在某些應用環境中，網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來獲知用戶的接入位置，而用戶的接入VLAN可標識用戶的接入位置，因此接入設備上可通過建立用戶接入VLAN與指定的NAS-ID之間的綁定關係來實現接入位置信息的映射。NAS-ID Profile用於保存NAS-ID和VLAN的綁定關係。這樣，當用戶上線時，設備會將與用戶接入VLAN匹配的NAS-ID填充在RADIUS請求報文中的NAS-Identifier屬性中發送給RADIUS服務器。

設備支持多種途徑配置NAS-ID，按照獲取優先級從高到低的順序依次包括：NAS-ID Profile中與用戶接入VLAN綁定的NAS-ID、ISP域視圖下的NAS-ID。若以上配置都不存在，則使用設備的名稱作為NAS-ID。

【舉例】

# 創建一個名稱為aaa的NAS-ID Profile，並進入NAS-ID-Profile視圖。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa]

【相關命令】

· nas-id

· nas-id bind vlan

· port-security nas-id-profile（用戶接入與認證命令參考/端口安全）

· portal nas-id-profile（用戶接入與認證命令參考/Portal）

1.1.2 aaa session-id mode

aaa session-id mode命令用來配置設備使用的Acct-Session-Id屬性模式。

undo aaa session-id mode命令用來恢複缺省情況。

【命令】

aaa session-id mode { common | simplified }

undo aaa session-id mode

【缺省情況】

設備使用的Acct-Session-Id屬性模式為普通模式。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

common：普通模式。該模式下，Acct-Session-Id屬性的取值長度為38個字符，由前綴、日期時間、序列號、接入節點的LIP地址、設備ID以及進程的Job ID信息組成。

simplified：精簡模式。該模式下，Acct-Session-Id屬性的取值長度為16個字符，由前綴、月份值、序列號、設備ID以及接入節點的LIP地址信息組成。

【使用指導】

不同廠商的RADIUS服務器支持的Acct-Session-Id屬性的格式可能有所不同，可通過本命令指定設備使用的Acct-Session-Id屬性格式。

【舉例】

# 配置設備使用的Acct-Session-Id屬性模式為精簡模式。

<Sysname> system-view

[Sysname] aaa session-id mode simplified

1.1.3 aaa session-limit

aaa session-limit命令用來配置同時在線的最大用戶連接數，即采用指定登錄方式登錄設備並同時在線的用戶數。

undo aaa session-limit命令用來將指定登錄方式的同時在線的最大用戶連接數恢複為缺省情況。

【命令】

aaa session-limit { ftp | http | https | ssh | telnet } max-sessions

undo aaa session-limit { ftp | http | https | ssh | telnet }

【缺省情況】

同時在線的各類型最大用戶連接數均為32。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ftp：表示FTP用戶。

http：表示HTTP用戶。

https：表示HTTPS用戶。

ssh：表示SSH用戶。

telnet：表示Telnet用戶。

max-sessions：允許同時在線的最大用戶連接數，SSH用戶的取值範圍為1～32，Telnet用戶的取值範圍為1～32，FTP/HTTP/HTTPS用戶的取值範圍為1～64。

【使用指導】

配置本命令後，當指定類型的接入用戶的用戶數超過當前配置的最大連接數後，新的接入請求將被拒絕。

對於HTTP/HTTPS用戶，不同上層應用的最大用戶連接數單獨受限。例如，若設置允許同時在線的HTTP最大用戶連接數為20，則基於HTTP的RESTful用戶、Web用戶、NETCONF用戶的最大連接數將均為20。

【舉例】

# 設置同時在線的最大FTP用戶連接數為4。

<Sysname> system-view

[Sysname] aaa session-limit ftp 4

1.1.4 accounting command

accounting command命令用來配置命令行計費方法。

undo accounting command命令用來恢複缺省情況。

【命令】

accounting command hwtacacs-scheme hwtacacs-scheme-name

undo accounting command

【缺省情況】

命令行計費采用當前ISP域的缺省計費方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

命令行計費過程是指，用戶執行過的合法命令會被發送給計費服務器進行記錄。若未開啟命令行授權功能，則計費服務器對用戶執行過的所有合法命令進行記錄；若開啟了命令行授權功能，則計費服務器僅對授權通過的命令進行記錄。

目前，僅支持使用遠程HWTACACS服務器完成命令行計費功能。

【舉例】

# 在ISP域test下，配置使用HWTACACS計費方案hwtac進行命令行計費。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting command hwtacacs-scheme hwtac

【相關命令】

· accounting default

· command accounting（基礎配置命令參考/登錄設備）

· hwtacacs scheme

1.1.5 accounting default

accounting default命令用來為當前ISP域配置缺省的計費方法。

undo accounting default命令用來恢複缺省情況。

【命令】

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting default

【缺省情況】

當前ISP域的缺省計費方法為local。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地計費。

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

當前ISP域的缺省計費方法對於該域中未指定具體計費方法的所有接入用戶都起作用，但是如果某類型的用戶不支持指定的計費方法，則該計費方法對於這類用戶不能生效。

本地計費隻是為了支持本地用戶的連接數管理，沒有實際的計費相關的統計功能。

可以指定多個備選的計費方法，在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如，radius-scheme radius-scheme-name local none表示，先進行RADIUS計費，若RADIUS計費無效則進行本地計費，若本地計費也無效則不進行計費。遠程計費無效是指，指定的計費方案不存在、計費報文發送失敗或者服務器無響應。本地計費無效是指沒有找到對應的本地用戶配置。本地計費無效是指沒有找到對應的本地用戶配置。

當采用本地計費方法為主計費方法，且配置了備選計費方法時，僅當AAA本地計費處理過程異常或者沒有本地用戶配置的情況下，用戶本地計費失敗後才會嚐試使用備選方法進行認證，其它情況下不會轉換計費方法，直接認為計費失敗。

【舉例】

# 在ISP域test下，配置缺省計費方法為使用RADIUS方案rd進行計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting default radius-scheme rd local

【相關命令】

· hwtacacs scheme

· local-user

· radius scheme

1.1.6 accounting lan-access

accounting lan-access命令用來為lan-access用戶配置計費方法。

undo accounting lan-access命令用來恢複缺省情況。

【命令】

accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting lan-access

【缺省情況】

lan-access用戶采用當前ISP域的缺省計費方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

broadcast：指定廣播RADIUS方案，即同時向指定的兩個RADIUS方案中的計費服務器發送計費請求。

radius-scheme radius-scheme-name1：表示主送計費RADIUS方案名，為1～32個字符的字符串，不區分大小寫；

radius-scheme radius-scheme-name2：表示抄送計費RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地計費。

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

可以指定多個備選的計費方法。在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如，radius-scheme radius-scheme-name local none表示，先進行RADIUS計費，若RADIUS計費無效則進行本地計費，若本地計費也無效則不進行計費。遠程計費無效是指，指定的計費方案不存在、計費報文發送失敗或者服務器無響應。本地計費無效是指沒有找到對應的本地用戶配置。

當指定broadcast關鍵字時，將以主送RADIUS方案中的實時計費間隔同時向指定的兩個RADIUS方案裏的主計費服務器發送計費請求，若某RADIUS方案裏的主計費服務器不可達，則按照配置順序依次嚐試向該RADIUS方案裏的從計費服務器發送計費請求。主送計費方案計費成功時，表示用戶計費成功；抄送計費方案的計費結果對用戶無影響。

【舉例】

# 在ISP域test下，為lan-access用戶配置計費方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access local

# 在ISP域test下，配置lan-access用戶使用RADIUS方案rd進行計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access radius-scheme rd local

# 在ISP域test下，配置lan-access用戶使用RADIUS方案rd1和rd2進行廣播計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access broadcast radius-scheme rd1 radius-scheme rd2 local

【相關命令】

· accounting default

· local-user

· radius scheme

· timer realtime-accounting

1.1.7 accounting login

accounting login命令用來為login用戶配置計費方法。

undo accounting login命令用來恢複缺省情況。

【命令】

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting login

【缺省情況】

login用戶采用當前ISP域的缺省計費方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地計費。

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

不支持對FTP、SFTP以及SCP類型的login用戶進行計費。

【舉例】

# 在ISP域test下，為login用戶配置計費方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting login local

# 在ISP域test下，配置login用戶使用RADIUS方案rd進行計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting login radius-scheme rd local

【相關命令】

· accounting default

· hwtacacs scheme

· local-user

· radius scheme

1.1.8 accounting portal

accounting portal命令用來為Portal用戶配置計費方法。

undo accounting portal命令用來恢複缺省情況。

【命令】

accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting portal

【缺省情況】

Portal用戶采用當前ISP域的缺省計費方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

broadcast：指定廣播RADIUS方案，即同時向指定的兩個RADIUS方案中的計費服務器發送計費請求。

radius-scheme radius-scheme-name1：表示主送計費RADIUS方案名，為1～32個字符的字符串，不區分大小寫；

radius-scheme radius-scheme-name2：表示抄送計費RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地計費。

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為Portal用戶配置計費方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting portal local

# 在ISP域test下，配置Portal用戶使用RADIUS方案rd進行計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting portal radius-scheme rd local

# 在ISP域test下，配置Portal用戶使用RADIUS方案rd1和rd2進行廣播計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting portal broadcast radius-scheme rd1 radius-scheme rd2 local

【相關命令】

· accounting default

· local-user

· radius scheme

· timer realtime-accounting

1.1.9 accounting ppp

accounting ppp命令用來為PPP用戶配置計費方法。

undo accounting ppp命令用來恢複缺省情況。

【命令】

accounting ppp { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] | hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting ppp

【缺省情況】

PPP用戶采用當前ISP域的缺省計費方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

broadcast：指定廣播RADIUS方案，即同時向指定的兩個RADIUS方案中的計費服務器發送計費請求。

radius-scheme radius-scheme-name1：表示主送計費RADIUS方案名，為1～32個字符的字符串，不區分大小寫；

radius-scheme radius-scheme-name2：表示抄送計費RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地計費。

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

當指定broadcast關鍵字時，將以主送RADIUS方案中的實時計費間隔同時向指定的兩個RADIUS方案裏的主計費服務器發送計費請求，若某RADIUS方案裏的主計費服務器不可達，則按照配置順序依次嚐試向RADIUS方案裏的從計費服務器發送計費請求。主送計費方案計費成功時，表示用戶計費成功；抄送計費方案的計費結果對用戶無影響。

【舉例】

# 在ISP域test下，為PPP用戶配置計費方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting ppp local

# 在ISP域test下，配置PPP用戶使用RADIUS方案rd進行計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting ppp radius-scheme rd local

# 在ISP域test下，配置PPP用戶使用RADIUS方案rd1和rd2進行廣播計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting ppp broadcast radius-scheme rd1 radius-scheme rd2 local

【相關命令】

· accounting default

· hwtacacs scheme

· local-user

· radius scheme

· timer realtime-accounting

1.1.10 accounting quota-out

accounting quota-out命令用來配置用戶計費配額（流量或時長）耗盡策略。

undo accounting quota-out命令用來恢複缺省情況。

【命令】

accounting quota-out { offline | online }

undo accounting quota-out

【缺省情況】

用戶的計費配額耗盡後將被強製下線。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

offline：當用戶的整體配額耗盡後，強製用戶下線。

online：當用戶的整體配額耗盡後，允許用戶保持在線狀態。

【舉例】

# 在ISP域test下，配置用戶計費配額耗盡策略為：當配額耗盡後用戶仍能保持在線狀態。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting quota-out online

1.1.11 accounting sslvpn

accounting sslvpn命令用來為SSL VPN用戶配置計費方法。

undo accounting sslvpn命令用來恢複缺省情況。

【命令】

accounting sslvpn { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting sslvpn

【缺省情況】

SSL VPN用戶采用當前ISP域的缺省計費方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

local：本地計費。

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為SSL VPN用戶配置計費方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting sslvpn local

# 在ISP域test下，配置SSL VPN用戶使用RADIUS方案rd進行計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting sslvpn radius-scheme rd local

【相關命令】

· accounting default

· local-user

· radius scheme

1.1.12 accounting start-fail

accounting start-fail命令用來配置用戶計費開始失敗策略，即設備向計費服務器發送計費開始請求失敗後，是否允許用戶接入網絡。

undo accounting start-fail命令用來恢複缺省情況。

【命令】

accounting start-fail { offline | online }

undo accounting start-fail

【缺省情況】

如果用戶計費開始失敗，允許用戶保持在線狀態。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

offline：強製用戶下線。

online：允許用戶保持在線狀態。

【舉例】

# 在ISP域test下，配置計費開始失敗策略為：用戶計費開始失敗時允許用戶保持在線狀態。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting start-fail online

1.1.13 accounting update-fail

accounting update-fail命令用來配置用戶計費更新失敗策略，即設備向計費服務器發送用戶的計費更新報文失敗時，是否允許用戶接入網絡。

undo accounting update-fail命令用來恢複缺省情況。

【命令】

accounting update-fail { [ max-times max-times ] offline | online }

undo accounting update-fail

【缺省情況】

如果用戶計費更新失敗，允許用戶保持在線狀態。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

max-times max-times：允許用戶連續計費更新失敗的次數，取值範圍1～255，缺省值為1。

offline：如果用戶連續計費更新失敗的次數達到了指定的次數，則強製用戶下線。

online：如果用戶計費更新失敗，允許用戶保持在線狀態。

【使用指導】

目前，計費更新失敗後強製用戶下線功能僅對Portal、PPP用戶生效。

【舉例】

# 在ISP域test下，配置計費更新失敗策略為：用戶計費更新失敗時允許用戶保持在線狀態。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting update-fail online

1.1.14 authentication default

authentication default命令用來為當前ISP域配置缺省的認證方法。

undo authentication default命令用來為恢複缺省情況。

【命令】

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication default

【缺省情況】

當前ISP域的缺省認證方法為local。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地認證。

none：不進行認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

當前ISP域的缺省的認證方法對於該域中未指定具體認證方法的所有接入用戶都起作用，但是如果某類型的用戶不支持指定的認證方法，則該認證方法對於這類用戶不能生效。

可以指定多個備選的認證方法，在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如，radius-scheme radius-scheme-name local none表示，先進行RADIUS認證，若RADIUS認證無效則進行本地認證，若本地認證也無效則不進行認證。遠程認證無效是指，指定的認證方案不存在、認證報文發送失敗或者服務器無響應。本地認證無效是指沒有找到對應的本地用戶配置。

當采用本地認證方案為主認證方法，且配置了備選認證方法時，僅當AAA本地認證處理過程異常或者沒有本地用戶配置的情況下，用戶本地認證失敗後才會嚐試使用備選方法進行認證，其它情況下不會轉換認證方法，直接認為認證失敗。

【舉例】

# 在ISP域test下，配置缺省認證方法為使用RADIUS方案rd進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication default radius-scheme rd local

【相關命令】

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.15 authentication ike

authentication ike命令用來為IKE擴展認證配置認證方法。

undo authentication ike命令用來恢複缺省情況。

【命令】

authentication ike { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication ike

【缺省情況】

IKE擴展認證采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

local：本地認證。

none：不認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為IKE擴展認證配置認證方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication ike local

# 在ISP域test下，配置IKE擴展認證使用RADIUS方案rd進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication ike radius-scheme rd local

【相關命令】

· authentication default

· local-user

· radius scheme

1.1.16 authentication lan-access

authentication lan-access命令用來為lan-access用戶配置認證方法。

undo authentication lan-access命令用來恢複缺省情況。

【命令】

authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication lan-access

【缺省情況】

lan-access用戶采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地認證。

none：不進行認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為lan-access用戶配置認證方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication lan-access local

# 在ISP域test下，配置lan-access用戶使用RADIUS方案rd進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication lan-access radius-scheme rd local

【相關命令】

· authentication default

· ldap scheme

· local-user

· radius scheme

1.1.17 authentication login

authentication login命令用來為login用戶配置認證方法。

undo authentication login命令用來恢複缺省情況。

【命令】

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication login

【缺省情況】

login用戶采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地認證。

none：不進行認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為login用戶配置認證方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication login local

# 在ISP域test下，配置login用戶使用RADIUS方案rd進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication login radius-scheme rd local

【相關命令】

· authentication default

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.18 authentication portal

authentication portal命令用來為Portal用戶配置認證方法。

undo authentication portal命令用來恢複缺省情況。

【命令】

authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication portal

【缺省情況】

Portal用戶采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地認證。

none：不進行認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為Portal用戶配置認證方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication portal local

# 在ISP域test下，配置Portal用戶使用RADIUS方案rd進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication portal radius-scheme rd local

【相關命令】

· authentication default

· ldap scheme

· local-user

· radius scheme

1.1.19 authentication ppp

authentication ppp命令用來為PPP用戶配置認證方法。

undo authentication ppp命令用來恢複缺省情況。

【命令】

authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication ppp

【缺省情況】

PPP用戶采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地認證。

none：不進行認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為PPP用戶配置認證方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication ppp local

# 在ISP域test下，配置PPP用戶使用RADIUS方案rd進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication ppp radius-scheme rd local

【相關命令】

· authentication default

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.20 authentication sslvpn

authentication sslvpn命令用來為SSL VPN用戶配置認證方法。

undo authentication sslvpn命令用來恢複缺省情況。

【命令】

authentication sslvpn { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication sslvpn

【缺省情況】

SSL VPN用戶采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

ldap-scheme ldap-scheme-name：指定LDAP方案。其中，ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地認證。

none：不進行認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

當指定多個認證方法時，SSL VPN用戶登錄成功後不支持修改密碼。

【舉例】

# 在ISP域test下，為SSL VPN用戶配置認證方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication sslvpn local

# 在ISP域test下，配置SSL VPN用戶使用LDAP方案ldp進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication sslvpn ldap-scheme ldp local

【相關命令】

· authentication default

· ldap scheme

· local-user

· radius scheme

1.1.21 authentication super

authentication super命令用來配置用戶角色切換認證方法。

undo authentication super命令用來恢複缺省情況。

【命令】

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *

undo authentication super

【缺省情況】

用戶角色切換認證采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

切換用戶角色是指在不退出當前登錄、不斷開當前連接的前提下修改用戶的用戶角色，改變用戶所擁有的命令行權限。為了保證切換操作的安全性，需要在用戶執行用戶角色切換時進行身份認證。設備支持本地和遠程兩種認證方式，關於用戶角色切換的詳細介紹請參見“基礎配置指導”中的“RBAC”。

可以指定一個備選的認證方法，在當前的認證方法無效時嚐試使用備選的方法完成認證。遠程認證無效是指，指定的認證方案不存在、認證報文發送失敗或者服務器無響應。本地認證無效是指沒有找到對應的本地用戶配置。

【舉例】

# 在ISP域test下，配置使用HWTACACS方案tac進行用戶角色切換認證。

<Sysname> system-view

[Sysname] super authentication-mode scheme

[Sysname] domain test

[Sysname-isp-test] authentication super hwtacacs-scheme tac

【相關命令】

· authentication default

· hwtacacs scheme

· radius scheme

1.1.22 authorization command

authorization command命令用來配置命令行授權方法。

undo authorization command命令用來恢複缺省情況。

【命令】

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }

undo authorization command

【缺省情況】

命令行授權采用當前ISP域的缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地授權。

none：不授權。用戶執行角色所允許的命令時，無須接受授權服務器的檢查。

【使用指導】

命令行授權是指，用戶執行的每一條命令都需要接受授權服務器的檢查，隻有授權成功的命令才被允許執行。用戶登錄後可以執行的命令受登錄授權的用戶角色和命令行授權的用戶角色的雙重限製，即，僅登錄授權的用戶角色和命令行授權的用戶角色均允許執行的命令行，才能被執行。需要注意的是，命令行授權功能隻利用角色中的權限規則對命令行執行權限檢查，不進行其它方麵的權限檢查，例如資源控製策略等。

對用戶采用本地命令行授權時，設備將根據用戶登錄設備時輸入的用戶名對應的本地用戶配置來對用戶輸入的命令進行檢查，隻有本地用戶中配置的授權用戶角色所允許的命令才被允許執行。

可以指定多個備選的命令行授權方法，在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成命令授權。例如，hwtacacs-scheme hwtacacs-scheme-name local none表示，先進行HWTACACS授權，若HWTACACS授權無效則進行本地授權，若本地授權也無效則不進行授權。遠程授權無效是指，指定的授權方案不存在、授權報文發送失敗或者服務器無響應。本地授權無效是指沒有找到對應的本地用戶配置。

【舉例】

# 在ISP域test下，配置命令行授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization command local

# 在ISP域test下，配置使用HWTACACS方案hwtac進行命令行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local

【相關命令】

· command authorization（基礎配置命令參考/登錄設備）

· hwtacacs scheme

· local-user

1.1.23 authorization default

authorization default命令用來為當前ISP域配置缺省的授權方法。

undo authorization default命令用來恢複缺省情況。

【命令】

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization default

【缺省情況】

當前ISP域的缺省授權方法為local。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地授權。

none：不授權。接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時，認證通過的Login用戶（通過Console口或者Telnet、FTP/SFTP/SCP訪問設備的用戶）隻有係統給予的缺省用戶角色level-0，其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄，但並無訪問權限；認證通過的非Login用戶可直接訪問網絡。關於用戶角色level-0的詳細介紹請參見“基礎配置指導”中的“RBAC”。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

當前ISP域的缺省的授權方法對於該域中未指定具體授權方法的所有接入用戶都起作用，但是如果某類型的用戶不支持指定的授權方法，則該授權方法對於這類用戶不能生效。

在一個ISP域中，隻有配置的認證和授權方法中引用了相同的RADIUS方案時，RADIUS授權過程才能生效。

可以指定多個備選的授權方法，在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如，radius-scheme radius-scheme-name local none表示，先進行RADIUS授權，若RADIUS授權無效則進行本地授權，若本地授權也無效則不進行授權。遠程授權無效是指，指定的授權方案不存在、授權報文發送失敗或者服務器無響應。本地授權無效是指沒有找到對應的本地用戶配置。

當采用本地授權方案為主授權方法，且配置了備選授權方法時，僅當AAA本地授權處理過程異常或者沒有本地用戶配置的情況下，用戶本地授權失敗後才會嚐試使用備選方法進行授權，其它情況下不會轉換授權方法，直接認為授權失敗。

【舉例】

# 在ISP域test下，配置缺省授權方法為使用RADIUS方案rd進行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization default radius-scheme rd local

【相關命令】

· hwtacacs scheme

· local-user

· radius scheme

1.1.24 authorization ike

authorization ike命令用來為IKE擴展認證配置授權方法。

undo authorization ike命令用來恢複缺省情況。

【命令】

authorization ike { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization ike

【缺省情況】

IKE擴展認證采用當前ISP域的缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

local：本地授權。

none：不授權。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

可以指定多個備選的授權方法，在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。

【舉例】

# 在ISP域test下，為IKE擴展認證配置授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization ike local

【相關命令】

· authorization default

· local-user

1.1.25 authorization lan-access

authorization lan-access命令用來為lan-access用戶配置授權方法。

undo authorization lan-access命令用來恢複缺省情況。

【命令】

authorization lan-access { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization lan-access

【缺省情況】

lan-access用戶采用當前ISP域的缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

local：本地授權。

none：不授權。接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權，認證通過的lan-access用戶可直接訪問網絡。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

在一個ISP域中，隻有配置的認證和授權方法中引用了相同的RADIUS方案時，RADIUS授權過程才能生效。

【舉例】

# 在ISP域test下，為lan-access用戶配置授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access local

# 在ISP域test下，配置lan-access用戶使用RADIUS方案rd進行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access radius-scheme rd local

【相關命令】

· authorization default

· local-user

· radius scheme

1.1.26 authorization login

authorization login命令用來為login用戶配置授權方法。

undo authorization login命令用來恢複缺省情況。

【命令】

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization login

【缺省情況】

login用戶采用當前ISP域的缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地授權。

none：不授權。接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時，認證通過的Login用戶（通過Console口或者Telnet、FTP/SFTP/SCP訪問設備的用戶）隻有係統給予的缺省用戶角色level-0，其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄，但並無訪問權限。關於用戶角色level-0的詳細介紹請參見“基礎配置指導”中的“RBAC”。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

在一個ISP域中，隻有配置的認證和授權方法中引用了相同的RADIUS方案時，RADIUS授權過程才能生效。

【舉例】

# 在ISP域test下，為login用戶配置授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization login local

# 在ISP域test下，配置login用戶使用RADIUS方案rd進行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization login radius-scheme rd local

【相關命令】

· authorization default

· hwtacacs scheme

· local-user

· radius scheme

1.1.27 authorization portal

authorization portal命令用來為Portal用戶配置授權方法。

undo authorization portal命令用來恢複缺省情況。

【命令】

authorization portal { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization portal

【缺省情況】

Portal用戶采用當前ISP域的缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

local：本地授權。

none：不授權。接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權，認證通過的Portal用戶可直接訪問網絡。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

在一個ISP域中，隻有配置的認證和授權方法中引用了相同的RADIUS方案時，RADIUS授權過程才能生效。

【舉例】

# 在ISP域test下，為Portal用戶配置授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization portal local

# 在ISP域test下，配置Portal用戶使用RADIUS方案rd進行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization portal radius-scheme rd local

【相關命令】

· authorization default

· local-user

· radius scheme

1.1.28 authorization ppp

authorization ppp命令用來為PPP用戶配置授權方法。

undo authorization ppp命令用來恢複缺省情況。

【命令】

authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization ppp

【缺省情況】

PPP用戶采用當前ISP域的缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地授權。

none：不授權。接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

在一個ISP域中，隻有配置的認證和授權方法中引用了相同的RADIUS方案時，RADIUS授權過程才能生效。

【舉例】

# 在ISP域test下，為PPP用戶配置授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization ppp local

# 在ISP域test下，配置PPP用戶使用RADIUS方案rd進行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization ppp radius-scheme rd local

【相關命令】

· authorization default

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.29 authorization sslvpn

authorization sslvpn命令用來為SSL VPN用戶配置授權方法。

undo authorization sslvpn命令用來恢複缺省情況。

【命令】

authorization sslvpn { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization sslvpn

【缺省情況】

SSL VPN用戶采用當前ISP域缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

ldap-scheme ldap-scheme-name：指定LDAP方案。其中，ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地授權。

none：不授權。接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權，認證通過的SSL VPN用戶可以直接訪問網絡。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

在一個ISP域中，隻有配置的認證和授權方法中引用了相同的RADIUS方案時，RADIUS授權過程才能生效。

【舉例】

# 在ISP域test下，為SSL VPN用戶配置授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization sslvpn local

# 在ISP域test下，配置SSL VPN用戶使用LDAP方案ldp進行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization sslvpn ldap-scheme ldp local

【相關命令】

· authorization default

· ldap scheme

· local-user

· radius scheme

1.1.30 authorization-attribute (ISP domain view)

authorization-attribute命令用來設置當前ISP域下的用戶授權屬性。

undo authorization-attribute命令用來刪除指定的授權屬性，恢複用戶具有的缺省訪問權限。

【命令】

authorization-attribute { acl acl-number | car inbound cir committed-information-rate [ pir peak-information-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] | idle-cut minutes [ flow ] | igmp max-access-number max-access-number | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | mld max-access-number max-access-number | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-group user-group-name | user-profile profile-name }

undo authorization-attribute { acl | car | idle-cut | igmp | ip-pool | ipv6-pool | ipv6-prefix | mld | primary-dns | secondary-dns | session-timeout | url | user-group | user-profile }

【缺省情況】

當前ISP域下的用戶閑置切換功能處於關閉狀態，IPv4用戶可以同時點播的最大節目數為4，IPv6用戶可以同時點播的最大節目數為4，無其它授權屬性。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

acl acl-number：指定用於匹配用戶流量的ACL。其中acl-number表示ACL編號，為2000～4999。此屬性隻對Portal、lan-access用戶生效。與授權ACL規則匹配的流量，將按照規則中指定的permit或deny動作進行處理。

car：指定授權用戶的流量監管動作。Portal用戶在認證前，若被授權認證域，則其流量將受到指定的流量監管動作控製。此屬性隻對PPP、Portal用戶生效。

inbound：表示用戶的上傳速率。

outbound：表示用戶的下載速率。

cir committed-information-rate：承諾信息速率，單位為kbps。取值範圍為8~10000000。

pir peak-information-rate：承諾信息速率，單位為kbps。取值範圍為8~10000000。

idle-cut minutes：指定用戶的閑置切斷時間。其中，minutes的取值範圍為1～129600，單位為分鍾。此屬性隻對PPP、Portal、無線lan-access用戶生效。

flow：用戶在閑置切斷時間內產生的最小數據流量，取值範圍1～10240000，單位為字節，缺省值為10240。

igmp max-access-number max-access-number：指定IPv4用戶可以同時點播的最大節目數。其中，max-access-number的取值範圍為1～64。此屬性隻對PPP、Portal用戶生效。

ip-pool ipv4-pool-name：指定為用戶分配IPv4地址的地址池。其中，ipv4-pool-name表示地址池名稱，為1～63個字符的字符串，不區分大小寫。此屬性隻對PPP、Portal、IKE用戶生效。

ipv6-pool ipv6-pool-name：指定為用戶分配IPv6地址的地址池。其中，ipv6-pool-name表示地址池名稱，為1～63個字符的字符串，不區分大小寫。此屬性隻對PPP、Portal用戶生效。

ipv6-prefix ipv6-prefix prefix-length：指定為用戶分配的IPv6前綴。其中，ipv6-prefix prefix-length為前綴地址和前綴長度，前綴長度取值範圍是1～128，不支持::/128、::1/128、FE80::/10以及組播類型的前綴取值。此屬性隻對PPP用戶生效。

mld max-access-number max-access-number：指定IPv6用戶可以同時點播的最大節目數。其中，max-access-number的取值範圍為1～64。此屬性隻對PPP、Portal用戶生效。

primary-dns ip ipv4-address：指定用戶的主DNS服務器IPv4地址。此屬性隻對PPP用戶生效。

primary-dns ipv6 ipv6-address：指定用戶的主DNS服務器IPv6地址。此屬性隻對PPP用戶生效。

secondary-dns ip ipv4-address：指定用戶的從DNS服務器IPv4地址。此屬性隻對PPP用戶生效。

secondary-dns ipv6 ipv6-address：指定用戶的從DNS服務器IPv6地址。此屬性隻對PPP用戶生效。

session-timeout minutes：指定用戶的會話超時時間。其中，minutes為設定的會話超時時間，取值範圍為1～4294967295，單位為分鍾。如果用戶在線時長超過該值，設備會強製該用戶下線。此屬性隻對Portal、lan-access用戶生效。

url url-string：指定用戶的重定向URL。其中，url-string為1～255個字符的字符串，區分大小寫，且必須攜帶http://或https://前綴才可生效。重定向URL主要用於Web頁麵推送，例如，用戶認證成功後首次訪問網絡時用於推送廣告、通知類頁麵，或者用戶欠費時將用於推送欠費提醒頁麵。此屬性隻對IPoE和lan-access用戶生效，且對於IPoE用戶僅使用80或443端口號的URL生效。

user-group user-group-name：表示用戶所屬用戶組。其中，user-group-name表示用戶組名，為1～32個字符的字符串，不區分大小寫。用戶認證成功後，將繼承該用戶組中的所有屬性。

user-profile profile-name：指定用戶的授權User Profile。其中，profile-name為User Profile名稱，為1～31個字符的字符串，隻能包含英文字母[a-z,A-Z]、數字、下劃線、連字符，且必須以英文字母或數字開始，但不能為純數字，區分大小寫。Portal用戶在認證前，若被授權認證域，則其訪問行為將受到該域中的User Profile配置的限製。此屬性隻對PPP、Portal、lan-access用戶生效。

【使用指導】

用戶上線後，設備會周期性檢測用戶的流量，若域內某用戶在指定的閑置檢測時間內產生的流量小於本命令中指定的最小數據流量，則會被強製下線。需要注意的是，服務器上也可以配置最大空閑時間實現對用戶的閑置切斷功能，具體為當用戶在指定的閑置檢測時間內產生的流量小於10240個字節（服務器上該閾值為固定值，不可配置）時，會被強製下線。但是，隻有在設備上的閑置切斷功能處於關閉狀態時，服務器才會根據自身的配置來控製用戶的閑置切斷。

如果當前ISP域的用戶認證成功，但認證服務器（包括本地認證下的接入設備）未對該ISP域下發授權屬性，則係統使用當前ISP下指定的授權屬性為用戶授權。

需要注意的是，可通過多次執行本命令配置多個授權屬性，但對於相同授權屬性，最後一次執行的命令生效。

指定授權ACL時，需要注意的是：

· 若引用的ACL不存在，或者引用的ACL中沒有配置規則，則表示未授權ACL規則。如果同時開啟了Portal授權ACL的嚴格檢查模式，則此情況下Portal用戶會被強製下線。

· 授權給Portal用戶的ACL中不能配置攜帶用戶源IP地址和源MAC地址信息的規則，否則會導致用戶上線失敗。

【舉例】

# 設置ISP域test的用戶授權組為abc。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization-attribute user-group abc

【相關命令】

· display domain

1.1.31 basic-service-ip-type

basic-service-ip-type命令用來設置PPPoE/L2TP用戶主業務依賴的IP地址類型。當配置主業務依賴於某IP地址類型時，如果該類型的IP地址分配失敗，則不允許用戶上線。

undo basic-service-ip-type命令用來恢複缺省情況。

【命令】

basic-service-ip-type { ipv4 | ipv6 | ipv6-pd } *

undo basic-service-ip-type

【缺省情況】

PPPoE/L2TP用戶主業務不依賴於任何IP地址類型。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

ipv4：IPv4地址類型。

ipv6：IPv6地址類型。

ipv6-pd：IPv6 PD（Prefix Delegation，前綴授權）類型。該類型的用戶通過DHCPv6服務器為其分配的前綴信息生成IPv6地址。

【使用指導】

該特性僅在設備作為PPPoE Server或L2TP LNS時有效，且僅對PPPoE/L2TP用戶生效。

缺省情況下，如果用戶上線後沒有獲取到IP地址，設備將會強製其下線。

當用戶可能請求多種IP地址類型的業務，且並非所有IP類型的業務均為其主業務時，為了保證非主業務的IP地址獲取失敗的情況下用戶也能夠上線，則需要通過本特性來滿足該需求。

當配置主業務依賴於某IP類型時，如果該IP類型的地址分配失敗，則不允許用戶上線。例如，在某ISP下配置basic-service-ip-type ipv6後，則不允許該域中IPv6地址分配失敗的用戶上線。

如果同時指定了ipv6和ipv6-pd，則表示不允許該域中IPv6地址協商失敗或者PD協商失敗的用戶上線。

【舉例】

# 在ISP域test下，設置PPPoE/L2TP用戶主業務依賴的IP地址類型為IPv4。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] basic-service-ip-type ipv4

1.1.32 dhcpv6-follow-ipv6cp

dhcpv6-follow-ipv6cp命令用來設置PPPoE/L2TP用戶等待分配IPv6地址的最大時長。

undo dhcpv6-follow-ipv6cp命令用來恢複缺省情況。

【命令】

dhcpv6-follow-ipv6cp timeout delay-time

undo dhcpv6-follow-ipv6cp

【缺省情況】

PPPoE/L2TP用戶等待分配IPv6地址的最大時長為60秒。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

timeout delay-time：最大等待時長，取值範圍為30～120，單位為秒。

【使用指導】

該特性僅在設備作為PPPoE Server或L2TP LNS時有效。

PPPoE/L2TP用戶與設備完成IPv6CP協商之後，如果在一定的時長內未能成功分配到主業務依賴類型的IPv6地址/PD，則被強製下線，否則使用分配到的IP地址上線。

在設備與某ISP域的用戶連接所在的網絡質量比較差，使用DHCPv6為用戶分配IPv6地址，或者該域接入的用戶數量比較大時，可以適當增加此等待時長避免用戶因為地址分配失敗而下線。

【舉例】

# 在ISP域test下，設置PPPoE/L2TP用戶等待分配IPv6地址的最大時長為90秒。

<Sysname> syste-view

[Sysname] domain test

[Sysname-isp-test] dhcpv6-follow-ipv6cp timeout 90

【相關命令】

· basic-service-ip-type

1.1.33 display domain

display domain命令用來顯示所有或指定ISP域的配置信息。

【命令】

display domain [ isp-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

isp-name：ISP域名，為1～255個字符的字符串，不區分大小寫。如果不指定該參數，則表示所有ISP域。

【舉例】

# 顯示係統中所有ISP域的配置信息。

<Sysname> display domain

Total 2 domains

Domain: system

State: Active

Default authentication scheme: Local

Default authorization scheme: Local

Default accounting scheme: Local

Accounting start failure action: Online

Accounting update failure action: Online

Accounting quota out action: Offline

Service type: HSI

Session time: Exclude idle time

NAS-ID: N/A

DHCPv6-follow-IPv6CP timeout: 60 seconds

Authorization attributes:

Idle cut: Disabled

Session timeout: Disabled

IGMP access limit: 4

MLD access limit: 4

Domain: dm

State: Active

Super authentication scheme: RADIUS=rad

Command authorization scheme: HWTACACS=hw

LAN access authentication scheme: RADIUS=r4

PPP accounting scheme: RADIUS=r1, (RADIUS=r2), HWTACACS=tc, Local

Portal authentication scheme: LDAP=ldp

SSL VPN authentication scheme: LDAP=ldp, Local, None

SSL VPN authorization scheme: LDAP=ldp, Local

SSL VPN accounting scheme: None

Default authentication scheme: RADIUS=rad, Local, None

Default authorization scheme: Local

Default accounting scheme: None

Accounting start failure action: Online

Accounting update failure action: Online

Accounting quota out action: Offline

ITA service policy: ita1

Service type: HSI

Session time: Include idle time

User address type: ipv4

NAS-ID: test

User basic service IP type: IPv4

DHCPv6-follow-IPv6CP timeout: 44 seconds

Authorization attributes:

