- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-AAA命令
本章節下載: 01-AAA命令 (1.24 MB)
目 錄
1.1.12 authentication lan-access
1.1.18 authorization lan-access
1.1.21 authorization-attribute (ISP domain view)
1.1.26 local-server log change-password-prompt
1.1.28 session-time include-idle-time
1.1.29 state (ISP domain view)
1.2.2 authorization-attribute (Local user view/user group view)
1.2.9 local-user auto-delete enable
1.2.10 password (Device management user view)
1.2.11 password (Network access user view)
1.2.13 state (Local user view)
1.3.9 attribute convert (RADIUS DAE server view)
1.3.10 attribute convert (RADIUS scheme view)
1.3.11 attribute reject (RADIUS DAE server view)
1.3.12 attribute reject (RADIUS scheme view)
1.3.13 attribute remanent-volume
1.3.17 data-flow-format (RADIUS scheme view)
1.3.19 display radius server-load statistics
1.3.20 display radius statistics
1.3.21 display stop-accounting-buffer (for RADIUS)
1.3.25 key (RADIUS scheme view)
1.3.27 nas-ip (RADIUS scheme view)
1.3.29 primary accounting (RADIUS scheme view)
1.3.30 primary authentication (RADIUS scheme view)
1.3.31 radius attribute extended
1.3.32 radius attribute-test-group
1.3.34 radius dynamic-author server
1.3.38 radius session-control client
1.3.39 radius session-control enable
1.3.40 radius-server test-profile
1.3.41 reset radius server-load statistics
1.3.42 reset radius statistics
1.3.43 reset stop-accounting-buffer (for RADIUS)
1.3.45 retry realtime-accounting
1.3.46 retry stop-accounting (RADIUS scheme view)
1.3.47 secondary accounting (RADIUS scheme view)
1.3.48 secondary authentication (RADIUS scheme view)
1.3.49 server-load-sharing enable
1.3.50 snmp-agent trap enable radius
1.3.53 stop-accounting-buffer enable (RADIUS scheme view)
1.3.54 stop-accounting-packet send-force
1.3.56 timer quiet (RADIUS scheme view)
1.3.57 timer realtime-accounting (RADIUS scheme view)
1.3.58 timer response-timeout (RADIUS scheme view)
1.3.59 user-name-format (RADIUS scheme view)
1.3.60 vpn-instance (RADIUS scheme view)
1.4.1 data-flow-format (HWTACACS scheme view)
1.4.3 display stop-accounting-buffer (for HWTACACS)
1.4.6 key (HWTACACS scheme view)
1.4.7 nas-ip (HWTACACS scheme view)
1.4.8 primary accounting (HWTACACS scheme view)
1.4.9 primary authentication (HWTACACS scheme view)
1.4.11 reset hwtacacs statistics
1.4.12 reset stop-accounting-buffer (for HWTACACS )
1.4.13 retry stop-accounting (HWTACACS scheme view)
1.4.14 secondary accounting (HWTACACS scheme view)
1.4.15 secondary authentication (HWTACACS scheme view)
1.4.16 secondary authorization
1.4.17 stop-accounting-buffer enable (HWTACACS scheme view)
1.4.18 timer quiet (HWTACACS scheme view)
1.4.19 timer realtime-accounting (HWTACACS scheme view)
1.4.20 timer response-timeout (HWTACACS scheme view)
1.4.21 user-name-format (HWTACACS scheme view)
1.4.22 vpn-instance (HWTACACS scheme view)
1.6.1 display radius-server active-client
1.6.2 display radius-server active-user
1.7.1 aaa connection-recording policy
設備運行於FIPS模式時,本特性部分配置相對於非FIPS模式有所變化,具體差異請見本文相關描述。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
aaa nas-id profile命令用來創建NAS-ID Profile,並進入NAS-ID-Profile視圖。如果指定的NAS-ID Profile已經存在,則直接進入NAS-ID-Profile視圖。
undo aaa nas-id profile命令用來刪除指定的NAS-ID Profile。
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【缺省情況】
不存在NAS-ID Profile。
係統視圖
network-admin
【參數】
profile-name:Profile名稱,為1~31個字符的字符串,不區分大小寫。
在某些應用環境中,網絡運營商需要使用接入設備發送給RADIUS服務器的NAS-Identifier屬性值來獲知用戶的接入位置,而用戶的接入VLAN可標識用戶的接入位置,因此接入設備上可通過建立用戶接入VLAN與指定的NAS-ID之間的綁定關係來實現接入位置信息的映射。NAS-ID Profile用於保存NAS-ID和VLAN的綁定關係。這樣,當用戶上線時,設備會將與用戶接入VLAN匹配的NAS-ID填充在RADIUS請求報文中的NAS-Identifier屬性中發送給RADIUS服務器。
若以上配置都不存在,則使用設備的名稱作為NAS-ID。
# 創建一個名稱為aaa的NAS-ID Profile,並進入NAS-ID-Profile視圖。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【相關命令】
· nas-id bind vlan
· port-security nas-id-profile(安全命令參考/端口安全)
· portal nas-id-profile(安全命令參考/Portal)
aaa session-limit命令用來配置同時在線的最大用戶連接數,即采用指定登錄方式登錄設備並同時在線的用戶數。
undo aaa session-limit命令用來將指定登錄方式的同時在線的最大用戶連接數恢複為缺省情況。
【命令】
(非FIPS模式)
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions
undo aaa session-limit { ftp | http | https | ssh | telnet }
(FIPS模式)
aaa session-limit { https | ssh } max-sessions
undo aaa session-limit { https | ssh }
【缺省情況】
同時在線的各類型最大用戶連接數均為32。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ftp:表示FTP用戶。
http:表示HTTP用戶。
https:表示HTTPS用戶。
ssh:表示SSH用戶。
telnet:表示Telnet用戶。
max-sessions:允許同時在線的最大用戶連接數,FTP/SSH/Telnet用戶的取值範圍為1~32,HTTP/HTTPS用戶的取值範圍為1~64。
【使用指導】
配置本命令後,當指定類型的接入用戶的用戶數超過當前配置的最大連接數後,新的接入請求將被拒絕。
【舉例】
# 設置同時在線的最大FTP用戶連接數為4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
accounting command命令用來配置命令行計費方法。
undo accounting command命令用來恢複缺省情況。
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【缺省情況】
命令行計費采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
命令行計費過程是指,用戶執行過的合法命令會被發送給計費服務器進行記錄。若未開啟命令行授權功能,則計費服務器對用戶執行過的所有合法命令進行記錄;若開啟了命令行授權功能,則計費服務器僅對授權通過的命令進行記錄。
目前,僅支持使用遠程HWTACACS服務器完成命令行計費功能。
【舉例】
# 在ISP域test下,配置使用HWTACACS計費方案hwtac進行命令行計費。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【相關命令】
· accounting default
· command accounting(基礎配置命令參考/登錄設備)
· hwtacacs scheme
accounting default命令用來為當前ISP域配置缺省的計費方法。
undo accounting default命令用來恢複缺省情況。
【命令】
(非FIPS模式)
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting default
(FIPS模式)
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }
undo accounting default
【缺省情況】
當前ISP域的缺省計費方法為local。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
當前ISP域的缺省計費方法對於該域中未指定具體計費方法的所有接入用戶都起作用,但是如果某類型的用戶不支持指定的計費方法,則該計費方法對於這類用戶不能生效。
本地計費隻是為了支持本地用戶的連接數管理,沒有實際的計費相關的統計功能。
可以指定多個備選的計費方法,在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
【舉例】
# 在ISP域test下,配置缺省計費方法為使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
【相關命令】
· hwtacacs scheme
· local-user
· radius scheme
accounting lan-access命令用來為lan-access用戶配置計費方法。
undo accounting lan-access命令用來恢複缺省情況。
【命令】
(非FIPS模式)
accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting lan-access
(FIPS模式)
accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] | local | radius-scheme radius-scheme-name [ local ] }
undo accounting lan-access
【缺省情況】
lan-access用戶采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
broadcast:指定廣播RADIUS方案,即同時向指定的兩個RADIUS方案中的計費服務器發送計費請求。
radius-scheme radius-scheme-name1:表示主送計費RADIUS方案名,為1~32個字符的字符串,不區分大小寫;
radius-scheme radius-scheme-name2:表示抄送計費RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的計費方法。在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
當指定broadcast關鍵字時,將以主送RADIUS方案中的實時計費間隔同時向指定的兩個RADIUS方案裏的主計費服務器發送計費請求,若某RADIUS方案裏的主計費服務器不可達,則按照配置順序依次嚐試向該RADIUS方案裏的從計費服務器發送計費請求。主送計費方案計費成功時,表示用戶計費成功;抄送計費方案的計費結果對用戶無影響。
【舉例】
# 在ISP域test下,為lan-access用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access local
# 在ISP域test下,配置lan-access用戶使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
# 在ISP域test下,配置lan-access用戶使用RADIUS方案rd1和rd2進行廣播計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access broadcast radius-scheme rd1 radius-scheme rd2 local
【相關命令】
· accounting default
· local-user
· radius scheme
· timer realtime-accounting
accounting login命令用來為login用戶配置計費方法。
undo accounting login命令用來恢複缺省情況。
【命令】
(非FIPS模式)
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting login
(FIPS模式)
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }
undo accounting login
【缺省情況】
login用戶采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
不支持對FTP、SFTP以及SCP類型的login用戶進行計費。
可以指定多個備選的計費方法。在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
【舉例】
# 在ISP域test下,為login用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用戶使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【相關命令】
· accounting default
· hwtacacs scheme
· local-user
· radius scheme
accounting portal命令用來為Portal用戶配置計費方法。
undo accounting portal命令用來恢複缺省情況。
【命令】
(非FIPS模式)
accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting portal
(FIPS模式)
accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] | local | radius-scheme radius-scheme-name [ local ] }
undo accounting portal
【缺省情況】
Portal用戶采用當前ISP域的缺省計費方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
broadcast:指定廣播RADIUS方案,即同時向指定的兩個RADIUS方案中的計費服務器發送計費請求。
radius-scheme radius-scheme-name1:表示主送計費RADIUS方案名,為1~32個字符的字符串,不區分大小寫;
radius-scheme radius-scheme-name2:表示抄送計費RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的計費方法,在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS計費,若RADIUS計費無效則進行本地計費,若本地計費也無效則不進行計費。
當指定broadcast關鍵字時,將以主送RADIUS方案中的實時計費間隔同時向指定的兩個RADIUS方案裏的主計費服務器發送計費請求,若某RADIUS方案裏的主計費服務器不可達,則按照配置順序依次嚐試向該RADIUS方案裏的從計費服務器發送計費請求。主送計費方案計費成功時,表示用戶計費成功;抄送計費方案的計費結果對用戶無影響。
【舉例】
# 在ISP域test下,為Portal用戶配置計費方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal local
# 在ISP域test下,配置Portal用戶使用RADIUS方案rd進行計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal radius-scheme rd local
# 在ISP域test下,配置Portal用戶使用RADIUS方案rd1和rd2進行廣播計費,並且使用local作為備選計費方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal broadcast radius-scheme rd1 radius-scheme rd2 local
【相關命令】
· accounting default
· local-user
· radius scheme
· timer realtime-accounting
accounting quota-out命令用來配置用戶計費配額(流量或時長)耗盡策略。
undo accounting quota-out命令用來恢複缺省情況。
【命令】
accounting quota-out { offline | online }
undo accounting quota-out
【缺省情況】
用戶的計費配額耗盡後將被強製下線。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
offline:當用戶的整體配額耗盡後,強製用戶下線。
online:當用戶的整體配額耗盡後,允許用戶保持在線狀態。
【使用指導】
需要注意的是,如果配置的用戶計費配額耗盡策略為offline,則當服務器為Portal用戶授權了計費配額時,強製該類用戶下線的時間可能會不準確。
【舉例】
# 在ISP域test下,配置用戶計費配額耗盡策略為:當配額耗盡後用戶仍能保持在線狀態。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting quota-out online
accounting start-fail命令用來配置用戶計費開始失敗策略,即設備向計費服務器發送計費開始請求失敗後,是否允許用戶接入網絡。
undo accounting start-fail命令用來恢複缺省情況。
【命令】
accounting start-fail { offline | online }
undo accounting start-fail
【缺省情況】
如果用戶計費開始失敗,允許用戶保持在線狀態。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
offline:強製用戶下線。
online:允許用戶保持在線狀態。
【舉例】
# 在ISP域test下,配置計費開始失敗策略為:用戶計費開始失敗時允許用戶保持在線狀態。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting start-fail online
accounting update-fail命令用來配置用戶計費更新失敗策略,即設備向計費服務器發送用戶的計費更新報文失敗時,是否允許用戶接入網絡。
undo accounting update-fail命令用來恢複缺省情況。
【命令】
accounting update-fail { [ max-times max-times ] offline | online }
undo accounting update-fail
【缺省情況】
如果用戶計費更新失敗,允許用戶保持在線狀態。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
max-times max-times:允許用戶連續計費更新失敗的次數,取值範圍1~255,缺省值為1。
offline:如果用戶連續計費更新失敗的次數達到了指定的次數,則強製用戶下線。
online:如果用戶計費更新失敗,允許用戶保持在線狀態。
【舉例】
# 在ISP域test下,配置計費更新失敗策略為:用戶計費更新失敗時允許用戶保持在線狀態。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting update-fail online
authentication default命令用來為當前ISP域配置缺省的認證方法。
undo authentication default命令用來為恢複缺省情況。
【命令】
(非FIPS模式)
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication default
(FIPS模式)
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }
undo authentication default
【缺省情況】
當前ISP域的缺省認證方法為local。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
當前ISP域的缺省的認證方法對於該域中未指定具體認證方法的所有接入用戶都起作用,但是如果某類型的用戶不支持指定的認證方法,則該認證方法對於這類用戶不能生效。
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,配置缺省認證方法為使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
【相關命令】
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication lan-access命令用來為lan-access用戶配置認證方法。
undo authentication lan-access命令用來恢複缺省情況。
【命令】
(非FIPS模式)
authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication lan-access
(FIPS模式)
authentication lan-access { ldap-scheme ldap-scheme-name [ local ] | local | radius-scheme radius-scheme-name [ local ] }
undo authentication lan-access
【缺省情況】
lan-access用戶采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,為lan-access用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access local
# 在ISP域test下,配置lan-access用戶使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access radius-scheme rd local
【相關命令】
· authentication default
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication login命令用來為login用戶配置認證方法。
undo authentication login命令用來恢複缺省情況。
【命令】
(非FIPS模式)
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication login
(FIPS模式)
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }
undo authentication login
【缺省情況】
login用戶采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,為login用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用戶使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
【相關命令】
· authentication default
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication portal命令用來為Portal用戶配置認證方法。
undo authentication portal命令用來恢複缺省情況。
【命令】
(非FIPS模式)
authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication portal
(FIPS模式)
authentication portal { ldap-scheme ldap-scheme-name [ local ] | local | radius-scheme radius-scheme-name [ local ] }
undo authentication portal
【缺省情況】
Portal用戶采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,為1~32個字符的字符串,不區分大小寫。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
可以指定多個備選的認證方法,在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS認證,若RADIUS認證無效則進行本地認證,若本地認證也無效則不進行認證。
【舉例】
# 在ISP域test下,為Portal用戶配置認證方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication portal local
# 在ISP域test下,配置Portal用戶使用RADIUS方案rd進行認證,並且使用local作為備選認證方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication portal radius-scheme rd local
【相關命令】
· authentication default
· ldap scheme
· local-user
· radius scheme
authentication super命令用來配置用戶角色切換認證方法。
undo authentication super命令用來恢複缺省情況。
【命令】
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *
undo authentication super
【缺省情況】
用戶角色切換認證采用當前ISP域的缺省認證方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
切換用戶角色是指在不退出當前登錄、不斷開當前連接的前提下修改用戶的用戶角色,改變用戶所擁有的命令行權限。為了保證切換操作的安全性,需要在用戶執行用戶角色切換時進行身份認證。設備支持本地和遠程兩種認證方式,關於用戶角色切換的詳細介紹請參見“基礎配置指導”中的“RBAC”。
可以指定一個備選的認證方法,在當前的認證方法無效時嚐試使用備選的方法完成認證。
【舉例】
# 在ISP域test下,配置使用HWTACACS方案tac進行用戶角色切換認證。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-isp-test] authentication super hwtacacs-scheme tac
【相關命令】
· authentication default
· hwtacacs scheme
· radius scheme
authorization command命令用來配置命令行授權方法。
undo authorization command命令用來恢複缺省情況。
【命令】
(非FIPS模式)
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization command
(FIPS模式)
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local }
undo authorization command
【缺省情況】
命令行授權采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。用戶執行角色所允許的命令時,無須接受授權服務器的檢查。
【使用指導】
命令行授權是指,用戶執行的每一條命令都需要接受授權服務器的檢查,隻有授權成功的命令才被允許執行。用戶登錄後可以執行的命令受登錄授權的用戶角色和命令行授權的用戶角色的雙重限製,即,僅登錄授權的用戶角色和命令行授權的用戶角色均允許執行的命令行,才能被執行。需要注意的是,命令行授權功能隻利用角色中的權限規則對命令行執行權限檢查,不進行其它方麵的權限檢查,例如資源控製策略等。
對用戶采用本地命令行授權時,設備將根據用戶登錄設備時輸入的用戶名對應的本地用戶配置來對用戶輸入的命令進行檢查,隻有本地用戶中配置的授權用戶角色所允許的命令才被允許執行。
可以指定多個備選的命令行授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成命令授權。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先進行HWTACACS授權,若HWTACACS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,配置命令行授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac進行命令行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【相關命令】
· command authorization(基礎配置命令參考/登錄設備)
· hwtacacs scheme
· local-user
authorization default命令用來為當前ISP域配置缺省的授權方法。
undo authorization default命令用來恢複缺省情況。
【命令】
(非FIPS模式)
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization default
(FIPS模式)
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }
undo authorization default
【缺省情況】
當前ISP域的缺省授權方法為local。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的Login用戶(通過Console口或者Telnet、FTP/SFTP/SCP訪問設備的用戶)隻有係統給予的缺省用戶角色level-0,其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄,但並無訪問權限;認證通過的非Login用戶可直接訪問網絡。關於用戶角色色level-0的詳細介紹請參見“基礎配置指導”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
當前ISP域的缺省的授權方法對於該域中未指定具體授權方法的所有接入用戶都起作用,但是如果某類型的用戶不支持指定的授權方法,則該授權方法對於這類用戶不能生效。
在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,配置缺省授權方法為使用RADIUS方案rd進行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
【相關命令】
· hwtacacs scheme
· local-user
· radius scheme
authorization lan-access命令用來為lan-access用戶配置授權方法。
undo authorization lan-access命令用來恢複缺省情況。
【命令】
(非FIPS模式)
authorization lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization lan-access
(FIPS模式)
authorization lan-access { local | radius-scheme radius-scheme-name [ local ] }
undo authorization lan-access
【缺省情況】
lan-access用戶采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權,認證通過的lan-access用戶可直接訪問網絡。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,為lan-access用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access local
# 在ISP域test下,配置lan-access用戶使用RADIUS方案rd進行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access radius-scheme rd local
【相關命令】
· authorization default
· local-user
· radius scheme
authorization login命令用來為login用戶配置授權方法。
undo authorization login命令用來恢複缺省情況。
【命令】
(非FIPS模式)
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization login
(FIPS模式)
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }
undo authorization login
【缺省情況】
login用戶采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時,認證通過的Login用戶(通過Console口或者Telnet、FTP/SFTP/SCP訪問設備的用戶)隻有係統給予的缺省用戶角色level-0,其中FTP/SFTP/SCP用戶的工作目錄是設備的根目錄,但並無訪問權限。關於用戶角色level-0的詳細介紹請參見“基礎配置指導”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,為login用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用戶使用RADIUS方案rd進行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
【相關命令】
· authorization default
· hwtacacs scheme
· local-user
· radius scheme
authorization portal命令用來為Portal用戶配置授權方法。
undo authorization portal命令用來恢複缺省情況。
【命令】
(非FIPS模式)
authorization portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization portal
(FIPS模式)
authorization portal { local | radius-scheme radius-scheme-name [ local ] }
undo authorization portal
【缺省情況】
Portal用戶采用當前ISP域的缺省授權方法。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
local:本地授權。
none:不授權。接入設備不請求授權信息,不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權,認證通過的Portal用戶可直接訪問網絡。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
在一個ISP域中,隻有配置的認證和授權方法中引用了相同的RADIUS方案時,RADIUS授權過程才能生效。
可以指定多個備選的授權方法,在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如,radius-scheme radius-scheme-name local none表示,先進行RADIUS授權,若RADIUS授權無效則進行本地授權,若本地授權也無效則不進行授權。
【舉例】
# 在ISP域test下,為Portal用戶配置授權方法為local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization portal local
# 在ISP域test下,配置Portal用戶使用RADIUS方案rd進行授權,並且使用local作為備選授權方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization portal radius-scheme rd local
【相關命令】
· authorization default
· local-user
· radius scheme
authorization-attribute命令用來設置當前ISP域下的用戶授權屬性。
undo authorization-attribute命令用來刪除指定的授權屬性,恢複用戶具有的缺省訪問權限。
【命令】
authorization-attribute { acl acl-number | car inbound cir committed-information-rate [ pir peak-information-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] | igmp max-access-number max-access-number | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | mld max-access-number max-access-number | url url-string | user-group user-group-name | user-profile profile-name }
undo authorization-attribute { acl | car | igmp | ip-pool | ipv6-pool | mld | url | user-group | user-profile }
【缺省情況】
IPv4用戶可以同時點播的最大節目數為4,IPv6用戶可以同時點播的最大節目數為4,無其它授權屬性。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
acl acl-number:指定用於匹配用戶流量的ACL。其中acl-number表示ACL編號,取值範圍2000~4999。此屬性隻對Portal、lan-access用戶生效。與授權ACL規則匹配的流量,將按照規則中指定的permit或deny動作進行處理。
car:指定授權用戶的流量監管動作。Portal用戶在認證前,若被授權認證域,則其流量將受到指定的流量監管動作控製。此屬性隻對Portal用戶生效。
inbound:表示用戶的上傳速率。
outbound:表示用戶的下載速率。
