设备支持多种途径配置NAS-ID，按照获取优先级从高到低的顺序依次包括：NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、接口视图下的NAS-ID、ISP域视图下的NAS-ID。其中，接口视图下配置的NAS-ID仅对Portal和PPP用户有效。若以上配置都不存在，则使用设备的名称作为NAS-ID。

【举例】

# 在以太网接口GigabitEthernet0/0/1下配置NAS-ID为test。‌

<Sysname> system-view

[Sysname] interface gigabitethernet 0/0/1

[Sysname-GigabitEthernet0/0/1] aaa nas-id test

【相关命令】

· aaa nas-id profile

· nas-id

1.1.9 aaa nas-id profile

aaa nas-id profile命令用来创建NAS-ID Profile，并进入NAS-ID Profile视图。如果指定的NAS-ID Profile已经存在，则直接进入NAS-ID Profile视图。

undo aaa nas-id profile命令用来删除指定的NAS-ID Profile。

【命令】

aaa nas-id profile profile-name

undo aaa nas-id profile profile-name

【缺省情况】

不存在NAS-ID Profile。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

profile-name：Profile名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

在某些应用环境中，网络运营商需要使用接入设备发送给RADIUS服务器的NAS-Identifier属性值来获知用户的接入位置，而用户的接入VLAN可标识用户的接入位置，因此接入设备上可通过建立用户接入VLAN与指定的NAS-ID之间的绑定关系来实现接入位置信息的映射。NAS-ID Profile用于保存NAS-ID和VLAN的绑定关系。

设备支持多种途径配置NAS-ID，按照获取优先级从高到低的顺序依次包括：NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、接口视图下的设备的NAS-ID、ISP域视图下的NAS-ID。

【举例】

# 创建一个名称为aaa的NAS-ID Profile，并进入NAS-ID Profile视图。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa]

【相关命令】

· aaa nas-id

· aaa nas-id-profile

· nas-id bind

· port-security nas-id-profile（用户接入与认证命令参考/端口安全）

· portal nas-id-profile（用户接入与认证命令参考/Portal）

1.1.10 aaa nas-id-profile

aaa nas-id-profile命令用来指定接口引用的NAS-ID Profile。

undo aaa nas-id-profile命令用来恢复缺省情况。

【命令】

aaa nas-id-profile profile-name

undo aaa nas-id-profile

【缺省情况】

未指定引用的NAS-ID Profile。

【视图】

三层接口视图

【缺省用户角色】

network-admin

【参数】

profile-name：标识指定VLAN和NAS-ID绑定关系的NAS-ID Profile名称，为1～31个字符的字符串，区分大小写。

【使用指导】

本配置仅对Portal和PPP用户有效。

需要注意的是，对于Portal用户，若接口上同时通过aaa nas-id-profile命令和portal nas-id-profile命令指定了NAS-ID Profile，则后者指定的NAS-ID Profile优先级高。关于portal nas-id-profile命令的详细介绍，请参见“用户接入与认证命令参考”中的“Portal”。

【举例】

# 在接口GigabitEthernet0/0/1上引用名为 bbb的NAS-ID Profile。‌

<Sysname> system-view

[Sysname] interface gigabitethernet 0/0/1

[Sysname–GigabitEthernet0/0/1] aaa nas-id-profile bbb

【相关命令】

· aaa nas-id profile

· nas-id bind

· portal nas-id-profile（用户接入与认证命令参考/Portal）

1.1.11 aaa normal-offline-record enable

aaa normal-offline-record enable命令用来开启用户正常下线记录功能。

undo aaa normal-offline-record enable命令用来关闭用户正常下线记录功能。

【命令】

aaa normal-offline-record enable

undo aaa normal-offline-record enable

【缺省情况】

用户正常下线记录功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后，设备会将所有用户正常下线信息（用户基本信息、下线原因等）记录到系统内存中，具体内容可通过display aaa normal-offline-record命令进行查看。当管理员需要分析用户下线原因时，建议开启本功能。

只有用户下线记录功能处于开启状态，本功能才能生效。

设备最多支持存储32768条用户正常下线记录，超过该数目后，新的记录会覆盖旧的记录。

关闭本功能后，系统停止记录用户正常下线信息，可提高当前可用内存容量，但管理员将看不到用户正常下线信息。

【举例】

# 开启用户正常下线记录功能。

<Sysname> system-view

[Sysname] aaa normal-offline-record enable

【相关命令】

· aaa offline-record enable

· display aaa normal-offline-record

1.1.12 aaa offline-record enable

aaa offline-record enable命令用来开启用户下线记录功能。

undo aaa offline-record enable命令用来关闭用户下线记录功能。

【命令】

aaa offline-record enable

undo aaa offline-record enable

【缺省情况】

用户下线记录功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

本功能用于总体控制用户下线记录功能是否开启。只有本功能处于开启状态，用户正常下线记录功能和用户异常下线记录功能才能生效。

开启本功能后，若用户正常下线记录功能、用户异常下线记录功能处于开启状态，设备会将所有用户正常下线、用户异常下线的信息（用户基本信息、下线原因等）记录到系统内存中，具体内容可通过display aaa offline-record命令进行查看。

设备最多支持存储65536条用户下线记录，超过该数目后，新的记录会覆盖旧的记录。

关闭本功能后，用户下线信息不会被记录到系统内存中，可提高系统当前可用内存容量，但管理员将看不到用户下线信息。

【举例】

# 开启用户下线记录功能。

<Sysname> system-view

[Sysname] aaa offline-record enable

【相关命令】

· aaa abnormal-offline-record enable

· aaa normal-offline-record enable

· display aaa offline-record

1.1.13 aaa online-fail-record enable

aaa online-fail-record enable命令用来开启用户上线失败记录功能。

undo aaa online-fail-record enable命令用来关闭用户上线失败记录功能。

【命令】

aaa online-fail-record enable

undo aaa online-fail-record enable

【缺省情况】

用户上线失败记录功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后，设备会将所有用户上线失败信息（用户基本信息、上线失败原因等）记录到系统内存中，具体内容可通过display aaa online-fail-record命令进行查看。当管理员需要获取用户上线失败记录，以对恶意用户进行初步排查时，建议开启本功能。

设备最多支持存储32768条用户上线失败记录，超过该数目后，新的记录会覆盖旧的记录。

关闭本功能后，系统停止记录用户上线失败信息，可提高当前可用内存容量，但管理员将看不到用户上线失败信息，存在一定风险。

【举例】

# 开启用户上线失败记录功能

<Sysname> system-view

[Sysname] aaa online-fail-record enable

【相关命令】

· display aaa online-fail-record

1.1.14 aaa session-id mode

aaa session-id mode命令用来配置设备使用的Acct-Session-Id属性模式。

undo aaa session-id mode命令用来恢复缺省情况。

【命令】

aaa session-id mode { common | simplified }

undo aaa session-id mode

【缺省情况】

设备使用的Acct-Session-Id属性模式为普通模式。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

common：普通模式。该模式下，Acct-Session-Id属性的取值长度为37个字符，由前缀、日期时间、序列号、接入节点的LIP地址、设备ID以及进程的Job ID信息组成。

simplified：精简模式。该模式下，Acct-Session-Id属性的取值长度为16个字符，由前缀、月份值、序列号、设备ID以及接入节点的LIP地址信息组成。

【使用指导】

不同厂商的RADIUS服务器支持的Acct-Session-Id属性的格式可能有所不同，可通过本命令指定设备使用的Acct-Session-Id属性格式。

【举例】

# 配置设备使用的Acct-Session-Id属性模式为精简模式。

<Sysname> system-view

[Sysname] aaa session-id mode simplified

1.1.15 aaa session-limit

aaa session-limit命令用来配置同时在线的最大用户连接数，即采用指定登录方式登录设备并同时在线的用户数。

undo aaa session-limit命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况。

【命令】

aaa session-limit { ftp | http | https | ssh | telnet } max-sessions

undo aaa session-limit { ftp | http | https | ssh | telnet }

【缺省情况】

同时在线的各类型最大用户连接数均为32。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ftp：表示FTP用户。

http：表示HTTP用户。

https：表示HTTPS用户。

ssh：表示SSH用户。

telnet：表示Telnet用户。

max-sessions：允许同时在线的最大用户连接数，SSH/Telnet用户的取值范围为1～32，FTP/HTTP/HTTPS用户的取值范围为1～64。

【使用指导】

配置本命令后，当指定类型的接入用户的用户数超过当前配置的最大连接数后，新的接入请求将被拒绝。

对于HTTP/HTTPS用户，不同上层应用的最大用户连接数单独受限。例如，若设置允许同时在线的HTTP最大用户连接数为20，则基于HTTP的RESTful用户、Web用户、NETCONF用户的最大连接数将均为20。

【举例】

# 设置同时在线的最大FTP用户连接数为4。

<Sysname> system-view

[Sysname] aaa session-limit ftp 4

1.1.16 accounting 5g

accounting 5g命令用来为5G用户配置计费方法。

undo accounting 5g命令用来恢复缺省情况。

【命令】

accounting 5g { none | radius-scheme radius-scheme-name [ none ] }

undo accounting 5g

【缺省情况】

5G用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

none：不进行计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

可以指定一个none作为备选的计费方案，在当前的计费方法无效时使用备选的方法完成计费。例如，radius-scheme radius-scheme-name none表示，先进行RADIUS计费，若RADIUS认证无效则不进行计费。

【举例】

# 在ISP域test下，为5G用户配置计费方法为none。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting 5g none

# 在ISP域test下，配置5G用户使用RADIUS方案rd进行计费，并且使用none作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting 5g radius-scheme rd none

【相关命令】

· display domain

· radius scheme

1.1.17 accounting advpn

accounting advpn命令用来为ADVPN用户配置计费方法。

undo accounting advpn命令用来恢复缺省情况。

【命令】

accounting advpn { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting advpn

【缺省情况】

ADVPN用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

可以指定多个备选的计费方法。在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS计费，若RADIUS计费无效则进行本地计费，若本地计费也无效则不进行计费。远程计费无效是指，指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。

当采用本地认证方案为主认证方案，且配置了备选认证方案时，仅当AAA本地计费处理过程异常或者没有本地用户配置的情况下，用户本地认证失败后才会尝试使用备选方案进行认证，其它情况下不会转换认证方案，直接认为认证失败。

【举例】

# 在ISP域test下，为ADVPN用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting advpn local

# 在ISP域test下，配置ADVPN用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting advpn radius-scheme rd local

【相关命令】

· accounting default

· local-user

· radius scheme

1.1.18 accounting command

accounting command命令用来配置命令行计费方法。

undo accounting command命令用来恢复缺省情况。

【命令】

accounting command hwtacacs-scheme hwtacacs-scheme-name

undo accounting command

【缺省情况】

命令行计费采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

命令行计费过程是指，用户执行过的合法命令会被发送给计费服务器进行记录。若未开启命令行授权功能，则计费服务器对用户执行过的所有合法命令进行记录；若开启了命令行授权功能，则计费服务器仅对授权通过的命令进行记录。

目前，仅支持使用远程HWTACACS服务器完成命令行计费功能。

【举例】

# 在ISP域test下，配置使用HWTACACS计费方案hwtac进行命令行计费。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting command hwtacacs-scheme hwtac

【相关命令】

· accounting default

· command accounting（基础配置命令参考/登录设备）

· hwtacacs scheme

1.1.19 accounting default

accounting default命令用来为当前ISP域配置缺省的计费方法。

undo accounting default命令用来恢复缺省情况。

【命令】

accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting default

【缺省情况】

当前ISP域的缺省计费方法为local。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用，但是如果某类型的用户不支持指定的计费方法，则该计费方法对于这类用户不能生效。

本地计费只是为了支持本地用户的连接数管理，没有实际的计费相关的统计功能。

可以指定多个备选的计费方法，在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS计费，若RADIUS计费无效则进行本地计费，若本地计费也无效则不进行计费。远程计费无效是指，指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。

【举例】

# 在ISP域test下，配置缺省计费方法为使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting default radius-scheme rd local

【相关命令】

· hwtacacs scheme

· local-user

· radius scheme

1.1.20 accounting dual-stack

accounting dual-stack命令用来配置双协议栈用户的计费方式。

undo accounting dual-stack命令用来恢复缺省情况。

【命令】

accounting dual-stack { merge | separate }

undo accounting dual-stack

【缺省情况】

双协议栈用户的计费方式为统一计费。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

merge：统一计费方式，表示将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器。

separate：分别计费方式，表示将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器。

【使用指导】

双协议栈用户的主机上同时支持IPv4和IPv6两种协议，可能产生两种协议类型的流量。分别计费模式通常应用于IPv4流量费率和IPv6流量费率不一样的情况；统一计费模式通常应用于不需要区分IPv4流量和IPv6流量的情况。

【举例】

# 在ISP域test下，配置双栈用户的计费方式为分别计费。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting dual-stack separate

1.1.21 accounting lan-access

accounting lan-access命令用来为lan-access用户配置计费方法。

undo accounting lan-access命令用来恢复缺省情况。

【命令】

accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting lan-access

【缺省情况】

lan-access用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

broadcast：指定广播RADIUS方案，即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。

radius-scheme radius-scheme-name1：表示主送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写；

radius-scheme radius-scheme-name2：表示抄送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

当指定broadcast关键字时，将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求，若某RADIUS方案里的主计费服务器不可达，则按照配置顺序依次尝试向该RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时，表示用户计费成功；抄送计费方案的计费结果对用户无影响。

【举例】

# 在ISP域test下，为lan-access用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting lan-access local

# 在ISP域test下，配置lan-access用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting lan-access radius-scheme rd local

# 在ISP域test下，配置lan-access用户使用RADIUS方案rd1和rd2进行广播计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting lan-access broadcast radius-scheme rd1 radius-scheme rd2 local

【相关命令】

· accounting default

· local-user

· radius scheme

· timer realtime-accounting

1.1.22 accounting login

accounting login命令用来为login用户配置计费方法。

undo accounting login命令用来恢复缺省情况。

【命令】

accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting login

【缺省情况】

login用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

不支持对FTP、SFTP以及SCP类型的login用户进行计费。

【举例】

# 在ISP域test下，为login用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting login local

# 在ISP域test下，配置login用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting login radius-scheme rd local

【相关命令】

· accounting default

· hwtacacs scheme

· local-user

· radius scheme

1.1.23 accounting portal

accounting portal命令用来为Portal用户配置计费方法。

undo accounting portal命令用来恢复缺省情况。

【命令】

accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo accounting portal

【缺省情况】

Portal用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

broadcast：指定广播RADIUS方案，即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。

radius-scheme radius-scheme-name1：表示主送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写；

radius-scheme radius-scheme-name2：表示抄送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为Portal用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting portal local

# 在ISP域test下，配置Portal用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting portal radius-scheme rd local

# 在ISP域test下，配置Portal用户使用RADIUS方案rd1和rd2进行广播计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting portal broadcast radius-scheme rd1 radius-scheme rd2 local

【相关命令】

· accounting default

· local-user

· radius scheme

· timer realtime-accounting

1.1.24 accounting ppp

accounting ppp命令用来为PPP用户配置计费方法。

undo accounting ppp命令用来恢复缺省情况。

【命令】

accounting ppp { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] | hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo accounting ppp

【缺省情况】

PPP用户采用当前ISP域的缺省计费方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

broadcast：指定广播RADIUS方案，即同时向指定的两个RADIUS方案中的计费服务器发送计费请求。

radius-scheme radius-scheme-name1：表示主送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写；

radius-scheme radius-scheme-name2：表示抄送计费RADIUS方案名，为1～32个字符的字符串，不区分大小写。

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

当指定broadcast关键字时，将以主送RADIUS方案中的实时计费间隔同时向指定的两个RADIUS方案里的主计费服务器发送计费请求，若某RADIUS方案里的主计费服务器不可达，则按照配置顺序依次尝试向RADIUS方案里的从计费服务器发送计费请求。主送计费方案计费成功时，表示用户计费成功；抄送计费方案的计费结果对用户无影响。

【举例】

# 在ISP域test下，为PPP用户配置计费方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting ppp local

# 在ISP域test下，配置PPP用户使用RADIUS方案rd进行计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting ppp radius-scheme rd local

# 在ISP域test下，配置PPP用户使用RADIUS方案rd1和rd2进行广播计费，并且使用local作为备选计费方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting ppp broadcast radius-scheme rd1 radius-scheme rd2 local

【相关命令】

· accounting default

· hwtacacs scheme

· local-user

· radius scheme

· timer realtime-accounting

1.1.25 accounting quota-out

accounting quota-out命令用来配置用户计费配额（流量或时长）耗尽策略。

undo accounting quota-out命令用来恢复缺省情况。

【命令】

accounting quota-out { offline | online | redirect-url url-string [ stop-accounting ] [ user-profile profile-name ] } [ no-accounting-update ]

undo accounting quota-out

【缺省情况】

用户的当前计费配额耗尽后，设备会向服务器发送计费更新报文来获取新的配额，若计费回应报文未携带新的配额，则该用户被强制下线。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

offline：当用户的整体配额耗尽后，强制用户下线。

online：当用户的整体配额耗尽后，允许用户保持在线状态。

redirect-url url-string：当用户的整体流量配额耗尽后，向用户推送重定向Web页面。其中，url-string表示重定向URL，为1～255个字符的字符串，区分大小写。该参数仅对PPPoE用户生效。

stop-accounting：表示向计费服务器发送停止计费报文。若不指定该参数，则表示不发送停止计费报文。

user-profile profile-name：指定下发给用户的User Profile。其中，profile-name为User Profile名称，为1～31个字符的字符串，只能包含英文字母、数字、下划线、减号和英文句号，支持以字母和数字开头，但不能为纯数字，区分大小写。若指定了该参数，用户的整体流量配额耗尽后，该用户的访问行为将受到User Profile配置的限制。若不指定该参数，在用户重新获取流量配额之前，用户的访问行为不受任何User Profile配置的限制。

no-accounting-update：不发送用于获取新配额的计费更新报文。

【使用指导】

如果配置的用户计费配额耗尽策略为offline，则当服务器为Portal用户授权了剩余流量时，强制该类用户下线的时间可能会不准确。

若服务器不支持分多次向在线用户授权下发计费配额，则建议配置用户计费配额耗尽策略时指定no-accounting-update参数，以减小服务器的负担。

【举例】

# 在ISP域test下，配置用户计费配额耗尽策略为：当配额耗尽后用户仍能保持在线状态。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting quota-out online

1.1.26 accounting start-fail

accounting start-fail命令用来配置用户计费开始失败策略，即设备向计费服务器发送计费开始请求失败后，是否允许用户接入网络。

undo accounting start-fail命令用来恢复缺省情况。

【命令】

accounting start-fail { offline | online }

undo accounting start-fail

【缺省情况】

如果用户计费开始失败，允许用户保持在线状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

offline：强制用户下线。

online：允许用户保持在线状态。

【举例】

# 在ISP域test下，配置计费开始失败策略为：用户计费开始失败时允许用户保持在线状态。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting start-fail online

1.1.27 accounting update-fail

accounting update-fail命令用来配置用户计费更新失败策略，即设备向计费服务器发送用户的计费更新报文失败时，是否允许用户接入网络。

undo accounting update-fail命令用来恢复缺省情况。

【命令】

accounting update-fail { [ max-times max-times ] offline | online }

undo accounting update-fail

【缺省情况】

如果用户计费更新失败，允许用户保持在线状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

max-times max-times：允许用户连续计费更新失败的次数，取值范围1～255，缺省值为1。该参数仅对PPP、Portal用户生效，其它用户固定取值为1。

offline：如果用户连续计费更新失败的次数达到了指定的次数，则强制用户下线。

online：如果用户计费更新失败，允许用户保持在线状态。

【使用指导】

假设设备发送RADIUS报文的最大尝试次数（retry命令设置）为x，设备的实时计费间隔（timer realtime-accounting命令设置）为y分钟，设备允许实时计费无响应的最大次数为z次（retry realtime-accounting命令设置），本命令设置的连续计费更新失败次数max-times为m，则：

· 对于PPP、Portal用户

设备每隔y分钟发起一次计费请求，如果在RADIUS服务器应答超时时长内得不到回应就重新发送一次计费请求报文。如果设备发送的x个计费请求报文都没有得到回应，就认为该次实时计费失败。如果连续（z×m）次尝试均失败，设备将认为用户计费更新失败。

· 对于其它用户

设备每隔y分钟发起一次计费请求，如果在RADIUS服务器应答超时时长内得不到回应就重新发送一次计费请求报文。如果设备发送的x个计费请求报文都没有得到回应，就认为该次实时计费失败。如果连续z次尝试均失败，设备将认为用户计费更新失败。

【举例】

# 在ISP域test下，配置计费更新失败策略为：用户计费更新失败时允许用户保持在线状态。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] accounting update-fail online

【相关命令】

· retry

· retry realtime-accounting

· timer realtime-accounting

1.1.28 authen-fail

authen-fail命令用来配置用户认证失败后采取的处理策略。

undo authen-fail命令用来恢复缺省情况。

【命令】

authen-fail { offline | online domain new-isp-name no-authen }

undo authen-fail

【缺省情况】

用户认证失败后采取的处理策略是无法成功上线，处于下线状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

offline：无法成功上线，处于下线状态。

online：处于在线状态。

domain new-isp-name：指定认证失败域，即认证失败后重新加入的域。new-isp-name表示ISP域的名称，为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符，且必须已经存在。

no-authen：用户重新加入新域后，不需要重新进行认证，仅对其使用新域进行重新授权和计费。

【使用指导】

不同的组网环境中，对于用户认证失败后的处理策略有所不同。缺省情况下，用户认证失败后无法成功上线。如果希望用户在首次认证失败后有机会尝试其它的授权/计费方案，则可以使其处于在线状态，并转至指定的认证失败域内重新进行授权/计费。认证失败域内也会预先配置一套独立的授权和计费策略，为加入此域的用户提供一定的网络资源。

被指定为认证失败后要切换的域不允许删除。若要删除该域，请先执行undo authen-fail命令取消对该域的引用。

该功能仅有线端口安全用户支持。

以下情况不会采用认证失败域：

· 因认证超时导致的认证失败，例如认证服务器无响应等。

· 因认证域的状态为block而引起的认证失败。

【举例】

# 在ISP域视图test下，配置用户认证失败后采取的处理策略为：将用户加入新域dm1，且不需要重新进行认证，仅对其使用新域进行重新授权和计费。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authen-fail online domain dm1 no-authen

【相关命令】

· display domain

1.1.29 authen-radius-recover

authen-radius-recover命令用来指定当用户因为RADIUS服务器不可达逃生后，在服务器恢复可达时的处理策略。

undo authen-radius-recover命令用来恢复缺省情况。

【命令】

authen-radius-recover { offline | online domain new-isp-name | re-authen }

undo authen-radius-recover

【缺省情况】

未指定用户因为RADIUS服务器不可达逃生后，在服务器又恢复可达时的处理策略。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

offline：用户直接下线。

online：用户保持在线，并切换到逃生恢复域。

domain new-isp-name：指定逃生恢复域。new-isp-name表示ISP域的名称，为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符，且必须已经存在。

re-authen：触发用户返回到逃生之前所在的认证域中进行重认证。本参数仅适用于802.1X认证、MAC地址认证用户。

【使用指导】

本特性仅适用于802.1X认证、MAC地址认证和Web认证用户。

不同的组网环境中，对于用户因为RADIUS服务器不可达切换到逃生域后，任一服务器又恢复可达时的处理策略有所不同：

· 如果希望用户重新进行认证/授权/计费，则可以直接使其下线。

· 如果希望用户保持在线，且无需重新认证，可配置一个逃生恢复域。

· 如果希望对用户直接重新认证，且无需用户感知，则可以配置重认证。

需要注意的是，当前通过online domain参数指定任一逃生恢复域后，用户并不会立即进入逃生恢复域，而是仍停留在逃生域中保持在线，直到服务器恢复可达时才会进入逃生恢复域。

关于逃生恢复域的配置，有如下使用指导和限制：

· 如果用户逃生之前所在的原认证域中，为RADIUS认证方案配置了none备份方案，则RADIUS服务器从不可达恢复为可达时，用户也会进入配置的逃生恢复域。

· 为了准确地判断RADIUS认证服务器是否可达，使得逃生恢复措施及时生效，建议配置RADIUS服务器探测功能。

· 被指定为逃生恢复域的域不允许删除。若要删除该域，请先执行undo authen-radius-recover命令取消对该域的引用。

· 目前，指定的逃生恢复域必须与该命令行所在的ISP视图同名。

【举例】

# 在ISP域test下，指定当用户因为RADIUS服务器不可达逃生后，在服务器恢复可达时用户下线。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authen-radius-recover offline

【相关命令】

· authen-radius-unavailable online domain

· display domain

· radius-server test-profile

1.1.30 authen-radius-unavailable online domain

authen-radius-unavailable online domain命令用来配置用户认证过程中，RADIUS服务器不可达时的逃生域。

undo authen-radius-unavailable online domain命令用来恢复缺省情况。

【命令】

authen-radius-unavailable online domain new-isp-name

undo authen-radius-unavailable online domain

【缺省情况】

未指定用户认证过程中RADIUS服务器不可达时的逃生域。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

new-isp-name：ISP域名，为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符，且必须已经存在。

【使用指导】

本特性仅适用于802.1X认证、MAC地址认证和Web认证用户。

在用户认证过程中，如果出现认证方案下的所有RADIUS服务器不可达状况，设备发出的RADIUS认证请求报文将无法得到回应，从而影响用户正常上线。通过在当前域下配置逃生域，可以在这种情况发生时，保证用户能够“逃离”当前域，在新域中进行上线。通常情况下，逃生行为只是一个应急措施，因此用户可以无需再次认证而直接上线。

用户逃生后，仅当原认证域中的认证RADIUS服务器恢复可达，且原认证域中配置了逃生恢复域，用户才会离开逃生域。

关于逃生域的配置，有如下使用指导和限制：

· 逃生域不支持嵌套配置，包括两种情况：逃生域中配置的逃生域不会生效，已经配置了逃生域的认证域被指定为其它认证域的逃生域时不会生效。

· 被指定为逃生域的ISP域不允许删除。若要删除该域，请先执行undo authen-radius-unavailable online domain命令取消对该域的引用。

· 如果逃生域中配置了非none的认证/授权/计费方案，用户将不会使用该域的方案重新进行认证、授权，而是保持在线的情况下使用该域的计费方案进行计费。由于这会额外增加用户信息管理的成本，除非必要，通常不建议采用这种配置方式。

【举例】

# 在ISP域test下，指定用户认证过程中，RADIUS服务器不可达时的逃生域为dm1。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authen-radius-unavailable online domain dm1

【相关命令】

· authen-radius-recover

· display domain

1.1.31 authentication 5g

authentication 5g命令用来为5G用户配置认证方法。

undo authentication 5g命令用来恢复缺省情况。

【命令】

authentication 5g { none | radius-scheme radius-scheme-name [ none ] }

undo authentication 5g

【缺省情况】

5G用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

可以指定一个none作为备选的认证方案，在当前的认证方法无效时使用备选的方法完成认证。例如，radius-scheme radius-scheme-name none表示，先进行RADIUS认证，若RADIUS认证无效则不进行认证。

【举例】

# 在ISP域test下，为5G用户配置认证方法为none。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication 5g none

# 在ISP域test下，配置5G用户使用RADIUS方案rd进行认证，并且使用none作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication 5g radius-scheme rd none

【相关命令】

· display domain

· radius scheme

1.1.32 authentication advpn

authentication advpn命令用来为ADVPN用户配置认证方法。

undo authentication advpn命令用来恢复缺省情况。

【命令】

authentication advpn { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication advpn

【缺省情况】

ADVPN用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

可以指定多个备选的认证方法，在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS认证，若RADIUS认证无效则进行本地认证，若本地认证也无效则不进行认证。远程认证无效是指，指定的认证方案不存在、认证报文发送失败或者服务器无响应。本地认证无效是指没有找到对应的本地用户配置。

当采用本地认证方案为主认证方案，且配置了备选认证方案时，仅当AAA本地认证处理过程异常或者没有本地用户配置的情况下，用户本地认证失败后才会尝试使用备选方案进行认证，其它情况下不会转换认证方案，直接认为认证失败。

【举例】

# 在ISP域test下，为ADVPN用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication advpn local

# 在ISP域test下，配置ADVPN用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication advpn radius-scheme rd local

【相关命令】

· authentication default

· local-user

· radius scheme

1.1.33 authentication default

authentication default命令用来为当前ISP域配置缺省的认证方法。

undo authentication default命令用来为恢复缺省情况。

【命令】

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication default

【缺省情况】

当前ISP域的缺省认证方法为local。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用，但是如果某类型的用户不支持指定的认证方法，则该认证方法对于这类用户不能生效。

【举例】

# 在ISP域test下，配置缺省认证方法为使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication default radius-scheme rd local

【相关命令】

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.34 authentication ike

authentication ike命令用来为IKE扩展认证配置认证方法。

undo authentication ike命令用来恢复缺省情况。

【命令】

authentication ike { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication ike

【缺省情况】

IKE扩展认证采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地认证。

none：不认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为IKE扩展认证配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication ike local

# 在ISP域test下，配置IKE扩展认证使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication ike radius-scheme rd local

【相关命令】

· authentication default

· local-user

· radius scheme

1.1.35 authentication lan-access

authentication lan-access命令用来为lan-access用户配置认证方法。

undo authentication lan-access命令用来恢复缺省情况。

【命令】

authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication lan-access

【缺省情况】

lan-access用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为lan-access用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication lan-access local

# 在ISP域test下，配置lan-access用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication lan-access radius-scheme rd local

【相关命令】

· authentication default

· ldap scheme

· local-user

· radius scheme

1.1.36 authentication login

authentication login命令用来为login用户配置认证方法。

undo authentication login命令用来恢复缺省情况。

【命令】

authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | local [ ldap-scheme ldap-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication login

【缺省情况】

login用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为login用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication login local

# 在ISP域test下，配置login用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication login radius-scheme rd local

【相关命令】

· authentication default

· hwtacacs scheme

· ldap scheme

· local-user

· radius scheme

1.1.37 authentication onu

authentication onu命令用来为ONU（Optical Network Unit，光网络单元）用户配置认证方法。

undo authentication onu命令用来恢复缺省情况。

【命令】

authentication onu { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication onu

【缺省情况】

ONU用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地认证。

none：不认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为ONU用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication onu local

# 在ISP域test下，配置ONU用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication onu radius-scheme rd local

【相关命令】

· authentication default

· local-user

· radius scheme

1.1.38 authentication portal

authentication portal命令用来为Portal用户配置认证方法。

undo authentication portal命令用来恢复缺省情况。

【命令】

authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ ldap-scheme ldap-scheme-name | radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authentication portal

【缺省情况】

Portal用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ldap-scheme ldap-scheme-name：指定LDAP方案。其中ldap-scheme-name表示LDAP方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为Portal用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication portal local

# 在ISP域test下，配置Portal用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication portal radius-scheme rd local

【相关命令】

· authentication default

· ldap scheme

· local-user

· radius scheme

1.1.39 authentication ppp

authentication ppp命令用来为PPP用户配置认证方法。

undo authentication ppp命令用来恢复缺省情况。

【命令】

authentication ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authentication ppp

【缺省情况】

PPP用户采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地认证。

none：不进行认证。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

【举例】

# 在ISP域test下，为PPP用户配置认证方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication ppp local

# 在ISP域test下，配置PPP用户使用RADIUS方案rd进行认证，并且使用local作为备选认证方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authentication ppp radius-scheme rd local

【相关命令】

· authentication default

· hwtacacs scheme

· local-user

· radius scheme

1.1.40 authentication super

authentication super命令用来配置用户角色切换认证方法。

undo authentication super命令用来恢复缺省情况。

【命令】

authentication super { hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *

undo authentication super

【缺省情况】

用户角色切换认证采用当前ISP域的缺省认证方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

切换用户角色是指在不退出当前登录、不断开当前连接的前提下修改用户的用户角色，改变用户所拥有的命令行权限。为了保证切换操作的安全性，需要在用户执行用户角色切换时进行身份认证。设备支持本地和远程两种认证方式，关于用户角色切换的详细介绍请参见“基础配置指导”中的“RBAC”。

可以指定一个备选的认证方法，在当前的认证方法无效时尝试使用备选的方法完成认证。

【举例】

# 在ISP域test下，配置使用HWTACACS方案tac进行用户角色切换认证。

<Sysname> system-view

[Sysname] super authentication-mode scheme

[Sysname] domain name test

[Sysname-isp-test] authentication super hwtacacs-scheme tac

【相关命令】

· authentication default

· hwtacacs scheme

· radius scheme

1.1.41 authorization 5g

authorization 5g命令用来为5G用户配置授权方法。

undo authorization 5g命令用来恢复缺省情况。

【命令】

authorization 5g { none | radius-scheme radius-scheme-name [ none ] }

undo authorization 5g

【缺省情况】

5G用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

none：不进行授权。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

可以指定一个none作为备选的授权方案，在当前的授权方法无效时使用备选的方法完成授权。例如，radius-scheme radius-scheme-name none表示，先进行RADIU授权，若RADIUS授权无效则不进行授权。

【举例】

# 在ISP域test下，为5G用户配置授权方法为none。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization 5g none

# 在ISP域test下，配置5G用户使用RADIUS方案rd进行授权，并且使用none作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization 5g radius-scheme rd none

【相关命令】

· display domain

· radius scheme

1.1.42 authorization advpn

authorization advpn命令用来为ADVPN用户配置授权方法。

undo authorization advpn命令用来恢复缺省情况。

【命令】

authorization advpn { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization advpn

【缺省情况】

ADVPN用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地计费。

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

可以指定多个备选的授权方法，在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS授权，若RADIUS授权无效则进行本地授权，若本地授权也无效则不进行授权。远程授权无效是指，指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。

当采用本地认证方案为主认证方案，且配置了备选认证方案时，仅当AAA本地授权处理过程异常或者没有本地用户配置的情况下，用户本地认证失败后才会尝试使用备选方案进行认证，其它情况下不会转换认证方案，直接认为认证失败。

【举例】

# 在ISP域test下，为ADVPN用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization advpn local

# 在ISP域test下，配置ADVPN用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization advpn radius-scheme rd local

【相关命令】

· authorization default

· local-user

· radius scheme

1.1.43 authorization command

authorization command命令用来配置命令行授权方法。

undo authorization command命令用来恢复缺省情况。

【命令】

authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }

undo authorization command

【缺省情况】

命令行授权采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地授权。

none：不授权。用户执行角色所允许的命令时，无须接受授权服务器的检查。

【使用指导】

命令行授权是指，用户执行的每一条命令都需要接受授权服务器的检查，只有授权成功的命令才被允许执行。用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制，即，仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行，才能被执行。需要注意的是，命令行授权功能只利用角色中的权限规则对命令行执行权限检查，不进行其它方面的权限检查，例如资源控制策略等。

对用户采用本地命令行授权时，设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查，只有本地用户中配置的授权用户角色所允许的命令才被允许执行。

可以指定多个备选的命令行授权方法，在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权。例如，hwtacacs-scheme hwtacacs-scheme-name local none表示，先进行HWTACACS授权，若HWTACACS授权无效则进行本地授权，若本地授权也无效则不进行授权。远程授权无效是指，指定的授权方案不存在、授权报文发送失败或者服务器无响应。本地授权无效是指没有找到对应的本地用户配置。

【举例】

# 在ISP域test下，配置命令行授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization command local

# 在ISP域test下，配置使用HWTACACS方案hwtac进行命令行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local

【相关命令】

· command authorization（基础配置命令参考/登录设备）

· hwtacacs scheme

· local-user

1.1.44 authorization default

authorization default命令用来为当前ISP域配置缺省的授权方法。

undo authorization default命令用来恢复缺省情况。

【命令】

authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization default

【缺省情况】

当前ISP域的缺省授权方法为local。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时，认证通过的Login用户（通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户）只有系统给予的缺省用户角色level-0，其中FTP/SFTP/SCP用户的工作目录是设备的根目录，但并无访问权限；认证通过的非Login用户可直接访问网络。关于用户角色色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

当前ISP域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用，但是如果某类型的用户不支持指定的授权方法，则该授权方法对于这类用户不能生效。

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，配置缺省授权方法为使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization default radius-scheme rd local

【相关命令】

· hwtacacs scheme

· local-user

· radius scheme

1.1.45 authorization ike

authorization ike命令用来为IKE扩展认证配置授权方法。

undo authorization ike命令用来恢复缺省情况。

【命令】

authorization ike { local [ none ] | none }

undo authorization ike

【缺省情况】

IKE扩展认证采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地授权。

none：不授权。

【使用指导】

可以指定备选的授权方法，在当前的授权方法无效时使用备选的授权方法。

【举例】

# 在ISP域test下，为IKE扩展认证配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization ike local

【相关命令】

· authorization default

· local-user

1.1.46 authorization lan-access

authorization lan-access命令用来为lan-access用户配置授权方法。

undo authorization lan-access命令用来恢复缺省情况。

【命令】

authorization lan-access { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization lan-access

【缺省情况】

lan-access用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权，认证通过的lan-access用户可直接访问网络。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，为lan-access用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization lan-access local

# 在ISP域test下，配置lan-access用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization lan-access radius-scheme rd local

【相关命令】

· authorization default

· local-user

· radius scheme

1.1.47 authorization lan-access radius-cache enable

authorization lan-access radius-cache enable命令用来开启lan-access用户的RADIUS授权信息缓存功能。

undo authorization lan-access radius-cache enable命令用来关闭lan-access用户RADIUS授权信息缓存功能。

【命令】

authorization lan-access radius-cache enable

undo authorization lan-access radius-cache enable

【缺省情况】

lan-access用户的RADIUS授权信息缓存功能处于关闭状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【使用指导】

工作机制

开启本功能后，当ISP域下的lan-access用户通过RADIUS认证上线后，RADIUS服务器返回的授权信息将记录在授权缓存信息记录表中。后续通过此ISP域进行RADIUS认证的lan-access用户，如果在认证时获取不到可用服务器，则会尝试获取此用户的授权信息缓存记录，若能成功获取到相应记录，则使用该记录的授权缓存信息进行认证授权，并返回认证成功。

若关闭本功能，则通过RADIUS认证成功上线后，RADIUS服务器返回的授权信息不会记录在缓存表中。

注意事项

本功能需要开启AAA用户授权信息缓存功能（通过aaa authorization-cache enable命令开启）才能生效。

开启此功能后，如果域下计费方案与认证方案相同，需要配置计费方案为radius转none或者开启计费失败用户保持在线功能。

【举例】

# 开启lan-access用户的RADIUS授权信息缓存功能。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization lan-access radius-cache enable

【相关命令】

· aaa authorization-cache enable

1.1.48 authorization login

authorization login命令用来为login用户配置授权方法。

undo authorization login命令用来恢复缺省情况。

【命令】

authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization login

【缺省情况】

login用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中，hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权。此时，认证通过的Login用户（通过Console口或者Telnet、FTP/SFTP/SCP访问设备的用户）只有系统给予的缺省用户角色level-0，其中FTP/SFTP/SCP用户的工作目录是设备的根目录，但并无访问权限。关于用户角色level-0的详细介绍请参见“基础配置指导”中的“RBAC”。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，为login用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization login local

# 在ISP域test下，配置login用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization login radius-scheme rd local

【相关命令】

· authorization default

· hwtacacs scheme

· local-user

· radius scheme

1.1.49 authorization portal

authorization portal命令用来为Portal用户配置授权方法。

undo authorization portal命令用来恢复缺省情况。

【命令】

authorization portal { local [ radius-scheme radius-scheme-name ] [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

undo authorization portal

【缺省情况】

Portal用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权，认证通过的Portal用户可直接访问网络。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，为Portal用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization portal local

# 在ISP域test下，配置Portal用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization portal radius-scheme rd local

【相关命令】

· authorization default

· local-user

· radius scheme

1.1.50 authorization ppp

authorization ppp命令用来为PPP用户配置授权方法。

undo authorization ppp命令用来恢复缺省情况。

【命令】

authorization ppp { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name ] * [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

undo authorization ppp

【缺省情况】

PPP用户采用当前ISP域的缺省授权方法。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：指定HWTACACS方案。其中hwtacacs-scheme-name表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

local：本地授权。

none：不授权。接入设备不请求授权信息，不对用户可以使用的操作以及用户允许使用的网络服务进行授权。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

在一个ISP域中，只有配置的认证和授权方法中引用了相同的RADIUS方案时，RADIUS授权过程才能生效。

【举例】

# 在ISP域test下，为PPP用户配置授权方法为local。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization ppp local

# 在ISP域test下，配置PPP用户使用RADIUS方案rd进行授权，并且使用local作为备选授权方法。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization ppp radius-scheme rd local

【相关命令】

· authorization default

· hwtacacs scheme

· local-user

· radius scheme

1.1.51 authorization-attribute (ISP domain view)

authorization-attribute命令用来设置当前ISP域下的用户授权属性。

undo authorization-attribute命令用来删除指定的授权属性，恢复用户具有的缺省访问权限。

【命令】

authorization-attribute { acl acl-number | author-profile profile-name | car inbound cir committed-information-rate [ pir peak-information-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] | idle-cut minutes [ flow ] [ traffic { both | inbound | outbound } ] | igmp max-access-number max-access-number | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | microsegment microsegment-id | mld max-access-number max-access-number | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | redirect { deny | permit } user-agent match match-string | session-group-profile session-group-profile-name | session-timeout timeout | url url-string | user-group user-group-name | user-priority { inbound | outbound } priority | user-profile profile-name | vlan vlan-id | vpn-instance vpn-instance-name | vsi vsi-name }

undo authorization-attribute { acl | author-profile | car | idle-cut | igmp | ip-pool | ipv6-pool | ipv6-prefix | microsegment | mld | { primary-dns | secondary-dns } { ip | ipv6 }| redirect | session-group-profile | session-timeout | url | user-group | user-priority { inbound | outbound } | user-profile | vlan | vpn-instance | vsi }

【缺省情况】

当前ISP域下的用户闲置切换功能处于关闭状态，IPv4用户可以同时点播的最大节目数为4，IPv6用户可以同时点播的最大节目数为4，无其它授权属性。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

acl acl-number：指定用于匹配用户流量的ACL。其中acl-number表示ACL编号，取值范围与设备型号有关，请以设备实际情况为准。此属性只对Portal、lan-access用户生效。与授权ACL规则匹配的流量，将按照规则中指定的permit或deny动作进行处理。

author-profile profile-name：指定用户的授权策略模板。其中profile-name为授权策略模板的名称，为1～31个字符的字符串，不区分大小写。授权策略模板是一组授权属性的集合，可用于基于VPN授权网络资源，只对802.1X、MAC地址认证、Web认证用户生效。其中，Web认证用户仅支持授权策略模板下指定VPN实例的授权微分段参数，不支持VSI参数。

car：指定授权用户的流量监管动作。Portal用户在认证前，若被授权认证域，则其流量将受到指定的流量监管动作控制。此属性只对PPP、Portal、lan-access用户生效。

inbound：表示用户的上传速率。

outbound：表示用户的下载速率。

cir committed-information-rate：承诺信息速率，单位为kbps。此参数的取值范围与设备型号有关，请以设备实际情况为准。

pir peak-information-rate：峰值信息速率，单位为kbps，且不能小于承诺信息速率。若不指定该参数，则表示不对峰值信息速率进行限制。此参数的取值范围与设备型号有关，请以设备实际情况为准。

idle-cut minutes：指定用户的闲置切断时间。其中，minutes的取值范围为1～129600，单位为分钟。此属性只对PPP用户生效。

flow：用户在闲置切断时间内产生的最小数据流量，取值范围1～10240000，单位为字节，缺省值为10240。

traffic：指定闲置切断时间内用户数据流量的统计方向。若不指定该参数，则表示统计用户双向数据流量。

· both：表示用户双向数据流量。

· inbound：表示用户上行数据流量。

· outbound：表示用户下行数据流量。

igmp max-access-number max-access-number：指定IPv4用户可以同时点播的最大节目数。其中，max-access-number的取值范围为1～64。此属性只对PPP、Portal用户生效。

ip-pool ipv4-pool-name：指定为用户分配IPv4地址的地址池。其中，ipv4-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。此属性只对PPP、Portal、IKE用户生效。

ipv6-pool ipv6-pool-name：指定为用户分配IPv6地址的地址池。其中，ipv6-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。此属性只对PPP、Portal用户生效。

ipv6-prefix ipv6-prefix prefix-length：指定为用户分配的IPv6前缀。其中，ipv6-prefix prefix-length为前缀地址和前缀长度，前缀长度取值范围是1～128。此属性只对PPP用户生效。

microsegment microsegment-id：指定用户的授权微分段。其中，microsegment-id为微分段ID，取值范围为1～65535。此属性只对802.1X、MAC地址认证用户生效。

mld max-access-number max-access-number：指定IPv6用户可以同时点播的最大节目数。其中，max-access-number的取值范围为1～64。此属性只对PPP、Portal用户生效。

primary-dns ip ipv4-address：指定用户的主DNS服务器IPv4地址。此属性只对PPP用户生效。

primary-dns ipv6 ipv6-address：指定用户的主DNS服务器IPv6地址。此属性只对PPP用户生效。

secondary-dns ip ipv4-address：指定用户的从DNS服务器IPv4地址。此属性只对PPP用户生效。

secondary-dns ipv6 ipv6-address：指定用户的从DNS服务器IPv6地址。此属性只对PPP用户生效。

redirect deny：表示禁止满足匹配规则的终端设备访问重定向URL。

redirect permit：表示允许满足匹配规则的终端设备访问重定向URL。

user-agent：表示使用HTTP或HTTPS请求报文中的user-agent字段，对配置的用户终端类型进行匹配。

match match-string：指定用户首次访问网络时，对用户终端类型进行匹配的规则。其中，match-string为1～255个字符的字符串，不区分大小写。字符串中可以使用|将不同匹配规则割开，其中，|表示匹配规则之间为“或”的关系；例如aa|bb表示aa和bb满足其中之一即可。此属性只对MAC地址认证用户生效。

session-group-profile session-group-profile-name：指定用户的授权Session Group Profile。其中，session-group-profile-name为Session Group Profile名称，为1～31个字符的字符串，只能包含英文字母、数字、下划线、减号和英文句号，支持以字母和数字开头，但不能为纯数字，区分大小写。用户在认证前，若被授权认证域，则其访问行为将受到该域中的Session Group Profile配置的限制。此属性只对PPP、Portal用户生效。

session-timeout timeout：指定用户的会话超时时间。其中，timeout为设定的会话超时时间，取值范围为1～4294967294，单位为秒。如果用户在线时长超过该值，设备会强制该用户下线。如果RADIUS服务器通过Session-Timeout属性给用户下发了会话超时时间，则服务器下发的会话超时时间优先生效。此属性只对PPP、Portal、lan-access用户生效。

url url-string：指定用户的重定向URL。其中，url-string为1～255个字符的字符串，区分大小写，且必须携带http://或https://前缀才可生效。重定向URL主要用于Web页面推送，例如，用户认证成功后首次访问网络时用于推送广告、通知类页面，或者用户欠费时将用于推送欠费提醒页面。此属性只对lan-access用户和IPoE用户生效，且对于IPoE用户仅使用80或443端口号的URL生效。

user-group user-group-name：表示用户所属用户组。其中，user-group-name表示用户组名，为1～32个字符的字符串，不区分大小写。用户认证成功后，将继承该用户组中的所有属性。

user-priority：指定授权用户优先级。该用户优先级通过QoS优先级映射之后，可用于指定报文进入的优先级队列，高优先级队列中的报文在流量拥塞处理时优先得到处理。另外，用户上行报文的IP Precedence字段取值也会被该属性值替换。上行和下行用户优先级可以同时配置。缺省情况下，用户未被授予用户优先级。授权用户优先级属性只对Portal用户生效。

inbound：表示用户上行流量的优先级。

outbound：表示用户下行流量的优先级。

priority：表示用户流量的优先级，取值范围为0～7，7的优先级最高。

user-profile profile-name：指定用户的授权User Profile。其中，profile-name为User Profile名称，为1～31个字符的字符串，只能包含英文字母、数字、下划线、减号和英文句号，支持以字母和数字开头，但不能为纯数字，区分大小写。Portal用户在认证前，若被授权认证域，则其访问行为将受到该域中的User Profile配置的限制。此属性只对PPP、Portal、lan-access用户生效。

vlan vlan-id：指定用户的授权VLAN。其中，vlan-id为VLAN编号，取值范围为1～4094。此属性只对有线802.1X、MAC地址认证、Web认证用户生效。

vpn-instance vpn-instance-name：指定用户所属的VPN实例。其中，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。用户认证成功后，将被授权允许访问指定VPN中的网络资源。此属性只对PPP用户生效。

vsi vsi-name：指定用户的授权VSI。其中，vsi-name表示VSI名称，为1～31个字符的字符串，区分大小写。此属性只对有线802.1X和MAC地址认证用户生效。

【使用指导】

用户上线后，设备会周期性检测用户的流量，若域内某用户在指定的闲置检测时间内产生的流量小于本命令中指定的最小数据流量，则会被强制下线。需要注意的是，服务器上也可以配置最大空闲时间实现对用户的闲置切断功能，具体为当用户在指定的闲置检测时间内产生的流量小于10240个字节（服务器上该阈值为固定值，不可配置）时，会被强制下线。但是，只有在设备上的闲置切断功能处于关闭状态时，服务器才会根据自身的配置来控制用户的闲置切断。

如果当前ISP域的用户认证成功，但认证服务器（包括本地认证下的接入设备）未对该ISP域下发授权属性，则系统使用当前ISP下指定的授权属性为用户授权。对于授权属性CAR而言，只要认证服务器下发了CAR参数，无论是否同时下发了两个方向的CAR参数，系统均以服务器的授权值为准，并不采用ISP域下配置的授权值。

需要注意的是，可通过多次执行本命令配置多个授权属性，但对于相同授权属性，最后一次执行的命令生效。

指定授权ACL时，需要注意的是：

· 若引用的ACL不存在，或者引用的ACL中没有配置规则，则表示未授权ACL规则。如果同时开启了Portal授权ACL的严格检查模式，则此情况下Portal用户会被强制下线。

· 对于授权给lan-access用户的ACL，ACL规则是否支持vpn-instance参数，以及vpn-instance参数的生效情况与设备的型号有关，请以设备的实际情况为准。

· 对于授权给Portal用户的ACL，ACL规则是否支持vpn-instance参数，以及vpn-instance参数的生效情况与设备的型号有关，请以设备的实际情况为准。

· 授权给Portal用户的ACL中不能配置携带用户源IP地址和源MAC地址信息的规则，否则会导致用户上线失败。

由于授权VSI与授权VLAN互斥，请避免对在线用户动态授权互斥的授权属性导致用户下线，具体包括以下几种情况：

· 用户上线时被授权VLAN，后续服务器再通过session control报文或者COA报文为其授权VSI。

· 用户上线时被授权VSI，后续服务器再通过session control报文或者COA报文为其授权VLAN。

· 用户上线时未被授权VLAN和VSI，设备会默认该用户采取了授权VLAN方式，后续服务器再通过session control报文或者COA报文为其授权VSI。

指定用户终端匹配规则时，需要注意：

· |为匹配规则的分割符，不能作为匹配规则输入。

· 不能连续输入|，如||、|||、| |。

· 匹配规则中可以包含空格，但是空格不参与匹配，且空格会占用字符串的长度。

【举例】

# 设置ISP域test的用户授权组为abc。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] authorization-attribute user-group abc

# 设置ISP域test的用户授权属性为禁止用户使用iPhone或Andriod的终端访问重定向URL。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] authorization-attribute redirect deny user-agent match iPhone|Andriod

【相关命令】

· display domain

1.1.52 basic-service-ip-type

basic-service-ip-type命令用来设置PPPoE/L2TP用户主业务依赖的IP地址类型。当配置主业务依赖于某IP地址类型时，如果该类型的IP地址分配失败，则不允许用户上线。

undo basic-service-ip-type命令用来恢复缺省情况。

【命令】

basic-service-ip-type { ipv4 | ipv6 | ipv6-pd } *

undo basic-service-ip-type

【缺省情况】

PPPoE/L2TP用户主业务不依赖于任何IP地址类型。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ipv4：IPv4地址类型。

ipv6：IPv6地址类型。

ipv6-pd：IPv6 PD（Prefix Delegation，前缀授权）类型。该类型的用户通过DHCPv6服务器为其分配的前缀信息生成IPv6地址。

【使用指导】

该特性仅在设备作为PPPoE Server或L2TP LNS时有效。

缺省情况下，如果PPP用户上线后没有获取到相应业务类型对应的IP地址，设备将会强制其下线。

当PPPoE/L2TP用户可能请求多种IP地址类型的业务，且并非所有IP类型的业务均为其主业务时，为了保证非主业务的IP地址获取失败的情况下用户也能够上线，则需要通过本特性来满足该需求。

当配置主业务依赖于某IP类型时，如果该IP类型的地址分配失败，则不允许用户上线。例如，在某ISP下配置basic-service-ip-type ipv6后，则不允许该域中IPv6地址分配失败的PPPoE/L2TP用户上线。

如果同时指定了ipv6和ipv6-pd，则表示不允许该域中IPv6地址协商失败或者PD协商失败的PPPoE/L2TP用户上线。

【举例】

# 在ISP域test下，设置PPPoE/L2TP用户主业务依赖的IP地址类型为IPv4。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-domain-test] basic-service-ip-type ipv4

【相关命令】

· display domain

1.1.53 default critical-microsegment

default critical-microsegment命令用来配置缺省Critical微分段。

undo default critical-microsegment命令用来删除缺省Critical微分段。

【命令】

default critical-microsegment microsegment-id [ vsi vsi-name ] [ url-user-logoff ]

undo default critical-microsegment

【缺省情况】

不存在缺省Critical微分段。

【视图】

逃生策略模板视图

【缺省用户角色】

network-admin

【参数】

microsegment-id：Critical微分段ID，取值范围为1～65535。

vsi vsi-name：VSI名称，为1～31个字符的字符串，区分大小写。此参数仅在VXLAN组网环境下使用，但是是否需要配置要根据具体组网情况而定。

url-user-logoff：表示将用户加入Critical微分段之前，强制让当前端口上授权了重定向URL的MAC地址认证的所有用户均下线。若不指定此参数，则端口上的授权了重定向URL的MAC地址认证用户一直保持在线，直到MAC地址认证下线检测功能发现其没有流量时下线。

【使用指导】

当用户进行认证时，若对应的ISP域下所有认证服务器都不可达，且认证端口上引用了逃生策略模板，则用户会被加入该模板中配置的Critical微分段。对于VPN中的用户，将会优先采用逃生策略模板中配置的对应VPN实例的Critical微分段，其次采用逃生策略模板下的缺省Critical微分段。

一个逃生策略模板视图下，最多允许配置一个缺省Critical微分段。多次执行本命令，最后一次的配置生效。

url-user-logoff参数只对MAC认证用户有效。

【举例】

# 在逃生策略模板abc下，配置缺省Critical微分段ID为66。

<Sysname> system-view

[Sysname] aaa critical-profile abc

[Sysname-critical-profile-abc] default critical-microsegment 66

【相关命令】

· if-match vpn-instance critical-microsegment

1.1.54 default microsegment

default microsegment命令用来配置授权策略模板下的缺省微分段。

undo default microsegment命令用来恢复缺省情况。

【命令】

default microsegment microsegment-id [ vsi vsi-name ]

undo default microsegment

【缺省情况】

不存在缺省微分段。

【视图】

授权策略模板视图

【缺省用户角色】

network-admin

【参数】

microsegment-id：微分段ID，取值范围为1～65535。

vsi vsi-name：VSI名称，为1～31个字符的字符串，区分大小写。此参数仅在VXLAN组网环境下使用，但是是否需要配置要根据具体组网情况而定。

【使用指导】

授权策略模板下的缺省微分段将被授权于非VPN用户，以及未匹配上模板中任何VPN实例绑定关系的VPN用户，即如果模板中未配置对应VPN实例的微分段（通过命令if-match vpn-instance microsegment），则该VPN用户将被授权模板中的缺省微分段。

一个授权策略模板视图下，最多允许配置一个缺省微分段。多次执行本命令，最后一次的配置生效。

【举例】

# 在授权策略模板abc下，配置缺省微分段ID为66。

<Sysname> system-view

[Sysname] aaa author-profile abc

[Sysname-author-profile-abc] default microsegment 66

【相关命令】

· display aaa author-profile

· if-match vpn-instance microsegment

1.1.55 dhcpv6-follow-ipv6cp

dhcpv6-follow-ipv6cp命令用来设置PPPoE/L2TP用户等待分配IPv6地址的最大时长。

undo dhcpv6-follow-ipv6cp命令用来恢复缺省情况。

【命令】

dhcpv6-follow-ipv6cp timeout delay-time

undo dhcpv6-follow-ipv6cp

【缺省情况】

未配置PPPoE/L2TP接入用户等待分配IPv6地址的最大时长。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

timeout delay-time：最大等待时长，取值范围30～1000，单位秒。

【使用指导】

该特性仅在设备作为PPPoE Server或L2TP LNS时有效。

PPPoE/L2TP用户与设备完成IPv6CP协商之后，如果在一定的时长内未能成功分配到主业务依赖类型的IPv6地址/PD，则被强制下线，否则使用分配到的IP地址上线。

在设备与PPPoE/L2TP用户连接所在网络质量比较差，使用DHCPv6为用户分配IPv6地址，或者PPPoE/L2TP用户数量比较大时，可以适当增加此等待时长避免用户因为地址分配失败而下线。

【举例】

# 在ISP域test下，设置PPPoE/L2TP用户等待分配IPv6地址的最大时长为90秒。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-domain-test] dhcpv6-follow-ipv6cp timeout 90

【相关命令】

· basic-service-ip-type

· display domain

1.1.56 display aaa abnormal-offline-record

display aaa abnormal-offline-record命令用来显示用户异常下线记录。

【命令】

display aaa abnormal-offline-record { access-type { lan-access | login | portal | ppp } | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa abnormal-offline-record offline-reason { idle-cut | quota-out | realtime-acct-fail | session-timeout | user-detect-fail } [ brief ]

display aaa abnormal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa abnormal-offline-record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type：显示指定用户接入类型的异常下线记录。

lan-access：LAN接入用户。

portal：Portal接入用户。

ppp：PPP接入用户。

domain domain-name：显示通过指定ISP域上线的用户的异常下线记录。domain-name表示ISP域名，为1～255个字符的字符串，不区分大小写。

interface interface-type interface-number：显示通过指定接口上线的用户的异常下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。

ip ipv4-address：显示指定IPv4地址的用户异常下线记录。

ipv6 ipv6-address：显示指定IPv6地址的用户异常下线记录。

mac-address mac-address：显示指定MAC地址的异常下线失败记录。mac-address为用户的MAC地址，格式为H-H-H。

slot slot-number：显示指定单板的用户异常下线失败记录。slot-number表示单板所在槽位号。对于本产品，slot-number只能为固定取值，表示整台设备。‌

‌‌

username user-name：显示指定用户名的异常下线记录。user-name表示用户名，为1～253个字符的字符串，区分大小写。

fuzzy-match：表示松散匹配用户名，即只要user-name字符串能连续匹配用户记录中的部分或者完整用户名，则匹配成功。若不指定该参数，则表示精确匹配用户名，即user-name字符串必须完全匹配上完整的用户名，才表示匹配成功。

offline-reason：显示指定下线原因的用户异常下线记录。

· idle-cut：闲置超时后切断。

· quota-out：流量配额耗尽。

· realtime-acct-fail：实时计费失败。

· session-timeout：用户会话超时。

· user-detect-fail：用户探测失败。

time：显示指定时间范围内下线用户的异常下线记录。

begin-time：起始时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

end-time：结束时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

date：显示指定日期范围的异常下线记录。若不指定该参数，则表示仅查看当天的记录。

begin-date：起始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

end-date：结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

brief：显示用户异常下线记录的简要信息。若不指定该参数，则表示显示用户异常下线记录的详细信息。

count count：显示指定数量的异常下线记录。count为记录的条目，取值范围为1～32768。

【使用指导】

可通过指定多种组合条件按需查询用户的异常下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。

无论当前系统中的用户异常下线记录功能是否处于开启状态，只要系统中存在用户异常下线记录，就能通过本命令进行查看。

若不指定任何参数，则显示当前系统中的所有用户异常下线记录的详细信息。

如果服务器传递给设备的用户名中携带不可见字符，则使用指定用户名方式查看该类用户信息时，必须指定fuzzy-match关键字，否则无法查看到该用户信息。

【举例】

# 显示所有用户异常下线记录的详细信息。

<Sysname> display aaa abnormal-offline-record

Total count: 1

Username: jay

Domain: dm1

MAC address: -

Access type: SSH

Access interface： GigabitEthernet0/0/1

SVLAN/CVLAN： -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2020/01/02 15:20:33

Offline time: 2020/02/28 15:20:56

Offline reason: User disconnected from the server.

