目 录（目录名）

Transcription

1 H3C S5120-SI 系列以太网交换机 安全命令参考 杭州华三通信技术有限公司 资料版本 :6W 产品版本 :Release 1505

2 Copyright 2011 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF NetPilot Neocean NeoVTL SecPro SecPoint SecEngine SecPath Comware Secware Storware NQA VVG V 2 G V n G PSPT XGbus N-Bus TiGem InnoVision HUASAN 华三均为杭州华三通信技术有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由各自权利人拥有 由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利 本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述 信息和建议也不构成任何明示或暗示的担保

3 前言 H3C S5120-SI 系列以太网交换机命令参考共分为十本手册, 主要针对 S5120-SI 系列以太网交换机 Release1505 软件版本支持的命令进行了介绍 安全命令参考 主要介绍安全业务特性的配置命令, 包括 AAA 802.1X MAC 地址认证 Portal 认证等接入认证配置命令, 以及 IP Source Guard ARP 攻击防御等安全防御技术的配置命令 前言部分包含如下内容 : 读者对象 新增及修改命令说明 本书约定 产品配套资料 资料获取方式 技术支持 资料意见反馈 读者对象 本手册主要适用于如下工程师 : 网络规划人员 现场技术支持与维护人员 负责网络配置和维护的网络管理员 新增及修改命令说明 本手册对应 S5120-SI 系列以太网交换机的 Release1505 软件版本, 该版本与 Release1101 版本相 比, 新增和修改了大量命令, 具体请参见下表 命令参考 新增及修改命令 新增命令 : AAA authentication super authorization-attribute user-profile attribute 25 car AAA 支持 HWTACACS 认证 授权 计费相关配置命令 为 Portal 用户配置认证 授权 计费方法相关命令 RADIUS 支持多备份服务器相关配置命令 RADIUS 支持 IPv6 功能相关配置命令

4 命令参考 新增及修改命令 新增命令 : 802.1X MAC 地址认证 Portal 端口安全 User Profile Password Control HABP 公钥管理 PKI dot1x unicast-trigger dot1x handshake secure dot1x free-ip dot1x timer ead-timeout dot1x url MAC 地址认证相关配置命令为本版本新增命令 Portal 相关配置命令为本版本新增命令端口安全相关配置命令为本版本新增命令 User Profile 相关配置命令为本版本新增命令 Password Control 相关配置命令为本版本新增命令新增命令 :habp client vlan vlan-id 无无 新增命令 : SSH2.0 SSL TCP 攻击防御 IP Source Guard ssh client ipv6 source ssh2 ipv6 sftp client ipv6 source sftp ipv6 新增命令 :server-verify enable 无新增命令 : 配置和显示 IP Source Guard 相关命令新增 ipv6 参数 新增命令 : ARP 攻击防御 ND 攻击防御 ARP 网关保护 过滤保护相关命令 arp restricted-forwarding enable 删除命令 : arp detection mode arp detection static-bind ND 攻击防御相关配置命令为本版本新增命令 本书约定 1. 命令行格式约定 格式意义 粗体 斜体 命令行关键字 ( 命令中保持不变 必须照输的部分 ) 采用加粗字体表示 命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从两个或多个选项中选取一个

5 格 式 意 义 [ x y... ] 表示从两个或多个选项中选取一个或者不选 { x y... } * 表示从两个或多个选项中选取多个, 最少选取一个, 最多选取所有选项 [ x y... ] * 表示从两个或多个选项中选取多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次 # 由 # 号开始的行表示为注释行 2. 图形界面格式约定 格 式 意 义 < > 带尖括号 < > 表示按钮名, 如 单击 < 确定 > 按钮 [ ] 带方括号 [ ] 表示窗口名 菜单名和数据表, 如 弹出 [ 新建用户 ] 窗口 / 多级菜单用 / 隔开 如 [ 文件 / 新建 / 文件夹 ] 多级菜单表示 [ 文件 ] 菜单下的 [ 新建 ] 子菜单下的 [ 文件夹 ] 菜单项 3. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 : 该标志后的注释需给予格外关注, 不当的操作可能会对人身造成伤害 提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏 为确保设备配置成功或者正常工作而需要特别关注的操作或信息 对操作内容的描述进行必要的补充和说明 配置 操作 或使用设备的技巧 小窍门 4. 图标约定 本书使用的图标及其含义如下 : 该图标及其相关描述文字代表一般网络设备, 如路由器 交换机 防火墙等 该图标及其相关描述文字代表一般意义下的路由器, 以及其他运行了路由协议的设备 该图标及其相关描述文字代表二 三层以太网交换机, 以及运行了二层协议的设备

6 产品配套资料 H3C S5120-SI 系列以太网交换机的配套资料包括如下部分 : 大类资料名称内容介绍 产品知识介绍设备安装业务配置运行维护 产品彩页 RPS 电源用户手册 H3C 低端系列以太网交换机 RPS 电源选购指南 H3C 低端系列以太网交换机可插拔模块手册 安全兼容性手册 H3C 设备防雷安装指导手册 快速安装指南 安装手册 H3C 可插拔 SFP[SFP+][XFP] 模块安装指南 配置指导 命令参考 H3C 系列以太网交换机登录密码恢复手册 故障处理手册 版本说明书 帮助您了解产品的主要规格参数及亮点 帮助您了解产品支持的 RPS 电源的外观 功能 规格 帮助您了解各种 RPS 电源适用的交换机产品型号及 RPS 电源配套电缆的相关规格 帮助您了解产品支持的可插拔模块类型 外观和规格 列出产品的兼容性声明, 并对兼容性和安全的细节进行说明 帮助您了解防雷接地设计和工程安装方法, 以保证交换机具有良好的抗雷击性能 指导您对设备进行初始安装, 通常针对最常用的情况, 减少您的检索时间 帮助您详细了解设备硬件规格和安装方法, 指导您对设备进行安装 帮助您掌握 SFP/SFP+/XFP 模块的正确安装方法, 避免因操作不当而造成器件损坏 帮助您掌握设备软件功能的配置方法及配置步骤 详细介绍设备的命令, 相当于命令字典, 方便您查阅各个命令的功能 指导您在设备登录密码丢失的情况下, 找回密码 或重新配置登录密码 指导您快速定位并处理软件故障 帮助您了解产品版本的相关信息 ( 包括 : 版本配套说明 兼容性说明 特性变更说明 技术支持信息 ) 及软件升级方法 资料获取方式 您可以通过 H3C 网站 ( 获取最新的产品资料 : H3C 网站与产品资料相关的主要栏目介绍如下 : [ 服务支持 / 文档中心 ]: 可以获取硬件安装类 软件升级类 配置类或维护类等产品资料 [ 产品技术 ]: 可以获取产品介绍和技术介绍的文档, 包括产品相关介绍 技术介绍 技术白皮书等 [ 解决方案 ]: 可以获取解决方案类资料 [ 服务支持 / 软件下载 ]: 可以获取与软件版本配套的资料

7 技术支持 用户支持邮箱 技术支持热线电话 : ( 手机 固话均可拨打 ) 网址 : 资料意见反馈 如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 : info@h3c.com 感谢您的反馈, 让我们做得更好!

