H3C 华为 01-AAA命令详解

更新时间:2024-04-18 17:33:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

01-AAA命令

目 录

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile 1.1.2 access-limit

1.1.3 access-limit enable 1.1.4 accounting default 1.1.5 accounting login 1.1.6 accounting optional 1.1.7 authentication default 1.1.8 authentication login 1.1.9 authorization command 1.1.10 authorization default 1.1.11 authorization login 1.1.12 authorization-attribute

1.1.13 authorization-attribute user-profile 1.1.14 bind-attribute 1.1.15 cut connection 1.1.16 display connection 1.1.17 display domain 1.1.18 display local-user 1.1.19 display user-group 1.1.20 domain

1.1.21 domain default enable 1.1.22 expiration-date 1.1.23 group

1.1.24 idle-cut enable 1.1.25 local-user

1.1.26 local-user password-display-mode 1.1.27 nas-id bind vlan 1.1.28 password

1.1.29 self-service-url enable 1.1.30 service-type 1.1.31 state

1.1.32 user-group

2 RADIUS配置命令

2.1 RADIUS配置命令

2.1.1 accounting-on enable

2.1.2 accounting-on enable interval 2.1.3 accounting-on enable send 2.1.4 attribute 25 car

2.1.5 data-flow-format (RADIUS scheme view)

2.1.6 display radius scheme 2.1.7 display radius statistics

2.1.8 display stop-accounting-buffer 2.1.9 key (RADIUS scheme view) 2.1.10 nas-ip (RADIUS scheme view)

2.1.11 primary accounting (RADIUS scheme view) 2.1.12 primary authentication (RADIUS scheme view) 2.1.13 radius client 2.1.14 radius nas-ip 2.1.15 radius scheme 2.1.16 radius trap

2.1.17 reset radius statistics

2.1.18 reset stop-accounting-buffer 2.1.19 retry

2.1.20 retry realtime-accounting

2.1.21 retry stop-accounting (RADIUS scheme view) 2.1.22 secondary accounting (RADIUS scheme view) 2.1.23 secondary authentication (RADIUS scheme view) 2.1.24 security-policy-server 2.1.25 server-type 2.1.26 state

2.1.27 stop-accounting-buffer enable (RADIUS scheme view) 2.1.28 timer quiet (RADIUS scheme view)

2.1.29 timer realtime-accounting (RADIUS scheme view) 2.1.30 timer response-timeout (RADIUS scheme view) 2.1.31 user-name-format (RADIUS scheme view)

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile

【命令】

aaa nas-id profile profile-name undo aaa nas-id profile profile-name 【视图】

系统视图 【缺省级别】

2:系统级 【参数】

profile-name:保存NAS-ID与VLAN绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。 【描述】

aaa nas-id profile命令用来创建一个NAS-ID Profile或者进入一个已创建的NAS-ID-Profile视图。undo aaa nas-id profile命令用来删除一个指定的NAS-ID Profile。

相关配置可参考命令nas-id bind vlan。 【举例】

# 创建一个名字为aaa的NAS-ID Profile。

system-view

[Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa]

1.1.2 access-limit

【命令】

access-limit max-user-number undo access-limit 【视图】

本地用户视图 【缺省级别】

3:管理级

【参数】

max-user-number:表示使用当前用户名接入设备的最大用户数,取值范围为1~1024。 【描述】

access-limit命令用来设置当前用户名可容纳的最大接入用户数。undo access-limit命令用来取消对当前用户名的接入用户数限制。 缺省情况下,不限制当前本地用户名可容纳的接入用户数。

需要注意的是,本地用户的access-limit命令只在配置了本地计费方案的情况下生效。

相关配置可参考命令display local-user。 【举例】

# 允许同时以用户名abc在线的用户数为5。

system-view [Sysname] local-user abc

[Sysname-luser-abc] access-limit 5

1.1.3 access-limit enable

【命令】

access-limit enable max-user-number undo access-limit enable 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

max-user-number:表示当前ISP域可容纳接入用户数的最大值,取值范围为1-2147483646。 【描述】

access-limit enable命令用来限制当前ISP域可容纳接入用户数。undo access-limit enable命令用来恢复缺省情况。 缺省情况下,不限制当前ISP域可容纳的接入用户数。

需要注意的是,由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。对当前ISP域下所能接入的用户数进行限制后,当接入此域的用户数超过当前ISP域可容纳的最大用户数后,新接入的用户将被拒绝。

【举例】

# 指定ISP域test最多可容纳500个接入用户。

system-view [Sysname] domain test

[Sysname-isp-test] access-limit enable 500

1.1.4 accounting default

【命令】

accounting default { local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting default 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

local:本地计费。 none:不计费。

radius-scheme radius-scheme-name:指定

RADIUS

方案。其中,

radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。 【描述】

accounting default命令用来为所有类型的用户配置缺省的计费方案。undo accounting default命令用来恢复缺省情况。 缺省情况下,所有类型的用户采用local计费方案。 需要注意的是:

? ?

当前ISP域所引用的RADIUS方案必须是已配置的。

本命令所配置的计费方案不区分用户类型,即对所有类型的用户都起作用。此本地计费只是为了支持本地用户的连接数管理,没有实际的统计功能。本地的

配置的优先级低于具体接入方式的配置。

?

接入数管理只对本地计费有效,对本地认证和授权没有作用。

相关配置可参考命令authentication default、authorization default和radius scheme。 【举例】

# 在系统缺省的ISP域system下,为所有类型的用户配置计费方案为local。

system-view

[Sysname] domain system

[Sysname-isp-system] auccounting default local

# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。

system-view [Sysname] domain test

[Sysname-isp-test] accounting default radius-scheme rd local

1.1.5 accounting login

【命令】

accounting login { local | none | radius-scheme radius-scheme-name [ local ] } undo accounting login 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

local:本地计费。实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。

none:不计费。

radius-scheme radius-scheme-name:指定

RADIUS

方案。其中,

radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。 【描述】

accounting login命令用来为login用户配置计费方案。undo accounting login命令用来恢复缺省情况。

缺省情况下,login用户采用缺省的计费方案。 需要注意的是:

? ?

当前ISP域所引用的RADIUS方案必须是已配置的。 login接入方式中的FTP服务不支持计费流程。

相关配置可参考命令accounting default和radius scheme。 【举例】

# 在系统缺省的ISP域system下,为login用户配置计费方案为local。

system-view [Sysname] domain system

[Sysname-isp-system] accounting login local

# 在ISP域test下,为login用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。

system-view [Sysname] domain test

[Sysname-isp-test] accounting login radius-scheme rd local

1.1.6 accounting optional

【命令】

accounting optional undo accounting optional 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

无 【描述】

accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。

缺省情况下,计费可选处于关闭状态。 需要注意的是:

?

对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败

时,若配置了本命令,则用户可以继续使用网络资源,且系统不再为其发送实时计费更新报文,否则用户连接将被切断。该命令适用于只认证但不关心计费的情况。

?

计费可选开关打开的情况下,本地用户视图下的access-limit命令配置的本

地用户的连接数限制功能不生效。

【举例】

# 打开ISP域test的计费可选开关。

system-view

[Sysname] domain test

[Sysname-isp-test] accounting optional

1.1.7 authentication default

【命令】

authentication default { local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication default 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

local:本地认证。 none:不进行认证。

radius-scheme radius-scheme-name:指定

RADIUS

方案。其中,

radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。 【描述】

authentication default命令用来为所有类型的用户配置缺省的认证方案。undo authentication default命令用来为恢复缺省情况。 缺省情况下,所有类型的用户采用local认证。 需要注意的是:

? ?

