• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

08 安全命令参考

目录

01-AAA命令

本章节下载 01-AAA命令  (422.51 KB)

01-AAA命令

目  录

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile

1.1.2 access-limit enable

1.1.3 accounting command

1.1.4 accounting default

1.1.5 accounting lan-access

1.1.6 accounting login

1.1.7 accounting optional

1.1.8 accounting portal

1.1.9 authentication default

1.1.10 authentication lan-access

1.1.11 authentication login

1.1.12 authentication portal

1.1.13 authentication super

1.1.14 authorization command

1.1.15 authorization default

1.1.16 authorization lan-access

1.1.17 authorization login

1.1.18 authorization portal

1.1.19 authorization-attribute user-profile

1.1.20 cut connection

1.1.21 display connection

1.1.22 display domain

1.1.23 domain

1.1.24 domain default enable

1.1.25 idle-cut enable

1.1.26 nas-id bind vlan

1.1.27 self-service-url enable

1.1.28 state(ISP domain view)

1.2 本地用户配置命令

1.2.1 access-limit

1.2.2 authorization-attribute(Local user view/user group view)

1.2.3 bind-attribute

1.2.4 display local-user

1.2.5 display user-group

1.2.6 expiration-date(Local user view)

1.2.7 group

1.2.8 local-user

1.2.9 local-user password-display-mode

1.2.10 password

1.2.11 service-type

1.2.12 state(Local user view)

1.2.13 user-group

1.3 RADIUS配置命令

1.3.1 accounting-on enable

1.3.2 attribute 25 car

1.3.3 data-flow-format (RADIUS scheme view)

1.3.4 display radius scheme

1.3.5 display radius statistics

1.3.6 display stop-accounting-buffer

1.3.7 key (RADIUS scheme view)

1.3.8 nas-ip (RADIUS scheme view)

1.3.9 primary accounting (RADIUS scheme view)

1.3.10 primary authentication (RADIUS scheme view)

1.3.11 radius client

1.3.12 radius nas-ip

1.3.13 radius scheme

1.3.14 radius trap

1.3.15 reset radius statistics

1.3.16 reset stop-accounting-buffer

1.3.17 retry

1.3.18 retry realtime-accounting

1.3.19 retry stop-accounting (RADIUS scheme view)

1.3.20 secondary accounting (RADIUS scheme view)

1.3.21 secondary authentication (RADIUS scheme view)

1.3.22 security-policy-server

1.3.23 server-type

1.3.24 state primary

1.3.25 state secondary

1.3.26 stop-accounting-buffer enable (RADIUS scheme view)

1.3.27 timer quiet (RADIUS scheme view)

1.3.28 timer realtime-accounting (RADIUS scheme view)

1.3.29 timer response-timeout (RADIUS scheme view)

1.3.30 user-name-format (RADIUS scheme view)

1.4 HWTACACS配置命令

1.4.1 data-flow-format (HWTACACS scheme view)

1.4.2 display hwtacacs

1.4.3 display stop-accounting-buffer

1.4.4 hwtacacs nas-ip

1.4.5 hwtacacs scheme

1.4.6 key (HWTACACS scheme view)

1.4.7 nas-ip (HWTACACS scheme view)

1.4.8 primary accounting (HWTACACS scheme view)

1.4.9 primary authentication (HWTACACS scheme view)

1.4.10 primary authorization

1.4.11 reset hwtacacs statistics

1.4.12 reset stop-accounting-buffer

1.4.13 retry stop-accounting (HWTACACS scheme view)

1.4.14 secondary accounting (HWTACACS scheme view)

1.4.15 secondary authentication (HWTACACS scheme view)

1.4.16 secondary authorization

1.4.17 stop-accounting-buffer enable (HWTACACS scheme view)

1.4.18 timer quiet (HWTACACS scheme view)

1.4.19 timer realtime-accounting (HWTACACS scheme view)

1.4.20 timer response-timeout (HWTACACS scheme view)

1.4.21 user-name-format (HWTACACS scheme view)


1 AAA配置命令

1.1  AAA配置命令

1.1.1  aaa nas-id profile

【命令】

aaa nas-id profile profile-name

undo aaa nas-id profile profile-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

profile-name:保存NAS-ID与VLAN绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。

【描述】

aaa nas-id profile命令用来创建一个NAS-ID Profile或者进入一个已创建的NAS-ID-Profile视图。undo aaa nas-id profile命令用来删除一个指定的NAS-ID Profile。

相关配置可参考命令nas-id bind vlan

【举例】

# 创建一个名字为aaa的NAS-ID Profile。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa]

1.1.2  access-limit enable

【命令】

access-limit enable max-user-number

undo access-limit enable

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

max-user-number:表示当前ISP域可容纳接入用户数的最大值,取值范围为1~2147483646。

【描述】

access-limit enable命令用来限制当前ISP域可容纳接入用户数。undo access-limit enable命令用来恢复缺省情况。

缺省情况下,不限制当前ISP域可容纳的接入用户数。

需要注意的是,由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。对当前ISP域下所能接入的用户数进行限制后,当接入此域的用户数超过当前ISP域可容纳的最大用户数后,新接入的用户将被拒绝。

【举例】

# 指定ISP域test最多可容纳500个接入用户。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] access-limit enable 500

1.1.3  accounting command

【命令】

accounting command hwtacacs-scheme hwtacacs-scheme-name

undo accounting command

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

【描述】

accounting command命令用来配置命令行计费方法。undo accounting command命令用来恢复缺省情况。

缺省情况下,命令行计费采用当前ISP域的缺省计费方法。

需要注意的是:

l              当前ISP域所引用的HWTACACS方案必须是已配置的。

l              命令行计费支持的远程AAA方案目前仅为HWTACACS方案。

相关配置可参考命令accounting defaulthwtacacs scheme

【举例】

# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting command hwtacacs-scheme hwtac

1.1.4  accounting default

【命令】

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting default

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting default命令用来为当前ISP域配置缺省的计费方法。undo accounting default命令用来恢复缺省情况。

缺省情况下,当前ISP域的缺省计费方法为local

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              当前ISP域的缺省的计费方法对于该域中未指定具体计费方法的所有接入用户都起作用。

l              本地计费只是为了支持本地用户的连接数管理,没有实际计费相关的统计功能。

相关配置可参考命令hwtacacs schemeradius scheme

【举例】

# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting default radius-scheme rd local

1.1.5  accounting lan-access

【命令】

accounting lan-access { local | none | radius-scheme radius-scheme-name [ local | none] }

undo accounting lan-access

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting lan-access命令用来为lan-access用户配置计费方法。undo accounting lan-access命令用来恢复缺省情况。

缺省情况下,lan-access用户采用当前ISP域的缺省计费方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令local-useraccounting defaultradius scheme

【举例】

# 在ISP域test下,为lan-access用户配置计费方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access local

# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access radius-scheme rd local

1.1.6  accounting login

【命令】

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting login

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting login命令用来为login用户配置计费方法。undo accounting login命令用来恢复缺省情况。

缺省情况下,login用户采用当前ISP域的缺省计费方法。

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              FTP类型的login用户不支持计费流程。

相关配置可参考命令local-useraccounting defaulthwtacacs schemeradius scheme

【举例】

# 在ISP域test下,为login用户配置计费方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting login local

# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting login radius-scheme rd local

1.1.7  accounting optional

【命令】

accounting optional

undo accounting optional

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

【描述】

accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。

缺省情况下,计费可选开关处于关闭状态。

需要注意的是:

l              对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了本命令,则用户可以继续使用网络资源,且系统不再为其发送实时计费更新报文,否则用户连接将被切断。该命令适用于不是特别关心计费结果的情况。

l              计费可选开关打开的情况下,本地用户视图下的access-limit命令配置的本地用户的连接数限制功能不生效。

【举例】

# 打开ISP域test的计费可选开关。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting optional

1.1.8  accounting portal

【命令】

accounting portal { local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting portal

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地计费。

none:不计费。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

accounting portal命令用来为Portal用户配置计费方法。undo accounting portal命令用来恢复缺省情况。

缺省情况下,Portal用户采用当前ISP域的缺省计费方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令local-useraccounting defaultradius scheme

【举例】

# 在ISP域test下,为Portal用户配置计费方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting portal local

# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting portal radius-scheme rd local

1.1.9  authentication default

【命令】

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication default

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication default命令用来为当前ISP域配置缺省的认证方法。undo authentication default命令用来为恢复缺省情况。

缺省情况下,当前ISP域的缺省认证方法为local

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS必须是已配置的。

l              当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用。

相关配置可参考命令local-userhwtacacs schemeradius scheme

【举例】

# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备份认证方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication default radius-scheme rd local

1.1.10  authentication lan-access

【命令】

authentication lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }

undo authentication lan-access

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication lan-access命令用来为lan-access用户配置认证方法。undo authentication lan-access命令用来恢复缺省情况。

缺省情况下,lan-access用户采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令local-userauthentication defaultradius scheme

【举例】

# 在ISP域test下,为lan-access用户配置认证方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication lan-access local

# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行认证,并且local作为备份认证方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication lan-access radius-scheme rd local

1.1.11  authentication login

【命令】

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication login

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication login命令用来为login用户配置认证方法。undo authentication login命令用来恢复缺省情况。

缺省情况下,login用户采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

相关配置可参考命令local-userauthentication defaulthwtacacs schemeradius scheme

【举例】

# 在ISP域test下,为login用户配置认证方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication login local

# 在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备份认证方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication login radius-scheme rd local

1.1.12  authentication portal

【命令】

authentication portal { local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication portal

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地认证。

none:不进行认证。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authentication portal命令用来为Portal用户配置认证方法。undo authentication portal命令用来恢复缺省情况。

缺省情况下,Portal用户采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令authentication defaultradius scheme

【举例】

# 在ISP域test下,为Portal用户配置认证方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication portal local

# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行认证,并且local作为备份认证方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication portal radius-scheme rd local

1.1.13  authentication super

【命令】

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name }

undo authentication super

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

authentication super命令用来配置级别切换认证方法。undo authentication super命令用来恢复缺省情况。

缺省情况下,级别切换认证采用当前ISP域的缺省认证方法。

需要注意的是,当前ISP域所引用的RADIUS方案和HWTACACS方案必须是已配置的。

相关配置可参考命令hwtacacs schemeradius scheme和“基础配置命令参考/CLI配置命令”中的命令super authentication-mode

【举例】

# 在ISP域test下,配置使用HWTACACS方案tac进行级别切换认证。

<Sysname> system-view

[Sysname] super authentication-mode scheme

[Sysname] domain test

[Sysname-domain-test] authentication super hwtacacs-scheme tac

1.1.14  authorization command

【命令】

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local | none ] | local | none }

undo authorization command

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的用户只有系统所给予的0级别的命令行访问权限。

【描述】

authorization command命令用来配置命令行授权方法。undo authorization command命令用来恢复缺省情况。

缺省情况下,命令行授权采用当前ISP域的缺省授权方法。

需要注意的是:

l              当前ISP域所引用的HWTACACS方案必须是已配置的。

l              当用户采用本地命令行授权时,成功登录设备的用户只能执行不大于本地用户级别的命令行。

相关配置可参考命令local-userauthorization defaulthwtacacs scheme

【举例】

# 在ISP域test下,配置命令行授权方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization command local

# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local

1.1.15  authorization default

【命令】

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization default

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console/aux口或者Telnet、FTP访问设备的用户)只有系统所给予的0级别的命令行访问权限,其中FTP用户可访问设备的根目录;认证通过的非Login用户可直接访问网络。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization default命令用来为当前ISP域配置缺省的授权方法。undo authorization default命令用来恢复缺省情况。

