18-DAE代理命令
本章节下载: 18-DAE代理命令 (183.22 KB)
目 录
1.1.2 display radius dynamic-author proxy
1.1.4 radius dynamic-author proxy
1.1.5 reset radius dynamic-author proxy statistics
client命令用来配置DAE客户端,包括客户端IP地址以及用来认证该客户端的共享密钥。
undo client命令用来删除配置的DAE客户端。
【命令】
client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]
undo client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置DAE客户端。
【视图】
DAE代理视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:DAE客户端IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:DAE客户端IPv6地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:DAE客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示DAE客户端位于公网中。
key:用于验证DAE客户端的共享密钥。该密钥需要与DAE客户端侧的配置保持一致。如果DAE客户端没有使用共享密钥,则此处也不需要指定共享密钥。
cipher:表示以密文方式设置密钥。
simple:表示以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
使能了DAE代理功能的设备,只接收指定IP地址的DAE客户端发送的DAE请求报文。DAE代理将合法的DAE请求报文转发给相应的DAE服务器,并将来自DAE服务器的DAE响应报文转发给相应的DAE客户端。
DAE代理收到DAE请求报文后,根据报文的源IP地址和VPN实例查找配置的共享密钥,并使用该共享密钥对报文中的Authenticator字段进行校验,若密钥查找失败或者校验失败则丢弃该报文。
可通过多次执行本命令指定多个DAE客户端。
【举例】
# 配置DAE客户端:IP地址为192.168.0.1,属于VPN实例vpn1,共享密钥为明文123456。
<Sysname> system-view
[Sysname] radius dynamic-author proxy
[Sysname-radius-da-proxy] client ip 192.168.0.1 vpn-instance vpn1 key simple 123456
【相关命令】
· display radius dynamic-author proxy
display radius dynamic-author proxy命令用来显示DAE代理的相关信息,包括当前开启状态、配置信息和DAE报文的统计信息。
【命令】
display radius dynamic-author proxy
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示DAE代理的相关信息。
<Sysname> display radius dynamic-author proxy
Status: Enabled
Listening port: 2000
RADIUS DAE clients:
IP address VPN instance
192.168.0.244 VPN1
192:168::0:244 N/A
RADIUS DAE servers:
IP address VPN instance
192.168.1.10 VPN1
192:168::1:10 N/A
RADIUS DAE packet statistics (DAE proxy<--->DAE client):
Invalid packets: 0
PacketName DM_REQ DM_ACK DM_NAK COA_REQ COA_ACK COA_NAK
Received 5 0 0 6 0 0
Duplicated 1 0 0 0 0 0
CheckError 0 0 0 0 0 0
NASNotFound 0 0 0 0 0 0
Sent 0 3 2 0 6 0
FailedToSend 0 0 0 0 0 0
RADIUS DAE packet statistics (DAE proxy<--->DAE server):
Invalid packets: 0
PacketName DM_REQ DM_ACK DM_NAK COA_REQ COA_ACK COA_NAK
Sent 10 0 0 12 0 0
FailedToSend 0 0 0 0 0 0
Received 0 8 2 0 12 0
NoContext 0 0 0 0 0 0
表1-1 display radius dynamic-author proxy命令显示信息描述表
字段 |
描述 |
Status |
DAE代理功能的开启状态 |
Listening port |
DAE代理监听DAE请求报文的UDP端口号 |
RADIUS DAE clients |
DAE客户端的IP地址列表和所属的VPN |
RADIUS DAE servers |
DAE服务器的IP地址列表和所属的VPN |
IP address |
DAE客户端或DAE服务器的IP地址 |
VPN instance |
DAE客户端或DAE服务器所属的VPN |
PacketName |
DAE报文类型名称 · DM_REQ:DM请求报文 · COA_REQ:COA请求报文 · DM_ACK:DM正确响应报文 · DM_NAK:DM错误响应报文 · COA_ACK:COA正确响应报文 · COA_NAK:COA错误响应报文 |
RADIUS DAE packet statistics(DAE proxy <---> DAE client) |
DAE代理和DAE客户端之间交互的DAE报文统计信息 |
RADIUS DAE packet statistics(DAE proxy <---> DAE server) |
DAE代理和DAE服务器之间交互的DAE报文统计信息 |
Invalid packets |
DAE代理收到的长度或报文类型错误的DAE报文总数 |
Received |
DAE代理收到的各类型合法DAE报文总数,对于重发报文只统计一次 |
Duplicated |
DAE代理从DAE客户端接收的重复的DAE报文数,只有COA_REQ和DM_REQ报文才会有此统计值 |
CheckError |
DAE代理收到Authenticator字段校验失败的DAE报文数,只有COA_REQ和DM_REQ报文才会有此统计值 |
NASNotFound |