当前ISP域所引用的RADIUS方案必须是已配置的。

本命令配置的认证方案不区分用户类型,即对所有类型的用户都起作用。此配

置的优先级低于具体接入方式的配置。

相关配置可参考命令authorization default、accounting default和radius scheme。 【举例】

# 在系统缺省的ISP域system下,为所有类型的用户配置认证方案为local。

system-view [Sysname] domain system

[Sysname-isp-system] authentication default local

# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。

system-view [Sysname] domain test

[Sysname-isp-test] authentication default radius-scheme rd local

1.1.8 authentication login

【命令】

authentication login { local | none | radius-scheme radius-scheme-name [ local ] }

undo authentication login 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

local:本地认证。 none:不进行认证。

radius-scheme radius-scheme-name:指定

RADIUS

方案。其中,

radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。 【描述】

authentication login命令用来为login用户配置认证方案。undo authentication login命令用来恢复缺省情况。

缺省情况下,login用户采用缺省的认证方案。

需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。 相关配置可参考命令authentication default和radius scheme。 【举例】

# 在系统缺省的ISP域system下,为login用户配置认证方案为local。

system-view [Sysname] domain system

[Sysname-isp-system] authentication login local

# 在ISP域test下,为login用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。

system-view [Sysname] domain test

[Sysname-isp-test] authentication login radius-scheme rd local

1.1.9 authorization command

【命令】

authorization command { local | none } undo authorization command 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

local:本地授权。

none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。 【描述】

authorization command命令用来为命令行用户配置授权方案。undo authorization command命令用来恢复缺省情况。

缺省情况下,命令行用户采用缺省的授权方案。

需要注意的是,对于本地授权,本地用户必须存在,而且当前要授权的命令行的级别不能大于本地用户的级别,否则本地授权失败。 相关配置可参考命令authorization default。 【举例】

# 在系统缺省的ISP域system下,为命令行用户配置授权方案为local。

system-view [Sysname] domain system

[Sysname-isp-system] authorization command local

1.1.10 authorization default

【命令】

authorization default { local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization default 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

local:本地授权。

none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。

radius-scheme radius-scheme-name:指定

RADIUS

方案。其中,

radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。 【描述】

authorization default命令用来为所有类型的用户配置缺省的授权方案。undo authorization default命令用来恢复缺省情况。 缺省情况下,所有类型的用户采用local授权方案。 需要注意的是:

? ?

当前ISP域所引用的RADIUS方案必须是已配置的。

authorization default命令配置的授权方案不区分用户类型,即对所有类型的RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件

用户都起作用。此配置的优先级低于具体接入方式的配置。

?

下,RADIUS授权起作用,否则授权失败。对于所有RADIUS授权失败的情况,授权失败返回给NAS的原因为server没有响应。

相关配置可参考命令authentication default、accounting default和radius scheme。 【举例】

# 在系统缺省的ISP域system下,为所有类型的用户配置授权方案为local。

system-view [Sysname] domain system

[Sysname-isp-system] authorization default local

# 在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。

system-view [Sysname] domain test

[Sysname-isp-test] authorization default radius-scheme rd local

1.1.11 authorization login

【命令】

authorization login { local | none | radius-scheme radius-scheme-name [ local ] }

undo authorization login 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

local:本地授权。

none:直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。

radius-scheme radius-scheme-name:指定

RADIUS

方案。其中,

radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。 【描述】

authorization login命令用来为login用户配置授权方案。undo authorization login命令用来恢复缺省情况。

缺省情况下,login用户采用缺省的授权方案。 需要注意的是:

? ?

当前ISP域所引用的RADIUS方案必须是已配置的。

RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件

下,RADIUS授权起作用,否则授权失败。

相关配置可参考命令authorization default和radius scheme。

【举例】

# 在系统缺省的ISP域system下,为login用户配置授权方案为local。

system-view [Sysname] domain system

[Sysname-isp-system] authorization login local

# 在ISP域test下,为login用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。

system-view [Sysname] domain test

[Sysname-isp-test] authorization login radius-scheme rd local

1.1.12 authorization-attribute

【命令】

authorization-attribute { acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name } *

undo authorization-attribute { acl | callback-number | idle-cut | level | user-profile | vlan | work-directory } * 【视图】

本地用户视图/用户组视图 【缺省级别】

3:管理级 【参数】

acl acl-number:指定本地用户的授权ACL。其中,acl-number为授权ACL的编号,取值范围为2000~5999。

callback-number callback-number:指定本地用户的授权PPP回呼号码。其中,callback-number为1~64个字符的字符串,区分大小写。

idle-cut minute:启用本地用户的闲置切断功能。其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。

level level:指定本地用户的级别,取值范围为0~3。其中0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的级别越低。缺省值为0。

user-profile profile-name:指定本地用户的授权User Profile。其中,profile-name表示用户配置文件的名称,为1~32个字符的字符串,只能包含英文字母、数字、下划线,且必须以英文字母开始,区分大小写。

vlan vlan-id:指定本地用户的授权VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。

work-directory directory-name:授权FTP/SFTP用户可以访问的目录。其中,directory-name表示FTP/SFTP用户可以访问的目录,为1~135个字符的字符串,不区分大小写,且该目录必须已经存在。 【描述】

authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。undo authorization-attribute命令用来删除配置的授权属性。

缺省情况下,未设置任何授权属性。 需要注意的是:

?

可配置的授权属性都有其明确的使用环境和用途,而且本地用户授权属性的下

发并不区分用户的服务类型,即会对所有类型的接入用户都下发已配置的授权属性,因此配置下发的授权属性时要考虑该类型的用户是否需要某些属性。例如,PPP接入用户不需要下发授权目录,因此就不要设置PPP用户的work-directory属性。

? ? ?

用户组的授权属性对于组内的所有本地用户生效。

若本地用户与所属的用户组都配置了授权属性,则本地用户的配置生效。 如果配置登录用户界面的验证方式(authentication-mode)为不认证(none)

或采用密码认证(password),则用户登录到系统后所能访问的命令级别由用户界面的级别确定。关于配置登录用户界面的验证方式的具体内容请参见“系统分册/用户界面命令”中的命令authentication-mode;如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的级别确定。对于SSH用户,使用RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。

?

如果通过文件系统命令删除指定的FTP/SFTP用户可以访问的目录,则如果在当前指定的FTP/SFTP用户可以访问的目录中携带备板槽位信息,则

FTP/SFTP用户将不能访问此目录;

?

主备切换后FTP/SFTP用户将不能正常登录,建议用户在指定工作目录时不要携带槽位信息。

【举例】

# 配置用户组abc的授权VLAN为VLAN 3。

system-view [Sysname] user-group abc

[Sysname-ugroup-abc] authorization-attribute vlan 3

1.1.13 authorization-attribute user-profile

【命令】

authorization-attribute user-profile profile-name undo authorization-attribute user-profile 【视图】

ISP域视图 【缺省级别】

3:管理级 【参数】

profile-name:指定的User Profile名称,为1~31个字符的字符串,区分大小写。User Profile的相关配置请参考“系统分册”中的“User Profile命令”。 【描述】

authorization-attribute user-profile命令用于配置当前ISP域的缺省授权User Porfile。undo authorization-attribute user-profile命令用于恢复缺省情况。 缺省情况下,当前ISP域无缺省授权User Porfile。

如果当前ISP域的用户认证成功,但认证服务器(包括本地认证下的接入设备)对未对该ISP域下发授权User Porfile,则系统使用本配置指定的User Porfile作为当前ISP域的授权User Porfile。

需要注意的是,重复配置本命令,会覆盖原有的配置。 【举例】

# 配置test域下的缺省授权User Profile为profile1。

system-view [Sysname] domain test

[Sysname-isp-test] authorization-attribute user-profile profile1

1.1.14 bind-attribute

【命令】

bind-attribute { call-number call-number [ : subcall-number ] | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id } *

undo bind-attribute { call-number | ip | location | mac | vlan } * 【视图】

本地用户视图 【缺省级别】

3:管理级 【参数】

call-number call-number:指定ISDN用户认证的主叫号码。其中call-number为1~64个字符的字符串。

subcall-number:指定子主叫号码。如果配置了子主叫号码,则主叫号码与子主叫号码的总长度不能大于62个字符。 ip ip-address:指定用户的IP地址。

location:设置用户的端口绑定属性。

port slot-number subslot-number port-number:指定用户绑定的端口。其中slot-number为槽号,取值范围为0~1024。subslot-number为子槽号,取值范围为0~15。port-number为端口号,取值范围0~255。绑定的端口只针对端口号,不区分端口类型。

mac mac-address:指定用户的MAC地址。其中,mac-address为H-H-H格式。 vlan vlan-id:设置用户所属于的VLAN。其中,vlan-id为VLAN编号,取值范围为1~4094。 【描述】

bind-attribute命令用来设置用户的绑定属性。undo bind-attribute命令用来删除配置的用户绑定属性。

缺省情况下,未设置用户的任何绑定属性。 需要注意的是:

?

