i目录1AAA·1-11.
1ISP域中实现AAA配置命令·1-11.
1.
1aaanas-idprofile·1-11.
1.
2aaasession-limit·1-21.
1.
3accountingcommand1-31.
1.
4accountingdefault1-41.
1.
5accountingdual-stack·1-51.
1.
6accountinglan-access·1-61.
1.
7accountinglogin·1-71.
1.
8accountingportal1-81.
1.
9accountingquota-out·1-101.
1.
10accountingstart-fail1-111.
1.
11accountingupdate-fail1-111.
1.
12authenticationdefault1-121.
1.
13authenticationlan-access·1-131.
1.
14authenticationlogin1-151.
1.
15authenticationonu1-161.
1.
16authenticationportal1-171.
1.
17authenticationsuper1-181.
1.
18authorizationcommand1-191.
1.
19authorizationdefault1-211.
1.
20authorizationlan-access·1-221.
1.
21authorizationlogin1-231.
1.
22authorizationportal·1-251.
1.
23authorization-attribute(ISPdomainview)1-261.
1.
24displaydomain·1-281.
1.
25domain·1-321.
1.
26domaindefaultenable1-331.
1.
27domainif-unknown1-331.
1.
28nas-idbindvlan1-341.
1.
29service-type(ISPdomainview)1-351.
1.
30session-timeinclude-idle-time·1-361.
1.
31state(ISPdomainview)1-37ii1.
2本地用户配置命令1-371.
2.
1access-limit·1-371.
2.
2authorization-attribute(Localuserview/usergroupview)1-381.
2.
3bind-attribute·1-411.
2.
4company·1-421.
2.
5description1-421.
2.
6displaylocal-user·1-431.
2.
7displayuser-group·1-471.
2.
8email1-481.
2.
9full-name·1-491.
2.
10group1-501.
2.
11local-guestemailformat1-501.
2.
12local-guestemailsender1-511.
2.
13local-guestemailsmtp-server1-521.
2.
14local-guestgenerate·1-531.
2.
15local-guestsend-email1-541.
2.
16local-user·1-551.
2.
17local-userauto-deleteenable·1-561.
2.
18local-user-export·1-571.
2.
19local-user-import·1-581.
2.
20password(Devicemanagementuserview)1-601.
2.
21password(Networkaccessuserview)1-621.
2.
22phone·1-621.
2.
23service-type(Localuserview)1-631.
2.
24sponsor-department1-641.
2.
25sponsor-email·1-651.
2.
26sponsor-full-name·1-651.
2.
27state(Localuserview)1-661.
2.
28user-group1-671.
2.
29validity-datetime·1-681.
3RADIUS配置命令1-691.
3.
1aaadevice-id1-691.
3.
2accounting-onenable1-701.
3.
3accounting-onextended1-711.
3.
4attribute15check-mode·1-711.
3.
5attribute25car·1-72iii1.
3.
6attribute31mac-format1-731.
3.
7attributeconvert(RADIUSDAEserverview)1-741.
3.
8attributeconvert(RADIUSschemeview)1-751.
3.
9attributereject(RADIUSDAEserverview)1-761.
3.
10attributereject(RADIUSschemeview)1-771.
3.
11attributeremanent-volume1-781.
3.
12attributetranslate·1-791.
3.
13ca-file1-801.
3.
14client1-811.
3.
15data-flow-format(RADIUSschemeview)1-821.
3.
16displayradiusscheme·1-831.
3.
17displayradiusserver-loadstatistics·1-871.
3.
18displayradiusstatistics·1-881.
3.
19displaystop-accounting-buffer(forRADIUS)1-891.
3.
20eap-profile·1-911.
3.
21exclude1-911.
3.
22include1-921.
3.
23key(RADIUSschemeview)1-941.
3.
24method·1-951.
3.
25nas-ip(RADIUSschemeview)1-961.
3.
26port1-971.
3.
27primaryaccounting(RADIUSschemeview)1-981.
3.
28primaryauthentication(RADIUSschemeview)1-1001.
3.
29radiusattributeextended·1-1021.
3.
30radiusattribute-test-group1-1031.
3.
31radiusdscp1-1041.
3.
32radiusdynamic-authorserver·1-1041.
3.
33radiusenable·1-1051.
3.
34radiusnas-ip·1-1061.
3.
35radiusscheme1-1071.
3.
36radiussession-controlclient·1-1081.
3.
37radiussession-controlenable·1-1091.
3.
38radiustrap-version·1-1101.
3.
39radius-servertest-profile·1-1121.
3.
40reauthenticationserver-select·1-1131.
3.
41resetradiusserver-loadstatistics·1-114iv1.
3.
42resetradiusstatistics·1-1151.
3.
43resetstop-accounting-buffer(forRADIUS)1-1151.
3.
44retry1-1161.
3.
45retryrealtime-accounting·1-1171.
3.
46retrystop-accounting(RADIUSschemeview)1-1181.
3.
47secondaryaccounting(RADIUSschemeview)1-1191.
3.
48secondaryauthentication(RADIUSschemeview)1-1211.
3.
49server-load-sharingenable·1-1221.
3.
50snmp-agenttrapenableradius·1-1231.
3.
51stateprimary·1-1251.
3.
52statesecondary1-1261.
3.
53stop-accounting-bufferenable(RADIUSschemeview)1-1271.
3.
54stop-accounting-packetsend-force1-1281.
3.
55test-aaa·1-1291.
3.
56timerquiet(RADIUSschemeview)1-1331.
3.
57timerrealtime-accounting(RADIUSschemeview)1-1341.
3.
58timerresponse-timeout(RADIUSschemeview)1-1351.
3.
59user-name-format(RADIUSschemeview)1-1361.
3.
60vpn-instance(RADIUSschemeview)1-1371.
4HWTACACS配置命令1-1381.
4.
1data-flow-format(HWTACACSschemeview)1-1381.
4.
2displayhwtacacsscheme·1-1391.
4.
3displaystop-accounting-buffer(forHWTACACS)1-1441.
4.
4hwtacacsnas-ip·1-1451.
4.
5hwtacacsscheme·1-1461.
4.
6key(HWTACACSschemeview)1-1471.
4.
7nas-ip(HWTACACSschemeview)1-1481.
4.
8primaryaccounting(HWTACACSschemeview)1-1491.
4.
9primaryauthentication(HWTACACSschemeview)1-1511.
4.
10primaryauthorization·1-1521.
4.
11resethwtacacsstatistics·1-1541.
4.
12resetstop-accounting-buffer(forHWTACACS1-1541.
4.
13retrystop-accounting(HWTACACSschemeview)1-1551.
4.
14secondaryaccounting(HWTACACSschemeview)1-1561.
4.
15secondaryauthentication(HWTACACSschemeview)1-1571.
4.
16secondaryauthorization1-159v1.
4.
17stop-accounting-bufferenable(HWTACACSschemeview)1-1611.
4.
18timerquiet(HWTACACSschemeview)1-1611.
4.
19timerrealtime-accounting(HWTACACSschemeview)1-1621.
4.
20timerresponse-timeout(HWTACACSschemeview)1-1631.
4.
21user-name-format(HWTACACSschemeview)1-1641.
4.
22vpn-instance(HWTACACSschemeview)1-1651.
5LDAP配置命令·1-1661.
5.
1attribute-map1-1661.
5.
2authentication-server·1-1661.
5.
3authorization-server·1-1671.
5.
4displayldapscheme·1-1681.
5.
5ip·1-1701.
5.
6ipv61-1711.
5.
7ldapattribute-map·1-1721.
5.
8ldapscheme1-1721.
5.
9ldapserver·1-1731.
5.
10login-dn·1-1741.
5.
11login-password1-1751.
5.
12map·1-1751.
5.
13protocol-version·1-1761.
5.
14search-base-dn·1-1771.
5.
15search-scope·1-1781.
5.
16server-timeout·1-1791.
5.
17user-parameters1-1791.
6RADIUS服务器配置命令·1-1801.
6.
1displayradius-serveractive-client1-1801.
6.
2displayradius-serveractive-user·1-1811.
6.
3radius-serveractivate1-1831.
6.
4radius-serverclient1-1831.
7连接记录策略配置命令1-1841.
7.
1aaaconnection-recordingpolicy·1-1841.
7.
2accountinghwtacacs-scheme1-1851.
7.
3displayaaaconnection-recordingpolicy1-1861-11AAA设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述.
有关FIPS模式的详细介绍请参见"安全配置指导"中的"FIPS".
1.
1ISP域中实现AAA配置命令1.
1.
1aaanas-idprofileaaanas-idprofile命令用来创建NAS-IDProfile,并进入NAS-ID-Profile视图.
如果指定的NAS-IDProfile已经存在,则直接进入NAS-ID-Profile视图.
undoaaanas-idprofile命令用来删除指定的NAS-IDProfile.
【命令】aaanas-idprofileprofile-nameundoaaanas-idprofileprofile-name【缺省情况】不存在NAS-IDProfile.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】profile-name:Profile名称,为1~31个字符的字符串,不区分大小写.
【使用指导】在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来获知用户的接入位置,而用户的接入VLAN可标识用户的接入位置,因此接入设备上可通过建立用户接入VLAN与指定的NAS-ID之间的绑定关系来实现接入位置信息的映射.
NAS-IDProfile用于保存NAS-ID和VLAN的绑定关系.
这样,当用户上线时,设备会将与用户接入VLAN匹配的NAS-ID填充在RADIUS请求报文中的NAS-Identifier属性中发送给RADIUS服务器.
若以上配置都不存在,则使用设备的名称作为NAS-ID.
【举例】#创建一个名称为aaa的NAS-IDProfile,并进入NAS-ID-Profile视图.
system-view1-2[Sysname]aaanas-idprofileaaa[Sysname-nas-id-prof-aaa]【相关命令】nas-idbindvlanport-securitynas-id-profile(安全命令参考/端口安全)portalnas-id-profile(安全命令参考/Portal)1.
1.
2aaasession-limitaaasession-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数.
undoaaasession-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况.
【命令】(非FIPS模式)aaasession-limit{ftp|http|https|ssh|telnet}max-sessionsundoaaasession-limit{ftp|http|https|ssh|telnet}(FIPS模式)aaasession-limit{https|ssh}max-sessionsundoaaasession-limit{https|ssh}【缺省情况】同时在线的各类型最大用户连接数均为32.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】ftp:表示FTP用户.
http:表示HTTP用户.
https:表示HTTPS用户.
ssh:表示SSH用户.
telnet:表示Telnet用户.
max-sessions:允许同时在线的最大用户连接数,FTP/SSH/Telnet用户的取值范围为1~32,HTTP/HTTPS用户的取值范围为1~64.
【使用指导】配置本命令后,当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝.
1-3【举例】#设置同时在线的最大FTP用户连接数为4.
system-view[Sysname]aaasession-limitftp41.
1.
3accountingcommandaccountingcommand命令用来配置命令行计费方法.
undoaccountingcommand命令用来恢复缺省情况.
【命令】accountingcommandhwtacacs-schemehwtacacs-scheme-nameundoaccountingcommand【缺省情况】命令行计费采用当前ISP域的缺省计费方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】命令行计费过程是指,用户执行过的合法命令会被发送给计费服务器进行记录.
若未开启命令行授权功能,则计费服务器对用户执行过的所有合法命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录.
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能.
【举例】#在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费.
system-view[Sysname]domaintest[Sysname-isp-test]accountingcommandhwtacacs-schemehwtac【相关命令】accountingdefaultcommandaccounting(基础配置命令参考/登录设备)hwtacacsscheme1-41.
1.
4accountingdefaultaccountingdefault命令用来为当前ISP域配置缺省的计费方法.
undoaccountingdefault命令用来恢复缺省情况.
【命令】(非FIPS模式)accountingdefault{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|local[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoaccountingdefault(FIPS模式)accountingdefault{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local]|local|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local]}undoaccountingdefault【缺省情况】当前ISP域的缺省计费方法为local.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地计费.
none:不计费.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效.
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能.
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费.
1-5【举例】#在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备选计费方法.
system-view[Sysname]domaintest[Sysname-isp-test]accountingdefaultradius-schemerdlocal【相关命令】hwtacacsschemelocal-userradiusscheme1.
1.
5accountingdual-stackaccountingdual-stack命令用来配置双协议栈用户的计费方式.
undoaccountingdual-stack命令用来恢复缺省情况.
【命令】accountingdual-stack{merge|separate}undoaccountingdual-stack【缺省情况】双协议栈用户的计费方式为统一计费.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】merge:统一计费方式,表示将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器.
separate:分别计费方式,表示将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器.
【使用指导】双协议栈用户的主机上同时支持IPv4和IPv6两种协议,可能产生两种协议类型的流量.
分别计费模式通常应用于IPv4流量费率和IPv6流量费率不一样的情况;统一计费模式通常应用于不需要区分IPv4流量和IPv6流量的情况.
【举例】#在ISP域test下,配置双栈用户的计费方式为分别计费.
system-view[Sysname]domaintest[Sysname-isp-test]accountingdual-stackseparate1-61.
1.
6accountinglan-accessaccountinglan-access命令用来为lan-access用户配置计费方法.
undoaccountinglan-access命令用来恢复缺省情况.
【命令】(非FIPS模式)accountinglan-access{broadcastradius-schemeradius-scheme-name1radius-schemeradius-scheme-name2[local][none]|local[none]|none|radius-schemeradius-scheme-name[local][none]}undoaccountinglan-access(FIPS模式)accountinglan-access{broadcastradius-schemeradius-scheme-name1radius-schemeradius-scheme-name2[local]|local|radius-schemeradius-scheme-name[local]}undoaccountinglan-access【缺省情况】lan-access用户采用当前ISP域的缺省计费方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】broadcast:指定广播RADIUS方案,即同时向指定的两个RADIUS方案中的计费服务器发送计费请求.
radius-schemeradius-scheme-name1:表示主送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写;radius-schemeradius-scheme-name2:表示抄送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写.
local:本地计费.
none:不计费.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】可以指定多个备选的计费方法.
在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费.
1-7当指定broadcast关键字时,将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求,若某RADIUS方案里的主计费服务器不可达,则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求.
主送计费方案计费成功时,表示用户计费成功;抄送计费方案的计费结果对用户无影响.
【举例】#在ISP域test下,为lan-access用户配置计费方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]accountinglan-accesslocal#在ISP域test下,配置lan-access用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法.
system-view[Sysname]domaintest[Sysname-isp-test]accountinglan-accessradius-schemerdlocal#在ISP域test下,配置lan-access用户使用RADIUS方案rd1和rd2进行广播计费,并且使用local作为备选计费方法.
system-view[Sysname]domaintest[Sysname-isp-test]accountinglan-accessbroadcastradius-schemerd1radius-schemerd2local【相关命令】accountingdefaultlocal-userradiusschemetimerrealtime-accounting1.
1.
7accountingloginaccountinglogin命令用来为login用户配置计费方法.
undoaccountinglogin命令用来恢复缺省情况.
【命令】(非FIPS模式)accountinglogin{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|local[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoaccountinglogin(FIPS模式)accountinglogin{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local]|local|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local]}undoaccountinglogin1-8【缺省情况】login用户采用当前ISP域的缺省计费方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地计费.
none:不计费.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】不支持对FTP、SFTP以及SCP类型的login用户进行计费.
可以指定多个备选的计费方法.
在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费.
【举例】#在ISP域test下,为login用户配置计费方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]accountingloginlocal#在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法.
system-view[Sysname]domaintest[Sysname-isp-test]accountingloginradius-schemerdlocal【相关命令】accountingdefaulthwtacacsschemelocal-userradiusscheme1.
1.
8accountingportalaccountingportal命令用来为Portal用户配置计费方法.
undoaccountingportal命令用来恢复缺省情况.
1-9【命令】(非FIPS模式)accountingportal{broadcastradius-schemeradius-scheme-name1radius-schemeradius-scheme-name2[local][none]|local[none]|none|radius-schemeradius-scheme-name[local][none]}undoaccountingportal(FIPS模式)accountingportal{broadcastradius-schemeradius-scheme-name1radius-schemeradius-scheme-name2[local]|local|radius-schemeradius-scheme-name[local]}undoaccountingportal【缺省情况】Portal用户采用当前ISP域的缺省计费方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】broadcast:指定广播RADIUS方案,即同时向指定的两个RADIUS方案中的计费服务器发送计费请求.
radius-schemeradius-scheme-name1:表示主送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写;radius-schemeradius-scheme-name2:表示抄送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写.
local:本地计费.
none:不计费.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费.
当指定broadcast关键字时,将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求,若某RADIUS方案里的主计费服务器不可达,则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求.
主送计费方案计费成功时,表示用户计费成功;抄送计费方案的计费结果对用户无影响.
1-10【举例】#在ISP域test下,为Portal用户配置计费方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]accountingportallocal#在ISP域test下,配置Portal用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法.
system-view[Sysname]domaintest[Sysname-isp-test]accountingportalradius-schemerdlocal#在ISP域test下,配置Portal用户使用RADIUS方案rd1和rd2进行广播计费,并且使用local作为备选计费方法.
system-view[Sysname]domaintest[Sysname-isp-test]accountingportalbroadcastradius-schemerd1radius-schemerd2local【相关命令】accountingdefaultlocal-userradiusschemetimerrealtime-accounting1.
1.
9accountingquota-outaccountingquota-out命令用来配置用户计费配额(流量或时长)耗尽策略.
undoaccountingquota-out命令用来恢复缺省情况.
【命令】accountingquota-out{offline|online}undoaccountingquota-out【缺省情况】用户的计费配额耗尽后将被强制下线.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】offline:当用户的整体配额耗尽后,强制用户下线.
online:当用户的整体配额耗尽后,允许用户保持在线状态.
1-11【使用指导】需要注意的是,如果配置的用户计费配额耗尽策略为offline,则当服务器为Portal用户授权了计费配额时,强制该类用户下线的时间可能会不准确.
【举例】#在ISP域test下,配置用户计费配额耗尽策略为:当配额耗尽后用户仍能保持在线状态.
system-view[Sysname]domaintest[Sysname-isp-test]accountingquota-outonline1.
1.
10accountingstart-failaccountingstart-fail命令用来配置用户计费开始失败策略,即设备向计费服务器发送计费开始请求失败后,是否允许用户接入网络.
undoaccountingstart-fail命令用来恢复缺省情况.
【命令】accountingstart-fail{offline|online}undoaccountingstart-fail【缺省情况】如果用户计费开始失败,允许用户保持在线状态.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】offline:强制用户下线.
online:允许用户保持在线状态.
【举例】#在ISP域test下,配置计费开始失败策略为:用户计费开始失败时允许用户保持在线状态.
system-view[Sysname]domaintest[Sysname-isp-test]accountingstart-failonline1.
1.
11accountingupdate-failaccountingupdate-fail命令用来配置用户计费更新失败策略,即设备向计费服务器发送用户的计费更新报文失败时,是否允许用户接入网络.
undoaccountingupdate-fail命令用来恢复缺省情况.
【命令】accountingupdate-fail{[max-timesmax-times]offline|online}1-12undoaccountingupdate-fail【缺省情况】如果用户计费更新失败,允许用户保持在线状态.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】max-timesmax-times:允许用户连续计费更新失败的次数,取值范围1~255,缺省值为1.
offline:如果用户连续计费更新失败的次数达到了指定的次数,则强制用户下线.
online:如果用户计费更新失败,允许用户保持在线状态.
【举例】#在ISP域test下,配置计费更新失败策略为:用户计费更新失败时允许用户保持在线状态.
system-view[Sysname]domaintest[Sysname-isp-test]accountingupdate-failonline1.
1.
12authenticationdefaultauthenticationdefault命令用来为当前ISP域配置缺省的认证方法.
undoauthenticationdefault命令用来为恢复缺省情况.
【命令】(非FIPS模式)authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|ldap-schemeldap-scheme-name[local][none]|local[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoauthenticationdefault(FIPS模式)authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local]|ldap-schemeldap-scheme-name[local]|local|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local]}undoauthenticationdefault【缺省情况】当前ISP域的缺省认证方法为local.
1-13【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
ldap-schemeldap-scheme-name:指定LDAP方案.
其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写.
local:本地认证.
none:不进行认证.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效.
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证.
【举例】#在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备选认证方法.
system-view[Sysname]domaintest[Sysname-isp-test]authenticationdefaultradius-schemerdlocal【相关命令】hwtacacsschemeldapschemelocal-userradiusscheme1.
1.
13authenticationlan-accessauthenticationlan-access命令用来为lan-access用户配置认证方法.
undoauthenticationlan-access命令用来恢复缺省情况.
【命令】(非FIPS模式)1-14authenticationlan-access{ldap-schemeldap-scheme-name[local][none]|local[none]|none|radius-schemeradius-scheme-name[local][none]}undoauthenticationlan-access(FIPS模式)authenticationlan-access{ldap-schemeldap-scheme-name[local]|local|radius-schemeradius-scheme-name[local]}undoauthenticationlan-access【缺省情况】lan-access用户采用当前ISP域的缺省认证方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】ldap-schemeldap-scheme-name:指定LDAP方案.
其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写.
local:本地认证.
none:不进行认证.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证.
【举例】#在ISP域test下,为lan-access用户配置认证方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]authenticationlan-accesslocal#在ISP域test下,配置lan-access用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法.
system-view[Sysname]domaintest[Sysname-isp-test]authenticationlan-accessradius-schemerdlocal【相关命令】authenticationdefaulthwtacacsscheme1-15ldapschemelocal-userradiusscheme1.
1.
14authenticationloginauthenticationlogin命令用来为login用户配置认证方法.
undoauthenticationlogin命令用来恢复缺省情况.
【命令】(非FIPS模式)authenticationlogin{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|ldap-schemeldap-scheme-name[local][none]|local[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoauthenticationlogin(FIPS模式)authenticationlogin{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local]|ldap-schemeldap-scheme-name[local]|local|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local]}undoauthenticationlogin【缺省情况】login用户采用当前ISP域的缺省认证方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
ldap-schemeldap-scheme-name:指定LDAP方案.
其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写.
local:本地认证.
none:不进行认证.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
1-16【使用指导】可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证.
【举例】#在ISP域test下,为login用户配置认证方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]authenticationloginlocal#在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法.
system-view[Sysname]domaintest[Sysname-isp-test]authenticationloginradius-schemerdlocal【相关命令】authenticationdefaulthwtacacsschemeldapschemelocal-userradiusscheme1.
1.
15authenticationonuauthenticationonu命令用来为ONU(OpticalNetworkUnit,光网络单元)用户配置认证方法.
undoauthenticationonu命令用来恢复缺省情况.
【命令】(非FIPS模式)authenticationonu{local[none]|none|radius-schemeradius-scheme-name[local][none]}undoauthenticationonu(FIPS模式)authenticationonu{local|radius-schemeradius-scheme-name[local]}undoauthenticationonu【缺省情况】ONU用户采用当前ISP域的缺省认证方法.
【视图】ISP域视图1-17【缺省用户角色】network-adminmdc-admin【参数】local:本地认证.
none:不认证.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证.
【举例】#在ISP域test下,为ONU用户配置认证方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]authenticationonulocal#在ISP域test下,配置ONU用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法.
system-view[Sysname]domaintest[Sysname-isp-test]authenticationonuradius-schemerdlocal【相关命令】authenticationdefaultlocal-userradiusscheme1.
1.
16authenticationportalauthenticationportal命令用来为Portal用户配置认证方法.
undoauthenticationportal命令用来恢复缺省情况.
【命令】(非FIPS模式)authenticationportal{ldap-schemeldap-scheme-name[local][none]|local[none]|none|radius-schemeradius-scheme-name[local][none]}undoauthenticationportal(FIPS模式)authenticationportal{ldap-schemeldap-scheme-name[local]|local|radius-schemeradius-scheme-name[local]}undoauthenticationportal1-18【缺省情况】Portal用户采用当前ISP域的缺省认证方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】ldap-schemeldap-scheme-name:指定LDAP方案.
其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写.
local:本地认证.
none:不进行认证.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证.
【举例】#在ISP域test下,为Portal用户配置认证方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]authenticationportallocal#在ISP域test下,配置Portal用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法.
system-view[Sysname]domaintest[Sysname-isp-test]authenticationportalradius-schemerdlocal【相关命令】authenticationdefaultldapschemelocal-userradiusscheme1.
1.
17authenticationsuperauthenticationsuper命令用来配置用户角色切换认证方法.
undoauthenticationsuper命令用来恢复缺省情况.
1-19【命令】authenticationsuper{hwtacacs-schemehwtacacs-scheme-name|radius-schemeradius-scheme-name}*undoauthenticationsuper【缺省情况】用户角色切换认证采用当前ISP域的缺省认证方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限.
为了保证切换操作的安全性,需要在用户执行用户角色切换时进行身份认证.
设备支持本地和远程两种认证方式,关于用户角色切换的详细介绍请参见"基础配置指导"中的"RBAC".
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证.
【举例】#在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证.
system-view[Sysname]superauthentication-modescheme[Sysname]domaintest[Sysname-isp-test]authenticationsuperhwtacacs-schemetac【相关命令】authenticationdefaulthwtacacsschemeradiusscheme1.
1.
18authorizationcommandauthorizationcommand命令用来配置命令行授权方法.
undoauthorizationcommand命令用来恢复缺省情况.
【命令】(非FIPS模式)1-20authorizationcommand{hwtacacs-schemehwtacacs-scheme-name[local][none]|local[none]|none}undoauthorizationcommand(FIPS模式)authorizationcommand{hwtacacs-schemehwtacacs-scheme-name[local]|local}undoauthorizationcommand【缺省情况】命令行授权采用当前ISP域的缺省授权方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地授权.
none:不授权.
用户执行角色所允许的命令时,无须接受授权服务器的检查.
【使用指导】命令行授权是指,用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行.
用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制,即,仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行,才能被执行.
需要注意的是,命令行授权功能只利用角色中的权限规则对命令行执行权限检查,不进行其它方面的权限检查,例如资源控制策略等.
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行.
可以指定多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权.
例如,hwtacacs-schemehwtacacs-scheme-namelocalnone表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权.
【举例】#在ISP域test下,配置命令行授权方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]authorizationcommandlocal#在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法.
system-view[Sysname]domaintest1-21[Sysname-isp-test]authorizationcommandhwtacacs-schemehwtaclocal【相关命令】commandauthorization(基础配置命令参考/登录设备)hwtacacsschemelocal-user1.
1.
19authorizationdefaultauthorizationdefault命令用来为当前ISP域配置缺省的授权方法.
undoauthorizationdefault命令用来恢复缺省情况.
【命令】(非FIPS模式)authorizationdefault{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|local[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoauthorizationdefault(FIPS模式)authorizationdefault{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local]|local|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local]}undoauthorizationdefault【缺省情况】当前ISP域的缺省授权方法为local.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地授权.
none:不授权.
接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权.
此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络.
关于用户角色色level-0的详细介绍请参见"基础配置指导"中的"RBAC".
1-22radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效.
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效.
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权.
【举例】#在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法.
system-view[Sysname]domaintest[Sysname-isp-test]authorizationdefaultradius-schemerdlocal【相关命令】hwtacacsschemelocal-userradiusscheme1.
1.
20authorizationlan-accessauthorizationlan-access命令用来为lan-access用户配置授权方法.
undoauthorizationlan-access命令用来恢复缺省情况.
【命令】(非FIPS模式)authorizationlan-access{local[none]|none|radius-schemeradius-scheme-name[local][none]}undoauthorizationlan-access(FIPS模式)authorizationlan-access{local|radius-schemeradius-scheme-name[local]}undoauthorizationlan-access【缺省情况】lan-access用户采用当前ISP域的缺省授权方法.
【视图】ISP域视图1-23【缺省用户角色】network-adminmdc-admin【参数】local:本地授权.
none:不授权.
接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的lan-access用户可直接访问网络.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效.
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权.
【举例】#在ISP域test下,为lan-access用户配置授权方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]authorizationlan-accesslocal#在ISP域test下,配置lan-access用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法.
system-view[Sysname]domaintest[Sysname-isp-test]authorizationlan-accessradius-schemerdlocal【相关命令】authorizationdefaultlocal-userradiusscheme1.
1.
21authorizationloginauthorizationlogin命令用来为login用户配置授权方法.
undoauthorizationlogin命令用来恢复缺省情况.
【命令】(非FIPS模式)authorizationlogin{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|local[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}1-24undoauthorizationlogin(FIPS模式)authorizationlogin{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local]|local|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local]}undoauthorizationlogin【缺省情况】login用户采用当前ISP域的缺省授权方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地授权.
none:不授权.
接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权.
此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限.
关于用户角色level-0的详细介绍请参见"基础配置指导"中的"RBAC".
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效.
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权.
【举例】#在ISP域test下,为login用户配置授权方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]authorizationloginlocal#在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法.
system-view[Sysname]domaintest[Sysname-isp-test]authorizationloginradius-schemerdlocal1-25【相关命令】authorizationdefaulthwtacacsschemelocal-userradiusscheme1.
1.
22authorizationportalauthorizationportal命令用来为Portal用户配置授权方法.
undoauthorizationportal命令用来恢复缺省情况.
【命令】(非FIPS模式)authorizationportal{local[none]|none|radius-schemeradius-scheme-name[local][none]}undoauthorizationportal(FIPS模式)authorizationportal{local|radius-schemeradius-scheme-name[local]}undoauthorizationportal【缺省情况】Portal用户采用当前ISP域的缺省授权方法.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】local:本地授权.
none:不授权.
接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的Portal用户可直接访问网络.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效.
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权.
1-26【举例】#在ISP域test下,为Portal用户配置授权方法为local.
system-view[Sysname]domaintest[Sysname-isp-test]authorizationportallocal#在ISP域test下,配置Portal用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法.
system-view[Sysname]domaintest[Sysname-isp-test]authorizationportalradius-schemerdlocal【相关命令】authorizationdefaultlocal-userradiusscheme1.
1.
