- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-AAA命令
本章節下載: 01-AAA命令 (400.32 KB)
目 錄
1.1.11 authentication lan-access
1.1.17 authorization lan-access
1.1.20 authorization-attribute
1.1.21 authorization-attribute user-profile
1.1.34 local-user password-display-mode
1.1.37 self-service-url enable
2.1.2 data-flow-format (RADIUS scheme view)
2.1.4 display radius statistics
2.1.5 display stop-accounting-buffer
2.1.6 key (RADIUS scheme view)
2.1.7 nas-ip (RADIUS scheme view)
2.1.8 primary accounting (RADIUS scheme view)
2.1.9 primary authentication (RADIUS scheme view)
2.1.14 reset radius statistics
2.1.15 reset stop-accounting-buffer
2.1.17 retry realtime-accounting
2.1.18 retry stop-accounting (RADIUS scheme view)
2.1.19 secondary accounting (RADIUS scheme view)
2.1.20 secondary authentication (RADIUS scheme view)
2.1.24 stop-accounting-buffer enable (RADIUS scheme view)
2.1.25 timer quiet (RADIUS scheme view)
2.1.26 timer realtime-accounting (RADIUS scheme view)
2.1.27 timer response-timeout (RADIUS scheme view)
2.1.28 user-name-format (RADIUS scheme view)
3.1.1 data-flow-format (HWTACACS scheme view)
3.1.3 display stop-accounting-buffer
3.1.6 key (HWTACACS scheme view)
3.1.7 nas-ip (HWTACACS scheme view)
3.1.8 primary accounting (HWTACACS scheme view)
3.1.9 primary authentication (HWTACACS scheme view)
3.1.11 reset hwtacacs statistics
3.1.12 reset stop-accounting-buffer
3.1.13 retry stop-accounting (HWTACACS scheme view)
3.1.14 secondary accounting (HWTACACS scheme view)
3.1.15 secondary authentication (HWTACACS scheme view)
3.1.16 secondary authorization
3.1.17 stop-accounting-buffer enable (HWTACACS scheme view)
3.1.18 timer quiet (HWTACACS scheme view)
3.1.19 timer realtime-accounting (HWTACACS scheme view)
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
profile-name:保存NAS-ID與VLAN綁定關係的Profile名稱,為1~16個字符的字符串,不區分大小寫。
【描述】
aaa nas-id profile命令用來創建一個NAS-ID Profile或者進入一個已創建的NAS-ID-Profile視圖。undo aaa nas-id profile命令用來刪除一個指定的NAS-ID Profile。
相關配置可參考命令nas-id bind vlan。
【舉例】
# 創建一個名字為aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【命令】
access-limit max-user-number
undo access-limit
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
max-user-number:表示使用當前用戶名接入設備的最大用戶數,取值範圍為1~1024。
【描述】
access-limit命令用來設置當前用戶名可容納的最大接入用戶數。undo access-limit命令用來取消對當前用戶名的接入用戶數限製。
缺省情況下,不限製當前本地用戶名可容納的接入用戶數。
需要注意的是,本地用戶的access-limit命令隻在配置了本地計費方案的情況下生效。
相關配置可參考命令display local-user。
【舉例】
# 允許同時以用戶名abc在線的用戶數為5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] access-limit 5
【命令】
access-limit enable max-user-number
undo access-limit enable
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
max-user-number:表示當前ISP域可容納接入用戶數的最大值,取值範圍為1~2147483646。
【描述】
access-limit enable命令用來限製當前ISP域可容納接入用戶數。undo access-limit enable命令用來恢複缺省情況。
缺省情況下,不限製當前ISP域可容納的接入用戶數。
需要注意的是,由於接入用戶之間會發生資源的爭用,因此適當地配置該值可以使屬於當前ISP域的用戶獲得可靠的性能保障。對當前ISP域下所能接入的用戶數進行限製後,當接入此域的用戶數超過當前ISP域可容納的最大用戶數後,新接入的用戶將被拒絕。
【舉例】
# 指定ISP域test最多可容納500個接入用戶。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] access-limit enable 500
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串。
【描述】
accounting command命令用來配置命令行計費方案。undo accounting command命令用來恢複缺省情況。
缺省情況下,命令行計費采用缺省的計費方案。
需要注意的是:
l 當前ISP域所引用的HWTACACS方案必須是已配置的。
l 目前隻有HWTACACS方案支持命令行計費。
相關配置可參考命令accounting default、hwtacacs scheme。
【舉例】
# 在ISP域test下,配置命令行計費方案為HWTACACS計費方案hwtac。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting default
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串。
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
accounting default命令用來為所有類型的用戶配置缺省的計費方案。undo accounting default命令用來恢複缺省情況。
缺省情況下,所有類型的用戶采用local計費方案。
需要注意的是:
l 當前ISP域所引用的RADIUS或HWTACACS方案必須是已配置的。
l 本命令所配置的計費方案不區分用戶類型,即對所有類型的用戶都起作用。此配置的優先級低於具體接入方式的配置。
l 本地計費隻是為了支持本地用戶的連接數管理,沒有實際的統計功能。本地的接入數管理隻對本地計費有效,對本地認證和授權沒有作用。
相關配置可參考命令authentication default、authorization default、hwtacacs scheme和radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為所有類型的用戶配置計費方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting default local
# 在ISP域test下,為所有類型的用戶配置方案名為rd的RADIUS計費方案,並且local作為備份計費方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
accounting lan-access { local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting lan-access
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
accounting lan-access命令用來為lan-access用戶配置計費方案。undo accounting lan-access命令用來恢複缺省情況。
缺省情況下,lan-access用戶采用命令accounting default配置的缺省計費方案。
需要注意的是,當前ISP域所引用的RADIUS方案必須是已配置的。
相關配置可參考命令accounting default和radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為lan-access用戶配置計費方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting lan-access local
# 在ISP域test下,為lan-access用戶配置方案名為rd的RADIUS計費方案,並且local作為備份計費方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting login
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串。
local:本地計費。實現了本地用戶連接數的統計和限製,並沒有實際的費用統計功能。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
accounting login命令用來為login用戶配置計費方案。undo accounting login命令用來恢複缺省情況。
缺省情況下,login用戶采用缺省的計費方案。
需要注意的是:
l 當前ISP域所引用的RADIUS或HWTACACS方案必須是已配置的。
l login接入方式中的FTP服務不支持計費流程。
相關配置可參考命令accounting default、hwtacacs scheme和radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為login用戶配置計費方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting login local
# 在ISP域test下,為login用戶配置方案名為rd的RADIUS計費方案,並且local作為備份計費方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【命令】
accounting optional
undo accounting optional
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
accounting optional命令用來打開計費可選開關。undo accounting optional命令用來關閉計費可選開關。
缺省情況下,計費可選處於關閉狀態。
需要注意的是:
l 對上線用戶計費時,如果發現沒有可用的計費服務器或與計費服務器通信失敗時,若配置了本命令,則用戶可以繼續使用網絡資源,且係統不再為其發送實時計費更新報文,否則用戶連接將被切斷。該命令適用於隻認證但不關心計費的情況。
l 計費可選開關打開的情況下,本地用戶視圖下的access-limit命令配置的本地用戶的連接數限製功能不生效。
【舉例】
# 打開ISP域test的計費可選開關。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting optional
【命令】
accounting portal { local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting portal
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
local:本地計費。
none:不計費。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
accounting portal命令用來為Portal用戶配置計費方案。undo accounting portal命令用來恢複缺省情況。
缺省情況下,Portal用戶采用缺省的計費方案。
需要注意的是,當前ISP域所引用的RADIUS方案必須是已配置的。
相關配置可參考命令accounting default和radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為Portal用戶配置計費方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting portal local
# 在ISP域test下,為Portal用戶配置方案名為rd的RADIUS計費方案,並且local作為備份計費方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal radius-scheme rd local
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication default
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
authentication default命令用來為所有類型的用戶配置缺省的認證方案。undo authentication default命令用來為恢複缺省情況。
缺省情況下,所有類型的用戶采用local認證。
需要注意的是:
l 當前ISP域所引用的RADIUS、HWTACACS方案必須是已配置的。
l 本命令配置的認證方案不區分用戶類型,即對所有類型的用戶都起作用。此配置的優先級低於具體接入方式的配置。
相關配置可參考命令authorization default、accounting default、hwtacacs scheme、radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為所有類型的用戶配置認證方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication default local
# 在ISP域test下,為所有類型的用戶配置方案名為rd的RADIUS認證方案,並且local作為備份認證方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
【命令】
authentication lan-access { local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication lan-access
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
authentication lan-access命令用來為lan-access用戶配置認證方案。undo authentication lan-access命令用來恢複缺省情況。
缺省情況下,lan-access用戶采用缺省的認證方案。
需要注意的是,當前ISP域所引用的RADIUS方案必須是已配置的。
相關配置可參考命令authentication default和radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為lan-access用戶配置認證方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication lan-access local
# 在ISP域test下,為lan-access用戶配置方案名為rd的RADIUS認證方案,並且local作為備份認證方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access radius-scheme rd local
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication login
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串。
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
authentication login命令用來為login用戶配置認證方案。undo authentication login命令用來恢複缺省情況。
缺省情況下,login用戶采用缺省的認證方案。
需要注意的是,當前ISP域所引用的RADIUS、HWTACACS方案必須是已配置的。
相關配置可參考命令authentication default、hwtacacs scheme、radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為login用戶配置認證方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication login local
# 在ISP域test下,為login用戶配置方案名為rd的RADIUS認證方案,並且local作為備份認證方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
【命令】
authentication portal { local | none | radius-scheme radius-scheme-name [ local ] }
undo authentication portal
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
local:本地認證。
none:不進行認證。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
authentication portal命令用來為Portal用戶配置認證方案。undo authentication portal命令用來恢複缺省情況。
缺省情況下,Portal用戶采用缺省的認證方案。
需要注意的是:當前ISP域所引用的RADIUS方案必須是已配置的。
相關配置可參考命令authentication default和radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為Portal用戶配置認證方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication portal local
# 在ISP域test下,為Portal用戶配置方案名為rd的RADIUS認證方案,並且local作為備份認證方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication portal radius-scheme rd local
【命令】
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name }
undo authentication super
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串,不區分大小寫。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
authentication super命令用來配置級別切換認證方案。undo authentication super命令用來恢複缺省情況。
缺省情況下,級別切換采用缺省的認證方案。
需要注意的是,當前ISP域所引用的RADIUS方案和HWTACACS方案必須是已配置的。
相關配置可參考命令hwtacacs scheme、radius scheme和“係統分冊/係統基本配置命令”中的命令super authentication-mode。
【舉例】
