accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting default

FIPS模式下：

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }

undo accounting default

【缺省情況】

當前ISP域的缺省計費方法為local。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地計費。

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

當前ISP域的缺省計費方法對於該域中未指定具體計費方法的所有接入用戶都起作用，但是如果某類型的用戶不支持指定的計費方法，則該計費方法對於這類用戶不能生效。

本地計費隻是為了支持本地用戶的連接數管理，沒有實際的計費相關的統計功能。

可以指定一個或多個備選的計費方法，在當前的計費方法無效時按照配置順序嚐試使用備選的方法完成計費。例如，radius-scheme radius-scheme-name local none表示，先進行RADIUS計費，若RADIUS計費無效則進行本地計費，若本地計費也無效則不進行計費。

【舉例】

# 在ISP域test下，配置缺省計費方法為使用RADIUS方案rd進行計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting default radius-scheme rd local

【相關命令】

· hwtacacs scheme

· local-user

· radius scheme

1.1.3 accounting lan-access

accounting lan-access命令用來為lan-access用戶配置計費方法。

undo accounting lan-access命令用來恢複缺省情況。

【命令】

非FIPS模式下：

accounting lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting lan-access

FIPS模式下：

accounting lan-access { local | radius-scheme radius-scheme-name [ local ] }

undo accounting lan-access

【缺省情況】

lan-access用戶采用當前ISP域的缺省計費方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

local：本地計費。

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為lan-access用戶配置計費方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access local

# 在ISP域test下，配置lan-access用戶使用RADIUS方案rd進行計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting lan-access radius-scheme rd local

【相關命令】

· accounting default

· local-user

· radius scheme

1.1.4 accounting login

accounting login命令用來為login用戶配置計費方法。

undo accounting login命令用來恢複缺省情況。

【命令】

非FIPS模式下：

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting login

FIPS模式下：

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }

undo accounting login

【缺省情況】

login用戶采用當前ISP域的缺省計費方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地計費。

none：不計費。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

不支持對FTP類型的login用戶進行計費。

【舉例】

# 在ISP域test下，為login用戶配置計費方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting login local

# 在ISP域test下，配置login用戶使用RADIUS方案rd進行計費，並且使用local作為備選計費方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] accounting login radius-scheme rd local

【相關命令】

· accounting default

· hwtacacs scheme

· local-user

· radius scheme

1.1.5 authentication default

authentication default命令用來為當前ISP域配置缺省的認證方法。

undo authentication default命令用來為恢複缺省情況。

【命令】

非FIPS模式下：

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication default

FIPS模式下：

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }

undo authentication default

【缺省情況】

當前ISP域的缺省認證方法為local。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地認證。

none：不進行認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

當前ISP域的缺省的認證方法對於該域中未指定具體認證方法的所有接入用戶都起作用，但是如果某類型的用戶不支持指定的認證方法，則該認證方法對於這類用戶不能生效。

可以指定一個或多個備選的認證方法，在當前的認證方法無效時按照配置順序嚐試使用備選的方法完成認證。例如，radius-scheme radius-scheme-name local none表示，先進行RADIUS認證，若RADIUS認證無效則進行本地認證，若本地認證也無效則不進行認證。

【舉例】

# 在ISP域test下，配置缺省認證方法為使用RADIUS方案rd進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication default radius-scheme rd local

【相關命令】

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.6 authentication lan-access

authentication lan-access命令用來為lan-access用戶配置認證方法。

undo authentication lan-access命令用來恢複缺省情況。

【命令】

非FIPS模式下：

authentication lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication lan-access

FIPS模式下：

authentication lan-access { local | radius-scheme radius-scheme-name [ local ] }

undo authentication lan-access

【缺省情況】

lan-access用戶采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

local：本地認證。

none：不進行認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為lan-access用戶配置認證方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication lan-access local

# 在ISP域test下，配置lan-access用戶使用RADIUS方案rd進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication lan-access radius-scheme rd local

【相關命令】

· authentication default

· local-user

· radius scheme

1.1.7 authentication login

authentication login命令用來為login用戶配置認證方法。

undo authentication login命令用來恢複缺省情況。

【命令】

非FIPS模式下：

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication login

FIPS模式下：

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | ldap-scheme ldap-scheme-name [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }

undo authentication login

【缺省情況】

login用戶采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，為1～32個字符的字符串，不區分大小寫。

local：本地認證。

none：不進行認證。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

【舉例】

# 在ISP域test下，為login用戶配置認證方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication login local

# 在ISP域test下，配置login用戶使用RADIUS方案rd進行認證，並且使用local作為備選認證方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authentication login radius-scheme rd local

【相關命令】

· authentication default

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.8 authentication super

authentication super命令用來配置用戶角色切換認證方法。

undo authentication super命令用來恢複缺省情況。

【命令】

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *

undo authentication super

【缺省情況】

用戶角色切換認證采用當前ISP域的缺省認證方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

可以指定一個備選的認證方法，在當前的認證方法無效時嚐試使用備選的方法完成認證。

目前，遠程方案隻能支持對名稱為level-n的用戶角色之間的切換進行認證。

· 當使用HWTACACS方案進行用戶角色切換認證時，係統使用用戶輸入的用戶角色切換用戶名進行角色切換認證，HWTACACS服務器上也必須存在相應的用戶名，該用戶名代表了能夠切換到的最大級別。例如，用戶希望切換到用戶角色level-3，輸入的用戶名為“test”，在要求攜帶域名認證的情況下，係統使用用戶名“test@domain-name”進行用戶角色切換認證；在要求不攜帶域名認證的情況下使用“test”進行用戶角色切換認證。

· 當使用RADIUS方案進行用戶角色切換認證時，係統使用“$enabn$”形式的用戶名進行用戶角色切換認證，其中n為用戶希望切換到的用戶角色level-n中的n，RADIUS服務器上也必須存在相同形式的用戶名。例如，用戶希望切換到用戶角色level-3，輸入任意用戶名，係統忽略用戶輸入的用戶名，使用“$enab3$@domain-name”或“$enab3$”形式的用戶名進行用戶角色切換認證（是否攜帶域名由user-name-format命令決定）。

【舉例】

# 在ISP域test下，配置使用HWTACACS方案tac進行用戶角色切換認證。

<Sysname> system-view

[Sysname] super authentication-mode scheme

[Sysname] domain test

[Sysname-domain-test] authentication super hwtacacs-scheme tac

【相關命令】

· authentication default

· hwtacacs scheme

· radius scheme

1.1.9 authorization command

authorization command命令用來配置命令行授權方法。

undo authorization command命令用來恢複缺省情況。

【命令】

非FIPS模式下：

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }

undo authorization command

FIPS模式下：

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local }

undo authorization command

【缺省情況】

命令行授權采用當前ISP域的缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地授權。

none：不授權。用戶執行角色所允許的命令時，無須接受授權服務器的檢查。

【使用指導】

命令行授權是指，用戶執行的每一條命令都需要接受授權服務器的檢查，隻有授權成功的命令才被允許執行。

對用戶采用本地命令行授權時，設備可以為成功登錄設備的用戶授權相應的用戶角色，使其擁有相應的命令行執行權限。

可以指定一個或多個備選的命令行授權方法，在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成命令授權。例如，hwtacacs-scheme hwtacacs-scheme-name local none表示，先進行HWTACACS授權，若HWTACACS授權無效則進行本地授權，若本地授權也無效則不進行授權。

【舉例】

# 在ISP域test下，配置命令行授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization command local

# 在ISP域test下，配置使用HWTACACS方案hwtac進行命令行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local

【相關命令】

· authorization accounting（基礎命令參考/登錄設備）

· hwtacacs scheme

· local-user

1.1.10 authorization default

authorization default命令用來為當前ISP域配置缺省的授權方法。

undo authorization default命令用來恢複缺省情況。

【命令】

非FIPS模式下：

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization default

FIPS模式下：

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }

undo authorization default

【缺省情況】

當前ISP域的缺省授權方法為local。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地授權。

none：不授權。接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時，認證通過的Login用戶（通過Console口或者Telnet、FTP訪問設備的用戶）隻有係統所給予的缺省用戶角色，其中FTP用戶的工作目錄是設備的根目錄，但並無訪問權限；認證通過的非Login用戶可直接訪問網絡。關於缺省用戶角色的詳細介紹請參見“基礎配置指導”中的“RBAC”。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

當前ISP域的缺省的授權方法對於該域中未指定具體授權方法的所有接入用戶都起作用，但是如果某類型的用戶不支持指定的授權方法，則該授權方法對於這類用戶不能生效。

在一個ISP域中，隻有配置的認證和授權方法中引用了相同的RADIUS方案時，RADIUS授權過程才能生效。

可以指定一個或多個備選的授權方法，在當前的授權方法無效時按照配置順序嚐試使用備選的方法完成授權。例如，radius-scheme radius-scheme-name local none表示，先進行RADIUS授權，若RADIUS授權無效則進行本地授權，若本地授權也無效則不進行授權。

【舉例】

# 在ISP域test下，配置缺省授權方法為使用RADIUS方案rd進行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization default radius-scheme rd local

【相關命令】

· hwtacacs scheme

· local-user

· radius scheme

1.1.11 authorization lan-access

authorization lan-access命令用來為lan-access用戶配置授權方法。

undo authorization lan-access命令用來恢複缺省情況。

【命令】

非FIPS模式下：

authorization lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization lan-access

FIPS模式下：

authorization lan-access { local | radius-scheme radius-scheme-name [ local ] }

undo authorization lan-access

【缺省情況】

lan-access用戶采用當前ISP域的缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

local：本地授權。

none：不授權。接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權，認證通過的lan-access用戶可直接訪問網絡。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

在一個ISP域中，隻有配置的認證和授權方法中引用了相同的RADIUS方案時，RADIUS授權過程才能生效。

【舉例】

# 在ISP域test下，為lan-access用戶配置授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access local

# 在ISP域test下，配置lan-access用戶使用RADIUS方案rd進行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access radius-scheme rd local

【相關命令】

· authorization default

· local-user

· radius scheme

1.1.12 authorization login

authorization login命令用來為login用戶配置授權方法。

undo authorization login命令用來恢複缺省情況。

【命令】

非FIPS模式下：

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization login

FIPS模式下：

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] | local | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] }

undo authorization login

【缺省情況】

login用戶采用當前ISP域的缺省授權方法。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

local：本地授權。

none：不授權。接入設備不請求授權信息，不對用戶可以使用的操作以及用戶允許使用的網絡服務進行授權。此時，認證通過的Login用戶（通過Console口或者Telnet、FTP訪問設備的用戶）隻有係統所給予的缺省用戶角色，其中FTP用戶的工作目錄是設備的根目錄，但並無訪問權限。關於缺省用戶角色的詳細介紹請參見“基礎配置指導”中的“RBAC”。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

在一個ISP域中，隻有配置的認證和授權方法中引用了相同的RADIUS方案時，RADIUS授權過程才能生效。

【舉例】

# 在ISP域test下，為login用戶配置授權方法為local。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization login local

# 在ISP域test下，配置login用戶使用RADIUS方案rd進行授權，並且使用local作為備選授權方法。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization login radius-scheme rd local

【相關命令】

· authorization default

· hwtacacs scheme

· local-user

· radius scheme

1.1.13 display domain

display domain命令用來顯示所有或指定ISP域的配置信息。

【命令】

display domain [ isp-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

isp-name：指定ISP域名，為1～24個字符的字符串，不區分大小寫。

【使用指導】

如果不指定ISP域，則顯示係統中所有ISP域的配置信息。

【舉例】

# 顯示係統中所有ISP域的配置信息。

<Sysname> display domain

Total 2 domain(s)

Domain:system

State: Active

Access-limit: Disable

Access-Count: 0

default Authentication Scheme: local

default Authorization Scheme: local

default Accounting Scheme: local

Domain:dm

State: Active

Access-limit: 2222

Access-Count: 0

default Authentication Scheme: ldap: rad, local, none

default Authorization Scheme: local

default Accounting Scheme: none

Default Domain Name: system

表1-1 display domain命令顯示信息描述表

字段	描述
Total 2 domain(s)	總計2個ISP域
Domain	ISP域名
State	ISP域的狀態
Access-limit	ISP所能容納的最大接入用戶數（若顯示為Disable，則表示不限製當前ISP域可容納接入用戶數）
Access-Count	當前接入用戶數
Default Authentication Scheme	缺省的認證方案
Default Authorization Scheme	缺省的授權方案
Default Accounting Scheme	缺省的計費方案
Login Authentication Scheme	Login用戶的認證方案
Login Authorization Scheme	Login用戶的授權方案
Login Accounting Scheme	Login用戶的計費方案
radius	RADIUS方案
tacacs	HWTACACS方案
ldap	LDAP方案
local	本地方案
none	不認證、不授權和不計費
Command Authorization Scheme	命令行授權方案
Command Accounting Scheme	命令行計費方案
Super Authentication Scheme	用戶角色切換認證方案
Default Domain Name	缺省ISP域名

1.1.14 domain

domain命令用來創建ISP域並進入其視圖。

undo domain命令用來刪除指定的ISP域。

【命令】

domain isp-name

undo domain isp-name

【缺省情況】

係統存在一個名稱為system的ISP域。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

isp-name：ISP域名，為1～24個字符的字符串，不區分大小寫，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”等字符。

