• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

12-安全命令参考

目录

18-DAE代理命令

本章节下载 18-DAE代理命令  (183.22 KB)

18-DAE代理命令


1 DAE代理

1.1  DAE代理配置命令

1.1.1  client

client命令用来配置DAE客户端,包括客户端IP地址以及用来认证该客户端的共享密钥。

undo client命令用来删除配置的DAE客户端。

【命令】

client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ key { cipher | simple } string ]

undo client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未配置DAE客户端。

【视图】

DAE代理视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address:DAE客户端IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address:DAE客户端IPv6地址,必须是单播地址,不能为环回地址与本地链路地址。

vpn-instance vpn-instance-name:DAE客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示DAE客户端位于公网中。

key:用于验证DAE客户端的共享密钥。该密钥需要与DAE客户端侧的配置保持一致。如果DAE客户端没有使用共享密钥,则此处也不需要指定共享密钥。

cipher:表示以密文方式设置密钥。

simple:表示以明文方式设置密钥,该密钥将以密文形式存储。

string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。

【使用指导】

使能了DAE代理功能的设备,只接收指定IP地址的DAE客户端发送的DAE请求报文。DAE代理将合法的DAE请求报文转发给相应的DAE服务器,并将来自DAE服务器的DAE响应报文转发给相应的DAE客户端。

DAE代理收到DAE请求报文后,根据报文的源IP地址和VPN实例查找配置的共享密钥,并使用该共享密钥对报文中的Authenticator字段进行校验,若密钥查找失败或者校验失败则丢弃该报文。

可通过多次执行本命令指定多个DAE客户端。

【举例】

# 配置DAE客户端:IP地址为192.168.0.1,属于VPN实例vpn1,共享密钥为明文123456。

<Sysname> system-view

[Sysname] radius dynamic-author proxy

[Sysname-radius-da-proxy] client ip 192.168.0.1 vpn-instance vpn1 key simple 123456

【相关命令】

·     display radius dynamic-author proxy

1.1.2  display radius dynamic-author proxy

display radius dynamic-author proxy命令用来显示DAE代理的相关信息,包括当前开启状态、配置信息和DAE报文的统计信息。

【命令】

display radius dynamic-author proxy

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示DAE代理的相关信息。

<Sysname> display radius dynamic-author proxy

Status: Enabled

Listening port: 2000

RADIUS DAE clients:

  IP address                                     VPN instance

  192.168.0.244                                  VPN1

  192:168::0:244                                 N/A

RADIUS DAE servers:

  IP address                                     VPN instance

  192.168.1.10                                   VPN1

  192:168::1:10                                  N/A

 

RADIUS DAE packet statistics (DAE proxy<--->DAE client):

  Invalid packets: 0

  PacketName   DM_REQ      DM_ACK     DM_NAK     COA_REQ    COA_ACK    COA_NAK

  Received     5           0          0          6          0          0

  Duplicated   1           0          0          0          0          0

  CheckError   0           0          0          0          0          0

  NASNotFound  0           0          0          0          0          0

  Sent         0           3          2          0          6          0

  FailedToSend 0           0          0          0          0          0

 

RADIUS DAE packet statistics (DAE proxy<--->DAE server):

  Invalid packets: 0

  PacketName   DM_REQ      DM_ACK     DM_NAK     COA_REQ    COA_ACK    COA_NAK

  Sent         10          0          0          12         0          0

  FailedToSend 0           0          0          0          0          0

  Received     0           8          2          0          12         0

  NoContext    0           0          0          0          0          0

表1-1 display radius dynamic-author proxy命令显示信息描述表

字段

描述

Status

DAE代理功能的开启状态

Listening port

DAE代理监听DAE请求报文的UDP端口号

RADIUS DAE clients

DAE客户端的IP地址列表和所属的VPN

RADIUS DAE servers

DAE服务器的IP地址列表和所属的VPN

IP address

DAE客户端或DAE服务器的IP地址

VPN instance

DAE客户端或DAE服务器所属的VPN

PacketName

DAE报文类型名称

·     DM_REQ:DM请求报文

·     COA_REQ:COA请求报文

·     DM_ACK:DM正确响应报文

·     DM_NAK:DM错误响应报文

·       COA_ACK:COA正确响应报文

·       COA_NAK:COA错误响应报文

RADIUS DAE packet statistics(DAE proxy <---> DAE client)

DAE代理和DAE客户端之间交互的DAE报文统计信息

RADIUS DAE packet statistics(DAE proxy <---> DAE server)

DAE代理和DAE服务器之间交互的DAE报文统计信息

Invalid packets

DAE代理收到的长度或报文类型错误的DAE报文总数

Received

DAE代理收到的各类型合法DAE报文总数,对于重发报文只统计一次

Duplicated

DAE代理从DAE客户端接收的重复的DAE报文数,只有COA_REQ和DM_REQ报文才会有此统计值

CheckError

DAE代理收到Authenticator字段校验失败的DAE报文数,只有COA_REQ和DM_REQ报文才会有此统计值

NASNotFound

未查找到NAS(DAE服务器)的DAE报文数

Sent

DAE代理向对端发送成功的DAE报文数

FailedToSend

DAE代理向对端发送失败的DAE报文数

NoContext

DAE代理从DAE服务器收到但查找不到上下文的DAE报文数

 