# 在ISP域test下,配置級別切換的認證方案為HWTACACS認證方案tac。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-domain-test] authentication super hwtacacs-scheme tac
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local | none ] | local | none }
undo authorization command
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串。
local:本地授權。
none:直接授權,即對用戶非常信任,直接授權通過,此時用戶的權限為係統的默認權限。
【描述】
authorization command命令用來配置命令行授權方案。undo authorization command命令用來恢複缺省情況。
缺省情況下,命令行授權采用缺省的授權方案。
需要注意的是:
l 當前ISP域所引用的HWTACACS方案必須是已配置的。
l 對於本地授權,本地用戶必須存在,而且當前要授權的命令行的級別不能大於本地用戶的級別,否則本地授權失敗。
相關配置可參考命令authorization default和hwtacacs scheme。
【舉例】
# 在係統缺省的ISP域system下,配置命令行授權方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization command local
# 在ISP域test下,配置命令行授權方案名為HWTACACS授權方案hwtac,並且local作為備份認證方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization default
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串。
local:本地授權。
none:直接授權,即對用戶非常信任,直接授權通過,此時用戶的權限為係統的默認權限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
authorization default命令用來為所有類型的用戶配置缺省的授權方案。undo authorization default命令用來恢複缺省情況。
缺省情況下,所有類型的用戶采用local授權方案。
需要注意的是:
l 當前ISP域所引用的RADIUS、HWTACACS方案必須是已配置的。
l authorization default命令配置的授權方案不區分用戶類型,即對所有類型的用戶都起作用。此配置的優先級低於具體接入方式的配置。
l RADIUS授權是特殊的流程,隻是在認證和授權的RADIUS方案相同的條件下,RADIUS授權起作用,否則授權失敗。對於所有RADIUS授權失敗的情況,授權失敗返回給NAS的原因為server沒有響應。
相關配置可參考命令authentication default、accounting default、hwtacacs scheme、radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為所有類型的用戶配置授權方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization default local
# 在ISP域test下,為所有類型的用戶配置方案名為rd的RADIUS授權方案,並且local作為備份授權方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
【命令】
authorization lan-access { local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization lan-access
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
local:本地授權。
none:直接授權,即對用戶非常信任,直接授權通過,此時用戶的權限為係統的默認權限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
authorization lan-access命令用來為lan-access用戶配置授權方案。undo authorization lan-access命令用來為恢複缺省情況。
缺省情況下,lan-access用戶采用缺省的授權方案。
需要注意的是:
l 當前ISP域所引用的RADIUS方案必須是已配置的。
l RADIUS授權是特殊的流程,隻是在認證和授權的RADIUS方案相同的條件下,RADIUS授權起作用,否則授權失敗。
相關配置可參考命令authorization default和radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為lan-access用戶配置授權方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization lan-access local
# 在ISP域test下,為lan-access用戶配置方案名為rd的RADIUS授權方案,並且local作為備份授權方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access radius-scheme rd local
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization login
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,為1~32個字符的字符串。
local:本地授權。
none:直接授權,即對用戶非常信任,直接授權通過,此時用戶的權限為係統的默認權限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
authorization login命令用來為login用戶配置授權方案。undo authorization login命令用來恢複缺省情況。
缺省情況下,login用戶采用缺省的授權方案。
需要注意的是:
l 當前ISP域所引用的RADIUS、HWTACACS方案必須是已配置的。
l RADIUS授權是特殊的流程,隻是在認證和授權的RADIUS方案相同的條件下,RADIUS授權起作用,否則授權失敗。
相關配置可參考命令authorization default、hwtacacs scheme、radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為login用戶配置授權方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization login local
# 在ISP域test下,為login用戶配置方案名為rd的RADIUS授權方案,並且local作為備份授權方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
【命令】
authorization portal { local | none | radius-scheme radius-scheme-name [ local ] }
undo authorization portal
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
local:本地授權。
none:直接授權,即對用戶非常信任,直接授權通過,此時用戶的權限為係統的默認權限。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為1~32個字符的字符串。
【描述】
authorization portal命令用來為Portal用戶配置授權方案。undo authorization portal命令用來恢複缺省情況。
缺省情況下,Portal用戶采用缺省的授權方案。
需要注意的是:
l 當前ISP域所引用的RADIUS方案必須是已配置的。
l RADIUS授權是特殊的流程,隻是在認證和授權的RADIUS方案相同的條件下,RADIUS授權起作用,否則授權失敗。
相關配置可參考命令authorization default和radius scheme。
【舉例】
# 在係統缺省的ISP域system下,為Portal用戶配置授權方案為local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization portal local
# 在ISP域test下,為Portal用戶配置方案名為rd的RADIUS授權方案,並且local作為備份授權方案。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization portal radius-scheme rd local
【命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } *
undo authorization-attribute { acl | callback-number | idle-cut | level | user-profile | vlan | work-directory } *
【視圖】
本地用戶視圖/用戶組視圖
【缺省級別】
3:管理級
【參數】
acl acl-number:指定本地用戶的授權ACL。其中,acl-number為授權ACL的編號,取值範圍為2000~5999。
callback-number callback-number:指定本地用戶的授權PPP回呼號碼。其中,callback-number為1~64個字符的字符串,區分大小寫。
idle-cut minute:啟用本地用戶的閑置切斷功能。其中,minute為設定的閑置切斷時間,取值範圍為1~120,單位為分鍾。如果用戶在線後連續閑置的時長超過該值,設備會強製該用戶下線。
level level:指定本地用戶的級別,取值範圍為0~3。其中0為訪問級、1為監控級、2為係統級、3為管理級,數值越小,用戶的級別越低。缺省值為0。
user-profile profile-name:指定本地用戶的授權User Profile。其中,profile-name表示用戶配置文件的名稱,為1~32個字符的字符串,隻能包含英文字母、數字、下劃線,且必須以英文字母開始,區分大小寫。
vlan vlan-id:指定本地用戶的授權VLAN。其中,vlan-id為VLAN編號,取值範圍為1~4094。
work-directory directory-name:授權FTP/SFTP用戶可以訪問的目錄。其中,directory-name表示FTP/SFTP用戶可以訪問的目錄,為1~135個字符的字符串,不區分大小寫,且該目錄必須已經存在。
【描述】
authorization-attribute命令用來設置本地用戶或用戶組的授權屬性,該屬性在本地用戶認證通過之後,由設備下發給用戶。undo authorization-attribute命令用來刪除配置的授權屬性。
缺省情況下,未設置任何授權屬性。
需要注意的是:
l 可配置的授權屬性都有其明確的使用環境和用途,而且本地用戶授權屬性的下發並不區分用戶的服務類型,即會對所有類型的接入用戶都下發已配置的授權屬性,因此配置下發的授權屬性時要考慮該類型的用戶是否需要某些屬性。
l 用戶組的授權屬性對於組內的所有本地用戶生效。
l 若本地用戶與所屬的用戶組都配置了授權屬性,則本地用戶的配置生效。
l 如果配置登錄用戶界麵的驗證方式(authentication-mode)為不認證(none)或采用密碼認證(password),則用戶登錄到係統後所能訪問的命令級別由用戶界麵的級別確定。關於配置登錄用戶界麵的驗證方式的具體內容請參見“係統分冊/登錄交換機命令”中的命令authentication-mode;如果配置的認證方式需要用戶名和口令,則用戶登錄係統後所能訪問的命令級別由用戶的級別確定。對於SSH用戶,使用RSA公鑰認證時,其所能使用的命令以用戶界麵上設置的級別為準。
l 如果通過文件係統命令刪除指定的FTP/SFTP用戶可以訪問的目錄,則FTP/SFTP用戶將不能訪問此目錄;
l 如果在當前指定的FTP/SFTP用戶可以訪問的目錄中攜帶備板槽位信息,則主備切換後FTP/SFTP用戶將不能正常登錄,建議用戶在指定工作目錄時不要攜帶槽位信息。
【舉例】
# 配置用戶組abc的授權VLAN為VLAN 3。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
【命令】
authorization-attribute user-profile profile-name
undo authorization-attribute user-profile
【視圖】
ISP域視圖
【缺省級別】
3:管理級
【參數】
profile-name:指定的User Profile名稱,為1~31個字符的字符串,區分大小寫。User Profile的相關配置請參考“Qos分冊”中的“User Profile命令”。
【描述】
authorization-attribute user-profile命令用於配置當前ISP域的缺省授權User Porfile。undo authorization-attribute user-profile命令用於恢複缺省情況。
缺省情況下,當前ISP域無缺省授權User Porfile。
如果當前ISP域的用戶認證成功,但認證服務器(包括本地認證下的接入設備)未對該ISP域下發授權User Porfile,則係統使用本配置指定的User Porfile作為當前ISP域的授權User Porfile。
需要注意的是,重複配置本命令,會覆蓋原有的配置。
【舉例】
# 配置test域下的缺省授權User Profile為profile1。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization-attribute user-profile profile1
【命令】
bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *
undo bind-attribute { call-number| ip | location | mac | vlan } *
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
call-number call-number:指定ISDN用戶認證的主叫號碼。其中call-number為1~64個字符的字符串。
subcall-number:指定子主叫號碼。如果配置了子主叫號碼,則主叫號碼與子主叫號碼的總長度不能大於62個字符。
ip ip-address:指定用戶的IP地址。
location:設置用戶的端口綁定屬性。
port slot-number subslot-number port-number:指定用戶綁定的端口。其中slot-number為槽號,取值範圍為0~255。subslot-number為子槽號,取值範圍為0~15。port-number為端口號,取值範圍0~255。綁定的端口隻針對端口號,不區分端口類型。
mac mac-address:指定用戶的MAC地址。其中,mac-address為H-H-H格式。
vlan vlan-id:設置用戶所屬於的VLAN。其中,vlan-id為VLAN編號,取值範圍為1~4094。
【描述】
bind-attribute命令用來設置用戶的綁定屬性。undo bind-attribute命令用來刪除配置的用戶綁定屬性。
缺省情況下,未設置用戶的任何綁定屬性。
需要注意的是:
l 配置的綁定屬性是本地用戶進行認證時需要檢測的項目,如果用戶的實際屬性與配置的綁定屬性不符,則檢測不通過,認證失敗。而且,由於認證檢測時不區分用戶的接入服務類型,即會對所有類型的用戶都進行已配置綁定屬性的認證檢測,因此在配置綁定屬性時要考慮某類型的用戶是否需要綁定某些屬性。
l 本地用戶的bind-attribute ip命令隻適用於支持IP地址上傳功能的認證,如802.1X認證;對於不支持IP地址上傳功能的認證,如果配置了該命令,會導致本地認證失敗,如MAC地址認證。
l 本地用戶的bind-attribute mac命令隻適用於lan-access類型的用戶,如802.1X認證;對於其它類型用戶(如FTP或Telnet)的認證,如果配置了該命令,會導致本地認證失敗。
【舉例】
# 配置本地用戶abc的綁定IP為3.3.3.3。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] bind-attribute ip 3.3.3.3
【命令】
cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id } [ slot slot-number ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
access-type:指定接入方式。
l dot1x:表示802.1X認證接入方式;
l mac-authentication:表示MAC地址認證接入方式;
l portal:表示Portal認證接入方式。
all:切斷所有用戶連接。
domain isp-name:指定ISP域。其中,isp-name為ISP域名,為1~24個字符的字符串。
interface interface-type interface-number:指定端口。其中,interface-type interface-number為端口類型和端口編號。
ip ip-address:指定IP地址。
mac mac-address:指定MAC地址。其中,mac-address為H-H-H格式。
ucibindex ucib-index:指定連接索引號,取值範圍為0~4294967295。
user-name user-name:指定用戶名。其中,user-name表示用戶名,為1~80個字符的字符串,區分大小寫。輸入的用戶名必須帶域名,否則係統默認其帶缺省域名。
vlan vlan-id:指定用戶所在VLAN。其中,vlan-id的取值範圍為1~4094。
slot slot-number:指定單板所在槽位號,取值範圍請以設備的實際情況為準。
【描述】
cut connection命令用來強製切斷指定AAA用戶的連接。
此命令目前隻對lan-access、Portal服務類型的用戶有效。
相關配置可參考命令display connection和service-type。
【舉例】
# 切斷ISP域test下的所有用戶連接。
<Sysname> system-view
[Sysname] cut connection domain test
【命令】
display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ slot slot-number ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
access-type:指定接入方式。
l dot1x:表示802.1X認證接入方式;
l mac-authentication:表示MAC地址認證接入方式;
l portal:表示Portal認證接入方式。
domain isp-name:顯示指定ISP域下的全部用戶連接。其中,isp-name表示ISP域名,為1~24個字符的字符串,不區分大小寫。
interface interface-type interface-number:指定端口。其中,interface-type interface-number為端口類型和端口編號。
ip ip-address:指定IP地址。
mac mac-address:指定MAC地址。其中,mac-address為H-H-H格式。
ucibindex ucib-index:顯示指定連接索引的所有用戶連接。其中,ucib-index表示連接索引號,取值範圍為0~4294967295。
user-name user-name:顯示指定用戶名的用戶連接。其中,user-name表示用戶名,為1~80個字符的字符串,區分大小寫。輸入的用戶名必須帶域名,否則係統默認其帶缺省域名。
vlan vlan-id:指定用戶所在VLAN。其中,vlan-id的取值範圍為1~4094。
slot slot-number:顯示指定單板上所有用戶的連接。其中slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
display connection命令用來顯示所有或指定的AAA用戶連接的相關信息。
需要注意的是:
l 不指定任何參數的情況下,係統顯示所有AAA用戶連接的概要信息。
l 指定參數ucibindex的情況下,顯示詳細的用戶連接信息,指定其它參數則顯示概要信息。
l 對於FTP類型用戶,無法顯示AAA用戶連接的相關信息。
相關配置可參考命令cut connection。
【舉例】
# 顯示所有AAA用戶連接的相關信息。
<Sysname> display connection
Slot: 0
Index=1 ,Username=telnet@system
IP=10.0.0.1
Total 1 connection(s) matched on slot 0.
Total 1 connection(s) matched.