8 目录 1 AAA 配置命令 AAA 配置命令 aaa nas-id profile access-limit enable accounting command accounting default accounting lan-access accounting login accounting optional accounting portal authentication default authentication lan-access authentication login authentication portal authentication super authorization command authorization default authorization lan-access authorization login authorization portal authorization-attribute user-profile cut connection display connection display domain domain domain default enable idle-cut enable nas-id bind vlan self-service-url enable state(isp domain view) 本地用户配置命令 access-limit authorization-attribute(local user view/user group view) bind-attribute display local-user display user-group i

9 1.2.6 expiration-date(local user view) group local-user local-user password-display-mode password service-type state(local user view) user-group RADIUS 配置命令 accounting-on enable attribute 25 car data-flow-format (RADIUS scheme view) display radius scheme display radius statistics display stop-accounting-buffer key (RADIUS scheme view) nas-ip (RADIUS scheme view) primary accounting (RADIUS scheme view) primary authentication (RADIUS scheme view) radius client radius nas-ip radius scheme radius trap reset radius statistics reset stop-accounting-buffer retry retry realtime-accounting retry stop-accounting (RADIUS scheme view) secondary accounting (RADIUS scheme view) secondary authentication (RADIUS scheme view) security-policy-server server-type state primary state secondary stop-accounting-buffer enable (RADIUS scheme view) timer quiet (RADIUS scheme view) timer realtime-accounting (RADIUS scheme view) timer response-timeout (RADIUS scheme view) user-name-format (RADIUS scheme view) ii

10 1.4 HWTACACS 配置命令 data-flow-format (HWTACACS scheme view) display hwtacacs display stop-accounting-buffer hwtacacs nas-ip hwtacacs scheme key (HWTACACS scheme view) nas-ip (HWTACACS scheme view) primary accounting (HWTACACS scheme view) primary authentication (HWTACACS scheme view) primary authorization reset hwtacacs statistics reset stop-accounting-buffer retry stop-accounting (HWTACACS scheme view) secondary accounting (HWTACACS scheme view) secondary authentication (HWTACACS scheme view) secondary authorization stop-accounting-buffer enable (HWTACACS scheme view) timer quiet (HWTACACS scheme view) timer realtime-accounting (HWTACACS scheme view) timer response-timeout (HWTACACS scheme view) user-name-format (HWTACACS scheme view) iii

11 1 AAA 配置命令 1.1 AAA 配置命令 aaa nas-id profile aaa nas-id profile profile-name undo aaa nas-id profile profile-name 系统视图 缺省级别 参数 描述 举例 2: 系统级 profile-name: 保存 NAS-ID 与 VLAN 绑定关系的 Profile 名称, 为 1~16 个字符的字符串, 不区分大小写 aaa nas-id profile 命令用来创建一个 NAS-ID Profile 或者进入一个已创建的 NAS-ID-Profile 视图 undo aaa nas-id profile 命令用来删除一个指定的 NAS-ID Profile 相关配置可参考命令 nas-id bind vlan # 创建一个名字为 aaa 的 NAS-ID Profile [Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa] access-limit enable access-limit enable max-user-number undo access-limit enable ISP 域视图 缺省级别 参数 描述 2: 系统级 max-user-number: 表示当前 ISP 域可容纳接入用户数的最大值, 取值范围为 1~ access-limit enable 命令用来限制当前 ISP 域可容纳接入用户数 undo access-limit enable 命令用来恢复缺省情况 1-1

12 举例 缺省情况下, 不限制当前 ISP 域可容纳的接入用户数 需要注意的是, 由于接入用户之间会发生资源的争用, 因此适当地配置该值可以使属于当前 ISP 域的用户获得可靠的性能保障 对当前 ISP 域下所能接入的用户数进行限制后, 当接入此域的用户数超过当前 ISP 域可容纳的最大用户数后, 新接入的用户将被拒绝 # 指定 ISP 域 test 最多可容纳 500 个接入用户 [Sysname] domain test [Sysname-isp-test] access-limit enable accounting command accounting command hwtacacs-scheme hwtacacs-scheme-name undo accounting command ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案 其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 accounting command 命令用来配置命令行计费方法 undo accounting command 命令用来恢复缺省情况 缺省情况下, 命令行计费采用当前 ISP 域的缺省计费方法 需要注意的是 : 当前 ISP 域所引用的 HWTACACS 方案必须是已配置的 命令行计费支持的远程 AAA 方案目前仅为 HWTACACS 方案 相关配置可参考命令 accounting default hwtacacs scheme # 在 ISP 域 test 下, 配置使用 HWTACACS 计费方案 hwtac 进行命令行计费 [Sysname] domain test [Sysname-isp-test] accounting command hwtacacs-scheme hwtac accounting default accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo accounting default 1-2

13 ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案 其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 accounting default 命令用来为当前 ISP 域配置缺省的计费方法 undo accounting default 命令用来恢复缺省情况 缺省情况下, 当前 ISP 域的缺省计费方法为 local 需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的 当前 ISP 域的缺省的计费方法对于该域中未指定具体计费方法的所有接入用户都起作用 本地计费只是为了支持本地用户的连接数管理, 没有实际计费相关的统计功能 相关配置可参考命令 hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 配置缺省计费方法为使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备份计费方法 [Sysname] domain test [Sysname-isp-test] accounting default radius-scheme rd local accounting lan-access accounting lan-access { local none radius-scheme radius-scheme-name [ local none] } undo accounting lan-access ISP 域视图 缺省级别 参数 描述 2: 系统级 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 1-3

14 举例 accounting lan-access 命令用来为 lan-access 用户配置计费方法 undo accounting lan-access 命令用来恢复缺省情况 缺省情况下,lan-access 用户采用当前 ISP 域的缺省计费方法 需要注意的是, 当前 ISP 域所引用的 RADIUS 方案必须是已配置的 相关配置可参考命令 local-user accounting default 和 radius scheme # 在 ISP 域 test 下, 为 lan-access 用户配置计费方法为 local [Sysname] domain test [Sysname-isp-test] accounting lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备份计费方法 [Sysname] domain test [Sysname-isp-test] accounting lan-access radius-scheme rd local accounting login accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo accounting login ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案 其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 accounting login 命令用来为 login 用户配置计费方法 undo accounting login 命令用来恢复缺省情况 缺省情况下,login 用户采用当前 ISP 域的缺省计费方法 需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的 FTP 类型的 login 用户不支持计费流程 相关配置可参考命令 local-user accounting default hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 为 login 用户配置计费方法为 local 1-4

15 [Sysname] domain test [Sysname-isp-test] accounting login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备份计费方法 [Sysname] domain test [Sysname-isp-test] accounting login radius-scheme rd local accounting optional accounting optional undo accounting optional ISP 域视图 缺省级别 参数 2: 系统级 无 描述 举例 accounting optional 命令用来打开计费可选开关 undo accounting optional 命令用来关闭计费可选开关 缺省情况下, 计费可选开关处于关闭状态 需要注意的是 : 对上线用户计费时, 如果发现没有可用的计费服务器或与计费服务器通信失败时, 若配置了本命令, 则用户可以继续使用网络资源, 且系统不再为其发送实时计费更新报文, 否则用户连接将被切断 该命令适用于不是特别关心计费结果的情况 计费可选开关打开的情况下, 本地用户视图下的 access-limit 命令配置的本地用户的连接数限制功能不生效 # 打开 ISP 域 test 的计费可选开关 [Sysname] domain test [Sysname-isp-test] accounting optional accounting portal accounting portal { local none radius-scheme radius-scheme-name [ local ] } undo accounting portal ISP 域视图 缺省级别 1-5

16 参数 描述 举例 2: 系统级 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 accounting portal 命令用来为 Portal 用户配置计费方法 undo accounting portal 命令用来恢复缺省情况 缺省情况下,Portal 用户采用当前 ISP 域的缺省计费方法 需要注意的是, 当前 ISP 域所引用的 RADIUS 方案必须是已配置的 相关配置可参考命令 local-user accounting default 和 radius scheme # 在 ISP 域 test 下, 为 Portal 用户配置计费方法为 local [Sysname] domain test [Sysname-isp-test] accounting portal local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备份计费方法 [Sysname] domain test [Sysname-isp-test] accounting portal radius-scheme rd local authentication default authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo authentication default ISP 域视图 缺省级别 参数 描述 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案 其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authentication default 命令用来为当前 ISP 域配置缺省的认证方法 undo authentication default 命令用来为恢复缺省情况 1-6

17 举例 缺省情况下, 当前 ISP 域的缺省认证方法为 local 需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 必须是已配置的 当前 ISP 域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用 相关配置可参考命令 local-user hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 配置缺省认证方法为使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备份认证方法 [Sysname] domain test [Sysname-isp-test] authentication default radius-scheme rd local authentication lan-access authentication lan-access { local none radius-scheme radius-scheme-name [ local none ] } undo authentication lan-access ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authentication lan-access 命令用来为 lan-access 用户配置认证方法 undo authentication lan-access 命令用来恢复缺省情况 缺省情况下,lan-access 用户采用当前 ISP 域的缺省认证方法 需要注意的是, 当前 ISP 域所引用的 RADIUS 方案必须是已配置的 相关配置可参考命令 local-user authentication default 和 radius scheme # 在 ISP 域 test 下, 为 lan-access 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行认证, 并且 local 作为备份认证方法 [Sysname] domain test [Sysname-isp-test] authentication lan-access radius-scheme rd local 1-7