Idle cut : Enabled

Idle timeout: 2 minutes

Flow: 10240 bytes

Session timeout: 34 minutes

IP pool: appy

User profile: test

Session group profile: abc

Inbound CAR: CIR 64000 bps PIR 640000 bps

Outbound CAR: CIR 64000 bps PIR 640000 bps

ACL number: 3000

User group: ugg

IPv6 prefix: 1::1/34

IPv6 pool: ipv6pool

Primary DNS server: 6.6.6.6

Secondary DNS server: 3.6.2.3

URL: http://test

VPN instance: vpn1

IGMP access limit: 4

MLD access limit: 4

Default domain name: system

表1-1 display domain命令顯示信息描述表

字段	描述
Total 2 domains	總計2個ISP域
Domain	ISP域名
State	ISP域的狀態
Default authentication scheme	缺省的認證方案
Default authorization scheme	缺省的授權方案
Default accounting scheme	缺省的計費方案
Login authentication scheme	Login用戶認證方案
Login authorization scheme	Login用戶授權方案
Login accounting scheme	Login用戶計費方案
Super authentication scheme	用戶角色切換認證方案
PPP authentication scheme	PPP用戶的認證方案
PPP authorization scheme	PPP用戶的授權方案
PPP accounting scheme	PPP用戶的計費方案
Command authorization scheme	命令行授權方案
Command accounting scheme	命令行計費方案
LAN access authentication scheme	lan-access用戶認證方案
LAN access authorization scheme	lan-access用戶授權方案
LAN access accounting scheme	lan-access用戶計費方案
Portal authentication scheme	Portal用戶認證方案
Portal authorization scheme	Portal用戶授權方案
Portal accounting scheme	Portal用戶計費方案
IKE authentication scheme	IKE擴展認證方案
IKE authorization scheme	IKE擴展認證的授權方案
SSL VPN authentication scheme	SSL VPN用戶認證方案
SSL VPN authorization scheme	SSL VPN用戶授權方案
SSL VPN accounting scheme	SSL VPN用戶計費方案
RADIUS	RADIUS方案
HWTACACS	HWTACACS方案
LDAP	LDAP方案
Local	本地方案
None	不認證、不授權和不計費
Accounting start failure action	用戶計費開始失敗的動作，包括以下取值： · Online：如果用戶計費開始失敗，則保持用戶在線 · Offline：如果用戶計費開始失敗，則強製用戶下線
Accounting update failure max-times	允許用戶連續計費更新失敗的次數
Accounting update failure action	用戶計費更新失敗的動作，包括以下取值： · Online：如果用戶計費更新失敗，則保持用戶在線 · Offline：如果用戶計費更新失敗，則強製用戶下線
Accounting quota out action	用戶計費配額耗盡策略，包括以下取值： · Online：如果用戶計費配額耗盡，則保持用戶在線 · Offline：如果用戶計費配額耗盡，則強製用戶下線
ITA service policy	采用的ITA業務策略
Service type	ISP域的業務類型，取值為HSI，STB和VoIP
Session time	當用戶異常下線時，設備上傳到服務器的用戶在線時間情況： · Include idle time：保留用戶閑置切斷時間 · Exclude idle time：扣除用戶閑置切斷時間
User address type	用戶地址類型
NAS-ID	設備的NAS-ID 若未配置，則顯示為N/A
User basic service IP type	PPPoE/L2TP用戶主業務依賴的IP地址類型，包括以下取值： · IPv4：IPv4地址類型 · IPv6：IPv6地址類型 · IPv6-PD：IPv6 PD（Prefix Delegation，前綴授權）類型
DHCPv6-follow-IPv6CP timeout	PPPoE/L2TP用戶等待分配IPv6/PD地址的最大時長，單位為秒
Authorization attributes	ISP的用戶授權屬性
Idle cut	用戶閑置切斷功能，包括以下取值： · Enabled：處於開啟狀態，表示當ISP域中的用戶在指定的最大閑置切斷時間內產生的流量小於指定的最小數據流量時，會被強製下線 · Disabled：處於關閉狀態，表示不對用戶進行閑置切斷控製，它為缺省狀態
Idle timeout	用戶閑置切斷時間（單位為分鍾）
Flow	用戶數據流量閾值（單位為字節）
Session timeout	用戶的會話超時時間（單位為分鍾）
IP pool	授權IPv4地址池的名稱
User profile	授權User Profile的名稱
Session group profile	授權Session Group Profile的名稱
Inbound CAR	授權的入方向CAR（CIR：承諾信息速率，單位為bps；PIR：峰值信息速率，單位為bps）
Outbound CAR	授權的出方向CAR（CIR：承諾信息速率，單位為bps；PIR：峰值信息速率，單位為bps）
ACL number	授權ACL編號
User group	授權User group的名稱
IPv6 prefix	授權IPv6前綴
IPv6 pool	授權IPv6地址池的名稱
Primary DNS server	授權主DNS服務器IPv4地址
Secondary DNS server	授權從DNS服務器IPv4地址
Primary DNSV6 server	授權主DNS服務器IPv6地址
Secondary DNSV6 server	授權從DNS服務器IPv6地址
URL	授權重定向URL
VPN instance	授權VPN實例名稱
IGMP access limit	授權IPv4用戶可以同時點播的最大節目數
MLD access limit	授權IPv6用戶可以同時點播的最大節目數
Default domain name	缺省ISP域名

‌

1.1.34 domain

domain命令用來創建ISP域，並進入ISP域視圖。如果指定的ISP域已經存在，則直接進入ISP域視圖。

undo domain命令用來刪除指定的ISP域。

【命令】

domain isp-name

undo domain isp-name

【缺省情況】

存在一個ISP域，名稱為system。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

isp-name：ISP域名，為1～255個字符的字符串，不區分大小寫，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符，且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

【使用指導】

所有的ISP域在創建後即處於active狀態。

不能刪除係統中預定義的ISP域system，隻能修改該域的配置。

不能刪除作為係統缺省ISP域的ISP域。如需刪除一個係統缺省ISP域，請先使用undo domain default enable命令將其恢複為非缺省的ISP域。

建議設備上配置的ISP域名盡量短，避免用戶輸入的包含域名的用戶名長度超過客戶端可支持的最大用戶名長度。

【舉例】

# 創建一個名稱為test的ISP域，並進入其視圖。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test]

【相關命令】

· display domain

· domain default enable

· domain if-unknown

· state (ISP domain view)

1.1.35 domain default enable

domain default enable命令用來配置係統缺省的ISP域，所有在登錄時沒有提供ISP域名的用戶都屬於這個域。

undo domain default enable命令用來恢複缺省情況。

【命令】

domain default enable isp-name

undo domain default enable

【缺省情況】

存在一個係統缺省的ISP域，名稱為system。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

isp-name：ISP域名，為1～255個字符的字符串，不區分大小寫，且必須已經存在。

【使用指導】

係統中隻能存在一個缺省的ISP域。

配置為缺省的ISP域不能被刪除。如需刪除一個係統缺省ISP域，請先使用undo domain default enable命令將其恢複為非缺省的ISP域。

【舉例】

# 創建一個新的ISP域test，並設置為係統缺省的ISP域。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] quit

[Sysname] domain default enable test

【相關命令】

· display domain

· domain

1.1.36 domain if-unknown

domain if-unknown命令用來為未知域名的用戶指定ISP域。

undo domain if-unknown命令用來恢複缺省情況。

【命令】

domain if-unknown isp-name

undo domain if-unknown

【缺省情況】

沒有為未知域名的用戶指定ISP域。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

isp-name：ISP域名。為1～255個字符的字符串，不區分大小寫，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符，且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

【使用指導】

設備將按照如下先後順序選擇認證域：接入模塊指定的認證域-->用戶名中指定的ISP域-->係統缺省的ISP域。其中，僅部分接入模塊支持指定認證域。

如果根據以上原則決定的認證域在設備上不存在，但設備上為未知域名的用戶指定了ISP域，則最終使用該指定的ISP域認證，否則，用戶將無法認證。

【舉例】

# 為未知域名的用戶指定ISP域為test。

<Sysname> system-view

[Sysname] domain if-unknown test

【相關命令】

· display domain

1.1.37 domain-delimiter

domain-delimiter命令用來配置全局域名分隔符。

undo domain-delimiter命令用來恢複缺省情況。

【命令】

domain-delimiter [| ike || lanaccess | login | portal | ppp | sslvpn | super] string

undo domain-delimiter [| ike || lanaccess | login | portal | ppp | sslvpn | super]

【缺省情況】

全局域名分隔符為“@”、“/”和“\”。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ike：IKE擴展認證用戶。

lanaccess：lan-access類型用戶。

portal：Portal用戶。

ppp：PPP用戶。

ssh：SSH用戶。

sslvpn：SSL VPN用戶。

super：用戶角色切換認證用戶。

string：多個域名分隔符組成的1～16個字符的字符串，隻能包括字符“@”、“.”、“/”或“\”。若要指定域名分隔符“\”，則必須在輸入時使用轉義操作符“\”，即輸入\\。

【使用指導】

域名分隔符是用於分隔用戶名和域名的符號。配置域名分隔符，是為了便於設備準確解析用戶名和域名。不同的域名分隔符，對應不同的用戶名格式：

· “@”：username@domain-name

· “\”：domain-name\username

· “/”：username/domain-name

· “.”：username.domain-name

如果用戶名中包含有多個域名分隔符字符，則設備將根據domain-delimiter search-from命令指定的查詢順序選擇實際使用的域名分隔符。

若不指定任何參數，則表示對所有接入用戶配置全局域名分隔符。

若接入模塊指定了域名分隔符，則對該接入類型的用戶使用接入模塊配置的域名分隔符，不使用全局域名分隔符。

修改全局域名分隔符對已在線用戶沒有影響，僅對新上線用戶生效。

【舉例】

# 為login用戶配置全局域名分隔符為“@”和“/”。

<Sysname> system-view

[Sysname] domain-delimiter login @/

【相關命令】

· domain-delimiter search-from

1.1.38 domain-delimiter search-direction

domain-delimiter search-direction命令用來配置域名分隔符的查詢方向。

undo domain-delimiter search-direction命令用來恢複缺省情況。

【命令】

domain-delimiter search-direction { backward | forward }

undo domain-delimiter search-direction

【缺省情況】

域名分隔符查詢方向為從右向左。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

backward：表示從右向左搜索域名分隔符。

forward：表示從左向右搜索域名分隔符。

【使用指導】

設備能夠準確解析用戶名和域名對於為用戶提供認證服務非常重要。如果用戶名中包含有多個域名分隔符字符，則設備將根據domain-delimiter search-from命令指定的查詢順序選擇首個匹配的域名分隔符作為實際使用的域名分隔符。比如，用戶名為1234@456@789，域名分隔符為@，如果從左向右進行查詢，則1234為用戶名，456@789為域名；如果從右向左查詢，則1234@456用戶名，789為域名。

本命令可適用於全局域名分隔符（由domain-delimiter命令指定）以及接入模塊配置的域名分隔符。

多次執行本命令，最後一次執行的命令生效。

修改域名分隔符的查詢方向對已在線用戶沒有影響，僅對新上線用戶生效。

【舉例】

# 配置域名分隔符的查詢方向為從左到右。

<Sysname> system-view

[Sysname] domain-delimiter search-direction forward

【相關命令】

· domain-delimiter

1.1.39 ita-policy

ita-policy命令用來指定當前ISP域采用的ITA業務策略。

undo ita-policy命令用來恢複缺省情況。

【命令】

ita-policy policy-name

undo ita-policy

【缺省情況】

當前ISP域中未采用ITA業務策略。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

service-policy-name：ITA業務策略名稱，由1～31個字符組成，不區分大小寫。

【使用指導】

當RADIUS服務器為當前用戶動態授權了ITA業務策略時，將使用RADIUS服務器授權的ITA業務策略，否則使用用戶認證域中指定的ITA業務策略。

若RADIUS服務器為當前用戶授權了ITA業務策略，但該策略在設備上不存在，則即使認證域中指定了ITA業務策略且存在，設備也不會對該用戶進行ITA業務計費。

【舉例】

# 在ISP域test中，指定采用ITA業務策略ita1。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] ita-policy ita1

【相關命令】

· ita policy

1.1.40 local-server log change-password-prompt

local-server log change-password-prompt命令用來開啟密碼修改周期性提醒日誌功能。

undo local-server log change-password-prompt命令用來關閉密碼修改周期性提醒日誌功能。

【命令】

local-server log change-password-prompt

undo local-server log change-password-prompt

【缺省情況】

密碼修改周期性提醒日誌功能處於開啟狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

為了提高係統的安全性，用戶通過Telnet、SSH、HTTP、HTTPS、NETCONF over SSH、NETCONF over SOAP方式登錄設備時，係統會根據指定的安全要求對用戶密碼進行檢查。為了及時提醒用戶修改不符合係統要求的密碼，建議開啟密碼修改周期性提醒日誌功能。

開啟本功能後，係統將每隔24小時，對所有不符合密碼檢查策略的用戶打印日誌，提醒這些用戶盡快修改當前密碼。除了周期性提醒之外，係統還會在每個用戶登錄時，針對不符合密碼檢查策略的情況立即打印日誌進行提醒。

· 對於通過Telnet、SSH、HTTP、HTTPS方式登錄設備的用戶，如果用戶密碼為弱密碼，且係統在用戶登錄時未要求其立即更改密碼，係統會打印此提醒日誌。弱密碼是指不符合如下任意一項要求的密碼：

¡ 密碼組合檢測策略。

¡ 密碼最小長度限製。

¡ 密碼複雜度檢查策略。

· 對於通過NETCONF over SSH、NETCONF over SOAP方式登錄設備的用戶，如果出現以下情況，係統會打印此提醒日誌：

¡ 用戶密碼為弱密碼。

¡ 用戶密碼為缺省密碼。

¡ 全局密碼管理功能開啟後，用戶首次登錄或使用被更改過的密碼。

¡ 用戶密碼已經過期。

僅當以下情況發生時，係統才會停止打印此提醒日誌：

· 關閉了密碼修改周期性提醒日誌功能。

· 用戶密碼修改為符合係統安全要求的密碼。

· 密碼檢查策略相關功能的開啟狀態發生變化，使得密碼檢查策略變得寬鬆。

· 密碼檢查策略的參數設置發生變化。

當前係統中的密碼檢查策略可通過display password-control命令查看。弱密碼檢查使用的密碼組合檢測策略、密碼最小長度限製、密碼複雜度檢查策略可分別通過password-control composition、password-control length、password-control complexity命令修改。關於密碼檢查策略的具體介紹，請參見“安全命令參考”的“Password Control”。

【舉例】

# 開啟密碼修改周期性提醒日誌功能。

<Sysname> system-view

[Sysname] local-server log change-password-prompt

【相關命令】

· display password-control（安全命令參考/Password Control）

· password-control composition（安全命令參考/Password Control）

· password-control length（安全命令參考/Password Control）

1.1.41 nas-id

nas-id命令用來在ISP域視圖下配置NAS-ID。

undo nas-id命令用來恢複缺省情況。

【命令】

nas-id nas-identifier

undo nas-id

【缺省情況】

未配置ISP域下的NAS-ID。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

nas-identifier：NAS-ID名稱，為1～31個字符的字符串，區分大小寫。

【使用指導】

用戶進行RADIUS認證時，係統會獲取設備的NAS-ID來設置RADIUS報文中的NAS-Identifier屬性，該屬性用於向RADIUS服務器標識用戶的接入位置。

【舉例】

# 在ISP域test下配置NAS-ID為test。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] nas-id test

【相關命令】

· aaa nas-id profile

1.1.42 nas-id bind vlan

nas-id bind vlan命令用來設置NAS-ID與VLAN的綁定關係。

undo nas-id bind vlan命令用來刪除指定的NAS-ID和VLAN的綁定關係。

【命令】

nas-id nas-identifier bind vlan vlan-id

undo nas-id nas-identifier bind vlan vlan-id

【缺省情況】

不存在NAS-ID與VLAN的綁定關係。

【視圖】

NAS-ID Profile視圖

【缺省用戶角色】

network-admin

【參數】

nas-identifier：NAS-ID名稱，為1～31個字符的字符串，區分大小寫。

vlan-id：與NAS-ID綁定的VLAN ID，取值範圍為1～4094。

【使用指導】

一個NAS-ID Profile視圖下，可以指定多個NAS-ID與VLAN的綁定關係。

一個NAS-ID可以與多個VLAN綁定，但是一個VLAN隻能與一個NAS-ID綁定。若多次將一個VLAN與不同的NAS-ID進行綁定，則最後的綁定關係生效。

【舉例】

# 在名稱為aaa的NAS-ID Profile視圖下，配置NAS-ID 222與VLAN 2的綁定關係。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2

【相關命令】

· aaa nas-id profile

1.1.43 session-time include-idle-time

session-time include-idle-time命令用來配置設備上傳到服務器的用戶在線時間中保留閑置切斷時間。

undo session-time include-idle-time命令用來恢複缺省情況。

【命令】

session-time include-idle-time

undo session-time include-idle-time

【缺省情況】

設備上傳到服務器的用戶在線時間中扣除閑置切斷時間。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【使用指導】

請根據實際的計費策略決定是否在用戶在線時間中保留閑置切斷時間。該閑置切斷時間在用戶認證成功後由AAA授權，對於Portal認證用戶，若接入接口上開啟了Portal用戶在線探測功能，則Portal在線探測閑置時長為閑置切斷時間。

當用戶正常下線時，設備上傳到服務器上的用戶在線時間為實際在線時間；當用戶異常下線時，上傳到服務器的用戶在線時間具體如下：

· 若配置為保留閑置切斷時間，則上傳到服務器上的用戶在線時間中包含了一定的閑置切斷時間。此時，服務器上記錄的用戶時長將大於用戶實際在線時長。

· 若配置為扣除閑置切斷時間，則上傳到服務器上的用戶在線時間為，閑置切斷檢測機製計算出的用戶已在線時長扣除掉一個閑置切斷時間。此時，服務器上記錄的用戶時長將小於用戶實際在線時長。

【舉例】

# 在ISP域test下，配置設備上傳到服務器的用戶在線時間中保留閑置切斷時間。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] session-time include-idle-time

【相關命令】

· display domain

1.1.44 state (ISP domain view)

state命令用來設置當前ISP域的狀態。

undo state命令用來恢複缺省情況。

【命令】

state { active | block }

undo state

【缺省情況】

當前ISP域處於活動狀態。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

active：指定當前ISP域處於活動狀態，即係統允許該域下的用戶請求網絡服務。

block：指定當前ISP域處於阻塞狀態，即係統不允許該域下的用戶請求網絡服務。

【使用指導】

當某個ISP域處於阻塞狀態時，將不允許該域下的用戶請求網絡服務，但不影響已經在線的用戶。

【舉例】

# 設置當前ISP域test處於阻塞狀態。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] state block

【相關命令】

· display domain

1.1.45 user-address-type

user-address-type命令用來設置當前ISP域的用戶地址類型。

undo user-address-type命令用來恢複缺省情況。

【命令】

user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 }

undo user-address-type

【缺省情況】

未指定當前ISP域的用戶地址類型。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

ds-lite：表示當前用戶的地址類型為輕量級雙棧地址。

ipv6：表示當前用戶的地址類型為IPv6地址。

nat64：表示當前用戶的地址類型為NAT64地址。

private-ds：表示當前用戶的地址類型為私網雙棧地址。

private-ipv4：表示當前用戶的地址類型為私網IPv4地址。

public-ds：表示當前用戶的地址類型為公網雙棧地址。

public-ipv4：表示當前用戶的地址類型為公網IPv4地址。

【使用指導】

當更改當前ISP域的用戶地址類型時，不影響已經在線的用戶。

【舉例】

# 設置當前ISP域用戶地址類型為私網IPv4地址。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] user-address-type private-ipv4

【相關命令】

· display domain

1.2 本地用戶配置命令

1.2.1 access-limit

access-limit命令用來設置使用當前本地用戶名接入設備的最大用戶數。

undo access-limit命令用來恢複缺省情況。

【命令】

access-limit max-user-number

undo access-limit

【缺省情況】

不限製使用當前本地用戶名接入的用戶數。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

max-user-number：表示使用當前本地用戶名接入設備的最大用戶數，取值範圍為1～1024。

【使用指導】

本地用戶視圖下的access-limit命令隻在該用戶采用了本地計費方法的情況下生效。

由於FTP/SFTP/SCP用戶不支持計費，因此FTP/SFTP/SCP用戶不受此屬性限製。

對於網絡接入類本地用戶，建議在用戶接入的ISP域視圖下配置accounting start-fail offline命令，避免計費失敗的用戶上線，以保證access-limit命令限製的準確性。

【舉例】

# 允許同時以本地用戶名abc在線的用戶數為5。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-manage-abc] access-limit 5

【相關命令】

· display local-user

1.2.2 access-user email authentication

access-user email authentication命令用來配置登錄為網絡接入類本地用戶發送Email使用的SMTP服務器所需要的用戶名和密碼。

undo access-user email authentication命令用來恢複缺省情況。

【命令】

access-user email authentication username user-name password { cipher | simple } string

undo access-user email authentication

【缺省情況】

未配置登錄SMTP服務器的用戶名和密碼。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

username user-name：登錄用戶名。其中，user-name為1～63個字符的字符串，區分大小寫。

password：登錄密碼。

cipher：以密文方式設置密碼。

simple：以明文方式設置密碼，該密碼將以密文形式存儲。

string：密碼字符串，區分大小寫。其中，明文密碼為1～63個字符的字符串，密文密碼為1～117個字符的字符串。

【使用指導】

如果登錄SMTP郵箱服務器時需要提供提登錄用戶名和密碼，則必須通過本配置設置相應的登錄用戶名和密碼。

多次執行本命令，最後一次執行的命令生效。

【舉例】

# 配置登錄為網絡接入類本地用戶發送Email使用的SMTP服務器所需要的用戶名為abc、密碼為明文123。

<Sysname> system-view

[Sysname] access-user email authentication username abc password simple 123

【相關命令】

· access-user email format

· access-user email sender

· access-user email smtp-server

1.2.3 access-user email format

access-user email format命令用來配置網絡接入類本地用戶通知郵件的主題和內容。

undo access-user email format命令用來恢複缺省情況。

【命令】

access-user email format { body body-string | subject sub-string }

undo access-user email format { body | subject }

【缺省情況】

缺省郵件主題：Password reset notification。

缺省郵件內容：

A random password has been generated for your account.

Username: xxx

Password: yyy

Validity: YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss

其中，xxx為用戶名，yyy為用戶密碼，YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss為用戶賬戶有效期。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

body body-string：郵件的內容。其中，body-string為1～255個字符的字符串，區分大小寫。

subject sub-string：郵件的主題。其中，sub-string為1～127個字符的字符串，區分大小寫。

【使用指導】

管理員通過Web頁麵創建網絡接入類本地用戶、重置網絡接入類用戶密碼時，如果由設備為用戶生成隨機密碼，設備將在生成隨機密碼後向用戶發送通知郵件告知為其生成的隨機密碼，該通知郵件的主題和內容通過本命令設置。

實際發送的郵件內容將包括設置的body-string與如下三項固定內容：

Username: xxx

Password: yyy

Validity: YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss

其中，xxx為用戶名，yyy為用戶密碼，YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss為用戶賬戶有效期。

多次執行本命令，最後一次執行的命令生效。

【舉例】

# 配置網絡接入類本地用戶通知郵件的主題和內容。

<Sysname> system-view

[Sysname] access-user email format subject new password setting

[Sysname] access-user email format body The username, password, and validity period of the account are given below.

【相關命令】

· access-user email authentication

· access-user email sender

· access-user email smtp-server

1.2.4 access-user email sender

access-user email sender命令用來配置網絡接入類本地用戶通知郵件的發件人地址。

undo access-user email sender命令用來恢複缺省情況。

【命令】

access-user email sender email-address

undo access-user email sender

【缺省情況】

未配置網絡接入類本地用戶通知郵件的發件人地址。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

email-address：郵件發件人地址，為1～255個字符的字符串，區分大小寫，必須且最多隻能攜帶一個“@”符號，不能僅為“@”。

【使用指導】

未配置發件人地址的情況下，設備無法向任何收件人發送關於網絡接入類本地用戶的通知郵件。

隻能存在一個網絡接入類本地用戶的發件人地址。多次執行本命令，最後一次執行的命令生效。

【舉例】

# 配置網絡接入類本地用戶通知郵件的發件人地址為[email protected]。

<Sysname> system-view

[Sysname] access-user email sender [email protected]

【相關命令】

· access-user email authentication

· access-user email format

· access-user email smtp-server

1.2.5 access-user email smtp-server

access-user email smtp-server命令用來配置為網絡接入類本地用戶發送Email使用的SMTP服務器。

undo access-user email smtp-server命令用來恢複缺省情況。

【命令】

access-user email smtp-server url-string

undo access-user email smtp-server

【缺省情況】

未配置為網絡接入類本地用戶發送Email使用的SMTP服務器。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

url-string：STMP服務器的URL，為1～255個字符的字符串，區分大小寫，符合標準SMTP協議規範，以smtp://開頭。

【使用指導】

隻能存在一個發送Email使用的SMTP服務器。多次執行本命令，最後一次執行的命令生效。

【舉例】

# 配置為網絡接入類本地用戶發送Email使用的SMTP服務器URL為smtp://www.test.com/smtp。

<Sysname> system-view

[Sysname] access-user email smtp-server smtp://www.test.com/smtp

【相關命令】

· access-user email authentication

· access-user email format

· access-user email sender

1.2.6 authorization-attribute (Local user view/user group view)

authorization-attribute命令用來設置本地用戶或用戶組的授權屬性，該屬性在本地用戶認證通過之後，由設備下發給用戶。

undo authorization-attribute命令用來刪除指定的授權屬性，恢複用戶具有的缺省訪問權限。

【命令】

authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minutes | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | sslvpn-policy-group group-name | url url-string | user-profile profile-name | user-role role-name | vlan vlan-id | work-directory directory-name } *

undo authorization-attribute { acl | callback-number | idle-cut | ip | ip-pool | ipv6 | ipv6-pool | ipv6-prefix | primary-dns | secondary-dns| session-timeout | sslvpn-policy-group | url | user-profile | user-role role-name | vlan | work-directory } *

【缺省情況】

授權FTP/SFTP/SCP用戶可以訪問的目錄為設備的根目錄，但無訪問權限。

由用戶角色為network-admin或level-15的用戶創建的本地用戶被授權用戶角色network-operator。

【視圖】

本地用戶視圖

用戶組視圖

【缺省用戶角色】

network-admin

【參數】

acl acl-number：指定本地用戶的授權ACL。其中，acl-number為授權ACL的編號，為2000～4999。與授權ACL規則匹配的流量，將按照規則中指定的permit或deny動作進行處理。

callback-number callback-number：指定本地用戶的授權PPP回呼號碼。其中，callback-number為1～64個字符的字符串，區分大小寫。本地用戶認證成功後，設備將可以使用該用戶的授權PPP回呼號碼向PPP協商的對端設備發起回呼。

idle-cut minutes：設置本地用戶的閑置切斷時間。其中，minutes為設定的閑置切斷時間，取值範圍為1～120，單位為分鍾。如果用戶在線後連續閑置的時長超過該值，設備會強製該用戶下線。

ip ipv4-address：指定本地用戶的靜態IP地址。本地用戶認證成功後，將允許使用該IP地址。該授權屬性隻能在本地用戶視圖下配置，不能在本地用戶組視圖下配置。

ip-pool ipv4-pool-name：指定本地用戶的IPv4地址池信息。本地用戶認證成功後，將允許使用該IPv4地址池分配地址。其中，ipv4-pool-name表示地址池名稱，為1～63個字符的字符串，不區分大小寫。

ipv6 ipv6-address：指定本地用戶的靜態IPv6地址。本地用戶認證成功後，將允許使用該IPv6地址。該授權屬性隻能在本地用戶視圖下配置，不能在本地用戶組視圖下配置。

ipv6-pool ipv6-pool-name：指定本地用戶的IPv6地址池信息。本地用戶認證成功後，將允許使用該IPv6地址池分配地址。其中，ipv6-pool-name表示地址池名稱，為1～63個字符的字符串，不區分大小寫。

ipv6-prefix ipv6-prefix prefix-length：指定本地用戶的IPv6前綴信息。ipv6-prefix prefix-length為前綴地址和前綴長度，前綴長度取值範圍是1～128，不支持::/128、::1/128、FE80::/10以及組播類型的前綴取值。本地用戶認證成功後，將允許使用該IPv6前綴。

primary-dns ip ipv4-address：指定本地用戶的主DNS服務器IPv4地址。本地用戶認證成功後，將被授權使用該主DNS服務器。

primary-dns ipv6 ipv6-address：指定本地用戶的主DNS服務器IPv6地址。本地用戶認證成功後，將被授權使用該主DNS服務器。

secondary-dns ip ipv4-address：指定本地用戶的從DNS服務器IPv4地址。本地用戶認證成功後，將被授權使用該從DNS服務器。

secondary-dns ipv6 ipv6-address：指定本地用戶的從DNS服務器IPv6地址。本地用戶認證成功後，將被授權使用該從DNS服務器。

session-timeout minutes：設置本地用戶的會話超時時間。其中，minutes為設定的會話超時時間，取值範圍為1～1440，單位為分鍾。如果用戶在線時長超過該值，設備會強製該用戶下線。

sslvpn-policy-group group-name：指定本地用戶所引用的SSL VPN策略組名，其中，group-name為1～31個字符的字符串，不區分大小寫。關於SSL VPN策略組的詳細介紹請參見“安全配置指導”中的“SSL VPN”。

url url-string：指定本地用戶的重定向URL。其中，url-string為1～255個字符的字符串，區分大小寫，且必須攜帶http://或https://前綴才可生效。重定向URL主要用於Web頁麵推送，例如，用戶認證成功後首次訪問網絡時用於推送廣告、通知類頁麵，或者用戶欠費時將用於推送欠費提醒頁麵。此屬性隻對IPoE和lan-access用戶生效，且對於IPoE用戶僅使用80或443端口號的URL生效。

user-profile profile-name：指定本地用戶的授權User Profile。其中，profile-name表示User Profile名稱，為1～31個字符的字符串，隻能包含英文字母[a-z,A-Z]、數字、下劃線、連字符，且必須以英文字母或數字開頭，但不能為純數字，區分大小寫。當用戶認證成功後，其訪問行為將受到User Profile中的預設配置的限製。關於User Profile的詳細介紹請參見“安全配置指導”中的“User Profile”。

user-role role-name：指定本地用戶的授權用戶角色。其中，role-name表示用戶角色名稱，為1～63個字符的字符串，區分大小寫。可以為每個用戶最多指定64個用戶角色。本地用戶角色的相關命令請參見“基礎配置命令參考”中的“RBAC”。該授權屬性隻能在本地用戶視圖下配置，不能在本地用戶組視圖下配置。

vlan vlan-id：指定本地用戶的授權VLAN。其中，vlan-id為VLAN編號，取值範圍為1～4094。本地用戶認證成功後，將被授權僅可以訪問指定VLAN內的網絡資源。

work-directory directory-name：授權FTP/SFTP/SCP用戶可以訪問的目錄。其中，directory-name表示FTP/SFTP/SCP用戶可以訪問的目錄，為1～255個字符的字符串，不區分大小寫，且該目錄必須已經存在。

【使用指導】

可配置的授權屬性都有其明確的使用環境和用途，請針對用戶的服務類型配置對應的授權屬性：

· 對於PPP用戶，僅授權屬性callback-number、idle-cut、ip、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-timeout、user-profile有效。

· 對於Portal用戶，僅授權屬性idle-cut、ip-pool、ipv6-pool、session-timeout、user-profile、acl有效。

· 對於lan-access用戶，僅授權屬性acl、idle-cut、session-timeout、url、user-profile、vlan有效。其中，屬性idle-cut目前僅適用於無線用戶。

· 對於Telnet、Terminal、SSH用戶，僅授權屬性user-role有效。

· 對於http、https用戶，僅授權屬性user-role有效。

· 對於FTP用戶，僅授權屬性user-role、work-directory有效。

· 對於SSL VPN用戶，僅授權屬性sslvpn-policy-group有效。

· 對於IKE用戶，僅授權屬性ip-pool、ip、ipv6有效。

· 對於其它類型的本地用戶，所有授權屬性均無效。

用戶組的授權屬性對於組內的所有本地用戶生效，因此具有相同屬性的用戶可通過加入相同的用戶組來統一配置和管理。

本地用戶視圖下未配置的授權屬性繼承所屬用戶組的授權屬性配置，但是如果本地用戶視圖與所屬的用戶組視圖下都配置了某授權屬性，則本地用戶視圖下的授權屬性生效。

指定授權ACL時，需要注意的是：

· 授權給Portal用戶的ACL中不能配置攜帶用戶源IP地址和源MAC地址信息的規則，否則會導致用戶上線失敗。

為確保本地用戶僅使用本命令指定的授權用戶角色，請先使用undo authorization-attribute user-role命令刪除該用戶已有的缺省用戶角色。

被授權安全日誌管理員的本地用戶登錄設備後，僅可執行安全日誌文件管理相關的命令以及安全日誌文件操作相關的命令，具體命令可通過display role name security-audit命令查看。安全日誌文件管理相關命令的介紹，請參見“設備管理命令參考”中的“信息中心”。文件係統管理相關命令的介紹，請參見“基礎配置命令參考”中的“文件係統管理”。

為本地用戶授權安全日誌管理員角色時，需要注意的是：

· 安全日誌管理員角色和其它用戶角色互斥：

¡ 為一個用戶授權安全日誌管理員角色時，係統會通過提示信息請求確認是否刪除當前用戶的所有其它他用戶角色；

¡ 如果已經授權當前用戶安全日誌管理員角色，再授權其它的用戶角色時，係統會通過提示信息請求確認是否刪除當前用戶的安全日誌管理員角色。

· 係統中的最後一個安全日誌管理員角色的本地用戶不可被刪除。

為本地用戶授權system-admin、security-admin、audit-admin角色時，需要注意的是：

· 被授權此類角色的本地用戶登錄設備後，僅有執行指定Web頁麵的操作權限，以及執行ping和tracert命令的命令行權限，具體權限介紹請參見“基礎配置指導”中的“RBAC”。

· 這些角色和其它用戶角色互斥，且彼此之間也互斥。為一個用戶授權用戶角色時，係統會通過提示信息請求確認是否刪除與當前用戶角色互斥的其它用戶角色。

【舉例】

# 配置網絡接入類本地用戶abc的授權VLAN為VLAN 2。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] authorization-attribute vlan 2

# 配置用戶組abc的授權VLAN為VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

# 配置設備管理類本地用戶xyz的授權用戶角色為security-audit（安全日誌管理員）。

<Sysname> system-view

[Sysname] local-user xyz class manage

[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit

This operation will delete all other roles of the user. Are you sure? [Y/N]:y

【相關命令】

· display local-user

· display user-group

1.2.7 bind-attribute

bind-attribute命令用來設置用戶的綁定屬性。

undo bind-attribute命令用來刪除指定的用戶綁定屬性。

【命令】

bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location interface interface-type interface-number | mac mac-address | vlan vlan-id } *

undo bind-attribute { call-number | ip | location | mac | vlan } *

【缺省情況】

未設置用戶的綁定屬性。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

call-number call-number：指定PPP用戶認證的主叫號碼。其中call-number為1～64個字符的字符串。該綁定屬性僅適用於PPP用戶。

subcall-number：指定子主叫號碼。如果配置了子主叫號碼，則主叫號碼與子主叫號碼的總長度不能大於62個字符。

ip ip-address：指定用戶的IP地址。該綁定屬性僅適用於lan-access類型中的802.1X用戶。

location interface interface-type interface-number：指定用戶綁定的接口。其中interface-type interface-number表示接口類型和接口編號。如果用戶接入的接口與此處綁定的接口不一致，則認證失敗。該綁定屬性僅適用於lan-access、PPP、Portal類型的用戶。

mac mac-address：指定用戶的MAC地址。其中，mac-address為H-H-H格式。該綁定屬性僅適用於lan-access、PPP、Portal類型的用戶。

vlan vlan-id：指定用戶所屬於的VLAN。其中，vlan-id為VLAN編號，取值範圍為1～4094。該綁定屬性僅適用於lan-access、PPP、Portal類型的用戶。

【使用指導】

設備對用戶進行本地認證時，會檢查用戶的實際屬性與配置的綁定屬性是否一致，如果不一致或用戶未攜帶該綁定屬性則認證失敗。

綁定屬性的檢測不區分用戶的接入服務類型，因此在配置綁定屬性時要考慮某接入類型的用戶是否需要綁定某些屬性。例如，隻有支持IP地址上傳功能的802.1X認證用戶才可以配置綁定IP地址；對於不支持IP地址上傳功能的MAC地址認證用戶，如果配置了綁定IP地址，則會導致該用戶的本地認證失敗。

在綁定接口屬性時要考慮綁定接口類型是否合理。對於不同接入類型的用戶，請按照如下方式進行綁定接口屬性的配置：

· 802.1X用戶：配置綁定的接口為開啟802.1X的二層以太網接口。

· MAC地址認證用戶：配置綁定的接口為開啟MAC地址認證的二層以太網接口。

· Portal用戶：若使能Portal的接口為VLAN接口，且沒有通過portal roaming enable命令配置Portal用戶漫遊功能，則配置綁定的接口為用戶實際接入的二層以太網接口；其它情況下，配置綁定的接口均為使能Portal的接口。

【舉例】

# 配置網絡接入類本地用戶abc的綁定MAC地址為11-11-11。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] bind-attribute mac 11-11-11

【相關命令】

· display local-user

1.2.8 company

company命令用來配置本地來賓用戶所屬公司。

undo company命令用來恢複缺省情況。

【命令】

company company-name

undo company

【缺省情況】

未配置本地來賓用戶所屬公司。

【視圖】

本地來賓用戶視圖

【缺省用戶角色】

network-admin

【參數】

company-name：本地來賓用戶所屬公司名稱，為1～255個字符的字符串，區分大小寫。

【舉例】

# 配置本地來賓用戶abc所屬的公司名稱為yyy。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] company yyy

【相關命令】

· display local-user

1.2.9 description

description命令用來配置網絡接入類本地用戶的描述信息。

undo description命令用來恢複缺省情況。

【命令】

description text

undo description

【缺省情況】

未配置網絡接入類本地用戶的描述信息。

【視圖】

網絡接入類本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

text：用戶的描述信息，為1～127個字符的字符串，區分大小寫。

【使用指導】

如果將本地用戶的描述信息取值為固定字符串#user_from_server#，則表示對該用戶進行了特殊標識，使其能夠在設備的Web管理頁麵上被用於指定用途的顯示和管理，具體用途請以Web管理界麵上的實現為準。

【舉例】

# 配置網絡接入類本地用戶123的描述信息為Manager of MSC company。

<Sysname> system-view

[Sysname] local-user 123 class network

[Sysname-luser-network-123] description Manager of MSC company

【相關命令】

· display local-user

1.2.10 display local-guest waiting-approval

display local-guest waiting-approval命令用來顯示待審批來賓用戶注冊信息。

【命令】

display local-guest waiting-approval [ user-name user-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

user-name user-name：來賓用戶名稱，為1～55個字符的字符串，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能為“a”、“al”或“all”。若用戶名中攜帶域名，則格式為“純用戶名@域名”，其中，純用戶名區分大小寫，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，並且不能為“a”、“al”或“all”；域名不區分大小寫，不能包含符號“@”。若不指定該參數，則表示所有來賓用戶。

【使用指導】

來賓可以通過Web頁麵注冊為本地來賓用戶，由來賓管理員對注冊信息進行審批並補充用戶信息，審批同意後，設備上將會創建相應的本地來賓用戶，來賓可使用該用戶接入訪問網絡。來賓管理員通過display命令可查詢待審批來賓用戶的注冊信息。

【舉例】

# 顯示所有待審批來賓用戶的注冊信息。

<Sysname> display local-guest waiting-approval

Total 1 guest informations matched.

