1.2.1 access-limit authorization-attribute (Local user view/user group view) bind-attribute company descri

Size: px

Start display at page:

Download "1.2.1 access-limit authorization-attribute (Local user view/user group view) bind-attribute company descri"

撮彤董
5 years ago
Views:

1 目录 1 AAA ISP 域中实现 AAA 配置命令 aaa nas-id profile aaa session-limit accounting command accounting default accounting dual-stack accounting lan-access accounting login accounting portal accounting quota-out accounting start-fail accounting update-fail authentication default authentication lan-access authentication login authentication portal authentication super authorization command authorization default authorization lan-access authorization login authorization portal authorization-attribute (ISP domain view) display domain domain domain default enable domain if-unknown nas-id bind vlan service-type (ISP domain view) session-time include-idle-time state (ISP domain view) 本地用户配置命令 1-37 i

2 1.2.1 access-limit authorization-attribute (Local user view/user group view) bind-attribute company description display local-user display user-group full-name group local-guest format local-guest sender local-guest smtp-server local-guest generate local-guest send local-user local-user auto-delete enable local-user-export local-user-import password (Device management user view) password (Network access user view) phone service-type (Local user view) sponsor-department sponsor sponsor-full-name state (Local user view) user-group validity-datetime RADIUS 配置命令 aaa device-id accounting-on enable accounting-on extended attribute 15 check-mode attribute 25 car attribute 31 mac-format 1-71 ii

3 1.3.7 attribute convert (RADIUS DAE server view) attribute convert (RADIUS scheme view) attribute reject (RADIUS DAE server view) attribute reject (RADIUS scheme view) attribute remanent-volume attribute translate client data-flow-format (RADIUS scheme view) display radius scheme display radius statistics display stop-accounting-buffer (for RADIUS) key (RADIUS scheme view) nas-ip (RADIUS scheme view) port primary accounting (RADIUS scheme view) primary authentication (RADIUS scheme view) radius attribute extended radius dscp radius dynamic-author server radius nas-ip radius scheme radius session-control client radius session-control enable radius-server test-profile reset radius statistics reset stop-accounting-buffer (for RADIUS) retry retry realtime-accounting retry stop-accounting (RADIUS scheme view) secondary accounting (RADIUS scheme view) secondary authentication (RADIUS scheme view) server-load-sharing enable snmp-agent trap enable radius state primary state secondary stop-accounting-buffer enable (RADIUS scheme view) iii

4 timer quiet (RADIUS scheme view) timer realtime-accounting (RADIUS scheme view) timer response-timeout (RADIUS scheme view) user-name-format (RADIUS scheme view) vpn-instance (RADIUS scheme view) HWTACACS 配置命令 data-flow-format (HWTACACS scheme view) display hwtacacs scheme display stop-accounting-buffer (for HWTACACS) hwtacacs nas-ip hwtacacs scheme key (HWTACACS scheme view) nas-ip (HWTACACS scheme view) primary accounting (HWTACACS scheme view) primary authentication (HWTACACS scheme view) primary authorization reset hwtacacs statistics reset stop-accounting-buffer (for HWTACACS ) retry stop-accounting (HWTACACS scheme view) secondary accounting (HWTACACS scheme view) secondary authentication (HWTACACS scheme view) secondary authorization stop-accounting-buffer enable (HWTACACS scheme view) timer quiet (HWTACACS scheme view) timer realtime-accounting (HWTACACS scheme view) timer response-timeout (HWTACACS scheme view) user-name-format (HWTACACS scheme view) vpn-instance (HWTACACS scheme view) LDAP 配置命令 attribute-map authentication-server authorization-server display ldap scheme ip ipv ldap attribute-map iv

5 1.5.8 ldap scheme ldap server login-dn login-password map protocol-version search-base-dn search-scope server-timeout user-parameters RADIUS 服务器配置命令 display radius-server active-client display radius-server active-user radius-server activate radius-server client v

6 1 AAA 设备运行于 FIPS 模式时, 本特性部分配置相对于非 FIPS 模式有所变化, 具体差异请见本文相关描述有关 FIPS 模式的详细介绍请参见安全配置指导中的 FIPS 1.1 ISP 域中实现 AAA 配置命令 aaa nas-id profile aaa nas-id profile 命令用来创建 NAS-ID Profile, 并进入 NAS-ID-Profile 视图如果指定的 NAS-ID Profile 已经存在, 则直接进入 NAS-ID-Profile 视图 undo aaa nas-id profile 命令用来删除指定的 NAS-ID Profile 命令 aaa nas-id profile profile-name undo aaa nas-id profile profile-name 缺省情况不存在 NAS-ID Profile 视图系统视图缺省用户角色 profile-name:profile 名称, 为 1~31 个字符的字符串, 不区分大小写使用指导在某些应用环境中, 网络运营商需要使用接入设备发送给 RADIUS 服务器的 NAS-Identifier 属性值来获知用户的接入位置, 而用户的接入 VLAN 可标识用户的接入位置, 因此接入设备上可通过建立用户接入 VLAN 与指定的 NAS-ID 之间的绑定关系来实现接入位置信息的映射 NAS-ID Profile 用于保存 NAS-ID 和 VLAN 的绑定关系这样, 当用户上线时, 设备会将与用户接入 VLAN 匹配的 NAS-ID 填充在 RADIUS 请求报文中的 NAS-Identifier 属性中发送给 RADIUS 服务器若以上配置不存在, 则使用设备的名称作为 NAS-ID 举例 # 创建一个名称为 aaa 的 NAS-ID Profile, 并进入 NAS-ID-Profile 视图 1-1

7 [Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa] nas-id bind vlan port-security nas-id-profile( 安全命令参考 / 端口安全 ) portal nas-id-profile( 安全命令参考 /Portal) aaa session-limit aaa session-limit 命令用来配置同时在线的最大用户连接数, 即采用指定登录方式登录设备并同时在线的用户数 undo aaa session-limit 命令用来将指定登录方式的同时在线的最大用户连接数恢复为缺省情况命令非 FIPS 模式下 : aaa session-limit { ftp http https ssh telnet } max-sessions undo aaa session-limit { ftp http https ssh telnet } FIPS 模式下 : aaa session-limit { https ssh } max-sessions undo aaa session-limit { https ssh } 缺省情况同时在线的各类型最大用户连接数均为 32 视图系统视图缺省用户角色 ftp: 表示 FTP 用户 http: 表示 HTTP 用户 https: 表示 HTTPS 用户 ssh: 表示 SSH 用户 telnet: 表示 Telnet 用户 max-sessions: 允许同时在线的最大用户连接数,FTP/SSH/Telnet 用户的取值范围为 1~32, HTTP/HTTPS 用户的取值范围为 1~64 使用指导配置本命令后, 当指定类型的接入用户的用户数超过当前配置的最大连接数后, 新的接入请求将被拒绝 1-2

8 举例 # 设置同时在线的最大 FTP 用户连接数为 4 [Sysname] aaa session-limit ftp accounting command accounting command 命令用来配置命令行计费方法 undo accounting command 命令用来恢复缺省情况命令 accounting command hwtacacs-scheme hwtacacs-scheme-name undo accounting command 缺省情况命令行计费采用当前 ISP 域的缺省计费方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中,hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导命令行计费过程是指, 用户执行过的合法命令会被发送给计费服务器进行记录若未开启命令行授权功能, 则计费服务器对用户执行过的所有合法命令进行记录 ; 若开启了命令行授权功能, 则计费服务器仅对授权通过的命令进行记录目前, 仅支持使用远程 HWTACACS 服务器完成命令行计费功能举例 # 在 ISP 域 test 下, 配置使用 HWTACACS 计费方案 hwtac 进行命令行计费 [Sysname] domain test [Sysname-isp-test] accounting command hwtacacs-scheme hwtac accounting default command accounting( 基础命令参考 / 登录设备 ) hwtacacs scheme 1-3