23authorization-attribute(ISPdomainview)authorization-attribute命令用来设置当前ISP域下的用户授权属性.
undoauthorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限.
【命令】authorization-attribute{aclacl-number|carinboundcircommitted-information-rate[pirpeak-information-rate]outboundcircommitted-information-rate[pirpeak-information-rate]|idle-cutminutes[flow][traffic{both|inbound|outbound}]|igmpmax-access-numbermax-access-number|ip-poolipv4-pool-name|ipv6-poolipv6-pool-name|mldmax-access-numbermax-access-number|urlurl-string|user-groupuser-group-name}undoauthorization-attribute{acl|car|idle-cut|igmp|ip-pool|ipv6-pool|mld|url|user-group}【缺省情况】当前ISP域下的用户闲置切换功能处于关闭状态,IPv4用户可以同时点播的最大节目数为4,IPv6用户可以同时点播的最大节目数为4,无其它授权属性.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin1-27【参数】aclacl-number:指定用于匹配用户流量的ACL.
其中acl-number表示ACL编号,取值范围2000~5999.
此属性只对Portal、lan-access用户生效.
与授权ACL规则匹配的流量,将按照规则中指定的permit或deny动作进行处理.
car:指定授权用户的流量监管动作.
Portal用户在认证前,若被授权认证域,则其流量将受到指定的流量监管动作控制.
此属性只对Portal用户生效.
inbound:表示用户的上传速率.
outbound:表示用户的下载速率.
circommitted-information-rate:承诺信息速率,取值范围为1~4194303,单位为kbps.
pirpeak-information-rate:峰值信息速率,取值范围为1~4194303,单位为kbps,且不能小于承诺信息速率.
若不指定该参数,则表示不对峰值信息速率进行限制.
idle-cutminutes:指定用户的闲置切断时间.
其中,minutes的取值范围为1~600,单位为分钟.
此属性只对Portal用户生效.
flow:用户在闲置切断时间内产生的数据流量,取值范围1~10240000,单位为字节,缺省值为10240.
traffic:指定闲置切断时间内用户数据流量的统计方向.
若不指定该参数,则表示统计用户双向数据流量.
both:表示用户双向数据流量.
inbound:表示用户上行数据流量.
outbound:表示用户下行数据流量.
igmpmax-access-numbermax-access-number:指定IPv4用户可以同时点播的最大节目数.
其中,max-access-number的取值范围为1~64.
此属性只对Portal用户生效.
ip-poolipv4-pool-name:指定为用户分配IPv4地址的地址池.
其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写.
此属性只对Portal用户生效.
ipv6-poolipv6-pool-name:指定为用户分配IPv6地址的地址池.
其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写.
此属性只对Portal用户生效.
mldmax-access-numbermax-access-number:指定IPv6用户可以同时点播的最大节目数.
其中,max-access-number的取值范围为1~64.
此属性只对Portal用户生效.
urlurl-string:指定用户的重定向URL,为1~255个字符的字符串,区分大小写.
用户认证成功后,首次访问网络时将被推送此URL提供的Web页面.
此属性只对lan-access用户生效.
user-groupuser-group-name:表示用户所属用户组.
其中,user-group-name表示用户组名,为1~32个字符的字符串,不区分大小写.
用户认证成功后,将继承该用户组中的所有属性.
【使用指导】用户上线后,设备会周期性检测用户的流量,若域内某用户在指定的闲置检测时间内产生的流量小于本命令中指定的数据流量,则会被强制下线.
需要注意的是,服务器上也可以配置最大空闲时间实现对用户的闲置切断功能,具体为当用户在指定的闲置检测时间内产生的流量小于10240个字节(服务器上该阈值为固定值,不可配置)时,会被强制下线.
但是,只有在设备上的闲置切断功能处于关闭状态时,服务器才会根据自身的配置来控制用户的闲置切断.
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权.
1-28需要注意的是,可通过多次执行本命令配置多个授权属性,但对于相同授权属性,最后一次执行的命令生效.
授权给Portal用户的ACL中不能配置携带用户源IP地址和源MAC地址信息的规则,否则会导致用户上线失败.
【举例】#设置ISP域test的用户授权组为abc.
system-view[Sysname]domaintest[Sysname-isp-test]authorization-attributeuser-groupabc【相关命令】displaydomain1.
1.
24displaydomaindisplaydomain命令用来显示所有或指定ISP域的配置信息.
【命令】displaydomain[isp-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】isp-name:ISP域名,为1~255个字符的字符串,不区分大小写.
如果不指定该参数,则表示所有ISP域.
【举例】#显示系统中所有ISP域的配置信息.
displaydomainTotal2domainsDomain:systemState:ActiveDefaultauthenticationscheme:LocalDefaultauthorizationscheme:LocalDefaultaccountingscheme:LocalAccountingstartfailureaction:OnlineAccountingupdatefailureaction:OnlineAccountingquotaoutpolicy:OfflineServicetype:HSI1-29Sessiontime:ExcludeidletimeDual-stackaccountingmethod:MergeAuthorizationattributes:Idlecut:DisabledIGMPaccesslimit:4MLDaccesslimit:4Domain:dmState:ActiveLoginauthenticationscheme:RADIUS=radLoginauthorizationscheme:HWTACACS=hwSuperauthenticationscheme:RADIUS=radCommandauthorizationscheme:HWTACACS=hwLANaccessauthenticationscheme:RADIUS=r4Portalauthenticationscheme:LDAP=ldpDefaultauthenticationscheme:RADIUS=rad,Local,NoneDefaultauthorizationscheme:LocalDefaultaccountingscheme:NoneAccountingstartfailureaction:OnlineAccountingupdatefailureaction:OnlineAccountingquotaoutpolicy:OfflineServicetype:HSISessiontime:IncludeidletimeDual-stackaccountingmethod:MergeAuthorizationattributes:Idlecut:EnabledIdletimeout:2minutesFlow:10240bytesTrafficdirection:BothIPpool:appyInboundCAR:CIR64000bpsPIR640000bpsOutboundCAR:CIR64000bpsPIR640000bpsACLnumber:3000Usergroup:uggIPv6pool:ipv6poolURL:http://testIGMPaccesslimit:4MLDaccesslimit:4Defaultdomainname:system表1-1displaydomain命令显示信息描述表字段描述Total2domains总计2个ISP域DomainISP域名StateISP域的状态1-30字段描述Defaultauthenticationscheme缺省的认证方案Defaultauthorizationscheme缺省的授权方案Defaultaccountingscheme缺省的计费方案LoginauthenticationschemeLogin用户认证方案LoginauthorizationschemeLogin用户授权方案LoginaccountingschemeLogin用户计费方案Superauthenticationscheme用户角色切换认证方案Commandauthorizationscheme命令行授权方案Commandaccountingscheme命令行计费方案LANaccessauthenticationschemelan-access用户认证方案LANaccessauthorizationschemelan-access用户授权方案LANaccessaccountingschemelan-access用户计费方案PortalauthenticationschemePortal用户认证方案PortalauthorizationschemePortal用户授权方案PortalaccountingschemePortal用户计费方案ONUauthenticationschemeONU用户认证方案RADIUSRADIUS方案HWTACACSHWTACACS方案LDAPLDAP方案Local本地方案None不认证、不授权和不计费Accountingstartfailureaction用户计费开始失败的动作,包括以下取值:Online:如果用户计费开始失败,则保持用户在线Offline:如果用户计费开始失败,则强制用户下线Accountingupdatefailuremax-times允许用户连续计费更新失败的次数Accountingupdatefailureaction用户计费更新失败的动作,包括以下取值:Online:如果用户计费更新失败,则保持用户在线Offline:如果用户计费更新失败,则强制用户下线Accountingquotaoutpolicy用户计费配额耗尽策略,包括以下取值:Online:如果用户计费配额耗尽,则保持用户在线Offline:如果用户计费配额耗尽,则强制用户下线ServicetypeISP域的业务类型,取值为HSI,STB和VoIP1-31字段描述Sessiontime当用户异常下线时,设备上传到服务器的用户在线时间情况:Includeidletime:保留用户闲置切断时间Excludeidletime:扣除用户闲置切断时间Useraddresstype用户地址类型Dual-stackaccountingmethod双协议栈用户的计费方式,包括以下取值:Merge:统一计费,即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器Separate:分别计费,即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器AuthorizationattributesISP的用户授权属性Idlecut用户闲置切断功能,包括以下取值:Enabled:处于开启状态,表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时,会被强制下线Disabled:处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态Idletimeout用户闲置切断时间(单位为分钟)Flow用户数据流量阈值(单位为字节)Trafficdirection用户数据流量的统计方向,包括以下取值:Both:表示用户双向数据流量Inbound:表示用户上行数据流量Outbound:表示用户下行数据流量IPpool授权IPv4地址池的名称InboundCAR授权的入方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps).
若未授权入方向CAR,则显示为N/AOutboundCAR授权的出方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps).
若未授权出方向CAR,则显示为N/AACLnumber授权ACL编号Usergroup授权Usergroup的名称IPv6pool授权IPv6地址池的名称URL授权重定向URLIGMPaccesslimit授权IPv4用户可以同时点播的最大节目数MLDaccesslimit授权IPv6用户可以同时点播的最大节目数Defaultdomainname缺省ISP域名1-321.
1.
25domaindomain命令用来创建ISP域,并进入ISP域视图.
如果指定的ISP域已经存在,则直接进入ISP域视图.
undodomain命令用来删除指定的ISP域.
【命令】domainisp-nameundodomainisp-name【缺省情况】存在一个ISP域,名称为system.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括"/"、"\"、"|"、"""、":"、"*"、""、""以及"@"字符,且不能为字符串"d"、"de"、"def"、"defa"、"defau"、"defaul"、"default"、"i"、"if"、"if-"、"if-u"、"if-un"、"if-unk"、"if-unkn"、"if-unkno"、"if-unknow"和"if-unknown".
【使用指导】所有的ISP域在创建后即处于active状态.
不能删除系统中预定义的ISP域system,只能修改该域的配置.
不能删除作为系统缺省ISP域的ISP域.
如需删除一个系统缺省ISP域,请先使用undodomaindefaultenable命令将其恢复为非缺省的ISP域.
建议设备上配置的ISP域名尽量短,避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度.
【举例】#创建一个名称为test的ISP域,并进入其视图.
system-view[Sysname]domaintest[Sysname-isp-test]【相关命令】displaydomaindomaindefaultenabledomainif-unknownstate(ISPdomainview)1-331.
1.
26domaindefaultenabledomaindefaultenable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域.
undodomaindefaultenable命令用来恢复缺省情况.
【命令】domaindefaultenableisp-nameundodomaindefaultenable【缺省情况】存在一个系统缺省的ISP域,名称为system.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,且必须已经存在.
【使用指导】系统中只能存在一个缺省的ISP域.
配置为缺省的ISP域不能被删除.
如需删除一个系统缺省ISP域,请先使用undodomaindefaultenable命令将其恢复为非缺省的ISP域.
【举例】#创建一个新的ISP域test,并设置为系统缺省的ISP域.
system-view[Sysname]domaintest[Sysname-isp-test]quit[Sysname]domaindefaultenabletest【相关命令】displaydomaindomain1.
1.
27domainif-unknowndomainif-unknown命令用来为未知域名的用户指定ISP域.
undodomainif-unknown命令用来恢复缺省情况.
【命令】domainif-unknownisp-nameundodomainif-unknown1-34【缺省情况】没有为未知域名的用户指定ISP域.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】isp-name:ISP域名.
为1~255个字符的字符串,不区分大小写,不能包括"/"、"\"、"|"、"""、":"、"*"、""、""以及"@"字符,且不能为字符串"d"、"de"、"def"、"defa"、"defau"、"defaul"、"default"、"i"、"if"、"if-"、"if-u"、"if-un"、"if-unk"、"if-unkn"、"if-unkno"、"if-unknow"和"if-unknown".
【使用指导】设备将按照如下先后顺序选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域.
其中,仅部分接入模块支持指定认证域.
如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证.
【举例】#为未知域名的用户指定ISP域为test.
system-view[Sysname]domainif-unknowntest【相关命令】displaydomain1.
1.
28nas-idbindvlannas-idbindvlan命令用来设置NAS-ID与VLAN的绑定关系.
undonas-idbindvlan命令用来删除指定的NAS-ID和VLAN的绑定关系.
【命令】nas-idnas-identifierbindvlanvlan-idundonas-idnas-identifierbindvlanvlan-id【缺省情况】不存在NAS-ID与VLAN的绑定关系.
【视图】NAS-IDProfile视图【缺省用户角色】network-adminmdc-admin1-35【参数】nas-identifier:NAS-ID名称,为1~31个字符的字符串,区分大小写.
vlan-id:与NAS-ID绑定的VLANID,取值范围为1~4094.
【使用指导】一个NAS-IDProfile视图下,可以指定多个NAS-ID与VLAN的绑定关系.
一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定.
若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效.
【举例】#在名称为aaa的NAS-IDProfile视图下,配置NAS-ID222与VLAN2的绑定关系.
system-view[Sysname]aaanas-idprofileaaa[Sysname-nas-id-prof-aaa]nas-id222bindvlan2【相关命令】aaanas-idprofile1.
1.
29service-type(ISPdomainview)service-type命令用来设置当前ISP域的业务类型.
undoservice-type命令用来恢复缺省情况.
【命令】service-type{hsi|stb|voip}undoservice-type【缺省情况】当前ISP域的业务类型为hsi.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】hsi:表示HSI(HighSpeedInternet,高速上网)业务,主要指使用802.
1X方式接入网络的用户业务.
stb:表示STB(SetTopBox,机顶盒)业务,专指使用数字机顶盒接入网络的用户业务.
voip:表示(VoiceoverIP,IP电话)业务,指使用IP电话的用户业务.
【使用指导】本命令用来配置当前认证域的用户使用的业务类型,用来决定接入模块是否开启组播功能.
用户使用HSI业务类型的ISP域接入时,接入模块不会开启组播功能,可节省系统资源.
1-36用户使用STB业务类型的ISP域接入时,接入模块会开启组播功能,可提高系统处理组播业务的性能.
用户使用VoIP业务类型的ISP域接入时,QoS功能会开启保证用户语音数据的低延迟传送.
对于802.
1X用户,ISP域中配置的业务类型无效,系统强制使用HSI业务类型.
一个ISP域中,仅能配置一种类型的业务类型.
【举例】#设置域test下用户业务类型为STB终端业务.
system-view[Sysname]domaintest[Sysname-isp-test]service-typestb1.
1.
30session-timeinclude-idle-timesession-timeinclude-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间.
undosession-timeinclude-idle-time命令用来恢复缺省情况.
【命令】session-timeinclude-idle-timeundosession-timeinclude-idle-time【缺省情况】设备上传到服务器的用户在线时间中扣除闲置切断时间.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【使用指导】请根据实际的计费策略决定是否在用户在线时间中保留闲置切断时间.
该闲置切断时间在用户认证成功后由AAA授权,对于Portal认证用户,若接入接口上开启了Portal用户在线探测功能,则Portal在线探测闲置时长为闲置切断时间.
当用户正常下线时,设备上传到服务器上的用户在线时间为实际在线时间;当用户异常下线时,上传到服务器的用户在线时间具体如下:若配置为保留闲置切断时间,则上传到服务器上的用户在线时间中包含了一定的闲置切断时间.
此时,服务器上记录的用户时长将大于用户实际在线时长.
若配置为扣除闲置切断时间,则上传到服务器上的用户在线时间为,闲置切断检测机制计算出的用户已在线时长扣除掉一个闲置切断时间.
此时,服务器上记录的用户时长将小于用户实际在线时长.
【举例】#在ISP域test下,配置设备上传到服务器的用户在线时间中保留闲置切断时间.
1-37system-view[Sysname]domaintest[Sysname-isp-test]session-timeinclude-idle-time【相关命令】displaydomain1.
1.
31state(ISPdomainview)state命令用来设置当前ISP域的状态.
undostate命令用来恢复缺省情况.
【命令】state{active|block}undostate【缺省情况】当前ISP域处于活动状态.
【视图】ISP域视图【缺省用户角色】network-adminmdc-admin【参数】active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务.
block:指定当前ISP域处于阻塞状态,即系统不允许该域下的用户请求网络服务.
【使用指导】当某个ISP域处于阻塞状态时,将不允许该域下的用户请求网络服务,但不影响已经在线的用户.
【举例】#设置当前ISP域test处于阻塞状态.
system-view[Sysname]domaintest[Sysname-isp-test]stateblock【相关命令】displaydomain1.
2本地用户配置命令1.
2.
1access-limitaccess-limit命令用来设置使用当前本地用户名接入设备的最大用户数.
undoaccess-limit命令用来恢复缺省情况.
1-38【命令】access-limitmax-user-numberundoaccess-limit【缺省情况】不限制使用当前本地用户名接入的用户数.
【视图】本地用户视图【缺省用户角色】network-adminmdc-admin【参数】max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024.
【使用指导】本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效.
对于网络接入类本地用户,还需要在用户接入的ISP域视图下配置accountingstart-failoffline命令,否则使用当前用户名接入的用户数并不受access-limit命令的限制.
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制.
【举例】#允许同时以本地用户名abc在线的用户数为5.
system-view[Sysname]local-userabc[Sysname-luser-manage-abc]access-limit5【相关命令】accountingstart-failofflinedisplaylocal-user1.
2.
2authorization-attribute(Localuserview/usergroupview)authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户.
undoauthorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限.
【命令】authorization-attribute{aclacl-number|idle-cutminutes|ip-poolipv4-pool-name|ipv6-poolipv6-pool-name|session-timeoutminutes|user-rolerole-name|vlanvlan-id|work-directorydirectory-name}*undoauthorization-attribute{acl|idle-cut|ip-pool|ipv6-pool|session-timeout|user-rolerole-name|vlan|work-directory}*1-39【缺省情况】授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限.
在缺省MDC中由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator;在非缺省MDC中由用户角色为mdc-admin或者level-15的用户创建的本地用户被授权用户角色mdc-operator.
【视图】本地用户视图用户组视图【缺省用户角色】network-adminmdc-admin【参数】aclacl-number:指定本地用户的授权ACL.
其中,acl-number为授权ACL的编号,取值范围为2000~5999.
与授权ACL规则匹配的流量,将按照规则中指定的permit或deny动作进行处理.
idle-cutminutes:设置本地用户的闲置切断时间.
其中,minutes为设定的闲置切断时间,取值范围为1~120,单位为分钟.
如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线.
ip-poolipv4-pool-name:指定本地用户的IPv4地址池信息.
本地用户认证成功后,将允许使用该IPv4地址池分配地址.
其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写.
ipv6-poolipv6-pool-name:指定本地用户的IPv6地址池信息.
本地用户认证成功后,将允许使用该IPv6地址池分配地址.
其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写.
session-timeoutminutes:设置本地用户的会话超时时间.
其中,minutes为设定的会话超时时间,取值范围为1~1440,单位为分钟.
如果用户在线时长超过该值,设备会强制该用户下线.
user-rolerole-name:指定本地用户的授权用户角色.
其中,role-name表示用户角色名称,为1~63个字符的字符串,区分大小写.
可以为每个用户最多指定64个用户角色.
本地用户角色的相关命令请参见"基础配置命令参考"中的"RBAC".
该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置.
vlanvlan-id:指定本地用户的授权VLAN.
其中,vlan-id为VLAN编号,取值范围为1~4094.
本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源.
work-directorydirectory-name:授权FTP/SFTP/SCP用户可以访问的目录.
其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在.
【使用指导】可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:对于Portal用户,仅授权属性ip-pool、ipv6-pool、session-timeout、acl有效.
对于Lan-access用户,仅授权属性acl、session-timeout、vlan有效.
1-40对于Telnet、Terminal、SSH用户,仅授权属性idle-cut、user-role有效.
对于http、https用户,仅授权属性user-role有效.
对于FTP用户,仅授权属性user-role、work-directory有效.
对于其它类型的本地用户,所有授权属性均无效.
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理.
本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效.
授权给Portal用户的ACL中不能配置携带用户源IP地址和源MAC地址信息的规则,否则会导致用户上线失败.
为了避免设备进行主备倒换后FTP/SFTP/SCP用户无法正常登录,建议用户在指定工作目录时不要携带slot信息.
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undoauthorization-attributeuser-role命令删除该用户已有的缺省用户角色.
被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过displayrolenamesecurity-audit命令查看.
安全日志文件管理相关命令的介绍,请参见"网络管理与监控"中的"信息中心".
文件系统管理相关命令的介绍,请参见"基础配置命令参考"中的"文件系统管理".
为本地用户授权安全日志管理员角色时,需要注意的是:安全日志管理员角色和其它用户角色互斥:为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色.
系统中的最后一个安全日志管理员角色的本地用户不可被删除.
【举例】#配置网络接入类本地用户abc的授权VLAN为VLAN2.
system-view[Sysname]local-userabcclassnetwork[Sysname-luser-network-abc]authorization-attributevlan2#配置用户组abc的授权VLAN为VLAN3.
system-view[Sysname]user-groupabc[Sysname-ugroup-abc]authorization-attributevlan3#配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员).
system-view[Sysname]local-userxyzclassmanage[Sysname-luser-manage-xyz]authorization-attributeuser-rolesecurity-auditThisoperationwilldeleteallotherrolesoftheuser.
Areyousure[Y/N]:y【相关命令】displaylocal-user1-41displayuser-group1.
2.
3bind-attributebind-attribute命令用来设置用户的绑定属性.
undobind-attribute命令用来删除指定的用户绑定属性.
【命令】bind-attribute{ipip-address|locationinterfaceinterface-typeinterface-number|macmac-address|vlanvlan-id}*undobind-attribute{ip|location|mac|vlan}*【缺省情况】未设置用户的绑定属性.
【视图】本地用户视图【缺省用户角色】network-adminmdc-admin【参数】ipip-address:指定用户的IP地址.
该绑定属性仅适用于lan-access类型中的802.
1X用户.
locationinterfaceinterface-typeinterface-number:指定用户绑定的接口.
其中interface-typeinterface-number表示接口类型和接口编号.
如果用户接入的接口与此处绑定的接口不一致,则认证失败.
该绑定属性仅适用于设备管理、lan-access、Portal类型的用户.
macmac-address:指定用户的MAC地址.
其中,mac-address为H-H-H格式.
该绑定属性仅适用于lan-access、Portal类型的用户.
vlanvlan-id:指定用户所属于的VLAN.
其中,vlan-id为VLAN编号,取值范围为1~4094.
该绑定属性仅适用于lan-access、Portal类型的用户.
【使用指导】设备对用户进行本地认证时,会检查用户的实际属性与配置的绑定属性是否一致,如果不一致或用户未携带该绑定属性则认证失败.
绑定属性的检测不区分用户的接入服务类型,因此在配置绑定属性时要考虑某接入类型的用户是否需要绑定某些属性.
例如,只有支持IP地址上传功能的802.
1X认证用户才可以配置绑定IP地址;对于不支持IP地址上传功能的MAC地址认证用户,如果配置了绑定IP地址,则会导致该用户的本地认证失败.
在绑定接口属性时要考虑绑定接口类型是否合理.
对于不同接入类型的用户,请按照如下方式进行绑定接口属性的配置:802.
1X用户:配置绑定的接口为开启802.
1X的二层以太网接口、二层聚合接口.
MAC地址认证用户:配置绑定的接口为开启MAC地址认证的二层以太网接口、二层聚合接口.
Web认证用户:配置绑定的接口为开启Web认证的二层以太网接口.
1-42Portal用户:若使能Portal的接口为VLAN接口,且没有通过portalroamingenable命令配置Portal用户漫游功能,则配置绑定的接口为用户实际接入的二层以太网接口;其它情况下,配置绑定的接口均为使能Portal的接口.
【举例】#配置网络接入类本地用户abc的绑定MAC地址为11-11-11.
system-view[Sysname]local-userabcclassnetwork[Sysname-luser-network-abc]bind-attributemac11-11-11【相关命令】displaylocal-user1.
2.
4companycompany命令用来配置本地来宾用户所属公司.
undocompany命令用来恢复缺省情况.
【命令】companycompany-nameundocompany【缺省情况】未配置本地来宾用户所属公司.
【视图】本地来宾用户视图【缺省用户角色】network-adminmdc-admin【参数】company-name:本地来宾用户所属公司名称,为1~255个字符的字符串,区分大小写.
【举例】#配置本地来宾用户abc所属的公司名称为yyy.
system-view[Sysname]local-userabcclassnetworkguest[Sysname-luser-network(guest)-abc]companyyyy【相关命令】displaylocal-user1.
2.
5descriptiondescription命令用来配置网络接入类本地用户的描述信息.
undodescription命令用来恢复缺省情况.
1-43【命令】descriptiontextundodescription【缺省情况】未配置网络接入类本地用户的描述信息.
【视图】网络接入类本地用户视图【缺省用户角色】network-adminmdc-admin【参数】text:用户的描述信息,为1~255个字符的字符串,区分大小写.
【举例】#配置网络接入类本地用户123的描述信息为ManagerofMSCcompany.
system-view[Sysname]local-user123classnetwork[Sysname-luser-network-123]descriptionManagerofMSCcompany【相关命令】displaylocal-user1.
2.
6displaylocal-userdisplaylocal-user命令用来显示本地用户的配置信息和在线用户数的统计信息.
【命令】displaylocal-user[class{manage|network[guest]}|idle-cut{disable|enable}|service-type{ftp|http|https|lan-access|onu|portal|ssh|telnet|terminal}|state{active|block}|user-nameuser-nameclass{manage|network[guest]}|vlanvlan-id]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】class:显示指定用户类别的本地用户信息.
manage:设备管理类用户.
1-44network:网络接入类用户.
guest:来宾用户.
idle-cut{disable|enable}:显示开启或关闭闲置切断功能的本地用户信息.
其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户.
service-type:显示指定用户类型的本地用户信息.
ftp:FTP用户.
http:HTTP用户.
https:HTTPS用户.
lan-access:lan-access类型用户(主要指以太网接入用户,比如802.
1X用户).
onu:ONU用户.
portal:Portal用户.
ssh:SSH用户.
telnet:Telnet用户.
terminal:从Console口登录的终端用户.
state{active|block}:显示处于指定状态的本地用户信息.
其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统不允许用户请求网络服务.
user-nameuser-name:显示指定用户名的本地用户信息.
其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名,不能包括符号"\"、"|"、"/"、":"、"*"、""、""和"@",且不能为"a"、"al"或"all".
vlanvlan-id:显示指定VLAN内的所有本地用户信息.
其中,vlan-id为VLAN编号,取值范围为1~4094.
【使用指导】如果不指定任何参数,则显示所有本地用户信息.
【举例】#显示所有本地用户的相关信息.
displaylocal-userDevicemanagementuserroot:State:ActiveServicetype:SSH/Telnet/TerminalAccesslimit:EnabledMaxaccessnumber:3Currentaccessnumber:1Usergroup:systemBindattributes:Authorizationattributes:Workdirectory:flash:Userrolelist:network-adminPasswordcontrolconfigurations:Passwordaging:3daysPasswordhistorywaslastreset:0daysago1-45Networkaccessuserjj:State:ActiveServicetype:LAN-accessUsergroup:systemBindattributes:IPaddress:2.
2.
2.
2Locationbound:Ten-GigabitEthernet1/0/1MACaddress:0001-0001-0001VLANID:2Authorizationattributes:Idletimeout:33minutesWorkdirectory:flash:ACLnumber:2000Userrolelist:network-operator,level-0,level-3Description:AnetworkaccessuserfromcompanyccValidityperiod:Startdateandtime:2016/01/01-00:01:01Expirationdateandtime:2017/01/01-01:01:01Passwordcontrolconfigurations:Passwordlength:4charactersNetworkaccessguestuser1:State:ActiveServicetype:LAN-access/PortalUsergroup:guest1Fullname:JackCompany:ccEmail:Jack@cc.
comPhone:131129237Sponsorfullname:SamSponsordepartment:securitySponsoremail:Sam@aa.
comDescription:AguestfromcompanyccValidityperiod:Startdateandtime:2016/04/01-08:00:00Expirationdateandtime:2017/04/03-18:00:00Total3localusersmatched.
表1-2displaylocal-user命令显示信息描述表字段描述State本地用户状态Active:活动状态Block:阻塞状态Servicetype本地用户使用的服务类型Accesslimit是否对使用该用户名的接入用户数进行限制1-46字段描述Maxaccessnumber最大接入用户数Currentaccessnumber使用该用户名的当前接入用户数Usergroup本地用户所属的用户组Bindattributes本地用户的绑定属性IPaddress本地用户的IP地址Locationbound本地用户绑定的端口MACaddress本地用户的MAC地址VLANID本地用户绑定的VLANAuthorizationattributes本地用户的授权属性Idletimeout本地用户闲置切断时间(单位为分钟)Session-timeout本地用户的会话超时时间(单位为分钟)WorkdirectoryFTP/SFTP/SCP用户可以访问的目录ACLnumber本地用户授权ACLVLANID本地用户授权VLANUserrolelist本地用户的授权用户角色列表IPpool本地用户的授权IPv4地址池IPv6pool本地用户的授权IPv6地址池Passwordcontrolconfigurations本地用户的密码控制属性Passwordaging密码老化时间Passwordlength密码最小长度Passwordcomposition密码组合策略(密码元素的组合类型、至少要包含每种元素的个数)Passwordcomplexity密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符)Maximumloginattempts用户最大登录尝试次数Actionforexceedingloginattempts登录尝试次数达到设定次数后的用户账户锁定行为Passwordhistorywaslastreset上一次清除密码历史记录的时间Fullname本地来宾用户的姓名Company本地来宾用户的公司Email本地来宾用户的Email地址Phone本地来宾用户的电话号码Sponsorfullname本地来宾用户接待人的姓名Sponsordepartment本地来宾用户接待人所属部门1-47字段描述Sponsoremail本地来宾用户接待人的Email地址Description网络接入类本地用户的描述信息Validityperiod网络接入类本地用户有效期Startdateandtime网络接入类本地用户开始生效的日期和时间Expirationdateandtime网络接入类本地用户的失效日期和时间Totalxlocalusersmatched.