# 显示login用户异常下线记录的简要信息。

<Sysname> display aaa abnormal-offline-record access-type login brief

Username: jay

MAC address: -

IP address: 11.2.2.41

IPv6 address: -

Offline reason: User disconnected from the server.

表1-1 display aaa abnormal-offline-record命令显示信息描述表

字段	描述
Total count	用户异常下线记录总计数
Username	用户名（若不存在，则显示为空）
Domain	ISP域名（若不存在，则显示为空）
MAC address	用户的MAC地址（若不存在，则显示“-”）
Access type	用户的接入类型： · PPPoPhy：物理链路直接承载的PPP接入用户 · PPPoE：PPPoE接入用户 · PPPoL2TP：PPP over L2TP接入用户 · PPPoFR：PPP over FR接入用户 · VPPP：L2TP自动拨号链路接入用户 · Telnet：Telnet用户 · FTP：FTP用户 · SSH：SSH用户 · Portal：Portal用户 · NETCONF over SOAP：NETCONF over SOAP用户 · NETCONF over RESTful：NETCONF over RESTful用户 · Web：通过Web登录设备的用户 · Terminal：Terminal用户，例如从Console口登录设备的终端用户
Access interface	用户接入的接口名（若不存在，则显示“-”）
SVLAN/CVLAN	‌服务提供商VLAN/用户VLAN（若不存在，则显示“-”）
IP address	用户的IPv4地址（若不存在，则显示“-”）
IPv6 address	用户的IPv6地址（若不存在，则显示“-”）
Online request time	用户发起上线请求的时间
Offline time	用户下线的时间
Offline reason	用户的下线原因，详细介绍请参见表1-2

‌

下表罗列内容为所有产品可支持上/下线原因的合集，具体产品支持情况有所不同。

表1-2 用户上/下线原因描述表

字段	描述
Lost carrier.	物理链路DOWN
Lost service.	用户业务不支持
NAS error.	设备错误
NAS reboot.	设备重启
Admin reboot.	管理员重启设备
Process exit.	接入进程退出
NAS request.	设备请求用户下线
Cut command.	管理员手动执行命令强制用户下线
Logged off by the RADIUS server.	RADIUS服务器要求用户下线
User request.	用户请求下线
Authentication failed	认证失败
Authorization failed.	授权失败
Start accounting failed.	开始计费失败
No AAA response during authentication.	用户在进行远端服务器认证时，设备在认证超时时间内未收到认证服务器的回应
RADIUS authentication rejected.	用户名或密码与RADIUS服务器上的信息不一致，导致认证失败
AAA authorization information invalid.	授权信息错误或者设备上没有对应的授权配置
No AAA response for accounting start.	用户向远端服务器发送计费开始时，设备在计费开始超时时间内未收到认证服务器的回应
Authentication request to AAA failed.	由于设备与RADIUS服务器间路由不可达，导致认证请求发送失败
Accounting request to AAA failed.	由于设备与RADIUS服务器间路由不可达，导致计费请求发送失败
TACACS authentication rejected.	用户名或密码与HWTACACS服务器上的信息不一致，导致认证失败
Authentication method error.	接入模块的认证配置错误。可能是用户请求的认证类型与端口下配置的认证类型不一致
No AAA response for accounting stop.	未收到服务器对停止计费请求的回应
The local user doesn't exist.	设备上未配置该本地用户
Local authentication request was rejected.	用户密码错误导致本地认证被拒绝
IP assignment failed.	IP地址分配失败
Concurrent user login limit reached.	一个本地用户用户名允许接入的用户数超过了限制
NAS interface access limit reached.	NAS接口下上线的用户数已达到了该接口下配置的允许上线用户数目最大限制
Maximum number of concurrent users that use this account already reached.	使用该账户的用户达到了上限个数
PPP negotiation terminated.	PPP协商过程失败
Insufficient hardware resources.	硬件资源不足
Failed to obtain IPv6 prefix.	没有可用的IPv6地址前缀用来为用户分配
No response from DHCP server.	设备向远端DHCP服务器申请IP地址时，没有收到远端服务器的响应
DHCP IP address allocation failure.	DHCPv6地址分配失败，可能的原因包括： · AAA域下没有配置授权IPv6地址池 · IPv6地址池被锁定
DHCP session conflict.	新建的DHCP会话与已有的会话冲突
DHCP user request.	DHCP用户请求下线
DHCP lease timeout.	DHCP用户地址租期到期下线
DHCP declined.	已有主机使用服务器分配的IP地址设备收到用户的DHCP-DECLINE报文，可能是客户端检测到用户网络中存在另一个相同的IP地址
DHCP configuration changed.	DHCP配置变化触发用户下线
NAK from the DHCP server or tenant duration is 0.	客户端请求的IP地址与设备分配的IP地址网段不一致或续租时间为0
IP conflict on DHCP server.	设备检测到IP地址冲突
DHCP server notified.	DHCP服务器通知用户下线
DHCP server notified, and the device deleted the user.	DHCP服务器端通知用户下线，设备删除用户
The static session already exists.	新建IPoE动态会话与已有静态会话配置冲突
NAT444 failed.	IPoE与NAT444联动失败
The ND RS session is updated.	ND用户在线时，又收到该用户的ND上线请求，触发用户下线
L2TP tunnel terminated by the peer.	对端拆除了L2TP隧道，可能是对端设备检测到用户下线
The peer did not respond to control packets.	对端设备未回应本端的PPP控制报文
Failed to set up an L2TP session.	L2TP会话创建失败
Repeated LCP negotiation packets.	收到重复的LCP协商报文，可能是客户端断开后重新发起连接
Failed to assign a user rule.	下发Portal用户规则失败
COA failure.	设备处理COA授权消息失败
Failed to update authorization information.	更新用户授权信息失败
Realtime accounting request to AAA failed.	实时计费请求失败
Session timeout.	用户会话超时
Data quota limit reached.	用户可用流量额度已经达到限定值
Session idle cut.	闲置切断，即单位时间内用户的流量小于指定值，设备强制用户下线
User online detection failure.	用户在线探测失败
Port was removed from VLAN.	用户上线的物理端口被移出所在VLAN
Port error.	端口错误
Interface down or deactive.	接口协议down、链路down或接口未激活
VSRP status changed.	VSRP状态变化
Backup device deleted user data that is inconsistent with data on the master device.	VSRP备设备删除了与主设备上不一致的用户数据
MAC address change.	用户MAC地址变化
Failed to recover AAA resources.	恢复用户的AAA资源失败
Deleted users because of inter-card session conflict.	不同单板上的会话冲突导致用户下线
User aged out before coming online.	达到了接入模块的上线超时时间
MPU-LPU data synchronization failure.	板间数据平滑失败
Failed to synchronize data with DHCP server.	与DHCP服务器之间数据同步失败
Failed to synchronize data with portal server.	与Portal服务器之间同步数据失败
Failed to synchronize user information with the server.	与服务器同步用户信息失败
User recovery failure.	用户数据恢复失败
Failed to obtain physical information.	获取物理信息失败
Authorization ACL for the online user changed.	授权的ACL配置变化
Authorization user profile for the online user changed.	授权的User Profile配置变化
Magic number check failed.	魔术字检查失败
Reauthentication failed.	重认证失败
No AAA response during realtime accounting.	实时计费无响应
Portal notified.	Portal通知用户下线
Invalid username or password.	无效用户名或者密码
The lock flag of the local user is lock in the password control blacklist	用户在密码黑名单中处于锁定状态
No VTY line available.	没有VTY资源，登录VTY的用户数达到了最大值
SSH server received a packet with an incorrect message authentication code.	SSH客户端报文的消息认证码（Message Authentication Code）错误
User disconnected from the server.	SSH或FTP用户与服务器断开连接
No working directory available.	无可用工作路径错误
PTY allocation failed.	PTY（伪终端）申请失败
FTP server error.	用户连接的FTP服务器异常，由于FTP服务器自身的原因导致用户无法登录
Server is disabled.	服务未开启
Service type not supported.	服务类型不支持
RBAC denied file management operations in the login command.	登录命令中的文件系统操作权限被RBAC禁止
Failed to issue RBAC access permissions to the login user.	登录命令行执行权限被RBAC禁止
NETCONF inner error.	NETCONF内部错误
NETCONF session was terminated by another NETCONF session.	用户的Netconf会话被其它Netconf会话打断
Failed to allocate public network ports in a CGN network.	CGN公网端口分配失败
Failed to obtain an IP address of the type specified for basic services of users.	用户主业务依赖的IP地址分配失败
UserGroup configuration changed.	用户组配置变化
Service-type mismatch.	未找到本地用户的服务类型配置
The local user is blocked.	本地用户处于阻塞状态
The local user is in the password control blacklist.	本地用户处于Password Control黑名单中
Binding attributes mismatch.	本地用户的绑定属性不匹配
The ISP domain does not exist.	认证ISP域不存在
The ISP domain is blocked.	ISP域处于阻塞状态
HWTACACS authorization server is unreachable or the server configuration does not exist.	HWTACACS授权服务器不可达或者服务器配置不存在

【相关命令】

· reset aaa abnormal-offline-record

1.1.57 display aaa author-profile

display aaa author-profile命令用来显示授权策略模板的信息。

【命令】

display aaa author-profile [ name profile-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name profile-name：授权策略模板的名字，为1～31个字符的字符串，不区分大小写。若不指定该参数，则表示所有授权策略模板。

【举例】

# 显示所有授权策略模板的信息。

Total 2 aaa author-profiles

aaa author-profile: a

default microsegment 1 vsi 1

Total 3 match criteria.

if match vpn-instance 2 microsegment 2 vsi 2

if match vpn-instance 3 microsegment 3 vsi 3

if match vpn-instance 4 microsegment 3 vsi 4

aaa author-profile: b

default microsegment 1 vsi 1

Total 2 match criteria.

if match vpn-instance 2 microsegment 2 vsi 2

if match vpn-instance 3 microsegment 3 vsi 3

# 显示指定授权策略模板的信息。

<Sysname> display aaa author-profile a

aaa author-profile: a

default microsegment 1 vsi 1

Total 3 match criteria.

if match vpn-instance 2 microsegment 2 vsi 2

if match vpn-instance 3 microsegment 3 vsi 3

if match vpn-instance 4 microsegment 3 vsi 4

表1-3 display aaa author-profile命令显示信息描述表

字段	描述
Total xx aaa author-profiles	总计有xx个授权策略模板
aaa author-profile	授权策略模板名称
default microsegment xxx vsi xxx	缺省微分段以及所属的VSI
Total xx match criteria.	总计有xx条VPN实例与微分段的绑定关系
if match vpn-instance xxx microsegment xxx vsi xxx	指定VPN实例的微分段以及所属的VSI

【相关命令】

· aaa author-profile

1.1.58 display aaa authorization-cache

display aaa authorization-cache命令用来显示设备记录的授权信息缓存表项。

【命令】

display aaa authorization-cache [ dot1x | mac-auth | static | web-auth ] [ mac mac-address ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

dot1x：显示802.1X认证用户的授权信息缓存表项。

mac-auth：显示MAC地址认证用户的授权信息缓存表项。

static：显示静态用户的授权信息缓存表项。

web-auth：显示Web认证用户的授权信息缓存表项。

mac mac-address：显示指定MAC地址的授权信息缓存表项。mac-address为MAC地址，格式为H-H-H。若不指定该参数，则表示显示不同类型用户的所有授权信息缓存表项。

【使用指导】

如果不指定任何参数，则显示设备记录的所有授权信息缓存表项。

【举例】

# 显示设备记录的所有授权信息缓存表项。

<Sysname> display aaa authorization-cache

Total cache entries: 2

User MAC address: 0015-e9a6-7cfe

Username: ias

Access type: MAC authentication

UUID: ff ff ff ff

Remaining time: 335:58:16 (hh:mm:ss)

AAA authentication method: RADIUS

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization microsegment name: N/A

Authorization VLAN ID: 6

Authorization VLAN name: N/A

Egress VLAN ID: N/A

Egress VLAN Name(untagged): 1 5 7 9 11 13 15

Authorization ACL number: 3001

Authorization ACL name: N/A

Authorization ACL version: N/A

Authorization user profile: N/A

User MAC address: 0015-e9a6-abcd

Username: luser

Access type: 802.1X authentication

UUID: 41 41 41 41 42 42 42

Remaining time: 335:58:16 (hh:mm:ss)

AAA authentication method: RADIUS

Authorization VSI: N/A

Authorization microsegment ID: N/A

Authorization microsegment name: N/A

Authorization VLAN ID: 2

Authorization VLAN name: N/A

Egress VLAN ID(tagged): 17

Egress VLAN Name: N/A

Authorization ACL number: N/A

Authorization ACL name: DACL

Authorization ACL version: IPV4

Authorization user profile: N/A

表1-4 display aaa authorization-cache命令显示信息描述表

字段	描述
Total cache entries	记录的授权信息缓存表项总数
User MAC address	用户的MAC地址
Username	用户名
Access type	接入认证方式，取值包括： · 802.1X authentication：802.1X认证 · MAC authentication：MAC地址认证 · Web authentication：Web认证 · Static user access：静态接入用户
Remaining time	过期定时器的剩余时间，取值包括： · Not expire：不过期 · xx:xx:xx (hh:mm:ss)：过期时间
UUID	UUID信息
AAA authentication method	用户成功上线采用的AAA认证方法，取值包括： · Local：本地认证 · RADIUS：RADIUS认证 · TACACS：TACACS认证
Authorization VSI	授权的VSI列表，若未授权VSI，则显示N/A
Authorization microsegment ID	授权的微分段ID，若未授权微分段，则显示N/A
Authorization microsegment name	授权的微分段Name，若未授权微分段，则显示N/A
Authorization VLAN ID	授权的VLAN的ID 。若未授权VLAN，则显示N/A
Authorization VLAN name	授权的VLAN的名称
Egress VLAN ID	授权的出口VLAN的ID，若未授权，则显示N/A
Egress VLAN Name	授权的出口VLAN的名称，若未授权，则显示N/A
Authorization ACL number	授权的静态ACL的编号。若未授权静态ACL，则显示N/A
Authorization ACL name	授权的静态ACL的名称。
Authorization ACL version	授权的ACL的版本，取值包括：IPV4、IPV6、MAC、USER、WLAN
Authorization dynamic ACL name	授权的动态ACL的名称。若未授权动态ACL，则显示N/A
Authorization user profile	授权用户的User profile名称

1.1.59 display aaa normal-offline-record

display aaa normal-offline-record命令用来显示用户正常下线记录。

【命令】

display aaa normal-offline-record { access-type { lan-access | login | portal | ppp } | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa normal-offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa normal-offline-record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type：显示指定用户接入类型的正常下线记录。

lan-access：LAN接入用户。

portal：Portal接入用户。

ppp：PPP接入用户。

domain domain-name：显示通过指定ISP域上线的用户的正常下线记录。domain-name表示ISP域名，为1～255个字符的字符串，不区分大小写。

interface interface-type interface-number：显示通过指定接口上线的用户的正常下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。

ip ipv4-address：显示指定IPv4地址的用户正常下线记录。

ipv6 ipv6-address：显示指定IPv6地址的用户正常下线记录。

mac-address mac-address：显示指定MAC地址的正常下线记录。mac-address为用户的MAC地址，格式为H-H-H。

slot slot-number：显示指定单板的用户正常下线记录。slot-number表示单板所在槽位号。对于本产品，slot-number只能为固定取值，表示整台设备。‌

‌‌

username user-name：显示指定用户名的正常下线记录。user-name表示用户名，为1～253个字符的字符串，区分大小写。

time：显示指定时间范围内上线用户的正常下线记录。

begin-time：起始时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

end-time：结束时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

date：显示指定日期范围的正常下线记录。若不指定该参数，则表示仅查看当天的记录。

begin-date：起始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

end-date：结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

brief：显示用户正常下线记录的简要信息。若不指定该参数，则表示显示用户正常下线记录的详细信息。

count count：显示指定数量的正常下线失败记录。count为记录的条目，取值范围为1～32768。

【使用指导】

可通过指定多种组合条件按需查询用户的正常下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。

无论当前系统中的用户正常下线记录功能是否处于开启状态，只要系统中存在用户正常下线记录，就能通过本命令进行查看。

若不指定任何参数，则显示当前系统中的所有用户正常下线记录的详细信息。

【举例】

# 显示所有用户正常下线记录的详细信息。

<Sysname> display aaa normal-offline-record

Total count: 1

Username: jay

Domain: dm1

MAC address: -

Access type: Telnet

Access interface： GigabitEthernet0/0/1

SVLAN/CVLAN： -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2020/01/02 15:20:33

Offline time: 2020/02/28 15:20:56

Offline reason: User request.

# 显示login用户正常下线记录的简要信息。

<Sysname> display aaa offline-record access-type login brief

Username: jay

MAC address: -

IP address: 11.2.2.41

IPv6 address: -

Offline reason: User request.

表1-5 display aaa normal-offline-record命令显示信息描述表

字段	描述
Total count	用户正常下线记录总计数
Username	用户名（若不存在，则显示为空）
Domain	ISP域名（若不存在，则显示为空）
MAC address	用户的MAC地址（若不存在，则显示“-”）
Access type	用户的接入类型： · PPPoPhy：物理链路直接承载的PPP接入用户 · PPPoE：PPPoE接入用户 · PPPoL2TP：PPP over L2TP接入用户 · PPPoFR：PPP over FR接入用户 · VPPP：L2TP自动拨号链路接入用户 · Telnet：Telnet用户 · FTP：FTP用户 · SSH：SSH用户 · Portal：Portal用户 · NETCONF over SOAP：NETCONF over SOAP用户 · NETCONF over RESTful：NETCONF over RESTful用户 · Web：通过Web登录设备的用户 · Terminal：Terminal用户，例如从Console口登录设备的终端用户
Access interface	用户接入的接口名（若不存在，则显示“-”）
SVLAN/CVLAN	‌服务提供商VLAN/用户VLAN（若不存在，则显示“-”）
IP address	用户的IPv4地址（若不存在，则显示“-”）
IPv6 address	用户的IPv6地址（若不存在，则显示“-”）
Online request time	用户发起上线请求的时间
Offline time	用户下线的时间
Offline reason	用户的下线原因，详细介绍请参见表1-2

‌

【相关命令】

· reset aaa normal-offline-record

1.1.60 display aaa offline-record

display aaa offline-record命令用来显示用户下线记录。

【命令】

display aaa offline-record { access-type { lan-access | login | portal | ppp } | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address ] | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa offline-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa offline-record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type：显示指定用户接入类型的下线记录。

lan-access：LAN接入用户。

portal：Portal接入用户。

ppp：PPP接入用户。

domain domain-name：显示通过指定ISP域上线的用户的下线记录。domain-name表示ISP域名，为1～255个字符的字符串，不区分大小写。

interface interface-type interface-number：显示通过指定接口上线的用户的下线信息。interface-type interface-number表示用户接入接口的类型和接口编号。

ip ipv4-address：显示指定IPv4地址的用户下线记录。

ipv6 ipv6-address：显示指定IPv6地址的用户下线记录。

mac-address mac-address：显示指定MAC地址的下线记录。mac-address为用户的MAC地址，格式为H-H-H。

slot slot-number：显示指定单板的用户下线记录。slot-number表示单板所在槽位号。对于本产品，slot-number只能为固定取值，表示整台设备。‌

username user-name：显示指定用户名的下线记录。user-name表示用户名，为1～253个字符的字符串，区分大小写。

time：显示指定时间范围内下线用户的下线记录。

begin-time：起始时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

end-time：结束时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

date：显示指定日期范围的下线记录。若不指定该参数，则表示仅查看当天的记录。

begin-date：起始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

end-date：结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

brief：显示用户下线记录的简要信息。若不指定该参数，则表示显示用户下线记录的详细信息。

count count：显示指定数量的下线记录。count为记录的条目，取值范围为1～65536。

【使用指导】

可通过指定多种组合条件按需查询用户的下线记录。系统将从最新的一条记录开始显示符合查询条件的记录。

无论当前系统中的用户下线记录功能是否处于开启状态，只要系统中存在用户下线记录，就能通过本命令进行查看。

若不指定任何参数，则显示当前系统中的所有用户下线记录的详细信息。

【举例】

# 显示所有用户下线记录的详细信息。

<Sysname> display aaa offline-record

Total count: 1

Username: jay

Domain: dm1

MAC address: -

Access type: Telnet

Access interface： GigabitEthernet0/0/1

SVLAN/CVLAN： -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2020/01/02 15:20:33

Offline time: 2020/02/28 15:20:56

Offline reason: User request

# 显示login用户下线记录的简要信息。

<Sysname> display aaa offline-record access-type login brief

Username: jay

MAC address: -

IP address: 20.20.20.1

IPv6 address: -

Offline reason: User request.

Username: test

MAC address: -

IP address: 20.20.20.3

IPv6 address: -

Offline reason: User request.

表1-6 display aaa offline-record命令显示信息描述表

字段	描述
Total count	用户下线记录总计数
Username	用户名（若不存在，则显示为空）
Domain	ISP域名（若不存在，则显示为空）
MAC address	用户的MAC地址（若不存在，则显示“-”）
Access type	用户的接入类型： · PPPoPhy：物理链路直接承载的PPP接入用户 · PPPoE：PPPoE接入用户 · PPPoL2TP：PPP over L2TP接入用户 · PPPoFR：PPP over FR接入用户 · VPPP：L2TP自动拨号链路接入用户 · Telnet：Telnet用户 · FTP：FTP用户 · SSH：SSH用户 · Portal：Portal用户 · NETCONF over SOAP：NETCONF over SOAP用户 · NETCONF over RESTful：NETCONF over RESTful用户 · Web：通过Web登录设备的用户 · Terminal：Terminal用户，例如从Console口登录设备的终端用户
Access interface	用户接入的接口名（若不存在，则显示“-”）
SVLAN/CVLAN	‌服务提供商VLAN/用户VLAN（若不存在，则显示“-”）
IP address	用户的IPv4地址（若不存在，则显示“-”）
IPv6 address	用户的IPv6地址（若不存在，则显示“-”）
Online request time	用户发起上线请求的时间
Offline time	用户下线的时间
Offline reason	用户的下线原因，详细介绍请参见表1-2

‌

【相关命令】

· reset aaa offline-record

1.1.61 display aaa online-fail-record

display aaa online-fail-record命令用来显示用户上线失败记录。

【命令】

display aaa online-fail-record { access-type { lan-access | login | portal | ppp } | domain domain-name | interface interface-type interface-number | { ip ipv4-address | ipv6 ipv6-address } | mac-address mac-address | slot slot-number | username user-name [ fuzzy-match ] } * [ brief | count count ]

display aaa online-fail-record time begin-time end-time [ date begin-date end-date ] [ brief ]

display aaa online-fail-record

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

access-type：显示指定用户接入类型的上线失败记录。

lan-access：LAN接入用户。

portal：Portal接入用户。

ppp：PPP接入用户。

domain domain-name：显示通过指定ISP域上线的用户的上线失败记录。domain-name表示ISP域名，为1～255个字符的字符串，不区分大小写。

interface interface-type interface-number：显示通过指定接口上线的用户的上线失败信息。interface-type interface-number表示用户接入接口的类型和接口编号。

ip ipv4-address：显示指定IPv4地址的用户上线失败记录。

ipv6 ipv6-address：显示指定IPv6地址的用户上线失败记录。

mac-address mac-address：显示指定MAC地址的上线失败记录。mac-address为用户的MAC地址，格式为H-H-H。

slot slot-number：显示指定单板的用户上线失败记录。slot-number表示单板所在槽位号。对于本产品，slot-number只能为固定取值，表示整台设备。‌

username user-name：显示指定用户名的上线失败记录。user-name表示用户名，为1～253个字符的字符串，区分大小写。

time：显示指定时间范围内上线用户的上线失败记录。

begin-time：起始时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

end-time：结束时间，格式为hh:mm:ss（小时:分钟:秒），hh取值范围为0～23，mm和ss取值范围为0～59。

date：显示指定日期范围的上线失败记录。若不指定该参数，则表示仅查看当天的记录。

begin-date：起始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

end-date：结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日）。MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

brief：显示用户上线失败记录的简要信息。若不指定该参数，则表示显示用户上线失败记录的详细信息。

count count：显示指定数量的上线失败记录。count为记录的条目，取值范围为1～32768。

【使用指导】

可通过指定多种组合条件按需查询用户的上线失败记录。系统将从最新的一条记录开始显示符合查询条件的记录。

无论当前系统中的用户上线失败记录功能是否处于开启状态，只要系统中存在用户上线失败记录，就能通过本命令进行查看。

若不指定任何参数，则显示当前系统中的所有用户上线失败记录的详细信息。

【举例】

# 显示2条用户名为aaa的login用户上线失败记录的详细信息。

<Sysname> display aaa online-fail-record username aaa access-type login count 2

Username: aaa

Domain: test

MAC address: -

Access type: Telnet

Access interface: GigabitEthernet0/0/1

SVLAN/CVLAN: 100/-

IP address: 19.19.0.1

IPv6 address: -

Online request time: 2020/01/02 15:20:37

Online failure reason: Authentication failed.

Server reply message: no user exists.

Username: aaa

Domain: test

MAC address: -

Access type: Telnet

Access interface: GigabitEthernet0/0/1

SVLAN/CVLAN: -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2020/01/02 15:20:33

Online failure reason: Authentication failed.

Server reply message: no user exists.

# 显示2020/2/1的13:20:50 到2020/2/2的10:20:30这段时间内的上线失败用户记录的简要信息。

<Sysname> display aaa online-fail-record time 13:20:50 10:20:30 date 2020/2/1 2020/2/2 brief

Username: aaa

MAC address: -

IP address: 19.19.0.2

IPv6 address: -

Online failure reason: Authentication failed.

Server reply message: no user exists.

# 显示2020/2/1的13:20:50至2020/2/2的17:20:30期间的用户上线失败记录。

<Sysname> display aaa online-fail-record time 13:20:50 17:20:30 date 2020/2/1 2020/2/2

Username: aaa

Domain: test

MAC address: -

Access type: Telnet

Access interface: GigabitEthernet0/0/1

SVLAN/CVLAN: -/-

IP address: 19.19.0.1

IPv6 address: -

Online request time: 2020/02/02 16:20:33

Online failure reason: Authentication failed

Server reply message: no user exists.

Username: aaa

Domain: test

MAC address: -

Access type: Telnet

Access interface: GigabitEthernet0/0/1

SVLAN/CVLAN: -/-

IP address: 19.19.0.2

IPv6 address: -

Online request time: 2020/02/01 15:20:51

Online failure reason: Authentication failed.

Server reply message: no user exists.

表1-7 display aaa online-fail-record命令显示信息描述表

字段	描述
Total count	用户上线失败记录总数
Username	用户名（若不存在，则显示为空）
Domain	用户上线使用的ISP域名（若不存在，则显示为空）
MAC address	用户的MAC地址（若不存在，则显示“-”）
Access type	用户的接入类型： · PPPoPhy：物理链路直接承载的PPP接入用户 · PPPoE：PPPoE接入用户 · PPPoL2TP：PPP over L2TP接入用户 · PPPoFR：PPP over FR接入用户 · VPPP：L2TP自动拨号链路接入用户 · Telnet：Telnet用户 · FTP：FTP用户 · SSH：SSH用户 · Portal：Portal用户 · NETCONF over SOAP：NETCONF over SOAP用户 · NETCONF over RESTful：NETCONF over RESTful用户 · Web：通过Web登录设备的用户 · Terminal：Terminal用户，例如从Console口登录设备的终端用户
Access interface	用户接入的接口名（若不存在，则显示“-”）
SVLAN/CVLAN	‌服务提供商VLAN/用户VLAN（若不存在，则显示“-”）
IP address	用户的IPv4地址（若不存在，则显示“-”）
IPv6 address	用户的IPv6地址（若不存在，则显示“-”）
Online request time	用户发起上线请求的时间
Online failure reason	用户的上线失败原因，详细介绍请参见表1-2
Server reply message	服务器下发的消息（若未下发，则不显示）

【相关命令】

· reset aaa online-fail-record

1.1.62 display domain

display domain命令用来显示所有或指定ISP域的配置信息。

【命令】

display domain [ isp-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

isp-name：ISP域名，为1～255个字符的字符串，不区分大小写。如果不指定该参数，则表示所有ISP域。

【举例】

# 显示系统中所有ISP域的配置信息。

<Sysname> display domain

Total 2 domains

Domain: system

Current state: Active

State configuration: Active

Default authentication scheme: Local

Default authorization scheme: Local

Default accounting scheme: Local

Accounting start failure action: Online

Accounting update failure action: Online

Accounting quota out policy: Offline

Send accounting update:Yes

ITA service policy: ita1

Service type: HSI

Session time: Exclude idle time

DHCPv6-follow-IPv6CP timeout: Not configured

Dual-stack accounting method: Merge

NAS-ID: N/A

Web server URL : Not configured

Web server URL parameters : Not configured

Web server IPv4 address : Not configured

Web server IPv6 address : Not configured

Authorization attributes:

Idle cut: Disabled

IGMP access limit: 4

MLD access limit: 4

Authen-fail action: Offline

Authen-radius-unavailable: Not configured

Authen-radius-recover: Not configured

Temporary redirect: Disabled

Domain: dm

Current state: Active

State configuration: Blocked during specific time ranges

Time ranges:

Online-user logoff: Disabled

Super authentication scheme: RADIUS=rad

PPP accounting scheme: RADIUS=r1, (RADIUS=r2), HWTACACS=tc, Local

Command authorization scheme: HWTACACS=hw

LAN access authentication scheme: RADIUS=r4

Portal authentication scheme: LDAP=ldp

5G authentication scheme: RADIUS=rad, None

Default authentication scheme: RADIUS=rad, Local, None

Default authorization scheme: Local

Default accounting scheme: None

Accounting start failure action: Online

Accounting update failure action: Online

Accounting quota out policy: Offline

ITA service policy: ita1

Service type: HSI

Session time: Include idle time

Dual-stack accounting method: Merge

NAS-ID: test

Web server URL : Not configured

Web server URL parameters : Not configured

Web server IPv4 address : Not configured

Web server IPv6 address : Not configured

Authorization attributes:

Idle cut : Enabled

Idle timeout: 2 minutes

Flow: 10240 bytes

Traffic direction: Both

IP pool: appy

User profile: test

Session group profile: abc

Inbound CAR: CIR 64000 bps PIR 640000 kbps

Outbound CAR: CIR 64000 bps PIR 640000 kbps

ACL number: 3000

User group: ugg

IPv6 prefix: 1::1/34

IPv6 pool: ipv6pool

Primary DNS server: 6.6.6.6

Secondary DNS server: 3.6.2.3

URL: http://example

VPN instance: vpn1

IGMP access limit: 4

MLD access limit: 4

Redirect match terminal rule:

Rule: iphone|ipad

Action: permit

Authen-fail action: Online in domain dm1 without authentication

Authen-radius-unavailable: Online domain dm2

Authen-radius-recover: Offline

Temporary redirect: Disabled

LAN access radius cache: Enabled

Default domain name: system

表1-8 display domain命令显示信息描述表

字段	描述
Total 2 domains	总计2个ISP域
Domain	ISP域名
Current state	ISP域的当前状态，包括以下取值： · Blocked：阻塞状态 · Active：活动状态
State configuration	ISP域的状态配置，包括以下取值： · Active：活动状态 · Blocked during specific time ranges：在指定时间段处于阻塞状态 · Blocked：阻塞状态
Time ranges	ISP域处于阻塞状态的时间段名称
Online-user logoff	‌ISP域处于阻塞状态后强制在线用户下线功能的状态，包括以下取值： · Enabled：处于开启状态 · Disabled：处于关闭状态
Default authentication scheme	缺省的认证方案
Default authorization scheme	缺省的授权方案
Default accounting scheme	缺省的计费方案
ADVPN authentication scheme	ADVPN用户认证方案
ADVPN authorization scheme	ADVPN用户授权方案
ADVPN accounting scheme	ADVPN用户计费方案
Login authentication scheme	Login用户认证方案
Login authorization scheme	Login用户授权方案
Login accounting scheme	Login用户计费方案
Super authentication scheme	用户角色切换认证方案
PPP authentication scheme	PPP用户的认证方案
PPP authorization scheme	PPP用户的授权方案
PPP accounting scheme	PPP用户的计费方案
Command authorization scheme	命令行授权方案
Command accounting scheme	命令行计费方案
LAN access authentication scheme	lan-access用户认证方案
LAN access authorization scheme	lan-access用户授权方案
LAN access accounting scheme	lan-access用户计费方案
Portal authentication scheme	Portal用户认证方案
Portal authorization scheme	Portal用户授权方案
Portal accounting scheme	Portal用户计费方案
SSL VPN authentication scheme	SSL VPN用户认证方案
SSL VPN authorization scheme	SSL VPN用户授权方案
SSL VPN accounting scheme	SSL VPN用户计费方案
IKE authentication scheme	IKE扩展认证方案
IKE authorization scheme	IKE扩展认证的授权方案
IPoE authentication scheme	IPoE用户认证方案
IPoE authorization scheme	IPoE用户授权方案
IPoE accounting scheme	IPoE用户计费方案
ONU authentication scheme	ONU用户认证方案
5G authentication scheme	5G用户认证方案
5G authorization scheme	5G用户授权方案
5G accounting scheme	5G用户计费方案
RADIUS	RADIUS方案
HWTACACS	HWTACACS方案
LDAP	LDAP方案
Local	本地方案
None	不认证、不授权和不计费
Accounting start failure action	用户计费开始失败的动作，包括以下取值： · Online：如果用户计费开始失败，则保持用户在线 · Offline：如果用户计费开始失败，则强制用户下线
Accounting update failure max-times	允许用户连续计费更新失败的次数
Accounting update failure action	用户计费更新失败的动作，包括以下取值： · Online：如果用户计费更新失败，则保持用户在线 · Offline：如果用户计费更新失败，则强制用户下线
Accounting quota out policy	用户计费配额耗尽策略，包括以下取值： · Online：如果用户计费配额耗尽，则保持用户在线 · Offline：如果用户计费配额耗尽，则强制用户下线 · Redirect：发送重定向URL
Redirect URL	强制重定向的URL
Stop accounting	向计费服务器发送停止计费报文
User profile	下发给用户的User Profile的名称
Send accounting update	用户配额耗尽后是否发送获取新配额的计费更新报文： · Yes：发送 · No：不发送
ITA service policy	采用的ITA业务策略
Service type	ISP域的业务类型，取值为HSI，STB和VoIP
Session time	当用户异常下线时，设备上传到服务器的用户在线时间情况： · Include idle time：保留用户闲置切断时间 · Exclude idle time：扣除用户闲置切断时间
User address type	用户地址类型
User basic service IP type	‌用户主业务依赖的IP地址类型 · IPv4：IPv4地址类型 · IPv6：IPv6地址类型 · IPv6-PD：IPv6 PD前缀
DHCPv6-follow-IPv6CP timeout	‌PPPoE/L2TP用户等待分配IPv6地址/PD的最大时长（单位为秒）若未配置，则显示为Not configured
Dual-stack accounting method	双协议栈用户的计费方式，包括以下取值： · Merge：统一计费，即将双协议栈用户的IPv4流量和IPv6流量统一汇总后上送给计费服务器 · Separate：分别计费，即将双协议栈用户的IPv4流量和IPv6流量分别上送给计费服务器
NAS-ID	设备的NAS-ID 若未配置，则显示为N/A
Web server URL	‌Web服务器的URL
Web server URL parameters	‌Web服务器的URL携带的参数信息
Web server IPv4 address	‌Web服务器的IPv4地址
Web server IPv6 address	‌Web服务器的IPv6地址
Authorization attributes	ISP的用户授权属性
Idle cut	用户闲置切断功能，包括以下取值： · Enabled：处于开启状态，表示当ISP域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时，会被强制下线 · Disabled：处于关闭状态，表示不对用户进行闲置切断控制，它为缺省状态
Idle timeout	用户闲置切断时间（单位为分钟）
Flow	用户数据流量阈值（单位为字节）
Traffic direction	用户数据流量的统计方向，包括以下取值： · Both：表示用户双向数据流量 · Inbound：表示用户上行数据流量 · Outbound：表示用户下行数据流量
IP pool	授权IPv4地址池的名称
User profile	授权User Profile的名称
Session group profile	授权Session Group Profile的名称
Inbound CAR	授权的入方向CAR（CIR：承诺信息速率，单位为kbps；PIR：峰值信息速率，单位为kbps）。若未授权入方向CAR，则显示为N/A
Outbound CAR	授权的出方向CAR（CIR：承诺信息速率，单位为kbps；PIR：峰值信息速率，单位为kbps）。若未授权出方向CAR，则显示为N/A
ACL number	授权ACL编号
User group	授权User group的名称
IPv6 prefix	授权IPv6前缀
IPv6 pool	授权IPv6地址池的名称
Primary DNS server	授权主DNS服务器IPv4地址
Secondary DNS server	授权从DNS服务器IPv4地址
Primary DNSV6 server	授权主DNS服务器IPv6地址
Secondary DNSV6 server	授权从DNS服务器IPv6地址
URL	授权重定向URL
VPN instance	授权VPN实例名称
IGMP access limit	授权IPv4用户可以同时点播的最大节目数
MLD access limit	授权IPv6用户可以同时点播的最大节目数
Inbound user priority	授权上行用户优先级
Outbound user priority	授权下行用户优先级
User session timeout	授权用户会话超时时间，单位为秒
VSI name	授权VSI名称
VLAN ID	授权VLAN ID
Microsegment ID	授权微分段ID
Rule	匹配规则
Action	授权属性的执行动作，取值包括： · deny：禁止满足匹配规则的终端设备访问重定向URL · permit：允许满足匹配规则的终端设备访问重定向URL
Author profile	授权策略模板名称
Authen-fail action	用户认证失败后采取的策略，取值包括： · Offline：直接下线 · Online in domain isp-name without authentication：保持在线，且采用指定的域重新进行授权/计费，不重新认证
Authen-radius-unavailable	RADIUS认证服务器不可达时，用户的逃生域
Authen-radius-recover	逃生域中的用户，在RADIUS认证服务器恢复可达后，认证失败后采取的策略，取值包括： · Offline：直接下线 · Online in domain isp-name：保持在线，且用户切换到指定逃生恢复域 · Reauthen：进行重认证
Temporary redirect	表示是否开启暂时重定向功能，取值包括： · Enabled：开启暂时重定向功能，发送给用户的HTTP/HTTPS重定向报文中携带的状态码为302 · Disabled：未开启暂时重定向功能，发送给用户的HTTP/HTTPS重定向报文中携带的状态码为200
LAN access radius cache	表示是否开启lan-access用户的RADIUS授权信息缓存功能，取值包括： · Enabled：表示开启功能 · Disabled：表示关闭功能
Default domain name	缺省ISP域名

1.1.63 display max-user history

display max-user history命令用来显示用户数峰值的历史信息。

【命令】

display max-user history [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number：显示指定单板上的用户数峰值的历史信息。slot-number表示单板所在槽位号。若不指定该参数，则显示设备所有单板的历史在线用户峰值。对于本产品，slot-number只能为固定取值，无论是否指定本参数，均表示整台设备。‌

【使用指导】

可通过本命令查看系统记录的，历史同时发起认证用户数峰值、同时在线用户数峰值、同时下发驱动的在线用户会话数峰值和计费成功用户数峰值，以及达到各个峰值的系统时间。

当接入模块处理繁忙时，将会出现暂时查看不到相关峰值历史信息的情况，需要等待一段时间重新查看。

目前，仅支持显示PPPoE接入方式的用户数峰值历史信息。需要注意的是，对于IPoE Web接入用户，仅支持通过本命令查看Web认证阶段的用户数峰值历史信息，不支持查看认证前域阶段的用户数峰值历史信息。

对于在聚合接口等逻辑接口上认证的用户，下发驱动的在线用户数峰值历史信息将在所有成员接口所在slot上均显示，其它类型的用户数峰值历史信息将仅在用户接入的物理口所在slot上显示。

【举例】

# 显示指定Slot上的用户数峰值的历史信息。‌‌

<Sysname> display max-user history slot 1

Slot 1:

Max concurrent authenticated PPPoE users: 100 Time: 2020-03-04 12:03:53

Max concurrent online PPPoE users: 100 Time: 2020-03-04 12:03:53

Max concurrent PPPoE driver sessions: 100 Time: 2020-03-04 12:03:53

Max concurrent PPPoE users in accounting: 100 Time: 2020-03-04 12:03:53

Max concurrent authenticated IPoE users: 100 Time: 2020-03-04 12:03:53

Max concurrent online IPoE users: 100 Time: 2020-03-04 12:03:53

Max concurrent IPoE driver sessions: 100 Time: 2020-03-04 12:03:53

Max concurrent IPoE users in accounting: 100 Time: 2020-03-04 12:03:53

Max concurrent authenticated IP6oE users: 110 Time: 2020-03-04 12:03:53

Max concurrent online IP6oE users: 110 Time: 2020-03-04 12:03:53

Max concurrent IP6oE driver sessions: 110 Time: 2020-03-04 12:03:55

Max concurrent IP6oE users in accounting: 110 Time: 2020-03-04 12:03:55

表1-9 display max-user history命令显示信息描述表

字段	描述
Max concurrent authenticated xxx users	自系统启动之后，历史最大同时发起认证xxx用户数（xxx表示接入用户类型）若用户数为0，则不显示该字段
Max concurrent online xxx users	自系统启动之后，历史最大同时在线xxx用户数（xxx表示接入用户类型），即认证成功的用户数若用户数为0，则不显示该字段
Max concurrent xxx driver sessions	自系统启动之后，历史最大同时下发驱动的xxx会话数（xxx表示接入用户类型）若会话数为0，则不显示该字段
Max concurrent xxx users in accounting	自系统启动之后，历史计费成功的最大在线xxx用户数（xxx表示接入用户类型）若用户数为0，则不显示该字段
Time	达到峰值的系统时间

1.1.64 display mubm record

display mubm record命令用来查询设备上记录的用户MAC地址与UUID的绑定表项。

【命令】

display mubm record [ mac mac-address ] [ interface interface-type interface-number | slot slot-number ] [ access-type { dot1x | mac-auth | wlan } ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

mac mac-address：指定用户的MAC地址。mac-address为MAC地址，格式为H-H-H。若不指定该参数，则显示匹配上的所有MAC地址的UUID表项。

interface interface-type interface-number：指定用户的接入接口。interface-type interface-number为接口类型和接口编号。若不指定该参数，则显示匹配上的所有接口的UUID表项。

slot slot-number：指定单板。slot-number为单板所在的槽位号。如果不指定本参数，则表示指定主用主控板。对于本产品，slot-number只能为固定取值，无论是否指定本参数，均表示整台设备。‌

access-type：指定用户的接入类型。若不指定该参数，则显示匹配上的所有接入类型的UUID表项。

dot1x：表示802.1X认证接入。

mac-auth：表示MAC认证接入。

wlan：表示无线802.1X和MAC认证接入。

【使用指导】

本命令用于显示设备上的UUID表项，该表项记录了MAC地址与UUID的映射关系，并在用户上线后自动生成，以及在用户下线时自动删除。若不指定任何参数，则表示显示所有UUID表项。

MAC地址和UUID的绑定关系由管理员根据实际的用户接入控制策略，在用户上线时使用的认证服务器上规划和管理，并在用户认证通过后通过授权属性下发给设备。客户端向DHCP服务器请求分配/释放IP地址时，设备上的DHCP snooping模块首先会基于UUID表项查找与客户端MAC地址绑定的UUID，并使用查找到的UUID对客户端DHCP报文中的Option 61取值（Client ID）进行替换，之后将DHCP报文发送给DHCP服务器。DHCP服务器收到客户端的DHCP报文后，将基于其中的UUID信息为特定的用户分配特定的IP地址。这种基于UUID的地址分配方式，可以非常灵活地满足不同场景下的IP地址分配需求。

【举例】

# 显示与用户MAC地址0C-DA-41-1D-1E-EF绑定的UUID信息。

<Sysname> display mubm record mac 0C-DA-41-1D-1E-EF

Mac Address Access Type Interface UUID

0CDA-411D-1EEF Dot1x GE0/0/1 ff ff ff ff

0CDA-411D-1EEF MAC-auth GE0/0/2 41 41 41 41 42 42 42

0CDA-411D-1EEF WLAN N/A 41 41 41 41 42 42 43

表1-10 display mubm record命令显示信息描述表

字段	描述
Mac Address	用户的MAC地址
Access Type	用户的接入类型 · Dot1x：802.1X认证 · MAC-auth：MAC地址认证 · WLAN：无线认证
Interface	用户的接入端口如果用户是无线接入，则显示为N/A
UUID	绑定的UUID值该取值的内容与格式请以实际情况为准，本文仅为示例

1.1.65 domain

domain命令用来创建ISP域，并进入ISP域视图。如果指定的ISP域已经存在，则直接进入ISP域视图。

undo domain命令用来删除指定的ISP域。

【命令】

形式1：

domain name isp-name

undo domain name isp-name

形式2：

domain isp-name

undo domain isp-name

【缺省情况】

存在一个ISP域，名称为system。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

name isp-name：ISP域名，为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。若采用不指定name参数的命令行形式，则ISP域名为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符，且不能为字符串“d”、“de”、“def”、“defa”、“defau”、“defaul”、“default”、“i”、“if”、“if-”、“if-u”、“if-un”、“if-unk”、“if-unkn”、“if-unkno”、“if-unknow”和“if-unknown”。

【使用指导】

所有的ISP域在创建后即处于active状态。

不能删除系统中预定义的ISP域system，只能修改该域的配置。

不能删除作为系统缺省ISP域的ISP域。如需删除一个系统缺省ISP域，请先使用undo domain default enable命令将其恢复为非缺省的ISP域。