cir committed-information-rate:承諾信息速率,取值範圍為1~4194303,單位為kbps。
pir peak-information-rate:峰值信息速率,取值範圍為1~4194303,單位為kbps,且不能小於承諾信息速率。若不指定該參數,則表示不對峰值信息速率進行限製。
igmp max-access-number max-access-number:指定IPv4用戶可以同時點播的最大節目數。其中,max-access-number的取值範圍為1~64。此屬性隻對Portal用戶生效。
ip-pool ipv4-pool-name:指定為用戶分配IPv4地址的地址池。其中,ipv4-pool-name表示地址池名稱,為1~63個字符的字符串,不區分大小寫。此屬性隻對Portal用戶生效。
ipv6-pool ipv6-pool-name:指定為用戶分配IPv6地址的地址池。其中,ipv6-pool-name表示地址池名稱,為1~63個字符的字符串,不區分大小寫。此屬性隻對Portal用戶生效。
mld max-access-number max-access-number:指定IPv6用戶可以同時點播的最大節目數。其中,max-access-number的取值範圍為1~64。此屬性隻對Portal用戶生效。
url url-string:指定用戶的重定向URL,為1~255個字符的字符串,區分大小寫。用戶認證成功後,首次訪問網絡時將被推送此URL提供的Web頁麵。此屬性隻對lan-access用戶生效。
user-group user-group-name:表示用戶所屬用戶組。其中,user-group-name表示用戶組名,為1~32個字符的字符串,不區分大小寫。用戶認證成功後,將繼承該用戶組中的所有屬性。
user-profile profile-name:指定用戶的授權User Profile。其中,profile-name為User Profile名稱,為1~31個字符的字符串,區分大小寫。Portal用戶在認證前,若被授權認證域,則其訪問行為將受到該域中的User Profile配置的限製。此屬性隻對Portal、lan-access用戶生效。
【使用指導】
如果當前ISP域的用戶認證成功,但認證服務器(包括本地認證下的接入設備)未對該ISP域下發授權屬性,則係統使用當前ISP下指定的授權屬性為用戶授權。
需要注意的是,可通過多次執行本命令配置多個授權屬性,但對於相同授權屬性,最後一次執行的命令生效。
授權給Portal用戶的ACL中不能配置攜帶用戶源IP地址和源MAC地址信息的規則,否則會導致用戶上線失敗。
【舉例】
# 設置ISP域test的用戶授權組為abc。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization-attribute user-group abc
【相關命令】
· display domain
display domain命令用來顯示所有或指定ISP域的配置信息。
【命令】
display domain [ isp-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
isp-name:ISP域名,為1~255個字符的字符串,不區分大小寫。如果不指定該參數,則表示所有ISP域。
【舉例】
# 顯示係統中所有ISP域的配置信息。
<Sysname> display domain
Total 2 domains
Domain: system
State: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Offline
Service type: HSI
Session time: Exclude idle time
Dual-stack accounting method: Merge
Authorization attributes:
Idle cut: Disabled
IGMP access limit: 4
MLD access limit: 4
Domain: dm
State: Active
Login authentication scheme: RADIUS=rad
Login authorization scheme: HWTACACS=hw
Super authentication scheme: RADIUS=rad
Command authorization scheme: HWTACACS=hw
LAN access authentication scheme: RADIUS=r4
Portal authentication scheme: LDAP=ldp
Default authentication scheme: RADIUS=rad, Local, None
Default authorization scheme: Local
Default accounting scheme: None
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out policy: Offline
Service type: HSI
Session time: Include idle time
Dual-stack accounting method: Merge
Authorization attributes:
Idle cut : Disabled
IP pool: appy
User profile: test
Inbound CAR: CIR 64000 bps PIR 640000 bps
Outbound CAR: CIR 64000 bps PIR 640000 bps
ACL number: 3000
User group: ugg
IPv6 pool: ipv6pool
URL: http://test
IGMP access limit: 4
MLD access limit: 4
Default domain name: system
表1-1 display domain命令顯示信息描述表
|
字段 |
描述 |
|
Total 2 domains |
總計2個ISP域 |
|
Domain |
ISP域名 |
|
State |
ISP域的狀態 |
|
Default authentication scheme |
缺省的認證方案 |
|
Default authorization scheme |
缺省的授權方案 |
|
Default accounting scheme |
缺省的計費方案 |
|
Login authentication scheme |
Login用戶認證方案 |
|
Login authorization scheme |
Login用戶授權方案 |
|
Login accounting scheme |
Login用戶計費方案 |
|
Super authentication scheme |
用戶角色切換認證方案 |
|
Command authorization scheme |
命令行授權方案 |
|
Command accounting scheme |
命令行計費方案 |
|
LAN access authentication scheme |
lan-access用戶認證方案 |
|
LAN access authorization scheme |
lan-access用戶授權方案 |
|
LAN access accounting scheme |
lan-access用戶計費方案 |
|
Portal authentication scheme |
Portal用戶認證方案 |
|
Portal authorization scheme |
Portal用戶授權方案 |
|
Portal accounting scheme |
Portal用戶計費方案 |
|
RADIUS |
RADIUS方案 |
|
HWTACACS |
HWTACACS方案 |
|
LDAP |
LDAP方案 |
|
Local |
本地方案 |
|
None |
不認證、不授權和不計費 |
|
Accounting start failure action |
用戶計費開始失敗的動作,包括以下取值: · Online:如果用戶計費開始失敗,則保持用戶在線 · Offline:如果用戶計費開始失敗,則強製用戶下線 |
|
Accounting update failure max-times |
允許用戶連續計費更新失敗的次數 |
|
Accounting update failure action |
用戶計費更新失敗的動作,包括以下取值: · Online:如果用戶計費更新失敗,則保持用戶在線 · Offline:如果用戶計費更新失敗,則強製用戶下線 |
|
Accounting quota out policy |
用戶計費配額耗盡策略,包括以下取值: · Online:如果用戶計費配額耗盡,則保持用戶在線 · Offline:如果用戶計費配額耗盡,則強製用戶下線 |
|
Service type |
(暫不支持)ISP域的業務類型,取值為HSI,STB和VoIP |
|
Session time |
當用戶異常下線時,設備上傳到服務器的用戶在線時間情況: · Include idle time:保留用戶閑置切斷時間 · Exclude idle time:扣除用戶閑置切斷時間 |
|
Dual-stack accounting method |
(暫不支持)雙協議棧用戶的計費方式,包括以下取值: · Merge:統一計費,即將雙協議棧用戶的IPv4流量和IPv6流量統一彙總後上送給計費服務器 · Separate:分別計費,即將雙協議棧用戶的IPv4流量和IPv6流量分別上送給計費服務器 |
|
Authorization attributes |
ISP的用戶授權屬性 |
|
Idle cut |
(暫不支持)用戶閑置切斷功能,包括以下取值: · Enabled:處於開啟狀態,表示當ISP域中的用戶在指定的最大閑置切斷時間內產生的流量小於指定的最小數據流量時,會被強製下線 · Disabled:處於關閉狀態,表示不對用戶進行閑置切斷控製,它為缺省狀態 |
|
Idle timeout |
用戶閑置切斷時間(單位為分鍾) |
|
Flow |
用戶數據流量閾值(單位為字節) |
|
Traffic direction |
用戶數據流量的統計方向,包括以下取值: · Both:表示用戶雙向數據流量 · Inbound:表示用戶上行數據流量 · Outbound:表示用戶下行數據流量 |
|
IP pool |
授權IPv4地址池的名稱 |
|
User profile |
授權User Profile的名稱 |
|
Inbound CAR |
授權的入方向CAR(CIR:承諾信息速率,單位為bps;PIR:峰值信息速率,單位為bps)。若未授權入方向CAR,則顯示為N/A |
|
Outbound CAR |
授權的出方向CAR(CIR:承諾信息速率,單位為bps;PIR:峰值信息速率,單位為bps)。若未授權出方向CAR,則顯示為N/A |
|
ACL number |
授權ACL編號 |
|
User group |
授權User group的名稱 |
|
IPv6 pool |
授權IPv6地址池的名稱 |
|
URL |
授權重定向URL |
|
IGMP access limit |
授權IPv4用戶可以同時點播的最大節目數 |
|
MLD access limit |
授權IPv6用戶可以同時點播的最大節目數 |
|
Default domain name |
缺省ISP域名 |
domain命令用來創建ISP域,並進入ISP域視圖。如果指定的ISP域已經存在,則直接進入ISP域視圖。
undo domain命令用來刪除指定的ISP域。
【命令】
domain isp-name
undo domain isp-name
【缺省情況】
存在一個ISP域,名稱為system。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
isp-name:ISP域名,為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指導】
所有的ISP域在創建後即處於active狀態。
不能刪除係統中預定義的ISP域system,隻能修改該域的配置。
不能刪除作為係統缺省ISP域的ISP域。如需刪除一個係統缺省ISP域,請先使用undo domain default enable命令將其恢複為非缺省的ISP域。
建議設備上配置的ISP域名盡量短,避免用戶輸入的包含域名的用戶名長度超過客戶端可支持的最大用戶名長度。
【舉例】
# 創建一個名稱為test的ISP域,並進入其視圖。
<Sysname> system-view
[Sysname] domain test
【相關命令】
· display domain
· domain default enable
· domain if-unknown
· state (ISP domain view)
domain default enable命令用來配置係統缺省的ISP域,所有在登錄時沒有提供ISP域名的用戶都屬於這個域。
undo domain default enable命令用來恢複缺省情況。
【命令】
domain default enable isp-name
undo domain default enable
【缺省情況】
存在一個係統缺省的ISP域,名稱為system。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
isp-name:ISP域名,為1~255個字符的字符串,不區分大小寫,且必須已經存在。
【使用指導】
係統中隻能存在一個缺省的ISP域。
配置為缺省的ISP域不能被刪除。如需刪除一個係統缺省ISP域,請先使用undo domain default enable命令將其恢複為非缺省的ISP域。
【舉例】
# 創建一個新的ISP域test,並設置為係統缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【相關命令】
· display domain
· domain
domain if-unknown命令用來為未知域名的用戶指定ISP域。
undo domain if-unknown命令用來恢複缺省情況。
【命令】
domain if-unknown isp-name
undo domain if-unknown
【缺省情況】
沒有為未知域名的用戶指定ISP域。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
isp-name:ISP域名。為1~255個字符的字符串,不區分大小寫,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能為字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指導】
設備將按照如下先後順序選擇認證域:接入模塊指定的認證域-->用戶名中指定的ISP域-->係統缺省的ISP域。其中,僅部分接入模塊支持指定認證域。
如果根據以上原則決定的認證域在設備上不存在,但設備上為未知域名的用戶指定了ISP域,則最終使用該指定的ISP域認證,否則,用戶將無法認證。
【舉例】
# 為未知域名的用戶指定ISP域為test。
<Sysname> system-view
[Sysname] domain if-unknown test
【相關命令】
· display domain
local-server log change-password-prompt命令用來開啟密碼修改周期性提醒日誌功能。
undo local-server log change-password-prompt命令用來關閉密碼修改周期性提醒日誌功能。
【命令】
local-server log change-password-prompt
undo local-server log change-password-prompt
【缺省情況】
密碼修改周期性提醒日誌功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
僅Release 6318P01及以上版本支持本命令。
為了提高係統的安全性,用戶通過Telnet、SSH、HTTP、HTTPS、NETCONF over SSH、NETCONF over SOAP方式登錄設備時,係統會根據指定的安全要求對用戶密碼進行檢查。為了及時提醒用戶修改不符合係統要求的密碼,建議開啟密碼修改周期性提醒日誌功能。
開啟本功能後,係統將每隔24小時,對所有不符合密碼檢查策略的用戶打印日誌,提醒這些用戶盡快修改當前密碼。除了周期性提醒之外,係統還會在每個用戶登錄時,針對不符合密碼檢查策略的情況立即打印日誌進行提醒。
· 對於通過Telnet、SSH、HTTP、HTTPS方式登錄設備的用戶,如果用戶密碼為弱密碼,且係統在用戶登錄時未要求其立即更改密碼,係統會打印此提醒日誌。弱密碼是指不符合如下任意一項要求的密碼:
¡ 密碼組合檢測策略。
¡ 密碼最小長度限製。
¡ 密碼中不能包含用戶名或者字符順序顛倒的用戶名。
· 對於通過NETCONF over SSH、NETCONF over SOAP方式登錄設備的用戶,如果出現以下情況,係統會打印此提醒日誌:
¡ 用戶密碼為弱密碼。
¡ 用戶密碼為缺省密碼。
¡ 全局密碼管理功能開啟後,用戶首次登錄或使用被更改過的密碼。
¡ 用戶密碼已經過期。
僅當以下情況發生時,係統才會停止打印此提醒日誌:
· 關閉了密碼修改周期性提醒日誌功能。
· 用戶密碼修改為符合係統安全要求的密碼。
· 密碼檢查策略相關功能的開啟狀態發生變化,使得密碼檢查策略變得寬鬆。
· 密碼檢查策略的參數設置發生變化。
當前係統中的密碼檢查策略可通過display password-control命令查看。弱密碼檢查使用的密碼組合檢測策略、密碼最小長度限製可分別通過password-control composition、password-control length命令修改。關於密碼檢查策略的具體介紹,請參見“安全命令參考”的“Password Control”。
【舉例】
# 開啟密碼修改周期性提醒日誌功能。
<Sysname> system-view
[Sysname] local-server log change-password-prompt
【相關命令】
· display password-control(安全命令參考/Password Control)
· password-control composition(安全命令參考/Password Control)
· password-control length(安全命令參考/Password Control)
nas-id bind vlan命令用來設置NAS-ID與VLAN的綁定關係。
undo nas-id bind vlan命令用來刪除指定的NAS-ID和VLAN的綁定關係。
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
【缺省情況】
不存在NAS-ID與VLAN的綁定關係。
NAS-ID Profile視圖
network-admin
【參數】
nas-identifier:NAS-ID名稱,為1~31個字符的字符串,區分大小寫。
vlan-id:與NAS-ID綁定的VLAN ID,取值範圍為1~4094。
一個NAS-ID Profile視圖下,可以指定多個NAS-ID與VLAN的綁定關係。
一個NAS-ID可以與多個VLAN綁定,但是一個VLAN隻能與一個NAS-ID綁定。若多次將一個VLAN與不同的NAS-ID進行綁定,則最後的綁定關係生效。
# 在名稱為aaa的NAS-ID Profile視圖下,配置NAS-ID 222與VLAN 2的綁定關係。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
【相關命令】
· aaa nas-id profile
session-time include-idle-time命令用來配置設備上傳到服務器的用戶在線時間中保留閑置切斷時間。
undo session-time include-idle-time命令用來恢複缺省情況。
【命令】
session-time include-idle-time
undo session-time include-idle-time
【缺省情況】
設備上傳到服務器的用戶在線時間中扣除閑置切斷時間。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【使用指導】
請根據實際的計費策略決定是否在用戶在線時間中保留閑置切斷時間。該閑置切斷時間在用戶認證成功後由AAA授權,對於Portal認證用戶,若接入接口上開啟了Portal用戶在線探測功能,則Portal在線探測閑置時長為閑置切斷時間。
當用戶正常下線時,設備上傳到服務器上的用戶在線時間為實際在線時間;當用戶異常下線時,上傳到服務器的用戶在線時間具體如下:
· 若配置為保留閑置切斷時間,則上傳到服務器上的用戶在線時間中包含了一定的閑置切斷時間。此時,服務器上記錄的用戶時長將大於用戶實際在線時長。
· 若配置為扣除閑置切斷時間,則上傳到服務器上的用戶在線時間為,閑置切斷檢測機製計算出的用戶已在線時長扣除掉一個閑置切斷時間。此時,服務器上記錄的用戶時長將小於用戶實際在線時長。
【舉例】
# 在ISP域test下,配置設備上傳到服務器的用戶在線時間中保留閑置切斷時間。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] session-time include-idle-time
【相關命令】
· display domain
state命令用來設置當前ISP域的狀態。
undo state命令用來恢複缺省情況。
【命令】
state { active | block }
undo state
【缺省情況】
當前ISP域處於活動狀態。
【視圖】
ISP域視圖
【缺省用戶角色】
network-admin
【參數】
active:指定當前ISP域處於活動狀態,即係統允許該域下的用戶請求網絡服務。
block:指定當前ISP域處於阻塞狀態,即係統不允許該域下的用戶請求網絡服務。
【使用指導】
當某個ISP域處於阻塞狀態時,將不允許該域下的用戶請求網絡服務,但不影響已經在線的用戶。
【舉例】
# 設置當前ISP域test處於阻塞狀態。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
【相關命令】
· display domain
access-limit命令用來設置使用當前本地用戶名接入設備的最大用戶數。
undo access-limit命令用來恢複缺省情況。
【命令】
access-limit max-user-number
undo access-limit
【缺省情況】
不限製使用當前本地用戶名接入的用戶數。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
max-user-number:表示使用當前本地用戶名接入設備的最大用戶數,取值範圍為1~1024。
【使用指導】
本地用戶視圖下的access-limit命令隻在該用戶采用了本地計費方法的情況下生效。
對於網絡接入類本地用戶,還需要在用戶接入的ISP域視圖下配置accounting start-fail offline命令,否則使用當前用戶名接入的用戶數並不受access-limit命令的限製。
由於FTP/SFTP/SCP用戶不支持計費,因此FTP/SFTP/SCP用戶不受此屬性限製。
【舉例】
# 允許同時以本地用戶名abc在線的用戶數為5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
【相關命令】
· accounting start-fail offline
· display local-user
authorization-attribute命令用來設置本地用戶或用戶組的授權屬性,該屬性在本地用戶認證通過之後,由設備下發給用戶。
undo authorization-attribute命令用來刪除指定的授權屬性,恢複用戶具有的缺省訪問權限。
【命令】
authorization-attribute { acl acl-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | session-timeout minutes | user-profile profile-name | user-role role-name | vlan vlan-id | work-directory directory-name } *
undo authorization-attribute { acl | idle-cut | ip-pool | ipv6-pool | session-timeout | user-profile | user-role role-name | vlan | work-directory } *
【缺省情況】
授權FTP/SFTP/SCP用戶可以訪問的目錄為設備的根目錄,但無訪問權限。
由用戶角色為network-admin或level-15的用戶創建的本地用戶被授權用戶角色network-operator。
【視圖】
本地用戶視圖
用戶組視圖
【缺省用戶角色】
network-admin
【參數】
acl acl-number:指定本地用戶的授權ACL。其中,acl-number為授權ACL的編號,取值範圍為2000~4999。與授權ACL規則匹配的流量,將按照規則中指定的permit或deny動作進行處理。
idle-cut minutes:設置本地用戶的閑置切斷時間。其中,minutes為設定的閑置切斷時間,取值範圍為1~120,單位為分鍾。如果用戶在線後連續閑置的時長超過該值,設備會強製該用戶下線。
ip-pool ipv4-pool-name:指定本地用戶的IPv4地址池信息。本地用戶認證成功後,將允許使用該IPv4地址池分配地址。其中,ipv4-pool-name表示地址池名稱,為1~63個字符的字符串,不區分大小寫。
ipv6-pool ipv6-pool-name:指定本地用戶的IPv6地址池信息。本地用戶認證成功後,將允許使用該IPv6地址池分配地址。其中,ipv6-pool-name表示地址池名稱,為1~63個字符的字符串,不區分大小寫。
session-timeout minutes:設置本地用戶的會話超時時間。其中,minutes為設定的會話超時時間,取值範圍為1~1440,單位為分鍾。如果用戶在線時長超過該值,設備會強製該用戶下線。
user-profile profile-name:指定本地用戶的授權User Profile。其中,profile-name表示User Profile名稱,為1~31個字符的字符串,隻能包含英文字母、數字、下劃線,區分大小寫。當用戶認證成功後,其訪問行為將受到User Profile中的預設配置的限製。關於User Profile的詳細介紹請參見“安全配置指導”中的“User Profile”。
user-role role-name:指定本地用戶的授權用戶角色。其中,role-name表示用戶角色名稱,為1~63個字符的字符串,區分大小寫。可以為每個用戶最多指定64個用戶角色。本地用戶角色的相關命令請參見“基礎配置命令參考”中的“RBAC”。該授權屬性隻能在本地用戶視圖下配置,不能在本地用戶組視圖下配置。
vlan vlan-id:指定本地用戶的授權VLAN。其中,vlan-id為VLAN編號,取值範圍為1~4094。本地用戶認證成功後,將被授權僅可以訪問指定VLAN內的網絡資源。
work-directory directory-name:授權FTP/SFTP/SCP用戶可以訪問的目錄。其中,directory-name表示FTP/SFTP/SCP用戶可以訪問的目錄,為1~255個字符的字符串,不區分大小寫,且該目錄必須已經存在。
【使用指導】
可配置的授權屬性都有其明確的使用環境和用途,請針對用戶的服務類型配置對應的授權屬性:
· 對於Portal用戶,僅授權屬性ip-pool、ipv6-pool、session-timeout、user-profile、acl有效。
· 對於Lan-access用戶,僅授權屬性acl、session-timeout、user-profile、vlan有效。
· 對於Telnet、Terminal、SSH用戶,僅授權屬性idle-cut、user-role有效。
· 對於http、https用戶,僅授權屬性user-role有效。
· 對於FTP用戶,僅授權屬性user-role、work-directory有效。
· 對於其它類型的本地用戶,所有授權屬性均無效。
用戶組的授權屬性對於組內的所有本地用戶生效,因此具有相同屬性的用戶可通過加入相同的用戶組來統一配置和管理。
本地用戶視圖下未配置的授權屬性繼承所屬用戶組的授權屬性配置,但是如果本地用戶視圖與所屬的用戶組視圖下都配置了某授權屬性,則本地用戶視圖下的授權屬性生效。
授權給Portal用戶的ACL中不能配置攜帶用戶源IP地址和源MAC地址信息的規則,否則會導致用戶上線失敗。
在多台設備組成IRF的環境下,為了避免IRF係統進行主從倒換後FTP/SFTP/SCP用戶無法正常登錄,建議用戶在指定工作目錄時不要攜帶slot信息。
為確保本地用戶僅使用本命令指定的授權用戶角色,請先使用undo authorization-attribute user-role命令刪除該用戶已有的缺省用戶角色。
被授權安全日誌管理員的本地用戶登錄設備後,僅可執行安全日誌文件管理相關的命令以及安全日誌文件操作相關的命令,具體命令可通過display role name security-audit命令查看。安全日誌文件管理相關命令的介紹,請參見“網絡管理與監控”中的“信息中心”。文件係統管理相關命令的介紹,請參見“基礎配置命令參考”中的“文件係統管理”。
為本地用戶授權安全日誌管理員角色時,需要注意的是:
· 安全日誌管理員角色和其它用戶角色互斥:
¡ 為一個用戶授權安全日誌管理員角色時,係統會通過提示信息請求確認是否刪除當前用戶的所有其它他用戶角色;
¡ 如果已經授權當前用戶安全日誌管理員角色,再授權其它的用戶角色時,係統會通過提示信息請求確認是否刪除當前用戶的安全日誌管理員角色。
· 係統中的最後一個安全日誌管理員角色的本地用戶不可被刪除。
【舉例】
# 配置網絡接入類本地用戶abc的授權VLAN為VLAN 2。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] authorization-attribute vlan 2
# 配置用戶組abc的授權VLAN為VLAN 3。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
# 配置設備管理類本地用戶xyz的授權用戶角色為security-audit(安全日誌管理員)。
<Sysname> system-view
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
【相關命令】
· display local-user
· display user-group
bind-attribute命令用來設置用戶的綁定屬性。
undo bind-attribute命令用來刪除指定的用戶綁定屬性。
【命令】
bind-attribute { ip ip-address | location interface interface-type interface-number | mac mac-address | vlan vlan-id } *
undo bind-attribute { ip | location | mac | vlan } *
【缺省情況】
未設置用戶的綁定屬性。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
ip ip-address:指定用戶的IP地址。該綁定屬性僅適用於lan-access類型中的802.1X用戶。
location interface interface-type interface-number:指定用戶綁定的接口。其中interface-type interface-number表示接口類型和接口編號。如果用戶接入的接口與此處綁定的接口不一致,則認證失敗。該綁定屬性僅適用於設備管理、lan-access、Portal類型的用戶。
mac mac-address:指定用戶的MAC地址。其中,mac-address為H-H-H格式。該綁定屬性僅適用於lan-access、Portal類型的用戶。
vlan vlan-id:指定用戶所屬於的VLAN。其中,vlan-id為VLAN編號,取值範圍為1~4094。該綁定屬性僅適用於lan-access、Portal類型的用戶。
【使用指導】
設備對用戶進行本地認證時,會檢查用戶的實際屬性與配置的綁定屬性是否一致,如果不一致或用戶未攜帶該綁定屬性則認證失敗。
綁定屬性的檢測不區分用戶的接入服務類型,因此在配置綁定屬性時要考慮某接入類型的用戶是否需要綁定某些屬性。例如,隻有支持IP地址上傳功能的802.1X認證用戶才可以配置綁定IP地址;對於不支持IP地址上傳功能的MAC地址認證用戶,如果配置了綁定IP地址,則會導致該用戶的本地認證失敗。
在綁定接口屬性時要考慮綁定接口類型是否合理。對於不同接入類型的用戶,請按照如下方式進行綁定接口屬性的配置:
· 802.1X用戶:配置綁定的接口為開啟802.1X的二層以太網接口。
· MAC地址認證用戶:配置綁定的接口為開啟MAC地址認證的二層以太網接口。
· Web認證用戶:配置綁定的接口為開啟Web認證的二層以太網接口。
· Portal用戶:若使能Portal的接口為VLAN接口,且沒有通過portal roaming enable命令配置Portal用戶漫遊功能,則配置綁定的接口為用戶實際接入的二層以太網接口;其它情況下,配置綁定的接口均為使能Portal的接口。
【舉例】
# 配置網絡接入類本地用戶abc的綁定MAC地址為11-11-11。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] bind-attribute mac 11-11-11
【相關命令】
· display local-user
description命令用來配置網絡接入類本地用戶的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
未配置網絡接入類本地用戶的描述信息。
【視圖】
網絡接入類本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
text:用戶的描述信息,為1~255個字符的字符串,區分大小寫。
【舉例】
# 配置網絡接入類本地用戶123的描述信息為Manager of MSC company。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] description Manager of MSC company
【相關命令】
· display local-user
display local-user命令用來顯示本地用戶的配置信息和在線用戶數的統計信息。
【命令】
display local-user [ class { manage | network } | idle-cut { disable | enable } | service-type { ftp | http | https | lan-access | portal | ssh | telnet | terminal } | state { active | block } | user-name user-name class { manage | network } | vlan vlan-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
class:顯示指定用戶類別的本地用戶信息。
manage:設備管理類用戶。
network:網絡接入類用戶。
idle-cut { disable | enable }:顯示開啟或關閉閑置切斷功能的本地用戶信息。其中,disable表示未啟用閑置切斷功能的本地用戶;enable表示啟用了閑置切斷功能並配置了閑置切斷時間的本地用戶。
service-type:顯示指定用戶類型的本地用戶信息。
· ftp:FTP用戶。
· http:HTTP用戶。
· https:HTTPS用戶。
· lan-access:lan-access類型用戶(主要指以太網接入用戶,比如802.1X用戶)。
· portal:Portal用戶。
· ssh:SSH用戶。
· telnet:Telnet用戶。
· terminal:從Console口登錄的終端用戶。
state { active | block }:顯示處於指定狀態的本地用戶信息。其中,active表示用戶處於活動狀態,即係統允許該用戶請求網絡服務;block表示用戶處於阻塞狀態,即係統不允許用戶請求網絡服務。
user-name user-name:顯示指定用戶名的本地用戶信息。其中,user-name表示本地用戶名,為1~55個字符的字符串,區分大小寫,不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”或“all”。
vlan vlan-id:顯示指定VLAN內的所有本地用戶信息。其中,vlan-id為VLAN編號,取值範圍為1~4094。
【使用指導】
如果不指定任何參數,則顯示所有本地用戶信息。
【舉例】
# 顯示所有本地用戶的相關信息。
<Sysname> display local-user
Device management user root:
State: Active
Service type: SSH/Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Password control configurations:
Password aging: 3 days
Password history was last reset: 0 days ago
Network access user jj:
State: Active
Service type: LAN-access
User group: system
Bind attributes:
IP address: 2.2.2.2
Location bound: GigabitEthernet1/0/1
MAC address: 0001-0001-0001
VLAN ID: 2
Authorization attributes:
Idle timeout: 33 minutes
Work directory: flash:
ACL number: 2000
User profile: pp
User role list: network-operator, level-0, level-3
Description: A network access user from company cc
Validity period:
Start date and time: 2016/01/01-00:01:01
Expiration date and time: 2017/01/01-01:01:01
Password control configurations:
Password length: 4 characters
Total 2 local users matched.
表1-2 display local-user命令顯示信息描述表
|
字段 |
描述 |
|
State |
本地用戶狀態 · Active:活動狀態 · Block:阻塞狀態 |
|
Service type |
本地用戶使用的服務類型 |
|
Access limit |
是否對使用該用戶名的接入用戶數進行限製 |
|
Max access number |
最大接入用戶數 |
|
Current access number |
使用該用戶名的當前接入用戶數 |
|
User group |
本地用戶所屬的用戶組 |
|
Bind attributes |
本地用戶的綁定屬性 |
|
IP address |
本地用戶的IP地址 |
|
Location bound |
本地用戶綁定的端口 |
|
MAC address |
本地用戶的MAC地址 |
|
VLAN ID |
本地用戶綁定的VLAN |
|
Authorization attributes |
本地用戶的授權屬性 |
|
Idle timeout |
本地用戶閑置切斷時間(單位為分鍾) |
|
Session-timeout |
本地用戶的會話超時時間(單位為分鍾) |
|
Work directory |
FTP/SFTP/SCP用戶可以訪問的目錄 |
|
ACL number |
本地用戶授權ACL |
|
VLAN ID |
本地用戶授權VLAN |
|
User profile |
本地用戶授權User Profile |
|
User role list |
本地用戶的授權用戶角色列表 |
|
IP pool |
本地用戶的授權IPv4地址池 |
|
IPv6 pool |
本地用戶的授權IPv6地址池 |
|
Password control configurations |
本地用戶的密碼控製屬性 |
|
Password aging |
密碼老化時間 |
|
Password length |
密碼最小長度 |
|
Password composition |
密碼組合策略(密碼元素的組合類型、至少要包含每種元素的個數) |
|
Password complexity |
密碼複雜度檢查策略(是否包含用戶名或者顛倒的用戶名;是否包含三個或以上相同字符) |
|
Maximum login attempts |
用戶最大登錄嚐試次數 |
|
Action for exceeding login attempts |
登錄嚐試次數達到設定次數後的用戶賬戶鎖定行為 |
|
Password history was last reset |
上一次清除密碼曆史記錄的時間 |
|
Description |
網絡接入類本地用戶的描述信息 |
|
Validity period |
網絡接入類本地用戶有效期 |
|
Start date and time |
網絡接入類本地用戶開始生效的日期和時間 |
|
Expiration date and time |
網絡接入類本地用戶的失效日期和時間 |
|
Total x local users matched. |
總計有x個本地用戶匹配 |
display user-group命令用來顯示用戶組的配置信息。
【命令】
display user-group { all | name group-name }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
all:顯示所有用戶組的配置信息。
name group-name:顯示指定用戶組的配置。group-name表示用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【舉例】
# 顯示所有用戶組的相關配置。
<Sysname> display user-group all
Total 2 user groups matched.