Guest user Smith:

Full name : Smith Li

Company : YYY

Email : [email protected]

Phone : 139189301033

Description: The employee of YYY company

表1-2 display local-user-guest waiting-approval命令顯示信息描述表

字段	描述
Total 1 guest informations matched.	總計有1個來賓用戶信息匹配
Full name	來賓用戶的姓名全稱
Company	來賓用戶的公司名稱
Email	來賓用戶的Email地址
Phone	來賓用戶的電話
Description	來賓用戶的描述信息

【相關命令】

· reset local-guest waiting-approval

1.2.11 display local-user

display local-user命令用來顯示本地用戶的配置信息和在線用戶數的統計信息。

【命令】

display local-user [ class { manage | network [ guest ] } | idle-cut { disable | enable } | service-type {| ftp | http | https | ike | lan-access | portal | ppp | ssh | sslvpn | telnet | terminal } | state { active | block } | user-name user-name class { manage | network [ guest ] } | vlan vlan-id ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

class：顯示指定用戶類別的本地用戶信息。

manage：設備管理類用戶。

network：網絡接入類用戶。

guest：來賓用戶。

idle-cut { disable | enable }：顯示開啟或關閉閑置切斷功能的本地用戶信息。其中，disable表示未啟用閑置切斷功能的本地用戶；enable表示啟用了閑置切斷功能並配置了閑置切斷時間的本地用戶。

service-type：顯示指定用戶類型的本地用戶信息。

· ftp：FTP用戶。

· http：HTTP用戶。

· https：HTTPS用戶。

· ike：IKE擴展認證用戶。

· lan-access：lan-access類型用戶（主要指以太網接入用戶，比如802.1X用戶）。

· portal：Portal用戶。

· ppp：PPP用戶。

· ssh：SSH用戶。

· sslvpn：SSL VPN用戶。

· telnet：Telnet用戶。

· terminal：從Console口登錄的終端用戶。

state { active | block }：顯示處於指定狀態的本地用戶信息。其中，active表示用戶處於活動狀態，即係統允許該用戶請求網絡服務；block表示用戶處於阻塞狀態，即係統不允許用戶請求網絡服務。

user-name user-name：顯示指定用戶名的本地用戶信息。其中，user-name為1～55個字符的字符串，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能為“a”、“al”或“all”。若本地用戶名中攜帶域名，則格式為“純用戶名@域名”，其中，純用戶名區分大小寫，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，並且不能為“a”、“al”或“all”；域名不區分大小寫，不能包含符號“@”。

vlan vlan-id：顯示指定VLAN內的所有本地用戶信息。其中，vlan-id為VLAN編號，取值範圍為1～4094。

【使用指導】

如果不指定任何參數，則顯示所有本地用戶信息。

【舉例】

# 顯示所有本地用戶的相關信息。

<Sysname> display local-user

Device management user root:

State: Active

Service type: SSH/Telnet/Terminal

Access limit: Enabled Max access number: 3

Current access number: 1

User group: system

Bind attributes:

Authorization attributes:

Work directory: flash:

User role list: network-admin

Password control configurations:

Password aging: 3 days

Password history was last reset: 0 days ago

Network access user jj:

State: Active

Service type: LAN access

User group: system

Bind attributes:

IP address: 2.2.2.2

Location bound: GigabitEthernet1/0/1

MAC address: 0001-0001-0001

VLAN ID: 2

Authorization attributes:

Idle timeout: 33 minutes

Work directory: flash:

ACL number: 2000

User profile: pp

User role list: network-operator, level-0, level-3

SSL VPN policy group: spg

Description: A network access user

Validity period:

Start date and time: 2016/01/01-00:01:01

Expiration date and time:2019/12/01-01:01:01

Password control configurations:

Password length: 4 characters

Network access guest user user1:

State: Active

Service type: LAN access/Portal

User group: guest1

Full name: Jack

Company: cc

Email: [email protected]

Phone: 131129237

Description: A guest from company cc

Sponsor full name: Sam

Sponsor department: security

Sponsor email: [email protected]

Description: A guest from company cc

Validity period:

Start date and time: 2016/04/01-08:00:00

Expiration date and time:2019/12/03-18:00:00

Total 3 local users matched.

表1-3 display local-user命令顯示信息描述表

字段	描述
State	本地用戶狀態 · Active：活動狀態 · Block：阻塞狀態
Service type	本地用戶使用的服務類型
Access limit	是否對使用該用戶名的接入用戶數進行限製
Max access number	最大接入用戶數
Current access number	使用該用戶名的當前接入用戶數
User group	本地用戶所屬的用戶組
Bind attributes	本地用戶的綁定屬性
IP address	本地用戶的IP地址
Location bound	本地用戶綁定的端口
MAC address	本地用戶的MAC地址
VLAN ID	本地用戶綁定的VLAN
Authorization attributes	本地用戶的授權屬性
Idle timeout	本地用戶閑置切斷時間（單位為分鍾）
Session-timeout	本地用戶的會話超時時間（單位為分鍾）
Callback number	本地用戶的授權PPP回呼號碼
Work directory	FTP/SFTP/SCP用戶可以訪問的目錄
ACL number	本地用戶授權ACL
VLAN ID	本地用戶授權VLAN
User profile	本地用戶授權User Profile
User role list	本地用戶的授權用戶角色列表
IP pool	本地用戶的授權IPv4地址池
SSL VPN policy group	本地用戶的授權SSL VPN策略組
IP address	本地用戶的授權IPv4地址
IPv6 address	本地用戶的授權IPv6地址
IPv6 prefix	本地用戶的授權IPv6前綴
IPv6 pool	本地用戶的授權IPv6地址池
Primary DNS server	本地用戶的授權主DNS服務器IPv4地址
Secondary DNS server	本地用戶的授權從DNS服務器IPv4地址
Primary DNSV6 server	本地用戶的授權主DNS服務器IPv6地址
Secondary DNSV6 server	本地用戶的授權從DNS服務器IPv6地址
URL	本地用戶的授權PADM URL
Password control configurations	本地用戶的密碼控製屬性
Password aging	密碼老化時間
Password length	密碼最小長度
Password composition	密碼組合策略（密碼元素的組合類型、至少要包含每種元素的個數）
Password complexity	密碼複雜度檢查策略（是否包含用戶名或者顛倒的用戶名；是否包含三個或以上相同字符）
Maximum login attempts	用戶最大登錄嚐試次數
Action for exceeding login attempts	登錄嚐試次數達到設定次數後的用戶賬戶鎖定行為
Password history was last reset	上一次清除密碼曆史記錄的時間
Full name	本地來賓用戶的姓名
Company	本地來賓用戶的公司
Email	本地來賓用戶的Email地址
Phone	本地來賓用戶的電話號碼
Sponsor full name	本地來賓用戶接待人的姓名
Sponsor department	本地來賓用戶接待人所屬部門
Sponsor email	本地來賓用戶接待人的Email地址
Description	網絡接入類本地用戶的描述信息
Validity period	網絡接入類本地用戶有效期
Start date and time	網絡接入類本地用戶開始生效的日期和時間
Expiration date and time	網絡接入類本地用戶的失效日期和時間
Total x local users matched.	總計有x個本地用戶匹配

‌

1.2.12 display user-group

display user-group命令用來顯示用戶組的配置信息。

【命令】

display user-group { all | name group-name [ byod-authorization ] } [ identity-member { all | group | user } ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

all：顯示所有用戶組的配置信息。

name group-name：顯示指定用戶組的配置。group-name表示用戶組名稱，為1～32個字符的字符串，不區分大小寫。

byod-authorization：顯示基於終端類型的授權屬性信息。若不指定該參數，則不顯示基於終端類型的授權屬性信息，僅顯示否是配置了基於終端類型的授權屬性。

【舉例】

# 顯示所有用戶組的相關配置。

<Sysname> display user-group all

Total 2 user groups matched.

User group: system

Authorization attributes:

Work directory: flash:

BYOD authorization attributes: Configured

User group: jj

Authorization attributes:

Idle timeout: 2 minutes

Callback number: 2:2

Work directory: flash:/

ACL number: 2000

VLAN ID: 2

User profile: pp

BYOD authorization attributes: Not configured

Password control configurations:

Password aging: 2 days

表1-4 display user-group命令顯示信息描述表

字段	描述
Total x user groups matched.	總計有x個用戶組匹配
User group	用戶組名稱
Authorization attributes	授權屬性信息
Idle timeout	閑置切斷時間（單位：分鍾）
Session-timeout	會話超時時間（單位：分鍾）
Callback number	PPP回呼號碼
Work directory	FTP/SFTP/SCP用戶可以訪問的目錄
ACL number	授權ACL號
VLAN ID	授權VLAN ID
User profile	授權User Profile名稱
IP pool	授權IPv4地址池
IPv6 prefix	授權IPv6前綴
IPv6 pool	授權IPv6地址池
Primary DNS server	授權主DNS服務器IPv4地址
Secondary DNS server	授權從DNS服務器IPv6地址
Primary DNSV6 server	授權主DNS服務器IPv6地址
Secondary DNSV6 server	授權從DNS服務器IPv6地址
URL	授權PADM URL
VPN instance	（暫不支持）授權VPN實例
BYOD authorization attributes	BYOD授權屬性信息
Password control configurations	用戶組的密碼控製屬性
Password aging	密碼老化時間
Password length	密碼最小長度
Password composition	密碼組合策略（密碼元素的組合類型、至少要包含每種元素的個數）
Password complexity	密碼複雜度檢查策略（是否包含用戶名或者顛倒的用戶名；是否包含三個或以上相同字符）
Maximum login attempts	用戶最大登錄嚐試次數
Action for exceeding login attempts	登錄嚐試次數達到設定次數後的用戶帳戶鎖定行為

‌

1.2.13 email

email命令用來配置本地來賓用戶的Email地址。

undo email命令用來恢複缺省情況。

【命令】

email email-string

undo email

【缺省情況】

未配置本地來賓用戶的Email地址。

【視圖】

本地來賓用戶視圖

【缺省用戶角色】

network-admin

【參數】

email-string：本地來賓用戶的Email地址，為1～255個字符的字符串，區分大小寫，必須且最多隻能攜帶一個“@”符號，不能僅為“@”。

【使用指導】

設備可以通過本命令配置的Email地址給來賓用戶發送通知郵件。

【舉例】

# 配置本地來賓用戶abc的Email地址為[email protected]。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] email [email protected]

【相關命令】

· display local-user

1.2.14 full-name

full-name命令用來配置本地來賓用戶的姓名。

undo full-name命令用來恢複缺省情況。

【命令】

full-name name-string

undo full-name

【缺省情況】

未配置本地來賓用戶的姓名。

【視圖】

本地來賓用戶視圖

【缺省用戶角色】

network-admin

【參數】

name-string：本地來賓用戶的姓名，為1～255個字符的字符串，區分大小寫。

【舉例】

# 配置本地來賓用戶abc的姓名為abc Snow。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] full-name abc Snow

【相關命令】

· display local-user

1.2.15 group

group命令用來設置本地用戶所屬的用戶組。

undo group命令用來恢複缺省配置。

【命令】

group group-name

undo group

【缺省情況】

本地用戶屬於用戶組system。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

group-name：用戶組名稱，為1～32個字符的字符串，不區分大小寫。

【舉例】

# 設置設備管理類本地用戶111所屬的用戶組為abc。

<Sysname> system-view

[Sysname] local-user 111 class manage

[Sysname-luser-manage-111] group abc

【相關命令】

· display local-user

1.2.16 identity-group

identity-group命令用來將網絡接入類本地用戶加入身份識別用戶組。

undo identity-group命令用來將網絡接入類本地用戶從指定的身份識別用戶組中刪除。

【命令】

identity-group group-name

undo identity-group [ group-name ]

【缺省情況】

用戶未加入身份識別用戶組。

【視圖】

網絡接入類本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

group-name：身份識別用戶組名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

在身份識別業務中，可以將用戶加入到身份識別用戶組中進行統一管理，我們將這樣的組稱為身份識別用戶組。

一個用戶可以加入多個身份識別用戶組。

如果將用戶成功加入了某身份識別用戶組，係統會自動在該用戶組視圖下添加該用戶為身份識別成員，即自動實現用戶和用戶組之間引用關係的配置同步。

如果undo identity-group命令中不指定group-name參數，則表示將用戶從所加入的所有身份識別用戶組中刪除。

【舉例】

# 將網絡接入類本地用戶user1加入身份識別用戶組group1。

<Sysname> system-view

[Sysname] local-user user1 class network

[Sysname-luser-network-user1] identity-group group1

【相關命令】

· identity-member

· user-group

1.2.17 identity-member

identity-member命令用來配置用戶組中的身份成員。

undo identity-member命令用來從用戶組中刪除指定的身份成員。

【命令】

identity-member { group group-name | user user-name }

undo identity-member { group [ group-name ] | user [ user-name ] }

【缺省情況】

用戶組中不存在身份成員。

【視圖】

用戶組視圖

【缺省用戶角色】

network-admin

【參數】

group group-name：表示用戶組類型的身份成員。group-name表示用戶組名，為1～32個字符的字符串，不區分大小寫。要添加的成員用戶組不能為所屬的用戶組，即用戶組之間的從屬關係必須單向，不能形成循環嵌套關係。該成員用戶組中還可以添加其它的用戶組，它們與所屬的組共同形成多級樹形組織關係。

user user-name：表示用戶類型的身份成員。user-name表示用戶名，為1～55個字符的字符串，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能為“a”、“al”或“all”。若用戶名中攜帶域名，則格式為“純用戶名@域名”，其中，純用戶名區分大小寫，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，並且不能為“a”、“al”或“all”；域名不區分大小寫，不能包含符號“@”。該用戶隻能為網絡接入類型的本地用戶。

【使用指導】

向用戶組中添加身份成員是將具有共同身份識別業務需求的用戶或用戶組加入同一用戶組。

如果在指定的用戶組視圖下成功添加了某用戶，且該用戶已經存在於係統中，係統會自動在該用戶視圖下添加一條加入指定用戶組的配置，即實現用戶和用戶組之間引用關係的配置同步。

執行undo identity-member命令時，若不指定user-name參數，則表示從用戶組中刪除所有用戶類型的身份成員；若不指定group-name參數，則表示從用戶組中刪除所有用戶組類型的身份成員。

如果用戶組已經被某安全策略規則引用，請避免在這種引用關係存在的情況下，從該用戶組中將其身份成員用戶組刪除，導致安全策略規則因為所引用的用戶組的多級樹形關係中斷，而無法正常匹配用戶流量。

【舉例】

# 向用戶組group1中添加兩個身份成員：用戶user1，用戶組group2。

<Sysname> system-view

[Sysname] user-group group1

[Sysname-ugroup-group1] identity-member user user1

[Sysname-ugroup-group1] identity-member group group2

【相關命令】

· display user-group

· identity-group

1.2.18 local-guest auto-delete enable

local-guest auto-delete enable命令用來開啟來賓用戶過期自動刪除功能。

undo local-guest auto-delete enable命令用來恢複缺省情況。

【命令】

local-guest auto-delete enable

undo local-guest auto-delete enable

【缺省情況】

來賓用戶過期自動刪除功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

來賓用戶過期自動刪除功能處於開啟狀態時，設備會在來賓用戶有效期結束後自動刪除用戶。

【舉例】

# 開啟來賓用戶過期自動刪除功能。

<Sysname> system-view

[Sysname] local-guest auto-delete enable

【相關命令】

· validity-datatime

1.2.19 local-guest email format

local-guest email format命令用來配置本地來賓用戶通知郵件的主題和內容。

undo local-guest email format命令用來刪除指定的本地來賓用戶通知郵件的主題和內容。

【命令】

local-guest email format to { guest | manager | sponsor } { body body-string | subject sub-string }

undo local-guest email format to { guest | manager | sponsor } { body | subject }

【缺省情況】

未配置本地來賓用戶通知郵件的主題和內容。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

to：指定郵件的收件人。

· guest：表示來賓用戶。

· manager：表示來賓管理員。

· sponsor：表示來賓接待人。

body body-string：郵件的內容。其中，body-string為1～255個字符的字符串，區分大小寫。

subject sub-string：郵件的主題。其中，sub-string為1～127個字符的字符串，區分大小寫。

【使用指導】

在本地來賓用戶注冊、創建過程中，設備需要向不同角色的用戶發送通知郵件，郵件的主題和內容通過本命令設置，例如，本地來賓用戶通過Web頁麵完成賬戶注冊之後，設備會向來賓管理員發送該用戶的審批申請郵件；本地來賓用戶創建之後，設備會向本地來賓用戶或來賓接待人郵箱發送注冊成功通知郵件。

可對不同的收件人指定不同的郵件主題和內容。同一類收件人的郵件格式隻能存在一種配置，新配置將覆蓋已有配置。

必須同時配置收件人的郵件主題和內容，否則設備不會給該收件人發送郵件。

【舉例】

# 配置本地來賓用戶通知郵件的主題和內容。

<Sysname> system-view

[Sysname] local-guest email format to guest subject Guest account information

[Sysname] local-guest email format to guest body A guest account has been created for you. The username, password, and validity period of the account are given below.

【相關命令】

· local-guest email sender

· local-guest email smtp-server

· local-guest manager-email

· local-guest send-email

1.2.20 local-guest email sender

local-guest email sender命令用來配置本地來賓用戶通知郵件的發件人地址。

undo local-guest email sender命令用來恢複缺省情況。

【命令】

local-guest email sender email-address

undo local-guest email sender

【缺省情況】

未配置本地來賓用戶通知郵件的發件人地址。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

email-address：郵件發件人地址，為1～255個字符的字符串，區分大小寫，必須且最多隻能攜帶一個“@”符號，不能僅為“@”。

【使用指導】

未配置發件人地址的情況下，設備無法向任何收件人發送關於本地來賓用戶的通知郵件。

隻能存在一個本地來賓用戶的發件人地址。多次執行本命令，最後一次執行的命令生效。

【舉例】

# 配置本地來賓用戶通知郵件的發件人地址為[email protected]。

<Sysname> system-view

[Sysname] local-guest email sender [email protected]

【相關命令】

· local-guest email format

· local-guest email smtp-server

· local-guest manager-email

· local-guest send-email

1.2.21 local-guest email smtp-server

local-guest email smtp-server命令用來配置為本地來賓用戶發送Email使用的SMTP服務器。

undo local-guest send-email smtp-server命令用來恢複缺省情況。

【命令】

local-guest email smtp-server url-string

undo local-guest email smtp-server

【缺省情況】

未配置為本地來賓用戶發送Email使用的SMTP服務器。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

url-string：STMP服務器的URL，為1～255個字符的字符串，區分大小寫，符合標準SMTP協議規範，以smtp://開頭。

【使用指導】

隻能存在一個為本地來賓用戶發送Email使用的SMTP服務器。多次執行本命令，最後一次執行的命令生效。

【舉例】

# 配置為本地來賓用戶發送Email使用的SMTP服務器URL為smtp://www.test.com/smtp。

<Sysname> system-view

[Sysname] local-guest email smtp-server smtp://www.test.com/smtp

【相關命令】

· local-guest email format

· local-guest email sender

· local-guest manager-email

· local-guest send-email

1.2.22 local-guest generate

local-guest generate命令用來批量創建本地來賓用戶。

【命令】

local-guest generate username-prefix name-prefix [ password-prefix password-prefix ] suffix suffix-number [ group group-name ] count user-count validity-datetime start-date start-time to expiration-date expiration-time

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

username-prefix name-prefix：用戶名前綴，name-prefix為1～45個字符的字符串，區分大小寫，不能含有字符\、|、/、:、*、?、<、>或@。

password-prefix password-prefix：明文密碼前綴，password-prefix為1～53個字符的字符串，區分大小寫。若不指定該參數，則由係統為用戶逐一生成隨機密碼

suffix suffix-string ：用戶名和密碼的遞增編號後綴，suffix-string為1～10個數字的字符串。

group group-name：用戶所屬用戶組名，group-name為1～32個字符的字符串，區分大小寫。若不指定該參數，則表示用戶屬於system組。

count user-count：批量創建用戶的數量，user-count的取值範圍為1～256。

validity-datetime：用戶有效期。有效期的結束時間必須晚於起始時間。

start-date：用戶有效期的開始日期，格式為MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日），MM的取值範圍為1～12，DD的取值範圍與月份有關，YYYY的取值範圍為2000～2035。

start-time：用戶有效期的開始時間，格式為HH:MM:SS（小時:分鍾:秒），HH取值範圍為0～23，MM和SS取值範圍為0～59。如果要設置成整分，則可以不輸入秒；如果要設置成整點，則可以不輸入分和秒。比如將start-time參數設置為0表示零點。

to：指定用戶有效期的結束日期和結束時間。

expiration-date：用戶有效期的結束日期，格式為MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日），MM的取值範圍為1～12，DD的取值範圍與月份有關，YYYY的取值範圍為2000～2035。

expiration-time：用戶有效期的結束時間，格式為HH:MM:SS（小時:分鍾:秒），HH取值範圍為0～23，MM和SS取值範圍為0～59。如果要設置成整分，則可以不輸入秒；如果要設置成整點，則可以不輸入分和秒。比如將expiration-time參數設置為0表示零點。

【使用指導】

批量創建的本地來賓用戶名由指定的用戶名前綴和編號後綴組合而成，且每創建一個用戶，用戶名編號後綴遞增1。例如，當用戶名前綴為abc，遞增編號後綴為1，生成用戶數量為3時，生成的用戶名分別為abc1、abc2和abc3。如果指定了密碼前綴，則批量創建的本地來賓用戶密碼由密碼前綴和編號後綴組合而成，且逐用戶遞增。

如果申請創建的本地來賓用戶數量過多，導致資源不足時，部分本地來賓用戶的批量創建將會失敗。

如果批量創建的本地來賓用戶與設備上已有的本地來賓用戶重名，則批量創建的用戶會覆蓋已有的同名用戶。

【舉例】

# 批量創建20個本地來賓用戶，用戶名從abc01遞增到abc20，屬於用戶組visit，有效期為2018/10/01 00:00:00到2019/10/02 12:00:00。

<Sysname> system-view

[Sysname] local-guest generate username-prefix abc suffix 01 group visit count 20 validity-datetime 2018/10/01 00:00:00 to 2019/10/02 12:00:00

【相關命令】

· local-user

· display local-user

1.2.23 local-guest manager-email

local-guest manager-email命令用來配置來賓管理員的Email地址。

undo local-guest manager-email命令用來恢複缺省情況。

【命令】

local-guest manager-email email-address

undo local-guest manager-email

【缺省情況】

未配置來賓管理員的Email地址。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

email-address：來賓管理員的Email地址，為按照RFC 822定義的1～255個字符的字符串，區分大小寫，例如[email protected]。

【使用指導】

本地在來賓用戶通過Web頁麵完成賬戶注冊之後，設備會向來賓管理員郵箱發送該用戶的審批申請郵件。

隻能存在一個來賓管理員的Email地址。多次執行本命令，最後一次執行的命令生效。

【舉例】

# 配置來賓管理員的Email地址為[email protected]。

<Sysname> system-view

[Sysname] local-guest manager-email [email protected]

【相關命令】

· local-guest email format

· local-guest email sender

· local-guest email smtp-server

· local-guest send-email

1.2.24 local-guest send-email

local-guest send-email命令用來配置向本地來賓用戶郵箱和來賓接待人郵箱發送郵件。

【命令】

local-guest send-email user-name user-name to { guest | sponsor }

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【參數】

user-name user-name：本地來賓用戶的用戶名，為1～55個字符的字符串，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能為“a”、“al”或“all”。若用戶名中攜帶域名，則格式為“純用戶名@域名”，其中，純用戶名區分大小寫，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，並且不能為“a”、“al”或“all”；域名不區分大小寫，不能包含符號“@”。

to：指定郵件的收件人。

· guest：本地來賓用戶。

· sponsor：來賓接待人。

【使用指導】

當本地來賓用戶創建之後，來賓管理員可通過此命令將用戶的密碼及有效期信息發送到本地來賓用戶或來賓接待人郵箱中。

【舉例】

# 向本地來賓用戶abc的郵箱發送有關該用戶賬號信息的通知郵件。

<Sysname> local-guest send-email user-name abc to guest

【相關命令】

· email

· sponsor-email

1.2.25 local-guest timer

local-guest timer命令用來配置本地來賓用戶的等待審批超時定時器。

【命令】

local-guest timer waiting-approval time-value

undo local-guest timer waiting-approval

【缺省情況】

本地來賓用戶的等待審批超時定時器值為24小時。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

time-value：本地來賓用戶等待審批的超時時間，取值範圍為1～720，單位為小時。

【使用指導】

當一個來賓用戶在Web頁麵上完成賬戶注冊之後，設備會為其開啟一個來賓注冊信息等待審批超時定時器，若在該定時器設置的時長內來賓管理員沒有對其注冊信息進行審批，則設備將刪除該來賓注冊信息。

【舉例】

# 配置本地來賓用戶的等待審批超時定時器的值為12小時。

<Sysname> system-view

[Sysname] local-guest timer waiting-approval 12

1.2.26 local-user

local-user命令用來添加本地用戶，並進入本地用戶視圖。如果指定的本地用戶已經存在，則直接進入本地用戶視圖。

undo local-user命令用來刪除指定的本地用戶。

【命令】

local-user user-name [ class { manage | network [ guest ] } ]

undo local-user { user-name class { manage | network [ guest ] } | all [ service-type { ftp | http | https | ike | lan-access | portal | ppp | ssh | sslvpn | telnet | terminal } | class { manage | network [ guest ] } ] }

【缺省情況】

不存在本地用戶。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

user-name：表示本地用戶名，為1～55個字符的字符串，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能為“a”、“al”或“all”。若本地用戶名中攜帶域名，則格式為“純用戶名@域名”，其中，純用戶名區分大小寫，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，並且不能為“a”、“al”或“all”；域名不區分大小寫，不能包含符號“@”。

manage：設備管理類用戶，用於登錄設備，對設備進行配置和監控。此類用戶可以提供ftp、http、https、telnet、ssh、terminal和pad服務。

network：網絡接入類用戶，用於通過設備接入網絡，訪問網絡資源。此類用戶可以提供ike、lan-access、portal、ppp服務。

guest：來賓用戶，僅能在賬戶有效期內提供lan-access和portal服務。

all：所有的用戶。

service-type：指定用戶的類型。

· ftp：表示FTP類型用戶。

· http：表示HTTP類型用戶。

· https：表示HTTPS類型用戶。

· ike：表示IKE擴展認證類型用戶。

· lan-access：表示lan-access類型用戶（主要指以太網接入用戶，比如802.1X用戶）。

· portal：表示Portal用戶。

· ppp：PPP用戶。

· ssh：表示SSH用戶。

· sslvpn：表示SSL VPN用戶。

· telnet：表示Telnet用戶。

· terminal：表示從Console口登錄的終端用戶。

【使用指導】

在本地認證過程中，配置的用戶名和用戶類別為本地用戶的唯一標識，用戶名用於匹配設備從用戶輸入的用戶名中解析出的純用戶名，用戶類別用於指示用戶可以使用的網絡服務類型。

目前，僅解析出的SSL VPN用戶的純用戶名中允許包含符號“@”。

設備支持配置多個本地用戶，設備管理類本地用戶的最大數目為1024，網絡接入類本地用戶的最大數目為4294967295。

如果配置的本地用戶名中包含中文，則需要該本地用戶登錄設備時使用的終端軟件采用的字符集編碼格式和設備保存該本地用戶配置時采用的編碼格式（GB18030）保持一致，否則，可能導致包含中文字符的用戶名在設備上不能按照預期解析，甚至導致本地認證失敗。

【舉例】

# 添加名稱為user1的設備管理類本地用戶。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1]

# 添加名稱為user2的網絡接入類本地用戶。

<Sysname> system-view

[Sysname] local-user user2 class network

[Sysname-luser-network-user2]

# 添加名稱為user3的網絡接入類本地來賓用戶。

<Sysname> system-view

[Sysname] local-user user3 class network guest

[Sysname-luser-network(guest)-user3]

【相關命令】

· display local-user

· service-type (Local user view)

1.2.27 local-user-export class network

local-user-export class network命令用來從設備導出網絡接入類本地用戶信息到CSV文件。

【命令】

local-user-export class network url url-string [ from { group group-name | user user-name } ]

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

url url-string：CSV文件的URL，為1～255個字符的字符串，不區分大小寫。

from：指定導出的用戶範圍。若不指定該參數，則表示導出設備上所有的網絡接入類本地用戶。

group group-name：導出指定組裏的所有用戶。group-name表示用戶組名，為1～32個字符的字符串，不區分大小寫。

user user-name：導出指定用戶。user-name表示用戶名，為1～55個字符的字符串，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能為“a”、“al”或“all”。若用戶名中攜帶域名，則格式為“純用戶名@域名”，其中，純用戶名區分大小寫，不能包含符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，並且不能為“a”、“al”或“all”；域名不區分大小寫，不能包含符號“@”。

【使用指導】

導出的CSV文件可直接或在編輯之後通過local-user-import class network命令導入到本設備或其它支持該命令的設備上使用，但文件內容必須符合該命令的要求。

本命令支持TFTP和FTP兩種文件上傳方式，具體的URL格式要求如下：

· TFTP協議URL格式：tftp://server/path/filename，server為TFTP服務器IP地址或主機名，path為TFTP工作目錄的相對路徑，例如tftp://1.1.1.1/user/user.csv。

· FTP協議URL格式：

¡ 攜帶用戶名和密碼的格式為ftp://username:password@server/path/filename。其中，username為FTP用戶名，password為FTP認證密碼，server為FTP服務器IP地址或主機名，path為FTP工作目錄的相對路徑，例如ftp://1:[email protected]/user/user.csv。如果FTP用戶名中攜帶域名，則該域名會被設備忽略，例如ftp://1@abc:[email protected]/user/user.csv將被當作ftp://1:[email protected]/user/user.csv處理。

¡ 不需要攜帶用戶名和密碼的格式為ftp://server/path/filename，例如ftp://1.1.1.1/user/user.csv。

【舉例】

# 導出網絡接入類本地用戶信息到ftp://1.1.1.1/user/路徑的identityuser.csv文件中。

<Sysname> system-view

[Sysname] local-user-export class network url ftp://1.1.1.1/user/identityuser.csv

【相關命令】

· display local-user

· local-user-import class network

1.2.28 local-user-export class network guest

local-user-export class network guest命令用來從設備導出本地來賓用戶信息到CSV文件。

【命令】

local-user-export class network guest url url-string

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

url url-string：CSV文件的URL，為1～255個字符的字符串，不區分大小寫。

【使用指導】

導出的CSV文件可直接或在編輯之後通過local-user-import class network guest命令導入到本設備或其它支持該命令的設備上使用，但文件內容必須符合該命令的要求。

本命令支持TFTP和FTP兩種文件上傳方式，具體的URL格式要求如下：

· TFTP協議URL格式：tftp://server/path/filename，server為TFTP服務器IP地址或主機名，path為TFTP工作目錄的相對路徑，例如tftp://1.1.1.1/user/user.csv。

· FTP協議URL格式：

¡ 不需要攜帶用戶名和密碼的格式為ftp://server/path/filename，例如ftp://1.1.1.1/user/user.csv。

【舉例】

# 導出本地來賓用戶信息到ftp://1.1.1.1/user/路徑的guest.csv文件中。

<Sysname> system-view

[Sysname] local-user-export class network guest url ftp://1.1.1.1/user/guest.csv

【相關命令】

· display local-user

· local-user-import class network guest

1.2.29 local-user-import class network

local-user-import class network命令用來從CSV文件中導入用戶信息並創建網絡接入類本地用戶。

【命令】

local-user-import class network url url-string [ auto-create-group | override | start-line line-number ] *

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

url url-string：CSV文件的URL，為1～255個字符的字符串，不區分大小寫。

auto-create-group：表示當設備上不存在用戶所屬的用戶組時，係統會自動創建用戶組，並將用戶加入該用戶組。若不指定該參數，則表示當設備上不存在用戶所屬的用戶組時，係統不會創建對應的用戶組，而是將用戶其加入缺省用戶組system。

override：表示當導入的用戶名已經存在於設備上時，係統使用導入的用戶信息覆蓋掉已有的同名用戶配置。若不指定該參數，則表示不導入文件中的同名用戶信息，即保留設備上已有的同名用戶配置。

start-line line-number：表示從文件的指定行開始導入用戶信息。line-number為文件內容的行編號。若不指定該參數，則表示導入文件中的所有用戶信息。

【使用指導】

用於導入的CSV文件中包含多個用戶信息，每個用戶的各項字段嚴格按照以下順序出現：

· 用戶名：為1～55個字符的字符串，區分大小寫，不支持字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能為“a”、“al”和“all”。若用戶名中包含非法字符，則導入並創建該用戶失敗，且後續用戶的導入操作將會中止。該字段必須存在。

· 密碼形式：明文或密文。若該字段為空，則表示密文。

· 用戶密碼：密文密碼字符串長度範圍為1～117，明文密碼字符串長度訪問為1～63，區分大小寫。若該字段為空或密碼解析失敗，則表示用戶無密碼。

· 所屬授權用戶組：用於本地授權，為1～32個字符的字符串，不區分大寫。若該字段為空，則表示system組。

· 所屬身份識別用戶組：用於用戶身份識別，為1～32個字符的字符串，不區分大寫。可支持多個用戶組，組名稱之間必須以換行字符串0x0A分隔。若該字段為空，則表示不屬於任何身份識別用戶組。

· 服務類型：包括portal、ppp、lan-access、ike中的一個或多個，不區分大小寫。服務類型名稱之間必須以換行字符串（0x0A）分隔。若該字段為空，則表示不支持任何服務類型。

· 允許同時使用該用戶名接入網絡的最大用戶數：取值範圍為1～1024。若該字段為空，則表示無限製。

CSV文件中的不同用戶信息之間用回車換行分隔，且每項信息之間以逗號分隔。例如：

Jack,$c$3$uM6DH5empTfbsx341Qk/ORGozkbxNE0=,author-group1,parent-group1(0x0A)parent-group2,portal,1024

Mary,$c$3$YpVonswJTN1dVMEev+zu2pgrCIIJ,author-group2,parent-group1(0x0A)parent-group2,portal,800

編輯CSV文件時，需要注意的是：

· CSV文件中的注釋行以#開頭，注釋行的內容不會被當作實際用戶信息導入設備。

· 如果某類數據本身需要包含逗號，為避免與分隔符逗號混淆，必須在該數據兩端加單引號，例如某授權用戶組名稱為author,group，則在CSV文件中要書寫為'author,group'。

本命令支持TFTP和FTP兩種文件下載方式，具體的文件URL格式要求如下：

· TFTP協議URL格式：tftp://server/path/filename，server為FTP服務器IP地址或主機名，path為TFTP工作目錄的相對路徑，例如tftp://1.1.1.1/user/user.csv。

· FTP協議URL格式：

¡ 不需要攜帶用戶名和密碼的格式為ftp://server/path/filename，例如ftp://1.1.1.1/user/user.csv。

【舉例】

# 從ftp://1.1.1.1/user/路徑的localuser.csv文件中導入網絡接入類本地用戶信息，導入時自動創建用戶組，且不導入文件中的同名用戶信息。

<Sysname> system-view

[Sysname] local-user-import class network url ftp://1.1.1.1/user/localuser.csv auto-create-group

【相關命令】

· display local-user

· local-user-export class network

1.2.30 local-user-import class network guest

local-user-import class network guest命令用來從CVS文件中導入用戶信息並創建本地用戶。

【命令】

local-user-import class network guest url url-string validity-datetime start-date start-time to expiration-date expiration-time [ auto-create-group | override | start-line line-number ] *

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

url url-string：CSV文件的URL。其中，url-string為1～255個字符的字符串，不區分大小寫。

validity-datetime：指定用戶的有效期。有效期的結束時間必須晚於起始時間。

to：指定用戶有效期的結束日期和結束時間。

auto-create-group：表示當設備上不存在用戶所屬的用戶組時，係統會自動創建用戶組，並將用戶加入該用戶組。若不指定該參數，則表示當設備上不存在用戶所屬的用戶組時，係統不會創建對應的用戶組，而是將該用戶加入缺省用戶組system。

start-line line-number：表示從文件的指定行開始導入用戶信息。其中，line-number為文件內容的行編號。若不指定該參數，則表示導入文件中的所有用戶信息。

【使用指導】

用於導入的CSV文件中包含多個用戶信息，每個用戶的各項字段嚴格按照以下順序出現：

· Username：用戶名，不支持字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能為“a”、“al”和“all”。若用戶名中包含非法字符，則導入並創建該用戶失敗，且後續用戶的導入操作將會中止。該字段必須存在。

· Password：明文用戶密碼。若該字段為空，則導入時係統會生成一個密文隨機密碼。

· User group：所屬用戶組，用於本地授權。若該字段為空，則表示屬於system組。

· Guest full name：來賓用戶姓名。

· Guest company：來賓用戶公司。

· Guest email：來賓用戶Email地址。

· Guest phone：來賓用戶電話號碼。

· Guest description：來賓用戶描述信息。

· Sponsor full name：接待人姓名。

· Sponsor department：接待人部門。

· Sponsor email：接待人Email地址。

以上所有字段的取值必須滿足設備上本地用戶相應屬性的取值要求，否則當前用戶的導入操作將會失敗，且導入操作中止。之後，可以根據係統提示信息中的出錯行編號選擇下次從指定行開始導入剩餘用戶信息。

CSV文件中的不同用戶信息之間用回車換行分隔，且每項信息之間以逗號分隔。如果某項信息中包含逗號，則必須在該條信息兩端加雙引號。例如：Jack,abc,visit,Jack Chen,ETP,[email protected],1399899,”The manager of ETP, come from TP.”,Sam Wang,Ministry of personnel,[email protected]

本命令支持TFTP和FTP兩種文件下載方式，具體的文件URL格式要求如下：

· TFTP協議URL格式：tftp://server/path/filename，server為TFTP服務器IP地址或主機名，path為TFTP工作目錄的相對路徑，例如tftp://1.1.1.1/user/user.csv。

· FTP協議URL格式：

¡ 不需要攜帶用戶名和密碼的格式為ftp://path/filename，例如ftp://1.1.1.1/user/user.csv。

【舉例】

# 從ftp://1.1.1.1/user/guest.csv路徑中導入本地來賓用戶信息，用戶的有效期為2018/10/01 00:00:00到2019/10/02 12:00:00。

<Sysname> system-view

[Sysname] local-user-import class network guest url ftp://1.1.1.1/user/guest.csv validity-datetime 2018/10/01 00:00:00 to 2019/10/02 12:00:00

【相關命令】

· display local-user

· local-user-export class network guest

1.2.31 password (Device management user view)

password命令用來設置本地用戶的密碼。

undo password命令用來恢複缺省情況。

【命令】

password [ { hash | simple } string ]

undo password

【缺省情況】

不存在本地用戶密碼，即本地用戶認證時無需輸入密碼，隻要用戶名有效且其它屬性驗證通過即可認證成功。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

hash：表示以哈希方式設置密碼。

simple：表示以明文方式設置密碼，該密碼將以哈希方式存儲。

string：密碼字符串，區分大小寫。明文密碼為1～63個字符的字符串；哈希密碼為1～110個字符的字符串。

【使用指導】

如果不指定任何參數，則表示以交互式設置明文形式的密碼。

可以不為本地用戶設置密碼。若不為本地用戶設置密碼，則該用戶認證時無需輸入密碼，隻要用戶名有效且其它屬性驗證通過即可認證成功。為提高用戶帳戶的安全性，建議設置本地用戶密碼。

在全局Password Control功能處於開啟的情況下，需要注意的是：

· 所有曆史密碼都以哈希方式存儲。

· 當前登錄用戶以明文方式修改自己的密碼時，需要首先提供現有的明文密碼，然後保證輸入的新密碼與所有曆史密碼不同，且至少要與現有密碼存在4個不同字符的差異。

· 當前登錄用戶以明文方式修改其它用戶的密碼時，需要保證新密碼與所有曆史密碼不同。

· 當前登錄用戶刪除自己的密碼時，需要提供現有的明文密碼。

· 其它情況下，均不需要提供現有明文密碼，也不與曆史密碼進行比較。

【舉例】

# 設置設備管理類本地用戶user1的密碼為明文123456TESTplat&!。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] password simple 123456TESTplat&!

