15-AAA-RADIUS-HWTACACS命令
本章节下载 (504.05 KB)
目 录
1.1.8 authentication lan-access
1.1.12 authorization lan-access
1.1.22 local-user password-display-mode
1.2.2 display local-server statistics
1.2.4 display radius statistics
1.2.5 display stop-accounting-buffer
1.2.16 reset local-server statistics
1.2.17 reset radius statistics
1.2.18 reset stop-accounting-buffer
1.2.20 retry realtime-accounting
1.2.23 secondary authentication
1.2.26 stop-accounting-buffer enable
1.2.28 timer realtime-accounting
1.3.3 display stop-accounting-buffer
1.3.11 reset hwtacacs statistics
1.3.12 reset stop-accounting-buffer
1.3.15 secondary authentication
1.3.16 secondary authorization
1.3.17 stop-accounting-buffer enable
1.3.19 timer realtime-accounting
【命令】
access-limit { disable | enable max-user-number }
undo access-limit
【视图】
ISP域视图
【参数】
disable:表示不限制当前ISP域可容纳的接入用户。
enable max-user-number:表示当前ISP域可容纳接入用户数的最大值,取值范围为1~1024。
【描述】
access-limit命令用来指定当前ISP域可容纳接入用户数的最大值。undo access-limit命令用来恢复缺省设置。
缺省情况下,不限制当前ISP域可容纳的接入用户。
由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。
【举例】
# 指定ISP域example.com最多可容纳500个接入用户。
<Sysname> system-view
[Sysname] domain example.com
[Sysname-isp-example.com] access-limit enable 500
【命令】
accounting default { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none }
undo accounting default
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
hwtacacs-scheme-name:HWTACACS方案名,为1~32个字符的字符串。
local:本地计费。
none:不计费。
【描述】
accounting default命令用来为所有类型的用户配置计费方案。undo accounting default命令用来为所有类型的用户恢复缺省的计费方案。
缺省情况下,采用local计费方案。
需要注意的是:
l accounting default命令配置的计费方案不区分用户类型,即对所有类型的用户都起作用。配置的优先级低于具体接入的配置。
l 本地计费只是为了支持本地用户的连接数管理,没有实际的统计功能。本地的接入数管理只对本地计费有效,对本地认证和授权没有作用。
l login接入方式中对FTP服务不支持计费流程。
相关配置可参考命令authentication default,authorization default。
【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置计费方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] auccounting default local
# 在系统缺省的ISP域system下,为所有类型的用户配置计费方案为RADIUS方案,方案名为rd,并且local作为备份计费方案。注意,rd方案必须已经配置,具体配置参看radius scheme命令。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting default radius-scheme rd local
# 在系统缺省的ISP域system下,为所有类型的用户恢复缺省的计费方案。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] undo accounting default
【命令】
accounting lan-access { radius-scheme radius-scheme-name [ local ] | local
| none }
undo accounting lan-access
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
local:本地计费。
none:不计费。
【描述】
accounting lan-access命令用来为lan-access用户配置计费方案。undo accounting lan-access 命令用来为lan-access用户取消计费方案。
相关配置可参考命令accounting default。
【举例】
# 在系统缺省的ISP域system下,为lan-access用户配置计费方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting lan-access local
# 在系统缺省的ISP域system下,为lan-access用户配置计费方案为RADIUS方案,方案名为rd,并且local作为备份计费方案。注意,rd方案必须已经配置,具体配置参看radius scheme命令。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting lan-access radius-scheme rd local
# 在系统缺省的ISP域system下,取消lan-access用户的计费方案的配置。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] undo accounting lan-access
【命令】
accounting login { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none }
undo accounting login
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
hwtacacs-scheme-name:HWTACACS方案名,为1~32个字符的字符串。
local:本地计费。
none:不计费。
【描述】
accounting login命令用来为login用户配置计费方案。undo accounting login命令用来为login用户取消计费方案。
相关配置可参考命令accounting default。
【举例】
# 在系统缺省的ISP域system下,为login用户配置计费方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting login local
# 在系统缺省的ISP域system下,为login用户配置计费方案为RADIUS方案,方案名为rd,并且local作为备份计费方案。注意,rd方案必须已经配置,具体配置参看radius scheme命令。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] accounting login radius-scheme rd local
# 在系统缺省的ISP域system下,取消login用户的计费方案的配置。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] undo accounting login
【命令】
accounting optional
undo accounting optional
【视图】
ISP域视图
【参数】
无
【描述】
accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。
缺省情况下,计费可选开关为关闭。
需要注意的是:
l 在对通过认证、授权的用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了accounting optional命令,则用户可以继续使用网络资源,否则用户连接将被切断。这个命令经常被用于只认证不计费的情况。
l 对配置了accounting optional命令的方案内的所有用户,系统不再发送实时计费更新报文和停止计费报文。
【举例】
# 打开名为example.com的域用户的计费可选开关。
<Sysname> system-view
[Sysname] domain example.com
[Sysname-isp-example.com] accounting optional
【命令】
attribute { ip ip-address | mac mac-address | idle-cut minute | access-limit max-user-number | vlan vlan-id | location { nas-ip ip-address port slot-number subslot-number port-number | port slot-number subslot-number port-number } } *
undo attribute { ip | mac | idle-cut | access-limit | vlan | location }*
【视图】
本地用户视图
【参数】
ip ip-address:指定用户的IP地址。本地用户的attribute ip命令只适用于H3C的802.1x客户端,如果不是H3C的客户端,但设备配置了该命令,则会导致本地认证失败。
mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。
idle-cut minute:允许/禁止本地用户启用闲置切断功能。minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。
access-limit max-user-number:指定可以用当前用户名接入设备的最大用户数。max-user-number取值范围为1~1024。
vlan vlan-id:设置用户所属于的VLAN,vlan-id为整数,取值范围为1~4094。
location:设置用户的端口绑定属性。
nas-ip ip-address:用户远端端口绑定时接入服务器的IP地址,ip-address为IP地址,为点分十进制格式。缺省为127.0.0.1,表示为本机。当指定用户绑定的是远程端口,则该用户必须指定nas-ip参数;若用户绑定的是本地端口,则不需要指定nas-ip参数。
port slot-number subslot-number port-number:设置用户绑定的端口。其中slot-number为槽号,取值范围为0~15。subslot-number为子槽号,取值范围为0~15。port-number为端口号,取值范围0~255。绑定的端口只针对端口号,不区分端口类型。
【描述】
attribute命令用来设置服务类型为lan-access用户的一些属性值。undo attribute命令用来取消对用户属性值的设置。
相关配置可参考命令display local-user。
【举例】
# 设置用户user1的IP地址为10.110.50.1。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] attribute ip 10.110.50.1
【命令】
authentication default { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none }
undo authentication default
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
hwtacacs-scheme-name:HWTACACS方案名,为1~32个字符的字符串。
local:本地认证。
none:不进行认证。
【描述】
authentication default命令用来为所有类型的用户配置认证方案。undo authentication default命令用来为所有类型的用户恢复缺省的认证方案。
缺省情况下,采用local认证方案。
authentication default命令配置的认证方案不区分用户类型,即对所有类型的用户都起作用。配置的优先级低于具体接入方式的配置。
相关配置可参考命令authorization default,accounting default。
【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置认证方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication default local
# 在系统缺省的ISP域system下,为所有类型的用户配置认证方案为RADIUS方案,方案名为rd,并且local作为备份认证方案。注意,rd方案必须已经配置,具体配置参看radius scheme命令。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication default radius-scheme rd local
# 在系统缺省的ISP域system下,为所有类型的用户恢复缺省的认证方案。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] undo authentication default
【命令】
authentication lan-access { radius-scheme radius-scheme-name [ local ] | local | none }
undo authentication lan-access
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
local:本地认证。
none:不进行认证。
【描述】
authentication lan-access命令用来为lan-access用户配置认证方案。undo authentication lan-access命令用来为lan-access用户取消认证方案。
相关配置可参考命令authentication default。
【举例】
# 在系统缺省的ISP域system下,为lan-access用户配置认证方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication lan-access local
# 在系统缺省的ISP域system下,为lan-access用户配置认证方案为RADIUS方案,方案名为rd,并且local作为备份认证方案。注意,rd方案必须已经配置,具体配置参看radius scheme命令。
[Sysname] domain system
[Sysname-isp-system] authentication lan-access radius-scheme rd local
# 在系统缺省的ISP域system下,取消lan-access用户认证方案的配置。
[Sysname] domain system
[Sysname-isp-system] undo authentication lan-access
【命令】
authentication login { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none }
undo authentication login
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
hwtacacs-scheme-name:HWTACACS方案名,为1~32个字符的字符串。
local:本地认证。
none:不进行认证。
【描述】
authentication login命令用来为login用户配置认证方案。undo authentication login命令用来为login用户取消认证方案。
相关配置可参考命令authentication default。
【举例】