9 1.1.4 accounting default accounting default 命令用来为当前 ISP 域配置缺省的计费方法 undo accounting default 命令用来恢复缺省情况命令非 FIPS 模式下 : accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-sche me-name ] [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } undo accounting default FIPS 模式下 : accounting default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-sche me-name ] [ local ] local radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] } undo accounting default 缺省情况当前 ISP 域的缺省计费方法为 local 视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中,hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导当前 ISP 域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用, 但是如果某类型的用户不支持指定的计费方法, 则该计费方法对于这类用户不能生效本地计费只是为了支持本地用户的连接数管理, 没有实际的计费相关的统计功能 1-4

10 可以指定多个备选的计费方法, 在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 计费, 若 RADIUS 计费无效则进行本地计费, 若本地计费也无效则不进行计费举例 # 在 ISP 域 test 下, 配置缺省计费方法为使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting default radius-scheme rd local hwtacacs scheme local-user radius scheme accounting dual-stack accounting dual-stack 命令用来配置双协议栈用户的计费方式 undo accounting dual-stack 命令用来恢复缺省情况命令 accounting dual-stack { merge separate } undo accounting dual-stack 缺省情况双协议栈用户的计费方式为统一计费视图 ISP 域视图缺省用户角色 merge: 统一计费方式, 表示将双协议栈用户的 IPv4 流量和 IPv6 流量统一汇总后上送给计费服务器 separate: 分别计费方式, 表示将双协议栈用户的 IPv4 流量和 IPv6 流量分别上送给计费服务器使用指导双协议栈用户的主机上同时支持 IPv4 和 IPv6 两种协议, 可能产生两种协议类型的流量分别计费模式通常应用于 IPv4 流量费率和 IPv6 流量费率不一样的情况 ; 统一计费模式通常应用于不需要区分 IPv4 流量和 IPv6 流量的情况举例 # 在 ISP 域 test 下, 配置双栈用户的计费方式为分别计费 1-5

11 [Sysname] domain test [Sysname-isp-test] accounting dual-stack separate accounting lan-access accounting lan-access 命令用来为 lan-access 用户配置计费方法 undo accounting lan-access 命令用来恢复缺省情况命令非 FIPS 模式下 : accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ local ] [ none ] } undo accounting lan-access FIPS 模式下 : accounting lan-access { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] local radius-scheme radius-scheme-name [ local ] } undo accounting lan-access 缺省情况 lan-access 用户采用当前 ISP 域的缺省计费方法视图 ISP 域视图缺省用户角色 broadcast: 指定广播 RADIUS 方案, 即同时向指定的两个 RADIUS 方案中的计费服务器发送计费请求 radius-scheme radius-scheme-name1: 表示主送计费 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 ; radius-scheme radius-scheme-name2: 表示抄送计费 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 1-6

12 使用指导可以指定多个备选的计费方法在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 计费, 若 RADIUS 计费无效则进行本地计费, 若本地计费也无效则不进行计费当指定 broadcast 关键字时, 将同时向指定的两个 RADIUS 方案里的主计费服务器发送计费请求, 若某 RADIUS 方案里的主计费服务器不可达, 则按照配置顺序依次尝试向该 RADIUS 方案里的从计费服务器发送计费请求主送计费方案计费成功时, 表示用户计费成功 ; 抄送计费方案的计费结果对用户无影响举例 # 在 ISP 域 test 下, 为 lan-access 用户配置计费方法为 local [Sysname] domain test [Sysname-isp-test] accounting lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting lan-access radius-scheme rd local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd1 和 rd2 进行广播计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting lan-access broadcast radius-scheme rd1 radius-scheme rd2 local accounting default local-user radius scheme accounting login accounting login 命令用来为 login 用户配置计费方法 undo accounting login 命令用来恢复缺省情况命令非 FIPS 模式下 : accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme -name ] [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } undo accounting login FIPS 模式下 : 1-7

13 accounting login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme -name ] [ local ] local radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] } undo accounting login 缺省情况 login 用户采用当前 ISP 域的缺省计费方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中,hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导不支持对 FTP SFTP 以及 SCP 类型的 login 用户进行计费可以指定多个备选的计费方法在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 计费, 若 RADIUS 计费无效则进行本地计费, 若本地计费也无效则不进行计费举例 # 在 ISP 域 test 下, 为 login 用户配置计费方法为 local [Sysname] domain test [Sysname-isp-test] accounting login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting login radius-scheme rd local accounting default hwtacacs scheme local-user 1-8

14 radius scheme accounting portal accounting portal 命令用来为 Portal 用户配置计费方法 undo accounting portal 命令用来恢复缺省情况命令非 FIPS 模式下 : accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ local ] [ none ] } undo accounting portal FIPS 模式下 : accounting portal { broadcast radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] local radius-scheme radius-scheme-name [ local ] } undo accounting portal 缺省情况 Portal 用户采用当前 ISP 域的缺省计费方法视图 ISP 域视图缺省用户角色 broadcast: 指定广播 RADIUS 方案, 即同时向指定的两个 RADIUS 方案中的计费服务器发送计费请求 radius-scheme radius-scheme-name1: 表示主送计费 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 ; radius-scheme radius-scheme-name2: 表示抄送计费 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导可以指定多个备选的计费方法, 在当前的计费方法无效时按照配置顺序尝试使用备选的方法完成计费例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 计费, 若 RADIUS 计费无效则进行本地计费, 若本地计费也无效则不进行计费 1-9

15 当指定 broadcast 关键字时, 将同时向指定的两个 RADIUS 方案里的主计费服务器发送计费请求, 若某 RADIUS 方案里的主计费服务器不可达, 则按照配置顺序依次尝试向该 RADIUS 方案里的从计费服务器发送计费请求主送计费方案计费成功时, 表示用户计费成功 ; 抄送计费方案的计费结果对用户无影响举例 # 在 ISP 域 test 下, 为 Portal 用户配置计费方法为 local [Sysname] domain test [Sysname-isp-test] accounting portal local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting portal radius-scheme rd local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd1 和 rd2 进行广播计费, 并且使用 local 作为备选计费方法 [Sysname] domain test [Sysname-isp-test] accounting portal broadcast radius-scheme rd1 radius-scheme rd2 local accounting default local-user radius scheme accounting quota-out accounting quota-out 命令用来配置用户计费流量配额耗尽策略 undo accounting quota-out 命令用来恢复缺省情况命令 accounting quota-out { offline online } undo accounting quota-out 缺省情况用户的计费流量配额耗尽后将被强制下线视图 ISP 域视图缺省用户角色 offline: 当用户的整体流量配额耗尽后, 强制用户下线 1-10

16 online: 当用户的整体流量配额耗尽后, 允许用户保持在线状态举例 # 在 ISP 域 test 下, 配置用户计费流量配额耗尽策略为 : 当流量配额耗尽后用户仍能保持在线状态 [Sysname] domain test [Sysname-isp-test] accounting quota-out online accounting start-fail accounting start-fail 命令用来配置用户计费开始失败策略, 即设备向计费服务器发送计费开始请求失败后, 是否允许用户接入网络 undo accounting start-fail 命令用来恢复缺省情况命令 accounting start-fail { offline online } undo accounting start-fail 缺省情况如果用户计费开始失败, 允许用户保持在线状态视图 ISP 域视图缺省用户角色 offline: 强制用户下线 online: 允许用户保持在线状态举例 # 在 ISP 域 test 下, 配置计费开始失败策略为 : 用户计费开始失败时允许用户保持在线状态 [Sysname] domain test [Sysname-isp-test] accounting start-fail online accounting update-fail accounting update-fail 命令用来配置用户计费更新失败策略, 即设备向计费服务器发送用户的计费更新报文失败时, 是否允许用户接入网络 undo accounting update-fail 命令用来恢复缺省情况命令 accounting update-fail { [ max-times max-times ] offline online } undo accounting update-fail 1-11

