01-AAA命令
本章節下載: 01-AAA命令 (457.99 KB)
1.1.9 authentication lan-access
1.1.14 authorization lan-access
1.1.16 authorization-attribute user-profile
1.1.25 self-service-url enable
1.2.2 authorization-attribute(Local user view/user group view)
1.2.6 expiration-date(Local user view)
1.2.8 group-attribute allow-guest
1.2.14 validity-date(Local user view)
1.3.3 data-flow-format (RADIUS scheme view)
1.3.5 display radius statistics
1.3.6 display stop-accounting-buffer (for RADIUS)
1.3.7 key (RADIUS scheme view)
1.3.8 nas-ip (RADIUS scheme view)
1.3.9 primary accounting (RADIUS scheme view)
1.3.10 primary authentication (RADIUS scheme view)
1.3.17 reset radius statistics
1.3.18 reset stop-accounting-buffer (for RADIUS)
1.3.20 retry realtime-accounting
1.3.21 retry stop-accounting (RADIUS scheme view)
1.3.22 secondary accounting (RADIUS scheme view)
1.3.23 secondary authentication (RADIUS scheme view)
1.3.28 stop-accounting-buffer enable (RADIUS scheme view)
1.3.29 timer quiet (RADIUS scheme view)
1.3.30 timer realtime-accounting (RADIUS scheme view)
1.3.31 timer response-timeout (RADIUS scheme view)
1.3.32 user-name-format (RADIUS scheme view)
1.4.1 data-flow-format (HWTACACS scheme view)
1.4.3 display stop-accounting-buffer (for HWTACACS)
1.4.6 key (HWTACACS scheme view)
1.4.7 nas-ip (HWTACACS scheme view)
1.4.8 primary accounting (HWTACACS scheme view)
1.4.9 primary authentication (HWTACACS scheme view)
1.4.11 reset hwtacacs statistics
1.4.12 reset stop-accounting-buffer (for HWTACACS)
1.4.13 retry stop-accounting (HWTACACS scheme view)
1.4.14 secondary accounting (HWTACACS scheme view)
1.4.15 secondary authentication (HWTACACS scheme view)
1.4.16 secondary authorization
1.4.17 stop-accounting-buffer enable (HWTACACS scheme view)
1.4.18 timer quiet (HWTACACS scheme view)
1.4.19 timer realtime-accounting (HWTACACS scheme view)
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
profile-name:Profile名稱,為1~16個字符的字符串,不區分大小寫。該Profile用於保存NAS-ID與VLAN的綁定關係。
【描述】
aaa nas-id profile命令用來創建NAS-ID Profile並進入NAS-ID-Profile視圖。undo aaa nas-id profile命令用來刪除一個指定的NAS-ID Profile。
相關配置可參考命令nas-id bind vlan。
【舉例】
# 創建一個名字為aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【命令】
access-limit enable max-user-number
undo access-limit enable
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
max-user-number:表示當前ISP域可容納接入用戶數的最大值,取值範圍為1~2147483646。
【描述】
access-limit enable命令用來限製當前ISP域可容納接入用戶數。當接入此域的用戶數超過當前ISP域可容納的最大用戶數後,新接入的用戶將被拒絕。undo access-limit enable命令用來恢複缺省情況。
缺省情況下,不限製當前ISP域可容納的接入用戶數。
需要注意的是,由於係統資源有限,如果當前ISP域下接入的用戶過多,接入用戶之間會發生資源的爭用,因此適當地配置該值可以使屬於當前ISP域的用戶獲得可靠的性能保障。
相關配置可參考命令display domain。
【舉例】
# 指定ISP域test最多可容納500個接入用戶。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] access-limit enable 500
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
accounting command命令用來配置命令行計費方法。undo accounting command命令用來恢複缺省情況。
缺省情況下,命令行計費采用當前ISP域的缺省計費方法。
需要注意的是:
· 當前ISP域所引用的HWTACACS方案必須是已配置的。
· 命令行計費支持的遠程AAA方案目前僅為HWTACACS方案。
相關配置可參考命令accounting default和hwtacacs scheme。
【舉例】
# 在ISP域test下,配置使用HWTACACS計費方案hwtac進行命令行計費。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting default
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
accounting default命令用來為當前ISP域配置缺省的計費方法。undo accounting default命令用來恢複缺省情況。
缺省情況下,當前ISP域的缺省計費方法為local。
需要注意的是:
· 當前ISP域所引用的RADIUS或HWTACACS方案必須是已配置的。
· 當前ISP域的缺省計費方法對於該域中未指定具體計費方法的所有接入用戶都起作用,但是如果某類型的用戶不支持指定的計費方法,則該計費方法對於這類用戶不能生效。
· 本地計費隻是為了支持本地用戶的連接數管理,沒有實際的計費相關的統計功能。
相關配置可參考命令local-user、hwtacacs scheme和radius scheme。
【舉例】
# 在ISP域test下,配置缺省計費方法為使用RADIUS方案rd進行計費,並且使用local作為備份計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
accounting lan-access { local | none | radius-scheme radius-scheme-name [ local | none] }
undo accounting lan-access
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
accounting lan-access命令用來為lan-access用戶配置計費方法。undo accounting lan-access命令用來恢複缺省情況。
缺省情況下,lan-access用戶采用當前ISP域的缺省計費方法。
需要注意的是,當前ISP域所引用的RADIUS方案必須是已配置的。
相關配置可參考命令local-user、accounting default和radius scheme。
【舉例】
# 在ISP域test下,為lan-access用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access local
# 在ISP域test下,配置lan-access用戶使用RADIUS方案rd進行計費,並且使用local作為備份計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting login
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
accounting login命令用來為login用戶配置計費方法。undo accounting login命令用來恢複缺省情況。
缺省情況下,login用戶采用當前ISP域的缺省計費方法。
需要注意的是:
· 當前ISP域所引用的RADIUS或HWTACACS方案必須是已配置的。
· FTP類型的login用戶不支持計費流程。
相關配置可參考命令local-user、accounting default、hwtacacs scheme和radius scheme。
【舉例】
# 在ISP域test下,為login用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用戶使用RADIUS方案rd進行計費,並且使用local作為備份計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【命令】
accounting optional
undo accounting optional
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
accounting optional命令用來打開計費可選開關。undo accounting optional命令用來關閉計費可選開關。
缺省情況下,計費可選開關處於關閉狀態。
需要注意的是:
· 對上線用戶計費時,如果發現沒有可用的計費服務器或與計費服務器通信失敗時,若配置了本命令,則用戶可以繼續使用網絡資源,且係統不再為其發送實時計費更新報文,否則用戶連接將被切斷。該命令適用於不是特別關心計費結果的情況下。
· 計費可選開關打開的情況下,本地用戶視圖下的access-limit命令配置的本地用戶的連接數限製功能不生效。
【舉例】
# 打開ISP域test的計費可選開關。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting optional
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication default
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
authentication default命令用來為當前ISP域配置缺省的認證方法。undo authentication default命令用來為恢複缺省情況。
缺省情況下,當前ISP域的缺省認證方法為local。
需要注意的是:
· 當前ISP域所引用的RADIUS、HWTACACS方案必須是已配置的。
· 當前ISP域的缺省的認證方法對於該域中未指定具體認證方法的所有接入用戶都起作用,但是如果某類型的用戶不支持指定的認證方法,則該認證方法對於這類用戶不能生效。
相關配置可參考命令local-user、hwtacacs scheme、radius scheme。
【舉例】
# 在ISP域test下,配置缺省認證方法為使用RADIUS方案rd進行認證,並且使用local作為備份認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
【命令】
authentication lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }
undo authentication lan-access
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
authentication lan-access命令用來為lan-access用戶配置認證方法。undo authentication lan-access命令用來恢複缺省情況。
缺省情況下,lan-access用戶采用當前ISP域的缺省認證方法。
需要注意的是,當前ISP域所引用的RADIUS方案必須是已配置的。
相關配置可參考命令local-user、authentication default和radius scheme。
【舉例】
# 在ISP域test下,為lan-access用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access local
# 在ISP域test下,配置lan-access用戶使用RADIUS方案rd進行認證,並且local作為備份認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access radius-scheme rd local
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication login
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
authentication login命令用來為login用戶配置認證方法。undo authentication login命令用來恢複缺省情況。
缺省情況下,login用戶采用當前ISP域的缺省認證方法。
需要注意的是,當前ISP域所引用的RADIUS、HWTACACS方案必須是已配置的。
相關配置可參考命令local-user、authentication default、hwtacacs scheme、radius scheme。
【舉例】
# 在ISP域test下,為login用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用戶使用RADIUS方案rd進行認證,並且使用local作為備份認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
【命令】
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name }
undo authentication super
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
authentication super命令用來配置級別切換認證方法。undo authentication super命令用來恢複缺省情況。
缺省情況下,級別切換認證采用當前ISP域的缺省認證方法。
需要注意的是,當前ISP域所引用的RADIUS方案和HWTACACS方案必須是已配置的。
相關配置可參考命令hwtacacs scheme、radius scheme和“基礎命令參考/CLI”中的命令super authentication-mode。
【舉例】
# 在ISP域test下,配置使用HWTACACS方案tac進行級別切換認證。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-domain-test] authentication super hwtacacs-scheme tac
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local | none ] | local | none }
undo authorization command
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權,認證通過的用戶隻有係統所給予的0級別的命令行訪問權限。
【描述】
authorization command命令用來配置命令行授權方法。undo authorization command命令用來恢複缺省情況。
缺省情況下,命令行授權采用當前ISP域的缺省授權方法。
需要注意的是:
· 當前ISP域所引用的HWTACACS方案必須是已配置的。
· 對用戶采用本地命令行授權時,成功登錄設備的用戶隻能執行不大於本地用戶級別的命令行。
相關配置可參考命令local-user、authorization default和hwtacacs scheme。
【舉例】
# 在ISP域test下,配置命令行授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac進行命令行授權,並且使用local作為備份授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization default
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的Login用戶(通過Console口或者Telnet、FTP訪問設備的用戶)隻有係統所給予的0級別的命令行訪問權限,其中FTP用戶可訪問設備的根目錄;認證通過的非Login用戶可直接訪問網絡。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
authorization default命令用來為當前ISP域配置缺省的授權方法。undo authorization default命令用來恢複缺省情況。
缺省情況下,當前ISP域的缺省授權方法為local。
需要注意的是:
· 當前ISP域所引用的RADIUS、HWTACACS方案必須是已配置的。
· 當前ISP域的缺省的授權方法對於該域中未指定具體授權方法的所有接入用戶都起作用,但是如果某類型的用戶不支持指定的授權方法,則該授權方法對於這類用戶不能生效。
· 在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
相關配置可參考命令local-user、hwtacacs scheme、radius scheme。
【舉例】
# 在ISP域test下,配置缺省授權方法為使用RADIUS方案rd進行授權,並且使用local作為備份授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
【命令】
authorization lan-access { local | none | radius-scheme radius-scheme-name [ local | none ] }
undo authorization lan-access
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權,認證通過的lan-access用戶可直接訪問網絡。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
authorization lan-access命令用來為lan-access用戶配置授權方法。undo authorization lan-access命令用來為恢複缺省情況。
缺省情況下,lan-access用戶采用當前ISP域的缺省授權方法。
需要注意的是:
· 當前ISP域所引用的RADIUS方案必須是已配置的。
· 在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
相關配置可參考命令local-user、authorization default和radius scheme。
【舉例】
# 在ISP域test下,為lan-access用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access local
# 在ISP域test下,配置lan-access用戶使用RADIUS方案rd進行授權,並且使用local作為備份授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access radius-scheme rd local
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization login
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的Login用戶(通過Console口或者Telnet、FTP訪問設備的用戶)隻有係統所給予的0級別的命令行訪問權限,其中FTP用戶可訪問設備的根目錄。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
authorization login命令用來為login用戶配置授權方法。undo authorization login命令用來恢複缺省情況。
缺省情況下,login用戶采用當前ISP域的缺省授權方法。
需要注意的是:
· 當前ISP域所引用的RADIUS、HWTACACS方案必須是已配置的。
· 在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
相關配置可參考命令local-user、authorization default、hwtacacs scheme、radius scheme。
【舉例】
# 在ISP域test下,為login用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用戶使用RADIUS方案rd進行授權,並且使用local作為備份授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
【命令】
authorization-attribute user-profile profile-name
undo authorization-attribute user-profile
【視圖】
ISP域視圖
【缺省級別】
3:管理級
【參數】
profile-name:指定的User Profile名稱,為1~31個字符的字符串,區分大小寫。User Profile的相關配置請參考“安全配置指導”中的“User Profile”。
【描述】
authorization-attribute user-profile命令用於配置當前ISP域的缺省授權User Profile。undo authorization-attribute user-profile命令用於恢複缺省情況。
缺省情況下,當前ISP域無缺省授權User Profile。
如果當前ISP域的用戶認證成功,但認證服務器(包括本地認證下的接入設備)未對該ISP域下發授權User Profile,則係統使用本配置指定的User Profile作為當前ISP域的授權User Profile。
需要注意的是,重複配置本命令,會覆蓋原有的配置。
【舉例】
# 配置test域下的缺省授權User Profile為profile1。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization-attribute user-profile profile1
【命令】
cut connection { access-type { dot1x | mac-authentication } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id } [ slot slot-number ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
access-type:指定接入方式。
· dot1x:表示802.1X認證接入方式;
· mac-authentication:表示MAC地址認證接入方式。
all:指定所有用戶連接。
domain isp-name:指定ISP域。其中,isp-name為ISP域名,為1~24個字符的字符串。
interface interface-type interface-number:指定接口。其中,interface-type interface-number為接口類型和接口編號。目前隻支持二層以太網端口。
ip ip-address:指定IP地址。
mac mac-address:指定MAC地址。其中,mac-address為H-H-H格式。
ucibindex ucib-index:指定連接索引號,取值範圍為0~4294967295。
user-name user-name:指定用戶名。其中,user-name表示用戶名,為1~80個字符的字符串,區分大小寫。若用戶輸入的用戶名未攜帶域名,則係統默認其帶缺省域名或強製認證域名。
vlan vlan-id:指定用戶所在VLAN。其中,vlan-id的取值範圍為1~4094。
slot slot-number:指定設備編號。slot-number取值隻能為1。
【描述】
cut connection命令用來強製切斷指定AAA用戶的連接。
此命令目前隻對lan-access服務類型的用戶有效。
需要注意的是:
· 如果客戶端配置的用戶名攜帶版本號或者用戶名中存在空格,則無法通過用戶名來檢索和切斷用戶連接,但是通過其他方式(如IP地址、連接索引號等)仍然可以檢索和切斷用戶的連接。
· 如果接入用戶的接口上配置了指定接入類型的強製認證域(例如802.1X強製認證域),則通過該接口上線的指定接入類型的用戶將使用強製認證域進行認證、授權和計費,因此若要通過cut connection domain isp-name命令切斷該類用戶連接,則必須指定用戶使用的強製認證域名。
· 對於使用域名分隔符\或者/的802.1X在線用戶,不能通過cut connection user-name user-name命令切斷其連接。例如,執行命令cut connection user-name aaa\bbb後,不能切斷在線用戶aaa\bbb的連接。
相關配置可參考命令display connection和service-type。
【舉例】
# 切斷ISP域test下的所有用戶連接。
<Sysname> system-view
[Sysname] cut connection domain test
【命令】
display connection [ access-type { dot1x | mac-authentication } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
access-type:顯示指定接入方式的用戶連接。
· dot1x:表示802.1X認證接入方式;
· mac-authentication:表示MAC地址認證接入方式。
domain isp-name:顯示指定ISP域中的用戶連接。其中,isp-name表示ISP域名,為1~24個字符的字符串,不區分大小寫。
interface interface-type interface-number:顯示指定接口的用戶連接。其中,interface-type interface-number為接口類型和接口編號。目前隻支持二層以太網端口。
ip ip-address:顯示指定IP地址的用戶連接。
mac mac-address:顯示指定MAC地址的用戶連接。其中,mac-address為H-H-H格式。
ucibindex ucib-index:顯示指定連接索引的用戶連接。其中,ucib-index表示連接索引號,取值範圍為0~4294967295。
user-name user-name:顯示指定用戶名的用戶連接。其中,user-name表示用戶名,為1~80個字符的字符串,區分大小寫。若用戶輸入的用戶名未攜帶域名,則係統默認其帶缺省域名或強製認證域名。
vlan vlan-id:顯示指定VLAN的用戶連接。其中,vlan-id的取值範圍為1~4094。
slot slot-number:顯示設備上的用戶連接。slot-number取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display connection命令用來顯示所有或指定的AAA用戶連接的相關信息。
需要注意的是:
· 不指定任何參數的情況下,係統顯示所有AAA用戶連接的概要信息。
· 指定參數ucibindex的情況下,顯示詳細的用戶連接信息,指定其他參數則顯示概要信息。
· 對於FTP類型用戶,無法顯示AAA用戶連接的相關信息。
· 如果接入用戶的接口上配置了強製認證域(例如802.1X強製認證域),則通過該接口上線的用戶將使用強製認證域進行認證、授權和計費。通過本命令查看到的用戶名形式與用戶輸入的用戶名是否攜帶域名有關,如果用戶輸入的用戶名未攜帶域名分隔符,則設備默認以“用戶輸入的用戶名@強製認證域名”的形式顯示用戶名,因此若要通過display connection domain isp-name命令顯示該類用戶信息,則必須指定用戶使用的強製認證域名;如果用戶輸入的用戶名中已經包含了域名分隔符,則係統僅顯示用戶輸入的用戶名,而不攜帶強製認證域名。例如,用戶輸入的用戶名為aaa@123,上線時使用的強製認證域為dom,則設備上顯示出的用戶名為aaa@123,而不是aaa@123@dom。
· 對於使用域名分隔符\或者/的802.1X在線用戶,不能通過display connection user-name user-name命令查看到其相關信息。例如,執行命令display connection user-name aaa\bbb後,不能查詢到在線用戶aaa\bbb的相關信息。
相關配置可參考命令cut connection。
【舉例】
# 顯示所有AAA用戶連接的相關信息。
<Sysname> display connection
Slot: 1
Index=0 , Username=telnet@system
IP=10.0.0.1
IPv6=N/A
Total 1 connection(s) matched on slot 1.