建议设备上配置的ISP域名尽量短，避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度。

【举例】

# 创建一个名称为test的ISP域，并进入其视图。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test]

【相关命令】

· display domain

· domain default enable

· domain if-unknown

· state (ISP domain view)

1.1.66 domain default enable

domain default enable命令用来配置系统缺省的ISP域，所有在登录时没有提供ISP域名的用户都属于这个域。

undo domain default enable命令用来恢复缺省情况。

【命令】

domain default enable isp-name

undo domain default enable

【缺省情况】

存在一个系统缺省的ISP域，名称为system。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

isp-name：ISP域名，为1～255个字符的字符串，不区分大小写，且必须已经存在。

【使用指导】

系统中只能存在一个缺省的ISP域。

配置为缺省的ISP域不能被删除。如需删除一个系统缺省ISP域，请先使用undo domain default enable命令将其恢复为非缺省的ISP域。

【举例】

# 创建一个新的ISP域test，并设置为系统缺省的ISP域。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] quit

[Sysname] domain default enable test

【相关命令】

· display domain

· domain

1.1.67 domain if-unknown

domain if-unknown命令用来为未知域名的用户指定ISP域。

undo domain if-unknown命令用来恢复缺省情况。

【命令】

domain if-unknown isp-name

undo domain if-unknown

【缺省情况】

没有为未知域名的用户指定ISP域。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

isp-name：ISP域名。为1～255个字符的字符串，不区分大小写，不能包括“/”、“\”、“|”、“””、“:”、“*”、“?”、“<”、“>”以及“@”字符。

【使用指导】

设备将按照如下先后顺序选择认证域：接入模块指定的认证域-->用户名中指定的ISP域-->系统缺省的ISP域。其中，仅部分接入模块支持指定认证域。

如果根据以上原则决定的认证域在设备上不存在，但设备上为未知域名的用户指定了ISP域，则最终使用该指定的ISP域认证，否则，用户将无法认证。

【举例】

# 为未知域名的用户指定ISP域为test。

<Sysname> system-view

[Sysname] domain if-unknown test

【相关命令】

· display domain

1.1.68 ita-policy

ita-policy命令用来指定当前ISP域采用的ITA业务策略。

undo ita-policy命令用来恢复缺省情况。

【命令】

ita-policy policy-name

undo ita-policy

【缺省情况】

当前ISP域中未采用ITA业务策略。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

service-policy-name：ITA业务策略名称，由1～31个字符组成，不区分大小写。

【使用指导】

当RADIUS服务器为当前用户动态授权了ITA业务策略时，将使用RADIUS服务器授权的ITA业务策略，否则使用用户认证域中指定的ITA业务策略。

若RADIUS服务器为当前用户授权了ITA业务策略，但该策略在设备上不存在，则即使认证域中指定了ITA业务策略且存在，设备也不会对该用户进行ITA业务计费。

【举例】

# 在ISP域test中，指定采用ITA业务策略ita1。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] ita-policy ita1

【相关命令】

· ita policy

1.1.69 if-match vpn-instance critical-microsegment

if-match vpn-instance critical-microsegment命令用来配置指定VPN实例的Critical微分段。

undo if-match vpn-instance critical-microsegment命令用来删除指定VPN实例的Critical微分段。

【命令】

if-match vpn-instance vpn-instance-name critical-microsegment microsegment-id [ vsi vsi-name ] [ url-user-logoff ]

undo if-match vpn-instance vpn-instance-name critical-microsegment

【缺省情况】

不存在VPN实例的Critical微分段。

【视图】

逃生策略模板视图

【缺省用户角色】

network-admin

【参数】

vpn-instance-name：表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，不区分大小写。

microsegment-id：Critical微分段ID，取值范围为1～65535。

vsi vsi-name：VSI名称，为1～31个字符的字符串，区分大小写。此参数仅在VXLAN组网环境下使用，但是否需要配置要根据具体组网情况而定。

【使用指导】

一个逃生策略模板视图下，最多允许配置128个不同VPN实例与微分段的绑定关系。

一个VPN实例只能与一个Critical微分段绑定，一个Critical微分段可以与不同的VPN实例绑定。

如果对一个VPN实例多次执行本命令绑定不同的Critical微分段，后配置的生效。

url-user-logoff参数仅对MAC地址认证用户生效。

【举例】

# 在逃生策略模板abc下，配置与VPN test绑定的Critical微分段ID为123。

<Sysname> system-view

[Sysname] aaa critical-profile abc

[Sysname-critical-profile-abc] if-match vpn-instance test critical-microsegment 123

【相关命令】

· default critical-microsegment

1.1.70 if-match vpn-instance microsegment

if-match vpn-instance microsegment命令用来配置授权策略模板下指定VPN实例的微分段。

undo if-match vpn-instance microsegment命令用来删除授权策略模板下指定VPN实例的微分段。

【命令】

if-match vpn-instance vpn-instance-name microsegment microsegment-id [ vsi vsi-name ]

undo if-match vpn-instance vpn-instance-name microsegment

【缺省情况】

不存在VPN实例的微分段。

【视图】

授权策略模板视图

【缺省用户角色】

network-admin

【参数】

vpn-instance-name：表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。

microsegment-id：微分段ID，取值范围为1～65535。

vsi vsi-name：VSI名称，为1～31个字符的字符串，区分大小写。此参数仅在VXLAN组网环境下使用，但是否需要配置要根据具体组网情况而定。

【使用指导】

当用户所在的认证域中引用了授权策略模板，则非VPN用户可被授权该模板中配置的缺省微分段； VPN用户可被授权该模板中配置的对应VPN实例的微分段，如果模板中未配置对应VPN实例的微分段，则VPN用户将被授权模板中的缺省微分段。

一个授权策略模板视图下，最多允许配置128个不同VPN实例与微分段的绑定关系。

一个VPN实例只能与一个微分段绑定，一个微分段可以与不同的VPN实例绑定。

如果对一个VPN实例多次执行本命令绑定不同的微分段，后配置的生效。

【举例】

# 在授权策略模板abc下，配置与VPN test绑定的微分段ID为123。

<Sysname> system-view

[Sysname] aaa author-profile abc

[Sysname-author-profile-abc] if-match vpn-instance test microsegment 123

【相关命令】

· default microsegment

· display aaa author-profile

1.1.71 local-server log change-password-prompt

local-server log change-password-prompt命令用来开启密码修改周期性提醒日志功能。

undo local-server log change-password-prompt命令用来关闭密码修改周期性提醒日志功能。

【命令】

local-server log change-password-prompt

undo local-server log change-password-prompt

【缺省情况】

密码修改周期性提醒日志功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

为了提高系统的安全性，用户通过Telnet、SSH、HTTP、HTTPS、NETCONF over SSH、NETCONF over SOAP方式登录设备时，系统会根据指定的安全要求对用户密码进行检查。为了及时提醒用户修改不符合系统要求的密码，建议开启密码修改周期性提醒日志功能。

开启本功能后，系统将每隔24小时，对所有不符合密码检查策略的用户打印日志，提醒这些用户尽快修改当前密码。除了周期性提醒之外，系统还会在每个用户登录时，针对不符合密码检查策略的情况立即打印日志进行提醒。

· 对于通过Telnet、SSH、HTTP、HTTPS方式登录设备的用户，如果用户密码为弱密码，且系统在用户登录时未要求其立即更改密码，系统会打印此提醒日志。弱密码是指不符合如下任意一项要求的密码：

¡ 密码组合检测策略。

¡ 密码最小长度限制。

¡ 密码复杂度检查策略。

· 对于通过NETCONF over SSH、NETCONF over SOAP方式登录设备的用户，如果出现以下情况，系统会打印此提醒日志：

¡ 用户密码为弱密码。

¡ 用户密码为缺省密码。

¡ 全局密码管理功能开启后，用户首次登录或使用被更改过的密码。

¡ 用户密码已经过期。

仅当以下情况发生时，系统才会停止打印此提醒日志：

· 关闭了密码修改周期性提醒日志功能。

· 用户密码修改为符合系统安全要求的密码。

· 密码检查策略相关功能的开启状态发生变化，使得密码检查策略变得宽松。

· 密码检查策略的参数设置发生变化。

当前系统中的密码检查策略可通过display password-control命令查看。弱密码检查使用的密码组合检测策略、密码最小长度限制、密码复杂度检查策略可分别通过password-control composition、password-control length、password-control complexity命令修改。关于密码检查策略的具体介绍，请参见“用户接入与认证命令参考”的“Password Control”。

【举例】

# 开启密码修改周期性提醒日志功能。

<Sysname> system-view

[Sysname] local-server log change-password-prompt

【相关命令】

· display password-control（用户接入与认证命令参考/Password Control）

· password-control composition（用户接入与认证命令参考/Password Control）

· password-control length（用户接入与认证命令参考/Password Control）

1.1.72 nas-id

nas-id命令用来在ISP域视图下配置NAS-ID。

undo nas-id命令用来删除ISP域视图下配置的NAS-ID。

【命令】

nas-id nas-identifier

undo nas-id

【缺省情况】

未配置ISP域下的NAS-ID。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

nas-identifier：NAS-ID名称，为1～253个字符的字符串，区分大小写。

【使用指导】

用户进行RADIUS认证时，系统会获取设备的NAS-ID来设置RADIUS报文中的NAS-Identifier属性，该属性用于向RADIUS服务器标识用户的接入位置。

设备支持多种途径配置NAS-ID，按照获取优先级从高到低的顺序依次包括：NAS-ID Profile中与用户接入VLAN绑定的NAS-ID、接口视图下的NAS-ID、ISP域视图下的NAS-ID。其中，接口视图下配置的NAS-ID仅对Portal、PPP用户有效。若以上配置都不存在，则使用设备的名称作为NAS-ID。

【举例】

# 在ISP域test下配置NAS-ID为test。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] nas-id test

【相关命令】

· aaa nas-id

· aaa nas-id profile

1.1.73 nas-id bind

nas-id bind命令用来设置NAS-ID与VLAN的绑定关系。

undo nas-id bind命令用来删除指定的NAS-ID和VLAN的绑定关系。

【命令】

nas-id nas-identifier bind

undo nas-id nas-identifier bind

【缺省情况】

不存在NAS-ID与VLAN的绑定关系。

【视图】

NAS-ID Profile视图

【缺省用户角色】

network-admin

【参数】

nas-identifier：NAS-ID名称，为1～253个字符的字符串，区分大小写。

vlan vlan-id：与NAS-ID绑定的VLAN ID，取值范围为1～4094。

【使用指导】

一个NAS-ID Profile视图下，可以指定多个NAS-ID与VLAN的绑定关系。

一个NAS-ID可以与多个VLAN或多个内层VLAN和外层VLAN的组合绑定，但是一个VLAN或一个内层VLAN和外层VLAN的组合只能与一个NAS-ID绑定。若多次将一个VLAN或一个内层VLAN和外层VLAN的组合与不同的NAS-ID进行绑定，则最后的绑定关系生效。

【举例】

# 在名称为aaa的NAS-ID Profile视图下，配置NAS-ID 222与VLAN 2的绑定关系。

<Sysname> system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2

【相关命令】

· aaa nas-id profile

1.1.74 redirect move-temporarily enable

redirect move-temporarily enable命令用来开启暂时重定向功能。

undo redirect move-temporarily enable命令用来关闭暂时重定向功能。

【命令】

redirect move-temporarily enable

undo redirect move-temporarily enable

【缺省情况】

暂时重定向功能处于关闭状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下，设备向用户发送HTTP/HTTPS重定向报文时采用Java Script的方式携带重定向URL，重定向报文中携带的状态码为200，用户终端通过解析HTTP/HTTPS报文中Java Script来获取重定向URL。如果用户访问网络的终端（例如APP）不支持解析HTTP/HTTPS报文中Java Script，将无法获取重定向URL，也就无法完成设备预期的重定向行为。这种情况下，设备管理员可以开启暂时重定向功能，改变设备发送HTTP/HTTPS重定向报文时携带重定向URL的方式来适配这些终端。

开启暂时重定向功能后，设备将通过发送状态码为302的暂时重定向响应报文向用户终端推送重定向URL。

目前，本功能仅对授权了重定向URL的有线802.1X和MAC地址认证用户生效。

若修改了本功能的配置，则修改后的配置仅对新上线的用户或已上线且重新授权的用户生效。

【举例】

# 在ISP域test下，开启暂时重定向功能。

<Sysname> system-view

[Sysname] domain test

[Sysname-isp-test] redirect move-temporarily enable

【相关命令】

· display domain

1.1.75 reset aaa abnormal-offline-record

reset aaa abnormal-offline-record命令用来清除当前所有用户异常下线记录。

【命令】

reset aaa abnormal-offline-record

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

除非设备或主控板重启，否则已保存的用户异常下线记录将会一直保存在内存中，而记录的信息过多时不便于查看，且占用内存过多，为方便管理员仅获取后续某个时间段内的用户异常下线记录，可执行本命令清除系统当前所有的用户异常下线记录。

执行完该命令后，已被清除的记录不能恢复，因此需要谨慎使用。

【举例】

# 清除当前所有用户异常下线记录。

<Sysname> reset aaa abnormal-offline-record

【相关命令】

· display aaa abnormal-offline-record

1.1.76 reset aaa authorization-cache

reset aaa authorization-cache命令用来清除授权信息缓存表项。

【命令】

reset aaa authorization-cache [ dot1x | mac-auth | static | web-auth ] [ mac mac-address ] [ username username ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

dot1x：清除802.1X认证用户的授权信息缓存表项。

mac-auth：清除MAC地址认证用户的授权信息缓存表项。

static：清除静态用户的授权信息缓存表项。

web-auth：清除Web认证用户的授权信息缓存表项。

mac mac-address：清除指定MAC地址的授权信息缓存表项。mac-address为MAC地址，格式为H-H-H。若不指定该参数，则表示清除不同类型用户的所有授权信息缓存表项。

username username：清除指定用户名的授权信息缓存表项。user-name为用户名，为1～253个字符的字符串，区分大小写。若不指定该参数，则表示清除所有用户名的授权信息缓存表项。

【使用指导】

如果不指定任何参数，则清除所有已记录的授权信息缓存表项。

在M-LAG组网中，如需清除授权信息缓存表项，则两端M-LAG设备上需要同时执行本命令。

【举例】

# 清除所有授权信息缓存表项。

<Sysname> reset aaa authorization-cache

【相关命令】

· aaa authorization-cache enable

· display aaa authorization-cache

1.1.77 reset aaa normal-offline-record

reset aaa normal-offline-record命令用来清除当前所有用户正常下线记录。

【命令】

reset aaa normal-offline-record

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

除非设备或主控板重启，否则已保存的用户正常下线记录将会一直保存在内存中，而记录的信息过多时不便于查看，且占用内存过多，为方便管理员仅获取后续某个时间段内的用户正常下线记录，可以执行本命令清除系统当前所有的用户正常下线记录。

执行完该命令后，已被清除的记录不能恢复，因此需要谨慎使用。

【举例】

# 清除当前所有用户正常下线记录。

<Sysname> reset aaa normal-offline-record

【相关命令】

· display aaa normal-offline-record

1.1.78 reset aaa offline-record

reset aaa offline-record命令用来清除当前所有用户下线记录。

【命令】

reset aaa offline-record

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

除非设备或主控板重启，否则已保存的用户下线失败记录将会一直保存在内存中，而记录的信息过多时不便于查看，且占用内存过多，为方便管理员仅获取后续某个时间段内的用户下线记录，可以执行本命令清除系统当前所有的用户下线记录。

执行完该命令后，已被清除的记录不能恢复，因此需要谨慎使用。

【举例】

# 清除当前所有用户下线记录。

<Sysname> reset aaa offline-record

【相关命令】

· display aaa offline-record

1.1.79 reset aaa online-fail-record

reset aaa online-fail-record命令用来清除当前所有用户上线失败记录。

【命令】

reset aaa online-fail-record

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

除非设备或主控板重启，否则已保存的用户上线失败记录将会一直保存在内存中，而记录的信息过多时不便于查看，且占用内存过多，为了方便管理员仅获取后续某个时间段内的用户上线失败记录，可以执行本命令清除系统当前所有的用户上线失败记录。

执行完该命令后，已被清除的记录不能恢复，因此需要谨慎使用。

【举例】

# 清除当前所有用户上线失败记录。

<Sysname> reset aaa online-fail-record

【相关命令】

· display aaa online-fail-record

1.1.80 service-type (ISP domain view)

service-type命令用来设置当前ISP域的业务类型。

undo service-type命令用来恢复缺省情况。

【命令】

service-type { hsi | stb | voip }

undo service-type

【缺省情况】

当前ISP域的业务类型为hsi。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

hsi：表示HSI（High Speed Internet，高速上网）业务，主要指使用PPP方式接入网络的用户业务。

stb：表示STB（Set Top Box，机顶盒）业务，专指使用数字机顶盒接入网络的用户业务。

voip：表示（Voice over IP，IP电话）业务，指使用IP电话的用户业务。

【使用指导】

本命令用来配置当前认证域的用户使用的业务类型，用来决定接入模块是否开启组播功能。

用户使用HSI业务类型的ISP域接入时，接入模块不会开启组播功能，可节省系统资源。

用户使用STB业务类型的ISP域接入时，接入模块会开启组播功能，可提高系统处理组播业务的性能。

用户使用VoIP业务类型的ISP域接入时，QoS功能会开启保证用户语音数据的低延迟传送。

对于PPP用户（非PPPoE用户），ISP域中配置的业务类型无效，系统强制使用HSI业务类型。

一个ISP域中，仅能配置一种类型的业务类型。

【举例】

# 设置域test下用户业务类型为STB终端业务。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] service-type stb

1.1.81 session-time include-idle-time

session-time include-idle-time命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间。

undo session-time include-idle-time命令用来恢复缺省情况。

【命令】

session-time include-idle-time

undo session-time include-idle-time

【缺省情况】

设备上传到服务器的用户在线时间中扣除闲置切断时间。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【使用指导】

请根据实际的计费策略决定是否在用户在线时间中保留闲置切断时间。该闲置切断时间在用户认证成功后由AAA授权，对于Portal认证用户，若接入接口上开启了Portal用户在线探测功能，则Portal在线探测闲置时长为闲置切断时间。

当用户正常下线时，设备上传到服务器上的用户在线时间为实际在线时间；当用户异常下线时，上传到服务器的用户在线时间具体如下：

· 若配置为保留闲置切断时间，则上传到服务器上的用户在线时间中包含了一定的闲置切断时间。此时，服务器上记录的用户时长将大于用户实际在线时长。

· 若配置为扣除闲置切断时间，则上传到服务器上的用户在线时间为，闲置切断检测机制计算出的用户已在线时长扣除掉一个闲置切断时间。此时，服务器上记录的用户时长将小于用户实际在线时长。

【举例】

# 在ISP域test下，配置设备上传到服务器的用户在线时间中保留闲置切断时间。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] session-time include-idle-time

【相关命令】

· display domain

1.1.82 snmp-agent trap enable local-server

snmp-agent trap enable local-server命令用来开启本地用户密码变化告警功能。

undo snmp-agent trap enable local-server命令用来关闭本地用户密码变化告警功能。

【命令】

snmp-agent trap enable local-server [ manage-password-change | network-password-change ] *

undo snmp-agent trap enable local-server [ manage-password-change | network-password-change ] *

【缺省情况】

本地用户密码修改告警功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

manage-password-change：设备管理类本地用户的密码发生变化。

network-password-change：网络接入类本地用户的密码发生变化。

【使用指导】

开启本地用户密码变化告警功能后，系统将在以下几种情况下生成告警信息：

· 通过命令行配置或者修改本地用户密码。

· 通过NETCONF、MIB、Web等方式修改本地用户密码。

· Portal、SSL VPN本地认证用户在登录页面上在线修改密码。

生成的告警信息将发送到设备的SNMP模块，通过设置SNMP中告警信息的发送参数，来决定告警信息输出的相关属性。有关告警信息的详细介绍，请参见“网络管理和监控配置指导”中的“SNMP”

不指定任何参数时，表示同时开启或关闭设备管理类用户和网络接入类用户密码变化告警功能。

【举例】

# 开启设备管理类本地用户密码变化告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable local-server manage-password-change

1.1.83 state (ISP domain view)

state命令用来设置当前ISP域的状态。

undo state命令用来恢复缺省情况。

【命令】

state { active | block [ time-range ] [ offline ] }

undo state

【缺省情况】

当前ISP域处于活动状态。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

active：指定当前ISP域处于活动状态，即系统允许该域下的用户请求网络服务。

block：指定当前ISP域处于阻塞状态，即系统不允许该域下的用户请求网络服务。该参数对除采用公钥认证的SSH用户之外的所有接入类型的用户都生效。

time-range：指定ISP域基于时间段阻塞。若不指定该参数，则表示ISP域一直处于阻塞状态。

offline：表示ISP域从活动状态切换为阻塞状态后，通过该ISP域接入的网络接入类（包括Portal、PPP）用户将被强制下线。若不指定该参数，则表示ISP域状态切换为阻塞状态后，不影响当前用户状态。

【使用指导】

若通过time-range关键字指定ISP域基于时间段阻塞，则该ISP域只在通过state block time-range name命令指定的时间段内处于阻塞状态。

【举例】

# 设置当前ISP域test处于阻塞状态。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] state block

【相关命令】

· display domain

· state block time-range name

1.1.84 state block time-range name

state block time-range name命令用来配置ISP域处于阻塞状态的时间段。

undo state block time-range name命令用来删除配置的ISP域处于阻塞状态的时间段。

【命令】

state block time-range name time-range-name

undo state block time-range { all | name time-range-name }

【缺省情况】

未配置ISP域处于阻塞的时间段。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

time-range-name：时间段的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，时间段的名称不允许使用英文单词all。

all：表示所有时间段。

【使用指导】

本命令配置的时间段，在ISP域基于时间段阻塞的情况下才能生效。可通过state block time-range命令配置ISP域基于时间段阻塞。

可通过多次执行本命令，指定ISP域处于阻塞状态的多个时间段。

【举例】

# 配置ISP域test处于阻塞状态的时间段为t1和t2。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] state block time-range name t1

[Sysname-isp-test] state block time-range name t2

【相关命令】

· state

· time-range（QoS和ACL命令参考/时间段）

1.1.85 user-address-type

user-address-type命令用来设置当前ISP域的用户地址类型。

undo user-address-type命令用来恢复缺省情况。

【命令】

user-address-type { ds-lite | ipv6 | nat64 | public-ds | public-ipv4 }

undo user-address-type

【缺省情况】

未指定当前ISP域的用户地址类型。

【视图】

ISP域视图

【缺省用户角色】

network-admin

【参数】

ds-lite：表示当前用户的地址类型为轻量级双栈地址。

ipv6：表示当前用户的地址类型为IPv6地址。

nat64：表示当前用户的地址类型为NAT64地址。

public-ds：表示当前用户的地址类型为公网双栈地址。

public-ipv4：表示当前用户的地址类型为公网IPv4地址。

【使用指导】

需要根据用户接入侧的组网环境和用户的地址分配策略选择配置相应的地址类型参数。

当更改当前ISP域的用户地址类型时，不影响已经在线的用户。

【举例】

# 设置当前ISP域用户地址类型为公网IPv4地址。

<Sysname> system-view

[Sysname] domain name test

[Sysname-isp-test] user-address-type public-ipv4

【相关命令】

· display domain

1.2 本地用户配置命令

1.2.1 access-limit

access-limit命令用来设置使用当前本地用户名接入设备的最大用户数。

undo access-limit命令用来恢复缺省情况。

【命令】

access-limit max-user-number

undo access-limit

【缺省情况】

不限制使用当前本地用户名接入的用户数。

【视图】

本地用户视图

【缺省用户角色】

network-admin

【参数】

max-user-number：表示使用当前本地用户名接入设备的最大用户数，取值范围为1～1024。

【使用指导】

本地用户视图下的access-limit命令只在该用户采用了本地计费方法的情况下生效。

对于网络接入类本地用户，建议在用户接入的ISP域视图下配置accounting start-fail offline命令，避免计费失败的用户上线，以保证access-limit命令限制的准确性。

由于FTP/SFTP/SCP用户不支持计费，因此FTP/SFTP/SCP用户不受此属性限制。

【举例】

# 允许同时以本地用户名abc在线的用户数为5。

<Sysname> system-view

[Sysname] local-user abc

[Sysname-luser-manage-abc] access-limit 5

【相关命令】

· accounting start-fail offline

· display local-user

1.2.2 access-user email authentication

access-user email authentication命令用来配置登录为网络接入类本地用户发送Email使用的SMTP服务器所需要的用户名和密码。

undo access-user email authentication命令用来恢复缺省情况。

【命令】

access-user email authentication username user-name password { cipher | simple } string

undo access-user email authentication

【缺省情况】

未配置登录SMTP服务器的用户名和密码。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

username user-name：登录用户名。其中，user-name为1～63个字符的字符串，区分大小写。

password：登录密码。

cipher：以密文方式设置密码。

simple：以明文方式设置密码，该密码将以密文形式存储。

string：密码字符串，区分大小写。其中，明文密码为1～63个字符的字符串，密文密码为1～117个字符的字符串。

【使用指导】

如果登录SMTP邮箱服务器时需要提供提登录用户名和密码，则必须通过本配置设置相应的登录用户名和密码。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置登录为网络接入类本地用户发送Email使用的SMTP服务器所需要的用户名为abc、密码为明文123。

<Sysname> system-view

[Sysname] access-user email authentication username abc password simple 123

【相关命令】

· access-user email format

· access-user email sender

· access-user email smtp-server

1.2.3 access-user email format

access-user email format命令用来配置网络接入类本地用户通知邮件的主题和内容。

undo access-user email format命令用来恢复缺省情况。

【命令】

access-user email format { body body-string | subject sub-string }

undo access-user email format { body | subject }

【缺省情况】

缺省邮件主题：Password reset notification。

缺省邮件内容：

A random password has been generated for your account.

Username: xxx

Password: yyy

Validity: YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss

其中，xxx为用户名，yyy为用户密码，YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss为用户账户有效期。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

body body-string：邮件的内容。其中，body-string为1～255个字符的字符串，区分大小写。

subject sub-string：邮件的主题。其中，sub-string为1～127个字符的字符串，区分大小写。

【使用指导】

管理员通过Web页面创建网络接入类本地用户、重置网络接入类用户密码时，如果由设备为用户生成随机密码，设备将在生成随机密码后向用户发送通知邮件告知为其生成的随机密码，该通知邮件的主题和内容通过本命令设置。

实际发送的邮件内容将包括设置的body-string与如下三项固定内容：

Username: xxx

Password: yyy

Validity: YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss

其中，xxx为用户名，yyy为用户密码，YYYY/MM/DD hh:mm:ss to YYYY/MM/DD hh:mm:ss为用户账户有效期。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置网络接入类本地用户通知邮件的主题和内容。

<Sysname> system-view

[Sysname] access-user email format subject new password setting

[Sysname] access-user email format body The username, password, and validity period of the account are given below.

【相关命令】

· access-user email authentication

· access-user email sender

· access-user email smtp-server

1.2.4 access-user email sender

access-user email sender命令用来配置网络接入类本地用户通知邮件的发件人地址。

undo access-user email sender命令用来恢复缺省情况。

【命令】

access-user email sender email-address

undo access-user email sender

【缺省情况】

未配置网络接入类本地用户通知邮件的发件人地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

email-address：邮件发件人地址，为1～255个字符的字符串，区分大小写，必须且最多只能携带一个“@”符号，不能仅为“@”。

【使用指导】

未配置发件人地址的情况下，设备无法向任何收件人发送关于网络接入类本地用户的通知邮件。

只能存在一个网络接入类本地用户的发件人地址。多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置网络接入类本地用户通知邮件的发件人地址为[email protected]。

<Sysname> system-view

[Sysname] access-user email sender [email protected]

【相关命令】

· access-user email authentication

· access-user email format

· access-user email smtp-server

1.2.5 access-user email smtp-server

access-user email smtp-server命令用来配置为网络接入类本地用户发送Email使用的SMTP服务器。

undo access-user email smtp-server命令用来恢复缺省情况。

【命令】

access-user email smtp-server url-string

undo access-user email smtp-server

【缺省情况】

未配置为网络接入类本地用户发送Email使用的SMTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url-string：STMP服务器的URL，为1～255个字符的字符串，区分大小写，符合标准SMTP协议规范，以smtp://开头。

【使用指导】

只能存在一个发送Email使用的SMTP服务器。多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置为网络接入类本地用户发送Email使用的SMTP服务器URL为smtp://www.example.com/smtp。

<Sysname> system-view

[Sysname] access-user email smtp-server smtp://www.example.com/smtp

【相关命令】

· access-user email authentication

· access-user email format

· access-user email sender

1.2.6 authorization-attribute (Local user view/user group view)

authorization-attribute命令用来设置本地用户或用户组的授权属性，该属性在本地用户认证通过之后，由设备下发给用户。

undo authorization-attribute命令用来删除指定的授权属性，恢复用户具有的缺省访问权限。

【命令】

authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minutes | ip ipv4-address | ip-pool ipv4-pool-name | ipv6 ipv6-address | ipv6-pool ipv6-pool-name | ipv6-prefix ipv6-prefix prefix-length | { primary-dns | secondary-dns } { ip ipv4-address | ipv6 ipv6-address } | session-group-profile session-group-profile-name | session-timeout minutes | subscriber-id subscriber-id | url url-string | user-group user-group-name | user-profile profile-name | user-role role-name | vlan vlan-id | vpn-instance vpn-instance-name | wlan-vlan wlan-vlan-id | wlan-vlan-group wlan-vlan-group-name | work-directory directory-name } *

undo authorization-attribute { acl | callback-number | idle-cut | ip | ip-pool | ipv6 | ipv6-pool | ipv6-prefix | primary-dns | secondary-dns | session-group-profile | session-timeout | subscriber-id | url | user-group | user-profile | user-role role-name | vlan | vpn-instance | wlan-vlan| wlan-vlan-group | work-directory } *

【缺省情况】

授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录，但无访问权限。

由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。

【视图】

本地用户视图

用户组视图

【缺省用户角色】

network-admin

【参数】

acl acl-number：指定本地用户的授权ACL。其中，acl-number为授权ACL的编号，取值范围与设备型号有关，请以设备实际情况为准。与授权ACL规则匹配的流量，将按照规则中指定的permit或deny动作进行处理。

callback-number callback-number：指定本地用户的授权PPP回呼号码。其中，callback-number为1～64个字符的字符串，区分大小写。本地用户认证成功后，设备将可以使用该用户的授权PPP回呼号码向PPP协商的对端设备发起回呼。

idle-cut minutes：设置本地用户的闲置切断时间。其中，minutes为设定的闲置切断时间，取值范围为1～120，单位为分钟。如果用户在线后连续闲置的时长超过该值，设备会强制该用户下线。

ip ipv4-address：指定本地用户的静态IP地址。本地用户认证成功后，将允许使用该IP地址。该授权属性只能在本地用户视图下配置，不能在本地用户组视图下配置。

ip-pool ipv4-pool-name：指定本地用户的IPv4地址池信息。本地用户认证成功后，将允许使用该IPv4地址池分配地址。其中，ipv4-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。

ipv6 ipv6-address：指定本地用户的静态IPv6地址。本地用户认证成功后，将允许使用该IPv6地址。该授权属性只能在本地用户视图下配置，不能在本地用户组视图下配置。

ipv6-pool ipv6-pool-name：指定本地用户的IPv6地址池信息。本地用户认证成功后，将允许使用该IPv6地址池分配地址。其中，ipv6-pool-name表示地址池名称，为1～63个字符的字符串，不区分大小写。

ipv6-prefix ipv6-prefix prefix-length：指定本地用户的IPv6前缀信息。ipv6-prefix prefix-length为前缀地址和前缀长度，前缀长度取值范围是1～128。本地用户认证成功后，将允许使用该IPv6前缀。

primary-dns ip ipv4-address：指定本地用户的主DNS服务器IPv4地址。本地用户认证成功后，将被授权使用该主DNS服务器。

primary-dns ipv6 ipv6-address：指定本地用户的主DNS服务器IPv6地址。本地用户认证成功后，将被授权使用该主DNS服务器。

secondary-dns ip ipv4-address：指定本地用户的从DNS服务器IPv4地址。本地用户认证成功后，将被授权使用该从DNS服务器。

secondary-dns ipv6 ipv6-address：指定本地用户的从DNS服务器IPv6地址。本地用户认证成功后，将被授权使用该从DNS服务器。

session-group-profile session-group-profile-name：指定本地用户的授权Session Group Profile。其中，session-group-profile-name为Session Group Profile名称，为1～31个字符的字符串，只能包含英文字母、数字、下划线、减号和英文句号，支持以字母和数字开头，但不能为纯数字，区分大小写。关于Session Group Profile的详细介绍请参见“用户接入与认证配置指导”中的“User Profile”。

session-timeout minutes：设置本地用户的会话超时时间。其中，minutes为设定的会话超时时间，取值范围为1～1440，单位为分钟。如果用户在线时长超过该值，设备会强制该用户下线。

subscriber-id subscriber-id：设置本地用户授权Subscriber ID，取值范围为1～4095。授权Subscriber ID用于配合为家庭用户配置的Session Group Profile实现家庭级别的QoS，以及用于标记报文的QoS本地ID值来配合实现HQoS。关于QoS配置的详细介绍请参见“ACL和QoS配置指导”中的“QoS”。关于HQoS配置的详细介绍请参见“ACL和QoS配置指导”中的“HQoS”。

url url-string：指定本地用户授权URL。其中，url-string为1～255个字符的字符串，区分大小写，此URL只对MAC地址认证用户、802.1X用户、PPPoE用户生效。对于MAC地址认证用户和802.1X用户，此URL用于Web页面推送，例如用户认证成功后首次访问网络时用于推送广告、通知类页面，或者用户欠费时将用于推送欠费提醒页面，且必须携带http://或https://前缀才可生效；对于PPPoE用户，此URL作为PADM（PPPoE Active Discovery Message）URL将被推送至PPP客户端，且仅支持默认的80和8080端口。

user-group user-group-name：指定本地用户组的名称，为1～32个字符的字符串，不区分大小写。该授权属性只能在本地用户视图下配置，不能在本地用户组视图下配置。

user-profile profile-name：指定本地用户的授权User Profile。其中，profile-name表示User Profile名称，为1～31个字符的字符串，只能包含英文字母、数字、下划线、减号和英文句号，支持以字母和数字开头，但不能为纯数字，区分大小写。当用户认证成功后，其访问行为将受到User Profile中的预设配置的限制。关于User Profile的详细介绍请参见“用户接入与认证配置指导”中的“User Profile”。

user-role role-name：指定本地用户的授权用户角色。其中，role-name表示用户角色名称，为1～63个字符的字符串，区分大小写。可以为每个用户最多指定64个用户角色。本地用户角色的相关命令请参见“基础配置命令参考”中的“RBAC”。该授权属性只能在本地用户视图下配置，不能在本地用户组视图下配置。

vlan vlan-id：指定本地用户的授权VLAN。其中，vlan-id为VLAN编号，取值范围为1～4094。本地用户认证成功后，将被授权仅可以访问指定VLAN内的网络资源。

vpn-instance vpn-instance-name：指定本地用户所属的VPN实例。其中，vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。本地用户认证成功后，将允许访问指定VPN中的网络资源。

wlan-vlan wlan-vlan-id：表示无线用户所属的VLAN。其中，wlan-vlan-id为VLAN ID，取值范围为1～4094。此属性仅对无线接入用户生效。

wlan-vlan-group wlan-vlan-group-name：表示无线用户所属的VLAN组。其中，wlan-vlan-group-name为VLAN组的名称，为1～32个字符的字符串，区分大小写，首字符必须为字母。此属性仅对无线接入用户生效。

work-directory directory-name：授权FTP/SFTP/SCP用户可以访问的目录。其中，directory-name表示FTP/SFTP/SCP用户可以访问的目录，为1～255个字符的字符串，不区分大小写，且该目录必须已经存在。

【使用指导】

可配置的授权属性都有其明确的使用环境和用途，请针对用户的服务类型配置对应的授权属性：

· 对于PPP用户，仅授权属性callback-number、idle-cut、ip、ipv6、ip-pool、ipv6-pool、ipv6-prefix、primary-dns、secondary-dns、session-group-profile、session-timeout、subscriber-id、url、user-group、user-profile、vpn-instance有效。

· 对于Portal用户，仅授权属性idle-cut、ip-pool、ipv6-pool、session-timeout、user-group、user-profile、acl有效。其中，属性user-group目前仅适用于无线用户。

· 对于Lan-access用户，仅授权属性acl、idle-cut、session-timeout、url、user-group、user-profile、vlan、wlan-vlan、wlan-vlan-group有效。其中，属性idle-cut、url、user-group、wlan-vlan、wlan-vlan-group目前仅适用于无线用户。

· 对于Telnet、Terminal、SSH用户，仅授权属性idle-cut、user-role有效。

· 对于http、https用户，仅授权属性user-role有效。

· 对于FTP用户，仅授权属性user-role、work-directory有效。

· 对于IKE用户，仅授权属性ip-pool、ip、ipv6有效。

· 对于其它类型的本地用户，所有授权属性均无效。

用户组的授权属性对于组内的所有本地用户生效，因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。

本地用户视图下未配置的授权属性继承所属用户组的授权属性配置，但是如果本地用户视图与所属的用户组视图下都配置了某授权属性，则本地用户视图下的授权属性生效。

指定授权ACL时，需要注意的是：

· 对于授权给lan-access用户的ACL，ACL规则是否支持vpn-instance参数，以及vpn-instance参数的生效情况与设备的型号有关，请以设备的实际情况为准。

· 对于授权给Portal用户的ACL，ACL规则是否支持vpn-instance参数，以及vpn-instance参数的生效情况与设备的型号有关，请以设备的实际情况为准。

· 授权给Portal用户的ACL中不能配置携带用户源IP地址和源MAC地址信息的规则，否则会导致用户上线失败。

为了避免设备进行主备倒换后FTP/SFTP/SCP用户无法正常登录，建议用户在指定工作目录时不要携带slot信息。

为确保本地用户仅使用本命令指定的授权用户角色，请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。

被授权安全日志管理员的本地用户登录设备后，仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令，具体命令可通过display role name security-audit命令查看。安全日志文件管理相关命令的介绍，请参见“设备管理配置”中的“信息中心”。文件系统管理相关命令的介绍，请参见“基础配置命令参考”中的“文件系统管理”。

为本地用户授权安全日志管理员角色时，需要注意的是：

· 安全日志管理员角色和其它用户角色互斥：

¡ 为一个用户授权安全日志管理员角色时，系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色；

¡ 如果已经授权当前用户安全日志管理员角色，再授权其它的用户角色时，系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。

· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。

【举例】

# 配置网络接入类本地用户abc的授权VLAN为VLAN 2。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] authorization-attribute vlan 2

# 配置用户组abc的授权VLAN为VLAN 3。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

# 配置设备管理类本地用户xyz的授权用户角色为security-audit（安全日志管理员）。

<Sysname> system-view

[Sysname] local-user xyz class manage

[Sysname-luser-manage-xyz] authorization-attribute user-role security-audit

This operation will delete all other roles of the user. Are you sure? [Y/N]:y

【相关命令】

· display local-user

· display user-group

1.2.7 bind-attribute

bind-attribute命令用来设置用户的绑定属性。

undo bind-attribute命令用来删除指定的用户绑定属性。

【命令】

bind-attribute { call-number call-number [ : subcall-number ] | location interface interface-type interface-number | mac mac-address | vlan vlan-id } *

undo bind-attribute { call-number | location | mac | vlan } *

【缺省情况】

未设置用户的绑定属性。

【视图】

本地用户视图

【缺省用户角色】

network-admin

【参数】

call-number call-number：指定PPP用户认证的主叫号码。其中call-number为1～64个字符的字符串。该绑定属性仅适用于PPP用户。

subcall-number：指定子主叫号码。如果配置了子主叫号码，则主叫号码与子主叫号码的总长度不能大于62个字符。

location interface interface-type interface-number：指定用户绑定的接口。其中interface-type interface-number表示接口类型和接口编号。如果用户接入的接口与此处绑定的接口不一致，则认证失败。该绑定属性仅适用于lan-access、PPP、Portal类型的用户。

mac mac-address：指定用户的MAC地址。其中，mac-address为H-H-H格式。该绑定属性仅适用于lan-access、PPP、Portal类型的用户。

vlan vlan-id：指定用户所属于的VLAN。其中，vlan-id为VLAN编号，取值范围为1～4094。该绑定属性仅适用于lan-access、PPP、IPoE、Portallan-access、PPP、Portal类型的用户。

【使用指导】

设备对用户进行本地认证时，会检查用户的实际属性与配置的绑定属性是否一致，如果不一致或用户未携带该绑定属性则认证失败。

绑定属性的检测不区分用户的接入服务类型，因此在配置绑定属性时要考虑某接入类型的用户是否需要绑定某些属性。例如，只有支持IP地址上传功能的802.1X认证用户才可以配置绑定IP地址；对于不支持IP地址上传功能的MAC地址认证用户，如果配置了绑定IP地址，则会导致该用户的本地认证失败。

【举例】

# 配置网络接入类本地用户abc的绑定MAC地址为11-11-11。

<Sysname> system-view

[Sysname] local-user abc class network

[Sysname-luser-network-abc] bind-attribute mac 11-11-11

【相关命令】

· display local-user

1.2.8 company

company命令用来配置本地来宾用户所属公司。

undo company命令用来恢复缺省情况。

【命令】

company company-name

undo company

【缺省情况】

未配置本地来宾用户所属公司。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

company-name：本地来宾用户所属公司名称，为1～255个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc所属的公司名称为yyy。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] company yyy

【相关命令】

· display local-user

1.2.9 description (Network access user view)

description命令用来配置网络接入类本地用户的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

未配置网络接入类本地用户的描述信息。

【视图】

网络接入类本地用户视图

【缺省用户角色】

network-admin

【参数】

text：用户的描述信息，为1～255个字符的字符串，区分大小写。

【使用指导】

如果将本地用户的描述信息取值为固定字符串#user_from_server#，则表示对该用户进行了特殊标识，使其能够被用于指定用途的显示和管理，具体用途请以管理侧的实现为准。

【举例】

# 配置网络接入类本地用户123的描述信息为Manager of MSC company。

<Sysname> system-view

[Sysname] local-user 123 class network

[Sysname-luser-network-123] description Manager of MSC company

【相关命令】

· display local-user

1.2.10 display local-guest waiting-approval

display local-guest waiting-approval命令用来显示待审批来宾用户注册信息。

【命令】

display local-guest waiting-approval [ user-name user-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

user-name user-name：来宾用户名称，为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，并且不能为“a”、“al”或“all”；域名不区分大小写，不能包含符号“@”。若不指定该参数，则表示所有来宾用户。

【使用指导】

来宾可以通过Web页面注册为本地来宾用户，由来宾管理员对注册信息进行审批并补充用户信息，审批同意后，设备上将会创建相应的本地来宾用户，来宾可使用该用户接入访问网络。来宾管理员通过display命令可查询待审批来宾用户的注册信息。

【举例】

# 显示所有待审批来宾用户的注册信息。

<Sysname> display local-guest waiting-approval

Total 1 guest entries matched.

Guest user Smith:

Full name : Smith Li

Company : YYY

Email : [email protected]

Phone : 139189301033

Description: The employee of YYY company

表1-11 display local-user-guest waiting-approval命令显示信息描述表

字段	描述
Total 1 guest entries matched.	总计有1个来宾用户信息匹配
Full name	来宾用户的姓名全称
Company	来宾用户的公司名称
Email	来宾用户的Email地址
Phone	来宾用户的电话
Description	来宾用户的描述信息

【相关命令】

· reset local-guest waiting-approval

1.2.11 display local-user

display local-user命令用来显示本地用户的配置信息和在线用户数的统计信息。

【命令】

display local-user [ class { manage | network [ guest ] } | idle-cut { disable | enable } | service-type { advpn | ftp | http | https | ike | lan-access | onu | pad | portal | ppp | ssh | telnet | terminal } | state { active | block } | user-name user-name class { manage | network [ guest ] } | vlan vlan-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

class：显示指定用户类别的本地用户信息。

manage：设备管理类用户。

network：网络接入类用户。

guest：来宾用户。

idle-cut { disable | enable }：显示开启或关闭闲置切断功能的本地用户信息。其中，disable表示未启用闲置切断功能的本地用户；enable表示启用了闲置切断功能并配置了闲置切断时间的本地用户。

service-type：显示指定用户类型的本地用户信息。

· advpn：ADVPN隧道用户。

· ftp：FTP用户。

· http：HTTP用户。

· https：HTTPS用户。

· ike：IKE扩展认证用户。

· lan-access：lan-access类型用户（主要指以太网接入用户）。

· onu：ONU用户。

· pad：X.25 PAD用户。

· portal：Portal用户。

· ppp：PPP用户。

· ssh：SSH用户。

· telnet：Telnet用户。

· terminal：从Console口Asyn口登录的终端用户。

state { active | block }：显示处于指定状态的本地用户信息。其中，active表示用户处于活动状态，即系统允许该用户请求网络服务；block表示用户处于阻塞状态，即系统不允许用户请求网络服务。

user-name user-name：显示指定用户名的本地用户信息。其中，user-name表示本地用户名，为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，并且不能为“a”、“al”或“all”；域名不区分大小写，不能包含符号“@”。

user-role role-name：显示指定用户角色的本地用户信息。其中，role-name表示用户角色名称，为1～63个字符的字符串，区分大小写。

vlan vlan-id：显示指定VLAN内的所有本地用户信息。其中，vlan-id为VLAN编号，取值范围为1～4094。

【使用指导】

如果不指定任何参数，则显示所有本地用户信息。

【举例】

# 显示所有本地用户的相关信息。

<Sysname> display local-user

Total 3 local users matched.

Device management user root:

State: Active

Service type: SSH/Telnet/Terminal

Access limit: Enabled

Max access number: 3

Current access number: 1

User group: system

Bind attributes:

Authorization attributes:

Work directory: flash:

User role list: network-admin

Password control configurations:

Password aging: 3 days

Password complexity: username checking

repeated characters checking

adjacent characters checking

Password history was last reset: 0 days ago

Password remaining lifetime: 2 days 12 hours 30 minutes 30 seconds

Network access user jj:

State: Active

Service type: LAN-access

User group: system

Bind attributes:

IP address: 2.2.2.2

Location bound: GigabitEthernet0/0/1

MAC address: 0001-0001-0001

VLAN ID: 2

Authorization attributes:

Idle timeout: 33 minutes

Work directory: flash:

ACL number: 2000

User profile: pp

User role list: network-operator, level-0, level-3

Description: A network access user from company cc

Validity period:

Start date and time: 2020/01/01-00:01:01

Expiration date and time: 2020/01/01-01:01:01

Password control configurations:

Password length: 4 characters

Password complexity: username checking

repeated characters checking

Network access guest user1:

State: Active

Service type: LAN-access/Portal

User group: guest1

Full name: Jack

Company: cc

Email: [email protected]

Phone: 131129237

Sponsor full name: Sam

Sponsor department: security

Sponsor email: [email protected]

Description: A guest from company cc

Validity period:

Start date and time: 2020/02/01-08:00:00

Expiration date and time: 2020/02/03-18:00:00

表1-12 display local-user命令显示信息描述表

字段	描述
Total x local users matched.	总计有x个本地用户匹配
State	本地用户状态 · Active：活动状态 · Block：阻塞状态
Service type	本地用户使用的服务类型
Access limit	是否对使用该用户名的接入用户数进行限制
Max access number	最大接入用户数
Current access number	使用该用户名的当前接入用户数
User group	本地用户所属的用户组
Bind attributes	本地用户的绑定属性
IP address	本地用户的IP地址
Location bound	本地用户绑定的端口
MAC address	本地用户的MAC地址
VLAN ID	本地用户绑定的VLAN
WLAN VLAN ID	本地无线用户授权VLAN
WLAN VLAN group name	本地无线用户授权VLAN组
Calling number	ISDN用户的主叫号码
Authorization attributes	本地用户的授权属性
Idle timeout	本地用户闲置切断时间（单位为分钟）
Session-timeout	本地用户的会话超时时间（单位为分钟）
Callback number	本地用户的授权PPP回呼号码
Work directory	FTP/SFTP/SCP用户可以访问的目录
ACL number	本地用户授权ACL
VLAN ID	本地用户授权VLAN
User profile	本地用户授权User Profile
User role list	本地用户的授权用户角色列表
IP pool	本地用户的授权IPv4地址池
SSL VPN policy group	本地用户的授权SSL VPN策略组
IP address	本地用户的授权IPv4地址
IPv6 address	本地用户的授权IPv6地址
IPv6 prefix	本地用户的授权IPv6前缀
IPv6 pool	本地用户的授权IPv6地址池
Primary DNS server	本地用户的授权主DNS服务器IPv4地址
Secondary DNS server	本地用户的授权从DNS服务器IPv4地址
Primary DNSV6 server	本地用户的授权主DNS服务器IPv6地址
Secondary DNSV6 server	本地用户的授权从DNS服务器IPv6地址
URL	本地用户的授权PADM URL
VPN instance	本地用户的授权VPN实例
Subscriber ID	本地用户的授权Subscriber ID
Session group profile	本地用户的授权Session Group Profile
User group	本地用户的授权用户组
Password control configurations	本地用户的密码控制属性
Password aging	如果本地用户密码老化管理功能处于使能状态，则显示配置的密码老化时间，否则显示为Disabled
Password length	密码最小长度
Password composition	密码组合策略（密码元素的组合类型、至少要包含每种元素的个数）
Password complexity	密码复杂度检查策略（是否包含用户名或者颠倒的用户名；是否包含三个或以上相同字符；是否包含键盘上横向连续相邻的多个字符）
Maximum login attempts	用户最大登录尝试次数
Action for exceeding login attempts	登录尝试次数达到设定次数后的用户账户锁定行为
Password history was last reset	上一次清除密码历史记录的时间
Password remaining lifetime	剩余密码老化时间
Full name	本地来宾用户的姓名
Company	本地来宾用户的公司
Email	本地来宾用户的Email地址
Phone	本地来宾用户的电话号码
Sponsor full name	本地来宾用户接待人的姓名
Sponsor department	本地来宾用户接待人所属部门
Sponsor email	本地来宾用户接待人的Email地址
Description	网络接入类本地用户的描述信息
Validity period	网络接入类本地用户有效期
Start date and time	网络接入类本地用户开始生效的日期和时间
Expiration date and time	网络接入类本地用户的失效日期和时间

1.2.12 display local-user access-count

display local-user access-count命令用来显示本地用户的接入计数信息。

【命令】

display local-user user-name user-name class { manage | network } access-count

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

user-name user-name：显示指定用户名的接入计数信息。其中，user-name表示本地用户名，为1～80个字符的字符串，不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”，且不能为“a”、“al”或“all”。

class：指定用户类别。

manage：设备管理类用户。

network：网络接入类用户。

【举例】

# 显示指定本地管理用户的当前接入计数信息。‌‌

<Sysname> display local-user user-name admin class manage access-count

Device management user admin:

Configured access limit: 30

Current access count: 15

Access method Slot Access count

Telnet 1 10

SSH 1 5

表1-13 display local-user access-count命令显示信息描述表

字段	描述
Configured access limit	配置的最大接入用户数
Current access count	当前的接入用户数
Access method	用户接入类型，取值包括： · ADVPN · Telnet · SSH · HTTP · HTTPS · Terminal · IPoE · LAN access · Portal · PPP · SSL VPN
Access count	指定接入类型的当前接入用户数

【相关命令】

· access-limit

1.2.13 display user-group

display user-group命令用来显示用户组的配置信息。

【命令】

display user-group { all | name group-name [ byod-authorization ] } [ identity-member { all | group | user } ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

all：显示所有用户组的配置信息。

name group-name：显示指定用户组的配置。group-name表示用户组名称，为1～32个字符的字符串，不区分大小写。

byod-authorization：显示基于终端类型的授权属性信息。若不指定该参数，则不显示基于终端类型的授权属性信息，仅显示否是配置了基于终端类型的授权属性。

identity-member { all | group | user }：显示用户组的身份识别成员信息。其中，all表示所有身份识别成员，包括所有用户组类型和用户类型的成员；group表示用户组类型的身份识别成员；user表示仅显示用户类型的身份识别成员信息。若不指定该参数，则不显示用户组的身份识别成员信息。

【举例】

# 显示所有用户组的相关配置。

<Sysname> display user-group all

Total 2 user groups matched.

User group: system

Group ID: 1

Authorization attributes:

Work directory: flash:

BYOD authorization attributes: Configured

User-Isolation: Not configured

Password control configurations:

Password complexity: username checking

repeated characters checking

adjacent characters checking

User group: jj

Group ID: 2

Authorization attributes:

Idle timeout: 2 minutes

Callback number: 2:2

Work directory: flash:/

ACL number: 2000

VLAN ID: 2

User profile: pp

BYOD authorization attributes: Not configured

User-Isolation: Intra-group

Password control configurations:

Password aging: 2 days

Password complexity: username checking

repeated characters checking

# 显示所有用户组中的所有身份成员信息。

<Sysname> display user-group all identity-member all

Total 2 user groups matched.

