1.2.5 display local-user display user-group group local-user local-user auto-delete enable pas

Size: px

Start display at page:

Download "1.2.5 display local-user display user-group group local-user local-user auto-delete enable pas"

顾尤
5 years ago
Views:

1 目录 1 AAA ISP 域中实现 AAA 配置命令 aaa nas-id profile aaa session-limit accounting command accounting default accounting dual-stack accounting lan-access accounting login accounting quota-out accounting start-fail accounting update-fail authentication default authentication lan-access authentication login authentication super authorization command authorization default authorization lan-access authorization login authorization-attribute (ISP domain view) display domain domain domain default enable domain if-unknown nas-id bind vlan session-time include-idle-time state (ISP domain view) 本地用户配置命令 access-limit authorization-attribute (Local user view/user group view) bind-attribute description 1-33 i

2 1.2.5 display local-user display user-group group local-user local-user auto-delete enable password service-type state (Local user view) user-group validity-datetime RADIUS 配置命令 aaa device-id accounting-on enable accounting-on extended attribute 15 check-mode attribute 25 car attribute 31 mac-format attribute convert (RADIUS DAE server view) attribute convert (RADIUS scheme view) attribute reject (RADIUS DAE server view) attribute reject (RADIUS scheme view) attribute remanent-volume attribute translate client data-flow-format (RADIUS scheme view) display radius scheme display radius statistics display stop-accounting-buffer (for RADIUS) key (RADIUS scheme view) nas-ip (RADIUS scheme view) port primary accounting (RADIUS scheme view) primary authentication (RADIUS scheme view) radius attribute extended radius dscp radius dynamic-author server 1-71 ii

3 radius nas-ip radius scheme radius session-control client radius session-control enable radius-server test-profile reset radius statistics reset stop-accounting-buffer (for RADIUS) retry retry realtime-accounting retry stop-accounting (RADIUS scheme view) secondary accounting (RADIUS scheme view) secondary authentication (RADIUS scheme view) server-load-sharing enable snmp-agent trap enable radius state primary state secondary stop-accounting-buffer enable (RADIUS scheme view) timer quiet (RADIUS scheme view) timer realtime-accounting (RADIUS scheme view) timer response-timeout (RADIUS scheme view) user-name-format (RADIUS scheme view) HWTACACS 配置命令 data-flow-format (HWTACACS scheme view) display hwtacacs scheme display stop-accounting-buffer (for HWTACACS) hwtacacs nas-ip hwtacacs scheme key (HWTACACS scheme view) nas-ip (HWTACACS scheme view) primary accounting (HWTACACS scheme view) primary authentication (HWTACACS scheme view) primary authorization reset hwtacacs statistics reset stop-accounting-buffer (for HWTACACS ) retry stop-accounting (HWTACACS scheme view) secondary accounting (HWTACACS scheme view) iii

4 secondary authentication (HWTACACS scheme view) secondary authorization stop-accounting-buffer enable (HWTACACS scheme view) timer quiet (HWTACACS scheme view) timer realtime-accounting (HWTACACS scheme view) timer response-timeout (HWTACACS scheme view) user-name-format (HWTACACS scheme view) LDAP 配置命令 attribute-map authentication-server authorization-server display ldap scheme ip ipv ldap attribute-map ldap scheme ldap server login-dn login-password map protocol-version search-base-dn search-scope server-timeout user-parameters RADIUS 服务器配置命令 display radius-server active-client display radius-server active-user radius-server activate radius-server client iv

5 1 AAA 设备运行于 FIPS 模式时, 本特性部分配置相对于非 FIPS 模式有所变化, 具体差异请见本文相关描述有关 FIPS 模式的详细介绍请参见安全配置指导中的 FIPS 1.1 ISP 域中实现 AAA 配置命令 aaa nas-id profile aaa nas-id profile 命令用来创建 NAS-ID Profile, 并进入 NAS-ID-Profile 视图如果指定的 NAS-ID Profile 已经存在, 则直接进入 NAS-ID-Profile 视图 undo aaa nas-id profile 命令用来删除指定的 NAS-ID Profile 命令 aaa nas-id profile profile-name undo aaa nas-id profile profile-name 缺省情况不存在 NAS-ID Profile 视图系统视图缺省用户角色 profile-name:profile 名称, 为 1~31 个字符的字符串, 不区分大小写使用指导在某些应用环境中, 网络运营商需要使用接入设备发送给 RADIUS 服务器的 NAS-Identifier 属性值来获知用户的接入位置, 而用户的接入 VLAN 可标识用户的接入位置, 因此接入设备上可通过建立用户接入 VLAN 与指定的 NAS-ID 之间的绑定关系来实现接入位置信息的映射 NAS-ID Profile 用于保存 NAS-ID 和 VLAN 的绑定关系这样, 当用户上线时, 设备会将与用户接入 VLAN 匹配的 NAS-ID 填充在 RADIUS 请求报文中的 NAS-Identifier 属性中发送给 RADIUS 服务器举例 # 创建一个名称为 aaa 的 NAS-ID Profile, 并进入 NAS-ID-Profile 视图 [Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa] 1-1

6 nas-id bind vlan port-security nas-id-profile( 安全命令参考 / 端口安全 ) aaa session-limit aaa session-limit 命令用来配置同时在线的最大用户连接数, 即采用指定登录方式登录设备并同时在线的用户数 undo aaa session-limit 命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况命令非 FIPS 模式下 : aaa session-limit { ftp http https ssh telnet } max-sessions undo aaa session-limit { ftp http https ssh telnet } FIPS 模式下 : aaa session-limit { https ssh } max-sessions undo aaa session-limit { https ssh } 缺省情况同时在线的各类型最大用户连接数均为 32 视图系统视图缺省用户角色 ftp: 表示 FTP 用户 http: 表示 HTTP 用户 https: 表示 HTTPS 用户 ssh: 表示 SSH 用户 telnet: 表示 Telnet 用户 max-sessions: 允许同时在线的最大用户连接数,FTP/SSH/Telnet 用户的取值范围为 1~32, HTTP/HTTPS 用户的取值范围为 1~64 使用指导配置本命令后, 当指定类型的接入用户的用户数超过当前配置的最大连接数后, 新的接入请求将被拒绝举例 # 设置同时在线的最大 FTP 用户连接数为 4 [Sysname] aaa session-limit ftp 4 1-2

7 1.1.3 accounting command accounting command 命令用来配置命令行计费方法 undo accounting command 命令用来恢复缺省情况命令 accounting command hwtacacs-scheme hwtacacs-scheme-name undo accounting command 缺省情况命令行计费采用当前 ISP 域的缺省计费方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导命令行计费过程是指, 用户执行过的合法命令会被发送给计费服务器进行记录若未开启命令行授权功能, 则计费服务器对用户执行过的所有合法命令进行记录 ; 若开启了命令行授权功能, 则计费服务器仅对授权通过的命令进行记录目前, 仅支持使用远程 HWTACACS 服务器完成命令行计费功能举例 # 在 ISP 域 test 下, 配置使用 HWTACACS 计费方案 hwtac 进行命令行计费 [Sysname] domain test [Sysname-isp-test] accounting command hwtacacs-scheme hwtac accounting default command accounting( 基础命令参考 / 登录设备 ) hwtacacs scheme accounting default accounting default 命令用来为当前 ISP 域配置缺省的计费方法 undo accounting default 命令用来恢复缺省情况命令非 FIPS 模式下 : 1-3

8 accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } undo accounting default FIPS 模式下 : accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] local radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] } undo accounting default 缺省情况当前 ISP 域的缺省计费方法为 local 视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导当前 ISP 域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用, 但是如果某类型的用户不支持指定的计费方法, 则该计费方法对于这类用户不能生效本地计费只是为了支持本地用户的连接数管理, 没有实际的计费相关的统计功能可以指定多个备选的计费方法, 在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 计费, 若 RADIUS 计费无效则进行本地计费, 若本地计费也无效则不进行计费举例 # 在 ISP 域 test 下, 配置缺省计费方法为使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting default radius-scheme rd local hwtacacs scheme local-user 1-4