Total 1 connection(s) matched.
# 顯示連接索引為0的AAA用戶連接的詳細信息。
<Sysname> display connection ucibindex 0
Slot: 1
Index=0 , Username=telnet@system
IP=10.0.0.1
IPv6=N/A
Access=Admin ,AuthMethod=PAP
Port Type=Virtual ,Port Name=N/A
Initial VLAN=999, Authorization VLAN=20
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2011-01-16 10:53:03 ,Current=2011-01-16 10:57:06 ,Online=00h04m03s
Total 1 connection matched.
表1-1 display connection命令顯示信息描述表
字段 |
描述 |
Index |
用戶連接的索引號 |
Username |
當前連接的用戶名,格式為username@domain |
MAC |
該用戶的MAC地址 |
IP |
該用戶IPv4地址 |
IPv6 |
該用戶IPv6地址 |
Access |
用戶接入類型 |
AuthMethod |
認證方法 |
Port Type |
用戶接入的端口類型 |
Port Name |
用戶接入的端口名稱 |
Initial VLAN |
用戶所在的初始VLAN |
Authorization VLAN |
授權untagged VLAN |
Authorization Tagged VLAN list |
授權tagged VLAN列表 |
ACL Group |
授權ACL組 |
User Profile |
授權User Profile |
CAR(kbps) |
授權CAR參數信息 |
UpPeakRate |
上行峰值速率 |
DnPeakRate |
下行峰值速率 |
UpAverageRate |
上行平均速率 |
DnAverageRate |
下行平均速率 |
Priority |
用戶報文的處理優先級 |
Start=xxx ,Current=xxx ,Online=xxx |
用戶上線的時間,當前的係統時間,用戶在線時長 |
Total 1 connection(s) matched. |
總計1個AAA用戶連接 |
【命令】
display domain [ isp-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
isp-name:指定ISP域名,為1~24個字符的字符串。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display domain命令用來顯示指定ISP域的配置信息。
如果不指定ISP域,則顯示係統中所有ISP域的配置信息。
相關配置可參考命令access-limit enable、domain和state。
【舉例】
# 顯示係統中所有ISP域的配置信息。
0 Domain : system
State : Active
Access-limit : Disabled
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
dscp: 63
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Authorization attributes :
1 Domain : test
State : Active
Access-limit : Disabled
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Lan-access authentication scheme : radius:test, local
Lan-access authorization scheme : radius:test, local
Lan-access accounting scheme : local
dscp: 63
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Authorization attributes :
User-profile : profile1
Default Domain Name: system
Total 2 domain(s).
表1-2 display domain命令顯示信息描述表
字段 |
描述 |
Domain |
ISP域名 |
State |
ISP域的當前狀態 · Active:激活狀態,表示係統允許該域下的用戶請求網絡服務 · Block:阻塞狀態,表示係統不允許該域下的用戶請求網絡服務 |
Access-limit |
ISP所能容納的最大接入用戶數(若顯示為Disabled,則表示不限製當前ISP域可容納接入用戶數) |
Accounting method |
計費方法是否可選 · Required:必選,表示如果發現沒有可用的計費服務器或與計費服務器通信失敗時,將切斷用戶連接 · Optional:可選,表示如果發現沒有可用的計費服務器或與計費服務器通信失敗時,用戶可以繼續使用網絡資源 |
Default authentication scheme |
缺省的認證方法 |
Default authorization scheme |
缺省的授權方法 |
Default accounting scheme |
缺省的計費方法 |
Lan-access authentication scheme |
lan-access用戶的認證方法 |
Lan-access authorization scheme |
lan-access用戶的授權方法 |
Lan-access accounting scheme |
lan-access用戶的計費方法 |
dscp |
該ISP域用戶IP報文的DSCP優先級 |
Domain User Template |
ISP域的用戶模板,定義了與域用戶相關的一些功能 |
Idle-cut |
ISP域的用戶閑置切斷功能 · Disabled:未使能,表示不對用戶進行限製切斷控製 · Enabled:使能,表示當域中的用戶在指定的最大空閑時間內的產生的流量小於指定的最小數據流量時,會被強製下線 |
Self-service |
自助服務定位功能 · Disabled:自助服務定位功能處於未使能狀態 · Self-service URL:用戶可以通過瀏覽器訪問該URL指定的服務器頁麵,並進行相應的操作 |
Authorization attributes |
ISP域的缺省授權屬性 |
User-profile |
缺省授權User Profile名稱 |
Default Domain Name |
缺省ISP域名 |
Total 2 domain(s). |
總計2個ISP域 |
【命令】
domain isp-name
undo domain isp-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
isp-name:ISP域名,為1~24個字符的字符串,不區分大小寫,不能包括“/”、“\”、“:”、“*”、“?”、“<”、“>”、“"”、“|”以及“@”字符。
【描述】
domain命令用來創建ISP域並進入其視圖。undo domain命令用來刪除指定的ISP域。
缺省情況下,係統存在一個名稱為system的ISP域。
需要注意的是:
· 所有的ISP域在創建後即處於active狀態。
· 不能刪除係統中預定義的ISP域system,隻能修改該域的配置。
· 不能刪除係統缺省的ISP域,除非先恢複要刪除的域為非缺省域,係統缺省的ISP域的配置請參考domain default enable命令。
相關配置可參考命令state和display domain。
【舉例】
# 創建一個新的ISP域test,並進入其視圖。
<Sysname> system-view
[Sysname] domain test
【命令】
domain default enable isp-name
undo domain default enable
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
isp-name:ISP域名,為1~24個字符的字符串,不區分大小寫。
【描述】
domain default enable命令用來配置係統缺省的ISP域,所有在登錄時沒有提供ISP域名的用戶都屬於這個域。undo domain default enable命令用來恢複缺省情況。
缺省情況下,係統缺省的ISP域為system。
需要注意的是:
· 缺省的ISP域有且隻有一個。
· 指定的缺省ISP域要必須存在,否則會導致用戶名中未攜帶域名的用戶無法進行認證。
· 配置為缺省的ISP域不能被刪除,除非先恢複要刪除的域為非缺省域。
相關配置可參考命令domain、state和display domain。
【舉例】
# 創建一個新的ISP域test,並設置為係統缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【命令】
dscp dscp-value
undo dscp
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
dscp-value:指定協議報文優先級,取值範圍為0~63。
【描述】
dscp命令用來配置ISP域的DSCP優先級,該ISP域用戶通過認證後,IP報文會設置為指定的DSCP優先級。undo dscp命令用來恢複缺省情況。
缺省情況下,未配置ISP域的DSCP優先級,認證通過後用戶IP報文的DSCP優先級不改變。
【舉例】
# 配置ISP域aaa的DSCP優先級為6。
<Sysname> system-view
[Sysname] domain aaa
[Sysname -isp-aaa] dscp 6
【命令】
idle-cut enable minute [ flow ]
undo idle-cut enable
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
minute:指定閑置檢測時間,取值範圍為1~600,單位為分鍾。
flow:指定用戶在閑置檢測時間內產生的數據流量,取值範圍為1~10240000,單位為字節,缺省值為10240。
【描述】
idle-cut enable命令用來設置當前ISP域下的用戶閑置切斷功能。用戶上線後,設備會周期性檢測用戶的流量,若域內某用戶在指定的閑置檢測時間內產生的流量小於本命令中指定的數據流量,則會被強製下線。undo idle-cut enable命令用來恢複缺省情況。
缺省情況下,用戶閑置切斷功能處於關閉狀態。
需要注意的是,服務器上也可以配置最大空閑時間實現對用戶的閑置切斷功能,具體為當用戶在指定的閑置檢測時間內產生的流量小於10240個字節時,會被強製下線。但是,隻有在設備上的閑置切斷功能處於關閉狀態時,服務器才會根據自身的配置來控製用戶的閑置切斷。
【舉例】
# 允許ISP域test中的用戶啟用閑置切斷功能,閑置檢測時間為50分鍾,允許用戶閑置時的最小數據流量為1024個字節。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] idle-cut enable 50 1024
【命令】
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
【視圖】
NAS-ID Profile視圖
【缺省級別】
2:係統級
【參數】
nas-identifier:NAS-ID名稱,為1~20個字符的字符串,區分大小寫。
vlan-id:與NAS-ID綁定的VLAN ID,取值範圍為1~4094。
【描述】
nas-id bind vlan命令用來設置NAS-ID與VLAN的綁定關係,即把一個NAS-ID指定給一個VLAN。undo nas-id bind vlan命令用來刪除一個指定的NAS-ID和VLAN的綁定關係。
缺省情況下,未設置任何綁定關係。
需要注意的是:
· 一個NAS-ID Profile視圖下,可以指定多個NAS-ID與VLAN的綁定關係。
· 一個NAS-ID可以與多個VLAN綁定,但是一個VLAN隻能與一個NAS-ID綁定。若多次將一個VLAN與不同的NAS-ID進行綁定,則最後的綁定關係生效。
相關配置可參考命令aaa nas-id profile。
【舉例】
# 把NAS-ID 222指定給VLAN 2。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
【命令】
self-service-url enable url-string
undo self-service-url enable
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
url-string:表示自助服務器的URL,為1~64個字符的字符串。字符串必須以“http://”開始,字符串中不能包括“?”字符。該URL在安裝RADIUS服務器時由服務器管理員指定。
【描述】
self-service-url enable命令用來指定自助服務器的URL。undo self-service-url enable命令用來恢複缺省情況。
缺省情況下,自助服務器定位功能處於關閉狀態。
自助服務即用戶可以對自己的帳號和密碼進行管理和控製。目前,僅CAMS/iMC類型的RADIUS服務器支持自助服務。
【舉例】
# 在ISP域test下,配置自助服務器修改用戶密碼頁麵的URL為http://10.153.89.94/selfservice。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] self-service-url enable http://10.153.89.94/selfservice
【命令】
state { active | block }
undo state
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
active:指定當前ISP域處於活動狀態,即係統允許該域下的用戶請求網絡服務。
block:指定當前ISP域處於“阻塞”狀態,即係統不允許該域下的用戶請求網絡服務。
【描述】
state命令用來設置當前ISP域的狀態。undo state命令用來恢複缺省情況。
缺省情況下,當一個ISP域被創建以後,其狀態為active(ISP域視圖)。
當指定某個ISP域處於block狀態時,不允許該域下的用戶請求網絡服務,但是不影響已經在線的用戶。
【舉例】
# 設置當前ISP域test處於“阻塞”狀態,域下的接入用戶不能再請求網絡服務。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
【命令】
access-limit max-user-number
undo access-limit
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
max-user-number:表示使用當前用戶名接入設備的最大用戶數,取值範圍為1~1024。
【描述】
access-limit命令用來設置當前用戶名可容納的最大接入用戶數。undo access-limit命令用來取消對當前用戶名的接入用戶數限製。
缺省情況下,不限製當前本地用戶名可容納的接入用戶數。
需要注意的是:
· 本地用戶的access-limit命令隻在該用戶采用了本地計費方法的情況下生效。
· 由於FTP用戶不支持計費,因此FTP用戶不受此屬性限製。
相關配置可參考命令display local-user。
【舉例】
# 允許同時以用戶名abc在線的用戶數為5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] access-limit 5
【命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | user-role { guest | guest-manager | security-audit } | vlan vlan-id | work-directory directory-name } *
undo authorization-attribute { acl | idle-cut | level | user-profile | user-role | vlan | work-directory } *
【視圖】
本地用戶視圖/用戶組視圖
【缺省級別】
3:管理級
【參數】
acl acl-number:指定本地用戶的授權ACL。其中,acl-number為授權ACL的編號,取值範圍為2000~5999。本地用戶認證成功後,將被授權僅可以訪問符合指定ACL規則的網絡資源。
callback-number callback-number:指定本地用戶的授權PPP回呼號碼。其中,callback-number為1~64個字符的字符串,區分大小寫。本地用戶認證成功後,設備將可以使用該用戶的授權PPP回呼號碼向對端發起回呼。
idle-cut minute:設置本地用戶的閑置切斷時間。其中,minute為設定的閑置切斷時間,取值範圍為1~120,單位為分鍾。如果用戶在線後連續閑置的時長超過該值,設備會強製該用戶下線。
level level:指定本地用戶的級別,取值範圍為0~3。其中0為訪問級、1為監控級、2為係統級、3為管理級,數值越小,用戶的級別越低。當登錄設備用戶界麵的驗證方式配置為scheme時,用戶成功登錄後所能訪問的命令行的級別由本參數決定。缺省情況下,本地用戶的級別為0,即用戶成功登錄後缺省可以訪問級別為0的命令行。
user-profile profile-name:指定本地用戶的授權User Profile。其中,profile-name表示用戶配置文件的名稱,為1~32個字符的字符串,隻能包含英文字母、數字、下劃線,且必須以英文字母開始,區分大小寫。當用戶通過認證上線後,其訪問行為將受到User Profile中預設配置的限製。關於User Profile的詳細介紹請參見“安全配置指導”中的“User Profile”。
user-role:指定授權本地用戶的角色,不同角色的用戶具有不同的命令行使用權限。該屬性僅在本地用戶視圖下支持。未被授權為某特殊角色的本地用戶,其認證成功後具有的訪問權限受其他本地用戶授權屬性限製。目前,設備支持的本地用戶角色包括以下幾種:
· guest:表示授權本地用戶為來賓用戶。通常,該角色的用戶通過Web頁麵創建。
· guest-manager:表示授權本地用戶為來賓管理員,該類型的本地用戶通過認證後,僅能通過Web訪問來賓用戶相關的頁麵,比如創建、修改和刪除來賓用戶。
· security-audit表示授權本地用戶為安全日誌管理員,該類型的本地用戶通過認證後,僅能執行與安全日誌文件操作相關的命令,比如保存安全日誌文件等,可執行命令的具體情況請參見“網絡管理和監控命令參考”中的“信息中心”。
vlan vlan-id:指定本地用戶的授權VLAN。本地用戶認證成功後,將被授權僅可以訪問指定VLAN內的網絡資源。其中,vlan-id為VLAN編號,取值範圍為1~4094。
work-directory directory-name:授權FTP/SFTP用戶可以訪問的目錄。其中,directory-name表示FTP/SFTP用戶可以訪問的目錄,為1~135個字符的字符串,不區分大小寫,且該目錄必須已經存在。缺省情況下,FTP/SFTP用戶可訪問設備的根目錄,可通過本參數來修改用戶可以訪問的目錄。
【描述】
authorization-attribute命令用來設置本地用戶或用戶組的授權屬性,該屬性在本地用戶認證通過之後,由設備下發給用戶。undo authorization-attribute命令用來刪除配置的授權屬性,恢複用戶具有的缺省訪問權限。
缺省情況下,未對本地用戶或用戶組設置任何授權屬性。
需要注意的是:
· 可配置的授權屬性都有其明確的使用環境和用途,請僅針對用戶的服務類型配置對應的授權屬性。
· 用戶組的授權屬性對於組內的所有本地用戶生效,因此具有相同屬性的用戶可通過加入相同的用戶組來統一配置和管理。
· 本地用戶視圖下未配置的授權屬性繼承所屬用戶組的授權屬性配置,但是如果本地用戶視圖與所屬的用戶組視圖下都配置了某授權屬性,則本地用戶視圖下的授權屬性生效。
· 係統中隻剩一個角色為安全日誌管理員的本地用戶時,該本地用戶就不能被刪除,而且也不能修改或刪除該本地用戶的安全日誌管理員角色,除非再指定一個新的用戶為安全日誌管理員。
· 一個本地用戶隻能被指定為一種角色,後設置的角色會覆蓋前麵設置的角色。
【舉例】
# 配置本地用戶abc的授權VLAN為VLAN 2。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] authorization-attribute vlan 2
# 配置用戶組abc的授權VLAN為VLAN 3。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
【命令】
bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *
undo bind-attribute { ip | location | mac | vlan } *
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
call-number call-number:指定ISDN用戶認證的主叫號碼。其中call-number為1~64個字符的字符串。該綁定屬性僅適用於PPP用戶,本設備不支持該參數的配置。