User group: system
Authorization attributes:
Work directory: flash:
User group: jj
Authorization attributes:
Idle timeout: 2 minutes
Work directory: flash:/
ACL number: 2000
VLAN ID: 2
User profile: pp
Password control configurations:
Password aging: 2 days
表1-3 display user-group命令顯示信息描述表
|
字段 |
描述 |
|
Total 2 user groups matched. |
總計有2個用戶組匹配 |
|
User group |
用戶組名稱 |
|
Authorization attributes |
授權屬性信息 |
|
Idle timeout |
閑置切斷時間(單位:分鍾) |
|
Session-timeout |
會話超時時間(單位:分鍾) |
|
Work directory |
FTP/SFTP/SCP用戶可以訪問的目錄 |
|
ACL number |
授權ACL號 |
|
VLAN ID |
授權VLAN ID |
|
User profile |
授權User Profile名稱 |
|
IP pool |
授權IPv4地址池 |
|
IPv6 pool |
授權IPv6地址池 |
|
Password control configurations |
用戶組的密碼控製屬性 |
|
Password aging |
密碼老化時間 |
|
Password length |
密碼最小長度 |
|
Password composition |
密碼組合策略(密碼元素的組合類型、至少要包含每種元素的個數) |
|
Password complexity |
密碼複雜度檢查策略(是否包含用戶名或者顛倒的用戶名;是否包含三個或以上相同字符) |
|
Maximum login attempts |
用戶最大登錄嚐試次數 |
|
Action for exceeding login attempts |
登錄嚐試次數達到設定次數後的用戶賬戶鎖定行為 |
group命令用來設置本地用戶所屬的用戶組。
undo group命令用來恢複缺省配置。
【命令】
group group-name
undo group
【缺省情況】
本地用戶屬於用戶組system。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【舉例】
# 設置設備管理類本地用戶111所屬的用戶組為abc。
<Sysname> system-view
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
【相關命令】
· display local-user
local-user命令用來添加本地用戶,並進入本地用戶視圖。如果指定的本地用戶已經存在,則直接進入本地用戶視圖。
undo local-user命令用來刪除指定的本地用戶。
【命令】
local-user user-name [ class { manage | network } ]
undo local-user { user-name class { manage | network } | all [ service-type { ftp | http | https | lan-access | portal | ssh | telnet | terminal } | class { manage | network } ] }
【缺省情況】
不存在本地用戶。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
user-name:表示本地用戶名,為1~55個字符的字符串,區分大小寫。用戶名不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為與“all”或“auto-delete”中自第一個字母“a”起向右若幹連續字符完全相同的字符串,例如不能為“a”、“al”、“all”、“au”、“aut”、“auto”、“auto-”、“auto-d”等。
class:指定本地用戶的類別。若不指定本參數,則表示設備管理類用戶。
manage:設備管理類用戶,用於登錄設備,對設備進行配置和監控。此類用戶可以提供ftp、http、https、telnet、ssh、terminal服務。
network:網絡接入類用戶,用於通過設備接入網絡,訪問網絡資源。此類用戶可以提供lan-access和portal服務。
all:所有的用戶。
service-type:指定用戶的類型。
· ftp:表示FTP類型用戶。
· http:表示HTTP類型用戶。
· https:表示HTTPS類型用戶。
· lan-access:表示lan-access類型用戶(主要指以太網接入用戶,比如802.1X用戶)。
· portal:表示Portal用戶。
· ssh:表示SSH用戶。
· telnet:表示Telnet用戶。
· terminal:表示從Console口登錄的終端用戶。
【舉例】
# 添加名稱為user1的設備管理類本地用戶。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
# 添加名稱為user2的網絡接入類本地用戶。
<Sysname> system-view
[Sysname] local-user user2 class network
[Sysname-luser-network-user2]
【相關命令】
· display local-user
· service-type
local-user auto-delete enable命令用來開啟本地用戶過期自動刪除功能。
undo local-user auto-delete enable命令用來恢複缺省情況。
【命令】
undo local-user auto-delete enable
【缺省情況】
本地用戶過期自動刪除功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
本地用戶過期自動刪除功能處於開啟狀態時,設備將定時(10分鍾,不可配)檢查網絡接入類本地用戶是否過期並自動刪除過期的本地用戶。
【舉例】
# 開啟本地用戶過期自動刪除功能。
<Sysname> system-view
[Sysname] local-user auto-delete enable
【相關命令】
· validity-datetime
password命令用來設置本地用戶的密碼。
undo password命令用來恢複缺省情況。
【命令】
(非FIPS模式)
password [ { hash | simple } string ]
undo password
(FIPS模式)
password
【缺省情況】
(非FIPS模式)
不存在本地用戶密碼,即本地用戶認證時無需輸入密碼,隻要用戶名有效且其它屬性驗證通過即可認證成功。
(FIPS模式)
不存在本地用戶密碼,但本地用戶認證時不能成功。
【視圖】
設備管理類本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
hash:表示以哈希方式設置密碼。
simple:表示以明文方式設置密碼,該密碼將以哈希方式存儲。
string:密碼字符串,區分大小寫。非FIPS模式下,明文密碼為1~63個字符的字符串;哈希密碼為1~110個字符的字符串。FIPS模式下,明文密碼為15~63個字符的字符串,密碼元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符)。
【使用指導】
如果不指定任何參數,則表示以交互式設置明文形式的密碼。
在非FIPS模式下,可以不為本地用戶設置密碼。若不為本地用戶設置密碼,則該用戶認證時無需輸入密碼,隻要用戶名有效且其它屬性驗證通過即可認證成功。為提高用戶賬戶的安全性,建議設置本地用戶密碼。
在FIPS模式下,必須且隻能通過交互式方式設置明文密碼,否則用戶的本地認證不能成功。
在全局Password Control功能處於開啟的情況下,需要注意的是:
· 所有曆史密碼都以哈希方式存儲。
· 當前登錄用戶以明文方式修改自己的密碼時,需要首先提供現有的明文密碼,然後保證輸入的新密碼與所有曆史密碼不同,且至少要與現有密碼存在4個不同字符的差異。
· 當前登錄用戶以明文方式修改其它用戶的密碼時,需要保證新密碼與所有曆史密碼不同。
· 當前登錄用戶刪除自己的密碼時,需要提供現有的明文密碼。
· 其它情況下,均不需要提供現有明文密碼,也不與曆史密碼進行比較。
【舉例】
# 設置設備管理類本地用戶user1的密碼為明文123456TESTplat&!。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式設置設備管理類本地用戶test的密碼。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
confirm :
【相關命令】
· display local-user
password命令用來設置本地用戶的密碼。
undo password命令用來恢複缺省情況。
【命令】
password { cipher | simple } string
undo password
【缺省情況】
不存在本地用戶密碼,即本地用戶認證時無需輸入密碼,隻要用戶名有效且其它屬性驗證通過即可認證成功。
【視圖】
網絡接入類本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
cipher:表示以密文方式設置密碼。
simple:表示以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串;密文密碼為1~117個字符的字符串。
【使用指導】
為提高用戶賬戶的安全性,建議設置本地用戶密碼。
【舉例】
# 設置網絡接入類本地用戶user1的密碼為明文123456TESTuser&!。
<Sysname> system-view
[Sysname] local-user user1 class network
[Sysname-luser-network-user1] password simple 123456TESTuser&!
【相關命令】
· display local-user
service-type命令用來設置用戶可以使用的服務類型。
undo service-type命令用來刪除用戶可以使用的服務類型。
【命令】
(非FIPS模式)
service-type { ftp | lan-access | { http | https | ssh | telnet | terminal } * | portal }
undo service-type { ftp | lan-access | { http | https | ssh | telnet | terminal } * | portal }
(FIPS模式)
service-type { lan-access | { https | ssh | terminal } * | portal }
undo service-type { lan-access | { https | ssh | terminal } * | portal }
【缺省情況】
係統不對用戶授權任何服務,即用戶不能使用任何服務。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
ftp:指定用戶可以使用FTP服務。若授權FTP服務,授權目錄可以通過authorization-attribute work-directory命令來設置。
http:指定用戶可以使用HTTP服務。
https:指定用戶可以使用HTTPS服務。
lan-access:指定用戶可以使用lan-access服務。主要指以太網接入,比如用戶可以通過802.1X認證接入。
ssh:指定用戶可以使用SSH服務。
telnet:指定用戶可以使用Telnet服務。
terminal:指定用戶可以使用terminal服務(即從Console口登錄)。
portal:指定用戶可以使用Portal服務。
【使用指導】
可以通過多次執行本命令,設置用戶可以使用多種服務類型。
【舉例】
# 指定設備管理類用戶可以使用Telnet服務和FTP服務。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
【相關命令】
· display local-user
state命令用來設置當前本地用戶的狀態。
undo state命令用來恢複缺省情況。
【命令】
state { active | block }
undo state
【缺省情況】
本地用戶處於活動狀態。
【視圖】
本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
active:指定當前本地用戶處於活動狀態,即係統允許當前本地用戶請求網絡服務。
block:指定當前本地用戶處於“阻塞”狀態,即係統不允許當前本地用戶請求網絡服務。
【舉例】
# 設置設備管理類本地用戶user1處於“阻塞”狀態。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
【相關命令】
· display local-user
user-group命令用來創建用戶組,並進入用戶組視圖。如果指定的用戶組已經存在,則直接進入用戶組視圖。
undo user-group命令用來刪除指定的用戶組。
【命令】
user-group group-name
undo user-group group-name
【缺省情況】
存在一個用戶組,名稱為system。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
用戶組是一個本地用戶的集合,某些需要集中管理的屬性可在用戶組中統一配置和管理。
不允許刪除一個包含本地用戶的用戶組。
不能刪除係統中存在的默認用戶組system,但可以修改該用戶組的配置。
【舉例】
# 創建名稱為abc的用戶組並進入其視圖。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【相關命令】
· display user-group
validity-datetime命令用來配置網絡接入類本地用戶的有效期。
undo validity-datetime命令用來恢複缺省情況。
【命令】
validity-datetime { from start-date start-time to expiration-date expiration-time | from start-date start-time | to expiration-date expiration-time }
undo validity-datetime
【缺省情況】
未限製本地用戶的有效期,該用戶始終有效。
【視圖】
網絡接入類本地用戶視圖
【缺省用戶角色】
network-admin
【參數】
from:指定用戶有效期的開始日期和時間。若不指定該參數,則表示僅限定用戶有效期的結束日期和時間。
start-date:用戶有效期的開始日期,格式為MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
start-time:用戶有效期的開始時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。如果要設置成整分,則可以不輸入秒;如果要設置成整點,則可以不輸入分和秒。比如將start-time參數設置為0表示零點。
to:指定用戶有效期的結束日期和結束時間。若不指定該參數,則表示僅限定用戶有效期的開始日期和時間。
expiration-date:用戶有效期的結束日期,格式為MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。
expiration-time:用戶有效期的結束時間,格式為HH:MM:SS(小時:分鍾:秒),HH取值範圍為0~23,MM和SS取值範圍為0~59。如果要設置成整分,則可以不輸入秒;如果要設置成整點,則可以不輸入分和秒。比如將expiration-time參數設置為0表示零點。
【使用指導】
網絡接入類本地用戶在有效期內才能認證成功。
若同時指定了有效期的開始時間和結束時間,則有效期的結束時間必須晚於起始時間。
如果僅指定了有效期的開始時間,則表示該時間到達後,用戶一直有效。
如果僅指定了有效期的結束時間,則表示該時間到達前,用戶一直有效。
【舉例】
# 配置網絡接入類本地用戶123的有效期為2015/10/01 00:00:00到2016/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] validity-datetime from 2015/10/01 00:00:00 to 2016/10/02 12:00:00
【相關命令】
· display local-user
aaa device-id命令用來配置設備ID。
undo aaa debice-id命令用來恢複缺省情況。
【命令】
aaa device-id device-id
undo aaa device-id
【缺省情況】
設備ID為0。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
device-id:設備ID,取值範圍為1~255。
【使用指導】
RADIUS計費過程使用Acct-Session-Id屬性作為用戶的計費ID。設備使用係統時間、隨機數以及設備ID為每個在線用戶生成一個唯一的Acct-Session-Id值。
修改後的設備ID僅對新上線用戶生效。
【舉例】
# 配置設備ID為1。
<Sysname> system-view
[Sysname] aaa device-id 1
accounting-on enable命令用來開啟accounting-on功能。
undo accounting-on enable命令用來關閉accounting-on功能。
【命令】
accounting-on enable [ interval interval | send send-times ] *
undo accounting-on enable
【缺省情況】
accounting-on功能處於關閉狀態。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
interval interval:指定accounting-on報文重發時間間隔,取值範圍為1~15,單位為秒,缺省值為3。
send send-times:指定accounting-on報文的最大發送次數,取值範圍為1~255,缺省值為50。
【使用指導】
accounting-on功能使得整個設備在重啟之後通過發送accounting-on報文通知該方案所使用的RADIUS計費服務器,要求RADIUS服務器停止計費且強製該設備的用戶下線。
開啟accounting-on功能後,請執行save命令保證accounting-on功能在整個設備下次重啟後生效。關於命令的詳細介紹請參見“基礎配置命令參考”中的“配置文件管理”。
本命令設置的accounting-on參數會立即生效。
【舉例】
# 在RADIUS方案radius1中,開啟accounting-on功能並配置accounting-on報文重發時間間隔為5秒、accounting-on報文的最大發送次數為15次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on enable interval 5 send 15
【相關命令】
· display radius scheme
accounting-on extended命令用來開啟accounting-on擴展功能。
undo accounting-on extended命令用來關閉accounting-on擴展功能。
【命令】
accounting-on extended
undo accounting-on extended
【缺省情況】
accounting-on擴展功能處於關閉狀態。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
accounting-on擴展功能是為了適應分布式架構而對accounting-on功能的增強。隻有在accounting-on功能開啟的情況下,accounting-on擴展功能才能生效。
accounting-on擴展功能適用於lan-access用戶,該類型的用戶數據均保存在用戶接入的成員設備上。開啟accounting-on擴展功能後,當有用戶發起接入認證的成員設備重啟時,設備會向RADIUS服務器發送攜帶成員設備標識的accounting-on報文,用於通知RADIUS服務器對該成員設備的用戶停止計費且強製用戶下線。accounting-on報文的重發間隔時間以及最大發送次數由accounting-on enable命令指定。如果自上一次重啟之後,成員設備上沒有用戶接入認證的記錄,則該成員設備再次重啟,並不會觸發設備向RADIUS服務器發送攜帶成員設備標識的accounting-on報文。
開啟accounting-on擴展功能後,請執行save命令保證accounting-on擴展功能在成員設備下次重啟後生效。關於save命令的詳細介紹請參見“基礎配置命令參考”中的“配置文件管理”。
【舉例】
# 在RADIUS方案radius1中,開啟accounting-on擴展功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on extended
【相關命令】
· accounting-on enable
· display radius scheme
attribute 5 format命令用來配置RADIUS Attribute 5的格式。
undo attribute 5 format命令用來恢複缺省情況。
僅Release 6342及以上版本支持本命令。
【命令】
attribute 5 format port
undo attribute 5 format
【缺省情況】
采用單層VLAN格式封裝RADIUS Attribute 5,具體為:成員設備編號(8bit)+槽位號(4bit)+端口號(8bit)+VLAN ID(12bit)。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
port:表示采用端口號進行封裝。
【使用指導】
RADIUS Attribute 5為NAS-Port屬性。不同的RADIUS服務器對NAS-Port屬性的解析格式要求不同,為了保證RADIUS報文的正常交互,設備發送給服務器的NAS-Port屬性的格式必須與服務器的要求保持一致。
配置RADIUS Attribute 5使用端口號進行封裝後,填充在RADIUS Attribute 5中的內容為用戶上線接口的接口編號中的最後一維。例如,若用戶從接口GigabitEthernet1/0/2上線,則填充在RADIUS Attribute 5的字段為接口編號的最後一維“2”。
此配置不區分用戶的接入類型,對所有用戶的RADIUS報文均生效。
【舉例】
# 在RADIUS方案radius1中,配置RADIUS Attribute 5使用接口的端口號進行封裝。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 5 format port
【相關命令】
· display radius scheme
attribute 15 check-mode命令用來配置對RADIUS Attribute 15的檢查方式。
undo attribute 15 check-mode命令用來恢複缺省情況。
【命令】
attribute 15 check-mode { loose | strict }
undo attribute 15 check-mode
【缺省情況】
對RADIUS Attribute 15的檢查方式為strict方式。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
loose:鬆散檢查方式,設備使用RADIUS Attribute 15的標準屬性值對用戶業務類型進行檢查。 對於SSH、FTP、Terminal用戶,在RADIUS服務器下發的Login-Service屬性值為0(表示用戶業務類型為Telnet)時才,這類用戶才能夠通過認證。
strict:嚴格檢查方式,設備使用RADIUS Attribute 15的標準屬性值以及擴展屬性值對用戶業務類型進行檢查。對於SSH、FTP、Terminal用戶,當RADIUS服務器下發的Login-Service屬性值為對應的擴展取值時,這類用戶才能夠通過認證。
【使用指導】
由於某些RADIUS服務器不支持自定義的屬性,無法下發擴展的Login-Service屬性,若要使用這類RADIUS服務器對SSH、FTP、Terminal用戶進行認證,建議設備上對RADIUS 15號屬性值采用鬆散檢查方式。
【舉例】
# 在RADIUS方案radius1中,配置對RADIUS Attribute 15采用鬆散檢查方式。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 15 check-mode loose
【相關命令】
· display radius scheme
attribute 25 car命令用來開啟RADIUS Attribute 25的CAR參數解析功能。
undo attribute 25 car命令用來關閉RADIUS Attribute 25的CAR參數解析功能。
【命令】
attribute 25 car
undo attribute 25 car
【缺省情況】
RADIUS Attribute 25的CAR參數解析功能處於關閉狀態。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【使用指導】
RADIUS的25號屬性為class屬性,該屬性由RADIUS服務器下發給設備。目前,某些RADIUS服務器利用class屬性來對用戶下發CAR參數,可以通過本特性來控製設備是否將RADIUS 25號屬性解析為CAR參數,解析出的CAR參數可被用來進行基於用戶的流量監管控製。
【舉例】
# 在RADIUS方案radius1中,開啟RADIUS Attribute 25的CAR參數解析功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 25 car
【相關命令】
· display radius scheme
attribute 31 mac-format命令用來配置RADIUS Attribute 31中的MAC地址格式。
undo attribute 31 mac-format命令用來恢複缺省情況。
【命令】
attribute 31 mac-format section { one |{ six | three } separator separator-character } { lowercase | uppercase }
undo attribute 31 mac-format
【缺省情況】
RADIUS Attribute 31中的MAC地址為大寫字母格式,且被分隔符“-”分成6段,即為HH-HH-HH-HH-HH-HH的格式。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
section:指定MAC地址分段數。
one:表示MAC地址被分為1段,格式為HHHHHHHHHHHH。
six:表示MAC地址被分為6段,格式為HH-HH-HH-HH-HH-HH。
three:表示MAC地址被分為3段,格式為HHHH-HHHH-HHHH。
separator separator-character:MAC地址的分隔符,為單個字符,區分大小寫。
lowercase:表示MAC地址為小寫字母格式。
uppercase:表示MAC地址為大寫字母格式。
【使用指導】
不同的RADIUS服務器對填充在RADIUS Attribute 31中的MAC地址有不同的格式要求,為了保證RADIUS報文的正常交互,設備發送給服務器的RADIUS Attribute 31號屬性中MAC地址的格式必須與服務器的要求保持一致。
僅Release 6312及以上版本支持將MAC地址分為1段,即為HHHHHHHHHHHH的格式。
【舉例】
# 在RADIUS方案radius1中,配置RADIUS Attribute 31的MAC地址格式為hh:hh:hh:hh:hh:hh。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 31 mac-format section six separator : lowercase
【相關命令】
· display radius scheme
attribute 87 format命令用來配置RADIUS Attribute 87的格式。
undo attribute 87 format命令用來恢複缺省情況。
僅Release 6342及以上版本支持本命令。
【命令】
attribute 87 format interface-name
undo attribute 87 format
【缺省情況】
對於不同接入類型的用戶,RADIUS Attribute 87的缺省格式有所不同:
· Portal用戶:槽位號(2個字節)+00(固定字符,2個字節)+端口號(3個字節)+VLAN編號(9個字節)。
· 802.1X、MAC地址認證用戶:slot=xx;subslot=xx;port=xx;vlanid=xx。其中,slot為成員設備編號, subslot為槽位號,port為端口號,vlanid為VLAN編號。
· Login用戶:不攜帶Attribute 87屬性。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
interface-name:表示采用接口名稱進行封裝。
【使用指導】
RADIUS Attribute 87為NAS-Port-ID屬性。不同的RADIUS服務器對NAS-Port-ID屬性的解析格式要求不同,為了保證RADIUS報文的正常交互,設備發送給服務器的NAS-Port-ID屬性的格式必須與服務器的要求保持一致。
配置RADIUS Attribute 87使用接口名稱進行封裝後,填充在RADIUS Attribute 87中的內容為用戶上線的接口名稱。例如,若用戶從接口GigabitEthernet1/0/1上線,則填充在RADIUS Attribute 5的字段為接口名稱“GigabitEthernet1/0/1”。
此配置不區分用戶的接入類型,對所有用戶的RADIUS報文均生效。
【舉例】
# 在RADIUS方案radius1中,配置RADIUS Attribute 87的使用接口名稱進行封裝。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 87 format interface-name
【相關命令】
· display radius scheme
attribute convert命令用來配置RADIUS屬性轉換規則。
undo attribute convert命令用來刪除RADIUS屬性轉換規則。
【命令】
attribute convert src-attr-name to dest-attr-name { { coa-ack | coa-request } * | { received | sent } * }
undo attribute convert [ src-attr-name ]
【缺省情況】
不存在RADIUS屬性轉換規則,係統按照標準RADIUS協議對RADIUS屬性進行處理。
【視圖】
RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
【參數】
src-attr-name:源屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
dest-attr-name:目的屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
coa-ack:COA應答報文。
coa-request:COA請求報文。
received:接收到的DAE報文。
sent:發送的DAE報文。
【使用指導】
RADIUS屬性轉換規則中的源屬性內容將被按照目的屬性的含義來處理。
隻有在RADIUS屬性解釋功能開啟之後,RADIUS屬性轉換規則才能生效。
配置RADIUS屬性轉換規則時,需要遵循以下原則:
· 源屬性內容和目的屬性內容的數據類型必須相同。
· 源屬性和目的屬性的名稱不能相同。
· 一個屬性隻能按照一種方式(按報文類型或報文處理方向)進行轉換。
· 一個源屬性不能同時轉換為多個目的屬性。
執行undo attribute convert命令時,如果不指定源屬性名稱,則表示刪除所有RADIUS屬性轉換規則。
【舉例】
# 在RADIUS DAE服務器視圖下,配置一條RADIUS屬性轉換規則,指定將接收到的DAE報文中的Hw-Server-String屬性轉換為Connect-Info屬性。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] attribute convert Hw-Server-String to Connect-Info received
【相關命令】
· attribute translate
attribute convert命令用來配置RADIUS屬性轉換規則。
undo attribute convert命令用來刪除RADIUS屬性轉換規則。
【命令】
attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute convert [ src-attr-name ]
【缺省情況】
不存在RADIUS屬性轉換規則,係統按照標準RADIUS協議對RADIUS屬性進行處理。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
src-attr-name:源屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
dest-attr-name:目的屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
access-accept:RADIUS認證成功報文。
access-request:RADIUS認證請求報文。
accounting:RADIUS計費報文。
received:接收到的RADIUS報文。
sent:發送的RADIUS報文。
【使用指導】
RADIUS屬性轉換規則中的源屬性內容將被按照目的屬性的含義來處理。
隻有在RADIUS屬性解釋功能開啟之後,RADIUS屬性轉換規則才能生效。
配置RADIUS屬性轉換規則時,需要遵循以下原則:
· 源屬性內容和目的屬性內容的數據類型必須相同。
· 源屬性和目的屬性的名稱不能相同。
· 一個屬性隻能按照一種方式(按報文類型或報文處理方向)進行轉換。
· 一個源屬性不能同時轉換為多個目的屬性。
執行undo attribute convert命令時,如果不指定源屬性名稱,則表示刪除所有RADIUS屬性轉換規則。
【舉例】
# 在RADIUS方案radius1中,配置一條RADIUS屬性轉換規則,指定將接收到的RADIUS報文中的Hw-Server-String屬性轉換為Connect-Info屬性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute convert Hw-Server-String to Connect-Info received
【相關命令】
· attribute translate
attribute reject命令用來配置RADIUS屬性禁用。
undo attribute reject命令用來取消配置的RADIUS屬性禁用。
【命令】
attribute reject attr-name { { coa-ack | coa-request } * | { received | sent } * }
undo attribute reject [ attr-name ]
【缺省情況】
不存在RADIUS屬性禁用規則。
【視圖】
RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
【參數】
attr-name:RADIUS屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
coa-ack:COA應答報文。
coa-request:COA請求報文。
received:接收到的DAE報文。
sent:發送的DAE報文。
【使用指導】
當設備發送的RADIUS報文中攜帶了RADIUS服務器無法識別的屬性時,可以定義基於發送方向的屬性禁用規則,使得設備發送RADIUS報文時,將該屬性從報文中刪除。
當RADIUS服務器發送給設備的某些屬性是設備不希望收到的屬性時,可以定義基於接收方向的屬性禁用規則,使得設備接收RADIUS報文時,不處理報文中的該屬性。
當某些類型的屬性是設備不希望處理的屬性時,可以定義基於類型的屬性禁用規則。
隻有在RADIUS屬性解釋功能開啟之後,RADIUS屬性禁用規則才能生效。
一個屬性隻能按照一種方式(按報文類型或報文處理方向)進行禁用。
執行undo attribute reject命令時,如果不指定屬性名稱,則表示刪除所有RADIUS屬性禁用規則。
【舉例】
# 在RADIUS DAE服務器視圖下,配置一條RADIUS屬性禁用規則,指定禁用發送的DAE報文中的Connect-Info屬性。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] attribute reject Connect-Info sent
【相關命令】
· attribute translate
attribute reject命令用來配置RADIUS屬性禁用規則。
undo attribute reject命令用來刪除RADIUS屬性禁用規則。
【命令】
attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute reject [ attr-name ]
【缺省情況】
不存在RADIUS屬性禁用規則。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
attr-name:RADIUS屬性名稱,為1~63個字符的字符串,不區分大小寫。該屬性必須為係統支持的屬性。
access-accept:RADIUS認證成功報文。
access-request:RADIUS認證請求報文。
accounting:RADIUS計費報文。
received:接收到的RADIUS報文。
sent:發送的RADIUS報文。
【使用指導】
當設備發送的RADIUS報文中攜帶了RADIUS服務器無法識別的屬性時,可以定義基於發送方向的屬性禁用規則,使得設備發送RADIUS報文時,將該屬性從報文中刪除。
當RADIUS服務器發送給設備的某些屬性是不希望收到的屬性時,可以定義基於接收方向的屬性禁用規則,使得設備接收RADIUS報文時,不處理報文中的該屬性。
當某些類型的屬性是設備不希望處理的屬性時,可以定義基於類型的屬性禁用規則。
隻有在RADIUS屬性解釋功能開啟之後,RADIUS屬性禁用規則才能生效。
一個屬性隻能按照一種方式(按報文類型或報文處理方向)進行禁用。
執行undo attribute reject命令時,如果不指定屬性名稱,則表示刪除所有RADIUS屬性禁用規則。
【舉例】
# 在RADIUS方案radius1中,配置一條RADIUS屬性禁用規則,指定禁用發送的RADIUS報文中的Connect-Info屬性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute reject Connect-Info sent
【相關命令】
· attribute translate
attribute remanent-volume命令用來配置RADIUS Remanent-Volume屬性的流量單位。
undo attribute remanent-volume命令用來恢複缺省情況。
【命令】
attribute remanent-volume unit { byte | giga-byte | kilo-byte | mega-byte }
undo attribute remanent-volume unit
【缺省情況】
Remanent-Volume屬性的流量單位是千字節。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
byte:表示流量單位為字節。
giga-byte:表示流量單位為千兆字節。
kilo-byte:表示流量單位為千字節。
mega-byte:表示流量單位為兆字節。
【使用指導】
Remanent-Volume屬性為H3C自定義RADIUS屬性,攜帶在RADIUS服務器發送給接入設備的認證響應或實時計費響應報文中,用於向接入設備通知在線用戶的剩餘流量值。設備管理員通過本命令設置的流量單位應與RADIUS服務器上統計用戶流量的單位保持一致,否則設備無法正確使用Remanent-Volume屬性值對用戶進行計費。
【舉例】
# 在RADIUS方案radius1中,設置RADIUS服務器下發的Remanent-Volume屬性的流量單位為千字節。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute remanent-volume unit kilo-byte
【相關命令】
· display radius scheme
attribute translate命令用來開啟RADIUS屬性解釋功能。
undo attribute translate命令用來關閉RADIUS屬性解釋功能。
【命令】
attribute translate
undo attribute translate
【缺省情況】
RADIUS屬性解釋功能處於關閉狀態。
【視圖】
RADIUS方案視圖/RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
【使用指導】
不同廠商的RADIUS服務器所支持的RADIUS屬性集有所不同,而且相同屬性的用途也可能不同。為了兼容不同廠商的服務器的RADIUS屬性,需要開啟RADIUS屬性解釋功能,並定義相應的RADIUS屬性轉換規則和RADIUS屬性禁用規則。
【舉例】