总计有x个本地用户匹配1.
2.
7displayuser-groupdisplayuser-group命令用来显示用户组的配置信息.
【命令】displayuser-group{all|namegroup-name}【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】all:显示所有用户组的配置信息.
namegroup-name:显示指定用户组的配置.
group-name表示用户组名称,为1~32个字符的字符串,不区分大小写.
【举例】#显示所有用户组的相关配置.
displayuser-groupallTotal2usergroupsmatched.
Usergroup:systemAuthorizationattributes:Workdirectory:flash:Usergroup:jjAuthorizationattributes:Idletimeout:2minutesWorkdirectory:flash:/ACLnumber:2000VLANID:2Passwordcontrolconfigurations:1-48Passwordaging:2days表1-3displayuser-group命令显示信息描述表字段描述Total2usergroupsmatched.
总计有2个用户组匹配Usergroup用户组名称Authorizationattributes授权属性信息Idletimeout闲置切断时间(单位:分钟)Session-timeout会话超时时间(单位:分钟)WorkdirectoryFTP/SFTP/SCP用户可以访问的目录ACLnumber授权ACL号VLANID授权VLANIDIPpool授权IPv4地址池IPv6pool授权IPv6地址池Passwordcontrolconfigurations用户组的密码控制属性Passwordaging密码老化时间Passwordlength密码最小长度Passwordcomposition密码组合策略(密码元素的组合类型、至少要包含每种元素的个数)Passwordcomplexity密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符)Maximumloginattempts用户最大登录尝试次数Actionforexceedingloginattempts登录尝试次数达到设定次数后的用户账户锁定行为1.
2.
8emailemail命令用来配置本地来宾用户的Email地址.
undoemail命令用来恢复缺省情况.
【命令】emailemail-stringundoemail【缺省情况】未配置本地来宾用户的Email地址.
【视图】本地来宾用户视图1-49【缺省用户角色】network-adminmdc-admin【参数】email-string:本地来宾用户的Email地址,为按照RFC822定义的1~255个字符的字符串,区分大小写,例如sec@abc.
com.
【使用指导】设备可以通过本命令配置的Email地址给来宾用户发送通知邮件.
【举例】#配置本地来宾用户abc的Email地址为abc@yyy.
com.
system-view[Sysname]local-userabcclassnetworkguest[Sysname-luser-network(guest)-abc]emailabc@yyy.
com【相关命令】displaylocal-user1.
2.
9full-namefull-name命令用来配置本地来宾用户的姓名.
undofull-name命令用来恢复缺省情况.
【命令】full-namename-stringundofull-name【缺省情况】未配置本地来宾用户的姓名.
【视图】本地来宾用户视图【缺省用户角色】network-adminmdc-admin【参数】name-string:本地来宾用户的姓名,为1~255个字符的字符串,区分大小写.
【举例】#配置本地来宾用户abc的姓名为abcSnow.
system-view[Sysname]local-userabcclassnetworkguest[Sysname-luser-network(guest)-abc]full-nameabcSnow1-50【相关命令】displaylocal-user1.
2.
10groupgroup命令用来设置本地用户所属的用户组.
undogroup命令用来恢复缺省配置.
【命令】groupgroup-nameundogroup【缺省情况】本地用户属于用户组system.
【视图】本地用户视图【缺省用户角色】network-adminmdc-admin【参数】group-name:用户组名称,为1~32个字符的字符串,不区分大小写.
【举例】#设置设备管理类本地用户111所属的用户组为abc.
system-view[Sysname]local-user111classmanage[Sysname-luser-manage-111]groupabc【相关命令】displaylocal-user1.
2.
11local-guestemailformatlocal-guestemailformat命令用来配置本地来宾用户通知邮件的主题和内容.
undolocal-guestemailformat命令用来删除指定的本地来宾用户通知邮件的主题和内容.
【命令】local-guestemailformatto{guest|sponsor}{bodybody-string|subjectsub-string}undolocal-guestemailformatto{guest|sponsor}{body|subject}【缺省情况】未配置本地来宾用户通知邮件的主题和内容.
1-51【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】to:指定邮件的收件人.
guest:表示来宾用户.
sponsor:表示来宾接待人.
bodybody-string:邮件的内容.
其中,body-string为1~255个字符的字符串,区分大小写.
subjectsub-string:邮件的主题.
其中,sub-string为1~127个字符的字符串,区分大小写.
【使用指导】在本地来宾用户创建过程中,设备需要向不同角色的用户发送通知邮件,邮件的主题和内容通过本命令设置.
可对不同的收件人指定不同的邮件主题和内容.
同一类收件人的邮件格式只能存在一种配置,新配置将覆盖已有配置.
必须同时配置收件人的邮件主题和内容,否则设备不会给该收件人发送邮件.
【举例】#配置本地来宾用户通知邮件的主题和内容.
system-view[Sysname]local-guestemailformattoguestsubjectGuestaccountinformation[Sysname]local-guestemailformattoguestbodyAguestaccounthasbeencreatedforyou.
Theusername,password,andvalidityperiodoftheaccountaregivenbelow.
【相关命令】local-guestemailsenderlocal-guestemailsmtp-serverlocal-guestsend-email1.
2.
12local-guestemailsenderlocal-guestemailsender命令用来配置本地来宾用户通知邮件的发件人地址.
undolocal-guestemailsender命令用来恢复缺省情况.
【命令】local-guestemailsenderemail-addressundolocal-guestemailsender【缺省情况】未配置本地来宾用户通知邮件的发件人地址.
1-52【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】email-address:邮件发件人地址,为1~255个字符的字符串,区分大小写.
【使用指导】未配置发件人地址的情况下,设备无法向任何收件人发送关于本地来宾用户的通知邮件.
只能存在一个本地来宾用户的发件人地址.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置本地来宾用户通知邮件的发件人地址为abc@yyy.
com.
system-view[Sysname]local-guestemailsenderabc@yyy.
com【相关命令】local-guestemailformatlocal-guestemailsmtp-serverlocal-guestsend-email1.
2.
13local-guestemailsmtp-serverlocal-guestemailsmtp-server命令用来配置为本地来宾用户发送Email使用的SMTP服务器.
undolocal-guestsend-emailsmtp-server命令用来恢复缺省情况.
【命令】local-guestemailsmtp-serverurl-stringundolocal-guestemailsmtp-server【缺省情况】未配置为本地来宾用户发送Email使用的SMTP服务器.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】url-string:STMP服务器的URL,为1~255个字符的字符串,区分大小写,符合标准SMTP协议规范,以smtp://开头.
1-53【使用指导】只能存在一个为本地来宾用户发送Email使用的SMTP服务器.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置为本地来宾用户发送Email使用的SMTP服务器URL为smtp://www.
test.
com/smtp.
system-view[Sysname]local-guestemailsmtp-serversmtp://www.
test.
com/smtp【相关命令】local-guestemailformatlocal-guestemailsenderlocal-guestsend-email1.
2.
14local-guestgeneratelocal-guestgenerate命令用来批量创建本地来宾用户.
【命令】local-guestgenerateusername-prefixname-prefix[password-prefixpassword-prefix]suffixsuffix-number[groupgroup-name]countuser-countvalidity-datetimestart-datestart-timetoexpiration-dateexpiration-time【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】username-prefixname-prefix:用户名前缀,name-prefix为1~45个字符的字符串,区分大小写,不能含有字符\或@.
password-prefixpassword-prefix:明文密码前缀,password-prefix为1~53个字符的字符串,区分大小写.
若不指定该参数,则由系统为用户逐一生成随机密码suffixsuffix-string:用户名和密码的递增编号后缀,suffix-string为1~10个数字的字符串.
groupgroup-name:用户所属用户组名,group-name为1~32个字符的字符串,区分大小写.
若不指定该参数,则表示用户属于system组.
countuser-count:批量创建用户的数量,user-count的取值范围为1~256.
validity-datetime:用户有效期.
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
1-54start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59.
如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒.
比如将start-time参数设置为0表示零点.
to:指定用户有效期的结束日期和结束时间.
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59.
如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒.
比如将expiration-time参数设置为0表示零点.
【使用指导】批量创建的本地来宾用户名由指定的用户名前缀和编号后缀组合而成,且每创建一个用户,用户名编号后缀递增1.
例如,当用户名前缀为abc,递增编号后缀为1,生成用户数量为3时,生成的用户名分别为abc1、abc2和abc3.
如果指定了密码前缀,则批量创建的本地来宾用户密码由密码前缀和编号后缀组合而成,且逐用户递增.
如果申请创建的本地来宾用户数量过多,导致资源不足时,部分本地来宾用户的批量创建将会失败.
如果批量创建的本地来宾用户与设备上已有的本地来宾用户重名,则批量创建的用户会覆盖已有的同名用户.
【举例】#批量创建20个本地来宾用户,用户名从abc01递增到abc20,属于用户组visit,有效期为2014/10/0100:00:00到2015/10/0212:00:00.
system-view[Sysname]local-guestgenerateusername-prefixabcsuffix01groupvisitcount20validity-datetime2014/10/0100:00:00to2015/10/0212:00:00【相关命令】local-userdisplaylocal-user1.
2.
15local-guestsend-emaillocal-guestsend-email命令用来配置向本地来宾用户邮箱和来宾接待人邮箱发送邮件.
【命令】local-guestsend-emailuser-nameuser-nameto{guest|sponsor}【视图】用户视图【缺省用户角色】network-adminmdc-admin1-55【参数】user-nameuser-name:本地来宾用户的用户名,为1~55个字符的字符串,区分大小写,不能携带ISP域名,不能包括符号"\"、"|"、"/"、":"、"*"、""、""和"@",且不能为"a"、"al"或"all".
to:指定邮件的收件人.
guest:本地来宾用户.
sponsor:来宾接待人.
【使用指导】当本地来宾用户创建之后,设备管理员可通过此命令将用户的密码及有效期信息发送到本地来宾用户或来宾接待人邮箱中.
【举例】#向本地来宾用户abc的邮箱发送有关该用户帐号信息的通知邮件.
local-guestsend-emailuser-nameabctoguest【相关命令】emailsponsor-email1.
2.
16local-userlocal-user命令用来添加本地用户,并进入本地用户视图.
如果指定的本地用户已经存在,则直接进入本地用户视图.
undolocal-user命令用来删除指定的本地用户.
【命令】local-useruser-name[class{manage|network[guest]}]undolocal-user{user-nameclass{manage|network[guest]}|all[service-type{ftp|http|https|lan-access|onu|portal|ssh|telnet|terminal}|class{manage|network[guest]}]}【缺省情况】不存在本地用户.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】user-name:表示本地用户名,为1~55个字符的字符串,区分大小写.
用户名不能携带域名,不能包括符号"\"、"|"、"/"、":"、"*"、""、""和"@",且不能为"a"、"al"或"all".
class:指定本地用户的类别.
若不指定本参数,则表示设备管理类用户.
1-56manage:设备管理类用户,用于登录设备,对设备进行配置和监控.
此类用户可以提供ftp、http、https、telnet、ssh、terminal服务.
network:网络接入类用户,用于通过设备接入网络,访问网络资源.
此类用户可以提供lan-access、portal、和onu服务.
guest:来宾用户,仅能在账户有效期内提供lan-access和portal服务.
all:所有的用户.
service-type:指定用户的类型.
ftp:表示FTP类型用户.
http:表示HTTP类型用户.
https:表示HTTPS类型用户.
lan-access:表示lan-access类型用户(主要指以太网接入用户,比如802.
1X用户).
onu:ONU用户.
portal:表示Portal用户.
ssh:表示SSH用户.
telnet:表示Telnet用户.
terminal:表示从Console口登录的终端用户.
【举例】#添加名称为user1的设备管理类本地用户.
system-view[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]#添加名称为user2的网络接入类本地用户.
system-view[Sysname]local-useruser2classnetwork[Sysname-luser-network-user2]#添加名称为user3的网络接入类本地来宾用户.
system-view[Sysname]local-useruser3classnetworkguest[Sysname-luser-network(guest)-user3]【相关命令】displaylocal-userservice-type(Localuserview)1.
2.
17local-userauto-deleteenablelocal-userauto-deleteenable命令用来开启本地用户过期自动删除功能.
undolocal-userauto-deleteenable命令用来恢复缺省情况.
【命令】local-userauto-deleteenableundolocal-userauto-deleteenable1-57【缺省情况】本地用户过期自动删除功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】本地用户过期自动删除功能处于开启状态时,设备将定时(10分钟,不可配)检查网络接入类本地用户是否过期并自动删除过期的本地用户.
【举例】#开启本地用户过期自动删除功能.
system-view[Sysname]local-userauto-deleteenable【相关命令】validity-datetime1.
2.
18local-user-exportlocal-user-export命令用来从设备导出本地来宾用户信息到指定路径的CSV文件.
【命令】local-user-exportclassnetworkguesturlurl-string【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】class:指定本地用户的类别.
network:网络接入类用户.
guest:本地来宾用户.
urlurl-string:保存本地用户信息文件的URL,为1~255个字符的字符串,不区分大小写.
【使用指导】导出的CSV文件可直接或在编辑之后通过local-user-import命令导入到本设备或其它支持该命令的设备上使用,但文件内容必须符合该命令的要求.
本命令支持TFTP和FTP两种文件上传方式,具体的URL格式要求如下:1-58TFTP协议URL格式:tftp://server/path/filename,server为TFTP服务器IP地址或主机名,例如tftp://1.
1.
1.
1/user/user.
csv.
FTP协议URL格式:携带用户名和密码的格式为ftp://username:password@server/path/filename.
其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,例如ftp://1:1@1.
1.
1.
1/user/user.
csv.
如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:1@1.
1.
1.
1/user/user.
csv将被当作ftp://1:1@1.
1.
1.
1/user/user.
csv处理.
不需要携带用户名和密码的格式为ftp://server/path/filename,例如ftp://1.
1.
1.
1/user/user.
csv.
【举例】#导出本地来宾用户信息到ftp://1.
1.
1.
1/user/路径的guest.
csv文件中.
system-view[Sysname]local-user-exportclassnetworkguesturlftp://1.
1.
1.
1/user/guest.
csv【相关命令】local-user-import1.
2.
19local-user-importlocal-user-import命令用来从指定路径的文件中导入用户信息并创建本地用户.
【命令】local-user-importclassnetworkguesturlurl-stringvalidity-datetimestart-datestart-timetoexpiration-dateexpiration-time[auto-create-group|override|start-lineline-number]*【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】class:指定本地用户的类别.
network:网络接入类用户.
guest:本地来宾用户.
urlurl-string:要导入用户信息文件的URL.
其中,url-string为1~255个字符的字符串,不区分大小写.
validity-datetime:指定用户的有效期.
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
1-59start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59.
如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒.
比如将start-time参数设置为0表示零点.
to:指定用户有效期的结束日期和结束时间.
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59.
如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒.
比如将expiration-time参数设置为0表示零点.
auto-create-group:表示当设备上不存在用户所属的用户组时,系统会自动创建用户组,并将用户加入该用户组.
若不指定该参数,则表示当设备上不存在用户所属的用户组时,系统不会创建对应的用户组,而是将该用户加入缺省用户组system.
override:表示当导入的用户名已经存在于设备上时,系统使用导入的用户信息覆盖掉已有的同名用户配置.
若不指定该参数,则表示不导入文件中的同名用户信息,即保留设备上已有的同名用户配置.
start-lineline-number:表示从文件的指定行开始导入用户信息.
其中,line-number为文件内容的行编号.
若不指定该参数,则表示导入文件中的所有用户信息.
【使用指导】用于导入的CSV文件中包含多个用户信息,每个用户的各项字段严格按照以下顺序出现:Username:用户名.
该字段必须存在.
Password:明文用户密码.
若该字段为空,则导入时系统会生成一个密文随机密码.
Usergroup:所属用户组,用于本地授权.
若该字段为空,则表示属于system组.
Guestfullname:来宾用户姓名.
Guestcompany:来宾用户公司.
Guestemail:来宾用户Email地址.
Guestphone:来宾用户电话号码.
Guestdescription:来宾用户描述信息.
Sponsorfullname:接待人姓名.
Sponsordepartment:接待人部门.
Sponsoremail:接待人Email地址.
1-60以上所有字段的取值必须满足设备上本地用户相应属性的取值要求,否则当前用户的导入操作将会失败,且导入操作中止.
之后,可以根据系统提示信息中的出错行编号选择下次从指定行开始导入剩余用户信息.
CSV文件中的不同用户信息之间用回车换行分隔,且每项信息之间以逗号分隔.
如果某项信息中包含逗号,则必须在该条信息两端加双引号.
例如:Jack,abc,visit,JackChen,ETP,jack@etp.
com,1399899,"ThemanagerofETP,comefromTP.
",SamWang,Ministryofpersonnel,Sam@yy.
com本命令支持TFTP和FTP两种文件下载方式,具体的文件URL格式要求如下:TFTP协议URL格式:tftp://server/path/filename,server为TFTP服务器IP地址或主机名,例如tftp://1.
1.
1.
1/user/user.
csv.
FTP协议URL格式:携带用户名和密码的格式为ftp://username:password@server/path/filename.
其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,例如ftp://1:1@1.
1.
1.
1/user/user.
csv.
如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:1@1.
1.
1.
1/user/user.
csv将被当作ftp://1:1@1.
1.
1.
1/user/user.
csv处理.
不需要携带用户名和密码的格式为ftp://path/filename,例如ftp://1.
1.
1.
1/user/user.
csv.
【举例】#从ftp://1.
1.
1.
1/user/guest.
csv路径中导入本地来宾用户信息,用户的有效期为2014/10/0100:00:00到2014/10/0212:00:00.
system-view[Sysname]local-user-importclassnetworkguesturlftp://1.
1.
1.
1/user/guest.
csvvalidity-datetime2014/10/0100:00:00to2014/10/0212:00:00【相关命令】local-user-exportdisplaylocal-user1.
2.
20password(Devicemanagementuserview)password命令用来设置本地用户的密码.
undopassword命令用来恢复缺省情况.
【命令】(非FIPS模式)password[{hash|simple}string]undopassword(FIPS模式)password【缺省情况】(非FIPS模式)1-61不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功.
(FIPS模式)不存在本地用户密码,但本地用户认证时不能成功.
【视图】设备管理类本地用户视图【缺省用户角色】network-adminmdc-admin【参数】hash:表示以哈希方式设置密码.
simple:表示以明文方式设置密码,该密码将以哈希方式存储.
string:密码字符串,区分大小写.
非FIPS模式下,明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串.
FIPS模式下,明文密码为15~63个字符的字符串,密码元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符).
【使用指导】如果不指定任何参数,则表示以交互式设置明文形式的密码.
在非FIPS模式下,可以不为本地用户设置密码.
若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功.
为提高用户账户的安全性,建议设置本地用户密码.
在FIPS模式下,必须且只能通过交互式方式设置明文密码,否则用户的本地认证不能成功.
在全局PasswordControl功能处于开启的情况下,需要注意的是:所有历史密码都以哈希方式存储.
当前登录用户以明文方式修改自己的密码时,需要首先提供现有的明文密码,然后保证输入的新密码与所有历史密码不同,且至少要与现有密码存在4个不同字符的差异.
当前登录用户以明文方式修改其它用户的密码时,需要保证新密码与所有历史密码不同.
当前登录用户删除自己的密码时,需要提供现有的明文密码.
其它情况下,均不需要提供现有明文密码,也不与历史密码进行比较.
【举例】#设置设备管理类本地用户user1的密码为明文123456TESTplat&!
.
system-view[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]passwordsimple123456TESTplat&!
#以交互式方式设置设备管理类本地用户test的密码.
system-view[Sysname]local-usertestclassmanage[Sysname-luser-manage-test]passwordPassword:confirm:1-62【相关命令】displaylocal-user1.
2.
21password(Networkaccessuserview)password命令用来设置本地用户的密码.
undopassword命令用来恢复缺省情况.
【命令】password{cipher|simple}stringundopassword【缺省情况】不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功.
【视图】网络接入类本地用户视图【缺省用户角色】network-adminmdc-admin【参数】cipher:表示以密文方式设置密码.
simple:表示以明文方式设置密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串.
【使用指导】为提高用户账户的安全性,建议设置本地用户密码.
【举例】#设置网络接入类本地用户user1的密码为明文123456TESTuser&!
.
system-view[Sysname]local-useruser1classnetwork[Sysname-luser-network-user1]passwordsimple123456TESTuser&!
【相关命令】displaylocal-user1.
2.
22phonephone命令用来配置本地来宾用户的电话号码.
undophone命令用来恢复缺省情况.
【命令】phonephone-number1-63undophone【缺省情况】未配置本地来宾用户电话号码.
【视图】本地来宾用户视图【缺省用户角色】network-adminmdc-admin【参数】phone-number:本地来宾用户的电话号码,为1~32个字符的字符串.
【举例】#配置本地来宾用户abc的电话号码为13813723920.
system-view[Sysname]local-userabcclassnetworkguest[Sysname-luser-network(guest)-abc]phone13813723920【相关命令】displaylocal-user1.
2.
23service-type(Localuserview)service-type命令用来设置用户可以使用的服务类型.
undoservice-type命令用来删除用户可以使用的服务类型.
【命令】(非FIPS模式)service-type{ftp|lan-access|{http|https|onu|ssh|telnet|terminal}*|portal}undoservice-type{ftp|lan-access|{http|https|onu|ssh|telnet|terminal}*|portal}(FIPS模式)service-type{lan-access|{https|onu|ssh|terminal}*|portal}undoservice-type{lan-access|{https|onu|ssh|terminal}*|portal}【缺省情况】系统不对用户授权任何服务,即用户不能使用任何服务.
【视图】本地用户视图【缺省用户角色】network-adminmdc-admin1-64【参数】ftp:指定用户可以使用FTP服务.
若授权FTP服务,授权目录可以通过authorization-attributework-directory命令来设置.
http:指定用户可以使用HTTP服务.
https:指定用户可以使用HTTPS服务.
lan-access:指定用户可以使用lan-access服务.
主要指以太网接入,比如用户可以通过802.
1X认证接入.
onu:指定用户可以使用ONU服务.
ssh:指定用户可以使用SSH服务.
telnet:指定用户可以使用Telnet服务.
terminal:指定用户可以使用terminal服务(即从Console口登录).
portal:指定用户可以使用Portal服务.
【使用指导】可以通过多次执行本命令,设置用户可以使用多种服务类型.
【举例】#指定设备管理类用户可以使用Telnet服务和FTP服务.
system-view[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]service-typetelnet[Sysname-luser-manage-user1]service-typeftp【相关命令】displaylocal-user1.
2.
24sponsor-departmentsponsor-department命令用来配置本地来宾用户接待人所属部门.
undosponsor-department命令用来恢复缺省情况.
【命令】sponsor-departmentdepartment-stringundosponsor-department【缺省情况】未配置本地来宾用户接待人所属部门.
【视图】本地来宾用户视图【缺省用户角色】network-adminmdc-admin1-65【参数】department-string:本地来宾用户接待人所属部门名称,为1~127个字符的字符串,区分大小写.
【举例】#配置本地来宾用户abc的接待人所属部门为test.
system-view[Sysname]local-userabcclassnetworkguest[Sysname-luser-network(guest)-abc]sponsor-departmenttest【相关命令】displaylocal-user1.
2.
25sponsor-emailsponsor-email命令用来配置本地来宾用户接待人的Email地址.
undosponsor-email命令用来恢复缺省情况.
【命令】sponsor-emailemail-stringundosponsor-email【缺省情况】未配置本地来宾用户接待人的Email地址.
【视图】本地来宾用户视图【缺省用户角色】network-adminmdc-admin【参数】email-string:本地来宾接待人的Email地址,为按照RFC822定义的1~255个字符的字符串,区分大小写.
【举例】#配置本地来宾用户abc的接待人Email地址为Sam@a.
com.
system-view[Sysname]local-userabcclassnetworkguest[Sysname-luser-network(guest)-abc]sponsor-emailSam@a.
com【相关命令】displaylocal-user1.
2.
26sponsor-full-namesponsor-full-name命令用来配置本地来宾用户的接待人姓名.
1-66undosponsor-full-name命令用来恢复缺省情况.
【命令】sponsor-full-namename-stringundosponsor-full-name【缺省情况】未配置本地来宾用户的接待人姓名.
【视图】本地来宾用户视图【缺省用户角色】network-adminmdc-admin【参数】name-string:本地来宾用户接待人姓名,为1~255个字符的字符串,区分大小写.
【举例】#配置本地来宾用户abc的接待人姓名为SamLi.
system-view[Sysname]local-userabcclassnetworkguest[Sysname-luser-network(guest)-abc]sponsor-full-nameSamLi【相关命令】displaylocal-user1.
2.
27state(Localuserview)state命令用来设置当前本地用户的状态.
undostate命令用来恢复缺省情况.
【命令】state{active|block}undostate【缺省情况】本地用户处于活动状态.
【视图】本地用户视图【缺省用户角色】network-adminmdc-admin【参数】active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务.
1-67block:指定当前本地用户处于"阻塞"状态,即系统不允许当前本地用户请求网络服务.
【举例】#设置设备管理类本地用户user1处于"阻塞"状态.
system-view[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]stateblock【相关命令】displaylocal-user1.
2.
28user-groupuser-group命令用来创建用户组,并进入用户组视图.
如果指定的用户组已经存在,则直接进入用户组视图.
undouser-group命令用来删除指定的用户组.
【命令】user-groupgroup-nameundouser-groupgroup-name【缺省情况】存在一个用户组,名称为system.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】group-name:用户组名称,为1~32个字符的字符串,不区分大小写.
【使用指导】用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理.
不允许删除一个包含本地用户的用户组.
不能删除系统中存在的默认用户组system,但可以修改该用户组的配置.
【举例】#创建名称为abc的用户组并进入其视图.
system-view[Sysname]user-groupabc[Sysname-ugroup-abc]【相关命令】displayuser-group1-681.
2.
29validity-datetimevalidity-datetime命令用来配置网络接入类本地用户的有效期.
undovalidity-datetime命令用来恢复缺省情况.
【命令】(网络接入类本地用户视图)validity-datetime{fromstart-datestart-timetoexpiration-dateexpiration-time|fromstart-datestart-time|toexpiration-dateexpiration-time}undovalidity-datetime(本地来宾用户视图)validity-datetimefromstart-datestart-timetoexpiration-dateexpiration-timeundovalidity-datetime【缺省情况】未限制本地用户的有效期,该用户始终有效.
【视图】网络接入类本地用户视图/本地来宾用户视图【缺省用户角色】network-adminmdc-admin【参数】from:指定用户有效期的开始日期和时间.
若不指定该参数,则表示仅限定用户有效期的结束日期和时间.
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59.
如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒.
比如将start-time参数设置为0表示零点.
to:指定用户有效期的结束日期和结束时间.
若不指定该参数,则表示仅限定用户有效期的开始日期和时间.
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59.
如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒.
比如将expiration-time参数设置为0表示零点.
【使用指导】网络接入类本地用户在有效期内才能认证成功.
1-69若同时指定了有效期的开始时间和结束时间,则有效期的结束时间必须晚于起始时间.
如果仅指定了有效期的开始时间,则表示该时间到达后,用户一直有效.
如果仅指定了有效期的结束时间,则表示该时间到达前,用户一直有效.
设备作为RADIUS服务器时使用RADIUS用户数据库对接入用户进行身份验证,RADIUS用户数据由网络接入类本地用户配置直接生成,但设备仅关心RADIUS用户的有效期结束时间,不关心其有效期开始时间.
【举例】#配置网络接入类本地用户123的有效期为2015/10/0100:00:00到2016/10/0212:00:00.
system-view[Sysname]local-user123classnetwork[Sysname-luser-network-123]validity-datetimefrom2015/10/0100:00:00to2016/10/0212:00:00【相关命令】displaylocal-user1.
3RADIUS配置命令1.
3.
1aaadevice-idaaadevice-id命令用来配置设备ID.
undoaaadebice-id命令用来恢复缺省情况.
【命令】aaadevice-iddevice-idundoaaadevice-id【缺省情况】设备ID为0.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】device-id:设备ID,取值范围为1~255.
【使用指导】RADIUS计费过程使用Acct-Session-Id属性作为用户的计费ID.
设备使用系统时间、随机数以及设备ID为每个在线用户生成一个唯一的Acct-Session-Id值.
修改后的设备ID仅对新上线用户生效.
1-70【举例】#配置设备ID为1.
system-view[Sysname]aaadevice-id11.
3.
2accounting-onenableaccounting-onenable命令用来开启accounting-on功能.
undoaccounting-onenable命令用来关闭accounting-on功能.
【命令】accounting-onenable[intervalinterval|sendsend-times]*undoaccounting-onenable【缺省情况】accounting-on功能处于关闭状态.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】intervalinterval:指定accounting-on报文重发时间间隔,取值范围为1~15,单位为秒,缺省值为3.
sendsend-times:指定accounting-on报文的最大发送次数,取值范围为1~255,缺省值为50.
【使用指导】accounting-on功能使得整个设备在重启之后通过发送accounting-on报文通知该方案所使用的RADIUS计费服务器,要求RADIUS服务器停止计费且强制该设备的用户下线.
开启accounting-on功能后,请执行save命令保证accounting-on功能在整个设备下次重启后生效.
关于命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
本命令设置的accounting-on参数会立即生效.
【举例】#在RADIUS方案radius1中,开启accounting-on功能并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]accounting-onenableinterval5send15【相关命令】displayradiusscheme1-711.
3.
3accounting-onextendedaccounting-onextended命令用来开启accounting-on扩展功能.
undoaccounting-onextended命令用来关闭accounting-on扩展功能.