subcall-number:指定子主叫號碼。如果配置了子主叫號碼,則主叫號碼與子主叫號碼的總長度不能大於62個字符。
ip ip-address:指定用戶的IP地址。該綁定屬性僅適用於lan-access類型中的802.1X用戶。
location port slot-number subslot-number port-number:指定用戶綁定的端口。其中slot-number為單板所在槽位號,取值範圍為0~255;subslot-number為子槽位號,取值範圍為0~15;port-number為端口號,取值範圍0~255。該綁定屬性僅適用於lan-access類型的用戶。
mac mac-address:指定用戶的MAC地址。其中,mac-address為H-H-H格式。該綁定屬性僅適用於lan-access類型的用戶。
vlan vlan-id:指定用戶所屬於的VLAN。其中,vlan-id為VLAN編號,取值範圍為1~4094。該綁定屬性僅適用於lan-access類型的用戶。
【描述】
bind-attribute命令用來設置用戶的綁定屬性。undo bind-attribute命令用來刪除配置的用戶綁定屬性。
缺省情況下,未設置用戶的任何綁定屬性。
需要注意的是,當對本地用戶進行認證時,如果配置了綁定屬性,則會檢查用戶的實際屬性與配置的綁定屬性是否一致,如果不一致則認證失敗。而且,由於認證檢測時不區分用戶的接入服務類型,即會對所有類型的用戶都進行已配置綁定屬性的認證檢測,因此在配置綁定屬性時要考慮某類型的用戶是否需要綁定某些屬性。例如,隻有支持IP地址上傳功能的802.1X認證用戶才可以配置綁定IP地址;對於不支持IP地址上傳功能的MAC地址認證用戶,如果配置了綁定IP地址,則會導致該用戶的本地認證失敗。
【舉例】
# 配置本地用戶abc的綁定IP為3.3.3.3。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] bind-attribute ip 3.3.3.3
【命令】
display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | ssh | telnet | terminal | web } | state { active | block } | user-name user-name | vlan vlan-id ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
idle-cut { disable | enable }:顯示使能或未使能閑置切斷功能的本地用戶信息。其中,disable表示未啟用閑置切斷功能的本地用戶;enable表示啟用了閑置切斷功能並配置了閑置切斷時間的本地用戶。
service-type:顯示指定用戶類型的本地用戶信息。
· ftp:FTP用戶。
· lan-access:lan-access類型用戶(主要指以太網接入用戶,比如802.1X用戶)。
· ssh:SSH用戶。
· telnet:Telnet用戶。
· terminal:從CON口登錄的終端用戶。
· web:Web用戶。
state { active | block }:顯示處於指定狀態的本地用戶信息。其中,active表示用戶處於活動狀態,即係統允許該用戶請求網絡服務;block表示用於處於阻塞狀態,即係統不允許用戶請求網絡服務。
user-name user-name:顯示指定用戶名的本地用戶信息。其中,user-name表示本地用戶名,為1~55個字符的字符串,區分大小寫,不能攜帶域名。
vlan vlan-id:顯示指定VLAN內的所有本地用戶信息。其中,vlan-id為VLAN編號,取值範圍為1~4094。
slot slot-number:顯示設備上的本地用戶信息。slot-number取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display local-user命令用來顯示本地用戶的配置信息和在線用戶數的統計信息。
需要注意的是:如果不指定任何參數,則顯示所有本地用戶信息。
相關配置可參考命令local-user。
【舉例】
# 顯示所有本地用戶的相關信息。
<Sysname> display local-user
The contents of local user abc:
State: Active
ServiceType: lan-access
Access-limit: Enabled Current AccessNum: 0
Max AccessNum: 300
User-group: system
Bind attributes:
IP address: 1.2.3.4
Bind location: 1/4/1 (SLOT/SUBSLOT/PORT)
MAC address: 0001-0002-0003
Vlan ID: 100
Authorization attributes:
Idle TimeOut: 10(min)
Work Directory: flash:/
User Privilege: 3
Acl ID: 2000
Vlan ID: 100
User Profile: prof1
Expiration date: 12:12:12-2018/09/16
Password aging: Enabled (30 days)
Password length: Enabled (4 characters)
Password composition: Enabled (4 types, 2 characters per type)
Total 1 local user(s) matched.
表1-3 display local-user命令顯示信息描述表
字段 |
描述 |
State |
本地用戶的狀態(Active:激活、Block:阻塞) |
ServiceType |
本地用戶的服務類型(ftp、lan-access、ssh、telnet、terminal、web) |
Access-limit |
是否對使用該用戶名的接入連接數進行限製(Enabled:使能連接限製功能、Disabled:未使能連接限製功能) |
Current AccessNum |
使用該用戶名的當前接入用戶數 |
Max AccessNum |
最大接入用戶數 |
User-group |
本地用戶所屬用戶組 |
Bind attributes |
本地用戶的綁定屬性 |
IP address |
本地用戶綁定的IP地址 |
Bind location |
本地用戶綁定的端口 |
MAC address |
本地用戶綁定的MAC地址 |
VLAN ID |
本地用戶綁定的VLAN |
Calling Number |
ISDN用戶綁定的主叫號碼 |
Authorization attributes |
本地用戶的授權屬性 |
Idle TimeOut |
本地用戶閑置切斷時間(單位為分鍾) |
Work Directory |
FTP/SFTP用戶可以訪問的目錄 |
User Privilege |
本地用戶級別 |
VLAN ID |
本地用戶授權VLAN |
User Profile |
本地用戶授權User Profile |
Expiration date |
本地用戶的有效期 |
Password aging |
本地用戶密碼的老化時間 |
Password length |
本地用戶密碼的最小長度 |
Password composition |
本地用戶密碼的組合策略 |
Total 1 local user(s) matched. |
總計有1個本地用戶匹配 |
【命令】
display user-group [ group-name ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display user-group命令用來顯示用戶組的相關配置。不指定用戶組名稱,則顯示所有用戶組的相關配置。
相關配置請參考命令user-group。
【舉例】
# 顯示用戶組abc的相關配置。
<Sysname> display user-group abc
The contents of user group abc:
Authorization attributes:
Idle-cut: 120(min)
Work Directory: FLASH:
Level: 1
Acl Number: 2000
Vlan ID: 1
User-Profile: 1
Password aging: Enabled (1 days)
Password length: Enabled (4 characters)
Password composition: Enabled (1 types, 1 characters per type)
Total 1 user group(s) matched.
表1-4 display user-group命令顯示信息描述表
字段 |
描述 |
Idle-cut |
閑置切斷時間(單位:分鍾) |
Work Directory |
FTP/SFTP用戶可以訪問的目錄 |
Level |
本地用戶的級別 |
Acl Number |
授權ACL號 |
Vlan ID |
授權VlAN ID |
User-Profile |
授權User Profile名稱 |
Password aging |
本地用戶密碼老化時間 |
Password length |
本地用戶密碼最小長度 |
Password composition |
本地用戶密碼組合策略 |
Total 1 user group(s) matched. |
總計有1個用戶組匹配 |
【命令】
expiration-date time
undo expiration-date
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
time:本地用戶的有效期,精確到秒,格式為HH:MM:SS-MM/DD/YYYY(時:分:秒-月/日/年)、HH:MM:SS-YYYY/MM/DD(時:分:秒-年/月/日)、MM/DD/YYYY-HH:MM:SS(月/日/年-時:分:秒)或YYYY/MM/DD-HH:MM:SS(年/月/日-時:分:秒)。其中,HH:MM:SS中的HH取值範圍為0~23,MM和SS取值範圍為0~59;MM/DD/YYYY或YYYY/MM/DD中的MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。除表示零點外,格式中的前導0可以省略不寫,比如2:2:0-2011/2/2等效於02:02:00-2011/02/02。
【描述】
expiration-date命令用來設置本地用戶的有效期。undo expiration-date用來取消本地用戶的有效期配置。
缺省情況下,未設置用戶的有效期,設備不進行用戶有效期的檢查。
在有用戶臨時需要接入網絡的情況下,設備管理員可以為用戶建立臨時使用的來賓帳戶,並通過本命令與vaildity-date命令一起完成對用戶有效起止時間的控製。當用戶進行本地認證時,接入設備檢查當前係統時間是否在該用戶的生效時間與有效期之間,若在則允許用戶登錄,否則拒絕用戶登錄。
【舉例】
# 配置用戶abc的有效期為2011/01/31的12:10:20。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] expiration-date 12:10:20-2011/01/31
【命令】
group group-name
undo group
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
group命令用來設置本地用戶所屬的用戶組。undo group命令用來恢複缺省配置。
缺省情況下,用戶屬於係統默認創建的用戶組system。
【舉例】
# 設置本地用戶111所屬的用戶組為abc。
<Sysname> system-view
[Sysname] local-user 111
[Sysname-luser-111] group abc
【命令】
group-attribute allow-guest
undo group-attribute allow-guest
【視圖】
用戶組視圖
【缺省級別】
3:管理級
【參數】
無
【描述】
group-attribute allow-guest命令用來設置用戶組的來賓可選屬性,即允許來賓用戶管理員在Web頁麵上創建的來賓用戶加入該用戶組。undo group-attribute allow-guest命令用來恢複缺省情況。
缺省情況下,用戶組不具有來賓可選屬性,來賓用戶管理員在Web界麵上創建的來賓用戶不能加入該用戶組。
需要注意的是,係統默認創建的用戶組system缺省就具有來賓可選屬性,並且該屬性不能被刪除。
【舉例】
# 設置用戶組test允許來賓用戶加入。
<Sysname> system-view
[Sysname] user-group test
[Sysname-ugroup-test] group-attribute allow-guest
【命令】
local-user user-name
undo local-user { user-name | all [ service-type { ftp | lan-access | ssh | telnet | terminal | web } ] }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
user-name:表示本地用戶名,為1~55個字符的字符串,區分大小寫。用戶名不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”或“all”。
all:所有的用戶。
service-type:指定用戶的類型。具體用戶類型如下:
· ftp:表示FTP類型用戶;
· lan-access:表示lan-access類型用戶(主要指以太網接入用戶,比如802.1X用戶);
· ssh:表示SSH用戶;
· telnet:表示Telnet用戶;
· terminal:表示從Console口登錄的終端用戶;
· web:表示Web用戶。
【描述】
local-user命令用來添加本地用戶並進入本地用戶視圖。undo local-user命令用來刪除指定的本地用戶。
缺省情況下,無本地用戶。
相關配置可參考命令display local-user和service-type。
【舉例】
# 添加名稱為user1的本地用戶。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1]
【命令】
password [ [ hash ] { cipher | simple } password ]
undo password
【視圖】
本地用戶視圖
【缺省級別】
2:係統級
【參數】
hash: 以哈希加密算法方式保存密碼並顯示為密碼的hash值。
cipher:表示以密文方式設置用戶密碼。
simple:表示以明文方式設置用戶密碼。
password:設置的明文密碼或密文密碼,區分大小寫。
· 如果未指定哈希加密算法保存時,明文密碼為1~63個字符的字符串;密文密碼為1~117個字符的字符串;
· 如果指定哈希加密算法保存,明文密碼為1~63個字符的字符串;密文密碼為1~110個字符的字符串。
【描述】
password命令用來設置本地用戶的密碼。undo password命令用來取消本地用戶的密碼。
需要注意的是:
· 如果不指定任何參數,則表示以交互式方式設置本地用戶密碼,涵義與指定simple關鍵字相同。僅支持Password Control特性的設備上才支持本方式,Password Control相關命令的具體介紹請參見“安全命令參考”中的“Password Control”。
· 使能Password Control特性的全局密碼管理功能(通過命令password-control enable)後,本地用戶密碼的設置將受到Password Control特性的約束,比如密碼的長度、複雜度等將會受到限製,並且設備上將不顯示配置的本地用戶密碼。另外,用戶也不能再通過password hash cipher password命令配置用戶密碼。
· 以明文或密文方式設置的用戶密碼,均以密文的方式保存在配置文件中。
· 相關配置可參考命令display local-user。
【舉例】
# 設置本地用戶user1的密碼為明文123456。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] password simple 123456
# 以交互式方式設置本地用戶user1的密碼為123456。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] password
Password:******
Confirm :******
【命令】
service-type { ftp | lan-access | { ssh | telnet | terminal } * | web }
undo service-type { ftp | lan-access | { ssh | telnet | terminal } * | web }
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
ftp:指定用戶可以使用FTP服務。若授權FTP服務,缺省授權FTP用戶可訪問設備的根目錄。
lan-access:指定用戶可以使用lan-access服務。主要指以太網接入,比如用戶可以通過802.1X認證接入。
ssh:指定用戶可以使用SSH服務。
telnet:指定用戶可以使用Telnet服務。
terminal:指定用戶可以使用terminal服務(即從Console口登錄)。
web:指定用戶可以使用Web服務。
【描述】
service-type命令用來設置用戶可以使用的服務類型。undo service-type命令用來刪除用戶可以使用的服務類型。
缺省情況下,係統不對用戶授權任何服務。
可以通過多次執行本命令,設置用戶可以使用多種服務類型。
【舉例】
# 指定用戶可以使用Telnet服務。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] service-type telnet
【命令】
state { active | block }
undo state
【視圖】
本地用戶視圖
【缺省級別】
2:係統級
【參數】
active:指定當前本地用戶處於活動狀態,即係統允許當前本地用戶請求網絡服務。
block:指定當前本地用戶處於“阻塞”狀態,即係統不允許當前本地用戶請求網絡服務。
【描述】
state命令用來設置當前本地用戶的狀態。undo state命令用來恢複缺省情況。
缺省情況下,當一個本地用戶被創建以後,其狀態為active(本地用戶視圖)。
當指示某個用戶處於block狀態時,不允許當前本地用戶請求網絡服務,但是不影響其他用戶。
相關配置可參考命令local-user。
【舉例】
# 設置本地用戶user1處於“阻塞”狀態。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] state block
【命令】
user-group group-name
undo user-group group-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
user-group命令用來創建用戶組並進入其視圖。undo user-group命令用來刪除指定的用戶組。
用戶組是一個本地用戶策略及屬性的集合,某些需要集中管理的策略或者屬性可在在用戶組中統一配置和管理。目前,用戶組中可配置的內容包括本地用戶密碼的控製策略和用戶的授權屬性。
需要注意的是:
· 當用戶組中有本地用戶時,不允許使用undo user-group刪除該用戶組。
· 不能刪除係統中存在的默認用戶組system,但可以修改該用戶組的配置。
相關配置可參考命令display user-group。
【舉例】
# 創建名稱為abc的用戶組並進入其視圖。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【命令】
validity-date time
undo validity-date
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
time:本地用戶的生效時間,精確到秒,格式為HH:MM:SS-MM/DD/YYYY(時:分:秒-月/日/年)、MM/DD/YYYY-HH:MM:SS(月/日/年-時:分:秒)、YYYY/MM/DD-HH:MM:SS(年/月/日-時:分:秒)或HH:MM:SS-YYYY/MM/DD(時:分:秒-年/月/日)。其中,HH:MM:SS中的HH取值範圍為0~23,MM和SS取值範圍為0~59;MM/DD/YYYY中的MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。除表示零點外,格式中的前導0可以省略不寫,比如2:2:0-2011/2/2等效於02:02:00-2011/02/02。
【描述】
validity-date命令用來設置本地用戶的生效時間。undo validity-date用來取消本地用戶的生效時間配置。
缺省情況下,未設置用戶的生效時間,設備不進行用戶生效時間的檢查。
在有用戶臨時需要接入網絡的情況下,設備管理員可以為用戶建立臨時使用的來賓帳戶,並通過本命令與expiration-date命令一起完成對用戶有效起止時間的控製。當用戶進行本地認證時,接入設備檢查當前係統時間是否在該用戶的生效時間與有效期之間,若在則允許用戶登錄,否則拒絕用戶登錄。
【舉例】