# 以交互式方式設置設備管理類本地用戶test的密碼。

<Sysname> system-view

[Sysname] local-user test class manage

[Sysname-luser-manage-test] password

Password:

confirm :

【相關命令】

· display local-user

1.2.32 password (Network access user view)

password命令用來設置本地用戶的密碼。

undo password命令用來恢複缺省情況。

【命令】

password { cipher | simple } string

undo password

【缺省情況】

不存在本地用戶密碼，即本地用戶認證時無需輸入密碼，隻要用戶名有效且其它屬性驗證通過即可認證成功。

【視圖】

網絡接入類本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

cipher：表示以密文方式設置密碼。

simple：表示以明文方式設置密碼，該密碼將以密文形式存儲。

string：密碼字符串，區分大小寫。明文密碼為1～63個字符的字符串；密文密碼為1～117個字符的字符串。

【使用指導】

為提高用戶賬戶的安全性，建議設置本地用戶密碼。

【舉例】

# 設置網絡接入類本地用戶user1的密碼為明文123456TESTuser&!。

<Sysname> system-view

[Sysname] local-user user1 class network

[Sysname-luser-network-user1] password simple 123456TESTuser&!

【相關命令】

· display local-user

1.2.33 phone

phone命令用來配置本地來賓用戶的電話號碼。

undo phone命令用來恢複缺省情況。

【命令】

phone phone-number

undo phone

【缺省情況】

未配置本地來賓用戶電話號碼。

【視圖】

本地來賓用戶視圖

【缺省用戶角色】

network-admin

【參數】

phone-number：本地來賓用戶的電話號碼，為1～32個字符的字符串。

【舉例】

# 配置本地來賓用戶abc的電話號碼為13813723920。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] phone 13813723920

【相關命令】

· display local-user

1.2.34 reset local-guest waiting-approval

reset local-guest waiting-approval命令用來清除待審批的來賓用戶注冊信息。

【命令】

reset local-guest waiting-approval [ user-name user-name ]

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【參數】

【舉例】

# 清除所有待審批的來賓用戶注冊信息。

<Sysname> reset local-guest waiting-approval

【相關命令】

· display local-guest waiting-approval

1.2.35 service-type (Local user view)

service-type命令用來設置用戶可以使用的服務類型。

undo service-type命令用來刪除用戶可以使用的服務類型。

【命令】

service-type { ftp | ike |lan-access | { http | https | ssh | telnet | terminal } * | portal | ppp | sslvpn }

undo service-type { ftp | ike | lan-access | { http | https | ssh | telnet | terminal } * | portal | ppp | sslvpn }

【缺省情況】

係統不對用戶授權任何服務，即用戶不能使用任何服務。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

ftp：指定用戶可以使用FTP服務。若授權FTP服務，授權目錄可以通過authorization-attribute work-directory命令來設置。

http：指定用戶可以使用HTTP服務。

https：指定用戶可以使用HTTPS服務。

ike：指定用戶可以使用IKE擴展認證服務。

lan-access：指定用戶可以使用lan-access服務。主要指以太網接入，比如用戶可以通過802.1X認證接入。

ssh：指定用戶可以使用SSH服務。

telnet：指定用戶可以使用Telnet服務。

terminal：指定用戶可以使用terminal服務（即從Console口登錄）。

portal：指定用戶可以使用Portal服務。

ppp：指定用戶可以使用PPP服務。

sslvpn：指定用戶可以使用SSL VPN服務。

【使用指導】

可以通過多次執行本命令，設置用戶可以使用多種服務類型。

【舉例】

# 指定設備管理類用戶可以使用Telnet服務和FTP服務。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] service-type telnet

[Sysname-luser-manage-user1] service-type ftp

【相關命令】

· display local-user

1.2.36 sponsor-department

sponsor-department命令用來配置本地來賓用戶接待人所屬部門。

undo sponsor-department命令用來恢複缺省情況。

【命令】

sponsor-department department-string

undo sponsor-department

【缺省情況】

未配置本地來賓用戶接待人所屬部門。

【視圖】

本地來賓用戶視圖

【缺省用戶角色】

network-admin

【參數】

department-string：本地來賓用戶接待人所屬部門名稱，為1～127個字符的字符串，區分大小寫。

【舉例】

# 配置本地來賓用戶abc的接待人所屬部門為test。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] sponsor-department test

【相關命令】

· display local-user

1.2.37 sponsor-email

sponsor-email命令用來配置本地來賓用戶接待人的Email地址。

undo sponsor-email命令用來恢複缺省情況。

【命令】

sponsor-email email-string

undo sponsor-email

【缺省情況】

未配置本地來賓用戶接待人的Email地址。

【視圖】

本地來賓用戶視圖

【缺省用戶角色】

network-admin

【參數】

email-string：本地來賓接待人的Email地址，為1～255個字符的字符串，區分大小寫，必須且最多隻能攜帶一個“@”符號，不能僅為“@”。

【舉例】

# 配置本地來賓用戶abc的接待人Email地址為[email protected]。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] sponsor-email [email protected]

【相關命令】

· display local-user

1.2.38 sponsor-full-name

s ponsor-full-name命令用來配置本地來賓用戶的接待人姓名。

undo sponsor-full-name命令用來恢複缺省情況。

【命令】

sponsor-full-name name-string

undo sponsor-full-name

【缺省情況】

未配置本地來賓用戶的接待人姓名。

【視圖】

本地來賓用戶視圖

【缺省用戶角色】

network-admin

【參數】

name-string：本地來賓用戶接待人姓名，為1～255個字符的字符串，區分大小寫。

【舉例】

# 配置本地來賓用戶abc的接待人姓名為Sam Li。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] sponsor-full-name Sam Li

【相關命令】

· display local-user

1.2.39 state (Local user view)

state命令用來設置當前本地用戶的狀態。

undo state命令用來恢複缺省情況。

【命令】

state { active | block }

undo state

【缺省情況】

本地用戶處於活動狀態。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

active：指定當前本地用戶處於活動狀態，即係統允許當前本地用戶請求網絡服務。

block：指定當前本地用戶處於“阻塞”狀態，即係統不允許當前本地用戶請求網絡服務。

【舉例】

# 設置設備管理類本地用戶user1處於“阻塞”狀態。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] state block

【相關命令】

· display local-user

1.2.40 user-group

user-group命令用來創建用戶組，並進入用戶組視圖。如果指定的用戶組已經存在，則直接進入用戶組視圖。

undo user-group命令用來刪除指定的用戶組。

【命令】

user-group group-name

undo user-group group-name

【缺省情況】

存在一個用戶組，名稱為system。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

group-name：用戶組名稱，為1～32個字符的字符串，不區分大小寫。

【使用指導】

用戶組是一個本地用戶的集合，某些需要集中管理的屬性可在用戶組中統一配置和管理。

不允許使用undo user-group命令刪除一個包含本地用戶的用戶組。

不能刪除係統中存在的默認用戶組system，但可以修改該用戶組的配置。

【舉例】

# 創建名稱為abc的用戶組並進入其視圖。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc]

【相關命令】

· display user-group

1.2.41 validity-datetime

validity-datetime命令用來配置網絡接入類本地用戶的有效期。

undo validity-datetime命令用來恢複缺省情況。

【命令】

（網絡接入類本地用戶視圖）

validity-datetime { from start-date start-time to expiration-date expiration-time | from start-date start-time | to expiration-date expiration-time }

undo validity-datetime

（本地來賓用戶視圖）

validity-datetime from start-date start-time to expiration-date expiration-time

undo validity-datetime

【缺省情況】

未限製網絡接入類本地用戶的有效期，該用戶始終有效。

【視圖】

網絡接入類本地用戶視圖/本地來賓用戶視圖

【缺省用戶角色】

network-admin

【參數】

from：指定用戶有效期的開始日期和時間。若不指定該參數，則表示僅限定用戶有效期的結束日期和時間。

to：指定用戶有效期的結束日期和結束時間。若不指定該參數，則表示僅限定用戶有效期的開始日期和時間。

【使用指導】

網絡接入類本地用戶在有效期內才能認證成功。

若同時指定了有效期的開始時間和結束時間，則有效期的結束時間必須晚於起始時間。

如果僅指定了有效期的開始時間，則表示該時間到達後，用戶一直有效。

如果僅指定了有效期的結束時間，則表示該時間到達前，用戶一直有效。

設備作為RADIUS服務器時使用RADIUS用戶數據庫對接入用戶進行身份驗證，RADIUS用戶數據由網絡接入類本地用戶配置直接生成，但設備僅關心RADIUS用戶的有效期結束時間，不關心其有效期開始時間。

【舉例】

# 配置網絡接入類本地用戶123的有效期為2018/10/01 00:00:00到2019/10/02 12:00:00。

<Sysname> system-view

[Sysname] local-user 123 class network

[Sysname-luser-network-123] validity-datetime from 2018/10/01 00:00:00 to 2019/10/02 12:00:00

【相關命令】

· display local-user

1.3 本地BYOD授權配置命令

1.3.1 byod authorization

byod authorization命令用來配置基於終端類型的授權屬性。

undo byod authorization命令用來刪除配置的基於終端類型的授權屬性。

【命令】

byod authorization device-type type-name { acl acl-number | callback-number callback-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | sslvpn-policy-group group-name | url url-string | user-profile profile-name | vlan vlan-id } *

undo byod authorization device-type type-name { acl | callback-number | idle-cut | ip-pool | ipv6-pool | ipv6-prefix | primary-dns | secondary-dns | session-timeout | sslvpn-policy-group | url | user-profile | vlan } *

【缺省情況】

未配置基於終端類型的授權屬性。

【視圖】

用戶組視圖

【缺省用戶角色】

network-admin

【參數】

device-type type-name：用戶終端類型。其中，type-name為1～127個字符的字符串，不區分大小寫。如果type-name中包含空格，則必須在其左右添加雙引號，例如” Chrome OS”。

acl acl-number：指定本地用戶的授權ACL。其中，acl-number為授權ACL的編號，取值範圍為2000～4999。本地用戶認證成功後，將被授權僅可以訪問符合指定ACL規則的網絡資源。

ip-pool ipv4-pool-name：指定本地用戶的IPv4地址池信息。本地用戶認證成功後，將允許使用該IPv4地址池分配地址。其中，ipv4-pool-name表示地址池名稱，為1～31個字符的字符串，不區分大小寫。

primary-dns ip ipv4-address：指定本地用戶的首選DNS服務器IPv4地址。本地用戶認證成功後，將被授權使用該主DNS服務器。

primary-dns ipv6 ipv6-address：指定本地用戶的首選DNS服務器IPv6地址。本地用戶認證成功後，將被授權使用該主DNS服務器。

secondary-dns ip ipv4-address：指定本地用戶的備用DNS服務器IPv4地址。本地用戶認證成功後，將被授權使用該從DNS服務器。

secondary-dns ipv6 ipv6-address：指定本地用戶的備用DNS服務器IPv6地址。本地用戶認證成功後，將被授權使用該從DNS服務器。

url url-string：指定本地用戶的強製URL，為1～255個字符的字符串，區分大小寫。用戶認證成功後，此URL將被推送至PPP客戶端。

user-profile profile-name：指定本地用戶的授權User Profile。其中，profile-name表示User Profile名稱，為1～31個字符的字符串，隻能包含英文字母[a-z,A-Z]、數字、下劃線、連字符，且必須以英文字母或數字開始，但不能為純數字，區分大小寫。當用戶認證成功後，其訪問行為將受到User Profile中的預設配置的限製。關於User Profile的詳細介紹請參見“安全配置指導”中的“User Profile”。

vlan vlan-id：指定本地用戶的授權VLAN。其中，vlan-id為VLAN編號，取值範圍為1～4094。本地用戶認證成功後，將被授權僅可以訪問指定VLAN內的網絡資源。

【使用指導】

可配置的授權屬性都有其明確的使用環境和用途，請針對用戶的服務類型配置對應的授權屬性：

· 對於PPP用戶，僅授權屬性callback-number、idle-cut、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-timeout、url、user-profile有效。

· 對於Portal用戶，僅授權屬性acl、idle-cut、ip-pool、ipv6-pool、session-timeout、user-profile有效。

· 對於lan-access、僅授權屬性acl、session-timeout、vlan、user-profile有效。

· 對於其它類型的本地用戶，所有授權屬性均無效。

關於授權屬性的生效情況，需要遵循以下原則：

· 如果用戶組視圖下配置了基於終端類型的授權屬性，則基於終端類型的授權屬性優先級最高，即如果本地用戶匹配上了所屬用戶組中某終端類型對應的授權屬性，則采用該終端類型的授權屬性值，本地用戶視圖下以及用戶組視圖下的同類型授權屬性都將不生效。

· 如果本地用戶未匹配上任何基於終端類型的授權屬性，則繼承所屬用戶組的授權屬性配置，若同時本地用戶視圖下有同類型的授權屬性，則采用本地用戶視圖下的授權屬性值。

指定授權ACL時，需要注意的是：

【舉例】

# 在用戶組abc中配置終端類型iphon6對應的授權VLAN為VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] byod authorization device-type iphone6 vlan 3

【相關命令】

· display byod rule

· display local-user

· display user-group

1.3.2 byod rule

byod rule命令用來配置BYOD終端類型的識別規則。

undo byod rule命令用來刪除指定的BYOD終端類型識別規則。

【命令】

byod rule { dhcp-option option-string | http-user-agent agent-string | mac-address mac-address mask mac-mask } device-type type-name

undo byod rule { dhcp-option option-string | http-user-agent agent-string | mac-address mac-address mask mac-mask }

【缺省情況】

存在預定義的BYOD終端類型的識別規則，可通過display byod rule命令查看。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

dhcp-option option-string：DHCP Option 55指紋信息，option-string為1～255個字符的字符串，不區分大小寫。如果option-string中包含空格，則必須在其左右添加雙引號，例如”Microsoft Windows 8”。

http-user-agent agent-string：HTTP User Agent指紋信息，agent-string為1～255個字符的字符串，不區分大小寫。如果agent-string中包含空格，則必須在其左右添加雙引號，例如”Apple iPod”。

mac-address mac-address：用戶終端的MAC地址，格式為H-H-H，不支持組播MAC地址和全0的MAC地址。輸入時可省去MAC地址中每段開頭的“0”，例如“f-e2-1”即可表示“000f-00e2-0001”。

mask mac-mask：MAC地址的掩碼，格式為H-H-H，且掩碼高位的十六進製數對應的二進製數必需為連續的1，例如“fe00-0000-0000”。

device-type type-name：終端類型名稱，為1～127個字符的字符串，不區分大小寫。如果type-name中包含空格，則必須在其左右添加雙引號，例如”Chrome OS”。

【使用指導】

BYOD終端類型的識別規則是用戶終端特征與用戶終端類型的一種對應關係。在用戶認證的過程中，接入設備獲取到用戶終端的相關特征（例如DHCP option 55指紋信息）後，可根據定義的識別規則識別出用戶所使用的終端類型，並基於終端類型對用戶進行精細化的授權。

對本地用戶的BYOD授權是通過用戶組來實現的，具體的授權屬性可通過byod authorization命令配置。

可通過多次執行本命令配置多種類型的識別規則。

需要注意的是,同一個終端特征不能與不同的終端類型對應。

【舉例】

# 配置一條BYOD終端類型的識別規則：DHCP Option 55指紋信息di2ns0ns對應的終端類型為iphone6。

<Sysname> system-view

[Sysname] byod rule dhcp-option di2ns0ns device-type iphone6

【相關命令】

· display byod rule

· byod authorization

1.3.3 byod rule-order

byod rule-order命令用來配置BYOD終端類型識別規則的類型和優先級。

undo byod rule-order命令用來恢複缺省情況。

【命令】

byod rule-order { dhcp-option | http-user-agent | mac-address } *

undo byod rule-order

【缺省情況】

設備采用三種終端類型識別規則，它們的優先級由高到低為：DHCP Option 55規則、HTTP User Agent規則、MAC地址規則。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

dhcp-option：DHCP Option 55類型。

http-user-agent：HTTP User Agent類型。

mac-address：MAC地址類型。

【使用指導】

設備按照BYOD終端類型識別規則的類型和優先級配置來決定識別BYOD終端時所選用的規則類型以及使用所選類型規則的優先級。設備不會使用未指定類型的規則進行終端識別。

各類型規則的優先級高低順序與本命令中各參數的配置先後順序一致。例如，byod rule-order mac-address http-user-agent命令表示僅允許使用MAC地址類型的規則和HTTP User Agent類型的規則進行終端識別，且優先使用MAC地址規則。

【舉例】

# 配置BYOD終端特征識別規則的優先級由高到低為：MAC地址規則、HTTP User Agent規則、DHCP Option 55規則。

<Sysname> system-view

[Sysname] byod rule-order mac-address http-user-agent dhcp-option

【相關命令】

· byod rule

1.3.4 display byod rule

display byod rule命令用來顯示BYOD終端類型識別規則。

【命令】

display byod rule { dhcp-option [ option-string ] | http-user-agent [ agent-string ] | mac-address [ mac-address ] }

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

dhcp-option：顯示DHCP Option 55指紋信息與終端類型的對應規則。

option-string：DHCP Option 55指紋信息，為1～255個字符的字符串，不區分大小寫。若不指定該參數，則表示顯示所有DHCP Option 55指紋信息與終端類型的對應規則。

http-user-agent：顯示HTTP User Agent指紋信息與終端類型的對應規則。

agent-string：HTTP User Agent指紋信息，為1～255個字符的字符串，不區分大小寫。若不指定該參數，則表示顯示所有HTTP User Agent指紋信息與終端類型的對應規則。

mac-address：顯示MAC地址指紋信息與終端類型的對應規則。

mac-address：用戶終端的MAC地址，格式為H-H-H，不支持組播MAC地址和全0的MAC地址。輸入時可省去MAC地址中每段開頭的“0”，例如“f-e2-1”即可表示“000f-00e2-0001”。若不指定該參數，則表示顯示所有MAC地址與終端類型的對應規則。

【舉例】

# 顯示所有DHCP Option 55指紋信息與終端類型的對應規則。

<Sysname> display byod rule dhcp-option

Total 110 DHCP option rules matched.

DHCP option: 1

Device type: Defy

DHCP option: 1,

Device type: Galaxy Ace2 X

DHCP option: 1,121,33,3,6,12,15,26,28,51,54,58,59,119,252

Device type: Chrome OS

(略)

# 顯示所有HTTP User Agent指紋信息與終端類型的對應規則。

<Sysname> display byod rule http-user-agent

Total 9534 HTTP user agent rules matched.

HTTP user agent: ##_MAX 4G 5.0 _T-Mobile_4.2.2_android_en_5.0.4428_DID999

Device type: Generic Android

HTTP user agent: ##_SM-G900V_Network Extender_4.4.4_android_en_5.0.4402_VZW007

Device type: Generic Android

(略)

# 顯示所有MAC地址指紋信息與終端類型的對應規則。

<Sysname> display byod rule mac-address

Total 1104 MAC rules matched.

MAC address: 0000-4600-0000 MAC mask: ffff-ff00-0000

Device type: OnePlus One

MAC address: 0001-3600-0000 MAC mask: ffff-ff00-0000

Device type: Generic Android

(略)

表1-5 display byod rule命令顯示信息描述表

字段	描述
Total x DHCP option rules matched.	總計有x個DHCP Option 55指紋信息類型的規則匹配
Total x HTTP user agent rules matched.	總計有x個HTTP User Agent指紋信息類型的規則匹配
Total x MAC rules matched.	總計有x個MAC地址指紋信息類型的規則匹配
DHCP option	DHCP Option 55指紋信息
HTTP user agent	HTTP User Agent指紋信息
MAC address	MAC地址
MAC mask	MAC地址掩碼
Device type	用戶終端類型

1.3.5 display byod rule-order

display byod rule-order命令用來顯示BYOD終端類型識別規則的類型和優先級。

【命令】

display byod rule-order

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【舉例】

# 顯示BYOD終端類型識別規則的類型和優先級。

<Sysname> display byod rule-order

BYOD rule matching order: mac-address http-user-agent dhcp-option

表1-6 display byod rule-order命令顯示信息描述表

字段	描述
BYOD rule matching order	BYOD終端類型識別規則的類型和優先級 · dhcp-option：DHCP Option 55類型 · http-user-agent：HTTP User Agent類型 · mac-address：MAC地址類型

字段

描述

BYOD rule matching order

BYOD終端類型識別規則的類型和優先級

· dhcp-option：DHCP Option 55類型

· http-user-agent：HTTP User Agent類型

· mac-address：MAC地址類型

【相關命令】

· byod rule-order

1.4 RADIUS配置命令

1.4.1 aaa device-id

aaa device-id命令用來配置設備ID。

undo aaa device-id命令用來恢複缺省情況。

【命令】

aaa device-id device-id

undo aaa device-id

【缺省情況】

設備ID為0。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

device-id：設備ID，取值範圍為1～255。

【使用指導】

RADIUS計費過程使用Acct-Session-Id屬性作為用戶的計費ID。設備會為每個在線用戶生成一個唯一的Acct-Session-Id值。設備ID是Acct-Session-Id屬性值中的一個組成字段。

修改後的設備ID僅對新上線用戶生效。

【舉例】

# 配置設備ID為1。

<Sysname> system-view

[Sysname] aaa device-id 1

1.4.2 accounting-on enable

accounting-on enable命令用來開啟accounting-on功能。

undo accounting-on enable命令用來關閉accounting-on功能。

【命令】

accounting-on enable [ interval interval | send send-times ] *

undo accounting-on enable

【缺省情況】

accounting-on功能處於關閉狀態。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

interval interval：指定accounting-on報文重發時間間隔，取值範圍為1～15，單位為秒，缺省值為3。

send send-times：指定accounting-on報文的最大發送次數，取值範圍為1～255，缺省值為50。

【使用指導】

RADIUS方案視圖下開啟accounting-on功能後，設備會在重啟之後自動監聽到達該方案使用的所有RADIUS計費服務器的鏈路可達狀態，並在對應的鏈路可達後向服務器發送accounting-on報文，要求RADIUS服務器停止計費且強製該設備的用戶下線。

開啟accounting-on功能後，請執行save命令保證accounting-on功能在整個設備下次重啟後生效。關於命令的詳細介紹請參見“基礎配置命令參考”中的“配置文件管理”。

本命令設置的accounting-on參數會立即生效。

【舉例】

# 在RADIUS方案radius1中，開啟accounting-on功能並配置accounting-on報文重發時間間隔為5秒、accounting-on報文的最大發送次數為15次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] accounting-on enable interval 5 send 15

【相關命令】

· display radius scheme

1.4.3 attribute 15 check-mode

attribute 15 check-mode命令用來配置對RADIUS Attribute 15的檢查方式。

undo attribute 15 check-mode命令用來恢複缺省情況。

【命令】

attribute 15 check-mode { loose | strict }

undo attribute 15 check-mode

【缺省情況】

對RADIUS Attribute 15的檢查方式為strict方式。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

loose：鬆散檢查方式，設備使用RADIUS Attribute 15的標準屬性值對用戶業務類型進行檢查。對於SSH、FTP、Terminal用戶，在RADIUS服務器下發的Login-Service屬性值為0（表示用戶業務類型為Telnet）時才，這類用戶才能夠通過認證。

strict：嚴格檢查方式，設備使用RADIUS Attribute 15的標準屬性值以及擴展屬性值對用戶業務類型進行檢查。對於SSH、FTP、Terminal用戶，當RADIUS服務器下發的Login-Service屬性值為對應的擴展取值時，這類用戶才能夠通過認證。

【使用指導】

由於某些RADIUS服務器不支持自定義的屬性，無法下發擴展的Login-Service屬性，若要使用這類RADIUS服務器對SSH、FTP、Terminal用戶進行認證，建議設備上對RADIUS 15號屬性值采用鬆散檢查方式。

【舉例】

# 在RADIUS方案radius1中，配置對RADIUS Attribute 15采用鬆散檢查方式。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 15 check-mode loose

【相關命令】

· display radius scheme

1.4.4 attribute 18 match

attribute 18 match命令用來配置RADIUS 18號屬性的解析規則。

undo attribute 18 match命令用來刪除一條RADIUS 18號屬性的解析規則。

【命令】

attribute 18 match string action { new-password | next-token }

undo attribute 18 match string action

【缺省情況】

未配置RADIUS 18號屬性的解析規則。RADIUS 18號屬性表示的含義為，需要用戶提交下一個身份認證因素。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

string：匹配表達式，為1～255個字符的字符串，區分大小寫。若需輸入空格，則需要將整個字符串包含在雙引號中輸入。

action：屬性表示的動作含義。

new-password：表示要求用戶輸入新密碼。

next-token：表示采用雙因子認證機製時，需要用戶提交下一個身份認證因素進行二次驗證。

【使用指導】

RADIUS 18號屬性為Reply-Message屬性，用於攜帶服務器希望顯示在客戶端上的信息。服務器發送給設備的Access-Challenge報文使用該屬性攜帶一條提示給用戶且期待用戶給予響應的消息。為了讓設備按照服務器的意圖向用戶傳達Reply-Message屬性的涵義，管理員可以在設備上配置該屬性的解析規則。比如，設備收到的Reply-Message屬性中包含字符串“new pin”時，就表示需要提示用戶在線修改密碼。

每一條屬性解析規則由一個匹配表達式和一個動作參數組成。設備解析Reply-Message屬性時，采用部分匹配原則，即隻要屬性值中包含了解析規則中指定的表達式，就認為匹配成功。

目前，此功能隻對SSL VPN接入用戶生效。

一個RADIUS方案視圖中，最多允許配置16條RADIUS 18號屬性的解析規則。

不同的規則應該彼此獨立，不能出現匹配表達式相互包含的情況。假如，已有一條規則中定義了匹配表達式abc，則其它規則中不能包含該表達式或它的片段，比如ab、bc、abc。

在同一個RADIUS方案視圖下，配置了RADIUS 18號屬性的解析規則後，RADIUS Attribute 17支持在線修改用戶密碼功能（通過命令attribute 17 old-password）將不生效。

【舉例】

# 在RADIUS方案radius1中，配置一條RADIUS 18號屬性的解析規則：當該屬性攜帶的信息包含字符串new pin時，表示要求用戶輸入新密碼。

<Sysname> system-view

[sysname] radius scheme radius1

[sysname-radius-radius1] attribute 18 match “new pin” action new-password

【相關命令】

· attribute 17 old-password

· display radius scheme

1.4.5 attribute 25 car

attribute 25 car命令用來開啟RADIUS Attribute 25的CAR參數解析功能。

undo attribute 25 car命令用來關閉RADIUS Attribute 25的CAR參數解析功能。

【命令】

attribute 25 car

undo attribute 25 car

【缺省情況】

RADIUS Attribute 25的CAR參數解析功能處於關閉狀態。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【使用指導】

RADIUS的25號屬性為class屬性，該屬性由RADIUS服務器下發給設備。目前，某些RADIUS服務器利用class屬性來對用戶下發CAR參數，可以通過本特性來控製設備是否將RADIUS 25號屬性解析為CAR參數，解析出的CAR參數可被用來進行基於用戶的流量監管控製。

【舉例】

# 在RADIUS方案radius1中，開啟RADIUS Attribute 25的CAR參數解析功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 25 car

【相關命令】

· display radius scheme

1.4.6 attribute 30 format

attribute 30 format命令用來配置RADIUS Attribute 30的格式。

undo attribute 30 format命令用來恢複缺省情況。

【命令】

attribute 30 format { apmac-only | apname-only | { apmac-ssid | apname-ssid } delimiter { colon | hyphen } }

undo attribute 30 format

【缺省情況】

RADIUS Attribute 30的格式為XX-XX-XX-XX-XX-XX:SSID，其中XX-XX-XX-XX-XX-XX為AP的MAC地址，SSID為AP的SSID。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

apmac-only：表示僅為AP的MAC地址。

apname-only：表示僅為AP名稱。

apmac-ssid：表示AP的MAC地址與SSID的組合。

apname-ssid：表示AP名稱與SSID的組合。

delimiter：指定AP名稱或AP MAC地址與SSID組合時使用的分隔符。

colon：表示使用冒號作為分隔符。

hyphen：表示使用短橫線作為分隔符。

【使用指導】

對於無線Portal、802.1X、MAC地址認證用戶，不同的RADIUS服務器對填充在RADIUS Attribute 30中的內容有不同的格式要求。目前，可支持配置以下4種類型的屬性格式：

· 僅AP名稱，例如：ap1

· 僅AP的MAC地址，例如：0AC1-F9B2-B1C2。

· AP的MAC地址與SSID的組合，格式為“AP MAC+分隔符+SSID”，例如：0AC1-F9B2-B1C2:test1。

· AP名稱與SSID的組合，格式為“AP名稱+分隔符+SSID”，例如：ap1-test1。

其中，MAC地址的格式可由attribute 30 mac-format命令設置。

此命令隻對無線Portal、802.1X、MAC地址認證用戶的RADIUS報文生效。

填充在RADIUS填充在RADIUS Attribute 30中的AP名稱為無線用戶接入時使用的AP名稱，用戶在線期間，該屬性值不會受AP名稱變化的影響。

【舉例】

# 在RADIUS方案radius1中，配置RADIUS Attribute 30的格式為“AP名稱+分隔符+SSID”，分隔符為冒號。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 30 format apname-ssid delimiter colon

【相關命令】

· attribute 30 mac-format

· display radius scheme

1.4.7 attribute 30 mac-format

attribute 30 mac-format命令用來配置RADIUS Attribute 30中的MAC地址格式。

undo attribute 30 mac-format命令用來恢複缺省情況。

【命令】

attribute 30 mac-format section { one | { six | three } separator separator-character } { lowercase | uppercase }

undo attribute 30 mac-format

【缺省情況】

RADIUS Attribute 30中的MAC地址為大寫字母格式，且被分隔符“-”分成6段，即為HH-HH-HH-HH-HH-HH的格式。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

section：指定MAC地址分段數。

· one：表示MAC地址被分為1段，格式為HHHHHHHHHHHH。

· six：表示MAC地址被分為6段，格式為HH-HH-HH-HH-HH-HH。

· three：表示MAC地址被分為3段，格式為HHHH-HHHH-HHHH。

separator separator-character：MAC地址的分隔符，為單個字符，區分大小寫。

lowercase：表示MAC地址為小寫字母格式。

uppercase：表示MAC地址為大寫字母格式。

【使用指導】

不同的RADIUS服務器對填充在RADIUS Attribute 30中的MAC地址有不同的格式要求，為了保證RADIUS報文的正常交互，設備發送給服務器的RADIUS Attribute 30號屬性中MAC地址的格式必須與服務器的要求保持一致。

【舉例】

# 在RADIUS方案radius1中，配置RADIUS Attribute 30的MAC地址格式為hhhhhhhhhhhh。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 30 mac-format section one lowercase

【相關命令】

· display radius scheme

1.4.8 attribute 31 mac-format

attribute 31 mac-format命令用來配置RADIUS Attribute 31中的MAC地址格式。

undo attribute 31 mac-format命令用來恢複缺省情況。

【命令】

attribute 31 mac-format section { one | { six | three } separator separator-character } { lowercase | uppercase }

undo attribute 31 mac-format

【缺省情況】

RADIUS Attribute 31中的MAC地址為大寫字母格式，且被分隔符“-”分成6段，即為HH-HH-HH-HH-HH-HH的格式。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

section：指定MAC地址分段數。

one：表示MAC地址被分為1段，格式為HHHHHHHHHHHH。

six：表示MAC地址被分為6段，格式為HH-HH-HH-HH-HH-HH。

three：表示MAC地址被分為3段，格式為HHHH-HHHH-HHHH。

separator separator-character：MAC地址的分隔符，為單個字符，區分大小寫。

lowercase：表示MAC地址為小寫字母格式。

uppercase：表示MAC地址為大寫字母格式。

【使用指導】

不同的RADIUS服務器對填充在RADIUS Attribute 31中的MAC地址有不同的格式要求，為了保證RADIUS報文的正常交互，設備發送給服務器的RADIUS Attribute 31號屬性中MAC地址的格式必須與服務器的要求保持一致。

【舉例】

# 在RADIUS方案radius1中，配置RADIUS Attribute 31的MAC地址格式為hh:hh:hh:hh:hh:hh。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 31 mac-format section six separator : lowercase

【相關命令】

· display radius scheme

1.4.9 attribute 182 vendor-id 25506 vlan

attribute 182 vendor-id 25506 vlan命令用來開啟廠商私有182號屬性解析為授權VLAN功能。

undo attribute 182 vendor-id 25506 vlan命令用來關閉廠商私有182號屬性解析為授權VLAN功能。

【命令】

attribute 182 vendor-id 25506 vlan

undo attribute 182 vendor-id 25506 vlan

【缺省情況】

廠商私有182號屬性解析為授權VLAN功能處於關閉狀態。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【使用指導】

RADIUS服務器可通過下發微分段來對接入用戶進行精細化的訪問控製。若接入設備上需要通過授權VLAN信息實現基於微分段的訪問控製，那麼就需要開啟本功能；若接入設備上需要通過授權微分段ID實現基於微分段的訪問控製，請保證本功能處於關閉狀態。

開啟本功能後，設備會將RADIUS服務器下發的Vendor ID為25506的廠商私有微分段ID屬性（編號為182）解析為授權VLAN信息。當該屬性值為整數時，將其解析為VLAN ID；其它取值時，將其解析為VLAN名稱。

如果RADIUS服務器使用其它RADIUS屬性來下發微分段，則需要首先通過RADIUS屬性解釋功能將其轉換為Vendor ID為25506的廠商私有微分段ID屬性（編號為182）。

【舉例】

# 在RADIUS方案radius1中，開啟廠商私有182號屬性解析為授權VLAN的功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 182 vendor-id 25506 vlan

【相關命令】

· attribute translate

· display radius scheme

1.4.10 attribute convert (RADIUS DAE server view)

attribute convert命令用來配置RADIUS屬性轉換規則。

undo attribute convert命令用來刪除RADIUS屬性轉換規則。

【命令】

attribute convert src-attr-name to dest-attr-name { { coa-ack | coa-request } * | { received | sent } * }

undo attribute convert [ src-attr-name ]

【缺省情況】

不存在RADIUS屬性轉換規則，係統按照標準RADIUS協議對RADIUS屬性進行處理。

【視圖】

RADIUS DAE服務器視圖

【缺省用戶角色】

network-admin

【參數】

src-attr-name：源屬性名稱，為1～63個字符的字符串，不區分大小寫。該屬性必須為係統支持的屬性。

dest-attr-name：目的屬性名稱，為1～63個字符的字符串，不區分大小寫。該屬性必須為係統支持的屬性。

coa-ack：COA應答報文。

coa-request：COA請求報文。

received：接收到的DAE報文。

sent：發送的DAE報文。

【使用指導】

RADIUS屬性轉換規則中的源屬性內容將被按照目的屬性的含義來處理。

隻有在RADIUS屬性解釋功能開啟之後，RADIUS屬性轉換規則才能生效。

配置RADIUS屬性轉換規則時，需要遵循以下原則：

· 源屬性內容和目的屬性內容的數據類型必須相同。

· 源屬性和目的屬性的名稱不能相同。

· 一個屬性隻能按照一種方式（按報文類型或報文處理方向）進行轉換。

· 一個源屬性不能同時轉換為多個目的屬性。

執行undo attribute convert命令時，如果不指定源屬性名稱，則表示刪除所有RADIUS屬性轉換規則。

【舉例】

# 在RADIUS DAE服務器視圖下，配置一條RADIUS屬性轉換規則，指定將接收到的DAE報文中的Hw-Server-String屬性轉換為Connect-Info屬性。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] attribute convert Hw-Server-String to Connect-Info received

【相關命令】

· attribute translate

1.4.11 attribute convert (RADIUS scheme view)

attribute convert命令用來配置RADIUS屬性轉換規則。

undo attribute convert命令用來刪除RADIUS屬性轉換規則。

【命令】

attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }

undo attribute convert [ src-attr-name ]

【缺省情況】

不存在RADIUS屬性轉換規則，係統按照標準RADIUS協議對RADIUS屬性進行處理。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

src-attr-name：源屬性名稱，為1～63個字符的字符串，不區分大小寫。該屬性必須為係統支持的屬性。

dest-attr-name：目的屬性名稱，為1～63個字符的字符串，不區分大小寫。該屬性必須為係統支持的屬性。

access-accept：RADIUS認證成功報文。

access-request：RADIUS認證請求報文。

accounting：RADIUS計費報文。

received：接收到的RADIUS報文。

sent：發送的RADIUS報文。

【使用指導】

RADIUS屬性轉換規則中的源屬性內容將被按照目的屬性的含義來處理。

隻有在RADIUS屬性解釋功能開啟之後，RADIUS屬性轉換規則才能生效。

配置RADIUS屬性轉換規則時，需要遵循以下原則：

· 源屬性內容和目的屬性內容的數據類型必須相同。

· 源屬性和目的屬性的名稱不能相同。

· 一個屬性隻能按照一種方式（按報文類型或報文處理方向）進行轉換。

· 一個源屬性不能同時轉換為多個目的屬性。

執行undo attribute convert命令時，如果不指定源屬性名稱，則表示刪除所有RADIUS屬性轉換規則。

【舉例】

# 在RADIUS方案radius1中，配置一條RADIUS屬性轉換規則，指定將接收到的RADIUS報文中的Hw-Server-String屬性轉換為Connect-Info屬性。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute convert Hw-Server-String to Connect-Info received

【相關命令】

· attribute translate

1.4.12 attribute reject (RADIUS DAE server view)

attribute reject命令用來配置RADIUS屬性禁用。

undo attribute reject命令用來取消配置的RADIUS屬性禁用。

【命令】

attribute reject attr-name { { coa-ack | coa-request } * | { received | sent } * }

undo attribute reject [ attr-name ]

