H3C S5120-SI 系列以太网交换机安全命令参考杭州华三通信技术有限公司 http://www.h3c.com.cn 资料版本 :6W101-20111108 产品版本 :Release 1505

Copyright 2011 杭州华三通信技术有限公司及其许可者版权所有, 保留一切权利未经本公司书面许可, 任何单位和个人不得擅自摘抄复制本书内容的部分或全部, 并不得以任何形式传播 H3C Aolynk H 3 Care TOP G IRF NetPilot Neocean NeoVTL SecPro SecPoint SecEngine SecPath Comware Secware Storware NQA VVG V 2 G V n G PSPT XGbus N-Bus TiGem InnoVision HUASAN 华三均为杭州华三通信技术有限公司的商标对于本手册中出现的其它公司的商标产品标识及商品名称, 由各自权利人拥有由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述信息和建议也不构成任何明示或暗示的担保

前言 H3C S5120-SI 系列以太网交换机命令参考共分为十本手册, 主要针对 S5120-SI 系列以太网交换机 Release1505 软件版本支持的命令进行了介绍安全命令参考主要介绍安全业务特性的配置命令, 包括 AAA 802.1X MAC 地址认证 Portal 认证等接入认证配置命令, 以及 IP Source Guard ARP 攻击防御等安全防御技术的配置命令前言部分包含如下内容 : 读者对象新增及修改命令说明本书约定产品配套资料资料获取方式技术支持资料意见反馈读者对象本手册主要适用于如下工程师 : 网络规划人员现场技术支持与维护人员负责网络配置和维护的网络管理员新增及修改命令说明本手册对应 S5120-SI 系列以太网交换机的 Release1505 软件版本, 该版本与 Release1101 版本相比, 新增和修改了大量命令, 具体请参见下表命令参考新增及修改命令新增命令 : AAA authentication super authorization-attribute user-profile attribute 25 car AAA 支持 HWTACACS 认证授权计费相关配置命令为 Portal 用户配置认证授权计费方法相关命令 RADIUS 支持多备份服务器相关配置命令 RADIUS 支持 IPv6 功能相关配置命令

命令参考新增及修改命令新增命令 : 802.1X MAC 地址认证 Portal 端口安全 User Profile Password Control HABP 公钥管理 PKI dot1x unicast-trigger dot1x handshake secure dot1x free-ip dot1x timer ead-timeout dot1x url MAC 地址认证相关配置命令为本版本新增命令 Portal 相关配置命令为本版本新增命令端口安全相关配置命令为本版本新增命令 User Profile 相关配置命令为本版本新增命令 Password Control 相关配置命令为本版本新增命令新增命令 :habp client vlan vlan-id 无无新增命令 : SSH2.0 SSL TCP 攻击防御 IP Source Guard ssh client ipv6 source ssh2 ipv6 sftp client ipv6 source sftp ipv6 新增命令 :server-verify enable 无新增命令 : 配置和显示 IP Source Guard 相关命令新增 ipv6 参数新增命令 : ARP 攻击防御 ND 攻击防御 ARP 网关保护过滤保护相关命令 arp restricted-forwarding enable 删除命令 : arp detection mode arp detection static-bind ND 攻击防御相关配置命令为本版本新增命令本书约定 1. 命令行格式约定格式意义粗体斜体命令行关键字 ( 命令中保持不变必须照输的部分 ) 采用加粗字体表示命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从两个或多个选项中选取一个

格式意义 [ x y... ] 表示从两个或多个选项中选取一个或者不选 { x y... } * 表示从两个或多个选项中选取多个, 最少选取一个, 最多选取所有选项 [ x y... ] * 表示从两个或多个选项中选取多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次 # 由 # 号开始的行表示为注释行 2. 图形界面格式约定格式意义 < > 带尖括号 < > 表示按钮名, 如单击 < 确定 > 按钮 [ ] 带方括号 [ ] 表示窗口名菜单名和数据表, 如弹出 [ 新建用户 ] 窗口 / 多级菜单用 / 隔开如 [ 文件 / 新建 / 文件夹 ] 多级菜单表示 [ 文件 ] 菜单下的 [ 新建 ] 子菜单下的 [ 文件夹 ] 菜单项 3. 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 : 该标志后的注释需给予格外关注, 不当的操作可能会对人身造成伤害提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏为确保设备配置成功或者正常工作而需要特别关注的操作或信息对操作内容的描述进行必要的补充和说明配置操作或使用设备的技巧小窍门 4. 图标约定本书使用的图标及其含义如下 : 该图标及其相关描述文字代表一般网络设备, 如路由器交换机防火墙等该图标及其相关描述文字代表一般意义下的路由器, 以及其他运行了路由协议的设备该图标及其相关描述文字代表二三层以太网交换机, 以及运行了二层协议的设备

产品配套资料 H3C S5120-SI 系列以太网交换机的配套资料包括如下部分 : 大类资料名称内容介绍产品知识介绍设备安装业务配置运行维护产品彩页 RPS 电源用户手册 H3C 低端系列以太网交换机 RPS 电源选购指南 H3C 低端系列以太网交换机可插拔模块手册安全兼容性手册 H3C 设备防雷安装指导手册快速安装指南安装手册 H3C 可插拔 SFP[SFP+][XFP] 模块安装指南配置指导命令参考 H3C 系列以太网交换机登录密码恢复手册故障处理手册版本说明书帮助您了解产品的主要规格参数及亮点帮助您了解产品支持的 RPS 电源的外观功能规格帮助您了解各种 RPS 电源适用的交换机产品型号及 RPS 电源配套电缆的相关规格帮助您了解产品支持的可插拔模块类型外观和规格列出产品的兼容性声明, 并对兼容性和安全的细节进行说明帮助您了解防雷接地设计和工程安装方法, 以保证交换机具有良好的抗雷击性能指导您对设备进行初始安装, 通常针对最常用的情况, 减少您的检索时间帮助您详细了解设备硬件规格和安装方法, 指导您对设备进行安装帮助您掌握 SFP/SFP+/XFP 模块的正确安装方法, 避免因操作不当而造成器件损坏帮助您掌握设备软件功能的配置方法及配置步骤详细介绍设备的命令, 相当于命令字典, 方便您查阅各个命令的功能指导您在设备登录密码丢失的情况下, 找回密码或重新配置登录密码指导您快速定位并处理软件故障帮助您了解产品版本的相关信息 ( 包括 : 版本配套说明兼容性说明特性变更说明技术支持信息 ) 及软件升级方法资料获取方式您可以通过 H3C 网站 (www.h3c.com.cn) 获取最新的产品资料 : H3C 网站与产品资料相关的主要栏目介绍如下 : [ 服务支持 / 文档中心 ]: 可以获取硬件安装类软件升级类配置类或维护类等产品资料 [ 产品技术 ]: 可以获取产品介绍和技术介绍的文档, 包括产品相关介绍技术介绍技术白皮书等 [ 解决方案 ]: 可以获取解决方案类资料 [ 服务支持 / 软件下载 ]: 可以获取与软件版本配套的资料

技术支持用户支持邮箱 :customer_service@h3c.com 技术支持热线电话 :400-810-0504( 手机固话均可拨打 ) 网址 :http://www.h3c.com.cn 资料意见反馈如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 : E-mail:info@h3c.com 感谢您的反馈, 让我们做得更好!

目录 1 AAA 配置命令... 1-1 1.1 AAA 配置命令... 1-1 1.1.1 aaa nas-id profile... 1-1 1.1.2 access-limit enable... 1-1 1.1.3 accounting command... 1-2 1.1.4 accounting default... 1-2 1.1.5 accounting lan-access... 1-3 1.1.6 accounting login... 1-4 1.1.7 accounting optional... 1-5 1.1.8 accounting portal... 1-5 1.1.9 authentication default... 1-6 1.1.10 authentication lan-access... 1-7 1.1.11 authentication login... 1-8 1.1.12 authentication portal... 1-8 1.1.13 authentication super... 1-9 1.1.14 authorization command... 1-10 1.1.15 authorization default... 1-11 1.1.16 authorization lan-access... 1-11 1.1.17 authorization login... 1-12 1.1.18 authorization portal... 1-13 1.1.19 authorization-attribute user-profile... 1-14 1.1.20 cut connection... 1-15 1.1.21 display connection... 1-16 1.1.22 display domain... 1-18 1.1.23 domain... 1-20 1.1.24 domain default enable... 1-21 1.1.25 idle-cut enable... 1-21 1.1.26 nas-id bind vlan... 1-22 1.1.27 self-service-url enable... 1-23 1.1.28 state(isp domain view)... 1-23 1.2 本地用户配置命令...1-24 1.2.1 access-limit... 1-24 1.2.2 authorization-attribute(local user view/user group view)... 1-25 1.2.3 bind-attribute... 1-26 1.2.4 display local-user... 1-27 1.2.5 display user-group... 1-29 i

1.2.6 expiration-date(local user view)... 1-30 1.2.7 group... 1-31 1.2.8 local-user... 1-31 1.2.9 local-user password-display-mode... 1-32 1.2.10 password... 1-33 1.2.11 service-type... 1-34 1.2.12 state(local user view)... 1-34 1.2.13 user-group... 1-35 1.3 RADIUS 配置命令...1-35 1.3.1 accounting-on enable... 1-35 1.3.2 attribute 25 car... 1-36 1.3.3 data-flow-format (RADIUS scheme view)... 1-37 1.3.4 display radius scheme... 1-38 1.3.5 display radius statistics... 1-40 1.3.6 display stop-accounting-buffer... 1-43 1.3.7 key (RADIUS scheme view)... 1-44 1.3.8 nas-ip (RADIUS scheme view)... 1-45 1.3.9 primary accounting (RADIUS scheme view)... 1-46 1.3.10 primary authentication (RADIUS scheme view)... 1-47 1.3.11 radius client... 1-48 1.3.12 radius nas-ip... 1-48 1.3.13 radius scheme... 1-49 1.3.14 radius trap... 1-50 1.3.15 reset radius statistics... 1-51 1.3.16 reset stop-accounting-buffer... 1-51 1.3.17 retry... 1-52 1.3.18 retry realtime-accounting... 1-53 1.3.19 retry stop-accounting (RADIUS scheme view)... 1-53 1.3.20 secondary accounting (RADIUS scheme view)... 1-54 1.3.21 secondary authentication (RADIUS scheme view)... 1-55 1.3.22 security-policy-server... 1-56 1.3.23 server-type... 1-57 1.3.24 state primary... 1-58 1.3.25 state secondary... 1-58 1.3.26 stop-accounting-buffer enable (RADIUS scheme view)... 1-59 1.3.27 timer quiet (RADIUS scheme view)... 1-60 1.3.28 timer realtime-accounting (RADIUS scheme view)... 1-60 1.3.29 timer response-timeout (RADIUS scheme view)... 1-61 1.3.30 user-name-format (RADIUS scheme view)... 1-62 ii

1.4 HWTACACS 配置命令...1-63 1.4.1 data-flow-format (HWTACACS scheme view)... 1-63 1.4.2 display hwtacacs... 1-64 1.4.3 display stop-accounting-buffer... 1-66 1.4.4 hwtacacs nas-ip... 1-66 1.4.5 hwtacacs scheme... 1-67 1.4.6 key (HWTACACS scheme view)... 1-68 1.4.7 nas-ip (HWTACACS scheme view)... 1-68 1.4.8 primary accounting (HWTACACS scheme view)... 1-69 1.4.9 primary authentication (HWTACACS scheme view)... 1-70 1.4.10 primary authorization... 1-70 1.4.11 reset hwtacacs statistics... 1-71 1.4.12 reset stop-accounting-buffer... 1-72 1.4.13 retry stop-accounting (HWTACACS scheme view)... 1-72 1.4.14 secondary accounting (HWTACACS scheme view)... 1-73 1.4.15 secondary authentication (HWTACACS scheme view)... 1-73 1.4.16 secondary authorization... 1-74 1.4.17 stop-accounting-buffer enable (HWTACACS scheme view)... 1-75 1.4.18 timer quiet (HWTACACS scheme view)... 1-76 1.4.19 timer realtime-accounting (HWTACACS scheme view)... 1-76 1.4.20 timer response-timeout (HWTACACS scheme view)... 1-77 1.4.21 user-name-format (HWTACACS scheme view)... 1-78 iii

1 AAA 配置命令 1.1 AAA 配置命令 1.1.1 aaa nas-id profile aaa nas-id profile profile-name undo aaa nas-id profile profile-name 系统视图缺省级别参数描述举例 2: 系统级 profile-name: 保存 NAS-ID 与 VLAN 绑定关系的 Profile 名称, 为 1~16 个字符的字符串, 不区分大小写 aaa nas-id profile 命令用来创建一个 NAS-ID Profile 或者进入一个已创建的 NAS-ID-Profile 视图 undo aaa nas-id profile 命令用来删除一个指定的 NAS-ID Profile 相关配置可参考命令 nas-id bind vlan # 创建一个名字为 aaa 的 NAS-ID Profile [Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa] 1.1.2 access-limit enable access-limit enable max-user-number undo access-limit enable ISP 域视图缺省级别参数描述 2: 系统级 max-user-number: 表示当前 ISP 域可容纳接入用户数的最大值, 取值范围为 1~2147483646 access-limit enable 命令用来限制当前 ISP 域可容纳接入用户数 undo access-limit enable 命令用来恢复缺省情况 1-1

举例缺省情况下, 不限制当前 ISP 域可容纳的接入用户数需要注意的是, 由于接入用户之间会发生资源的争用, 因此适当地配置该值可以使属于当前 ISP 域的用户获得可靠的性能保障对当前 ISP 域下所能接入的用户数进行限制后, 当接入此域的用户数超过当前 ISP 域可容纳的最大用户数后, 新接入的用户将被拒绝 # 指定 ISP 域 test 最多可容纳 500 个接入用户 [Sysname] domain test [Sysname-isp-test] access-limit enable 500 1.1.3 accounting command accounting command hwtacacs-scheme hwtacacs-scheme-name undo accounting command ISP 域视图缺省级别参数描述举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 accounting command 命令用来配置命令行计费方法 undo accounting command 命令用来恢复缺省情况缺省情况下, 命令行计费采用当前 ISP 域的缺省计费方法需要注意的是 : 当前 ISP 域所引用的 HWTACACS 方案必须是已配置的命令行计费支持的远程 AAA 方案目前仅为 HWTACACS 方案相关配置可参考命令 accounting default hwtacacs scheme # 在 ISP 域 test 下, 配置使用 HWTACACS 计费方案 hwtac 进行命令行计费 [Sysname] domain test [Sysname-isp-test] accounting command hwtacacs-scheme hwtac 1.1.4 accounting default accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo accounting default 1-2

ISP 域视图缺省级别参数描述举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 accounting default 命令用来为当前 ISP 域配置缺省的计费方法 undo accounting default 命令用来恢复缺省情况缺省情况下, 当前 ISP 域的缺省计费方法为 local 需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的当前 ISP 域的缺省的计费方法对于该域中未指定具体计费方法的所有接入用户都起作用本地计费只是为了支持本地用户的连接数管理, 没有实际计费相关的统计功能相关配置可参考命令 hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 配置缺省计费方法为使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备份计费方法 [Sysname] domain test [Sysname-isp-test] accounting default radius-scheme rd local 1.1.5 accounting lan-access accounting lan-access { local none radius-scheme radius-scheme-name [ local none] } undo accounting lan-access ISP 域视图缺省级别参数描述 2: 系统级 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 1-3

举例 accounting lan-access 命令用来为 lan-access 用户配置计费方法 undo accounting lan-access 命令用来恢复缺省情况缺省情况下,lan-access 用户采用当前 ISP 域的缺省计费方法需要注意的是, 当前 ISP 域所引用的 RADIUS 方案必须是已配置的相关配置可参考命令 local-user accounting default 和 radius scheme # 在 ISP 域 test 下, 为 lan-access 用户配置计费方法为 local [Sysname] domain test [Sysname-isp-test] accounting lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备份计费方法 [Sysname] domain test [Sysname-isp-test] accounting lan-access radius-scheme rd local 1.1.6 accounting login accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo accounting login ISP 域视图缺省级别参数描述举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 accounting login 命令用来为 login 用户配置计费方法 undo accounting login 命令用来恢复缺省情况缺省情况下,login 用户采用当前 ISP 域的缺省计费方法需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的 FTP 类型的 login 用户不支持计费流程相关配置可参考命令 local-user accounting default hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 为 login 用户配置计费方法为 local 1-4