【使用指導】

需要注意的是：

· 所有的ISP域在創建後即處於active狀態。

· 不能刪除係統中預定義的ISP域system，隻能修改該域的配置。

· 不能刪除係統缺省的ISP域，除非先恢複要刪除的域為非缺省域，係統缺省的ISP域的配置請參考domain default enable命令。

【舉例】

# 創建一個新的ISP域test，並進入其視圖。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test]

【相關命令】

· display domain

· domain default enable

· state

1.1.15 domain default enable

domain default enable命令用來配置係統缺省的ISP域，所有在登錄時沒有提供ISP域名的用戶都屬於這個域。

undo domain default enable命令用來恢複缺省情況。

【命令】

domain default enable isp-name

undo domain default enable

【缺省情況】

係統缺省的ISP域為system。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

isp-name：ISP域名，為1～24個字符的字符串，不區分大小寫。

【使用指導】

需要注意的是：

· 缺省的ISP域有且隻有一個。

· 指定的缺省ISP域必須已經存在。

· 配置為缺省的ISP域不能被刪除，除非先恢複要刪除的域為非缺省域。

【舉例】

# 創建一個新的ISP域test，並設置為係統缺省的ISP域。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] quit

[Sysname] domain default enable test

【相關命令】

· display domain

· domain

1.1.16 state（ISP domain view）

state命令用來設置當前ISP域的狀態。

undo state命令用來恢複缺省情況。

【命令】

state { active | block }

undo state

【缺省情況】

當一個ISP域被創建以後，其狀態為active。

【視圖】

ISP域視圖

【缺省用戶角色】

network-admin

【參數】

active：指定當前ISP域處於活動狀態，即係統允許該域下的用戶請求網絡服務。

block：指定當前ISP域處於“阻塞”狀態，即係統不允許該域下的用戶請求網絡服務。

【使用指導】

當指定某個ISP域處於block狀態時，不允許該域下的用戶請求網絡服務，但是不影響已經在線的用戶。

【舉例】

# 設置當前ISP域test處於“阻塞”狀態，域下的接入用戶不能再請求網絡服務。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] state block

【相關命令】

· display domain

1.2 本地用戶配置命令

1.2.1 authorization-attribute（Local user view/user group view）

authorization-attribute命令用來設置本地用戶或用戶組的授權屬性，該屬性在本地用戶認證通過之後，由設備下發給用戶。

undo authorization-attribute命令用來刪除配置的授權屬性，恢複用戶具有的缺省訪問權限。

【命令】

authorization-attribute { acl acl-number | idle-cut minute | user-role role-name | vlan vlan-id | work-directory directory-name } *

undo authorization-attribute { acl | idle-cut | user-role role-name | vlan | work-directory } *

【缺省情況】

無缺省授權ACL、閑置切斷時間、授權VLAN。授權FTP/SFTP/SCP用戶可以訪問的目錄為設備的根目錄，但無訪問權限。由用戶角色為network-admin或者level-15的用戶創建的本地用戶被授權用戶角色network-operator。

【視圖】

本地用戶視圖/用戶組視圖

【缺省用戶角色】

network-admin

【參數】

acl acl-number：指定本地用戶的授權ACL。其中，acl-number為授權ACL的編號，取值範圍為2000～5999。本地用戶認證成功後，將被授權僅可以訪問符合指定ACL規則的網絡資源。

idle-cut minute：設置本地用戶的閑置切斷時間。其中，minute為設定的閑置切斷時間，取值範圍為1～120，單位為分鍾。如果用戶在線後連續閑置的時長超過該值，設備會強製該用戶下線。

user-role role-name：指定本地用戶的授權用戶角色。其中，role-name為1～63個字符的字符串，區分大小寫。由用戶角色為network-admin的用戶創建的本地用戶的缺省用戶角色為network-operator。可以為每個用戶最多指定64個用戶角色。本地用戶角色的相關命令請參見“基礎命令參考”中的“RBAC”。該授權屬性隻能在本地用戶視圖下配置，不能在本地用戶組視圖下配置。

vlan vlan-id：指定本地用戶的授權VLAN。其中，vlan-id為VLAN編號，取值範圍為1～4094。本地用戶認證成功後，將被授權僅可以訪問指定VLAN內的網絡資源。

work-directory directory-name：授權FTP/SFTP/SCP用戶可以訪問的目錄。其中，directory-name表示FTP/SFTP/SCP用戶可以訪問的目錄，為1～512個字符的字符串，不區分大小寫，且該目錄必須已經存在。缺省情況下，FTP/SFTP/SCP用戶可訪問設備的根目錄，可通過本參數來修改用戶可以訪問的目錄。

【使用指導】

可配置的授權屬性都有其明確的使用環境和用途，請針對用戶的服務類型配置對應的授權屬性：

· 對於lan-access用戶，僅授權屬性acl、idle-cut和vlan有效；

· 對於http、https、telnet、terminal用戶，僅授權屬性user-role有效；

· 對於ssh、ftp用戶，僅授權屬性user-role和work-directory有效；

· 對於其它類型的本地用戶，所有授權屬性均無效。

需要注意的是：

· 用戶組的授權屬性對於組內的所有本地用戶生效，因此具有相同屬性的用戶可通過加入相同的用戶組來統一配置和管理。

· 本地用戶視圖下未配置的授權屬性繼承所屬用戶組的授權屬性配置，但是如果本地用戶視圖與所屬的用戶組視圖下都配置了某授權屬性，則本地用戶視圖下的授權屬性生效。

· 如果希望本地用戶僅使用本命令授權的用戶角色，建議使用undo authorization-attribute user-role命令刪除該用戶已有的缺省用戶角色。

· 被授權安全日誌管理員的本地用戶登錄設備後，僅可執行安全日誌文件管理相關的命令以及安全日誌文件操作相關的命令，具體命令可通過display role name security-audit命令查看。安全日誌文件管理相關命令的介紹，請參見“網絡管理與監控”中的“信息中心”。文件係統管理相關命令的介紹，請參見“基礎配置命令參考”中的“文件係統管理”。

· 為一個用戶授權安全日誌管理員角色時，經過界麵的交互式確認後，係統會自動刪除當前用戶的所有其它用戶角色；如果已經授權當前用戶安全日誌管理員角色，再授權其它的用戶角色時，經過界麵的交互式確認後，係統會自動刪除當前用戶的安全日誌管理員角色。

· 係統中的最後一個安全日誌管理員角色的本地用戶不可被刪除。

【舉例】

# 配置網絡接入類本地用戶abc的授權VLAN為VLAN 2。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] authorization-attribute vlan 2

# 配置用戶組abc的授權VLAN為VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

# 配置設備管理類本地用戶xyz的授權用戶角色為security-audit（安全日誌管理員）。

<Sysname> system-view

[Sysname] local-user xyz class manage

[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit

This operation will delete all other roles of the user. Are you sure? [Y/N]:y

【相關命令】

· display local-user

· display user-group

1.2.2 bind-attribute

bind-attribute命令用來設置用戶的綁定屬性。

undo bind-attribute命令用來刪除配置的用戶綁定屬性。

【命令】

bind-attribute { ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *

undo bind-attribute { ip | location | mac | vlan } *

【缺省情況】

未設置用戶的任何綁定屬性。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

ip ip-address：指定用戶的IP地址。該綁定屬性僅適用於lan-access類型中的802.1X用戶。

location port slot-number subslot-number port-number：指定用戶綁定的端口。其中slot-number為單板所在槽位號，取值範圍為0～255；subslot-number為子槽位號，取值範圍為0～15；port-number為端口號，取值範圍0～255。如果用戶接入的端口與此處綁定的端口不一致，則認證失敗。該綁定屬性僅適用於lan-access類型的用戶。

mac mac-address：指定用戶的MAC地址。其中，mac-address為H-H-H格式。該綁定屬性僅適用於lan-access類型的用戶。

vlan vlan-id：指定用戶所屬於的VLAN。其中，vlan-id為VLAN編號，取值範圍為1～4094。該綁定屬性僅適用於lan-access類型的用戶。

【使用指導】

需要注意的是，當對本地用戶進行認證時，如果配置了綁定屬性，則會檢查用戶的實際屬性與配置的綁定屬性是否一致，如果不一致或用戶未攜帶該綁定屬性則認證失敗。而且，由於認證檢測時不區分用戶的接入服務類型，即會對所有類型的用戶都進行已配置綁定屬性的認證檢測，因此在配置綁定屬性時要考慮某類型的用戶是否需要綁定某些屬性。例如，隻有支持IP地址上傳功能的802.1X認證用戶才可以配置綁定IP地址；對於不支持IP地址上傳功能的MAC地址認證用戶，如果配置了綁定IP地址，則會導致該用戶的本地認證失敗。

在綁定接口屬性時要考慮綁定接口類型是否合理。例如對802.1X認證用戶綁定接口需要綁定物理接口，如果綁定VLAN接口等虛接口，則會導致該用戶的本地認證失敗。

【舉例】

# 配置網絡接入類本地用戶abc的綁定IP為3.3.3.3。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] bind-attribute ip 3.3.3.3

【相關命令】

· display local-user

1.2.3 display local-user

display local-user命令用來顯示本地用戶的配置信息和在線用戶數的統計信息。

【命令】

display local-user [ class { manage | network } | idle-cut { disable | enable } | service-type { ftp | lan-access | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

class：顯示指定用戶類別的本地用戶信息。

· manage：設備管理類用戶。

· network：網絡接入類用戶。

idle-cut { disable | enable }：顯示使能或未使能閑置切斷功能的本地用戶信息。其中，disable表示未啟用閑置切斷功能的本地用戶；enable表示啟用了閑置切斷功能並配置了閑置切斷時間的本地用戶。

service-type：顯示指定用戶類型的本地用戶信息。

· ftp：FTP用戶。

· lan-access：lan-access類型用戶（主要指以太網接入用戶，比如802.1X用戶）。

· ssh：SSH用戶。

· telnet：Telnet用戶。

· terminal：從Console口登錄的終端用戶。

state { active | block }：顯示處於指定狀態的本地用戶信息。其中，active表示用戶處於活動狀態，即係統允許該用戶請求網絡服務；block表示用戶處於阻塞狀態，即係統不允許用戶請求網絡服務。

user-name user-name：顯示指定用戶名的本地用戶信息。其中，user-name表示本地用戶名，為1～55個字符的字符串，區分大小寫，不能攜帶域名。

vlan vlan-id：顯示指定VLAN內的所有本地用戶信息。其中，vlan-id為VLAN編號，取值範圍為1～4094。

【使用指導】

如果不指定任何參數，則顯示所有本地用戶信息。

【舉例】

# 顯示所有本地用戶的相關信息。

<Sysname> display local-user

Total 2 local users matched.

Device management user root:

State: Active

Service Type: SSH/Telnet/Terminal

User Group: system

Bind Attributes:

Authorization Attributes:

Work Directory: flash:

User Role List: network-admin

Network access user jj:

State: Active

Service Type: Lan-access

User Group: system

Bind Attributes:

IP Address: 2.2.2.2

Location Bound: 3/3/2 (slot/subslot/port)

MAC Address: 0001-0001-0001

VLAN ID: 2

Authorization Attributes:

Idle TimeOut: 33 (min)

Work Directory: flash:

ACL Number: 2000

User Role List: network-operator, level-0, level-3

表1-2 display local-user命令顯示信息描述表

字段	描述
Total 2 local users matched.	總計有2個本地用戶匹配
State	本地用戶狀態 · Active：活動狀態 · Block：阻塞狀態
Service Type	本地用戶使用的服務類型，取值包括FTP、Lan-access、SSH、Telnet和Terminal
User Group	本地用戶所屬的用戶組
Bind Attributes	本地用戶的綁定屬性
IP Address	本地用戶的IP地址
Location Bound	本地用戶綁定的端口
MAC Address	本地用戶的MAC地址
VLAN ID	本地用戶綁定的VLAN
Authorization Attributes	本地用戶的授權屬性
Idle TimeOut	本地用戶閑置切斷時間（單位為分鍾）
Work Directory	FTP/SFTP/SCP用戶可以訪問的目錄
ACL Number	本地用戶授權ACL
VLAN ID	本地用戶授權VLAN
User Role List	本地用戶的授權用戶角色列表

1.2.4 display user-group

display user-group命令用來顯示用戶組的相關配置。

【命令】

display user-group [ group-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

group-name：顯示指定用戶組的配置。group-name表示用戶組名稱，為1～32個字符的字符串，不區分大小寫。

【使用指導】

若不指定用戶組名稱，則顯示所有用戶組的相關配置。

【舉例】

# 顯示所有用戶組的相關配置。

<Sysname> display user-group

Total 2 user groups matched.

