- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
18-AAA命令
本章节下载 (430.14 KB)
目 录
1.1.18 local-user password-display-mode
1.2.6 display local-server statistics
1.2.8 display radius statistics
1.2.9 display stop-accounting-buffer
1.2.20 reset radius statistics
1.2.21 reset stop-accounting-buffer
1.2.23 retry realtime-accounting
1.2.26 secondary authentication
1.2.29 stop-accounting-buffer enable
1.2.32 timer realtime-accounting
1.3.3 display stop-accounting-buffer
1.3.11 reset hwtacacs statistics
1.3.12 reset stop-accounting-buffer
1.3.15 secondary authentication
1.3.16 secondary authorization
1.3.18 timer realtime-accounting
l 新增“配置列表型动态VLAN下发方式”(又称Auto VLAN特性),具体命令请参见1.1.27 vlan-assignment-mode。
l 新增“RADIUS授权属性忽略功能”特性,具体命令请参见1.2.3 attribute-ignore。
【命令】
access-limit { disable | enable max-user-number }
undo access-limit
【视图】
ISP域视图
【参数】
disable:表示不限制当前ISP域可容纳的接入用户数。
enable max-user-number:表示当前ISP域可容纳用户数的最大值,max-user-number的取值范围为1~1048。
【描述】
access-limit命令用来指定当前ISP域可容纳用户数的最大值。
undo access-limit命令用来恢复缺省设置。
缺省情况下,不限制当前ISP域可容纳的用户数。
由于接入用户之间会发生资源的争用,因此适当地配置可接入用户数可以使属于当前ISP域的用户获得可靠的性能保障。
【举例】
# 指定ISP域“example.com”最多可容纳500个接入用户。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] access-limit enable 500
【命令】
attribute { ip ip-address | mac mac-address | idle-cut second | access-limit max-user-number | vlan vlan-id | location { nas-ip ip-address port port-number | port port-number } }*
undo attribute { ip | mac | idle-cut | access-limit | vlan | location }*
【视图】
本地用户视图
【参数】
ip ip-address:指定接入用户的IP地址。
mac mac-address:指定接入用户的MAC地址。其中,mac-address为H-H-H格式。
idle-cut second:允许本地用户启用闲置切断功能,配置闲置切断时间。second为设定的闲置切断时间,取值范围60~7200,单位为秒。
access-limit max-user-number:指定可以用当前用户名接入设备的最大用户数。max-user-number取值范围为1~1024。
vlan vlan-id:设置接入用户的VLAN属性,即设置用户所属于的VLAN,vlan-id为整数,取值范围1~4094。
location:设置接入用户的端口绑定属性。
nas-ip ip-address:用户远端端口绑定时接入服务器的IP地址,ip-address为IP地址,为点分十进制格式。缺省为127.0.0.1,表示为本机。当指定用户绑定的是远程端口,则该用户必须指定nas-ip参数,若用户绑定的是本地端口,则不需要指定nas-ip参数。
port port-number:设置接入用户绑定的端口,port-number输入为“设备号/槽号/端口号”样式,其中设备号取值范围为1~8;槽号取值范围为0~15,如绑定的端口没有槽号,对应项输入0即可;端口号取值范围为1~255。
【描述】
attribute命令用来设置服务类型为lan-access用户的一些属性值。undo attribute命令用来取消对用户属性值的设置。
各配置项的查看,可参考命令display local-user。
【举例】
# 创建本地用户user1,并指定接入用户的IP地址属性为10.110.50.1,即只有IP地址为10.110.50.1的用户能以user1用户名进行认证。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user user1
New local user added.
[Sysname-luser- user1] password simple pass1
[Sysname-luser- user1] service-type lan-access
[Sysname-luser-user1] attribute ip 10.110.50.1
【命令】
accounting { none | radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name }
undo accounting
【视图】
ISP域视图
【参数】
none:不进行用户计费。
radius-scheme radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。
hwtacacs-scheme hwtacacs-scheme-name:HWTACACS方案名,为不超过32个字符的字符串。
【描述】
accounting命令用来配置当前ISP域使用的计费方案。undo accounting命令用来删除ISP域使用的计费方案。
缺省情况下,没有配置分离的计费方案。
accounting命令为当前ISP域指定引用的RADIUS或HWTACACS方案时,所引用的RADIUS或HWTACACS方案必须是已经设置好的。
在域视图下,如果配置了accounting命令,则采用该命令中引用的计费方案进行计费;否则使用scheme命令中引用的方案进行计费。
相关配置可参考命令scheme,radius scheme,hwtacacs scheme,accounting optional。
【举例】
# 指定当前ISP域example.com引用的RADIUS计费方案为radius。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] accounting radius-scheme radius
【命令】
accounting optional
undo accounting optional
【视图】
ISP域视图
【参数】
无
【描述】
accounting optional命令用来设置用户计费可选。undo accounting optional命令用来设置强制用户计费。
系统缺省为强制用户计费。
需要注意:
l 在对上线用户计费时,如果没有可用的RADIUS计费服务器,或者与RADIUS计费服务器通信失败时,若配置了accounting optional命令,则用户可以继续使用网络资源,否则用户将被切断。
l accounting optional命令经常被用于只认证不计费的情况。
l ISP域视图下的accounting optional对该域下所有用户有效,RADIUS方案视图下的accounting optional对使用该RADIUS方案的用户有效。
【举例】
# 配置ISP域名为example.com的用户计费可选。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] accounting optional
【命令】
authentication { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none }
undo authentication
【视图】
ISP域视图
【参数】
radius-scheme radius-scheme-name:指定认证使用的RADIUS方案。
hwtacacs-scheme hwtacacs-scheme-name:HWTACACS方案名,为不超过32个字符的字符串。
local:指定认证使用本地认证方案。
none:不认证。
【描述】
authentication命令用来配置当前ISP域使用的认证方案。undo authentication命令用来恢复域缺省的认证方案。
缺省情况下,没有配置分离的认证方案。
需要注意以下几点:
l 当使用authentication命令为当前ISP域指定引用的RADIUS方案时,所引用的RADIUS方案必须是已经设置好的。
l 如果配置了authentication radius-scheme radius-scheme-name local,则local为RADIUS服务器没有正常响应后的备选认证方案。即当RADIUS服务器有效时,不使用本地认证;当RADIUS服务器无效时,使用本地认证。
l 如果配置了authentication hwtacacs-scheme hwtacacs-scheme-name local,则local为TACACS服务器没有正常响应后的备选认证方案。即当TACACS服务器有效时,不使用本地认证;当TACACS服务器无效时,使用本地认证。
l 如果local或者none作为第一方案,那么只能采用本地认证或者不进行认证,不会进行备选方案切换。
l 在域视图下,如果配置了authentication命令,则采用该命令中引用的认证方案进行认证;否则使用scheme命令中引用的方案进行认证。
相关配置可参考命令scheme,radius scheme,hwtacacs scheme。
【举例】
# 指定当前ISP域example.com引用的RADIUS认证方案为radius1 。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] authentication radius-scheme radius1
# 设置ISP域aabbcc引用的RADIUS认证方案为rd,并采用local作为备选认证方案。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain aabbcc
New Domain added.
