- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-AAA命令
本章節下載: 05-AAA命令 (883.50 KB)
目 錄
1.1.29 authorization-attribute (ISP domain view)
1.1.37 service-type (ISP domain view)
1.1.38 session-time include-idle-time
1.1.39 state (ISP domain view)
1.2.2 authorization-attribute (Local user view/user group view)
1.2.6 display local-guest waiting-approval
1.2.14 local-guest auto-delete enable
1.2.15 local-guest email format
1.2.16 local-guest email sender
1.2.17 local-guest email smtp-server
1.2.19 local-guest manager-email
1.2.23 local-user-export class network
1.2.24 local-user-export class network guest
1.2.25 local-user-import class network
1.2.26 local-user-import class network guest
1.2.29 reset local-guest waiting-approval
1.2.34 state (Local user view)
1.3.5 attribute convert (RADIUS DAE server view)
1.3.6 attribute convert (RADIUS scheme view)
1.3.7 attribute reject (RADIUS DAE server view)
1.3.8 attribute reject (RADIUS scheme view)
1.3.9 attribute remanent-volume
1.3.12 data-flow-format (RADIUS scheme view)
1.3.14 display radius statistics
1.3.15 key (RADIUS scheme view)
1.3.16 nas-ip (RADIUS scheme view)
1.3.18 primary accounting (RADIUS scheme view)
1.3.19 primary authentication (RADIUS scheme view)
1.3.20 radius attribute extended
1.3.22 radius dynamic-author server
1.3.25 radius session-control client
1.3.26 radius session-control enable
1.3.27 radius-server test-profile
1.3.28 reset radius statistics
1.3.30 retry realtime-accounting
1.3.31 secondary accounting (RADIUS scheme view)
1.3.32 secondary authentication (RADIUS scheme view)
1.3.33 snmp-agent trap enable radius
1.3.36 timer quiet (RADIUS scheme view)
1.3.37 timer realtime-accounting (RADIUS scheme view)
1.3.38 timer response-timeout (RADIUS scheme view)
1.3.39 user-name-format (RADIUS scheme view)
1.3.40 vpn-instance (RADIUS scheme view)
1.4.1 data-flow-format (HWTACACS scheme view)
1.4.5 key (HWTACACS scheme view)
1.4.6 nas-ip (HWTACACS scheme view)
1.4.7 primary accounting (HWTACACS scheme view)
1.4.8 primary authentication (HWTACACS scheme view)
1.4.10 reset hwtacacs statistics
1.4.11 secondary accounting (HWTACACS scheme view)
1.4.12 secondary authentication (HWTACACS scheme view)
1.4.13 secondary authorization
1.4.14 timer quiet (HWTACACS scheme view)
1.4.15 timer realtime-accounting (HWTACACS scheme view)
1.4.16 timer response-timeout (HWTACACS scheme view)
1.4.17 user-name-format (HWTACACS scheme view)
aaa nas-id profile命令用來創建NAS-ID Profile,並進入NAS-ID-Profile視圖。如果指定的NAS-ID Profile已經存在,則直接進入NAS-ID-Profile視圖。
undo aaa nas-id profile命令用來刪除指定的NAS-ID Profile。
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【缺省情況】
不存在NAS-ID Profile。
係統視圖
network-admin
context-admin
【參數】
profile-name:Profile名稱,為1~31個字符的字符串,不區分大小寫。該Profile用於保存NAS-ID與VLAN的綁定關係。
在某些應用環境中,網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來獲知用戶的接入位置,而用戶的接入VLAN可標識用戶的接入位置,因此接入設備上可通過建立用戶接入VLAN與指定的NAS-ID之間的綁定關係來實現接入位置信息的映射。NAS-ID Profile用於保存NAS-ID和VLAN的綁定關係。這樣,當用戶上線時,設備會將與用戶接入VLAN匹配的NAS-ID填充在RADIUS請求報文中的NAS-Identifier屬性中發送給RADIUS服務器。
# 創建一個名稱為aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【相關命令】
· portal nas-id-profile(安全命令參考/Portal)
· nas-id bind vlan
aaa session-limit命令用來配置同時在線的最大用戶連接數,即采用指定登錄方式登錄設備並同時在線的用戶數。
undo aaa session-limit命令用來恢複缺省情況。
【命令】
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions
undo aaa session-limit { ftp | http | https | ssh | telnet }
【缺省情況】
同時在線的各類型最大用戶連接數均為32。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ftp:表示FTP用戶。
http:表示HTTP用戶。
https:表示HTTPS用戶。
ssh:表示SSH用戶。
telnet:表示Telnet用戶。
max-sessions:允許同時在線的最大用戶連接數,HTTP和HTTPS用戶的取值範圍為1~64,其它用戶取值範圍為1~32。
【使用指導】
配置本命令後,當指定類型的接入用戶的用戶數超過當前配置的最大連接數後,新的接入請求將被拒絕。
【舉例】
# 設置同時在線的最大FTP用戶連接數為4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
accounting advpn命令用來為ADVPN用戶配置計費方法。
undo accounting advpn命令用來恢複缺省情況。
【命令】
accounting advpn { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting advpn
【缺省情況】
ADVPN用戶采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【支持的缺省用戶角色】
network-admin
context-admin
【參數】
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的計費方法。在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
【舉例】
# 在ISP域test下,為ADVPN用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting advpn local
# 在ISP域test下,配置ADVPN用戶使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting advpn radius-scheme rd local
【相關命令】
· accounting default
· local-user
· radius scheme
accounting command命令用來配置命令行計費方法。
undo accounting command命令用來恢複缺省情況。
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【缺省情況】
命令行計費采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
命令行計費過程是指,用戶執行過的合法命令或被授權執行的合法命令,會被發送給計費服務器進行記錄。
目前,僅支持使用遠程HWTACACS服務器完成命令行計費功能。
【舉例】
# 在ISP域test下,配置使用HWTACACS計費方案hwtac進行命令行計費。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【相關命令】
· accounting default
· command accounting(基礎命令參考/登錄設備)
· hwtacacs scheme
accounting default命令用來為當前ISP域配置缺省的計費方法。
undo accounting default命令用來恢複缺省情況。
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting default
【缺省情況】
當前ISP域的缺省計費方法為local。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
當前ISP域的缺省計費方法對於該域中未指定具體計費方法的所有接入用戶都起作用,但是如果某類型的用戶不支持指定的計費方法,則該計費方法對於這類用戶不能生效。
本地計費隻是為了支持本地用戶的連接數管理,沒有實際的計費相關的統計功能。
可以指定多個備選的計費方法,在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
【舉例】
# 在ISP域test下,配置缺省計費方法為使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
【相關命令】
· hwtacacs scheme
· local-user
· radius scheme
accounting login命令用來為login用戶配置計費方法。
undo accounting login命令用來恢複缺省情況。
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting login
【缺省情況】
login用戶采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
不支持對FTP、SFTP以及SCP類型的login用戶進行計費。
可以指定多個備選的計費方法。在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
【舉例】
# 在ISP域test下,為login用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用戶使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【相關命令】
· accounting default
· hwtacacs scheme
· local-user
· radius scheme
accounting portal命令用來為Portal用戶配置計費方法。
undo accounting portal命令用來恢複缺省情況。
【命令】
accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting portal
【缺省情況】
Portal用戶采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
broadcast:指定廣播RADIUS方案,即同時向指定的兩個RADIUS方案中的計費服務器發送計費請求。
radius-scheme radius-scheme-name1:表示主送計費RADIUS方案名,為1~32個字符的字符串,不區分大小寫;
radius-scheme radius-scheme-name2:表示抄送計費RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的計費方法,在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
當指定broadcast關鍵字時,將同時向指定的兩個RADIUS方案裏的主計費服務器發送計費請求,若主計費服務器不可達,再依次向RADIUS方案裏的從計費服務器發送計費請求。主送計費方案計費成功時,表示用戶計費成功;抄送計費方案的計費結果對用戶無影響。
【舉例】
# 在ISP域test下,為Portal用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal local
# 在ISP域test下,配置Portal用戶使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal radius-scheme rd local
# 在ISP域test下,配置Portal用戶使用RADIUS方案rd1和rd2進行廣播計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal broadcast radius-scheme rd1 radius-scheme rd2 local
【相關命令】
· accounting default
· local-user
· radius scheme
accounting ppp命令用來為PPP用戶配置計費方法。
undo accounting ppp命令用來恢複缺省情況。
【命令】
accounting ppp { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] | hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting ppp
【缺省情況】
PPP用戶采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
broadcast:指定廣播RADIUS方案,即同時向指定的兩個RADIUS方案中的計費服務器發送計費請求。
radius-scheme radius-scheme-name1:表示主送計費RADIUS方案名,為1~32個字符的字符串,不區分大小寫;
radius-scheme radius-scheme-name2:表示抄送計費RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的計費方法,在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
當指定broadcast關鍵字時,將同時向指定的兩個RADIUS方案裏的主計費服務器發送計費請求,若主計費服務器不可達,再依次向RADIUS方案裏的從計費服務器發送計費請求。主送計費方案計費成功時,表示用戶計費成功;抄送計費方案的計費結果對用戶無影響。
【舉例】
# 在ISP域test下,為PPP用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ppp local
# 在ISP域test下,配置PPP用戶使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ppp radius-scheme rd local
# 在ISP域test下,配置PPP用戶使用RADIUS方案rd1和rd2進行廣播計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ppp broadcast radius-scheme rd1 radius-scheme rd2 local
【相關命令】
· accounting default
· hwtacacs scheme
· local-user
· radius scheme
accounting quota-out命令用來配置用戶計費流量配額耗盡策略。
undo accounting quota-out命令用來恢複缺省情況。
【命令】
accounting quota-out { offline | online }
undo accounting quota-out
【缺省情況】
用戶的計費流量配額耗盡後將被強製下線。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
offline:當用戶的整體流量配額耗盡後,強製用戶下線。
online:當用戶的整體流量配額耗盡後,允許用戶保持在線狀態。
【舉例】
# 在ISP域test下,配置用戶計費流量配額耗盡策略為:當流量配額耗盡後用戶仍能保持在線狀態。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting quota-out online
accounting sslvpn命令用來為SSL VPN用戶配置計費方法。
undo accounting sslvpn命令用來恢複缺省情況。
【命令】
accounting sslvpn { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting sslvpn
【缺省情況】
SSL VPN用戶采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的計費方法,在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
【舉例】
# 在ISP域test下,為SSL VPN用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting sslvpn local
# 在ISP域test下,配置SSL VPN用戶使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting sslvpn radius-scheme rd local
【相關命令】
· accounting default
· local-user
· radius scheme
accounting start-fail命令用來配置用戶計費開始失敗策略,即設備向計費服務器發送計費開始請求失敗後,是否允許用戶接入網絡。
undo accounting start-fail命令用來恢複缺省情況。
【命令】
accounting start-fail { offline | online }
undo accounting start-fail
【缺省情況】
如果用戶計費開始失敗,允許用戶保持在線狀態。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
offline:強製用戶下線。
online:允許用戶保持在線狀態。
【舉例】
# 在ISP域test下,配置計費開始失敗策略為:用戶計費開始失敗時允許用戶保持在線狀態。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting start-fail online
accounting update-fail命令用來配置用戶計費更新失敗策略,即設備向計費服務器發送用戶的計費更新報文失敗時,是否允許用戶接入網絡。
undo accounting update-fail命令用來恢複缺省情況。
【命令】
accounting update-fail { [ max-times max-times ] offline | online }
undo accounting update-fail
【缺省情況】
如果用戶計費更新失敗,允許用戶保持在線狀態。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
max-times max-times:允許用戶連續計費更新失敗的次數,取值範圍1~255,缺省值為1。
offline:如果用戶連續計費更新失敗的次數達到了指定的次數,則強製用戶下線。
online:如果用戶計費更新失敗,允許用戶保持在線狀態。
【舉例】
# 在ISP域test下,配置計費更新失敗策略為:用戶計費更新失敗時允許用戶保持在線狀態。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting update-fail online
authentication advpn命令用來為ADVPN用戶配置認證方法。
undo authentication advpn命令用來恢複缺省情況。
【命令】
authentication advpn { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication advpn
【缺省情況】
ADVPN用戶采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【支持的缺省用戶角色】
network-admin
context-admin
【參數】
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,為ADVPN用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication advpn local
# 在ISP域test下,配置ADVPN用戶使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication advpn radius-scheme rd local
【相關命令】
· authentication default
· local-user
· radius scheme
authentication default命令用來為當前ISP域配置缺省的認證方法。
undo authentication default命令用來為恢複缺省情況。
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication default
【缺省情況】
當前ISP域的缺省認證方法為local。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
當前ISP域的缺省的認證方法對於該域中未指定具體認證方法的所有接入用戶都起作用,但是如果某類型的用戶不支持指定的認證方法,則該認證方法對於這類用戶不能生效。
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,配置缺省認證方法為使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
【相關命令】
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication ike命令用來為IKE擴展認證配置認證方法。
undo authentication ike命令用來恢複缺省情況。
【命令】
authentication ike { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication ike
【缺省情況】
IKE擴展認證采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local:本地認證。
none:不認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,為IKE擴展認證配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ike local
# 在ISP域test下,配置IKE擴展認證使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ike radius-scheme rd local
【相關命令】
· authentication default
· local-user
· radius scheme
authentication login命令用來為login用戶配置認證方法。
undo authentication login命令用來恢複缺省情況。
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication login
【缺省情況】
login用戶采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,為login用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用戶使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
【相關命令】
· authentication default
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication portal命令用來為Portal用戶配置認證方法。
undo authentication portal命令用來恢複缺省情況。
【命令】
authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication portal
【缺省情況】
Portal用戶采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,為Portal用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication portal local
# 在ISP域test下,配置Portal用戶使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication portal radius-scheme rd local
【相關命令】
· authentication default
· ldap scheme
· local-user
· radius scheme
authentication ppp命令用來為PPP用戶配置認證方法。
undo authentication ppp命令用來恢複缺省情況。
【命令】
authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication ppp
【缺省情況】
PPP用戶采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,為PPP用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ppp local
# 在ISP域test下,配置PPP用戶使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ppp radius-scheme rd local
【相關命令】
· authentication default
· hwtacacs scheme
· local-user
· radius scheme
authentication sslvpn命令用來為SSL VPN用戶配置認證方法。
undo authentication sslvpn命令用來恢複缺省情況。
【命令】
authentication sslvpn { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication sslvpn
【缺省情況】
SSL VPN用戶采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中,ldap-scheme-name表示LDAP方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,為SSL VPN用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication sslvpn local
# 在ISP域test下,配置SSL VPN用戶使用LDAP方案ldp進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication sslvpn ldap-scheme ldp local
【相關命令】
· authentication default
· ldap scheme
· local-user
· radius scheme
authentication super命令用來配置用戶角色切換認證方法。
undo authentication super命令用來恢複缺省情況。
【命令】
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *
undo authentication super
【缺省情況】
用戶角色切換認證采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定一個備選的認證方法,在當前的認證方法無效時嚐試使用備選的方法完成認證。
目前,遠程方案隻能支持對名稱為level-n的用戶角色之間的切換進行認證。
· 當使用HWTACACS方案進行用戶角色切換認證時,係統使用用戶輸入的用戶角色切換用戶名進行角色切換認證,HWTACACS服務器上也必須存在相應的用戶名,該用戶名代表了能夠切換到的最大級別。例如,用戶希望切換到用戶角色level-3,輸入的用戶名為“test”,在要求攜帶域名認證的情況下,係統使用用戶名“test@domain-name”進行用戶角色切換認證;在要求不攜帶域名認證的情況下使用“test”進行用戶角色切換認證。
· 當使用RADIUS方案進行用戶角色切換認證時,係統使用“$enabn$”形式的用戶名進行用戶角色切換認證,其中n為用戶希望切換到的用戶角色level-n中的n,RADIUS服務器上也必須存在相同形式的用戶名。例如,用戶希望切換到用戶角色level-3,輸入任意用戶名,係統忽略用戶輸入的用戶名,使用“$enab3$@domain-name”或“$enab3$”形式的用戶名進行用戶角色切換認證(是否攜帶域名由user-name-format命令決定)。
【舉例】
# 在ISP域test下,配置使用HWTACACS方案tac進行用戶角色切換認證。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-isp-test] authentication super hwtacacs-scheme tac
【相關命令】
· authentication default
· hwtacacs scheme
· radius scheme
authorization advpn命令用來為ADVPN用戶配置授權方法。
undo authorization advpn命令用來恢複缺省情況。
【命令】
authorization advpn { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization advpn
【缺省情況】
ADVPN用戶采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【支持的缺省用戶角色】
network-admin
context-admin
【參數】
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,為ADVPN用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization advpn local
# 在ISP域test下,配置ADVPN用戶使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization advpn radius-scheme rd local
【相關命令】
· authorization default
· local-user
· radius scheme
authorization command命令用來配置命令行授權方法。
undo authorization command命令用來恢複缺省情況。
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization command
【缺省情況】
命令行授權采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。用戶執行角色所允許的命令時,無須接受授權服務器的檢查。
【使用指導】
命令行授權是指,用戶執行的每一條命令都需要接受授權服務器的檢查,隻有授權成功的命令才被允許執行。用戶登錄後可以執行的命令受登錄授權的用戶角色和命令行授權的用戶角色的雙重限製,即,僅登錄授權的用戶角色和命令行授權的用戶角色均允許執行的命令行,才能被執行。需要注意的是,命令行授權功能隻利用角色中的權限規則對命令行執行權限檢查,不進行其它方麵的權限檢查,例如資源控製策略等。
對用戶采用本地命令行授權時,設備將根據用戶登錄設備時輸入的用戶名對應的本地用戶配置來對用戶輸入的命令進行檢查,隻有本地用戶中配置的授權用戶角色所允許的命令才被允許執行。
可以指定多個備選的命令行授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成命令授權。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先進行HWTACACS授權,若HWTACACS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,配置命令行授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac進行命令行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【相關命令】
· authorization accounting(基礎命令參考/登錄設備)
· hwtacacs scheme
· local-user
authorization default命令用來為當前ISP域配置缺省的授權方法。
undo authorization default命令用來恢複缺省情況。
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization default
【缺省情況】
當前ISP域的缺省授權方法為local。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的Login用戶(通過Console口或者Telnet、FTP/SFTP/SCP訪問設備的用戶)隻有係統給予的缺省用戶角色level-0,其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄,但並無訪問權限;認證通過的非Login用戶可直接訪問網絡。關於用戶角色level-0的詳細介紹請參見“基礎配置指導”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
當前ISP域的缺省的授權方法對於該域中未指定具體授權方法的所有接入用戶都起作用,但是如果某類型的用戶不支持指定的授權方法,則該授權方法對於這類用戶不能生效。
在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,配置缺省授權方法為使用RADIUS方案rd進行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
【相關命令】
· hwtacacs scheme
· local-user
· radius scheme
authorization ike命令用來為IKE擴展認證配置授權方法。
undo authorization ike命令用來恢複缺省情況。
【命令】
authorization ike{ local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization ike
【缺省情況】
IKE擴展認證采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local:本地授權。
none:不授權。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。
【舉例】
# 在ISP域test下,為IKE擴展認證配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ike local
【相關命令】
· authorization default
· local-user
authorization login命令用來為login用戶配置授權方法。
undo authorization login命令用來恢複缺省情況。
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization login