The contents of user group system:

Authorization Attributes:

Work Directory: flash:

The contents of user group jj:

Authorization Attributes:

Idle TimeOut: 2 (min)

Work Directory: flash:/

ACL Number: 2000

VLAN ID: 2

表1-3 display user-group命令顯示信息描述表

字段	描述
Total 2 user groups matched.	總計有2個用戶組匹配
Idle TimeOut	閑置切斷時間（單位：分鍾）
Work Directory	FTP/SFTP/SCP用戶可以訪問的目錄
ACL Number	授權ACL號
VLAN ID	授權VLAN ID

1.2.5 group

group命令用來設置本地用戶所屬的用戶組。

undo group命令用來恢複缺省配置。

【命令】

group group-name

undo group

【缺省情況】

用戶屬於係統默認創建的用戶組system。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

group-name：用戶組名稱，為1～32個字符的字符串，不區分大小寫。

【舉例】

# 設置設備管理類本地用戶111所屬的用戶組為abc。

<Sysname> system-view

[Sysname] local-user 111 class manage

[Sysname-luser-manage-111] group abc

【相關命令】

· display local-user

1.2.6 local-user

local-user命令用來添加本地用戶，並進入本地用戶視圖。

undo local-user命令用來刪除指定的本地用戶。

【命令】

local-user user-name [ class { manage | network } ]

undo local-user { user-name class { manage | network } | all [ service-type { ftp | lan-access | ssh | telnet | terminal } | class { manage | network } ] }

【缺省情況】

不存在本地用戶。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

user-name：表示本地用戶名，為1～55個字符的字符串，區分大小寫。用戶名不能攜帶域名，不能包括符號“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，且不能為“a”、“al”或“all”。

class：指定本地用戶的類別。若不指定類別，默認是設備管理類型用戶。

· manage：設備管理類用戶，用於登錄設備，對設備進行配置和監控。此類用戶可以提供ftp、telnet、ssh、terminal服務。

· network：網絡接入類用戶，用於通過設備接入網絡，訪問網絡資源。此類用戶可以提供lan-access服務。

all：所有的用戶。

service-type：指定用戶的類型。

· ftp：表示FTP類型用戶。

· lan-access：表示lan-access類型用戶（主要指以太網接入用戶，比如802.1X用戶）。

· ssh：表示SSH用戶。

· telnet：表示Telnet用戶。

· terminal：表示從Console口登錄的終端用戶。

【舉例】

# 添加名稱為user1的設備管理類本地用戶。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1]

# 添加名稱為user2的網絡接入類本地用戶。

<Sysname> system-view

[Sysname] local-user user2 class network

[Sysname-luser-network-user2]

【相關命令】

· display local-user

· service-type

1.2.7 password

password命令用來設置本地用戶的密碼。

undo password命令用來刪除本地用戶的密碼。

【命令】

非FIPS模式下：

password [ { cipher | hash | simple } password ]

undo password

FIPS模式下：

password

【缺省情況】

非FIPS模式下：

不存在本地用戶密碼，即本地用戶認證時無需輸入密碼，隻要用戶名有效且其它屬性驗證通過即可認證成功。

FIPS模式下：

不存在本地用戶密碼，但本地用戶認證時不能成功。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

cipher：表示以密文方式設置用戶密碼。

hash：表示以哈希方式設置用戶密碼。

simple：表示以明文方式設置用戶密碼。

password：設置的明文密碼或密文密碼，區分大小寫。非FIPS模式下，明文密碼為1～63個字符的字符串；哈希密碼為1～110個字符的字符串；密文密碼為1～117個字符的字符串；FIPS模式下，明文密碼為15～63個字符的字符串，密碼元素的最少組合類型為4（必須包括數字、大寫字母、小寫字母以及特殊字符）。

【使用指導】

如果不指定任何參數，則表示以交互式方式設置本地用戶密碼，涵義與指定simple關鍵字相同。若不設置本地用戶密碼，則本地用戶認證時無需輸入密碼，隻要用戶名有效且其它屬性驗證通過即可認證成功。因此為提高用戶帳戶的安全性，建議設置本地用戶密碼。

需要注意的是：

· 對於設備管理類本地用戶，可以使用交互式方式、明文或哈希方式設置用戶密碼，設置的明文密碼將以哈希計算後生成的密文形式保存在配置文件中，設置的哈希密碼將以設置的原始形式保存在配置文件中。FIPS模式下，隻支持交互式方式設置本地用戶密碼，且必須設置本地用戶密碼，否則用戶的本地認證不能成功。

· 對於網絡接入類本地用戶，可以使用明文或密文方式設置用戶密碼，設置的明文密碼將以加密後生成的密文形式保存在配置文件中，設置的密文密碼將以設置的原始形式保存在配置文件中。

【舉例】

# 設置設備管理類本地用戶user1的密碼為明文123456。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] password simple 123456

# 以交互式方式設置設備管理類本地用戶test的密碼。

<Sysname> system-view

[Sysname] local-user test class manage

[Sysname-luser-manage-test] password

Password:

Confirm :

# 設置網絡接入類本地用戶user2的密碼為明文getapp。

<Sysname> system-view

[Sysname] local-user user1 class network

[Sysname-luser-network-user1] password simple getapp

【相關命令】

· display local-user

· local-user password-display-mode

1.2.8 service-type

service-type命令用來設置用戶可以使用的服務類型。

undo service-type命令用來刪除用戶可以使用的服務類型。

【命令】

非FIPS模式下：

service-type { ftp | lan-access | { ssh | telnet | terminal } * }

undo service-type { ftp | lan-access | { ssh | telnet | terminal } * }

FIPS模式下：

service-type { lan-access | { ssh | terminal } * }

undo service-type { lan-access | { ssh | terminal } * }

【缺省情況】

係統不對用戶授權任何服務，即用戶不能使用任何服務。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

ftp：指定用戶可以使用FTP服務。若授權FTP服務，缺省授權FTP用戶可訪問設備的根目錄，授權目錄可以通過authorization-attribute work-directory命令來修改。

lan-access：指定用戶可以使用lan-access服務。主要指以太網接入，比如用戶可以通過802.1X認證接入。

ssh：指定用戶可以使用SSH服務。

telnet：指定用戶可以使用Telnet服務。

terminal：指定用戶可以使用terminal服務（即從Console口登錄）。

【使用指導】

可以通過多次執行本命令，設置用戶可以使用多種服務類型。

【舉例】

# 指定設備管理類用戶可以使用Telnet服務和FTP服務。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] service-type telnet

[Sysname-luser-manage-user1] service-type ftp

【相關命令】

· display local-user

1.2.9 state（Local user view）

state命令用來設置當前本地用戶的狀態。

undo state命令用來恢複缺省情況。

【命令】

state { active | block }

undo state

【缺省情況】

當一個本地用戶被創建以後，其狀態為active。

【視圖】

本地用戶視圖

【缺省用戶角色】

network-admin

【參數】

active：指定當前本地用戶處於活動狀態，即係統允許當前本地用戶請求網絡服務。

block：指定當前本地用戶處於“阻塞”狀態，即係統不允許當前本地用戶請求網絡服務。

【使用指導】

本命令僅對當前用戶生效，不影響其它用戶。

【舉例】

# 設置設備管理類本地用戶user1處於“阻塞”狀態。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] state block

【相關命令】

· display local-user

1.2.10 user-group

user-group命令用來創建用戶組，並進入其視圖。

undo user-group命令用來刪除指定的用戶組。

【命令】

user-group group-name

undo user-group group-name

【缺省情況】

存在一個名稱為system的用戶組。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

group-name：用戶組名稱，為1～32個字符的字符串，不區分大小寫。

【使用指導】

用戶組是一個本地用戶的集合，某些需要集中管理的屬性可在用戶組中統一配置和管理。目前，用戶組中可配置的內容為本地用戶的授權屬性。

需要注意的是：

· 當用戶組中有本地用戶時，不允許使用undo user-group刪除該用戶組。

· 不能刪除係統中存在的默認用戶組system，但可以修改該用戶組的配置。

【舉例】

# 創建名稱為abc的用戶組並進入其視圖。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc]

【相關命令】

· display user-group

1.3 RADIUS配置命令

1.3.1 accounting-on enable

accounting-on enable命令用來配置accounting-on功能。

undo accounting-on enable命令用來恢複缺省情況。

【命令】

accounting-on enable [ interval seconds | send send-times ] *

undo accounting-on enable

【缺省情況】

accounting-on功能處於關閉狀態。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

interval seconds：指定accounting-on報文重發時間間隔，取值範圍為1～15，單位為秒，缺省值為3。

send send-times：指定accounting-on報文的最大發送次數，取值範圍為1～255，缺省值為50。

【使用指導】

在accounting-on功能處於使能的情況下，若設備重啟，則設備會在重啟之後發送accounting-on報文通知該方案所使用的RADIUS計費服務器，要求RADIUS服務器停止計費且強製該設備的用戶下線。

需要注意的是：

· 執行完該命令後，請執行save操作，以保證設備重啟後accounting-on功能生效。

· 在執行accounting-on功能的過程中，使用該命令重新設置的報文重發間隔時間以及報文最大發送次數會立即生效。

【舉例】

# 使能RADIUS認證方案radius1的accounting-on功能，並配置accounting-on報文重發時間間隔為5秒、accounting-on報文的最大發送次數為15次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] accounting-on enable interval 5 send 15

【相關命令】

· display radius scheme

1.3.2 data-flow-format (RADIUS scheme view)

data-flow-format命令用來配置發送到RADIUS服務器的數據流及數據包的單位。

undo data-flow-format命令用來恢複缺省情況。

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【缺省情況】

數據流的單位為byte，數據包的單位為one-packet。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

data：設置數據流的單位。

· byte：數據流的單位為字節。

· giga-byte：數據流的單位千兆字節。

· kilo-byte：數據流的單位為千字節。

· mega-byte：數據流的單位為兆字節。

packet：設置數據包的單位。

· giga-packet：數據包的單位為千兆包。

· kilo-packet：數據包的單位為千包。

· mega-packet：數據包的單位為兆包。

· one-packet：數據包的單位為包。

【使用指導】

· 由於本係列交換機不支持對802.1X認證用戶和MAC地址認證用戶按照流量進行計費，所以此命令對於802.1X認證和MAC地址認證接入方式無效。

· 設備上配置的發送給RADIUS服務器的數據流單位及數據包單位應與RADUIS服務器上的流量統計單位保持一致，否則無法正確計費。

【舉例】

# 在RADIUS方案radius1中，設置發往RADIUS服務器的數據流單位為千字節、數據包單位為千包。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet

【相關命令】

· display radius scheme

1.3.3 display radius scheme

display radius scheme命令用來顯示所有或指定RADIUS方案的配置信息。

【命令】

display radius scheme [ radius-scheme-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

radius-scheme-name：顯示指定的RADIUS方案的配置信息。radius-scheme-name為RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

如果不指定RADIUS方案名，則顯示所有RADIUS方案的配置信息。

【舉例】

# 顯示所有RADIUS方案的配置信息。

<Sysname> display radius scheme

Total 1 RADIUS schemes

------------------------------------------------------------------

RADIUS Scheme Name : radius1

Index : 0

Primary Auth Server:

IP : 2.2.2.2 Port: 1812 State: Active

VPN : vpn1

Primary Acct Server:

IP: 1.1.1.1 Port: 1813 State: Active

VPN : Not configured

Second Auth Server:

IP: Not configured Port: 1812 State: Block

VPN : Not configured

Second Acct Server:

IP: Not configured Port: 1813 State: Block

VPN : Not configured

Security Policy Server:

Server: 0 IP: 2.2.2.2 VPN: Not configured

Server: 1 IP: 3.3.3.3 VPN: 2

Accounting-On function : Enabled

retransmission times : 5

retransmission interval(seconds) : 2

Timeout Interval(seconds) : 3

Retransmission Times : 3

Retransmission Times for Accounting Update : 5

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(minutes) : 22

NAS IP Address : 1.1.1.1

VPN : Not configured

User Name Format : with-domain

------------------------------------------------------------------

表1-4 display radius scheme命令顯示信息描述表

字段	描述
Total 1 RADIUS schemes.	共計1個RADIUS方案
RADIUS Scheme Name	RADIUS方案的名稱
Index	RADIUS方案的索引號
Primary Auth Server	主RADIUS認證服務器
Primary Acct Server	主RADIUS計費服務器
Second Auth Server	從RADIUS認證服務器
Second Acct Server	從RADIUS計費服務器
IP	RADIUS認證/計費服務器IP地址未配置時，顯示為Not configured
Port	RADIUS認證/計費服務器接入端口號未配置時，顯示缺省值
State	RADIUS認證/計費服務器目前狀態 · Active：激活狀態 · Block：靜默狀態
VPN	RADIUS認證/計費服務器所在的VPN 未配置時，顯示為Not configured
Security Policy Server	安全策略服務器
Server: n	安全策略服務器編號
IP	安全策略服務器的IP地址
VPN	安全策略服務器所在的VPN 未配置時，顯示為Not configured
Accounting-On function	accounting-on功能的使能情況
retransmission times	accounting-on報文的發送嚐試次數
retransmission interval(seconds)	accounting-on報文的重發間隔（單位為秒）
Timeout Interval(seconds)	RADIUS服務器超時時間（單位為秒）
Retransmission Times	發送RADIUS報文的最大嚐試次數
Retransmission Times for Accounting Update	實時計費更新報文的最大嚐試次數
Server Quiet Period(minutes)	RADIUS服務器恢複激活狀態的時間（單位為分鍾）
Realtime Accounting Interval(minutes)	實時計費更新報文的發送間隔（單位為分鍾）
NAS IP Address	發送RADIUS報文的源IP地址
VPN	RADIUS方案所屬的VPN名稱未配置時，顯示為Not configured
User Name Format	發送給RADIUS服務器的用戶名格式 · with-domain：攜帶用戶名 · without-domain：不攜帶用戶名 · keep-original：與用戶輸入保持一致

1.3.4 display radius statistics

display radius statistics命令用來顯示RADIUS報文的統計信息。

【命令】

display radius statistics

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【舉例】

# 顯示RADIUS報文的統計信息。

<Sysname> display radius statistics

Auth. Acct. SessCtrl.

