用户与服务器断开连接

与服务器断开连接  时间:2021-04-14  阅读:()
i目录1AAA·1-11.
1ISP域中实现AAA配置命令·1-11.
1.
1aaaabnormal-offline-recordenable1-11.
1.
2aaanas-idprofile·1-11.
1.
3aaanas-ip·1-21.
1.
4aaanormal-offline-recordenable1-31.
1.
5aaaoffline-recordenable·1-41.
1.
6aaaonline-fail-recordenable·1-51.
1.
7aaasession-limit·1-61.
1.
8access-limit·1-71.
1.
9access-userdhcpauto-saveenable1-71.
1.
10accountingcommand1-81.
1.
11accountingdefault1-91.
1.
12accountingdual-stack·1-101.
1.
13accountingipoe1-111.
1.
14accountinglogin·1-121.
1.
15accountingquota-out·1-141.
1.
16accountingstart-fail1-141.
1.
17accountingupdate-fail1-151.
1.
18authen-fail·1-161.
1.
19authenticationdefault1-171.
1.
20authenticationipoe1-181.
1.
21authenticationlogin1-191.
1.
22authenticationsuper1-201.
1.
23authorizationcommand1-211.
1.
24authorizationdefault1-231.
1.
25authorizationipoe1-241.
1.
26authorizationlogin1-251.
1.
27authorization-attribute(ISPdomainview)1-261.
1.
28displayaaaabnormal-offline-record·1-281.
1.
29displayaaanormal-offline-record·1-341.
1.
30displayaaaoffline-record1-371.
1.
31displayaaaonline-fail-record1-40ii1.
1.
32displayaaaonline-offline-reason·1-441.
1.
33displaydomain·1-441.
1.
34displaydomainaccess-userstatistics1-541.
1.
35domain·1-551.
1.
36domaindefaultenable1-561.
1.
37domainif-unknown1-571.
1.
38ip-usage-warning·1-581.
1.
39ipv6ndautoconfigmanaged-address-flag·1-591.
1.
40ipv6ndautoconfigother-flag·1-601.
1.
41ipv6-usage-warning1-611.
1.
42local-serverlogchange-password-prompt·1-621.
1.
43nas-id·1-641.
1.
44nas-idbind·1-641.
1.
45resetaaaabnormal-offline-record1-651.
1.
46resetaaanormal-offline-record1-661.
1.
47resetaaaoffline-record1-661.
1.
48resetaaaonline-fail-record·1-671.
1.
49service-type(ISPdomainview)1-681.
1.
50session-timeinclude-idle-time·1-681.
1.
51snmp-agenttrapenabledomain·1-691.
1.
52state(ISPdomainview)1-701.
1.
53stateblocktime-rangename·1-711.
1.
54user-address-type1-721.
2本地用户配置命令1-731.
2.
1access-limit·1-731.
2.
2authorization-attribute(Localuserview/usergroupview)1-731.
2.
3displaylocal-user·1-761.
2.
4displayuser-group·1-791.
2.
5displayuser-groupidentity-active·1-811.
2.
6group1-821.
2.
7local-user·1-831.
2.
8password(Devicemanagementuserview)1-841.
2.
9service-type(Localuserview)1-841.
2.
10state(Localuserview)1-851.
2.
11user-group1-861.
3RADIUS配置命令1-87iii1.
3.
1aaadevice-id1-871.
3.
2accounting-onenable1-871.
3.
3attribute5format1-881.
3.
4attribute15check-mode·1-891.
3.
5attribute25car·1-901.
3.
6attribute31mac-format1-911.
3.
7attribute85preferred·1-921.
3.
8attribute87format1-921.
3.
9attributeconvert(RADIUSDAEserverview)1-941.
3.
10attributeconvert(RADIUSschemeview)1-951.
3.
11attributereject(RADIUSDAEserverview)1-961.
3.
12attributereject(RADIUSschemeview)1-971.
3.
13attributeremanent-volume1-991.
3.
14attributetranslate·1-991.
3.
15attributevendor-id2011version·1-1001.
3.
16client1-1011.
3.
17dae-loose-checkenable1-1021.
3.
18data-flow-format(RADIUSschemeview)1-1031.
3.
19displayradiusscheme·1-1041.
3.
20displayradiusserver-loadstatistics·1-1091.
3.
21displayradiusstatistics·1-1101.
3.
22displaystop-accounting-buffer(forRADIUS)1-1141.
3.
23exclude1-1151.
3.
24include1-1161.
3.
25key(RADIUSschemeview)1-1181.
3.
26nas-ip(RADIUSschemeview)1-1191.
3.
27port1-1201.
3.
28primaryaccounting(RADIUSschemeview)1-1211.
3.
29primaryauthentication(RADIUSschemeview)1-1231.
3.
30radiusattributeextended·1-1241.
3.
31radiusattribute-test-group1-1261.
3.
32radiusauthentication-requestfirst1-1261.
3.
33radiusdscp1-1271.
3.
34radiusdynamic-authorserver·1-1281.
3.
35radiusnas-ip·1-1281.
3.
36radiusscheme1-130iv1.
3.
37radiussession-controlclient·1-1301.
3.
38radiussession-controlenable·1-1321.
3.
39radiussource-ip·1-1321.
3.
40radiusstop-accounting-buffercache1-1341.
3.
41radiusstop-accounting-bufferexceedoverwrite-oldest·1-1341.
3.
42radius-servertest-profile·1-1351.
3.
43resetradiusserver-loadstatistics·1-1361.
3.
44resetradiusstatistics·1-1371.
3.
45resetstop-accounting-buffer(forRADIUS)1-1381.
3.
46retry1-1381.
3.
47retryrealtime-accounting·1-1391.
3.
48retrystop-accounting(RADIUSschemeview)1-1401.
3.
49secondaryaccounting(RADIUSschemeview)1-1411.
3.
50secondaryauthentication(RADIUSschemeview)1-1431.
3.
51server-block-action(RADIUSschemeview)1-1451.
3.
52server-load-sharingenable·1-1461.
3.
53server-load-sharingmode1-1471.
3.
54snmp-agenttrapenableradius·1-1481.
3.
55source-ip·1-1491.
3.
56stateprimary·1-1501.
3.
57statesecondary1-1511.
3.
58stop-accounting-bufferenable(RADIUSschemeview)1-1521.
3.
59stop-accounting-packetsend-force1-1531.
3.
60test-aaa·1-1541.
3.
61thresholdremanent-volume·1-1581.
3.
62timerquiet(RADIUSschemeview)1-1591.
3.
63timerrealtime-accounting(RADIUSschemeview)1-1601.
3.
64timerresponse-timeout(RADIUSschemeview)1-1611.
3.
65trustip·1-1621.
3.
66trustipv6·1-1631.
3.
67user-name-format(RADIUSschemeview)1-1641.
3.
68username-authorizationapply·1-1651.
3.
69vpn-instance(RADIUSschemeview)1-1661.
4HWTACACS配置命令1-1671.
4.
1data-flow-format(HWTACACSschemeview)1-1671.
4.
2displayhwtacacsscheme·1-168v1.
4.
3displaystop-accounting-buffer(forHWTACACS)1-1731.
4.
4hwtacacsnas-ip·1-1741.
4.
5hwtacacsscheme·1-1751.
4.
6key(HWTACACSschemeview)1-1761.
4.
7nas-ip(HWTACACSschemeview)1-1771.
4.
8primaryaccounting(HWTACACSschemeview)1-1781.
4.
9primaryauthentication(HWTACACSschemeview)1-1791.
4.
10primaryauthorization·1-1801.
4.
11resethwtacacsstatistics·1-1821.
4.
12resetstop-accounting-buffer(forHWTACACS1-1821.
4.
13retrystop-accounting(HWTACACSschemeview)1-1831.
4.
14secondaryaccounting(HWTACACSschemeview)1-1841.
4.
15secondaryauthentication(HWTACACSschemeview)1-1851.
4.
16secondaryauthorization1-1871.
4.
17stop-accounting-bufferenable(HWTACACSschemeview)1-1881.
4.
18timerquiet(HWTACACSschemeview)1-1891.
4.
19timerrealtime-accounting(HWTACACSschemeview)1-1901.
4.
20timerresponse-timeout(HWTACACSschemeview)1-1911.
4.
21user-name-format(HWTACACSschemeview)1-1911.
4.
22vpn-instance(HWTACACSschemeview)1-1921.
5LDAP配置命令·1-1931.
5.
1attribute-map1-1931.
5.
2authentication-server·1-1941.
5.
3authorization-server·1-1951.
5.
4displayldapscheme·1-1951.
5.
5ip·1-1971.
5.
6ipv61-1981.
5.
7ldapattribute-map·1-1991.
5.
8ldapscheme1-2001.
5.
9ldapserver·1-2001.
5.
10login-dn·1-2011.
5.
11login-password1-2021.
5.
12map·1-2021.
5.
13protocol-version·1-2041.
5.
14search-base-dn·1-2041.
5.
15search-scope·1-205vi1.
5.
16server-timeout·1-2061.
5.
17user-parameters1-2061-11AAA1.
1ISP域中实现AAA配置命令1.
1.
1aaaabnormal-offline-recordenableaaaabnormal-offline-recordenable命令用来开启用户异常下线记录功能.
undoaaaabnormal-offline-recordenable命令用来关闭用户异常下线记录功能.
【命令】aaaabnormal-offline-recordenableundoaaaabnormal-offline-recordenable【缺省情况】用户异常下线记录功能处于开启状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】开启本功能后,系统会将所有异常下线的用户信息(用户基本信息、下线原因等)记录到系统内存中,方便管理员进行管理和故障定位,具体内容可通过displayaaaabnormal-offline-record命令进行查看.
当管理员需要分析用户下线原因以及解决用户异常下线问题时,建议开启本功能.
只有用户下线记录功能处于开启状态,本功能才能生效.
设备最多支持存储32768条用户异常下线记录,超过该数目后,新的记录会覆盖旧的记录.
关闭本功能后,系统停止记录用户异常下线信息,可提高当前可用内存容量,但管理员将看不到用户异常下线信息,存在一定风险.
【举例】#开启用户异常下线记录功能.
system-view[Sysname]aaaabnormal-offline-recordenable【相关命令】aaaoffline-recordenabledisplayaaaabnormal-offline-record1.
1.
2aaanas-idprofileaaanas-idprofile命令用来创建NAS-IDProfile,并进入NAS-ID-Profile视图.
如果指定的NAS-IDProfile已经存在,则直接进入NAS-ID-Profile视图.
1-2undoaaanas-idprofile命令用来删除指定的NAS-IDProfile.
【命令】aaanas-idprofileprofile-nameundoaaanas-idprofileprofile-name【缺省情况】不存在NAS-IDProfile.
【视图】系统视图【缺省用户角色】network-admin【参数】profile-name:Profile名称,为1~31个字符的字符串,不区分大小写.
【使用指导】在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来获知用户的接入位置,而用户的接入VLAN可标识用户的接入位置,因此接入设备上可通过建立用户接入VLAN与指定的NAS-ID之间的绑定关系来实现接入位置信息的映射.
NAS-IDProfile用于保存NAS-ID和VLAN的绑定关系.
设备支持多种途径配置NAS-ID,按照获取优先级从高到低的顺序依次包括:NAS-IDProfile中与用户接入VLAN绑定的NAS-ID、ISP域视图下的NAS-ID.
【举例】#创建一个名称为aaa的NAS-IDProfile,并进入NAS-ID-Profile视图.
system-view[Sysname]aaanas-idprofileaaa[Sysname-nas-id-prof-aaa]【相关命令】nas-idbind1.
1.
3aaanas-ipaaanas-ip用来在接口上配置设备的NAS-IP地址.
undoaaanas-ip用来删除接口上配置的NAS-IP地址.
【命令】aaanas-ip{ipv4-address|ipv6ipv6-address}undoaaanas-ip[ipv6]【缺省情况】接口上未配置设备的NAS-IP地址.
【视图】三层接口视图1-3【缺省用户角色】network-admin【参数】ipv4-address:指定的IPv4NAS-IP地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定的IPv6NAS-IP地址,必须是单播地址,不能为环回地址与本地链路地址.
【使用指导】可通过本命令配置设备发送的RADIUS报文中携带的NAS-IP-Address或NAS-IPv6-Address属性内容,简称为NAS-IP地址,该地址用于标识用户接入的设备,且在RADIUS服务器上必须全局唯一.
RADIUS服务器发送的DAE请求报文中若携带该属性,则表示该请求报文要发送给指定的接入设备.
当接入设备收到DAE请求报文后,会获取报文中携带的NAS-IP地址与本地保存的NAS-IP地址进行比较,若相同则接受该请求报文并进行后续的处理,否则不对其进行处理.
接口视图、RADIUS方案视图以及系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址,具体生效情况如下:接口视图下配置的NAS-IP地址(通过aaanas-ip命令)只对在本接口上线的用户有效.
RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令)只对本方案有效.
系统视图下的配置的NAS-IP地址(通过radiusnas-ip命令)对所有RADIUS方案有效.
以上各视图下的配置优先级从高到底依次为:接口视图->RADIUS方案视图->系统视图.
一个接口视图下,最多允许指定一个IPv4NAS-IP地址和一个IPv6NAS-IP地址.
如果undoaaanas-ip命令中不指定ipv6参数,则表示删除配置的IPv4NAS-IP地址.
【举例】#在以太网接口GigabitEthernet3/1/1下配置设备的NAS-IP地址为1.
1.
1.
1.
system-view[sysname]interfacegigabitethernet3/1/1[sysname-interfaceGigabitEthernet3/1/1]aaanas-ip1.
1.
1.
1【相关命令】nas-ip(RADIUSschemeview)radiusnas-ip1.
1.
4aaanormal-offline-recordenableaaanormal-offline-recordenable命令用来开启用户正常下线记录功能.
undoaaanormal-offline-recordenable命令用来关闭用户正常下线记录功能.
【命令】aaanormal-offline-recordenableundoaaanormal-offline-recordenable1-4【缺省情况】用户正常下线记录功能处于开启状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】开启本功能后,设备会将所有用户正常下线信息(用户基本信息、下线原因等)记录到系统内存中,具体内容可通过displayaaanormal-offline-record命令进行查看.
当管理员需要分析用户下线原因时,建议开启本功能.
只有用户下线记录功能处于开启状态,本功能才能生效.
设备最多支持存储32768条用户正常下线记录,超过该数目后,新的记录会覆盖旧的记录.
关闭本功能后,系统停止记录用户正常下线信息,可提高当前可用内存容量,但管理员将看不到用户正常下线信息.
【举例】#开启用户正常下线记录功能.
system-view[Sysname]aaanormal-offline-recordenable【相关命令】aaaoffline-recordenabledisplayaaanormal-offline-record1.
1.
5aaaoffline-recordenableaaaoffline-recordenable命令用来开启用户下线记录功能.
undoaaaoffline-recordenable命令用来关闭用户下线记录功能.
【命令】aaaoffline-recordenableundoaaaoffline-recordenable【缺省情况】用户下线记录功能处于开启状态.
【视图】系统视图【缺省用户角色】network-admin1-5【使用指导】本功能用于总体控制用户下线记录功能是否开启.
只有本功能处于开启状态,用户正常下线记录功能和用户异常下线记录功能才能生效.
开启本功能后,若用户正常下线记录功能、用户异常下线记录功能处于开启状态,设备会将所有用户正常下线,用户异常下线的信息(用户基本信息、下线原因等)记录到系统内存中,具体内容可通过displayaaaoffline-record命令进行查看.
设备最多支持存储65536条用户下线记录,超过该数目后,新的记录会覆盖旧的记录.
关闭本功能后,用户下线信息不会被记录到系统内存中,可提高系统当前可用内存容量,但管理员将看不到用户下线信息.
【举例】#开启用户下线记录功能.
system-view[Sysname]aaaoffline-recordenable【相关命令】aaaabnormal-offline-recordenableaaanormal-offline-recordenabledisplayaaaoffline-record1.
1.
6aaaonline-fail-recordenableaaaonline-fail-recordenable命令用来开启用户上线失败记录功能.
undoaaaonline-fail-recordenable命令用来关闭用户上线失败记录功能.
【命令】aaaonline-fail-recordenableundoaaaonline-fail-recordenable【缺省情况】用户上线失败记录功能处于开启状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】开启本功能后,设备会将所有用户上线失败信息(用户基本信息、上线失败原因等)记录到系统内存中,具体内容可通过displayaaaonline-fail-record命令进行查看.
当管理员需要获取用户上线失败记录,以对恶意用户进行初步排查时,建议开启本功能.
设备最多支持存储32768条用户上线失败记录,超过该数目后,新的记录会覆盖旧的记录.
关闭本功能后,系统停止记录用户上线失败信息,可提高当前可用内存容量,但管理员将看不到用户上线失败信息,存在一定风险.
1-6【举例】#开启用户上线失败记录功能system-view[Sysname]aaaonline-fail-recordenable【相关命令】displayaaaonline-fail-record1.
1.
7aaasession-limitaaasession-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数.
undoaaasession-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况.
【命令】aaasession-limit{ftp|http|https|ssh|telnet}max-sessionsundoaaasession-limit{ftp|http|https|ssh|telnet}【缺省情况】同时在线的各类型最大用户连接数均为32.
【视图】系统视图【缺省用户角色】network-admin【参数】ftp:表示FTP用户.
http:表示HTTP用户.
https:表示HTTPS用户.
ssh:表示SSH用户.
telnet:表示Telnet用户.
max-sessions:允许同时在线的最大用户连接数,FTP/SSH/Telnet用户的取值范围为1~32,HTTP/HTTPS用户的取值范围为1~64.
【使用指导】当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝.
【举例】#设置同时在线的最大FTP用户连接数为4.
system-view[Sysname]aaasession-limitftp41-71.
1.
8access-limitaccess-limit用来配置ISP域下允许接入的最大用户数.
undoaccess-limit命令用来恢复缺省情况.
【命令】access-limitlimit-numberundoaccess-limit【缺省情况】该域下未限制接入的用户数.
【视图】ISP域视图【缺省用户角色】network-admin【参数】limit-number:表示允许接入的最大用户数,取值范围为1~2147483647.
【使用指导】ISP域下允许接入的用户数并不区分接入用户的类型,只要接入用户总数超过限定值后,新接入的用户将被拒绝认证.
对于login用户,还需要受到系统视图下aaasession-limit的限制.
在线用户重认证时,不受所在域的最大用户数限制.
【举例】#配置ISP域my-domain下允许接入的最大用户数为100.
system-view[Sysname]domainnamemy-domain[Sysname-isp-my-domain]access-limit100【相关命令】displaydomain1.
1.
9access-userdhcpauto-saveenableaccess-userdhcpauto-saveenable命令用来开启DHCP用户信息自动备份功能.
undoaccess-userdhcpauto-saveenable命令用来关闭DHCP用户信息自动备份功能.
【命令】access-userdhcpauto-saveenableundoaccess-userdhcpauto-saveenable【缺省情况】DHCP用户信息自动备份功能处于关闭状态.
【视图】ISP域视图1-8【缺省用户角色】network-admin【使用指导】当设备内存空间紧张时,开启DHCP用户信息自动备份功能,可能会影响其它业务,请谨慎使用.
在DHCPv4或DHCPv6用户接入场景中,设备重启会导致用户异常下线,用户信息丢失.
如果DHCPv4或DHCPv6客户端未感知到此故障,待故障恢复后,DHCPv4或DHCPv6客户端并不会重新向设备发起认证请求,而设备会因为查寻不到该用户信息而不允许这些用户上线.
开启本功能且接入模块配置了允许自动备份的最大用户数目的情况下(通过ipsubscriberdhcpauto-savemax-user命令),用户认证通过后,设备会向接入模块下发一个授权指令,通知接入模块将该用户的认证信息备份到内存中.
为了避免设备重启后备份信息的丢失,还可以通过执行ipsubscriberdhcpsave-file命令将当前备份到内存中的用信息保存到非易失存储介质中.
之后,当发生故障并恢复正常时,接入模块将直接使用内存中备份的用户信息直接为这些用户重新发起认证.
如果设备重启了,就需要使用从非易失存储介质中恢复到内存中的用户信息为用户重新发起认证.
需要注意的是:本配置只对IPoE用户生效.
建议在系统刚启动或业务轻载时开启功能,避免后续业务繁忙时内存空间紧张导致本配置失败.
【举例】#在ISP域test下配置允许将用户信息备份到高端内存.
system-view[Sysname]domainnametest[Sysname-isp-test]access-userdhcpauto-saveenable【相关命令】displaydomainipsubscriberdhcpauto-savemax-user(三层技术-IP业务命令参考/IPoE)ipsubscriberdhcpsave-file(三层技术-IP业务命令参考/IPoE)1.
1.
10accountingcommandaccountingcommand命令用来配置命令行计费方法.
undoaccountingcommand命令用来恢复缺省情况.
【命令】accountingcommandhwtacacs-schemehwtacacs-scheme-nameundoaccountingcommand【缺省情况】命令行计费采用当前ISP域的缺省计费方法.
【视图】ISP域视图1-9【缺省用户角色】network-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】命令行计费过程是指,用户执行过的合法命令会被发送给计费服务器进行记录.
若未开启命令行授权功能,则计费服务器对用户执行过的所有合法命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录.
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能.
【举例】#在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingcommandhwtacacs-schemehwtac【相关命令】accountingdefaultcommandaccounting(基础配置命令参考/登录设备)hwtacacsscheme1.
1.
11accountingdefaultaccountingdefault命令用来为当前ISP域配置缺省的计费方法.
undoaccountingdefault命令用来恢复缺省情况.
【命令】accountingdefault{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|local[radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name]*[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoaccountingdefault【缺省情况】当前ISP域的缺省计费方法为local.
【视图】ISP域视图【缺省用户角色】network-admin1-10【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地计费.
none:不计费.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效.
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能.
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费.
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败.
【举例】#在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备选计费方法.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingdefaultradius-schemerdlocal【相关命令】hwtacacsschemelocal-userradiusscheme1.
1.
12accountingdual-stackaccountingdual-stack命令用来配置双协议栈用户的计费方式.
undoaccountingdual-stack命令用来恢复缺省情况.
【命令】accountingdual-stack{merge|separate}undoaccountingdual-stack【缺省情况】双协议栈用户的计费方式为统一计费.
【视图】ISP域视图1-11【缺省用户角色】network-admin【参数】merge:统一计费方式,表示将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器.
separate:分别计费方式,表示将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器.
【使用指导】双协议栈用户的主机上同时支持IPv4和IPv6两种协议,可能产生两种协议类型的流量.
分别计费模式通常应用于IPv4流量费率和IPv6流量费率不一样的情况;统一计费模式通常应用于不需要区分IPv4流量和IPv6流量的情况.
需要注意的是,如果配置双协议栈用户的计费方式为分别计费,则该域下IPoE用户主业务会话的IPv4流量和IPv6流量,除了会分别计费,还将分别应用授权CAR参数.
【举例】#在ISP域test下,配置双栈用户的计费方式为统一计费.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingdual-stackmerge1.
1.
13accountingipoeaccountingipoe命令用来为IPoE用户配置计费方法.
undoaccountingipoe命令用来恢复缺省情况.
【命令】accountingipoe{broadcastradius-schemeradius-scheme-name1radius-schemeradius-scheme-name2[local][none]|local[radius-schemeradius-scheme-name][none]|none|radius-schemeradius-scheme-name[local][none]}undoaccountingipoe【缺省情况】IPoE用户采用当前ISP域的缺省计费方法.
【视图】ISP域视图【缺省用户角色】network-admin【参数】broadcast:指定广播RADIUS方案,即同时向指定的两个RADIUS方案中的计费服务器发送计费请求.
radius-schemeradius-scheme-name1:表示主送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写;1-12radius-schemeradius-scheme-name2:表示抄送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写.
local:本地计费.
none:不计费.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】可以指定多个备选的计费方法.
在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费.
指定broadcast关键字的情况下,设备将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费开始/更新/停止请求,若某RADIUS方案里的主计费服务器不可达,则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求.
主送计费方案计费成功时,表示用户计费成功;抄送计费方案的计费结果对用户无影响.
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败.
【举例】#在ISP域test下,为IPoE用户配置计费方法为local.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingipoelocal#在ISP域test下,配置IPoE用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingipoeradius-schemerdlocal#在ISP域test下,配置IPoE用户使用RADIUS方案rd1和rd2进行广播计费,并且使用local作为备选计费方法.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingipoebroadcastradius-schemerd1radius-schemerd2local【相关命令】accountingdefaultlocal-userradiusschemetimerrealtime-accounting(RADIUSschemeview)1.
1.
14accountingloginaccountinglogin命令用来为login用户配置计费方法.
1-13undoaccountinglogin命令用来恢复缺省情况.
【命令】accountinglogin{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|local[radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name]*[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoaccountinglogin【缺省情况】login用户采用当前ISP域的缺省计费方法.
【视图】ISP域视图【缺省用户角色】network-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地计费.
none:不计费.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】不支持对FTP、SFTP以及SCP类型的login用户进行计费.
可以指定多个备选的计费方法.
在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费.
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败.
【举例】#在ISP域test下,为login用户配置计费方法为local.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingloginlocal#在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingloginradius-schemerdlocal1-14【相关命令】accountingdefaulthwtacacsschemelocal-userradiusscheme1.
1.
15accountingquota-outaccountingquota-out命令用来配置用户计费配额(流量或时长)耗尽策略.
undoaccountingquota-out命令用来恢复缺省情况.
【命令】accountingquota-out{offline|online}[no-accounting-update]undoaccountingquota-out【缺省情况】用户的当前计费配额耗尽后,设备会向服务器发送计费更新报文来获取新的配额,若计费回应报文未携带新的配额,则该用户被强制下线.
【视图】ISP域视图【缺省用户角色】network-admin【参数】offline:当用户的整体配额耗尽后,强制用户下线.
online:当用户的整体配额耗尽后,允许用户保持在线状态.
no-accounting-update:不发送用于获取新配额的计费更新报文.
【使用指导】需要注意的是,本命令仅在SPE类单板上配置生效.
若服务器不支持分多次向在线用户授权下发计费配额,则建议配置用户计费配额耗尽策略时指定no-accounting-update参数,以减小服务器的负担.
【举例】#在ISP域test下,配置用户计费配额耗尽策略为:当配额耗尽后用户仍能保持在线状态.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingquota-outonline1.
1.
16accountingstart-failaccountingstart-fail命令用来配置用户计费开始失败策略,即设备向计费服务器发送计费开始请求失败后,是否允许用户接入网络.
undoaccountingstart-fail命令用来恢复缺省情况.
1-15【命令】accountingstart-fail{offline|online}undoaccountingstart-fail【缺省情况】如果用户计费开始失败,允许用户保持在线状态.
【视图】ISP域视图【缺省用户角色】network-admin【参数】offline:强制用户下线.
online:允许用户保持在线状态.
【使用指导】需要注意的是,本命令仅在SPE类单板上配置生效.
【举例】#在ISP域test下,配置计费开始失败策略为:用户计费开始失败时允许用户保持在线状态.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingstart-failonline1.
1.
17accountingupdate-failaccountingupdate-fail命令用来配置用户计费更新失败策略,即设备向计费服务器发送用户的计费更新报文失败时,是否允许用户接入网络.
undoaccountingupdate-fail命令用来恢复缺省情况.
【命令】accountingupdate-fail{[max-timesmax-times]offline|online}undoaccountingupdate-fail【缺省情况】如果用户计费更新失败,允许用户保持在线状态.
【视图】ISP域视图【缺省用户角色】network-admin【参数】max-timesmax-times:允许用户连续计费更新失败的次数,取值范围1~255,缺省值为1.
offline:如果用户连续计费更新失败的次数达到了指定的次数,则强制用户下线.
1-16online:如果用户计费更新失败,允许用户保持在线状态.
【使用指导】需要注意的是,本命令仅在SPE类单板上配置生效.
【举例】#在ISP域test下,配置计费更新失败策略为:用户计费更新失败时允许用户保持在线状态.
system-view[Sysname]domainnametest[Sysname-isp-test]accountingupdate-failonline1.
1.
18authen-failauthen-fail命令用来配置用户认证失败后采取的处理策略.
undoauthen-fail命令用来恢复缺省情况.
【命令】authen-fail{offline|onlinedomainnew-isp-name}undoauthen-fail【缺省情况】用户认证失败后采取的处理策略是直接下线.
【视图】ISP域视图【缺省用户角色】network-admin【参数】offline:用户认证失败后直接下线.
online:用户认证失败后保持在线.
domainnew-isp-name:指定认证失败域,即认证失败后重新加入的域.
new-isp-name表示ISP域的名称,为1~255个字符的字符串,不区分大小写,不能包括"/"、"\"、"|"、"""、":"、"*"、""、""以及"@"字符,且必须已经存在.
【使用指导】不同的组网环境中,对于用户认证失败后的处理策略有所不同.
缺省情况下,用户将会直接下线.
但如果希望用户在首次认证失败后,还有机会尝试其它的认证/授权/计费方案,则可以使其保持在线,并转至指定的认证失败域内重新进行认证/授权/计费.
被指定为认证失败后的二次认证域的域不允许删除.
若要删除该域,请先执行undoauthen-fail命令取消对该域的引用.
以下情况不会采用认证失败域:管理类用户认证失败.
因认证超时导致的认证失败,例如认证服务器无响应、无本地用户等.
因认证域的状态为block或认证域属于接口下指定的deny域而引起的认证失败.
1-17域内的接入用户数已经达到最大值而引起的认证失败.
用户认证失败后转到认证失败域内重新认证仍然失败.
用户重认证失败.
【举例】#在ISP域视图test下,配置用户认证失败后采取的处理策略为采用域dm1对用户进行重新认证/授权/计费.
system-view[Sysname]domainnametest[Sysname-isp-test]authen-failonlinedomaindm1【相关命令】displaydomain1.
1.
19authenticationdefaultauthenticationdefault命令用来为当前ISP域配置缺省的认证方法.
undoauthenticationdefault命令用来为恢复缺省情况.
【命令】authenticationdefault{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|ldap-schemeldap-scheme-name[local][none]|local[radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name]*[none]|local[ldap-schemeldap-scheme-name][none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoauthenticationdefault【缺省情况】当前ISP域的缺省认证方法为local.
【视图】ISP域视图【缺省用户角色】network-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
ldap-schemeldap-scheme-name:指定LDAP方案.
其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写.
local:本地认证.
none:不进行认证.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
1-18【使用指导】当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效.
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证.
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败.
【举例】#在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备选认证方法.
system-view[Sysname]domainnametest[Sysname-isp-test]authenticationdefaultradius-schemerdlocal【相关命令】hwtacacsschemeldapschemelocal-userradiusscheme1.
1.
20authenticationipoeauthenticationipoe命令用来为IPoE用户配置认证方法.
undoauthenticationipoe命令用来恢复缺省情况.
【命令】authenticationipoe{local[radius-schemeradius-scheme-name][none]|none|radius-schemeradius-scheme-name[local][none]}undoauthenticationipoe【缺省情况】IPoE用户采用当前ISP域的缺省认证方法.
【视图】ISP域视图【缺省用户角色】network-admin【参数】local:本地认证.
none:不认证.
1-19radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证.
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败.
【举例】#在ISP域test下,为IPoE用户配置认证方法为local.
system-view[Sysname]domainnametest[Sysname-isp-test]authenticationipoelocal#在ISP域test下,配置IPoE用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法.
system-view[Sysname]domainnametest[Sysname-isp-test]authenticationipoeradius-schemerdlocal【相关命令】authenticationdefaultlocal-userradiusscheme1.
1.
21authenticationloginauthenticationlogin命令用来为login用户配置认证方法.
undoauthenticationlogin命令用来恢复缺省情况.
【命令】authenticationlogin{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|ldap-schemeldap-scheme-name[local][none]|local[radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name]*[none]|local[ldap-schemeldap-scheme-name][none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoauthenticationlogin【缺省情况】login用户采用当前ISP域的缺省认证方法.
【视图】ISP域视图1-20【缺省用户角色】network-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
ldap-schemeldap-scheme-name:指定LDAP方案.
其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写.
local:本地认证.
none:不进行认证.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证.
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败.
【举例】#在ISP域test下,为login用户配置认证方法为local.
system-view[Sysname]domainnametest[Sysname-isp-test]authenticationloginlocal#在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法.
system-view[Sysname]domainnametest[Sysname-isp-test]authenticationloginradius-schemerdlocal【相关命令】authenticationdefaulthwtacacsschemeldapschemelocal-userradiusscheme1.
1.
22authenticationsuperauthenticationsuper命令用来配置用户角色切换认证方法.
undoauthenticationsuper命令用来恢复缺省情况.
1-21【命令】authenticationsuper{hwtacacs-schemehwtacacs-scheme-name|radius-schemeradius-scheme-name}*undoauthenticationsuper【缺省情况】用户角色切换认证采用当前ISP域的缺省认证方法.
【视图】ISP域视图【缺省用户角色】network-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限.
为了保证切换操作的安全性,需要在用户执行用户角色切换时进行身份认证.
设备支持本地和远程两种认证方式,关于用户角色切换的详细介绍请参见"基础配置分册"中的"RBAC".
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证.
【举例】#在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证.
system-view[Sysname]superauthentication-modescheme[Sysname]domainnametest[Sysname-isp-test]authenticationsuperhwtacacs-schemetac【相关命令】authenticationdefaulthwtacacsschemeradiusscheme1.
1.
23authorizationcommandauthorizationcommand命令用来配置命令行授权方法.
undoauthorizationcommand命令用来恢复缺省情况.
【命令】authorizationcommand{hwtacacs-schemehwtacacs-scheme-name[local][none]|local[none]|none}1-22undoauthorizationcommand【缺省情况】命令行授权采用当前ISP域的缺省授权方法.
【视图】ISP域视图【缺省用户角色】network-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地授权.
none:不授权.
用户执行角色所允许的命令时,无须接受授权服务器的检查.
【使用指导】命令行授权是指,用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行.
用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制,即,仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行,才能被执行.
需要注意的是,命令行授权功能只利用角色中的权限规则对命令行执行权限检查,不进行其它方面的权限检查,例如资源控制策略等.
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行.
可以指定多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权.
例如,hwtacacs-schemehwtacacs-scheme-namelocalnone表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权.
【举例】#在ISP域test下,配置命令行授权方法为local.
system-view[Sysname]domainnametest[Sysname-isp-test]authorizationcommandlocal#在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法.
system-view[Sysname]domainnametest[Sysname-isp-test]authorizationcommandhwtacacs-schemehwtaclocal【相关命令】commandauthorization(基础配置命令参考/登录设备)hwtacacsschemelocal-user1-231.
1.
24authorizationdefaultauthorizationdefault命令用来为当前ISP域配置缺省的授权方法.
undoauthorizationdefault命令用来恢复缺省情况.
【命令】authorizationdefault{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|local[radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name]*[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoauthorizationdefault【缺省情况】当前ISP域的缺省授权方法为local.
【视图】ISP域视图【缺省用户角色】network-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地授权.
none:不授权.
接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权.
此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络.
关于用户角色level-0的详细介绍请参见"基础配置指导"中的"RBAC".
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效.
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效.
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权.
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败.
1-24【举例】#在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法.
system-view[Sysname]domainnametest[Sysname-isp-test]authorizationdefaultradius-schemerdlocal【相关命令】hwtacacsschemelocal-userradiusscheme1.
1.
25authorizationipoeauthorizationipoe命令用来为IPoE用户配置授权方法.
undoauthorizationipoe命令用来恢复缺省情况.
【命令】authorizationipoe{local[radius-schemeradius-scheme-name][none]|none|radius-schemeradius-scheme-name[local][none]}undoauthorizationipoe【缺省情况】IPoE用户采用当前ISP域的缺省授权方法.
【视图】ISP域视图【缺省用户角色】network-admin【参数】local:本地授权.
none:不授权.
radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效.
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权.
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败.
1-25【举例】#在ISP域test下,为IPoE用户配置授权方法为local.
system-view[Sysname]domainnametest[Sysname-isp-test]authorizationipoelocal#在ISP域test下,配置IPoE用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法.
system-view[Sysname]domainnametest[Sysname-isp-test]authorizationipoeradius-schemerdlocal【相关命令】authorizationdefaultlocal-userradiusscheme1.
1.
26authorizationloginauthorizationlogin命令用来为login用户配置授权方法.
undoauthorizationlogin命令用来恢复缺省情况.
【命令】authorizationlogin{hwtacacs-schemehwtacacs-scheme-name[radius-schemeradius-scheme-name][local][none]|local[radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name]*[none]|none|radius-schemeradius-scheme-name[hwtacacs-schemehwtacacs-scheme-name][local][none]}undoauthorizationlogin【缺省情况】login用户采用当前ISP域的缺省授权方法.
【视图】ISP域视图【缺省用户角色】network-admin【参数】hwtacacs-schemehwtacacs-scheme-name:指定HWTACACS方案.
其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
local:本地授权.
none:不授权.
接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权.
此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限.
关于用户角色level-0的详细介绍请参见"基础配置指导"中的"RBAC".
1-26radius-schemeradius-scheme-name:指定RADIUS方案.
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写.
【使用指导】在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效.
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权.
例如,radius-schemeradius-scheme-namelocalnone表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权.
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败.
【举例】#在ISP域test下,为login用户配置授权方法为local.
system-view[Sysname]domainnametest[Sysname-isp-test]authorizationloginlocal#在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法.
system-view[Sysname]domainnametest[Sysname-isp-test]authorizationloginradius-schemerdlocal【相关命令】authorizationdefaulthwtacacsschemelocal-userradiusscheme1.
1.
27authorization-attribute(ISPdomainview)authorization-attribute命令用来设置当前ISP域下的用户授权属性.
undoauthorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限.
【命令】authorization-attribute{igmpmax-access-numbermax-access-number|ip-poolipv4-pool-name|ip-pool-groupipv4-pool-group-name|ipv6-nd-prefix-poolipv6-prefix-pool-name|ipv6-poolipv6-pool-name|ipv6-pool-groupipv6-pool-group-name|ipv6-prefixipv6-prefixprefix-length|mldmax-access-numbermax-access-number|{primary-dns|secondary-dns}{ipipv4-address|ipv6ipv6-address}|session-timeouttimeout}1-27undoauthorization-attribute{igmp|ip-pool|ip-pool-group|ipv6-nd-prefix-pool|ipv6-pool|ipv6-pool-group|ipv6-prefix|mld|primary-dns|secondary-dns|session-timeout}【缺省情况】当前ISP域下的IPv4用户可以同时点播的最大节目数为4,IPv6用户可以同时点播的最大节目数为4,无其它授权属性.