User group: system

Identity groups: 0

User group: jj

Identity groups: 2

Group ID Group name

0xffffffff group1

0x567 group2

Identity users: 2

User ID Username

0x234 user1

0xffffffff user2

表1-14 display user-group命令显示信息描述表

字段	描述
Total 2 user groups matched.	总计有2个用户组匹配
User group	用户组名称
Authorization attributes	授权属性信息
Idle timeout	闲置切断时间（单位：分钟）
Session-timeout	会话超时时间（单位：分钟）
Callback number	PPP回呼号码
Work directory	FTP/SFTP/SCP用户可以访问的目录
ACL number	授权ACL号
VLAN ID	授权VLAN ID
User profile	授权User Profile名称
IP pool	授权IPv4地址池
IPv6 prefix	授权IPv6前缀
IPv6 pool	授权IPv6地址池
Primary DNS server	授权主DNS服务器IPv4地址
Secondary DNS server	授权从DNS服务器IPv4地址
Primary DNSV6 server	授权主DNS服务器IPv6地址
Secondary DNSV6 server	授权从DNS服务器IPv6地址
URL	授权PADM URL
VPN instance	授权VPN实例
BYOD authorization attributes	BYOD授权属性信息
User isolation	用户组隔离策略，取值包括： · Intra-group：组内隔离 · Inter-group：组间隔离
Password control configurations	用户组的密码控制属性
Password aging	密码老化时间
Password length	密码最小长度
Password composition	密码组合策略（密码元素的组合类型、至少要包含每种元素的个数）
Password complexity	密码复杂度检查策略（是否包含用户名或者颠倒的用户名；是否包含三个或以上相同字符；是否包含键盘上横向连续相邻的多个字符）
Maximum login attempts	用户最大登录尝试次数
Action for exceeding login attempts	登录尝试次数达到设定次数后的用户账户锁定行为
Identity users	用户类型的身份识别成员数目
Identity groups	用户组类型的身份识别成员数目
User ID	用户的ID
Group ID	用户组的ID
Username	用户的名称
Group name	用户组的名称

1.2.14 email

email命令用来配置本地来宾用户的Email地址。

undo email命令用来恢复缺省情况。

【命令】

email email-string

undo email

【缺省情况】

未配置本地来宾用户的Email地址。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

email-string：本地来宾用户的Email地址，为按照RFC 822定义的1～255个字符的字符串，区分大小写，例如[email protected]。

【使用指导】

设备可以通过本命令配置的Email地址给来宾用户发送通知邮件。

【举例】

# 配置本地来宾用户abc的Email地址为[email protected]。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] email [email protected]

【相关命令】

· display local-user

1.2.15 full-name

full-name命令用来配置本地来宾用户的姓名。

undo full-name命令用来恢复缺省情况。

【命令】

full-name name-string

undo full-name

【缺省情况】

未配置本地来宾用户的姓名。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

name-string：本地来宾用户的姓名，为1～255个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc的姓名为abc Snow。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] full-name abc Snow

【相关命令】

· display local-user

1.2.16 group

group命令用来设置本地用户所属的用户组。

undo group命令用来恢复缺省配置。

【命令】

group group-name

undo group

【缺省情况】

本地用户属于用户组system。

【视图】

本地用户视图

【缺省用户角色】

network-admin

【参数】

group-name：用户组名称，为1～32个字符的字符串，不区分大小写。

【举例】

# 设置设备管理类本地用户111所属的用户组为abc。

<Sysname> system-view

[Sysname] local-user 111 class manage

[Sysname-luser-manage-111] group abc

【相关命令】

· display local-user

1.2.17 local-guest email format

local-guest email format命令用来配置本地来宾用户通知邮件的主题和内容。

undo local-guest email format命令用来删除指定的本地来宾用户通知邮件的主题和内容。

【命令】

local-guest email format to { guest | manager | sponsor } { body body-string | subject sub-string }

undo local-guest email format to { guest | manager | sponsor } { body | subject }

【缺省情况】

未配置本地来宾用户通知邮件的主题和内容。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

to：指定邮件的收件人。

· guest：表示来宾用户。

· manager：表示来宾管理员。

· sponsor：表示来宾接待人。

body body-string：邮件的内容。其中，body-string为1～255个字符的字符串，区分大小写。

subject sub-string：邮件的主题。其中，sub-string为1～127个字符的字符串，区分大小写。

【使用指导】

在本地来宾用户注册、创建过程中，设备需要向不同角色的用户发送通知邮件，邮件的主题和内容通过本命令设置，例如，本地来宾用户通过Web页面完成账户注册之后，设备会向来宾管理员发送该用户的审批申请邮件；本地来宾用户创建之后，设备会向本地来宾用户或来宾接待人邮箱发送注册成功通知邮件。

可对不同的收件人指定不同的邮件主题和内容。同一类收件人的邮件格式只能存在一种配置，新配置将覆盖已有配置。

必须同时配置收件人的邮件主题和内容，否则设备不会给该收件人发送邮件。

【举例】

# 配置本地来宾用户通知邮件的主题和内容。

<Sysname> system-view

[Sysname] local-guest email format to guest subject Guest account information

[Sysname] local-guest email format to guest body A guest account has been created for you. The username, password, and validity period of the account are given below.

【相关命令】

· local-guest email sender

· local-guest email smtp-server

· local-guest manager-email

· local-guest send-email

1.2.18 local-guest email sender

local-guest email sender命令用来配置本地来宾用户通知邮件的发件人地址。

undo local-guest email sender命令用来恢复缺省情况。

【命令】

local-guest email sender email-address

undo local-guest email sender

【缺省情况】

未配置本地来宾用户通知邮件的发件人地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

email-address：邮件发件人地址，为1～255个字符的字符串，区分大小写。

【使用指导】

未配置发件人地址的情况下，设备无法向任何收件人发送关于本地来宾用户的通知邮件。

只能存在一个本地来宾用户的发件人地址。多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置本地来宾用户通知邮件的发件人地址为[email protected]。

<Sysname> system-view

[Sysname] local-guest email sender [email protected]

【相关命令】

· local-guest email format

· local-guest email smtp-server

· local-guest manager-email

· local-guest send-email

1.2.19 local-guest email smtp-server

local-guest email smtp-server命令用来配置为本地来宾用户发送Email使用的SMTP服务器。

undo local-guest send-email smtp-server命令用来恢复缺省情况。

【命令】

local-guest email smtp-server url-string

undo local-guest email smtp-server

【缺省情况】

未配置为本地来宾用户发送Email使用的SMTP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url-string：STMP服务器的URL，为1～255个字符的字符串，区分大小写，符合标准SMTP协议规范，以smtp://开头。

【使用指导】

只能存在一个为本地来宾用户发送Email使用的SMTP服务器。多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置为本地来宾用户发送Email使用的SMTP服务器URL为smtp://www.test.com/smtp。

<Sysname> system-view

[Sysname] local-guest email smtp-server smtp://www.test.com/smtp

【相关命令】

· local-guest email format

· local-guest email sender

· local-guest manager-email

· local-guest send-email

1.2.20 local-guest generate

local-guest generate命令用来批量创建本地来宾用户。

【命令】

local-guest generate username-prefix name-prefix [ password-prefix password-prefix ] suffix suffix-number [ group group-name ] count user-count validity-datetime start-date start-time to expiration-date expiration-time

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

username-prefix name-prefix：用户名前缀，name-prefix为1～70个字符的字符串，区分大小写，不能含有字符\、|、/、:、*、?、<、>或@。

password-prefix password-prefix：明文密码前缀，password-prefix为1～53个字符的字符串，区分大小写。若不指定该参数，则由系统为用户逐一生成随机密码

suffix suffix-string ：用户名和密码的递增编号后缀，suffix-string为1～10个数字的字符串。

group group-name：用户所属用户组名，group-name为1～32个字符的字符串，区分大小写。若不指定该参数，则表示用户属于system组。

count user-count：批量创建用户的数量，user-count的取值范围为1～256。

validity-datetime：用户有效期。

start-date：用户有效期的开始日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日），MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

start-time：用户有效期的开始时间，格式为HH:MM:SS（小时:分钟:秒），HH取值范围为0～23，MM和SS取值范围为0～59。如果要设置成整分，则可以不输入秒；如果要设置成整点，则可以不输入分和秒。比如将start-time参数设置为0表示零点。

to：指定用户有效期的结束日期和结束时间。

expiration-date：用户有效期的结束日期，格式为MM/DD/YYYY（月/日/年）或者YYYY/MM/DD（年/月/日），MM的取值范围为1～12，DD的取值范围与月份有关，YYYY的取值范围为2000～2035。

expiration-time：用户有效期的结束时间，格式为HH:MM:SS（小时:分钟:秒），HH取值范围为0～23，MM和SS取值范围为0～59。如果要设置成整分，则可以不输入秒；如果要设置成整点，则可以不输入分和秒。比如将expiration-time参数设置为0表示零点。

【使用指导】

批量创建的本地来宾用户名由指定的用户名前缀和编号后缀组合而成，且每创建一个用户，用户名编号后缀递增1。例如，当用户名前缀为abc，递增编号后缀为1，生成用户数量为3时，生成的用户名分别为abc1、abc2和abc3。如果指定了密码前缀，则批量创建的本地来宾用户密码由密码前缀和编号后缀组合而成，且逐用户递增。

如果申请创建的本地来宾用户数量过多，导致资源不足时，部分本地来宾用户的批量创建将会失败。

如果批量创建的本地来宾用户与设备上已有的本地来宾用户重名，则批量创建的用户会覆盖已有的同名用户。

【举例】

# 批量创建20个本地来宾用户，用户名从abc01递增到abc20，属于用户组visit，有效期为2020/01/01 00:00:00到2020/2/02 12:00:00。

<Sysname> system-view

[Sysname] local-guest generate username-prefix abc suffix 01 group visit count 20 validity-datetime 2020/01/01 00:00:00 to 2020/02/02 12:00:00

【相关命令】

· local-user

· display local-user

1.2.21 local-guest manager-email

local-guest manager-email命令用来配置来宾管理员的Email地址。

undo local-guest manager-email命令用来恢复缺省情况。

【命令】

local-guest manager-email email-address

undo local-guest manager-email

【缺省情况】

未配置来宾管理员的Email地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

email-address：来宾管理员的Email地址，为按照RFC 822定义的1～255个字符的字符串，区分大小写，例如[email protected]。

【使用指导】

在本地来宾用户通过Web页面完成账户注册之后，设备会向来宾管理员邮箱发送该用户的审批申请邮件。

只能存在一个来宾管理员的Email地址。多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置来宾管理员的Email地址为[email protected]。

<Sysname> system-view

[Sysname] local-guest manager-email [email protected]

【相关命令】

· local-guest email format

· local-guest email sender

· local-guest email smtp-server

· local-guest send-email

1.2.22 local-guest send-email

local-guest send-email命令用来配置向本地来宾用户邮箱和来宾接待人邮箱发送邮件。

【命令】

local-guest send-email user-name user-name to { guest | sponsor }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

user-name user-name：本地来宾用户的用户名，为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，并且不能为“a”、“al”或“all”；域名不区分大小写，不能包含符号“@”。

to：指定邮件的收件人。

· guest：本地来宾用户。

· sponsor：来宾接待人。

【使用指导】

当本地来宾用户创建之后，设备管理员可通过此命令将用户的密码及有效期信息发送到本地来宾用户或来宾接待人邮箱中。

【举例】

# 向本地来宾用户abc的邮箱发送有关该用户用户名信息的通知邮件。

<Sysname> local-guest send-email user-name abc to guest

【相关命令】

· email

· sponsor-email

1.2.23 local-guest timer

local-guest timer命令用来配置本地来宾用户的等待审批超时定时器。

【命令】

local-guest timer waiting-approval time-value

undo local-guest timer waiting-approval

【缺省情况】

本地来宾用户的等待审批超时定时器值为24小时。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

time-value：本地来宾用户等待审批的超时时间，取值范围为1～720，单位为小时。

【使用指导】

当一个来宾用户在Web页面上完成账户注册之后，设备会为其开启一个来宾注册信息等待审批超时定时器，若在该定时器设置的时长内来宾管理员没有对其注册信息进行审批，则设备将删除该来宾注册信息。

【举例】

# 配置本地来宾用户的等待审批超时定时器的值为12小时。

<Sysname> system-view

[Sysname] local-guest timer waiting-approval 12

1.2.24 local-user

local-user命令用来添加本地用户，并进入本地用户视图。如果指定的本地用户已经存在，则直接进入本地用户视图。

undo local-user命令用来删除指定的本地用户。

【命令】

local-user user-name [ class { manage [ copy copied-user-name [ password { hash | simple } string ] ] | network [ guest ] }

undo local-user { user-name class { manage | network [ guest ] } | all [ class { manage | network [ guest ] } |service-type { advpn | ftp | http | https | ike | lan-access | onu | pad | portal | ppp | ssh | telnet | terminal } ] }

【缺省情况】

不存在本地用户。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

user-name：表示本地用户名，为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，并且不能为与“all”或“auto-delete”中自第一个字母“a”起向右若干连续字符完全相同的字符串，例如不能为“a”、“al”、“all”、“au”、“aut”、“auto”、“auto-”、“auto-d”等；域名不区分大小写，不能包含符号“@”。

class：指定本地用户的类别。若不指定本参数，则表示设备管理类用户。

manage：设备管理类用户，用于登录设备，对设备进行配置和监控。此类用户可以提供ftp、http、https、telnet、ssh、terminal和pad服务。

copy copied-user-name：指定被复制配置的用户名称，为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，并且不能为与“all”或“auto-delete”中自第一个字母“a”起向右若干连续字符完全相同的字符串，例如不能为“a”、“al”、“all”、“au”、“aut”、“auto”、“auto-”、“auto-d”等；域名不区分大小写，不能包含符号“@”。该用户名必须为一个已经存在的设备管理类本地用户名。

password：表示同时设置用户密码。

hash：表示以哈希方式设置密码。

simple：表示以明文方式设置密码，该密码将以哈希方式存储。

string：密码字符串，区分大小写。明文密码为1～63个字符的字符串；哈希密码为1～110个字符的字符串。可支持的字符包括除“?”之外的所有可见字符（可见字符对应的ASCII码区间为32～126）。如果需要包含字符“"”、“\”，则必须使用转义字符“\”辅助输入，即实际应输入“\"”、“\\”；如需输入空格，则需要将整个字符串包含在双引号中。

network：网络接入类用户，用于通过设备接入网络，访问网络资源。此类用户可以提供advpn、ike、lan-access、portal、ppp和onu服务。

guest：来宾用户，仅能在账户有效期内提供lan-access和portal服务。

all：所有的用户。

service-type：指定用户的类型。

· advpn：ADVPN隧道用户。

· ftp：表示FTP类型用户。

· http：表示HTTP类型用户。

· https：表示HTTPS类型用户。

· ike：表示IKE扩展认证类型用户。

· lan-access：表示lan-access类型用户（主要指以太网接入用户）。

· onu：ONU用户。

· pad：X.25 PAD用户。

· portal：表示Portal用户。

· ppp：PPP用户。

· ssh：表示SSH用户。

· telnet：表示Telnet用户。

· terminal：表示从Console口、Asyn口登录的终端用户。

【使用指导】

工作机制

在本地认证过程中，配置的用户名和用户类别为本地用户的唯一标识，用户名用于匹配设备从用户输入的用户名中解析出的纯用户名，用户类别用于指示用户可以使用的网络服务类型。

当需要新建的设备管理类本地用户和已存在的本地用户比较相似时，可在创建本地用户时，通过指定copy参数复制已经存在的本地用户配置来快速创建新的本地用户。

注意事项

设备支持配置多个本地用户，设备管理类本地用户的最大数目与设备的型号有关，请以设备的实际情况为准，网络接入类本地用户的最大数目与设备的型号有关，请以设备的实际情况为准。

如果配置的本地用户名中包含中文，则需要该本地用户登录设备时使用的终端软件采用的字符集编码格式和设备当前采用的编码格式保持一致，否则，可能导致包含中文字符的用户名在设备上不能按照预期解析，甚至导致本地认证失败。设备当前采用的字符集编码格式可以通过display character-encoding命令查看。

采用复制配置的方式创建新的设备管理类本地用户时，需要注意的是：

· 如果未同时指定password参数设置用户密码，则成功创建本地用户后，系统将提示您以交互方式设置用户密码。

· 如果要创建到本地用户名已经存在，成功执行创建命令后，新的本地用户配置会覆盖已有配置。

【举例】

# 添加名称为user1的设备管理类本地用户。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1]

# 添加名称为user2的网络接入类本地用户。

<Sysname> system-view

[Sysname] local-user user2 class network

[Sysname-luser-network-user2]

# 添加名称为user3的网络接入类本地来宾用户。

<Sysname> system-view

[Sysname] local-user user3 class network guest

[Sysname-luser-network(guest)-user3]

# 添加名称为user4的设备管理类本地用户，从已存在的管理类用户user1中拷贝配置，同时指定user4的用户密码。

<Sysname> system-view

[Sysname] local-user user4 class manage copy user1 password simple user12345$

[Sysname-luser-manage-user4]

# 添加名称为user5的设备管理类本地用户，从已存在的管理类用户user1中拷贝配置，并交互式指定user5的用户密码。

<Sysname> system-view

[Sysname] local-user user5 class manage copy user1

Please specify the user password.

Password:

Confirm:

[Sysname-luser-manage-user5]

# 添加名称为user5的设备管理类本地用户，从已存在的管理类用户user4中拷贝配置，覆盖当前user5的配置。

<Sysname> system-view

[Sysname] local-user user5 class manage copy user4 password simple user12345$

The local user already exists. Overwrite the existing user? [Y/N] Y

[Sysname-luser-manage-user5]

【相关命令】

· display local-user

· display character-encoding（基础配置命令参考/登录设备）

· service-type (Local user view)

1.2.25 local-user auto-delete enable

local-user auto-delete enable命令用来开启本地用户过期自动删除功能。

undo local-user auto-delete enable命令用来恢复缺省情况。

【命令】

local-user auto-delete enable

undo local-user auto-delete enable

【缺省情况】

本地用户过期自动删除功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

本地用户过期自动删除功能处于开启状态时，设备将定时（10分钟，不可配）检查网络接入类本地用户是否过期并自动删除过期的本地用户。

【举例】

# 开启本地用户过期自动删除功能。

<Sysname> system-view

[Sysname] local-user auto-delete enable

【相关命令】

· validity-datetime

1.2.26 local-user-export class network

local-user-export class network命令用来导出网络接入类本地用户信息到CSV文件。

【命令】

local-user-export class network url url-string [ from { group group-name | user user-name } ]

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url url-string：CSV文件的URL，为1～255个字符的字符串，不区分大小写。

from：指定导出的用户范围。若不指定该参数，则表示导出设备上所有的网络接入类本地用户。

group group-name：导出指定组里的所有用户。group-name表示用户组名，为1～32个字符的字符串，不区分大小写。

user user-name：导出指定用户。user-name表示用户名，为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，并且不能为“a”、“al”或“all”；域名不区分大小写，不能包含符号“@”。

【使用指导】

导出的CSV文件可直接或在编辑之后通过local-user-import class network命令导入到本设备或其它支持该命令的设备上使用，但文件内容必须符合该命令的要求。

本命令支持TFTP和FTP两种文件上传方式，具体的URL格式要求如下：

· TFTP协议URL格式：tftp://server/path/filename，server为TFTP服务器IP地址或主机名，path为TFTP工作目录的相对路径，例如tftp://1.1.1.1/user/user.csv。

· FTP协议URL格式：

¡ 携带用户名和密码的格式为ftp://username:password@server/path/filename。其中，username为FTP用户名，password为FTP认证密码，server为FTP服务器IP地址或主机名，path为FTP工作目录的相对路径，例如ftp://1:[email protected]/user/user.csv。如果FTP用户名中携带域名，则该域名会被设备忽略，例如ftp://1@abc:[email protected]/user/user.csv将被当作ftp://1:[email protected]/user/user.csv处理。

¡ 不需要携带用户名和密码的格式为ftp://server/path/filename，例如ftp://1.1.1.1/user/user.csv。

【举例】

# 导出网络接入类本地用户信息到ftp://1.1.1.1/user/路径的identityuser.csv文件中。

<Sysname> system-view

[Sysname] local-user-export class network url ftp://1.1.1.1/user/identityuser.csv

【相关命令】

· display local-user

· local-user-import class network

1.2.27 local-user-export class network guest

local-user-export class network guest命令用来从设备导出本地来宾用户信息到CSV文件。

【命令】

local-user-export class network guest url url-string

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url url-string：CSV文件的URL，为1～255个字符的字符串，不区分大小写。

【使用指导】

导出的CSV文件可直接或在编辑之后通过local-user-import命令导入到本设备或其它支持该命令的设备上使用，但文件内容必须符合该命令的要求。

本命令支持TFTP和FTP两种文件上传方式，具体的URL格式要求如下：

· TFTP协议URL格式：tftp://server/path/filename，server为TFTP服务器IP地址或主机名，path为TFTP工作目录的相对路径，例如tftp://1.1.1.1/user/user.csv。

· FTP协议URL格式：

¡ 不需要携带用户名和密码的格式为ftp://server/path/filename，例如ftp://1.1.1.1/user/user.csv。

【举例】

# 导出本地来宾用户信息到ftp://1.1.1.1/user/路径的guest.csv文件中。

<Sysname> system-view

[Sysname] local-user-export class network guest url ftp://1.1.1.1/user/guest.csv

【相关命令】

· display local-user

· local-user-import class network guest

1.2.28 local-user-import class network

local-user-import class network命令用来从CSV文件中导入用户信息并创建网络接入类本地用户。

【命令】

local-user-import class network url url-string [ auto-create-group | override | start-line line-number ] *

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url url-string：CSV文件的URL，为1～255个字符的字符串，不区分大小写。

auto-create-group：表示当设备上不存在用户所属的用户组时，系统会自动创建用户组，并将用户加入该用户组。若不指定该参数，则表示当设备上不存在用户所属的用户组时，系统不会创建对应的用户组，而是将用户其加入缺省用户组system。

override：表示当导入的用户名已经存在于设备上时，系统使用导入的用户信息覆盖掉已有的同名用户配置。若不指定该参数，则表示不导入文件中的同名用户信息，即保留设备上已有的同名用户配置。

start-line line-number：表示从文件的指定行开始导入用户信息。line-number为文件内容的行编号，取值范围为1～1048576。若不指定该参数，则表示导入文件中的所有用户信息。

【使用指导】

用于导入的CSV文件中包含多个用户信息，每个用户的各项字段严格按照以下顺序出现：

· 用户名：为1～80个字符的字符串，可以为“纯用户名@域名”或者纯用户名。其中，纯用户名区分大小写，不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，并且不能为“a”、“al”或“all”；域名不区分大小写，不能包含符号“@”。若用户名中包含非法字符，则导入并创建该用户失败，且后续用户的导入操作将会中止。该字段必须存在。

· 密码形式：明文或密文。若该字段为空，则表示密文。

· 用户密码：密文密码字符串长度范围为1～117，明文密码字符串长度访问为1～64，区分大小写。若该字段为空或密码解析失败，则表示用户无密码。

· 所属授权用户组：用于本地授权，为1～32个字符的字符串，不区分大写。若该字段为空，则表示system组。

· 所属身份识别用户组：用于用户身份识别，为1～32个字符的字符串，不区分大写。可支持多个用户组，组名称之间必须以换行字符串0x0A分隔。若该字段为空，则表示不属于任何用户组。

· 服务类型：包括portal、ppp、lan-access、advpn、ike、onu中的一个或多个，不区分大小写。服务类型名称之间必须以换行字符串（0x0A）分隔。若该字段为空，则表示不支持任何服务类型。

· 允许同时使用该用户名接入网络的最大用户数：取值范围为1～1024。若该字段为空，则表示无限制。

CSV文件中的不同用户信息之间用回车换行分隔，且每项信息之间以逗号分隔。例如：

Jack,$c$3$uM6DH5empTfbsx341Qk/ORGozkbxNE0=,author-group1,parent-group1(0x0A)parent-group2,portal(0x0A)lan-access,1024

Mary,$c$3$YpVonswJTN1dVMEev+zu2pgrCIIJ,author-group2,parent-group1(0x0A)parent-group2,ppp(0x0A)ipoe,800

编辑CSV文件时，需要注意的是：

· CSV文件中的注释行以#开头，注释行的内容不会被当作实际用户信息导入设备。

· 如果某类数据本身需要包含逗号，为避免与分隔符逗号混淆，必须在该数据两端加单引号，例如某授权用户组名称为author,group，则在CSV文件中要书写为'author,group'。

本命令支持TFTP和FTP两种文件下载方式，具体的文件URL格式要求如下：

· TFTP协议URL格式：tftp://server/path/filename，server为FTP服务器IP地址或主机名，path为TFTP工作目录的相对路径，例如tftp://1.1.1.1/user/user.csv。

· FTP协议URL格式：

¡ 不需要携带用户名和密码的格式为ftp://server/path/filename，例如ftp://1.1.1.1/user/user.csv。

【举例】

# 从ftp://1.1.1.1/user/路径的localuser.csv文件中导入网络接入类本地用户信息，导入时自动创建用户组，且不导入文件中的同名用户信息。

<Sysname> system-view

[Sysname] local-user-import class network url ftp://1.1.1.1/user/localuser.csv auto-create-group

【相关命令】

· local-user-export class network

1.2.29 local-user-import class network guest

local-user-import class network guest命令用来从CVS文件中导入本地来宾用户信息并创建本地用户。

【命令】

local-user-import class network guest url url-string validity-datetime start-date start-time to expiration-date expiration-time [ auto-create-group | override | start-line line-number ] *

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

url url-string：CVS文件的URL。其中，url-string为1～255个字符的字符串，不区分大小写。

validity-datetime：指定用户的有效期。

to：指定用户有效期的结束日期和结束时间。

auto-create-group：表示当设备上不存在用户所属的用户组时，系统会自动创建用户组，并将用户加入该用户组。若不指定该参数，则表示当设备上不存在用户所属的用户组时，系统不会创建对应的用户组，而是将该用户加入缺省用户组system。

start-line line-number：表示从文件的指定行开始导入用户信息。其中，line-number为文件内容的行编号。若不指定该参数，则表示导入文件中的所有用户信息。

【使用指导】

用于导入的CSV文件中包含多个用户信息，每个用户的各项字段严格按照以下顺序出现：

· Username：用户名。该字段必须存在。

· Password：明文用户密码。若该字段为空，则导入时系统会生成一个密文随机密码。

· User group：所属用户组，用于本地授权。若该字段为空，则表示属于system组。

· Guest full name：来宾用户姓名。

· Guest company：来宾用户公司。

· Guest email：来宾用户Email地址。

· Guest phone：来宾用户电话号码。

· Guest description：来宾用户描述信息。

· Sponsor full name：接待人姓名。

· Sponsor department：接待人部门。

· Sponsor email：接待人Email地址。

以上所有字段的取值必须满足设备上本地用户相应属性的取值要求，否则当前用户的导入操作将会失败，且导入操作中止。之后，可以根据系统提示信息中的出错行编号选择下次从指定行开始导入剩余用户信息。

CSV文件中的不同用户信息之间用回车换行分隔，且每项信息之间以逗号分隔。如果某项信息中包含逗号，则必须在该条信息两端加双引号。例如：Jack,abc,visit,Jack Chen,ETP,[email protected],1399899,”The manager of ETP, come from TP.”,Sam Wang,Ministry of personnel,[email protected]

本命令支持TFTP和FTP两种文件下载方式，具体的文件URL格式要求如下：

· TFTP协议URL格式：tftp://server/path/filename，server为TFTP服务器IP地址或主机名，path为TFTP工作目录的相对路径，例如tftp://1.1.1.1/user/user.csv。

· FTP协议URL格式：

¡ 不需要携带用户名和密码的格式为ftp://path/filename，例如ftp://1.1.1.1/user/user.csv。

【举例】

# 从ftp://1.1.1.1/user/guest.csv路径中导入本地来宾用户信息，用户的有效期为2020/02/01 00:00:00到2020/02/02 12:00:00。

<Sysname> system-view

[Sysname] local-user-import class network guest url ftp://1.1.1.1/user/guest.csv validity-datetime 2020/02/01 00:00:00 to 2020/02/02 12:00:00

【相关命令】

· local-user-export class network guest

1.2.30 password (Device management user view)

password命令用来设置本地用户的密码。

undo password命令用来恢复缺省情况。

【命令】

password [ { hash | simple } string ]

undo password

【缺省情况】

不存在本地用户密码，即本地用户认证时无需输入密码，只要用户名有效且其它属性验证通过即可认证成功。

【视图】

设备管理类本地用户视图

【缺省用户角色】

network-admin

【参数】

hash：表示以哈希方式设置密码。

simple：表示以明文方式设置密码，该密码将以哈希方式存储，哈希加密算法为SHA-512。

【使用指导】

如果不指定任何参数，则表示以交互式设置明文形式的密码。

可以不为本地用户设置密码。若不为本地用户设置密码，则该用户认证时无需输入密码，只要用户名有效且其它属性验证通过即可认证成功。为提高用户账户的安全性，建议设置本地用户密码。

在全局Password Control功能处于开启的情况下，需要注意的是：

· 所有历史密码都以哈希方式存储。

· 当前登录用户以明文方式修改自己的密码时，需要首先提供现有的明文密码，然后保证输入的新密码与所有历史密码不同，且至少要与现有密码存在4个不同字符的差异。

· 当前登录用户以明文方式修改其它用户的密码时，需要保证新密码与所有历史密码不同。

· 当前登录用户删除自己的密码时，需要提供现有的明文密码。

其它情况下，均不需要提供现有明文密码，也不与历史密码进行比较。

【举例】

# 设置设备管理类本地用户user1的密码为明文123456TESTplat&!。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] password simple 123456TESTplat&!

# 以交互式方式设置设备管理类本地用户test的密码。

<Sysname> system-view

[Sysname] local-user test class manage

[Sysname-luser-manage-test] password

Password:

Confirm:

【相关命令】

· display local-user

1.2.31 password (Network access user view)

password命令用来设置本地用户的密码。

undo password命令用来恢复缺省情况。

【命令】

password { cipher | simple } string

undo password

【缺省情况】

不存在本地用户密码，即本地用户认证时无需输入密码，只要用户名有效且其它属性验证通过即可认证成功。

【视图】

网络接入类本地用户视图

【缺省用户角色】

network-admin

【参数】

cipher：表示以密文方式设置密码。

simple：表示以明文方式设置密码，该密码将以密文形式存储，加密算法为AES-256。

string：密码字符串，区分大小写。明文密码为1～64个字符的字符串；密文密码为1～117个字符的字符串。

【使用指导】

为提高用户账户的安全性，建议设置本地用户密码。

开启网络接入类全局密码管理功能（通过命令password-control enable network-class）后，设备上将不显示配置的网络接入类本地用户密码，也不会将该密码保存在当前配置中。

【举例】

# 设置网络接入类本地用户user1的密码为明文123456TESTuser&!。

<Sysname> system-view

[Sysname] local-user user1 class network

[Sysname-luser-network-user1] password simple 123456TESTuser&!

【相关命令】

· display local-user

· password-control enable（用户接入与认证命令参考/Password Control）

1.2.32 password (User view)

password命令用来设置本地用户的密码。

【命令】

password

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

通过在用户视图下执行本命令，可以采用交互式方式为设备上已存在的设备管理类本地用户设置密码，而无需进入相应的本地用户视图。

可设置的密码为1～63个字符的明文字符串。

【举例】

# 修改本地用户test的密码。

<Sysname> password

Change password for user: test

Old password:

Enter new password:

Confirm:

【相关命令】

· password (Local user view)

1.2.33 phone

phone命令用来配置本地来宾用户的电话号码。

undo phone命令用来恢复缺省情况。

【命令】

phone phone-number

undo phone

【缺省情况】

未配置本地来宾用户电话号码。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

phone-number：本地来宾用户的电话号码，为1～32个字符的字符串。

【举例】

# 配置本地来宾用户abc的电话号码为13813723920。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] phone 13813723920

【相关命令】

· display local-user

1.2.34 reset local-guest waiting-approval

reset local-guest waiting-approval命令用来清除待审批的来宾用户注册信息。

【命令】

reset local-guest waiting-approval [ user-name user-name ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

【举例】

# 清除所有待审批的来宾用户注册信息。

<Sysname> reset local-guest waiting-approval

【相关命令】

· display local-guest waiting-approval

1.2.35 service-type (Local user view)

service-type命令用来设置用户可以使用的服务类型。

undo service-type命令用来删除用户可以使用的服务类型。

【命令】

service-type { advpn | ftp | ike | lan-access | { http | https | onu | pad | ssh | telnet | terminal } * | portal | ppp }

undo service-type { advpn | ftp | ike | lan-access | { http | https | onu | pad | ssh | telnet | terminal } * | portal | ppp }

【缺省情况】

系统不对用户授权任何服务，即用户不能使用任何服务。

【视图】

本地用户视图

【缺省用户角色】

network-admin

【参数】

advpn：指定用户可以使用ADVPN服务。

ftp：指定用户可以使用FTP服务。若授权FTP服务，授权目录可以通过authorization-attribute work-directory命令来设置。

http：指定用户可以使用HTTP服务。

https：指定用户可以使用HTTPS服务。

ike：指定用户可以使用IKE扩展认证服务。

lan-access：指定用户可以使用lan-access服务。主要指以太网接入。

onu：指定用户可以使用ONU服务。

pad：指定用户可以使用X.25 PAD服务。

ssh：指定用户可以使用SSH服务。

telnet：指定用户可以使用Telnet服务。

terminal：指定用户可以使用terminal服务（即从Console口、Asyn口登录）。

portal：指定用户可以使用Portal服务。

ppp：指定用户可以使用PPP服务。

【使用指导】

可以通过多次执行本命令，设置用户可以使用多种服务类型。

【举例】

# 指定设备管理类用户可以使用Telnet服务和FTP服务。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] service-type telnet

[Sysname-luser-manage-user1] service-type ftp

【相关命令】

· display local-user

1.2.36 sponsor-department

sponsor-department命令用来配置本地来宾用户接待人所属部门。

undo sponsor-department命令用来恢复缺省情况。

【命令】

sponsor-department department-string

undo sponsor-department

【缺省情况】

未配置本地来宾用户接待人所属部门。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

department-string：本地来宾用户接待人所属部门名称，为1～127个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc的接待人所属部门为test。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] sponsor-department test

【相关命令】

· display local-user

1.2.37 sponsor-email

sponsor-email命令用来配置本地来宾用户接待人的Email地址。

undo sponsor-email命令用来恢复缺省情况。

【命令】

sponsor-email email-string

undo sponsor-email

【缺省情况】

未配置本地来宾用户接待人的Email地址。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

email-string：本地来宾接待人的Email地址，为按照RFC 822定义的1～255个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc的接待人Email地址为[email protected]。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] sponsor-email [email protected]

【相关命令】

· display local-user

1.2.38 sponsor-full-name

s ponsor-full-name命令用来配置本地来宾用户的接待人姓名。

undo sponsor-full-name命令用来恢复缺省情况。

【命令】

sponsor-full-name name-string

undo sponsor-full-name

【缺省情况】

未配置本地来宾用户的接待人姓名。

【视图】

本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

name-string：本地来宾用户接待人姓名，为1～255个字符的字符串，区分大小写。

【举例】

# 配置本地来宾用户abc的接待人姓名为Sam Li。

<Sysname> system-view

[Sysname] local-user abc class network guest

[Sysname-luser-network(guest)-abc] sponsor-full-name Sam Li

【相关命令】

· display local-user

1.2.39 state (Local user view)

state命令用来设置当前本地用户的状态。

undo state命令用来恢复缺省情况。

【命令】

state { active | block }

undo state

【缺省情况】

本地用户处于活动状态。

【视图】

本地用户视图

【缺省用户角色】

network-admin

【参数】

active：指定当前本地用户处于活动状态，即系统允许当前本地用户请求网络服务。

block：指定当前本地用户处于“阻塞”状态，即系统不允许当前本地用户请求网络服务。

【举例】

# 设置设备管理类本地用户user1处于“阻塞”状态。

<Sysname> system-view

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] state block

【相关命令】

· display local-user

1.2.40 user-group

user-group命令用来创建用户组，并进入用户组视图。如果指定的用户组已经存在，则直接进入用户组视图。

undo user-group命令用来删除指定的用户组。

【命令】

user-group group-name

undo user-group group-name

【缺省情况】

存在一个用户组，名称为system。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

group-name：用户组名称，为1～32个字符的字符串，不区分大小写。

【使用指导】

用户组是一个本地用户的集合，某些需要集中管理的属性可在用户组中统一配置和管理。

不允许删除一个包含本地用户的用户组。

不能删除系统中存在的默认用户组system，但可以修改该用户组的配置。

【举例】

# 创建名称为abc的用户组并进入其视图。

<Sysname> system-view

[Sysname] user-group abc

[Sysname-ugroup-abc]

【相关命令】

· display user-group

1.2.41 user-isolation

user-isolation命令用来配置用户组隔离策略。

undo user-isolation命令用来删除配置的用户组隔离策略。

【命令】

user-isolation { intra-group | inter-group } *

undo user-isolation { intra-group | inter-group } *

【缺省情况】

未配置用户组隔离策略。

【视图】

用户组视图

【缺省用户角色】

network-admin

【参数】

intra-group：表示组内隔离，即该组内用户之间的二/三层报文不能互通。

inter-group：表示组间隔离，即该组的用户不能与其它组的用户互访。

【使用指导】

如果希望对无线用户基于用户组进行业务隔离，则可以为其授权用户组，并在用户组视图下配置用户组隔离策略。对于授权用户组隔离策略，需要注意的是：

· 用户组隔离策略仅对无线集中式转发场景下的用户单播报文生效。

· 如果无线用户处于不同的业务VLAN，则需要将网关部署在AC上才能实现用户组隔离功能。

· 如果某用户组内已有用户获取了用户组隔离策略，则不建议删除或修改该组，否则会有隔离策略混乱的风险。

【举例】

# 在用户组test下，指定用户的隔离策略为组间隔离。

<Sysname> system-view

[Sysname] user-group test

[Sysname-ugroup-test] user-isolation inter-group

【相关命令】

· display user-group

1.2.42 validity-datetime

validity-datetime命令用来配置本地用户的有效期。

undo validity-datetime命令用来恢复缺省情况。

【命令】

（本地用户视图）

validity-datetime { from start-date start-time to expiration-date expiration-time | from start-date start-time | to expiration-date expiration-time }

undo validity-datetime

（本地来宾用户视图）

validity-datetime from start-date start-time to expiration-date expiration-time

undo validity-datetime

【缺省情况】

未限制本地用户的有效期，该用户始终有效。

【视图】

本地用户视图/本地来宾用户视图

【缺省用户角色】

network-admin

【参数】

from：指定用户有效期的开始日期和时间。若不指定该参数，则表示仅限定用户有效期的结束日期和时间。

to：指定用户有效期的结束日期和结束时间。若不指定该参数，则表示仅限定用户有效期的开始日期和时间。

【使用指导】

本地用户在有效期内才能认证成功。

若同时指定了有效期的开始时间和结束时间，则有效期的结束时间必须晚于起始时间。

如果仅指定了有效期的开始时间，则表示该时间到达后，用户一直有效。

如果仅指定了有效期的结束时间，则表示该时间到达前，用户一直有效。

设备作为RADIUS服务器时使用RADIUS用户数据库对接入用户进行身份验证，RADIUS用户数据由网络接入类本地用户配置直接生成，但设备仅关心RADIUS用户的有效期结束时间，不关心其有效期开始时间。

【举例】

# 配置网络接入类本地用户123的有效期为2020/01/01 00:00:00到2020/02/02 12:00:00。

<Sysname> system-view

[Sysname] local-user 123 class network

[Sysname-luser-network-123] validity-datetime from 2020/01/01 00:00:00 to 2020/02/02 12:00:00

# 配置设备管理类本地用户456的有效期为2022/01/01 00:00:00到2022/02/02 12:00:00。

<Sysname> system-view

[Sysname] local-user 456 class manage

[Sysname-luser-network-456] validity-datetime from 2022/01/01 00:00:00 to 2022/02/02 12:00:00

【相关命令】

· display local-user

1.3 RADIUS配置命令

1.3.1 aaa device-id

aaa device-id命令用来配置设备ID。

undo aaa device-id命令用来恢复缺省情况。

【命令】

aaa device-id device-id

undo aaa device-id

【缺省情况】

设备ID为0。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

device-id：设备ID，取值范围为1～255。

【使用指导】

RADIUS计费过程使用Acct-Session-Id属性作为用户的计费ID。设备使用系统时间、随机数以及设备ID为每个在线用户生成一个唯一的Acct-Session-Id值。

修改后的设备ID仅对新上线用户生效。

【举例】

# 配置设备ID为1。

<Sysname> system-view

[Sysname] aaa device-id 1

1.3.2 accounting-on enable

accounting-on enable命令用来开启accounting-on功能。

undo accounting-on enable命令用来关闭accounting-on功能。

【命令】

accounting-on enable [ interval interval | send send-times ] *

undo accounting-on enable

【缺省情况】

accounting-on功能处于关闭状态。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

interval interval：指定accounting-on报文重发时间间隔，取值范围为1～15，单位为秒，缺省值为3。

send send-times：指定accounting-on报文的最大发送次数，取值范围为1～255，缺省值为50。

【使用指导】

RADIUS方案视图下开启accounting-on功能后，设备会在重启之后自动监听到达该方案使用的所有RADIUS计费服务器的链路可达状态，并在对应的链路可达后向服务器发送accounting-on报文，要求RADIUS服务器停止计费且强制该设备的用户下线。

开启accounting-on功能后，请执行save命令保证accounting-on功能在整个设备下次重启后生效。关于命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。

本命令设置的accounting-on参数会立即生效。

【举例】

# 在RADIUS方案radius1中，开启accounting-on功能并配置accounting-on报文重发时间间隔为5秒、accounting-on报文的最大发送次数为15次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] accounting-on enable interval 5 send 15

【相关命令】

· display radius scheme

1.3.3 accounting-on extended

accounting-on extended命令用来开启accounting-on扩展功能。

undo accounting-on extended命令用来关闭accounting-on扩展功能。

【命令】

accounting-on extended

undo accounting-on extended

【缺省情况】

accounting-on扩展功能处于关闭状态。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

accounting-on扩展功能是为了适应分布式架构而对accounting-on功能的增强。只有在accounting-on功能开启的情况下，accounting-on扩展功能才能生效。

accounting-on扩展功能适用于PPP（L2TP组网的LAC侧）和lan-access用户，该类型的用户数据均保存在用户接入的单板上。开启accounting-on扩展功能后，当有用户发起接入认证的单板重启时（整机未重启），设备会向RADIUS服务器发送携带单板标识的accounting-on报文，用于通知RADIUS服务器对该单板的用户停止计费且强制用户下线。accounting-on报文的重发间隔时间以及最大发送次数由accounting-on enable命令指定。如果自上一次重启之后，单板上没有用户接入认证的记录，则该单板再次重启，并不会触发设备向RADIUS服务器发送携带单板标识的accounting-on报文。

开启accounting-on扩展功能后，请执行save命令保证accounting-on扩展功能在单板下次重启后生效。关于save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。

【举例】

# 在RADIUS方案radius1中，开启accounting-on扩展功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] accounting-on extended

【相关命令】

· accounting-on enable

· display radius scheme

1.3.4 acct-attribute message-authenticator force-mode

acct-attribute message-authenticator force-mode配置RADIUS计费报文携带80号属性Message-Authenticator的强制模式。

undo acct-attribute message-authenticator force-mode命令用来恢复缺省情况。

【命令】

acct-attribute message-authenticator force-mode { request | request-reply }

undo acct-attribute message-authenticator force-mode

【缺省情况】

RADIUS计费报文中的请求报文和响应报文均不强制携带80号属性Message-Authenticator。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

request：表示仅强制RADIUS客户端发送计费请求报文时，携带80号属性Message-Authenticator，不强制RADIUS服务器的计费应答报文携带80号属性。如果服务器的应答报文携带80号属性，则对该属性进行验证，验证不通过则计费失败。

request-reply：表示强制RADIUS客户端发送计费请求报文时，携带80号属性Message-Authenticator，同时强制RADIUS服务器的计费应答报文携带80号属性，且RADIUS客户端将对80号属性进行验证，验证不通过则计费失败。

【使用指导】

工作机制

RADIUS客户端发送的计费请求报文是不会携带80号属性的，此时的计费可能是不安全的。如果需要保证安全，则可以根据实际需求，通过本命令配置不同的强制模式。

未配置本功能时，RADIUS客户端发送的计费请求报文中不强制携带80号属性Message-Authenticator。同时，若RADIUS客户端收到的RADIUS计费应答报文携带了80号属性则对该属性进行验证，若未携带80号属性，则不对该属性进行验证。

注意事项

当本命令配置request-reply参数时，不会强制RADIUS的停止计费应答报文携带80属性，因为停止计费应答报文被攻击时不会有很大影响，强制检查80属性会导致停止计费报文加入计费缓存，从而消耗设备资源。

当本命令配置request-reply参数时，若RADIUS服务器不支持携带80属性，则会导致设备上计费开始失败。但此时RADIUS服务器上用户已经开始计费，设备上用户计费状态会与RADIUS服务器的计费状态不一致。因此，配置本命令前需要确保RADIUS服务器支持携带80属性。

【举例】

# 配置RADIUS计费报文携带80号属性Message-Authenticator的强制模式为request。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] acct-attribute message-authenticator force-mode request

1.3.5 attribute 5 format

attribute 5 format命令用来配置RADIUS Attribute 5的格式。

undo attribute 5 format命令用来恢复缺省情况。

【命令】

attribute 5 format port

undo attribute 5 format

【缺省情况】

采用单层VLAN格式封装RADIUS Attribute 5，具体为：槽位号（8bit）+子槽位号（4bit）+端口号（8bit）+VLAN ID（12bit）。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

port：表示采用端口号进行封装。

【使用指导】

RADIUS Attribute 5为NAS-Port属性。不同的RADIUS服务器对NAS-Port属性的解析格式要求不同，为了保证RADIUS报文的正常交互，设备发送给服务器的NAS-Port属性的格式必须与服务器的要求保持一致。

配置RADIUS Attribute 5使用端口号进行封装后，填充在RADIUS Attribute 5中的内容为用户上线接口的接口编号中的最后一维。例如，若用户从接口GigabitEthernet0/0/2上线，则填充在RADIUS Attribute 5的字段为接口编号的最后一维“2”。

此配置不区分用户的接入类型，对所有用户的RADIUS报文均生效。

【举例】

# 在RADIUS方案radius1中，配置RADIUS Attribute 5使用接口的端口号进行封装。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 5 format port

【相关命令】

· display radius scheme

1.3.6 attribute 15 check-mode

attribute 15 check-mode命令用来配置对RADIUS Attribute 15的检查方式。

undo attribute 15 check-mode命令用来恢复缺省情况。

【命令】

attribute 15 check-mode { loose | strict }

undo attribute 15 check-mode

【缺省情况】

对RADIUS Attribute 15的检查方式为strict方式。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

loose：松散检查方式，设备使用RADIUS Attribute 15的标准属性值对用户业务类型进行检查。对于SSH、FTP、Terminal、HTTP、HTTPS用户，在RADIUS服务器下发的Login-Service属性值为0（表示用户业务类型为Telnet）时才，这类用户才能够通过认证。

strict：严格检查方式，设备使用RADIUS Attribute 15的标准属性值以及扩展属性值对用户业务类型进行检查。对于SSH、FTP、Terminal、HTTP、HTTPS用户，当RADIUS服务器下发的Login-Service属性值为对应的扩展取值时，这类用户才能够通过认证。

【使用指导】

由于某些RADIUS服务器不支持自定义的属性，无法下发扩展的Login-Service属性，若要使用这类RADIUS服务器对SSH、FTP、Terminal、HTTP、HTTPS用户进行认证，建议设备上对RADIUS 15号属性值采用松散检查方式。

【举例】

# 在RADIUS方案radius1中，配置对RADIUS Attribute 15采用松散检查方式。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 15 check-mode loose

【相关命令】

· display radius scheme

1.3.7 attribute 25 car

attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。

undo attribute 25 car命令用来关闭RADIUS Attribute 25的CAR参数解析功能。

【命令】

attribute 25 car

undo attribute 25 car

【缺省情况】

RADIUS Attribute 25的CAR参数解析功能处于关闭状态。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

RADIUS的25号属性为class属性，该属性由RADIUS服务器下发给设备。目前，某些RADIUS服务器利用class属性来对用户下发CAR参数，可以通过本特性来控制设备是否将RADIUS 25号属性解析为CAR参数，解析出的CAR参数可被用来进行基于用户的流量监管控制。

目前，设备可以成功解析的class属性格式为string1string2string3string4，每个string的长度为8个字符，且每个字符必须为0～9之间的数字。

开启了本功能的情况下，如果设备成功将某RADIUS服务器下发的class属性解析为CAR参数，则后续发送给该RADIUS服务器的计费报文中将会通过私有属性携带解析后的CAR参数，而不会携带原有的class属性。

【举例】

# 在RADIUS方案radius1中，开启RADIUS Attribute 25的CAR参数解析功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 25 car

【相关命令】

· display radius scheme

1.3.8 attribute 30 mac-format

attribute 30 mac-format命令用来配置RADIUS Attribute 30中的MAC地址格式。

undo attribute 30 mac-format命令用来恢复缺省情况。

【命令】

attribute 30 mac-format section { one | { six | three } separator separator-character } { lowercase | uppercase }

undo attribute 30 mac-format

【缺省情况】

RADIUS Attribute 30中的MAC地址为大写字母格式，且被分隔符“-”分成6段，即为HH-HH-HH-HH-HH-HH的格式。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

section：指定MAC地址分段数。

· one：表示MAC地址被分为1段，格式为HHHHHHHHHHHH。

· six：表示MAC地址被分为6段，格式为HH-HH-HH-HH-HH-HH。

· three：表示MAC地址被分为3段，格式为HHHH-HHHH-HHHH。

separator separator-character：MAC地址的分隔符，为单个字符，区分大小写。

lowercase：表示MAC地址为小写字母格式。

uppercase：表示MAC地址为大写字母格式。

【使用指导】

不同的RADIUS服务器对填充在RADIUS Attribute 30中的MAC地址有不同的格式要求，为了保证RADIUS报文的正常交互，设备发送给服务器的RADIUS Attribute 30号属性中MAC地址的格式必须与服务器的要求保持一致。

【举例】

# 在RADIUS方案radius1中，配置RADIUS Attribute 30的MAC地址格式为hhhhhhhhhhhh。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 30 mac-format section one lowercase

【相关命令】

· display radius scheme

1.3.9 attribute 31 mac-format

attribute 31 mac-format命令用来配置RADIUS Attribute 31中的MAC地址格式。

undo attribute 31 mac-format命令用来恢复缺省情况。

【命令】

attribute 31 mac-format section { one | six | three } separator separator-character { lowercase | uppercase }

undo attribute 31 mac-format

【缺省情况】

RADIUS Attribute 31中的MAC地址为大写字母格式，且被分隔符“-”分成6段，即为HH-HH-HH-HH-HH-HH的格式。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

section：指定MAC地址分段数。

one：表示MAC地址被分为1段，格式为HHHHHHHHHHHH。

six：表示MAC地址被分为6段，格式为HH-HH-HH-HH-HH-HH。

three：表示MAC地址被分为3段，格式为HHHH-HHHH-HHHH。

separator separator-character：MAC地址的分隔符，为单个字符，区分大小写。

lowercase：表示MAC地址为小写字母格式。

uppercase：表示MAC地址为大写字母格式。

【使用指导】

不同的RADIUS服务器对填充在RADIUS Attribute 31中的MAC地址有不同的格式要求，为了保证RADIUS报文的正常交互，设备发送给服务器的RADIUS Attribute 31号属性中MAC地址的格式必须与服务器的要求保持一致。

【举例】

# 在RADIUS方案radius1中，配置RADIUS Attribute 31的MAC地址格式为hh:hh:hh:hh:hh:hh。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 31 mac-format section six separator : lowercase

【相关命令】

· display radius scheme

1.3.10 attribute 87 format

attribute 87 format命令用来配置RADIUS Attribute 87的格式。

undo attribute 87 format命令用来恢复缺省情况。

【命令】

attribute 87 format interface-name

undo attribute 87 format

【缺省情况】

对于不同接入类型的用户，RADIUS Attribute 87的缺省格式有所不同：

· Portal用户：槽位号（2个字节）+00（固定字符，2个字节）+端口号（3个字节）+VLAN编号（9个字节）。

· IPoE、PPP：slot=xx;subslot=xx;port=xx;vlanid=xx;vlanid2=xx。其中，slot为槽位号，subslot为子槽位号，port为端口号，vlanid为外层VLAN编号，vlanid2为内层VLAN编号。

· 802.1X、MAC地址认证用户：slot=xx;subslot=xx;port=xx;vlanid=xx。其中，slot为槽位号，subslot为子槽位号，port为端口号，vlanid为VLAN编号。

· Login用户：不携带Attribute 87属性。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

interface-name：表示采用接口名称进行封装。

【使用指导】

RADIUS Attribute 87为NAS-Port-ID属性。不同的RADIUS服务器对NAS-Port-ID属性的解析格式要求不同，为了保证RADIUS报文的正常交互，设备发送给服务器的NAS-Port-ID属性的格式必须与服务器的要求保持一致。