缺省情况下,当前ISP域的缺省授权方法为local

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用。

l              在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关配置可参考命令local-userauthentication defaultaccounting defaulthwtacacs schemeradius scheme

【举例】

# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization default radius-scheme rd local

1.1.16  authorization lan-access

【命令】

authorization lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }

undo authorization lan-access

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的lan-access用户可直接访问网络。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization lan-access命令用来为lan-access用户配置授权方法。undo authorization lan-access命令用来为恢复缺省情况。

缺省情况下,lan-access用户采用当前ISP域的缺省授权方法。

需要注意的是:

l              当前ISP域所引用的RADIUS方案必须是已配置的。

l              在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关配置可参考命令local-userauthorization defaultradius scheme

【举例】

# 在ISP域test下,为lan-access用户配置授权方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access local

# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access radius-scheme rd local

1.1.17  authorization login

【命令】

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization login

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串。

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console/aux口或者Telnet、FTP访问设备的用户)只有系统所给予的0级别的命令行访问权限,其中FTP用户可访问设备的根目录。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization login命令用来为login用户配置授权方法。undo authorization login命令用来恢复缺省情况。

缺省情况下,login用户采用当前ISP域的缺省授权方法。

需要注意的是:

l              当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。

l              在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关配置可参考命令local-userauthorization defaulthwtacacs schemeradius scheme

【举例】

# 在ISP域test下,为login用户配置授权方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization login local

# 在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization login radius-scheme rd local

1.1.18  authorization portal

【命令】

authorization portal { local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization portal

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

local:本地授权。

none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的Portal用户可直接访问网络。

radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。

【描述】

authorization portal命令用来为Portal用户配置授权方法。undo authorization portal命令用来恢复缺省情况。

缺省情况下,Portal用户采用缺省的授权方法。

需要注意的是:

l              当前ISP域所引用的RADIUS方案必须是已配置的。

l              在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。

相关配置可参考命令local-userauthorization defaultradius scheme

【举例】

# 在ISP域test下,为Portal用户配置授权方法为local

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization portal local

# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行授权,并且使用local作为备份授权方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization portal radius-scheme rd local

1.1.19  authorization-attribute user-profile

【命令】

authorization-attribute user-profile profile-name

undo authorization-attribute user-profile

【视图】

ISP域视图

【缺省级别】

3:管理级

【参数】

profile-name:指定的User Profile名称,为1~31个字符的字符串,区分大小写。User Profile的相关配置请参考“安全配置指导”中的“User Profile配置”。

【描述】

authorization-attribute user-profile命令用于配置当前ISP域的缺省授权User Porfile。undo authorization-attribute user-profile命令用于恢复缺省情况。

缺省情况下,当前ISP域无缺省授权User Porfile。

如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权User Porfile,则系统使用本配置指定的User Porfile作为当前ISP域的授权User Porfile。

需要注意的是,重复配置本命令,会覆盖原有的配置。

【举例】

# 配置test域下的缺省授权User Profile为profile1。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization-attribute user-profile profile1

1.1.20  cut connection

【命令】

cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id } [ slot slot-number ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

access-type:指定接入方式。

l              dot1x:表示802.1X认证接入方式;

l              mac-authentication:表示MAC地址认证接入方式;

l              portal:表示Portal认证接入方式。

all:指定所有用户连接。

domain isp-name:指定ISP域。其中,isp-name为ISP域名,为1~24个字符的字符串。

interface interface-type interface-number:指定接口。其中,interface-type interface-number为接口类型和接口编号。

ip ip-address:指定IP地址。

mac mac-address:指定MAC地址。其中,mac-address为H-H-H格式。

ucibindex ucib-index:指定连接索引号,取值范围为0~4294967295。

user-name user-name:指定用户名。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。若用户输入的用户名未携带域名,则系统默认其带缺省域名或强制认证域名。

vlan vlan-id:指定用户所在VLAN。其中,vlan-id的取值范围为14094

slot slot-number:指定成员设备。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

【描述】

cut connection命令用来强制切断指定AAA用户的连接。

此命令目前只对lan-access、Portal服务类型的用户有效。

需要注意的是:

l              如果客户端配置的用户名携带版本号或者用户名中存在空格,则无法通过用户名来检索和切断用户连接,但是通过其他方式(如IP地址、连接索引号等)仍然可以检索和切断用户的连接。

l              如果接入用户的接口上配置了指定接入类型的强制认证域(例如802.1X强制认证域),则通过该接口上线的指定接入类型的用户将使用强制认证域进行认证、授权和计费,因此若要通过cut connection domain isp-name命令切断该类用户连接,则必须指定用户使用的强制认证域名。

l              对于使用域名分隔符\或者/802.1X在线用户,不能通过cut connection user-name user-name命令切断其连接。例如,执行命令cut connection user-name aaa\bbb后,不能切断在线用户aaa\bbb的连接。

相关配置可参考命令display connectionservice-type

【举例】

# 切断ISPtest下的所有用户连接。

<Sysname> system-view

[Sysname] cut connection domain test

1.1.21  display connection

【命令】

display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

access-type:指定接入方式。

l              dot1x:表示802.1X认证接入方式;

l              mac-authentication:表示MAC地址认证接入方式;

l              portal:表示Portal认证接入方式。

domain isp-name:显示指定ISP域中的全部用户连接。其中,isp-name表示ISP域名,为1~24个字符的字符串,不区分大小写。

interface interface-type interface-number:指定接口。其中,interface-type interface-number为接口类型和接口编号。

ip ip-address:指定IP地址。

mac mac-address:指定MAC地址。其中,mac-address为H-H-H格式。

ucibindex ucib-index:显示指定连接索引的所有用户连接。其中,ucib-index表示连接索引号,取值范围为0~4294967295。

user-name user-name:显示指定用户名的用户连接。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。若用户输入的用户名未携带域名,则系统默认其带缺省域名或强制认证域名。

vlan vlan-id:指定用户所在VLAN。其中,vlan-id的取值范围为14094

slot slot-number:显示指定成员设备。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display connection命令用来显示所有或指定的AAA用户连接的相关信息。

需要注意的是:

l              不指定任何参数的情况下,系统显示所有AAA用户连接的概要信息。

l              指定参数ucibindex的情况下,显示详细的用户连接信息,指定其它参数则显示概要信息。

l              对于FTP类型用户,无法显示AAA用户连接的相关信息。

l              如果接入用户的接口上配置了强制认证域(例如802.1X强制认证域),则通过该接口上线的用户将使用强制认证域进行认证、授权和计费,因此若要通过display connection domain isp-name命令显示该类用户信息,则必须指定用户使用的强制认证域名。

l              对于使用域名分隔符\或者/的802.1X在线用户,不能通过display connection user-name user-name命令查看到其相关信息。例如,执行命令display connection user-name aaa\bbb后,不能查询到在线用户aaa\bbb的相关信息。

相关配置可参考命令cut connection

【举例】

# 显示所有AAA用户连接的相关信息。

<Sysname> display connection

Slot:  1

Index=0   , Username=telnet@system

IP=10.0.0.1

IPv6=N/A

 

 Total 1 connection(s) matched on slot 1.

 Total 1 connection(s) matched.

# 显示连接索引为0的AAA用户连接的详细信息。

<Sysname> display connection ucibindex 0

Slot:  1

Index=0   , Username=telnet@system

IP=10.0.0.1

IPv6=N/A

Access=Admin   ,AuthMethod=PAP

Port Type=Virtual ,Port Name=N/A

Initial VLAN=999, Authorization VLAN=20

ACL Group=Disable

User Profile=N/A

CAR=Disable

Priority=Disable

Start=2009-07-16 10:53:03 ,Current=2009-07-16 10:57:06 ,Online=00h04m03s

 Total 1 connection matched.

Slot:  2

 Total 0 connection matched.

表1-1 display connection命令显示信息描述表

字段

描述

Slot

IRF成员设备编号

Index

索引号

Username

当前连接的用户名,格式为username@domain

IP

该用户IPv4地址

IPv6

该用户IPv6地址

Access

用户接入类型

AuthMethod

认证方法

Port Type

用户接入的端口类型

Port Name

用户接入的端口名称

Initial VLAN

用户所在的初始VLAN

Authorization VLAN

授权untagged VLAN

Authorization Tagged VLAN list

授权tagged VLAN列表

ACL Group

授权ACL组

User Profile

授权User Profile

CAR(kbps)

授权CAR参数信息

UpPeakRate

上行峰值速率

DnPeakRate

下行峰值速率

UpAverageRate

上行平均速率

DnAverageRate

下行平均速率

Priority

用户报文的处理优先级

Start=xxx ,Current=xxx ,Online=xxx

用户上线的时间,当前的系统时间,用户在线时长

Total 1 connection(s) matched.

总计1个AAA用户连接

 

1.1.22  display domain

【命令】

display domain [ isp-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

isp-name:指定ISP域名,为1~24个字符的字符串。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display domain命令用来显示指定ISP域的配置信息。

如果不指定ISP域,则显示系统中所有ISP域的配置信息。

相关配置可参考命令access-limit enabledomainstate

【举例】

# 显示系统中所有ISP域的配置信息。

<Sysname> display domain

0  Domain : system

   State :  Active

   Access-limit :  Disabled

   Accounting method : Required

   Default authentication scheme      : local

   Default authorization scheme       : local

   Default accounting scheme          : local

   Domain User Template:

   Idle-cut : Disabled

   Self-service : Disabled

   Authorization attributes :

 

1  Domain : test

   State : Active

   Access-limit : Disabled

   Accounting method : Required

   Default authentication scheme      : local

   Default authorization scheme       : local

   Default accounting scheme          : local

   Lan-access authentication scheme   : radius:test, local

   Lan-access authorization scheme    : hwtacacs:hw, local

   Lan-access accounting scheme       : local

   Domain User Template:

   Idle-cut : Disabled

   Self-service : Disabled

   Authorization attributes :

    User-profile : profile1

 

Default Domain Name: system

Total 2 domain(s).

表1-2 display domain命令显示信息描述表

字段

描述

Domain

域名

State

状态(Active:激活、Block:阻塞)

Access-limit

接入限制数(Disabled:未使能)

Accounting method

计费方法(Required:必选、Optional:可选)

Default authentication scheme

缺省的认证方法

Default authorization scheme

缺省的授权方法

Default accounting scheme

缺省的计费方法

Lan-access authentication scheme

lan-access用户的认证方法

Lan-access authorization scheme

lan-access用户的授权方法

Lan-access accounting scheme

lan-access用户的计费方法

Domain User Template

域用户模板

Idle-cut

闲置切断功能(Disabled:未使能、Enabled:使能)

Self-service

自助服务功能(Disabled:未使能)

Authorization attributes

授权属性

User-profile

缺省授权User Profile名称

Default Domain Name

缺省ISP域名

Total 2 domain(s).