9 radius scheme accounting dual-stack accounting dual-stack 命令用来配置双协议栈用户的计费方式 undo accounting dual-stack 命令用来恢复缺省情况命令 accounting dual-stack { merge separate } undo accounting dual-stack 缺省情况双协议栈用户的计费方式为统一计费视图 ISP 域视图缺省用户角色 merge: 统一计费方式, 表示将双协议栈用户的 IPv4 流量和 IPv6 流量统一汇总后上送给计费服务器 separate: 分别计费方式, 表示将双协议栈用户的 IPv4 流量和 IPv6 流量分别上送给计费服务器使用指导双协议栈用户的主机上同时支持 IPv4 和 IPv6 两种协议, 可能产生两种协议类型的流量分别计费模式通常应用于 IPv4 流量费率和 IPv6 流量费率不一样的情况 ; 统一计费模式通常应用于不需要区分 IPv4 流量和 IPv6 流量的情况举例 # 在 ISP 域 test 下, 配置双栈用户的计费方式为分别计费 [Sysname] domain test [Sysname-isp-test] accounting dual-stack separate accounting lan-access accounting lan-access 命令用来为 lan-access 用户配置计费方法 undo accounting lan-access 命令用来恢复缺省情况命令非 FIPS 模式下 : accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ local ] [ none ] } undo accounting lan-access 1-5

10 FIPS 模式下 : accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] local radius-scheme radius-scheme-name [ local ] } undo accounting lan-access 缺省情况 lan-access 用户采用当前 ISP 域的缺省计费方法视图 ISP 域视图缺省用户角色 broadcast: 指定广播 RADIUS 方案, 即同时向指定的两个 RADIUS 方案中的计费服务器发送计费请求 radius-scheme radius-scheme-name1: 表示主送计费 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 ; radius-scheme radius-scheme-name2: 表示抄送计费 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导可以指定多个备选的计费方法在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 计费, 若 RADIUS 计费无效则进行本地计费, 若本地计费也无效则不进行计费当指定 broadcast 关键字时, 将同时向指定的两个 RADIUS 方案里的主计费服务器发送计费请求, 若某 RADIUS 方案里的主计费服务器不可达, 则按照配置顺序依次尝试向该 RADIUS 方案里的从计费服务器发送计费请求主送计费方案计费成功时, 表示用户计费成功 ; 抄送计费方案的计费结果对用户无影响举例 # 在 ISP 域 test 下, 为 lan-access 用户配置计费方法为 local [Sysname] domain test [Sysname-isp-test] accounting lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting lan-access radius-scheme rd local 1-6

11 # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd1 和 rd2 进行广播计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting lan-access broadcast radius-scheme rd1 radius-scheme rd2 local accounting default local-user radius scheme accounting login accounting login 命令用来为 login 用户配置计费方法 undo accounting login 命令用来恢复缺省情况命令非 FIPS 模式下 : accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } undo accounting login FIPS 模式下 : accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] local radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] } undo accounting login 缺省情况 login 用户采用当前 ISP 域的缺省计费方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 1-7

12 使用指导不支持对 FTP SFTP 以及 SCP 类型的 login 用户进行计费可以指定多个备选的计费方法在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 计费, 若 RADIUS 计费无效则进行本地计费, 若本地计费也无效则不进行计费举例 # 在 ISP 域 test 下, 为 login 用户配置计费方法为 local [Sysname] domain test [Sysname-isp-test] accounting login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting login radius-scheme rd local accounting default hwtacacs scheme local-user radius scheme accounting quota-out accounting quota-out 命令用来配置用户计费流量配额耗尽策略 undo accounting quota-out 命令用来恢复缺省情况命令 accounting quota-out { offline online } undo accounting quota-out 缺省情况用户的计费流量配额耗尽后将被强制下线视图 ISP 域视图缺省用户角色 offline: 当用户的整体流量配额耗尽后, 强制用户下线 online: 当用户的整体流量配额耗尽后, 允许用户保持在线状态举例 # 在 ISP 域 test 下, 配置用户计费流量配额耗尽策略为 : 当流量配额耗尽后用户仍能保持在线状态 1-8

13 [Sysname] domain test [Sysname-isp-test] accounting quota-out online accounting start-fail accounting start-fail 命令用来配置用户计费开始失败策略, 即设备向计费服务器发送计费开始请求失败后, 是否允许用户接入网络 undo accounting start-fail 命令用来恢复缺省情况命令 accounting start-fail { offline online } undo accounting start-fail 缺省情况如果用户计费开始失败, 允许用户保持在线状态视图 ISP 域视图缺省用户角色 offline: 强制用户下线 online: 允许用户保持在线状态举例 # 在 ISP 域 test 下, 配置计费开始失败策略为 : 用户计费开始失败时允许用户保持在线状态 [Sysname] domain test [Sysname-isp-test] accounting start-fail online accounting update-fail accounting update-fail 命令用来配置用户计费更新失败策略, 即设备向计费服务器发送用户的计费更新报文失败时, 是否允许用户接入网络 undo accounting update-fail 命令用来恢复缺省情况命令 accounting update-fail { [ max-times max-times ] offline online } undo accounting update-fail 缺省情况如果用户计费更新失败, 允许用户保持在线状态视图 ISP 域视图 1-9

14 缺省用户角色 max-times max-times: 允许用户连续计费更新失败的次数, 取值范围 1~255, 缺省值为 1 offline: 如果用户连续计费更新失败的次数达到了指定的次数, 则强制用户下线 online: 如果用户计费更新失败, 允许用户保持在线状态举例 # 在 ISP 域 test 下, 配置计费更新失败策略为 : 用户计费更新失败时允许用户保持在线状态 [Sysname] domain test [Sysname-isp-test] accounting update-fail online authentication default authentication default 命令用来为当前 ISP 域配置缺省的认证方法 undo authentication default 命令用来为恢复缺省情况命令非 FIPS 模式下 : authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] ldap-scheme ldap-scheme-name [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } undo authentication default FIPS 模式下 : authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] ldap-scheme ldap-scheme-name [ local ] local radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] } undo authentication default 缺省情况当前 ISP 域的缺省认证方法为 local 视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 ldap-scheme ldap-scheme-name: 指定 LDAP 方案其中 ldap-scheme-name 表示 LDAP 方案名, 为 1~32 个字符的字符串, 不区分大小写 1-10

15 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导当前 ISP 域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用, 但是如果某类型的用户不支持指定的认证方法, 则该认证方法对于这类用户不能生效可以指定多个备选的认证方法, 在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 认证, 若 RADIUS 认证无效则进行本地认证, 若本地认证也无效则不进行认证举例 # 在 ISP 域 test 下, 配置缺省认证方法为使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备选认证方法 [Sysname] domain test [Sysname-isp-test] authentication default radius-scheme rd local hwtacacs scheme ldap scheme local-user radius scheme authentication lan-access authentication lan-access 命令用来为 lan-access 用户配置认证方法 undo authentication lan-access 命令用来恢复缺省情况命令非 FIPS 模式下 : authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ local ] [ none ] } undo authentication lan-access FIPS 模式下 : authentication lan-access { ldap-scheme ldap-scheme-name [ local ] local radius-scheme radius-scheme-name [ local ] } undo authentication lan-access 缺省情况 lan-access 用户采用当前 ISP 域的缺省认证方法视图 ISP 域视图 1-11

16 缺省用户角色 ldap-scheme ldap-scheme-name: 指定 LDAP 方案其中 ldap-scheme-name 表示 LDAP 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导可以指定多个备选的认证方法, 在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 认证, 若 RADIUS 认证无效则进行本地认证, 若本地认证也无效则不进行认证举例 # 在 ISP 域 test 下, 为 lan-access 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备选认证方法 [Sysname] domain test [Sysname-isp-test] authentication lan-access radius-scheme rd local authentication default hwtacacs scheme ldap scheme local-user radius scheme authentication login authentication login 命令用来为 login 用户配置认证方法 undo authentication login 命令用来恢复缺省情况命令非 FIPS 模式下 : authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] ldap-scheme ldap-scheme-name [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } 1-12