【缺省情況】
login用戶采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的Login用戶(通過Console口或者Telnet、FTP/SFTP/SCP訪問設備的用戶)隻有係統給予的缺省用戶角色level-0,其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄,但並無訪問權限。關於用戶角色level-0的詳細介紹請參見“基礎配置指導”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,為login用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用戶使用RADIUS方案rd進行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
【相關命令】
· authorization default
· hwtacacs scheme
· local-user
· radius scheme
authorization portal命令用來為Portal用戶配置授權方法。
undo authorization portal命令用來恢複缺省情況。
【命令】
authorization portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization portal
【缺省情況】
Portal用戶采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權,認證通過的Portal用戶可直接訪問網絡。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,為Portal用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization portal local
# 在ISP域test下,配置Portal用戶使用RADIUS方案rd進行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization portal radius-scheme rd local
【相關命令】
· authorization default
· local-user
· radius scheme
authorization ppp命令用來為PPP用戶配置授權方法。
undo authorization ppp命令用來恢複缺省情況。
【命令】
authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization ppp
【缺省情況】
PPP用戶采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,為PPP用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ppp local
# 在ISP域test下,配置PPP用戶使用RADIUS方案rd進行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ppp radius-scheme rd local
【相關命令】
· authorization default
· hwtacacs scheme
· local-user
· radius scheme
authorization sslvpn命令用來為SSL VPN用戶配置授權方法。
undo authorization sslvpn命令用來恢複缺省情況。
【命令】
authorization sslvpn { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization sslvpn
【缺省情況】
SSL VPN用戶采用當前ISP域缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中,ldap-scheme-name表示LDAP方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權,認證通過的SSL VPN用戶可以直接訪問網絡。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,為SSL VPN用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization sslvpn local
# 在ISP域test下,配置SSL VPN用戶使用LDAP方案ldp進行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization sslvpn ldap-scheme ldp local
【相關命令】
· authorization default
· ldap scheme
· local-user
· radius scheme
authorization-attribute命令用來設置當前ISP域下的用戶授權屬性。
undo authorization-attribute命令用來刪除指定的授權屬性,恢複用戶具有的缺省訪問權限。
【命令】
authorization-attribute { acl acl-number | car inbound cir committed-information-rate [ pir peak-information-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] | idle-cut minute [ flow ] | igmp max-access-number max-access-number | ip-pool pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | mld max-access-number max-access-number | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-group user-group-name | vpn-instance vpn-instance-name }
undo authorization-attribute { acl | car | idle-cut | igmp | ip-pool | ipv6-pool | ipv6-prefix | mld | primary-dns | secondary-dns | session-timeout | url | user-group | vpn-instance }
【缺省情況】
未對當前ISP域下的用戶設置任何授權屬性,其中用戶閑置切換功能處於關閉狀態。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
acl acl-number:指定用於匹配用戶流量的ACL。其中acl-number表示ACL編號,取值範圍2000~5999。IPv4/IPv6用戶認證成功後,將僅被授權訪問指定的IPv4/IPv6 ACL網絡資源。IPv4/IPv6 Portal用戶在認證前,若被授權認證域,則將被授權訪問指定的IPv4/IPv6 ACL網絡資源。此屬性隻對Portal用戶生效。
car:指定授權用戶的流量監管動作。Portal用戶在認證前,若被授權認證域,則其流量將受到指定的流量監管動作控製。此屬性隻對PPP、Portal用戶生效。
inbound:表示用戶的上傳速率。
outbound:表示用戶的下載速率。
cir committed-information-rate:承諾信息速率,取值範圍為1~4194303,單位為kbps。
pir peak-information-rate:峰值速率,取值範圍為1~4194303,單位為kbps。若不指定該參數,則表示不對峰值速率進行限製。
idle-cut minute:指定用戶的閑置切斷時間。其中,minute的取值範圍為1~600,單位為分鍾。
flow:用戶在閑置切斷時間內產生的數據流量,取值範圍1~10240000,單位為字節,缺省值為10240。此屬性隻對PPP、Portal用戶生效。
igmp max-access-number max-access-number:指定IPv4用戶可以同時點播的最大節目數。其中,max-access-number的取值範圍為1~64。此屬性隻對PPP、Portal用戶生效。
ip-pool pool-name:指定為用戶分配IP地址的地址池。其中,pool-name表示地址池名稱,為1~63個字符的字符串,不區分大小寫。此屬性隻對PPP、Portal、IKE用戶生效。
ipv6-pool ipv6-pool-name:指定為用戶分配IPv6地址的地址池。其中,ipv6-pool-name表示地址池名稱,為1~63個字符的字符串,不區分大小寫。此屬性隻對PPP、Portal用戶生效。
ipv6-prefix ipv6-prefix prefix-length:指定為用戶分配的IPv6前綴。其中,ipv6-prefix prefix-length為前綴地址和前綴長度,前綴長度取值範圍是1~128。此屬性隻對PPP用戶生效。
mld max-access-number max-access-number:指定IPv6用戶可以同時點播的最大節目數。其中,max-access-number的取值範圍為1~64。此屬性隻對PPP、Portal用戶生效。
primary-dns ip ipv4-address:指定用戶的主DNS服務器IPv4地址。此屬性隻對PPP用戶生效。
primary-dns ipv6 ipv6-address:指定用戶的主DNS服務器IPv6地址。此屬性隻對PPP用戶生效。
secondary-dns ip ipv4-address:指定用戶的從DNS服務器IPv4地址。此屬性隻對PPP用戶生效。
secondary-dns ipv6 ipv6-address:指定用戶的從DNS服務器IPv6地址。此屬性隻對PPP用戶生效。
session-timeout minutes:指定用戶的會話超時時間。其中,minutes為設定的會話超時時間,取值範圍為1~4294967295,單位為分鍾。如果用戶在線時長超過該值,設備會強製該用戶下線。此屬性隻對PPP、Portal用戶生效。
url url-string:指定用戶的強製URL,為1~255個字符的字符串,區分大小寫。用戶認證成功後,此URL將被推送至PPP客戶端。此屬性隻對PPP用戶生效。
user-group user-group-name:表示用戶所屬用戶組。其中,user-group-name表示用戶組名,為1~32個字符的字符串,不區分大小寫。用戶認證成功後,將繼承該用戶組中的所有屬性。
vpn-instance vpn-instance-name:指定用戶所屬的VPN。其中,vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。用戶認證成功後,將被授權允許訪問指定VPN中的網絡資源。此屬性隻對PPP用戶生效。
【使用指導】
用戶上線後,設備會周期性檢測用戶的流量,若域內某用戶在指定的閑置檢測時間內產生的流量小於本命令中指定的數據流量,則會被強製下線。需要注意的是,服務器上也可以配置最大空閑時間實現對用戶的閑置切斷功能,具體為當用戶在指定的閑置檢測時間內產生的流量小於10240個字節(服務器上該閾值為固定值,不可配置)時,會被強製下線。但是,隻有在設備上的閑置切斷功能處於關閉狀態時,服務器才會根據自身的配置來控製用戶的閑置切斷。
如果當前ISP域的用戶認證成功,但認證服務器(包括本地認證下的接入設備)未對該ISP域下發授權屬性,則係統使用當前ISP下指定的授權屬性為用戶授權。
需要注意的是,可通過多次執行本命令配置多個授權屬性,但對於相同授權屬性,最後一次執行的命令生效。
【舉例】
# 指定ISP域test下的用戶閑置切斷時間為30分鍾,閑置切斷時間內產生的流量為10240字節。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization-attribute idle-cut 30 10240
【相關命令】
· display domain
basic-service-ip-type命令用來設置PPPoE/L2TP用戶主業務依賴的IP地址類型。當配置主業務依賴於某IP地址類型時,如果該類型的IP地址分配失敗,則不允許用戶上線。
undo basic-service-ip-type命令用來恢複缺省情況。
【命令】
basic-service-ip-type { ipv4 | ipv6 | ipv6-pd } *
undo basic-service-ip-type
【缺省情況】
PPPoE/L2TP用戶主業務不依賴於任何IP地址類型。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4:IPv4地址類型。
ipv6:IPv6地址類型。
ipv6-pd:IPv6 PD(Prefix Delegation,前綴授權)類型。該類型的用戶通過DHCPv6服務器為其分配的前綴信息生成IPv6地址。
【使用指導】
該特性僅在設備作為PPPoE Server或L2TP LNS時有效。
缺省情況下,如果PPPoE/L2TP用戶上線後沒有獲取到IP地址,設備將會強製其下線。
當PPPoE/L2TP用戶可能請求多種IP地址類型的業務,且並非所有IP類型的業務均為其主業務時,為了保證非主業務的IP地址獲取失敗的情況下用戶也能夠上線,則需要通過本特性來滿足該需求。
當配置主業務依賴於某IP類型時,如果該IP類型的地址分配失敗,則不允許用戶上線。例如,在某ISP下配置basic-service-ip-type ipv6後,則不允許該域中IPv6地址分配失敗的PPPoE/L2TP用戶上線。
如果同時指定了ipv6和ipv6-pd,則表示不允許該域中IPv6地址協商失敗或者PD協商失敗的PPPoE/L2TP用戶上線。
【舉例】
# 在ISP域test下,設置PPPoE/L2TP用戶主業務依賴的IP地址類型為IPv4。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] basic-service-ip-type ipv4
dhcpv6-follow-ipv6cp命令用來設置PPPoE/L2TP用戶等待分配IPv6地址的最大時長。
undo dhcpv6-follow-ipv6cp命令用來恢複缺省情況。
【命令】
dhcpv6-follow-ipv6cp timeout delay-time
undo dhcpv6-follow-ipv6cp
【缺省情況】
PPPoE/L2TP用戶等待分配IPv6地址的最大時長為60秒。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
timeout delay-time:最大等待時長,取值範圍為30~120,單位為秒。
【使用指導】
該特性僅在設備作為PPPoE Server或L2TP LNS時有效。
PPPoE/L2TP用戶與設備完成IPv6CP協商之後,如果在一定的時長內未能成功分配到主業務依賴類型的IPv6地址/PD,則被強製下線,否則使用分配到的IP地址上線。
在設備與某ISP域的用戶連接所在的網絡質量比較差,使用DHCPv6為用戶分配IPv6地址,或者該域接入的用戶數量比較大時,可以適當增加此等待時長避免用戶因為地址分配失敗而下線。
【舉例】
# 在ISP域test下,設置PPPoE/L2TP用戶等待分配IPv6地址的最大時長為90秒。
<Sysname> syste-view
[Sysname] domain test
[Sysname-isp-test] dhcpv6-follow-ipv6cp timeout 90
【相關命令】
· basic-service-ip-type
display domain命令用來顯示所有或指定ISP域的配置信息。
【命令】
display domain [ isp-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
isp-name:ISP域名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
如果不指定ISP域,則顯示係統中所有ISP域的配置信息。
【舉例】
# 顯示係統中所有ISP域的配置信息。
<Sysname> display domain
Total 2 domains
Domain: system
State: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Exclude idle time
DHCPv6-follow-IPv6CP timeout: 60 seconds
Authorization attributes:
Idle cut: Disabled
IGMP access number: 4
MLD access number: 4
Domain: dm
State: Active
Login authentication scheme: RADIUS=rad
Login authorization scheme: HWTACACS=hw
Super authentication scheme: RADIUS=rad
Command authorization scheme: HWTACACS=hw
PPP accounting scheme: RADIUS=r1, (RADIUS=r2), HWTACACS=tc, Local
Portal authentication scheme: LDAP=ldp
SSL VPN authentication scheme: LDAP=ldp, Local, None
SSL VPN authorization scheme: LDAP=ldp, Local
SSL VPN accounting scheme: None
Default authentication scheme: ldap=rad, Local, None
Default authorization scheme: Local
Default accounting scheme: None
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HIS
Session time: Include idle time
User basic service IP type: IPv4 IPv6 IPv6-PD
DHCPv6-follow-IPv6CP timeout: 44 seconds
Authorization attributes:
Idle-cut : Enabled
Idle timeout: 2 minutes
Flow: 10240 bytes
Session timeout: 34 minutes
IP pool: appy
Inbound CAR: CIR 64000 bps PIR 640000 bps
Outbound CAR: CIR 64000 bps PIR 640000 bps
ACL number:3000
User group: ugg
IPv6 prefix: 1::1/34
IPv6 pool: ipv6pool
Primary DNS server: 6.6.6.6
Secondary DNS server: 3.6.2.3
URL: http://portal
VPN instance: vpn1
IGMP access number: 12
MLD access number: 35
Default domain name: system
表1-1 display domain命令顯示信息描述表
|
字段 |
描述 |
|
Total 2 domains |
總計2個ISP域 |
|
Domain |
ISP域名 |
|
State |
ISP域的狀態 |
|
Default authentication scheme |
缺省的認證方案 |
|
Default authorization scheme |
缺省的授權方案 |
|
Default accounting scheme |
缺省的計費方案 |
|
Accounting start failure action |
用戶計費開始失敗的動作,包括以下取值: · Online:如果用戶計費開始失敗,則保持用戶在線 · Offline:如果用戶計費開始失敗,則強製用戶下線 |
|
Accounting update failure max-times |
允許用戶連續計費更新失敗的次數 |
|
Accounting update failure action |
用戶計費更新失敗的動作,包括以下取值: · Online:如果用戶計費更新失敗,則保持用戶在線 · Offline:如果用戶計費更新失敗,則強製用戶下線 |
|
Accounting quota out action |
用戶計費流量配額耗盡策略,包括以下取值: · Online:如果用戶計費流量配額耗盡,則保持用戶在線 · Offline:如果用戶計費流量配額耗盡,則強製用戶下線 |
|
Service type |
ISP域的業務類型,取值為HSI,STB和VoIP |
|
Session time |
設備上傳到服務器的用戶在線時間,有以下兩種情況: · Include idle time:保留閑置切斷時間 · Exclude idle time:扣除閑置切斷時間 |
|
User basic service IP type |
PPPoE/L2TP用戶主業務依賴的IP地址類型,包括以下取值: · IPv4:IPv4地址類型 · IPv6:IPv6地址類型 · IPv6-PD:IPv6 PD(Prefix Delegation,前綴授權)類型 |
|
DHCPv6-follow-IPv6CP timeout |
PPPoE/L2TP用戶等待分配IPv6地址的最大時長,單位為秒 |
|
Login authentication scheme |
Login用戶認證方案 |
|
Login authorization scheme |
Login用戶授權方案 |
|
Login accounting scheme |
Login用戶計費方案 |
|
Authorization attributes |
ISP的用戶授權屬性 |
|
Idle-cut |
用戶閑置切斷功能,包括以下取值: · Enabled:處於開啟狀態,表示當ISP域中的用戶在指定的最大閑置切斷時間內產生的流量小於指定的最小數據流量時,會被強製下線。 · Disabled:處於關閉狀態,表示不對用戶進行閑置切斷控製,它為缺省狀態 |
|
Idle timeout |
用戶閑置切斷時間(單位為分鍾) |
|
Flow |
用戶數據流量閾值(單位為字節) |
|
Session timeout |
用戶的會話超時時間(單位為分鍾) |
|
IP pool |
授權IPv4地址池的名稱 |
|
Inbound CAR |
授權的入方向CAR(CIR:平均速率,單位為bps;PIR:峰值速率,單位為bps) |
|
Outbound CAR |
授權的出方向CAR(CIR:平均速率,單位為bps;PIR:峰值速率,單位為bps) |
|
ACL number |
授權ACL編號 |
|
User group |
授權User group的名稱 |
|
IPv6 prefix |
授權IPv6前綴 |
|
IPv6 pool |
授權IPv6地址池的名稱 |
|
Primary DNS server |
授權主DNS服務器IPv4地址 |
|
Secondary DNS server |
授權從DNS服務器IPv4地址 |
|
Primary DNSV6 server |
授權主DNS服務器IPv6地址 |
|
Secondary DNSV6 server |
授權從DNS服務器IPv6地址 |
|
URL |
授權強製URL |
|
VPN instance |
授權VPN實例名稱 |
|
IGMP max access number |
授權IPv4用戶可以同時點播的最大節目數 |
|
MLD max access number |
授權IPv6用戶可以同時點播的最大節目數 |
|
RADIUS |
RADIUS方案 |
|
HWTACACS |
HWTACACS方案 |
|
ldap |
LDAP方案 |
|
local |
本地方案 |
|
none |
不認證、不授權和不計費 |
|
Super authentication scheme |
用戶角色切換認證方案 |
|
Command authorization scheme |
命令行授權方案 |
|
Command accounting scheme |
命令行計費方案 |
|
PPP authentication scheme |
PPP用戶的認證方案 |
|
PPP authorization scheme |
PPP用戶的授權方案 |
|
PPP accounting scheme |
PPP用戶的計費方案 |
|
Portal authentication scheme |
Portal用戶認證方案 |
|
Portal authorization scheme |
Portal用戶授權方案 |
|
Portal accounting scheme |
Portal用戶計費方案 |
|
IKE authentication scheme |
IKE擴展認證方案 |
|
IKE authorization scheme |
IKE擴展認證的授權方案 |
|
SSL VPN authentication scheme |
SSL VPN用戶認證方案 |
|
SSL VPN authorization scheme |
SSL VPN用戶授權方案 |
|
SSL VPN accounting scheme |
SSL VPN用戶計費方案 |
|
ADVPN authentication scheme |
ADVPN用戶認證方案 |
|
ADVPN authorization scheme |
ADVPN用戶授權方案 |
|
ADVPN accounting scheme |
ADVPN用戶計費方案 |
|
Default Domain Name |
缺省ISP域名 |
domain命令用來創建ISP域,並進入ISP域視圖。如果指定的ISP域已經存在,則直接進入ISP域視圖。
undo domain命令用來刪除指定的ISP域。
【命令】
domain isp-name
undo domain isp-name
【缺省情況】
存在一個ISP域,名稱為system。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
isp-name:ISP域名,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指導】
所有的ISP域在創建後即處於active狀態。
不能刪除係統中預定義的ISP域system,隻能修改該域的配置。
不能刪除作為係統缺省ISP域的ISP域。如需刪除一個係統缺省ISP域,請先使用undo domain default enable命令將其恢複為非缺省的ISP域。
因為有些客戶端支持的用戶名長度較小,建議設備上配置的ISP域名盡量短。
【舉例】
# 創建一個名稱為test的ISP域,並進入其視圖。
<Sysname> system-view
[Sysname] domain test
【相關命令】
· display domain
· domain default enable
· domain if-unknown
· state
domain default enable命令用來配置係統缺省的ISP域,所有在登錄時沒有提供ISP域名的用戶都屬於這個域。
undo domain default enable命令用來恢複缺省情況。
【命令】
domain default enable isp-name
undo domain default enable
【缺省情況】
存在一個係統缺省的ISP域,名稱為system。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
isp-name:ISP域名,為1~255個字符的字符串,不區分大小寫,且必須已經存在。
【使用指導】
係統中隻能存在一個缺省的ISP域。
配置為缺省的ISP域不能被刪除。如需刪除一個係統缺省ISP域,請先使用undo domain default enable命令將其恢複為非缺省的ISP域。
【舉例】
# 創建一個新的ISP域test,並設置為係統缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【相關命令】
· display domain
· domain
domain if-unknown命令用來為未知域名的用戶指定ISP域。
undo domain if-unknown命令用來恢複缺省情況。
【命令】
domain if-unknown isp-domain-name
undo domain if-unknown
【缺省情況】
沒有為未知域名的用戶指定ISP域。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
isp-domain-name:ISP域名。為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指導】
設備將按照如下先後順序選擇認證域:接入模塊指定的認證域-->用戶名中指定的ISP域-->係統缺省的ISP域。其中,僅部分接入模塊支持指定認證域。
如果根據以上原則決定的認證域在設備上不存在,但設備上為未知域名的用戶指定了ISP域,則最終使用該指定的ISP域認證,否則,用戶將無法認證。
【舉例】
# 為未知域名的用戶指定ISP域為test。
<Sysname> system-view
[Sysname] domain if-unknown test
【相關命令】
· display domain
nas-id bind vlan命令用來設置NAS-ID與VLAN的綁定關係。
undo nas-id bind vlan命令用來刪除指定的NAS-ID和VLAN的綁定關係。
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
【缺省情況】
不存在NAS-ID與VLAN的綁定關係。
NAS-ID Profile視圖
network-admin
context-admin
【參數】
nas-identifier:NAS-ID名稱,為1~31個字符的字符串,區分大小寫。
vlan-id:與NAS-ID綁定的VLAN ID,取值範圍為1~4094。
一個NAS-ID Profile視圖下,可以指定多個NAS-ID與VLAN的綁定關係。
一個NAS-ID可以與多個VLAN綁定,但是一個VLAN隻能與一個NAS-ID綁定。若多次將一個VLAN與不同的NAS-ID進行綁定,則最後的綁定關係生效。
# 在名稱為aaa的NAS-ID Profile視圖下,配置NAS-ID 222與VLAN 2的綁定關係。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
【相關命令】
· aaa nas-id profile
service-type命令用來設置當前ISP域的業務類型。
undo service-type命令用來恢複缺省情況。
【命令】
service-type { hsi | stb | voip }
undo service-type
【缺省情況】
當前ISP域的業務類型為hsi。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hsi:表示高速上網業務。
stb:表示數字機頂盒接入業務。
voip:表示VoIP業務。
【使用指導】
本命令用來配置當前認證域的用戶使用的業務類型,用來決定接入模塊是否開啟組播功能。
用戶使用HSI業務類型的ISP域接入時,接入模塊不會開啟組播功能,可節省係統資源。
用戶使用STB業務類型的ISP域接入時,接入模塊會開啟組播功能,可提高係統處理組播業務的性能。
用戶使用VoIP業務類型的ISP域接入時,QoS功能會開啟保證用戶語音數據的低延遲傳送。
對於PPP用戶(非PPPoE用戶),ISP域中配置的業務類型無效,係統強製使用HSI業務類型。
一個ISP域中,僅能配置一種類型的業務類型。
【舉例】
# 設置域test下用戶業務類型為STB終端業務。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] service-type stb
session-time include-idle-time命令用來配置設備上傳到服務器的用戶在線時間中保留閑置切斷時間。
undo session-time include-idle-time命令用來恢複缺省情況。
【命令】
session-time include-idle-time
undo session-time include-idle-time
【缺省情況】
設備上傳到服務器的用戶在線時間中扣除閑置切斷時間。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
請根據實際的計費策略決定是否在用戶在線時間中保留該閑置切換時間。
當用戶正常下線時,設備上傳到服務器上的用戶在線時間為實際在線時間;當用戶異常下線時,上傳到服務器的用戶在線時間具體如下:
· 若配置為保留閑置切斷時間,則上傳到服務器上的用戶在線時間中包含了一定的閑置切斷檢測間隔或用戶在線探測間隔(該在線探測機製目前僅Portal認證支持)。此時,服務器上記錄的用戶時長將大於用戶實際在線時長。
· 若配置為扣除閑置切斷時間,則上傳到服務器上的用戶在線時間為,閑置切斷檢測機製(或用戶在線探測機製)計算出的用戶已在線時長扣除掉一個閑置切斷檢測間隔(或一個用戶在線探測間隔)。此時,服務器上記錄的用戶時長將小於用戶實際在線時長。
【舉例】
# 在ISP域test下,配置設備上傳到服務器的用戶在線時間中保留閑置切斷時間。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] session-time include-idle-time
【相關命令】
· display domain
state命令用來設置當前ISP域的狀態。
undo state命令用來恢複缺省情況。
【命令】
state { active | block }
undo state
【缺省情況】
當前ISP域處於活動狀態。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
active:指定當前ISP域處於活動狀態,即係統允許該域下的用戶請求網絡服務。
block:指定當前ISP域處於阻塞狀態,即係統不允許該域下的用戶請求網絡服務。
【使用指導】
當某個ISP域處於阻塞狀態時,將不允許該域下的用戶請求網絡服務,但不影響已經在線的用戶。
【舉例】
# 設置當前ISP域test處於阻塞狀態。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
【相關命令】
· display domain
user-address-type命令用來設置當前ISP域的用戶地址類型。
undo user-address-type命令用來恢複缺省情況。
【命令】
user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 }
undo user-address-type
【缺省情況】
未指定當前ISP域的用戶地址類型。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ds-lite:表示當前用戶的地址類型為輕量級雙棧地址。
ipv6:表示當前用戶的地址類型為IPv6地址。
nat64:表示當前用戶的地址類型為NAT64地址。
private-ds:表示當前用戶的地址類型為私網雙棧地址。
private-ipv4:表示當前用戶的地址類型為私網IPv4地址。
public-ds:表示當前用戶的地址類型為公網雙棧地址。
public-ipv4:表示當前用戶的地址類型為公網IPv4地址。
【使用指導】
當更改當前ISP域的用戶地址類型時,不影響已經在線的用戶。
【舉例】
# 設置當前ISP域用戶地址類型為私網雙棧地址。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] user-address-type private-ds
【相關命令】
· display domain
access-limit命令用來設置使用當前本地用戶名接入設備的最大用戶數。
undo access-limit命令用來恢複缺省情況。
【命令】
access-limit max-user-number
undo access-limit
【缺省情況】
不限製使用當前本地用戶名接入的用戶數。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
max-user-number:表示使用當前本地用戶名接入設備的最大用戶數,取值範圍為1~1024。
【使用指導】
本地用戶視圖下的access-limit命令隻在該用戶采用了本地計費方法的情況下生效。
由於FTP/SFTP/SCP用戶不支持計費,因此FTP/SFTP/SCP用戶不受此屬性限製。
【舉例】
# 允許同時以本地用戶名abc在線的用戶數為5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
【相關命令】
· accounting start-fail offline
· display local-user
authorization-attribute命令用來設置本地用戶或用戶組的授權屬性,該屬性在本地用戶認證通過之後,由設備下發給用戶。
undo authorization-attribute命令用來刪除指定的授權屬性,恢複用戶具有的缺省訪問權限。
【命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | sslvpn-policy-group group-name | url url-string | user-role role-name | vlan vlan-id | vpn-instance vpn-instance-name | work-directory directory-name } *
undo authorization-attribute { acl | callback-number | idle-cut | ip | ip-pool | ipv6 | ipv6-pool | ipv6-prefix | primary-dns | secondary-dns | session-timeout | sslvpn-policy-group | url | user-role role-name | vlan | vpn-instance | work-directory } *
【缺省情況】