表1-1 display connection命令顯示信息描述表
|
字段 |
描述 |
|
Slot |
槽位號 |
|
Index |
索引號 |
|
Username |
當前連接的用戶名,格式為username@domain |
|
IP |
該用戶IP地址 |
|
Total 1 connection(s) matched on slot 0. |
槽位號為0的單板上有1個AAA用戶連接 |
|
Total 1 connection(s) matched. |
總計1個AAA用戶連接 |
【命令】
display domain [ isp-name ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
isp-name:指定ISP域名,為1~24個字符的字符串。
【描述】
display domain命令用來顯示指定ISP域的配置信息。
如果不指定ISP域,則顯示係統中所有ISP域的配置信息。
相關配置可參考命令access-limit enable、domain和state。
【舉例】
# 顯示係統中所有ISP域的配置信息。
0 Domain : system
State : Active
Access-limit : Disabled
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Authorization attributes:
1 Domain : test
State : Active
Access-limit : Disabled
Accounting method : Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Lan-access authentication scheme : radius:test, local
Lan-access authorization scheme : hwtacacs:hw, local
Lan-access accounting scheme : local
Domain User Template:
Idle-cut : Disabled
Self-service : Disabled
Authorization attributes :
User-profile : profile1
Default Domain Name: system
Total 2 domain(s).
表1-2 display domain命令顯示信息描述表
|
字段 |
描述 |
|
Domain |
域名 |
|
State |
狀態(Active:激活、Block:阻塞) |
|
Access-limit |
接入限製數(Disable:未使能) |
|
Accounting method |
計費方法(Required:必選、Optional:可選) |
|
Default authentication scheme |
缺省的認證方案 |
|
Default authorization scheme |
缺省的授權方案 |
|
Default accounting scheme |
缺省的計費方案 |
|
Lan-access authentication scheme |
lan-access用戶的認證方案 |
|
Lan-access authorization scheme |
lan-access用戶的授權方案 |
|
Lan-access accounting scheme |
lan-access用戶的計費方案 |
|
Domain User Template |
域用戶模板 |
|
Idle-cut |
閑置切斷功能(Disabled:未使能、Enabled:使能) |
|
Self-service |
自助服務功能(Disabled:未使能) |
|
Default Domain Name |
缺省ISP域名 |
|
Authorization attributes |
授權屬性 |
|
User-profile |
缺省授權User Profile名稱 |
|
Default Domain Name |
缺省ISP域名 |
|
Total 2 domain(s). |
總計2個ISP域 |
【命令】
display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | portal | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ] [ slot slot-number ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
idle-cut { disable | enable }:顯示指定閑置切斷功能的所有本地用戶信息。其中,disable表示禁止用戶啟用閑置切斷功能;enable表示允許用戶啟用閑置切斷功能。
service-type:顯示指定用戶類型的所有本地用戶信息。
l ftp指定用戶為FTP類型;
l lan-access指定用戶為lan-access類型(主要指以太網接入用戶,比如802.1X用戶);
l portal為Portal用戶。
l ssh為SSH用戶;
l telnet為Telnet用戶;
l terminal為從CON口、AUX口登錄的終端用戶。
state { active | block }:顯示指定狀態下的所有本地用戶信息。其中,active表示係統允許用戶請求網絡服務;block表示係統不允許用戶請求網絡服務。
user-name user-name:顯示指定用戶名的本地用戶信息。其中,user-name表示本地用戶名,為1~55個字符的字符串,區分大小寫,不能攜帶域名。
vlan vlan-id:顯示指定VLAN內的所有本地用戶信息。其中,vlan-id為VLAN編號,取值範圍為1~4094。
slot slot-number:顯示指定單板的所有本地用戶信息。其中slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
display local-user命令用來顯示所有或指定的本地用戶的相關信息。
相關配置可參考命令local-user。
【舉例】
<Sysname> display local-user user-name bbb slot 2
Slot: 2
The contents of local user bbb:
State: Active
ServiceType: lan-access
Access-limit: Enable Current AccessNum: 0
Max AccessNum: 300
User-group: system
Bind attributes:
IP address: 1.2.3.4
Bind location: 0/4/1 (SLOT/SUBSLOT/PORT)
MAC address: 0001-0002-0003
Vlan ID: 100
Authorization attributes:
Idle TimeOut: 10(min)
Work Directory: flash:/
User Privilege: 3
Acl ID: 2000
Vlan ID: 100
User Profile: prof1
Expiration date: 12:12:12-2018/09/16
Total 1 local user(s) matched.
表1-3 display local-user命令顯示信息描述表
|
字段 |
描述 |
|
Slot |
接口板所在槽位號 |
|
State |
本地用戶狀態(Active:激活、Block:阻塞) |
|
ServiceType |
本地用戶使用的服務類型(ftp、lan-access、portal、ssh、telnet、terminal) |
|
Access-limit |
當前用戶名的連接數限製 |
|
Current AccessNum |
當前接入用戶數 l 若不指定接口板,則顯示所有接口板上該用戶的接入數總和 l 若指定接口板,則顯示指定接口板上用戶的接入數 |
|
Max AccessNum |
最大接入用戶數 |
|
User-group |
本地用戶所屬用戶組 |
|
Bind attributes |
本地用戶的綁定屬性 |
|
IP address |
本地用戶的IP地址 |
|
Bind location |
本地用戶綁定的端口 |
|
MAC address |
本地用戶的MAC地址 |
|
VLAN ID |
本地用戶綁定的VLAN |
|
Calling Number |
ISDN用戶的主叫號碼 |
|
Authorization attributes |
本地用戶的授權屬性 |
|
Idle TimeOut |
本地用戶閑置切斷時間(單位為分鍾) |
|
Callback-number |
本地用戶的授權PPP回呼號碼 |
|
Work Directory |
FTP/SFTP用戶可以訪問的目錄 |
|
User Privilege |
本地用戶級別 |
|
VLAN ID |
本地用戶授權VLAN |
|
Expiration date |
本地用戶的有效期 |
|
Total 1 local user(s) matched. |
總計有1個本地用戶匹配 |
【命令】
display user-group [ group-name ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
display user-group命令用來顯示用戶組的相關配置。
相關配置請參考命令user-group。
【舉例】
# 顯示用戶組abc的相關配置。
<Sysname> display user-group abc
The contents of user group abc:
Authorization attributes:
Idle-cut: 120(min)
Work Directory: FLASH:
Level: 1
Acl Number: 2000
Vlan ID: 1
User-Profile: 1
Callback-number: 1
Total 1 user group(s) matched.
表1-4 display user-group命令顯示信息描述表
|
字段 |
描述 |
|
Idle-cut |
閑置切斷時間(單位:分鍾) |
|
Work Directory |
FTP/SFTP用戶可以訪問的目錄 |
|
Level |
本地用戶的級別 |
|
Acl Number |
授權ACL號 |
|
Vlan ID |
授權VlAN ID |
|
User-Profile |
授權User Profile名稱 |
|
Callback-number |
PPP回呼號碼 |
|
Total 1 user group(s) matched. |
總計有1個用戶組匹配 |
【命令】
domain isp-name
undo domain isp-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
isp-name:ISP域名,為1~24個字符的字符串,不區分大小寫,不能包括“/”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。
【描述】
domain命令用來創建ISP域並進入其視圖。undo domain命令用來刪除指定的ISP域。
需要注意的是:
l 使用此命令時,如果指定的ISP域不存在,係統將會創建一個新的ISP域,所有的ISP域在創建後即處於active狀態。
l 係統中存在一個缺省的ISP域,不能刪除,隻能修改,所有在登錄時沒有提供ISP域名的用戶都屬於這個缺省域。關於缺省ISP域的詳細介紹請參見命令domain default enable。
相關配置可參考命令state和display domain。
【舉例】
# 創建一個新的ISP域test,並進入其視圖。
<Sysname> system-view
[Sysname] domain test
【命令】
domain default enable isp-name
undo domain default enable
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
isp-name:缺省的ISP域名,為1~24個字符的字符串。
【描述】
domain default enable命令用來配置係統缺省的ISP域。undo domain default enable命令用來恢複缺省情況。
缺省情況下,係統缺省的ISP域為system。
需要注意的是:
l 缺省的ISP域有且隻有一個。
l 缺省ISP域要生效,必須保證該域存在,否則會導致用戶名中未攜帶域名的用戶無法進行認證。
l 配置為缺省的ISP域不能被刪除,除非先恢複要刪除的域為非缺省域。
相關配置可參考命令state和display domain。
【舉例】
# 創建一個新的ISP域test,並設置為係統缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【命令】
expiration-date time
undo expiration-date
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
time:本地用戶的有效期截止時間,精確到秒,格式為HH:MM:SS-MM/DD/YYYY(時:分:秒-月/日/年)或HH:MM:SS-YYYY/MM/DD(時:分:秒-年/月/日)。其中,HH:MM:SS中的HH取值範圍為0~23,MM和SS取值範圍為0~59;MM/DD/YYYY中的MM的取值範圍為1~12,DD的取值範圍與月份有關,YYYY的取值範圍為2000~2035。除表示零點外,格式中的前導0可以省略不寫,比如2:2:0-2008/2/2等效於02:02:00-2008/02/02。
【描述】
expiration-date命令用來配置本地用戶的有效期。undo expiration-date用來取消本地用戶的有效期配置。
缺省情況下,未設置用戶的有效期,設備不進行用戶有效期的檢查。
在有用戶臨時需要接入網絡的情況下,設備管理員可以為用戶建立臨時使用的來賓帳戶,並通過該配置對來賓帳戶進行有效期的控製。當該用戶進行本地認證時,接入設備檢查當前係統時間是否在用戶的有效期內,若在有效期內則允許用戶登錄,否則拒絕用戶登錄。
需要注意的是,如果設備管理員手工修改係統時間,或其它原因導致係統時間發生變化,則在用戶認證時使用修改後的係統時間與配置的用戶有效期進行比較。
【舉例】
# 配置用戶abc的有效期為2008/05/31的12:10:20。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-abc] expiration-date 12:10:20-2008/05/31
【命令】
group group-name
undo group
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
group命令用來設置本地用戶所屬的用戶組。undo group命令用來恢複缺省配置。
缺省情況下,用戶屬於係統默認創建的用戶組system。
【舉例】
# 設置本地用戶111所屬的用戶組為abc。
<Sysname> system-view
[Sysname] local-user 111
[Sysname-luser-111] group abc
【命令】
idle-cut enable minute flow
undo idle-cut enable
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
minute:表示允許用戶在線後連續的最大空閑時間,取值範圍為1~120,單位為分鍾。
flow:表示允許用戶閑置時的最小數據流量,取值範圍為1~10240000,單位為字節。
【描述】
idle-cut enable命令用來設置當前ISP域下的用戶閑置切斷功能,當用戶在指定的最大空閑時間內的產生的流量小於指定的最小數據流量時,會被強製下線。undo idle-cut命令用來恢複缺省情況。
缺省情況下,用戶閑置切斷功能處於關閉狀態。
需要注意的是,最大空閑時間還可以在服務器上進行配置。如果設備上配置了用戶閑置切斷參數(最大空閑時間和最小數據流量),則設備上配置的參數值生效;如果設備上的用戶閑置切斷功能處於關閉狀態,則服務器上配置的最大空閑時間生效,但最小數據流量在服務器上不可配,默認為10240字節。
相關配置可參考命令domain。
【舉例】
# 允許ISP域test中的用戶啟用閑置切斷功能,用戶的最大空閑時間為50分鍾,閑置時的最小數據流量為1024個字節。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] idle-cut enable 50 1024
【命令】
local-user user-name