# 配置用戶abc的生效時間為2011/04/30的12:10:20,有效期截至2011/05/31的12:10:20。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] validity-date 12:10:20-2011/04/30
[Sysname-luser-abc] expiration-date 12:10:20-2011/05/31
【命令】
accounting-on enable [ interval seconds | send send-times ] *
undo accounting-on enable
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
seconds:accounting-on報文重發時間間隔,取值範圍為1~15,單位為秒,缺省值為3。
send-times:accounting-on報文的最大發送次數,取值範圍為1~255,缺省值為50。
【描述】
accounting-on enable命令用來配置accounting-on功能。在accounting-on功能處於使能的情況下,若設備重啟,則設備會在重啟之後發送accounting-on報文通知該方案所使用的計費RADIUS服務器,要求RADIUS服務器停止計費且強製該設備的用戶下線。undo accounting-on enable命令用來恢複缺省情況。
缺省情況下,accounting-on功能處於關閉狀態。
需要注意的是:
· 執行完該命令後,請執行save操作,以保證設備重啟後accounting-on功能生效。
· 在執行accounting-on功能的過程中,使用該命令重新設置的報文重發間隔時間以及報文最大發送次數會立即生效。
【舉例】
# 使能RADIUS認證方案radius1的accounting-on功能,並配置accounting-on報文重發時間間隔為5秒、accounting-on報文的最大發送次數為15次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on enable interval 5 send 15
【命令】
attribute 25 car
undo attribute 25 car
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
attribute 25 car命令用來開啟RADIUS Attribute 25的CAR參數解析功能。undo attribute 25 car命令用來恢複缺省情況。
缺省情況下,RADIUS Attribute 25的CAR參數解析功能處於關閉狀態。
相關配置可參考命令display radius scheme和display connection。
【舉例】
# 開啟RADIUS Attribute 25的CAR參數解析功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 25 car
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
data:設置數據流的單位。
· byte:數據流的單位為字節。
· giga-byte:數據流的單位千兆字節。
· kilo-byte:數據流的單位為千字節。
· mega-byte:數據流的單位為兆字節。
packet:設置數據包的單位。
· giga-packet:數據包的單位為千兆包。
· kilo-packet:數據包的單位為千包。
· mega-packet:數據包的單位為兆包。
· one-packet:數據包的單位為包。
【描述】
data-flow-format命令用來配置發送到RADIUS服務器的數據流及數據包的單位。undo data-flow-format命令用來恢複缺省情況。
缺省情況下,數據流的單位為byte,數據包的單位為one-packet。
需要注意的是,設備上配置的發送給RADIUS服務器的數據流單位及數據包單位應與RADUIS服務器上的流量統計單位保持一致,否則無法正確計費。
相關配置可參考命令display radius scheme。
【舉例】
# 在RADIUS方案radius1中,設置發往RADIUS服務器的數據流單位為千字節、數據包單位為千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display radius scheme [ radius-scheme-name ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
radius-scheme-name:指定RADIUS方案名。
slot slot-number:顯示設備上的RADIUS方案配置信息。slot-number取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display radius scheme命令用來顯示所有或指定RADIUS方案的配置信息。
需要注意的是:如果不指定RADIUS方案名,則顯示所有RADIUS方案的配置信息。
相關配置可參考命令radius scheme。
【舉例】
# 顯示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
------------------------------------------------------------------
SchemeName : radius1
Index : 0 Type : extended
Primary Auth Server:
IP: 1.1.1.1 Port: 1812 State: active
Encryption Key : ******
Probe username :test
Probe interval : 60 min
Primary Acct Server:
IP: 1.1.1.1 Port: 1813 State: active
Encryption Key : ******
Second Auth Server:
IP: 1.1.2.1 Port: 1812 State: active
Encryption Key : N/A
Probe username :test
Probe interval : 60 min
IP: 1.1.3.1 Port: 1812 State: active
Encryption Key : N/A
Probe username :test
Probe interval : 60 min
Second Acct Server:
IP: 1.1.2.1 Port: 1813 State: block
Encryption Key : N/A
Auth Server Encryption Key : ******
Acct Server Encryption Key : N/A
Accounting-On packet disable, send times : 50 , interval : 3s
Interval for timeout(second) : 3
Retransmission times for timeout : 3
Interval for realtime accounting(minute) : 12
Retransmission times of realtime-accounting packet : 5
Retransmission times of stop-accounting packet : 500
Quiet-interval(min) : 5
Username format : without-domain
Data flow unit : Byte
Packet unit : one
NAS-IP address : 1.1.1.1
Attribute 25 : car
------------------------------------------------------------------
Total 1 RADIUS scheme(s).
表1-5 display radius scheme命令顯示信息描述表
字段 |
描述 |
SchemeName |
RADIUS方案的名稱 |
Index |
RADIUS方案的索引號 |
Type |
RADIUS服務器的類型 · extended類型:要求RADIUS客戶端和RADIUS服務器按照私有RADIUS協議的規程和報文格式進行交互 · standard類型:要求RADIUS客戶端和RADIUS服務器按照標準RADIUS協議(RFC 2865/2866或更新)的規程和報文格式進行交互 |
Primary Auth Server |
主認證服務器相關信息 |
Primary Acct Server |
主計費服務器相關信息 |
Second Auth Server |
從認證服務器相關信息 |
Second Acct Server |
從計費服務器相關信息 |
IP |
認證/計費服務器的IP地址 |
Port |
認證/計費服務器的接入端口號 未配置時,顯示缺省值 |
State |
認證/計費服務器的目前狀態 · active:激活 · block:阻塞 |
Encryption Key |
認證/計費報文的共享密鑰 · 已配置時,顯示為****** · 未配置時,顯示為N/A 該密鑰僅在配置RADIUS服務器同時未指定相應密鑰的情況下時使用 |
Probe username |
探測服務器狀態使用的用戶名 |
Probe interval |
探測服務器狀態的周期(分鍾) |
Auth Server Encryption Key |
認證報文的共享密鑰 · 已配置時,顯示為****** · 未配置時,顯示為N/A |
Acct Server Encryption Key |
計費報文的共享密鑰 · 已配置時,顯示為****** · 未配置時,顯示為N/A |
Accounting-On packet disable |
accounting-on功能未使能 |
send times |
accounting-on報文的重發次數 |
interval |
accounting-on報文的重發間隔(秒) |
Interval for timeout(second) |
RADIUS服務器的響應超時時間(秒) |
Retransmission times for timeout |
發送RADIUS報文的最大嚐試次數 |
Interval for realtime accounting(minute) |
實時計費的時間間隔(分鍾) |
Retransmission times of realtime-accounting packet |
允許實時計費請求無響應的最大次數 |
Retransmission times of stop-accounting packet |
發起停止計費請求的最大嚐試次數 |
Quiet-interval(min) |
主服務器恢複激活狀態的時間 |
Username format |
發送給RADIUS服務器的用戶名格式 |
Data flow unit |
發送給RADIUS服務器的數據流的單位 |
Packet unit |
發送給RADIUS服務器的數據包的單位 |
NAS-IP address |
發送RADIUS報文的源IP地址 |
Attribute 25 |
將RADIUS Attribute 25解析為CAR參數 |
Total 1 RADIUS scheme(s). |
共計1個RADIUS方案 |
【命令】
display radius statistics [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
slot slot-number:顯示設備上的RADIUS報文的統計信息。slot-number取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display radius statistics命令用來顯示RADIUS報文的統計信息。
相關配置可參考命令radius scheme。
【舉例】
# 顯示RADIUS報文的統計信息。
<Sysname> display radius statistics
Slot 1:state statistic(total=1048):
DEAD = 1048 AuthProc = 0 AuthSucc = 0
AcctStart = 0 RLTSend = 0 RLTWait = 0
AcctStop = 0 OnLine = 0 Stop = 0
StateErr = 0
Received and Sent packets statistic:
Sent PKT total = 1547
Received PKT total = 23
Resend Times Resend total
1 508
2 508
Total 1016
RADIUS received packets statistic:
Code = 2 Num = 15 Err = 0
Code = 3 Num = 4 Err = 0
Code = 5 Num = 4 Err = 0
Code = 11 Num = 0 Err = 0
Running statistic:
RADIUS received messages statistic:
Auth request Num = 24 Err = 0 Succ = 24
Account request Num = 4 Err = 0 Succ = 4
Account off request Num = 503 Err = 0 Succ = 503
PKT auth timeout Num = 15 Err = 5 Succ = 10
PKT acct_timeout Num = 1509 Err = 503 Succ = 1006
Realtime Account timer Num = 0 Err = 0 Succ = 0
PKT response Num = 23 Err = 0 Succ = 23
Session ctrl pkt Num = 0 Err = 0 Succ = 0
Normal author request Num = 0 Err = 0 Succ = 0
Set policy result Num = 0 Err = 0 Succ = 0
Accounting on request Num = 1 Err = 0 Succ = 1
Accounting on response Num = 0 Err = 0 Succ = 0
Distribute request Num = 0 Err = 0 Succ = 0
RADIUS sent messages statistic:
Auth accept Num = 10
Auth reject Num = 14
Auth continue Num = 0
Account success Num = 4
Account failure Num = 3
Server ctrl req Num = 0
RecError_MSG_sum = 0
SndMSG_Fail_sum = 0
Timer_Err = 0
Alloc_Mem_Err = 0
State Mismatch = 0
Other_Error = 0
No-response-acct-stop packet = 1
Discarded No-response-acct-stop packet for buffer overflow = 0
表1-6 display radius statistics命令顯示信息描述表
字段 |
描述 |
state statistic |
各狀態的用戶數統計信息 |
DEAD |
處於空閑態的用戶數 |
AuthProc |
處於認證等待態的用戶數 |
AuthSucc |
處於認證成功態的用戶數 |
AcctStart |
處於計費開始態的用戶數 |
RLTSend |
處於實時計費發送態的用戶數 |
RLTWait |
處於實時計費等待態的用戶數 |
AcctStop |
處於計費等待停止態的用戶數 |
OnLine |
處於在線態的用戶數 |
Stop |
處於停止態的用戶數 |
StateErr |
處於認證錯誤態的用戶數 |
Received and Sent packets statistic |
RADIUS模塊收發報文的數目統計信息 |
Sent PKT total |
發送報文總數 |
Received PKT total |
接收報文總數 |
Resend Times |
重傳報文的次數 |
Resend total |
單次重傳報文數 |
Total |
重傳報文總數 |
RADIUS received packets statistic |
RADIUS模塊接收報文數目統計 |
Code |
報文類型 |
Num |
報文總數 |
Err |
處理失敗的報文數或消息數 |
Running statistic |
RADIUS模塊收發報文的分類統計信息 |
RADIUS received messages statistic |
RADIUS已接收消息數目統計 |
Auth request |
認證請求報文數 |
Account request |
計費請求報文數 |
Account off request |
計費停止請求報文數 |
PKT auth timeout |
認證超時報文數 |
PKT acct_timeout |
計費超時報文數 |
Realtime Account timer |
實時計費請求報文數 |
PKT response |
服務器的響應報文數 |
Accounting on response |
accounting on響應報文數 |
Session ctrl pkt |
會話控製報文數 |
Normal author request |
普通授權請求報文數 |
Set policy result |
Set policy結果報文數 |
Accounting on request |
accounting on請求報文數 |
Accounting on response |
accounting on響應報文數 |
Distribute request |
發送請求報文數 |
RADIUS sent messages statistic |
RADIUS模塊已發送消息數目統計 |
Auth accept |
認證接收報文數 |
Auth reject |
認證拒絕報文數 |
Account success |
計費成功報文數 |
Account failure |
計費失敗報文數 |
Server ctrl req |
服務器控製請求報文數 |
RecError_MSG_sum |
接收錯誤消息總數 |
SndMSG_Fail_sum |
發送消息失敗總數 |
Timer_Err |
啟動定時器失敗報文數 |
Alloc_Mem_Err |
申請內存失敗報文數 |
State Mismatch |
狀態不匹配報文數 |
Other_Error |
其他錯誤報文數 |
No-response-acct-stop packet |
停止計費報文無響應數 |
Discarded No-response-acct-stop packet for buffer overflow |
因緩存區滿而丟棄的無響應停止計費報文總數 |
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
radius-scheme radius-scheme-name:顯示緩存的、向指定RADIUS方案中的計費服務器發送的停止計費請求報文。其中,radius-scheme-name為RADIUS方案名,為1~32個字符的字符串。
session-id session-id:顯示緩存的指定會話ID的停止計費請求報文。其中,session-id為1~50個字符的字符串。
time-range start-time stop-time:顯示緩存的指定時間段內的停止計費請求報文,即隻要是在指定時間段內的發起且被暫存的停止計費請求報文都會被顯示。其中,start-time為請求時間段的起始時間;stop-time為請求時間段的結束時間,格式為hh:mm:ss- mm/dd/yyyy(時:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(時:分:秒-年/月/日)。
user-name user-name:顯示緩存的指定用戶名的停止計費請求報文。其中,user-name表示用戶名,為1~80個字符的字符串,區分大小寫。輸入的用戶名是否攜帶ISP域名,必須與RADIUS方案中的user-name-format配置保持一致。
slot slot-number:顯示設備上緩存的停止計費請求報文。slot-number取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display stop-accounting-buffer命令用來顯示緩存的沒有得到響應的停止計費請求報文的相關信息,主要包括該計費請求報文所屬的會話ID、用戶名以及產生停止計費請求的時間。
在發送停止計費請求報文而RADIUS服務器沒有響應時,設備會嚐試重傳該報文,如果發送該報文的最大嚐試次數超過指定的值(由retry命令設置)後仍然沒有得到響應,則設備會緩存該報文,然後再發起一次請求,若繼續無響應,則重複上述過程,一定次數(由retry stop-accounting命令設置)之後,設備將其丟棄。
相關配置可參考命令reset stop-accounting-buffer、stop-accounting-buffer enable、user-name-format、retry和retry stop-accounting。
【舉例】
# 顯示係統緩存的用戶名為abc的停止計費請求報文的相關信息。
<Sysname> display stop-accounting-buffer user-name abc
Slot 1:
RDIdx Session-ID user name Happened time
1 1000326232325010 abc 23:27:16-03/31/2011
1 1000326232326010 abc 23:33:01-03/31/2011
Total 2 record(s) Matched
【命令】
key { accounting | authentication } [ cipher | simple ] key
undo key { accounting | authentication }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
accounting:指定RADIUS計費報文的共享密鑰。
authentication:指定RADIUS認證/授權報文的共享密鑰。
cipher:表示以密文方式設置共享密鑰。
simple:表示以明文方式設置共享密鑰。
key:設置的明文密鑰或密文密鑰,區分大小寫。明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。不指定simple和cipher時,表示以明文方式設置共享密鑰。
【描述】
key命令用來配置RADIUS認證/授權或計費報文的共享密鑰。undo key命令用來刪除配置。
缺省情況下,無共享密鑰。
需要注意的是:
· 以明文或密文方式設置的共享密鑰,均以密文的方式保存在配置文件中。
· 設備優先采用配置RADIUS認證/授權/計費服務器時指定的報文共享密鑰,本配置中指定的報文共享密鑰僅在配置RADIUS認證/授權/計費服務器時未指定相應密鑰的情況下使用。
· 必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。
相關配置可參考命令display radius scheme。
【舉例】
# 將RADIUS方案radius1的認證/授權報文的共享密鑰設置為密文$c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key authentication cipher $c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B
# 將RADIUS方案radius1的計費報文的共享密鑰設置為明文ok。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting simple ok
# 將RADIUS方案radius1的計費報文的共享密鑰設置為明文ok。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting ok
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:指定的源IPv4地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
【描述】
nas-ip命令用來設置設備發送RADIUS報文使用的源IP地址。undo nas-ip命令用來恢複缺省情況。
缺省情況下,使用係統視圖下由命令radius nas-ip指定的源地址,若係統視圖下未指定源地址,則使用發送RADIUS報文的接口的IP地址。
需要注意的是:
· RADIUS服務器上通過IP地址來標識接入設備,並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。因此,為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
· RADIUS方案視圖下的命令nas-ip隻對本RADIUS方案有效,係統視圖下的命令radius nas-ip對所有RADIUS方案有效。RADIUS方案視圖下的設置具有更高的優先級。
· 本命令配置的源IP地址與RADIUS方案中設置的服務器IP地址的協議版本必須保持一致,否則配置不生效。
· 如果重複執行此命令,新配置的源地址會覆蓋原有的源地址。
相關配置可參考命令radius nas-ip。
【舉例】
# 配置設備發送RADIUS報文使用的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 10.1.1.1
【命令】
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key ] *
undo primary accounting
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:主RADIUS計費服務器的IPv4地址。
ipv6 ipv6-address:主RADIUS計費服務器的IPv6地址。
port-number:主RADIUS計費服務器的UDP端口號,缺省為1813,取值範圍為1~65535。此端口號必須與服務器提供計費服務的端口號保持一致。
key [ cipher | simple ] key:與主RADIUS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
· cipher key:以密文方式設置共享密鑰。key為1~117個字符的字符串,區分大小寫。
· simple key:以明文方式設置共享密鑰。key為1~64個字符的字符串,區分大小寫。
· 在不指定cipher和simple時,表示以明文方式設置共享密鑰。
【描述】
primary accounting命令用來配置主RADIUS計費服務器。undo primary accounting命令用來刪除設置的主RADIUS計費服務器。
缺省情況下,未配置主計費服務器。
需要注意的是:
· 主計費服務器和從計費服務器的IP地址不能相同,且IP地址協議版本必須一致。
· 設備與主計費服務器通信時優先使用本命令設置的共享密鑰,如果此處未設置,則使用命令key accounting [ cipher | simple ] key命令設置的共享密鑰。
· 計費服務器與認證/授權服務器的IP地址協議版本必須一致。
· 如果在發送計費開始請求過程中修改了主計費服務器,則設備在與當前服務器通信超時後,將會重新從主服務器開始依次查找狀態為active的服務器進行通信。
· 如果在線用戶正在使用的計費服務器被刪除,則設備將將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地。
· 以明文或密文方式設置的共享密鑰,均以密文的方式保存在配置文件中。
相關配置可參考命令key。
【舉例】
# 設置RADIUS方案radius1的主計費服務器的IP地址為10.110.1.2,使用UDP端口1813提供RADIUS計費服務,計費報文的共享密鑰為明文hello。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple hello
【命令】
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *
undo primary authentication
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:主RADIUS認證/授權服務器的IPv4地址。
ipv6 ipv6-address:主RADIUS認證/授權服務器的IPv6地址。
port-number:主RADIUS認證/授權服務器的UDP端口號,缺省為1812,取值範圍為1~65535。此端口號必須與服務器提供認證/授權服務的端口號保持一致。
key [ cipher | simple ] key:與主RADIUS認證/授權服務器交互的認證/授權報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
· cipher key:以密文方式設置共享密鑰。key為1~117個字符的字符串,區分大小寫。
· simple key:以明文方式設置共享密鑰。key為1~64個字符的字符串,區分大小寫。
· 在不指定cipher和simple時,表示以明文方式設置共享密鑰。
probe:開啟對主RADIUS認證/授權服務器狀態的探測功能。
username name:設置探測主RADIUS認證/授權服務器狀態時認證報文中使用的用戶名。該用戶名並不要求是認證/授權服務器上存在的用戶名。
interval interval:設置探測主RADIUS認證/授權服務器是否可達的時間間隔,取值範圍為1~3600,單位為分鍾,缺省值為60。
【描述】
primary authentication命令用來配置主RADIUS認證/授權服務器。undo primary authentication命令用來刪除設置的主RADIUS認證/授權服務器。
缺省情況下,未配置主認證/授權服務器。
需要注意的是:
· 設備與主認證/授權服務器通信時優先使用本命令設置的共享密鑰,如果本命令中未設置,則使用命令key authenticaiton [ cipher | simple ] key命令設置的共享密鑰。
· 主認證/授權服務器和從認證/授權服務器的IP地址不能相同,且IP地址協議版本必須一致。
· 認證/授權服務器與計費服務器的IP地址協議版本必須一致。
· 如果在認證過程中使用本命令刪除了主認證服務器,則設備在與當前服務器通信超時後,將會重新從主服務器開始依次查找狀態為active的服務器進行通信。
開啟了服務器的探測功能後,設備以指定的探測周期向當前的認證服務器發送認證請求報文,用戶名為配置的探測用戶名,如果服務器在指定的時間內(由timer response-timeout命令設置)沒有回應,則設備重傳該請求報文。若在累計的傳送次數超過最大嚐試次數(由retry命令設置)後,設備仍未收到服務器的回應報文,則認為服務器狀態為block。對於802.1X認證而言,當所有服務器狀態均為block時,設備會將認證用戶的端口加入到指定的Critical VLAN中(有關802.1X Critical VLAN的相關介紹請參見“安全配置指導”中的“802.1X”);如果在最大嚐試次數到達之前,收到服務器的回應報文,則認為該服務器狀態為active。
· 對於狀態為active的服務器,如果設備的探測結果為失敗(即服務器不可達),則會將其置為block狀態;對於狀態為block的服務器,如果設備的探測結果為成功(即服務器可達),則會將其置為active狀態。
· 使能了對服務器的探測功能後,建議將timer quiet定時器的時間配置得盡可能長一些,以保證設備將服務器的狀態置為實際探測到的狀態。若配置的timer quiet定時器的時間較短,端口上同時配置了Critical VLAN,則可能會出現設備頻繁切換服務器狀態的情況,並導致端口反複加入並離開Critical VLAN。
相關配置可參考命令key。
【舉例】
# 設置RADIUS方案radius1的主認證/授權服務器的IP地址為10.110.1.1,使用UDP端口1812提供RADIUS認證/授權服務,認證/授權報文的共享密鑰為明文hello。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key hello
# 設置對RADIUS方案radius1中的主認證/授權服務器狀態進行探測時使用的用戶名為test,探測周期為120分鍾。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 probe username test interval 120
【命令】
radius client enable
undo radius client
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
radius client enable命令用來使能RADIUS客戶端的監聽端口,使能後的端口可以接收和發送RADIUS報文。undo radius client命令用來關閉RADIUS客戶端的監聽端口。
缺省情況下,監聽端口處於使能狀態。
需要注意的是,關閉RADIUS客戶端的監聽端口後:
· 在線用戶的計費結束報文無法發出,也不能被緩存下來嚐試繼續發送。RADIUS服務器因為收不到在線用戶的下線報文,會出現有一段時間用戶已經下線,但RADIUS服務器上還有此用戶的情況。另外,已緩存的計費報文會發送失敗,如果發送失敗的次數達到配置的最大次數後,仍然沒有收到響應,計費報文將從緩存中被刪除。計費報文的發送失敗,都會直接影響用戶計費信息的準確性。
· 如果配置了本地認證/授權/計費作為備份方法,則RADIUS請求失敗後會轉由設備本地繼續認證/授權/計費,其中本地計費隻是為了支持本地用戶的連接數管理,沒有實際的計費相關的統計功能。
【舉例】
# 使能RADIUS客戶端的監聽端口。
<Sysname> system-view
[Sysname] radius client enable
【命令】
radius dscp dscp-value
undo radius dscp
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
dscp-value:報文的DSCP優先級,取值範圍為0~63。
【描述】
radius dscp命令用來配置IPv4 RADIUS報文的DSCP優先級。undo radius dscp命令用來恢複缺省情況。
缺省情況下,IPv4 RADIUS報文的DSCP優先級為0。
【舉例】
# 配置IPv4 RADIUS報文的DSCP優先級為6。
<Sysname> system-view
[Sysname] radius dscp 6
【命令】
radius ipv6 dscp dscp-value
undo radius ipv6 dscp
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
dscp-value:報文的DSCP優先級,取值範圍為0~63。
【描述】
radius ipv6 dscp命令用來配置IPv6 RADIUS報文的DSCP優先級。undo radius ipv6 dscp命令用來恢複缺省情況。
缺省情況下,IPv6 RADIUS報文的DSCP優先級為0。
【舉例】
# 配置IPv6 RADIUS報文的DSCP優先級為6。
<Sysname> system-view
[Sysname] radius ipv6 dscp 6
【命令】
radius nas-ip { ipv4-address | ipv6 ipv6-address }
undo radius nas-ip { ipv4-address | ipv6 ipv6-address }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:指定的源IPv4地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
【描述】
radius nas-ip命令用來指定設備發送RADIUS報文使用的源地址。undo radius nas-ip命令用來刪除指定的源地址。
缺省情況下,不指定源地址,即以發送報文的接口地址作為源地址。
需要注意的是:
· RADIUS服務器上通過IP地址來標識接入設備,並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。因此,為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
· RADIUS方案視圖下的命令nas-ip隻對本RADIUS方案有效,係統視圖下的命令radius nas-ip對所有RADIUS方案有效。RADIUS方案視圖下的設置具有更高的優先級。
相關配置可參考命令nas-ip。
【舉例】
# 配置設備發送RADIUS報文使用的源地址為129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
radius-scheme-name:RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
radius scheme命令用來創建RADIUS方案並進入其視圖。undo radius scheme命令用來刪除指定的RADIUS方案。
缺省情況下,未定義RADIUS方案。
需要注意的是:
· 一個RADIUS方案可以同時被多個ISP域引用。
· 不允許使用undo radius scheme命令刪除被ISP域引用的RADIUS方案。
相關配置可參考命令display radius scheme。
【舉例】
# 創建名為radius1的RADIUS方案並進入其視圖。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【命令】
radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }
undo radius trap { accounting-server-down | authentication-error-threshold | authentication-server-down }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
accounting-server-down:表示RADIUS計費服務器可達狀態改變時發送Trap信息。
authentication-error-threshold:表示認證失敗次數超過閾值時發送Trap信息。該閾值為認證失敗次數占認證請求總數的百分比數值,目前僅能通過MIB方式配置,取值範圍為1~100,缺省為30。
authentication-server-down:表示RADIUS認證服務器可達狀態改變時發送Trap信息。
【描述】
radius trap命令用來使能RADIUS Trap功能。undo radius trap命令用來關閉指定的RADIUS Trap功能。
缺省情況下,RADIUS Trap功能處於關閉狀態。
使能RADIUS服務器可達狀態改變時的Trap功能後,Trap信息的發送包括以下兩種情況:
· 當NAS向RADIUS服務器發送計費或認證請求沒有響應時,會重傳請求,當重傳次數達到最大傳送次數時仍然沒有響應時,NAS認為該服務器不可達,並發送Trap信息。
· 當NAS收到處於不可達狀態的RADIUS服務器發送的報文時,則認為該服務器可達,並發送一次Trap報文。
使能認證失敗次數超過閾值時的Trap功能後,當NAS發現認證失敗次數與認證請求總數的百分比超過閾值時,係統會發送一次Trap報文。
【舉例】
# 使能RADIUS計費服務器可達狀態改變時的 Trap功能。
<Sysname> system-view
[Sysname] radius trap accounting-server-down
【命令】
reset radius statistics [ slot slot-number ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
slot slot-number:清除設備上的RADIUS報文的統計信息。slot-number取值隻能為1。
【描述】
reset radius statistics命令用來清除RADIUS協議的統計信息。
相關配置請參考命令display radius statistics。
【舉例】
# 清除RADIUS協議的統計信息。
<Sysname> reset radius statistics
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
radius-scheme radius-scheme-name:根據指定RADIUS方案清除緩存的停止計費響應報文。其中,radius-scheme-name為RAIUDS方案名,為1~32個字符的字符串。
session-id session-id:根據指定會話ID清除緩存的停止計費響應報文。其中,session-id為會話ID,為1~50個字符的字符串。
time-range start-time stop-time:根據指定停止計費請求時刻的起始和結束時間清除緩存的停止計費響應報文。其中,start-time為請求時間段的起始時間;stop-time為請求時間段的結束時間,格式為hh:mm:ss-mm/dd/yyyy(時:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(時:分:秒-年/月/日)。
user-name user-name:根據指定用戶名清除緩存的停止計費響應報文。其中,user-name表示用戶名,為1~80個字符的字符串,區分大小寫。輸入的用戶名是否攜帶ISP域名,必須與RADIUS方案中配置的發送給RADIUS服務器的用戶名格式保持一致。
slot slot-number:清除設備上緩存的停止計費請求報文。slot-number取值隻能為1。
【描述】
reset stop-accounting-buffer命令用來清除緩存中的沒有得到響應的停止計費請求報文。
相關配置可參考命令stop-accounting-buffer enable和display stop-accounting-buffer。
【舉例】
# 清除用戶user0001@test緩存在係統中的停止計費請求報文。
<Sysname> reset stop-accounting-buffer user-name user0001@test
# 清除從2011年3月31日0點0分0秒到2011年3月31日23點59分59秒期間內係統緩存的停止計費請求報文。
<Sysname> reset stop-accounting-buffer time-range 0:0:0-03/31/2011 23:59:59-03/31/2011
【命令】
retry retry-times
undo retry