配置的绑定属性是本地用户进行认证时需要检测的项目,如果用户的实际属性

与配置的绑定属性不符,则检测不通过,认证失败。而且,由于认证检测时不区分用户的接入服务类型,即会对所有类型的用户都进行已配置绑定属性的认证检测,因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性。

?

本地用户的bind-attribute ip命令只适用于支持IP地址上传功能的认证,如

802.1X认证;对于不支持IP地址上传功能的认证,如果配置了该命令,会导致本地认证失败,如MAC地址认证。

?

本地用户的bind-attribute mac命令只适用于lan-access类型的用户,如

802.1X认证;对于其它类型用户(如FTP或Telnet)的认证,如果配置了该命令,会导致本地认证失败。

【举例】

# 配置本地用户abc的绑定IP为3.3.3.3。

system-view

[Sysname] local-user abc

[Sysname-luser-abc] bind-attribute ip 3.3.3.3

1.1.15 cut connection

【命令】

cut connection { all | domain isp-name | ucibindex ucib-index | user-name user-name } 【视图】

系统视图 【缺省级别】

2:系统级

【参数】

all:切断所有用户连接。

domain isp-name:指定ISP域。其中,isp-name为ISP域名,为1~24个字符的字符串。

ucibindex ucib-index:指定连接索引号,取值范围为0~4294967295。

user-name user-name:指定用户名。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名必须带域名,否则系统默认其带缺省域名。 【描述】

cut connection命令用来强制切断指定AAA用户的连接。 相关配置可参考命令display connection和service-type。 【举例】

# 切断ISP域test下的所有用户连接。

system-view

[Sysname] cut connection domain test

1.1.16 display connection

【命令】

display connection [ domain isp-name | ucibindex ucib-index | user-name user-name ] 【视图】

任意视图 【缺省级别】

1:监控级 【参数】

domain isp-name:显示指定ISP域下的全部用户连接。其中,isp-name表示ISP域名,为1~24个字符的字符串,不区分大小写。

ucibindex ucib-index:显示指定连接索引的所有用户连接。其中,ucib-index表示连接索引号,取值范围请为0~4294967295。

user-name user-name:显示指定用户名的用户连接。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名必须带域名,否则系统默认其带缺省域名。 【描述】

display connection命令用来显示所有或指定的AAA用户连接的相关信息。 需要注意的是:

?

不指定任何参数的情况下,系统显示所有AAA用户连接的概要信息。

?

指定参数ucibindex的情况下,显示详细的用户连接信息,指定其它参数则对于FTP类型用户,无法显示AAA用户连接的相关信息。

显示概要信息。

?

相关配置可参考命令cut connection。 【举例】

# 显示所有AAA用户连接的相关信息。

display connection

Index=1 ,Username=telnet@system IP=10.0.0.1

Total 1 connection(s) matched.

表1-1 display connection命令显示信息描述表

字段 Index Username IP Total 1 connection(s) matched. 索引号 当前连接的用户名,格式为username@domain 该用户IP地址 总计1个AAA用户连接 描述

1.1.17 display domain

【命令】

display domain [ isp-name ] 【视图】

任意视图 【缺省级别】

1:监控级 【参数】

isp-name:指定ISP域名,为1~24个字符的字符串。 【描述】

display domain命令用来显示指定ISP域的配置信息。 如果不指定ISP域,则显示系统中所有ISP域的配置信息。 相关配置可参考命令access-limit enable、domain和state。 【举例】

# 显示系统中所有ISP域的配置信息。

display domain 0 Domain : system State : Active

Access-limit : Disabled

Accounting method : Required

Default authentication scheme : local Default authorization scheme : local Default accounting scheme : local Domain User Template: Idle-cut : Disabled

Self-service : Disabled Authorization attributes :

1 Domain : test State : Active

Access-limit : Disabled

Accounting method : Required

Default authentication scheme : local Default authorization scheme : local Default accounting scheme : local Domain User Template: Idle-cut : Disabled

Self-service : Disabled Authorization attributes :

Default Domain Name: system Total 2 domain(s).

表1-2 display domain命令显示信息描述表

字段 Domain State Access-limit Accounting method Default authentication scheme Default authorization scheme Default accounting scheme Domain User Template Idle-cut Self-service Authorization attributes Default Domain Name Total 2 domain(s). 域名 状态(Active:激活、Block:阻塞) 接入限制数(Disabled:未使能) 计费方法(Required:必选、Optional:可选) 缺省的认证方案 缺省的授权方案 缺省的计费方案 域用户模板 闲置切断功能(Disabled:未使能、Enabled:使能) 自助服务功能(Disabled:未使能) 授权属性 缺省ISP域名 总计2个ISP域 描述

1.1.18 display local-user

【命令】

display local-user [ service-type { ftp | ssh | telnet | terminal } | state { active | block } | user-name user-name ] 【视图】

任意视图

【缺省级别】

1:监控级 【参数】

service-type:显示指定用户类型的所有本地用户信息。

? ? ? ?

ftp指定用户为FTP类型。 ssh为SSH用户。 telnet为Telnet用户。

terminal为从CON口、Asyn口登录的终端用户。

state { active | block }:显示指定状态下的所有本地用户信息。其中,active表示系统允许用户请求网络服务;block表示系统不允许用户请求网络服务。

user-name user-name:显示指定用户名的本地用户信息。其中,user-name表示本地用户名,为1~55个字符的字符串,区分大小写,不能携带域名。 【描述】

display local-user命令用来显示所有或指定的本地用户的相关信息。 相关配置可参考命令local-user。 【举例】

# 显示所有本地用户的相关信息。

display local-user The contents of local user abc:

State: Active ServiceType: telnet

Access-limit: Disnable Current AccessNum: 1 User-group: system Bind attributes:

IP address: 1.2.3.4

Bind location: 0/4/1 (SLOT/SUBSLOT/PORT) MAC address: 0001-0002-0003 Vlan ID: 100 Authorization attributes:

Idle TimeOut: 10(min) Work Directory: cfa0:/ User Privilege: 3 Acl ID: 2000 Vlan ID: 100 User Profile: prof1

Expiration date: 12:12:12-2018/09/16 Total 1 local user(s) matched.

表1-3 display local-user命令显示信息描述表

字段 State ServiceType Access-limit Current AccessNum 描述 本地用户状态(Active:激活、Block:阻塞) 本地用户使用的服务类型(dvpn、ftp、lan-access、pad、portal、ppp、ssh、telnet、terminal) 当前用户名的连接数限制 当前接入用户数 字段 User-group Bind attributes IP address Bind location MAC address VLAN ID Calling Number Authorization attributes Idle TimeOut Callback-number Work Directory User Privilege VLAN ID User Profile Expiration date Total 1 local user(s) matched. 本地用户所属用户组 本地用户的绑定属性 本地用户的IP地址 本地用户绑定的端口 本地用户的MAC地址 本地用户绑定的VLAN ISDN用户的主叫号码 本地用户的授权属性 描述 本地用户闲置切断时间(单位为分钟) 本地用户的授权PPP回呼号码 FTP/SFTP用户可以访问的目录 本地用户级别 本地用户授权VLAN 本地用户授权User Profile 本地用户的有效期 总计有1个本地用户匹配

1.1.19 display user-group

【命令】

display user-group [ group-name ] 【视图】

任意视图 【缺省级别】

2:系统级 【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。 【描述】

display user-group命令用来显示用户组的相关配置。 相关配置请参考命令user-group。 【举例】

# 显示用户组abc的相关配置。

display user-group abc The contents of user group abc: Authorization attributes:

Idle-cut: 120(min) Work Directory: cfa0: Level: 1 Acl Number: 2000 Vlan ID: 1 User-Profile: 1 Callback-number: 1 Total 1 user group(s) matched.