总计2个ISP域

 

1.1.23  domain

【命令】

domain isp-name

undo domain isp-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“\”、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【描述】

domain命令用来创建ISP域并进入其视图。undo domain命令用来删除指定的ISP域。

缺省情况下,系统存在一个名称为system的ISP域。

需要注意的是:

l              使用此命令时,如果指定的ISP域不存在,系统将会创建一个新的ISP域,所有的ISP域在创建后即处于active状态。

l              系统中缺省存在的ISP域system,不能被删除,只能修改。

相关配置可参考命令statedisplay domain

【举例】

# 创建一个新的ISP域test,并进入其视图。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test]

1.1.24  domain default enable

【命令】

domain default enable isp-name

undo domain default enable

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

isp-name: ISP域名,为1~24个字符的字符串。

【描述】

domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。undo domain default enable命令用来恢复缺省情况。

缺省情况下,系统缺省的ISP域为system。

需要注意的是:

l              缺省的ISP域有且只有一个。

l              指定的缺省ISP域要必须存在,否则会导致用户名中未携带域名的用户无法进行认证。

l              配置为缺省的ISP域不能被删除,除非先恢复要删除的域为非缺省域。

相关配置可参考命令domainstatedisplay domain

【举例】

# 创建一个新的ISP域test,并设置为系统缺省的ISP域。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] quit

[Sysname] domain default enable test

1.1.25  idle-cut enable

【命令】

idle-cut enable minute [ flow ]

undo idle-cut enable

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

minute:表示允许用户在线后连续的最大空闲时间,取值范围为1~120,单位为分钟。

flow:表示允许用户闲置时的最小数据流量,取值范围为1~10240000,单位为字节,缺省值为10240。

【描述】

idle-cut enable命令用来设置当前ISP域下的用户闲置切断功能,当用户在指定的最大空闲时间内的产生的流量小于指定的最小数据流量时,会被强制下线。undo idle-cut enable命令用来恢复缺省情况。

缺省情况下,用户闲置切断功能处于关闭状态。

需要注意的是,服务器上也可以配置最大空闲时间实现对用户的闲置切断功能,具体为当用户在指定的最大空闲时间内产生的流量小于10240个字节时,会被强制下线。但是,只有在设备上的闲置切断功能处于关闭状态时,服务器才会根据自身的配置来控制用户的闲置切断。

相关配置可参考命令domain

【举例】

# 允许ISP域test中的用户启用闲置切断功能,用户的最大空闲时间为50分钟,闲置时的最小数据流量为1024个字节。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] idle-cut enable 50 1024

1.1.26  nas-id bind vlan

【命令】

nas-id nas-identifier bind vlan vlan-id

undo nas-id nas-identifier bind vlan vlan-id

【视图】

NAS-ID Profile视图

【缺省级别】

2:系统级

【参数】

nas-identifierNAS-ID名称,为120个字符的字符串,区分大小写。

vlan-id:与NAS-ID绑定的VLAN ID,取值范围为14094

【描述】

nas-id bind vlan命令用来设置NAS-IDVLAN的绑定关系,即把一个NAS-ID指定给一个VLANundo nas-id bind vlan命令用来删除一个指定的NAS-ID和VLAN的绑定关系。

缺省情况下,未设置任何绑定关系。

需要注意的是:

l              一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。

l              一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。

相关配置可参考命令aaa nas-id profile

【举例】

# 把NAS-ID 222指定给VLAN 2。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2

1.1.27  self-service-url enable

【命令】

self-service-url enable url-string

undo self-service-url enable

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

url-string:表示自助服务器修改用户密码页面的URL,为1~64个字符的字符串。字符串必须以“http://”开始,字符串中不能包括“?”字符。

【描述】

self-service-url enable命令用来设置自助服务器定位功能。undo self-service-url enable命令用来恢复缺省情况。

缺省情况下,自助服务器定位功能处于关闭状态。

需要注意的是:

l              此命令需要与支持自助服务的RADIUS服务器配合使用,如iMC。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。

l              如果在设备上配置了此命令,用户可以通过如下操作定位到自助服务器:用户在802.1X客户端软件上选择“更改用户密码”;客户端软件打开用户缺省的浏览器(IE或者NetScape等),定位到指定的自助服务器更改用户密码的URL页面;用户可以在该页面上修改自己的密码。

l              只有用户通过认证后才能进行在客户端软件上选择“更改用户密码”选项,否则该选项为灰色,不可用。

【举例】

# 在ISP域test下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice/modPasswd1x.jsp|userName。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] self-service-url enable http://10.153.89.94/selfservice/modPasswd1x.jsp|userName

1.1.28  state(ISP domain view)

【命令】

state { active | block }

undo state

【视图】

ISP域视图

【缺省级别】

2:系统级

【参数】

active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。

block:指定当前ISP域处于“阻塞”状态,即系统不允许该域下的用户请求网络服务。

【描述】

state命令用来设置当前ISP域的状态。undo state命令用来恢复缺省情况。

缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。

当指示某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。

相关配置可参考命令domain

【举例】

# 设置当前ISP域test处于“阻塞”状态,域下的接入用户不能再请求网络服务。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] state block

1.2  本地用户配置命令

1.2.1  access-limit

【命令】

access-limit max-user-number

undo access-limit

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

max-user-number:表示使用当前用户名接入设备的最大用户数,取值范围为1~1024。

【描述】

access-limit命令用来设置当前用户名可容纳的最大接入用户数。undo access-limit命令用来取消对当前用户名的接入用户数限制。

缺省情况下,不限制当前本地用户名可容纳的接入用户数。

需要注意的是:

l              本地用户的access-limit命令只在该用户采用了本地计费方法的情况下生效。

l              由于FTP用户不支持计费,因此FTP用户不受此属性限制。

相关配置可参考命令display local-user

【举例】

# 允许同时以用户名abc在线的用户数为5。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] access-limit 5

1.2.2  authorization-attribute(Local user view/user group view)

【命令】

authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | user-role security-audit | vlan vlan-id | work-directory directory-name } *

undo authorization-attribute { acl | callback-number | idle-cut | level | user-profile | user-role | vlan | work-directory } *

【视图】

本地用户视图/用户组视图

【缺省级别】

3:管理级

【参数】

acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。

callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,区分大小写。

idle-cut minute:启用本地用户的闲置切断功能。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。

level level:指定本地用户的级别,取值范围为0~3。其中0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的级别越低。当登录设备用户界面的验证方式配置为scheme时,用户成功登录后所能访问的命令行的级别由本参数决定。缺省情况下,本地用户的级别为0,即用户成功登录后缺省可以访问级别为0的命令行。

user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示用户配置文件的名称,为1~32个字符的字符串,只能包含英文字母、数字、下划线,且必须以英文字母开始,区分大小写。

user-role security-audit:授权本地用户的角色,对不同角色的用户下发不同的命令行使用权限。其中,security-audit表示授权本地用户为安全日志管理员,该类型的本地用户通过认证后,仅能执行与安全日志文件操作相关的命令,比如保存安全日志文件等,可执行命令的具体情况请参见“网络管理和监控配置指导”中的“信息中心配置”。该属性仅在本地用户视图下支持。

vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。

work-directory directory-name:授权FTP/SFTP用户可以访问的目录。其中,directory-name表示FTP/SFTP用户可以访问的目录,为1~135个字符的字符串,不区分大小写,且该目录必须已经存在。

【描述】

authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。undo authorization-attribute命令用来删除配置的授权属性,恢复用户具有的缺省访问权限。

缺省情况下,未设置任何授权属性。

需要注意的是:

l              可配置的授权属性都有其明确的使用环境和用途,请仅针对用户的服务类型配置对应的授权属性。

l              用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。

l              本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。

l              在系统中只有一个安全日志管理员的情况下,这个角色为安全日志管理员的本地用户就不能被删除,而且也不能去授权该本地用户的安全日志管理员角色,除非再指定一个新的用户为安全日志管理员。

【举例】

# 配置用户组abc的授权VLAN为VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

1.2.3  bind-attribute

【命令】

bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *

undo bind-attribute { call-number | ip | location | mac | vlan } *

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

call-number call-number:指定ISDN用户认证的主叫号码。其中call-number为1~64个字符的字符串。

subcall-number:指定子主叫号码。如果配置了子主叫号码,则主叫号码与子主叫号码的总长度不能大于62个字符。

ip ip-address:指定用户的IP地址。该绑定属性仅适用于lan-access类型中的802.1X用户。

location:设置用户的端口绑定属性。该绑定属性仅适用于lan-access类型的用户。

port slot-number subslot-number port-number:指定用户绑定的端口。其中slot-number为单板所在槽位号,取值范围为0~255。subslot-number为子槽位号,取值范围为0~15。port-number为端口号,取值范围0~255。绑定的端口只针对端口号,不区分端口类型。该绑定属性仅适用于lan-access类型的用户。

mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。该绑定属性仅适用于lan-access类型的用户。

vlan vlan-id:设置用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。该绑定属性仅适用于lan-access类型的用户。

【描述】

bind-attribute命令用来设置用户的绑定属性。undo bind-attribute命令用来删除配置的用户绑定属性。

缺省情况下,未设置用户的任何绑定属性。

需要注意的是,当对本地用户进行认证时,如果配置了绑定属性,则会检查用户的实际属性与配置的绑定属性是否一致,如果不一致则认证失败。而且,由于认证检测时不区分用户的接入服务类型,即会对所有类型的用户都进行已配置绑定属性的认证检测,因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性。例如,只有支持IP地址上传功能的802.1X认证用户才可以配置绑定IP地址;对于不支持IP地址上传功能的MAC地址认证用户,如果配置了绑定IP地址,则会导致该用户的本地认证失败。

【举例】

# 配置本地用户abc的绑定IP为3.3.3.3。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] bind-attribute ip 3.3.3.3

1.2.4  display local-user

【命令】

display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | portal | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

idle-cut { disable | enable }:显示指定闲置切断功能的所有本地用户信息。其中,disable表示禁止用户启用闲置切断功能;enable表示允许用户启用闲置切断功能。

service-type:显示指定用户类型的所有本地用户信息。

l              ftp指定用户为FTP类型。

l              lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1X用户);

l              portal为Portal用户;

l              ssh为SSH用户;

l              telnet为Telnet用户;

l              terminal为从CON口、AUX口登录的终端用户。

state { active | block }:显示指定状态下的所有本地用户信息。其中,active表示系统允许用户请求网络服务;block表示系统不允许用户请求网络服务。

user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。

vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。

slot slot-number:显示指定成员设备的本地用户信息。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display local-user命令用来显示所有或指定的本地用户的相关信息。

相关配置可参考命令local-user

【举例】

# 显示所有本地用户的相关信息。

<Sysname> display local-user

The contents of local user abc:

 State:                        Active

 ServiceType:                  lan-access

 Access-limit:                 Enable            Current AccessNum: 0

 Max AccessNum:                10

 User-group:                   system

 Bind attributes:

 Authorization attributes:

Total 1 local user(s) matched.

表1-3 display local-user命令显示信息描述表

字段

描述

Slot

IRF成员设备编号

State

本地用户状态(Active:激活、Block:阻塞)

ServiceType

本地用户使用的服务类型(ftp、lan-access、portal、ssh、telnet、terminal)

Access-limit

当前用户名的连接数限制

Current AccessNum

当前接入用户数

Max AccessNum

最大接入用户数

User-group

本地用户所属用户组

Bind attributes

本地用户的绑定属性

IP address

本地用户的IP地址

Bind location

本地用户绑定的端口

MAC address

本地用户的MAC地址

VLAN ID

本地用户绑定的VLAN

Calling Number

ISDN用户的主叫号码

Authorization attributes

本地用户的授权属性

Idle TimeOut

本地用户闲置切断时间(单位为分钟)

Callback-number

本地用户的授权PPP回呼号码

Work Directory

FTP/SFTP用户可以访问的目录

User Privilege

本地用户级别

VLAN ID

本地用户授权VLAN

User Profile

本地用户授权User Profile

Expiration date

本地用户的有效期

Password-Aging

本地用户密码的老化时间

Password-Length

本地用户密码的最小长度

Password-Composition

本地用户密码的组合策略

Total 1 local user(s) matched.

