05-AAA命令
本章节下载: 05-AAA命令 (1.35 MB)
目 录
1.1.20 authentication lan-access
1.1.31 authorization lan-access
1.1.36 authorization-attribute (ISP domain view)
1.1.44 domain-delimiter search-direction
1.1.45 local-server log change-password-prompt
1.1.48 service-type (ISP domain view)
1.1.49 session-time include-idle-time
1.1.50 state (ISP domain view)
1.2.2 access-user email authentication
1.2.3 access-user email format
1.2.4 access-user email sender
1.2.5 access-user email smtp-server
1.2.6 authorization-attribute (Local user view/user group view)
1.2.10 display local-guest waiting-approval
1.2.18 local-guest auto-delete enable
1.2.19 local-guest email format
1.2.20 local-guest email sender
1.2.21 local-guest email smtp-server
1.2.23 local-guest manager-email
1.2.27 local-user-export class network
1.2.28 local-user-export class network guest
1.2.29 local-user-import class network
1.2.30 local-user-import class network guest
1.2.31 password (Device management user view)
1.2.32 password (Network access user view)
1.2.34 reset local-guest waiting-approval
1.2.35 service-type (Local user view)
1.2.39 state (Local user view)
1.3.5 attribute 17 old-password
1.3.8 attribute convert (RADIUS DAE server view)
1.3.9 attribute convert (RADIUS scheme view)
1.3.10 attribute reject (RADIUS DAE server view)
1.3.11 attribute reject (RADIUS scheme view)
1.3.12 attribute remanent-volume
1.3.14 attribute vendor-id 2011 version
1.3.16 data-flow-format (RADIUS scheme view)
1.3.18 display radius statistics
1.3.19 key (RADIUS scheme view)
1.3.20 nas-ip (RADIUS scheme view)
1.3.22 primary accounting (RADIUS scheme view)
1.3.23 primary authentication (RADIUS scheme view)
1.3.24 radius attribute extended
1.3.26 radius dynamic-author server
1.3.29 radius session-control client
1.3.30 radius session-control enable
1.3.32 radius-server test-profile
1.3.33 reset radius statistics
1.3.35 retry realtime-accounting
1.3.36 secondary accounting (RADIUS scheme view)
1.3.37 secondary authentication (RADIUS scheme view)
1.3.38 snmp-agent trap enable radius
1.3.41 timer quiet (RADIUS scheme view)
1.3.42 timer realtime-accounting (RADIUS scheme view)
1.3.43 timer response-timeout (RADIUS scheme view)
1.3.44 user-name-format (RADIUS scheme view)
1.3.45 vpn-instance (RADIUS scheme view)
1.4.1 data-flow-format (HWTACACS scheme view)
1.4.5 key (HWTACACS scheme view)
1.4.6 nas-ip (HWTACACS scheme view)
1.4.7 primary accounting (HWTACACS scheme view)
1.4.8 primary authentication (HWTACACS scheme view)
1.4.10 reset hwtacacs statistics
1.4.11 secondary accounting (HWTACACS scheme view)
1.4.12 secondary authentication (HWTACACS scheme view)
1.4.13 secondary authorization
1.4.14 server-block-action (HWTACACS scheme view)
1.4.15 timer quiet (HWTACACS scheme view)
1.4.16 timer realtime-accounting (HWTACACS scheme view)
1.4.17 timer response-timeout (HWTACACS scheme view)
1.4.18 user-name-format (HWTACACS scheme view)
仅AFC板卡不支持IPoE相关特性及命令行参数。
aaa nas-id profile命令用来创建NAS-ID Profile,并进入NAS-ID-Profile视图。如果指定的NAS-ID Profile已经存在,则直接进入NAS-ID-Profile视图。
undo aaa nas-id profile命令用来删除指定的NAS-ID Profile。
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【缺省情况】
不存在NAS-ID Profile。
系统视图
network-admin
context-admin
【参数】
profile-name:Profile名称,为1~31个字符的字符串,不区分大小写。
在某些应用环境中,网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来获知用户的接入位置,而用户的接入VLAN可标识用户的接入位置,因此接入设备上可通过建立用户接入VLAN与指定的NAS-ID之间的绑定关系来实现接入位置信息的映射。NAS-ID Profile用于保存NAS-ID和VLAN的绑定关系。这样,当用户上线时,设备会将与用户接入VLAN匹配的NAS-ID填充在RADIUS请求报文中的NAS-Identifier属性中发送给RADIUS服务器。
设备支持多种途径配置NAS-ID,按照获取优先级从高到低的顺序依次包括:NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、ISP域视图下的NAS-ID。若以上配置都不存在,则使用设备的名称作为NAS-ID。
# 创建一个名称为aaa的NAS-ID Profile,并进入NAS-ID-Profile视图。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【相关命令】
· nas-id
· nas-id bind vlan
· portal nas-id-profile(安全命令参考/Portal)
aaa session-id mode命令用来配置设备使用的Acct-Session-Id属性模式。
undo aaa session-id mode命令用来恢复缺省情况。
【命令】
aaa session-id mode { common | simplified }
undo aaa session-id mode
【缺省情况】
设备使用的Acct-Session-Id属性模式为普通模式。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
common:普通模式。该模式下,Acct-Session-Id属性的取值长度最小为38个字符,由前缀、日期时间、序列号、接入节点的LIP地址、设备ID以及进程的Job ID信息组成。
simplified:精简模式。该模式下,Acct-Session-Id属性的取值长度为16个字符,由前缀、月份值、序列号、设备ID以及接入节点的LIP地址信息组成。
【使用指导】
不同厂商的RADIUS服务器支持的Acct-Session-Id属性的格式可能有所不同,可通过本命令指定设备使用的Acct-Session-Id属性格式。
【举例】
# 配置设备使用的Acct-Session-Id属性模式为精简模式。
<Sysname> system-view
[Sysname] aaa session-id mode simplified
aaa session-limit命令用来配置同时在线的最大用户连接数,即采用指定登录方式登录设备并同时在线的用户数。
undo aaa session-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况。
【命令】
aaa session-limit { ftp | http | https | ssh | telnet } max-sessions
undo aaa session-limit { ftp | http | https | ssh | telnet }
【缺省情况】
同时在线的各类型最大用户连接数均为32。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ftp:表示FTP用户。
http:表示HTTP用户。
https:表示HTTPS用户。
ssh:表示SSH用户。
telnet:表示Telnet用户。
max-sessions:允许同时在线的最大用户连接数,SSH用户的取值范围为1~200,Telnet用户的取值范围为1~32,FTP/HTTP/HTTPS用户的取值范围为1~64。
【使用指导】
配置本命令后,当指定类型的接入用户的用户数超过当前配置的最大连接数后,新的接入请求将被拒绝。
【举例】
# 设置同时在线的最大FTP用户连接数为4。
<Sysname> system-view
[Sysname] aaa session-limit ftp 4
accounting advpn命令用来为ADVPN用户配置计费方法。
undo accounting advpn命令用来恢复缺省情况。
【命令】
accounting advpn { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting advpn
【缺省情况】
ADVPN用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为ADVPN用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting advpn local
# 在ISP域test下,配置ADVPN用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting advpn radius-scheme rd local
【相关命令】
· accounting default
· local-user
· radius scheme
accounting command命令用来配置命令行计费方法。
undo accounting command命令用来恢复缺省情况。
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【缺省情况】
命令行计费采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
命令行计费过程是指,用户执行过的合法命令会被发送给计费服务器进行记录。若未开启命令行授权功能,则计费服务器对用户执行过的所有合法命令进行记录;若开启了命令行授权功能,则计费服务器仅对授权通过的命令进行记录。
目前,仅支持使用远程HWTACACS服务器完成命令行计费功能。
【举例】
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【相关命令】
· accounting default
· command accounting(基础配置命令参考/登录设备)
· hwtacacs scheme
accounting default命令用来为当前ISP域配置缺省的计费方法。
undo accounting default命令用来恢复缺省情况。
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting default
【缺省情况】
当前ISP域的缺省计费方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
accounting ipoe命令用来为IPoE用户配置计费方法。
undo accounting ipoe命令用来恢复缺省情况。
【命令】
accounting ipoe { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting ipoe
【缺省情况】
IPoE用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
broadcast:指定广播RADIUS方案,即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。
radius-scheme radius-scheme-name1:表示主送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写;
radius-scheme radius-scheme-name2:表示抄送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
当指定broadcast关键字时,将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求,若某RADIUS方案里的主计费服务器不可达,则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时,表示用户计费成功;抄送计费方案的计费结果对用户无影响。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为IPoE用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ipoe local
# 在ISP域test下,配置IPoE用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ipoe radius-scheme rd local
# 在ISP域test下,配置IPoE用户使用RADIUS方案rd1和rd2进行广播计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ipoe broadcast radius-scheme rd1 radius-scheme rd2 local
【相关命令】
· accounting default
· local-user
· radius scheme
· timer realtime-accounting
accounting lan-access命令用来为lan-access用户配置计费方法。
undo accounting lan-access命令用来恢复缺省情况。
【命令】
accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting lan-access
【缺省情况】
lan-access用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
broadcast:指定广播RADIUS方案,即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。
radius-scheme radius-scheme-name1:表示主送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写;
radius-scheme radius-scheme-name2:表示抄送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
当指定broadcast关键字时,将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求,若某RADIUS方案里的主计费服务器不可达,则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时,表示用户计费成功;抄送计费方案的计费结果对用户无影响。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为lan-access用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd1和rd2进行广播计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access broadcast radius-scheme rd1 radius-scheme rd2 local
【相关命令】
· accounting default
· local-user
· radius scheme
· timer realtime-accounting
accounting login命令用来为login用户配置计费方法。
undo accounting login命令用来恢复缺省情况。
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting login
【缺省情况】
login用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
不支持对FTP、SFTP以及SCP类型的login用户进行计费。
可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【相关命令】
· accounting default
· hwtacacs scheme
· local-user
· radius scheme
accounting portal命令用来为Portal用户配置计费方法。
undo accounting portal命令用来恢复缺省情况。
【命令】
accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting portal
【缺省情况】
Portal用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
broadcast:指定广播RADIUS方案,即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。
radius-scheme radius-scheme-name1:表示主送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写;
radius-scheme radius-scheme-name2:表示抄送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
当指定broadcast关键字时,将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求,若某RADIUS方案里的主计费服务器不可达,则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时,表示用户计费成功;抄送计费方案的计费结果对用户无影响。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为Portal用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal radius-scheme rd local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd1和rd2进行广播计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting portal broadcast radius-scheme rd1 radius-scheme rd2 local
【相关命令】
· accounting default
· local-user
· radius scheme
· timer realtime-accounting
accounting ppp命令用来为PPP用户配置计费方法。
undo accounting ppp命令用来恢复缺省情况。
【命令】
accounting ppp { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] | hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo accounting ppp
【缺省情况】
PPP用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
broadcast:指定广播RADIUS方案,即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。
radius-scheme radius-scheme-name1:表示主送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写;
radius-scheme radius-scheme-name2:表示抄送计费RADIUS方案名,为1~32个字符的字符串,不区分大小写。
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
当指定broadcast关键字时,将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求,若某RADIUS方案里的主计费服务器不可达,则按照配置顺序依次尝试向RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时,表示用户计费成功;抄送计费方案的计费结果对用户无影响。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为PPP用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ppp local
# 在ISP域test下,配置PPP用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ppp radius-scheme rd local
# 在ISP域test下,配置PPP用户使用RADIUS方案rd1和rd2进行广播计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting ppp broadcast radius-scheme rd1 radius-scheme rd2 local
【相关命令】
· accounting default
· hwtacacs scheme
· local-user
· radius scheme
· timer realtime-accounting
accounting quota-out命令用来配置用户计费配额(流量或时长)耗尽策略。
undo accounting quota-out命令用来恢复缺省情况。
【命令】
accounting quota-out { offline | online }
undo accounting quota-out
【缺省情况】
用户的计费配额耗尽后将被强制下线。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
offline:当用户的整体配额耗尽后,强制用户下线。
online:当用户的整体配额耗尽后,允许用户保持在线状态。
【举例】
# 在ISP域test下,配置用户计费配额耗尽策略为:当配额耗尽后用户仍能保持在线状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting quota-out online
accounting sslvpn命令用来为SSL VPN用户配置计费方法。
undo accounting sslvpn命令用来恢复缺省情况。
【命令】
accounting sslvpn { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo accounting sslvpn
【缺省情况】
SSL VPN用户采用当前ISP域的缺省计费方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的计费方法,在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS计费,若RADIUS计费无效则进行本地计费,若本地计费也无效则不进行计费。
当采用本地计费方法为主计费方法,且配置了备选计费方法时,仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下,用户本地计费失败后才会尝试使用备选方法进行认证,其它情况下不会转换计费方法,直接认为计费失败。
【举例】
# 在ISP域test下,为SSL VPN用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting sslvpn local
# 在ISP域test下,配置SSL VPN用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting sslvpn radius-scheme rd local
【相关命令】
· accounting default
· local-user
· radius scheme
accounting start-fail命令用来配置用户计费开始失败策略,即设备向计费服务器发送计费开始请求失败后,是否允许用户接入网络。
undo accounting start-fail命令用来恢复缺省情况。
【命令】
accounting start-fail { offline | online }
undo accounting start-fail
【缺省情况】
如果用户计费开始失败,允许用户保持在线状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
offline:强制用户下线。
online:允许用户保持在线状态。
【举例】
# 在ISP域test下,配置计费开始失败策略为:用户计费开始失败时允许用户保持在线状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting start-fail online
accounting update-fail命令用来配置用户计费更新失败策略,即设备向计费服务器发送用户的计费更新报文失败时,是否允许用户接入网络。
undo accounting update-fail命令用来恢复缺省情况。
【命令】
accounting update-fail { [ max-times max-times ] offline | online }
undo accounting update-fail
【缺省情况】
如果用户计费更新失败,允许用户保持在线状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-times max-times:允许用户连续计费更新失败的次数,取值范围1~255,缺省值为1。
offline:如果用户连续计费更新失败的次数达到了指定的次数,则强制用户下线。
online:如果用户计费更新失败,允许用户保持在线状态。
【举例】
# 在ISP域test下,配置计费更新失败策略为:用户计费更新失败时允许用户保持在线状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting update-fail online
authentication advpn命令用来为ADVPN用户配置认证方法。
undo authentication advpn命令用来恢复缺省情况。
【命令】
authentication advpn { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication advpn
【缺省情况】
ADVPN用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为ADVPN用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication advpn local
# 在ISP域test下,配置ADVPN用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication advpn radius-scheme rd local
【相关命令】
· authentication default
· local-user
· radius scheme
authentication default命令用来为当前ISP域配置缺省的认证方法。
undo authentication default命令用来为恢复缺省情况。
【命令】
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication default
【缺省情况】
当前ISP域的缺省认证方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的认证方法,则该认证方法对于这类用户不能生效。
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,配置缺省认证方法为使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication ike命令用来为IKE扩展认证配置认证方法。
undo authentication ike命令用来恢复缺省情况。
【命令】
authentication ike { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication ike
【缺省情况】
IKE扩展认证采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地认证。
none:不认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为IKE扩展认证配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ike local
# 在ISP域test下,配置IKE扩展认证使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ike radius-scheme rd local
【相关命令】
· authentication default
· local-user
· radius scheme
authentication ipoe命令用来为IPoE用户配置认证方法。
undo authentication ipoe命令用来恢复缺省情况。
【命令】
authentication ipoe { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication ipoe
【缺省情况】
IPoE用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地认证。
none:不认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为IPoE用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ipoe local
# 在ISP域test下,配置IPoE用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ipoe radius-scheme rd local
【相关命令】
· authentication default
· local-user
· radius scheme
authentication lan-access命令用来为lan-access用户配置认证方法。
undo authentication lan-access命令用来恢复缺省情况。
【命令】
authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication lan-access
【缺省情况】
lan-access用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为lan-access用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication lan-access radius-scheme rd local
【相关命令】
· authentication default
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication login命令用来为login用户配置认证方法。
undo authentication login命令用来恢复缺省情况。
【命令】
authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication login
【缺省情况】
login用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为login用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication login radius-scheme rd local
【相关命令】
· authentication default
· hwtacacs scheme
· ldap scheme
· local-user
· radius scheme
authentication portal命令用来为Portal用户配置认证方法。
undo authentication portal命令用来恢复缺省情况。
【命令】
authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication portal
【缺省情况】
Portal用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为Portal用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication portal radius-scheme rd local
【相关命令】
· authentication default
· ldap scheme
· local-user
· radius scheme
authentication ppp命令用来为PPP用户配置认证方法。
undo authentication ppp命令用来恢复缺省情况。
【命令】
authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authentication ppp
【缺省情况】
PPP用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为PPP用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ppp local
# 在ISP域test下,配置PPP用户使用RADIUS方案rd进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication ppp radius-scheme rd local
【相关命令】
· authentication default
· hwtacacs scheme
· local-user
· radius scheme
authentication sslvpn命令用来为SSL VPN用户配置认证方法。
undo authentication sslvpn命令用来恢复缺省情况。
【命令】
authentication sslvpn { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authentication sslvpn
【缺省情况】
SSL VPN用户采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中,ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地认证。
none:不进行认证。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的认证方法,在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS认证,若RADIUS认证无效则进行本地认证,若本地认证也无效则不进行认证。
当采用本地认证方案为主认证方法,且配置了备选认证方法时,仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下,用户本地认证失败后才会尝试使用备选方法进行认证,其它情况下不会转换认证方法,直接认为认证失败。
【举例】
# 在ISP域test下,为SSL VPN用户配置认证方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication sslvpn local
# 在ISP域test下,配置SSL VPN用户使用LDAP方案ldp进行认证,并且使用local作为备选认证方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authentication sslvpn ldap-scheme ldp local
【相关命令】
· authentication default
· ldap scheme
· local-user
· radius scheme
authentication super命令用来配置用户角色切换认证方法。
undo authentication super命令用来恢复缺省情况。
【命令】
authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *
undo authentication super
【缺省情况】
用户角色切换认证采用当前ISP域的缺省认证方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色,改变用户所拥有的命令行权限。为了保证切换操作的安全性,需要在用户执行用户角色切换时进行身份认证。设备支持本地和远程两种认证方式,关于用户角色切换的详细介绍请参见“基础配置指导”中的“RBAC”。
可以指定一个备选的认证方法,在当前的认证方法无效时尝试使用备选的方法完成认证。
【举例】
# 在ISP域test下,配置使用HWTACACS方案tac进行用户角色切换认证。
<Sysname> system-view
[Sysname] super authentication-mode scheme
[Sysname] domain test
[Sysname-isp-test] authentication super hwtacacs-scheme tac
【相关命令】
· authentication default
· hwtacacs scheme
· radius scheme
authorization advpn命令用来为ADVPN用户配置授权方法。
undo authorization advpn命令用来恢复缺省情况。
【命令】
authorization advpn { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization advpn
【缺省情况】
ADVPN用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为ADVPN用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization advpn local
# 在ISP域test下,配置ADVPN用户使用RADIUS方案rd进行计费,并且使用local作为备选计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization advpn radius-scheme rd local
【相关命令】
· authorization default
· local-user
· radius scheme
authorization command命令用来配置命令行授权方法。
undo authorization command命令用来恢复缺省情况。
【命令】
authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }
undo authorization command
【缺省情况】
命令行授权采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。用户执行角色所允许的命令时,无须接受授权服务器的检查。
【使用指导】
命令行授权是指,用户执行的每一条命令都需要接受授权服务器的检查,只有授权成功的命令才被允许执行。用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制,即,仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行,才能被执行。需要注意的是,命令行授权功能只利用角色中的权限规则对命令行执行权限检查,不进行其它方面的权限检查,例如资源控制策略等。
对用户采用本地命令行授权时,设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查,只有本地用户中配置的授权用户角色所允许的命令才被允许执行。
可以指定多个备选的命令行授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如,hwtacacs-scheme hwtacacs-scheme-name local none表示,先进行HWTACACS授权,若HWTACACS授权无效则进行本地授权,若本地授权也无效则不进行授权。
【举例】
# 在ISP域test下,配置命令行授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command local
# 在ISP域test下,配置使用HWTACACS方案hwtac进行命令行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local
【相关命令】
· command authorization(基础配置命令参考/登录设备)
· hwtacacs scheme
· local-user
authorization default命令用来为当前ISP域配置缺省的授权方法。
undo authorization default命令用来恢复缺省情况。
【命令】
authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization default
【缺省情况】
当前ISP域的缺省授权方法为local。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限;认证通过的非Login用户可直接访问网络。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的授权方法,则该授权方法对于这类用户不能生效。
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,配置缺省授权方法为使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization default radius-scheme rd local
【相关命令】
· hwtacacs scheme
· local-user
· radius scheme
authorization ike命令用来为IKE扩展认证配置授权方法。
undo authorization ike命令用来恢复缺省情况。
【命令】
authorization ike { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization ike
【缺省情况】
IKE扩展认证采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地授权。
none:不授权。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为IKE扩展认证配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ike local
【相关命令】
· authorization default
· local-user
authorization ipoe命令用来为IPoE用户配置授权方法。
undo authorization ipoe命令用来恢复缺省情况。
【命令】
authorization ipoe { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization ipoe
【缺省情况】
IPoE用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地授权。
none:不授权。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为IPoE用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ipoe local
# 在ISP域test下,配置IPoE用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ipoe radius-scheme rd local
【相关命令】
· authorization default
· local-user
· radius scheme
authorization lan-access命令用来为lan-access用户配置授权方法。
undo authorization lan-access命令用来恢复缺省情况。
【命令】
authorization lan-access { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization lan-access
【缺省情况】
lan-access用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的lan-access用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为lan-access用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization lan-access radius-scheme rd local
【相关命令】
· authorization default
· local-user
· radius scheme
authorization login命令用来为login用户配置授权方法。
undo authorization login命令用来恢复缺省情况。
【命令】
authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization login
【缺省情况】
login用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时,认证通过的Login用户(通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户)只有系统给予的缺省用户角色level-0,其中FTP/SFTP/SCP用户的工作目录是设备的根目录,但并无访问权限。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为login用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization login radius-scheme rd local
【相关命令】
· authorization default
· hwtacacs scheme
· local-user
· radius scheme