[Sysname] domain test [Sysname-isp-test] accounting login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备份计费方法 [Sysname] domain test [Sysname-isp-test] accounting login radius-scheme rd local 1.1.7 accounting optional accounting optional undo accounting optional ISP 域视图缺省级别参数 2: 系统级无描述举例 accounting optional 命令用来打开计费可选开关 undo accounting optional 命令用来关闭计费可选开关缺省情况下, 计费可选开关处于关闭状态需要注意的是 : 对上线用户计费时, 如果发现没有可用的计费服务器或与计费服务器通信失败时, 若配置了本命令, 则用户可以继续使用网络资源, 且系统不再为其发送实时计费更新报文, 否则用户连接将被切断该命令适用于不是特别关心计费结果的情况计费可选开关打开的情况下, 本地用户视图下的 access-limit 命令配置的本地用户的连接数限制功能不生效 # 打开 ISP 域 test 的计费可选开关 [Sysname] domain test [Sysname-isp-test] accounting optional 1.1.8 accounting portal accounting portal { local none radius-scheme radius-scheme-name [ local ] } undo accounting portal ISP 域视图缺省级别 1-5

参数描述举例 2: 系统级 local: 本地计费 none: 不计费 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 accounting portal 命令用来为 Portal 用户配置计费方法 undo accounting portal 命令用来恢复缺省情况缺省情况下,Portal 用户采用当前 ISP 域的缺省计费方法需要注意的是, 当前 ISP 域所引用的 RADIUS 方案必须是已配置的相关配置可参考命令 local-user accounting default 和 radius scheme # 在 ISP 域 test 下, 为 Portal 用户配置计费方法为 local [Sysname] domain test [Sysname-isp-test] accounting portal local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd 进行计费, 并且使用 local 作为备份计费方法 [Sysname] domain test [Sysname-isp-test] accounting portal radius-scheme rd local 1.1.9 authentication default authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo authentication default ISP 域视图缺省级别参数描述 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authentication default 命令用来为当前 ISP 域配置缺省的认证方法 undo authentication default 命令用来为恢复缺省情况 1-6

举例缺省情况下, 当前 ISP 域的缺省认证方法为 local 需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 必须是已配置的当前 ISP 域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用相关配置可参考命令 local-user hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 配置缺省认证方法为使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备份认证方法 [Sysname] domain test [Sysname-isp-test] authentication default radius-scheme rd local 1.1.10 authentication lan-access authentication lan-access { local none radius-scheme radius-scheme-name [ local none ] } undo authentication lan-access ISP 域视图缺省级别参数描述举例 2: 系统级 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authentication lan-access 命令用来为 lan-access 用户配置认证方法 undo authentication lan-access 命令用来恢复缺省情况缺省情况下,lan-access 用户采用当前 ISP 域的缺省认证方法需要注意的是, 当前 ISP 域所引用的 RADIUS 方案必须是已配置的相关配置可参考命令 local-user authentication default 和 radius scheme # 在 ISP 域 test 下, 为 lan-access 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行认证, 并且 local 作为备份认证方法 [Sysname] domain test [Sysname-isp-test] authentication lan-access radius-scheme rd local 1-7

1.1.11 authentication login authentication login { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo authentication login ISP 域视图缺省级别参数描述举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authentication login 命令用来为 login 用户配置认证方法 undo authentication login 命令用来恢复缺省情况缺省情况下,login 用户采用当前 ISP 域的缺省认证方法需要注意的是, 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的相关配置可参考命令 local-user authentication default hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 为 login 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行认证, 并且使用 local 作为备份认证方法 [Sysname] domain test [Sysname-isp-test] authentication login radius-scheme rd local 1.1.12 authentication portal authentication portal { local none radius-scheme radius-scheme-name [ local ] } undo authentication portal ISP 域视图缺省级别 1-8

参数描述举例 2: 系统级 local: 本地认证 none: 不进行认证 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authentication portal 命令用来为 Portal 用户配置认证方法 undo authentication portal 命令用来恢复缺省情况缺省情况下,Portal 用户采用当前 ISP 域的缺省认证方法需要注意的是, 当前 ISP 域所引用的 RADIUS 方案必须是已配置的相关配置可参考命令 authentication default radius scheme # 在 ISP 域 test 下, 为 Portal 用户配置认证方法为 local [Sysname] domain test [Sysname-isp-test] authentication portal local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd 进行认证, 并且 local 作为备份认证方法 [Sysname] domain test [Sysname-isp-test] authentication portal radius-scheme rd local 1.1.13 authentication super authentication super { hwtacacs-scheme hwtacacs-scheme-name radius-scheme radius-scheme-name } undo authentication super ISP 域视图缺省级别参数描述 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串, 不区分大小写 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串, 不区分大小写 authentication super 命令用来配置级别切换认证方法 undo authentication super 命令用来恢复缺省情况缺省情况下, 级别切换认证采用当前 ISP 域的缺省认证方法需要注意的是, 当前 ISP 域所引用的 RADIUS 方案和 HWTACACS 方案必须是已配置的 1-9

举例相关配置可参考命令 hwtacacs scheme radius scheme 和基础配置命令参考 /CLI 配置命令中的命令 super authentication-mode # 在 ISP 域 test 下, 配置使用 HWTACACS 方案 tac 进行级别切换认证 [Sysname] super authentication-mode scheme [Sysname] domain test [Sysname-domain-test] authentication super hwtacacs-scheme tac 1.1.14 authorization command authorization command { hwtacacs-scheme hwtacacs-scheme-name [ local none ] local none } undo authorization command ISP 域视图缺省级别参数描述举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权, 认证通过的用户只有系统所给予的 0 级别的命令行访问权限 authorization command 命令用来配置命令行授权方法 undo authorization command 命令用来恢复缺省情况缺省情况下, 命令行授权采用当前 ISP 域的缺省授权方法需要注意的是 : 当前 ISP 域所引用的 HWTACACS 方案必须是已配置的当用户采用本地命令行授权时, 成功登录设备的用户只能执行不大于本地用户级别的命令行相关配置可参考命令 local-user authorization default 和 hwtacacs scheme # 在 ISP 域 test 下, 配置命令行授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization command local # 在 ISP 域 test 下, 配置使用 HWTACACS 方案 hwtac 进行命令行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test 1-10

[Sysname-isp-test] authorization command hwtacacs-scheme hwtac local 1.1.15 authorization default authorization default { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo authorization default ISP 域视图缺省级别参数描述举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权此时, 认证通过的 Login 用户 ( 通过 Console/aux 口或者 Telnet FTP 访问设备的用户 ) 只有系统所给予的 0 级别的命令行访问权限, 其中 FTP 用户可访问设备的根目录 ; 认证通过的非 Login 用户可直接访问网络 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authorization default 命令用来为当前 ISP 域配置缺省的授权方法 undo authorization default 命令用来恢复缺省情况缺省情况下, 当前 ISP 域的缺省授权方法为 local 需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的当前 ISP 域的缺省的授权方法对于该域中未指定具体授权方法的所有接入用户都起作用在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效相关配置可参考命令 local-user authentication default accounting default hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 配置缺省授权方法为使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test [Sysname-isp-test] authorization default radius-scheme rd local 1.1.16 authorization lan-access 1-11

authorization lan-access { local none radius-scheme radius-scheme-name [ local none ] } undo authorization lan-access ISP 域视图缺省级别参数描述举例 2: 系统级 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权, 认证通过的 lan-access 用户可直接访问网络 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authorization lan-access 命令用来为 lan-access 用户配置授权方法 undo authorization lan-access 命令用来为恢复缺省情况缺省情况下,lan-access 用户采用当前 ISP 域的缺省授权方法需要注意的是 : 当前 ISP 域所引用的 RADIUS 方案必须是已配置的在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效相关配置可参考命令 local-user authorization default 和 radius scheme # 在 ISP 域 test 下, 为 lan-access 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization lan-access local # 在 ISP 域 test 下, 配置 lan-access 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test [Sysname-isp-test] authorization lan-access radius-scheme rd local 1.1.17 authorization login authorization login { hwtacacs-scheme hwtacacs-scheme-name [ local ] local none radius-scheme radius-scheme-name [ local ] } undo authorization login ISP 域视图缺省级别 2: 系统级 1-12

参数描述举例 hwtacacs-scheme hwtacacs-scheme-name : 指定 HWTACACS 方案其中, hwtacacs-scheme-name 表示 HWTACACS 方案名, 为 1~32 个字符的字符串 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权此时, 认证通过的 Login 用户 ( 通过 Console/aux 口或者 Telnet FTP 访问设备的用户 ) 只有系统所给予的 0 级别的命令行访问权限, 其中 FTP 用户可访问设备的根目录 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authorization login 命令用来为 login 用户配置授权方法 undo authorization login 命令用来恢复缺省情况缺省情况下,login 用户采用当前 ISP 域的缺省授权方法需要注意的是 : 当前 ISP 域所引用的 RADIUS 或 HWTACACS 方案必须是已配置的在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效相关配置可参考命令 local-user authorization default hwtacacs scheme 和 radius scheme # 在 ISP 域 test 下, 为 login 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization login local # 在 ISP 域 test 下, 配置 login 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test [Sysname-isp-test] authorization login radius-scheme rd local 1.1.18 authorization portal authorization portal { local none radius-scheme radius-scheme-name [ local ] } undo authorization portal ISP 域视图缺省级别参数 2: 系统级 local: 本地授权 none: 不授权接入设备不请求授权信息, 不对用户可以使用的操作以及用户允许使用的网络服务进行授权, 认证通过的 Portal 用户可直接访问网络 1-13

描述举例 radius-scheme radius-scheme-name: 指定 RADIUS 方案其中,radius-scheme-name 表示 RADIUS 方案名, 为 1~32 个字符的字符串 authorization portal 命令用来为 Portal 用户配置授权方法 undo authorization portal 命令用来恢复缺省情况缺省情况下,Portal 用户采用缺省的授权方法需要注意的是 : 当前 ISP 域所引用的 RADIUS 方案必须是已配置的在一个 ISP 域中, 只有配置的认证和授权方法中引用了相同的 RADIUS 方案时,RADIUS 授权过程才能生效相关配置可参考命令 local-user authorization default 和 radius scheme # 在 ISP 域 test 下, 为 Portal 用户配置授权方法为 local [Sysname] domain test [Sysname-isp-test] authorization portal local # 在 ISP 域 test 下, 配置 Portal 用户使用 RADIUS 方案 rd 进行授权, 并且使用 local 作为备份授权方法 [Sysname] domain test [Sysname-isp-test] authorization portal radius-scheme rd local 1.1.19 authorization-attribute user-profile authorization-attribute user-profile profile-name undo authorization-attribute user-profile ISP 域视图缺省级别参数描述举例 3: 管理级 profile-name: 指定的 User Profile 名称, 为 1~31 个字符的字符串, 区分大小写 User Profile 的相关配置请参考安全配置指导中的 User Profile 配置 authorization-attribute user-profile 命令用于配置当前 ISP 域的缺省授权 User Porfile undo authorization-attribute user-profile 命令用于恢复缺省情况缺省情况下, 当前 ISP 域无缺省授权 User Porfile 如果当前 ISP 域的用户认证成功, 但认证服务器 ( 包括本地认证下的接入设备 ) 未对该 ISP 域下发授权 User Porfile, 则系统使用本配置指定的 User Porfile 作为当前 ISP 域的授权 User Porfile 需要注意的是, 重复配置本命令, 会覆盖原有的配置 # 配置 test 域下的缺省授权 User Profile 为 profile1 1-14

[Sysname] domain test [Sysname-isp-test] authorization-attribute user-profile profile1 1.1.20 cut connection cut connection { access-type { dot1x mac-authentication portal } all domain isp-name interface interface-type interface-number ip ip-address mac mac-address ucibindex ucib-index user-name user-name vlan vlan-id } [ slot slot-number ] 系统视图缺省级别参数描述 2: 系统级 access-type: 指定接入方式 dot1x: 表示 802.1X 认证接入方式 ; mac-authentication: 表示 MAC 地址认证接入方式 ; portal: 表示 Portal 认证接入方式 all: 指定所有用户连接 domain isp-name: 指定 ISP 域其中,isp-name 为 ISP 域名, 为 1~24 个字符的字符串 interface interface-type interface-number: 指定接口其中,interface-type interface-number 为接口类型和接口编号 ip ip-address: 指定 IP 地址 mac mac-address: 指定 MAC 地址其中,mac-address 为 H-H-H 格式 ucibindex ucib-index: 指定连接索引号, 取值范围为 0~4294967295 user-name user-name: 指定用户名其中,user-name 表示用户名, 为 1~80 个字符的字符串, 区分大小写若用户输入的用户名未携带域名, 则系统默认其带缺省域名或强制认证域名 vlan vlan-id: 指定用户所在 VLAN 其中,vlan-id 的取值范围为 1~4094 slot slot-number: 指定成员设备 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 cut connection 命令用来强制切断指定 AAA 用户的连接此命令目前只对 lan-access Portal 服务类型的用户有效需要注意的是 : 如果客户端配置的用户名携带版本号或者用户名中存在空格, 则无法通过用户名来检索和切断用户连接, 但是通过其他方式 ( 如 IP 地址连接索引号等 ) 仍然可以检索和切断用户的连接如果接入用户的接口上配置了指定接入类型的强制认证域 ( 例如 802.1X 强制认证域 ), 则通过该接口上线的指定接入类型的用户将使用强制认证域进行认证授权和计费, 因此若要通过 cut connection domain isp-name 命令切断该类用户连接, 则必须指定用户使用的强制认证域名 1-15

举例对于使用域名分隔符 \ 或者 / 的 802.1X 在线用户, 不能通过 cut connection user-name user-name 命令切断其连接例如, 执行命令 cut connection user-name aaa\bbb 后, 不能切断在线用户 aaa\bbb 的连接相关配置可参考命令 display connection 和 service-type # 切断 ISP 域 test 下的所有用户连接 [Sysname] cut connection domain test 1.1.21 display connection display connection [ access-type { dot1x mac-authentication portal } domain isp-name interface interface-type interface-number ip ip-address mac mac-address ucibindex ucib-index user-name user-name vlan vlan-id ] [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别参数 1: 监控级 access-type: 指定接入方式 dot1x: 表示 802.1X 认证接入方式 ; mac-authentication: 表示 MAC 地址认证接入方式 ; portal: 表示 Portal 认证接入方式 domain isp-name: 显示指定 ISP 域中的全部用户连接其中,isp-name 表示 ISP 域名, 为 1~ 24 个字符的字符串, 不区分大小写 interface interface-type interface-number: 指定接口其中,interface-type interface-number 为接口类型和接口编号 ip ip-address: 指定 IP 地址 mac mac-address: 指定 MAC 地址其中,mac-address 为 H-H-H 格式 ucibindex ucib-index: 显示指定连接索引的所有用户连接其中,ucib-index 表示连接索引号, 取值范围为 0~4294967295 user-name user-name: 显示指定用户名的用户连接其中,user-name 表示用户名, 为 1~80 个字符的字符串, 区分大小写若用户输入的用户名未携带域名, 则系统默认其带缺省域名或强制认证域名 vlan vlan-id: 指定用户所在 VLAN 其中,vlan-id 的取值范围为 1~4094 slot slot-number: 显示指定成员设备 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 1-16

描述举例 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display connection 命令用来显示所有或指定的 AAA 用户连接的相关信息需要注意的是 : 不指定任何参数的情况下, 系统显示所有 AAA 用户连接的概要信息指定参数 ucibindex 的情况下, 显示详细的用户连接信息, 指定其它参数则显示概要信息对于 FTP 类型用户, 无法显示 AAA 用户连接的相关信息如果接入用户的接口上配置了强制认证域 ( 例如 802.1X 强制认证域 ), 则通过该接口上线的用户将使用强制认证域进行认证授权和计费, 因此若要通过 display connection domain isp-name 命令显示该类用户信息, 则必须指定用户使用的强制认证域名对于使用域名分隔符 \ 或者 / 的 802.1X 在线用户, 不能通过 display connection user-name user-name 命令查看到其相关信息例如, 执行命令 display connection user-name aaa\bbb 后, 不能查询到在线用户 aaa\bbb 的相关信息相关配置可参考命令 cut connection # 显示所有 AAA 用户连接的相关信息 <Sysname> display connection Slot: 1 Index=0, Username=telnet@system IP=10.0.0.1 IPv6=N/A Total 1 connection(s) matched on slot 1. Total 1 connection(s) matched. # 显示连接索引为 0 的 AAA 用户连接的详细信息 <Sysname> display connection ucibindex 0 Slot: 1 Index=0, Username=telnet@system IP=10.0.0.1 IPv6=N/A Access=Admin,AuthMethod=PAP Port Type=Virtual,Port Name=N/A Initial VLAN=999, Authorization VLAN=20 ACL Group=Disable User Profile=N/A CAR=Disable Priority=Disable Start=2009-07-16 10:53:03,Current=2009-07-16 10:57:06,Online=00h04m03s Total 1 connection matched. Slot: 2 Total 0 connection matched. 1-17