Request Packet: 0 0 0

Retry Packet: 0 0 -

Timeout Packet: 0 0 -

Access Challenge: 0 - -

Account Start: - 0 -

Account Update: - 0 -

Account Stop: - 0 -

Terminate Request: - - 0

Set Policy: - - 0

Packet With Response: 0 0 0

Packet Without Response: 0 0 -

Access Rejects: 0 - -

Dropped Packet: 0 0 0

Check Failures: 0 0 0

表1-5 display radius statistics命令顯示信息描述表

字段	描述
Auth.	認證報文
Acct.	計費報文
SessCtrl.	Session-control報文
Request Packet	發送的請求報文總數
Retry Packet	重傳的請求報文總數
Timeout Packet	超時的請求報文總數
Access Challenge	Access challenge報文數
Account Start	計費開始報文的數目
Account Update	計費更新報文的數目
Account Stop	計費結束報文的數目
Terminate Request	服務器強製下線報文的數目
Set Policy	更新用戶授權信息報文的數目
Packet With Response	有回應信息的報文數
Packet Without Response	無回應信息的報文數
Access Rejects	認證拒絕報文的數目
Dropped Packet	丟棄的報文數
Check Failures	報文校驗錯誤的報文數目

【相關命令】

· reset radius statistics

1.3.5 key (RADIUS scheme view)

key命令用來配置RADIUS報文的共享密鑰。

undo key命令用來刪除RADIUS報文的共享密鑰。

【命令】

key { accounting | authentication } { cipher | simple } string

undo key { accounting | authentication }

【缺省情況】

無共享密鑰。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

accounting：指定RADIUS計費報文的共享密鑰。

authentication：指定RADIUS認證報文的共享密鑰。

cipher：表示以密文方式設置共享密鑰。

simple：表示以明文方式設置共享密鑰。

string：設置的明文密鑰或密文密鑰，區分大小寫。非FIPS模式下，明文密鑰為1～64個字符的字符串；密文密鑰為1～117個字符的字符串；FIPS模式下，明文密鑰為15～64個字符的字符串，密鑰元素的最少組合類型為4（必須包括數字、大寫字母、小寫字母以及特殊字符）；密文密鑰為15～117個字符的字符串。

【使用指導】

需要注意的是：

· 設備優先采用配置RADIUS認證/計費服務器時指定的報文共享密鑰，本配置中指定的報文共享密鑰僅在配置RADIUS認證/計費服務器時未指定相應密鑰的情況下使用。

· 必須保證設備上設置的共享密鑰與RADIUS服務器上的完全一致。

· 以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 將RADIUS方案radius1的計費報文的共享密鑰設置為明文ok。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key accounting simple ok

【相關命令】

· display radius scheme

1.3.6 nas-ip (RADIUS scheme view)

nas-ip命令用來設置設備發送RADIUS報文使用的源IP地址。

undo nas-ip命令用來刪除指定的源IP地址。

【命令】

nas-ip { ipv4-address | ipv6 ipv6-address }

undo nas-ip [ ipv6 ]

【缺省情況】

使用係統視圖下由命令radius nas-ip指定的源地址，若係統視圖下未指定源地址，則使用發送RADIUS報文的接口的主IP地址。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：指定的源IPv4地址，應該為本機的地址，禁止配置全0地址、全1地址、D類地址、E類地址和環回地址。

ipv6 ipv6-address：指定的源IPv6地址，應該為本機的地址，必須是單播地址，不能為環回地址與本地鏈路地址。

【使用指導】

RADIUS服務器上通過IP地址來標識接入設備，並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證或計費請求。因此，為保證認證和計費報文可被服務器正常接收並處理，接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。

需要注意的是：

· RADIUS方案視圖下的命令nas-ip隻對本RADIUS方案有效，係統視圖下的命令radius nas-ip對所有RADIUS方案有效。RADIUS方案視圖下的設置具有更高的優先級。

· 指定發送RADIUS報文使用的源地址，可以避免物理接口故障時從服務器返回的報文不可達。一般推薦使用Loopback接口地址。

· 如果重複執行此命令，新配置的IPv4/IPv6源地址會覆蓋原有的IPv4/IPv6源地址。

【舉例】

# 配置設備發送RADIUS報文使用的源IP地址為10.1.1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] nas-ip 10.1.1.1

【相關命令】

· display radius scheme

· radius nas-ip

1.3.7 primary accounting (RADIUS scheme view)

primary accounting命令用來配置主RADIUS計費服務器。

undo primary accounting命令用來刪除設置的主RADIUS計費服務器。

【命令】

primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo primary accounting

【缺省情況】

未配置主RADIUS計費服務器。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主RADIUS計費服務器的IPv4地址。

ipv6 ipv6-address：主RADIUS計費服務器的IPv6地址。

port-number：主RADIUS計費服務器的UDP端口號，缺省為1813，取值範圍為1～65535。此端口號必須與服務器提供計費服務的端口號保持一致。

key { cipher | simple } string：與主RADIUS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

· cipher string：以密文方式設置共享密鑰。非FIPS模式下，string為1～117個字符的密文字符串，區分大小寫；FIPS模式下，string為15～117個字符的密文字符串，區分大小寫。

· simple string：以明文方式設置共享密鑰。非FIPS模式下，string為1～64個字符的明文字符串，區分大小寫；FIPS模式下，string為15～64個字符的明文字符串，區分大小寫，密鑰元素的最少組合類型為4（必須包括數字、大寫字母、小寫字母以及特殊字符）。

vpn-instance vpn-instance-name：主RADIUS計費服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示主RADIUS計費服務器位於公網中。

【使用指導】

在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號和VPN參數不能完全相同。

設備與主計費服務器通信時優先使用本命令設置的共享密鑰，如果此處未設置，則使用key accounting命令設置的共享密鑰。

若服務器位於MPLS VPN私網中，為保證RADIUS報文被發送到指定的私網服務器，必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN實例比RADIUS方案所屬的VPN實例具有更高的優先級。

如果計費開始請求過程中使用本命令修改或刪除了正在使用的主計費服務器，則設備在與當前服務器通信超時後，將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。

如果在線用戶正在使用的計費服務器被刪除，則設備將無法發送用戶的實時計費請求和停止計費請求，且停止計費報文不會被緩存到本地，這將造成對用戶計費的不準確。

以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 設置RADIUS方案radius1的主計費服務器的IP地址為10.110.1.2，使用UDP端口1813提供RADIUS計費服務，計費報文的共享密鑰為明文123456。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456

【相關命令】

· display radius scheme

· key (RADIUS scheme view)

· secondary accounting

· vpn-instance (RADIUS scheme view)

1.3.8 primary authentication (RADIUS scheme view)

primary authentication命令用來配置主RADIUS認證服務器。

undo primary authentication命令用來刪除設置的主RADIUS認證服務器。

【命令】

primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo primary authentication

【缺省情況】

未配置RADIUS主認證服務器。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主RADIUS認證服務器的IPv4地址。

ipv6 ipv6-address：主RADIUS認證服務器的IPv6地址。

port-number：主RADIUS認證服務器的UDP端口號，取值範圍為1～65535，缺省為1812。此端口號必須與服務器提供認證服務的端口號保持一致。

key { cipher | simple } string：與主RADIUS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

vpn-instance vpn-instance-name：主RADIUS認證服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示主RADIUS認證服務器位於公網中。

【使用指導】

在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號和VPN參數不能完全相同。

設備與主認證服務器通信時優先使用本命令設置的共享密鑰，如果本命令中未設置，則使用key authenticaiton命令設置的共享密鑰。

若服務器位於MPLS VPN私網中，為保證RADIUS報文被發送到指定的私網服務器，必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN比RADIUS方案所屬的VPN優先級高。

如果在認證過程中使用本命令修改或刪除了正在使用的主認證服務器，則設備在與當前服務器通信超時後，將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。

以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 設置RADIUS方案radius1的主認證服務器的IP地址為10.110.1.1，使用UDP端口1812提供RADIUS認證/授權服務，認證報文的共享密鑰為明文hello。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple hello

【相關命令】

· display radius scheme

· key (RADIUS scheme view)

· secondary authentication

· vpn-instance (RADIUS scheme view)

1.3.9 radius nas-ip

radius nas-ip命令用來指定設備發送RADIUS報文使用的源地址。

undo radius nas-ip命令用來刪除指定的源地址。

【命令】

radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

undo radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情況】

不指定源地址，即以發送報文的接口的主IP地址作為源地址。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：指定的源IPv4地址，應該為本機的地址，不能為全0地址、全1地址、D類地址、E類地址和環回地址。

ipv6 ipv6-address：指定的源IPv6地址，應該為本機的地址，必須是單播地址，不能為環回地址與本地鏈路地址。

vpn-instance vpn-instance-name：指定私網源IPv4地址所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。若不指定該參數，則表示配置的是公網源地址。

【使用指導】

RADIUS服務器上通過IP地址來標識接入設備，並根據收到的RADIUS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證或計費請求。指定發送RADIUS報文使用的源地址，可以避免物理接口故障時從服務器返回的報文不可達。

需要注意的是：

· 係統最多允許指定16個源地址，其中，最多包括一個IPv4公網源地址和一個IPv6公網源地址，其餘為IPv4或IPv6私網源地址。新配置的IPv4/IPv6公網源地址會覆蓋原有的IPv4/IPv6公網源地址。而且，對於同一個VPN，最多隻能指定一個IPv4私網源地址和一個IPv6私網源地址。

· 為保證認證和計費報文可被服務器正常接收並處理，接入設備上發送RADIUS報文使用的源地址必須與RADIUS服務器上指定的接入設備的IP地址保持一致。

【舉例】

# 配置設備發送RADIUS報文使用的源地址為129.10.10.1。

<Sysname> system-view

[Sysname] radius nas-ip 129.10.10.1

【相關命令】

· nas-ip (RADIUS scheme view)

1.3.10 radius scheme

radius scheme命令用來創建RADIUS方案，並進入RADIUS方案視圖。

undo radius scheme命令用來刪除指定的RADIUS方案。

【命令】

radius scheme radius-scheme-name

undo radius scheme radius-scheme-name

【缺省情況】

不存在任何RADIUS方案。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

radius-scheme-name：RADIUS方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

一個RADIUS方案可以同時被多個ISP域引用。

係統最多支持配置16個RADIUS方案。

【舉例】

# 創建名為radius1的RADIUS方案並進入其視圖。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1]

【相關命令】

· display radius scheme

1.3.11 radius session-control enable

radius session-control enable命令用來使能RADIUS session control功能，即打開RADIUS UDP端口1812。

undo radius session-control enable命令恢複缺省情況。

【命令】

radius session-control enable

undo radius session-control enable

【缺省情況】

RADIUS session control功能處於關閉狀態，即UDP端口1812處於關閉狀態。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

無

【使用指導】

RADIUS服務器使用session control報文向設備發送授權信息的動態修改請求以及斷開連接請求。使能RADIUS session control功能後，設備會打開UDP端口1812來監聽並接收RADIUS服務器發送的session control報文。

需要注意的是，該功能僅能和H3C iMC的RADIUS服務器配合使用。

【舉例】

#使能RADIUS session control功能。

<Sysname> system-view

[Sysname] radius session-control enable

1.3.12 reset radius statistics

reset radius statistics命令用來清除RADIUS協議的統計信息。

【命令】

reset radius statistics

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【舉例】

# 清除RADIUS協議的統計信息。

<Sysname> reset radius statistics

【相關命令】

· display radius statistics

1.3.13 retry

retry命令用來設置發送RADIUS報文的最大嚐試次數，即如果某RADIUS服務器在指定的時間內未響應或未及時響應設備發送的RAIUDS報文，設備嚐試向該服務器發送RADIUS報文的最大次數。

undo retry命令用來恢複缺省情況。

【命令】

retry retry-times

undo retry

【缺省情況】

發送RADIUS報文的最大嚐試次數為3次。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

retry-times：發送RAIUDS報文的最大嚐試次數，取值範圍為1～20。

【使用指導】

由於RADIUS協議采用UDP報文來承載數據，因此其通信過程是不可靠的。如果設備在應答超時定時器規定的時長內（由timer response-timeout命令配置）沒有收到RADIUS服務器的響應，則設備有必要向RADIUS服務器重傳RADIUS請求報文。如果累計的傳送次數已達到最大傳送次數而RADIUS服務器仍舊沒有響應，則設備將認為本次請求失敗。

發送RADIUS報文的最大嚐試次數與RADIUS服務器應答超時時間的乘積不能超過300秒。

【舉例】

# 設置在RADIUS方案radius1下，發送RAIUDS報文的最大嚐試次數為5次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry 5

【相關命令】

· radius scheme

· timer response-timeout

1.3.14 retry realtime-accounting

retry realtime-accounting命令用來設置允許發起實時計費請求的最大嚐試次數。

undo retry realtime-accounting命令用來恢複缺省情況。

【命令】

retry realtime-accounting retry-times

undo retry realtime-accounting

【缺省情況】

設備最多允許5次實時計費請求無響應，之後將切斷用戶連接。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

retry-times：允許發起實時計費請求的最大嚐試次數，取值範圍為1～255。

【使用指導】

RADIUS服務器通常通過連接超時定時器來判斷用戶是否在線。如果RADIUS服務器在連接超時時間之內一直收不到設備傳來的實時計費報文，它會認為線路或設備故障並停止對用戶記帳。為了配合RADIUS服務器的這種特性，有必要在不可預見的故障條件下，盡量保持設備端與RADIUS服務器同步切斷用戶連接。設備提供對實時計費請求連續無響應次數限製的設置，保證設備盡可能得在RADIUS服務器的連接超時時長內向RADIUS服務器嚐試發出實時計費請求。如果設備沒有收到響應的次數超過了設定的限度，才會切斷用戶連接。