authorization portal命令用来为Portal用户配置授权方法。
undo authorization portal命令用来恢复缺省情况。
【命令】
authorization portal { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization portal
【缺省情况】
Portal用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的Portal用户可直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为Portal用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization portal local
# 在ISP域test下,配置Portal用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization portal radius-scheme rd local
【相关命令】
· authorization default
· local-user
· radius scheme
authorization ppp命令用来为PPP用户配置授权方法。
undo authorization ppp命令用来恢复缺省情况。
【命令】
authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }
undo authorization ppp
【缺省情况】
PPP用户采用当前ISP域的缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为PPP用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ppp local
# 在ISP域test下,配置PPP用户使用RADIUS方案rd进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization ppp radius-scheme rd local
【相关命令】
· authorization default
· hwtacacs scheme
· local-user
· radius scheme
authorization sslvpn命令用来为SSL VPN用户配置授权方法。
undo authorization sslvpn命令用来恢复缺省情况。
【命令】
authorization sslvpn { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }
undo authorization sslvpn
【缺省情况】
SSL VPN用户采用当前ISP域缺省授权方法。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-scheme ldap-scheme-name:指定LDAP方案。其中,ldap-scheme-name表示LDAP方案名,为1~32个字符的字符串,不区分大小写。
local:本地授权。
none:不授权。接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的SSL VPN用户可以直接访问网络。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在一个ISP域中,只有配置的认证和授权方法中引用了相同的RADIUS方案时,RADIUS授权过程才能生效。
可以指定多个备选的授权方法,在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如,radius-scheme radius-scheme-name local none表示,先进行RADIUS授权,若RADIUS授权无效则进行本地授权,若本地授权也无效则不进行授权。
当采用本地授权方案为主授权方法,且配置了备选授权方法时,仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下,用户本地授权失败后才会尝试使用备选方法进行授权,其它情况下不会转换授权方法,直接认为授权失败。
【举例】
# 在ISP域test下,为SSL VPN用户配置授权方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization sslvpn local
# 在ISP域test下,配置SSL VPN用户使用LDAP方案ldp进行授权,并且使用local作为备选授权方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization sslvpn ldap-scheme ldp local
【相关命令】
· authorization default
· ldap scheme
· local-user
· radius scheme
authorization-attribute命令用来设置当前ISP域下的用户授权属性。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { acl acl-number | car inbound cir committed-information-rate [ pir peak-information-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] | idle-cut minutes [ flow ] | igmp max-access-number max-access-number | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | mld max-access-number max-access-number | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | url url-string | user-group user-group-name | vpn-instance vpn-instance-name }
undo authorization-attribute { acl | car | idle-cut | igmp | ip-pool | ipv6-pool | ipv6-prefix | mld | primary-dns | secondary-dns | session-timeout | url | user-group | vpn-instance }
【缺省情况】
当前ISP域下的用户闲置切换功能处于关闭状态,IPv4用户可以同时点播的最大节目数为4,IPv6用户可以同时点播的最大节目数为4,无其它授权属性。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl acl-number:指定用于匹配用户流量的ACL。其中acl-number表示ACL编号,取值范围2000~5999。此属性只对Portal、lan-access用户生效。与授权ACL规则匹配的流量,将按照规则中指定的permit或deny动作进行处理。授权用户自定义ACL(取值范围为5000~5999)的生效情况与设备的型号有关,请以设备的实际情况为准。
car:指定授权用户的流量监管动作。Portal用户在认证前,若被授权认证域,则其流量将受到指定的流量监管动作控制。此属性只对PPP、Portal、IPoE用户生效。
inbound:表示用户的上传速率。
outbound:表示用户的下载速率。
cir committed-information-rate:承诺信息速率,取值范围为1~4194303,单位为kbps。
pir peak-information-rate:峰值信息速率,取值范围为1~4194303,单位为kbps,且不能小于承诺信息速率。若不指定该参数,则表示不对峰值信息速率进行限制。
idle-cut minutes:指定用户的闲置切断时间。其中,minutes的取值范围为1~600,单位为分钟。此属性只对PPP、Portal、IPoE用户生效。
flow:用户在闲置切断时间内产生的数据流量,取值范围1~10240000,单位为字节,缺省值为10240。
igmp max-access-number max-access-number:指定IPv4用户可以同时点播的最大节目数。其中,max-access-number的取值范围为1~64。此属性只对PPP、Portal用户生效。
ip-pool ipv4-pool-name:指定为用户分配IPv4地址的地址池。其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。此属性只对PPP、Portal、IKE、IPoE用户生效。
ipv6-pool ipv6-pool-name:指定为用户分配IPv6地址的地址池。其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。此属性只对PPP、Portal、IPoE用户生效。
ipv6-prefix ipv6-prefix prefix-length:指定为用户分配的IPv6前缀。其中,ipv6-prefix prefix-length为前缀地址和前缀长度,前缀长度取值范围是1~128。此属性只对PPP、IPoE用户生效。
mld max-access-number max-access-number:指定IPv6用户可以同时点播的最大节目数。其中,max-access-number的取值范围为1~64。此属性只对PPP、Portal、IPoE用户生效。
primary-dns ip ipv4-address:指定用户的主DNS服务器IPv4地址。此属性只对PPP、IPoE用户生效。
primary-dns ipv6 ipv6-address:指定用户的主DNS服务器IPv6地址。此属性只对PPP、IPoE用户生效。
secondary-dns ip ipv4-address:指定用户的从DNS服务器IPv4地址。此属性只对PPP、IPoE用户生效。
secondary-dns ipv6 ipv6-address:指定用户的从DNS服务器IPv6地址。此属性只对PPP、IPoE用户生效。
session-timeout minutes:指定用户的会话超时时间。其中,minutes为设定的会话超时时间,取值范围为1~4294967295,单位为分钟。如果用户在线时长超过该值,设备会强制该用户下线。此属性只对PPP、Portal、IPoE、lan-access用户生效。
url url-string:指定用户的重定向URL,为1~255个字符的字符串,区分大小写。用户认证成功后,首次访问网络时将被推送此URL提供的Web页面。此属性只对PPP用户生效。
user-group user-group-name:表示用户所属用户组。其中,user-group-name表示用户组名,为1~32个字符的字符串,不区分大小写。用户认证成功后,将继承该用户组中的所有属性。
vpn-instance vpn-instance-name:指定用户所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。用户认证成功后,将被授权允许访问指定VPN中的网络资源。此属性只对PPP、IPoE用户生效。
【使用指导】
用户上线后,设备会周期性检测用户的流量,若域内某用户在指定的闲置检测时间内产生的流量小于本命令中指定的数据流量,则会被强制下线。需要注意的是,服务器上也可以配置最大空闲时间实现对用户的闲置切断功能,具体为当用户在指定的闲置检测时间内产生的流量小于10240个字节(服务器上该阈值为固定值,不可配置)时,会被强制下线。但是,只有在设备上的闲置切断功能处于关闭状态时,服务器才会根据自身的配置来控制用户的闲置切断。
如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)未对该ISP域下发授权属性,则系统使用当前ISP下指定的授权属性为用户授权。
需要注意的是,可通过多次执行本命令配置多个授权属性,但对于相同授权属性,最后一次执行的命令生效。
授权给Portal用户的ACL中不能配置携带用户源IP地址和源MAC地址信息的规则,否则会导致用户上线失败。
【举例】
# 设置ISP域test的用户授权组为abc。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] authorization-attribute user-group abc
【相关命令】
· display domain
basic-service-ip-type命令用来设置L2TP用户主业务依赖的IP地址类型。当配置主业务依赖于某IP地址类型时,如果该类型的IP地址分配失败,则不允许用户上线。
undo basic-service-ip-type命令用来恢复缺省情况。
【命令】
basic-service-ip-type { ipv4 | ipv6 | ipv6-pd } *
undo basic-service-ip-type
【缺省情况】
L2TP用户主业务不依赖于任何IP地址类型。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4:IPv4地址类型。
ipv6:IPv6地址类型。
ipv6-pd:IPv6 PD(Prefix Delegation,前缀授权)类型。该类型的用户通过DHCPv6服务器为其分配的前缀信息生成IPv6地址。
【使用指导】
该特性仅在设备作为L2TP LNS时有效,且仅对L2TP用户生效。
缺省情况下,如果用户上线后没有获取到IP地址,设备将会强制其下线。
当用户可能请求多种IP地址类型的业务,且并非所有IP类型的业务均为其主业务时,为了保证非主业务的IP地址获取失败的情况下用户也能够上线,则需要通过本特性来满足该需求。
当配置主业务依赖于某IP类型时,如果该IP类型的地址分配失败,则不允许用户上线。例如,在某ISP下配置basic-service-ip-type ipv6后,则不允许该域中IPv6地址分配失败的用户上线。
如果同时指定了ipv6和ipv6-pd,则表示不允许该域中IPv6地址协商失败或者PD协商失败的用户上线。
【举例】
# 在ISP域test下,设置L2TP用户主业务依赖的IP地址类型为IPv4。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] basic-service-ip-type ipv4
dhcpv6-follow-ipv6cp命令用来设置L2TP用户等待分配IPv6地址的最大时长。
undo dhcpv6-follow-ipv6cp命令用来恢复缺省情况。
【命令】
dhcpv6-follow-ipv6cp timeout delay-time
undo dhcpv6-follow-ipv6cp
【缺省情况】
L2TP用户等待分配IPv6地址的最大时长为60秒。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
timeout delay-time:最大等待时长,取值范围为30~120,单位为秒。
【使用指导】
该特性仅在设备作为L2TP LNS时有效,且仅对L2TP用户生效。
PPPoE/L2TP用户与设备完成IPv6CP协商之后,如果在一定的时长内未能成功分配到主业务依赖类型的IPv6地址/PD,则被强制下线,否则使用分配到的IP地址上线。
在设备与某ISP域的用户连接所在的网络质量比较差,使用DHCPv6为用户分配IPv6地址,或者该域接入的用户数量比较大时,可以适当增加此等待时长避免用户因为地址分配失败而下线。
【举例】
# 在ISP域test下,设置L2TP用户等待分配IPv6地址的最大时长为90秒。
<Sysname> syste-view
[Sysname] domain test
[Sysname-isp-test] dhcpv6-follow-ipv6cp timeout 90
【相关命令】
· basic-service-ip-type
display domain命令用来显示所有或指定ISP域的配置信息。
【命令】
display domain [ isp-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写。如果不指定该参数,则表示所有ISP域。
【举例】
# 显示系统中所有ISP域的配置信息。
<Sysname> display domain
Total 2 domains
Domain: system
State: Active
Default authentication scheme: Local
Default authorization scheme: Local
Default accounting scheme: Local
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Exclude idle time
NAS-ID: N/A
DHCPv6-follow-IPv6CP timeout: 60 seconds
Authorization attributes:
Idle cut: Disabled
Session timeout: Disabled
IGMP access limit: 4
MLD access limit: 4
Domain: dm
State: Active
Login authentication scheme: RADIUS=rad
Login authorization scheme: HWTACACS=hw
Super authentication scheme: RADIUS=rad
Command authorization scheme: HWTACACS=hw
PPP accounting scheme: RADIUS=r1, (RADIUS=r2), HWTACACS=tc, Local
Portal authentication scheme: LDAP=ldp
SSL VPN authentication scheme: LDAP=ldp, Local, None
SSL VPN authorization scheme: LDAP=ldp, Local
SSL VPN accounting scheme: None
Default authentication scheme: RADIUS=rad, Local, None
Default authorization scheme: Local
Default accounting scheme: None
Accounting start failure action: Online
Accounting update failure action: Online
Accounting quota out action: Offline
Service type: HSI
Session time: Include idle time
User address type: ipv4
NAS-ID: test
User basic service IP type: IPv4
DHCPv6-follow-IPv6CP timeout: 44 seconds
Authorization attributes:
Idle cut : Enabled
Idle timeout: 2 minutes
Flow: 10240 bytes
Session timeout: 34 minutes
IP pool: appy
Inbound CAR: CIR 64000 bps PIR 640000 bps
Outbound CAR: CIR 64000 bps PIR 640000 bps
ACL number: 3000
User group: ugg
IPv6 prefix: 1::1/34
IPv6 pool: ipv6pool
Primary DNS server: 6.6.6.6
Secondary DNS server: 3.6.2.3
URL: http://test
VPN instance: vpn1
IGMP access limit: 4
MLD access limit: 4
Default domain name: system
表1-1 display domain命令显示信息描述表
字段 |
描述 |
Total 2 domains |
总计2个ISP域 |
Domain |
ISP域名 |
State |
ISP域的状态 |
Default authentication scheme |
缺省的认证方案 |
Default authorization scheme |
缺省的授权方案 |
Default accounting scheme |
缺省的计费方案 |
ADVPN authentication scheme |
ADVPN用户认证方案 |
ADVPN authorization scheme |
ADVPN用户授权方案 |
ADVPN accounting scheme |
ADVPN用户计费方案 |
Login authentication scheme |
Login用户认证方案 |
Login authorization scheme |
Login用户授权方案 |
Login accounting scheme |
Login用户计费方案 |
Super authentication scheme |
用户角色切换认证方案 |
PPP authentication scheme |
PPP用户的认证方案 |
PPP authorization scheme |
PPP用户的授权方案 |
PPP accounting scheme |
PPP用户的计费方案 |
Command authorization scheme |
命令行授权方案 |
Command accounting scheme |
命令行计费方案 |
LAN access authentication scheme |
lan-access用户认证方案 |
LAN access authorization scheme |
lan-access用户授权方案 |
LAN access accounting scheme |
lan-access用户计费方案 |
Portal authentication scheme |
Portal用户认证方案 |
Portal authorization scheme |
Portal用户授权方案 |
Portal accounting scheme |
Portal用户计费方案 |
IKE authentication scheme |
IKE扩展认证方案 |
IKE authorization scheme |
IKE扩展认证的授权方案 |
IPoE authentication scheme |
IPoE用户认证方案 |
IPoE authorization scheme |
IPoE用户授权方案 |
IPoE accounting scheme |
IPoE用户计费方案 |
SSL VPN authentication scheme |
SSL VPN用户认证方案 |
SSL VPN authorization scheme |
SSL VPN用户授权方案 |
SSL VPN accounting scheme |
SSL VPN用户计费方案 |
RADIUS |
RADIUS方案 |
HWTACACS |
HWTACACS方案 |
LDAP |
LDAP方案 |
Local |
本地方案 |
None |
不认证、不授权和不计费 |
Accounting start failure action |
用户计费开始失败的动作,包括以下取值: · Online:如果用户计费开始失败,则保持用户在线 · Offline:如果用户计费开始失败,则强制用户下线 |
Accounting update failure max-times |
允许用户连续计费更新失败的次数 |
Accounting update failure action |
用户计费更新失败的动作,包括以下取值: · Online:如果用户计费更新失败,则保持用户在线 · Offline:如果用户计费更新失败,则强制用户下线 |
Accounting quota out action |
用户计费配额耗尽策略,包括以下取值: · Online:如果用户计费配额耗尽,则保持用户在线 · Offline:如果用户计费配额耗尽,则强制用户下线 |
Service type |
ISP域的业务类型,取值为HSI,STB和VoIP |
Session time |
当用户异常下线时,设备上传到服务器的用户在线时间情况: · Include idle time:保留用户闲置切断时间 · Exclude idle time:扣除用户闲置切断时间 |
User address type |
用户地址类型 |
NAS-ID |
设备的NAS-ID 若未配置,则显示为N/A |
User basic service IP type |
PPPoE/L2TP用户主业务依赖的IP地址类型,包括以下取值: · IPv4:IPv4地址类型 · IPv6:IPv6地址类型 · IPv6-PD:IPv6 PD(Prefix Delegation,前缀授权)类型 |
DHCPv6-follow-IPv6CP timeout |
PPPoE/L2TP用户等待分配IPv6/PD地址的最大时长,单位为秒 |
Authorization attributes |
ISP的用户授权属性 |
Idle cut |
用户闲置切断功能,包括以下取值: · Enabled:处于开启状态,表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时,会被强制下线 · Disabled:处于关闭状态,表示不对用户进行闲置切断控制,它为缺省状态 |
Idle timeout |
用户闲置切断时间(单位为分钟) |
Flow |
用户数据流量阈值(单位为字节) |
Session timeout |
用户的会话超时时间(单位为分钟) |
IP pool |
授权IPv4地址池的名称 |
Inbound CAR |
授权的入方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps) |
Outbound CAR |
授权的出方向CAR(CIR:承诺信息速率,单位为bps;PIR:峰值信息速率,单位为bps) |
ACL number |
授权ACL编号 |
User group |
授权User group的名称 |
IPv6 prefix |
授权IPv6前缀 |
IPv6 pool |
授权IPv6地址池的名称 |
Primary DNS server |
授权主DNS服务器IPv4地址 |
Secondary DNS server |
授权从DNS服务器IPv4地址 |
Primary DNSV6 server |
授权主DNS服务器IPv6地址 |
Secondary DNSV6 server |
授权从DNS服务器IPv6地址 |
URL |
授权重定向URL |
VPN instance |
授权VPN实例名称 |
IGMP access limit |
授权IPv4用户可以同时点播的最大节目数 |
MLD access limit |
授权IPv6用户可以同时点播的最大节目数 |
Default domain name |
缺省ISP域名 |
domain命令用来创建ISP域,并进入ISP域视图。如果指定的ISP域已经存在,则直接进入ISP域视图。
undo domain命令用来删除指定的ISP域。
【命令】
domain isp-name
undo domain isp-name
【缺省情况】
存在一个ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
所有的ISP域在创建后即处于active状态。
不能删除系统中预定义的ISP域system,只能修改该域的配置。
不能删除作为系统缺省ISP域的ISP域。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
建议设备上配置的ISP域名尽量短,避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度。
【举例】
# 创建一个名称为test的ISP域,并进入其视图。
<Sysname> system-view
[Sysname] domain test
【相关命令】
· display domain
· domain default enable
· domain if-unknown
· state (ISP domain view)
domain default enable命令用来配置系统缺省的ISP域,所有在登录时没有提供ISP域名的用户都属于这个域。
undo domain default enable命令用来恢复缺省情况。
【命令】
domain default enable isp-name
undo domain default enable
【缺省情况】
存在一个系统缺省的ISP域,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
isp-name:ISP域名,为1~255个字符的字符串,不区分大小写,且必须已经存在。
【使用指导】
系统中只能存在一个缺省的ISP域。
配置为缺省的ISP域不能被删除。如需删除一个系统缺省ISP域,请先使用undo domain default enable命令将其恢复为非缺省的ISP域。
【举例】
# 创建一个新的ISP域test,并设置为系统缺省的ISP域。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] quit
[Sysname] domain default enable test
【相关命令】
· display domain
· domain
domain if-unknown命令用来为未知域名的用户指定ISP域。
undo domain if-unknown命令用来恢复缺省情况。
【命令】
domain if-unknown isp-name
undo domain if-unknown
【缺省情况】
没有为未知域名的用户指定ISP域。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
isp-name:ISP域名。为1~255个字符的字符串,不区分大小写,不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符,且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。
【使用指导】
设备将按照如下先后顺序选择认证域:接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中,仅部分接入模块支持指定认证域。
如果根据以上原则决定的认证域在设备上不存在,但设备上为未知域名的用户指定了ISP域,则最终使用该指定的ISP域认证,否则,用户将无法认证。
【举例】
# 为未知域名的用户指定ISP域为test。
<Sysname> system-view
[Sysname] domain if-unknown test
【相关命令】
· display domain
domain-delimiter命令用来配置全局域名分隔符。
undo domain-delimiter命令用来恢复缺省情况。
【命令】
domain-delimiter [ advpn | ike | ipoe | lanaccess | login | portal | ppp | sslvpn | super] string
undo domain-delimiter [ advpn | ike | ipoe | lanaccess | login | portal | ppp | sslvpn | super]
【缺省情况】
全局域名分隔符为“@”、“/”和“\”。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
advpn:ADVPN隧道用户。
ike:IKE扩展认证用户。
ipoe:IPoE用户。
lanaccess:lan-access类型用户。
login:登录设备的用户。
portal:Portal用户。
ppp:PPP用户。
ssh:SSH用户。
sslvpn:SSL VPN用户。
super:用户角色切换认证用户。
string:多个域名分隔符组成的1~16个字符的字符串,只能包括字符“@”、“.”、“/”或“\”。若要指定域名分隔符“\”,则必须在输入时使用转义操作符“\”,即输入\\。
【使用指导】
域名分隔符是用于分隔用户名和域名的符号。配置域名分隔符,是为了便于设备准确解析用户名和域名。不同的域名分隔符,对应不同的用户名格式:
· “@”:username@domain-name
· “\”:domain-name\username
· “/”:username/domain-name
· “.”:username.domain-name
如果用户名中包含有多个域名分隔符字符,则设备将根据domain-delimiter search-from命令指定的查询顺序选择实际使用的域名分隔符。
若不指定任何参数,则表示对所有接入用户配置全局域名分隔符。
若接入模块指定了域名分隔符,则对该接入类型的用户使用接入模块配置的域名分隔符,不使用全局域名分隔符。
修改全局域名分隔符对已在线用户没有影响,仅对新上线用户生效。
【举例】
# 为login用户配置全局域名分隔符为“@”和“/”。
<Sysname> system-view
[Sysname] domain-delimiter login @/
【相关命令】
· domain-delimiter search-from
domain-delimiter search-direction命令用来配置域名分隔符的查询方向。
undo domain-delimiter search-direction命令用来恢复缺省情况。
【命令】
domain-delimiter search-direction { backward | forward }
undo domain-delimiter search-direction
【缺省情况】
域名分隔符查询方向为从右向左。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
backward:表示从右向左搜索域名分隔符。
forward:表示从左向右搜索域名分隔符。
【使用指导】
设备能够准确解析用户名和域名对于为用户提供认证服务非常重要。如果用户名中包含有多个域名分隔符字符,则设备将根据domain-delimiter search-from命令指定的查询顺序选择首个匹配的域名分隔符作为实际使用的域名分隔符。比如,用户名为1234@456@789,域名分隔符为@,如果从左向右进行查询,则1234为用户名,456@789为域名;如果从右向左查询,则1234@456用户名,789为域名。
本命令可适用于全局域名分隔符(由domain-delimiter命令指定)以及接入模块配置的域名分隔符。
多次执行本命令,最后一次执行的命令生效。
修改域名分隔符的查询方向对已在线用户没有影响,仅对新上线用户生效。
【举例】
# 配置域名分隔符的查询方向为从左到右。
<Sysname> system-view
[Sysname] domain-delimiter search-direction forward
【相关命令】
domain-delimiter
local-server log change-password-prompt命令用来开启密码修改周期性提醒日志功能。
undo local-server log change-password-prompt命令用来关闭密码修改周期性提醒日志功能。
【命令】
local-server log change-password-prompt
undo local-server log change-password-prompt
【缺省情况】
密码修改周期性提醒日志功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
为了提高系统的安全性,用户通过Telnet、SSH、HTTP、HTTPS、NETCONF over SSH、NETCONF over SOAP方式登录设备时,系统会根据指定的安全要求对用户密码进行检查。为了及时提醒用户修改不符合系统要求的密码,建议开启密码修改周期性提醒日志功能。
开启本功能后,系统将每隔24小时,对所有不符合密码检查策略的用户打印日志,提醒这些用户尽快修改当前密码。除了周期性提醒之外,系统还会在每个用户登录时,针对不符合密码检查策略的情况立即打印日志进行提醒。
· 对于通过Telnet、SSH、HTTP、HTTPS方式登录设备的用户,如果用户密码为弱密码,且系统在用户登录时未要求其立即更改密码,系统会打印此提醒日志。弱密码是指不符合如下任意一项要求的密码:
¡ 密码组合检测策略。
¡ 密码最小长度限制。
¡ 密码中不能包含用户名或者字符顺序颠倒的用户名。
· 对于通过NETCONF over SSH、NETCONF over SOAP方式登录设备的用户,如果出现以下情况,系统会打印此提醒日志:
¡ 用户密码为弱密码。
¡ 用户密码为缺省密码。
¡ 全局密码管理功能开启后,用户首次登录或使用被更改过的密码。
¡ 用户密码已经过期。
仅当以下情况发生时,系统才会停止打印此提醒日志:
· 关闭了密码修改周期性提醒日志功能。
· 用户密码修改为符合系统安全要求的密码。
· 密码检查策略相关功能的开启状态发生变化,使得密码检查策略变得宽松。
· 密码检查策略的参数设置发生变化。
当前系统中的密码检查策略可通过display password-control命令查看。弱密码检查使用的密码组合检测策略、密码最小长度限制可分别通过password-control composition、password-control length命令修改。关于密码检查策略的具体介绍,请参见“安全命令参考”的“Password Control”。
【举例】
# 开启密码修改周期性提醒日志功能。
<Sysname> system-view
[Sysname] local-server log change-password-prompt
【相关命令】
· display password-control(安全命令参考/Password Control)
· password-control composition(安全命令参考/Password Control)
· password-control length(安全命令参考/Password Control)
nas-id命令用来在ISP域视图下配置NAS-ID。
undo nas-id命令用来恢复缺省情况。
【命令】
nas-id nas-identifier
undo nas-id
【缺省情况】
未配置ISP域下的NAS-ID。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
nas-identifier:NAS-ID名称,为1~31个字符的字符串,区分大小写。
【使用指导】
用户进行RADIUS认证时,系统会获取设备的NAS-ID来设置RADIUS报文中的NAS-Identifier属性,该属性用于向RADIUS服务器标识用户的接入位置。
设备支持多种途径配置NAS-ID,按照获取优先级从高到低的顺序依次包括:NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、ISP域视图下的NAS-ID。若以上配置都不存在,则使用设备的名称作为NAS-ID。
【举例】
# 在ISP域test下配置NAS-ID为test。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] nas-id test
【相关命令】
· aaa nas-id profile
nas-id bind vlan命令用来设置NAS-ID与VLAN的绑定关系。
undo nas-id bind vlan命令用来删除指定的NAS-ID和VLAN的绑定关系。
nas-id nas-identifier bind vlan vlan-id
undo nas-id nas-identifier bind vlan vlan-id
【缺省情况】
不存在NAS-ID与VLAN的绑定关系。
NAS-ID Profile视图
network-admin
context-admin
【参数】
nas-identifier:NAS-ID名称,为1~31个字符的字符串,区分大小写。
vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。
一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。
一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。
# 在名称为aaa的NAS-ID Profile视图下,配置NAS-ID 222与VLAN 2的绑定关系。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2
【相关命令】
· aaa nas-id profile
service-type命令用来设置当前ISP域的业务类型。
undo service-type命令用来恢复缺省情况。
【命令】
service-type { hsi | stb | voip }
undo service-type
【缺省情况】
当前ISP域的业务类型为hsi。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
hsi:表示HSI(High Speed Internet,高速上网)业务,主要指使用PPP专线方式接入网络的用户业务。
stb:表示STB(Set Top Box,机顶盒)业务,专指使用数字机顶盒接入网络的用户业务。
voip:表示(Voice over IP,IP电话)业务,指使用IP电话的用户业务。
【使用指导】
本命令用来配置当前认证域的用户使用的业务类型,用来决定接入模块是否开启组播功能。
用户使用HSI业务类型的ISP域接入时,接入模块不会开启组播功能,可节省系统资源。
用户使用STB业务类型的ISP域接入时,接入模块会开启组播功能,可提高系统处理组播业务的性能。
用户使用VoIP业务类型的ISP域接入时,QoS功能会开启保证用户语音数据的低延迟传送。
对于PPP用户(非PPPoE用户),ISP域中配置的业务类型无效,系统强制使用HSI业务类型。
一个ISP域中,仅能配置一种类型的业务类型。
【举例】
# 设置域test下用户业务类型为STB终端业务。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] service-type stb
session-time include-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间。
undo session-time include-idle-time命令用来恢复缺省情况。
【命令】
session-time include-idle-time
undo session-time include-idle-time
【缺省情况】
设备上传到服务器的用户在线时间中扣除闲置切断时间。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
请根据实际的计费策略决定是否在用户在线时间中保留闲置切断时间。该闲置切断时间在用户认证成功后由AAA授权,对于Portal认证用户,若接入接口上开启了Portal用户在线探测功能,则Portal在线探测闲置时长为闲置切断时间。
当用户正常下线时,设备上传到服务器上的用户在线时间为实际在线时间;当用户异常下线时,上传到服务器的用户在线时间具体如下:
· 若配置为保留闲置切断时间,则上传到服务器上的用户在线时间中包含了一定的闲置切断时间。此时,服务器上记录的用户时长将大于用户实际在线时长。
· 若配置为扣除闲置切断时间,则上传到服务器上的用户在线时间为,闲置切断检测机制计算出的用户已在线时长扣除掉一个闲置切断时间。此时,服务器上记录的用户时长将小于用户实际在线时长。
【举例】
# 在ISP域test下,配置设备上传到服务器的用户在线时间中保留闲置切断时间。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] session-time include-idle-time
【相关命令】
· display domain
state命令用来设置当前ISP域的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
当前ISP域处于活动状态。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
active:指定当前ISP域处于活动状态,即系统允许该域下的用户请求网络服务。
block:指定当前ISP域处于阻塞状态,即系统不允许该域下的用户请求网络服务。
【使用指导】
当某个ISP域处于阻塞状态时,将不允许该域下的用户请求网络服务,但不影响已经在线的用户。
【举例】
# 设置当前ISP域test处于阻塞状态。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] state block
【相关命令】
· display domain
user-address-type命令用来设置当前ISP域的用户地址类型。
undo user-address-type命令用来恢复缺省情况。
【命令】
user-address-type { ds-lite | ipv6 | nat64 | private-ds | private-ipv4 | public-ds | public-ipv4 }
undo user-address-type
【缺省情况】
未指定当前ISP域的用户地址类型。
【视图】
ISP域视图
【缺省用户角色】
network-admin
context-admin
【参数】
ds-lite:表示当前用户的地址类型为轻量级双栈地址。
ipv6:表示当前用户的地址类型为IPv6地址。
nat64:表示当前用户的地址类型为NAT64地址。
private-ds:表示当前用户的地址类型为私网双栈地址。
private-ipv4:表示当前用户的地址类型为私网IPv4地址。
public-ds:表示当前用户的地址类型为公网双栈地址。
public-ipv4:表示当前用户的地址类型为公网IPv4地址。
【使用指导】
当更改当前ISP域的用户地址类型时,不影响已经在线的用户。
【举例】
# 设置当前ISP域用户地址类型为私网IPv4地址。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] user-address-type private-ipv4
【相关命令】
· display domain
access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。
undo access-limit命令用来恢复缺省情况。
【命令】
access-limit max-user-number
undo access-limit
【缺省情况】
不限制使用当前本地用户名接入的用户数。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-user-number:表示使用当前本地用户名接入设备的最大用户数,取值范围为1~1024。
【使用指导】
本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。
由于FTP/SFTP/SCP用户不支持计费,因此FTP/SFTP/SCP用户不受此属性限制。
【举例】
# 允许同时以本地用户名abc在线的用户数为5。
<Sysname> system-view
[Sysname] local-user abc
[Sysname-luser-manage-abc] access-limit 5
【相关命令】
· display local-user
access-user email authentication命令用来配置登录为网络接入类本地用户发送Email使用的SMTP服务器所需要的用户名和密码。
undo access-user email authentication命令用来恢复缺省情况。
【命令】
access-user email authentication username user-name password { cipher | simple } string
undo access-user email authentication
【缺省情况】
未配置登录SMTP服务器的用户名和密码。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
username user-name:登录用户名。其中,user-name为1~63个字符的字符串,区分大小写。
password:登录密码。
cipher:以密文方式设置密码。
simple:以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。其中,明文密码为1~63个字符的字符串,密文密码为1~117个字符的字符串。
【使用指导】
如果登录SMTP邮箱服务器时需要提供提登录用户名和密码,则必须通过本配置设置相应的登录用户名和密码。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置登录为网络接入类本地用户发送Email使用的SMTP服务器所需要的用户名为abc、密码为明文123。
<Sysname> system-view
[Sysname] access-user email authentication username abc password simple 123
【相关命令】
· access-user email format
· access-user email sender
· access-user email smtp-server
access-user email format命令用来配置网络接入类本地用户通知邮件的主题和内容。
undo access-user email format命令用来恢复缺省情况。
【命令】
access-user email format { body body-string | subject sub-string }
undo access-user email format { body | subject }
【缺省情况】
缺省邮件主题:Password reset notification。
缺省邮件内容:
A random password has been generated for your account.