18 authentication login authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo authentication login ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案 其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authentication login 命令用来为 login 用户配置认证方法 undo authentication login 命令用来恢复缺省情况 缺省情况下,login 用户采用当前 ISP 域的缺省认证方法 需要注意的是, 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的 相关配置可参考命令 local-user authentication default hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 为 login 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备份认证方法 [Sysname] domain test [Sysname-isp-test] authentication login radius-scheme rd local authentication portal authentication portal { local none radius-scheme radius-scheme-name [ local ] } undo authentication portal ISP 域视图 缺省级别 1-8

19 参数 描述 举例 2: 系统级 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authentication portal 命令用来为 Portal 用户配置认证方法 undo authentication portal 命令用来恢复缺省情况 缺省情况下,Portal 用户采用当前 ISP 域的缺省认证方法 需要注意的是, 当前 ISP 域所引用的 RADIUS 方案必须是已配置的 相关配置可参考命令 authentication default radius scheme # 在 ISP 域 test 下, 为 Portal 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication portal local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd 进行认证, 并且 local 作为备份认证方法 [Sysname] domain test [Sysname-isp-test] authentication portal radius-scheme rd local authentication super authentication super { hwtacacs-scheme hwtacacs-scheme-name radius-scheme radius-scheme-name } undo authentication super ISP 域视图 缺省级别 参数 描述 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案 其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 authentication super 命令用来配置级别切换认证方法 undo authentication super 命令用来恢复缺省情况 缺省情况下, 级别切换认证采用当前 ISP 域的缺省认证方法 需要注意的是, 当前 ISP 域所引用的 RADIUS 方案和 HWTACACS 方案必须是已配置的 1-9

20 举例 相关配置可参考命令 hwtacacs scheme radius scheme 和 基础配置命令参考 /CLI 配置命令 中的命令 super authentication-mode # 在 ISP 域 test 下, 配置使用 HWTACACS 方案 tac 进行级别切换认证 [Sysname] super authentication-mode scheme [Sysname] domain test [Sysname-domain-test] authentication super hwtacacs-scheme tac authorization command authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local none ] local none } undo authorization command ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案 其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地授权 none: 不授权 接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权, 认证通过的用户只有系统所给予的 0 级别的命令行访问权限 authorization command 命令用来配置命令行授权方法 undo authorization command 命令用来恢复缺省情况 缺省情况下, 命令行授权采用当前 ISP 域的缺省授权方法 需要注意的是 : 当前 ISP 域所引用的 HWTACACS 方案必须是已配置的 当用户采用本地命令行授权时, 成功登录设备的用户只能执行不大于本地用户级别的命令行 相关配置可参考命令 local-user authorization default 和 hwtacacs scheme # 在 ISP 域 test 下, 配置命令行授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization command local # 在 ISP 域 test 下, 配置使用 HWTACACS 方案 hwtac 进行命令行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test 1-10

21 [Sysname-isp-test] authorization command hwtacacs-scheme hwtac local authorization default authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo authorization default ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案 其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地授权 none: 不授权 接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权 此时, 认证通过的 Login 用户 ( 通过 Console/aux 口或者 Telnet FTP 访问设备的用户 ) 只有系统所给予的 0 级别的命令行访问权限, 其中 FTP 用户可访问设备的根目录 ; 认证通过的非 Login 用户可直接访问网络 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authorization default 命令用来为当前 ISP 域配置缺省的授权方法 undo authorization default 命令用来恢复缺省情况 缺省情况下, 当前 ISP 域的缺省授权方法为 local 需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的 当前 ISP 域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用 在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效 相关配置可参考命令 local-user authentication default accounting default hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 配置缺省授权方法为使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test [Sysname-isp-test] authorization default radius-scheme rd local authorization lan-access 1-11

22 authorization lan-access { local none radius-scheme radius-scheme-name [ local none ] } undo authorization lan-access ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 local: 本地授权 none: 不授权 接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权, 认证通过的 lan-access 用户可直接访问网络 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authorization lan-access 命令用来为 lan-access 用户配置授权方法 undo authorization lan-access 命令用来为恢复缺省情况 缺省情况下,lan-access 用户采用当前 ISP 域的缺省授权方法 需要注意的是 : 当前 ISP 域所引用的 RADIUS 方案必须是已配置的 在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效 相关配置可参考命令 local-user authorization default 和 radius scheme # 在 ISP 域 test 下, 为 lan-access 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test [Sysname-isp-test] authorization lan-access radius-scheme rd local authorization login authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo authorization login ISP 域视图 缺省级别 2: 系统级 1-12

23 参数 描述 举例 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案 其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地授权 none: 不授权 接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权 此时, 认证通过的 Login 用户 ( 通过 Console/aux 口或者 Telnet FTP 访问设备的用户 ) 只有系统所给予的 0 级别的命令行访问权限, 其中 FTP 用户可访问设备的根目录 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authorization login 命令用来为 login 用户配置授权方法 undo authorization login 命令用来恢复缺省情况 缺省情况下,login 用户采用当前 ISP 域的缺省授权方法 需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的 在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效 相关配置可参考命令 local-user authorization default hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 为 login 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test [Sysname-isp-test] authorization login radius-scheme rd local authorization portal authorization portal { local none radius-scheme radius-scheme-name [ local ] } undo authorization portal ISP 域视图 缺省级别 参数 2: 系统级 local: 本地授权 none: 不授权 接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权, 认证通过的 Portal 用户可直接访问网络 1-13

24 描述 举例 radius-scheme radius-scheme-name: 指定 RADIUS 方案 其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authorization portal 命令用来为 Portal 用户配置授权方法 undo authorization portal 命令用来恢复缺省情况 缺省情况下,Portal 用户采用缺省的授权方法 需要注意的是 : 当前 ISP 域所引用的 RADIUS 方案必须是已配置的 在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效 相关配置可参考命令 local-user authorization default 和 radius scheme # 在 ISP 域 test 下, 为 Portal 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization portal local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test [Sysname-isp-test] authorization portal radius-scheme rd local authorization-attribute user-profile authorization-attribute user-profile profile-name undo authorization-attribute user-profile ISP 域视图 缺省级别 参数 描述 举例 3: 管理级 profile-name: 指定的 User Profile 名称, 为 1~31 个字符的字符串, 区分大小写 User Profile 的相关配置请参考 安全配置指导 中的 User Profile 配置 authorization-attribute user-profile 命令用于配置当前 ISP 域的缺省授权 User Porfile undo authorization-attribute user-profile 命令用于恢复缺省情况 缺省情况下, 当前 ISP 域无缺省授权 User Porfile 如果当前 ISP 域的用户认证成功, 但认证服务器 ( 包括本地认证下的接入设备 ) 未对该 ISP 域下发授权 User Porfile, 则系统使用本配置指定的 User Porfile 作为当前 ISP 域的授权 User Porfile 需要注意的是, 重复配置本命令, 会覆盖原有的配置 # 配置 test 域下的缺省授权 User Profile 为 profile1 1-14

25 [Sysname] domain test [Sysname-isp-test] authorization-attribute user-profile profile cut connection cut connection { access-type { dot1x mac-authentication portal } all domain isp-name interface interface-type interface-number ip ip-address mac mac-address ucibindex ucib-index user-name user-name vlan vlan-id } [ slot slot-number ] 系统视图 缺省级别 参数 描述 2: 系统级 access-type: 指定接入方式 dot1x: 表示 802.1X 认证接入方式 ; mac-authentication: 表示 MAC 地址认证接入方式 ; portal: 表示 Portal 认证接入方式 all: 指定所有用户连接 domain isp-name: 指定 ISP 域 其中,isp-name 为 ISP 域名, 为 1~24 个字符的字符串 interface interface-type interface-number: 指定接口 其中,interface-type interface-number 为接口类型和接口编号 ip ip-address: 指定 IP 地址 mac mac-address: 指定 MAC 地址 其中,mac-address 为 H-H-H 格式 ucibindex ucib-index: 指定连接索引号, 取值范围为 0~ user-name user-name: 指定用户名 其中,user-name 表示用户名, 为 1~80 个字符的字符串, 区分大小写 若用户输入的用户名未携带域名, 则系统默认其带缺省域名或强制认证域名 vlan vlan-id: 指定用户所在 VLAN 其中,vlan-id 的取值范围为 1~4094 slot slot-number: 指定成员设备 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看 如果未形成 IRF, 则 slot-number 为当前设备编号 cut connection 命令用来强制切断指定 AAA 用户的连接 此命令目前只对 lan-access Portal 服务类型的用户有效 需要注意的是 : 如果客户端配置的用户名携带版本号或者用户名中存在空格, 则无法通过用户名来检索和切断用户连接, 但是通过其他方式 ( 如 IP 地址 连接索引号等 ) 仍然可以检索和切断用户的连接 如果接入用户的接口上配置了指定接入类型的强制认证域 ( 例如 802.1X 强制认证域 ), 则通过该接口上线的指定接入类型的用户将使用强制认证域进行认证 授权和计费, 因此若要通过 cut connection domain isp-name 命令切断该类用户连接, 则必须指定用户使用的强制认证域名 1-15