17 缺省情况如果用户计费更新失败, 允许用户保持在线状态视图 ISP 域视图缺省用户角色 max-times max-times: 允许用户连续计费更新失败的次数, 取值范围 1~255, 缺省值为 1 offline: 如果用户连续计费更新失败的次数达到了指定的次数, 则强制用户下线 online: 如果用户计费更新失败, 允许用户保持在线状态举例 # 在 ISP 域 test 下, 配置计费更新失败策略为 : 用户计费更新失败时允许用户保持在线状态 [Sysname] domain test [Sysname-isp-test] accounting update-fail online authentication default authentication default 命令用来为当前 ISP 域配置缺省的认证方法 undo authentication default 命令用来为恢复缺省情况命令非 FIPS 模式下 : authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-sche me-name ] [ local ] [ none ] ldap-scheme ldap-scheme-name [ local ] [ none ] local [ none ] none radius-scheme rad ius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } undo authentication default FIPS 模式下 : authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-sche me-name ] [ local ] ldap-scheme ldap-scheme-name [ local ] local radius-scheme radius-scheme-name [ hwta cacs-scheme hwtacacs-scheme-name ] [ local ] } undo authentication default 缺省情况当前 ISP 域的缺省认证方法为 local 1-12

18 视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中,hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 ldap-scheme ldap-scheme-name: 指定 LDAP 方案其中 ldap-scheme-name 表示 LDAP 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导当前 ISP 域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用, 但是如果某类型的用户不支持指定的认证方法, 则该认证方法对于这类用户不能生效可以指定多个备选的认证方法, 在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 认证, 若 RADIUS 认证无效则进行本地认证, 若本地认证也无效则不进行认证举例 # 在 ISP 域 test 下, 配置缺省认证方法为使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备选认证方法 [Sysname] domain test [Sysname-isp-test] authentication default radius-scheme rd local hwtacacs scheme ldap scheme local-user radius scheme authentication lan-access authentication lan-access 命令用来为 lan-access 用户配置认证方法 undo authentication lan-access 命令用来恢复缺省情况命令非 FIPS 模式下 : 1-13

19 authentication lan-access { ldap-scheme ldap-scheme-name [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ local ] [ none ] } undo authentication lan-access FIPS 模式下 : authentication lan-access { ldap-scheme ldap-scheme-name [ local ] local radius-scheme radius-scheme-name [ local ] } undo authentication lan-access 缺省情况 lan-access 用户采用当前 ISP 域的缺省认证方法视图 ISP 域视图缺省用户角色 ldap-scheme ldap-scheme-name: 指定 LDAP 方案其中 ldap-scheme-name 表示 LDAP 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导可以指定多个备选的认证方法, 在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 认证, 若 RADIUS 认证无效则进行本地认证, 若本地认证也无效则不进行认证举例 # 在 ISP 域 test 下, 为 lan-access 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备选认证方法 [Sysname] domain test [Sysname-isp-test] authentication lan-access radius-scheme rd local authentication default hwtacacs scheme 1-14

20 ldap scheme local-user radius scheme authentication login authentication login 命令用来为 login 用户配置认证方法 undo authentication login 命令用来恢复缺省情况命令非 FIPS 模式下 : authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme -name ] [ local ] [ none ] ldap-scheme ldap-scheme-name [ local ] [ none ] local [ none ] none radius-scheme radius-scheme-name [ hwtacacs-scheme h wtacacs-scheme-name ] [ local ] [ none ] } undo authentication login FIPS 模式下 : authentication login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme -name ] [ local ] ldap-scheme ldap-scheme-name [ local ] local radius-s cheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] } undo authentication login 缺省情况 login 用户采用当前 ISP 域的缺省认证方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中,hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 ldap-scheme ldap-scheme-name: 指定 LDAP 方案其中 ldap-scheme-name 表示 LDAP 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 1-15

21 使用指导可以指定多个备选的认证方法, 在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 认证, 若 RADIUS 认证无效则进行本地认证, 若本地认证也无效则不进行认证举例 # 在 ISP 域 test 下, 为 login 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备选认证方法 [Sysname] domain test [Sysname-isp-test] authentication login radius-scheme rd local authentication default hwtacacs scheme ldap scheme local-user radius scheme authentication portal authentication portal 命令用来为 Portal 用户配置认证方法 undo authentication portal 命令用来恢复缺省情况命令非 FIPS 模式下 : authentication portal { ldap-scheme ldap-scheme-name [ local ] [ none ] local [ none ] no ne radius-scheme radius-scheme-name [ local ] [ none ] } undo authentication portal FIPS 模式下 : authentication portal { ldap-scheme ldap-scheme-name [ local ] local radius-scheme radi us-scheme-name [ local ] } undo authentication portal 缺省情况 Portal 用户采用当前 ISP 域的缺省认证方法视图 ISP 域视图 1-16

22 缺省用户角色 ldap-scheme ldap-scheme-name: 指定 LDAP 方案其中 ldap-scheme-name 表示 LDAP 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导可以指定多个备选的认证方法, 在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 认证, 若 RADIUS 认证无效则进行本地认证, 若本地认证也无效则不进行认证举例 # 在 ISP 域 test 下, 为 Portal 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication portal local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备选认证方法 [Sysname] domain test [Sysname-isp-test] authentication portal radius-scheme rd local authentication default ldap scheme local-user radius scheme authentication super authentication super 命令用来配置用户角色切换认证方法 undo authentication super 命令用来恢复缺省情况命令 authentication super { hwtacacs-scheme hwtacacs-scheme-name radius-scheme radius-scheme -name } * undo authentication super 1-17

23 缺省情况用户角色切换认证采用当前 ISP 域的缺省认证方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中,hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导切换用户角色是指在不退出当前登录不断开当前连接的前提下修改用户的用户角色, 改变用户所拥有的命令行权限为了保证切换操作的安全性, 需要在用户执行用户角色切换时进行身份认证设备支持本地和远程两种认证方式, 关于用户角色切换的详细介绍请参见基础配置指导中的 RBAC 可以指定一个备选的认证方法, 在当前的认证方法无效时尝试使用备选的方法完成认证举例 # 在 ISP 域 test 下, 配置使用 HWTACACS 方案 tac 进行用户角色切换认证 [Sysname] super authentication-mode scheme [Sysname] domain test [Sysname-isp-test] authentication super hwtacacs-scheme tac authentication default hwtacacs scheme radius scheme authorization command authorization command 命令用来配置命令行授权方法 undo authorization command 命令用来恢复缺省情况命令非 FIPS 模式下 : authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] local [ n one ] none } 1-18

24 undo authorization command FIPS 模式下 : authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local ] local } undo authorization command 缺省情况命令行授权采用当前 ISP 域的缺省授权方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中,hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地授权 none: 不授权用户执行角色所允许的命令时, 无须接受授权服务器的检查使用指导命令行授权是指, 用户执行的每一条命令都需要接受授权服务器的检查, 只有授权成功的命令才被允许执行用户登录后可以执行的命令受登录授权的用户角色和命令行授权的用户角色的双重限制, 即, 仅登录授权的用户角色和命令行授权的用户角色均允许执行的命令行, 才能被执行需要注意的是, 命令行授权功能只利用角色中的权限规则对命令行执行权限检查, 不进行其它方面的权限检查, 例如资源控制策略等对用户采用本地命令行授权时, 设备将根据用户登录设备时输入的用户名对应的本地用户配置来对用户输入的命令进行检查, 只有本地用户中配置的授权用户角色所允许的命令才被允许执行可以指定多个备选的命令行授权方法, 在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成命令授权例如,hwtacacs-scheme hwtacacs-scheme-name local none 表示, 先进行 HWTACACS 授权, 若 HWTACACS 授权无效则进行本地授权, 若本地授权也无效则不进行授权举例 # 在 ISP 域 test 下, 配置命令行授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization command local # 在 ISP 域 test 下, 配置使用 HWTACACS 方案 hwtac 进行命令行授权, 并且使用 local 作为备选授权方法 [Sysname] domain test [Sysname-isp-test] authorization command hwtacacs-scheme hwtac local 1-19