总计有1个本地用户匹配

 

1.2.5  display user-group

【命令】

display user-group [ group-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display user-group命令用来显示用户组的相关配置。

相关配置请参考命令user-group

【举例】

# 显示用户组abc的相关配置。

<Sysname> display user-group abc

The contents of user group abc:

 Authorization attributes:

  Idle-cut:                 120(min)

  Work Directory:           FLASH:

  Level:                    1

  Acl Number:               2000

  Vlan ID:                  1

  User-Profile:             1

  Callback-number:          1

 Password-Aging:            Enabled (1 day(s))

 Password-Length:           Enabled (4 characters)

 Password-Composition:      Enabled (1 type(s),  1 character(s) per type)

Total 1 user group(s) matched.

表1-4 display user-group命令显示信息描述表

字段

描述

Idle-cut

闲置切断时间(单位:分钟)

Work Directory

FTP/SFTP用户可以访问的目录

Level

本地用户的级别

Acl Number

授权ACL号

Vlan ID

授权VlAN ID

User-Profile

授权User Profile名称

Callback-number

PPP回呼号码

Password-Aging

本地用户密码老化时间

Password-Length

本地用户密码最小长度

Password-Composition

本地用户密码组合策略

Total 1 user group(s) matched.

总计有1个用户组匹配

 

1.2.6  expiration-date(Local user view)

【命令】

expiration-date time

undo expiration-date

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

time:本地用户的有效期,精确到秒,格式为HH:MM:SS-MM/DD/YYYY(时:分:秒-月/日/年)或HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)。其中,HH:MM:SS中的HH取值范围为0~23,MM和SS取值范围为0~59;MM/DD/YYYY中的MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。除表示零点外,格式中的前导0可以省略不写,比如2:2:0-2008/2/2等效于02:02:00-2008/02/02。

【描述】

expiration-date命令用来配置本地用户的有效期。undo expiration-date用来取消本地用户的有效期配置。

缺省情况下,未设置用户的有效期,设备不进行用户有效期的检查。

在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾帐户,并通过该配置对来宾帐户进行有效期的控制。当该用户进行本地认证时,接入设备检查当前系统时间是否在用户的有效期内,若在有效期内则允许用户登录,否则拒绝用户登录。

需要注意的是,如果设备管理员手工修改系统时间,或其它原因导致系统时间发生变化,则在用户认证时使用修改后的系统时间与配置的用户有效期进行比较。

【举例】

# 配置用户abc的有效期为2008/05/31的12:10:20。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-abc] expiration-date 12:10:20-2008/05/31

1.2.7  group

【命令】

group group-name

undo group

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。

【描述】

group命令用来设置本地用户所属的用户组。undo group命令用来恢复缺省配置。

缺省情况下,用户属于系统默认创建的用户组system。

【举例】

# 设置本地用户111所属的用户组为abc。

<Sysname> system-view

[Sysname] local-user 111

[Sysname-luser-111] group abc

1.2.8  local-user

【命令】

local-user user-name

undo local-user { user-name | all [ service-type { ftp | lan-access | portal | ssh | telnet | terminal } ] }

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。

all:所有的用户。

service-type:指定用户的类型。具体用户类型如下:

l              ftp:表示FTP类型用户;

l              lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.1X用户);

l              portal:表示Portal用户;

l              ssh:表示SSH用户;

l              telnet:表示Telnet用户;

l              terminal:表示从Console口、AUX口登录的终端用户。

【描述】

local-user命令用来添加本地用户并进入本地用户视图。undo local-user命令用来删除指定的本地用户。

缺省情况下,无本地用户。

相关配置可参考命令display local-userservice-type

【举例】

# 添加名称为user1的本地用户。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1]

1.2.9  local-user password-display-mode

【命令】

local-user password-display-mode { auto | cipher-force }

undo local-user password-display-mode

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

auto:自动方式,即接入用户的密码显示方式与该用户通过password命令设置的密码显示方式一致。

cipher-force:强制密文方式,即所有接入用户的密码显示方式必须采用密文方式。

【描述】

local-user password-display-mode命令用来设置所有本地用户密码的显示方式。undo local-user password-display-mode命令用来恢复缺省情况。

缺省情况下,所有接入用户的密码显示方式为自动方式。

当采用cipher-force方式后:

l              即使通过password命令指定密码显示方式为明文显示(即simple方式),密码仍然会显示为密文。

l              使用save命令保存当前配置,重启设备后,即使恢复为auto方式,原来配置为明文显示的密码仍然显示为密文。

相关配置可参考命令display local-userpassword

【举例】

# 设置所有本地用户采用密文方式显示密码。

<Sysname> system-view

[Sysname] local-user password-display-mode cipher-force

1.2.10  password

【命令】

password [ { cipher | simple } password ]

undo password

【视图】

本地用户视图

【缺省级别】

2:系统级

【参数】

cipher:表示密码为密文显示。

simple:表示密码为明文显示。

password:表示设置的密码。明文密码可以是长度小于等于63的连续字符串,如:aabbcc。密文密码的长度取值为24或88,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。

l              对于simple方式,password必须是明文密码。

l              对于cipher方式,password可以是密文密码也可以是明文密码。

【描述】

password命令用来设置本地用户的密码。undo password命令用来取消本地用户的密码。

需要注意的是:

l              如果不指定任何参数,则表示以交互式方式设置本地用户密码,该密码将为明文显示。仅支持Password Control特性的设备上才支持本方式,Password Control相关命令的具体介绍请参见“安全命令参考”中的“Password Control”。

l              使能Password Control特性的全局密码管理功能(通过命令password-control enable)后,本地用户密码的设置将受到Password Control特性的约束,比如密码的长度、复杂度等将会受到限制,并且设备上将不显示配置的本地用户密码,以及local-user password-display-mode命令将会无效。

l              当采用local-user password-display-mode cipher-force命令后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码也会显示为密文。

l              cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文,长度大于16且小于等于63的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理。

相关配置可参考命令display local-user

【举例】

# 设置名称为user1的密码为明文显示,密码为123456。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] password simple 123456

1.2.11  service-type

【命令】

service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal }

undo service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal }

【视图】

本地用户视图

【缺省级别】

3:管理级

【参数】

ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权使用设备的根目录。

lan-access:指定用户可以使用lan-access服务。主要指以太网接入用户,比如802.1X用户。

ssh:指定用户可以使用SSH服务。

telnet:指定用户可以使用Telnet服务。

terminal:指定用户可以使用terminal服务(即从Console口、AUX口登录)。

portal:指定用户可以使用Portal服务。

【描述】

service-type命令用来设置用户可以使用的服务类型。undo service-type命令用来删除用户可以使用的服务类型。

缺省情况下,系统不对用户授权任何服务。

【举例】

# 指定用户可以使用Telnet服务。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] service-type telnet

1.2.12  state(Local user view)

【命令】

state { active | block }

undo state

【视图】

本地用户视图

【缺省级别】

2:系统级

【参数】

active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。

block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。

【描述】

state命令用来设置当前本地用户的状态。undo state命令用来恢复缺省情况。

缺省情况下,当一个本地用户被创建以后,其状态为active(本地用户视图)。

当指示某个用户处于block状态时,不允许当前本地用户请求网络服务,但是不影响其它用户。

相关配置可参考命令local-user

【举例】

# 设置本地用户user1处于“阻塞”状态。

<Sysname> system-view

[Sysname] local-user user1

[Sysname-luser-user1] state block

1.2.13  user-group

【命令】

user-group group-name

undo user-group group-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。

【描述】

user-group命令用来创建用户组并进入其视图。undo user-group命令用来删除指定的用户组。

用户组是一个本地用户策略及属性的集合,某些需要集中管理的策略或者属性可在在用户组中统一配置和管理。目前,用户组中可配置的内容包括本地用户密码的控制策略和用户的授权属性。

需要注意的是:

l              当用户组中有本地用户时,不允许使用undo user-group删除该用户组。

l              不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。

相关配置可参考命令display user-group

【举例】

# 创建名称为abc的用户组并进入其视图。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc]

1.3  RADIUS配置命令

1.3.1  accounting-on enable

【命令】

accounting-on enable [ interval seconds | send send-times ] *

undo accounting-on enable

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

seconds:accounting-on报文重发时间间隔,取值范围为1~15,单位为秒,缺省值为3。

send-times:accounting-on报文的最大发送次数,取值范围为1~255,缺省值为5。

【描述】

accounting-on enable命令用来配置accounting-on功能,包括使能accounting-on功能、配置accounting-on报文重发时间间隔和accounting-on报文的最大发送次数。在accounting-on功能处于使能的情况下,设备重启后,会发送accounting-on报文通知RADIUS服务器该设备已经重启,要求RADIUS服务器强制该设备的用户下线。undo accounting-on enable命令用来恢复缺省情况。

缺省情况下,accounting-on功能处于关闭状态。

需要注意的是:

l              设备启动后,如果当前系统中没有使能accounting-on功能的RADIUS方案,则执行完该命令后,必须执行save操作,这样设备重启后accounting-on功能才能生效。但是,如果当前系统中已经有RADIUS方案使能了accounting-on功能,则对未使能该功能的RADIUS方案执行该命令后,accounting-on功能会立即生效。

l              在执行accounting-on功能的过程中,使用该命令重新设置的报文重发间隔时间以及报文最大发送次数会立即生效。

相关配置可参考命令radius scheme

【举例】

# 使能RADIUS认证方案rd的accounting-on功能,并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次。

<Sysname> system-view

[Sysname] radius scheme rd

[Sysname-radius-rd] accounting-on enable interval 5 send 15

1.3.2  attribute 25 car

【命令】

attribute 25 car

undo attribute 25 car

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。undo attribute 25 car命令用来恢复缺省情况。

缺省情况下,RADIUS Attribute 25的CAR参数解析功能处于关闭状态。

相关配置可参考命令display radius schemedisplay connection

【举例】

# 开启RADIUS Attribute 25的CAR参数解析功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 25 car

1.3.3  data-flow-format (RADIUS scheme view)

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

data:设置数据的单位。

byte:数据单位为字节。

giga-byte:数据单位千兆字节。

kilo-byte:数据单位为千字节。

mega-byte:数据单位为兆字节。

packet:设置数据包的单位。

giga-packet:数据包的单位为千兆包。

kilo-packet:数据包的单位为千包。

mega-packet:数据包的单位为兆包。

one-packet:数据包的单位为包。

【描述】

data-flow-format命令用来配置发送到RADIUS服务器的数据流的单位。undo data-flow-format命令用来恢复缺省情况。

缺省情况下,数据的单位为byte,数据包的单位为one-packet

需要注意的是,设备上配置的发送给RADIUS服务器的数据流单位应与RADIUS服务器上的流量统计单位保持一致,否则无法正确计费。

相关配置可参考命令display radius scheme

【举例】

# 设置发往RADIUS服务器的数据流的数据单位为千字节、数据包单位为千包。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet

1.3.4  display radius scheme

【命令】

display radius scheme [ radius-scheme-name ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

radius-scheme-name:指定RADIUS方案名。

slot slot-number:显示指定成员设备上的RADIUS方案配置信息。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。

需要注意的是:

l              如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。

l              如果不指定成员设备编号,则显示所有成员设备上RADIUS方案的配置信息。

相关配置可参考命令radius scheme

【举例】

# 显示所有RADIUS方案的配置信息。

<Sysname> display radius scheme

------------------------------------------------------------------

SchemeName  : radius1

  Index : 0                           Type : extended

  Primary Auth Server:

    IP: 1.1.1.1                                  Port: 1812   State: active

    Encryption Key : 345

  Primary Acct Server:

    IP: 1.1.1.1                                  Port: 1813   State: active

    Encryption Key : 345

  Second Auth Server:

    IP: 1.1.2.1                                  Port: 1812   State: active

    Encryption Key : N/A

    IP: 1.1.3.1                                  Port: 1812   State: active

    Encryption Key : N/A

  Second Acct Server:

    IP: 1.1.2.1                                  Port: 1813   State: block

    Encryption Key : N/A

  Auth Server Encryption Key : 123

  Acct Server Encryption Key : N/A

  Accounting-On packet disable, send times : 5 , interval : 3s

  Interval for timeout(second)                            : 3

  Retransmission times for timeout                        : 3

  Interval for realtime accounting(minute)                : 12

  Retransmission times of realtime-accounting packet      : 5

  Retransmission times of stop-accounting packet          : 500

  Quiet-interval(min)                                     : 5

  Username format                                         : without-domain

  Data flow unit                                          : Byte

  Packet unit                                             : one

  NAS-IP address                                          : 1.1.1.1

  Attribute 25                                            : car

------------------------------------------------------------------

Total 1 RADIUS scheme(s).