undo local-user { user-name | all service-type { ftp | lan-access | portal | ssh | telnet | terminal } }
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
user-name:表示本地用戶名,為1~55個字符的字符串,區分大小寫。用戶名不能攜帶域名,不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能為“a”、“al”或“all”。
all:所有的用戶。
service-type:指定用戶的類型。具體用戶類型如下:
l ftp:表示FTP類型用戶;
l lan-access:表示lan-access類型用戶(主要指以太網接入用戶,比如802.1X用戶);
l portal:表示Portal用戶;
l ssh:表示SSH用戶;
l telnet:表示Telnet用戶;
l terminal:表示從Console口、AUX口登錄的終端用戶。
【描述】
local-user命令用來添加本地用戶並進入本地用戶視圖。undo local-user命令用來刪除指定的本地用戶。
缺省情況下,無本地用戶。
相關配置可參考命令display local-user和service-type。
【舉例】
# 添加名稱為user1的本地用戶。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1]
【命令】
local-user password-display-mode { auto | cipher-force }
undo local-user password-display-mode
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
auto:自動方式,即接入用戶的密碼顯示方式與該用戶通過password命令設置的密碼顯示方式一致。
cipher-force:強製密文方式,即所有接入用戶的密碼顯示方式必須采用密文方式。
【描述】
local-user password-display-mode命令用來設置所有本地用戶密碼的顯示方式。undo local-user password-display-mode命令用來恢複缺省情況。
缺省情況下,所有接入用戶的密碼顯示方式為自動方式。
當采用cipher-force方式後:
l 即使通過password命令指定密碼顯示方式為明文顯示(即simple方式),密碼仍然會顯示為密文。
l 使用save命令保存當前配置,重啟設備後,即使恢複為auto方式,原來配置為明文顯示的密碼仍然顯示為密文。
相關配置可參考命令display local-user和password。
【舉例】
# 設置所有本地用戶采用密文方式顯示密碼。
<Sysname> system-view
[Sysname] local-user password-display-mode cipher-force
【命令】
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
【視圖】
NAS-ID Profile視圖
【缺省級別】
2:係統級
【參數】
nas-identifier:NAS-ID名稱,為1~20個字符的字符串,區分大小寫。
vlan-id:與NAS-ID綁定的VLAN ID,取值範圍為1~4094。
【描述】
nas-id bind vlan命令用來設置NAS-ID與VLAN的綁定關係,即把一個NAS-ID指定給一個VLAN。undo nas-id bind vlan命令用來刪除一個指定的NAS-ID和VLAN的綁定關係。
缺省情況下,未設置任何綁定關係。
需要注意的是:
l 一個NAS-ID Profile視圖下,可以指定多個NAS-ID與VLAN的綁定關係。
l 一個NAS-ID可以與多個VLAN綁定,但是一個VLAN隻能與一個NAS-ID綁定。若多次將一個VLAN與不同的NAS-ID進行綁定,則最後的綁定關係生效。
相關配置可參考命令aaa nas-id profile。
【舉例】
# 把NAS-ID 222指定給VLAN 2。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
【命令】
password { cipher | simple } password
undo password
【視圖】
本地用戶視圖
【缺省級別】
2:係統級
【參數】
cipher:表示密碼為密文顯示。
simple:表示密碼為明文顯示。
password:表示設置的密碼。明文密碼可以是長度小於等於63的連續字符串,如:aabbcc。密文密碼的長度取值為24或88,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
l 對於simple方式,password必須是明文密碼。
l 對於cipher方式,password可以是密文密碼也可以是明文密碼。
【描述】
password命令用來設置本地用戶的密碼。undo password命令用來取消本地用戶的密碼。
需要注意的是:
l 當采用local-user password-display-mode cipher-force命令後,即使用戶通過password命令指定密碼顯示方式為明文顯示(即simple方式)後,密碼也會顯示為密文。
l 在cipher方式下,長度小於等於16的明文密碼會被加密為長度是24的密文,長度大於16且小於等於63的明文密碼會被加密為長度是88的密文。當用戶輸入長度為24的密碼時,如果密碼能夠被係統解密,則按密文密碼處理;若不能被解密,則按明文密碼處理。
相關配置可參考命令display local-user。
【舉例】
# 設置名稱為user1的密碼為明文顯示,密碼為123456。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] password simple 123456
【命令】
self-service-url enable url-string
undo self-service-url enable
【視圖】
ISP域視圖
【缺省級別】
2:係統級
【參數】
url-string:表示自助服務器修改用戶密碼頁麵的URL,為1~64個字符的字符串。字符串必須以“http://”開始,字符串中不能包括“?”字符。
【描述】
self-service-url enable命令用來設置自助服務器定位功能。undo self-service-url enable命令用來恢複缺省情況。
缺省情況下,自助服務器定位功能處於關閉狀態。
需要注意的是:
l 此命令需要與支持自助服務的RADIUS服務器配合使用,如iMC。自助服務即用戶可以對自己的帳號或卡號進行管理和控製。安裝自助服務軟件的服務器即自助服務器。
l 如果在設備上配置了此命令,用戶可以通過如下操作定位到自助服務器:用戶在802.1X客戶端軟件上選擇“更改用戶密碼”;客戶端軟件打開用戶缺省的瀏覽器(IE或者NetScape等),定位到指定的自助服務器更改用戶密碼的URL頁麵;用戶可以在該頁麵上修改自己的密碼。
l 隻有用戶通過認證後才能進行在客戶端軟件上選擇“更改用戶密碼”選項,否則該選項為灰色,不可用。
【舉例】
# 在係統缺省的ISP域system下,配置自助服務器修改用戶密碼頁麵的URL為http://10.153.89.94/selfservice/modPasswd1x.jsp|userName。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] self-service-url enable http://10.153.89.94/selfservice/modPasswd1x.jsp|userName
【命令】
service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal }
undo service-type { ftp | lan-access | { ssh | telnet | terminal } * | portal }
【視圖】
本地用戶視圖
【缺省級別】
3:管理級
【參數】
ftp:指定用戶可以使用FTP服務。若授權FTP服務,缺省授權使用設備的根目錄。
lan-access:指定用戶可以使用lan-access服務。主要指以太網接入用戶,比如802.1X用戶。
ssh:指定用戶可以使用SSH服務。
telnet:指定用戶可以使用Telnet服務。
terminal:指定用戶可以使用terminal服務(即從Console口、AUX口登錄)。
portal:指定用戶可以使用Portal服務
【描述】
service-type命令用來設置用戶可以使用的服務類型。undo service-type命令用來刪除用戶可以使用的服務類型。
缺省情況下,係統不對用戶授權任何服務。
【舉例】
# 指定用戶可以使用Telnet服務。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] service-type telnet
【命令】
state { active | block }
undo state
【視圖】
ISP域視圖/本地用戶視圖
【缺省級別】
2:係統級
【參數】
active:指定當前ISP域或當前本地用戶處於活動狀態,即係統允許該域下的用戶/當前本地用戶請求網絡服務。
block:指定當前ISP域/當前本地用戶處於“阻塞”狀態,即係統不允許該域下的用戶/當前本地用戶請求網絡服務。
【描述】
state命令用來設置當前ISP域/當前本地用戶的狀態。undo state命令用來恢複缺省情況。
缺省情況下,當一個ISP域被創建以後,其狀態為active(ISP域視圖)。當一個本地用戶被創建以後,其狀態為active(本地用戶視圖)。
當指示某個ISP域處於block狀態時,不允許該域下的用戶請求網絡服務,但是不影響已經在線的用戶。當指示某個用戶處於block狀態時,不允許當前本地用戶請求網絡服務,但是不影響其它用戶。
相關配置可參考命令domain。
【舉例】
# 設置當前ISP域test處於“阻塞”狀態,域下的接入用戶不能再請求網絡服務。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
# 設置用戶user1處於“阻塞”狀態。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] state block
【命令】
user-group group-name
undo user-group group-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
group-name:用戶組名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
user-group命令用來創建用戶組並進入其視圖。undo user-group命令用來刪除指定的用戶組。
用戶組是一個本地用戶策略及屬性的集合,某些需要集中管理的策略或者屬性可在在用戶組中統一配置和管理。目前,用戶組中可配置的內容為用戶的授權屬性。
需要注意的是:
l 當用戶組中有本地用戶時,不允許使用undo user-group刪除該用戶組。
l 不能刪除係統中存在的默認用戶組system,但可以修改該用戶組的配置。
相關配置可參考命令display user-group。
【舉例】
# 創建名稱為abc的用戶組並進入其視圖。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【命令】
attribute 25 car
undo attribute 25 car
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
attribute 25 car命令用來開啟RADIUS Attribute 25的CAR參數解析功能。undo attribute 25 car命令用來恢複缺省情況。
缺省情況下,RADIUS Attribute 25的CAR參數解析功能處於關閉狀態。
需要注意的是:WX6100E係列無線控製器以太網交換機不支持通過class屬性進行CAR參數的下發。
相關配置可參考命令display radius scheme和display connection。
【舉例】
# 開啟RADIUS Attribute 25的CAR參數解析功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 25 car
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
data:設置數據的單位。
byte:數據單位為字節。
giga-byte:數據單位千兆字節。
kilo-byte:數據單位為千字節。
mega-byte:數據單位為兆字節。
packet:設置數據包的單位。
giga-packet:數據包的單位為千兆包。
kilo-packet:數據包的單位為千包。
mega-packet:數據包的單位為兆包。
one-packet:數據包的單位為包。
【描述】
data-flow-format命令用來配置發送到RADIUS服務器的數據流的單位。undo data-flow-format命令用來恢複缺省情況。
缺省情況下,數據的單位為byte,數據包的單位為one-packet。
需要注意的是:
l 設備上配置的發送給RADIUS服務器的數據流單位應與RADUIS服務器上的流量統計單位保持一致,否則無法正確計費。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令display radius scheme。
【舉例】
# 設置發往RADIUS服務器的數據流的數據單位為千字節、數據包單位為千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display radius scheme [ radius-scheme-name ] [ slot slot-number ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
radius-scheme-name:指定RADIUS方案名。
slot slot-number:顯示指定單板上的RADIUS方案配置信息。其中,slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
display radius scheme命令用來顯示所有或指定RADIUS方案的配置信息。
需要注意的是:
l 如果不指定RADIUS方案名,則顯示所有RADIUS方案的配置信息。
l 如果不指定單板所在槽位號,則僅顯示主控板上RADIUS方案的配置信息。
相關配置可參考命令radius scheme。
【舉例】
# 顯示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
------------------------------------------------------------------
SchemeName : radius1
Index : 0 Type : extended
Primary Auth Server:
IP: 1.1.1.1 Port: 1812 State: block
Primary Acct Server:
IP: 1.1.1.1 Port: 1813 State: block
Second Auth Server:
IP: N/A Port: 1812 State: block
Second Acct Server:
IP: N/A Port: 1813 State: block
Auth Server Encryption Key : 123
Acct Server Encryption Key : Not configured
Interval for timeout(second) : 3
Retransmission times for timeout : 3
Interval for realtime accounting(minute) : 12
Retransmission times of realtime-accounting packet : 5
Retransmission times of stop-accounting packet : 500
Quiet-interval(min) : 5
Username format : without-domain
Data flow unit : Byte
Packet unit : one
NAS-IP address : 1.1.1.1
Attribute 25 : car
------------------------------------------------------------------
Total 1 RADIUS scheme(s).