表 1-1 display connection 命令显示信息描述表字段描述 Slot Index Username IP IPv6 Access AuthMethod Port Type Port Name Initial VLAN Authorization VLAN Authorization Tagged VLAN list ACL Group User Profile CAR(kbps) UpPeakRate DnPeakRate UpAverageRate DnAverageRate Priority Start=xxx,Current=xxx,Online=xxx Total 1 connection(s) matched. IRF 成员设备编号索引号当前连接的用户名, 格式为 username@domain 该用户 IPv4 地址该用户 IPv6 地址用户接入类型认证方法用户接入的端口类型用户接入的端口名称用户所在的初始 VLAN 授权 untagged VLAN 授权 tagged VLAN 列表授权 ACL 组授权 User Profile 授权 CAR 参数信息上行峰值速率下行峰值速率上行平均速率下行平均速率用户报文的处理优先级用户上线的时间, 当前的系统时间, 用户在线时长总计 1 个 AAA 用户连接 1.1.22 display domain display domain [ isp-name ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 isp-name: 指定 ISP 域名, 为 1~24 个字符的字符串 1-18

描述举例 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display domain 命令用来显示指定 ISP 域的配置信息如果不指定 ISP 域, 则显示系统中所有 ISP 域的配置信息相关配置可参考命令 access-limit enable domain 和 state # 显示系统中所有 ISP 域的配置信息 <Sysname> display domain 0 Domain : system State : Active Access-limit : Disabled Accounting method : Required Default authentication scheme Default authorization scheme Default accounting scheme Domain User Template: Idle-cut : Disabled Self-service : Disabled Authorization attributes : : local : local : local 1 Domain : test State : Active Access-limit : Disabled Accounting method : Required Default authentication scheme Default authorization scheme Default accounting scheme Lan-access authentication scheme Lan-access authorization scheme Lan-access accounting scheme Domain User Template: Idle-cut : Disabled Self-service : Disabled Authorization attributes : User-profile : profile1 : local : local : local : radius:test, local : hwtacacs:hw, local : local Default Domain Name: system Total 2 domain(s). 表 1-2 display domain 命令显示信息描述表字段描述 Domain 域名 1-19

字段描述 State 状态 (Active: 激活 Block: 阻塞 ) Access-limit 接入限制数 (Disabled: 未使能 ) Accounting method 计费方法 (Required: 必选 Optional: 可选 ) Default authentication scheme Default authorization scheme Default accounting scheme Lan-access authentication scheme Lan-access authorization scheme Lan-access accounting scheme Domain User Template 缺省的认证方法缺省的授权方法缺省的计费方法 lan-access 用户的认证方法 lan-access 用户的授权方法 lan-access 用户的计费方法域用户模板 Idle-cut 闲置切断功能 (Disabled: 未使能 Enabled: 使能 ) Self-service 自助服务功能 (Disabled: 未使能 ) Authorization attributes User-profile Default Domain Name Total 2 domain(s). 授权属性缺省授权 User Profile 名称缺省 ISP 域名总计 2 个 ISP 域 1.1.23 domain domain isp-name undo domain isp-name 系统视图缺省级别参数描述 3: 管理级 isp-name:isp 域名, 为 1~24 个字符的字符串, 不区分大小写, 不能包括 / \ : *? < > 以及 @ 字符 domain 命令用来创建 ISP 域并进入其视图 undo domain 命令用来删除指定的 ISP 域缺省情况下, 系统存在一个名称为 system 的 ISP 域需要注意的是 : 使用此命令时, 如果指定的 ISP 域不存在, 系统将会创建一个新的 ISP 域, 所有的 ISP 域在创建后即处于 active 状态系统中缺省存在的 ISP 域 system, 不能被删除, 只能修改 1-20

举例相关配置可参考命令 state 和 display domain # 创建一个新的 ISP 域 test, 并进入其视图 [Sysname] domain test [Sysname-isp-test] 1.1.24 domain default enable domain default enable isp-name undo domain default enable 系统视图缺省级别参数描述举例 3: 管理级 isp-name: ISP 域名, 为 1~24 个字符的字符串 domain default enable 命令用来配置系统缺省的 ISP 域, 所有在登录时没有提供 ISP 域名的用户都属于这个域 undo domain default enable 命令用来恢复缺省情况缺省情况下, 系统缺省的 ISP 域为 system 需要注意的是 : 缺省的 ISP 域有且只有一个指定的缺省 ISP 域要必须存在, 否则会导致用户名中未携带域名的用户无法进行认证配置为缺省的 ISP 域不能被删除, 除非先恢复要删除的域为非缺省域相关配置可参考命令 domain state 和 display domain # 创建一个新的 ISP 域 test, 并设置为系统缺省的 ISP 域 [Sysname] domain test [Sysname-isp-test] quit [Sysname] domain default enable test 1.1.25 idle-cut enable idle-cut enable minute [ flow ] undo idle-cut enable ISP 域视图缺省级别 2: 系统级 1-21

参数描述举例 minute: 表示允许用户在线后连续的最大空闲时间, 取值范围为 1~120, 单位为分钟 flow: 表示允许用户闲置时的最小数据流量, 取值范围为 1~10240000, 单位为字节, 缺省值为 10240 idle-cut enable 命令用来设置当前 ISP 域下的用户闲置切断功能, 当用户在指定的最大空闲时间内的产生的流量小于指定的最小数据流量时, 会被强制下线 undo idle-cut enable 命令用来恢复缺省情况缺省情况下, 用户闲置切断功能处于关闭状态需要注意的是, 服务器上也可以配置最大空闲时间实现对用户的闲置切断功能, 具体为当用户在指定的最大空闲时间内产生的流量小于 10240 个字节时, 会被强制下线但是, 只有在设备上的闲置切断功能处于关闭状态时, 服务器才会根据自身的配置来控制用户的闲置切断相关配置可参考命令 domain # 允许 ISP 域 test 中的用户启用闲置切断功能, 用户的最大空闲时间为 50 分钟, 闲置时的最小数据流量为 1024 个字节 [Sysname] domain test [Sysname-isp-test] idle-cut enable 50 1024 1.1.26 nas-id bind vlan nas-id nas-identifier bind vlan vlan-id undo nas-id nas-identifier bind vlan vlan-id NAS-ID Profile 视图缺省级别参数描述举例 2: 系统级 nas-identifier:nas-id 名称, 为 1~20 个字符的字符串, 区分大小写 vlan-id: 与 NAS-ID 绑定的 VLAN ID, 取值范围为 1~4094 nas-id bind vlan 命令用来设置 NAS-ID 与 VLAN 的绑定关系, 即把一个 NAS-ID 指定给一个 VLAN undo nas-id bind vlan 命令用来删除一个指定的 NAS-ID 和 VLAN 的绑定关系缺省情况下, 未设置任何绑定关系需要注意的是 : 一个 NAS-ID Profile 视图下, 可以指定多个 NAS-ID 与 VLAN 的绑定关系一个 NAS-ID 可以与多个 VLAN 绑定, 但是一个 VLAN 只能与一个 NAS-ID 绑定若多次将一个 VLAN 与不同的 NAS-ID 进行绑定, 则最后的绑定关系生效相关配置可参考命令 aaa nas-id profile 1-22

# 把 NAS-ID 222 指定给 VLAN 2 [Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa] nas-id 222 bind vlan 2 1.1.27 self-service-url enable self-service-url enable url-string undo self-service-url enable ISP 域视图缺省级别参数描述举例 2: 系统级 url-string: 表示自助服务器修改用户密码页面的 URL, 为 1~64 个字符的字符串字符串必须以 http:// 开始, 字符串中不能包括? 字符 self-service-url enable 命令用来设置自助服务器定位功能 undo self-service-url enable 命令用来恢复缺省情况缺省情况下, 自助服务器定位功能处于关闭状态需要注意的是 : 此命令需要与支持自助服务的 RADIUS 服务器配合使用, 如 imc 自助服务即用户可以对自己的帐号或卡号进行管理和控制安装自助服务软件的服务器即自助服务器如果在设备上配置了此命令, 用户可以通过如下操作定位到自助服务器 : 用户在 802.1X 客户端软件上选择更改用户密码 ; 客户端软件打开用户缺省的浏览器 (IE 或者 NetScape 等 ), 定位到指定的自助服务器更改用户密码的 URL 页面 ; 用户可以在该页面上修改自己的密码只有用户通过认证后才能进行在客户端软件上选择更改用户密码选项, 否则该选项为灰色, 不可用 # 在 ISP 域 test 下, 配置自助服务器修改用户密码页面的 URL 为 http://10.153.89.94/selfservice/modpasswd1x.jsp username [Sysname] domain test [Sysname-isp-test] self-service-url enable http://10.153.89.94/selfservice/modpasswd1x.jsp username 1.1.28 state(isp domain view) state { active block } undo state 1-23

ISP 域视图缺省级别参数描述举例 2: 系统级 active: 指定当前 ISP 域处于活动状态, 即系统允许该域下的用户请求网络服务 block: 指定当前 ISP 域处于阻塞状态, 即系统不允许该域下的用户请求网络服务 state 命令用来设置当前 ISP 域的状态 undo state 命令用来恢复缺省情况缺省情况下, 当一个 ISP 域被创建以后, 其状态为 active(isp 域视图 ) 当指示某个 ISP 域处于 block 状态时, 不允许该域下的用户请求网络服务, 但是不影响已经在线的用户相关配置可参考命令 domain # 设置当前 ISP 域 test 处于阻塞状态, 域下的接入用户不能再请求网络服务 [Sysname] domain test [Sysname-isp-test] state block 1.2 本地用户配置命令 1.2.1 access-limit access-limit max-user-number undo access-limit 本地用户视图缺省级别参数描述举例 3: 管理级 max-user-number: 表示使用当前用户名接入设备的最大用户数, 取值范围为 1~1024 access-limit 命令用来设置当前用户名可容纳的最大接入用户数 undo access-limit 命令用来取消对当前用户名的接入用户数限制缺省情况下, 不限制当前本地用户名可容纳的接入用户数需要注意的是 : 本地用户的 access-limit 命令只在该用户采用了本地计费方法的情况下生效由于 FTP 用户不支持计费, 因此 FTP 用户不受此属性限制相关配置可参考命令 display local-user # 允许同时以用户名 abc 在线的用户数为 5 1-24

[Sysname] local-user abc [Sysname-luser-abc] access-limit 5 1.2.2 authorization-attribute(local user view/user group view) authorization-attribute { acl acl-number callback-number callback-number idle-cut minute level level user-profile profile-name user-role security-audit vlan vlan-id work-directory directory-name } * undo authorization-attribute { acl callback-number idle-cut level user-profile user-role vlan work-directory } * 本地用户视图 / 用户组视图缺省级别参数描述 3: 管理级 acl acl-number: 指定本地用户的授权 ACL 其中,acl-number 为授权 ACL 的编号, 取值范围为 2000~5999 callback-number callback-number: 指定本地用户的授权 PPP 回呼号码其中,callback-number 为 1~64 个字符的字符串, 区分大小写 idle-cut minute: 启用本地用户的闲置切断功能其中,minute 为设定的闲置切断时间, 取值范围为 1~120, 单位为分钟如果用户在线后连续闲置的时长超过该值, 设备会强制该用户下线 level level: 指定本地用户的级别, 取值范围为 0~3 其中 0 为访问级 1 为监控级 2 为系统级 3 为管理级, 数值越小, 用户的级别越低当登录设备用户界面的验证方式配置为 scheme 时, 用户成功登录后所能访问的命令行的级别由本参数决定缺省情况下, 本地用户的级别为 0, 即用户成功登录后缺省可以访问级别为 0 的命令行 user-profile profile-name: 指定本地用户的授权 User Profile 其中,profile-name 表示用户配置文件的名称, 为 1~32 个字符的字符串, 只能包含英文字母数字下划线, 且必须以英文字母开始, 区分大小写 user-role security-audit: 授权本地用户的角色, 对不同角色的用户下发不同的命令行使用权限其中,security-audit 表示授权本地用户为安全日志管理员, 该类型的本地用户通过认证后, 仅能执行与安全日志文件操作相关的命令, 比如保存安全日志文件等, 可执行命令的具体情况请参见网络管理和监控配置指导中的信息中心配置该属性仅在本地用户视图下支持 vlan vlan-id: 指定本地用户的授权 VLAN 其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 work-directory directory-name: 授权 FTP/SFTP 用户可以访问的目录其中,directory-name 表示 FTP/SFTP 用户可以访问的目录, 为 1~135 个字符的字符串, 不区分大小写, 且该目录必须已经存在 authorization-attribute 命令用来设置本地用户或用户组的授权属性, 该属性在本地用户认证通过之后, 由设备下发给用户 undo authorization-attribute 命令用来删除配置的授权属性, 恢复用户具有的缺省访问权限缺省情况下, 未设置任何授权属性需要注意的是 : 1-25

举例可配置的授权属性都有其明确的使用环境和用途, 请仅针对用户的服务类型配置对应的授权属性用户组的授权属性对于组内的所有本地用户生效, 因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理本地用户视图下未配置的授权属性继承所属用户组的授权属性配置, 但是如果本地用户视图与所属的用户组视图下都配置了某授权属性, 则本地用户视图下的授权属性生效在系统中只有一个安全日志管理员的情况下, 这个角色为安全日志管理员的本地用户就不能被删除, 而且也不能去授权该本地用户的安全日志管理员角色, 除非再指定一个新的用户为安全日志管理员 # 配置用户组 abc 的授权 VLAN 为 VLAN 3 [Sysname] user-group abc [Sysname-ugroup-abc] authorization-attribute vlan 3 1.2.3 bind-attribute bind-attribute { call-number call-number [ : subcall-number ] ip ip-address location port slot-number subslot-number port-number mac mac-address vlan vlan-id } * undo bind-attribute { call-number ip location mac vlan } * 本地用户视图缺省级别参数描述 3: 管理级 call-number call-number: 指定 ISDN 用户认证的主叫号码其中 call-number 为 1~64 个字符的字符串 subcall-number: 指定子主叫号码如果配置了子主叫号码, 则主叫号码与子主叫号码的总长度不能大于 62 个字符 ip ip-address: 指定用户的 IP 地址该绑定属性仅适用于 lan-access 类型中的 802.1X 用户 location: 设置用户的端口绑定属性该绑定属性仅适用于 lan-access 类型的用户 port slot-number subslot-number port-number: 指定用户绑定的端口其中 slot-number 为单板所在槽位号, 取值范围为 0~255 subslot-number 为子槽位号, 取值范围为 0~15 port-number 为端口号, 取值范围 0~255 绑定的端口只针对端口号, 不区分端口类型该绑定属性仅适用于 lan-access 类型的用户 mac mac-address: 指定用户的 MAC 地址其中,mac-address 为 H-H-H 格式该绑定属性仅适用于 lan-access 类型的用户 vlan vlan-id: 设置用户所属于的 VLAN 其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 该绑定属性仅适用于 lan-access 类型的用户 bind-attribute 命令用来设置用户的绑定属性 undo bind-attribute 命令用来删除配置的用户绑定属性 1-26