【命令】accounting-onextendedundoaccounting-onextended【缺省情况】accounting-on扩展功能处于关闭状态.
【视图】RADIUS方案视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【使用指导】accounting-on扩展功能是对accounting-on功能的增强.
只有在accounting-on功能开启的情况下,accounting-on扩展功能才能生效.
accounting-on扩展功能适用于lan-access用户,该类型的用户数据均保存在用户接入的单板上.
开启accounting-on扩展功能后,当有用户发起接入认证的单板重启时(整机未重启),设备会向RADIUS服务器发送携带单板标识的accounting-on报文,用于通知RADIUS服务器对该单板的用户停止计费且强制用户下线.
accounting-on报文的重发间隔时间以及最大发送次数由accounting-onenable命令指定.
如果自上一次重启之后,单板上没有用户接入认证的记录,则该单板再次重启,并不会触发设备向RADIUS服务器发送携带单板标识的accounting-on报文.
开启accounting-on扩展功能后,请执行save命令保证accounting-on扩展功能在单板下次重启后生效.
关于save命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
【举例】#在RADIUS方案radius1中,开启accounting-on扩展功能.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]accounting-onextended【相关命令】accounting-onenabledisplayradiusscheme1.
3.
4attribute15check-modeattribute15check-mode命令用来配置对RADIUSAttribute15的检查方式.
1-72undoattribute15check-mode命令用来恢复缺省情况.
【命令】attribute15check-mode{loose|strict}undoattribute15check-mode【缺省情况】对RADIUSAttribute15的检查方式为strict方式.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】loose:松散检查方式,设备使用RADIUSAttribute15的标准属性值对用户业务类型进行检查.
对于SSH、FTP、Terminal用户,在RADIUS服务器下发的Login-Service属性值为0(表示用户业务类型为Telnet)时才,这类用户才能够通过认证.
strict:严格检查方式,设备使用RADIUSAttribute15的标准属性值以及扩展属性值对用户业务类型进行检查.
对于SSH、FTP、Terminal用户,当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时,这类用户才能够通过认证.
【使用指导】由于某些RADIUS服务器不支持自定义的属性,无法下发扩展的Login-Service属性,若要使用这类RADIUS服务器对SSH、FTP、Terminal用户进行认证,建议设备上对RADIUS15号属性值采用松散检查方式.
【举例】#在RADIUS方案radius1中,配置对RADIUSAttribute15采用松散检查方式.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attribute15check-modeloose【相关命令】displayradiusscheme1.
3.
5attribute25carattribute25car命令用来开启RADIUSAttribute25的CAR参数解析功能.
undoattribute25car命令用来关闭RADIUSAttribute25的CAR参数解析功能.
【命令】attribute25carundoattribute25car1-73【缺省情况】RADIUSAttribute25的CAR参数解析功能处于关闭状态.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【使用指导】RADIUS的25号属性为class属性,该属性由RADIUS服务器下发给设备.
目前,某些RADIUS服务器利用class属性来对用户下发CAR参数,可以通过本特性来控制设备是否将RADIUS25号属性解析为CAR参数,解析出的CAR参数可被用来进行基于用户的流量监管控制.
【举例】#在RADIUS方案radius1中,开启RADIUSAttribute25的CAR参数解析功能.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attribute25car【相关命令】displayradiusscheme1.
3.
6attribute31mac-formatattribute31mac-format命令用来配置RADIUSAttribute31中的MAC地址格式.
undoattribute31mac-format命令用来恢复缺省情况.
【命令】attribute31mac-formatsection{six|three}separatorseparator-character{lowercase|uppercase}undoattribute31mac-format【缺省情况】RADIUSAttribute31中的MAC地址为大写字母格式,且被分隔符"-"分成6段,即为HH-HH-HH-HH-HH-HH的格式.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】section:指定MAC地址分段数.
six:表示MAC地址被分为6段,格式为HH-HH-HH-HH-HH-HH.
1-74three:表示MAC地址被分为3段,格式为HHHH-HHHH-HHHH.
separatorseparator-character:MAC地址的分隔符,为单个字符,区分大小写.
lowercase:表示MAC地址为小写字母格式.
uppercase:表示MAC地址为大写字母格式.
【使用指导】不同的RADIUS服务器对填充在RADIUSAttribute31中的MAC地址有不同的格式要求,为了保证RADIUS报文的正常交互,设备发送给服务器的RADIUSAttribute31号属性中MAC地址的格式必须与服务器的要求保持一致.
【举例】#在RADIUS方案radius1中,配置RADIUSAttribute31的MAC地址格式为hh:hh:hh:hh:hh:hh.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attribute31mac-formatsectionsixseparator:lowercase【相关命令】displayradiusscheme1.
3.
7attributeconvert(RADIUSDAEserverview)attributeconvert命令用来配置RADIUS属性转换规则.
undoattributeconvert命令用来删除RADIUS属性转换规则.
【命令】attributeconvertsrc-attr-nametodest-attr-name{{coa-ack|coa-request}*|{received|sent}*}undoattributeconvert[src-attr-name]【缺省情况】不存在RADIUS属性转换规则,系统按照标准RADIUS协议对RADIUS属性进行处理.
【视图】RADIUSDAE服务器视图【缺省用户角色】network-adminmdc-admin【参数】src-attr-name:源属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
dest-attr-name:目的属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
coa-ack:COA应答报文.
coa-request:COA请求报文.
1-75received:接收到的DAE报文.
sent:发送的DAE报文.
【使用指导】RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理.
只有在RADIUS属性解释功能开启之后,RADIUS属性转换规则才能生效.
配置RADIUS属性转换规则时,需要遵循以下原则:源属性内容和目的属性内容的数据类型必须相同.
源属性和目的属性的名称不能相同.
一个属性只能按照一种方式(按报文类型或报文处理方向)进行转换.
一个源属性不能同时转换为多个目的属性.
执行undoattributeconvert命令时,如果不指定源属性名称,则表示删除所有RADIUS属性转换规则.
【举例】#在RADIUSDAE服务器视图下,配置一条RADIUS属性转换规则,指定将接收到的DAE报文中的Hw-Server-String属性转换为Connect-Info属性.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]attributeconvertHw-Server-StringtoConnect-Inforeceived【相关命令】attributetranslate1.
3.
8attributeconvert(RADIUSschemeview)attributeconvert命令用来配置RADIUS属性转换规则.
undoattributeconvert命令用来删除RADIUS属性转换规则.
【命令】attributeconvertsrc-attr-nametodest-attr-name{{access-accept|access-request|accounting}*|{received|sent}*}undoattributeconvert[src-attr-name]【缺省情况】不存在RADIUS属性转换规则,系统按照标准RADIUS协议对RADIUS属性进行处理.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin1-76【参数】src-attr-name:源属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
dest-attr-name:目的属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
access-accept:RADIUS认证成功报文.
access-request:RADIUS认证请求报文.
accounting:RADIUS计费报文.
received:接收到的RADIUS报文.
sent:发送的RADIUS报文.
【使用指导】RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理.
只有在RADIUS属性解释功能开启之后,RADIUS属性转换规则才能生效.
配置RADIUS属性转换规则时,需要遵循以下原则:源属性内容和目的属性内容的数据类型必须相同.
源属性和目的属性的名称不能相同.
一个属性只能按照一种方式(按报文类型或报文处理方向)进行转换.
一个源属性不能同时转换为多个目的属性.
执行undoattributeconvert命令时,如果不指定源属性名称,则表示删除所有RADIUS属性转换规则.
【举例】#在RADIUS方案radius1中,配置一条RADIUS属性转换规则,指定将接收到的RADIUS报文中的Hw-Server-String属性转换为Connect-Info属性.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attributeconvertHw-Server-StringtoConnect-Inforeceived【相关命令】attributetranslate1.
3.
9attributereject(RADIUSDAEserverview)attributereject命令用来配置RADIUS属性禁用.
undoattributereject命令用来取消配置的RADIUS属性禁用.
【命令】attributerejectattr-name{{coa-ack|coa-request}*|{received|sent}*}undoattributereject[attr-name]【缺省情况】不存在RADIUS属性禁用规则.
1-77【视图】RADIUSDAE服务器视图【缺省用户角色】network-adminmdc-admin【参数】attr-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
coa-ack:COA应答报文.
coa-request:COA请求报文.
received:接收到的DAE报文.
sent:发送的DAE报文.
【使用指导】当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时,可以定义基于发送方向的属性禁用规则,使得设备发送RADIUS报文时,将该属性从报文中删除.
当RADIUS服务器发送给设备的某些属性是设备不希望收到的属性时,可以定义基于接收方向的属性禁用规则,使得设备接收RADIUS报文时,不处理报文中的该属性.
当某些类型的属性是设备不希望处理的属性时,可以定义基于类型的属性禁用规则.
只有在RADIUS属性解释功能开启之后,RADIUS属性禁用规则才能生效.
一个属性只能按照一种方式(按报文类型或报文处理方向)进行禁用.
执行undoattributereject命令时,如果不指定属性名称,则表示删除所有RADIUS属性禁用规则.
【举例】#在RADIUSDAE服务器视图下,配置一条RADIUS属性禁用规则,指定禁用发送的DAE报文中的Connect-Info属性.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]attributerejectConnect-Infosent【相关命令】attributetranslate1.
3.
10attributereject(RADIUSschemeview)attributereject命令用来配置RADIUS属性禁用规则.
undoattributereject命令用来删除RADIUS属性禁用规则.
【命令】attributerejectattr-name{{access-accept|access-request|accounting}*|{received|sent}*}undoattributereject[attr-name]1-78【缺省情况】不存在RADIUS属性禁用规则.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】attr-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
access-accept:RADIUS认证成功报文.
access-request:RADIUS认证请求报文.
accounting:RADIUS计费报文.
received:接收到的RADIUS报文.
sent:发送的RADIUS报文.
【使用指导】当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时,可以定义基于发送方向的属性禁用规则,使得设备发送RADIUS报文时,将该属性从报文中删除.
当RADIUS服务器发送给设备的某些属性是不希望收到的属性时,可以定义基于接收方向的属性禁用规则,使得设备接收RADIUS报文时,不处理报文中的该属性.
当某些类型的属性是设备不希望处理的属性时,可以定义基于类型的属性禁用规则.
只有在RADIUS属性解释功能开启之后,RADIUS属性禁用规则才能生效.
一个属性只能按照一种方式(按报文类型或报文处理方向)进行禁用.
执行undoattributereject命令时,如果不指定属性名称,则表示删除所有RADIUS属性禁用规则.
【举例】#在RADIUS方案radius1中,配置一条RADIUS属性禁用规则,指定禁用发送的RADIUS报文中的Connect-Info属性.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attributerejectConnect-Infosent【相关命令】attributetranslate1.
3.
11attributeremanent-volumeattributeremanent-volume命令用来配置RADIUSRemanent-Volume属性的流量单位.
undoattributeremanent-volume命令用来恢复缺省情况.
1-79【命令】attributeremanent-volumeunit{byte|giga-byte|kilo-byte|mega-byte}undoattributeremanent-volumeunit【缺省情况】Remanent-Volume属性的流量单位是千字节.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】byte:表示流量单位为字节.
giga-byte:表示流量单位为千兆字节.
kilo-byte:表示流量单位为千字节.
mega-byte:表示流量单位为兆字节.
【使用指导】Remanent-Volume属性为H3C自定义RADIUS属性,携带在RADIUS服务器发送给接入设备的认证响应或实时计费响应报文中,用于向接入设备通知在线用户的剩余流量值.
设备管理员通过本命令设置的流量单位应与RADIUS服务器上统计用户流量的单位保持一致,否则设备无法正确使用Remanent-Volume属性值对用户进行计费.
【举例】#在RADIUS方案radius1中,设置RADIUS服务器下发的Remanent-Volume属性的流量单位为千字节.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attributeremanent-volumeunitkilo-byte【相关命令】displayradiusscheme1.
3.
12attributetranslateattributetranslate命令用来开启RADIUS属性解释功能.
undoattributetranslate命令用来关闭RADIUS属性解释功能.
【命令】attributetranslateundoattributetranslate【缺省情况】RADIUS属性解释功能处于关闭状态.
1-80【视图】RADIUS方案视图/RADIUSDAE服务器视图【缺省用户角色】network-adminmdc-admin【使用指导】不同厂商的RADIUS服务器所支持的RADIUS属性集有所不同,而且相同属性的用途也可能不同.
为了兼容不同厂商的服务器的RADIUS属性,需要开启RADIUS属性解释功能,并定义相应的RADIUS属性转换规则和RADIUS属性禁用规则.
【举例】#在RADIUS方案radius1中,开启RADIUS属性解释功能.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attributetranslate【相关命令】attributeconvertattributereject1.
3.
13ca-fileca-file命令用来配置EAP认证使用的CA证书.
undoca-file命令用来恢复缺省情况.
【命令】ca-filefile-nameundoca-file【缺省情况】未配置CA证书.
【视图】EAP认证方案视图【缺省用户角色】network-adminmdc-admin【参数】file-name:表示CA证书文件名称,为1~91个字符的字符串,区分大小写.
【使用指导】当使用EAP认证方法为PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2时,可以选择校验服务器或客户端证书.
配置CA证书即表示需要校验服务器证书.
若未配置CA证书,则表示EAP认证过程中不校验服务器证书.
1-81配置CA证书之前,需要通过FTP或TFTP的方式将证书文件导入设备的存储介质的根目录下.
在IRF组网环境中,需要保证主设备的存储介质的根目录下已经保存了CA证书文件.
一个EAP认证方案视图中只能指定一个CA证书,后配置的生效.
修改后的配置,将在下一个探测周期中生效.
【举例】#在EAP认证方案eap1中,配置采用的CA证书文件为CA.
der.
system-view[Sysname]eap-profileeap1[Sysname-eap-profile-eap1]ca-fileCA.
der1.
3.
14clientclient命令用来指定RADIUSDAE客户端.
undoclient命令用来删除指定的RADIUSDAE客户端.
【命令】client{ipipv4-address|ipv6ipv6-address}[key{cipher|simple}string|vpn-instancevpn-instance-name]*undoclient{ipipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]【缺省情况】未指定RADIUSDAE客户端.
【视图】RADIUSDAE服务器视图【缺省用户角色】network-adminmdc-admin【参数】ipipv4-address:RADIUSDAE客户端IPv4地址.
ipv6ipv6-address:RADIUSDAE客户端IPv6地址.
key:与RADIUSDAE客户端交互DAE报文时使用的共享密钥.
此共享密钥的设置必须与RADIUSDAE客户端的共享密钥设置保持一致.
如果此处未指定本参数,则对应的RADIUSDAE客户端上也必须未指定.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
FIPS模式下,明文密钥为15~64个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~117个字符的字符串.
1-82vpn-instancevpn-instance-name:RADIUSDAE客户端所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示RADIUSDAE客户端位于公网中.
【使用指导】开启RADIUSDAE服务之后,设备会监听并处理指定的RADIUSDAE客户端发起的DAE请求消息(用于动态授权修改或断开连接),并向其发送应答消息.
对于非指定的RADIUSDAE客户端的DAE报文进行丢弃处理.
可通过多次执行本命令指定多个RADIUSDAE客户端.
【举例】#设置RADIUSDAE客户端的IP地址为10.
110.
1.
2,与RADIUSDAE客户端交互DAE报文时使用的共享密钥为明文123456.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]clientip10.
110.
1.
2keysimple123456【相关命令】radiusdynamic-authorserverport1.
3.
15data-flow-format(RADIUSschemeview)data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位.
undodata-flow-format命令用来恢复缺省情况.
【命令】data-flow-format{data{byte|giga-byte|kilo-byte|mega-byte}|packet{giga-packet|kilo-packet|mega-packet|one-packet}}*undodata-flow-format{data|packet}【缺省情况】数据流的单位为字节,数据包的单位为包.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】data:设置数据流的单位.
byte:数据流的单位为字节.
giga-byte:数据流的单位千兆字节.
kilo-byte:数据流的单位为千字节.
1-83mega-byte:数据流的单位为兆字节.
packet:设置数据包的单位.
giga-packet:数据包的单位为千兆包.
kilo-packet:数据包的单位为千包.
mega-packet:数据包的单位为兆包.
one-packet:数据包的单位为包.
【使用指导】设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADIUS服务器上的流量统计单位保持一致,否则无法正确计费.
【举例】#在RADIUS方案radius1中,设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]data-flow-formatdatakilo-bytepacketkilo-packet【相关命令】displayradiusscheme1.
3.
16displayradiusschemedisplayradiusscheme命令用来显示RADIUS方案的配置信息.
【命令】displayradiusscheme[radius-scheme-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写.
如果不指定该参数,则表示所有RADIUS方案.
【举例】#显示所有RADIUS方案的配置信息.
displayradiusschemeTotal1RADIUSschemes1-84RADIUSschemename:radius1Index:0Primaryauthenticationserver:Hostname:NotconfiguredIP:2.
2.
2.
2Port:1812VPN:vpn1State:ActiveTestprofile:132Probeusername:testProbeinterval:60minutesProbeeap-profile:eap1Weight:40Primaryaccountingserver:Hostname:NotconfiguredIP:1.
1.
1.
1Port:1813VPN:NotconfiguredState:ActiveWeight:40Secondauthenticationserver:Hostname:NotconfiguredIP:3.
3.
3.
3Port:1812VPN:NotconfiguredState:BlockTestprofile:NotconfiguredWeight:40Secondaccountingserver:Hostname:NotconfiguredIP:3.
3.
3.
3Port:1813VPN:NotconfiguredState:Block(Mandatory)Weight:0Accounting-Onfunction:Enabledextendedfunction:Disabledretransmissiontimes:5retransmissioninterval(seconds):2TimeoutInterval(seconds):3RetransmissionTimes:3RetransmissionTimesforAccountingUpdate:5ServerQuietPeriod(minutes):5RealtimeAccountingInterval(seconds):22Stop-accountingpacketsbuffering:EnabledRetransmissiontimes:500NASIPAddress:1.
1.
1.
1VPN:NotconfiguredUserNameFormat:with-domainDataflowunit:MegabytePacketunit:OneAttribute15check-mode:Strict1-85Attribute25:CARAttributeRemanent-Volumeunit:Megaserver-load-sharing:loading-shareAttribute31MACformat:hh:hh:hh:hh:hh:hhStop-accounting-packetsend-force:DisabledReauthenticationserverselection:Reselect表1-4displayradiusscheme命令显示信息描述表字段描述Total1RADIUSschemes.
共计1个RADIUS方案RADIUSschemenameRADIUS方案的名称IndexRADIUS方案的索引号Primaryauthenticationserver主RADIUS认证服务器Primaryaccountingserver主RADIUS计费服务器Secondauthenticationserver从RADIUS认证服务器Secondaccountingserver从RADIUS计费服务器HostnameRADIUS认证/计费服务器主机名未配置时,显示为NotconfiguredIPRADIUS认证/计费服务器IP地址未配置时,显示为NotconfiguredPortRADIUS认证/计费服务器接入端口号未配置时,显示缺省值StateRADIUS认证/计费服务器目前状态Active:激活状态Block:自动转换的静默状态Block(Mandatory):手工配置的静默状态VPNRADIUS认证/计费服务器或RADIUS方案所在的VPN未配置时,显示为NotconfiguredTestprofile探测服务器状态使用的模板名称Probeusername探测服务器状态使用的用户名Probeinterval探测服务器状态的周期(单位为分钟)Probeeap-profile探测服务器使用的EAP认证方案未配置时,则不显示该字段WeightRADIUS服务器权重值Accounting-Onfunctionaccounting-on功能的开启情况extendedfunctionaccounting-on扩展功能的开启情况retransmissiontimesaccounting-on报文的发送尝试次数1-86字段描述retransmissioninterval(seconds)accounting-on报文的重发间隔(单位为秒)TimeoutInterval(seconds)RADIUS服务器超时时间(单位为秒)RetransmissionTimes发送RADIUS报文的最大尝试次数RetransmissionTimesforAccountingUpdate实时计费更新报文的最大尝试次数ServerQuietPeriod(minutes)RADIUS服务器恢复激活状态的时间(单位为分钟)RealtimeAccountingInterval(seconds)实时计费更新报文的发送间隔(单位为秒)Stop-accountingpacketsbufferingRADIUS停止计费请求报文缓存功能的开启情况Retransmissiontimes发起RADIUS停止计费请求的最大尝试次数NASIPAddress发送RADIUS报文的源IP地址或源接口未配置时,显示为NotconfiguredUserNameFormat发送给RADIUS服务器的用户名格式with-domain:携带域名without-domain:不携带域名keep-original:与用户输入保持一致Dataflowunit数据流的单位Packetunit数据包的单位Attribute15check-mode对RADIUSAttribute15的检查方式,包括以下两种取值:Strict:表示使用RADIUS标准属性值和私有扩展的属性值进行检查Loose:表示使用RADIUS标准属性值进行检查Attribute25对RADIUSAttribute25的处理,包括以下两种取值:Standard:表示不对RADIUSAttribute25进行解析CAR:表示将RADIUS25号属性解析为CAR参数AttributeRemanent-VolumeunitRADIUSRemanent-Volume属性的流量单位server-load-sharingRADIUS服务器负载分担功能的开启情况Disabled:关闭状态,服务器工作于主/从模式Enabled:开启状态,服务器工作于负载分担模式Attribute31MACformatRADIUSAttribute31中携带的MAC地址格式Stop-accounting-packetsend-force用户下线时设备强制发送RADIUS计费停止报文功能的开启情况Reauthenticationserverselection重认证时RADIUS服务器的选择模式:Inherit:继承模式,即重认证时直接选择认证时的认证服务器Reselect:重新选择模式,即重认证时重新选择认证服务器1-871.
3.
17displayradiusserver-loadstatisticsdisplayradiusserver-loadstatistics命令用来显示RADIUS服务器的负载统计信息.
【命令】displayradiusserver-loadstatistics【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【使用指导】本命令用来显示上一个5秒统计周期内设备发往RADIUS认证/计费服务器的认证/计费请求统计信息和自从设备启动后记录的历史认证/计费请求统计信息,具体统计过程如下:系统从第一个用户认证请求开始,每隔5秒钟统计一次RADIUS认证/计费请求数目,并在下一个5秒内提供该统计值供查看.
只要设备发起一次用户认证请求或用户计费开始请求,对应服务器的历史负载统计数值随之加1,但后续不会因为用户下线、服务器响应或超时而减小该值.
前5秒的统计信息提供了RADIUS认证/计费服务器最近5秒的负载分担效果,管理员可以根据此统计信息调控RADIUS服务器的配置参数,比如配置顺序、权重参数等.
当没有用户触发认证/计费时,前5秒的统计数据就不能给管理员提供有效的负载分担信息了,此时管理员可以参考历史负载统计信息对RADIUS认证/计费服务器的配置做调整.
需要注意的是:所有RADIUS方案中,指定了IP地址的服务器,以及指定的主机名被成功解析为IP地址的服务器,都可以通过本命令查看到它的负载统计数据.
若RADIUS认证/计费服务器的配置被删除,或主认证/计费服务器的VPN、IP和端口参数发生变化,则该服务器的前5秒的统计数据及历史负载统计数据将会被删除.
主备倒换后,历史统计数据不会被删除,但会不准确.
【举例】#显示RADIUS服务器的负载统计信息.
displayradiusserver-loadstatisticsAuthenticationservers:2IPVPNPortLast5secHistory1.
1.
1.
1N/A1812201002.
2.
2.
2ABC1812020Accountingservers:2IPVPNPortLast5secHistory1.
1.
1.
1N/A1813201002.
2.
2.
2ABC18130201-88表1-5displayradiusserver-loadstatistics命令显示信息描述表字段描述AuthenticationserversRADIUS认证服务器总个数AccountingserversRADIUS计费服务器总个数IPRADIUS认证/计费服务器的IP地址VPNRADIUS认证/计费服务器所在的VPN若未配置该参数,则显示N/APortRADIUS认证/计费服务器的UDP端口号Last5sec上一个5秒统计周期内发往RADIUS认证/计费服务器的请求数HistoryRADIUS认证/计费服务器的历史负载统计值【相关命令】resetradiusserver-loadstatistics1.
3.
18displayradiusstatisticsdisplayradiusstatistics命令用来显示RADIUS报文的统计信息.
【命令】displayradiusstatistics【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示RADIUS报文的统计信息.
displayradiusstatisticsAuth.
Acct.
SessCtrl.
RequestPacket:000RetryPacket:00-TimeoutPacket:00-AccessChallenge:0--AccountStart:-0-AccountUpdate:-0-AccountStop:-0-TerminateRequest:--01-89SetPolicy:--0PacketWithResponse:000PacketWithoutResponse:00-AccessRejects:0--DroppedPacket:000CheckFailures:000表1-6displayradiusstatistics命令显示信息描述表字段描述Auth.
认证报文Acct.
计费报文SessCtrl.
Session-control报文RequestPacket发送的请求报文总数RetryPacket重传的请求报文总数TimeoutPacket超时的请求报文总数AccessChallengeAccesschallenge报文数AccountStart计费开始报文的数目AccountUpdate计费更新报文的数目AccountStop计费结束报文的数目TerminateRequest服务器强制下线报文的数目SetPolicy更新用户授权信息报文的数目PacketWithResponse有回应信息的报文数PacketWithoutResponse无回应信息的报文数AccessRejects认证拒绝报文的数目DroppedPacket丢弃的报文数CheckFailures报文校验错误的报文数目【相关命令】resetradiusstatistics1.
3.
19displaystop-accounting-buffer(forRADIUS)displaystop-accounting-buffer命令用来显示缓存的RADIUS停止计费请求报文的相关信息.
【命令】displaystop-accounting-buffer{radius-schemeradius-scheme-name|session-idsession-id|time-rangestart-timeend-time|user-nameuser-name}1-90【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】radius-schemeradius-scheme-name:表示指定RADIUS方案的停止计费请求报文.
其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串,不区分大小写.
session-idsession-id:表示指定会话的停止计费请求报文.
其中,session-id表示会话ID,为1~64个字符的字符串,不包含字母.
会话ID用于唯一标识当前的在线用户.
time-rangestart-timeend-time:表示指定时间段内发送且被缓存的停止计费请求报文.
其中,start-time为请求时间段的起始时间,end-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日).
user-nameuser-name:表示指定用户的停止计费请求报文.
其中,user-name表示用户名,为1~255个字符的字符串,区分大小写.
输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致.
【举例】#显示缓存的用户名为abc的RADIUS停止计费请求报文的相关信息.
displaystop-accounting-bufferuser-nameabcTotalentries:2SchemeSessionIDUsernameFirstsendingtimeAttemptsrad11000326232325010abc23:27:16-08/31/201519aaa1000326232326010abc23:33:01-08/31/201520表1-7displaystop-accounting-buffer命令显示信息描述表字段描述Totalentries:2共有两条记录匹配SchemeRADIUS方案名SessionID会话ID(Acct-Session-Id属性值)Username用户名Firstsendingtime首次发送停止计费请求的时间Attempts发起停止计费请求的次数【相关命令】resetstop-accounting-buffer(forRADIUS)retry1-91retrystop-accounting(forRADIUS)stop-accounting-bufferenable(RADIUSschemeview)user-name-format(RADIUSschemeview)1.
3.
20eap-profileeap-profile命令用来创建EAP认证方案,并进入EAP认证方案视图,如果指定的EAP认证方案已存在,则直接进入EAP认证方案视图.
undoeap-profile命令用来删除指定的EAP认证方案.
【命令】eap-profileeap-profile-nameundoeap-profileeap-profile-name【缺省情况】不存在EAP认证方案.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】eap-profile-name:EAP认证方案的名称,为1~32个字符的字符串,区分大小写.
【使用指导】EAP认证方案是一个EAP认证选项的配置集合,用于指定设备采用的EAP认证方法以及某些EAP认证方法需要引用的CA证书,并被RADIUS服务器探测模板所引用.
一个EAP认证方案可以同时被多个探测模板引用.
系统最多支持配置16个EAP认证方案.
【举例】#创建名为eap1的EAP认证方案,并进入其视图.
system-view[Sysname]eap-profileeap1[Sysname-eap-profile-eap1]【相关命令】radius-servertest-profile1.
3.
21excludeexclude命令用来配置RADIUS报文中不能携带的属性.
undoexclude命令用来取消在RADIUS报文中不能携带的属性配置.
1-92【命令】exclude{accounting|authentication}nameattribute-nameundoexclude{accounting|authentication}nameattribute-name【缺省情况】未配置RADIUS报文中不能携带的属性.
【视图】RADIUS属性测试组视图【缺省用户角色】network-adminmdc-admin【参数】accounting:表示RADIUS计费请求报文.
authentication:表示RADIUS认证请求报文.
nameattribute-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
这些属性为RADIUS报文中缺省携带的属性,具体包括:Service-Type、Framed-Protocol、NAS-Identifier、Acct-Delay-Time、Acct-Session-Id、Acct-Terminate-Cause和NAS-Port-Type,其中Service-Type、Framed-Protocol、NAS-Identifier,Acct-Session-Id和NAS-Port-Type为认证请求报文缺省携带的属性,NAS-Identifier、Acct-Delay-Time、Acct-Session-Id和Acct-Terminate-Cause为计费请求报文缺省携带的属性.
【使用指导】通过本命令配置的RADIUS属性将不会在属性测试过程中被携带在相应的RADIUS请求报文中发送给RADIUS服务器.
在实际测试过程中,可通过本命令排除掉RADIUS报文中携带的一些基础属性,来辅助排查认证/计费故障.
如果一个属性已经被配置为需要携带在RADIUS报文中(通过include命令),则需要先执行undoinclude命令取消该配置,才能将其配置为不携带在RADIUS报文中.
【举例】#在RADIUS属性测试组t1中,配置在RADIUS认证请求报文中不携带属性名称为Service-Type的标准属性.
system-view[Sysname]radiusattribute-test-groupt1[Sysname-radius-attr-test-grp-t1]excludeauthenticationnameService-Type【相关命令】includetest-aaa1.