[Sysname-isp-aabbcc] authentication radius-scheme rd local
【命令】
authentication super hwtacacs-scheme hwtacacs-scheme-name
undo authentication super
【视图】
ISP域视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:HWTACACS方案名,为不超过32个字符的字符串。
【描述】
authentication super命令用来配置当前ISP域用户切换级别所使用的HWTACACS认证方案。undo authentication super命令用来取消当前ISP域用户切换级别所使用的HWTACACS认证方案。
缺省情况下,没有配置当前ISP域用户切换级别所使用的HWTACACS认证方案。
当使用authentication super命令为当前ISP域指定用户切换级别所使用的HWTACACS方案时,所使用的HWTACACS方案必须是已经设置好的。
以太网交换机的命令行采用分级保护方式,禁止低级别用户执行高级别命令对交换机进行配置。低级别用户向高级别用户切换时使用HWTACACS认证的具体过程请参见本手册“命令行接口”中的用户级别切换部分。
相关配置可参考命令hwtacacs scheme。
【举例】
# 指定当前ISP域example.com用户切换级别所使用的HWTACACS认证方案为ht。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] authentication super hwtacacs-scheme ht
【命令】
authorization { none | hwtacacs-scheme hwtacacs-scheme-name }
undo authorization
【视图】
ISP域视图
【参数】
none:不使用授权方案。
hwtacacs-scheme hwtacacs-scheme-name:HWTACACS方案名,为不超过32个字符的字符串。
【描述】
authorization命令用来配置当前ISP域使用的授权方案。undo authorization命令用来恢复域缺省的授权方案。
缺省情况下,没有配置分离的授权方案。
相关配置可参考命令scheme,radius scheme,hwtacacs scheme。
【举例】
# 设置ISP域example.com不需要授权也可以提供服务。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] authorization none
【命令】
authorization vlan string
undo authorization vlan
【视图】
本地用户视图
【参数】
string:为当前用户配置的授权VLAN的编号或描述,取值范围为1~32个字符。当输入的字符串为数字时,首先匹配对应的VLAN编号,如果该编号的VLAN不存在,再匹配VLAN的描述字符。
【描述】
authorization vlan 命令用来为本地用户配置授权VLAN,如果用户通过本地RADIUS服务器的认证,将可以访问授权VLAN内的网络资源。undo authorization vlan用来取消对本地用户的授权VLAN配置。
缺省情况下,没有配置本地用户的授权VLAN。
如果配置了本地用户的授权VLAN,进行本地RADIUS认证,则vlan-assignment-mode必须要配置为string模式。
【举例】
# 为本地用户00-14-22-2C-AA-69配置授权VLAN为VLAN2。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user 00-14-22-2C-AA-69
[Sysname-luser-00-14-22-2C-AA-69] authorization vlan 2
【命令】
cut connection { all | access-type { dot1x | mac-authentication } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name }
【视图】
系统视图
【参数】
all:切断所有用户连接。
access-type { dot1x | mac-authentication }:根据接入方式切断用户连接,dot1x指定切断所有802.1x用户连接,mac-authentication指定切断所有MAC认证用户连接。
domain isp-name:切断ISP域下的全部用户连接。其中,isp-name为ISP域名,为不超过128个字符的字符串。指定的ISP域必须已经存在。
interface interface-type interface-number:切断某个端口的所有用户连接。interface-type为端口类型,interface-number为端口编号。
ip ip-address:切断IP地址为ip-address的所有用户连接。
mac mac-address:切断MAC地址为mac-address的用户连接。其中,mac-address为H-H-H格式。
radius-scheme radius-scheme-name:切断使用名称为radius-scheme-name的RADIUS方案的所有用户连接。radius-scheme-name为不超过32个字符的字符串。
vlan vlan-id:切断VLAN ID为vlan-id的所有用户连接。其中,vlan-id的取值范围为1~4094。
ucibindex ucib-index:切断某个连接索引号为ucib-index的用户连接,取值范围为0~2071。
user-name user-name:切断某个用户名为user-name的用户连接。其中,user-name为用户名,为不超过184个字符的字符串。
【描述】
cut connection命令用来强制切断某个或某类用户的连接。
对于Telnet、FTP类型用户,无法切断连接。
相关配置可参考命令display connection。
【举例】
# 切断域名为“example.com”的ISP域下的所有连接。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] cut connection domain example.com
【命令】
display connection [ access-type { dot1x | mac-authentication } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name ]
【视图】
任意视图
【参数】
access-type { dot1x | mac-authentication }:根据接入方式显示用户连接,dot1x指定显示所有802.1x用户连接,mac-authentication指定显示所有mac认证用户连接。
domain isp-name:显示某个ISP域下的全部用户连接。其中,isp-name为ISP域名,为不超过128个字符的字符串。指定的ISP域必须已经存在。
interface interface-type interface-number:显示某个接口的所有用户连接。
ip ip-address:显示某个IP地址为ip-address的所有用户连接。
mac mac-address:显示某个MAC地址为mac-address的用户连接。其中,mac-address为十六进制格式(即形如H-H-H的样式)。
radius-scheme radius-scheme-name:显示使用名称为radius-scheme-name的RADIUS方案的所有用户连接。radius-scheme-name为不超过32个字符的字符串。
hwtacacs-scheme hwtacacs-scheme-name:显示使用名称为hwtacacs-scheme-name的HWTACACS方案的所有用户连接。hwtacacs-scheme-name为不超过32个字符的字符串。
vlan vlan-id:显示ID为vlan-id的所有用户连接。其中,vlan-id的取值范围为1~4094。
ucibindex ucib-index:显示某个连接索引号为ucib-index的用户连接。其中,ucib-index的取值范围为0~2071。
user-name user-name:显示某个用户名为user-name的用户连接。其中,user-name为用户名,为不超过184个字符的字符串。
【描述】
display connection命令用来显示所有或指定的用户连接的相关信息。
不指定任何参数的情况下,系统显示所有用户连接的相关信息。
对于FTP类型用户,无法显示用户连接的相关信息。
相关配置可参考命令cut connection。
【举例】
# 显示所有用户连接的相关信息。
<Sysname> display connection
------------------unit 1------------------------
Index=40 , Username=user1@domain1
MAC=000f-3d80-4ce5 , IP=0.0.0.0
On Unit 1: Total 1 connections matched, 1 listed.
# 显示连接索引号为0的相关信息。
[Sysname] display connection ucibindex 0
Index=0 , Username=user1@system
MAC=000f-3d80-4ce5 , IP=192.168.0.3
Access=8021X ,Auth=CHAP ,Port=Ether ,Port NO=0x10003001
Initial VLAN=1, Authorization VLAN=1
ACL Group=Disable
CAR=Disable
Priority=Disable
Start=2000-04-03 02:51:53 ,Current=2000-04-03 02:52:22 ,Online=00h00m29s
On Unit 1:Total 1 connections matched, 1 listed.
Total 1 connections matched, 1 listed.
其中Port NO=0x10003001的表示内容如表格所示(以二进制的位数描述)。
表1-1 Port NO信息描述
|
31-28 |
27-24 |
23-20 |
19-12 |
11-0(bit) |
|
UNIT ID |
槽号 |
子槽号 |
端口号 |
VLAN-ID |
【命令】
display domain [ isp-name ]
【视图】
任意视图
【参数】
isp-name:ISP域名。为不超过128个字符的字符串。所指定的ISP域必须已经存在。
【描述】
display domain命令用来显示指定ISP域的配置信息。
缺省情况下,显示系统中所有ISP域的配置信息。
相关配置可参考命令access-limit,domain,scheme,state。
【举例】
# 显示系统中所有ISP域的配置信息。
<Sysname> display domain
0 Domain = system
State = Active
Scheme = LOCAL
Access-limit = 512
Vlan-assignment-mode = Integer
Domain User Template:
Idle-cut = = Enable Time = 60(min) Flow = 200(byte)
Self-service URL = http://example.com
Messenger Time Maxlimit = 30(min) span = 10(min)
Default Domain Name: system
Total 1 domain(s).1 listed.
表1-2 display domain显示信息描述表
|
字段 |
描述 |
|
Domain |
已配置域名 |
|
State |
状态(active、block) |
|
Scheme |
本域所采用的AAA方案 |
|
Access-Limit |
本域接入用户连接数限制,允许最多接入用户数目 |
|
Vlan-assignment-mode |
Vlan下发模式(Integer、String) |
|
Domain User Template |
域用户模板配置(即域内用户公共属性配置) |
|
Idle-Cut |
闲置用户切断配置 |
|
Self-service URL |
自助服务器修改用户密码页面的URL |
|
Messenger Time |
信使时间服务,提醒用户剩余的上网时间。 本例中剩余上网时间30分钟时开始提醒,每10分钟发送一次提醒信息 |
|
Default Domain Name |
系统缺省的ISP域名 |
【命令】
display local-user [ domain isp-name | idle-cut { disable | enable } | vlan vlan-id | service-type { ftp | lan-access | ssh | telnet | terminal } | state { active | block } | user-name user-name ]
【视图】
任意视图
【参数】
domain isp-name:显示属于某个ISP域的全部本地用户。其中,isp-name为ISP域名,为不超过128个字符的字符串。指定的ISP域必须已经存在。
idle-cut { disable | enable }:显示禁止或者允许启用闲置切断功能的本地用户。其中,disable表示禁止用户启用闲置切断功能;enable表示允许用户启用闲置切断功能。
vlan vlan-id:根据用户所属的vlan显示本地用户。vlan-id取值范围为1~4094。
service-type:根据用户类型显示本地用户。其中,ftp指定为FTP用户;lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户);ssh为SSH用户;telnet为Telnet用户;terminal为从Console口登录的终端用户。
state { active | block }:显示处于某种状态的本地用户。其中,active表示系统允许用户请求网络服务;block表示系统不允许用户请求网络服务。
user-name user-name:显示用户名为user-name的本地用户。其中,user-name为用户名,为不超过184个字符的字符串。
【描述】
display local-user命令用来显示所有或指定的本地用户的相关信息。
相关配置可参考命令local-user。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
0 The contents of local user test:
State: Active ServiceType Mask: L
Idle-cut: Enable Idle TimeOut: 3600 seconds
Access-limit: Enable Current AccessNum: 1
Max AccessNum: 1024
Bind location: 127.0.0.1/1/0/2 (NAS/UNITID/SUBSLOT/PORT)
Vlan ID: 1
Authorization VLAN: 2
IP address: 192.168.0.108
MAC address: 000d-88f6-44c1
Total 1 local user(s) Matched, 1 listed.
ServiceType Mask Meaning: C--Terminal F--FTP L--LanAccess S--SSH T--Telnet
对上述显示信息的各项解释如表1-3所示。
表1-3 display local-user显示信息描述表
|
字段 |
描述 |
|
State |
状态 |
|
ServiceType Mask |
服务类型标志: T表示Telnet服务类型 S表示SSH服务类型 C表示终端服务类型 LM表示lan-access服务类型 F表示FTP服务类型 None表示未设置服务类型 |
|
Idle-cut |
闲置切断开关 |
|
Access-limit |
接入用户连接数限制 |
|
Current AccessNum |
当前接入用户数 |
|
Bind location |
是否与端口捆绑 |
|
Vlan ID |
允许接入用户所属的VLAN |
|
Authorization VLAN |
用户的授权VLAN |
|
IP address |
允许接入用户的IP地址 |
|
MAC address |
允许接入用户的MAC地址 |
【命令】
domain { isp-name | default { disable | enable isp-name } }
undo domain isp-name
【视图】
系统视图
【参数】
isp-name:ISP域名。为不超过128个字符的字符串,该字符串中不能包括“/”、“\”“:”、“*”、“?”、“<”、“>” 以及“|”等字符,并且如果域名中使用“~”字符,则最后一个“~”字符后若是数字,数字必须不少于五位。因为当域名长度超过16个字符时,为避免过长ISP域名显示造成换行,视图名称显示为“系统提示符-ISP域名的前15位~4位索引号”。
default:配置缺省的ISP域。系统缺省的ISP域为system;用户可以使用该命令手工更改缺省域,缺省的ISP域有且只有一个。
disable:禁止配置缺省ISP域,则此时系统缺省的ISP域为system。
enable:使能配置的缺省ISP域。
【描述】
domain命令用来创建一个ISP域,或者进入已创建ISP域的视图。
undo domain命令用来删除指定的ISP域。
缺省情况下,系统中使用的域为“system”,通过display domain命令可以查看缺省域system的设置。
使用domain命令时,如果指定的ISP域不存在,系统将会创建一个新的ISP域,所有的ISP域在创建后即处于active状态。
手工配置缺省域时,该域必须已经存在。
相关配置可参考命令access-limit,scheme,state,display domain。
【举例】
# 创建一个新的ISP域“example.com”。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
# 创建一个新的ISP域“01234567891234567”(域名长度超过了16位,请注意视图名称显示为“系统提示符-ISP域名的前15位~4位索引号”)。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname]domain 01234567891234567
New Domain added.