表1-4 display user-group命令显示信息描述表

字段 Idle-cut Work directory Level Acl Number Vlan ID User-Profile Callback-number Total 1 user group(s) matched. 描述 闲置切断时间(单位:分钟) FTP/SFTP用户可以访问的目录 本地用户的级别 授权ACL号 授权VlAN ID 授权User Profile名称 PPP回呼号码 总计有1个用户组匹配

1.1.20 domain

【命令】

domain isp-name undo domain isp-name 【视图】

系统视图 【缺省级别】

3:管理级 【参数】

isp-name:ISP域名,为1~24个字符的字符串,不区分大小写,不能包括“/”、“:”、“*”、“?”、“<”、“>”以及“@”等字符。 【描述】

domain命令用来创建ISP域并进入其视图。undo domain命令用来删除指定的ISP域。

需要注意的是:

?

使用此命令时,如果指定的ISP域不存在,系统将会创建一个新的ISP域,

所有的ISP域在创建后即处于active状态。

?

系统中存在一个缺省的ISP域,不能删除,只能修改,所有在登录时没有提供

ISP域名的用户都属于这个缺省域。关于缺省ISP域的详细介绍请参见命令domain default enable。

相关配置可参考命令state和display domain。 【举例】

# 创建一个新的ISP域test,并进入其视图。

system-view [Sysname] domain test [Sysname-isp-test]

1.1.21 domain default enable

【命令】

domain default enable isp-name undo domain default enable 【视图】

系统视图 【缺省级别】

3:管理级 【参数】

isp-name:缺省的ISP域名,为1~24个字符的字符串。 【描述】

domain default enable命令用来配置系统缺省的ISP域。undo domain default enable命令用来恢复缺省情况。

缺省情况下,系统缺省的ISP域为system。 需要注意的是:

? ?

缺省的ISP域有且只有一个。

缺省ISP域要生效,必须保证该域存在,否则会导致用户名中未携带域名的用配置为缺省的ISP域不能被删除,除非先恢复要删除的域为非缺省域。

户无法进行认证。

?

相关配置可参考命令state和display domain。 【举例】

# 创建一个新的ISP域test,并设置为系统缺省的ISP域。

system-view

[Sysname] domain test [Sysname-isp-test] quit

[Sysname] domain default enable test

1.1.22 expiration-date

【命令】

expiration-date time undo expiration-date 【视图】

本地用户视图 【缺省级别】

3:管理级 【参数】

time:本地用户的有效期截止时间,精确到秒,格式为HH:MM:SS-MM/DD/YYYY(时:分:秒-月/日/年)或HH:MM:SS-YYYY/MM/DD(时:分:秒-年/月/日)。其中,HH:MM:SS中的HH取值范围为0~23,MM和SS取值范围为0~59;MM/DD/YYYY中的MM的取值范围为1~12,DD的取值范围与月份有关,YYYY的取值范围为2000~2035。除表示零点外,格式中的前导0可以省略不写,比如2:2:0-2008/2/2等效于02:02:00-2008/02/02。 【描述】

expiration-date命令用来配置本地用户的有效期。undo expiration-date用来取消本地用户的有效期配置。

缺省情况下,未设置用户的有效期,设备不进行用户有效期的检查。

在有用户临时需要接入网络的情况下,设备管理员可以为用户建立临时使用的来宾帐户,并通过该配置对来宾帐户进行有效期的控制。当该用户进行本地认证时,接入设备检查当前系统时间是否在用户的有效期内,若在有效期内则允许用户登录,否则拒绝用户登录。

需要注意的是,如果设备管理员手工修改系统时间,或其它原因导致系统时间发生变化,则在用户认证时使用修改后的系统时间与配置的用户有效期进行比较。 【举例】

# 配置用户abc的有效期为2008/05/31的12:10:20。

system-view [Sysname] local-user abc

[Sysname-luser-abc] expiration-date 12:10:20-2008/05/31

1.1.23 group

【命令】

group group-name undo group 【视图】

本地用户视图 【缺省级别】

3:管理级 【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。 【描述】

group命令用来设置本地用户所属的用户组。undo group命令用来恢复缺省配置。 缺省情况下,用户属于系统默认创建的用户组system。 【举例】

# 设置本地用户111所属的用户组为abc。

system-view [Sysname] local-user 111

[Sysname-luser-111] group abc

1.1.24 idle-cut enable

【命令】

idle-cut enable minute flow undo idle-cut enable 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

minute:表示允许用户在线后连续的最大空闲时间,取值范围为1~120,单位为分钟。

flow:表示允许用户闲置时的最小数据流量,取值范围为1~10240000,单位为字节。 【描述】

idle-cut enable命令用来设置当前ISP域下的用户闲置切断功能,当用户在指定的最大空闲时间内的产生的流量小于指定的最小数据流量时,会被强制下线。undo idle-cut命令用来恢复缺省情况。

缺省情况下,用户闲置切断功能处于关闭状态。

需要注意的是,最大空闲时间还可以在服务器上进行配置。如果设备上配置了用户闲置切断参数(最大空闲时间和最小数据流量),则设备上配置的参数值生效;如果设备上的用户闲置切断功能处于关闭状态,则服务器上配置的最大空闲时间生效,但最小数据流量在服务器上不可配,默认为10240字节。

相关配置可参考命令domain。 【举例】

# 允许ISP域test中的用户启用闲置切断功能,用户的最大空闲时间为50分钟,闲置时的最小数据流量为1024个字节。

system-view [Sysname] domain test

[Sysname-isp-test] idle-cut enable 50 1024

1.1.25 local-user

【命令】

local-user user-name undo local-user user-name 【视图】

系统视图 【缺省级别】

3:管理级 【参数】

user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。 【描述】

local-user命令用来添加本地用户并进入本地用户视图。undo local-user命令用来删除指定的本地用户。 缺省情况下,无本地用户。

相关配置可参考命令display local-user和service-type。 【举例】

# 添加名称为user1的本地用户。

system-view

[Sysname] local-user user1 [Sysname-luser-user1]

1.1.26 local-user password-display-mode

【命令】

local-user password-display-mode { auto | cipher-force } undo local-user password-display-mode 【视图】

系统视图

【缺省级别】

2:系统级 【参数】

auto:自动方式,即接入用户的密码显示方式与该用户通过password命令设置的密码显示方式一致。

cipher-force:强制密文方式,即所有接入用户的密码显示方式必须采用密文方式。 【描述】

local-user password-display-mode命令用来设置所有本地用户密码的显示方式。undo local-user password-display-mode命令用来恢复缺省情况。 缺省情况下,所有接入用户的密码显示方式为自动方式。 当采用cipher-force方式后:

?

即使通过password命令指定密码显示方式为明文显示(即simple方式),使用save命令保存当前配置,重启设备后,即使恢复为auto方式,原来配

密码仍然会显示为密文。

?

置为明文显示的密码仍然显示为密文。

相关配置可参考命令display local-user和password。 【举例】

# 设置所有本地用户采用密文方式显示密码。

system-view

[Sysname] local-user password-display-mode cipher-force

1.1.27 nas-id bind vlan

【命令】

nas-id nas-identifier bind vlan vlan-id undo nas-id nas-identifier bind vlan vlan-id 【视图】

NAS-ID Profile视图 【缺省级别】

2:系统级 【参数】

nas-identifier:NAS-ID名称,为1~20个字符的字符串,区分大小写。 vlan-id:与NAS-ID绑定的VLAN ID,取值范围为1~4094。 【描述】

nas-id bind vlan命令用来设置NAS-ID与VLAN的绑定关系,即把一个NAS-ID指定给一个VLAN。undo nas-id bind vlan命令用来删除一个指定的NAS-ID和VLAN的绑定关系。

缺省情况下,未设置任何绑定关系。 需要注意的是:

? ?