# 在系统缺省的ISP域system下,为login用户配置认证方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication login local
# 在系统缺省的ISP域system下,为login用户配置认证方案为RADIUS的方案,方案名为rd,并且local作为备份认证方案。注意,rd方案必须已经配置,具体配置参看radius scheme命令。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authentication login radius-scheme rd local
# 在系统缺省的ISP域system下,取消login用户的认证方案的配置。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] undo authentication login
【命令】
authorization command hwtacacs-scheme hwtacacs-scheme-name
undo authorization command
【视图】
ISP域视图
【参数】
hwtacacs-scheme-name:HWTACACS方案名,为1~32个字符的字符串。
【描述】
authorization command命令用来为命令行用户配置授权方案。undo authorization command命令用来为命令行用户取消授权方案。
相关配置可参考命令authorization default。
【举例】
# 在系统缺省的ISP域system下,为命令行配置HWTACACS授权方案,方案名为hw。注意,hw必须已经配置,具体配置参看hwtacacs scheme命令。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization command hwtacacs-scheme hw
【命令】
authorization default { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none }
undo authorization default
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
hwtacacs-scheme-name:HWTACACS方案名,为1~32个字符的字符串。
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限仅为系统的默认权限。
【描述】
authorization default命令用来为所有类型的用户配置默认授权方案。undo authorization default命令用来为所有类型的用户恢复缺省的授权方案。
缺省情况下,采用local授权方案。
需要注意的是:
l authorization default命令配置的授权方案不区分用户类型,即对所有类型的用户都起作用。配置的优先级低于具体接入方式的配置。
l RADIUS授权是特殊的流程,只是在认证和授权的RADIUS scheme相同的条件下,RADIUS授权起作用。对于所有RADIUS授权失败的情况,授权失败返回给NAS的原因为server没有响应。
相关配置可参考命令authentication default,accounting default。
【举例】
# 在系统缺省的ISP域system下,为所有类型的用户配置默认授权方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization default local
# 在系统缺省的ISP域system下,为所有类型的用户配置默认授权方案为RADIUS方案,方案名为rd,并且local作为备份授权方案。注意,rd方案必须已经配置,具体配置参看radius scheme命令。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization default radius-scheme rd local
# 在系统缺省的ISP域system下,为所有类型的用户恢复缺省的授权方案。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] undo authorization default
【命令】
authorization lan-access { radius-scheme radius-scheme-name [ local ] | local | none }
undo authorization lan-access
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限仅为系统的默认权限。
【描述】
authorization lan-access命令用来为lan-access用户配置授权方案。undo authorization lan-access命令用来为lan-access用户取消授权方案。
相关配置可参考命令authorization default。
【举例】
# 在系统缺省的ISP域system下,为lan-access用户配置授权方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system]authorization lan-access local
# 在系统缺省的ISP域system下,为lan-access用户配置授权方案为RADIUS方案,方案名为rd,并且local作为备份授权方案。注意,rd方案必须已经配置,具体配置参看radius scheme命令。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization lan-access radius-scheme rd local
# 在系统缺省的ISP域system下,取消lan-access用户授权方案的配置。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] undo authorization lan-access
【命令】
authorization login { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none }
undo authorization login
【视图】
ISP域视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
hwtacacs-scheme-name:HWTACACS方案名,为1~32个字符的字符串。
local:本地授权。
none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限仅为系统的默认权限。
【描述】
authorization login命令用来为login用户配置授权方案。undo authorization login命令用来为login用户取消授权方案。
相关配置可参考命令authorization default。
【举例】
# 在系统缺省的ISP域system下,为login用户配置授权方案为local。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization login local
# 在系统缺省的ISP域system下,为login用户配置授权方案为RADIUS方案,方案名为rd,并且local作为备份授权方案。注意,rd方案必须已经配置,具体配置参看radius scheme命令。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] authorization login radius-scheme rd local
# 在系统缺省的ISP域system下,取消login用户的授权方案的配置。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] undo authorization login
【命令】
cut connection { all | access-type { dot1x | mac-authentication } | domain domain-name | interface interface-type interface-number | ip ip-address | mac mac-address | vlan vlan-id | ucibindex ucib-index | user-name user-name }
【视图】
系统视图
【参数】
all:切断所有用户连接。
access-type { dot1x | mac-authentication }:根据接入方式切断用户连接,dot1x指定切断所有802.1x用户连接,mac-authentication指定切断所有mac认证用户连接。
domain isp-name:切断ISP域下的全部用户连接。其中,isp-name为ISP域名,为1~24个字符的字符串。指定的ISP域必须已经存在。
interface interface-type interface-number:切断某个端口的所有用户连接。interface-type为端口类型,interface-number为端口号。
ip ip-address:切断IP地址为ip-address的所有用户连接。
mac mac-address:切断MAC地址为mac-address的用户连接。其中,mac-address为H-H-H格式。
vlan vlan-id:切断VLAN ID为vlan-id的所有用户连接。其中,vlan-id的取值范围为1~4094。
ucibindex ucib-index:切断某个连接索引号为ucib-index的用户连接,ucib-index参数的取值范围为0~4294967295。
user-name user-name:切断某个用户名为user-name的用户连接。其中,user-name为用户名,为不超过80个字符的字符串。
【描述】
cut connection命令用来强制切断指定用户的连接。
此命令只对service-type为lan-access的用户有效,对于Telnet、FTP、SSH类型用户,无法切断连接。
相关配置可参考命令display connection,service-type。
【举例】
# 切断域名为“example.com”的ISP域下的所有连接。
<Sysname> system-view
[Sysname] cut connection domain example.com
【命令】
display connection [ access-type { dot1x | mac-authentication } | domain domain-name | interface interface-type interface-number | ip ip-address | mac mac-address | vlan vlan-id | ucibindex ucib-index | user-name user-name ]
【视图】
任意视图
【参数】
access-type { dot1x | mac-authentication }:根据接入方式显示用户连接,dot1x指定显示所有802.1x用户连接,mac-authentication指定显示所有mac认证用户连接。
domain isp-name:显示某个ISP域下的全部用户连接。其中,isp-name为ISP域名,为1~24个字符的字符串。指定的ISP域必须已经存在。
interface interface-type interface-number:显示某个端口的所有用户连接。
ip ip-address:显示某个IP地址为ip-address的所有用户连接。
mac mac-address:显示某个MAC地址为mac-address的用户连接。其中,mac-address为点分十六进制格式(即形如H-H-H的样式)。
vlan vlan-id:显示ID为vlan-id的所有用户连接。其中,vlan-id的取值范围为1~4094。
ucibindex ucib-index:显示某个连接索引号为ucib-index的用户连接。其中,ucib-index的取值范围为0~4294967295。
user-name user-name:显示某个用户名为user-name的用户连接。其中,user-name为用户名,为不超过80个字符的字符串。
【描述】
display connection命令用来显示所有或指定的用户连接的相关信息。
不指定任何参数的情况下,系统显示所有用户连接的相关信息。
对于ftp类型用户,无法显示用户连接的相关信息。
相关配置可参考命令cut connection。
【举例】
# 显示所有用户连接的相关信息。
<Sysname> display connection
Total 0 connections matched.
【命令】
display domain [ isp-name ]
【视图】
任意视图
【参数】
isp-name:ISP域名。为1~24个字符的字符串。所指定的ISP域必须已经存在。
【描述】
display domain命令用来显示指定ISP域的配置信息。
缺省情况下,如果不指定ISP域显示系统中所有ISP域的配置信息。
相关配置可参考命令access-limit,domain,state。
【举例】
# 显示系统中所有ISP域的配置信息。
<Sysname>display domain
0 Domain = system
State = Active
Access-limit = Disable
Accounting method = Required
Default authentication scheme : local
Default authorization scheme : local
Default accounting scheme : local
Domain User Template:
Idle-cut = Disable
Self-service = Disable
Default Domain Name: system
对上述显示信息的各项解释如表1-1所示。
表1-1 display domain命令显示信息描述表
字段 |
描述 |
Domain |
域名 |
State |
状态 |
Access-limit |
接入用户连接数限制 |
Accounting method |
计费方法 |
Default Authentication scheme |
default 认证方案 |
Default Authorization scheme |
default 授权方案 |
Default accounting scheme |
default计费方案 |
Domain User Template |
域用户模板 |
Idle-cut |
闲置切断功能 |
Self-service |
自助服务功能 |
Default Domain Name |
缺省域名 |
Total 1 domain(s) |
总共1个域 |
【命令】
display local-user [ domain isp-name | idle-cut { disable | enable } | vlan vlan-id | service-type { lan-access | telnet | ssh | terminal | ftp } | state { active | block } | user-name user-name ]
【视图】
任意视图
【参数】
domain isp-name:显示属于某个ISP域的全部本地用户。其中,isp-name为ISP域名,为1~24个字符的字符串。指定的ISP域必须已经存在。
idle-cut { disable | enable }:显示禁止或者允许启用闲置切断功能的本地用户。其中,disable表示禁止用户启用闲置切断功能;enable表示允许用户启用闲置切断功能。
vlan vlan-id:根据用户所属的VLAN显示本地用户。vlan-id取值范围为1~4094。
service-type:根据用户类型显示本地用户。其中,lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户);telnet为telnet用户;ssh为ssh用户;terminal为从Console口登录的终端用户;ftp指定用户为ftp类型。
state { active | block }:显示处于某种状态的本地用户。其中,active表示系统允许用户请求网络服务;block表示系统不允许用户请求网络服务。
user-name user-name:显示用户名为user-name的本地用户。其中,user-name为用户名,为不超过80个字符的字符串,字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符,并且“@”出现的次数不能多于1次,纯用户名(“@”以前部分,即用户标识)不能超过55个字符。
【描述】
display local-user命令用来显示所有或指定的本地用户的相关信息。
相关配置可参考命令local-user。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
The contents of local user user1:
State: Active
ServiceType: lan-access/telnet
Idle-cut: Disable
Access-limit: Disable Current AccessNum: 0
Bind location: Disable
Vlan ID: Disable
IP address: Disable
MAC address: Disable
User Privilege: 3
Total 1 local user(s) Matched.