表2-1 display radius scheme命令顯示信息描述表
|
字段 |
描述 |
|
SchemeName |
Radius方案的名稱 |
|
Index |
Radius方案的索引號 |
|
Type |
Radius服務器的類型 |
|
Primary Auth Server |
主認證服務器 |
|
Primary Acct Server |
主計費服務器 |
|
Second Auth Server |
從認證服務器 |
|
Second Acct Server |
從計費服務器 |
|
IP |
主認證/計費服務器IP地址 未配置時,顯示為N/A |
|
Port |
主認證/計費服務器接入端口號 未配置時,顯示缺省值 |
|
State |
主認證/計費服務器目前狀態 l active:激活 l block:阻塞 |
|
Auth Server Encryption Key |
認證服務器的共享密鑰 |
|
Acct Server Encryption Key |
計費服務器的共享密鑰 |
|
Interval for timeout(second) |
超時時間(秒) |
|
Retransmission times for timeout |
超時重發次數 |
|
Interval for realtime accounting(minute) |
實時計費間隔(分鍾) |
|
Retransmission times of realtime-accounting packet |
實時計費報文重發次數 |
|
Retransmission times of stop-accounting packet |
無響應停止計費報文重發次數 |
|
Quiet-interval(min) |
主服務器恢複激活狀態的時間 |
|
Username format |
用戶名格式 |
|
Data flow unit |
流量數據的單位 |
|
Packet unit |
數據包的單位 |
|
NAS-IP address |
發送RADIUS報文的源IP地址 |
|
Attribute 25 |
將RADIUS Attribute 25解析為CAR參數 |
|
Total 1 RADIUS scheme(s). |
共計1個RADIUS方案 |
【命令】
display radius statistics [ slot slot-number ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
slot slot-number:顯示指定接口板上RADIUS報文的統計信息。其中,slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
display radius statistics命令用來顯示RADIUS報文的統計信息。
相關配置可參考命令radius scheme。
【舉例】
# 顯示槽位號為0的單板上的RADIUS報文統計信息。
<Sysname> display radius statistics slot 0
Slot 0:state statistic(total=6000):
DEAD = 6000 AuthProc = 0 AuthSucc = 0
AcctStart = 0 RLTSend = 0 RLTWait = 0
AcctStop = 0 OnLine = 0 Stop = 0
StateErr = 0
Received and Sent packets statistic:
Sent PKT total = 1547
Received PKT total = 23
Resend Times Resend total
1 508
2 508
Total 1016
RADIUS received packets statistic:
Code = 2 Num = 15 Err = 0
Code = 3 Num = 4 Err = 0
Code = 5 Num = 4 Err = 0
Code = 11 Num = 0 Err = 0
Running statistic:
RADIUS received messages statistic:
Normal auth request Num = 24 Err = 0 Succ = 24
EAP auth request Num = 0 Err = 0 Succ = 0
Account request Num = 4 Err = 0 Succ = 4
Account off request Num = 503 Err = 0 Succ = 503
PKT auth timeout Num = 15 Err = 5 Succ = 10
PKT acct_timeout Num = 1509 Err = 503 Succ = 1006
Realtime Account timer Num = 0 Err = 0 Succ = 0
PKT response Num = 23 Err = 0 Succ = 23
Session ctrl pkt Num = 0 Err = 0 Succ = 0
Normal author request Num = 0 Err = 0 Succ = 0
Set policy result Num = 0 Err = 0 Succ = 0
RADIUS sent messages statistic:
Auth accept Num = 10
Auth reject Num = 14
EAP auth replying Num = 0
Account success Num = 4
Account failure Num = 3
Server ctrl req Num = 0
RecError_MSG_sum = 0
SndMSG_Fail_sum = 0
Timer_Err = 0
Alloc_Mem_Err = 0
State Mismatch = 0
Other_Error = 0
No-response-acct-stop packet = 1
Discarded No-response-acct-stop packet for buffer overflow = 0
表2-2 display radius statistics命令顯示信息描述表
|
字段 |
描述 |
|
slot |
接口板所在槽位號 |
|
state statistic(total=6000) |
狀態統計(總數=6000) |
|
DEAD |
空閑態用戶數 |
|
AuthProc |
認證等待態用戶數 |
|
AuthSucc |
認證成功態用戶數 |
|
AcctStart |
計費開始態用戶數 |
|
RLTSend |
實時計費發送態用戶數 |
|
RLTWait |
實時計費等待態用戶數 |
|
AcctStop |
計費等待停止態用戶數 |
|
OnLine |
在線態用戶數 |
|
Stop |
停止態用戶數 |
|
StateErr |
未知錯誤態用戶數 |
|
Received and Sent packets statistic |
收發報文數目統計 |
|
Sent PKT total |
發送報文總數 |
|
Received PKT total |
接收報文總數 |
|
Resend Times |
重傳報文的次數 |
|
Resend total |
單次重傳報文數 |
|
Total |
重傳報文總數 |
|
RADIUS received packets statistic |
RADIUS模塊接收報文數目統計 |
|
Code |
報文類型 |
|
Num |
報文總數 |
|
Err |
錯誤報文數 |
|
Running statistic |
運行間報文數目統計 |
|
RADIUS received messages statistic |
RADIUS已接收消息數目統計 |
|
Normal auth request |
普通認證請求報文數 |
|
EAP auth request |
EAP認證請求報文數 |
|
Account request |
計費請求報文數 |
|
Account off request |
計費停止請求報文數 |
|
PKT auth timeout |
認證超時報文數 |
|
PKT acct_timeout |
計費超時報文數 |
|
Realtime Account timer |
實時計費請求報文數 |
|
PKT response |
響應報文數 |
|
Session ctrl pkt |
會話控製報文數 |
|
Normal author request |
普通授權請求報文數 |
|
Succ |
成功報文數 |
|
Set policy result |
Set policy結果報文數 |
|
RADIUS sent messages statistic |
RAIUDS已發送消息數目統計 |
|
Auth accept |
認證接收報文數 |
|
Auth reject |
認證拒絕報文數 |
|
EAP auth replying |
EAP認證回應報文數 |
|
Account success |
計費成功報文數 |
|
Account failure |
計費失敗報文數 |
|
Server ctrl req |
服務器控製請求報文數 |
|
RecError_MSG_sum |
接收錯誤消息總數 |
|
SndMSG_Fail_sum |
發送消息失敗總數 |
|
Timer_Err |
啟動定時器失敗報文數 |
|
Alloc_Mem_Err |
申請內存失敗報文數 |
|
State Mismatch |
狀態不匹配報文數 |
|
Other_Error |
其它錯誤報文數 |
|
No-response-acct-stop packet |
停止計費報文無響應數 |
|
Discarded No-response-acct-stop packet for buffer overflow |
因緩存區滿而丟棄的無響應停止計費報文總數 |
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
radius-scheme radius-scheme-name:根據指定RADIUS方案顯示緩存的停止計費請求報文。其中,radius-scheme-name為RADIUS方案名,為1~32個字符的字符串。
session-id session-id:根據指定會話ID顯示緩存的停止計費請求報文。其中,session-id為1~50個字符的字符串。
time-range start-time stop-time:根據停止計費請求時刻的起始和停止時間顯示緩存的停止計費請求報文。其中,start-time為請求時間段的起始時間;stop-time為請求時間段的結束時間,格式為hh:mm:ss- mm/dd/yyyy(時:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(時:分:秒-年/月/日)。如果使用本參數,則停止計費請求時刻在start-time到stop-time範圍內的、暫存的停止計費請求報文都會被顯示。
user-name user-name:根據指定用戶名顯示緩存的停止計費請求報文。其中,user-name表示用戶名,為1~80個字符的字符串,區分大小寫。輸入的用戶名是否攜帶ISP域名,必須與RADIUS方案中的user-name-format配置保持一致。
slot slot-number:顯示指定接口板上緩存的停止計費請求報文。其中,slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
display stop-accounting-buffer命令用來顯示緩存的沒有得到響應的停止計費請求報文。
需要注意的是:
l 可以選擇顯示發往某個RADIUS方案的報文;也可以根據用戶會話的session-id或用戶名來顯示報文;還可以指定一個時間段,顯示那些發起停止計費請求的時刻處於指定時間段內的報文。根據顯示的報文信息,可以幫助診斷與排除RADIUS相關故障。
l 在發送停止計費請求報文而RADIUS服務器沒有響應時,設備係統會緩存該報文,然後以一定的次數發送,具體發送的次數由retry stop-accounting命令設置。
相關配置可參考命令reset stop-accounting-buffer、stop-accounting-buffer enable、user-name-format和retry stop-accounting。
【舉例】
# 在槽位號為0的單板上,顯示從2006年8月31日0點0分0秒到2006年8月31日23點59分59秒期間內係統緩存的停止計費請求報文。
<Sysname> display stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006 slot 0
Slot 0:
Total 0 record(s) Matched
【命令】
key { accounting | authentication } string
undo key { accounting | authentication }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
accounting:指定RADIUS計費報文的共享密鑰。
authentication:指定RADIUS認證/授權報文的共享密鑰。
string:密鑰,為1~64個字符的字符串,區分大小寫。
【描述】
key命令用來配置RADIUS認證/授權或計費報文的共享密鑰。undo key命令用來刪除配置。
缺省情況下,無共享密鑰。
需要注意的是:
l 必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令display radius scheme。
【舉例】
# 將RADIUS方案radius1的認證/授權報文的共享密鑰設置為hello。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key authentication hello
# 將RADIUS方案radius1的計費報文的共享密鑰設置為ok。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting ok
【命令】
nas-ip { ip-address | ipv6 ipv6-address }
undo nas-ip
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定的源IPv4地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
【描述】
nas-ip命令用來設置設備發送RADIUS報文使用的源IP地址。undo nas-ip命令用來恢複缺省情況。
缺省情況下,使用係統視圖下由命令radius nas-ip指定的源地址。
需要注意的是:
l 指定發送RADIUS報文使用的源地址,可以避免物理接口故障時從服務器返回的報文不可達。一般推薦使用Loopback接口地址。
l RADIUS方案視圖下的命令nas-ip隻對本RADIUS方案有效,係統視圖下的命令radius nas-ip對所有RADIUS方案有效。RADIUS方案視圖下的設置具有更高的優先級。
l 本命令配置的源IP地址與RADIUS方案中設置的服務器IP地址的協議版本必須保持一致,否則配置能成功但不能生效。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令radius nas-ip。
【舉例】
# 配置設備發送RADIUS報文使用的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme test1
[Sysname-radius-test1] nas-ip 10.1.1.1
【命令】
primary accounting { ip-address | ipv6 ipv6-address } [ port-number ]
undo primary accounting
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:主RADIUS計費服務器的IPv4地址。
ipv6 ipv6-address:主RADIUS計費服務器的IPv6地址。
port-number:UDP端口號,缺省為1813,取值範圍為1~65535。
【描述】
primary accounting命令用來配置主RADIUS計費服務器。undo primary accounting命令用來刪除設置的主RADIUS計費服務器。
缺省情況下,未配置主計費服務器。
需要注意的是:
l 主計費服務器和從計費服務器的IP地址不能相同,否則將提示配置不成功。
l 需保證設備上的RADIUS服務端口與RADIUS服務器上的端口設置一致。
l 主計費服務器和從計費服務器的IP地址協議版本必須一致,否則提示錯誤。
l 計費服務器與認證服務器的IP地址協議版本必須一致,否則提示錯誤。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令key、radius scheme和state。
【舉例】
# 設置RADIUS方案radius1的主計費服務器的IP地址為10.110.1.2,使用UDP端口1813提供RADIUS計費服務。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813
【命令】
primary authentication { ip-address | ipv6 ipv6-address } [ port-number ]
undo primary authentication
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:主RADIUS認證/授權服務器的IPv4地址。
ipv6 ipv6-address:主RADIUS認證/授權服務器的IPv6地址。
port-number:UDP端口號,缺省為1812,取值範圍為1~65535。
【描述】
primary authentication命令用來配置主RADIUS認證/授權服務器。undo primary authentication命令用來刪除設置的主RADIUS認證/授權服務器。
缺省情況下,未配置主認證/授權服務器。
需要注意的是:
l 當創建一個新的RADIUS方案之後,需要對屬於此方案的RADIUS服務器的IP地址和UDP端口號進行設置。這些服務器包括認證/授權和計費服務器,而每種服務器又有主服務器和從服務器的區別。在實際組網環境中,上述參數的設置需要根據具體需求來決定。但是必須至少設置一個認證/授權服務器和一個計費服務器。同時在配置過程中,請保證設備上的RADIUS服務端口設置與RADIUS服務器上的端口設置保持一致。
l 主認證/授權服務器和從認證/授權服務器的IP地址不能相同,否則將提示配置不成功。
l 主認證/授權服務器和從認證/授權服務器的IP地址協議版本必須一致,否則提示錯誤。
l 認證/授權服務器與計費服務器的IP地址協議版本必須一致,否則提示錯誤。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令key、radius scheme和state。
【舉例】
# 設置RADIUS方案radius1的主認證/授權服務器的IP地址為10.110.1.1,使用UDP端口1812提供RADIUS認證/授權服務。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812
【命令】
radius client enable
undo radius client
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