25 command authorization( 基础命令参考 / 登录设备 ) hwtacacs scheme local-user authorization default authorization default 命令用来为当前 ISP 域配置缺省的授权方法 undo authorization default 命令用来恢复缺省情况命令非 FIPS 模式下 : authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-sche me-name ] [ local ] [ none ] local [ none ] none radius-scheme radius-sch eme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] } undo authorization default FIPS 模式下 : authorization default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-sche me-name ] [ local ] local radius-scheme radius-scheme-name [ hwtacacs-sc heme hwtacacs-scheme-name ] [ local ] } undo authorization default 缺省情况当前 ISP 域的缺省授权方法为 local 视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中,hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权此时, 认证通过的 Login 用户 ( 通过 Console 口或者 Telnet FTP/SFTP/SCP 访问设备的用户 ) 只有系统给予的缺省用户角色 level-0, 其中 FTP/SFTP/SCP 用户的工作目录是设备的根目录, 但并无访问权限 ; 认证通过的非 Login 用户可直接访问网络关于用户角色色 level-0 的详细介绍请参见基础配置指导中的 RBAC 1-20

26 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导当前 ISP 域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用, 但是如果某类型的用户不支持指定的授权方法, 则该授权方法对于这类用户不能生效在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效可以指定多个备选的授权方法, 在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 授权, 若 RADIUS 授权无效则进行本地授权, 若本地授权也无效则不进行授权举例 # 在 ISP 域 test 下, 配置缺省授权方法为使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备选授权方法 [Sysname] domain test [Sysname-isp-test] authorization default radius-scheme rd local hwtacacs scheme local-user radius scheme authorization lan-access authorization lan-access 命令用来为 lan-access 用户配置授权方法 undo authorization lan-access 命令用来恢复缺省情况命令非 FIPS 模式下 : authorization lan-access { local [ none ] none radius-scheme radius-scheme-name [ local ] [ none ] } undo authorization lan-access FIPS 模式下 : authorization lan-access { local radius-scheme radius-scheme-name [ local ] } undo authorization lan-access 缺省情况 lan-access 用户采用当前 ISP 域的缺省授权方法视图 ISP 域视图 1-21

27 缺省用户角色 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权, 认证通过的 lan-access 用户可直接访问网络 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效可以指定多个备选的授权方法, 在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 授权, 若 RADIUS 授权无效则进行本地授权, 若本地授权也无效则不进行授权举例 # 在 ISP 域 test 下, 为 lan-access 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备选授权方法 [Sysname] domain test [Sysname-isp-test] authorization lan-access radius-scheme rd local authorization default local-user radius scheme authorization login authorization login 命令用来为 login 用户配置授权方法 undo authorization login 命令用来恢复缺省情况命令非 FIPS 模式下 : authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme -name ] [ local ] [ none ] local [ none ] 1-22

28 none radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme -name ] [ local ] [ none ] } undo authorization login FIPS 模式下 : authorization login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme -name ] [ local ] local radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-schem e-name ] [ local ] } undo authorization login 缺省情况 login 用户采用当前 ISP 域的缺省授权方法视图 ISP 域视图缺省用户角色 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中,hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权此时, 认证通过的 Login 用户 ( 通过 Console 口或者 Telnet FTP/SFTP/SCP 访问设备的用户 ) 只有系统给予的缺省用户角色 level-0, 其中 FTP/SFTP/SCP 用户的工作目录是设备的根目录, 但并无访问权限关于用户角色 level-0 的详细介绍请参见基础配置指导中的 RBAC radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效可以指定多个备选的授权方法, 在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 授权, 若 RADIUS 授权无效则进行本地授权, 若本地授权也无效则不进行授权举例 # 在 ISP 域 test 下, 为 login 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization login local 1-23

29 # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备选授权方法 [Sysname] domain test [Sysname-isp-test] authorization login radius-scheme rd local authorization default hwtacacs scheme local-user radius scheme authorization portal authorization portal 命令用来为 Portal 用户配置授权方法 undo authorization portal 命令用来恢复缺省情况命令非 FIPS 模式下 : authorization portal { local [ none ] none radius-scheme radius-scheme-name [ local ] [ none ] } undo authorization portal FIPS 模式下 : authorization portal { local radius-scheme radius-scheme-name [ local ] } undo authorization portal 缺省情况 Portal 用户采用当前 ISP 域的缺省授权方法视图 ISP 域视图缺省用户角色 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权, 认证通过的 Portal 用户可直接访问网络 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写使用指导在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效 1-24

30 可以指定多个备选的授权方法, 在当前的授权方法无效时按照配置顺序尝试使用备选的方法完成授权例如,radius-scheme radius-scheme-name local none 表示, 先进行 RADIUS 授权, 若 RADIUS 授权无效则进行本地授权, 若本地授权也无效则不进行授权举例 # 在 ISP 域 test 下, 为 Portal 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization portal local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备选授权方法 [Sysname] domain test [Sysname-isp-test] authorization portal radius-scheme rd local authorization default local-user radius scheme authorization-attribute (ISP domain view) authorization-attribute 命令用来设置当前 ISP 域下的用户授权属性 undo authorization-attribute 命令用来删除指定的授权属性, 恢复用户具有的缺省访问权限命令 authorization-attribute { acl acl-number car inbound cir committed-information-rate [ pir peak-infor mation-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] idle-cut min utes [ flow ] [ traffic { both inbound outbound } ] igmp max-access-number max-access-number ip-pool ipv4-pool-name ipv6-pool ipv6-pool-name mld max-access-number max-access-number url url-string user-group user-gro up-name } undo authorization-attribute { acl car idle-cut igmp ip-pool ipv6-pool mld url user-group } 缺省情况当前 ISP 域下的用户闲置切换功能处于关闭状态,IPv4 用户可以同时点播的最大节目数为 4,IPv6 用户可以同时点播的最大节目数为 4, 无其它授权属性视图 ISP 域视图 1-25

31 缺省用户角色 acl acl-number: 指定用于匹配用户流量的 ACL 其中 acl-number 表示 ACL 编号, 取值范围 2000~5999 用户认证成功后, 将仅被授权访问符合指定 ACL 规则的网络资源 Portal 用户在认证前, 若被授权认证域, 则将被授权访问符合指定 ACL 规则网络资源此属性只对 Portal lan-access 用户生效需要注意的是, 对于 Portal 用户, 仅授权基本 ACL( 编号范围为 2000~2999) 和高级 ACL ( 编号范围为 3000~3999) 生效 car: 指定授权用户的流量监管动作 Portal 用户在认证前, 若被授权认证域, 则其流量将受到指定的流量监管动作控制此属性只对 Portal 用户生效 inbound: 表示用户的上传速率 outbound: 表示用户的下载速率 cir committed-information-rate: 承诺信息速率, 取值范围为 1~ , 单位为 kbps pir peak-information-rate: 峰值信息速率, 取值范围为 1~ , 单位为 kbps 若不指定该参数, 则表示不对峰值信息速率进行限制 idle-cut minutes: 指定用户的闲置切断时间其中,minutes 的取值范围为 1~600, 单位为分钟此属性只对 Portal 用户生效 flow: 用户在闲置切断时间内产生的数据流量, 取值范围 1~ , 单位为字节, 缺省值为 traffic: 指定闲置切断时间内用户数据流量的统计方向若不指定该参数, 则表示统计用户双向数据流量 both: 表示用户双向数据流量 inbound: 表示用户上行数据流量 outbound: 表示用户下行数据流量 igmp max-access-number max-access-number: 指定 IPv4 用户可以同时点播的最大节目数其中,max-access-number 的取值范围为 1~64 此属性只对 Portal 用户生效 ip-pool ipv4-pool-name: 指定为用户分配 IPv4 地址的地址池其中,ipv4-pool-name 表示地址池名称, 为 1~63 个字符的字符串, 不区分大小写此属性只对 Portal IPoE 用户生效 ipv6-pool ipv6-pool-name: 指定为用户分配 IPv6 地址的地址池其中,ipv6-pool-name 表示地址池名称, 为 1~63 个字符的字符串, 不区分大小写此属性只对 Portal 用户生效 mld max-access-number max-access-number: 指定 IPv6 用户可以同时点播的最大节目数其中,max-access-number 的取值范围为 1~64 此属性只对 Portal 用户生效 url url-string: 指定用户的重定向 URL, 为 1~255 个字符的字符串, 区分大小写用户认证成功后, 首次访问网络时将被推送此 URL 提供的 Web 页面此属性只对 lan-access 用户生效 user-group user-group-name: 表示用户所属用户组其中,user-group-name 表示用户组名, 为 1~32 个字符的字符串, 不区分大小写用户认证成功后, 将继承该用户组中的所有属性 1-26