表1-5 display radius scheme命令显示信息描述表

字段

描述

SchemeName

RADIUS方案的名称

Index

RADIUS方案的索引号

Type

RADIUS服务器的类型

Primary Auth Server

主认证服务器

Primary Acct Server

主计费服务器

Second Auth Server

从认证服务器

Second Acct Server

从计费服务器

Encryption Key

认证/计费服务器的共享密钥

IP

主认证/计费服务器IP地址

未配置时,显示为N/A

Port

主认证/计费服务器接入端口号

未配置时,显示缺省值

State

主认证/计费服务器目前状态

l      active:激活

l      block:阻塞

Auth Server Encryption Key

认证服务器的共享密钥

Acct Server Encryption Key

计费服务器的共享密钥

Accounting-On packet disable

accounting-on功能未使能

send times

accounting-on报文的重发次数

interval

accounting-on报文的重发间隔(秒)

Interval for timeout(second)

超时时间(秒)

Retransmission times for timeout

超时重发次数

Interval for realtime accounting(minute)

实时计费间隔(分钟)

Retransmission times of realtime-accounting packet

实时计费报文重发次数

Retransmission times of stop-accounting packet

无响应停止计费报文重发次数

Quiet-interval(min)

主服务器恢复激活状态的时间

Username format

发送给RADIUS服务器的用户名格式

Data flow unit

流量数据的单位

Packet unit

数据包的单位

NAS-IP address

发送RADIUS报文的源IP地址

Attribute 25

将RADIUS Attribute 25解析为CAR参数

Total 1 RADIUS scheme(s).

共计1个RADIUS方案

 

1.3.5  display radius statistics

【命令】

display radius statistics [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

slot slot-number:显示指定成员设备上RADIUS报文的统计信息。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display radius statistics命令用来显示RADIUS报文的统计信息。

相关配置可参考命令radius scheme

【举例】

# 显示设备上的RADIUS报文统计信息。

<Sysname> display radius statistics

Slot  1:state statistic(total=1048):

     DEAD = 1048     AuthProc = 0        AuthSucc = 0

AcctStart = 0         RLTSend = 0         RLTWait = 0

 AcctStop = 0          OnLine = 0            Stop = 0

 StateErr = 0

Received and Sent packets statistic:

Sent PKT total   = 6

Received PKT total = 0

Resend Times     Resend total

1                2

2                2

Total            4

RADIUS received packets statistic:

Code =  2   Num = 0        Err = 0

Code =  3   Num = 0        Err = 0

Code =  5   Num = 0        Err = 0

Code = 11   Num = 0        Err = 0

Running statistic:

RADIUS received messages statistic:

Normal auth request      Num = 2        Err = 0        Succ = 2

EAP auth request         Num = 0        Err = 0        Succ = 0

Account request          Num = 0        Err = 0        Succ = 0

Account off request      Num = 0        Err = 0        Succ = 0

PKT auth timeout         Num = 5        Err = 1        Succ = 4

PKT acct_timeout         Num = 0        Err = 0        Succ = 0

Realtime Account timer   Num = 0        Err = 0        Succ = 0

PKT response             Num = 0        Err = 0        Succ = 0

Session ctrl pkt         Num = 0        Err = 0        Succ = 0

Normal author request    Num = 0        Err = 0        Succ = 0

Set policy result        Num = 0        Err = 0        Succ = 0

RADIUS sent messages statistic:

Auth accept              Num = 0

Auth reject              Num = 1

EAP auth replying        Num = 0

Account success          Num = 0

Account failure          Num = 0

Server ctrl req          Num = 0

RecError_MSG_sum     = 0

SndMSG_Fail_sum      = 0

Timer_Err            = 0

Alloc_Mem_Err        = 0

State Mismatch       = 0

Other_Error          = 0

No-response-acct-stop packet = 0

Discarded No-response-acct-stop packet for buffer overflow = 0

表1-6 display radius statistics命令显示信息描述表

字段

描述

slot

IRF成员设备编号

state statistic

状态统计

DEAD

空闲态用户数

AuthProc

认证等待态用户数

AuthSucc

认证成功态用户数

AcctStart

计费开始态用户数

RLTSend

实时计费发送态用户数

RLTWait

实时计费等待态用户数

AcctStop

计费等待停止态用户数

OnLine

在线态用户数

Stop

停止态用户数

StateErr

未知错误态用户数

Received and Sent packets statistic

收发报文数目统计

Sent PKT total

发送报文总数

Received PKT total

接收报文总数

Resend Times

重传报文的次数

Resend total

单次重传报文数

Total

重传报文总数

RADIUS received packets statistic

RADIUS模块接收报文数目统计

Code

报文类型

Num

报文总数

Err

错误报文数

Running statistic

运行间报文数目统计

RADIUS received messages statistic

RADIUS已接收消息数目统计

Normal auth request

普通认证请求报文数

EAP auth request

EAP认证请求报文数

Account request

计费请求报文数

Account off request

计费停止请求报文数

PKT auth timeout

认证超时报文数

PKT acct_timeout

计费超时报文数

Realtime Account timer

实时计费请求报文数

PKT response

响应报文数

Session ctrl pkt

会话控制报文数

Normal author request

普通授权请求报文数

Succ

成功报文数

Set policy result

Set policy结果报文数

RADIUS sent messages statistic

RAIUDS已发送消息数目统计

Auth accept

认证接收报文数

Auth reject

认证拒绝报文数

EAP auth replying

EAP认证回应报文数

Account success

计费成功报文数

Account failure

计费失败报文数

Server ctrl req

服务器控制请求报文数

RecError_MSG_sum

接收错误消息总数

SndMSG_Fail_sum

发送消息失败总数

Timer_Err

启动定时器失败报文数

Alloc_Mem_Err

申请内存失败报文数

State Mismatch

状态不匹配报文数

Other_Error

其它错误报文数

No-response-acct-stop packet

停止计费报文无响应数

Discarded No-response-acct-stop packet for buffer overflow

因缓存区满而丢弃的无响应停止计费报文总数

 

1.3.6  display stop-accounting-buffer

【命令】

display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:根据指定RADIUS方案显示缓存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串。

session-id session-id:根据指定会话ID显示缓存的停止计费请求报文。其中,session-id为1~50个字符的字符串。

time-range start-time stop-time:根据停止计费请求时刻的起始和停止时间显示缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-timestop-time范围内的、暂存的停止计费请求报文都会被显示。

user-name user-name:根据指定用户名显示缓存的停止计费请求报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致。

slot slot-number:显示指定成员设备上缓存的停止计费请求报文。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。

需要注意的是:

l              可以选择显示发往某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来显示报文;还可以指定一个时间段,显示那些发起停止计费请求的时刻处于指定时间段内的报文。根据显示的报文信息,可以帮助诊断与排除RADIUS相关故障。

l              在发送停止计费请求报文而RADIUS服务器没有响应时,设备会尝试重传该报文,如果发送该报文的最大尝试次数超作指定的值(由retry命令设置)后仍然没有得到响应,则设备会缓存该报文,然后再发起一次请求,若继续无响应,则重复上述过程,一定次数(由retry stop-accounting命令设置)之后,设备将其丢弃。

相关配置可参考命令reset stop-accounting-bufferstop-accounting-buffer enableuser-name-formatretryretry stop-accounting

【举例】

# 显示从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。

<Sysname> display stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006

 Slot 1:

Total 0 record(s) Matched

1.3.7  key (RADIUS scheme view)

【命令】

key { accounting | authentication } string

undo key { accounting | authentication }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

accounting:指定RADIUS计费报文的共享密钥。

authentication:指定RADIUS认证/授权报文的共享密钥。

string:密钥,为1~64个字符的字符串,区分大小写。

【描述】

key命令用来配置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来删除配置。

缺省情况下,无共享密钥。

需要注意的是:

l              设备优先采用配置RADIUS认证/授权/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/授权/计费服务器时未指定相应密钥的情况下使用。

l              必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。

相关配置可参考命令display radius scheme

【举例】

# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为hello。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key authentication hello

# 将RADIUS方案radius1的计费报文的共享密钥设置为ok。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key accounting ok

1.3.8  nas-ip (RADIUS scheme view)

【命令】

nas-ip { ip-address | ipv6 ipv6-address }

undo nas-ip

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。

【描述】

nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。undo nas-ip命令用来恢复缺省情况。

缺省情况下,使用系统视图下由命令radius nas-ip指定的源地址。

需要注意的是:

l              RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

l              RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

l              本命令配置的源IP地址与RADIUS方案中设置的服务器IP地址的协议版本必须保持一致,否则配置能成功但不能生效。

相关配置可参考命令radius nas-ip

【举例】

# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] radius scheme test1

[Sysname-radius-test1] nas-ip 10.1.1.1

1.3.9  primary accounting (RADIUS scheme view)

【命令】

primary accounting { ip-address [ port-number | key string ] * | ipv6 ipv6-address [ port-number | key string ] * }

undo primary accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。

port-number:UDP端口号,缺省为1813,取值范围为1~65535。

key string:主RADIUS计费服务器的计费报文的共享密钥,为1~64个字符的字符串,区分大小写。

【描述】

primary accounting命令用来配置主RADIUS计费服务器。undo primary accounting命令用来删除设置的主RADIUS计费服务器。

缺省情况下,未配置主计费服务器。

需要注意的是:

l              主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。

l              需保证设备上设置的计费报文的共享密钥与RADIUS服务器上的完全一致。

l              设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting string命令设置的共享密钥。

l              主计费服务器和从计费服务器的IP地址协议版本必须一致,否则提示错误。

l              计费服务器与认证服务器的IP地址协议版本必须一致,否则提示错误。

l              如果在发送计费开始请求过程中修改了主计费服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。

l              如果在线用户正在使用的计费服务器被删除,则设备将将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。

相关配置可参考命令keyradius schemestate

【举例】

# 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 1813

1.3.10  primary authentication (RADIUS scheme view)

【命令】

primary authentication { ip-address [ port-number | key string ] * | ipv6 ipv6-address [ port-number | key string ] * }

undo primary authentication

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主RADIUS认证/授权服务器的IPv4地址。

ipv6 ipv6-address:主RADIUS认证/授权服务器的IPv6地址。

port-number:UDP端口号,缺省为1812,取值范围为1~65535。

key string:主RADIUS认证/授权服务器的认证/授权报文的共享密钥,为1~64个字符的字符串,区分大小写。

【描述】

primary authentication命令用来配置主RADIUS认证/授权服务器。undo primary authentication命令用来删除设置的主RADIUS认证/授权服务器。