26 举例 对于使用域名分隔符 \ 或者 / 的 802.1X 在线用户, 不能通过 cut connection user-name user-name 命令切断其连接 例如, 执行命令 cut connection user-name aaa\bbb 后, 不能切断在线用户 aaa\bbb 的连接 相关配置可参考命令 display connection 和 service-type # 切断 ISP 域 test 下的所有用户连接 [Sysname] cut connection domain test display connection display connection [ access-type { dot1x mac-authentication portal } domain isp-name interface interface-type interface-number ip ip-address mac mac-address ucibindex ucib-index user-name user-name vlan vlan-id ] [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图 缺省级别 参数 1: 监控级 access-type: 指定接入方式 dot1x: 表示 802.1X 认证接入方式 ; mac-authentication: 表示 MAC 地址认证接入方式 ; portal: 表示 Portal 认证接入方式 domain isp-name: 显示指定 ISP 域中的全部用户连接 其中,isp-name 表示 ISP 域名, 为 1~ 24 个字符的字符串, 不区分大小写 interface interface-type interface-number: 指定接口 其中,interface-type interface-number 为接口类型和接口编号 ip ip-address: 指定 IP 地址 mac mac-address: 指定 MAC 地址 其中,mac-address 为 H-H-H 格式 ucibindex ucib-index: 显示指定连接索引的所有用户连接 其中,ucib-index 表示连接索引号, 取值范围为 0~ user-name user-name: 显示指定用户名的用户连接 其中,user-name 表示用户名, 为 1~80 个字符的字符串, 区分大小写 若用户输入的用户名未携带域名, 则系统默认其带缺省域名或强制认证域名 vlan vlan-id: 指定用户所在 VLAN 其中,vlan-id 的取值范围为 1~4094 slot slot-number: 显示指定成员设备 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看 如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤 有关正则表达式的详细介绍, 请参见 基础配置指导 中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 1-16

27 描述 举例 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display connection 命令用来显示所有或指定的 AAA 用户连接的相关信息 需要注意的是 : 不指定任何参数的情况下, 系统显示所有 AAA 用户连接的概要信息 指定参数 ucibindex 的情况下, 显示详细的用户连接信息, 指定其它参数则显示概要信息 对于 FTP 类型用户, 无法显示 AAA 用户连接的相关信息 如果接入用户的接口上配置了强制认证域 ( 例如 802.1X 强制认证域 ), 则通过该接口上线的用户将使用强制认证域进行认证 授权和计费, 因此若要通过 display connection domain isp-name 命令显示该类用户信息, 则必须指定用户使用的强制认证域名 对于使用域名分隔符 \ 或者 / 的 802.1X 在线用户, 不能通过 display connection user-name user-name 命令查看到其相关信息 例如, 执行命令 display connection user-name aaa\bbb 后, 不能查询到在线用户 aaa\bbb 的相关信息 相关配置可参考命令 cut connection # 显示所有 AAA 用户连接的相关信息 <Sysname> display connection Slot: 1 Index=0, Username=telnet@system IP= IPv6=N/A Total 1 connection(s) matched on slot 1. Total 1 connection(s) matched. # 显示连接索引为 0 的 AAA 用户连接的详细信息 <Sysname> display connection ucibindex 0 Slot: 1 Index=0, Username=telnet@system IP= IPv6=N/A Access=Admin,AuthMethod=PAP Port Type=Virtual,Port Name=N/A Initial VLAN=999, Authorization VLAN=20 ACL Group=Disable User Profile=N/A CAR=Disable Priority=Disable Start= :53:03,Current= :57:06,Online=00h04m03s Total 1 connection matched. Slot: 2 Total 0 connection matched. 1-17

28 表 1-1 display connection 命令显示信息描述表 字段 描述 Slot Index Username IP IPv6 Access AuthMethod Port Type Port Name Initial VLAN Authorization VLAN Authorization Tagged VLAN list ACL Group User Profile CAR(kbps) UpPeakRate DnPeakRate UpAverageRate DnAverageRate Priority Start=xxx,Current=xxx,Online=xxx Total 1 connection(s) matched. IRF 成员设备编号索引号当前连接的用户名, 格式为 username@domain 该用户 IPv4 地址该用户 IPv6 地址用户接入类型认证方法用户接入的端口类型用户接入的端口名称用户所在的初始 VLAN 授权 untagged VLAN 授权 tagged VLAN 列表授权 ACL 组授权 User Profile 授权 CAR 参数信息上行峰值速率下行峰值速率上行平均速率下行平均速率用户报文的处理优先级用户上线的时间, 当前的系统时间, 用户在线时长总计 1 个 AAA 用户连接 display domain display domain [ isp-name ] [ { begin exclude include } regular-expression ] 任意视图 缺省级别 1: 监控级 参数 isp-name: 指定 ISP 域名, 为 1~24 个字符的字符串 1-18

29 描述 举例 : 使用正则表达式对显示信息进行过滤 有关正则表达式的详细介绍, 请参见 基础配置指导 中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display domain 命令用来显示指定 ISP 域的配置信息 如果不指定 ISP 域, 则显示系统中所有 ISP 域的配置信息 相关配置可参考命令 access-limit enable domain 和 state # 显示系统中所有 ISP 域的配置信息 <Sysname> display domain 0 Domain : system State : Active Access-limit : Disabled Accounting method : Required Default authentication scheme Default authorization scheme Default accounting scheme Domain User Template: Idle-cut : Disabled Self-service : Disabled Authorization attributes : : local : local : local 1 Domain : test State : Active Access-limit : Disabled Accounting method : Required Default authentication scheme Default authorization scheme Default accounting scheme Lan-access authentication scheme Lan-access authorization scheme Lan-access accounting scheme Domain User Template: Idle-cut : Disabled Self-service : Disabled Authorization attributes : User-profile : profile1 : local : local : local : radius:test, local : hwtacacs:hw, local : local Default Domain Name: system Total 2 domain(s). 表 1-2 display domain 命令显示信息描述表 字段 描述 Domain 域名 1-19

30 字段 描述 State 状态 (Active: 激活 Block: 阻塞 ) Access-limit 接入限制数 (Disabled: 未使能 ) Accounting method 计费方法 (Required: 必选 Optional: 可选 ) Default authentication scheme Default authorization scheme Default accounting scheme Lan-access authentication scheme Lan-access authorization scheme Lan-access accounting scheme Domain User Template 缺省的认证方法缺省的授权方法缺省的计费方法 lan-access 用户的认证方法 lan-access 用户的授权方法 lan-access 用户的计费方法域用户模板 Idle-cut 闲置切断功能 (Disabled: 未使能 Enabled: 使能 ) Self-service 自助服务功能 (Disabled: 未使能 ) Authorization attributes User-profile Default Domain Name Total 2 domain(s). 授权属性缺省授权 User Profile 名称缺省 ISP 域名总计 2 个 ISP 域 domain domain isp-name undo domain isp-name 系统视图 缺省级别 参数 描述 3: 管理级 isp-name:isp 域名, 为 1~24 个字符的字符串, 不区分大小写, 不能包括 / \ : *? < > 字符 domain 命令用来创建 ISP 域并进入其视图 undo domain 命令用来删除指定的 ISP 域 缺省情况下, 系统存在一个名称为 system 的 ISP 域 需要注意的是 : 使用此命令时, 如果指定的 ISP 域不存在, 系统将会创建一个新的 ISP 域, 所有的 ISP 域 在创建后即处于 active 状态 系统中缺省存在的 ISP 域 system, 不能被删除, 只能修改 1-20