32 使用指导用户上线后, 设备会周期性检测用户的流量, 若域内某用户在指定的闲置检测时间内产生的流量小于本命令中指定的数据流量, 则会被强制下线需要注意的是, 服务器上也可以配置最大空闲时间实现对用户的闲置切断功能, 具体为当用户在指定的闲置检测时间内产生的流量小于个字节 ( 服务器上该阈值为固定值, 不可配置 ) 时, 会被强制下线但是, 只有在设备上的闲置切断功能处于关闭状态时, 服务器才会根据自身的配置来控制用户的闲置切断如果当前 ISP 域的用户认证成功, 但认证服务器 ( 包括本地认证下的接入设备 ) 未对该 ISP 域下发授权属性, 则系统使用当前 ISP 下指定的授权属性为用户授权需要注意的是, 可通过多次执行本命令配置多个授权属性, 但对于相同授权属性, 最后一次执行的命令生效举例 # 指定 ISP 域 test 下的用户闲置切断时间为 30 分钟, 闲置切断时间内产生的流量为字节 [Sysname] domain test [Sysname-isp-test] authorization-attribute idle-cut display domain display domain display domain 命令用来显示所有或指定 ISP 域的配置信息命令 display domain [ isp-name ] 视图任意视图缺省用户角色 network-operator mdc-operator isp-name:isp 域名, 为 1~255 个字符的字符串, 不区分大小写如果不指定该参数, 则表示所有 ISP 域举例 # 显示系统中所有 ISP 域的配置信息 <Sysname> display domain Total 2 domains Domain: system State: Active 1-27

33 Default authentication scheme: Local Default authorization scheme: Local Default accounting scheme: Local Accounting start failure action: Online Accounting update failure action: Online Accounting quota out policy: Offline Service type: HSI Session time: Exclude idle time Dual-stack accounting method: Merge Authorization attributes: Idle cut: Disabled IGMP access number: 4 MLD access number: 4 Domain: dm State: Active Login authentication scheme: RADIUS=rad Login authorization scheme: HWTACACS=hw Super authentication scheme: RADIUS=rad Command authorization scheme: HWTACACS=hw LAN access authentication scheme: RADIUS=r4 Portal authentication scheme: LDAP=ldp Default authentication scheme: RADIUS=rad, Local, None Default authorization scheme: Local Default accounting scheme: None Accounting start failure action: Online Accounting update failure action: Online Accounting quota out policy: Offline Service type: HSI Session time: Include idle time Dual-stack accounting method: Merge Authorization attributes: Idle cut : Enabled Idle timeout: 2 minutes Flow: bytes Traffic direction: Both IP pool: appy Inbound CAR: CIR bps PIR bps Outbound CAR: CIR bps PIR bps ACL number:3000 User group: ugg IPv6 pool: ipv6pool URL: IGMP access number: 4 MLD access number: 4 Default domain name: system 1-28

34 表 1-1 display domain 命令显示信息描述表字段描述 Total 2 domains Domain State Default authentication scheme Default authorization scheme Default accounting scheme Login authentication scheme Login authorization scheme Login accounting scheme Super authentication scheme Command authorization scheme Command accounting scheme LAN access authentication scheme LAN access authorization scheme LAN access accounting scheme Portal authentication scheme Portal authorization scheme Portal accounting scheme RADIUS HWTACACS LDAP Local None 总计 2 个 ISP 域 ISP 域名 ISP 域的状态缺省的认证方案缺省的授权方案缺省的计费方案 Login 用户认证方案 Login 用户授权方案 Login 用户计费方案用户角色切换认证方案命令行授权方案命令行计费方案 lan-access 用户认证方案 lan-access 用户授权方案 lan-access 用户计费方案 Portal 用户认证方案 Portal 用户授权方案 Portal 用户计费方案 RADIUS 方案 HWTACACS 方案 LDAP 方案本地方案不认证不授权和不计费用户计费开始失败的动作, 包括以下取值 : Accounting start failure action Accounting update failure max-times Online: 如果用户计费开始失败, 则保持用户在线 Offline: 如果用户计费开始失败, 则强制用户下线允许用户连续计费更新失败的次数用户计费更新失败的动作, 包括以下取值 : Accounting update failure action Online: 如果用户计费更新失败, 则保持用户在线 Offline: 如果用户计费更新失败, 则强制用户下线 1-29

35 字段描述用户计费流量配额耗尽策略, 包括以下取值 : Accounting quota out policy Service type Online: 如果用户计费流量配额耗尽, 则保持用户在线 Offline: 如果用户计费流量配额耗尽, 则强制用户下线 ISP 域的业务类型, 取值为 HSI,STB 和 VoIP 当用户异常下线时, 设备上传到服务器的用户在线时间情况 : Session time Include idle time: 保留用户闲置切断时间 ( 或 Portal Web 认证用户在线探测间隔 ) Exclude idle time: 扣除用户闲置切断时间 ( 或 Portal Web 认证用户在线探测间隔 ) 双协议栈用户的计费方式, 包括以下取值 : Dual-stack accounting method Authorization attributes Merge: 统一计费, 即将双协议栈用户的 IPv4 流量和 IPv6 流量统一汇总后上送给计费服务器 Separate: 分别计费, 即将双协议栈用户的 IPv4 流量和 IPv6 流量分别上送给计费服务器 ISP 的用户授权属性用户闲置切断功能, 包括以下取值 : Idle cut Enabled: 处于开启状态, 表示当 ISP 域中的用户在指定的最大闲置切断时间内产生的流量小于指定的最小数据流量时, 会被强制下线 Disabled: 处于关闭状态, 表示不对用户进行闲置切断控制, 它为缺省状态 Idle timeout 用户闲置切断时间 ( 单位为分钟 ) Flow 用户数据流量阈值 ( 单位为字节 ) 用户数据流量的统计方向, 包括以下取值 : Traffic direction IP pool Inbound CAR Outbound CAR ACL number User group IPv6 pool Both: 表示用户双向数据流量 Inbound: 表示用户上行数据流量 Outbound: 表示用户下行数据流量授权 IPv4 地址池的名称授权的入方向 CAR(CIR: 承诺信息速率, 单位为 bps;pir: 峰值信息速率, 单位为 bps) 若未授权入方向 CAR, 则显示为 N/A 授权的出方向 CAR(CIR: 承诺信息速率, 单位为 bps;pir: 峰值信息速率, 单位为 bps) 若未授权出方向 CAR, 则显示为 N/A 授权 ACL 编号授权 User group 的名称授权 IPv6 地址池的名称 1-30