举例缺省情况下, 未设置用户的任何绑定属性需要注意的是, 当对本地用户进行认证时, 如果配置了绑定属性, 则会检查用户的实际属性与配置的绑定属性是否一致, 如果不一致则认证失败而且, 由于认证检测时不区分用户的接入服务类型, 即会对所有类型的用户都进行已配置绑定属性的认证检测, 因此在配置绑定属性时要考虑某类型的用户是否需要绑定某些属性例如, 只有支持 IP 地址上传功能的 802.1X 认证用户才可以配置绑定 IP 地址 ; 对于不支持 IP 地址上传功能的 MAC 地址认证用户, 如果配置了绑定 IP 地址, 则会导致该用户的本地认证失败 # 配置本地用户 abc 的绑定 IP 为 3.3.3.3 [Sysname] local-user abc [Sysname-luser-abc] bind-attribute ip 3.3.3.3 1.2.4 display local-user display local-user [ idle-cut { disable enable } service-type { ftp lan-access portal ssh telnet terminal } state { active block } user-name user-name vlan vlan-id ] [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别参数 1: 监控级 idle-cut { disable enable }: 显示指定闲置切断功能的所有本地用户信息其中,disable 表示禁止用户启用闲置切断功能 ;enable 表示允许用户启用闲置切断功能 service-type: 显示指定用户类型的所有本地用户信息 ftp 指定用户为 FTP 类型 lan-access 指定用户为 lan-access 类型 ( 主要指以太网接入用户, 比如 802.1X 用户 ); portal 为 Portal 用户 ; ssh 为 SSH 用户 ; telnet 为 Telnet 用户 ; terminal 为从 CON 口 AUX 口登录的终端用户 state { active block }: 显示指定状态下的所有本地用户信息其中,active 表示系统允许用户请求网络服务 ;block 表示系统不允许用户请求网络服务 user-name user-name: 显示指定用户名的本地用户信息其中,user-name 表示本地用户名, 为 1~55 个字符的字符串, 区分大小写, 不能携带域名 vlan vlan-id: 显示指定 VLAN 内的所有本地用户信息其中,vlan-id 为 VLAN 编号, 取值范围为 1~4094 slot slot-number: 显示指定成员设备的本地用户信息 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 1-27

begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display local-user 命令用来显示所有或指定的本地用户的相关信息相关配置可参考命令 local-user 举例 # 显示所有本地用户的相关信息 <Sysname> display local-user The contents of local user abc: State: Active ServiceType: lan-access Access-limit: Enable Current AccessNum: 0 Max AccessNum: 10 User-group: system Bind attributes: Authorization attributes: Total 1 local user(s) matched. 表 1-3 display local-user 命令显示信息描述表字段描述 Slot IRF 成员设备编号 State 本地用户状态 (Active: 激活 Block: 阻塞 ) ServiceType Access-limit Current AccessNum Max AccessNum User-group Bind attributes IP address Bind location MAC address VLAN ID Calling Number Authorization attributes 本地用户使用的服务类型 (ftp lan-access portal ssh telnet terminal) 当前用户名的连接数限制当前接入用户数最大接入用户数本地用户所属用户组本地用户的绑定属性本地用户的 IP 地址本地用户绑定的端口本地用户的 MAC 地址本地用户绑定的 VLAN ISDN 用户的主叫号码本地用户的授权属性 Idle TimeOut 本地用户闲置切断时间 ( 单位为分钟 ) Callback-number Work Directory 本地用户的授权 PPP 回呼号码 FTP/SFTP 用户可以访问的目录 1-28

字段描述 User Privilege VLAN ID User Profile Expiration date Password-Aging Password-Length Password-Composition Total 1 local user(s) matched. 本地用户级别本地用户授权 VLAN 本地用户授权 User Profile 本地用户的有效期本地用户密码的老化时间本地用户密码的最小长度本地用户密码的组合策略总计有 1 个本地用户匹配 1.2.5 display user-group display user-group [ group-name ] [ { begin exclude include } regular-expression ] 任意视图缺省级别参数描述举例 2: 系统级 group-name: 用户组名称, 为 1~32 个字符的字符串, 不区分大小写 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display user-group 命令用来显示用户组的相关配置相关配置请参考命令 user-group # 显示用户组 abc 的相关配置 <Sysname> display user-group abc The contents of user group abc: Authorization attributes: Idle-cut: 120(min) Work Directory: FLASH: Level: 1 Acl Number: 2000 Vlan ID: 1 User-Profile: 1 1-29

Callback-number: 1 Password-Aging: Enabled (1 day(s)) Password-Length: Enabled (4 characters) Password-Composition: Enabled (1 type(s), 1 character(s) per type) Total 1 user group(s) matched. 表 1-4 display user-group 命令显示信息描述表字段描述 Idle-cut 闲置切断时间 ( 单位 : 分钟 ) Work Directory Level Acl Number Vlan ID User-Profile Callback-number Password-Aging Password-Length Password-Composition Total 1 user group(s) matched. FTP/SFTP 用户可以访问的目录本地用户的级别授权 ACL 号授权 VlAN ID 授权 User Profile 名称 PPP 回呼号码本地用户密码老化时间本地用户密码最小长度本地用户密码组合策略总计有 1 个用户组匹配 1.2.6 expiration-date(local user view) expiration-date time undo expiration-date 本地用户视图缺省级别参数描述 3: 管理级 time: 本地用户的有效期, 精确到秒, 格式为 HH:MM:SS-MM/DD/YYYY( 时 : 分 : 秒 - 月 / 日 / 年 ) 或 HH:MM:SS-YYYY/MM/DD( 时 : 分 : 秒 - 年 / 月 / 日 ) 其中,HH:MM:SS 中的 HH 取值范围为 0~23, MM 和 SS 取值范围为 0~59;MM/DD/YYYY 中的 MM 的取值范围为 1~12,DD 的取值范围与月份有关,YYYY 的取值范围为 2000~2035 除表示零点外, 格式中的前导 0 可以省略不写, 比如 2:2:0-2008/2/2 等效于 02:02:00-2008/02/02 expiration-date 命令用来配置本地用户的有效期 undo expiration-date 用来取消本地用户的有效期配置缺省情况下, 未设置用户的有效期, 设备不进行用户有效期的检查 1-30

举例在有用户临时需要接入网络的情况下, 设备管理员可以为用户建立临时使用的来宾帐户, 并通过该配置对来宾帐户进行有效期的控制当该用户进行本地认证时, 接入设备检查当前系统时间是否在用户的有效期内, 若在有效期内则允许用户登录, 否则拒绝用户登录需要注意的是, 如果设备管理员手工修改系统时间, 或其它原因导致系统时间发生变化, 则在用户认证时使用修改后的系统时间与配置的用户有效期进行比较 # 配置用户 abc 的有效期为 2008/05/31 的 12:10:20 [Sysname] local-user abc [Sysname-luser-abc] expiration-date 12:10:20-2008/05/31 1.2.7 group group group-name undo group 本地用户视图缺省级别参数描述举例 3: 管理级 group-name: 用户组名称, 为 1~32 个字符的字符串, 不区分大小写 group 命令用来设置本地用户所属的用户组 undo group 命令用来恢复缺省配置缺省情况下, 用户属于系统默认创建的用户组 system # 设置本地用户 111 所属的用户组为 abc [Sysname] local-user 111 [Sysname-luser-111] group abc 1.2.8 local-user local-user user-name undo local-user { user-name all [ service-type { ftp lan-access portal ssh telnet terminal } ] } 系统视图缺省级别参数 3: 管理级 1-31

描述举例 user-name: 表示本地用户名, 为 1~55 个字符的字符串, 区分大小写用户名不能携带域名, 不能包括符号 \ / : *? < > 和 @, 且不能为 a al 或 all all: 所有的用户 service-type: 指定用户的类型具体用户类型如下 : ftp: 表示 FTP 类型用户 ; lan-access: 表示 lan-access 类型用户 ( 主要指以太网接入用户, 比如 802.1X 用户 ); portal: 表示 Portal 用户 ; ssh: 表示 SSH 用户 ; telnet: 表示 Telnet 用户 ; terminal: 表示从 Console 口 AUX 口登录的终端用户 local-user 命令用来添加本地用户并进入本地用户视图 undo local-user 命令用来删除指定的本地用户缺省情况下, 无本地用户相关配置可参考命令 display local-user 和 service-type # 添加名称为 user1 的本地用户 [Sysname] local-user user1 [Sysname-luser-user1] 1.2.9 local-user password-display-mode local-user password-display-mode { auto cipher-force } undo local-user password-display-mode 系统视图缺省级别参数描述 2: 系统级 auto: 自动方式, 即接入用户的密码显示方式与该用户通过 password 命令设置的密码显示方式一致 cipher-force: 强制密文方式, 即所有接入用户的密码显示方式必须采用密文方式 local-user password-display-mode 命令用来设置所有本地用户密码的显示方式 undo local-user password-display-mode 命令用来恢复缺省情况缺省情况下, 所有接入用户的密码显示方式为自动方式当采用 cipher-force 方式后 : 即使通过 password 命令指定密码显示方式为明文显示 ( 即 simple 方式 ), 密码仍然会显示为密文 1-32

举例使用 save 命令保存当前配置, 重启设备后, 即使恢复为 auto 方式, 原来配置为明文显示的密码仍然显示为密文相关配置可参考命令 display local-user 和 password # 设置所有本地用户采用密文方式显示密码 [Sysname] local-user password-display-mode cipher-force 1.2.10 password password [ { cipher simple } password ] undo password 本地用户视图缺省级别参数描述举例 2: 系统级 cipher: 表示密码为密文显示 simple: 表示密码为明文显示 password: 表示设置的密码明文密码可以是长度小于等于 63 的连续字符串, 如 :aabbcc 密文密码的长度取值为 24 或 88, 如 _(TT8F]Y\5SQ=^Q`MAF4<1!! 对于 simple 方式,password 必须是明文密码对于 cipher 方式,password 可以是密文密码也可以是明文密码 password 命令用来设置本地用户的密码 undo password 命令用来取消本地用户的密码需要注意的是 : 如果不指定任何参数, 则表示以交互式方式设置本地用户密码, 该密码将为明文显示仅支持 Password Control 特性的设备上才支持本方式,Password Control 相关命令的具体介绍请参见安全命令参考中的 Password Control 使能 Password Control 特性的全局密码管理功能 ( 通过命令 password-control enable) 后, 本地用户密码的设置将受到 Password Control 特性的约束, 比如密码的长度复杂度等将会受到限制, 并且设备上将不显示配置的本地用户密码, 以及 local-user password-display-mode 命令将会无效当采用 local-user password-display-mode cipher-force 命令后, 即使用户通过 password 命令指定密码显示方式为明文显示 ( 即 simple 方式 ) 后, 密码也会显示为密文在 cipher 方式下, 长度小于等于 16 的明文密码会被加密为长度是 24 的密文, 长度大于 16 且小于等于 63 的明文密码会被加密为长度是 88 的密文当用户输入长度为 24 的密码时, 如果密码能够被系统解密, 则按密文密码处理 ; 若不能被解密, 则按明文密码处理相关配置可参考命令 display local-user # 设置名称为 user1 的密码为明文显示, 密码为 123456 1-33

[Sysname] local-user user1 [Sysname-luser-user1] password simple 123456 1.2.11 service-type service-type { ftp lan-access { ssh telnet terminal } * portal } undo service-type { ftp lan-access { ssh telnet terminal } * portal } 本地用户视图缺省级别参数描述举例 3: 管理级 ftp: 指定用户可以使用 FTP 服务若授权 FTP 服务, 缺省授权使用设备的根目录 lan-access: 指定用户可以使用 lan-access 服务主要指以太网接入用户, 比如 802.1X 用户 ssh: 指定用户可以使用 SSH 服务 telnet: 指定用户可以使用 Telnet 服务 terminal: 指定用户可以使用 terminal 服务 ( 即从 Console 口 AUX 口登录 ) portal: 指定用户可以使用 Portal 服务 service-type 命令用来设置用户可以使用的服务类型 undo service-type 命令用来删除用户可以使用的服务类型缺省情况下, 系统不对用户授权任何服务 # 指定用户可以使用 Telnet 服务 [Sysname] local-user user1 [Sysname-luser-user1] service-type telnet 1.2.12 state(local user view) state { active block } undo state 本地用户视图缺省级别参数描述 2: 系统级 active: 指定当前本地用户处于活动状态, 即系统允许当前本地用户请求网络服务 block: 指定当前本地用户处于阻塞状态, 即系统不允许当前本地用户请求网络服务 1-34

举例 state 命令用来设置当前本地用户的状态 undo state 命令用来恢复缺省情况缺省情况下, 当一个本地用户被创建以后, 其状态为 active( 本地用户视图 ) 当指示某个用户处于 block 状态时, 不允许当前本地用户请求网络服务, 但是不影响其它用户相关配置可参考命令 local-user # 设置本地用户 user1 处于阻塞状态 [Sysname] local-user user1 [Sysname-luser-user1] state block 1.2.13 user-group user-group group-name undo user-group group-name 系统视图缺省级别参数描述举例 3: 管理级 group-name: 用户组名称, 为 1~32 个字符的字符串, 不区分大小写 user-group 命令用来创建用户组并进入其视图 undo user-group 命令用来删除指定的用户组用户组是一个本地用户策略及属性的集合, 某些需要集中管理的策略或者属性可在在用户组中统一配置和管理目前, 用户组中可配置的内容包括本地用户密码的控制策略和用户的授权属性需要注意的是 : 当用户组中有本地用户时, 不允许使用 undo user-group 删除该用户组不能删除系统中存在的默认用户组 system, 但可以修改该用户组的配置相关配置可参考命令 display user-group # 创建名称为 abc 的用户组并进入其视图 [Sysname] user-group abc [Sysname-ugroup-abc] 1.3 RADIUS 配置命令 1.3.1 accounting-on enable accounting-on enable [ interval seconds send send-times ] * undo accounting-on enable 1-35

RADIUS 方案视图缺省级别参数描述举例 2: 系统级 seconds:accounting-on 报文重发时间间隔, 取值范围为 1~15, 单位为秒, 缺省值为 3 send-times:accounting-on 报文的最大发送次数, 取值范围为 1~255, 缺省值为 5 accounting-on enable 命令用来配置 accounting-on 功能, 包括使能 accounting-on 功能配置 accounting-on 报文重发时间间隔和 accounting-on 报文的最大发送次数在 accounting-on 功能处于使能的情况下, 设备重启后, 会发送 accounting-on 报文通知 RADIUS 服务器该设备已经重启, 要求 RADIUS 服务器强制该设备的用户下线 undo accounting-on enable 命令用来恢复缺省情况缺省情况下,accounting-on 功能处于关闭状态需要注意的是 : 设备启动后, 如果当前系统中没有使能 accounting-on 功能的 RADIUS 方案, 则执行完该命令后, 必须执行 save 操作, 这样设备重启后 accounting-on 功能才能生效但是, 如果当前系统中已经有 RADIUS 方案使能了 accounting-on 功能, 则对未使能该功能的 RADIUS 方案执行该命令后,accounting-on 功能会立即生效在执行 accounting-on 功能的过程中, 使用该命令重新设置的报文重发间隔时间以及报文最大发送次数会立即生效相关配置可参考命令 radius scheme # 使能 RADIUS 认证方案 rd 的 accounting-on 功能, 并配置 accounting-on 报文重发时间间隔为 5 秒 accounting-on 报文的最大发送次数为 15 次 [Sysname] radius scheme rd [Sysname-radius-rd] accounting-on enable interval 5 send 15 1.3.2 attribute 25 car attribute 25 car undo attribute 25 car RADIUS 方案视图缺省级别参数 2: 系统级无描述 attribute 25 car 命令用来开启 RADIUS Attribute 25 的 CAR 参数解析功能 undo attribute 25 car 命令用来恢复缺省情况 1-36

举例缺省情况下,RADIUS Attribute 25 的 CAR 参数解析功能处于关闭状态相关配置可参考命令 display radius scheme 和 display connection # 开启 RADIUS Attribute 25 的 CAR 参数解析功能 [Sysname] radius scheme radius1 [Sysname-radius-radius1] attribute 25 car 1.3.3 data-flow-format (RADIUS scheme view) data-flow-format { data { byte giga-byte kilo-byte mega-byte } packet { giga-packet kilo-packet mega-packet one-packet } } * undo data-flow-format { data packet } RADIUS 方案视图缺省级别参数描述举例 2: 系统级 data: 设置数据的单位 byte: 数据单位为字节 giga-byte: 数据单位千兆字节 kilo-byte: 数据单位为千字节 mega-byte: 数据单位为兆字节 packet: 设置数据包的单位 giga-packet: 数据包的单位为千兆包 kilo-packet: 数据包的单位为千包 mega-packet: 数据包的单位为兆包 one-packet: 数据包的单位为包 data-flow-format 命令用来配置发送到 RADIUS 服务器的数据流的单位 undo data-flow-format 命令用来恢复缺省情况缺省情况下, 数据的单位为 byte, 数据包的单位为 one-packet 需要注意的是, 设备上配置的发送给 RADIUS 服务器的数据流单位应与 RADIUS 服务器上的流量统计单位保持一致, 否则无法正确计费相关配置可参考命令 display radius scheme # 设置发往 RADIUS 服务器的数据流的数据单位为千字节数据包单位为千包 [Sysname] radius scheme radius1 [Sysname-radius-radius1] data-flow-format data kilo-byte packet kilo-packet 1-37