配置RADIUS Attribute 87使用接口名称进行封装后，填充在RADIUS Attribute 87中的内容为用户上线的接口名称。例如，若用户从接口GigabitEthernet0/0/1上线，则填充在RADIUS Attribute 5的字段为接口名称“GigabitEthernet0/0/1”。

此配置不区分用户的接入类型，对所有用户的RADIUS报文均生效。

【举例】

# 在RADIUS方案radius1中，配置RADIUS Attribute 87的使用接口名称进行封装。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 87 format interface-name

【相关命令】

· display radius scheme

1.3.11 attribute 182 vendor-id 25506 vlan

attribute 182 vendor-id 25506 vlan命令用来开启厂商私有182号属性解析为授权VLAN功能。

undo attribute 182 vendor-id 25506 vlan命令用来关闭厂商私有182号属性解析为授权VLAN功能。

【命令】

attribute 182 vendor-id 25506 vlan

undo attribute 182 vendor-id 25506 vlan

【缺省情况】

厂商私有182号属性解析为授权VLAN功能处于关闭状态。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

RADIUS服务器可通过下发微分段来对接入用户进行精细化的访问控制。若接入设备上需要通过授权VLAN信息实现基于微分段的访问控制，那么就需要开启本功能；若接入设备上需要通过授权微分段ID实现基于微分段的访问控制，请保证本功能处于关闭状态。

开启本功能后，设备会将RADIUS服务器下发的Vendor ID为25506的厂商私有微分段ID属性（编号为182）解析为授权VLAN信息。当该属性值为整数时，将其解析为VLAN ID；其它取值时，将其解析为VLAN名称。

如果RADIUS服务器使用其它RADIUS属性来下发微分段，则需要首先通过RADIUS属性解释功能将其转换为Vendor ID为25506的厂商私有微分段ID属性（编号为182）。

【举例】

# 在RADIUS方案radius1中，开启厂商私有182号属性解析为授权VLAN的功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 182 vendor-id 25506 vlan

【相关命令】

· attribute translate

· display radius scheme

1.3.12 attribute convert (RADIUS DAE server view)

attribute convert命令用来配置RADIUS属性转换规则。

undo attribute convert命令用来删除RADIUS属性转换规则。

【命令】

attribute convert src-attr-name to dest-attr-name { { coa-ack | coa-request } * | { received | sent } * }

undo attribute convert [ src-attr-name ]

【缺省情况】

不存在RADIUS属性转换规则，系统按照标准RADIUS协议对RADIUS属性进行处理。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

src-attr-name：源属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

dest-attr-name：目的属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

coa-ack：COA应答报文。

coa-request：COA请求报文。

received：接收到的DAE报文。

sent：发送的DAE报文。

【使用指导】

RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理。

只有在RADIUS属性解释功能开启之后，RADIUS属性转换规则才能生效。

配置RADIUS属性转换规则时，需要遵循以下原则：

· 源属性内容和目的属性内容的数据类型必须相同。

· 源属性和目的属性的名称不能相同。

· 一个属性只能按照一种方式（按报文类型或报文处理方向）进行转换。

· 一个源属性不能同时转换为多个目的属性。

执行undo attribute convert命令时，如果不指定源属性名称，则表示删除所有RADIUS属性转换规则。

【举例】

# 在RADIUS DAE服务器视图下，配置一条RADIUS属性转换规则，指定将接收到的DAE报文中的Hw-Server-String属性转换为Connect-Info属性。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] attribute convert Hw-Server-String to Connect-Info received

【相关命令】

· attribute translate

1.3.13 attribute convert (RADIUS scheme view)

attribute convert命令用来配置RADIUS属性转换规则。

undo attribute convert命令用来删除RADIUS属性转换规则。

【命令】

attribute convert src-attr-name to dest-attr-name { { access-accept | access-request | accounting } * | { received | sent } * }

undo attribute convert [ src-attr-name ]

【缺省情况】

不存在RADIUS属性转换规则，系统按照标准RADIUS协议对RADIUS属性进行处理。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

src-attr-name：源属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

dest-attr-name：目的属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

access-accept：RADIUS认证成功报文。

access-request：RADIUS认证请求报文。

accounting：RADIUS计费报文。

received：接收到的RADIUS报文。

sent：发送的RADIUS报文。

【使用指导】

RADIUS属性转换规则中的源属性内容将被按照目的属性的含义来处理。

只有在RADIUS属性解释功能开启之后，RADIUS属性转换规则才能生效。

配置RADIUS属性转换规则时，需要遵循以下原则：

· 源属性内容和目的属性内容的数据类型必须相同。

· 源属性和目的属性的名称不能相同。

· 一个属性只能按照一种方式（按报文类型或报文处理方向）进行转换。

· 一个源属性不能同时转换为多个目的属性。

执行undo attribute convert命令时，如果不指定源属性名称，则表示删除所有RADIUS属性转换规则。

【举例】

# 在RADIUS方案radius1中，配置一条RADIUS属性转换规则，指定将接收到的RADIUS报文中的Hw-Server-String属性转换为Connect-Info属性。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute convert Hw-Server-String to Connect-Info received

【相关命令】

· attribute translate

1.3.14 attribute reject (RADIUS DAE server view)

attribute reject命令用来配置RADIUS属性禁用。

undo attribute reject命令用来取消配置的RADIUS属性禁用。

【命令】

attribute reject attr-name { { coa-ack | coa-request } * | { received | sent } * }

undo attribute reject [ attr-name ]

【缺省情况】

不存在RADIUS属性禁用规则。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

attr-name：RADIUS属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

coa-ack：COA应答报文。

coa-request：COA请求报文。

received：接收到的DAE报文。

sent：发送的DAE报文。

【使用指导】

当设备发送的RADIUS报文中携带了RADIUS服务器无法识别的属性时，可以定义基于发送方向的属性禁用规则，使得设备发送RADIUS报文时，将该属性从报文中删除。

当RADIUS服务器发送给设备的某些属性是设备不希望收到的属性时，可以定义基于接收方向的属性禁用规则，使得设备接收RADIUS报文时，不处理报文中的该属性。

当某些类型的属性是设备不希望处理的属性时，可以定义基于类型的属性禁用规则。

只有在RADIUS属性解释功能开启之后，RADIUS属性禁用规则才能生效。

一个属性只能按照一种方式（按报文类型或报文处理方向）进行禁用。

执行undo attribute reject命令时，如果不指定属性名称，则表示删除所有RADIUS属性禁用规则。

【举例】

# 在RADIUS DAE服务器视图下，配置一条RADIUS属性禁用规则，指定禁用发送的DAE报文中的Connect-Info属性。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] attribute reject Connect-Info sent

【相关命令】

· attribute translate

1.3.15 attribute reject (RADIUS scheme view)

attribute reject命令用来配置RADIUS属性禁用规则。

undo attribute reject命令用来删除RADIUS属性禁用规则。

【命令】

attribute reject attr-name { { access-accept | access-request | accounting } * | { received | sent } * }

undo attribute reject [ attr-name ]

【缺省情况】

不存在RADIUS属性禁用规则。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

attr-name：RADIUS属性名称，为1～63个字符的字符串，不区分大小写。该属性必须为系统支持的属性。

access-accept：RADIUS认证成功报文。

access-request：RADIUS认证请求报文。

accounting：RADIUS计费报文。

received：接收到的RADIUS报文。

sent：发送的RADIUS报文。

【使用指导】

当RADIUS服务器发送给设备的某些属性是不希望收到的属性时，可以定义基于接收方向的属性禁用规则，使得设备接收RADIUS报文时，不处理报文中的该属性。

当某些类型的属性是设备不希望处理的属性时，可以定义基于类型的属性禁用规则。

只有在RADIUS属性解释功能开启之后，RADIUS属性禁用规则才能生效。

一个属性只能按照一种方式（按报文类型或报文处理方向）进行禁用。

执行undo attribute reject命令时，如果不指定属性名称，则表示删除所有RADIUS属性禁用规则。

【举例】

# 在RADIUS方案radius1中，配置一条RADIUS属性禁用规则，指定禁用发送的RADIUS报文中的Connect-Info属性。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute reject Connect-Info sent

【相关命令】

· attribute translate

1.3.16 attribute remanent-volume

attribute remanent-volume命令用来配置RADIUS Remanent-Volume属性的流量单位。

undo attribute remanent-volume命令用来恢复缺省情况。

【命令】

attribute remanent-volume unit { byte | giga-byte | kilo-byte | mega-byte }

undo attribute remanent-volume unit

【缺省情况】

Remanent-Volume属性的流量单位是千字节。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

byte：表示流量单位为字节。

giga-byte：表示流量单位为千兆字节。

kilo-byte：表示流量单位为千字节。

mega-byte：表示流量单位为兆字节。

【使用指导】

Remanent-Volume属性为H3C自定义RADIUS属性，携带在RADIUS服务器发送给接入设备的认证响应或实时计费响应报文中，用于向接入设备通知在线用户的剩余流量值。设备管理员通过本命令设置的流量单位应与RADIUS服务器上统计用户流量的单位保持一致，否则设备无法正确使用Remanent-Volume属性值对用户进行计费。

【举例】

# 在RADIUS方案radius1中，设置RADIUS服务器下发的Remanent-Volume属性的流量单位为千字节。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute remanent-volume unit kilo-byte

【相关命令】

· display radius scheme

1.3.17 attribute translate

attribute translate命令用来开启RADIUS属性解释功能。

undo attribute translate命令用来关闭RADIUS属性解释功能。

【命令】

attribute translate

undo attribute translate

【缺省情况】

RADIUS属性解释功能处于关闭状态。

【视图】

RADIUS方案视图/RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【使用指导】

不同厂商的RADIUS服务器所支持的RADIUS属性集有所不同，而且相同属性的用途也可能不同。为了兼容不同厂商的服务器的RADIUS属性，需要开启RADIUS属性解释功能，并定义相应的RADIUS属性转换规则和RADIUS属性禁用规则。

【举例】

# 在RADIUS方案radius1中，开启RADIUS属性解释功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute translate

【相关命令】

· attribute convert

· attribute reject

1.3.18 attribute vendor-id 2011 version

attribute vendor-id 2011 version命令用来设置Vendor ID为2011的RADIUS服务器版本号。

undo attribute vendor-id 2011 version命令用来恢复缺省情况。

【命令】

attribute vendor-id 2011 version { 1.0 | 1.1 }

undo attribute vendor-id 2011 version

【缺省情况】

设备采用版本1.0与Vendor ID为2011的RADIUS服务器交互。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

1.0：版本1.0。

1.1：版本1.1。

【使用指导】

当设备与Vendor ID为2011的RADIUS服务器交互时，需要保证本命令设置的服务器版本号与对端服务器的实际版本号一致，否则会导致部分RADIUS属性解析错误。该厂商相关RADIUS属性在设备上的解析情况如下：

· 当RADIUS服务器下发属性HW_ARRT_26_1时，如果设备采用1.0版本，则将该属性解析为用户的上行峰值速率；如果设备采用1.1版本，则将其解析为上行突发尺寸。

· 当RADIUS服务器下发属性HW_ARRT_26_2时，无论设备采用1.0版本或1.1版本，均将该属性解析为用户的上行平均速率。

· 当RADIUS服务器下发属性HW_ARRT_26_3时，如果设备采用1.0版本，则不处理该属性；如果设备采用1.1版本，则将其解析为上行峰值速率。

· 当RADIUS服务器下发属性HW_ARRT_26_4时，如果设备采用1.0版本，则将该属性解析为用户的下行峰值速率；如果设备采用1.1版本，则将其解析为下行突发尺寸。

· 当RADIUS服务器下发属性HW_ARRT_26_5时，无论设备采用1.0版本或1.1版本，均将该属性解析为用户的下行平均速率。

· 当RADIUS服务器下发属性HW_ARRT_26_6时，如果设备采用1.0版本，则不处理该属性；如果设备采用1.1版本，则将其解析为下行峰值速率。

【举例】

# 在RADIUS方案radius1中，设置Vendor ID为2011的RADIUS服务器版本号为1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute vendor-id 2011 version 1.1

【相关命令】

· client

1.3.19 auth-attribute message-authenticator force-mode

auth-attribute message-authenticator force-mode命令用来配置RADIUS认证报文携带80号属性Message-Authenticator的强制模式。

undo authen-attribute message-authenticator force-mode命令用来恢复缺省情况。

【命令】

auth-attribute message-authenticator force-mode { request | request-reply }

undo auth-attribute message-authenticator force-mode

【缺省情况】

RADIUS认证报文中的请求报文和响应报文均不强制携带80号属性Message-Authenticator。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

request：表示仅强制RADIUS客户端发送认证请求报文时，携带80号属性Message-Authenticator，不强制RADIUS服务器的认证应答报文携带80号属性。如果服务器的应答报文携带80号属性，则对该属性进行验证，验证不通过则认证失败。

request-reply：表示强制RADIUS客户端发送认证请求报文时，携带80号属性Message-Authenticator，同时强制RADIUS服务器的认证应答报文携带80号属性，且RADIUS客户端将对80号属性进行验证，验证不通过则认证失败。

【使用指导】

对于RADIUS的非EAP认证，RADIUS客户端发送的认证请求报文是不会携带80号属性Message-Authenticator的，此时的RADIUS认证可能是不安全的。如果需要保证安全，则可以根据实际需求，通过本命令配置不同的强制模式。

未配置本功能时，RADIUS客户端发送的认证请求报文中不强制携带80号属性Message-Authenticator。同时，若RADIUS客户端收到的RADIUS认证应答报文携带了80号属性则对该属性进行验证，若未携带80号属性，则不对该属性进行验证。

【举例】

# 配置RADIUS认证报文携带80号属性Message-Authenticator的强制模式为request。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] auth-attribute message-authenticator force-mode request

1.3.20 client

client命令用来指定RADIUS DAE客户端。

undo client命令用来删除指定的RADIUS DAE客户端。

【命令】

client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vendor-id 2011 version { 1.0 | 1.1 } | vpn-instance vpn-instance-name | message-authenticator force-mode { reply | request | request-reply } ] *

undo client { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定RADIUS DAE客户端。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address：RADIUS DAE客户端IPv4地址。

ipv6 ipv6-address：RADIUS DAE客户端IPv6地址。

key：与RADIUS DAE客户端交互DAE报文时使用的共享密钥。此共享密钥的设置必须与RADIUS DAE客户端的共享密钥设置保持一致。如果此处未指定本参数，则对应的RADIUS DAE客户端上也必须未指定。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vendor-id 2011：表示RADIUS DAE客户端的Vendor-ID为2011。

version：版本号。

1.0：版本1.0。

1.1：版本1.1。

vpn-instance vpn-instance-name：RADIUS DAE客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示RADIUS DAE客户端位于公网中。

message-authenticator：RADIUS DAE客户端和DAE服务器之间交互DAE报文时，设备（RADIUS DAE服务器）对80号属性的校验处理。

force-mode：表示设备（RADIUS DAE服务器）对80号属性的校验处理的强制模式。

request：表示DAE请求报文强制携带80号属性。

reply：表示DAE应答报文强制携带80号属性。

request-reply：表示DAE请求和应答报文都强制携带80号属性。

【使用指导】

开启RADIUS DAE服务之后，设备会监听并处理指定的RADIUS DAE客户端发起的DAE请求消息（用于动态授权修改或断开连接），并向其发送应答消息。对于非指定的RADIUS DAE客户端的DAE报文进行丢弃处理。

可通过多次执行本命令指定多个RADIUS DAE客户端。

缺省情况下，设备支持与版本1.0的Vendor-ID为2011的RADIUS服务器通信，若对端为1.1版本，则需要通过指定vendor-id 2011 version 1.1参数来保证版本的一致性，否则无法正确解析部分DAE请求。

【举例】

# 设置RADIUS DAE客户端的IP地址为10.110.1.2，与RADIUS DAE客户端交互DAE报文时使用的共享密钥为明文123456。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] client ip 10.110.1.2 key simple 123456

【相关命令】

· attribute vendor-id 2011 version

· radius dynamic-author server

· port

1.3.21 dae-loose-check enable

dae-loose-check enable命令用来开启DAE报文的宽松检查功能。

undo dae-loose-check enable命令用来关闭DAE报文的宽松检查功能。

【命令】

dae-loose-check enable

undo dae-loose-check enable

【缺省情况】

DAE报文的宽松检查功能处于关闭状态。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【使用指导】

设备作为DAE服务器接收到DAE请求报文后，可根据报文中携带的用户标识信息（如用户名、用户IP地址、Acct-Session-Id等）、设备标识信息（如NAS-IP，NAS-ID等）在本地查找对应的用户，并对用户进行强制下线或者更改授权信息。如果设备没有查找到对应的用户，则不处理该DAE请求。

缺省情况下，设备对DAE请求报文中的所有用户标识信息以及设备信息都进行校验，只有在设备上查找到了严格匹配所有信息的用户才会处理该DAE请求。

如果设备上开启了宽松检查功能，则设备只会校验DAE报文中的部分用户标识信息（用户IP地址、Acct-Session-Id以及纯用户名部分），不再校验设备标识信息。

有些DAE客户端上记录的用户以及设备信息可能与设备上用户的实际信息不完全一致，为了避免DAE客户端发送的DAE请求因无法进行完全匹配式校验而被丢弃，建议在这种情况下开启DAE请求报文的宽松检查功能。

【举例】

# 开启DAE报文的宽松检查功能。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] dae-loose-check enable

【相关命令】

· radius dynamic-author server

1.3.22 data-flow-format (RADIUS scheme view)

data-flow-format命令用来配置发送到RADIUS服务器的数据流及数据包的单位。

undo data-flow-format命令用来恢复缺省情况。

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【缺省情况】

数据流的单位为字节，数据包的单位为包。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

data：设置数据流的单位。

· byte：数据流的单位为字节。

· giga-byte：数据流的单位千兆字节。

· kilo-byte：数据流的单位为千字节。

· mega-byte：数据流的单位为兆字节。

packet：设置数据包的单位。

· giga-packet：数据包的单位为千兆包。

· kilo-packet：数据包的单位为千包。

· mega-packet：数据包的单位为兆包。

· one-packet：数据包的单位为包。

【使用指导】

设备上配置的发送给RADIUS服务器的数据流单位及数据包单位应与RADIUS服务器上的流量统计单位保持一致，否则无法正确计费。

【举例】

# 在RADIUS方案radius1中，设置发往RADIUS服务器的数据流单位为千字节、数据包单位为千包。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet

【相关命令】

· display radius scheme

1.3.23 display radius scheme

display radius scheme命令用来显示RADIUS方案的配置信息。

【命令】

display radius scheme [ radius-scheme-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

radius-scheme-name：RADIUS方案名，为1～32个字符的字符串，不区分大小写。如果不指定该参数，则表示所有RADIUS方案。

【举例】

# 显示所有RADIUS方案的配置信息。

<Sysname> display radius scheme

Total 1 RADIUS schemes

------------------------------------------------------------------

RADIUS scheme name: radius1

Index : 0

Primary authentication server:

Host name: Not configured

IP : 2.2.2.2 Port: 1812

VPN : vpn1

State: Active (duration: 0 weeks, 0 days, 0 hours, 0 minutes, 42 seconds)

Most recent state changes:

2021/08/15 20:38:45 Changed to active state

2021/08/15 20:33:45 Changed to blocked state

2021/08/15 20:31:19 Changed to active state

2021/08/15 20:26:19 Changed to blocked state

2021/08/15 20:26:00 Changed to active state

Test profile: 132

Probe username: test

Probe interval: 60 minutes

Probe count : 5

Probe eap-profile: eap1

Weight: 40

Primary accounting server:

Host name: Not configured

IP : 1.1.1.1 Port: 1813

VPN : Not configured

State: Active (duration: 0 weeks, 0 days, 0 hours, 0 minutes, 42 seconds)

Most recent state changes:

2023/08/15 20:38:45 Changed to active state

2023/08/15 20:33:45 Changed to blocked state

2023/08/15 20:31:19 Changed to active state

2023/08/15 20:26:19 Changed to blocked state

2021/08/15 20:26:00 Changed to active state

Weight: 40

Second authentication server:

Host name: Not configured

IP : 3.3.3.3 Port: 1812

VPN : Not configured

State: Blocked

Most recent state changes:

2023/08/15 20:33:45 Changed to blocked state

2023/08/15 20:31:19 Changed to active state

2023/08/15 20:26:19 Changed to blocked state

2023/08/15 20:26:00 Changed to active state

Test profile: Not configured

Weight: 40

Second accounting server:

Host name: Not configured

IP : 3.3.3.3 Port: 1813

VPN : Not configured

State: Blocked (mandatory)

Most recent state changes:

2023/08/15 20:33:45 Changed to blocked state

2023/08/15 20:31:19 Changed to active state

2023/08/15 20:26:19 Changed to blocked state

2023/08/15 20:26:00 Changed to active state

Weight: 0

Private authentication server:

IP : 3.3.3.3 Port: 1812

VPN : Not configured

State: Active (duration: 0 weeks, 0 days, 0 hours, 0 minutes, 42 seconds)

Most recent state changes:

2023/08/15 20:36:00 Changed to active state

2023/08/15 20:33:45 Changed to blocked state

2023/08/15 20:31:19 Changed to active state

2023/08/15 20:26:19 Changed to blocked state

2023/08/15 20:26:00 Changed to active state

Private accounting server:

IP : 3.3.3.3 Port: 1813

VPN : Not configured

State: Blocked (mandatory)

Most recent state changes:

2023/08/15 20:36:00 Changed to active state

2023/08/15 20:33:45 Changed to blocked state

2023/08/15 20:31:19 Changed to active state

2023/08/15 20:26:19 Changed to blocked state

2023/08/15 20:26:00 Changed to active state

Auth-attr message-authenticator force-mode : Not configured

Acct-attr message-authenticator force-mode : Not configured

Accounting-On function : Enabled

extended function : Disabled

retransmission times : 5

retransmission interval(seconds) : 2

Timeout Interval(seconds) : 3

Retransmission Times : 3

Retransmission Times for Accounting Update : 5

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(seconds) : 22

Stop-accounting packets buffering : Enabled

Retransmission times : 500

NAS IP Address : 1.1.1.1

Local NAS IP Address : Not configured

Peer NAS IP Address : Not configured

Source IP Address : 1.1.1.1

VPN : Not configured

Username format : with-domain

Data flow unit : Megabyte

Packet unit : One

Attribute 5 format : Port

Attribute 15 check-mode : Strict

Attribute 17 carry old password : Disabled

Attribute 25 : CAR

Attribute 30 MAC format : hh:hh:hh:hh:hh:hh

Attribute 31 MAC format : hh:hh:hh:hh:hh:hh

Attribute 87 format : Interface name

Remanent-Volume threshold : 0

Attribute Remanent-Volume unit : Mega

RADIUS server version (vendor ID 2011) : 1.0

Server-load-sharing : Enabled

Server-load-sharing mode : Session-based

Stop-accounting-packet send-force : Disabled

Authentication response pending limit : Not configured

Accounting response pending limit : Not configured

Username authorization : Applied

All-server-block action : Attempt the top-priority server

Attribute 182 vendor-ID 25506 VLAN : Disabled

Attribute 218 of vendor ID 25506 : DHCP-Option 12, DHCP-Option 55,

DHCP-Option 60, DHCP-Option 61

Format 1 (1-byte Type field)

Reauthentication server selection : Reselect

------------------------------------------------------------------

表1-15 display radius scheme命令显示信息描述表

字段	描述
Total 1 RADIUS schemes.	共计1个RADIUS方案
RADIUS scheme name	RADIUS方案的名称
Index	RADIUS方案的索引号
Primary authentication server	主RADIUS认证服务器
Primary accounting server	主RADIUS计费服务器
Second authentication server	从RADIUS认证服务器
Second accounting server	从RADIUS计费服务器
Private authentication server	私有RADIUS认证服务器
Private accounting server	私有RADIUS计费服务器
Host name	RADIUS认证/计费服务器主机名未配置时，显示为Not configured
IP	RADIUS认证/计费服务器IP地址未配置时，显示为Not configured
Port	RADIUS认证/计费服务器接入端口号未配置时，显示缺省值
State	RADIUS认证/计费服务器目前状态 · Active：激活状态 · Blocked：自动转换的静默状态 · Blocked (mandatory)：手工配置的静默状态若状态为Active，则同时显示该状态的持续时间
duration	RADIUS服务器当前Active状态的持续时间
Most recent blocked period	RADIUS服务器最后一次转换为Block状态的开始时间及结束时间。若最终状态为Block状态，则结束时间用“now”表示
Most recent state changes	RADIUS服务器最近5次的状态变化信息
VPN	RADIUS认证/计费服务器或RADIUS方案所在的VPN 未配置时，显示为Not configured
Test profile	探测服务器状态使用的模板名称
Probe username	探测服务器状态使用的用户名
Probe interval	探测服务器状态的周期（单位为分钟）
Probe count	每一轮可达性判断所需的连续探测次数
Probe eap-profile	探测服务器使用的EAP认证方案未配置时，则不显示该字段
Weight	RADIUS服务器权重值
Auth-attr message-authenticator force-mode	RADIUS发送认证和接收认证回应的报文是否强制携带80号属性Message-Authenticator,取值包括： · Request：表示RADIUS发送的认证请求报文强制携带80号属性 · Request-reply：表示RADIUS发送的认证请求报文和收到服务器的认证应答报文均强制携带80号属性 · Not configured ：表示RADIUS发送的认证请求报文和收到服务器的应答报文不强制携带80号属性
Acct-attr message-authenticator force-mode	RADIUS发送计费和接收的计费应答报文是否强制携带80号属性Message-Authenticator,取值包括： · Request：表示RADIUS发送的计费请求报文强制携带80号属性 · Request-reply：表示RADIUS发送的计费请求报文和收到服务器的计费应答报文均强制携带80号属性 · Not configured：表示RADIUS发送的计费请求报文和收到服务器的计费应答报文不强制携带80号属性
Accounting-On function	accounting-on功能的开启情况
extended function	accounting-on扩展功能的开启情况
retransmission times	accounting-on报文的发送尝试次数
retransmission interval(seconds)	accounting-on报文的重发间隔（单位为秒）
Timeout Interval(seconds)	RADIUS服务器超时时间（单位为秒）
Retransmission Times	发送RADIUS报文的最大尝试次数
Retransmission Times for Accounting Update	实时计费更新报文的最大尝试次数
Server Quiet Period(minutes)	RADIUS服务器恢复激活状态的时间（单位为分钟）
Realtime Accounting Interval(seconds)	实时计费更新报文的发送间隔（单位为秒）
Stop-accounting packets buffering	RADIUS停止计费请求报文缓存功能的开启情况
Retransmission times	发起RADIUS停止计费请求的最大尝试次数
NAS IP Address	发送RADIUS报文携带的NAS-IP地址未配置时，显示为Not configured
Local NAS IP Address	为从本端M-LAG接口接入的用户指定的发送RADIUS报文携带的NAS-IP地址如果使用指定接口的IP地址作为NAS-IP地址，则显示为Provided by local interface xxx 未配置时，显示为Not configured
Peer NAS IP Address	为从对端M-LAG接口接入且备份到本端的用户指定的发送RADIUS报文携带的NAS-IP地址如果使用指定接口的IP地址作为NAS-IP地址，则显示为Provided by peer interface xxx 未配置时，显示为Not configured
Source IP address	发送RADIUS报文使用的源IP地址未配置时，显示为Not configured
Username format	发送给RADIUS服务器的用户名格式 · with-domain：携带域名 · without-domain：不携带域名 · keep-original：与用户输入保持一致
Data flow unit	数据流的单位
Packet unit	数据包的单位
Attribute 5 format	RADIUS Attribute 5的格式，包括以下两种取值： · Port：表示使用端口号封装 · Default：表示使用缺省格式封装
Attribute 15 check-mode	对RADIUS Attribute 15的检查方式，包括以下两种取值： · Strict：表示使用RADIUS标准属性值和私有扩展的属性值进行检查 · Loose：表示使用RADIUS标准属性值进行检查
Attribute 17 carry old password	‌对RADIUS Attribute 17 的处理，包括以下两种取值： · Enabled：表示开启了在线用户修改密码功能，使用RADIUS 17号属性携带旧密码 · Disabled：表示不支持在线修改用户密码功能
Attribute 25	对RADIUS Attribute 25的处理，包括以下两种取值： · Standard：表示不对RADIUS Attribute 25进行解析 · CAR：表示将RADIUS 25号属性解析为CAR参数
Attribute 30 format	RADIUS Attribute 30的格式
Attribute 30 MAC format	RADIUS Attribute 30中携带的MAC地址格式
Attribute 31 MAC format	RADIUS Attribute 31中携带的MAC地址格式
Attribute 87 format	RADIUS Attribute 87的格式，包括以下两种取值： · Interface name：表示使用接口名称封装 · Default：表示使用缺省格式封装
Remanent-Volume threshold	用户剩余流量阈值（单位为Attribute Remanent-Volume unit的取值）
Attribute Remanent-Volume unit	RADIUS Remanent-Volume属性的流量单位
RADIUS server version (vendor ID 2011)	‌Vendor ID为2011的RADIUS服务器版本号
server-load-sharing	RADIUS服务器负载分担功能的开启情况 · Disabled：关闭状态，服务器工作于主/从模式 · Enabled：开启状态，服务器工作于负载分担模式
Server-load-sharing mode	RADIUS认证服务器负载分担模式 · Session-based：基于会话的负载分担模式 · Packet-based：基于报文的负载分担模式
Stop-accounting-packet send-force	用户下线时设备强制发送RADIUS计费停止报文功能的开启情况
Authentication response pending limit	未收到认证服务器响应的请求报文的最大数目未配置时，显示为Not configured
Accounting response pending limit	未收到计费服务器响应的请求报文的最大数目未配置时，显示为Not configured
Username authorization	设备对RADIUS服务器下发的用户名的处理机制 · Applied：表示接受RADIUS服务器下发的用户名 · Not applied：表示不接受RADIUS服务器下发的用户名
All-server-block action	当前方案中的RADIUS服务器都处于block状态后 · Attempt the top-priority server：尝试与当前方案中高优先级的服务器建立一次连接 · Skip all servers in the scheme：跳过当前方案中的所有服务器
Attribute 182 vendor-ID 25506 VLAN	Vendor ID为25506的厂商私有182号属性解释为授权VLAN功能的开启情况
Attribute 218 vendor ID 25506	RADIUS报文中通过私有218号属性（Vendor ID为25506）携带的DHCP Option信息以及所采用的封装格式，其中： · DHCP-Option 12：表示DHCP Option 12信息 · DHCP-Option 55：表示DHCP Option 55信息 · DHCP-Option 60：表示DHCP Option 60信息 · DHCP-Option 61：表示DHCP Option 61信息 · Format 1 (1-byte Type field)：封装该属性时，属性的Type字段长度为1字节。该方式封装的属性适用于与大多数的RADIUS服务器互通 · Format 2 (2-byte Type field)：封装该属性时，属性的Type字段长度为2字节。该方式封装的属性适用于与特殊RADIUS服务器互通，例如HUAWEI的RADIUS服务器如果RADIUS报文中不携带DHCP Option私有属性，则不显示该信息
Reauthentication server selection	重认证时RADIUS服务器的选择模式： · Inherit：继承模式，即重认证时直接选择认证时的认证服务器 · Reselect：重新选择模式，即重认证时重新选择认证服务器

1.3.24 display radius server-load statistics

display radius server-load statistics命令用来显示RADIUS服务器的负载统计信息。

【命令】

display radius server-load statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

本命令用来显示上一个5秒统计周期内设备发往RADIUS认证/计费服务器的认证/计费请求统计信息和自从设备启动后记录的历史认证/计费请求统计信息，具体统计过程如下：

· 系统从第一个用户认证请求开始，每隔5秒钟统计一次RADIUS认证/计费请求数目，并在下一个5秒内提供该统计值供查看。

· 只要设备发起一次用户认证请求或用户计费开始请求，对应服务器的历史负载统计数值随之加1，但后续不会因为用户下线、服务器响应或超时而减小该值。

前5秒的统计信息提供了RADIUS认证/计费服务器最近5秒的负载分担效果，管理员可以根据此统计信息调控RADIUS服务器的配置参数，比如配置顺序、权重参数等。当没有用户触发认证/计费时，前5秒的统计数据就不能给管理员提供有效的负载分担信息了，此时管理员可以参考历史负载统计信息对RADIUS认证/计费服务器的配置做调整。

需要注意的是：

· 所有RADIUS方案中，指定了IP地址的服务器，以及指定的主机名被成功解析为IP地址的服务器，都可以通过本命令查看到它的负载统计数据。

· 若RADIUS认证/计费服务器的配置被删除，或主认证/计费服务器的VPN、IP和端口参数发生变化，则该服务器的前5秒的统计数据及历史负载统计数据将会被删除。

· 主备倒换后，历史统计数据不会被删除，但会不准确。

【举例】

# 显示RADIUS服务器的负载统计信息。

<Sysname> display radius server-load statistics

Authentication servers: 2

IP VPN Port Last 5 sec History

1.1.1.1 N/A 1812 20 100

2.2.2.2 ABC 1812 0 20

Accounting servers: 2

IP VPN Port Last 5 sec History

1.1.1.1 N/A 1813 20 100

2.2.2.2 ABC 1813 0 20

表1-16 display radius server-load statistics命令显示信息描述表

字段	描述
Authentication servers	RADIUS认证服务器总个数
Accounting servers	RADIUS计费服务器总个数
IP	RADIUS认证/计费服务器的IP地址
VPN	‌RADIUS认证/计费服务器所在的VPN 若未配置该参数，则显示N/A
Port	RADIUS认证/计费服务器的UDP端口号
Last 5 sec	上一个5秒统计周期内发往RADIUS认证/计费服务器的请求数
History	RADIUS认证/计费服务器的历史负载统计值

【相关命令】

· reset radius server-load statistics

1.3.25 display radius statistics

display radius statistics命令用来显示RADIUS报文的统计信息。

【命令】

display radius statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示RADIUS报文的统计信息。

<Sysname> display radius statistics

Auth. Acct. SessCtrl.

Request Packet: 0 0 0

Retry Packet: 0 0 -

Timeout Packet: 0 0 -

Access Challenge: 0 - -

Account Start: - 0 -

Account Update: - 0 -

Account Stop: - 0 -

Terminate Request: - - 0

Set Policy: - - 0

Packet With Response: 0 0 0

Packet Without Response: 0 0 -

Access Rejects: 0 - -

Dropped Packet: 0 0 0

Check Failures: 0 0 0

Cache Search Requests : 3

表1-17 display radius statistics命令显示信息描述表

字段	描述
Auth.	认证报文
Acct.	计费报文
SessCtrl.	Session-control报文
Request Packet	发送的请求报文总数
Retry Packet	重传的请求报文总数
Timeout Packet	超时的请求报文总数
Access Challenge	Access challenge报文数
Account Start	计费开始报文的数目
Account Update	计费更新报文的数目
Account Stop	计费结束报文的数目
Terminate Request	服务器强制下线报文的数目
Set Policy	更新用户授权信息报文的数目
Packet With Response	有回应信息的报文数
Packet Without Response	无回应信息的报文数
Access Rejects	认证拒绝报文的数目
Dropped Packet	丢弃的报文数
Check Failures	报文校验错误的报文数目
Cache Search Requests	授权信息缓存的查询请求总次数

【相关命令】

· reset radius statistics

1.3.26 display stop-accounting-buffer (for RADIUS)

display stop-accounting-buffer命令用来显示缓存的RADIUS停止计费请求报文的相关信息。

【命令】

display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

radius-scheme radius-scheme-name：表示指定RADIUS方案的停止计费请求报文。其中，radius-scheme-name为RADIUS方案名，为1～32个字符的字符串，不区分大小写。

session-id session-id：表示指定会话的停止计费请求报文。其中，session-id表示会话ID，为1～64个字符的字符串，不包含字母。会话ID用于唯一标识当前的在线用户。

time-range start-time end-time：表示指定时间段内发送且被缓存的停止计费请求报文。其中，start-time为请求时间段的起始时间，end-time为请求时间段的结束时间，格式为hh:mm:ss-mm/dd/yyyy（时:分:秒-月/日/年）或hh:mm:ss-yyyy/mm/dd（时:分:秒-年/月/日）。

user-name user-name：表示指定用户的停止计费请求报文。其中，user-name表示用户名，为1～255个字符的字符串，区分大小写。输入的用户名是否携带ISP域名，必须与RADIUS方案中的user-name-format配置保持一致。

【举例】

# 显示缓存的用户名为abc的RADIUS停止计费请求报文的相关信息。

<Sysname> display stop-accounting-buffer user-name abc

Total entries: 2

Scheme Session ID Username First sending time Attempts

rad1 1000326232325010 abc 23:27:16-08/02/2020 19

aaa 1000326232326010 abc 23:33:01-08/02/2020 20

表1-18 display stop-accounting-buffer命令显示信息描述表

字段	描述
Total entries: 2	共有两条记录匹配
Scheme	RADIUS方案名
Session ID	会话ID（Acct-Session-Id属性值）
Username	用户名
First sending time	首次发送停止计费请求的时间
Attempts	发起停止计费请求的次数

【相关命令】

· reset stop-accounting-buffer (for RADIUS)

· retry

· retry stop-accounting (for RADIUS)

· stop-accounting-buffer enable (RADIUS scheme view)

· user-name-format (RADIUS scheme view)

1.3.27 exclude

exclude命令用来配置RADIUS报文中不能携带的属性。

undo exclude命令用来取消在RADIUS报文中不能携带的属性配置。

【命令】

exclude { accounting | authentication } name attribute-name

undo exclude { accounting | authentication } name attribute-name

【缺省情况】

未配置RADIUS报文中不能携带的属性。

【视图】

RADIUS属性测试组视图

【缺省用户角色】

network-admin

【参数】

accounting：表示RADIUS计费请求报文。

authentication：表示RADIUS认证请求报文。

name attribute-name：RADIUS属性名称，为1～63个字符的字符串，不区分大小写。这些属性为RADIUS报文中缺省携带的属性，具体包括：Service-Type、Framed-Protocol、NAS-Identifier、Acct-Delay-Time、Acct-Session-Id、Acct-Terminate-Cause和NAS-Port-Type，其中Service-Type、Framed-Protocol、NAS-Identifier，Acct-Session-Id和NAS-Port-Type为认证请求报文缺省携带的属性，NAS-Identifier、Acct-Delay-Time、Acct-Session-Id和Acct-Terminate-Cause为计费请求报文缺省携带的属性。

【使用指导】

通过本命令配置的RADIUS属性将不会在属性测试过程中被携带在相应的RADIUS请求报文中发送给RADIUS服务器。在实际测试过程中，可通过本命令排除掉RADIUS报文中携带的一些基础属性，来辅助排查认证/计费故障。

如果一个属性已经被配置为需要携带在RADIUS报文中（通过include命令），则需要先执行undo include命令取消该配置，才能将其配置为不携带在RADIUS报文中。

【举例】

# 在RADIUS属性测试组t1中，配置在RADIUS认证请求报文中不携带属性名称为Service-Type的标准属性。

<Sysname> system-view

[Sysname] radius attribute-test-group t1

[Sysname-radius-attr-test-grp-t1] exclude authentication name Service-Type

【相关命令】

· include

· test-aaa

1.3.28 include

include命令用来配置RADIUS报文中携带的属性。

undo include命令用来取消指定的属性配置。

【命令】

include { accounting | authentication } { name attribute-name | [ vendor vendor-id ] code attribute-code } type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string } value attribute-value

undo include { accounting | authentication} { name attribute-name | [ vendor vendor-id ] code attribute-code }

【缺省情况】

未配置RADIUS报文中携带的属性。

【视图】

RADIUS属性测试组视图

【缺省用户角色】

network-admin

【参数】

accounting：表示RADIUS计费请求报文。

authentication：表示RADIUS认证请求报文。

name attribute-name：标准RADIUS属性名称，为1～63个字符的字符串，不区分大小写。

vendor vendor-id：RADIUS属性所属的设备厂商标识。vendor-id为厂商标识号码，取值范围为1～65535。如果不指定该参数，则表示RADIUS属性为标准属性。

code attribute-code：RADIUS属性编号，取值范围为1～255。

type：属性内容的数据类型，包括以下取值：

· binary：二进制类型。

· date：时间类型。

· integer：整数类型。

· interface-id：接口ID类型。

· ip：IPv4地址类型。

· ipv6：IPv6地址类型。

· ipv6-prefix：IPv6地址前缀类型。

· octets：八进制类型。

· string：字符串类型。

value attribute-value：RADIUS属性值，取值与数据类型有关，具体如下：

· 二进制属性值：1～256个十六进制字符，表示最多128个字节的二进制数。

· 时间类型属性值：0～4294967295。

· 整数类型属性值：0～4294967295。

· 接口ID类型属性值：1～ffffffffffffffff。

· IPv6地址前缀类型属性值：prefix/prefix-length样式。

· 八进制属性值：1～256个十六进制字符，表示最多128个字节的八进制数。

· 字符串类型属性值：1～253个字符。

【使用指导】

可以通过本命令配置RADIUS报文中携带的属性以及对应的属性值，具体情况如下：

· 对于RADIUS报文中默认携带的属性，可通过include命令来修改属性取值，并可通过undo include命令将该属性值恢复为缺省值。RADIUS报文中默认携带的能够修改的属性包括：

¡ 认证请求报文默认携带的属性：User-Name、CHAP-Password（User-Password）、CHAP-Challenge、NAS-IP-Address（NAS-IPv6-Address）、Service-Type、Framed-Protocol、NAS-Identifier、NAS-Port-Type、Acct-Session-Id。

¡ 计费请求报文默认携带的属性：User-Name、Acct-Status-Type、NAS-IP-Address（NAS-IPv6-Address）、NAS-Identifier、Acct-Session-Id、Acct-Delay-Time、Acct-Terminate-Cause。

· 对于并非RADIUS报文中默认携带的属性，可通过include命令将其添加在RADIUS报文中，并可通过undo include命令将该属性从RADIUS报文中删除。

为了保证测试效果的准确性，请务必保证各属性参数的匹配性，比如属性值要匹配属性类型。

保存在配置文件中的标准属性的属性名称将被转换为属性编号的形式。

如果一个属性已经被配置为不能携带在RADIUS报文中（通过exclude命令），则需要先执行undo exclude命令取消该配置，才能将其配置为携带在RADIUS报文中。

设备按照配置的先后顺序在RADIUS报文中添加RADIUS属性，由于RADIUS报文最大长度为4096个字节，如果配置了过多的RADIUS属性，则在报文长度超过最大值后，部分属性将不会被添加在报文中。因此，请合理规划要添加的RADIUS报文属性数目。

【举例】

# 在RADIUS属性测试组t1中，配置在RADIUS认证请求报文中携带一个标准属性：名称为Calling-Station-Id，属性值为08-00-27-00-34-D8。

<Sysname> system-view

[Sysname] radius attribute-test-group t1

[Sysname-radius-attr-test-grp-t1] include authentication name Calling-Station-Id type string value 08-00-27-00-34-d8

【相关命令】

· exclude

· test-aaa

1.3.29 include-attribute 218 vendor-id 25506

include-attribute 218 vendor-id 25506命令用来配置RADIUS报文中携带Vendor ID为25506的私有218号属性。

undo include-attribute 218 vendor-id 25506命令用来取消在RADIUS报文中携带Vendor ID为25506的私有218号属性。

undo include-attribute 218 vendor-id 25506 dhcp-option命令用来恢复缺省情况。

【命令】

include-attribute 218 vendor-id 25506 dhcp-option { 12 | 55 | 60 | 61 } * { format1 | format2 }

undo include-attribute 218 vendor-id 25506 [ dhcp-option ]

【缺省情况】

RADIUS报文中携带Vendor ID为25506的私有218号属性，且以format1格式封装DHCP Option 61信息。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

dhcp-option：属性Value字段携带的DHCP Option信息。

· 12：表示DHCP Option 12。

· 55：表示DHCP Option 55。

· 60：表示DHCP Option 60。

· 61：表示DHCP Option 61。

format1：属性的Type字段长度为1字节。该格式封装的属性适用于与大多数的RADIUS服务器互通。

format2：属性的Type字段长度为2字节。该格式封装的属性适用于与特殊RADIUS服务器互通，例如HUAWEI的RADIUS服务器。

【使用指导】

设备厂商可以通过对RADIUS协议中的26号属性进行扩展，以实现标准RADIUS未定义的功能。Vendor ID为25506的设备厂商定义了私有218号属性，用来携带客户端的DHCP Option信息。如果RADIUS服务器希望设备能够上报认证客户端的一些DHCP Option信息，就需要在客户端使用的RADIUS方案中配置本特性，使得设备能够将获取到的DHCP Option信息按照服务器要求的格式封装在私有属性中，并通过RADIUS计费开始请求报文或计费更新请求报文发送给服务器。

目前，本特性仅支持DHCP Option 12、DHCP Option 55、DHCP Option60和DHCP Option 61。

如果在include-attribute 218 vendor-id 25506命令中同时指定了多个类型的DHCP Option，设备会将获取到的多类DHCP Option封装在多个私有218号属性中同时发送给服务器。每个封装在私有218号属性中的DHCP Option信息不超过246个字节。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 在RADIUS方案rad中，配置在RADIUS报文中携带Vendor ID为25506的218号属性，属性值为DHCP Option 55信息，封装格式为format2。

<Sysname> system-view

[Sysname] radius scheme rad

[Sysname-radius-rad] include-attribute 218 vendor-id 25506 dhcp-option 55 format2

【相关命令】

· display radius scheme

1.3.30 key (RADIUS scheme view)

key命令用来配置RADIUS报文的共享密钥。

undo key命令用来删除RADIUS报文的共享密钥。

【命令】

key { accounting | authentication } { cipher | simple } string

undo key { accounting | authentication }

【缺省情况】

未配置RADIUS报文的共享密钥。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

accounting：指定RADIUS计费报文的共享密钥。

authentication：指定RADIUS认证报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

【使用指导】

设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥，本配置中指定的报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。

必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。

【举例】

# 在RADIUS方案radius1中，配置计费报文的共享密钥为明文ok。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key accounting simple ok

【相关命令】

· display radius scheme

1.3.31 microsegment associate

microsegment associate命令用来配置微分段与VSI的关联。

undo microsegment命令用来解除微分段与VSI的关联。

【命令】

microsegment microsegment-id associate vsi vsi-name

undo microsegment { microsegment-id | all }

【缺省情况】

微分段与VSI无关联。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

microsegment-id：微分段ID，取值范围为1～65535。

vsi vsi-name：VSI名称，为1～31个字符的字符串，区分大小写。

all：所有与VSI名称关联的微分段ID。

【使用指导】

当RADIUS服务器向用户授权了微分段，但未授权VSI时，设备将会基于已建立的关联关系将该微分段ID和其关联的VSI名称一并授权给用户，用于实现VXLAN网络中基于微分段的访问控制；若设备未查找到服务器授权的微分段ID所关联的VSI名称，则只将微分段ID授权给用户。

可通过多次执行本命令建立多个关联关系，系统可支持的最大关联配置数目与设备的型号有关，请以设备的实际情况为准。

每个RADIUS方案下，一个微分段ID只能与一个VSI名称关联，但一个VSI名称可以关联多个微分段ID。对于同一个微分段ID，多次配置该命令，仅最后一次配置生效。

该配置仅对之后上线的用户生效，不影响已在线的用户。

如果设备不能直接解析RADIUS服务器授权的微分段ID，则需要在RADIUS方案下开启RADIUS属性解释功能，并配置RADIUS属性转换规则将RADIUS服务器下发的微分段ID属性转换为设备可识别的私有微分段ID属性H3C-Microsegment-Id。

【举例】

# 在RADIUS方案radius1中，将微分段123和VSI test相关联。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] microsegment 123 associate vsi test

【相关命令】

· attribute convert

1.3.32 nas-ip (RADIUS scheme view)

nas-ip命令用来设置RADIUS报文中携带的NAS-IP地址。

undo nas-ip命令用来删除指定类型的NAS-IP地址。

【命令】

nas-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }

undo nas-ip [ interface | ipv6 ]

【缺省情况】

未设置RADIUS报文中携带的NAS-IP地址，使用系统视图下由命令radius nas-ip指定的NAS-IP地址。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：指定RADIUS报文中携带的IPv4 NAS-IP地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

interface interface-type interface-number：指定源接口，即该接口发送RADIUS报文使用的源IP地址为NAS-IP地址。interface-type interface-number为接口类型和接口编号。

ipv6 ipv6-address：指定RADIUS报文中携带的IPv6 NAS-IP地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

可通过本命令配置设备发送的RADIUS报文中携带的NAS-IP-Address或NAS-IPv6-Address属性内容，简称为NAS-IP地址，该地址用于标识用户接入的设备，且在RADIUS服务器上必须全局唯一。

RADIUS服务器发送的DAE请求报文中若携带该属性，则表示该请求报文要发送给指定的接入设备。当接入设备收到DAE请求报文后，会获取报文中携带的NAS-IP地址与本地保存的NAS-IP地址进行比较，若相同则接受该请求报文并进行后续的处理，否则不对其进行处理。

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口作为源接口。

RADIUS方案视图和系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址，具体生效情况如下：

· RADIUS方案视图下配置的NAS-IP地址（通过nas-ip命令）只对本方案有效。

· 系统视图下的配置的NAS-IP地址（通过radius nas-ip命令）对所有RADIUS方案有效。

· RADIUS方案视图下的设置具有更高的优先级。

一个RADIUS方案视图下：

· 最多允许指定一个IPv4 NAS-IP地址和一个IPv6 NAS-IP地址。

· 最多允许指定一个源接口，请确保指定的源接口与RADIUS服务器路由可达。

· 源接口配置和源IP地址配置不能同时存在，后配置的生效。

如果undo nas-ip命令中不指定ipv6参数，则表示删除配置的IPv4 NAS-IP地址。

【举例】

# 在RADIUS方案radius1中，设置RADIUS报文携带的IPv4 NAS-IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] nas-ip 10.1.1.1

【相关命令】

· display radius scheme

· radius nas-ip

1.3.33 port

port命令用来指定RADIUS DAE服务端口。

undo port命令用来恢复缺省情况。

【命令】

port port-number

undo port

【缺省情况】

RADIUS DAE服务端口为3799。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

port-number：DAE服务器接收DAE请求消息的UDP端口，取值范围为1～65535。

【使用指导】

必须保证设备上的RADIUS DAE服务端口与RADIUS DAE客户端发送DAE报文的目的UDP端口一致。

【举例】

# 开启RADIUS DAE服务后，指定DAE服务端口为3790。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] port 3790

【相关命令】

· client

· radius dynamic-author server

1.3.34 primary accounting (RADIUS scheme view)

primary accounting命令用来配置主RADIUS计费服务器。

undo primary accounting命令用来恢复缺省情况。

【命令】

primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *

undo primary accounting

【缺省情况】

未配置主RADIUS计费服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：主RADIUS计费服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：主RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address：主RADIUS计费服务器的IPv6地址。

port-number：主RADIUS计费服务器的UDP端口号，取值范围为1～65535，缺省值为1813。

key：与主RADIUS计费服务器交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vpn-instance vpn-instance-name：主RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主RADIUS计费服务器位于公网中。

weight weight-value：RADIUS服务器负载分担的权重。weight-value表示权重值，取值范围为0～100，缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后，该参数才能生效，且权重值越大的服务器可以处理的计费请求报文越多。

【使用指导】

配置的主计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同。

设备与主计费服务器通信时优先使用本命令设置的共享密钥，如果此处未设置，则使用key accounting命令设置的共享密钥。

若服务器位于MPLS VPN私网中，为保证RADIUS报文被发送到指定的私网服务器，必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN实例比RADIUS方案所属的VPN实例具有更高的优先级。

当RADIUS服务器负载分担功能处于关闭状态时，如果在计费开始请求报文发送过程中修改或删除了正在使用的主计费服务器配置，且该服务器不可达，则设备在与当前服务器通信超时后，将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信；如果在线用户正在使用的计费服务器被删除，则会重新按照优先级顺序开始依次查找状态为active的服务器发送后续的计费请求。

当RADIUS服务器负载分担功能处于开启状态时，如果在计费开始请求报文发送过程中修改或删除了正在使用的计费服务器配置，且该服务器不可达，则设备在与当前服务器通信超时后，将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信；由于设备将仅与发起计费开始请求的服务器通信，如果在线用户正在使用的计费服务器被删除，则设备将无法发送用户的实时计费请求和停止计费请求，且停止计费报文不会被缓存到本地，这将造成对用户计费的不准确。

【举例】

# 在RADIUS方案radius1中，配置主计费服务器的IP地址为10.110.1.2，使用UDP端口1813提供RADIUS计费服务，计费报文的共享密钥为明文123456TESTacct&!。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 1813 key simple 123456TESTacct&!