一个NAS-ID Profile视图下,可以指定多个NAS-ID与VLAN的绑定关系。 一个NAS-ID可以与多个VLAN绑定,但是一个VLAN只能与一个NAS-ID绑

定。若多次将一个VLAN与不同的NAS-ID进行绑定,则最后的绑定关系生效。 相关配置可参考命令aaa nas-id profile。 【举例】

# 把NAS-ID 222指定给VLAN 2。

system-view

[Sysname] aaa nas-id profile aaa

[Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2

1.1.28 password

【命令】

password { cipher | simple } password undo password 【视图】

本地用户视图 【缺省级别】

2:系统级 【参数】

cipher:表示密码为密文显示。 simple:表示密码为明文显示。

password:表示设置的密码。明文密码可以是长度小于等于63的连续字符串,如:aabbcc。密文密码的长度取值为24或88,如_(TT8F]Y\\5SQ=^Q`MAF4<1!!。

? ?

对于simple方式,password必须是明文密码。

对于cipher方式,password可以是密文密码也可以是明文密码。

【描述】

password命令用来设置本地用户的密码。undo password命令用来取消本地用户的密码。 需要注意的是:

?

当采用local-user password-display-mode cipher-force命令后,即使用户

通过password命令指定密码显示方式为明文显示(即simple方式)后,密码也会显示为密文。

?

在cipher方式下,长度小于等于16的明文密码会被加密为长度是24的密文,

长度大于16且小于等于63的明文密码会被加密为长度是88的密文。当用户输入长度为24的密码时,如果密码能够被系统解密,则按密文密码处理;若不能被解密,则按明文密码处理。 相关配置可参考命令display local-user。 【举例】

# 设置名称为user1的密码为明文显示,密码为123456。

system-view

[Sysname] local-user user1

[Sysname-luser-user1] password simple 123456

1.1.29 self-service-url enable

【命令】

self-service-url enable url-string undo self-service-url enable 【视图】

ISP域视图 【缺省级别】

2:系统级 【参数】

url-string:表示自助服务器修改用户密码页面的URL,为1~64个字符的字符串。字符串必须以“http://”开始,字符串中不能包括“?”字符。 【描述】

self-service-url enable命令用来设置自助服务器定位功能。undo self-service-url enable命令用来恢复缺省情况。

缺省情况下,自助服务器定位功能处于关闭状态。 需要注意的是:

?

此命令需要与支持自助服务的RADIUS服务器配合使用,如CAMS/iMC。自

助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。

?

如果在设备上配置了此命令,用户可以通过如下操作定位到自助服务器:用户

在802.1X客户端软件上选择“更改用户密码”;客户端软件打开用户缺省的浏览器(IE或者NetScape等),定位到指定的自助服务器更改用户密码的URL页面;用户可以在该页面上修改自己的密码。

?

只有用户通过认证后才能进行在客户端软件上选择“更改用户密码”选项,否

则该选项为灰色,不可用。

【举例】

# 在系统缺省的ISP域system下,配置自助服务器修改用户密码页面的URL为http://10.153.89.94/selfservice/modPasswd1x.jsp|userName。

system-view [Sysname] domain system

[Sysname-isp-system] self-service-url enable

http://10.153.89.94/selfservice/modPasswd1x.jsp|userName

1.1.30 service-type

【命令】

service-type { ftp | ssh | telnet | terminal } undo service-type { ftp | ssh | telnet | terminal } 【视图】

本地用户视图 【缺省级别】

3:管理级 【参数】

ftp:指定用户可以使用FTP服务。若授权FTP服务,缺省授权使用设备的根目录。 ssh:指定用户可以使用SSH服务。 telnet:指定用户可以使用Telnet服务。

terminal:指定用户可以使用terminal服务(即从Console口、Asyn口登录)。 【描述】

service-type命令用来设置用户可以使用的服务类型。undo service-type命令用来删除用户可以使用的服务类型。

缺省情况下,系统不对用户授权任何服务。 【举例】

# 指定用户可以使用Telnet服务。

system-view

[Sysname] local-user user1

[Sysname-luser-user1] service-type telnet

1.1.31 state

【命令】

state { active | block } undo state

【视图】

ISP域视图/本地用户视图 【缺省级别】

2:系统级 【参数】

active:指定当前ISP域或当前本地用户处于活动状态,即系统允许该域下的用户/当前本地用户请求网络服务。

block:指定当前ISP域/当前本地用户处于“阻塞”状态,即系统不允许该域下的用户/当前本地用户请求网络服务。 【描述】

state命令用来设置当前ISP域/当前本地用户的状态。undo state命令用来恢复缺省情况。

缺省情况下,当一个ISP域被创建以后,其状态为active(ISP域视图)。当一个本地用户被创建以后,其状态为active(本地用户视图)。

当指示某个ISP域处于block状态时,不允许该域下的用户请求网络服务,但是不影响已经在线的用户。当指示某个用户处于block状态时,不允许当前本地用户请求网络服务,但是不影响其它用户。 相关配置可参考命令domain。 【举例】

# 设置当前ISP域test处于“阻塞”状态,域下的接入用户不能再请求网络服务。

system-view [Sysname] domain test

[Sysname-isp-test] state block

# 设置用户user1处于“阻塞”状态。

system-view

[Sysname] local-user user1

[Sysname-luser-user1] state block

1.1.32 user-group

【命令】

user-group group-name undo user-group group-name 【视图】

系统视图 【缺省级别】

3:管理级

【参数】

group-name:用户组名称,为1~32个字符的字符串,不区分大小写。 【描述】

user-group命令用来创建用户组并进入其视图。undo user-group命令用来删除指定的用户组。

用户组是一个本地用户策略及属性的集合,某些需要集中管理的策略或者属性可在在用户组中统一配置和管理。目前,用户组中可配置的内容包括本地用户密码的控制策略和用户的授权属性。 需要注意的是:

? ?

当用户组中有本地用户时,不允许使用undo user-group删除该用户组。 不能删除系统中存在的默认用户组system,但可以修改该用户组的配置。

相关配置可参考命令display user-group。 【举例】

# 创建名称为abc的用户组并进入其视图。

system-view [Sysname] user-group abc [Sysname-ugroup-abc]

2 RADIUS配置命令

2.1 RADIUS配置命令

2.1.1 accounting-on enable

【命令】

accounting-on enable undo accounting-on enable 【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

无 【描述】

accounting-on enable命令用来使能accounting-on功能,即设备重启后,发送accounting-on报文通知RADIUS服务器该设备已经重启,要求RADIUS服务器强制该设备的用户下线。undo accounting-on enable命令用来恢复缺省情况。 缺省情况下,accounting-on功能处于关闭状态。 需要注意的是:

?

此命令不会影响其他accounting-on命令的配置,如accounting-on enable 设备启动后,如果当前系统中没有使能accounting-on功能的认证方案,则执

send等。

?

行完该命令后,必须执行save操作,这样设备重启后accounting-on功能才能生效。但是,如果当前系统中已经有方案使能了accounting-on功能,则对未使能该功能的认证方案执行该命令后,accounting-on功能会立即生效。 相关配置可参考命令radius scheme。 【举例】

# 使能RADIUS认证方案rd的accounting-on功能。

system-view

[Sysname] radius scheme rd

[Sysname-radius-rd] accounting-on enable

2.1.2 accounting-on enable interval

【命令】

accounting-on enable interval seconds undo accounting-on interval 【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

seconds:accounting-on报文重发时间间隔,取值范围为1~15,单位为秒。 【描述】

accounting-on enable interval命令用来设置accounting-on报文重发时间间隔。 undo accounting-on enable interval命令用来恢复缺省情况。 缺省情况下,accounting-on报文重发时间间隔为3秒。 需要注意的是:

?

此命令配置不会影响其它accounting-on命令的配置,如accounting-on

enable,即当执行undo accounting-on enable interval时,不会关闭accounting-on功能,只是恢复accounting-on报文重发时间间隔为缺省值。

?