Username: xxx
Password: yyy
Validity: YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss
其中,xxx为用户名,yyy为用户密码,YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss为用户账户有效期。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
body body-string:邮件的内容。其中,body-string为1~255个字符的字符串,区分大小写。
subject sub-string:邮件的主题。其中,sub-string为1~127个字符的字符串,区分大小写。
【使用指导】
管理员通过Web页面创建网络接入类本地用户、重置网络接入类用户密码时,如果由设备为用户生成随机密码,设备将在生成随机密码后向用户发送通知邮件告知为其生成的随机密码,该通知邮件的主题和内容通过本命令设置。
实际发送的邮件内容将包括设置的body-string与如下三项固定内容:
Username: xxx
Password: yyy
Validity: YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss
其中,xxx为用户名,yyy为用户密码,YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss为用户账户有效期。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置网络接入类本地用户通知邮件的主题和内容。
<Sysname> system-view
[Sysname] access-user email format subject new password setting
[Sysname] access-user email format body The username, password, and validity period of the account are given below.
【相关命令】
· access-user email authentication
· access-user email sender
· access-user email smtp-server
access-user email sender命令用来配置网络接入类本地用户通知邮件的发件人地址。
undo access-user email sender命令用来恢复缺省情况。
【命令】
access-user email sender email-address
undo access-user email sender
【缺省情况】
未配置网络接入类本地用户通知邮件的发件人地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
email-address:邮件发件人地址,为1~255个字符的字符串,区分大小写,必须且最多只能携带一个“@”符号,不能仅为“@”。
【使用指导】
未配置发件人地址的情况下,设备无法向任何收件人发送关于网络接入类本地用户的通知邮件。
只能存在一个网络接入类本地用户的发件人地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置网络接入类本地用户通知邮件的发件人地址为[email protected]。
<Sysname> system-view
[Sysname] access-user email sender [email protected]
【相关命令】
· access-user email authentication
· access-user email format
· access-user email smtp-server
access-user email smtp-server命令用来配置为网络接入类本地用户发送Email使用的SMTP服务器。
undo access-user email smtp-server命令用来恢复缺省情况。
【命令】
access-user email smtp-server url-string
undo access-user email smtp-server
【缺省情况】
未配置为网络接入类本地用户发送Email使用的SMTP服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url-string:STMP服务器的URL,为1~255个字符的字符串,区分大小写,符合标准SMTP协议规范,以smtp://开头。
【使用指导】
只能存在一个发送Email使用的SMTP服务器。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置为网络接入类本地用户发送Email使用的SMTP服务器URL为smtp://www.test.com/smtp。
<Sysname> system-view
[Sysname] access-user email smtp-server smtp://www.test.com/smtp
【相关命令】
· access-user email authentication
· access-user email format
· access-user email sender
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minutes | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-timeout minutes | sslvpn-policy-group group-name | url url-string | user-role role-name | vlan vlan-id | vpn-instance vpn-instance-name | work-directory directory-name } *
undo authorization-attribute { acl | callback-number | idle-cut | ip | ip-pool | ipv6 | ipv6-pool | ipv6-prefix | primary-dns | secondary-dns| session-timeout | sslvpn-policy-group | url | user-role role-name | vlan | vpn-instance | work-directory } *
【缺省情况】
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
在缺省Context中由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator;在非缺省Context中由用户角色为context-admin或者level-15的用户创建的本地用户被授权用户角色context-operator。
【视图】
本地用户视图
用户组视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。与授权ACL规则匹配的流量,将按照规则中指定的permit或deny动作进行处理。授权用户自定义ACL(取值范围为5000~5999)的生效情况与设备的型号有关,请以设备的实际情况为准。
callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,区分大小写。本地用户认证成功后,设备将可以使用该用户的授权PPP回呼号码向PPP协商的对端设备发起回呼。
idle-cut minutes:设置本地用户的闲置切断时间。其中,minutes为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
ip ipv4-address:指定本地用户的静态IP地址。本地用户认证成功后,将允许使用该IP地址。
ip-pool ipv4-pool-name:指定本地用户的IPv4地址池信息。本地用户认证成功后,将允许使用该IPv4地址池分配地址。其中,ipv4-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
ipv6 ipv6-address:指定本地用户的静态IPv6地址。本地用户认证成功后,将允许使用该IPv6地址。
ipv6-pool ipv6-pool-name:指定本地用户的IPv6地址池信息。本地用户认证成功后,将允许使用该IPv6地址池分配地址。其中,ipv6-pool-name表示地址池名称,为1~63个字符的字符串,不区分大小写。
ipv6-prefix ipv6-prefix prefix-length:指定本地用户的IPv6前缀信息。ipv6-prefix prefix-length为前缀地址和前缀长度,前缀长度取值范围是1~128。本地用户认证成功后,将允许使用该IPv6前缀。
primary-dns ip ipv4-address:指定本地用户的主DNS服务器IPv4地址。本地用户认证成功后,将被授权使用该主DNS服务器。
primary-dns ipv6 ipv6-address:指定本地用户的主DNS服务器IPv6地址。本地用户认证成功后,将被授权使用该主DNS服务器。
secondary-dns ip ipv4-address:指定本地用户的从DNS服务器IPv4地址。本地用户认证成功后,将被授权使用该从DNS服务器。
secondary-dns ipv6 ipv6-address:指定本地用户的从DNS服务器IPv6地址。本地用户认证成功后,将被授权使用该从DNS服务器。
session-timeout minutes:设置本地用户的会话超时时间。其中,minutes为设定的会话超时时间,取值范围为1~1440,单位为分钟。如果用户在线时长超过该值,设备会强制该用户下线。
sslvpn-policy-group group-name:指定本地用户所引用的SSL VPN策略组名,其中,group-name为1~31个字符的字符串,不区分大小写。关于SSL VPN策略组的详细介绍请参见“安全配置指导”中的“SSL VPN”。
url url-string:指定本地用户的授权PADM(PPPoE Active Discovery Message) URL,为1~255个字符的字符串,区分大小写。用户认证成功后,此URL将被推送至PPPoE客户端。
user-role role-name:指定本地用户的授权用户角色。其中,role-name表示用户角色名称,为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础配置命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置,不能在本地用户组视图下配置。
vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。本地用户认证成功后,将被授权仅可以访问指定VLAN内的网络资源。
vpn-instance vpn-instance-name:指定本地用户所属的VPN实例。其中,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。本地用户认证成功后,将允许访问指定VPN中的网络资源。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。
【使用指导】
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性:
· 对于PPP用户,仅授权属性callback-number、idle-cut、ip、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-timeout、url、vpn-instance有效。
· 对于IPoE用户,仅授权属性idle-cut、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-timeout、user-profile、vpn-instance有效。
· 对于Portal用户,仅授权属性idle-cut、ip-pool、ipv6-pool、session-timeout、acl、vpn-instance有效。
· 对于lan-access用户,仅授权属性acl、session-timeout、user-profile、vlan有效。
· 对于Telnet、Terminal、SSH用户,仅授权属性user-role有效。
· 对于http、https用户,仅授权属性user-role有效。
· 对于FTP用户,仅授权属性user-role、work-directory有效。
· 对于SSL VPN用户,仅授权属性sslvpn-policy-group有效。
· 对于IKE用户,仅授权属性ip-pool有效。
· 对于其它类型的本地用户,所有授权属性均无效。
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
本地用户视图下未配置的授权属性继承所属用户组的授权属性配置,但是如果本地用户视图与所属的用户组视图下都配置了某授权属性,则本地用户视图下的授权属性生效。
授权给Portal用户的ACL中不能配置携带用户源IP地址和源MAC地址信息的规则,否则会导致用户上线失败。
为了避免设备进行主备倒换后FTP/SFTP/SCP用户无法正常登录,建议用户在指定工作目录时不要携带slot信息。
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍,请参见“网络管理与监控”中的“信息中心”。文件系统管理相关命令的介绍,请参见“基础配置命令参考”中的“文件系统管理”。
为本地用户授权安全日志管理员角色时,需要注意的是:
· 安全日志管理员角色和其它用户角色互斥:
¡ 为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;
¡ 如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。
· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。
为本地用户授权system-admin、security-admin、audit-admin角色时,需要注意的是:
· 被授权此类角色的本地用户登录设备后,仅有执行指定Web页面的操作权限,以及执行ping和tracert命令的命令行权限,具体权限介绍请参见“基础配置指导”中的“RBAC”。
· 这些角色和其它用户角色互斥,且彼此之间也互斥。为一个用户授权用户角色时,系统会通过提示信息请求确认是否删除与当前用户角色互斥的其它用户角色。
【举例】
# 配置网络接入类本地用户abc的授权VLAN为VLAN 2。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] authorization-attribute vlan 2
# 配置用户组abc的授权VLAN为VLAN 3。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc] authorization-attribute vlan 3
# 配置设备管理类本地用户xyz的授权用户角色为security-audit(安全日志管理员)。
<Sysname> system-view
[Sysname] local-user xyz class manage
[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit
This operation will delete all other roles of the user. Are you sure? [Y/N]:y
【相关命令】
· display local-user
· display user-group
bind-attribute命令用来设置用户的绑定属性。
undo bind-attribute命令用来删除指定的用户绑定属性。
【命令】
bind-attribute { call-number call-number [ : subcall-number ] | location interface interface-type interface-number | mac mac-address | vlan vlan-id } *
undo bind-attribute { call-number | location | mac | vlan } *
【缺省情况】
未设置用户的绑定属性。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
call-number call-number:指定PPP用户认证的主叫号码。其中call-number为1~64个字符的字符串。该绑定属性仅适用于PPP用户。
subcall-number:指定子主叫号码。如果配置了子主叫号码,则主叫号码与子主叫号码的总长度不能大于62个字符。
location interface interface-type interface-number:指定用户绑定的接口。其中interface-type interface-number表示接口类型和接口编号。如果用户接入的接口与此处绑定的接口不一致,则认证失败。该绑定属性仅适用于lan-access、PPP、IPoE、Portal类型的用户。
mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。该绑定属性仅适用于lan-access、PPP、IPoE、Portal、使用iNode登录的SSL VPN类型的用户。
vlan vlan-id:指定用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。该绑定属性仅适用于lan-access、PPP、IPoE、Portal类型的用户。
【使用指导】
设备对用户进行本地认证时,会检查用户的实际属性与配置的绑定属性是否一致,如果不一致或用户未携带该绑定属性则认证失败。
绑定属性的检测不区分用户的接入服务类型,因此在配置绑定属性时要考虑某接入类型的用户是否需要绑定某些属性。
在绑定接口属性时要考虑绑定接口类型是否合理。对于Portal用户:若使能Portal的接口为VLAN接口,且没有通过portal roaming enable命令配置Portal用户漫游功能,则配置绑定的接口为用户实际接入的二层以太网接口;其它情况下,配置绑定的接口均为使能Portal的接口。
【举例】
# 配置网络接入类本地用户abc的绑定MAC地址为11-11-11。
<Sysname> system-view
[Sysname] local-user abc class network
[Sysname-luser-network-abc] bind-attribute mac 11-11-11
【相关命令】
· display local-user
company命令用来配置本地来宾用户所属公司。
undo company命令用来恢复缺省情况。
【命令】
company company-name
undo company
【缺省情况】
未配置本地来宾用户所属公司。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
company-name:本地来宾用户所属公司名称,为1~255个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc所属的公司名称为yyy。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] company yyy
【相关命令】
· display local-user
description命令用来配置网络接入类本地用户的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置网络接入类本地用户的描述信息。
【视图】
网络接入类本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:用户的描述信息,为1~127个字符的字符串,区分大小写。
【使用指导】
如果将本地用户的描述信息取值为固定字符串#user_from_server#,则表示对该用户进行了特殊标识,使其能够在设备的Web管理页面上被用于指定用途的显示和管理,具体用途请以Web管理界面上的实现为准。
【举例】
# 配置网络接入类本地用户123的描述信息为Manager of MSC company。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] description Manager of MSC company
【相关命令】
· display local-user
display local-guest waiting-approval命令用来显示待审批来宾用户注册信息。
【命令】
display local-guest waiting-approval [ user-name user-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
user-name user-name:来宾用户名称,为1~55个字符的字符串,区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若user-name中包含了“@”符号,则它的格式必须为“xxx@yyy”,其中,xxx区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;yyy不区分大小写,不能包含符号“@”。若不指定该参数,则表示所有来宾用户。
【使用指导】
来宾可以通过Web页面注册为本地来宾用户,由来宾管理员对注册信息进行审批并补充用户信息,审批同意后,设备上将会创建相应的本地来宾用户,来宾可使用该用户接入访问网络。来宾管理员通过display命令可查询待审批来宾用户的注册信息。
【举例】
# 显示所有待审批来宾用户的注册信息。
<Sysname> display local-guest waiting-approval
Total 1 guest informations matched.
Guest user Smith:
Full name : Smith Li
Company : YYY
Email : [email protected]
Phone : 139189301033
Description: The employee of YYY company
表1-2 display local-user-guest waiting-approval命令显示信息描述表
字段 |
描述 |
Total 1 guest informations matched. |
总计有1个来宾用户信息匹配 |
Full name |
来宾用户的姓名全称 |
Company |
来宾用户的公司名称 |
|
来宾用户的Email地址 |
Phone |
来宾用户的电话 |
Description |
来宾用户的描述信息 |
【相关命令】
· reset local-guest waiting-approval
display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。
【命令】
display local-user [ class { manage | network [ guest ] } | idle-cut { disable | enable } | service-type { advpn | ftp | http | https | ike | ipoe | lan-access | portal | ppp | ssh | sslvpn | telnet | terminal } | state { active | block } | user-name user-name class { manage | network [ guest ] } | vlan vlan-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
class:显示指定用户类别的本地用户信息。
manage:设备管理类用户。
network:网络接入类用户。
guest:来宾用户。
idle-cut { disable | enable }:显示开启或关闭闲置切断功能的本地用户信息。其中,disable表示未启用闲置切断功能的本地用户;enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。
service-type:显示指定用户类型的本地用户信息。
· advpn:ADVPN隧道用户。
· ftp:FTP用户。
· http:HTTP用户。
· https:HTTPS用户。
· ike:IKE扩展认证用户。
· ipoe:IPoE用户(主要指IP接入用户,比如二/三层专线用户,数字机顶盒接入用户)。
· lan-access:lan-access类型用户。
· portal:Portal用户。
· ppp:PPP用户。
· ssh:SSH用户。
· sslvpn:SSL VPN用户。
· telnet:Telnet用户。
· terminal:从Console口登录的终端用户。
state { active | block }:显示处于指定状态的本地用户信息。其中,active表示用户处于活动状态,即系统允许该用户请求网络服务;block表示用户处于阻塞状态,即系统不允许用户请求网络服务。
user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若user-name中包含了“@”符号,则它的格式必须为“xxx@yyy”,其中,xxx区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;yyy不区分大小写,不能包含符号“@”。
vlan vlan-id:显示指定VLAN内的所有本地用户信息。其中,vlan-id为VLAN编号,取值范围为1~4094。
【使用指导】
如果不指定任何参数,则显示所有本地用户信息。
【举例】
# 显示所有本地用户的相关信息。
<Sysname> display local-user
Device management user root:
State: Active
Service type: SSH/Telnet/Terminal
Access limit: Enabled Max access number: 3
Current access number: 1
User group: system
Bind attributes:
Authorization attributes:
Work directory: flash:
User role list: network-admin
Password control configurations:
Password aging: 3 days
Password complexity: username checking
Password history was last reset: 0 days ago
Network access user jj:
State: Active
Service type: ike
User group: system
Bind attributes:
Location bound: GigabitEthernet1/0/1
MAC address: 0001-0001-0001
VLAN ID: 2
Authorization attributes:
Idle timeout: 33 minutes
Work directory: flash:
ACL number: 2000
User role list: network-operator, level-0, level-3
SSL VPN policy group: spg
Description: A network access user
Validity period:
Start date and time: 2016/01/01-00:01:01
Expiration date and time:2019/12/01-01:01:01
Password control configurations:
Password control: Enable
Password length: 4 characters
Password complexity: username checking
Network access guest user user1:
State: Active
Service type: Portal
User group: guest1
Full name: Jack
Company: cc
Email: [email protected]
Phone: 131129237
Description: A guest from company cc
Sponsor full name: Sam
Sponsor department: security
Sponsor email: [email protected]
Description: A guest from company cc
Validity period:
Start date and time: 2016/04/01-08:00:00
Expiration date and time:2019/12/03-18:00:00
Total 3 local users matched.
表1-3 display local-user命令显示信息描述表
字段 |
描述 |
State |
本地用户状态 · Active:活动状态 · Block:阻塞状态 |
Service type |
本地用户使用的服务类型 |
Access limit |
是否对使用该用户名的接入用户数进行限制 |
Max access number |
最大接入用户数 |
Current access number |
使用该用户名的当前接入用户数 |
User group |
本地用户所属的用户组 |
Bind attributes |
本地用户的绑定属性 |
Location bound |
本地用户绑定的端口 |
MAC address |
本地用户的MAC地址 |
VLAN ID |
本地用户绑定的VLAN |
Authorization attributes |
本地用户的授权属性 |
Idle timeout |
本地用户闲置切断时间(单位为分钟) |
Session-timeout |
本地用户的会话超时时间(单位为分钟) |
Callback number |
本地用户的授权PPP回呼号码 |
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
ACL number |
本地用户授权ACL |
VLAN ID |
本地用户授权VLAN |
User role list |
本地用户的授权用户角色列表 |
IP pool |
本地用户的授权IPv4地址池 |
SSL VPN policy group |
本地用户的授权SSL VPN策略组 |
IP address |
本地用户的授权IPv4地址 |
IPv6 address |
本地用户的授权IPv6地址 |
IPv6 prefix |
本地用户的授权IPv6前缀 |
IPv6 pool |
本地用户的授权IPv6地址池 |
Primary DNS server |
本地用户的授权主DNS服务器IPv4地址 |
Secondary DNS server |
本地用户的授权从DNS服务器IPv4地址 |
Primary DNSV6 server |
本地用户的授权主DNS服务器IPv6地址 |
Secondary DNSV6 server |
本地用户的授权从DNS服务器IPv6地址 |
URL |
本地用户的授权PADM URL |
VPN instance |
本地用户的授权VPN实例 |
Password control configurations |
本地用户的密码控制属性 |
Password aging |
密码老化时间 |
Password length |
密码最小长度 |
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
Maximum login attempts |
用户最大登录尝试次数 |
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
Password history was last reset |
上一次清除密码历史记录的时间 |
Full name |
本地来宾用户的姓名 |
Company |
本地来宾用户的公司 |
|
本地来宾用户的Email地址 |
Phone |
本地来宾用户的电话号码 |
Sponsor full name |
本地来宾用户接待人的姓名 |
Sponsor department |
本地来宾用户接待人所属部门 |
Sponsor email |
本地来宾用户接待人的Email地址 |
Description |
网络接入类本地用户的描述信息 |
Period of validity |
网络接入类本地用户有效期 |
Start date and time |
网络接入类本地用户开始生效的日期和时间 |
Expiration date and time |
网络接入类本地用户的失效日期和时间 |
Total x local users matched. |
总计有x个本地用户匹配 |
display user-group命令用来显示用户组的配置信息。
【命令】
display user-group { all | name group-name } [ identity-member { all | group | user } ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
all:显示所有用户组的配置信息。
name group-name:显示指定用户组的配置。group-name表示用户组名称,为1~32个字符的字符串,不区分大小写。
identity-member { all | group | user }:显示用户组的身份识别成员信息。其中,all表示所有身份识别成员,包括所有用户组类型和用户类型的成员;group表示用户组类型的身份识别成员;user表示仅显示用户类型的身份识别成员信息。若不指定该参数,则不显示用户组的身份识别成员信息。
【举例】
# 显示所有用户组的相关配置。
<Sysname> display user-group all
Total 2 user groups matched.
User group: system
Authorization attributes:
Work directory: flash:
User group: jj
Authorization attributes:
Idle timeout: 2 minutes
Callback number: 2:2
Work directory: flash:/
ACL number: 2000
VLAN ID: 2
SSL VPN policy group: policygroup1
Password control configurations:
Password aging: 2 days
# 显示所有用户组中的所有身份成员信息。
<Sysname> display user-group all identity-member all
Total 2 user groups matched.