# 在RADIUS方案radius1中,開啟RADIUS屬性解釋功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute translate
【相關命令】
· attribute convert
· attribute reject
ca-file命令用來配置EAP認證使用的CA證書。
undo ca-file命令用來恢複缺省情況。
【命令】
ca-file file-name
undo ca-file
【缺省情況】
未配置CA證書。
【視圖】
EAP認證方案視圖
【缺省用戶角色】
network-admin
【參數】
file-name:表示CA證書文件名稱,為1~91個字符的字符串,區分大小寫。
【使用指導】
當使用EAP認證方法為PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2時,可以選擇校驗服務器或客戶端證書。配置CA證書即表示需要校驗服務器證書。
若未配置CA證書,則表示EAP認證過程中不校驗服務器證書。
配置CA證書之前,需要通過FTP或TFTP的方式將證書文件導入設備的存儲介質的根目錄下。在IRF組網環境中,需要保證主設備的存儲介質的根目錄下已經保存了CA證書文件。
一個EAP認證方案視圖中隻能指定一個CA證書,後配置的生效。
修改後的配置,將在下一個探測周期中生效。
【舉例】
# 在EAP認證方案eap1中,配置采用的CA證書文件為CA.der。
<Sysname> system-view
[Sysname] eap-profile eap1
[Sysname-eap-profile-eap1] ca-file CA.der
client命令用來指定RADIUS DAE客戶端。
undo client命令用來刪除指定的RADIUS DAE客戶端。
【命令】
client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情況】
未指定RADIUS DAE客戶端。
【視圖】
RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:RADIUS DAE客戶端IPv4地址。
ipv6 ipv6-address:RADIUS DAE客戶端IPv6地址。
key:與RADIUS DAE客戶端交互DAE報文時使用的共享密鑰。此共享密鑰的設置必須與RADIUS DAE客戶端的共享密鑰設置保持一致。如果此處未指定本參數,則對應的RADIUS DAE客戶端上也必須未指定。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。FIPS模式下,明文密鑰為15~64個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~117個字符的字符串。
vpn-instance vpn-instance-name:RADIUS DAE客戶端所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示RADIUS DAE客戶端位於公網中。
【使用指導】
開啟RADIUS DAE服務之後,設備會監聽並處理指定的RADIUS DAE客戶端發起的DAE請求消息(用於動態授權修改或斷開連接),並向其發送應答消息。對於非指定的RADIUS DAE客戶端的DAE報文進行丟棄處理。
可通過多次執行本命令指定多個RADIUS DAE客戶端。
【舉例】
# 設置RADIUS DAE客戶端的IP地址為10.110.1.2,與RADIUS DAE客戶端交互DAE報文時使用的共享密鑰為明文123456。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] client ip 10.110.1.2 key simple 123456
【相關命令】
· radius dynamic-author server
· port
data-flow-format命令用來配置發送到RADIUS服務器的數據流及數據包的單位。
undo data-flow-format命令用來恢複缺省情況。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情況】
數據流的單位為字節,數據包的單位為包。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
data:設置數據流的單位。
· byte:數據流的單位為字節。
· giga-byte:數據流的單位千兆字節。
· kilo-byte:數據流的單位為千字節。
· mega-byte:數據流的單位為兆字節。
packet:設置數據包的單位。
· giga-packet:數據包的單位為千兆包。
· kilo-packet:數據包的單位為千包。
· mega-packet:數據包的單位為兆包。
· one-packet:數據包的單位為包。
【使用指導】
設備上配置的發送給RADIUS服務器的數據流單位及數據包單位應與RADIUS服務器上的流量統計單位保持一致,否則無法正確計費。
【舉例】
# 在RADIUS方案radius1中,設置發往RADIUS服務器的數據流單位為千字節、數據包單位為千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【相關命令】
· display radius scheme
display radius scheme命令用來顯示RADIUS方案的配置信息。
【命令】
display radius scheme [ radius-scheme-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
radius-scheme-name:RADIUS方案名,為1~32個字符的字符串,不區分大小寫。如果不指定該參數,則表示所有RADIUS方案。
【舉例】
# 顯示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: radius1
Index : 0
Primary authentication server:
Host name: Not configured
IP : 2.2.2.2 Port: 1812
VPN : vpn1
State: Active
Test profile: 132
Probe username: test
Probe interval: 60 minutes
Probe eap-profile: eap1
Weight: 40
Primary accounting server:
Host name: Not configured
IP : 1.1.1.1 Port: 1813
VPN : Not configured
State: Active
Weight: 40
Second authentication server:
Host name: Not configured
IP : 3.3.3.3 Port: 1812
VPN : Not configured
State: Block
Test profile: Not configured
Weight: 40
Second accounting server:
Host name: Not configured
IP : 3.3.3.3 Port: 1813
VPN : Not configured
State: Block (Mandatory)
Weight: 0
Accounting-On function : Enabled
extended function : Disabled
retransmission times : 5
retransmission interval(seconds) : 2
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(seconds) : 22
Stop-accounting packets buffering : Enabled
Retransmission times : 500
NAS IP Address : 1.1.1.1
VPN : Not configured
User Name Format : with-domain
Data flow unit : Megabyte
Packet unit : One
Attribute 5 format : Port
Attribute 15 check-mode : Strict
Attribute 25 : CAR
Attribute 87 format : Interface name
Attribute Remanent-Volume unit : Mega
server-load-sharing : Enabled
Attribute 31 MAC format : hh:hh:hh:hh:hh:hh
Stop-accounting-packet send-force : Disabled
Reauthentication server selection : Reselect
------------------------------------------------------------------
表1-4 display radius scheme命令顯示信息描述表
|
字段 |
描述 |
|
Total 1 RADIUS schemes. |
共計1個RADIUS方案 |
|
RADIUS scheme name |
RADIUS方案的名稱 |
|
Index |
RADIUS方案的索引號 |
|
Primary authentication server |
主RADIUS認證服務器 |
|
Primary accounting server |
主RADIUS計費服務器 |
|
Second authentication server |
從RADIUS認證服務器 |
|
Second accounting server |
從RADIUS計費服務器 |
|
Host name |
RADIUS認證/計費服務器主機名 未配置時,顯示為Not configured |
|
IP |
RADIUS認證/計費服務器IP地址 未配置時,顯示為Not configured |
|
Port |
RADIUS認證/計費服務器接入端口號 未配置時,顯示缺省值 |
|
State |
RADIUS認證/計費服務器目前狀態 · Active:激活狀態 · Block:自動轉換的靜默狀態 · Block(Mandatory):手工配置的靜默狀態 |
|
VPN |
RADIUS認證/計費服務器或RADIUS方案所在的VPN 未配置時,顯示為Not configured |
|
Test profile |
探測服務器狀態使用的模板名稱 |
|
Probe username |
探測服務器狀態使用的用戶名 |
|
Probe interval |
探測服務器狀態的周期(單位為分鍾) |
|
Probe eap-profile |
探測服務器使用的EAP認證方案 未配置時,則不顯示該字段 |
|
Weight |
RADIUS服務器權重值 |
|
Accounting-On function |
accounting-on功能的開啟情況 |
|
extended function |
accounting-on擴展功能的開啟情況 |
|
retransmission times |
accounting-on報文的發送嚐試次數 |
|
retransmission interval(seconds) |
accounting-on報文的重發間隔(單位為秒) |
|
Timeout Interval(seconds) |
RADIUS服務器超時時間(單位為秒) |
|
Retransmission Times |
發送RADIUS報文的最大嚐試次數 |
|
Retransmission Times for Accounting Update |
實時計費更新報文的最大嚐試次數 |
|
Server Quiet Period(minutes) |
RADIUS服務器恢複激活狀態的時間(單位為分鍾) |
|
Realtime Accounting Interval(seconds) |
實時計費更新報文的發送間隔(單位為秒) |
|
Stop-accounting packets buffering |
RADIUS停止計費請求報文緩存功能的開啟情況 |
|
Retransmission times |
發起RADIUS停止計費請求的最大嚐試次數 |
|
NAS IP Address |
發送RADIUS報文的源IP地址或源接口 未配置時,顯示為Not configured |
|
User Name Format |
發送給RADIUS服務器的用戶名格式 · with-domain:攜帶域名 · without-domain:不攜帶域名 · keep-original:與用戶輸入保持一致 |
|
Data flow unit |
數據流的單位 |
|
Packet unit |
數據包的單位 |
|
Attribute 5 format |
(僅Release 6342及以上版本支持本字段)RADIUS Attribute 5的格式,包括以下兩種取值: · Port:表示使用端口號封裝 · Default:表示使用缺省格式封裝 |
|
Attribute 15 check-mode |
對RADIUS Attribute 15的檢查方式,包括以下兩種取值: · Strict:表示使用RADIUS標準屬性值和私有擴展的屬性值進行檢查 · Loose:表示使用RADIUS標準屬性值進行檢查 |
|
Attribute 25 |
對RADIUS Attribute 25的處理,包括以下兩種取值: · Standard:表示不對RADIUS Attribute 25進行解析 · CAR:表示將RADIUS 25號屬性解析為CAR參數 |
|
Attribute 87 format |
(僅Release 6342及以上版本支持本字段)RADIUS Attribute 87的格式,包括以下兩種取值: · Interface name:表示使用接口名稱封裝 · Default:表示使用缺省格式封裝 |
|
Attribute Remanent-Volume unit |
RADIUS Remanent-Volume屬性的流量單位 |
|
server-load-sharing |
RADIUS服務器負載分擔功能的開啟情況 · Disabled:關閉狀態,服務器工作於主/從模式 · Enabled:開啟狀態,服務器工作於負載分擔模式 |
|
Attribute 31 MAC format |
RADIUS Attribute 31中攜帶的MAC地址格式 |
|
Stop-accounting-packet send-force |
用戶下線時設備強製發送RADIUS計費停止報文功能的開啟情況 |
|
Reauthentication server selection |
(暫不支持)重認證時RADIUS服務器的選擇模式: · Inherit:繼承模式,即重認證時直接選擇認證時的認證服務器 · Reselect:重新選擇模式,即重認證時重新選擇認證服務器 |
display radius server-load statistics命令用來顯示RADIUS服務器的負載統計信息。
【命令】
display radius server-load statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
本命令用來顯示上一個5秒統計周期內設備發往RADIUS認證/計費服務器的認證/計費請求統計信息和自從設備啟動後記錄的曆史認證/計費請求統計信息,具體統計過程如下:
· 係統從第一個用戶認證請求開始,每隔5秒鍾統計一次RADIUS認證/計費請求數目,並在下一個5秒內提供該統計值供查看。
· 隻要設備發起一次用戶認證請求或用戶計費開始請求,對應服務器的曆史負載統計數值隨之加1,但後續不會因為用戶下線、服務器響應或超時而減小該值。
前5秒的統計信息提供了RADIUS認證/計費服務器最近5秒的負載分擔效果,管理員可以根據此統計信息調控RADIUS服務器的配置參數,比如配置順序、權重參數等。當沒有用戶觸發認證/計費時,前5秒的統計數據就不能給管理員提供有效的負載分擔信息了,此時管理員可以參考曆史負載統計信息對RADIUS認證/計費服務器的配置做調整。
需要注意的是:
· 所有RADIUS方案中,指定了IP地址的服務器,以及指定的主機名被成功解析為IP地址的服務器,都可以通過本命令查看到它的負載統計數據。
· 若RADIUS認證/計費服務器的配置被刪除,或主認證/計費服務器的VPN、IP和端口參數發生變化,則該服務器的前5秒的統計數據及曆史負載統計數據將會被刪除。
· 主備倒換後,曆史統計數據不會被刪除,但會不準確。
【舉例】
# 顯示RADIUS服務器的負載統計信息。
<Sysname> display radius server-load statistics
Authentication servers: 2
IP VPN Port Last 5 sec History
1.1.1.1 N/A 1812 20 100
2.2.2.2 ABC 1812 0 20
Accounting servers: 2
IP VPN Port Last 5 sec History
1.1.1.1 N/A 1813 20 100
2.2.2.2 ABC 1813 0 20
表1-5 display radius server-load statistics命令顯示信息描述表
|
字段 |
描述 |
|
Authentication servers |
RADIUS認證服務器總個數 |
|
Accounting servers |
RADIUS計費服務器總個數 |
|
IP |
RADIUS認證/計費服務器的IP地址 |
|
VPN |
RADIUS認證/計費服務器所在的VPN 若未配置該參數,則顯示N/A |
|
Port |
RADIUS認證/計費服務器的UDP端口號 |
|
Last 5 sec |
上一個5秒統計周期內發往RADIUS認證/計費服務器的請求數 |
|
History |
RADIUS認證/計費服務器的曆史負載統計值 |
【相關命令】
· reset radius server-load statistics
display radius statistics命令用來顯示RADIUS報文的統計信息。
【命令】
display radius statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示RADIUS報文的統計信息。
<Sysname> display radius statistics
Auth. Acct. SessCtrl.
Request Packet: 0 0 0
Retry Packet: 0 0 -
Timeout Packet: 0 0 -
Access Challenge: 0 - -
Account Start: - 0 -
Account Update: - 0 -
Account Stop: - 0 -
Terminate Request: - - 0
Set Policy: - - 0
Packet With Response: 0 0 0
Packet Without Response: 0 0 -
Access Rejects: 0 - -
Dropped Packet: 0 0 0
Check Failures: 0 0 0
表1-6 display radius statistics命令顯示信息描述表
|
字段 |
描述 |
|
Auth. |
認證報文 |
|
Acct. |
計費報文 |
|
SessCtrl. |
Session-control報文 |
|
Request Packet |
發送的請求報文總數 |
|
Retry Packet |
重傳的請求報文總數 |
|
Timeout Packet |
超時的請求報文總數 |
|
Access Challenge |
Access challenge報文數 |
|
Account Start |
計費開始報文的數目 |
|
Account Update |
計費更新報文的數目 |
|
Account Stop |
計費結束報文的數目 |
|
Terminate Request |
服務器強製下線報文的數目 |
|
Set Policy |
更新用戶授權信息報文的數目 |
|
Packet With Response |
有回應信息的報文數 |
|
Packet Without Response |
無回應信息的報文數 |
|
Access Rejects |
認證拒絕報文的數目 |
|
Dropped Packet |
丟棄的報文數 |
|
Check Failures |
報文校驗錯誤的報文數目 |
【相關命令】
· reset radius statistics
display stop-accounting-buffer命令用來顯示緩存的RADIUS停止計費請求報文的相關信息。
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
radius-scheme radius-scheme-name:表示指定RADIUS方案的停止計費請求報文。其中,radius-scheme-name為RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
session-id session-id:表示指定會話的停止計費請求報文。其中,session-id表示會話ID,為1~64個字符的字符串,不包含字母。會話ID用於唯一標識當前的在線用戶。
time-range start-time end-time:表示指定時間段內發送且被緩存的停止計費請求報文。其中,start-time為請求時間段的起始時間,end-time為請求時間段的結束時間,格式為hh:mm:ss-mm/dd/yyyy(時:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(時:分:秒-年/月/日)。
user-name user-name:表示指定用戶的停止計費請求報文。其中,user-name表示用戶名,為1~255個字符的字符串,區分大小寫。輸入的用戶名是否攜帶ISP域名,必須與RADIUS方案中的user-name-format配置保持一致。
【舉例】
# 顯示緩存的用戶名為abc的RADIUS停止計費請求報文的相關信息。
<Sysname> display stop-accounting-buffer user-name abc
Total entries: 2
Scheme Session ID Username First sending time Attempts
rad1 1000326232325010 abc 23:27:16-08/31/2015 19
aaa 1000326232326010 abc 23:33:01-08/31/2015 20
表1-7 display stop-accounting-buffer命令顯示信息描述表
|
Total entries: 2 |
共有兩條記錄匹配 |
|
Scheme |
RADIUS方案名 |
|
Session ID |
會話ID(Acct-Session-Id屬性值) |
|
Username |
用戶名 |
|
First sending time |
首次發送停止計費請求的時間 |
|
Attempts |
發起停止計費請求的次數 |
【相關命令】
· reset stop-accounting-buffer (for RADIUS)
· retry
· retry stop-accounting (for RADIUS)
· stop-accounting-buffer enable (RADIUS scheme view)
· user-name-format (RADIUS scheme view)
eap-profile命令用來創建EAP認證方案,並進入EAP認證方案視圖,如果指定的EAP認證方案已存在,則直接進入EAP認證方案視圖。
undo eap-profile命令用來刪除指定的EAP認證方案。
【命令】
eap-profile eap-profile-name
undo eap-profile eap-profile-name
【缺省情況】
不存在EAP認證方案。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
eap-profile-name:EAP認證方案的名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
EAP認證方案是一個EAP認證選項的配置集合,用於指定設備采用的EAP認證方法以及某些EAP認證方法需要引用的CA證書,並被RADIUS服務器探測模板所引用。
一個EAP認證方案可以同時被多個探測模板引用。
係統最多支持配置16個EAP認證方案。
【舉例】
# 創建名為eap1的EAP認證方案,並進入其視圖。
<Sysname> system-view
[Sysname] eap-profile eap1
[Sysname-eap-profile-eap1]
【相關命令】
· radius-server test-profile
exclude命令用來配置RADIUS報文中不能攜帶的屬性。
undo exclude命令用來取消在RADIUS報文中不能攜帶的屬性配置。
【命令】
exclude { accounting | authentication } name attribute-name
undo exclude { accounting | authentication } name attribute-name
【缺省情況】
未配置RADIUS報文中不能攜帶的屬性。
【視圖】
RADIUS屬性測試組視圖
【缺省用戶角色】
network-admin
【參數】
accounting:表示RADIUS計費請求報文。
authentication:表示RADIUS認證請求報文。
name attribute-name:RADIUS屬性名稱,為1~63個字符的字符串,不區分大小寫。這些屬性為RADIUS報文中缺省攜帶的屬性,具體包括:Service-Type、Framed-Protocol、NAS-Identifier、Acct-Delay-Time、Acct-Session-Id、Acct-Terminate-Cause和NAS-Port-Type,其中Service-Type、Framed-Protocol、NAS-Identifier,Acct-Session-Id和NAS-Port-Type為認證請求報文缺省攜帶的屬性,NAS-Identifier、Acct-Delay-Time、Acct-Session-Id和Acct-Terminate-Cause為計費請求報文缺省攜帶的屬性。
【使用指導】
通過本命令配置的RADIUS屬性將不會在屬性測試過程中被攜帶在相應的RADIUS請求報文中發送給RADIUS服務器。在實際測試過程中,可通過本命令排除掉RADIUS報文中攜帶的一些基礎屬性,來輔助排查認證/計費故障。
如果一個屬性已經被配置為需要攜帶在RADIUS報文中(通過include命令),則需要先執行undo include命令取消該配置,才能將其配置為不攜帶在RADIUS報文中。
【舉例】
# 在RADIUS屬性測試組t1中,配置在RADIUS認證請求報文中不攜帶屬性名稱為Service-Type的標準屬性。
<Sysname> system-view
[Sysname] radius attribute-test-group t1
[Sysname-radius-attr-test-grp-t1] exclude authentication name Service-Type
【相關命令】
· include
· test-aaa
include命令用來配置RADIUS報文中攜帶的屬性。
undo include命令用來取消指定的屬性配置。
【命令】
include { accounting | authentication } { name attribute-name | [ vendor vendor-id ] code attribute-code } type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string } value attribute-value
undo include { accounting | authentication} { name attribute-name | [ vendor vendor-id ] code attribute-code }
【缺省情況】
未配置RADIUS報文中攜帶的屬性。
【視圖】
RADIUS屬性測試組視圖
【缺省用戶角色】
network-admin
【參數】
accounting:表示RADIUS計費請求報文。
authentication:表示RADIUS認證請求報文。
name attribute-name:標準RADIUS屬性名稱,為1~63個字符的字符串,不區分大小寫。
vendor vendor-id:RADIUS屬性所屬的設備廠商標識。vendor-id為廠商標識號碼,取值範圍為1~65535。如果不指定該參數,則表示RADIUS屬性為標準屬性。
code attribute-code:RADIUS屬性編號,取值範圍為1~255。
type:屬性內容的數據類型,包括以下取值:
· binary:二進製類型。
· date:時間類型。
· integer:整數類型。
· interface-id:接口ID類型。
· ip:IPv4地址類型。
· ipv6:IPv6地址類型。
· ipv6-prefix:IPv6地址前綴類型。
· octets:八進製類型。
· string:字符串類型。
value attribute-value:RADIUS屬性值,取值與數據類型有關,具體如下:
· 二進製屬性值:1~256個十六進製字符,表示最多128個字節的二進製數。
· 時間類型屬性值:0~4294967295。
· 整數類型屬性值:0~4294967295。
· 接口ID類型屬性值:1~ffffffffffffffff。
· IPv6地址前綴類型屬性值:prefix/prefix-length樣式。
· 八進製屬性值:1~256個十六進製字符,表示最多128個字節的八進製數。
· 字符串類型屬性值:1~253個字符。
【使用指導】
可以通過本命令配置RADIUS報文中攜帶的屬性以及對應的屬性值,具體情況如下:
· 對於RADIUS報文中默認攜帶的屬性,可通過include命令來修改屬性取值,並可通過undo include命令將該屬性值恢複為缺省值。RADIUS報文中默認攜帶的能夠修改的屬性包括:
¡ 認證請求報文默認攜帶的屬性:User-Name、CHAP-Password(User-Password)、CHAP-Challenge、NAS-IP-Address(NAS-IPv6-Address)、Service-Type、Framed-Protocol、NAS-Identifier、NAS-Port-Type、Acct-Session-Id。
¡ 計費請求報文默認攜帶的屬性:User-Name、Acct-Status-Type、NAS-IP-Address(NAS-IPv6-Address)、NAS-Identifier、Acct-Session-Id、Acct-Delay-Time、Acct-Terminate-Cause。
· 對於並非RADIUS報文中默認攜帶的屬性,可通過include命令將其添加在RADIUS報文中,並可通過undo include命令將該屬性從RADIUS報文中刪除。
為了保證測試效果的準確性,請務必保證各屬性參數的匹配性,比如屬性值要匹配屬性類型。
保存在配置文件中的標準屬性的屬性名稱將被轉換為屬性編號的形式。
如果一個屬性已經被配置為不能攜帶在RADIUS報文中(通過exclude命令),則需要先執行undo exclude命令取消該配置,才能將其配置為攜帶在RADIUS報文中。
設備按照配置的先後順序在RADIUS報文中添加RADIUS屬性,由於RADIUS報文最大長度為4096個字節,如果配置了過多的RADIUS屬性,則在報文長度超過最大值後,部分屬性將不會被添加在報文中。因此,請合理規劃要添加的RADIUS報文屬性數目。
【舉例】
# 在RADIUS屬性測試組t1中,配置在RADIUS認證請求報文中攜帶一個標準屬性:名稱為Calling-Station-Id,屬性值為08-00-27-00-34-D8。
<Sysname> system-view
[Sysname] radius attribute-test-group t1
[Sysname-radius-attr-test-grp-t1] include authentication name Calling-Station-Id type string value 08-00-27-00-34-d8
【相關命令】
· exclude
· test-aaa
key命令用來配置RADIUS報文的共享密鑰。
undo key命令用來刪除RADIUS報文的共享密鑰。
【命令】
key { accounting | authentication } { cipher | simple } string
undo key { accounting | authentication }
【缺省情況】
未配置RADIUS報文的共享密鑰。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
accounting:指定RADIUS計費報文的共享密鑰。
authentication:指定RADIUS認證報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。FIPS模式下,明文密鑰為15~64個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~117個字符的字符串。
【使用指導】
設備優先采用配置RADIUS認證/計費服務器時指定的報文共享密鑰,本配置中指定的報文共享密鑰僅在配置RADIUS認證/計費服務器時未指定相應密鑰的情況下使用。
必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。
【舉例】
# 在RADIUS方案radius1中,配置計費報文的共享密鑰為明文ok。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting simple ok
【相關命令】
· display radius scheme
method命令用來配置EAP認證方法。
undo method命令用來恢複缺省情況。
【命令】
method { md5 | peap-gtc | peap-mschapv2 | ttls-gtc | ttls-mschapv2 }
undo method
【缺省情況】
采用的EAP認證方法為MD5-Challenge。
【視圖】
EAP認證方案視圖
【缺省用戶角色】
network-admin
【參數】
md5:表示采用的認證方法為MD5-Challenge。
peap-gtc:表示采用的認證方法為PEAP-GTC。
peap-mschapv2:表示采用的認證方法為PEAP-MSCHAPv2。
ttls-gtc:表示采用的認證方法為TTLS-GTC。
ttls-mschapv2:表示采用的認證方法為TTLS-MSCHAPv2。
【使用指導】
配置的EAP認證方法必須和所探測的RADIUS服務器支持的EAP認證方法一致。
一個EAP認證方案視圖中隻能指定一個EAP認證方法,後配置的生效。
修改後的配置,將在下一個探測周期中生效。
【舉例】
# 在EAP認證方案eap1中,配置認證方法為PEAP-GTC。
<Sysname> system-view
[Sysname] eap-profile eap1
[Sysname-eap-profile-eap1] method peap-gtc
nas-ip命令用來設置設備發送RADIUS報文使用的源IP地址。
undo nas-ip命令用來刪除指定類型的發送RADIUS報文使用的源IP地址。
【命令】
nas-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }
undo nas-ip [ interface | ipv6 ]
【缺省情況】
未指定設備發送RADIUS報文使用的源IP地址,使用係統視圖下由命令radius nas-ip指定的源IP地址。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定源接口,即發送RADIUS報文的源IPv4地址為該接口的主IPv4地址,發送RADIUS報文的源IPv6地址為該接口上配置的IPv6地址。interface-type interface-number為接口類型和接口編號。
ipv4-address:指定的源IPv4地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
【使用指導】
RADIUS服務器上通過IP地址來標識接入設備,並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。因此,為保證RADIUS報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
為避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址為發送RADIUS報文使用的源IP地址。
RADIUS方案視圖和係統視圖下均可以配置發送RADIUS報文使用的源IP地址,具體生效情況如下:
· RADIUS方案視圖下配置的源IP地址(通過nas-ip命令)隻對本方案有效。
· 係統視圖下的配置的源IP地址(通過radius nas-ip命令)對所有RADIUS方案有效。
· RADIUS方案視圖下的設置具有更高的優先級。
一個RADIUS方案視圖下:
· 最多允許指定一個IPv4源地址和一個IPv6源地址。
· 最多允許指定一個源接口,請確保指定的源接口與RADIUS服務器路由可達。
· 源接口配置和源IP地址配置不能同時存在,後配置的生效。
如果undo nas-ip命令中不指定任何參數,則表示刪除配置的發送RADIUS報文使用的源IPv4地址。
【舉例】
# 在RADIUS方案radius1中,設置設備發送RADIUS報文使用的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 10.1.1.1
【相關命令】
· display radius scheme
· radius nas-ip
port命令用來指定RADIUS DAE服務端口。
undo port命令用來恢複缺省情況。
【命令】
port port-number
undo port
【缺省情況】
RADIUS DAE服務端口為3799。
【視圖】
RADIUS DAE服務器視圖
【缺省用戶角色】
network-admin
【參數】
port-number:DAE服務器接收DAE請求消息的UDP端口,取值範圍為1~65535。
【使用指導】
必須保證設備上的RADIUS DAE服務端口與RADIUS DAE客戶端發送DAE報文的目的UDP端口一致。
【舉例】
# 開啟RADIUS DAE服務後,指定DAE服務端口為3790。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] port 3790
【相關命令】
· client
· radius dynamic-author server
primary accounting命令用來配置主RADIUS計費服務器。
undo primary accounting命令用來恢複缺省情況。
【命令】
primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *
undo primary accounting
【缺省情況】
未配置主RADIUS計費服務器。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:主RADIUS計費服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:主RADIUS計費服務器的IPv4地址。
ipv6 ipv6-address:主RADIUS計費服務器的IPv6地址。
port-number:主RADIUS計費服務器的UDP端口號,取值範圍為1~65535,缺省值為1813。
key:與主RADIUS計費服務器交互的計費報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。FIPS模式下,明文密鑰為15~64個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~117個字符的字符串。
vpn-instance vpn-instance-name:主RADIUS計費服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示主RADIUS計費服務器位於公網中。
weight weight-value:RADIUS服務器負載分擔的權重。weight-value表示權重值,取值範圍為0~100,缺省值為0。0表示該服務器在負載分擔調度時將不被使用。開啟服務器負載分擔功能後,該參數才能生效,且權重值越大的服務器可以處理的計費請求報文越多。
【使用指導】
配置的主計費服務器的UDP端口號以及計費報文的共享密鑰必須與服務器的配置保持一致。
在同一個方案中指定的主計費服務器和從計費服務器的VPN、主機名、IP地址、端口號不能完全相同。
設備與主計費服務器通信時優先使用本命令設置的共享密鑰,如果此處未設置,則使用key accounting命令設置的共享密鑰。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。
當RADIUS服務器負載分擔功能處於關閉狀態時,如果在計費開始請求報文發送過程中修改或刪除了正在使用的主計費服務器配置,則設備在與當前服務器通信超時後,將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信;當RADIUS服務器負載分擔功能處於開啟狀態時,設備將僅與發起計費開始請求的服務器通信。
如果在線用戶正在使用的計費服務器被刪除,則設備將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地,這將造成對用戶計費的不準確。
【舉例】
# 在RADIUS方案radius1中,配置主計費服務器的IP地址為10.110.1.2,使用UDP端口1813提供RADIUS計費服務,計費報文的共享密鑰為明文123456TESTacct&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!