授權FTP/SFTP/SCP用戶可以訪問的目錄為設備的根目錄,但無訪問權限。在缺省Context中由用戶角色為network-admin或者level-15的用戶創建的本地用戶被授權用戶角色network-operator;在非缺省Context中由用戶角色為context-admin或者level-15的用戶創建的本地用戶被授權用戶角色context-operator
【視圖】
本地用戶視圖/用戶組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
acl acl-number:指定本地用戶的授權ACL。其中,acl-number為授權ACL的編號,取值範圍為2000~5999。本地用戶認證成功後,將被授權僅可以訪問符合指定ACL規則的網絡資源。
callback-number callback-number:指定本地用戶的授權PPP回呼號碼。其中,callback-number為1~64個字符的字符串,區分大小寫。本地用戶認證成功後,設備將可以使用該用戶的授權PPP回呼號碼向PPP協商的對端設備發起回呼。
idle-cut minute:設置本地用戶的閑置切斷時間。其中,minute為設定的閑置切斷時間,取值範圍為1~120,單位為分鍾。如果用戶在線後連續閑置的時長超過該值,設備會強製該用戶下線。
ip ipv4-address:指定本地用戶的靜態IP地址。本地用戶認證成功後,將允許使用該IP地址。
ip-pool ipv4-pool-name:指定本地用戶的IPv4地址池信息。本地用戶認證成功後,將允許使用該IPv4地址池分配地址。其中,ipv4-pool-name表示地址池名稱,為1~63個字符的字符串,不區分大小寫。
ipv6 ipv6-address:指定本地用戶的靜態IPv6地址。本地用戶認證成功後,將允許使用該IPv6地址。
ipv6-pool ipv6-pool-name:指定本地用戶的IPv6地址池信息。本地用戶認證成功後,將允許使用該IPv6地址池分配地址。其中,ipv6-pool-name表示地址池名稱,為1~63個字符的字符串,不區分大小寫。
ipv6-prefix ipv6-prefix prefix-length:指定本地用戶的IPv6前綴信息。ipv6-prefix prefix-length為前綴地址和前綴長度,前綴長度取值範圍是1~128。本地用戶認證成功後,將允許使用該IPv6前綴。此屬性隻對PPP。
primary-dns ip ipv4-address:指定本地用戶的主DNS服務器IPv4地址。本地用戶認證成功後,將被授權使用該主DNS服務器。
primary-dns ipv6 ipv6-address:指定本地用戶的主DNS服務器IPv6地址。本地用戶認證成功後,將被授權使用該主DNS服務器。
secondary-dns ip ipv4-address:指定本地用戶的從DNS服務器IPv4地址。本地用戶認證成功後,將被授權使用該從DNS服務器。
secondary-dns ipv6 ipv6-address:指定本地用戶的從DNS服務器IPv6地址。本地用戶認證成功後,將被授權使用該從DNS服務器。
session-timeout minutes:設置本地用戶的會話超時時間。其中,minutes為設定的會話超時時間,取值範圍為1~1440,單位為分鍾。如果用戶在線時長超過該值,設備會強製該用戶下線。
sslvpn-policy-group group-name:指定本地用戶所引用的SSL VPN策略組名,其中,group-name為1~31個字符的字符串,不區分大小寫。關於SSL VPN策略組的詳細介紹請參見“安全配置指導”中的“SSL VPN”。
url url-string:指定本地用戶的強製URL,為1~255個字符的字符串,區分大小寫。用戶認證成功後,此URL將被推送至PPP客戶端。
user-role role-name:指定本地用戶的授權用戶角色。其中,role-name表示用戶角色名稱,為1~63個字符的字符串,區分大小寫。可以為每個用戶最多指定64個用戶角色。本地用戶角色的相關命令請參見“基礎命令參考”中的“RBAC”。該授權屬性隻能在本地用戶視圖下配置,不能在本地用戶組視圖下配置。
vlan vlan-id:指定本地用戶的授權VLAN。其中,vlan-id為VLAN編號,取值範圍為1~4094。本地用戶認證成功後,將被授權僅可以訪問指定VLAN內的網絡資源。
vpn-instance vpn-instance-name:指定本地用戶所在的VPN實例。其中,vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,不區分大小寫。本地用戶認證成功後,將允許訪問指定VPN中的網絡資源。
work-directory directory-name:授權FTP/SFTP/SCP用戶可以訪問的目錄。其中,directory-name表示FTP/SFTP/SCP用戶可以訪問的目錄,為1~255個字符的字符串,不區分大小寫,且該目錄必須已經存在。缺省情況下,FTP/SFTP/SCP用戶可訪問設備的根目錄,可通過本參數來修改用戶可以訪問的目錄。
【使用指導】
可配置的授權屬性都有其明確的使用環境和用途,請針對用戶的服務類型配置對應的授權屬性:
· 對於PPP用戶,僅授權屬性callback-number、idle-cut、ip、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-timeout、url和vpn-instance有效;
· 對於Portal用戶,僅授權屬性acl、idle-cut、ip-pool、ipv6-pool、session-timeout有效;
· 對於telnet、terminal、ssh用戶,僅授權屬性user-role有效;
· 對於http、https、用戶,僅授權屬性user-role有效;
· 對於ftp用戶,僅授權屬性user-role和work-directory有效;
· 對於SSL VPN用戶,僅授權屬性sslvpn-policy-group有效;
· 對於IKE用戶,僅授權屬性ip-pool有效;
· 對於其它類型的本地用戶,所有授權屬性均無效。
用戶組的授權屬性對於組內的所有本地用戶生效,因此具有相同屬性的用戶可通過加入相同的用戶組來統一配置和管理。
本地用戶視圖下未配置的授權屬性繼承所屬用戶組的授權屬性配置,但是如果本地用戶視圖與所屬的用戶組視圖下都配置了某授權屬性,則本地用戶視圖下的授權屬性生效。
為了避免設備上進行主備倒換後FTP/SFTP/SCP用戶無法正常登錄,建議用戶在指定工作目錄時不要攜帶槽位信息。
為確保本地用戶僅使用本命令指定的授權用戶角色,請先使用undo authorization-attribute user-role命令刪除該用戶已有的缺省用戶角色。
被授權安全日誌管理員的本地用戶登錄設備後,僅可執行安全日誌文件管理相關的命令以及安全日誌文件操作相關的命令,具體命令可通過display role name security-audit命令查看。安全日誌文件管理相關命令的介紹,請參見“網絡管理與監控”中的“信息中心”。文件係統管理相關命令的介紹,請參見“基礎配置命令參考”中的“文件係統管理”。
為本地用戶授權安全日誌管理員角色時,需要注意的是:
· 安全日誌管理員角色和其它用戶角色互斥:
¡ 為一個用戶授權安全日誌管理員角色時,係統會通過提示信息請求確認是否刪除當前用戶的所有其它他用戶角色;
¡ 如果已經授權當前用戶安全日誌管理員角色,再授權其它的用戶角色時,係統會通過提示信息請求確認是否刪除當前用戶的安全日誌管理員角色。
· 係統中的最後一個安全日誌管理員角色的本地用戶不可被刪除。
【舉例】
# 配置網絡接入類本地用戶abc的授權VLAN為VLAN 2。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] authorization-attribute vlan 2
# 配置用戶組abc的授權VLAN為VLAN 3。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
# 配置設備管理類本地用戶xyz的授權用戶角色為security-audit(安全日誌管理員)。
<Sysname> system-view
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz]authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
【相關命令】
· display local-user
· display user-group
bind-attribute命令用來設置用戶的綁定屬性。
undo bind-attribute命令用來刪除指定的用戶綁定屬性。
【命令】
bind-attribute { call-number call-number [ : subcall-number ] | location interface interface-type interface-number | mac mac-address | vlan vlan-id } *
undo bind-attribute { call-number | location | mac | vlan } *
【缺省情況】
未設置用戶的綁定屬性。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
call-number call-number:指定PPP用戶認證的主叫號碼。其中call-number為1~64個字符的字符串。該綁定屬性僅適用於PPP用戶。
subcall-number:指定子主叫號碼。如果配置了子主叫號碼,則主叫號碼與子主叫號碼的總長度不能大於62個字符。
location interface interface-type interface-number:指定用戶綁定的接口。其中interface-type interface-number表示接口類型和接口編號。如果用戶接入的接口與此處綁定的接口不一致,則認證失敗。該綁定屬性僅適用於PPP、Portal類型的用戶。
mac mac-address:指定用戶的MAC地址。其中,mac-address為H-H-H格式。該綁定屬性僅適用於PPP、Portal、使用iNode登錄的SSL VPN類型的用戶。
vlan vlan-id:指定用戶所屬於的VLAN。其中,vlan-id為VLAN編號,取值範圍為1~4094。該綁定屬性僅適用於PPP、Portal類型的用戶。
【使用指導】
設備對用戶進行本地認證時,會檢查用戶的實際屬性與配置的綁定屬性是否一致,如果不一致或用戶未攜帶該綁定屬性則認證失敗。
綁定屬性的檢測不區分用戶的接入服務類型,因此在配置綁定屬性時要考慮某接入類型的用戶是否需要綁定某些屬性。
若使能Portal的接口為VLAN接口,且沒有通過portal roaming enable命令配置Portal用戶漫遊功能,則配置綁定的接口為用戶實際接入的二層以太網接口;其它情況下,配置綁定的接口均為使能Portal的接口。
【舉例】
# 配置網絡接入類本地用戶abc的綁定VLAN為3。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] bind-attribute vlan 3
【相關命令】
· display local-user
company命令用來配置本地來賓用戶所屬公司。
undo company命令用來恢複缺省情況。
【命令】
company company-name
undo company
【缺省情況】
未配置本地來賓用戶所屬公司。
【視圖】
本地來賓用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
company-name:本地來賓用戶所屬公司名稱,為1~255個字符的字符串,區分大小寫。
【舉例】
# 配置本地來賓用戶abc所屬的公司名稱為yyy。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] company yyy
【相關命令】
· display local-user
description命令用來配置網絡接入類本地用戶的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
未配置網絡接入類本地用戶的描述信息。
【視圖】
網絡接入類本地用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
text:網絡接入類本地用戶的描述信息,為1~255個字符的字符串,區分大小寫。
【舉例】
# 配置本地來賓用戶abc的描述信息為Manager of MSC company。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] description Manager of MSC company
# 配置網絡接入類本地用戶123的描述信息為Manager of MSC company。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] description Manager of MSC company
【相關命令】
· display local-user
display local-guest waiting-approval命令用來顯示待審批來賓用戶注冊信息。
【命令】
display local-guest waiting-approval [ user-name user-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
user-name user-name:來賓用戶名稱,為1~55個字符的字符串,區分大小寫,不能攜帶域名。若不指定該參數,則表示所有來賓用戶。
【使用指導】
來賓可以通過Web頁麵注冊為本地來賓用戶,由來賓管理員對注冊信息進行審批並補充用戶信息,審批同意後,設備上將會創建相應的本地來賓用戶,來賓可使用該用戶接入訪問網絡。來賓管理員通過display命令可查詢待審批來賓用戶的注冊信息。
【舉例】
# 顯示所有待審批來賓用戶的注冊信息。
<Sysname> display local-guest waiting-approval
Total 1 guest informations matched.
Guest user Smith:
Full name : Smith Li
Company : YYY
Email : [email protected]
Phone : 139189301033
Description: The employee of YYY company
表1-2 display local-user-guest waiting-approval命令顯示信息描述表
|
字段 |
描述 |
|
Total 1 guest informations matched. |
總計有1個來賓用戶信息匹配 |
|
Full name |
來賓用戶的的姓名全稱 |
|
Company |
來賓用戶的的公司名稱 |
|
|
來賓用戶的的Email地址 |
|
Phone |
來賓用戶的的電話 |
|
Description |
來賓用戶的的描述信息 |
【相關命令】
· reset local-guest waiting-approval
display local-user命令用來顯示本地用戶的配置信息和在線用戶數的統計信息。
【命令】
display local-user [ class { manage | network [ guest ] } | idle-cut { disable | enable } | service-type { advpn | ftp | http | https | ike | portal | ppp | ssh | sslvpn | telnet | terminal } | state { active | block } | user-name user-name class { manage | network [ guest ] } | vlan vlan-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
class:顯示指定用戶類別的本地用戶信息。
· manage:設備管理類用戶。
· network:網絡接入類用戶。
· guest:來賓用戶。
idle-cut { disable | enable }:顯示開啟或關閉閑置切斷功能的本地用戶信息。其中,disable表示未啟用閑置切斷功能的本地用戶;enable表示啟用了閑置切斷功能並配置了閑置切斷時間的本地用戶。
service-type:顯示指定用戶類型的本地用戶信息。
· advpn:ADVPN隧道用戶。
· ftp:FTP用戶。
· http:HTTP用戶。
· https:HTTPS用戶。
· ike:IKE擴展認證用戶。
· portal:Portal用戶。
· ppp:PPP用戶。
· ssh:SSH用戶。
· sslvpn:SSL VPN用戶。
· telnet:Telnet用戶。
· terminal:從CON口登錄的終端用戶。
state { active | block }:顯示處於指定狀態的本地用戶信息。其中,active表示用戶處於活動狀態,即係統允許該用戶請求網絡服務;block表示用戶處於阻塞狀態,即係統不允許用戶請求網絡服務。
user-name user-name:顯示指定用戶名的本地用戶信息。其中,user-name表示本地用戶名,為1~55個字符的字符串,區分大小寫,不能攜帶域名。
vlan vlan-id:顯示指定VLAN內的所有本地用戶信息。其中,vlan-id為VLAN編號,取值範圍為1~4094。
【使用指導】
如果不指定任何參數,則顯示所有本地用戶信息。
【舉例】
# 顯示所有本地用戶的相關信息。
<Sysname> display local-user
Device management user root:
State: Active
Service type: SSH/Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Password control configurations:
Password aging: Enabled (3 days)
Network access user jj:
State: Active
Service type: SSH/Telnet/Terminal
User group: system
Bind attributes:
Location bound: GigabitEthernet1/0/1
MAC address: 0001-0001-0001
VLAN ID: 2
Calling number: 2:2
Authorization attributes:
Idle timeout: 33 minutes
Work directory: flash:
ACL number: 2000
User role list: network-operator, level-0, level-3
SSL VPN policy group: spg
Network access guest user user1:
State: Active
Service type: Portal
User group: guest1
Full name: Jack
Company: cc
Email: [email protected]
Phone: 131129237
Description: A guest from company cc
Sponsor full name: Sam
Sponsor department: security
Sponsor email: [email protected]
Period of validity::
Start date and time: 2015/04/01-08:00:00
Expiration date and time:2015/04/03-18:00:00
Total 3 local users matched.
表1-3 display local-user命令顯示信息描述表
|
字段 |
描述 |
|
State |
本地用戶狀態 · Active:活動狀態 · Block:阻塞狀態 |
|
Service type |
本地用戶使用的服務類型,取值包括ADVPN、FTP、HTTP、HTTPS、IKE、Portal、PPP、SSH、Telnet、Terminal和SSL VPN |
|
Access limit |
是否對使用該用戶名的接入用戶數進行限製 |
|
Max access number |
最大接入用戶數 |
|
Current access number |
使用該用戶名的當前接入用戶數 |
|
User group |
本地用戶所屬的用戶組 |
|
Bind attributes |
本地用戶的綁定屬性 |
|
IP address |
本地用戶的IP地址 |
|
Location bound |
本地用戶綁定的端口 |
|
MAC address |
本地用戶的MAC地址 |
|
VLAN ID |
本地用戶綁定的VLAN |
|
Calling number |
ISDN用戶的主叫號碼 |
|
Authorization attributes |
本地用戶的授權屬性 |
|
Idle timeout |
本地用戶閑置切斷時間(單位為分鍾) |
|
Session-timeout |
本地用戶會話超時時間(單位為分鍾) |
|
Callback number |
本地用戶的授權PPP回呼號碼 |
|
Work directory |
FTP/SFTP/SCP用戶可以訪問的目錄 |
|
ACL number |
本地用戶授權ACL |
|
VLAN ID |
本地用戶授權VLAN |
|
User role list |
本地用戶的授權用戶角色列表 |
|
SSL VPN policy group |
本地用戶的授權SSL VPN策略組 |
|
IP address |
本地用戶的授權IPv4地址 |
|
IPv6 address |
本地用戶的授權IPv6地址 |
|
IPv6 prefix |
本地用戶的授權IPv6前綴 |
|
IP pool |
本地用戶的授權IPv4地址池 |
|
IPv6 pool |
本地用戶的授權IPv6地址池 |
|
Primary DNS server |
本地用戶的授權主DNS服務器IPv4地址 |
|
Secondary DNS server |
本地用戶的授權從DNS服務器IPv4地址 |
|
Primary DNSV6 server |
本地用戶的授權主DNS服務器IPv6地址 |
|
Secondary DNSV6 server |
本地用戶的授權從DNS服務器IPv6地址 |
|
URL |
本地用戶的授權強製URL |
|
VPN instance |
本地用戶的授權VPN實例 |
|
Password control configurations |
本地用戶的密碼控製屬性 |
|
Password aging |
密碼老化功能的開啟狀態(密碼的老化時間) |
|
Password length |
密碼最小長度功能的開啟狀態(密碼的最小長度) |
|
Password composition |
密碼組合策略的開啟狀態(密碼元素的組合類型、至少要包含每種元素的個數) |
|
Password complexity |
密碼複雜度檢查功能的開啟狀態(檢查是否包含用戶名或者顛倒的用戶名;檢查是否包含三個或以上相同字符) |
|
Maximum login attempts |
用戶最大登錄嚐試次數 |
|
Action for exceeding login attempts |
登錄嚐試次數達到設定次數後的用戶賬戶鎖定行為 |
|
Full name |
本地來賓用戶的姓名 |
|
Company |
本地來賓用戶的公司 |
|
|
本地來賓用戶的Email地址 |
|
Phone |
本地來賓用戶的電話號碼 |
|
Description |
本地來賓用戶的描述信息 |
|
Sponsor full name |
本地來賓用戶接待人的姓名 |
|
Sponsor department |
本地來賓用戶接待人所屬部門 |
|
Sponsor email |
本地來賓用戶接待人的Email地址 |
|
Period of validity |
本地來賓用戶有效期 |
|
Start date and time |
本地來賓用戶開始生效的日期和時間 |
|
Expiration date and time |
本地來賓用戶的失效的日期和時間 |
|
Total 2 local users matched. |
總計有2個本地用戶匹配 |
display user-group命令用來顯示用戶組的相關配置。
【命令】
display user-group { all | name group-name } [ identity-member { all | group | user } ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
all:顯示所有用戶組的配置信息。
name group-name:顯示指定用戶組的配置。group-name表示用戶組名稱,為1~32個字符的字符串,不區分大小寫。
identity-member { all | group | user }:顯示用戶組的身份識別成員信息。其中,all表示所有身份識別成員,包括所有用戶組類型和用戶類型的成員;group表示用戶組類型的身份識別成員;user表示僅顯示用戶類型的身份識別成員信息。
【使用指導】
若不指定用戶組名稱,則顯示所有用戶組的相關配置。
【舉例】
# 顯示所有用戶組的相關配置。
<Sysname> display user-group all
Total 2 user groups matched.
User group: system
Authorization attributes:
Work directory: flash:
User group: jj
Authorization attributes:
Idle timeout: 2 minutes
Callback number: 2:2
Work directory: flash:/
ACL number: 2000
VLAN ID: 2
SSL VPN policy group: policygroup1
Password control configurations:
Password aging: Enabled (2 days)
# 顯示所有用戶組中的所有身份成員信息。
<Sysname> display user-group all identity-member all
Total 2 user groups matched.
User group: system
Identity groups: 0
User group: jj
Identity groups: 2
Group ID Group name
0xffffffff group1
0x567 group2
Identity users: 2
User ID Username
0x234 user1
0xffffffff user2
表1-4 display user-group命令顯示信息描述表
|
字段 |
描述 |
|
Total 2 user groups matched. |
總計有2個用戶組匹配 |
|
Authorization attributes |
授權屬性信息 |
|
Idle timeout |
閑置切斷時間(單位:分鍾) |
|
Session-timeout |
本地用戶會話超時時間(單位:分鍾) |
|
Callback number |
PPP回呼號碼 |
|
Work directory |
FTP/SFTP/SCP用戶可以訪問的目錄 |
|
ACL number |
授權ACL號 |
|
VLAN ID |
授權VLAN ID |
|
SSL VPN policy group |
授權SSL VPN策略組名稱 |
|
IPv6 prefix |
授權IPv6前綴 |
|
IP pool |
授權IPv4地址池 |
|
IPv6 pool |
授權IPv6地址池 |
|
Primary DNS server |
授權主DNS服務器IPv4地址 |
|
Secondary DNS server |
授權從DNS服務器IPv4地址 |
|
Primary DNSV6 server |
授權主DNS服務器IPv6地址 |
|
Secondary DNSV6 server |
授權從DNS服務器IPv6地址 |
|
URL |
授權強製URL |
|
VPN instance |
授權VPN實例 |
|
Password control configurations |
用戶組的密碼控製屬性 |
|
Password aging |
密碼老化功能的開啟狀態(密碼的老化時間) |
|
Password length |
密碼最小長度功能的開啟狀態(密碼的最小長度) |
|
Password composition |
密碼組合策略的開啟狀態(密碼元素的組合類型、至少要包含每種元素的個數) |
|
Password complexity |
密碼複雜度檢查功能的開啟狀態(檢查是否包含用戶名或者顛倒的用戶名;檢查是否包含三個或以上相同字符) |
|
Maximum login attempts |
用戶最大登錄嚐試次數 |
|
Action for exceeding login attempts |
登錄嚐試次數達到設定次數後的用戶賬戶鎖定行為 |
|
Identity users |
用戶類型的身份識別成員數目 |
|
Identity groups |
用戶組類型的身份識別成員數目 |
|
User ID |
用戶的ID |
|
Group ID |
用戶組的ID |
|
Username |
用戶的名稱 |
|
Group name |
用戶組的名稱 |
|
Total 1 device types matched |
總計有1個用戶終端類型匹配 |
|
Device type |
用戶終端類型 |
email命令用來配置本地來賓用戶的郵箱地址。
undo email命令用來恢複缺省情況。
【命令】
email email-string
undo email
【缺省情況】
未配置本地來賓用戶的郵箱地址。
【視圖】
本地來賓用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
email-string:本地來賓用戶的Email地址,為按照RFC 822定義的1~255個字符的字符串,區分大小寫,例如[email protected]。
【使用指導】
設備可以通過本命令配置的Email地址給來賓用戶發送通知郵件。
【舉例】
# 配置本地來賓用戶abc的Email地址為[email protected]。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] email [email protected]
【相關命令】
· display local-user
full-name命令用來配置本地來賓用戶的姓名。
undo full-name命令用來恢複缺省情況。
【命令】
full-name name-string
undo full-name
【缺省情況】
未配置本地來賓用戶的姓名。
【視圖】
本地來賓用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name-string:本地來賓用戶的姓名,為1~255個字符的字符串,區分大小寫。
【舉例】
# 配置本地來賓用戶abc的姓名為abc Snow。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] full-name abc Snow
【相關命令】
· display local-user
group命令用來設置本地用戶所屬的用戶組。
undo group命令用來恢複缺省配置。
【命令】
group group-name
undo group
【缺省情況】
本地用戶屬於用戶組system。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【舉例】
# 設置設備管理類本地用戶111所屬的用戶組為abc。
<Sysname> system-view
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
【相關命令】
· display local-user
identity-group命令用來將網絡接入類本地用戶加入身份識別用戶組。
undo identity-group命令用來將網絡接入類本地用戶從指定的身份識別用戶組中刪除。
【命令】
identity-group group-name
undo identity-group [ group-name ]
【缺省情況】
用戶未加入身份識別用戶組。
【視圖】
網絡接入類本地用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:身份識別用戶組名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
在身份識別業務中,可以將用戶加入到身份識別用戶組中進行統一管理,我們將這樣的組稱為身份識別用戶組。
一個用戶可以加入多個身份識別用戶組。
如果將用戶成功加入了某身份識別用戶組,係統會自動在該用戶組視圖下添加該用戶為身份識別成員,即自動實現用戶和用戶組之間引用關係的配置同步。
如果undo identity-group命令中不指定group-name參數,則表示將用戶從所加入的所有身份識別用戶組中刪除。
【舉例】
# 將網絡接入類本地用戶user1加入身份識別用戶組group1。
<Sysname> system-view
[Sysname] local-user user1 class network
[Sysname-luser-network-user1] identity-group group1
【相關命令】
· identity-member
· user-group
identity-member命令用來配置用戶組中的身份成員。
undo identity-member命令用來從用戶組中刪除指定的身份成員。
【命令】
identity-member { group group-name | user user-name }
undo identity-member { group [ group-name ] | user [ user-name ] }
【缺省情況】
用戶組中不存在身份成員。
【視圖】
用戶組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group group-name:表示用戶組類型的身份成員。group-name表示用戶組名,為1~32個字符的字符串,不區分大小寫。要添加的成員用戶組不能為所屬的用戶組,即用戶組之間的從屬關係必須單向,不能形成循環嵌套關係。該成員用戶組中還可以添加其它的用戶組,它們與所屬的組共同形成多級樹形組織關係。
user user-name:表示用戶類型的身份成員。user-name表示用戶名,為1~55個字符的字符串,區分大小寫,不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”或“all”。該用戶隻能為網絡接入類型的本地用戶。
【使用指導】
向用戶組中添加身份成員是將具有共同身份識別業務需求的用戶或用戶組加入同一用戶組。
如果在指定的用戶組視圖下成功添加了某用戶,且該用戶已經存在於係統中,係統會自動在該用戶視圖下添加一條加入指定用戶組的配置,即實現用戶和用戶組之間引用關係的配置同步。
執行undo identity-member命令時,若不指定user-name參數,則表示從用戶組中刪除所有用戶類型的身份成員;若不指定group-name參數,則表示從用戶組中刪除所有用戶組類型的身份成員。
【舉例】
# 向用戶組group1中添加兩個身份成員:用戶user1,用戶組group2。
<Sysname> system-view
[Sysname] user-group group1
[Sysname-ugroup-group1] identity-member user user1
[Sysname-ugroup-group1] identity-member group group2
【相關命令】
· display user-group
· identity-group
local-guest auto-delete enable用來開啟來賓用戶過期自動刪除功能。
undo local-guest auto-delete enable用來恢複缺省情況。
【命令】
local-guest auto-delete enable
undo local-guest auto-delete enable
【缺省情況】
來賓用戶過期自動刪除功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
來賓用戶過期自動刪除功能處於開啟狀態時,設備會在來賓用戶有效期結束後自動刪除用戶。
【舉例】
# 開啟來賓用戶過期自動刪除功能。
<Sysname> system-view
[Sysname] local-guest auto-delete enable
【相關命令】
· validity-datatime
local-guest email format命令用來配置本地來賓用戶的郵件格式。
undo local-guest email format命令用來刪除指定的本地來賓用戶的郵件格式。
【命令】
local-guest email format to { guest | manager | sponsor } { body body-string | subject sub-string }
undo local-guest email format to { guest | manager | sponsor } { body | subject }
【缺省情況】
未配置本地來賓用戶的郵件格式。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
to:指定郵件的收件人。
· guest:表示來賓用戶。
· manager:表示來賓管理員。
· sponsor:表示來賓接待人。
· body body-string:郵件的內容,為1~255個字符的字符串,區分大小寫。
· subject sub-string:郵件的標題,為1~127個字符的字符串,區分大小寫。
【使用指導】
在本地來賓用戶注冊、創建過程中,設備需要向不同角色的用戶發送通知郵件,郵件的格式通過本命令設置,例如,本地來賓用戶通過Web頁麵完成賬戶注冊之後,設備會向來賓管理員發送該用戶的審批申請郵件;本地來賓用戶創建之後,設備會向本地來賓用戶或來賓接待人郵箱發送注冊成功通知郵件。
可對不同的收件人指定不同的郵件格式。同一類收件人的郵件格式隻能存在一種配置,後配置的將覆蓋已有配置。
必須同時配置收件人的郵件標題和內容,否則設備不會給該收件人發送郵件。
【舉例】
# 配置發送給來賓用戶的郵件標題為Guest account information,郵件內容為A guest account has been created for your use. The username, password, and valid dates for the account are given below.