17 undo authentication login FIPS 模式下 : authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] ldap-scheme ldap-scheme-name [ local ] local radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] } undo authentication login 缺省情况 login 用户采用当前 ISP 域的缺省认证方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 ldap-scheme ldap-scheme-name: 指定 LDAP 方案其中 ldap-scheme-name 表示 LDAP 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导可以指定多个备选的认证方法, 在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 认证, 若 RADIUS 认证无效则进行本地认证, 若本地认证也无效则不进行认证举例 # 在 ISP 域 test 下, 为 login 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备选认证方法 [Sysname] domain test [Sysname-isp-test] authentication login radius-scheme rd local authentication default hwtacacs scheme ldap scheme 1-13

18 local-user radius scheme authentication super authentication super 命令用来配置用户角色切换认证方法 undo authentication super 命令用来恢复缺省情况命令 authentication super { hwtacacs-scheme hwtacacs-scheme-name radius-scheme radius-scheme-name } * undo authentication super 缺省情况用户角色切换认证采用当前 ISP 域的缺省认证方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导切换用户角色是指在不退出当前登录不断开当前连接的前提下修改用户的用户角色, 改变用户所拥有的命令行权限为了保证切换操作的安全性, 需要在用户执行用户角色切换时进行身份认证设备支持本地和远程两种认证方式, 关于用户角色切换的详细介绍请参见基础配置指导中的 RBAC 可以指定一个备选的认证方法, 在当前的认证方法无效时尝试使用备选的方法完成认证举例 # 在 ISP 域 test 下, 配置使用 HWTACACS 方案 tac 进行用户角色切换认证 [Sysname] super authentication-mode scheme [Sysname] domain test [Sysname-isp-test] authentication super hwtacacs-scheme tac authentication default hwtacacs scheme radius scheme 1-14

19 authorization command authorization command 命令用来配置命令行授权方法 undo authorization command 命令用来恢复缺省情况命令非 FIPS 模式下 : authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] local [ none ] none } undo authorization command FIPS 模式下 : authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] local } undo authorization command 缺省情况命令行授权采用当前 ISP 域的缺省授权方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地授权 none: 不授权用户执行角色所允许的命令时, 无须接受授权服务器的检查使用指导命令行授权是指, 用户执行的每一条命令都需要接受授权服务器的检查, 只有授权成功的命令才被允许执行用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制, 即, 仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行, 才能被执行需要注意的是, 命令行授权功能只利用角色中的权限规则对命令行执行权限检查, 不进行其它方面的权限检查, 例如资源控制策略等对用户采用本地命令行授权时, 设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查, 只有本地用户中配置的授权用户角色所允许的命令才被允许执行可以指定多个备选的命令行授权方法, 在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权例如,hwtacacs-scheme hwtacacs-scheme-name local none 表示, 先进行 HWTACACS 授权, 若 HWTACACS 授权无效则进行本地授权, 若本地授权也无效则不进行授权举例 # 在 ISP 域 test 下, 配置命令行授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization command local 1-15

20 # 在 ISP 域 test 下, 配置使用 HWTACACS 方案 hwtac 进行命令行授权, 并且使用 local 作为备选授权方法 [Sysname] domain test [Sysname-isp-test] authorization command hwtacacs-scheme hwtac local command authorization( 基础命令参考 / 登录设备 ) hwtacacs scheme local-user authorization default authorization default 命令用来为当前 ISP 域配置缺省的授权方法 undo authorization default 命令用来恢复缺省情况命令非 FIPS 模式下 : authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } undo authorization default FIPS 模式下 : authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] local radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] } undo authorization default 缺省情况当前 ISP 域的缺省授权方法为 local 视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权此时, 认证通过的 Login 用户 ( 通过 Console 口或者 Telnet FTP/SFTP/SCP 访问设备的用户 ) 只有系统给予的缺省用户角色 level-0, 其中 FTP/SFTP/SCP 用户的工作目录是设备的根 1-16

21 目录, 但并无访问权限 ; 认证通过的非 Login 用户可直接访问网络关于用户角色色 level-0 的详细介绍请参见基础配置指导中的 RBAC radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导当前 ISP 域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用, 但是如果某类型的用户不支持指定的授权方法, 则该授权方法对于这类用户不能生效在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效可以指定多个备选的授权方法, 在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 授权, 若 RADIUS 授权无效则进行本地授权, 若本地授权也无效则不进行授权举例 # 在 ISP 域 test 下, 配置缺省授权方法为使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备选授权方法 [Sysname] domain test [Sysname-isp-test] authorization default radius-scheme rd local hwtacacs scheme local-user radius scheme authorization lan-access authorization lan-access 命令用来为 lan-access 用户配置授权方法 undo authorization lan-access 命令用来恢复缺省情况命令非 FIPS 模式下 : authorization lan-access { local [ none ] none radius-scheme radius-scheme-name [ local ] [ none ] } undo authorization lan-access FIPS 模式下 : authorization lan-access { local radius-scheme radius-scheme-name [ local ] } undo authorization lan-access 缺省情况 lan-access 用户采用当前 ISP 域的缺省授权方法视图 ISP 域视图 1-17

22 缺省用户角色 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权, 认证通过的 lan-access 用户可直接访问网络 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效可以指定多个备选的授权方法, 在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 授权, 若 RADIUS 授权无效则进行本地授权, 若本地授权也无效则不进行授权举例 # 在 ISP 域 test 下, 为 lan-access 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备选授权方法 [Sysname] domain test [Sysname-isp-test] authorization lan-access radius-scheme rd local authorization default local-user radius scheme authorization login authorization login 命令用来为 login 用户配置授权方法 undo authorization login 命令用来恢复缺省情况命令非 FIPS 模式下 : authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } undo authorization login FIPS 模式下 : 1-18

23 authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] local radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] } undo authorization login 缺省情况 login 用户采用当前 ISP 域的缺省授权方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权此时, 认证通过的 Login 用户 ( 通过 Console 口或者 Telnet FTP/SFTP/SCP 访问设备的用户 ) 只有系统所给予的缺省用户角色, 其中 FTP/SFTP/SCP 用户的工作目录是设备的根目录, 但并无访问权限关于缺省用户角色的详细介绍请参见基础配置指导中的 RBAC radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效可以指定多个备选的授权方法, 在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 授权, 若 RADIUS 授权无效则进行本地授权, 若本地授权也无效则不进行授权举例 # 在 ISP 域 test 下, 为 login 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备选授权方法 [Sysname] domain test [Sysname-isp-test] authorization login radius-scheme rd local authorization default hwtacacs scheme 1-19