【相关命令】

· display radius scheme

· key (RADIUS scheme view)

· secondary accounting (RADIUS scheme view)

· server-load-sharing enable

· vpn-instance (RADIUS scheme view)

1.3.35 primary authentication (RADIUS scheme view)

primary authentication命令用来配置主RADIUS认证服务器。

undo primary authentication命令用来恢复缺省情况。

【命令】

primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *

undo primary authentication

【缺省情况】

未配置RADIUS主认证服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：主RADIUS认证服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：主RADIUS认证服务器的IPv4地址。

ipv6 ipv6-address：主RADIUS认证服务器的IPv6地址。

port-number：主RADIUS认证服务器的UDP端口号，取值范围为1～65535，缺省值为1812。此端口号必须与服务器提供认证服务的端口号保持一致。

key：与主RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

test-profile profile-name：RADIUS服务器探测模板名称，为1～31个字符的字符串，区分大小写。

vpn-instance vpn-instance-name：主RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主RADIUS认证服务器位于公网中。

weight weight-value：RADIUS服务器负载分担的权重。weight-value表示权重值，取值范围为0～100，缺省值为0。0表示该服务器在负载分担调度时将不被使用。开启服务器负载分担功能后，该参数才能生效，且权重值越大的服务器可以处理的认证请求报文越多。

【使用指导】

配置的主认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同。

设备与主认证服务器通信时优先使用本命令设置的共享密钥，如果本命令中未设置，则使用key authenticaiton命令设置的共享密钥。

RADIUS认证服务器引用了存在的服务器探测模板后，将会触发对该服务器的探测功能。

若服务器位于MPLS VPN私网中，为保证RADIUS报文被发送到指定的私网服务器，必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比RADIUS方案所属的VPN优先级高。

当RADIUS服务器负载分担功能处于关闭状态时，如果在认证过程中修改或删除了正在使用的主认证服务器配置，且该服务器不可达，则设备在与当前服务器通信超时后，将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。

当RADIUS服务器负载分担功能处于开启状态时，如果在认证过程中修改或删除了正在使用的认证服务器配置，且该服务器不可达，则设备在与当前服务器通信超时后，将会根据各服务器的权重以及服务器承载的用户负荷重新选择状态为active的服务器进行通信。

【举例】

# 在RADIUS方案radius1中，配置主认证服务器的IP地址为10.110.1.1，使用UDP端口1812提供RADIUS认证/授权服务，认证报文的共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 1812 key simple 123456TESTauth&!

【相关命令】

· display radius scheme

· key (RADIUS scheme view)

· radius-server test-profile

· secondary authentication (RADIUS scheme view)

· server-load-sharing enable

· vpn-instance (RADIUS scheme view)

1.3.36 private accounting

private accounting命令用来配置私有RADIUS计费服务器。

undo private accounting命令用来恢复缺省情况。

【命令】

private accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo private accounting

【缺省情况】

未配置RADIUS私有计费服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：私有RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address：私有RADIUS计费服务器的IPv6地址。

port-number：私有RADIUS计费服务器的UDP端口号，取值范围为1～65535，缺省值为1813。此端口号必须与服务器提供计费服务的端口号保持一致。

key：与私有RADIUS计费服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vpn-instance vpn-instance-name：私有RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示私有RADIUS计费服务器位于公网中。

【使用指导】

工作机制

如果客户端在发起计费请求时向接入设备提供指定的服务器IP地址信息，则需要在设备上配置私有计费服务器。设备对此类客户端进行计费时，首先会查询使用的RADIUS方案下是否存在客户端指定的私有计费服务器配置。若查询成功，接入设备将与该计费服务器交互；若查询失败，则此次计费失败。若查询到的计费服务器不存在或者不可达，接入设备也不会切换到该方案下的其它非私有服务器上进行计费。

客户端指定计费服务器地址的情况不同，设备发起计费请求的机制也有所不同：

· 如果客户端同时指定了一个IPv4计费服务器地址和一个IPv6计费服务器地址，则设备优先选择向IPv6计费服务器发起计费。如果IPv6计费服务器响应超时，则设备切换到与IPv4计费服务器通信；如果IPv6计费服务器状态为block，则设备会查询IPv4计费服务器的状态，且仅当IPv4计费服务器的状态为active的情况下，才会切换到与IPv4计费服务器通信，否则仍然选择与IPv6计费服务器通信。

· 如果客户端仅指定了一个IPv4计费服务器地址或一个IPv6计费服务器地址，无论该服务器状态似乎否active，设备均会向指定的计费服务器发送计费请求。

注意事项

配置的私有计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中，最多可以存在16个不同IP地址的私有计费服务器配置。

设备与私有计费服务器通信时优先使用本命令设置的共享密钥，如果此处未设置，则使用同一个方案中key accounting命令设置的共享密钥。

【举例】

# 在RADIUS方案radius1中，配置私有计费服务器的IP地址为10.110.1.2，使用UDP端口1813提供RADIUS计费服务，计费报文的共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] private accounting 10.110.1.2 1812 key simple 123456TESTauth&!

【相关命令】

· radius scheme

· display radius scheme

· key (RADIUS scheme view)

· vpn-instance (RADIUS scheme view)

1.3.37 private authentication

private authentication命令用来配置私有RADIUS认证服务器。

undo private authentication命令用来恢复缺省情况。

【命令】

private authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo private authentication

【缺省情况】

未配置私有RADIUS认证服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：私有RADIUS认证服务器的IPv4地址。

ipv6 ipv6-address：私有RADIUS认证服务器的IPv6地址。

port-number：私有RADIUS认证服务器的UDP端口号，取值范围为1～65535，缺省值为1812。此端口号必须与服务器提供认证服务的端口号保持一致。

key：与私有RADIUS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vpn-instance vpn-instance-name：私有RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示私有RADIUS认证服务器位于公网中。

【使用指导】

工作机制

如果客户端在发起认证请求时向接入设备提供指定的服务器IP地址信息，则需要在设备上配置私有认证服务器。设备对此类客户端进行认证时，首先会查询使用的RADIUS方案下是否存在客户端指定的私有认证服务器配置。若查询成功，接入设备将与该认证服务器交互；若查询失败，则此次认证失败。若查询到的认证服务器不存在或者不可达，接入设备也不会切换到该方案下的其它非私有服务器上进行认证。

客户端指定认证服务器地址的情况不同，设备发起认证请求的机制也有所不同：

· 如果客户端同时指定了一个IPv4认证服务器地址和一个IPv6认证服务器地址，则设备优先选择向IPv6认证服务器发起认证。如果IPv6认证服务器响应超时，则设备切换到与IPv4认证服务器通信；如果IPv6认证服务器状态为block，则设备会查询IPv4认证服务器的状态，且仅当IPv4认证服务器的状态为active的情况下，才会切换到与IPv4认证服务器通信，否则仍然选择与IPv6认证服务器通信。

· 如果客户端仅指定了一个IPv4认证服务器地址或一个IPv6认证服务器地址，无论该服务器状态似乎否active，设备均会向指定的认证服务器发送认证请求。

注意事项

配置的私有认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中，最多可以存在16个不同IP地址的私有认证服务器配置。

设备与私有认证服务器通信时优先使用本命令设置的共享密钥，如果本命令中未设置，则使用同一个方案中key authenticaiton命令设置的共享密钥。

RADIUS私有认证服务器不支持服务器探测功能。

【举例】

# 在RADIUS方案radius1中，配置私有认证服务器的IP地址为10.110.1.1，使用UDP端口1812提供RADIUS认证/授权服务，认证报文的共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] private authentication 10.110.1.1 1812 key simple 123456TESTauth&!

【相关命令】

· radius scheme

· display radius scheme

· key (RADIUS scheme view)

· vpn-instance (RADIUS scheme view)

1.3.38 radius attribute extended

radius attribute extended命令用来定义RADIUS扩展属性。

undo radius attribute extended命令用来删除定义的RADIUS扩展属性。

【命令】

radius attribute extended attribute-name [ vendor vendor-id ] code attribute-code type { binary | date | integer | interface-id | ip | ipv6 | ipv6-prefix | octets | string }

undo radius attribute extended [ attribute-name ]

【缺省情况】

不存在自定义RADIUS扩展属性。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

attribute-name：RADIUS属性名称，为1～63个字符的字符串，不区分大小写。该名称不能与系统已支持的（包括标准的以及自定义的）RADIUS属性名称相同。

vendor vendor-id：RADIUS属性所属的设备厂商标识。vendor-id为厂商标识号码，取值范围为1～65535。如果不指定该参数，则表示RADIUS属性为标准属性。其中，2011表示HUAWEI，25506表示H3C，9表示Cisco，311表示Microsoft，43表示3COM，3561表示DSL论坛，20942表示中国电信，40808表示WFA无线，2636表示Juniper，28357表示CMCC。

code attribute-code：RADIUS属性在RADIUS属性集里的序号，取值范围为1～255。

type：属性内容的数据类型，包括以下取值：

· binary：二进制类型。

· date：时间类型。

· integer：整数类型。

· interface-id：接口ID类型。

· ip：IPv4地址类型。

· ipv6：IPv6地址类型。

· ipv6-prefix：IPv6地址前缀类型。

· octets：八进制类型。

· string：字符串类型。

【使用指导】

当系统需要支持其他厂商的私有RADIUS属性时，可以通过radius attribute extended命令为其定义为一个扩展属性，并通过attribute convert命令将其映射到系统可以识别的一个已知属性。这样，当RADIUS服务器发送给设备的RADIUS报文中携带了此类不可识别的私有属性时，设备将根据已定义的属性转换规则将其转换为可处理的属性。同理，设备在发送RADIUS报文时也可以将自己可识别的属性转换为服务器能识别的属性。

每一个RADIUS属性有唯一的属性名称，且该属性的名称、设备厂商标识以及序号的组合必须在设备上唯一。

执行undo radius attribute extended命令时，如果不指定属性名称，则表示删除所有已定义RADIUS扩展属性。

【举例】

# 配置一个RADIUS扩展属性，名称为Owner-Password，Vendor ID为122，属性序号为80，类型为字符串。

<Sysname> system-view

[Sysname] radius attribute extended Owner-Password vendor 122 code 80 type string

【相关命令】

· attribute convert

· attribute reject

· attribute translate

1.3.39 radius attribute-test-group

radius attribute-test-group命令用来创建RADIUS属性测试组，并进入RADIUS属性测试组视图。如果指定的RADIUS属性测试组视图已经存在，则直接进入RADIUS属性测试组视图。

undo radius attribute-test-group命令用来删除指定的RADIUS属性测试组。

【命令】

radius attribute-test-group attr-test-group-name

undo radius attribute-test-group attr-test-group-name

【缺省情况】

不存在RADIUS属性测试组。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

attr-test-group-name：测试组名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

RADIUS属性测试组用于配置向RADIUS服务器发送的认证/计费请求报文中需要携带的RADIUS属性的集合。

系统支持配置多个RADIUS属性测试组。

【举例】

# 创建名称为t1的RADIUS属性测试组，并进入该视图。

<Sysname> system-view

[Sysname] radius attribute-test-group t1

[Sysname-radius-attr-test-grp-t1]

【相关命令】

· exclude

· include

· test-aaa

1.3.40 radius authentication-request first

radius authentication-request first命令用来开启RADIUS认证请求优先处理功能。

undo radius authentication-request first命令用来关闭RADIUS认证请求优先处理功能。

【命令】

radius authentication-request first

undo radius authentication-request first

【缺省情况】

RADIUS认证请求优先处理功能处于关闭状态，设备依次处理接入模块发起的所有RADIUS请求。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

接入模块发起的RADIUS请求包括RADIUS认证请求、RADIUS计费开始请求、RADIUS计费更新请求和RADIUS计费结束请求。缺省情况下，设备依次处理各接入模块发起的所有类型的RADIUS请求。此时，如果有大量用户下线后立即再次上线的情况发生，则会由于设备首先处理较早的停止计费请求，而导致处理后续的认证请求时，接入模块的认证请求已经超时。认证请求超时后，用户认证失败。为了解决这个问题，建议在有大量用户频繁上下线的组网环境中开启本功能，使得设备优先处理RADIUS认证请求，从而保证用户可以正常上线。

需要注意的是，当RADIUS服务器上以用户名标识用户，并且不允许相同用户名的用户重复认证的情况下，不建议开启此功能，否则可能会导致用户下线后再次认证失败。

当设备上有用户在线时，不建议修改此配置。

【举例】

# 开启RADIUS认证请求优先处理功能。

<Sysname> system-view

[Sysname] radius authentication-request first

1.3.41 radius dscp

radius dscp命令用来配置RADIUS协议报文的DSCP优先级。

undo radius dscp命令用来恢复缺省情况。

【命令】

radius [ ipv6 ] dscp dscp-value

undo radius [ ipv6 ] dscp

【缺省情况】

RADIUS报文的DSCP优先级为0。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv6：表示设置IPv6 RADIUS报文。若不指定该参数，则表示设置IPv4 RADIUS报文。

dscp-value：RADIUS报文的DSCP优先级，取值范围为0～63。取值越大，优先级越高。

【使用指导】

DSCP携带在IPv4报文中的ToS字段以及IPv6报文中的Traffic Class字段中，用来体现报文自身的优先等级，决定报文传输的优先程度。通过本命令可以指定设备发送的RADIUS报文携带的DSCP优先级的取值。

【举例】

# 配置IPv4 RADIUS报文的DSCP优先级为10。

<Sysname> system-view

[Sysname] radius dscp 10

1.3.42 radius dynamic-author server

radius dynamic-author server命令用来开启RADIUS DAE服务，并进入RADIUS DAE服务器视图。

undo radius dynamic-author server命令用来关闭RADIUS DAE服务。

【命令】

radius dynamic-author server

undo radius dynamic-author server

【缺省情况】

RADIUS DAE服务处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启RADIUS DAE服务后，设备将会监听指定的RADIUS DAE客户端发送的DAE请求消息，然后根据请求消息修改用户授权信息、断开用户连接请求、关闭/重启用户接入端口或重认证用户。

【举例】

# 开启RADIUS DAE服务，并进入RADIUS DAE服务器视图。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server]

【相关命令】

· client

· port

1.3.43 radius enable

radius enable命令用来开启RADIUS协议功能。

undo radius enable命令用来关闭RADIUS协议功能。

【命令】

radius enable

undo radius enable

【缺省情况】

RADIUS协议功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启RADIUS协议功能后，设备可以接收和发送RADIUS报文。

由于攻击者可能会通过RADIUS的session control报文监听端口或RADIUS DAE服务端口向设备发起网络攻击，因此设备管理员可以通过临时关闭RADIUS协议功能来阻止攻击，并在网络环境恢复安全后，再重新打开RADIUS协议功能。另外，如果服务器需要调整配置或暂时不提供服务，则可以通过关闭设备上的RADIUS协议功能来协助完成此过程。

关闭RADIUS协议功能后，设备将停止接收和发送RADIUS报文，具体处理机制如下：

若有新用户上线，则根据配置的备份方案进行认证、授权和计费处理。

· 若已经为用户发送了RADIUS认证请求报文：

¡ 如果收到RADIUS服务器的响应报文，则根据响应完成认证和授权。

¡ 如果未收到RADIUS服务器响应报文，则根据配置的备份方案进行认证处理。

· 若已经为用户发送了RADIUS计费开始请求报文：

¡ 如果收到RADIUS服务器的响应报文，则用户上线，但后续计费更新和计费结束请求报文无法发出，也不能被缓存下来尝试继续发送。RADIUS服务器因为收不到在线用户的下线报文，会出现有一段时间用户已经下线，但RADIUS服务器上还有此用户的情况。另外，已缓存的计费报文也将从缓存中被删除。计费报文的发送失败，都会直接影响用户计费信息的准确性。

¡ 如果未收到RADIUS服务器的响应报文，则根据配置的备份方案进行处理。

关闭RADIUS协议功能对设备的RADIUS服务器功能没有影响。

关闭RADIUS协议功能后，若再重新开启RADIUS协议功能，已经使用其它方案进行的认证、授权或计费过程并不会切换为RADIUS方案来执行。

【举例】

# 开启RADIUS协议功能。

<Sysname> system-view

[Sysname] radius enable

1.3.44 radius nas-ip

radius nas-ip命令用来设置RADIUS报文中携带的NAS-IP地址。

undo radius nas-ip命令用来删除指定类型的NAS-IP地址。

【命令】

radius nas-ip { interface interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

undo radius nas-ip { interface | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

【缺省情况】

未设置RADIUS报文中携带的NAS-IP地址，设备将使用到达RADIUS服务器的路由出接口的主IPv4地址或IPv6地址作为NAS-IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number：指定源接口，即该接口发送RADIUS报文使用的源IP地址为NAS-IP地址。interface-type interface-number为接口类型和接口编号。

ipv4-address：指定RADIUS报文中携带的IPv4 NAS-IP地址，应该为本机的地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定RADIUS报文中携带的IPv6 NAS-IP地址，应该为本机的地址，必须是单播地址，不能为环回地址与本地链路地址。

vpn-instance vpn-instance-name：指定私网源IP地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。若不指定该参数，则表示配置的是公网源地址。

【使用指导】

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口作为源接口。

RADIUS方案视图和系统视图下均可以配置发送RADIUS报文携带的NAS-IP地址，具体情况如下：

· RADIUS方案视图下配置的源IP地址（通过nas-ip命令）只对本RADIUS方案有效。

· 系统视图下的配置的源IP地址（通过radius nas-ip命令）对所有RADIUS方案有效。

· RADIUS方案视图下的设置具有更高的优先级。

系统视图下最多允许指定16个NAS-IP地址。其中，最多包括一个IPv4公网NAS-IP地址和一个IPv6公网NAS-IP地址，其余为私网NAS-IP地址。对于同一个VPN，系统视图下最多允许指定一个IPv4私网NAS-IP地址和一个IPv6私网NAS-IP地址。

系统视图下，最多允许指定一个源接口，请确保指定的源接口与RADIUS服务器路由可达。

指定源接口和指定IP地址两种方式设置的NAS-IP配置不能同时存在，后配置的生效。

【举例】

# 设置设备发送RADIUS报文携带的IPv4 NAS-IP地址为129.10.10.1。

<Sysname> system-view

[Sysname] radius nas-ip 129.10.10.1

【相关命令】

· nas-ip (RADIUS scheme view)

1.3.45 radius scheme

radius scheme命令用来创建RADIUS方案，并进入RADIUS方案视图。如果指定的RADIUS方案已经存在，则直接进入RADIUS方案视图。

undo radius scheme命令用来删除指定的RADIUS方案。

【命令】

radius scheme radius-scheme-name

undo radius scheme radius-scheme-name

【缺省情况】

不存在RADIUS方案。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

radius-scheme-name：RADIUS方案的名称，为1～32个字符的字符串，不区分大小写。

【使用指导】

一个RADIUS方案可以同时被多个ISP域引用。

系统最多支持配置16个RADIUS方案。

【举例】

# 创建名为radius1的RADIUS方案并进入其视图。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1]

【相关命令】

· display radius scheme

1.3.46 radius session-control client

radius session-control client命令用来指定session control客户端。

undo radius session-control client命令用来删除指定的session control客户端。

【命令】

radius session-control client { ip ipv4-address | ipv6 ipv6-address } [ key { cipher | simple } string | vpn-instance vpn-instance-name ] *

undo radius session-control client { all | { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

【缺省情况】

未指定session control客户端。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address：session control客户端的IPv4地址。

ipv6 ipv6-address：session control客户端的IPv6地址。

key：与session control客户端交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vpn-instance vpn-instance-name：session control客户端所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定本参数，则表示session control客户端属于公网。

all：表示所有session control客户端。

【使用指导】

设备和H3C的iMC RADIUS服务器配合使用时，将作为session control服务器端与其交互，因此需要指定session control客户端来验证收到的session control报文的合法性。当设备收到服务器发送的session control报文时，直接根据报文的源IP地址、VPN属性与已有的session control客户端配置进行匹配，并使用匹配到的客户端共享密钥对报文进行验证。如果报文匹配失败或设备上未配置session control客户端，则使用已有的RADIUS方案配置进行匹配，并使用匹配到的认证服务器的共享密钥对报文进行验证。

指定的session control客户端仅在RADIUS session control功能处于开启状态时生效。

配置的session control客户端参数必须与服务器的配置保持一致。

系统支持指定多个session control客户端。

【举例】

# 指定一个session control客户端IP地址为10.110.1.2，共享密钥为明文12345。

<Sysname> system-view

[Sysname] radius session-control client ip 10.110.1.2 key simple 12345

【相关命令】

· radius session-control enable

1.3.47 radius session-control enable

radius session-control enable命令用来开启RADIUS session control功能。

undo radius session-control enable命令用来关闭RADIUS session control功能。

【命令】

radius session-control enable

undo radius session-control enable

【缺省情况】

RADIUS session control功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

H3C iMC RADIUS服务器使用session control报文向设备发送授权信息的动态修改请求以及断开连接请求。开启RADIUS session control功能后，设备会打开知名UDP端口1812来监听并接收RADIUS服务器发送的session control报文。

该功能仅能和H3C iMC的RADIUS服务器配合使用。

为保证本功能可以正常运行，请确保设备作为RADIUS服务器功能处于关闭状态。

【举例】

# 开启RADIUS session control功能。

<Sysname> system-view

[Sysname] radius session-control enable

1.3.48 radius trap-version

radius trap-version命令用来配置发送RADIUS告警信息采用的MIB节点版本。

undo radius trap-version命令用来恢复缺省情况。

【命令】

radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *

undo radius trap-version { v1 | v2 } [ accounting-server-down | accounting-server-up | authentication-server-down | authentication-server-up ] *

【缺省情况】

使用v1版本的MIB节点发送RADIUS告警信息。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

v1：采用v1版本的MIB节点发送RADIUS告警信息。

v2：采用v2版本的MIB节点发送RADIUS告警信息。

accounting-server-down：表示RADIUS计费服务器可达状态变为down时发送告警信息。

accounting-server-up：表示RADIUS计费服务器可达状态变为up时发送告警信息。

authentication-server-down：表示RADIUS认证服务器可达状态变为down时发送告警信息。

authentication-server-up：表示RADIUS认证服务器可达状态变为up时发送告警信息。

【使用指导】

请按照NMS（Network Management System，网络管理系统）的要求，选择设备需要采用的发送RADIUS告警信息采用的MIB节点版本。

表1-19 v1版本的MIB节点

MIB节点名	OID
hh3cRadiusAuthServerUpTrap	1.3.6.1.4.1.25506.2.13.3.0.1
hh3cRadiusAccServerUpTrap	1.3.6.1.4.1.25506.2.13.3.0.2
hh3cRadiusAuthServerDownTrap	1.3.6.1.4.1.25506.2.13.3.1
hh3cRadiusAccServerDownTrap	1.3.6.1.4.1.25506.2.13.3.2

表1-20 v2版本的MIB节点

MIB节点名	OID
hh3cRadiusAuthenticationServerUpTrap	1.3.6.1.4.1.25506.2.13.3.0.4
hh3cRadiusAccountingServerUpTrap	1.3.6.1.4.1.25506.2.13.3.0.5
hh3cRadiusAuthenticationServerDownTrap	1.3.6.1.4.1.25506.2.13.3.0.6
hh3cRadiusAccountingServerDownTrap	1.3.6.1.4.1.25506.2.13.3.0.7

若不指定任何参数，则表示设备发送所有类型的RADIUS服务器状态变化告警信息时，均采用相同版本的MIB节点。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 配置在RADIUS计费服务器可达状态变为down时发送告警信息采用v2版本的MIB节点。

<Sysname> system-view

[Sysname] radius trap-version v2 accounting-server-down

【相关命令】

· snmp-agent trap enable radius

1.3.49 radius source-ip

radius source-ip命令用来设置设备发送RADIUS报文使用的源IP地址。

undo radius source-ip命令用来删除指定的发送RADIUS报文使用的源IP地址。

【命令】

radius source-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

undo radius source-ip { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ]

【缺省情况】

未指定发送RADIUS报文使用的源IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：指定的源IPv4地址，为本机的地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定的源IPv6地址，为本机的地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

RADIUS服务器上通过IP地址来标识接入设备，并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证或计费请求。为保证RADIUS报文可被服务器正常接收并处理，接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。

设备按照以下顺序选择发送RADIUS报文实际使用的源IP地址：

· RADIUS方案视图下配置的源IP地址（通过source-ip命令）。

· 系统视图下的配置的源IP地址（通过radius source-ip命令）。

· RADIUS方案视图下配置的NAS-IP地址（通过nas-ip命令）。

· 系统视图下的配置的源NAS-IP地址（通过radius nas-ip命令）。

· 发送RADIUS报文的出接口的IP地址。

系统视图下的配置的源IP地址对所有RADIUS方案有效。

系统视图下最多允许指定16个源地址。其中，最多包括一个IPv4公网源地址和一个IPv6公网源地址，其余为私网源地址。对于同一个VPN，系统视图下最多允许指定一个IPv4私网源地址和一个IPv6私网源地址。

【举例】

# 设置设备发送RADIUS报文使用的源IPv4地址为129.10.10.1。

<Sysname> system-view

[Sysname] radius source-ip 129.10.10.1

【相关命令】

· nas-ip (RADIUS scheme view)

· radius nas-ip

· source-ip (RADIUS scheme view)

1.3.50 radius-server authen-state-check interval

radius-server authen-state-check interval命令用来设置RADIUS认证服务器状态检查的时间间隔。

undo radius-server authen-state-check interval命令用来恢复缺省情况。

【命令】

radius-server authen-state-check interval interval

undo radius-server authen-state-check interval

【缺省情况】

RADIUS认证服务器状态检查的时间间隔为10分钟。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval：状态检查的时间间隔，取值范围为1～120，单位为分钟。

【使用指导】

本特性仅适用于802.1X认证、MAC地址认证和Web认证用户。

系统将以指定的时间间隔定期检查各RADIUS方案下的RADIUS认证服务器的状态，并通知接入模块将存在可达认证服务器的RADIUS方案下的已逃生用户取消逃生。

设备对RADIUS认证服务器状态变化的及时感知影响到用户逃生处理的准确性。配置了用户逃生功能的情况下，可能会有如下情况发生：

· RADIUS服务器探测功能开启后，如果RADIUS服务器的探测周期过长，那么在设备还未获得探测结果的情况下，如果服务器状态变为不可达，在此期间上线的用户将会进入逃生域，但是探测周期内设备上记录的服务器状态一直为active。

· RADIUS服务器探测功能未开启时，在RADIUS服务器响应超时时间内没有收到响应报文的认证用户将会进入逃生域，但是如果设备在此期间收到了来自该服务器对其它用户的认证请求响应报文，则设备上记录的服务器的状态将不会被置为block。如果后续用户的认证服务器状态一直保持可达，设备记录的服务器状态会一直为active。

以上两种情况下，设备均无法及时感知到服务器实际状态的变化，因而已经逃生的用户也无法在RADIUS认证服务器恢复可达后离开逃生域。RADIUS认证服务器状态检查功能可以解决这个问题，

如果设置的状态检查时间间隔过小，将会占用接入业务处理的系统资源；如果设置的状态检查时间间隔过大，对于服务器实际状态变化的感知将不够及时。

在有大量用户集中上线的情况下，建议综合考虑接入业务的处理效率和逃生处理的准确性。

【举例】

# 设置RADIUS认证服务器状态检查的时间间隔为2分钟。

<Sysname> system-view

[Sysname] radius-server authen-state-check interval 2

【相关命令】

· authen-radius-unavailable online domain

1.3.51 radius-server test-profile

radius-server test-profile命令用来配置RADIUS服务器探测模板。

undo radius-server test-profile命令用来删除指定的RADIUS服务器探测模板。

【命令】

radius-server test-profile profile-name username name [ password { cipher | simple } string ] [ interval interval ] [ probe-count count ] [ eap-profile eap-profile-name ]

undo radius-server test-profile profile-name

【缺省情况】

不存在RADIUS服务器探测模板。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

profile-name：探测模板名称，为1～31个字符的字符串，区分大小写。

username name：探测报文中的用户名，为1～253个字符的字符串，区分大小写。

password：探测报文中的用户密码。若不指定该参数，则表示探测报文中携带的用户密码为设备生成的随机密码。为避免携带随机密码的探测报文被RADIUS服务器判定为攻击报文，建议指定用户密码。

cipher：以密文方式设置用户密码。

simple：以明文方式设置用户密码，该密码将以密文形式存储。

string：密码字符串，区分大小写。明文密码为1～63个字符的字符串；密文密码为1～117个字符的字符串。

interval interval：发送探测报文的周期，取值范围为1～3600，单位为分钟，缺省值为60。

probe-count count：每一轮可达性判断所需的连续探测次数，取值范围为1～10，缺省值为1。

eap-profile eap-profile-name：引用的EAP认证方案的名称，为1～32个字符的字符串，区分大小写。

【使用指导】

RADIUS方案视图下的RADIUS服务器配置成功引用了某探测模板后，若被引用的探测模板存在，则设备将会启动对该RADIUS服务器的可达性探测。若被引用的探测模板暂不存在，则当该探测模板被成功配置时，针对该服务器的探测过程才会开始。

目前，设备支持两种探测方式：

· 若探测模板中未引用EAP认证方案，则表示采用简单探测方式。该方式下，设备采用探测模板中配置的探测用户名、密码构造一个认证请求报文，并在探测周期内选择随机时间点向引用了探测模板的RADIUS服务器发送该报文。如果在连续指定数目个探测周期内均收到服务器的认证响应报文，则认为该服务器可达；如果在连续指定数目个探测周期内均未收到服务器的认证响应报文，则认为该服务器不可达；其它情况视为该服务器状态未改变。

· 若探测模板中引用了EAP认证方案，则表示采用EAP探测方式。该方式下，设备采用指定的EAP认证方案中配置的EAP认证方法启动服务器探测。在探测过程中，设备会在配置的探测周期超时后使用探测模板中配置的探测用户名和密码，模拟一个合法EAP认证用户向引用了该探测模板的RADIUS服务器发起一次EAP认证，如果在探测超时时间内（不可配）该次认证成功完成，则认为当前探测周期内该服务器可用。

EAP探测方式相较于简单探测方式，由于探测过程还原了完整的认证过程，更能保证RADIUS服务器探测结果的可靠性。建议在接入用户使用EAP认证方法的组网环境中，使用该方式的服务器探测功能。

若探测模板中引用的EAP认证方案不存在，则设备会暂时采用简单探测方式发起探测。当引用的EAP认证方案配置成功后，下一个探测周期将使用EAP方式发起探测。

在网络质量不稳定时，适当增加每一轮可达性判断的探测次数，可提高探测的准确性，降低误判率；否则，请减少每一轮可达性判断的探测次数，以保障探测结果的实效性。

删除一个RADIUS服务器探测模板时，引用该探测模板的所有RADIUS方案中的RADIUS服务器的探测功能也会被关闭。

系统支持配置多个RADIUS服务器探测模板。

【举例】

# 配置RADIUS服务器探测模板abc，探测报文中携带的用户名为admin，密码为明文abc123，探测报文的发送间隔为10分钟，每一轮可达性判断所需的连续探测次数为2次。

<Sysname> system-view

[Sysname] radius-server test-profile abc username admin password simple abc123 interval 10 probe-count 2

【相关命令】

· eap-profile

· primary authentication (RADIUS scheme view)

· secondary authentication (RADIUS scheme view)

1.3.52 reauthentication server-select

reauthentication server-select命令用来配置重认证时RADIUS服务器的选择模式。

undo reauthentication server-select命令用来恢复缺省情况。

【命令】

reauthentication server-select { inherit | reselect }

undo reauthentication server-select

【缺省情况】

重认证时仍然选用认证时使用的认证服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

inherit：继承模式，即重认证时仍然选用认证时使用的认证服务器。

reselect：重新选择模式，即重认证时需要重新选择认证服务器。

【使用指导】

对用户进行重认证时，可以通过本命令来控制认证服务器的选择模式：

· 继承模式也是缺省模式，该模式下，设备直接沿用用户认证时使用的服务器，不再做其它尝试。使用此模式可以达到快速重认证的效果，但如果该认证服务器不可达，则会导致重认证失败。

· 重新选择模式下，设备会根据当前RADIUS方案中服务器的配置、服务器负载分担功能的开启状态，以及各服务器的可达状态重新选择认证服务器。使用此模式，可以尽可能得保证重认证时选择到当前最优且可达的服务器。

【举例】

# 在RADIUS方案radius1中，配置重认证时RADIUS服务器的选择模式为重新选择模式。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] reauthentication server-select reselect

【相关命令】

· display radius scheme

1.3.53 reset radius server-load statistics

reset radius server-load statistics命令用来清除所有RADIUS服务器的历史负载统计信息。

【命令】

reset radius server-load statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【使用指导】

该命令只会清除所有RADIUS认证/计费服务器的历史负载统计数据，不会清除前5秒钟负载统计数据。

【举例】

# 清除所有RADIUS服务器上的历史负载统计信息。

<Sysname> reset radius server-load statistics

【相关命令】

· display radius server-load statistics

1.3.54 reset radius statistics

reset radius statistics命令用来清除RADIUS协议的统计信息。

【命令】

reset radius statistics

【视图】

用户视图

【缺省用户角色】

network-admin

【举例】

# 清除RADIUS协议的统计信息。

<Sysname> reset radius statistics

【相关命令】

· display radius statistics

1.3.55 reset stop-accounting-buffer (for RADIUS)

reset stop-accounting-buffer命令用来清除缓存的RADIUS停止计费请求报文。

【命令】

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time end-time | user-name user-name }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

radius-scheme radius-scheme-name：表示指定RADIUS方案的停止计费响应报文。其中，radius-scheme-name为RADIUS方案名，为1～32个字符的字符串，不区分大小写。

session-id session-id：表示指定会话的停止计费响应报文。其中，session-id表示会话ID，为1～64个字符的字符串，不包含字母。会话ID用于唯一标识当前的在线用户。

time-range start-time end-time：表示指定时间段内发送且被缓存的停止计费请求报文。其中，start-time为请求时间段的起始时间；end-time为请求时间段的结束时间，格式为hh:mm:ss-mm/dd/yyyy（时:分:秒-月/日/年）或hh:mm:ss-yyyy/mm/dd（时:分:秒-年/月/日）。

user-name user-name：表示指定用户名的停止计费响应报文。其中，user-name表示用户名，为1～255个字符的字符串，区分大小写。输入的用户名是否携带ISP域名，必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。

【举例】

# 清除缓存的用户user0001@test的RADIUS停止计费请求报文。

<Sysname> reset stop-accounting-buffer user-name user0001@test

# 清除从2020年1月31日0点0分0秒到2020年1月31日23点59分59秒期间内缓存的停止计费请求报文。

<Sysname> reset stop-accounting-buffer time-range 00:00:00-01/31/2020 23:59:59-01/31/2020

【相关命令】

· display stop-accounting-buffer (for RADIUS)

· stop-accounting-buffer enable (RADIUS scheme view)

1.3.56 response-pending-limit

response-pending-limit命令用来配置发送给RADIUS服务器且未收到响应的请求报文的最大数目。

undo response-pending-limit命令用来取消配置的指定类型请求报文的最大数目。

【命令】

response-pending-limit { accounting | authentication } max-number

undo response-pending-limit { accounting | authentication }

【缺省情况】

未限制发送给RADIUS服务器且未收到响应的请求报文的最大数目。

【视图】

RADIUS方案视图

【参数】

accounting：指定未收到计费服务器响应的请求报文的最大数目。

authentication：指定未收到认证服务器响应的请求报文的最大数目。

max-number：请求报文的最大值，取值范围为1～255。

【缺省用户角色】

network-admin

【使用指导】

如果RADIUS服务器处理能力有限，不能并发处理过多的RADIUS请求报文，则可以通过本配置控制设备发送给RADIUS服务器的请求报文的速率。系统中存在两类Pending报文计数器，分别服务于RADIUS认证服务器和计费服务器，用于统计已发送给RADIUS服务器但还未收到响应的请求报文数，其最大值由本配置决定。在一个RADIUS方案下指定了认证/计费Pending报文计数器的最大值后，针对该方案下的每一个RADIUS认证/计费服务器，设备均会在向其发送首个认证/计费请求报文后启动一个Pending报文计数器。Pending报文计数器的具体工作机制如下：

(1) 设备向RADIUS服务器每发送一个请求报文后，都会将对应的Pending报文计数器加一，且在每收到一个响应报文或者该请求响应超时后，又将该Pending报文计数器减一。

(2) 当该计数器值达到最大值时，设备停止向对应的服务器发送请求报文，并将后续准备发送的请求报文缓存起来。

(3) 等到该计数器值低于最大值后，设备再按照缓存的先后顺序依次发送那些缓存的请求报文。当前可发送的请求报文数，取决于计数器值与最大值的差值。

删除本配置后，将不再限制发送给RADIUS服务器且未收到响应的请求报文的最大数目。

仅支持对Portal、PPP、lan-access类型的接入用户请求速率进行控制。这些类型的用户数据均保存在用户接入的单板上，因此配置的速率基于单板生效。

【举例】

# 在RADIUS方案radius1中，配置发送给RADIUS认证服务器且未收到响应的请求报文的最大数为100。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] response-pending-limit authentication 100

【相关命令】

· display radius scheme

1.3.57 retry

retry命令用来设置发送RADIUS报文的最大尝试次数。

undo retry命令用来恢复缺省情况。

【命令】

retry retries

undo retry

【缺省情况】

发送RADIUS报文的最大尝试次数为3次。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

retries：发送RADIUS报文的最大尝试次数，取值范围为1～20。

【使用指导】

由于RADIUS协议采用UDP报文来承载数据，因此其通信过程是不可靠的。如果设备在应答超时定时器规定的时长内（由timer response-timeout命令配置）没有收到RADIUS服务器的响应，则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数已达到最大传送次数而RADIUS服务器仍旧没有响应，则设备将认为本次请求失败。

需要注意的是：

· 发送RADIUS报文的最大尝试次数、RADIUS服务器响应超时时间以及配置的RADIUS服务器总数，三者的乘积不能超过接入模块定义的用户认证超时时间，否则在RADIUS认证过程完成之前用户就有可能被强制下线。

· 设备在按照配置顺序尝试与下一个RADIUS服务器通信之前，会首先判断当前累计尝试持续时间是否达到或超过300秒，如果超过或达到300秒，将不再向下一个RADIUS服务器发送RADIUS请求报文，即认为该RADIUS请求发送失败。因此，为了避免某些已部署的RADIUS服务器由于此超时机制而无法被使用到，建议基于配置的RADIUS服务器总数，合理设置发送RADIUS报文的最大尝试次数以及RADIUS服务器响应超时时间。

【举例】

# 在RADIUS方案radius1中，设置发送RADIUS报文的最大尝试次数为5次。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry 5

【相关命令】

· radius scheme

· timer response-timeout (RADIUS scheme view)

1.3.58 retry realtime-accounting

retry realtime-accounting命令用来设置允许发起实时计费请求的最大尝试次数。

undo retry realtime-accounting命令用来恢复缺省情况。

【命令】

retry realtime-accounting retries

undo retry realtime-accounting

【缺省情况】

设备允许发起实时计费请求的最大尝试次数为5。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

retries：允许发起实时计费请求的最大尝试次数，取值范围为1～255。

【使用指导】

RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器在连接超时时间之内一直收不到设备传来的实时计费报文，它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性，有必要在不可预见的故障条件下，尽量保持设备端与RADIUS服务器同步切断用户连接。设备提供对实时计费请求连续无响应次数限制的设置，保证设备尽可能得在RADIUS服务器的连接超时时长内向RADIUS服务器尝试发出实时计费请求。如果设备没有收到响应的次数超过了设定的限度，才会认为用户的实时计费失败，然后采用设置的计费更新失败策略决定是否切断用户连接（由accounting update-fail命令设置）。

以lan-access用户为例，假设RADIUS服务器的应答超时时长（timer response-timeout命令设置）为3秒，发送RADIUS报文的最大尝试次数（retry命令设置）为3，设备的实时计费间隔（timer realtime-accounting命令设置）为12分钟，设备允许实时计费无响应的最大次数为5次（retry realtime-accounting命令设置），则其含义为：设备每隔12分钟发起一次计费请求，如果3秒钟得不到回应就重新发起一次请求，如果3次发送都没有得到回应就认为该次实时计费失败，然后每隔12分钟再发送一次，5次均失败以后，设备将认为用户实时计费失败。

【举例】

# 在RADIUS方案radius1中，设置允许发起实时计费请求的最大尝试次数为10。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry realtime-accounting 10

【相关命令】

· accounting update-fail

· retry

· timer realtime-accounting (RADIUS scheme view)

· timer response-timeout (RADIUS scheme view)

1.3.59 retry stop-accounting (RADIUS scheme view)

retry stop-accounting命令用来设置发起RADIUS停止计费请求的最大尝试次数。

undo retry stop-accounting命令用来恢复缺省情况。

【命令】

retry stop-accounting retries

undo retry stop-accounting

【缺省情况】

发起RADIUS停止计费请求的最大尝试次数为500。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

retries：允许停止计费请求无响应的最大次数，取值范围为10～65535。

【使用指导】

设备通过发起RADIUS停止计费请求的最大尝试次数与其它相关参数一起控制停止计费请求报文的发送。假设存在如下配置：

· RADIUS服务器的应答超时时长（由timer response-timeout命令设置）为3秒；

· 发送RADIUS报文的最大尝试次数（由retry命令设置）为5；

· 开启了对无响应的RADIUS停止计费请求报文的缓存功能；

· 设备发起停止计费请求的最大尝试次数为20（由retry stop-accounting命令设置）。

则，如果设备发送停止计费请求报文后的3秒内得不到服务器响应就重新发送该报文。如果设备发送5次之后仍然没有得到响应，会将该报文缓存在本机上，然后再发起一轮停止计费请求。20次请求尝试均失败以后，设备将缓存的报文丢弃。

【举例】

# 在RADIUS方案radius1中，设置发起RADIUS停止计费请求的最大尝试次数为1000。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] retry stop-accounting 1000

【相关命令】

· display stop-accounting-buffer (for RADIUS)

· retry

· timer response-timeout (RADIUS scheme view)

1.3.60 secondary accounting (RADIUS scheme view)

secondary accounting命令用来配置从RADIUS计费服务器。

undo secondary accounting命令用来删除指定的从RADIUS计费服务器。

【命令】

secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value ] *

undo secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从RADIUS计费服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：从RADIUS计费服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：从RADIUS计费服务器的IPv4地址。

ipv6 ipv6-address：从RADIUS计费服务器的IPv6地址。

port-number：从RADIUS计费服务器的UDP端口号，取值范围为1～65535，缺省值为1813。

key：与从RADIUS计费服务器交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

vpn-instance vpn-instance-name：从RADIUS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从RADIUS计费服务器位于公网中。

【使用指导】

配置的从计费服务器的UDP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。

每个RADIUS方案中最多支持配置16个从RADIUS计费服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同，并且各从计费服务器的VPN、主机名、IP地址、端口号也不能完全相同。

设备与从计费服务器通信时优先使用本命令设置的共享密钥，如果此处未设置，则使用命令key accounting命令设置的共享密钥。

当RADIUS服务器负载分担功能处于关闭状态时，如果在计费开始请求报文发送过程中修改或删除了正在使用的从服务器配置，且该服务器不可达，则设备在与当前服务器通信超时后，将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信；如果在线用户正在使用的计费服务器被删除，则会重新按照优先级顺序开始依次查找状态为active的服务器发送后续的计费请求。

【举例】

# 在RADIUS方案radius1中，配置从计费服务器的IP地址为10.110.1.1，使用UDP端口1813提供RADIUS计费服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary accounting 10.110.1.1 1813

# 在RADIUS方案radius2中，配置两个从计费服务器，IP地址分别为10.110.1.1、10.110.1.2，且均使用UDP端口1813提供RADIUS计费服务。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary accounting 10.110.1.1 1813

[Sysname-radius-radius2] secondary accounting 10.110.1.2 1813

【相关命令】

· display radius scheme

· key (RADIUS scheme view)

· primary accounting

· vpn-instance (RADIUS scheme view)

1.3.61 secondary authentication (RADIUS scheme view)

secondary authentication命令用来配置从RADIUS认证服务器。

undo secondary authentication命令用来删除指定的从RADIUS认证服务器。

【命令】

secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value ] *

undo secondary authentication [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从RADIUS认证服务器。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：从RADIUS认证服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：从RADIUS认证服务器的IPv4地址。

ipv6 ipv6-address：从RADIUS认证服务器的IPv6地址。

port-number：从RADIUS认证服务器的UDP端口号，取值范围为1～65535，缺省值为1812。

key：与从RADIUS认证服务器交互的认证报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～64个字符的字符串；密文密钥为1～117个字符的字符串。

test-profile profile-name：RADIUS服务器探测模板名称，为1～31个字符的字符串，区分大小写。

vpn-instance vpn-instance-name：从RADIUS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从RADIUS认证服务器位于公网中。

【使用指导】

配置的从认证服务器的UDP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。

每个RADIUS方案中最多支持配置16个从RADIUS认证服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

RADIUS认证服务器引用了存在的服务器探测模板后，将会触发对该服务器的探测功能。

在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同，并且各从认证服务器的VPN、主机名、IP地址、端口号也不能完全相同。

设备与从认证服务器通信时优先使用本命令设置的共享密钥，如果此处未设置，则使用命令key authentication命令设置的共享密钥。

当RADIUS服务器负载分担功能处于关闭状态时，如果在认证过程中修改或删除了正在使用的从服务器配置，且该服务器不可达，则设备在与当前服务器通信超时后，将会重新按照优先级顺序开始依次查找状态为active的服务器进行通信。

【举例】

# 在RADIUS方案radius1中，配置从认证服务器的IP地址为10.110.1.2，使用UDP端口1812提供RADIUS认证/授权服务。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] secondary authentication 10.110.1.2 1812

# 在RADIUS方案radius2中，配置两个从认证服务器，IP地址分别为10.110.1.1、10.110.1.2，且均使用UDP端口1812提供RADIUS认证/授权服务。

<Sysname> system-view

[Sysname] radius scheme radius2

[Sysname-radius-radius2] secondary authentication 10.110.1.1 1812

[Sysname-radius-radius2] secondary authentication 10.110.1.2 1812

【相关命令】

· display radius scheme

· key (RADIUS scheme view)

· primary authentication (RADIUS scheme view)

· radius-server test-profile

· vpn-instance (RADIUS scheme view)

1.3.62 server-block-action (RADIUS scheme view)

server-block-action命令用来设置RADIUS服务器都处于block状态后的请求动作。

undo server-block-action命令用来恢复缺省情况。

【命令】

server-block-action { attempt | skip }

undo server-block-action

【缺省情况】

所有RADIUS服务器都处于block状态后的请求动作为attempt。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

attempt：Attempt方式，表示该方案下的所有服务器都处于block状态后，设备收到用户的认证/计费请求时，仍然会尝试向当前方案中的一个认证/计费服务器发送认证/计费请求（手工置于block状态的服务器除外）。

skip：Skip方式，表示该方案下的所有服务器都处于block状态后，设备收到用户的认证/计费请求时，会跳过当前方案中的所有服务器，直接使用为该用户配置的下一个认证/计费方法去处理这个请求。

【使用指导】

Attempt方式下，由于该方案下的所有RADIUS服务器都处于block状态后，设备仍会首先尝试与高优先级的服务器建立连接，与该服务器建立连接失败后，才会切换到配置的下一个认证/计费方法，此方法保证了设备尽量优先使用第一个认证/计费方法处理用户请求，但同时会增加请求的响应时间。因此，对于对AAA响应时间要求比较高的场合，建议选择Skip方式。

设备处理一个认证/计费请求的过程中，如果已经跳过了当前方案中的所有服务器，则后续就算该方案中有服务器状态切换回active，设备也不会再使用该方案来处理它。

【举例】

# 在RADIUS方案radius1中，设置RADIUS服务器都处于block状态后的动作为跳过当前方案中的所有服务器。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-block-action skip

【相关命令】

· display radius scheme

· retry

· timer response-timeout (RADIUS scheme view)

1.3.63 server-load-sharing enable

server-load-sharing enable命令用来开启RADIUS服务器负载分担功能。

undo server-load-sharing enable命令用来关闭RADIUS服务器负载分担功能。

【命令】

server-load-sharing enable

undo server-load-sharing enable

【缺省情况】

RADIUS服务器负载分担功能处于关闭状态。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下，RADIUS服务器负载分担功能处于关闭状态，RADIUS服务器的调度采用主/从模式。

主/从模式下，设备优先选取状态为active的主服务器进行交互，若主服务器不可达则尝试与从服务器交互。设备尝试与从服务器交互时，按照从服务器的配置顺序依次选择，先配置的服务器将优先被选取。

在主/从模式下，设备选择服务器的逻辑比较单一。如果RADIUS方案中的主服务器或者某一配置顺序靠前的从服务器始终可达，则该服务器将独立承载该方案下所有用户的AAA业务。在大用户量下，这类服务器的负荷过重，将会影响处理用户上线的整体性能。

RADIUS方案中开启服务器负载分担功能后，设备将根据当前各服务器承载的用户负荷调度合适的服务器发送认证/计费请求。考虑到各服务器的性能可能存在差异，设备支持管理员配置服务器时为各个服务器指定适应其性能的权重值（由weight关键字指定），权重值较大的服务器具备较大的被选取可能性。设备在处理用户认证/计费请求时，将综合各个服务器的权重值及当前用户负荷情况，按比例进行用户负荷分配并选择要交互的服务器。

需要注意的是，负载分担模式下，某台计费服务器开始对某用户计费后，该用户后续计费请求报文均会发往同一计费服务器。如果该计费服务器不可达，则直接返回计费失败。

【举例】

# 在RADIUS方案radius1中，开启RADIUS服务器负载分担功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-load-sharing enable

【相关命令】

· primary authentication (RADIUS scheme view)

· primary accounting (RADIUS scheme view)

· secondary authentication (RADIUS scheme view)

· secondary accounting (RADIUS scheme view)

1.3.64 server-load-sharing mode (RADIUS scheme view)

server-load-sharing mode命令用来配置RADIUS认证服务器的负载分担方式。

undo server-load-sharing mode命令用来恢复缺省情况。

【命令】

server-load-sharing mode { packet-based | session-based }

undo server-load-sharing mode

【缺省情况】

RADIUS认证服务器的负载分担方式为session-based。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

packet-based：表示基于报文进行负载分担。

session-based：表示基于会话进行负载分担。

【使用指导】

RADIUS服务器负载分担功能处于开启状态时，设备支持两种负载分担方式选择向该方案中的哪个认证服务器发送认证请求报文：

· 基于会话负载分担：根据各认证服务器当前承载的会话数，基于权重比例调度服务器。每当设备向某服务器发送一个认证请求报文后，该服务器承载的会话数增加一；若设备收到该服务器的认证响应报文，则会将它承载的会话数减去一。

· 基于报文负载分担：根据各认证服务器已承载的请求报文数，基于权重比例调度服务器。每当设备向某服务器发送一个认证请求报文后，该服务器承载的请求报文数增加一；若设备重启，则所有服务器承载的请求报文数将被清零。这种方式可以满足希望用户认证报文均匀分配到各服务器上，避免某一个服务器一直处于工作状态的需求。

该命令只有在RADIUS服务器负载分担功能开启状态下有效，并且只用来控制认证负载分担的算法。

【举例】

#在RADIUS方案radius1中，开启RADIUS认证服务器基于报文的负载分担功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] server-load-sharing mode packet-based

[Sysname-radius-radius1] server-load-sharing enable

【相关命令】

· primary authentication (RADIUS scheme view)

· primary accounting (RADIUS scheme view)

· secondary authentication (RADIUS scheme view)

· secondary accounting (RADIUS scheme view)

· server-load-sharing enable

1.3.65 snmp-agent trap enable radius

snmp-agent trap enable radius命令用来开启RADIUS告警功能。

undo snmp-agent trap enable radius命令用来关闭指定的RADIUS告警功能。

【命令】

snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *

undo snmp-agent trap enable radius [ accounting-server-down | accounting-server-up | authentication-error-threshold | authentication-server-down | authentication-server-up ] *

【缺省情况】

所有类型的RADIUS告警功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

accounting-server-down：表示RADIUS计费服务器可达状态变为down时发送告警信息。

accounting-server-up：表示RADIUS计费服务器可达状态变为up时发送告警信息。

authentication-error-threshold：表示认证失败次数超过阈值时发送告警信息。该阈值为认证失败次数占认证请求总数的百分比数值，目前仅能通过MIB方式配置，取值范围为1～100，缺省为30。

authentication-server-down：表示RADIUS认证服务器可达状态变为down时发送告警信息。

authentication-server-up：表示RADIUS认证服务器可达状态变为up时发送告警信息。

【使用指导】

不指定任何参数时，表示开启或关闭所有类型的RADIUS告警功能。

开启RADIUS服务器告警功能后，系统将会生成以下几种告警信息：

· RADIUS服务器不可达的告警：当NAS向RADIUS服务器发送计费或认证请求没有收到响应时，会重传请求，当重传次数达到最大传送次数时仍然没有收到响应时，则发送该告警信息。

· RADIUS服务器可达的告警：当timer quiet定时器设定的时间到达后，NAS将服务器的状态置为激活状态并发送该告警信息。

· 认证失败次数超过阈值的告警：当NAS发现认证失败次数与认证请求总数的百分比超过阈值时，会发送该告警信息。

【举例】

# 开启RADIUS计费服务器可达状态变为down时的告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable radius accounting-server-down

1.3.66 source-ip

source-ip命令用来设置设备发送RADIUS报文使用的源IP地址。

undo source-ip命令用来删除指定类型的发送RADIUS报文使用的源IP地址。

【命令】

source-ip { ipv4-address | ipv6 ipv6-address }

undo source-ip [ ipv6 ]

【缺省情况】

未指定设备发送RADIUS报文使用的源IP地址，使用系统视图下由命令radius source-ip指定的源IP地址。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：源IPv4地址，为本机地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：源IPv6地址，为本机地址，且必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