User group: system
Identity groups: 0
User group: jj
Identity groups: 2
Group ID Group name
0xffffffff group1
0x567 group2
Identity users: 2
User ID Username
0x234 user1
0xffffffff user2
表1-4 display user-group命令显示信息描述表
字段 |
描述 |
Total x user groups matched. |
总计有x个用户组匹配 |
User group |
用户组名称 |
Authorization attributes |
授权属性信息 |
Idle timeout |
闲置切断时间(单位:分钟) |
Session-timeout |
会话超时时间(单位:分钟) |
Callback number |
PPP回呼号码 |
Work directory |
FTP/SFTP/SCP用户可以访问的目录 |
ACL number |
授权ACL号 |
VLAN ID |
授权VLAN ID |
IP pool |
授权IPv4地址池 |
SSL VPN policy group |
授权SSL VPN策略组名称 |
IPv6 prefix |
授权IPv6前缀 |
IPv6 pool |
授权IPv6地址池 |
Primary DNS server |
授权主DNS服务器IPv4地址 |
Secondary DNS server |
授权从DNS服务器IPv6地址 |
Primary DNSV6 server |
授权主DNS服务器IPv6地址 |
Secondary DNSV6 server |
授权从DNS服务器IPv6地址 |
URL |
授权PADM URL |
VPN instance |
授权VPN实例 |
Password control configurations |
用户组的密码控制属性 |
Password aging |
密码老化时间 |
Password length |
密码最小长度 |
Password composition |
密码组合策略(密码元素的组合类型、至少要包含每种元素的个数) |
Password complexity |
密码复杂度检查策略(是否包含用户名或者颠倒的用户名;是否包含三个或以上相同字符) |
Maximum login attempts |
用户最大登录尝试次数 |
Action for exceeding login attempts |
登录尝试次数达到设定次数后的用户账户锁定行为 |
Identity users |
用户类型的身份识别成员数目 |
Identity groups |
用户组类型的身份识别成员数目 |
User ID |
用户的ID |
Group ID |
用户组的ID |
Username |
用户的名称 |
Group name |
用户组的名称 |
email命令用来配置本地来宾用户的Email地址。
undo email命令用来恢复缺省情况。
【命令】
email email-string
undo email
【缺省情况】
未配置本地来宾用户的Email地址。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
email-string:本地来宾用户的Email地址,为1~255个字符的字符串,区分大小写,必须且最多只能携带一个“@”符号,不能仅为“@”。
【使用指导】
设备可以通过本命令配置的Email地址给来宾用户发送通知邮件。
【举例】
# 配置本地来宾用户abc的Email地址为[email protected]。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] email [email protected]
【相关命令】
· display local-user
full-name命令用来配置本地来宾用户的姓名。
undo full-name命令用来恢复缺省情况。
【命令】
full-name name-string
undo full-name
【缺省情况】
未配置本地来宾用户的姓名。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
name-string:本地来宾用户的姓名,为1~255个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc的姓名为abc Snow。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] full-name abc Snow
【相关命令】
· display local-user
group命令用来设置本地用户所属的用户组。
undo group命令用来恢复缺省配置。
【命令】
group group-name
undo group
【缺省情况】
本地用户属于用户组system。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【举例】
# 设置设备管理类本地用户111所属的用户组为abc。
<Sysname> system-view
[Sysname] local-user 111 class manage
[Sysname-luser-manage-111] group abc
【相关命令】
· display local-user
identity-group命令用来将网络接入类本地用户加入身份识别用户组。
undo identity-group命令用来将网络接入类本地用户从指定的身份识别用户组中删除。
【命令】
identity-group group-name
undo identity-group [ group-name ]
【缺省情况】
用户未加入身份识别用户组。
【视图】
网络接入类本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:身份识别用户组名,为1~32个字符的字符串,不区分大小写。
【使用指导】
在身份识别业务中,可以将用户加入到身份识别用户组中进行统一管理,我们将这样的组称为身份识别用户组。
一个用户可以加入多个身份识别用户组。
如果将用户成功加入了某身份识别用户组,系统会自动在该用户组视图下添加该用户为身份识别成员,即自动实现用户和用户组之间引用关系的配置同步。
如果undo identity-group命令中不指定group-name参数,则表示将用户从所加入的所有身份识别用户组中删除。
【举例】
# 将网络接入类本地用户user1加入身份识别用户组group1。
<Sysname> system-view
[Sysname] local-user user1 class network
[Sysname-luser-network-user1] identity-group group1
【相关命令】
· identity-member
· user-group
identity-member命令用来配置用户组中的身份成员。
undo identity-member命令用来从用户组中删除指定的身份成员。
【命令】
identity-member { group group-name | user user-name }
undo identity-member { group [ group-name ] | user [ user-name ] }
【缺省情况】
用户组中不存在身份成员。
【视图】
用户组视图
【缺省用户角色】
network-admin
context-admin
【参数】
group group-name:表示用户组类型的身份成员。group-name表示用户组名,为1~32个字符的字符串,不区分大小写。要添加的成员用户组不能为所属的用户组,即用户组之间的从属关系必须单向,不能形成循环嵌套关系。该成员用户组中还可以添加其它的用户组,它们与所属的组共同形成多级树形组织关系。
user user-name:表示用户类型的身份成员。user-name表示用户名,为1~55个字符的字符串,区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若user-name中包含了“@”符号,则它的格式必须为“xxx@yyy”,其中,xxx区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;yyy不区分大小写,不能包含符号“@”。该用户只能为网络接入类型的本地用户。
【使用指导】
向用户组中添加身份成员是将具有共同身份识别业务需求的用户或用户组加入同一用户组。
如果在指定的用户组视图下成功添加了某用户,且该用户已经存在于系统中,系统会自动在该用户视图下添加一条加入指定用户组的配置,即实现用户和用户组之间引用关系的配置同步。
执行undo identity-member命令时,若不指定user-name参数,则表示从用户组中删除所有用户类型的身份成员;若不指定group-name参数,则表示从用户组中删除所有用户组类型的身份成员。
【举例】
# 向用户组group1中添加两个身份成员:用户user1,用户组group2。
<Sysname> system-view
[Sysname] user-group group1
[Sysname-ugroup-group1] identity-member user user1
[Sysname-ugroup-group1] identity-member group group2
【相关命令】
· display user-group
· identity-group
local-guest auto-delete enable命令用来开启来宾用户过期自动删除功能。
undo local-guest auto-delete enable命令用来恢复缺省情况。
【命令】
local-guest auto-delete enable
undo local-guest auto-delete enable
【缺省情况】
来宾用户过期自动删除功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
来宾用户过期自动删除功能处于开启状态时,设备会在来宾用户有效期结束后自动删除用户。
【举例】
# 开启来宾用户过期自动删除功能。
<Sysname> system-view
[Sysname] local-guest auto-delete enable
【相关命令】
· validity-datatime
local-guest email format命令用来配置本地来宾用户通知邮件的主题和内容。
undo local-guest email format命令用来删除指定的本地来宾用户通知邮件的主题和内容。
【命令】
local-guest email format to { guest | manager | sponsor } { body body-string | subject sub-string }
undo local-guest email format to { guest | manager | sponsor } { body | subject }
【缺省情况】
未配置本地来宾用户通知邮件的主题和内容。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
to:指定邮件的收件人。
· guest:表示来宾用户。
· manager:表示来宾管理员。
· sponsor:表示来宾接待人。
body body-string:邮件的内容。其中,body-string为1~255个字符的字符串,区分大小写。
subject sub-string:邮件的主题。其中,sub-string为1~127个字符的字符串,区分大小写。
【使用指导】
在本地来宾用户注册、创建过程中,设备需要向不同角色的用户发送通知邮件,邮件的主题和内容通过本命令设置,例如,本地来宾用户通过Web页面完成账户注册之后,设备会向来宾管理员发送该用户的审批申请邮件;本地来宾用户创建之后,设备会向本地来宾用户或来宾接待人邮箱发送注册成功通知邮件。
可对不同的收件人指定不同的邮件主题和内容。同一类收件人的邮件格式只能存在一种配置,新配置将覆盖已有配置。
必须同时配置收件人的邮件主题和内容,否则设备不会给该收件人发送邮件。
【举例】
# 配置本地来宾用户通知邮件的主题和内容。
<Sysname> system-view
[Sysname] local-guest email format to guest subject Guest account information
[Sysname] local-guest email format to guest body A guest account has been created for you. The username, password, and validity period of the account are given below.
【相关命令】
· local-guest email sender
· local-guest email smtp-server
· local-guest manager-email
· local-guest send-email
local-guest email sender命令用来配置本地来宾用户通知邮件的发件人地址。
undo local-guest email sender命令用来恢复缺省情况。
【命令】
local-guest email sender email-address
undo local-guest email sender
【缺省情况】
未配置本地来宾用户通知邮件的发件人地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
email-address:邮件发件人地址,为1~255个字符的字符串,区分大小写,必须且最多只能携带一个“@”符号,不能仅为“@”。
【使用指导】
未配置发件人地址的情况下,设备无法向任何收件人发送关于本地来宾用户的通知邮件。
只能存在一个本地来宾用户的发件人地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置本地来宾用户通知邮件的发件人地址为[email protected]。
<Sysname> system-view
[Sysname] local-guest email sender [email protected]
【相关命令】
· local-guest email format
· local-guest email smtp-server
· local-guest manager-email
· local-guest send-email
local-guest email smtp-server命令用来配置为本地来宾用户发送Email使用的SMTP服务器。
undo local-guest send-email smtp-server命令用来恢复缺省情况。
【命令】
local-guest email smtp-server url-string
undo local-guest email smtp-server
【缺省情况】
未配置为本地来宾用户发送Email使用的SMTP服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url-string:STMP服务器的URL,为1~255个字符的字符串,区分大小写,符合标准SMTP协议规范,以smtp://开头。
【使用指导】
只能存在一个为本地来宾用户发送Email使用的SMTP服务器。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置为本地来宾用户发送Email使用的SMTP服务器URL为smtp://www.test.com/smtp。
<Sysname> system-view
[Sysname] local-guest email smtp-server smtp://www.test.com/smtp
【相关命令】
· local-guest email format
· local-guest email sender
· local-guest manager-email
· local-guest send-email
local-guest generate命令用来批量创建本地来宾用户。
【命令】
local-guest generate username-prefix name-prefix [ password-prefix password-prefix ] suffix suffix-number [ group group-name ] count user-count validity-datetime start-date start-time to expiration-date expiration-time
【视图】
【缺省用户角色】
context-admin
【参数】
username-prefix name-prefix:用户名前缀,name-prefix为1~45个字符的字符串,区分大小写,不能含有字符\、|、/、:、*、?、<、>或@。
password-prefix password-prefix:明文密码前缀,password-prefix为1~53个字符的字符串,区分大小写。若不指定该参数,则由系统为用户逐一生成随机密码
suffix suffix-string:用户名和密码的递增编号后缀,suffix-string为1~10个数字的字符串。
group group-name:用户所属用户组名,group-name为1~32个字符的字符串,区分大小写。若不指定该参数,则表示用户属于system组。
count user-count:批量创建用户的数量,user-count的取值范围为1~256。
validity-datetime:用户有效期。有效期的结束时间必须晚于起始时间。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
to:指定用户有效期的结束日期和结束时间。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
【使用指导】
批量创建的本地来宾用户名由指定的用户名前缀和编号后缀组合而成,且每创建一个用户,用户名编号后缀递增1。例如,当用户名前缀为abc,递增编号后缀为1,生成用户数量为3时,生成的用户名分别为abc1、abc2和abc3。如果指定了密码前缀,则批量创建的本地来宾用户密码由密码前缀和编号后缀组合而成,且逐用户递增。
如果申请创建的本地来宾用户数量过多,导致资源不足时,部分本地来宾用户的批量创建将会失败。
如果批量创建的本地来宾用户与设备上已有的本地来宾用户重名,则批量创建的用户会覆盖已有的同名用户。
【举例】
# 批量创建20个本地来宾用户,用户名从abc01递增到abc20,属于用户组visit,有效期为2018/10/01 00:00:00到2019/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-guest generate username-prefix abc suffix 01 group visit count 20 validity-datetime 2018/10/01 00:00:00 to 2019/10/02 12:00:00
【相关命令】
· local-user
· display local-user
local-guest manager-email命令用来配置来宾管理员的Email地址。
undo local-guest manager-email命令用来恢复缺省情况。
【命令】
local-guest manager-email email-address
undo local-guest manager-email
【缺省情况】
未配置来宾管理员的Email地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
email-address:来宾管理员的Email地址,为按照RFC 822定义的1~255个字符的字符串,区分大小写,例如[email protected]。
【使用指导】
本地在来宾用户通过Web页面完成账户注册之后,设备会向来宾管理员邮箱发送该用户的审批申请邮件。
只能存在一个来宾管理员的Email地址。多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置来宾管理员的Email地址为[email protected]。
<Sysname> system-view
[Sysname] local-guest manager-email [email protected]
【相关命令】
· local-guest email format
· local-guest email sender
· local-guest email smtp-server
· local-guest send-email
local-guest send-email命令用来配置向本地来宾用户邮箱和来宾接待人邮箱发送邮件。
【命令】
local-guest send-email user-name user-name to { guest | sponsor }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name user-name:本地来宾用户的用户名,为1~55个字符的字符串,区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若user-name中包含了“@”符号,则它的格式必须为“xxx@yyy”,其中,xxx区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;yyy不区分大小写,不能包含符号“@”。
to:指定邮件的收件人。
· guest:本地来宾用户。
· sponsor:来宾接待人。
【使用指导】
当本地来宾用户创建之后,来宾管理员可通过此命令将用户的密码及有效期信息发送到本地来宾用户或来宾接待人邮箱中。
【举例】
# 向本地来宾用户abc的邮箱发送有关该用户账号信息的通知邮件。
<Sysname> local-guest send-email user-name abc to guest
【相关命令】
· sponsor-email
local-guest timer命令用来配置本地来宾用户的等待审批超时定时器。
【命令】
local-guest timer waiting-approval time-value
undo local-guest timer waiting-approval
【缺省情况】
本地来宾用户的等待审批超时定时器值为24小时。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:本地来宾用户等待审批的超时时间,取值范围为1~720,单位为小时。
【使用指导】
当一个来宾用户在Web页面上完成账户注册之后,设备会为其开启一个来宾注册信息等待审批超时定时器,若在该定时器设置的时长内来宾管理员没有对其注册信息进行审批,则设备将删除该来宾注册信息。
【举例】
# 配置本地来宾用户的等待审批超时定时器的值为12小时。
<Sysname> system-view
[Sysname] local-guest timer waiting-approval 12
local-user命令用来添加本地用户,并进入本地用户视图。如果指定的本地用户已经存在,则直接进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
【命令】
local-user user-name [ class { manage | network [ guest ] } ]
undo local-user { user-name class { manage | network [ guest ] } | all [ service-type { advpn | ftp | http | https | ike | ipoe | lan-access | portal | ppp | ssh | sslvpn | telnet | terminal } | class { manage | network [ guest ] } ] }
【缺省情况】
不存在本地用户。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name:表示本地用户名,为1~55个字符的字符串,区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若user-name中包含了“@”符号,则它的格式必须为“xxx@yyy”,其中,xxx区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;yyy不区分大小写,不能包含符号“@”。
class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。
manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、http、https、telnet、ssh和terminal服务。
network:网络接入类用户,用于通过设备接入网络,访问网络资源。此类用户可以提供advpn、ike、ipoe、lan-access、portal、ppp、sslvpn服务。
guest:来宾用户,仅能在账户有效期内提供lan-access和portal服务。
all:所有的用户。
service-type:指定用户的类型。
· advpn:ADVPN隧道用户。
· ftp:表示FTP类型用户。
· http:表示HTTP类型用户。
· https:表示HTTPS类型用户。
· ike:表示IKE扩展认证类型用户。
· ipoe:表示IPoE类型用户(主要指以IP接入用户,比如二三层专线,数字机顶盒接入的用户)。
· lan-access:表示lan-access类型用户。
· portal:表示Portal用户。
· ppp:PPP用户。
· ssh:表示SSH用户。
· sslvpn:表示SSL VPN用户。
· telnet:表示Telnet用户。
· terminal:表示从Console口、AUX口、Asyn口登录的终端用户。
【使用指导】
在本地认证过程中,配置的用户名和用户类别为本地用户的唯一标识,用户名用于匹配设备从用户输入的用户名中解析出的纯用户名,用户类别用于指示用户可以使用的网络服务类型。
目前,仅解析出的SSL VPN用户的纯用户名中允许包含符号“@”。
【举例】
# 添加名称为user1的设备管理类本地用户。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1]
# 添加名称为user2的网络接入类本地用户。
<Sysname> system-view
[Sysname] local-user user2 class network
[Sysname-luser-network-user2]
# 添加名称为user3的网络接入类本地来宾用户。
<Sysname> system-view
[Sysname] local-user user3 class network guest
[Sysname-luser-network(guest)-user3]
【相关命令】
· display local-user
· service-type (Local user view)
local-user-export class network命令用来从设备导出网络接入类本地用户信息到CSV文件。
【命令】
local-user-export class network url url-string [ from { group group-name | user user-name } ]
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url url-string:CSV文件的URL,为1~255个字符的字符串,不区分大小写。
from:指定导出的用户范围。若不指定该参数,则表示导出设备上所有的网络接入类本地用户。
group group-name:导出指定组里的所有用户。group-name表示用户组名,为1~32个字符的字符串,不区分大小写。
user user-name:导出指定用户。user-name表示用户名,为1~55个字符的字符串,区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若user-name中包含了“@”符号,则它的格式必须为“xxx@yyy”,其中,xxx区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;yyy不区分大小写,不能包含符号“@”。
【使用指导】
导出的CSV文件可直接或在编辑之后通过local-user-import class network命令导入到本设备或其它支持该命令的设备上使用,但文件内容必须符合该命令的要求。
本命令支持TFTP和FTP两种文件上传方式,具体的URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为TFTP服务器IP地址或主机名,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
【举例】
# 导出网络接入类本地用户信息到ftp://1.1.1.1/user/路径的identityuser.csv文件中。
<Sysname> system-view
[Sysname] local-user-export class network url ftp://1.1.1.1/user/identityuser.csv
【相关命令】
· display local-user
· local-user-import class network
local-user-export class network guest命令用来从设备导出本地来宾用户信息到CSV文件。
【命令】
local-user-export class network guest url url-string
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url url-string:CSV文件的URL,为1~255个字符的字符串,不区分大小写。
【使用指导】
导出的CSV文件可直接或在编辑之后通过local-user-import class network guest命令导入到本设备或其它支持该命令的设备上使用,但文件内容必须符合该命令的要求。
本命令支持TFTP和FTP两种文件上传方式,具体的URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为TFTP服务器IP地址或主机名,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
【举例】
# 导出本地来宾用户信息到ftp://1.1.1.1/user/路径的guest.csv文件中。
<Sysname> system-view
[Sysname] local-user-export class network guest url ftp://1.1.1.1/user/guest.csv
【相关命令】
· display local-user
· local-user-import class network guest
local-user-import class network命令用来从CSV文件中导入用户信息并创建网络接入类本地用户。
【命令】
local-user-import class network url url-string [ auto-create-group | override | start-line line-number ] *
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url url-string:CSV文件的URL,为1~255个字符的字符串,不区分大小写。
auto-create-group:表示当设备上不存在用户所属的用户组时,系统会自动创建用户组,并将用户加入该用户组。若不指定该参数,则表示当设备上不存在用户所属的用户组时,系统不会创建对应的用户组,而是将用户其加入缺省用户组system。
override:表示当导入的用户名已经存在于设备上时,系统使用导入的用户信息覆盖掉已有的同名用户配置。若不指定该参数,则表示不导入文件中的同名用户信息,即保留设备上已有的同名用户配置。
start-line line-number:表示从文件的指定行开始导入用户信息。line-number为文件内容的行编号。若不指定该参数,则表示导入文件中的所有用户信息。
【使用指导】
用于导入的CSV文件中包含多个用户信息,每个用户的各项字段严格按照以下顺序出现:
· 用户名:为1~55个字符的字符串,区分大小写,不支持字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”和“all”。若用户名中包含非法字符,则导入并创建该用户失败,且后续用户的导入操作将会中止。该字段必须存在。
· 密码形式:明文或密文。若该字段为空,则表示密文。
· 用户密码:密文密码字符串长度范围为1~117,明文密码字符串长度访问为1~63,区分大小写。若该字段为空或密码解析失败,则表示用户无密码。
· 所属授权用户组:用于本地授权,为1~32个字符的字符串,不区分大写。若该字段为空,则表示system组。
· 所属身份识别用户组:用于用户身份识别,为1~32个字符的字符串,不区分大写。可支持多个用户组,组名称之间必须以换行字符串0x0A分隔。若该字段为空,则表示不属于任何身份识别用户组。
· 服务类型:包括portal、ppp、ipoe、lan-access、advpn、sslvpn、ike中的一个或多个,不区分大小写。服务类型名称之间必须以换行字符串(0x0A)分隔。若该字段为空,则表示不支持任何服务类型。
· 允许同时使用该用户名接入网络的最大用户数:取值范围为1~1024。若该字段为空,则表示无限制。
CSV文件中的不同用户信息之间用回车换行分隔,且每项信息之间以逗号分隔。例如:
Jack,$c$3$uM6DH5empTfbsx341Qk/ORGozkbxNE0=,author-group1,parent-group1(0x0A)parent-group2,portal,1024
Mary,$c$3$YpVonswJTN1dVMEev+zu2pgrCIIJ,author-group2,parent-group1(0x0A)parent-group2,portal,800
编辑CSV文件时,需要注意的是:
· CSV文件中的注释行以#开头,注释行的内容不会被当作实际用户信息导入设备。
· 如果某类数据本身需要包含逗号,为避免与分隔符逗号混淆,必须在该数据两端加单引号,例如某授权用户组名称为author,group,则在CSV文件中要书写为'author,group'。
本命令支持TFTP和FTP两种文件下载方式,具体的文件URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为FTP服务器IP地址或主机名,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://server/path/filename,例如ftp://1.1.1.1/user/user.csv。
【举例】
# 从ftp://1.1.1.1/user/路径的localuser.csv文件中导入网络接入类本地用户信息,导入时自动创建用户组,且不导入文件中的同名用户信息。
<Sysname> system-view
[Sysname] local-user-import class network url ftp://1.1.1.1/user/localuser.csv auto-create-group
【相关命令】
· display local-user
· local-user-export class network
local-user-import class network guest命令用来从CVS文件中导入用户信息并创建本地用户。
【命令】
local-user-import class network guest url url-string validity-datetime start-date start-time to expiration-date expiration-time [ auto-create-group | override | start-line line-number ] *
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
url url-string:CSV文件的URL。其中,url-string为1~255个字符的字符串,不区分大小写。
validity-datetime:指定用户的有效期。有效期的结束时间必须晚于起始时间。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
to:指定用户有效期的结束日期和结束时间。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
auto-create-group:表示当设备上不存在用户所属的用户组时,系统会自动创建用户组,并将用户加入该用户组。若不指定该参数,则表示当设备上不存在用户所属的用户组时,系统不会创建对应的用户组,而是将该用户加入缺省用户组system。
override:表示当导入的用户名已经存在于设备上时,系统使用导入的用户信息覆盖掉已有的同名用户配置。若不指定该参数,则表示不导入文件中的同名用户信息,即保留设备上已有的同名用户配置。
start-line line-number:表示从文件的指定行开始导入用户信息。其中,line-number为文件内容的行编号。若不指定该参数,则表示导入文件中的所有用户信息。
【使用指导】
用于导入的CSV文件中包含多个用户信息,每个用户的各项字段严格按照以下顺序出现:
· Username:用户名,不支持字符“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”和“all”。若用户名中包含非法字符,则导入并创建该用户失败,且后续用户的导入操作将会中止。该字段必须存在。
· Password:明文用户密码。若该字段为空,则导入时系统会生成一个密文随机密码。
· User group:所属用户组,用于本地授权。若该字段为空,则表示属于system组。
· Guest full name:来宾用户姓名。
· Guest company:来宾用户公司。
· Guest email:来宾用户Email地址。
· Guest phone:来宾用户电话号码。
· Guest description:来宾用户描述信息。
· Sponsor full name:接待人姓名。
· Sponsor department:接待人部门。
· Sponsor email:接待人Email地址。
以上所有字段的取值必须满足设备上本地用户相应属性的取值要求,否则当前用户的导入操作将会失败,且导入操作中止。之后,可以根据系统提示信息中的出错行编号选择下次从指定行开始导入剩余用户信息。
CSV文件中的不同用户信息之间用回车换行分隔,且每项信息之间以逗号分隔。如果某项信息中包含逗号,则必须在该条信息两端加双引号。例如:Jack,abc,visit,Jack Chen,ETP,[email protected],1399899,”The manager of ETP, come from TP.”,Sam Wang,Ministry of personnel,[email protected]
本命令支持TFTP和FTP两种文件下载方式,具体的文件URL格式要求如下:
· TFTP协议URL格式:tftp://server/path/filename,server为TFTP服务器IP地址或主机名,例如tftp://1.1.1.1/user/user.csv。
· FTP协议URL格式:
¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中,username为FTP用户名,password为FTP认证密码,server为FTP服务器IP地址或主机名,例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名,则该域名会被设备忽略,例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。
¡ 不需要携带用户名和密码的格式为ftp://path/filename,例如ftp://1.1.1.1/user/user.csv。
【举例】
# 从ftp://1.1.1.1/user/guest.csv路径中导入本地来宾用户信息,用户的有效期为2018/10/01 00:00:00到2019/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user-import class network guest url ftp://1.1.1.1/user/guest.csv validity-datetime 2018/10/01 00:00:00 to 2019/10/02 12:00:00
【相关命令】
· display local-user
· local-user-export class network guest
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password [ { hash | simple } string ]
undo password
【缺省情况】
不存在本地用户密码,且本地用户认证时不能成功。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
hash:表示以哈希方式设置密码。
simple:表示以明文方式设置密码,该密码将以哈希方式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串。
【使用指导】
如果不指定任何参数,则表示以交互式设置明文形式的密码。
可以不为本地用户设置密码。若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。为提高用户账户的安全性,建议设置本地用户密码。
在全局Password Control功能处于开启的情况下,需要注意的是:
· 所有历史密码都以哈希方式存储。
· 当前登录用户以明文方式修改自己的密码时,需要首先提供现有的明文密码,然后保证输入的新密码与所有历史密码不同,且至少要与现有密码存在4个不同字符的差异。
· 当前登录用户以明文方式修改其它用户的密码时,需要保证新密码与所有历史密码不同。
· 当前登录用户删除自己的密码时,需要提供现有的明文密码。
· 其它情况下,均不需要提供现有明文密码,也不与历史密码进行比较。
【举例】
# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
# 以交互式方式设置设备管理类本地用户test的密码。
<Sysname> system-view
[Sysname] local-user test class manage
[Sysname-luser-manage-test] password
Password:
confirm :
【相关命令】
· display local-user
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password { cipher | simple } string
undo password
【缺省情况】
不存在本地用户密码,但本地用户认证时不能成功。
【视图】
网络接入类本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;密文密码为1~117个字符的字符串。
【使用指导】
为提高用户账户的安全性,建议设置本地用户密码。
【举例】
# 设置网络接入类本地用户user1的密码为明文123456TESTuser&!。
<Sysname> system-view
[Sysname] local-user user1 class network
[Sysname-luser-network-user1] password simple 123456TESTuser&!