3.
22includeinclude命令用来配置RADIUS报文中携带的属性.
undoinclude命令用来取消指定的属性配置.
1-93【命令】include{accounting|authentication}{nameattribute-name|[vendorvendor-id]codeattribute-code}type{binary|date|integer|interface-id|ip|ipv6|ipv6-prefix|octets|string}valueattribute-valueundoinclude{accounting|authentication}{nameattribute-name|[vendorvendor-id]codeattribute-code}【缺省情况】未配置RADIUS报文中携带的属性.
【视图】RADIUS属性测试组视图【缺省用户角色】network-adminmdc-admin【参数】accounting:表示RADIUS计费请求报文.
authentication:表示RADIUS认证请求报文.
nameattribute-name:标准RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
vendorvendor-id:RADIUS属性所属的设备厂商标识.
vendor-id为厂商标识号码,取值范围为1~65535.
如果不指定该参数,则表示RADIUS属性为标准属性.
codeattribute-code:RADIUS属性编号,取值范围为1~255.
type:属性内容的数据类型,包括以下取值:binary:二进制类型.
date:时间类型.
integer:整数类型.
interface-id:接口ID类型.
ip:IPv4地址类型.
ipv6:IPv6地址类型.
ipv6-prefix:IPv6地址前缀类型.
octets:八进制类型.
string:字符串类型.
valueattribute-value:RADIUS属性值,取值与数据类型有关,具体如下:二进制属性值:1~256个十六进制字符,表示最多128个字节的二进制数.
时间类型属性值:0~4294967295.
整数类型属性值:0~4294967295.
接口ID类型属性值:1~ffffffffffffffff.
IPv6地址前缀类型属性值:prefix/prefix-length样式.
1-94八进制属性值:1~256个十六进制字符,表示最多128个字节的八进制数.
字符串类型属性值:1~253个字符.
【使用指导】可以通过本命令配置RADIUS报文中携带的属性以及对应的属性值,具体情况如下:对于RADIUS报文中默认携带的属性,可通过include命令来修改属性取值,并可通过undoinclude命令将该属性值恢复为缺省值.
RADIUS报文中默认携带的能够修改的属性包括:认证请求报文默认携带的属性:User-Name、CHAP-Password(User-Password)、CHAP-Challenge、NAS-IP-Address(NAS-IPv6-Address)、Service-Type、Framed-Protocol、NAS-Identifier、NAS-Port-Type、Acct-Session-Id.
计费请求报文默认携带的属性:User-Name、Acct-Status-Type、NAS-IP-Address(NAS-IPv6-Address)、NAS-Identifier、Acct-Session-Id、Acct-Delay-Time、Acct-Terminate-Cause.
对于并非RADIUS报文中默认携带的属性,可通过include命令将其添加在RADIUS报文中,并可通过undoinclude命令将该属性从RADIUS报文中删除.
为了保证测试效果的准确性,请务必保证各属性参数的匹配性,比如属性值要匹配属性类型.
保存在配置文件中的标准属性的属性名称将被转换为属性编号的形式.
如果一个属性已经被配置为不能携带在RADIUS报文中(通过exclude命令),则需要先执行undoexclude命令取消该配置,才能将其配置为携带在RADIUS报文中.
设备按照配置的先后顺序在RADIUS报文中添加RADIUS属性,由于RADIUS报文最大长度为4096个字节,如果配置了过多的RADIUS属性,则在报文长度超过最大值后,部分属性将不会被添加在报文中.
因此,请合理规划要添加的RADIUS报文属性数目.
【举例】#在RADIUS属性测试组t1中,配置在RADIUS认证请求报文中携带一个标准属性:名称为Calling-Station-Id,属性值为08-00-27-00-34-D8.
system-view[Sysname]radiusattribute-test-groupt1[Sysname-radius-attr-test-grp-t1]includeauthenticationnameCalling-Station-Idtypestringvalue08-00-27-00-34-d8【相关命令】excludetest-aaa1.
3.
23key(RADIUSschemeview)key命令用来配置RADIUS报文的共享密钥.
undokey命令用来删除RADIUS报文的共享密钥.
【命令】key{accounting|authentication}{cipher|simple}stringundokey{accounting|authentication}1-95【缺省情况】未配置RADIUS报文的共享密钥.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】accounting:指定RADIUS计费报文的共享密钥.
authentication:指定RADIUS认证报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
FIPS模式下,明文密钥为15~64个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~117个字符的字符串.
【使用指导】设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用.
必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致.
【举例】#在RADIUS方案radius1中,配置计费报文的共享密钥为明文ok.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]keyaccountingsimpleok【相关命令】displayradiusscheme1.
3.
24methodmethod命令用来配置EAP认证方法.
undomethod命令用来恢复缺省情况.
【命令】method{md5|peap-gtc|peap-mschapv2|ttls-gtc|ttls-mschapv2}undomethod【缺省情况】采用的EAP认证方法为MD5-Challenge.
1-96【视图】EAP认证方案视图【缺省用户角色】network-adminmdc-admin【参数】md5:表示采用的认证方法为MD5-Challenge.
peap-gtc:表示采用的认证方法为PEAP-GTC.
peap-mschapv2:表示采用的认证方法为PEAP-MSCHAPv2.
ttls-gtc:表示采用的认证方法为TTLS-GTC.
ttls-mschapv2:表示采用的认证方法为TTLS-MSCHAPv2.
【使用指导】配置的EAP认证方法必须和所探测的RADIUS服务器支持的EAP认证方法一致.
一个EAP认证方案视图中只能指定一个EAP认证方法,后配置的生效.
修改后的配置,将在下一个探测周期中生效.
【举例】#在EAP认证方案eap1中,配置认证方法为PEAP-GTC.
system-view[Sysname]eap-profileeap1[Sysname-eap-profile-eap1]methodpeap-gtc1.
3.
25nas-ip(RADIUSschemeview)nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址.
undonas-ip命令用来删除指定类型的发送RADIUS报文使用的源IP地址.
【命令】nas-ip{ipv4-address|interfaceinterface-typeinterface-number|ipv6ipv6-address}undonas-ip[interface|ipv6]【缺省情况】未指定设备发送RADIUS报文使用的源IP地址,使用系统视图下由命令radiusnas-ip指定的源IP地址.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin1-97【参数】interfaceinterface-typeinterface-number:指定源接口,即发送RADIUS报文的源IPv4地址为该接口的主IPv4地址,发送RADIUS报文的源IPv6地址为该接口上配置的IPv6地址.
interface-typeinterface-number为接口类型和接口编号.
ipv4-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址.
【使用指导】RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求.
因此,为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致.
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址.
RADIUS方案视图和系统视图下均可以配置发送RADIUS报文使用的源IP地址,具体生效情况如下:RADIUS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效.
系统视图下的配置的源IP地址(通过radiusnas-ip命令)对所有RADIUS方案有效.
RADIUS方案视图下的设置具有更高的优先级.
一个RADIUS方案视图下:最多允许指定一个IPv4源地址和一个IPv6源地址.
最多允许指定一个源接口,请确保指定的源接口与RADIUS服务器路由可达.
源接口配置和源IP地址配置不能同时存在,后配置的生效.
如果undonas-ip命令中不指定任何参数,则表示删除配置的发送RADIUS报文使用的源IPv4地址.
【举例】#在RADIUS方案radius1中,设置设备发送RADIUS报文使用的源IP地址为10.
1.
1.
1.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]nas-ip10.
1.
1.
1【相关命令】displayradiusschemeradiusnas-ip1.
3.
26portport命令用来指定RADIUSDAE服务端口.
undoport命令用来恢复缺省情况.
1-98【命令】portport-numberundoport【缺省情况】RADIUSDAE服务端口为3799.
【视图】RADIUSDAE服务器视图【缺省用户角色】network-adminmdc-admin【参数】port-number:DAE服务器接收DAE请求消息的UDP端口,取值范围为1~65535.
【使用指导】必须保证设备上的RADIUSDAE服务端口与RADIUSDAE客户端发送DAE报文的目的UDP端口一致.
【举例】#开启RADIUSDAE服务后,指定DAE服务端口为3790.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]port3790【相关命令】clientradiusdynamic-authorserver1.
3.
27primaryaccounting(RADIUSschemeview)primaryaccounting命令用来配置主RADIUS计费服务器.
undoprimaryaccounting命令用来恢复缺省情况.
【命令】primaryaccounting{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|vpn-instancevpn-instance-name|weightweight-value]*undoprimaryaccounting【缺省情况】未配置主RADIUS计费服务器.
【视图】RADIUS方案视图1-99【缺省用户角色】network-adminmdc-admin【参数】host-name:主RADIUS计费服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:主RADIUS计费服务器的IPv4地址.
ipv6ipv6-address:主RADIUS计费服务器的IPv6地址.
port-number:主RADIUS计费服务器的UDP端口号,取值范围为1~65535,缺省值为1813.
key:与主RADIUS计费服务器交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
FIPS模式下,明文密钥为15~64个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~117个字符的字符串.
vpn-instancevpn-instance-name:主RADIUS计费服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主RADIUS计费服务器位于公网中.
weightweight-value:RADIUS服务器负载分担的权重.
weight-value表示权重值,取值范围为0~100,缺省值为0.
0表示该服务器在负载分担调度时将不被使用.
开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的计费请求报文越多.
【使用指导】配置的主计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致.
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同.
设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用keyaccounting命令设置的共享密钥.
若服务器位于MPLSVPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级.
当RADIUS服务器负载分担功能处于关闭状态时,如果在计费开始请求报文发送过程中修改或删除了正在使用的主计费服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;当RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信.
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地,这将造成对用户计费的不准确.
【举例】#在RADIUS方案radius1中,配置主计费服务器的IP地址为10.
110.
1.
2,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文123456TESTacct&!
.
1-100system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]primaryaccounting10.
110.
1.
21813keysimple123456TESTacct&!
【相关命令】displayradiusschemekey(RADIUSschemeview)secondaryaccounting(RADIUSschemeview)server-load-sharingenablevpn-instance(RADIUSschemeview)1.
3.
28primaryauthentication(RADIUSschemeview)primaryauthentication命令用来配置主RADIUS认证服务器.
undoprimaryauthentication命令用来恢复缺省情况.
【命令】primaryauthentication{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|test-profileprofile-name|vpn-instancevpn-instance-name|weightweight-value]*undoprimaryauthentication【缺省情况】未配置RADIUS主认证服务器.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】host-name:主RADIUS认证服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:主RADIUS认证服务器的IPv4地址.
ipv6ipv6-address:主RADIUS认证服务器的IPv6地址.
port-number:主RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省值为1812.
此端口号必须与服务器提供认证服务的端口号保持一致.
key:与主RADIUS认证服务器交互的认证报文的共享密钥.
此共享密钥必须与服务器上配置的共享密钥保持一致.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
FIPS模式下,明文密钥为15~64个字符的字符串,密钥元素的1-101最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~117个字符的字符串.
test-profileprofile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写.
vpn-instancevpn-instance-name:主RADIUS认证服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主RADIUS认证服务器位于公网中.
weightweight-value:RADIUS服务器负载分担的权重.
weight-value表示权重值,取值范围为0~100,缺省值为0.
0表示该服务器在负载分担调度时将不被使用.
开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多.
【使用指导】配置的主认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致.
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同.
设备与主认证服务器通信时优先使用本命令设置的共享密钥,如果本命令中未设置,则使用keyauthenticaiton命令设置的共享密钥.
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能.
若服务器位于MPLSVPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高.
当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中修改或删除了正在使用的主认证服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;当RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信.
【举例】#在RADIUS方案radius1中,配置主认证服务器的IP地址为10.
110.
1.
1,使用UDP端口1812提供RADIUS认证/授权服务,认证报文的共享密钥为明文123456TESTauth&!
.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]primaryauthentication10.
110.
1.
11812keysimple123456TESTauth&!
【相关命令】displayradiusschemekey(RADIUSschemeview)radius-servertest-profilesecondaryauthentication(RADIUSschemeview)server-load-sharingenablevpn-instance(RADIUSschemeview)1-1021.
3.
29radiusattributeextendedradiusattributeextended命令用来定义RADIUS扩展属性.
undoradiusattributeextended命令用来删除定义的RADIUS扩展属性.
【命令】radiusattributeextendedattribute-name[vendorvendor-id]codeattribute-codetype{binary|date|integer|interface-id|ip|ipv6|ipv6-prefix|octets|string}undoradiusattributeextended[attribute-name]【缺省情况】不存在自定义RADIUS扩展属性.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】attribute-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
该名称不能与系统已支持的(包括标准的以及自定义的)RADIUS属性名称相同.
vendorvendor-id:RADIUS属性所属的设备厂商标识.
vendor-id为厂商标识号码,取值范围为1~65535.
如果不指定该参数,则表示RADIUS属性为标准属性.
codeattribute-code:RADIUS属性在RADIUS属性集里的序号,取值范围为1~255.
type:属性内容的数据类型,包括以下取值:binary:二进制类型.
date:时间类型.
integer:整数类型.
interface-id:接口ID类型.
ip:IPv4地址类型.
ipv6:IPv6地址类型.
ipv6-prefix:IPv6地址前缀类型.
octets:八进制类型.
string:字符串类型.
【使用指导】当系统需要支持其他厂商的私有RADIUS属性时,可以通过radiusattributeextended命令为其定义为一个扩展属性,并通过attributeconvert命令将其映射到系统可以识别的一个已知属性.
这样,当RADIUS服务器发送给设备的RADIUS报文中携带了此类不可识别的私有属性时,设备将根据已定义的属性转换规则将其转换为可处理的属性.
同理,设备在发送RADIUS报文时也可以将自己可识别的属性转换为服务器能识别的属性.
1-103每一个RADIUS属性有唯一的属性名称,且该属性的名称、设备厂商标识以及序号的组合必须在设备上唯一.
执行undoradiusattributeextended命令时,如果不指定属性名称,则表示删除所有已定义RADIUS扩展属性.
【举例】#配置一个RADIUS扩展属性,名称为Owner-Password,VendorID为122,属性序号为80,类型为字符串.
system-view[Sysname]radiusattributeextendedOwner-Passwordvendor122code80typestring【相关命令】attributeconvertattributerejectattributetranslate1.
3.
30radiusattribute-test-groupradiusattribute-test-group命令用来创建RADIUS属性测试组,并进入RADIUS属性测试组视图.
如果指定的RADIUS属性测试组视图已经存在,则直接进入RADIUS属性测试组视图.
undoradiusattribute-test-group命令用来删除指定的RADIUS属性测试组.
【命令】radiusattribute-test-groupattr-test-group-nameundoradiusattribute-test-groupattr-test-group-name【缺省情况】不存在RADIUS属性测试组.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】attr-test-group-name:测试组名称,为1~31个字符的字符串,不区分大小写.
【使用指导】RADIUS属性测试组用于配置向RADIUS服务器发送的认证/计费请求报文中需要携带的RADIUS属性的集合.
系统支持配置多个RADIUS属性测试组.
【举例】#创建名称为t1的RADIUS属性测试组,并进入该视图.
system-view1-104[Sysname]radiusattribute-test-groupt1[Sysname-radius-attr-test-grp-t1]【相关命令】excludeincludetest-aaa1.
3.
31radiusdscpradiusdscp命令用来配置RADIUS协议报文的DSCP优先级.
undoradiusdscp命令用来恢复缺省情况.
【命令】radius[ipv6]dscpdscp-valueundoradius[ipv6]dscp【缺省情况】RADIUS报文的DSCP优先级为0.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】ipv6:表示设置IPv6RADIUS报文.
若不指定该参数,则表示设置IPv4RADIUS报文.
dscp-value:RADIUS报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
【使用指导】DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本命令可以指定设备发送的RADIUS报文携带的DSCP优先级的取值.
【举例】#配置IPv4RADIUS报文的DSCP优先级为10.
system-view[Sysname]radiusdscp101.
3.
32radiusdynamic-authorserverradiusdynamic-authorserver命令用来开启RADIUSDAE服务,并进入RADIUSDAE服务器视图.
undoradiusdynamic-authorserver命令用来关闭RADIUSDAE服务.
【命令】radiusdynamic-authorserver1-105undoradiusdynamic-authorserver【缺省情况】RADIUSDAE服务处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】开启RADIUSDAE服务后,设备将会监听指定的RADIUSDAE客户端发送的DAE请求消息,然后根据请求消息修改用户授权信息、断开用户连接请求、关闭/重启用户接入端口或重认证用户.
【举例】#开启RADIUSDAE服务,并进入RADIUSDAE服务器视图.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]【相关命令】clientport1.
3.
33radiusenableradiusenable命令用来开启RADIUS协议功能.
undoradiusenable命令用来关闭RADIUS协议功能.
【命令】radiusenableundoradiusenable【缺省情况】RADIUS协议功能处于开启状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】开启RADIUS协议功能后,设备可以接收和发送RADIUS报文.
1-106由于攻击者可能会通过RADIUS的sessioncontrol报文监听端口或RADIUSDAE服务端口向设备发起网络攻击,因此设备管理员可以通过临时关闭RADIUS协议功能来阻止攻击,并在网络环境恢复安全后,再重新打开RADIUS协议功能.
另外,如果服务器需要调整配置或暂时不提供服务,则可以通过关闭设备上的RADIUS协议功能来协助完成此过程.
关闭RADIUS协议功能后,设备将停止接收和发送RADIUS报文,具体处理机制如下:若有新用户上线,则根据配置的备份方案进行认证、授权和计费处理.
若已经为用户发送了RADIUS认证请求报文:如果收到RADIUS服务器的响应报文,则根据响应完成认证和授权.
如果未收到RADIUS服务器响应报文,则根据配置的备份方案进行认证处理.
若已经为用户发送了RADIUS计费开始请求报文:如果收到RADIUS服务器的响应报文,则用户上线,但后续计费更新和计费结束请求报文无法发出,也不能被缓存下来尝试继续发送.
RADIUS服务器因为收不到在线用户的下线报文,会出现有一段时间用户已经下线,但RADIUS服务器上还有此用户的情况.
另外,已缓存的计费报文也将从缓存中被删除.
计费报文的发送失败,都会直接影响用户计费信息的准确性.
如果未收到RADIUS服务器的响应报文,则根据配置的备份方案进行处理.
关闭RADIUS协议功能对设备的RADIUS服务器功能没有影响.
关闭RADIUS协议功能后,若再重新开启RADIUS协议功能,已经使用其它方案进行的认证、授权或计费过程并不会切换为RADIUS方案来执行.
【举例】#开启RADIUS协议功能.
system-view[Sysname]radiusenable1.
3.
34radiusnas-ipradiusnas-ip命令用来设置设备发送RADIUS报文使用的源IP地址.
undoradiusnas-ip命令用来删除指定的发送RADIUS报文使用的源IP地址.
【命令】radiusnas-ip{interfaceinterface-typeinterface-number|{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]}undoradiusnas-ip{interface|{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]}【缺省情况】未指定发送RADIUS报文使用的源IP地址,设备将使用到达RADIUS服务器的路由出接口的主IPv4地址或IPv6地址作为发送RADIUS报文的源IP地址.
【视图】系统视图【缺省用户角色】network-admin1-107mdc-admin【参数】interfaceinterface-typeinterface-number:指定源接口,即发送RADIUS报文的源IPv4地址为该接口的主IPv4地址,发送RADIUS报文的源IPv6地址为该接口上配置的IPv6地址.
interface-typeinterface-number为接口类型和接口编号.
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址.
vpn-instancevpn-instance-name:指定私网源IP地址所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
若不指定该参数,则表示配置的是公网源地址.
【使用指导】RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求.
为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致.
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址.
RADIUS方案视图和系统视图下均可以配置发送RADIUS报文使用的源IP地址,具体情况如下:RADIUS方案视图下配置的源IP地址(通过nas-ip命令)只对本RADIUS方案有效.
系统视图下的配置的源IP地址(通过radiusnas-ip命令)对所有RADIUS方案有效.
RADIUS方案视图下的设置具有更高的优先级.
系统视图下最多允许指定16个源地址.
其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址.
对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址.
系统视图下,最多允许指定一个源接口,请确保指定的源接口与RADIUS服务器路由可达.
源接口配置和源IP地址配置不能同时存在,后配置的生效.
【举例】#设置设备发送RADIUS报文使用的源IP地址为129.
10.
10.
1.
system-view[Sysname]radiusnas-ip129.
10.
10.
1【相关命令】nas-ip(RADIUSschemeview)1.
3.
35radiusschemeradiusscheme命令用来创建RADIUS方案,并进入RADIUS方案视图.
如果指定的RADIUS方案已经存在,则直接进入RADIUS方案视图.
undoradiusscheme命令用来删除指定的RADIUS方案.
1-108【命令】radiusschemeradius-scheme-nameundoradiusschemeradius-scheme-name【缺省情况】不存在RADIUS方案.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】radius-scheme-name:RADIUS方案的名称,为1~32个字符的字符串,不区分大小写.
【使用指导】一个RADIUS方案可以同时被多个ISP域引用.
系统最多支持配置16个RADIUS方案.
【举例】#创建名为radius1的RADIUS方案并进入其视图.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]【相关命令】displayradiusscheme1.
3.
36radiussession-controlclientradiussession-controlclient命令用来指定sessioncontrol客户端.
undoradiussession-controlclient命令用来删除指定的sessioncontrol客户端.
【命令】radiussession-controlclient{ipipv4-address|ipv6ipv6-address}[key{cipher|simple}string|vpn-instancevpn-instance-name]*undoradiussession-controlclient{all|{ipipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]}【缺省情况】未指定sessioncontrol客户端.
【视图】系统视图1-109【缺省用户角色】network-adminmdc-admin【参数】ipipv4-address:sessioncontrol客户端的IPv4地址.
ipv6ipv6-address:sessioncontrol客户端的IPv6地址.
key:与sessioncontrol客户端交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
FIPS模式下,明文密钥为15~64个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~117个字符的字符串.
vpn-instancevpn-instance-name:sessioncontrol客户端所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果不指定本参数,则表示sessioncontrol客户端属于公网.
all:表示所有sessioncontrol客户端.
【使用指导】设备和H3C的iMCRADIUS服务器配合使用时,将作为sessioncontrol服务器端与其交互,因此需要指定sessioncontrol客户端来验证收到的sessioncontrol报文的合法性.
当设备收到服务器发送的sessioncontrol报文时,直接根据报文的源IP地址、VPN属性与已有的sessioncontrol客户端配置进行匹配,并使用匹配到的客户端共享密钥对报文进行验证.
如果报文匹配失败或设备上未配置sessioncontrol客户端,则使用已有的RADIUS方案配置进行匹配,并使用匹配到的认证服务器的共享密钥对报文进行验证.
指定的sessioncontrol客户端仅在RADIUSsessioncontrol功能处于开启状态时生效.
配置的sessioncontrol客户端参数必须与服务器的配置保持一致.
系统支持指定多个sessioncontrol客户端.
【举例】#指定一个sessioncontrol客户端IP地址为10.
110.
1.
2,共享密钥为明文12345.
system-view[Sysname]radiussession-controlclientip10.
110.
1.
2keysimple12345【相关命令】radiussession-controlenable1.
3.
37radiussession-controlenableradiussession-controlenable命令用来开启RADIUSsessioncontrol功能.
undoradiussession-controlenable命令用来关闭RADIUSsessioncontrol功能.
1-110【命令】radiussession-controlenableundoradiussession-controlenable【缺省情况】RADIUSsessioncontrol功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】H3CiMCRADIUS服务器使用sessioncontrol报文向设备发送授权信息的动态修改请求以及断开连接请求.
开启RADIUSsessioncontrol功能后,设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的sessioncontrol报文.
该功能仅能和H3CiMC的RADIUS服务器配合使用.
【举例】#开启RADIUSsessioncontrol功能.
system-view[Sysname]radiussession-controlenable1.
3.
38radiustrap-versionradiustrap-version命令用来配置发送RADIUS告警信息采用的MIB节点版本.
undoradiustrap-version命令用来恢复缺省情况.
【命令】radiustrap-version{v1|v2}[accounting-server-down|accounting-server-up|authentication-server-down|authentication-server-up]*undoradiustrap-version{v1|v2}[accounting-server-down|accounting-server-up|authentication-server-down|authentication-server-up]*【缺省情况】使用v1版本的MIB节点发送RADIUS告警信息.
【视图】系统视图【缺省用户角色】network-adminmdc-admin1-111【参数】v1:采用v1版本的MIB节点发送RADIUS告警信息.
v2:采用v2版本的MIB节点发送RADIUS告警信息.
accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息.
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息.
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息.
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息.
【使用指导】请按照NMS(NetworkManagementSystem,网络管理系统)的要求,选择设备需要采用的发送RADIUS告警信息采用的MIB节点版本.
表1-8v1版本的MIB节点MIB节点名OIDhh3cRadiusAuthServerUpTrap1.
3.
6.
1.
4.
1.
25506.
2.
13.
3.
0.
1hh3cRadiusAccServerUpTrap1.
3.
6.
1.
4.
1.
25506.
2.
13.
3.
0.
2hh3cRadiusAuthServerDownTrap1.
3.
6.
1.
4.
1.
25506.
2.
13.
3.
1hh3cRadiusAccServerDownTrap1.
3.
6.
1.
4.
1.
25506.
2.
13.
3.
2表1-9v2版本的MIB节点MIB节点名OIDhh3cRadiusAuthenticationServerUpTrap1.
3.
6.
1.
4.
1.
25506.
2.
13.
3.
0.
4hh3cRadiusAccountingServerUpTrap1.
3.
6.
1.
4.
1.
25506.
2.
13.
3.
0.
5hh3cRadiusAuthenticationServerDownTrap1.
3.
6.
1.
4.
1.
25506.
2.
13.
3.
0.
6hh3cRadiusAccountingServerDownTrap1.
3.
6.
1.
4.
1.
25506.
2.
13.
3.
0.
7若不指定任何参数,则表示设备发送所有类型的RADIUS服务器状态变化告警信息时,均采用相同版本的MIB节点.
多次执行本命令,最后一次执行的命令生效.
【举例】#配置在RADIUS计费服务器可达状态变为down时发送告警信息采用v2版本的MIB节点.
system-view[Sysname]radiustrap-versionv2accounting-server-down【相关命令】snmp-agenttrapenableradius1-1121.
3.
39radius-servertest-profileradius-servertest-profile命令用来配置RADIUS服务器探测模板.
undoradius-servertest-profile命令用来删除指定的RADIUS服务器探测模板.
【命令】radius-servertest-profileprofile-nameusernamename[password{cipher|simple}string][intervalinterval][eap-profileeap-profile-name]undoradius-servertest-profileprofile-name【缺省情况】不存在RADIUS服务器探测模板.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】profile-name:探测模板名称,为1~31个字符的字符串,区分大小写.
usernamename:探测报文中的用户名,为1~253个字符的字符串,区分大小写.
password:探测报文中的用户密码.
若不指定该参数,则表示探测报文中携带的用户密码为设备生成的随机密码.
为避免携带随机密码的探测报文被RADIUS服务器判定为攻击报文,建议指定用户密码.
cipher:以密文方式设置用户密码.
simple:以明文方式设置用户密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串.
intervalinterval:发送探测报文的周期,取值范围为1~3600,单位为分钟,缺省值为60.
eap-profileeap-profile-name:引用的EAP认证方案的名称,为1~32个字符的字符串,区分大小写.
【使用指导】RADIUS方案视图下的RADIUS服务器配置成功引用了某探测模板后,若被引用的探测模板存在,则设备将会启动对该RADIUS服务器的可达性探测.
若被引用的探测模板暂不存在,则当该探测模板被成功配置时,针对该服务器的探测过程才会开始.
目前,设备支持两种探测方式:若探测模板中未引用EAP认证方案,则表示采用简单探测方式.
该方式下,设备采用探测模板中配置的探测用户名、密码构造一个认证请求报文,并在探测周期内选择随机时间点向引用了探测模板的RADIUS服务器发送该报文.
如果在本次探测周期内收到服务器的认证响应报文,则认为当前探测周期内该服务器可达.
1-113若探测模板中引用了EAP认证方案,则表示采用EAP探测方式.
该方式下,设备采用指定的EAP认证方案中配置的EAP认证方法启动服务器探测.
在探测过程中,设备会在配置的探测周期超时后使用探测模板中配置的探测用户名和密码,模拟一个合法EAP认证用户向引用了该探测模板的RADIUS服务器发起一次EAP认证,如果在探测超时时间内(不可配)该次认证成功完成,则认为当前探测周期内该服务器可用.
EAP探测方式相较于简单探测方式,由于探测过程还原了完整的认证过程,更能保证RADIUS服务器探测结果的可靠性.
建议在接入用户使用EAP认证方法的组网环境中,使用该方式的服务器探测功能.
若探测模板中引用的EAP认证方案不存在,则设备会暂时采用简单探测方式发起探测.
当引用的EAP认证方案配置成功后,下一个探测周期将使用EAP方式发起探测.
删除一个RADIUS服务器探测模板时,引用该探测模板的所有RADIUS方案中的RADIUS服务器的探测功能也会被关闭.
系统支持配置多个RADIUS服务器探测模板.
【举例】#配置RADIUS服务器探测模板abc,探测报文中携带的用户名为admin,密码为明文abc123,探测报文的发送间隔为10分钟.
system-view[Sysname]radius-servertest-profileabcusernameadminpasswordsimpleabc123interval10【相关命令】eap-profileprimaryauthentication(RADIUSschemeview)secondaryauthentication(RADIUSschemeview)1.
3.
40reauthenticationserver-selectreauthenticationserver-select命令用来配置重认证时RADIUS服务器的选择模式.
undoreauthenticationserver-select命令用来恢复缺省情况.
【命令】reauthenticationserver-select{inherit|reselect}undoreauthenticationserver-select【缺省情况】重认证时仍然选用认证时使用的认证服务器.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】inherit:继承模式,即重认证时仍然选用认证时使用的认证服务器.