【相关命令】

·     client

·     listen-port

·     server

1.1.3  listen-port

listen-port命令用来配置DAE代理监听DAE客户端报文的UDP端口号。

undo listen-port命令用来恢复缺省情况。

【命令】

listen-port port-number

undo listen-port

【缺省情况】

DAE代理监听DAE客户端报文的UDP端口号为3799。

【视图】

DAE代理视图

【缺省用户角色】

network-admin

【参数】

port-number:DAE代理监听DAE客户端报文的UDP端口号,取值范围为1~65535。

【使用指导】

必须保证配置的DAE代理监听DAE客户端报文的UDP端口与DAE客户端发送DAE报文的目的UDP端口一致。

在DAE代理功能处于开启状态时更改此配置可能会造成部分DAE请求报文丢失,建议在没有DAE代理业务的情况下修改此值。

由于缺省情况下,设备作为DAE服务器和DAE代理时均使用UDP端口3799来监听DAE报文,因此,当设备上的DAE功能和DAE代理功能均开启时,请保证这两种功能配置了不同的监听端口,以避免DAE报文会被随机接收而处理不当。

【举例】

# 配置DAE代理监听DAE客户端报文的端口号为3798。

<Sysname> system-view

[Sysname] radius dynamic-author proxy

[Sysname-radius-da-proxy] listen-port 3798

【相关命令】

·     radius dynamic-author proxy

1.1.4  radius dynamic-author proxy

radius dynamic-author proxy命令用来开启DAE代理功能,并进入DAE代理视图。

undo radius dynamic-author proxy命令用来关闭DAE代理功能。

【命令】

radius dynamic-author proxy

undo radius dynamic-author proxy

【缺省情况】

DAE代理功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启了DAE代理功能的设备将会在指定的UDP端口上监听DAE客户端的DAE请求报文,并开启一个临时端口向DAE服务器转发DAE请求报文。

关闭DAE代理功能的同时,DAE代理视图以及视图下的所有配置将被删除,相应的监听端口将被关闭,并且所有监听DAE响应报文的临时UDP端口也将被关闭。

【举例】

# 开启DAE代理功能,并进入DAE代理视图。

<Sysname> system-view

[Sysname] radius dynamic-author proxy

[Sysname-radius-da-proxy]

【相关命令】

·     display radius dynamic-author

1.1.5  reset radius dynamic-author proxy statistics

reset radius dynamic-author proxy statistics命令用来清除DAE代理的统计信息

【命令】

reset radius dynamic-author proxy statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除DAE代理的统计信息。

<Sysname> reset radius dynamic-author proxy statistics

【相关命令】

·     display radius dynamic-author proxy

1.1.6  server

server命令用来配置DAE服务器。

undo server命令用来删除DAE服务器。

【命令】

server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

undo server { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未配置DAE服务器。

【视图】

DAE代理视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address:DAE服务器IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address:DAE服务器IPv6地址,必须是单播地址,不能为环回地址与本地链路地址。

vpn-instance vpn-instance-name:DAE服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示DAE服务器位于公网中。

【使用指导】

设备使能DAE代理功能后,监听并处理DAE客户端发起的DAE请求报文(用于动态授权修改或断开连接),向配置的DAE服务器转发DAE请求报文,并接收DAE服务器的响应报文转发给相应的DAE客户端。

可通过多次执行本命令指定多个DAE服务器。

【举例】

# 配置DAE服务器IPv4地址为10.1.1.1。

<Sysname> system-view

[Sysname] radius dynamic-author proxy

[Sysname-radius-da-proxy] server ip 10.1.1.1

【相关命令】

·     radius dynamic-author proxy

1.1.7  server port

server port命令用来指定远端DAE服务器监听DAE报文的端口,即本端向DAE服务器发送DAE报文时的目的端口。

undo server port命令用来恢复缺省情况。

【命令】

server port dest-port

undo server port

【缺省情况】

DAE服务器监听DAE报文的端口为3799,本端向DAE服务器发送DAE报文的目的端口为3799。

【视图】

DAE代理视图

【缺省用户角色】

network-admin

【参数】

dest-port:向DAE服务器(通常为NAS设备)发送DAE请求报文时的目的端口号,取值范围为1~65535。

【使用指导】

设备作为DAE服务器端监听和接收DAE代理转发的DAE请求报文。DAE代理向DAE服务器发送DAE请求报文的目的端口必须和DAE服务器监听和接收DAE报文的端口(由RADIUS DAE服务器视图下的port命令设置)一致。

在DAE代理功能处于开启状态时更改此配置可能会造成部分DAE响应报文丢失,建议在没有DAE代理业务的情况下修改此值。

【举例】

# 配置向DAE服务器发送DAE报文时的目的端口为30000。

<Sysname> system-view

[Sysname] radius dynamic-author proxy

[Sysname-radius-da-proxy] server port 30000

【相关命令】

·     port(BRAS业务命令参考/AAA)

·     radius dynamic-author proxy

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们