[Sysname-isp-012345678912345~0001]
【命令】
domain delimiter { at | dot }
undo domain delimiter
【视图】
系统视图
【参数】
at:用户名与域名间的分隔符采用“@”。
dot:用户名与域名间的分隔符采用“.”。
【描述】
domain delimiter命令用来指定用户名与域名间的分隔符形式。undo domain delimiter命令用来恢复分隔符形式为缺省情况。
缺省情况下,用户名与域名间的分隔符采用“@”。
l 采用“.”作为分隔符时,如果用户名中包含多个“.”,则以第一个“.”做为域分隔符。
l 采用“@”作为分隔符时,用户名中“@”只能作为域分隔符出现1次。采用“.”作为分隔符时,用户名中不能含有“@”。
相关配置可参考命令domain。
【举例】
# 指定用户名与域名间的分隔符形式为“.”。
<Sysname> system-view
Enter system view, return to user view with Ctrl+Z.
[Sysname] domain delimiter dot
【命令】
idle-cut { disable | enable minute flow }
【视图】
ISP域视图
【参数】
disable:表示关闭该域用户闲置切断功能。
enable:表示启用该域用户闲置切断功能。
minute:允许的最大空闲时间,单位为分钟,取值范围为1~120。
flow:设置的最小数据流量,单位为字节,取值范围为1~10240000。
【描述】
idle-cut命令用来设置当前ISP域下的闲置切断功能。如果该域下某用户在允许的最大空闲时间内总流量低于设置的最小数据流量,则该用户被切断连接。
缺省情况下,用户闲置切断功能处于关闭状态。
如果认证服务器下发了闲置切断属性,则认证服务器下发属性优先级高于此配置。
相关配置可参考命令domain。
【举例】
# 允许当前ISP域“example.com”下的用户启用用户模板中的闲置用户切断属性(即启用用户闲置切断功能),最大空闲时间为50分钟,设置的最小数据流为500字节(即该域下某用户如果50分钟内,总流量小于500字节,则会切断该用户连接)。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] idle-cut enable 50 500
【命令】
level level
undo level
【视图】
本地用户视图
【参数】
level:指定用户的优先级,其取值范围为0~3整数。
【描述】
level命令用来设置用户的优先级。用户的优先级与命令级别相对应,详细说明请参见“命令行接口”中的command-privilege level命令描述部分。
undo level命令用来恢复用户缺省的优先级。
缺省情况下,用户的优先级为0。
需要注意:
l 如果配置的认证方式为不认证或采用password认证,则用户登录到系统后所能访问的命令级别由用户界面的优先级确定。
l 如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的优先级确定。对于SSH用户,使用RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。
相关配置可参考命令local-user。
【举例】
# 设置用户user1级别为3。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user user1
New local user added.
[Sysname-luser-user1] level 3
【命令】
local-user user-name
undo local-user { user-name | all [ service-type { ftp | lan-access | ssh | telnet | terminal } ] }
【视图】
系统视图
【参数】
user-name:本地用户名,为不超过184个字符的字符串。该字符串中不能包括“/”、“\”“:”、“*”、“?”、“<”、“>” 以及“|”等字符,“a”、“al”、“all”不能作为用户名。并且“@”出现的次数不能多于1次;纯用户名(“@”以前部分,即用户标识)不能超过55个字符,域名(“@”以后的部分)不能超过128个字符。如果用户名中使用“~”字符,则最后一个“~”字符后若是数字,数字必须不少于五位。因为当用户名长度超过16个字符时,为避免过长用户名显示造成换行,视图名称显示为“系统提示符-用户名的前15位~4位索引号”。
all:所有的用户。
service-type:指定用户的类型。其中,ftp指定FTP用户;lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户);ssh为SSH用户;telnet为Telnet用户;terminal为从Console口登录的终端用户。
【描述】
local-user命令用来添加本地用户并进入本地用户视图。
undo local-user命令用来删除指定类型的本地用户。
缺省情况下,系统中无本地用户。
相关配置可参考命令display local-user,service-type。
【举例】
# 添加名称为user1的本地用户
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user user1
New local user added.
[Sysname-luser-user1]
# 添加名称为“01234567891234567”的本地用户(用户名长度超过了16位,请注意视图名称显示为“系统提示符-用户名的前15位~4位索引号”)。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname]local-user 01234567891234567
New local user added.
[Sysname-luser-012345678912345~0000]
【命令】
local-user password-display-mode { cipher-force | auto }
undo local-user password-display-mode
【视图】
系统视图
【参数】
cipher-force:强制cipher方式,即所有本地用户的密码显示方式必须采用密文方式。
auto:自动方式,即本地用户的密码显示方式可以由用户自己通过password命令来设置。
【描述】
local-user password-display-mode命令用来设置所有本地用户密码的显示方式。undo local-user password-display-mode命令用来恢复缺省的本地用户的密码显示方式。
缺省情况下,所有接入用户的密码显示方式为auto。
当采用cipher-force方式后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码仍然会显示为密文。
相关配置可参考命令display local-user,password。
【举例】
# 强制所有本地用户采用密码密文方式显示。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user password-display-mode cipher-force
【命令】
messenger time { enable limit interval | disable }
undo messenger time
【视图】
ISP域视图
【参数】
limit:设置交换机在用户剩余多长上网时间时,开始向客户端发送提醒消息。单位为分钟,取值范围为1~60。
interval:发送提醒消息的间隔。单位为分钟,取值范围为5~60,必须为5的倍数。
【描述】
messenger time enable命令用来开启信使提醒功能并配置其相关参数;messenger time disable命令用来关闭信使提醒功能。undo messenger time命令用来恢复信使提醒功能为缺省情况。
缺省情况下,交换机关闭信使提醒功能。
信使提醒功能指在用户使用网络的过程中,客户端以信息提醒对话框形式,提醒用户剩余的上网时间,使用户可以提前安排自己的工作。
【举例】
# 在ISP域system中设置:当用户剩余30分钟上网时间的时候开始发送提醒消息,每隔5分钟发送一次。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain system
[Sysname-isp-system] messenger time enable 30 5
【命令】
name string
undo name
【视图】
VLAN视图
【参数】
string:为下发的VLAN指定名称,为不超过32个字符的字符串。
【描述】
name用来配置下发VLAN的名称。undo name用来删除该下发VLAN的名称。
缺省情况下,下发VLAN的名称为该VLAN的VLAN ID,如“VLAN 0001”。
此命令用来配合动态VLAN下发功能使用。动态VLAN下发的相关介绍请参见命令vlan-assignment-mode。
相关配置可参考命令vlan-assignment-mode。
【举例】
# 为VLAN 100设置名称为test。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] vlan 100
[Sysname-vlan100] name test
【命令】
password { simple | cipher } password
undo password
【视图】
本地用户视图
【参数】
simple:表示密码为明文。
cipher:表示密码为密文。
password:表示设置的密码,
l 对于simple方式,password必须是明文密码。
l 对于cipher方式,password可以是密文密码也可以是明文密码,结果视输入而定。
明文密码可以是长度小于等于63的连续字符串,如:aabbcc。密文口令的长度为24或者88位,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
【描述】
password命令用来设置本地用户的密码。
undo password命令用来取消本地用户的密码。
需要注意的是:
l 当采用local-user password-display-mode cipher-force命令后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码也会显示为密文。
l 在cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文,长度大于16且小于等于63的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理。
相关配置可参考命令display local-user。
【举例】
# 设置用户user1的密码采用明文方式,密码为20030422。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user user1
New local user added.
[Sysname-luser-user1] password simple 20030422
【命令】
radius-scheme radius-scheme-name
radius-scheme-name:该域引用的RADIUS方案名,为不超过32个字符的字符串。
radius-scheme命令用来指定当前ISP域引用的RADIUS方案。
缺省情况下,当一个ISP域被创建以后,其引用的AAA方案为本地认证(local),不使用RADIUS方案。
radius-scheme命令为当前ISP域指定引用的RADIUS方案。所指定引用的RADIUS方案必须是已经设置好的。此功能也可以通过scheme命令指定所引用的RADIUS方案实现。
相关配置可参考命令radius scheme,scheme,display radius scheme。
# 指定当前ISP域“example.com”引用的RADIUS方案为“extended”。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] radius-scheme extended
【命令】
scheme { local | none | radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] }
undo scheme [ none | radius-scheme | hwtacacs-scheme ]
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。
hwtacacs-scheme-name:HWTACACS方案名,为不超过32个字符的字符串。
local:本地认证。
none:不进行认证。
【描述】
scheme命令用来配置当前ISP域使用的AAA方案。
undo scheme命令用来恢复域使用的缺省AAA方案。
系统缺省使用的AAA方案为local。
需要注意以下几点:
l scheme命令为当前ISP域指定引用的RADIUS方案。所指定引用的RADIUS方案必须是已经设置好的。
l 如果scheme命令配置了radius-scheme radius-scheme-name local参数,则local为RADIUS服务器没有正常响应后的备选认证方案,即当RADIUS服务器有效时,不使用本地认证;当RADIUS服务器不可达时,使用本地认证。
l 如果scheme命令配置了hwtacacs-scheme hwtacacs-scheme-name local参数,则local为TACACS服务器没有正常响应后的备选认证方案,即当TACACS服务器有效时,不使用本地认证;当TACACS服务器不可达或者由于key、nas-ip错误等而无法进行HWTACACS认证时,使用本地认证。
l 如果local或者none作为第一方案,那么只能采用本地认证或者不进行认证,不会进行备选方案切换。
l radius-scheme命令和scheme命令均可以为ISP域指定所引用的RADIUS方案,二者作用相同,系统以最后一次的配置为准。
相关配置可参考命令radius scheme,display domain。
【举例】
# 设置ISP域“example.com”引用的scheme 为radius-scheme radius1,并采用local作为备选认证方案。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] scheme radius-scheme raduis1 local
【命令】
self-service-url { disable | enable url-string }
undo self-service-url
【视图】
ISP域视图
【参数】
url-string:自助服务器修改用户密码页面的URL,为字符串形式,长度为1~64个字符。字符串中不能包括 “?”字符,如自助服务器的URL中包括“?”,则在命令行输入该URL时,需要将“?”转换为“|”。
【描述】
self-service-url enable命令用来启动自助服务器定位功能;self-service-url disable命令用来关闭自助服务器定位功能。
undo self-service-url命令用来恢复缺省情况。
缺省情况下,设备关闭自助服务器定位功能。
需要注意以下几点:
l 此命令需要与支持自助服务的RADIUS服务器配合使用,如CAMS。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。
l 如果在设备上配置了此命令,用户可以通过如下操作定位到自助服务器:用户在802.1x客户端软件上选择“更改用户密码”;客户端软件打开用户缺省的浏览器(IE或者NetScape等),定位到指定的自助服务器更改用户密码的URL页面;用户可以在该页面上修改自己的密码。
l 只有用户通过认证后才能进行在客户端软件上选择“更改用户密码”选项,否则该选项为灰色,不可用。
【举例】
# 在系统缺省的ISP域system下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice/modPasswd1x.jsp|userName。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain system
[Sysname-isp-system] self-service-url enable http://10.153.89.94/selfservice/modPasswd1x.jsp|userName
【命令】
service-type { ftp | lan-access | { telnet | ssh | terminal }* [ level level ] }
undo service-type { ftp | lan-access | { telnet | ssh | terminal }* }
【视图】
本地用户视图
【参数】
ftp:指定用户为FTP类型。
lan-access:指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户)。
telnet:指定用户可以使用Telnet服务。
ssh:指定用户可以使用SSH服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
level level:指定Telnet、terminal或者SSH用户的级别。level为整数,取值范围0~3。缺省为0。
【描述】
service-type命令用来设置用户可以使用的服务类型,可以为一个用户设置多种服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
缺省情况下,系统不对用户授权任何服务。
当前用户已经被授权的服务类型,可以通过命令display local-user进行查看。
【举例】
# 指定用户user1可以使用Telnet服务。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user user1
New local user added.