【相關命令】
· display radius scheme
· key (RADIUS scheme view)
· secondary accounting (RADIUS scheme view)
· server-load-sharing enable
· vpn-instance (RADIUS scheme view)
primary authentication命令用來配置主RADIUS認證服務器。
undo primary authentication命令用來恢複缺省情況。
【命令】
primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *
undo primary authentication
【缺省情況】
未配置RADIUS主認證服務器。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:主RADIUS認證服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:主RADIUS認證服務器的IPv4地址。
ipv6 ipv6-address:主RADIUS認證服務器的IPv6地址。
port-number:主RADIUS認證服務器的UDP端口號,取值範圍為1~65535,缺省值為1812。此端口號必須與服務器提供認證服務的端口號保持一致。
key:與主RADIUS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。FIPS模式下,明文密鑰為15~64個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~117個字符的字符串。
test-profile profile-name:RADIUS服務器探測模板名稱,為1~31個字符的字符串,區分大小寫。
vpn-instance vpn-instance-name:主RADIUS認證服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示主RADIUS認證服務器位於公網中。
weight weight-value:RADIUS服務器負載分擔的權重。weight-value表示權重值,取值範圍為0~100,缺省值為0。0表示該服務器在負載分擔調度時將不被使用。開啟服務器負載分擔功能後,該參數才能生效,且權重值越大的服務器可以處理的認證請求報文越多。
【使用指導】
配置的主認證服務器的UDP端口號以及認證報文的共享密鑰必須與服務器的配置保持一致。
在同一個方案中指定的主認證服務器和從認證服務器的VPN、主機名、IP地址、端口號不能完全相同。
設備與主認證服務器通信時優先使用本命令設置的共享密鑰,如果本命令中未設置,則使用key authenticaiton命令設置的共享密鑰。
RADIUS認證服務器引用了存在的服務器探測模板後,將會觸發對該服務器的探測功能。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN比RADIUS方案所屬的VPN優先級高。
當RADIUS服務器負載分擔功能處於關閉狀態時,如果在認證過程中修改或刪除了正在使用的主認證服務器配置,則設備在與當前服務器通信超時後,將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信;當RADIUS服務器負載分擔功能處於開啟狀態時,如果在認證過程中修改或刪除了正在使用的認證服務器配置,則設備在與當前服務器通信超時後,將會根據各服務器的權重以及服務器承載的用戶負荷重新選擇狀態為active的服務器進行通信。
【舉例】
# 在RADIUS方案radius1中,配置主認證服務器的IP地址為10.110.1.1,使用UDP端口1812提供RADIUS認證/授權服務,認證報文的共享密鑰為明文123456TESTauth&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!
【相關命令】
· display radius scheme
· key (RADIUS scheme view)
· radius-server test-profile
· secondary authentication (RADIUS scheme view)
· server-load-sharing enable
· vpn-instance (RADIUS scheme view)
radius attribute extended命令用來定義RADIUS擴展屬性。
undo radius attribute extended命令用來刪除定義的RADIUS擴展屬性。
【命令】
radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }
undo radius attribute extended [ attribute-name ]
【缺省情況】
不存在自定義RADIUS擴展屬性。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
attribute-name:RADIUS屬性名稱,為1~63個字符的字符串,不區分大小寫。該名稱不能與係統已支持的(包括標準的以及自定義的)RADIUS屬性名稱相同。
vendor vendor-id:RADIUS屬性所屬的設備廠商標識。vendor-id為廠商標識號碼,取值範圍為1~65535。如果不指定該參數,則表示RADIUS屬性為標準屬性。
code attribute-code:RADIUS屬性在RADIUS屬性集裏的序號,取值範圍為1~255。
type:屬性內容的數據類型,包括以下取值:
· binary:二進製類型。
· date:時間類型。
· integer:整數類型。
· interface-id:接口ID類型。
· ip:IPv4地址類型。
· ipv6:IPv6地址類型。
· ipv6-prefix:IPv6地址前綴類型。
· octets:八進製類型。
· string:字符串類型。
【使用指導】
當係統需要支持其他廠商的私有RADIUS屬性時,可以通過radius attribute extended命令為其定義為一個擴展屬性,並通過attribute convert命令將其映射到係統可以識別的一個已知屬性。這樣,當RADIUS服務器發送給設備的RADIUS報文中攜帶了此類不可識別的私有屬性時,設備將根據已定義的屬性轉換規則將其轉換為可處理的屬性。同理,設備在發送RADIUS報文時也可以將自己可識別的屬性轉換為服務器能識別的屬性。
每一個RADIUS屬性有唯一的屬性名稱,且該屬性的名稱、設備廠商標識以及序號的組合必須在設備上唯一。
執行undo radius attribute extended命令時,如果不指定屬性名稱,則表示刪除所有已定義RADIUS擴展屬性。
【舉例】
# 配置一個RADIUS擴展屬性,名稱為Owner-Password,Vendor ID為122,屬性序號為80,類型為字符串。
<Sysname> system-view
[Sysname] radius attribute extended Owner-Password vendor 122 code 80 type string
【相關命令】
· attribute convert
· attribute reject
· attribute translate
radius attribute-test-group命令用來創建RADIUS屬性測試組,並進入RADIUS屬性測試組視圖。如果指定的RADIUS屬性測試組視圖已經存在,則直接進入RADIUS屬性測試組視圖。
undo radius attribute-test-group命令用來刪除指定的RADIUS屬性測試組。
【命令】
radius attribute-test-group attr-test-group-name
undo radius attribute-test-group attr-test-group-name
【缺省情況】
不存在RADIUS屬性測試組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
attr-test-group-name:測試組名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
RADIUS屬性測試組用於配置向RADIUS服務器發送的認證/計費請求報文中需要攜帶的RADIUS屬性的集合。
係統支持配置多個RADIUS屬性測試組。
【舉例】
# 創建名稱為t1的RADIUS屬性測試組,並進入該視圖。
<Sysname> system-view
[Sysname] radius attribute-test-group t1
[Sysname-radius-attr-test-grp-t1]
【相關命令】
· exclude
· include
· test-aaa
radius dscp命令用來配置RADIUS協議報文的DSCP優先級。
undo radius dscp命令用來恢複缺省情況。
【命令】
radius [ ipv6 ] dscp dscp-value
undo radius [ ipv6 ] dscp
【缺省情況】
RADIUS報文的DSCP優先級為0。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ipv6:表示設置IPv6 RADIUS報文。若不指定該參數,則表示設置IPv4 RADIUS報文。
dscp-value:RADIUS報文的DSCP優先級,取值範圍為0~63。取值越大,優先級越高。
【使用指導】
DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本命令可以指定設備發送的RADIUS報文攜帶的DSCP優先級的取值。
【舉例】
# 配置IPv4 RADIUS報文的DSCP優先級為10。
<Sysname> system-view
[Sysname] radius dscp 10
radius dynamic-author server命令用來開啟RADIUS DAE服務,並進入RADIUS DAE服務器視圖。
undo radius dynamic-author server命令用來關閉RADIUS DAE服務。
【命令】
radius dynamic-author server
undo radius dynamic-author server
【缺省情況】
RADIUS DAE服務處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟RADIUS DAE服務後,設備將會監聽指定的RADIUS DAE客戶端發送的DAE請求消息,然後根據請求消息修改用戶授權信息、斷開用戶連接請求、關閉/重啟用戶接入端口或重認證用戶。
【舉例】
# 開啟RADIUS DAE服務,並進入RADIUS DAE服務器視圖。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server]
【相關命令】
· client
· port
radius enable命令用來開啟RADIUS協議功能。
undo radius enable命令用來關閉RADIUS協議功能。
【命令】
radius enable
undo radius enable
【缺省情況】
RADIUS協議功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟RADIUS協議功能後,設備可以接收和發送RADIUS報文。
由於攻擊者可能會通過RADIUS的session control報文監聽端口或RADIUS DAE服務端口向設備發起網絡攻擊,因此設備管理員可以通過臨時關閉RADIUS協議功能來阻止攻擊,並在網絡環境恢複安全後,再重新打開RADIUS協議功能。另外,如果服務器需要調整配置或暫時不提供服務,則可以通過關閉設備上的RADIUS協議功能來協助完成此過程。
關閉RADIUS協議功能後,設備將停止接收和發送RADIUS報文,具體處理機製如下:
若有新用戶上線,則根據配置的備份方案進行認證、授權和計費處理。
· 若已經為用戶發送了RADIUS認證請求報文:
¡ 如果收到RADIUS服務器的響應報文,則根據響應完成認證和授權。
¡ 如果未收到RADIUS服務器響應報文,則根據配置的備份方案進行認證處理。
· 若已經為用戶發送了RADIUS計費開始請求報文:
¡ 如果收到RADIUS服務器的響應報文,則用戶上線,但後續計費更新和計費結束請求報文無法發出,也不能被緩存下來嚐試繼續發送。RADIUS服務器因為收不到在線用戶的下線報文,會出現有一段時間用戶已經下線,但RADIUS服務器上還有此用戶的情況。另外,已緩存的計費報文也將從緩存中被刪除。計費報文的發送失敗,都會直接影響用戶計費信息的準確性。
¡ 如果未收到RADIUS服務器的響應報文,則根據配置的備份方案進行處理。
關閉RADIUS協議功能對設備的RADIUS服務器功能沒有影響。
關閉RADIUS協議功能後,若再重新開啟RADIUS協議功能,已經使用其它方案進行的認證、授權或計費過程並不會切換為RADIUS方案來執行。
【舉例】
# 開啟RADIUS協議功能。
<Sysname> system-view
[Sysname] radius enable
radius nas-ip命令用來設置設備發送RADIUS報文使用的源IP地址。
undo radius nas-ip命令用來刪除指定的發送RADIUS報文使用的源IP地址。
【命令】
radius nas-ip { interface interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo radius nas-ip { interface | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
【缺省情況】
未指定發送RADIUS報文使用的源IP地址,設備將使用到達RADIUS服務器的路由出接口的主IPv4地址或IPv6地址作為發送RADIUS報文的源IP地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定源接口,即發送RADIUS報文的源IPv4地址為該接口的主IPv4地址,發送RADIUS報文的源IPv6地址為該接口上配置的IPv6地址。interface-type interface-number為接口類型和接口編號。
ipv4-address:指定的源IPv4地址,應該為本機的地址,不能為全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
vpn-instance vpn-instance-name:指定私網源IP地址所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若不指定該參數,則表示配置的是公網源地址。
【使用指導】
RADIUS服務器上通過IP地址來標識接入設備,並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。為保證RADIUS報文可被服務器正常接收並處理,接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。
為避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址為發送RADIUS報文使用的源IP地址。
RADIUS方案視圖和係統視圖下均可以配置發送RADIUS報文使用的源IP地址,具體情況如下:
· RADIUS方案視圖下配置的源IP地址(通過nas-ip命令)隻對本RADIUS方案有效。
· 係統視圖下的配置的源IP地址(通過radius nas-ip命令)對所有RADIUS方案有效。
· RADIUS方案視圖下的設置具有更高的優先級。
係統視圖下最多允許指定16個源地址。其中,最多包括一個IPv4公網源地址和一個IPv6公網源地址,其餘為私網源地址。對於同一個VPN,係統視圖下最多允許指定一個IPv4私網源地址和一個IPv6私網源地址。
係統視圖下,最多允許指定一個源接口,請確保指定的源接口與RADIUS服務器路由可達。
源接口配置和源IP地址配置不能同時存在,後配置的生效。
【舉例】
# 設置設備發送RADIUS報文使用的源IP地址為129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【相關命令】
· nas-ip (RADIUS scheme view)
radius scheme命令用來創建RADIUS方案,並進入RADIUS方案視圖。如果指定的RADIUS方案已經存在,則直接進入RADIUS方案視圖。
undo radius scheme命令用來刪除指定的RADIUS方案。
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【缺省情況】
不存在RADIUS方案。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
radius-scheme-name:RADIUS方案的名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
一個RADIUS方案可以同時被多個ISP域引用。
係統最多支持配置16個RADIUS方案。
【舉例】
# 創建名為radius1的RADIUS方案並進入其視圖。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【相關命令】
· display radius scheme
radius session-control client命令用來指定session control客戶端。
undo radius session-control client命令用來刪除指定的session control客戶端。
【命令】
radius session-control client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo radius session-control client { all | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
【缺省情況】
未指定session control客戶端。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:session control客戶端的IPv4地址。
ipv6 ipv6-address:session control客戶端的IPv6地址。
key:與session control客戶端交互的計費報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。FIPS模式下,明文密鑰為15~64個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~117個字符的字符串。
vpn-instance vpn-instance-name:session control客戶端所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果不指定本參數,則表示session control客戶端屬於公網。
all:表示所有session control客戶端。
【使用指導】
設備和H3C的iMC RADIUS服務器配合使用時,將作為session control服務器端與其交互,因此需要指定session control客戶端來驗證收到的session control報文的合法性。當設備收到服務器發送的session control報文時,直接根據報文的源IP地址、VPN屬性與已有的session control客戶端配置進行匹配,並使用匹配到的客戶端共享密鑰對報文進行驗證。如果報文匹配失敗或設備上未配置session control客戶端,則使用已有的RADIUS方案配置進行匹配,並使用匹配到的認證服務器的共享密鑰對報文進行驗證。
指定的session control客戶端僅在RADIUS session control功能處於開啟狀態時生效。
配置的session control客戶端參數必須與服務器的配置保持一致。
係統支持指定多個session control客戶端。
【舉例】
# 指定一個session control客戶端IP地址為10.110.1.2,共享密鑰為明文12345。
<Sysname> system-view
[Sysname] radius session-control client ip 10.110.1.2 key simple 12345
【相關命令】
· radius session-control enable
radius session-control enable命令用來開啟RADIUS session control功能。
undo radius session-control enable命令用來關閉RADIUS session control功能。
【命令】
radius session-control enable
undo radius session-control enable
【缺省情況】
RADIUS session control功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
H3C iMC RADIUS服務器使用session control報文向設備發送授權信息(例如授權ACL/VLAN/用戶組)的動態修改請求以及斷開連接請求。開啟RADIUS session control功能後,設備會打開知名UDP端口1812來監聽並接收RADIUS服務器發送的session control報文。
該功能僅能和H3C iMC的RADIUS服務器配合使用。
設備作為接入NAS的EAD部署場景中,若需要通過iMC服務器下發安全ACL,請在設備上開啟RADIUS session control功能,否則相關安全ACL無法生效。
【舉例】
# 開啟RADIUS session control功能。
<Sysname> system-view
[Sysname] radius session-control enable
radius-server test-profile命令用來配置RADIUS服務器探測模板。
undo radius-server test-profile命令用來刪除指定的RADIUS服務器探測模板。
【命令】
radius-server test-profile profile-name username name [ password { cipher | simple } string ] [ interval interval ] [ eap-profile eap-profile-name ]
undo radius-server test-profile profile-name
【缺省情況】
不存在RADIUS服務器探測模板。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
profile-name:探測模板名稱,為1~31個字符的字符串,區分大小寫。
username name:探測報文中的用戶名,為1~253個字符的字符串,區分大小寫。
password:探測報文中的用戶密碼。若不指定該參數,則表示探測報文中攜帶的用戶密碼為設備生成的隨機密碼。為避免攜帶隨機密碼的探測報文被RADIUS服務器判定為攻擊報文,建議指定用戶密碼。
cipher:以密文方式設置用戶密碼。
simple:以明文方式設置用戶密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~63個字符的字符串;密文密碼為1~117個字符的字符串。
interval interval:發送探測報文的周期,取值範圍為1~3600,單位為分鍾,缺省值為60。
eap-profile eap-profile-name:引用的EAP認證方案的名稱,為1~32個字符的字符串,區分大小寫。
【使用指導】
RADIUS方案視圖下的RADIUS服務器配置成功引用了某探測模板後,若被引用的探測模板存在,則設備將會啟動對該RADIUS服務器的可達性探測。若被引用的探測模板暫不存在,則當該探測模板被成功配置時,針對該服務器的探測過程才會開始。
目前,設備支持兩種探測方式:
· 若探測模板中未引用EAP認證方案,則表示采用簡單探測方式。該方式下,設備采用探測模板中配置的探測用戶名、密碼構造一個認證請求報文,並在探測周期內選擇隨機時間點向引用了探測模板的RADIUS服務器發送該報文。如果在本次探測周期內收到服務器的認證響應報文,則認為當前探測周期內該服務器可達。
· 若探測模板中引用了EAP認證方案,則表示采用EAP探測方式。該方式下,設備采用指定的EAP認證方案中配置的EAP認證方法啟動服務器探測。在探測過程中,設備會在配置的探測周期超時後使用探測模板中配置的探測用戶名和密碼,模擬一個合法EAP認證用戶向引用了該探測模板的RADIUS服務器發起一次EAP認證,如果在探測超時時間內(不可配)該次認證成功完成,則認為當前探測周期內該服務器可用。
EAP探測方式相較於簡單探測方式,由於探測過程還原了完整的認證過程,更能保證RADIUS服務器探測結果的可靠性。建議在接入用戶使用EAP認證方法的組網環境中,使用該方式的服務器探測功能。
若探測模板中引用的EAP認證方案不存在,則設備會暫時采用簡單探測方式發起探測。當引用的EAP認證方案配置成功後,下一個探測周期將使用EAP方式發起探測。
刪除一個RADIUS服務器探測模板時,引用該探測模板的所有RADIUS方案中的RADIUS服務器的探測功能也會被關閉。
係統支持配置多個RADIUS服務器探測模板。
【舉例】
# 配置RADIUS服務器探測模板abc,探測報文中攜帶的用戶名為admin,密碼為明文abc123,探測報文的發送間隔為10分鍾。
<Sysname> system-view
[Sysname] radius-server test-profile abc username admin password simple abc123 interval 10
【相關命令】
· eap-profile
· primary authentication (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
reset radius server-load statistics命令用來清除所有RADIUS服務器的曆史負載統計信息。
【命令】
reset radius server-load statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【使用指導】
該命令隻會清除所有RADIUS認證/計費服務器的曆史負載統計數據,不會清除前5秒鍾負載統計數據。
【舉例】
# 清除所有RADIUS服務器上的曆史負載統計信息。
<Sysname> reset radius server-load statistics
【相關命令】
· display radius server-load statistics
reset radius statistics命令用來清除RADIUS協議的統計信息。
【命令】
reset radius statistics
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【舉例】
# 清除RADIUS協議的統計信息。
<Sysname> reset radius statistics
【相關命令】
· display radius statistics
reset stop-accounting-buffer命令用來清除緩存的RADIUS停止計費請求報文。
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
radius-scheme radius-scheme-name:表示指定RADIUS方案的停止計費響應報文。其中,radius-scheme-name為RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
session-id session-id:表示指定會話的停止計費響應報文。其中,session-id表示會話ID,為1~64個字符的字符串,不包含字母。會話ID用於唯一標識當前的在線用戶。
time-range start-time end-time:表示指定時間段內發送且被緩存的停止計費請求報文。其中,start-time為請求時間段的起始時間;end-time為請求時間段的結束時間,格式為hh:mm:ss-mm/dd/yyyy(時:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(時:分:秒-年/月/日)。
user-name user-name:表示指定用戶名的停止計費響應報文。其中,user-name表示用戶名,為1~255個字符的字符串,區分大小寫。輸入的用戶名是否攜帶ISP域名,必須與RADIUS方案中配置的發送給RADIUS服務器的用戶名格式保持一致。
【舉例】
# 清除緩存的用戶user0001@test的RADIUS停止計費請求報文。
<Sysname> reset stop-accounting-buffer user-name user0001@test
# 清除從2015年8月31日0點0分0秒到2015年8月31日23點59分59秒期間內緩存的停止計費請求報文。
<Sysname> reset stop-accounting-buffer time-range 00:00:00-08/31/2015 23:59:59-08/31/2015
【相關命令】
· display stop-accounting-buffer (for RADIUS)
· stop-accounting-buffer enable (RADIUS scheme view)
retry命令用來設置發送RADIUS報文的最大嚐試次數。
undo retry命令用來恢複缺省情況。
【命令】
retry retries
undo retry
【缺省情況】
發送RADIUS報文的最大嚐試次數為3次。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
retries:發送RADIUS報文的最大嚐試次數,取值範圍為1~20。
【使用指導】
由於RADIUS協議采用UDP報文來承載數據,因此其通信過程是不可靠的。如果設備在應答超時定時器規定的時長內(由timer response-timeout命令配置)沒有收到RADIUS服務器的響應,則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數已達到最大傳送次數而RADIUS服務器仍舊沒有響應,則設備將認為本次請求失敗。
需要注意的是:
· 發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間以及配置的RADIUS服務器總數,三者的乘積不能超過接入模塊定義的用戶認證超時時間,否則在RADIUS認證過程完成之前用戶就有可能被強製下線。
· 設備在按照配置順序嚐試與下一個RADIUS服務器通信之前,會首先判斷當前累計嚐試持續時間是否達到或超過300秒,如果超過或達到300秒,將不再向下一個RADIUS服務器發送RADIUS請求報文,即認為該RADIUS請求發送失敗。因此,為了避免某些已部署的RADIUS服務器由於此超時機製而無法被使用到,建議基於配置的RADIUS服務器總數,合理設置發送RADIUS報文的最大嚐試次數以及RADIUS服務器響應超時時間。
【舉例】
# 在RADIUS方案radius1中,設置發送RADIUS報文的最大嚐試次數為5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【相關命令】
· radius scheme
· timer response-timeout (RADIUS scheme view)
retry realtime-accounting命令用來設置允許發起實時計費請求的最大嚐試次數。
undo retry realtime-accounting命令用來恢複缺省情況。
【命令】
retry realtime-accounting retries
undo retry realtime-accounting
【缺省情況】
設備允許發起實時計費請求的最大嚐試次數為5。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
retries:允許發起實時計費請求的最大嚐試次數,取值範圍為1~255。
【使用指導】
RADIUS服務器通常通過連接超時定時器來判斷用戶是否在線。如果RADIUS服務器在連接超時時間之內一直收不到設備傳來的實時計費報文,它會認為線路或設備故障並停止對用戶記帳。為了配合RADIUS服務器的這種特性,有必要在不可預見的故障條件下,盡量保持設備端與RADIUS服務器同步切斷用戶連接。設備提供對實時計費請求連續無響應次數限製的設置,保證設備盡可能得在RADIUS服務器的連接超時時長內向RADIUS服務器嚐試發出實時計費請求。如果設備沒有收到響應的次數超過了設定的限度,才會切斷用戶連接。
假設RADIUS服務器的應答超時時長(timer response-timeout命令設置)為3秒,發送RADIUS報文的最大嚐試次數(retry命令設置)為3,設備的實時計費間隔(timer realtime-accounting命令設置)為12分鍾,設備允許實時計費無響應的最大次數為5次(retry realtime-accounting命令設置),則其含義為:設備每隔12分鍾發起一次計費請求,如果3秒鍾得不到回應就重新發起一次請求,如果3次發送都沒有得到回應就認為該次實時計費失敗,然後每隔12分鍾再發送一次,5次均失敗以後,設備將切斷用戶連接。
【舉例】
# 在RADIUS方案radius1中,設置允許發起實時計費請求的最大嚐試次數為10。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
【相關命令】
· retry
· timer realtime-accounting (RADIUS scheme view)
· timer response-timeout (RADIUS scheme view)
retry stop-accounting命令用來設置發起RADIUS停止計費請求的最大嚐試次數。
undo retry stop-accounting命令用來恢複缺省情況。
【命令】
retry stop-accounting retries
undo retry stop-accounting
【缺省情況】
發起RADIUS停止計費請求的最大嚐試次數為500。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
retries:允許停止計費請求無響應的最大次數,取值範圍為10~65535。
【使用指導】
設備通過發起RADIUS停止計費請求的最大嚐試次數與其它相關參數一起控製停止計費請求報文的發送。假設存在如下配置:
· RADIUS服務器的應答超時時長(由timer response-timeout命令設置)為3秒;
· 發送RADIUS報文的最大嚐試次數(由retry命令設置)為5;
· 開啟了對無響應的RADIUS停止計費請求報文的緩存功能;
· 設備發起停止計費請求的最大嚐試次數為20(由retry stop-accounting命令設置)。
則,如果設備發送停止計費請求報文後的3秒內得不到服務器響應就重新發送該報文。如果設備發送5次之後仍然沒有得到響應,會將該報文緩存在本機上,然後再發起一輪停止計費請求。20次請求嚐試均失敗以後,設備將緩存的報文丟棄。
【舉例】
# 在RADIUS方案radius1中,設置發起RADIUS停止計費請求的最大嚐試次數為1000。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry stop-accounting 1000
【相關命令】
· display stop-accounting-buffer (for RADIUS)
· retry
· timer response-timeout (RADIUS scheme view)
secondary accounting命令用來配置從RADIUS計費服務器。
undo secondary accounting命令用來刪除指定的從RADIUS計費服務器。
【命令】
secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *
undo secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情況】
未配置從RADIUS計費服務器。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:從RADIUS計費服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:從RADIUS計費服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS計費服務器的IPv6地址。
port-number:從RADIUS計費服務器的UDP端口號,取值範圍為1~65535,缺省值為1813。
key:與從RADIUS計費服務器交互的計費報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。FIPS模式下,明文密鑰為15~64個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~117個字符的字符串。
vpn-instance vpn-instance-name:從RADIUS計費服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從RADIUS計費服務器位於公網中。
weight weight-value:RADIUS服務器負載分擔的權重。weight-value表示權重值,取值範圍為0~100,缺省值為0。0表示該服務器在負載分擔調度時將不被使用。開啟服務器負載分擔功能後,該參數才能生效,且權重值越大的服務器可以處理的計費請求報文越多。
【使用指導】
配置的從計費服務器的UDP端口號以及計費報文的共享密鑰必須與服務器的配置保持一致。
每個RADIUS方案中最多支持配置16個從RADIUS計費服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
在同一個方案中指定的主計費服務器和從計費服務器的VPN、主機名、IP地址、端口號不能完全相同,並且各從計費服務器的VPN、主機名、IP地址、端口號也不能完全相同。
設備與從計費服務器通信時優先使用本命令設置的共享密鑰,如果此處未設置,則使用命令key accounting命令設置的共享密鑰。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN比RADIUS方案所屬的VPN優先級高。
當RADIUS服務器負載分擔功能處於關閉狀態時,如果在計費開始請求報文發送過程中刪除了正在使用的從服務器配置,則設備在與當前服務器通信超時後,將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信;在RADIUS服務器負載分擔功能處於開啟狀態時,設備將僅與發起計費開始請求的服務器通信。
如果在線用戶正在使用的計費服務器被刪除,則設備將無法發送用戶的實時計費請求和停止計費請求,且停止計費報文不會被緩存到本地。
【舉例】
# 在RADIUS方案radius1中,配置從計費服務器的IP地址為10.110.1.1,使用UDP端口1813提供RADIUS計費服務。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
# 在RADIUS方案radius2中,配置兩個從計費服務器,IP地址分別為10.110.1.1、10.110.1.2,且均使用UDP端口1813提供RADIUS計費服務。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813
[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813
【相關命令】
· display radius scheme
· key (RADIUS scheme view)
· primary accounting
· vpn-instance (RADIUS scheme view)
secondary authentication命令用來配置從RADIUS認證服務器。
undo secondary authentication命令用來刪除指定的從RADIUS認證服務器。
【命令】
secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *
undo secondary authentication [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情況】
未配置從RADIUS認證服務器。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:從RADIUS認證服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:從RADIUS認證服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS認證服務器的IPv6地址。
port-number:從RADIUS認證服務器的UDP端口號,取值範圍為1~65535,缺省值為1812。
key:與從RADIUS認證服務器交互的認證報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。FIPS模式下,明文密鑰為15~64個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~117個字符的字符串。
test-profile profile-name:RADIUS服務器探測模板名稱,為1~31個字符的字符串,區分大小寫。
vpn-instance vpn-instance-name:從RADIUS認證服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從RADIUS認證服務器位於公網中。
weight weight-value:RADIUS服務器負載分擔的權重。weight-value表示權重值,取值範圍為0~100,缺省值為0。0表示該服務器在負載分擔調度時將不被使用。開啟服務器負載分擔功能後,該參數才能生效,且權重值越大的服務器可以處理的認證請求報文越多。
【使用指導】
配置的從認證服務器的UDP端口號以及認證報文的共享密鑰必須與服務器的配置保持一致。
每個RADIUS方案中最多支持配置16個從RADIUS認證服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
RADIUS認證服務器引用了存在的服務器探測模板後,將會觸發對該服務器的探測功能。
在同一個方案中指定的主認證服務器和從認證服務器的VPN、主機名、IP地址、端口號不能完全相同,並且各從認證服務器的VPN、主機名、IP地址、端口號也不能完全相同。