36 字段描述 URL IGMP max access number MLD max access number Default domain name 授权重定向 URL 授权 IPv4 用户可以同时点播的最大节目数授权 IPv6 用户可以同时点播的最大节目数缺省 ISP 域名 domain domain 命令用来创建 ISP 域, 并进入 ISP 域视图如果指定的 ISP 域已经存在, 则直接进入 ISP 域视图 undo domain 命令用来删除指定的 ISP 域命令 domain isp-name undo domain isp-name 缺省情况存在一个 ISP 域, 名称为 system 视图系统视图缺省用户角色 isp-name:isp 域名, 为 1~255 个字符的字符串, 不区分大小写, 不能包括 / \ : *? < > 字符, 且不能为字符串 d de def defa defau defaul default i if if- if-u if-un if-unk if-unkn if-unkno if-unknow 和 if-unknown 使用指导所有的 ISP 域在创建后即处于 active 状态不能删除系统中预定义的 ISP 域 system, 只能修改该域的配置不能删除作为系统缺省 ISP 域的 ISP 域如需删除一个系统缺省 ISP 域, 请先使用 undo domain default enable 命令将其恢复为非缺省的 ISP 域建议设备上配置的 ISP 域名尽量短, 避免用户输入的包含域名的用户名长度超过客户端可支持的最大用户名长度举例 # 创建一个名称为 test 的 ISP 域, 并进入其视图 [Sysname] domain test 1-31

37 [Sysname-isp-test] display domain domain default enable domain if-unknown state (ISP domain view) domain default enable domain default enable 命令用来配置系统缺省的 ISP 域, 所有在登录时没有提供 ISP 域名的用户都属于这个域 undo domain default enable 命令用来恢复缺省情况命令 domain default enable isp-name undo domain default enable 缺省情况存在一个系统缺省的 ISP 域, 名称为 system 视图系统视图缺省用户角色 isp-name:isp 域名, 为 1~255 个字符的字符串, 不区分大小写, 且必须已经存在使用指导系统中只能存在一个缺省的 ISP 域配置为缺省的 ISP 域不能被删除如需删除一个系统缺省 ISP 域, 请先使用 undo domain default enable 命令将其恢复为非缺省的 ISP 域举例 # 创建一个新的 ISP 域 test, 并设置为系统缺省的 ISP 域 [Sysname] domain test [Sysname-isp-test] quit [Sysname] domain default enable test display domain domain 1-32

38 domain if-unknown domain if-unknown 命令用来为未知域名的用户指定 ISP 域 undo domain if-unknown 命令用来恢复缺省情况命令 domain if-unknown isp-name undo domain if-unknown 缺省情况没有为未知域名的用户指定 ISP 域视图系统视图缺省用户角色 isp-name:isp 域名为 1~255 个字符的字符串, 不区分大小写, 不能包括 / \ : *? < > 字符, 且不能为字符串 d de def defa defau defaul default i if if- if-u if-un if-unk if-unkn if-unkno if-unknow 和 if-unknown 使用指导设备将按照如下先后顺序选择认证域 : 接入模块指定的认证域 --> 用户名中指定的 ISP 域 --> 系统缺省的 ISP 域其中, 仅部分接入模块支持指定认证域如果根据以上原则决定的认证域在设备上不存在, 但设备上为未知域名的用户指定了 ISP 域, 则最终使用该指定的 ISP 域认证, 否则, 用户将无法认证举例 # 为未知域名的用户指定 ISP 域为 test [Sysname] domain if-unknown test display domain nas-id bind vlan nas-id bind vlan 命令用来设置 NAS-ID 与 VLAN 的绑定关系 undo nas-id bind vlan 命令用来删除指定的 NAS-ID 和 VLAN 的绑定关系命令 nas-id nas-identifier bind vlan vlan-id undo nas-id nas-identifier bind vlan vlan-id 1-33

39 缺省情况不存在 NAS-ID 与 VLAN 的绑定关系视图 NAS-ID Profile 视图缺省用户角色 nas-identifier:nas-id 名称, 为 1~31 个字符的字符串, 区分大小写 vlan-id: 与 NAS-ID 绑定的 VLAN ID, 取值范围为 1~4094 使用指导一个 NAS-ID Profile 视图下, 可以指定多个 NAS-ID 与 VLAN 的绑定关系一个 NAS-ID 可以与多个 VLAN 绑定, 但是一个 VLAN 只能与一个 NAS-ID 绑定若多次将一个 VLAN 与不同的 NAS-ID 进行绑定, 则最后的绑定关系生效举例 # 在名称为 aaa 的 NAS-ID Profile 视图下, 配置 NAS-ID 222 与 VLAN 2 的绑定关系 [Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2 aaa nas-id profile service-type (ISP domain view) service-type 命令用来设置当前 ISP 域的业务类型 undo service-type 命令用来恢复缺省情况命令 service-type { hsi stb voip } undo service-type 缺省情况当前 ISP 域的业务类型为 hsi 视图 ISP 域视图缺省用户角色 1-34

40 hsi: 表示 HSI(High Speed Internet, 高速上网 ) 业务, 主要指使用 802.1X 方式接入网络的用户业务 stb: 表示 STB(Set Top Box, 机顶盒 ) 业务, 专指使用数字机顶盒接入网络的用户业务 voip: 表示 (Voice over IP,IP 电话 ) 业务, 指使用 IP 电话的用户业务使用指导本命令用来配置当前认证域的用户使用的业务类型, 用来决定接入模块是否开启组播功能用户使用 HSI 业务类型的 ISP 域接入时, 接入模块不会开启组播功能, 可节省系统资源用户使用 STB 业务类型的 ISP 域接入时, 接入模块会开启组播功能, 可提高系统处理组播业务的性能用户使用 VoIP 业务类型的 ISP 域接入时,QoS 功能会开启保证用户语音数据的低延迟传送对于 802.1X 用户,ISP 域中配置的业务类型无效, 系统强制使用 HSI 业务类型一个 ISP 域中, 仅能配置一种类型的业务类型举例 # 设置域 test 下用户业务类型为 STB 终端业务 [Sysname] domain test [Sysname-isp-test] service-type stb session-time include-idle-time session-time include-idle-time 命令用来配置设备上传到服务器的用户在线时间中保留闲置切断时间 undo session-time include-idle-time 命令用来恢复缺省情况命令 session-time include-idle-time undo session-time include-idle-time 缺省情况设备上传到服务器的用户在线时间中扣除闲置切断时间视图 ISP 域视图缺省用户角色使用指导请根据实际的计费策略决定是否在用户在线时间中保留该闲置切换时间该闲置切断时间在用户认证成功后由 AAA 授权, 对于 Portal 认证用户, 若接入接口上开启了 Portal 用户在线探测功能, 则为在线探测闲置时长 1-35

41 当用户正常下线时, 设备上传到服务器上的用户在线时间为实际在线时间 ; 当用户异常下线时, 上传到服务器的用户在线时间具体如下 : 若配置为保留闲置切断时间, 则上传到服务器上的用户在线时间中包含了一定的闲置切断检测间隔此时, 服务器上记录的用户时长将大于用户实际在线时长若配置为扣除闲置切断时间, 则上传到服务器上的用户在线时间为, 闲置切断检测机制计算出的用户已在线时长扣除掉一个闲置切断检测间隔此时, 服务器上记录的用户时长将小于用户实际在线时长举例 # 在 ISP 域 test 下, 配置设备上传到服务器的用户在线时间中保留闲置切断时间 [Sysname] domain name test [Sysname-isp-test] session-time include-idle-time display domain state (ISP domain view) state 命令用来设置当前 ISP 域的状态 undo state 命令用来恢复缺省情况命令 state { active block } undo state 缺省情况当前 ISP 域处于活动状态视图 ISP 域视图缺省用户角色 active: 指定当前 ISP 域处于活动状态, 即系统允许该域下的用户请求网络服务 block: 指定当前 ISP 域处于阻塞状态, 即系统不允许该域下的用户请求网络服务使用指导当某个 ISP 域处于阻塞状态时, 将不允许该域下的用户请求网络服务, 但不影响已经在线的用户举例 # 设置当前 ISP 域 test 处于阻塞状态 [Sysname] domain test [Sysname-isp-test] state block 1-36