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
retry-times:發送RAIUDS報文的最大嚐試次數,取值範圍為1~20。
【描述】
retry命令用來設置發送RADIUS報文的最大嚐試次數,即由於某RADIUS服務器未響應或未及時響應設備發送的RAIUDS報文,設備嚐試向該服務器發送RADIUS報文的最大次數。undo retry命令用來恢複缺省情況。
缺省情況下,發送RADIUS報文的最大嚐試次數為3次。
需要注意的是:
· 由於RADIUS協議采用UDP報文來承載數據,因此其通信過程是不可靠的。如果RADIUS服務器在應答超時定時器規定的時長內沒有響應設備,則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數超過最大傳送次數而RADIUS服務器仍舊沒有響應,則設備將認為本次請求失敗。
· 發送RADIUS報文的最大嚐試次數與RADIUS服務器應答超時時間的乘積不能超過75秒。
相關配置可參考命令radius scheme和timer response-timeout。
【舉例】
# 設置在RADIUS方案radius1下,發送RAIUDS報文的最大嚐試次數為5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【命令】
retry realtime-accounting retry-times
undo retry realtime-accounting
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
retry-times:允許實時計費請求無響應的最大次數,取值範圍為1~255。
【描述】
retry realtime-accounting命令用來設置允許實時計費請求無響應的最大次數。undo retry realtime-accounting命令用來恢複缺省情況。
缺省情況下,設備最多允許5次實時計費請求無響應,之後將切斷用戶連接。
RADIUS服務器通常通過連接超時定時器來判斷用戶是否在線。如果RADIUS服務器在連接超時時間之內一直收不到設備傳來的實時計費報文,它會認為線路或設備故障並停止對用戶記帳。為了配合RADIUS服務器的這種特性,有必要在不可預見的故障條件下,盡量保持設備端與RADIUS服務器同步切斷用戶連接。設備提供對實時計費請求連續無響應次數限製的設置,保證在設備向RADIUS服務器發出的實時計費請求沒有得到響應的次數超過所設定的限度時,設備才會切斷用戶連接。
假設RADIUS服務器的應答超時時長(timer response-timeout命令設置)為3秒,發送RADIUS報文的最大嚐試次數(retry命令設置)為3,設備的實時計費間隔(timer realtime-accounting命令設置)為12分鍾,設備允許實時計費無響應的最大次數為5次(retry realtime-accounting命令設置),則其含義為:設備每隔12分鍾發起一次計費請求,如果3秒鍾得不到回應就重新發起一次請求,如果3次發送都沒有得到回應就認為該次實時計費失敗,然後每隔12分鍾再發送一次,5次均失敗以後,設備將切斷用戶連接。
相關配置可參考命令retry、timer response-timeout和timer realtime-accounting。
【舉例】
# 設置RADIUS方案radius1最多允許10次實時計費請求無響應。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
retry-times:允許停止計費請求無響應的最大次數,取值範圍為10~65535。
【描述】
retry stop-accounting命令用來設置發起停止計費請求的最大嚐試次數。undo retry stop-accounting命令用來恢複缺省情況。
缺省情況下,發起停止計費請求的最大嚐試次數為500。
假設RADIUS服務器的應答超時時長(timer response-timeout命令設置)為3秒,發送RADIUS報文的最大嚐試次數(retry命令設置)為5,設備允許的停止計費請求無響應的最大次數為20次(retry stop-accounting命令設置),則其含義為:設備發起停止計費請求,如果3秒鍾內得不到回應就重新發起一次請求,如果嚐試5次都沒有得到回應就認為該次停止計費請求失敗,設備會將其緩存在本機上,然後再發起一次請求,重複上述過程,20次嚐試均失敗以後,設備將其丟棄。
相關配置可參考命令retry、retry stop-accounting、timer response-timeout和display stop-accounting-buffer。
【舉例】
# 在RADIUS方案radius1中,設置設備最多可以嚐試向該方案中的服務器發起1000次停止計費請求。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry stop-accounting 1000
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key ] *
undo secondary accounting [ ipv4-address | ipv6 ipv6-address ]
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:從RADIUS計費服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS計費服務器的IPv6地址。
port-number:從RADIUS計費服務器的UDP端口號,缺省為1813,取值範圍為1~65535。此端口號必須與服務器提供計費服務的端口號保持一致。
key [ cipher | simple ] key:與從RADIUS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
· cipher key:以密文方式設置共享密鑰。key為1~117個字符的字符串,區分大小寫。
· simple key:以明文方式設置共享密鑰。key為1~64個字符的字符串,區分大小寫。
· 不指定cipher和simple時,表示以明文方式設置共享密鑰。
【描述】
secondary accounting命令用來配置從RADIUS計費服務器。undo secondary accounting命令用來刪除指定的從RADIUS計費服務器。
缺省情況下,未配置從計費服務器。
需要注意的是:
· 可通過多次執行本命令,配置多個從RADIUS計費服務器,當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。每個RADIUS方案中最多支持配置16個從RADIUS計費服務器。
· 從RADIUS計費服務器的IP地址協議版本與主RADIUS計費服務器必須一致,並且各從RADIUS計費服務器的IP地址協議版本也必須一致。
· 主計費服務器和從計費服務器的IP地址不能相同,並且各從計費服務器的IP地址也不能相同。
· 設備與從計費服務器通信時優先使用本命令設置的共享密鑰,如果此處未設置,則使用命令key accounting [ cipher | simple ] key命令設置的共享密鑰。
· 計費服務器與認證服務器的IP地址協議版本必須一致。
· 如果在發送計費開始請求過程中刪除了從服務器,則設備在與當前服務器通信超時後,將會重新從主服務器開始依次查找狀態為active的服務器進行通信。
· 如果在線用戶正在使用的計費服務器被刪除,則設備將將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地。
· 以明文或密文方式設置的共享密鑰,均以密文的方式保存在配置文件中。
相關配置可參考命令key、state。
【舉例】
# 設置RADIUS方案radius1的從計費服務器的IP地址為10.110.1.1,使用UDP端口1813提供RADIUS計費服務,計費報文的共享密鑰為密文$c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813 key cipher $c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B
# 設置RADIUS方案radius2的從計費服務器:IP地址分別為10.110.1.1,10.110.1.2,均使用UDP端口1813提供RADIUS計費服務,計費報文的共享密鑰為明文hello。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813 key hello
[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813 key hello
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *
undo secondary authentication [ ipv4-address | ipv6 ipv6-address ]
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:從RADIUS認證/授權服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS認證/授權服務器的IPv6地址。
port-number:從RADIUS認證/授權服務器的UDP端口號,缺省為1812,取值範圍為1~65535。此端口號必須與服務器提供認證/授權服務的端口號保持一致。
key [ cipher | simple ] key:從RADIUS認證/授權服務器的認證/授權報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
· cipher key:以密文方式設置共享密鑰。key為1~117個字符的字符串,區分大小寫。
· simple key:以明文方式設置共享密鑰。key為1~64個字符的字符串,區分大小寫。
· 不指定cipher和simple時,表示以明文方式設置共享密鑰。
probe:開啟對從RADIUS認證/授權服務器狀態的探測功能。
username name:設置探測從RADIUS認證/授權服務器狀態時認證報文中使用的用戶名。該用戶名並不要求是認證/授權服務器上存在的用戶名。
interval interval:設置探測從RADIUS認證/授權服務器是否可達的時間間隔,取值範圍為1~3600,單位為分鍾,缺省值為60。
【描述】
secondary authentication命令用來配置從RADIUS認證/授權服務器。undo secondary authentication命令用來刪除指定的從RADIUS認證/授權服務器。
缺省情況下,未配置從認證/授權服務器。
需要注意的是:
· 可通過多次執行本命令,配置多個從RADIUS認證/授權服務器,當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。每個RADIUS方案中最多支持配置16個從RADIUS認證/授權服務器。
· 主認證/授權服務器和從認證/授權服務器的IP地址協議版本必須一致,並且各從RADIUS認證/授權服務器的IP地址協議版本也必須一致。
· 主認證/授權服務器和從認證/授權服務器的IP地址不能相同,並且各從認證服務器的IP地址不能相同。
· 認證/授權服務器與計費服務器的IP地址協議版本必須一致。
· 設備與從認證/授權服務器通信時優先使用本命令設置的共享密鑰,如果此處未設置,則使用命令key authentication [ cipher | simple ] key命令設置的共享密鑰。
· 如果在認證過程中使用本命令刪除了從認證服務器,則設備在與當前服務器通信超時後,將會重新從主服務器開始依次查找狀態為active的服務器進行通信。
· 以明文或密文方式設置的共享密鑰,均以密文的方式保存在配置文件中。
開啟了服務器的探測功能後,設備以指定的探測周期向當前的認證服務器發送認證請求報文,用戶名為配置的探測用戶名,如果服務器在指定的時間內(由timer response-timeout命令設置)沒有回應,則設備重傳該請求報文。若在累計的傳送次數超過最大嚐試次數(由retry命令設置)後,設備仍未收到服務器的回應報文,則認為服務器狀態為block。對於802.1X認證而言,當所有服務器狀態均為block時,設備會將認證用戶的端口加入到指定的Critical VLAN中(有關802.1X Critical VLAN的相關介紹請參見“安全配置指導”中的“802.1X”);如果在最大嚐試次數到達之前,收到服務器的回應報文,則認為該服務器狀態為active。
· 對於狀態為active的服務器,如果設備的探測結果為失敗(即服務器不可達),則會將其置為block狀態;對於狀態為block的服務器,如果設備的探測結果為成功(即服務器可達),則會將其置為active狀態。
· 使能了對服務器的探測功能後,建議將timer quiet定時器的時間配置得盡可能長一些,以保證設備將服務器的狀態置為實際探測到的狀態。若配置的timer quiet定時器的時間較短,端口上同時配置了Critical VLAN,則可能會出現設備頻繁切換服務器狀態的情況,並導致端口反複加入並離開Critical VLAN。
相關配置可參考命令key、state。
【舉例】
# 設置RADIUS方案radius1的從認證/授權服務器的IP地址為10.110.1.2,使用UDP端口1812提供RADIUS認證/授權服務,認證/授權報文的共享密鑰為密文$c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812 key cipher $c$3$NMCbVjyIutaV6csCOGp4zsKRTlg2eT3B
# 設置RADIUS方案radius2的從認證/授權服務器:IP地址分別為10.110.1.1,10.110.1.2,均使用UDP端口1812提供RADIUS認證/授權服務,認證/授權報文的共享密鑰為明文hello。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812 key simple hello
[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812 key simple hello
# 設置對RADIUS方案radius1中的從認證/授權服務器狀態進行探測時使用的用戶名為test,探測周期為120分鍾。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.1 probe username test interval 120
【命令】
security-policy-server ip-address
undo security-policy-server { ip-address | all }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:安全策略服務器IP地址。
all:所有安全策略服務器。
【描述】
security-policy-server命令用來指定安全策略服務器。undo security-policy-server命令用來刪除指定的安全策略服務器。
缺省情況下,未指定安全策略服務器。
需要注意的是:隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
【舉例】
# 指定RADIUS方案radius1的安全策略服務器IP地址為10.110.1.2。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] security-policy-server 10.110.1.2
【命令】
server-type { extended [ vendor vendor-id ] | standard }
undo server-type
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
extended:指定extended類型的RADIUS服務器(一般為CAMS/iMC),即要求RADIUS客戶端和RADIUS服務器按照私有RADIUS協議的規程和報文格式進行交互。
vendor vendor-id:控製設備向RADIUS服務器發送的Vendor-Specific屬性隻能為指定廠商的Vendor-Specific屬性。vendor-id為廠商標識號碼,取值範圍為1~65535。目前設備支持的vendor-id包括:9、43、311、2011、25506。若未指定該參數,則設備可以向RADIUS服務器發送設備支持的所有廠商的Vendor-Specific屬性。
standard:指定standard類型的RADIUS服務器,即要求RADIUS客戶端和RADIUS服務器按照標準RADIUS協議(RFC 2865/2866或更新)的規程和報文格式進行交互。
【描述】
server-type命令用來配置設備支持的RADIUS服務器類型。undo server-type命令用來恢複缺省情況。
缺省情況下,設備支持的RADIUS服務器類型為standard。
【舉例】
# 將RADIUS方案radius1的RADIUS服務器類型設置為standard。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-type standard
【命令】
state primary { accounting | authentication } { active | block }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
accounting:設置主RADIUS計費服務器的狀態。
authentication:設置主RADIUS認證/授權服務器的狀態。
active:設置主RADIUS服務器的狀態為active,即處於正常工作狀態。
block:設置主RADIUS服務器的狀態為block,即處於通信中斷狀態。
【描述】
state primary命令用來設置主RADIUS服務器的狀態。
缺省情況下,RADIUS方案中配置了IP地址的主RADIUS服務器狀態為active。
需要注意的是:
· 每次用戶發起認證或計費,如果主服務器狀態為active,則設備都會首先嚐試與主服務器進行通信,如果主服務器不可達,則將主服務器的狀態置為block,同時啟動主服務器的timer quiet定時器,然後設備會嚴格按照從服務器的配置先後順序依次查找狀態為active的從服務器進行通信。在timer quiet定時器設定的時間到達之後,主服務器狀態將由block恢複為active。若該定時器超時之前,通過本命令將主服務器的狀態手工設置為block,則定時器超時之後主服務器狀態不會自動恢複為active,除非通過本命令手工將其設置為active。
· 如果主服務器與所有從服務器狀態都是block,則默認使用主服務器進行認證或計費。
相關配置可參考命令display radius scheme和state secondary。
【舉例】
# 將RADIUS方案radius1的主認證服務器的狀態設置為block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state primary authentication block
【命令】
state secondary { accounting | authentication } [ ip ipv4-address | ipv6 ipv6-address ] { active | block }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
accounting:設置從RADIUS計費服務器的狀態。
authentication:設置從RADIUS認證/授權服務器的狀態。
ip ipv4-address:指定從RADIUS服務器的IPv4地址。
ipv6 ipv6-address:指定從RADIUS服務器的IPv6地址。
active:設置從RADIUS服務器的狀態為active,即處於正常工作狀態。
block:設置從RADIUS服務器的狀態為block,即處於通信中斷狀態。
【描述】
state secondary命令用來設置從RADIUS服務器的狀態。
缺省情況下,RADIUS方案中配置了IP地址的各從RADIUS服務器狀態為active。
需要注意的是:
· 如果不指定從服務器IP地址,那麼本命令將會修改所有已配置的從認證/授權服務器或從計費服務器的狀態。
· 如果設備查找到的狀態為active的從服務器不可達,則設備會將該從服務器的狀態置為block,同時啟動該服務器的timer quiet定時器,並繼續查找下一個狀態為active的從服務器。在timer quiet定時器設定的時間到達之後,從服務器狀態將由block恢複為active。若該定時器超時之前,通過本命令將從服務器的狀態手工設置為block,則定時器超時之後從服務器狀態不會自動恢複為active,除非通過本命令手工將其設置為active。如果所有已配置的從服務器都不可達,則本次認證或計費失敗。
相關配置可參考命令display radius scheme和state primary。
【舉例】
# 將RADIUS方案radius1的從認證服務器的狀態設置為block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication block
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
stop-accounting-buffer enable命令用來允許在設備上緩存沒有得到響應的停止計費請求報文。undo stop-accounting-buffer enable命令用來禁止在設備上緩存沒有得到響應的停止計費請求報文。