假設RADIUS服務器的應答超時時長（timer response-timeout命令設置）為3秒，發送RADIUS報文的最大嚐試次數（retry命令設置）為3，設備的實時計費間隔（timer realtime-accounting命令設置）為12分鍾，設備允許實時計費無響應的最大次數為5次（retry realtime-accounting命令設置），則其含義為：設備每隔12分鍾發起一次計費請求，如果3秒鍾得不到回應就重新發起一次請求，如果3次發送都沒有得到回應就認為該次實時計費失敗，然後每隔12分鍾再發送一次，5次均失敗以後，設備將切斷用戶連接。

【舉例】

# 設置RADIUS方案radius1最多允許10次實時計費請求無響應。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry realtime-accounting 10

【相關命令】

· retry

· timer realtime-accounting

· timer response-timeout

1.3.15 secondary accounting (RADIUS scheme view)

secondary accounting命令用來配置從RADIUS計費服務器。

undo secondary accounting命令用來刪除指定的從RADIUS計費服務器。

【命令】

secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情況】

未配置從RADIUS計費服務器

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從RADIUS計費服務器的IPv4地址。

ipv6 ipv6-address：從RADIUS計費服務器的IPv6地址。

port-number：從RADIUS計費服務器的UDP端口號，缺省為1813，取值範圍為1～65535。此端口號必須與服務器提供計費服務的端口號保持一致。

key { cipher | simple } string：與從RADIUS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

vpn-instance vpn-instance-name：從RADIUS計費服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示從RADIUS計費服務器位於公網中。

【使用指導】

可通過多次執行本命令，配置多個從RADIUS計費服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。每個RADIUS方案中最多支持配置16個從RADIUS計費服務器。

需要注意的是：

· 在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號和VPN參數不能完全相同，並且各從計費服務器的IP地址、端口號和VPN參數也不能完全相同。

· 設備與從計費服務器通信時優先使用本命令設置的共享密鑰，如果此處未設置，則使用命令key accounting命令設置的共享密鑰。

· 若服務器位於MPLS VPN私網中，為保證RADIUS報文被發送到指定的私網服務器，必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN比RADIUS方案所屬的VPN優先級高。

· 如果在發送計費開始請求過程中使用本命令刪除了正在使用的從服務器，則設備在與當前服務器通信超時後，將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。

· 如果在線用戶正在使用的計費服務器被刪除，則設備將無法發送用戶的實時計費請求和停止計費請求，且停止計費報文不會被緩存到本地。

· 以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 設置RADIUS方案radius1的從計費服務器的IP地址為10.110.1.1，使用UDP端口1813提供RADIUS計費服務。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813

# 設置RADIUS方案radius2的從計費服務器：IP地址分別為10.110.1.1，10.110.1.2，均使用UDP端口1813提供RADIUS計費服務。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813

[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813

【相關命令】

· display radius scheme

· key (RADIUS scheme view)

· primary accounting

· vpn-instance (RADIUS scheme view)

1.3.16 secondary authentication (RADIUS scheme view)

secondary authentication命令用來配置從RADIUS認證服務器。

undo secondary authentication命令用來刪除指定的從RADIUS認證服務器。

【命令】

secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情況】

未配置從RADIUS認證服務器。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從RADIUS認證服務器的IPv4地址。

ipv6 ipv6-address：從RADIUS認證服務器的IPv6地址。

port-number：從RADIUS認證服務器的UDP端口號，取值範圍為1～65535，缺省為1812。此端口號必須與服務器提供認證服務的端口號保持一致。

key { cipher | simple } string：與從RADIUS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

vpn-instance vpn-instance-name：從RADIUS認證服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示從RADIUS認證服務器位於公網中。

【使用指導】

可通過多次執行本命令，配置多個從RADIUS認證服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。每個RADIUS方案中最多支持配置16個從RADIUS認證服務器。

需要注意的是：

· 在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號和VPN參數不能完全相同，並且各從認證服務器的IP地址、端口號和VPN參數也不能完全相同。

· 設備與從認證服務器通信時優先使用本命令設置的共享密鑰，如果此處未設置，則使用命令key authentication命令設置的共享密鑰。

· 如果在認證過程中使用本命令刪除了正在使用的從服務器，則設備在與當前服務器通信超時後，將會重新按照優先級順序開始依次查找狀態為active的服務器進行通信。

· 以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 設置RADIUS方案radius1的從認證服務器的IP地址為10.110.1.2，使用UDP端口1812提供RADIUS認證/授權服務。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812

# 設置RADIUS方案radius2的從認證服務器：IP地址分別為10.110.1.1，10.110.1.2，均使用UDP端口1812提供RADIUS認證/授權服務。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812

[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812

【相關命令】

· display radius scheme

· key (RADIUS scheme view)

· primary authentication

· vpn-instance (RADIUS scheme view)

1.3.17 security-policy-server

security-policy-server命令用來指定安全策略服務器。

undo security-policy-server命令用來刪除指定的安全策略服務器。

【命令】

security-policy-server { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

undo security-policy-server { { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] | all }

【缺省情況】

未指定安全策略服務器。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：安全策略服務器IPv4地址。

ipv6 ipv6-address：安全策略服務器的IPv6地址。

vpn-instance vpn-instance-name：安全策略服務器所屬的VPN的實例名稱，為1～31個字符的字符串，區分大小寫。如果不指定本參數，則表示安全策略服務器屬於公網。

all：所有安全策略服務器。

【使用指導】

一個RADIUS方案中最多可以指定8個安全策略服務器。

【舉例】

# 指定RADIUS方案radius1的安全策略服務器IP地址為10.110.1.2。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] security-policy-server 10.110.1.2

【相關命令】

· display radius scheme

1.3.18 state primary

state primary命令用來設置主RADIUS服務器的狀態。

【命令】

state primary { accounting | authentication } { active | block }

【缺省情況】

RADIUS方案中配置了IP地址的主RADIUS服務器狀態為active。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

accounting：設置主RADIUS計費服務器的狀態。

authentication：設置主RADIUS認證服務器的狀態。

active：設置主RADIUS服務器的狀態為active，即處於正常工作狀態。

block：設置主RADIUS服務器的狀態為block，即處於通信中斷狀態。

【使用指導】

每次用戶發起認證或計費，如果主服務器狀態為active，則設備都會首先嚐試與主服務器進行通信，如果主服務器不可達，則將主服務器的狀態置為block，同時啟動主服務器的timer quiet定時器，然後設備會嚴格按照從服務器的配置先後順序依次查找狀態為active的從服務器。在timer quiet定時器設定的時間到達之後，主服務器狀態將由block恢複為active。若該定時器超時之前，通過本命令將主服務器的狀態手工設置為block，則定時器超時之後主服務器狀態不會自動恢複為active，除非通過本命令手工將其設置為active。

如果主服務器與所有從服務器狀態都是block，則認證或計費失敗。

【舉例】

# 將RADIUS方案radius1的主認證服務器的狀態設置為block。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state primary authentication block

【相關命令】

· display radius scheme

· state secondary

1.3.19 state secondary

state secondary命令用來設置從RADIUS服務器的狀態。

【命令】

state secondary { accounting | authentication } [ ip-address [ port-number | vpn-instance vpn-instance-name ] * ] { active | block }

【缺省情況】

RADIUS方案中配置了IP地址的各從RADIUS服務器狀態為active。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

accounting：設置從RADIUS計費服務器的狀態。

authentication：設置從RADIUS認證服務器的狀態。

ip-address：指定從RADIUS服務器的IPv4地址。

port-number：指定從RADIUS服務器的UDP端口號，取值範圍為1～65535，從RADIUS計費服務器的缺省UDP端口號為1813，從RADIUS認證服務器的缺省UDP端口號為1812。

vpn-instance vpn-instance-name：從RADIUS服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN實例名稱，為1～31個字符的字符串，區分大小寫。

active：設置從RADIUS服務器的狀態為active，即處於正常工作狀態。

block：設置從RADIUS服務器的狀態為block，即處於通信中斷狀態。

【使用指導】

如果不指定從服務器IP地址，那麼本命令將會修改所有已配置的從認證服務器或從計費服務器的狀態。

如果設備查找到的狀態為active的從服務器不可達，則設備會將該從服務器的狀態置為block，同時啟動該服務器的timer quiet定時器，並繼續查找下一個狀態為active的從服務器。在timer quiet定時器設定的時間到達之後，從服務器狀態將由block恢複為active。若該定時器超時之前，通過本命令將從服務器的狀態手工設置為block，則定時器超時之後從服務器狀態不會自動恢複為active，除非通過本命令手工將其設置為active。如果所有已配置的從服務器都不可達，則本次認證或計費失敗。

【舉例】

# 將RADIUS方案radius1的從認證服務器的狀態設置為block。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state secondary authentication block

【相關命令】

· display radius scheme

· state primary

1.3.20 timer quiet (RADIUS scheme view)

timer quiet命令用來設置服務器恢複激活狀態的時間。

undo timer quiet命令用來恢複缺省情況。

【命令】

timer quiet minutes

undo timer quiet

【缺省情況】

服務器恢複激活狀態的時間為5分鍾。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

minutes：恢複激活狀態的時間，取值範圍為1～255，單位為分鍾。

【使用指導】

建議根據配置的從服務器數量合理設置服務器恢複激活狀態的時間。如果服務器恢複激活狀態時間設置的過短，就會出現設備反複嚐試與狀態active但實際不可達的服務器通信而導致的認證或計費頻繁失敗的問題。

【舉例】

# 設置服務器恢複激活狀態的時間為10分鍾。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer quiet 10

【相關命令】

· display radius scheme

1.3.21 timer realtime-accounting (RADIUS scheme view)

timer realtime-accounting命令用來設置實時計費的時間間隔。

undo timer realtime-accounting命令用來恢複缺省情況。

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【缺省情況】

實時計費的時間間隔為12分鍾。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

minutes：實時計費的時間間隔，取值範圍為0～60。

【使用指導】

為了對用戶實施實時計費，有必要設置實時計費的時間間隔。不同的取值的處理有所不同：

· 若實時計費間隔不為0，則每隔設定的時間，設備會向RADIUS服務器發送一次在線用戶的計費信息。

· 若實時計費間隔設置為0，且服務器上配置了實時計費間隔，則設備按照服務器上配置的實時計費間隔向RADIUS服務器發送在線用戶的計費信息；如果服務器上沒有配置該值，則設備不向RADIUS服務器發送在線用戶的計費信息。

實時計費間隔的取值與RADIUS服務器的性能和用戶的數目有一定關係。取值小，會增加網絡中的數據流量，對設備和RADIUS服務器的性能要求就高；取值大，會影響計費的準確性。因此要結合網絡的實際情況合理設置計費間隔。一般情況下，建議當用戶量比較大（大於等於1000）時，盡量把該間隔的值設置得大一些。以下是實時計費間隔與用戶量之間的推薦比例關係。

表1-6 實時計費間隔與用戶量之間的推薦比例關係

用戶數	實時計費間隔（分鍾）
1～99	3
100～499	6
500～999	12
大於等於1000	大於等於15

【舉例】

# 將RADIUS方案radius1的實時計費的時間間隔設置為51分鍾。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer realtime-accounting 51

【相關命令】

· retry realtime-accounting

1.3.22 timer response-timeout (RADIUS scheme view)

timer response-timeout命令用來設置RADIUS服務器響應超時時間。

undo timer response-timeout命令用來恢複缺省情況。

【命令】

timer response-timeout seconds

undo timer response-timeout

【缺省情況】

RADIUS服務器響應超時時間為3秒。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

seconds：RADIUS服務器響應超時時間，取值範圍為1～10，單位為秒。

【使用指導】

如果在RADIUS請求報文傳送出去一段時間後，設備還沒有得到RADIUS服務器的響應，則有必要重傳RADIUS請求報文，以保證用戶盡可能地獲得RADIUS服務，這段時間被稱為RADIUS服務器響應超時時間，本命令用於調整這個時間。

需要注意的是，發送RADIUS報文的最大嚐試次數與RADIUS服務器響應超時時間的乘積不能超過300秒。

【舉例】

# 將RADIUS方案radius1的服務器響應超時時間設置為5秒。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer response-timeout 5

【相關命令】

· display radius scheme

· retry

1.3.23 user-name-format (RADIUS scheme view)

user-name-format命令用來設置發送給RADIUS服務器的用戶名格式。

undo user-name-format命令用來恢複缺省情況。

【命令】

user-name-format { keep-original | with-domain | without-domain }

undo user-name-format

【缺省情況】

設備發送給RADIUS服務器的用戶名攜帶有ISP域名。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

keep-original：發送給RADIUS服務器的用戶名與用戶的輸入保持一致。

with-domain：發送給RADIUS服務器的用戶名帶ISP域名。

without-domain：發送給RADIUS服務器的用戶名不帶ISP域名。

【使用指導】

接入用戶通常以“userid@isp-name”的格式命名，“@”後麵的部分為ISP域名，設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是，有些較早期的RADIUS服務器不能接受攜帶有ISP域名的用戶名，在這種情況下，有必要將用戶名中攜帶的域名去除後再傳送給RADIUS服務器。因此，設備提供此命令以指定發送給RADIUS服務器的用戶名是否攜帶有ISP域名。