缺省情况下,未配置主认证/授权服务器。

需要注意的是:

l              当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置。这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证设备上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。

l              需保证设备上设置的认证/授权报文的共享密钥与RADIUS服务器上的完全一致。

l              设备与主认证/授权服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authenticaiton string命令设置的共享密钥。

l              主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。

l              主认证/授权服务器和从认证/授权服务器的IP地址协议版本必须一致,否则提示错误。

l              认证/授权服务器与计费服务器的IP地址协议版本必须一致,否则提示错误。

l              如果在认证过程中使用本命令删除了主认证服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。

相关配置可参考命令keyradius schemestate

【举例】

# 设置RADIUS方案radius1的主认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 1812

1.3.11  radius client

【命令】

radius client enable

undo radius client

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

radius client enable命令用来使能RADIUS客户端的监听端口,使能后的端口可以接收和发送RADIUS报文。undo radius client命令用来关闭RADIUS客户端的监听端口。

缺省情况下,监听端口处于使能状态。

需要注意的是:

l              关闭RADIUS客户端的监听端口后,RADIUS可以接受认证/授权/计费请求,也可以处理RADIUS的定时器消息,但报文发送会失败,同时不能接收来自RADIUS服务器的报文。

l              关闭RADIUS客户端的监听端口后,在线用户的计费结束报文无法发出,且不能被缓存。同时,RADIUS服务器收不到在线用户的下线报文,会出现有一段时间用户已经下线,但RADIUS服务器上还有此用户的情况。

l              关闭RADIUS客户端的监听端口后,如果配置了RADIUS方案和本地认证/授权/计费方法,则RADIUS请求失败后会转由本地方法继续认证/授权/计费。

l              关闭RADIUS客户端的监听端口后,缓存的计费报文的发送会失败,失败次数达到配置的最大次数后,计费报文将从缓存中被删除。

【举例】

# 使能RADIUS客户端的监听端口。

<Sysname> system-view

[Sysname] radius client enable

1.3.12  radius nas-ip

【命令】

radius nas-ip { ip-address | ipv6 ipv6-address }

undo radius nas-ip { ip-address | ipv6 ipv6-address }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。

【描述】

radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。undo radius nas-ip命令用来删除指定的源地址。

缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。

需要注意的是:

l              系统最多允许指定16个源地址。

l              RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

l              本命令配置的源IP地址与使用该源地址的RADIUS方案中设置的服务器IP地址的协议版本必须保持一致,否则配置能成功但不能生效。

相关配置可参考命令nas-ip

【举例】

# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。

<Sysname> system-view

[Sysname] radius nas-ip 129.10.10.1

1.3.13  radius scheme

【命令】

radius scheme radius-scheme-name

undo radius scheme radius-scheme-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。

【描述】

radius scheme命令用来创建RADIUS方案并进入其视图。undo radius scheme命令用来删除指定的RADIUS方案。

缺省情况下,未定义RADIUS方案。

需要注意的是:

l              RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至少须指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数。

l              一个RADIUS方案可以同时被多个ISP域引用。

l              当有使用RADIUS方案的用户在线时,不允许使用undo radius scheme命令删除该方案。

相关配置可参考命令display radius scheme

【举例】

# 创建名为radius1的RADIUS方案并进入其视图。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1]

1.3.14  radius trap

【命令】

radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }

undo radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

accounting-server-down:表示RADIUS计费服务器可达状态改变时发送Trap信息。

authentication-error-threshold:表示认证失败次数超过阈值时发送Trap信息。该阈值为认证失败次数与认证请求总数的百分比,目前仅能通过MIB方式配置,取值范围为1%~100%,缺省为30%。

authentication-server-down:表示RADIUS认证服务器可达状态改变时发送Trap信息。

【描述】

radius trap命令用来使能RADIUS Trap功能。undo radius trap命令用来关闭指定的RADIUS Trap功能。

缺省情况下,RADIUS Trap功能处于关闭状态。

使能RADIUS服务器可达状态改变时的Trap功能后,Trap信息的发送包括以下两种情况:

l              当NAS向RADIUS服务器发送计费或认证请求没有响应时,NAS认为服务器不可达,并发送Trap信息。具体为,当NAS向服务器发送的报文累计次数达到最大传送次数时,系统发送一次Trap报文。

l              当NAS收到处于不可达状态的RADIUS服务器发送的报文时,则认为该服务器可达,并发送一次Trap报文。

使能认证失败次数超过阈值时的Trap功能后,当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,系统会发送一次Trap报文。

【举例】

# 使能RADIUS计费服务器可达状态改变时的 Trap功能。

<Sysname> system-view

[Sysname] radius trap accounting-server-down

1.3.15  reset radius statistics

【命令】

reset radius statistics [ slot slot-number ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

slot slot-number:清楚指定成员设备上RADIUS协议的统计信息。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

【描述】

reset radius statistics命令用来清除RADIUS协议的统计信息。

相关配置请参考命令display radius scheme

【举例】

# 清除RADIUS协议的统计信息。

<Sysname> reset radius statistics

1.3.16  reset stop-accounting-buffer

【命令】

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

radius-scheme radius-scheme-name:根据指定RADIUS方案清除缓存的停止计费响应报文。其中,radius-scheme-name为RAIUDS方案名,为1~32个字符的字符串。

session-id session-id:根据指定会话ID清除缓存的停止计费响应报文。其中,session-id为会话ID,为1~50个字符的字符串。

time-range start-time stop-time:根据指定停止计费请求时刻的起始和结束时间清除缓存的停止计费响应报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。

user-name user-name:根据指定用户名清除缓存的停止计费响应报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。

slot slot-number:清楚指定成员设备上缓存的停止计费响应报文。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

【描述】

reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。

相关配置可参考命令stop-accounting-buffer enableretry stop-accountinguser-name-formatdisplay stop-accounting-buffer

【举例】

# 清除用户user0001@test缓存在系统中的停止计费请求报文。

<Sysname> reset stop-accounting-buffer user-name user0001@test

# 清除从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。

<Sysname> reset stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006

1.3.17  retry

【命令】

retry retry-times

undo retry

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:发送RAIUDS报文的最大尝试次数,取值范围为1~20。

【描述】

retry命令用来设置发送RADIUS报文的最大尝试次数,即由于某RADIUS服务器未响应或未及时响应设备发送的RAIUDS报文,设备尝试向该服务器发送RADIUS报文的最大次数。undo retry命令用来恢复缺省情况。

缺省情况下,发送RADIUS报文的最大尝试次数为3次。

需要注意的是:

l              由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败。

l              发送RADIUS报文的最大尝试次数与RADIUS服务器应答超时时间的乘积不能超过75秒。

相关配置可参考命令radius schemetimer response-timeout

【举例】

# 设置在RADIUS方案radius1下,发送RADIUS报文的最大尝试次数为5次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry 5

1.3.18  retry realtime-accounting

【命令】

retry realtime-accounting retry-times

undo retry realtime-accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:允许实时计费请求无响应的最大次数,取值范围为1~255。

【描述】

retry realtime-accounting命令用来设置允许实时计费请求无响应的最大次数。undo retry realtime-accounting命令用来恢复缺省情况。

缺省情况下,最多允许5次实时计费请求无响应。

需要注意的是:

l              RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,在设备端尽量与RADIUS服务器同步切断用户连接。设备提供对实时计费请求连续无响应次数限制的设置——在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备将切断用户连接。

l              假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费失败的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。

相关配置可参考命令radius schemetimer realtime-accounting

【举例】

# 设置RADIUS方案radius1最多允许10次实时计费请求无响应。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry realtime-accounting 10

1.3.19  retry stop-accounting (RADIUS scheme view)

【命令】

retry stop-accounting retry-times

undo retry stop-accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:允许停止计费请求无响应的最大次数,取值范围为10~65535。

【描述】

retry stop-accounting命令用来设置发起停止计费请求的最大尝试次数。undo retry stop-accounting命令用来恢复缺省情况。

缺省情况下,发起停止计费请求的最大尝试次数为500。

假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为5,设备允许的停止计费请求无响应的最大次数为20次(retry stop-accounting命令设置),则其含义为:设备发起停止计费请求,如果3秒钟内得不到回应就重新发起一次请求,如果重传5次都没有得到回应就认为该次停止计费请求失败,设备会将其缓存在本机上,然后再发起一次请求,重复上述过程,20次尝试均失败以后,设备将其丢弃。

相关配置可参考命令radius schemedisplay stop-accounting-buffer

【举例】

# 在RADIUS方案radius1中,设置设备最多可以尝试向该方案中的服务器发起1000次停止计费请求。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry stop-accounting 1000

1.3.20  secondary accounting (RADIUS scheme view)

【命令】

secondary accounting { ipv4-address [ port-number | key string ] * | ipv6 ipv6-address [ port-number | key string ] * }

undo secondary accounting [ ipv4-address | ipv6 ipv6-address ]

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ipv4-address:从RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。

port-number:UDP端口号,缺省为1813,取值范围为1~65535。

key string:从RADIUS计费服务器的计费报文的共享密钥,为1~64个字符的字符串,区分大小写。

【描述】

secondary accounting命令用来配置从RADIUS计费服务器。undo secondary accounting命令用来删除指定的从RADIUS计费服务器。

缺省情况下,未配置从计费服务器。

需要注意的是:

l              可通过多次执行本命令,配置多个从RADIUS计费服务器,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。

l              从RADIUS计费服务器的IP地址协议版本与主RADIUS计费服务器必须一致,并且各从RADIUS计费服务器的IP地址协议版本也必须一致,否则提示错误。

l              主计费服务器和从计费服务器的IP地址不能相同,并且各个从计费服务器的IP地址也不能相同,否则将提示配置不成功。

l              需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。

l              需保证设备上设置的计费报文的共享密钥与RADIUS服务器上的完全一致。

l              设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting string命令设置的共享密钥。

l              计费服务器与认证服务器的IP地址协议版本必须一致,否则提示错误。

l              如果在发送计费开始请求过程中删除了从服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。

l              如果在线用户正在使用的计费服务器被删除,则设备将将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。

相关配置可参考命令keyradius schemestate

【举例】

# 设置RADIUS方案radius1的从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813

# 设置RADIUS方案radius2的从计费服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1813提供RADIUS计费服务。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813

[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813

1.3.21  secondary authentication (RADIUS scheme view)

【命令】

secondary authentication { ipv4-address [ port-number | key string ] * | ipv6 ipv6-address [ port-number | key string ] * }

undo secondary authentication [ ipv4-address | ipv6 ipv6-address ]

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ipv4-address:从RADIUS认证/授权服务器的IPv4地址。

ipv6 ipv6-address:从RADIUS认证/授权服务器的IPv6地址。

port-number:UDP端口号,缺省为1812,取值范围为1~65535。

key string:从RADIUS认证/授权服务器的认证/授权报文的共享密钥,为1~64个字符的字符串,区分大小写。

【描述】

secondary authentication命令用来配置从RADIUS认证/授权服务器。undo secondary authentication命令用来删除指定的从RADIUS认证/授权服务器。