1.3.4 display radius scheme display radius scheme [ radius-scheme-name ] [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别参数描述举例 2: 系统级 radius-scheme-name: 指定 RADIUS 方案名 slot slot-number: 显示指定成员设备上的 RADIUS 方案配置信息 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display radius scheme 命令用来显示所有或指定 RADIUS 方案的配置信息需要注意的是 : 如果不指定 RADIUS 方案名, 则显示所有 RADIUS 方案的配置信息如果不指定成员设备编号, 则显示所有成员设备上 RADIUS 方案的配置信息相关配置可参考命令 radius scheme # 显示所有 RADIUS 方案的配置信息 <Sysname> display radius scheme ------------------------------------------------------------------ SchemeName : radius1 Index : 0 Type : extended Primary Auth Server: IP: 1.1.1.1 Port: 1812 State: active Encryption Key : 345 Primary Acct Server: IP: 1.1.1.1 Port: 1813 State: active Encryption Key : 345 Second Auth Server: IP: 1.1.2.1 Port: 1812 State: active Encryption Key : N/A IP: 1.1.3.1 Port: 1812 State: active Encryption Key : N/A Second Acct Server: 1-38

IP: 1.1.2.1 Port: 1813 State: block Encryption Key : N/A Auth Server Encryption Key : 123 Acct Server Encryption Key : N/A Accounting-On packet disable, send times : 5, interval : 3s Interval for timeout(second) : 3 Retransmission times for timeout : 3 Interval for realtime accounting(minute) : 12 Retransmission times of realtime-accounting packet : 5 Retransmission times of stop-accounting packet : 500 Quiet-interval(min) : 5 Username format : without-domain Data flow unit : Byte Packet unit : one NAS-IP address : 1.1.1.1 Attribute 25 : car ------------------------------------------------------------------ Total 1 RADIUS scheme(s). 表 1-5 display radius scheme 命令显示信息描述表字段描述 SchemeName Index Type Primary Auth Server Primary Acct Server Second Auth Server Second Acct Server Encryption Key IP Port State Auth Server Encryption Key Acct Server Encryption Key Accounting-On packet disable send times RADIUS 方案的名称 RADIUS 方案的索引号 RADIUS 服务器的类型主认证服务器主计费服务器从认证服务器从计费服务器认证 / 计费服务器的共享密钥主认证 / 计费服务器 IP 地址未配置时, 显示为 N/A 主认证 / 计费服务器接入端口号未配置时, 显示缺省值主认证 / 计费服务器目前状态 active: 激活 block: 阻塞认证服务器的共享密钥计费服务器的共享密钥 accounting-on 功能未使能 accounting-on 报文的重发次数 interval accounting-on 报文的重发间隔 ( 秒 ) Interval for timeout(second) 超时时间 ( 秒 ) Retransmission times for timeout 超时重发次数 1-39

字段描述 Interval for realtime accounting(minute) 实时计费间隔 ( 分钟 ) Retransmission times of realtime-accounting packet Retransmission times of stop-accounting packet Quiet-interval(min) Username format Data flow unit Packet unit NAS-IP address Attribute 25 Total 1 RADIUS scheme(s). 实时计费报文重发次数无响应停止计费报文重发次数主服务器恢复激活状态的时间发送给 RADIUS 服务器的用户名格式流量数据的单位数据包的单位发送 RADIUS 报文的源 IP 地址将 RADIUS Attribute 25 解析为 CAR 参数共计 1 个 RADIUS 方案 1.3.5 display radius statistics display radius statistics [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别参数描述举例 2: 系统级 slot slot-number: 显示指定成员设备上 RADIUS 报文的统计信息 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display radius statistics 命令用来显示 RADIUS 报文的统计信息相关配置可参考命令 radius scheme # 显示设备上的 RADIUS 报文统计信息 <Sysname> display radius statistics Slot 1:state statistic(total=1048): DEAD = 1048 AuthProc = 0 AuthSucc = 0 1-40

AcctStart = 0 RLTSend = 0 RLTWait = 0 AcctStop = 0 OnLine = 0 Stop = 0 StateErr = 0 Received and Sent packets statistic: Sent PKT total = 6 Received PKT total = 0 Resend Times Resend total 1 2 2 2 Total 4 RADIUS received packets statistic: Code = 2 Num = 0 Err = 0 Code = 3 Num = 0 Err = 0 Code = 5 Num = 0 Err = 0 Code = 11 Num = 0 Err = 0 Running statistic: RADIUS received messages statistic: Normal auth request Num = 2 Err = 0 Succ = 2 EAP auth request Num = 0 Err = 0 Succ = 0 Account request Num = 0 Err = 0 Succ = 0 Account off request Num = 0 Err = 0 Succ = 0 PKT auth timeout Num = 5 Err = 1 Succ = 4 PKT acct_timeout Num = 0 Err = 0 Succ = 0 Realtime Account timer Num = 0 Err = 0 Succ = 0 PKT response Num = 0 Err = 0 Succ = 0 Session ctrl pkt Num = 0 Err = 0 Succ = 0 Normal author request Num = 0 Err = 0 Succ = 0 Set policy result Num = 0 Err = 0 Succ = 0 RADIUS sent messages statistic: Auth accept Num = 0 Auth reject Num = 1 EAP auth replying Num = 0 Account success Num = 0 Account failure Num = 0 Server ctrl req Num = 0 RecError_MSG_sum = 0 SndMSG_Fail_sum = 0 Timer_Err = 0 Alloc_Mem_Err = 0 State Mismatch = 0 Other_Error = 0 No-response-acct-stop packet = 0 Discarded No-response-acct-stop packet for buffer overflow = 0 表 1-6 display radius statistics 命令显示信息描述表字段描述 slot state statistic DEAD IRF 成员设备编号状态统计空闲态用户数 1-41

字段描述 AuthProc AuthSucc AcctStart RLTSend RLTWait AcctStop OnLine Stop StateErr Received and Sent packets statistic Sent PKT total Received PKT total Resend Times Resend total Total RADIUS received packets statistic Code Num Err Running statistic RADIUS received messages statistic Normal auth request EAP auth request Account request Account off request PKT auth timeout PKT acct_timeout Realtime Account timer PKT response Session ctrl pkt Normal author request Succ Set policy result RADIUS sent messages statistic 认证等待态用户数认证成功态用户数计费开始态用户数实时计费发送态用户数实时计费等待态用户数计费等待停止态用户数在线态用户数停止态用户数未知错误态用户数收发报文数目统计发送报文总数接收报文总数重传报文的次数单次重传报文数重传报文总数 RADIUS 模块接收报文数目统计报文类型报文总数错误报文数运行间报文数目统计 RADIUS 已接收消息数目统计普通认证请求报文数 EAP 认证请求报文数计费请求报文数计费停止请求报文数认证超时报文数计费超时报文数实时计费请求报文数响应报文数会话控制报文数普通授权请求报文数成功报文数 Set policy 结果报文数 RAIUDS 已发送消息数目统计 1-42

字段描述 Auth accept Auth reject EAP auth replying Account success Account failure Server ctrl req RecError_MSG_sum SndMSG_Fail_sum Timer_Err Alloc_Mem_Err State Mismatch Other_Error No-response-acct-stop packet Discarded No-response-acct-stop packet for buffer overflow 认证接收报文数认证拒绝报文数 EAP 认证回应报文数计费成功报文数计费失败报文数服务器控制请求报文数接收错误消息总数发送消息失败总数启动定时器失败报文数申请内存失败报文数状态不匹配报文数其它错误报文数停止计费报文无响应数因缓存区满而丢弃的无响应停止计费报文总数 1.3.6 display stop-accounting-buffer display stop-accounting-buffer { radius-scheme radius-scheme-name session-id session-id time-range start-time stop-time user-name user-name } [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别参数 2: 系统级 radius-scheme radius-scheme-name: 根据指定 RADIUS 方案显示缓存的停止计费请求报文其中,radius-scheme-name 为 RADIUS 方案名, 为 1~32 个字符的字符串 session-id session-id: 根据指定会话 ID 显示缓存的停止计费请求报文其中,session-id 为 1~ 50 个字符的字符串 time-range start-time stop-time: 根据停止计费请求时刻的起始和停止时间显示缓存的停止计费请求报文其中,start-time 为请求时间段的起始时间 ;stop-time 为请求时间段的结束时间, 格式为 hh:mm:ss- mm/dd/yyyy( 时 : 分 : 秒 - 月 / 日 / 年 ) 或 hh:mm:ss-yyyy/mm/dd( 时 : 分 : 秒 - 年 / 月 / 日 ) 如果使用本参数, 则停止计费请求时刻在 start-time 到 stop-time 范围内的暂存的停止计费请求报文都会被显示 1-43

描述举例 user-name user-name: 根据指定用户名显示缓存的停止计费请求报文其中,user-name 表示用户名, 为 1~80 个字符的字符串, 区分大小写输入的用户名是否携带 ISP 域名, 必须与 RADIUS 方案中的 user-name-format 配置保持一致 slot slot-number: 显示指定成员设备上缓存的停止计费请求报文 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display stop-accounting-buffer 命令用来显示缓存的没有得到响应的停止计费请求报文需要注意的是 : 可以选择显示发往某个 RADIUS 方案的报文 ; 也可以根据用户会话的 session-id 或用户名来显示报文 ; 还可以指定一个时间段, 显示那些发起停止计费请求的时刻处于指定时间段内的报文根据显示的报文信息, 可以帮助诊断与排除 RADIUS 相关故障在发送停止计费请求报文而 RADIUS 服务器没有响应时, 设备会尝试重传该报文, 如果发送该报文的最大尝试次数超作指定的值 ( 由 retry 命令设置 ) 后仍然没有得到响应, 则设备会缓存该报文, 然后再发起一次请求, 若继续无响应, 则重复上述过程, 一定次数 ( 由 retry stop-accounting 命令设置 ) 之后, 设备将其丢弃相关配置可参考命令 reset stop-accounting-buffer stop-accounting-buffer enable user-name-format retry 和 retry stop-accounting # 显示从 2006 年 8 月 31 日 0 点 0 分 0 秒到 2006 年 8 月 31 日 23 点 59 分 59 秒期间内系统缓存的停止计费请求报文 <Sysname> display stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006 Slot 1: Total 0 record(s) Matched 1.3.7 key (RADIUS scheme view) key { accounting authentication } string undo key { accounting authentication } RADIUS 方案视图缺省级别参数 2: 系统级 accounting: 指定 RADIUS 计费报文的共享密钥 authentication: 指定 RADIUS 认证 / 授权报文的共享密钥 1-44

描述举例 string: 密钥, 为 1~64 个字符的字符串, 区分大小写 key 命令用来配置 RADIUS 认证 / 授权或计费报文的共享密钥 undo key 命令用来删除配置缺省情况下, 无共享密钥需要注意的是 : 设备优先采用配置 RADIUS 认证 / 授权 / 计费服务器时指定的报文共享密钥, 本配置中指定的报文共享密钥仅在配置 RADIUS 认证 / 授权 / 计费服务器时未指定相应密钥的情况下使用必须保证设备上设置的共享密钥与 RADIUS 服务器上的完全一致相关配置可参考命令 display radius scheme # 将 RADIUS 方案 radius1 的认证 / 授权报文的共享密钥设置为 hello [Sysname] radius scheme radius1 [Sysname-radius-radius1] key authentication hello # 将 RADIUS 方案 radius1 的计费报文的共享密钥设置为 ok [Sysname] radius scheme radius1 [Sysname-radius-radius1] key accounting ok 1.3.8 nas-ip (RADIUS scheme view) nas-ip { ip-address ipv6 ipv6-address } undo nas-ip RADIUS 方案视图缺省级别参数描述 2: 系统级 ip-address: 指定的源 IPv4 地址, 应该为本机的地址, 禁止配置全 0 地址全 1 地址 D 类地址 E 类地址和环回地址 ipv6 ipv6-address: 指定的源 IPv6 地址, 应该为本机的地址, 必须是单播地址, 不能为环回地址与本地链路地址 nas-ip 命令用来设置设备发送 RADIUS 报文使用的源 IP 地址 undo nas-ip 命令用来恢复缺省情况缺省情况下, 使用系统视图下由命令 radius nas-ip 指定的源地址需要注意的是 : RADIUS 服务器上通过 IP 地址来标识接入设备, 并根据收到的 RADIUS 报文的源 IP 地址是否与服务器所管理的接入设备的 IP 地址匹配, 来决定是否处理来自该接入设备的认证或计费请求因此, 为保证认证和计费报文可被服务器正常接收并处理, 接入设备上发送 RADIUS 报文使用的源地址必须与 RADIUS 服务器上指定的接入设备的 IP 地址保持一致 1-45

RADIUS 方案视图下的命令 nas-ip 只对本 RADIUS 方案有效, 系统视图下的命令 radius nas-ip 对所有 RADIUS 方案有效 RADIUS 方案视图下的设置具有更高的优先级本命令配置的源 IP 地址与 RADIUS 方案中设置的服务器 IP 地址的协议版本必须保持一致, 否则配置能成功但不能生效相关配置可参考命令 radius nas-ip 举例 # 配置设备发送 RADIUS 报文使用的源 IP 地址为 10.1.1.1 [Sysname] radius scheme test1 [Sysname-radius-test1] nas-ip 10.1.1.1 1.3.9 primary accounting (RADIUS scheme view) primary accounting { ip-address [ port-number key string ] * ipv6 ipv6-address [ port-number key string ] * } undo primary accounting RADIUS 方案视图缺省级别参数描述 2: 系统级 ip-address: 主 RADIUS 计费服务器的 IPv4 地址 ipv6 ipv6-address: 主 RADIUS 计费服务器的 IPv6 地址 port-number:udp 端口号, 缺省为 1813, 取值范围为 1~65535 key string: 主 RADIUS 计费服务器的计费报文的共享密钥, 为 1~64 个字符的字符串, 区分大小写 primary accounting 命令用来配置主 RADIUS 计费服务器 undo primary accounting 命令用来删除设置的主 RADIUS 计费服务器缺省情况下, 未配置主计费服务器需要注意的是 : 主计费服务器和从计费服务器的 IP 地址不能相同, 否则将提示配置不成功需保证设备上的 RADIUS 服务端口与 RADIUS 服务器上的端口设置一致需保证设备上设置的计费报文的共享密钥与 RADIUS 服务器上的完全一致设备与主计费服务器通信时优先使用本命令设置的共享密钥, 如果此处未设置, 则使用命令 key accounting string 命令设置的共享密钥主计费服务器和从计费服务器的 IP 地址协议版本必须一致, 否则提示错误计费服务器与认证服务器的 IP 地址协议版本必须一致, 否则提示错误如果在发送计费开始请求过程中修改了主计费服务器, 则设备在与当前服务器通信超时后, 将会重新从主服务器开始依次查找状态为 active 的服务器进行通信如果在线用户正在使用的计费服务器被删除, 则设备将将无法发送用户的实时计费请求和停止计费请求, 且停止计费报文不会被缓存到本地 1-46

举例相关配置可参考命令 key radius scheme state # 设置 RADIUS 方案 radius1 的主计费服务器的 IP 地址为 10.110.1.2, 使用 UDP 端口 1813 提供 RADIUS 计费服务 [Sysname] radius scheme radius1 [Sysname-radius-radius1] primary accounting 10.110.1.2 1813 1.3.10 primary authentication (RADIUS scheme view) primary authentication { ip-address [ port-number key string ] * ipv6 ipv6-address [ port-number key string ] * } undo primary authentication RADIUS 方案视图缺省级别参数描述 2: 系统级 ip-address: 主 RADIUS 认证 / 授权服务器的 IPv4 地址 ipv6 ipv6-address: 主 RADIUS 认证 / 授权服务器的 IPv6 地址 port-number:udp 端口号, 缺省为 1812, 取值范围为 1~65535 key string: 主 RADIUS 认证 / 授权服务器的认证 / 授权报文的共享密钥, 为 1~64 个字符的字符串, 区分大小写 primary authentication 命令用来配置主 RADIUS 认证 / 授权服务器 undo primary authentication 命令用来删除设置的主 RADIUS 认证 / 授权服务器缺省情况下, 未配置主认证 / 授权服务器需要注意的是 : 当创建一个新的 RADIUS 方案之后, 需要对属于此方案的 RADIUS 服务器的 IP 地址和 UDP 端口号进行设置这些服务器包括认证 / 授权和计费服务器, 而每种服务器又有主服务器和从服务器的区别在实际组网环境中, 上述参数的设置需要根据具体需求来决定但是必须至少设置一个认证 / 授权服务器和一个计费服务器同时在配置过程中, 请保证设备上的 RADIUS 服务端口设置与 RADIUS 服务器上的端口设置保持一致需保证设备上设置的认证 / 授权报文的共享密钥与 RADIUS 服务器上的完全一致设备与主认证 / 授权服务器通信时优先使用本命令设置的共享密钥, 如果此处未设置, 则使用命令 key authenticaiton string 命令设置的共享密钥主认证 / 授权服务器和从认证 / 授权服务器的 IP 地址不能相同, 否则将提示配置不成功主认证 / 授权服务器和从认证 / 授权服务器的 IP 地址协议版本必须一致, 否则提示错误认证 / 授权服务器与计费服务器的 IP 地址协议版本必须一致, 否则提示错误如果在认证过程中使用本命令删除了主认证服务器, 则设备在与当前服务器通信超时后, 将会重新从主服务器开始依次查找状态为 active 的服务器进行通信相关配置可参考命令 key radius scheme state 1-47