【视图】ISP域视图【缺省用户角色】network-admin【参数】igmpmax-access-numbermax-access-number:指定IPv4用户可以同时点播的最大节目数.
其中,max-access-number的取值范围为1~64.
此属性只对IPoE用户生效.
ip-poolipv4-pool-name:指定为用户分配IPv4地址的地址池.
其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写.
此属性只对IPoE用户生效.
ip-pool-groupipv4-pool-group-name:指定为用户分配IPv4地址的地址池组,其中,ipv4-pool-group-name为IP地址池组名称,为1~63个字符的字符串,不区分大小写.
此属性仅对IPoE用户适用.
ipv6-nd-prefix-poolipv6-prefix-pool-name:指定为IPv6用户授权的ND前缀池.
其中,ipv6-prefix-pool-name表示分配ND前缀IPv6地址池的名称,为1~63个字符的字符串,不区分大小写.
此属性只对IPoE用户生效.
ipv6-poolipv6-pool-name:指定为用户分配IPv6地址的地址池.
其中,ipv6-pool-name表示分配IPv6地址的IPv6地址池名称,为1~63个字符的字符串,不区分大小写.
此属性只对IPoE用户生效.
ipv6-pool-groupipv6-pool-group-name:指定为用户分配IPv6地址的地址池组,其中,ipv6-pool-group-name为IPv6地址池组名称,为1~63个字符的字符串,不区分大小写.
此属性仅对IPoE用户适用.
ipv6-prefixipv6-prefixprefix-length:指定为用户分配的IPv6前缀.
其中,ipv6-prefixprefix-length为前缀地址和前缀长度,前缀长度取值范围是1~128.
此属性只对IPoE用户生效.
mldmax-access-numbermax-access-number:指定IPv6用户可以同时点播的最大节目数.
其中,max-access-number的取值范围为1~64.
此属性只对IPoE用户生效.
primary-dnsipipv4-address:指定用户的主DNS服务器IPv4地址.
此属性只对IPoE用户生效.
primary-dnsipv6ipv6-address:指定用户的主DNS服务器IPv6地址.
此属性只对IPoE用户生效.
secondary-dnsipipv4-address:指定用户的从DNS服务器IPv4地址.
此属性只对IPoE用户生效.
1-28secondary-dnsipv6ipv6-address:指定用户的从DNS服务器IPv6地址.
此属性只对IPoE用户生效.
session-timeouttimeout:指定用户的会话超时时间.
其中,timeout为设定的会话超时时间,取值范围为1~4294967294,单位为秒.
如果用户在线时长超过该值,设备会强制该用户下线.
如果RADIUS服务器通过Session-Timeout属性给用户下发了会话超时时间,则服务器下发的会话超时时间优先生效.
此属性只对IPoE用户生效.
【使用指导】需要注意的是:可通过多次执行本命令配置多个授权属性,但对于相同授权属性,最后一次执行的命令生效.
若对用户同时下发了授权地址池和地址池组,则地址池优先生效.
【举例】#指定ISP域test下的IPv4用户可以同时点播的最大节目数为32.
system-view[Sysname]domainnametest[Sysname-isp-test]authorization-attributeigmpmax-access-number32【相关命令】displaydomain1.
1.
28displayaaaabnormal-offline-recorddisplayaaaabnormal-offline-record命令用来显示用户异常下线记录.
【命令】displayaaaabnormal-offline-record{access-type{ipoe|login}|domaindomain-name|interfaceinterface-typeinterface-number|{ipipv4-address|ipv6ipv6-address}|mac-addressmac-address|s-vlansvlan-id[c-vlancvlan-id]|slotslot-number|usernameuser-name[fuzzy-match]}*[brief|countcount]displayaaaabnormal-offline-recordoffline-reason{idle-cut|quota-out|realtime-acct-fail|session-timeout|user-detect-fail}[brief]displayaaaabnormal-offline-recordtimebegin-timeend-time[datebegin-dateend-date][brief]displayaaaabnormal-offline-record【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】access-type:显示指定用户接入类型的异常下线记录.
1-29ipoe:IPoE接入用户.
login:登录设备的用户,如SSH、Telnet、FTP用户.
domaindomain-name:显示通过指定ISP域上线的用户的异常下线记录.
domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写.
interfaceinterface-typeinterface-number:显示通过指定接口上线的用户的异常下线信息.
interface-typeinterface-number表示用户接入接口的类型和接口编号.
ipipv4-address:显示指定IPv4地址的用户异常下线记录.
ipv6ipv6-address:显示指定IPv6地址的用户异常下线记录.
mac-addressmac-address:显示指定MAC地址的异常下线失败记录.
mac-address为用户的MAC地址,格式为H-H-H.
slotslot-number:显示指定单板的用户异常下线失败记录.
slot-number表示单板所在槽位号.
s-vlansvlan-id:显示通过指定服务提供商VLAN上线的用户的异常下线记录.
svlan-id表示VLANID,取值范围为1~4094.
c-vlancvlan-id:显示通过指定用户VLAN上线的用户的异常下线记录.
cvlan-id表示VLANID,取值范围为1~4094.
usernameuser-name:显示指定用户名的异常下线记录.
user-name表示用户名,为1~253个字符的字符串,区分大小写.
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功.
若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功.
offline-reason:显示指定下线原因的用户异常下线记录.
idle-cut:闲置超时后切断.
quota-out:流量配额耗尽.
realtime-acct-fail:实时计费失败.
session-timeout:用户会话超时.
user-detect-fail:用户探测失败.
time:显示指定时间范围内下线用户的异常下线记录.
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59.
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59.
date:显示指定日期范围的异常下线记录.
若不指定该参数,则表示仅查看当天的记录.
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日).
MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日).
MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
brief:显示用户异常下线记录的简要信息.
若不指定该参数,则表示显示用户异常下线记录的详细信息.
countcount:显示指定数量的异常下线记录.
count为记录的条目,取值范围为1~32768.
1-30【使用指导】可通过指定多种组合条件按需查询用户的异常下线记录.
系统将从最新的一条记录开始显示符合查询条件的记录.
无论当前系统中的用户异常下线记录功能是否处于开启状态,只要系统中存在用户异常下线记录,就能通过本命令进行查看.
若不指定任何参数,则显示当前系统中的所有用户异常下线记录的详细信息.
如果服务器传递给设备的用户名中会携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息.
【举例】#显示所有用户异常下线记录的详细信息.
displayaaaabnormal-offline-recordTotalcount:1Username:jayDomain:dm1MACaddress:-Accesstype:SSHAccessinterface:GigabitEthernet3/1/1SVLAN/CVLAN:-/-IPaddress:19.
19.
0.
2IPv6address:-Onlinerequesttime:2017/01/0215:20:33Offlinetime:2017/2/2815:20:56Offlinereason:Userdisconnectedfromtheserver.
#显示login用户异常下线记录的简要信息.
displayaaaabnormal-offline-recordaccess-typeloginbriefUsername:jayMACaddress:-IPaddress:11.
2.
2.
41IPv6address:-Offlinereason:Userdisconnectedfromtheserver.
表1-1displayaaaabnormal-offline-record命令显示信息描述表字段描述Totalcount用户异常下线记录总计数Username用户名(若不存在,则显示为空)DomainISP域名(若不存在,则显示为空)MACaddress用户的MAC地址(若不存在,则显示"-")Accesstype用户的接入类型:Telnet:Telnet用户FTP:FTP用户SSH:SSH用户IPoE:IPoE普通用户1-31NETCONFoverSOAP:NETCONFoverSOAP用户NETCONFoverRESTful:NETCONFoverRESTful用户Terminal:Terminal用户,例如从Console口登录设备的终端用户Accessinterface用户接入的接口名(若不存在,则显示"-")SVLAN/CVLAN服务提供商VLAN/用户VLAN(若不存在,则显示"-")IPaddress用户的IPv4地址(若不存在,则显示"-")IPv6address用户的IPv6地址(若不存在,则显示"-")Onlinerequesttime用户发起上线请求的时间Offlinetime用户下线的时间Offlinereason用户下线的原因,详细介绍请参见表1-1下表罗列内容为所有产品可支持上/下线原因的合集,具体产品支持情况有所不同.
表1-1用户上/下线原因描述表字段描述Lostcarrier.
物理链路DOWNLostservice.
用户业务不支持NASerror.
设备错误NASreboot.
设备重启Adminreboot.
管理员重启设备Processexit.
接入进程退出NASrequest.
设备请求用户下线Cutcommand.
管理员手动执行命令强制用户下线LoggedoffbytheRADIUSserver.
RADIUS服务器要求用户下线Userrequest.
用户请求下线Authenticationfailed认证失败Authorizationfailed.
授权失败Startaccountingfailed.
开始计费失败NoAAAresponseduringauthentication.
用户在进行远端服务器认证时,设备在认证超时时间内未收到认证服务器的回应RADIUSauthenticationrejected.
用户名或密码与RADIUS服务器上的信息不一致,导致认证失败AAAauthorizationinformationinvalid.
授权信息错误或者设备上没有对应的授权配置NoAAAresponseforaccountingstart.
用户向远端服务器发送计费开始时,设备在计费开始超时时间内未收到认证服务器的回应1-32字段描述AuthenticationrequesttoAAAfailed.
由于设备与RADIUS服务器间路由不可达,导致认证请求发送失败AccountingrequesttoAAAfailed.
由于设备与RADIUS服务器间路由不可达,导致计费请求发送失败TACACSauthenticationrejected.
用户名或密码与HWTACACS服务器上的信息不一致,导致认证失败Authenticationmethoderror.
接入模块的认证配置错误.
可能是用户请求的认证类型与端口下配置的认证类型不一致NoAAAresponseforaccountingstop.
未收到服务器对停止计费请求的回应Thelocaluserdoesn'texist.
设备上未配置该本地用户Localauthenticationrequestwasrejected.
用户密码错误导致本地认证被拒绝IPassignmentfailed.
IP地址分配失败Concurrentuserloginlimitreached.
一个本地用户帐号允许接入的用户数超过了限制NASinterfaceaccesslimitreached.
NAS接口下上线的用户数已达到了该接口下配置的允许上线用户数目最大限制Maximumnumberofconcurrentusersthatusethisaccountalreadyreached.
使用该账户的用户达到了上限个数Insufficienthardwareresources.
硬件资源不足FailedtoobtainIPv6prefix.
没有可用的IPv6地址前缀用来为用户分配NoresponsefromDHCPserver.
设备向远端DHCP服务器申请IP地址时,没有收到远端服务器的响应DHCPIPaddressallocationfailure.
DHCPv6地址分配失败,可能的原因包括:AAA域下没有配置授权IPv6地址池IPv6地址池被锁定DHCPsessionconflict.
新建的DHCP会话与已有的会话冲突DHCPuserrequest.
DHCP用户请求下线DHCPleasetimeout.
DHCP用户地址租期到期下线DHCPdeclined.
已有主机使用服务器分配的IP地址设备收到用户的DHCP-DECLINE报文,可能是客户端检测到用户网络中存在另一个相同的IP地址DHCPconfigurationchanged.
DHCP配置变化触发用户下线NAKfromtheDHCPserverortenantdurationis0.
客户端请求的IP地址与设备分配的IP地址网段不一致或续租时间为0IPconflictonDHCPserver.
设备检测到IP地址冲突DHCPservernotified.
DHCP服务器通知用户下线DHCPservernotified,andthedevicedeletedtheuser.
DHCP服务器端通知用户下线,设备删除用户1-33字段描述TheNDRSsessionisupdated.
ND用户在线时,又收到该用户的ND上线请求,触发用户下线COAfailure.
设备处理COA授权消息失败Failedtoupdateauthorizationinformation.
更新用户授权信息失败RealtimeaccountingrequesttoAAAfailed.
实时计费请求失败Sessiontimeout.
用户会话超时Dataquotalimitreached.
用户可用流量额度已经达到限定值Sessionidlecut.
闲置切断,即单位时间内用户的流量小于指定值,设备强制用户下线Useronlinedetectionfailure.
用户在线探测失败PortwasremovedfromVLAN.
用户上线的物理端口被移出所在VLANPorterror.
端口错误Interfacedownordeactive.
接口协议down、链路down或接口未激活VSRPstatuschanged.
VSRP状态变化Backupdevicedeleteduserdatathatisinconsistentwithdataonthemasterdevice.
VSRP备设备删除了与主设备上不一致的用户数据MACaddresschange.
用户MAC地址变化FailedtorecoverAAAresources.
恢复用户的AAA资源失败Deletedusersbecauseofinter-cardsessionconflict.
不同单板上的会话冲突导致用户下线Useragedoutbeforecomingonline.
达到了接入模块的上线超时时间MPU-LPUdatasynchronizationfailure.
板间数据平滑失败FailedtosynchronizedatawithDHCPserver.
与DHCP服务器之间数据同步失败Failedtosynchronizeuserinformationwiththeserver.
与服务器同步用户信息失败Userrecoveryfailure.
用户数据恢复失败Failedtoobtainphysicalinformation.
获取物理信息失败AuthorizationACLfortheonlineuserchanged.
授权的ACL配置变化Authorizationuserprofilefortheonlineuserchanged.
授权的UserProfile配置变化Magicnumbercheckfailed.
魔鬼数字检查失败Reauthenticationfailed.
重认证失败NoAAAresponseduringrealtimeaccounting.
实时计费无响应Invalidusernameorpassword.
无效用户名或者密码NoVTYlineavailable.
没有VTY资源,登录VTY的用户数达到了最大值1-34字段描述SSHserverreceivedapacketwithanincorrectmessageauthenticationcode.
SSH客户端报文的消息认证码(MessageAuthenticationCode)错误Userdisconnectedfromtheserver.
SSH或FTP用户与服务器断开连接Noworkingdirectoryavailable.
无可用工作路径错误PTYallocationfailed.
PTY(伪终端)申请失败FTPservererror.
用户连接的FTP服务器异常,由于FTP服务器自身的原因导致用户无法登录Serverisdisabled.
服务未开启Servicetypenotsupported.
服务类型不支持RBACdeniedfilemanagementoperationsinthelogincommand.
登录命令中的文件系统操作权限被RBAC禁止FailedtoissueRBACaccesspermissionstotheloginuser.
登录命令行执行权限被RBAC禁止NETCONFinnererror.
NETCONF内部错误NETCONFsessionwasterminatedbyanotherNETCONFsession.
用户的Netconf会话被其它Netconf会话打断FailedtoobtainanIPaddressofthetypespecifiedforbasicservicesofusers.
用户主业务依赖的IP地址分配失败UserGroupconfigurationchanged.
用户组配置变化MACconflict.
MAC地址冲突RedisDBMclear.
(暂不支持)在数据迁出设备上执行RedisDBM的clear操作导致用户下线RedisDBMconflict.
(暂不支持)在数据迁入设备上恢复Redis数据时发生数据冲突RedisDBMblock.
(暂不支持)在数据迁出设备上执行RedisDBM的block操作导致用户下线LoggedoutbytheRADIUSproxy被RADIUS代理强制下线【相关命令】resetaaaabnormal-offline-record1.
1.
29displayaaanormal-offline-recorddisplayaaanormal-offline-record命令用来显示用户正常下线记录.
【命令】displayaaanormal-offline-record{access-type{ipoe|login}|domaindomain-name|interfaceinterface-typeinterface-number|{ipipv4-address|ipv6ipv6-address}|mac-addressmac-address|s-vlansvlan-id[c-vlan1-35cvlan-id]|slotslot-number|usernameuser-name[fuzzy-match]}*[brief|countcount]displayaaanormal-offline-recordtimebegin-timeend-time[datebegin-dateend-date][brief]displayaaanormal-offline-record【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】access-type:显示指定用户接入类型的正常下线记录.
ipoe:IPoE接入用户.
login:登录设备的用户,如SSH、Telnet、FTP用户.
domaindomain-name:显示通过指定ISP域上线的用户的正常下线记录.
domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写.
interfaceinterface-typeinterface-number:显示通过指定接口上线的用户的正常下线信息.
interface-typeinterface-number表示用户接入接口的类型和接口编号.
ipipv4-address:显示指定IPv4地址的用户正常下线记录.
ipv6ipv6-address:显示指定IPv6地址的用户正常下线记录.
mac-addressmac-address:显示指定MAC地址的正常下线记录.
mac-address为用户的MAC地址,格式为H-H-H.
slotslot-number:显示指定单板的用户正常下线记录.
slot-number表示单板所在槽位号.
s-vlansvlan-id:显示通过指定服务提供商VLAN上线的用户的正常下线记录.
svlan-id表示VLANID,取值范围为1~4094.
c-vlancvlan-id:显示通过指定用户VLAN上线的用户的正常下线记录.
cvlan-id表示VLANID,取值范围为1~4094.
usernameuser-name:显示指定用户名的正常下线记录.
user-name表示用户名,为1~253个字符的字符串,区分大小写.
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功.
若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功.
time:显示指定时间范围内上线用户的正常下线记录.
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59.
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59.
date:显示指定日期范围的正常下线记录.
若不指定该参数,则表示仅查看当天的记录.
1-36begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日).
MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日).
MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
brief:显示用户正常下线记录的简要信息.
若不指定该参数,则表示显示用户正常下线记录的详细信息.
countcount:显示指定数量的正常下线失败记录.
count为记录的条目,取值范围为1~32768.
【使用指导】可通过指定多种组合条件按需查询用户的正常下线记录.
系统将从最新的一条记录开始显示符合查询条件的记录.
无论当前系统中的用户正常下线记录功能是否处于开启状态,只要系统中存在用户正常下线记录,就能通过本命令进行查看.
若不指定任何参数,则显示当前系统中的所有用户正常下线记录的详细信息.
如果服务器传递给设备的用户名中会携带不可见字符,则使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息.
【举例】#显示所有用户正常下线记录的详细信息.
displayaaanormal-offline-recordTotalcount:1Username:jayDomain:dm1MACaddress:-Accesstype:TelnetAccessinterface:GigabitEthernet3/1/1SVLAN/CVLAN:-/-IPaddress:19.
19.
0.
2IPv6address:-Onlinerequesttime:2017/01/0215:20:33Offlinetime:2017/2/2815:20:56Offlinereason:Userrequest.
#显示login用户正常下线记录的简要信息.
displayaaaoffline-recordaccess-typeloginbriefUsername:jayMACaddress:-IPaddress:11.
2.
2.
41IPv6address:-Offlinereason:Userrequest.
表1-2displayaaanormal-offline-record命令显示信息描述表字段描述Totalcount用户正常下线记录总计数Username用户名(若不存在,则显示为空)1-37DomainISP域名(若不存在,则显示为空)MACaddress用户的MAC地址(若不存在,则显示"-")Accesstype用户的接入类型:Telnet:Telnet用户FTP:FTP用户SSH:SSH用户IPoE:IPoE普通用户NETCONFoverSOAP:NETCONFoverSOAP用户NETCONFoverRESTful:NETCONFoverRESTful用户Terminal:Terminal用户,例如从Console口登录设备的终端用户Accessinterface用户接入的接口名(若不存在,则显示"-")SVLAN/CVLAN服务提供商VLAN/用户VLAN(若不存在,则显示"-")IPaddress用户的IPv4地址(若不存在,则显示"-")IPv6address用户的IPv6地址(若不存在,则显示"-")Onlinerequesttime用户发起上线请求的时间Offlinetime用户下线的时间Offlinereason用户下线的原因,详细介绍请参见表1-1【相关命令】resetaaanormal-offline-record1.
1.
30displayaaaoffline-recorddisplayaaaoffline-record命令用来显示用户下线记录.
【命令】displayaaaoffline-record{access-type{ipoe|login}|domaindomain-name|interfaceinterface-typeinterface-number|{ipipv4-address|ipv6ipv6-address}|mac-addressmac-address|s-vlansvlan-id[c-vlancvlan-id]|slotslot-number|usernameuser-name[fuzzy-match]}*[brief|countcount]displayaaaoffline-recordtimebegin-timeend-time[datebegin-dateend-date][brief]displayaaaoffline-record【视图】任意视图1-38【缺省用户角色】network-adminnetwork-operator【参数】access-type:显示指定用户接入类型的下线记录.
login:登录设备的用户,如SSH、Telnet、FTP用户.
ipoe:IPoE接入用户.
domaindomain-name:显示通过指定ISP域上线的用户的下线记录.
domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写.
interfaceinterface-typeinterface-number:显示通过指定接口上线的用户的下线信息.
interface-typeinterface-number表示用户接入接口的类型和接口编号.
ipipv4-address:显示指定IPv4地址的用户下线记录.
ipv6ipv6-address:显示指定IPv6地址的用户下线记录.
mac-addressmac-address:显示指定MAC地址的下线记录.
mac-address为用户的MAC地址,格式为H-H-H.
slotslot-number:显示指定单板的用户下线记录.
slot-number表示单板所在槽位号.
s-vlansvlan-id:显示通过指定服务提供商VLAN上线的用户的下线记录.
svlan-id表示VLANID,取值范围为1~4094.
c-vlancvlan-id:显示通过指定用户VLAN上线的用户的下线记录.
cvlan-id表示VLANID,取值范围为1~4094.
usernameuser-name:显示指定用户名的下线记录.
user-name表示用户名,为1~253个字符的字符串,区分大小写.
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功.
若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功.
time:显示指定时间范围内下线用户的下线记录.
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59.
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59.
date:显示指定日期范围的下线记录.
若不指定该参数,则表示仅查看当天的记录.
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日).
MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日).
MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
brief:显示用户下线记录的简要信息.
若不指定该参数,则表示显示用户下线记录的详细信息.
countcount:显示指定数量的下线记录.
count为记录的条目,取值范围为1~65536.
1-39【使用指导】可通过指定多种组合条件按需查询用户的下线记录.
系统将从最新的一条记录开始显示符合查询条件的记录.
无论当前系统中的用户下线记录功能是否处于开启状态,只要系统中存在用户下线记录,就能通过本命令进行查看.
若不指定任何参数,则显示当前系统中的所有用户下线记录的详细信息.
如果服务器传递给设备的用户名中会携带不可见字符,因此使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息.
【举例】#显示所有用户下线记录的详细信息.
displayaaaoffline-recordTotalcount:1Username:jayDomain:dm1MACaddress:-Accesstype:TelnetAccessinterface:GigabitEthernet3/1/1SVLAN/CVLAN:-/-IPaddress:19.
19.
0.
2IPv6address:-Onlinerequesttime:2017/01/0215:20:33Offlinetime:2017/2/2815:20:56Offlinereason:Userrequest#显示login用户下线记录的简要信息.
displayaaaoffline-recordaccess-typeloginbriefUsername:jayMACaddress:-IPaddress:20.
20.
20.
1IPv6address:-Offlinereason:Userrequest.
Username:testMACaddress:-IPaddress:20.
20.
20.
3IPv6address:-Offlinereason:Userrequest.
表1-3displayaaaoffline-record命令显示信息描述表字段描述Totalcount用户下线记录总计数Username用户名(若不存在,则显示为空)DomainISP域名(若不存在,则显示为空)MACaddress用户的MAC地址(若不存在,则显示"-")1-40Accesstype用户的接入类型:Telnet:Telnet用户FTP:FTP用户SSH:SSH用户IPoE:IPoE普通用户NETCONFoverSOAP:NETCONFoverSOAP用户NETCONFoverRESTful:NETCONFoverRESTful用户Terminal:Terminal用户,例如从Console口登录设备的终端用户Accessinterface用户接入的接口名(若不存在,则显示"-")SVLAN/CVLAN服务提供商VLAN/用户VLAN(若不存在,则显示"-")IPaddress用户的IPv4地址(若不存在,则显示"-")IPv6address用户的IPv6地址(若不存在,则显示"-")Onlinerequesttime用户发起上线请求的时间Offlinetime用户下线的时间Offlinereason用户下线的原因,详细介绍请参见表1-1【相关命令】resetaaaoffline-record1.
1.
31displayaaaonline-fail-recorddisplayaaaonline-fail-record命令用来显示用户上线失败记录.
【命令】displayaaaonline-fail-record{access-type{ipoe|login}|domaindomain-name|interfaceinterface-typeinterface-number|{ipipv4-address|ipv6ipv6-address}|mac-addressmac-address|s-vlansvlan-id[c-vlancvlan-id]|slotslot-number|usernameuser-name[fuzzy-match]}*[brief|countcount]displayaaaonline-fail-recordtimebegin-timeend-time[datebegin-dateend-date][brief]displayaaaonline-fail-record【视图】任意视图【缺省用户角色】network-adminnetwork-operator1-41【参数】access-type:显示指定用户接入类型的上线失败记录.
ipoe:IPoE接入用户.
login:登录设备的用户,如SSH、Telnet、FTP用户.
domaindomain-name:显示通过指定ISP域上线的用户的上线失败记录.
domain-name表示ISP域名,为1~255个字符的字符串,不区分大小写.
interfaceinterface-typeinterface-number:显示通过指定接口上线的用户的上线失败信息.
interface-typeinterface-number表示用户接入接口的类型和接口编号.
ipipv4-address:显示指定IPv4地址的用户上线失败记录.
ipv6ipv6-address:显示指定IPv6地址的用户上线失败记录.
mac-addressmac-address:显示指定MAC地址的上线失败记录.
mac-address为用户的MAC地址,格式为H-H-H.
slotslot-number:显示指定单板的用户上线失败记录.
slot-number表示单板所在槽位号.
s-vlansvlan-id:显示通过指定服务提供商VLAN上线的用户的上线失败记录.
svlan-id表示VLANID,取值范围为1~4094.
c-vlancvlan-id:显示通过指定用户VLAN上线的用户的上线失败记录.
cvlan-id表示VLANID,取值范围为1~4094.
usernameuser-name:显示指定用户名的上线失败记录.
user-name表示用户名,为1~253个字符的字符串,区分大小写.
fuzzy-match:表示松散匹配用户名,即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名,则匹配成功.
若不指定该参数,则表示精确匹配用户名,即user-name字符串必须完全匹配上完整的用户名,才表示匹配成功.
time:显示指定时间范围内上线用户的上线失败记录.
begin-time:起始时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59.
end-time:结束时间,格式为hh:mm:ss(小时:分钟:秒),hh取值范围为0~23,mm和ss取值范围为0~59.
date:显示指定日期范围的上线失败记录.
若不指定该参数,则表示仅查看当天的记录.
begin-date:起始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日).
MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
end-date:结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日).
MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035.
brief:显示用户上线失败记录的简要信息.
若不指定该参数,则表示显示用户上线失败记录的详细信息.
countcount:显示指定数量的上线失败记录.
count为记录的条目,取值范围为1~32768.
【使用指导】可通过指定多种组合条件按需查询用户的上线失败记录.
系统将从最新的一条记录开始显示符合查询条件的记录.
1-42无论当前系统中的用户上线失败记录功能是否处于开启状态,只要系统中存在用户上线失败记录,就能通过本命令进行查看.
若不指定任何参数,则显示当前系统中的所有用户上线失败记录的详细信息.
如果服务器传递给设备的用户名中会携带不可见字符,因此使用指定用户名方式查看该类用户信息时,必须指定fuzzy-match关键字,否则无法查看到该用户信息.
【举例】#显示2条用户名为aaa的login用户上线失败记录的详细信息.
displayaaaonline-fail-recordusernameaaaaccess-typelogincount2Username:aaaDomain:testMACaddress:-Accesstype:TelnetAccessinterface:GigabitEthernet3/1/1SVLAN/CVLAN:100/-IPaddress:19.
19.
0.
1IPv6address:-Onlinerequesttime:2017/01/0215:20:37Onlinefailurereason:Authenticationfailed.
Serverreplymessage:nouserexists.
Username:aaaDomain:testMACaddress:-Accesstype:TelnetAccessinterface:GigabitEthernet3/1/1SVLAN/CVLAN:-/-IPaddress:19.
19.
0.
2IPv6address:-Onlinerequesttime:2017/01/0215:20:33Onlinefailurereason:Authenticationfailed.
Serverreplymessage:nouserexists.
#显示2017/3/1的13:20:50到2017/3/2的10:20:30这段时间内的上线失败用户记录的简要信息.
displayaaaonline-fail-recordtime13:20:5010:20:30date2017/3/12017/3/2briefUsername:aaaMACaddress:-IPaddress:19.
19.
0.
2IPv6address:-Onlinefailurereason:Authenticationfailed.
Serverreplymessage:nouserexists.
#显示2017/3/1的13:20:50至2017/3/2的17:20:30期间的用户上线失败记录.
displayaaaonline-fail-recordtime13:20:5017:20:30date2017/3/12017/3/2Username:aaaDomain:testMACaddress:-Accesstype:TelnetAccessinterface:GigabitEthernet3/1/11-43SVLAN/CVLAN:-/-IPaddress:19.
19.
0.
1IPv6address:-Onlinerequesttime:2017/03/0216:20:33Onlinefailurereason:AuthenticationfailedServerreplymessage:nouserexists.
Username:aaaDomain:testMACaddress:-Accesstype:TelnetAccessinterface:GigabitEthernet3/1/1SVLAN/CVLAN:-/-IPaddress:19.
19.
0.
2IPv6address:-Onlinerequesttime:2017/03/0115:20:51Onlinefailurereason:Authenticationfailed.
Serverreplymessage:nouserexists.
表1-4displayaaaonline-fail-record命令显示信息描述表字段描述Totalcount用户上线失败记录总数Username用户名(若不存在,则显示为空)Domain用户上线使用的ISP域名(若不存在,则显示为空)MACaddress用户的MAC地址(若不存在,则显示"-")Accesstype用户的接入类型:Telnet:Telnet用户FTP:FTP用户SSH:SSH用户IPoE:IPoE普通用户NETCONFoverSOAP:NETCONFoverSOAP用户NETCONFoverRESTful:NETCONFoverRESTful用户Terminal:Terminal用户,例如从Console口登录设备的终端用户Accessinterface用户接入的接口名(若不存在,则显示"-")SVLAN/CVLAN服务提供商VLAN/用户VLAN(若不存在,则显示"-")IPaddress用户的IPv4地址(若不存在,则显示"-")IPv6address用户的IPv6地址(若不存在,则显示"-")Onlinerequesttime用户发起上线请求的时间Onlinefailurereason用户上线失败的原因,详细介绍请参见表1-1Serverreplymessage服务器下发的消息(若未下发,则不显示)1-44【相关命令】resetaaaonline-fail-record1.
1.
32displayaaaonline-offline-reasondisplayaaaonline-offline-reason命令用来显示用户上下线原因码的描述信息.
【命令】displayaaaonline-offline-reason[codecode-id]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】codecode-id:上下线原因码的编号,最小值为1,具体取值范围请在参数位置输入查看.
【使用指导】用户上线失败以及正常或异常下线时,设备会细分原因并使用原因码标识它们.
在用户下线时,设备还会在计费停止请求报文中携带该原因码向服务器端告知用户下线的原因.
管理员可以在设备上通过执行本命令来查看这些原因码所代表的含义.
若不指定任何参数,则表示显示所有的用户上下线原因码描述信息(不包括预留原因码).
因此,在使用本命令查看用户上下线原因码的描述信息时,建议通过指定原因编号的方式对显示信息进行过滤,避免信息过多,不易查找.
【举例】#显示编号为1的用户上下线原因码的描述信息.
displayaaaonline-offline-reasoncode1CodeDescription1userlogoff1.
1.
33displaydomaindisplaydomain命令用来显示所有或指定ISP域的配置信息.
【命令】displaydomain[nameisp-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator1-45【参数】nameisp-name:ISP域名,为1~255个字符的字符串,不区分大小写.
如果不指定该参数,则表示所有ISP域.
【使用指导】若要查看ISP域中的负载分担用户组及组内用户数目信息,执行本命令时必须指定该域的名称.
【举例】#显示系统中所有ISP域的配置信息.
displaydomainTotal2domainsDomain:systemCurrentstate:ActiveStateconfiguration:ActiveDefaultauthenticationscheme:LocalDefaultauthorizationscheme:LocalDefaultaccountingscheme:LocalAccountingstartfailureaction:OnlineAccountingupdatefailureaction:OnlineAccountingquotaoutpolicy:OfflineSendaccountingupdate:YesServicetype:HSISessiontime:ExcludeidletimeDHCPv6-follow-IPv6CPtimeout:60secondsIPv6CPinterfaceIDassignment:EnableDual-stackaccountingmethod:MergeNAS-ID:N/AServicerate-limitmode:SeparateWebserverURL:NotconfiguredWebserverURLparameters:NotconfiguredWebserverIPv4address:NotconfiguredWebserverIPv6address:NotconfiguredRedirectactivetime:NotconfiguredRedirectserverIPv4address:NotconfiguredTemporaryredirect:DisabledRedirectserverIPv6address:NotconfiguredDHCPaccessuserauto-save:DisabledAuthorizationattributes:Idlecut:DisabledIGMPaccesslimit:4MLDaccesslimit:4Accesslimit:NotconfiguredIPresourceusagewarningthresholds:Highthreshold:NotconfiguredLowthreshold:NotconfiguredIPv6resourceusagewarningthresholds:Highthreshold:Notconfigured1-46Lowthreshold:NotconfiguredAuthen-failaction:OfflineDomain:dmCurrentstate:ActiveStateconfiguration:BlockedduringspecifictimerangesTimeranges:t1t2Online-userlogoff:EnabledLoginauthenticationscheme:RADIUS=radLoginauthorizationscheme:HWTACACS=hwSuperauthenticationscheme:RADIUS=radPPPaccountingscheme:RADIUS=r1,(RADIUS=r2),HWTACACS=tc,LocalCommandauthorizationscheme:HWTACACS=hwLANaccessauthenticationscheme:RADIUS=r4Portalauthenticationscheme:LDAP=ldpIPoEauthenticationscheme:RADIUS=rad,Local,NoneSSLVPNauthenticationscheme:LDAP=ldp,Local,NoneSSLVPNauthorizationscheme:LDAP=ldp,LocalSSLVPNaccountingscheme:NoneDefaultauthenticationscheme:ldap=rad,Local,NoneDefaultauthorizationscheme:LocalDefaultaccountingscheme:NoneAccountingstartfailureaction:OnlineAccountingupdatefailureaction:OnlineAccountingquotaoutpolicy:RedirectRedirectURL:http://3.
3.
3.
3/webStopaccounting:YesUserprofile:abcSendaccountingupdate:YesITAservicepolicy:ita1Servicetype:HSISessiontime:IncludeidletimeUserbasicserviceIPtype:IPv4IPv6IPv6-PDDHCPv6-follow-IPv6CPtimeout:60secondsIPv6CPinterfaceIDassignment:EnableAccountingstartdelay:60secondsDual-stackaccountingmethod:MergeNAS-ID:testServicerate-limitmode:SeparateWebserverURL:http://1.
2.
3.
4WebserverURLparameters:userurl=http://www.
test.
com/welcomeuserip=source-addressusermac=source-mac(format:XXXX-XXXX-XXXX)userlct=user-location(format:port:vlan1.
vlan2)WebserverIPv4address:1.
2.
3.
4WebserversecondaryIPv4address:Notconfigured1-47WebserverIPv6address:NotconfiguredWebserversecondaryIPv6address:NotconfiguredRedirectactivetime:60secondsRedirectserverIPv4address:1.
1.
1.
2Temporaryredirect:EnabledRedirectserverIPv6address:1:2::3:2DHCPaccessuserauto-save:EnabledAuthorizationattributes:Idlecut:EnabledIdletimeout:2minutesFlow:10240bytesTrafficdirection:BothIPpool:appyUserprofile:testSessiongroupprofile:abcInboundCAR:CIR64000bpsPIR640000bpsOutboundCAR:CIR64000bpsPIR640000bpsACLnumber:3000Usergroup:uggIPv6prefix:1::1/34IPv6pool:ipv6poolIPv6NDprefixpool:rndPrimaryDNSserver:6.
6.
6.
6SecondaryDNSserver:3.
6.
2.
3URL:http://abcRedirectlimit:5VPNinstance:vpn1IGMPaccesslimit:12MLDaccesslimit:35Usersessiontimeout:28secondsAccesslimit:400IPresourceusagewarningthresholds:Highthreshold:70%Lowthreshold:10%IPv6resourceusagewarningthresholds:Highthreshold:70%Lowthreshold:10%Authen-failaction:Onlineondomaindm1Accesslimitperaccount(case-sensitive):5Defaultdomainname:system#显示ISP域bbb的配置信息及负载分担用户组的信息.
displaydomainnamebbbDomain:testCurrentstate:ActiveStateconfiguration:Active1-48Defaultauthenticationscheme:LocalDefaultauthorizationscheme:LocalDefaultaccountingscheme:LocalAccountingstartfailureaction:OnlineAccountingupdatefailureaction:OnlineAccountingquotaoutpolicy:OfflineSendaccountingupdate:YesServicetype:HSISessiontime:ExcludeidletimeDHCPv6-follow-IPv6CPtimeout:60secondsIPv6CPinterfaceIDassignment:EnableDual-stackaccountingmethod:MergeNAS-ID:N/AServicerate-limitmode:SeparateWebserverURL:NotconfiguredWebserverURLparameters:NotconfiguredWebserverIPv4address:NotconfiguredWebserversecondaryIPv4address:1.
2.
3.