[Sysname-luser-user1] service-type telnet
【命令】
state { active | block }
【视图】
ISP域视图/本地用户视图
【参数】
active:指定当前ISP域(ISP域视图)/当前本地用户(本地用户视图)处于活动状态,即系统允许当前ISP域下的用户(ISP域视图)/当前本地用户(本地用户视图)请求网络服务。
block:指定当前ISP域(ISP域视图)/当前本地用户(本地用户视图)处于“挂起”状态,即系统不允许当前ISP域下的用户(ISP域视图)/当前本地用户(本地用户视图)请求网络服务。
【描述】
state命令用来设置当前ISP域/当前本地用户的状态。
缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。当一个本地用户被创建以后,其状态为active(本地用户视图)。
当指示某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。本地用户视图下同理。
相关配置可参考命令domain,local-user。
状态查看可以使用命令display domain或者display local-user。
【举例】
# 设置当前ISP域“example.com”处于“挂起”状态,其下的接入用户不能再请求网络服务。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] state block
# 设置用户user1处于“挂起”状态。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-user user1
[Sysname-user-user1] state block
【命令】
vlan-assignment-mode { integer | string | vlan-list }
【视图】
ISP域视图
【参数】
integer:配置VLAN下发模式为整型。
string:配置VLAN下发模式为字符串型。
vlan-list:配置VLAN下发模式为VLAN列表型。
【描述】
vlan-assignment-mode命令用来配置VLAN下发模式(整型、字符串型或列表型)。
缺省情况下,VLAN下发模式为integer,即交换机支持RADIUS认证服务器下发整型的VLAN ID。
动态VLAN下发是指以太网交换机根据RADIUS服务器下发的属性值,将已经通过身份认证的用户所在端口加入到不同的VLAN中,从而对用户所能访问的网络资源进行控制。
目前交换机支持RADIUS认证服务器下发整型、字符串型或列表型的VLAN ID:
l 整型:交换机根据RADIUS认证服务器下发的整型ID将端口加入相应VLAN中,如果该VLAN不存在,则首先创建VLAN,而后将端口加入到新创建的VLAN中。
l 字符串型:交换机根据RADIUS认证服务器下发的字符串型ID,与交换机上已存在VLAN的名称进行比对,如果找到匹配项,则将该端口加入相应VLAN中,否则VLAN下发失败,用户无法通过认证。
l 列表型:交换机根据RADIUS认证服务器下发的VLAN列表,将端口加入到列表对应的一组VLAN中。如果列表中有VLAN不存在,则首先创建VLAN,而后将端口加入到新创建的VLAN中。
交换机支持整型、字符串型和列表型三种模式的动态VLAN下发的是为了适应认证服务器而设置的。不同的认证服务器下发方式不同,用户需要根据RADIUS服务器上使用的动态VLAN下发模式来对设备进行配置。
这里列出几种常用的服务器的下发模式:
l 对于字符串型VLAN下发模式,交换机在处理过程中遵循整型优先的原则:如果RADIUS服务器下发的VLAN名称是全数字的字符串,如字符串“1024”,并且转换成整型的数值在合法的VLAN范围之内,则交换机会将全数字型的字符串转换为整型处理,将认证端口加入转换后的整型数值VLAN中,即该端口会被加入到VLAN 1024中。
l VLAN下发与Guest VLAN配合使用时,建议用户将端口控制方式设置为基于端口的方式。
【举例】
# 配置VLAN下发模式为字符串型。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] domain example.com
New Domain added.
[Sysname-isp-example.com] vlan-assignment-mode string
【命令】
accounting optional
undo accounting optional
【视图】
RADIUS方案视图
【参数】
无
【描述】
accounting optional命令用来设置用户计费可选。undo accounting optional命令用来设置强制用户计费。
系统缺省为强制用户计费。
需要注意:
l 在对用户上线计费时如果没有可用的RADIUS计费服务器或与RADIUS计费服务器通信失败时,若配置了accounting optional命令,则用户可以继续使用网络资源,否则用户将被切断。这个命令经常被用于只认证不计费的情况。
l 计费可选配置只对使用此RADIUS方案的计费有效。
l ISP域视图下的accounting optional对该域下所有用户有效,RADIUS方案视图下的accounting optional对使用该RADIUS方案的用户有效。
【举例】
# 设置RADIUS方案radius1的计费可选。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] accounting optional
【命令】
accounting-on enable [ send times | interval interval ]
undo accounting-on { enable | send | interval }
【视图】
RADIUS方案视图
【参数】
times:发送Accounting-On报文的最大次数,取值范围1~256次,缺省值为15次。如果交换机发送Accounting-On报文的次数已达到设定的最大发送次数,但是仍没有收到CAMS的响应报文,则交换机停止发送Accounting-On报文。
interval:发送Accounting-On报文的时间间隔,取值范围1~30秒,缺省值为3秒。
【描述】
accounting-on enable命令用来启动设备重启用户再认证功能。
undo accounting-on enable命令用来关闭该功能,并恢复发送Accounting-On报文的时间间隔和最大次数为缺省值。
undo accounting-on send命令用来恢复发送Accounting-On报文的最大次数为缺省值。
undo accounting-on interval命令用来恢复发送Accounting-On报文的时间间隔为缺省值。
缺省情况下,设备重启用户再认证功能处于关闭状态。
启动设备重启用户再认证功能后,交换机每次发生重启后,通过向RADIUS服务器发送Accouting-On报文,告知RADIUS服务器该设备已经重启,要求RADIUS服务器强制该设备的用户下线,用来解决交换机重启后,重启前原在线用户无法再次登录的问题。
l 交换机生成Accounting-On报文,该报文主要包括NAS-ID、NAS-IP(源IP)和会话ID信息,其中NAS-IP还可以通过命令(nas-ip)手工配置,如果手工配置,请注意配置正确、合法的IP地址;如果不配置,交换机会自动选择VLAN虚接口的IP地址作为NAS-IP地址;
l 交换机重启后,每隔设定的时间间隔向CAMS发送Accouting-On报文;
l CAMS收到Accounting-On报文后,立即向交换机发送一个响应报文,并根据Accouting-On报文中的NAS-ID、NAS-IP和会话ID,找到并删除通过交换机接入的原用户在线信息,并按照最后一次计费更新报文结束计费。
l 当交换机收到CAMS的响应报文后,即停止发送Accounting-On报文。
l 如果交换机发送Accounting-On报文的次数已达到设定的最大发送次数,但是仍没有收到CAMS的响应报文,则交换机停止发送Accounting-On报文。
l 执行此命令后,必须执行save操作,交换机发生重启时才会发送Accounting-On报文。
l 此功能需要和H3C CAMS网管系统配合使用。
相关配置可参考命令nas-ip。
【举例】
# 启动名为radius1的RADIUS方案的设备重启用户再认证功能。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on enable
【命令】
attribute-ignore { standard | vendor vendor-id } type type-value
undo attribute-ignore { all | standard | vendor vendor-id }
【视图】
RADIUS方案视图
【参数】
standard:配置忽略当前RADIUS方案下发的RADIUS标准属性。
vendor vendor-id:配置需要忽略的RADIUS私有属性的Vendor ID,取值范围为1~16777215。
type-value:配置需要忽略的RADIUS属性的Type值,取值范围为1~255。一条命令最多可带8个type-value参数。
all:取消RADIUS方案的所有属性忽略配置。
【描述】
attribute-ignore命令用来配置RADIUS授权属性忽略功能,配置此功能后,交换机会忽略相应RADIUS认证下发的授权属性。
undo attribute-ignore命令用来取消RADIUS授权属性忽略功能。
缺省情况下,交换机没有配置RADIUS授权属性忽略功能。
每个RADIUS方案里,标准属性最多只能配置1条属性忽略命令;相同Vendor ID的私有属性最多只能配置1条属性忽略命令。每个RADIUS方案最多只能配置3条属性忽略命令。
【举例】
# 配置RADIUS方案“radius1”忽略下发的RADIUS 28号标准属性。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute-ignore standard type 28
# 配置RADIUS方案“radius1”忽略22号H3C私有属性(Vendor ID=25506)。
[Sysname-radius-radius1] attribute-ignore vendor 25506 type 22
# 取消忽略RADIUS下发的标准属性,即交换机接受下发的所有RADIUS标准属性。
[Sysname -radius- radius1]undo attribute-ignore standard
# 取消忽略RADIUS下发的H3C私有属性的配置,即交换机接受下发的所有H3C私有属性。
[Sysname -radius-radius1] undo attribute-ignore vendor 25506
# 取消忽略RADIUS下发的所有属性,即交换机接受RADIUS下发的所有属性。
[Sysname -radius-radius1] undo attribute-ignore all
【命令】
calling-station-id mode { mode1 | mode2 } { lowercase | uppercase }
undo calling-station-id mode
【视图】
RADIUS方案视图
【参数】
mode1:MAC地址格式为XXXX-XXXX-XXXX,其中“X”代表一位16进制数。
mode2:MAC地址格式为XX-XX-XX-XX-XX-XX。
lowercase:MAC地址格式为小写格式。
uppercase:MAC地址格式为大写格式。
【描述】
calling-station-id mode命令用于设置RADIUS报文中Calling-Station-Id(Type 31)属性字段中MAC地址的格式。undo calling-station-id mode命令用于将格式恢复为缺省情况。
缺省情况下,Calling-Station-Id属性字段中MAC地址的格式为XXXX-XXXX-XXXX,小写形式。
【举例】
# 设置RADIUS报文中Calling-Station-Id属性字段中MAC地址的格式为XX-XX-XX-XX-XX-XX,并且为大写形式。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname]radius scheme system
[Sysname-radius-system]calling-station-id mode mode2 uppercase
【命令】
data-flow-format data { byte | giga-byte | kilo-byte | mega-byte } packet { giga-packet | kilo-packet | mega-packet | one-packet }
undo data-flow-format
【视图】
RADIUS方案视图
【参数】
data:设置数据的单位。
byte:数据单位为字节。
giga-byte:数据单位为千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为“giga-packet”。
kilo-packet:数据包的单位为“kilo-packet”。
mega-packet:数据包的单位为“mega-packet”。
one-packet:数据包的单位为“one-packet”。
【描述】
data-flow-format命令用来配置发送到RADIUS服务器的数据流的单位。
undo data-flow-format命令用来恢复发送到RADIUS服务器的数据流的单位为缺省设置。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
设备上配置的发送给RADIUS服务器的数据流单位应与RADUIS服务器上的流量统计单位保持一致,否则无法正确计费。
相关配置可参考命令display radius scheme。
【举例】
# 设置发往RADIUS服务器的数据流的单位为千字节,数据包的单位为kilo-packet。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display local-server statistics
【视图】
任意视图
【参数】
无
【描述】
display local-server statistics命令用来显示本地RADIUS认证服务器的统计信息。
相关配置可参考命令local-server。
【举例】
# 显示本地RADIUS认证服务器的统计信息。
<Sysname> display local-server statistics
On Unit 1:
The localserver packet statistics:
Receive: 30 Send: 30
Discard: 0 Receive Packet Error: 0
Auth Receive: 10 Auth Send: 10
Acct Receive: 20 Acct Send: 20
【命令】
display radius scheme [ radius-scheme-name ]
【视图】
任意视图
【参数】
radius-scheme-name:RADIUS方案名,其长度不超过32个字符。
【描述】
display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。
相关配置可参考命令radius scheme。
【举例】
# 显示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
------------------------------------------------------------------
SchemeName =system Index=0 Type= extended
Primary Auth IP =127.0.0.1 Port=1645
Primary Acct IP =127.0.0.1 Port=1646
Second Auth IP =0.0.0.0 Port=1812
Second Acct IP =0.0.0.0 Port=1813
Auth Server Encryption Key= Not configured
Acct Server Encryption Key= Not configured
Accounting method = required