举例 # 设置 RADIUS 方案 radius1 的主认证 / 授权服务器的 IP 地址为 10.110.1.1, 使用 UDP 端口 1812 提供 RADIUS 认证 / 授权服务 [Sysname] radius scheme radius1 [Sysname-radius-radius1] primary authentication 10.110.1.1 1812 1.3.11 radius client radius client enable undo radius client 系统视图缺省级别参数 2: 系统级无描述举例 radius client enable 命令用来使能 RADIUS 客户端的监听端口, 使能后的端口可以接收和发送 RADIUS 报文 undo radius client 命令用来关闭 RADIUS 客户端的监听端口缺省情况下, 监听端口处于使能状态需要注意的是 : 关闭 RADIUS 客户端的监听端口后,RADIUS 可以接受认证 / 授权 / 计费请求, 也可以处理 RADIUS 的定时器消息, 但报文发送会失败, 同时不能接收来自 RADIUS 服务器的报文关闭 RADIUS 客户端的监听端口后, 在线用户的计费结束报文无法发出, 且不能被缓存同时,RADIUS 服务器收不到在线用户的下线报文, 会出现有一段时间用户已经下线, 但 RADIUS 服务器上还有此用户的情况关闭 RADIUS 客户端的监听端口后, 如果配置了 RADIUS 方案和本地认证 / 授权 / 计费方法, 则 RADIUS 请求失败后会转由本地方法继续认证 / 授权 / 计费关闭 RADIUS 客户端的监听端口后, 缓存的计费报文的发送会失败, 失败次数达到配置的最大次数后, 计费报文将从缓存中被删除 # 使能 RADIUS 客户端的监听端口 [Sysname] radius client enable 1.3.12 radius nas-ip radius nas-ip { ip-address ipv6 ipv6-address } undo radius nas-ip { ip-address ipv6 ipv6-address } 1-48

系统视图缺省级别参数描述举例 2: 系统级 ip-address: 指定的源 IPv4 地址, 应该为本机的地址, 禁止配置全 0 地址全 1 地址 D 类地址 E 类地址和环回地址 ipv6 ipv6-address: 指定的源 IPv6 地址, 应该为本机的地址, 必须是单播地址, 不能为环回地址与本地链路地址 radius nas-ip 命令用来指定设备发送 RADIUS 报文使用的源地址 undo radius nas-ip 命令用来删除指定的源地址缺省情况下, 不指定源地址, 即以发送报文的接口地址作为源地址需要注意的是 : 系统最多允许指定 16 个源地址 RADIUS 方案视图下的命令 nas-ip 只对本 RADIUS 方案有效, 系统视图下的命令 radius nas-ip 对所有 RADIUS 方案有效 RADIUS 方案视图下的设置具有更高的优先级本命令配置的源 IP 地址与使用该源地址的 RADIUS 方案中设置的服务器 IP 地址的协议版本必须保持一致, 否则配置能成功但不能生效相关配置可参考命令 nas-ip # 配置设备发送 RADIUS 报文使用的源地址为 129.10.10.1 [Sysname] radius nas-ip 129.10.10.1 1.3.13 radius scheme radius scheme radius-scheme-name undo radius scheme radius-scheme-name 系统视图缺省级别参数描述 3: 管理级 radius-scheme-name:radius 方案名, 为 1~32 个字符的字符串, 不区分大小写 radius scheme 命令用来创建 RADIUS 方案并进入其视图 undo radius scheme 命令用来删除指定的 RADIUS 方案缺省情况下, 未定义 RADIUS 方案需要注意的是 : 1-49

举例 RADIUS 协议的配置是以 RADIUS 方案为单位进行的每个 RADIUS 方案至少须指明 RADIUS 认证 / 授权 / 计费服务器的 IP 地址 UDP 端口号以及 RADIUS 客户端与之交互所需的一些参数一个 RADIUS 方案可以同时被多个 ISP 域引用当有使用 RADIUS 方案的用户在线时, 不允许使用 undo radius scheme 命令删除该方案相关配置可参考命令 display radius scheme # 创建名为 radius1 的 RADIUS 方案并进入其视图 [Sysname] radius scheme radius1 [Sysname-radius-radius1] 1.3.14 radius trap radius trap { accounting-server-down authentication-error-threshold authentication-server-down } undo radius trap { accounting-server-down authentication-error-threshold authentication-server-down } 系统视图缺省级别参数描述举例 2: 系统级 accounting-server-down: 表示 RADIUS 计费服务器可达状态改变时发送 Trap 信息 authentication-error-threshold: 表示认证失败次数超过阈值时发送 Trap 信息该阈值为认证失败次数与认证请求总数的百分比, 目前仅能通过 MIB 方式配置, 取值范围为 1%~100%, 缺省为 30% authentication-server-down: 表示 RADIUS 认证服务器可达状态改变时发送 Trap 信息 radius trap 命令用来使能 RADIUS Trap 功能 undo radius trap 命令用来关闭指定的 RADIUS Trap 功能缺省情况下,RADIUS Trap 功能处于关闭状态使能 RADIUS 服务器可达状态改变时的 Trap 功能后,Trap 信息的发送包括以下两种情况 : 当 NAS 向 RADIUS 服务器发送计费或认证请求没有响应时,NAS 认为服务器不可达, 并发送 Trap 信息具体为, 当 NAS 向服务器发送的报文累计次数达到最大传送次数时, 系统发送一次 Trap 报文当 NAS 收到处于不可达状态的 RADIUS 服务器发送的报文时, 则认为该服务器可达, 并发送一次 Trap 报文使能认证失败次数超过阈值时的 Trap 功能后, 当 NAS 发现认证失败次数与认证请求总数的百分比超过阈值时, 系统会发送一次 Trap 报文 # 使能 RADIUS 计费服务器可达状态改变时的 Trap 功能 1-50

[Sysname] radius trap accounting-server-down 1.3.15 reset radius statistics reset radius statistics [ slot slot-number ] 用户视图缺省级别参数描述举例 2: 系统级 slot slot-number: 清楚指定成员设备上 RADIUS 协议的统计信息 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 reset radius statistics 命令用来清除 RADIUS 协议的统计信息相关配置请参考命令 display radius scheme # 清除 RADIUS 协议的统计信息 <Sysname> reset radius statistics 1.3.16 reset stop-accounting-buffer reset stop-accounting-buffer { radius-scheme radius-scheme-name session-id session-id time-range start-time stop-time user-name user-name } [ slot slot-number ] 用户视图缺省级别参数 2: 系统级 radius-scheme radius-scheme-name: 根据指定 RADIUS 方案清除缓存的停止计费响应报文其中,radius-scheme-name 为 RAIUDS 方案名, 为 1~32 个字符的字符串 session-id session-id: 根据指定会话 ID 清除缓存的停止计费响应报文其中,session-id 为会话 ID, 为 1~50 个字符的字符串 time-range start-time stop-time: 根据指定停止计费请求时刻的起始和结束时间清除缓存的停止计费响应报文其中,start-time 为请求时间段的起始时间 ;stop-time 为请求时间段的结束时间, 格式为 hh:mm:ss-mm/dd/yyyy( 时 : 分 : 秒 - 月 / 日 / 年 ) 或 hh:mm:ss-yyyy/mm/dd( 时 : 分 : 秒 - 年 / 月 / 日 ) user-name user-name: 根据指定用户名清除缓存的停止计费响应报文其中,user-name 表示用户名, 为 1~80 个字符的字符串, 区分大小写输入的用户名是否携带 ISP 域名, 必须与 RADIUS 方案中配置的发送给 RADIUS 服务器的用户名格式保持一致 1-51

描述举例 slot slot-number: 清楚指定成员设备上缓存的停止计费响应报文 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 reset stop-accounting-buffer 命令用来清除缓存中的没有得到响应的停止计费请求报文相关配置可参考命令 stop-accounting-buffer enable retry stop-accounting user-name-format 和 display stop-accounting-buffer # 清除用户 user0001@test 缓存在系统中的停止计费请求报文 <Sysname> reset stop-accounting-buffer user-name user0001@test # 清除从 2006 年 8 月 31 日 0 点 0 分 0 秒到 2006 年 8 月 31 日 23 点 59 分 59 秒期间内系统缓存的停止计费请求报文 <Sysname> reset stop-accounting-buffer time-range 0:0:0-08/31/2006 23:59:59-08/31/2006 1.3.17 retry retry retry-times undo retry RADIUS 方案视图缺省级别参数描述举例 2: 系统级 retry-times: 发送 RAIUDS 报文的最大尝试次数, 取值范围为 1~20 retry 命令用来设置发送 RADIUS 报文的最大尝试次数, 即由于某 RADIUS 服务器未响应或未及时响应设备发送的 RAIUDS 报文, 设备尝试向该服务器发送 RADIUS 报文的最大次数 undo retry 命令用来恢复缺省情况缺省情况下, 发送 RADIUS 报文的最大尝试次数为 3 次需要注意的是 : 由于 RADIUS 协议采用 UDP 报文来承载数据, 因此其通信过程是不可靠的如果 RADIUS 服务器在应答超时定时器规定的时长内没有响应设备, 则设备有必要向 RADIUS 服务器重传 RADIUS 请求报文如果累计的传送次数超过最大传送次数而 RADIUS 服务器仍旧没有响应, 则设备将认为本次请求失败发送 RADIUS 报文的最大尝试次数与 RADIUS 服务器应答超时时间的乘积不能超过 75 秒相关配置可参考命令 radius scheme 和 timer response-timeout # 设置在 RADIUS 方案 radius1 下, 发送 RADIUS 报文的最大尝试次数为 5 次 [Sysname] radius scheme radius1 [Sysname-radius-radius1] retry 5 1-52

1.3.18 retry realtime-accounting retry realtime-accounting retry-times undo retry realtime-accounting RADIUS 方案视图缺省级别参数描述举例 2: 系统级 retry-times: 允许实时计费请求无响应的最大次数, 取值范围为 1~255 retry realtime-accounting 命令用来设置允许实时计费请求无响应的最大次数 undo retry realtime-accounting 命令用来恢复缺省情况缺省情况下, 最多允许 5 次实时计费请求无响应需要注意的是 : RADIUS 服务器通常通过连接超时定时器来判断用户是否在线如果 RADIUS 服务器长时间收不到设备传来的实时计费报文, 它会认为线路或设备故障并停止对用户记帐为了配合 RADIUS 服务器的这种特性, 有必要在不可预见的故障条件下, 在设备端尽量与 RADIUS 服务器同步切断用户连接设备提供对实时计费请求连续无响应次数限制的设置在设备向 RADIUS 服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时, 设备将切断用户连接假设 RADIUS 服务器的应答超时时长 (timer response-timeout 命令设置 ) 为 3 秒, 发送 RADIUS 报文的最大尝试次数 (retry 命令设置 ) 为 3, 设备的实时计费间隔 (timer realtime-accounting 命令设置 ) 为 12 分钟, 设备允许实时计费失败的最大次数为 5 次 (retry realtime-accounting 命令设置 ), 则其含义为 : 设备每隔 12 分钟发起一次计费请求, 如果 3 秒钟得不到回应就重新发起一次请求, 如果 3 次发送都没有得到回应就认为该次实时计费失败, 然后每隔 12 分钟再发送一次,5 次均失败以后, 设备将切断用户连接相关配置可参考命令 radius scheme 和 timer realtime-accounting # 设置 RADIUS 方案 radius1 最多允许 10 次实时计费请求无响应 [Sysname] radius scheme radius1 [Sysname-radius-radius1] retry realtime-accounting 10 1.3.19 retry stop-accounting (RADIUS scheme view) retry stop-accounting retry-times undo retry stop-accounting RADIUS 方案视图缺省级别 1-53

参数描述举例 2: 系统级 retry-times: 允许停止计费请求无响应的最大次数, 取值范围为 10~65535 retry stop-accounting 命令用来设置发起停止计费请求的最大尝试次数 undo retry stop-accounting 命令用来恢复缺省情况缺省情况下, 发起停止计费请求的最大尝试次数为 500 假设 RADIUS 服务器的应答超时时长 (timer response-timeout 命令设置 ) 为 3 秒, 发送 RADIUS 报文的最大尝试次数 (retry 命令设置 ) 为 5, 设备允许的停止计费请求无响应的最大次数为 20 次 (retry stop-accounting 命令设置 ), 则其含义为 : 设备发起停止计费请求, 如果 3 秒钟内得不到回应就重新发起一次请求, 如果重传 5 次都没有得到回应就认为该次停止计费请求失败, 设备会将其缓存在本机上, 然后再发起一次请求, 重复上述过程,20 次尝试均失败以后, 设备将其丢弃相关配置可参考命令 radius scheme 和 display stop-accounting-buffer # 在 RADIUS 方案 radius1 中, 设置设备最多可以尝试向该方案中的服务器发起 1000 次停止计费请求 [Sysname] radius scheme radius1 [Sysname-radius-radius1] retry stop-accounting 1000 1.3.20 secondary accounting (RADIUS scheme view) secondary accounting { ipv4-address [ port-number key string ] * ipv6 ipv6-address [ port-number key string ] * } undo secondary accounting [ ipv4-address ipv6 ipv6-address ] RADIUS 方案视图缺省级别参数描述 2: 系统级 ipv4-address: 从 RADIUS 计费服务器的 IPv4 地址 ipv6 ipv6-address: 从 RADIUS 计费服务器的 IPv6 地址 port-number:udp 端口号, 缺省为 1813, 取值范围为 1~65535 key string: 从 RADIUS 计费服务器的计费报文的共享密钥, 为 1~64 个字符的字符串, 区分大小写 secondary accounting 命令用来配置从 RADIUS 计费服务器 undo secondary accounting 命令用来删除指定的从 RADIUS 计费服务器缺省情况下, 未配置从计费服务器需要注意的是 : 1-54

举例可通过多次执行本命令, 配置多个从 RADIUS 计费服务器, 当主服务器不可达时, 设备根据从服务器的配置顺序由先到后查找状态为 active 的从服务器并与之交互每个 RADIUS 方案中最多支持配置 16 个从 RADIUS 计费服务器从 RADIUS 计费服务器的 IP 地址协议版本与主 RADIUS 计费服务器必须一致, 并且各从 RADIUS 计费服务器的 IP 地址协议版本也必须一致, 否则提示错误主计费服务器和从计费服务器的 IP 地址不能相同, 并且各个从计费服务器的 IP 地址也不能相同, 否则将提示配置不成功需保证设备上的 RADIUS 服务端口与 RADIUS 服务器上的端口设置一致需保证设备上设置的计费报文的共享密钥与 RADIUS 服务器上的完全一致设备与从计费服务器通信时优先使用本命令设置的共享密钥, 如果此处未设置, 则使用命令 key accounting string 命令设置的共享密钥计费服务器与认证服务器的 IP 地址协议版本必须一致, 否则提示错误如果在发送计费开始请求过程中删除了从服务器, 则设备在与当前服务器通信超时后, 将会重新从主服务器开始依次查找状态为 active 的服务器进行通信如果在线用户正在使用的计费服务器被删除, 则设备将将无法发送用户的实时计费请求和停止计费请求, 且停止计费报文不会被缓存到本地相关配置可参考命令 key radius scheme state # 设置 RADIUS 方案 radius1 的从计费服务器的 IP 地址为 10.110.1.1, 使用 UDP 端口 1813 提供 RADIUS 计费服务 [Sysname] radius scheme radius1 [Sysname-radius-radius1] secondary accounting 10.110.1.1 1813 # 设置 RADIUS 方案 radius2 的从计费服务器 :IP 地址分别为 10.110.1.1,10.110.1.2, 均使用 UDP 端口 1813 提供 RADIUS 计费服务 [Sysname] radius scheme radius2 [Sysname-radius-radius2] secondary accounting 10.110.1.1 1813 [Sysname-radius-radius2] secondary accounting 10.110.1.2 1813 1.3.21 secondary authentication (RADIUS scheme view) secondary authentication { ipv4-address [ port-number key string ] * ipv6 ipv6-address [ port-number key string ] * } undo secondary authentication [ ipv4-address ipv6 ipv6-address ] RADIUS 方案视图缺省级别参数 2: 系统级 ipv4-address: 从 RADIUS 认证 / 授权服务器的 IPv4 地址 ipv6 ipv6-address: 从 RADIUS 认证 / 授权服务器的 IPv6 地址 port-number:udp 端口号, 缺省为 1812, 取值范围为 1~65535 1-55