radius client enable命令用來使能RADIUS客戶端的監聽端口,使能後的端口可以接收和發送RADIUS報文。undo radius client命令用來關閉RADIUS客戶端的監聽端口。
缺省情況下,監聽端口處於使能狀態。
需要注意的是:
l 關閉RADIUS客戶端的監聽端口後,RADIUS可以接受認證/授權/計費請求,也可以處理RADIUS的定時器消息,但報文發送會失敗,同時不能接收來自RADIUS服務器的報文。
l 關閉RADIUS客戶端的監聽端口後,在線用戶的計費結束報文無法發出,且不能被緩存。同時,RADIUS服務器收不到在線用戶的下線報文,會出現有一段時間用戶已經下線,但RADIUS服務器上還有此用戶的情況。
l 關閉RADIUS客戶端的監聽端口後,如果配置了RADIUS方案和本地認證/授權/計費方案,則RADIUS請求失敗後會轉由本地方案繼續認證/授權/計費。
l 關閉RADIUS客戶端的監聽端口後,緩存的計費報文的發送會失敗,失敗次數達到配置的最大次數後,計費報文將從緩存中被刪除。
【舉例】
# 使能RADIUS客戶端的監聽端口。
<Sysname> system-view
[Sysname] radius client enable
【命令】
radius nas-ip { ip-address | ipv6 ipv6-address }
undo radius nas-ip
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定的源IPv4地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
ipv6 ipv6-address:指定的源IPv6地址,應該為本機的地址,必須是單播地址,不能為環回地址與本地鏈路地址。
【描述】
radius nas-ip命令用來指定設備發送RADIUS報文使用的源地址。undo radius nas-ip命令用來恢複缺省情況。
缺省情況下,不指定源地址,即以發送報文的接口地址作為源地址。
需要注意的是:
l 指定發送RADIUS報文使用的源地址,可以避免物理接口故障時從服務器返回的報文不可達。
l 本命令隻能指定一個源地址,新配置的源地址會覆蓋原有的源地址。
l RADIUS方案視圖下的命令nas-ip隻對本RADIUS方案有效,係統視圖下的命令radius nas-ip對所有RADIUS方案有效。RADIUS方案視圖下的設置具有更高的優先級。
l 本命令配置的源IP地址與使用該源地址的RADIUS方案中設置的服務器IP地址的協議版本必須保持一致,否則配置能成功但不能生效。
相關配置可參考命令nas-ip。
【舉例】
# 配置設備發送RADIUS報文使用的源地址為129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
radius-scheme-name:RADIUS方案名,為1~32個字符的字符串,不區分大小寫。
【描述】
radius scheme命令用來創建RADIUS方案並進入其視圖。undo radius scheme命令用來刪除指定的RADIUS方案。
缺省情況下,未定義RADIUS方案。
需要注意的是:
l RADIUS協議的配置是以RADIUS方案為單位進行的。每個RADIUS方案至少須指明RADIUS認證/授權/計費服務器的IP地址、UDP端口號以及RADIUS客戶端與之交互所需的一些參數。
l 一個RADIUS方案可以同時被多個ISP域引用。
l 當有使用RADIUS方案的用戶在線時,不允許使用undo radius scheme命令刪除該方案。
相關配置可參考命令key、retry realtime-accounting、timer realtime-accounting、stop-accounting-buffer enable、retry stop-accounting、server-type、state、user-name-format、retry、display radius scheme和display radius statistics。
【舉例】
# 創建名為radius1的RADIUS方案並進入其視圖。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【命令】
radius trap { accounting-server-down | authentication-server-down }
undo radius trap { accounting-server-down | authentication-server-down }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
accounting-server-down:使能RADIUS計費服務器無響應時的trap功能。
authentication-server-down:使能RADIUS認證服務器無響應時的trap功能。
【描述】
radius trap命令用來使能RADIUS trap功能。undo radius trap命令用來關閉RADIUS trap功能。
缺省情況下,RADIUS trap功能處於關閉狀態。
需要注意的是:
l 使能RADIUS trap功能後,當NAS向RADIUS服務器發送計費或認證請求沒有響應時,NAS會向服務器重發計費或認證請求報文。當NAS向服務器發送的報文累計次數達到最大傳送次數的1/2時,係統會發送一次trap報文;當NAS向服務器發送的報文累計次數達到最大傳送次數時,係統會再發送一次trap報文。
l 當最大傳送次數為奇數時,最大傳送次數的1/2取值為大於最大傳送次數1/2的最小整數。
【舉例】
# 使能RADIUS計費服務器無響應時的trap功能。
<Sysname> system-view
[Sysname] radius trap accounting-server-down
【命令】
reset radius statistics [ slot slot-number ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
slot slot-number:清除指定單板上RADIUS協議的統計信息。其中,slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
reset radius statistics命令用來清除RADIUS協議的統計信息。
相關配置請參考命令display radius scheme。
【舉例】
# 清除RADIUS協議的統計信息。
<Sysname> reset radius statistics
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } [ slot slot-number ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
radius-scheme radius-scheme-name:根據指定RADIUS方案清除緩存的停止計費響應報文。其中,radius-scheme-name為RAIUDS方案名,為1~32個字符的字符串。
session-id session-id:根據指定會話ID清除緩存的停止計費響應報文。其中,session-id為會話ID,為1~50個字符的字符串。
time-range start-time stop-time:根據指定停止計費請求時刻的起始和結束時間清除緩存的停止計費響應報文。其中,start-time為請求時間段的起始時間;stop-time為請求時間段的結束時間,格式為hh:mm:ss-mm/dd/yyyy(時:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(時:分:秒-年/月/日)。
user-name user-name:根據指定用戶名清除緩存的停止計費響應報文。其中,user-name表示用戶名,為1~80個字符的字符串,區分大小寫。輸入的用戶名是否攜帶ISP域名,必須與RADIUS方案中配置的發送給RADIUS服務器的用戶名格式保持一致。
slot slot-number:根據指定單板清除緩存的停止計費響應報文。其中,slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
reset stop-accounting-buffer命令用來清除緩存中的沒有得到響應的停止計費請求報文。
相關配置可參考命令stop-accounting-buffer enable、retry stop-accounting、user-name-format和display stop-accounting-buffer。
【舉例】
# 清除用戶user0001@test緩存在係統中的停止計費請求報文。
<Sysname> reset stop-accounting-buffer user-name user0001@test
# 清除從2006年8月31日0點0分0秒到2006年8月31日23點59分59秒期間內係統緩存的停止計費請求報文。
<Sysname> reset stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006
【命令】
retry retry-times
undo retry
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
retry-times:報文重傳次數的最大值,取值範圍為1~20。
【描述】
retry命令用來設置RAIUDS報文超時重傳次數的最大值。undo retry命令用來恢複缺省情況。
缺省情況下,RADIUS報文超時重傳次數的最大值為3次。
需要注意的是:
l 由於RADIUS協議采用UDP報文來承載數據,因此其通信過程是不可靠的。如果RADIUS服務器在應答超時定時器規定的時長內沒有響應設備,則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數超過最大傳送次數而RADIUS服務器仍舊沒有響應,則設備將認為本次認證失敗。
l 該命令配置的累計傳送次數為設備向主、備服務器發送的所有重傳報文之和。假設配置的重傳次數為N,在主備RADIUS服務器都存在的情況下,如果累計重傳次數達到N/2(N為偶數)或(N+1)/2(N為奇數)時,當前服務器仍沒有響應設備,則設備會轉而向另一個服務器發送請求報文。
l RADIUS報文超時重傳次數的最大值與RADIUS服務器應答超時時間的乘積不能超過75秒。
相關配置可參考命令radius scheme和timer response-timeout。
【舉例】
# 設置在RADIUS方案radius1下,RAIUDS報文的最大超時重傳次數為5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【命令】
retry realtime-accounting retry-times
undo retry realtime-accounting
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
retry-times:允許實時計費請求無響應的最大次數,取值範圍為1~255。
【描述】
retry realtime-accounting命令用來設置允許實時計費請求無響應的最大次數。undo retry realtime-accounting命令用來恢複缺省情況。
缺省情況下,最多允許5次實時計費請求無響應。
需要注意的是:
l RADIUS服務器通常通過連接超時定時器來判斷用戶是否在線。如果RADIUS服務器長時間收不到設備傳來的實時計費報文,它會認為線路或設備故障並停止對用戶記帳。為了配合RADIUS服務器的這種特性,有必要在不可預見的故障條件下,在設備端盡量與RADIUS服務器同步切斷用戶連接。設備提供對連續實時計費請求無響應次數限製的設置——在設備向RADIUS服務器發出的實時計費請求沒有得到響應的次數超過所設定的限度時,設備將切斷用戶連接。
l 假設RADIUS服務器的應答超時時長(timer response-timeout命令設置)為3秒,超時重傳次數(retry命令設置)為3,設備的實時計費間隔(timer realtime-accounting命令設置)為12分鍾,設備允許實時計費失敗的最大次數為5次(retry realtime-accounting命令設置),則其含義為:設備每隔12分鍾發起一次計費請求,如果3秒鍾得不到回應就重新發起一次請求,如果3次發送都沒有得到回應就認為該次實時計費失敗,然後每隔12分鍾再發送一次,5次均失敗以後,設備將切斷用戶連接。
相關配置可參考命令radius scheme和timer realtime-accounting。
【舉例】
# 設置RADIUS方案radius1最多允許10次實時計費請求無響應。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
retry-times:允許停止計費請求無響應的最大次數,取值範圍為10~65535。
【描述】
retry stop-accounting命令用來設置當出現沒有得到響應的停止計費請求時,將該報文存入設備緩存後,允許停止計費請求無響應的最大次數。undo retry stop-accounting命令用來恢複缺省情況。
缺省情況下,緩存的停止計費請求報文的最大發送次數為500。
假設RADIUS服務器的應答超時時長(timer response-timeout命令設置)為3秒,超時重傳次數(retry命令設置)為5,設備允許的停止計費請求無響應的最大次數為20次(retry stop-accounting命令設置),則其含義為:設備發起停止計費請求,如果3秒鍾內得不到回應就重新發起一次請求,如果重傳5次都沒有得到回應就認為該次停止計費請求失敗,設備會將其緩存在本機上,然後再發起一次請求,重複上述過程,20次嚐試均失敗以後,設備將其丟棄。
相關配置可參考命令radius scheme和display stop-accounting-buffer。
【舉例】
# 設置對於RADIUS方案radius1中的服務器,設備最多可以將緩存的停止計費請求報文發送1000次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry stop-accounting 1000
【命令】
secondary accounting { ip-address | ipv6 ipv6-address } [ port-number ]
undo secondary accounting
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:從RADIUS計費服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS計費服務器的IPv6地址。
port-number:UDP端口號,缺省為1813,取值範圍為1~65535。
【描述】
secondary accounting命令用來配置從RADIUS計費服務器。undo secondary accounting命令用來刪除配置的從RADIUS計費服務器。
缺省情況下,未配置從計費服務器。
需要注意的是:
l 主計費服務器和從計費服務器的IP地址不能相同,否則將提示配置不成功。
l 需保證設備上的RADIUS服務端口與RADIUS服務器上的端口設置一致。
l 主計費服務器和從計費服務器的IP地址協議版本必須一致,否則提示錯誤。
l 計費服務器與認證服務器的IP地址協議版本必須一致,否則提示錯誤。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令key、radius scheme和state。
【舉例】
# 設置RADIUS方案radius1的從計費服務器的IP地址為10.110.1.1,使用UDP端口1813提供RADIUS計費服務。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
【命令】
secondary authentication { ip-address | ipv6 ipv6-address } [ port-number ]
undo secondary authentication
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:從RADIUS認證/授權服務器的IPv4地址。
ipv6 ipv6-address:從RADIUS認證/授權服務器的IPv6地址。
port-number:UDP端口號,缺省為1812,取值範圍為1~65535
【描述】
secondary authentication命令用來配置從RADIUS認證/授權服務器。undo secondary authentication命令用來刪除配置的從RADIUS認證/授權服務器。
缺省情況下,未配置從認證/授權服務器。
需要注意的是:
l 主認證/授權服務器和從認證/授權服務器的IP地址不能相同,否則將提示配置不成功。
l 需保證設備上的RADIUS服務端口與RADIUS服務器上的端口設置一致。
l 主認證/授權服務器和從認證/授權服務器的IP地址協議版本必須一致,否則提示錯誤。
l 認證/授權服務器與計費服務器的IP地址協議版本必須一致,否則提示錯誤。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令key、radius scheme和state。
【舉例】
# 設置RADIUS方案radius1的從認證/授權服務器的IP地址為10.110.1.2,使用UDP端口1812提供RADIUS認證/授權服務。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
【命令】
security-policy-server ip-address
undo security-policy-server { ip-address | all }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:安全策略服務器IP地址。
all:所有安全策略服務器IP地址。
【描述】
security-policy-server命令用來設置安全策略服務器。undo security-policy-server命令用來刪除指定的安全策略服務器。
缺省情況下,未指定安全策略服務器。
需要注意的是:
l 一個RADIUS方案中可以配置多個安全策略服務器IP地址,最多不能超過8個。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令radius nas-ip。
【舉例】
# 設置RADIUS方案radius1的安全策略服務器IP地址為10.110.1.2。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] security-policy-server 10.110.1.2
【命令】
server-type { extended | standard }
undo server-type
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
extended:指定extended類型的RADIUS服務器(一般為iMC),即要求RADIUS客戶端(設備係統)和RADIUS服務器按照私有RADIUS協議的規程和報文格式進行交互。
standard:指定standard類型的RADIUS服務器,即要求RADIUS客戶端(設備係統)和RADIUS服務器按照標準RADIUS協議(RFC 2865/2866或更新)的規程和報文格式進行交互。