【缺省情況】

不存在RADIUS屬性禁用規則。

【視圖】

RADIUS DAE服務器視圖

【缺省用戶角色】

network-admin

【參數】

attr-name：RADIUS屬性名稱，為1～63個字符的字符串，不區分大小寫。該屬性必須為係統支持的屬性。

coa-ack：COA應答報文。

coa-request：COA請求報文。

received：接收到的DAE報文。

sent：發送的DAE報文。

【使用指導】

當設備發送的RADIUS報文中攜帶了RADIUS服務器無法識別的屬性時，可以定義基於發送方向的屬性禁用規則，使得設備發送RADIUS報文時，將該屬性從報文中刪除。

當RADIUS服務器發送給設備的某些屬性是設備不希望收到的屬性時，可以定義基於接收方向的屬性禁用規則，使得設備接收RADIUS報文時，不處理報文中的該屬性。

當某些類型的屬性是設備不希望處理的屬性時，可以定義基於類型的屬性禁用規則。

隻有在RADIUS屬性解釋功能開啟之後，RADIUS屬性禁用規則才能生效。

一個屬性隻能按照一種方式（按報文類型或報文處理方向）進行禁用。

執行undo attribute reject命令時，如果不指定屬性名稱，則表示刪除所有RADIUS屬性禁用規則。

【舉例】

# 在RADIUS DAE服務器視圖下，配置一條RADIUS屬性禁用規則，指定禁用發送的DAE報文中的Connect-Info屬性。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] attribute reject Connect-Info sent

【相關命令】

· attribute translate

1.4.13 attribute reject (RADIUS scheme view)

attribute reject命令用來配置RADIUS屬性禁用規則。

undo attribute reject命令用來刪除RADIUS屬性禁用規則。

【命令】

attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }

undo attribute reject [ attr-name ]

【缺省情況】

不存在RADIUS屬性禁用規則。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

attr-name：RADIUS屬性名稱，為1～63個字符的字符串，不區分大小寫。該屬性必須為係統支持的屬性。

access-accept：RADIUS認證成功報文。

access-request：RADIUS認證請求報文。

accounting：RADIUS計費報文。

received：接收到的RADIUS報文。

sent：發送的RADIUS報文。

【使用指導】

當RADIUS服務器發送給設備的某些屬性是不希望收到的屬性時，可以定義基於接收方向的屬性禁用規則，使得設備接收RADIUS報文時，不處理報文中的該屬性。

當某些類型的屬性是設備不希望處理的屬性時，可以定義基於類型的屬性禁用規則。

隻有在RADIUS屬性解釋功能開啟之後，RADIUS屬性禁用規則才能生效。

一個屬性隻能按照一種方式（按報文類型或報文處理方向）進行禁用。

執行undo attribute reject命令時，如果不指定屬性名稱，則表示刪除所有RADIUS屬性禁用規則。

【舉例】

# 在RADIUS方案radius1中，配置一條RADIUS屬性禁用規則，指定禁用發送的RADIUS報文中的Connect-Info屬性。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute reject Connect-Info sent

【相關命令】

· attribute translate

1.4.14 attribute remanent-volume

attribute remanent-volume命令用來配置RADIUS Remanent-Volume屬性的流量單位。

undo attribute remanent-volume命令用來恢複缺省情況。

【命令】

attribute remanent-volume unit { byte | giga-byte | kilo-byte | mega-byte }

undo attribute remanent-volume unit

【缺省情況】

Remanent-Volume屬性的流量單位是千字節。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

byte：表示流量單位為字節。

giga-byte：表示流量單位為千兆字節。

kilo-byte：表示流量單位為千字節。

mega-byte：表示流量單位為兆字節。

【使用指導】

Remanent-Volume屬性為H3C自定義RADIUS屬性，攜帶在RADIUS服務器發送給接入設備的認證響應或實時計費響應報文中，用於向接入設備通知在線用戶的剩餘流量值。設備管理員通過本命令設置的流量單位應與RADIUS服務器上統計用戶流量的單位保持一致，否則設備無法正確使用Remanent-Volume屬性值對用戶進行計費。

【舉例】

# 在RADIUS方案radius1中，設置RADIUS服務器下發的Remanent-Volume屬性的流量單位為千字節。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute remanent-volume unit kilo-byte

【相關命令】

· display radius scheme

1.4.15 attribute translate

attribute translate命令用來開啟RADIUS屬性解釋功能。

undo attribute translate命令用來關閉RADIUS屬性解釋功能。

【命令】

attribute translate

undo attribute translate

【缺省情況】

RADIUS屬性解釋功能處於關閉狀態。

【視圖】

RADIUS方案視圖/RADIUS DAE服務器視圖

【缺省用戶角色】

network-admin

【使用指導】

不同廠商的RADIUS服務器所支持的RADIUS屬性集有所不同，而且相同屬性的用途也可能不同。為了兼容不同廠商的服務器的RADIUS屬性，需要開啟RADIUS屬性解釋功能，並定義相應的RADIUS屬性轉換規則和RADIUS屬性禁用規則。

【舉例】

# 在RADIUS方案radius1中，開啟RADIUS屬性解釋功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute translate

【相關命令】

· attribute convert

· attribute reject

1.4.16 attribute vendor-id 2011 version

attribute vendor-id 2011 version命令用來配置Vendor ID為2011的RADIUS服務器版本號。

undo attribute vendor-id 2011 version命令用來恢複缺省情況。

【命令】

attribute vendor-id 2011 version { 1.0 | 1.1 }

undo attribute vendor-id 2011 version

【缺省情況】

設備采用版本1.0與Vendor ID為2011的RADIUS服務器交互。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

1.0：版本1.0。

1.1：版本1.1。

【使用指導】

當設備與Vendor ID為2011的RADIUS服務器交互時，需要保證本命令設置的服務器版本號與對端服務器的實際版本號一致，否則會導致部分RADIUS屬性解析錯誤。該廠商相關RADIUS屬性在設備上的解析情況如下：

· 當RADIUS服務器下發屬性HW_ARRT_26_1時，如果設備采用1.0版本，則將該屬性解析為用戶的上行峰值速率；如果設備采用1.1版本，則將其解析為上行突發尺寸。

· 當RADIUS服務器下發屬性HW_ARRT_26_2時，無論設備采用1.0版本或1.1版本，均將該屬性解析為用戶的上行平均速率。

· 當RADIUS服務器下發屬性HW_ARRT_26_3時，如果設備采用1.0版本，則不處理該屬性；如果設備采用1.1版本，則將其解析為上行峰值速率。

· 當RADIUS服務器下發屬性HW_ARRT_26_4時，如果設備采用1.0版本，則將該屬性解析為用戶的下行峰值速率；如果設備采用1.1版本，則將其解析為下行突發尺寸。

· 當RADIUS服務器下發屬性HW_ARRT_26_5時，無論設備采用1.0版本或1.1版本，均將該屬性解析為用戶的下行平均速率。

· 當RADIUS服務器下發屬性HW_ARRT_26_6時，如果設備采用1.0版本，則不處理該屬性；如果設備采用1.1版本，則將其解析為下行峰值速率。

【舉例】

# 在RADIUS方案radius1中，配置Vendor ID為2011的RADIUS服務器版本號為1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute vendor-id 2011 version 1.1

【相關命令】

· display radius scheme

1.4.17 client

client命令用來指定RADIUS DAE客戶端。

undo client命令用來刪除指定的RADIUS DAE客戶端。

【命令】

client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vendor-id 2011 version { 1.0 | 1.1 } ] *

undo client { ip ipv4-address | ipv6 ipv6-address }

【缺省情況】

未指定RADIUS DAE客戶端。

【視圖】

RADIUS DAE服務器視圖

【缺省用戶角色】

network-admin

【參數】

ip ipv4-address：RADIUS DAE客戶端IPv4地址。

ipv6 ipv6-address：RADIUS DAE客戶端IPv6地址。

key：與RADIUS DAE客戶端交互DAE報文時使用的共享密鑰。此共享密鑰的設置必須與RADIUS DAE客戶端的共享密鑰設置保持一致。如果此處未指定本參數，則對應的RADIUS DAE客戶端上也必須未指定。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

vendor-id 2011：表示RADIUS DAE客戶端的Vendor-ID為2011。

version：版本號。

1.0：版本1.0。

1.1：版本1.1。

string：密鑰字符串，區分大小寫。明文密鑰為1～64個字符的字符串；密文密鑰為1～117個字符的字符串。

【使用指導】

開啟RADIUS DAE服務之後，設備會監聽並處理指定的RADIUS DAE客戶端發起的DAE請求消息（用於動態授權修改或斷開連接），並向其發送應答消息。對於非指定的RADIUS DAE客戶端的DAE報文進行丟棄處理。

可通過多次執行本命令指定多個RADIUS DAE客戶端。

缺省情況下，設備支持與版本1.0的Vendor-ID為2011的RADIUS DAE客戶端通信，若對端為1.1版本，則需要通過指定vendor-id 2011 version 1.1參數來保證版本的一致性，否則無法正確解析部分DAE請求。

【舉例】

# 設置RADIUS DAE客戶端的IP地址為10.110.1.2，與RADIUS DAE客戶端交互DAE報文時使用的共享密鑰為明文123456。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] client ip 10.110.1.2 key simple 123456

【相關命令】

· radius dynamic-author server

· port

1.4.18 data-flow-format (RADIUS scheme view)

data-flow-format命令用來配置發送到RADIUS服務器的數據流及數據包的單位。

undo data-flow-format命令用來恢複缺省情況。

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【缺省情況】

數據流的單位為字節，數據包的單位為包。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

data：設置數據流的單位。

· byte：數據流的單位為字節。

· giga-byte：數據流的單位千兆字節。

· kilo-byte：數據流的單位為千字節。

· mega-byte：數據流的單位為兆字節。

packet：設置數據包的單位。

· giga-packet：數據包的單位為千兆包。

· kilo-packet：數據包的單位為千包。

· mega-packet：數據包的單位為兆包。

· one-packet：數據包的單位為包。

【使用指導】

設備上配置的發送給RADIUS服務器的數據流單位及數據包單位應與RADIUS服務器上的流量統計單位保持一致，否則無法正確計費。

【舉例】

# 在RADIUS方案radius1中，設置發往RADIUS服務器的數據流單位為千字節、數據包單位為千包。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet

【相關命令】

· display radius scheme

1.4.19 display radius scheme

display radius scheme命令用來顯示RADIUS方案的配置信息。

【命令】

display radius scheme [ radius-scheme-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

radius-scheme-name：RADIUS方案名，為1～32個字符的字符串，不區分大小寫。如果不指定該參數，則表示所有RADIUS方案。

【使用指導】

顯示指定RADIUS方案配置信息時，會同時顯示每一個RADIUS服務器當前Active狀態的持續時間以及最近5次狀態變化信息；顯示所有RADIUS方案配置信息時，會同時顯示每一個RADIUS服務器當前Active狀態的持續時間以及最近1次Block狀態的開始時間和結束時間。

【舉例】

# 顯示所有RADIUS方案的配置信息。

<Sysname> display radius scheme

Total 1 RADIUS schemes

------------------------------------------------------------------

RADIUS scheme name: radius1

Index : 0

Primary authentication server:

IP : 2.2.2.2 Port: 1812

VPN : Not configured

State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)

Most recent blocked period: 2019/08/08 20:33:45 – 2019/08/08 20:38:45

Test profile: 132

Probe username: test

Probe interval: 60 minutes

Probe count : 5

Primary accounting server:

IP : 1.1.1.1 Port: 1813

VPN : Not configured

State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)

Most recent blocked period: 2019/08/08 20:33:45 - 2019/08/08 20:38:45

Second authentication server:

IP : 3.3.3.3 Port: 1812

VPN : Not configured

State: Blocked

Most recent blocked period: 2019/08/08 20:33:45 - now

Test profile: Not configured

Second accounting server:

IP : 3.3.3.3 Port: 1813

VPN : Not configured

State: Blocked (mandatory)

Most recent blocked period: 2019/08/08 20:33:45 - now

Accounting-On function : Enabled

extended function : Disabled

retransmission times : 5

retransmission interval(seconds) : 2

Timeout Interval(seconds) : 3

Retransmission Times : 3

Retransmission Times for Accounting Update : 5

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(seconds) : 22

NAS IP Address : 1.1.1.1

VPN : Not configured

User Name Format : with-domain

Data flow unit : Megabyte

Packet unit : One

Attribute 15 check-mode : Strict

Attribute 25 : CAR

Attribute Remanent-Volume unit : Mega

RADIUS server version (vendor ID 2011) : 1.0

Attribute 30 format : hh:hh:hh:hh:hh:hh:SSID

Attribute 30 MAC format : hh:hh:hh:hh:hh:hh

Attribute 31 MAC format : hh:hh:hh:hh:hh:hh

Attribute 17 carry old password : Disabled

Attribute 182 vendor-ID 25506 VLAN : Enabled

H3c-DHCP-Option attribute format : Format 2 (2-byte Type field)

Username authorization : Applied

------------------------------------------------------------------

# 顯示RADIUS方案radius1的配置信息。

<Sysname> display radius scheme radius1

RADIUS scheme name: radius1

Index: 0

Primary authentication server:

IP : 2.2.2.2 Port: 1812

VPN : Not configured

State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)

Most recent state changes:

2019/08/08 20:38:45 Changed to active state

2019/08/08 20:33:45 Changed to blocked state

2019/08/08 20:31:19 Changed to active state

2019/08/08 20:26:19 Changed to blocked state

2019/08/08 20:26:00 Changed to active state

Test profile: 132

Probe username: test

Probe interval: 60 minutes

Probe count : 5

Primary accounting server:

IP : 1.1.1.1 Port: 1813

VPN : Not configured

State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)

Most recent state changes:

2019/08/08 20:38:45 Changed to active state

2019/08/08 20:33:45 Changed to blocked state

2019/08/08 20:31:19 Changed to active state

2019/08/08 20:26:19 Changed to blocked state

2019/08/08 20:26:00 Changed to active state

Second authentication server:

IP : 3.3.3.3 Port: 1812

VPN : Not configured

State: Blocked

Most recent state changes:

2019/08/08 20:56:22 Changed to blocked state

2019/08/08 20:48:45 Changed to active state

2019/08/08 20:43:45 Changed to blocked state

2019/08/08 20:41:19 Changed to active state

2019/08/08 20:46:19 Changed to blocked state

Test profile: Not configured

Second accounting server:

IP : 3.3.3.3 Port: 1813

VPN : Not configured

State: Blocked (mandatory)

Most recent state changes:

2019/08/08 20:56:22 Changed to blocked state

2019/08/08 20:48:45 Changed to active state

2019/08/08 20:43:45 Changed to blocked state

2019/08/08 20:41:19 Changed to active state

2019/08/08 20:46:19 Changed to blocked state

Accounting-On function : Disabled

extended function : Disabled

retransmission times : 5

retransmission interval(seconds) : 2

Timeout Interval(seconds) : 3

Retransmission Times : 3

Retransmission Times for Accounting Update : 5

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(seconds) : 22

NAS IP Address : 1.1.1.1

VPN : Not configured

User Name Format : with-domain

Data flow unit : Megabyte

Packet unit : One

Attribute 15 check-mode : Strict

Attribute 25 : CAR

Attribute Remanent-Volume unit : Mega

RADIUS server version (vendor ID 2011) : 1.0

Attribute 30 MAC format : HH-HH-HH-HH-HH-HH

Attribute 31 MAC format : hh:hh:hh:hh:hh:hh

Attribute 17 carry old password : Disabled

Attribute 182 vendor-ID 25506 VLAN : Enabled

H3c-DHCP-Option attribute format : Format 2 (2-byte Type field)

Username authorization : Applied

Parsing rules for attribute 18:

If match: "new pin"

Action: New password

If match: "challenge"

Action: Next token

表1-7 display radius scheme命令顯示信息描述表

字段	描述
Total 1 RADIUS schemes.	共計1個RADIUS方案
RADIUS scheme name	RADIUS方案的名稱
Index	RADIUS方案的索引號
Primary authentication server	主RADIUS認證服務器
Primary accounting server	主RADIUS計費服務器
Second authentication server	從RADIUS認證服務器
Second accounting server	從RADIUS計費服務器
IP	RADIUS認證/計費服務器IP地址未配置時，顯示為Not configured
Port	RADIUS認證/計費服務器接入端口號未配置時，顯示缺省值
State	RADIUS認證/計費服務器目前狀態 · Active：激活狀態 · Blocked：自動轉換的靜默狀態 · Blocked (mandatory)：手工配置的靜默狀態若狀態為Active，則同時顯示該狀態的持續時間
duration	RADIUS服務器當前Active狀態的持續時間
Most recent blocked period	RADIUS服務器最後一次轉換為Block狀態的開始時間及結束時間。若最終狀態為Block狀態，則結束時間用“now”表示
Most recent state changes	RADIUS服務器最近5次的狀態變化信息
VPN	（暫不支持）RADIUS認證/計費服務器或RADIUS方案所在的VPN 未配置時，顯示為Not configured
Test profile	探測服務器狀態使用的模板名稱
Probe username	探測服務器狀態使用的用戶名
Probe interval	探測服務器狀態的周期（單位為分鍾）
Probe count	每一輪可達性判斷所需的連續探測次數
Accounting-On function	accounting-on功能的開啟情況
extended function	accounting-on擴展功能的開啟情況
retransmission times	accounting-on報文的發送嚐試次數
retransmission interval(seconds)	accounting-on報文的重發間隔（單位為秒）
Timeout Interval(seconds)	RADIUS服務器超時時間（單位為秒）
Retransmission Times	發送RADIUS報文的最大嚐試次數
Retransmission Times for Accounting Update	實時計費更新報文的最大嚐試次數
Server Quiet Period(minutes)	RADIUS服務器恢複激活狀態的時間（單位為分鍾）
Realtime Accounting Interval(seconds)	實時計費更新報文的發送間隔（單位為秒）
NAS IP Address	發送RADIUS報文的源IP地址未配置時，顯示為Not configured
User Name Format	發送給RADIUS服務器的用戶名格式 · with-domain：攜帶域名 · without-domain：不攜帶域名 · keep-original：與用戶輸入保持一致
Data flow unit	數據流的單位
Packet unit	數據包的單位
Attribute 15 check-mode	對RADIUS Attribute 15的檢查方式，包括以下兩種取值： · Strict：表示使用RADIUS標準屬性值和私有擴展的屬性值進行檢查 · Loose：表示使用RADIUS標準屬性值進行檢查
Attribute 25	對RADIUS Attribute 25的處理，包括以下兩種取值： · Standard：表示不對RADIUS Attribute 25進行解析 · CAR：表示將RADIUS 25號屬性解析為CAR參數
Attribute Remanent-Volume unit	RADIUS Remanent-Volume屬性的流量單位
RADIUS server version (vendor ID 2011)	Vendor ID為2011的RADIUS服務器版本號，包括1.0和1.1兩種取值
Attribute 30 format	RADIUS Attribute 30的格式
Attribute 30 MAC format	RADIUS Attribute 30中攜帶的MAC地址格式
Attribute 31 MAC format	RADIUS Attribute 31中攜帶的MAC地址格式
Attribute 17 carry old password	對 RADIUS Attribute 17 的處理，包括以下兩種取值： · Enabled：表示開啟了在線用戶修改密碼功能，使用RADIUS 17號屬性攜帶舊密碼 · Disabled：表示不支持在線修改用戶密碼功能
Attribute 182 vendor-ID 25506 VLAN	Vendor ID為25506的廠商私有182號屬性解釋為授權VLAN功能的開啟情況
H3c-DHCP-Option attribute format	RADIUS報文中封裝屬性H3c-DHCP-Option時所采用的封裝格式： · Format 1 (1-byte Type field)：封裝該屬性時，屬性的Type字段長度為1字節。該方式封裝的屬性適用於與大多數的RADIUS服務器互通 · Format 2 (2-byte Type field)：封裝該屬性時，屬性的Type字段長度為2字節。該方式封裝的屬性適用於與特殊RADIUS服務器互通，例如HUAWEI的RADIUS服務器如果RADIUS報文中未攜帶屬性H3c-DHCP-Option，則不顯示該信息
Username authorization	RADIUS服務器下發的用戶名處理 · Applied：表示接受RADIUS服務器下發的用戶名 · Not applied：表示不接受RADIUS服務器下發的用戶名
Parsing rules for attribute 18	RADIUS 18號屬性的解析規則
If match	匹配表達式，為雙引號內的字符串
Action	當該屬性攜帶的信息包含匹配表達式時，表示的動作含義： · New password：表示要求用戶輸入新密碼 · Next token：表示采用雙因子認證機製，且需要用戶提交下一個身份認證因素進行二次驗證

1.4.20 display radius statistics

display radius statistics命令用來顯示RADIUS報文的統計信息。

【命令】

display radius statistics

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【舉例】

# 顯示RADIUS報文的統計信息。

<Sysname> display radius statistics

Auth. Acct. SessCtrl.

Request Packet: 0 0 0

Retry Packet: 0 0 -

Timeout Packet: 0 0 -

Access Challenge: 0 - -

Account Start: - 0 -

Account Update: - 0 -

Account Stop: - 0 -

Terminate Request: - - 0

Set Policy: - - 0

Packet With Response: 0 0 0

Packet Without Response: 0 0 -

Access Rejects: 0 - -

Dropped Packet: 0 0 0

Check Failures: 0 0 0

表1-8 display radius statistics命令顯示信息描述表

字段	描述
Auth.	認證報文
Acct.	計費報文
SessCtrl.	Session-control報文
Request Packet	發送的請求報文總數
Retry Packet	重傳的請求報文總數
Timeout Packet	超時的請求報文總數
Access Challenge	Access challenge報文數
Account Start	計費開始報文的數目
Account Update	計費更新報文的數目
Account Stop	計費結束報文的數目
Terminate Request	服務器強製下線報文的數目
Set Policy	更新用戶授權信息報文的數目
Packet With Response	有回應信息的報文數
Packet Without Response	無回應信息的報文數
Access Rejects	認證拒絕報文的數目
Dropped Packet	丟棄的報文數
Check Failures	報文校驗錯誤的報文數目

【相關命令】

· reset radius statistics

1.4.21 exclude

exclude命令用來配置RADIUS報文中不能攜帶的屬性。

undo exclude命令用來取消在RADIUS報文中不能攜帶的屬性配置。

【命令】

exclude { accounting | authentication } name attribute-name

undo exclude { accounting | authentication } name attribute-name

【缺省情況】

未配置RADIUS報文中不能攜帶的屬性。

【視圖】

RADIUS屬性測試組視圖

【缺省用戶角色】

network-admin

【參數】

accounting：表示RADIUS計費請求報文。

authentication：表示RADIUS認證請求報文。

name attribute-name：RADIUS屬性名稱，為1～63個字符的字符串，不區分大小寫。這些屬性為RADIUS報文中缺省攜帶的屬性，具體包括：Service-Type、Framed-Protocol、NAS-Identifier、Acct-Delay-Time、Acct-Session-Id、Acct-Terminate-Cause和NAS-Port-Type，其中Service-Type、Framed-Protocol、NAS-Identifier，Acct-Session-Id和NAS-Port-Type為認證請求報文缺省攜帶的屬性，NAS-Identifier、Acct-Delay-Time、Acct-Session-Id和Acct-Terminate-Cause為計費請求報文缺省攜帶的屬性。

【使用指導】

通過本命令配置的RADIUS屬性將不會在屬性測試過程中被攜帶在相應的RADIUS請求報文中發送給RADIUS服務器。在實際測試過程中，可通過本命令排除掉RADIUS報文中攜帶的一些基礎屬性，來輔助排查認證/計費故障。

如果一個屬性已經被配置為需要攜帶在RADIUS報文中（通過include命令），則需要先執行undo include命令取消該配置，才能將其配置為不攜帶在RADIUS報文中。

【舉例】

# 在RADIUS屬性測試組t1中，配置在RADIUS認證請求報文中不攜帶屬性名稱為Service-Type的標準屬性。

<Sysname> system-view

[Sysname] radius attribute-test-group t1

[Sysname-radius-attr-test-grp-t1] exclude authentication name Service-Type

【相關命令】

· include

· test-aaa

1.4.22 include

include命令用來配置RADIUS報文中攜帶的屬性。

undo include命令用來取消指定的屬性配置。

【命令】

include { accounting | authentication } { name attribute-name | [ vendor vendor-id ] code attribute-code } type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string } value attribute-value

undo include { accounting | authentication} { name attribute-name | [ vendor vendor-id ] code attribute-code }

【缺省情況】

未配置RADIUS報文中攜帶的屬性。

【視圖】

RADIUS屬性測試組視圖

【缺省用戶角色】

network-admin

【參數】

accounting：表示RADIUS計費請求報文。

authentication：表示RADIUS認證請求報文。

name attribute-name：標準RADIUS屬性名稱，為1～63個字符的字符串，不區分大小寫。

vendor vendor-id：RADIUS屬性所屬的設備廠商標識。vendor-id為廠商標識號碼，取值範圍為1～65535。如果不指定該參數，則表示RADIUS屬性為標準屬性。其中，2011表示HUAWEI，25506表示H3C，9表示Cisco，311表示Microsoft，43表示3COM，3561表示DSL論壇，20942表示中國電信，40808表示WFA無線，2636表示Juniper，28357表示CMCC。

code attribute-code：RADIUS屬性編號，取值範圍為1～255。

type：屬性內容的數據類型，包括以下取值：

· binary：二進製類型。

· date：時間類型。

· integer：整數類型。

· interface-id：接口ID類型。

· ip：IPv4地址類型。

· ipv6：IPv6地址類型。

· ipv6-prefix：IPv6地址前綴類型。

· octets：八進製類型。

· string：字符串類型。

value attribute-value：RADIUS屬性值，取值與數據類型有關，具體如下：

· 二進製屬性值：1～256個十六進製字符，表示最多128個字節的二進製數。

· 時間類型屬性值：0～4294967295。

· 整數類型屬性值：0～4294967295。

· 接口ID類型屬性值：1～ffffffffffffffff。

· IPv6地址前綴類型屬性值：prefix/prefix-length樣式。

· 八進製屬性值：1～256個十六進製字符，表示最多128個字節的八進製數。

· 字符串類型屬性值：1～253個字符。

【使用指導】

可以通過本命令配置RADIUS報文中攜帶的屬性以及對應的屬性值，具體情況如下：

· 對於RADIUS報文中默認攜帶的屬性，可通過include命令來修改屬性取值，並可通過undo include命令將該屬性值恢複為缺省值。RADIUS報文中默認攜帶的能夠修改的屬性包括：

¡ 認證請求報文默認攜帶的屬性：User-Name、CHAP-Password（User-Password）、CHAP-Challenge、NAS-IP-Address（NAS-IPv6-Address）、Service-Type、Framed-Protocol、NAS-Identifier、NAS-Port-Type、Acct-Session-Id。

¡ 計費請求報文默認攜帶的屬性：User-Name、Acct-Status-Type、NAS-IP-Address（NAS-IPv6-Address）、NAS-Identifier、Acct-Session-Id、Acct-Delay-Time、Acct-Terminate-Cause。

· 對於並非RADIUS報文中默認攜帶的屬性，可通過include命令將其添加在RADIUS報文中，並可通過undo include命令將該屬性從RADIUS報文中刪除。

為了保證測試效果的準確性，請務必保證各屬性參數的匹配性，比如屬性值要匹配屬性類型。

保存在配置文件中的標準屬性的屬性名稱將被轉換為屬性編號的形式。

如果一個屬性已經被配置為不能攜帶在RADIUS報文中（通過exclude命令），則需要先執行undo exclude命令取消該配置，才能將其配置為攜帶在RADIUS報文中。

設備按照配置的先後順序在RADIUS報文中添加RADIUS屬性，由於RADIUS報文最大長度為4096個字節，如果配置了過多的RADIUS屬性，則在報文長度超過最大值後，部分屬性將不會被添加在報文中。因此，請合理規劃要添加的RADIUS報文屬性數目。

【舉例】

# 在RADIUS屬性測試組t1中，配置在RADIUS認證請求報文中攜帶一個標準屬性：名稱為Calling-Station-Id，屬性值為08-00-27-00-34-D8。

<Sysname> system-view

[Sysname] radius attribute-test-group t1

[Sysname-radius-attr-test-grp-t1] include authentication name Calling-Station-Id type string value 08-00-27-00-34-d8

【相關命令】

· exclude

· test-aaa

1.4.23 include-attribute h3c-dhcp-option

include-attribute h3c-dhcp-option命令用來配置在RADIUS報文中攜帶私有屬性H3c-DHCP-Option。

undo include-attribute h3c-dhcp-option命令用來恢複缺省情況。

【命令】

include-attribute h3c-dhcp-option format { format1 | format2 }

undo include-attribute h3c-dhcp-option

【缺省情況】

RADIUS報文中未攜帶私有屬性H3c-DHCP-Option。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

format：指定屬性的封裝格式。

· format1：屬性的Type字段長度為1字節。該格式封裝的屬性適用於與大多數的RADIUS服務器互通。

· format2：屬性的Type字段長度為2字節。該格式封裝的屬性適用於與特殊RADIUS服務器互通，例如HUAWEI的RADIUS服務器。

【使用指導】

設備廠商可以通過對RADIUS協議中的26號屬性進行擴展，以實現標準RADIUS未定義的功能。我司定義了私有屬性H3c-DHCP-Option，用來攜帶客戶端的DHCP Option信息。設備通過在RADIUS認證請求報文、計費開始請求報文或計費更新請求報文中攜帶該屬性，將客戶端的DHCP Option信息發送給RADIUS服務器。

是否需要設備在RADIUS報文中攜帶H3c-DHCP-Option屬性，以及采用哪種封裝格式，請以RADIUS服務器的要求為準。

【舉例】

# 在RADIUS方案rad中，配置在RADIUS報文中攜帶私有屬性H3c-DHCP-Option，且屬性的封裝格式為format2。

<Sysname> system-view

[Sysname] radius scheme rad

[Sysname-radius-rad] include-attribute h3c-dhcp-option format format2

【相關命令】

· display radius scheme

1.4.24 key (RADIUS scheme view)

key命令用來配置RADIUS報文的共享密鑰。

undo key命令用來刪除RADIUS報文的共享密鑰。

【命令】

key { accounting | authentication } { cipher | simple } string

undo key { accounting | authentication }

【缺省情況】

未配置RADIUS報文的共享密鑰。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

accounting：指定RADIUS計費報文的共享密鑰。

authentication：指定RADIUS認證報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～64個字符的字符串；密文密鑰為1～117個字符的字符串。

【使用指導】

設備優先采用配置RADIUS認證/計費服務器時指定的報文共享密鑰，本配置中指定的報文共享密鑰僅在配置RADIUS認證/計費服務器時未指定相應密鑰的情況下使用。

必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。

【舉例】

# 在RADIUS方案radius1中，配置計費報文的共享密鑰為明文ok。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key accounting simple ok

【相關命令】

· display radius scheme

1.4.25 nas-ip (RADIUS scheme view)

nas-ip命令用來設置設備發送RADIUS報文使用的源IP地址。

undo nas-ip命令用來刪除指定類型的發送RADIUS報文使用的源IP地址。

【命令】

nas-ip { ipv4-address | ipv6 ipv6-address }

undo nas-ip [ ipv6 ]

【缺省情況】

未指定設備發送RADIUS報文使用的源IP地址，使用係統視圖下由命令radius nas-ip指定的源IP地址。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：指定的源IPv4地址，應該為本機的地址，禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。

ipv6 ipv6-address：指定的源IPv6地址，應該為本機的地址，必須是單播地址，不能為環回地址與本地鏈路地址。

【使用指導】

RADIUS服務器上通過IP地址來標識接入設備，並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證或計費請求。因此，為保證RADIUS報文可被服務器正常接收並處理，接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。

為避免物理接口故障時從服務器返回的報文不可達，推薦使用Loopback接口地址為發送RADIUS報文使用的源IP地址。

RADIUS方案視圖和係統視圖下均可以配置發送RADIUS報文使用的源IP地址，具體生效情況如下：

· RADIUS方案視圖下配置的源IP地址（通過nas-ip命令）隻對本方案有效。

· 係統視圖下的配置的源IP地址（通過radius nas-ip命令）對所有RADIUS方案有效。

· RADIUS方案視圖下的設置具有更高的優先級。

一個RADIUS方案視圖下，最多允許指定一個IPv4源地址和一個IPv6源地址。

如果undo nas-ip命令中不指定任何參數，則表示刪除配置的發送RADIUS報文使用的源IPv4地址。

【舉例】

# 在RADIUS方案radius1中，設置設備發送RADIUS報文使用的源IP地址為10.1.1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] nas-ip 10.1.1.1

【相關命令】

· display radius scheme

· radius nas-ip

1.4.26 port

port命令用來指定RADIUS DAE服務端口。

undo port命令用來恢複缺省情況。

【命令】

port port-number

undo port

【缺省情況】

RADIUS DAE服務端口為3799。

【視圖】

RADIUS DAE服務器視圖

【缺省用戶角色】

network-admin

【參數】

port-number：DAE服務器接收DAE請求消息的UDP端口，取值範圍為1～65535。

【使用指導】

必須保證設備上的RADIUS DAE服務端口與RADIUS DAE客戶端發送DAE報文的目的UDP端口一致。

【舉例】

# 開啟RADIUS DAE服務後，指定DAE服務端口為3790。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] port 3790

【相關命令】

· client

· radius dynamic-author server

1.4.27 primary accounting (RADIUS scheme view)

primary accounting命令用來配置主RADIUS計費服務器。

undo primary accounting命令用來恢複缺省情況。

【命令】

primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *

undo primary accounting

【缺省情況】

未配置主RADIUS計費服務器。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主RADIUS計費服務器的IPv4地址。

ipv6 ipv6-address：主RADIUS計費服務器的IPv6地址。

port-number：主RADIUS計費服務器的UDP端口號，取值範圍為1～65535，缺省值為1813。

key：與主RADIUS計費服務器交互的計費報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～64個字符的字符串；密文密鑰為1～117個字符的字符串。

【使用指導】

配置的主計費服務器的UDP端口號以及計費報文的共享密鑰必須與服務器的配置保持一致。

在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號不能完全相同。

設備與主計費服務器通信時優先使用本命令設置的共享密鑰，如果此處未設置，則使用key accounting命令設置的共享密鑰。

如果在計費開始請求報文發送過程中修改或刪除了正在使用的主計費服務器配置，則設備在與當前服務器通信超時後，將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信；如果在線用戶正在使用的計費服務器被刪除，則設備將無法發送用戶的實時計費請求和停止計費請求，且停止計費報文不會被緩存到本地，這將造成對用戶計費的不準確。

【舉例】

# 在RADIUS方案radius1中，配置主計費服務器的IP地址為10.110.1.2，使用UDP端口1813提供RADIUS計費服務，計費報文的共享密鑰為明文123456TESTacct&!。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!

【相關命令】

· display radius scheme

· key (RADIUS scheme view)

· secondary accounting (RADIUS scheme view)

1.4.28 primary authentication (RADIUS scheme view)

primary authentication命令用來配置主RADIUS認證服務器。

undo primary authentication命令用來恢複缺省情況。

【命令】

primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name ] *

undo primary authentication

【缺省情況】

未配置RADIUS主認證服務器。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主RADIUS認證服務器的IPv4地址。

ipv6 ipv6-address：主RADIUS認證服務器的IPv6地址。

port-number：主RADIUS認證服務器的UDP端口號，取值範圍為1～65535，缺省值為1812。此端口號必須與服務器提供認證服務的端口號保持一致。

key：與主RADIUS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～64個字符的字符串；密文密鑰為1～117個字符的字符串。

test-profile profile-name：RADIUS服務器探測模板名稱，為1～31個字符的字符串，區分大小寫。

【使用指導】

配置的主認證服務器的UDP端口號以及認證報文的共享密鑰必須與服務器的配置保持一致。

在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號不能完全相同。

設備與主認證服務器通信時優先使用本命令設置的共享密鑰，如果本命令中未設置，則使用key authenticaiton命令設置的共享密鑰。

RADIUS認證服務器引用了存在的服務器探測模板後，將會觸發對該服務器的探測功能。

如果在認證過程中修改或刪除了正在使用的主認證服務器配置，則設備在與當前服務器通信超時後，將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。

【舉例】

# 在RADIUS方案radius1中，配置主認證服務器的IP地址為10.110.1.1，使用UDP端口1812提供RADIUS認證/授權服務，認證報文的共享密鑰為明文123456TESTauth&!。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!