5WebserverIPv6address:NotconfiguredWebserversecondaryIPv6address:NotconfiguredRedirectactivetime:NotconfiguredRedirectserverIPv4address:NotconfiguredTemporaryredirect:DisabledRedirectserverIPv6address:NotconfiguredDHCPaccessuserauto-save:EnabledAuthorizationattributes:Idlecut:DisabledIGMPaccesslimit:4MLDaccesslimit:4Accesslimit:NotconfiguredIPresourceusagewarningthresholds:Highthreshold:NotconfiguredLowthreshold:NotconfiguredIPv6resourceusagewarningthresholds:Highthreshold:NotconfiguredLowthreshold:NotconfiguredLoad-sharingusergroups:g1:323user(s)g2:324user(s)Authen-failaction:Offline表1-5displaydomain命令显示信息描述表字段描述Total2domains总计2个ISP域DomainISP域名1-49字段描述CurrentstateISP域的当前状态,包括以下取值:Blocked:阻塞状态Active:活动状态StateconfigurationISP域的状态配置,包括以下取值:Active:活动状态Blockedduringspecifictimeranges:在指定时间段处于阻塞状态Blocked:阻塞状态TimerangesISP域处于阻塞状态的时间段名称Online-userlogoffISP域处于阻塞状态后强制在线用户下线功能的状态,包括以下取值:Enabled:处于开启状态Disabled:处于关闭状态Defaultauthenticationscheme缺省的认证方案Defaultauthorizationscheme缺省的授权方案Defaultaccountingscheme缺省的计费方案ADVPNauthenticationscheme(暂不支持)ADVPN用户认证方案ADVPNauthorizationscheme(暂不支持)ADVPN用户授权方案ADVPNaccountingscheme(暂不支持)ADVPN用户计费方案LoginauthenticationschemeLogin用户认证方案LoginauthorizationschemeLogin用户授权方案LoginaccountingschemeLogin用户计费方案Superauthenticationscheme用户角色切换认证方案PPPauthenticationscheme(暂不支持)PPP用户的认证方案PPPauthorizationscheme(暂不支持)PPP用户的授权方案PPPaccountingscheme(暂不支持)PPP用户的计费方案Commandauthorizationscheme命令行授权方案Commandaccountingscheme命令行计费方案LANaccessauthenticationscheme(暂不支持)lan-access用户认证方案LANaccessauthorizationscheme(暂不支持)lan-access用户授权方案LANaccessaccountingscheme(暂不支持)lan-access用户计费方案Portalauthenticationscheme(暂不支持)Portal用户认证方案Portalauthorizationscheme(暂不支持)Portal用户授权方案Portalaccountingscheme(暂不支持)Portal用户计费方案1-50字段描述IKEauthenticationscheme(暂不支持)IKE扩展认证方案IKEauthorizationscheme(暂不支持)IKE扩展认证的授权方案IPoEauthenticationschemeIPoE用户认证方案IPoEauthorizationschemePoE用户授权方案IPoEaccountingschemeIPoE用户计费方案SSLVPNauthenticationscheme(暂不支持)SSLVPN用户认证方案SSLVPNauthorizationscheme(暂不支持)SSLVPN用户授权方案SSLVPNaccountingscheme(暂不支持)SSLVPN用户计费方案RADIUSRADIUS方案HWTACACSHWTACACS方案LDAPLDAP方案Local本地方案None不认证、不授权和不计费Accountingstartfailureaction用户计费开始失败的动作,包括以下取值:Online:如果用户计费开始失败,则保持用户在线Offline:如果用户计费开始失败,则强制用户下线Accountingupdatefailuremax-times允许用户连续计费更新失败的次数Accountingupdatefailureaction用户计费更新失败的动作,包括以下取值:Online:如果用户计费更新失败,则保持用户在线Offline:如果用户计费更新失败,则强制用户下线Accountingquotaoutpolicy用户计费配额耗尽策略,包括以下取值:Online:如果用户计费配额耗尽,则保持用户在线Offline:如果用户计费配额耗尽,则强制用户下线Redirect:发送重定向URLRedirectURL(暂不支持)强制重定向的URLStopaccounting(暂不支持)向计费服务器发送停止计费报文Userprofile(暂不支持)下发给用户的UserProfile的名称Sendaccountingupdate用户配额耗尽后是否发送获取新配额的计费更新报文:Yes:发送No:不发送ITAservicepolicy(暂不支持)采用的ITA业务策略ServicetypeISP域的业务类型,取值为HSI,STB和VoIP1-51字段描述Sessiontime当用户异常下线时,设备上传到服务器的用户在线时间情况:Includeidletime:保留用户闲置切断时间Excludeidletime:扣除用户闲置切断时间Useraddresstype用户地址类型UserbasicserviceIPtype(暂不支持)用户主业务依赖的IP地址类型IPv4:IPv4地址类型IPv6:IPv6地址类型IPv6-PD:IPv6PD前缀DHCPv6-follow-IPv6CPtimeout(暂不支持)PPPoE/L2TP用户等待分配IPv6地址/PD的时间(单位为秒)IPv6CPinterfaceIDassignmentIPv6CP协商时由设备强制分配接口ID功能,包括以下取值:Enable:处于开启状态,表示IPv6CP协商时,由设备强制分配接口ID,不接受用户携带的非0且不冲突接口IDDisable:处于关闭状态,表示IPv6CP协商时接受用户携带的非0且不冲突接口IDDual-stackaccountingmethod双协议栈用户的计费方式,包括以下取值:Merge:统一计费,即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器Separate:分别计费,即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器Accountingstartdelay发送计费开始请求报文的延迟时间若未配置,则不显示该字段NAS-ID设备的NAS-ID若未配置,则显示为N/AServicerate-limitmode(暂不支持)EDSG业务流量限速模式,包括以下取值:Merge:带内限速,即在用户可用总带宽内,对EDSG业务流量和普通业务流量同时限速,且优先保证EDSG业务带宽Separate:带外限速,即对EDSG业务流量进行独立限速,用户普通业务流量带宽不受影响WebserverURL(暂不支持)Web服务器的URLWebserverURLparameters(暂不支持)Web服务器的URL携带的参数信息format(暂不支持)携带的MAC地址格式,其中3段式和6段式的分隔符可配,取值如下三例所示:XXXXXXXXXXXX或xxxxxxxxxxxx:1段式XXXX-XXXX-XXXX或xxxx-xxxx-xxxx:3段式XX-XX-XX-XX-XX-XX或xx-xx-xx-xx-xx-xx:6段式WebserverIPv4address(暂不支持)Web服务器的IPv4地址1-52字段描述WebserversecondaryIPv4address(暂不支持)Web服务器备份的IPv4地址若提供Web认证页面的服务器IPv4地址有两个,则还需要将其中一个指定为备份的IPv4地址WebserverIPv6address(暂不支持)Web服务器的IPv6地址WebserversecondaryIPv6address(暂不支持)Web服务器备份的IPv6地址若提供Web认证页面的服务器IPv6地址有两个,则还需要将其中一个指定为备份的IPv6地址Redirectactivetime(暂不支持)推送Web重定向URL的有效时长,单位为秒RedirectserverIPv4address(暂不支持)Web重定向页面的服务器IPv4地址Temporaryredirect(暂不支持)临时重定向功能,包括以下取值:Enabled:处于开启状态Disabled:处于关闭状态RedirectserverIPv6address(暂不支持)Web重定向页面的服务器IPv6地址DHCPaccessuserauto-saveDHCP用户信息自动备份功能AuthorizationattributesISP的用户授权属性Idlecut(暂不支持)用户闲置切断功能,包括以下取值:Enabled:处于开启状态,表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时,会被强制下线Disabled:处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态Idletimeout(暂不支持)用户闲置切断时间(单位为分钟)Flow(暂不支持)用户数据流量阈值(单位为字节)Trafficdirection(暂不支持)用户数据流量的统计方向,包括以下取值:Both:表示用户双向数据流量Inbound:表示用户上行数据流量Outbound:表示用户下行数据流量IPpool授权IPv4地址池的名称IPpoolgroup授权IPv4地址池组的名称Userprofile(暂不支持)授权UserProfile的名称Sessiongroupprofile(暂不支持)授权SessionGroupProfile的名称InboundCAR(暂不支持)授权的入方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps).
若未授权入方向CAR,则显示为N/AOutboundCAR(暂不支持)授权的出方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps).
若未授权出方向CAR,则显示为N/AACLnumber(暂不支持)授权ACL编号1-53字段描述Usergroup(暂不支持)授权Usergroup的名称IPv6prefix授权IPv6前缀IPv6pool授权IPv6地址池的名称IPv6poolgroup授权IPv6地址池组的名称IPv6NDprefixpool授权ND前缀池的名称PrimaryDNSserver授权主DNS服务器IPv4地址SecondaryDNSserver授权从DNS服务器IPv4地址PrimaryDNSV6server授权主DNS服务器IPv6地址SecondaryDNSV6server授权从DNS服务器IPv6地址URL(暂不支持)授权重定向URLRedirectlimit(暂不支持)最大重定向次数,若不限制次数,则显示为UnlimitedVPNinstance(暂不支持)授权VPN实例名称IGMPaccesslimit授权IPv4用户可以同时点播的最大节目数MLDaccesslimit授权IPv6用户可以同时点播的最大节目数Inbounduserpriority(暂不支持)授权上行用户优先级Outbounduserpriority(暂不支持)授权下行用户优先级Usersessiontimeout授权用户会话超时时间,单位为秒Accesslimit允许接入的最大用户数IPresourceusagewarningthresholds授权IPv4地址池/IPv4地址池组的地址使用率告警阈值IPv6resourceusagewarningthresholds授权IPv6地址和前缀使用率告警阈值Highthreshold告警上限阈值.
若未配置,则显示为NotconfiguredLowthreshold告警下限阈值.
若未配置,则显示为NotconfiguredLoad-sharingusergroups负载分担用户组及组内用户数目UsergroupandNATinstancebindings(暂不支持)负载分担用户组(组内用户数目)以及当前该组绑定的NAT实例Authen-failaction用户认证失败后采取的策略,包括以下取值:Offline:直接下线Onlineondomainisp-name:保持在线,且采用指定的域重新进行认证/授权/计费Accesslimitperaccount(case-sensitive)单个帐号允许接入的最大用户数(用户名区分大小写)Accesslimitperaccount(case-insensitive)单个帐号允许接入的最大用户数(用户名不区分大小写)Defaultdomainname缺省ISP域名1-541.
1.
34displaydomainaccess-userstatisticsdisplaydomainaccess-userstatistics命令用来显示ISP域的在线接入用户统计信息.
【命令】displaydomain[nameisp-name]access-userstatistics【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】nameisp-name:ISP域名,为1~255个字符的字符串,不区分大小写.
如果不指定该参数,则表示所有ISP域.
【使用指导】目前仅支持对IPoE接入类型在线用户的计数信息进行详细统计.
【举例】#显示所有ISP域中的在线接入用户统计信息.
displaydomainaccess-userstatisticsTotalonlineaccessusers:4Others:4Totaldomains:3DomainStateOnlineusercountsystemActive4isp1Active0isp2Active0Domain:systemOthers:4#显示ISP域isp2中的在线接入用户统计信息.
displaydomainisp2access-userstatisticsDomain:isp2Onlineusercount:0Others:0表1-6displaydomainaccess-userstatistics命令显示信息描述表字段描述Totalonlineaccessusers在线用户总数,其中包括以下接入用户类型:IPoEusers:IPoe在线用户数Others:其它接入在线用户数TotaldomainsISP域的数目1-55字段描述DomainISP域的名称StateISP域的当前状态,包括以下取值:Blocked:阻塞状态Active:活动状态Onlineusercount在线用户数IPoEusersIPoE接入用户,包括以下类型:Bind:绑定认证方式的IPoE接入用户(暂不支持)Web:Web认证方式的IPoE接入用户(暂不支持)Leased:IPoE专线用户Others其它接入用户1.
1.
35domaindomain命令用来创建ISP域,并进入ISP域视图.
如果指定的ISP域已经存在,则直接进入ISP域视图.
undodomain命令用来删除指定的ISP域.
【命令】domainnameisp-nameundodomainnameisp-name【缺省情况】存在一个ISP域,名称为system.
【视图】系统视图【缺省用户角色】network-admin【参数】nameisp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括"/"、"\"、"|"、"""、":"、"*"、""、""以及"@"字符.
【使用指导】所有的ISP域在创建后即处于active状态.
不能删除系统中预定义的ISP域system,只能修改该域的配置.
不能删除作为系统缺省ISP域的ISP域.
如需删除一个系统缺省ISP域,请先使用undodomaindefaultenable命令将其恢复为非缺省的ISP域.
建议设备上配置的ISP域名尽量短,避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度.
用户名长度不超过253字符的ISP域名才能生效.
1-56不能通过undodomainname命令直接删除被接口视图下的aaadefault-domain、aaapermit-domain、aaadeny-domain、aaaroam-domain命令指定的ISP域.
如需删除该域,请先在接口视图下使用对应的undo命令取消对它的引用.
ISP域中有在线用户时,不能通过undodomainname命令直接删除该域.
【举例】#创建一个名称为test的ISP域,并进入其视图.
system-view[Sysname]domainnametest[Sysname-isp-test]【相关命令】aaadefault-domainaaadeny-domainaaapermit-domainaaaroam-domaindisplaydomaindomaindefaultenabledomainif-unknownstate(ISPdomainview)1.
1.
36domaindefaultenabledomaindefaultenable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域.
undodomaindefaultenable命令用来恢复缺省情况.
【命令】domaindefaultenableisp-nameundodomaindefaultenable【缺省情况】存在一个系统缺省的ISP域,名称为system.
【视图】系统视图【缺省用户角色】network-admin【参数】isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,且必须已经存在.
【使用指导】系统中只能存在一个缺省的ISP域.
1-57配置为缺省的ISP域不能被删除.
如需删除一个系统缺省ISP域,请先使用undodomaindefaultenable命令将其恢复为非缺省的ISP域.
【举例】#创建一个新的ISP域test,并设置为系统缺省的ISP域.
system-view[Sysname]domainnametest[Sysname-isp-test]quit[Sysname]domaindefaultenabletest【相关命令】displaydomaindomain1.
1.
37domainif-unknowndomainif-unknown命令用来为未知域名的用户指定ISP域.
undodomainif-unknown命令用来恢复缺省情况.
【命令】domainif-unknownisp-nameundodomainif-unknown【缺省情况】没有为未知域名的用户指定ISP域.
【视图】系统视图【缺省用户角色】network-admin【参数】isp-name:ISP域名.
为1~255个字符的字符串,不区分大小写,不能包括"/"、"\"、"|"、"""、":"、"*"、""、""以及"@"字符.
【使用指导】设备将按照如下先后顺序选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域.
其中,仅部分接入模块支持指定认证域.
如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证.
【举例】#为未知域名的用户指定ISP域为test.
system-view[Sysname]domainif-unknowntest1-58【相关命令】displaydomain1.
1.
38ip-usage-warningip-usage-warning命令用来配置授权IPv4地址使用率告警阈值.
undoip-usage-warning命令用来取消指定的授权IPv4地址使用率告警阈值设置.
【命令】ip-usage-warning{high-thresholdhigh-value|low-thresholdlow-value}undoip-usage-warning{high-threshold|low-threshold}【缺省情况】未设置授权IPv4地址使用率告警阈值,系统不会对该域的授权IPv4地址池/IPv4地支持组中的地址使用情况进行告警.
【视图】ISP域视图【缺省用户角色】network-admin【参数】high-thresholdhigh-value:授权IPv4地址使用率告警上限阈值,取值范围1~100,单位为百分比,且必须大于使用率告警下限阈值.
low-thresholdlow-value:授权IPv4地址使用率告警下限阈值,取值范围0~99,单位为百分比.
【使用指导】如果域下配置了授权IPv4地址池/IPv4地址池组,则可以通过配置该域的IPv4地址使用率告警阈值并开启相应的告警功能,实现基于域对授权IPv4地址池/IPv4地址池使用率事件的监控.
具体实现为,DHCP模块会定期检查该授权IPv4地址池/IPv4地址池组的地址使用率,并在下述情况下输出相应的告警信息和日志信息:若IPv4地址使用率首次达到或超过告警上限阈值,则触发一次上限告警.
之后,当IPv4地址使用率=(下限阈值+告警差值)时,触发一次下限恢复告警.
其中,告警差值=(上限阈值–下限阈值)*10%.
如果仅配置了上限阈值,则计算告警差值时下限阈值取值为0;如果仅配置了下限阈值,则计算告警差值时上限阈值取值为100.
假设,告警上限阈值设置为70,告警下限阈值设置为20,则告警差值为(70-20)*10%=5.
因此,当授权IP地址使用率首次达到或超过70%时,触发一次上限告警,当使用率恢复到65%或者更低时,触发一次上限恢复告警;当域中的授权IP地址使用率首次达到或低于20%时,触发一次下限告警,当使用率恢复到25%或者更高时,触发一次下限恢复告警.
首次触发上限或下限告警后,若配置不发生变化,且使用率并未恢复,则不再重复触发告警.
当如下配置发生变化时,告警的生成会发生相应的变化:1-59取消域下的某授权IPv4地址使用率告警阈值配置后,如果此前已经触发过相应的告警且使用率并未恢复,则在DHCP模块再次检查地址使用率时触发一次恢复告警,否则不会触发任何告警.
修改域下的授权IPv4地址使用率告警阈值配置、修改域引用的授权IPv4地址池/IPv4地址池组或者修改引用的授权IPv4地址池/IPv4地址池组中的配置后,DHCP模块再次检查地址使用率时,将使用修改后的配置判断是否触发告警.
域下的授权IPv4地址池通过authorization-attributeip-pool命令配置,授权IPv4地址池组通过authorization-attributeip-pool-group命令配置.
需要注意的是,本特性针对的授权IPv4地址必须为最终通过DHCP地址池分配的IPv4地址.
域下的授权IPv4地址使用率告警功能通过snmp-agenttrapenabledomainip-pool-warning命令开启.
【举例】#在ISP域test下,配置授权IPv4地址使用率告警上限阈值为70%、下限阈值为20%.
system-view[Sysname]domainnametest[Sysname-isp-test]ip-usage-warninghigh-threshold70[Sysname-isp-test]ip-usage-warninglow-threshold20【相关命令】authorization-attribute(ISPdomain)displaydomainsnmp-agenttrapenabledomain1.
1.
39ipv6ndautoconfigmanaged-address-flagipv6ndautoconfigmanaged-address-flag命令用来配置RA消息中的被管理地址的配置标志位为1,即主机通过有状态自动配置(例如DHCPv6服务器)获取IPv6地址.
undoipv6ndautoconfigmanaged-address-flag命令用来恢复缺省情况.
【命令】ipv6ndautoconfigmanaged-address-flagundoipv6ndautoconfigmanaged-address-flag【缺省情况】被管理地址的配置标志位为0,即主机可以通过无状态或有状态自动配置获取IPv6地址.
【视图】ISP域视图【缺省用户角色】network-admin【使用指导】可以根据实际情况,配置通告给主机的RA消息中的相关参数.
当主机接收到RA消息后,就可以采用这些参数进行相应操作.
1-60RA消息中的被管理地址配置标志位(Mflag)用于确定主机是否采用有状态自动配置获取IPv6地址:如果设置该标志位为1,主机将通过有状态自动配置(例如DHCPv6服务器)来获取IPv6地址.
如果设置该标志位为0,则主机可以通过无状态或有状态自动配置获取IPv6地址.
接口视图下也可以配置ipv6ndautoconfigmanaged-address-flag命令,只要域视图或接口视图下配置了ipv6ndautoconfigmanaged-address-flag命令,则通告给用户的RA消息中被管理地址配置标志位就为1.
【举例】#在ISP域test下,配置主机通过有状态自动配置(例如DHCPv6服务器)获取IPv6地址.
system-view[Sysname]domainnametest[Sysname-isp-test]ipv6ndautoconfigmanaged-address-flag【相关命令】ipv6ndautoconfigmanaged-address-flag(三层技术-IP业务命令参考/IPv6基础)1.
1.
40ipv6ndautoconfigother-flagipv6ndautoconfigother-flag命令用来配置RA消息中的其他信息配置标志位为1,即主机通过有状态自动配置(例如DHCPv6服务器)获取除IPv6地址外的其他信息.
undoipv6ndautoconfigother-flag命令用来恢复该缺省情况.
【命令】ipv6ndautoconfigother-flagundoipv6ndautoconfigother-flag【缺省情况】其他信息配置标志位为0,即主机可以通过无状态或有状态自动配置获取其他信息.
【视图】ISP域视图【缺省用户角色】network-admin【使用指导】可以根据实际情况,配置通告给主机的RA消息中的相关参数.
当主机接收到RA消息后,就可以采用这些参数进行相应操作.
RA消息中的其他信息配置标志位(Oflag)用于确定主机是否采用有状态自动配置获取除IPv6地址外的其他信息:如果设置该标志位为1,主机将通过有状态自动配置(例如DHCPv6服务器)来获取除IPv6地址外的其他信息.
如果设置该标志位为0,则主机可以通过无状态或有状态自动配置获取其他信息.
1-61接口视图下也可以配置ipv6ndautoconfigother-flag命令,只要域视图或接口视图下配置了ipv6ndautoconfigother-flag命令,则通告给用户的RA消息中其他信息配置标志位就为1.
【举例】#在ISP域test下,配置主机通过有状态自动配置(例如DHCPv6服务器)获取除IPv6地址外的其他信息.
system-view[Sysname]domainnametest[Sysname-isp-test]ipv6ndautoconfigother-flag【相关命令】ipv6ndautoconfigother-flag(三层技术-IP业务命令参考/IPv6基础)1.
1.
41ipv6-usage-warningipv6-usage-warning命令用来配置授权IPv6地址和前缀使用率告警阈值.
undoipv6-usage-warning命令用来取消指定的授权IPv6地址和前缀使用率告警阈值设置.
【命令】ipv6-usage-warning{high-thresholdhigh-value|low-thresholdlow-value}undoipv6-usage-warning{high-threshold|low-threshold}【缺省情况】未设置授权IPv6地址和前缀使用率告警阈值,系统不会对该域的授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组中的IPv6地址及前缀使用情况进行告警.
【视图】ISP域视图【缺省用户角色】network-admin【参数】high-thresholdhigh-value:授权IPv6地址和前缀使用率告警上限阈值,取值范围1~100,单位为百分比,且必须大于使用率告警下限阈值.
low-thresholdlow-value:授权IPv6地址和前缀使用率告警下限阈值,取值范围0~99,单位为百分比.
【使用指导】如果域下配置了授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组,则可以通过配置该域的IPv6地址和前缀使用率告警阈值并开启相应的告警功能,实现基于域对授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组使用率事件的监控.
具体实现为,DHCP模块会定期检查该授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组的IPv6地址和前缀使用率,在下述情况下输出相应的告警信息和日志信息:若IPv6地址或前缀使用率首次达到或超过告警上限阈值,则触发一次上限告警.
之后,当IPv6地址或前缀使用率=(下限阈值+告警差值)时,触发一次下限恢复告警.
其中,告警差值=(上限阈值–下限阈值)*10%.
如果仅配置了上限阈值,则计算告警差值时下限阈值取值为0;如果仅配置了下限阈值,则计算告警差值时上限阈值取值为100.
假设,告警上限阈值设置为70,告警下限阈值设置为20,则告警差值为(70-20)*10%=5.
因此,当授权IPv6地址和前缀使用率首次达到或超过70%时,触发一次上限告警,当使用率恢复到65%或者更低时,触发一次上限恢复告警;当域中的授权IPv6地址和前缀使用率首次达到或低于20%时,触发一次下限告警,当使用率恢复到25%或者更高时,触发一次下限恢复告警.
首次触发上限或下限告警后,若配置不发生变化,且使用率并未恢复,则不再重复触发告警.
当如下配置发生变化时,告警的生成会发生相应的变化:取消域下的某授权IPv6地址和前缀使用率告警阈值配置后,如果此前已经触发过相应的告警且使用率并未恢复,则会触发一次恢复告警,否则不会触发任何告警.
修改域下的授权IPv6地址和前缀使用率告警阈值配置、修改域引用的授权IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组或者修改引用的IPv6地址池/IPv6地址池组/ND前缀地址池/ND前缀地址池组中的配置后,DHCP模块再次检查地址使用率时,将使用修改后的配置判断是否触发告警.
域下的授权IPv6地址池通过authorization-attributeipv6-pool命令配置;域下的授权前缀池通过authorization-attributeipv6-nd-prefix-pool命令配置;域下的授权IPv6地址池组通过authorization-attributeipv6-pool-group命令配置;域下的授权前缀池组通过authorization-attributeipv6-nd-prefix-pool-group命令配置.
域下的授权IPv6地址和前缀使用率告警功能通过snmp-agenttrapenabledomainipv6-pool-warning命令开启.
【举例】#在ISP域test下,配置授权IPv6地址和前缀使用率告警上限阈值为70%、下限阈值为20%.
system-view[Sysname]domainnametest[Sysname-isp-test]ipv6-usage-warninghigh-threshold70[Sysname-isp-test]ipv6-usage-warninglow-threshold20【相关命令】authorization-attribute(ISPdomain)displaydomainsnmp-agenttrapenabledomain1.
1.
42local-serverlogchange-password-promptlocal-serverlogchange-password-prompt命令用来开启密码修改周期性提醒日志功能.
undolocal-serverlogchange-password-prompt命令用来关闭密码修改周期性提醒日志功能.
【命令】local-serverlogchange-password-promptundolocal-serverlogchange-password-prompt1-63【缺省情况】密码修改周期性提醒日志功能处于开启状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】为了提高系统的安全性,用户通过Telnet、SSH、NETCONFoverSSH、NETCONFoverSOAP方式登录设备时,系统会根据指定的安全要求对用户密码进行检查.
为了及时提醒用户修改不符合系统要求的密码,建议开启密码修改周期性提醒日志功能.
开启本功能后,系统将每隔24小时,对所有不符合密码检查策略的用户打印日志,提醒这些用户尽快修改当前密码.
除了周期性提醒之外,系统还会在每个用户登录时,针对不符合密码检查策略的情况立即打印日志进行提醒.
对于通过Telnet、SSH方式登录设备的用户,如果用户密码为弱密码,且系统在用户登录时未要求其立即更改密码,系统会打印此提醒日志.
弱密码是指不符合如下任意一项要求的密码:密码组合检测策略.
密码最小长度限制.
密码复杂度检查策略.
对于通过NETCONFoverSSH、NETCONFoverSOAP方式登录设备的用户,如果出现以下情况,系统会打印此提醒日志:用户密码为弱密码.
全局密码管理功能开启后,用户首次登录或使用被更改过的密码.
用户密码已经过期.
仅当以下情况发生时,系统才会停止打印此提醒日志:关闭了密码修改周期性提醒日志功能.
用户密码修改为符合系统安全要求的密码.
密码检查策略相关功能的开启状态发生变化,使得密码检查策略变得宽松.
密码检查策略的参数设置发生变化.
当前系统中的密码检查策略可通过displaypassword-control命令查看.
弱密码检查使用的密码组合检测策略、密码最小长度限制、密码复杂度检查策略可分别通过password-controlcomposition、password-controllength、password-controlcomplexity命令修改.
关于密码检查策略的具体介绍,请参见"安全命令参考"的"PasswordControl".
【举例】#开启密码修改周期性提醒日志功能.
system-view[Sysname]local-serverlogchange-password-prompt1-64【相关命令】displaypassword-control(安全命令参考/PasswordControl)password-controlcomposition(安全命令参考/PasswordControl)password-controllength(安全命令参考/PasswordControl)1.
1.
43nas-idnas-id命令用来在ISP域视图下配置NAS-ID.
undonas-id命令用来删除ISP域视图下配置的NAS-ID.
【命令】nas-idnas-identifierundonas-id【缺省情况】未配置ISP域下的NAS-ID.
【视图】ISP域视图【缺省用户角色】network-admin【参数】nas-identifier:NAS-ID名称,为1~253个字符的字符串,区分大小写.
【使用指导】用户进行RADIUS认证时,系统会获取设备的NAS-ID来设置RADIUS报文中的NAS-Identifier属性,该属性用于向RADIUS服务器标识用户的接入位置.
设备支持多种途径配置NAS-ID,按照获取优先级从高到低的顺序依次包括:NAS-IDProfile中与用户接入VLAN绑定的NAS-ID、ISP域视图下的NAS-ID.
若以上配置都不存在,则使用设备的名称作为NAS-ID.
【举例】#在ISP域test下配置NAS-ID为test.
system-view[Sysname]domainnametest[Sysname-isp-test]nas-idtest【相关命令】aaanas-idprofile(安全命令参考/AAA)1.
1.
44nas-idbindnas-idbind命令用来设置NAS-ID与VLAN的绑定关系.
undonas-idbind命令用来删除指定的NAS-ID和VLAN的绑定关系.
1-65【命令】nas-idnas-identifierbind{{c-vidvlan-id|s-vidvlan-id}*|vlanvlan-id}undonas-idnas-identifierbind{{c-vidvlan-id|s-vidvlan-id}*|vlanvlan-id}【缺省情况】不存在NAS-ID与VLAN的绑定关系.
【视图】NAS-IDProfile视图【缺省用户角色】network-admin【参数】nas-identifier:NAS-ID名称,为1~31个字符的字符串,区分大小写.
c-vidvlan-id:与NAS-ID绑定的内层VLAN标签(CustomerVLANID),取值范围为1~4094.
s-vidvlan-id:与NAS-ID绑定的外层VLAN标签(ServiceVLANID),取值范围为1~4094.
vlanvlan-id:与NAS-ID绑定的VLANID,取值范围为1~4094.
【使用指导】一个NAS-IDProfile视图下,可以指定多个NAS-ID与VLAN的绑定关系.
QinQ组网情况下,建议指定s-vid和c-vid参数或两者之一;非QinQ组网情况下,只能指定vlan参数.
一个NAS-ID可以与多个VLAN或多个内层VLAN和外层VLAN的组合绑定,但是一个VLAN或一个内层VLAN和外层VLAN的组合只能与一个NAS-ID绑定.
若多次将一个VLAN或一个内层VLAN和外层VLAN的组合与不同的NAS-ID进行绑定,则最后的绑定关系生效.
若报文中携带了双层VLAN标签,则优先匹配与s-vid和c-vid参数同时绑定的NAS-ID,其次匹配仅与s-vid参数绑定的NAS-ID,最后尝试匹配与c-vid参数绑定的NAS-ID.
【举例】#在名称为aaa的NAS-IDProfile视图下,配置NAS-ID222与VLAN2的绑定关系.
system-view[Sysname]aaanas-idprofileaaa[Sysname-nas-id-prof-aaa]nas-id222bindvlan2【相关命令】aaanas-idprofile1.
1.
45resetaaaabnormal-offline-recordresetaaaabnormal-offline-record命令用来清除当前所有用户异常下线记录.
【命令】resetaaaabnormal-offline-record1-66【视图】用户视图【缺省用户角色】network-admin【使用指导】除非主控板重启,否则已保存的用户异常下线记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为方便管理员仅获取后续某个时间段内的用户异常下线记录,可执行本命令清除系统当前所有的用户异常下线记录.
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用.
【举例】#清除当前所有用户异常下线记录.
resetaaaabnormal-offline-record【相关命令】displayaaaabnormal-offline-record1.
1.
46resetaaanormal-offline-recordresetaaanormal-offline-record命令用来清除当前所有用户正常下线记录.
【命令】resetaaanormal-offline-record【视图】用户视图【缺省用户角色】network-admin【使用指导】除非主控板重启,否则已保存的用户正常下线记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为方便管理员仅获取后续某个时间段内的用户正常下线记录,可以执行本命令清除系统当前所有的用户正常下线记录.
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用.
【举例】#清除当前所有用户正常下线记录.
resetaaanormal-offline-record【相关命令】displayaaanormal-offline-record1.
1.
47resetaaaoffline-recordresetaaaoffline-record命令用来清除当前所有用户下线记录.
1-67【命令】resetaaaoffline-record【视图】用户视图【缺省用户角色】network-admin【使用指导】除非主控板重启,否则已保存的用户下线失败记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为方便管理员仅获取后续某个时间段内的用户下线记录,可以执行本命令清除系统当前所有的用户下线记录.
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用.
【举例】#清除当前所有用户下线记录.
resetaaaoffline-record【相关命令】displayaaaoffline-record1.
1.
48resetaaaonline-fail-recordresetaaaonline-fail-record命令用来清除当前所有用户上线失败记录.
【命令】resetaaaonline-fail-record【视图】用户视图【缺省用户角色】network-admin【使用指导】除非主控板重启,否则已保存的用户上线失败记录将会一直保存在内存中,而记录的信息过多时不便于查看,且占用内存过多,为了方便管理员仅获取后续某个时间段内的用户上线失败记录,可以执行本命令清除系统当前所有的用户上线失败记录.
执行完该命令后,已被清除的记录不能恢复,因此需要谨慎使用.
【举例】#清除当前所有用户上线失败记录.
resetaaaonline-fail-record【相关命令】displayaaaonline-fail-record1-681.
1.
49service-type(ISPdomainview)service-type命令用来设置当前ISP域的业务类型.
undoservice-type命令用来恢复缺省情况.
【命令】service-type{hsi|stb|voip}undoservice-type【缺省情况】当前ISP域的业务类型为hsi.
【视图】ISP域视图【缺省用户角色】network-admin【参数】hsi:表示HSI(HighSpeedInternet,高速上网)业务.
stb:表示STB(SetTopBox,机顶盒)业务,专指使用数字机顶盒接入网络的用户业务.
voip:表示(VoiceoverIP,IP电话)业务,指使用IP电话的用户业务.
【使用指导】本命令用来配置当前认证域的用户使用的业务类型,用来决定接入模块是否开启组播功能.
用户使用HSI业务类型的ISP域接入时,接入模块不会开启组播功能,可节省系统资源.
用户使用STB业务类型的ISP域接入时,接入模块会开启组播功能,可提高系统处理组播业务的性能.
用户使用VoIP业务类型的ISP域接入时,QoS功能会开启保证用户语音数据的低延迟传送.
一个ISP域中,仅能配置一种类型的业务类型.
【举例】#设置域test下用户业务类型为STB终端业务.
system-view[Sysname]domainnametest[Sysname-isp-test]service-typestb1.
1.
50session-timeinclude-idle-timesession-timeinclude-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间.
undosession-timeinclude-idle-time命令用来恢复缺省情况.
【命令】session-timeinclude-idle-timeundosession-timeinclude-idle-time1-69【缺省情况】设备上传到服务器的用户在线时间中扣除闲置切断时间.
【视图】ISP域视图【缺省用户角色】network-admin【使用指导】请根据实际的计费策略决定是否在用户在线时间中保留该闲置切换时间.
该闲置切断时间在用户认证成功后由AAA授权.
当用户正常下线时,设备上传到服务器上的用户在线时间为实际在线时间;当用户异常下线时,上传到服务器的用户在线时间具体如下:若配置为保留闲置切断时间,则上传到服务器上的用户在线时间中包含了一定的闲置切断检测间隔.
此时,服务器上记录的用户时长将大于用户实际在线时长.
若配置为扣除闲置切断时间,则上传到服务器上的用户在线时间为,闲置切断检测机制计算出的用户已在线时长扣除掉一个闲置切断检测间隔.
此时,服务器上记录的用户时长将小于用户实际在线时长.
【举例】#在ISP域test下,配置设备上传到服务器的用户在线时间中保留闲置切断时间.
system-view[Sysname]domainnametest[Sysname-isp-test]session-timeinclude-idle-time【相关命令】displaydomain1.
1.
51snmp-agenttrapenabledomainsnmp-agenttrapenabledomain命令用来开启ISP域告警功能.
undosnmp-agenttrapenabledomain命令用来关闭ISP域告警功能.
【命令】snmp-agenttrapenabledomain{ip-usage-warning|ipv6-usage-warning}undosnmp-agenttrapenabledomain{ip-usage-warning|ipv6-usage-warning}【缺省情况】ISP域告警功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin1-70【参数】ip-usage-warning:表示授权IPv4地址使用率告警,即ISP域下授权IPv4地址池/IPv4地址池组中的IPv4地址使用率达到或超过上限阈值、达到或小于下限阈值,以及恢复到正常范围时产生对应的告警信息.
ipv6-usage-warning:表示授权IPv6地址和前缀使用率告警,即ISP域下授权IPv6地址池/ND前缀地址池/IPv6地址池组/ND前缀地址池组中的IPv6地址或前缀使用率达到或超过上限阈值、达到或小于下限阈值,以及恢复到正常范围时产生对应的告警信息.
【使用指导】开启ISP域告警功能后,ISP域下发生的指定类型的重要事件将会生成告警信息.
生成的告警信息将被送到设备的SNMP模块,通过设置SNMP中的告警信息的发送参数,来决定告警信息输出的相关属性.
有关告警信息的详细介绍,请参见"网络管理和监控配置指导"中的"SNMP".
若要基于ISP域生成授权IPv4地址使用率告警信息,还需要在指定的域下配置授权IPv4地址使用率告警阈值.
若要基于ISP域生成授权IPv6地址和前缀使用率告警信息,还需要在指定的域下配置授权IPv6地址和前缀使用率告警阈值.
当设备作为DHCP中继时,为保证本功能生效,还需要在使用的中继地址池内通过network命令配置和中继地址池关联的服务器相同的网段信息.
【举例】#开启ISP域的授权IPv4地址使用率告警功能.
system-view[Sysname]snmp-agenttrapenabledomainip-usage-warning【相关命令】ip-usage-warningipv6-usage-warningnetwork(三层技术-IP业务命令参考/DHCP中继)1.
1.
52state(ISPdomainview)state命令用来设置当前ISP域的状态.
undostate命令用来恢复缺省情况.
【命令】state{active|block[time-range]}undostate【缺省情况】当前ISP域处于活动状态.
【视图】ISP域视图【缺省用户角色】network-admin1-71【参数】active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务.
block:指定当前ISP域处于阻塞状态,即系统不允许该域下的用户请求网络服务.
该参数对除采用公钥认证的SSH用户之外的所有接入类型的用户都生效.
time-range:指定ISP域基于时间段阻塞.
若不指定该参数,则表示ISP域一直处于阻塞状态.
【使用指导】若通过time-range关键字指定ISP域基于时间段阻塞,则该ISP域只在通过stateblocktime-rangename命令指定的时间段内处于阻塞状态.
【举例】#设置当前ISP域test处于阻塞状态.
system-view[Sysname]domainnametest[Sysname-isp-test]stateblock【相关命令】displaydomainstateblocktime-rangename1.
1.
53stateblocktime-rangenamestateblocktime-rangename命令用来配置ISP域处于阻塞状态的时间段.
undostateblocktime-rangename命令用来删除配置的ISP域处于阻塞状态的时间段.
【命令】stateblocktime-rangenametime-range-nameundostateblocktime-range{all|nametime-range-name}【缺省情况】未配置ISP域处于阻塞的时间段.
【视图】ISP域视图【缺省用户角色】network-admin【参数】time-range-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头.
为避免混淆,时间段的名称不允许使用英文单词all.
all:表示所有时间段.
【使用指导】本命令配置的时间段,在ISP域基于时间段阻塞的情况下才能生效.
可通过stateblocktime-range命令配置ISP域基于时间段阻塞.
可通过多次执行本命令,指定ISP域处于阻塞状态的多个时间段.