1-114reselect:重新选择模式,即重认证时需要重新选择认证服务器.
【使用指导】对用户进行重认证时,可以通过本命令来控制认证服务器的选择模式:继承模式也是缺省模式,该模式下,设备直接沿用用户认证时使用的服务器,不再做其它尝试.
使用此模式可以达到快速重认证的效果,但如果该认证服务器不可达,则会导致重认证失败.
重新选择模式下,设备会根据当前RADIUS方案中服务器的配置、服务器负载分担功能的开启状态,以及各服务器的可达状态重新选择认证服务器.
使用此模式,可以尽可能得保证重认证时选择到当前最优且可达的服务器.
【举例】#在RADIUS方案radius1中,配置重认证时RADIUS服务器的选择模式为重新选择模式.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]reauthenticationserver-selectreselect【相关命令】displayradiusscheme1.
3.
41resetradiusserver-loadstatisticsresetradiusserver-loadstatistics命令用来清除所有RADIUS服务器的历史负载统计信息.
【命令】resetradiusserver-loadstatistics【视图】用户视图【缺省用户角色】network-adminmdc-admin【使用指导】该命令只会清除所有RADIUS认证/计费服务器的历史负载统计数据,不会清除前5秒钟负载统计数据.
【举例】#清除所有RADIUS服务器上的历史负载统计信息.
resetradiusserver-loadstatistics【相关命令】displayradiusserver-loadstatistics1-1151.
3.
42resetradiusstatisticsresetradiusstatistics命令用来清除RADIUS协议的统计信息.
【命令】resetradiusstatistics【视图】用户视图【缺省用户角色】network-adminmdc-admin【举例】#清除RADIUS协议的统计信息.
resetradiusstatistics【相关命令】displayradiusstatistics1.
3.
43resetstop-accounting-buffer(forRADIUS)resetstop-accounting-buffer命令用来清除缓存的RADIUS停止计费请求报文.
【命令】resetstop-accounting-buffer{radius-schemeradius-scheme-name|session-idsession-id|time-rangestart-timeend-time|user-nameuser-name}【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】radius-schemeradius-scheme-name:表示指定RADIUS方案的停止计费响应报文.
其中,radius-scheme-name为RAIUDS方案名,为1~32个字符的字符串,不区分大小写.
session-idsession-id:表示指定会话的停止计费响应报文.
其中,session-id表示会话ID,为1~64个字符的字符串,不包含字母.
会话ID用于唯一标识当前的在线用户.
time-rangestart-timeend-time:表示指定时间段内发送且被缓存的停止计费请求报文.
其中,start-time为请求时间段的起始时间;end-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日).
user-nameuser-name:表示指定用户名的停止计费响应报文.
其中,user-name表示用户名,为1~255个字符的字符串,区分大小写.
输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致.
1-116【举例】#清除缓存的用户user0001@test的RADIUS停止计费请求报文.
resetstop-accounting-bufferuser-nameuser0001@test#清除从2015年8月31日0点0分0秒到2015年8月31日23点59分59秒期间内缓存的停止计费请求报文.
resetstop-accounting-buffertime-range00:00:00-08/31/201523:59:59-08/31/2015【相关命令】displaystop-accounting-buffer(forRADIUS)stop-accounting-bufferenable(RADIUSschemeview)1.
3.
44retryretry命令用来设置发送RADIUS报文的最大尝试次数.
undoretry命令用来恢复缺省情况.
【命令】retryretriesundoretry【缺省情况】发送RADIUS报文的最大尝试次数为3次.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】retries:发送RAIUDS报文的最大尝试次数,取值范围为1~20.
【使用指导】由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的.
如果设备在应答超时定时器规定的时长内(由timerresponse-timeout命令配置)没有收到RADIUS服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文.
如果累计的传送次数已达到最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败.
需要注意的是:发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线.
设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败.
因此,为了避免某些已部署的RADIUS1-117服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间.
【举例】#在RADIUS方案radius1中,设置发送RAIUDS报文的最大尝试次数为5次.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]retry5【相关命令】radiusschemetimerresponse-timeout(RADIUSschemeview)1.
3.
45retryrealtime-accountingretryrealtime-accounting命令用来设置允许发起实时计费请求的最大尝试次数.
undoretryrealtime-accounting命令用来恢复缺省情况.
【命令】retryrealtime-accountingretriesundoretryrealtime-accounting【缺省情况】设备允许发起实时计费请求的最大尝试次数为5.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】retries:允许发起实时计费请求的最大尝试次数,取值范围为1~255.
【使用指导】RADIUS服务器通常通过连接超时定时器来判断用户是否在线.
如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐.
为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,尽量保持设备端与RADIUS服务器同步切断用户连接.
设备提供对实时计费请求连续无响应次数限制的设置,保证设备尽可能得在RADIUS服务器的连接超时时长内向RADIUS服务器尝试发出实时计费请求.
如果设备没有收到响应的次数超过了设定的限度,才会切断用户连接.
假设RADIUS服务器的应答超时时长(timerresponse-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为3,设备的实时计费间隔(timerrealtime-accounting命令设置)为12分钟,设备允许实时计费无响应的最大次数为5次(retryrealtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,1-118如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接.
【举例】#在RADIUS方案radius1中,设置允许发起实时计费请求的最大尝试次数为10.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]retryrealtime-accounting10【相关命令】retrytimerrealtime-accounting(RADIUSschemeview)timerresponse-timeout(RADIUSschemeview)1.
3.
46retrystop-accounting(RADIUSschemeview)retrystop-accounting命令用来设置发起RADIUS停止计费请求的最大尝试次数.
undoretrystop-accounting命令用来恢复缺省情况.
【命令】retrystop-accountingretriesundoretrystop-accounting【缺省情况】发起RADIUS停止计费请求的最大尝试次数为500.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】retries:允许停止计费请求无响应的最大次数,取值范围为10~65535.
【使用指导】设备通过发起RADIUS停止计费请求的最大尝试次数与其它相关参数一起控制停止计费请求报文的发送.
假设存在如下配置:RADIUS服务器的应答超时时长(由timerresponse-timeout命令设置)为3秒;发送RADIUS报文的最大尝试次数(由retry命令设置)为5;开启了对无响应的RADIUS停止计费请求报文的缓存功能;设备发起停止计费请求的最大尝试次数为20(由retrystop-accounting命令设置).
则,如果设备发送停止计费请求报文后的3秒内得不到服务器响应就重新发送该报文.
如果设备发送5次之后仍然没有得到响应,会将该报文缓存在本机上,然后再发起一轮停止计费请求.
20次请求尝试均失败以后,设备将缓存的报文丢弃.
1-119【举例】#在RADIUS方案radius1中,设置发起RADIUS停止计费请求的最大尝试次数为1000.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]retrystop-accounting1000【相关命令】displaystop-accounting-buffer(forRADIUS)retrytimerresponse-timeout(RADIUSschemeview)1.
3.
47secondaryaccounting(RADIUSschemeview)secondaryaccounting命令用来配置从RADIUS计费服务器.
undosecondaryaccounting命令用来删除指定的从RADIUS计费服务器.
【命令】secondaryaccounting{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|vpn-instancevpn-instance-name|weightweight-value]*undosecondaryaccounting[{host-name|ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]【缺省情况】未配置从RADIUS计费服务器.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】host-name:从RADIUS计费服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:从RADIUS计费服务器的IPv4地址.
ipv6ipv6-address:从RADIUS计费服务器的IPv6地址.
port-number:从RADIUS计费服务器的UDP端口号,取值范围为1~65535,缺省值为1813.
key:与从RADIUS计费服务器交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
FIPS模式下,明文密钥为15~64个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~117个字符的字符串.
1-120vpn-instancevpn-instance-name:从RADIUS计费服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从RADIUS计费服务器位于公网中.
weightweight-value:RADIUS服务器负载分担的权重.
weight-value表示权重值,取值范围为0~100,缺省值为0.
0表示该服务器在负载分担调度时将不被使用.
开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的计费请求报文越多.
【使用指导】配置的从计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致.
每个RADIUS方案中最多支持配置16个从RADIUS计费服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、主机名、IP地址、端口号也不能完全相同.
设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令keyaccounting命令设置的共享密钥.
若服务器位于MPLSVPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高.
当RADIUS服务器负载分担功能处于关闭状态时,如果在计费开始请求报文发送过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信.
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地.
【举例】#在RADIUS方案radius1中,配置从计费服务器的IP地址为10.
110.
1.
1,使用UDP端口1813提供RADIUS计费服务.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]secondaryaccounting10.
110.
1.
11813#在RADIUS方案radius2中,配置两个从计费服务器,IP地址分别为10.
110.
1.
1、10.
110.
1.
2,且均使用UDP端口1813提供RADIUS计费服务.
system-view[Sysname]radiusschemeradius2[Sysname-radius-radius2]secondaryaccounting10.
110.
1.
11813[Sysname-radius-radius2]secondaryaccounting10.
110.
1.
21813【相关命令】displayradiusschemekey(RADIUSschemeview)primaryaccountingvpn-instance(RADIUSschemeview)1-1211.
3.
48secondaryauthentication(RADIUSschemeview)secondaryauthentication命令用来配置从RADIUS认证服务器.
undosecondaryauthentication命令用来删除指定的从RADIUS认证服务器.
【命令】secondaryauthentication{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|test-profileprofile-name|vpn-instancevpn-instance-name|weightweight-value]*undosecondaryauthentication[{host-name|ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]【缺省情况】未配置从RADIUS认证服务器.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】host-name:从RADIUS认证服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:从RADIUS认证服务器的IPv4地址.
ipv6ipv6-address:从RADIUS认证服务器的IPv6地址.
port-number:从RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省值为1812.
key:与从RADIUS认证服务器交互的认证报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
FIPS模式下,明文密钥为15~64个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~117个字符的字符串.
test-profileprofile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写.
vpn-instancevpn-instance-name:从RADIUS认证服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从RADIUS认证服务器位于公网中.
weightweight-value:RADIUS服务器负载分担的权重.
weight-value表示权重值,取值范围为0~100,缺省值为0.
0表示该服务器在负载分担调度时将不被使用.
开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多.
1-122【使用指导】配置的从认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致.
每个RADIUS方案中最多支持配置16个从RADIUS认证服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能.
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、主机名、IP地址、端口号也不能完全相同.
设备与从认证服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令keyauthentication命令设置的共享密钥.
若服务器位于MPLSVPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高.
当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信.
【举例】#在RADIUS方案radius1中,配置从认证服务器的IP地址为10.
110.
1.
2,使用UDP端口1812提供RADIUS认证/授权服务.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]secondaryauthentication10.
110.
1.
21812#在RADIUS方案radius2中,配置两个从认证服务器,IP地址分别为10.
110.
1.
1、10.
110.
1.
2,且均使用UDP端口1812提供RADIUS认证/授权服务.
system-view[Sysname]radiusschemeradius2[Sysname-radius-radius2]secondaryauthentication10.
110.
1.
11812[Sysname-radius-radius2]secondaryauthentication10.
110.
1.
21812【相关命令】displayradiusschemekey(RADIUSschemeview)primaryauthentication(RADIUSschemeview)radius-servertest-profilevpn-instance(RADIUSschemeview)1.
3.
49server-load-sharingenableserver-load-sharingenable命令用来开启RADIUS服务器负载分担功能.
undoserver-load-sharingenable命令用来关闭RADIUS服务器负载分担功能.
【命令】server-load-sharingenable1-123undoserver-load-sharingenable【缺省情况】RADIUS服务器负载分担功能处于关闭状态.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【使用指导】缺省情况下,RADIUS服务器负载分担功能处于关闭状态,RADIUS服务器的调度采用主/从模式.
主/从模式下,设备优先选取状态为active的主服务器进行交互,若主服务器不可达则尝试与从服务器交互.
设备尝试与从服务器交互时,按照从服务器的配置顺序依次选择,先配置的服务器将优先被选取.
在主/从模式下,设备选择服务器的逻辑比较单一.
如果RADIUS方案中的主服务器或者某一配置顺序靠前的从服务器始终可达,则该服务器将独立承载该方案下所有用户的AAA业务.
在大用户量下,这类服务器的负荷过重,将会影响处理用户上线的整体性能.
RADIUS方案中开启服务器负载分担功能后,设备将根据当前各服务器承载的用户负荷调度合适的服务器发送认证/计费请求.
考虑到各服务器的性能可能存在差异,设备支持管理员配置服务器时为各个服务器指定适应其性能的权重值(由weight关键字指定),权重值较大的服务器具备较大的被选取可能性.
设备在处理用户认证/计费请求时,将综合各个服务器的权重值及当前用户负荷情况,按比例进行用户负荷分配并选择要交互的服务器.
需要注意的是,负载分担模式下,某台计费服务器开始对某用户计费后,该用户后续计费请求报文均会发往同一计费服务器.
如果该计费服务器不可达,则直接返回计费失败.
【举例】#在RADIUS方案radius1中,开启RADIUS服务器负载分担功能.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]server-load-sharingenable【相关命令】primaryauthentication(RADIUSschemeview)primaryaccounting(RADIUSschemeview)secondaryauthentication(RADIUSschemeview)secondaryaccounting(RADIUSschemeview)1.
3.
50snmp-agenttrapenableradiussnmp-agenttrapenableradius命令用来开启RADIUS告警功能.
undosnmp-agenttrapenableradius命令用来关闭指定的RADIUS告警功能.
1-124【命令】snmp-agenttrapenableradius[accounting-server-down|accounting-server-up|authentication-error-threshold|authentication-server-down|authentication-server-up]*undosnmp-agenttrapenableradius[accounting-server-down|accounting-server-up|authentication-error-threshold|authentication-server-down|authentication-server-up]*【缺省情况】所有类型的RADIUS告警功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息.
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息.
authentication-error-threshold:表示认证失败次数超过阈值时发送告警信息.
该阈值为认证失败次数占认证请求总数的百分比数值,目前仅能通过MIB方式配置,取值范围为1~100,缺省为30.
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息.
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息.
【使用指导】不指定任何参数时,表示开启或关闭所有类型的RADIUS告警功能.
开启RADIUS服务器告警功能后,系统将会生成以下几种告警信息:RADIUS服务器不可达的告警:当NAS向RADIUS服务器发送计费或认证请求没有收到响应时,会重传请求,当重传次数达到最大传送次数时仍然没有收到响应时,则发送该告警信息.
RADIUS服务器可达的告警:当timerquiet定时器设定的时间到达后,NAS将服务器的状态置为激活状态并发送该告警信息.
认证失败次数超过阈值的告警:当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送该告警信息.
【举例】#开启RADIUS计费服务器可达状态变为down时的告警功能.
system-view[Sysname]snmp-agenttrapenableradiusaccounting-server-down1-1251.
3.
51stateprimarystateprimary命令用来设置主RADIUS服务器的状态.
【命令】stateprimary{accounting|authentication}{active|block}【缺省情况】主RADIUS服务器状态为active.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】accounting:主RADIUS计费服务器.
authentication:主RADIUS认证服务器.
active:正常工作状态.
block:通信中断状态.
【使用指导】当RADIUS服务器负载分担功能处于关闭状态时,每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态置为block,同时启动主服务器的timerquiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器.
在timerquiet定时器设定的时间到达之后,主服务器状态将由block恢复为active.
若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active.
当RADIUS服务器负载分担功能处于开启状态时,设备仅根据当前各服务器承载的用户负荷调度状态为active的服务器发送认证或计费请求.
如果主服务器与所有从服务器状态都是block,则采用主服务器进行认证或计费.
认证服务器的状态会影响设备对该服务器可达性探测功能的开启.
当指定的服务器状态为active,且该服务器通过radius-servertest-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能.
当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能.
【举例】#在RADIUS方案radius1中,设置主认证服务器的状态为block.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]stateprimaryauthenticationblock1-126【相关命令】displayradiusschemeradius-servertest-profileserver-load-sharingenablestatesecondary1.
3.
52statesecondarystatesecondary命令用来设置从RADIUS服务器的状态.
【命令】statesecondary{accounting|authentication}[{host-name|ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]{active|block}【缺省情况】从RADIUS服务器状态为active.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】accounting:从RADIUS计费服务器.
authentication:从RADIUS认证服务器.
host-name:从RADIUS服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:从RADIUS服务器的IPv4地址.
ipv6ipv6-address:从RADIUS服务器的IPv6地址.
port-number:从RADIUS服务器的UDP端口号,取值范围为1~65535,从RADIUS计费服务器的缺省UDP端口号为1813,从RADIUS认证服务器的缺省UDP端口号为1812.
vpn-instancevpn-instance-name:从RADIUS服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
active:正常工作状态.
block:通信中断状态.
【使用指导】如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从认证服务器或从计费服务器的状态.
当RADIUS服务器负载分担功能处于关闭状态时,如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timerquiet定时器,并继续查找下一个状态为active的从服务器.
在timerquiet定时器设定的时间到达之后,从服1-127务器状态将由block恢复为active.
若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active.
如果所有已配置的从服务器都不可达,则本次认证或计费失败.
当RADIUS服务器负载分担功能处于开启状态时,设备仅根据当前各服务器承载的用户负荷调度状态为active的服务器发送认证或计费请求.
认证服务器的状态会影响设备对该服务器可达性探测功能的开启.
当指定的服务器状态为active,且该服务器通过radius-servertest-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能.
当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能.
【举例】#在RADIUS方案radius1中,设置从认证服务器的状态设置为block.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]statesecondaryauthenticationblock【相关命令】displayradiusschemeradius-servertest-profileserver-load-sharingenablestateprimary1.
3.
53stop-accounting-bufferenable(RADIUSschemeview)stop-accounting-bufferenable命令用来开启对无响应的RADIUS停止计费请求报文的缓存功能.
undostop-accounting-bufferenable命令用来关闭对无响应的RADIUS停止计费请求报文的缓存功能.
【命令】stop-accounting-bufferenableundostop-accounting-bufferenable【缺省情况】设备缓存未得到响应的RADIUS停止计费请求报文.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【使用指导】设备在发送停止计费请求报文而RADIUS服务器没有响应时,会尝试重传该报文,最大尝试次数由retry命令设置.
如果设备发送该RADIUS报文的最大尝试次数超过最大值后,仍然没有得到响1-128应,则该功能处于开启状态的情况下设备会缓存该报文,然后再发起一次请求,若仍然未得到响应,则重复上述过程,一定次数(由retrystop-accounting命令设置)之后,设备将其丢弃.
如果RADIUS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费请求报文.
【举例】#开启对无响应的RADIUS停止计费请求报文的缓存功能.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]stop-accounting-bufferenable【相关命令】displaystop-accounting-buffer(forRADIUS)resetstop-accounting-buffer(forRADIUS)1.
3.
54stop-accounting-packetsend-forcestop-accounting-packetsend-force命令用来配置用户下线时设备强制发送RADIUS计费停止报文.
undostop-accounting-packetsend-force命令用来恢复缺省情况.
【命令】stop-accounting-packetsend-forceundostop-accounting-packetsend-force【缺省情况】用户下线时设备不会强制发送计费停止报文.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【使用指导】通常,RADIUS服务器在收到用户的计费开始报文后才会生成用户表项,但有一些RADIUS服务器在用户认证成功后会立即生成用户表项.
如果设备使用该类RADIUS服务器进行认证/授权/计费,则在用户认证后,因为一些原因(比如授权失败)并未发送计费开始报文,则在该用户下线时设备也不会发送RADIUS计费停止报文,就会导致RADIUS服务器上该用户表项不能被及时释放,形成服务器和设备上用户信息不一致的问题.
为了解决这个问题,建议开启本功能.
开启本功能后,只要用户使用RADIUS服务器进行计费,且设备未向RADIUS服务器发送计费开始报文,则在用户下线时设备会强制发送一个RADIUS计费停止报文给服务器,使得服务器收到此报文后及时释放用户表项.
【举例】#在RADIUS方案radius1中,配置用户下线时设备强制发送RADIUS计费停止报文.
system-view1-129[Sysname]radiusschemeradius1[Sysname-radius-radius1]stop-accounting-packetsend-force【相关命令】displayradiusscheme1.
3.
55test-aaatest-aaa命令用来发起一次AAA请求测试.
【命令】test-aaauseruser-namepasswordpasswordradius-schemeradius-scheme-name[radius-server{ipv4-address|ipv6ipv6-address}port-number[vpn-instancevpn-instance-name]][chap|pap][attribute-test-groupattr-test-group-name][trace]【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】useruser-name:待测试的用户名,为1~80个字符的字符串,区分大小写.
用户名中可以携带域名,形式为"纯用户名@域名",其中纯用户名区分大小写,域名不区分大小写.
passwordpassword:待测试用户的明文密码,为1~63个字符的字符串,区分大小写.
radius-schemeradius-scheme-name:RADIUS方案名称,为1~32个字符的字符串,不区分大小写.
radius-server:指定具体的RADIUS服务器.
ipv4-address:RADIUS服务器的IPv4地址.
ipv6ipv6-address:RADIUS服务器的IPv6地址.
port-number:RADIUS服务器的UDP端口号,取值范围为1~65535.
vpn-instancevpn-instance-name:RADIUS服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示待探测RADIUS服务器位于公网中.
chap:采用CHAP认证方式.
该方式也是缺省认证方式.
pap:采用PAP认证方式.
attribute-test-groupattr-test-group-name:RADIUS属性测试组的名称,为1~31个字符的字符串,不区分大小写.
trace:显示详细的RADIUS报文交互信息.
若不指定该参数,则表示仅显示报文收发结果及最终的测试结果.
1-130【使用指导】本命令主要用于排查设备与AAA服务器交互时的故障原因,目前仅支持对RADIUS服务器的测试.
当故障发生时,执行本命令发起一次RADIUS请求测试,通过查看打印出的认证/计费请求结果以及报文交互信息,有利于快速定位故障发生的关键环节,以及及时排查影响认证/计费结果的RADIUS属性.
可以在执行本命令时指定RADIUS属性测试组,指定的测试组中定义了RADIUS请求报文中要携带的属性.
如果本命令中未指定RADIUS属性测试组或指定的RADIUS属性测试组不存在,则测试过程中发送的RADIUS请求报文中将会携带一些缺省属性,缺省属性的介绍请参见AAA配置手册.
由于测试期间不能保证设备与AAA服务器可以正常通信,因此不建议同时允许用户进行正常的上线、下线操作.
测试过程中,如果引用的RADIUS方案配置发生变化,则仅在下次测试中生效,并不影响本次探测.
仅允许在同一时间内存在一个测试过程,下一次测试只能在当前测试过程完成后执行.
【举例】#发起一次AAA请求测试,使用的测试用户名为user1,密码为123456,RADIUS方案名为test,同时打印详细的RADIUS报文交互信息.
test-aaauseruser1password123456radius-schemetestchaptraceSentaRADIUSauthenticationrequest.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1812Packettype:AuthenticationrequestPacketlength:118bytesPacketID:0Attributelist:[User-Name(1)][6][user1][CHAP-Password(3)][19][NAS-IP-Address(4)][6][192.
168.
1.
166][Service-Type(6)][6][2][Framed][Framed-Protocol(7)][6][1][PPP][NAS-Identifier(32)][5][Sysname][Acct-Session-Id(44)][40][00000008201707241008280000000c16100171][CHAP-Challenge(60)][18][NAS-Port-Type(61)][6][15][Ethernet]ReceivedaRADIUSauthenticationresponse.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1812Packettype:Access-RejectPacketlength:20bytesPacketID:0Reply-Message:"E63032:Incorrectpassword.
Youcanretry9times.
"1-131SentaRADIUSstart-accountingrequest.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1813Packettype:Start-accountingrequestPacketlength:63bytesPacketID:1Attributelist:[User-Name(1)][6][user1][Acct-Status-Type(40)][6][1][Start][NAS-IP-Address(4)][6][192.
168.
1.
166][NAS-Identifier(32)][5][Sysname][Acct-Session-Id(44)][40][00000008201707241008280000000c16100171]ReceivedaRADIUSstart-accountingresponse.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1813Packettype:Start-accountingresponsePacketlength:20bytesPacketID:1SentaRADIUSstop-accountingrequest.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1813Packettype:Stop-accountingrequestPacketlength:91bytesPacketID:1Attributelist:[User-Name(1)][6][user1][Acct-Status-Type(40)][6][2][Stop][NAS-IP-Address(4)][6][192.
168.
1.
166][NAS-Identifier(32)][5][Sysname][Acct-Delay-Time(41)][6][0][Acct-Session-Id(44)][40][00000008201707241008280000000c16100171][Acct-Terminate-Cause(49)][6][1][UserRequest]ReceivedaRADIUSstop-accountingresponse.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1813Packettype:Stop-accountingresponse1-132Packetlength:20bytesPacketID:1Testresult:Failed#发起一次AAA请求测试,使用的测试用户名为user1,密码为123456,RADIUS方案名为test,指定探测test下认证服务器192.
168.
1.
110,且不打印详细的RADIUS报文交互信息.
test-aaauseruser1password123456radius-schemetestradius-server192.
168.
1.
1101812SentaRADIUSauthenticationrequest.
ReceivedaRADIUSauthenticationresponse.
Testresult:Successful表1-10test-aaa命令显示信息描述表字段描述ServerIP服务器的IP地址SourceIPRADIUS报文源IP地址VPNinstanceRADIUS认证/计费服务器所在的VPN,服务器位于公网时,显示为N/AServerportRADIUS认证/计费服务器的UDP端口号PackettypeRADIUS报文类型:Authenticationrequest:认证请求报文Access-Accept:认证接受报文Access-Reject:认证拒绝报文Start-accountingrequest:开始计费请求报文Start-accountingresponse:开始计费响应报文Stop-accountingrequest:停止计费请求报文Stop-accountingresponse:停止计费响应报文Packetlength报文总长度,单位为字节PacketID报文ID,用于匹配响应报文和对应的请求报文[attribute-name(code)][length][value][description]RADIUS属性信息:attribute-name:属性名称code:属性编号length:属性值的长度,单位为字节value:属性值description:特殊属性值的描述信息SentaRADIUSauthenticationrequest.
成功发送了一个认证请求报文FailedtoreceiveaRADIUSauthenticationresponse.
认证请求已超时,未收到应答ReceivedaRADIUSauthenticationresponse.
接收到一个认证响应报文1-133SentaRADIUSstart-accountingrequest.
成功发送了一个计费开始请求报文FailedtoreceiveaRADIUSstart-accountingresponse.
计费开始请求已超时,未收到应答ReceivedaRADIUSstart-accountingresponse.
接收到一个计费开始请求报文SentaRADIUSstop-accountingrequest.
成功发送了一个计费停止请求报文FailedtoreceiveaRADIUSstop-accountingresponse.
计费停止请求已超时,未收到应答ReceivedaRADIUSstop-accountingresponse.
接收到一个计费停止请求报文Reply-Message:RADIUS服务器拒绝此认证请求,并下发提示信息Theauthenticationserverisnotconfigured.
指定的RADIUS方案中未配置要探测的认证服务器Theaccountingserverisnotconfigured.
指定的RADIUS方案中未配置要探测的计费服务器Testresult测试结果:Successful:当前用户的AAA测试成功Failed:当前用户的AAA测试失败(只要有一个请求报文测试失败,即为失败)【相关命令】radiusattribute-test-groupradiusscheme1.
3.
56timerquiet(RADIUSschemeview)timerquiet命令用来设置服务器恢复激活状态的时间.
undotimerquiet命令用来恢复缺省情况.
【命令】timerquietminutesundotimerquiet【缺省情况】服务器恢复激活状态的时间为5分钟.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】minutes:恢复激活状态的时间,取值范围为0~255,单位为分钟.
该参数取值为0时,若当前用户使用的认证或计费服务器不可达,则设备并不会切换它的状态,而是保持其为active,并且1-134将使用该服务器的用户认证或计费请求报文发送给下一个状态为active的服务器,而后续其它用户的认证/计费请求报文仍然可以发送给该服务器进行处理.
【使用指导】建议合理设置服务器恢复激活状态的时间:如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题.
如果服务器恢复激活状态时间设置的过长,当服务器恢复可达后,设备不能及时与其进行通信,会降低对用户进行认证或计费的效率.
【举例】#在RADIUS方案radius1中,配置服务器恢复激活状态的时间为10分钟.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]timerquiet10【相关命令】displayradiusscheme1.
3.
57timerrealtime-accounting(RADIUSschemeview)timerrealtime-accounting命令用来设置实时计费的时间间隔.
undotimerrealtime-accounting命令用来恢复缺省情况.
【命令】timerrealtime-accountinginterval[second]undotimerrealtime-accounting【缺省情况】实时计费的时间间隔为12分钟.
【视图】RADIUS方案视图【缺省用户角色】network-adminmdc-admin【参数】interval:实时计费的时间间隔,取值范围为0~71582.
second:表示实时计费的时间间隔以秒为单位,缺省以分钟为单位.
【使用指导】为了对用户实施实时计费,有必要设置实时计费的时间间隔.
不同的取值的处理有所不同:若实时计费间隔不为0,则每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息.
1-135若实时计费间隔设置为0,且服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息.
实时计费间隔的取值小,计费准确性高,但对设备和RADIUS服务器的性能要求就高.
表1-11实时计费间隔与用户量之间的推荐比例关系用户数实时计费间隔(分钟)1~993100~4996500~99912大于等于1000大于等于15不同情况下修改的实时计费间隔,对于已在线用户的生效情况有所不同:将实时计费间隔从非0有效值改为0,或者从0修改为非0有效值后,已在线用户会依然采用原有取值,修改后的取值对其不生效.
将实时计费间隔从某非0有效值修改为其它非0有效值后,已在线用户将会采用修改后的取值.
对于未进行RADIUS认证和授权,仅进行RADIUS计费的用户,只能使用计费方案下设置的实时计费间隔,不会使用RADIUS服务器设置的实时计费间隔.
【举例】#在RADIUS方案radius1中,设置实时计费的时间间隔为51分钟.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]timerrealtime-accounting51【相关命令】retryrealtime-accounting1.