【相关命令】
· display local-user
phone命令用来配置本地来宾用户的电话号码。
undo phone命令用来恢复缺省情况。
【命令】
phone phone-number
undo phone
【缺省情况】
未配置本地来宾用户电话号码。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
phone-number:本地来宾用户的电话号码,为1~32个字符的字符串。
【举例】
# 配置本地来宾用户abc的电话号码为13813723920。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] phone 13813723920
【相关命令】
· display local-user
reset local-guest waiting-approval命令用来清除待审批的来宾用户注册信息。
【命令】
reset local-guest waiting-approval [ user-name user-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name user-name:来宾用户名称,为1~55个字符的字符串,区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”,且不能为“a”、“al”或“all”。若user-name中包含了“@”符号,则它的格式必须为“xxx@yyy”,其中,xxx区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;yyy不区分大小写,不能包含符号“@”。若不指定该参数,则表示所有来宾用户。
【举例】
# 清除所有待审批的来宾用户注册信息。
<Sysname> reset local-guest waiting-approval
【相关命令】
· display local-guest waiting-approval
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
【命令】
service-type { advpn | ftp | ike | ipoe | lan-access | { http | https | ssh | telnet | terminal } * | portal | ppp | sslvpn }
undo service-type { advpn | ftp | ike | ipoe | lan-access | { http | https | ssh | telnet | terminal } * | portal | ppp | sslvpn }
【缺省情况】
系统不对用户授权任何服务,即用户不能使用任何服务。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
advpn:指定用户可以使用ADVPN服务。
ftp:指定用户可以使用FTP服务。若授权FTP服务,授权目录可以通过authorization-attribute work-directory命令来设置。
http:指定用户可以使用HTTP服务。
https:指定用户可以使用HTTPS服务。
ike:指定用户可以使用IKE扩展认证服务。
ipoe:指定用户可以使用IPoE服务。
lan-access:指定用户可以使用lan-access服务。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口登录)。
portal:指定用户可以使用Portal服务。
ppp:指定用户可以使用PPP服务。
sslvpn:指定用户可以使用SSL VPN服务。
【使用指导】
可以通过多次执行本命令,设置用户可以使用多种服务类型。
【举例】
# 指定设备管理类用户可以使用Telnet服务和FTP服务。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] service-type telnet
[Sysname-luser-manage-user1] service-type ftp
【相关命令】
· display local-user
sponsor-department命令用来配置本地来宾用户接待人所属部门。
undo sponsor-department命令用来恢复缺省情况。
【命令】
sponsor-department department-string
undo sponsor-department
【缺省情况】
未配置本地来宾用户接待人所属部门。
【视图】
【缺省用户角色】
network-admin
context-admin
【参数】
department-string:本地来宾用户接待人所属部门名称,为1~127个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc的接待人所属部门为test。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] sponsor-department test
【相关命令】
· display local-user
sponsor-email命令用来配置本地来宾用户接待人的Email地址。
undo sponsor-email命令用来恢复缺省情况。
【命令】
sponsor-email email-string
undo sponsor-email
【缺省情况】
未配置本地来宾用户接待人的Email地址。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
email-string:本地来宾接待人的Email地址,为1~255个字符的字符串,区分大小写,必须且最多只能携带一个“@”符号,不能仅为“@”。
【举例】
# 配置本地来宾用户abc的接待人Email地址为[email protected]。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] sponsor-email [email protected]
【相关命令】
· display local-user
sponsor-full-name命令用来配置本地来宾用户的接待人姓名。
undo sponsor-full-name命令用来恢复缺省情况。
【命令】
sponsor-full-name name-string
undo sponsor-full-name
【缺省情况】
未配置本地来宾用户的接待人姓名。
【视图】
本地来宾用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
name-string:本地来宾用户接待人姓名,为1~255个字符的字符串,区分大小写。
【举例】
# 配置本地来宾用户abc的接待人姓名为Sam Li。
<Sysname> system-view
[Sysname] local-user abc class network guest
[Sysname-luser-network(guest)-abc] sponsor-full-name Sam Li
【相关命令】
· display local-user
state命令用来设置当前本地用户的状态。
undo state命令用来恢复缺省情况。
【命令】
state { active | block }
undo state
【缺省情况】
本地用户处于活动状态。
【视图】
本地用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
active:指定当前本地用户处于活动状态,即系统允许当前本地用户请求网络服务。
block:指定当前本地用户处于“阻塞”状态,即系统不允许当前本地用户请求网络服务。
【举例】
# 设置设备管理类本地用户user1处于“阻塞”状态。
<Sysname> system-view
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] state block
【相关命令】
· display local-user
user-group命令用来创建用户组,并进入用户组视图。如果指定的用户组已经存在,则直接进入用户组视图。
undo user-group命令用来删除指定的用户组。
【命令】
user-group group-name
undo user-group group-name
【缺省情况】
存在一个用户组,名称为system。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:用户组名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
用户组是一个本地用户的集合,某些需要集中管理的属性可在用户组中统一配置和管理。
不允许使用undo user-group命令删除一个包含本地用户的用户组。
不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。
【举例】
# 创建名称为abc的用户组并进入其视图。
<Sysname> system-view
[Sysname] user-group abc
[Sysname-ugroup-abc]
【相关命令】
· display user-group
validity-datetime命令用来配置网络接入类本地用户的有效期。
undo validity-datetime命令用来恢复缺省情况。
【命令】
(网络接入类本地用户视图)
validity-datetime { from start-date start-time to expiration-date expiration-time | from start-date start-time | to expiration-date expiration-time }
undo validity-datetime
(本地来宾用户视图)
validity-datetime from start-date start-time to expiration-date expiration-time
undo validity-datetime
【缺省情况】
未限制网络接入类本地用户的有效期,该用户始终有效。
【视图】
网络接入类本地用户视图/本地来宾用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
from:指定用户有效期的开始日期和时间。若不指定该参数,则表示仅限定用户有效期的结束日期和时间。
start-date:用户有效期的开始日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
start-time:用户有效期的开始时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将start-time参数设置为0表示零点。
to:指定用户有效期的结束日期和结束时间。若不指定该参数,则表示仅限定用户有效期的开始日期和时间。
expiration-date:用户有效期的结束日期,格式为MM/DD/YYYY(月/日/年)或者YYYY/MM/DD(年/月/日),MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。
expiration-time:用户有效期的结束时间,格式为HH:MM:SS(小时:分钟:秒),HH取值范围为0~23,MM和SS取值范围为0~59。如果要设置成整分,则可以不输入秒;如果要设置成整点,则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。
【使用指导】
网络接入类本地用户在有效期内才能认证成功。
若同时指定了有效期的开始时间和结束时间,则有效期的结束时间必须晚于起始时间。
如果仅指定了有效期的开始时间,则表示该时间到达后,用户一直有效。
如果仅指定了有效期的结束时间,则表示该时间到达前,用户一直有效。
【举例】
# 配置网络接入类本地用户123的有效期为2018/10/01 00:00:00到2019/10/02 12:00:00。
<Sysname> system-view
[Sysname] local-user 123 class network
[Sysname-luser-network-123] validity-datetime from 2018/10/01 00:00:00 to 2019/10/02 12:00:00
【相关命令】
· display local-user
aaa device-id命令用来配置设备ID。
undo aaa device-id命令用来恢复缺省情况。
【命令】
aaa device-id device-id
undo aaa device-id
【缺省情况】
设备ID为0。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
device-id:设备ID,取值范围为1~255。
【使用指导】
RADIUS计费过程使用Acct-Session-Id属性作为用户的计费ID。设备会为每个在线用户生成一个唯一的Acct-Session-Id值。设备ID是Acct-Session-Id属性值中的一个组成字段。
修改后的设备ID仅对新上线用户生效。
【举例】
# 配置设备ID为1。
<Sysname> system-view
[Sysname] aaa device-id 1
accounting-on enable命令用来开启accounting-on功能。
undo accounting-on enable命令用来关闭accounting-on功能。
【命令】
accounting-on enable [ interval interval | send send-times ] *
undo accounting-on enable
【缺省情况】
accounting-on功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval interval:指定accounting-on报文重发时间间隔,取值范围为1~15,单位为秒,缺省值为3。
send send-times:指定accounting-on报文的最大发送次数,取值范围为1~255,缺省值为50。
【使用指导】
accounting-on功能使得整个设备在重启之后通过发送accounting-on报文通知该方案所使用的RADIUS计费服务器,要求RADIUS服务器停止计费且强制该设备的用户下线。
开启accounting-on功能后,请执行save命令保证accounting-on功能在整个设备下次重启后生效。关于命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。
本命令设置的accounting-on参数会立即生效。
【举例】
# 在RADIUS方案radius1中,开启accounting-on功能并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on enable interval 5 send 15
【相关命令】
· display radius scheme
accounting-on extended命令用来开启accounting-on扩展功能。
undo accounting-on extended命令用来关闭accounting-on扩展功能。
【命令】
accounting-on extended
undo accounting-on extended
【缺省情况】
accounting-on扩展功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
accounting-on扩展功能是为了适应分布式架构而对accounting-on功能的增强。只有在accounting-on功能开启的情况下,accounting-on扩展功能才能生效。
accounting-on扩展功能适用于PPP(L2TP组网的LAC侧)、IPoE和lan-access用户,该类型的用户数据均保存在用户接入的单板上。开启accounting-on扩展功能后,当有用户发起接入认证的单板重启时(整机未重启),设备会向RADIUS服务器发送携带单板标识的accounting-on报文,用于通知RADIUS服务器对该单板的用户停止计费且强制用户下线。accounting-on报文的重发间隔时间以及最大发送次数由accounting-on enable命令指定。如果自上一次重启之后,单板上没有用户接入认证的记录,则该单板再次重启,并不会触发设备向RADIUS服务器发送携带单板标识的accounting-on报文。
开启accounting-on扩展功能后,请执行save命令保证accounting-on扩展功能在单板下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。
【举例】
# 在RADIUS方案radius1中,开启accounting-on扩展功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] accounting-on extended
【相关命令】
· accounting-on enable
· display radius scheme
attribute 15 check-mode命令用来配置对RADIUS Attribute 15的检查方式。
undo attribute 15 check-mode命令用来恢复缺省情况。
【命令】
attribute 15 check-mode { loose | strict }
undo attribute 15 check-mode
【缺省情况】
对RADIUS Attribute 15的检查方式为strict方式。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
loose:松散检查方式,设备使用RADIUS Attribute 15的标准属性值对用户业务类型进行检查。 对于SSH、FTP、Terminal用户,在RADIUS服务器下发的Login-Service属性值为0(表示用户业务类型为Telnet)时才,这类用户才能够通过认证。
strict:严格检查方式,设备使用RADIUS Attribute 15的标准属性值以及扩展属性值对用户业务类型进行检查。对于SSH、FTP、Terminal用户,当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时,这类用户才能够通过认证。
【使用指导】
由于某些RADIUS服务器不支持自定义的属性,无法下发扩展的Login-Service属性,若要使用这类RADIUS服务器对SSH、FTP、Terminal用户进行认证,建议设备上对RADIUS 15号属性值采用松散检查方式。
【举例】
# 在RADIUS方案radius1中,配置对RADIUS Attribute 15采用松散检查方式。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 15 check-mode loose
【相关命令】
· display radius scheme
attribute 17 old-password命令用来开启使用RADIUS Attribute 17支持在线修改用户密码功能。
undo attribute 17 old-password命令用来恢复缺省情况。
【命令】
attribute 17 old-password
undo attribute 17 old-password
【缺省情况】
不支持在线修改用户密码功能。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
可以通过本命令控制设备是否使用RADIUS 17号属性来支持用户在线修改密码。开启本功能后,设备在收到用户的密码修改请求后,会向用户认证上线的RADIUS服务器发送一个认证请求报文,在该报文中将用户的新密码和旧密码分别携带在2号、17号标准属性中。如果该方案下的RADIUS服务器支持用户在线修改密码,则会响应此认证请求。
目前,仅部分RADIUS服务器可支持SSL VPN接入用户在线修改密码,因此请结合实际组网环境开启本功能。若RADIUS服务器不支持此功能,请确保设备上关闭了此功能。
【举例】
# 在RADIUS方案radius1中,开启使用RADIUS Attribute 17属性支持在线修改用户密码功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 17 old-password
【相关命令】
· display radius scheme
attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。
undo attribute 25 car命令用来关闭RADIUS Attribute 25的CAR参数解析功能。
【命令】
attribute 25 car
undo attribute 25 car
【缺省情况】
RADIUS Attribute 25的CAR参数解析功能处于关闭状态。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
RADIUS的25号属性为class属性,该属性由RADIUS服务器下发给设备。目前,某些RADIUS服务器利用class属性来对用户下发CAR参数,可以通过本特性来控制设备是否将RADIUS 25号属性解析为CAR参数,解析出的CAR参数可被用来进行基于用户的流量监管控制。
【举例】
# 在RADIUS方案radius1中,开启RADIUS Attribute 25的CAR参数解析功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 25 car
【相关命令】
· display radius scheme
attribute 31 mac-format命令用来配置RADIUS Attribute 31中的MAC地址格式。
undo attribute 31 mac-format命令用来恢复缺省情况。
【命令】
attribute 31 mac-format section { six | three } separator separator-character { lowercase | uppercase }
undo attribute 31 mac-format
【缺省情况】
RADIUS Attribute 31中的MAC地址为大写字母格式,且被分隔符“-”分成6段,即为HH-HH-HH-HH-HH-HH的格式。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
section:指定MAC地址分段数。
six:表示MAC地址被分为6段,格式为HH-HH-HH-HH-HH-HH。
three:表示MAC地址被分为3段,格式为HHHH-HHHH-HHHH。
separator separator-character:MAC地址的分隔符,为单个字符,区分大小写。
lowercase:表示MAC地址为小写字母格式。
uppercase:表示MAC地址为大写字母格式。
【使用指导】
不同的RADIUS服务器对填充在RADIUS Attribute 31中的MAC地址有不同的格式要求,为了保证RADIUS报文的正常交互,设备发送给服务器的RADIUS Attribute 31号属性中MAC地址的格式必须与服务器的要求保持一致。
【举例】
# 在RADIUS方案radius1中,配置RADIUS Attribute 31的MAC地址格式为hh:hh:hh:hh:hh:hh。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute 31 mac-format section six separator : lowercase
【相关命令】
· display radius scheme
attribute convert命令用来配置RADIUS属性转换规则。
undo attribute convert命令用来删除RADIUS属性转换规则。
【命令】
attribute convert src-attr-name to dest-attr-name { { coa-ack | coa-request } * | { received | sent } * }
undo attribute convert [ src-attr-name ]
【缺省情况】
不存在RADIUS属性转换规则,系统按照标准RADIUS协议对RADIUS属性进行处理。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
src-attr-name:源属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
dest-attr-name:目的属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
coa-ack:COA应答报文。
coa-request:COA请求报文。
received:接收到的DAE报文。
sent:发送的DAE报文。
【使用指导】
RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理。
只有在RADIUS属性解释功能开启之后,RADIUS属性转换规则才能生效。
配置RADIUS属性转换规则时,需要遵循以下原则:
· 源属性内容和目的属性内容的数据类型必须相同。
· 源属性和目的属性的名称不能相同。
· 一个属性只能按照一种方式(按报文类型或报文处理方向)进行转换。
· 一个源属性不能同时转换为多个目的属性。
执行undo attribute convert命令时,如果不指定源属性名称,则表示删除所有RADIUS属性转换规则。
【举例】
# 在RADIUS DAE服务器视图下,配置一条RADIUS属性转换规则,指定将接收到的DAE报文中的Hw-Server-String属性转换为Connect-Info属性。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] attribute convert Hw-Server-String to Connect-Info received
【相关命令】
· attribute translate
attribute convert命令用来配置RADIUS属性转换规则。
undo attribute convert命令用来删除RADIUS属性转换规则。
【命令】
attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute convert [ src-attr-name ]
【缺省情况】
不存在RADIUS属性转换规则,系统按照标准RADIUS协议对RADIUS属性进行处理。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
src-attr-name:源属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
dest-attr-name:目的属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
access-accept:RADIUS认证成功报文。
access-request:RADIUS认证请求报文。
accounting:RADIUS计费报文。
received:接收到的RADIUS报文。
sent:发送的RADIUS报文。
【使用指导】
RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理。
只有在RADIUS属性解释功能开启之后,RADIUS属性转换规则才能生效。
配置RADIUS属性转换规则时,需要遵循以下原则:
· 源属性内容和目的属性内容的数据类型必须相同。
· 源属性和目的属性的名称不能相同。
· 一个属性只能按照一种方式(按报文类型或报文处理方向)进行转换。
· 一个源属性不能同时转换为多个目的属性。
执行undo attribute convert命令时,如果不指定源属性名称,则表示删除所有RADIUS属性转换规则。
【举例】
# 在RADIUS方案radius1中,配置一条RADIUS属性转换规则,指定将接收到的RADIUS报文中的Hw-Server-String属性转换为Connect-Info属性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute convert Hw-Server-String to Connect-Info received
【相关命令】
· attribute translate
attribute reject命令用来配置RADIUS属性禁用。
undo attribute reject命令用来取消配置的RADIUS属性禁用。
【命令】
attribute reject attr-name { { coa-ack | coa-request } * | { received | sent } * }
undo attribute reject [ attr-name ]
【缺省情况】
不存在RADIUS属性禁用规则。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
attr-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
coa-ack:COA应答报文。
coa-request:COA请求报文。
received:接收到的DAE报文。
sent:发送的DAE报文。
【使用指导】
当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时,可以定义基于发送方向的属性禁用规则,使得设备发送RADIUS报文时,将该属性从报文中删除。
当RADIUS服务器发送给设备的某些属性是设备不希望收到的属性时,可以定义基于接收方向的属性禁用规则,使得设备接收RADIUS报文时,不处理报文中的该属性。
当某些类型的属性是设备不希望处理的属性时,可以定义基于类型的属性禁用规则。
只有在RADIUS属性解释功能开启之后,RADIUS属性禁用规则才能生效。
一个属性只能按照一种方式(按报文类型或报文处理方向)进行禁用。
执行undo attribute reject命令时,如果不指定属性名称,则表示删除所有RADIUS属性禁用规则。
【举例】
# 在RADIUS DAE服务器视图下,配置一条RADIUS属性禁用规则,指定禁用发送的DAE报文中的Connect-Info属性。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] attribute reject Connect-Info sent
【相关命令】
· attribute translate
attribute reject命令用来配置RADIUS属性禁用规则。
undo attribute reject命令用来删除RADIUS属性禁用规则。
【命令】
attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }
undo attribute reject [ attr-name ]
【缺省情况】
不存在RADIUS属性禁用规则。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
attr-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。该属性必须为系统支持的属性。
access-accept:RADIUS认证成功报文。
access-request:RADIUS认证请求报文。
accounting:RADIUS计费报文。
received:接收到的RADIUS报文。
sent:发送的RADIUS报文。
【使用指导】
当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时,可以定义基于发送方向的属性禁用规则,使得设备发送RADIUS报文时,将该属性从报文中删除。
当RADIUS服务器发送给设备的某些属性是不希望收到的属性时,可以定义基于接收方向的属性禁用规则,使得设备接收RADIUS报文时,不处理报文中的该属性。
当某些类型的属性是设备不希望处理的属性时,可以定义基于类型的属性禁用规则。
只有在RADIUS属性解释功能开启之后,RADIUS属性禁用规则才能生效。
一个属性只能按照一种方式(按报文类型或报文处理方向)进行禁用。
执行undo attribute reject命令时,如果不指定属性名称,则表示删除所有RADIUS属性禁用规则。
【举例】
# 在RADIUS方案radius1中,配置一条RADIUS属性禁用规则,指定禁用发送的RADIUS报文中的Connect-Info属性。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute reject Connect-Info sent
【相关命令】
· attribute translate
attribute remanent-volume命令用来配置RADIUS Remanent-Volume属性的流量单位。
undo attribute remanent-volume命令用来恢复缺省情况。
【命令】
attribute remanent-volume unit { byte | giga-byte | kilo-byte | mega-byte }
undo attribute remanent-volume unit
【缺省情况】
Remanent-Volume属性的流量单位是千字节。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
byte:表示流量单位为字节。
giga-byte:表示流量单位为千兆字节。
kilo-byte:表示流量单位为千字节。
mega-byte:表示流量单位为兆字节。
【使用指导】
Remanent-Volume属性为H3C自定义RADIUS属性,携带在RADIUS服务器发送给接入设备的认证响应或实时计费响应报文中,用于向接入设备通知在线用户的剩余流量值。设备管理员通过本命令设置的流量单位应与RADIUS服务器上统计用户流量的单位保持一致,否则设备无法正确使用Remanent-Volume属性值对用户进行计费。
【举例】
# 在RADIUS方案radius1中,设置RADIUS服务器下发的Remanent-Volume属性的流量单位为千字节。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute remanent-volume unit kilo-byte
【相关命令】
· display radius scheme
attribute translate命令用来开启RADIUS属性解释功能。
undo attribute translate命令用来关闭RADIUS属性解释功能。
【命令】
attribute translate
undo attribute translate
【缺省情况】
RADIUS属性解释功能处于关闭状态。
【视图】
RADIUS方案视图/RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
不同厂商的RADIUS服务器所支持的RADIUS属性集有所不同,而且相同属性的用途也可能不同。为了兼容不同厂商的服务器的RADIUS属性,需要开启RADIUS属性解释功能,并定义相应的RADIUS属性转换规则和RADIUS属性禁用规则。
【举例】
# 在RADIUS方案radius1中,开启RADIUS属性解释功能。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute translate
【相关命令】
· attribute convert
· attribute reject
attribute vendor-id 2011 version命令用来配置Vendor ID为2011的RADIUS服务器版本号。
undo attribute vendor-id 2011 version命令用来恢复缺省情况。
【命令】
attribute vendor-id 2011 version { 1.0 | 1.1 }
undo attribute vendor-id 2011 version
【缺省情况】
设备采用版本1.0与Vendor ID为2011的RADIUS服务器交互。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
1.0:版本1.0。
1.1:版本1.1。
【使用指导】
当设备与Vendor ID为2011的RADIUS服务器交互时,需要保证本命令设置的服务器版本号与对端服务器的实际版本号一致,否则会导致部分RADIUS属性解析错误。该厂商相关RADIUS属性在设备上的解析情况如下:
· 当RADIUS服务器下发属性HW_ARRT_26_1时,如果设备采用1.0版本,则将该属性解析为用户的上行峰值速率;如果设备采用1.1版本,则将其解析为上行突发尺寸。
· 当RADIUS服务器下发属性HW_ARRT_26_2时,无论设备采用1.0版本或1.1版本,均将该属性解析为用户的上行平均速率。
· 当RADIUS服务器下发属性HW_ARRT_26_3时,如果设备采用1.0版本,则不处理该属性;如果设备采用1.1版本,则将其解析为上行峰值速率。
· 当RADIUS服务器下发属性HW_ARRT_26_4时,如果设备采用1.0版本,则将该属性解析为用户的下行峰值速率;如果设备采用1.1版本,则将其解析为下行突发尺寸。
· 当RADIUS服务器下发属性HW_ARRT_26_5时,无论设备采用1.0版本或1.1版本,均将该属性解析为用户的下行平均速率。
· 当RADIUS服务器下发属性HW_ARRT_26_6时,如果设备采用1.0版本,则不处理该属性;如果设备采用1.1版本,则将其解析为下行峰值速率。
【举例】
# 在RADIUS方案radius1中,配置Vendor ID为2011的RADIUS服务器版本号为1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] attribute vendor-id 2011 version 1.1
【相关命令】
· display radius scheme
client命令用来指定RADIUS DAE客户端。
undo client命令用来删除指定的RADIUS DAE客户端。
【命令】
client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vendor-id 2011 version { 1.0 | 1.1 } | vpn-instance vpn-instance-name ] *
undo client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未指定RADIUS DAE客户端。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip ipv4-address:RADIUS DAE客户端IPv4地址。
ipv6 ipv6-address:RADIUS DAE客户端IPv6地址。
key:与RADIUS DAE客户端交互DAE报文时使用的共享密钥。此共享密钥的设置必须与RADIUS DAE客户端的共享密钥设置保持一致。如果此处未指定本参数,则对应的RADIUS DAE客户端上也必须未指定。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
vendor-id 2011:表示RADIUS DAE客户端的Vendor-ID为2011。
version:版本号。
1.0:版本1.0。
1.1:版本1.1。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:RADIUS DAE客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示RADIUS DAE客户端位于公网中。
【使用指导】
开启RADIUS DAE服务之后,设备会监听并处理指定的RADIUS DAE客户端发起的DAE请求消息(用于动态授权修改或断开连接),并向其发送应答消息。对于非指定的RADIUS DAE客户端的DAE报文进行丢弃处理。
可通过多次执行本命令指定多个RADIUS DAE客户端。
缺省情况下,设备支持与版本1.0的Vendor-ID为2011的RADIUS DAE客户端通信,若对端为1.1版本,则需要通过指定vendor-id 2011 version 1.1参数来保证版本的一致性,否则无法正确解析部分DAE请求。
【举例】
# 设置RADIUS DAE客户端的IP地址为10.110.1.2,与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] client ip 10.110.1.2 key simple 123456
【相关命令】
· radius dynamic-author server
· port
data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情况】
数据流的单位为字节,数据包的单位为包。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【使用指导】
设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADIUS服务器上的流量统计单位保持一致,否则无法正确计费。
【举例】
# 在RADIUS方案radius1中,设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet
【相关命令】
· display radius scheme
display radius scheme命令用来显示RADIUS方案的配置信息。
【命令】
display radius scheme [ radius-scheme-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则表示所有RADIUS方案。
【举例】
# 显示所有RADIUS方案的配置信息。
<Sysname> display radius scheme
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: radius1
Index : 0
Primary authentication server:
IP : 2.2.2.2 Port: 1812
VPN : vpn1
State: Active
Test profile: 132
Probe username: test
Probe interval: 60 minutes
Primary accounting server:
IP : 1.1.1.1 Port: 1813
VPN : Not configured
State: Active
Second authentication server:
IP : 3.3.3.3 Port: 1812
VPN : Not configured
State: Block
Test profile: Not configured
Second accounting server:
IP : 3.3.3.3 Port: 1813
VPN : Not configured
State: Block (mandatory)
Accounting-On function : Enabled
extended function : Disabled
retransmission times : 5
retransmission interval(seconds) : 2
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(seconds) : 22
NAS IP Address : 1.1.1.1
VPN : Not configured
User Name Format : with-domain
Data flow unit : Megabyte
Packet unit : One
Attribute 15 check-mode : Strict
Attribute 25 : CAR
Attribute Remanent-Volume unit : Mega
RADIUS server version (vendor ID 2011) : 1.0
Attribute 31 MAC format : hh:hh:hh:hh:hh:hh
Attribute 17 carry old password : Disabled
------------------------------------------------------------------
表1-5 display radius scheme命令显示信息描述表
字段 |
描述 |
Total 1 RADIUS schemes. |
共计1个RADIUS方案 |
RADIUS scheme name |
RADIUS方案的名称 |
Index |
RADIUS方案的索引号 |
Primary authentication server |
主RADIUS认证服务器 |
Primary accounting server |
主RADIUS计费服务器 |
Second authentication server |
从RADIUS认证服务器 |
Second accounting server |
从RADIUS计费服务器 |
IP |
RADIUS认证/计费服务器IP地址 未配置时,显示为Not configured |
Port |
RADIUS认证/计费服务器接入端口号 未配置时,显示缺省值 |
State |
RADIUS认证/计费服务器目前状态 · Active:激活状态 · Block:自动转换的静默状态 · Block (mandatory):手工配置的静默状态 |
VPN |
RADIUS认证/计费服务器或RADIUS方案所在的VPN 未配置时,显示为Not configured |
Test profile |
探测服务器状态使用的模板名称 |
Probe username |
探测服务器状态使用的用户名 |
Probe interval |
探测服务器状态的周期(单位为分钟) |
Accounting-On function |
accounting-on功能的开启情况 |
extended function |
accounting-on扩展功能的开启情况 |
retransmission times |
accounting-on报文的发送尝试次数 |
retransmission interval(seconds) |
accounting-on报文的重发间隔(单位为秒) |
Timeout Interval(seconds) |
RADIUS服务器超时时间(单位为秒) |
Retransmission Times |
发送RADIUS报文的最大尝试次数 |
Retransmission Times for Accounting Update |
实时计费更新报文的最大尝试次数 |
Server Quiet Period(minutes) |
RADIUS服务器恢复激活状态的时间(单位为分钟) |
Realtime Accounting Interval(seconds) |
实时计费更新报文的发送间隔(单位为秒) |
NAS IP Address |
发送RADIUS报文的源IP地址 未配置时,显示为Not configured |
User Name Format |
发送给RADIUS服务器的用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
Data flow unit |
数据流的单位 |
Packet unit |
数据包的单位 |
Attribute 15 check-mode |
对RADIUS Attribute 15的检查方式,包括以下两种取值: · Strict:表示使用RADIUS标准属性值和私有扩展的属性值进行检查 · Loose:表示使用RADIUS标准属性值进行检查 |
Attribute 25 |
对RADIUS Attribute 25的处理,包括以下两种取值: · Standard:表示不对RADIUS Attribute 25进行解析 · CAR:表示将RADIUS 25号属性解析为CAR参数 |
Attribute Remanent-Volume unit |
RADIUS Remanent-Volume属性的流量单位 |
RADIUS server version (vendor ID 2011) |
Vendor ID为2011的RADIUS服务器版本号,包括1.0和1.1两种取值 |
Attribute 31 MAC format |
RADIUS Attribute 31中携带的MAC地址格式 |
Attribute 17 carry old password |
对 RADIUS Attribute 17 的处理,包括以下两种取值: · Enabled:表示开启了在线用户修改密码功能,使用RADIUS 17号属性携带旧密码 · Disabled:表示不支持在线修改用户密码功能 |
display radius statistics命令用来显示RADIUS报文的统计信息。
【命令】
display radius statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示RADIUS报文的统计信息。
<Sysname> display radius statistics
Auth. Acct. SessCtrl.