1-72【举例】#配置ISP域test处于阻塞状态的时间段为t1和t2.
system-view[Sysname]domainnametest[Sysname-isp-test]stateblocktime-rangenamet1[Sysname-isp-test]stateblocktime-rangenamet2【相关命令】statetime-range(QoS和ACL命令参考/时间段)1.
1.
54user-address-typeuser-address-type命令用来设置当前ISP域的用户地址类型.
undouser-address-type命令用来恢复缺省情况.
【命令】user-address-type{ds-lite|ipv6|nat64|private-ds|private-ipv4|public-ds|public-ipv4}undouser-address-type【缺省情况】未指定当前ISP域的用户地址类型.
【视图】ISP域视图【缺省用户角色】network-admin【参数】ds-lite:表示当前用户的地址类型为轻量级双栈地址.
ipv6:表示当前用户的地址类型为IPv6地址.
nat64:表示当前用户的地址类型为NAT64地址.
private-ds:表示当前用户的地址类型为私网双栈地址.
private-ipv4:表示当前用户的地址类型为私网IPv4地址.
public-ds:表示当前用户的地址类型为公网双栈地址.
public-ipv4:表示当前用户的地址类型为公网IPv4地址.
【使用指导】需要根据用户接入侧的组网环境和用户的地址分配策略选择配置相应的地址类型参数.
更改当前ISP域的用户地址类型,不影响已经在线的用户.
【举例】#设置当前ISP域用户地址类型为私网IPv4地址.
system-view1-73[Sysname]domainnametest[Sysname-isp-test]user-address-typeprivate-ipv4【相关命令】displaydomain1.
2本地用户配置命令1.
2.
1access-limitaccess-limit命令用来设置使用当前本地用户名接入设备的最大用户数.
undoaccess-limit命令用来恢复缺省情况.
【命令】access-limitmax-user-numberundoaccess-limit【缺省情况】不限制使用当前本地用户名接入的用户数.
【视图】本地用户视图【缺省用户角色】network-admin【参数】max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024.
【使用指导】本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效.
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制.
【举例】#允许同时以本地用户名abc在线的用户数为5.
system-view[Sysname]local-userabc[Sysname-luser-manage-abc]access-limit5【相关命令】accountingstart-failofflinedisplaylocal-user1.
2.
2authorization-attribute(Localuserview/usergroupview)authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户.
1-74undoauthorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限.
【命令】authorization-attribute{idle-cutminutes|ipipv4-address|ip-poolipv4-pool-name|ipv6ipv6-address|ipv6-poolipv6-pool-name|ipv6-prefixipv6-prefixprefix-length|netstream-samplersampler-name[inbound|outbound]|{primary-dns|secondary-dns}{ipipv4-address|ipv6ipv6-address}|session-timeoutminutes|user-rolerole-name|vlanvlan-id|work-directorydirectory-name}*undoauthorization-attribute{idle-cut|ip|ip-pool|ipv6|ipv6-pool|ipv6-prefix|netstream-sampler|{primary-dns|secondary-dns}{ip|ipv6}|session-timeout|user-rolerole-name|vlan|work-directory}*【缺省情况】授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限.
由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator.
【视图】本地用户视图用户组视图【缺省用户角色】network-admin【参数】idle-cutminutes:设置本地用户的闲置切断时间.
其中,minutes为设定的闲置切断时间,取值范围为1~120,单位为分钟.
如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线.
ipipv4-address:指定本地用户的静态IP地址.
本地用户认证成功后,将允许使用该IP地址.
ip-poolipv4-pool-name:指定本地用户的IPv4地址池信息.
本地用户认证成功后,将允许使用该IPv4地址池分配地址.
其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写.
ipv6ipv6-address:指定本地用户的静态IPv6地址.
本地用户认证成功后,将允许使用该IPv6地址.
ipv6-poolipv6-pool-name:指定本地用户的IPv6地址池信息.
本地用户认证成功后,将允许使用该IPv6地址池分配地址.
其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写.
ipv6-prefixipv6-prefixprefix-length:指定本地用户的IPv6前缀信息.
ipv6-prefixprefix-length为前缀地址和前缀长度,前缀长度取值范围是1~128.
本地用户认证成功后,将允许使用该IPv6前缀.
netstream-samplersampler-name:指定本地用户的授权NetStream采样器.
其中sampler-name表示采样器名称,为1~31个字符的字符串,不区分大小写.
有关采样器的详细1-75介绍,请参见"网络管理和监控配置指导"中的"Sampler".
若该参数后不指定inbound或outbound参数,则表示对出/入方向的上网流量均进行采样.
inbound:入方向上网流量.
outbound:出方向上网流量.
primary-dnsipipv4-address:指定本地用户的主DNS服务器IPv4地址.
本地用户认证成功后,将被授权使用该主DNS服务器.
primary-dnsipv6ipv6-address:指定本地用户的主DNS服务器IPv6地址.
本地用户认证成功后,将被授权使用该主DNS服务器.
secondary-dnsipipv4-address:指定本地用户的从DNS服务器IPv4地址.
本地用户认证成功后,将被授权使用该从DNS服务器.
secondary-dnsipv6ipv6-address:指定本地用户的从DNS服务器IPv6地址.
本地用户认证成功后,将被授权使用该从DNS服务器.
session-timeoutminutes:设置本地用户的会话超时时间.
其中,minutes为设定的会话超时时间,取值范围为1~1440,单位为分钟.
如果用户在线时长超过该值,设备会强制该用户下线.
user-rolerole-name:指定本地用户的授权用户角色.
其中,role-name表示用户角色名称,为1~63个字符的字符串,区分大小写.
可以为每个用户最多指定64个用户角色.
本地用户角色的相关命令请参见"基础命令参考"中的"RBAC".
该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置.
vlanvlan-id:指定本地用户的授权VLAN.
其中,vlan-id为VLAN编号,取值范围为1~4094.
本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源.
work-directorydirectory-name:授权FTP/SFTP/SCP用户可以访问的目录.
其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在.
缺省情况下,FTP/SFTP/SCP用户可访问设备的根目录,可通过本参数来修改用户可以访问的目录.
【使用指导】可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:对于IPoE用户,仅授权属性ipv6、ip-pool、ipv6-pool、ipv6-prefix、netstream-sampler、primary-dns、secondary-dns、session-timeout有效.
对于Telnet、Terminal、SSH用户,仅授权属性idle-cut、user-role有效.
对于HTTP、HTTPS用户,仅授权属性user-role有效.
对于FTP用户,仅授权属性user-role、work-directory有效.
对于其它类型的本地用户,所有授权属性均无效.
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理.
本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效.
为了避免设备上进行主备倒换后FTP/SFTP/SCP用户无法正常登录,建议用户在指定工作目录时不要携带槽位信息.
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undoauthorization-attributeuser-role命令删除该用户已有的缺省用户角色.
1-76被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过displayrolenamesecurity-audit命令查看.
安全日志文件管理相关命令的介绍,请参见"网络管理与监控"中的"信息中心".
文件系统管理相关命令的介绍,请参见"基础配置命令参考"中的"文件系统管理".
为本地用户授权安全日志管理员角色时,需要注意的是:安全日志管理员角色和其它用户角色互斥:为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色.
系统中的最后一个安全日志管理员角色的本地用户不可被删除.
【举例】#配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员).
system-view[Sysname]local-userxyzclassmanage[Sysname-luser-manage-xyz]authorization-attributeuser-rolesecurity-auditThisoperationwilldeleteallotherrolesoftheuser.
Areyousure[Y/N]:y【相关命令】displaylocal-userdisplayuser-group1.
2.
3displaylocal-userdisplaylocal-user命令用来显示本地用户的配置信息和在线用户数的统计信息.
【命令】displaylocal-user[class{manage}|idle-cut{disable|enable}|service-type{ftp|http|https|ipoe|ssh|telnet|terminal}|state{active|block}|user-nameuser-nameclass{manage}|vlanvlan-id]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】class:显示指定用户类别的本地用户信息.
manage:设备管理类用户.
idle-cut{disable|enable}:显示开启或关闭闲置切断功能的本地用户信息.
其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户.
1-77service-type:显示指定用户类型的本地用户信息.
ftp:FTP用户.
http:HTTP用户.
https:HTTPS用户.
ipoe:IPoE用户(主要指IP接入用户,比如数字机顶盒接入用户).
ssh:SSH用户.
telnet:Telnet用户.
terminal:从Console口登录的终端用户.
state{active|block}:显示处于指定状态的本地用户信息.
其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统不允许用户请求网络服务.
user-nameuser-name:显示指定用户名的本地用户信息.
user-name表示本地用户名,为1~80个字符的字符串,可以为"纯用户名@域名"或者纯用户名.
其中,纯用户名区分大小写,不能包含符号"\"、"|"、"/"、"*"、""、""和"@",并且不能为"a"、"al"或"all";域名不区分大小写,不能包含符号"@".
vlanvlan-id:显示指定VLAN内的所有本地用户信息.
其中,vlan-id为VLAN编号,取值范围为1~4094.
【使用指导】如果不指定任何参数,则显示所有本地用户信息.
【举例】#显示所有本地用户的相关信息.
displaylocal-userTotal3localusersmatched.
Devicemanagementuserroot:State:ActiveServicetype:SSH/Telnet/TerminalAccesslimit:EnabledMaxaccessnumber:3Currentaccessnumber:1Usergroup:systemBindattributes:Authorizationattributes:Workdirectory:flash:Userrolelist:network-adminPasswordcontrolconfigurations:Passwordaging:3daysPasswordremaininglifetime:2days12hours30minutes30secondsPasswordhistorywaslastreset:0daysago表1-7displaylocal-user命令显示信息描述表字段描述Total3localusersmatched.
总计有3个本地用户匹配1-78字段描述State本地用户状态Active:活动状态Block:阻塞状态Servicetype本地用户使用的服务类型Accesslimit是否对使用该用户名的接入用户数进行限制Maxaccessnumber最大接入用户数Currentaccessnumber使用该用户名的当前接入用户数Usergroup本地用户所属的用户组Bindattributes本地用户的绑定属性Locationbound本地用户绑定的端口MACaddress本地用户的MAC地址VLANID本地用户绑定的VLANAuthorizationattributes本地用户的授权属性Idletimeout本地用户闲置切断时间(单位为分钟)Session-timeout本地用户的会话超时时间(单位为分钟)Callbacknumber(暂不支持)本地用户的授权PPP回呼号码WorkdirectoryFTP/SFTP/SCP用户可以访问的目录ACLnumber本地用户授权ACLVLANID本地用户授权VLANUserprofile(暂不支持)本地用户授权UserProfileUserrolelist本地用户的授权用户角色列表IPpool本地用户的授权IPv4地址池SSLVPNpolicygroup(暂不支持)本地用户的授权SSLVPN策略组NetStreamsampler本地用户的授权采样器及NetStream流量统计方向IPaddress本地用户的授权IPv4地址IPv6address本地用户的授权IPv6地址IPv6prefix本地用户的授权IPv6前缀IPv6pool本地用户的授权IPv6地址池PrimaryDNSserver本地用户的授权主DNS服务器IPv4地址SecondaryDNSserver本地用户的授权从DNS服务器IPv4地址PrimaryDNSV6server本地用户的授权主DNS服务器IPv6地址SecondaryDNSV6server本地用户的授权从DNS服务器IPv6地址URL(暂不支持)本地用户的授权PADMURL1-79字段描述VPNinstance(暂不支持)本地用户的授权VPN实例SubscriberID(暂不支持)本地用户的授权SubscriberIDSessiongroupprofile(暂不支持)本地用户的授权SessionGroupProfilePasswordcontrolconfigurations本地用户的密码控制属性Passwordaging密码老化时间Passwordlength密码最小长度Passwordcomposition密码组合策略(密码元素的组合类型、至少要包含每种元素的个数)Passwordcomplexity密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符)Maximumloginattempts用户最大登录尝试次数Actionforexceedingloginattempts登录尝试次数达到设定次数后的用户账户锁定行为Passwordremaininglifetime剩余密码老化时间Passwordhistorywaslastreset上一次清除密码历史记录的时间Fullname(暂不支持)本地来宾用户的姓名Company(暂不支持)本地来宾用户的公司Email(暂不支持)本地来宾用户的Email地址Phone(暂不支持)本地来宾用户的电话号码Description(暂不支持)本地来宾用户的描述信息Sponsorfullname(暂不支持)本地来宾用户接待人的姓名Sponsordepartment(暂不支持)本地来宾用户接待人所属部门Sponsoremail(暂不支持)本地来宾用户接待人的Email地址Periodofvalidity(暂不支持)本地来宾用户有效期Startdateandtime(暂不支持)本地来宾用户开始生效的日期和时间Expirationdateandtime(暂不支持)本地来宾用户的失效日期和时间1.
2.
4displayuser-groupdisplayuser-group命令用来显示用户组的配置信息.
【命令】displayuser-group{all|namegroup-name}【视图】任意视图1-80【缺省用户角色】network-adminnetwork-operator【参数】all:显示所有用户组的配置信息.
namegroup-name:显示指定用户组的配置.
group-name表示用户组名称,为1~32个字符的字符串,不区分大小写.
【举例】#显示所有用户组的相关配置.
displayuser-groupallTotal2usergroupsmatched.
Usergroup:systemAuthorizationattributes:Workdirectory:flash:Usergroup:jjAuthorizationattributes:Idletimeout:2minutesCallbacknumber:2:2Workdirectory:flash:/ACLnumber:2000VLANID:2Userprofile:ppSSLVPNpolicygroup:policygroup1Passwordcontrolconfigurations:Passwordaging:2days表1-8displayuser-group命令显示信息描述表字段描述Total2usergroupsmatched.
总计有2个用户组匹配Authorizationattributes授权属性信息Idletimeout闲置切断时间(单位:分钟)Session-timeout本地用户的会话超时时间(单位为分钟)Callbacknumber(暂不支持)PPP回呼号码WorkdirectoryFTP/SFTP/SCP用户可以访问的目录ACLnumber授权ACL号VLANID授权VLANIDUserprofile(暂不支持)授权UserProfile名称IPpool授权IPv4地址池SSLVPNpolicygroup(暂不支持)授权SSLVPN策略组名称1-81字段描述IPv6prefix授权IPv6前缀IPv6pool授权IPv6地址池PrimaryDNSserver授权主DNS服务器IPv4地址SecondaryDNSserver授权从DNS服务器IPv4地址PrimaryDNSV6server授权主DNS服务器IPv6地址SecondaryDNSV6server授权从DNS服务器IPv6地址URL(暂不支持)授权强制URLSubscriberID(暂不支持)授权SubscriberIDSessiongroupprofile(暂不支持)授权SessionGroupProfile名称VPNinstance(暂不支持)授权VPN实例Passwordcontrolconfigurations用户组的密码控制属性Passwordaging密码老化时间Passwordlength密码最小长度Passwordcomposition密码组合策略(密码元素的组合类型、至少要包含每种元素的个数)Passwordcomplexity密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符)Maximumloginattempts用户最大登录尝试次数Actionforexceedingloginattempts登录尝试次数达到设定次数后的用户账户锁定行为1.
2.
5displayuser-groupidentity-activedisplayuser-groupidentity-active命令用来显示处于激活状态的身份识别用户组.
【命令】displayuser-groupidentity-active【视图】任意视图【缺省用户角色】network-adminnetwork-operator【使用指导】当身份识别用户组被对象策略等安全特性引用之后,若该引用配置生效,则该用户组将处于激活状态.
只有身份识别用户组处于激活状态时,该用户组才能在基于用户身份的访问控制过程中生效.
1-82【举例】#显示处于激活状态的身份识别用户组.
displayuser-groupidentity-activeTotal2usergroupsmatched.
GroupIDGroupname0x1group10x567group2表1-9displayuser-groupidentity-active命令显示信息描述表字段描述Total2usergroupsmatched.
总计有2个身份识别用户组匹配GroupID身份识别用户组的IDGroupname身份识别用户组的名称1.
2.
6groupgroup命令用来设置本地用户所属的用户组.
undogroup命令用来恢复缺省配置.
【命令】groupgroup-nameundogroup【缺省情况】本地用户属于用户组system.
【视图】本地用户视图【缺省用户角色】network-admin【参数】group-name:用户组名称,为1~32个字符的字符串,不区分大小写.
【举例】#设置设备管理类本地用户111所属的用户组为abc.
system-view[Sysname]local-user111classmanage[Sysname-luser-manage-111]groupabc【相关命令】displaylocal-user1-831.
2.
7local-userlocal-user命令用来添加本地用户,并进入本地用户视图.
如果指定的本地用户已经存在,则直接进入本地用户视图.
undolocal-user命令用来删除指定的本地用户.
【命令】local-useruser-name[class{manage}]undolocal-user{user-nameclass{manage}|all[service-type{ftp|http|https|ssh|telnet|terminal}|class{manage}]}【缺省情况】不存在本地用户.
【视图】系统视图【缺省用户角色】network-admin【参数】user-name:表示本地用户名,为1~80个字符的字符串,可以为"纯用户名@域名"或者纯用户名.
其中,纯用户名区分大小写,不能包含符号"\"、"|"、"/"、"*"、""、""和"@",并且不能为"a"、"al"或"all";域名不区分大小写,不能包含符号"@".
class:指定本地用户的类别.
若不指定本参数,则表示设备管理类用户.
manage:设备管理类用户,用于登录设备,对设备进行配置和监控.
此类用户可以提供ftp、http、https、telnet、ssh、terminal服务.
all:所有的用户.
service-type:指定用户的类型.
ftp:表示FTP类型用户.
http:表示HTTP类型用户.
https:表示HTTPS类型用户.
ssh:表示SSH用户.
telnet:表示Telnet用户.
terminal:表示从Console口登录的终端用户.
【举例】#添加名称为user1的设备管理类本地用户.
system-view[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]【相关命令】displaylocal-userservice-type1-841.
2.
8password(Devicemanagementuserview)password命令用来设置本地用户的密码.
undopassword命令用来恢复缺省情况.
【命令】password[{hash|simple}string]undopassword【缺省情况】不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功.
【视图】设备管理类本地用户视图【缺省用户角色】network-admin【参数】hash:表示以哈希方式设置密码.
simple:表示以明文方式设置密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串.
【使用指导】如果不指定任何参数,则表示以交互式设置明文形式的密码.
用户可以不为本地用户设置密码.
若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功.
为提高用户账户的安全性,建议设置本地用户密码.
【举例】#设置设备管理类本地用户user1的密码为明文123456TESTplat&!
.
system-view[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]passwordsimple123456TESTplat&!
#以交互式方式设置设备管理类本地用户test的密码.
system-view[Sysname]local-usertestclassmanage[Sysname-luser-manage-test]passwordPassword:confirm:【相关命令】displaylocal-user1.
2.
9service-type(Localuserview)service-type命令用来设置用户可以使用的服务类型.
1-85undoservice-type命令用来删除用户可以使用的服务类型.
【命令】service-type{ftp|{http|https|ssh|telnet|terminal}*}undoservice-type{ftp|{http|https|ssh|telnet|terminal}*}【缺省情况】系统不对用户授权任何服务,即用户不能使用任何服务.
【视图】本地用户视图【缺省用户角色】network-admin【参数】ftp:指定用户可以使用FTP服务.
若授权FTP服务,缺省授权FTP用户可访问设备的根目录,授权目录可以通过authorization-attributework-directory命令来修改.
http:指定用户可以使用HTTP服务.
https:指定用户可以使用HTTPS服务.
ssh:指定用户可以使用SSH服务.
telnet:指定用户可以使用Telnet服务.
terminal:指定用户可以使用terminal服务(即从Console口登录).
【使用指导】可以通过多次执行本命令,设置用户可以使用多种服务类型.
【举例】#指定设备管理类用户可以使用Telnet服务和FTP服务.
system-view[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]service-typetelnet[Sysname-luser-manage-user1]service-typeftp【相关命令】displaylocal-user1.
2.
10state(Localuserview)state命令用来设置当前本地用户的状态.
undostate命令用来恢复缺省情况.
【命令】state{active|block}undostate【缺省情况】本地用户处于活动状态.
1-86【视图】本地用户视图【缺省用户角色】network-admin【参数】active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务.
block:指定当前本地用户处于"阻塞"状态,即系统不允许当前本地用户请求网络服务.
【举例】#设置设备管理类本地用户user1处于"阻塞"状态.
system-view[Sysname]local-useruser1classmanage[Sysname-luser-manage-user1]stateblock【相关命令】displaylocal-user1.
2.
11user-groupuser-group命令用来创建用户组,并进入用户组视图.
如果指定的用户组已经存在,则直接进入用户组视图.
undouser-group命令用来删除指定的用户组.
【命令】user-groupgroup-nameundouser-groupgroup-name【缺省情况】存在一个用户组,名称为system.
【视图】系统视图【缺省用户角色】network-admin【参数】group-name:用户组名称,为1~32个字符的字符串,不区分大小写.
【使用指导】用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理.
不允许删除一个包含本地用户的用户组.
不能删除系统中存在的默认用户组system,但可以修改该用户组的配置.
【举例】#创建名称为abc的用户组并进入其视图.
1-87system-view[Sysname]user-groupabc[Sysname-ugroup-abc]【相关命令】displayuser-group1.
3RADIUS配置命令1.
3.
1aaadevice-idaaadevice-id命令用来配置设备ID.
undoaaadebice-id命令用来恢复缺省情况.
【命令】aaadevice-iddevice-idundoaaadevice-id【缺省情况】设备ID为0.
【视图】系统视图【缺省用户角色】network-admin【参数】device-id:设备ID,取值范围为1~255.
【使用指导】RADIUS计费过程使用Acct-Session-Id属性作为用户的计费ID.
设备使用系统时间、随机数以及设备ID为每个在线用户生成一个唯一的Acct-Session-Id值.
修改后的设备ID仅对新上线用户生效.
【举例】#配置设备ID为1.
system-view[Sysname]aaadevice-id11.
3.
2accounting-onenableaccounting-onenable命令用来开启accounting-on功能.
undoaccounting-onenable命令用来关闭accounting-on功能.
【命令】accounting-onenable[intervalinterval|sendsend-times]*undoaccounting-onenable1-88【缺省情况】accounting-on功能处于关闭状态.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】intervalinterval:指定accounting-on报文重发时间间隔,取值范围为1~15,单位为秒,缺省值为3.
sendsend-times:指定accounting-on报文的最大发送次数,取值范围为1~255,缺省值为50.
【使用指导】accounting-on功能使得整个设备在重启之后通过发送accounting-on报文通知该方案所使用的RADIUS计费服务器,要求RADIUS服务器停止计费且强制该设备的用户下线.
开启accounting-on功能后,请执行save命令保证accounting-on功能在整个设备下次重启后生效.
关于命令的详细介绍请参见"基础配置命令参考"中的"配置文件管理".
本命令设置的accounting-on参数会立即生效.
【举例】#在RADIUS方案radius1中,开启accounting-on功能并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]accounting-onenableinterval5send15【相关命令】displayradiusscheme1.
3.
3attribute5formatattribute5format命令用来配置RADIUSAttribute5的封装格式.
undoattribute5format命令用来恢复缺省情况.
【命令】attribute5formatqinqundoattribute5format【缺省情况】采用单层VLAN格式封装RADIUSAttribute5,具体为:槽位号(8bit)+子槽位号(4bit)+端口号(8bit)+VLANID(12bit).
【视图】RADIUS方案视图1-89【缺省用户角色】network-admin【参数】qinq:表示采用QinQ格式封装RADIUSAttribute5,具体为:槽位号(3bit)+子槽位号(1bit)+端口号(4bit)+S-VLANID(12bit)+C-VLANID(12bit).
【使用指导】RADIUSAttribute5为NAS-Port属性.
QinQ组网情况下,建议配置采用QinQ格式封装RADIUSAttribute5.
如果配置了采用QinQ格式封装RADIUSAttribute5,但实际用户接入网络为非QINQ组网,系统仍然会按照QinQ格式填充RADIUSAttribute5,考虑到用户认证报文仅携带一层VLAN信息,S-VLAN区段将会用0填充.
【举例】#在RADIUS方案rad中,配置采用QinQ格式封装RADIUSAttribute5.
system-view[Sysname]radiusschemerad[Sysname-radius-rad]attribute5formatqinq【相关命令】displayradiusscheme1.
3.
4attribute15check-modeattribute15check-mode命令用来配置对RADIUSAttribute15的检查方式.
undoattribute15check-mode命令用来恢复缺省情况.
【命令】attribute15check-mode{loose|strict}undoattribute15check-mode【缺省情况】对RADIUSAttribute15的检查方式为strict方式.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】loose:松散检查方式,设备使用RADIUSAttribute15的标准属性值对用户业务类型进行检查.
对于SSH、FTP、Terminal用户,在RADIUS服务器下发的Login-Service属性值为0(表示用户业务类型为Telnet)时,这类用户才能够通过认证.
1-90strict:严格检查方式,设备使用RADIUSAttribute15的标准属性值以及扩展属性值对用户业务类型进行检查.
对于SSH、FTP、Terminal用户,当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时,这类用户才能够通过认证.
【使用指导】由于某些RADIUS服务器不支持自定义的属性,无法下发扩展的Login-Service属性,若要使用这类RADIUS服务器对SSH、FTP、Terminal用户进行认证,建议设备上对RADIUS15号属性值采用松散检查方式.
【举例】#在RADIUS方案radius1中,配置对RADIUSAttribute15采用松散检查方式.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attribute15check-modeloose【相关命令】displayradiusscheme1.
3.
5attribute25carattribute25car命令用来开启RADIUSAttribute25的CAR参数解析功能.
undoattribute25car命令用来关闭RADIUSAttribute25的CAR参数解析功能.
【命令】attribute25carundoattribute25car【缺省情况】RADIUSAttribute25的CAR参数解析功能处于关闭状态.
【视图】RADIUS方案视图【缺省用户角色】network-admin【使用指导】RADIUS的25号属性为class属性,该属性由RADIUS服务器下发给设备.
目前,某些RADIUS服务器利用class属性来对用户下发CAR参数,可以通过本特性来控制设备是否将RADIUS25号属性解析为CAR参数,解析出的CAR参数可被用来进行基于用户的流量监管控制.
目前,设备可以成功解析的class属性格式为string1string2string3string4,每个string的长度为8个字符,且每个字符必须为0~9之间的数字.
开启了本功能的情况下,如果设备成功将某RADIUS服务器下发的class属性解析为CAR参数,则后续发送给该RADIUS服务器的计费报文中除了携带class属性之外,还将会通过私有属性携带解析后的CAR参数.
【举例】#在RADIUS方案radius1中,开启RADIUSAttribute25的CAR参数解析功能.
1-91system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attribute25car【相关命令】displayradiusscheme1.
3.
6attribute31mac-formatattribute31mac-format命令用来配置RADIUSAttribute31中的MAC地址格式.
undoattribute31mac-format命令用来恢复缺省情况.
【命令】attribute31mac-formatsection{six|three}separatorseparator-character{lowercase|uppercase}undoattribute31mac-format【缺省情况】RADIUSAttribute31中的MAC地址为大写字母格式,且被分隔符"-"分成6段,即为HH-HH-HH-HH-HH-HH的格式.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】section:指定MAC地址分段数.
six:表示MAC地址被分为6段,格式为HH-HH-HH-HH-HH-HH.
three:表示MAC地址被分为3段,格式为HHHH-HHHH-HHHH.
separatorseparator-character:MAC地址的分隔符,为单个字符,区分大小写.
lowercase:表示MAC地址为小写字母格式.
uppercase:表示MAC地址为大写字母格式.
【使用指导】不同的RADIUS服务器对填充在RADIUSAttribute31中的MAC地址有不同的格式要求,为了保证RADIUS报文的正常交互,设备发送给服务器的RADIUSAttribute31号属性中MAC地址的格式必须与服务器的要求保持一致.
【举例】#在RADIUS方案radius1中,配置RADIUSAttribute31的MAC地址格式为hh:hh:hh:hh:hh:hh.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attribute31mac-formatsectionsixseparator:lowercase【相关命令】displayradiusscheme1-921.
3.
7attribute85preferredattribute85preferred命令用来配置通过RADIUSAttribute85号属性下发的实时计费间隔优先生效.
undoattribute85preferred命令用来恢复缺省情况.
【命令】attribute85preferredundoattribute85preferred【缺省情况】RADIUS方案下配置的计费间隔优先级高于由RADIUS服务器通过Attribute85号属性下发的实时计费间隔.
【视图】RADIUS方案视图【缺省用户角色】network-admin【使用指导】设备会通过实时计费更新报文定期向RADIUS服务器发送在线用户的计费信息,发送周期可以通过RADIUS方案下的实时计费间隔命令设置(timerrealtime-accounting),也可以由RADIUS服务器下通过85号属性(Acct-Interim-Interval)下发.
缺省情况下,如果RADIUS方案下配置了非0的实时计费间隔,则该值优先级高于服务器下发的实时计费间隔.
如果需要支持服务器下发的配置优先级高于RADIUS方案下的配置,则可以通过执行attribute85preferred命令来实现.
【举例】#在RADIUS方案radius1中,配置通过Attribute85号属性下发的实时计费间隔优先生效.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attribute85preferred【相关命令】displayradiusschemetimerrealtime-accounting1.
3.
8attribute87formatattribute87format命令用来配置RADIUSAttribute87的格式.
undoattribute87format命令用来恢复缺省情况.
【命令】attribute87format{custom{c-vid[delimiter]|interface-type[delimiter]|port[delimiter]|s-vid[delimiter]|slot[delimiter]|stringstring[delimiter]|subslot[delimiter]}*|vendorvendor-id}1-93undoattribute87format【缺省情况】未配置RADIUSAttribute87的格式,直接采用接入模块定义的RADIUSAttribute87格式,具体为:对于Login:不填充任何内容.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】custom:表示采用自定义的属性格式.
c-vid:用户报文的内层VLANID.
interface-type:用户接入的接口类型.
port:用户接入的端口号.
s-vid:用户报文的外层VLANID.
slot:用户接入单板所在槽位号.
stringstring:自定义的属性字符串,其中string为1~63个字符的字符串,区分大小写.
subslot:用户接入单板所在子槽位号.
delimiter:本属性字段与下一个属性字段之间的分隔符,为除问号之外的任意可输入字符.
若不指定该参数,则表示不使用分隔符.
vendorvendor-id:表示采用指定设备厂商的属性格式,其中vendor-id厂商标识号码,取值范围目前仅为9(Cisco)和2636(Juniper).
【使用指导】RADIUSAttribute87为NAS-Port-ID属性.
不同的RADIUS服务器对NAS-Port-ID属性的解析格式要求不同,为了保证RADIUS报文的正常交互,设备发送给服务器的NAS-Port-ID属性的格式必须与服务器的要求保持一致.
可通过本命令修改设备发送的RADIUSNAS-Port-ID属性的格式,具体情况如下:如果采用指定设备厂商的属性格式,则NAS-Port-ID属性内容完全按照厂商要求填充.
如果采用自定义属性格式,则NAS-Port-ID属性中可携带哪些属性字段、各字段之间使用的分隔符以及各字段的排列顺序,由配置决定.
其中,各字段的填充先后顺序,与本命令中对应关键字的配置顺序一致.
指定厂商ID为2636(Juniper)时,NAS-Port-ID属性填充格式如下:对于以太网接口以及聚合接口:双层VLAN情况下,格式为{fastEthernet|gigabitEthernet|ethernet|trunk}slot/port.
vpivci:vpi-vci.
其中,slot为槽位号,port为端口号,vpi为外层VLAN编号,vci为内层VLAN编号,例如gigabitEthernet2/5.
40940001:4094-1.
需要注意的是,冒号前的vci必须通过填充0凑成4位,比如内层VLAN=1,则此处为0001.
1-94单层VLAN情况下,格式为{fastEthernet|gigabitEthernet|ethernet|trunk}slot/port.
subinterface:vlan.
其中,slot为槽位号,port为端口号,subinterface为子接口号,vlan为VLAN编号,例如gigabitEthernet2/5.
4:4.
无VLAN信息时,格式为{fastEthernet|gigabitEthernet|ethernet|trunk}slot/port.
0,例如gigabitEthernet2/5.
0.
指定厂商为ID为9(Cisco)时,NAS-Port-ID属性填充格式为{ethernet|trunk|atm}slot/subslot/port.
其中,{ethernet|trunk|atm}表示端口类型,slot表示槽位号,subslot表示子槽位号,port表示端口号,例如ethernet2/0/5.
配置自定义属性格式时,请综合考虑用户的实际组网环境以及设备形态,避免指定无效的属性字段.
如果配置了本命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由本命令决定,接入模块定义的RADIUSNAS-Port-ID属性格式不再生效.
如果配置了本命令,则发送给RADIUS服务器的NAS-Port-ID属性的格式完全由本命令决定,接入模块定义的RADIUSNAS-Port-ID属性格式不再生效.
【举例】#在RADIUS方案rad中,配置使用Cisco的RADIUSAttribute87格式.
system-view[Sysname]radiusschemerad[Sysname-radius-rad]attribute87formatvendor9#在RADIUS方案rad2中,配置使用自定义的RADIUSAttribute87格式,属性中依次携带用户报文的内层VLANID和接口类型,属性分隔符为;.
system-view[Sysname]radiusschemerad2[Sysname-radius-rad2]attribute87formatcustomc-vid;interface-type;【相关命令】displayradiusscheme1.
3.
9attributeconvert(RADIUSDAEserverview)attributeconvert命令用来配置RADIUS属性转换规则.
undoattributeconvert命令用来删除RADIUS属性转换规则.
【命令】attributeconvertsrc-attr-nametodest-attr-name{{coa-ack|coa-request}*|{received|sent}*}undoattributeconvert[src-attr-name]【缺省情况】不存在RADIUS属性转换规则,系统按照标准RADIUS协议对RADIUS属性进行处理.
【视图】RADIUSDAE服务器视图【缺省用户角色】network-admin1-95【参数】src-attr-name:源属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
dest-attr-name:目的属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
coa-ack:COA应答报文.
coa-request:COA请求报文.
received:接收到的DAE报文.
sent:发送的DAE报文.
【使用指导】RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理.
只有在RADIUS属性解释功能开启之后,RADIUS属性转换规则才能生效.
配置RADIUS属性转换规则时,需要遵循以下原则:源属性内容和目的属性内容的数据类型必须相同.
源属性和目的属性的名称不能相同.
一个属性只能按照一种方式(按报文类型或报文处理方向)进行转换.
一个源属性不能同时转换为多个目的属性.
执行undoattributeconvert命令时,如果不指定源属性名称,则表示删除所有RADIUS属性转换规则.
【举例】#在RADIUSDAE服务器视图下,配置一条RADIUS属性转换规则,指定将接收到的DAE报文中的Hw-Server-String属性转换为Connect-Info属性.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]attributeconvertHw-Server-StringtoConnect-Inforeceived【相关命令】attributetranslate1.
3.
10attributeconvert(RADIUSschemeview)attributeconvert命令用来配置RADIUS属性转换规则.
undoattributeconvert命令用来删除RADIUS属性转换规则.
【命令】attributeconvertsrc-attr-nametodest-attr-name{{access-accept|access-request|accounting}*|{received|sent}*}undoattributeconvert[src-attr-name]【缺省情况】不存在RADIUS属性转换规则,系统按照标准RADIUS协议对RADIUS属性进行处理.
1-96【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】src-attr-name:源属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
dest-attr-name:目的属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
access-accept:RADIUS认证成功报文.
access-request:RADIUS认证请求报文.
accounting:RADIUS计费报文.
received:接收到的RADIUS报文.
sent:发送的RADIUS报文.
【使用指导】RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理.
只有在RADIUS属性解释功能开启之后,RADIUS属性转换规则才能生效.
配置RADIUS属性转换规则时,需要遵循以下原则:源属性内容和目的属性内容的数据类型必须相同.
源属性和目的属性的名称不能相同.
一个属性只能按照一种方式(按报文类型或报文处理方向)进行转换.
一个源属性不能同时转换为多个目的属性.
执行undoattributeconvert命令时,如果不指定源属性名称,则表示删除所有RADIUS属性转换规则.
【举例】#在RADIUS方案radius1中,配置一条RADIUS属性转换规则,指定将接收到的RADIUS报文中的Hw-Server-String属性转换为User-Address-Type属性.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attributeconvertHw-Server-StringtoUser-Address-Typereceived【相关命令】attributetranslatedisplayradiusscheme1.
3.
11attributereject(RADIUSDAEserverview)attributereject命令用来配置RADIUS属性禁用.
undoattributereject命令用来取消配置的RADIUS属性禁用.
1-97【命令】attributerejectattr-name{{coa-ack|coa-request}*|{received|sent}*}undoattributereject[attr-name]【缺省情况】不存在RADIUS属性禁用规则.
【视图】RADIUSDAE服务器视图【缺省用户角色】network-admin【参数】attr-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
coa-ack:COA应答报文.
coa-request:COA请求报文.
received:接收到的DAE报文.
sent:发送的DAE报文.
【使用指导】当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时,可以定义基于发送方向的属性禁用规则,使得设备发送RADIUS报文时,将该属性从报文中删除.
当RADIUS服务器发送给设备的某些属性是设备不希望收到的属性时,可以定义基于接收方向的属性禁用规则,使得设备接收RADIUS报文时,不处理报文中的该属性.
当某些类型的属性是设备不希望处理的属性时,可以定义基于类型的属性禁用规则.
只有在RADIUS属性解释功能开启之后,RADIUS属性禁用规则才能生效.
一个属性只能按照一种方式(按报文类型或报文处理方向)进行禁用.
执行undoattributereject命令时,如果不指定属性名称,则表示删除所有RADIUS属性禁用规则.
【举例】#在RADIUSDAE服务器视图下,配置一条RADIUS属性禁用规则,指定禁用发送的DAE报文中的Connect-Info属性.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]attributerejectConnect-Infosent【相关命令】attributetranslate1.
3.
12attributereject(RADIUSschemeview)attributereject命令用来配置RADIUS属性禁用规则.
1-98undoattributereject命令用来删除RADIUS属性禁用规则.
【命令】attributerejectattr-name{{access-accept|access-request|accounting}*|{received|sent}*}undoattributereject[attr-name]【缺省情况】不存在RADIUS属性禁用规则.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】attr-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
该属性必须为系统支持的属性.
access-accept:RADIUS认证成功报文.
access-request:RADIUS认证请求报文.
accounting:RADIUS计费报文.
received:接收到的RADIUS报文.
sent:发送的RADIUS报文.