24 local-user radius scheme authorization-attribute (ISP domain view) authorization-attribute 命令用来设置当前 ISP 域下的用户授权属性 undo authorization-attribute 命令用来删除指定的授权属性, 恢复用户具有的缺省访问权限命令 authorization-attribute { acl acl-number url url-string user-group user-group-name user-profile profile-name } undo authorization-attribute { acl url user-group user-profile } 缺省情况无授权属性视图 ISP 域视图缺省用户角色 acl acl-number: 指定用于匹配用户流量的 ACL 其中 acl-number 表示 ACL 编号, 取值范围 2000~ 5999 用户认证成功后, 将仅被授权访问符合指定 ACL 规则的网络资源此属性只对 lan-access 用户生效需要注意的是, 对于 Web 认证用户, 仅授权基本 ACL( 编号范围为 2000~2999) 和高级 ACL( 编号范围为 3000~3999) 生效 url url-string: 指定用户的强制 URL, 为 1~255 个字符的字符串, 区分大小写用户认证成功后, 此 URL 将被推送至客户端此属性只对 lan-access 用户生效 user-group user-group-name: 表示用户所属用户组其中,user-group-name 表示用户组名, 为 1~32 个字符的字符串, 不区分大小写用户认证成功后, 将继承该用户组中的所有属性 user-profile profile-name: 指定用户的授权 User Profile 其中,profile-name 为 User Profile 名称, 为 1~31 个字符的字符串, 区分大小写此属性只对 lan-access 用户生效使用指导如果当前 ISP 域的用户认证成功, 但认证服务器 ( 包括本地认证下的接入设备 ) 未对该 ISP 域下发授权属性, 则系统使用当前 ISP 下指定的授权属性为用户授权需要注意的是, 可通过多次执行本命令配置多个授权属性, 但对于相同授权属性, 最后一次执行的命令生效举例 # 设置 ISP 域 test 的用户授权属性组为 abc [Sysname] domain test [Sysname-isp-test] authorization-attribute user-group abc 1-20

25 display domain display domain display domain 命令用来显示所有或指定 ISP 域的配置信息命令 display domain [ isp-name ] 视图任意视图缺省用户角色 network-operator isp-name:isp 域名, 为 1~255 个字符的字符串, 不区分大小写如果不指定该参数, 则表示所有 ISP 域举例 # 显示系统中所有 ISP 域的配置信息 <Sysname> display domain Total 2 domains Domain: system State: Active Default authentication scheme: Local Default authorization scheme: Local Default accounting scheme: Local Accounting start failure action: Online Accounting update failure action: Online Accounting quota out policy: Offline Service type: HSI Session time: Exclude idle time Dual-stack accounting method: Merge Authorization attributes: Idle cut: Disabled IGMP access number: 4 MLD access number: 4 Domain: dm State: Active Login authentication scheme: RADIUS=rad Login authorization scheme: HWTACACS=hw Super authentication scheme: RADIUS=rad Command authorization scheme: HWTACACS=hw 1-21

26 LAN access authentication scheme: RADIUS=r4 Default authentication scheme: RADIUS=rad, Local, None Default authorization scheme: Local Default accounting scheme: None Accounting start failure action: Online Accounting update failure action: Online Accounting quota out policy: Offline Service type: HSI Session time: Include idle time Dual-stack accounting method: Merge Authorization attributes: Idle cut : Disabled User profile: test ACL number:3000 User group: ugg IGMP access number: 4 MLD access number: 4 Default domain name: system 表 1-1 display domain 命令显示信息描述表字段描述 Total 2 domains Domain State Default authentication scheme Default authorization scheme Default accounting scheme Login authentication scheme Login authorization scheme Login accounting scheme Super authentication scheme Command authorization scheme Command accounting scheme LAN access authentication scheme LAN access authorization scheme LAN access accounting scheme RADIUS HWTACACS LDAP 总计 2 个 ISP 域 ISP 域名 ISP 域的状态缺省的认证方案缺省的授权方案缺省的计费方案 Login 用户认证方案 Login 用户授权方案 Login 用户计费方案用户角色切换认证方案命令行授权方案命令行计费方案 lan-access 用户认证方案 lan-access 用户授权方案 lan-access 用户计费方案 RADIUS 方案 HWTACACS 方案 LDAP 方案 1-22

27 字段描述 Local None 本地方案不认证不授权和不计费用户计费开始失败的动作, 包括以下取值 : Accounting start failure action Accounting update failure max-times Online: 如果用户计费开始失败, 则保持用户在线 Offline: 如果用户计费开始失败, 则强制用户下线允许用户连续计费更新失败的次数用户计费更新失败的动作, 包括以下取值 : Accounting update failure action Online: 如果用户计费更新失败, 则保持用户在线 Offline: 如果用户计费更新失败, 则强制用户下线用户计费流量配额耗尽策略, 包括以下取值 : Accounting quota out policy Service type Online: 如果用户计费流量配额耗尽, 则保持用户在线 Offline: 如果用户计费流量配额耗尽, 则强制用户下线 ( 暂不支持 )ISP 域的业务类型, 取值为 HSI,STB 和 VoIP 当用户异常下线时, 设备上传到服务器的用户在线时间情况 : Session time Include idle time: 保留用户闲置切断时间 ( 或 Web 认证用户在线探测间隔 ) Exclude idle time: 扣除用户闲置切断时间 ( 或 Web 认证用户在线探测间隔 ) 双协议栈用户的计费方式, 包括以下取值 : Dual-stack accounting method Authorization attributes Merge: 统一计费, 即将双协议栈用户的 IPv4 流量和 IPv6 流量统一汇总后上送给计费服务器 Separate: 分别计费, 即将双协议栈用户的 IPv4 流量和 IPv6 流量分别上送给计费服务器 ISP 的用户授权属性 ( 暂不支持 ) 用户闲置切断功能, 包括以下取值 : Idle cut Enabled: 处于开启状态, 表示当 ISP 域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时, 会被强制下线 Disabled: 处于关闭状态, 表示不对用户进行闲置切断控制, 它为缺省状态 User profile ACL number User group URL IGMP max access number MLD max access number 授权 User Profile 的名称授权 ACL 编号授权 User group 的名称授权强制 URL ( 暂不支持 ) 授权 IPv4 用户可以同时点播的最大节目数 ( 暂不支持 ) 授权 IPv6 用户可以同时点播的最大节目数 1-23

28 字段描述 Default domain name 缺省 ISP 域名 domain domain 命令用来创建 ISP 域, 并进入 ISP 域视图如果指定的 ISP 域已经存在, 则直接进入 ISP 域视图 undo domain 命令用来删除指定的 ISP 域命令 domain isp-name undo domain isp-name 缺省情况存在一个 ISP 域, 名称为 system 视图系统视图缺省用户角色 isp-name:isp 域名, 为 1~255 个字符的字符串, 不区分大小写, 不能包括 / \ : *? < > 字符, 且不能为字符串 d de def defa defau defaul default i if if- if-u if-un if-unk if-unkn if-unkno if-unknow 和 if-unknown 使用指导所有的 ISP 域在创建后即处于 active 状态不能删除系统中预定义的 ISP 域 system, 只能修改该域的配置不能删除作为系统缺省 ISP 域的 ISP 域如需删除一个系统缺省 ISP 域, 请先使用 undo domain default enable 命令将其恢复为非缺省的 ISP 域建议设备上配置的 ISP 域名尽量短, 避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度举例 # 创建一个名称为 test 的 ISP 域, 并进入其视图 [Sysname] domain test [Sysname-isp-test] display domain domain default enable 1-24

29 domain if-unknown state (ISP domain view) domain default enable domain default enable 命令用来配置系统缺省的 ISP 域, 所有在登录时没有提供 ISP 域名的用户都属于这个域 undo domain default enable 命令用来恢复缺省情况命令 domain default enable isp-name undo domain default enable 缺省情况存在一个系统缺省的 ISP 域, 名称为 system 视图系统视图缺省用户角色 isp-name:isp 域名, 为 1~255 个字符的字符串, 不区分大小写, 且必须已经存在使用指导系统中只能存在一个缺省的 ISP 域配置为缺省的 ISP 域不能被删除如需删除一个系统缺省 ISP 域, 请先使用 undo domain default enable 命令将其恢复为非缺省的 ISP 域举例 # 创建一个新的 ISP 域 test, 并设置为系统缺省的 ISP 域 [Sysname] domain test [Sysname-isp-test] quit [Sysname] domain default enable test display domain domain domain if-unknown domain if-unknown 命令用来为未知域名的用户指定 ISP 域 undo domain if-unknown 命令用来恢复缺省情况命令 domain if-unknown isp-domain-name 1-25