【相關命令】

· display radius scheme

· key (RADIUS scheme view)

· radius-server test-profile

· secondary authentication (RADIUS scheme view)

1.4.29 radius attribute extended

radius attribute extended命令用來定義RADIUS擴展屬性。

undo radius attribute extended命令用來刪除定義的RADIUS擴展屬性。

【命令】

radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }

undo radius attribute extended [ attribute-name ]

【缺省情況】

不存在自定義RADIUS擴展屬性。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

attribute-name：RADIUS屬性名稱，為1～63個字符的字符串，不區分大小寫。該名稱不能與係統已支持的（包括標準的以及自定義的）RADIUS屬性名稱相同。

vendor vendor-id：RADIUS屬性所屬的設備廠商標識。vendor-id為廠商標識號碼，取值範圍為1～65535。如果不指定該參數，則表示RADIUS屬性為標準屬性。

code attribute-code：RADIUS屬性在RADIUS屬性集裏的序號，取值範圍為1～255。

type：屬性內容的數據類型，包括以下取值：

· binary：二進製類型。

· date：時間類型。

· integer：整數類型。

· interface-id：接口ID類型。

· ip：IPv4地址類型。

· ipv6：IPv6地址類型。

· ipv6-prefix：IPv6地址前綴類型。

· octets：八進製類型。

· string：字符串類型。

【使用指導】

當係統需要支持其他廠商的私有RADIUS屬性時，可以通過radius attribute extended命令為其定義為一個擴展屬性，並通過attribute convert命令將其映射到係統可以識別的一個已知屬性。這樣，當RADIUS服務器發送給設備的RADIUS報文中攜帶了此類不可識別的私有屬性時，設備將根據已定義的屬性轉換規則將其轉換為可處理的屬性。同理，設備在發送RADIUS報文時也可以將自己可識別的屬性轉換為服務器能識別的屬性。

每一個RADIUS屬性有唯一的屬性名稱，且該屬性的名稱、設備廠商標識以及序號的組合必須在設備上唯一。

執行undo radius attribute extended命令時，如果不指定屬性名稱，則表示刪除所有已定義RADIUS擴展屬性。

【舉例】

# 配置一個RADIUS擴展屬性，名稱為Owner-Password，Vendor ID為122，屬性序號為80，類型為字符串。

<Sysname> system-view

[Sysname] radius attribute extended Owner-Password vendor 122 code 80 type string

【相關命令】

· attribute convert

· attribute reject

1.4.30 radius attribute-test-group

radius attribute-test-group命令用來創建RADIUS屬性測試組，並進入RADIUS屬性測試組視圖。如果指定的RADIUS屬性測試組視圖已經存在，則直接進入RADIUS屬性測試組視圖。

undo radius attribute-test-group命令用來刪除指定的RADIUS屬性測試組。

【命令】

radius attribute-test-group attr-test-group-name

undo radius attribute-test-group attr-test-group-name

【缺省情況】

不存在RADIUS屬性測試組。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

attr-test-group-name：測試組名稱，為1～31個字符的字符串，不區分大小寫。

【使用指導】

RADIUS屬性測試組用於配置向RADIUS服務器發送的認證/計費請求報文中需要攜帶的RADIUS屬性的集合。

係統支持配置多個RADIUS屬性測試組。

【舉例】

# 創建名稱為t1的RADIUS屬性測試組，並進入該視圖。

<Sysname> system-view

[Sysname] radius attribute-test-group t1

[Sysname-radius-attr-test-grp-t1]

【相關命令】

· exclude

· include

· test-aaa

1.4.31 radius dscp

radius dscp命令用來配置RADIUS協議報文的DSCP優先級。

undo radius dscp命令用來恢複缺省情況。

【命令】

radius [ ipv6 ] dscp dscp-value

undo radius [ ipv6 ] dscp

【缺省情況】

RADIUS報文的DSCP優先級為0。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ipv6：表示設置IPv6 RADIUS報文。若不指定該參數，則表示設置IPv4 RADIUS報文。

dscp-value：RADIUS報文的DSCP優先級，取值範圍為0～63。取值越大，優先級越高。

【使用指導】

DSCP攜帶在IP報文中的ToS字段，用來體現報文自身的優先等級，決定報文傳輸的優先程度。通過本命令可以指定設備發送的RADIUS報文攜帶的DSCP優先級的取值。

【舉例】

# 配置IPv4 RADIUS報文的DSCP優先級為10。

<Sysname> system-view

[Sysname] radius dscp 10

1.4.32 radius dynamic-author server

radius dynamic-author server命令用來開啟RADIUS DAE服務，並進入RADIUS DAE服務器視圖。

undo radius dynamic-author server命令用來關閉RADIUS DAE服務。

【命令】

radius dynamic-author server

undo radius dynamic-author server

【缺省情況】

RADIUS DAE服務處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

開啟RADIUS DAE服務後，設備將會監聽指定的RADIUS DAE客戶端發送的DAE請求消息，然後根據請求消息修改用戶授權信息、斷開用戶連接請求。

【舉例】

# 開啟RADIUS DAE服務，並進入RADIUS DAE服務器視圖。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server]

【相關命令】

· client

· port

1.4.33 radius nas-ip

radius nas-ip命令用來設置設備發送RADIUS報文使用的源IP地址。

undo radius nas-ip命令用來刪除指定的發送RADIUS報文使用的源IP地址。

【命令】

radius nas-ip { ipv4-address | ipv6 ipv6-address }

undo radius nas-ip { ipv4-address | ipv6 ipv6-address }

【缺省情況】

未指定發送RADIUS報文使用的源IP地址，設備將使用到達RADIUS服務器的路由出接口的主IPv4地址或IPv6地址作為發送RADIUS報文的源IP地址。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：指定的源IPv4地址，應該為本機的地址，不能為全0地址、全1地址、D類地址、E類地址和環回地址。

ipv6 ipv6-address：指定的源IPv6地址，應該為本機的地址，必須是單播地址，不能為環回地址與本地鏈路地址。

【使用指導】

RADIUS服務器上通過IP地址來標識接入設備，並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證或計費請求。為保證RADIUS報文可被服務器正常接收並處理，接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。

為避免物理接口故障時從服務器返回的報文不可達，推薦使用Loopback接口地址為發送RADIUS報文使用的源IP地址。

RADIUS方案視圖和係統視圖下均可以配置發送RADIUS報文使用的源IP地址，具體情況如下：

· RADIUS方案視圖下配置的源IP地址（通過nas-ip命令）隻對本RADIUS方案有效。

· 係統視圖下的配置的源IP地址（通過radius nas-ip命令）對所有RADIUS方案有效。

· RADIUS方案視圖下的設置具有更高的優先級。

係統視圖下最多允許指定一個IPv4源地址和一個IPv6源地址。

【舉例】

# 設置設備發送RADIUS報文使用的源IP地址為129.10.10.1。

<Sysname> system-view

[Sysname] radius nas-ip 129.10.10.1

【相關命令】

· nas-ip (RADIUS scheme view)

1.4.34 radius scheme

radius scheme命令用來創建RADIUS方案，並進入RADIUS方案視圖。如果指定的RADIUS方案已經存在，則直接進入RADIUS方案視圖。

undo radius scheme命令用來刪除指定的RADIUS方案。

【命令】

radius scheme radius-scheme-name

undo radius scheme radius-scheme-name

【缺省情況】

不存在RADIUS方案。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

radius-scheme-name：RADIUS方案的名稱，為1～32個字符的字符串，不區分大小寫。

【使用指導】

一個RADIUS方案可以同時被多個ISP域引用。

係統最多支持配置16個RADIUS方案。

【舉例】

# 創建名為radius1的RADIUS方案並進入其視圖。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1]

【相關命令】

· display radius scheme

1.4.35 radius session-control client

radius session-control client命令用來指定session control客戶端。

undo radius session-control client命令用來刪除指定的session control客戶端。

【命令】

radius session-control client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string ]

undo radius session-control client { all | ip ipv4-address | ipv6 ipv6-address }

【缺省情況】

未指定session control客戶端。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ip ipv4-address：session control客戶端的IPv4地址。

ipv6 ipv6-address：session control客戶端的IPv6地址。

key：與session control客戶端交互的計費報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～64個字符的字符串；密文密鑰為1～117個字符的字符串。

all：表示所有session control客戶端。

【使用指導】

設備和H3C的iMC RADIUS服務器配合使用時，將作為session control服務器端與其交互，因此需要指定session control客戶端來驗證收到的session control報文的合法性。當設備收到服務器發送的session control報文時，直接根據報文的源IP地址與已有的session control客戶端配置進行匹配，並使用匹配到的客戶端共享密鑰對報文進行驗證。如果報文匹配失敗或設備上未配置session control客戶端，則使用已有的RADIUS方案配置進行匹配，並使用匹配到的認證服務器的共享密鑰對報文進行驗證。

指定的session control客戶端僅在RADIUS session control功能處於開啟狀態時生效。

配置的session control客戶端參數必須與服務器的配置保持一致。

係統支持指定多個session control客戶端。

【舉例】

# 指定一個session control客戶端IP地址為10.110.1.2，共享密鑰為明文12345。

<Sysname> system-view

[Sysname] radius session-control client ip 10.110.1.2 key simple 12345

【相關命令】

· radius session-control enable

1.4.36 radius session-control enable

radius session-control enable命令用來開啟RADIUS session control功能。

undo radius session-control enable命令用來關閉RADIUS session control功能。

【命令】

radius session-control enable

undo radius session-control enable

【缺省情況】

RADIUS session control功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

H3C iMC RADIUS服務器使用session control報文向設備發送授權信息的動態修改請求以及斷開連接請求。開啟RADIUS session control功能後，設備會打開知名UDP端口1812來監聽並接收RADIUS服務器發送的session control報文。

該功能僅能和H3C iMC的RADIUS服務器配合使用。

【舉例】

# 開啟RADIUS session control功能。

<Sysname> system-view

[Sysname] radius session-control enable

1.4.37 radius trap-version

radius trap-version命令用來配置發送RADIUS告警信息采用的MIB節點版本。

undo radius trap-version命令用來恢複缺省情況。

【命令】

radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *

undo radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *

【缺省情況】

使用v1版本的MIB節點發送RADIUS告警信息。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

v1：采用v1版本的MIB節點發送RADIUS告警信息。

v2：采用v2版本的MIB節點發送RADIUS告警信息。

accounting-server-down：表示RADIUS計費服務器可達狀態變為down時發送告警信息。

accounting-server-up：表示RADIUS計費服務器可達狀態變為up時發送告警信息。

authentication-server-down：表示RADIUS認證服務器可達狀態變為down時發送告警信息。

authentication-server-up：表示RADIUS認證服務器可達狀態變為up時發送告警信息。

【使用指導】

請按照NMS（Network Management System，網絡管理係統）的要求，選擇設備需要采用的發送RADIUS告警信息采用的MIB節點版本。

表1-9 v1版本的MIB節點

MIB節點名	OID
hh3cRadiusAuthServerUpTrap	1.3.6.1.4.1.25506.2.13.3.0.1
hh3cRadiusAccServerUpTrap	1.3.6.1.4.1.25506.2.13.3.0.2
hh3cRadiusAuthServerDownTrap	1.3.6.1.4.1.25506.2.13.3.1
hh3cRadiusAccServerDownTrap	1.3.6.1.4.1.25506.2.13.3.2

表1-10 v2版本的MIB節點

MIB節點名	OID
hh3cRadiusAuthenticationServerUpTrap	1.3.6.1.4.1.25506.2.13.3.0.4
hh3cRadiusAccountingServerUpTrap	1.3.6.1.4.1.25506.2.13.3.0.5
hh3cRadiusAuthenticationServerDownTrap	1.3.6.1.4.1.25506.2.13.3.0.6
hh3cRadiusAccountingServerDownTrap	1.3.6.1.4.1.25506.2.13.3.0.7

若不指定任何參數，則表示設備發送所有類型的RADIUS服務器狀態變化告警信息時，均采用相同版本的MIB節點。

多次執行本命令，最後一次執行的命令生效。

【舉例】

# 配置在RADIUS計費服務器可達狀態變為down時發送告警信息采用v2版本的MIB節點。

<Sysname> system-view

[Sysname] radius trap-version v2 accounting-server-down

【相關命令】

· snmp-agent trap enable radius

1.4.38 radius-server test-profile

radius-server test-profile命令用來配置RADIUS服務器探測模板。

undo radius-server test-profile命令用來刪除指定的RADIUS服務器探測模板。

【命令】

radius-server test-profile profile-name username name [ interval interval ] [ probe-count count ]

undo radius-server test-profile profile-name

【缺省情況】

不存在RADIUS服務器探測模板。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

profile-name：探測模板名稱，為1～31個字符的字符串，區分大小寫。

username name：探測報文中的用戶名，為1～253個字符的字符串，區分大小寫。

interval interval：發送探測報文的周期，取值範圍為1～3600，單位為分鍾，缺省值為60。

probe-count count：每一輪可達性判斷所需的連續探測次數，取值範圍為1～10，缺省值為1。

【使用指導】

RADIUS方案視圖下的RADIUS服務器配置成功引用了某探測模板後，若被引用的探測模板存在，則設備將會啟動對該RADIUS服務器的可達性探測。若被引用的探測模板暫不存在，則當該探測模板被成功配置時，針對該服務器的探測過程才會開始。

設備采用探測模板中配置的探測用戶名、密碼構造一個認證請求報文，並在探測周期內選擇隨機時間點向引用了探測模板的RADIUS服務器發送該報文。如果在連續指定數目個探測周期內均收到服務器的認證響應報文，則認為該服務器可達；如果在連續指定數目個探測周期內均未收到服務器的認證響應報文，則認為該服務器不可達；其它情況視為該服務器狀態未改變。

在網絡質量不穩定時，適當增加每一輪可達性判斷的探測次數，可提高探測的準確性，降低誤判率；否則，請減少每一輪可達性判斷的探測次數，以保障探測結果的實效性。

刪除一個RADIUS服務器探測模板時，引用該探測模板的所有RADIUS方案中的RADIUS服務器的探測功能也會被關閉。

係統支持配置多個RADIUS服務器探測模板。

【舉例】

# 配置RADIUS服務器探測模板abc，探測報文中攜帶的用戶名為admin，探測報文的發送間隔為10分鍾，每一輪可達性判斷所需的連續探測次數為2次。

<Sysname> system-view

[Sysname] radius-server test-profile abc username admin interval 10 probe-count 2

【相關命令】

· primary authentication (RADIUS scheme view)

· secondary authentication (RADIUS scheme view)

1.4.39 reset radius statistics

reset radius statistics命令用來清除RADIUS協議的統計信息。

【命令】

reset radius statistics

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【舉例】

# 清除RADIUS協議的統計信息。

<Sysname> reset radius statistics

【相關命令】

· display radius statistics

1.4.40 retry

retry命令用來設置發送RADIUS報文的最大嚐試次數。

undo retry命令用來恢複缺省情況。

【命令】

retry retries

undo retry

【缺省情況】

發送RADIUS報文的最大嚐試次數為3次。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

retries：發送RADIUS報文的最大嚐試次數，取值範圍為1～20。

【使用指導】

由於RADIUS協議采用UDP報文來承載數據，因此其通信過程是不可靠的。如果設備在應答超時定時器規定的時長內（由timer response-timeout命令配置）沒有收到RADIUS服務器的響應，則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數已達到最大傳送次數而RADIUS服務器仍舊沒有響應，則設備將認為本次請求失敗。

需要注意的是：

· 發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間以及配置的RADIUS服務器總數，三者的乘積不能超過接入模塊定義的用戶認證超時時間，否則在RADIUS認證過程完成之前用戶就有可能被強製下線。

· 設備在按照配置順序嚐試與下一個RADIUS服務器通信之前，會首先判斷當前累計嚐試持續時間是否達到或超過300秒，如果超過或達到300秒，將不再向下一個RADIUS服務器發送RADIUS請求報文，即認為該RADIUS請求發送失敗。因此，為了避免某些已部署的RADIUS服務器由於此超時機製而無法被使用到，建議基於配置的RADIUS服務器總數，合理設置發送RADIUS報文的最大嚐試次數以及RADIUS服務器響應超時時間。

【舉例】

# 在RADIUS方案radius1中，設置發送RADIUS報文的最大嚐試次數為5次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry 5

【相關命令】

· radius scheme

· timer response-timeout (RADIUS scheme view)

1.4.41 retry realtime-accounting

retry realtime-accounting命令用來設置允許發起實時計費請求的最大嚐試次數。

undo retry realtime-accounting命令用來恢複缺省情況。

【命令】

retry realtime-accounting retries

undo retry realtime-accounting

【缺省情況】

設備允許發起實時計費請求的最大嚐試次數為5。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

retries：允許發起實時計費請求的最大嚐試次數，取值範圍為1～255。

【使用指導】

RADIUS服務器通常通過連接超時定時器來判斷用戶是否在線。如果RADIUS服務器在連接超時時間之內一直收不到設備傳來的實時計費報文，它會認為線路或設備故障並停止對用戶記帳。為了配合RADIUS服務器的這種特性，有必要在不可預見的故障條件下，盡量保持設備端與RADIUS服務器同步切斷用戶連接。設備提供對實時計費請求連續無響應次數限製的設置，保證設備盡可能得在RADIUS服務器的連接超時時長內向RADIUS服務器嚐試發出實時計費請求。如果設備沒有收到響應的次數超過了設定的限度，才會認為用戶的實時計費失敗。

以lan-access用戶為例，假設RADIUS服務器的應答超時時長（timer response-timeout命令設置）為3秒，發送RADIUS報文的最大嚐試次數（retry命令設置）為3，設備的實時計費間隔（timer realtime-accounting命令設置）為12分鍾，設備允許實時計費無響應的最大次數為5次（retry realtime-accounting命令設置），則其含義為：設備每隔12分鍾發起一次計費請求，如果3秒鍾得不到回應就重新發起一次請求，如果3次發送都沒有得到回應就認為該次實時計費失敗，然後每隔12分鍾再發送一次，5次均失敗以後，設備將認為用戶的實時計費失敗。

【舉例】

# 在RADIUS方案radius1中，設置允許發起實時計費請求的最大嚐試次數為10。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry realtime-accounting 10

【相關命令】

· retry

· timer realtime-accounting (RADIUS scheme view)

· timer response-timeout (RADIUS scheme view)

1.4.42 secondary accounting (RADIUS scheme view)

secondary accounting命令用來配置從RADIUS計費服務器。

undo secondary accounting命令用來刪除指定的從RADIUS計費服務器。

【命令】

secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string ] *

undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number ] ]

【缺省情況】

未配置從RADIUS計費服務器。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從RADIUS計費服務器的IPv4地址。

ipv6 ipv6-address：從RADIUS計費服務器的IPv6地址。

port-number：從RADIUS計費服務器的UDP端口號，取值範圍為1～65535，缺省值為1813。

key：與從RADIUS計費服務器交互的計費報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～64個字符的字符串；密文密鑰為1～117個字符的字符串。

【使用指導】

配置的從計費服務器的UDP端口號以及計費報文的共享密鑰必須與服務器的配置保持一致。

每個RADIUS方案中最多支持配置16個從RADIUS計費服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。

在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號不能完全相同，並且各從計費服務器的IP地址、端口號也不能完全相同。

設備與從計費服務器通信時優先使用本命令設置的共享密鑰，如果此處未設置，則使用命令key accounting命令設置的共享密鑰。

如果在計費開始請求報文發送過程中刪除了正在使用的從服務器配置，則設備在與當前服務器通信超時後，將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。

如果在線用戶正在使用的計費服務器被刪除，則設備將無法發送用戶的實時計費請求和停止計費請求，且停止計費報文不會被緩存到本地。

【舉例】

# 在RADIUS方案radius1中，配置從計費服務器的IP地址為10.110.1.1，使用UDP端口1813提供RADIUS計費服務。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813

# 在RADIUS方案radius2中，配置兩個從計費服務器，IP地址分別為10.110.1.1、10.110.1.2，且均使用UDP端口1813提供RADIUS計費服務。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813

[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813

【相關命令】

· display radius scheme

· key (RADIUS scheme view)

· primary accounting

1.4.43 secondary authentication (RADIUS scheme view)

secondary authentication命令用來配置從RADIUS認證服務器。

undo secondary authentication命令用來刪除指定的從RADIUS認證服務器。

【命令】

secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name ] *

undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number ] ]

【缺省情況】

未配置從RADIUS認證服務器。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從RADIUS認證服務器的IPv4地址。

ipv6 ipv6-address：從RADIUS認證服務器的IPv6地址。

port-number：從RADIUS認證服務器的UDP端口號，取值範圍為1～65535，缺省值為1812。

key：與從RADIUS認證服務器交互的認證報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～64個字符的字符串；密文密鑰為1～117個字符的字符串。

test-profile profile-name：RADIUS服務器探測模板名稱，為1～31個字符的字符串，區分大小寫。

【使用指導】

配置的從認證服務器的UDP端口號以及認證報文的共享密鑰必須與服務器的配置保持一致。

每個RADIUS方案中最多支持配置16個從RADIUS認證服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。

RADIUS認證服務器引用了存在的服務器探測模板後，將會觸發對該服務器的探測功能。

在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號不能完全相同，並且各從認證服務器的IP地址、端口號也不能完全相同。

設備與從認證服務器通信時優先使用本命令設置的共享密鑰，如果此處未設置，則使用命令key authentication命令設置的共享密鑰。

如果在認證過程中刪除了正在使用的從服務器配置，則設備在與當前服務器通信超時後，將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。

【舉例】

# 在RADIUS方案radius1中，配置從認證服務器的IP地址為10.110.1.2，使用UDP端口1812提供RADIUS認證/授權服務。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812

# 在RADIUS方案radius2中，配置兩個從認證服務器，IP地址分別為10.110.1.1、10.110.1.2，且均使用UDP端口1812提供RADIUS認證/授權服務。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812

[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812

【相關命令】

· display radius scheme

· key (RADIUS scheme view)

· primary authentication (RADIUS scheme view)

· radius-server test-profile

1.4.44 snmp-agent trap enable radius

snmp-agent trap enable radius命令用來開啟RADIUS告警功能。

undo snmp-agent trap enable radius命令用來關閉指定的RADIUS告警功能。

【命令】

snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *

undo snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *

【缺省情況】

所有類型的RADIUS告警功能處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

accounting-server-down：表示RADIUS計費服務器可達狀態變為down時發送告警信息。

accounting-server-up：表示RADIUS計費服務器可達狀態變為up時發送告警信息。

authentication-error-threshold：表示認證失敗次數超過閾值時發送告警信息。該閾值為認證失敗次數占認證請求總數的百分比數值，目前僅能通過MIB方式配置，取值範圍為1～100，缺省為30。

authentication-server-down：表示RADIUS認證服務器可達狀態變為down時發送告警信息。

authentication-server-up：表示RADIUS認證服務器可達狀態變為up時發送告警信息。

【使用指導】

不指定任何參數時，表示開啟或關閉所有類型的RADIUS告警功能。

開啟RADIUS服務器告警功能後，係統將會生成以下幾種告警信息：

· RADIUS服務器不可達的告警：當NAS向RADIUS服務器發送計費或認證請求沒有收到響應時，會重傳請求，當重傳次數達到最大傳送次數時仍然沒有收到響應時，則發送該告警信息。

· RADIUS服務器可達的告警：當timer quiet定時器設定的時間到達後，NAS將服務器的狀態置為激活狀態並發送該告警信息。

· 認證失敗次數超過閾值的告警：當NAS發現認證失敗次數與認證請求總數的百分比超過閾值時，會發送該告警信息。

【舉例】

# 開啟RADIUS計費服務器可達狀態變為down時的告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable radius accounting-server-down

1.4.45 state primary

state primary命令用來設置主RADIUS服務器的狀態。

【命令】

state primary { accounting | authentication } { active | block }

【缺省情況】

主RADIUS服務器狀態為active。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

accounting：主RADIUS計費服務器。

authentication：主RADIUS認證服務器。

active：正常工作狀態。

block：通信中斷狀態。

【使用指導】

每次用戶發起認證或計費，如果主服務器狀態為active，則設備都會首先嚐試與主服務器進行通信，如果主服務器不可達，則將主服務器的狀態置為block，同時啟動主服務器的timer quiet定時器，然後設備會嚴格按照從服務器的配置先後順序依次查找狀態為active的從服務器。在timer quiet定時器設定的時間到達之後，主服務器狀態將由block恢複為active。若該定時器超時之前，通過本命令將主服務器的狀態手工設置為block，則定時器超時之後主服務器狀態不會自動恢複為active，除非通過本命令手工將其設置為active。

當主/從服務器狀態都是block時，若主服務器狀態是自動設置為block且已配置主服務器，則采用主服務器進行認證或計費；若主服務器狀態是被手工設置為block或未配置主服務器，則在自動設置為block狀態的所有從服務器中按順序選擇從服務器進行認證或計費。

認證服務器的狀態會影響設備對該服務器可達性探測功能的開啟。當指定的服務器狀態為active，且該服務器通過radius-server test-profile命令成功引用了一個已存在的服務器探測模板時，則設備會開啟對該服務器的可達性探測功能。當手工將該服務器狀態置為block時，會關閉對該服務器的可達性探測功能。

【舉例】

# 在RADIUS方案radius1中，設置主認證服務器的狀態為block。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state primary authentication block

【相關命令】

· display radius scheme

· radius-server test-profile

· state secondary

1.4.46 state secondary

state secondary命令用來設置從RADIUS服務器的狀態。

【命令】

state secondary { accounting | authentication } [ { ipv4-address | ipv6 ipv6-address } [ port-number ] ] { active | block }

【缺省情況】

從RADIUS服務器狀態為active。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

accounting：從RADIUS計費服務器。

authentication：從RADIUS認證服務器。

ipv4-address：從RADIUS服務器的IPv4地址。

ipv6 ipv6-address：從RADIUS服務器的IPv6地址。

port-number：從RADIUS服務器的UDP端口號，取值範圍為1～65535，從RADIUS計費服務器的缺省UDP端口號為1813，從RADIUS認證服務器的缺省UDP端口號為1812。

active：正常工作狀態。

block：通信中斷狀態。

【使用指導】

如果不指定從服務器IP地址，那麼本命令將會修改所有已配置的從認證服務器或從計費服務器的狀態。

如果設備查找到的狀態為active的從服務器不可達，則設備會將該從服務器的狀態置為block，同時啟動該服務器的timer quiet定時器，並繼續查找下一個狀態為active的從服務器。在timer quiet定時器設定的時間到達之後，從服務器狀態將由block恢複為active。若該定時器超時之前，通過本命令將從服務器的狀態手工設置為block，則定時器超時之後從服務器狀態不會自動恢複為active，除非通過本命令手工將其設置為active。如果所有已配置的從服務器都不可達，則本次認證或計費失敗。

【舉例】

# 在RADIUS方案radius1中，設置從認證服務器的狀態設置為block。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state secondary authentication block

【相關命令】

· display radius scheme

· radius-server test-profile

· state primary

1.4.47 test-aaa

test-aaa命令用來發起一次AAA請求測試。

【命令】

test-aaa user user-name password password radius-scheme radius-scheme-name [ radius-server { ipv4-address | ipv6 ipv6-address } port-number ] [ chap | pap ] [ attribute-test-group attr-test-group-name ] [ trace ]

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【參數】

user user-name：待測試的用戶名，為1～80個字符的字符串，區分大小寫。用戶名中可以攜帶域名，形式為“純用戶名@域名”，其中純用戶名區分大小寫，域名不區分大小寫。

password password：待測試用戶的明文密碼，為1～63個字符的字符串，區分大小寫。

radius-scheme radius-scheme-name：RADIUS方案名稱，為1～32個字符的字符串，不區分大小寫。

radius-server：指定具體的RADIUS服務器。

ipv4-address：RADIUS服務器的IPv4地址。

ipv6 ipv6-address：RADIUS服務器的IPv6地址。

port-number：RADIUS服務器的UDP端口號，取值範圍為1～65535。

chap：采用CHAP認證方式。該方式也是缺省認證方式。

pap：采用PAP認證方式。

attribute-test-group attr-test-group-name：RADIUS屬性測試組的名稱，為1～31個字符的字符串，不區分大小寫。

trace：顯示詳細的RADIUS報文交互信息。若不指定該參數，則表示僅顯示報文收發結果及最終的測試結果。

【使用指導】

本命令主要用於排查設備與AAA服務器交互時的故障原因，目前僅支持對RADIUS服務器的測試。當故障發生時，執行本命令發起一次RADIUS請求測試，通過查看打印出的認證/計費請求結果以及報文交互信息，有利於快速定位故障發生的關鍵環節，以及及時排查影響認證/計費結果的RADIUS屬性。

可以在執行本命令時指定RADIUS屬性測試組，指定的測試組中定義了RADIUS請求報文中要攜帶的屬性。如果本命令中未指定RADIUS屬性測試組或指定的RADIUS屬性測試組不存在，則測試過程中發送的RADIUS請求報文中將會攜帶一些缺省屬性，缺省屬性的介紹請參見AAA配置手冊。

由於測試期間不能保證設備與AAA服務器可以正常通信，因此不建議同時允許用戶進行正常的上線、下線操作。

測試過程中，如果引用的RADIUS方案配置發生變化，則僅在下次測試中生效，並不影響本次探測。

僅允許在同一時間內存在一個測試過程，下一次測試隻能在當前測試過程完成後執行。

【舉例】

# 發起一次AAA請求測試，使用的測試用戶名為user1，密碼為123456，RADIUS方案名為test，同時打印詳細的RADIUS報文交互信息。

<Sysname> test-aaa user user1 password 123456 radius-scheme test chap trace

Sent a RADIUS authentication request.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1812

Packet type : Authentication request

Packet length: 118 bytes

Packet ID : 0

Attribute list:

[User-Name(1)] [6] [user1]

[CHAP-Password(3)] [19] [******]

[NAS-IP-Address(4)] [6] [192.168.1.166]

[Service-Type(6)] [6] [2] [Framed]

[Framed-Protocol(7)] [6] [1] [PPP]

[NAS-Identifier(32)] [5] [Sysname]

[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]

[CHAP-Challenge(60)] [18] [******]

[NAS-Port-Type(61)] [6] [15] [Ethernet]

Received a RADIUS authentication response.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1812

Packet type : Access-Reject

Packet length: 20 bytes

Packet ID : 0

Reply-Message: "E63032: Incorrect password. You can retry 9 times."

Sent a RADIUS start-accounting request.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Start-accounting request

Packet length: 63 bytes

Packet ID : 1

Attribute list:

[User-Name(1)] [6] [user1]

[Acct-Status-Type(40)] [6] [1] [Start]

[NAS-IP-Address(4)] [6] [192.168.1.166]

[NAS-Identifier(32)] [5] [Sysname]

[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]

Received a RADIUS start-accounting response.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Start-accounting response

Packet length: 20 bytes

Packet ID : 1

Sent a RADIUS stop-accounting request.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Stop-accounting request

Packet length: 91 bytes

Packet ID : 1

Attribute list:

[User-Name(1)] [6] [user1]

[Acct-Status-Type(40)] [6] [2] [Stop]

[NAS-IP-Address(4)] [6] [192.168.1.166]

[NAS-Identifier(32)] [5] [Sysname]

[Acct-Delay-Time(41)] [6] [0]

[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]

[Acct-Terminate-Cause(49)] [6] [1] [User Request]

Received a RADIUS stop-accounting response.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Stop-accounting response

Packet length: 20 bytes

Packet ID : 1

Test result: Failed

# 發起一次AAA請求測試，使用的測試用戶名為user1，密碼為123456 ，RADIUS方案名為test，指定探測test下認證服務器192.168.1.110，且不打印詳細的RADIUS報文交互信息。

<Sysname> test-aaa user user1 password 123456 radius-scheme test radius-server 192.168.1.110 1812

Sent a RADIUS authentication request.

Received a RADIUS authentication response.

Test result: Successful

表1-11 test-aaa命令顯示信息描述表

字段	描述
Server IP	服務器的IP地址
Source IP	RADIUS報文源IP地址
VPN instance	（暫不支持）RADIUS認證/計費服務器所在的VPN，服務器位於公網時，顯示為N/A
Server port	RADIUS認證/計費服務器的UDP端口號
Packet type	RADIUS報文類型： · Authentication request：認證請求報文 · Access-Accept：認證接受報文 · Access-Reject：認證拒絕報文 · Start-accounting request：開始計費請求報文 · Start-accounting response：開始計費響應報文 · Stop-accounting request：停止計費請求報文 · Stop-accounting response：停止計費響應報文
Packet length	報文總長度，單位為字節
Packet ID	報文ID，用於匹配響應報文和對應的請求報文
[attribute-name (code)] [length] [value] [description]	RADIUS屬性信息： · attribute-name：屬性名稱 · code：屬性編號 · length：屬性值的長度，單位為字節 · value：屬性值 · description：特殊屬性值的描述信息
Sent a RADIUS authentication request.	成功發送了一個認證請求報文
Failed to receive a RADIUS authentication response.	認證請求已超時，未收到應答
Received a RADIUS authentication response.	接收到一個認證響應報文
Sent a RADIUS start-accounting request.	成功發送了一個計費開始請求報文
Failed to receive a RADIUS start-accounting response.	計費開始請求已超時，未收到應答
Received a RADIUS start-accounting response.	接收到一個計費開始請求報文
Sent a RADIUS stop-accounting request.	成功發送了一個計費停止請求報文
Failed to receive a RADIUS stop-accounting response.	計費停止請求已超時，未收到應答
Received a RADIUS stop-accounting response.	接收到一個計費停止請求報文
Reply-Message:	RADIUS服務器拒絕此認證請求，並下發提示信息
The authentication server is not configured.	指定的RADIUS方案中未配置要探測的認證服務器
The accounting server is not configured.	指定的RADIUS方案中未配置要探測的計費服務器
Test result	測試結果： · Successful：當前用戶的AAA測試成功 · Failed：當前用戶的AAA測試失敗（隻要有一個請求報文測試失敗，即為失敗）

【相關命令】

· radius attribute-test-group

· radius scheme

1.4.48 timer quiet (RADIUS scheme view)

timer quiet命令用來設置服務器恢複激活狀態的時間。

undo timer quiet命令用來恢複缺省情況。

【命令】

timer quiet minutes

undo timer quiet

【缺省情況】

服務器恢複激活狀態的時間為5分鍾。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

minutes：恢複激活狀態的時間，取值範圍為1～255，單位為分鍾。

【使用指導】

建議合理設置服務器恢複激活狀態的時間：

· 如果服務器恢複激活狀態時間設置的過短，就會出現設備反複嚐試與狀態active但實際不可達的服務器通信而導致的認證或計費頻繁失敗的問題。

· 如果服務器恢複激活狀態時間設置的過長，當服務器恢複可達後，設備不能及時與其進行通信，會降低對用戶進行認證或計費的效率。

【舉例】

# 在RADIUS方案radius1中，配置服務器恢複激活狀態的時間為10分鍾。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer quiet 10

【相關命令】

· display radius scheme

1.4.49 timer realtime-accounting (RADIUS scheme view)

timer realtime-accounting命令用來設置實時計費的時間間隔。

undo timer realtime-accounting命令用來恢複缺省情況。

【命令】

timer realtime-accounting interval [ second ]

undo timer realtime-accounting

【缺省情況】

實時計費的時間間隔為12分鍾。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

interval：實時計費的時間間隔，取值範圍為0～71582。

second：表示實時計費的時間間隔以秒為單位，缺省以分鍾為單位。

【使用指導】

為了對用戶實施實時計費，有必要設置實時計費的時間間隔。不同的取值的處理有所不同：

· 若實時計費間隔不為0，則每隔設定的時間，設備會向RADIUS服務器發送一次在線用戶的計費信息。

· 若實時計費間隔設置為0，且服務器上配置了實時計費間隔，則設備按照服務器上配置的實時計費間隔向RADIUS服務器發送在線用戶的計費信息；如果服務器上沒有配置該值，則設備不向RADIUS服務器發送在線用戶的計費信息。

實時計費間隔的取值小，計費準確性高，但對設備和RADIUS服務器的性能要求就高。

表1-12 實時計費間隔與用戶量之間的推薦比例關係

用戶數	實時計費間隔（分鍾）
1～99	3
100～499	6
500～999	12
大於等於1000	大於等於15

不同情況下修改的實時計費間隔，對於已在線用戶的生效情況有所不同：

· 將實時計費間隔從非0有效值改為0，或者從0修改為非0有效值後，已在線用戶會依然采用原有取值，修改後的取值對其不生效。

· 將實時計費間隔從某非0有效值修改為其它非0有效值後，已在線用戶將會采用修改後的取值。

需要注意的是，無論實時計費間隔取值為多少，對於雙棧用戶，設備缺省會在用戶申請到IPv4地址時為其發送一個計費開始報文，並在隨後用戶申請到IPv6地址/PD時再發送一個計費更新報文。

對於未進行RADIUS認證和授權，僅進行RADIUS計費的用戶，隻能使用計費方案下設置的實時計費間隔，不會使用RADIUS服務器設置的實時計費間隔。

【舉例】

# 在RADIUS方案radius1中，設置實時計費的時間間隔為51分鍾。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer realtime-accounting 51

【相關命令】

· retry realtime-accounting

1.4.50 timer response-timeout (RADIUS scheme view)

timer response-timeout命令用來設置RADIUS服務器響應超時時間。

undo timer response-timeout命令用來恢複缺省情況。

【命令】

timer response-timeout seconds

undo timer response-timeout

【缺省情況】

RADIUS服務器響應超時時間為3秒。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

seconds：RADIUS服務器響應超時時間，取值範圍為1～10，單位為秒。

【使用指導】

如果在RADIUS請求報文傳送出去一段時間後，設備還沒有得到RADIUS服務器的響應，則有必要重傳RADIUS請求報文，以保證用戶盡可能地獲得RADIUS服務，這段時間被稱為RADIUS服務器響應超時時間，本命令用於調整這個時間。

需要注意的是：

【舉例】

# 在RADIUS方案radius1中，設置服務器響應超時時間設置為5秒。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer response-timeout 5

【相關命令】

· display radius scheme

· retry

1.4.51 username-authorization apply

username-authorization apply命令用來配置接受RADIUS服務器下發的用戶名。

undo username-authorization apply命令用來恢複缺省情況。

【命令】

username-authorization apply

undo username-authorization apply

【缺省情況】

不接受RADIUS服務器下發的用戶名，而是采用用戶認證時使用的用戶名進行AAA處理。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【使用指導】

在某些運營商組網環境中，RADIUS服務器希望接入設備在用戶認證成功後采用指定的用戶名進行後續的AAA處理，該用戶名與用戶認證時采用的用戶名不同。因此，需要設備端可以接受這種用戶名，並且使用此用戶名進行計費、用戶信息的查詢和顯示等AAA處理。

配置了本功能後，如果RADIUS服務器發送給設備的認證應答報文中攜帶了User-Name屬性，則設備會將此屬性的內容告知給接入模塊，且在後續的AAA處理過程中使用服務器下發的用戶名進行處理。例如，這種情況下，設備發送給RADIUS服務器的計費開始請求報文中將會攜帶服務器下發的用戶名。

目前，本功能僅對無線802.1X用戶生效。

配置本功能後，通過display dot1x connection命令查詢無線802.1X在線用戶信息時，顯示信息中的用戶名將是RADIUS服務器下發的用戶名。

【舉例】

# 在RADIUS方案radius1中，配置接受RADIUS服務器下發的用戶名。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] username-authorization apply

【相關命令】

· display dot1x connection（安全命令參考/802.1X）

· display radius scheme

1.4.52 user-name-format (RADIUS scheme view)

user-name-format命令用來設置發送給RADIUS服務器的用戶名格式。

undo user-name-format命令用來恢複缺省情況。

【命令】

user-name-format { keep-original | with-domain | without-domain }

undo user-name-format

【缺省情況】

發送給RADIUS服務器的用戶名攜帶ISP域名。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

keep-original：發送給RADIUS服務器的用戶名與用戶的輸入保持一致。

with-domain：發送給RADIUS服務器的用戶名攜帶ISP域名。

without-domain：發送給RADIUS服務器的用戶名不攜帶ISP域名。

【使用指導】

接入用戶通常以“userid@isp-name”的格式命名，“@”後麵的部分為ISP域名，設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是，有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名，在這種情況下，有必要將用戶名中攜帶的域名去除後再傳送給RADIUS服務器。因此，設備提供此命令以指定發送給RADIUS服務器的用戶名是否攜帶有ISP域名。

如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名，那麼請不要在兩個或兩個以上的ISP域中同時設置使用該RADIUS方案。否則，會出現雖然實際用戶不同（在不同的ISP域中），但RADIUS服務器認為用戶相同（因為傳送到它的用戶名相同）的錯誤。

在802.1X用戶采用EAP認證方式的情況下，RADIUS方案中配置的user-name-format命令無效，客戶端傳送給RADIUS服務器的用戶名與用戶輸入的用戶名保持一致。

若接入用戶為需要漫遊的無線用戶，建議接入設備上將發送給RADIUS服務器的用戶名格式配置為keep-original類型，否則可能導致這類用戶認證失敗。

【舉例】

# 在RADIUS方案radius1中，設置發送給RADIUS服務器的用戶名不得攜帶域名。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] user-name-format without-domain