3.
58timerresponse-timeout(RADIUSschemeview)timerresponse-timeout命令用来设置RADIUS服务器响应超时时间.
undotimerresponse-timeout命令用来恢复缺省情况.
【命令】timerresponse-timeoutsecondsundotimerresponse-timeout【缺省情况】RADIUS服务器响应超时时间为3秒.
【视图】RADIUS方案视图1-136【缺省用户角色】network-adminmdc-admin【参数】seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒.
【使用指导】如果在RADIUS请求报文传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时间,本命令用于调整这个时间.
需要注意的是:发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线.
设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败.
因此,为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间.
【举例】#在RADIUS方案radius1中,设置服务器响应超时时间设置为5秒.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]timerresponse-timeout5【相关命令】displayradiusschemeretry1.
3.
59user-name-format(RADIUSschemeview)user-name-format命令用来设置发送给RADIUS服务器的用户名格式.
undouser-name-format命令用来恢复缺省情况.
【命令】user-name-format{keep-original|with-domain|without-domain}undouser-name-format【缺省情况】发送给RADIUS服务器的用户名携带ISP域名.
【视图】RADIUS方案视图1-137【缺省用户角色】network-adminmdc-admin【参数】keep-original:发送给RADIUS服务器的用户名与用户的输入保持一致.
with-domain:发送给RADIUS服务器的用户名携带ISP域名.
without-domain:发送给RADIUS服务器的用户名不携带ISP域名.
【使用指导】接入用户通常以"userid@isp-name"的格式命名,"@"后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的.
但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器.
因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名.
如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案.
否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误.
在802.
1X用户采用EAP认证方式的情况下,RADIUS方案中配置的user-name-format命令无效,客户端传送给RADIUS服务器的用户名与用户输入的用户名保持一致.
【举例】#在RADIUS方案radius1中,设置发送给RADIUS服务器的用户名不得携带域名.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]user-name-formatwithout-domain【相关命令】displayradiusscheme1.
3.
60vpn-instance(RADIUSschemeview)vpn-instance命令用来配置RADIUS方案所属的VPN.
undovpn-instance命令用来恢复缺省情况.
【命令】vpn-instancevpn-instance-nameundovpn-instance【缺省情况】RADIUS方案属于公网.
【视图】RADIUS方案视图【缺省用户角色】network-admin1-138mdc-admin【参数】vpn-instance-name:MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
【使用指导】本命令配置的VPN对于该方案下的所有RADIUS认证/计费服务器生效,但设备优先使用配置RADIUS认证/计费服务器时为各服务器单独指定的VPN.
【举例】#配置RADIUS方案radius1所属的VPN为test.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]vpn-instancetest【相关命令】displayradiusscheme1.
4HWTACACS配置命令1.
4.
1data-flow-format(HWTACACSschemeview)data-flow-format命令用来配置发送到HWTACACS服务器的数据流或者数据包的单位.
undodata-flow-format命令用来恢复缺省情况.
【命令】data-flow-format{data{byte|giga-byte|kilo-byte|mega-byte}|packet{giga-packet|kilo-packet|mega-packet|one-packet}}*undodata-flow-format{data|packet}【缺省情况】数据流的单位为byte,数据包的单位为one-packet.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】data:设置数据流的单位.
byte:数据流的单位为字节.
giga-byte:数据流的单位千兆字节.
kilo-byte:数据流的单位为千字节.
mega-byte:数据流的单位为兆字节.
packet:设置数据包的单位.
1-139giga-packet:数据包的单位为千兆包.
kilo-packet:数据包的单位为千包.
mega-packet:数据包的单位为兆包.
one-packet:数据包的单位为包.
【使用指导】设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费.
【举例】#在HWTACACS方案hwt1中,设置发往HWTACACS服务器的数据流的数据单位为千字节、数据包的单位为千包.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]data-flow-formatdatakilo-bytepacketkilo-packet【相关命令】displayhwtacacsscheme1.
4.
2displayhwtacacsschemedisplayhwtacacsscheme命令用来查看HWTACACS方案的配置信息或HWTACACS服务相关的统计信息.
【命令】displayhwtacacsscheme[hwtacacs-scheme-name[statistics]]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】hwtacacs-scheme-name:HWTACACS方案的名称,为1~32个字符的字符串,不区分大小写.
如果不指定该参数,则显示所有HWTACACS方案的配置信息.
statistics:显示HWTACACS服务相关的统计信息.
不指定该参数,则显示HWTACACS方案的配置信息.
【举例】#查看所有HWTACACS方案的配置情况.
displayhwtacacsschemeTotal1HWTACACSschemes1-140HWTACACSSchemeName:hwtacIndex:0PrimaryAuthServer:Hostname:NotconfiguredIP:2.
2.
2.
2Port:49State:ActiveVPNInstance:2Single-connection:EnabledPrimaryAuthorServer:Hostname:NotconfiguredIP:2.
2.
2.
2Port:49State:ActiveVPNInstance:2Single-connection:DisabledPrimaryAcctServer:Hostname:NotconfiguredIP:NotConfiguredPort:49State:BlockVPNInstance:NotconfiguredSingle-connection:DisabledVPNInstance:2NASIPAddress:2.
2.
2.
3ServerQuietPeriod(minutes):5RealtimeAccountingInterval(minutes):12Stop-accountingpacketsbuffering:EnabledRetransmissiontimes:100ResponseTimeoutInterval(seconds):5UsernameFormat:with-domainDataflowunit:BytePacketunit:one表1-12displayhwtacacsscheme命令显示信息描述表字段描述Total1HWTACACSschemes共计1个HWTACACS方案HWTACACSSchemeNameHWTACACS方案的名称IndexHWTACACS方案的索引号PrimaryAuthServer主HWTACACS认证服务器PrimaryAuthorServer主HWTACACS授权服务器PrimaryAcctServer主HWTACACS计费服务器SecondaryAuthServer从HWTACACS认证服务器SecondaryAuthorServer从HWTACACS授权服务器SecondaryAcctServer从HWTACACS计费服务器HostnameHWTACACS服务器的主机名未配置时,显示为Notconfigured1-141字段描述IPHWTACACS服务器的IP地址未配置时,显示为NotconfiguredPortHWTACACS服务器的端口号未配置时,显示缺省值StateHWTACACS服务器目前状态Active:激活状态Block:静默状态VPNInstanceHWTACACS服务器或HWTACACS方案所在的VPN未配置时,显示为NotconfiguredSingle-connection单连接状态Enabled:使用一条TCP连接与服务器通信Disabled:每次新建TCP连接与服务器通信NASIPAddress配置的发送HWTACACS报文的源IP地址或源接口未配置时,显示为NotconfiguredServerQuietPeriod(minutes)主HWTACACS服务器恢复激活状态的时间(分钟)RealtimeAccountingInterval(minutes)实时HWTACACS计费更新报文的发送间隔(分钟)Stop-accountingpacketsbufferingHWTACACS停止计费请求报文缓存功能的开启情况Retransmissiontimes发起HWTACACS停止计费请求的最大尝试次数ResponseTimeoutInterval(seconds)HWTACACS服务器超时时间(秒)UsernameFormat用户名格式with-domain:携带域名without-domain:不携带域名keep-original:与用户输入保持一致Dataflowunit数据流的单位Packetunit数据包的单位#查看HWTACACS方案tac的统计信息.
displayhwtacacsschemetacstatisticsPrimaryauthenticationserver:111.
8.
0.
244Roundtriptime:20secondsRequestpackets:1Loginrequestpackets:1Change-passwordrequestpackets:0Requestpacketsincludingplaintextpasswords:0Requestpacketsincludingciphertextpasswords:0Responsepackets:2Passresponsepackets:11-142Failureresponsepackets:0Get-dataresponsepackets:0Get-usernameresponsepackets:0Get-passwordresponsepackets:1Restartresponsepackets:0Errorresponsepackets:0Followresponsepackets:0Malformedresponsepackets:0Continuepackets:1Continue-abortpackets:0Pendingrequestpackets:0Timeoutpackets:0Unknowntyperesponsepackets:0Droppedresponsepackets:0Primaryauthorizationserver:111.
8.
0.
244Roundtriptime:1secondsRequestpackets:1Responsepackets:1PassAddresponsepackets:1PassReplyresponsepackets:0Failureresponsepackets:0Errorresponsepackets:0Followresponsepackets:0Malformedresponsepackets:0Pendingrequestpackets:0Timeoutpackets:0Unknowntyperesponsepackets:0Droppedresponsepackets:0Primaryaccountingserver:111.
8.
0.
244Roundtriptime:0secondsRequestpackets:2Accountingstartrequestpackets:1Accountingstoprequestpackets:1Accountingupdaterequestpackets:0Pendingrequestpackets:0Responsepackets:2Successresponsepackets:2Errorresponsepackets:0Followresponsepackets:0Malformedresponsepackets:0Timeoutresponsepackets:0Unknowntyperesponsepackets:0Droppedresponsepackets:01-143表1-13displayhwtacacsschemestatistics命令显示信息描述表字段描述Primaryauthenticationserver主HWTACACS认证服务器Primaryauthorizationserver主HWTACACS授权服务器Primaryaccountingserver主HWTACACS计费服务器Secondaryauthenticationserver从HWTACACS认证服务器Secondaryauthorizationserver从HWTACACS授权服务器Secondaryaccountingserver从HWTACACS计费服务器Roundtriptime设备处理最近一组响应报文和请求报文的时间间隔(单位为秒)Requestpackets发送的请求报文个数Loginrequestpackets发送的登录认证的请求报文个数Change-passwordrequestpackets发送的更改密码的请求报文个数Requestpacketsincludingplaintextpasswords发送明文密码的请求报文个数Requestpacketsincludingciphertextpasswords发送密文密码的请求报文个数Responsepackets接收到的响应报文个数Passresponsepackets表示认证通过的响应报文个数Failureresponsepackets认证或授权失败的响应报文个数Get-dataresponsepackets表示获取数据的响应报文个数Get-usernameresponsepackets表示获取用户名的响应报文个数Get-passwordresponsepackets表示获取密码的响应报文个数Restartresponsepackets要求重认证的响应报文个数Errorresponsepackets错误类型的响应报文个数FollowresponsepacketsFollow类型的响应报文的个数Malformedresponsepackets不合法的响应报文个数Continuepackets发送的Continue报文个数Continue-abortpackets发送的Continue-abort报文个数Pendingrequestpackets等待响应的请求报文个数Timeoutresponsepackets超时的请求报文个数Unknowntyperesponsepackets未知报文类型的响应报文个数Droppedresponsepackets被丢弃响应报文个数PassAddresponsepackets接收到的PassAdd类型的响应报文个数.
此报文表示同意授权所有请求的属性,并添加其他授权属性1-144字段描述PassReplyresponsepackets接收到的PassReply类型的响应报文个数.
此报文表示采用响应报文中指定的授权属性替换请求的授权属性Accountingstartrequestpackets发送的计费开始请求报文个数Accountingstoprequestpackets发送的计费结束请求报文个数Accountingupdaterequestpackets发送的计费更新请求报文个数Successresponsepackets接收到的计费成功的响应报文个数【相关命令】resethwtacacsstatistics1.
4.
3displaystop-accounting-buffer(forHWTACACS)displaystop-accounting-buffer命令用来显示缓存的HWTACACS停止计费请求报文的相关信息.
【命令】displaystop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】hwtacacs-schemehwtacacs-scheme-name:表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
【举例】#显示HWTACACS方案hwt1缓存的HWTACACS停止计费请求报文.
displaystop-accounting-bufferhwtacacs-schemehwt1Totalentries:2SchemeIPaddressUsernameFirstsendingtimeAttemptshwt1192.
168.
100.
1abc23:27:16-08/31/201519hwt1192.
168.
90.
6bob23:33:01-08/31/201520表1-14displaystop-accounting-buffer命令显示信息描述表字段描述Totalentries:2共有两条记录匹配SchemeHWTACACS方案名1-145字段描述IPaddress用户IP地址Username用户名Firstsendingtime首次发送停止计费请求的时间Attempts发送停止计费请求报文的次数【相关命令】retrystop-accounting(HWTACACSschemeview)resetstop-accounting-buffer(forHWTACACS)stop-accounting-bufferenable(HWTACACSschemeview)user-name-format(HWTACACSschemeview)1.
4.
4hwtacacsnas-iphwtacacsnas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址.
undohwtacacsnas-ip命令用来删除指定的发送HWTACACS报文使用的源IP地址.
【命令】hwtacacsnas-ip{interfaceinterface-typeinterface-number|{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]}undohwtacacsnas-ip{interface|{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]}【缺省情况】未指定发送HWTACACS报文使用的源IP地址,设备将使用到达HWTACACS服务器的路由出接口的主IPv4地址或IPv6地址作为发送HWTACACS报文的源IP地址.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】interfaceinterface-typeinterface-number:指定源接口,即发送HWTACACS报文的源IPv4地址为该接口的主IPv4地址,发送HWTACACS报文的源IPv6地址为该接口上配置的IPv6地址.
interface-typeinterface-number为接口类型和接口编号.
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址.
1-146vpn-instancevpn-instance-name:指定私网源IP地址所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
若不指定该参数,则表示配置的是公网源地址.
【使用指导】HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求.
因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致.
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址.
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效.
系统视图下的配置的源IP地址(通过hwtacacsnas-ip命令)对所有HWTACACS方案有效.
HWTACACS方案视图下的设置具有更高的优先级.
系统视图下最多允许指定16个源地址.
其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址.
对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址.
系统视图下,最多允许指定一个源接口,请确保指定的源接口与RADIUS服务器路由可达.
源接口配置和源IP地址配置不能同时存在,后配置的生效.
【举例】#设置设备发送HWTACACS报文使用的源IP地址为129.
10.
10.
1.
system-view[Sysname]hwtacacsnas-ip129.
10.
10.
1【相关命令】nas-ip(HWTACACSschemeview)1.
4.
5hwtacacsschemehwtacacsscheme命令用来创建HWTACACS方案,并进入HWTACACS方案视图.
如果指定的HWTACACS方案已经存在,则直接进入HWTACACS方案视图.
undohwtacacsscheme命令用来删除指定的HWTACACS方案.
【命令】hwtacacsschemehwtacacs-scheme-nameundohwtacacsschemehwtacacs-scheme-name【缺省情况】不存在HWTACACS方案.
1-147【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写.
【使用指导】一个HWTACACS方案可以同时被多个ISP域引用.
最多可以配置16个HWTACACS方案.
【举例】#创建名称为hwt1的HWTACACS方案并进入相应的HWTACACS视图.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]【相关命令】displayhwtacacsscheme1.
4.
6key(HWTACACSschemeview)key命令用来配置HWTACACS认证、授权、计费报文的共享密钥.
undokey命令用来删除指定的HWTACACS报文的共享密钥.
【命令】key{accounting|authentication|authorization}{cipher|simple}stringundokey{accounting|authentication|authorization}【缺省情况】未配置HWTACACS报文的共享密钥.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】accounting:指定HWTACACS计费报文的共享密钥.
authentication:指定HWTACACS认证报文的共享密钥.
authorization:指定HWTACACS授权报文的共享密钥.
cipher:以密文方式设置密钥.
1-148simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
FIPS模式下,明文密钥为15~255个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~373个字符的字符串.
【使用指导】必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致.
【举例】#在HWTACACS方案hwt1中,配置HWTACACS认证报文共享密钥为明文123456TESTauth&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]keyauthenticationsimple123456TESTauth&!
#配置HWTACACS授权报文共享密钥为明文123456TESTautr&!
.
[Sysname-hwtacacs-hwt1]keyauthorizationsimple123456TESTautr&!
#配置HWTACACS计费报文共享密钥为明文123456TESTacct&!
.
[Sysname-hwtacacs-hwt1]keyaccountingsimple123456TESTacct&!
【相关命令】displayhwtacacsscheme1.
4.
7nas-ip(HWTACACSschemeview)nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址.
undonas-ip命令用来删除指定类型的发送HWTACACS报文使用的源IP地址.
【命令】nas-ip{ipv4-address|interfaceinterface-typeinterface-number|ipv6ipv6-address}undonas-ip[interface|ipv6]【缺省情况】未指定设备发送HWTACACS报文使用的源IP地址,使用系统视图下由命令hwtacacsnas-ip指定的源IP地址.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】interfaceinterface-typeinterface-number:指定源接口,即发送HWTACACS报文的源IPv4地址为该接口的主IPv4地址,发送RADIUS报文的源IPv6地址为该接口上配置的IPv6地址.
interface-typeinterface-number为接口类型和接口编号.
1-149ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址.
【使用指导】HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权、计费请求.
因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致.
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址.
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效.
系统视图下的配置的源IP地址(通过hwtacacsnas-ip命令)对所有HWTACACS方案有效.
HWTACACS方案视图下的设置具有更高的优先级.
一个HWTACACS方案视图下:最多允许指定一个IPv4源地址和一个IPv6源地址.
最多允许指定一个源接口,请确保指定的源接口与HWTACACS服务器路由可达.
源接口配置和源IP地址配置不能同时存在,后配置的生效.
如果undonas-ip命令中不指定任何关键字,则表示删除发送HWTACACS报文使用的源IPv4地址.
【举例】#在HWTACACS方案hwt1中,设置设备发送HWTACACS报文使用的源IP地址为10.
1.
1.
1.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]nas-ip10.
1.
1.
1【相关命令】displayhwtacacsschemehwtacacsnas-ip1.
4.
8primaryaccounting(HWTACACSschemeview)primaryaccounting命令用来配置主HWTACACS计费服务器.
undoprimaryaccounting命令用来恢复缺省情况.
【命令】primaryaccounting{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*1-150undoprimaryaccounting【缺省情况】未配置HWTACACS主计费服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】host-name:主HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:主HWTACACS计费服务器的IPv4地址.
ipv6ipv6-address:主HWTACACS计费服务器的IPv6地址.
port-number:主HWTACACS计费服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与主HWTACACS计费服务器交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
FIPS模式下,明文密钥为15~255个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~373个字符的字符串.
single-connection:所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接.
如果未指定本参数,则表示每次计费都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:主HWTACACS计费服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主HWTACACS计费服务器位于公网中.
【使用指导】配置的主计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致.
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与计费服务器没有报文交互时,才允许删除该服务器.
计费服务器删除后,只对之后的计费过程有影响.
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
1-151【举例】#在HWTACACS方案hwt1中,配置主HWTACACS计费服务器的IP地址为10.
163.
155.
12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!
.
system-view[Sysname]hwtacacsschemehw1[Sysname-hwtacacs-hw1]primaryaccounting10.
163.
155.
1249keysimple123456TESTacct&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)secondaryaccountingvpn-instance(HWTACACSschemeview)1.
4.
9primaryauthentication(HWTACACSschemeview)primaryauthentication命令用来配置主HWTACACS认证服务器.
undoprimaryauthentication命令用来恢复缺省情况.
【命令】primaryauthentication{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undoprimaryauthentication【缺省情况】未配置主HWTACACS认证服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】host-name:主HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:主HWTACACS认证服务器的IPv4地址.
ipv6ipv6-address:主HWTACACS认证服务器的IPv6地址.
port-number:主HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与主HWTACACS认证服务器交互的认证报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
FIPS模式下,明文密钥为15~255个字符的字符串,密钥元素的1-152最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~373个字符的字符串.
single-connection:所有与主HWTACACS认证服务器交互的计费报文使用同一个TCP连接.
如果未指定本参数,则表示向主HWTACACS计费服务器发送计费报文都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:主HWTACACS认证服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主HWTACACS认证服务器位于公网中.
【使用指导】配置的主认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致.
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与认证服务器没有报文交互时,才允许删除该服务器.
认证服务器删除后,只对之后的认证过程有影响.
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
【举例】#在HWTACACS方案hwt1中,配置主HWTACACS认证服务器的IP地址为10.
163.
155.
13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]primaryauthentication10.
163.
155.
1349keysimple123456TESTauth&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)secondaryauthenticationvpn-instance(HWTACACSschemeview)1.
4.
10primaryauthorizationprimaryauthorization命令用来配置主HWTACACS授权服务器.
undoprimaryauthorization命令用来恢复缺省情况.
【命令】primaryauthorization{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*1-153undoprimaryauthorization【缺省情况】未配置主HWTACACS授权服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】host-name:主HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:主HWTACACS授权服务器的IPv4地址.
ipv6ipv6-address:主HWTACACS授权服务器的IPv6地址.
port-number:主HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与主HWTACACS授权服务器交互的授权报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
FIPS模式下,明文密钥为15~255个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~373个字符的字符串.
single-connection:所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接.
如果未指定本参数,则表示每次授权都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:主HWTACACS授权服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主HWTACACS授权服务器位于公网中.
【使用指导】配置的主授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致.
在同一个方案中指定的主授权服务器和从授权服务器的VPN、主机名、IP地址、端口号不能完全相同.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与授权服务器没有报文交互时,才允许删除该服务器.
授权服务器删除后,只对之后的授权过程有影响.
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
1-154【举例】#在HWTACACS方案hwt1中,配置主HWTACACS授权服务器的IP地址为10.
163.
155.
13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]primaryauthorization10.
163.
155.
1349keysimple123456TESTautr&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)secondaryauthorizationvpn-instance(HWTACACSschemeview)1.
4.
11resethwtacacsstatisticsresethwtacacsstatistics命令用来清除HWTACACS协议的统计信息.
【命令】resethwtacacsstatistics{accounting|all|authentication|authorization}【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】accounting:清除HWTACACS协议关于计费的统计信息.
all:清除HWTACACS的所有统计信息.
authentication:清除HWTACACS协议关于认证的统计信息.
authorization:清除HWTACACS协议关于授权的统计信息.
【举例】#清除HWTACACS协议的所有统计信息.
resethwtacacsstatisticsall【相关命令】displayhwtacacsscheme1.
4.
12resetstop-accounting-buffer(forHWTACACS)resetstop-accounting-buffer命令用来清除缓存的HWTACACS停止计费请求报文.
【命令】resetstop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name1-155【视图】用户视图【缺省用户角色】network-adminmdc-admin【参数】hwtacacs-schemehwtacacs-scheme-name:表示指定HWTACACS方案的停止计费请求报文.
其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
【举例】#清除缓存的HWTACACS方案hwt1的HWTACACS停止计费请求报文.
resetstop-accounting-bufferhwtacacsschemehwt1【相关命令】displaystop-accounting-buffer(forHWTACACS)stop-accounting-bufferenable(HWTACACSschemeview)1.
4.
13retrystop-accounting(HWTACACSschemeview)retrystop-accounting命令用来设置发起HWTACACS停止计费请求的最大尝试次数.
undoretrystop-accounting命令用来恢复缺省情况.
【命令】retrystop-accountingretriesundoretrystop-accounting【缺省情况】发起HWTACACS停止计费请求的最大尝试次数为100.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】retries:允许停止计费请求无响应的最大次数,取值范围为1~300.
【使用指导】设备发送HWTACACS停止计费请求报文无响应后,将会缓存该报文并尝试重复发送该报文,当发送的停止计费请求总数达到指定的最大尝试次数之后仍未得到响应时,将其丢弃.
【举例】#在HWTACACS方案hwt1中,设置发起HWTACACS停止计费请求的最大尝试次数为300.
1-156system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]retrystop-accounting300【相关命令】displaystop-accounting-buffer(forHWTACACS)timerresponse-timeout(HWTACACSschemeview)1.
4.
14secondaryaccounting(HWTACACSschemeview)secondaryaccounting命令用来配置从HWTACACS计费服务器.
undosecondaryaccounting命令用来删除指定的从HWTACACS计费服务器.
【命令】secondaryaccounting{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undosecondaryaccounting[{host-name|ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]【缺省情况】未配置从HWTACACS计费服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】host-name:从HWTACACS计费服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:从HWTACACS计费服务器的IPv4地址.
ipv6ipv6-address:从HWTACACS计费服务器的IPv6地址.
port-number:从HWTACACS计费服务器的端口号,取值范围为1~65535,缺省值为49.
key:与从HWTACACS计费服务器交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
FIPS模式下,明文密钥为15~255个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~373个字符的字符串.
single-connection:所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接.
如果未指定本参数,则表示每次计费都会使用一个新的TCP连接.
1-157vpn-instancevpn-instance-name:从HWTACACS计费服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从HWTACACS计费服务器位于公网中.
【使用指导】配置的从计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致.
每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
如果不指定任何参数,则undo命令将删除所有从计费服务器.
在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、主机名、IP地址、端口号也不能完全相同.
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与计费服务器没有报文交互时,才允许删除该服务器.
计费服务器删除后,只对之后的计费过程有影响.
【举例】#在HWTACACS方案hwt1中,配置从HWTACACS计费服务器的IP地址为10.
163.
155.
12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]secondaryaccounting10.
163.
155.
1249keysimple123456TESTacct&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)primaryaccounting(HWTACACSschemeview)vpn-instance(HWTACACSschemeview)1.
4.
15secondaryauthentication(HWTACACSschemeview)secondaryauthentication命令用来配置从HWTACACS认证服务器.
undosecondaryauthentication命令用来删除指定的从HWTACACS认证服务器.
【命令】secondaryauthentication{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undosecondaryauthentication[{host-name|ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]1-158【缺省情况】未配置从HWTACACS认证服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】host-name:从HWTACACS认证服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:从HWTACACS认证服务器的IPv4地址.
ipv6ipv6-address:从HWTACACS认证服务器的IPv6地址.
port-number:从HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与从HWTACACS认证服务器交互的认证报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
FIPS模式下,明文密钥为15~255个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~373个字符的字符串.
single-connection:所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接.
如果未指定本参数,则表示每次认证都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:从HWTACACS认证服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从HWTACACS服务器位于公网中.
【使用指导】配置的从认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致.
每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
如果不指定任何参数,则undo命令将删除所有从认证服务器.
在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、主机名、IP地址、端口号也不能完全相同.
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
1-159只有在设备与认证服务器没有报文交互时,才允许删除该服务器.
认证服务器删除后,只对之后的认证过程有影响.
【举例】#在HWTACACS方案hwt1中,配置从HWTACACS认证服务器的IP地址为10.
163.
155.
13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]secondaryauthentication10.
163.
155.
1349keysimple123456TESTauth&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)primaryauthentication(HWTACACSschemeview)vpn-instance(HWTACACSschemeview)1.
4.
16secondaryauthorizationsecondaryauthorization命令用来配置从HWTACACS授权服务器.
undosecondaryauthorization命令用来删除指定的从HWTACACS授权服务器.
【命令】secondaryauthorization{host-name|ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undosecondaryauthorization[{host-name|ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]【缺省情况】未配置从HWTACACS授权服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】host-name:从HWTACACS授权服务器的主机名,为1~253个字符的字符串,不区分大小写.
ipv4-address:从HWTACACS授权服务器的IPv4地址.
ipv6ipv6-address:从HWTACACS授权服务器的IPv6地址.
port-number:从HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与从HWTACACS授权服务器交互的授权报文的共享密钥.
cipher:以密文方式设置密钥.
1-160simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
非FIPS模式下,明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
FIPS模式下,明文密钥为15~255个字符的字符串,密钥元素的最少组合类型为4(必须包括数字、大写字母、小写字母以及特殊字符);密文密钥为15~373个字符的字符串.
single-connection:所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接.
如果未指定本参数,则表示每次授权都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:从HWTACACS授权服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从HWTACACS授权服务器位于公网中.
【使用指导】配置的从授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致.
每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
如果不指定任何参数,则undo命令将删除所有从授权服务器.
在同一个方案中指定的主授权服务器和从授权服务器的VPN参数、主机名、IP地址、端口号不能完全相同,并且各从授权服务器的VPN、主机名、IP地址、端口号也不能完全相同.
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与授权服务器没有报文交互时,才允许删除该服务器.
授权服务器删除后,只对之后的授权过程有影响.
【举例】#在HWTACACS方案hwt1中,配置从HWTACACS授权服务器的IP地址为10.
163.
155.
13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]secondaryauthorization10.
163.
155.
1349keysimple123456TESTautr&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)primaryauthorization(HWTACACSschemeview)vpn-instance(HWTACACSschemeview)1-1611.
4.
17stop-accounting-bufferenable(HWTACACSschemeview)stop-accounting-bufferenable命令用来开启对无响应的HWTACACS停止计费请求报文的缓存功能.
undostop-accounting-bufferenable命令用来关闭对无响应的HWTACACS停止计费请求报文的缓存功能.
【命令】stop-accounting-bufferenableundostop-accounting-bufferenable【缺省情况】设备缓存未得到响应的HWTACACS计费请求报文.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【使用指导】开启对无响应的HWTACACS停止计费请求报文的缓存功能后,设备在发送停止计费请求报文而HWTACACS服务器没有响应时,会将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制(由retrystop-accounting命令设置)后将其丢弃.
如果HWTACACS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费报文.
【举例】#开启对无响应的HWTACACS停止计费请求报文的缓存功能.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]stop-accounting-bufferenable【相关命令】displaystop-accounting-buffer(forHWTACACS)resetstop-accounting-buffer(forHWTACACS)1.
4.
18timerquiet(HWTACACSschemeview)timerquiet命令用来设置服务器恢复激活状态的时间.
undotimerquiet命令用来恢复缺省情况.
【命令】timerquietminutesundotimerquiet1-162【缺省情况】服务器恢复激活状态的时间为5分钟.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟.
【举例】#设置服务器恢复激活状态的时间为10分钟.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]timerquiet10【相关命令】displayhwtacacsscheme1.
4.
19timerrealtime-accounting(HWTACACSschemeview)timerrealtime-accounting命令用来设置实时计费的时间间隔.
undotimerrealtime-accounting命令用来恢复缺省情况.
【命令】timerrealtime-accountingminutesundotimerrealtime-accounting【缺省情况】实时计费的时间间隔为12分钟.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟.
0表示设备不向HWTACACS服务器发送在线用户的计费信息.