<Sysname> system-view
[Sysname] local-guest email format to guest subject Guest account information
[Sysname] local-guest email format to guest body A guest account has been created for your use. The username, password, and valid dates for the account are given below.
【相關命令】
· local-guest email sender
· local-guest email smtp-server
· local-guest manager-email
· local-guest send-email
local-guest email sender命令用來配置本地來賓用戶的發件人Email地址。
undo local-guest email sender命令用來恢複缺省情況。
【命令】
local-guest email sender email-address
undo local-guest email sender
【缺省情況】
未配置本地來賓用戶的發件人Email地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
email-address:郵件發件人Email地址,為1~255個字符的字符串,不區分大小寫。
【使用指導】
未配置發件人Email地址的情況下,設備無法向任何收件人發送關於本地來賓用戶的通知郵件。
隻能存在一個本地來賓用戶的發件人Email地址。多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置本地來賓用戶的發件人Email地址為[email protected]。
<Sysname> system-view
[Sysname] local-guest email sender [email protected]
【相關命令】
· local-guest email format
· local-guest email smtp-server
· local-guest manager-email
· local-guest send-email
local-guest email smtp-server命令用來配置為本地來賓用戶發送Email使用的SMTP服務器。
undo local-guest send-email smtp-server命令用來恢複缺省情況。
【命令】
local-guest email smtp-server url-string
undo local-guest email smtp-server
【缺省情況】
未配置為本地來賓用戶發送Email使用的SMTP服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url-string:STMP服務器的URL,為1~255個字符的字符串,不區分大小寫,符合標準SMTP協議規範,以smtp://開頭。
【使用指導】
隻能存在一個為本地來賓用戶發送Email使用的SMTP服務器。多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置為本地來賓用戶發送Email使用的SMTP服務器URL為smtp://www.test.com/smtp。
<Sysname> system-view
[Sysname] local-guest email smtp-server smtp://www.test.com/smtp
【相關命令】
· local-guest email format
· local-guest email sender
· local-guest manager-email
· local-guest send-email
local-guest generate命令用來批量創建本地來賓用戶。
【命令】
local-guest generate username-prefix name-prefix [ password-prefix password-prefix ] suffix suffix-number [ group group-name ] count user-count validity-datetime start-date start-time to expiration-date expiration-time
【視圖】
【缺省用戶角色】
context-admin
【參數】
username-prefix name-prefix:用戶名前綴,為1~45個字符的字符串,區分大小寫,不能含有字符\、\、|、/、:、*、?、<、>或@。
password-prefix password-prefix:明文密碼前綴,為1~53個字符的字符串,區分大小寫。
suffix suffix-string:用戶名和密碼的編號後綴,為1~10個數字的字符串。
group group-name:用戶所屬用戶組名,為1~32個字符的字符串,區分大小寫。若不指定該參數,則表示用戶屬於systme組。
count user-count:批量創建用戶的數量,取值範圍1~256。
validity-datetime:用戶有效期。有效期的結束時間必須晚於起始時間。
start-time:用戶有效期的開始時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。如果要設置成整分,則可以不輸入秒;如果要設置成整點,則可以不輸入分和秒。比如將start-time參數設置為0表示零點。
start-date:用戶有效期的開始日期,格式為MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
expiration-time:用戶有效期的結束時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。如果要設置成整分,則可以不輸入秒;如果要設置成整點,則可以不輸入分和秒。比如將expiration-time參數設置為0表示零點。
expiration-date:用戶有效期的結束日期,格式為MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
【使用指導】
批量創建的本地來賓用戶名由指定的用戶名前綴和編號後綴組合而成,且每創建一個用戶,用戶名編號後綴遞增1。例如,當用戶名前綴為abc,編號後綴為1,生成用戶數量為3時,生成當用戶名為abc1、abc2和abc3。如果指定了密碼前綴,則批量創建當本地來賓用戶密碼由密碼前綴和編號後綴組合而成,且為明文密碼,否則由係統隨機生成用戶密碼。
如果申請創建的本地來賓用戶數量過多,導致資源不足時,部分本地來賓用戶的批量創建將會失敗。
如果批量創建的本地來賓用戶與設備上已有的本地來賓用戶重名,則批量創建的用戶會覆蓋已有的同名用戶。
【舉例】
# 批量創建20個本地來賓用戶,用戶名從abc01遞增到abc20,屬於用戶組visit,有效期為2014/10/01 00:00:00到2015/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-guest generate username-prefix abc suffix 01 group visit count 20 validity-datetime 2014/10/01 00:00:00 to 2015/10/02 12:00:00
【相關命令】
· local-user
· display local-user
local-guest manager-email命令用來配置來賓管理員的Email地址。
undo local-guest manager-email命令用來恢複缺省情況。
【命令】
local-guest manager-email email-address
undo local-guest manager-email
【缺省情況】
未配置來賓管理員的Email地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
email-address:來賓管理員的Email地址,為按照RFC 822定義的1~255個字符的字符串,區分大小寫,例如[email protected]。
【使用指導】
本地在來賓用戶通過Web頁麵完成賬戶注冊之後,設備會向來賓管理員郵箱發送該用戶的審批申請郵件。
隻能存在一個來賓管理員的Email地址。多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置來賓管理員的Email地址為[email protected]。
<Sysname> system-view
[Sysname] local-guest manager-email [email protected]
【相關命令】
· local-guest email format
· local-guest email sender
· local-guest email smtp-server
· local-guest send-email
local-guest send-email命令用來配置向本地來賓用戶郵箱和來賓接待人郵箱發送郵件。
【命令】
local-guest send-email user-name user-name to { guest | sponsor }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-name user-name:本地來賓用戶的用戶名,為1~55個字符的字符串,區分大小寫,不能攜帶ISP域名。
to:指定郵件的收件人。
· guest:本地來賓用戶。
· sponsor:來賓接待人。
【使用指導】
當本地來賓用戶創建之後,來賓管理員可通過此命令將用戶的密碼及有效期信息發送到本地來賓用戶或來賓接待人郵箱中。
【舉例】
# 向本地來賓用戶abc的郵箱發送有關該用戶帳號信息的通知郵件。
<Sysname> local-guest send-email user-name abc to guest
【相關命令】
· sponsor-email
local-guest timer命令用來配置本地來賓用戶的等待審批超時定時器。
【命令】
local-guest timer waiting-approval time-value
undo local-guest timer waiting-approval
【缺省情況】
本地來賓用戶的等待審批超時定時器值為24小時。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-value:本地來賓用戶等待審批的超時時間,取值範圍為1~720,單位為小時。
【使用指導】
當一個來賓用戶在Web頁麵上完成賬戶注冊之後,設備會為其開啟一個來賓注冊信息等待審批超時定時器,若在該定時器設置的時長內來賓管理員沒有對其注冊信息進行審批,則設備將刪除該來賓注冊信息。
【舉例】
# 配置本地來賓用戶的等待審批超時定時器的值為12小時。
<Sysname> system-view
[Sysname] local-guest timer waiting-approval 12
local-user命令用來添加本地用戶,並進入本地用戶視圖。如果指定的本地用戶已經存在,則直接進入本地用戶視圖。
undo local-user命令用來刪除指定的本地用戶。
【命令】
local-user user-name [ class { manage | network [ guest ] } ]
undo local-user { user-name class { manage | network } | all [ service-type { advpn | ftp | http | https | ike | portal | ppp | ssh | sslvpn | telnet | terminal } | class { manage | network [ guest ] } ] }
【缺省情況】
不存在本地用戶。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-name:表示本地用戶名,為1~55個字符的字符串,區分大小寫。用戶名不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”或“all”。
class:指定本地用戶的類別。若不指定本參數,則表示設備管理類用戶。
· manage:設備管理類用戶,用於登錄設備,對設備進行配置和監控。此類用戶可以提供ftp、http、https、telnet、ssh、terminal服務。
· network:網絡接入類用戶,用於通過設備接入網絡,訪問網絡資源。
· guest:網絡接入類來賓用戶,僅在有效期內能通過設備接入網絡。網絡接入類來賓用戶固定提供portal服務;網絡接入類非來賓用戶可以提供advpn、ike、portal、ppp和sslvpn服務。
all:所有的用戶。
service-type:指定用戶的類型。
· advpn:ADVPN隧道用戶。
· ftp:表示FTP類型用戶。
· http:表示HTTP類型用戶。
· https:表示HTTPS類型用戶。
· ike:表示IKE擴展認證類型用戶。
· portal:表示Portal用戶。
· ppp:PPP用戶。
· ssh:表示SSH用戶。
· sslvpn:表示SSL VPN用戶。
· telnet:表示Telnet用戶。
· terminal:表示從Console口登錄的終端用戶。
【舉例】
# 添加名稱為user1的設備管理類本地用戶。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
# 添加名稱為user2的網絡接入類本地用戶。
<Sysname> system-view
[Sysname] local-user user2 class network
[Sysname-luser-network-user2]
# 添加名稱為user3的網絡接入類本地來賓用戶。
<Sysname> system-view
[Sysname] local-user user3 class network guest
[Sysname-luser-network(guest)-user3]
【相關命令】
· display local-user
· service-type
local-user-export class network命令用來從設備導出網絡接入類本地用戶信息到CSV文件。
【命令】
local-user-export class network url url-string [ from { group group-name | user user-name } ]
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url url-string:保存本地用戶信息文件的URL,為1~255個字符的字符串,不區分大小寫。
from:指定導出的用戶範圍。若不指定該參數,則表示導出設備上所有的網絡接入類本地用戶。
group group-name:導出指定組裏的所有用戶。group-name表示用戶組名,為1~32個字符的字符串,不區分大小寫。
user user-name:導出指定用戶。user-name表示用戶名,為1~55個字符的字符串,區分大小寫,不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”和“all”。
【使用指導】
導出的CSV文件可直接或在編輯之後通過local-user-import命令導入到本設備或其它支持該命令的設備上使用,但文件內容必須符合該命令的要求。
本命令支持TFTP和FTP兩種文件上傳方式,具體的URL格式要求如下:
· TFTP協議URL格式:tftp://server/path/filename,server為TFTP服務器IP地址或主機名,例如tftp://1.1.1.1/user/user.csv。
· FTP協議URL格式:
¡ 攜帶用戶名和密碼的格式為ftp://username:password@server/path/filename。其中,username為FTP用戶名,password為FTP認證密碼,server為FTP服務器IP地址或主機名,例如ftp://1:[email protected]/user/user.csv。如果FTP用戶名中攜帶域名,則該域名會被設備忽略,例如ftp://1@abc:[email protected]/user/user.csv將被當作ftp://1:[email protected]/user/user.csv處理。
¡ 不需要攜帶用戶名和密碼的格式為ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
【舉例】
# 導出網絡接入類本地用戶信息到ftp://1.1.1.1/user/路徑的identityuser.csv文件中。
<Sysname> system-view
[Sysname] local-user-export class network url ftp://1.1.1.1/user/identityuser.csv
【相關命令】
· display local-user
· local-user-import class network
local-user-export class network guest命令用來從設備導出本地來賓用戶信息到指定路徑的CSV文件。
【命令】
local-user-export class network guest url url-string
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url url-string:保存本地用戶信息文件的URL,為1~255個字符的字符串,不區分大小寫。
【使用指導】
導出的CSV文件可直接或在編輯之後通過local-user-import命令導入到本設備或其它支持該命令的設備上使用,但文件內容必須符合該命令的要求。
本命令支持TFTP和FTP兩種文件上傳方式,具體的URL格式要求如下:
· TFTP協議URL格式:tftp://server/path/filename,server為TFTP服務器IP地址或主機名,例如tftp://1.1.1.1/user/user.csv。
· FTP協議URL格式:
¡ 攜帶用戶名和密碼的格式為ftp://username:password@server/path/filename。其中,username為FTP用戶名,password為FTP認證密碼,server為FTP服務器IP地址或主機名,例如ftp://1:[email protected]/user/user.csv。如果FTP用戶名中攜帶域名,則該域名會被設備忽略,例如ftp://1@abc:[email protected]/user/user.csv將被當作ftp://1:[email protected]/user/user.csv處理。
¡ 不需要攜帶用戶名和密碼的格式為ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
【舉例】
# 導出本地來賓用戶信息到ftp://1.1.1.1/user/路徑的guest.csv文件中。
<Sysname> system-view
[Sysname] local-user-export class network guest url ftp://1.1.1.1/user/guest.csv
【相關命令】
· display local-user
· local-user-import class network guest
local-user-import class network命令用來從CSV文件中導入用戶信息並創建網絡接入類本地用戶。
【命令】
local-user-import class network url url-string [ auto-create-group | override | start-line line-number ] *
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url url-string:要導入的CSV文件的URL,為1~255個字符的字符串,不區分大小寫。
auto-create-group:表示當設備上不存在用戶所屬的用戶組時,係統會自動創建用戶組,並將用戶加入該用戶組。若不指定該參數,則表示當設備上不存在用戶所屬的用戶組時,係統不會創建對應的用戶組,而是將用戶其加入缺省用戶組system。
override:表示當導入的用戶名已經存在於設備上時,係統使用導入的用戶信息覆蓋掉已有的同名用戶配置。若不指定該參數,則表示不導入文件中的同名用戶信息,即保留設備上已有的同名用戶配置。
start-line line-number:表示從文件的指定行開始導入用戶信息。line-number為文件內容的行編號。若不指定該參數,則表示導入文件中的所有用戶信息。
【使用指導】
用於導入的CSV文件中包含多個用戶信息,每個用戶的各項字段嚴格按照以下順序出現:
· 用戶名:為1~55個字符的字符串,區分大小寫,不支持字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”和“all”。若用戶名中包含非法字符,則導入並創建該用戶失敗,且後續用戶的導入操作將會中止。該字段必須存在。
· 密碼形式:明文或密文。若該字段為空,則表示密文。
· 用戶密碼:密文密碼字符串長度範圍為1~117,明文密碼字符串長度訪問為1~63,區分大小寫。若該字段為空或密碼解析失敗,則表示用戶無密碼。
· 所屬授權用戶組:用於本地授權,為1~32個字符的字符串,不區分大寫。若該字段為空,則表示system組。
· 所屬身份識別用戶組:用於用戶身份識別,為1~32個字符的字符串,不區分大寫。可支持多個用戶組,組名稱之間必須以換行字符串0x0A分隔。若該字段為空,則表示不屬於任何身份識別用戶組。
· 服務類型:包括portal、ppp、advpn、sslvpn、ike中的一個或多個,不區分大小寫。服務類型名稱之間必須以換行字符串(0x0A)分隔。若該字段為空,則表示不支持任何服務類型。
· 允許同時使用該用戶名接入網絡的最大用戶數:取值範圍為1~1024。若該字段為空,則表示無限製。
CSV文件中的不同用戶信息之間用回車換行分隔,且每項信息之間以逗號分隔。例如:
Jack,$c$3$uM6DH5empTfbsx341Qk/ORGozkbxNE0=,author-group1,parent-group1(0x0A)parent-group2,portal(0x0A)lan-access,1024
Mary,$c$3$YpVonswJTN1dVMEev+zu2pgrCIIJ,author-group2,parent-group1(0x0A)parent-group2,ppp(0x0A)ipoe,800
編輯CSV文件時,需要注意的是:
· CSV文件中的注釋行以#開頭,注釋行的內容不會被當作實際用戶信息導入設備。
· 如果某類數據本身需要包含逗號,為避免與分隔符逗號混淆,必須在該數據兩端加單引號,例如某授權用戶組名稱為author,group,則在CSV文件中要書寫為'author,group'。
本命令支持TFTP和FTP兩種文件下載方式,具體的文件URL格式要求如下:
· TFTP協議URL格式:tftp://server/path/filename,server為FTP服務器IP地址或主機名,例如tftp://1.1.1.1/user/user.csv。
· FTP協議URL格式:
¡ 攜帶用戶名和密碼的格式為ftp://username:password@server/path/filename。其中,username為FTP用戶名,password為FTP認證密碼,server為FTP服務器IP地址或主機名,例如ftp://1:[email protected]/user/user.csv。如果FTP用戶名中攜帶域名,則該域名會被設備忽略,例如ftp://1@abc:[email protected]/user/user.csv將被當作ftp://1:[email protected]/user/user.csv處理。
¡ 不需要攜帶用戶名和密碼的格式為ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
【舉例】
# 從ftp://1.1.1.1/user/路徑的localuser.csv文件中導入網絡接入類本地用戶信息,導入時自動創建用戶組,且不導入文件中的同名用戶信息。
<Sysname> system-view
[Sysname] local-user-import class network url ftp://1.1.1.1/user/localuser.csv auto-create-group
【相關命令】
· display local-user
· local-user-export class network
local-user-import class network guest命令用來從指定路徑的文件中導入用戶信息並創建本地來賓用戶。
【命令】
local-user-import class network guest url url-string validity-datetime start-date start-time to expiration-date expiration-time [ auto-create-group | override | start-line line-number ] *
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
url url-string:要導入用戶信息文件的URL,為1~255個字符的字符串,不區分大小寫。
validity-datetime:指定用戶的有效期。有效期的結束時間必須晚於起始時間。
start-date:用戶有效期的開始日期,格式為MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
start-time:用戶有效期的開始時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。如果要設置成整分,則可以不輸入秒;如果要設置成整點,則可以不輸入分和秒。比如將time參數設置為0表示零點。
expiration-date:用戶有效期的結束日期,格式為MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
expiration-time:用戶有效期的結束時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。如果要設置成整分,則可以不輸入秒;如果要設置成整點,則可以不輸入分和秒。比如將time參數設置為0表示零點。
auto-create-group:表示當設備上不存在用戶所屬的用戶組時,係統會自動創建用戶組,並將用戶加入該用戶組。若不指定該參數,則表示當設備上不存在用戶所屬的用戶組時,係統不會創建對應的用戶組。
override:表示當導入的用戶名已經存在於設備上時,係統使用導入的用戶信息覆蓋掉已有的同名用戶配置。若不指定該參數,則表示不導入文件中的同名用戶信息,即保留設備上已有的同名用戶配置。
start-line line-number:表示從文件的指定行開始導入用戶信息。line-number為文件內容的行編號。若不指定該參數,則表示導入文件中的所有用戶信息。
【使用指導】
用於導入的CSV文件中包含多個用戶信息,每個用戶的各項字段嚴格按照以下順序出現:
· Username:用戶名,不支持字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”和“all”。若用戶名中包含非法字符,則導入並創建該用戶失敗,且後續用戶的導入操作將會中止。該字段必須存在。
· Password:用戶密碼。若該字段為空,則導入時係統會生成一個隨機密碼。
· User group:所屬用戶組,用於本地授權。若該字段為空,則表示屬於system組。
· Guest full name:來賓用戶姓名。
· Guest company:來賓用戶公司。
· Guest email:來賓用戶Email地址。
· Guest phone:來賓用戶電話號碼。
· Guest description:來賓用戶描述信息。
· Sponsor full name:接待人姓名。
· Sponsor department:接待人部門。
· Sponsor email:接待人Email地址。
CSV文件中的不同用戶信息之間用回車換行分隔,且每項信息之間以逗號分隔。如果某項信息中包含逗號,則必須在該條信息兩端加引號。例如:Jack,abc,visit,Jack Chen,ETP,[email protected],1399899,”The manager of ETP, come from TP.”,Sam Wang,Ministry of personnel,[email protected]
本命令支持TFTP和FTP兩種文件下載方式,具體的文件URL格式要求如下:
· TFTP協議URL格式:tftp://server/path/filename,server為FTP服務器IP地址或主機名,例如tftp://1.1.1.1/user/user.csv。
· FTP協議URL格式:
¡ 攜帶用戶名和密碼的格式為ftp://username:password@server/path/filename。其中,username為FTP用戶名,password為FTP認證密碼,server為FTP服務器IP地址或主機名,例如ftp://1:[email protected]/user/user.csv。如果FTP用戶名中攜帶域名,則該域名會被設備忽略,例如ftp://1@abc:[email protected]/user/user.csv將被當作ftp://1:[email protected]/user/user.csv處理。
¡ 不需要攜帶用戶名和密碼的格式為ftp://path/filename,例如ftp://1.1.1.1/user/user.csv。
【舉例】
# 從ftp://1.1.1.1/user/guest.csv路徑中導入本地來賓用戶信息,用戶的有效期為2014/10/01 00:00:00到2014/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user-import class network guest url ftp://1.1.1.1/user/guest.csv validity-datetime 2014/10/01 00:00:00 to 2014/10/02 12:00:00
【相關命令】
· display local-user
· local-user-export class network guest
password命令用來設置本地用戶的密碼。
undo password命令用來恢複缺省情況。
【命令】
password [ { cipher | hash | simple } string ]
undo password
【缺省情況】
不存在本地用戶密碼,即本地用戶認證時無需輸入密碼,隻要用戶名有效且其它屬性驗證通過即可認證成功。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cipher:表示以密文方式設置密碼。
hash:表示以哈希方式設置密碼。
simple:表示以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串;哈希密碼為1~110個字符的字符串;密文密碼為1~117個字符的字符串。
【使用指導】
如果不指定任何參數,則表示以交互式設置明文形式的密碼。該方式僅設備管理類本地用戶支持。
可以不為本地用戶設置密碼。若不為本地用戶設置密碼,則該用戶認證時無需輸入密碼,隻要用戶名有效且其它屬性驗證通過即可認證成功。為提高用戶賬戶的安全性,建議設置本地用戶密碼。
【舉例】
# 設置設備管理類本地用戶user1的密碼為明文123456TESTplat&!。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式設置設備管理類本地用戶test的密碼。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
confirm :
# 設置網絡接入類本地用戶user2的密碼為明文123456TESTuser&!。
<Sysname> system-view
[Sysname] local-user user1 class network
[Sysname-luser-network-user1] password simple 123456TESTuser&!