30 undo domain if-unknown 缺省情况没有为未知域名的用户指定 ISP 域视图系统视图缺省用户角色 isp-domain-name:isp 域名为 1~255 个字符的字符串, 不区分大小写, 不能包括 / \ : *? < > 字符, 且不能为字符串 d de def defa defau defaul default i if if- if-u if-un if-unk if-unkn if-unkno if-unknow 和 if-unknown 使用指导设备将按照如下先后顺序选择认证域 : 接入模块指定的认证域 --> 用户名中指定的 ISP 域 --> 系统缺省的 ISP 域其中, 仅部分接入模块支持指定认证域如果根据以上原则决定的认证域在设备上不存在, 但设备上为未知域名的用户指定了 ISP 域, 则最终使用该指定的 ISP 域认证, 否则, 用户将无法认证举例 # 为未知域名的用户指定 ISP 域为 test [Sysname] domain if-unknown test display domain nas-id bind vlan nas-id bind vlan 命令用来设置 NAS-ID 与 VLAN 的绑定关系 undo nas-id bind vlan 命令用来删除指定的 NAS-ID 和 VLAN 的绑定关系命令 nas-id nas-identifier bind vlan vlan-id undo nas-id nas-identifier bind vlan vlan-id 缺省情况不存在 NAS-ID 与 VLAN 的绑定关系视图 NAS-ID Profile 视图缺省用户角色 1-26

31 nas-identifier:nas-id 名称, 为 1~31 个字符的字符串, 区分大小写 vlan-id: 与 NAS-ID 绑定的 VLAN ID, 取值范围为 1~4094 使用指导一个 NAS-ID Profile 视图下, 可以指定多个 NAS-ID 与 VLAN 的绑定关系一个 NAS-ID 可以与多个 VLAN 绑定, 但是一个 VLAN 只能与一个 NAS-ID 绑定若多次将一个 VLAN 与不同的 NAS-ID 进行绑定, 则最后的绑定关系生效举例 # 在名称为 aaa 的 NAS-ID Profile 视图下, 配置 NAS-ID 222 与 VLAN 2 的绑定关系 [Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2 aaa nas-id profile session-time include-idle-time session-time include-idle-time 命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间 undo session-time include-idle-time 命令用来恢复缺省情况命令 session-time include-idle-time undo session-time include-idle-time 缺省情况设备上传到服务器的用户在线时间中扣除闲置切断时间视图 ISP 域视图缺省用户角色使用指导请根据实际的计费策略决定是否在用户在线时间中保留该闲置切换时间当用户正常下线时, 设备上传到服务器上的用户在线时间为实际在线时间 ; 当用户异常下线时, 上传到服务器的用户在线时间具体如下 : 若配置为保留闲置切断时间, 则上传到服务器上的用户在线时间中包含了一定的闲置切断检测间隔或 Web 认证用户在线探测间隔此时, 服务器上记录的用户时长将大于用户实际在线时长 1-27

32 若配置为扣除闲置切断时间, 则上传到服务器上的用户在线时间为, 闲置切断检测机制 ( 或 Web 认证用户在线探测机制 ) 计算出的用户已在线时长扣除掉一个闲置切断检测间隔 ( 或一个 Web 认证用户在线探测间隔 ) 此时, 服务器上记录的用户时长将小于用户实际在线时长举例 # 在 ISP 域 test 下, 配置设备上传到服务器的用户在线时间中保留闲置切断时间 [Sysname] domain test [Sysname-isp-test] session-time include-idle-time display domain state (ISP domain view) state 命令用来设置当前 ISP 域的状态 undo state 命令用来恢复缺省情况命令 state { active block } undo state 缺省情况当前 ISP 域处于活动状态视图 ISP 域视图缺省用户角色 active: 指定当前 ISP 域处于活动状态, 即系统允许该域下的用户请求网络服务 block: 指定当前 ISP 域处于阻塞状态, 即系统不允许该域下的用户请求网络服务使用指导当某个 ISP 域处于阻塞状态时, 将不允许该域下的用户请求网络服务, 但不影响已经在线的用户举例 # 设置当前 ISP 域 test 处于阻塞状态 [Sysname] domain test [Sysname-isp-test] state block display domain 1-28

33 1.2 本地用户配置命令 access-limit access-limit 命令用来设置使用当前本地用户名接入设备的最大用户数 undo access-limit 命令用来恢复缺省情况命令 access-limit max-user-number undo access-limit 缺省情况不限制使用当前本地用户名接入的用户数视图本地用户视图缺省用户角色 max-user-number: 表示使用当前本地用户名接入设备的最大用户数, 取值范围为 1~1024 使用指导本地用户视图下的 access-limit 命令只在该用户采用了本地计费方法的情况下生效由于 FTP/SFTP/SCP 用户不支持计费, 因此 FTP/SFTP/SCP 用户不受此属性限制举例 # 允许同时以本地用户名 abc 在线的用户数为 5 [Sysname] local-user abc [Sysname-luser-manage-abc] access-limit 5 display local-user authorization-attribute (Local user view/user group view) authorization-attribute 命令用来设置本地用户或用户组的授权属性, 该属性在本地用户认证通过之后, 由设备下发给用户 undo authorization-attribute 命令用来删除指定的授权属性, 恢复用户具有的缺省访问权限命令 authorization-attribute { acl acl-number idle-cut minutes session-timeout minutes user-profile profile-name user-role role-name vlan vlan-id work-directory directory-name } * undo authorization-attribute { acl idle-cut session-timeout user-profile user-role role-name vlan work-directory } * 1-29

34 缺省情况授权 FTP/SFTP/SCP 用户可以访问的目录为设备的根目录, 但无访问权限由用户角色为或 level-15 的用户创建的本地用户被授权用户角色 network-operator 视图本地用户视图用户组视图缺省用户角色 acl acl-number: 指定本地用户的授权 ACL 其中,acl-number 为授权 ACL 的编号, 取值范围为 2000~5999 本地用户认证成功后, 将被授权仅可以访问符合指定 ACL 规则的网络资源需要注意的是, 对于 Web 认证用户, 仅授权基本 ACL( 编号范围为 2000~2999) 和高级 ACL( 编号范围为 3000~3999) 生效 idle-cut minutes: 设置本地用户的闲置切断时间其中,minutes 为设定的闲置切断时间, 取值范围为 1~120, 单位为分钟如果用户在线后连续闲置的时长超过该值, 设备会强制该用户下线 session-timeout minutes: 设置本地用户的会话超时时间其中,minutes 为设定的会话超时时间, 取值范围为 1~1440, 单位为分钟如果用户在线时长超过该值, 设备会强制该用户下线 user-profile profile-name: 指定本地用户的授权 User Profile 其中,profile-name 表示 User Profile 名称, 为 1~31 个字符的字符串, 只能包含英文字母数字下划线, 区分大小写当用户认证成功后, 其访问行为将受到 User Profile 中的预设配置的限制关于 User Profile 的详细介绍请参见安全配置指导中的 User Profile user-role role-name: 指定本地用户的授权用户角色其中,role-name 表示用户角色名称, 为 1~ 63 个字符的字符串, 区分大小写可以为每个用户最多指定 64 个用户角色本地用户角色的相关命令请参见基础命令参考中的 RBAC 该授权属性只能在本地用户视图下配置, 不能在本地用户组视图下配置 vlan vlan-id: 指定本地用户的授权 VLAN 其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 本地用户认证成功后, 将被授权仅可以访问指定 VLAN 内的网络资源 work-directory directory-name: 授权 FTP/SFTP/SCP 用户可以访问的目录其中,directory-name 表示 FTP/SFTP/SCP 用户可以访问的目录, 为 1~255 个字符的字符串, 不区分大小写, 且该目录必须已经存在使用指导可配置的授权属性都有其明确的使用环境和用途, 请针对用户的服务类型配置对应的授权属性 : 对于 Lan-access 用户, 仅授权属性 acl session-timeout vlan user-profile 有效对于 Telnet Terminal 用户, 仅授权属性 idle-cut user-role work-directory 有效对于 http https 用户, 仅授权属性 user-role 有效对于 SSH FTP 用户, 仅授权属性 idle-cut user-role work-directory 有效对于其它类型的本地用户, 所有授权属性均无效用户组的授权属性对于组内的所有本地用户生效, 因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理 1-30