【使用指导】当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时,可以定义基于发送方向的属性禁用规则,使得设备发送RADIUS报文时,将该属性从报文中删除.
当RADIUS服务器发送给设备的某些属性是不希望收到的属性时,可以定义基于接收方向的属性禁用规则,使得设备接收RADIUS报文时,不处理报文中的该属性.
当某些类型的属性是设备不希望处理的属性时,可以定义基于类型的属性禁用规则.
只有在RADIUS属性解释功能开启之后,RADIUS属性禁用规则才能生效.
一个属性只能按照一种方式(按报文类型或报文处理方向)进行禁用.
执行undoattributereject命令时,如果不指定属性名称,则表示删除所有RADIUS属性禁用规则.
【举例】#在RADIUS方案radius1中,配置一条RADIUS属性禁用规则,指定禁用发送的RADIUS报文中的Connect-Info属性.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attributerejectConnect-Infosent【相关命令】attributetranslate1-991.
3.
13attributeremanent-volumeattributeremanent-volume命令用来配置RADIUSRemanent-Volume属性的流量单位.
undoattributeremanent-volume命令用来恢复缺省情况.
【命令】attributeremanent-volumeunit{byte|giga-byte|kilo-byte|mega-byte}undoattributeremanent-volumeunit【缺省情况】Remanent-Volume属性的流量单位是千字节.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】byte:表示流量单位为字节.
giga-byte:表示流量单位为千兆字节.
kilo-byte:表示流量单位为千字节.
mega-byte:表示流量单位为兆字节.
【使用指导】Remanent-Volume属性为H3C自定义RADIUS属性,携带在RADIUS服务器发送给接入设备的认证响应或实时计费响应报文中,用于向接入设备通知在线用户的剩余流量值.
设备管理员通过本命令设置的流量单位应与RADIUS服务器上统计用户流量的单位保持一致,否则设备无法正确使用Remanent-Volume属性值对用户进行计费.
【举例】#在RADIUS方案radius1中,设置RADIUS服务器下发的Remanent-Volume属性的流量单位为千字节.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attributeremanent-volumeunitkilo-byte【相关命令】displayradiusscheme1.
3.
14attributetranslateattributetranslate命令用来开启RADIUS属性解释功能.
undoattributetranslate命令用来关闭RADIUS属性解释功能.
【命令】attributetranslateundoattributetranslate1-100【缺省情况】RADIUS属性解释功能处于关闭状态.
【视图】RADIUS方案视图/RADIUSDAE服务器视图【缺省用户角色】network-admin【使用指导】不同厂商的RADIUS服务器所支持的RADIUS属性集有所不同,而且相同属性的用途也可能不同.
为了兼容不同厂商的服务器的RADIUS属性,需要开启RADIUS属性解释功能,并定义相应的RADIUS属性转换规则和RADIUS属性禁用规则.
【举例】#在RADIUS方案radius1中,开启RADIUS属性解释功能.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attributetranslate【相关命令】attributeconvertattributereject1.
3.
15attributevendor-id2011versionattributevendor-id2011version命令用来设置VendorID为2011的RADIUS服务器版本号.
undoattributevendor-id2011version命令用来恢复缺省情况.
【命令】attributevendor-id2011version{1.
0|1.
1}undoattributevendor-id2011version【缺省情况】设备采用版本1.
0与VendorID为2011的RADIUS服务器交互.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】1.
0:版本1.
0.
1.
1:版本1.
1.
1-101【使用指导】当设备与VendorID为2011的RADIUS服务器交互时,需要保证本命令设置的服务器版本号与对端服务器的实际版本号一致,否则会导致部分RADIUS属性解析错误.
该厂商相关RADIUS属性在设备上的解析情况如下:当RADIUS服务器下发属性HW_ARRT_26_1时,如果设备采用1.
0版本,则将该属性解析为用户的上行峰值速率;如果设备采用1.
1版本,则将其解析为上行突发尺寸.
当RADIUS服务器下发属性HW_ARRT_26_2时,无论设备采用1.
0版本或1.
1版本,均将该属性解析为用户的上行平均速率.
当RADIUS服务器下发属性HW_ARRT_26_3时,如果设备采用1.
0版本,则不处理该属性;如果设备采用1.
1版本,则将其解析为上行峰值速率.
当RADIUS服务器下发属性HW_ARRT_26_4时,如果设备采用1.
0版本,则将该属性解析为用户的下行峰值速率;如果设备采用1.
1版本,则将其解析为下行突发尺寸.
当RADIUS服务器下发属性HW_ARRT_26_5时,无论设备采用1.
0版本或1.
1版本,均将该属性解析为用户的下行平均速率.
当RADIUS服务器下发属性HW_ARRT_26_6时,如果设备采用1.
0版本,则不处理该属性;如果设备采用1.
1版本,则将其解析为下行峰值速率.
【举例】#在RADIUS方案radius1中,设置VendorID为2011的RADIUS服务器版本号为1.
1.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]attributevendor-id2011version1.
1【相关命令】client1.
3.
16clientclient命令用来指定RADIUSDAE客户端.
undoclient命令用来删除指定的RADIUSDAE客户端.
【命令】client{ipipv4-address|ipv6ipv6-address}[key{cipher|simple}string|vendor-id2011version{1.
0|1.
1}|vpn-instancevpn-instance-name]*undoclient{ipipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]【缺省情况】未指定RADIUSDAE客户端.
【视图】RADIUSDAE服务器视图【缺省用户角色】network-admin1-102【参数】ipipv4-address:RADIUSDAE客户端IPv4地址.
ipv6ipv6-address:RADIUSDAE客户端IPv6地址.
key:与RADIUSDAE客户端交互DAE报文时使用的共享密钥.
此共享密钥的设置必须与RADIUSDAE客户端的共享密钥设置保持一致.
如果此处未指定本参数,则对应的RADIUSDAE客户端上也必须未指定.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
vendor-id2011:表示RADIUSDAE客户端的Vendor-ID为2011.
version:版本号.
1.
0:版本1.
0.
1.
1:版本1.
1.
vpn-instancevpn-instance-name:RADIUSDAE客户端所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示RADIUSDAE客户端位于公网中.
【使用指导】开启RADIUSDAE服务之后,设备会监听并处理指定的RADIUSDAE客户端发起的DAE请求消息(用于动态授权修改或断开连接),并向其发送应答消息.
对于非指定的RADIUSDAE客户端的DAE报文进行丢弃处理.
可通过多次执行本命令指定多个RADIUSDAE客户端.
缺省情况下,设备支持与版本1.
0的Vendor-ID为2011的RADIUS服务器通信,若对端为1.
1版本,则需要通过指定vendor-id2011version1.
1参数来保证版本的一致性,否则无法正确解析部分DAE请求.
【举例】#设置RADIUSDAE客户端的IP地址为10.
110.
1.
2,与RADIUSDAE客户端交互DAE报文时使用的共享密钥为明文123456.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]clientip10.
110.
1.
2keysimple123456【相关命令】attributevendor-id2011versionradiusdynamic-authorserverport1.
3.
17dae-loose-checkenabledae-loose-checkenable命令用来开启DAE报文的宽松检查功能.
undodae-loose-checkenable命令用来关闭DAE报文的宽松检查功能.
1-103【命令】dae-loose-checkenableundodae-loose-checkenable【缺省情况】DAE报文的宽松检查功能处于关闭状态.
【视图】RADIUSDAE服务器视图【缺省用户角色】network-admin【使用指导】设备作为DAE服务器接收到DAE请求报文后,可根据报文中携带的用户标识信息(用户名、用户IP地址、Acct-Session-Id、Acct-Multi-Session-Id等)在本地查找对应的用户,并对用户进行强制下线或者更改授权信息.
如果设备没有查找到对应的用户,则不处理该DAE请求.
缺省情况下,设备对DAE请求报文中的所有用户标识信息都进行校验,只有在设备上查找到了严格匹配所有信息的用户才会处理该DAE请求.
如果设备上开启了宽松检查功能,则设备只会校验DAE报文中的部分用户标识信息,包括用户IP地址、Acct-Session-Id以及Acct-Multi-Session-Id.
有些DAE客户端上记录的用户以及设备信息可能与设备上用户的实际信息不完全一致,为了避免DAE客户端发送的DAE请求因无法进行完全匹配式校验而被丢弃,建议在这种情况下开启DAE请求报文的宽松检查功能.
【举例】#开启DAE报文的宽松检查功能.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]dae-loose-checkenable【相关命令】radiusdynamic-authorserver1.
3.
18data-flow-format(RADIUSschemeview)data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位.
undodata-flow-format命令用来恢复缺省情况.
【命令】data-flow-format{data{byte|giga-byte|kilo-byte|mega-byte}|packet{giga-packet|kilo-packet|mega-packet|one-packet}}*undodata-flow-format{data|packet}1-104【缺省情况】数据流的单位为字节,数据包的单位为包.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】data:设置数据流的单位.
byte:数据流的单位为字节.
giga-byte:数据流的单位千兆字节.
kilo-byte:数据流的单位为千字节.
mega-byte:数据流的单位为兆字节.
packet:设置数据包的单位.
giga-packet:数据包的单位为千兆包.
kilo-packet:数据包的单位为千包.
mega-packet:数据包的单位为兆包.
one-packet:数据包的单位为包.
【使用指导】设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADIUS服务器上的流量统计单位保持一致,否则无法正确计费.
【举例】#在RADIUS方案radius1中,设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]data-flow-formatdatakilo-bytepacketkilo-packet【相关命令】displayradiusscheme1.
3.
19displayradiusschemedisplayradiusscheme命令用来显示RADIUS方案的配置信息.
【命令】displayradiusscheme[radius-scheme-name]【视图】任意视图【缺省用户角色】network-admin1-105network-operator【参数】radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写.
如果不指定该参数,则表示所有RADIUS方案.
【举例】#显示所有RADIUS方案的配置信息.
displayradiusschemeTotal1RADIUSschemesRADIUSschemename:radius1Index:0Primaryauthenticationserver:IP:2.
2.
2.
2Port:1812VPN:vpn1State:ActiveTestprofile:132Probeusername:testProbeinterval:60secondsWeight:40Primaryaccountingserver:IP:1.
1.
1.
1Port:1813VPN:NotconfiguredState:ActiveWeight:40Secondauthenticationserver:IP:3.
3.
3.
3Port:1812VPN:NotconfiguredState:BlockTestprofile:NotconfiguredWeight:40Secondaccountingserver:IP:3.
3.
3.
3Port:1813VPN:NotconfiguredState:Block(Mandatory)Weight:0Accounting-Onfunction:Enabledextendedfunction:Enabledretransmissiontimes:5retransmissioninterval(seconds):2TimeoutInterval(seconds):3RetransmissionTimes:3RetransmissionTimesforAccountingUpdate:5ServerQuietPeriod(minutes):5RealtimeAccountingInterval(seconds):22Stop-accountingpacketsbuffering:Enabled1-106Retransmissiontimes:500NASIPAddress:1.
1.
1.
1SourceIPaddress:NotconfiguredVPN:NotconfiguredUsernameformat:with-domainDataflowunit:MegabytePacketunit:OneAttribute5format:QinQAttribute15check-mode:StrictAttribute25:CARRemanent-Volumethreshold:1024AttributeRemanent-Volumeunit:MegaServer-load-sharing:DisabledServer-load-sharingmode:Session-basedAttribute31MACformat:HH-HH-HH-HH-HH-HHStop-accounting-packetsend-force:DisabledRADIUSserverversion(vendorID2011):1.
0Attribute85preferred:EnabledAttribute87formatcustomized:c-vid@interface-type/s-vidAuthenticationresponsependinglimit:NotconfiguredAccountingresponsependinglimit:NotconfiguredUsernameauthorization:NotappliedAll-server-blockaction:Attemptthetop-priorityserver表1-10displayradiusscheme命令显示信息描述表字段描述Total1RADIUSschemes.
共计1个RADIUS方案RADIUSschemenameRADIUS方案的名称IndexRADIUS方案的索引号Primaryauthenticationserver主RADIUS认证服务器Primaryaccountingserver主RADIUS计费服务器Secondauthenticationserver从RADIUS认证服务器Secondaccountingserver从RADIUS计费服务器IPRADIUS认证/计费服务器IP地址未配置时,显示为NotconfiguredPortRADIUS认证/计费服务器接入端口号未配置时,显示缺省值StateRADIUS认证/计费服务器目前状态Active:激活状态Block:自动转换的静默状态Block(Mandatory):手工配置的静默状态1-107字段描述VPNRADIUS认证/计费服务器所在的VPN未配置时,显示为NotconfiguredTestprofile探测服务器状态使用的模板名称Probeusername探测服务器状态使用的用户名Probeinterval探测服务器状态的周期(单位为秒)WeightRADIUS服务器权重值Accounting-Onfunctionaccounting-on功能的开启情况extendedfunctionaccounting-on扩展功能的开启情况retransmissiontimesaccounting-on报文的发送尝试次数retransmissioninterval(seconds)accounting-on报文的重发间隔(单位为秒)TimeoutInterval(seconds)RADIUS服务器超时时间(单位为秒)RetransmissionTimes发送RADIUS报文的最大尝试次数RetransmissionTimesforAccountingUpdate实时计费更新报文的最大尝试次数ServerQuietPeriod(minutes)RADIUS服务器恢复激活状态的时间(单位为分钟)RealtimeAccountingInterval(seconds)实时计费更新报文的发送间隔(单位为秒)Stop-accountingpacketsbufferingRADIUS停止计费请求报文缓存功能的开启情况Retransmissiontimes发起RADIUS停止计费请求的最大尝试次数NASIPAddress发送RADIUS报文携带的NAS-IP地址未配置时,显示为NotconfiguredSourceIPaddress发送RADIUS报文使用的源IP地址未配置时,显示为NotconfiguredVPNRADIUS方案所属的VPN名称未配置时,显示为NotconfiguredUsernameformat发送给RADIUS服务器的用户名格式with-domain:携带域名without-domain:不携带域名keep-original:与用户输入保持一致Dataflowunit数据流的单位Packetunit数据包的单位Attribute5formatRADIUSAttribute5的封装格式:QinQ:表示使用QinQ格式Default:表示使用缺省格式1-108字段描述Attribute15check-mode对RADIUSAttribute15的检查方式,包括以下两种取值:Strict:表示使用RADIUS标准属性值和私有扩展的属性值进行检查Loose:表示使用RADIUS标准属性值进行检查Attribute25对RADIUSAttribute25的处理,包括以下两种取值:Standard:表示不对RADIUSAttribute25进行解析CAR:表示将RADIUS25号属性解析为CAR参数Remanent-Volumethreshold用户剩余流量阈值(单位为AttributeRemanent-Volumeunit的取值)AttributeRemanent-VolumeunitRADIUSRemanent-Volume属性的流量单位Server-load-sharingRADIUS服务器负载分担功能的开启情况Disabled:关闭状态,服务器工作于主/从模式Enabled:开启状态,服务器工作于负载分担模式Server-load-sharingmodeRADIUS认证服务器负载分担模式Session-based:基于会话的负载分担模式Packet-based:基于报文的负载分担模式Attribute31MACformatRADIUSAttribute31中携带的MAC地址格式Stop-accounting-packetssend-force用户下线时设备强制发送RADIUS计费停止报文功能的开启情况RADIUSserverversion(vendorID2011)VendorID为2011的RADIUS服务器版本号Attribute85preferred是否优先使用通过RADIUSAttribute85下发的实时计费间隔:Enabled:优先使用Disabled:不优先使用Attribute87formatvendor-specificRADIUSAttribute87的设备厂商编号Attribute87formatcustomized用户自定义的RADIUSAttribute87格式Authenticationresponsependinglimit未收到认证服务器响应的请求报文的最大数目未配置时,显示为NotconfiguredAccountingresponsependinglimit未收到计费服务器响应的请求报文的最大数目未配置时,显示为NotconfiguredUsernameauthorization(暂不支持)设备对RADIUS服务器下发的用户名的处理机制Applied:表示接受RADIUS服务器下发的用户名Notapplied:表示不接受RADIUS服务器下发的用户名1-109字段描述All-server-blockaction当前方案中的RADIUS服务器都处于block状态后的设备处理动作:Attemptthetop-priorityserver:尝试与当前方案中高优先级的服务器建立一次连接Skipallserversinthescheme:跳过当前方案中的所有服务器1.
3.
20displayradiusserver-loadstatisticsdisplayradiusserver-loadstatistics命令用来显示RADIUS服务器的负载统计信息.
【命令】displayradiusserver-loadstatistics【视图】任意视图【缺省用户角色】network-adminnetwork-operator【使用指导】本命令用来显示上一个5秒统计周期内设备发往RADIUS认证/计费服务器的认证/计费请求统计信息和自从设备启动后记录的历史认证/计费请求统计信息,具体统计过程如下:系统从第一个用户认证请求开始,每隔5秒钟统计一次RADIUS认证/计费请求数目,并在下一个5秒内提供该统计值供查看.
只要设备发起一次用户认证请求或用户计费开始请求,对应服务器的历史负载统计数值随之加1,但后续不会因为用户下线、服务器响应或超时而减小该值.
前5秒的统计信息提供了RADIUS认证/计费服务器最近5秒的负载分担效果,管理员可以根据此统计信息调控RADIUS服务器的配置参数,比如配置顺序、权重参数等.
当没有用户触发认证/计费时,前5秒的统计数据就不能给管理员提供有效的负载分担信息了,此时管理员可以参考历史负载统计信息对RADIUS认证/计费服务器的配置做调整.
需要注意的是:只要该RADIUS认证/计费服务器的配置被某RADIUS方案所引用,则就可以通过本命令查看到它的负载统计数据.
若RADIUS认证/计费服务器的配置被删除,或主认证/计费服务器的IP、端口、VPN参数配置发生变化,则该服务器的前5秒的统计数据及历史负载统计数据将会被删除.
主备倒换后,历史统计数据不会被删除,但会不准确.
【举例】#显示RADIUS服务器的负载统计信息.
displayradiusserver-loadstatisticsAuthenticationservers:21-110IPVPNPortLast5secHistory1.
1.
1.
1N/A1812201001::1ABC1812020Accountingservers:2IPVPNPortLast5secHistory1.
1.
1.
1N/A1813201001::1ABC1813020表1-11displayradiusserver-loadstatistics命令显示信息描述表字段描述AuthenticationserversRADIUS认证服务器总个数AccountingserversRADIUS计费服务器总个数IPRADIUS认证/计费服务器的IP地址VPNRADIUS认证/计费服务器所在的VPN若未配置该参数,则显示N/APortRADIUS认证/计费服务器的UDP端口号Last5sec上一个5秒统计周期内发往RADIUS认证/计费服务器的请求数HistoryRADIUS认证/计费服务器的历史负载统计值【相关命令】resetradiusserver-loadstatistics1.
3.
21displayradiusstatisticsdisplayradiusstatistics命令用来显示RADIUS报文的统计信息.
【命令】displayradiusstatistics[server{ipipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][portport-number]{accounting|authentication}]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】ipipv4-address:指定RADIUS服务器的IPv4地址.
ipv6ipv6-address:指定RADIUS服务器的IPv6地址.
1-111vpn-instancevpn-instance-name:指定RADIUS服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示RADIUS服务器位于公网中.
portport-number:指定RADIUS服务器的UDP端口号,取值范围为1~65535,对于认证报文,缺省值为1812,对于计费报文,缺省值为1813.
accounting:表示RADIUS计费报文统计信息.
authentication:表示RADIUS认证报文统计信息.
【使用指导】可通过本命令查看设备和RADIUS服务器之间交互的报文统计信息,包括RADIUS认证报文、RADIUS计费报文、DAE报文和sessioncontrol报文的统计信息.
若不指定任何参数,则表示显示设备和所有RADIUS服务器交互的所有类型的RADIUS报文统计信息;若指定了服务器参数,则表示仅显示设备和指定RADIUS服务器之间交互的RADIUS认证报文或RADIUS计费报文统计信息.
【举例】#显示设备和所有RADIUS服务器交互的报文统计信息.
displayradiusstatisticsAuthenticationpackets:Requests:8Retransmissions:0Pendingrequests:0Packettimeouts:0Requestfailures:0Challengepackets:0Packetswithoutresponses:0Packetswithresponses:0Acceptresponses:8Rejectresponses:0Unknown-typeresponses:0Malformedresponses:0Badauthenticators:0Droppedresponses:0Accountingpackets:Requests:16Retransmissions:0Startrequests:8Realtimerequests:0Stoprequests:8Pendingrequests:0Packettimeouts:0Requestfailures:0Packetswithoutresponses:0Packetswithresponses:0Unknown-typeresponses:0Malformedresponses:0Badauthenticators:0Droppedresponses:0DAEpackets:DM:Requests:0Requestretransmissions:0ACKs:0NAKs:0Timeouts:0Malformedrequests:0Badauthenticators:0Droppedrequests:0CoA:Requests:0Requestretransmissions:0ACKs:0NAKs:0Timeouts:0Malformedrequests:0Badauthenticators:0Droppedrequests:01-112Unknown-typerequests:0Session-controlpackets:Terminate:Requests:0Successes:0Failures:0Timeouts:0Set-policy:Requests:0Successes:0Failures:0Timeouts:0Unknown-typerequests:0Malformedrequests:0Badauthenticators:0Droppedrequests:0Authenticationservers:1IP:1.
1.
1.
1Port:1812VPN:Authenticationpackets:Requests:8Retransmissions:0Pendingrequests:0Packettimeouts:0Requestfailures:0Challengepackets:0Acceptresponses:8Rejectresponses:0Unknown-typeresponses:0Malformedresponses:0Badauthenticators:0Droppedresponses:0Accountingservers:1IP:1.
1.
1.
1Port:1813VPN:Accountingpackets:Requests:16Retransmissions:0Startrequests:8Realtimerequests:0Stoprequests:8Pendingrequests:0Packettimeouts:0Requestfailures:0Unknown-typeresponses:0Malformedresponses:0Badauthenticators:0Droppedresponses:0#显示设备与IP地址为1.
1.
1.
1、端口号为1812的RADIUS服务器之间交互的认证报文统计信息.
displayradiusstatisticsserverip1.
1.
1.
1port1812authenticationRequests:8Retransmissions:0Pendingrequests:0Packettimeouts:0Requestfailures:0Challengepackets:0Acceptresponses:8Rejectresponses:0Unknown-typeresponses:0Malformedresponses:0Badauthenticators:0Droppedresponses:0表1-12displayradiusstatistics命令显示信息描述表字段描述Authenticationpackets认证报文统计信息Accountingpackets计费报文统计信息1-113字段描述SessCtrl.
Session-control报文DAEDAE报文Requests认证/计费请求报文数该计数不包含报文重传计数,但增加时PendingRequests计数也会增加Retransmissions重传的认证/计费请求报文数该计数不会叠加在Requests计数中Startrequests开始计费请求报文数Realtimerequests实时计费请求报文数Stoprequests计费停止请求报文数Pendingrequests未得到服务器响应且未超时的认证/计费请求报文数Packettimeouts超时的认证/计费请求报文数Requestfailures发送失败的认证/计费请求报文数Challengepackets认证挑战报文数Packetswithoutresponses无响应的认证/计费请求报文数当所有服务器都不响应某认证/计费请求报文时,该计数才会增加"-"表示未统计该值Packetswithresponses合法的认证/计费响应报文数"-"表示未统计该值Acceptresponses认证接受报文数Rejectresponses认证拒绝报文数Unknown-typeresponses非标准定义的认证/计费响应报文数Malformedresponses长度不合法的认证/计费响应报文数Badauthenticators验证字错误的认证/计费响应报文数验证字错误的响应报文也属于不合法的响应报文Droppedresponses因为其它原因丢弃的认证/计费响应报文数DAEpacketsDAE报文统计信息DMDM报文统计信息CoACoA报文统计信息RequestsDAE请求报文数此计数不包括重传的DAE请求报文数Requestretransmissions重传的DAE请求报文数ACKsDAE请求接受报文数NAKsDAE请求拒绝报文数1-114字段描述Session-controlpacketssessioncontrol报文统计信息Terminate强制用户下线报文统计信息Set-policy更新用户授权信息报文统计信息Requestssessioncontrol请求报文数Successessessioncontrol请求接受报文数Failuressessioncontrol请求拒绝报文数TimeoutsDAE/sessioncontrol请求超时报文数Unknown-typerequests非标准定义的DAE/sessioncontrol请求报文数Malformedrequests长度不合法的DAE/sessioncontrol请求报文数Badauthenticators验证字错误的DAE/sessioncontrol请求报文数Droppedrequests丢弃的DAE/sessioncontrol请求报文数Authenticationservers认证服务器数目Accountingservers计费服务器数目IP服务器的IP地址Port服务器的端口号VPN服务器所在的VPN若服务器属于公网,则该字段取值为空Authenticationpackets认证服务器报文统计信息Authenticationpackets计费服务器报文统计信息【相关命令】resetradiusstatistics1.
3.
22displaystop-accounting-buffer(forRADIUS)displaystop-accounting-buffer命令用来显示缓存的RADIUS停止计费请求报文的相关信息.
【命令】displaystop-accounting-buffer{radius-schemeradius-scheme-name|session-idsession-id|time-rangestart-timeend-time|user-nameuser-name}【视图】任意视图【缺省用户角色】network-admin1-115network-operator【参数】radius-schemeradius-scheme-name:表示指定RADIUS方案的停止计费请求报文.
其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串,不区分大小写.
session-idsession-id:表示指定会话的停止计费请求报文.
其中,session-id表示会话ID,为1~64个字符的字符串,不包含字母.
会话ID用于唯一标识当前的在线用户.
time-rangestart-timeend-time:表示指定时间段内发送且被缓存的停止计费请求报文.
其中,start-time为请求时间段的起始时间,end-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日).
user-nameuser-name:表示指定用户的停止计费请求报文.
其中,user-name表示用户名,为1~255个字符的字符串,区分大小写.
输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致.
【举例】#显示缓存的用户名为abc的RADIUS停止计费请求报文的相关信息.
displaystop-accounting-bufferuser-nameabcTotalentries:2SchemeSessionIDUsernameFirstsendingtimeAttemptsrad11000326232325010abc23:27:16-08/31/201519aaa1000326232326010abc23:33:01-08/31/201520表1-13displaystop-accounting-buffer命令显示信息描述表字段描述Totalentries:2共有两条记录匹配SchemeRADIUS方案名SessionID会话ID(Acct-Session-Id属性值)Username用户名Firstsendingtime首次发送停止计费请求的时间Attempts发起停止计费请求的次数【相关命令】resetstop-accounting-buffer(forRADIUS)retryretrystop-accounting(forRADIUS)stop-accounting-bufferenable(RADIUSschemeview)user-name-format(RADIUSschemeview)1.
3.
23excludeexclude命令用来配置RADIUS报文中不能携带的属性.
undoexclude命令用来取消在RADIUS报文中不能携带的属性配置.
1-116【命令】exclude{accounting|authentication}nameattribute-nameundoexclude{accounting|authentication}nameattribute-name【缺省情况】未配置RADIUS报文中不能携带的属性.
【视图】RADIUS属性测试组视图【缺省用户角色】network-admin【参数】accounting:表示RADIUS计费请求报文.
authentication:表示RADIUS认证请求报文.
nameattribute-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
这些属性为RADIUS报文中缺省携带的属性,具体包括:Service-Type、Framed-Protocol、NAS-Identifier、Acct-Delay-Time、Acct-Session-Id、Acct-Terminate-Cause和NAS-Port-Type,其中Service-Type、Framed-Protocol、NAS-Identifier,Acct-Session-Id和NAS-Port-Type为认证请求报文缺省携带的属性,NAS-Identifier、Acct-Delay-Time、Acct-Session-Id和Acct-Terminate-Cause为计费请求报文缺省携带的属性.
【使用指导】通过本命令配置的RADIUS属性将不会在属性测试过程中被携带在相应的RADIUS请求报文中发送给RADIUS服务器.
在实际测试过程中,可通过本命令排除掉RADIUS报文中携带的一些基础属性,来辅助排查认证/计费故障.
如果一个属性已经被配置为需要携带在RADIUS报文中(通过include命令),则需要先执行undoinclude命令取消该配置,才能将其配置为不携带在RADIUS报文中.
【举例】#在RADIUS属性测试组t1中,配置在RADIUS认证请求报文中不携带属性名称为Service-Type的标准属性.
system-view[Sysname]radiusattribute-test-groupt1[Sysname-radius-attr-test-grp-t1]excludeauthenticationnameService-Type【相关命令】includetest-aaa1.
3.
24includeinclude命令用来配置RADIUS报文中携带的属性.
undoinclude命令用来取消指定的属性配置.
1-117【命令】include{accounting|authentication}{nameattribute-name|[vendorvendor-id]codeattribute-code}type{binary|date|integer|interface-id|ip|ipv6|ipv6-prefix|octets|string}valueattribute-valueundoinclude{accounting|authentication}{nameattribute-name|[vendorvendor-id]codeattribute-code}【缺省情况】未配置RADIUS报文中携带的属性.
【视图】RADIUS属性测试组视图【缺省用户角色】network-admin【参数】accounting:表示RADIUS计费请求报文.
authentication:表示RADIUS认证请求报文.
nameattribute-name:标准RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
vendorvendor-id:RADIUS属性所属的设备厂商标识.
vendor-id为厂商标识号码,取值范围为1~65535.
如果不指定该参数,则表示RADIUS属性为标准属性.
其中,2011表示HUAWEI,25506表示H3C,9表示Cisco,311表示Microsoft,43表示3COM,3561表示DSL论坛,20942表示中国电信,40808表示WFA无线,2636表示Juniper,28357表示CMCC.
codeattribute-code:RADIUS属性编号,取值范围为1~255.
type:属性内容的数据类型,包括以下取值:binary:二进制类型.
date:时间类型.
integer:整数类型.
interface-id:接口ID类型.
ip:IPv4地址类型.
ipv6:IPv6地址类型.
ipv6-prefix:IPv6地址前缀类型.
octets:八进制类型.
string:字符串类型.
valueattribute-value:RADIUS属性值,取值与数据类型有关,具体如下:二进制属性值:1~256个十六进制字符,表示最多128个字节的二进制数.
时间类型属性值:0~4294967295.
整数类型属性值:0~4294967295.
接口ID类型属性值:1~ffffffffffffffff.
IPv6地址前缀类型属性值:prefix/prefix-length样式.
1-118八进制属性值:1~256个十六进制字符,表示最多128个字节的八进制数.
字符串类型属性值:1~253个字符.
【使用指导】可以通过本命令配置RADIUS报文中携带的属性以及对应的属性值,具体情况如下:对于RADIUS报文中默认携带的属性,可通过include命令来修改属性取值,并可通过undoinclude命令将该属性值恢复为缺省值.
RADIUS报文中默认携带的能够修改的属性包括:认证请求报文默认携带的属性:User-Name、CHAP-Password(User-Password)、CHAP-Challenge、NAS-IP-Address(NAS-IPv6-Address)、Service-Type、Framed-Protocol、NAS-Identifier、NAS-Port-Type、Acct-Session-Id.
计费请求报文默认携带的属性:User-Name、Acct-Status-Type、NAS-IP-Address(NAS-IPv6-Address)、NAS-Identifier、Acct-Session-Id、Acct-Delay-Time、Acct-Terminate-Cause.
对于并非RADIUS报文中默认携带的属性,可通过include命令将其添加在RADIUS报文中,并可通过undoinclude命令将该属性从RADIUS报文中删除.
为了保证测试效果的准确性,请务必保证各属性参数的匹配性,比如属性值要匹配属性类型.
保存在配置文件中的标准属性的属性名称将被转换为属性编号的形式.
如果一个属性已经被配置为不能携带在RADIUS报文中(通过exclude命令),则需要先执行undoexclude命令取消该配置,才能将其配置为携带在RADIUS报文中.
设备按照配置的先后顺序在RADIUS报文中添加RADIUS属性,由于RADIUS报文最大长度为4096个字节,如果配置了过多的RADIUS属性,则在报文长度超过最大值后,部分属性将不会被添加在报文中.
因此,请合理规划要添加的RADIUS报文属性数目.
【举例】#在RADIUS属性测试组t1中,配置在RADIUS认证请求报文中携带一个标准属性:名称为Calling-Station-Id,属性值为08-00-27-00-34-D8.
system-view[Sysname]radiusattribute-test-groupt1[Sysname-radius-attr-test-grp-t1]includeauthenticationnameCalling-Station-Idtypestringvalue08-00-27-00-34-d8【相关命令】excludetest-aaa1.
3.
25key(RADIUSschemeview)key命令用来配置RADIUS报文的共享密钥.
undokey命令用来删除RADIUS报文的共享密钥.
【命令】key{accounting|authentication}{cipher|simple}stringundokey{accounting|authentication}1-119【缺省情况】未配置RADIUS报文的共享密钥.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】accounting:指定RADIUS计费报文的共享密钥.
authentication:指定RADIUS认证报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
【使用指导】设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用.
必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致.
【举例】#在RADIUS方案radius1中,配置计费报文的共享密钥为明文ok.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]keyaccountingsimpleok【相关命令】displayradiusscheme1.
3.
26nas-ip(RADIUSschemeview)nas-ip命令用来设置RADIUS报文中携带的NAS-IP地址.
undonas-ip命令用来删除指定类型的NAS-IP地址.
【命令】nas-ip{ipv4-address|ipv6ipv6-address}undonas-ip[ipv6]【缺省情况】未设置RADIUS报文中携带的NAS-IP地址,使用系统视图下由命令radiusnas-ip指定的NAS-IP地址.
【视图】RADIUS方案视图1-120【缺省用户角色】network-admin【参数】ipv4-address:指定RADIUS报文中携带的IPv4NAS-IP地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定RADIUS报文中携带的IPv6NAS-IP地址,必须是单播地址,不能为环回地址与本地链路地址.
【使用指导】可通过本命令配置设备发送的RADIUS报文中携带的NAS-IP-Address或NAS-IPv6-Address属性内容,简称为NAS-IP地址,该地址用于标识用户接入的设备,且在RADIUS服务器上必须全局唯一.
RADIUS服务器发送的DAE请求报文中若携带该属性,则表示该请求报文要发送给指定的接入设备.
当接入设备收到DAE请求报文后,会获取报文中携带的NAS-IP地址与本地保存的NAS-IP地址进行比较,若相同则接受该请求报文并进行后续的处理,否则不对其进行处理.
接口视图、RADIUS方案视图和系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址,具体生效情况如下:接口视图下配置的NAS-IP地址(通过aaanas-ip命令)只对在本接口上线的用户有效.
RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令)只对本方案有效.
系统视图下的配置的NAS-IP地址(通过radiusnas-ip命令)对所有RADIUS方案有效.
以上各视图下的配置优先级从高到底依次为:接口视图->RADIUS方案视图->系统视图.
一个RADIUS方案视图下,最多允许指定一个IPv4NAS-IP和一个IPv6NAS-IP地址.
如果undonas-ip命令中不指定ipv6参数,则表示删除配置的IPv4NAS-IP地址.
【举例】#在RADIUS方案radius1中,设置RADIUS报文携带的IPv4NAS-IP地址为10.
1.
1.
1.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]nas-ip10.
1.
1.
1【相关命令】aaanas-ipdisplayradiusschemeradiusnas-ip1.
3.
27portport命令用来指定RADIUSDAE服务端口.
undoport命令用来恢复缺省情况.
【命令】portport-numberundoport1-121【缺省情况】RADIUSDAE服务端口为3799.
【视图】RADIUSDAE服务器视图【缺省用户角色】network-admin【参数】port-number:DAE服务器接收DAE请求消息的UDP端口,取值范围为1~65535.
【使用指导】必须保证设备上的RADIUSDAE服务端口与RADIUSDAE客户端发送DAE报文的目的UDP端口一致.
【举例】#开启RADIUSDAE服务后,指定DAE服务端口为3790.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]port3790【相关命令】clientradiusdynamic-authorserver1.
3.
28primaryaccounting(RADIUSschemeview)primaryaccounting命令用来配置主RADIUS计费服务器.
undoprimaryaccounting命令用来恢复缺省情况.
【命令】primaryaccounting{ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|vpn-instancevpn-instance-name|weightweight-value]*undoprimaryaccounting【缺省情况】未配置主RADIUS计费服务器.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】ipv4-address:主RADIUS计费服务器的IPv4地址.
1-122ipv6ipv6-address:主RADIUS计费服务器的IPv6地址.
port-number:主RADIUS计费服务器的UDP端口号,取值范围为1~65535,缺省值为1813.
key:与主RADIUS计费服务器交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
vpn-instancevpn-instance-name:主RADIUS计费服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主RADIUS计费服务器位于公网中.
weightweight-value:RADIUS服务器负载分担的权重.
weight-value表示权重值,取值范围为0~100,缺省值为0.
0表示该服务器在负载分担调度时将不被使用.
开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的计费请求报文越多.
【使用指导】配置的主计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致.
在同一个方案中指定的主计费服务器和从计费服务器的IP地址、端口号和VPN参数不能完全相同.
设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用keyaccounting命令设置的共享密钥.
若服务器位于MPLSVPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级.
当RADIUS服务器负载分担功能处于关闭状态时,如果在计费开始请求报文发送过程中修改或删除了正在使用的主计费服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;当RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信.
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地,这将造成对用户计费的不准确.
【举例】#在RADIUS方案radius1中,配置主计费服务器的IP地址为10.
110.
1.
2,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文123456TESTacct&!
.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]primaryaccounting10.
110.
1.
21813keysimple123456TESTacct&!
【相关命令】displayradiusschemekey(RADIUSschemeview)secondaryaccounting(RADIUSschemeview)server-load-sharingenablevpn-instance(RADIUSschemeview)1-1231.
3.
29primaryauthentication(RADIUSschemeview)primaryauthentication命令用来配置主RADIUS认证服务器.
undoprimaryauthentication命令用来恢复缺省情况.
【命令】primaryauthentication{ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|test-profileprofile-name|vpn-instancevpn-instance-name|weightweight-value]*undoprimaryauthentication【缺省情况】未配置RADIUS主认证服务器.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】ipv4-address:主RADIUS认证服务器的IPv4地址.
ipv6ipv6-address:主RADIUS认证服务器的IPv6地址.
port-number:主RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省值为1812.
此端口号必须与服务器提供认证服务的端口号保持一致.
key:与主RADIUS认证服务器交互的认证报文的共享密钥.
