来配置设备获取Token的URL。
undo get-token url命令用来恢复缺省情况。
【命令】
get-token url url-string [ request-method { get | post } ] [ response-format { json | xml } ]
undo get-token url
【缺省情况】
未配置设备获取Token的URL。
【视图】
SSO协议方案视图
【缺省用户角色】
network-admin
mdc-admin
context-admin
vsys-admin
【参数】
url-string:设备获取Token的URL,为1~255个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
request-method:指定HTTP请求方式。若不指定本参数,则表示HTTP请求方式采用GET方式。
· get:表示HTTP请求方式为GET。
· post:表示HTTP请求方式为POST。
response-format:指定HTTP应答报文的格式。若不指定本参数,则表示HTTP应答报文格式采用JSON格式。
· json:表示应答报文格式为JSON。
· xml:表示应答报文格式为XML。
【使用指导】
本命令指定的URL为设备从SSO认证服务器获取Token的云管URL,该URL需要管理员从SSO认证服务器获取。
设备需要开启域名解析功能,以便设备能够根据配置的URL解析其对应的IP地址。有关域名解析的详细介绍,请参见“三层技术-IP业务”中的“域名解析”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置设备获取Token的URL为https://www.example.com/example1,HTTP请求方式为POST,应答报文格式为JSON。
<Sysname> system-view
[Sysname] aaa sso scheme ccc
[Sysname-sso-ccc] get-token url https://www.example.com/example1 request-method post response-format json
get-user url命令用来配置从SSO认证服务器获取用户信息的URL。
undo get-user url命令用来恢复缺省情况。
【命令】
get-user url url-string [ request-method { get | post } ] [ response-format { json | xml } ] [ decrypt object key name ]
undo get-user url
【缺省情况】
未配置从SSO认证服务器获取用户信息的URL。
【视图】
SSO协议方案视图
【缺省用户角色】
network-admin
mdc-admin
context-admin
vsys-admin
【参数】
url-string:从SSO认证服务器获取用户信息的URL,为1~255个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
request-method:指定HTTP请求方式。若不指定本参数,则表示HTTP请求方式采用GET方式。
· get:表示HTTP请求方式为GET。
· post:表示HTTP请求方式为POST。
response-format:指定HTTP应答报文的格式。若不指定本参数,则表示HTTP应答报文格式采用JSON格式。
· json:表示应答报文格式为JSON。
· xml:表示应答报文格式为XML。
decrypt object:指定加密内容的位置,object表示加密内容的位置,为1~32个字符的字符串。
key name:解密用的私钥,name表示私钥的名称,为1~255个字符的字符串。
【使用指导】
本命令指定的URL为从SSO认证服务器获取用户信息的URL,设备可以通过此URL从SSO认证服务器获取用户信息。
设备发送获取用户信息的请求报文时,可以通过request-method参数指定请求方式;通过response-format参数指定HTTP应答报文的格式。通过decrypt参数指定回应报文中哪些属性可以做加密处理。
设备需要开启域名解析功能,以便设备能够根据配置的URL解析其对应的IP地址。有关域名解析的详细介绍,请参见“三层技术-IP业务”中的“域名解析”。
本命令配置的URL需要管理员从SSO认证服务器获取。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置SSO认证服务器的URL为https://www.example.com/example1。
<Sysname> system-view
[Sysname] aaa sso scheme ccc
[Sysname-sso-ccc] get-user url https://www.example.com/example1
【相关命令】
· display aaa sso scheme
parse-parameter命令用来配置从回应报文中解析参数的规则。
undo parse-parameter命令用来恢复缺省情况。
【命令】
parse-parameter { access-token | code | ticket | user-name | user-role } from { get-token | get-user } { body | parameter } attribute-object
parse-parameter { access-token | code | ticket | user-name | user-role } from redirect parameter attribute-object
undo parse-parameter { access-token | code | ticket | user-name | user-role } from { get-token | get-user | redirect }
【缺省情况】
未配置从回应报文中解析参数的规则。
【视图】
SSO协议方案视图
【缺省用户角色】
network-admin
mdc-admin
context-admin
vsys-admin
【参数】
access-token:表示从报文中获取Token。
code:表示从报文中获取Code。
ticket:表示从报文中获取Ticket。
user-name:表示从报文中获取用户名。
user-role:表示从报文中获取用户角色。
from:表示参数来源。
get-token:表示信息来自于get-token回应报文。
get-user:表示信息来自于get-user回应报文。
redirect:表示信息来自于重定向报文。
body:表示信息来自于报文的body部分。
parameter:表示信息来自于报文URL的parameter部分。
attribute-object:表示解析回应报文的规则,规则使用符号“.”区分层级,例如content.userName表示从content数据段中获取userName。
【使用指导】
当设备收到一条回应报文时,设备根据本命令配置的参数解析规则对报文进行解析,从而获取认证时所需的认证参数。在以isAdmin结尾的user-role属性中,isAdmin=1表示network-admin,isAdmin=0表示network-operator。
【举例】
# 配置从get-user回应报文的body部分中解析用户名信息,解析规则为content.userName,即从content数据段中获取userName。
<Sysname> system-view
[Sysname] aaa sso scheme ccc
[Sysname-sso-ccc] parse-parameter user-name from get-user body content.userName
redirect url命令用来配置重定向URL。
undo redirect url命令用来恢复缺省情况。
【命令】
redirect url url-string
undo redirect url
【缺省情况】
未配置重定向URL。
【视图】
SSO协议方案视图
【缺省用户角色】
network-admin
mdc-admin
context-admin
vsys-admin
【参数】
url-string:重定向URL,为1~255个字符的字符串,区分大小写。URL地址可以包括“?”字符,在命令行接口输入<?>无法获得本参数的在线帮助。
【使用指导】
本命令指定的重定向URL用于触发设备的SSO单点登录功能,并将用户的认证请求重定向到SSO认证服务器。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置重定向URL为https://www.example.com/example2。
<Sysname> system-view
[Sysname] aaa sso scheme ccc
[Sysname-sso-ccc] redirect url https://www.example.com/example2
【相关命令】
· display aaa sso scheme
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