RADIUS服务器上通过IP地址来标识接入设备，并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证或计费请求。因此，为保证RADIUS报文可被服务器正常接收并处理，接入设备上发送RADIUS报文使用的源地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。

设备按照以下顺序选择发送RADIUS报文实际使用的源IP地址：

· RADIUS方案视图下配置的源IP地址（通过source-ip命令）。

· 系统视图下的配置的源IP地址（通过radius source-ip命令）。

· RADIUS方案视图下配置的NAS-IP地址（通过nas-ip命令）。

· 系统视图下的配置的源NAS-IP地址（通过radius nas-ip命令）。

· 发送RADIUS报文的出接口的IP地址。

一个RADIUS方案视图下，最多允许指定一个IPv4源地址和一个IPv6源地址。

如果undo source-ip命令中不指定ipv6参数，则表示删除配置的发送RADIUS报文使用的源IPv4地址。

【举例】

#在RADIUS方案radius1中，设置设备发送RADIUS报文使用的源IPv4地址为10.1.1.1。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] source-ip 10.1.1.1

【相关命令】

· display radius scheme

· nas-ip (RADIUS scheme view)

· radius nas-ip

· radius source-ip

1.3.67 state primary

state primary命令用来设置主RADIUS服务器的状态。

【命令】

state primary { accounting | authentication } { active | block }

【缺省情况】

主RADIUS服务器状态为active。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

accounting：主RADIUS计费服务器。

authentication：主RADIUS认证服务器。

active：正常工作状态。

block：通信中断状态。

【使用指导】

当RADIUS服务器负载分担功能处于关闭状态时，每次用户发起认证或计费，如果主服务器状态为active，则设备都会首先尝试与主服务器进行通信，如果主服务器不可达，则将主服务器的状态置为block，同时启动主服务器的timer quiet定时器，然后设备会严格按照从服务器的配置先后顺序依次查找状态为active的从服务器。在timer quiet定时器设定的时间到达之后，主服务器状态将由block恢复为active。若该定时器超时之前，通过本命令将主服务器的状态手工设置为block，则定时器超时之后主服务器状态不会自动恢复为active，除非通过本命令手工将其设置为active。

当RADIUS服务器负载分担功能处于开启状态时，设备仅根据当前各服务器承载的用户负荷调度状态为active的服务器发送认证或计费请求。

如果主服务器与所有从服务器状态都是block，则采用主服务器进行认证或计费。

认证服务器的状态会影响设备对该服务器可达性探测功能的开启。当指定的服务器状态为active，且该服务器通过radius-server test-profile命令成功引用了一个已存在的服务器探测模板时，则设备会开启对该服务器的可达性探测功能。当手工将该服务器状态置为block时，会关闭对该服务器的可达性探测功能。

【举例】

# 在RADIUS方案radius1中，设置主认证服务器的状态为block。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state primary authentication block

【相关命令】

· display radius scheme

· radius-server test-profile

· server-load-sharing enable

· state secondary

1.3.68 state private

state private命令用来设置私有RADIUS服务器的状态。

【命令】

state private { accounting | authentication } [ { ipv4-address | ipv6 ipv6-address } ] { active | block }

【缺省情况】

私有RADIUS服务器状态为active。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

accounting：私有RADIUS计费服务器。

authentication：私有RADIUS认证服务器。

ipv4-address：私有RADIUS服务器的IPv4地址。

ipv6 ipv6-address：私有RADIUS服务器的IPv6地址。

port-number：从RADIUS服务器的UDP端口号，取值范围为1～65535，从RADIUS计费服务器的缺省UDP端口号为1813，从RADIUS认证服务器的缺省UDP端口号为1812。

active：正常工作状态。

block：通信中断状态。

【使用指导】

每次用户向私有服务器发起认证或计费，如果服务器状态为active，则设备会尝试与该服务器进行通信，如果服务器不可达，则将服务器的状态置为block，同时启动服务器的timer quiet定时器。在timer quiet定时器设定的时间到达之后，服务器状态将由block恢复为active。若该定时器超时之前，通过本命令将服务器的状态手工设置为block，则定时器超时之后服务器状态不会自动恢复为active，除非通过本命令手工将其设置为active。

如果配置本命令时未指定私有服务器IP地址，则表示修改所有已配置的私有认证服务器或私有计费服务器的状态。

【举例】

# 在RADIUS方案radius1中，设置所有私有认证服务器的状态设置为block。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state private authentication block

【相关命令】

· display radius scheme

1.3.69 state secondary

state secondary命令用来设置从RADIUS服务器的状态。

【命令】

state secondary { accounting | authentication } [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ] { active | block }

【缺省情况】

从RADIUS服务器状态为active。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

accounting：从RADIUS计费服务器。

authentication：从RADIUS认证服务器。

host-name：从RADIUS服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：从RADIUS服务器的IPv4地址。

ipv6 ipv6-address：从RADIUS服务器的IPv6地址。

port-number：从RADIUS服务器的UDP端口号，取值范围为1～65535，从RADIUS计费服务器的缺省UDP端口号为1813，从RADIUS认证服务器的缺省UDP端口号为1812。

vpn-instance vpn-instance-name：从RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例名称，为1～31个字符的字符串，区分大小写。

active：正常工作状态。

block：通信中断状态。

【使用指导】

如果不指定从服务器IP地址，那么本命令将会修改所有已配置的从认证服务器或从计费服务器的状态。

当RADIUS服务器负载分担功能处于关闭状态时，如果设备查找到的状态为active的从服务器不可达，则设备会将该从服务器的状态置为block，同时启动该服务器的timer quiet定时器，并继续查找下一个状态为active的从服务器。在timer quiet定时器设定的时间到达之后，从服务器状态将由block恢复为active。若该定时器超时之前，通过本命令将从服务器的状态手工设置为block，则定时器超时之后从服务器状态不会自动恢复为active，除非通过本命令手工将其设置为active。如果所有已配置的从服务器都不可达，则本次认证或计费失败。

当RADIUS服务器负载分担功能处于开启状态时，设备仅根据当前各服务器承载的用户负荷调度状态为active的服务器发送认证或计费请求。

【举例】

# 在RADIUS方案radius1中，设置从认证服务器的状态设置为block。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] state secondary authentication block

【相关命令】

· display radius scheme

· radius-server test-profile

· server-load-sharing enable

· state primary

1.3.70 stop-accounting-buffer enable (RADIUS scheme view)

stop-accounting-buffer enable命令用来开启对无响应的RADIUS停止计费请求报文的缓存功能。

undo stop-accounting-buffer enable命令用来关闭对无响应的RADIUS停止计费请求报文的缓存功能。

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【缺省情况】

设备缓存未得到响应的RADIUS停止计费请求报文。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

设备在发送停止计费请求报文而RADIUS服务器没有响应时，会尝试重传该报文，最大尝试次数由retry命令设置。如果设备发送该RADIUS报文的最大尝试次数超过最大值后，仍然没有得到响应，则该功能处于开启状态的情况下设备会缓存该报文，然后再发起一次请求，若仍然未得到响应，则重复上述过程，一定次数（由retry stop-accounting命令设置）之后，设备将其丢弃。

如果RADIUS方案中的某计费服务器被删除，则设备将会丢弃相应的已缓存停止计费请求报文。

【举例】

# 开启对无响应的RADIUS停止计费请求报文的缓存功能。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] stop-accounting-buffer enable

【相关命令】

· display stop-accounting-buffer (for RADIUS)

· reset stop-accounting-buffer (for RADIUS)

1.3.71 stop-accounting-packet send-force

stop-accounting-packet send-force命令用来配置用户下线时设备强制发送RADIUS计费停止报文。

undo stop-accounting-packet send-force命令用来恢复缺省情况。

【命令】

stop-accounting-packet send-force

undo stop-accounting-packet send-force

【缺省情况】

用户下线时设备不会强制发送计费停止报文。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【使用指导】

通常，RADIUS服务器在收到用户的计费开始报文后才会生成用户表项，但有一些RADIUS服务器在用户认证成功后会立即生成用户表项。如果设备使用该类RADIUS服务器进行认证/授权/计费，则在用户认证后，因为一些原因（比如授权失败）并未发送计费开始报文，则在该用户下线时设备也不会发送RADIUS计费停止报文，就会导致RADIUS服务器上该用户表项不能被及时释放，形成服务器和设备上用户信息不一致的问题。为了解决这个问题，建议开启本功能。

开启本功能后，只要用户使用RADIUS服务器进行计费，且设备未向RADIUS服务器发送计费开始报文，则在用户下线时设备会强制发送一个RADIUS计费停止报文给服务器，使得服务器收到此报文后及时释放用户表项。

【举例】

# 在RADIUS方案radius1中，配置用户下线时设备强制发送RADIUS计费停止报文。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] stop-accounting-packet send-force

【相关命令】

· display radius scheme

1.3.72 test-aaa

test-aaa命令用来发起一次AAA请求测试。

【命令】

test-aaa user user-name password password radius-scheme radius-scheme-name [ radius-server { ipv4-address | ipv6 ipv6-address } port-number [ vpn-instance vpn-instance-name ] ] [ chap | pap ] [ attribute-test-group attr-test-group-name ] [ trace ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

user user-name：待测试的用户名，为1～80个字符的字符串，区分大小写。用户名中可以携带域名，形式为“纯用户名@域名”，其中纯用户名区分大小写，域名不区分大小写。

password password：待测试用户的明文密码，为1～63个字符的字符串，区分大小写。

radius-scheme radius-scheme-name：RADIUS方案名称，为1～32个字符的字符串，不区分大小写。

radius-server：指定具体的RADIUS服务器。

ipv4-address：RADIUS服务器的IPv4地址。

ipv6 ipv6-address：RADIUS服务器的IPv6地址。

port-number：RADIUS服务器的UDP端口号，取值范围为1～65535。

vpn-instance vpn-instance-name：RADIUS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示待探测RADIUS服务器位于公网中。

chap：采用CHAP认证方式。该方式也是缺省认证方式。

pap：采用PAP认证方式。

attribute-test-group attr-test-group-name：RADIUS属性测试组的名称，为1～31个字符的字符串，不区分大小写。

trace：显示详细的RADIUS报文交互信息。若不指定该参数，则表示仅显示报文收发结果及最终的测试结果。

【使用指导】

本命令主要用于排查设备与AAA服务器交互时的故障原因，目前仅支持对RADIUS服务器的测试。当故障发生时，执行本命令发起一次RADIUS请求测试，通过查看打印出的认证/计费请求结果以及报文交互信息，有利于快速定位故障发生的关键环节，以及及时排查影响认证/计费结果的RADIUS属性。

可以在执行本命令时指定RADIUS属性测试组，指定的测试组中定义了RADIUS请求报文中要携带的属性。如果本命令中未指定RADIUS属性测试组或指定的RADIUS属性测试组不存在，则测试过程中发送的RADIUS请求报文中将会携带一些缺省属性，缺省属性的介绍请参见AAA配置手册。

由于测试期间不能保证设备与AAA服务器可以正常通信，因此不建议同时允许用户进行正常的上线、下线操作。

测试过程中，如果引用的RADIUS方案配置发生变化，则仅在下次测试中生效，并不影响本次探测。

仅允许在同一时间内存在一个测试过程，下一次测试只能在当前测试过程完成后执行。

【举例】

# 发起一次AAA请求测试，使用的测试用户名为user1，密码为123456，RADIUS方案名为test，同时打印详细的RADIUS报文交互信息。

<Sysname> test-aaa user user1 password 123456 radius-scheme test chap trace

Sent a RADIUS authentication request.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1812

Packet type : Authentication request

Packet length: 118 bytes

Packet ID : 0

Attribute list:

[User-Name(1)] [6] [user1]

[CHAP-Password(3)] [19] [******]

[NAS-IP-Address(4)] [6] [192.168.1.166]

[Service-Type(6)] [6] [2] [Framed]

[Framed-Protocol(7)] [6] [1] [PPP]

[NAS-Identifier(32)] [5] [Sysname]

[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]

[CHAP-Challenge(60)] [18] [******]

[NAS-Port-Type(61)] [6] [15] [Ethernet]

Received a RADIUS authentication response.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1812

Packet type : Access-Reject

Packet length: 20 bytes

Packet ID : 0

Reply-Message: "E63032: Incorrect password. You can retry 9 times."

Sent a RADIUS start-accounting request.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Start-accounting request

Packet length: 63 bytes

Packet ID : 1

Attribute list:

[User-Name(1)] [6] [user1]

[Acct-Status-Type(40)] [6] [1] [Start]

[NAS-IP-Address(4)] [6] [192.168.1.166]

[NAS-Identifier(32)] [5] [Sysname]

[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]

Received a RADIUS start-accounting response.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Start-accounting response

Packet length: 20 bytes

Packet ID : 1

Sent a RADIUS stop-accounting request.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Stop-accounting request

Packet length: 91 bytes

Packet ID : 1

Attribute list:

[User-Name(1)] [6] [user1]

[Acct-Status-Type(40)] [6] [2] [Stop]

[NAS-IP-Address(4)] [6] [192.168.1.166]

[NAS-Identifier(32)] [5] [Sysname]

[Acct-Delay-Time(41)] [6] [0]

[Acct-Session-Id(44)] [40] [00000008201707241008280000000c16100171]

[Acct-Terminate-Cause(49)] [6] [1] [User Request]

Received a RADIUS stop-accounting response.

Server IP : 192.168.1.110

Source IP : 192.168.1.166

VPN instance : N/A

Server port : 1813

Packet type : Stop-accounting response

Packet length: 20 bytes

Packet ID : 1

Test result: Failed

# 发起一次AAA请求测试，使用的测试用户名为user1，密码为123456 ，RADIUS方案名为test，指定探测test下认证服务器192.168.1.110，且不打印详细的RADIUS报文交互信息。

<Sysname> test-aaa user user1 password 123456 radius-scheme test radius-server 192.168.1.110 1812

Sent a RADIUS authentication request.

Received a RADIUS authentication response.

Test result: Successful

表1-21 test-aaa命令显示信息描述表

字段	描述
Server IP	服务器的IP地址
Source IP	RADIUS报文源IP地址
VPN instance	RADIUS认证/计费服务器所在的VPN，服务器位于公网时，显示为N/A
Server port	RADIUS认证/计费服务器的UDP端口号
Packet type	RADIUS报文类型： · Authentication request：认证请求报文 · Access-Accept：认证接受报文 · Access-Reject：认证拒绝报文 · Start-accounting request：开始计费请求报文 · Start-accounting response：开始计费响应报文 · Stop-accounting request：停止计费请求报文 · Stop-accounting response：停止计费响应报文
Packet length	报文总长度，单位为字节
Packet ID	报文ID，用于匹配响应报文和对应的请求报文
[attribute-name (code)] [length] [value] [description]	RADIUS属性信息： · attribute-name：属性名称 · code：属性编号 · length：属性值的长度，单位为字节 · value：属性值 · description：特殊属性值的描述信息
Sent a RADIUS authentication request.	成功发送了一个认证请求报文
Failed to receive a RADIUS authentication response.	认证请求已超时，未收到应答
Received a RADIUS authentication response.	接收到一个认证响应报文
Sent a RADIUS start-accounting request.	成功发送了一个计费开始请求报文
Failed to receive a RADIUS start-accounting response.	计费开始请求已超时，未收到应答
Received a RADIUS start-accounting response.	接收到一个计费开始请求报文
Sent a RADIUS stop-accounting request.	成功发送了一个计费停止请求报文
Failed to receive a RADIUS stop-accounting response.	计费停止请求已超时，未收到应答
Received a RADIUS stop-accounting response.	接收到一个计费停止请求报文
Reply-Message:	RADIUS服务器拒绝此认证请求，并下发提示信息
The authentication server is not configured.	指定的RADIUS方案中未配置要探测的认证服务器
The accounting server is not configured.	指定的RADIUS方案中未配置要探测的计费服务器
Test result	测试结果： · Successful：当前用户的AAA测试成功 · Failed：当前用户的AAA测试失败（只要有一个请求报文测试失败，即为失败）

【相关命令】

· radius attribute-test-group

· radius scheme

1.3.73 threshold remanent-volume

threshold remanent-volume命令用来配置用户剩余流量阈值。

undo threshold remanent-volume命令用来恢复缺省情况。

【命令】

threshold remanent-volume threshold-value

undo threshold remanent-volume

【缺省情况】

用户剩余流量阈值为0。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

threshold-value：剩余流量阈值，取值范围为0～4294967295，单位由attribute remanent-volume unit命令决定。

【使用指导】

用户认证上线后，若RADIUS服务器分多次向用户授权下发流量配额，则每当用户可用流量达到指定的剩余流量阈值时，设备会立即向服务器为该用户申请新的流量配额。例如，RADIUS服务器上设置某用户可用的总流量为50M，且每次向用户下发的流量配额为10M，同时设备上配置的剩余流量阈值为2M，则当该用户剩余流量为2M时，设备会向RADIUS服务器发起实时计费请求来获取新的配额。之后，RADIUS服务器服务器再次向用户授权下发10M的配额，此过程循环进行，直到用户耗尽所有可用流量配额。

【举例】

# 在RADIUS方案radius1中，配置用户剩余流量阈值为2048兆字节。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] threshold remanent-volume 2048

[Sysname-radius-radius1] attribute remanent-volume unit mega-byte

【相关命令】

· attribute remanent-volume unit

· display radius scheme

1.3.74 timer quiet (RADIUS scheme view)

timer quiet命令用来设置服务器恢复激活状态的时间。

undo timer quiet命令用来恢复缺省情况。

【命令】

timer quiet minutes

undo timer quiet

【缺省情况】

服务器恢复激活状态的时间为5分钟。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

minutes：恢复激活状态的时间，取值范围为0～255，单位为分钟。

【使用指导】

建议合理设置服务器恢复激活状态的时间：

· 如果服务器恢复激活状态时间设置的过短，就会出现设备反复尝试与状态active但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。

· 如果服务器恢复激活状态时间设置的过长，当服务器恢复可达后，设备不能及时与其进行通信，会降低对用户进行认证或计费的效率。

【举例】

# 在RADIUS方案radius1中，配置服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer quiet 10

【相关命令】

· display radius scheme

1.3.75 timer realtime-accounting (RADIUS scheme view)

timer realtime-accounting命令用来设置实时计费的时间间隔。

undo timer realtime-accounting命令用来恢复缺省情况。

【命令】

timer realtime-accounting interval [ second ]

undo timer realtime-accounting

【缺省情况】

实时计费的时间间隔为12分钟。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

interval：实时计费的时间间隔，取值范围为0～71582。

second：表示实时计费的时间间隔以秒为单位，缺省以分钟为单位。

【使用指导】

为了对用户实施实时计费，有必要设置实时计费的时间间隔。不同的取值的处理有所不同：

· 若实时计费间隔不为0，则每隔设定的时间，设备会向RADIUS服务器发送一次在线用户的计费信息。

· 若实时计费间隔设置为0，且服务器上配置了实时计费间隔，则设备按照服务器上配置的实时计费间隔向RADIUS服务器发送在线用户的计费信息；如果服务器上没有配置该值，则设备不向RADIUS服务器发送在线用户的计费信息。

实时计费间隔的取值小，计费准确性高，但对设备和RADIUS服务器的性能要求就高。

表1-22 实时计费间隔与用户量之间的推荐比例关系

用户数	实时计费间隔（分钟）
1～99	3
100～499	6
500～999	12
大于等于1000	大于等于15

需要注意的是，无论实时计费间隔取值为多少，对于双栈用户，设备缺省会在用户申请到IPv4地址时为其发送一个计费开始报文，并在随后用户申请到IPv6地址/PD时再发送一个计费更新报文。

对于未进行RADIUS认证和授权，仅进行RADIUS计费的用户，只能使用计费方案下设置的实时计费间隔，不会使用RADIUS服务器设置的实时计费间隔。

【举例】

# 在RADIUS方案radius1中，设置实时计费的时间间隔为51分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer realtime-accounting 51

【相关命令】

· retry realtime-accounting

1.3.76 timer response-timeout (RADIUS scheme view)

timer response-timeout命令用来设置RADIUS服务器响应超时时间。

undo timer response-timeout命令用来恢复缺省情况。

【命令】

timer response-timeout seconds

undo timer response-timeout

【缺省情况】

RADIUS服务器响应超时时间为3秒。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

seconds：RADIUS服务器响应超时时间，取值范围为1～10，单位为秒。

【使用指导】

如果在RADIUS请求报文传送出去一段时间后，设备还没有得到RADIUS服务器的响应，则有必要重传RADIUS请求报文，以保证用户尽可能地获得RADIUS服务，这段时间被称为RADIUS服务器响应超时时间，本命令用于调整这个时间。

需要注意的是：

【举例】

# 在RADIUS方案radius1中，设置服务器响应超时时间设置为5秒。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] timer response-timeout 5

【相关命令】

· display radius scheme

· retry

1.3.77 trust ip

trust ip命令用来配置免校验RADIUS DAE客户端的IP地址。

undo trust ip命令用来删除指定的免校验RADIUS DAE客户端的IP地址。

【命令】

trust ip ipv4-address [ vpn-instance vpn-instance-name ]

undo trust ip ipv4-address [ vpn-instance vpn-instance-name ]

【缺省情况】

未配置免校验RADIUS DAE客户端的IP地址。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：免校验的RADIUS DAE客户端IPv4地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

【使用指导】

在DAE代理组网环境中，作为DAE代理的设备收到DAE请求报文后，必须校验报文的合法性，校验合法的报文才会被转发给RADIUS DAE服务器。如果RADIUS DAE服务器信任DAE代理转发的DAE请求报文，则可以通过配置免校验DAE客户端的IP地址来决定不对哪些报文进行重复校验。当RADIUS DAE服务器收到DAE请求报文后，如果报文的源地址在配置的免校验DAE客户端的IP地址列表中，则不校验该报文，否则正常校验。

通过多次执行本命令可配置多个免校验的RADIUS DAE客户端的IP地址。

【举例】

# 配置免校验DAE客户端的IP地址10.110.1.2。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] trust ip 10.110.1.2

【相关命令】

· trust ipv6

1.3.78 trust ipv6

trust ipv6命令用来配置免校验RADIUS DAE客户端的IPv6地址。

undo trust ipv6命令用来删除指定的免校验RADIUS DAE客户端的IPv6地址。

【命令】

trust ipv6 ipv6-address [ vpn-instance vpn-instance-name ]

undo trust ipv6 ipv6-address [ vpn-instance vpn-instance-name ]

【缺省情况】

未配置免校验RADIUS DAE客户端的IPv6地址。

【视图】

RADIUS DAE服务器视图

【缺省用户角色】

network-admin

【参数】

ipv6-address：免校验的RADIUS DAE客户端IPv6地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

通过多次执行本命令可配置多个免校验的RADIUS DAE客户端的IPv6地址。

【举例】

# 配置免校验DAE客户端的IPv6地址10:110::1:2。

<Sysname> system-view

[Sysname] radius dynamic-author server

[Sysname-radius-da-server] trust ipv6 10:110::1:2

【相关命令】

· trust ip

1.3.79 user-name-format (RADIUS scheme view)

user-name-format命令用来设置发送给RADIUS服务器的用户名格式。

undo user-name-format命令用来恢复缺省情况。

【命令】

user-name-format { keep-original | with-domain | without-domain }

undo user-name-format

【缺省情况】

发送给RADIUS服务器的用户名携带ISP域名。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

keep-original：发送给RADIUS服务器的用户名与用户的输入保持一致。

with-domain：发送给RADIUS服务器的用户名携带ISP域名。

without-domain：发送给RADIUS服务器的用户名不携带ISP域名。

【使用指导】

接入用户通常以“userid@isp-name”的格式命名，“@”后面的部分为ISP域名，设备就是通过该域名来决定将用户归于哪个ISP域的。但是，有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名，在这种情况下，有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此，设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。

如果指定某个RADIUS方案不允许用户名中携带有ISP域名，那么请不要在两个或两个以上的ISP域中同时设置使用该RADIUS方案。否则，会出现虽然实际用户不同（在不同的ISP域中），但RADIUS服务器认为用户相同（因为传送到它的用户名相同）的错误。

若接入用户为需要漫游的无线用户，建议接入设备上将发送给RADIUS服务器的用户名格式配置为keep-original类型，否则可能导致这类用户认证失败。

【举例】

# 在RADIUS方案radius1中，设置发送给RADIUS服务器的用户名不得携带域名。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] user-name-format without-domain

【相关命令】

· display radius scheme

1.3.80 vpn-instance (RADIUS scheme view)

vpn-instance命令用来配置RADIUS方案所属的VPN。

undo vpn-instance命令用来恢复缺省情况。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情况】

RADIUS方案属于公网。

【视图】

RADIUS方案视图

【缺省用户角色】

network-admin

【参数】

vpn-instance-name：MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。

【使用指导】

本命令配置的VPN对于该方案下的所有RADIUS认证/计费服务器生效，但设备优先使用配置RADIUS认证/计费服务器时为各服务器单独指定的VPN。

【举例】

# 配置RADIUS方案radius1所属的VPN为test。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] vpn-instance test

【相关命令】

· display radius scheme

1.4 EAP认证方案配置命令

1.4.1 ca-file

ca-file命令用来配置EAP认证使用的CA证书。

undo ca-file命令用来恢复缺省情况。

【命令】

ca-file file-name

undo ca-file

【缺省情况】

未配置EAP认证使用的CA证书。

【视图】

EAP认证方案视图

【缺省用户角色】

network-admin

【参数】

file-name：表示CA证书文件名称，为1～91个字符的字符串，区分大小写。仅支持PEM格式的CA证书。

【使用指导】

当客户端使用的EAP认证方法为PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2时，设备作为服务器使用CA证书来校验客户端的证书。

配置CA证书之前，需要通过FTP或TFTP的方式将证书文件导入设备的存储介质的根目录下。

一个EAP认证方案视图中只能指定一个CA证书，后配置的生效。

【举例】

# 在EAP认证方案eap1中，配置EAP认证使用的CA证书文件为ca.pem。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] ca-file ca.pem

【相关命令】

· certificate-file

1.4.2 certificate-file

certificate-file命令用来配置EAP认证使用的本地证书。

undo certificate-file命令用来恢复缺省情况。

【命令】

certificate-file file-name

undo certificate-file

【缺省情况】

未配置EAP认证使用的本地证书。

【视图】

EAP认证方案视图

【缺省用户角色】

network-admin

【参数】

file-name：表示证书文件名称，为1～91个字符的字符串，区分大小写。仅支持PEM格式的本地证书。

【使用指导】

当客户端使用的EAP认证方法为PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2、TLS时，如果客户端选择校验服务器的证书，则设备作为服务器需要提供本地证书供客户端校验。

配置本地证书之前，需要通过FTP或TFTP的方式将证书文件导入设备的存储介质的根目录下。

一个EAP认证方案视图中只能指定一个本地证书，后配置的生效。

本配置是本地RADIUS服务器启动的必要条件之一。

【举例】

# 在EAP认证方案eap1中，配置EAP认证使用的本地证书文件为server.pem。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] certificate-file server.pem

【相关命令】

· private-key-file

1.4.3 eap-profile

eap-profile命令用来创建EAP认证方案，并进入EAP认证方案视图。如果指定的EAP认证方案已存在，则直接进入EAP认证方案视图。

undo eap-profile命令用来删除指定的EAP认证方案。

【命令】

eap-profile eap-profile-name

undo eap-profile eap-profile-name

【缺省情况】

不存在EAP认证方案。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

eap-profile-name：EAP认证方案的名称，为1～32个字符的字符串，区分大小写。

【使用指导】

EAP认证方案是一个EAP认证选项的配置集合，用于指定设备作为RADIUS服务器时采用的EAP认证方法以及EAP认证参数。

系统最多支持配置16个EAP认证方案。

对于本地RADIUS服务器应用的EAP认证方案，该方案下所有配置仅在执行radius-server activate之后才会生效。

【举例】

# 创建名为eap1的EAP认证方案，并进入其视图。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1]

【相关命令】

· display radius-server active-eap-profile

· radius-server activate

· radius-server test-profile

1.4.4 method

method命令用来配置缺省EAP认证方法。

undo method命令用来恢复缺省情况。

【命令】

method { md5 | peap-gtc | peap-mschapv2 | tls | ttls-gtc | ttls-mschapv2 }

undo method

【缺省情况】

采用的缺省EAP认证方法为MD5-Challenge。

【视图】

EAP认证方案视图

【缺省用户角色】

network-admin

【参数】

md5：表示采用的认证方法为MD5-Challenge。

peap-gtc：表示采用的认证方法为PEAP-GTC。

peap-mschapv2：表示采用的认证方法为PEAP-MSCHAPV2。

tls：表示采用的认证方法为TLS。

ttls-gtc：表示采用的认证方法为TTLS-GTC。

ttls-mschapv2：表示采用的认证方法为TTLS-MSCHAPV2。

【使用指导】

一个EAP认证方案视图中只能指定一个EAP认证方法，后配置的生效。

设备支持多种EAP认证方法，在向对端发起认证请求时优先使用EAP认证方案中配置的缺省EAP认证方法。若对端使用的EAP认证方法与该缺省认证方法不一致，会告知设备自己支持的EAP认证方法，然后设备将采用本地支持且与对端一致的EAP认证方法重新向对端发起认证请求。但是，当设备采用EAP终结方式对无线客户端进行认证处理时，仅且只能支持使用指定的缺省认证方法PEAP-GTC与对端进行协商。

【举例】

# 在EAP认证方案eap1中，配置缺省认证方法为PEAP-GTC。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] method peap-gtc

【相关命令】

· display radius-server active-eap-profile

1.4.5 private-key-file

private-key-file命令用来配置本地证书的私钥。

undo private-key-file命令用来恢复缺省情况。

【命令】

private-key-file file-name

undo private-key-file

【缺省情况】

未配置EAP认证使用的本地证书的私钥。

【视图】

EAP认证方案视图

【缺省用户角色】

network-admin

【参数】

file-name：表示私钥文件名称，为1～91个字符的字符串，区分大小写。仅支持PEM格式的私钥文件。

【使用指导】

当客户端使用的EAP认证方法为PEAP-GTC、PEAP-MSCHAPv2、TTLS-GTC、TTLS-MSCHAPv2、TLS时，客户端发送给服务器的信息是经过公钥加密的，所以需要使用对应的私钥去解析客户端信息。

如果本地证书中携带了私钥，那么指定的私钥文件名称必须和本地证书文件名称相同。

配置私钥之前，需要通过FTP或TFTP的方式将私钥文件导入设备的存储介质的根目录下。

一个EAP认证方案视图中只能指定一个私钥文件，后配置的生效。

本配置是本地RADIUS服务器启动的必要条件之一。

【举例】

# 在EAP认证方案eap1中，配置本地证书的私钥文件为server.pem。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] private-key-file server.pem

【相关命令】

· certificate-file

· display radius-server active-eap-profile

1.4.6 private-key-password

private-key-password命令用来配置本地证书的私钥密码。

undo private-key-password命令用来恢复缺省情况。

【命令】

private-key-password { cipher | simple } string

undo private-key-password

【缺省情况】

未配置本地证书的私钥密码。

【视图】

EAP认证方案视图

【缺省用户角色】

network-admin

【参数】

cipher：以密文方式设置密码。

simple：以明文方式设置密码，该密码将以密文形式存储。

string：密码字符串，区分大小写。明文密码为1～63个字符的字符串，密文密码为1～117个字符的字符串。

【使用指导】

设备在导入和使用本地证书的私钥时，需要提供对应的私钥密码，因此本命令配置的私钥密码必须与导出私钥时指定的密码一致。

一个EAP认证方案视图下，只能存在一个私钥密码，后配置的生效。

本配置是本地RADIUS服务器启动的必要条件之一。

【举例】

# 在EAP认证方案eap1中，配置本地证书的私钥密码为明文123。

<Sysname> system-view

[Sysname] eap-profile eap1

[Sysname-eap-profile-eap1] private-key-password simple 123

【相关命令】

· private-key-file

1.4.7 ssl-server-policy

ssl-server-policy命令用来配置EAP认证使用的SSL服务器端策略。

undo ssl-server-policy命令用来恢复缺省情况。

【命令】

ssl-server-policy policy-name

undo ssl-server-policy

【缺省情况】

未配置EAP认证使用的SSL服务器端策略。

【视图】

EAP认证方案视图

【缺省用户角色】

network-admin

【参数】

policy-name：SSL服务器端策略名，为1～31个字符的字符串，不区分大小写。

【使用指导】

在进行该配置之前，需要完成SSL服务器端策略以及SSL服务器端策略所使用的PKI域的配置，否则该配置不能生效。SSL服务器端策略以及PKI域的相关配置可参考“安全命令参考”中的“SSL”和“PKI”。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 在EAP认证方案eap1中，配置EAP认证使用的SSL服务器端策略为tls-server。

<Sysname> system-view

[Sysname] eap-profile aprf1

[System-eap-prof-aprf1] ssl-server-policy tls-server

【相关命令】

· pki-domain（安全命令参考/PKI）

· ssl server-policy（安全命令参考/SSL）

1.5 HWTACACS配置命令

1.5.1 data-flow-format (HWTACACS scheme view)

data-flow-format命令用来配置发送到HWTACACS服务器的数据流或者数据包的单位。

undo data-flow-format命令用来恢复缺省情况。

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } *

undo data-flow-format { data | packet }

【缺省情况】

数据流的单位为byte，数据包的单位为one-packet。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

data：设置数据流的单位。

· byte：数据流的单位为字节。

· giga-byte：数据流的单位千兆字节。

· kilo-byte：数据流的单位为千字节。

· mega-byte：数据流的单位为兆字节。

packet：设置数据包的单位。

· giga-packet：数据包的单位为千兆包。

· kilo-packet：数据包的单位为千包。

· mega-packet：数据包的单位为兆包。

· one-packet：数据包的单位为包。

【使用指导】

设备上配置的发送给HWTACACS服务器的数据流单位及数据包单位应与HWTACACS服务器上的流量统计单位保持一致，否则无法正确计费。

【举例】

# 在HWTACACS方案hwt1中，设置发往HWTACACS服务器的数据流的数据单位为千字节、数据包的单位为千包。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet

【相关命令】

· display hwtacacs scheme

1.5.2 display hwtacacs scheme

display hwtacacs scheme命令用来查看HWTACACS方案的配置信息或HWTACACS服务相关的统计信息。

【命令】

display hwtacacs scheme [ hwtacacs-scheme-name [ statistics ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

hwtacacs-scheme-name：HWTACACS方案的名称，为1～32个字符的字符串，不区分大小写。如果不指定该参数，则显示所有HWTACACS方案的配置信息。

statistics：显示HWTACACS服务相关的统计信息。不指定该参数，则显示HWTACACS方案的配置信息。

【举例】

# 查看所有HWTACACS方案的配置情况。

<Sysname> display hwtacacs scheme

Total 1 HWTACACS schemes

------------------------------------------------------------------

HWTACACS Scheme Name : hwtac

Index : 0

Primary Auth Server:

Host name: Not configured

IP : 2.2.2.2 Port: 49 State: Active

VPN Instance: 2

Single-connection: Enabled

Track ID: 1

Primary Author Server:

Host name: Not configured

IP : 2.2.2.2 Port: 49 State: Active

VPN Instance: 2

Single-connection: Disabled

Track ID: 1

Primary Acct Server:

Host name: Not configured

IP : Not Configured Port: 49 State: Block

VPN Instance: Not configured

Single-connection: Disabled

VPN Instance : 2

NAS IP Address : 2.2.2.3

Server Quiet Period(minutes) : 5

Realtime Accounting Interval(minutes) : 12

Stop-accounting packets buffering : Enabled

Retransmission times : 100

Response Timeout Interval(seconds) : 5

Username Format : with-domain

Data flow unit : Byte

Packet unit : one

------------------------------------------------------------------

表1-23 display hwtacacs scheme命令显示信息描述表

字段	描述
Total 1 TACACS schemes	共计1个HWTACACS方案
HWTACACS Scheme Name	HWTACACS方案的名称
Index	HWTACACS方案的索引号
Primary Auth Server	主HWTACACS认证服务器
Primary Author Server	主HWTACACS授权服务器
Primary Acct Server	主HWTACACS计费服务器
Secondary Auth Server	从HWTACACS认证服务器
Secondary Author Server	从HWTACACS授权服务器
Secondary Acct Server	从HWTACACS计费服务器
Host name	HWTACACS服务器的主机名未配置时，显示为Not configured
IP	HWTACACS服务器的IP地址未配置时，显示为Not configured
Port	HWTACACS服务器的端口号未配置时，显示缺省值
State	HWTACACS服务器目前状态 · Active：激活状态 · Block：静默状态
VPN Instance	HWTACACS服务器或HWTACACS方案所在的VPN 未配置时，显示为Not configured
Single-connection	单连接状态 · Enabled：使用一条TCP连接与服务器通信 · Disabled：每次新建TCP连接与服务器通信
Track ID	HWTACACS服务器关联的Track项的序号若该服务器未关联Track项，则不显示该字段
NAS IP Address	配置的发送HWTACACS报文的源IP地址或源接口未配置时，显示为Not configured
Server Quiet Period(minutes)	主HWTACACS服务器恢复激活状态的时间（分钟）
Realtime Accounting Interval(minutes)	实时HWTACACS计费更新报文的发送间隔（分钟）
Stop-accounting packets buffering	HWTACACS停止计费请求报文缓存功能的开启情况
Retransmission times	发起HWTACACS停止计费请求的最大尝试次数
Response Timeout Interval(seconds)	HWTACACS服务器超时时间（秒）
Username Format	用户名格式 · with-domain：携带域名 · without-domain：不携带域名 · keep-original：与用户输入保持一致
Data flow unit	数据流的单位
Packet unit	数据包的单位

# 查看HWTACACS方案tac的统计信息。

<Sysname> display hwtacacs scheme tac statistics

HWTACACS scheme name: tac

Primary authentication server: 111.8.0.244 (Port: 49, VPN instance: -)

Round trip time: 20 seconds

Request packets: 1

Change-password request packets: 0

Request packets including plaintext passwords: 0

Request packets including ciphertext passwords: 0

Response packets: 2

Pass response packets: 1

Failure response packets: 0

Get-data response packets: 0

Get-username response packets: 0

Get-password response packets: 1

Restart response packets: 0

Error response packets: 0

Follow response packets: 0

Malformed response packets: 0

Continue packets: 1

Continue-abort packets: 0

Pending request packets: 0

Connection failure packets: 0

Connection timeout packets: 0

Response timeout packets: 0

Tx failure packets: 0

Unknown type response packets: 0

Dropped response packets: 0

Primary authorization server :111.8.0.244 (Port: 49, VPN instance: -)

Round trip time: 1 seconds

Request packets: 1

Response packets: 1

PassAdd response packets: 1

PassReply response packets: 0

Failure response packets: 0

Error response packets: 0

Follow response packets: 0

Malformed response packets: 0

Pending request packets: 0

Connection failure packets: 0

Connection timeout packets: 0

Response timeout packets: 0

Tx failure packets: 0

Unknown type response packets: 0

Dropped response packets: 0

Primary accounting server :111.8.0.244 (Port: 49, VPN instance: -)

Round trip time: 0 seconds

Request packets: 2

Accounting start request packets: 1

Accounting stop request packets: 1

Accounting update request packets: 0

Pending request packets: 0

Response packets: 2

Success response packets: 2

Error response packets: 0

Follow response packets: 0

Malformed response packets: 0

Connection failure packets: 0

Connection timeout packets: 0

Response timeout packets: 0

Tx failure packets: 0

Unknown type response packets: 0

Dropped response packets: 0

表1-24 display hwtacacs scheme statistics命令显示信息描述表

字段	描述
HWTACACS scheme name	HWTACACS方案名称
Primary authentication server	主HWTACACS认证服务器
Primary authorization server	主HWTACACS授权服务器
Primary accounting server	主HWTACACS计费服务器
Secondary authentication server	从HWTACACS认证服务器
Secondary authorization server	从HWTACACS授权服务器
Secondary accounting server	从HWTACACS计费服务器
Port	HWTACACS服务器的端口号
VPN instance	‌HWTACACS服务器或HWTACACS方案所在的VPN 若是公网，则显示为“-”
Round trip time	设备处理最近一组响应报文和请求报文的时间间隔（单位为秒）
Request packets	发送的请求报文个数
Login request packets	发送的登录认证的请求报文个数
Change-password request packets	发送的更改密码的请求报文个数
Request packets including plaintext passwords	发送明文密码的请求报文个数
Request packets including ciphertext passwords	发送密文密码的请求报文个数
Response packets	接收到的响应报文个数
Pass response packets	表示认证通过的响应报文个数
Failure response packets	认证或授权失败的响应报文个数
Get-data response packets	表示获取数据的响应报文个数
Get-username response packets	表示获取用户名的响应报文个数
Get-password response packets	表示获取密码的响应报文个数
Restart response packets	要求重认证的响应报文个数
Error response packets	错误类型的响应报文个数
Follow response packets	Follow类型的响应报文的个数
Malformed response packets	不合法的响应报文个数
Continue packets	发送的Continue报文个数
Continue-abort packets	发送的Continue-abort报文个数
Pending request packets	等待响应的请求报文个数
Connection failure packets	与服务器建立TCP连接失败的次数
Connection timeout packets	与服务器建立TCP连接超时的次数
Response timeout packets	超时的请求报文数
Tx failure packets	发送失败的报文数
Timeout response packets	超时的请求报文个数
Unknown type response packets	未知报文类型的响应报文个数
Dropped response packets	被丢弃响应报文个数
PassAdd response packets	接收到的PassAdd类型的响应报文个数。此报文表示同意授权所有请求的属性，并添加其他授权属性
PassReply response packets	接收到的PassReply类型的响应报文个数。此报文表示采用响应报文中指定的授权属性替换请求的授权属性
Accounting start request packets	发送的计费开始请求报文个数
Accounting stop request packets	发送的计费结束请求报文个数
Accounting update request packets	发送的计费更新请求报文个数
Success response packets	接收到的计费成功的响应报文个数

【相关命令】

· reset hwtacacs statistics

1.5.3 display hwtacacs statistics

display hwtacacs statistics命令用来显示HWTACACS报文的统计信息。

【命令】

display hwtacacs statistics

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示HWTACACS报文的统计信息。

<Sysname> display hwtacacs statistics

Auth. Author. Acct.

Request Packet: 0 0 0

Response Packet: 0 0 0

ChangePass Request: 0 - -

Account Start: - - 0

Account Update: - - 0

Account Stop: - - 0

Pass Response: 0 0 -

Failure Response: 0 0 -

Account Success: - - 0

Connection Failure: 0 0 0

Connection Timeout: 0 0 0

Response Timeout: 0 0 0

Send Failure: 0 0 0

Unknown Type: 0 0 0

Dropped Packet: 0 0 0

表1-25 display hwtacacs statistics命令显示信息描述表

字段	描述
Auth.	认证报文
Author.	授权报文
Acct.	计费报文
Request Packet	发送的请求报文个数
Response Packet	接收到的响应报文个数
Login Request	发送的登录认证请求报文个数
ChangePass Request	发送的更改密码请求报文个数
Account Start	发送的计费开始请求报文个数
Account Update	发送的计费更新请求报文个数
Account Stop	发送的计费结束请求报文个数
Pass Response	表示认证或授权通过的响应报文个数
Failure Response	认证或授权失败的响应报文个数
Account Success	接收到的计费成功响应报文个数
Connection Failure	与服务器建立TCP连接失败的次数
Connection Timeout	与服务器建立TCP连接超时的次数
Response Timeout	请求超时的次数
Send Failure	报文发送失败的次数
Unknown Type	未知报文类型的响应报文个数
Dropped Packet	被丢弃的响应报文个数

【相关命令】

· reset hwtacacs statistics

1.5.4 display stop-accounting-buffer (for HWTACACS)

display stop-accounting-buffer命令用来显示缓存的HWTACACS停止计费请求报文的相关信息。

【命令】

display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

hwtacacs-scheme hwtacacs-scheme-name：表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

【举例】

# 显示HWTACACS方案hwt1缓存的HWTACACS停止计费请求报文。

<Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1

Total entries: 2

Scheme IP address Username First sending time Attempts

hwt1 192.168.100.1 abc 23:27:16-01/15/2020 19

hwt1 192.168.90.6 bob 23:33:01-01/15/2020 20

表1-26 display stop-accounting-buffer命令显示信息描述表

字段	描述
Total entries: 2	共有两条记录匹配
Scheme	HWTACACS方案名
IP address	用户IP地址
Username	用户名
First sending time	首次发送停止计费请求的时间
Attempts	发送停止计费请求报文的次数

【相关命令】

· retry stop-accounting (HWTACACS scheme view)

· reset stop-accounting-buffer (for HWTACACS)

· stop-accounting-buffer enable (HWTACACS scheme view)

· user-name-format (HWTACACS scheme view)

1.5.5 hwtacacs dscp

hwtacacs dscp命令用来配置HWTACACS协议报文的DSCP优先级。

undo hwtacacs dscp命令用来恢复缺省情况。

【命令】

hwtacacs [ ipv6 ] dscp dscp-value

undo hwtacacs [ ipv6 ] dscp

【缺省情况】

HWTACACS报文的DSCP优先级为0。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv6：表示设置IPv6 HWTACACS报文。若不指定该参数，则表示设置IPv4 HWTACACS报文。

dscp-value：HWTACACS报文的DSCP优先级，取值范围为0～63。取值越大，优先级越高。

【使用指导】

DSCP携带在IPv4报文中的ToS字段以及IPv6报文中的Traffic Class字段中，用来体现报文自身的优先等级，决定报文传输的优先程度。通过本命令可以指定设备发送的HWTACACS报文携带的DSCP优先级的取值。

【举例】

# 配置IPv4 HWTACACS报文的DSCP优先级为10。

<Sysname> system-view

[Sysname] hwtacacs dscp 10

1.5.6 hwtacacs nas-ip

hwtacacs nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。

undo hwtacacs nas-ip命令用来删除指定的发送HWTACACS报文使用的源IP地址。

【命令】

hwtacacs nas-ip { interface interface-type interface-number | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

undo hwtacacs nas-ip { interface | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

【缺省情况】

未指定发送HWTACACS报文使用的源IP地址，设备将使用到达HWTACACS服务器的路由出接口的主IPv4地址或IPv6地址作为发送HWTACACS报文的源IP地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number：指定源接口，即发送HWTACACS报文的源IPv4地址为该接口的主IPv4地址，发送HWTACACS报文的源IPv6地址为该接口上配置的IPv6地址。interface-type interface-number为接口类型和接口编号。

ipv4-address：指定的源IPv4地址，应该为本机的地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定的源IPv6地址，应该为本机的地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

HWTACACS服务器上通过IP地址来标识接入设备，并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证或计费请求。因此，为保证HWTACACS报文可被服务器正常接收并处理，接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。

HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址，具体生效情况如下：

· HWTACACS方案视图下配置的源IP地址（通过nas-ip命令）只对本方案有效。

· 系统视图下的配置的源IP地址（通过hwtacacs nas-ip命令）对所有HWTACACS方案有效。

· HWTACACS方案视图下的设置具有更高的优先级。

系统视图下，最多允许指定一个源接口，请确保指定的源接口与HWTACACS服务器路由可达。

源接口配置和源IP地址配置不能同时存在，后配置的生效。

【举例】

# 设置设备发送HWTACACS报文使用的源IP地址为129.10.10.1。

<Sysname> system-view

[Sysname] hwtacacs nas-ip 129.10.10.1

【相关命令】

· nas-ip (HWTACACS scheme view)

1.5.7 hwtacacs scheme

hwtacacs scheme命令用来创建HWTACACS方案，并进入HWTACACS方案视图。如果指定的HWTACACS方案已经存在，则直接进入HWTACACS方案视图。

undo hwtacacs scheme命令用来删除指定的HWTACACS方案。

【命令】

hwtacacs scheme hwtacacs-scheme-name

undo hwtacacs scheme hwtacacs-scheme-name

【缺省情况】

不存在HWTACACS方案。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme-name：HWTACACS方案名称，为1～32个字符的字符串，不区分大小写。

【使用指导】

一个HWTACACS方案可以同时被多个ISP域引用。

最多可以配置16个HWTACACS方案。

【举例】

# 创建名称为hwt1的HWTACACS方案并进入相应的HWTACACS视图。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1]

【相关命令】

· display hwtacacs scheme

1.5.8 hwtacacs server-probe track

hwtacacs server-probe track命令用来配置HWTACACS服务器与Track项关联，探测服务器是否可达。

undo hwtacacs server-probe track命令用来取消HWTACACS服务器与指定Track项的关联。

【命令】

hwtacacs server-probe { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-number ] track track-entry-number

undo hwtacacs server-probe { ip ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] [ port port-number ] track

【缺省情况】

HWTACACS服务器未与任何Track项相关联。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip ipv4-address：HWTACACS服务器的IPv4地址。

ipv6 ipv6-address：HWTACACS服务器的IPv6地址。

vpn-instance vpn-instance-name：HWTACACS服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示HWTACACS服务器位于公网中。

port port-number：HWTACACS服务器的TCP端口号，取值范围为1～65535，缺省值为49。

track-entry-number：关联的Track项的序号，取值范围为1～1024。

【使用指导】

在对HWTACACS认证、授权、计费的实时性要求较高的组网环境中，可以通过配置HWTACACS服务器与Track项关联来对HWTACACS服务器的可达性状态进行主动探测。

缺省情况下，设备发送HWTACACS请求报文后，若在指定的响应时间内没有得到HWTACACS服务器的响应，则会将该服务器的状态置为block，并向下一个HWTACACS服务器发起请求。处于block状态的服务器在设定的静默定时器间隔之后，将自动恢复为active状态。这种基于定时器的服务器状态变迁机制使得设备并不能及时感知到服务器的真实状态。通过配置HWTACACS服务器与Track项关联，并由Track项联动TCP类型的NQA测试组，可以实现通过NQA测试机制来主动探测服务器是否可达：

· 服务器与Track项关联期间，该服务器的状态仅由探测结果决定。

· 启动与Track项联动的NQA测试组后，Track模块将根据NQA的监测结果改变Track项的状态，AAA模块再根据Track项的状态来设置服务器的状态：

¡ 若Track项状态为Positive，说明服务器状态变为可达，则服务器状态将被置为active。

¡ 若Track项状态为Negative，说明服务器状态变为不可达，则服务器状态将被置为block，同时该服务器对应的静默定时器也将被关闭。

¡ 若Track项状态一直处于NotReady，或由其它状态变为NotReady，说明探测机制不生效，此时服务器的状态将被置为active。

· 取消服务器与Track项的关联后，该服务器的状态将恢复为由定时器机制决定。

对HWTACACS服务器的可达性探测是通过在设备上执行nqa schedule命令，对与Track联动的TCP类型的NQA测试组进行调动启动的，因此请结合实际情况确定探测时间和探测参数。关于Track项与NQA测试组联动的具体配置，请参见“可靠性配置指导”中“Track”。关于TCP类型的NQA探测组以及调度NQA测试组的具体配置，请参见“网络管理和监控配置指导”中的“NQA”。

【举例】

# 配置IP地址为10.163.155.13，使用TCP端口49的HWTACACS服务器关联Track项1。

<Sysname> system-view

[Sysname] hwtacacs server-probe ip 10.163.155.13 port 49 track 1

【相关命令】

· display hwtacacs scheme

· nqa schedule（网络管理和监控命令参考/NQA）

· track nqa （可靠性命令参考/Track）

1.5.9 key (HWTACACS scheme view)

key命令用来配置HWTACACS认证、授权、计费报文的共享密钥。

undo key命令用来删除指定的HWTACACS报文的共享密钥。

【命令】

key { accounting | authentication | authorization } { cipher | simple } string

undo key { accounting | authentication | authorization }

【缺省情况】

未配置HWTACACS报文的共享密钥。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

accounting：指定HWTACACS计费报文的共享密钥。

authentication：指定HWTACACS认证报文的共享密钥。

authorization：指定HWTACACS授权报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

【使用指导】

必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。

【举例】

# 在HWTACACS方案hwt1中，配置HWTACACS认证报文共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] key authentication simple 123456TESTauth&!

# 配置HWTACACS授权报文共享密钥为明文123456TESTautr&!。

[Sysname-hwtacacs-hwt1] key authorization simple 123456TESTautr&!

# 配置HWTACACS计费报文共享密钥为明文123456TESTacct&!。

[Sysname-hwtacacs-hwt1] key accounting simple 123456TESTacct&!