此共享密钥必须与服务器上配置的共享密钥保持一致.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
test-profileprofile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写.
vpn-instancevpn-instance-name:主RADIUS认证服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主RADIUS认证服务器位于公网中.
weightweight-value:RADIUS服务器负载分担的权重.
weight-value表示权重值,取值范围为0~100,缺省值为0.
0表示该服务器在负载分担调度时将不被使用.
开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多.
【使用指导】配置的主认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致.
在同一个方案中指定的主认证服务器和从认证服务器的IP地址、端口号和VPN参数不能完全相同.
1-124设备与主认证服务器通信时优先使用本命令设置的共享密钥,如果本命令中未设置,则使用keyauthenticaiton命令设置的共享密钥.
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能.
若服务器位于MPLSVPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高.
当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中修改或删除了正在使用的主认证服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;当RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信.
【举例】#在RADIUS方案radius1中,配置主认证服务器的IP地址为10.
110.
1.
1,使用UDP端口1812提供RADIUS认证/授权服务,认证报文的共享密钥为明文123456TESTauth&!
.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]primaryauthentication10.
110.
1.
11812keysimple123456TESTauth&!
【相关命令】displayradiusschemekey(RADIUSschemeview)radius-servertest-profilesecondaryauthentication(RADIUSschemeview)server-load-sharingenablevpn-instance(RADIUSschemeview)1.
3.
30radiusattributeextendedradiusattributeextended命令用来定义RADIUS扩展属性.
undoradiusattributeextended命令用来删除定义的RADIUS扩展属性.
【命令】radiusattributeextendedattribute-name[vendorvendor-id]codeattribute-codetype{binary|date|integer|interface-id|ip|ipv6|ipv6-prefix|octets|string}undoradiusattributeextended[attribute-name]【缺省情况】不存在自定义RADIUS扩展属性.
【视图】系统视图【缺省用户角色】network-admin1-125【参数】attribute-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写.
该名称不能与系统已支持的(包括标准的以及自定义的)RADIUS属性名称相同.
vendorvendor-id:RADIUS属性所属的设备厂商标识.
vendor-id为厂商标识号码,取值范围为1~65535.
如果不指定该参数,则表示RADIUS属性为标准属性.
其中,2011表示HUAWEI,25506表示H3C,9表示Cisco,311表示Microsoft,43表示3COM,3561表示DSL论坛,20942表示中国电信,40808表示WFA无线,2636表示Juniper,28357表示CMCC.
codeattribute-code:RADIUS属性在RADIUS属性集里的序号,取值范围为1~255.
type:属性内容的数据类型,包括以下取值:binary:二进制类型.
date:时间类型.
integer:整数类型.
interface-id:接口ID类型.
ip:IPv4地址类型.
ipv6:IPv6地址类型.
ipv6-prefix:IPv6地址前缀类型.
octets:八进制类型.
string:字符串类型.
【使用指导】当系统需要支持其他厂商的私有RADIUS属性时,可以通过radiusattributeextended命令为其定义为一个扩展属性,并通过attributeconvert命令将其映射到系统可以识别的一个已知属性.
这样,当RADIUS服务器发送给设备的RADIUS报文中携带了此类不可识别的私有属性时,设备将根据已定义的属性转换规则将其转换为可处理的属性.
同理,设备在发送RADIUS报文时也可以将自己可识别的属性转换为服务器能识别的属性.
每一个RADIUS属性有唯一的属性名称,且该属性的名称、设备厂商标识以及序号的组合必须在设备上唯一.
执行undoradiusattributeextended命令时,如果不指定属性名称,则表示删除所有已定义RADIUS扩展属性.
【举例】#配置一个RADIUS扩展属性,名称为Owner-Password,VendorID为122,属性序号为80,类型为字符串.
system-view[Sysname]radiusattributeextendedOwner-Passwordvendor122code80typestring【相关命令】attributeconvertattributerejectattributetranslate1-1261.
3.
31radiusattribute-test-groupradiusattribute-test-group命令用来创建RADIUS属性测试组,并进入RADIUS属性测试组视图.
如果指定的RADIUS属性测试组视图已经存在,则直接进入RADIUS属性测试组视图.
undoradiusattribute-test-group命令用来删除指定的RADIUS属性测试组.
【命令】radiusattribute-test-groupattr-test-group-nameundoradiusattribute-test-groupattr-test-group-name【缺省情况】不存在RADIUS属性测试组.
【视图】系统视图【缺省用户角色】network-admin【参数】attr-test-group-name:测试组名称,为1~31个字符的字符串,不区分大小写.
【使用指导】RADIUS属性测试组用于配置向RADIUS服务器发送的认证/计费请求报文中需要携带的RADIUS属性的集合.
系统支持配置多个RADIUS属性测试组.
【举例】#创建名称为t1的RADIUS属性测试组,并进入该视图.
system-view[Sysname]radiusattribute-test-groupt1[Sysname-radius-attr-test-grp-t1]【相关命令】excludeincludetest-aaa1.
3.
32radiusauthentication-requestfirstradiusauthentication-requestfirst命令用来开启RADIUS认证请求优先处理功能.
undoradiusauthentication-requestfirst命令用来关闭RADIUS认证请求优先处理功能.
【命令】radiusauthentication-requestfirstundoradiusauthentication-requestfirst1-127【缺省情况】RADIUS认证请求优先处理功能处于关闭状态,设备依次处理接入模块发起的所有RADIUS请求.
【视图】系统视图【缺省用户角色】network-admin【使用指导】接入模块发起的RADIUS请求包括RADIUS认证请求、RADIUS计费开始请求、RADIUS计费更新请求和RADIUS计费结束请求.
缺省情况下,设备依次处理各接入模块发起的所有类型的RADIUS请求.
此时,如果有大量用户下线后立即再次上线的情况发生,则会由于设备首先处理较早的停止计费请求,而导致处理后续的认证请求时,接入模块的认证请求已经超时.
认证请求超时后,用户认证失败.
为了解决这个问题,建议在有大量用户频繁上下线的组网环境中开启本功能,使得设备优先处理RADIUS认证请求,从而保证用户可以正常上线.
需要注意的是,当RADIUS服务器上以用户名标识用户,并且不允许相同用户名的用户重复认证的情况下,不建议开启此功能,否则可能会导致用户下线后再次认证失败.
当设备上有用户在线时,不建议修改此配置.
【举例】#开启RADIUS认证请求优先处理功能.
system-view[Sysname]radiusauthentication-requestfirst1.
3.
33radiusdscpradiusdscp命令用来配置RADIUS协议报文的DSCP优先级.
undoradiusdscp命令用来恢复缺省情况.
【命令】radius[ipv6]dscpdscp-valueundoradius[ipv6]dscp【缺省情况】RADIUS报文的DSCP优先级为0.
【视图】系统视图【缺省用户角色】network-admin【参数】ipv6:表示设置IPv6RADIUS报文.
若不指定该参数,则表示设置IPv4RADIUS报文.
dscp-value:RADIUS报文的DSCP优先级,取值范围为0~63.
取值越大,优先级越高.
1-128【使用指导】DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度.
通过本命令可以指定设备发送的RADIUS报文携带的DSCP优先级的取值.
【举例】#配置IPv4RADIUS报文的DSCP优先级为10.
system-view[Sysname]radiusdscp101.
3.
34radiusdynamic-authorserverradiusdynamic-authorserver命令用来开启RADIUSDAE服务,并进入RADIUSDAE服务器视图.
undoradiusdynamic-authorserver命令用来关闭RADIUSDAE服务.
【命令】radiusdynamic-authorserverundoradiusdynamic-authorserver【缺省情况】RADIUSDAE服务处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】开启RADIUSDAE服务后,设备将会监听指定的RADIUSDAE客户端发送的DAE请求消息,然后根据请求消息进行用户授权信息的修改、断开用户连接请求或关闭/重启用户接入端口.
【举例】#开启RADIUSDAE服务,并进入RADIUSDAE服务器视图.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]【相关命令】clientport1.
3.
35radiusnas-ipradiusnas-ip命令用来设置RADIUS报文中携带的NAS-IP地址.
undoradiusnas-ip命令用来删除指定的NAS-IP地址.
1-129【命令】radiusnas-ip{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]undoradiusnas-ip{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]【缺省情况】未设置RADIUS报文中携带的NAS-IP地址,设备将以发送RADIUS报文的接口的主IPv4地址或IPv6地址作为NAS-IP地址.
【视图】系统视图【缺省用户角色】network-admin【参数】ipv4-address:指定的IPv4NAS-IP地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定的IPv6NAS-IP地址,必须是单播地址,不能为环回地址与本地链路地址.
vpn-instancevpn-instance-name:指定私网NAS-IP地址所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
若不指定该参数,则表示配置的是公网NAS-IP地址.
【使用指导】可通过本命令配置设备发送的RADIUS报文中携带的NAS-IP-Address或NAS-IPv6-Address属性内容,简称为NAS-IP地址,该地址用于标识用户接入的设备,且在RADIUS服务器上必须全局唯一.
RADIUS服务器发送的DAE请求报文中若携带该属性,则表示该请求报文要发送给指定的接入设备.
当接入设备收到DAE请求报文后,会获取报文中携带的NAS-IP地址与本地保存的NAS-IP地址进行比较,若相同则接受该请求报文并进行后续的处理,否则不对其进行处理.
接口视图、RADIUS方案视图和系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址,具体情况如下:接口视图下配置的NAS-IP地址(通过aaanas-ip命令)只对在本接口上线的用户有效.
RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令)只对本RADIUS方案有效.
系统视图下的配置的NAS-IP地址(通过radiusnas-ip命令)对所有RADIUS方案有效.
以上各视图下的配置优先级从高到底依次为:接口视图->RADIUS方案视图->系统视图.
系统视图下最多允许指定16个NAS-IP地址.
其中,最多包括一个IPv4公网NAS-IP地址和一个IPv6公网NAS-IP地址,其余为私网NAS-IP地址.
对于同一个VPN,系统视图下最多允许指定一个IPv4私网NAS-IP地址和一个IPv6私网NAS-IP地址.
【举例】#设置设备发送RADIUS报文使用的IPv4NAS-IP地址为129.
10.
10.
1.
1-130system-view[Sysname]radiusnas-ip129.
10.
10.
1【相关命令】aaanas-ipnas-ip(RADIUSschemeview)1.
3.
36radiusschemeradiusscheme命令用来创建RADIUS方案,并进入RADIUS方案视图.
如果指定的RADIUS方案已经存在,则直接进入RADIUS方案视图.
undoradiusscheme命令用来删除指定的RADIUS方案.
【命令】radiusschemeradius-scheme-nameundoradiusschemeradius-scheme-name【缺省情况】不存在RADIUS方案.
【视图】系统视图【缺省用户角色】network-admin【参数】radius-scheme-name:RADIUS方案的名称,为1~32个字符的字符串,不区分大小写.
【使用指导】一个RADIUS方案可以同时被多个ISP域引用.
系统最多支持配置16个RADIUS方案.
【举例】#创建名为radius1的RADIUS方案并进入其视图.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]【相关命令】displayradiusscheme1.
3.
37radiussession-controlclientradiussession-controlclient命令用来指定sessioncontrol客户端.
undoradiussession-controlclient命令用来删除指定的sessioncontrol客户端.
1-131【命令】radiussession-controlclient{ipipv4-address|ipv6ipv6-address}[key{cipher|simple}string|vpn-instancevpn-instance-name]*undoradiussession-controlclient{all|{ipipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]}【缺省情况】未指定sessioncontrol客户端.
【视图】系统视图【缺省用户角色】network-admin【参数】ipipv4-address:sessioncontrol客户端的IPv4地址.
ipv6ipv6-address:sessioncontrol客户端的IPv6地址.
key:与sessioncontrol客户端交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
vpn-instancevpn-instance-name:sessioncontrol客户端所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果不指定本参数,则表示sessioncontrol客户端属于公网.
all:表示所有sessioncontrol客户端.
【使用指导】设备和H3C的iMCRADIUS服务器配合使用时,将作为sessioncontrol服务器端与其交互,因此需要指定sessioncontrol客户端来验证收到的sessioncontrol报文的合法性.
当设备收到服务器发送的sessioncontrol报文时,直接根据报文的源IP地址、VPN属性与已有的sessioncontrol客户端配置进行匹配,并使用匹配到的客户端共享密钥对报文进行验证.
如果报文匹配失败或设备上未配置sessioncontrol客户端,则使用已有的RADIUS方案配置进行匹配,并使用匹配到的认证服务器的共享密钥对报文进行验证.
指定的sessioncontrol客户端仅在RADIUSsessioncontrol功能处于开启状态时生效.
配置的sessioncontrol客户端参数必须与服务器的配置保持一致.
系统支持指定多个sessioncontrol客户端.
【举例】#指定一个sessioncontrol客户端IP地址为10.
110.
1.
2,共享密钥为明文12345.
system-view[Sysname]radiussession-controlclientip10.
110.
1.
2keysimple123451-132【相关命令】radiussession-controlenable1.
3.
38radiussession-controlenableradiussession-controlenable命令用来开启RADIUSsessioncontrol功能.
undoradiussession-controlenable命令用来关闭RADIUSsessioncontrol功能.
【命令】radiussession-controlenableundoradiussession-controlenable【缺省情况】RADIUSsessioncontrol功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【使用指导】H3CiMCRADIUS服务器使用sessioncontrol报文向设备发送授权信息的动态修改请求以及断开连接请求.
开启RADIUSsessioncontrol功能后,设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的sessioncontrol报文.
该功能仅能和H3CiMC的RADIUS服务器配合使用.
【举例】#开启RADIUSsessioncontrol功能.
system-view[Sysname]radiussession-controlenable1.
3.
39radiussource-ipradiussource-ip命令用来设置设备发送RADIUS报文使用的源IP地址.
undoradiussource-ip命令用来删除指定的发送RADIUS报文使用的源IP地址.
【命令】radiussource-ip{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]undoradiussource-ip{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]【缺省情况】未指定发送RADIUS报文使用的源IP地址.
【视图】系统视图1-133【缺省用户角色】network-admin【参数】ipv4-address:指定的源IPv4地址,为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定的源IPv6地址,为本机的地址,必须是单播地址,不能为环回地址与本地链路地址.
vpn-instancevpn-instance-name:指定私网源IP地址所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
若不指定该参数,则表示配置的是公网源地址.
【使用指导】RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求.
为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致.
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址.
设备按照以下顺序选择发送RADIUS报文实际使用的源IP地址:RADIUS方案视图下配置的源IP地址(通过source-ip命令).
系统视图下的配置的源IP地址(通过radiussource-ip命令).
RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令).
系统视图下的配置的源NAS-IP地址(通过radiusnas-ip命令).
发送RADIUS报文的出接口的IP地址.
系统视图下的配置的源IP地址对所有RADIUS方案有效.
设备支持MPLSL3VPN组网时,系统视图下最多允许指定16个源地址.
其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址.
对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址.
设备不支持MPLSL3VPN组网时,系统视图下最多允许指定一个IPv4源地址和一个IPv6源地址.
【举例】#设置设备发送RADIUS报文使用的源IPv4地址为129.
10.
10.
1.
system-view[Sysname]radiussource-ip129.
10.
10.
1【相关命令】nas-ip(RADIUSschemeview)radiusnas-ipsource-ip(RADIUSschemeview)1-1341.
3.
40radiusstop-accounting-buffercacheradiusstop-accounting-buffercache命令用来配置RADIUS停止计费报文的最大缓存数目.
undoradiusstop-accounting-buffercache命令用来恢复缺省配置.
【命令】radiusstop-accounting-buffercachemax-packet-numberundoradiusstop-accounting-buffercache【缺省情况】设备允许缓存的最大停止计费报文个数为256000.
【视图】系统试图【缺省用户角色】network-admin【参数】max-packet-number:最大RADIUS停止计费报文数,范围为取值范围是256~2147483647.
【使用指导】在RADIUS计费场景下,若开启了对无响应的RADIUS停止计费报文缓存功能,设备会将停止计费报文缓存在本机上,然后多次尝试向服务器发起停止计费请求.
为了限制RADIUS停止计费报文对系统资源的占用,支持对设备可缓存的停止计费报文的最大数目进行设置.
在网络连接质量不太稳定,且用户下线请求比较集中的环境中,建议提前规划并配置可缓存的报文数目,以避免用户下线业务短期内占用过多系统缓存资源.
当期望配置的缓存数目小于设备上已有的停止计费报文缓存数目时,配置将会失败.
这种情况下,可以等待缓存报文数目减小或者手动清空部分缓存报文后,再次重新配置.
通过resetstop-accounting-buffer命令清除缓存的RADIUS停止计费请求报文前,请首先通过displaystop-accounting-buffer命令了解已缓存的RADIUS停止计费请求报文状况.
【举例】#配置RADIUS停止计费报文的最大缓存数目为9000.
system-view[Sysname]radiusstop-accounting-buffercache9000【相关命令】displaystop-accounting-buffer(forRADIUS)resetstop-accounting-buffer(forRADIUS)stop-accounting-bufferenable1.
3.
41radiusstop-accounting-bufferexceedoverwrite-oldestradiusstop-accounting-bufferexceedoverwrite-oldest命令用来配置当RADIUS停止计费报文个数达到最大缓存数目时,新产生的停止计费报文覆盖缓存时间最久的停止计费报文.
1-135undoradiusstop-accounting-bufferexceedoverwrite-oldest命令用来恢复缺省情况.
【命令】radiusstop-accounting-bufferexceedoverwrite-oldestundoradiusstop-accounting-bufferexceedoverwrite-oldest【缺省情况】当RADIUS停止计费报文个数达到最大缓存数目时,新产生的停止计费报文缓存失败.
【视图】系统试图【缺省用户角色】network-admin【使用指导】当设备上已缓存的RADIUS停止计费报文数目达到最大值时,对于新产生的需要缓存的停止计费报文,有两种处理方式供选择.
一种是新增加的停止计费报文缓存失败,另一种是新增加的停止计费报文覆盖原有已缓存的停止计费报文.
如果对较早下线用户的计费准确度要求更高,建议采用第一种配置方法;如果对较晚下线的用户的计费准确度要求更高,建议采用第二种配置方法.
【举例】#当RADIUS停止计费报文个数达到最大缓存数目时,让新产生的停止计费报文覆盖缓存时间最久的停止计费报文.
system-view[Sysname]radiusstop-accounting-bufferexceedoverwrite-oldest【相关命令】radiusstop-accounting-buffercache1.
3.
42radius-servertest-profileradius-servertest-profile命令用来配置RADIUS服务器探测模板.
undoradius-servertest-profile命令用来删除指定的RADIUS服务器探测模板.
【命令】radius-servertest-profileprofile-nameusernamename[interval[second]interval]undoradius-servertest-profileprofile-name【缺省情况】不存在RADIUS服务器探测模板.
【视图】系统视图【缺省用户角色】network-admin1-136【参数】profile-name:探测模板名称,为1~31个字符的字符串,区分大小写.
usernamename:探测报文中的用户名,为1~253个字符的字符串,区分大小写.
interval:发送探测报文的周期,缺省值为60分钟.
second:单位为秒.
若不指定该参数,则表示单位为分钟.
interval:探测周期.
以分钟为单位时,取值范围为1~3600;以秒为单位时,取值范围为10~216000.
【使用指导】系统支持配置多个RADIUS服务器探测模板.
RADIUS方案视图下的RADIUS服务器配置成功引用了某探测模板后,若被引用的探测模板不存在,则暂不启动探测功能.
之后,当该探测模板被成功配置时,针对该服务器的探测过程将会立即开始.
删除一个RADIUS服务器探测模板时,引用该探测模板的所有RADIUS方案中的RADIUS服务器的探测功能也会被关闭.
【举例】#配置RADIUS服务器探测模板abc,探测报文中携带的用户名为admin,探测报文的发送间隔为10分钟.
system-view[Sysname]radius-servertest-profileabcusernameadmininterval10【相关命令】primaryauthentication(RADIUSschemeview)secondaryauthentication(RADIUSschemeview)1.
3.
43resetradiusserver-loadstatisticsresetradiusserver-loadstatistics命令用来清除所有RADIUS服务器的历史负载统计信息.
【命令】resetradiusserver-loadstatistics【视图】用户视图【缺省用户角色】network-admin【使用指导】该命令只会清除所有RADIUS认证/计费服务器的历史负载统计数据,不会清除前5秒钟负载统计数据.
【举例】#清除所有RADIUS服务器上的历史负载统计信息.
resetradiusserver-loadstatistics1-137【相关命令】displayradiusserver-loadstatistics1.
3.
44resetradiusstatisticsresetradiusstatistics命令用来清除RADIUS报文的统计信息.
【命令】resetradiusstatistics[server{ipipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name][portport-number]{accounting|authentication}]【视图】用户视图【缺省用户角色】network-admin【参数】ipipv4-address:指定RADIUS服务器的IPv4地址.
ipv6ipv6-address:指定RADIUS服务器的IPv6地址.
vpn-instancevpn-instance-name:指定RADIUS服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主RADIUS计费服务器位于公网中.
portport-number:指定RADIUS服务器的UDP端口号,取值范围为1~65535,对于认证报文,缺省值为1812,对于计费报文,缺省值为1813.
accounting:表示RADIUS计费报文统计信息.
authentication:表示RADIUS认证报文统计信息.
【使用指导】可通过本命令清除设备和RADIUS服务器之间交互的报文统计信息,包括RADIUS认证报文、RADIUS计费报文、DAE报文和sessioncontrol报文的统计信息.
若不指定任何参数,则表示清除设备和所有RADIUS服务器交互的所有RADIUS报文统计信息.
当需要精确了解某段时间内指定的RADIUS报文统计信息时,可以先使用resetradiusstatistics命令清除该统计数,然后再使用displayradiusstatistics命令精确查看当前时间段的RADIUS报文统计信息.
需要注意的是,清除设备与某个RADIUS服务器交互的RADIUS报文统计信息时,通过displayradiusstatistics命令查看到的RADIUS报文总体统计计数并不会发生改变.
【举例】#清除所有RADIUS报文统计信息.
resetradiusstatistics#清除设备与IP地址为1.
1.
1.
1、端口号为1813的RADIUS服务器之间交互的计费报文统计信息.
resetradiusstatisticsserverip1.
1.
1.
1port1813accounting1-138【相关命令】displayradiusstatistics1.
3.
45resetstop-accounting-buffer(forRADIUS)resetstop-accounting-buffer命令用来清除缓存的RADIUS停止计费请求报文.
【命令】resetstop-accounting-buffer{radius-schemeradius-scheme-name|session-idsession-id|time-rangestart-timeend-time|user-nameuser-name}【视图】用户视图【缺省用户角色】network-admin【参数】radius-schemeradius-scheme-name:表示指定RADIUS方案的停止计费响应报文.
其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串,不区分大小写.
session-idsession-id:表示指定会话的停止计费响应报文.
其中,session-id表示会话ID,为1~64个字符的字符串,不包含字母.
会话ID用于唯一标识当前的在线用户.
time-rangestart-timeend-time:表示指定时间段内发送且被缓存的停止计费请求报文.
其中,start-time为请求时间段的起始时间;end-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日).
user-nameuser-name:表示指定用户名的停止计费响应报文.
其中,user-name表示用户名,为1~255个字符的字符串,区分大小写.
输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致.
【举例】#清除缓存的用户user0001@test的RADIUS停止计费请求报文.
resetstop-accounting-bufferuser-nameuser0001@test#清除从2015年8月31日0点0分0秒到2015年8月31日23点59分59秒期间内缓存的停止计费请求报文.
resetstop-accounting-buffertime-range00:00:00-08/31/201523:59:59-08/31/2015【相关命令】displaystop-accounting-buffer(forRADIUS)stop-accounting-bufferenable(RADIUSschemeview)1.
3.
46retryretry命令用来设置发送RADIUS报文的最大尝试次数.
undoretry命令用来恢复缺省情况.
1-139【命令】retryretriesundoretry【缺省情况】发送RADIUS报文的最大尝试次数为3次.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】retries:发送RADIUS报文的最大尝试次数,取值范围为1~20.
【使用指导】由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的.
如果设备在应答超时定时器规定的时长内(由timerresponse-timeout命令配置)没有收到RADIUS服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文.
如果累计的传送次数已达到最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败.
需要注意的是:发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线.
设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败.
因此,为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间.
【举例】#在RADIUS方案radius1中,设置发送RADIUS报文的最大尝试次数为5次.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]retry5【相关命令】radiusschemetimerresponse-timeout(RADIUSschemeview)1.
3.
47retryrealtime-accountingretryrealtime-accounting命令用来设置允许发起实时计费请求的最大尝试次数.
undoretryrealtime-accounting命令用来恢复缺省情况.
1-140【命令】retryrealtime-accountingretriesundoretryrealtime-accounting【缺省情况】设备允许发起实时计费请求的最大尝试次数为5.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】retries:允许发起实时计费请求的最大尝试次数,取值范围为1~255.
【使用指导】RADIUS服务器通常通过连接超时定时器来判断用户是否在线.
如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐.
为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,尽量保持设备端与RADIUS服务器同步切断用户连接.
设备提供对实时计费请求连续无响应次数限制的设置,保证设备尽可能得在RADIUS服务器的连接超时时长内向RADIUS服务器尝试发出实时计费请求.
如果设备没有收到响应的次数超过了设定的限度,才会切断用户连接.
假设RADIUS服务器的应答超时时长(timerresponse-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为3,设备的实时计费间隔(timerrealtime-accounting命令设置)为12分钟,设备允许实时计费无响应的最大次数为5次(retryrealtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接.
【举例】#在RADIUS方案radius1中,设置允许发起实时计费请求的最大尝试次数为10.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]retryrealtime-accounting10【相关命令】retrytimerrealtime-accounting(RADIUSschemeview)timerresponse-timeout(RADIUSschemeview)1.
3.
48retrystop-accounting(RADIUSschemeview)retrystop-accounting命令用来设置发起RADIUS停止计费请求的最大尝试次数.
undoretrystop-accounting命令用来恢复缺省情况.
1-141【命令】retrystop-accountingretriesundoretrystop-accounting【缺省情况】发起RADIUS停止计费请求的最大尝试次数为500.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】retries:允许停止计费请求无响应的最大次数,取值范围为10~65535.
【使用指导】设备通过发起RADIUS停止计费请求的最大尝试次数与其它相关参数一起控制停止计费请求报文的发送.
假设存在如下配置:RADIUS服务器的应答超时时长(由timerresponse-timeout命令设置)为3秒;发送RADIUS报文的最大尝试次数(由retry命令设置)为5;开启了对无响应的RADIUS停止计费请求报文的缓存功能;设备发起停止计费请求的最大尝试次数为20(由retrystop-accounting命令设置).
则,如果设备发送停止计费请求报文后的3秒内得不到服务器响应就重新发送该报文.
如果设备发送5次之后仍然没有得到响应,会将该报文缓存在本机上,然后再发起一轮停止计费请求.
20次请求尝试均失败以后,设备将缓存的报文丢弃.
【举例】#在RADIUS方案radius1中,设置发起RADIUS停止计费请求的最大尝试次数为1000.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]retrystop-accounting1000【相关命令】displaystop-accounting-buffer(forRADIUS)retrytimerresponse-timeout(RADIUSschemeview)1.
3.
49secondaryaccounting(RADIUSschemeview)secondaryaccounting命令用来配置从RADIUS计费服务器.
undosecondaryaccounting命令用来删除指定的从RADIUS计费服务器.
1-142【命令】secondaryaccounting{ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|vpn-instancevpn-instance-name|weightweight-value]*undosecondaryaccounting[{ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]【缺省情况】未配置从RADIUS计费服务器.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】ipv4-address:从RADIUS计费服务器的IPv4地址.
ipv6ipv6-address:从RADIUS计费服务器的IPv6地址.
port-number:从RADIUS计费服务器的UDP端口号,取值范围为1~65535,缺省值为1813.
key:与从RADIUS计费服务器交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
vpn-instancevpn-instance-name:从RADIUS计费服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从RADIUS计费服务器位于公网中.
weightweight-value:RADIUS服务器负载分担的权重.
weight-value表示权重值,取值范围为0~100,缺省值为0.
0表示该服务器在负载分担调度时将不被使用.
开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的计费请求报文越多.
【使用指导】配置的从计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致.
每个RADIUS方案中最多支持配置16个从RADIUS计费服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
在同一个方案中指定的主计费服务器和从计费服务器的IP地址、端口号和VPN参数不能完全相同,并且各从计费服务器的IP地址、端口号和VPN参数也不能完全相同.
设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令keyaccounting命令设置的共享密钥.
若服务器位于MPLSVPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高.
1-143当RADIUS服务器负载分担功能处于关闭状态时,如果在计费开始请求报文发送过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,设备将仅与发起计费开始请求的服务器通信.
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地.
【举例】#在RADIUS方案radius1中,配置从计费服务器的IP地址为10.
110.
1.
1,使用UDP端口1813提供RADIUS计费服务.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]secondaryaccounting10.
110.
1.
11813#在RADIUS方案radius2中,配置两个从计费服务器,IP地址分别为10.
110.
1.
1、10.
110.
1.
2,且均使用UDP端口1813提供RADIUS计费服务.
system-view[Sysname]radiusschemeradius2[Sysname-radius-radius2]secondaryaccounting10.
110.
1.
11813[Sysname-radius-radius2]secondaryaccounting10.
110.
1.
21813【相关命令】displayradiusschemekey(RADIUSschemeview)primaryaccountingvpn-instance(RADIUSschemeview)1.
3.
50secondaryauthentication(RADIUSschemeview)secondaryauthentication命令用来配置从RADIUS认证服务器.
undosecondaryauthentication命令用来删除指定的从RADIUS认证服务器.
【命令】secondaryauthentication{ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|test-profileprofile-name|vpn-instancevpn-instance-name|weightweight-value]*undosecondaryauthentication[{ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]【缺省情况】未配置从RADIUS认证服务器.
【视图】RADIUS方案视图【缺省用户角色】network-admin1-144【参数】ipv4-address:从RADIUS认证服务器的IPv4地址.
ipv6ipv6-address:从RADIUS认证服务器的IPv6地址.
port-number:从RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省值为1812.
key:与从RADIUS认证服务器交互的认证报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串.
test-profileprofile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写.
vpn-instancevpn-instance-name:从RADIUS认证服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从RADIUS认证服务器位于公网中.
weightweight-value:RADIUS服务器负载分担的权重.
weight-value表示权重值,取值范围为0~100,缺省值为0.
0表示该服务器在负载分担调度时将不被使用.
开启服务器负载分担功能后,该参数才能生效,且权重值越大的服务器可以处理的认证请求报文越多.
【使用指导】配置的从认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致.
每个RADIUS方案中最多支持配置16个从RADIUS认证服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能.
在同一个方案中指定的主认证服务器和从认证服务器的IP地址、端口号和VPN参数不能完全相同,并且各从认证服务器的IP地址、端口号和VPN参数也不能完全相同.
设备与从认证服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令keyauthentication命令设置的共享密钥.
若服务器位于MPLSVPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高.
当RADIUS服务器负载分担功能处于关闭状态时,如果在认证过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;在RADIUS服务器负载分担功能处于开启状态时,如果在认证过程中修改或删除了正在使用的认证服务器配置,则设备在与当前服务器通信超时后,将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信.
【举例】#在RADIUS方案radius1中,配置从认证服务器的IP地址为10.
110.
1.
2,使用UDP端口1812提供RADIUS认证/授权服务.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]secondaryauthentication10.
110.
1.
218121-145#在RADIUS方案radius2中,配置两个从认证服务器,IP地址分别为10.
110.
1.
1、10.
110.
1.
2,且均使用UDP端口1812提供RADIUS认证/授权服务.
system-view[Sysname]radiusschemeradius2[Sysname-radius-radius2]secondaryauthentication10.
110.
1.
11812[Sysname-radius-radius2]secondaryauthentication10.
110.
1.
21812【相关命令】displayradiusschemekey(RADIUSschemeview)primaryauthentication(RADIUSschemeview)radius-servertest-profilevpn-instance(RADIUSschemeview)1.
3.
51server-block-action(RADIUSschemeview)server-block-action命令用来设置RADIUS服务器都处于block状态后的请求动作.
undoserver-block-action命令用来恢复缺省情况.
【命令】server-block-action{attempt|skip}undoserver-block-action【缺省情况】所有RADIUS服务器都处于block状态后的请求动作为attempt.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】attempt:Attempt方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/计费请求时,仍然会尝试向当前方案中的一个认证/计费服务器发送认证/计费请求.
skip:Skip方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/计费请求时,会跳过当前方案中的所有服务器,直接使用为该用户配置的下一个认证/计费方法去处理这个请求.
【使用指导】Attempt方式下,由于该方案下的所有RADIUS服务器都处于block状态后,设备仍会首先尝试与高优先级的服务器建立连接,与该服务器建立连接失败后,才会切换到配置的下一个认证/计费方法,此方法保证了设备尽量优先使用第一个认证/计费方法处理用户请求,但同时会增加请求的响应时间.
因此,对于对AAA响应时间要求比较高的场合,建议选择Skip方式.
设备处理一个认证/计费请求的过程中,如果已经跳过了当前方案中的所有服务器,则后续就算该方案中有服务器状态切换回active,设备也不会再使用该方案来处理它.
1-146【举例】#在RADIUS方案radius1中,设置RADIUS服务器都处于block状态后的动作为跳过当前方案中的所有服务器.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]server-block-actionskip【相关命令】displayradiusschemeretrytimerresponse-timeout(RADIUSschemeview)1.
3.
52server-load-sharingenableserver-load-sharingenable命令用来开启RADIUS服务器负载分担功能.
undoserver-load-sharingenable命令用来关闭RADIUS服务器负载分担功能.
【命令】server-load-sharingenableundoserver-load-sharingenable【缺省情况】RADIUS服务器负载分担功能处于关闭状态.
【视图】RADIUS方案视图【缺省用户角色】network-admin【使用指导】缺省情况下,RADIUS服务器负载分担功能处于关闭状态,RADIUS服务器的调度采用主/从模式.
主/从模式下,设备优先选取状态为active的主服务器进行交互,若主服务器不可达则尝试与从服务器交互.
设备尝试与从服务器交互时,按照从服务器的配置顺序依次选择,先配置的服务器将优先被选取.
在主/从模式下,设备选择服务器的逻辑比较单一.
如果RADIUS方案中的主服务器或者某一配置顺序靠前的从服务器始终可达,则该服务器将独立承载该方案下所有用户的AAA业务.
在大用户量下,这类服务器的负荷过重,将会影响处理用户上线的整体性能.
RADIUS方案中开启服务器负载分担功能后,设备将根据当前各服务器承载的用户负荷调度合适的服务器发送认证/计费请求.
考虑到各服务器的性能可能存在差异,设备支持管理员配置服务器时为各个服务器指定适应其性能的权重值(由weight关键字指定),权重值较大的服务器具备较大的被选取可能性.
设备在处理用户认证/计费请求时,将综合各个服务器的权重值及当前用户负荷情况,按比例进行用户负荷分配并选择要交互的服务器.
需要注意的是,负载分担模式下,某台计费服务器开始对某用户计费后,该用户后续计费请求报文均会发往同一计费服务器.
如果该计费服务器不可达,则直接返回计费失败.
1-147【举例】#在RADIUS方案radius1中,开启RADIUS服务器负载分担功能.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]server-load-sharingenable【相关命令】displayradiusserver-loadstatisticsprimaryauthentication(RADIUSschemeview)primaryaccounting(RADIUSschemeview)secondaryauthentication(RADIUSschemeview)secondaryaccounting(RADIUSschemeview)server-load-sharingmode1.
3.
53server-load-sharingmodeserver-load-sharingmode命令用来配置RADIUS认证服务器的负载分担方式.
undoserver-load-sharingmode命令用来恢复缺省情况.
【命令】server-load-sharingmode{packet-based|session-based}undoserver-load-sharingmode【缺省情况】RADIUS认证服务器的负载分担方式为session-based.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】packet-based:表示认证基于报文进行负载分担.
session-based:表示认证基于会话进行负载分担.
【使用指导】RADIUS服务器负载分担功能处于开启状态时,设备支持两种负载分担方式选择向该方案中的哪个认证服务器发送认证请求报文:基于会话负载分担:根据各认证服务器当前承载的并发会话数,基于权重比例调度服务器.
每当设备向某服务器发送一个认证请求报文后,该服务器承载的会话数增加一;若设备收到该服务器的认证响应报文,则会将它承载的会话数减去一.
因此,该方式适用于并发用户数大且各服务器性能较为均衡的情况.
基于报文负载分担:根据各认证服务器已承载的请求报文数,基于权重比例调度服务器.
每当设备向某服务器发送一个认证请求报文后,该服务器承载的请求报文数增加一;若设备重1-148启,则所有服务器承载的请求报文数将被清零.
这种方式可以满足希望用户认证报文均匀分配到各服务器上,避免某一个服务器一直处于工作状态的需求.
该命令只有在RADIUS服务器负载分担功能开启状态下有效,并且只用来控制认证负载分担的算法.
【举例】#在RADIUS方案radius1中,配置RADIUS认证服务器采用基于报文的负载分担方式.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]server-load-sharingmodepacket-based【相关命令】server-load-sharingenable1.
3.
54snmp-agenttrapenableradiussnmp-agenttrapenableradius命令用来开启RADIUS告警功能.
undosnmp-agenttrapenableradius命令用来关闭指定的RADIUS告警功能.
【命令】snmp-agenttrapenableradius[accounting-server-down|accounting-server-up|authentication-error-threshold|authentication-server-down|authentication-server-up]*undosnmp-agenttrapenableradius[accounting-server-down|accounting-server-up|authentication-error-threshold|authentication-server-down|authentication-server-up]*【缺省情况】所有类型的RADIUS告警功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-admin【参数】accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息.
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息.
authentication-error-threshold:表示认证失败次数超过阈值时发送告警信息.
该阈值为认证失败次数占认证请求总数的百分比数值,目前仅能通过MIB方式配置,取值范围为1~100,缺省为30.
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息.
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息.
【使用指导】不指定任何参数时,表示开启或关闭所有类型的RADIUS告警功能.
1-149开启RADIUS服务器告警功能后,系统将会生成以下几种告警信息:RADIUS服务器不可达的告警:当NAS向RADIUS服务器发送计费或认证请求没有收到响应时,会重传请求,当重传次数达到最大传送次数时仍然没有收到响应时,则发送该告警信息.