35 本地用户视图下未配置的授权属性继承所属用户组的授权属性配置, 但是如果本地用户视图与所属的用户组视图下都配置了某授权属性, 则本地用户视图下的授权属性生效在多台设备组成 IRF 的环境下, 为了避免 IRF 系统进行主从倒换后 FTP/SFTP/SCP 用户无法正常登录, 建议用户在指定工作目录时不要携带 slot 信息为确保本地用户仅使用本命令指定的授权用户角色, 请先使用 undo authorization-attribute user-role 命令删除该用户已有的缺省用户角色被授权安全日志管理员的本地用户登录设备后, 仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令, 具体命令可通过 display role name security-audit 命令查看安全日志文件管理相关命令的介绍, 请参见网络管理与监控中的信息中心文件系统管理相关命令的介绍, 请参见基础配置命令参考中的文件系统管理为本地用户授权安全日志管理员角色时, 需要注意的是 : 安全日志管理员角色和其它用户角色互斥 : 为一个用户授权安全日志管理员角色时, 系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色 ; 如果已经授权当前用户安全日志管理员角色, 再授权其它的用户角色时, 系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色系统中的最后一个安全日志管理员角色的本地用户不可被删除举例 # 配置网络接入类本地用户 abc 的授权 VLAN 为 VLAN 2 [Sysname] local-user abc class network [Sysname-luser-network-abc] authorization-attribute vlan 2 # 配置用户组 abc 的授权 VLAN 为 VLAN 3 [Sysname] user-group abc [Sysname-ugroup-abc] authorization-attribute vlan 3 # 配置设备管理类本地用户 xyz 的授权用户角色为 security-audit( 安全日志管理员 ) [Sysname] local-user xyz class manage [Sysname-luser-manage-xyz]authorization-attribute user-role security-audit This operation will delete all other roles of the user. Are you sure? [Y/N]:y display local-user display user-group bind-attribute bind-attribute 命令用来设置用户的绑定属性 undo bind-attribute 命令用来删除指定的用户绑定属性 1-31

36 命令 bind-attribute { ip ip-address location interface interface-type interface-number mac mac-address vlan vlan-id } * undo bind-attribute { ip location mac vlan } * 缺省情况未设置用户的绑定属性视图本地用户视图缺省用户角色 ip ip-address: 指定用户的 IP 地址该绑定属性仅适用于 lan-access 类型中的 802.1X 用户 location interface interface-type interface-number: 指定用户绑定的接口其中 interface-type interface-number 表示接口类型和接口编号如果用户接入的接口与此处绑定的接口不一致, 则认证失败该绑定属性仅适用于 lan-access 类型的用户 mac mac-address: 指定用户的 MAC 地址其中,mac-address 为 H-H-H 格式该绑定属性仅适用于 lan-access 类型的用户 vlan vlan-id: 指定用户所属于的 VLAN 其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 该绑定属性仅适用于 lan-access 类型的用户使用指导设备对用户进行本地认证时, 会检查用户的实际属性与配置的绑定属性是否一致, 如果不一致或用户未携带该绑定属性则认证失败绑定属性的检测不区分用户的接入服务类型, 因此在配置绑定属性时要考虑某接入类型的用户是否需要绑定某些属性例如, 只有支持 IP 地址上传功能的 802.1X 认证用户才可以配置绑定 IP 地址 ; 对于不支持 IP 地址上传功能的 MAC 地址认证用户, 如果配置了绑定 IP 地址, 则会导致该用户的本地认证失败在绑定接口属性时要考虑绑定接口类型是否合理对于不同接入类型的用户, 请按照如下方式进行绑定接口属性的配置 : 802.1X 用户 : 配置绑定的接口为开启 802.1X 的二层以太网接口 MAC 地址认证用户 : 配置绑定的接口为开启 MAC 地址认证的二层以太网接口 Web 认证用户 : 配置绑定的接口为开启 Web 认证的二层以太网接口举例 # 配置网络接入类本地用户 abc 的绑定 IP 为 [Sysname] local-user abc class network [Sysname-luser-network-abc] bind-attribute ip display local-user 1-32

37 1.2.4 description description 命令用来配置网络接入类本地用户的描述信息 undo description 命令用来恢复缺省情况命令 description text undo description 缺省情况未配置网络接入类本地用户的描述信息视图网络接入类本地用户视图缺省用户角色 text: 用户的描述信息, 为 1~255 个字符的字符串, 区分大小写举例 # 配置网络接入类本地用户 123 的描述信息为 Manager of MSC company [Sysname] local-user 123 class network [Sysname-luser-network-123] description Manager of MSC company display local-user display local-user display local-user 命令用来显示本地用户的配置信息和在线用户数的统计信息命令 display local-user [ class { manage network } idle-cut { disable enable } service-type { ftp http https lan-access ssh telnet terminal } state { active block } user-name user-name class { manage network } vlan vlan-id ] 视图任意视图缺省用户角色 network-operator class: 显示指定用户类别的本地用户信息 manage: 设备管理类用户 1-33

38 network: 网络接入类用户 idle-cut { disable enable }: 显示开启或关闭闲置切断功能的本地用户信息其中,disable 表示未启用闲置切断功能的本地用户 ;enable 表示启用了闲置切断功能并配置了闲置切断时间的本地用户 service-type: 显示指定用户类型的本地用户信息 ftp:ftp 用户用户用户 lan-access:lan-access 类型用户 ( 主要指以太网接入用户, 比如 802.1X 用户 ) ssh:ssh 用户 telnet:telnet 用户 terminal: 从 Console 口登录的终端用户 state { active block }: 显示处于指定状态的本地用户信息其中,active 表示用户处于活动状态, 即系统允许该用户请求网络服务 ;block 表示用户处于阻塞状态, 即系统不允许用户请求网络服务 user-name user-name: 显示指定用户名的本地用户信息其中,user-name 表示本地用户名, 为 1~55 个字符的字符串, 区分大小写, 不能携带域名, 不能包括符号 \ / : *? < > 且不能为 a al 或 all vlan vlan-id: 显示指定 VLAN 内的所有本地用户信息其中,vlan-id 为 VLAN 编号, 取值范围为 1~ 4094 使用指导如果不指定任何参数, 则显示所有本地用户信息举例 # 显示所有本地用户的相关信息 <Sysname> display local-user Device management user root: State: Active Service type: SSH/Telnet/Terminal Access limit: Enabled Max access number: 3 Current access number: 1 User group: system Bind attributes: Authorization attributes: Work directory: flash: User role list: Password control configurations: Password aging: 3 days Network access user jj: State: Service type: User group: Bind attributes: Active LAN-access system 1-34

39 IP address: Location bound: GigabitEthernet1/0/1 MAC address: VLAN ID: 2 Authorization attributes: Idle timeout: 33 minutes Work directory: flash: ACL number: 2000 User profile: pp User role list: network-operator, level-0, level-3 Description: A network access user from company cc Validity period: Start date and time: 2016/01/01-00:01:01 Expiration date and time: 2017/01/01-01:01:01 Total 2 local users matched. 表 1-2 display local-user 命令显示信息描述表字段描述本地用户状态 State Service type Access limit Max access number Current access number User group Bind attributes IP address Location bound MAC address VLAN ID Authorization attributes Active: 活动状态 Block: 阻塞状态本地用户使用的服务类型是否对使用该用户名的接入用户数进行限制最大接入用户数使用该用户名的当前接入用户数本地用户所属的用户组本地用户的绑定属性本地用户的 IP 地址本地用户绑定的端口本地用户的 MAC 地址本地用户绑定的 VLAN 本地用户的授权属性 Idle timeout 本地用户闲置切断时间 ( 单位为分钟 ) Session-timeout 本地用户的会话超时时间 ( 单位为分钟 ) Work directory ACL number VLAN ID User profile User role list FTP/SFTP/SCP 用户可以访问的目录本地用户授权 ACL 本地用户授权 VLAN 本地用户授权 User Profile 本地用户的授权用户角色列表 1-35