31 举例 相关配置可参考命令 state 和 display domain # 创建一个新的 ISP 域 test, 并进入其视图 [Sysname] domain test [Sysname-isp-test] domain default enable domain default enable isp-name undo domain default enable 系统视图 缺省级别 参数 描述 举例 3: 管理级 isp-name: ISP 域名, 为 1~24 个字符的字符串 domain default enable 命令用来配置系统缺省的 ISP 域, 所有在登录时没有提供 ISP 域名的用户都属于这个域 undo domain default enable 命令用来恢复缺省情况 缺省情况下, 系统缺省的 ISP 域为 system 需要注意的是 : 缺省的 ISP 域有且只有一个 指定的缺省 ISP 域要必须存在, 否则会导致用户名中未携带域名的用户无法进行认证 配置为缺省的 ISP 域不能被删除, 除非先恢复要删除的域为非缺省域 相关配置可参考命令 domain state 和 display domain # 创建一个新的 ISP 域 test, 并设置为系统缺省的 ISP 域 [Sysname] domain test [Sysname-isp-test] quit [Sysname] domain default enable test idle-cut enable idle-cut enable minute [ flow ] undo idle-cut enable ISP 域视图 缺省级别 2: 系统级 1-21

32 参数 描述 举例 minute: 表示允许用户在线后连续的最大空闲时间, 取值范围为 1~120, 单位为分钟 flow: 表示允许用户闲置时的最小数据流量, 取值范围为 1~ , 单位为字节, 缺省值为 idle-cut enable 命令用来设置当前 ISP 域下的用户闲置切断功能, 当用户在指定的最大空闲时间内的产生的流量小于指定的最小数据流量时, 会被强制下线 undo idle-cut enable 命令用来恢复缺省情况 缺省情况下, 用户闲置切断功能处于关闭状态 需要注意的是, 服务器上也可以配置最大空闲时间实现对用户的闲置切断功能, 具体为当用户在指定的最大空闲时间内产生的流量小于 个字节时, 会被强制下线 但是, 只有在设备上的闲置切断功能处于关闭状态时, 服务器才会根据自身的配置来控制用户的闲置切断 相关配置可参考命令 domain # 允许 ISP 域 test 中的用户启用闲置切断功能, 用户的最大空闲时间为 50 分钟, 闲置时的最小数据流量为 1024 个字节 [Sysname] domain test [Sysname-isp-test] idle-cut enable nas-id bind vlan nas-id nas-identifier bind vlan vlan-id undo nas-id nas-identifier bind vlan vlan-id NAS-ID Profile 视图 缺省级别 参数 描述 举例 2: 系统级 nas-identifier:nas-id 名称, 为 1~20 个字符的字符串, 区分大小写 vlan-id: 与 NAS-ID 绑定的 VLAN ID, 取值范围为 1~4094 nas-id bind vlan 命令用来设置 NAS-ID 与 VLAN 的绑定关系, 即把一个 NAS-ID 指定给一个 VLAN undo nas-id bind vlan 命令用来删除一个指定的 NAS-ID 和 VLAN 的绑定关系 缺省情况下, 未设置任何绑定关系 需要注意的是 : 一个 NAS-ID Profile 视图下, 可以指定多个 NAS-ID 与 VLAN 的绑定关系 一个 NAS-ID 可以与多个 VLAN 绑定, 但是一个 VLAN 只能与一个 NAS-ID 绑定 若多次将一个 VLAN 与不同的 NAS-ID 进行绑定, 则最后的绑定关系生效 相关配置可参考命令 aaa nas-id profile 1-22

33 # 把 NAS-ID 222 指定给 VLAN 2 [Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa] nas-id 222 bind vlan self-service-url enable self-service-url enable url-string undo self-service-url enable ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 url-string: 表示自助服务器修改用户密码页面的 URL, 为 1~64 个字符的字符串 字符串必须以 开始, 字符串中不能包括? 字符 self-service-url enable 命令用来设置自助服务器定位功能 undo self-service-url enable 命令用来恢复缺省情况 缺省情况下, 自助服务器定位功能处于关闭状态 需要注意的是 : 此命令需要与支持自助服务的 RADIUS 服务器配合使用, 如 imc 自助服务即用户可以对自己的帐号或卡号进行管理和控制 安装自助服务软件的服务器即自助服务器 如果在设备上配置了此命令, 用户可以通过如下操作定位到自助服务器 : 用户在 802.1X 客户端软件上选择 更改用户密码 ; 客户端软件打开用户缺省的浏览器 (IE 或者 NetScape 等 ), 定位到指定的自助服务器更改用户密码的 URL 页面 ; 用户可以在该页面上修改自己的密码 只有用户通过认证后才能进行在客户端软件上选择 更改用户密码 选项, 否则该选项为灰色, 不可用 # 在 ISP 域 test 下, 配置自助服务器修改用户密码页面的 URL 为 username [Sysname] domain test [Sysname-isp-test] self-service-url enable username state(isp domain view) state { active block } undo state 1-23

34 ISP 域视图 缺省级别 参数 描述 举例 2: 系统级 active: 指定当前 ISP 域处于活动状态, 即系统允许该域下的用户请求网络服务 block: 指定当前 ISP 域处于 阻塞 状态, 即系统不允许该域下的用户请求网络服务 state 命令用来设置当前 ISP 域的状态 undo state 命令用来恢复缺省情况 缺省情况下, 当一个 ISP 域被创建以后, 其状态为 active(isp 域视图 ) 当指示某个 ISP 域处于 block 状态时, 不允许该域下的用户请求网络服务, 但是不影响已经在线的用户 相关配置可参考命令 domain # 设置当前 ISP 域 test 处于 阻塞 状态, 域下的接入用户不能再请求网络服务 [Sysname] domain test [Sysname-isp-test] state block 1.2 本地用户配置命令 access-limit access-limit max-user-number undo access-limit 本地用户视图 缺省级别 参数 描述 举例 3: 管理级 max-user-number: 表示使用当前用户名接入设备的最大用户数, 取值范围为 1~1024 access-limit 命令用来设置当前用户名可容纳的最大接入用户数 undo access-limit 命令用来取消对当前用户名的接入用户数限制 缺省情况下, 不限制当前本地用户名可容纳的接入用户数 需要注意的是 : 本地用户的 access-limit 命令只在该用户采用了本地计费方法的情况下生效 由于 FTP 用户不支持计费, 因此 FTP 用户不受此属性限制 相关配置可参考命令 display local-user # 允许同时以用户名 abc 在线的用户数为

35 [Sysname] local-user abc [Sysname-luser-abc] access-limit authorization-attribute(local user view/user group view) authorization-attribute { acl acl-number callback-number callback-number idle-cut minute level level user-profile profile-name user-role security-audit vlan vlan-id work-directory directory-name } * undo authorization-attribute { acl callback-number idle-cut level user-profile user-role vlan work-directory } * 本地用户视图 / 用户组视图 缺省级别 参数 描述 3: 管理级 acl acl-number: 指定本地用户的授权 ACL 其中,acl-number 为授权 ACL 的编号, 取值范围为 2000~5999 callback-number callback-number: 指定本地用户的授权 PPP 回呼号码 其中,callback-number 为 1~64 个字符的字符串, 区分大小写 idle-cut minute: 启用本地用户的闲置切断功能 其中,minute 为设定的闲置切断时间, 取值范围为 1~120, 单位为分钟 如果用户在线后连续闲置的时长超过该值, 设备会强制该用户下线 level level: 指定本地用户的级别, 取值范围为 0~3 其中 0 为访问级 1 为监控级 2 为系统级 3 为管理级, 数值越小, 用户的级别越低 当登录设备用户界面的验证方式配置为 scheme 时, 用户成功登录后所能访问的命令行的级别由本参数决定 缺省情况下, 本地用户的级别为 0, 即用户成功登录后缺省可以访问级别为 0 的命令行 user-profile profile-name: 指定本地用户的授权 User Profile 其中,profile-name 表示用户配置文件的名称, 为 1~32 个字符的字符串, 只能包含英文字母 数字 下划线, 且必须以英文字母开始, 区分大小写 user-role security-audit: 授权本地用户的角色, 对不同角色的用户下发不同的命令行使用权限 其中,security-audit 表示授权本地用户为安全日志管理员, 该类型的本地用户通过认证后, 仅能执行与安全日志文件操作相关的命令, 比如保存安全日志文件等, 可执行命令的具体情况请参见 网络管理和监控配置指导 中的 信息中心配置 该属性仅在本地用户视图下支持 vlan vlan-id: 指定本地用户的授权 VLAN 其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 work-directory directory-name: 授权 FTP/SFTP 用户可以访问的目录 其中,directory-name 表示 FTP/SFTP 用户可以访问的目录, 为 1~135 个字符的字符串, 不区分大小写, 且该目录必须已经存在 authorization-attribute 命令用来设置本地用户或用户组的授权属性, 该属性在本地用户认证通过之后, 由设备下发给用户 undo authorization-attribute 命令用来删除配置的授权属性, 恢复用户具有的缺省访问权限 缺省情况下, 未设置任何授权属性 需要注意的是 : 1-25