Request Packet: 0 0 0
Retry Packet: 0 0 -
Timeout Packet: 0 0 -
Access Challenge: 0 - -
Account Start: - 0 -
Account Update: - 0 -
Account Stop: - 0 -
Terminate Request: - - 0
Set Policy: - - 0
Packet With Response: 0 0 0
Packet Without Response: 0 0 -
Access Rejects: 0 - -
Dropped Packet: 0 0 0
Check Failures: 0 0 0
表1-6 display radius statistics命令显示信息描述表
字段 |
描述 |
Auth. |
认证报文 |
Acct. |
计费报文 |
SessCtrl. |
Session-control报文 |
Request Packet |
发送的请求报文总数 |
Retry Packet |
重传的请求报文总数 |
Timeout Packet |
超时的请求报文总数 |
Access Challenge |
Access challenge报文数 |
Account Start |
计费开始报文的数目 |
Account Update |
计费更新报文的数目 |
Account Stop |
计费结束报文的数目 |
Terminate Request |
服务器强制下线报文的数目 |
Set Policy |
更新用户授权信息报文的数目 |
Packet With Response |
有回应信息的报文数 |
Packet Without Response |
无回应信息的报文数 |
Access Rejects |
认证拒绝报文的数目 |
Dropped Packet |
丢弃的报文数 |
Check Failures |
报文校验错误的报文数目 |
【相关命令】
· reset radius statistics
key命令用来配置RADIUS报文的共享密钥。
undo key命令用来删除RADIUS报文的共享密钥。
【命令】
key { accounting | authentication } { cipher | simple } string
undo key { accounting | authentication }
【缺省情况】
未配置RADIUS报文的共享密钥。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:指定RADIUS计费报文的共享密钥。
authentication:指定RADIUS认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
【使用指导】
设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥,本配置中指定的报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。
必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
【举例】
# 在RADIUS方案radius1中,配置计费报文的共享密钥为明文ok。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] key accounting simple ok
【相关命令】
· display radius scheme
nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。
undo nas-ip命令用来删除指定类型的发送RADIUS报文使用的源IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
【缺省情况】
未指定设备发送RADIUS报文使用的源IP地址,使用系统视图下由命令radius nas-ip指定的源IP地址。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。
RADIUS方案视图和系统视图下均可以配置发送RADIUS报文使用的源IP地址,具体生效情况如下:
· RADIUS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过radius nas-ip命令)对所有RADIUS方案有效。
· RADIUS方案视图下的设置具有更高的优先级。
一个RADIUS方案视图下,最多允许指定一个IPv4源地址和一个IPv6源地址。
如果undo nas-ip命令中不指定任何参数,则表示删除配置的发送RADIUS报文使用的源IPv4地址。
【举例】
# 在RADIUS方案radius1中,设置设备发送RADIUS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] nas-ip 10.1.1.1
【相关命令】
· display radius scheme
· radius nas-ip
port命令用来指定RADIUS DAE服务端口。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
RADIUS DAE服务端口为3799。
【视图】
RADIUS DAE服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
port-number:DAE服务器接收DAE请求消息的UDP端口,取值范围为1~65535。
【使用指导】
必须保证设备上的RADIUS DAE服务端口与RADIUS DAE客户端发送DAE报文的目的UDP端口一致。
【举例】
# 开启RADIUS DAE服务后,指定DAE服务端口为3790。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server] port 3790
【相关命令】
· client
· radius dynamic-author server
primary accounting命令用来配置主RADIUS计费服务器。
undo primary accounting命令用来恢复缺省情况。
【命令】
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo primary accounting
【缺省情况】
未配置主RADIUS计费服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS计费服务器的IPv6地址。
port-number:主RADIUS计费服务器的UDP端口号,取值范围为1~65535,缺省值为1813。
key:与主RADIUS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:主RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主RADIUS计费服务器位于公网中。
【使用指导】
配置的主计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同。
设备与主计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用key accounting命令设置的共享密钥。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级。
如果在计费开始请求报文发送过程中修改或删除了正在使用的主计费服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信;如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地,这将造成对用户计费的不准确。
【举例】
# 在RADIUS方案radius1中,配置主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· secondary accounting (RADIUS scheme view)
· vpn-instance (RADIUS scheme view)
primary authentication命令用来配置主RADIUS认证服务器。
undo primary authentication命令用来恢复缺省情况。
【命令】
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name ] *
undo primary authentication
【缺省情况】
未配置RADIUS主认证服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:主RADIUS认证服务器的IPv6地址。
port-number:主RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省值为1812。此端口号必须与服务器提供认证服务的端口号保持一致。
key:与主RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
test-profile profile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:主RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主RADIUS认证服务器位于公网中。
【使用指导】
配置的主认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同。
设备与主认证服务器通信时优先使用本命令设置的共享密钥,如果本命令中未设置,则使用key authenticaiton命令设置的共享密钥。
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。
如果在认证过程中修改或删除了正在使用的主认证服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。
【举例】
# 在RADIUS方案radius1中,配置主认证服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· radius-server test-profile
· secondary authentication (RADIUS scheme view)
· vpn-instance (RADIUS scheme view)
radius attribute extended命令用来定义RADIUS扩展属性。
undo radius attribute extended命令用来删除定义的RADIUS扩展属性。
【命令】
radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }
undo radius attribute extended [ attribute-name ]
【缺省情况】
不存在自定义RADIUS扩展属性。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
attribute-name:RADIUS属性名称,为1~63个字符的字符串,不区分大小写。该名称不能与系统已支持的(包括标准的以及自定义的)RADIUS属性名称相同。
vendor vendor-id:RADIUS属性所属的设备厂商标识。vendor-id为厂商标识号码,取值范围为1~65535。如果不指定该参数,则表示RADIUS属性为标准属性。
code attribute-code:RADIUS属性在RADIUS属性集里的序号,取值范围为1~255。
type:属性内容的数据类型,包括以下取值:
· binary:二进制类型。
· date:时间类型。
· integer:整数类型。
· interface-id:接口ID类型。
· ip:IPv4地址类型。
· ipv6:IPv6地址类型。
· ipv6-prefix:IPv6地址前缀类型。
· octets:八进制类型。
· string:字符串类型。
【使用指导】
当系统需要支持其他厂商的私有RADIUS属性时,可以通过radius attribute extended命令为其定义为一个扩展属性,并通过attribute convert命令将其映射到系统可以识别的一个已知属性。这样,当RADIUS服务器发送给设备的RADIUS报文中携带了此类不可识别的私有属性时,设备将根据已定义的属性转换规则将其转换为可处理的属性。同理,设备在发送RADIUS报文时也可以将自己可识别的属性转换为服务器能识别的属性。
每一个RADIUS属性有唯一的属性名称,且该属性的名称、设备厂商标识以及序号的组合必须在设备上唯一。
执行undo radius attribute extended命令时,如果不指定属性名称,则表示删除所有已定义RADIUS扩展属性。
【举例】
# 配置一个RADIUS扩展属性,名称为Owner-Password,Vendor ID为122,属性序号为80,类型为字符串。
<Sysname> system-view
[Sysname] radius attribute extended Owner-Password vendor 122 code 80 type string
【相关命令】
· attribute convert
· attribute reject
radius dscp命令用来配置RADIUS协议报文的DSCP优先级。
undo radius dscp命令用来恢复缺省情况。
【命令】
radius [ ipv6 ] dscp dscp-value
undo radius [ ipv6 ] dscp
【缺省情况】
RADIUS报文的DSCP优先级为0。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6:表示设置IPv6 RADIUS报文。若不指定该参数,则表示设置IPv4 RADIUS报文。
dscp-value:RADIUS报文的DSCP优先级,取值范围为0~63。取值越大,优先级越高。
【使用指导】
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定设备发送的RADIUS报文携带的DSCP优先级的取值。
【举例】
# 配置IPv4 RADIUS报文的DSCP优先级为10。
<Sysname> system-view
[Sysname] radius dscp 10
radius dynamic-author server命令用来开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
undo radius dynamic-author server命令用来关闭RADIUS DAE服务。
【命令】
radius dynamic-author server
undo radius dynamic-author server
【缺省情况】
RADIUS DAE服务处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启RADIUS DAE服务后,设备将会监听指定的RADIUS DAE客户端发送的DAE请求消息,然后根据请求消息修改用户授权信息、断开用户连接请求。
【举例】
# 开启RADIUS DAE服务,并进入RADIUS DAE服务器视图。
<Sysname> system-view
[Sysname] radius dynamic-author server
[Sysname-radius-da-server]
【相关命令】
· client
· port
radius nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。
undo radius nas-ip命令用来删除指定的发送RADIUS报文使用的源IP地址。
【命令】
radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo radius nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未指定发送RADIUS报文使用的源IP地址,设备将使用到达RADIUS服务器的路由出接口的主IPv4地址或IPv6地址作为发送RADIUS报文的源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
【使用指导】
RADIUS服务器上通过IP地址来标识接入设备,并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。为保证RADIUS报文可被服务器正常接收并处理,接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。
RADIUS方案视图和系统视图下均可以配置发送RADIUS报文使用的源IP地址,具体情况如下:
· RADIUS方案视图下配置的源IP地址(通过nas-ip命令)只对本RADIUS方案有效。
· 系统视图下的配置的源IP地址(通过radius nas-ip命令)对所有RADIUS方案有效。
· RADIUS方案视图下的设置具有更高的优先级。
系统视图下最多允许指定16个源地址。其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址。对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址。
【举例】
# 设置设备发送RADIUS报文使用的源IP地址为129.10.10.1。
<Sysname> system-view
[Sysname] radius nas-ip 129.10.10.1
【相关命令】
· nas-ip (RADIUS scheme view)
radius scheme命令用来创建RADIUS方案,并进入RADIUS方案视图。如果指定的RADIUS方案已经存在,则直接进入RADIUS方案视图。
undo radius scheme命令用来删除指定的RADIUS方案。
【命令】
radius scheme radius-scheme-name
undo radius scheme radius-scheme-name
【缺省情况】
不存在RADIUS方案。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
radius-scheme-name:RADIUS方案的名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个RADIUS方案可以同时被多个ISP域引用。
系统最多支持配置16个RADIUS方案。
【举例】
# 创建名为radius1的RADIUS方案并进入其视图。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1]
【相关命令】
· display radius scheme
radius session-control client命令用来指定session control客户端。
undo radius session-control client命令用来删除指定的session control客户端。
【命令】
radius session-control client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo radius session-control client { all | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }
【缺省情况】
未指定session control客户端。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip ipv4-address:session control客户端的IPv4地址。
ipv6 ipv6-address:session control客户端的IPv6地址。
key:与session control客户端交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:session control客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示session control客户端属于公网。
all:表示所有session control客户端。
【使用指导】
设备和H3C的iMC RADIUS服务器配合使用时,将作为session control服务器端与其交互,因此需要指定session control客户端来验证收到的session control报文的合法性。当设备收到服务器发送的session control报文时,直接根据报文的源IP地址、VPN属性与已有的session control客户端配置进行匹配,并使用匹配到的客户端共享密钥对报文进行验证。如果报文匹配失败或设备上未配置session control客户端,则使用已有的RADIUS方案配置进行匹配,并使用匹配到的认证服务器的共享密钥对报文进行验证。
指定的session control客户端仅在RADIUS session control功能处于开启状态时生效。
配置的session control客户端参数必须与服务器的配置保持一致。
系统支持指定多个session control客户端。
【举例】
# 指定一个session control客户端IP地址为10.110.1.2,共享密钥为明文12345。
<Sysname> system-view
[Sysname] radius session-control client ip 10.110.1.2 key simple 12345
【相关命令】
· radius session-control enable
radius session-control enable命令用来开启RADIUS session control功能。
undo radius session-control enable命令用来关闭RADIUS session control功能。
【命令】
radius session-control enable
undo radius session-control enable
【缺省情况】
RADIUS session control功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
H3C iMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。开启RADIUS session control功能后,设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。
该功能仅能和H3C iMC的RADIUS服务器配合使用。
【举例】
# 开启RADIUS session control功能。
<Sysname> system-view
[Sysname] radius session-control enable
radius trap-version命令用来配置发送RADIUS告警信息采用的MIB节点版本。
undo radius trap-version命令用来恢复缺省情况。
【命令】
radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *
undo radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *
【缺省情况】
使用v1版本的MIB节点发送RADIUS告警信息。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
v1:采用v1版本的MIB节点发送RADIUS告警信息。
v2:采用v2版本的MIB节点发送RADIUS告警信息。
accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息。
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息。
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息。
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息。
【使用指导】
请按照NMS(Network Management System,网络管理系统)的要求,选择设备需要采用的发送RADIUS告警信息采用的MIB节点版本。
表1-7 v1版本的MIB节点
MIB节点名 |
OID |
hh3cRadiusAuthServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.1 |
hh3cRadiusAccServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.2 |
hh3cRadiusAuthServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.1 |
hh3cRadiusAccServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.2 |
表1-8 v2版本的MIB节点
MIB节点名 |
OID |
hh3cRadiusAuthenticationServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.4 |
hh3cRadiusAccountingServerUpTrap |
1.3.6.1.4.1.25506.2.13.3.0.5 |
hh3cRadiusAuthenticationServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.0.6 |
hh3cRadiusAccountingServerDownTrap |
1.3.6.1.4.1.25506.2.13.3.0.7 |
若不指定任何参数,则表示设备发送所有类型的RADIUS服务器状态变化告警信息时,均采用相同版本的MIB节点。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置在RADIUS计费服务器可达状态变为down时发送告警信息采用v2版本的MIB节点。
<Sysname> system-view
[Sysname] radius trap-version v2 accounting-server-down
【相关命令】
· snmp-agent trap enable radius
radius-server test-profile命令用来配置RADIUS服务器探测模板。
undo radius-server test-profile命令用来删除指定的RADIUS服务器探测模板。
【命令】
radius-server test-profile profile-name username name [ interval interval ]
undo radius-server test-profile profile-name
【缺省情况】
不存在RADIUS服务器探测模板。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
profile-name:探测模板名称,为1~31个字符的字符串,区分大小写。
username name:探测报文中的用户名,为1~253个字符的字符串,区分大小写。
interval interval:发送探测报文的周期,取值范围为1~3600,单位为分钟,缺省值为60。
【使用指导】
RADIUS方案视图下的RADIUS服务器配置成功引用了某探测模板后,若被引用的探测模板存在,则设备将会启动对该RADIUS服务器的可达性探测。若被引用的探测模板暂不存在,则当该探测模板被成功配置时,针对该服务器的探测过程才会开始。
设备采用探测模板中配置的探测用户名、密码构造一个认证请求报文,并在探测周期内选择随机时间点向引用了探测模板的RADIUS服务器发送该报文。如果在本次探测周期内收到服务器的认证响应报文,则认为当前探测周期内该服务器可达。
删除一个RADIUS服务器探测模板时,引用该探测模板的所有RADIUS方案中的RADIUS服务器的探测功能也会被关闭。
系统支持配置多个RADIUS服务器探测模板。
【举例】
# 配置RADIUS服务器探测模板abc,探测报文中携带的用户名为admin,探测报文的发送间隔为10分钟。
<Sysname> system-view
[Sysname] radius-server test-profile abc username admin interval 10
【相关命令】
· primary authentication (RADIUS scheme view)
· secondary authentication (RADIUS scheme view)
reset radius statistics命令用来清除RADIUS协议的统计信息。
【命令】
reset radius statistics
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 清除RADIUS协议的统计信息。
<Sysname> reset radius statistics
【相关命令】
· display radius statistics
retry命令用来设置发送RADIUS报文的最大尝试次数。
undo retry命令用来恢复缺省情况。
【命令】
retry retries
undo retry
【缺省情况】
发送RADIUS报文的最大尝试次数为3次。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
retries:发送RADIUS报文的最大尝试次数,取值范围为1~20。
【使用指导】
由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内(由timer response-timeout命令配置)没有收到RADIUS服务器的响应,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数已达到最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次请求失败。
需要注意的是:
· 发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线。
· 设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败。因此,为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间。
【举例】
# 在RADIUS方案radius1中,设置发送RADIUS报文的最大尝试次数为5次。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry 5
【相关命令】
· radius scheme
· timer response-timeout (RADIUS scheme view)
retry realtime-accounting命令用来设置允许发起实时计费请求的最大尝试次数。
undo retry realtime-accounting命令用来恢复缺省情况。
【命令】
retry realtime-accounting retries
undo retry realtime-accounting
【缺省情况】
设备允许发起实时计费请求的最大尝试次数为5。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
retries:允许发起实时计费请求的最大尝试次数,取值范围为1~255。
【使用指导】
RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文,它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性,有必要在不可预见的故障条件下,尽量保持设备端与RADIUS服务器同步切断用户连接。设备提供对实时计费请求连续无响应次数限制的设置,保证设备尽可能得在RADIUS服务器的连接超时时长内向RADIUS服务器尝试发出实时计费请求。如果设备没有收到响应的次数超过了设定的限度,才会切断用户连接。
假设RADIUS服务器的应答超时时长(timer response-timeout命令设置)为3秒,发送RADIUS报文的最大尝试次数(retry命令设置)为3,设备的实时计费间隔(timer realtime-accounting命令设置)为12分钟,设备允许实时计费无响应的最大次数为5次(retry realtime-accounting命令设置),则其含义为:设备每隔12分钟发起一次计费请求,如果3秒钟得不到回应就重新发起一次请求,如果3次发送都没有得到回应就认为该次实时计费失败,然后每隔12分钟再发送一次,5次均失败以后,设备将切断用户连接。
【举例】
# 在RADIUS方案radius1中,设置允许发起实时计费请求的最大尝试次数为10。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] retry realtime-accounting 10
【相关命令】
· retry
· timer realtime-accounting (RADIUS scheme view)
· timer response-timeout (RADIUS scheme view)
secondary accounting命令用来配置从RADIUS计费服务器。
undo secondary accounting命令用来删除指定的从RADIUS计费服务器。
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *
undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从RADIUS计费服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从RADIUS计费服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS计费服务器的IPv6地址。
port-number:从RADIUS计费服务器的UDP端口号,取值范围为1~65535,缺省值为1813。
key:与从RADIUS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
vpn-instance vpn-instance-name:从RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从RADIUS计费服务器位于公网中。
【使用指导】
配置的从计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、IP地址、端口号也不能完全相同。
设备与从计费服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key accounting命令设置的共享密钥。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。
如果在计费开始请求报文发送过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。
如果在线用户正在使用的计费服务器被删除,则设备将无法发送用户的实时计费请求和停止计费请求,且停止计费报文不会被缓存到本地。
【举例】
# 在RADIUS方案radius1中,配置从计费服务器的IP地址为10.110.1.1,使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813
# 在RADIUS方案radius2中,配置两个从计费服务器,IP地址分别为10.110.1.1、10.110.1.2,且均使用UDP端口1813提供RADIUS计费服务。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813
[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· primary accounting
· vpn-instance (RADIUS scheme view)
secondary authentication命令用来配置从RADIUS认证服务器。
undo secondary authentication命令用来删除指定的从RADIUS认证服务器。
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name ] *
undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从RADIUS认证服务器。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从RADIUS认证服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS认证服务器的IPv6地址。
port-number:从RADIUS认证服务器的UDP端口号,取值范围为1~65535,缺省值为1812。
key:与从RADIUS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~64个字符的字符串;密文密钥为1~117个字符的字符串。
test-profile profile-name:RADIUS服务器探测模板名称,为1~31个字符的字符串,区分大小写。
vpn-instance vpn-instance-name:从RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从RADIUS认证服务器位于公网中。
【使用指导】
配置的从认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
每个RADIUS方案中最多支持配置16个从RADIUS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
RADIUS认证服务器引用了存在的服务器探测模板后,将会触发对该服务器的探测功能。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、IP地址、端口号也不能完全相同。
设备与从认证服务器通信时优先使用本命令设置的共享密钥,如果此处未设置,则使用命令key authentication命令设置的共享密钥。
若服务器位于MPLS VPN私网中,为保证RADIUS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。
如果在认证过程中删除了正在使用的从服务器配置,则设备在与当前服务器通信超时后,将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。
【举例】
# 在RADIUS方案radius1中,配置从认证服务器的IP地址为10.110.1.2,使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812
# 在RADIUS方案radius2中,配置两个从认证服务器,IP地址分别为10.110.1.1、10.110.1.2,且均使用UDP端口1812提供RADIUS认证/授权服务。
<Sysname> system-view
[Sysname] radius scheme radius2
[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812
[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812
【相关命令】
· display radius scheme
· key (RADIUS scheme view)
· primary authentication (RADIUS scheme view)
· radius-server test-profile
· vpn-instance (RADIUS scheme view)
snmp-agent trap enable radius命令用来开启RADIUS告警功能。
undo snmp-agent trap enable radius命令用来关闭指定的RADIUS告警功能。
【命令】
snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
undo snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *
【缺省情况】
所有类型的RADIUS告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting-server-down:表示RADIUS计费服务器可达状态变为down时发送告警信息。
accounting-server-up:表示RADIUS计费服务器可达状态变为up时发送告警信息。
authentication-error-threshold:表示认证失败次数超过阈值时发送告警信息。该阈值为认证失败次数占认证请求总数的百分比数值,目前仅能通过MIB方式配置,取值范围为1~100,缺省为30。
authentication-server-down:表示RADIUS认证服务器可达状态变为down时发送告警信息。
authentication-server-up:表示RADIUS认证服务器可达状态变为up时发送告警信息。
【使用指导】
不指定任何参数时,表示开启或关闭所有类型的RADIUS告警功能。
开启RADIUS服务器告警功能后,系统将会生成以下几种告警信息:
· RADIUS服务器不可达的告警:当NAS向RADIUS服务器发送计费或认证请求没有收到响应时,会重传请求,当重传次数达到最大传送次数时仍然没有收到响应时,则发送该告警信息。
· RADIUS服务器可达的告警:当timer quiet定时器设定的时间到达后,NAS将服务器的状态置为激活状态并发送该告警信息。
· 认证失败次数超过阈值的告警:当NAS发现认证失败次数与认证请求总数的百分比超过阈值时,会发送该告警信息。
【举例】
# 开启RADIUS计费服务器可达状态变为down时的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable radius accounting-server-down
state primary命令用来设置主RADIUS服务器的状态。
【命令】
state primary { accounting | authentication } { active | block }
【缺省情况】
主RADIUS服务器状态为active。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:主RADIUS计费服务器。
authentication:主RADIUS认证服务器。
active:正常工作状态。
block:通信中断状态。
【使用指导】
每次用户发起认证或计费,如果主服务器状态为active,则设备都会首先尝试与主服务器进行通信,如果主服务器不可达,则将主服务器的状态置为block,同时启动主服务器的timer quiet定时器,然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器。在timer quiet定时器设定的时间到达之后,主服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将主服务器的状态手工设置为block,则定时器超时之后主服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。
当主/从服务器状态都是block时,若主服务器状态是自动设置为block且已配置主服务器,则采用主服务器进行认证或计费;若主服务器状态是被手工设置为block或未配置主服务器,则在自动设置为block状态的所有从服务器中按顺序选择从服务器进行认证或计费。
认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active,且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能。
【举例】
# 在RADIUS方案radius1中,设置主认证服务器的状态为block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state primary authentication block
【相关命令】
· display radius scheme
· radius-server test-profile
· state secondary
state secondary命令用来设置从RADIUS服务器的状态。
【命令】
state secondary { accounting | authentication } [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block }
【缺省情况】