【相關命令】
· display local-user
phone命令用來配置本地來賓用戶的電話號碼。
undo phone命令用來恢複缺省情況。
【命令】
phone phone-number
undo phone
【缺省情況】
未配置本地來賓用戶電話號碼。
【視圖】
本地來賓用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
phone-number:本地來賓用戶的電話號碼,為1~32個字符的字符串,隻能包含數字和-。
【舉例】
# 配置本地來賓用戶abc的電話號碼為138-137239201。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] phone 138-137239201
【相關命令】
· display local-user
reset local-guest waiting-approval命令用來清除待審批的來賓用戶注冊信息。
【命令】
reset local-guest waiting-approval [ user-name user-name ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-name user-name:來賓用戶名稱,為1~55個字符的字符串,區分大小寫,不能攜帶域名。若不指定該參數,則表示所有來賓用戶。
【舉例】
# 清除所有待審批的來賓用戶注冊信息。
<Sysname> reset local-guest waiting-approval
【相關命令】
· display local-guest waiting-approval
service-type命令用來設置用戶可以使用的服務類型。
undo service-type命令用來刪除用戶可以使用的服務類型。
【命令】
service-type { advpn | ftp | ike | { http | https | ssh | telnet | terminal } * | portal | ppp | sslvpn }
undo service-type { advpn | ftp | ike | { http | https | ssh | telnet | terminal } * | portal | ppp | sslvpn }
【缺省情況】
係統不對用戶授權任何服務,即用戶不能使用任何服務。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
advpn:指定用戶可以使用ADVPN服務。
ftp:指定用戶可以使用FTP服務。若授權FTP服務,缺省授權FTP用戶可訪問設備的根目錄,授權目錄可以通過authorization-attribute work-directory命令來修改。
http:指定用戶可以使用HTTP服務。
https:指定用戶可以使用HTTPS服務。
ike:指定用戶可以使用IKE擴展認證服務。
ssh:指定用戶可以使用SSH服務。
telnet:指定用戶可以使用Telnet服務。
terminal:指定用戶可以使用terminal服務(即從Console口登錄)。
portal:指定用戶可以使用Portal服務。
ppp:指定用戶可以使用PPP服務。
sslvpn:指定用戶可以使用SSL VPN服務。
【使用指導】
可以通過多次執行本命令,設置用戶可以使用多種服務類型。
【舉例】
# 指定設備管理類用戶可以使用Telnet服務和FTP服務。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
【相關命令】
· display local-user
sponsor-department命令用來配置本地來賓用戶接待人所屬部門。
undo sponsor-department命令用來恢複缺省情況。
【命令】
sponsor-department department-string
undo sponsor-department
【缺省情況】
未配置本地來賓用戶接待人所屬部門。
【視圖】
【缺省用戶角色】
network-admin
context-admin
【參數】
department-string:本地來賓用戶接待人所屬部門名稱,為1~127個字符的字符串,區分大小寫。
【舉例】
# 配置本地來賓用戶abc的接待人所屬部門為test。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] sponsor-department test
【相關命令】
· display local-user
sponsor-email命令用來配置本地來賓用戶接待人的Email地址。
undo sponsor-email命令用來恢複缺省情況。
【命令】
sponsor-email email-string
undo sponsor-email
【缺省情況】
未配置本地來賓用戶接待人的Email地址。
【視圖】
本地來賓用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
email-string:本地來賓接待人的Email地址,為按照RFC 822定義的1~255個字符的字符串,區分大小寫。
【舉例】
# 配置本地來賓用戶abc的接待人Email地址為[email protected]。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] sponsor-email [email protected]
【相關命令】
· display local-user
sponsor-full-name命令用來配置本地來賓用戶的接待人姓名。
undo sponsor-full-name命令用來恢複缺省情況。
【命令】
undo sponsor-full-name
【缺省情況】
未配置本地來賓用戶的接待人姓名。
【視圖】
本地來賓用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name-string:本地來賓用戶接待人姓名,為1~255個字符的字符串,區分大小寫。
【舉例】
# 配置本地來賓用戶abc的接待人姓名為Sam Li。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] sponsor-full-name Sam Li
【相關命令】
· display local-user
state命令用來設置當前本地用戶的狀態。
undo state命令用來恢複缺省情況。
【命令】
state { active | block }
undo state
【缺省情況】
本地用戶處於活動狀態。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
active:指定當前本地用戶處於活動狀態,即係統允許當前本地用戶請求網絡服務。
block:指定當前本地用戶處於“阻塞”狀態,即係統不允許當前本地用戶請求網絡服務。
【使用指導】
本命令僅對當前用戶生效,不影響其它用戶。
【舉例】
# 設置設備管理類本地用戶user1處於“阻塞”狀態。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
【相關命令】
· display local-user
user-group命令用來創建用戶組,並進入用戶組視圖。如果指定的用戶組已經存在,則直接進入用戶組視圖。
undo user-group命令用來刪除指定的用戶組。
【命令】
user-group group-name
undo user-group group-name
【缺省情況】
存在一個用戶組,名稱為system。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
用戶組是一個本地用戶的集合,某些需要集中管理的屬性可在用戶組中統一配置和管理。
不允許使用undo user-group刪除一個包含本地用戶的用戶組。
不能刪除係統中存在的默認用戶組system,但可以修改該用戶組的配置。
【舉例】
# 創建名稱為abc的用戶組並進入其視圖。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【相關命令】
· display user-group
validity-datetime命令用來配置網絡接入類本地用戶的有效期。
undo validity-datetime命令用來恢複缺省情況。
【命令】
validity-datetime start-date start-time to expiration-date expiration-time
undo validity-datetime
【缺省情況】
未限製網絡接入類本地用戶的有效期,該用戶始終有效。
【視圖】
網絡接入類本地用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
start-date:用戶有效期的開始日期,格式為MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
start-time:用戶有效期的開始時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。如果要設置成整分,則可以不輸入秒;如果要設置成整點,則可以不輸入分和秒。比如將start-time參數設置為0表示零點。
expiration-date:用戶有效期的結束日期,格式為MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
expiration-time:用戶有效期的結束時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。如果要設置成整分,則可以不輸入秒;如果要設置成整點,則可以不輸入分和秒。比如將expiration-time參數設置為0表示零點。
【使用指導】
本地用戶有效期的結束時間必須晚於起始時間。
本地用戶在有效期內才能認證成功。
【舉例】
# 配置本地用戶abc的有效期為2014/10/01 00:00:00到2015/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] validity-datetime 2014/10/01 00:00:00 to 2015/10/02 12:00:00
【相關命令】
· display local-user
aaa device-id命令用來配置設備ID。
undo aaa debice-id命令用來恢複缺省情況。
【命令】
aaa device-id device-id
undo aaa device-id
【缺省情況】
設備ID為0。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
device-id:設備ID,取值範圍為1~255。
【使用指導】
RADIUS計費過程使用Acct-Session-Id屬性作為用戶的計費ID。設備使用係統時間、隨機數以及設備ID為每個在線用戶生成一個唯一的Acct-Session-Id值。在多機備份環境中,多台設備使用相同的RADIUS計費服務器時,為了避免不同設備為用戶生成的計費ID出現小概率重複,影響計費的準確性,建議使用本命令為不同設備配置不同的設備ID。
修改後的設備ID僅對新上線用戶生效。
【舉例】
# 配置設備ID為1。
<Sysname> system-view
[Sysname] aaa device-id 1
accounting-on enable命令用來開啟accounting-on功能。
undo accounting-on enable命令用來關閉accounting-on功能。
【命令】
accounting-on enable [ interval interval | send send-times ] *
undo accounting-on enable
【缺省情況】
accounting-on功能處於關閉狀態。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval interval:指定accounting-on報文重發時間間隔,取值範圍為1~15,單位為秒,缺省值為3。
send send-times:指定accounting-on報文的最大發送次數,取值範圍為1~255,缺省值為50。
【使用指導】
accounting-on功能使得設備在重啟之後通過發送accounting-on報文通知該方案所使用的RADIUS計費服務器,要求RADIUS服務器停止計費且強製該設備的用戶下線。
開啟accounting-on功能後,請執行save命令保證accounting-on功能在設備下次重啟後生效。關於命令的詳細介紹請參見“基礎配置命令參考”中的“配置文件管理”。
設置的accounting-on報文重發間隔時間以及accounting-on報文最大發送次數會立即生效。
【舉例】
# 在RADIUS方案radius1中,開啟accounting-on功能並配置accounting-on報文重發時間間隔為5秒、accounting-on報文的最大發送次數為15次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on enable interval 5 send 15
【相關命令】
· display radius scheme
attribute 15 check-mode命令用來配置RADIUS Attribute 15的檢查方式。
undo attribute 15 check-mode命令用來恢複缺省情況。
【命令】
attribute 15 check-mode { loose | strict }
undo attribute 15 check-mode
【缺省情況】
RADIUS Attribute 15的檢查方式為strict方式。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
loose:鬆散檢查方式。設備使用RADIUS Attribute 15的標準屬性值對用戶業務類型進行檢查,對於SSH、FTP、Terminal用戶,在RADIUS服務器下發的Login-Service屬性值為0(表示用戶業務類型為Telnet)時才,這類用戶才能夠通過認證。
strict:嚴格檢查方式。設備使用RADIUS Attribute 15的標準屬性值以及擴展屬性值對用戶業務類型進行檢查,對於SSH、FTP、Terminal用戶,當RADIUS服務器下發的Login-Service屬性值為對應的擴展取值時,這類用戶才能夠通過認證。
【使用指導】
由於某些RADIUS服務器不支持自定義的屬性,無法下發擴展的Login-Service屬性,若要使用這類RADIUS服務器對SSH、FTP、Terminal用戶進行認證,建議設備上對RADIUS 15號屬性值采用鬆散檢查方式。
【舉例】
# 在RADIUS方案radius1中,配置RADIUS Attribute 15的檢查方式為loose方式。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 15 check-mode loose
【相關命令】
· display radius scheme
attribute 25 car命令用來開啟RADIUS Attribute 25的CAR參數解析功能。
undo attribute 25 car命令用來關閉RADIUS Attribute 25的CAR參數解析功能。
【命令】
attribute 25 car
undo attribute 25 car
【缺省情況】
RADIUS Attribute 25的CAR參數解析功能處於關閉狀態。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
RADIUS的25號屬性為class屬性,該屬性由RADIUS服務器下發給設備,但RFC中並未定義具體的用途,僅規定了設備需要將服務器下發的class屬性再原封不動地攜帶在計費請求報文中發送給服務器即可,同時RFC並未要求設備必須對該屬性進行解析。目前,某些RADIUS服務器利用class屬性來對用戶下發CAR參數,為了支持這種應用,可以通過本特性來控製設備是否將RADIUS 25號屬性解析為CAR參數,解析出的CAR參數可被用來進行基於用戶的流量監管控製。
【舉例】
# 在RADIUS方案radius1中,開啟RADIUS Attribute 25的CAR參數解析功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 25 car
【相關命令】
· display radius scheme
attribute convert命令用來配置RADIUS屬性轉換規則。
undo attribute convert命令用來刪除RADIUS屬性轉換規則。
【命令】
attribute convert src-attr-name to dest-attr-name { { coa-ack | coa-request } * | { received | sent } * }
undo attribute convert [ src-attr-name ]
【缺省情況】
不存在RADIUS屬性轉換規則,係統按照標準RADIUS協議對RADIUS屬性進行處理。
【視圖】
RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
src-attr-name:源屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
dest-attr-name:目的屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
coa-ack:COA應答報文。
coa-request:COA請求報文。
received:接收到的DAE報文。
sent:發送的DAE報文。
【使用指導】
RADIUS屬性轉換規則中的源屬性內容將被按照目的屬性的含義來處理。
隻有在RADIUS屬性解釋功能開啟之後,RADIUS屬性轉換規則才能生效。
配置RADIUS屬性轉換規則時,需要遵循以下原則:
· 源屬性內容和目的屬性內容的數據類型必須相同。
· 源屬性和目的屬性的名稱不能相同。
· 一個屬性隻能按照一種方式(按報文類型或報文處理方向)進行轉換。
· 一個源屬性不能同時轉換為多個目的屬性。
執行undo attribute convert命令時,如果不指定源屬性名稱,則表示刪除所有RADIUS屬性轉換規則。
【舉例】
# 在RADIUS DAE服務器視圖下,配置一條RADIUS屬性轉換規則,指定將接收到的DAE報文中的Hw-Server-String屬性轉換為H3c-User-Roles屬性。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] attribute convert Hw-Server-String to H3c-User-Roles received
【相關命令】
· attribute translate
attribute convert命令用來配置RADIUS屬性轉換規則。
undo attribute convert命令用來刪除RADIUS屬性轉換規則。
【命令】
attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute convert [ src-attr-name ]
【缺省情況】
不存在RADIUS屬性轉換規則,係統按照標準RADIUS協議對RADIUS屬性進行處理。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
src-attr-name:源屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
dest-attr-name:目的屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
access-accept:RADIUS認證成功報文。
access-request:RADIUS認證請求報文。
accounting:RADIUS計費報文。
received:接收到的RADIUS報文。
sent:發送的RADIUS報文。
【使用指導】
RADIUS屬性轉換規則中的源屬性內容將被按照目的屬性的含義來處理。
隻有在RADIUS屬性解釋功能開啟之後,RADIUS屬性轉換規則才能生效。
配置RADIUS屬性轉換規則時,需要遵循以下原則:
· 源屬性內容和目的屬性內容的數據類型必須相同。
· 源屬性和目的屬性的名稱不能相同。
· 一個屬性隻能按照一種方式(按報文類型或報文處理方向)進行轉換。
· 一個源屬性不能同時轉換為多個目的屬性。
執行undo attribute convert命令時,如果不指定源屬性名稱,則表示刪除所有RADIUS屬性轉換規則。
【舉例】
# 在RADIUS方案radius1中,配置一條RADIUS屬性轉換規則,指定將接收到的RADIUS報文中的Hw-Server-String屬性轉換為H3c-User-Roles屬性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute convert Hw-Server-String to H3c-User-Roles received
【相關命令】
· attribute translate
attribute reject命令用來配置RADIUS屬性禁用。
undo attribute reject命令用來取消配置的RADIUS屬性禁用。
【命令】
attribute reject attr-name { { coa-ack | coa-request } * | { received | sent } * }
undo attribute reject [ attr-name ]
【缺省情況】
不存在RADIUS屬性禁用規則。
【視圖】
RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
attr-name:RADIUS屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
coa-ack:COA應答報文。
coa-request:COA請求報文。
received:接收到的DAE報文。
sent:發送的DAE報文。
【使用指導】
當設備發送的RADIUS報文中攜帶了RADIUS服務器無法識別的屬性時,可以定義基於發送方向的屬性禁用規則,使得設備發送RADIUS報文時,將該屬性從報文中刪除。
當RADIUS服務器發送給設備的某些屬性是設備不希望收到的屬性時,可以定義基於接收方向的屬性禁用規則,使得設備接收RADIUS報文時,不處理報文中的該屬性。
當某些類型的屬性是設備不希望處理的屬性時,可以定義基於類型的屬性禁用規則。
隻有在RADIUS屬性解釋功能開啟之後,RADIUS屬性禁用規則才能生效。
一個屬性隻能按照一種方式(按報文類型或報文處理方向)進行禁用。
執行undo attribute reject命令時,如果不指定屬性名稱,則表示刪除所有RADIUS屬性禁用規則。
【舉例】
# 在RADIUS DAE服務器視圖下,配置一條RADIUS屬性禁用規則,指定禁用發送的DAE報文中的Connect-Info屬性。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] attribute reject Connect-Info sent
【相關命令】
· attribute translate
attribute reject命令用來配置RADIUS屬性禁用規則。
undo attribute reject命令用來刪除RADIUS屬性禁用規則。
【命令】
attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute reject [ attr-name ]
【缺省情況】
不存在RADIUS屬性禁用規則。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
attr-name:RADIUS屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
access-accept:RADIUS認證成功報文。
access-request:RADIUS認證請求報文。
accounting:RADIUS計費報文。
received:接收到的RADIUS報文。
sent:發送的RADIUS報文。
【使用指導】
當設備發送的RADIUS報文中攜帶了RADIUS服務器無法識別的屬性時,可以定義基於發送方向的屬性禁用規則,使得設備發送RADIUS報文時,將該屬性從報文中刪除。
當RADIUS服務器發送給設備的某些屬性是不希望收到的屬性時,可以定義基於接收方向的屬性禁用規則,使得設備接收RADIUS報文時,不處理報文中的該屬性。
當某些類型的屬性是設備不希望處理的屬性時,可以定義基於類型的屬性禁用規則。
隻有在RADIUS屬性解釋功能開啟之後,RADIUS屬性禁用規則才能生效。
一個屬性隻能按照一種方式(按報文類型或報文處理方向)進行禁用。
執行undo attribute reject命令時,如果不指定屬性名稱,則表示刪除所有RADIUS屬性禁用規則。
【舉例】
# 在RADIUS方案radius1中,配置一條RADIUS屬性禁用規則,指定禁用發送的RADIUS報文中的Connect-Info屬性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute reject Connect-Info sent
【相關命令】
· attribute translate
attribute remanent-volume命令用來配置RADIUS Remanent-Volume屬性的流量單位。
undo attribute remanent-volume命令用來恢複缺省情況。
【命令】
attribute remanent-volume unit { byte | giga-byte | kilo-byte | mega-byte }
undo attribute remanent-volume unit
【缺省情況】
Remanent-Volume屬性的流量單位是千字節。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
byte:表示流量單位為字節。
giga-byte:表示流量單位為千兆字節。
kilo-byte:表示流量單位為千字節。
mega-byte:表示流量單位為兆字節。
【使用指導】
Remanent-Volume屬性為H3C自定義RADIUS屬性,攜帶在RADIUS服務器發送給接入設備的認證響應或實時計費響應報文中,用於向接入設備通知在線用戶的剩餘流量值。設備管理員通過本命令設置的流量單位應與RADIUS服務器上統計用戶流量的單位保持一致,否則設備無法正確使用Remanent-Volume屬性值對用戶進行計費。
【舉例】
# 在RADIUS方案radius1中,設置RADIUS服務器下發的Remanent-Volume屬性的流量單位為千字節。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute remanent-volume unit kilo-byte
【相關命令】
· display radius scheme
attribute translate命令用來開啟RADIUS屬性解釋功能。
undo attribute translate命令用來關閉RADIUS屬性解釋功能。
【命令】
attribute translate
undo attribute translate
【缺省情況】
RADIUS屬性解釋功能處於關閉狀態。
【視圖】
RADIUS方案視圖/RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
不同廠商的RADIUS服務器所支持的RADIUS屬性集有所不同,而且相同屬性的用途也可能不同。為了兼容不同廠商的服務器的RADIUS屬性,需要開啟RADIUS屬性解釋功能,並定義相應的RADIUS屬性轉換規則和RADIUS屬性禁用規則。
【舉例】
# 在RADIUS方案radius1中,開啟RADIUS屬性解釋功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute translate
【相關命令】
· attribute convert
· attribute reject
client命令用來指定RADIUS DAE客戶端。
undo client命令用來刪除指定的RADIUS DAE客戶端。
【命令】
client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未指定RADIUS DAE客戶端。
【視圖】
RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:RADIUS DAE客戶端IPv4地址。
ipv6 ipv6-address:RADIUS DAE客戶端IPv6地址。
key:與RADIUS DAE客戶端交互DAE報文時使用的共享密鑰。此共享密鑰的設置必須與RADIUS DAE客戶端的共享密鑰設置保持一致。如果此處未指定本參數,則對應的RADIUS DAE客戶端上也必須未指定。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。
vpn-instance vpn-instance-name:RADIUS DAE客戶端所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示RADIUS DAE客戶端位於公網中。
【使用指導】
開啟RADIUS DAE服務之後,設備會監聽並處理指定的RADIUS DAE客戶端發起的DAE請求消息(用於動態授權修改或斷開連接),並向其發送應答消息。對於非指定的RADIUS DAE客戶端的DAE報文進行丟棄處理。
可通過多次執行本命令指定多個RADIUS DAE客戶端。
【舉例】
# 設置RADIUS DAE客戶端的IP地址為10.110.1.2,與RADIUS DAE客戶端交互DAE報文時使用的共享密鑰為明文123456,VPN實例名稱為abc。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] client ip 10.110.1.2 key simple 123456 vpn-instance abc
【相關命令】
· radius dynamic-author server
· port
data-flow-format命令用來配置發送到RADIUS服務器的數據流及數據包的單位。
undo data-flow-format命令用來恢複缺省情況。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情況】
數據流的單位為字節,數據包的單位為包。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
data:設置數據流的單位。
· byte:數據流的單位為字節。
· giga-byte:數據流的單位千兆字節。
· kilo-byte:數據流的單位為千字節。
· mega-byte:數據流的單位為兆字節。
packet:設置數據包的單位。
· giga-packet:數據包的單位為千兆包。
· kilo-packet:數據包的單位為千包。
· mega-packet:數據包的單位為兆包。
· one-packet:數據包的單位為包。
【使用指導】
設備上配置的發送給RADIUS服務器的數據流單位及數據包單位應與RADIUS服務器上的流量統計單位保持一致,否則無法正確計費。
【舉例】
# 在RADIUS方案radius1中,設置發往RADIUS服務器的數據流單位為千字節、數據包單位為千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【相關命令】
· display radius scheme
display radius scheme命令用來顯示RADIUS方案的配置信息。
【命令】
display radius scheme [ radius-scheme-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
radius-scheme-name:RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
如果不指定RADIUS方案名稱,則顯示所有RADIUS方案的配置信息。
【舉例】
# 顯示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: radius1
Index : 0
Primary authentication server:
IP : 2.2.2.2 Port: 1812
VPN : vpn1
State: Active
Test profile: 132
Probe username: test
Probe interval: 60 minutes
Primary accounting server:
IP : 1.1.1.1 Port: 1813
VPN : Not configured
State: Active
Second authentication server:
IP: 3.3.3.3 Port: 1812
VPN : Not configured
State: Block
Test profile: Not configured
Second accounting server:
IP : 3.3.3.3 Port: 1813
State: Block (Mandatory)
VPN : Not configured
Security policy server:
Server: 0 IP: 2.2.2.2 VPN: Not configured
Server: 1 IP: 3.3.3.3 VPN: 2
Accounting-On function : Enabled
retransmission times : 5
retransmission interval(seconds) : 2
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(seconds) : 22
NAS IP Address : 1.1.1.1
VPN : Not configured
User Name Format : with-domain
Data flow unit : Megabyte
Packet unit : One
Attribute 15 check-mode : Strict
Attribute 25 : CAR
Attribute Remanent-Volume unit : Mega
------------------------------------------------------------------
表1-5 display radius scheme命令顯示信息描述表
|
字段 |
描述 |
|
Total 1 RADIUS schemes. |
共計1個RADIUS方案 |
|
RADIUS scheme name |
RADIUS方案的名稱 |
|
Index |
RADIUS方案的索引號 |
|
Primary authentication server |
主RADIUS認證服務器 |
|
Primary accounting server |
主RADIUS計費服務器 |
|
Second authentication server |
從RADIUS認證服務器 |
|
Second accounting server |
從RADIUS計費服務器 |
|
IP |
RADIUS認證/計費服務器IP地址 未配置時,顯示為Not configured |
|
Port |
RADIUS認證/計費服務器接入端口號 未配置時,顯示缺省值 |
|
State |
RADIUS認證/計費服務器目前狀態 · Active:激活狀態 · Block:自動轉換的靜默狀態 · Block(Mandatory):手工配置的靜默狀態 |
|
VPN |
RADIUS認證/計費服務器所在的VPN 未配置時,顯示為Not configured |
|
Security policy server |
安全策略服務器 |
|
Server: n |
安全策略服務器編號 |
|
IP |
安全策略服務器的IP地址 |
|
VPN |
安全策略服務器所在的VPN 未配置時,顯示為Not configured |
|
Test profile |
探測服務器狀態使用的模板名稱 |
|
Probe username |
探測服務器狀態使用的用戶名 |
|
Probe interval |
探測服務器狀態的周期(單位為分鍾) |
|
Accounting-On function |
accounting-on功能的開啟情況 |
|
retransmission times |
accounting-on報文的發送嚐試次數 |
|
retransmission interval(seconds) |
accounting-on報文的重發間隔(單位為秒) |
|
Timeout Interval(seconds) |
RADIUS服務器超時時間(單位為秒) |
|
Retransmission Times |
發送RADIUS報文的最大嚐試次數 |
|
Retransmission Times for Accounting Update |
實時計費更新報文的最大嚐試次數 |
|
Server Quiet Period(minutes) |
RADIUS服務器恢複激活狀態的時間(單位為分鍾) |
|
Realtime Accounting Interval(seconds) |
實時計費更新報文的發送間隔(單位為秒) |
|
NAS IP Address |
發送RADIUS報文的源IP地址 |
|
VPN |
RADIUS方案所屬的VPN名稱 未配置時,顯示為Not configured |
|
User Name Format |
發送給RADIUS服務器的用戶名格式 · with-domain:攜帶域名 · without-domain:不攜帶域名 · keep-original:與用戶輸入保持一致 |
|
Data flow unit |
數據流的單位 |
|
Packet unit |
數據包的單位 |
|
Attribute 15 check-mode |
對RADIUS Attribute 15的檢查方式,包括以下兩種取值: · Strict:表示使用RADIUS標準屬性值和私有擴展的屬性值進行檢查 · Loose:表示使用RADIUS標準屬性值進行檢查 |
|
Attribute 25 |
對RADIUS Attribute 25的處理,包括以下兩種取值: · Standard:表示不對RADIUS Attribute 25進行解析 · CAR:表示將RADIUS 25號屬性解析為CAR參數 |
|
Attribute Remanent-Volume unit |
RADIUS Remanent-Volume屬性的流量單位 |
display radius statistics命令用來顯示RADIUS報文的統計信息。
【命令】
display radius statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示RADIUS報文的統計信息。
<Sysname> display radius statistics
Auth. Acct. SessCtrl.