需要注意的是：如果指定某個RADIUS方案不允許用戶名中攜帶有ISP域名，那麼請不要在兩個或兩個以上的ISP域中同時設置使用該RADIUS方案。否則，會出現雖然實際用戶不同（在不同的ISP域中），但RADIUS服務器認為用戶相同（因為傳送到它的用戶名相同）的錯誤。

【舉例】

# 指定發送給RADIUS方案radius1中RADIUS服務器的用戶名不得攜帶域名。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] user-name-format without-domain

【相關命令】

· display radius scheme

1.3.24 vpn-instance (RADIUS scheme view)

vpn-instance命令用來配置RADIUS方案所屬的VPN。

undo vpn-instance命令用來恢複缺省情況。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情況】

RADIUS方案屬於公網。

【視圖】

RADIUS方案視圖

【缺省用戶角色】

network-admin

【參數】

vpn-instance-name：MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。

【使用指導】

本命令配置的VPN對於該方案下的所有RADIUS認證/計費服務器生效，但設備優先使用配置RADIUS認證/計費服務器時為各服務器單獨指定的VPN。

【舉例】

# 配置RADIUS方案radius1所屬的VPN為test。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] vpn-instance test

【相關命令】

· display radius scheme

1.4 HWTACACS配置命令

1.4.1 data-flow-format (HWTACACS scheme view)

data-flow-format命令用來配置發送到HWTACACS服務器的數據流的單位。

undo data-flow-format命令用來恢複缺省情況。

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【缺省情況】

數據流的單位為byte，數據包的單位為one-packet。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

data：設置數據流的單位。

· byte：數據流的單位為字節。

· giga-byte：數據流的單位千兆字節。

· kilo-byte：數據流的單位為千字節。

· mega-byte：數據流的單位為兆字節。

packet：設置數據包的單位。

· giga-packet：數據包的單位為千兆包。

· kilo-packet：數據包的單位為千包。

· mega-packet：數據包的單位為兆包。

· one-packet：數據包的單位為包。

【使用指導】

· 由於本係列交換機不支持對802.1X認證用戶和MAC地址認證用戶按照流量進行計費，所以此命令對於802.1X認證和MAC地址認證接入方式無效。

· 設備上配置的發送給HWTACACS服務器的數據流單位及數據包單位應與HWTACACS服務器上的流量統計單位保持一致，否則無法正確計費。

【舉例】

# 在HWTACACS方案radius1中，設置發往HWTACACS服務器的數據流的數據單位為kilo-byte、數據包的單位為kilo-packet。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet

【相關命令】

· display hwtacacs scheme

1.4.2 display hwtacacs scheme

display hwtacacs scheme命令用來查看HWTACACS方案的配置信息或HWTACACS服務相關的統計信息。

【命令】

display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

hwtacacs-scheme-name：顯示指定的HWTACACS的配置或統計信息。hwtacacs-scheme-name為HWTACACS方案名，為1～32個字符的字符串，不區分大小寫。

statistics：顯示HWTACACS服務相關的統計信息。不指定該參數，則顯示HWTACACS方案的配置信息。

【使用指導】

如果不指定HWTACACS方案名，則顯示所有HWTACACS方案的配置信息。

【舉例】

# 查看所有HWTACACS方案的配置情況。

<Sysname> display hwtacacs scheme

Total 1 TACACS schemes

------------------------------------------------------------------

HWTACACS Scheme Name : hwtac

Index : 0

Primary Auth Server:

IP : 2.2.2.2 Port: 49 State: Active

VPN Instance: 2

Primary Author Server:

IP : 2.2.2.2 Port: 49 State: Active

VPN Instance: 2

Primary Acct Server:

IP : Not Configured Port: 49 State: Block

VPN Instance: Not configured

VPN Instance : 2

NAS IP Address : 2.2.2.3

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(minutes) : 12

Response Timeout Interval(seconds) : 5

Username Format : with-domain

------------------------------------------------------------------

表1-7 display hwtacacs scheme命令顯示信息描述表

字段	描述
Total 1 TACACS schemes	共計1個HWTACACS方案
HWTACACS Scheme Name	HWTACACS方案的名稱
Index	HWTACACS方案的索引號
Primary Auth Server	主HWTACACS認證服務器
Primary Author Server	主HWTACACS授權服務器
Primary Acct Server	主HWTACACS計費服務器
Secondary Auth Server	從HWTACACS認證服務器
Secondary Author Server	從HWTACACS授權服務器
Secondary Acct Server	從HWTACACS計費服務器
IP	HWTACACS服務器的IP地址未配置時，顯示為Not configured
Port	HWTACACS服務器的端口號未配置時，顯示缺省值
State	HWTACACS服務器目前狀態 · Active：激活狀態 · Block：靜默狀態
VPN Instance	HWTACACS服務器所在的VPN 未配置時，顯示為Not configured
VPN Instance	HWTACACS方案所屬的VPN名稱未配置時，顯示為Not configured
NAS IP Address	發送HWTACACS報文的源IP地址
Server Quiet Period	主HWTACACS服務器恢複激活狀態的時間（分鍾）
Realtime Accounting Interval(minutes)	實時HWTACACS計費更新報文的發送間隔（分鍾）
Response Timeout Interval	HWTACACS服務器超時時間（秒）
Username Format	用戶名格式 · with-domain：攜帶域名 · without-domain：不攜帶域名 · keep-original：與用戶輸入保持一致

【相關命令】

· reset hwtacacs statistics

1.4.3 hwtacacs nas-ip

hwtacacs nas-ip命令用來指定設備發送HWTACACS報文使用的源地址。

undo hwtacacs nas-ip命令用來刪除指定的源地址。

【命令】

hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

undo hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情況】

未指定源地址，即以發送報文的接口的主IP地址作為源地址。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：指定的源IPv4地址，應該為本機的地址，不能為全0地址、全1地址、D類地址、E類地址和環回地址。

ipv6 ipv6-address：指定的源IPv6地址，應該為本機的地址，必須是單播地址，不能為環回地址與本地鏈路地址。

vpn-instance vpn-instance-name：指定私網源IP地址所屬的VPN。MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。若不指定該參數，則表示配置的是公網源地址。

【使用指導】

HWTACACS服務器上通過IP地址來標識接入設備，並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證或計費請求。因此，為保證認證、授權和計費報文可被服務器正常接收並處理，接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。

需要注意的是：

· 係統最多允許指定16個源地址，其中，最多包括一個IPv4公網源地址和一個IPv6公網源地址，其餘為IPv4或IPv6私網源地址。新配置的IPv4/IPv6公網源地址會覆蓋原有的IPv4/IPv6公網源地址。而且，對於同一個VPN，最多隻能指定一個IPv4私網源地址和一個IPv6私網源地址，新配置會覆蓋原有配置。

· HWTACACS方案視圖下的命令nas-ip隻對本HWTACACS方案有效，係統視圖下的命令hwtacacs nas-ip對所有HWTACACS方案有效。HWTACACS方案視圖下的設置具有更高的優先級。

【舉例】

# 配置設備發送HWTACACS報文使用的源地址為129.10.10.1。

<Sysname> system-view

[Sysname] hwtacacs nas-ip 129.10.10.1

【相關命令】

· nas-ip

1.4.4 hwtacacs scheme

hwtacacs scheme命令用來創建HWTACACS方案，並進入HWTACACS方案視圖。

undo hwtacacs scheme命令用來刪除指定的HWTACACS方案。

【命令】

hwtacacs scheme hwtacacs-scheme-name

undo hwtacacs scheme hwtacacs-scheme-name

【缺省情況】

不存在任何HWTACACS方案。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

hwtacacs-scheme-name：HWTACACS方案名稱，為1～32個字符的字符串，不區分大小寫。

【使用指導】

一個HWTACACS方案可以同時被多個ISP域引用。

最多可以配置16個HWTACACS方案。

【舉例】

# 創建名為hwt1的HWTACACS方案並進入相應的HWTACACS視圖。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1]

【相關命令】

· display hwtacacs scheme

1.4.5 key (HWTACACS scheme view)

key命令用來配置HWTACACS認證、授權、計費報文的共享密鑰。

undo key命令用來刪除配置。

【命令】

key { accounting | authentication | authorization } { cipher | simple }string

undo key { accounting | authentication | authorization }

【缺省情況】

無共享密鑰。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

accounting：指定HWTACACS計費報文的共享密鑰。

authentication：指定HWTACACS認證報文的共享密鑰。

authorization：指定HWTACACS授權報文的共享密鑰。

cipher：表示以密文方式設置共享密鑰。

simple：表示以明文方式設置共享密鑰。

key：設置的明文密鑰或密文密鑰，區分大小寫。非FIPS模式下，明文密鑰為1～255個字符的字符串；密文密鑰為1～373個字符的字符串；FIPS模式下，明文密鑰為15～255個字符的字符串，密鑰元素的最少組合類型為4（必須包括數字、大寫字母、小寫字母以及特殊字符）；密文密鑰為15～373個字符的字符串。

【使用指導】

必須保證設備上設置的共享密鑰與HWTACACS服務器上的完全一致。

以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 配置HWTACACS認證報文共享密鑰為明文123456。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] key authentication simple 123456

# 配置HWTACACS授權報文共享密鑰為明文ok。

[Sysname-hwtacacs-hwt1] key authorization simple ok

# 配置HWTACACS計費報文共享密鑰為明文hello。

[Sysname-hwtacacs-hwt1] key accounting simple hello

【相關命令】

· display hwtacacs scheme

1.4.6 nas-ip (HWTACACS scheme view)

nas-ip命令用來指定設備發送HWTACACS報文使用的源IP地址。

undo nas-ip命令用來刪除指定的源IP地址。

【命令】

nas-ip { ipv4-address | ipv6 ipv6-address }

undo nas-ip [ ipv6 ]

【缺省情況】

使用係統視圖下由命令hwtacacs nas-ip指定的源地址，若係統視圖下未指定源地址，則使用發送HWTACACS報文的接口的主IP地址。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：指定的源IPv4地址，應該為本機的地址，不能為全0地址、全1地址、D類地址、E類地址和環回地址。

ipv6 ipv6-address：指定的源IPv6地址，應該為本機的地址，必須是單播地址，不能為環回地址與本地鏈路地址。

【使用指導】

HWTACACS服務器上通過IP地址來標識接入設備，並根據收到的HWTACACS報文的源IP地址是否與服務器所管理的接入設備的IP地址匹配，來決定是否處理來自該接入設備的認證、授權、計費請求。

需要注意的是：

· 為保證認證和計費報文可被服務器正常接收並處理，接入設備上發送HWTACACS報文使用的源地址必須與HWTACACS服務器上指定的接入設備的IP地址保持一致。

· 如果重複執行此命令，新配置的IPv4/IPv6源地址會覆蓋原有的IPv4/IPv6源地址。

【舉例】

# 為HWTACACS方案hwt1配置設備發送HWTACACS報文使用的源IP地址為10.1.1.1。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1

【相關命令】

· hwtacacs nas-ip

1.4.7 primary accounting (HWTACACS scheme view)

primary accounting命令用來配置主HWTACACS計費服務器。

undo primary accounting命令用來刪除配置的主HWTACACS計費服務器。

【命令】

primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo primary accounting

【缺省情況】

未配置HWTACACS主計費服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主HWTACACS計費服務器的IPv4地址。

ipv6 ipv6-address：主HWTACACS計費服務器的IPv6地址。

port-number：主HWTACACS計費服務器的TCP端口號，取值範圍為1～65535，缺省值為49。此端口號必須與服務器提供計費服務的端口號保持一致。

key { cipher | simple } string：與主HWTACACS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

· cipher string：以密文方式設置共享密鑰。非FIPS模式下，string為1～373個字符的密文字符串，區分大小寫；FIPS模式下，string為15～373個字符的密文字符串，區分大小寫。

· simple string：以明文方式設置共享密鑰。非FIPS模式下，string為1～255個字符的明文字符串，區分大小寫；FIPS模式下，string為15～255個字符的明文字符串，區分大小寫，密鑰元素的最少組合類型為4（必須包括數字、大寫字母、小寫字母以及特殊字符）。

vpn-instance vpn-instance-name：主HWTACACS計費服務器所屬的VPN。MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示主HWTACACS計費服務器位於公網中。

【使用指導】

在同一個方案中指定的主計費服務器和從計費服務器的IP地址、端口號和VPN參數不能完全相同。

若服務器位於MPLS VPN私網中，為保證HWTACACS報文被發送到指定的私網服務器，必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN比HWTACACS方案所屬的VPN優先級高。

隻有在設備與計費服務器沒有報文交互時，才允許刪除該服務器。計費服務器刪除後，隻對之後的計費過程有影響。

以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 配置主HWTACACS計費服務器的IP地址為10.163.155.12，使用TCP端口49與HWTACACS計費服務器通信，計費報文的共享密鑰為明文123456。

<Sysname> system-view

[Sysname] hwtacacs scheme test1

[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49 key simple 123456

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary accounting

· vpn-instance (HWTACACS scheme view)

1.4.8 primary authentication (HWTACACS scheme view)

primary authentication命令用來配置主HWTACACS認證服務器。

undo primary authentication命令用來刪除配置的主HWTACACS認證服務器

【命令】

primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo primary authentication