从RADIUS服务器状态为active。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:从RADIUS计费服务器。
authentication:从RADIUS认证服务器。
ipv4-address:从RADIUS服务器的IPv4地址。
ipv6 ipv6-address:从RADIUS服务器的IPv6地址。
port-number:从RADIUS服务器的UDP端口号,取值范围为1~65535,从RADIUS计费服务器的缺省UDP端口号为1813,从RADIUS认证服务器的缺省UDP端口号为1812。
vpn-instance vpn-instance-name:从RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称,为1~31个字符的字符串,区分大小写。
active:正常工作状态。
block:通信中断状态。
【使用指导】
如果不指定从服务器IP地址,那么本命令将会修改所有已配置的从认证服务器或从计费服务器的状态。
如果设备查找到的状态为active的从服务器不可达,则设备会将该从服务器的状态置为block,同时启动该服务器的timer quiet定时器,并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后,从服务器状态将由block恢复为active。若该定时器超时之前,通过本命令将从服务器的状态手工设置为block,则定时器超时之后从服务器状态不会自动恢复为active,除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达,则本次认证或计费失败。
认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active,且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时,则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时,会关闭对该服务器的可达性探测功能。
【举例】
# 在RADIUS方案radius1中,设置从认证服务器的状态设置为block。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] state secondary authentication block
【相关命令】
· display radius scheme
· radius-server test-profile
· state primary
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
【命令】
timer quiet minutes
undo timer quiet
【缺省情况】
服务器恢复激活状态的时间为5分钟。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【使用指导】
建议合理设置服务器恢复激活状态的时间:
· 如果服务器恢复激活状态时间设置的过短,就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。
· 如果服务器恢复激活状态时间设置的过长,当服务器恢复可达后,设备不能及时与其进行通信,会降低对用户进行认证或计费的效率。
【举例】
# 在RADIUS方案radius1中,配置服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer quiet 10
【相关命令】
· display radius scheme
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
【命令】
timer realtime-accounting interval [ second ]
undo timer realtime-accounting
【缺省情况】
实时计费的时间间隔为12分钟。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval:实时计费的时间间隔,取值范围为0~71582。
second:表示实时计费的时间间隔以秒为单位,缺省以分钟为单位。
【使用指导】
为了对用户实施实时计费,有必要设置实时计费的时间间隔。不同的取值的处理有所不同:
· 若实时计费间隔不为0,则每隔设定的时间,设备会向RADIUS服务器发送一次在线用户的计费信息。
· 若实时计费间隔设置为0,且服务器上配置了实时计费间隔,则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息;如果服务器上没有配置该值,则设备不向RADIUS服务器发送在线用户的计费信息。
实时计费间隔的取值小,计费准确性高,但对设备和RADIUS服务器的性能要求就高。
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
大于等于1000 |
大于等于15 |
不同情况下修改的实时计费间隔,对于已在线用户的生效情况有所不同:
· 将实时计费间隔从非0有效值改为0,或者从0修改为非0有效值后,已在线用户会依然采用原有取值,修改后的取值对其不生效。
· 将实时计费间隔从某非0有效值修改为其它非0有效值后,已在线用户将会采用修改后的取值。
需要注意的是,无论实时计费间隔取值为多少,对于双栈用户,设备缺省会在用户申请到IPv4地址时为其发送一个计费开始报文,并在随后用户申请到IPv6地址/PD时再发送一个计费更新报文。
对于未进行RADIUS认证和授权,仅进行RADIUS计费的用户,只能使用计费方案下设置的实时计费间隔,不会使用RADIUS服务器设置的实时计费间隔。
【举例】
# 在RADIUS方案radius1中,设置实时计费的时间间隔为51分钟。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer realtime-accounting 51
【相关命令】
· retry realtime-accounting
timer response-timeout命令用来设置RADIUS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情况】
RADIUS服务器响应超时时间为3秒。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
seconds:RADIUS服务器响应超时时间,取值范围为1~10,单位为秒。
【使用指导】
如果在RADIUS请求报文传送出去一段时间后,设备还没有得到RADIUS服务器的响应,则有必要重传RADIUS请求报文,以保证用户尽可能地获得RADIUS服务,这段时间被称为RADIUS服务器响应超时时间,本命令用于调整这个时间。
需要注意的是:
· 发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数,三者的乘积不能超过接入模块定义的用户认证超时时间,否则在RADIUS认证过程完成之前用户就有可能被强制下线。
· 设备在按照配置顺序尝试与下一个RADIUS服务器通信之前,会首先判断当前累计尝试持续时间是否达到或超过300秒,如果超过或达到300秒,将不再向下一个RADIUS服务器发送RADIUS请求报文,即认为该RADIUS请求发送失败。因此,为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到,建议基于配置的RADIUS服务器总数,合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间。
【举例】
# 在RADIUS方案radius1中,设置服务器响应超时时间设置为5秒。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] timer response-timeout 5
【相关命令】
· display radius scheme
· retry
user-name-format命令用来设置发送给RADIUS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情况】
发送给RADIUS服务器的用户名携带ISP域名。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
keep-original:发送给RADIUS服务器的用户名与用户的输入保持一致。
with-domain:发送给RADIUS服务器的用户名携带ISP域名。
without-domain:发送给RADIUS服务器的用户名不携带ISP域名。
【使用指导】
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此,设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。
如果指定某个RADIUS方案不允许用户名中携带有ISP域名,那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但RADIUS服务器认为用户相同(因为传送到它的用户名相同)的错误。
【举例】
# 在RADIUS方案radius1中,设置发送给RADIUS服务器的用户名不得携带域名。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] user-name-format without-domain
【相关命令】
· display radius scheme
vpn-instance命令用来配置RADIUS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
RADIUS方案属于公网。
【视图】
RADIUS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的VPN对于该方案下的所有RADIUS认证/计费服务器生效,但设备优先使用配置RADIUS认证/计费服务器时为各服务器单独指定的VPN。
【举例】
# 配置RADIUS方案radius1所属的VPN为test。
<Sysname> system-view
[Sysname] radius scheme radius1
[Sysname-radius-radius1] vpn-instance test
【相关命令】
· display radius scheme
data-flow-format命令用来配置发送到HWTACACS服务器的数据流及数据包的单位。
undo data-flow-format命令用来恢复缺省情况。
【命令】
data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *
undo data-flow-format { data | packet }
【缺省情况】
数据流的单位为byte,数据包的单位为one-packet。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
data:设置数据流的单位。
· byte:数据流的单位为字节。
· giga-byte:数据流的单位千兆字节。
· kilo-byte:数据流的单位为千字节。
· mega-byte:数据流的单位为兆字节。
packet:设置数据包的单位。
· giga-packet:数据包的单位为千兆包。
· kilo-packet:数据包的单位为千包。
· mega-packet:数据包的单位为兆包。
· one-packet:数据包的单位为包。
【使用指导】
设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致,否则无法正确计费。
【举例】
# 在HWTACACS方案hwt1中,设置发往HWTACACS服务器的数据流的数据单位为千字节、数据包的单位为千包。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet
【相关命令】
· display hwtacacs scheme
display hwtacacs scheme命令用来显示HWTACACS方案的配置信息或HWTACACS服务相关的统计信息。
【命令】
display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
hwtacacs-scheme-name:HWTACACS方案的名称,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则显示所有HWTACACS方案的配置信息。
statistics:显示HWTACACS服务相关的统计信息。不指定该参数,则显示HWTACACS方案的配置信息。
【举例】
# 显示所有HWTACACS方案的配置情况。
<Sysname> display hwtacacs scheme
Total 1 HWTACACS schemes
-------------------------------------------------------------------------
HWTACACS Scheme Name : hwtac
Index : 0
Primary Auth Server:
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Enabled
Primary Author Server:
IP : 2.2.2.2 Port: 49 State: Active
VPN Instance: 2
Single-connection: Disabled
Primary Acct Server:
IP : Not Configured Port: 49 State: Block
VPN Instance: Not configured
Single-connection: Disabled
VPN Instance : 2
NAS IP Address : 2.2.2.3
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(minutes) : 12
Response Timeout Interval(seconds) : 5
Username Format : with-domain
Data flow unit : Byte
Packet unit : one
All-server-block action : Attempt the top-priority server
-------------------------------------------------------------------------
表1-10 display hwtacacs scheme命令显示信息描述表
字段 |
描述 |
Total 1 HWTACACS schemes |
共计1个HWTACACS方案 |
HWTACACS Scheme Name |
HWTACACS方案的名称 |
Index |
HWTACACS方案的索引号 |
Primary Auth Server |
主HWTACACS认证服务器 |
Primary Author Server |
主HWTACACS授权服务器 |
Primary Acct Server |
主HWTACACS计费服务器 |
Secondary Auth Server |
从HWTACACS认证服务器 |
Secondary Author Server |
从HWTACACS授权服务器 |
Secondary Acct Server |
从HWTACACS计费服务器 |
IP |
HWTACACS服务器的IP地址 未配置时,显示为Not configured |
Port |
HWTACACS服务器的端口号 未配置时,显示缺省值 |
State |
HWTACACS服务器目前状态 · Active:激活状态 · Block:静默状态 |
VPN Instance |
HWTACACS服务器或HWTACACS方案所在的VPN 未配置时,显示为Not configured |
Single-connection |
单连接状态 · Enabled:使用一条TCP连接与服务器通信 · Disabled:每次新建TCP连接与服务器通信 |
NAS IP Address |
配置的发送HWTACACS报文的源IP地址 未配置时,显示为Not configured |
Server Quiet Period(minutes) |
主HWTACACS服务器恢复激活状态的时间(分钟) |
Realtime Accounting Interval(minutes) |
实时HWTACACS计费更新报文的发送间隔(分钟) |
Response Timeout Interval(seconds) |
HWTACACS服务器超时时间(秒) |
Username Format |
用户名格式 · with-domain:携带域名 · without-domain:不携带域名 · keep-original:与用户输入保持一致 |
Data flow unit |
数据流的单位 |
Packet unit |
数据包的单位 |
All-server-block action |
当前方案中的服务器都处于block状态后 · Attempt the top-priority server:尝试与当前方案中高优先级的服务器建立一次连接 · Skip all servers in the scheme:跳过当前方案中的所有服务器 |
<Sysname> display hwtacacs scheme tac statistics
HWTACACS scheme name: tac
Primary authentication server: 3.3.3.3
Round trip time: 0 seconds
Request packets: 1
Login request packets: 1
Change-password request packets: 0
Request packets including plaintext password: 0
Request packets including ciphertext password: 0
Response packets: 2
Pass response packets: 1
Failure response packets: 0
Get-data response packets: 0
Get-username response packets: 0
Get-password response packets: 1
Restart response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Continue packets: 1
Continue-abort packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary authorization server: 3.3.3.3
Round trip time: 1 seconds
Request packets: 1
Response packets: 1
PassAdd response packets: 1
PassReply response packets: 0
Failure response packets: 0
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Pending request packets: 0
Timeout packets: 0
Unknown type response packets: 0
Dropped response packets: 0
Primary accounting server: 3.3.3.3
Round trip time: 0 seconds
Request packets: 2
Accounting start request packets: 1
Accounting stop request packets: 1
Accounting update request packets: 0
Pending request packets: 0
Response packets: 2
Success response packets: 2
Error response packets: 0
Follow response packets: 0
Malformed response packets: 0
Timeout response packets: 0
Unknown type response packets: 0
Dropped response packets: 0
表1-11 display hwtacacs scheme statistics命令显示信息描述表
字段 |
描述 |
HWTACACS scheme name |
HWTACACS方案名称 |
Primary authentication server |
主HWTACACS认证服务器 |
Primary authorization server |
主HWTACACS授权服务器 |
Primary accounting server |
主HWTACACS计费服务器 |
Secondary authentication server |
从HWTACACS认证服务器 |
Secondary authorization server |
从HWTACACS授权服务器 |
Secondary accounting server |
从HWTACACS计费服务器 |
Round trip time |
设备处理最近一组响应报文和请求报文的时间间隔(单位为秒) |
Request packets |
发送的请求报文个数 |
Response packets |
接收到的响应报文个数 |
Failure response packets |
认证或授权失败的响应报文个数 |
Error response packets |
错误类型的响应报文个数 |
Follow response packets |
Follow类型的响应报文的个数 |
Malformed response packets |
不合法的响应报文个数 |
Pending request packets |
等待响应的请求报文个数 |
Timeout packets |
超时的请求报文个数 |
Unknown type response packets |
未知报文类型的响应报文个数 |
Dropped response packets |
被丢弃响应报文个数 |
Login request packets |
登录认证的请求报文个数 |
Change-password request packets |
更改密码的请求报文个数 |
Request packets including plaintext passwords |
发送明文密码的请求报文个数 |
Request packets including ciphertext passwords |
发送密文密码的请求报文个数 |
Pass response packets |
表示认证通过的响应报文个数 |
Get-data response packets |
表示获取数据的响应报文个数 |
Get-username response packets |
表示获取用户名的响应报文个数 |
Get-password response packets |
表示获取密码的响应报文个数 |
Restart response packets |
要求重认证的响应报文个数 |
Continue packets |
发送的Continue报文个数 |
Continue-abort packets |
发送的Continue-abort报文个数 |
PassAdd response packets |
接收到的PassAdd类型的响应报文个数。此报文表示同意授权所有请求的属性,并添加其他授权属性 |
PassReply response packets |
接收到的PassReply类型的响应报文个数。此报文表示采用响应报文中指定的授权属性替换请求的授权属性 |
Accounting start request packets |
发送的计费开始请求报文个数 |
Accounting stop request packets |
发送的计费结束请求报文个数 |
Accounting update request packets |
发送的计费更新报文个数 |
Accounting start-and-update request packets |
发送的赋值的计费开始报文的个数 |
Success response packets |
接收到的计费成功的响应报文个数 |
【相关命令】
· reset hwtacacs statistics
hwtacacs nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。
undo hwtacacs nas-ip命令用来删除指定的发送HWTACACS报文使用的源IP地址。
【命令】
hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
undo hwtacacs nas-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]
【缺省情况】
未指定发送HWTACACS报文使用的源IP地址,设备将使用到达HWTACACS服务器的路由出接口的主IPv4地址或IPv6地址作为发送HWTACACS报文的源IP地址。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
vpn-instance vpn-instance-name:指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定该参数,则表示配置的是公网源地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证或计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
系统视图下最多允许指定16个源地址。其中,最多包括一个IPv4公网源地址和一个IPv6公网源地址,其余为私网源地址。对于同一个VPN,系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址。
【举例】
# 设置设备发送HWTACACS报文使用的源IP地址为129.10.10.1。
<Sysname> system-view
[Sysname] hwtacacs nas-ip 129.10.10.1
【相关命令】
· nas-ip (HWTACACS scheme view)
hwtacacs scheme命令用来创建HWTACACS方案,并进入HWTACACS方案视图。如果指定的HWTACACS方案已经存在,则直接进入HWTACACS方案视图。
undo hwtacacs scheme命令用来删除指定的HWTACACS方案。
【命令】
hwtacacs scheme hwtacacs-scheme-name
undo hwtacacs scheme hwtacacs-scheme-name
【缺省情况】
不存在HWTACACS方案。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
hwtacacs-scheme-name:HWTACACS方案名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个HWTACACS方案可以同时被多个ISP域引用。
最多可以配置16个HWTACACS方案。
【举例】
# 创建名称为hwt1的HWTACACS方案并进入相应的HWTACACS视图。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1]
【相关命令】
· display hwtacacs scheme
key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。
undo key命令用来删除指定的HWTACACS报文的共享密钥。
【命令】
key { accounting | authentication | authorization } { cipher | simple } string
undo key { accounting | authentication | authorization }
【缺省情况】
未配置HWTACACS报文的共享密钥。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:指定HWTACACS计费报文的共享密钥。
authentication:指定HWTACACS认证报文的共享密钥。
authorization:指定HWTACACS授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
【使用指导】
必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。
【举例】
# 在HWTACACS方案hwt1中,配置HWTACACS认证报文共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!
# 配置HWTACACS授权报文共享密钥为明文123456TESTautr&!。
[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!
# 配置HWTACACS计费报文共享密钥为明文123456TESTacct&!。
[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。
undo nas-ip命令用来删除指定类型的发送HWTACACS报文使用的源IP地址。
【命令】
nas-ip { ipv4-address | ipv6 ipv6-address }
undo nas-ip [ ipv6 ]
【缺省情况】
未指定设备发送HWTACACS报文使用的源IP地址,使用系统视图下由命令hwtacacs nas-ip指定的源IP地址。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定的源IPv4地址,应该为本机的地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
ipv6 ipv6-address:指定的源IPv6地址,应该为本机的地址,必须是单播地址,不能为环回地址与本地链路地址。
【使用指导】
HWTACACS服务器上通过IP地址来标识接入设备,并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证、授权、计费请求。因此,为保证HWTACACS报文可被服务器正常接收并处理,接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。
为避免物理接口故障时从服务器返回的报文不可达,推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。
HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址,具体生效情况如下:
· HWTACACS方案视图下配置的源IP地址(通过nas-ip命令)只对本方案有效。
· 系统视图下的配置的源IP地址(通过hwtacacs nas-ip命令)对所有HWTACACS方案有效。
· HWTACACS方案视图下的设置具有更高的优先级。
一个HWTACACS方案视图下,最多允许指定一个IPv4源地址和一个IPv6源地址。
如果undo nas-ip命令中不指定任何关键字,则表示删除发送HWTACACS报文使用的源IPv4地址。
【举例】
# 在HWTACACS方案hwt1中,设置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1
【相关命令】
· display hwtacacs scheme
· hwtacacs nas-ip
primary accounting命令用来配置主HWTACACS计费服务器。
undo primary accounting命令用来恢复缺省情况。
【命令】
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary accounting
【缺省情况】
未配置HWTACACS主计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS计费服务器的IPv6地址。
port-number:主HWTACACS计费服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS计费服务器位于公网中。
【使用指导】
配置的主计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hw1
[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary accounting
· vpn-instance (HWTACACS scheme view)
primary authentication命令用来配置主HWTACACS认证服务器。
undo primary authentication命令用来恢复缺省情况。
【命令】
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authentication
【缺省情况】
未配置主HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS认证服务器的IPv6地址。
port-number:主HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS认证服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示向主HWTACACS计费服务器发送计费报文都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS认证服务器位于公网中。
【使用指导】
配置的主认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authentication
· vpn-instance (HWTACACS scheme view)
primary authorization命令用来配置主HWTACACS授权服务器。
undo primary authorization命令用来恢复缺省情况。
【命令】
primary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo primary authorization
【缺省情况】
未配置主HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:主HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:主HWTACACS授权服务器的IPv6地址。
port-number:主HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与主HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:主HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示主HWTACACS授权服务器位于公网中。
【使用指导】
配置的主授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
在同一个方案中指定的主授权服务器和从授权服务器的VPN、IP地址、端口号不能完全相同。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
配置single-connection参数后可节省TCP连接资源,但有些HWTACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
【举例】
# 在HWTACACS方案hwt1中,配置主HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· secondary authorization
· vpn-instance (HWTACACS scheme view)
reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。
【命令】
reset hwtacacs statistics { accounting | all | authentication | authorization }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
accounting:清除HWTACACS协议关于计费的统计信息。
all:清除HWTACACS的所有统计信息。
authentication:清除HWTACACS协议关于认证的统计信息。
authorization:清除HWTACACS协议关于授权的统计信息。
【举例】
# 清除HWTACACS协议的所有统计信息。
<Sysname> reset hwtacacs statistics all
【相关命令】
· display hwtacacs scheme
secondary accounting命令用来配置从HWTACACS计费服务器。
undo secondary accounting命令用来删除指定的从HWTACACS计费服务器。
【命令】
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary accounting [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS计费服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从HWTACACS计费服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS计费服务器的IPv6地址。
port-number:从HWTACACS计费服务器的端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS计费服务器交互的计费报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数,则表示每次计费都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS计费服务器位于公网中。
【使用指导】
配置的从计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从计费服务器。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与计费服务器没有报文交互时,才允许删除该服务器。计费服务器删除后,只对之后的计费过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS计费服务器的IP地址为10.163.155.12,使用TCP端口49与HWTACACS计费服务器通信,计费报文的共享密钥为明文123456TESTacct&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary accounting (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authentication命令用来配置从HWTACACS认证服务器。
undo secondary authentication命令用来删除指定的从HWTACACS认证服务器。
【命令】
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authentication [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS认证服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从HWTACACS认证服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS认证服务器的IPv6地址。
port-number:从HWTACACS认证服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS认证服务器交互的认证报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数,则表示每次认证都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS服务器位于公网中。
【使用指导】
配置的从认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从认证服务器。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与认证服务器没有报文交互时,才允许删除该服务器。认证服务器删除后,只对之后的认证过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS认证服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS认证服务器通信,认证报文的共享密钥为明文123456TESTauth&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authentication (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
secondary authorization命令用来配置从HWTACACS授权服务器。
undo secondary authorization命令用来删除指定的从HWTACACS授权服务器。
【命令】
secondary authorization { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *
undo secondary authorization [ { ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]
【缺省情况】
未配置从HWTACACS授权服务器。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:从HWTACACS授权服务器的IPv4地址。
ipv6 ipv6-address:从HWTACACS授权服务器的IPv6地址。
port-number:从HWTACACS授权服务器的TCP端口号,取值范围为1~65535,缺省值为49。
key:与从HWTACACS授权服务器交互的授权报文的共享密钥。
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~255个字符的字符串;密文密钥为1~373个字符的字符串。
single-connection:所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数,则表示每次授权都会使用一个新的TCP连接。
vpn-instance vpn-instance-name:从HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示从HWTACACS授权服务器位于公网中。
【使用指导】
配置的从授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。
每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器。当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
如果不指定任何参数,则undo命令将删除所有从授权服务器。
在同一个方案中指定的主授权服务器和从授权服务器的VPN、IP地址、端口号不能完全相同,并且各从授权服务器的VPN、IP地址、端口号也不能完全相同。
配置single-connection参数后可节省TCP连接资源,但有些TACACS服务器不支持这种方式,需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下,建议配置single-connection参数,以提高性能和效率。
若服务器位于MPLS VPN私网中,为保证HWTACACS报文被发送到指定的私网服务器,必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。
只有在设备与授权服务器没有报文交互时,才允许删除该服务器。授权服务器删除后,只对之后的授权过程有影响。
【举例】
# 在HWTACACS方案hwt1中,配置从HWTACACS授权服务器的IP地址为10.163.155.13,使用TCP端口49与HWTACACS授权服务器通信,授权报文的共享密钥为明文123456TESTautr&!。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!