Request Packet: 0 0 0
Retry Packet: 0 0 -
Timeout Packet: 0 0 -
Access Challenge: 0 - -
Account Start: - 0 -
Account Update: - 0 -
Account Stop: - 0 -
Terminate Request: - - 0
Set Policy: - - 0
Packet With Response: 0 0 0
Packet Without Response: 0 0 -
Access Rejects: 0 - -
Dropped Packet: 0 0 0
Check Failures: 0 0 0
表1-6 display radius statistics命令顯示信息描述表
|
字段 |
描述 |
|
Auth. |
認證報文 |
|
Acct. |
計費報文 |
|
SessCtrl. |
Session-control報文 |
|
Request Packet |
發送的請求報文總數 |
|
Retry Packet |
重傳的請求報文總數 |
|
Timeout Packet |
超時的請求報文總數 |
|
Access Challenge |
Access challenge報文數 |
|
Account Start |
計費開始報文的數目 |
|
Account Update |
計費更新報文的數目 |
|
Account Stop |
計費結束報文的數目 |
|
Terminate Request |
服務器強製下線報文的數目 |
|
Set Policy |
更新用戶授權信息報文的數目 |
|
Packet With Response |
有回應信息的報文數 |
|
Packet Without Response |
無回應信息的報文數 |
|
Access Rejects |
認證拒絕報文的數目 |
|
Dropped Packet |
丟棄的報文數 |
|
Check Failures |
報文校驗錯誤的報文數目 |
【相關命令】
· reset radius statistics
key命令用來配置RADIUS報文的共享密鑰。
undo key命令用來刪除RADIUS報文的共享密鑰。
【命令】
key { accounting | authentication } { cipher | simple } string
undo key { accounting | authentication }
【缺省情況】
未配置RADIUS報文的共享密鑰。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
accounting:指定RADIUS計費報文的共享密鑰。
authentication:指定RADIUS認證報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。
【使用指導】
設備優先采用配置RADIUS認證/計費服務器時指定的報文共享密鑰,本配置中指定的報文共享密鑰僅在配置RADIUS認證/計費服務器時未指定相應密鑰的情況下使用。
必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。
【舉例】
# 在RADIUS方案radius1中,配置計費報文的共享密鑰為明文ok。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting simple ok
【相關命令】
· display radius scheme
nas-ip命令用來設置設備發送RADIUS報文使用的源IP地址。
undo nas-ip命令用來刪除指定類型的發送RADIUS報文使用的源IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
【缺省情況】
使用係統視圖下由命令radius nas-ip指定的源地址,若係統視圖下未指定源地址,則使用發送RADIUS報文的接口的主IP地址。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:指定的源IPv4地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
【使用指導】
RADIUS服務器上通過IP地址來標識接入設備,並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。因此,為保證RADIUS報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
為避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址為發送RADIUS報文使用的源IP地址。
RADIUS方案視圖和係統視圖下均可以配置發送RADIUS報文使用的源IP地址,具體生效情況如下:
· RADIUS方案視圖下配置的源IP地址(通過nas-ip命令)隻對本方案有效。
· 係統視圖下的配置的源IP地址(通過radius nas-ip命令)對所有RADIUS方案有效。
· RADIUS方案視圖下的設置具有更高的優先級。
一個RADIUS方案視圖下,最多允許指定一個IPv4源地址和一個IPv6源地址。
【舉例】
# 在RADIUS方案radius1中,設置設備發送RADIUS報文使用的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 10.1.1.1
【相關命令】
· display radius scheme
· radius nas-ip
port命令用來指定RADIUS DAE服務端口。
undo port命令用來恢複缺省情況。
【命令】
port port-number
undo port
【缺省情況】
RADIUS DAE服務端口為3799。
【視圖】
RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
port-number:DAE服務器接收DAE請求消息的UDP端口,取值範圍為1~65535。
【使用指導】
通常RADIUS DAE客戶端使用UDP 3799作為發送DAE報文的目的端口,因此不需要修改設備上的RADIUS DAE服務端口。若要修改,必須保證設備上的RADIUS DAE服務端口與RADIUS DAE客戶端發送DAE報文的目的UDP端口一致。
【舉例】
# 開啟RADIUS DAE服務後,指定DAE服務端口為3790。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] port 3790
【相關命令】
· client
· radius dynamic-author server
primary accounting命令用來配置主RADIUS計費服務器。
undo primary accounting命令用來恢複缺省情況。
【命令】
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo primary accounting
【缺省情況】
未配置主RADIUS計費服務器。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:主RADIUS計費服務器的IPv4地址。
ipv6 ipv6-address:主RADIUS計費服務器的IPv6地址。
port-number:主RADIUS計費服務器的UDP端口號,缺省為1813,取值範圍為1~65535。此端口號必須與服務器提供計費服務的端口號保持一致。
key:與主RADIUS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。
vpn-instance vpn-instance-name:主RADIUS計費服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示主RADIUS計費服務器位於公網中。
【使用指導】
在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號和VPN參數不能完全相同。
設備與主計費服務器通信時優先使用本命令設置的共享密鑰,如果此處未設置,則使用key accounting命令設置的共享密鑰。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。如果計費開始請求過程中使用本命令修改或刪除了正在使用的主計費服務器,則設備在與當前服務器通信超時後,將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。
如果在線用戶正在使用的計費服務器被刪除,則設備將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地,這將造成對用戶計費的不準確。
【舉例】
# 在RADIUS方案radius1中,配置主計費服務器的IP地址為10.110.1.2,使用UDP端口1813提供RADIUS計費服務,計費報文的共享密鑰為明文123456TESTacct&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!
【相關命令】
· display radius scheme
· key (RADIUS scheme view)
· secondary accounting
· vpn-instance (RADIUS scheme view)
primary authentication命令用來配置主RADIUS認證服務器。
undo primary authentication命令用來恢複缺省情況。
【命令】
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name ] *
undo primary authentication
【缺省情況】
未配置RADIUS主認證服務器。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:主RADIUS認證服務器的IPv4地址。
ipv6 ipv6-address:主RADIUS認證服務器的IPv6地址。
port-number:主RADIUS認證服務器的UDP端口號,取值範圍為1~65535,缺省值為1812。此端口號必須與服務器提供認證服務的端口號保持一致。
key:與主RADIUS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。
test-profile profile-name:RADIUS服務器探測模板名稱,為1~31個字符的字符串,區分大小寫。
vpn-instance vpn-instance-name:主RADIUS認證服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示主RADIUS認證服務器位於公網中。
【使用指導】
在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號和VPN參數不能完全相同。
設備與主認證服務器通信時優先使用本命令設置的共享密鑰,如果本命令中未設置,則使用key authenticaiton命令設置的共享密鑰。
RADIUS認證服務器引用了存在的服務器探測模板後,將會觸發對該服務器的探測功能。RADIUS服務器探測功能是指,設備周期性發送探測報文探測RADIUS服務器是否可達:如果服務器不可達,則置服務器狀態為block,如果服務器可達,則置服務器狀態為active。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。如果在認證過程中使用本命令修改或刪除了正在使用的主認證服務器,則設備在與當前服務器通信超時後,將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。
【舉例】
# 在RADIUS方案radius1中,配置主認證服務器的IP地址為10.110.1.1,使用UDP端口1812提供RADIUS認證/授權服務,認證報文的共享密鑰為明文123456TESTauth&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!
【相關命令】
· display radius scheme
· key (RADIUS scheme view)
· radius-server test-profile
· secondary authentication
· vpn-instance (RADIUS scheme view)
radius attribute extended命令用來定義RADIUS擴展屬性。
undo radius attribute extended命令用來刪除定義的RADIUS擴展屬性。
【命令】
radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }
undo radius attribute extended [ attribute-name ]
【缺省情況】
不存在自定義RADIUS擴展屬性。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
attribute-name:RADIUS屬性名稱,為1~63個字符的字符串,不區分大小寫。該名稱不能與係統已支持的(包括標準的以及自定義的)RADIUS屬性名稱相同。
vendor vendor-id:RADIUS屬性所屬的設備廠商標識。vendor-id為廠商標識號碼,取值範圍為1~65535。如果不指定該參數,則表示RADIUS屬性為標準屬性。
code attribute-code:RADIUS屬性在RADIUS屬性集裏的序號,取值範圍為1~255。
type:屬性內容的數據類型,包括以下取值:
· binary:二進製類型。
· date:時間類型。
· integer:整數類型。
· interface-id:接口ID類型。
· ip:IPv4地址類型。
· ipv6:IPv6地址類型、
· ipv6-prefix:IPv6地址前綴類型。
· octets:八進製類型。
· string:字符串類型。
【使用指導】
當係統需要支持其他廠商的私有RADIUS屬性時,可以通過radius attribute extended命令為其定義為一個擴展屬性,並通過attribute convert命令將其映射到係統可以識別的一個已知屬性。這樣,當RADIUS服務器發送給設備的RADIUS報文中攜帶了此類不可識別的私有屬性時,設備將根據已定義的屬性轉換規則將其轉換為可處理的屬性。同理,設備在發送RADIUS報文時也可以將自己可識別的屬性轉換為服務器能識別的屬性。
每一個RADIUS屬性有唯一的屬性名稱,且該屬性的名稱、設備廠商標識以及序號的組合必須在設備上唯一。
執行undo radius attribute extended命令時,如果不指定屬性名稱,則表示刪除所有已定義RADIUS擴展屬性。
【舉例】
# 配置一個RADIUS擴展屬性,名稱為Owner-Password,Vendor ID為122,屬性序號為80,類型為字符串。
<Sysname> system-view
[Sysname] radius attribute extended Owner-Password vendor 122 code 80 type string
【相關命令】
· attribute convert
· attribute reject
radius dscp命令用來配置RADIUS協議報文的DSCP優先級。
undo radius dscp命令用來恢複缺省情況。
【命令】
radius [ ipv6 ] dscp dscp-value
undo radius [ ipv6 ] dscp
【缺省情況】
RADIUS報文的DSCP優先級為0。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6:表示設置IPv6 RADIUS報文。若不指定該參數,則表示設置IPv4 RADIUS報文。
dscp-value:RADIUS報文的DSCP優先級,取值範圍為0~63。取值越大,優先級越高。
【使用指導】
DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本命令可以指定設備發送的RADIUS報文攜帶的DSCP優先級的取值。
【舉例】
# 配置IPv4 RADIUS報文的DSCP優先級為10。
<Sysname> system-view
[Sysname] radius dscp 10
radius dynamic-author server命令用來開啟RADIUS DAE服務,並進入RADIUS DAE服務器視圖。
undo radius dynamic-author server命令用來關閉RADIUS DAE服務。
【命令】
radius dynamic-author server
undo radius dynamic-author server
【缺省情況】
RADIUS DAE服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟RADIUS DAE服務後,設備將默認開啟UDP端口3799,並能夠接收指定的RADIUS DAE客戶端發送的DAE請求消息,然後根據請求消息進行用戶授權信息的修改或斷開用戶連接請求。
【舉例】
# 開啟RADIUS DAE服務,並進入RADIUS DAE服務器視圖。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server]
【相關命令】
· client
· port
radius nas-ip命令用來設置設備發送RADIUS報文使用的源地址。
undo radius nas-ip命令用來刪除指定的發送RADIUS報文使用的源地址。
【命令】
radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未指定發送RADIUS報文使用的源地址,設備將以發送報文的接口的主IP地址作為源地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:指定的源IPv4地址,應該為本機的地址,不能為全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
vpn-instance vpn-instance-name:指定私網源IPv4/IPv6地址所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。若不指定該參數,則表示配置的是公網源地址。
【使用指導】
RADIUS服務器上通過IP地址來標識接入設備,並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。為保證RADIUS報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
為避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址為發送RADIUS報文使用的源IP地址。
RADIUS方案視圖和係統視圖下均可以配置發送RADIUS報文使用的源IP地址,具體情況如下:
· RADIUS方案視圖下配置的源IP地址(通過nas-ip命令)隻對本RADIUS方案有效。
· 係統視圖下的配置的源IP地址(通過radius nas-ip命令)對所有RADIUS方案有效。
· RADIUS方案視圖下的設置具有更高的優先級。
係統最多允許指定16個源地址,其中,最多包括一個IPv4公網源地址和一個IPv6公網源地址,其餘為私網源地址。對於同一個VPN,最多隻能指定一個IPv4私網源地址和一個IPv6私網源地址。
【舉例】
# 設置設備發送RADIUS報文使用的源地址為129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【相關命令】
· nas-ip (RADIUS scheme view)
radius scheme命令用來創建RADIUS方案,並進入RADIUS方案視圖。如果指定的RADIUS方案已經存在,則直接進入RADIUS方案視圖。
undo radius scheme命令用來刪除指定的RADIUS方案。
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【缺省情況】
不存在RADIUS方案。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
radius-scheme-name:RADIUS方案的名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
一個RADIUS方案可以同時被多個ISP域引用。
係統最多支持配置16個RADIUS方案。
【舉例】
# 創建名為radius1的RADIUS方案並進入其視圖。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【相關命令】
· display radius scheme
radius session-control client命令用來指定session control客戶端。
undo radius session-control client命令用來刪除指定的session control客戶端。
【命令】
radius session-control client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo radius session-control client { all | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
【缺省情況】
未指定session control客戶端。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip ipv4-address:session control客戶端的IPv4地址。
ipv6 ipv6-address:session control客戶端的IPv6地址。
key:與session control客戶端交互的計費報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。
vpn-instance vpn-instance-name:session control客戶端所屬的VPN的實例名稱。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定本參數,則表示session control客戶端屬於公網。
all:表示所有session control客戶端。
【使用指導】
指定的session control客戶端用於驗證RADIUS session control報文的合法性,且僅在RADIUS session control功能處於開啟狀態時生效。
當設備收到session control報文時,首先根據報文的源IP地址、VPN屬性與指定的session control客戶端進行匹配,並使用匹配到的客戶端共享密鑰對報文進行驗證。如果匹配失敗,將與RADIUS方案中指定的認證服務器配置進行匹配,並使用匹配到的認證服務器的共享密鑰對報文進行驗證。如果報文驗證通過,則根據報文中攜帶的授權信息對用戶進行授權處理;如果報文驗證失敗或者匹配失敗,則丟棄該RADIUS session control報文。
係統支持指定多個session control客戶端。
【舉例】
# 指定一個session control客戶端IP地址為10.110.1.2,共享密鑰為明文12345。
<Sysname> system-view
[Sysname] radius session-control client ip 10.110.1.2 key simple 12345
【相關命令】
· radius session-control enable
radius session-control enable命令用來開啟RADIUS session control功能。
undo radius session-control enable命令用來關閉RADIUS session control功能。
【命令】
radius session-control enable
undo radius session-control enable
【缺省情況】
RADIUS session control功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
H3C的IMC RADIUS服務器使用session control報文向設備發送授權信息的動態修改請求以及斷開連接請求。開啟RADIUS session control功能後,設備會打開知名UDP端口1812來監聽並接收RADIUS服務器發送的session control報文。
該功能僅能和H3C IMC的RADIUS服務器配合使用。
【舉例】
# 開啟RADIUS session control功能。
<Sysname> system-view
[Sysname] radius session-control enable
radius-server test-profile命令用來配置RADIUS服務器探測模板。
undo radius-server test-profile命令用來刪除指定的RADIUS服務器探測模板。
【命令】
radius-server test-profile profile-name username name [ interval interval ]
undo radius-server test-profile profile-name
【缺省情況】
不存在RADIUS服務器探測模板。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
profile-name:探測模板名稱,為1~31個字符的字符串,區分大小寫。
username name:探測報文中的用戶名,為1~253個字符的字符串,區分大小寫。
interval interval:發送探測報文的周期,取值範圍為1~3600,單位為分鍾,缺省值為60。
【使用指導】
係統支持配置多個RADIUS服務器探測模板。
RADIUS方案視圖下的RADIUS服務器配置成功引用了某探測模板後,若被引用的探測模板不存在,則暫不啟動探測功能。之後,當該探測模板被成功配置時,針對該服務器的探測過程將會立即開始。
一個RADIUS服務器探測模板可被多個RADIUS方案引用,用於對不同的RADIUS服務器進行探測。
刪除一個RADIUS服務器探測模板時,引用該探測模板的所有RADIUS方案中的RADIUS服務器的探測功能也會被關閉。
【舉例】
# 配置RADIUS服務器探測模板abc,探測報文中攜帶的用戶名為admin,探測報文的發送間隔為10分鍾。
<Sysname> system-view
[Sysname] radius-server test-profile abc username admin interval 10
【相關命令】
· primary authentication (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
reset radius statistics命令用來清除RADIUS協議的統計信息。
【命令】
reset radius statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【舉例】
# 清除RADIUS協議的統計信息。
<Sysname> reset radius statistics
【相關命令】
· display radius statistics
retry命令用來設置發送RADIUS報文的最大嚐試次數,即如果某RADIUS服務器在指定的時間內未響應或未及時響應設備發送的RAIUDS報文,設備嚐試向該服務器發送RADIUS報文的最大次數。
undo retry命令用來恢複缺省情況。
【命令】
retry retries
undo retry
【缺省情況】
發送RADIUS報文的最大嚐試次數為3次。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
retries:發送RAIUDS報文的最大嚐試次數,取值範圍為1~20。
【使用指導】
由於RADIUS協議采用UDP報文來承載數據,因此其通信過程是不可靠的。如果設備在應答超時定時器規定的時長內(由timer response-timeout命令配置)沒有收到RADIUS服務器的響應,則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數已達到最大傳送次數而RADIUS服務器仍舊沒有響應,則設備將認為本次請求失敗。
需要注意的是:
· 發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間以及配置的RADIUS服務器總數,三者的乘積不能超過接入模塊定義的用戶認證超時時間,否則在RADIUS認證過程完成之前用戶就有可能被強製下線。
· 設備在按照配置順序嚐試與下一個RADIUS服務器通信之前,會首先判斷當前累計嚐試持續時間是否達到或超過300秒,如果超過或達到300秒,將不再向下一個RADIUS服務器發送RADIUS請求報文,即認為該RADIUS請求發送失敗。因此,為了避免某些已部署的RADIUS服務器由於此超時機製而無法被使用到,建議基於配置的RADIUS服務器總數,合理設置發送RADIUS報文的最大嚐試次數以及RADIUS服務器響應超時時間。
【舉例】
# 在RADIUS方案radius1中,設置發送RAIUDS報文的最大嚐試次數為5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【相關命令】
· radius scheme
· timer response-timeout
retry realtime-accounting命令用來設置允許發起實時計費請求的最大嚐試次數。
undo retry realtime-accounting命令用來恢複缺省情況。
【命令】
retry realtime-accounting retries
undo retry realtime-accounting
【缺省情況】
設備最多允許5次實時計費請求無響應,之後將切斷用戶連接。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
retries:允許發起實時計費請求的最大嚐試次數,取值範圍為1~255。
【使用指導】
RADIUS服務器通常通過連接超時定時器來判斷用戶是否在線。如果RADIUS服務器在連接超時時間之內一直收不到設備傳來的實時計費報文,它會認為線路或設備故障並停止對用戶記帳。為了配合RADIUS服務器的這種特性,有必要在不可預見的故障條件下,盡量保持設備端與RADIUS服務器同步切斷用戶連接。設備提供對實時計費請求連續無響應次數限製的設置,保證設備盡可能得在RADIUS服務器的連接超時時長內向RADIUS服務器嚐試發出實時計費請求。如果設備沒有收到響應的次數超過了設定的限度,才會切斷用戶連接。
假設RADIUS服務器的應答超時時長(timer response-timeout命令設置)為3秒,發送RADIUS報文的最大嚐試次數(retry命令設置)為3,設備的實時計費間隔(timer realtime-accounting命令設置)為12分鍾,設備允許實時計費無響應的最大次數為5次(retry realtime-accounting命令設置),則其含義為:設備每隔12分鍾發起一次計費請求,如果3秒鍾得不到回應就重新發起一次請求,如果3次發送都沒有得到回應就認為該次實時計費失敗,然後每隔12分鍾再發送一次,5次均失敗以後,設備將切斷用戶連接。
【舉例】
# 在RADIUS方案radius1中,設置允許發起實時計費請求的最大嚐試次數為10。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
【相關命令】
· retry
· timer realtime-accounting
· timer response-timeout
secondary accounting命令用來配置從RADIUS計費服務器。
undo secondary accounting命令用來刪除指定的從RADIUS計費服務器。
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情況】
未配置從RADIUS計費服務器。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:從RADIUS計費服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS計費服務器的IPv6地址。
port-number:從RADIUS計費服務器的UDP端口號,缺省為1813,取值範圍為1~65535。此端口號必須與服務器提供計費服務的端口號保持一致。