【缺省情況】

未配置主HWTACACS認證服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主HWTACACS認證服務器的IPv4地址。

ipv6 ipv6-address：主HWTACACS認證服務器的IPv6地址。

port-number：主HWTACACS認證服務器的TCP端口號，取值範圍為1～65535，缺省值為49。此端口號必須與服務器提供認證服務的端口號保持一致。

key { cipher | simple } string：與主HWTACACS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

vpn-instance vpn-instance-name：主HWTACACS認證服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示主HWTACACS認證服務器位於公網中。

【使用指導】

在同一個方案中指定的主認證服務器和從認證服務器的IP地址、端口號和VPN參數不能完全相同。

隻有在設備與認證服務器沒有報文交互時，才允許刪除該服務器。認證服務器刪除後，隻對之後的認證過程有影響。

以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 配置主HWTACACS認證服務器的IP地址為10.163.155.13，使用TCP端口49與HWTACACS認證服務器通信，認證報文的共享密鑰為明文abc。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple abc

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary authentication

· vpn-instance (HWTACACS scheme view)

1.4.9 primary authorization

primary authorization命令用來配置主HWTACACS授權服務器。

undo primary authorization命令用來刪除配置的主HWTACACS授權服務器。

【命令】

primary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo primary authorization

【缺省情況】

未配置主HWTACACS授權服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：主HWTACACS授權服務器的IPv4地址。

ipv6 ipv6-address：主HWTACACS授權服務器的IPv6地址。

port-number：主HWTACACS授權服務器的TCP端口號，取值範圍為1～65535，缺省值為49。此端口號必須與服務器提供授權服務的端口號保持一致。

key { cipher | simple } string：與主HWTACACS授權服務器交互的授權報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

vpn-instance vpn-instance-name：主HWTACACS授權服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示主HWTACACS授權服務器位於公網中。

【使用指導】

在同一個方案中指定的主授權服務器和從授權服務器的IP地址、端口號和VPN參數不能完全相同。

隻有在設備與授權服務器沒有報文交互時，才允許刪除該服務器。授權服務器刪除後，隻對之後的授權過程有影響。

以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 配置主HWTACACS授權服務器的IP地址為10.163.155.13，使用TCP端口49與HWTACACS授權服務器通信，授權報文的共享密鑰為明文abc。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple abc

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary authorization

· vpn-instance (HWTACACS scheme view)

1.4.10 reset hwtacacs statistics

reset hwtacacs statistics命令用來清除HWTACACS協議的統計信息。

【命令】

reset hwtacacs statistics { accounting | all | authentication | authorization }

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【參數】

accounting：清除HWTACACS協議關於計費的統計信息。

all：清除HWTACACS的所有統計信息。

authentication：清除HWTACACS協議關於認證的統計信息。

authorization：清除HWTACACS協議關於授權的統計信息。

【舉例】

# 清除HWTACACS協議的所有統計信息。

<Sysname> reset hwtacacs statistics all

【相關命令】

· display hwtacacs scheme

1.4.11 secondary accounting (HWTACACS scheme view)

secondary accounting命令用來配置從HWTACACS計費服務器。

undo secondary accounting命令用來刪除指定的從HWTACACS計費服務器。

【命令】

secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情況】

未配置從HWTACACS計費服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從HWTACACS計費服務器的IPv4地址。

ipv6 ipv6-address：從HWTACACS計費服務器的IPv6地址

port-number：從HWTACACS計費服務器的端口號，取值範圍為1～65535，缺省值為49。此端口號必須與服務器提供計費服務的端口號保持一致。

key { cipher | simple } string：與從HWTACACS計費服務器交互的計費報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

vpn-instance vpn-instance-name：從HWTACACS計費服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示從HWTACACS計費服務器位於公網中。

【使用指導】

可通過多次執行本命令，配置多個從HWTACACS計費服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。每個HWTACACS方案中最多支持配置16個從HWTACACS計費服務器。

需要注意的是：

· 如果不指定任何參數，則undo命令將刪除所有從計費服務器。

· 若服務器位於MPLS VPN私網中，為保證HWTACACS報文被發送到指定的私網服務器，必須指定服務器所屬的VPN實例名稱。本命令指定的服務器所屬的VPN比HWTACACS方案所屬的VPN優先級高。

· 隻有在設備與計費服務器沒有報文交互時，才允許刪除該服務器。計費服務器刪除後，隻對之後的計費過程有影響。

· 以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 配置從HWTACACS計費服務器的IP地址為10.163.155.12，使用TCP端口49與HWTACACS計費服務器通信，計費報文的共享密鑰為明文abc。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple abc

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary accounting

· vpn-instance (HWTACACS scheme view)

1.4.12 secondary authentication (HWTACACS scheme view)

secondary authentication命令用來配置從HWTACACS認證服務器。

undo secondary authentication命令用來刪除指定的從HWTACACS認證服務器。

【命令】

secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ]* ]

【缺省情況】

未配置從HWTACACS認證服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從HWTACACS認證服務器的IPv4地址。

ipv6 ipv6-address：從HWTACACS認證服務器的IPv6地址。

port-number：從HWTACACS認證服務器的TCP端口號，取值範圍為1～65535，缺省值為49。此端口號必須與服務器提供認證服務的端口號保持一致。

key { cipher | simple } string：與從HWTACACS認證服務器交互的認證報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

vpn-instance vpn-instance-name：從HWTACACS認證服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示從HWTACACS服務器位於公網中。

【使用指導】

可通過多次執行本命令，配置多個從HWTACACS認證服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。每個HWTACACS方案中最多支持配置16個從HWTACACS認證服務器。

需要注意的是：

· 如果不指定任何參數，則undo命令命令將刪除所有從認證服務器。

· 隻有在設備與認證服務器沒有報文交互時，才允許刪除該服務器。認證服務器刪除後，隻對之後的認證過程有影響。

· 以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 配置從HWTACACS認證服務器的IP地址為10.163.155.13，使用TCP端口49與HWTACACS認證服務器通信，認證報文的共享密鑰為明文abc。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple abc

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary authentication

· vpn-instance (HWTACACS scheme view)

1.4.13 secondary authorization

secondary authorization命令用來配置從HWTACACS授權服務器。

undo secondary authorization命令用來刪除指定的從HWTACACS授權服務器。

【命令】

secondary authorization { ipv4-address | ipv6 ipv6-address } [ port-number I key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo secondary authorization [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ]* ]

【缺省情況】

未配置從HWTACACS授權服務器。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

ipv4-address：從HWTACACS授權服務器的IPv4地址。

ipv6 ipv6-address：從HWTACACS授權服務器的IPv6地址。

port-number：從HWTACACS授權服務器的TCP端口號，取值範圍為1～65535，缺省為49。此端口號必須與服務器提供授權服務的端口號保持一致。

key { cipher | simple } string：與從HWTACACS授權服務器交互的授權報文的共享密鑰。此共享密鑰必須與服務器上配置的共享密鑰保持一致。

· simple string：以明文方式設置共享密鑰。非FIPS模式下，string為1～255個字符的明文字符串，區分大小寫，FIPS模式下，string為15～255個字符的明文字符串，區分大小寫，密鑰元素的最少組合類型為4（必須包括數字、大寫字母、小寫字母以及特殊字符）。

vpn-instance vpn-instance-name：從HWTACACS授權服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示從HWTACACS授權服務器位於公網中。

【使用指導】

可通過多次執行本命令，配置多個從HWTACACS授權服務器。當主服務器不可達時，設備根據從服務器的配置順序由先到後查找狀態為active的從服務器並與之交互。每個HWTACACS方案中最多支持配置16個從HWTACACS授權服務器。

需要注意的是：

· 如果不指定任何參數，則undo命令將刪除所有從授權服務器。

· 在同一個方案中指定的主授權服務器和從授權服務器的IP地址、端口號和VPN參數不能完全相同，並且各從授權服務器的IP地址、端口號和VPN參數也不能完全相同。

· 隻有在設備與授權服務器沒有報文交互時，才允許刪除該服務器。授權服務器刪除後，隻對之後的授權過程有影響。

· 以明文或密文方式設置的共享密鑰，均以密文的方式保存在配置文件中。

【舉例】

# 配置從HWTACACS授權服務器的IP地址為10.163.155.13，使用TCP端口49與HWTACACS授權服務器通信，授權報文的共享密鑰為明文abc。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple abc

【相關命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary authorization

· vpn-instance (HWTACACS scheme view)

1.4.14 timer quiet (HWTACACS scheme view)

timer quiet命令用來設置服務器恢複激活狀態的時間。

undo timer quiet命令用來恢複缺省情況。

【命令】

timer quiet minutes

undo timer quiet

【缺省情況】

服務器恢複激活狀態的時間為5分鍾。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

minutes：恢複激活狀態的時間，取值範圍為1～255，單位為分鍾。

【舉例】

# 設置服務器恢複激活狀態的時間為10分鍾。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer quiet 10

【相關命令】

· display hwtacacs scheme

1.4.15 timer realtime-accounting (HWTACACS scheme view)

timer realtime-accounting命令用來設置實時計費的時間間隔。

undo timer realtime-accounting命令用來恢複缺省情況。

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【缺省情況】

實時計費的時間間隔為12分鍾。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

minutes：實時計費的時間間隔，取值範圍為0～60，單位為分鍾。0表示設備不向HWTACACS服務器發送在線用戶的計費信息。

【使用指導】

為了對用戶實施實時計費，有必要設置實時計費的時間間隔。在設置了該屬性以後，每隔設定的時間，設備會向HWTACACS服務器發送一次在線用戶的計費信息。

實時計費間隔的取值與HWTACACS服務器的性能和用戶的數目有一定的關係。取值越小，對設備和HWTACACS服務器的性能要求越高。建議當用戶量比較大（大於等於1000）時，盡量把該間隔的值設置得大一些。以下是實時計費間隔與用戶量之間的推薦比例關係。

表1-8 實時計費間隔與用戶量之間的推薦比例關係

用戶數	實時計費間隔（分鍾）
1～99	3
100～499	6
500～999	12
大於等於1000	大於等於15

【舉例】

# 將HWTACACS方案hwt1的實時計費的時間間隔設置為51分鍾。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer realtime-accounting 51

【相關命令】

· display hwtacacs scheme

1.4.16 timer response-timeout (HWTACACS scheme view)

timer response-timeout命令用來設置HWTACACS服務器響應超時時間。

undo timer response-timeout命令用來恢複缺省情況。

【命令】

timer response-timeout seconds

undo timer response-timeout

【缺省情況】

HWTACACS服務器響應超時時間為5秒。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

seconds：HWTACACS服務器響應超時時間，取值範圍為1～300，單位為秒。

【使用指導】

由於HWTACACS是基於TCP實現的，因此，服務器響應超時或TCP超時都可能導致與HWTACACS服務器的連接斷開。

【舉例】

# 配置HWTACACS服務器響應超時時間為30秒。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer response-timeout 30

【相關命令】

· display hwtacacs scheme

1.4.17 user-name-format (HWTACACS scheme view)

user-name-format命令用來設置發送給HWTACACS服務器的用戶名格式。

undo user-name-format命令用來恢複缺省情況。

【命令】

user-name-format { keep-original | with-domain | without-domain }

undo user-name-format

【缺省情況】

設備發送給HWTACACS服務器的用戶名攜帶有ISP域名。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

keep-original：發送給HWTACACS服務器的用戶名與用戶輸入的保持一致。

with-domain：發送給HWTACACS服務器的用戶名帶ISP域名。

without-domain：發送給HWTACACS服務器的用戶名不帶ISP域名。

【使用指導】

接入用戶通常以“userid@isp-name”的格式命名，“@”後麵的部分為ISP域名，設備就是通過該域名來決定將用戶歸於哪個ISP域的。但是，有些HWTACACS服務器不能接受攜帶有ISP域名的用戶名，在這種情況下，有必要將用戶名中攜帶的域名去除後再傳送給HWTACACS服務器。因此，設備提供此命令以指定發送給HWTACACS服務器的用戶名是否攜帶有ISP域名。

需要注意的是：如果指定某個HWTACACS方案不允許用戶名中攜帶有ISP域名，那麼請不要在兩個乃至兩個以上的ISP域中同時設置使用該HWTACACS方案。否則，會出現雖然實際用戶不同（在不同的ISP域中），但HWTACACS服務器認為用戶相同（因為傳送到它的用戶名相同）的錯誤。

【舉例】

# 指定發送給HWTACACS方案hwt1的用戶不帶ISP域名。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] user-name-format without-domain

【相關命令】

· display hwtacacs scheme

1.4.18 vpn-instance (HWTACACS scheme view)

vpn-instance命令用來配置HWTACACS方案所屬的VPN。

undo vpn-instance命令用來恢複缺省情況。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情況】