42 display domain 1.2 本地用户配置命令 access-limit access-limit 命令用来设置使用当前本地用户名接入设备的最大用户数 undo access-limit 命令用来恢复缺省情况命令 access-limit max-user-number undo access-limit 缺省情况不限制使用当前本地用户名接入的用户数视图本地用户视图缺省用户角色 max-user-number: 表示使用当前本地用户名接入设备的最大用户数, 取值范围为 1~1024 使用指导本地用户视图下的 access-limit 命令只在该用户采用了本地计费方法的情况下生效对于网络接入类本地用户, 还需要在用户接入的 ISP 域视图下配置 accounting start-fail offline 命令, 否则使用当前用户名接入的用户数并不受 access-limit 命令的限制由于 FTP/SFTP/SCP 用户不支持计费, 因此 FTP/SFTP/SCP 用户不受此属性限制举例 # 允许同时以本地用户名 abc 在线的用户数为 5 [Sysname] local-user abc [Sysname-luser-manage-abc] access-limit 5 accounting start-fail offline display local-user authorization-attribute (Local user view/user group view) authorization-attribute 命令用来设置本地用户或用户组的授权属性, 该属性在本地用户认证通过之后, 由设备下发给用户 1-37

43 undo authorization-attribute 命令用来删除指定的授权属性, 恢复用户具有的缺省访问权限命令 authorization-attribute { acl acl-number idle-cut minutes ip-pool ipv4- pool-name ipv6-pool ipv6-pool-name session-timeout minutes user-role role-name vlan vlan-id work-directory directory-name } * undo authorization-attribute { acl idle-cut ip-pool ipv6-pool session-timeout user-role role-name vlan work-directory } * 缺省情况授权 FTP/SFTP/SCP 用户可以访问的目录为设备的根目录, 但无访问权限在缺省 MDC 中由用户角色为或者 level-15 的用户创建的本地用户被授权用户角色 network-operator; 在非缺省 MDC 中由用户角色为或者 level-15 的用户创建的本地用户被授权用户角色 mdc-operator 视图本地用户视图用户组视图缺省用户角色 acl acl-number: 指定本地用户的授权 ACL 其中,acl-number 为授权 ACL 的编号, 取值范围为 2000~5999 本地用户认证成功后, 将被授权仅可以访问符合指定 ACL 规则的网络资源需要注意的是, 对于 Portal 用户, 仅授权基本 ACL( 编号范围为 2000~2999) 和高级 ACL( 编号范围为 3000~3999) 生效 idle-cut minutes: 设置本地用户的闲置切断时间其中,minutes 为设定的闲置切断时间, 取值范围为 1~120, 单位为分钟如果用户在线后连续闲置的时长超过该值, 设备会强制该用户下线 ip-pool ipv4-pool-name: 指定本地用户的 IPv4 地址池信息本地用户认证成功后, 将允许使用该 IPv4 地址池分配地址其中,ipv4-pool-name 表示地址池名称, 为 1~63 个字符的字符串, 不区分大小写 ipv6-pool ipv6-pool-name: 指定本地用户的 IPv6 地址池信息本地用户认证成功后, 将允许使用该 IPv6 地址池分配地址其中,ipv6-pool-name 表示地址池名称, 为 1~63 个字符的字符串, 不区分大小写 session-timeout minutes: 设置本地用户的会话超时时间其中,minutes 为设定的会话超时时间, 取值范围为 1~1440, 单位为分钟如果用户在线时长超过该值, 设备会强制该用户下线 user-role role-name: 指定本地用户的授权用户角色其中,role-name 表示用户角色名称, 为 1~63 个字符的字符串, 区分大小写可以为每个用户最多指定 64 个用户角色本地用户角色的相关命令请参见基础命令参考中的 RBAC 该授权属性只能在本地用户视图下配置, 不能在本地用户组视图下配置 1-38

44 vlan vlan-id: 指定本地用户的授权 VLAN 其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 本地用户认证成功后, 将被授权仅可以访问指定 VLAN 内的网络资源 work-directory directory-name : 授权 FTP/SFTP/SCP 用户可以访问的目录其中,directory-name 表示 FTP/SFTP/SCP 用户可以访问的目录, 为 1~255 个字符的字符串, 不区分大小写, 且该目录必须已经存在使用指导可配置的授权属性都有其明确的使用环境和用途, 请针对用户的服务类型配置对应的授权属性 : 对于 Portal 用户, 仅授权属性 acl idle-cut ip-pool ipv6-pool session-timeout 有效对于 Lan-access 用户, 仅授权属性 acl session-timeout vlan 有效对于 Telnet Terminal 用户, 仅授权属性 idle-cut user-role work-directory 有效对于 http https 用户, 仅授权属性 user-role 有效对于 SSH FTP 用户, 仅授权属性 idle-cut user-role work-directory 有效对于其它类型的本地用户, 所有授权属性均无效用户组的授权属性对于组内的所有本地用户生效, 因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理本地用户视图下未配置的授权属性继承所属用户组的授权属性配置, 但是如果本地用户视图与所属的用户组视图下都配置了某授权属性, 则本地用户视图下的授权属性生效为了避免设备进行主备倒换后 FTP/SFTP/SCP 用户无法正常登录, 建议用户在指定工作目录时不要携带 slot 信息为确保本地用户仅使用本命令指定的授权用户角色, 请先使用 undo authorization-attribute user-role 命令删除该用户已有的缺省用户角色被授权安全日志管理员的本地用户登录设备后, 仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令, 具体命令可通过 display role name security-audit 命令查看安全日志文件管理相关命令的介绍, 请参见网络管理与监控中的信息中心文件系统管理相关命令的介绍, 请参见基础配置命令参考中的文件系统管理为本地用户授权安全日志管理员角色时, 需要注意的是 : 安全日志管理员角色和其它用户角色互斥 : 为一个用户授权安全日志管理员角色时, 系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色 ; 如果已经授权当前用户安全日志管理员角色, 再授权其它的用户角色时, 系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色系统中的最后一个安全日志管理员角色的本地用户不可被删除举例 # 配置网络接入类本地用户 abc 的授权 VLAN 为 VLAN 2 [Sysname] local-user abc class network [Sysname-luser-network-abc] authorization-attribute vlan 2 # 配置用户组 abc 的授权 VLAN 为 VLAN

45 [Sysname] user-group abc [Sysname-ugroup-abc] authorization-attribute vlan 3 # 配置设备管理类本地用户 xyz 的授权用户角色为 security-audit( 安全日志管理员 ) [Sysname] local-user xyz class manage [Sysname-luser-manage-xyz]authorization-attribute user-role security-audit This operation will delete all other roles of the user. Are you sure? [Y/N]:y display local-user display user-group bind-attribute bind-attribute 命令用来设置用户的绑定属性 undo bind-attribute 命令用来删除指定的用户绑定属性命令 bind-attribute { ip ip-address location interface interface-type interfac e-number mac mac-address vlan vlan-id } * undo bind-attribute { ip location mac vlan } * 缺省情况未设置用户的绑定属性视图本地用户视图缺省用户角色 ip ip-address: 指定用户的 IP 地址该绑定属性仅适用于 lan-access 类型中的 802.1X 用户 location interface interface-type interface-number: 指定用户绑定的接口其中 interface-type interface-number 表示接口类型和接口编号如果用户接入的接口与此处绑定的接口不一致, 则认证失败该绑定属性仅适用于 lan-access Portal 类型的用户 mac mac-address: 指定用户的 MAC 地址其中,mac-address 为 H-H-H 格式该绑定属性仅适用于 lan-access Portal 类型的用户 vlan vlan-id: 指定用户所属于的 VLAN 其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 该绑定属性仅适用于 lan-access Portal 类型的用户使用指导设备对用户进行本地认证时, 会检查用户的实际属性与配置的绑定属性是否一致, 如果不一致或用户未携带该绑定属性则认证失败 1-40