Accounting-On packet enable, send times = 15 , interval = 3s
TimeOutValue(in second)=3 RetryTimes=3 RealtimeACCT(in minute)=12
Permitted send realtime PKT failed counts =5
Retry sending times of noresponse acct-stop-PKT =500
Quiet-interval(min) =5
Username format =without-domain
Data flow unit =Byte
Packet unit =1
calling_station_id format =XXXX-XXXX-XXXX in lowercase
unit 1 :
Primary Auth State=active, Second Auth State=block
Primary Acc State=active, Second Acc State=block
------------------------------------------------------------------
Total 1 RADIUS scheme(s). 1 listed
表1-4 Radius服务器配置信息描述表
|
域名 |
描述 |
|
SchemeName |
Radius方案的名称 |
|
Index |
Radius方案的索引号 |
|
Type |
Radius服务器的类型 |
|
Primary Auth IP/ Port |
主认证服务器IP地址/接入端口号 |
|
Primary Acct IP/ Port |
主计费服务器IP地址/接入端口号 |
|
Second Auth IP/ Port |
从认证服务器IP地址/接入端口号 |
|
Second Acct IP/ Port |
从计费服务器IP地址/接入端口号 |
|
Auth Server Encryption Key |
认证服务器的共享密钥 |
|
Acct Server Encryption Key |
计费服务器的共享密钥 |
|
Accounting method |
计费方法 |
|
Accounting-On packet enable, send times = 15 , interval = 3s |
重启后发送accounting-on 报文,发送次数=15,间隔=3秒 |
|
TimeOutValue (seconds) |
RADIUS服务器响应超时定时器时长 |
|
RetryTimes |
超时重发次数 |
|
RealtimeACCT(in minute) |
实时计费间隔(分钟) |
|
Permitted send realtime PKT failed counts |
允许发送的实时计费请求无响应报文的最大次数 |
|
Retry sending times of noresponse acct-stop-PKT |
缓存的停止计费请求报文的最大重发次数 |
|
Quiet-interval(min) |
主服务器恢复激活状态的时间 |
|
Username format |
用户名的格式 |
|
Data flow unit |
数据流的单位 |
|
Packet unit |
报文包的单位 |
|
calling_station_id format |
RADIUS报文中Calling-Station-Id(Type 31)属性字段的格式 |
|
Primary Auth State |
主认证状态 |
|
Second Auth State |
备认证状态 |
|
Primary Acc State |
主计费状态 |
|
Second Acc State |
备计费状态 |
【命令】
display radius statistics
【视图】
任意视图
【参数】
无
【描述】
display radius statistics命令用来显示RADIUS报文的统计信息。
相关配置可参考命令radius scheme。
【举例】
# 显示RADIUS报文的统计信息。
<Sysname> display radius statistics
state statistic(total=2072):
DEAD=2072 AuthProc=0 AuthSucc=0
AcctStart=0 RLTSend=0 RLTWait=0
AcctStop=0 OnLine=0 Stop=0
StateErr=0
Received and Sent packets statistic:
Unit 1........................................
Sent PKT total :0 Received PKT total:0
RADIUS received packets statistic:
Code= 2,Num=0 ,Err=0
Code= 3,Num=0 ,Err=0
Code= 5,Num=0 ,Err=0
Code=11,Num=0 ,Err=0
Running statistic:
RADIUS received messages statistic:
Normal auth request , Num=0 , Err=0 , Succ=0
EAP auth request , Num=0 , Err=0 , Succ=0
Account request , Num=0 , Err=0 , Succ=0
Account off request , Num=0 , Err=0 , Succ=0
PKT auth timeout , Num=0 , Err=0 , Succ=0
PKT acct_timeout , Num=0 , Err=0 , Succ=0
Realtime Account timer , Num=0 , Err=0 , Succ=0
PKT response , Num=0 , Err=0 , Succ=0
EAP reauth_request , Num=0 , Err=0 , Succ=0
PORTAL access , Num=0 , Err=0 , Succ=0
Update ack , Num=0 , Err=0 , Succ=0
PORTAL access ack , Num=0 , Err=0 , Succ=0
Session ctrl pkt , Num=0 , Err=0 , Succ=0
Set policy result , Num=0 , Err=0 , Succ=0
RADIUS sent messages statistic:
Auth accept , Num=0
Auth reject , Num=0
EAP auth replying , Num=0
Account success , Num=0
Account failure , Num=0
Cut req , Num=0
Set policy result , Num=0
RecError_MSG_sum:0 SndMSG_Fail_sum :0
Timer_Err :0 Alloc_Mem_Err :0
State Mismatch :0 Other_Error :0
No-response-acct-stop packet =0
Discarded No-response-acct-stop packet for buffer overflow =0
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
任意视图
【参数】
radius-scheme radius-scheme-name:根据RADIUS方案名显示暂存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为不超过32个字符的字符串。
session-id session-id:根据会话ID显示暂存的停止计费请求报文。其中,session-id为会话ID,为不超过50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻显示暂存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被显示。
user-name user-name:根据用户名显示暂存的停止计费请求报文。其中,user-name为用户名,为不超过184个字符的字符串。
【描述】
display stop-accounting-buffer命令用来显示缓存在设备系统中的停止计费请求报文。
l 可以选择显示发往某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来显示报文;还可以指定一个时间段,显示那些发起停止计费请求的时刻处于指定时间段内的报文。根据显示的报文信息,可以帮助诊断与排除RADIUS相关故障。
l 在发送停止计费请求报文而RADIUS服务器没有响应时,设备系统会缓存该报文,然后以一定的次数重新发送,具体发送的次数由retry stop-accounting命令设置。
相关配置可参考命令reset stop-accounting-buffer,stop-accounting-buffer enable, retry stop-accounting。
【举例】
# 显示从2002年8月31日0点0分0秒到2002年8月31日23点59分59秒期间系统缓存的停止计费请求报文。
<Sysname> display stop-accounting-buffer time-range 00:00:00-08/31/2002 23:59:59-08/31/2002
Total find 0 record
【命令】
key { accounting | authentication } string
undo key { accounting | authentication }
【视图】
RADIUS方案视图
【参数】
accounting:指示RADIUS计费报文的共享密钥。
authentication:指示RADIUS认证/授权报文的共享密钥。
string:密钥,为不超过16个字符的字符串。
【描述】
key命令用来设置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来恢复相应的共享密钥为缺省设置。
缺省情况下,无共享密钥。
关于共享密钥的几点说明:
l RADIUS客户端与RADIUS服务器使用MD5算法来加密交互的RADIUS报文,双方通过设置共享密钥来验证报文的合法性。
l 只有在密钥一致的情况下,双方才能彼此接收对方发来的报文并作出响应,必须保证设备上设置的共享密钥与RADIUS服务器上的完全一样。
l 在认证/授权服务器与计费服务器不相同且这两台服务器中的共享密钥也不同时,必须分别设置认证/授权报文和计费报文的共享密钥。
相关配置可参考命令primary accounting,primary authentication,radius scheme。
【举例】
# 将RADIUS方案“radius1”的认证/授权报文的共享密钥设置为“hello”。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] key authentication hello
# 将RADIUS方案“radius1”的计费报文的共享密钥设置为“ok”。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] key accounting ok
【命令】
local-server enable
undo local-server
【视图】
系统视图
【参数】
无
【描述】
local-server enable命令用来打开本地RADIUS认证服务器端口。undo local-server命令用来关闭本地RADIUS认证服务器端口。
缺省情况下,本地RADIUS认证服务器端口开启。
设备除了支持传统的作为RADIUS客户端的服务——即分别采用认证/授权服务器、计费服务器的方式进行用户的认证管理外,还提供了设备作为本地简单RADIUS服务器的功能,称之为本地RADIUS认证服务器功能。
在使用本地RADIUS认证服务器功能前需要使用此命令开启相应服务端口。本地RADIUS认证服务器功能其认证/授权服务的UDP端口号为1645,计费服务的UDP端口号为1646。
相关配置可参考命令radius scheme,state,local-server nas-ip。
【举例】
# 打开本地RADIUS认证服务器端口。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-server enable
【命令】
local-server nas-ip ip-address key password
undo local-server nas-ip ip-address
【视图】
系统视图
【参数】
nas-ip ip-address:设置允许接入本RADIUS认证服务器的网络接入服务器的IP地址,地址采用点分十进制格式。
key password:设置认证服务器与接入服务器的共享密钥。password为密钥,为不超过16个字符的字符串。
【描述】
local-server nas-ip命令用来设置本地RADIUS认证服务器的相关参数。
undo local-server nas-ip命令用来删除指定设置的本地RADIUS认证服务器。
缺省情况下,设备启用本地RADIUS认证服务器,缺省的nas-ip为127.0.0.1,也就是允许本机既作为RADIUS认证服务器,又作为网络接入服务器,所有的认证都在本机内部完成;缺省的共享密钥为空。
需要注意以下几点:
l local-server nas-ip命令配置的报文加密密钥(key password参数)必须与在RADIUS方案视图下用key authentication命令配置的认证/授权报文加密密钥一致。
l 包括缺省的本地RADIUS认证服务器配置在内,设备最多支持配置16个网络接入服务器IP地址及其共享密钥,也就是说设备作为RADIUS认证服务器时,最多能够同时为16个网络接入服务器提供认证服务。
l 设备作为本地RADIUS认证服务器时,设备不支持EAP中继方式(即dot1x authentication-method eap命令对应的认证方式)。
相关配置可参考命令radius scheme,state,local-server enable。
【举例】
# 设置本地RADIUS认证服务器允许的网络接入服务器的IP地址为10.110.1.2,共享密钥为aabbcc。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] local-server nas-ip 10.110.1.2 key aabbcc
【命令】
nas-ip ip-address
undo nas-ip
【视图】
RADIUS方案视图
【参数】
ip-address:指定的源IP地址,为本机的IP地址,禁止配置全0地址、D类地址。
【描述】
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。undo nas-ip命令用来删除配置。
缺省情况下,报文的源IP地址是发送接口的IP地址。
RADIUS方案视图下的nas-ip命令和系统视图下的radius nas-ip命令的作用相同,在RADIUS方案视图下进行的配置优先级高于系统视图下的配置。
指定发送RADIUS报文使用的源IP地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
相关配置可参考命令display radius scheme,radius nas-ip。
【举例】
# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port-number ]
undo primary accounting
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
primary accounting命令用来设置主RADIUS计费服务器的IP地址和端口号。undo primary accounting命令用来将主RADIUS计费服务器的IP地址和端口号恢复为缺省值。
缺省情况下,对于系统创建的RADIUS方案system,其主计费服务器的IP地址为127.0.0.1,UDP端口号为1646;对于新创建的RADIUS方案,其主计费服务器的IP地址为0.0.0.0,UDP端口号为1813。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813