40 字段描述 Password control configurations Password aging Password length Password composition Password complexity Maximum login attempts Action for exceeding login attempts Description Validity period Start date and time Expiration date and time Total 2 local users matched. 本地用户的密码控制属性密码老化时间密码最小长度密码组合策略 ( 密码元素的组合类型至少要包含每种元素的个数 ) 密码复杂度检查策略 ( 是否包含用户名或者颠倒的用户名 ; 是否包含三个或以上相同字符 ) 用户最大登录尝试次数登录尝试次数达到设定次数后的用户帐户锁定行为网络接入类本地用户的描述信息网络接入类本地用户有效期网络接入类本地用户开始生效的日期和时间网络接入类本地用户的失效日期和时间总计有 2 个本地用户匹配 display user-group display user-group 命令用来显示用户组的配置信息命令 display user-group { all name group-name } 视图任意视图缺省用户角色 network-operator all: 显示所有用户组的配置信息 name group-name: 显示指定用户组的配置 group-name 表示用户组名称, 为 1~32 个字符的字符串, 不区分大小写举例 # 显示所有用户组的相关配置 <Sysname> display user-group all Total 2 user groups matched. User group: system Authorization attributes: 1-36

41 Work directory: flash: User group: jj Authorization attributes: Idle timeout: 2 minutes Work directory: flash:/ ACL number: 2000 VLAN ID: 2 User profile: pp Password control configurations: Password aging: 2 days 表 1-3 display user-group 命令显示信息描述表字段描述 Total 2 user groups matched. User group Authorization attributes 总计有 2 个用户组匹配用户组名称授权属性信息 Idle timeout 闲置切断时间 ( 单位 : 分钟 ) Session-timeout 会话超时时间 ( 单位 : 分钟 ) Work directory ACL number VLAN ID User profile Password control configurations Password aging Password length Password composition Password complexity Maximum login attempts Action for exceeding login attempts FTP/SFTP/SCP 用户可以访问的目录授权 ACL 号授权 VLAN ID 授权 User Profile 名称用户组的密码控制属性密码老化时间密码最小长度密码组合策略 ( 密码元素的组合类型至少要包含每种元素的个数 ) 密码复杂度检查策略 ( 是否包含用户名或者颠倒的用户名 ; 是否包含三个或以上相同字符 ) 用户最大登录尝试次数登录尝试次数达到设定次数后的用户帐户锁定行为 group group 命令用来设置本地用户所属的用户组 undo group 命令用来恢复缺省配置命令 group group-name undo group 1-37

42 缺省情况本地用户属于用户组 system 视图本地用户视图缺省用户角色 group-name: 用户组名称, 为 1~32 个字符的字符串, 不区分大小写举例 # 设置设备管理类本地用户 111 所属的用户组为 abc [Sysname] local-user 111 class manage [Sysname-luser-manage-111] group abc display local-user local-user local-user 命令用来添加本地用户, 并进入本地用户视图如果指定的本地用户已经存在, 则直接进入本地用户视图 undo local-user 命令用来删除指定的本地用户命令 local-user user-name [ class { manage network } ] undo local-user { user-name class { manage network } all [ service-type { ftp http https lan-access ssh telnet terminal } class { manage network } ] } 缺省情况不存在本地用户视图系统视图缺省用户角色 user-name: 表示本地用户名, 为 1~55 个字符的字符串, 区分大小写用户名不能携带域名, 不能包括符号 \ / : *? < > 且不能为 a al 或 all class: 指定本地用户的类别若不指定本参数, 则表示设备管理类用户 manage: 设备管理类用户, 用于登录设备, 对设备进行配置和监控此类用户可以提供 ftp http https telnet ssh terminal 服务 1-38

43 network: 网络接入类用户, 用于通过设备接入网络, 访问网络资源此类用户可以提供 lan-access 服务 all: 所有的用户 service-type: 指定用户的类型 ftp: 表示 FTP 类型用户 http: 表示 HTTP 类型用户 https: 表示 HTTPS 类型用户 lan-access: 表示 lan-access 类型用户 ( 主要指以太网接入用户, 比如 802.1X 用户 ) ssh: 表示 SSH 用户 telnet: 表示 Telnet 用户 terminal: 表示从 Console 口登录的终端用户举例 # 添加名称为 user1 的设备管理类本地用户 [Sysname] local-user user1 class manage [Sysname-luser-manage-user1] # 添加名称为 user2 的网络接入类本地用户 [Sysname] local-user user2 class network [Sysname-luser-network-user2] display local-user service-type local-user auto-delete enable local-user auto-delete enable 命令用来开启本地用户过期自动删除功能 undo local-user auto-delete enable 命令用来恢复缺省情况命令 local-user auto-delete enable undo local-user auto-delete enable 缺省情况本地用户过期自动删除功能处于关闭状态视图系统视图缺省用户角色 1-39

44 使用指导本地用户过期自动删除功能处于开启状态时, 设备将定时 (10 分钟, 不可配 ) 检查网络接入类本地用户是否过期并自动删除过期的本地用户举例 # 开启本地用户过期自动删除功能 [Sysname] local-user auto-delete enable validity-datetime password password 命令用来设置本地用户的密码 undo password 命令用来恢复缺省情况命令对于网络接入类本地用户 : password { cipher simple } string undo password 对于设备管理类本地用户 : 非 FIPS 模式下 : password [ { hash simple } string ] undo password FIPS 模式下 : password 缺省情况对于网络接入类本地用户 : 不存在本地用户密码, 即本地用户认证时无需输入密码, 只要用户名有效且其它属性验证通过即可认证成功对于设备管理类本地用户 : 非 FIPS 模式下 : 不存在本地用户密码, 即本地用户认证时无需输入密码, 只要用户名有效且其它属性验证通过即可认证成功 FIPS 模式下 : 不存在本地用户密码, 但本地用户认证时不能成功视图本地用户视图缺省用户角色 1-40

45 cipher: 表示以密文方式设置密码 hash: 表示以哈希方式设置密码 simple: 表示以明文方式设置密码, 该密码将以密文形式存储 string: 密码字符串, 区分大小写非 FIPS 模式下, 明文密码为 1~63 个字符的字符串 ; 哈希密码为 1~110 个字符的字符串 ; 密文密码为 1~117 个字符的字符串 FIPS 模式下, 明文密码为 15~ 63 个字符的字符串, 密码元素的最少组合类型为 4( 必须包括数字大写字母小写字母以及特殊字符 ) 使用指导如果不指定任何参数, 则表示以交互式设置明文形式的密码该方式仅设备管理类本地用户支持在非 FIPS 模式下, 可以不为本地用户设置密码若不为本地用户设置密码, 则该用户认证时无需输入密码, 只要用户名有效且其它属性验证通过即可认证成功为提高用户帐户的安全性, 建议设置本地用户密码在 FIPS 模式下, 对于设备管理类本地用户, 必须且只能通过交互式方式设置明文密码, 否则用户的本地认证不能成功举例 # 设置设备管理类本地用户 user1 的密码为明文 TESTplat&! [Sysname] local-user user1 class manage [Sysname-luser-manage-user1] password simple TESTplat&! # 以交互式方式设置设备管理类本地用户 test 的密码 [Sysname] local-user test class manage [Sysname-luser-manage-test] password Password: confirm : # 设置网络接入类本地用户 user2 的密码为明文 TESTuser&! [Sysname] local-user user1 class network [Sysname-luser-network-user1] password simple TESTuser&! display local-user service-type service-type 命令用来设置用户可以使用的服务类型 undo service-type 命令用来删除用户可以使用的服务类型命令非 FIPS 模式下 : service-type { ftp lan-access { http https ssh telnet terminal } * } undo service-type { ftp lan-access { http https ssh telnet terminal } * } 1-41