【相关命令】
· display hwtacacs scheme
· key (HWTACACS scheme view)
· primary authorization (HWTACACS scheme view)
· vpn-instance (HWTACACS scheme view)
server-block-action命令用来设置服务器都处于block状态后的请求动作。
undo server-block-action命令用来恢复缺省情况。
【命令】
server-block-action { attempt | skip }
undo server-block-action
【缺省情况】
所有服务器都处于block状态后的请求动作为attempt。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
attempt:Attempt方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/授权/计费请求时,仍然会尝试与一个认证/授权/计费服务器(优先选择主服务器,若未配置则选择配置的第一个从服务器)建立一次连接,如果与该服务器建立连接失败,才会切换到为该用户配置的下一个认证/授权/计费方法去处理这个请求。
skip:Skip方式,表示该方案下的所有服务器都处于block状态后,设备收到用户的认证/授权/计费请求时,会跳过当前方案中的所有服务器,直接使用为该用户配置的下一个认证/授权/计费方法去处理这个请求。
【使用指导】
Attempt方式下,由于该方案下的所有服务器都处于block状态后,设备仍会首先尝试与一个服务器建立连接,与该服务器建立连接失败后,才会切换到配置的下一个认证/授权/计费方法,此方法保证了设备尽量优先使用第一个认证/授权/计费方法处理用户请求,但同时会增加请求的响应时间。因此,对于对AAA响应时间要求比较高的场合,建议选择Skip方式。
设备处理一个认证/授权/计费请求的过程中,如果已经跳过了当前方案中的所有服务器,则后续就算该方案中有服务器状态切换回active,设备也不会再使用该方案来处理它。
【举例】
# 在HWTACACS方案hwt1中,设置服务器都处于block状态后的动作为跳过当前方案中的所有服务器。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] server-block-action skip
【相关命令】
· display hwtacacs scheme
timer quiet命令用来设置服务器恢复激活状态的时间。
undo timer quiet命令用来恢复缺省情况。
【命令】
timer quiet minutes
undo timer quiet
【缺省情况】
服务器恢复激活状态的时间为5分钟。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
minutes:恢复激活状态的时间,取值范围为1~255,单位为分钟。
【举例】
# 设置服务器恢复激活状态的时间为10分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer quiet 10
【相关命令】
· display hwtacacs scheme
timer realtime-accounting命令用来设置实时计费的时间间隔。
undo timer realtime-accounting命令用来恢复缺省情况。
【命令】
timer realtime-accounting minutes
undo timer realtime-accounting
【缺省情况】
实时计费的时间间隔为12分钟。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
minutes:实时计费的时间间隔,取值范围为0~60,单位为分钟。0表示设备不向HWTACACS服务器发送在线用户的计费信息。
【使用指导】
为了对用户实施实时计费,有必要设置实时计费的时间间隔。在设置了该属性以后,每隔设定的时间,设备会向HWTACACS服务器发送一次在线用户的计费信息。
实时计费间隔的取值小,计费准确性高,但对设备和HWTACACS服务器的性能要求就高。
用户数 |
实时计费间隔(分钟) |
1~99 |
3 |
100~499 |
6 |
500~999 |
12 |
大于等于1000 |
大于等于15 |
【举例】
# 在HWTACACS方案hwt1中,设置实时计费的时间间隔为51分钟。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer realtime-accounting 51
【相关命令】
· display hwtacacs scheme
timer response-timeout命令用来设置HWTACACS服务器响应超时时间。
undo timer response-timeout命令用来恢复缺省情况。
【命令】
timer response-timeout seconds
undo timer response-timeout
【缺省情况】
HWTACACS服务器响应超时时间为5秒。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
seconds:HWTACACS服务器响应超时时间,取值范围为1~300,单位为秒。
【使用指导】
由于HWTACACS是基于TCP实现的,因此,服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。
HWTACACS服务器响应超时时间与配置的HWTACACS服务器总数的乘积不能超过接入模块定义的用户认证超时时间,否则在HWTACACS认证过程完成之前用户就有可能被强制下线。
【举例】
# 在HWTACACS方案hwt1中,设置HWTACACS服务器响应超时时间为30秒。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] timer response-timeout 30
【相关命令】
· display hwtacacs scheme
user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。
undo user-name-format命令用来恢复缺省情况。
【命令】
user-name-format { keep-original | with-domain | without-domain }
undo user-name-format
【缺省情况】
发送给HWTACACS服务器的用户名携带ISP域名。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
keep-original:发送给HWTACACS服务器的用户名与用户输入的保持一致。
with-domain:发送给HWTACACS服务器的用户名携带ISP域名。
without-domain:发送给HWTACACS服务器的用户名不携带ISP域名。
【使用指导】
接入用户通常以“userid@isp-name”的格式命名,“@”后面的部分为ISP域名,设备就是通过该域名来决定将用户归于哪个ISP域的。但是,有些HWTACACS服务器不能接受携带有ISP域名的用户名,在这种情况下,有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此,设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。
如果指定某个HWTACACS方案不允许用户名中携带有ISP域名,那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则,会出现虽然实际用户不同(在不同的ISP域中),但HWTACACS服务器认为用户相同(因为传送到它的用户名相同)的错误。
【举例】
# 在HWTACACS方案hwt1中,设置发送给HWTACACS服务器的用户名不携带ISP域名。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] user-name-format without-domain
【相关命令】
· display hwtacacs scheme
vpn-instance命令用来配置HWTACACS方案所属的VPN。
undo vpn-instance命令用来恢复缺省情况。
【命令】
vpn-instance vpn-instance-name
undo vpn-instance
【缺省情况】
HWTACACS方案属于公网。
【视图】
HWTACACS方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效,但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN。
【举例】
# 配置HWTACACS方案hw1所属的VPN为test。
<Sysname> system-view
[Sysname] hwtacacs scheme hwt1
[Sysname-hwtacacs-hwt1] vpn-instance test
【相关命令】
· display hwtacacs scheme
attribute-map命令用来在LDAP方案中引用LDAP属性映射表。
undo attribute-map命令用来恢复缺省情况。
【命令】
attribute-map map-name
undo attribute-map
【缺省情况】
未引用任何LDAP属性映射表。
【视图】
LDAP方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
map-name:LDAP属性映射表的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
在使用LDAP授权方案的情况下,可以通过在LDAP方案中引用LDAP属性映射表,将LDAP授权服务器下发给用户的LDAP属性映射为AAA模块可以解析的某类属性。
一个LDAP方案视图中只能引用一个LDAP属性映射表,后配置的生效。
如果在LDAP授权过程中修改了引用的LDAP属性映射表,或者修改了引用的LDAP属性映射表的内容,则该修改对当前的授权过程不会生效,只对修改后新的LDAP授权过程生效。
【举例】
# 在LDAP方案ldap1中,引用名称为map1的LDAP属性映射表。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] attribute-map map1
【相关命令】
· display ldap scheme
· ldap attribute-map
authentication-server命令用来指定LDAP认证服务器。
undo authentication-server命令用来恢复缺省情况。
【命令】
authentication-server server-name
undo authentication-server
【缺省情况】
未指定LDAP认证服务器。
【视图】
LDAP方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写。
【使用指导】
一个LDAP方案视图下仅能指定一个LDAP认证服务器,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在LDAP方案ldap1中,指定LDAP认证服务器为ccc。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authentication-server ccc
【相关命令】
· display ldap scheme
· ldap server
authorization-server命令用来指定LDAP授权服务器。
undo authorization-server命令用来恢复缺省情况。
【命令】
authorization-server server-name
undo authorization-server
【缺省情况】
未指定LDAP授权服务器。
【视图】
LDAP方案视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写。
【使用指导】
一个LDAP方案视图下仅能指定一个LDAP授权服务器,多次执行本命令,最后一次执行的命令生效。
【举例】
# 在LDAP方案ldap1中,指定LDAP授权服务器为ccc。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1] authorization-server ccc
【相关命令】
· display ldap scheme
· ldap server
display ldap scheme命令用来查看LDAP方案的配置信息。
【命令】
display ldap scheme [ ldap-scheme-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ldap-scheme-name:LDAP方案的名称,为1~32个字符的字符串,不区分大小写。如果不指定该参数,则显示所有LDAP方案的配置信息。
【举例】
# 查看所有LDAP方案的配置信息。
<Sysname> display ldap scheme
Total 1 LDAP schemes
------------------------------------------------------------------
LDAP scheme name : aaa
Authentication server : aaa
IP : 1.1.1.1
Port : 111
VPN instance : Not configured
LDAP protocol version : LDAPv3
Server timeout interval : 10 seconds
Login account DN : Not configured
Base DN : Not configured
Search scope : all-level
User searching parameters:
User object class : Not configured
Username attribute : cn
Username format : with-domain
Group filter : (objectclass=group)
Authorization server : aaa
IP : 1.1.1.1
Port : 111
VPN instance : Not configured
LDAP protocol version : LDAPv3
Server timeout interval : 10 seconds
Login account DN : Not configured
Base DN : Not configured
Search scope : all-level
User searching parameters:
User object class : Not configured
Username attribute : cn
Username format : with-domain
Group filter : (objectclass=group)
Attribute map : map1
------------------------------------------------------------------
表1-13 display ldap scheme命令显示信息描述表
字段 |
描述 |
Total 1 LDAP schemes |
总共有1个LDAP方案 |
LDAP Scheme Name |
LDAP方案名称 |
Authentication Server |
LDAP认证服务器名称 未配置时,显示为Not configured |
Authorization server |
LDAP授权服务器名称 未配置时,显示为Not configured |
IP |
LDAP认证服务器的IP地址 未配置认证服务器IP时,IP地址显示为Not configured |
Port |
LDAP认证服务器的端口号 未配置认证服务器IP时,端口号显示为缺省值 |
VPN Instance |
VPN实例名称 未配置时,显示为Not configured |
LDAP Protocol Version |
LDAP协议的版本号(LDAPv2、LDAPv3) |
Server Timeout Interval |
LDAP服务器连接超时时间(单位为秒) |
Login Account DN |
管理员用户的DN |
Base DN |
用户DN查询的起始DN |
Search Scope |
用户DN查询的范围(all-level:所有子目录查询,single-level:下级目录查询) |
User Searching Parameters |
用户查询参数 |
User Object Class |
查询用户DN时使用的用户对象类型 未配置时,显示为Not configured |
Username Attribute |
用户登录账号的属性类型 |
Username Format |
发送给服务器的用户名格式 |
Group filter |
LDAP用户组过滤条件 |
Attribute map |
引用的LDAP属性映射表名称 未配置时,显示为Not configured |
group-filter命令用来配置用户组过滤条件。
undo group-filter命令用来恢复缺省情况。
【命令】
group-filter group-filter
undo group-filter
【缺省情况】
用户组的过滤条件是"(objectclass=group)"。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-filter:组过滤条件,为1~127个字符的字符串,不区分大小写。组过滤条件字符串的写作规则由LDAP服务器定义。
【使用指导】
设备从LDAP服务器上导入用户组信息时,LDAP服务器会根据设置的用户组过滤条件筛选出符合条件的用户组信息发送给设备。
【举例】
# 在LDAP服务器视图ccc下,配置用户组过滤条件为(&(objectclass=group)(name=group1))。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] group-filter (&(objectclass=group)(name=group1))
【相关命令】
· display ldap scheme
ip命令用来配置LDAP服务器的IP地址。
undo ip命令用来恢复缺省情况。
【命令】
ip ip-address [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ip
【缺省情况】
未配置LDAP服务器的IP地址。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:LDAP服务器的IP地址。
port port-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。
vpn-instance vpn-instance-name:LDAP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例的名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示LDAP服务器属于公网。
【使用指导】
需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
更改后的服务器IP地址和端口号,只对更改之后进行的LDAP认证生效。
【举例】
# 配置LDAP服务器ccc的IP地址为192.168.0.10、端口号为4300。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300
【相关命令】
· ldap server
ipv6命令用来配置LDAP服务器的IPv6地址。
undo ipv6命令用来恢复缺省情况。
【命令】
ipv6 ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ipv6
【缺省情况】
未配置LDAP服务器的IP地址。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:LDAP服务器的IPv6地址。
port port-number:LDAP服务器所使用的TCP端口号,取值范围为1~65535,缺省值为389。
vpn-instance vpn-instance-name:LDAP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例的名称,为1~31个字符的字符串,区分大小写。不指定该参数时,表示LDAP服务器属于公网。
【使用指导】
需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。
更改后的服务器IP地址和端口号,只对更改之后的LDAP认证生效。
【举例】
# 配置LDAP服务器ccc的IPv6地址为1:2::3:4、端口号为4300。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300
【相关命令】
· ldap server
ldap attribute-map命令用来创建LDAP属性映射表,并进入LDAP属性映射表视图。如果指定的LDAP属性映射表已经存在,则直接进入LDAP属性映射表视图。
undo ldap attribute-map命令用来删除指定的LDAP属性映射表。
【命令】
ldap attribute-map map-name
undo ldap attribute-map map-name
【缺省情况】
不存在LDAP属性映射表。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
map-name:LDAP属性映射表的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
一个LDAP的属性映射表中可以添加多个LDAP属性映射表项,每个表项表示一个LDAP 属性和一个AAA属性的映射关系。
可以通过多次执行本命令配置多个LDAP的属性映射表。
【举例】
# 创建名称为map1的LDAP属性映射表,并进入该属性映射表视图。
<Sysname> system-view
[Sysname] ldap attribute-map map1
[Sysname-ldap-map-map1]
【相关命令】
· attribute-map
· ldap scheme
· map
ldap scheme命令用来创建LDAP方案,并进入LDAP方案视图。如果指定的LDAP方案已经存在,则直接进入LDAP方案视图。
undo ldap scheme命令用来删除指定的LDAP方案。
【命令】
ldap scheme ldap-scheme-name
undo ldap scheme ldap-scheme-name
【缺省情况】
不存在LDAP方案。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-scheme-name:LDAP方案的名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
一个LDAP方案可以同时被多个ISP域引用。
系统最多支持配置16个LDAP方案。
【举例】
# 创建名称为ldap1的LDAP方案并进入其视图。
<Sysname> system-view
[Sysname] ldap scheme ldap1
[Sysname-ldap-ldap1]
【相关命令】
· display ldap scheme
ldap server用来创建LDAP服务器,并进入LDAP服务器视图。如果指定的LDAP服务器已经存在,则直接进入LDAP服务器视图。
undo ldap server命令用来删除指定的LDAP服务器。
【命令】
ldap server server-name
undo ldap server server-name
【缺省情况】
不存在LDAP服务器。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
server-name:LDAP服务器的名称,为1~64个字符的字符串,不区分大小写。
【举例】
# 创建LDAP服务器ccc并进入其视图。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc]
【相关命令】
· display ldap scheme
login-dn命令用来配置具有管理员权限的用户DN。
undo login-dn命令用来恢复缺省情况。
【命令】
login-dn dn-string
undo login-dn
【缺省情况】
未配置具有管理员权限的用户DN。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
dn-string:具有管理员权限的用户DN,是绑定服务器时使用的用户标识名,为1~255个字符的字符串,不区分大小写。
【使用指导】
设备上的管理员DN必须与服务器上管理员的DN一致。
更改后的管理员DN,只对更改之后的LDAP认证生效。
【举例】
# 在LDAP服务器视图ccc下,配置管理员权限的用户DN为uid=test, ou=people, o=example, c=city。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-dn uid=test,ou=people,o=example,c=city
【相关命令】
· display ldap scheme
login-password命令用来配置LDAP认证中,绑定服务器时所使用的具有管理员权限的用户密码。
undo login-password命令用来恢复缺省情况。
【命令】
login-password { cipher | simple } string
undo login-password
【缺省情况】
未配置具有管理权限的用户密码。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
cipher:表示以密文方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~128个字符的字符串,密文密码为1~201个字符的字符串。
【使用指导】
该命令只有在配置了login-dn的情况下生效。当未配置login-dn时,该命令不生效。
【举例】
# 在LDAP服务器视图ccc下,配置具有管理员权限的用户密码为明文abcdefg。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] login-password simple abcdefg
【相关命令】
· display ldap scheme
· login-dn
map命令用来配置LDAP属性映射表项。
undo map命令用来删除指定的LDAP属性映射表项。
【命令】
map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute user-group
undo map [ ldap-attribute ldap-attribute-name ]
【缺省情况】
未指定LDAP属性映射关系。
【视图】
LDAP属性映射表视图
【缺省用户角色】
network-admin
context-admin
【参数】
ldap-attribute ldap-attribute-name:表示要映射的LDAP属性。其中,ldap-attribute-name表示LDAP属性名称,为1~63个字符的字符串,不区分大小写。
prefix prefix-value delimiter delimiter-value:表示按照一定的格式提取LDAP属性字符串中的内容映射为AAA属性。其中,prefix-value表示LDAP属性字符串中的某内容前缀(例如cn=),为1~7个字符的字符串,不区分大小写;delimiter-value表示LDAP属性字符串中的内容分隔符(例如逗号)。若不指定该可选参数,则表示要将一个完整的LDAP属性字符串映射为指定的AAA属性。
aaa-attribute:表示要映射为的AAA属性。
user-group:表示User group类型的AAA属性。
【使用指导】
如果某LDAP服务器下发给用户的属性不能被AAA模块解析,则该属性将被忽略。因此,需要通过本命令指定要获取哪些LDAP属性,以及LDAP服务器下发的这些属性将被AAA模块解析为什么类型的AAA属性,具体映射为哪种类型的AAA属性由实际应用需求决定。
一个LDAP服务器属性只能映射为一个AAA属性,但不同的LDAP服务器属性可映射为同一个AAA属性。
如果undo map命令中不指定ldap-attribute参数,则表示删除所有的LDAP属性映射表项。
【举例】
# 在LDAP属性映射表视图map1下,配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号(,)的格式提取出的内容映射成AAA属性User group。
<Sysname> system-view
[Sysname] ldap attribute-map map1
[Sysname-ldap-map-map1] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group
【相关命令】
· ldap attribute-map
· user-group
protocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号。
undo protocol-version命令用来恢复缺省情况。
【命令】
protocol-version { v2 | v3 }
undo protocol-version
【缺省情况】
LDAP版本号为LDAPv3。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
v2:表示LDAP协议版本号为LDAPv2。
v3:表示LDAP协议版本号为LDAPv3。
【使用指导】
为保证LDAP认证成功,请保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致。
更改后的服务器版本号,只对更改之后的LDAP认证生效。
Microsoft的LDAP服务器只支持LDAPv3,配置LDAP版本为v2时无效。
【举例】
# 在LDAP服务器视图ccc下,配置LDAP协议版本号为LDAPv2。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] protocol-version v2
【相关命令】
· display ldap scheme
search-base-dn命令用来配置用户查询的起始DN。
undo search-base-dn命令用来恢复缺省情况。
【命令】
search-base-dn base-dn
undo search-base-dn
【缺省情况】
未指定用户查询的起始DN。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
base-dn:查询待认证用户的起始DN值,为1~255个字符的字符串,不区分大小写。
【举例】
# 在LDAP服务器视图ccc下,配置用户查询的起始DN为dc=ldap,dc=com。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com
【相关命令】
· display ldap scheme
· ldap server
search-scope命令用来配置用户查询的范围。
undo search-scope命令用来恢复缺省情况。
【命令】
search-scope { all-level | single-level }
undo search-scope
【缺省情况】
用户查询的范围为all-level。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
all-level:表示在起始DN的所有子目录下进行查询。
single-level:表示只在起始DN的下一级子目录下进行查询。
【举例】
# 在LDAP服务器视图ccc下,配置在起始DN的所有子目录下查询LDAP认证用户。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] search-scope all-level
【相关命令】
· display ldap scheme
· ldap server
server-timeout命令用来配置LDAP服务器连接超时时间,即认证、授权时等待LDAP服务器回应的最大时间。
undo server-timeout命令用来恢复缺省情况。
【命令】
server-timeout time-interval
undo server-timeout
【缺省情况】
LDAP服务器连接超时时间为10秒。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-interval:LDAP服务器连接超时时间,取值范围为5~20,单位为秒。
【使用指导】
更改后的连接超时时间,只对更改之后的LDAP认证生效。
【举例】
# 在LDAP服务器视图ccc下,配置LDAP服务器连接超时时间为15秒。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] server-timeout 15
【相关命令】
· display ldap scheme
user-parameters命令用来配置LDAP用户查询的属性参数,包括用户名属性、用户名格式和自定义用户对象类型。
undo user-parameters命令用来将指定的LDAP用户查询的属性参数恢复为缺省值。
【命令】
user-parameters { user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }
undo user-parameters { user-name-attribute | user-name-format | user-object-class }
【缺省情况】
user-name-attribute为cn;user-name-format为without-domain;未指定自定义user-object-class,根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型。
【视图】
LDAP服务器视图
【缺省用户角色】
network-admin
context-admin
【参数】
user-name-attribute { name-attribute | cn | uid }:表示用户名的属性类型。其中,name-attribute表示属性类型值,为1~64个字符的字符串,不区分大小写;cn表示用户登录账号的属性为cn(Common Name);uid表示用户登录账号的属性为uid(User ID)。
user-name-format { with-domain | without-domain }:表示发送给服务器的用户名格式。其中,with-domain表示发送给服务器的用户名带ISP域名;without-domain表示发送给服务器的用户名不带ISP域名。
user-object-class object-class-name:表示查询用户DN时使用的用户对象类型。其中,object-class-name表示对象类型值,为1~64个字符的字符串,不区分大小写。
【使用指导】
如果LDAP服务器上的用户名不包含域名,必须配置user-name-format为without-domain,将用户名的域名去除后再传送给LDAP服务器;如果包含域名则需配置user-name-format为with-domain。
【举例】
# 在LDAP服务器视图ccc下,配置用户对象类型为person。
<Sysname> system-view
[Sysname] ldap server ccc
[Sysname-ldap-server-ccc] user-parameters user-object-class person
【相关命令】
· display ldap scheme
· login-dn
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!