設備與從認證服務器通信時優先使用本命令設置的共享密鑰,如果此處未設置,則使用命令key authentication命令設置的共享密鑰。
若服務器位於MPLS VPN私網中,為保證RADIUS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN比RADIUS方案所屬的VPN優先級高。
當RADIUS服務器負載分擔功能處於關閉狀態時,如果在認證過程中刪除了正在使用的從服務器配置,則設備在與當前服務器通信超時後,將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信;在RADIUS服務器負載分擔功能處於開啟狀態時,如果在認證過程中修改或刪除了正在使用的認證服務器配置,則設備在與當前服務器通信超時後,將會根據各服務器的權重以及服務器承載的用戶負荷重新選擇狀態為active的服務器進行通信。
【舉例】
# 在RADIUS方案radius1中,配置從認證服務器的IP地址為10.110.1.2,使用UDP端口1812提供RADIUS認證/授權服務。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
# 在RADIUS方案radius2中,配置兩個從認證服務器,IP地址分別為10.110.1.1、10.110.1.2,且均使用UDP端口1812提供RADIUS認證/授權服務。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812
[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812
【相關命令】
· display radius scheme
· key (RADIUS scheme view)
· primary authentication (RADIUS scheme view)
· radius-server test-profile
· vpn-instance (RADIUS scheme view)
server-load-sharing enable命令用來開啟RADIUS服務器負載分擔功能。
undo server-load-sharing enable命令用來關閉RADIUS服務器負載分擔功能。
【命令】
server-load-sharing enable
undo server-load-sharing enable
【缺省情況】
RADIUS服務器負載分擔功能處於關閉狀態。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【使用指導】
缺省情況下,RADIUS服務器負載分擔功能處於關閉狀態,RADIUS服務器的調度采用主/從模式。
主/從模式下,設備優先選取狀態為active的主服務器進行交互,若主服務器不可達則嚐試與從服務器交互。設備嚐試與從服務器交互時,按照從服務器的配置順序依次選擇,先配置的服務器將優先被選取。
在主/從模式下,設備選擇服務器的邏輯比較單一。如果RADIUS方案中的主服務器或者某一配置順序靠前的從服務器始終可達,則該服務器將獨立承載該方案下所有用戶的AAA業務。在大用戶量下,這類服務器的負荷過重,將會影響處理用戶上線的整體性能。
RADIUS方案中開啟服務器負載分擔功能後,設備將根據當前各服務器承載的用戶負荷調度合適的服務器發送認證/計費請求。考慮到各服務器的性能可能存在差異,設備支持管理員配置服務器時為各個服務器指定適應其性能的權重值(由weight關鍵字指定),權重值較大的服務器具備較大的被選取可能性。設備在處理用戶認證/計費請求時,將綜合各個服務器的權重值及當前用戶負荷情況,按比例進行用戶負荷分配並選擇要交互的服務器。
需要注意的是,負載分擔模式下,某台計費服務器開始對某用戶計費後,該用戶後續計費請求報文均會發往同一計費服務器。如果該計費服務器不可達,則直接返回計費失敗。
【舉例】
# 在RADIUS方案radius1中,開啟RADIUS服務器負載分擔功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-load-sharing enable
【相關命令】
· primary authentication (RADIUS scheme view)
· primary accounting (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
· secondary accounting (RADIUS scheme view)
snmp-agent trap enable radius命令用來開啟RADIUS告警功能。
undo snmp-agent trap enable radius命令用來關閉指定的RADIUS告警功能。
【命令】
snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
undo snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
【缺省情況】
所有類型的RADIUS告警功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
accounting-server-down:表示RADIUS計費服務器可達狀態變為down時發送告警信息。
accounting-server-up:表示RADIUS計費服務器可達狀態變為up時發送告警信息。
authentication-error-threshold:表示認證失敗次數超過閾值時發送告警信息。該閾值為認證失敗次數占認證請求總數的百分比數值,目前僅能通過MIB方式配置,取值範圍為1~100,缺省為30。
authentication-server-down:表示RADIUS認證服務器可達狀態變為down時發送告警信息。
authentication-server-up:表示RADIUS認證服務器可達狀態變為up時發送告警信息。
【使用指導】
不指定任何參數時,表示開啟或關閉所有類型的RADIUS告警功能。
開啟RADIUS服務器告警功能後,係統將會生成以下幾種告警信息:
· RADIUS服務器不可達的告警:當NAS向RADIUS服務器發送計費或認證請求沒有收到響應時,會重傳請求,當重傳次數達到最大傳送次數時仍然沒有收到響應時,則發送該告警信息。
· RADIUS服務器可達的告警:當timer quiet定時器設定的時間到達後,NAS將服務器的狀態置為激活狀態並發送該告警信息。
· 認證失敗次數超過閾值的告警:當NAS發現認證失敗次數與認證請求總數的百分比超過閾值時,會發送該告警信息。
【舉例】
# 開啟RADIUS計費服務器可達狀態變為down時的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable radius accounting-server-down
state primary命令用來設置主RADIUS服務器的狀態。
【命令】
state primary { accounting | authentication } { active | block }
【缺省情況】
主RADIUS服務器狀態為active。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
accounting:主RADIUS計費服務器。
authentication:主RADIUS認證服務器。
active:正常工作狀態。
block:通信中斷狀態。
【使用指導】
當RADIUS服務器負載分擔功能處於關閉狀態時,每次用戶發起認證或計費,如果主服務器狀態為active,則設備都會首先嚐試與主服務器進行通信,如果主服務器不可達,則將主服務器的狀態置為block,同時啟動主服務器的timer quiet定時器,然後設備會嚴格按照從服務器的配置先後順序依次查找狀態為active的從服務器。在timer quiet定時器設定的時間到達之後,主服務器狀態將由block恢複為active。若該定時器超時之前,通過本命令將主服務器的狀態手工設置為block,則定時器超時之後主服務器狀態不會自動恢複為active,除非通過本命令手工將其設置為active。
當RADIUS服務器負載分擔功能處於開啟狀態時,設備僅根據當前各服務器承載的用戶負荷調度狀態為active的服務器發送認證或計費請求。
如果主服務器與所有從服務器狀態都是block,則采用主服務器進行認證或計費。
認證服務器的狀態會影響設備對該服務器可達性探測功能的開啟。當指定的服務器狀態為active,且該服務器通過radius-server test-profile命令成功引用了一個已存在的服務器探測模板時,則設備會開啟對該服務器的可達性探測功能。當手工將該服務器狀態置為block時,會關閉對該服務器的可達性探測功能。
【舉例】
# 在RADIUS方案radius1中,設置主認證服務器的狀態為block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state primary authentication block
【相關命令】
· display radius scheme
· radius-server test-profile
· server-load-sharing enable
· state secondary
state secondary命令用來設置從RADIUS服務器的狀態。
【命令】
state secondary { accounting | authentication } [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block }
【缺省情況】
從RADIUS服務器狀態為active。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
accounting:從RADIUS計費服務器。
authentication:從RADIUS認證服務器。
host-name:從RADIUS服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:從RADIUS服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS服務器的IPv6地址。
port-number:從RADIUS服務器的UDP端口號,取值範圍為1~65535,從RADIUS計費服務器的缺省UDP端口號為1813,從RADIUS認證服務器的缺省UDP端口號為1812。
vpn-instance vpn-instance-name:從RADIUS服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN實例名稱,為1~31個字符的字符串,區分大小寫。
active:正常工作狀態。
block:通信中斷狀態。
【使用指導】
如果不指定從服務器IP地址,那麼本命令將會修改所有已配置的從認證服務器或從計費服務器的狀態。
當RADIUS服務器負載分擔功能處於關閉狀態時,如果設備查找到的狀態為active的從服務器不可達,則設備會將該從服務器的狀態置為block,同時啟動該服務器的timer quiet定時器,並繼續查找下一個狀態為active的從服務器。在timer quiet定時器設定的時間到達之後,從服務器狀態將由block恢複為active。若該定時器超時之前,通過本命令將從服務器的狀態手工設置為block,則定時器超時之後從服務器狀態不會自動恢複為active,除非通過本命令手工將其設置為active。如果所有已配置的從服務器都不可達,則本次認證或計費失敗。
當RADIUS服務器負載分擔功能處於開啟狀態時,設備僅根據當前各服務器承載的用戶負荷調度狀態為active的服務器發送認證或計費請求。
認證服務器的狀態會影響設備對該服務器可達性探測功能的開啟。當指定的服務器狀態為active,且該服務器通過radius-server test-profile命令成功引用了一個已存在的服務器探測模板時,則設備會開啟對該服務器的可達性探測功能。當手工將該服務器狀態置為block時,會關閉對該服務器的可達性探測功能。
【舉例】
# 在RADIUS方案radius1中,設置從認證服務器的狀態設置為block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication block
【相關命令】
· display radius scheme
· radius-server test-profile
· server-load-sharing enable
· state primary
stop-accounting-buffer enable命令用來開啟對無響應的RADIUS停止計費請求報文的緩存功能。
undo stop-accounting-buffer enable命令用來關閉對無響應的RADIUS停止計費請求報文的緩存功能。
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【缺省情況】
設備緩存未得到響應的RADIUS停止計費請求報文。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【使用指導】
設備在發送停止計費請求報文而RADIUS服務器沒有響應時,會嚐試重傳該報文,最大嚐試次數由retry命令設置。如果設備發送該RADIUS報文的最大嚐試次數超過最大值後,仍然沒有得到響應,則該功能處於開啟狀態的情況下設備會緩存該報文,然後再發起一次請求,若仍然未得到響應,則重複上述過程,一定次數(由retry stop-accounting命令設置)之後,設備將其丟棄。
如果RADIUS方案中的某計費服務器被刪除,則設備將會丟棄相應的已緩存停止計費請求報文。
【舉例】
# 開啟對無響應的RADIUS停止計費請求報文的緩存功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-buffer enable
【相關命令】
· display stop-accounting-buffer (for RADIUS)
· reset stop-accounting-buffer (for RADIUS)
stop-accounting-packet send-force命令用來配置用戶下線時設備強製發送RADIUS計費停止報文。
undo stop-accounting-packet send-force命令用來恢複缺省情況。
【命令】
stop-accounting-packet send-force
undo stop-accounting-packet send-force
【缺省情況】
用戶下線時設備不會強製發送計費停止報文。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【使用指導】
通常,RADIUS服務器在收到用戶的計費開始報文後才會生成用戶表項,但有一些RADIUS服務器在用戶認證成功後會立即生成用戶表項。如果設備使用該類RADIUS服務器進行認證/授權/計費,則在用戶認證後,因為一些原因(比如授權失敗)並未發送計費開始報文,則在該用戶下線時設備也不會發送RADIUS計費停止報文,就會導致RADIUS服務器上該用戶表項不能被及時釋放,形成服務器和設備上用戶信息不一致的問題。為了解決這個問題,建議開啟本功能。
開啟本功能後,隻要用戶使用RADIUS服務器進行計費,且設備未向RADIUS服務器發送計費開始報文,則在用戶下線時設備會強製發送一個RADIUS計費停止報文給服務器,使得服務器收到此報文後及時釋放用戶表項。
【舉例】
# 在RADIUS方案radius1中,配置用戶下線時設備強製發送RADIUS計費停止報文。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-packet send-force
【相關命令】
test-aaa命令用來發起一次AAA請求測試。
【命令】
test-aaa user user-name password password radius-scheme radius-scheme-name [ radius-server { ipv4-address | ipv6 ipv6-address } port-number [ vpn-instance vpn-instance-name ] ] [ chap | pap ] [ attribute-test-group attr-test-group-name ] [ trace ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
user user-name:待測試的用戶名,為1~80個字符的字符串,區分大小寫。用戶名中可以攜帶域名,形式為“純用戶名@域名”,其中純用戶名區分大小寫,域名不區分大小寫。
password password:待測試用戶的明文密碼,為1~63個字符的字符串,區分大小寫。
radius-scheme radius-scheme-name:RADIUS方案名稱,為1~32個字符的字符串,不區分大小寫。
radius-server:指定具體的RADIUS服務器。
ipv4-address:RADIUS服務器的IPv4地址。
ipv6 ipv6-address:RADIUS服務器的IPv6地址。
port-number:RADIUS服務器的UDP端口號,取值範圍為1~65535。
vpn-instance vpn-instance-name:RADIUS服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示待探測RADIUS服務器位於公網中。
chap:采用CHAP認證方式。該方式也是缺省認證方式。
pap:采用PAP認證方式。
attribute-test-group attr-test-group-name:RADIUS屬性測試組的名稱,為1~31個字符的字符串,不區分大小寫。
trace:顯示詳細的RADIUS報文交互信息。若不指定該參數,則表示僅顯示報文收發結果及最終的測試結果。
【使用指導】
本命令主要用於排查設備與AAA服務器交互時的故障原因,目前僅支持對RADIUS服務器的測試。當故障發生時,執行本命令發起一次RADIUS請求測試,通過查看打印出的認證/計費請求結果以及報文交互信息,有利於快速定位故障發生的關鍵環節,以及及時排查影響認證/計費結果的RADIUS屬性。
可以在執行本命令時指定RADIUS屬性測試組,指定的測試組中定義了RADIUS請求報文中要攜帶的屬性。如果本命令中未指定RADIUS屬性測試組或指定的RADIUS屬性測試組不存在,則測試過程中發送的RADIUS請求報文中將會攜帶一些缺省屬性,缺省屬性的介紹請參見AAA配置手冊。
由於測試期間不能保證設備與AAA服務器可以正常通信,因此不建議同時允許用戶進行正常的上線、下線操作。
測試過程中,如果引用的RADIUS方案配置發生變化,則僅在下次測試中生效,並不影響本次探測。
僅允許在同一時間內存在一個測試過程,下一次測試隻能在當前測試過程完成後執行。
【舉例】
# 發起一次AAA請求測試,使用的測試用戶名為user1,密碼為123456,RADIUS方案名為test,同時打印詳細的RADIUS報文交互信息。
<Sysname> test-aaa user user1 password 123456 radius-scheme test chap trace
Sent a RADIUS authentication request.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1812
Packet type : Authentication request
Packet length: 118 bytes
Packet ID : 0
Attribute list:
[User-Name(1)] [6] [user1]
[CHAP-Password(3)] [19] [******]
[NAS-IP-Address(4)] [6] [192.168.1.166]
[Service-Type(6)] [6] [2] [Framed]
[Framed-Protocol(7)] [6] [1] [PPP]
[NAS-Identifier(32)] [5] [Sysname]
[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]
[CHAP-Challenge(60)] [18] [******]
[NAS-Port-Type(61)] [6] [15] [Ethernet]
Received a RADIUS authentication response.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1812
Packet type : Access-Reject
Packet length: 20 bytes
Packet ID : 0
Reply-Message: "E63032: Incorrect password. You can retry 9 times."
Sent a RADIUS start-accounting request.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Start-accounting request
Packet length: 63 bytes
Packet ID : 1
Attribute list:
[User-Name(1)] [6] [user1]
[Acct-Status-Type(40)] [6] [1] [Start]
[NAS-IP-Address(4)] [6] [192.168.1.166]
[NAS-Identifier(32)] [5] [Sysname]
[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]
Received a RADIUS start-accounting response.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Start-accounting response
Packet length: 20 bytes
Packet ID : 1
Sent a RADIUS stop-accounting request.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Stop-accounting request
Packet length: 91 bytes
Packet ID : 1
Attribute list:
[User-Name(1)] [6] [user1]
[Acct-Status-Type(40)] [6] [2] [Stop]
[NAS-IP-Address(4)] [6] [192.168.1.166]
[NAS-Identifier(32)] [5] [Sysname]
[Acct-Delay-Time(41)] [6] [0]
[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]
[Acct-Terminate-Cause(49)] [6] [1] [User Request]
Received a RADIUS stop-accounting response.
Server IP : 192.168.1.110
Source IP : 192.168.1.166
VPN instance : N/A
Server port : 1813
Packet type : Stop-accounting response
Packet length: 20 bytes
Packet ID : 1
Test result: Failed
# 發起一次AAA請求測試,使用的測試用戶名為user1,密碼為123456 ,RADIUS方案名為test,指定探測test下認證服務器192.168.1.110,且不打印詳細的RADIUS報文交互信息。
<Sysname> test-aaa user user1 password 123456 radius-scheme test radius-server 192.168.1.110 1812
Sent a RADIUS authentication request.
Received a RADIUS authentication response.
Test result: Successful
表1-8 test-aaa命令顯示信息描述表
|
字段 |
描述 |
|
Server IP |
服務器的IP地址 |
|
Source IP |
RADIUS報文源IP地址 |
|
VPN instance |
RADIUS認證/計費服務器所在的VPN,服務器位於公網時,顯示為N/A |
|
Server port |
RADIUS認證/計費服務器的UDP端口號 |
|
Packet type |
RADIUS報文類型: · Authentication request:認證請求報文 · Access-Accept:認證接受報文 · Access-Reject:認證拒絕報文 · Start-accounting request:開始計費請求報文 · Start-accounting response:開始計費響應報文 · Stop-accounting request:停止計費請求報文 · Stop-accounting response:停止計費響應報文 |
|
Packet length |
報文總長度,單位為字節 |
|
Packet ID |
報文ID,用於匹配響應報文和對應的請求報文 |
|
[attribute-name (code)] [length] [value] [description] |
RADIUS屬性信息: · attribute-name:屬性名稱 · code:屬性編號 · length:屬性值的長度,單位為字節 · value:屬性值 · description:特殊屬性值的描述信息 |
|
Sent a RADIUS authentication request. |
成功發送了一個認證請求報文 |
|
Failed to receive a RADIUS authentication response. |
認證請求已超時,未收到應答 |
|
Received a RADIUS authentication response. |
接收到一個認證響應報文 |
|
Sent a RADIUS start-accounting request. |
成功發送了一個計費開始請求報文 |
|
Failed to receive a RADIUS start-accounting response. |
計費開始請求已超時,未收到應答 |
|
Received a RADIUS start-accounting response. |
接收到一個計費開始請求報文 |
|
Sent a RADIUS stop-accounting request. |
成功發送了一個計費停止請求報文 |
|
Failed to receive a RADIUS stop-accounting response. |
計費停止請求已超時,未收到應答 |
|
Received a RADIUS stop-accounting response. |
接收到一個計費停止請求報文 |
|
Reply-Message: |
RADIUS服務器拒絕此認證請求,並下發提示信息 |
|
The authentication server is not configured. |
指定的RADIUS方案中未配置要探測的認證服務器 |
|
The accounting server is not configured. |
指定的RADIUS方案中未配置要探測的計費服務器 |
|
Test result |
測試結果: · Successful:當前用戶的AAA測試成功 · Failed:當前用戶的AAA測試失敗(隻要有一個請求報文測試失敗,即為失敗) |
【相關命令】
· radius attribute-test-group
· radius scheme
timer quiet命令用來設置服務器恢複激活狀態的時間。
undo timer quiet命令用來恢複缺省情況。
【命令】
timer quiet minutes
undo timer quiet
【缺省情況】
服務器恢複激活狀態的時間為5分鍾。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
minutes:恢複激活狀態的時間,取值範圍為0~255,單位為分鍾。該參數取值為0時,若當前用戶使用的認證或計費服務器不可達,則設備並不會切換它的狀態,而是保持其為active,並且將使用該服務器的用戶認證或計費請求報文發送給下一個狀態為active的服務器,而後續其它用戶的認證/計費請求報文仍然可以發送給該服務器進行處理。
【使用指導】
建議合理設置服務器恢複激活狀態的時間:
· 如果服務器恢複激活狀態時間設置的過短,就會出現設備反複嚐試與狀態active但實際不可達的服務器通信而導致的認證或計費頻繁失敗的問題。
· 如果服務器恢複激活狀態時間設置的過長,當服務器恢複可達後,設備不能及時與其進行通信,會降低對用戶進行認證或計費的效率。
【舉例】
# 在RADIUS方案radius1中,配置服務器恢複激活狀態的時間為10分鍾。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer quiet 10
【相關命令】
· display radius scheme
timer realtime-accounting命令用來設置實時計費的時間間隔。
undo timer realtime-accounting命令用來恢複缺省情況。
【命令】
timer realtime-accounting interval [ second ]
undo timer realtime-accounting
【缺省情況】
實時計費的時間間隔為12分鍾。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
interval:實時計費的時間間隔,取值範圍為0~71582。
second:表示實時計費的時間間隔以秒為單位,缺省以分鍾為單位。
【使用指導】
為了對用戶實施實時計費,有必要設置實時計費的時間間隔。不同的取值的處理有所不同:
· 若實時計費間隔不為0,則每隔設定的時間,設備會向RADIUS服務器發送一次在線用戶的計費信息。
· 若實時計費間隔設置為0,且服務器上配置了實時計費間隔,則設備按照服務器上配置的實時計費間隔向RADIUS服務器發送在線用戶的計費信息;如果服務器上沒有配置該值,則設備不向RADIUS服務器發送在線用戶的計費信息。
實時計費間隔的取值小,計費準確性高,但對設備和RADIUS服務器的性能要求就高。
|
用戶數 |
實時計費間隔(分鍾) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
大於等於1000 |
大於等於15 |
不同情況下修改的實時計費間隔,對於已在線用戶的生效情況有所不同:
· 將實時計費間隔從非0有效值改為0,或者從0修改為非0有效值後,已在線用戶會依然采用原有取值,修改後的取值對其不生效。
· 將實時計費間隔從某非0有效值修改為其它非0有效值後,已在線用戶將會采用修改後的取值。
對於未進行RADIUS認證和授權,僅進行RADIUS計費的用戶,隻能使用計費方案下設置的實時計費間隔,不會使用RADIUS服務器設置的實時計費間隔。
【舉例】
# 在RADIUS方案radius1中,設置實時計費的時間間隔為51分鍾。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
【相關命令】
· retry realtime-accounting
timer response-timeout命令用來設置RADIUS服務器響應超時時間。
undo timer response-timeout命令用來恢複缺省情況。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情況】
RADIUS服務器響應超時時間為3秒。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
seconds:RADIUS服務器響應超時時間,取值範圍為1~10,單位為秒。
【使用指導】
如果在RADIUS請求報文傳送出去一段時間後,設備還沒有得到RADIUS服務器的響應,則有必要重傳RADIUS請求報文,以保證用戶盡可能地獲得RADIUS服務,這段時間被稱為RADIUS服務器響應超時時間,本命令用於調整這個時間。
需要注意的是:
· 發送RADIUS報文的最大嚐試次數、RADIUS服務器響應超時時間以及配置的RADIUS服務器總數,三者的乘積不能超過接入模塊定義的用戶認證超時時間,否則在RADIUS認證過程完成之前用戶就有可能被強製下線。
· 設備在按照配置順序嚐試與下一個RADIUS服務器通信之前,會首先判斷當前累計嚐試持續時間是否達到或超過300秒,如果超過或達到300秒,將不再向下一個RADIUS服務器發送RADIUS請求報文,即認為該RADIUS請求發送失敗。因此,為了避免某些已部署的RADIUS服務器由於此超時機製而無法被使用到,建議基於配置的RADIUS服務器總數,合理設置發送RADIUS報文的最大嚐試次數以及RADIUS服務器響應超時時間。
【舉例】
# 在RADIUS方案radius1中,設置服務器響應超時時間設置為5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【相關命令】
· display radius scheme
· retry
user-name-format命令用來設置發送給RADIUS服務器的用戶名格式。
undo user-name-format命令用來恢複缺省情況。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情況】
發送給RADIUS服務器的用戶名攜帶ISP域名。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
keep-original:發送給RADIUS服務器的用戶名與用戶的輸入保持一致。
with-domain:發送給RADIUS服務器的用戶名攜帶ISP域名。
without-domain:發送給RADIUS服務器的用戶名不攜帶ISP域名。
【使用指導】
接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給RADIUS服務器。因此,設備提供此命令以指定發送給RADIUS服務器的用戶名是否攜帶有ISP域名。
如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個或兩個以上的ISP域中同時設置使用該RADIUS方案。否則,會出現雖然實際用戶不同(在不同的ISP域中),但RADIUS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
在802.1X用戶采用EAP認證方式的情況下,RADIUS方案中配置的user-name-format命令無效,客戶端傳送給RADIUS服務器的用戶名與用戶輸入的用戶名保持一致。
【舉例】
# 在RADIUS方案radius1中,設置發送給RADIUS服務器的用戶名不得攜帶域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
【相關命令】
· display radius scheme
vpn-instance命令用來配置RADIUS方案所屬的VPN。
undo vpn-instance命令用來恢複缺省情況。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情況】
RADIUS方案屬於公網。
【視圖】
RADIUS方案視圖
【缺省用戶角色】
network-admin
【參數】
vpn-instance-name:MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
本命令配置的VPN對於該方案下的所有RADIUS認證/計費服務器生效,但設備優先使用配置RADIUS認證/計費服務器時為各服務器單獨指定的VPN。
【舉例】
# 配置RADIUS方案radius1所屬的VPN為test。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] vpn-instance test
【相關命令】
· display radius scheme
data-flow-format命令用來配置發送到HWTACACS服務器的數據流或者數據包的單位。
undo data-flow-format命令用來恢複缺省情況。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情況】
數據流的單位為byte,數據包的單位為one-packet。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
data:設置數據流的單位。
· byte:數據流的單位為字節。
· giga-byte:數據流的單位千兆字節。
· kilo-byte:數據流的單位為千字節。
· mega-byte:數據流的單位為兆字節。
packet:設置數據包的單位。
· giga-packet:數據包的單位為千兆包。
· kilo-packet:數據包的單位為千包。
· mega-packet:數據包的單位為兆包。
· one-packet:數據包的單位為包。
【使用指導】
設備上配置的發送給HWTACACS服務器的數據流單位及數據包單位應與HWTACACS服務器上的流量統計單位保持一致,否則無法正確計費。
【舉例】
# 在HWTACACS方案hwt1中,設置發往HWTACACS服務器的數據流的數據單位為千字節、數據包的單位為千包。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【相關命令】
· display hwtacacs scheme
display hwtacacs scheme命令用來查看HWTACACS方案的配置信息或HWTACACS服務相關的統計信息。
【命令】
display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
hwtacacs-scheme-name:HWTACACS方案的名稱,為1~32個字符的字符串,不區分大小寫。如果不指定該參數,則顯示所有HWTACACS方案的配置信息。
statistics:顯示HWTACACS服務相關的統計信息。不指定該參數,則顯示HWTACACS方案的配置信息。
【舉例】
# 查看所有HWTACACS方案的配置情況。
<Sysname> display hwtacacs scheme
Total 1 HWTACACS schemes
------------------------------------------------------------------
HWTACACS Scheme Name : hwtac
Index : 0
Primary Auth Server:
Host name: Not configured
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Enabled
Primary Author Server:
Host name: Not configured
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Disabled
Primary Acct Server:
Host name: Not configured
IP : Not Configured Port: 49 State: Block
VPN Instance: Not configured
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Stop-accounting packets buffering : Enabled
Retransmission times : 100
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : one
------------------------------------------------------------------
表1-10 display hwtacacs scheme命令顯示信息描述表
|
字段 |
描述 |
|
Total 1 HWTACACS schemes |
共計1個HWTACACS方案 |
|
HWTACACS Scheme Name |
HWTACACS方案的名稱 |
|
Index |
HWTACACS方案的索引號 |
|
Primary Auth Server |
主HWTACACS認證服務器 |
|
Primary Author Server |
主HWTACACS授權服務器 |
|
Primary Acct Server |
主HWTACACS計費服務器 |
|
Secondary Auth Server |
從HWTACACS認證服務器 |
|
Secondary Author Server |
從HWTACACS授權服務器 |
|
Secondary Acct Server |
從HWTACACS計費服務器 |
|
Host name |
HWTACACS服務器的主機名 未配置時,顯示為Not configured |
|
IP |
HWTACACS服務器的IP地址 未配置時,顯示為Not configured |
|
Port |
HWTACACS服務器的端口號 未配置時,顯示缺省值 |
|
State |
HWTACACS服務器目前狀態 · Active:激活狀態 · Block:靜默狀態 |
|
VPN Instance |
HWTACACS服務器或HWTACACS方案所在的VPN 未配置時,顯示為Not configured |
|
Single-connection |
單連接狀態 · Enabled:使用一條TCP連接與服務器通信 · Disabled:每次新建TCP連接與服務器通信 |
|
NAS IP Address |
配置的發送HWTACACS報文的源IP地址或源接口 未配置時,顯示為Not configured |
|
Server Quiet Period(minutes) |
主HWTACACS服務器恢複激活狀態的時間(分鍾) |
|
Realtime Accounting Interval(minutes) |
實時HWTACACS計費更新報文的發送間隔(分鍾) |
|
Stop-accounting packets buffering |
HWTACACS停止計費請求報文緩存功能的開啟情況 |
|
Retransmission times |
發起HWTACACS停止計費請求的最大嚐試次數 |
|
Response Timeout Interval(seconds) |
HWTACACS服務器超時時間(秒) |
|
Username Format |
用戶名格式 · with-domain:攜帶域名 · without-domain:不攜帶域名 · keep-original:與用戶輸入保持一致 |
|
Data flow unit |
數據流的單位 |
|
Packet unit |
數據包的單位 |