【命令】
primary authentication ip-address [ port-number ]
undo primary authentication
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
primary authentication命令用来设置主RADIUS认证/授权服务器的IP地址和端口号。undo primary authentication命令用来将主RADIUS认证/授权的IP地址和端口号恢复为缺省值。
缺省情况下,对于系统创建的RADIUS方案“system”,其主认证服务器的IP地址为127.0.0.1,UDP端口号为1645;对于新创建的RADIUS方案,其主认证服务器的IP地址为0.0.0.0,UDP端口号为1812。
需要注意以下几点:
l 当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置,这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。
l 在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是,必须至少设置一个认证/授权服务器和一个计费服务器。同时,在配置过程中请保证设备上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的主认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812
【命令】
radius client enable
undo radius client
【视图】
系统视图
【参数】
无
【描述】
radius client enable命令用来打开RADIUS认证计费端口。undo radius client命令用来关闭RADIUS认证计费端口。
缺省情况下,RADIUS认证计费端口开启。
设备作为RADIUS客户端进行认证时,必须保持RADIUS认证计费端口开启。不需要使用设备作为RADIUS客户端时,可以关闭相应端口,增强设备安全性。
相关配置可参考命令radius scheme。
【举例】
# 关闭RADIUS认证计费端口。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] undo radius client
【命令】
radius nas-ip ip-address
undo radius nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,为本机的IP地址,禁止配置全0地址、D类地址。
【描述】
radius nas-ip命令用来指定设备发送RADIUS报文使用的源IP地址。undo radius nas-ip命令用来恢复缺省状态。
缺省情况下,不指定源IP地址,即以发送报文的接口地址作为源IP地址。
RADIUS方案视图下的nas-ip命令和系统视图下的radius nas-ip命令的作用相同,在RADIUS方案视图下进行的配置优先级高于系统视图下的配置。
需要注意以下几点:
l 指定发送RADIUS报文使用的源IP地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
l 本命令只能指定一个源IP地址,新配置的源IP地址会覆盖原有的源IP地址。
相关配置可参考命令nas-ip。
【举例】
# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius nas-ip 129.10.10.1
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【视图】
系统视图
【参数】
radius-scheme-name:RADIUS方案名,为不超过32个字符的字符串。
【描述】
radius scheme命令用来创建RADIUS方案并进入其视图。
undo radius scheme命令用来删除指定的RADIUS方案。
缺省情况下,系统中已创建了一个名为“system”的RADIUS方案。
需要注意以下几点:
l 对于名为“system”的RADIUS方案,其各项属性均为缺省值。可以用display radius scheme命令来查看缺省RADIUS方案“system”的设置。
l RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至少要指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数。在进行RADIUS协议配置之前,必须先创建RADIUS方案并进入其视图。
l 一个RADIUS方案可以同时被多个ISP域引用。
l undo radius scheme命令虽然可以用来删除指定的RADIUS方案,但是不能删除缺省的RADIUS方案。当有使用RADIUS方案的用户在线时,不允许删除该方案。
相关配置可参考命令key,retry realtime-accounting,scheme,timer realtime-accounting,stop-accounting-buffer enable, retry stop-accounting,server-type,state,user-name-format, retry , display radius scheme,display radius statistics。
【举例】
# 创建名为“radius1”的RADIUS方案并进入其视图。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1]
【命令】
radius trap { authentication-server-down | accounting-server-down }
undo radius trap { authentication-server-down | accounting-server-down }
【视图】
系统视图
【参数】
无
【描述】
radius trap命令用来使能当RADIUS 服务器状态变为Down时,系统发送Trap的功能。undo radius trap用来关闭此功能。
缺省情况下,此功能关闭。
该配置对所有的RADIUS方案都生效。
在设备向RADIUS服务器发送报文而未收到响应的次数超过配置的重试次数后,设备就认为相应的服务器状态变为Down。
【举例】
# 使能当RADIUS 认证服务器状态变为Down时,系统发送Trap。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius trap authentication-server-down
【命令】
reset radius statistics
【视图】
用户视图
【参数】
无
【描述】
reset radius statistics命令用来清除RADIUS协议的统计信息。
相关配置请参考命令display radius scheme。
【举例】
# 清除RADIUS协议的统计信息。
<Sysname> reset radius statistics
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
用户视图
【参数】
radius-scheme radius-scheme-name:根据RADIUS方案名删除暂存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为不超过32个字符的字符串,且不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符。
session-id session-id:根据会话ID删除暂存的停止计费请求报文。其中,session-id为会话ID,为不超过50个字符的字符串。
time-range start-time stop-time:根据停止计费请求时刻删除暂存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:根据用户名删除暂存的停止计费请求报文。其中,user-name为用户名,为不超过184个字符的字符串。
【描述】
reset stop-accounting-buffer命令用来删除那些缓存的、没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable, retry stop-accounting,display stop-accounting-buffer。
【举例】
# 删除用户“user0001@example.com”缓存在系统中的停止计费请求报文。
<Sysname> reset stop-accounting-buffer user-name user0001@example.com
# 删除从2002年8月31日0点0分0秒到2002年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<Sysname> reset stop-accounting-buffer time-range 00:00:00-08/31/2002 23:59:59-08/31/2002
【命令】
retry retry-times
undo retry
【视图】
RADIUS方案视图
【参数】
retry-times:最大传送次数,取值范围为1~20。
【描述】
retry命令用来设置RADIUS请求报文的最大传送次数。undo retry命令用来将RADIUS请求报文的最大传送次数恢复为缺省值。
缺省情况下,RADIUS请求报文的最大传送次数为3次。
需要注意以下几点:
l 由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次认证失败。
l 根据网络状况合理的设置重发次数可以提高系统的响应速度。
相关配置可参考命令radius scheme。
【举例】
# 设置在RADIUS方案“radius1”下,RADIUS请求报文的最大传送次数为5次。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] retry 5
【命令】
retry realtime-accounting retry-times
undo retry realtime-accounting
【视图】
RADIUS方案视图
【参数】
retry-times:允许实时计费失败的最大次数,取值范围为1~255。
【描述】
retry realtime-accounting命令用来设置允许实时计费失败的最大次数。undo retry realtime-accounting命令用来恢复允许实时计费失败的最大次数为缺省值。
缺省情况下,最多允许5次实时计费失败。
需要注意以下几点:
l RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下在设备端尽量与RADIUS服务器同步切断用户连接。设备提供对连续实时计费请求无响应次数限制的设置——在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备将切断用户连接。
l 一次计费可以包括多次(RADIUS方案视图下的retry命令设置)实时计费请求报文的发送,均无响应才认为该次计费失败。假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,超时重传次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费失败的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。
相关配置可参考命令radius scheme,timer realtime-accounting。
【举例】
# 设置RADIUS方案“radius1”最多允许10次实时计费请求失败。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] retry realtime-accounting 10
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
RADIUS方案视图
【参数】
retry-times:缓存的停止计费请求报文的最大重发次数,取值范围为10~65535。
【描述】
retry stop-accounting命令用来指示当出现未得到响应的停止计费请求时,将该报文存入设备缓存后,停止计费请求报文的最大重发次数。undo retry stop-accounting命令用来恢复停止计费请求报文的最大重发次数为缺省值。
缺省情况下,停止计费请求报文的最大重发次数为500。
由于停止计费请求报文涉及到话单结算,并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后重新发送直到RADIUS计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,radius scheme ,display stop-accounting-buffer。
【举例】
# 指示对于RADIUS方案“radius1”中的服务器,设备系统最多可以将缓存的停止计费请求报文重发1000次。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] retry stop-accounting 1000
【命令】
secondary accounting ip-address [ port-number ]
undo secondary accounting
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
secondary accounting命令用来设置从RADIUS计费服务器的IP地址和端口号。undo secondary accounting命令用来将从RADIUS计费服务器的IP地址和端口号恢复为缺省值。
缺省情况下,从计费服务器的IP地址为0.0.0.0,UDP端口号为1813。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的从计费服务器的IP地址为10.110.1.1、使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
【命令】
secondary authentication ip-address [ port-number ]
undo secondary authentication
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
secondary authentication命令用来设置从RADIUS认证/授权服务器的IP地址和端口号。undo secondary authentication命令用来将从RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值。
缺省情况下,从认证/授权服务器的IP地址为0.0.0.0,UDP端口号为1812。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的从认证/授权服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
【命令】
server-type { extended| standard }
undo server-type
【视图】
RADIUS方案视图
【参数】
extended:指定extended类型的RADIUS服务器(一般为CAMS),即要求RADIUS客户端(设备系统)和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。
standard:指定standard类型的RADIUS服务器,即要求RADIUS客户端(设备系统)和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互。
【描述】
server-type命令用来指定设备系统支持的RADIUS服务器类型。undo server-type命令用来恢复设备系统支持的RADIUS服务器类型为缺省设置。