对上述显示信息的各项解释如表1-2所示。
表1-2 display local-user命令显示信息描述表
字段 |
描述 |
State |
状态 |
ServiceType |
用户使用的服务类型 |
Idle-cut |
闲置切断开关 |
Access-limit |
接入用户连接数限制 |
Current AccessNum |
当前接入用户数 |
Bind location |
是否与端口捆绑 |
VLAN ID |
用户所属的VLAN |
IP address |
用户的IP地址 |
MAC address |
用户的MAC地址 |
User Privilege |
用户权限 |
Total 1 local user(s) matched |
总计有1个本地用户 |
& 说明:
当采用本地RADIUS认证服务器(local-server)功能时,会有当前接入用户数和显示值不一致的情况存在,Current AccessNum属性值仅作参考。
【命令】
domain { isp-name | default { disable | enable isp-name } }
undo domain isp-name
【视图】
系统视图
【参数】
isp-name:ISP域名。为1~24个字符的字符串,且不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符。
default:配置缺省的ISP域。系统缺省的ISP域为system;用户可以使用该命令手工配置缺省域,缺省的ISP域有且只有一个。
disable:禁止配置的缺省ISP域。
enable:使能配置的缺省ISP域。
【描述】
domain命令用来创建一个ISP域,或者进入已创建ISP域的视图。undo domain命令用来删除指定的ISP域。
缺省情况下,系统中使用的域为system。
需要注意的是:
l 缺省的ISP域有且只有一个。
l 手工配置缺省域时,该域必须已经存在。
l 配置为缺省的域不能够被删除,除非先恢复要删除的域为非缺省域。
相关配置可参考命令access-limit,state,display domain。
【举例】
# 创建一个新的ISP域example.com,并进入其视图。
<Sysname> system-view
[Sysname] domain example.com
New Domain added.
【命令】
idle-cut { disable | enable minute }
【视图】
ISP域视图
【参数】
disable:表示禁止用户启用闲置切断功能。
enable:表示允许用户启用闲置切断功能。
minute:允许的最大空闲时间,单位为分钟,取值范围为1~120。
【描述】
idle-cut命令用来设置当前ISP域下的闲置切断功能。
缺省情况下,用户闲置切断开关处于关闭状态。
相关配置可参考命令domain。
【举例】
# 允许当前ISP域“example.com”下的用户启用闲置切断功能,最大空闲时间为50分钟。
<Sysname> system-view
[Sysname] domain example.com
[Sysname-isp-example.com] idle-cut enable 50
【命令】
level level
undo level
【视图】
本地用户视图
【参数】
level:指定用户的优先级。level为整数,取值范围0~3。其中0为参观级、1为监控级、2为系统级、3为管理级,数值越小,用户的优先级越小。
【描述】
level命令用来设置用户的优先级。undo level命令用来恢复用户缺省的优先级。
缺省情况下,用户的优先级为0
需要注意的是:
l 如果配置的认证方式为不认证或采用password认证,则用户登录到系统后所能访问的命令级别由用户界面的优先级确定。
l 如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的优先级确定。对于SSH用户,使用RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。
相关配置可参考命令local-user。
【举例】
# 设置用户user1级别为3。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] level 3
【命令】
local-user user-name
undo local-user { user-name | all [ service-type { lan-access | telnet | ssh | terminal | ftp } ] }
【视图】
系统视图
【参数】
user-name:本地用户名。为1~80个字符的字符串,区分大小写,字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符,并且“@”出现的次数不能多于1次,纯用户名(“@”以前部分,即用户标识)不能超过55个字符。“a”、“al”、“all”不能作为用户名。
all:所有的用户。
service-type:指定用户的类型。其中,lan-access指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户);telnet为telnet用户;ssh为ssh用户;terminal为从Console口登录的终端用户;ftp指定用户为ftp类型。
【描述】
local-user命令用来添加本地用户并进入本地用户视图。undo local-user命令用来删除指定的本地用户。
缺省情况下,无本地用户。
“a”、“al”、“all”不能作为用户名。
相关配置可参考命令display local-user,service-type。
【举例】
# 添加名称为user1的本地用户
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1]
【命令】
local-user password-display-mode { cipher-force | auto }
undo local-user password-display-mode
【视图】
系统视图
【参数】
cipher-force:强制cipher方式,即所有接入用户的密码显示方式必须采用密文方式。
auto:自动方式,即接入用户的密码显示方式可以由用户自己通过password命令来设置。
【描述】
local-user password-display-mode命令用来设置所有本地用户密码的显示方式。undo local-user password-display-mode命令用来恢复缺省的本地用户的密码显示方式。
缺省情况下,所有接入用户的密码显示方式为auto。
当采用cipher-force方式后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码仍然会显示为密文。
相关配置可参考命令display local-user,password。
【举例】
# 强制所有接入用户采用密码密文方式显示。
<Sysname> system-view
[Sysname] local-user password-display-mode cipher-force
【命令】
password { simple | cipher } password
undo password
【视图】
本地用户视图
【参数】
simple:表示密码为明文显示。
cipher:表示密码为密文显示。
password:表示设置的密码,对于simple方式,password必须是明文密码。对于cipher方式,password可以是密文密码也可以是明文密码。明文密码可以是长度小于等于63的连续字符串,如:aabbcc。密文密码的长度可能取值为24、32、44、56、64、76、88,如_(TT8F]Y\5SQ=^Q`MAF4<1!!。
【描述】
password命令用来设置本地用户的密码。undo password命令用来取消本地用户的密码。
需要注意的是,当采用local-user password-display-mode cipher-force命令后,即使用户通过password命令指定密码显示方式为明文显示(即simple方式)后,密码也会显示为密文。
相关配置可参考命令display local-user。
【举例】
# 设置名称为user1的密码为明文显示,密码为20030422。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] password simple 20030422
【命令】
self-service-url { disable | enable url-string }
undo self-service-url
【视图】
ISP域视图
【参数】
url-string:自助服务器修改用户密码页面的URL,为字符串形式,长度为1~64个字符。字符串必须以“http://”开始,字符串中不能包括“?”字符。
【描述】
self-service-url enable命令用来启动自助服务器定位功能,self-service-url disable命令用来关闭自助服务器定位功能。
undo self-service-url 命令用来关闭自助服务器定位功能。
缺省情况下,设备关闭自助服务器定位功能。
需要注意的是:
l 此命令需要与支持自助服务的RADIUS服务器配合使用,如CAMS。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。
l 如果在设备上配置了此命令,用户可以通过如下操作定位到自助服务器:用户在802.1x客户端软件上选择“更改用户密码”;客户端软件打开用户缺省的浏览器(IE或者NetScape等),定位到指定的自助服务器更改用户密码的URL页面;用户可以在该页面上修改自己的密码。
l 只有用户通过认证后才能进行在客户端软件上选择“更改用户密码”选项,否则该选项为灰色,不可用。
【举例】
# 在系统缺省的ISP域system下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice/modPasswd1x.jsp|userName。
<Sysname> system-view
[Sysname] domain system
[Sysname-isp-system] self-service-url enable http://10.153.89.94/selfservice/modPasswd1x.jsp|userName
【命令】
service-type { lan-access | { telnet | ssh | terminal }* [ level level ] }
undo service-type { lan-access | { telnet | ssh | terminal }* }
【视图】
本地用户视图
【参数】
lan-access:指定用户为lan-access类型(主要指以太网接入用户,比如802.1x用户)。
telnet:指定用户可以使用Telnet服务。
ssh:指定用户可以使用SSH服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
level level:指定Telnet、terminal或者SSH用户的级别。level为整数,取值范围0~3,缺省值为0。
【描述】
service-type命令用来设置用户可以使用的服务类型。undo service-type命令用来删除用户可以使用的服务类型。
缺省情况下,系统不对用户授权任何服务。
相关配置可参考命令service-type ftp。
【举例】
# 指定用户可以使用Telnet服务。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] service-type telnet
【命令】
service-type ftp [ ftp-directory directory ]
undo service-type ftp [ ftp-directory ]
【视图】
本地用户视图
【参数】
ftp-directory directory:授权FTP用户可以访问的目录。directory为1~135个字符的字符串。
【描述】
service-type ftp命令用来设置用户可以使用的服务类型为FTP,并指定FTP用户可以访问的目录。undo service-type ftp命令用来恢复缺省设置。
缺省情况下,系统不支持FTP匿名用户访问,不对用户授权任何服务;若授权FTP服务,缺省授权使用设备的根目录。
相关配置可参考命令service-type。
【举例】
# 指定用户可以使用FTP。
<Sysname> system-view
[Sysname] local-user user1
[Sysname-luser-user1] service-type ftp
【命令】
state { active | block }
【视图】
ISP域视图/本地用户视图
【参数】
active:指定当前ISP域(ISP域视图)/当前本地用户(本地用户视图)处于活动状态,即系统允许该域下的用户(ISP域视图)/当前本地用户(本地用户视图)请求网络服务。
block:指定当前ISP域(ISP域视图)/当前本地用户(本地用户视图)处于“阻塞”状态,即系统不允许该域下的用户(ISP域视图)/当前本地用户(本地用户视图)请求网络服务。
【描述】
state命令用来设置当前ISP域/当前本地用户的状态。
缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。当一个本地用户被创建以后,其状态为active(本地用户视图)。
当指示某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。当指示某个用户处于block状态时,不允许当前本地用户请求网络服务,但是不影响其它用户。
相关配置可参考命令domain。
【举例】
# 设置当前ISP域“example.com”处于“阻塞”状态,其下的接入用户不能再请求网络服务。
<Sysname> system-view
[Sysname]domain example.com
[Sysname-isp-example.com] state block
# 设置用户user1处于“阻塞”状态。
[Sysname-isp-example.com] quit
[Sysname]local-user user1
[Sysname-luser-user1] state block
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } }*
undo data-flow-format { data | packet }
【视图】
RADIUS方案视图
【参数】
data:设置数据的单位。