# 查看HWTACACS方案tac的統計信息。
<Sysname> display hwtacacs scheme tac statistics
Primary authentication server : 111.8.0.244
Round trip time: 20 seconds
Request packets: 1
Login request packets: 1
Change-password request packets: 0
Request packets including plaintext passwords: 0
Request packets including ciphertext passwords: 0
Response packets: 2
Pass response packets: 1
Failure response packets: 0
Get-data response packets: 0
Get-username response packets: 0
Get-password response packets: 1
Restart response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Continue packets: 1
Continue-abort packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary authorization server :111.8.0.244
Round trip time: 1 seconds
Request packets: 1
Response packets: 1
PassAdd response packets: 1
PassReply response packets: 0
Failure response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary accounting server :111.8.0.244
Round trip time: 0 seconds
Request packets: 2
Accounting start request packets: 1
Accounting stop request packets: 1
Accounting update request packets: 0
Pending request packets: 0
Response packets: 2
Success response packets: 2
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Timeout response packets: 0
Unknown type response packets: 0
Dropped response packets: 0
表1-11 display hwtacacs scheme statistics命令顯示信息描述表
|
字段 |
描述 |
|
Primary authentication server |
主HWTACACS認證服務器 |
|
Primary authorization server |
主HWTACACS授權服務器 |
|
Primary accounting server |
主HWTACACS計費服務器 |
|
Secondary authentication server |
從HWTACACS認證服務器 |
|
Secondary authorization server |
從HWTACACS授權服務器 |
|
Secondary accounting server |
從HWTACACS計費服務器 |
|
Round trip time |
設備處理最近一組響應報文和請求報文的時間間隔(單位為秒) |
|
Request packets |
發送的請求報文個數 |
|
Login request packets |
發送的登錄認證的請求報文個數 |
|
Change-password request packets |
發送的更改密碼的請求報文個數 |
|
Request packets including plaintext passwords |
發送明文密碼的請求報文個數 |
|
Request packets including ciphertext passwords |
發送密文密碼的請求報文個數 |
|
Response packets |
接收到的響應報文個數 |
|
Pass response packets |
表示認證通過的響應報文個數 |
|
Failure response packets |
認證或授權失敗的響應報文個數 |
|
Get-data response packets |
表示獲取數據的響應報文個數 |
|
Get-username response packets |
表示獲取用戶名的響應報文個數 |
|
Get-password response packets |
表示獲取密碼的響應報文個數 |
|
Restart response packets |
要求重認證的響應報文個數 |
|
Error response packets |
錯誤類型的響應報文個數 |
|
Follow response packets |
Follow類型的響應報文的個數 |
|
Malformed response packets |
不合法的響應報文個數 |
|
Continue packets |
發送的Continue報文個數 |
|
Continue-abort packets |
發送的Continue-abort報文個數 |
|
Pending request packets |
等待響應的請求報文個數 |
|
Timeout response packets |
超時的請求報文個數 |
|
Unknown type response packets |
未知報文類型的響應報文個數 |
|
Dropped response packets |
被丟棄響應報文個數 |
|
PassAdd response packets |
接收到的PassAdd類型的響應報文個數。此報文表示同意授權所有請求的屬性,並添加其他授權屬性 |
|
PassReply response packets |
接收到的PassReply類型的響應報文個數。此報文表示采用響應報文中指定的授權屬性替換請求的授權屬性 |
|
Accounting start request packets |
發送的計費開始請求報文個數 |
|
Accounting stop request packets |
發送的計費結束請求報文個數 |
|
Accounting update request packets |
發送的計費更新請求報文個數 |
|
Success response packets |
接收到的計費成功的響應報文個數 |
【相關命令】
· reset hwtacacs statistics
display stop-accounting-buffer命令用來顯示緩存的HWTACACS停止計費請求報文的相關信息。
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
hwtacacs-scheme hwtacacs-scheme-name:表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
【舉例】
# 顯示HWTACACS方案hwt1緩存的HWTACACS停止計費請求報文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1
Total entries: 2
Scheme IP address Username First sending time Attempts
hwt1 192.168.100.1 abc 23:27:16-08/31/2015 19
hwt1 192.168.90.6 bob 23:33:01-08/31/2015 20
表1-12 display stop-accounting-buffer命令顯示信息描述表
|
字段 |
描述 |
|
Total entries: 2 |
共有兩條記錄匹配 |
|
Scheme |
HWTACACS方案名 |
|
IP address |
用戶IP地址 |
|
Username |
用戶名 |
|
First sending time |
首次發送停止計費請求的時間 |
|
Attempts |
發送停止計費請求報文的次數 |
【相關命令】
· retry stop-accounting (HWTACACS scheme view)
· reset stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
· user-name-format (HWTACACS scheme view)
hwtacacs nas-ip命令用來設置設備發送HWTACACS報文使用的源IP地址。
undo hwtacacs nas-ip命令用來刪除指定的發送HWTACACS報文使用的源IP地址。
【命令】
hwtacacs nas-ip { interface interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
undo hwtacacs nas-ip { interface | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
【缺省情況】
未指定發送HWTACACS報文使用的源IP地址,設備將使用到達HWTACACS服務器的路由出接口的主IPv4地址或IPv6地址作為發送HWTACACS報文的源IP地址。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定源接口,即發送HWTACACS報文的源IPv4地址為該接口的主IPv4地址,發送HWTACACS報文的源IPv6地址為該接口上配置的IPv6地址。interface-type interface-number為接口類型和接口編號。
ipv4-address:指定的源IPv4地址,應該為本機的地址,不能為全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
vpn-instance vpn-instance-name:指定私網源IP地址所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。若不指定該參數,則表示配置的是公網源地址。
【使用指導】
HWTACACS服務器上通過IP地址來標識接入設備,並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證或計費請求。因此,為保證HWTACACS報文可被服務器正常接收並處理,接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。
為避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址為發送HWTACACS報文使用的源IP地址。
HWTACACS方案視圖和係統視圖下均可以配置發送HWTACACS報文使用的源IP地址,具體生效情況如下:
· HWTACACS方案視圖下配置的源IP地址(通過nas-ip命令)隻對本方案有效。
· 係統視圖下的配置的源IP地址(通過hwtacacs nas-ip命令)對所有HWTACACS方案有效。
· HWTACACS方案視圖下的設置具有更高的優先級。
係統視圖下最多允許指定16個源地址。其中,最多包括一個IPv4公網源地址和一個IPv6公網源地址,其餘為私網源地址。對於同一個VPN,係統視圖下最多允許指定一個IPv4私網源地址和一個IPv6私網源地址。
係統視圖下,最多允許指定一個源接口,請確保指定的源接口與RADIUS服務器路由可達。
源接口配置和源IP地址配置不能同時存在,後配置的生效。
【舉例】
# 設置設備發送HWTACACS報文使用的源IP地址為129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【相關命令】
· nas-ip (HWTACACS scheme view)
hwtacacs scheme命令用來創建HWTACACS方案,並進入HWTACACS方案視圖。如果指定的HWTACACS方案已經存在,則直接進入HWTACACS方案視圖。
undo hwtacacs scheme命令用來刪除指定的HWTACACS方案。
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【缺省情況】
不存在HWTACACS方案。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme-name:HWTACACS方案名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
一個HWTACACS方案可以同時被多個ISP域引用。
最多可以配置16個HWTACACS方案。
【舉例】
# 創建名稱為hwt1的HWTACACS方案並進入相應的HWTACACS視圖。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【相關命令】
· display hwtacacs scheme
key命令用來配置HWTACACS認證、授權、計費報文的共享密鑰。
undo key命令用來刪除指定的HWTACACS報文的共享密鑰。
【命令】
key { accounting | authentication | authorization } { cipher | simple } string
undo key { accounting | authentication | authorization }
【缺省情況】
未配置HWTACACS報文的共享密鑰。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
accounting:指定HWTACACS計費報文的共享密鑰。
authentication:指定HWTACACS認證報文的共享密鑰。
authorization:指定HWTACACS授權報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。FIPS模式下,明文密鑰為15~255個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~373個字符的字符串。
【使用指導】
必須保證設備上設置的共享密鑰與HWTACACS服務器上的完全一致。
【舉例】
# 在HWTACACS方案hwt1中,配置HWTACACS認證報文共享密鑰為明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!
# 配置HWTACACS授權報文共享密鑰為明文123456TESTautr&!。
[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!
# 配置HWTACACS計費報文共享密鑰為明文123456TESTacct&!。
[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!
【相關命令】
· display hwtacacs scheme
nas-ip命令用來設置設備發送HWTACACS報文使用的源IP地址。
undo nas-ip命令用來刪除指定類型的發送HWTACACS報文使用的源IP地址。
【命令】
nas-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }
undo nas-ip [ interface | ipv6 ]
【缺省情況】
未指定設備發送HWTACACS報文使用的源IP地址,使用係統視圖下由命令hwtacacs nas-ip指定的源IP地址。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
interface interface-type interface-number:指定源接口,即發送HWTACACS報文的源IPv4地址為該接口的主IPv4地址,發送RADIUS報文的源IPv6地址為該接口上配置的IPv6地址。interface-type interface-number為接口類型和接口編號。
ipv4-address:指定的源IPv4地址,應該為本機的地址,不能為全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
【使用指導】
HWTACACS服務器上通過IP地址來標識接入設備,並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配,來決定是否處理來自該接入設備的認證、授權、計費請求。因此,為保證HWTACACS報文可被服務器正常接收並處理,接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。
為避免物理接口故障時從服務器返回的報文不可達,推薦使用Loopback接口地址為發送HWTACACS報文使用的源IP地址。
HWTACACS方案視圖和係統視圖下均可以配置發送HWTACACS報文使用的源IP地址,具體生效情況如下:
· HWTACACS方案視圖下配置的源IP地址(通過nas-ip命令)隻對本方案有效。
· 係統視圖下的配置的源IP地址(通過hwtacacs nas-ip命令)對所有HWTACACS方案有效。
· HWTACACS方案視圖下的設置具有更高的優先級。
一個HWTACACS方案視圖下:
· 最多允許指定一個IPv4源地址和一個IPv6源地址。
· 最多允許指定一個源接口,請確保指定的源接口與HWTACACS服務器路由可達。
· 源接口配置和源IP地址配置不能同時存在,後配置的生效。
如果undo nas-ip命令中不指定任何關鍵字,則表示刪除發送HWTACACS報文使用的源IPv4地址。
【舉例】
# 在HWTACACS方案hwt1中,設置設備發送HWTACACS報文使用的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【相關命令】
· display hwtacacs scheme
· hwtacacs nas-ip
primary accounting命令用來配置主HWTACACS計費服務器。
undo primary accounting命令用來恢複缺省情況。
【命令】
primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary accounting
【缺省情況】
未配置HWTACACS主計費服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:主HWTACACS計費服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:主HWTACACS計費服務器的IPv4地址。
ipv6 ipv6-address:主HWTACACS計費服務器的IPv6地址。
port-number:主HWTACACS計費服務器的TCP端口號,取值範圍為1~65535,缺省值為49。
key:與主HWTACACS計費服務器交互的計費報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。FIPS模式下,明文密鑰為15~255個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~373個字符的字符串。
single-connection:所有與主HWTACACS計費服務器交互的計費報文使用同一個TCP連接。如果未指定本參數,則表示每次計費都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:主HWTACACS計費服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示主HWTACACS計費服務器位於公網中。
【使用指導】
配置的主計費服務器的TCP端口號以及計費報文的共享密鑰必須與服務器的配置保持一致。
在同一個方案中指定的主計費服務器和從計費服務器的VPN、主機名、IP地址、端口號不能完全相同。
若服務器位於MPLS VPN私網中,為保證HWTACACS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN比HWTACACS方案所屬的VPN優先級高。
隻有在設備與計費服務器沒有報文交互時,才允許刪除該服務器。計費服務器刪除後,隻對之後的計費過程有影響。
配置single-connection參數後可節省TCP連接資源,但有些HWTACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
【舉例】
# 在HWTACACS方案hwt1中,配置主HWTACACS計費服務器的IP地址為10.163.155.12,使用TCP端口49與HWTACACS計費服務器通信,計費報文的共享密鑰為明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hw1
[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary accounting
· vpn-instance (HWTACACS scheme view)
primary authentication命令用來配置主HWTACACS認證服務器。
undo primary authentication命令用來恢複缺省情況。
【命令】
primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authentication
【缺省情況】
未配置主HWTACACS認證服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:主HWTACACS認證服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:主HWTACACS認證服務器的IPv4地址。
ipv6 ipv6-address:主HWTACACS認證服務器的IPv6地址。
port-number:主HWTACACS認證服務器的TCP端口號,取值範圍為1~65535,缺省值為49。
key:與主HWTACACS認證服務器交互的認證報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。FIPS模式下,明文密鑰為15~255個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~373個字符的字符串。
single-connection:所有與主HWTACACS認證服務器交互的計費報文使用同一個TCP連接。如果未指定本參數,則表示向主HWTACACS計費服務器發送計費報文都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:主HWTACACS認證服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示主HWTACACS認證服務器位於公網中。
【使用指導】
配置的主認證服務器的TCP端口號以及認證報文的共享密鑰必須與服務器的配置保持一致。
在同一個方案中指定的主認證服務器和從認證服務器的VPN、主機名、IP地址、端口號不能完全相同。
若服務器位於MPLS VPN私網中,為保證HWTACACS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN比HWTACACS方案所屬的VPN優先級高。
隻有在設備與認證服務器沒有報文交互時,才允許刪除該服務器。認證服務器刪除後,隻對之後的認證過程有影響。
配置single-connection參數後可節省TCP連接資源,但有些HWTACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
【舉例】
# 在HWTACACS方案hwt1中,配置主HWTACACS認證服務器的IP地址為10.163.155.13,使用TCP端口49與HWTACACS認證服務器通信,認證報文的共享密鑰為明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authentication
· vpn-instance (HWTACACS scheme view)
primary authorization命令用來配置主HWTACACS授權服務器。
undo primary authorization命令用來恢複缺省情況。
【命令】
primary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authorization
【缺省情況】
未配置主HWTACACS授權服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:主HWTACACS授權服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:主HWTACACS授權服務器的IPv4地址。
ipv6 ipv6-address:主HWTACACS授權服務器的IPv6地址。
port-number:主HWTACACS授權服務器的TCP端口號,取值範圍為1~65535,缺省值為49。
key:與主HWTACACS授權服務器交互的授權報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。FIPS模式下,明文密鑰為15~255個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~373個字符的字符串。
single-connection:所有與主HWTACACS授權服務器交互的授權報文使用同一個TCP連接。如果未指定本參數,則表示每次授權都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:主HWTACACS授權服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示主HWTACACS授權服務器位於公網中。
【使用指導】
配置的主授權服務器的TCP端口號以及授權報文的共享密鑰必須與服務器的配置保持一致。
在同一個方案中指定的主授權服務器和從授權服務器的VPN、主機名、IP地址、端口號不能完全相同。
若服務器位於MPLS VPN私網中,為保證HWTACACS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN比HWTACACS方案所屬的VPN優先級高。
隻有在設備與授權服務器沒有報文交互時,才允許刪除該服務器。授權服務器刪除後,隻對之後的授權過程有影響。
配置single-connection參數後可節省TCP連接資源,但有些HWTACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
【舉例】
# 在HWTACACS方案hwt1中,配置主HWTACACS授權服務器的IP地址為10.163.155.13,使用TCP端口49與HWTACACS授權服務器通信,授權報文的共享密鑰為明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authorization
· vpn-instance (HWTACACS scheme view)
reset hwtacacs statistics命令用來清除HWTACACS協議的統計信息。
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
accounting:清除HWTACACS協議關於計費的統計信息。
all:清除HWTACACS的所有統計信息。
authentication:清除HWTACACS協議關於認證的統計信息。
authorization:清除HWTACACS協議關於授權的統計信息。
【舉例】
# 清除HWTACACS協議的所有統計信息。
<Sysname> reset hwtacacs statistics all
【相關命令】
· display hwtacacs scheme
reset stop-accounting-buffer命令用來清除緩存的HWTACACS停止計費請求報文。
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme hwtacacs-scheme-name:表示指定HWTACACS方案的停止計費請求報文。其中,hwtacacs-scheme-name為HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
【舉例】
# 清除緩存的HWTACACS方案hwt1的HWTACACS停止計費請求報文。
<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1
【相關命令】
· display stop-accounting-buffer (for HWTACACS)
· stop-accounting-buffer enable (HWTACACS scheme view)
retry stop-accounting命令用來設置發起HWTACACS停止計費請求的最大嚐試次數。
undo retry stop-accounting命令用來恢複缺省情況。
【命令】
retry stop-accounting retries
undo retry stop-accounting
【缺省情況】
發起HWTACACS停止計費請求的最大嚐試次數為100。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
retries:允許停止計費請求無響應的最大次數,取值範圍為1~300。
【使用指導】
設備發送HWTACACS停止計費請求報文無響應後,將會緩存該報文並嚐試重複發送該報文,當發送的停止計費請求總數達到指定的最大嚐試次數之後仍未得到響應時,將其丟棄。
【舉例】
# 在HWTACACS方案hwt1中,設置發起HWTACACS停止計費請求的最大嚐試次數為300。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 300
【相關命令】
· display stop-accounting-buffer (for HWTACACS)
· timer response-timeout (HWTACACS scheme view)
secondary accounting命令用來配置從HWTACACS計費服務器。
undo secondary accounting命令用來刪除指定的從HWTACACS計費服務器。
【命令】
secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情況】
未配置從HWTACACS計費服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:從HWTACACS計費服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:從HWTACACS計費服務器的IPv4地址。
ipv6 ipv6-address:從HWTACACS計費服務器的IPv6地址。
port-number:從HWTACACS計費服務器的端口號,取值範圍為1~65535,缺省值為49。
key:與從HWTACACS計費服務器交互的計費報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。FIPS模式下,明文密鑰為15~255個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~373個字符的字符串。
single-connection:所有與從HWTACACS計費服務器交互的計費報文使用同一個TCP連接。如果未指定本參數,則表示每次計費都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:從HWTACACS計費服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從HWTACACS計費服務器位於公網中。
【使用指導】
配置的從計費服務器的TCP端口號以及計費報文的共享密鑰必須與服務器的配置保持一致。
每個HWTACACS方案中最多支持配置16個從HWTACACS計費服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
如果不指定任何參數,則undo命令將刪除所有從計費服務器。
在同一個方案中指定的主計費服務器和從計費服務器的VPN、主機名、IP地址、端口號不能完全相同,並且各從計費服務器的VPN、主機名、IP地址、端口號也不能完全相同。
配置single-connection參數後可節省TCP連接資源,但有些TACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
若服務器位於MPLS VPN私網中,為保證HWTACACS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN比HWTACACS方案所屬的VPN優先級高。
隻有在設備與計費服務器沒有報文交互時,才允許刪除該服務器。計費服務器刪除後,隻對之後的計費過程有影響。
【舉例】
# 在HWTACACS方案hwt1中,配置從HWTACACS計費服務器的IP地址為10.163.155.12,使用TCP端口49與HWTACACS計費服務器通信,計費報文的共享密鑰為明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary accounting (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authentication命令用來配置從HWTACACS認證服務器。
undo secondary authentication命令用來刪除指定的從HWTACACS認證服務器。
【命令】
secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authentication [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情況】
未配置從HWTACACS認證服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:從HWTACACS認證服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:從HWTACACS認證服務器的IPv4地址。
ipv6 ipv6-address:從HWTACACS認證服務器的IPv6地址。
port-number:從HWTACACS認證服務器的TCP端口號,取值範圍為1~65535,缺省值為49。
key:與從HWTACACS認證服務器交互的認證報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。FIPS模式下,明文密鑰為15~255個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~373個字符的字符串。
single-connection:所有與從HWTACACS認證服務器交互的認證報文使用同一個TCP連接。如果未指定本參數,則表示每次認證都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:從HWTACACS認證服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從HWTACACS服務器位於公網中。
【使用指導】
配置的從認證服務器的TCP端口號以及認證報文的共享密鑰必須與服務器的配置保持一致。
每個HWTACACS方案中最多支持配置16個從HWTACACS認證服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
如果不指定任何參數,則undo命令將刪除所有從認證服務器。
在同一個方案中指定的主認證服務器和從認證服務器的VPN、主機名、IP地址、端口號不能完全相同,並且各從認證服務器的VPN、主機名、IP地址、端口號也不能完全相同。
配置single-connection參數後可節省TCP連接資源,但有些TACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
若服務器位於MPLS VPN私網中,為保證HWTACACS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN比HWTACACS方案所屬的VPN優先級高。
隻有在設備與認證服務器沒有報文交互時,才允許刪除該服務器。認證服務器刪除後,隻對之後的認證過程有影響。
【舉例】
# 在HWTACACS方案hwt1中,配置從HWTACACS認證服務器的IP地址為10.163.155.13,使用TCP端口49與HWTACACS認證服務器通信,認證報文的共享密鑰為明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authentication (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authorization命令用來配置從HWTACACS授權服務器。
undo secondary authorization命令用來刪除指定的從HWTACACS授權服務器。
【命令】
secondary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authorization [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情況】
未配置從HWTACACS授權服務器。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
host-name:從HWTACACS授權服務器的主機名,為1~253個字符的字符串,不區分大小寫。
ipv4-address:從HWTACACS授權服務器的IPv4地址。
ipv6 ipv6-address:從HWTACACS授權服務器的IPv6地址。
port-number:從HWTACACS授權服務器的TCP端口號,取值範圍為1~65535,缺省值為49。
key:與從HWTACACS授權服務器交互的授權報文的共享密鑰。
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:密鑰字符串,區分大小寫。非FIPS模式下,明文密鑰為1~255個字符的字符串;密文密鑰為1~373個字符的字符串。FIPS模式下,明文密鑰為15~255個字符的字符串,密鑰元素的最少組合類型為4(必須包括數字、大寫字母、小寫字母以及特殊字符);密文密鑰為15~373個字符的字符串。
single-connection:所有與從HWTACACS授權服務器交互的授權報文使用同一個TCP連接。如果未指定本參數,則表示每次授權都會使用一個新的TCP連接。
vpn-instance vpn-instance-name:從HWTACACS授權服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示從HWTACACS授權服務器位於公網中。
【使用指導】
配置的從授權服務器的TCP端口號以及授權報文的共享密鑰必須與服務器的配置保持一致。
每個HWTACACS方案中最多支持配置16個從HWTACACS授權服務器。當主服務器不可達時,設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。
如果不指定任何參數,則undo命令將刪除所有從授權服務器。
在同一個方案中指定的主授權服務器和從授權服務器的VPN參數、主機名、IP地址、端口號不能完全相同,並且各從授權服務器的VPN、主機名、IP地址、端口號也不能完全相同。
配置single-connection參數後可節省TCP連接資源,但有些TACACS服務器不支持這種方式,需要根據服務器支持情況進行配置。在服務器支持這種方式的情況下,建議配置single-connection參數,以提高性能和效率。
若服務器位於MPLS VPN私網中,為保證HWTACACS報文被發送到指定的私網服務器,必須指定服務器所屬的VPN實例。本命令指定的服務器所屬的VPN比HWTACACS方案所屬的VPN優先級高。
隻有在設備與授權服務器沒有報文交互時,才允許刪除該服務器。授權服務器刪除後,隻對之後的授權過程有影響。
【舉例】
# 在HWTACACS方案hwt1中,配置從HWTACACS授權服務器的IP地址為10.163.155.13,使用TCP端口49與HWTACACS授權服務器通信,授權報文的共享密鑰為明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相關命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authorization (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
stop-accounting-buffer enable命令用來開啟對無響應的HWTACACS停止計費請求報文的緩存功能。
undo stop-accounting-buffer enable命令用來關閉對無響應的HWTACACS停止計費請求報文的緩存功能。
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【缺省情況】
設備緩存未得到響應的HWTACACS計費請求報文。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟對無響應的HWTACACS停止計費請求報文的緩存功能後,設備在發送停止計費請求報文而HWTACACS服務器沒有響應時,會將其緩存在本機上,然後發送直到HWTACACS計費服務器產生響應,或者在發送的次數達到指定的次數限製(由retry stop-accounting命令設置)後將其丟棄。
如果HWTACACS方案中的某計費服務器被刪除,則設備將會丟棄相應的已緩存停止計費報文。
【舉例】
# 開啟對無響應的HWTACACS停止計費請求報文的緩存功能。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable
【相關命令】
· display stop-accounting-buffer (for HWTACACS)
· reset stop-accounting-buffer (for HWTACACS)
timer quiet命令用來設置服務器恢複激活狀態的時間。
undo timer quiet命令用來恢複缺省情況。
【命令】
timer quiet minutes
undo timer quiet
【缺省情況】