【相关命令】

· display hwtacacs scheme

1.5.10 nas-ip (HWTACACS scheme view)

nas-ip命令用来设置设备发送HWTACACS报文使用的源IP地址。

undo nas-ip命令用来删除指定类型的发送HWTACACS报文使用的源IP地址。

【命令】

nas-ip { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }

undo nas-ip [ interface | ipv6 ]

【缺省情况】

未指定设备发送HWTACACS报文使用的源IP地址，使用系统视图下由命令hwtacacs nas-ip指定的源IP地址。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

ipv4-address：指定的源IPv4地址，应该为本机的地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：指定的源IPv6地址，应该为本机的地址，必须是单播地址，不能为环回地址与本地链路地址。

【使用指导】

HWTACACS服务器上通过IP地址来标识接入设备，并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证、授权、计费请求。因此，为保证HWTACACS报文可被服务器正常接收并处理，接入设备上发送HWTACACS报文使用的源地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。

为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。

HWTACACS方案视图和系统视图下均可以配置发送HWTACACS报文使用的源IP地址，具体生效情况如下：

· HWTACACS方案视图下配置的源IP地址（通过nas-ip命令）只对本方案有效。

· 系统视图下的配置的源IP地址（通过hwtacacs nas-ip命令）对所有HWTACACS方案有效。

· HWTACACS方案视图下的设置具有更高的优先级。

一个HWTACACS方案视图下：

· 最多允许指定一个IPv4源地址和一个IPv6源地址。

· 最多允许指定一个源接口，请确保指定的源接口与HWTACACS服务器路由可达。

· 源接口配置和源IP地址配置不能同时存在，后配置的生效。

如果undo nas-ip命令中不指定任何关键字，则表示删除发送HWTACACS报文使用的源IPv4地址。

【举例】

# 在HWTACACS方案hwt1中，设置设备发送HWTACACS报文使用的源IP地址为10.1.1.1。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1

【相关命令】

· display hwtacacs scheme

· hwtacacs nas-ip

1.5.11 primary accounting (HWTACACS scheme view)

primary accounting命令用来配置主HWTACACS计费服务器。

undo primary accounting命令用来恢复缺省情况。

【命令】

primary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo primary accounting

【缺省情况】

未配置HWTACACS主计费服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：主HWTACACS计费服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：主HWTACACS计费服务器的IPv4地址。

ipv6 ipv6-address：主HWTACACS计费服务器的IPv6地址。

port-number：主HWTACACS计费服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与主HWTACACS计费服务器交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与主HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数，则表示每次计费都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：主HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主HWTACACS计费服务器位于公网中。

【使用指导】

配置的主计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同。

若服务器位于MPLS VPN私网中，为保证HWTACACS报文被发送到指定的私网服务器，必须指定服务器所属的VPN实例。本命令指定的服务器所属的VPN比HWTACACS方案所属的VPN优先级高。

只有在设备与计费服务器没有报文交互时，才允许删除该服务器。计费服务器删除后，只对之后的计费过程有影响。

配置single-connection参数后可节省TCP连接资源，但有些HWTACACS服务器不支持这种方式，需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下，建议配置single-connection参数，以提高性能和效率。

【举例】

# 在HWTACACS方案hwt1中，配置主HWTACACS计费服务器的IP地址为10.163.155.12，使用TCP端口49与HWTACACS计费服务器通信，计费报文的共享密钥为明文123456TESTacct&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hw1

[Sysname-hwtacacs-hw1] primary accounting 10.163.155.12 49 key simple 123456TESTacct&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary accounting

· vpn-instance (HWTACACS scheme view)

1.5.12 primary authentication (HWTACACS scheme view)

primary authentication命令用来配置主HWTACACS认证服务器。

undo primary authentication命令用来恢复缺省情况。

【命令】

primary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo primary authentication

【缺省情况】

未配置主HWTACACS认证服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：主HWTACACS认证服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：主HWTACACS认证服务器的IPv4地址。

ipv6 ipv6-address：主HWTACACS认证服务器的IPv6地址。

port-number：主HWTACACS认证服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与主HWTACACS认证服务器交互的认证报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与主HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数，则表示每次认证都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：主HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主HWTACACS认证服务器位于公网中。

【使用指导】

配置的主认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同。

只有在设备与认证服务器没有报文交互时，才允许删除该服务器。认证服务器删除后，只对之后的认证过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置主HWTACACS认证服务器的IP地址为10.163.155.13，使用TCP端口49与HWTACACS认证服务器通信，认证报文的共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 key simple 123456TESTauth&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary authentication

· vpn-instance (HWTACACS scheme view)

1.5.13 primary authorization

primary authorization命令用来配置主HWTACACS授权服务器。

undo primary authorization命令用来恢复缺省情况。

【命令】

primary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo primary authorization

【缺省情况】

未配置主HWTACACS授权服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：主HWTACACS授权服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：主HWTACACS授权服务器的IPv4地址。

ipv6 ipv6-address：主HWTACACS授权服务器的IPv6地址。

port-number：主HWTACACS授权服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与主HWTACACS授权服务器交互的授权报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与主HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数，则表示每次授权都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：主HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示主HWTACACS授权服务器位于公网中。

【使用指导】

配置的主授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。

在同一个方案中指定的主授权服务器和从授权服务器的VPN、主机名、IP地址、端口号不能完全相同。

只有在设备与授权服务器没有报文交互时，才允许删除该服务器。授权服务器删除后，只对之后的授权过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置主HWTACACS授权服务器的IP地址为10.163.155.13，使用TCP端口49与HWTACACS授权服务器通信，授权报文的共享密钥为明文123456TESTautr&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 key simple 123456TESTautr&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· secondary authorization

· vpn-instance (HWTACACS scheme view)

1.5.14 reset hwtacacs statistics

reset hwtacacs statistics命令用来清除HWTACACS协议的统计信息。

【命令】

reset hwtacacs statistics { accounting | all | authentication | authorization }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

accounting：清除HWTACACS协议关于计费的统计信息。

all：清除HWTACACS的所有统计信息。

authentication：清除HWTACACS协议关于认证的统计信息。

authorization：清除HWTACACS协议关于授权的统计信息。

【举例】

# 清除HWTACACS协议的所有统计信息。

<Sysname> reset hwtacacs statistics all

【相关命令】

· display hwtacacs scheme

1.5.15 reset stop-accounting-buffer (for HWTACACS )

reset stop-accounting-buffer命令用来清除缓存的HWTACACS停止计费请求报文。

【命令】

reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme hwtacacs-scheme-name：表示指定HWTACACS方案的停止计费请求报文。其中，hwtacacs-scheme-name为HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

【举例】

# 清除缓存的HWTACACS方案hwt1的HWTACACS停止计费请求报文。

<Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1

【相关命令】

· display stop-accounting-buffer (for HWTACACS)

· stop-accounting-buffer enable (HWTACACS scheme view)

1.5.16 retry stop-accounting (HWTACACS scheme view)

retry stop-accounting命令用来设置发起HWTACACS停止计费请求的最大尝试次数。

undo retry stop-accounting命令用来恢复缺省情况。

【命令】

retry stop-accounting retries

undo retry stop-accounting

【缺省情况】

发起HWTACACS停止计费请求的最大尝试次数为100。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

retries：允许停止计费请求无响应的最大次数，取值范围为1～300。

【使用指导】

设备发送HWTACACS停止计费请求报文无响应后，将会缓存该报文并尝试重复发送该报文，当发送的停止计费请求总数达到指定的最大尝试次数之后仍未得到响应时，将其丢弃。

【举例】

# 在HWTACACS方案hwt1中，设置发起HWTACACS停止计费请求的最大尝试次数为300。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] retry stop-accounting 300

【相关命令】

· display stop-accounting-buffer (for HWTACACS)

· timer response-timeout (HWTACACS scheme view)

1.5.17 secondary accounting (HWTACACS scheme view)

secondary accounting命令用来配置从HWTACACS计费服务器。

undo secondary accounting命令用来删除指定的从HWTACACS计费服务器。

【命令】

secondary accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo secondary accounting [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从HWTACACS计费服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：从HWTACACS计费服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：从HWTACACS计费服务器的IPv4地址。

ipv6 ipv6-address：从HWTACACS计费服务器的IPv6地址。

port-number：从HWTACACS计费服务器的端口号，取值范围为1～65535，缺省值为49。

key：与从HWTACACS计费服务器交互的计费报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与从HWTACACS计费服务器交互的计费报文使用同一个TCP连接。如果未指定本参数，则表示每次计费都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：从HWTACACS计费服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从HWTACACS计费服务器位于公网中。

【使用指导】

配置的从计费服务器的TCP端口号以及计费报文的共享密钥必须与服务器的配置保持一致。

每个HWTACACS方案中最多支持配置16个从HWTACACS计费服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

如果不指定任何参数，则undo命令将删除所有从计费服务器。

配置single-connection参数后可节省TCP连接资源，但有些TACACS服务器不支持这种方式，需要根据服务器支持情况进行配置。在服务器支持这种方式的情况下，建议配置single-connection参数，以提高性能和效率。

只有在设备与计费服务器没有报文交互时，才允许删除该服务器。计费服务器删除后，只对之后的计费过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置从HWTACACS计费服务器的IP地址为10.163.155.12，使用TCP端口49与HWTACACS计费服务器通信，计费报文的共享密钥为明文123456TESTacct&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 key simple 123456TESTacct&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary accounting (HWTACACS scheme view)

· vpn-instance (HWTACACS scheme view)

1.5.18 secondary authentication (HWTACACS scheme view)

secondary authentication命令用来配置从HWTACACS认证服务器。

undo secondary authentication命令用来删除指定的从HWTACACS认证服务器。

【命令】

secondary authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo secondary authentication [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从HWTACACS认证服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：从HWTACACS认证服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：从HWTACACS认证服务器的IPv4地址。

ipv6 ipv6-address：从HWTACACS认证服务器的IPv6地址。

port-number：从HWTACACS认证服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与从HWTACACS认证服务器交互的认证报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与从HWTACACS认证服务器交互的认证报文使用同一个TCP连接。如果未指定本参数，则表示每次认证都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：从HWTACACS认证服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从HWTACACS服务器位于公网中。

【使用指导】

配置的从认证服务器的TCP端口号以及认证报文的共享密钥必须与服务器的配置保持一致。

每个HWTACACS方案中最多支持配置16个从HWTACACS认证服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

如果不指定任何参数，则undo命令将删除所有从认证服务器。

只有在设备与认证服务器没有报文交互时，才允许删除该服务器。认证服务器删除后，只对之后的认证过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置从HWTACACS认证服务器的IP地址为10.163.155.13，使用TCP端口49与HWTACACS认证服务器通信，认证报文的共享密钥为明文123456TESTauth&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 key simple 123456TESTauth&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary authentication (HWTACACS scheme view)

· vpn-instance (HWTACACS scheme view)

1.5.19 secondary authorization

secondary authorization命令用来配置从HWTACACS授权服务器。

undo secondary authorization命令用来删除指定的从HWTACACS授权服务器。

【命令】

secondary authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

undo secondary authorization [ { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | vpn-instance vpn-instance-name ] * ]

【缺省情况】

未配置从HWTACACS授权服务器。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

host-name：从HWTACACS授权服务器的主机名，为1～253个字符的字符串，不区分大小写。

ipv4-address：从HWTACACS授权服务器的IPv4地址。

ipv6 ipv6-address：从HWTACACS授权服务器的IPv6地址。

port-number：从HWTACACS授权服务器的TCP端口号，取值范围为1～65535，缺省值为49。

key：与从HWTACACS授权服务器交互的授权报文的共享密钥。

cipher：以密文方式设置密钥。

simple：以明文方式设置密钥，该密钥将以密文形式存储。

string：密钥字符串，区分大小写。明文密钥为1～255个字符的字符串；密文密钥为1～373个字符的字符串。

single-connection：所有与从HWTACACS授权服务器交互的授权报文使用同一个TCP连接。如果未指定本参数，则表示每次授权都会使用一个新的TCP连接。

vpn-instance vpn-instance-name：从HWTACACS授权服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示从HWTACACS授权服务器位于公网中。

【使用指导】

配置的从授权服务器的TCP端口号以及授权报文的共享密钥必须与服务器的配置保持一致。

每个HWTACACS方案中最多支持配置16个从HWTACACS授权服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

如果不指定任何参数，则undo命令将删除所有从授权服务器。

在同一个方案中指定的主授权服务器和从授权服务器的VPN参数、主机名、IP地址、端口号不能完全相同，并且各从授权服务器的VPN、主机名、IP地址、端口号也不能完全相同。

只有在设备与授权服务器没有报文交互时，才允许删除该服务器。授权服务器删除后，只对之后的授权过程有影响。

【举例】

# 在HWTACACS方案hwt1中，配置从HWTACACS授权服务器的IP地址为10.163.155.13，使用TCP端口49与HWTACACS授权服务器通信，授权报文的共享密钥为明文123456TESTautr&!。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 key simple 123456TESTautr&!

【相关命令】

· display hwtacacs scheme

· key (HWTACACS scheme view)

· primary authorization (HWTACACS scheme view)

· vpn-instance (HWTACACS scheme view)

1.5.20 server-block-action (HWTACACS scheme view)

server-block-action命令用来设置服务器都处于block状态后的请求动作。

undo server-block-action命令用来恢复缺省情况。

【命令】

server-block-action { attempt | skip }

undo server-block-action

【缺省情况】

所有服务器都处于block状态后的请求动作为attempt。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

attempt：Attempt方式，表示该方案下的所有服务器都处于block状态后，设备收到用户的认证/授权/计费请求时，仍然会尝试与一个认证/授权/计费服务器（优先选择主服务器，若未配置则选择配置的第一个从服务器，手工置于block状态的主从服务器除外）建立一次连接，如果与该服务器建立连接失败，才会切换到为该用户配置的下一个认证/授权/计费方法去处理这个请求。

skip：Skip方式，表示该方案下的所有服务器都处于block状态后，设备收到用户的认证/授权/计费请求时，会跳过当前方案中的所有服务器，直接使用为该用户配置的下一个认证/授权/计费方法去处理这个请求。

【使用指导】

Attempt方式下，由于该方案下的所有服务器都处于block状态后，设备仍会首先尝试与一个服务器建立连接，与该服务器建立连接失败后，才会切换到配置的下一个认证/授权/计费方法，此方法保证了设备尽量优先使用第一个认证/授权/计费方法处理用户请求，但同时会增加请求的响应时间。因此，对于对AAA响应时间要求比较高的场合，建议选择Skip方式。

设备处理一个认证/授权/计费请求的过程中，如果已经跳过了当前方案中的所有服务器，则后续就算该方案中有服务器状态切换回active，设备也不会再使用该方案来处理它。

【举例】

# 在HWTACACS方案hwt1中，设置服务器都处于block状态后的动作为跳过当前方案中的所有服务器。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] server-block-action skip

【相关命令】

· display hwtacacs scheme

1.5.21 stop-accounting-buffer enable (HWTACACS scheme view)

stop-accounting-buffer enable命令用来开启对无响应的HWTACACS停止计费请求报文的缓存功能。

undo stop-accounting-buffer enable命令用来关闭对无响应的HWTACACS停止计费请求报文的缓存功能。

【命令】

stop-accounting-buffer enable

undo stop-accounting-buffer enable

【缺省情况】

设备缓存未得到响应的HWTACACS停止计费请求报文。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【使用指导】

开启对无响应的HWTACACS停止计费请求报文的缓存功能后，设备在发送停止计费请求报文而HWTACACS服务器没有响应时，会将其缓存在本机上，然后发送直到HWTACACS计费服务器产生响应，或者在发送的次数达到指定的次数限制（由retry stop-accounting命令设置）后将其丢弃。

如果HWTACACS方案中的某计费服务器被删除，则设备将会丢弃相应的已缓存停止计费报文。

【举例】

# 开启对无响应的HWTACACS停止计费请求报文的缓存功能。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] stop-accounting-buffer enable

【相关命令】

· display stop-accounting-buffer (for HWTACACS)

· reset stop-accounting-buffer (for HWTACACS)

1.5.22 timer quiet (HWTACACS scheme view)

timer quiet命令用来设置服务器恢复激活状态的时间。

undo timer quiet命令用来恢复缺省情况。

【命令】

timer quiet minutes

undo timer quiet

【缺省情况】

服务器恢复激活状态的时间为5分钟。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

minutes：恢复激活状态的时间，取值范围为1～255，单位为分钟。

【举例】

# 设置服务器恢复激活状态的时间为10分钟。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer quiet 10

【相关命令】

· display hwtacacs scheme

1.5.23 timer realtime-accounting (HWTACACS scheme view)

timer realtime-accounting命令用来设置实时计费的时间间隔。

undo timer realtime-accounting命令用来恢复缺省情况。

【命令】

timer realtime-accounting minutes

undo timer realtime-accounting

【缺省情况】

实时计费的时间间隔为12分钟。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

minutes：实时计费的时间间隔，取值范围为0～60，单位为分钟。0表示设备不向HWTACACS服务器发送在线用户的计费信息。

【使用指导】

为了对用户实施实时计费，有必要设置实时计费的时间间隔。在设置了该属性以后，每隔设定的时间，设备会向HWTACACS服务器发送一次在线用户的计费信息。

实时计费间隔的取值小，计费准确性高，但对设备和HWTACACS服务器的性能要求就高。

表1-27 实时计费间隔与用户量之间的推荐比例关系

用户数	实时计费间隔（分钟）
1～99	3
100～499	6
500～999	12
大于等于1000	大于等于15

【举例】

# 在HWTACACS方案hwt1中，设置实时计费的时间间隔为51分钟。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer realtime-accounting 51

【相关命令】

· display hwtacacs scheme

1.5.24 timer response-timeout (HWTACACS scheme view)

timer response-timeout命令用来设置HWTACACS服务器响应超时时间。

undo timer response-timeout命令用来恢复缺省情况。

【命令】

timer response-timeout seconds

undo timer response-timeout

【缺省情况】

HWTACACS服务器响应超时时间为5秒。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

seconds：HWTACACS服务器响应超时时间，取值范围为1～300，单位为秒。

【使用指导】

由于HWTACACS是基于TCP实现的，因此，服务器响应超时或TCP超时都可能导致与HWTACACS服务器的连接断开。

HWTACACS服务器响应超时时间与配置的HWTACACS服务器总数的乘积不能超过接入模块定义的用户认证超时时间，否则在HWTACACS认证过程完成之前用户就有可能被强制下线。

【举例】

# 在HWTACACS方案hwt1中，设置HWTACACS服务器响应超时时间为30秒。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] timer response-timeout 30

【相关命令】

· display hwtacacs scheme

1.5.25 user-name-format (HWTACACS scheme view)

user-name-format命令用来设置发送给HWTACACS服务器的用户名格式。

undo user-name-format命令用来恢复缺省情况。

【命令】

user-name-format { keep-original | with-domain | without-domain }

undo user-name-format

【缺省情况】

发送给HWTACACS服务器的用户名携带ISP域名。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

keep-original：发送给HWTACACS服务器的用户名与用户输入的保持一致。

with-domain：发送给HWTACACS服务器的用户名携带ISP域名。

without-domain：发送给HWTACACS服务器的用户名不携带ISP域名。

【使用指导】

接入用户通常以“userid@isp-name”的格式命名，“@”后面的部分为ISP域名，设备就是通过该域名来决定将用户归于哪个ISP域的。但是，有些HWTACACS服务器不能接受携带有ISP域名的用户名，在这种情况下，有必要将用户名中携带的域名去除后再传送给HWTACACS服务器。因此，设备提供此命令以指定发送给HWTACACS服务器的用户名是否携带有ISP域名。

如果指定某个HWTACACS方案不允许用户名中携带有ISP域名，那么请不要在两个乃至两个以上的ISP域中同时设置使用该HWTACACS方案。否则，会出现虽然实际用户不同（在不同的ISP域中），但HWTACACS服务器认为用户相同（因为传送到它的用户名相同）的错误。

若接入用户为需要漫游的无线用户，接入设备上将发送给HWTACACS服务器的用户名格式配置为keep-original类型，否则可能导致这类用户认证失败。

【举例】

# 在HWTACACS方案hwt1中，设置发送给HWTACACS服务器的用户名不携带ISP域名。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] user-name-format without-domain

【相关命令】

· display hwtacacs scheme

1.5.26 vpn-instance (HWTACACS scheme view)

vpn-instance命令用来配置HWTACACS方案所属的VPN。

undo vpn-instance命令用来恢复缺省情况。

【命令】

vpn-instance vpn-instance-name

undo vpn-instance

【缺省情况】

HWTACACS方案属于公网。

【视图】

HWTACACS方案视图

【缺省用户角色】

network-admin

【参数】

vpn-instance-name：MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。

【使用指导】

本命令配置的VPN对于该方案下的所有HWTACACS认证/授权/计费服务器生效，但设备优先使用配置认证/授权/计费服务器时指定的各服务器所属的VPN。

【举例】

# 配置HWTACACS方案hw1所属的VPN为test。

<Sysname> system-view

[Sysname] hwtacacs scheme hwt1

[Sysname-hwtacacs-hwt1] vpn-instance test

【相关命令】

· display hwtacacs scheme

1.6 LDAP配置命令

1.6.1 attribute-map

attribute-map命令用来在LDAP方案中引用LDAP属性映射表。

undo attribute-map命令用来恢复缺省情况。

【命令】

attribute-map map-name

undo attribute-map

【缺省情况】

未引用任何LDAP属性映射表。

【视图】

LDAP方案视图

【缺省用户角色】

network-admin

【参数】

map-name：LDAP属性映射表的名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

在使用LDAP授权方案的情况下，可以通过在LDAP方案中引用LDAP属性映射表，将LDAP授权服务器下发给用户的LDAP属性映射为AAA模块可以解析的某类属性。

一个LDAP方案视图中只能引用一个LDAP属性映射表，后配置的生效。

如果在LDAP授权过程中修改了引用的LDAP属性映射表，或者修改了引用的LDAP属性映射表的内容，则该修改对当前的授权过程不会生效，只对修改后新的LDAP授权过程生效。

【举例】

# 在LDAP方案ldap1中，引用名称为map1的LDAP属性映射表。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] attribute-map map1

【相关命令】

· display ldap scheme

· ldap attribute-map

1.6.2 authentication-server

authentication-server命令用来指定LDAP认证服务器。

undo authentication-server命令用来恢复缺省情况。

【命令】

authentication-server server-name

undo authentication-server

【缺省情况】

未指定LDAP认证服务器。

【视图】

LDAP方案视图

【缺省用户角色】

network-admin

【参数】

server-name：LDAP服务器的名称，为1～64个字符的字符串，不区分大小写。

【使用指导】

一个LDAP方案视图下仅能指定一个LDAP认证服务器，多次执行本命令，最后一次执行的命令生效。

【举例】

# 在LDAP方案ldap1中，指定LDAP认证服务器为ccc。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] authentication-server ccc

【相关命令】

· display ldap scheme

· ldap server

1.6.3 authorization-server

authorization-server命令用来指定LDAP授权服务器。

undo authorization-server命令用来恢复缺省情况。

【命令】

authorization-server server-name

undo authorization-server

【缺省情况】

未指定LDAP授权服务器。

【视图】

LDAP方案视图

【缺省用户角色】

network-admin

【参数】

server-name：LDAP服务器的名称，为1～64个字符的字符串，不区分大小写。

【使用指导】

一个LDAP方案视图下仅能指定一个LDAP授权服务器，多次执行本命令，最后一次执行的命令生效。

【举例】

# 在LDAP方案ldap1中，指定LDAP授权服务器为ccc。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] authorization-server ccc

【相关命令】

· display ldap scheme

· ldap server

1.6.4 display ldap scheme

display ldap scheme命令用来查看LDAP方案的配置信息。

【命令】

display ldap scheme [ ldap-scheme-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

ldap-scheme-name：LDAP方案的名称，为1～32个字符的字符串，不区分大小写。如果不指定该参数，则显示所有LDAP方案的配置信息。

【举例】

# 查看所有LDAP方案的配置信息。

<Sysname> display ldap scheme

Total 1 LDAP schemes

------------------------------------------------------------------

LDAP scheme name : aaa

Authentication server : aaa

IP : 1.1.1.1

Port : 111

VPN instance : Not configured

LDAP protocol version : LDAPv3

Server timeout interval : 10 seconds

Base DN : Not configured

Search scope : all-level

User searching parameters:

User object class : Not configured

Username attribute : cn

Username format : with-domain

Group filter : (objectclass=group)

Authorization server : aaa

IP : 1.1.1.1

Port : 111

VPN instance : Not configured

LDAP protocol version : LDAPv3

Server timeout interval : 10 seconds

Base DN : Not configured

Search scope : all-level

User searching parameters:

User object class : Not configured

Username attribute : cn

Username format : with-domain

Group filter : (objectclass=group)

Attribute map : map1

Search-result-reference : Ignored

------------------------------------------------------------------

表1-28 display ldap scheme命令显示信息描述表

字段	描述
Total 1 LDAP schemes	总共有1个LDAP方案
LDAP Scheme Name	LDAP方案名称
Authentication Server	LDAP认证服务器名称未配置时，显示为Not configured
Authorization server	LDAP授权服务器名称未配置时，显示为Not configured
IP	LDAP认证服务器的IP地址未配置认证服务器IP时，IP地址显示为Not configured
Port	LDAP认证服务器的端口号未配置认证服务器IP时，端口号显示为缺省值
VPN Instance	VPN实例名称未配置时，显示为Not configured
LDAP Protocol Version	LDAP协议的版本号（LDAPv2、LDAPv3）
Server Timeout Interval	LDAP服务器连接超时时间（单位为秒）
Login Account DN	管理员用户的DN
Base DN	用户DN查询的起始DN
Search Scope	用户DN查询的范围（all-level：所有子目录查询，single-level：下级目录查询）
User Searching Parameters	用户查询参数
User Object Class	查询用户DN时使用的用户对象类型未配置时，显示为Not configured
Username Attribute	用户登录用户名的属性类型
Username Format	发送给服务器的用户名格式
Group filter	LDAP用户组过滤条件
Attribute map	引用的LDAP属性映射表名称未配置时，显示为Not configured
Search-result-reference	是否忽略LDAP响应报文中SearchResultReference字段 · Ingored：忽略 · Not ingnored：正常处理

1.6.5 group-filter

group-filter命令用来配置用户组过滤条件。

undo group-filter命令用来恢复缺省情况。

【命令】

group-filter group-filter

undo group-filter

【缺省情况】

用户组的过滤条件是"(objectclass=group)"。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

group-filter：组过滤条件，为1～127个字符的字符串，区分大小写。组过滤条件字符串的写作规则由LDAP服务器定义。

【使用指导】

设备从LDAP服务器上导入用户组信息时，LDAP服务器会根据设置的用户组过滤条件筛选出符合条件的用户组信息发送给设备。

【举例】

# 在LDAP服务器视图ccc下，配置用户组过滤条件为(&(objectclass=group)(name=group1))。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] group-filter (&(objectclass=group)(name=group1))

【相关命令】

· display ldap scheme

1.6.6 ignore search-result-reference

ignore search-result-reference命令用来配置设备忽略LDAP查询结果中的SearchResultReference字段。

undo ignore search-result-reference命令用来恢复缺省情况。

【命令】

ignore search-result-reference

undo ignore search-result-reference

【缺省情况】

设备正常处理LDAP查询结果中的SearchResultReference字段。

【视图】

LDAP方案视图

【缺省用户角色】

network-admin

【使用指导】

如果网络中的LDAP数据库进行了分布式部署，那么收到用户DN查询请求的LDAP服务器可能会因为本机指定目录下未能查询到所有用户DN，而在发送给设备的查询响应报文中携带一个或多个SearchResultReference字段，每个SearchResultReference字段携带一个URL信息，用于通知设备继续向此URL指代的LDAP服务器进行查询。

缺省情况下，设备收到查询响应报文后，如果设备上同时部属了DNS客户端功能，将会对SearchResultReference字段中的URL发起域名解析，然后向解析成功的LDAP服务器地址发起匿名查询请求（即，未进行管理员绑定操作，直接进行用户DN查询）。在此过程中，设备发起的任意一次域名解析失败，或者任意一次LDAP服务器匿名查询失败，均会导致最终的LDAP查询结果为失败，设备会将已经获取到的查询结果全部丢弃。

如果设备上配置了DNS客户端功能，在LDAP服务器管理员确认待查询的用户数据集中保存于其中一个LDAP数据库上时，建议开启此功能。在LDAP方案视图下开启本功能后，设备将会忽略LDAP查询结果中携带的SearchResultReference字段，保存当前查询到的用户数据，以避免因以下两种情况导致的整体查询失败：

· LDAP服务器部署异常，导致LDAP服务器应答查询请求时携带了SearchResultReference字段，而设备未能及时完成对SearchResultReference字段中所有URL的域名解析。

· LDAP服务器不支持匿名查询功能，设备发起的匿名查询请求被服务器拒绝。

【举例】

# 在LDAP方案视图ldap1下，配置设备忽略LDAP查询结果中的SearchResultReference字段。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1] ignore search-result-reference

【相关命令】

· display ldap scheme

1.6.7 ip

ip命令用来配置LDAP服务器的IP地址。

undo ip命令用来恢复缺省情况。

【命令】

ip ip-address [ port port-number ] [ vpn-instance vpn-instance-name ]

undo ip

【缺省情况】

未配置LDAP服务器的IP地址。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

ip-address：LDAP服务器的IP地址。

port port-number：LDAP服务器所使用的TCP端口号，取值范围为1～65535，缺省值为389。

vpn-instance vpn-instance-name：LDAP服务器所属的VPN实例。vpn-instance-name表示MPLS L3VPN实例的名称，为1～31个字符的字符串，区分大小写。不指定该参数时，表示LDAP服务器属于公网。

【使用指导】

需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。

更改后的服务器IP地址和端口号，只对更改之后进行的LDAP认证生效。

【举例】

# 配置LDAP服务器ccc的IP地址为192.168.0.10、端口号为4300。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] ip 192.168.0.10 port 4300

【相关命令】

· ldap server

1.6.8 ipv6

ipv6命令用来配置LDAP服务器的IPv6地址。

undo ipv6命令用来恢复缺省情况。

【命令】

ipv6 ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ]

undo ipv6

【缺省情况】

未配置LDAP服务器的IP地址。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

ipv6-address：LDAP服务器的IPv6地址。

port port-number：LDAP服务器所使用的TCP端口号，取值范围为1～65535，缺省值为389。

【使用指导】

需保证设备上的LDAP服务端口与LDAP服务器上使用的端口设置一致。

更改后的服务器IP地址和端口号，只对更改之后的LDAP认证生效。

【举例】

# 配置LDAP服务器ccc的IPv6地址为1:2::3:4、端口号为4300。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] ipv6 1:2::3:4 port 4300

【相关命令】

· ldap server

1.6.9 ldap attribute-map

ldap attribute-map命令用来创建LDAP属性映射表，并进入LDAP属性映射表视图。如果指定的LDAP属性映射表已经存在，则直接进入LDAP属性映射表视图。

undo ldap attribute-map命令用来删除指定的LDAP属性映射表。

【命令】

ldap attribute-map map-name

undo ldap attribute-map map-name

【缺省情况】

不存在LDAP属性映射表。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

map-name：LDAP属性映射表的名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

一个LDAP的属性映射表中可以添加多个LDAP属性映射表项，每个表项表示一个LDAP 属性和一个AAA属性的映射关系。

可以通过多次执行本命令配置多个LDAP的属性映射表。

【举例】

# 创建名称为map1的LDAP属性映射表，并进入该属性映射表视图。

<Sysname> system-view

[Sysname] ldap attribute-map map1

[Sysname-ldap-map-map1]

【相关命令】

· attribute-map

· ldap scheme

· map

1.6.10 ldap scheme

ldap scheme命令用来创建LDAP方案，并进入LDAP方案视图。如果指定的LDAP方案已经存在，则直接进入LDAP方案视图。

undo ldap scheme命令用来删除指定的LDAP方案。

【命令】

ldap scheme ldap-scheme-name

undo ldap scheme ldap-scheme-name

【缺省情况】

不存在LDAP方案。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ldap-scheme-name：LDAP方案的名称，为1～32个字符的字符串，不区分大小写。

【使用指导】

一个LDAP方案可以同时被多个ISP域引用。

系统最多支持配置16个LDAP方案。

【举例】

# 创建名称为ldap1的LDAP方案并进入其视图。

<Sysname> system-view

[Sysname] ldap scheme ldap1

[Sysname-ldap-ldap1]

【相关命令】

· display ldap scheme

1.6.11 ldap server

ldap server用来创建LDAP服务器，并进入LDAP服务器视图。如果指定的LDAP服务器已经存在，则直接进入LDAP服务器视图。

undo ldap server命令用来删除指定的LDAP服务器。

【命令】

ldap server server-name

undo ldap server server-name

【缺省情况】

不存在LDAP服务器。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

server-name：LDAP服务器的名称，为1～64个字符的字符串，不区分大小写。

【举例】

# 创建LDAP服务器ccc并进入其视图。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc]

【相关命令】

· display ldap scheme

1.6.12 login-dn

undo login-dn命令用来恢复缺省情况。

【命令】

undo login-dn

【缺省情况】

未配置具有管理员权限的用户DN。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

dn-string：具有管理员权限的用户DN，是绑定服务器时使用的用户标识名，为1～255个字符的字符串，不区分大小写。

【使用指导】

设备上的管理员DN必须与服务器上管理员的DN一致。

更改后的管理员DN，只对更改之后的LDAP认证生效。

【举例】

# 在LDAP服务器视图ccc下，配置管理员权限的用户DN为uid=test, ou=people, o=example, c=city。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] login-dn uid=test,ou=people,o=example,c=city

【相关命令】

· display ldap scheme

1.6.13 login-password

undo login-password命令用来恢复缺省情况。

【命令】

undo login-password

【缺省情况】

未配置具有管理权限的用户密码。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

cipher：表示以密文方式设置密码。

simple：表示以明文方式设置密码，该密码将以密文形式存储。

string：密码字符串，区分大小写。明文密码为1～128个字符的字符串，密文密码为1～201个字符的字符串。

【使用指导】

该命令只有在配置了login-dn的情况下生效。当未配置login-dn时，该命令不生效。

【举例】

# 在LDAP服务器视图ccc下，配置具有管理员权限的用户密码为明文abcdefg。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] login-password simple abcdefg

【相关命令】

· display ldap scheme

· login-dn

1.6.14 map

map命令用来配置LDAP属性映射表项。

undo map命令用来删除指定的LDAP属性映射表项。

【命令】

map ldap-attribute ldap-attribute-name [ prefix prefix-value delimiter delimiter-value ] aaa-attribute { user-group | user-profile }

undo map [ ldap-attribute ldap-attribute-name ]

【缺省情况】

未指定LDAP属性映射关系。

【视图】

LDAP属性映射表视图

【缺省用户角色】

network-admin

【参数】

ldap-attribute ldap-attribute-name：表示要映射的LDAP属性。其中，ldap-attribute-name表示LDAP属性名称，为1～63个字符的字符串，不区分大小写。

prefix prefix-value delimiter delimiter-value：表示按照一定的格式提取LDAP属性字符串中的内容映射为AAA属性。其中，prefix-value表示LDAP属性字符串中的某内容前缀（例如cn=），为1～7个字符的字符串，不区分大小写；delimiter-value表示LDAP属性字符串中的内容分隔符（例如逗号）。若不指定该可选参数，则表示要将一个完整的LDAP属性字符串映射为指定的AAA属性。

aaa-attribute：表示要映射为的AAA属性。

user-group：表示User group类型的AAA属性。

user-profile：表示User Profile类型的AAA属性。

【使用指导】

如果某LDAP服务器下发给用户的属性不能被AAA模块解析，则该属性将被忽略。因此，需要通过本命令指定要获取哪些LDAP属性，以及LDAP服务器下发的这些属性将被AAA模块解析为什么类型的AAA属性，具体映射为哪种类型的AAA属性由实际应用需求决定。

一个LDAP服务器属性只能映射为一个AAA属性，但不同的LDAP服务器属性可映射为同一个AAA属性。

如果undo map命令中不指定ldap-attribute参数，则表示删除所有的LDAP属性映射表项。

【举例】

# 在LDAP属性映射表视图map1下，配置将LDAP服务器属性memberof按照前缀为cn=、分隔符为逗号（,）的格式提取出的内容映射成AAA属性User group。

<Sysname> system-view

[Sysname] ldap attribute-map map1

[Sysname-ldap-map-map1] map ldap-attribute memberof prefix cn= delimiter , aaa-attribute user-group

【相关命令】

· ldap attribute-map

· user-group

· user-profile（用户接入与认证命令参考/User Profile）

1.6.15 protocol-version

protocol-version命令用来配置LDAP认证中所支持的LDAP协议的版本号。

undo protocol-version命令用来恢复缺省情况。

【命令】

protocol-version { v2 | v3 }

undo protocol-version

【缺省情况】

LDAP版本号为LDAPv3。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

v2：表示LDAP协议版本号为LDAPv2。

v3：表示LDAP协议版本号为LDAPv3。

【使用指导】

为保证LDAP认证成功，请保证设备上的LDAP版本号与LDAP服务器上使用的版本号一致。

更改后的服务器版本号，只对更改之后的LDAP认证生效。

Microsoft的LDAP服务器只支持LDAPv3，配置LDAP版本为v2时无效。

【举例】

# 在LDAP服务器视图ccc下，配置LDAP协议版本号为LDAPv2。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] protocol-version v2

【相关命令】

· display ldap scheme

1.6.16 search-base-dn

search-base-dn命令用来配置用户查询的起始DN。

undo search-base-dn命令用来恢复缺省情况。

【命令】

search-base-dn base-dn

undo search-base-dn

【缺省情况】

未指定用户查询的起始DN。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

base-dn：查询待认证用户的起始DN值，为1～255个字符的字符串，不区分大小写。

【举例】

# 在LDAP服务器视图ccc下，配置用户查询的起始DN为dc=ldap,dc=com。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] search-base-dn dc=ldap,dc=com

【相关命令】

· display ldap scheme

· ldap server

1.6.17 search-scope

search-scope命令用来配置用户查询的范围。

undo search-scope命令用来恢复缺省情况。

【命令】

search-scope { all-level | single-level }

undo search-scope

【缺省情况】

用户查询的范围为all-level。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

all-level：表示在起始DN的所有子目录下进行查询。

single-level：表示只在起始DN的下一级子目录下进行查询。

【举例】

# 在LDAP服务器视图ccc下，配置在起始DN的所有子目录下查询LDAP认证用户。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] search-scope all-level

【相关命令】

· display ldap scheme

· ldap server

1.6.18 server-timeout

server-timeout命令用来配置LDAP服务器连接超时时间，即认证、授权时等待LDAP服务器回应的最大时间。

undo server-timeout命令用来恢复缺省情况。

【命令】

server-timeout time-interval

undo server-timeout

【缺省情况】

LDAP服务器连接超时时间为10秒。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

time-interval：LDAP服务器连接超时时间，取值范围为5～20，单位为秒。

【使用指导】

更改后的连接超时时间，只对更改之后的LDAP认证生效。

【举例】

# 在LDAP服务器视图ccc下，配置LDAP服务器连接超时时间为15秒。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] server-timeout 15

【相关命令】

· display ldap scheme

1.6.19 user-parameters

user-parameters命令用来配置LDAP用户查询的属性参数，包括用户名属性、用户名格式和自定义用户对象类型。

undo user-parameters命令用来将指定的LDAP用户查询的属性参数恢复为缺省值。

【命令】

user-parameters { user-name-attribute { name-attribute | cn | uid } | user-name-format { with-domain | without-domain } | user-object-class object-class-name }

undo user-parameters { user-name-attribute | user-name-format | user-object-class }

【缺省情况】

user-name-attribute为cn；user-name-format为without-domain；未指定自定义user-object-class，根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型。

【视图】

LDAP服务器视图

【缺省用户角色】

network-admin

【参数】

user-name-attribute { name-attribute | cn | uid }：表示用户名的属性类型。其中，name-attribute表示属性类型值，为1～64个字符的字符串，不区分大小写；cn表示用户登录用户名的属性为cn（Common Name）；uid表示用户登录用户名的属性为uid（User ID）。

user-name-format { with-domain | without-domain }：表示发送给服务器的用户名格式。其中，with-domain表示发送给服务器的用户名带ISP域名；without-domain表示发送给服务器的用户名不带ISP域名。

user-object-class object-class-name：表示查询用户DN时使用的用户对象类型。其中，object-class-name表示对象类型值，为1～64个字符的字符串，不区分大小写。

【使用指导】

如果LDAP服务器上的用户名不包含域名，必须配置user-name-format为without-domain，将用户名的域名去除后再传送给LDAP服务器；如果包含域名则需配置user-name-format为with-domain。

【举例】

# 在LDAP服务器视图ccc下，配置用户对象类型为person。

<Sysname> system-view

[Sysname] ldap server ccc

[Sysname-ldap-server-ccc] user-parameters user-object-class person

【相关命令】

· display ldap scheme

· login-dn

1.7 ITA业务策略配置命令

1.7.1 accounting-level

accounting-level命令用来指定需要进行计费的流量计费级别。

undo accounting-level命令用来删除需要进行计费的计费级别。

【命令】

accounting-level level { { ipv4 | ipv6 } | car { inbound cir committed-information-rate [ pir peak-information-rate ] | outbound cir committed-information-rate [ pir peak-information-rate ] } * } *

undo accounting-level [ level ]

【缺省情况】

未指定需要计费的流量计费级别。

【视图】

ITA业务策略视图

【缺省用户角色】

network-admin

【参数】

level：流量计费级别，取值范围为1～8。

ipv4：指定该级别的流量按照IPv4流量进行计费。

ipv6：指定该级别的流量按照IPv6流量进行计费。

car：表示对该级别的流量进行流量监管。若不指定该参数，则表示不对该级别的流量进行流量监管。

cir committed-information-rate：承诺信息速率，单位为kbps。取值范围与设备的型号有关，请以设备的实际情况为准。

pir peak-information-rate：峰值信息速率，单位为kbps，取值范围与设备的型号有关，请以设备的实际情况为准。峰值信息速率必须大于等于承诺信息速率。若不指定该参数，则表示单速率流量监管。

inbound：对接收到的数据包进行流量监管。

outbound：对发送的数据包进行流量监管。

【使用指导】

流量计费级别是运营商对用户访问不同目的网络的流量收取费用的等级，可通过ITA业务策略为不同的用户流量定义不同的计费级别。

可以通过多次执行本命令指定多个不同的流量计费级别，同时还可为每个流量计费级别分别指定流量监管参数。但是，如果对某级别的流量仅指定了流量监管参数，并未指定ipv4或ipv6参数，则不会对该级别的流量进行计费。

如果undo accounting-level命令中不指定level参数，则表示删除本ITA业务策略内所有的流量计费级别。

如果本命令指定的IP协议类型与用户ITA业务流量的实际IP协议类型不一致，那么将按照本命令指定的协议类型对ITA业务流量进行计费。

【举例】

# 在ITA业务策略ita1中，指定需要计费的流量计费级别为2和5，其中2级作为IPv4流量计费，5级作为IPv6流量计费。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] accounting-level 2 ipv4

[Sysname-ita-policy-ita1] accounting-level 5 ipv6

【相关命令】

· display ita policy

1.7.2 accounting-merge enable

accounting-merge enable命令用来开启统一计费功能。

undo accounting-merge enable命令用来关闭统一计费功能。

【命令】

accounting-merge enable

undo accounting-merge enable

【缺省情况】

统一计费功能处于关闭状态。

【视图】

ITA业务策略视图

【缺省用户角色】

network-admin

【使用指导】

开启ITA业务策略的统一计费功能后，系统会将策略下所有级别的流量进行合并，并以该策略中配置的最低的流量计费级别上报给计费服务器。

【举例】

# 在ITA业务策略ita1中，开启统一计费功能。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] accounting-merge enable

【相关命令】

· display ita policy

1.7.3 accounting-method

accounting-method命令用来指定ITA业务策略采用的计费方案。

undo accounting-method命令用来恢复缺省情况。

【命令】

accounting-method { none | radius-scheme radius-scheme-name [ none ] }

undo accounting-method

【缺省情况】

ITA业务策略使用的计费方案为none。

【视图】

ITA业务策略视图

【缺省用户角色】

network-admin

【参数】

none：不计费。

radius-scheme radius-scheme-name：指定RADIUS方案。其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

可以对ITA业务流量采用独立的计费方案，与对非ITA业务流量采用的计费方案不同。

可以指定备选计费方法，在当前的计费方法无效时尝试使用备选的方法完成计费。例如，radius-scheme radius-scheme-name none表示，先进行RADIUS计费，若RADIUS计费无效则不进行计费。远程计费无效是指，指定的计费方案不存在、计费报文发送失败或者服务器无响应。本地计费无效是指没有找到对应的本地用户配置。

【举例】

# 在ITA业务策略ita1中，指定采用的计费方案为radius1。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] accounting-method radius-scheme radius1

【相关命令】

· display ita policy

· radius scheme

1.7.4 display ita policy

display ita policy命令用来显示ITA业务策略的配置信息。

【命令】

display ita policy [ policy-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

policy-name：ITA业务策略的名称，为1～31个字符的字符串，不区分大小写。如果未指定该参数，则表示显示所有ITA业务策略的配置信息。

【举例】

# 显示所有ITA业务策略的配置信息。

<Sysname> display ita policy

Total 2 ITA policies.

ITA policy: ita1

Accounting method : RADIUS=Rd1, None

Accounting merge : Enabled

Accounting levels :

Level 1 IPv4

Inbound CAR: CIR 100 kbps PIR 200 kbps

Outbound CAR: CIR 100 kbps PIR 200 kbps

Level 2 IPv6

Inbound CAR: CIR 300 kbps PIR 400 kbps

Level 3 IPv4

Level 8 IPv6

Traffic separation : Enabled

Separated levels: 1, 2, 3, 4

Traffic quota-out action: Online

Send accounting update: No

ITA policy: ita2

Accounting method : None

Accounting merge : Disabled

Accounting levels : None

Traffic separation : Disabled

Traffic quota-out action: Online

Send accounting update: Yes

表1-29 display ita policy命令显示信息描述表

字段	描述
Total 2 ITA policies	总计2个ITA业务策略
ITA policy	ITA业务策略的名称
Accounting method	计费方案
Accounting merge	统一计费功能的开启状态，包括以下取值： · Enabled：开启了统一计费功能，即系统将ITA业务策略下所有级别的流量进行合并，并以该ITA业务策略中配置的最低的流量计费级别上报给计费服务器 · Disabled：未开启统一计费功能，即系统将各个级别的流量分别上报给计费服务器
Accounting levels	流量计费级别，包括以下取值： · Level m IPv4：表示将级别为m的流量按照IPv4流量进行计费（m的取值范围为1～8） · Level m IPv6：表示将级别为m的流量按照IPv6流量进行计费（m的取值范围为1～8） · None：无流量计费级别的配置
Inbound CAR	入方向CAR（CIR：承诺信息速率，单位为kbps；PIR：峰值信息速率，单位为kbps）
Outbound CAR	出方向CAR（CIR：承诺信息速率，单位为kbps；PIR：峰值信息速率，单位为kbps）
Traffic separation	ITA流量与用户总计费流量分离功能的开启状态，包括以下取值： · Enabled：设备上报给计费服务器的用户总计费流量中不包含指定ITA流量 · Disabled：设备上报给计费服务器的用户主计费流量中包含ITA流量
Separated levels	不向计费服务器上报的ITA流量计费级别列表
Traffic quota-out action	流量配额耗尽策略，包括以下取值： · Online：当用户的指定级别的流量配额耗尽后，用户仍能访问授权的目的地址段 · Offline：当用户的指定级别的流量配额耗尽后，用户不能访问授权的目的地址段
Send accounting update	用户的指定级别的流量配额耗尽后是否发送获取新配额的计费更新报文： · Yes：发送 · No：不发送

1.7.5 ita policy

ita policy命令用来创建ITA业务策略，并进入ITA业务策略视图。如果指定的ITA业务策略已经存在，则直接进入ITA业务策略视图。

undo ita policy命令用来删除指定的ITA业务策略。

【命令】

ita policy policy-name

undo ita policy policy-name

【缺省情况】

不存在ITA业务策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

policy-name：ITA业务策略的名称，为1～31个字符的字符串，不区分大小写。

【使用指导】

ITA业务策略用来配置智能靶向计费功能相关控制参数。

【举例】

# 创建一个名称为ita1的ITA业务策略并进入其视图。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1]

【相关命令】

· display ita policy

1.7.6 traffic-quota-out

traffic-quota-out命令用来配置流量配额耗尽策略。

undo traffic-quota-out命令用来恢复缺省情况。

【命令】

traffic-quota-out { offline | online } [ no-accounting-update ]

undo traffic-quota-out

【缺省情况】

用户的当前流量配额耗尽后，设备会向服务器发送计费更新报文来获取新的流量配额，若计费回应报文未携带新的流量配额，则该用户不能访问授权的目的IP地址段。

【视图】

ITA业务策略视图

【缺省用户角色】

network-admin

【参数】

offline：当用户的指定级别的流量配额耗尽后，用户不能访问授权的目的IP地址段。

online：当用户的指定级别的流量配额耗尽后，用户仍能访问授权的目的IP地址段。

no-accounting-update：不发送用于获取新配额的计费更新报文。

【使用指导】

若服务器不支持分多次向在线用户授权下发流量配额，则建议配置用户计费流量配额耗尽策略时指定no-accounting-update参数，以减小服务器的负担。

【举例】

# 在ITA业务策略ita1中，配置流量配额耗尽策略为流量耗尽后不能访问授权的目前IP地址段。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] traffic-quota-out offline

【相关命令】

· display ita policy

1.7.7 traffic-separate enable

traffic-separate enable命令用来开启ITA业务流量与用户总计费流量分离功能。

undo traffic-separate enable命令用来关闭ITA业务流量与用户总计费流量分离功能。

【命令】

traffic-separate enable [ level level&<1-8> ]

undo traffic-separate enable [ level level&<1-8> ]

【缺省情况】

ITA业务流量与用户总计费流量分离功能处于关闭状态，设备上报给计费服务器的用户总计费流量为ITA业务流量和非ITA业务流量之和。

【视图】

ITA业务策略视图

【缺省用户角色】

network-admin

【参数】

level level&<1-8>：指定不上报给计费服务器的ITA流量计费级别列表。其中，level表示流量计费级别，&<1-8>表示最多可以输入8个流量计费级别，每个级别之间用空格分隔。若不指定该参数，则表示所有ITA流量计费级别。

【使用指导】

开启指定级别的ITA业务流量与用户总计费流量分离功能后，设备上报给计费服务器的用户总计费流量中将不包含此级别的ITA业务流量。

对于Portal用户，暂不支持通过本命令将指定级别的ITA业务流量与用户总计费流量分离，仅支持将所有ITA流量与用户总计费流量分离。

【举例】

# 在ITA业务策略ita1中，开启计费级别为1的ITA业务流量与用户总计费流量分离功能。

<Sysname> system-view

[Sysname] ita policy ita1

[Sysname-ita-policy-ita1] traffic-separate enable leve1 1

【相关命令】

· accounting-level

· display ita policy

1.8 连接记录策略配置命令

1.8.1 aaa connection-recording policy

aaa connection-recording policy命令用来创建连接记录策略，并进入连接记录策略视图。如果连接记录策略已经存在，则直接进入连接记录策略视图。

undo aaa connection-recording policy命令用来删除连接记录策略。

【命令】

aaa connection-recording policy

undo aaa connection-recording policy

【缺省情况】

不存在连接记录策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

创建连接记录策略后，当设备作为Telnet客户端或者FTP/SSH/SFTP客户端与服务器端成功建立连接时，系统会按照策略中指定的计费方案向AAA服务器发送计费开始报文，断开连接时发送计费结束报文。

【举例】

# 创建连接记录策略，并进入其视图。

<Sysname> system-view

[Sysname] aaa connection-recording policy

[sysname-connection-recording-policy]

【相关命令】

· accounting hwtacacs-scheme

· display aaa connection-recording policy

1.8.2 accounting hwtacacs-scheme

accounting hwtacacs-scheme命令用来指定连接记录策略采用的HWTACACS计费方案。

undo accounting命令用来恢复缺省情况。

【命令】

accounting hwtacacs-scheme hwtacacs-scheme-name

undo accounting

【缺省情况】

未指定连接记录策略采用的HWTACACS计费方案。

【视图】

连接记录策略视图

【缺省用户角色】

network-admin

【参数】

hwtacacs-scheme-name：表示HWTACACS方案名，为1～32个字符的字符串，不区分大小写。

【使用指导】

修改后的HWTACACS计费方案，仅对设备与远程服务器新建的Telnet/FTP/SSH/SFTP连接生效。

对于同一个连接，若系统已经将计费开始报文成功发送给HWTACACS方案中指定的HWTACACS服务器，则后续的计费停止报文也会发送给该服务器。

多次执行本命令，最后一次执行的命令生效。

连接记录业务处理过程中，系统发送给AAA服务器的计费报文中封装的是用户输入的原始用户名，因此计费方案中通过user-name-format命令设置的用户名格式并不生效。

【举例】

# 创建连接记录策略，并在其视图下指定连接记录策略采用的HWTACACS计费方案为tac。

<Sysname> system-view

[Sysname] aaa connection-recording policy

[sysname-connection-recording-policy] accounting hwtacacs-scheme tac

【相关命令】

· aaa connection-recording policy

· display aaa connection-recording policy

1.8.3 display aaa connection-recording policy

display aaa connection-recording policy用来显示记录连接策略的配置信息。

【命令】

display aaa connection-recording policy

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示记录连接策略的配置信息。

<Sysname> display aaa connection-recording policy

Connection-recording policy:

Accounting scheme: HWTACACS=tac1

【相关命令】

· aaa connection-recording policy

· accounting hwtacacs-scheme

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

技术支持

自助服务

热门推荐

热门推荐

热门推荐

热门推荐

合作伙伴培训与认证

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

17-用户接入与认证命令参考

目录

10-AAA命令

1 AAA

1.1 ISP域中实现AAA配置命令

应用场景

注意事项

工作机制

注意事项

1.1.15 aaa session-limit

1.1.18 accounting command

1.1.26 accounting start-fail

1.1.40 authentication super

工作机制

注意事项

1.1.51 authorization-attribute (ISP domain view)