key:與從RADIUS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。
vpn-instance vpn-instance-name:從RADIUS計費服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從RADIUS計費服務器位於公網中。
【使用指導】
每個RADIUS方案中最多支持配置16個從RADIUS計費服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號和VPN參數不能完全相同,並且各從計費服務器的IP地址、端口號和VPN參數也不能完全相同。
設備與從計費服務器通信時優先使用本命令設置的共享密鑰,如果此處未設置,則使用命令key accounting命令設置的共享密鑰。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。如果在發送計費開始請求過程中使用本命令刪除了正在使用的從服務器,則設備在與當前服務器通信超時後,將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。
如果在線用戶正在使用的計費服務器被刪除,則設備將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地。
【舉例】
# 在RADIUS方案radius1中,配置從計費服務器的IP地址為10.110.1.1,使用UDP端口1813提供RADIUS計費服務。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
# 在RADIUS方案radius2中,配置兩個從計費服務器,IP地址分別為10.110.1.1、10.110.1.2,且均使用UDP端口1813提供RADIUS計費服務。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813
[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813
【相關命令】
· display radius scheme
· key (RADIUS scheme view)
· primary accounting
· vpn-instance (RADIUS scheme view)
secondary authentication命令用來配置從RADIUS認證服務器。
undo secondary authentication命令用來刪除指定的從RADIUS認證服務器。
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name ] *
undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情況】
未配置從RADIUS認證服務器。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:從RADIUS認證服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS認證服務器的IPv6地址。
port-number:從RADIUS認證服務器的UDP端口號,取值範圍為1~65535,缺省為1812。此端口號必須與服務器提供認證服務的端口號保持一致。
key:與從RADIUS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。
test-profile profile-name:RADIUS服務器探測模板名稱,為1~31個字符的字符串,區分大小寫。
vpn-instance vpn-instance-name:從RADIUS認證服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從RADIUS認證服務器位於公網中。
【使用指導】
每個RADIUS方案中最多支持配置16個從RADIUS認證服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
RADIUS認證服務器引用了存在的服務器探測模板後,將會觸發對該服務器的探測功能。RADIUS服務器探測功能是指,設備周期性發送探測報文探測RADIUS服務器是否可達:如果服務器不可達,則置服務器狀態為block,如果服務器可達,則置服務器狀態為active。
在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號和VPN參數不能完全相同,並且各從認證服務器的IP地址、端口號和VPN參數也不能完全相同。
設備與從認證服務器通信時優先使用本命令設置的共享密鑰,如果此處未設置,則使用命令key authentication命令設置的共享密鑰。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。如果在認證過程中使用本命令刪除了正在使用的從服務器,則設備在與當前服務器通信超時後,將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。
【舉例】
# 在RADIUS方案radius1中,配置從認證服務器的IP地址為10.110.1.2,使用UDP端口1812提供RADIUS認證/授權服務。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
# 在RADIUS方案radius2中,配置兩個從認證服務器,IP地址分別為10.110.1.1、10.110.1.2,且均使用UDP端口1812提供RADIUS認證/授權服務。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812
[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812
【相關命令】
· display radius scheme
· key (RADIUS scheme view)
· primary authentication
· radius-server test-profile
· vpn-instance (RADIUS scheme view)
snmp-agent trap enable radius命令用來開啟RADIUS告警功能。
undo snmp-agent trap enable radius命令用來關閉指定的RADIUS告警功能。
【命令】
snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
undo snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
【缺省情況】
所有類型的RADIUS告警功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
accounting-server-down:表示RADIUS計費服務器可達狀態變為down時發送告警信息。
accounting-server-up:表示RADIUS計費服務器可達狀態變為up時發送告警信息。
authentication-error-threshold:表示認證失敗次數超過閾值時發送告警信息。該閾值為認證失敗次數占認證請求總數的百分比數值,目前僅能通過MIB方式配置,取值範圍為1~100,缺省為30。
authentication-server-down:表示RADIUS認證服務器可達狀態變為down時發送告警信息。
authentication-server-up:表示RADIUS認證服務器可達狀態變為up時發送告警信息。
【使用指導】
不指定任何參數時,表示開啟或關閉所有類型的RADIUS告警功能。
開啟RADIUS服務器告警功能後,係統將會生成以下幾種告警信息:
· RADIUS服務器不可達的告警:當NAS向RADIUS服務器發送計費或認證請求沒有收到響應時,會重傳請求,當重傳次數達到最大傳送次數時仍然沒有收到響應時,則發送該告警信息。
· RADIUS服務器可達的告警:當timer quiet定時器設定的時間到達後,NAS將服務器的狀態置為激活狀態並發送該告警信息。
· 認證失敗次數超過閾值的告警:當NAS發現認證失敗次數與認證請求總數的百分比超過閾值時,會發送該告警信息。
【舉例】
# 開啟RADIUS計費服務器可達狀態變為down時的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable radius accounting-server-down
state primary命令用來設置主RADIUS服務器的狀態。
【命令】
state primary { accounting | authentication } { active | block }
【缺省情況】
主RADIUS服務器狀態為active。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
accounting:主RADIUS計費服務器。
authentication:主RADIUS認證服務器。
active:正常工作狀態。
block:通信中斷狀態。
【使用指導】
每次用戶發起認證或計費,如果主服務器狀態為active,則設備都會首先嚐試與主服務器進行通信,如果主服務器不可達,則將主服務器的狀態置為block,同時啟動主服務器的timer quiet定時器,然後設備會嚴格按照從服務器的配置先後順序依次查找狀態為active的從服務器。在timer quiet定時器設定的時間到達之後,主服務器狀態將由block恢複為active。若該定時器超時之前,通過本命令將主服務器的狀態手工設置為block,則定時器超時之後主服務器狀態不會自動恢複為active,除非通過本命令手工將其設置為active。
當主/從服務器狀態都是block時,若主服務器狀態是自動設置為block且已配置主服務器,則采用主服務器進行認證或計費;若主服務器狀態是被手工設置為block或未配置主服務器,則在自動設置為block狀態的所有從服務器中按順序選擇從服務器進行認證或計費。
認證服務器的狀態會影響設備對該服務器可達性探測功能的開啟。當指定的服務器狀態為active,且該服務器通過radius-server test-profile命令成功引用了一個已存在的服務器探測模板時,則設備會開啟對該服務器的可達性探測功能。當手工將該服務器狀態置為block時,會關閉對該服務器的可達性探測功能。
【舉例】
# 在RADIUS方案radius1中,設置主認證服務器的狀態為block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state primary authentication block
【相關命令】
· display radius scheme
· radius-server test-profile
· state secondary
state secondary命令用來設置從RADIUS服務器的狀態。
【命令】
state secondary { accounting | authentication } [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block }
【缺省情況】
從RADIUS服務器狀態為active。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
accounting:從RADIUS計費服務器。
authentication:從RADIUS認證服務器。
ipv4-address:從RADIUS服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS服務器的IPv6地址。
port-number:從RADIUS服務器的UDP端口號,取值範圍為1~65535,從RADIUS計費服務器的缺省UDP端口號為1813,從RADIUS認證服務器的缺省UDP端口號為1812。
vpn-instance vpn-instance-name:從RADIUS服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。
active:正常工作狀態。
block:通信中斷狀態。
【使用指導】
如果不指定從服務器IP地址,那麼本命令將會修改所有已配置的從認證服務器或從計費服務器的狀態。
如果設備查找到的狀態為active的從服務器不可達,則設備會將該從服務器的狀態置為block,同時啟動該服務器的timer quiet定時器,並繼續查找下一個狀態為active的從服務器。在timer quiet定時器設定的時間到達之後,從服務器狀態將由block恢複為active。若該定時器超時之前,通過本命令將從服務器的狀態手工設置為block,則定時器超時之後從服務器狀態不會自動恢複為active,除非通過本命令手工將其設置為active。如果所有已配置的從服務器都不可達,則本次認證或計費失敗。
認證服務器的狀態會影響設備對該服務器可達性探測功能的開啟。當指定的服務器狀態為active,且該服務器通過radius-server test-profile命令成功引用了一個已存在的服務器探測模板時,則設備會開啟對該服務器的可達性探測功能。當手工將該服務器狀態置為block時,會關閉對該服務器的可達性探測功能。
【舉例】
# 在RADIUS方案radius1中,設置從認證服務器的狀態設置為block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication block
【相關命令】
· display radius scheme
· radius-server test-profile
· state primary
timer quiet命令用來設置服務器恢複激活狀態的時間。
undo timer quiet命令用來恢複缺省情況。
【命令】
timer quiet minutes
undo timer quiet
【缺省情況】
服務器恢複激活狀態的時間為5分鍾。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
minutes:恢複激活狀態的時間,取值範圍為1~255,單位為分鍾。
【使用指導】
建議根據配置的從服務器數量合理設置服務器恢複激活狀態的時間。如果服務器恢複激活狀態時間設置的過短,就會出現設備反複嚐試與狀態active但實際不可達的服務器通信而導致的認證或計費頻繁失敗的問題。
【舉例】
# 在RADIUS方案radius1中,配置服務器恢複激活狀態的時間為10分鍾。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer quiet 10
【相關命令】
· display radius scheme
timer realtime-accounting命令用來設置實時計費的時間間隔。
undo timer realtime-accounting命令用來恢複缺省情況。
【命令】
timer realtime-accounting interval [ second ]
undo timer realtime-accounting
【缺省情況】
實時計費的時間間隔為12分鍾。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
interval:實時計費的時間間隔,取值範圍為0~71582。
second:表示實時計費的時間間隔以秒為單位,缺省以分鍾為單位。
【使用指導】
為了對用戶實施實時計費,有必要設置實時計費的時間間隔。不同的取值的處理有所不同:
· 若實時計費間隔不為0,則每隔設定的時間,設備會向RADIUS服務器發送一次在線用戶的計費信息。
· 若實時計費間隔設置為0,且服務器上配置了實時計費間隔,則設備按照服務器上配置的實時計費間隔向RADIUS服務器發送在線用戶的計費信息;如果服務器上沒有配置該值,則設備不向RADIUS服務器發送在線用戶的計費信息。
實時計費間隔的取值與RADIUS服務器的性能和用戶的數目有一定關係。取值小,會增加網絡中的數據流量,對設備和RADIUS服務器的性能要求就高;取值大,會影響計費的準確性。因此要結合網絡的實際情況合理設置計費間隔。一般情況下,建議當用戶量比較大(大於等於1000)時,盡量把該間隔的值設置得大一些。以下是實時計費間隔與用戶量之間的推薦比例關係。
|
用戶數 |
實時計費間隔(分鍾) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
大於等於1000 |
大於等於15 |
【舉例】
# 在RADIUS方案radius1中,設置實時計費的時間間隔為51分鍾。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
【相關命令】
· retry realtime-accounting
timer response-timeout命令用來設置RADIUS服務器響應超時時間。
undo timer response-timeout命令用來恢複缺省情況。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情況】
RADIUS服務器響應超時時間為3秒。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:RADIUS服務器響應超時時間,取值範圍為1~10,單位為秒。
【使用指導】
如果在RADIUS請求報文傳送出去一段時間後,設備還沒有得到RADIUS服務器的響應,則有必要重傳RADIUS請求報文,以保證用戶盡可能地獲得RADIUS服務,這段時間被稱為RADIUS服務器響應超時時間,本命令用於調整這個時間。
需要注意的是:
· 發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間以及配置的RADIUS服務器總數,三者的乘積不能超過接入模塊定義的用戶認證超時時間,否則在RADIUS認證過程完成之前用戶就有可能被強製下線。
· 設備在按照配置順序嚐試與下一個RADIUS服務器通信之前,會首先判斷當前累計嚐試持續時間是否達到或超過300秒,如果超過或達到300秒,將不再向下一個RADIUS服務器發送RADIUS請求報文,即認為該RADIUS請求發送失敗。因此,為了避免某些已部署的RADIUS服務器由於此超時機製而無法被使用到,建議基於配置的RADIUS服務器總數,合理設置發送RADIUS報文的最大嚐試次數以及RADIUS服務器響應超時時間。
【舉例】
# 在RADIUS方案radius1中,設置服務器響應超時時間設置為5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【相關命令】
· display radius scheme
· retry
user-name-format命令用來設置發送給RADIUS服務器的用戶名格式。
undo user-name-format命令用來恢複缺省情況。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情況】
發送給RADIUS服務器的用戶名攜帶ISP域名。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
keep-original:發送給RADIUS服務器的用戶名與用戶的輸入保持一致。
with-domain:發送給RADIUS服務器的用戶名攜帶ISP域名。
without-domain:發送給RADIUS服務器的用戶名不攜帶ISP域名。
【使用指導】
接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給RADIUS服務器。因此,設備提供此命令以指定發送給RADIUS服務器的用戶名是否攜帶有ISP域名。
如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個或兩個以上的ISP域中同時設置使用該RADIUS方案。否則,會出現雖然實際用戶不同(在不同的ISP域中),但RADIUS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
【舉例】
# 在RADIUS方案radius1中,設置發送給RADIUS服務器的用戶名不得攜帶域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
【相關命令】
· display radius scheme
vpn-instance命令用來配置RADIUS方案所屬的VPN。
undo vpn-instance命令用來恢複缺省情況。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情況】
RADIUS方案屬於公網。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vpn-instance-name:VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
本命令配置的VPN對於該方案下的所有RADIUS認證/計費服務器生效,但設備優先使用配置RADIUS認證/計費服務器時為各服務器單獨指定的VPN。
【舉例】
# 配置RADIUS方案radius1所屬的VPN為test。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] vpn-instance test
【相關命令】
· display radius scheme
data-flow-format命令用來配置發送到HWTACACS服務器的數據流的單位。
undo data-flow-format命令用來恢複缺省情況。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情況】
數據流的單位為byte,數據包的單位為one-packet。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
data:設置數據流的單位。
· byte:數據流的單位為字節。
· giga-byte:數據流的單位千兆字節。
· kilo-byte:數據流的單位為千字節。
· mega-byte:數據流的單位為兆字節。
packet:設置數據包的單位。
· giga-packet:數據包的單位為千兆包。
· kilo-packet:數據包的單位為千包。
· mega-packet:數據包的單位為兆包。
· one-packet:數據包的單位為包。
【使用指導】
設備上配置的發送給HWTACACS服務器的數據流單位及數據包單位應與HWTACACS服務器上的流量統計單位保持一致,否則無法正確計費。
【舉例】
# 在HWTACACS方案hwt1中,設置發往HWTACACS服務器的數據流的數據單位為千字節、數據包的單位為千包。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【相關命令】
· display hwtacacs scheme
display hwtacacs scheme命令用來查看HWTACACS方案的配置信息或HWTACACS服務相關的統計信息。
【命令】
display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
hwtacacs-scheme-name:HWTACACS方案的名稱,為1~32個字符的字符串,不區分大小寫。
statistics:顯示HWTACACS服務相關的統計信息。不指定該參數,則顯示HWTACACS方案的配置信息。
【使用指導】
如果不指定HWTACACS方案名,則顯示所有HWTACACS方案的配置信息。
【舉例】
# 查看所有HWTACACS方案的配置情況。
<Sysname> display hwtacacs scheme
Total 1 HWTACACS schemes
------------------------------------------------------------------
HWTACACS Scheme Name : hwtac
Index : 0
Primary Auth Server:
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Enabled
Primary Author Server:
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Disabled
Primary Acct Server:
IP : Not Configured Port: 49 State: Block
VPN Instance: Not configured
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : one
------------------------------------------------------------------
表1-8 display hwtacacs scheme命令顯示信息描述表
|
字段 |
描述 |
|
Total 1 HWTACACS schemes |
共計1個HWTACACS方案 |
|
HWTACACS Scheme Name |
HWTACACS方案的名稱 |
|
Index |
HWTACACS方案的索引號 |
|
Primary Auth Server |
主HWTACACS認證服務器 |
|
Primary Author Server |
主HWTACACS授權服務器 |
|
Primary Acct Server |
主HWTACACS計費服務器 |
|
Secondary Auth Server |
從HWTACACS認證服務器 |
|
Secondary Author Server |
從HWTACACS授權服務器 |
|
Secondary Acct Server |
從HWTACACS計費服務器 |
|
IP |
HWTACACS服務器的IP地址 未配置時,顯示為Not configured |
|
Port |
HWTACACS服務器的端口號 未配置時,顯示缺省值 |
|
Single-connection |
單連接狀態 · Enabled:使用一條TCP連接與服務器通信 · Disabled:每次新建TCP連接與服務器通信 |
|
State |
HWTACACS服務器目前狀態 · Active:激活狀態 · Block:靜默狀態 |
|
VPN Instance |
HWTACACS服務器所在的VPN 未配置時,顯示為Not configured |
|
VPN Instance |
HWTACACS方案所屬的VPN名稱 未配置時,顯示為Not configured |
|
NAS IP Address |
發送HWTACACS報文的源IP地址 |
|
Server Quiet Period |
主HWTACACS服務器恢複激活狀態的時間(分鍾) |
|
Realtime Accounting Interval(minutes) |
實時HWTACACS計費更新報文的發送間隔(分鍾) |
|
Response Timeout Interval |
HWTACACS服務器超時時間(秒) |
|
Username Format |
用戶名格式 · with-domain:攜帶域名 · without-domain:不攜帶域名 · keep-original:與用戶輸入保持一致 |
|
Data flow unit |
數據流的單位 |
|
Packet unit |
數據包的單位 |
【相關命令】
· reset hwtacacs statistics
hwtacacs nas-ip命令用來設置設備發送HWTACACS報文使用的源地址。
undo hwtacacs nas-ip命令用來刪除指定的發送HWTACACS報文使用的源地址。
【命令】
hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未設置發送HWTACACS報文使用的源地址,設備將以發送報文的接口的主IP地址作為源地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:指定的源IPv4地址,應該為本機的地址,不能為全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
vpn-instance vpn-instance-name:指定私網源IP地址所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。若不指定該參數,則表示配置的是公網源地址。
【使用指導】
HWTACACS服務器上通過IP地址來標識接入設備,並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。因此,為保證HWTACACS報文可被服務器正常接收並處理,接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。
為避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址為發送HWTACACS報文使用的源IP地址。
HWTACACS方案視圖和係統視圖下均可以配置發送HWTACACS報文使用的源IP地址,具體生效情況如下:
· HWTACACS方案視圖下配置的源IP地址(通過nas-ip命令)隻對本方案有效。
· 係統視圖下的配置的源IP地址(通過hwtacacs nas-ip命令)對所有HWTACACS方案有效。
· HWTACACS方案視圖下的設置具有更高的優先級。
係統最多允許指定16個源地址,其中,最多包括一個IPv4公網源地址和一個IPv6公網源地址,其餘為私網源地址。對於同一個VPN,最多隻能指定一個IPv4私網源地址和一個IPv6私網源地址。
【舉例】
# 設置設備發送HWTACACS報文使用的源地址為129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【相關命令】
· nas-ip
hwtacacs scheme命令用來創建HWTACACS方案,並進入HWTACACS方案視圖。如果指定的HWTACACS方案已經存在,則直接進入HWTACACS方案視圖。
undo hwtacacs scheme命令用來刪除指定的HWTACACS方案。
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【缺省情況】
不存在HWTACACS方案。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
hwtacacs-scheme-name:HWTACACS方案名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
一個HWTACACS方案可以同時被多個ISP域引用。
最多可以配置16個HWTACACS方案。
【舉例】
# 創建名稱為hwt1的HWTACACS方案並進入相應的HWTACACS視圖。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【相關命令】
· display hwtacacs scheme
key命令用來配置HWTACACS認證、授權、計費報文的共享密鑰。
undo key命令用來刪除指定的HWTACACS報文的共享密鑰。
【命令】
key { accounting | authentication | authorization } { cipher | simple } string
undo key { accounting | authentication | authorization }
【缺省情況】
未配置HWTACACS報文的共享密鑰。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
accounting:指定HWTACACS計費報文的共享密鑰。
authentication:指定HWTACACS認證報文的共享密鑰。
authorization:指定HWTACACS授權報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。
【使用指導】
必須保證設備上設置的共享密鑰與HWTACACS服務器上的完全一致。
【舉例】
# 在HWTACACS方案hwt1中,配置HWTACACS認證報文共享密鑰為明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!
# 配置HWTACACS授權報文共享密鑰為明文123456TESTautr&!。
[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!
# 配置HWTACACS計費報文共享密鑰為明文123456TESTacct&!。
[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!