在执行accounting-on功能的过程中,使用该命令重新设置的报文重发间隔时

间会立即生效。

相关配置可参考命令radius scheme和accounting-on enable。 【举例】

# 在RADIUS认证方案rd中设置accounting-on报文重发间隔时间为5秒。

system-view

[Sysname] radius scheme rd

[Sysname-radius-rd] accounting-on enable interval 5

2.1.3 accounting-on enable send

【命令】

accounting-on enable send send-times undo accounting-on send 【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

send-times:accounting-on报文的最大发送次数,取值范围为1~255。

【描述】

accounting-on enable send命令用来设置accounting-on报文的最大发送次数。undo accounting-on enable send命令用来恢复缺省情况。 缺省情况下,accounting-on报文的最大发送次数为5次。 需要注意的是:

?

此命令配置不会影响其它accounting-on命令,如accounting-on enable,

即当执行undo accounting-on enable send时,不会关闭accounting-on功能,只是恢复accounting-on报文最大发送次数为缺省值。

?

在执行accounting-on功能的过程中,使用该命令重新设置的报文最大发送次

数会立即生效。

相关配置可参考命令radius scheme和accounting-on enable。 【举例】

# 在RADIUS认证方案rd中设置accounting-on报文最大发送次数为10次。

system-view

[Sysname] radius scheme rd

[Sysname-radius-rd] accounting-on enable send 10

2.1.4 attribute 25 car

【命令】

attribute 25 car undo attribute 25 car 【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

无 【描述】

attribute 25 car命令用来开启RADIUS Attribute 25的CAR参数解析功能。undo attribute 25 car命令用来恢复缺省情况。

缺省情况下,RADIUS Attribute 25的CAR参数解析功能处于关闭状态。 相关配置可参考命令display radius scheme和display connection。 【举例】

# 开启RADIUS Attribute 25的CAR参数解析功能。

system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] attribute 25 car

2.1.5 data-flow-format (RADIUS scheme view)

【命令】

data-flow-format { data { byte | giga-byte | kilo-byte | mega-byte } | packet { giga-packet | kilo-packet | mega-packet | one-packet } } * undo data-flow-format { data | packet } 【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

data:设置数据的单位。 byte:数据单位为字节。 giga-byte:数据单位千兆字节。 kilo-byte:数据单位为千字节。 mega-byte:数据单位为兆字节。 packet:设置数据包的单位。

giga-packet:数据包的单位为千兆包。 kilo-packet:数据包的单位为千包。 mega-packet:数据包的单位为兆包。 one-packet:数据包的单位为包。 【描述】

data-flow-format命令用来配置发送到RADIUS服务器的数据流的单位。undo data-flow-format命令用来恢复缺省情况。

缺省情况下,数据的单位为byte,数据包的单位为one-packet。 需要注意的是:

?

设备上配置的发送给RADIUS服务器的数据流单位应与RADUIS服务器上的只有当该RADIUS方案没有被用户使用时,才能改变此配置。

流量统计单位保持一致,否则无法正确计费。

?

相关配置可参考命令display radius scheme。 【举例】

# 设置发往RADIUS服务器的数据流的数据单位为千字节、数据包单位为千包。

system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet

2.1.6 display radius scheme

【命令】

display radius scheme [ radius-scheme-name ] 【视图】

任意视图 【缺省级别】

2:系统级 【参数】

radius-scheme-name:指定RADIUS方案名。 【描述】

display radius scheme命令用来显示所有或指定RADIUS方案的配置信息。 需要注意的是:如果不指定RADIUS方案名,则显示所有RADIUS方案的配置信息。 相关配置可参考命令radius scheme。 【举例】

# 显示所有RADIUS方案的配置信息。

display radius scheme

------------------------------------------------------------------ SchemeName : radius1

Index : 0 Type : extended Primary Auth Server:

IP: 1.1.1.1 Port: 1812 State: block Primary Acct Server:

IP: 1.1.1.1 Port: 1813 State: block Second Auth Server:

IP: N/A Port: 1812 State: block Second Acct Server:

IP: N/A Port: 1813 State: block Auth Server Encryption Key : 123

Acct Server Encryption Key : Not configured

Accounting-On packet disable, send times : 5 , interval : 3s Interval for timeout(second) : 3 Retransmission times for timeout : 3 Interval for realtime accounting(minute) : 12 Retransmission times of realtime-accounting packet : 5 Retransmission times of stop-accounting packet : 500 Quiet-interval(min) : 5

Username format : without-domain Data flow unit : Byte Packet unit : one ------------------------------------------------------------------ Total 1 RADIUS scheme(s).

表2-1 display radius scheme命令显示信息描述表

字段 SchemeName Index Radius方案的名称 Radius方案的索引号 描述 字段 Type Primary Auth Server Primary Acct Server Second Auth Server Second Acct Server IP Radius服务器的类型 主认证服务器 主计费服务器 从认证服务器 从计费服务器 描述 主认证/计费服务器IP地址 未配置时,显示为N/A 主认证/计费服务器接入端口号 未配置时,显示缺省值 主认证/计费服务器目前状态 Port State ? active:激活 ? block:阻塞 Auth Server Encryption Key Acct Server Encryption Key Accounting-On packet disable send times interval Interval for timeout(second) Retransmission times for timeout Interval for realtime accounting(minute) Retransmission times of realtime-accounting packet Retransmission times of stop-accounting packet Quiet-interval(min) Username format Data flow unit Packet unit Total 1 RADIUS scheme(s). 认证服务器的共享密钥 计费服务器的共享密钥 accounting-on功能未使能 accounting-on报文的重发次数 accounting-on报文的重发间隔(秒) 超时时间(秒) 超时重发次数 实时计费间隔(分钟) 实时计费报文重发次数 无响应停止计费报文重发次数 主服务器恢复激活状态的时间 用户名格式 流量数据的单位 数据包的单位 共计1个RADIUS方案

2.1.7 display radius statistics

【命令】

display radius statistics 【视图】

任意视图

【缺省级别】

2:系统级 【参数】

无 【描述】

display radius statistics命令用来显示RADIUS报文的统计信息。 相关配置可参考命令radius scheme。 【举例】

# 显示RADIUS报文的统计信息。

display radius statistics state statistic(total=1024):

DEAD = 1024 AuthProc = 0 AuthSucc = 0 AcctStart = 0 RLTSend = 0 RLTWait = 0 AcctStop = 0 OnLine = 0 Stop = 0

Received and Sent packets statistic:

Sent PKT total = 1547 Received PKT total = 23 RADIUS received packets statistic: Code = 2 Num = 15 Err = 0 Code = 3 Num = 4 Err = 0 Code = 5 Num = 4 Err = 0 Code = 11 Num = 0 Err = 0

Running statistic:

RADIUS received messages statistic:

Normal auth request Num = 24 Err = 0 Succ = 24 EAP auth request Num = 0 Err = 0 Succ = 0 Account request Num = 4 Err = 0 Succ = 4 Account off request Num = 503 Err = 0 Succ = 503 PKT auth timeout Num = 15 Err = 5 Succ = 10 PKT acct_timeout Num = 1509 Err = 503 Succ = 1006 Realtime Account timer Num = 0 Err = 0 Succ = 0 PKT response Num = 23 Err = 0 Succ = 23 Session ctrl pkt Num = 0 Err = 0 Succ = 0 Normal author request Num = 0 Err = 0 Succ = 0 Set policy result Num = 0 Err = 0 Succ = 0 RADIUS sent messages statistic: Auth accept Num = 10 Auth reject Num = 14 EAP auth replying Num = 0 Account success Num = 4 Account failure Num = 3 Server ctrl req Num = 0 RecError_MSG_sum = 0 SndMSG_Fail_sum = 0 Timer_Err = 0 Alloc_Mem_Err = 0 State Mismatch = 0 Other_Error = 0