【描述】
server-type命令用來指定設備係統支持的RADIUS服務器類型。undo server-type命令用來恢複缺省情況。
缺省情況下,設備係統支持的RADIUS服務器類型為standard。
需要注意的是,隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令radius scheme。
【舉例】
# 將RADIUS方案radius1的RADIUS服務器類型設置為standard。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-type standard
【命令】
state { primary | secondary } { accounting | authentication } { active | block }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
primary:設置主RADIUS服務器的狀態。
secondary:設置從RADIUS服務器的狀態。
accounting:設置RADIUS計費服務器的狀態。
authentication:設置RADIUS認證/授權服務器的狀態。
active:設置RADIUS服務器的狀態為active,即處於正常工作狀態。
block:設置RADIUS服務器的狀態為block,即處於通信中斷狀態。
【描述】
state命令用來設置RADIUS服務器的狀態。
缺省情況下,RADIUS方案中配置了IP地址的各RADIUS服務器的狀態均為active。
需要注意的是:
l 對於某個RADIUS方案中的主、從服務器(無論是認證/授權服務器還是計費服務器),當主服務器因故障而導致其與設備的通信中斷時,設備會主動地轉而與從服務器交互報文。
l 當主服務器不可達時,狀態變為block,設備與已配置了IP地址的從服務器交互。若從服務器可達,設備將開啟超時定時器,在timer quiet設定的時間達到後主服務器狀態立即恢複為active,從服務器狀態不變;若從服務器不可達,設備立即將主服務器狀態恢複為active。之後,如果主服務器恢複正常,設備會立即恢複與其通信,而中斷與從服務器通信。而計費開始後,客戶端與從計費服務器之間的通信不會因為主計費服務器的恢複而切換。
l 當主服務器與從服務器的狀態都為block時,若希望使用從服務器進行認證,必須將從服務器的狀態置為active,否則無法完成主從服務器的切換。
l 在一個服務器狀態為active、另外一個服務器狀態為block的情況下,即使狀態為active的服務器不可達,設備也不會進行主從服務器的切換。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令radius scheme、primary authentication、secondary authentication、primary accounting和secondary accounting。
【舉例】
# 將RADIUS方案radius1的從認證服務器的狀態設置為active。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication active
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
stop-accounting-buffer enable命令用來允許在設備上緩存沒有得到響應的停止計費請求報文。undo stop-accounting-buffer enable命令用來禁止在設備上緩存沒有得到響應的停止計費請求報文。
缺省情況下,允許設備緩存沒有得到響應的停止計費請求報文。
由於停止計費請求報文涉及到話單結算、並最終影響收費多少,對用戶和ISP都有比較重要的影響,因此設備應該盡最大努力把它發送給RADIUS計費服務器。所以,如果RADIUS計費服務器對設備發出的停止計費請求報文沒有響應,設備應將其緩存在本機上,然後發送直到RADIUS計費服務器產生響應,或者在發送的次數達到指定的次數限製後將其丟棄。
需要注意的是,隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令reset stop-accounting-buffer、radius scheme和display stop-accounting-buffer。
【舉例】
# 指示對於RADIUS方案radius1中的服務器,設備能夠緩存沒有得到響應的停止計費請求報文。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
minutes:恢複激活狀態的時間,取值範圍為1~255,單位為分鍾。
【描述】
timer quiet命令用來設置主服務器恢複激活狀態的時間。undo timer quiet命令用來恢複缺省情況。
缺省情況下,主服務器恢複激活狀態的時間為5分鍾。
相關配置可參考命令display radius scheme。
【舉例】
# 設置主服務器恢複激活狀態的時間為10分鍾。
<Sysname> system-view
[Sysname] radius scheme test1
[Sysname-radius-test1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
minutes:實時計費的時間間隔,取值範圍為0~60,單位為分鍾,非零取值必須為3的倍數。
【描述】
timer realtime-accounting命令用來設置實時計費的時間間隔。undo timer realtime-accounting命令用來恢複缺省情況。
缺省情況下,實時計費的時間間隔為12分鍾。
需要注意的是:
l 為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向RADIUS服務器發送一次在線用戶的計費信息。
l 當實時計費間隔設置為0時,如果服務器上配置了實時計費間隔,則設備按照服務器上配置的實時計費間隔向RADIUS服務器發送在線用戶的計費信息;如果服務器上沒有配置該值,則設備不向RADIUS服務器發送在線用戶的計費信息。
l 實時計費間隔的取值對設備和RADIUS服務器的性能有一定的相關性要求,取值小,會增加網絡中的數據流量,對設備和RADIUS服務器的性能要求就高;取值大,會影響計費的準確性。因此要結合網絡的實際情況合理設置計費間隔的大小,一般情況下,建議當用戶量比較大(¦1000)時,盡量把該間隔的值設置得大一些。以下是實時計費間隔與用戶量之間的推薦比例關係:
|
用戶數 |
實時計費間隔(分鍾) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
相關配置可參考命令retry realtime-accounting和radius scheme。
【舉例】
# 將RADIUS方案radius1的實時計費的時間間隔設置為51分鍾。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
seconds:RADIUS服務器應答超時時間,取值範圍為1~10,單位為秒。
【描述】
timer response-timeout命令用來設置RADIUS服務器應答超時時間。undo timer response-timeout命令用來恢複缺省情況。
缺省情況下,RADIUS服務器應答超時時間為3秒。
需要注意的是:
l 如果在RADIUS請求報文(認證/授權請求或計費請求)傳送出去一段時間後,設備還沒有得到RADIUS服務器的響應,則有必要重傳RADIUS請求報文,以保證用戶確實能夠得到RADIUS服務,這段時間被稱為RADIUS服務器響應超時時長。設備係統中用於控製這個時長的定時器就被稱為RADIUS服務器響應超時定時器,命令timer response-timeout就是用來設置這個定時器時長的。
l 根據網絡狀況,合理地設置這個定時器的時長,有利於提高係統性能。
l RADIUS報文超時重傳次數的最大值與RADIUS服務器應答超時時間的乘積不能超過75秒。
相關配置可參考命令radius scheme和retry。
【舉例】
# 將RADIUS方案radius1的響應超時定時器設置為5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【命令】
user-name-format { keep-original | with-domain | without-domain }
【視圖】
RADIUS方案視圖
【缺省級別】
2:係統級
【參數】
keep-original:發送給RADIUS服務器的用戶名與用戶輸入的保持一致。
with-domain:發送給RADIUS服務器的用戶名帶ISP域名。
without-domain:發送給RADIUS服務器的用戶名不帶ISP域名。
【描述】
user-name-format命令用來設置發送給RADIUS服務器的用戶名格式。
缺省情況下,RADIUS方案發送給RADIUS服務器的用戶名攜帶有ISP域名。
需要注意的是:
l 接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給RADIUS服務器。因此,設備提供此命令以指定發送給RADIUS服務器的用戶名是否攜帶有ISP域名。
l 如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該RADIUS方案。否則,會出現雖然實際用戶不同(在不同的ISP域中),但RADIUS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
l 在802.1X用戶采用EAP認證方式的情況下,RADIUS方案中配置的user-name-format命令無效,客戶端傳送給RADIUS服務器的用戶名不會有改動。
l 無線用戶漫遊時,建議配置參數keep-original,否則可能引起認證失敗。
l 隻有當該RADIUS方案沒有被用戶使用時,才能改變此配置。
相關配置可參考命令radius scheme。
【舉例】
# 指定發送給RADIUS方案radius1中RADIUS服務器的用戶名不得攜帶域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
data:設置數據的單位。
byte:數據單位為字節。
giga-byte:數據單位千兆字節。
kilo-byte:數據單位為千字節。
mega-byte:數據單位為兆字節。
packet:設置數據包的單位。
giga-packet:數據包的單位為千兆包。
kilo-packet:數據包的單位為千包。
mega-packet:數據包的單位為兆包。
one-packet:數據包的單位為包。
【描述】
data-flow-format命令用來配置發送到HWTACACS服務器的數據流的單位。undo data-flow-format命令用來恢複缺省情況。
缺省情況下,數據的單位為byte,數據包的單位為one-packet。
相關配置可參考命令display hwtacacs。
【舉例】
# 設置發往HWTACACS服務器的數據流的數據單位為kilo-byte、數據包的單位為kilo-packet。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display hwtacacs [ hwtacacs-scheme-name [ statistics ] ] [ slot slot-number ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme-name:指定HWTACACS方案名。
statistics:顯示HWTACACS服務器的詳細統計信息。
slot slot-number:顯示指定單板上的HWTACACS方案的配置信息或統計信息。其中,slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
display hwtacacs命令用來查看HWTACACS方案的配置信息或統計信息。
需要注意的是:
l 如果不指定HWTACACS方案名,則顯示所有HWTACACS方案的配置信息。
l 如果不指定單板所在槽位號,則顯示主控板上HWTACACS方案的配置信息。
相關配置請參考命令hwtacacs scheme。
【舉例】
# 查看HWTACACS方案gy的配置情況。
--------------------------------------------------------------------
HWTACACS-server template name : gy
Primary-authentication-server : 172.31.1.11:49
Primary-authorization-server : 172.31.1.11:49
Primary-accounting-server : 172.31.1.11:49
Secondary-authentication-server : 0.0.0.0:0
Secondary-authorization-server : 0.0.0.0:0
Secondary-accounting-server : 0.0.0.0:0
Current-authentication-server : 172.31.1.11:49
Current-authorization-server : 172.31.1.11:49
Current-accounting-server : 172.31.1.11:49
NAS-IP-address : 0.0.0.0
key authentication : 790131
key authorization : 790131
key accounting : 790131
Quiet-interval(min) : 5
Realtime-accounting-interval(min) : 12
Response-timeout-interval(sec) : 5
Acct-stop-PKT retransmit times : 100
Username format : with-domain
Data traffic-unit : B
Packet traffic-unit : one-packet
--------------------------------------------------------------------
表3-1 display hwtacacs命令顯示信息描述表
|
字段 |
描述 |
|
HWTACACS-server template name |
HWTACACS服務器方案名 |
|
Primary-authentication-server |
主認證服務器IP地址/接入端口號 l 未配置主認證服務器時,IP地址/接入端口號顯示為0.0.0.0:0。下麵各服務器同理顯示 |
|
Primary-authorization-server |
主授權服務器IP地址/接入端口號 |
|
Primary-accounting-server |
主計費服務器IP地址/接入端口號 |
|
Secondary-authentication-server |
備認證服務器IP地址/接入端口號 |
|
Secondary-authorization-server |
備授權服務器IP地址/接入端口號 |
|
Secondary-accounting-server |
備計費服務器IP地址/接入端口號 |
|
Current-authentication-server |
當前認證服務器IP地址/接入端口號 |
|
Current-authorization-server |
當前授權服務器IP地址/接入端口號 |
|
Current-accounting-server |
當前計費服務器IP地址/接入端口號 |
|
NAS-IP-address |
NAS的IP地址 l 未指定時,IP地址顯示為0.0.0.0 |
|
key authentication |
認證密鑰 |
|
key authorization |
授權密鑰 |
|
key accounting |
計費密鑰 |
|
Quiet-interval |
主服務器恢複激活狀態的時間 |
|
Realtime-accounting-interval |
實時計費間隔 |
|
Response-timeout-interval |
服務器響應超時間隔 |
|
Acct-stop-PKT retransmit times |
停止計費報文的重傳次數 |
|
Username format |
用戶名格式 |
|
Data traffic-unit |
數據流量單位 |
|
Packet traffic-unit |
包流量單位 |
【命令】
display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ]
【視圖】
任意視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:根據指定HWTACACS方案顯示緩存的停止計費請求報文。其中,hwtacacs-scheme-name為HWTACACS方案名,為1~32個字符的字符串。
slot slot-number:顯示指定單板上的緩存的停止計費請求報文。其中,slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
display stop-accounting-buffer命令用來顯示緩存的沒有得到響應的停止計費請求報文。
相關配置可參考命令reset stop-accounting-buffer、stop-accounting-buffer enable和retry stop-accounting。
【舉例】
# 在槽位號為2的接口板上,顯示HWTACACS方案hwt1緩存的停止計費請求報文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1 slot 2
Slot 2:
Total 0 record(s) Matched
【命令】
hwtacacs nas-ip ip-address
undo hwtacacs nas-ip
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定的源IP地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
【描述】
hwtacacs nas-ip命令用來指定設備發送HWTACACS報文使用的源地址。undo hwtacacs nas-ip命令用來恢複缺省狀態。
缺省情況下,不指定源地址,即以發送報文的接口地址作為源地址。
需要注意的是:
l 指定發送HWTACACS報文使用的源地址,可以避免物理接口故障時從服務器返回的報文不可達。
l 本命令隻能指定一個源地址,新配置的源地址會覆蓋原有的源地址。
l HWTACACS方案視圖下的命令nas-ip隻對本HWTACACS方案有效,係統視圖下的命令hwtacacs nas-ip對所有HWTACACS方案有效。HWTACACS方案視圖下的設置具有更高的優先級。
相關配置可參考命令nas-ip。
【舉例】
# 配置設備發送HWTACACS報文使用的源地址為129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【視圖】
係統視圖
【缺省級別】
3:管理級
【參數】
hwtacacs-scheme-name:HWTACACS方案名稱,為1~32個字符的字符串,不區分大小寫。
【描述】
hwtacacs scheme命令用來創建HWTACACS方案並進入其視圖。undo hwtacacs scheme命令用來刪除指定的HWTACACS方案。