缺省情况下,未配置从认证/授权服务器。

需要注意的是:

l              可通过多次执行本命令,配置多个从RADIUS认证/授权服务器,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。

l              主认证/授权服务器和从认证/授权服务器的IP地址协议版本必须一致,并且各从RADIUS认证/授权服务器的IP地址协议版本也必须一致,否则提示错误。

l              主认证/授权服务器和从认证/授权服务器的IP地址不能相同,并且各从认证服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。

l              需保证设备上设置的认证/授权报文的共享密钥与RADIUS服务器上的完全一致。

l              设备与从认证/授权服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authentication string命令设置的共享密钥。

l              认证/授权服务器与计费服务器的IP地址协议版本必须一致,否则提示错误。

l              如果在认证过程中使用本命令删除了从认证服务器,则设备在与当前服务器通信超时后,将会重新从主服务器开始依次查找状态为active的服务器进行通信。

相关配置可参考命令keyradius schemestate

【举例】

# 设置RADIUS方案radius1的从认证/授权服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812

# 设置RADIUS方案radius2的从认证/授权服务器:IP地址分别为10.110.1.1,10.110.1.2,均使用UDP端口1812提供RADIUS认证/授权服务。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812

[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812

1.3.22  security-policy-server

【命令】

security-policy-server ip-address

undo security-policy-server { ip-address | all }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:安全策略服务器IP地址。

all:所有安全策略服务器IP地址。

【描述】

security-policy-server命令用来设置安全策略服务器。undo security-policy-server命令用来删除指定的安全策略服务器。

缺省情况下,未指定安全策略服务器。

需要注意的是:

l              一个RADIUS方案中可以配置多个安全策略服务器IP地址,最多不能超过8个。

l              只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令radius nas-ip

【举例】

# 设置RADIUS方案radius1的安全策略服务器IP地址为10.110.1.2。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] security-policy-server 10.110.1.2

1.3.23  server-type

【命令】

server-type { extended | standard }

undo server-type

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

extended:指定extended类型的RADIUS服务器(一般为iMC),即要求RADIUS客户端和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。

standard:指定standard类型的RADIUS服务器,即要求RADIUS客户端和RADIUS服务器按照标准RADIUS协议(RFC 2865/2866或更新)的规程和报文格式进行交互。

【描述】

server-type命令用来配置设备支持的RADIUS服务器类型。undo server-type命令用来恢复缺省情况。

缺省情况下,设备支持的RADIUS服务器类型为standard

相关配置可参考命令radius scheme

【举例】

# 将RADIUS方案radius1的RADIUS服务器类型设置为standard

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-type standard

1.3.24  state primary

【命令】

state primary { accounting | authentication } { active | block }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

accounting:设置主RADIUS计费服务器的状态。

authentication:设置主RADIUS认证/授权服务器的状态。

active:设置主RADIUS服务器的状态为active,即处于正常工作状态。

block:设置主RADIUS服务器的状态为block,即处于通信中断状态。

【描述】

state primary命令用来设置主RADIUS服务器的状态。

缺省情况下,RADIUS方案中配置了IP地址的主RADIUS服务器状态为active

需要注意的是:

l              每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态置为block,同时启动主服务器的timer quiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器进行通信。在timer quiet定时器设定的时间到达之后,主服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active

l              如果主服务器与所有从服务器状态都是block,则默认使用主服务器进行认证或计费。

相关配置可参考命令display radius schemestate secondary

【举例】

# 将RADIUS方案radius1的主认证服务器的状态设置为block

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state primary authentication block

1.3.25  state secondary

【命令】

state secondary { accounting | authentication } [ ip ipv4-address | ipv6 ipv6-address ] { active | block }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

accounting:设置从RADIUS计费服务器的状态。

authentication:设置从RADIUS认证/授权服务器的状态。

ip ipv4-address:指定从RADIUS服务器的IPv4地址。

ipv6 ipv6-address:指定从RADIUS服务器的IPv6地址。

active:设置从RADIUS服务器的状态为active,即处于正常工作状态。

block:设置从RADIUS服务器的状态为block,即处于通信中断状态。

【描述】

state secondary命令用来设置从RADIUS服务器的状态。

缺省情况下,RADIUS方案中配置了IP地址的各从RADIUS服务器状态为active

需要注意的是:

l              如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从服务器状态。

l              如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timer quiet定时器,并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后,从服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达,则本次认证或计费失败。

相关配置可参考命令display radiusstate primary

【举例】

# 将RADIUS方案radius1的从认证服务器的状态设置为block

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state secondary authentication block

1.3.26  stop-accounting-buffer enable (RADIUS scheme view)

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。

缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。

由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到RADIUS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。但在计费服务器已被删除的情况下,停止计费报文不会被缓存。

相关配置可参考命令reset stop-accounting-bufferradius schemedisplay stop-accounting-buffer

【举例】

# 指示对于RADIUS方案radius1中的服务器,设备能够缓存没有得到响应的停止计费请求报文。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] stop-accounting-buffer enable

1.3.27  timer quiet (RADIUS scheme view)

【命令】

timer quiet minutes

undo timer quiet

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。

【描述】

timer quiet命令用来设置服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。

缺省情况下,服务器恢复激活状态的时间为5分钟。

要根据配置的从服务器数量合理设置服务器恢复激活状态的时间。如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。

相关配置可参考命令display radius scheme

【举例】

# 设置服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] radius scheme test1

[Sysname-radius-test1] timer quiet 10

1.3.28  timer realtime-accounting (RADIUS scheme view)

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟,非零取值必须为3的倍数。

【描述】

timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。

缺省情况下,实时计费的时间间隔为12分钟。

需要注意的是:

l              为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。

l              当实时计费间隔设置为0时,如果服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息。

l              实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求,取值小,会增加网络中的数据流量,对设备和RADIUS服务器的性能要求就高;取值大,会影响计费的准确性。因此要结合网络的实际情况合理设置计费间隔的大小,一般情况下,建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:

表1-7 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

¦1000

¦15

 

相关配置可参考命令retry realtime-accountingradius scheme

【举例】

# 将RADIUS方案radius1的实时计费的时间间隔设置为51分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer realtime-accounting 51

1.3.29  timer response-timeout (RADIUS scheme view)

【命令】

timer response-timeout seconds

undo timer response-timeout

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒。

【描述】

timer response-timeout命令用来设置RADIUS服务器响应超时时间。undo timer response-timeout命令用来恢复缺省情况。

缺省情况下,RADIUS服务器响应超时时间为3秒。

需要注意的是:

l              如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长。设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,命令timer response-timeout就是用来设置这个定时器时长的。

l              根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。

l              RADIUS报文超时重传次数的最大值与RADIUS服务器响应超时时间的乘积不能超过75秒。

相关配置可参考命令radius schemeretry

【举例】

# 将RADIUS方案radius1的响应超时定时器设置为5秒。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer response-timeout 5

1.3.30  user-name-format (RADIUS scheme view)

【命令】

user-name-format { keep-original | with-domain | without-domain }

【视图】

RADIUS方案视图

【缺省级别】

2:系统级

【参数】

keep-original:发送给RADIUS服务器的用户名与用户输入的保持一致。

with-domain:发送给RADIUS服务器的用户名带ISP域名。

without-domain:发送给RADIUS服务器的用户名不带ISP域名。

【描述】

user-name-format命令用来设置发送给RADIUS服务器的用户名格式。

缺省情况下,RADIUS方案发送给RADIUS服务器的用户名携带有ISP域名。

需要注意的是:

l              接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。

l              如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。

l              在802.1X用户采用EAP认证方式的情况下,RADIUS方案中配置的user-name-format命令无效,客户端传送给RADIUS服务器的用户名不会有改动。

l              无线用户漫游时,建议配置参数keep-original,否则可能引起认证失败。

相关配置可参考命令radius scheme

【举例】

# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] user-name-format without-domain

1.4  HWTACACS配置命令

1.4.1  data-flow-format (HWTACACS scheme view)

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

data:设置数据的单位。

byte:数据单位为字节。

giga-byte:数据单位千兆字节。

kilo-byte:数据单位为千字节。

mega-byte:数据单位为兆字节。

packet:设置数据包的单位。

giga-packet:数据包的单位为千兆包。

kilo-packet:数据包的单位为千包。

mega-packet:数据包的单位为兆包。

one-packet:数据包的单位为包。

【描述】

data-flow-format命令用来配置发送到HWTACACS服务器的数据流的单位。undo data-flow-format命令用来恢复缺省情况。

缺省情况下,数据的单位为byte,数据包的单位为one-packet

相关配置可参考命令display hwtacacs

【举例】

# 设置发往HWTACACS服务器的数据流的数据单位为kilo-byte、数据包的单位为kilo-packet

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet

1.4.2  display hwtacacs

【命令】

display hwtacacs [ hwtacacs-scheme-name [ statistics ] ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme-name:指定HWTACACS方案名。

statistics:显示HWTACACS服务器的详细统计信息。

slot slot-number:显示指定成员设备上的HWTACACS方案配置信息或统计信息。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display hwtacacs命令用来查看HWTACACS方案的配置信息或统计信息。

需要注意的是:

l              如果不指定HWTACACS方案名,则显示所有HWTACACS方案的配置信息。

l              如果不指定成员编号,则显示所有成员设备上HWTACACS方案的配置信息。

相关配置请参考命令hwtacacs scheme

【举例】

# 查看HWTACACS方案gy的配置情况。

<Sysname> display hwtacacs gy

  --------------------------------------------------------------------

  HWTACACS-server template name     : gy

  Primary-authentication-server     : 172.31.1.11:49

  Primary-authorization-server      : 172.31.1.11:49

  Primary-accounting-server         : 172.31.1.11:49

  Secondary-authentication-server   : 0.0.0.0:0

  Secondary-authorization-server    : 0.0.0.0:0

  Secondary-accounting-server       : 0.0.0.0:0

  Current-authentication-server     : 172.31.1.11:49

  Current-authorization-server      : 172.31.1.11:49

  Current-accounting-server         : 172.31.1.11:49

  NAS-IP-address                    : 0.0.0.0

  key authentication                : 790131

  key authorization                 : 790131

  key accounting                    : 790131

  Quiet-interval(min)               : 5

  Realtime-accounting-interval(min) : 12

  Response-timeout-interval(sec)    : 5

  Acct-stop-PKT retransmit times    : 100

  Username format                   : with-domain

  Data traffic-unit                 : B

  Packet traffic-unit               : one-packet

  -------------------------------------------------------------------- 

表1-8 display hwtacacs命令显示信息描述表

字段

描述

HWTACACS-server template name

HWTACACS服务器方案名

Primary-authentication-server

主认证服务器IP地址/接入端口号

l      未配置主认证服务器时,IP地址/接入端口号显示为0.0.0.0:0。下面各服务器同理显示

Primary-authorization-server

主授权服务器IP地址/接入端口号

Primary-accounting-server

主计费服务器IP地址/接入端口号

Secondary-authentication-server

备认证服务器IP地址/接入端口号

Secondary-authorization-server

备授权服务器IP地址/接入端口号

Secondary-accounting-server

备计费服务器IP地址/接入端口号

Current-authentication-server

当前认证服务器IP地址/接入端口号

Current-authorization-server

当前授权服务器IP地址/接入端口号

Current-accounting-server

当前计费服务器IP地址/接入端口号

NAS-IP-address

NAS的IP地址

l      未指定时,IP地址显示为0.0.0.0

key authentication

认证密钥

key authorization

授权密钥

key accounting

计费密钥

Quiet-interval

主服务器恢复激活状态的时间

Realtime-accounting-interval

实时计费间隔

Response-timeout-interval

服务器响应超时间隔

Acct-stop-PKT retransmit times

停止计费报文的重传次数

Username format

发送给HWTACACS服务器的用户名格式

Data traffic-unit

数据流量单位

Packet traffic-unit

包流量单位

 

1.4.3  display stop-accounting-buffer

【命令】

display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案显示缓存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串。

slot slot-number:显示指定成员设备上缓存的停止计费请求报文。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。