No-response-acct-stop packet = 1

Discarded No-response-acct-stop packet for buffer overflow = 0

表2-2 display radius statistics命令显示信息描述表

字段 state statistic(total=18000) 描述 状态统计(总数=18000) 字段 DEAD AuthProc AuthSucc AcctStart RLTSend RLTWait AcctStop OnLine Stop Received and Sent packets statistic Sent PKT total Received PKT total RADIUS received packets statistic Code Num Err Running statistic RADIUS received messages statistic Normal auth request EAP auth request Account request Account off request PKT auth timeout PKT acct_timeout Realtime Account timer PKT response Session ctrl pkt Normal author request Succ Set policy result RADIUS sent messages statistic Auth accept 空闲态用户数 认证等待态用户数 认证成功态用户数 计费开始态用户数 实时计费发送态用户数 实时计费等待态用户数 计费等待停止态用户数 在线态用户数 停止态用户数 收发报文数目统计 发送报文总数 接收报文总数 描述 RADIUS模块接收报文数目统计 报文类型 报文总数 错误报文数 运行间报文数目统计 RADIUS已接收消息数目统计 普通认证请求报文数 EAP认证请求报文数 计费请求报文数 计费停止请求报文数 认证超时报文数 计费超时报文数 实时计费请求报文数 响应报文数 会话控制报文数 普通授权请求报文数 成功报文数 Set policy结果报文数 RADIUS已发送消息数目统计 认证接收报文数 字段 Auth reject EAP auth replying Account success Account failure Server ctrl req RecError_MSG_sum SndMSG_Fail_sum Timer_Err Alloc_Mem_Err State Mismatch Other_Error No-response-acct-stop packet 认证拒绝报文数 EAP认证回应报文数 计费成功报文数 计费失败报文数 服务器控制请求报文数 接收错误消息总数 发送消息失败总数 启动定时器失败报文数 申请内存失败报文数 状态不匹配报文数 其它错误报文数 停止计费报文无响应数 描述 Discarded No-response-acct-stop packet for buffer 因缓存区满而丢弃的无响应停止计费报文总数 overflow

2.1.8 display stop-accounting-buffer

【命令】

display stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } 【视图】

任意视图 【缺省级别】

2:系统级 【参数】

radius-scheme radius-scheme-name:根据指定RADIUS方案显示缓存的停止计费请求报文。其中,radius-scheme-name为RADIUS方案名,为1~32个字符的字符串。

session-id session-id:根据指定会话ID显示缓存的停止计费请求报文。其中,session-id为1~50个字符的字符串。

time-range start-time stop-time:根据停止计费请求时刻的起始和停止时间显示缓存的停止计费请求报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss- mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。如果使用本参数,则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被显示。

user-name user-name:根据指定用户名显示缓存的停止计费请求报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中的user-name-format配置保持一致。 【描述】

display stop-accounting-buffer命令用来显示缓存的没有得到响应的停止计费请求报文。 需要注意的是:

?

可以选择显示发往某个RADIUS方案的报文;也可以根据用户会话的

session-id或用户名来显示报文;还可以指定一个时间段,显示那些发起停止计费请求的时刻处于指定时间段内的报文。根据显示的报文信息,可以帮助诊断与排除RADIUS相关故障。

?

在发送停止计费请求报文而RADIUS服务器没有响应时,设备系统会缓存该

报文,然后以一定的次数发送,具体发送的次数由retry stop-accounting命令设置。

相关配置可参考命令reset stop-accounting-buffer、stop-accounting-buffer enable、user-name-format和retry stop-accounting。 【举例】

# 显示从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。

display stop-accounting-buffer 23:59:59-08/31/2006

Total find 0 record(0)

time-range

0:0:0-08/31/2006

2.1.9 key (RADIUS scheme view)

【命令】

key { accounting | authentication } string undo key { accounting | authentication } 【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

accounting:指定RADIUS计费报文的共享密钥。 authentication:指定RADIUS认证/授权报文的共享密钥。 string:密钥,为1~64个字符的字符串,区分大小写。 【描述】

key命令用来配置RADIUS认证/授权或计费报文的共享密钥。undo key命令用来删除配置。

缺省情况下,无共享密钥。 需要注意的是:

? ?

必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。 只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令display radius scheme。 【举例】

# 将RADIUS方案radius1的认证/授权报文的共享密钥设置为hello。

system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key authentication hello

# 将RADIUS方案radius1的计费报文的共享密钥设置为ok。

system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] key accounting ok

2.1.10 nas-ip (RADIUS scheme view)

【命令】

nas-ip ip-address undo nas-ip 【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

ip-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。 【描述】

nas-ip命令用来设置设备发送RADIUS报文使用的源IP地址。undo nas-ip命令用来恢复缺省情况。

缺省情况下,使用系统视图下由命令radius nas-ip指定的源地址。 需要注意的是:

?

指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返

回的报文不可达。一般推荐使用Loopback接口地址。

?

RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的

命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

?

本命令配置的源IP地址与RADIUS方案中设置的服务器IP地址的协议版本只有当该RADIUS方案没有被用户使用时,才能改变此配置。

必须保持一致,否则配置能成功但不能生效。

?

相关配置可参考命令radius nas-ip。 【举例】

# 配置设备发送RADIUS报文使用的源IP地址为10.1.1.1。

system-view

[Sysname] radius scheme test1

[Sysname-radius-test1] nas-ip 10.1.1.1

2.1.11 primary accounting (RADIUS scheme view)

【命令】

primary accounting ip-address [ port-number ] undo primary accounting 【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

ip-address:主RADIUS计费服务器的IPv4地址。

port-number:UDP端口号,缺省为1813,取值范围为1~65535。 【描述】

primary accounting命令用来配置主RADIUS计费服务器。undo primary accounting命令用来删除设置的主RADIUS计费服务器。 缺省情况下,未配置主计费服务器。 需要注意的是:

? ? ? ? ?

主计费服务器和从计费服务器的IP地址不能相同,否则将提示配置不成功。 需保证设备上的RADIUS服务端口与RADIUS服务器上的端口设置一致。 主计费服务器和从计费服务器的IP地址协议版本必须一致,否则提示错误。 计费服务器与认证服务器的IP地址协议版本必须一致,否则提示错误。 只有当该RADIUS方案没有被用户使用时,才能改变此配置。

相关配置可参考命令key、radius scheme和state。 【举例】

# 设置RADIUS方案radius1的主计费服务器的IP地址为10.110.1.2,使用UDP端口1813提供RADIUS计费服务。

system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary accounting 10.110.1.2 1813

2.1.12 primary authentication (RADIUS scheme view)

【命令】

primary authentication ip-address [ port-number ] undo primary authentication 【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

ip-address:主RADIUS认证/授权服务器的IPv4地址。

port-number:UDP端口号,缺省为1812,取值范围为1~65535。 【描述】

primary authentication命令用来配置主RADIUS认证/授权服务器。undo primary authentication命令用来删除设置的主RADIUS认证/授权服务器。 缺省情况下,未配置主认证/授权服务器。 需要注意的是:

?

当创建一个新的RADIUS方案之后,需要对属于此方案的RADIUS服务器的

IP地址和UDP端口号进行设置。这些服务器包括认证/授权和计费服务器,而每种服务器又有主服务器和从服务器的区别。在实际组网环境中,上述参数的设置需要根据具体需求来决定。但是必须至少设置一个认证/授权服务器和一个计费服务器。同时在配置过程中,请保证设备上的RADIUS服务端口设置与RADIUS服务器上的端口设置保持一致。

?

主认证/授权服务器和从认证/授权服务器的IP地址不能相同,否则将提示配置主认证/授权服务器和从认证/授权服务器的IP地址协议版本必须一致,否则提认证/授权服务器与计费服务器的IP地址协议版本必须一致,否则提示错误。 只有当该RADIUS方案没有被用户使用时,才能改变此配置。

不成功。

?

示错误。

? ?

相关配置可参考命令key、radius scheme和state。 【举例】

# 设置RADIUS方案radius1的主认证/授权服务器的IP地址为10.110.1.1,使用UDP端口1812提供RADIUS认证/授权服务。

system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 1812

2.1.13 radius client

【命令】

radius client enable undo radius client 【视图】

系统视图 【缺省级别】

2:系统级 【参数】

无 【描述】

radius client enable命令用来使能RADIUS客户端的监听端口,使能后的端口可以接收和发送RADIUS报文。undo radius client命令用来关闭RADIUS客户端的监听端口。

缺省情况下,监听端口处于使能状态。 需要注意的是:

?