byte:数据单位为字节。
giga-byte:数据单位为千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为千兆包。
kilo-packet:数据包的单位为千包。
mega-packet:数据包的单位为兆包。
one-packet:数据包的单位为包。
【描述】
data-flow-format命令用来配置发送到RADIUS服务器的数据流的单位。undo data-flow-format data命令用来恢复发送到RADIUS服务器的数据流的数据单位为缺省设置。undo data-flow-format packet命令用来恢复发送到RADIUS服务器的数据流的数据包单位为缺省设置。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
相关配置可参考命令display radius。
【举例】
# 设置发往RADIUS服务器的数据流的单位为千字节,数据包的单位为千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【命令】
display local-server statistics
【视图】
任意视图
【参数】
无
【描述】
display local-server statistics命令用来显示本地RADIUS认证服务器的统计信息。
相关配置可参考命令local-server。
【举例】
# 显示本地RADIUS认证服务器的统计信息。
<Sysname> display local-server statistics
The localserver packet statistics:
Receive: 30 Send: 30
Discard: 0 Receive Packet Error: 0
Auth Receive: 10 Auth Send: 10
Acct Receive: 20 Acct Send: 20
表1-3 display local-server statistics命令显示信息描述表
字段 |
描述 |
Receive |
收到报文的数目 |
Send |
发送报文的数目 |
Discard |
丢弃报文的数目 |
Receive Packet Error |
错误报文的数目 |
Auth Receive |
收到认证报文的数目 |
Auth Send |
发送认证报文的数目 |
Acct Receive |
收到计费报文的数目 |
Acct Send |
发送计费报文的数目 |
【命令】
display radius [ radius-scheme-name ]
【视图】
任意视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。此项如果为空,则显示所有RADIUS方案的配置信息。
【描述】
display radius命令用来显示所有或指定RADIUS方案的配置信息。需要注意的是,如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。
相关配置可参考命令radius scheme。
【举例】
# 显示所有RADIUS方案的配置信息。
<Sysname>display radius
------------------------------------------------------------------
SchemeName =system
Index=0 Type=extended
Primary Auth IP =127.0.0.1 Port=1645 State=block
Primary Acct IP =127.0.0.1 Port=1646 State=block
Second Auth IP =0.0.0.0 Port=1812 State=block
Second Acct IP =0.0.0.0 Port=1813 State=block
Auth Server Encryption Key= Not configured
Acct Server Encryption Key= Not configured
Interval for timeout(second) =3
Retransmission times for timeout =3
Interval for realtime accounting(minute) =12
Retransmission times of realtime-accounting packet =5
Retransmission times of stop-accounting packet =500
Quiet-interval(min) =5
Username format =without-domain
Data flow unit =Byte
Packet unit =one
------------------------------------------------------------------
Total 1 RADIUS scheme(s).
字段 |
描述 |
SchemeName |
Radius方案的名称 |
Index |
Radius方案的索引号 |
Type |
Radius服务器的类型 |
Primary Auth IP/ Port/ State |
主认证服务器IP地址/接入端口号/该服务器目前状态 |
Primary Acct IP/ Port/ State |
主计费服务器IP地址/接入端口号/该服务器目前状态 |
Second Auth IP/ Port/ State |
从认证服务器IP地址/接入端口号/该服务器目前状态 |
Second Acct IP/ Port/ State |
从计费服务器IP地址/接入端口号/该服务器目前状态 |
Auth Server Encryption Key |
认证服务器的共享密钥 |
Acct Server Encryption Key |
计费服务器的共享密钥 |
Interval for timeout(second) |
RADIUS服务器响应超时定时器时长 |
Retransmission times for timeout |
超时重传次数 |
Interval for realtime accounting(minute) |
实时计费间隔(分) |
Retransmission times of realtime-accounting packet |
允许发送的实时计费请求无响应报文的最大次数 |
Retransmission times of stop-accounting packet |
缓存的停止计费请求报文的最大发送次数 |
Quiet-interval(min) |
主服务器恢复激活状态的时间 |
Username format |
用户名的格式 |
Data flow unit |
数据流的单位 |
Packet unit |
报文包的单位 |
Total 1 RADIUS scheme(s) |
共计1个RADIUS方案 |
【命令】
display radius statistics
【视图】
任意视图
【参数】
无
【描述】
display radius statistics命令用来显示RADIUS报文的统计信息。
相关配置可参考命令radius scheme。
【举例】
# 显示RADIUS报文的统计信息。
<Sysname> display radius statistics
state statistic(total=1024):
DEAD=1024 AuthProc=0 AuthSucc=0
AcctStart=0 RLTSend=0 RLTWait=0
AcctStop=0 OnLine=0 Stop=0
Received and Sent packets statistic:
Sent PKT total :0 Received PKT total:0
RADIUS received packets statistic:
Code= 2,Num=0 ,Err=0
Code= 3,Num=0 ,Err=0
Code= 5,Num=0 ,Err=0
Code=11,Num=0 ,Err=0
Running statistic:
RADIUS received messages statistic:
Normal auth request , Num=0 , Err=0 , Succ=0
EAP auth request , Num=0 , Err=0 , Succ=0
Account request , Num=0 , Err=0 , Succ=0
Account off request , Num=0 , Err=0 , Succ=0
PKT auth timeout , Num=0 , Err=0 , Succ=0
PKT acct_timeout , Num=0 , Err=0 , Succ=0
Realtime Account timer , Num=0 , Err=0 , Succ=0
PKT response , Num=0 , Err=0 , Succ=0
Session ctrl pkt , Num=0 , Err=0 , Succ=0
Normal author request , Num=0 , Err=0 , Succ=0
RADIUS sent messages statistic:
Auth accept , Num=0
Auth reject , Num=0
EAP auth replying , Num=0
Account success , Num=0
Account failure , Num=0
Server ctrl req , Num=0
RecError_MSG_sum:0 SndMSG_Fail_sum :0
Timer_Err :0 Alloc_Mem_Err :0
State Mismatch :0 Other_Error :0
No-response-acct-stop packet =0
Discarded No-response-acct-stop packet for buffer overflow =0
表1-5 display radius statistics命令显示信息描述表
字段 |
描述 |
state statistic(total=1024) |
状态统计(总数=1024) |
DEAD |
空闲态报文数 |
AuthProc |
认证等待态报文数 |
AuthSucc |
认证成功态报文数 |
AcctStart |
计费开始态报文数 |
RLTSend |
实时计费发送态报文数 |
RLTWait |
实时计费等待态报文数 |
AcctStop |
计费等待停止态报文数 |
OnLine |
在线态报文数 |
Stop |
停止态报文数 |
Received and Sent packets statistic |
收发报文数目统计 |
Sent PKT total |
发送报文总数 |
Received PKT total |
接收报文总数 |
RADIUS received packets statistic |
RADIUS模块接收报文数目统计 |
Code |
报文类型 |
Num |
报文总数 |
Err |
错误报文数 |
Running statistic |
运行间报文数目统计 |
RADIUS received messages statistic |
RAIUDS已接收消息数目统计 |
Normal auth request |
普通认证请求报文数 |
EAP auth request |
EAP认证请求报文数 |
Account request |
计费请求报文数 |
Account off request |
计费停止请求报文数 |
PKT auth timeout |
认证超时报文数 |
PKT acct_timeout |
计费超时报文数 |
Realtime Account timer |
实时计费请求报文数 |
PKT response |
响应报文数 |
Session ctrl pkt |
会话控制报文数 |
Normal author request |
普通授权请求报文数 |
Succ |
成功报文数 |
RADIUS sent messages statistic |
RAIUDS已发送消息数目统计 |
Auth accept |
认证接收报文数 |
Auth reject |
认证拒绝报文数 |
EAP auth replying |
EAP认证回应报文数 |
Account success |
计费成功报文数 |
Account failure |
计费失败报文数 |
Server ctrl req |
服务器控制请求报文数 |
RecError_MSG_sum |
接收错误消息总数 |
SndMSG_Fail_sum |
发送消息失败总数 |
Timer_Err |
启动定时器失败报文数 |
Alloc_Mem_Err |
申请内存失败报文数 |
State Mismatch |
状态不匹配报文数 |
Other_Error |
其它错误报文数 |
No-response-acct-stop packet |
停止计费报文无响应数 |
Discarded No-response-acct-stop packet for buffer overflow |
因缓存区满而丢弃的无响应停止计费报文总数 |
【命令】
display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
任意视图
【参数】
radius-scheme radius-scheme-name:显示指定RADIUS方案名的缓存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串。
session-id session-id:显示指定ID的缓存的停止计费请求报文。其中,session-id为会话ID,为1~50个字符的字符串。
time-range start-time stop-time:显示指定停止计费请求时刻的缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被显示。
user-name user-name:显示指定用户名的缓存的停止计费请求报文。
【描述】
display stop-accounting-buffer命令用来显示缓存在设备系统中的停止计费请求报文。
& 说明:
l 可以选择显示发往某个RADIUS方案的报文;也可以根据用户会话的session-id或用户名来显示报文;还可以指定一个时间段,显示那些发起停止计费请求的时刻处于指定时间段内的报文。根据显示的报文信息,可以帮助诊断与排除RADIUS相关故障。
l 在发送停止计费请求报文而RADIUS服务器没有响应时,设备系统会缓存该报文,然后以一定的次数发送,具体发送的次数由retry stop-accounting命令设置。