缺省情況下,允許設備緩存沒有得到響應的停止計費請求報文。
由於停止計費請求報文涉及到話單結算、並最終影響收費多少,對用戶和ISP都有比較重要的影響,因此設備應該盡最大努力把它發送給RADIUS計費服務器。所以,如果RADIUS計費服務器對設備發出的停止計費請求報文沒有響應,設備應將其緩存在本機上,然後發送直到RADIUS計費服務器產生響應,或者在發送的次數達到指定的次數限製後將其丟棄。但在計費服務器已被刪除的情況下,停止計費報文不會被緩存。
相關配置可參考命令reset stop-accounting-buffer和display stop-accounting-buffer。
【舉例】
# 指示設備能夠緩存沒有得到響應的停止計費請求報文。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
minutes:恢複激活狀態的時間,取值範圍為0~255,單位為分鍾。當該參數取值為0時,若當前用戶使用的認證或計費服務器不可達,則設備並不會切換它的狀態,而是保持其為active,並且將使用該服務器的用戶認證或計費的報文發送給下一個狀態為active的服務器,而後續其他用戶的認證請求報文仍然可以發送給該服務器進行處理。
【描述】
timer quiet命令用來設置服務器恢複激活狀態的時間。undo timer quiet命令用來恢複缺省情況。
缺省情況下,服務器恢複激活狀態的時間為5分鍾。
本命令除了可以調節服務器恢複激活狀態的時間之外,還可以控製是否對不可達服務器進行狀態切換。例如,若判斷主服務器不可達是網絡端口短暫中斷或者服務器忙碌造成的,則可以結合網絡的實際運行狀況,將服務器的恢複激活時間置為0,使得用戶盡可能得集中在主服務器上進行認證和計費。
建議根據配置的從服務器數量合理設置服務器恢複激活狀態的時間。如果服務器恢複激活狀態時間設置的過短,就會出現設備反複嚐試與狀態active但實際不可達的服務器通信而導致的認證或計費頻繁失敗的問題。
相關配置可參考命令display radius scheme。
【舉例】
# 設置服務器恢複激活狀態的時間為10分鍾。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
minutes:實時計費的時間間隔,取值範圍為0~60,非零取值必須為3的倍數,單位為分鍾。0表示設備不向RADIUS服務器發送在線用戶的計費信息。
【描述】
timer realtime-accounting命令用來設置實時計費的時間間隔。undo timer realtime-accounting命令用來恢複缺省情況。
缺省情況下,實時計費的時間間隔為12分鍾。
需要注意的是:
· 為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向RADIUS服務器發送一次在線用戶的計費信息。
· 當實時計費間隔設置為0時,如果服務器上配置了實時計費間隔,則設備按照服務器上配置的實時計費間隔向RADIUS服務器發送在線用戶的計費信息;如果服務器上沒有配置該值,則設備不向RADIUS服務器發送在線用戶的計費信息。
· 實時計費間隔的取值對設備和RADIUS服務器的性能有一定的相關性要求,取值小,會增加網絡中的數據流量,對設備和RADIUS服務器的性能要求就高;取值大,會影響計費的準確性。因此要結合網絡的實際情況合理設置計費間隔的大小,一般情況下,建議當用戶量比較大(¦1000)時,盡量把該間隔的值設置得大一些。以下是實時計費間隔與用戶量之間的推薦比例關係:
用戶數 |
實時計費間隔(分鍾) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
¦1000 |
¦15 |
相關配置可參考命令retry realtime-accounting 。
【舉例】
# 將RADIUS方案radius1的實時計費的時間間隔設置為51分鍾。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
seconds:RADIUS服務器響應超時時間,取值範圍為1~10,單位為秒。
【描述】
timer response-timeout命令用來設置RADIUS服務器響應超時時間。undo timer response-timeout命令用來恢複缺省情況。
缺省情況下,RADIUS服務器響應超時時間為3秒。
如果在RADIUS請求報文(認證/授權請求或計費請求)傳送出去一段時間後,設備還沒有得到RADIUS服務器的響應,則有必要重傳RADIUS請求報文,以保證用戶盡可能地獲得RADIUS服務,這段時間被稱為RADIUS服務器響應超時時長,本命令用於調整這個時長。
需要注意的是,發送RADIUS報文的最大嚐試次數與RADIUS服務器響應超時時間的乘積不能超過75秒。
相關配置可參考命令retry。
【舉例】
# 將RADIUS方案radius1的響應超時定時器設置為5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【命令】
user-name-format { keep-original | with-domain | without-domain }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
keep-original:發送給RADIUS服務器的用戶名與用戶輸入的保持一致。
with-domain:發送給RADIUS服務器的用戶名帶ISP域名。
without-domain:發送給RADIUS服務器的用戶名不帶ISP域名。
【描述】
user-name-format命令用來設置發送給RADIUS服務器的用戶名格式。
缺省情況下,RADIUS方案發送給RADIUS服務器的用戶名攜帶有ISP域名。
需要注意的是:
· 接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給RADIUS服務器。因此,設備提供此命令以指定發送給RADIUS服務器的用戶名是否攜帶有ISP域名。
· 如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該RADIUS方案。否則,會出現雖然實際用戶不同(在不同的ISP域中),但RADIUS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
· 在802.1X用戶采用EAP認證方式的情況下,RADIUS方案中配置的user-name-format命令無效,客戶端傳送給RADIUS服務器的用戶名不會有改動。
相關配置可參考命令radius scheme。
【舉例】
# 指定發送給RADIUS方案radius1中RADIUS服務器的用戶名不得攜帶域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
data:設置數據流的單位。
· byte:數據流的單位為字節。
· giga-byte:數據流的單位千兆字節。
· kilo-byte:數據流的單位為千字節。
· mega-byte:數據流的單位為兆字節。
packet:設置數據包的單位。
· giga-packet:數據包的單位為千兆包。
· kilo-packet:數據包的單位為千包。
· mega-packet:數據包的單位為兆包。
· one-packet:數據包的單位為包。
【描述】
data-flow-format命令用來配置發送到HWTACACS服務器的數據流的單位。undo data-flow-format命令用來恢複缺省情況。
缺省情況下,數據的單位為byte,數據包的單位為one-packet。
需要注意的是,設備上配置的發送給HWTACACS服務器的數據流單位及數據包單位應與HWTACACS服務器上的流量統計單位保持一致,否則無法正確計費。
相關配置可參考命令display hwtacacs。
【舉例】
# 在HWTACACS方案hwt1中,設置發往HWTACACS服務器的數據流的數據單位為kilo-byte、數據包的單位為kilo-packet。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display hwtacacs [ hwtacacs-scheme-name [ statistics ] ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme-name:指定HWTACACS方案名。
statistics:顯示HWTACACS服務器的統計信息。不指定該參數,則顯示HWTACACS方案的配置信息。
slot slot-number:顯示設備上的HWTACACS方案配置信息或統計信息。slot-number取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display hwtacacs命令用來查看HWTACACS方案的配置信息或HWTACACS服務器的統計信息。
需要注意的是:如果不指定HWTACACS方案名,則顯示所有HWTACACS方案的配置信息。
相關配置請參考命令hwtacacs scheme。
【舉例】
# 查看HWTACACS方案gy的配置情況。
--------------------------------------------------------------------
HWTACACS-server template name : gy
Primary-authentication-server : 172.31.1.11:49
Primary-authorization-server : 172.31.1.11:49
Primary-accounting-server : 172.31.1.11:49
Secondary-authentication-server : 0.0.0.0:0
Secondary-authorization-server : 0.0.0.0:0
Secondary-accounting-server : 0.0.0.0:0
Current-authentication-server : 172.31.1.11:49
Current-authorization-server : 172.31.1.11:49
Current-accounting-server : 172.31.1.11:49
NAS-IP-address : 0.0.0.0
key authentication : ******
key authorization : ******
key accounting : ******
Quiet-interval(min) : 5
Realtime-accounting-interval(min) : 12
Response-timeout-interval(sec) : 5
Acct-stop-PKT retransmit times : 100
Username format : with-domain
Data traffic-unit : B
Packet traffic-unit : one-packet
--------------------------------------------------------------------
表1-8 display hwtacacs命令顯示信息描述表
字段 |
描述 |
HWTACACS-server template name |
HWTACACS服務器方案名 |
Primary-authentication-server |
主認證服務器IP地址/接入端口號 未配置主認證服務器時,IP地址/接入端口號顯示為0.0.0.0:0。下麵各服務器同理顯示 |
Primary-authorization-server |
主授權服務器IP地址/接入端口號 |
Primary-accounting-server |
主計費服務器IP地址/接入端口號 |
Secondary-authentication-server |
從認證服務器IP地址/接入端口號 |
Secondary-authorization-server |
從授權服務器IP地址/接入端口號 |
Secondary-accounting-server |
從計費服務器IP地址/接入端口號 |
Current-authentication-server |
當前認證服務器IP地址/接入端口號 |
Current-authorization-server |
當前授權服務器IP地址/接入端口號 |
Current-accounting-server |
當前計費服務器IP地址/接入端口號 |
NAS-IP-address |
NAS的IP地址 未指定NAS的IP地址時,此處顯示為0.0.0.0 |
key authentication |
認證密鑰 · 已配置時,顯示為****** · 未配置時,顯示為- |
key authorization |
授權密鑰 · 已配置時,顯示為****** · 未配置時,顯示為- |
key accounting |
計費密鑰 · 已配置時,顯示為****** · 未配置時,顯示為- |
Quiet-interval |
主服務器恢複激活狀態的時間 |
Realtime-accounting-interval |
實時計費間隔 |
Response-timeout-interval |
服務器響應超時間隔 |
Acct-stop-PKT retransmit times |
停止計費報文的重傳次數 |
Username format |
發送給HWTACACS服務器的用戶名格式 |
Data traffic-unit |
數據流量單位 |
Packet traffic-unit |
包流量單位 |
# 查看HWTACACS方案gy中各服務器的統計信息。
<Sysname> display hwtacacs gy statistics
Slot: 1
---[HWTACACS template gy primary authentication]---
HWTACACS server open number: 10
HWTACACS server close number: 10
HWTACACS authen client access request packet number: 10
HWTACACS authen client access response packet number: 6
HWTACACS authen client unknown type number: 0
HWTACACS authen client timeout number: 4
HWTACACS authen client packet dropped number: 4
HWTACACS authen client access request change password number: 0
HWTACACS authen client access request login number: 5
HWTACACS authen client access request send authentication number: 0
HWTACACS authen client access request send password number: 0
HWTACACS authen client access connect abort number: 0
HWTACACS authen client access connect packet number: 5
HWTACACS authen client access response error number: 0
HWTACACS authen client access response failure number: 0
HWTACACS authen client access response follow number: 0
HWTACACS authen client access response getdata number: 0
HWTACACS authen client access response getpassword number: 5
HWTACACS authen client access response getuser number: 0
HWTACACS authen client access response pass number: 1
HWTACACS authen client access response restart number: 0
HWTACACS authen client malformed access response number: 0
HWTACACS authen client round trip time(s): 5
---[HWTACACS template gy primary authorization]---
HWTACACS server open number: 1
HWTACACS server close number: 1
HWTACACS author client request packet number: 1
HWTACACS author client response packet number: 1
HWTACACS author client timeout number: 0
HWTACACS author client packet dropped number: 0
HWTACACS author client unknown type number: 0
HWTACACS author client request EXEC number: 1
HWTACACS author client response error number: 0
HWTACACS author client response EXEC number: 1
HWTACACS author client round trip time(s): 3
---[HWTACACS template gy primary accounting]---
HWTACACS server open number: 0
HWTACACS server close number: 0
HWTACACS account client request packet number: 0
HWTACACS account client response packet number: 0
HWTACACS account client unknown type number: 0
HWTACACS account client timeout number: 0
HWTACACS account client packet dropped number: 0
HWTACACS account client request command level number: 0
HWTACACS account client request connection number: 0
HWTACACS account client request EXEC number: 0
HWTACACS account client request network number: 0
HWTACACS account client request system event number: 0
HWTACACS account client request update number: 0
HWTACACS account client response error number: 0
HWTACACS account client round trip time(s): 0
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:根據指定HWTACACS方案顯示緩存的停止計費請求報文。其中,hwtacacs-scheme-name為HWTACACS方案名,為1~32個字符的字符串。
slot slot-number:顯示設備上緩存的停止計費請求報文。slot-number取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display stop-accounting-buffer命令用來顯示緩存的沒有得到響應的停止計費請求報文。
相關配置可參考命令reset stop-accounting-buffer、stop-accounting-buffer enable和retry stop-accounting。
【舉例】
# 顯示HWTACACS方案hwt1緩存的停止計費請求報文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1
Slot 1:
Total 0 record(s) Matched
【命令】
hwtacacs nas-ip ip-address
undo hwtacacs nas-ip ip-address
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定的源IP地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
【描述】
hwtacacs nas-ip命令用來指定設備發送HWTACACS報文使用的源地址。undo hwtacacs nas-ip命令用來刪除指定的源地址。
缺省情況下,不指定源地址,即以發送報文的接口地址作為源地址。
需要注意的是:
· HWTACACS服務器上通過IP地址來標識接入設備,並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。因此,為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。