描述举例 key string: 从 RADIUS 认证 / 授权服务器的认证 / 授权报文的共享密钥, 为 1~64 个字符的字符串, 区分大小写 secondary authentication 命令用来配置从 RADIUS 认证 / 授权服务器 undo secondary authentication 命令用来删除指定的从 RADIUS 认证 / 授权服务器缺省情况下, 未配置从认证 / 授权服务器需要注意的是 : 可通过多次执行本命令, 配置多个从 RADIUS 认证 / 授权服务器, 当主服务器不可达时, 设备根据从服务器的配置顺序由先到后查找状态为 active 的从服务器并与之交互每个 RADIUS 方案中最多支持配置 16 个从 RADIUS 计费服务器主认证 / 授权服务器和从认证 / 授权服务器的 IP 地址协议版本必须一致, 并且各从 RADIUS 认证 / 授权服务器的 IP 地址协议版本也必须一致, 否则提示错误主认证 / 授权服务器和从认证 / 授权服务器的 IP 地址不能相同, 并且各从认证服务器的 IP 地址不能相同, 否则将提示配置不成功需保证设备上的 RADIUS 服务端口与 RADIUS 服务器上的端口设置一致需保证设备上设置的认证 / 授权报文的共享密钥与 RADIUS 服务器上的完全一致设备与从认证 / 授权服务器通信时优先使用本命令设置的共享密钥, 如果此处未设置, 则使用命令 key authentication string 命令设置的共享密钥认证 / 授权服务器与计费服务器的 IP 地址协议版本必须一致, 否则提示错误如果在认证过程中使用本命令删除了从认证服务器, 则设备在与当前服务器通信超时后, 将会重新从主服务器开始依次查找状态为 active 的服务器进行通信相关配置可参考命令 key radius scheme state # 设置 RADIUS 方案 radius1 的从认证 / 授权服务器的 IP 地址为 10.110.1.2, 使用 UDP 端口 1812 提供 RADIUS 认证 / 授权服务 [Sysname] radius scheme radius1 [Sysname-radius-radius1] secondary authentication 10.110.1.2 1812 # 设置 RADIUS 方案 radius2 的从认证 / 授权服务器 :IP 地址分别为 10.110.1.1,10.110.1.2, 均使用 UDP 端口 1812 提供 RADIUS 认证 / 授权服务 [Sysname] radius scheme radius2 [Sysname-radius-radius2] secondary authentication 10.110.1.1 1812 [Sysname-radius-radius2] secondary authentication 10.110.1.2 1812 1.3.22 security-policy-server security-policy-server ip-address undo security-policy-server { ip-address all } RADIUS 方案视图缺省级别 2: 系统级 1-56

参数描述举例 ip-address: 安全策略服务器 IP 地址 all: 所有安全策略服务器 IP 地址 security-policy-server 命令用来设置安全策略服务器 undo security-policy-server 命令用来删除指定的安全策略服务器缺省情况下, 未指定安全策略服务器需要注意的是 : 一个 RADIUS 方案中可以配置多个安全策略服务器 IP 地址, 最多不能超过 8 个只有当该 RADIUS 方案没有被用户使用时, 才能改变此配置相关配置可参考命令 radius nas-ip # 设置 RADIUS 方案 radius1 的安全策略服务器 IP 地址为 10.110.1.2 [Sysname] radius scheme radius1 [Sysname-radius-radius1] security-policy-server 10.110.1.2 1.3.23 server-type server-type { extended standard } undo server-type RADIUS 方案视图缺省级别参数描述举例 2: 系统级 extended: 指定 extended 类型的 RADIUS 服务器 ( 一般为 imc), 即要求 RADIUS 客户端和 RADIUS 服务器按照私有 RADIUS 协议的规程和报文格式进行交互 standard: 指定 standard 类型的 RADIUS 服务器, 即要求 RADIUS 客户端和 RADIUS 服务器按照标准 RADIUS 协议 (RFC 2865/2866 或更新 ) 的规程和报文格式进行交互 server-type 命令用来配置设备支持的 RADIUS 服务器类型 undo server-type 命令用来恢复缺省情况缺省情况下, 设备支持的 RADIUS 服务器类型为 standard 相关配置可参考命令 radius scheme # 将 RADIUS 方案 radius1 的 RADIUS 服务器类型设置为 standard [Sysname] radius scheme radius1 [Sysname-radius-radius1] server-type standard 1-57

1.3.24 state primary state primary { accounting authentication } { active block } RADIUS 方案视图缺省级别参数描述举例 2: 系统级 accounting: 设置主 RADIUS 计费服务器的状态 authentication: 设置主 RADIUS 认证 / 授权服务器的状态 active: 设置主 RADIUS 服务器的状态为 active, 即处于正常工作状态 block: 设置主 RADIUS 服务器的状态为 block, 即处于通信中断状态 state primary 命令用来设置主 RADIUS 服务器的状态缺省情况下,RADIUS 方案中配置了 IP 地址的主 RADIUS 服务器状态为 active 需要注意的是 : 每次用户发起认证或计费, 如果主服务器状态为 active, 则设备都会首先尝试与主服务器进行通信, 如果主服务器不可达, 则将主服务器的状态置为 block, 同时启动主服务器的 timer quiet 定时器, 然后设备会严格按照从服务器的配置先后顺序依次查找状态为 active 的从服务器进行通信在 timer quiet 定时器设定的时间到达之后, 主服务器状态将由 block 恢复为 active 若该定时器超时之前, 通过本命令将主服务器的状态手工设置为 block, 则定时器超时之后主服务器状态不会自动恢复为 active, 除非通过本命令手工将其设置为 active 如果主服务器与所有从服务器状态都是 block, 则默认使用主服务器进行认证或计费相关配置可参考命令 display radius scheme 和 state secondary # 将 RADIUS 方案 radius1 的主认证服务器的状态设置为 block [Sysname] radius scheme radius1 [Sysname-radius-radius1] state primary authentication block 1.3.25 state secondary state secondary { accounting authentication } [ ip ipv4-address ipv6 ipv6-address ] { active block } RADIUS 方案视图缺省级别参数 2: 系统级 accounting: 设置从 RADIUS 计费服务器的状态 1-58

描述举例 authentication: 设置从 RADIUS 认证 / 授权服务器的状态 ip ipv4-address: 指定从 RADIUS 服务器的 IPv4 地址 ipv6 ipv6-address: 指定从 RADIUS 服务器的 IPv6 地址 active: 设置从 RADIUS 服务器的状态为 active, 即处于正常工作状态 block: 设置从 RADIUS 服务器的状态为 block, 即处于通信中断状态 state secondary 命令用来设置从 RADIUS 服务器的状态缺省情况下,RADIUS 方案中配置了 IP 地址的各从 RADIUS 服务器状态为 active 需要注意的是 : 如果不指定从服务器 IP 地址, 那么本命令将会修改所有已配置的从服务器状态如果设备查找到的状态为 active 的从服务器不可达, 则设备会将该从服务器的状态置为 block, 同时启动该服务器的 timer quiet 定时器, 并继续查找下一个状态为 active 的从服务器在 timer quiet 定时器设定的时间到达之后, 从服务器状态将由 block 恢复为 active 若该定时器超时之前, 通过本命令将从服务器的状态手工设置为 block, 则定时器超时之后从服务器状态不会自动恢复为 active, 除非通过本命令手工将其设置为 active 如果所有已配置的从服务器都不可达, 则本次认证或计费失败相关配置可参考命令 display radius 和 state primary # 将 RADIUS 方案 radius1 的从认证服务器的状态设置为 block [Sysname] radius scheme radius1 [Sysname-radius-radius1] state secondary authentication block 1.3.26 stop-accounting-buffer enable (RADIUS scheme view) stop-accounting-buffer enable undo stop-accounting-buffer enable RADIUS 方案视图缺省级别参数 2: 系统级无描述 stop-accounting-buffer enable 命令用来允许在设备上缓存没有得到响应的停止计费请求报文 undo stop-accounting-buffer enable 命令用来禁止在设备上缓存没有得到响应的停止计费请求报文缺省情况下, 允许设备缓存没有得到响应的停止计费请求报文由于停止计费请求报文涉及到话单结算并最终影响收费多少, 对用户和 ISP 都有比较重要的影响, 因此设备应该尽最大努力把它发送给 RADIUS 计费服务器所以, 如果 RADIUS 计费服务器对设备发出的停止计费请求报文没有响应, 设备应将其缓存在本机上, 然后发送直到 RADIUS 计 1-59

举例费服务器产生响应, 或者在发送的次数达到指定的次数限制后将其丢弃但在计费服务器已被删除的情况下, 停止计费报文不会被缓存相关配置可参考命令 reset stop-accounting-buffer radius scheme 和 display stop-accounting-buffer # 指示对于 RADIUS 方案 radius1 中的服务器, 设备能够缓存没有得到响应的停止计费请求报文 [Sysname] radius scheme radius1 [Sysname-radius-radius1] stop-accounting-buffer enable 1.3.27 timer quiet (RADIUS scheme view) timer quiet minutes undo timer quiet RADIUS 方案视图缺省级别参数描述举例 2: 系统级 minutes: 恢复激活状态的时间, 取值范围为 1~255, 单位为分钟 timer quiet 命令用来设置服务器恢复激活状态的时间 undo timer quiet 命令用来恢复缺省情况缺省情况下, 服务器恢复激活状态的时间为 5 分钟要根据配置的从服务器数量合理设置服务器恢复激活状态的时间如果服务器恢复激活状态时间设置的过短, 就会出现设备反复尝试与状态 active 但实际不可达的服务器通信而导致的认证或计费频繁失败的问题相关配置可参考命令 display radius scheme # 设置服务器恢复激活状态的时间为 10 分钟 [Sysname] radius scheme test1 [Sysname-radius-test1] timer quiet 10 1.3.28 timer realtime-accounting (RADIUS scheme view) timer realtime-accounting minutes undo timer realtime-accounting RADIUS 方案视图缺省级别 1-60

参数描述 2: 系统级 minutes: 实时计费的时间间隔, 取值范围为 0~60, 单位为分钟, 非零取值必须为 3 的倍数 timer realtime-accounting 命令用来设置实时计费的时间间隔 undo timer realtime-accounting 命令用来恢复缺省情况缺省情况下, 实时计费的时间间隔为 12 分钟需要注意的是 : 为了对用户实施实时计费, 有必要设置实时计费的时间间隔在设置了该属性以后, 每隔设定的时间, 设备会向 RADIUS 服务器发送一次在线用户的计费信息当实时计费间隔设置为 0 时, 如果服务器上配置了实时计费间隔, 则设备按照服务器上配置的实时计费间隔向 RADIUS 服务器发送在线用户的计费信息 ; 如果服务器上没有配置该值, 则设备不向 RADIUS 服务器发送在线用户的计费信息实时计费间隔的取值对设备和 RADIUS 服务器的性能有一定的相关性要求, 取值小, 会增加网络中的数据流量, 对设备和 RADIUS 服务器的性能要求就高 ; 取值大, 会影响计费的准确性因此要结合网络的实际情况合理设置计费间隔的大小, 一般情况下, 建议当用户量比较大 (ƒ1000) 时, 尽量把该间隔的值设置得大一些以下是实时计费间隔与用户量之间的推荐比例关系 : 表 1-7 实时计费间隔与用户量之间的推荐比例关系用户数实时计费间隔 ( 分钟 ) 1~99 3 100~499 6 500~999 12 ƒ1000 ƒ15 相关配置可参考命令 retry realtime-accounting 和 radius scheme 举例 # 将 RADIUS 方案 radius1 的实时计费的时间间隔设置为 51 分钟 [Sysname] radius scheme radius1 [Sysname-radius-radius1] timer realtime-accounting 51 1.3.29 timer response-timeout (RADIUS scheme view) timer response-timeout seconds undo timer response-timeout RADIUS 方案视图缺省级别 2: 系统级 1-61

参数描述举例 seconds:radius 服务器响应超时时间, 取值范围为 1~10, 单位为秒 timer response-timeout 命令用来设置 RADIUS 服务器响应超时时间 undo timer response-timeout 命令用来恢复缺省情况缺省情况下,RADIUS 服务器响应超时时间为 3 秒需要注意的是 : 如果在 RADIUS 请求报文 ( 认证 / 授权请求或计费请求 ) 传送出去一段时间后, 设备还没有得到 RADIUS 服务器的响应, 则有必要重传 RADIUS 请求报文, 以保证用户确实能够得到 RADIUS 服务, 这段时间被称为 RADIUS 服务器响应超时时长设备系统中用于控制这个时长的定时器就被称为 RADIUS 服务器响应超时定时器, 命令 timer response-timeout 就是用来设置这个定时器时长的根据网络状况, 合理地设置这个定时器的时长, 有利于提高系统性能 RADIUS 报文超时重传次数的最大值与 RADIUS 服务器响应超时时间的乘积不能超过 75 秒相关配置可参考命令 radius scheme 和 retry # 将 RADIUS 方案 radius1 的响应超时定时器设置为 5 秒 [Sysname] radius scheme radius1 [Sysname-radius-radius1] timer response-timeout 5 1.3.30 user-name-format (RADIUS scheme view) user-name-format { keep-original with-domain without-domain } RADIUS 方案视图缺省级别参数描述 2: 系统级 keep-original: 发送给 RADIUS 服务器的用户名与用户输入的保持一致 with-domain: 发送给 RADIUS 服务器的用户名带 ISP 域名 without-domain: 发送给 RADIUS 服务器的用户名不带 ISP 域名 user-name-format 命令用来设置发送给 RADIUS 服务器的用户名格式缺省情况下,RADIUS 方案发送给 RADIUS 服务器的用户名携带有 ISP 域名需要注意的是 : 接入用户通常以 userid@isp-name 的格式命名, @ 后面的部分为 ISP 域名, 设备就是通过该域名来决定将用户归于哪个 ISP 域的但是, 有些较早期的 RADIUS 服务器不能接受携带有 ISP 域名的用户名, 在这种情况下, 有必要将用户名中携带的域名去除后再传送 1-62

举例给 RADIUS 服务器因此, 设备提供此命令以指定发送给 RADIUS 服务器的用户名是否携带有 ISP 域名如果指定某个 RADIUS 方案不允许用户名中携带有 ISP 域名, 那么请不要在两个乃至两个以上的 ISP 域中同时设置使用该 RADIUS 方案否则, 会出现虽然实际用户不同 ( 在不同的 ISP 域中 ), 但 RADIUS 服务器认为用户相同 ( 因为传送到它的用户名相同 ) 的错误在 802.1X 用户采用 EAP 认证方式的情况下,RADIUS 方案中配置的 user-name-format 命令无效, 客户端传送给 RADIUS 服务器的用户名不会有改动无线用户漫游时, 建议配置参数 keep-original, 否则可能引起认证失败相关配置可参考命令 radius scheme # 指定发送给 RADIUS 方案 radius1 中 RADIUS 服务器的用户名不得携带域名 [Sysname] radius scheme radius1 [Sysname-radius-radius1] user-name-format without-domain 1.4 HWTACACS 配置命令 1.4.1 data-flow-format (HWTACACS scheme view) data-flow-format { data { byte giga-byte kilo-byte mega-byte } packet { giga-packet kilo-packet mega-packet one-packet } } * undo data-flow-format { data packet } HWTACACS 方案视图缺省级别参数描述 2: 系统级 data: 设置数据的单位 byte: 数据单位为字节 giga-byte: 数据单位千兆字节 kilo-byte: 数据单位为千字节 mega-byte: 数据单位为兆字节 packet: 设置数据包的单位 giga-packet: 数据包的单位为千兆包 kilo-packet: 数据包的单位为千包 mega-packet: 数据包的单位为兆包 one-packet: 数据包的单位为包 data-flow-format 命令用来配置发送到 HWTACACS 服务器的数据流的单位 undo data-flow-format 命令用来恢复缺省情况缺省情况下, 数据的单位为 byte, 数据包的单位为 one-packet 相关配置可参考命令 display hwtacacs 1-63