服務器恢複激活狀態的時間為5分鍾。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
minutes:恢複激活狀態的時間,取值範圍為1~255,單位為分鍾。
【舉例】
# 設置服務器恢複激活狀態的時間為10分鍾。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【相關命令】
· display hwtacacs scheme
timer realtime-accounting命令用來設置實時計費的時間間隔。
undo timer realtime-accounting命令用來恢複缺省情況。
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【缺省情況】
實時計費的時間間隔為12分鍾。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
minutes:實時計費的時間間隔,取值範圍為0~60,單位為分鍾。0表示設備不向HWTACACS服務器發送在線用戶的計費信息。
【使用指導】
為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向HWTACACS服務器發送一次在線用戶的計費信息。
實時計費間隔的取值小,計費準確性高,但對設備和HWTACACS服務器的性能要求就高。
|
用戶數 |
實時計費間隔(分鍾) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
大於等於1000 |
大於等於15 |
不同情況下修改的實時計費間隔,對於已在線用戶的生效情況有所不同:
· 將實時計費間隔從非0有效值改為0,或者從0修改為非0有效值後,已在線用戶會依然采用原有取值,修改後的取值對其不生效。
· 將實時計費間隔從某非0有效值修改為其它非0有效值後,已在線用戶將會采用修改後的取值。
【舉例】
# 在HWTACACS方案hwt1中,設置實時計費的時間間隔為51分鍾。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【相關命令】
· display hwtacacs scheme
timer response-timeout命令用來設置HWTACACS服務器響應超時時間。
undo timer response-timeout命令用來恢複缺省情況。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情況】
HWTACACS服務器響應超時時間為5秒。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
seconds:HWTACACS服務器響應超時時間,取值範圍為1~300,單位為秒。
【使用指導】
由於HWTACACS是基於TCP實現的,因此,服務器響應超時或TCP超時都可能導致與HWTACACS服務器的連接斷開。
HWTACACS服務器響應超時時間與配置的HWTACACS服務器總數的乘積不能超過接入模塊定義的用戶認證超時時間,否則在HWTACACS認證過程完成之前用戶就有可能被強製下線。
【舉例】
# 在HWTACACS方案hwt1中,設置HWTACACS服務器響應超時時間為30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【相關命令】
· display hwtacacs scheme
user-name-format命令用來設置發送給HWTACACS服務器的用戶名格式。
undo user-name-format命令用來恢複缺省情況。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情況】
發送給HWTACACS服務器的用戶名攜帶ISP域名。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
keep-original:發送給HWTACACS服務器的用戶名與用戶輸入的保持一致。
with-domain:發送給HWTACACS服務器的用戶名攜帶ISP域名。
without-domain:發送給HWTACACS服務器的用戶名不攜帶ISP域名。
【使用指導】
接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些HWTACACS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給HWTACACS服務器。因此,設備提供此命令以指定發送給HWTACACS服務器的用戶名是否攜帶有ISP域名。
如果指定某個HWTACACS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該HWTACACS方案。否則,會出現雖然實際用戶不同(在不同的ISP域中),但HWTACACS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
【舉例】
# 在HWTACACS方案hwt1中,設置發送給HWTACACS服務器的用戶名不攜帶ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
【相關命令】
· display hwtacacs scheme
vpn-instance命令用來配置HWTACACS方案所屬的VPN。
undo vpn-instance命令用來恢複缺省情況。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情況】
HWTACACS方案屬於公網。
【視圖】
HWTACACS方案視圖
【缺省用戶角色】
network-admin
【參數】
vpn-instance-name:MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
本命令配置的VPN對於該方案下的所有HWTACACS認證/授權/計費服務器生效,但設備優先使用配置認證/授權/計費服務器時指定的各服務器所屬的VPN。
【舉例】
# 配置HWTACACS方案hw1所屬的VPN為test。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] vpn-instance test
【相關命令】
· display hwtacacs scheme
attribute-map命令用來在LDAP方案中引用LDAP屬性映射表。
undo attribute-map命令用來恢複缺省情況。
【命令】
attribute-map map-name
undo attribute-map
【缺省情況】
未引用任何LDAP屬性映射表。
【視圖】
LDAP方案視圖
【缺省用戶角色】
network-admin
【參數】
map-name:LDAP屬性映射表的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
在使用LDAP授權方案的情況下,可以通過在LDAP方案中引用LDAP屬性映射表,將LDAP授權服務器下發給用戶的LDAP屬性映射為AAA模塊可以解析的某類屬性。
一個LDAP方案視圖中隻能引用一個LDAP屬性映射表,後配置的生效。
如果在LDAP授權過程中修改了引用的LDAP屬性映射表,或者修改了引用的LDAP屬性映射表的內容,則該修改對當前的授權過程不會生效,隻對修改後新的LDAP授權過程生效。
【舉例】
# 在LDAP方案ldap1中,引用名稱為map1的LDAP屬性映射表。
<Sysname> system-view
[Sysname] ldap scheme test
[Sysname-ldap-test] attribute-map map1
【相關命令】
· display ldap-scheme
· ldap attribute-map
authentication-server命令用來指定LDAP認證服務器。
undo authentication-server命令用來恢複缺省情況。
【命令】
authentication-server server-name
undo authentication-server
【缺省情況】
未指定LDAP認證服務器。
【視圖】
LDAP方案視圖
【缺省用戶角色】
network-admin
【參數】
server-name:LDAP服務器的名稱,為1~64個字符的字符串,不區分大小寫。
【使用指導】
一個LDAP方案視圖下僅能指定一個LDAP認證服務器,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在LDAP方案ldap1中,指定LDAP認證服務器為ccc。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authentication-server ccc
【相關命令】
· display ldap scheme
· ldap server
authorization-server命令用來指定LDAP授權服務器。
undo authorization-server命令用來恢複缺省情況。
【命令】
authorization-server server-name
undo authorization-server
【缺省情況】
未指定LDAP授權服務器。
【視圖】
LDAP方案視圖
【缺省用戶角色】
network-admin
【參數】
server-name:LDAP服務器的名稱,為1~64個字符的字符串,不區分大小寫。
【使用指導】
一個LDAP方案視圖下僅能指定一個LDAP授權服務器,多次執行本命令,最後一次執行的命令生效。
【舉例】
# 在LDAP方案ldap1中,指定LDAP授權服務器為ccc。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authorization-server ccc
【相關命令】
· display ldap scheme
· ldap server
display ldap scheme命令用來查看LDAP方案的配置信息。
【命令】
display ldap scheme [ ldap-scheme-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
ldap-scheme-name:LDAP方案的名稱,為1~32個字符的字符串,不區分大小寫。如果不指定該參數,則顯示所有LDAP方案的配置信息。
【舉例】
# 查看所有LDAP方案的配置信息。
<Sysname> display ldap scheme
Total 1 LDAP schemes
------------------------------------------------------------------
LDAP scheme name : aaa
Authentication server : aaa
IP : 1.1.1.1
Port : 111
VPN instance : Not configured
LDAP protocol version : LDAPv3
Server timeout interval : 10 seconds
Login account DN : Not configured
Base DN : Not configured
Search scope : all-level
User searching parameters:
User object class : Not configured
Username attribute : cn
Username format : with-domain
Authorization server : aaa
IP : 1.1.1.1
Port : 111
VPN instance : Not configured
LDAP protocol version : LDAPv3
Server timeout interval : 10 seconds
Login account DN : Not configured
Base DN : Not configured
Search scope : all-level
User searching parameters:
User object class : Not configured
Username attribute : cn
Username format : with-domain
Attribute map : map1
------------------------------------------------------------------
表1-14 display ldap scheme命令顯示信息描述表
|
字段 |
描述 |
|
Total 1 LDAP schemes |
總共有1個LDAP方案 |
|
LDAP Scheme Name |
LDAP方案名稱 |
|
Authentication Server |
LDAP認證服務器名稱 未配置時,顯示為Not configured |
|
Authorization server |
LDAP授權服務器名稱 未配置時,顯示為Not configured |
|
IP |
LDAP認證服務器的IP地址 未配置認證服務器IP時,IP地址顯示為Not configured |
|
Port |
LDAP認證服務器的端口號 未配置認證服務器IP時,端口號顯示為缺省值 |
|
VPN Instance |
VPN實例名稱 未配置時,顯示為Not configured |
|
LDAP Protocol Version |
LDAP協議的版本號(LDAPv2、LDAPv3) |
|
Server Timeout Interval |
LDAP服務器連接超時時間(單位為秒) |
|
Login Account DN |
管理員用戶的DN |
|
Base DN |
用戶DN查詢的起始DN |
|
Search Scope |
用戶DN查詢的範圍(all-level:所有子目錄查詢,single-level:下級目錄查詢) |
|
User Searching Parameters |
用戶查詢參數 |
|
User Object Class |
查詢用戶DN時使用的用戶對象類型 未配置時,顯示為Not configured |
|
Username Attribute |
用戶登錄賬號的屬性類型 |
|
Username Format |
發送給服務器的用戶名格式 |
|
Attribute map |
引用的LDAP屬性映射表名稱 未配置時,顯示為Not configured |
ip命令用來配置LDAP服務器的IP地址。
undo ip命令用來恢複缺省情況。
【命令】
ip ip-address [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ip
【缺省情況】
未配置LDAP服務器的IP地址。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:LDAP服務器的IP地址。
port port-number:LDAP服務器所使用的TCP端口號,取值範圍為1~65535,缺省值為389。
vpn-instance vpn-instance-name:LDAP服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN實例的名稱,為1~31個字符的字符串,區分大小寫。不指定該參數時,表示LDAP服務器屬於公網。
【使用指導】
需保證設備上的LDAP服務端口與LDAP服務器上使用的端口設置一致。
更改後的服務器IP地址和端口號,隻對更改之後進行的LDAP認證生效。
【舉例】
# 配置LDAP服務器ccc的IP地址為192.168.0.10、端口號為4300。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300
【相關命令】
· ldap server
ipv6命令用來配置LDAP服務器的IPv6地址。
undo ipv6命令用來恢複缺省情況。
【命令】
ipv6 ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ipv6
【缺省情況】
未配置LDAP服務器的IP地址。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
【參數】
ipv6-address:LDAP服務器的IPv6地址。
port port-number:LDAP服務器所使用的TCP端口號,取值範圍為1~65535,缺省值為389。
vpn-instance vpn-instance-name:LDAP服務器所屬的VPN實例。vpn-instance-name表示MPLS L3VPN實例的名稱,為1~31個字符的字符串,區分大小寫。不指定該參數時,表示LDAP服務器屬於公網。
【使用指導】
需保證設備上的LDAP服務端口與LDAP服務器上使用的端口設置一致。
更改後的服務器IP地址和端口號,隻對更改之後的LDAP認證生效。
【舉例】
# 配置LDAP服務器ccc的IPv6地址為1:2::3:4、端口號為4300。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300
【相關命令】
· ldap server
ldap attribute-map命令用來創建LDAP屬性映射表,並進入LDAP屬性映射表視圖。如果指定的LDAP屬性映射表已經存在,則直接進入LDAP屬性映射表視圖。
undo ldap attribute-map命令用來刪除指定的LDAP屬性映射表。
【命令】
ldap attribute-map map-name
undo ldap attribute-map map-name
【缺省情況】
不存在LDAP屬性映射表。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
map-name:LDAP屬性映射表的名稱,為1~31個字符的字符串,不區分大小寫。
【使用指導】
一個LDAP的屬性映射表中可以添加多個LDAP屬性映射表項,每個表項表示一個LDAP 屬性和一個AAA屬性的映射關係。
可以通過多次執行本命令配置多個LDAP的屬性映射表。
【舉例】
# 創建名稱為map1的LDAP屬性映射表,並進入該屬性映射表視圖。
<Sysname> system-view
[Sysname] ldap attribute-map map1
[Sysname-ldap-map-map1]
【相關命令】
· attribute-map
· ldap scheme
· map
ldap scheme命令用來創建LDAP方案,並進入LDAP方案視圖。如果指定的LDAP方案已經存在,則直接進入LDAP方案視圖。
undo ldap scheme命令用來刪除指定的LDAP方案。
【命令】
ldap scheme ldap-scheme-name
undo ldap scheme ldap-scheme-name
【缺省情況】
不存在LDAP方案。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ldap-scheme-name:LDAP方案的名稱,為1~32個字符的字符串,不區分大小寫。
【使用指導】
一個LDAP方案可以同時被多個ISP域引用。
係統最多支持配置16個LDAP方案。
【舉例】
# 創建名稱為ldap1的LDAP方案並進入其視圖。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1]
【相關命令】
· display ldap scheme
ldap server用來創建LDAP服務器,並進入LDAP服務器視圖。如果指定的LDAP服務器已經存在,則直接進入LDAP服務器視圖。
undo ldap server命令用來刪除指定的LDAP服務器。
【命令】
ldap server server-name
undo ldap server server-name
【缺省情況】
不存在LDAP服務器。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
server-name:LDAP服務器的名稱,為1~64個字符的字符串,不區分大小寫。
【舉例】
# 創建LDAP服務器ccc並進入其視圖。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc]
【相關命令】
· display ldap scheme
login-dn命令用來配置具有管理員權限的用戶DN。
undo login-dn命令用來恢複缺省情況。
【命令】
login-dn dn-string
undo login-dn
【缺省情況】
未配置具有管理員權限的用戶DN。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
【參數】
dn-string:具有管理員權限的用戶DN,是綁定服務器時使用的用戶標識名,為1~255個字符的字符串,不區分大小寫。
【使用指導】
設備上的管理員DN必須與服務器上管理員的DN一致。
更改後的管理員DN,隻對更改之後的LDAP認證生效。
【舉例】
# 在LDAP服務器視圖ccc下,配置管理員權限的用戶DN為uid=test, ou=people, o=example, c=city。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-dn uid=test,ou=people,o=example,c=city
【相關命令】
· display ldap scheme
login-password命令用來配置LDAP認證中,綁定服務器時所使用的具有管理員權限的用戶密碼。
undo login-password命令用來恢複缺省情況。
【命令】
login-password { cipher | simple } string
undo login-password
【缺省情況】
未配置具有管理權限的用戶密碼。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
【參數】
cipher:表示以密文方式設置密碼。
simple:表示以明文方式設置密碼,該密碼將以密文形式存儲。
string:密碼字符串,區分大小寫。明文密碼為1~128個字符的字符串,密文密碼為1~201個字符的字符串。
【使用指導】
該命令隻有在配置了login-dn的情況下生效。當未配置login-dn時,該命令不生效。
【舉例】
# 在LDAP服務器視圖ccc下,配置具有管理員權限的用戶密碼為明文abcdefg。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-password simple abcdefg
【相關命令】
· display ldap scheme
· login-dn
map命令用來配置LDAP屬性映射表項。
undo map命令用來刪除指定的LDAP屬性映射表項。
【命令】
map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute { user-group | user-profile }
undo map [ ldap-attribute ldap-attribute-name ]
【缺省情況】
未指定LDAP屬性映射關係。
【視圖】
LDAP屬性映射表視圖
【缺省用戶角色】
network-admin
【參數】
ldap-attribute ldap-attribute-name:表示要映射的LDAP屬性。其中,ldap-attribute-name表示LDAP屬性名稱,為1~63個字符的字符串,不區分大小寫。
prefix prefix-value delimiter delimiter-value:表示按照一定的格式提取LDAP屬性字符串中的內容映射為AAA屬性。其中,prefix-value表示LDAP屬性字符串中的某內容前綴(例如cn=),為1~7個字符的字符串,不區分大小寫;delimiter-value表示LDAP屬性字符串中的內容分隔符(例如逗號)。若不指定該可選參數,則表示要將一個完整的LDAP屬性字符串映射為指定的AAA屬性。
aaa-attribute:表示要映射為的AAA屬性。
user-group:表示User group類型的AAA屬性。
user-profile:表示User Profile類型的AAA屬性。
【使用指導】
如果某LDAP服務器下發給用戶的屬性不能被AAA模塊解析,則該屬性將被忽略。因此,需要通過本命令指定要獲取哪些LDAP屬性,以及LDAP服務器下發的這些屬性將被AAA模塊解析為什麼類型的AAA屬性,具體映射為哪種類型的AAA屬性由實際應用需求決定。
一個LDAP服務器屬性隻能映射為一個AAA屬性,但不同的LDAP服務器屬性可映射為同一個AAA屬性。
如果undo map命令中不指定ldap-attribute參數,則表示刪除所有的LDAP屬性映射表項。
【舉例】
# 在LDAP屬性映射表視圖map1下,配置將LDAP服務器屬性memberof按照前綴為cn=、分隔符為逗號(,)的格式提取出的內容映射成AAA屬性User group。
<Sysname> system-view
[Sysname] ldap attribute-map map1
[Sysname-ldap-map-map1] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
【相關命令】
· ldap attribute-map
· user-group
· user-profile(安全命令參考/User Profile)
protocol-version命令用來配置LDAP認證中所支持的LDAP協議的版本號。
undo protocol-version命令用來恢複缺省情況。
【命令】
protocol-version { v2 | v3 }
undo protocol-version
【缺省情況】
LDAP版本號為LDAPv3。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
【參數】
v2:表示LDAP協議版本號為LDAPv2。
v3:表示LDAP協議版本號為LDAPv3。
【使用指導】
為保證LDAP認證成功,請保證設備上的LDAP版本號與LDAP服務器上使用的版本號一致。
更改後的服務器版本號,隻對更改之後的LDAP認證生效。
Microsoft的LDAP服務器隻支持LDAPv3,配置LDAP版本為v2時無效。
【舉例】
# 在LDAP服務器視圖ccc下,配置LDAP協議版本號為LDAPv2。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] protocol-version v2
【相關命令】
· display ldap scheme
search-base-dn命令用來配置用戶查詢的起始DN。
undo search-base-dn命令用來恢複缺省情況。
【命令】
search-base-dn base-dn
undo search-base-dn
【缺省情況】
未指定用戶查詢的起始DN。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
【參數】
base-dn:查詢待認證用戶的起始DN值,為1~255個字符的字符串,不區分大小寫。
【舉例】
# 在LDAP服務器視圖ccc下,配置用戶查詢的起始DN為dc=ldap,dc=com。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com
【相關命令】
· display ldap scheme
· ldap server
search-scope命令用來配置用戶查詢的範圍。
undo search-scope命令用來恢複缺省情況。
【命令】
search-scope { all-level | single-level }
undo search-scope
【缺省情況】
用戶查詢的範圍為all-level。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
【參數】
all-level:表示在起始DN的所有子目錄下進行查詢。
single-level:表示隻在起始DN的下一級子目錄下進行查詢。
【舉例】
# 在LDAP服務器視圖ccc下,配置在起始DN的所有子目錄下查詢LDAP認證用戶。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-scope all-level
【相關命令】
· display ldap scheme
· ldap server
server-timeout命令用來配置LDAP服務器連接超時時間,即認證、授權時等待LDAP服務器回應的最大時間。
undo server-timeout命令用來恢複缺省情況。
【命令】
server-timeout time-interval
undo server-timeout
【缺省情況】
LDAP服務器連接超時時間為10秒。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
【參數】
time-interval:LDAP服務器連接超時時間,取值範圍為5~20,單位為秒。
【使用指導】
更改後的連接超時時間,隻對更改之後的LDAP認證生效。
【舉例】
# 在LDAP服務器視圖ccc下,配置LDAP服務器連接超時時間為15秒。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] server-timeout 15
【相關命令】
· display ldap scheme
user-parameters命令用來配置LDAP用戶查詢的屬性參數,包括用戶名屬性、用戶名格式和自定義用戶對象類型。
undo user-parameters命令用來將指定的LDAP用戶查詢的屬性參數恢複為缺省值。
【命令】
user-parameters { user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }
undo user-parameters { user-name-attribute | user-name-format | user-object-class }
【缺省情況】
user-name-attribute為cn;user-name-format為without-domain;未指定自定義user-object-class,根據使用的LDAP服務器的類型使用各服務器缺省的用戶對象類型。
【視圖】
LDAP服務器視圖
【缺省用戶角色】
network-admin
【參數】
user-name-attribute { name-attribute | cn | uid }:表示用戶名的屬性類型。其中,name-attribute表示屬性類型值,為1~64個字符的字符串,不區分大小寫;cn表示用戶登錄賬號的屬性為cn(Common Name);uid表示用戶登錄賬號的屬性為uid(User ID)。
user-name-format { with-domain | without-domain }:表示發送給服務器的用戶名格式。其中,with-domain表示發送給服務器的用戶名帶ISP域名;without-domain表示發送給服務器的用戶名不帶ISP域名。
user-object-class object-class-name:表示查詢用戶DN時使用的用戶對象類型。其中,object-class-name表示對象類型值,為1~64個字符的字符串,不區分大小寫。
【使用指導】
如果LDAP服務器上的用戶名不包含域名,必須配置user-name-format為without-domain,將用戶名的域名去除後再傳送給LDAP服務器;如果包含域名則需配置user-name-format為with-domain。
【舉例】
# 在LDAP服務器視圖ccc下,配置用戶對象類型為person。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] user-parameters user-object-class person
【相關命令】
· display ldap scheme
· login-dn
display radius-server active-client命令用來顯示處於激活狀態的RADIUS客戶端信息。
【命令】
display radius-server active-client
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
可以通過本命令查看設備作為RADIUS服務器時,可用於認證的RADIUS客戶端信息。
【舉例】
# 顯示所有處於激活狀態的RADIUS客戶端信息。
<Sysname> display radius-server active-client
Total 2 RADIUS clients.
Client IP: 2.2.2.2
Client IP: 3.3.3.3
表1-15 display radius-server active-client命令顯示信息描述表
|
字段 |
描述 |
|
Total 2 RADIUS clients |
共計2個RADIUS客戶端 |
|
Client IP |
RADIUS客戶端IP地址 |
【相關命令】
· radius-server client
display radius-server active-user命令用來顯示處於激活狀態的RADIUS用戶信息。
【命令】
display radius-server active-user [ user-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
user-name:RADIUS用戶名,為1~55個字符的字符串,區分大小寫,用戶名不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”或“all”。若不指定該參數,則顯示所有RADIUS用戶信息。
【使用指導】
可以通過本命令查看設備作為RADIUS服務器時,用於驗證接入用戶身份的RADIUS用戶信息。
【舉例】
# 顯示用戶名為test的處於激活狀態的RADIUS用戶信息。
<Sysname> display radius-server active-user test
Total 1 RADIUS users matched.
Username: test
Description: A network access user from company cc
Authorization attributes:
VLAN ID: 2
ACL number: 2000
Validity period:
Expiration time: 2015/04/03-18:00:00
# 顯示所有處於激活狀態的RADIUS用戶信息。
<Sysname> display radius-server active-user
Total 2 RADIUS users matched.
Username: 123
Description: A network access user from company cc
Authorization attributes:
VLAN ID: 2
ACL number: 3000
Validity period:
Expiration time: 2016/04/03-18:00:00
Username: 456
Description: A network access user from company cc
Authorization attributes:
VLAN ID: 2
ACL number: 3000
Validity period:
Expiration time: 2016/04/03-18:00:00
表1-16 display radius-server active-user命令顯示信息描述表
|
字段 |
描述 |
|
Username |
RADIUS用戶名 |
|
Description |
用戶的描述信息 |
|
Authorization attributes |
用戶授權屬性 |
|
VLAN ID |
授權VLAN |
|
ACL number |
授權ACL |
|
Validity period |
用戶有效期 |
|
Expiration time |
有效期的結束日期和時間 |
【相關命令】
· local-user
radius-server activate命令用來激活RADIUS服務器配置,即激活當前的RADIUS客戶端和RADIUS用戶配置。
【命令】
radius-server activate
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
設備啟動後會自動激活已有的RADIUS客戶端和RADIUS用戶配置,其中的RADIUS用戶配置是由設備上的網絡接入類本地用戶信息直接生成。之後若對RADIUS客戶端和網絡接入類本地用戶進行了增加、修改或刪除操作,則都需要使用此命令對其進行激活,否則更新後的配置無法生效。
執行此命令後,會導致RADIUS服務器進程重啟。RADIUS服務器進程重啟期間,設備無法作為RADIUS服務器為用戶提供認證服務。
【舉例】
# 激活RADIUS服務器配置。
<Sysname> system-view
[Sysname] radius-server activate
【相關命令】
· display radius-server active-client
· display radius-server active-user
radius-server client命令用來指定RADIUS客戶端。
undo radius-server client命令用來刪除指定的RADIUS客戶端。
【命令】
radius-server client ip ipv4-address key { cipher | simple } string
undo radius-server client { all | ip ipv4-address }
【缺省情況】
未指定RADIUS客戶端。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip ipv4-address:RADIUS客戶端的IPv4地址,不能為0.X.X.X和127.X.X.X,以及A、B、C類以外的地址。
key:指定與RADIUS客戶端通信的共享密鑰。
cipher:表示以密文方式設置密鑰。
simple:表示以明文方式設置密鑰。
string:密鑰字符串,區分大小寫。明文密鑰為1~64個字符的字符串;密文密鑰為1~117個字符的字符串。
all:指定所有RADIUS客戶端。
【使用指導】
RADIUS服務器上指定的RADIUS客戶端IP地址必須和RADIUS客戶端上配置的發送RADIUS報文的源IP地址保持一致。
RADIUS服務器上指定的共享密鑰必須和RADIUS客戶端上配置的與RADIUS服務器通信的共享密鑰保持一致。
可通過多次執行本命令,指定多個RADIUS客戶端。
【舉例】
# 配置RADIUS客戶端IP地址為2.2.2.2,共享密鑰為明文test。
<Sysname> system-view
[Sysname] radius-server client ip 2.2.2.2 key simple test
【相關命令】
· display radius-server active-client
aaa connection-recording policy命令用來創建連接記錄策略,並進入連接記錄策略視圖。如果連接記錄策略已經存在,則直接進入連接記錄策略視圖。
undo aaa connection-recording policy命令用來刪除連接記錄策略。
【命令】
aaa connection-recording policy
undo aaa connection-recording policy
【缺省情況】
不存在連接記錄策略。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
創建連接記錄策略後,當設備作為Telnet客戶端或者FTP/SSH/SFTP客戶端與服務器端成功建立連接時,係統會按照策略中指定的計費方案向AAA服務器發送計費開始報文,斷開連接時發送計費結束報文。
【舉例】
# 創建連接記錄策略,並進入其視圖。
<Sysname> system-view
[Sysname] aaa connection-recording policy
[sysname-connection-recording-policy]
【相關命令】
· accounting hwtacacs-scheme
· display aaa connection-recording policy
accounting hwtacacs-scheme命令用來指定連接記錄策略采用的HWTACACS計費方案。
undo accounting命令用來恢複缺省情況。
【命令】
accounting hwtacacs-scheme hwtacacs-scheme-name
undo accounting
【缺省情況】
未指定連接記錄策略采用的HWTACACS計費方案。
【視圖】
連接記錄策略視圖
【缺省用戶角色】
network-admin
【參數】
hwtacacs-scheme-name:表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
【使用指導】
修改後的HWTACACS計費方案,僅對設備與遠程服務器新建的Telnet/FTP/SSH/SFTP連接生效。
對於同一個連接,若係統已經將計費開始報文成功發送給HWTACACS方案中指定的HWTACACS服務器,則後續的計費停止報文也會發送給該服務器。
多次執行本命令,最後一次執行的命令生效。
連接記錄業務處理過程中,係統發送給AAA服務器的計費報文中封裝的是用戶輸入的原始用戶名,因此計費方案中通過user-name-format命令設置的用戶名格式並不生效。
【舉例】
# 創建連接記錄策略,並在其視圖下指定連接記錄策略采用的HWTACACS計費方案為tac。
<Sysname> system-view
[Sysname] aaa connection-recording policy
[sysname-connection-recording-policy] accounting hwtacacs-scheme tac
【相關命令】
· aaa connection-recording policy
· display aaa connection-recording policy
display aaa connection-recording policy用來顯示記錄連接策略的配置信息。
【命令】
display aaa connection-recording policy
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示記錄連接策略的配置信息。
<Sysname> display aaa connection-recording policy
Connection-recording policy:
Accounting scheme: HWTACACS=tac1
【相關命令】
· aaa connection-recording policy
· accounting hwtacacs-scheme
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