RADIUS服务器可达的告警:当timerquiet定时器设定的时间到达后,NAS将服务器的状态置为激活状态并发送该告警信息.
认证失败次数超过阈值的告警:当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送该告警信息.
【举例】#开启RADIUS计费服务器可达状态变为down时的告警功能.
system-view[Sysname]snmp-agenttrapenableradiusaccounting-server-down1.
3.
55source-ipsource-ip命令用来设置设备发送RADIUS报文使用的源IP地址.
undosource-ip命令用来删除指定类型的发送RADIUS报文使用的源IP地址.
【命令】source-ip{ipv4-address|ipv6ipv6-address}undosource-ip[ipv6]【缺省情况】未指定设备发送RADIUS报文使用的源IP地址,使用系统视图下由命令radiussource-ip指定的源IP地址.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】ipv4-address:源IPv4地址,为本机地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:源IPv6地址,为本机地址,且必须是单播地址,不能为环回地址与本地链路地址.
【使用指导】RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求.
因此,为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致.
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址.
设备按照以下顺序选择发送RADIUS报文实际使用的源IP地址:1-150RADIUS方案视图下配置的源IP地址(通过source-ip命令).
系统视图下的配置的源IP地址(通过radiussource-ip命令).
RADIUS方案视图下配置的NAS-IP地址(通过nas-ip命令).
系统视图下的配置的源NAS-IP地址(通过radiusnas-ip命令).
发送RADIUS报文的出接口的IP地址.
一个RADIUS方案视图下,最多允许指定一个IPv4源地址和一个IPv6源地址.
如果undosource-ip命令中不指定ipv6参数,则表示删除配置的发送RADIUS报文使用的源IPv4地址.
【举例】#在RADIUS方案radius1中,设置设备发送RADIUS报文使用的源IPv4地址为10.
1.
1.
1.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]source-ip10.
1.
1.
1【相关命令】displayradiusschemenas-ip(RADIUSschemeview)radiusnas-ipradiussource-ip1.
3.
56stateprimarystateprimary命令用来设置主RADIUS服务器的状态.
【命令】stateprimary{accounting|authentication}{active|block}【缺省情况】主RADIUS服务器状态为active.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】accounting:主RADIUS计费服务器.
authentication:主RADIUS认证服务器.
active:正常工作状态.
block:通信中断状态.
【使用指导】当RADIUS服务器负载分担功能处于关闭状态时,每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态1-151置为block,同时启动主服务器的timerquiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器.
在timerquiet定时器设定的时间到达之后,主服务器状态将由block恢复为active.
若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active.
当RADIUS服务器负载分担功能处于开启状态时,若当前存在状态为active的认证/计费服务器,则设备仅根据当前各服务器承载的用户负荷来选择与之通信的服务器.
认证服务器的状态会影响设备对该服务器可达性探测功能的开启.
当指定的服务器状态为active,且该服务器通过radius-servertest-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能.
当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能.
【举例】#在RADIUS方案radius1中,设置主认证服务器的状态为block.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]stateprimaryauthenticationblock【相关命令】displayradiusschemeradius-servertest-profileserver-load-sharingenablestatesecondary1.
3.
57statesecondarystatesecondary命令用来设置从RADIUS服务器的状态.
【命令】statesecondary{accounting|authentication}[{ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]{active|block}【缺省情况】从RADIUS服务器状态为active.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】accounting:从RADIUS计费服务器.
authentication:从RADIUS认证服务器.
ipv4-address:从RADIUS服务器的IPv4地址.
1-152ipv6ipv6-address:从RADIUS服务器的IPv6地址.
port-number:从RADIUS服务器的UDP端口号,取值范围为1~65535,从RADIUS计费服务器的缺省UDP端口号为1813,从RADIUS认证服务器的缺省UDP端口号为1812.
vpn-instancevpn-instance-name:从RADIUS服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例名称,为1~31个字符的字符串,区分大小写.
active:正常工作状态.
block:通信中断状态.
【使用指导】如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从认证服务器或从计费服务器的状态.
当RADIUS服务器负载分担功能处于关闭状态时,如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timerquiet定时器,并继续查找下一个状态为active的从服务器.
在timerquiet定时器设定的时间到达之后,从服务器状态将由block恢复为active.
若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active.
如果所有已配置的从服务器都不可达,则本次认证或计费失败.
当RADIUS服务器负载分担功能处于开启状态时,若当前存在状态为active的认证/计费服务器,则设备仅根据当前各服务器承载的用户负荷来选择与之通信的服务器.
认证服务器的状态会影响设备对该服务器可达性探测功能的开启.
当指定的服务器状态为active,且该服务器通过radius-servertest-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能.
当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能.
【举例】#在RADIUS方案radius1中,设置从认证服务器的状态设置为block.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]statesecondaryauthenticationblock【相关命令】displayradiusschemeradius-servertest-profileserver-load-sharingenablestateprimary1.
3.
58stop-accounting-bufferenable(RADIUSschemeview)stop-accounting-bufferenable命令用来开启对无响应的RADIUS停止计费请求报文的缓存功能.
undostop-accounting-bufferenable命令用来关闭对无响应的RADIUS停止计费请求报文的缓存功能.
1-153【命令】stop-accounting-bufferenableundostop-accounting-bufferenable【缺省情况】设备缓存未得到响应的RADIUS停止计费请求报文.
【视图】RADIUS方案视图【缺省用户角色】network-admin【使用指导】设备在发送停止计费请求报文而RADIUS服务器没有响应时,会尝试重传该报文,最大尝试次数由retry命令设置.
如果设备发送该RADIUS报文的最大尝试次数超过最大值后,仍然没有得到响应,则该功能处于开启状态的情况下设备会缓存该报文,然后再发起一次请求,若仍然未得到响应,则重复上述过程,一定次数(由retrystop-accounting命令设置)之后,设备将其丢弃.
如果RADIUS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费请求报文.
【举例】#开启对无响应的RADIUS停止计费请求报文的缓存功能.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]stop-accounting-bufferenable【相关命令】displaystop-accounting-buffer(forRADIUS)resetstop-accounting-buffer(forRADIUS)1.
3.
59stop-accounting-packetsend-forcestop-accounting-packetsend-force命令用来配置用户下线时设备强制发送RADIUS计费停止报文.
undostop-accounting-packetsend-force命令用来恢复缺省情况.
【命令】stop-accounting-packetsend-forceundostop-accounting-packetsend-force【缺省情况】用户下线时设备不会强制发送计费停止报文.
【视图】RADIUS方案视图【缺省用户角色】network-admin1-154【使用指导】通常,RADIUS服务器在收到用户的计费开始报文后才会生成用户表项,但有一些RADIUS服务器在用户认证成功后会立即生成用户表项.
如果设备使用该类RADIUS服务器进行认证/授权/计费,则在用户认证后,因为一些原因(比如授权失败)并未发送计费开始报文,则在该用户下线时设备也不会发送RADIUS计费停止报文,就会导致RADIUS服务器上该用户表项不能被及时释放,形成服务器和设备上用户信息不一致的问题.
为了解决这个问题,建议开启本功能.
开启本功能后,只要用户使用RADIUS服务器进行计费,且设备未向RADIUS服务器发送计费开始报文,或者设备未能收到计费开始响应报文,则在用户下线时设备会强制发送一个RADIUS计费停止报文给服务器,使得服务器收到此报文后及时释放用户表项.
【举例】#在RADIUS方案radius1中,配置用户下线时设备强制发送RADIUS计费停止报文.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]stop-accounting-packetsend-force【相关命令】displayradiusscheme1.
3.
60test-aaatest-aaa命令用来发起一次AAA请求测试.
【命令】test-aaauseruser-namepasswordpasswordradius-schemeradius-scheme-name[radius-server{ipv4-address|ipv6ipv6-address}port-number[vpn-instancevpn-instance-name]][chap|pap][attribute-test-groupattr-test-group-name][trace]【视图】用户视图【缺省用户角色】network-admin【参数】useruser-name:待测试的用户名,为1~80个字符的字符串,区分大小写.
用户名中可以携带域名,形式为"纯用户名@域名",其中纯用户名区分大小写,域名不区分大小写.
passwordpassword:待测试用户的明文密码,为1~63个字符的字符串,区分大小写.
radius-schemeradius-scheme-name:RADIUS方案名称,为1~32个字符的字符串,不区分大小写.
radius-server:指定具体的RADIUS服务器.
ipv4-address:RADIUS服务器的IPv4地址.
ipv6ipv6-address:RADIUS服务器的IPv6地址.
port-number:RADIUS服务器的UDP端口号,取值范围为1~65535.
1-155vpn-instancevpn-instance-name:RADIUS服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示待探测RADIUS服务器位于公网中.
chap:采用CHAP认证方式.
该方式也是缺省认证方式.
pap:采用PAP认证方式.
attribute-test-groupattr-test-group-name:RADIUS属性测试组的名称,为1~31个字符的字符串,不区分大小写.
trace:显示详细的RADIUS报文交互信息.
若不指定该参数,则表示仅显示报文收发结果及最终的测试结果.
【使用指导】本命令主要用于排查设备与AAA服务器交互时的故障原因,目前仅支持对RADIUS服务器的测试.
当故障发生时,执行本命令发起一次RADIUS请求测试,通过查看打印出的认证/计费请求结果以及报文交互信息,有利于快速定位故障发生的关键环节,以及及时排查影响认证/计费结果的RADIUS属性.
可以在执行本命令时指定RADIUS属性测试组,指定的测试组中定义了RADIUS请求报文中要携带的属性.
如果本命令中未指定RADIUS属性测试组或指定的RADIUS属性测试组不存在,则测试过程中发送的RADIUS请求报文中将会携带一些缺省属性,缺省属性的介绍请参见AAA配置手册.
由于测试期间不能保证设备与AAA服务器可以正常通信,因此不建议同时允许用户进行正常的上线、下线操作.
测试过程中,如果引用的RADIUS方案配置发生变化,则仅在下次测试中生效,并不影响本次探测.
仅允许在同一时间内存在一个测试过程,下一次测试只能在当前测试过程完成后执行.
【举例】#发起一次AAA请求测试,使用的测试用户名为user1,密码为123456,RADIUS方案名为test,同时打印详细的RADIUS报文交互信息.
test-aaauseruser1password123456radius-schemetestchaptraceSentaRADIUSauthenticationrequest.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1812Packettype:AuthenticationrequestPacketlength:118bytesPacketID:0Attributelist:[User-Name(1)][6][user1][CHAP-Password(3)][19][NAS-IP-Address(4)][6][192.
168.
1.
166][Service-Type(6)][6][2][Framed][Framed-Protocol(7)][6][1][PPP][NAS-Identifier(32)][5][Sysname][Acct-Session-Id(44)][40][00000008201707241008280000000c16100171][CHAP-Challenge(60)][18]1-156[NAS-Port-Type(61)][6][15][Ethernet]ReceivedaRADIUSauthenticationresponse.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1812Packettype:Access-RejectPacketlength:20bytesPacketID:0Reply-Message:"E63032:Incorrectpassword.
Youcanretry9times.
"SentaRADIUSstart-accountingrequest.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1813Packettype:Start-accountingrequestPacketlength:63bytesPacketID:1Attributelist:[User-Name(1)][6][user1][Acct-Status-Type(40)][6][1][Start][NAS-IP-Address(4)][6][192.
168.
1.
166][NAS-Identifier(32)][5][Sysname][Acct-Session-Id(44)][40][00000008201707241008280000000c16100171]ReceivedaRADIUSstart-accountingresponse.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1813Packettype:Start-accountingresponsePacketlength:20bytesPacketID:1SentaRADIUSstop-accountingrequest.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1813Packettype:Stop-accountingrequestPacketlength:91bytesPacketID:1Attributelist:[User-Name(1)][6][user1][Acct-Status-Type(40)][6][2][Stop][NAS-IP-Address(4)][6][192.
168.
1.
166]1-157[NAS-Identifier(32)][5][Sysname][Acct-Delay-Time(41)][6][0][Acct-Session-Id(44)][40][00000008201707241008280000000c16100171][Acct-Terminate-Cause(49)][6][1][UserRequest]ReceivedaRADIUSstop-accountingresponse.
ServerIP:192.
168.
1.
110SourceIP:192.
168.
1.
166VPNinstance:N/AServerport:1813Packettype:Stop-accountingresponsePacketlength:20bytesPacketID:1Testresult:Failed#发起一次AAA请求测试,使用的测试用户名为user1,密码为123456,RADIUS方案名为test,指定探测test下认证服务器192.
168.
1.
110,且不打印详细的RADIUS报文交互信息.
test-aaauseruser1password123456radius-schemetestradius-server192.
168.
1.
1101812SentaRADIUSauthenticationrequest.
ReceivedaRADIUSauthenticationresponse.
Testresult:Successful表1-14test-aaa命令显示信息描述表字段描述ServerIP服务器的IP地址SourceIPRADIUS报文源IP地址VPNinstanceRADIUS认证/计费服务器所在的VPN,服务器位于公网时,显示为N/AServerportRADIUS认证/计费服务器的UDP端口号PackettypeRADIUS报文类型:Authenticationrequest:认证请求报文Access-Accept:认证接受报文Access-Reject:认证拒绝报文Start-accountingrequest:开始计费请求报文Start-accountingresponse:开始计费响应报文Stop-accountingrequest:停止计费请求报文Stop-accountingresponse:停止计费响应报文Packetlength报文总长度,单位为字节PacketID报文ID,用于匹配响应报文和对应的请求报文1-158[attribute-name(code)][length][value][description]RADIUS属性信息:attribute-name:属性名称code:属性编号length:属性值的长度,单位为字节value:属性值description:特殊属性值的描述信息SentaRADIUSauthenticationrequest.
成功发送了一个认证请求报文FailedtoreceiveaRADIUSauthenticationresponse.
认证请求已超时,未收到应答ReceivedaRADIUSauthenticationresponse.
接收到一个认证响应报文SentaRADIUSstart-accountingrequest.
成功发送了一个计费开始请求报文FailedtoreceiveaRADIUSstart-accountingresponse.
计费开始请求已超时,未收到应答ReceivedaRADIUSstart-accountingresponse.
接收到一个计费开始请求报文SentaRADIUSstop-accountingrequest.
成功发送了一个计费停止请求报文FailedtoreceiveaRADIUSstop-accountingresponse.
计费停止请求已超时,未收到应答ReceivedaRADIUSstop-accountingresponse.
接收到一个计费停止请求报文Reply-Message:RADIUS服务器拒绝此认证请求,并下发提示信息Theauthenticationserverisnotconfigured.
指定的RADIUS方案中未配置要探测的认证服务器Theaccountingserverisnotconfigured.
指定的RADIUS方案中未配置要探测的计费服务器Testresult测试结果:Successful:当前用户的AAA测试成功Failed:当前用户的AAA测试失败(只要有一个请求报文测试失败,即为失败)【相关命令】radiusattribute-test-groupradiusscheme1.
3.
61thresholdremanent-volumethresholdremanent-volume命令用来配置用户剩余流量阈值.
undothresholdremanent-volume命令用来恢复缺省情况.
【命令】thresholdremanent-volumethreshold-valueundothresholdremanent-volume【缺省情况】用户剩余流量阈值为0.
1-159【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】threshold-value:剩余流量阈值,取值范围为0~4294967295,单位由attributeremanent-volumeunit命令决定.
【使用指导】用户认证上线后,若RADIUS服务器分多次向用户授权下发流量配额,则每当用户可用流量达到指定的剩余流量阈值时,设备会立即向服务器为该用户申请新的流量配额.
例如,RADIUS服务器上设置某用户可用的总流量为50M,且每次向用户下发的流量配额为10M,同时设备上配置的剩余流量阈值为2M,则当该用户剩余流量为2M时,设备会向RADIUS服务器发起实时计费请求来获取新的配额.
之后,RADIUS服务器服务器再次向用户授权下发10M的配额,此过程循环进行,直到用户耗尽所有可用流量配额.
【举例】#在RADIUS方案radius1中,配置用户剩余流量阈值为2048兆字节.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]thresholdremanent-volume2048[Sysname-radius-radius1]attributeremanent-volumeunitmega-byte【相关命令】attributeremanent-volumeunitdisplayradiusscheme1.
3.
62timerquiet(RADIUSschemeview)timerquiet命令用来设置服务器恢复激活状态的时间.
undotimerquiet命令用来恢复缺省情况.
【命令】timerquietminutesundotimerquiet【缺省情况】服务器恢复激活状态的时间为5分钟.
【视图】RADIUS方案视图【缺省用户角色】network-admin1-160【参数】minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟.
【使用指导】建议合理设置服务器恢复激活状态的时间:如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题.
如果服务器恢复激活状态时间设置的过长,当服务器恢复可达后,设备不能及时与其进行通信,会降低对用户进行认证或计费的效率.
【举例】#在RADIUS方案radius1中,配置服务器恢复激活状态的时间为10分钟.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]timerquiet10【相关命令】displayradiusscheme1.
3.
63timerrealtime-accounting(RADIUSschemeview)timerrealtime-accounting命令用来设置实时计费的时间间隔.
undotimerrealtime-accounting命令用来恢复缺省情况.
【命令】timerrealtime-accountinginterval[second]undotimerrealtime-accounting【缺省情况】实时计费的时间间隔为12分钟.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】interval:实时计费的时间间隔,取值范围为0~71582.
second:表示实时计费的时间间隔以秒为单位,缺省以分钟为单位.
【使用指导】为了对用户实施实时计费,有必要设置实时计费的时间间隔.
不同的取值的处理有所不同:若实时计费间隔不为0,则每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息.
1-161若实时计费间隔设置为0,且服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息.
实时计费间隔的取值小,计费准确性高,但对设备和RADIUS服务器的性能要求就高.
建议实时计费间隔取值大于发送RADIUS报文的最大尝试次数与RADIUS服务器响应超时时间的乘积.
表1-15实时计费间隔与用户量之间的推荐比例关系用户数实时计费间隔(分钟)1~993100~4996500~99912大于等于1000大于等于15不同情况下修改的实时计费间隔,对于已在线用户的生效情况有所不同:将实时计费间隔从非0有效值改为0,或者从0修改为非0有效值后,已在线用户会依然采用原有取值,修改后的取值对其不生效.
将实时计费间隔从某非0有效值修改为其它非0有效值后,已在线用户将会采用修改后的取值.
对于未进行RADIUS认证和授权,仅进行RADIUS计费的用户,只能使用计费方案下设置的实时计费间隔,不会使用RADIUS服务器设置的实时计费间隔.
需要注意的是,无论实时计费间隔取值为多少,对于双栈用户,设备缺省会在用户申请到IPv4地址时为其发送一个计费开始报文,并在随后用户申请到IPv6地址/PD时再发送一个计费更新报文,反之亦然.
对于未进行RADIUS认证和授权,仅进行RADIUS计费的用户,只能使用计费方案下设置的实时计费间隔,不会使用RADIUS服务器设置的实时计费间隔.
【举例】#在RADIUS方案radius1中,设置实时计费的时间间隔为51分钟.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]timerrealtime-accounting51【相关命令】retryretryrealtime-accountingtimerresponse-timeout(RADIUSschemeview)1.
3.
64timerresponse-timeout(RADIUSschemeview)timerresponse-timeout命令用来设置RADIUS服务器响应超时时间.
undotimerresponse-timeout命令用来恢复缺省情况.
1-162【命令】timerresponse-timeoutsecondsundotimerresponse-timeout【缺省情况】RADIUS服务器响应超时时间为3秒.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒.
【使用指导】如果在RADIUS请求报文传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时间,本命令用于调整这个时间.
需要注意的是:发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线.
设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败.
因此,为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间.
【举例】#在RADIUS方案radius1中,设置服务器响应超时时间设置为5秒.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]timerresponse-timeout5【相关命令】displayradiusschemeretry1.
3.
65trustiptrustip命令用来配置免校验RADIUSDAE客户端的IP地址.
undotrustip命令用来删除指定的免校验RADIUSDAE客户端的IP地址.
【命令】trustipipv4-address[vpn-instancevpn-instance-name]1-163undotrustipipv4-address[vpn-instancevpn-instance-name]【缺省情况】未配置免校验RADIUSDAE客户端的IP地址.
【视图】RADIUSDAE服务器视图【缺省用户角色】network-admin【参数】ipv4-address:免校验的RADIUSDAE客户端IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
vpn-instancevpn-instance-name:RADIUSDAE客户端所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示RADIUSDAE客户端位于公网中.
【使用指导】在DAE代理组网环境中,作为DAE代理的设备收到DAE请求报文后,必须校验报文的合法性,校验合法的报文才会被转发给RADIUSDAE服务器.
如果RADIUSDAE服务器信任DAE代理转发的DAE请求报文,则可以通过配置免校验DAE客户端的IP地址来决定不对哪些报文进行重复校验.
当RADIUSDAE服务器收到DAE请求报文后,如果报文的源地址在配置的免校验DAE客户端的IP地址列表中,则不校验该报文,否则正常校验.
通过多次执行本命令可配置多个免校验的RADIUSDAE客户端的IP地址.
【举例】#配置免校验DAE客户端的IP地址10.
110.
1.
2.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]trustip10.
110.
1.
2【相关命令】trustipv61.
3.
66trustipv6trustipv6命令用来配置免校验RADIUSDAE客户端的IPv6地址.
undotrustipv6命令用来删除指定的免校验RADIUSDAE客户端的IPv6地址.
【命令】trustipv6ipv6-address[vpn-instancevpn-instance-name]undotrustipv6ipv6-address[vpn-instancevpn-instance-name]【缺省情况】未配置免校验RADIUSDAE客户端的IPv6地址.
1-164【视图】RADIUSDAE服务器视图【缺省用户角色】network-admin【参数】ipv6-address:免校验的RADIUSDAE客户端IPv6地址,必须是单播地址,不能为环回地址与本地链路地址.
vpn-instancevpn-instance-name:RADIUSDAE客户端所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示RADIUSDAE客户端位于公网中.
【使用指导】在DAE代理组网环境中,作为DAE代理的设备收到DAE请求报文后,必须校验报文的合法性,校验合法的报文才会被转发给RADIUSDAE服务器.
如果RADIUSDAE服务器信任DAE代理转发的DAE请求报文,则可以通过配置免校验DAE客户端的IP地址来决定不对哪些报文进行重复校验.
当RADIUSDAE服务器收到DAE请求报文后,如果报文的源地址在配置的免校验DAE客户端的IP地址列表中,则不校验该报文,否则正常校验.
通过多次执行本命令可配置多个免校验的RADIUSDAE客户端的IPv6地址.
【举例】#配置免校验DAE客户端的IPv6地址10:110::1:2.
system-view[Sysname]radiusdynamic-authorserver[Sysname-radius-da-server]trustipv610:110::1:2【相关命令】trustip1.
3.
67user-name-format(RADIUSschemeview)user-name-format命令用来设置发送给RADIUS服务器的用户名格式.
undouser-name-format命令用来恢复缺省情况.
【命令】user-name-format{keep-original|with-domain|without-domain}undouser-name-format【缺省情况】发送给RADIUS服务器的用户名携带ISP域名.
【视图】RADIUS方案视图【缺省用户角色】network-admin1-165【参数】keep-original:发送给RADIUS服务器的用户名与用户的输入保持一致.
with-domain:发送给RADIUS服务器的用户名携带ISP域名.
without-domain:发送给RADIUS服务器的用户名不携带ISP域名.
【使用指导】接入用户通常以"userid@isp-name"的格式命名,"@"后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的.
但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器.
因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名.
如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案.
否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误.
【举例】#在RADIUS方案radius1中,设置发送给RADIUS服务器的用户名不得携带域名.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]user-name-formatwithout-domain【相关命令】displayradiusscheme1.
3.
68username-authorizationapplyusername-authorizationapply命令用来配置接受RADIUS服务器下发的用户名.
undousername-authorizationapply命令用来恢复缺省情况.
【命令】username-authorizationapplyundousername-authorizationapply【缺省情况】不接受RADIUS服务器下发的用户名,而是采用用户认证时使用的用户名进行AAA处理.
【视图】RADIUS方案视图【缺省用户角色】network-admin【使用指导】在某些运营商组网环境中,RADIUS服务器希望接入设备在用户认证成功后采用指定的用户名进行后续的AAA处理,该用户名与用户认证时采用的用户名不同.
因此,需要设备端可以接受这种用户名,并且使用此用户名进行计费、用户信息的查询和显示等AAA处理.
配置了本功能后,如果RADIUS服务器发送给设备的认证应答报文中携带了User-Name属性,则设备会将此属性的内容告知给接入模块,且在后续的AAA处理过程中使用服务器下发的用户名进1-166行处理.
例如,这种情况下,设备发送给RADIUS服务器的计费开始请求报文中将会携带服务器下发的用户名,具体封装在User-Name属性中的内容需要结合RADIUS方案中的用户名格式(通过user-name-format配置)进行处理:如果用户名格式为keep-original,则User-Name属性内容为服务器下发的用户名.
如果用户名格式为without-domain,则将服务器下发的用户名去掉域名后封装在User-Name属性中.
如果用户名格式为with-domain,则首先将服务器下发的用户名中的域名替换为认证时采用的域名,然后将此用户名封装在User-Name属性中.
目前,本功能仅对IPoE用户生效.
配置本功能后,通过displayipsubscriber命令查询IPoE在线用户信息时,显示信息中的用户名将是RADIUS服务器下发的用户名.
【举例】#在RADIUS方案radius1中,配置接受RADIUS服务器下发的用户名.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]username-authorizationapply【相关命令】displayipsubscriber(三层技术-IP业务命令参考/IPoE)displayradiusscheme1.
3.
69vpn-instance(RADIUSschemeview)vpn-instance命令用来配置RADIUS方案所属的VPN.
undovpn-instance命令用来恢复缺省情况.
【命令】vpn-instancevpn-instance-nameundovpn-instance【缺省情况】RADIUS方案属于公网.
【视图】RADIUS方案视图【缺省用户角色】network-admin【参数】vpn-instance-name:MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
【使用指导】本命令配置的VPN对于该方案下的所有RADIUS认证/计费服务器生效,但设备优先使用配置RADIUS认证/计费服务器时为各服务器单独指定的VPN.
1-167【举例】#配置RADIUS方案radius1所属的VPN为test.
system-view[Sysname]radiusschemeradius1[Sysname-radius-radius1]vpn-instancetest【相关命令】displayradiusscheme1.
4HWTACACS配置命令1.
4.
1data-flow-format(HWTACACSschemeview)data-flow-format命令用来配置发送到HWTACACS服务器的数据流或者数据包的单位.
undodata-flow-format命令用来恢复缺省情况.
【命令】data-flow-format{data{byte|giga-byte|kilo-byte|mega-byte}|packet{giga-packet|kilo-packet|mega-packet|one-packet}}*undodata-flow-format{data|packet}【缺省情况】数据流的单位为byte,数据包的单位为one-packet.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】data:设置数据流的单位.
byte:数据流的单位为字节.
giga-byte:数据流的单位千兆字节.
kilo-byte:数据流的单位为千字节.
mega-byte:数据流的单位为兆字节.
packet:设置数据包的单位.
giga-packet:数据包的单位为千兆包.
kilo-packet:数据包的单位为千包.
mega-packet:数据包的单位为兆包.
one-packet:数据包的单位为包.
【使用指导】设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费.
1-168【举例】#在HWTACACS方案hwt1中,设置发往HWTACACS服务器的数据流的数据单位为千字节、数据包的单位为千包.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]data-flow-formatdatakilo-bytepacketkilo-packet【相关命令】displayhwtacacsscheme1.
4.
2displayhwtacacsschemedisplayhwtacacsscheme命令用来查看HWTACACS方案的配置信息或HWTACACS服务相关的统计信息.
【命令】displayhwtacacsscheme[hwtacacs-scheme-name[statistics]]【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】hwtacacs-scheme-name:HWTACACS方案的名称,为1~32个字符的字符串,不区分大小写.
如果不指定该参数,则显示所有HWTACACS方案的配置信息.
statistics:显示HWTACACS服务相关的统计信息.
不指定该参数,则显示HWTACACS方案的配置信息.
【举例】#显示所有HWTACACS方案的配置情况.
displayhwtacacsschemeTotal1HWTACACSschemesHWTACACSschemename:hwtacIndex:0Primaryauthenticationserver:IP:2.
2.
2.
2Port:49State:ActiveVPNInstance:2Single-connection:EnabledPrimaryauthorizationserver:IP:2.
2.
2.
2Port:49State:ActiveVPNInstance:2Single-connection:DisabledPrimaryaccountingserver:1-169IP:NotConfiguredPort:49State:BlockVPNInstance:NotconfiguredSingle-connection:DisabledVPNInstance:2NASIPAddress:2.
2.
2.
3ServerQuietPeriod(minutes):5RealtimeAccountingInterval(minutes):12Stop-accountingpacketsbuffering:EnabledRetransmissiontimes:100ResponseTimeoutInterval(seconds):5UsernameFormat:with-domainDataflowunit:BytePacketunit:One表1-16displayhwtacacsscheme命令显示信息描述表字段描述Total1HWTACACSschemes共计1个HWTACACS方案HWTACACSschemenameHWTACACS方案的名称IndexHWTACACS方案的索引号Primaryauthenticationserver主HWTACACS认证服务器Primaryauthorizationserver主HWTACACS授权服务器Primaryaccountingserver主HWTACACS计费服务器Secondaryauthenticationserver从HWTACACS认证服务器Secondaryauthorizationserver从HWTACACS授权服务器Secondaryaccountingserver从HWTACACS计费服务器IPHWTACACS服务器的IP地址未配置时,显示为NotconfiguredPortHWTACACS服务器的端口号未配置时,显示缺省值StateHWTACACS服务器目前状态Active:激活状态Block:静默状态VPNInstanceHWTACACS服务器所在的VPN未配置时,显示为NotconfiguredSingle-connection单连接状态Enabled:使用一条TCP连接与服务器通信Disabled:每次新建TCP连接与服务器通信1-170字段描述VPNInstanceHWTACACS方案所属的VPN名称未配置时,显示为NotconfiguredNASIPAddress发送HWTACACS报文的源IP地址ServerQuietPeriod(minutes)主HWTACACS服务器恢复激活状态的时间(分钟)RealtimeAccountingInterval(minutes)实时HWTACACS计费更新报文的发送间隔(分钟)Stop-accountingpacketsbufferingHWTACACS停止计费请求报文缓存功能的开启情况Retransmissiontimes发起HWTACACS停止计费请求的最大尝试次数ResponseTimeoutInterval(seconds)HWTACACS服务器超时时间(秒)UsernameFormat用户名格式with-domain:携带域名without-domain:不携带域名keep-original:与用户输入保持一致Dataflowunit数据流的单位Byte:字节Kilobyte:千字节Megabyte:兆字节Gigabyte:十亿字节Packetunit数据包的单位One:个Kilo:千Mega:兆Giga:十亿#显示名称为tac的HWTACACS方案的配置信息.
displayhwtacacsschemetacstatisticsHWTACACSschemename:tacPrimaryauthenticationserver:3.
3.
3.
3Roundtriptime:0secondsRequestpackets:1Loginrequestpackets:1Change-passwordrequestpackets:0Requestpacketsincludingplaintextpassword:0Requestpacketsincludingciphertextpassword:0Responsepackets:2Passresponsepackets:1Failureresponsepackets:0Get-dataresponsepackets:0Get-usernameresponsepackets:0Get-passwordresponsepackets:1Restartresponsepackets:01-171Errorresponsepackets:0Followresponsepackets:0Malformedresponsepackets:0Continuepackets:1Continue-abortpackets:0Pendingrequestpackets:0Timeoutpackets:0Unknowntyperesponsepackets:0Droppedresponsepackets:0Primaryauthorizationserver:3.
3.
3.
3Roundtriptime:1secondsRequestpackets:1Responsepackets:1PassAddresponsepackets:1PassReplyresponsepackets:0Failureresponsepackets:0Errorresponsepackets:0Followresponsepackets:0Malformedresponsepackets:0Pendingrequestpackets:0Timeoutpackets:0Unknowntyperesponsepackets:0Droppedresponsepackets:0Primaryaccountingserver:3.
3.
3.
3Roundtriptime:0secondsRequestpackets:2Accountingstartrequestpackets:1Accountingstoprequestpackets:1Accountingupdaterequestpackets:0Pendingrequestpackets:0Responsepackets:2Successresponsepackets:2Errorresponsepackets:0Followresponsepackets:0Malformedresponsepackets:0Timeoutresponsepackets:0Unknowntyperesponsepackets:0Droppedresponsepackets:0表1-17displayhwtacacsschemestatistics命令显示信息描述表字段描述HWTACACSschemenameHWTACACS方案名称Primaryauthenticationserver主HWTACACS认证服务器Primaryauthorizationserver主HWTACACS授权服务器1-172字段描述Primaryaccountingserver主HWTACACS计费服务器Secondaryauthenticationserver从HWTACACS认证服务器Secondaryauthorizationserver从HWTACACS授权服务器Secondaryaccountingserver从HWTACACS计费服务器Roundtriptime设备处理最近一组响应报文和请求报文的时间间隔(单位为秒)Requestpackets发送的请求报文个数Responsepackets接收到的响应报文个数Failureresponsepackets认证或授权失败的响应报文个数Errorresponsepackets错误类型的响应报文个数FollowresponsepacketsFollow类型的响应报文的个数Malformedresponsepackets不合法的响应报文个数Pendingrequestpackets等待响应的请求报文个数Timeoutpackets超时的请求报文个数Unknowntyperesponsepackets未知报文类型的响应报文个数Droppedresponsepackets被丢弃响应报文个数Loginrequestpackets登录认证的请求报文个数Change-passwordrequestpackets更改密码的请求报文个数Requestpacketsincludingplaintextpasswords发送明文密码的请求报文个数Requestpacketsincludingciphertextpasswords发送密文密码的请求报文个数Passresponsepackets表示认证通过的响应报文个数Get-dataresponsepackets表示获取数据的响应报文个数Get-usernameresponsepackets表示获取用户名的响应报文个数Get-passwordresponsepackets表示获取密码的响应报文个数Restartresponsepackets要求重认证的响应报文个数Continuepackets发送的Continue报文个数Continue-abortpackets发送的Continue-abort报文个数PassAddresponsepackets接收到的PassAdd类型的响应报文个数.
此报文表示同意授权所有请求的属性,并添加其他授权属性PassReplyresponsepackets接收到的PassReply类型的响应报文个数.
此报文表示采用响应报文中指定的授权属性替换请求的授权属性Accountingstartrequestpackets发送的计费开始请求报文个数Accountingstoprequestpackets发送的计费结束请求报文个数1-173字段描述Accountingupdaterequestpackets发送的计费更新报文个数Accountingstart-and-updaterequestpackets发送的赋值的计费开始报文的个数Successresponsepackets接收到的计费成功的响应报文个数【相关命令】resethwtacacsstatistics1.
4.
3displaystop-accounting-buffer(forHWTACACS)displaystop-accounting-buffer命令用来显示缓存的HWTACACS停止计费请求报文的相关信息.
【命令】displaystop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name【视图】任意视图【缺省用户角色】network-adminnetwork-operator【参数】hwtacacs-schemehwtacacs-scheme-name:表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
【举例】#显示HWTACACS方案hwt1缓存的HWTACACS停止计费请求报文.
displaystop-accounting-bufferhwtacacs-schemehwt1Totalentries:2SchemeIPaddressUsernameFirstsendingtimeAttemptshwt1192.
168.
100.
1abc23:27:16-08/31/201519hwt1192.
168.
90.
6bob23:33:01-08/31/201520表1-18displaystop-accounting-buffer命令显示信息描述表字段描述Totalentries:2共有两条记录匹配SchemeHWTACACS方案名IPaddress用户IP地址Username用户名Firstsendingtime首次发送停止计费请求的时间1-174字段描述Attempts发送停止计费请求报文的次数【相关命令】retrystop-accounting(HWTACACSschemeview)resetstop-accounting-buffer(forHWTACACS)stop-accounting-bufferenable(HWTACACSschemeview)user-name-format(HWTACACSschemeview)1.
4.
4hwtacacsnas-iphwtacacsnas-ip命令用来设置设备发送HWTACACS报文使用的源地址.
undohwtacacsnas-ip命令用来删除指定的发送HWTACACS报文使用的源地址.
【命令】hwtacacsnas-ip{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]undohwtacacsnas-ip{ipv4-address|ipv6ipv6-address}[vpn-instancevpn-instance-name]【缺省情况】未设置发送HWTACACS报文使用的源地址,设备将以发送报文的接口的主IP地址作为源地址.
【视图】系统视图【缺省用户角色】network-admin【参数】ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址.
vpn-instancevpn-instance-name:指定私网源IP地址所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
若不指定该参数,则表示配置的是公网源地址.
【使用指导】HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求.
因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致.
1-175为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址.
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效.
系统视图下的配置的源IP地址(通过hwtacacsnas-ip命令)对所有HWTACACS方案有效.
HWTACACS方案视图下的设置具有更高的优先级.
设备支持MPLSL3VPN组网时,系统视图下最多允许指定16个源地址.
其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址.
对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址.
设备不支持MPLSL3VPN组网时,系统视图下最多允许指定一个IPv4源地址和一个IPv6源地址.
【举例】#设置设备发送HWTACACS报文使用的源地址为129.
10.
10.
1.
system-view[Sysname]hwtacacsnas-ip129.
10.
10.
1【相关命令】nas-ip(HWTACACSschemeview)1.
4.
5hwtacacsschemehwtacacsscheme命令用来创建HWTACACS方案,并进入HWTACACS方案视图.
如果指定的HWTACACS方案已经存在,则直接进入HWTACACS方案视图.
undohwtacacsscheme命令用来删除指定的HWTACACS方案.
【命令】hwtacacsschemehwtacacs-scheme-nameundohwtacacsschemehwtacacs-scheme-name【缺省情况】不存在HWTACACS方案.
【视图】系统视图【缺省用户角色】network-admin【参数】hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写.
【使用指导】一个HWTACACS方案可以同时被多个ISP域引用.
最多可以配置16个HWTACACS方案.
1-176【举例】#创建名称为hwt1的HWTACACS方案并进入相应的HWTACACS视图.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]【相关命令】displayhwtacacsscheme1.
4.
6key(HWTACACSschemeview)key命令用来配置HWTACACS认证、授权、计费报文的共享密钥.
undokey命令用来删除指定的HWTACACS报文的共享密钥.