相关配置可参考命令reset stop-accounting-bufferstop-accounting-buffer enableretry stop-accounting

【举例】

# 显示HWTACACS方案hwt1缓存的停止计费请求报文。

<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1

 Slot 1:

Total 0 record(s) Matched

1.4.4  hwtacacs nas-ip

【命令】

hwtacacs nas-ip ip-address

undo hwtacacs nas-ip ip-address

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。

【描述】

hwtacacs nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo hwtacacs nas-ip命令用来删除指定的源地址。

缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。

需要注意的是:

l              系统最多允许指定16个源地址。

l              HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。

l              HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。

相关配置可参考命令nas-ip

【举例】

# 配置设备发送HWTACACS报文使用的源地址为129.10.10.1。

<Sysname> system-view

[Sysname] hwtacacs nas-ip 129.10.10.1

1.4.5  hwtacacs scheme

【命令】

hwtacacs scheme hwtacacs-scheme-name

undo hwtacacs scheme hwtacacs-scheme-name

【视图】

系统视图

【缺省级别】

3:管理级

【参数】

hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。

【描述】

hwtacacs scheme命令用来创建HWTACACS方案并进入其视图。undo hwtacacs scheme命令用来删除指定的HWTACACS方案。

缺省情况下,没有定义HWTACACS方案。

需要注意的是,当有使用HWTACACS方案的用户在线时,不允许使用undo hwtacacs scheme命令删除该方案。

【举例】

# 创建名为hwt1的HWTACACS方案并进入相应的HWTACACS视图。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1]

1.4.6  key (HWTACACS scheme view)

【命令】

key { accounting | authentication | authorization } string

undo key { accounting | authentication | authorization } string

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

accounting:指示HWTACACS计费报文的共享密钥。

authentication:指示HWTACACS认证报文的共享密钥。

authorization:指示HWTACACS授权报文的共享密钥。

string:密钥,为1~64个字符的字符串,区分大小写。

【描述】

key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。undo key命令用来删除配置。

缺省情况下,无共享密钥。

相关配置可参考命令display hwtacacs

【举例】

# 配置HWTACACS计费报文共享密钥为hello。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] key accounting hello

1.4.7  nas-ip (HWTACACS scheme view)

【命令】

nas-ip ip-address

undo nas-ip

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。

【描述】

nas-ip命令用来指定设备发送HWTACACS报文使用的源地址。undo nas-ip命令用来恢复缺省情况。

缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。

需要注意的是:

l              HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。

l              本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。

l              HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。

相关配置可参考命令hwtacacs nas-ip

【举例】

# 配置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1

1.4.8  primary accounting (HWTACACS scheme view)

【命令】

primary accounting ip-address [ port-number ]

undo primary accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主HWTACACS计费服务器的IP地址,必须是合法的单播地址。

port-number:主HWTACACS计费服务器的端口号,缺省为49,取值范围为1~65535。

【描述】

primary accounting命令用来配置主HWTACACS计费服务器。undo primary accounting命令用来删除配置的主HWTACACS计费服务器。

缺省情况下,未配置主计费服务器。

需要注意的是:

l              主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。

相关配置可参考命令display hwtacacshwtacacs scheme

【举例】

# 配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49提供HWTACACS计费服务。

<Sysname> system-view

[Sysname] hwtacacs scheme test1

[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49

1.4.9  primary authentication (HWTACACS scheme view)

【命令】

primary authentication ip-address [ port-number ]

undo primary authentication

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主HWTACACS认证服务器的IP地址,必须是合法的单播地址。

port-number:主HWTACACS认证服务器的端口号,缺省为49,取值范围为1~65535。

【描述】

primary authentication命令用来配置主HWTACACS认证服务器。undo primary authentication命令用来删除配置的主HWTACACS认证服务器。

缺省情况下,未配置主认证服务器。

需要注意的是:

l              主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。

相关配置可参考命令display hwtacacshwtacacs scheme

【举例】

# 配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS认证服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49

1.4.10  primary authorization

【命令】

primary authorization ip-address [ port-number ]

undo primary authorization

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:主HWTACACS授权服务器的IP地址,必须是合法的单播地址。

port-number:主HWTACACS授权服务器的端口号,缺省为49,取值范围为1~65535。

【描述】

primary authorization命令用来配置主HWTACACS授权服务器。undo primary authorization命令用来删除配置的主HWTACACS授权服务器。

缺省情况下,未配置主授权服务器。

需要注意的是:

l              主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。删除服务器只对之后的报文有效。

相关配置可参考命令display hwtacacshwtacacs scheme

【举例】

# 配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS授权服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49

1.4.11  reset hwtacacs statistics

【命令】

reset hwtacacs statistics { accounting | all | authentication | authorization } [ slot slot-number ]

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

accounting:清除HWTACACS协议关于计费的统计信息。

all:清除HWTACACS的所有统计信息。

authentication:清除HWTACACS协议关于认证的统计信息。

authorization:清除HWTACACS协议关于授权的统计信息。

slot slot-number:清除指定成员设备上的HWTACACS协议的统计信息。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

【描述】

reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。

相关配置请参考命令display hwtacacs

【举例】

# 清除HWTACACS协议的所有统计信息。

<Sysname> reset hwtacacs statistics all

1.4.12  reset stop-accounting-buffer

【命令】

reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ]

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

hwtacacs-scheme hwtacacs-scheme-name:根据指定HWTACACS方案清除缓存的停止计费请求报文。其中,hwtacacs-server-name为HWTACACS方案名,为1~32个字符的字符串。

slot slot-number:清除指定成员设备上缓存的停止计费请求报文。slot-number表示IRF中设备的成员编号,取值范围请以设备的实际情况为准,可使用display irf命令查看。如果未形成IRF,则slot-number为当前设备编号。

【描述】

reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。

相关配置可参考命令stop-accounting-buffer enableretry stop-accountingdisplay stop-accounting-buffer

【举例】

# 清除HWTACACS方案hwt1缓存在系统中的停止计费请求报文。

<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1

1.4.13  retry stop-accounting (HWTACACS scheme view)

【命令】

retry stop-accounting retry-times

undo retry stop-accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

retry-times:停止计费请求报文的最大重试次数,取值范围为1~300。

【描述】

retry stop-accounting命令用来设置当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,停止计费请求报文的最大重试次数。undo retry stop-accounting命令用来恢复缺省情况。

缺省情况下,停止计费请求报文的最大发送次数为100。

相关配置可参考命令reset stop-accounting-bufferhwtacacs schemedisplay stop-accounting-buffer

【举例】

# 设置对于HWTACACS方案hwt1中的服务器,设备系统最多可以将缓存的停止计费请求报文发送50次。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] retry stop-accounting 50

1.4.14  secondary accounting (HWTACACS scheme view)

【命令】

secondary accounting ip-address [ port-number ]

undo secondary accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从HWTACACS计费服务器的IP地址,必须是合法的单播地址。

port-number:从HWTACACS计费服务器的端口号,缺省为49,取值范围为1~65535。

【描述】

secondary accounting命令用来配置从HWTACACS计费服务器。undo secondary accounting命令用来删除配置的从HWTACACS计费服务器。

缺省情况下,未配置从计费服务器。

需要注意的是:

l              主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。

相关配置可参考命令display hwtacacshwtacacs scheme

【举例】

# 配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49提供HWTACACS计费服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49

1.4.15  secondary authentication (HWTACACS scheme view)

【命令】

secondary authentication ip-address [ port-number ]

undo secondary authentication

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从HWTACACS服务器的IP地址,必须是合法的单播地址。

port-number:从HWTACACS服务器的端口号,缺省为49,取值范围为1~65535。

【描述】

secondary authentication命令用来配置从HWTACACS认证服务器。undo secondary authentication命令用来删除配置的从HWTACACS认证服务器。

缺省情况下,未配置从认证服务器。

需要注意的是:

l              主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。

相关配置可参考命令display hwtacacshwtacacs scheme

【举例】

# 配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS认证服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49

1.4.16  secondary authorization

【命令】

secondary authorization ip-address [ port-number ]

undo secondary authorization

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

ip-address:从HWTACACS授权服务器的IP地址,必须是合法的单播地址。

port-number:从HWTACACS授权服务器的端口号,缺省为49,取值范围为1~65535。

【描述】

secondary authorization命令用来配置从HWTACACS授权服务器。undo secondary authorization命令用来删除配置的从HWTACACS授权服务器。

缺省情况下,未配置从授权服务器。

需要注意的是:

l              主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。

l              需保证设备上的HWTACACS服务端口与HWTACACS服务器上的端口设置一致。

l              如果重复执行此命令,新的配置将覆盖原来的配置。

l              只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。

相关配置可参考命令display hwtacacshwtacacs scheme

【举例】

# 配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49提供HWTACACS授权服务。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49

1.4.17  stop-accounting-buffer enable (HWTACACS scheme view)

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

【描述】

stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。

缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。

由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。

相关配置可参考命令reset stop-accounting-bufferhwtacacs schemedisplay stop-accounting-buffer

【举例】

# 指示对于HWTACACS方案hwt1中的服务器,设备能够缓存没有得到响应的停止计费请求报文。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable

1.4.18  timer quiet (HWTACACS scheme view)

【命令】

timer quiet minutes

undo timer quiet

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。

【描述】

timer quiet命令用来设置主服务器恢复激活状态的时间。undo timer quiet命令用来恢复缺省情况。

缺省情况下,主服务器恢复激活状态的时间为5分钟。

相关配置可参考命令display hwtacacs

【举例】

# 设置主服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer quiet 10

1.4.19  timer realtime-accounting (HWTACACS scheme view)

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟,非零取值必须为3的倍数。0表示设备不向HWTACACS服务器发送在线用户的计费信息。

【描述】

timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来恢复缺省情况。

缺省情况下,实时计费的时间间隔为12分钟。

需要注意的是:

l              为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。

l              实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求,取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:

表1-9 实时计费间隔与用户量之间的推荐比例关系

用户数

实时计费间隔(分钟)

1~99

3

100~499

6

500~999

12

¦1000

¦15

 

【举例】

# 将HWTACACS方案hwt1的实时计费的时间间隔设置为51分钟。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer realtime-accounting 51

1.4.20  timer response-timeout (HWTACACS scheme view)

【命令】

timer response-timeout seconds

undo timer response-timeout

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

seconds:服务器响应超时时间,取值范围为1~300,单位为秒。

【描述】

timer response-timeout命令用来设置HWTACACS服务器响应超时时间。undo timer response-timeout命令用来恢复缺省情况。

缺省情况下,HWTACACS服务器响应超时时间为5秒。

需要注意的是,由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。

相关配置可参考命令display hwtacacs

【举例】

# 配置TACACS服务器响应超时时间为30秒。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer response-timeout 30

1.4.21  user-name-format (HWTACACS scheme view)

【命令】

user-name-format { keep-original | with-domain | without-domain }

【视图】

HWTACACS方案视图

【缺省级别】

2:系统级

【参数】

keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。

with-domain:发送给HWTACACS服务器的用户名带ISP域名。

without-domain:发送给HWTACACS服务器的用户名不带ISP域名。

【描述】

user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。

缺省情况下,HWTACACS方案默认发送给HWTACACS服务器的用户名携带有ISP域名。

需要注意的是:

l              接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。

l              如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。

l              无线用户漫游时,建议配置参数keep-original,否则可能引起认证失败。

相关配置可参考命令hwtacacs scheme

【举例】

# 指定发送给HWTACACS方案hwt1的用户不带ISP域名。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] user-name-format without-domain

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们