36 举例 可配置的授权属性都有其明确的使用环境和用途, 请仅针对用户的服务类型配置对应的授权属性 用户组的授权属性对于组内的所有本地用户生效, 因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理 本地用户视图下未配置的授权属性继承所属用户组的授权属性配置, 但是如果本地用户视图与所属的用户组视图下都配置了某授权属性, 则本地用户视图下的授权属性生效 在系统中只有一个安全日志管理员的情况下, 这个角色为安全日志管理员的本地用户就不能被删除, 而且也不能去授权该本地用户的安全日志管理员角色, 除非再指定一个新的用户为安全日志管理员 # 配置用户组 abc 的授权 VLAN 为 VLAN 3 [Sysname] user-group abc [Sysname-ugroup-abc] authorization-attribute vlan bind-attribute bind-attribute { call-number call-number [ : subcall-number ] ip ip-address location port slot-number subslot-number port-number mac mac-address vlan vlan-id } * undo bind-attribute { call-number ip location mac vlan } * 本地用户视图 缺省级别 参数 描述 3: 管理级 call-number call-number: 指定 ISDN 用户认证的主叫号码 其中 call-number 为 1~64 个字符的字符串 subcall-number: 指定子主叫号码 如果配置了子主叫号码, 则主叫号码与子主叫号码的总长度不能大于 62 个字符 ip ip-address: 指定用户的 IP 地址 该绑定属性仅适用于 lan-access 类型中的 802.1X 用户 location: 设置用户的端口绑定属性 该绑定属性仅适用于 lan-access 类型的用户 port slot-number subslot-number port-number: 指定用户绑定的端口 其中 slot-number 为单板所在槽位号, 取值范围为 0~255 subslot-number 为子槽位号, 取值范围为 0~15 port-number 为端口号, 取值范围 0~255 绑定的端口只针对端口号, 不区分端口类型 该绑定属性仅适用于 lan-access 类型的用户 mac mac-address: 指定用户的 MAC 地址 其中,mac-address 为 H-H-H 格式 该绑定属性仅适用于 lan-access 类型的用户 vlan vlan-id: 设置用户所属于的 VLAN 其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 该绑定属性仅适用于 lan-access 类型的用户 bind-attribute 命令用来设置用户的绑定属性 undo bind-attribute 命令用来删除配置的用户绑定属性 1-26

37 举例 缺省情况下, 未设置用户的任何绑定属性 需要注意的是, 当对本地用户进行认证时, 如果配置了绑定属性, 则会检查用户的实际属性与配置的绑定属性是否一致, 如果不一致则认证失败 而且, 由于认证检测时不区分用户的接入服务类型, 即会对所有类型的用户都进行已配置绑定属性的认证检测, 因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性 例如, 只有支持 IP 地址上传功能的 802.1X 认证用户才可以配置绑定 IP 地址 ; 对于不支持 IP 地址上传功能的 MAC 地址认证用户, 如果配置了绑定 IP 地址, 则会导致该用户的本地认证失败 # 配置本地用户 abc 的绑定 IP 为 [Sysname] local-user abc [Sysname-luser-abc] bind-attribute ip display local-user display local-user [ idle-cut { disable enable } service-type { ftp lan-access portal ssh telnet terminal } state { active block } user-name user-name vlan vlan-id ] [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图 缺省级别 参数 1: 监控级 idle-cut { disable enable }: 显示指定闲置切断功能的所有本地用户信息 其中,disable 表示禁止用户启用闲置切断功能 ;enable 表示允许用户启用闲置切断功能 service-type: 显示指定用户类型的所有本地用户信息 ftp 指定用户为 FTP 类型 lan-access 指定用户为 lan-access 类型 ( 主要指以太网接入用户, 比如 802.1X 用户 ); portal 为 Portal 用户 ; ssh 为 SSH 用户 ; telnet 为 Telnet 用户 ; terminal 为从 CON 口 AUX 口登录的终端用户 state { active block }: 显示指定状态下的所有本地用户信息 其中,active 表示系统允许用户请求网络服务 ;block 表示系统不允许用户请求网络服务 user-name user-name: 显示指定用户名的本地用户信息 其中,user-name 表示本地用户名, 为 1~55 个字符的字符串, 区分大小写, 不能携带域名 vlan vlan-id: 显示指定 VLAN 内的所有本地用户信息 其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 slot slot-number: 显示指定成员设备的本地用户信息 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看 如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤 有关正则表达式的详细介绍, 请参见 基础配置指导 中的 CLI 配置 1-27

38 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 描述 display local-user 命令用来显示所有或指定的本地用户的相关信息 相关配置可参考命令 local-user 举例 # 显示所有本地用户的相关信息 <Sysname> display local-user The contents of local user abc: State: Active ServiceType: lan-access Access-limit: Enable Current AccessNum: 0 Max AccessNum: 10 User-group: system Bind attributes: Authorization attributes: Total 1 local user(s) matched. 表 1-3 display local-user 命令显示信息描述表 字段 描述 Slot IRF 成员设备编号 State 本地用户状态 (Active: 激活 Block: 阻塞 ) ServiceType Access-limit Current AccessNum Max AccessNum User-group Bind attributes IP address Bind location MAC address VLAN ID Calling Number Authorization attributes 本地用户使用的服务类型 (ftp lan-access portal ssh telnet terminal) 当前用户名的连接数限制 当前接入用户数 最大接入用户数 本地用户所属用户组 本地用户的绑定属性 本地用户的 IP 地址 本地用户绑定的端口 本地用户的 MAC 地址 本地用户绑定的 VLAN ISDN 用户的主叫号码 本地用户的授权属性 Idle TimeOut 本地用户闲置切断时间 ( 单位为分钟 ) Callback-number Work Directory 本地用户的授权 PPP 回呼号码 FTP/SFTP 用户可以访问的目录 1-28

39 字段 描述 User Privilege VLAN ID User Profile Expiration date Password-Aging Password-Length Password-Composition Total 1 local user(s) matched. 本地用户级别本地用户授权 VLAN 本地用户授权 User Profile 本地用户的有效期本地用户密码的老化时间本地用户密码的最小长度本地用户密码的组合策略总计有 1 个本地用户匹配 display user-group display user-group [ group-name ] [ { begin exclude include } regular-expression ] 任意视图 缺省级别 参数 描述 举例 2: 系统级 group-name: 用户组名称, 为 1~32 个字符的字符串, 不区分大小写 : 使用正则表达式对显示信息进行过滤 有关正则表达式的详细介绍, 请参见 基础配置指导 中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display user-group 命令用来显示用户组的相关配置 相关配置请参考命令 user-group # 显示用户组 abc 的相关配置 <Sysname> display user-group abc The contents of user group abc: Authorization attributes: Idle-cut: 120(min) Work Directory: FLASH: Level: 1 Acl Number: 2000 Vlan ID: 1 User-Profile:

40 Callback-number: 1 Password-Aging: Enabled (1 day(s)) Password-Length: Enabled (4 characters) Password-Composition: Enabled (1 type(s), 1 character(s) per type) Total 1 user group(s) matched. 表 1-4 display user-group 命令显示信息描述表 字段 描述 Idle-cut 闲置切断时间 ( 单位 : 分钟 ) Work Directory Level Acl Number Vlan ID User-Profile Callback-number Password-Aging Password-Length Password-Composition Total 1 user group(s) matched. FTP/SFTP 用户可以访问的目录本地用户的级别授权 ACL 号授权 VlAN ID 授权 User Profile 名称 PPP 回呼号码本地用户密码老化时间本地用户密码最小长度本地用户密码组合策略总计有 1 个用户组匹配 expiration-date(local user view) expiration-date time undo expiration-date 本地用户视图 缺省级别 参数 描述 3: 管理级 time: 本地用户的有效期, 精确到秒, 格式为 HH:MM:SS-MM/DD/YYYY( 时 : 分 : 秒 - 月 / 日 / 年 ) 或 HH:MM:SS-YYYY/MM/DD( 时 : 分 : 秒 - 年 / 月 / 日 ) 其中,HH:MM:SS 中的 HH 取值范围为 0~23, MM 和 SS 取值范围为 0~59;MM/DD/YYYY 中的 MM 的取值范围为 1~12,DD 的取值范围与月份有关,YYYY 的取值范围为 2000~2035 除表示零点外, 格式中的前导 0 可以省略不写, 比如 2:2:0-2008/2/2 等效于 02:02: /02/02 expiration-date 命令用来配置本地用户的有效期 undo expiration-date 用来取消本地用户的有效期配置 缺省情况下, 未设置用户的有效期, 设备不进行用户有效期的检查 1-30

41 举例 在有用户临时需要接入网络的情况下, 设备管理员可以为用户建立临时使用的来宾帐户, 并通过该配置对来宾帐户进行有效期的控制 当该用户进行本地认证时, 接入设备检查当前系统时间是否在用户的有效期内, 若在有效期内则允许用户登录, 否则拒绝用户登录 需要注意的是, 如果设备管理员手工修改系统时间, 或其它原因导致系统时间发生变化, 则在用户认证时使用修改后的系统时间与配置的用户有效期进行比较 # 配置用户 abc 的有效期为 2008/05/31 的 12:10:20 [Sysname] local-user abc [Sysname-luser-abc] expiration-date 12:10: /05/ group group group-name undo group 本地用户视图 缺省级别 参数 描述 举例 3: 管理级 group-name: 用户组名称, 为 1~32 个字符的字符串, 不区分大小写 group 命令用来设置本地用户所属的用户组 undo group 命令用来恢复缺省配置 缺省情况下, 用户属于系统默认创建的用户组 system # 设置本地用户 111 所属的用户组为 abc [Sysname] local-user 111 [Sysname-luser-111] group abc local-user local-user user-name undo local-user { user-name all [ service-type { ftp lan-access portal ssh telnet terminal } ] } 系统视图 缺省级别 参数 3: 管理级 1-31

42 描述 举例 user-name: 表示本地用户名, 为 1~55 个字符的字符串, 区分大小写 用户名不能携带域名, 不能包括符号 \ / : *? < > 且不能为 a al 或 all all: 所有的用户 service-type: 指定用户的类型 具体用户类型如下 : ftp: 表示 FTP 类型用户 ; lan-access: 表示 lan-access 类型用户 ( 主要指以太网接入用户, 比如 802.1X 用户 ); portal: 表示 Portal 用户 ; ssh: 表示 SSH 用户 ; telnet: 表示 Telnet 用户 ; terminal: 表示从 Console 口 AUX 口登录的终端用户 local-user 命令用来添加本地用户并进入本地用户视图 undo local-user 命令用来删除指定的本地用户 缺省情况下, 无本地用户 相关配置可参考命令 display local-user 和 service-type # 添加名称为 user1 的本地用户 [Sysname] local-user user1 [Sysname-luser-user1] local-user password-display-mode local-user password-display-mode { auto cipher-force } undo local-user password-display-mode 系统视图 缺省级别 参数 描述 2: 系统级 auto: 自动方式, 即接入用户的密码显示方式与该用户通过 password 命令设置的密码显示方式一致 cipher-force: 强制密文方式, 即所有接入用户的密码显示方式必须采用密文方式 local-user password-display-mode 命令用来设置所有本地用户密码的显示方式 undo local-user password-display-mode 命令用来恢复缺省情况 缺省情况下, 所有接入用户的密码显示方式为自动方式 当采用 cipher-force 方式后 : 即使通过 password 命令指定密码显示方式为明文显示 ( 即 simple 方式 ), 密码仍然会显示为密文 1-32

43 举例 使用 save 命令保存当前配置, 重启设备后, 即使恢复为 auto 方式, 原来配置为明文显示 的密码仍然显示为密文 相关配置可参考命令 display local-user 和 password # 设置所有本地用户采用密文方式显示密码 [Sysname] local-user password-display-mode cipher-force password password [ { cipher simple } password ] undo password 本地用户视图 缺省级别 参数 描述 举例 2: 系统级 cipher: 表示密码为密文显示 simple: 表示密码为明文显示 password: 表示设置的密码 明文密码可以是长度小于等于 63 的连续字符串, 如 :aabbcc 密文密码的长度取值为 24 或 88, 如 _(TT8F]Y\5SQ=^Q`MAF4<1!! 对于 simple 方式,password 必须是明文密码 对于 cipher 方式,password 可以是密文密码也可以是明文密码 password 命令用来设置本地用户的密码 undo password 命令用来取消本地用户的密码 需要注意的是 : 如果不指定任何参数, 则表示以交互式方式设置本地用户密码, 该密码将为明文显示 仅支持 Password Control 特性的设备上才支持本方式,Password Control 相关命令的具体介绍请参见 安全命令参考 中的 Password Control 使能 Password Control 特性的全局密码管理功能 ( 通过命令 password-control enable) 后, 本地用户密码的设置将受到 Password Control 特性的约束, 比如密码的长度 复杂度等将会受到限制, 并且设备上将不显示配置的本地用户密码, 以及 local-user password-display-mode 命令将会无效 当采用 local-user password-display-mode cipher-force 命令后, 即使用户通过 password 命令指定密码显示方式为明文显示 ( 即 simple 方式 ) 后, 密码也会显示为密文 在 cipher 方式下, 长度小于等于 16 的明文密码会被加密为长度是 24 的密文, 长度大于 16 且小于等于 63 的明文密码会被加密为长度是 88 的密文 当用户输入长度为 24 的密码时, 如果密码能够被系统解密, 则按密文密码处理 ; 若不能被解密, 则按明文密码处理 相关配置可参考命令 display local-user # 设置名称为 user1 的密码为明文显示, 密码为

44 [Sysname] local-user user1 [Sysname-luser-user1] password simple service-type service-type { ftp lan-access { ssh telnet terminal } * portal } undo service-type { ftp lan-access { ssh telnet terminal } * portal } 本地用户视图 缺省级别 参数 描述 举例 3: 管理级 ftp: 指定用户可以使用 FTP 服务 若授权 FTP 服务, 缺省授权使用设备的根目录 lan-access: 指定用户可以使用 lan-access 服务 主要指以太网接入用户, 比如 802.1X 用户 ssh: 指定用户可以使用 SSH 服务 telnet: 指定用户可以使用 Telnet 服务 terminal: 指定用户可以使用 terminal 服务 ( 即从 Console 口 AUX 口登录 ) portal: 指定用户可以使用 Portal 服务 service-type 命令用来设置用户可以使用的服务类型 undo service-type 命令用来删除用户可以使用的服务类型 缺省情况下, 系统不对用户授权任何服务 # 指定用户可以使用 Telnet 服务 [Sysname] local-user user1 [Sysname-luser-user1] service-type telnet state(local user view) state { active block } undo state 本地用户视图 缺省级别 参数 描述 2: 系统级 active: 指定当前本地用户处于活动状态, 即系统允许当前本地用户请求网络服务 block: 指定当前本地用户处于 阻塞 状态, 即系统不允许当前本地用户请求网络服务 1-34