相关配置可参考命令reset stop-accounting-buffer,stop-accounting-buffer enable, retry stop-accounting。
【举例】
# 显示从2002年8月31日0点0分0秒到2002年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<Sysname> display stop-accounting-buffer time-range 0:0:0-08/31/2002 23:59:59-08/31/2002
Total find 0 record(s)
【命令】
key { accounting | authentication } string
undo key { accounting | authentication }
【视图】
RADIUS方案视图
【参数】
accounting:指示RADIUS计费报文的共享密钥。
authentication:指示RADIUS认证/授权报文的共享密钥。
string:密钥,为1~16个字符的字符串,区分大小写。
【描述】
key命令用来设置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来取消RADIUS认证/授权或计费报文共享密钥的设置。
需要注意的是:
l 必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
l 在认证/授权服务器与计费服务器不相同且这两台服务器中的共享密钥也不同时,必须分别设置认证/授权报文和计费报文的共享密钥。
相关配置可参考命令primary accounting,primary authentication,radius scheme。
【举例】
# 将RADIUS方案“radius1”的认证/授权报文的共享密钥设置为“hello”。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key authentication hello
# 将RADIUS方案“radius1”的计费报文的共享密钥设置为“ok”。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting ok
【命令】
local-server enable
undo local-server
【视图】
系统视图
【参数】
无
【描述】
local-server enable命令用来打开本地RADIUS服务器端口。undo local-server命令用来关闭本地RADIUS服务器端口。
缺省情况下,本地RADIUS服务器端口开启。
相关配置可参考命令radius scheme,state,local-server nas-ip。
【举例】
# 打开本地RADIUS认证服务器端口。
<Sysname> system-view
[Sysname] local-server enable
【命令】
local-server nas-ip ip-address key password
undo local-server nas-ip ip-address
【视图】
系统视图
【参数】
nas-ip ip-address:设置本地RADIUS服务器允许的网络接入服务器的IP地址,地址采用点分十进制格式。
key password:设置本地服务器的共享密钥,password为密钥,为不超过16个字符的字符串。
【描述】
local-server nas-ip命令用来设置本地RADIUS服务器的相关参数。undo local-server nas-ip命令用来删除某个设置的本地RADIUS服务器。
缺省情况下,系统创建了一个本地RADIUS服务器,其NAS-IP为127.0.0.1,共享密钥为空字符串。
需要注意的是:
l 设备除了支持传统的作为RADIUS客户端的服务——即分别采用认证/授权服务器、计费服务器的方式进行用户的认证管理外,还提供了本地简单RADIUS服务器端功能(包括认证、授权和计费),称之为本地RADIUS服务器功能。
l 采用本地RADIUS认证服务器功能时,其认证/授权服务的UDP端口号必须为1645,计费服务的UDP端口号必须为1646。
l 用此命令配置的共享密钥必须和在RADIUS方案视图下用命令key { accounting | authentication }配置的认证/授权或计费报文的共享密钥一致。
l 设备最多支持16个本地RADIUS认证服务器。
相关配置可参考命令radius scheme,state,local-server enable。
【举例】
# 设置本地RADIUS认证服务器允许的网络接入服务器的IP地址为10.110.1.2、共享密钥为aabbcc。
<Sysname> system-view
[Sysname] local-server nas-ip 10.110.1.2 key aabbcc
【命令】
nas-ip ip-address
undo nas-ip
【视图】
RADIUS方案视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址、环回地址。
【描述】
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。undo nas-ip命令用来删除配置。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
l 指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
l RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
相关配置可参考命令radius nas-ip。
【举例】
# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme test1
[Sysname-radius-test1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port-number ]
undo primary accounting
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
primary accounting命令用来设置主RADIUS计费服务器的IP地址和端口号。undo primary accounting命令用来将主RADIUS计费服务器的IP地址和端口号恢复为缺省值。
缺省情况下,主计费服务器的IP地址为0.0.0.0,UDP端口号为1813。
需要注意的是:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 系统缺省创建的system方案使用的主计费服务器的IP为127.0.0.1,端口号为1646。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的主计费服务器的IP地址为10.110.1.2、使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813
【命令】
primary authentication ip-address [ port-number ]
undo primary authentication
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
primary authentication命令用来设置主RADIUS认证/授权的IP地址和端口号。undo primary authentication命令用来将主RADIUS认证/授权的IP地址和端口号恢复为缺省值。
缺省情况下,主认证/授权服务器的IP地址为0.0.0.0,UDP端口号为1812。
需要注意的是:
l 当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的IP地址和UDP端口号进行设置。这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证设备上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。
l 主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。
l 系统缺省创建的system方案使用的主认证服务器的IP为127.0.0.1,端口号为1645。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的主认证/授权服务器的IP地址为10.110.1.1、使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812
【命令】
radius client enable
undo radius client
【视图】
系统视图
【参数】
无
【描述】
radius client enable命令用来打开RADIUS 客户端端口。undo radius client命令用来关闭RADIUS客户端端口。
缺省情况下,RADIUS客户端端口开启。
需要注意:
l 关闭RADIUS 客户端端口后,对于在线用户,计费结束报文无法发出,且不缓存。同时,Radius Server收不到在线用户的下线报文,会有一段时间用户已经下线,但Server上还有此用户的情况。如果使用本地设备做RADIUS Server,则关闭端口后,本地用户的接入数会保持关闭端口前的个数,不能自动更新。
l 关闭RADIUS 客户端端口后,对于新的认证请求,如果使用RADIUS + LOCAL的认证/授权/计费方案,则RADIUS请求失败后会转而采用LOCAL认证/授权/计费方案。
l 关闭RADIUS 客户端端口后,缓存的实时计费请求报文的发送会失败,达到所配置的最大次数后,从缓存中删除。
相关配置可参考命令radius scheme。
【举例】
# 打开RADIUS客户端端口。
<Sysname> system-view
[Sysname] radius client enable
【命令】
radius nas-ip ip-address
undo radius nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址、环回地址。
【描述】
radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。undo radius nas-ip命令用来恢复缺省状态。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
l 指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
l 本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
l RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。
相关配置可参考命令nas-ip。
【举例】
# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【视图】
系统视图
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串。
radius-scheme-name不能为单词statistics的前n个字符,n的范围为1~10,否则使用查询RADIUS方案配置信息的命令display radius时,会联想到查询RADIUS报文统计信息的命令display radius statistics,从而无法查询配置信息。
【描述】
radius scheme命令用来创建RADIUS方案并进入其视图。undo radius scheme命令用来删除指定的RADIUS方案。
缺省情况下,系统中已创建了一个名为system的RADIUS方案。
需要注意的是:
l 对于名为system的RADIUS方案,其各项属性均为缺省值。可以用display radius命令来查看缺省RADIUS方案system的设置。
l RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至少须指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数。在进行其它RADIUS协议配置之前,必须先创建RADIUS方案并进入其视图。
l 一个RADIUS方案可以同时被多个ISP域引用。
l undo radius scheme命令虽然可以用来删除指定的RADIUS方案,但是不能删除缺省的RADIUS方案。当有使用RADIUS方案的用户在线时,不允许删除该方案。
相关配置可参考命令key,retry realtime-accounting,timer realtime-accounting,stop-accounting-buffer enable, retry stop-accounting,server-type,state,user-name-format,retry,display radius,display radius statistics。
【举例】
# 创建名为“radius1”的RADIUS方案并进入其视图。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【命令】
radius trap { accounting-server-down | authentication-server-down }
undo radius trap { accounting-server-down | authentication-server-down }
【视图】
系统视图
【参数】
accounting-server-down:使能RADIUS计费服务器无响应时的trap功能。
authentication-server-down:使能RADIUS认证服务器无响应时的trap功能。
【描述】
radius trap命令用来使能RADIUS trap功能。undo radius trap命令用来关闭RADIUS trap功能。
缺省情况下,RADIUS trap功能关闭。
使能RADIUS trap功能后,当NAS向RADIUS服务器发送计费或认证请求没有响应时,NAS会向服务器重发计费或认证请求报文。当NAS向服务器发送的报文累计次数达到最大传送次数的1/2时,系统会发送一次trap报文;当NAS向服务器发送的报文累计次数达到最大传送次数时,系统会再发送一次trap报文。
当最大传送次数为奇数时,最大传送次数的1/2取值为大于最大传送次数1/2的最小整数。
【举例】
# 使能RADIUS计费服务器无响应时的trap功能。
<Sysname> system-view