【命令】key{accounting|authentication|authorization}{cipher|simple}stringundokey{accounting|authentication|authorization}【缺省情况】未配置HWTACACS报文的共享密钥.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】accounting:指定HWTACACS计费报文的共享密钥.
authentication:指定HWTACACS认证报文的共享密钥.
authorization:指定HWTACACS授权报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
【使用指导】必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致.
【举例】#在HWTACACS方案hwt1中,配置HWTACACS认证报文共享密钥为明文123456TESTauth&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]keyauthenticationsimple123456TESTauth&!
#配置HWTACACS授权报文共享密钥为明文123456TESTautr&!
.
[Sysname-hwtacacs-hwt1]keyauthorizationsimple123456TESTautr&!
#配置HWTACACS计费报文共享密钥为明文123456TESTacct&!
.
1-177[Sysname-hwtacacs-hwt1]keyaccountingsimple123456TESTacct&!
【相关命令】displayhwtacacsscheme1.
4.
7nas-ip(HWTACACSschemeview)nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址.
undonas-ip命令用来删除指定类型的发送HWTACACS报文使用的源IP地址.
【命令】nas-ip{ipv4-address|ipv6ipv6-address}undonas-ip[ipv6]【缺省情况】使用系统视图下由命令hwtacacsnas-ip指定的源地址,若系统视图下未指定源地址,则使用发送HWTACACS报文的接口的主IP地址.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址.
ipv6ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址.
【使用指导】HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权、计费请求.
因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致.
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址.
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效.
系统视图下的配置的源IP地址(通过hwtacacsnas-ip命令)对所有HWTACACS方案有效.
HWTACACS方案视图下的设置具有更高的优先级.
一个HWTACACS方案视图下,最多允许指定一个IPv4源地址和一个IPv6源地址.
如果undonas-ip命令中不指定ipv6关键字,则表示删除发送HWTACACS报文使用的源IPv4地址.
1-178【举例】#在HWTACACS方案hwt1中,设置设备发送HWTACACS报文使用的源IP地址为10.
1.
1.
1.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]nas-ip10.
1.
1.
1【相关命令】hwtacacsnas-ip1.
4.
8primaryaccounting(HWTACACSschemeview)primaryaccounting命令用来配置主HWTACACS计费服务器.
undoprimaryaccounting命令用来恢复缺省情况.
【命令】primaryaccounting{ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undoprimaryaccounting【缺省情况】未配置HWTACACS主计费服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】ipv4-address:主HWTACACS计费服务器的IPv4地址.
ipv6ipv6-address:主HWTACACS计费服务器的IPv6地址.
port-number:主HWTACACS计费服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与主HWTACACS计费服务器交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
single-connection:所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接.
如果未指定本参数,则表示每次计费都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:主HWTACACS计费服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主HWTACACS计费服务器位于公网中.
【使用指导】配置的主计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致.
1-179在同一个方案中指定的主计费服务器和从计费服务器的IP地址、端口号和VPN参数不能完全相同.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与计费服务器没有报文交互时,才允许删除该服务器.
计费服务器删除后,只对之后的计费过程有影响.
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
【举例】#在HWTACACS方案hwt1中,配置主HWTACACS计费服务器的IP地址为10.
163.
155.
12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!
.
system-view[Sysname]hwtacacsschemehw1[Sysname-hwtacacs-hw1]primaryaccounting10.
163.
155.
1249keysimple123456TESTacct&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)secondaryaccountingvpn-instance(HWTACACSschemeview)1.
4.
9primaryauthentication(HWTACACSschemeview)primaryauthentication命令用来配置主HWTACACS认证服务器.
undoprimaryauthentication命令用来恢复缺省情况.
【命令】primaryauthentication{ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undoprimaryauthentication【缺省情况】未配置主HWTACACS认证服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】ipv4-address:主HWTACACS认证服务器的IPv4地址.
ipv6ipv6-address:主HWTACACS认证服务器的IPv6地址.
1-180port-number:主HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与主HWTACACS认证服务器交互的认证报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
single-connection:所有与主HWTACACS认证服务器交互的计费报文使用同一个TCP连接.
如果未指定本参数,则表示向主HWTACACS计费服务器发送计费报文都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:主HWTACACS认证服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主HWTACACS认证服务器位于公网中.
【使用指导】配置的主认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致.
在同一个方案中指定的主认证服务器和从认证服务器的IP地址、端口号和VPN参数不能完全相同.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与认证服务器没有报文交互时,才允许删除该服务器.
认证服务器删除后,只对之后的认证过程有影响.
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
【举例】#在HWTACACS方案hwt1中,配置主HWTACACS认证服务器的IP地址为10.
163.
155.
13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]primaryauthentication10.
163.
155.
1349keysimple123456TESTauth&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)secondaryauthenticationvpn-instance(HWTACACSschemeview)1.
4.
10primaryauthorizationprimaryauthorization命令用来配置主HWTACACS授权服务器.
undoprimaryauthorization命令用来恢复缺省情况.
1-181【命令】primaryauthorization{ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undoprimaryauthorization【缺省情况】未配置主HWTACACS授权服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】ipv4-address:主HWTACACS授权服务器的IPv4地址.
ipv6ipv6-address:主HWTACACS授权服务器的IPv6地址.
port-number:主HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与主HWTACACS授权服务器交互的授权报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
single-connection:所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接.
如果未指定本参数,则表示每次授权都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:主HWTACACS授权服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示主HWTACACS授权服务器位于公网中.
【使用指导】配置的主授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致.
在同一个方案中指定的主授权服务器和从授权服务器的IP地址、端口号和VPN参数不能完全相同.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与授权服务器没有报文交互时,才允许删除该服务器.
授权服务器删除后,只对之后的授权过程有影响.
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
1-182【举例】#在HWTACACS方案hwt1中,配置主HWTACACS授权服务器的IP地址为10.
163.
155.
13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]primaryauthorization10.
163.
155.
1349keysimple123456TESTautr&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)secondaryauthorizationvpn-instance(HWTACACSschemeview)1.
4.
11resethwtacacsstatisticsresethwtacacsstatistics命令用来清除HWTACACS协议的统计信息.
【命令】resethwtacacsstatistics{accounting|all|authentication|authorization}【视图】用户视图【缺省用户角色】network-admin【参数】accounting:清除HWTACACS协议关于计费的统计信息.
all:清除HWTACACS的所有统计信息.
authentication:清除HWTACACS协议关于认证的统计信息.
authorization:清除HWTACACS协议关于授权的统计信息.
【举例】#清除HWTACACS协议的所有统计信息.
resethwtacacsstatisticsall【相关命令】displayhwtacacsscheme1.
4.
12resetstop-accounting-buffer(forHWTACACS)resetstop-accounting-buffer命令用来清除缓存的HWTACACS停止计费请求报文.
【命令】resetstop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name1-183【视图】用户视图【缺省用户角色】network-admin【参数】hwtacacs-schemehwtacacs-scheme-name:表示指定HWTACACS方案的停止计费请求报文.
其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串,不区分大小写.
【举例】#清除缓存的HWTACACS方案hwt1的HWTACACS停止计费请求报文.
resetstop-accounting-bufferhwtacacsschemehwt1【相关命令】displaystop-accounting-buffer(forHWTACACS)stop-accounting-bufferenable(HWTACACSschemeview)1.
4.
13retrystop-accounting(HWTACACSschemeview)retrystop-accounting命令用来设置发起HWTACACS停止计费请求的最大尝试次数.
undoretrystop-accounting命令用来恢复缺省情况.
【命令】retrystop-accountingretriesundoretrystop-accounting【缺省情况】发起HWTACACS停止计费请求的最大尝试次数为100.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】retries:允许停止计费请求无响应的最大次数,取值范围为1~300.
【使用指导】设备发送HWTACACS停止计费请求报文无响应后,将会缓存该报文并尝试重复发送该报文,当发送的停止计费请求总数达到指定的最大尝试次数之后仍未得到响应时,将其丢弃.
【举例】#在HWTACACS方案hwt1中,设置发起HWTACACS停止计费请求的最大尝试次数为300.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]retrystop-accounting3001-184【相关命令】displaystop-accounting-buffer(forHWTACACS)timerresponse-timeout(HWTACACSschemeview)1.
4.
14secondaryaccounting(HWTACACSschemeview)secondaryaccounting命令用来配置从HWTACACS计费服务器.
undosecondaryaccounting命令用来删除指定的从HWTACACS计费服务器.
【命令】secondaryaccounting{ipv4-address|ipv6ipv6-address}[port-number|key{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undosecondaryaccounting[{ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]【缺省情况】未配置从HWTACACS计费服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】ipv4-address:从HWTACACS计费服务器的IPv4地址.
ipv6ipv6-address:从HWTACACS计费服务器的IPv6地址.
port-number:从HWTACACS计费服务器的端口号,取值范围为1~65535,缺省值为49.
key:与从HWTACACS计费服务器交互的计费报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
single-connection:所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接.
如果未指定本参数,则表示每次计费都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:从HWTACACS计费服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从HWTACACS计费服务器位于公网中.
【使用指导】配置的从计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致.
每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
1-185如果不指定任何参数,则undo命令将删除所有从计费服务器.
在同一个方案中指定的主计费服务器和从计费服务器的IP地址、端口号和VPN参数不能完全相同,并且各从计费服务器的IP地址、端口号和VPN参数也不能完全相同.
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与计费服务器没有报文交互时,才允许删除该服务器.
计费服务器删除后,只对之后的计费过程有影响.
【举例】#在HWTACACS方案hwt1中,配置从HWTACACS计费服务器的IP地址为10.
163.
155.
12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]secondaryaccounting10.
163.
155.
1249keysimple123456TESTacct&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)primaryaccounting(HWTACACSschemeview)vpn-instance(HWTACACSschemeview)1.
4.
15secondaryauthentication(HWTACACSschemeview)secondaryauthentication命令用来配置从HWTACACS认证服务器.
undosecondaryauthentication命令用来删除指定的从HWTACACS认证服务器.
【命令】secondaryauthentication{ipv4-address|ipv6ipv6-address}[port-numberIkey{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undosecondaryauthentication[{ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]【缺省情况】未配置从HWTACACS认证服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-admin1-186【参数】ipv4-address:从HWTACACS认证服务器的IPv4地址.
ipv6ipv6-address:从HWTACACS认证服务器的IPv6地址.
port-number:从HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与从HWTACACS认证服务器交互的认证报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
single-connection:所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接.
如果未指定本参数,则表示每次认证都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:从HWTACACS认证服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从HWTACACS服务器位于公网中.
【使用指导】配置的从认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致.
每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
如果不指定任何参数,则undo命令将删除所有从认证服务器.
在同一个方案中指定的主认证服务器和从认证服务器的IP地址、端口号和VPN参数不能完全相同,并且各从认证服务器的IP地址、端口号和VPN参数也不能完全相同.
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与认证服务器没有报文交互时,才允许删除该服务器.
认证服务器删除后,只对之后的认证过程有影响.
【举例】#在HWTACACS方案hwt1中,配置从HWTACACS认证服务器的IP地址为10.
163.
155.
13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]secondaryauthentication10.
163.
155.
1349keysimple123456TESTauth&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)1-187primaryauthentication(HWTACACSschemeview)vpn-instance(HWTACACSschemeview)1.
4.
16secondaryauthorizationsecondaryauthorization命令用来配置从HWTACACS授权服务器.
undosecondaryauthorization命令用来删除指定的从HWTACACS授权服务器.
【命令】secondaryauthorization{ipv4-address|ipv6ipv6-address}[port-numberIkey{cipher|simple}string|single-connection|vpn-instancevpn-instance-name]*undosecondaryauthorization[{ipv4-address|ipv6ipv6-address}[port-number|vpn-instancevpn-instance-name]*]【缺省情况】未配置从HWTACACS授权服务器.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】ipv4-address:从HWTACACS授权服务器的IPv4地址.
ipv6ipv6-address:从HWTACACS授权服务器的IPv6地址.
port-number:从HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49.
key:与从HWTACACS授权服务器交互的授权报文的共享密钥.
cipher:以密文方式设置密钥.
simple:以明文方式设置密钥,该密钥将以密文形式存储.
string:密钥字符串,区分大小写.
明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串.
single-connection:所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接.
如果未指定本参数,则表示每次授权都会使用一个新的TCP连接.
vpn-instancevpn-instance-name:从HWTACACS授权服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示从HWTACACS授权服务器位于公网中.
【使用指导】配置的从授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致.
每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器.
当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互.
如果不指定任何参数,则undo命令将删除所有从授权服务器.
1-188在同一个方案中指定的主授权服务器和从授权服务器的IP地址、端口号和VPN参数不能完全相同,并且各从授权服务器的IP地址、端口号和VPN参数也不能完全相同.
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置.
在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率.
若服务器位于MPLSVPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例.
本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高.
只有在设备与授权服务器没有报文交互时,才允许删除该服务器.
授权服务器删除后,只对之后的授权过程有影响.
【举例】#在HWTACACS方案hwt1中,配置从HWTACACS授权服务器的IP地址为10.
163.
155.
13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!
.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]secondaryauthorization10.
163.
155.
1349keysimple123456TESTautr&!
【相关命令】displayhwtacacsschemekey(HWTACACSschemeview)primaryauthorization(HWTACACSschemeview)vpn-instance(HWTACACSschemeview)1.
4.
17stop-accounting-bufferenable(HWTACACSschemeview)stop-accounting-bufferenable命令用来开启对无响应的HWTACACS停止计费请求报文的缓存功能.
undostop-accounting-bufferenable命令用来关闭对无响应的HWTACACS停止计费请求报文的缓存功能.
【命令】stop-accounting-bufferenableundostop-accounting-bufferenable【缺省情况】设备缓存未得到响应的HWTACACS计费请求报文.
【视图】HWTACACS方案视图【缺省用户角色】network-admin1-189【使用指导】开启对无响应的HWTACACS停止计费请求报文的缓存功能后,设备在发送停止计费请求报文而HWTACACS服务器没有响应时,会将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制(由retrystop-accounting命令设置)后将其丢弃.
如果HWTACACS方案中的某计费服务器被删除,则设备将会丢弃相应的已缓存停止计费报文.
【举例】#开启对无响应的HWTACACS停止计费请求报文的缓存功能.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]stop-accounting-bufferenable【相关命令】displaystop-accounting-buffer(forHWTACACS)resetstop-accounting-buffer(forHWTACACS)1.
4.
18timerquiet(HWTACACSschemeview)timerquiet命令用来设置服务器恢复激活状态的时间.
undotimerquiet命令用来恢复缺省情况.
【命令】timerquietminutesundotimerquiet【缺省情况】服务器恢复激活状态的时间为5分钟.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟.
【举例】#设置服务器恢复激活状态的时间为10分钟.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]timerquiet10【相关命令】displayhwtacacsscheme1-1901.
4.
19timerrealtime-accounting(HWTACACSschemeview)timerrealtime-accounting命令用来设置实时计费的时间间隔.
undotimerrealtime-accounting命令用来恢复缺省情况.
【命令】timerrealtime-accountingminutesundotimerrealtime-accounting【缺省情况】实时计费的时间间隔为12分钟.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟.
0表示设备不向HWTACACS服务器发送在线用户的计费信息.
【使用指导】为了对用户实施实时计费,有必要设置实时计费的时间间隔.
在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息.
实时计费间隔的取值小,计费准确性高,但对设备和HWTACACS服务器的性能要求就高.
表1-19实时计费间隔与用户量之间的推荐比例关系用户数实时计费间隔(分钟)1~993100~4996500~99912大于等于1000大于等于15不同情况下修改的实时计费间隔,对于已在线用户的生效情况有所不同:将实时计费间隔从非0有效值改为0,或者从0修改为非0有效值后,已在线用户会依然采用原有取值,修改后的取值对其不生效.
将实时计费间隔从某非0有效值修改为其它非0有效值后,已在线用户将会采用修改后的取值.
需要注意的是,无论实时计费间隔取值为多少,对于双栈用户,设备缺省会在用户申请到IPv4地址时为其发送一个计费开始报文,并在随后用户申请到IPv6地址/PD时再发送一个计费更新报文,反之亦然.
【举例】#在HWTACACS方案hwt1中,设置实时计费的时间间隔为51分钟.
1-191system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]timerrealtime-accounting51【相关命令】displayhwtacacsscheme1.
4.
20timerresponse-timeout(HWTACACSschemeview)timerresponse-timeout命令用来设置HWTACACS服务器响应超时时间.
undotimerresponse-timeout命令用来恢复缺省情况.
【命令】timerresponse-timeoutsecondsundotimerresponse-timeout【缺省情况】HWTACACS服务器响应超时时间为5秒.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒.
【使用指导】由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开.
HWTACACS服务器响应超时时间与配置的HWTACACS服务器总数的乘积不能超过接入模块定义的用户认证超时时间,否则在HWTACACS认证过程完成之前用户就有可能被强制下线.
【举例】#在HWTACACS方案hwt1中,设置HWTACACS服务器响应超时时间为30秒.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]timerresponse-timeout30【相关命令】displayhwtacacsscheme1.
4.
21user-name-format(HWTACACSschemeview)user-name-format命令用来设置发送给HWTACACS服务器的用户名格式.
undouser-name-format命令用来恢复缺省情况.
1-192【命令】user-name-format{keep-original|with-domain|without-domain}undouser-name-format【缺省情况】发送给HWTACACS服务器的用户名携带ISP域名.
【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致.
with-domain:发送给HWTACACS服务器的用户名携带ISP域名.
without-domain:发送给HWTACACS服务器的用户名不携带ISP域名.
【使用指导】接入用户通常以"userid@isp-name"的格式命名,"@"后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的.
但是,有些HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器.
因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名.
如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案.
否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误.
【举例】#在HWTACACS方案hwt1中,设置发送给HWTACACS服务器的用户名不携带ISP域名.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]user-name-formatwithout-domain【相关命令】displayhwtacacsscheme1.
4.
22vpn-instance(HWTACACSschemeview)vpn-instance命令用来配置HWTACACS方案所属的VPN.
undovpn-instance命令用来恢复缺省情况.
【命令】vpn-instancevpn-instance-nameundovpn-instance【缺省情况】HWTACACS方案属于公网.
1-193【视图】HWTACACS方案视图【缺省用户角色】network-admin【参数】vpn-instance-name:MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
【使用指导】本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效,但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN.
【举例】#配置HWTACACS方案hw1所属的VPN为test.
system-view[Sysname]hwtacacsschemehwt1[Sysname-hwtacacs-hwt1]vpn-instancetest【相关命令】displayhwtacacsscheme1.
5LDAP配置命令1.
5.
1attribute-mapattribute-map命令用来在LDAP方案中引用LDAP属性映射表.
undoattribute-map命令用来恢复缺省情况.
【命令】attribute-mapmap-nameundoattribute-map【缺省情况】未引用任何LDAP属性映射表.
【视图】LDAP方案视图【缺省用户角色】network-admin【参数】map-name:LDAP属性映射表的名称,为1~31个字符的字符串,不区分大小写.
【使用指导】在使用LDAP授权方案的情况下,可以通过在LDAP方案中引用LDAP属性映射表,将LDAP授权服务器下发给用户的LDAP属性映射为AAA模块可以解析的某类属性.
1-194一个LDAP方案视图中只能引用一个LDAP属性映射表,后配置的生效.
如果在LDAP授权过程中修改了引用的LDAP属性映射表,或者修改了引用的LDAP属性映射表的内容,则该修改对当前的授权过程不会生效,只对修改后新的LDAP授权过程生效.
【举例】#在LDAP方案ldap1中,引用名称为map1的LDAP属性映射表.
system-view[Sysname]ldapschemetest[Sysname-ldap-test]attribute-mapmap1【相关命令】displayldapschemeldapattribute-map1.
5.
2authentication-serverauthentication-server命令用来指定LDAP认证服务器.
undoauthentication-server命令用来恢复缺省情况.
【命令】authentication-serverserver-nameundoauthentication-server【缺省情况】未指定LDAP认证服务器.
【视图】LDAP方案视图【缺省用户角色】network-admin【参数】server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写.
【使用指导】一个LDAP方案视图下仅能指定一个LDAP认证服务器,多次执行本命令,最后一次执行的命令生效.
【举例】#在LDAP方案ldap1中,指定LDAP认证服务器为ccc.
system-view[Sysname]ldapschemeldap1[Sysname-ldap-ldap1]authentication-serverccc【相关命令】displayldapschemeldapserver1-1951.
5.
3authorization-serverauthorization-server命令用来指定LDAP授权服务器.
undoauthorization-server命令用来恢复缺省情况.
【命令】authorization-serverserver-nameundoauthorization-server【缺省情况】未指定LDAP授权服务器.
【视图】LDAP方案视图【缺省用户角色】network-admin【参数】server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写.
【使用指导】一个LDAP方案视图下仅能指定一个LDAP授权服务器,多次执行本命令,最后一次执行的命令生效.
【举例】#在LDAP方案ldap1中,指定LDAP授权服务器为ccc.
system-view[Sysname]ldapschemeldap1[Sysname-ldap-ldap1]authorization-serverccc【相关命令】displayldapschemeldapserver1.
5.
4displayldapschemedisplayldapscheme命令用来查看LDAP方案的配置信息.
【命令】displayldapscheme[ldap-scheme-name]【视图】任意视图【缺省用户角色】network-adminnetwork-operator1-196【参数】ldap-scheme-name:LDAP方案的名称,为1~32个字符的字符串,不区分大小写.
如果不指定该参数,则显示所有LDAP方案的配置信息.
【举例】#查看所有LDAP方案的配置信息.
displayldapschemeTotal1LDAPschemesLDAPschemename:aaaAuthenticationserver:aaaIP:1.
1.
1.
1Port:111VPNinstance:NotconfiguredLDAPprotocolversion:LDAPv3Servertimeoutinterval:10secondsLoginaccountDN:NotconfiguredBaseDN:NotconfiguredSearchscope:all-levelUsersearchingparameters:Userobjectclass:NotconfiguredUsernameattribute:cnUsernameformat:with-domainAuthorizationserver:aaaIP:1.
1.
1.
1Port:111VPNinstance:NotconfiguredLDAPprotocolversion:LDAPv3Servertimeoutinterval:10secondsLoginaccountDN:NotconfiguredBaseDN:NotconfiguredSearchscope:all-levelUsersearchingparameters:Userobjectclass:NotconfiguredUsernameattribute:cnUsernameformat:with-domainAttributemap:map1表1-20displayldapscheme命令显示信息描述表字段描述Total1LDAPschemes总共有1个LDAP方案LDAPSchemeNameLDAP方案名称AuthenticationServerLDAP认证服务器名称未配置时,显示为Notconfigured1-197字段描述AuthorizationserverLDAP授权服务器名称未配置时,显示为NotconfiguredIPLDAP认证服务器的IP地址未配置认证服务器IP时,IP地址显示为NotconfiguredPortLDAP认证服务器的端口号未配置认证服务器IP时,端口号显示为缺省值VPNInstanceVPN实例名称未配置时,显示为NotconfiguredLDAPProtocolVersionLDAP协议的版本号(LDAPv2、LDAPv3)ServerTimeoutIntervalLDAP服务器连接超时时间(单位为秒)LoginAccountDN管理员用户的DNBaseDN用户DN查询的起始DNSearchScope用户DN查询的范围(all-level:所有子目录查询,single-level:下级目录查询)UserSearchingParameters用户查询参数UserObjectClass查询用户DN时使用的用户对象类型未配置时,显示为NotconfiguredUsernameAttribute用户登录帐号的属性类型UsernameFormat发送给服务器的用户名格式Attributemap引用的LDAP属性映射表名称未配置时,显示为Notconfigured1.
5.
5ipip命令用来配置LDAP服务器的IP地址.
undoip命令用来恢复缺省情况.
【命令】ipip-address[portport-number][vpn-instancevpn-instance-name]undoip【缺省情况】未配置LDAP服务器的IP地址.
【视图】LDAP服务器视图【缺省用户角色】network-admin1-198【参数】ip-address:LDAP服务器的IP地址.
portport-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389.
vpn-instancevpn-instance-name:LDAP服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例的名称,为1~31个字符的字符串,区分大小写.
不指定该参数时,表示LDAP服务器属于公网.
【使用指导】需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致.
更改后的服务器IP地址和端口号,只对更改之后进行的LDAP认证生效.
【举例】#配置LDAP服务器ccc的IP地址为192.
168.
0.
10、端口号为4300.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]ip192.
168.
0.
10port4300【相关命令】ldapserver1.
5.
6ipv6ipv6命令用来配置LDAP服务器的IPv6地址.
undoipv6命令用来恢复缺省情况.
【命令】ipv6ipv6-address[portport-number][vpn-instancevpn-instance-name]undoipv6【缺省情况】未配置LDAP服务器的IP地址.
【视图】LDAP服务器视图【缺省用户角色】network-admin【参数】ipv6-address:LDAP服务器的IPv6地址.
portport-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389.
vpn-instancevpn-instance-name:LDAP服务器所属的VPN实例.
vpn-instance-name表示MPLSL3VPN实例的名称,为1~31个字符的字符串,区分大小写.
不指定该参数时,表示LDAP服务器属于公网.
【使用指导】需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致.
1-199更改后的服务器IP地址和端口号,只对更改之后的LDAP认证生效.
【举例】#配置LDAP服务器ccc的IPv6地址为1:2::3:4、端口号为4300.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]ipv61:2::3:4port4300【相关命令】ldapserver1.
5.
7ldapattribute-mapldapattribute-map命令用来创建LDAP属性映射表,并进入LDAP属性映射表视图.
如果指定的LDAP属性映射表已经存在,则直接进入LDAP属性映射表视图.
undoldapattribute-map命令用来删除指定的LDAP属性映射表.
【命令】ldapattribute-mapmap-nameundoldapattribute-mapmap-name【缺省情况】不存在LDAP属性映射表.
【视图】系统视图【缺省用户角色】network-admin【参数】map-name:LDAP属性映射表的名称,为1~31个字符的字符串,不区分大小写.
【使用指导】一个LDAP的属性映射表中可以添加多个LDAP属性映射表项,每个表项表示一个LDAP属性和一个AAA属性的映射关系.
可以通过多次执行本命令配置多个LDAP的属性映射表.
【举例】#创建名称为map1的LDAP属性映射表,并进入该属性映射表视图.
system-view[Sysname]ldapattribute-mapmap1[Sysname-ldap-map-map1]【相关命令】attribute-mapldapschememap1-2001.
5.
8ldapschemeldapscheme命令用来创建LDAP方案,并进入LDAP方案视图.
如果指定的LDAP方案已经存在,则直接进入LDAP方案视图.
undoldapscheme命令用来删除指定的LDAP方案.
【命令】ldapschemeldap-scheme-nameundoldapschemeldap-scheme-name【缺省情况】不存在LDAP方案.
【视图】系统视图【缺省用户角色】network-admin【参数】ldap-scheme-name:LDAP方案的名称,为1~32个字符的字符串,不区分大小写.
【使用指导】一个LDAP方案可以同时被多个ISP域引用.
系统最多支持配置16个LDAP方案.
【举例】#创建名称为ldap1的LDAP方案并进入其视图.
system-view[Sysname]ldapschemeldap1[Sysname-ldap-ldap1]【相关命令】displayldapscheme1.
5.
9ldapserverldapserver用来创建LDAP服务器,并进入LDAP服务器视图.
如果指定的LDAP服务器已经存在,则直接进入LDAP服务器视图.
undoldapserver命令用来删除指定的LDAP服务器.
【命令】ldapserverserver-nameundoldapserverserver-name【缺省情况】不存在LDAP服务器.
1-201【视图】系统视图【缺省用户角色】network-admin【参数】server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写.
【举例】#创建LDAP服务器ccc并进入其视图.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]【相关命令】displayldapscheme1.
5.
10login-dnlogin-dn命令用来配置具有管理员权限的用户DN.
undologin-dn命令用来恢复缺省情况.
【命令】login-dndn-stringundologin-dn【缺省情况】未配置具有管理员权限的用户DN.
【视图】LDAP服务器视图【缺省用户角色】network-admin【参数】dn-string:具有管理员权限的用户DN,是绑定服务器时使用的用户标识名,为1~255个字符的字符串,不区分大小写.
【使用指导】设备上的管理员DN必须与服务器上管理员的DN一致.
更改后的管理员DN,只对更改之后的LDAP认证生效.
【举例】#在LDAP服务器视图ccc下,配置管理员权限的用户DN为uid=test,ou=people,o=example,c=city.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]login-dnuid=test,ou=people,o=example,c=city1-202【相关命令】displayldapscheme1.
5.
11login-passwordlogin-password命令用来配置LDAP认证中,绑定服务器时所使用的具有管理员权限的用户密码.
undologin-password命令用来恢复缺省情况.
【命令】login-password{cipher|simple}stringundologin-password【缺省情况】未配置具有管理权限的用户密码.
【视图】LDAP服务器视图【缺省用户角色】network-admin【参数】cipher:表示以密文方式设置密码.
simple:表示以明文方式设置密码,该密码将以密文形式存储.
string:密码字符串,区分大小写.
明文密码为1~128个字符的字符串,密文密码为1~201个字符的字符串.
【使用指导】该命令只有在配置了login-dn的情况下生效.
当未配置login-dn时,该命令不生效.
【举例】#在LDAP服务器视图ccc下,配置具有管理员权限的用户密码为明文abcdefg.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]login-passwordsimpleabcdefg【相关命令】displayldapschemelogin-dn1.
5.
12mapmap命令用来配置LDAP属性映射表项.
undomap命令用来删除指定的LDAP属性映射表项.
1-203【命令】mapldap-attributeldap-attribute-name[prefixprefix-valuedelimiterdelimiter-value]aaa-attributeuser-groupundomap[ldap-attributeldap-attribute-name]【缺省情况】未指定LDAP属性映射关系.
【视图】LDAP属性映射表视图【缺省用户角色】network-admin【参数】ldap-attributeldap-attribute-name:表示要映射的LDAP属性.
其中,ldap-attribute-name表示LDAP属性名称,为1~63个字符的字符串,不区分大小写.
prefixprefix-valuedelimiterdelimiter-value:表示按照一定的格式提取LDAP属性字符串中的内容映射为AAA属性.
其中,prefix-value表示LDAP属性字符串中的某内容前缀(例如cn=),为1~7个字符的字符串,不区分大小写;delimiter-value表示LDAP属性字符串中的内容分隔符(例如逗号).
若不指定该可选参数,则表示要将一个完整的LDAP属性字符串映射为指定的AAA属性.
aaa-attribute:表示要映射为的AAA属性.
user-group:表示Usergroup类型的AAA属性.
【使用指导】如果某LDAP服务器下发给用户的属性不能被AAA模块解析,则该属性将被忽略.
因此,需要通过本命令指定要获取哪些LDAP属性,以及LDAP服务器下发的这些属性将被AAA模块解析为什么类型的AAA属性,具体映射为哪种类型的AAA属性由实际应用需求决定.
一个LDAP服务器属性只能映射为一个AAA属性,但不同的LDAP服务器属性可映射为同一个AAA属性.
如果undomap命令中不指定ldap-attribute参数,则表示删除所有的LDAP属性映射表项.
【举例】#在LDAP属性映射表视图map1下,配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号(,)的格式提取出的内容映射成AAA属性Usergroup.
system-view[Sysname]ldapattribute-mapmap1[Sysname-ldap-map-map1]mapldap-attributememberofprefixcn=delimiter,aaa-attributeuser-group【相关命令】ldapattribute-mapuser-group1-2041.
5.
13protocol-versionprotocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号.
undoprotocol-version命令用来恢复缺省情况.
【命令】protocol-version{v2|v3}undoprotocol-version【缺省情况】LDAP版本号为LDAPv3.
【视图】LDAP服务器视图【缺省用户角色】network-admin【参数】v2:表示LDAP协议版本号为LDAPv2.
v3:表示LDAP协议版本号为LDAPv3.
【使用指导】为保证LDAP认证成功,请保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致.
更改后的服务器版本号,只对更改之后的LDAP认证生效.
Microsoft的LDAP服务器只支持LDAPv3,配置LDAP版本为v2时无效.
【举例】#在LDAP服务器视图ccc下,配置LDAP协议版本号为LDAPv2.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]protocol-versionv2【相关命令】displayldapscheme1.
5.
14search-base-dnsearch-base-dn命令用来配置用户查询的起始DN.
undosearch-base-dn命令用来恢复缺省情况.
【命令】search-base-dnbase-dnundosearch-base-dn【缺省情况】未指定用户查询的起始DN.
1-205【视图】LDAP服务器视图【缺省用户角色】network-admin【参数】base-dn:查询待认证用户的起始DN值,为1~255个字符的字符串,不区分大小写.
【举例】#在LDAP服务器视图ccc下,配置用户查询的起始DN为dc=ldap,dc=com.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]search-base-dndc=ldap,dc=com【相关命令】displayldapschemeldapserver1.
5.
15search-scopesearch-scope命令用来配置用户查询的范围.
undosearch-scope命令用来恢复缺省情况.
【命令】search-scope{all-level|single-level}undosearch-scope【缺省情况】用户查询的范围为all-level.
【视图】LDAP服务器视图【缺省用户角色】network-admin【参数】all-level:表示在起始DN的所有子目录下进行查询.
single-level:表示只在起始DN的下一级子目录下进行查询.
【举例】#在LDAP服务器视图ccc下,配置在起始DN的所有子目录下查询LDAP认证用户.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]search-scopeall-level【相关命令】displayldapscheme1-206ldapserver1.
5.
16server-timeoutserver-timeout命令用来配置LDAP服务器连接超时时间,即认证、授权时等待LDAP服务器回应的最大时间.
undoserver-timeout命令用来恢复缺省情况.
【命令】server-timeouttime-intervalundoserver-timeout【缺省情况】LDAP服务器连接超时时间为10秒.
【视图】LDAP服务器视图【缺省用户角色】network-admin【参数】time-interval:LDAP服务器连接超时时间,取值范围为5~20,单位为秒.
【使用指导】更改后的连接超时时间,只对更改之后的LDAP认证生效.
【举例】#在LDAP服务器视图ccc下,配置LDAP服务器连接超时时间为15秒.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]server-timeout15【相关命令】displayldapscheme1.
5.
17user-parametersuser-parameters命令用来配置LDAP用户查询的属性参数,包括用户名属性、用户名格式和自定义用户对象类型.
undouser-parameters命令用来将指定的LDAP用户查询的属性参数恢复为缺省值.
【命令】user-parameters{user-name-attribute{name-attribute|cn|uid}|user-name-format{with-domain|without-domain}|user-object-classobject-class-name}undouser-parameters{user-name-attribute|user-name-format|user-object-class}1-207【缺省情况】user-name-attribute为cn;user-name-format为without-domain;未指定自定义user-object-class,根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型.
【视图】LDAP服务器视图【缺省用户角色】network-admin【参数】user-name-attribute{name-attribute|cn|uid}:表示用户名的属性类型.
其中,name-attribute表示属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户登录帐号的属性为cn(CommonName);uid表示用户登录帐号的属性为uid(UserID).
user-name-format{with-domain|without-domain}:表示发送给服务器的用户名格式.
其中,with-domain表示发送给服务器的用户名带ISP域名;without-domain表示发送给服务器的用户名不带ISP域名.
user-object-classobject-class-name:表示查询用户DN时使用的用户对象类型.
其中,object-class-name表示对象类型值,为1~64个字符的字符串,不区分大小写.
【使用指导】如果LDAP服务器上的用户名不包含域名,必须配置user-name-format为without-domain,将用户名的域名去除后再传送给LDAP服务器;如果包含域名则需配置user-name-format为with-domain.
【举例】#在LDAP服务器视图ccc下,配置用户对象类型为person.
system-view[Sysname]ldapserverccc[Sysname-ldap-server-ccc]user-parametersuser-object-classperson【相关命令】displayldapschemelogin-dn

pacificrack7月美国便宜支持win VPS,$19.99/年,2G内存/1核/50gSSD/1T流量

pacificrack发布了7月最新vps优惠,新款促销便宜vps采用的是魔方管理,也就是PR-M系列。提一下有意思的是这次支持Windows server 2003、2008R2、2012R2、2016、2019、Windows 7、Windows 10,当然啦,常规Linux系统是必不可少的!1Gbps带宽、KVM虚拟、纯SSD raid10、自家QN机房洛杉矶数据中心...支持PayPal、...

HostKvm开年促销:香港国际/美国洛杉矶VPS七折,其他机房八折

HostKvm也发布了开年促销方案,针对香港国际和美国洛杉矶两个机房的VPS主机提供7折优惠码,其他机房业务提供8折优惠码。商家成立于2013年,提供基于KVM架构的VPS主机,可选数据中心包括日本、新加坡、韩国、美国、中国香港等多个地区机房,均为国内直连或优化线路,延迟较低,适合建站或者远程办公等。下面列出几款主机配置信息。美国洛杉矶套餐:美国 US-Plan1CPU:1core内存:2GB硬盘...

DMIT:香港国际线路vps,1.5GB内存/20GB SSD空间/4TB流量/1Gbps/KVM,$9.81/月

DMIT怎么样?DMIT是一家美国主机商,主要提供KVM VPS、独立服务器等,主要提供香港CN2、洛杉矶CN2 GIA等KVM VPS,稳定性、网络都很不错。支持中文客服,可Paypal、支付宝付款。2020年推出的香港国际线路的KVM VPS,大带宽,适合中转落地使用。现在有永久9折优惠码:July-4-Lite-10OFF,季付及以上还有折扣,非 中国路由优化;AS4134,AS4837 均...

与服务器断开连接为你推荐
建企业网站建立一个企业网站要多少费用重庆400年老树穿楼生长重庆海拔500左右的红沙土适合栽哪种果树flashfxp下载求最新无需注册的FlashFXP下载地址资费标准中国电信套餐资费一览表2021即时通EC营销即时通是什么?做什么的?可信网站可信网站认证网站制作套餐做一个网站要多少钱申请400电话400电话申请怎么办理?是不是免费的?站点管理站点名称是什么意思discuz7.0安装discuz出现Discuz! Database Error (0) notconnect 怎么办?
新网域名 联通vps 联通c套餐 rackspace 密码泄露 evssl证书 网通服务器ip dux 河南移动邮件系统 183是联通还是移动 共享主机 vip购优惠 卡巴斯基破解版 33456 常州联通宽带 西安主机 酸酸乳 江苏徐州移动 沈阳idc hosting 更多