缺省情況下,沒有定義HWTACACS方案。
需要注意的是,當有使用HWTACACS方案的用戶在線時,不允許使用undo hwtacacs scheme命令刪除該方案。
【舉例】
# 創建名為hwt1的HWTACACS方案並進入相應的HWTACACS視圖。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【命令】
key { accounting | authentication | authorization } string
undo key { accounting | authentication | authorization } string
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
accounting:指示HWTACACS計費報文的共享密鑰。
authentication:指示HWTACACS認證報文的共享密鑰。
authorization:指示HWTACACS授權報文的共享密鑰。
string:密鑰,為1~64個字符的字符串,區分大小寫。
【描述】
key命令用來配置HWTACACS認證、授權、計費報文的共享密鑰。undo key命令用來刪除配置。
缺省情況下,無共享密鑰。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置HWTACACS計費報文共享密鑰為hello。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key accounting hello
【命令】
nas-ip ip-address
undo nas-ip
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:指定的源IP地址,應該為本機的地址,禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。
【描述】
nas-ip命令用來指定設備發送HWTACACS報文使用的源地址。undo nas-ip命令用來恢複缺省情況。
缺省情況下,不指定源地址,即以發送報文的接口地址作為源地址。
需要注意的是:
l 指定發送HWTACACS報文使用的源地址,可以避免物理接口故障時從服務器返回的報文不可達。
l 本命令隻能指定一個源地址,新配置的源地址會覆蓋原有的源地址。
l HWTACACS方案視圖下的命令nas-ip隻對本HWTACACS方案有效,係統視圖下的命令hwtacacs nas-ip對所有HWTACACS方案有效。HWTACACS方案視圖下的設置具有更高的優先級。
相關配置可參考命令hwtacacs nas-ip。
【舉例】
# 配置設備發送HWTACACS報文使用的源IP地址為10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port-number ]
undo primary accounting
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:服務器的IP地址,必須是合法的單播地址。
port-number:服務器的端口號,缺省為49,取值範圍為1~65535。
【描述】
primary accounting命令用來配置HWTACACS主計費服務器。undo primary accounting命令用來刪除配置的HWTACACS主計費服務器。
缺省情況下,未配置主計費服務器。
需要注意的是:
l 主計費服務器和從計費服務器的IP地址不能相同,否則將提示配置不成功。
l 需保證設備上的HWTACACS服務端口與HWTACACS服務器上的端口設置一致。
l 如果重複執行此命令,新的配置將覆蓋原來的配置。
l 隻有當沒有活躍、用於發送計費報文的TCP連接使用該計費服務器時,才允許刪除該服務器。刪除服務器隻對之後的報文有效。
【舉例】
# 配置主計費服務器。
<Sysname> system-view
[Sysname] hwtacacs scheme test1
[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49
【命令】
primary authentication ip-address [ port-number ]
undo primary authentication
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:服務器的IP地址,必須是合法的單播地址。
port-number:服務器的端口號,缺省為49,取值範圍為1~65535。
【描述】
primary authentication命令用來配置HWTACACS認證服務器。undo primary authentication命令用來刪除配置的認證服務器。
缺省情況下,未配置主認證服務器。
需要注意的是:
l 主認證服務器和從認證服務器的IP地址不能相同,否則將提示配置不成功。
l 需保證設備上的HWTACACS服務端口與HWTACACS服務器上的端口設置一致。
l 如果重複執行此命令,新的配置將覆蓋原來的配置。
l 隻有當沒有活躍的、用於發送認證報文的TCP連接使用該認證服務器時,才允許刪除該服務器。刪除服務器隻對之後的報文有效。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置主認證服務器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49
【命令】
primary authorization ip-address [ port-number ]
undo primary authorization
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:服務器的IP地址,必須是合法的單播地址。
port-number:服務器的端口號,缺省為49,取值範圍為1~65535。
【描述】
primary authorization命令用來配置HWTACACS主授權服務器。undo primary authorization命令用來刪除配置的主授權服務器。
缺省情況下,未配置主授權服務器。
需要注意的是:
l 主授權服務器和從授權服務器的IP地址不能相同,否則將提示配置不成功。
l 需保證設備上的HWTACACS服務端口與HWTACACS服務器上的端口設置一致。
l 如果重複執行此命令,新的配置將覆蓋原來的配置。
l 隻有當沒有活躍的、用於發送授權報文的TCP連接使用該授權服務器,才允許刪除該服務器。刪除服務器隻對之後的報文有效。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置主授權服務器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization } [ slot slot-number ]
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
accounting:清除HWTACACS協議關於計費的統計信息。
all:清除HWTACACS的所有統計信息。
authentication:清除HWTACACS協議關於認證的統計信息。
authorization:清除HWTACACS協議關於授權的統計信息。
slot slot-number:清除指定單板板上的HWTACACS協議的統計信息。其中,slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
reset hwtacacs statistics命令用來清除HWTACACS協議的統計信息。
相關配置請參考命令display hwtacacs。
【舉例】
# 清除HWTACACS協議的所有統計信息。
<Sysname> reset hwtacacs statistics all
【命令】
reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ]
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
hwtacacs-scheme hwtacacs-scheme-name:根據指定HWTACACS方案清除緩存的停止計費請求報文。其中,hwtacacs-server-name為HWTACACS方案名,為1~32個字符的字符串。
slot slot-number:清除指定單板板上緩存的停止計費請求報文。其中,slot-number表示單板的槽位號,取值範圍請以設備的實際情況為準。
【描述】
reset stop-accounting-buffer命令用來清除緩存中的沒有得到響應的停止計費請求報文。
相關配置可參考命令stop-accounting-buffer enable、retry stop-accounting和display stop-accounting-buffer。
【舉例】
# 清除HWTACACS方案hwt1緩存在係統中的停止計費請求報文。
<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
retry-times:停止計費請求報文的最大重試次數,取值範圍為1~300。
【描述】
retry stop-accounting命令用來設置當出現沒有得到響應的停止計費請求時,將該報文存入設備緩存後,停止計費請求報文的最大重試次數。undo retry stop-accounting命令用來恢複缺省情況。
缺省情況下,停止計費請求報文的最大發送次數為100。
相關配置可參考命令reset stop-accounting-buffer、hwtacacs scheme和display stop-accounting-buffer。
【舉例】
# 設置對於HWTACACS方案hwt1中的服務器,設備係統最多可以將緩存的停止計費請求報文發送50次。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 50
【命令】
secondary accounting ip-address [ port-number ]
undo secondary accounting
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:服務器的IP地址,必須是合法的單播地址。
port-number:服務器的端口號,缺省為49,取值範圍為1~65535。
【描述】
secondary accounting命令用來配置HWTACACS從計費服務器。undo secondary accounting命令用來刪除配置的HWTACACS從計費服務器。
缺省情況下,未配置從計費服務器。
需要注意的是:
l 主計費服務器和從計費服務器的IP地址不能相同,否則將提示配置不成功。
l 需保證設備上的HWTACACS服務端口與HWTACACS服務器上的端口設置一致。
l 如果重複執行此命令,新的配置將覆蓋原來的配置。
l 隻有當沒有活躍的、用於發送計費報文的TCP連接使用該計費服務器時,才允許刪除該服務器。
【舉例】
# 配置從計費服務器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49
【命令】
secondary authentication ip-address [ port-number ]
undo secondary authentication
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:服務器的IP地址,必須是合法的單播地址。
port-number:服務器的端口號,缺省為49,取值範圍為1~65535。
【描述】
secondary authentication命令用來配置HWTACACS從認證服務器。undo secondary authentication命令用來刪除配置的從認證服務器。
缺省情況下,未配置從認證服務器。
需要注意的是:
l 主認證服務器和從認證服務器的IP地址不能相同,否則將提示配置不成功。
l 需保證設備上的HWTACACS服務端口與HWTACACS服務器上的端口設置一致。
l 如果重複執行此命令,新的配置將覆蓋原來的配置。
l 隻有當沒有活躍的、用於發送認證報文的TCP連接使用該認證服務器時,才允許刪除該服務器。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置從認證服務器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49
【命令】
secondary authorization ip-address [ port-number ]
undo secondary authorization
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
ip-address:服務器的IP地址,必須是合法的單播地址。
port-number:服務器的端口號,缺省為49,取值範圍為1~65535。
【描述】
secondary authorization命令用來配置HWTACACS從授權服務器。undo secondary authorization命令用來刪除配置的從授權服務器。
缺省情況下,未配置從授權服務器。
需要注意的是:
l 主授權服務器和從授權服務器的IP地址不能相同,否則將提示配置不成功。
l 需保證設備上的HWTACACS服務端口與HWTACACS服務器上的端口設置一致。
l 如果重複執行此命令,新的配置將覆蓋原來的配置。
l 隻有當沒有活躍的、用於發送授權報文的TCP連接使用該授權服務器,才允許刪除該服務器。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置從授權服務器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
stop-accounting-buffer enable命令用來允許在設備上緩存沒有得到響應的停止計費請求報文。undo stop-accounting-buffer enable命令用來禁止在設備上緩存沒有得到響應的停止計費請求報文。
缺省情況下,允許設備緩存沒有得到響應的停止計費請求報文。
由於停止計費請求報文涉及到話單結算、並最終影響收費多少,對用戶和ISP都有比較重要的影響,因此設備應該盡最大努力把它發送給HWTACACS計費服務器。所以,如果HWTACACS計費服務器對設備發出的停止計費請求報文沒有響應,設備應將其緩存在本機上,然後發送直到HWTACACS計費服務器產生響應,或者在發送的次數達到指定的次數限製後將其丟棄。
相關配置可參考命令reset stop-accounting-buffer、hwtacacs scheme和display stop-accounting-buffer。
【舉例】
# 指示對於HWTACACS方案hwt1中的服務器,設備能夠緩存沒有得到響應的停止計費請求報文。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
minutes:恢複激活狀態的時間,取值範圍為1~255,單位為分鍾。
【描述】
timer quiet命令用來設置主服務器恢複激活狀態的時間。undo timer quiet命令用來恢複缺省情況。
缺省情況下,主服務器恢複激活狀態的時間為5分鍾。
相關配置可參考命令display hwtacacs。
【舉例】
# 設置主服務器恢複激活狀態的時間為10分鍾。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
minutes:實時計費的時間間隔,取值範圍為0~60,單位為分鍾,非零取值必須為3的倍數。0表示設備不向HWTACACS服務器發送在線用戶的計費信息。
【描述】
timer realtime-accounting命令用來設置實時計費的時間間隔。undo timer realtime-accounting命令用來恢複缺省情況。
缺省情況下,實時計費的時間間隔為12分鍾。
需要注意的是:
l 為了對用戶實施實時計費,有必要設置實時計費的時間間隔。在設置了該屬性以後,每隔設定的時間,設備會向HWTACACS服務器發送一次在線用戶的計費信息。
l 實時計費間隔的取值對設備和HWTACACS服務器的性能有一定的相關性要求,取值越小,對設備和HWTACACS服務器的性能要求越高。建議當用戶量比較大(¦1000)時,盡量把該間隔的值設置得大一些。以下是實時計費間隔與用戶量之間的推薦比例關係:
|
用戶數 |
實時計費間隔(分鍾) |
|
1~99 |
3 |
|
100~499 |
6 |
|
500~999 |
12 |
|
¦1000 |
¦15 |
【舉例】
# 將HWTACACS方案hwt1的實時計費的時間間隔設置為51分鍾。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
seconds:服務器應答超時時間,取值範圍為1~300,單位為秒。
【描述】
timer response-timeout命令用來設置HWTACACS服務器應答超時時間。undo timer response-timeout命令用來恢複缺省情況。
缺省情況下,HWTACACS服務器應答超時時間為5秒。
需要注意的是,由於HWTACACS是基於TCP實現的,因此,服務器應答超時或TCP超時都可能導致與HWTACACS服務器的連接斷開。
相關配置可參考命令display hwtacacs。
【舉例】
# 配置TACACS服務器應答超時時間為30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【命令】
user-name-format { keep-original | with-domain | without-domain }
【視圖】
HWTACACS方案視圖
【缺省級別】
2:係統級
【參數】
keep-original:發送給HWTACACS服務器的用戶名與用戶輸入的保持一致。
with-domain:發送給HWTACACS服務器的用戶名帶ISP域名。
without-domain:發送給HWTACACS服務器的用戶名不帶ISP域名。
【描述】
user-name-format命令用來設置發送給HWTACACS服務器的用戶名格式。
缺省情況下,HWTACACS方案默認發送給HWTACACS服務器的用戶名攜帶有ISP域名。
需要注意的是:
l 接入用戶通常以“userid@isp-name”的格式命名,“@”後麵的部分為ISP域名,設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是,有些較早期的HWTACACS服務器不能接受攜帶有ISP域名的用戶名,在這種情況下,有必要將用戶名中攜帶的域名去除後再傳送給HWTACACS服務器。因此,設備提供此命令以指定發送給HWTACACS服務器的用戶名是否攜帶有ISP域名。
l 如果指定某個HWTACACS方案不允許用戶名中攜帶有ISP域名,那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該HWTACACS方案。否則,會出現雖然實際用戶不同(在不同的ISP域中),但HWTACACS服務器認為用戶相同(因為傳送到它的用戶名相同)的錯誤。
l 無線用戶漫遊時,建議配置參數keep-original,否則可能引起認證失敗。
相關配置可參考命令hwtacacs scheme。
【舉例】
# 指定發送給HWTACACS方案hwt1的用戶不帶ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