[Sysname] radius trap accounting-server-down
【命令】
reset local-server statistics
【视图】
用户视图
【参数】
无
【描述】
reset local-server statistics命令用来清除本地服务器的统计信息。
相关配置请参考命令display local-server statistics。
【举例】
# 清除本地服务器的统计信息。
<Sysname> reset local-server statistics
【命令】
reset radius statistics
【视图】
用户视图
【参数】
无
【描述】
reset radius statistics命令用来清除RADIUS协议的统计信息。
相关配置请参考命令display radius。
【举例】
# 清除RADIUS协议的统计信息。
<Sysname> reset radius statistics
【命令】
reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
用户视图
【参数】
radius-scheme radius-scheme-name:删除指定RADIUS方案名的缓存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串。
session-id session-id:删除指定会话ID的缓存的停止计费请求报文。其中,session-id为会话ID,为1~50个字符的字符串。
time-range start-time stop-time:删除指定停止计费请求时刻的缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:删除指定用户名的缓存的停止计费请求报文。
【描述】
reset stop-accounting-buffer命令用来删除那些缓存的、没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable, retry stop-accounting,display stop-accounting-buffer。
【举例】
# 删除用户“[email protected]”缓存在系统中的停止计费请求报文。
<Sysname> reset stop-accounting-buffer user-name [email protected]
# 删除从2002年8月31日0点0分0秒到2002年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。
<Sysname> reset stop-accounting-buffer time-range 0:0:0-08/31/2002 23:59:59-08/31/2002
【命令】
retry retry-times
undo retry
【视图】
RADIUS方案视图
【参数】
retry-times:报文最大传送次数,取值范围为1~20。
【描述】
retry命令用来设置RAIUDS各类报文的最大传送次数。undo retry命令用来将RAIUDS各类报文的最大传送次数恢复为缺省值。
缺省情况下,RADIUS报文的最大传送次数为3次。
需要注意的是:
l 由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次认证失败。
l 根据网络状况合理地设置发送次数可以提高系统的响应速度。
l 参数retry-times与命令timer response-timeout中的参数seconds的乘积不能大于75。
相关配置可参考命令radius scheme,timer response-timeout。
【举例】
# 设置在RADIUS方案“radius1”下,RAIUDS请求报文的最大传送次数为5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【命令】
retry realtime-accounting retry-times
undo retry realtime-accounting
【视图】
RADIUS方案视图
【参数】
retry-times:允许实时计费失败的最大次数,取值范围为1~255。
【描述】
retry realtime-accounting命令用来设置允许实时计费失败的最大次数。undo retry realtime-accounting命令用来恢复允许实时计费失败的最大次数为缺省值。
缺省情况下,最多允许5次实时计费失败。
需要注意的是:
l RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,在设备端尽量与RADIUS服务器同步切断用户连接。设备提供对连续实时计费请求无响应次数限制的设置——在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时,设备将切断用户连接。
l 一次计费可以包括多次(RADIUS方案视图下的retry命令设置)实时计费请求报文的发送,均无响应才认为该次计费失败。假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,超时重传次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费失败的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时记费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。
相关配置可参考命令radius scheme,timer realtime-accounting。
【举例】
# 设置RADIUS方案“radius1”最多允许10次实时计费失败。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
RADIUS方案视图
【参数】
retry-times:缓存的停止计费请求报文的最大发送次数,取值范围为10~65535。
【描述】
retry stop-accounting命令用来指示当出现没有得到响应的停止计费请求时,将该报文存入设备缓存后,停止计费请求报文的最大发送次数。undo retry stop-accounting命令用来恢复停止计费请求报文的最大发送次数为缺省值。
缺省情况下,缓存的停止计费请求报文的最大发送次数为500次。
由于停止计费请求报文涉及到话单结算,并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备会将其缓存在本机上,然后发送直到RADIUS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,radius scheme,display stop-accounting-buffer。
【举例】
# 指示对于RADIUS方案“radius1”中的服务器,设备系统最多可以将缓存的停止计费请求报文发送1000次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry stop-accounting 1000
【命令】
secondary accounting ip-address [ port-number ]
undo secondary accounting
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
secondary accounting命令用来设置从RADIUS计费服务器的IP地址和端口号。undo secondary accounting命令用来将从RADIUS计费服务器的IP地址和端口号恢复为缺省值。
缺省情况下,从计费服务器的IP地址为0.0.0.0,UDP端口号为1813。
需要注意的是,主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
【命令】
secondary authentication ip-address [ port-number ]
undo secondary authentication
【视图】
RADIUS方案视图
【参数】
ip-address:IP地址,为点分十进制格式。
port-number:UDP端口号。取值范围为1~65535。
【描述】
secondary authentication命令用来设置从RADIUS认证/授权服务器的IP地址和端口号。undo secondary authentication命令用来将从RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值。
缺省情况下,从认证/授权服务器的IP地址为0.0.0.0,UDP端口号为1812。
需要注意的是,主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。
主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置不成功。
相关配置可参考命令key,radius scheme,state。
【举例】
# 设置RADIUS方案“radius1”的从认证/授权服务器的IP地址为10.110.1.2、使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
【命令】
server-type { extended | standard }
undo server-type
【视图】
RADIUS方案视图
【参数】
extended:指定H3C的RADIUS服务器(一般为CAMS),即要求RADIUS客户端(设备系统)和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。
standard:指定Standard类型的RADIUS服务器,即要求RADIUS客户端(设备系统)和RADIUS服务器按照标准RADIUS协议(RFC 2138/2139或更新)的规程和报文格式进行交互。
【描述】
server-type命令用来指定设备系统支持的RADIUS服务器类型。undo server-type命令用来恢复设备系统支持的RADIUS服务器类型为缺省情况。
缺省情况下,设备系统支持的RADIUS服务器类型为standard。系统缺省创建的system方案的RADIUS服务器类型是extended。
相关配置可参考命令radius scheme。
【举例】
# 将RADIUS方案“radius1”的RADIUS服务器类型设置为extended。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] server-type extended
【命令】
state { primary | secondary } { accounting | authentication } { block | active }
【视图】
RADIUS方案视图
【参数】
primary:设置主RADIUS服务器的状态。
secondary:设置从RADIUS服务器的状态。
accounting:设置RADIUS计费服务器的状态。
authentication:设置RADIUS认证/授权服务器的状态。
block:设置RADIUS服务器的状态为block,即处于宕机状态。
active:设置RADIUS服务器的状态为active,即处于正常工作状态。
【描述】
state命令用来设置RADIUS服务器的状态。
缺省情况下,RADIUS方案中配置了IP地址的各RADIUS服务器的状态均为active。
需要注意的是:
l 对于某个RADIUS方案中的主、从服务器(无论是认证/授权服务器还是计费服务器),当主服务器因故障而导致其与设备的通信中断时,设备会主动地转而与从服务器交互报文。当主服务器变为block的状态超过timer quiet设定的时间后,当有RADIUS请求时,设备会尝试与主服务器通信,如果主服务器恢复正常,设备会立即恢复与其通信,而不继续与从服务器通信。同时,主服务器的状态恢复为active,从服务器的状态不变。
l 当主服务器与从服务器的状态都为active或都为block时,设备将只把报文发送到主服务器上。
相关配置可参考命令radius scheme,primary authentication,secondary authentication,primary accounting,secondary accounting。
【举例】
# 将RADIUS方案“radius1”的从认证服务器的状态设置为active。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authenticaiton active
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
RADIUS方案视图
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以,如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到RADIUS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,radius scheme ,display stop-accounting-buffer。
【举例】
# 指示对于RADIUS方案“radius1”中的服务器,设备能够缓存没有得到响应的停止计费请求报文。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
RADIUS方案视图
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【描述】
timer quiet 命令用来设置主服务器恢复激活状态的时间。undo timer quiet 命令用来恢复缺省配置。
缺省情况下,主服务器恢复激活状态的时间为5分钟。
相关配置可参考命令display radius。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] radius scheme test1
[Sysname-radius-test1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
RADIUS方案视图
【参数】
minutes:实时计费的时间间隔,取值范围为3~60,单位为分钟,必须为3的倍数。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来将实时计费的时间间隔恢复为缺省值。
缺省情况下,实时计费的时间间隔为12分钟。
需要注意的是:
l 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。
l 实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求。取值越小,对设备和RADIUS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
¦1000 |
¦15 |
相关配置可参考命令retry realtime-accounting,radius scheme。
【举例】
# 将RADIUS方案“radius1”的实时计费的时间间隔设置为51分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
RADIUS方案视图
【参数】
seconds:RADIUS服务器应答超时时间,取值范围为1~10,单位为秒。
【描述】
timer response-timeout命令用来设置RADIUS服务器应答超时时间。undo timer response-timeout命令用来将RADIUS服务器应答超时时间恢复为缺省值。
缺省情况下,RADIUS服务器应答超时时间为3秒。
需要注意的是:
l 如果在RADIUS请求报文(认证/授权请求或计费请求)传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户确实能够得到RADIUS服务,这段时间被称为RADIUS服务器响应超时时长,设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器,timer response-timeout命令就是用来设置这个定时器时长的。
l 根据网络状况,合理地设置这个定时器的时长,有利于提高系统性能。
l 参数seconds与命令retry中的参数retry-times的乘积不能大于75。
相关配置可参考命令radius scheme,retry。
【举例】
# 将RADIUS方案“radius1”的响应超时定时器设置为5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【命令】
user-name-format { with-domain | without-domain }
【视图】
RADIUS方案视图
【参数】
with-domain:指定发送给RADIUS服务器的用户名带域名。
without-domain:指定发送给RADIUS服务器的用户名不带域名。
【描述】
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
缺省情况下,RADIUS方案发送给RADIUS服务器的用户名携带有ISP域名。系统缺省创建的system方案的用户名不带ISP域名。
需要注意的是:
l 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
l 如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
相关配置可参考命令radius scheme。
【举例】
# 指定发送给RADIUS方案“radius1”中RADIUS服务器的用户名不得携带域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } }*
【视图】
HWTACACS方案视图
【参数】
data:设置数据的单位。
byte:数据单位为字节。
giga-byte:数据单位千兆字节。
kilo-byte:数据单位为千字节。
mega-byte:数据单位为兆字节。
packet:设置数据包的单位。
giga-packet:数据包的单位为千兆包。
kilo-packet:数据包的单位为千包。
mega-packet:数据包的单位为兆包。
one-packet:数据包的单位为包。
【描述】
data-flow-format命令用来配置发送到HWTACACS服务器的数据流的单位。undo data-flow-format命令用来恢复发送到HWTACACS服务器的数据流的单位为缺省设置。
缺省情况下,数据的单位为byte,数据包的单位为one-packet。
相关配置可参考命令display hwtacacs。
【举例】
# 设置发往HWTACACS服务器的数据流的单位为kilo-byte,数据包的单位为kilo-packet。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte
[Sysname-hwtacacs-hwt1] data-flow-format packet kilo-packet
【命令】
display hwtacacs [ hwtacacs-scheme-name [ statistics ] ]
【视图】
任意视图
【参数】
hwtacacs-scheme-name:显示指定方案名的HWTACACS方案配置信息。
statistics:显示HWTACACS服务器的详细统计信息。
【描述】
display hwtacacs命令用来查看所有或指定HWTACACS方案的配置信息或统计信息。
需要注意的是,如果不指定HWTACACS方案名,则显示所有HWTACACS方案的配置信息。
相关配置请参考命令hwtacacs scheme。
【举例】
# 查看HWTACACS方案gy的配置情况。
<Sysname> display hwtacacs gy
--------------------------------------------------------------------------
HWTACACS-server template name : gy
Primary-authentication-server : 0.0.0.0:0
Primary-authorization-server : 0.0.0.0:0
Primary-accounting-server : 0.0.0.0:0
Secondary-authentication-server : 0.0.0.0:0
Secondary-authorization-server : 0.0.0.0:0
Secondary-accounting-server : 0.0.0.0:0
Current-authentication-server : 0.0.0.0:0
Current-authorization-server : 0.0.0.0:0
Current-accounting-server : 0.0.0.0:0
Nas-IP address : 0.0.0.0
key authentication : -
key authorization : -
key accounting : -
Quiet-interval(min) : 5
Realtime-accounting-interval(min) : 12
Response-timeout-interval(sec) : 5
Acct-stop-PKT retransmit times : 100
Domain-included : Yes
Data traffic-unit : B
Packet traffic-unit : one-packet
--------------------------------------------------------------------------
表1-7 display hwtacacs命令显示信息描述表
字段 |
描述 |
HWTACACS-server template name |
HWTACACS服务器模板名 |
Primary-authentication-server |
主认证服务器 |
Primary-authorization-server |
主授权服务器 |
Primary-accounting-server |
主计费服务器 |
Secondary-authentication-server |
备认证服务器 |
Secondary-authorization-server |
备授权服务器 |
Secondary-accounting-server |
备计费服务器 |
Current-authentication-server |
当前认证服务器 |
Current-authorization-server |
当前授权服务器 |
Current-accounting-server |
当前计费服务器 |
NAS-IP-address |
Nas IP地址 |
key authentication |
认证密钥 |
key authorization |
授权密钥 |
key accounting |
计费密钥 |
Quiet-interval |
主服务器恢复激活状态的时间 |
Realtime-accounting-interval |
实时记费间隔 |
Response-timeout-interval |
服务器响应超时间隔 |
Acct-stop-PKT retransmit times |
停止计费报文的重传次数 |
Domain-included |
包含域名 |
Data traffic-unit |
数据流量单位 |
Packet traffic-unit |
包流量单位 |
【命令】
display stop-accounting-buffer { hwtacacs-scheme hwtacacs-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
任意视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:显示指定HWTACACS方案名的缓存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名,为1~32个字符的字符串。
session-id session-id:显示指定会话ID的缓存的停止计费请求报文。其中,session-id为会话ID,为1~50个字符的字符串。
time-range start-time stop-time:显示指定停止计费请求时刻的缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被显示。
user-name user-name:显示指定用户名的缓存的停止计费请求报文。
【描述】
display stop-accounting-buffer命令用来显示缓存在设备上的停止计费请求报文。
相关配置可参考命令reset stop-accounting-buffer,stop-accounting-buffer enable,retry stop-accounting。
【举例】
# 显示为HWTACACS方案“hwt1”缓存的停止计费请求报文。
<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1
Total 0 record(s) Matched
【命令】
hwtacacs nas-ip ip-address
undo hwtacacs nas-ip
【视图】
系统视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址、环回地址。
【描述】
hwtacacs nas-ip命令用来指定设备发送hwtacacs报文使用的源地址。undo hwtacacs nas-ip命令用来恢复缺省状态。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
l 指定发送hwtacacs报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
l 本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
l HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
相关配置可参考命令nas-ip。
【举例】
# 配置设备发送hwtacacs报文使用的源地址为129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【视图】
系统视图
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串。
【描述】
hwtacacs scheme命令用来创建HWTACACS方案并进入其视图。undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
缺省情况下,没有定义HWTACACS方案。
【举例】
# 创建名为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【命令】
key { accounting | authentication | authorization } string
undo key { accounting | authentication | authorization }
【视图】
HWTACACS方案视图
【参数】
accounting:计费服务器的共享密钥。
authentication:认证服务器的共享密钥。
authorization:授权服务器的共享密钥。
string:密钥。为1~16个字符的字符串。
【描述】
key命令用来设置HWTACACS认证、授权、计费报文的共享密钥。undo key 命令用来删除配置。
缺省情况下,无密钥。
相关配置可参考命令display hwtacacs。
【举例】
# 配置HWTACACS计费报文共享密钥为hello。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key accounting hello
【命令】
nas-ip ip-address
undo nas-ip
【视图】
HWTACACS方案视图
【参数】
ip-address:指定的源IP地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址、环回地址。
【描述】
nas-ip命令用来指定设备发送hwtacacs报文使用的源地址。undo nas-ip命令用来恢复缺省状态。
缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。
需要注意的是:
l 指定发送hwtacacs报文使用的源地址,可以避免物理接口故障时从服务器返回的报文不可达。
l 本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。
l HWTACACS方案视图下的命令nas-ip只对本HWTACACS方案有效,系统视图下的命令hwtacacs nas-ip对所有HWTACACS方案有效。HWTACACS方案视图下的设置具有更高的优先级。