【相關命令】

· display radius scheme

1.5 HWTACACS配置命令

1.5.1 data-flow-format (HWTACACS scheme view)

data-flow-format命令用來配置發送到HWTACACS服務器的數據流及數據包的單位。

undo data-flow-format命令用來恢複缺省情況。

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【缺省情況】

數據流的單位為byte，數據包的單位為one-packet。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

data：設置數據流的單位。

· byte：數據流的單位為字節。

· giga-byte：數據流的單位千兆字節。

· kilo-byte：數據流的單位為千字節。

· mega-byte：數據流的單位為兆字節。

packet：設置數據包的單位。

· giga-packet：數據包的單位為千兆包。

· kilo-packet：數據包的單位為千包。

· mega-packet：數據包的單位為兆包。

· one-packet：數據包的單位為包。

【使用指導】

設備上配置的發送給HWTACACS服務器的數據流單位及數據包單位應與HWTACACS服務器上的流量統計單位保持一致，否則無法正確計費。

【舉例】

# 在HWTACACS方案hwt1中，設置發往HWTACACS服務器的數據流的數據單位為千字節、數據包的單位為千包。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet

【相關命令】

· display hwtacacs scheme

1.5.2 display hwtacacs scheme

display hwtacacs scheme命令用來顯示HWTACACS方案的配置信息或HWTACACS服務相關的統計信息。

【命令】

display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

hwtacacs-scheme-name：HWTACACS方案的名稱，為1～32個字符的字符串，不區分大小寫。如果不指定該參數，則顯示所有HWTACACS方案的配置信息。

statistics：顯示HWTACACS服務相關的統計信息。不指定該參數，則顯示HWTACACS方案的配置信息。

【使用指導】

顯示指定HWTACACS方案配置信息時，會同時顯示每一個HWTACACS服務器當前Active狀態的持續時間以及最近5次狀態變化信息；顯示所有HWTACACS方案配置信息時，會同時顯示每一個HWTACACS服務器當前Active狀態的持續時間以及最近1次Block狀態的開始時間和結束時間。

【舉例】

# 顯示所有HWTACACS方案的配置情況。

<Sysname> display hwtacacs scheme

Total 1 HWTACACS schemes

-------------------------------------------------------------------------

HWTACACS Scheme Name : hwtac

Index : 0

Primary Auth Server:

IP : 2.2.2.2 Port: 49 State: Active

VPN Instance: Not configured

State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)

Most recent blocked period: 2019/08/08 20:33:45 - 2019/08/08 20:38:45

Single-connection: Enabled

Track ID: 1

Primary Author Server:

IP : 2.2.2.2 Port: 49 State: Active

VPN Instance: Not configured

State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)

Most recent blocked period: 2019/08/08 20:33:45 - 2019/08/08 20:38:45

Single-connection: Disabled

Track ID: 1

Primary Acct Server:

IP : Not Configured Port: 49 State: Block

VPN Instance: Not configured

State: Blocked

Most recent blocked period: 2019/08/08 20:33:45 - now

Single-connection: Disabled

VPN Instance : Not configured

NAS IP Address : 2.2.2.3

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(minutes) : 12

Response Timeout Interval(seconds) : 5

Username Format : with-domain

Data flow unit : Byte

Packet unit : one

All-server-block action : Attempt the top-priority server

-------------------------------------------------------------------------

# 顯示HWTACACS方案hwtac的配置情況。

<Sysname> display hwtacacs scheme hwtac

HWTACACS Scheme Name : hwtac

Index : 0

Primary Auth Server:

IP : 2.2.2.2 Port: 49

VPN Instance: 2

State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)

Most recent state changes:

2019/08/08 21:01:23 Changed to active state

2019/08/08 20:56:22 Changed to blocked state

Single-connection: Enabled

Track ID: 1

Primary Author Server:

IP : 2.2.2.2 Port: 49

VPN Instance: 2

State: Active (duration: 1 weeks, 2 days, 1 hours, 32 minutes, 34 seconds)

Most recent state changes:

2019/08/08 21:01:23 Changed to active state

2019/08/08 20:56:22 Changed to blocked state

Single-connection: Disabled

Track ID: 1

Primary Acct Server:

IP : Not Configured Port: 49

VPN Instance: Not configured

State: Blocked

Most recent state changes:

2019/08/08 22:16:52 Changed to blocked state

2019/08/08 22:01:25 Changed to active state

2019/08/08 21:56:22 Changed to blocked state

Single-connection: Disabled

VPN Instance : 2

NAS IP Address : 2.2.2.3

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(minutes) : 12

Response Timeout Interval(seconds) : 5

Username Format : with-domain

Data flow unit : Byte

Packet unit : one

All-server-block action : Attempt the top-priority server

表1-13 display hwtacacs scheme命令顯示信息描述表

字段	描述
Total 1 HWTACACS schemes	共計1個HWTACACS方案
HWTACACS Scheme Name	HWTACACS方案的名稱
Index	HWTACACS方案的索引號
Primary Auth Server	主HWTACACS認證服務器
Primary Author Server	主HWTACACS授權服務器
Primary Acct Server	主HWTACACS計費服務器
Secondary Auth Server	從HWTACACS認證服務器
Secondary Author Server	從HWTACACS授權服務器
Secondary Acct Server	從HWTACACS計費服務器
IP	HWTACACS服務器的IP地址未配置時，顯示為Not configured
Port	HWTACACS服務器的端口號未配置時，顯示缺省值
VPN Instance	（暫不支持）HWTACACS服務器或HWTACACS方案所在的VPN 未配置時，顯示為Not configured
State	HWTACACS服務器目前狀態 · Active：激活狀態 · Blocked：靜默狀態若狀態為Active，則同時顯示該狀態的持續時間
duration	HWTACACS服務器當前Active狀態的持續時間
Most recent blocked period	HWTACACS服務器最後一次轉換為Block狀態的開始時間及結束時間。若最終狀態為Block狀態，則結束時間用“now”表示
Most recent state changes	HWTACACS服務器最近5次的狀態變化信息
Single-connection	單連接狀態 · Enabled：使用一條TCP連接與服務器通信 · Disabled：每次新建TCP連接與服務器通信
Track ID	HWTACACS服務器關聯的Track項的序號若該服務器未關聯Track項，則不顯示該字段
NAS IP Address	配置的發送HWTACACS報文的源IP地址未配置時，顯示為Not configured
Server Quiet Period(minutes)	主HWTACACS服務器恢複激活狀態的時間（分鍾）
Realtime Accounting Interval(minutes)	實時HWTACACS計費更新報文的發送間隔（分鍾）
Response Timeout Interval(seconds)	HWTACACS服務器超時時間（秒）
Username Format	用戶名格式 · with-domain：攜帶域名 · without-domain：不攜帶域名 · keep-original：與用戶輸入保持一致
Data flow unit	數據流的單位
Packet unit	數據包的單位
All-server-block action	當前方案中的服務器都處於block狀態後 · Attempt the top-priority server：嚐試與當前方案中高優先級的服務器建立一次連接 · Skip all servers in the scheme：跳過當前方案中的所有服務器

<Sysname> display hwtacacs scheme tac statistics

HWTACACS scheme name: tac

Primary authentication server: 3.3.3.3

Round trip time: 0 seconds

Request packets: 1

Change-password request packets: 0

Request packets including plaintext password: 0

Request packets including ciphertext password: 0

Response packets: 2

Pass response packets: 1

Failure response packets: 0

Get-data response packets: 0

Get-username response packets: 0

Get-password response packets: 1

Restart response packets: 0

Error response packets: 0

Follow response packets: 0

Malformed response packets: 0

Continue packets: 1

Continue-abort packets: 0

Pending request packets: 0

Timeout packets: 0

Unknown type response packets: 0

Dropped response packets: 0

Primary authorization server: 3.3.3.3

Round trip time: 1 seconds

Request packets: 1

Response packets: 1

PassAdd response packets: 1

PassReply response packets: 0

Failure response packets: 0

Error response packets: 0

Follow response packets: 0

Malformed response packets: 0

Pending request packets: 0

Timeout packets: 0

Unknown type response packets: 0

Dropped response packets: 0

Primary accounting server: 3.3.3.3

Round trip time: 0 seconds

Request packets: 2

Accounting start request packets: 1

Accounting stop request packets: 1

Accounting update request packets: 0

Pending request packets: 0

Response packets: 2

Success response packets: 2

Error response packets: 0

Follow response packets: 0

Malformed response packets: 0

Timeout response packets: 0

Unknown type response packets: 0

Dropped response packets: 0

表1-14 display hwtacacs scheme statistics命令顯示信息描述表

字段	描述
HWTACACS scheme name	HWTACACS方案名稱
Primary authentication server	主HWTACACS認證服務器
Primary authorization server	主HWTACACS授權服務器
Primary accounting server	主HWTACACS計費服務器
Secondary authentication server	從HWTACACS認證服務器
Secondary authorization server	從HWTACACS授權服務器
Secondary accounting server	從HWTACACS計費服務器
Round trip time	設備處理最近一組響應報文和請求報文的時間間隔（單位為秒）
Request packets	發送的請求報文個數
Response packets	接收到的響應報文個數
Failure response packets	認證或授權失敗的響應報文個數
Error response packets	錯誤類型的響應報文個數
Follow response packets	Follow類型的響應報文的個數
Malformed response packets	不合法的響應報文個數
Pending request packets	等待響應的請求報文個數
Timeout packets	超時的請求報文個數
Unknown type response packets	未知報文類型的響應報文個數
Dropped response packets	被丟棄響應報文個數
Login request packets	登錄認證的請求報文個數
Change-password request packets	更改密碼的請求報文個數
Request packets including plaintext passwords	發送明文密碼的請求報文個數
Request packets including ciphertext passwords	發送密文密碼的請求報文個數
Pass response packets	表示認證通過的響應報文個數
Get-data response packets	表示獲取數據的響應報文個數
Get-username response packets	表示獲取用戶名的響應報文個數
Get-password response packets	表示獲取密碼的響應報文個數
Restart response packets	要求重認證的響應報文個數
Continue packets	發送的Continue報文個數
Continue-abort packets	發送的Continue-abort報文個數
PassAdd response packets	接收到的PassAdd類型的響應報文個數。此報文表示同意授權所有請求的屬性，並添加其他授權屬性
PassReply response packets	接收到的PassReply類型的響應報文個數。此報文表示采用響應報文中指定的授權屬性替換請求的授權屬性
Accounting start request packets	發送的計費開始請求報文個數
Accounting stop request packets	發送的計費結束請求報文個數
Accounting update request packets	發送的計費更新報文個數
Accounting start-and-update request packets	發送的賦值的計費開始報文的個數
Success response packets	接收到的計費成功的響應報文個數

【相關命令】

· reset hwtacacs statistics

1.5.3 hwtacacs nas-ip

hwtacacs nas-ip命令用來設置設備發送HWTACACS報文使用的源IP地址。

undo hwtacacs nas-ip命令用來刪除指定的發送HWTACACS報文使用的源IP地址。

【命令】

hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address }

undo hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address }

【缺省情況】

未指定發送HWTACACS報文使用的源IP地址，設備將使用到達HWTACACS服務器的路由出接口的主IPv4地址或IPv6地址作為發送HWTACACS報文的源IP地址。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：指定的源IPv4地址，應該為本機的地址，不能為全0地址、全1地址、D類地址、E類地址和環回地址。

ipv6 ipv6-address：指定的源IPv6地址，應該為本機的地址，必須是單播地址，不能為環回地址與本地鏈路地址。

【使用指導】

HWTACACS服務器上通過IP地址來標識接入設備，並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證或計費請求。因此，為保證HWTACACS報文可被服務器正常接收並處理，接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。

為避免物理接口故障時從服務器返回的報文不可達，推薦使用Loopback接口地址為發送HWTACACS報文使用的源IP地址。

HWTACACS方案視圖和係統視圖下均可以配置發送HWTACACS報文使用的源IP地址，具體生效情況如下：

· HWTACACS方案視圖下配置的源IP地址（通過nas-ip命令）隻對本方案有效。

· 係統視圖下的配置的源IP地址（通過hwtacacs nas-ip命令）對所有HWTACACS方案有效。

· HWTACACS方案視圖下的設置具有更高的優先級。

係統視圖下最多允許指定一個IPv4源地址和一個IPv6源地址。

【舉例】

# 設置設備發送HWTACACS報文使用的源IP地址為129.10.10.1。

<Sysname> system-view

[Sysname] hwtacacs nas-ip 129.10.10.1

【相關命令】

· nas-ip (HWTACACS scheme view)

1.5.4 hwtacacs scheme

hwtacacs scheme命令用來創建HWTACACS方案，並進入HWTACACS方案視圖。如果指定的HWTACACS方案已經存在，則直接進入HWTACACS方案視圖。

undo hwtacacs scheme命令用來刪除指定的HWTACACS方案。

【命令】

hwtacacs scheme hwtacacs-scheme-name

undo hwtacacs scheme hwtacacs-scheme-name

【缺省情況】

不存在HWTACACS方案。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme-name：HWTACACS方案名稱，為1～32個字符的字符串，不區分大小寫。

【使用指導】

一個HWTACACS方案可以同時被多個ISP域引用。

最多可以配置16個HWTACACS方案。

【舉例】

# 創建名稱為hwt1的HWTACACS方案並進入相應的HWTACACS視圖。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1]

【相關命令】

· display hwtacacs scheme

1.5.5 hwtacacs server-probe track

hwtacacs server-probe track命令用來配置HWTACACS服務器與Track項關聯，探測服務器是否可達。

undo hwtacacs server-probe track命令用來取消HWTACACS服務器與指定Track項的關聯。

【命令】

hwtacacs server-probe { ip ipv4-address | ipv6 ipv6-address } [ port port-number ] track track-entry-number

undo hwtacacs server-probe { ip ipv4-address | ipv6 ipv6-address } [ port port-number ] track

【缺省情況】

HWTACACS服務器未與任何Track項相關聯。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ip ipv4-address：HWTACACS服務器的IPv4地址。

ipv6 ipv6-address：HWTACACS服務器的IPv6地址。

port port-number：HWTACACS服務器的TCP端口號，取值範圍為1～65535，缺省值為49。

track-entry-number：關聯的Track項的序號，取值範圍為1～1024。

【使用指導】

在對HWTACACS認證、授權、計費的實時性要求較高的組網環境中，可以通過配置HWTACACS服務器與Track項關聯來對HWTACACS服務器的可達性狀態進行主動探測。

缺省情況下，設備發送HWTACACS請求報文後，若在指定的響應時間內沒有得到HWTACACS服務器的響應，則會將該服務器的狀態置為block，並向下一個HWTACACS服務器發起請求。處於block狀態的服務器在設定的靜默定時器間隔之後，將自動恢複為active狀態。這種基於定時器的服務器狀態變遷機製使得設備並不能及時感知到服務器的真實狀態。通過配置HWTACACS服務器與Track項關聯，並由Track項聯動TCP類型的NQA測試組，可以實現通過NQA測試機製來主動探測服務器是否可達：

· 服務器與Track項關聯期間，該服務器的狀態僅由探測結果決定。

· 啟動與Track項聯動的NQA測試組後，Track模塊將根據NQA的監測結果改變Track項的狀態，AAA模塊再根據Track項的狀態來設置服務器的狀態：

¡ 若Track項狀態為Positive，說明服務器狀態變為可達，則服務器狀態將被置為active。

¡ 若Track項狀態為Negative，說明服務器狀態變為不可達，則服務器狀態將被置為block，同時該服務器對應的靜默定時器也將被關閉。

¡ 若Track項狀態一直處於NotReady，或由其它狀態變為NotReady，說明探測機製不生效，此時服務器的狀態將被置為active。

· 取消服務器與Track項的關聯後，該服務器的狀態將恢複為由定時器機製決定。

對HWTACACS服務器的可達性探測是通過在設備上執行nqa schedule命令，對與Track聯動的TCP類型的NQA測試組進行調動啟動的，因此請結合實際情況確定探測時間和探測參數。關於Track項與NQA測試組聯動的具體配置，請參見“可靠性配置指導”中“Track”。關於TCP類型的NQA探測組以及調度NQA測試組的具體配置，請參見“網絡管理和監控配置指導”中的“NQA”。

【舉例】

# 配置IP地址為10.163.155.13，使用TCP端口49的HWTACACS服務器關聯Track項1。

<Sysname> system-view

[Sysname] hwtacacs server-probe ip 10.163.155.13 port 49 track 1

【相關命令】

· display hwtacacs scheme

· nqa schedule（網絡管理和監控命令參考/NQA）

· track nqa （可靠性命令參考/Track）

1.5.6 key (HWTACACS scheme view)

key命令用來配置HWTACACS認證、授權、計費報文的共享密鑰。

undo key命令用來刪除指定的HWTACACS報文的共享密鑰。

【命令】

key { accounting | authentication | authorization } { cipher | simple } string

undo key { accounting | authentication | authorization }

【缺省情況】

未配置HWTACACS報文的共享密鑰。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

accounting：指定HWTACACS計費報文的共享密鑰。

authentication：指定HWTACACS認證報文的共享密鑰。

authorization：指定HWTACACS授權報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～255個字符的字符串；密文密鑰為1～373個字符的字符串。

【使用指導】

必須保證設備上設置的共享密鑰與HWTACACS服務器上的完全一致。

【舉例】

# 在HWTACACS方案hwt1中，配置HWTACACS認證報文共享密鑰為明文123456TESTauth&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!

# 配置HWTACACS授權報文共享密鑰為明文123456TESTautr&!。

[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!

# 配置HWTACACS計費報文共享密鑰為明文123456TESTacct&!。

[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!

【相關命令】

· display hwtacacs scheme

1.5.7 nas-ip (HWTACACS scheme view)

nas-ip命令用來設置設備發送HWTACACS報文使用的源IP地址。

undo nas-ip命令用來刪除指定類型的發送HWTACACS報文使用的源IP地址。

【命令】

nas-ip { ipv4-address | ipv6 ipv6-address }

undo nas-ip [ ipv6 ]

【缺省情況】

未指定設備發送HWTACACS報文使用的源IP地址，使用係統視圖下由命令hwtacacs nas-ip指定的源IP地址。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：指定的源IPv4地址，應該為本機的地址，不能為全0地址、全1地址、D類地址、E類地址和環回地址。

ipv6 ipv6-address：指定的源IPv6地址，應該為本機的地址，必須是單播地址，不能為環回地址與本地鏈路地址。

【使用指導】

HWTACACS服務器上通過IP地址來標識接入設備，並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證、授權、計費請求。因此，為保證HWTACACS報文可被服務器正常接收並處理，接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。

為避免物理接口故障時從服務器返回的報文不可達，推薦使用Loopback接口地址為發送HWTACACS報文使用的源IP地址。

HWTACACS方案視圖和係統視圖下均可以配置發送HWTACACS報文使用的源IP地址，具體生效情況如下：

· HWTACACS方案視圖下配置的源IP地址（通過nas-ip命令）隻對本方案有效。

· 係統視圖下的配置的源IP地址（通過hwtacacs nas-ip命令）對所有HWTACACS方案有效。

· HWTACACS方案視圖下的設置具有更高的優先級。

一個HWTACACS方案視圖下，最多允許指定一個IPv4源地址和一個IPv6源地址。

如果undo nas-ip命令中不指定任何關鍵字，則表示刪除發送HWTACACS報文使用的源IPv4地址。

【舉例】

# 在HWTACACS方案hwt1中，設置設備發送HWTACACS報文使用的源IP地址為10.1.1.1。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1

【相關命令】

· display hwtacacs scheme

· hwtacacs nas-ip

1.5.8 primary accounting (HWTACACS scheme view)

primary accounting命令用來配置主HWTACACS計費服務器。

undo primary accounting命令用來恢複缺省情況。

【命令】

primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

undo primary accounting

【缺省情況】

未配置HWTACACS主計費服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主HWTACACS計費服務器的IPv4地址。

ipv6 ipv6-address：主HWTACACS計費服務器的IPv6地址。

port-number：主HWTACACS計費服務器的TCP端口號，取值範圍為1～65535，缺省值為49。

key：與主HWTACACS計費服務器交互的計費報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～255個字符的字符串；密文密鑰為1～373個字符的字符串。

single-connection：所有與主HWTACACS計費服務器交互的計費報文使用同一個TCP連接。如果未指定本參數，則表示每次計費都會使用一個新的TCP連接。

【使用指導】

配置的主計費服務器的TCP端口號以及計費報文的共享密鑰必須與服務器的配置保持一致。

在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號不能完全相同。

隻有在設備與計費服務器沒有報文交互時，才允許刪除該服務器。計費服務器刪除後，隻對之後的計費過程有影響。

配置single-connection參數後可節省TCP連接資源，但有些HWTACACS服務器不支持這種方式，需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下，建議配置single-connection參數，以提高性能和效率。

【舉例】

# 在HWTACACS方案hwt1中，配置主HWTACACS計費服務器的IP地址為10.163.155.12，使用TCP端口49與HWTACACS計費服務器通信，計費報文的共享密鑰為明文123456TESTacct&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hw1

[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary accounting

1.5.9 primary authentication (HWTACACS scheme view)

primary authentication命令用來配置主HWTACACS認證服務器。

undo primary authentication命令用來恢複缺省情況。

【命令】

primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

undo primary authentication

【缺省情況】

未配置主HWTACACS認證服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主HWTACACS認證服務器的IPv4地址。

ipv6 ipv6-address：主HWTACACS認證服務器的IPv6地址。

port-number：主HWTACACS認證服務器的TCP端口號，取值範圍為1～65535，缺省值為49。

key：與主HWTACACS認證服務器交互的認證報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～255個字符的字符串；密文密鑰為1～373個字符的字符串。

single-connection：所有與主HWTACACS認證服務器交互的認證報文使用同一個TCP連接。如果未指定本參數，則表示每次認證都會使用一個新的TCP連接。

【使用指導】

配置的主認證服務器的TCP端口號以及認證報文的共享密鑰必須與服務器的配置保持一致。

在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號不能完全相同。

隻有在設備與認證服務器沒有報文交互時，才允許刪除該服務器。認證服務器刪除後，隻對之後的認證過程有影響。

【舉例】

# 在HWTACACS方案hwt1中，配置主HWTACACS認證服務器的IP地址為10.163.155.13，使用TCP端口49與HWTACACS認證服務器通信，認證報文的共享密鑰為明文123456TESTauth&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary authentication

1.5.10 primary authorization

primary authorization命令用來配置主HWTACACS授權服務器。

undo primary authorization命令用來恢複缺省情況。

【命令】

primary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

undo primary authorization

【缺省情況】

未配置主HWTACACS授權服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主HWTACACS授權服務器的IPv4地址。

ipv6 ipv6-address：主HWTACACS授權服務器的IPv6地址。

port-number：主HWTACACS授權服務器的TCP端口號，取值範圍為1～65535，缺省值為49。

key：與主HWTACACS授權服務器交互的授權報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～255個字符的字符串；密文密鑰為1～373個字符的字符串。

single-connection：所有與主HWTACACS授權服務器交互的授權報文使用同一個TCP連接。如果未指定本參數，則表示每次授權都會使用一個新的TCP連接。

【使用指導】

配置的主授權服務器的TCP端口號以及授權報文的共享密鑰必須與服務器的配置保持一致。

在同一個方案中指定的主授權服務器和從授權服務器的IP地址、端口號不能完全相同。

隻有在設備與授權服務器沒有報文交互時，才允許刪除該服務器。授權服務器刪除後，隻對之後的授權過程有影響。

【舉例】

# 在HWTACACS方案hwt1中，配置主HWTACACS授權服務器的IP地址為10.163.155.13，使用TCP端口49與HWTACACS授權服務器通信，授權報文的共享密鑰為明文123456TESTautr&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary authorization

1.5.11 reset hwtacacs statistics

reset hwtacacs statistics命令用來清除HWTACACS協議的統計信息。

【命令】

reset hwtacacs statistics { accounting | all | authentication | authorization }

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【參數】

accounting：清除HWTACACS協議關於計費的統計信息。

all：清除HWTACACS的所有統計信息。

authentication：清除HWTACACS協議關於認證的統計信息。

authorization：清除HWTACACS協議關於授權的統計信息。

【舉例】

# 清除HWTACACS協議的所有統計信息。

<Sysname> reset hwtacacs statistics all

【相關命令】

· display hwtacacs scheme

1.5.12 secondary accounting (HWTACACS scheme view)

secondary accounting命令用來配置從HWTACACS計費服務器。

undo secondary accounting命令用來刪除指定的從HWTACACS計費服務器。

【命令】

secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number ] ]

【缺省情況】

未配置從HWTACACS計費服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從HWTACACS計費服務器的IPv4地址。

ipv6 ipv6-address：從HWTACACS計費服務器的IPv6地址。

port-number：從HWTACACS計費服務器的端口號，取值範圍為1～65535，缺省值為49。

key：與從HWTACACS計費服務器交互的計費報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～255個字符的字符串；密文密鑰為1～373個字符的字符串。

single-connection：所有與從HWTACACS計費服務器交互的計費報文使用同一個TCP連接。如果未指定本參數，則表示每次計費都會使用一個新的TCP連接。

【使用指導】

配置的從計費服務器的TCP端口號以及計費報文的共享密鑰必須與服務器的配置保持一致。

每個HWTACACS方案中最多支持配置16個從HWTACACS計費服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。

如果不指定任何參數，則undo命令將刪除所有從計費服務器。

在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號不能完全相同，並且各從計費服務器的IP地址、端口號也不能完全相同。

配置single-connection參數後可節省TCP連接資源，但有些TACACS服務器不支持這種方式，需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下，建議配置single-connection參數，以提高性能和效率。

隻有在設備與計費服務器沒有報文交互時，才允許刪除該服務器。計費服務器刪除後，隻對之後的計費過程有影響。

【舉例】

# 在HWTACACS方案hwt1中，配置從HWTACACS計費服務器的IP地址為10.163.155.12，使用TCP端口49與HWTACACS計費服務器通信，計費報文的共享密鑰為明文123456TESTacct&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary accounting (HWTACACS scheme view)

1.5.13 secondary authentication (HWTACACS scheme view)

secondary authentication命令用來配置從HWTACACS認證服務器。

undo secondary authentication命令用來刪除指定的從HWTACACS認證服務器。

【命令】

secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number ] ]

【缺省情況】

未配置從HWTACACS認證服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從HWTACACS認證服務器的IPv4地址。

ipv6 ipv6-address：從HWTACACS認證服務器的IPv6地址。

port-number：從HWTACACS認證服務器的TCP端口號，取值範圍為1～65535，缺省值為49。

key：與從HWTACACS認證服務器交互的認證報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～255個字符的字符串；密文密鑰為1～373個字符的字符串。

single-connection：所有與從HWTACACS認證服務器交互的認證報文使用同一個TCP連接。如果未指定本參數，則表示每次認證都會使用一個新的TCP連接。

【使用指導】

配置的從認證服務器的TCP端口號以及認證報文的共享密鑰必須與服務器的配置保持一致。

每個HWTACACS方案中最多支持配置16個從HWTACACS認證服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。

如果不指定任何參數，則undo命令將刪除所有從認證服務器。

在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號不能完全相同，並且各從認證服務器的IP地址、端口號也不能完全相同。

隻有在設備與認證服務器沒有報文交互時，才允許刪除該服務器。認證服務器刪除後，隻對之後的認證過程有影響。

【舉例】

# 在HWTACACS方案hwt1中，配置從HWTACACS認證服務器的IP地址為10.163.155.13，使用TCP端口49與HWTACACS認證服務器通信，認證報文的共享密鑰為明文123456TESTauth&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary authentication (HWTACACS scheme view)

1.5.14 secondary authorization

secondary authorization命令用來配置從HWTACACS授權服務器。

undo secondary authorization命令用來刪除指定的從HWTACACS授權服務器。

【命令】

secondary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection ] *

undo secondary authorization [ { ipv4-address | ipv6 ipv6-address } [ port-number ] ]

【缺省情況】

未配置從HWTACACS授權服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從HWTACACS授權服務器的IPv4地址。

ipv6 ipv6-address：從HWTACACS授權服務器的IPv6地址。

port-number：從HWTACACS授權服務器的TCP端口號，取值範圍為1～65535，缺省值為49。

key：與從HWTACACS授權服務器交互的授權報文的共享密鑰。

cipher：以密文方式設置密鑰。

simple：以明文方式設置密鑰，該密鑰將以密文形式存儲。

string：密鑰字符串，區分大小寫。明文密鑰為1～255個字符的字符串；密文密鑰為1～373個字符的字符串。

single-connection：所有與從HWTACACS授權服務器交互的授權報文使用同一個TCP連接。如果未指定本參數，則表示每次授權都會使用一個新的TCP連接。

【使用指導】

配置的從授權服務器的TCP端口號以及授權報文的共享密鑰必須與服務器的配置保持一致。

每個HWTACACS方案中最多支持配置16個從HWTACACS授權服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。

如果不指定任何參數，則undo命令將刪除所有從授權服務器。

在同一個方案中指定的主授權服務器和從授權服務器的IP地址、端口號不能完全相同，並且各從授權服務器的IP地址、端口號也不能完全相同。

隻有在設備與授權服務器沒有報文交互時，才允許刪除該服務器。授權服務器刪除後，隻對之後的授權過程有影響。

【舉例】

# 在HWTACACS方案hwt1中，配置從HWTACACS授權服務器的IP地址為10.163.155.13，使用TCP端口49與HWTACACS授權服務器通信，授權報文的共享密鑰為明文123456TESTautr&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary authorization (HWTACACS scheme view)

1.5.15 server-block-action (HWTACACS scheme view)

server-block-action命令用來設置服務器都處於block狀態後的請求動作。

undo server-block-action命令用來恢複缺省情況。

【命令】

server-block-action { attempt | skip }

undo server-block-action

【缺省情況】

所有服務器都處於block狀態後的請求動作為attempt。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

attempt：Attempt方式，表示該方案下的所有服務器都處於block狀態後，設備收到用戶的認證/授權/計費請求時，仍然會嚐試與一個認證/授權/計費服務器（優先選擇主服務器，若未配置則選擇配置的第一個從服務器，手工置於block狀態的主從服務器除外）建立一次連接，如果與該服務器建立連接失敗，才會切換到為該用戶配置的下一個認證/授權/計費方法去處理這個請求。

skip：Skip方式，表示該方案下的所有服務器都處於block狀態後，設備收到用戶的認證/授權/計費請求時，會跳過當前方案中的所有服務器，直接使用為該用戶配置的下一個認證/授權/計費方法去處理這個請求。

【使用指導】

Attempt方式下，由於該方案下的所有服務器都處於block狀態後，設備仍會首先嚐試與一個服務器建立連接，與該服務器建立連接失敗後，才會切換到配置的下一個認證/授權/計費方法，此方法保證了設備盡量優先使用第一個認證/授權/計費方法處理用戶請求，但同時會增加請求的響應時間。因此，對於對AAA響應時間要求比較高的場合，建議選擇Skip方式。

設備處理一個認證/授權/計費請求的過程中，如果已經跳過了當前方案中的所有服務器，則後續就算該方案中有服務器狀態切換回active，設備也不會再使用該方案來處理它。

【舉例】

# 在HWTACACS方案hwt1中，設置服務器都處於block狀態後的動作為跳過當前方案中的所有服務器。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] server-block-action skip

【相關命令】

· display hwtacacs scheme

1.5.16 timer quiet (HWTACACS scheme view)

timer quiet命令用來設置服務器恢複激活狀態的時間。

undo timer quiet命令用來恢複缺省情況。

【命令】

timer quiet minutes

undo timer quiet

【缺省情況】

服務器恢複激活狀態的時間為5分鍾。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

minutes：恢複激活狀態的時間，取值範圍為1～255，單位為分鍾。

【舉例】

# 設置服務器恢複激活狀態的時間為10分鍾。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer quiet 10

【相關命令】

· display hwtacacs scheme

1.5.17 timer realtime-accounting (HWTACACS scheme view)

timer realtime-accounting命令用來設置實時計費的時間間隔。

undo timer realtime-accounting命令用來恢複缺省情況。

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【缺省情況】

實時計費的時間間隔為12分鍾。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

minutes：實時計費的時間間隔，取值範圍為0～60，單位為分鍾。0表示設備不向HWTACACS服務器發送在線用戶的計費信息。

【使用指導】

為了對用戶實施實時計費，有必要設置實時計費的時間間隔。在設置了該屬性以後，每隔設定的時間，設備會向HWTACACS服務器發送一次在線用戶的計費信息。

實時計費間隔的取值小，計費準確性高，但對設備和HWTACACS服務器的性能要求就高。

表1-15 實時計費間隔與用戶量之間的推薦比例關係

用戶數	實時計費間隔（分鍾）
1～99	3
100～499	6
500～999	12
大於等於1000	大於等於15

【舉例】

# 在HWTACACS方案hwt1中，設置實時計費的時間間隔為51分鍾。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer realtime-accounting 51

【相關命令】

· display hwtacacs scheme

1.5.18 timer response-timeout (HWTACACS scheme view)

timer response-timeout命令用來設置HWTACACS服務器響應超時時間。

undo timer response-timeout命令用來恢複缺省情況。

【命令】

timer response-timeout seconds

undo timer response-timeout

【缺省情況】

HWTACACS服務器響應超時時間為5秒。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

seconds：HWTACACS服務器響應超時時間，取值範圍為1～300，單位為秒。

【使用指導】

由於HWTACACS是基於TCP實現的，因此，服務器響應超時或TCP超時都可能導致與HWTACACS服務器的連接斷開。

HWTACACS服務器響應超時時間與配置的HWTACACS服務器總數的乘積不能超過接入模塊定義的用戶認證超時時間，否則在HWTACACS認證過程完成之前用戶就有可能被強製下線。

【舉例】

# 在HWTACACS方案hwt1中，設置HWTACACS服務器響應超時時間為30秒。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer response-timeout 30

【相關命令】

· display hwtacacs scheme

1.5.19 user-name-format (HWTACACS scheme view)

user-name-format命令用來設置發送給HWTACACS服務器的用戶名格式。

undo user-name-format命令用來恢複缺省情況。

【命令】

user-name-format { keep-original | with-domain | without-domain }

undo user-name-format

【缺省情況】

發送給HWTACACS服務器的用戶名攜帶ISP域名。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

keep-original：發送給HWTACACS服務器的用戶名與用戶輸入的保持一致。

with-domain：發送給HWTACACS服務器的用戶名攜帶ISP域名。

without-domain：發送給HWTACACS服務器的用戶名不攜帶ISP域名。

【使用指導】

接入用戶通常以“userid@isp-name”的格式命名，“@”後麵的部分為ISP域名，設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是，有些HWTACACS服務器不能接受攜帶有ISP域名的用戶名，在這種情況下，有必要將用戶名中攜帶的域名去除後再傳送給HWTACACS服務器。因此，設備提供此命令以指定發送給HWTACACS服務器的用戶名是否攜帶有ISP域名。

如果指定某個HWTACACS方案不允許用戶名中攜帶有ISP域名，那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該HWTACACS方案。否則，會出現雖然實際用戶不同（在不同的ISP域中），但HWTACACS服務器認為用戶相同（因為傳送到它的用戶名相同）的錯誤。

若接入用戶為需要漫遊的無線用戶，接入設備上將發送給HWTACACS服務器的用戶名格式配置為keep-original類型，否則可能導致這類用戶認證失敗。

【舉例】

# 在HWTACACS方案hwt1中，設置發送給HWTACACS服務器的用戶名不攜帶ISP域名。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] user-name-format without-domain

【相關命令】

· display hwtacacs scheme

1.6 LDAP配置命令

1.6.1 attribute-map

attribute-map命令用來在LDAP方案中引用LDAP屬性映射表。

undo attribute-map命令用來恢複缺省情況。

【命令】

attribute-map map-name

undo attribute-map

【缺省情況】

未引用任何LDAP屬性映射表。

【視圖】

LDAP方案視圖

【缺省用戶角色】

network-admin

【參數】

map-name：LDAP屬性映射表的名稱，為1～31個字符的字符串，區分大小寫。

【使用指導】

在使用LDAP授權方案的情況下，可以通過在LDAP方案中引用LDAP屬性映射表，將LDAP授權服務器下發給用戶的LDAP屬性映射為AAA模塊可以解析的某類屬性。

一個LDAP方案視圖中隻能引用一個LDAP屬性映射表，後配置的生效。

如果在LDAP授權過程中修改了引用的LDAP屬性映射表，或者修改了引用的LDAP屬性映射表的內容，則該修改對當前的授權過程不會生效，隻對修改後新的LDAP授權過程生效。

【舉例】

# 在LDAP方案ldap1中，引用名稱為map1的LDAP屬性映射表。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] attribute-map map1

【相關命令】

· display ldap scheme

· ldap attribute-map

1.6.2 authentication-server

authentication-server命令用來指定LDAP認證服務器。

undo authentication-server命令用來恢複缺省情況。

【命令】

authentication-server server-name

undo authentication-server

【缺省情況】

未指定LDAP認證服務器。

【視圖】

LDAP方案視圖

【缺省用戶角色】

network-admin

【參數】

server-name：LDAP服務器的名稱，為1～64個字符的字符串，區分大小寫。

【使用指導】

一個LDAP方案視圖下僅能指定一個LDAP認證服務器，多次執行本命令，最後一次執行的命令生效。

【舉例】

# 在LDAP方案ldap1中，指定LDAP認證服務器為ccc。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] authentication-server ccc

【相關命令】

· display ldap scheme

· ldap server

1.6.3 authorization-server

authorization-server命令用來指定LDAP授權服務器。

undo authorization-server命令用來恢複缺省情況。

【命令】

authorization-server server-name

undo authorization-server

【缺省情況】

未指定LDAP授權服務器。

【視圖】

LDAP方案視圖

【缺省用戶角色】

network-admin

【參數】

server-name：LDAP服務器的名稱，為1～64個字符的字符串，區分大小寫。

【使用指導】

一個LDAP方案視圖下僅能指定一個LDAP授權服務器，多次執行本命令，最後一次執行的命令生效。

【舉例】

# 在LDAP方案ldap1中，指定LDAP授權服務器為ccc。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] authorization-server ccc

【相關命令】

· display ldap scheme

· ldap server

1.6.4 character-encoding

character-encoding命令用來配置LDAP服務器使用的字符編碼格式。

undo character-encoding命令用來恢複缺省情況。

【命令】

character-encoding { gb18030 | utf-8 }

undo character-encoding

【缺省情況】

未配置LDAP服務器使用的字符編碼格式，設備與LDAP服務器交互時，不對交互信息的字符編碼格式做更改。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

gb18030：GB18030編碼格式。

utf-8：UTF-8編碼格式。

【使用指導】

缺省情況下，係統使用的字符編碼格式為GB18030。管理員在Web界麵上輸入的配置均以GB18030方式編碼後保存在設備上，通過終端軟件的命令行界麵輸入的配置將以終端軟件上設置的字符編碼方式保存在設備上。如果設備和LDAP服務器交互時使用的字符編碼格式不同，可能會出現交互信息中包含的部分字符無法正確解析的問題。例如，當LDAP認證服務器上的用戶DN為中文時，這些用戶可能會因為DN查詢失敗而無法上線。因此，為了適配不同LDAP服務器，需要在設備上指定與LDAP服務器兼容的字符編碼格式。

指定了LDAP服務器使用的字符編碼格式後，設備向服務器發送LDAP報文時，將首先使用缺省的GB18030格式對保存的配置進行解碼，然後以指定的字符編碼格式對其重新編碼；當設備收到LDAP服務器的響應報文後，先按照指定的格式進行解碼，然後再以GB18030方式編碼後保存。