【相關命令】
· display hwtacacs scheme
nas-ip命令用來設置設備發送HWTACACS報文使用的源IP地址。
undo nas-ip命令用來刪除指定類型的發送HWTACACS報文使用的源IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
【缺省情況】
使用係統視圖下由命令hwtacacs nas-ip指定的源地址,若係統視圖下未指定源地址,則使用發送HWTACACS報文的接口的主IP地址。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:指定的源IPv4地址,應該為本機的地址,不能為全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
【使用指導】
HWTACACS服務器上通過IP地址來標識接入設備,並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證、授權、計費請求。因此,為保證HWTACACS報文可被服務器正常接收並處理,接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。
為避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址為發送HWTACACS報文使用的源IP地址。
HWTACACS方案視圖和係統視圖下均可以配置發送HWTACACS報文使用的源IP地址,具體生效情況如下:
· HWTACACS方案視圖下配置的源IP地址(通過nas-ip命令)隻對本方案有效。
· 係統視圖下的配置的源IP地址(通過hwtacacs nas-ip命令)對所有HWTACACS方案有效。
· HWTACACS方案視圖下的設置具有更高的優先級。
一個HWTACACS方案視圖下,最多允許指定一個IPv4源地址和一個IPv6源地址。
【舉例】
# 在HWTACACS方案hwt1中,設置設備發送HWTACACS報文使用的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【相關命令】
· hwtacacs nas-ip
primary accounting命令用來配置主HWTACACS計費服務器。
undo primary accounting命令用來恢複缺省情況。
【命令】
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary accounting
【缺省情況】
未配置HWTACACS主計費服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:主HWTACACS計費服務器的IPv4地址。
ipv6 ipv6-address:主HWTACACS計費服務器的IPv6地址。
port-number:主HWTACACS計費服務器的TCP端口號,取值範圍為1~65535,缺省值為49。此端口號必須與服務器提供計費服務的端口號保持一致。
key:與主HWTACACS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。
single-connection:所有與主HWTACACS計費服務器交互的計費報文使用同一個TCP連接。如果未指定本參數,則表示每次計費都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:主HWTACACS計費服務器所屬的VPN。vpn-instance-name 表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示主HWTACACS計費服務器位於公網中。
【使用指導】
在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號和VPN參數不能完全相同。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。隻有在設備與計費服務器沒有報文交互時,才允許刪除該服務器。計費服務器刪除後,隻對之後的計費過程有影響。
配置single-connection參數後可節省TCP連接資源,但有些TACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
【舉例】
# 在HWTACACS方案hwt1中,配置主HWTACACS計費服務器的IP地址為10.163.155.12,使用TCP端口49與HWTACACS計費服務器通信,計費報文的共享密鑰為明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hw1
[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary accounting
· vpn-instance (HWTACACS scheme view)
primary authentication命令用來配置主HWTACACS認證服務器。
undo primary authentication命令用來恢複缺省情況。
【命令】
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authentication
【缺省情況】
未配置主HWTACACS認證服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:主HWTACACS認證服務器的IPv4地址。
ipv6 ipv6-address:主HWTACACS認證服務器的IPv6地址。
port-number:主HWTACACS認證服務器的TCP端口號,取值範圍為1~65535,缺省值為49。此端口號必須與服務器提供認證服務的端口號保持一致。
key:與主HWTACACS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。
single-connection:所有與主HWTACACS認證服務器交互的計費報文使用同一個TCP連接。如果未指定本參數,則表示向主HWTACACS計費服務器發送計費報文都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:主HWTACACS認證服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號和VPN參數不能完全相同。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。隻有在設備與認證服務器沒有報文交互時,才允許刪除該服務器。認證服務器刪除後,隻對之後的認證過程有影響。
配置single-connection參數後可節省TCP連接資源,但有些TACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
【舉例】
# 在HWTACACS方案hwt1中,配置主HWTACACS認證服務器的IP地址為10.163.155.13,使用TCP端口49與HWTACACS認證服務器通信,認證報文的共享密鑰為明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authentication
· vpn-instance (HWTACACS scheme view)
primary authorization命令用來配置主HWTACACS授權服務器。
undo primary authorization命令用來恢複缺省情況。
【命令】
primary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authorization
【缺省情況】
未配置主HWTACACS授權服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:主HWTACACS授權服務器的IPv4地址。
ipv6 ipv6-address:主HWTACACS授權服務器的IPv6地址。
port-number:主HWTACACS授權服務器的TCP端口號,取值範圍為1~65535,缺省值為49。此端口號必須與服務器提供授權服務的端口號保持一致。
key:與主HWTACACS授權服務器交互的授權報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。
single-connection:所有與主HWTACACS授權服務器交互的授權報文使用同一個TCP連接。如果未指定本參數,則表示每次授權都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:主HWTACACS授權服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示主HWTACACS授權服務器位於公網中。
【使用指導】
在同一個方案中指定的主授權服務器和從授權服務器的IP地址、端口號和VPN參數不能完全相同。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。隻有在設備與授權服務器沒有報文交互時,才允許刪除該服務器。授權服務器刪除後,隻對之後的授權過程有影響。
配置single-connection參數後可節省TCP連接資源,但有些TACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
【舉例】
# 在HWTACACS方案hwt1中,配置主HWTACACS授權服務器的IP地址為10.163.155.13,使用TCP端口49與HWTACACS授權服務器通信,授權報文的共享密鑰為明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authorization
· vpn-instance (HWTACACS scheme view)
reset hwtacacs statistics命令用來清除HWTACACS協議的統計信息。
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
accounting:清除HWTACACS協議關於計費的統計信息。
all:清除HWTACACS的所有統計信息。
authentication:清除HWTACACS協議關於認證的統計信息。
authorization:清除HWTACACS協議關於授權的統計信息。
【舉例】
# 清除HWTACACS協議的所有統計信息。
<Sysname> reset hwtacacs statistics all
【相關命令】
· display hwtacacs scheme
secondary accounting命令用來配置從HWTACACS計費服務器。
undo secondary accounting命令用來刪除指定的從HWTACACS計費服務器。
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情況】
未配置從HWTACACS計費服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:從HWTACACS計費服務器的IPv4地址。
ipv6 ipv6-address:從HWTACACS計費服務器的IPv6地址。
port-number:從HWTACACS計費服務器的端口號,取值範圍為1~65535,缺省值為49。此端口號必須與服務器提供計費服務的端口號保持一致。
key:與從HWTACACS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。
single-connection:所有與從HWTACACS計費服務器交互的計費報文使用同一個TCP連接。如果未指定本參數,則表示每次計費都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:從HWTACACS計費服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從HWTACACS計費服務器位於公網中。
【使用指導】
每個HWTACACS方案中最多支持配置16個從HWTACACS計費服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
如果不指定任何參數,則undo命令將刪除所有從計費服務器。
在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號和VPN參數不能完全相同,並且各從計費服務器的IP地址、端口號和VPN參數也不能完全相同。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。隻有在設備與計費服務器沒有報文交互時,才允許刪除該服務器。計費服務器刪除後,隻對之後的計費過程有影響。
配置single-connection參數後可節省TCP連接資源,但有些TACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
【舉例】
# 在HWTACACS方案hwt1中,配置從HWTACACS計費服務器的IP地址為10.163.155.12,使用TCP端口49與HWTACACS計費服務器通信,計費報文的共享密鑰為明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary accounting
· vpn-instance (HWTACACS scheme view)
secondary authentication命令用來配置從HWTACACS認證服務器。
undo secondary authentication命令用來刪除指定的從HWTACACS認證服務器。
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ]* ]
【缺省情況】
未配置從HWTACACS認證服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:從HWTACACS認證服務器的IPv4地址。
ipv6 ipv6-address:從HWTACACS認證服務器的IPv6地址。
port-number:從HWTACACS認證服務器的TCP端口號,取值範圍為1~65535,缺省值為49。此端口號必須與服務器提供認證服務的端口號保持一致。
key:與從HWTACACS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。
single-connection:所有與從HWTACACS認證服務器交互的認證報文使用同一個TCP連接。如果未指定本參數,則表示每次認證都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:從HWTACACS認證服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從HWTACACS服務器位於公網中。
【使用指導】
每個HWTACACS方案中最多支持配置16個從HWTACACS認證服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
如果不指定任何參數,則undo命令將刪除所有從認證服務器。
在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號和VPN參數不能完全相同,並且各從認證服務器的IP地址、端口號和VPN參數也不能完全相同。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。隻有在設備與認證服務器沒有報文交互時,才允許刪除該服務器。認證服務器刪除後,隻對之後的認證過程有影響。
配置single-connection參數後可節省TCP連接資源,但有些TACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
【舉例】
# 在HWTACACS方案hwt1中,配置從HWTACACS認證服務器的IP地址為10.163.155.13,使用TCP端口49與HWTACACS認證服務器通信,認證報文的共享密鑰為明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authentication
· vpn-instance (HWTACACS scheme view)
secondary authorization命令用來配置從HWTACACS授權服務器。
undo secondary authorization命令用來刪除指定的從HWTACACS授權服務器。
【命令】
secondary authorization { ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authorization [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情況】
未配置從HWTACACS授權服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-address:從HWTACACS授權服務器的IPv4地址。
ipv6 ipv6-address:從HWTACACS授權服務器的IPv6地址。
port-number:從HWTACACS授權服務器的TCP端口號,取值範圍為1~65535,缺省為49。此端口號必須與服務器提供授權服務的端口號保持一致。
key:與從HWTACACS授權服務器交互的授權報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。
single-connection:所有與從HWTACACS授權服務器交互的授權報文使用同一個TCP連接。如果未指定本參數,則表示每次授權都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:從HWTACACS授權服務器所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從HWTACACS授權服務器位於公網中。
【使用指導】
每個HWTACACS方案中最多支持配置16個從HWTACACS授權服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
如果不指定任何參數,則undo命令將刪除所有從授權服務器。
在同一個方案中指定的主授權服務器和從授權服務器的IP地址、端口號和VPN參數不能完全相同,並且各從授權服務器的IP地址、端口號和VPN參數也不能完全相同。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。隻有在設備與授權服務器沒有報文交互時,才允許刪除該服務器。授權服務器刪除後,隻對之後的授權過程有影響。
配置single-connection參數後可節省TCP連接資源,但有些TACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
【舉例】
# 在HWTACACS方案hwt1中,配置從HWTACACS授權服務器的IP地址為10.163.155.13,使用TCP端口49與HWTACACS授權服務器通信,授權報文的共享密鑰為明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authorization
· vpn-instance (HWTACACS scheme view)
timer quiet命令用來設置服務器恢複激活狀態的時間。
undo timer quiet命令用來恢複缺省情況。
【命令】
timer quiet minutes
undo timer quiet
【缺省情況】
服務器恢複激活狀態的時間為5分鍾。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
minutes:恢複激活狀態的時間,取值範圍為1~255,單位為分鍾。
【舉例】
# 設置服務器恢複激活狀態的時間為10分鍾。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【相關命令】
· display hwtacacs scheme
timer realtime-accounting命令用來設置實時計費的時間間隔。
undo timer realtime-accounting命令用來恢複缺省情況。
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【缺省情況】
實時計費的時間間隔為12分鍾。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
minutes:實時計費的時間間隔,取值範圍為0~60,單位為分鍾。0表示設備不向HWTACACS服務器發送在線用戶的計費信息。
【使用指導】
為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向HWTACACS服務器發送一次在線用戶的計費信息。
實時計費間隔的取值與HWTACACS服務器的性能和用戶的數目有一定的關係。取值越小,對設備和HWTACACS服務器的性能要求越高。建議當用戶量比較大(大於等於1000)時,盡量把該間隔的值設置得大一些。以下是實時計費間隔與用戶量之間的推薦比例關係。
|
用戶數 |
實時計費間隔(分鍾) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
大於等於1000 |
大於等於15 |
【舉例】
# 在HWTACACS方案hwt1中,設置實時計費的時間間隔為51分鍾。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【相關命令】
· display hwtacacs scheme
timer response-timeout命令用來設置HWTACACS服務器響應超時時間。
undo timer response-timeout命令用來恢複缺省情況。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情況】
HWTACACS服務器響應超時時間為5秒。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
seconds:HWTACACS服務器響應超時時間,取值範圍為1~300,單位為秒。
【使用指導】
由於HWTACACS是基於TCP實現的,因此,服務器響應超時或TCP超時都可能導致與HWTACACS服務器的連接斷開。
HWTACACS服務器響應超時時間與配置的HWTACACS服務器總數的乘積不能超過接入模塊定義的用戶認證超時時間,否則在HWTACACS認證過程完成之前用戶就有可能被強製下線。
【舉例】
# 在HWTACACS方案hwt1中,設置HWTACACS服務器響應超時時間為30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【相關命令】
· display hwtacacs scheme
user-name-format命令用來設置發送給HWTACACS服務器的用戶名格式。
undo user-name-format命令用來恢複缺省情況。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情況】
發送給HWTACACS服務器的用戶名攜帶ISP域名。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
keep-original:發送給HWTACACS服務器的用戶名與用戶輸入的保持一致。
with-domain:發送給HWTACACS服務器的用戶名攜帶ISP域名。
without-domain:發送給HWTACACS服務器的用戶名不攜帶ISP域名。
【使用指導】
接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些HWTACACS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給HWTACACS服務器。因此,設備提供此命令以指定發送給HWTACACS服務器的用戶名是否攜帶有ISP域名。
如果指定某個HWTACACS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該HWTACACS方案。否則,會出現雖然實際用戶不同(在不同的ISP域中),但HWTACACS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
若接入用戶為需要漫遊的無線用戶,接入設備上將發送給HWTACACS服務器的用戶名格式配置為keep-original類型,否則可能導致這類用戶認證失敗。
【舉例】
# 在HWTACACS方案hwt1中,設置發送給HWTACACS服務器的用戶名不攜帶ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
【相關命令】
· display hwtacacs scheme
vpn-instance命令用來配置HWTACACS方案所屬的VPN。
undo vpn-instance命令用來恢複缺省情況。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情況】
HWTACACS方案屬於公網。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vpn-instance-name: VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
本命令配置的VPN對於該方案下的所有HWTACACS認證/授權/計費服務器生效,但設備優先使用配置認證/授權/計費服務器時指定的各服務器所屬的VPN。
【舉例】
# 配置HWTACACS方案hw1所屬的VPN為test。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] vpn-instance test
【相關命令】
· display hwtacacs scheme
attribute-map命令用來在LDAP方案中引用LDAP屬性映射表。
undo attribute-map命令用來恢複缺省情況。
【命令】
attribute-map map-name
undo attribute-map
【缺省情況】
未引用任何LDAP屬性映射表。
【視圖】
LDAP方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
map-name:LDAP屬性映射表的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
在使用LDAP授權方案的情況下,可以通過在LDAP方案中引用LDAP屬性映射表,將LDAP授權服務器下發給用戶的LDAP屬性映射為AAA模塊可以解析的某類屬性。
一個LDAP方案視圖中隻能引用一個LDAP屬性映射表,後配置的生效。
如果在LDAP授權過程中修改了引用的LDAP屬性映射表,或者修改了引用的LDAP屬性映射表的內容,則該修改對當前的授權過程不會生效,隻對修改後新的LDAP授權過程生效。
【舉例】
# 在LDAP方案ldap1中,引用名稱為map1的LDAP屬性映射表。
<Sysname> system-view
[Sysname] ldap scheme test
[Sysname-ldap-test] attribute-map map1
【相關命令】
· display ldap scheme
· ldap attribute-map
authentication-server命令用來指定LDAP認證服務器。
undo authentication-server命令用來恢複缺省情況。
【命令】
authentication-server server-name
undo authentication-server
【缺省情況】
未指定LDAP認證服務器。
【視圖】
LDAP方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
server-name:LDAP服務器的名稱,為1~64個字符的字符串,不區分大小寫。該服務器必須已經存在。
【使用指導】
一個LDAP方案視圖下僅能指定一個LDAP認證服務器,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在LDAP方案ldap1中,指定LDAP認證服務器為ccc。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authentication-server ccc
【相關命令】
· display ldap scheme
· ldap server
authorization-server命令用來指定LDAP授權服務器。
undo authorization-server命令用來恢複缺省情況。
【命令】
authorization-server server-name
undo authorization-server
【缺省情況】
未指定LDAP授權服務器。
【視圖】
LDAP方案視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
server-name:LDAP服務器的名稱,為1~64個字符的字符串,不區分大小寫,且必須已經存在。
【使用指導】
一個LDAP方案視圖下僅能指定一個LDAP授權服務器,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在LDAP方案ldap1中,指定LDAP授權服務器為ccc。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authorization-server ccc
【相關命令】
· display ldap scheme
· ldap server
display ldap scheme命令用來查看LDAP方案的配置信息。
【命令】
display ldap scheme [ ldap-scheme-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
ldap-scheme-name:LDAP方案的名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
如果不指定LDAP方案名,則顯示所有LDAP方案的配置信息。
【舉例】
# 查看所有LDAP方案的配置信息。
<Sysname> display ldap scheme
Total 1 LDAP schemes
------------------------------------------------------------------
LDAP scheme name : aaa
Authentication server : aaa
IP : 1.1.1.1
Port : 111
VPN instance : Not configured
LDAP protocol version : LDAPv3
Server timeout interval : 10 seconds
Login account DN : Not configured
Base DN : Not configured
Search scope : all-level
User searching parameters:
User object class : Not configured
Username attribute : cn
Username format : with-domain
Authorization server : aaa
IP : 1.1.1.1
Port : 111
VPN instance : Not configured
LDAP protocol version : LDAPv3
Server timeout interval : 10 seconds
Login account DN : Not configured
Base DN : Not configured
Search scope : all-level
User searching parameters:
User object class : Not configured
Username attribute : cn
Username format : with-domain
Attribute map : map1
------------------------------------------------------------------
表1-10 display ldap scheme命令顯示信息描述表
|
字段 |
描述 |
|
Total 1 LDAP schemes |
總共有1個LDAP方案 |
|
LDAP Scheme Name |
LDAP方案名稱 |
|
Authentication Server |
LDAP認證服務器名稱 未配置時,顯示為Not configured |
|
Authorization server |
LDAP授權服務器名稱 未配置時,顯示為Not configured |
|
IP |
LDAP認證服務器的IP地址 未配置認證服務器IP時,IP地址顯示為Not configured |
|
Port |
LDAP認證服務器的端口號 未配置認證服務器IP時,端口號顯示為缺省值 |
|
VPN Instance |
VPN實例名稱 未配置時,顯示為Not configured |
|
LDAP Protocol Version |
LDAP協議的版本號(LDAPv2、LDAPv3) |
|
Server Timeout Interval |
LDAP服務器連接超時時間(單位為秒) |
|
Login Account DN |
管理員用戶的DN |
|
Base DN |
用戶DN查詢的起始DN |
|
Search Scope |
用戶DN查詢的範圍(all-level:所有子目錄查詢,single-level:下級目錄查詢) |
|
User Searching Parameters |
用戶查詢參數 |
|
User Object Class |
查詢用戶DN時使用的用戶對象類型 未配置時,顯示為Not configured |
|
Username Attribute |
用戶登錄帳號的屬性類型 |
|
Username Format |
發送給服務器的用戶名格式 |
|
Attribute map |
引用的LDAP屬性映射表名稱 未配置時,顯示為Not configured |
ip命令用來配置LDAP服務器的IP地址。
undo ip命令用來恢複缺省情況。
【命令】
ip ip-address [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ip
【缺省情況】
未配置LDAP服務器的IP地址。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:LDAP服務器的IP地址。
port port-number:LDAP服務器所使用的TCP端口號,取值範圍為1~65535,缺省值為389。
vpn-instance vpn-instance-name:LDAP服務器所屬的VPN。vpn-instance-name表示VPN實例的名稱,為1~31個字符的字符串,區分大小寫。不指定該參數時,表示LDAP服務器屬於公網。
【使用指導】
需保證設備上的LDAP服務端口與LDAP服務器上使用的端口設置一致。
更改後的服務器IP地址和端口號,隻對更改之後進行的LDAP認證生效。
【舉例】
# 配置LDAP服務器ccc的IP地址為192.168.0.10、端口號為4300。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300
【相關命令】
· ldap server
ipv6命令用來配置LDAP服務器的IPv6地址。
undo ipv6命令用來恢複缺省情況。
【命令】
ipv6 ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ipv6
【缺省情況】
未配置LDAP服務器的IP地址。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address:LDAP服務器的IPv6地址。
port port-number:LDAP服務器所使用的TCP端口號,取值範圍為1~65535,缺省值為389。
vpn-instance vpn-instance-name:LDAP服務器所屬的VPN。vpn-instance-name表示VPN實例的名稱,為1~31個字符的字符串,區分大小寫。不指定該參數時,表示LDAP服務器屬於公網。
【使用指導】
需保證設備上的LDAP服務端口與LDAP服務器上使用的端口設置一致。
更改後的服務器IP地址和端口號,隻對更改之後的LDAP認證生效。
【舉例】
# 配置LDAP服務器ccc的IPv6地址為1:2::3:4、端口號為4300。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300
【相關命令】
· ldap server
ldap attribute-map命令用來創建LDAP屬性映射表,並進入LDAP屬性映射表視圖。如果指定的LDAP屬性映射表已經存在,則直接進入LDAP屬性映射表視圖。
undo ldap attribute-map命令用來刪除指定的LDAP屬性映射表。
【命令】
ldap attribute-map map-name
undo ldap attribute-map map-name
【缺省情況】
不存在LDAP屬性映射表。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
map-name:LDAP屬性映射表的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
一個LDAP的屬性映射表中可以添加多個LDAP屬性映射表項,每個表項表示一個LDAP 屬性和一個AAA屬性的映射關係。
可以通過多次執行本命令配置多個LDAP的屬性映射表。
【舉例】
# 創建名稱為map1的LDAP屬性映射表,並進入該屬性映射表視圖。
<Sysname> system-view
[Sysname] ldap attribute-map map1
[Sysname-ldap-map-map1]
【相關命令】
· attribute-map
· ldap scheme
· map
ldap scheme命令用來創建LDAP方案,並進入LDAP方案視圖。如果指定的LDAP方案已經存在,則直接進入LDAP方案視圖。
undo ldap scheme命令用來刪除指定的LDAP方案。
【命令】
ldap scheme ldap-scheme-name
undo ldap scheme ldap-scheme-name
【缺省情況】
不存在LDAP方案。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ldap-scheme-name:LDAP方案的名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
一個LDAP方案可以同時被多個ISP域引用。
係統最多支持配置16個LDAP方案。
【舉例】
# 創建名稱為ldap1的LDAP方案並進入其視圖。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1]
【相關命令】
· display ldap scheme
ldap server用來創建LDAP服務器,並進入LDAP服務器視圖。如果指定的LDAP服務器已經存在,則直接進入LDAP服務器視圖。
undo ldap server命令用來刪除指定的LDAP服務器。
【命令】
ldap server server-name
undo ldap server server-name
【缺省情況】
不存在LDAP服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
server-name:LDAP服務器的名稱,為1~64個字符的字符串,不區分大小寫。
【舉例】
# 創建LDAP服務器ccc並進入其視圖。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc]
【相關命令】
· display ldap scheme
login-dn命令用來配置具有管理員權限的用戶DN。
undo login-dn命令用來恢複缺省情況。
【命令】
login-dn dn-string
undo login-dn
【缺省情況】
未配置具有管理員權限的用戶DN。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
dn-string:具有管理員權限的用戶DN,是綁定服務器時使用的用戶標識名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
設備上的管理員DN必須與服務器上管理員的DN一致。
更改後的管理員DN,隻對更改之後的LDAP認證生效。
【舉例】
# 在LDAP服務器視圖ccc下,配置管理員權限的用戶DN為uid=test, ou=people, o=example, c=city。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-dn uid=test,ou=people,o=example,c=city
【相關命令】
· display ldap scheme
login-password命令用來配置LDAP認證中,綁定服務器時所使用的具有管理員權限的用戶密碼。
undo login-password命令用來恢複缺省情況。
【命令】
login-password { cipher | simple } string
undo login-password
【缺省情況】
未配置具有管理權限的用戶密碼。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
cipher:表示以密文方式設置密碼。
simple:表示以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~128個字符的字符串,密文密碼為1~201個字符的字符串。
【使用指導】
該命令隻有在配置了login-dn的情況下生效。當未配置login-dn時,該命令不生效。
【舉例】
# 在LDAP服務器視圖ccc下,配置具有管理員權限的用戶密碼為明文abcdefg。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-password simple abcdefg
【相關命令】
· display ldap scheme
· login-dn
map命令用來配置LDAP屬性映射表項,即將一個LDAP服務器的屬性映射為一個AAA的屬性。
undo map命令用來刪除指定的LDAP屬性映射表項。
【命令】
map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute user-group
undo map [ ldap-attribute ldap-attribute-name ]
【缺省情況】
未指定LDAP屬性映射關係。
【視圖】
LDAP屬性映射表視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ldap-attribute ldap-attribute-name:表示要映射的LDAP屬性。其中,ldap-attribute-name表示LDAP屬性名稱,為1~63個字符的字符串,不區分大小寫。
prefix prefix-value delimiter delimiter-value:表示按照一定的格式提取LDAP屬性字符串中的內容映射為AAA屬性。其中,prefix-value表示LDAP屬性字符串中的某內容前綴(例如cn=),為1~7個字符的字符串,不區分大小寫;delimiter-value表示LDAP屬性字符串中的內容分隔符(例如逗號)。若不指定該可選參數,則表示要將一個完整的LDAP屬性字符串映射為指定的AAA屬性。
aaa-attribute aaa-attribute-name:表示要映射為的AAA屬性。其中,aaa-attribute-name表示AAA屬性名稱,為1~63個字符的字符串,不區分大小寫。
user-group:表示User group類型的AAA屬性。
【使用指導】
在用戶的LDAP授權過程中,設備會通過查詢操作得到用戶的授權信息,該授權信息由LDAP服務器通過若幹LDAP屬性下發給設備。若設備從LDAP服務器查詢得到某LDAP屬性,則該屬性隻有在被設備的AAA模塊解析之後才能實際生效。如果某LDAP服務器下發給用戶的屬性不能被AAA模塊解析,則該屬性將被忽略。因此,需要通過本命令指定要獲取哪些LDAP屬性,以及LDAP服務器下發的這些屬性將被AAA模塊解析為什麼類型的AAA屬性,具體映射為哪種類型的AAA屬性由實際應用需求決定。
一個LDAP服務器屬性隻能映射為一個AAA屬性,但不同的LDAP服務器屬性可映射為同一個AAA屬性。
【舉例】
# 在LDAP屬性映射表視圖map1下,配置將LDAP服務器屬性memberof按照前綴為cn=、分隔符為逗號(,)的格式提取出的內容映射成AAA屬性User group。
<Sysname> system-view
[Sysname] ldap attribute-map map1
[Sysname-ldap-map-map1] map ldap-attribute memberof prefix cn= delimiter ; aaa-attribute user-group
【相關命令】
· ldap attribute-map
· user-group
protocol-version命令用來配置LDAP認證中所支持的LDAP協議的版本號。
undo protocol-version命令用來恢複缺省情況。
【命令】
protocol-version { v2 | v3 }
undo protocol-version
【缺省情況】
LDAP版本號為LDAPv3。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
v2:表示LDAP協議版本號為LDAPv2。
v3:表示LDAP協議版本號為LDAPv3。
【使用指導】
為保證LDAP認證成功,請保證設備上的LDAP版本號與LDAP服務器上使用的版本號一致。
更改後的服務器版本號,隻對更改之後的LDAP認證生效。
Microsoft的LDAP服務器隻支持LDAPv3,配置LDAP版本為v2時無效。
【舉例】
# 在LDAP服務器視圖ccc下,配置LDAP協議版本號為LDAPv2。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] protocol-version v2
【相關命令】
· display ldap scheme
search-base-dn命令用來配置用戶查詢的起始DN。
undo search-base-dn命令用來恢複缺省情況。
【命令】
search-base-dn base-dn
undo search-base-dn
【缺省情況】
未指定用戶查詢的起始DN。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
base-dn:查詢待認證用戶的起始DN值,為1~255個字符的字符串,不區分大小寫。
【舉例】
# 在LDAP服務器視圖ccc下,配置用戶查詢的起始DN為dc=ldap,dc=com。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com
【相關命令】
· display ldap scheme
· ldap server
search-scope命令用來配置用戶查詢的範圍。
undo search-scope命令用來恢複缺省情況。
【命令】
search-scope { all-level | single-level }
undo search-scope
【缺省情況】
用戶查詢的範圍為all-level。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all-level:表示在起始DN的所有子目錄下進行查詢。
single-level:表示隻在起始DN的下一級子目錄下進行查詢。
【舉例】
# 在LDAP服務器視圖ccc下,配置在起始DN的所有子目錄下查詢LDAP認證用戶。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-scope all-level
【相關命令】
· display ldap scheme
· ldap server
server-timeout命令用來配置LDAP服務器連接超時時間,即認證、授權時等待LDAP服務器回應的最大時間。
undo server-timeout命令用來恢複缺省情況。
【命令】
server-timeout time-interval
undo server-timeout
【缺省情況】
LDAP服務器連接超時時間為10秒。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-interval:LDAP服務器連接超時時間,取值範圍為5~20,單位為秒。
【使用指導】
更改後的連接超時時間,隻對更改之後的LDAP認證生效。
【舉例】
# 在LDAP服務器視圖ccc下,配置LDAP服務器連接超時時間為15秒。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] server-timeout 15
【相關命令】
· display ldap scheme
user-parameters命令用來配置LDAP用戶查詢的屬性參數,包括用戶名屬性、用戶名格式和自定義用戶對象類型。
undo user-parameters命令用來恢複缺省情況。
【命令】
user-parameters { user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }
undo user-parameters { user-name-attribute | user-name-format | user-object-class }
【缺省情況】
user-name-attribute為cn;user-name-format為without-domain;未指定自定義user-object-class,根據使用的LDAP服務器的類型使用各服務器缺省的用戶對象類型。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
user-name-attribute { name-attribute | cn | uid }:表示用戶名的屬性類型。其中,name-attribute表示屬性類型值,為1~64個字符的字符串,不區分大小寫;cn表示用戶登錄帳號的屬性為cn(Common Name);uid表示用戶登錄帳號的屬性為uid(User ID)。
user-name-format { with-domain | without-domain }:表示發送給服務器的用戶名格式。其中,with-domain表示發送給服務器的用戶名帶ISP域名;without-domain表示發送給服務器的用戶名不帶ISP域名。
user-object-class object-class-name:表示查詢用戶DN時使用的用戶對象類型。其中,object-class-name表示對象類型值,為1~64個字符的字符串,不區分大小寫。
【使用指導】
如果LDAP服務器上的用戶名不包含域名,必須配置user-name-format為without-domain,將用戶名的域名去除後再傳送給LDAP服務器;如果包含域名則需配置user-name-format為with-domain。
【舉例】
# 在LDAP服務器視圖ccc下,配置用戶對象類型為person。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] user-parameters user-object-class person
【相關命令】
· display ldap scheme
· login-dn
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