相关配置可参考命令hwtacacs nas-ip。
【举例】
# 配置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【命令】
primary accounting ip-address [ port ]
undo primary accounting
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
primary accounting命令用来配置HWTACACS主计费服务器。undo primary accounting命令用来删除配置的HWTACACS主计费服务器。
缺省情况下,主计费服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
【举例】
# 配置主计费服务器。
<Sysname> system-view
[Sysname] hwtacacs scheme test1
[Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49
【命令】
primary authentication ip-address [ port ]
undo primary authentication
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
primary authentication命令用来配置HWTACACS认证服务器。undo primary authentication命令用来删除配置的认证服务器。
缺省情况下,主认证服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主认证服务器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49
【命令】
primary authorization ip-address [ port ]
undo primary authorization
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
primary authorization命令用来配置HWTACACS主授权服务器。undo primary authorization命令用来删除配置的主授权服务器。
缺省情况下,主授权服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。删除服务器只对之后的报文有效。
相关配置可参考命令display hwtacacs。
【举例】
# 配置主授权服务器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49
【命令】
reset hwtacacs statistics { accounting | authentication | authorization | all }
【视图】
用户视图
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
all:清除所有统计信息。
【描述】
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
相关配置请参考命令display hwtacacs。
【举例】
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
【命令】
reset stop-accounting-buffer { hwtacacs-scheme hwtacacs-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }
【视图】
用户视图
【参数】
hwtacacs-scheme hwtacacs-scheme-name:删除指定HWTACACS方案名的缓存的停止计费请求报文。其中,hwtacacs-scheme-name为HWTACACS方案名。
session-id session-id:删除指定会话ID的缓存的停止计费请求报文。其中,session-id为会话ID,为1~50个字符的字符串。
time-range start-time stop-time:删除指定停止计费请求时刻的缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。
user-name user-name:删除指定用户名删除暂存的停止计费请求报文。
【描述】
reset stop-accounting-buffer命令用来清除那些在设备上缓存的、没有得到响应的停止计费请求报文。
相关配置可参考命令stop-accounting-buffer enable, retry stop-accounting,display stop-accounting-buffer。
【举例】
# 删除HWTACACS方案“hwt1”缓存在系统中的停止计费请求报文。
<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1
【命令】
retry stop-accounting retry-times
undo retry stop-accounting
【视图】
HWTACACS方案视图
【参数】
retry-times:停止计费报文传送的最大次数,取值范围为1~300。
【描述】
retry stop-accounting命令用来使能停止计费报文重传功能,并配置停止计费报文传送的最大次数。undo retry stop-accounting命令用来恢复停止计费报文传送次数为缺省值。
缺省情况下,使能停止计费报文重传功能,可传送报文的最大次数为100。
相关配置可参考命令reset stop-accounting-buffer,hwtacacs scheme ,display stop-accounting-buffer。
【举例】
# 使能停止计费报文发送功能,每次可发送50次报文。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] retry stop-accounting 50
【命令】
secondary accounting ip-address [ port ]
undo secondary accounting
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式,必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
secondary accounting命令用来配置HWTACACS从计费服务器。undo secondary accounting命令用来删除配置的HWTACACS从计费服务器。
缺省情况下,从计费服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送计费报文的TCP连接使用该计费服务器时,才允许删除该服务器。
【举例】
# 配置从计费服务器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accouting 10.163.155.12 49
【命令】
secondary authentication ip-address [ port ]
undo secondary authentication
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
secondary authentication命令用来配置HWTACACS从认证服务器。undo secondary authentication命令用来删除配置的从认证服务器。
缺省情况下,从认证服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主认证服务器和从认证服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送认证报文的TCP连接使用该认证服务器时,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从认证服务器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49
【命令】
secondary authorization ip-address [ port ]
undo secondary authorization
【视图】
HWTACACS方案视图
【参数】
ip-address:服务器的IP地址,点分十进制格式。必须是合法的单播地址。
port:服务器的端口号,取值范围为1~65535。
【描述】
secondary authorization命令用来配置HWTACACS从授权服务器。undo secondary authorization命令用来删除配置的从授权服务器。
缺省情况下,从授权服务器的IP地址为0.0.0.0,TCP端口号为49。
需要注意的是:
l 主授权服务器和从授权服务器的IP地址不能相同,否则将提示配置不成功。
l 如果重复执行此命令,新的配置将覆盖原来的配置。
l 只有当没有活跃的、用于发送授权报文的TCP连接使用该授权服务器,才允许删除该服务器。
相关配置可参考命令display hwtacacs。
【举例】
# 配置从授权服务器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49
【命令】
stop-accounting-buffer enable
undo stop-accounting-buffer enable
【视图】
HWTACACS方案视图
【参数】
无
【描述】
stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。
缺省情况下,允许设备缓存没有得到响应的停止计费请求报文。
由于停止计费请求报文涉及到话单结算、并最终影响收费多少,对用户和ISP都有比较重要的影响,因此设备应该尽最大努力把它发送给HWTACACS计费服务器。所以,如果HWTACACS计费服务器对设备发出的停止计费请求报文没有响应,设备应将其缓存在本机上,然后发送直到HWTACACS计费服务器产生响应,或者在发送的次数达到指定的次数限制后将其丢弃。
相关配置可参考命令reset stop-accounting-buffer,hwtacacs scheme,display stop-accounting-buffer。
【举例】
# 指示对于HWTACACS方案“hwt1”中的服务器,设备能够缓存没有得到响应的停止计费请求报文。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable
【命令】
timer quiet minutes
undo timer quiet
【视图】
HWTACACS方案视图
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【描述】
timer quiet 命令用来设置主服务器恢复激活状态的时间。undo timer quiet 命令用来恢复缺省配置。
缺省情况下,主服务器恢复激活状态的时间为5分钟。
相关配置可参考命令display hwtacacs。
【举例】
# 设置主服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【视图】
HWTACACS方案视图
【参数】
minutes:实时计费的时间间隔,单位为分钟,取值范围为3~60,必须为3的倍数。
【描述】
timer realtime-accounting命令用来设置实时计费的时间间隔。undo timer realtime-accounting命令用来将实时计费的时间间隔恢复为缺省值。
缺省情况下,实时计费的时间间隔为12分钟。
需要注意的是:
l 为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。
l 实时计费间隔的取值对设备和HWTACACS服务器的性能有一定的相关性要求——取值越小,对设备和HWTACACS服务器的性能要求越高。建议当用户量比较大(¦1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系:
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
¦1000 |
¦15 |
【举例】
# 将HWTACACS方案“hwt1”的实时计费的时间间隔设置为51分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【命令】
timer response-timeout seconds
undo timer response-timeout
【视图】
HWTACACS方案视图
【参数】
seconds:服务器应答超时时间,取值范围为1~300,单位为秒。
【描述】
timer response-timeout命令用来设置HWTACACS服务器应答超时时间。undo timer response-timeout命令用来恢复缺省配置。
缺省情况下,HWTACACS服务器应答超时时间为5秒。
需要注意的是,由于HWTACACS是基于TCP实现的,因此,服务器应答超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
相关配置可参考命令display hwtacacs。
【举例】
# 配置HWTACACS服务器应答超时时间为30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【命令】
user-name-format { with-domain | without-domain }
【视图】
HWTACACS方案视图
【参数】
with-domain:指定发送给HWTACACS服务器的用户名带ISP域名。
without-domain:指定发送给HWTACACS服务器的用户名不带ISP域名。
【描述】
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
缺省情况下,HWTACACS方案默认发送给HWTACACS服务器的用户名携带有ISP域名。
需要注意几点:
l 接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
l 如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
相关配置可参考命令hwtacacs scheme。
【举例】
# 指定发送给HWTACACS方案“hwt1”的用户不得携带ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!