缺省情况下,设备系统支持的RADIUS服务器类型为standard。系统缺省创建的system方案的RADIUS服务器类型是extended。
相关配置可参考命令radius scheme。
【举例】
# 将RADIUS方案“radius1”的RADIUS服务器类型设置为extended。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] server-type extended
【命令】
state { primary | secondary } { accounting | authentication } { block | active }
【视图】
RADIUS方案视图
【参数】
primary:设置主RADIUS服务器的状态。
secondary:设置从RADIUS服务器的状态。
accounting:设置RADIUS计费服务器的状态。
authentication:设置RADIUS认证/授权服务器的状态。
block:RADIUS服务器的状态为block,即处于宕机状态。
active:RADIUS服务器的状态为active,即处于正常工作状态。
【描述】
state命令用来设置RADIUS服务器的状态。
缺省情况下,所有RADIUS方案中各RADIUS服务器的状态均为block。系统缺省创建的system方案的主RADIUS服务器的状态为active,从RADIUS服务器的状态为block。
需要注意以下几点:
l 对于某个RADIUS方案中的主、从服务器(无论是认证/授权服务器还是计费服务器),当主服务器因故障而导致其与设备的通信中断时,设备会主动地与从服务器交互报文。
l 当主服务器变为block的状态超过timer quiet命令设定的时间后,当有RADIUS请求时,设备会尝试与主服务器通信,如果主服务器恢复正常,设备会立即恢复与其通信,而不继续与从服务器通信。同时,主服务器的状态恢复为active,从服务器的状态不变。
l 当主服务器与从服务器的状态都为active或block时,交换机将只把报文发送到主服务器上。
相关配置可参考命令radius scheme,primary authentication,secondary authentication,primary accounting,secondary accounting。
【举例】
# 将RADIUS方案“radius1”的从认证服务器的状态设置为active。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] state secondary authenticaiton active
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
RADIUS方案视图
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。
undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后重新发送直到RADIUS计费服务器产生响应,或者在重新发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,radius scheme,display stop-accounting-buffer。
【举例】
# 配置对于RADIUS方案“radius1”,设备缓存没有得到响应的停止计费请求报文。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] stop-accounting-buffer enable
【命令】
timer seconds
undo timer
【视图】
RADIUS方案视图
【参数】
seconds:RADIUS服务器响应超时定时器,单位为秒,取值范围为1~10。
【描述】
timer命令用来设置RADIUS服务器响应超时定时器。
undo timer命令用来将RADIUS服务器响应超时定时器恢复为缺省值。
缺省情况下,RADIUS服务器响应超时定时器为3秒。
需要注意以下几点:
l 如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,timer命令就是用来设置这个定时器长度的。
l 根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
l timer命令与timer response-timeout命令的作用相同。
相关配置可参考命令radius scheme,retry。
【举例】
# 将RADIUS方案“radius1”的响应超时定时器设置为5秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] timer 5
【命令】
timer quiet minutes
undo timer quiet
【视图】
RADIUS方案视图
【参数】
minutes:取值范围为1~255,单位为分钟。
【描述】
timer quiet 命令用来设置主服务器恢复激活状态的时间。undo timer quiet 命令用来恢复缺省配置。
缺省情况下,主服务器恢复激活状态前需要等待5分钟。
相关配置可参考命令display radius scheme。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
RADIUS方案视图
【参数】
minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,且必须为3的倍数。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来将实时计费的时间间隔恢复为缺省值。
缺省情况下,实时计费的时间间隔为12分钟。
需要注意以下几点:
l 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。
l 实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求——取值越小,对设备和RADIUS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。表1-5是实时计费间隔与用户量之间的推荐比例关系。
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
相关配置可参考命令retry realtime-accounting,radius scheme。
【举例】
# 将RADIUS方案“radius1”的实时计费的时间间隔设置为51分钟。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
RADIUS方案视图
【参数】
seconds:RADIUS服务器应答超时时间,单位为秒,取值范围为1~10。
【描述】
timer response-timeout命令用来设置RADIUS服务器应答超时时间。
undo timer response-timeout命令用来将RADIUS服务器应答超时时间恢复为缺省值。
缺省情况下,RADIUS服务器应答超时时间为3秒。
需要注意以下几点:
l 如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器。timer response-timeout命令就是用来设置这个定时器时长的。
l 根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
l 本命令与timer命令的作用相同。
相关配置可参考命令radius scheme,retry。
【举例】
# 将RADIUS方案“radius1”的应答超时时间设置为5秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] timer response-timeout 5
【命令】
user-name-format { with-domain | without-domain }
【视图】
RADIUS方案视图
【参数】
with-domain:指定发送给RADIUS服务器的用户名带域名。
without-domain:指定发送给RADIUS服务器的用户名不带域名。
【描述】
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
缺省情况下,RADIUS方案发送给RADIUS服务器的用户名携带有ISP域名。系统缺省创建的“system”方案的用户名不带域名。
需要注意以下几点:
l 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
l 如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
l 对于802.1x用户,如果采用EAP认证方式,则交换机会把客户端输入的内容直接封装后发给服务器,这种情况下user-name-format的设置对其无效。
相关配置可参考命令radius scheme。
【举例】
# 指定发送给RADIUS方案“radius1”中RADIUS服务器的用户名不得携带域名。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme radius1
New Radius scheme
[Sysname-radius-radius1] user-name-format without-domain
【命令】
data-flow-format data { byte | giga-byte | kilo-byte | mega-byte }
data-flow-format packet { giga-packet | kilo-packet | mega-packet | one-packet }
undo data-flow-format { data | packet }
【视图】
HWTACACS方案视图
【参数】
data:设置数据的单位。
byte:数据单位为字节。
giga-byte:数据单位为千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为“giga-packet”。
kilo-packet:数据包的单位为“kilo-packet”。
mega-packet:数据包的单位为“mega -packet”。
one-packet:数据包的单位为“one -packet”。
【描述】
data-flow-format命令用来配置发送到TACACS服务器的数据流的单位。undo data-flow-format命令用来恢复发送到TACACS服务器的数据流的单位为缺省设置。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
设备上配置的发送给TACACS服务器的数据流单位应与TACACS服务器上的流量统计单位保持一致,否则无法正确计费。
相关配置可参考命令display hwtacacs。
【举例】
# 设置发往TACACS服务器的数据流的单位为kilo-byte,数据包的单位为kilo-packet。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname- hwtacacs-hwt1] data-flow-format data kilo-byte
[Sysname- hwtacacs-hwt1] data-flow-format packet kilo-packet
【命令】
display hwtacacs [ hwtacacs-scheme-name [ statistics ] ]
【视图】
任意视图
【参数】
hwtacacs-scheme-name:HWTACACS方案名,字符串形式,长度为1~32,不区分大小写。此项如果为空,则显示所有HWTACACS方案的配置信息。
statistics:显示HWTACACS服务器的详细统计信息。
【描述】
display hwtacacs命令用来查看所有或指定HWTACACS方案的配置信息或统计信息。
相关配置请参考命令hwtacacs scheme。
【举例】
# 查看HWTACACS方案ht1的配置情况。
<Sysname> display hwtacacs ht1
-------------------------------------------------------------------- HWTACACS-server template name : ht1
Primary-authentication-server : 172.31.1.11:49
Primary-authorization-server : 172.31.1.11:49
Primary-accounting-server : 172.31.1.11:49
Secondary-authentication-server : 0.0.0.0:0
Secondary-authorization-server : 0.0.0.0:0
Secondary-accounting-server : 0.0.0.0:0
Current-authentication-server : 172.31.1.11:49
Current-authorization-server : 172.31.1.11:49
Current-accounting-server : 172.31.1.11:49
Source-IP-address : 0.0.0.0
key authentication : 790131
key authorization : 790131
key accounting : 790131
Quiet-interval(min) : 5
Response-timeout-Interval(sec) : 5
Realtime-accouting-Interval(min): 12
Stop-acct-PKT resending times : 100
Domain-included : No
Traffic-unit : B
Packet traffic-unit : one-packet
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
任意视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据HWTACACS方案名显示暂存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为不超过32个字符的字符串。
【描述】
display stop-accounting-buffer命令用来显示缓存在设备上的停止计费请求报文。
相关配置可参考命令reset stop-accounting-buffer,stop-accounting-buffer enable,retry stop-accounting。
【举例】
# 显示为HWTACACS方案“hwt1”缓存的停止计费请求报文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1
【命令】
hwtacacs nas-ip ip-address
undo hwtacacs nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、D类地址、环回地址。
【描述】
hwtacacs nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo hwtacacs nas-ip命令用来恢复缺省状态。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意以下几点:
l 指定发送HWTACACS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
l 本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
相关配置可参考命令nas-ip。
【举例】
# 配置设备发送HWTACACS报文使用的源地址为129.10.10.1。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs nas-ip 129.10.10.1
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【视图】
系统视图
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,字符串形式,长度为1~32个字符。