46 绑定属性的检测不区分用户的接入服务类型, 因此在配置绑定属性时要考虑某接入类型的用户是否需要绑定某些属性例如, 只有支持 IP 地址上传功能的 802.1X 认证用户才可以配置绑定 IP 地址 ; 对于不支持 IP 地址上传功能的 MAC 地址认证用户, 如果配置了绑定 IP 地址, 则会导致该用户的本地认证失败在绑定接口属性时要考虑绑定接口类型是否合理对于不同接入类型的用户, 请按照如下方式进行绑定接口属性的配置 : 802.1X 用户 : 配置绑定的接口为开启 802.1X 的二层以太网接口二层聚合接口 MAC 地址认证用户 : 配置绑定的接口为开启 MAC 地址认证的二层以太网接口二层聚合接口 Web 认证用户 : 配置绑定的接口为开启 Web 认证的二层以太网接口 Portal 用户 : 若使能 Portal 的接口为 VLAN 接口, 且没有通过 portal roaming enable 命令配置 Portal 用户漫游功能, 则配置绑定的接口为用户实际接入的二层以太网接口 ; 其它情况下, 配置绑定的接口均为使能 Portal 的接口举例 # 配置网络接入类本地用户 abc 的绑定 IP 为 [Sysname] local-user abc class network [Sysname-luser-network-abc] bind-attribute ip display local-user company company 命令用来配置本地来宾用户所属公司 undo company 命令用来恢复缺省情况命令 company company-name undo company 缺省情况未配置本地来宾用户所属公司视图本地来宾用户视图缺省用户角色 company-name: 本地来宾用户所属公司名称, 为 1~255 个字符的字符串, 区分大小写举例 # 配置本地来宾用户 abc 所属的公司名称为 yyy 1-41

47 [Sysname] local-user abc class network guest [Sysname-luser-network(guest)-abc] company yyy display local-user description description 命令用来配置网络接入类本地用户的描述信息 undo description 命令用来恢复缺省情况命令 description text undo description 缺省情况未配置网络接入类本地用户的描述信息视图网络接入类本地用户视图缺省用户角色 text: 用户的描述信息, 为 1~255 个字符的字符串, 区分大小写举例 # 配置网络接入类本地用户 123 的描述信息为 Manager of MSC company [Sysname] local-user 123 class network [Sysname-luser-network-123] description Manager of MSC company display local-user display local-user display local-user 命令用来显示本地用户的配置信息和在线用户数的统计信息命令 display local-user [ class { manage network [ guest ] } idle-cut { disable enable } service-type { ftp http https lan-access portal ssh telnet terminal } state { active block } user-name user-name class { manage network [ guest ] } vlan vlan-id ] 1-42

48 视图任意视图缺省用户角色 network-operator mdc-operator class: 显示指定用户类别的本地用户信息 manage: 设备管理类用户 network: 网络接入类用户 guest: 来宾用户 idle-cut { disable enable }: 显示开启或关闭闲置切断功能的本地用户信息其中,disable 表示未启用闲置切断功能的本地用户 ;enable 表示启用了闲置切断功能并配置了闲置切断时间的本地用户 service-type: 显示指定用户类型的本地用户信息 ftp:ftp 用户用户用户 lan-access:lan-access 类型用户 ( 主要指以太网接入用户, 比如 802.1X 用户 ) portal:portal 用户 ssh:ssh 用户 telnet:telnet 用户 terminal: 从 Console 口登录的终端用户 state { active block }: 显示处于指定状态的本地用户信息其中,active 表示用户处于活动状态, 即系统允许该用户请求网络服务 ;block 表示用户处于阻塞状态, 即系统不允许用户请求网络服务 user-name user-name: 显示指定用户名的本地用户信息其中,user-name 表示本地用户名, 为 1~55 个字符的字符串, 区分大小写, 不能携带域名, 不能包括符号 \ / : *? < > 且不能为 a al 或 all vlan vlan-id: 显示指定 VLAN 内的所有本地用户信息其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 使用指导如果不指定任何参数, 则显示所有本地用户信息举例 # 显示所有本地用户的相关信息 <Sysname> display local-user Device management user root: 1-43

49 State: Active Service type: SSH/Telnet/Terminal Access limit: Enabled Max access number: 3 Current access number: 1 User group: system Bind attributes: Authorization attributes: Work directory: flash: User role list: Password control configurations: Password aging: 3 days Network access user jj: State: Active Service type: LAN-access User group: system Bind attributes: IP address: Location bound: Ten-GigabitEthernet1/0/1 MAC address: VLAN ID: 2 Authorization attributes: Idle timeout: 33 minutes Work directory: flash: ACL number: 2000 User role list: network-operator, level-0, level-3 Description: A network access user from company cc Validity period: Start date and time: 2016/01/01-00:01:01 Expiration date and time: 2017/01/01-01:01:01 Network access guest user1: State: Active Service type: LAN-access/Portal User group: guest1 Full name: Jack Company: cc Jack@cc.com Phone: Sponsor full name: Sam Sponsor department: security Sponsor Sam@aa.com Description: A guest from company cc Validity period: Start date and time: 2016/04/01-08:00:00 Expiration date and time: 2017/04/03-18:00:00 Total 3 local users matched. 1-44

50 表 1-2 display local-user 命令显示信息描述表字段描述本地用户状态 State Service type Access limit Max access number Current access number User group Bind attributes IP address Location bound MAC address VLAN ID Authorization attributes Active: 活动状态 Block: 阻塞状态本地用户使用的服务类型是否对使用该用户名的接入用户数进行限制最大接入用户数使用该用户名的当前接入用户数本地用户所属的用户组本地用户的绑定属性本地用户的 IP 地址本地用户绑定的端口本地用户的 MAC 地址本地用户绑定的 VLAN 本地用户的授权属性 Idle timeout 本地用户闲置切断时间 ( 单位为分钟 ) Session-timeout 本地用户的会话超时时间 ( 单位为分钟 ) Work directory ACL number VLAN ID User role list IP pool IPv6 pool Password control configurations Password aging Password length Password composition Password complexity Maximum login attempts Action for exceeding login attempts Full name Company FTP/SFTP/SCP 用户可以访问的目录本地用户授权 ACL 本地用户授权 VLAN 本地用户的授权用户角色列表本地用户的授权 IPv4 地址池本地用户的授权 IPv6 地址池本地用户的密码控制属性密码老化时间密码最小长度密码组合策略 ( 密码元素的组合类型至少要包含每种元素的个数 ) 密码复杂度检查策略 ( 是否包含用户名或者颠倒的用户名 ; 是否包含三个或以上相同字符 ) 用户最大登录尝试次数登录尝试次数达到设定次数后的用户帐户锁定行为本地来宾用户的姓名本地来宾用户的公司 1-45

展开

1.2.5 display local-user display user-group group local-user local-user auto-delete enable pas

1.2.5 display local-user display user-group group local-user local-user auto-delete enable pas 目录 1 AAA 1-1 1.1 ISP 域中实现 AAA 配置命令 1-1 1.1.1 aaa nas-id profile 1-1 1.1.2 aaa session-limit 1-2 1.1.3 accounting command 1-3 1.1.4 accounting default 1-3 1.1.5 accounting dual-stack 1-5 1.1.6 accounting