46 FIPS 模式下 : service-type { lan-access { https ssh terminal } * } undo service-type { lan-access { https ssh terminal } * } 缺省情况系统不对用户授权任何服务, 即用户不能使用任何服务视图本地用户视图缺省用户角色 ftp: 指定用户可以使用 FTP 服务若授权 FTP 服务, 授权目录可以通过 authorization-attribute work-directory 命令来设置 http: 指定用户可以使用 HTTP 服务 https: 指定用户可以使用 HTTPS 服务 lan-access: 指定用户可以使用 lan-access 服务主要指以太网接入, 比如用户可以通过 802.1X 认证接入 ssh: 指定用户可以使用 SSH 服务 telnet: 指定用户可以使用 Telnet 服务 terminal: 指定用户可以使用 terminal 服务 ( 即从 Console 口登录 ) 使用指导可以通过多次执行本命令, 设置用户可以使用多种服务类型举例 # 指定设备管理类用户可以使用 Telnet 服务和 FTP 服务 [Sysname] local-user user1 class manage [Sysname-luser-manage-user1] service-type telnet [Sysname-luser-manage-user1] service-type ftp display local-user state (Local user view) state 命令用来设置当前本地用户的状态 undo state 命令用来恢复缺省情况命令 state { active block } undo state 1-42

47 缺省情况本地用户处于活动状态视图本地用户视图缺省用户角色 active: 指定当前本地用户处于活动状态, 即系统允许当前本地用户请求网络服务 block: 指定当前本地用户处于阻塞状态, 即系统不允许当前本地用户请求网络服务举例 # 设置设备管理类本地用户 user1 处于阻塞状态 [Sysname] local-user user1 class manage [Sysname-luser-manage-user1] state block display local-user user-group user-group 命令用来创建用户组, 并进入用户组视图如果指定的用户组已经存在, 则直接进入用户组视图 undo user-group 命令用来删除指定的用户组命令 user-group group-name undo user-group group-name 缺省情况存在一个用户组, 名称为 system 视图系统视图缺省用户角色 group-name: 用户组名称, 为 1~32 个字符的字符串, 不区分大小写使用指导用户组是一个本地用户的集合, 某些需要集中管理的属性可在用户组中统一配置和管理不允许删除一个包含本地用户的用户组不能删除系统中存在的默认用户组 system, 但可以修改该用户组的配置 1-43

48 举例 # 创建名称为 abc 的用户组并进入其视图 [Sysname] user-group abc [Sysname-ugroup-abc] display user-group validity-datetime validity-datetime 命令用来配置网络接入类本地用户的有效期 undo validity-datetime 命令用来恢复缺省情况命令 validity-datetime { from start-date start-time to expiration-date expiration-time from start-date start-time to expiration-date expiration-time } undo validity-datetime 缺省情况未限制本地用户的有效期, 该用户始终有效视图网络接入类本地用户视图缺省用户角色 from: 指定用户有效期的开始日期和时间若不指定该参数, 则表示仅限定用户有效期的结束日期和时间 start-date: 用户有效期的开始日期, 格式为 MM/DD/YYYY( 月 / 日 / 年 ) 或者 YYYY/MM/DD( 年 / 月 / 日 ),MM 的取值范围为 1~12,DD 的取值范围与月份有关,YYYY 的取值范围为 2000~2035 start-time: 用户有效期的开始时间, 格式为 HH:MM:SS( 小时 : 分钟 : 秒 ),HH 取值范围为 0~23, MM 和 SS 取值范围为 0~59 如果要设置成整分, 则可以不输入秒 ; 如果要设置成整点, 则可以不输入分和秒比如将 start-time 参数设置为 0 表示零点 to: 指定用户有效期的结束日期和结束时间若不指定该参数, 则表示仅限定用户有效期的开始日期和时间 expiration-date: 用户有效期的结束日期, 格式为 MM/DD/YYYY( 月 / 日 / 年 ) 或者 YYYY/MM/DD ( 年 / 月 / 日 ),MM 的取值范围为 1~12,DD 的取值范围与月份有关,YYYY 的取值范围为 2000~ 2035 expiration-time: 用户有效期的结束时间, 格式为 HH:MM:SS( 小时 : 分钟 : 秒 ),HH 取值范围为 0~ 23,MM 和 SS 取值范围为 0~59 如果要设置成整分, 则可以不输入秒 ; 如果要设置成整点, 则可以不输入分和秒比如将 expiration-time 参数设置为 0 表示零点 1-44

49 使用指导举例网络接入类本地用户在有效期内才能认证成功若同时指定了有效期的开始时间和结束时间, 则有效期的结束时间必须晚于起始时间如果仅指定了有效期的开始时间, 则表示该时间到达后, 用户一直有效如果仅指定了有效期的结束时间, 则表示该时间到达前, 用户一直有效 # 配置网络接入类本地用户 123 的有效期为 2015/10/01 00:00:00 到 2016/10/02 12:00:00 [Sysname] local-user 123 class network [Sysname-luser-network-123] validity-datetime from 2015/10/01 00:00:00 to 2016/10/02 12:00:00 display local-user 1.3 RADIUS 配置命令 aaa device-id 命令 aaa device-id 命令用来配置设备 ID undo aaa debice-id 命令用来恢复缺省情况 aaa device-id device-id undo aaa device-id 缺省情况视图设备 ID 为 0 系统视图缺省用户角色 device-id: 设备 ID, 取值范围为 1~255 使用指导举例 RADIUS 计费过程使用 Acct-Session-Id 属性作为用户的计费 ID 设备使用系统时间随机数以及设备 ID 为每个在线用户生成一个唯一的 Acct-Session-Id 值修改后的设备 ID 仅对新上线用户生效 # 配置设备 ID 为 1 [Sysname] aaa device-id

50 1.3.2 accounting-on enable accounting-on enable 命令用来开启 accounting-on 功能 undo accounting-on enable 命令用来关闭 accounting-on 功能命令 accounting-on enable [ interval interval send send-times ] * undo accounting-on enable 缺省情况 accounting-on 功能处于关闭状态视图 RADIUS 方案视图缺省用户角色 interval interval: 指定 accounting-on 报文重发时间间隔, 取值范围为 1~15, 单位为秒, 缺省值为 3 send send-times: 指定 accounting-on 报文的最大发送次数, 取值范围为 1~255, 缺省值为 50 使用指导 accounting-on 功能使得整个设备在重启之后通过发送 accounting-on 报文通知该方案所使用的 RADIUS 计费服务器, 要求 RADIUS 服务器停止计费且强制该设备的用户下线开启 accounting-on 功能后, 请执行 save 命令保证 accounting-on 功能在整个设备下次重启后生效关于命令的详细介绍请参见基础配置命令参考中的配置文件管理本命令设置的 accounting-on 参数会立即生效举例 # 在 RADIUS 方案 radius1 中, 开启 accounting-on 功能并配置 accounting-on 报文重发时间间隔为 5 秒 accounting-on 报文的最大发送次数为 15 次 [Sysname] radius scheme radius1 [Sysname-radius-radius1] accounting-on enable interval 5 send 15 display radius scheme accounting-on extended accounting-on extended 命令用来开启 accounting-on 扩展功能 undo accounting-on extended 命令用来关闭 accounting-on 扩展功能命令 accounting-on extended undo accounting-on extended 1-46

展开

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas

目录 1 IPv6 快速转发 IPv6 快速转发配置命令 display ipv6 fast-forwarding aging-time display ipv6 fast-forwarding cache ipv6 fas 目录 1 IPv6 快速转发 1-1 1.1 IPv6 快速转发配置命令 1-1 1.1.1 display ipv6 fast-forwarding aging-time 1-1 1.1.2 display ipv6 fast-forwarding cache 1-1 1.1.3 ipv6 fast-forwarding aging-time 1-3 1.1.4 ipv6 fast-forwarding