【描述】
hwtacacs scheme命令用来创建HWTACACS方案并进入其视图。undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
缺省情况下,没有定义HWTACACS方案。
【举例】
# 创建名为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【命令】
key { accounting | authentication | authorization } string
undo key { accounting | authentication | authorization }
【视图】
HWTACACS方案视图
【参数】
accounting:计费服务器的共享密钥。
authentication:认证服务器的共享密钥。
authorization:授权服务器的共享密钥。
string:密钥。为不超过16个字符的字符串。
【描述】
key命令用来设置HWTACACS认证、授权、计费报文的共享密钥。undo key 命令用来删除配置。
缺省情况下,无密钥。
相关配置可参考命令display hwtacacs。
【举例】
# 配置HWTACACS计费报文共享密钥为hello。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key accounting hello
【命令】
nas-ip ip-address
undo nas-ip
【视图】
HWTACACS方案视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、D类地址、环回地址。
【描述】
nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo nas-ip命令用来恢复缺省状态。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意以下几点:
l 指定发送HWTACACS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。
l 本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
相关配置可参考命令hwtacacs nas-ip。
【举例】
# 配置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port ]
undo primary accounting
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
primary accounting命令用来配置HWTACACS主计费服务器。undo primary accounting命令用来删除配置的HWTACACS主计费服务器。
缺省情况下,主计费服务器的IP地址为0.0.0.0,端口号为49。
需要注意以下几点:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
【举例】
# 配置主计费服务器。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme test1
[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49
【命令】
primary authentication ip-address [ port ]
undo primary authentication
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
primary authentication命令用来配置HWTACACS主认证服务器。undo primary authentication命令用来删除配置的认证服务器。
缺省情况下,主认证服务器的IP地址为0.0.0.0,端口号为49。
需要注意以下几点:
l 主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主认证服务器。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49
【命令】
primary authorization ip-address [ port ]
undo primary authorization
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
primary authorization命令用来配置HWTACACS主授权服务器。undo primary authorization命令用来删除配置的主授权服务器。
缺省情况下,主授权服务器的IP地址为0.0.0.0,端口号为49。
需要注意以下几点:
l 主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主授权服务器。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49
【命令】
reset hwtacacs statistics { accounting | authentication | authorization | all }
【视图】
用户视图
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
all:清除所有统计信息。
【描述】
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
相关配置请参考命令display hwtacacs。
【举例】
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【视图】
用户视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:根据HWTACACS方案名删除暂存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为不超过32个字符的字符串。
【描述】
reset stop-accounting-buffer命令用来清除那些在设备上缓存的、没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable,retry stop-accounting,display stop-accounting-buffer。
【举例】
# 删除mailto:HWTACACS方案“hwt1”缓存在系统中的停止计费请求报文。
<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
HWTACACS方案视图
【参数】
retry-times:停止计费报文传送的最大次数,取值范围为1~300。
【描述】
retry stop-accounting命令用来使能停止计费报文重传功能,并配置停止计费报文传送的最大次数。undo retry stop-accounting命令用来恢复停止计费报文传送次数为缺省值。
缺省情况下,使能停止计费报文重传功能,可传送报文的最大次数为100。
相关配置可参考命令reset stop-accounting-buffer,hwtacacs scheme ,display stop-accounting-buffer。
【举例】
# 使能停止计费报文发送功能,每次可发送50次报文。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 50
【命令】
secondary accounting ip-address [ port ]
undo secondary accounting
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式,必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
secondary accounting命令用来配置HWTACACS从计费服务器。undo secondary accounting命令用来删除配置的HWTACACS从计费服务器。
缺省情况下,从计费服务器的IP地址为0.0.0.0,端口号为49。
需要注意以下几点:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。
【举例】
# 配置从计费服务器。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49
【命令】
secondary authentication ip-address [ port ]
undo secondary authentication
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535,缺省端口号为49。
【描述】
secondary authentication命令用来配置HWTACACS从认证服务器。undo secondary authentication命令用来删除配置的从认证服务器。
缺省情况下,从认证服务器的IP地址为0.0.0.0,端口号为49。
需要注意以下几点:
l 主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从认证服务器。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49
【命令】
secondary authorization ip-address [ port ]
undo secondary authorization
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
secondary authorization命令用来配置HWTACACS从授权服务器。undo secondary authorization命令用来删除配置的从授权服务器。
缺省情况下,从授权服务器的IP地址为0.0.0.0,端口号为49。
需要注意以下几点:
l 主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从授权服务器。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49
【命令】
timer quiet minutes
undo timer quiet
【视图】
HWTACACS方案视图
【参数】
minutes:取值范围为1~255,单位为分钟。
【描述】
timer quiet 命令用来设置主服务器恢复激活状态的时间。undo timer quiet 命令用来恢复缺省配置。
缺省情况下,主服务器恢复激活状态前需要等待5分钟。
相关配置可参考命令display hwtacacs。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
HWTACACS方案视图
【参数】
minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,必须为3的倍数。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来将实时计费的时间间隔恢复为缺省值。
缺省情况下,实时计费的时间间隔为12分钟。
需要注意以下几点:
l 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向TACACS服务器发送一次在线用户的计费信息。
l 实时计费间隔的取值对设备和TACACS服务器的性能有一定的相关性要求——取值越小,对设备和TACACS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
|
用户数 |
实时计费间隔(分钟) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
【举例】
# 将HWTACACS方案“hwt1”的实时计费的时间间隔设置为51分钟。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
HWTACACS方案视图
【参数】
seconds:取值范围为1~300,单位为秒。
【描述】
timer response-timeout命令用来设置TACACS服务器应答超时时间。undo timer response-timeout命令用来恢复缺省配置。
缺省情况下,TACACS服务器应答超时时间为5秒。
由于HWTACACS是基于TCP实现的,因此,服务器应答超时或TCP超时都可能导致与TACACS服务器的连接断开。
相关配置可参考命令display hwtacacs。
【举例】
# 配置TACACS服务器应答超时时间为30秒。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【命令】
user-name-format { with-domain | without-domain }
【视图】
HWTACACS方案视图
【参数】
with-domain:指定发送给TACACS服务器的用户名带域名。
without-domain:指定发送给TACACS服务器的用户名不带域名。
【描述】
user-name-format命令用来设置发送给TACACS服务器的用户名格式。
缺省情况下,HWTACACS方案默认发送给TACACS服务器的用户名携带有ISP域名。
需要注意几点:
l 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的TACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给TACACS服务器。因此,设备提供此命令以指定发送给TACACS服务器的用户名是否携带有ISP域名。
l 如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但TACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
相关配置可参考命令hwtacacs scheme。
【举例】
# 指定发送给HWTACACS方案“hwt1”的用户不得携带域名。
<Sysname> system-view
System View: return to User View with Ctrl+Z.
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
【命令】
security-policy-server ip-address
undo security-policy-server { ip-address | all }
【视图】
RADIUS方案视图
【参数】
ip-address:安全策略服务器的IP地址。
all:所有安全策略服务器的IP地址。
【描述】
security-policy-server命令用来配置安全策略服务器的IP地址。undo security-policy-server命令用来取消安全策略服务器的IP地址的配置。
每个RADIUS方案中最多允许配置8个不同IP的安全策略服务器地址。在用户上网过程中,交换机只会响应从认证服务器以及安全策略服务器发来的会话控制报文。
【举例】
# 配置安全策略服务器的IP地址为192.168.0.1。
<Sysname>system-view
System View: return to User View with Ctrl+Z.
[Sysname] radius scheme extended
[Sysname-radius-extended] security-policy-server 192.168.0.1
[Sysname-radius-extended] display current-configuration
…
radius scheme extended
primary authentication 1.1.11.29 1812
secondary authentication 127.0.0.1 1645
security-policy-server 192.168.0.1
user-name-format without-domain
…
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