关闭RADIUS客户端的监听端口后,RADIUS可以接受认证/授权/计费请求,

也可以处理RADIUS的定时器消息,但报文发送会失败,同时不能接收来自RADIUS服务器的报文。

?

关闭RADIUS客户端的监听端口后,在线用户的计费结束报文无法发出,且

不能被缓存。同时,RADIUS服务器收不到在线用户的下线报文,会出现有一段时间用户已经下线,但RADIUS服务器上还有此用户的情况。

?

关闭RADIUS客户端的监听端口后,如果配置了RADIUS方案和本地认证/关闭RADIUS客户端的监听端口后,缓存的计费报文的发送会失败,失败次

授权/计费方案,则RADIUS请求失败后会转由本地方案继续认证/授权/计费。

?

数达到配置的最大次数后,计费报文将从缓存中被删除。

【举例】

# 使能RADIUS客户端的监听端口。

system-view

[Sysname] radius client enable

2.1.14 radius nas-ip

【命令】

radius nas-ip ip-address undo radius nas-ip 【视图】

系统视图 【缺省级别】

2:系统级 【参数】

ip-address:指定的源IPv4地址,应该为本机的地址,禁止配置全0地址、全1地址、D类地址、E类地址和环回地址。 【描述】

radius nas-ip命令用来指定设备发送RADIUS报文使用的源地址。undo radius nas-ip命令用来恢复缺省情况。

缺省情况下,不指定源地址,即以发送报文的接口地址作为源地址。 需要注意的是:

?

指定发送RADIUS报文使用的源地址,可以避免物理接口故障时从服务器返本命令只能指定一个源地址,新配置的源地址会覆盖原有的源地址。 RADIUS方案视图下的命令nas-ip只对本RADIUS方案有效,系统视图下的

回的报文不可达。

? ?

命令radius nas-ip对所有RADIUS方案有效。RADIUS方案视图下的设置具有更高的优先级。

?

本命令配置的源IP地址与使用该源地址的RADIUS方案中设置的服务器IP

地址的协议版本必须保持一致,否则配置能成功但不能生效。 相关配置可参考命令nas-ip。 【举例】

# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。

system-view

[Sysname] radius nas-ip 129.10.10.1

2.1.15 radius scheme

【命令】

radius scheme radius-scheme-name undo radius scheme radius-scheme-name 【视图】

系统视图 【缺省级别】

3:管理级 【参数】

radius-scheme-name:RADIUS方案名,为1~32个字符的字符串,不区分大小写。 【描述】

radius scheme命令用来创建RADIUS方案并进入其视图。undo radius scheme命令用来删除指定的RADIUS方案。 缺省情况下,未定义RADIUS方案。 需要注意的是:

?

RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至

少须指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数。

? ?

一个RADIUS方案可以同时被多个ISP域引用。

当有使用RADIUS方案的用户在线时,不允许使用undo radius scheme命

令删除该方案。

相关配置可参考命令key、retry realtime-accounting、timer realtime-accounting、stop-accounting-buffer enable、retry stop-accounting、server-type、state、user-name-format、retry、display radius scheme和display radius statistics。 【举例】

# 创建名为radius1的RADIUS方案并进入其视图。

system-view

[Sysname] radius scheme radius1 [Sysname-radius-radius1]

2.1.16 radius trap

【命令】

radius trap { accounting-server-down | authentication-server-down } undo radius trap { accounting-server-down | authentication-server-down } 【视图】

系统视图 【缺省级别】

2:系统级 【参数】

accounting-server-down:使能RADIUS计费服务器无响应时的trap功能。

authentication-server-down:使能RADIUS认证服务器无响应时的trap功能。 【描述】

radius trap命令用来使能RADIUS trap功能。undo radius trap命令用来关闭RADIUS trap功能。

缺省情况下,RADIUS trap功能处于关闭状态。 需要注意的是:

?

使能RADIUS trap功能后,当NAS向RADIUS服务器发送计费或认证请求没

有响应时,NAS会向服务器重发计费或认证请求报文。当NAS向服务器发送的报文累计次数达到最大传送次数的1/2时,系统会发送一次trap报文;当NAS向服务器发送的报文累计次数达到最大传送次数时,系统会再发送一次trap报文。

?

当最大传送次数为奇数时,最大传送次数的1/2取值为大于最大传送次数1/2

的最小整数。

【举例】

# 使能RADIUS计费服务器无响应时的trap功能。

system-view

[Sysname] radius trap accounting-server-down

2.1.17 reset radius statistics

【命令】

reset radius statistics 【视图】

用户视图 【缺省级别】

2:系统级 【参数】

无 【描述】

reset radius statistics命令用来清除RADIUS协议的统计信息。 相关配置请参考命令display radius scheme。 【举例】

# 清除RADIUS协议的统计信息。

reset radius statistics

2.1.18 reset stop-accounting-buffer

【命令】

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name } 【视图】

用户视图 【缺省级别】

2:系统级 【参数】

radius-scheme radius-scheme-name:根据指定RADIUS方案清除缓存的停止计费响应报文。其中,radius-scheme-name为RAIUDS方案名,为1~32个字符的字符串。

session-id session-id:根据指定会话ID清除缓存的停止计费响应报文。其中,session-id为会话ID,为1~50个字符的字符串。

time-range start-time stop-time:根据指定停止计费请求时刻的起始和结束时间清除缓存的停止计费响应报文。其中,start-time为请求时间段的起始时间;stop-time为请求时间段的结束时间,格式为hh:mm:ss-mm/dd/yyyy(时:分:秒-月/日/年)或hh:mm:ss-yyyy/mm/dd(时:分:秒-年/月/日)。

user-name user-name:根据指定用户名清除缓存的停止计费响应报文。其中,user-name表示用户名,为1~80个字符的字符串,区分大小写。输入的用户名是否携带ISP域名,必须与RADIUS方案中配置的发送给RADIUS服务器的用户名格式保持一致。 【描述】

reset stop-accounting-buffer命令用来清除缓存中的没有得到响应的停止计费请求报文。

相关配置可参考命令stop-accounting-buffer enable、retry stop-accounting、user-name-format和display stop-accounting-buffer。 【举例】

# 清除用户user0001@test缓存在系统中的停止计费请求报文。

reset stop-accounting-buffer user-name user0001@test

# 清除从2006年8月31日0点0分0秒到2006年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。

reset stop-accounting-buffer 23:59:59-08/31/2006

time-range

0:0:0-08/31/2006

2.1.19 retry

【命令】

retry retry-times undo retry

【视图】

RADIUS方案视图 【缺省级别】

2:系统级 【参数】

retry-times:报文重传次数的最大值,取值范围为1~20。 【描述】

retry命令用来设置RAIUDS报文超时重传次数的最大值。undo retry命令用来恢复缺省情况。

缺省情况下,RADIUS报文超时重传次数的最大值为3次。 需要注意的是:

?

由于RADIUS协议采用UDP报文来承载数据,因此其通信过程是不可靠的。

如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备,则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应,则设备将认为本次认证失败。

?

该命令配置的累计传送次数为设备向主、备服务器发送的所有重传报文之和。

假设配置的重传次数为N,在主备RADIUS服务器都存在的情况下,如果累计重传次数达到N/2(N为偶数)或(N+1)/2(N为奇数)时,当前服务器仍没有响应设备,则设备会转而向另一个服务器发送请求报文。

?

RADIUS报文超时重传次数的最大值与RADIUS服务器应答超时时间的乘积

不能超过75秒。

相关配置可参考命令radius scheme和timer response-timeout。 【举例】

# 设置在RADIUS方案radius1下,RAIUDS报文的最大超时重传次数为5次。

system-view

[Sysname] radius scheme radius1 [Sysname-radius-radius1] retry 5

2.1.20 retry realtime-accounting

【命令】

retry realtime-accounting retry-times undo retry realtime-accounting 【视图】

RADIUS方案视图 【缺省级别】

2:系统级

本文来源:https://www.bwwdw.com/article/jedp.html

Top