· HWTACACS方案視圖下的命令nas-ip隻對本HWTACACS方案有效,係統視圖下的命令hwtacacs nas-ip對所有HWTACACS方案有效。HWTACACS方案視圖下的設置具有更高的優先級。
相關配置可參考命令nas-ip。
【舉例】
# 配置設備發送HWTACACS報文使用的源地址為129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
hwtacacs-scheme-name:HWTACACS方案名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
hwtacacs scheme命令用來創建HWTACACS方案並進入其視圖。undo hwtacacs scheme命令用來刪除指定的HWTACACS方案。
缺省情況下,沒有定義HWTACACS方案。
需要注意的是:
· 一個HWTACACS方案可以同時被多個ISP域引用。
· 不允許使用undo hwtacacs scheme命令刪除被ISP域引用的HWTACACS方案。
【舉例】
# 創建名為hwt1的HWTACACS方案並進入相應的HWTACACS視圖。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【命令】
key { accounting | authentication | authorization } [ cipher | simple ] key
undo key { accounting | authentication | authorization }
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
accounting:配置HWTACACS計費報文的共享密鑰。
authentication:配置HWTACACS認證報文的共享密鑰。
authorization:配置HWTACACS授權報文的共享密鑰。
cipher:表示以密文方式設置共享密鑰。
simple:表示以明文方式設置共享密鑰。
key:設置的明文密鑰或密文密鑰,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。不指定simple和cipher時,表示以明文方式設置共享密鑰。
【描述】
key命令用來配置HWTACACS認證、授權、計費報文的共享密鑰。undo key命令用來刪除配置。
缺省情況下,無共享密鑰。
必須保證設備上設置的共享密鑰與HWTACACS服務器上的完全一致。
以明文或密文方式設置的共享密鑰,均以密文的方式保存在配置文件中。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置HWTACACS計費報文共享密鑰為明文hello。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key accounting simple hello
# 配置HWTACACS計費報文共享密鑰為明文hello。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key accounting hello
# 配置HWTACACS計費報文共享密鑰為密文$c$3$jaeN0ej15fjuHKeuVh8mqicHzaHdMw==。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key accounting cipher $c$3$jaeN0ej15fjuHKeuVh8mqicHzaHdMw==
【命令】
nas-ip ip-address
undo nas-ip
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定的源IP地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
【描述】
nas-ip命令用來指定設備發送HWTACACS報文使用的源地址。undo nas-ip命令用來恢複缺省情況。
缺省情況下,使用係統視圖下由命令hwtacacs nas-ip指定的源地址,若係統視圖下未指定源地址,則使用發送HWTACACS報文的接口的IP地址。
需要注意的是:
· HWTACACS服務器上通過IP地址來標識接入設備,並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。因此,為保證認證和計費報文可被服務器正常接收並處理,接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。
· 如果重複執行此命令,新配置的源地址會覆蓋原有的源地址。
· HWTACACS方案視圖下的命令nas-ip隻對本HWTACACS方案有效,係統視圖下的命令hwtacacs nas-ip對所有HWTACACS方案有效。HWTACACS方案視圖下的設置具有更高的優先級。
相關配置可參考命令hwtacacs nas-ip。
【舉例】
# 配置設備發送HWTACACS報文使用的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port-number ]
undo primary accounting
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:主HWTACACS計費服務器的IP地址。
port-number:主HWTACACS計費服務器的TCP端口號,缺省為49,取值範圍為1~65535。此端口號必須與服務器提供計費服務的端口號保持一致。
【描述】
primary accounting命令用來配置主HWTACACS計費服務器。undo primary accounting命令用來刪除配置的主HWTACACS計費服務器。
缺省情況下,未配置主計費服務器。
需要注意的是:
· 主計費服務器和從計費服務器的IP地址不能相同。
· 隻有在設備與計費服務器沒有報文交互時,才允許刪除該服務器。計費服務器刪除後,隻對之後的計費過程有影響。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置主HWTACACS計費服務器的IP地址為10.163.155.12,使用TCP端口49提供HWTACACS計費服務。
<Sysname> system-view
[Sysname] hwtacacs scheme test1
[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49
【命令】
primary authentication ip-address [ port-number ]
undo primary authentication
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:主HWTACACS認證服務器的IP地址。
port-number:主HWTACACS認證服務器的TCP端口號,缺省為49,取值範圍為1~65535。此端口號必須與服務器提供認證服務的端口號保持一致。
【描述】
primary authentication命令用來配置主HWTACACS認證服務器。undo primary authentication命令用來刪除配置的主HWTACACS認證服務器。
缺省情況下,未配置主認證服務器。
需要注意的是:
· 主認證服務器和從認證服務器的IP地址不能相同。
· 隻有在設備與認證服務器沒有報文交互時,才允許刪除該服務器。認證服務器刪除後,隻對之後的認證過程有影響。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置主HWTACACS認證服務器的IP地址為10.163.155.13,使用TCP端口49提供HWTACACS認證服務。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49
【命令】
primary authorization ip-address [ port-number ]
undo primary authorization
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:主HWTACACS授權服務器的IP地址。
port-number:主HWTACACS授權服務器的TCP端口號,缺省為49,取值範圍為1~65535。此端口號必須與服務器提供授權服務的端口號保持一致。
【描述】
primary authorization命令用來配置主HWTACACS授權服務器。undo primary authorization命令用來刪除配置的主HWTACACS授權服務器。
缺省情況下,未配置主授權服務器。
需要注意的是:
· 主授權服務器和從授權服務器的IP地址不能相同。
· 隻有在設備與授權服務器沒有報文交互時,才允許刪除該服務器。授權服務器刪除後,隻對之後的授權過程有影響。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置主HWTACACS授權服務器的IP地址為10.163.155.13,使用TCP端口49提供HWTACACS授權服務。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization } [ slot slot-number ]
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
accounting:清除HWTACACS協議關於計費的統計信息。
all:清除HWTACACS的所有統計信息。
authentication:清除HWTACACS協議關於認證的統計信息。
authorization:清除HWTACACS協議關於授權的統計信息。
slot slot-number:清除設備上的HWTACACS協議的統計信息。slot-number取值隻能為1。
【描述】
reset hwtacacs statistics命令用來清除HWTACACS協議的統計信息。
相關配置請參考命令display hwtacacs。
【舉例】
# 清除HWTACACS協議的所有統計信息。
<Sysname> reset hwtacacs statistics all
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:根據指定HWTACACS方案清除緩存的停止計費請求報文。其中,hwtacacs-server-name為HWTACACS方案名,為1~32個字符的字符串。
slot slot-number:清除設備上緩存的停止計費請求報文。slot-number取值隻能為1。
【描述】
reset stop-accounting-buffer命令用來清除緩存中的沒有得到響應的停止計費請求報文。
相關配置可參考命令stop-accounting-buffer enable和display stop-accounting-buffer。
【舉例】
# 清除HWTACACS方案hwt1緩存在係統中的停止計費請求報文。
<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
retry-times:停止計費請求報文的最大重試次數,取值範圍為1~300。
【描述】
retry stop-accounting命令用來設置當出現沒有得到響應的停止計費請求時,將該報文存入設備緩存後,發送停止計費請求報文的最大次數。undo retry stop-accounting命令用來恢複缺省情況。
缺省情況下,停止計費請求報文的最大發送次數為100。
相關配置可參考命令reset stop-accounting-buffer和display stop-accounting-buffer。
【舉例】
# 在HWTACACS方案hwt1中,設置設備最多可以嚐試向該方案中的服務器發送50次停止計費請求報文。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 50
【命令】
secondary accounting ip-address [ port-number ]
undo secondary accounting
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:從HWTACACS計費服務器的IP地址。
port-number:從HWTACACS計費服務器的端口號,缺省為49,取值範圍為1~65535。此端口號必須與服務器提供計費服務的端口號保持一致。
【描述】
secondary accounting命令用來配置從HWTACACS計費服務器。undo secondary accounting命令用來刪除配置的從HWTACACS計費服務器。
缺省情況下,未配置從計費服務器。
需要注意的是:
· 主計費服務器和從計費服務器的IP地址不能相同。
· 隻有在設備與計費服務器沒有報文交互時,才允許刪除該服務器。計費服務器刪除後,隻對之後的計費過程有影響。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置從HWTACACS計費服務器的IP地址為10.163.155.12,使用TCP端口49提供HWTACACS計費服務。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49
【命令】
secondary authentication ip-address [ port-number ]
undo secondary authentication
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:從HWTACACS認證服務器的IP地址。
port-number:從HWTACACS認證服務器的TCP端口號,缺省為49,取值範圍為1~65535。此端口號必須與服務器提供認證服務的端口號保持一致。
【描述】
secondary authentication命令用來配置從HWTACACS認證服務器。undo secondary authentication命令用來刪除配置的從HWTACACS認證服務器。
缺省情況下,未配置從認證服務器。
需要注意的是:
· 主認證服務器和從認證服務器的IP地址不能相同。
· 隻有在設備與認證服務器沒有報文交互時,才允許刪除該服務器。認證服務器刪除後,隻對之後的認證過程有影響。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置從HWTACACS認證服務器的IP地址為10.163.155.13,使用TCP端口49提供HWTACACS認證服務。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49
【命令】
secondary authorization ip-address [ port-number ]
undo secondary authorization
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:從HWTACACS授權服務器的IP地址。
port-number:從HWTACACS授權服務器的TCP端口號,缺省為49,取值範圍為1~65535。此端口號必須與服務器提供授權服務的端口號保持一致。
【描述】
secondary authorization命令用來配置從HWTACACS授權服務器。undo secondary authorization命令用來刪除配置的從HWTACACS授權服務器。
缺省情況下,未配置從授權服務器。
需要注意的是:
· 主授權服務器和從授權服務器的IP地址不能相同。
· 隻有在設備與授權服務器沒有報文交互時,才允許刪除該服務器。授權服務器刪除後,隻對之後的授權過程有影響。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置從HWTACACS授權服務器的IP地址為10.163.155.13,使用TCP端口49提供HWTACACS授權服務。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
stop-accounting-buffer enable命令用來允許在設備上緩存沒有得到響應的停止計費請求報文。undo stop-accounting-buffer enable命令用來禁止在設備上緩存沒有得到響應的停止計費請求報文。
缺省情況下,允許設備緩存沒有得到響應的停止計費請求報文。
由於停止計費請求報文涉及到話單結算、並最終影響收費多少,對用戶和ISP都有比較重要的影響,因此設備應該盡最大努力把它發送給HWTACACS計費服務器。所以,如果HWTACACS計費服務器對設備發出的停止計費請求報文沒有響應,設備應將其緩存在本機上,然後發送直到HWTACACS計費服務器產生響應,或者在發送的次數達到指定的次數限製後將其丟棄。
相關配置可參考命令reset stop-accounting-buffer和display stop-accounting-buffer。
【舉例】
# 指示對於HWTACACS方案hwt1中的服務器,設備能夠緩存沒有得到響應的停止計費請求報文。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
minutes:恢複激活狀態的時間,取值範圍為1~255,單位為分鍾。
【描述】
timer quiet命令用來設置主服務器恢複激活狀態的時間。undo timer quiet命令用來恢複缺省情況。
缺省情況下,主服務器恢複激活狀態的時間為5分鍾。
相關配置可參考命令display hwtacacs。
【舉例】
# 設置主服務器恢複激活狀態的時間為10分鍾。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
minutes:實時計費的時間間隔,取值範圍為0~60,非零取值必須為3的倍數,單位為分鍾。0表示設備不向HWTACACS服務器發送在線用戶的計費信息。
【描述】
timer realtime-accounting命令用來設置實時計費的時間間隔。undo timer realtime-accounting命令用來恢複缺省情況。
缺省情況下,實時計費的時間間隔為12分鍾。
需要注意的是:
· 為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向HWTACACS服務器發送一次在線用戶的計費信息。
· 實時計費間隔的取值對設備和HWTACACS服務器的性能有一定的相關性要求,取值越小,對設備和HWTACACS服務器的性能要求越高。建議當用戶量比較大(¦1000)時,盡量把該間隔的值設置得大一些。以下是實時計費間隔與用戶量之間的推薦比例關係:
用戶數 |
實時計費間隔(分鍾) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
¦1000 |
¦15 |
【舉例】
# 將HWTACACS方案hwt1的實時計費的時間間隔設置為51分鍾。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
seconds:HWTACACS服務器響應超時時間,取值範圍為1~300,單位為秒。
【描述】
timer response-timeout命令用來設置HWTACACS服務器響應超時時間。undo timer response-timeout命令用來恢複缺省情況。
缺省情況下,HWTACACS服務器響應超時時間為5秒。
需要注意的是,由於HWTACACS是基於TCP實現的,因此,服務器響應超時或TCP超時都可能導致與HWTACACS服務器的連接斷開。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置TACACS服務器響應超時時間為30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【命令】
user-name-format { keep-original | with-domain | without-domain }
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
keep-original:發送給HWTACACS服務器的用戶名與用戶輸入的保持一致。
with-domain:發送給HWTACACS服務器的用戶名帶ISP域名。
without-domain:發送給HWTACACS服務器的用戶名不帶ISP域名。
【描述】
user-name-format命令用來設置發送給HWTACACS服務器的用戶名格式。
缺省情況下,HWTACACS方案默認發送給HWTACACS服務器的用戶名攜帶有ISP域名。
需要注意的是:
· 接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些較早期的HWTACACS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給HWTACACS服務器。因此,設備提供此命令以指定發送給HWTACACS服務器的用戶名是否攜帶有ISP域名。
· 如果指定某個HWTACACS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該HWTACACS方案。否則,會出現雖然實際用戶不同(在不同的ISP域中),但HWTACACS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
【舉例】
# 指定發送給HWTACACS方案hwt1的用戶不帶ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!