【使用指导】为了对用户实施实时计费,有必要设置实时计费的时间间隔.
在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息.
1-163实时计费间隔的取值小,计费准确性高,但对设备和HWTACACS服务器的性能要求就高.
表1-15实时计费间隔与用户量之间的推荐比例关系用户数实时计费间隔(分钟)1~993100~4996500~99912大于等于1000大于等于15不同情况下修改的实时计费间隔,对于已在线用户的生效情况有所不同:将实时计费间隔从非0有效值改为0,或者从0修改为非0有效值后,已在线用户会依然采用原有取值,修改后的取值对其不生效.
将实时计费间隔从某非0有效值修改为其它非0有效值后,已在线用户将会采用修改后的取值.
【举例】#在HWTACACS方案hwt1中,设置实时计费的时间间隔为51分钟.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]timerrealtime-accounting51【相关命令】displayhwtacacsscheme1.
4.
20timerresponse-timeout(HWTACACSschemeview)timerresponse-timeout命令用来设置HWTACACS服务器响应超时时间.
undotimerresponse-timeout命令用来恢复缺省情况.
【命令】timerresponse-timeoutsecondsundotimerresponse-timeout【缺省情况】HWTACACS服务器响应超时时间为5秒.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒.
1-164【使用指导】由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开.
HWTACACS服务器响应超时时间与配置的HWTACACS服务器总数的乘积不能超过接入模块定义的用户认证超时时间,否则在HWTACACS认证过程完成之前用户就有可能被强制下线.
【举例】#在HWTACACS方案hwt1中,设置HWTACACS服务器响应超时时间为30秒.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]timerresponse-timeout30【相关命令】displayhwtacacsscheme1.
4.
21user-name-format(HWTACACSschemeview)user-name-format命令用来设置发送给HWTACACS服务器的用户名格式.
undouser-name-format命令用来恢复缺省情况.
【命令】user-name-format{keep-original|with-domain|without-domain}undouser-name-format【缺省情况】发送给HWTACACS服务器的用户名携带ISP域名.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致.
with-domain:发送给HWTACACS服务器的用户名携带ISP域名.
without-domain:发送给HWTACACS服务器的用户名不携带ISP域名.
【使用指导】接入用户通常以"userid@isp-name"的格式命名,"@"后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的.
但是,有些HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器.
因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名.
1-165如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案.
否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误.
【举例】#在HWTACACS方案hwt1中,设置发送给HWTACACS服务器的用户名不携带ISP域名.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]user-name-formatwithout-domain【相关命令】displayhwtacacsscheme1.
4.
22vpn-instance(HWTACACSschemeview)vpn-instance命令用来配置HWTACACS方案所属的VPN.
undovpn-instance命令用来恢复缺省情况.
【命令】vpn-instancevpn-instance-nameundovpn-instance【缺省情况】HWTACACS方案属于公网.
【视图】HWTACACS方案视图【缺省用户角色】network-adminmdc-admin【参数】vpn-instance-name:MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
【使用指导】本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效,但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN.
【举例】#配置HWTACACS方案hw1所属的VPN为test.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]vpn-instancetest【相关命令】displayhwtacacsscheme1-1661.
5LDAP配置命令1.
5.
1attribute-mapattribute-map命令用来在LDAP方案中引用LDAP属性映射表.
undoattribute-map命令用来恢复缺省情况.
【命令】attribute-mapmap-nameundoattribute-map【缺省情况】未引用任何LDAP属性映射表.
【视图】LDAP方案视图【缺省用户角色】network-adminmdc-admin【参数】map-name:LDAP属性映射表的名称,为1~31个字符的字符串,不区分大小写.
【使用指导】在使用LDAP授权方案的情况下,可以通过在LDAP方案中引用LDAP属性映射表,将LDAP授权服务器下发给用户的LDAP属性映射为AAA模块可以解析的某类属性.
一个LDAP方案视图中只能引用一个LDAP属性映射表,后配置的生效.
如果在LDAP授权过程中修改了引用的LDAP属性映射表,或者修改了引用的LDAP属性映射表的内容,则该修改对当前的授权过程不会生效,只对修改后新的LDAP授权过程生效.
【举例】#在LDAP方案ldap1中,引用名称为map1的LDAP属性映射表.
system-view[Sysname]ldapschemetest[Sysname-ldap-test]attribute-mapmap1【相关命令】displayldap-schemeldapattribute-map1.
5.
2authentication-serverauthentication-server命令用来指定LDAP认证服务器.
undoauthentication-server命令用来恢复缺省情况.
【命令】authentication-serverserver-name1-167undoauthentication-server【缺省情况】未指定LDAP认证服务器.
【视图】LDAP方案视图【缺省用户角色】network-adminmdc-admin【参数】server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写.
【使用指导】一个LDAP方案视图下仅能指定一个LDAP认证服务器,多次执行本命令,最后一次执行的命令生效.
【举例】#在LDAP方案ldap1中,指定LDAP认证服务器为ccc.
system-view[Sysname]ldapschemeldap1[Sysname-ldap-ldap1]authentication-serverccc【相关命令】displayldapschemeldapserver1.
5.
3authorization-serverauthorization-server命令用来指定LDAP授权服务器.
undoauthorization-server命令用来恢复缺省情况.
【命令】authorization-serverserver-nameundoauthorization-server【缺省情况】未指定LDAP授权服务器.
【视图】LDAP方案视图【缺省用户角色】network-adminmdc-admin1-168【参数】server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写.
【使用指导】一个LDAP方案视图下仅能指定一个LDAP授权服务器,多次执行本命令,最后一次执行的命令生效.
【举例】#在LDAP方案ldap1中,指定LDAP授权服务器为ccc.
system-view[Sysname]ldapschemeldap1[Sysname-ldap-ldap1]authorization-serverccc【相关命令】displayldapschemeldapserver1.
5.
4displayldapschemedisplayldapscheme命令用来查看LDAP方案的配置信息.
【命令】displayldapscheme[ldap-scheme-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】ldap-scheme-name:LDAP方案的名称,为1~32个字符的字符串,不区分大小写.
如果不指定该参数,则显示所有LDAP方案的配置信息.
【举例】#查看所有LDAP方案的配置信息.
displayldapschemeTotal1LDAPschemesLDAPschemename:aaaAuthenticationserver:aaaIP:1.
1.
1.
1Port:111VPNinstance:Notconfigured1-169LDAPprotocolversion:LDAPv3Servertimeoutinterval:10secondsLoginaccountDN:NotconfiguredBaseDN:NotconfiguredSearchscope:all-levelUsersearchingparameters:Userobjectclass:NotconfiguredUsernameattribute:cnUsernameformat:with-domainAuthorizationserver:aaaIP:1.
1.
1.
1Port:111VPNinstance:NotconfiguredLDAPprotocolversion:LDAPv3Servertimeoutinterval:10secondsLoginaccountDN:NotconfiguredBaseDN:NotconfiguredSearchscope:all-levelUsersearchingparameters:Userobjectclass:NotconfiguredUsernameattribute:cnUsernameformat:with-domainAttributemap:map1表1-16displayldapscheme命令显示信息描述表字段描述Total1LDAPschemes总共有1个LDAP方案LDAPSchemeNameLDAP方案名称AuthenticationServerLDAP认证服务器名称未配置时,显示为NotconfiguredAuthorizationserverLDAP授权服务器名称未配置时,显示为NotconfiguredIPLDAP认证服务器的IP地址未配置认证服务器IP时,IP地址显示为NotconfiguredPortLDAP认证服务器的端口号未配置认证服务器IP时,端口号显示为缺省值VPNInstanceVPN实例名称未配置时,显示为NotconfiguredLDAPProtocolVersionLDAP协议的版本号(LDAPv2、LDAPv3)ServerTimeoutIntervalLDAP服务器连接超时时间(单位为秒)LoginAccountDN管理员用户的DNBaseDN用户DN查询的起始DN1-170字段描述SearchScope用户DN查询的范围(all-level:所有子目录查询,single-level:下级目录查询)UserSearchingParameters用户查询参数UserObjectClass查询用户DN时使用的用户对象类型未配置时,显示为NotconfiguredUsernameAttribute用户登录帐号的属性类型UsernameFormat发送给服务器的用户名格式Attributemap引用的LDAP属性映射表名称未配置时,显示为Notconfigured1.
5.
5ipip命令用来配置LDAP服务器的IP地址.
undoip命令用来恢复缺省情况.
【命令】ipip-address[portport-number][vpn-instancevpn-instance-name]undoip【缺省情况】未配置LDAP服务器的IP地址.
【视图】LDAP服务器视图【缺省用户角色】network-adminmdc-admin【参数】ip-address:LDAP服务器的IP地址.
portport-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389.
vpn-instancevpn-instance-name:LDAP服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例的名称,为1~31个字符的字符串,区分大小写.
不指定该参数时,表示LDAP服务器属于公网.
【使用指导】需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致.
更改后的服务器IP地址和端口号,只对更改之后进行的LDAP认证生效.
【举例】#配置LDAP服务器ccc的IP地址为192.
168.
0.
10、端口号为4300.
1-171system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]ip192.
168.
0.
10port4300【相关命令】ldapserver1.
5.
6ipv6ipv6命令用来配置LDAP服务器的IPv6地址.
undoipv6命令用来恢复缺省情况.
【命令】ipv6ipv6-address[portport-number][vpn-instancevpn-instance-name]undoipv6【缺省情况】未配置LDAP服务器的IP地址.
【视图】LDAP服务器视图【缺省用户角色】network-adminmdc-admin【参数】ipv6-address:LDAP服务器的IPv6地址.
portport-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389.
vpn-instancevpn-instance-name:LDAP服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例的名称,为1~31个字符的字符串,区分大小写.
不指定该参数时,表示LDAP服务器属于公网.
【使用指导】需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致.
更改后的服务器IP地址和端口号,只对更改之后的LDAP认证生效.
【举例】#配置LDAP服务器ccc的IPv6地址为1:2::3:4、端口号为4300.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]ipv61:2::3:4port4300【相关命令】ldapserver1-1721.
5.
7ldapattribute-mapldapattribute-map命令用来创建LDAP属性映射表,并进入LDAP属性映射表视图.
如果指定的LDAP属性映射表已经存在,则直接进入LDAP属性映射表视图.
undoldapattribute-map命令用来删除指定的LDAP属性映射表.
【命令】ldapattribute-mapmap-nameundoldapattribute-mapmap-name【缺省情况】不存在LDAP属性映射表.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】map-name:LDAP属性映射表的名称,为1~31个字符的字符串,不区分大小写.
【使用指导】一个LDAP的属性映射表中可以添加多个LDAP属性映射表项,每个表项表示一个LDAP属性和一个AAA属性的映射关系.
可以通过多次执行本命令配置多个LDAP的属性映射表.
【举例】#创建名称为map1的LDAP属性映射表,并进入该属性映射表视图.
system-view[Sysname]ldapattribute-mapmap1[Sysname-ldap-map-map1]【相关命令】attribute-mapldapschememap1.
5.
8ldapschemeldapscheme命令用来创建LDAP方案,并进入LDAP方案视图.
如果指定的LDAP方案已经存在,则直接进入LDAP方案视图.
undoldapscheme命令用来删除指定的LDAP方案.
【命令】ldapschemeldap-scheme-nameundoldapschemeldap-scheme-name1-173【缺省情况】不存在LDAP方案.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】ldap-scheme-name:LDAP方案的名称,为1~32个字符的字符串,不区分大小写.
【使用指导】一个LDAP方案可以同时被多个ISP域引用.
系统最多支持配置16个LDAP方案.
【举例】#创建名称为ldap1的LDAP方案并进入其视图.
system-view[Sysname]ldapschemeldap1[Sysname-ldap-ldap1]【相关命令】displayldapscheme1.
5.
9ldapserverldapserver用来创建LDAP服务器,并进入LDAP服务器视图.
如果指定的LDAP服务器已经存在,则直接进入LDAP服务器视图.
undoldapserver命令用来删除指定的LDAP服务器.
【命令】ldapserverserver-nameundoldapserverserver-name【缺省情况】不存在LDAP服务器.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写.
1-174【举例】#创建LDAP服务器ccc并进入其视图.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]【相关命令】displayldapscheme1.
5.
10login-dnlogin-dn命令用来配置具有管理员权限的用户DN.
undologin-dn命令用来恢复缺省情况.
【命令】login-dndn-stringundologin-dn【缺省情况】未配置具有管理员权限的用户DN.
【视图】LDAP服务器视图【缺省用户角色】network-adminmdc-admin【参数】dn-string:具有管理员权限的用户DN,是绑定服务器时使用的用户标识名,为1~255个字符的字符串,不区分大小写.
【使用指导】设备上的管理员DN必须与服务器上管理员的DN一致.
更改后的管理员DN,只对更改之后的LDAP认证生效.
【举例】#在LDAP服务器视图ccc下,配置管理员权限的用户DN为uid=test,ou=people,o=example,c=city.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]login-dnuid=test,ou=people,o=example,c=city【相关命令】displayldapscheme1-1751.
5.
11login-passwordlogin-password命令用来配置LDAP认证中,绑定服务器时所使用的具有管理员权限的用户密码.
undologin-password命令用来恢复缺省情况.
【命令】login-password{cipher|simple}stringundologin-password【缺省情况】未配置具有管理权限的用户密码.
【视图】LDAP服务器视图【缺省用户角色】network-adminmdc-admin【参数】cipher:表示以密文方式设置密码.
simple:表示以明文方式设置密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~128个字符的字符串,密文密码为1~201个字符的字符串.
【使用指导】该命令只有在配置了login-dn的情况下生效.
当未配置login-dn时,该命令不生效.
【举例】#在LDAP服务器视图ccc下,配置具有管理员权限的用户密码为明文abcdefg.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]login-passwordsimpleabcdefg【相关命令】displayldapschemelogin-dn1.
5.
12mapmap命令用来配置LDAP属性映射表项.
undomap命令用来删除指定的LDAP属性映射表项.
【命令】mapldap-attributeldap-attribute-name[prefixprefix-valuedelimiterdelimiter-value]aaa-attributeuser-groupundomap[ldap-attributeldap-attribute-name]1-176【缺省情况】未指定LDAP属性映射关系.
【视图】LDAP属性映射表视图【缺省用户角色】network-adminmdc-admin【参数】ldap-attributeldap-attribute-name:表示要映射的LDAP属性.
其中,ldap-attribute-name表示LDAP属性名称,为1~63个字符的字符串,不区分大小写.
prefixprefix-valuedelimiterdelimiter-value:表示按照一定的格式提取LDAP属性字符串中的内容映射为AAA属性.
其中,prefix-value表示LDAP属性字符串中的某内容前缀(例如cn=),为1~7个字符的字符串,不区分大小写;delimiter-value表示LDAP属性字符串中的内容分隔符(例如逗号).
若不指定该可选参数,则表示要将一个完整的LDAP属性字符串映射为指定的AAA属性.
aaa-attribute:表示要映射为的AAA属性.
user-group:表示Usergroup类型的AAA属性.
【使用指导】如果某LDAP服务器下发给用户的属性不能被AAA模块解析,则该属性将被忽略.
因此,需要通过本命令指定要获取哪些LDAP属性,以及LDAP服务器下发的这些属性将被AAA模块解析为什么类型的AAA属性,具体映射为哪种类型的AAA属性由实际应用需求决定.
一个LDAP服务器属性只能映射为一个AAA属性,但不同的LDAP服务器属性可映射为同一个AAA属性.
如果undomap命令中不指定ldap-attribute参数,则表示删除所有的LDAP属性映射表项.
【举例】#在LDAP属性映射表视图map1下,配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号(,)的格式提取出的内容映射成AAA属性Usergroup.
system-view[Sysname]ldapattribute-mapmap1[Sysname-ldap-map-map1]mapldap-attributememberofprefixcn=delimiter,aaa-attributeuser-group【相关命令】ldapattribute-mapuser-group1.
5.
13protocol-versionprotocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号.
undoprotocol-version命令用来恢复缺省情况.
1-177【命令】protocol-version{v2|v3}undoprotocol-version【缺省情况】LDAP版本号为LDAPv3.
【视图】LDAP服务器视图【缺省用户角色】network-adminmdc-admin【参数】v2:表示LDAP协议版本号为LDAPv2.
v3:表示LDAP协议版本号为LDAPv3.
【使用指导】为保证LDAP认证成功,请保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致.
更改后的服务器版本号,只对更改之后的LDAP认证生效.
Microsoft的LDAP服务器只支持LDAPv3,配置LDAP版本为v2时无效.
【举例】#在LDAP服务器视图ccc下,配置LDAP协议版本号为LDAPv2.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]protocol-versionv2【相关命令】displayldapscheme1.
5.
14search-base-dnsearch-base-dn命令用来配置用户查询的起始DN.
undosearch-base-dn命令用来恢复缺省情况.
【命令】search-base-dnbase-dnundosearch-base-dn【缺省情况】未指定用户查询的起始DN.
【视图】LDAP服务器视图1-178【缺省用户角色】network-adminmdc-admin【参数】base-dn:查询待认证用户的起始DN值,为1~255个字符的字符串,不区分大小写.
【举例】#在LDAP服务器视图ccc下,配置用户查询的起始DN为dc=ldap,dc=com.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]search-base-dndc=ldap,dc=com【相关命令】displayldapschemeldapserver1.
5.
15search-scopesearch-scope命令用来配置用户查询的范围.
undosearch-scope命令用来恢复缺省情况.
【命令】search-scope{all-level|single-level}undosearch-scope【缺省情况】用户查询的范围为all-level.
【视图】LDAP服务器视图【缺省用户角色】network-adminmdc-admin【参数】all-level:表示在起始DN的所有子目录下进行查询.
single-level:表示只在起始DN的下一级子目录下进行查询.
【举例】#在LDAP服务器视图ccc下,配置在起始DN的所有子目录下查询LDAP认证用户.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]search-scopeall-level【相关命令】displayldapscheme1-179ldapserver1.
5.
16server-timeoutserver-timeout命令用来配置LDAP服务器连接超时时间,即认证、授权时等待LDAP服务器回应的最大时间.
undoserver-timeout命令用来恢复缺省情况.
【命令】server-timeouttime-intervalundoserver-timeout【缺省情况】LDAP服务器连接超时时间为10秒.
【视图】LDAP服务器视图【缺省用户角色】network-adminmdc-admin【参数】time-interval:LDAP服务器连接超时时间,取值范围为5~20,单位为秒.
【使用指导】更改后的连接超时时间,只对更改之后的LDAP认证生效.
【举例】#在LDAP服务器视图ccc下,配置LDAP服务器连接超时时间为15秒.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]server-timeout15【相关命令】displayldapscheme1.
5.
17user-parametersuser-parameters命令用来配置LDAP用户查询的属性参数,包括用户名属性、用户名格式和自定义用户对象类型.
undouser-parameters命令用来将指定的LDAP用户查询的属性参数恢复为缺省值.
【命令】user-parameters{user-name-attribute{name-attribute|cn|uid}|user-name-format{with-domain|without-domain}|user-object-classobject-class-name}1-180undouser-parameters{user-name-attribute|user-name-format|user-object-class}【缺省情况】user-name-attribute为cn;user-name-format为without-domain;未指定自定义user-object-class,根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型.
【视图】LDAP服务器视图【缺省用户角色】network-adminmdc-admin【参数】user-name-attribute{name-attribute|cn|uid}:表示用户名的属性类型.
其中,name-attribute表示属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户登录帐号的属性为cn(CommonName);uid表示用户登录帐号的属性为uid(UserID).
user-name-format{with-domain|without-domain}:表示发送给服务器的用户名格式.
其中,with-domain表示发送给服务器的用户名带ISP域名;without-domain表示发送给服务器的用户名不带ISP域名.
user-object-classobject-class-name:表示查询用户DN时使用的用户对象类型.
其中,object-class-name表示对象类型值,为1~64个字符的字符串,不区分大小写.
【使用指导】如果LDAP服务器上的用户名不包含域名,必须配置user-name-format为without-domain,将用户名的域名去除后再传送给LDAP服务器;如果包含域名则需配置user-name-format为with-domain.
【举例】#在LDAP服务器视图ccc下,配置用户对象类型为person.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]user-parametersuser-object-classperson【相关命令】displayldapschemelogin-dn1.
6RADIUS服务器配置命令1.
6.
1displayradius-serveractive-clientdisplayradius-serveractive-client命令用来显示处于激活状态的RADIUS客户端信息.
1-181【命令】displayradius-serveractive-client【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【使用指导】可以通过本命令查看设备作为RADIUS服务器时,可用于认证的RADIUS客户端信息.
【举例】#显示所有处于激活状态的RADIUS客户端信息.
displayradius-serveractive-clientTotal2RADIUSclients.
ClientIP:2.
2.
2.
2ClientIP:3.
3.
3.
3表1-17displayradius-serveractive-client命令显示信息描述表字段描述Total2RADIUSclients共计2个RADIUS客户端ClientIPRADIUS客户端IP地址【相关命令】radius-serverclient1.
6.
2displayradius-serveractive-userdisplayradius-serveractive-user命令用来显示处于激活状态的RADIUS用户信息.
【命令】displayradius-serveractive-user[user-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator1-182【参数】user-name:RADIUS用户名,为1~55个字符的字符串,区分大小写,用户名不能携带域名,不能包括符号"\"、"|"、"/"、":"、"*"、""、""和"@",且不能为"a"、"al"或"all".
若不指定该参数,则显示所有RADIUS用户信息.
【使用指导】可以通过本命令查看设备作为RADIUS服务器时,用于验证接入用户身份的RADIUS用户信息.
【举例】#显示用户名为test的处于激活状态的RADIUS用户信息.
displayradius-serveractive-usertestTotal1RADIUSusersmatched.
Username:testDescription:AnetworkaccessuserfromcompanyccAuthorizationattributes:VLANID:2ACLnumber:2000Validityperiod:Expirationtime:2015/04/03-18:00:00#显示所有处于激活状态的RADIUS用户信息.
displayradius-serveractive-userTotal2RADIUSusersmatched.
Username:123Description:AnetworkaccessuserfromcompanyccAuthorizationattributes:VLANID:2ACLnumber:3000Validityperiod:Expirationtime:2016/04/03-18:00:00Username:456Description:AnetworkaccessuserfromcompanyccAuthorizationattributes:VLANID:2ACLnumber:3000Validityperiod:Expirationtime:2016/04/03-18:00:00表1-18displayradius-serveractive-user命令显示信息描述表字段描述UsernameRADIUS用户名Description用户的描述信息Authorizationattributes用户授权属性VLANID授权VLAN1-183字段描述ACLnumber授权ACLValidityperiod用户有效期Expirationtime有效期的结束日期和时间【相关命令】local-user1.
6.
3radius-serveractivateradius-serveractivate命令用来激活RADIUS服务器配置,即激活当前的RADIUS客户端和RADIUS用户配置.
【命令】radius-serveractivate【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】设备启动后会自动激活已有的RADIUS客户端和RADIUS用户配置,其中的RADIUS用户配置是由设备上的网络接入类本地用户信息直接生成.
之后若对RADIUS客户端和网络接入类本地用户进行了增加、修改或删除操作,则都需要使用此命令对其进行激活,否则更新后的配置无法生效.
执行此命令后,会导致RADIUS服务器进程重启.
RADIUS服务器进程重启期间,设备无法作为RADIUS服务器为用户提供认证服务.
【举例】#激活RADIUS服务器配置.
system-view[Sysname]radius-serveractivate【相关命令】displayradius-serveractive-clientdisplayradius-serveractive-user1.
6.
4radius-serverclientradius-serverclient命令用来指定RADIUS客户端.
undoradius-serverclient命令用来删除指定的RADIUS客户端.
1-184【命令】radius-serverclientipipv4-addresskey{cipher|simple}stringundoradius-serverclient{all|ipipv4-address}【缺省情况】未指定RADIUS客户端.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】ipipv4-address:RADIUS客户端的IPv4地址,不能为0.
X.
X.
X和127.
X.
X.
X,以及A、B、C类以外的地址.
key:指定与RADIUS客户端通信的共享密钥.
cipher:表示以密文方式设置密钥.
simple:表示以明文方式设置密钥.
string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
all:指定所有RADIUS客户端.
【使用指导】RADIUS服务器上指定的RADIUS客户端IP地址必须和RADIUS客户端上配置的发送RADIUS报文的源IP地址保持一致.
RADIUS服务器上指定的共享密钥必须和RADIUS客户端上配置的与RADIUS服务器通信的共享密钥保持一致.
可通过多次执行本命令,指定多个RADIUS客户端.
【举例】#配置RADIUS客户端IP地址为2.
2.
2.
2,共享密钥为明文test.
system-view[Sysname]radius-serverclientip2.
2.
2.
2keysimpletest【相关命令】displayradius-serveractive-client1.
7连接记录策略配置命令1.
7.
1aaaconnection-recordingpolicyaaaconnection-recordingpolicy命令用来创建连接记录策略,并进入连接记录策略视图.
如果连接记录策略已经存在,则直接进入连接记录策略视图.
1-185undoaaaconnection-recordingpolicy命令用来删除连接记录策略.
【命令】aaaconnection-recordingpolicyundoaaaconnection-recordingpolicy【缺省情况】不存在连接记录策略.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】创建连接记录策略后,当设备作为Telnet客户端或者FTP/SSH/SFTP客户端与服务器端成功建立连接时,系统会按照策略中指定的计费方案向AAA服务器发送计费开始报文,断开连接时发送计费结束报文.
【举例】#创建连接记录策略,并进入其视图.
system-view[Sysname]aaaconnection-recordingpolicy[sysname-connection-recording-policy]【相关命令】accountinghwtacacs-schemedisplayaaaconnection-recordingpolicy1.
7.
2accountinghwtacacs-schemeaccountinghwtacacs-scheme命令用来指定连接记录策略采用的HWTACACS计费方案.
undoaccounting命令用来恢复缺省情况.
【命令】accountinghwtacacs-schemehwtacacs-scheme-nameundoaccounting【缺省情况】未指定连接记录策略采用的HWTACACS计费方案.
【视图】连接记录策略视图【缺省用户角色】network-admin1-186mdc-admin【参数】hwtacacs-scheme-name:表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】修改后的HWTACACS计费方案,仅对设备与远程服务器新建的Telnet/FTP/SSH/SFTP连接生效.
对于同一个连接,若系统已经将计费开始报文成功发送给HWTACACS方案中指定的HWTACACS服务器,则后续的计费停止报文也会发送给该服务器.
多次执行本命令,最后一次执行的命令生效.
连接记录业务处理过程中,系统发送给AAA服务器的计费报文中封装的是用户输入的原始用户名,因此计费方案中通过user-name-format命令设置的用户名格式并不生效.
【举例】#创建连接记录策略,并在其视图下指定连接记录策略采用的HWTACACS计费方案为tac.
system-view[Sysname]aaaconnection-recordingpolicy[sysname-connection-recording-policy]accountinghwtacacs-schemetac【相关命令】aaaconnection-recordingpolicydisplayaaaconnection-recordingpolicy1.
7.
3displayaaaconnection-recordingpolicydisplayaaaconnection-recordingpolicy用来显示记录连接策略的配置信息.
【命令】displayaaaconnection-recordingpolicy【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示记录连接策略的配置信息.
displayaaaconnection-recordingpolicyConnection-recordingpolicy:Accountingscheme:HWTACACS=tac1【相关命令】aaaconnection-recordingpolicy1-187accountinghwtacacs-scheme
hostsailor怎么样?hostsailor成立多年,是一家罗马尼亚主机商家,机房就设在罗马尼亚,具说商家对内容管理的还是比较宽松的,商家提供虚拟主机、VPS及独立服务器,今天收到商家推送的八月优惠,针对所有的产品都有相应的优惠,商家的VPS产品分为KVM和OpenVZ两种架构,OVZ的比较便宜,有这方面需要的朋友可以看看。点击进入:hostsailor商家官方网站HostSailor优惠活动...
有一段时间没有分享Gcore(gcorelabs)的信息了,这是一家成立于2011年的国外主机商,总部位于卢森堡,主要提供VPS主机和独立服务器租用等,数据中心包括俄罗斯、美国、日本、韩国、新加坡、荷兰、中国(香港)等多个国家和地区的十几个机房,商家针对不同系列的产品分为不同管理系统,比如VPS(Hosting)、Cloud等都是独立的用户中心体系,部落分享的主要是商家的Hosting(Virtu...
gcorelabs怎么样?gcorelabs是创建于2011年的俄罗斯一家IDC服务商,Gcorelabs提供优质的托管服务和VPS主机服务,Gcorelabs有一支强大的技术队伍,对主机的性能和稳定性要求非常高。Gcorelabs在 2017年收购了SkyparkCDN并提供全球CDN服务,目标是进入全球前五的网络服务商。G-Core Labs总部位于卢森堡,在莫斯科,明斯克和彼尔姆设有办事处。...
www.fff138.com为你推荐
摩拜超15分钟加钱摩拜共享单车要交多少钱押金?摩根币摩根币是怎么骗人的?硬盘的工作原理硬盘的工作原理是?(不要给我网址,我用的手机)psbc.com95580是什么诈骗信息不点网址就安全吧!seo优化工具SEO优化要用到什么软件?www.bbb336.comwww.zzfyx.com大家感觉这个网站咋样,给俺看看呀。多提意见哦。哈哈。porntimesexy time 本兮 MP3地址www.kanav001.com翻译为日文: 主人,请你收养我一天吧. 带上罗马音标会更好wwwkb123.netwww.zhmmjyw.net百度收录慢?partnersonlinecashfiesta 该怎么使用啊~~
免费网站空间 深圳主机租用 webhostingpad cpanel 免费静态空间 本网站在美国维护 中国电信测网速 可外链相册 太原联通测速 丽萨 西安主机 百度云空间 万网空间 中国联通宽带测速 netvigator 学生机 达拉斯 泥瓦工 ddos攻击小组 紫田网络 更多