如果希望切換字符編碼格式，建議先完成字符編碼的切換，然後再對用戶進行LDAP認證。

【舉例】

# 在LDAP服務器視圖ccc下，配置該LDAP服務器使用的字符編碼格式為UTF-8。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] character-encoding utf-8

【相關命令】

· display ldap scheme

1.6.5 display ldap scheme

display ldap scheme命令用來查看LDAP方案的配置信息。

【命令】

display ldap scheme [ ldap-scheme-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

ldap-scheme-name：LDAP方案的名稱，為1～32個字符的字符串，不區分大小寫。如果不指定該參數，則顯示所有LDAP方案的配置信息。

【舉例】

# 查看所有LDAP方案的配置信息。

<Sysname> display ldap scheme

Total 1 LDAP schemes

------------------------------------------------------------------

LDAP scheme name : aaa

Authentication server : aaa

IP : 1.1.1.1

Port : 111

VPN instance : Not configured

LDAP protocol version : LDAPv3

Server timeout interval : 10 seconds

Base DN : Not configured

Search scope : all-level

User searching parameters:

User object class : Not configured

Username attribute : cn

Username format : with-domain

Group filter : (objectclass=group)

Character encoding : UTF-8

Authorization server : aaa

IP : 1.1.1.1

Port : 111

VPN instance : Not configured

LDAP protocol version : LDAPv3

Server timeout interval : 10 seconds

Base DN : Not configured

Search scope : all-level

User searching parameters:

User object class : Not configured

Username attribute : cn

Username format : with-domain

Group filter : (objectclass=group)

Character encoding : GB18030

Attribute map : map1

------------------------------------------------------------------

表1-16 display ldap scheme命令顯示信息描述表

字段	描述
Total 1 LDAP schemes	總共有1個LDAP方案
LDAP Scheme Name	LDAP方案名稱
Authentication Server	LDAP認證服務器名稱未配置時，顯示為Not configured
Authorization server	LDAP授權服務器名稱未配置時，顯示為Not configured
IP	LDAP認證服務器的IP地址未配置認證服務器IP時，IP地址顯示為Not configured
Port	LDAP認證服務器的端口號未配置認證服務器IP時，端口號顯示為缺省值
VPN Instance	（暫不支持）VPN實例名稱未配置時，顯示為Not configured
LDAP Protocol Version	LDAP協議的版本號（LDAPv2、LDAPv3）
Server Timeout Interval	LDAP服務器連接超時時間（單位為秒）
Login Account DN	管理員用戶的DN
Base DN	用戶DN查詢的起始DN
Search Scope	用戶DN查詢的範圍（all-level：所有子目錄查詢，single-level：下級目錄查詢）
User Searching Parameters	用戶查詢參數
User Object Class	查詢用戶DN時使用的用戶對象類型未配置時，顯示為Not configured
Username Attribute	用戶登錄賬號的屬性類型
Username Format	發送給服務器的用戶名格式
Group filter	LDAP用戶組過濾條件
Character encoding	LDAP服務器使用的字符編碼格式（GB18030、UTF-8）未配置時，不顯示該信息
Attribute map	引用的LDAP屬性映射表名稱未配置時，顯示為Not configured

1.6.6 group-filter

group-filter命令用來配置用戶組過濾條件。

undo group-filter命令用來恢複缺省情況。

【命令】

group-filter group-filter

undo group-filter

【缺省情況】

用戶組的過濾條件是"(objectclass=group)"。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

group-filter：組過濾條件，為1～127個字符的字符串，區分大小寫。組過濾條件字符串的寫作規則由LDAP服務器定義。

【使用指導】

設備從LDAP服務器上導入用戶組信息時，LDAP服務器會根據設置的用戶組過濾條件篩選出符合條件的用戶組信息發送給設備。

【舉例】

# 在LDAP服務器視圖ccc下，配置用戶組過濾條件為(&(objectclass=group)(name=group1))。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] group-filter (&(objectclass=group)(name=group1))

【相關命令】

· display ldap scheme

1.6.7 ip

ip命令用來配置LDAP服務器的IP地址。

undo ip命令用來恢複缺省情況。

【命令】

ip ip-address [ port port-number ]

undo ip

【缺省情況】

未配置LDAP服務器的IP地址。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

ip-address：LDAP服務器的IP地址。

port port-number：LDAP服務器所使用的TCP端口號，取值範圍為1～65535，缺省值為389。

【使用指導】

需保證設備上的LDAP服務端口與LDAP服務器上使用的端口設置一致。

更改後的服務器IP地址和端口號，隻對更改之後進行的LDAP認證生效。

【舉例】

# 配置LDAP服務器ccc的IP地址為192.168.0.10、端口號為4300。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300

【相關命令】

· ldap server

1.6.8 ipv6

ipv6命令用來配置LDAP服務器的IPv6地址。

undo ipv6命令用來恢複缺省情況。

【命令】

ipv6 ipv6-address [ port port-number ]

undo ipv6

【缺省情況】

未配置LDAP服務器的IP地址。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

ipv6-address：LDAP服務器的IPv6地址。

port port-number：LDAP服務器所使用的TCP端口號，取值範圍為1～65535，缺省值為389。

【使用指導】

需保證設備上的LDAP服務端口與LDAP服務器上使用的端口設置一致。

更改後的服務器IP地址和端口號，隻對更改之後的LDAP認證生效。

【舉例】

# 配置LDAP服務器ccc的IPv6地址為1:2::3:4、端口號為4300。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300

【相關命令】

· ldap server

1.6.9 ldap attribute-map

ldap attribute-map命令用來創建LDAP屬性映射表，並進入LDAP屬性映射表視圖。如果指定的LDAP屬性映射表已經存在，則直接進入LDAP屬性映射表視圖。

undo ldap attribute-map命令用來刪除指定的LDAP屬性映射表。

【命令】

ldap attribute-map map-name

undo ldap attribute-map map-name

【缺省情況】

不存在LDAP屬性映射表。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

map-name：LDAP屬性映射表的名稱，為1～31個字符的字符串，分大小寫。

【使用指導】

一個LDAP的屬性映射表中可以添加多個LDAP屬性映射表項，每個表項表示一個LDAP 屬性和一個AAA屬性的映射關係。

可以通過多次執行本命令配置多個LDAP的屬性映射表。

【舉例】

# 創建名稱為map1的LDAP屬性映射表，並進入該屬性映射表視圖。

<Sysname> system-view

[Sysname] ldap attribute-map map1

[Sysname-ldap-map-map1]

【相關命令】

· attribute-map

· ldap scheme

· map

1.6.10 ldap scheme

ldap scheme命令用來創建LDAP方案，並進入LDAP方案視圖。如果指定的LDAP方案已經存在，則直接進入LDAP方案視圖。

undo ldap scheme命令用來刪除指定的LDAP方案。

【命令】

ldap scheme ldap-scheme-name

undo ldap scheme ldap-scheme-name

【缺省情況】

不存在LDAP方案。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ldap-scheme-name：LDAP方案的名稱，為1～32個字符的字符串，不區分大小寫。

【使用指導】

一個LDAP方案可以同時被多個ISP域引用。

係統最多支持配置16個LDAP方案。

【舉例】

# 創建名稱為ldap1的LDAP方案並進入其視圖。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1]

【相關命令】

· display ldap scheme

1.6.11 ldap server

ldap server用來創建LDAP服務器，並進入LDAP服務器視圖。如果指定的LDAP服務器已經存在，則直接進入LDAP服務器視圖。

undo ldap server命令用來刪除指定的LDAP服務器。

【命令】

ldap server server-name

undo ldap server server-name

【缺省情況】

不存在LDAP服務器。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

server-name：LDAP服務器的名稱，為1～64個字符的字符串，不區分大小寫。

【舉例】

# 創建LDAP服務器ccc並進入其視圖。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc]

【相關命令】

· display ldap scheme

1.6.12 login-dn

undo login-dn命令用來恢複缺省情況。

【命令】

undo login-dn

【缺省情況】

未配置具有管理員權限的用戶DN。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

dn-string：具有管理員權限的用戶DN，是綁定服務器時使用的用戶標識名，為1～255個字符的字符串，不區分大小寫。

【使用指導】

設備上的管理員DN必須與服務器上管理員的DN一致。

更改後的管理員DN，隻對更改之後的LDAP認證生效。

【舉例】

# 在LDAP服務器視圖ccc下，配置管理員權限的用戶DN為uid=test, ou=people, o=example, c=city。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] login-dn uid=test,ou=people,o=example,c=city

【相關命令】

· display ldap scheme

1.6.13 login-password

undo login-password命令用來恢複缺省情況。

【命令】

undo login-password

【缺省情況】

未配置具有管理權限的用戶密碼。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

cipher：表示以密文方式設置密碼。

simple：表示以明文方式設置密碼，該密碼將以密文形式存儲。

string：密碼字符串，區分大小寫。明文密碼為1～128個字符的字符串，密文密碼為1～201個字符的字符串。

【使用指導】

該命令隻有在配置了login-dn的情況下生效。當未配置login-dn時，該命令不生效。

【舉例】

# 在LDAP服務器視圖ccc下，配置具有管理員權限的用戶密碼為明文abcdefg。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] login-password simple abcdefg

【相關命令】

· display ldap scheme

· login-dn

1.6.14 map

map命令用來配置LDAP屬性映射表項。

undo map命令用來刪除指定的LDAP屬性映射表項。

【命令】

map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute { user-group | user-profile }

undo map [ ldap-attribute ldap-attribute-name ]

【缺省情況】

未指定LDAP屬性映射關係。

【視圖】

LDAP屬性映射表視圖

【缺省用戶角色】

network-admin

【參數】

ldap-attribute ldap-attribute-name：表示要映射的LDAP屬性。其中，ldap-attribute-name表示LDAP屬性名稱，為1～63個字符的字符串，區分大小寫。

prefix prefix-value delimiter delimiter-value：表示按照一定的格式提取LDAP屬性字符串中的內容映射為AAA屬性。其中，prefix-value表示LDAP屬性字符串中的某內容前綴（例如cn=），為1～7個字符的字符串，區分大小寫；delimiter-value表示LDAP屬性字符串中的內容分隔符（例如逗號）。若不指定該可選參數，則表示要將一個完整的LDAP屬性字符串映射為指定的AAA屬性。

aaa-attribute：表示要映射為的AAA屬性。

user-group：表示User group類型的AAA屬性。

user-profile：表示User Profile類型的AAA屬性。

【使用指導】

如果某LDAP服務器下發給用戶的屬性不能被AAA模塊解析，則該屬性將被忽略。因此，需要通過本命令指定要獲取哪些LDAP屬性，以及LDAP服務器下發的這些屬性將被AAA模塊解析為什麼類型的AAA屬性，具體映射為哪種類型的AAA屬性由實際應用需求決定。

一個LDAP服務器屬性隻能映射為一個AAA屬性，但不同的LDAP服務器屬性可映射為同一個AAA屬性。

如果undo map命令中不指定ldap-attribute參數，則表示刪除所有的LDAP屬性映射表項。

【舉例】

# 在LDAP屬性映射表視圖map1下，配置將LDAP服務器屬性memberof按照前綴為cn=、分隔符為逗號（,）的格式提取出的內容映射成AAA屬性User group。

<Sysname> system-view

[Sysname] ldap attribute-map map1

[Sysname-ldap-map-map1] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group

【相關命令】

· ldap attribute-map

· user-group

· user-profile（安全命令參考/User Profile）

1.6.15 protocol-version

protocol-version命令用來配置LDAP認證中所支持的LDAP協議的版本號。

undo protocol-version命令用來恢複缺省情況。

【命令】

protocol-version { v2 | v3 }

undo protocol-version

【缺省情況】

LDAP版本號為LDAPv3。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

v2：表示LDAP協議版本號為LDAPv2。

v3：表示LDAP協議版本號為LDAPv3。

【使用指導】

為保證LDAP認證成功，請保證設備上的LDAP版本號與LDAP服務器上使用的版本號一致。

更改後的服務器版本號，隻對更改之後的LDAP認證生效。

Microsoft的LDAP服務器隻支持LDAPv3，配置LDAP版本為v2時無效。

【舉例】

# 在LDAP服務器視圖ccc下，配置LDAP協議版本號為LDAPv2。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] protocol-version v2

【相關命令】

· display ldap scheme

1.6.16 search-base-dn

search-base-dn命令用來配置用戶查詢的起始DN。

undo search-base-dn命令用來恢複缺省情況。

【命令】

search-base-dn base-dn

undo search-base-dn

【缺省情況】

未指定用戶查詢的起始DN。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

base-dn：查詢待認證用戶的起始DN值，為1～255個字符的字符串，不區分大小寫。

【舉例】

# 在LDAP服務器視圖ccc下，配置用戶查詢的起始DN為dc=ldap,dc=com。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com

【相關命令】

· display ldap scheme

· ldap server

1.6.17 search-scope

search-scope命令用來配置用戶查詢的範圍。

undo search-scope命令用來恢複缺省情況。

【命令】

search-scope { all-level | single-level }

undo search-scope

【缺省情況】

用戶查詢的範圍為all-level。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

all-level：表示在起始DN的所有子目錄下進行查詢。

single-level：表示隻在起始DN的下一級子目錄下進行查詢。

【舉例】

# 在LDAP服務器視圖ccc下，配置在起始DN的所有子目錄下查詢LDAP認證用戶。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] search-scope all-level

【相關命令】

· display ldap scheme

· ldap server

1.6.18 server-timeout

server-timeout命令用來配置LDAP服務器連接超時時間，即認證、授權時等待LDAP服務器回應的最大時間。

undo server-timeout命令用來恢複缺省情況。

【命令】

server-timeout time-interval

undo server-timeout

【缺省情況】

LDAP服務器連接超時時間為10秒。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

time-interval：LDAP服務器連接超時時間，取值範圍為5～20，單位為秒。

【使用指導】

更改後的連接超時時間，隻對更改之後的LDAP認證生效。

【舉例】

# 在LDAP服務器視圖ccc下，配置LDAP服務器連接超時時間為15秒。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] server-timeout 15

【相關命令】

· display ldap scheme

1.6.19 user-parameters

user-parameters命令用來配置LDAP用戶查詢的屬性參數，包括用戶名屬性、用戶名格式和自定義用戶對象類型。

undo user-parameters命令用來將指定的LDAP用戶查詢的屬性參數恢複為缺省值。

【命令】

user-parameters { user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }

undo user-parameters { user-name-attribute | user-name-format | user-object-class }

【缺省情況】

user-name-attribute為cn；user-name-format為without-domain；未指定自定義user-object-class，根據使用的LDAP服務器的類型使用各服務器缺省的用戶對象類型。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

user-name-attribute { name-attribute | cn | uid }：表示用戶名的屬性類型。其中，name-attribute表示屬性類型值，為1～64個字符的字符串，不區分大小寫；cn表示用戶登錄賬號的屬性為cn（Common Name）；uid表示用戶登錄賬號的屬性為uid（User ID）。

user-name-format { with-domain | without-domain }：表示發送給服務器的用戶名格式。其中，with-domain表示發送給服務器的用戶名帶ISP域名；without-domain表示發送給服務器的用戶名不帶ISP域名。

user-object-class object-class-name：表示查詢用戶DN時使用的用戶對象類型。其中，object-class-name表示對象類型值，為1～64個字符的字符串，不區分大小寫。

【使用指導】

如果LDAP服務器上的用戶名不包含域名，必須配置user-name-format為without-domain，將用戶名的域名去除後再傳送給LDAP服務器；如果包含域名則需配置user-name-format為with-domain。

【舉例】

# 在LDAP服務器視圖ccc下，配置用戶對象類型為person。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] user-parameters user-object-class person

【相關命令】

· display ldap scheme

· login-dn

1.7 ITA業務策略配置命令

1.7.1 accounting-level

accounting-level命令用來指定需要進行計費的流量計費級別。

undo accounting-level命令用來刪除需要進行計費的計費級別。

【命令】

accounting-level level { ipv4 | ipv6 }

undo accounting-level [ level ]

【缺省情況】

未指定需要計費的流量計費級別。

【視圖】

ITA業務策略視圖

【缺省用戶角色】

network-admin

【參數】

level：流量計費級別，取值範圍為1～8。

ipv4：指定該級別的流量按照IPv4流量進行計費。

ipv6：指定該級別的流量按照IPv6流量進行計費。

【使用指導】

流量計費級別是運營商對用戶訪問不同目的網絡的流量收取費用的等級，可通過ITA業務策略為不同的用戶流量定義不同的計費級別。

如果undo accounting-level命令中不指定level參數，則表示刪除本ITA業務策略內所有的流量計費級別。

如果本命令指定的IP協議類型與用戶ITA業務流量的實際IP協議類型不一致，那麼將按照本命令指定的協議類型對ITA業務流量進行計費。

【舉例】

# 在ITA業務策略ita1中，指定需要計費的流量計費級別為2和5，其中2級作為IPv4流量計費，5級作為IPv6流量計費。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] accounting-level 2 ipv4

[Sysname-ita-policy-ita1] accounting-level 5 ipv6

1.7.2 accounting-merge enable

accounting-merge enable命令用來開啟統一計費功能。

undo accounting-merge enable命令用來關閉統一計費功能。

【命令】

accounting-merge enable

undo accounting-merge enable

【缺省情況】

統一計費功能處於關閉狀態。

【視圖】

ITA業務策略視圖

【缺省用戶角色】

network-admin

【使用指導】

開啟ITA業務策略的統一計費功能後，係統會將策略下所有級別的流量進行合並，並以該策略中配置的最低的流量計費級別上報給計費服務器。

【舉例】

# 在ITA業務策略ita1中，開啟統一計費功能。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] accounting-merge enable

1.7.3 accounting-method

accounting-method命令用來指定ITA業務策略采用的計費方案。

undo accounting-method命令用來恢複缺省情況。

【命令】

accounting-method { none | radius-scheme radius-scheme-name [ none ] }

undo accounting-method

【缺省情況】

ITA業務策略使用的計費方案為none。

【視圖】

ITA業務策略視圖

【缺省用戶角色】

network-admin

【參數】

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

可以對ITA業務流量采用獨立的計費方案，與對非ITA業務流量采用的計費方案不同。

可以指定備選計費方法，在當前的計費方法無效時嚐試使用備選的方法完成計費。例如，radius-scheme radius-scheme-name none表示，先進行RADIUS計費，若RADIUS計費無效則不進行計費。

【舉例】

# 在ITA業務策略ita1中，指定采用的計費方案為radius1。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] accounting-method radius-scheme radius1

【相關命令】

· radius scheme

1.7.4 ita policy

ita policy命令用來創建ITA業務策略，並進入ITA業務策略視圖。如果指定的ITA業務策略已經存在，則直接進入ITA業務策略視圖。

undo ita policy命令用來刪除指定的ITA業務策略。

【命令】

ita policy policy-name

undo ita policy policy-name

【缺省情況】

不存在ITA業務策略。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

policy-name：ITA業務策略的名稱，為1～31個字符的字符串，不區分大小寫。

【使用指導】

ITA業務策略用來配置智能靶向計費功能相關控製參數。

【舉例】

# 創建一個名稱為ita1的ITA業務策略並進入其視圖。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1]

1.7.5 traffic-quota-out

traffic-quota-out命令用來配置流量配額耗盡策略。

undo traffic-quota-out命令用來恢複缺省情況。

【命令】

traffic-quota-out { offline | online }

undo traffic-quota-out

【缺省情況】

流量配額耗盡後用戶不能訪問授權的目的IP地址段。

【視圖】

ITA業務策略視圖

【缺省用戶角色】

network-admin

【參數】

offline：當用戶的指定級別的流量配額耗盡後，用戶不能訪問授權的目的IP地址段。

online：當用戶的指定級別的流量配額耗盡後，用戶仍能訪問授權的目的IP地址段。

【舉例】

# 在ITA業務策略ita1中，配置流量配額耗盡策略為流量耗盡後不能訪問授權的目前IP地址段。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] traffic-quota-out offline

1.7.6 traffic-separate

traffic-separate enable命令用來開啟ITA業務流量與用戶總計費流量分離功能。

undo traffic-separate enable命令用來關閉ITA業務流量與用戶總計費流量分離功能。

【命令】

traffic-separate enable

undo traffic-separate enable

【缺省情況】

ITA業務流量與用戶總計費流量分離功能處於關閉狀態，設備上報給計費服務器的用戶總計費流量為ITA業務流量和非ITA業務流量之和。

【視圖】

ITA業務策略視圖

【缺省用戶角色】

network-admin

【使用指導】

開啟ITA業務流量與用戶總計費流量分離功能後，設備上報給計費服務器的用戶總計費流量中將不包含ITA業務流量。

【舉例】

# 在ITA業務策略ita1中，開啟ITA業務流量與用戶總計費流量分離功能。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] traffic-separate enable

1.8 RADIUS服務器配置命令

1.8.1 ca-file

ca-file命令用來配置EAP認證使用的CA證書。

undo ca-file命令用來恢複缺省情況。

【命令】

ca-file file-name

undo ca-file

【缺省情況】

未配置EAP認證使用的CA證書。

【視圖】

EAP認證方案視圖

【缺省用戶角色】

network-admin

【參數】

file-name：表示CA證書文件名稱，為1～91個字符的字符串，區分大小寫。僅支持PEM格式的CA證書。

【使用指導】

當客戶端使用的EAP認證方法為PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2時，設備作為服務器使用CA證書來校驗客戶端的證書。

配置CA證書之前，需要通過FTP或TFTP的方式將證書文件導入設備的存儲介質的根目錄下。

一個EAP認證方案視圖中隻能指定一個CA證書，後配置的生效。

【舉例】

# 在EAP認證方案eap1中，配置EAP認證使用的CA證書文件為ca.pem。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] ca-file ca.pem

【相關命令】

· certificate-file

1.8.2 certificate-file

certificate-file命令用來配置EAP認證使用的本地證書。

undo certificate-file命令用來恢複缺省情況。

【命令】

certificate-file file-name

undo certificate-file

【缺省情況】

未配置EAP認證使用的本地證書。

【視圖】

EAP認證方案視圖

【缺省用戶角色】

network-admin

【參數】

file-name：表示證書文件名稱，為1～91個字符的字符串，區分大小寫。僅支持PEM格式的本地證書。

【使用指導】

當客戶端使用的EAP認證方法為PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2、TLS時，如果客戶端選擇校驗服務器的證書，則設備作為服務器需要提供本地證書供客戶端校驗。

配置本地證書之前，需要通過FTP或TFTP的方式將證書文件導入設備的存儲介質的根目錄下。

一個EAP認證方案視圖中隻能指定一個本地證書，後配置的生效。

本配置是本地RADIUS服務器啟動的必要條件之一。

【舉例】

# 在EAP認證方案eap1中，配置EAP認證使用的本地證書文件為server.pem。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] certificate-file server.pem

【相關命令】

· private-key-file

1.8.3 display radius-server active-client

display radius-server active-client命令用來顯示處於激活狀態的RADIUS客戶端信息。

【命令】

display radius-server active-client

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【使用指導】

可以通過本命令查看設備作為RADIUS服務器時，可用於認證的RADIUS客戶端信息。

【舉例】

# 顯示所有處於激活狀態的RADIUS客戶端信息。

<Sysname> display radius-server active-client

Total 2 RADIUS clients.

Client IP: 2.2.2.2

Client IP: 3.3.3.3

表1-17 display radius-server active-client命令顯示信息描述表

字段	描述
Total 2 RADIUS clients	共計2個RADIUS客戶端
Client IP	RADIUS客戶端IP地址

【相關命令】

· radius-server client

1.8.4 display radius-server active-eap-profile

display radius-server active-eap-profile命令用來顯示處於激活狀態的EAP認證方案。

【命令】

display radius-server active-eap-profile

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【使用指導】

可以通過本命令查看設備作為RADIUS服務器時，處於激活狀態的EAP認證方案配置。

【舉例】

# 顯示設備作為RADIUS服務器時，處於激活狀態的EAP認證方案配置。

<Sysname> display radius-server active-eap-profile

Method : PEAP-MSCHAPv2

CA file : ca.pem

Certificate file : server.pem

Private key file : server.pem

表1-18 display radius-server active-eap-profile命令顯示信息描述表

字段	描述
Method	EAP認證方法
CA file	CA證書文件名
Certificate file	本地證書文件名
Private key file	私鑰文件名

【相關命令】

· radius-server eap-profile

1.8.5 display radius-server active-ldap-scheme

display radius-server active-ldap-scheme命令用來顯示處於激活狀態的LDAP方案。

【命令】

display radius-server active-ldap-scheme

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【使用指導】

可以通過本命令查看設備作為RADIUS服務器時，處於激活狀態的LDAP方案配置。

【舉例】

# 顯示設備作為RADIUS服務器時，處於激活狀態的LDAP方案配置。

<Sysname> display radius-server active-ldap-scheme

IP : 1.1.1.1

Administrator DN : cn=manager,dc=test,dc=com

Base DN : dc=test,dc=com

表1-19 display radius-server active-ldap-scheme命令顯示信息描述表

字段	描述
IP	LDAP證服務器的IP地址
Administrator DN	管理員用戶的DN
Base DN	用戶DN查詢的起始DN

【相關命令】

· radius-server ldap-scheme

1.8.6 display radius-server active-user

display radius-server active-user命令用來顯示處於激活狀態的RADIUS用戶信息。

【命令】

display radius-server active-user [ user-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

user-name：RADIUS用戶名，為1～55個字符的字符串，區分大小寫，不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能為“a”、“al”或“all”。若不指定該參數，則顯示所有RADIUS用戶信息。

【使用指導】

可以通過本命令查看設備作為RADIUS服務器時，用於驗證接入用戶身份的RADIUS用戶信息。

【舉例】

# 顯示用戶名為test的處於激活狀態的RADIUS用戶信息。

<Sysname> display radius-server active-user test

Total 1 RADIUS users matched.

Username: test

Description: A network access user from company cc

Authorization attributes:

VLAN ID: 2

ACL number: 2000

Validity period:

Expiration time: 2018/04/03-18:00:00

# 顯示所有處於激活狀態的RADIUS用戶信息。

<Sysname> display radius-server active-user

Total 2 RADIUS users matched.

Username: 123

Description: A network access user from company cc

Authorization attributes:

VLAN ID: 2

ACL number: 3000

Validity period:

Expiration time: 2018/04/03-18:00:00

Username: 456

Description: A network access user from company cc

Authorization attributes:

VLAN ID: 2

ACL number: Not configured

Validity period:

Expiration time: Not configured

表1-20 display radius-server active-user命令顯示信息描述表

字段	描述
Username	RADIUS用戶名
Description	用戶的描述信息
Authorization attributes	用戶授權屬性
VLAN ID	授權VLAN
ACL number	授權ACL
Validity period	用戶有效期
Expiration time	有效期的結束日期和時間

【相關命令】

· local-user

1.8.7 eap-profile

eap-profile命令用來創建EAP認證方案，並進入EAP認證方案視圖。如果指定的EAP認證方案已存在，則直接進入EAP認證方案視圖。

undo eap-profile命令用來刪除指定的EAP認證方案。

【命令】

eap-profile eap-profile-name

undo eap-profile eap-profile-name

【缺省情況】

不存在EAP認證方案。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

eap-profile-name：EAP認證方案的名稱，為1～32個字符的字符串，區分大小寫。

【使用指導】

EAP認證方案是一個EAP認證選項的配置集合，用於指定設備作為RADIUS服務器時采用的EAP認證方法以及EAP認證參數。

係統最多支持配置16個EAP認證方案。

EAP認證方案下所有配置僅在執行radius-server activate之後才會生效。

【舉例】

# 創建名為eap1的EAP認證方案，並進入其視圖。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1]

【相關命令】

· display radius-server active-eap-profile

· radius-server activate

1.8.8 method

method命令用來配置缺省EAP認證方法。

undo method命令用來恢複缺省情況。

【命令】

method { md5 | peap-gtc | peap-mschapv2 | tls | ttls-gtc | ttls-mschapv2 }

undo method

【缺省情況】

采用的缺省EAP認證方法為MD5-Challenge。

【視圖】

EAP認證方案視圖

【缺省用戶角色】

network-admin

【參數】

md5：表示采用的認證方法為MD5-Challenge。

peap-gtc：表示采用的認證方法為PEAP-GTC。

peap-mschapv2：表示采用的認證方法為PEAP-MSCHAPV2。

tls：表示采用的認證方法為TLS。

ttls-gtc：表示采用的認證方法為TTLS-GTC。

ttls-mschapv2：表示采用的認證方法為TTLS-MSCHAPV2。

【使用指導】

一個EAP認證方案視圖中隻能指定一個EAP認證方法，後配置的生效。

設備支持多種EAP認證方法，在向對端發起認證請求時優先使用EAP認證方案中配置的缺省EAP認證方法。若對端使用的EAP認證方法與該缺省認證方法不一致，會告知設備自己支持的EAP認證方法，然後設備將采用本地支持且與對端一致的EAP認證方法重新向對端發起認證請求。但是，當設備采用EAP終結方式對無線客戶端進行認證處理時，僅且隻能支持使用指定的缺省認證方法PEAP-GTC與對端進行協商。

【舉例】

# 在EAP認證方案eap1中，配置缺省認證方法為PEAP-GTC。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] method peap-gtc

【相關命令】

· display radius-server active-eap-profile

1.8.9 private-key-file

private-key-file命令用來配置本地證書的私鑰。

undo private-key-file命令用來恢複缺省情況。

【命令】

private-key-file file-name

undo private-key-file

【缺省情況】

未配置EAP認證使用的本地證書的私鑰。

【視圖】

EAP認證方案視圖

【缺省用戶角色】

network-admin

【參數】

file-name：表示私鑰文件名稱，為1～91個字符的字符串，區分大小寫。僅支持PEM格式的私鑰文件。

【使用指導】

當客戶端使用的EAP認證方法為PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2、TLS時，客戶端發送給服務器的信息是經過公鑰加密的，所以需要使用對應的私鑰去解析客戶端信息。

如果本地證書中攜帶了私鑰，那麼指定的私鑰文件名稱必須和本地證書文件名稱相同。

配置私鑰之前，需要通過FTP或TFTP的方式將私鑰文件導入設備的存儲介質的根目錄下。

一個EAP認證方案視圖中隻能指定一個私鑰文件，後配置的生效。

本配置是本地RADIUS服務器啟動的必要條件之一。

【舉例】

# 在EAP認證方案eap1中，配置本地證書的私鑰文件為server.pem。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] private-key-file server.pem

【相關命令】

· certificate-file

· display radius-server active-eap-profile

1.8.10 private-key-password

private-key-password命令用來配置本地證書的私鑰密碼。

undo private-key-password命令用來恢複缺省情況。

【命令】

private-key-password { cipher | simple } string

undo private-key-password

【缺省情況】

未配置本地證書的私鑰密碼。

【視圖】

EAP認證方案視圖

【缺省用戶角色】

network-admin

【參數】

cipher：以密文方式設置密碼。

simple：以明文方式設置密碼，該密碼將以密文形式存儲。

string：密碼字符串，區分大小寫。明文密碼為1～63個字符的字符串，密文密碼為1～117個字符的字符串。

【使用指導】

設備在導入和使用本地證書的私鑰時，需要提供對應的私鑰密碼，因此本命令配置的私鑰密碼必須與導出私鑰時指定的密碼一致。

一個EAP認證方案視圖下，隻能存在一個私鑰密碼，後配置的生效。

本配置是本地RADIUS服務器啟動的必要條件之一。

【舉例】

# 在EAP認證方案eap1中，配置本地證書的私鑰密碼為明文123。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] private-key-password simple 123

【相關命令】

· private-key-file

1.8.11 radius-server activate

radius-server activate命令用來重啟RADIUS服務器進程並激活RADIUS服務器配置。

【命令】

radius-server activate

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

設備啟動後會自動啟動RADIUS服務器進程，並激活已有的RADIUS客戶端、RADIUS用戶、EAP認證方案和LDAP認證方案配置。之後若對RADIUS客戶端和RADIUS用戶進行了增加、修改或刪除操作，或者修改了本地RADIUS服務器引用的EAP配置（EAP認證方案視圖下的配置）和LDAP配置（LDAP方案視圖下的配置），則都需要使用此命令重啟RADIUS服務器進程，並對其進行激活，否則更新後的配置無法生效。

RADIUS服務器進程重啟期間，設備無法作為RADIUS服務器為用戶提供認證服務。

【舉例】

# 重啟RADIUS服務器進程並激活RADIUS服務器配置。

<Sysname> system-view

[Sysname] radius-server activate

【相關命令】

· display radius-server active-client

· display radius-server active-eap-profile

· display radius-server active-ldap-scheme

· display radius-server active-user

· radius-server deactivate

1.8.12 radius-server client

radius-server client命令用來指定RADIUS客戶端。

undo radius-server client命令用來刪除指定的RADIUS客戶端。

【命令】

radius-server client ip ipv4-address key { cipher | simple } string

undo radius-server client { all | ip ipv4-address }

【缺省情況】

未指定RADIUS客戶端。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ip ipv4-address：RADIUS客戶端的IPv4地址，不能為0.X.X.X和127.X.X.X，以及A、B、C類以外的地址。

key：指定與RADIUS客戶端通信的共享密鑰。

cipher：表示以密文方式設置密鑰。

simple：表示以明文方式設置密鑰。

string：密鑰字符串，區分大小寫。明文密鑰為1～64個字符的字符串；密文密鑰為1～117個字符的字符串。

all：指定所有RADIUS客戶端。

【使用指導】

RADIUS服務器上指定的RADIUS客戶端IP地址必須和RADIUS客戶端上配置的發送RADIUS報文的源IP地址保持一致。

RADIUS服務器上指定的共享密鑰必須和RADIUS客戶端上配置的與RADIUS服務器通信的共享密鑰保持一致。

可通過多次執行本命令，指定多個RADIUS客戶端。

【舉例】

# 配置RADIUS客戶端IP地址為2.2.2.2，共享密鑰為明文test。

<Sysname> system-view

[Sysname] radius-server client ip 2.2.2.2 key simple test

【相關命令】

· display radius-server active-client

1.8.13 radius-server deactivate

radius-server deactivate命令用來關閉RADIUS服務器進程並去激活RADIUS服務器配置。

【命令】

radius-server deactivate

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【使用指導】

執行此命令會關閉RADIUS服務器進程關閉，並同時將所有RADIUS服務器配置置於未激活狀態。RADIUS服務器進程關閉期間，設備無法作為RADIUS服務器為用戶提供認證服務。

【舉例】

# 關閉RADIUS服務器進程並去激活RADIUS服務器配置。

<Sysname> system-view

[Sysname] radius-server deactivate

【相關命令】

· radius-server activate

1.8.14 radius-server eap-profile

radius-server eap-profile命令用來指定本地RADIUS服務器應用的EAP認證方案。

undo radius-server eap-profile命令用來恢複缺省情況。

【命令】

radius-server eap-profile eap-profile-name

undo radius-server eap-profile

【缺省情況】

本地RADIUS服務器未應用EAP認證方案。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

eap-profile-name：EAP認證方案名稱，為1～32個字符的字符串，區分大小寫，且必須已經存在。

【使用指導】

如果指定了RADIUS服務器應用的EAP認證方案，則本地RADIUS服務器啟動後，設備會采用該EAP認證方案中的EAP認證方法以及相關參數與客戶端進行交互。

該命令僅在執行radius-server activate之後才會生效。

多次執行本命令，最後一次執行的命令生效。

【舉例】

# 指定RADIUS服務器應用的EAP認證方案為eap1。

<Sysname> system-view

[Sysname] radius-server eap-profile eap1

【相關命令】

· display radius-server active-eap-profile

· eap-profile

· radius-server activate

1.8.15 radius-server ldap-scheme

radius-server ldap-scheme命令用來指定本地RADIUS服務器應用的LDAP認證方案。

undo radius-server ldap-scheme命令用來恢複缺省情況。

【命令】

radius-server ldap-scheme ldap-scheme-name

undo radius-server ldap-scheme

【缺省情況】

本地RADIUS服務器未引用LDAP認證方案。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ldap-scheme-name：LDAP方案的名稱，為1～64個字符的字符串，不區分大小寫，且必須已經存在。

【使用指導】

如果指定了本地RADIUS服務器應用的LDAP方案，則在本地RADIUS服務器啟動後，設備會采用所引用的LDAP方案中的LDAP認證服務器以及相關參數對用戶身份進行認證。

本地RADIUS服務器所引用的LDAP方案中必須指定了可用且可達的LDAP認證服務器，否則本地RADIUS服務器無法成功啟動。

該命令僅在執行radius-server activate之後才會生效。

多次執行本命令，最後一次執行的命令生效。

【舉例】

# 指定本地RADIUS服務器應用的LDAP方案為ldap1。

<Sysname> system-view

[Sysname] radius-server ldap-scheme ldap1

【相關命令】

· display radius-server active-ldap-scheme

· ldap scheme

· radius-server activate

1.8.16 ssl-server-policy

ssl-server-policy命令用來配置EAP認證使用的SSL服務器端策略。

undo ssl-server-policy命令用來恢複缺省情況。

【命令】

ssl-server-policy policy-name

undo ssl-server-policy

【缺省情況】

未配置EAP認證使用的SSL服務器端策略。

【視圖】

EAP認證方案視圖

【缺省用戶角色】

network-admin

【參數】

policy-name：SSL服務器端策略名，為1～31個字符的字符串，不區分大小寫。

【使用指導】

在進行該配置之前，需要完成SSL服務器端策略以及SSL服務器端策略所使用的PKI域的配置，否則該配置不能生效。SSL服務器端策略以及PKI域的相關配置可參考“安全命令參考”中的“SSL”和“PKI”。

多次執行本命令，最後一次執行的命令生效。

【舉例】

# 在EAP認證方案eap1中，配置EAP認證使用的SSL服務器端策略為tls-server。

<Sysname> system-view

[Sysname] eap-profile aprf1

[System-eap-prof-aprf1] ssl-server-policy tls-server

【相關命令】

· pki-domain（安全命令參考/PKI）

· ssl server-policy（安全命令參考/SSL）

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

熱門推薦

熱門推薦

H3C服務器

HPE服務器

熱門推薦

H3C存儲

HPE存儲

熱門推薦

商用台式機

商用筆記本

商用顯示器

配件

熱門推薦

熱門推薦

智能終端

技術解決方案

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

專業安全服務

安全運營服務

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

技術支持

自助服務

熱門推薦

熱門推薦

熱門推薦

熱門推薦

合作夥伴培訓與認證

熱門推薦

熱門推薦

公司刊物

加入我們

國家/地區

13-用戶接入與認證命令參考

目錄

03-AAA命令

1 AAA

1.1 ISP域中實現AAA配置命令

1.1.3 aaa session-limit

1.1.4 accounting command

1.1.6 accounting lan-access

1.1.11 accounting sslvpn

1.1.18 authentication portal

1.1.30 authorization-attribute (ISP domain view)

1.1.34 domain

1.1.35 domain default enable

1.1.38 domain-delimiter search-direction

1.1.40 local-server log change-password-prompt

1.1.44 state (ISP domain view)

1.2.6 authorization-attribute (Local user view/user group view)

1.2.9 description

1.2.10 display local-guest waiting-approval

1.2.12 display user-group

1.2.19 local-guest email format