HWTACACS方案屬於公網。

【視圖】

HWTACACS方案視圖

【缺省用戶角色】

network-admin

【參數】

vpn-instance-name：MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。

【使用指導】

本命令配置的VPN對於該方案下的所有HWTACACS認證/授權/計費服務器生效，但設備優先使用配置認證/授權/計費服務器時指定的各服務器所屬的VPN。

【舉例】

# 配置HWTACACS方案hw1所屬的VPN為test。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] vpn-instance test

【相關命令】

· display hwtacacs scheme

1.5 LDAP配置命令

1.5.1 authentication-server

authentication-server命令用來指定LDAP認證服務器。

undo authentication-server命令用來刪除指定的LDAP認證服務器。

【命令】

authentication-server server-name

undo authentication-server server-name

【缺省情況】

未指定LDAP認證服務器。

【視圖】

LDAP方案視圖

【缺省用戶角色】

network-admin

【參數】

server-name：LDAP服務器的名稱，為1～64個字符的字符串，不區分大小寫。該服務器必須已經存在。

【使用指導】

一個LDAP方案視圖下僅能指定一個LDAP認證服務器，如果重複執行此命令，新的配置將覆蓋原來的配置。

【舉例】

# 指定LDAP認證服務器為ccc。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] authentication-server ccc

【相關命令】

· display ldap scheme

· ldap server

1.5.2 display ldap scheme

display ldap scheme命令用來查看LDAP方案的配置信息。

【命令】

display ldap scheme [ scheme-name ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

scheme-name：指定LDAP方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

如果不指定LDAP方案名，則顯示所有LDAP方案的配置信息。

【舉例】

# 查看所有LDAP方案的配置信息。

<Sysname> display ldap scheme

Total 1 LDAP schemes

------------------------------------------------------------------

LDAP Scheme Name : ldap-sch

Authentication Server : cc

IP : 2.2.2.2

Port : 389

VPN Instance : 2

LDAP Protocol Version : LDAPv2

Server Timeout Interval : 10 (seconds)

Base DN : ll

Search Scope : single-level

User Searching Parameters:

User Object Class : Not configured

Username Attribute : cn

Username Format : with-domain

------------------------------------------------------------------

表1-9 display ldap scheme命令顯示信息描述表

字段	描述
Total 1 LDAP schemes	總共有1個LDAP方案
LDAP Scheme Name	LDAP方案名稱
Authentication Server	LDAP認證服務器名稱未配置時，顯示為Not configured
IP	LDAP認證服務器的IP地址未配置認證服務器IP時，IP地址顯示為0.0.0.0
Port	LDAP認證服務器的端口號未配置認證服務器IP時，端口號顯示為缺省值
VPN Instance	VPN實例名稱未配置時，顯示為Not configured
LDAP Protocol Version	LDAP協議的版本號（LDAPv2、LDAPv3）
Server Timeout Interval	LDAP服務器連接超時時間（單位為秒）
Login Account DN	管理員用戶的DN
Base DN	用戶DN查詢的起始DN
Search Scope	用戶DN查詢的範圍（all-level：所有子目錄查詢，single-level：下級目錄查詢）
User Searching Parameters	用戶查詢參數
User Object Class	查詢用戶DN時使用的用戶對象類型未配置時，顯示為Not configured
Username Attribute	用戶登錄帳號的屬性類型
Username Format	發送給服務器的用戶名格式

1.5.3 ip

ip命令用來配置LDAP服務器的IP地址。

undo ip命令用來刪除配置的LDAP服務器IP地址。

【命令】

ip ip-address [ port port-number ] [ vpn-instance vpn-instance-name ]

undo ip

【缺省情況】

未配置LDAP服務器的IP地址。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

ip-address：LDAP服務器的IP地址。

port port-number：LDAP服務器所使用的TCP端口號，取值範圍為1～65535，缺省值為389。

vpn-instance vpn-instance-name：LDAP服務器所屬的VPN。vpn-instance-name表示MPLS L3VPN實例的名稱，為1～31個字符的字符串，區分大小寫。不指定該參數時，表示LDAP服務器屬於公網。

【使用指導】

需要注意的是：

· 需保證設備上的LDAP服務端口與LDAP服務器上使用的端口設置一致。

· 更改後的服務器IP地址和端口號，隻對更改之後進行的LDAP認證生效。

【舉例】

# 配置LDAP服務器的IP地址為192.168.0.10，端口號為4300。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300

【相關命令】

· ldap server

1.5.4 ipv6

ipv6命令用來配置LDAP服務器的IPv6地址。

undo ipv6命令用來刪除配置的LDAP服務器IPv6地址。

【命令】

ipv6 ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ]

undo ipv6

【缺省情況】

缺省情況下，未配置LDAP服務器的IP地址。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

ipv6-address：LDAP服務器的IPv6地址。

port port-number：LDAP服務器所使用的TCP端口號，取值範圍為1～65535，缺省值為389。

【使用指導】

需保證設備上的LDAP服務端口與LDAP服務器上使用的端口設置一致。

更改後的服務器IP地址和端口號，隻對更改之後的LDAP認證生效。

【舉例】

# 配置LDAP服務器的IPv6地址為1:2::3:4，端口號為4300。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300

【相關命令】

· ldap server

1.5.5 ldap scheme

ldap scheme命令用來創建LDAP方案，並進入LDAP方案視圖。

undo ldap scheme命令用來刪除指定的LDAP方案。

【命令】

ldap scheme ldap-scheme-name

undo ldap scheme ldap-scheme-name

【缺省情況】

未定義LDAP方案。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ldap-scheme-name：LDAP方案名，為1～32個字符的字符串，不區分大小寫。

【使用指導】

一個LDAP方案可以同時被多個ISP域引用。

係統最多支持配置16個LDAP方案。

【舉例】

# 創建名為ldap1的LDAP方案並進入其視圖。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1]

【相關命令】

· display ldap scheme

1.5.6 ldap server

ldap server用來創建LDAP服務器並進入LDAP服務器視圖。

undo ldap server命令用來刪除配置的LDAP服務器。

【命令】

ldap server server-name

undo ldap server server-name

【缺省情況】

不存在LDAP服務器。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

server-name：LDAP服務器的名稱，為1～64個字符的字符串，不區分大小寫。

【舉例】

# 創建LDAP服務器ccc並進入其視圖。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc]

【相關命令】

· display ldap scheme

1.5.7 login-dn

login-dn命令用來配置具有管理員權限的用戶DN。

undo login-dn命令用來刪除已配置的具有管理員權限的用戶DN。

【命令】

login-dn dn-string

undo login-dn

【缺省情況】

未配置具有管理員權限的用戶DN。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

dn-string：具有管理員權限的用戶DN，是綁定服務器時使用的用戶標識名，為1～255個字符的字符串，不區分大小寫。

【使用指導】

需要注意的是：

· 設備上的管理員DN必須與服務器上管理員的DN一致。

· 更改後的管理員DN，隻對更改之後的LDAP認證生效。

【舉例】

# 配置管理員權限的用戶DN為uid=test, ou=people, o=example, c=city。

<Sysname> system-view

[Sysname] ldap server ldap1

[Sysname-ldap-server-ldap1] login-dn uid=test,ou=people,o=example,c=city

【相關命令】

· display ldap scheme

1.5.8 login-password

login-password命令用來配置LDAP認證中，綁定服務器時所使用的具有管理員權限的用戶密碼。

undo login-password命令用來恢複缺省情況。

【命令】

login-password { cipher | simple } password

undo login-password

【缺省情況】

未配置具有管理權限的用戶密碼。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

cipher：表示以密文方式設置用戶密碼。

simple：表示以明文方式設置用戶密碼。

string：設置的明文密碼或密文密碼，區分大小寫。明文密碼為1～128個字符的字符串；密文密碼為1～201個字符的字符串。

【使用指導】

該命令隻有在配置了login-dn的情況下生效。當未配置login-dn時，該命令不生效。

以明文或密文方式設置的用戶密碼，均以密文的方式保存在配置文件中。

【舉例】

# 配置具有管理員權限的用戶密碼為明文abcdefg。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] login-password simple abcdefg

【相關命令】

· display ldap scheme

· login-dn

1.5.9 protocol-version

protocol-version命令用來配置LDAP認證中所支持的LDAP協議的版本號。

undo protocol-version命令用來恢複缺省情況。

【命令】

protocol-version { v2 | v3 }

undo protocol-version

【缺省情況】

LDAP版本號為LDAPv3。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

v2：表示LDAP協議版本號為LDAPv2。

v3：表示LDAP協議版本號為LDAPv3。

【使用指導】

為保證LDAP認證成功，請保證設備上的LDAP版本號與LDAP服務器上使用的版本號一致。

更改後的服務器版本號，隻對更改之後的LDAP認證生效。

Microsoft的LDAP服務器隻支持LDAPv3，配置LDAP版本為v2時無效。

【舉例】

# 配置LDAP協議版本號為LDAPv2。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] protocol-version v2

【相關命令】

· display ldap scheme

1.5.10 search-base-dn

search-base-dn命令用來配置用戶查詢的起始DN。

undo search-base-dn命令用來恢複缺省情況。

【命令】

search-base-dn base-dn

undo search-base-dn

【缺省情況】

未指定用戶查詢的起始DN。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

base-dn：表示查詢待認證用戶的起始DN。base-dn表示起始DN的值，為1～255個字符的字符串，不區分大小寫。

【舉例】

# 配置用戶查詢的起始DN為dc=ldap,dc=com。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com

【相關命令】

· display ldap scheme

· ldap server

1.5.11 search-scope

search-scope命令用來配置用戶查詢的範圍。

undo search-scope命令用來恢複缺省情況。

【命令】

search-scope { all-level | single-level }

undo search-scope

【缺省情況】

用戶查詢的範圍為all-level。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

all-level：表示在起始DN的所有子目錄下進行查詢。

single-level：表示隻在起始DN的下一級子目錄下進行查詢。

【舉例】

# 配置在起始DN的所有子目錄下查詢LDAP認證用戶。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] search-scope all-level

【相關命令】

· display ldap scheme

· ldap server

1.5.12 server-timeout

server-timeout命令用來配置LDAP服務器連接超時時間，即認證、授權時等待LDAP服務器回應的最大時間。

undo server-timeout命令用來恢複缺省情況。

【命令】

server-timeout time-interval

undo server-timeout

【缺省情況】

LDAP服務器連接超時時間為10秒。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

time-interval：LDAP服務器連接超時時間，取值範圍為5～20，單位為秒。

【使用指導】

更改後的連接超時時間，隻對更改之後的LDAP認證生效。

【舉例】

# 配置LDAP服務器連接超時時間為15秒。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] server-timeout 15

【相關命令】

· display ldap scheme

1.5.13 user-parameters

user-parameters命令用來配置LDAP用戶查詢的屬性參數，包括用戶名屬性、用戶名格式和自定義用戶對象類型。

undo user-parameters命令用來恢複缺省情況。

【命令】

user-parameters { user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }

undo user-parameters { user-name-attribute | user-name-format | user-object-class }

【缺省情況】

user-name-attribute為cn；user-name-format為without-domain；未指定自定義user-object-class，根據使用的LDAP服務器的類型使用各服務器缺省的用戶對象類型。

【視圖】

LDAP服務器視圖

【缺省用戶角色】

network-admin

【參數】

user-name-attribute { name-attribute | cn | uid }：表示用戶名的屬性類型。其中，name-attribute表示屬性類型值，為1～64個字符的字符串，不區分大小寫；cn表示用戶登錄帳號的屬性為cn（Common Name）；uid表示用戶登錄帳號的屬性為uid（User ID）。

user-name-format { with-domain | without-domain }：表示發送給服務器的用戶名格式。其中，with-domain表示發送給服務器的用戶名帶ISP域名；without-domain表示發送給服務器的用戶名不帶ISP域名。

user-object-class object-class-name：表示查詢用戶DN時使用的用戶對象類型。其中，object-class-name表示對象類型值，為1～64個字符的字符串，不區分大小寫。

【使用指導】

如果LDAP服務器上的用戶名不包含域名，必須配置user-name-format為without-domain，將用戶名的域名去除後再傳送給LDAP服務器；如果包含域名則需配置user-name-format為with-domain。

【舉例】

# 配置用戶對象類型為person。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] user-parameters user-object-class person

【相關命令】

· display ldap scheme

· login-dn

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

熱門推薦

熱門推薦

H3C服務器

HPE服務器

熱門推薦

H3C存儲

HPE存儲

熱門推薦

商用台式機

商用筆記本

商用顯示器

配件

熱門推薦

熱門推薦

智能終端

技術解決方案

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

專業安全服務

安全運營服務

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

技術支持

自助服務

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

熱門推薦

公司刊物

加入我們

國家/地區

09-安全命令參考

目錄

01-AAA命令

1 AAA

1.1 ISP域中實現AAA配置命令

1.1.1 accounting command

1.1.5 authentication default

1.1.8 authentication super

1.1.13 display domain

1.1.14 domain

1.1.15 domain default enable

1.1.16 state（ISP domain view）

1.2.1 authorization-attribute（Local user view/user group view）

1.2.4 display user-group

1.2.5 group

1.2.7 password

1.2.9 state（Local user view）

1.3 RADIUS配置命令

1.3.2 data-flow-format (RADIUS scheme view)

1.3.3 display radius scheme

1.3.4 display radius statistics

1.3.5 key (RADIUS scheme view)

1.3.7 primary accounting (RADIUS scheme view)

1.3.8 primary authentication (RADIUS scheme view)

1.3.9 radius nas-ip

1.3.15 secondary accounting (RADIUS scheme view)

1.3.16 secondary authentication (RADIUS scheme view)

1.3.19 state secondary

1.3.21 timer realtime-accounting (RADIUS scheme view)

1.3.22 timer response-timeout (RADIUS scheme view)

1.3.23 user-name-format (RADIUS scheme view)

1.4 HWTACACS配置命令

1.4.2 display hwtacacs scheme

1.4.7 primary accounting (HWTACACS scheme view)

1.4.8 primary authentication (HWTACACS scheme view)

1.4.14 timer quiet (HWTACACS scheme view)