45 举例 state 命令用来设置当前本地用户的状态 undo state 命令用来恢复缺省情况 缺省情况下, 当一个本地用户被创建以后, 其状态为 active( 本地用户视图 ) 当指示某个用户处于 block 状态时, 不允许当前本地用户请求网络服务, 但是不影响其它用户 相关配置可参考命令 local-user # 设置本地用户 user1 处于 阻塞 状态 [Sysname] local-user user1 [Sysname-luser-user1] state block user-group user-group group-name undo user-group group-name 系统视图 缺省级别 参数 描述 举例 3: 管理级 group-name: 用户组名称, 为 1~32 个字符的字符串, 不区分大小写 user-group 命令用来创建用户组并进入其视图 undo user-group 命令用来删除指定的用户组 用户组是一个本地用户策略及属性的集合, 某些需要集中管理的策略或者属性可在在用户组中统一配置和管理 目前, 用户组中可配置的内容包括本地用户密码的控制策略和用户的授权属性 需要注意的是 : 当用户组中有本地用户时, 不允许使用 undo user-group 删除该用户组 不能删除系统中存在的默认用户组 system, 但可以修改该用户组的配置 相关配置可参考命令 display user-group # 创建名称为 abc 的用户组并进入其视图 [Sysname] user-group abc [Sysname-ugroup-abc] 1.3 RADIUS 配置命令 accounting-on enable accounting-on enable [ interval seconds send send-times ] * undo accounting-on enable 1-35

46 RADIUS 方案视图 缺省级别 参数 描述 举例 2: 系统级 seconds:accounting-on 报文重发时间间隔, 取值范围为 1~15, 单位为秒, 缺省值为 3 send-times:accounting-on 报文的最大发送次数, 取值范围为 1~255, 缺省值为 5 accounting-on enable 命令用来配置 accounting-on 功能, 包括使能 accounting-on 功能 配置 accounting-on 报文重发时间间隔和 accounting-on 报文的最大发送次数 在 accounting-on 功能处于使能的情况下, 设备重启后, 会发送 accounting-on 报文通知 RADIUS 服务器该设备已经重启, 要求 RADIUS 服务器强制该设备的用户下线 undo accounting-on enable 命令用来恢复缺省情况 缺省情况下,accounting-on 功能处于关闭状态 需要注意的是 : 设备启动后, 如果当前系统中没有使能 accounting-on 功能的 RADIUS 方案, 则执行完该命令后, 必须执行 save 操作, 这样设备重启后 accounting-on 功能才能生效 但是, 如果当前系统中已经有 RADIUS 方案使能了 accounting-on 功能, 则对未使能该功能的 RADIUS 方案执行该命令后,accounting-on 功能会立即生效 在执行 accounting-on 功能的过程中, 使用该命令重新设置的报文重发间隔时间以及报文最大发送次数会立即生效 相关配置可参考命令 radius scheme # 使能 RADIUS 认证方案 rd 的 accounting-on 功能, 并配置 accounting-on 报文重发时间间隔为 5 秒 accounting-on 报文的最大发送次数为 15 次 [Sysname] radius scheme rd [Sysname-radius-rd] accounting-on enable interval 5 send attribute 25 car attribute 25 car undo attribute 25 car RADIUS 方案视图 缺省级别 参数 2: 系统级 无 描述 attribute 25 car 命令用来开启 RADIUS Attribute 25 的 CAR 参数解析功能 undo attribute 25 car 命令用来恢复缺省情况 1-36

47 举例 缺省情况下,RADIUS Attribute 25 的 CAR 参数解析功能处于关闭状态 相关配置可参考命令 display radius scheme 和 display connection # 开启 RADIUS Attribute 25 的 CAR 参数解析功能 [Sysname] radius scheme radius1 [Sysname-radius-radius1] attribute 25 car data-flow-format (RADIUS scheme view) data-flow-format { data { byte giga-byte kilo-byte mega-byte } packet { giga-packet kilo-packet mega-packet one-packet } } * undo data-flow-format { data packet } RADIUS 方案视图 缺省级别 参数 描述 举例 2: 系统级 data: 设置数据的单位 byte: 数据单位为字节 giga-byte: 数据单位千兆字节 kilo-byte: 数据单位为千字节 mega-byte: 数据单位为兆字节 packet: 设置数据包的单位 giga-packet: 数据包的单位为千兆包 kilo-packet: 数据包的单位为千包 mega-packet: 数据包的单位为兆包 one-packet: 数据包的单位为包 data-flow-format 命令用来配置发送到 RADIUS 服务器的数据流的单位 undo data-flow-format 命令用来恢复缺省情况 缺省情况下, 数据的单位为 byte, 数据包的单位为 one-packet 需要注意的是, 设备上配置的发送给 RADIUS 服务器的数据流单位应与 RADIUS 服务器上的流量统计单位保持一致, 否则无法正确计费 相关配置可参考命令 display radius scheme # 设置发往 RADIUS 服务器的数据流的数据单位为千字节 数据包单位为千包 [Sysname] radius scheme radius1 [Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet 1-37

48 1.3.4 display radius scheme display radius scheme [ radius-scheme-name ] [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图 缺省级别 参数 描述 举例 2: 系统级 radius-scheme-name: 指定 RADIUS 方案名 slot slot-number: 显示指定成员设备上的 RADIUS 方案配置信息 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看 如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤 有关正则表达式的详细介绍, 请参见 基础配置指导 中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display radius scheme 命令用来显示所有或指定 RADIUS 方案的配置信息 需要注意的是 : 如果不指定 RADIUS 方案名, 则显示所有 RADIUS 方案的配置信息 如果不指定成员设备编号, 则显示所有成员设备上 RADIUS 方案的配置信息 相关配置可参考命令 radius scheme # 显示所有 RADIUS 方案的配置信息 <Sysname> display radius scheme SchemeName : radius1 Index : 0 Type : extended Primary Auth Server: IP: Port: 1812 State: active Encryption Key : 345 Primary Acct Server: IP: Port: 1813 State: active Encryption Key : 345 Second Auth Server: IP: Port: 1812 State: active Encryption Key : N/A IP: Port: 1812 State: active Encryption Key : N/A Second Acct Server: 1-38

49 IP: Port: 1813 State: block Encryption Key : N/A Auth Server Encryption Key : 123 Acct Server Encryption Key : N/A Accounting-On packet disable, send times : 5, interval : 3s Interval for timeout(second) : 3 Retransmission times for timeout : 3 Interval for realtime accounting(minute) : 12 Retransmission times of realtime-accounting packet : 5 Retransmission times of stop-accounting packet : 500 Quiet-interval(min) : 5 Username format : without-domain Data flow unit : Byte Packet unit : one NAS-IP address : Attribute 25 : car Total 1 RADIUS scheme(s). 表 1-5 display radius scheme 命令显示信息描述表 字段 描述 SchemeName Index Type Primary Auth Server Primary Acct Server Second Auth Server Second Acct Server Encryption Key IP Port State Auth Server Encryption Key Acct Server Encryption Key Accounting-On packet disable send times RADIUS 方案的名称 RADIUS 方案的索引号 RADIUS 服务器的类型主认证服务器主计费服务器从认证服务器从计费服务器认证 / 计费服务器的共享密钥主认证 / 计费服务器 IP 地址未配置时, 显示为 N/A 主认证 / 计费服务器接入端口号未配置时, 显示缺省值主认证 / 计费服务器目前状态 active: 激活 block: 阻塞认证服务器的共享密钥计费服务器的共享密钥 accounting-on 功能未使能 accounting-on 报文的重发次数 interval accounting-on 报文的重发间隔 ( 秒 ) Interval for timeout(second) 超时时间 ( 秒 ) Retransmission times for timeout 超时重发次数 1-39

50 字段 描述 Interval for realtime accounting(minute) 实时计费间隔 ( 分钟 ) Retransmission times of realtime-accounting packet Retransmission times of stop-accounting packet Quiet-interval(min) Username format Data flow unit Packet unit NAS-IP address Attribute 25 Total 1 RADIUS scheme(s). 实时计费报文重发次数无响应停止计费报文重发次数主服务器恢复激活状态的时间发送给 RADIUS 服务器的用户名格式流量数据的单位数据包的单位发送 RADIUS 报文的源 IP 地址将 RADIUS Attribute 25 解析为 CAR 参数共计 1 个 RADIUS 方案 display radius statistics display radius statistics [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图 缺省级别 参数 描述 举例 2: 系统级 slot slot-number: 显示指定成员设备上 RADIUS 报文的统计信息 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看 如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤 有关正则表达式的详细介绍, 请参见 基础配置指导 中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display radius statistics 命令用来显示 RADIUS 报文的统计信息 相关配置可参考命令 radius scheme # 显示设备上的 RADIUS 报文统计信息 <Sysname> display radius statistics Slot 1:state statistic(total=1048): DEAD = 1048 AuthProc = 0 AuthSucc =