未查找到NAS(DAE服务器)的DAE报文数 |
Sent |
DAE代理向对端发送成功的DAE报文数 |
FailedToSend |
DAE代理向对端发送失败的DAE报文数 |
NoContext |
DAE代理从DAE服务器收到但查找不到上下文的DAE报文数 |
【相关命令】
· client
· listen-port
· server
listen-port命令用来配置DAE代理监听DAE客户端报文的UDP端口号。
undo listen-port命令用来恢复缺省情况。
【命令】
listen-port port-number
undo listen-port
【缺省情况】
DAE代理监听DAE客户端报文的UDP端口号为3799。
【视图】
DAE代理视图
【缺省用户角色】
network-admin
【参数】
port-number:DAE代理监听DAE客户端报文的UDP端口号,取值范围为1~65535。
【使用指导】
必须保证配置的DAE代理监听DAE客户端报文的UDP端口与DAE客户端发送DAE报文的目的UDP端口一致。
在DAE代理功能处于开启状态时更改此配置可能会造成部分DAE请求报文丢失,建议在没有DAE代理业务的情况下修改此值。
由于缺省情况下,设备作为DAE服务器和DAE代理时均使用UDP端口3799来监听DAE报文,因此,当设备上的DAE功能和DAE代理功能均开启时,请保证这两种功能配置了不同的监听端口,以避免DAE报文会被随机接收而处理不当。
【举例】
# 配置DAE代理监听DAE客户端报文的端口号为3798。
<Sysname> system-view
[Sysname] radius dynamic-author proxy
[Sysname-radius-da-proxy] listen-port 3798
【相关命令】
· radius dynamic-author proxy
radius dynamic-author proxy命令用来开启DAE代理功能,并进入DAE代理视图。
undo radius dynamic-author proxy命令用来关闭DAE代理功能。
【命令】
radius dynamic-author proxy
undo radius dynamic-author proxy
【缺省情况】
DAE代理功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启了DAE代理功能的设备将会在指定的UDP端口上监听DAE客户端的DAE请求报文,并开启一个临时端口向DAE服务器转发DAE请求报文。
关闭DAE代理功能的同时,DAE代理视图以及视图下的所有配置将被删除,相应的监听端口将被关闭,并且所有监听DAE响应报文的临时UDP端口也将被关闭。
【举例】
# 开启DAE代理功能,并进入DAE代理视图。
<Sysname> system-view
[Sysname] radius dynamic-author proxy
[Sysname-radius-da-proxy]
【相关命令】
· display radius dynamic-author
reset radius dynamic-author proxy statistics命令用来清除DAE代理的统计信息
【命令】
reset radius dynamic-author proxy statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【举例】
# 清除DAE代理的统计信息。
<Sysname> reset radius dynamic-author proxy statistics
【相关命令】
· display radius dynamic-author proxy
server命令用来配置DAE服务器。
undo server命令用来删除DAE服务器。
【命令】
server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置DAE服务器。
【视图】
DAE代理视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:DAE服务器IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:DAE服务器IPv6地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:DAE服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示DAE服务器位于公网中。
【使用指导】
设备使能DAE代理功能后,监听并处理DAE客户端发起的DAE请求报文(用于动态授权修改或断开连接),向配置的DAE服务器转发DAE请求报文,并接收DAE服务器的响应报文转发给相应的DAE客户端。
可通过多次执行本命令指定多个DAE服务器。
【举例】
# 配置DAE服务器IPv4地址为10.1.1.1。
<Sysname> system-view
[Sysname] radius dynamic-author proxy
[Sysname-radius-da-proxy] server ip 10.1.1.1
【相关命令】
· radius dynamic-author proxy
server port命令用来指定远端DAE服务器监听DAE报文的端口,即本端向DAE服务器发送DAE报文时的目的端口。
undo server port命令用来恢复缺省情况。
【命令】
server port dest-port
undo server port
【缺省情况】
DAE服务器监听DAE报文的端口为3799,本端向DAE服务器发送DAE报文的目的端口为3799。
【视图】
DAE代理视图
【缺省用户角色】
network-admin
【参数】
dest-port:向DAE服务器(通常为NAS设备)发送DAE请求报文时的目的端口号,取值范围为1~65535。
【使用指导】
设备作为DAE服务器端监听和接收DAE代理转发的DAE请求报文。DAE代理向DAE服务器发送DAE请求报文的目的端口必须和DAE服务器监听和接收DAE报文的端口(由RADIUS DAE服务器视图下的port命令设置)一致。
在DAE代理功能处于开启状态时更改此配置可能会造成部分DAE响应报文丢失,建议在没有DAE代理业务的情况下修改此值。
【举例】
# 配置向DAE服务器发送DAE报文时的目的端口为30000。
<Sysname> system-view
[Sysname] radius dynamic-author proxy
[Sysname-radius-da-proxy] server port 30000
【相关命令】
· port(BRAS业务命令参考/AAA)
· radius dynamic-author proxy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!