举例 # 设置发往 HWTACACS 服务器的数据流的数据单位为 kilo-byte 数据包的单位为 kilo-packet [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] data-flow-format data kilo-byte packet kilo-packet 1.4.2 display hwtacacs display hwtacacs [ hwtacacs-scheme-name [ statistics ] ] [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别参数描述举例 2: 系统级 hwtacacs-scheme-name: 指定 HWTACACS 方案名 statistics: 显示 HWTACACS 服务器的详细统计信息 slot slot-number: 显示指定成员设备上的 HWTACACS 方案配置信息或统计信息 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display hwtacacs 命令用来查看 HWTACACS 方案的配置信息或统计信息需要注意的是 : 如果不指定 HWTACACS 方案名, 则显示所有 HWTACACS 方案的配置信息如果不指定成员编号, 则显示所有成员设备上 HWTACACS 方案的配置信息相关配置请参考命令 hwtacacs scheme # 查看 HWTACACS 方案 gy 的配置情况 <Sysname> display hwtacacs gy -------------------------------------------------------------------- HWTACACS-server template name : gy Primary-authentication-server : 172.31.1.11:49 Primary-authorization-server : 172.31.1.11:49 Primary-accounting-server : 172.31.1.11:49 Secondary-authentication-server : 0.0.0.0:0 Secondary-authorization-server : 0.0.0.0:0 Secondary-accounting-server : 0.0.0.0:0 1-64

Current-authentication-server : 172.31.1.11:49 Current-authorization-server : 172.31.1.11:49 Current-accounting-server : 172.31.1.11:49 NAS-IP-address : 0.0.0.0 key authentication : 790131 key authorization : 790131 key accounting : 790131 Quiet-interval(min) : 5 Realtime-accounting-interval(min) : 12 Response-timeout-interval(sec) : 5 Acct-stop-PKT retransmit times : 100 Username format : with-domain Data traffic-unit : B Packet traffic-unit : one-packet -------------------------------------------------------------------- 表 1-8 display hwtacacs 命令显示信息描述表字段 HWTACACS-server template name Primary-authentication-server Primary-authorization-server Primary-accounting-server Secondary-authentication-server Secondary-authorization-server Secondary-accounting-server Current-authentication-server Current-authorization-server Current-accounting-server NAS-IP-address key authentication key authorization key accounting Quiet-interval Realtime-accounting-interval Response-timeout-interval Acct-stop-PKT retransmit times Username format Data traffic-unit Packet traffic-unit HWTACACS 服务器方案名描述主认证服务器 IP 地址 / 接入端口号未配置主认证服务器时,IP 地址 / 接入端口号显示为 0.0.0.0:0 下面各服务器同理显示主授权服务器 IP 地址 / 接入端口号主计费服务器 IP 地址 / 接入端口号备认证服务器 IP 地址 / 接入端口号备授权服务器 IP 地址 / 接入端口号备计费服务器 IP 地址 / 接入端口号当前认证服务器 IP 地址 / 接入端口号当前授权服务器 IP 地址 / 接入端口号当前计费服务器 IP 地址 / 接入端口号 NAS 的 IP 地址未指定时,IP 地址显示为 0.0.0.0 认证密钥授权密钥计费密钥主服务器恢复激活状态的时间实时计费间隔服务器响应超时间隔停止计费报文的重传次数发送给 HWTACACS 服务器的用户名格式数据流量单位包流量单位 1-65

1.4.3 display stop-accounting-buffer display stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别参数描述举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name: 根据指定 HWTACACS 方案显示缓存的停止计费请求报文其中,hwtacacs-scheme-name 为 HWTACACS 方案名, 为 1~32 个字符的字符串 slot slot-number: 显示指定成员设备上缓存的停止计费请求报文 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display stop-accounting-buffer 命令用来显示缓存的没有得到响应的停止计费请求报文相关配置可参考命令 reset stop-accounting-buffer stop-accounting-buffer enable 和 retry stop-accounting # 显示 HWTACACS 方案 hwt1 缓存的停止计费请求报文 <Sysname> display stop-accounting-buffer hwtacacs-scheme hwt1 Slot 1: Total 0 record(s) Matched 1.4.4 hwtacacs nas-ip hwtacacs nas-ip ip-address undo hwtacacs nas-ip ip-address 系统视图缺省级别参数 2: 系统级 1-66

描述举例 ip-address: 指定的源 IP 地址, 应该为本机的地址, 禁止配置全 0 地址全 1 地址 D 类地址 E 类地址和环回地址 hwtacacs nas-ip 命令用来指定设备发送 HWTACACS 报文使用的源地址 undo hwtacacs nas-ip 命令用来删除指定的源地址缺省情况下, 不指定源地址, 即以发送报文的接口地址作为源地址需要注意的是 : 系统最多允许指定 16 个源地址 HWTACACS 服务器上通过 IP 地址来标识接入设备, 并根据收到的 HWTACACS 报文的源 IP 地址是否与服务器所管理的接入设备的 IP 地址匹配, 来决定是否处理来自该接入设备的认证或计费请求因此, 为保证认证和计费报文可被服务器正常接收并处理, 接入设备上发送 HWTACACS 报文使用的源地址必须与 HWTACACS 服务器上指定的接入设备的 IP 地址保持一致 HWTACACS 方案视图下的命令 nas-ip 只对本 HWTACACS 方案有效, 系统视图下的命令 hwtacacs nas-ip 对所有 HWTACACS 方案有效 HWTACACS 方案视图下的设置具有更高的优先级相关配置可参考命令 nas-ip # 配置设备发送 HWTACACS 报文使用的源地址为 129.10.10.1 [Sysname] hwtacacs nas-ip 129.10.10.1 1.4.5 hwtacacs scheme hwtacacs scheme hwtacacs-scheme-name undo hwtacacs scheme hwtacacs-scheme-name 系统视图缺省级别参数描述举例 3: 管理级 hwtacacs-scheme-name:hwtacacs 方案名称, 为 1~32 个字符的字符串, 不区分大小写 hwtacacs scheme 命令用来创建 HWTACACS 方案并进入其视图 undo hwtacacs scheme 命令用来删除指定的 HWTACACS 方案缺省情况下, 没有定义 HWTACACS 方案需要注意的是, 当有使用 HWTACACS 方案的用户在线时, 不允许使用 undo hwtacacs scheme 命令删除该方案 # 创建名为 hwt1 的 HWTACACS 方案并进入相应的 HWTACACS 视图 [Sysname] hwtacacs scheme hwt1 1-67

[Sysname-hwtacacs-hwt1] 1.4.6 key (HWTACACS scheme view) key { accounting authentication authorization } string undo key { accounting authentication authorization } string HWTACACS 方案视图缺省级别参数描述举例 2: 系统级 accounting: 指示 HWTACACS 计费报文的共享密钥 authentication: 指示 HWTACACS 认证报文的共享密钥 authorization: 指示 HWTACACS 授权报文的共享密钥 string: 密钥, 为 1~64 个字符的字符串, 区分大小写 key 命令用来配置 HWTACACS 认证授权计费报文的共享密钥 undo key 命令用来删除配置缺省情况下, 无共享密钥相关配置可参考命令 display hwtacacs # 配置 HWTACACS 计费报文共享密钥为 hello [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] key accounting hello 1.4.7 nas-ip (HWTACACS scheme view) nas-ip ip-address undo nas-ip HWTACACS 方案视图缺省级别参数描述 2: 系统级 ip-address: 指定的源 IP 地址, 应该为本机的地址, 禁止配置全 0 地址全 1 地址 D 类地址 E 类地址和环回地址 nas-ip 命令用来指定设备发送 HWTACACS 报文使用的源地址 undo nas-ip 命令用来恢复缺省情况 1-68

举例缺省情况下, 不指定源地址, 即以发送报文的接口地址作为源地址需要注意的是 : HWTACACS 服务器上通过 IP 地址来标识接入设备, 并根据收到的 HWTACACS 报文的源 IP 地址是否与服务器所管理的接入设备的 IP 地址匹配, 来决定是否处理来自该接入设备的认证或计费请求因此, 为保证认证和计费报文可被服务器正常接收并处理, 接入设备上发送 HWTACACS 报文使用的源地址必须与 HWTACACS 服务器上指定的接入设备的 IP 地址保持一致本命令只能指定一个源地址, 新配置的源地址会覆盖原有的源地址 HWTACACS 方案视图下的命令 nas-ip 只对本 HWTACACS 方案有效, 系统视图下的命令 hwtacacs nas-ip 对所有 HWTACACS 方案有效 HWTACACS 方案视图下的设置具有更高的优先级相关配置可参考命令 hwtacacs nas-ip # 配置设备发送 HWTACACS 报文使用的源 IP 地址为 10.1.1.1 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] nas-ip 10.1.1.1 1.4.8 primary accounting (HWTACACS scheme view) primary accounting ip-address [ port-number ] undo primary accounting HWTACACS 方案视图缺省级别参数描述举例 2: 系统级 ip-address: 主 HWTACACS 计费服务器的 IP 地址, 必须是合法的单播地址 port-number: 主 HWTACACS 计费服务器的端口号, 缺省为 49, 取值范围为 1~65535 primary accounting 命令用来配置主 HWTACACS 计费服务器 undo primary accounting 命令用来删除配置的主 HWTACACS 计费服务器缺省情况下, 未配置主计费服务器需要注意的是 : 主计费服务器和从计费服务器的 IP 地址不能相同, 否则将提示配置不成功需保证设备上的 HWTACACS 服务端口与 HWTACACS 服务器上的端口设置一致如果重复执行此命令, 新的配置将覆盖原来的配置只有当没有活跃用于发送计费报文的 TCP 连接使用该计费服务器时, 才允许删除该服务器删除服务器只对之后的报文有效相关配置可参考命令 display hwtacacs hwtacacs scheme 1-69

# 配置主 HWTACACS 计费服务器的 IP 地址为 10.163.155.12, 使用 TCP 端口 49 提供 HWTACACS 计费服务 [Sysname] hwtacacs scheme test1 [Sysname-hwtacacs-test1] primary accounting 10.163.155.12 49 1.4.9 primary authentication (HWTACACS scheme view) primary authentication ip-address [ port-number ] undo primary authentication HWTACACS 方案视图缺省级别参数描述举例 2: 系统级 ip-address: 主 HWTACACS 认证服务器的 IP 地址, 必须是合法的单播地址 port-number: 主 HWTACACS 认证服务器的端口号, 缺省为 49, 取值范围为 1~65535 primary authentication 命令用来配置主 HWTACACS 认证服务器 undo primary authentication 命令用来删除配置的主 HWTACACS 认证服务器缺省情况下, 未配置主认证服务器需要注意的是 : 主认证服务器和从认证服务器的 IP 地址不能相同, 否则将提示配置不成功需保证设备上的 HWTACACS 服务端口与 HWTACACS 服务器上的端口设置一致如果重复执行此命令, 新的配置将覆盖原来的配置只有当没有活跃的用于发送认证报文的 TCP 连接使用该认证服务器时, 才允许删除该服务器删除服务器只对之后的报文有效相关配置可参考命令 display hwtacacs hwtacacs scheme # 配置主 HWTACACS 认证服务器的 IP 地址为 10.163.155.13, 使用 TCP 端口 49 提供 HWTACACS 认证服务 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] primary authentication 10.163.155.13 49 1.4.10 primary authorization primary authorization ip-address [ port-number ] undo primary authorization HWTACACS 方案视图 1-70

缺省级别参数描述举例 2: 系统级 ip-address: 主 HWTACACS 授权服务器的 IP 地址, 必须是合法的单播地址 port-number: 主 HWTACACS 授权服务器的端口号, 缺省为 49, 取值范围为 1~65535 primary authorization 命令用来配置主 HWTACACS 授权服务器 undo primary authorization 命令用来删除配置的主 HWTACACS 授权服务器缺省情况下, 未配置主授权服务器需要注意的是 : 主授权服务器和从授权服务器的 IP 地址不能相同, 否则将提示配置不成功需保证设备上的 HWTACACS 服务端口与 HWTACACS 服务器上的端口设置一致如果重复执行此命令, 新的配置将覆盖原来的配置只有当没有活跃的用于发送授权报文的 TCP 连接使用该授权服务器, 才允许删除该服务器删除服务器只对之后的报文有效相关配置可参考命令 display hwtacacs hwtacacs scheme # 配置主 HWTACACS 授权服务器的 IP 地址为 10.163.155.13, 使用 TCP 端口 49 提供 HWTACACS 授权服务 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] primary authorization 10.163.155.13 49 1.4.11 reset hwtacacs statistics reset hwtacacs statistics { accounting all authentication authorization } [ slot slot-number ] 用户视图缺省级别参数描述 1: 监控级 accounting: 清除 HWTACACS 协议关于计费的统计信息 all: 清除 HWTACACS 的所有统计信息 authentication: 清除 HWTACACS 协议关于认证的统计信息 authorization: 清除 HWTACACS 协议关于授权的统计信息 slot slot-number: 清除指定成员设备上的 HWTACACS 协议的统计信息 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 reset hwtacacs statistics 命令用来清除 HWTACACS 协议的统计信息 1-71

举例相关配置请参考命令 display hwtacacs # 清除 HWTACACS 协议的所有统计信息 <Sysname> reset hwtacacs statistics all 1.4.12 reset stop-accounting-buffer reset stop-accounting-buffer hwtacacs-scheme hwtacacs-scheme-name [ slot slot-number ] 用户视图缺省级别参数描述举例 2: 系统级 hwtacacs-scheme hwtacacs-scheme-name: 根据指定 HWTACACS 方案清除缓存的停止计费请求报文其中,hwtacacs-server-name 为 HWTACACS 方案名, 为 1~32 个字符的字符串 slot slot-number: 清除指定成员设备上缓存的停止计费请求报文 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 reset stop-accounting-buffer 命令用来清除缓存中的没有得到响应的停止计费请求报文相关配置可参考命令 stop-accounting-buffer enable retry stop-accounting 和 display stop-accounting-buffer # 清除 HWTACACS 方案 hwt1 缓存在系统中的停止计费请求报文 <Sysname> reset stop-accounting-buffer hwtacacs-scheme hwt1 1.4.13 retry stop-accounting (HWTACACS scheme view) retry stop-accounting retry-times undo retry stop-accounting HWTACACS 方案视图缺省级别参数描述 2: 系统级 retry-times: 停止计费请求报文的最大重试次数, 取值范围为 1~300 retry stop-accounting 命令用来设置当出现没有得到响应的停止计费请求时, 将该报文存入设备缓存后, 停止计费请求报文的最大重试次数 undo retry stop-accounting 命令用来恢复缺省情况 1-72

举例缺省情况下, 停止计费请求报文的最大发送次数为 100 相关配置可参考命令 reset stop-accounting-buffer hwtacacs scheme 和 display stop-accounting-buffer # 设置对于 HWTACACS 方案 hwt1 中的服务器, 设备系统最多可以将缓存的停止计费请求报文发送 50 次 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] retry stop-accounting 50 1.4.14 secondary accounting (HWTACACS scheme view) secondary accounting ip-address [ port-number ] undo secondary accounting HWTACACS 方案视图缺省级别参数描述举例 2: 系统级 ip-address: 从 HWTACACS 计费服务器的 IP 地址, 必须是合法的单播地址 port-number: 从 HWTACACS 计费服务器的端口号, 缺省为 49, 取值范围为 1~65535 secondary accounting 命令用来配置从 HWTACACS 计费服务器 undo secondary accounting 命令用来删除配置的从 HWTACACS 计费服务器缺省情况下, 未配置从计费服务器需要注意的是 : 主计费服务器和从计费服务器的 IP 地址不能相同, 否则将提示配置不成功需保证设备上的 HWTACACS 服务端口与 HWTACACS 服务器上的端口设置一致如果重复执行此命令, 新的配置将覆盖原来的配置只有当没有活跃的用于发送计费报文的 TCP 连接使用该计费服务器时, 才允许删除该服务器相关配置可参考命令 display hwtacacs hwtacacs scheme # 配置从 HWTACACS 计费服务器的 IP 地址为 10.163.155.12, 使用 TCP 端口 49 提供 HWTACACS 计费服务 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] secondary accounting 10.163.155.12 49 1.4.15 secondary authentication (HWTACACS scheme view) 1-73

secondary authentication ip-address [ port-number ] undo secondary authentication HWTACACS 方案视图缺省级别参数描述举例 2: 系统级 ip-address: 从 HWTACACS 服务器的 IP 地址, 必须是合法的单播地址 port-number: 从 HWTACACS 服务器的端口号, 缺省为 49, 取值范围为 1~65535 secondary authentication 命令用来配置从 HWTACACS 认证服务器 undo secondary authentication 命令用来删除配置的从 HWTACACS 认证服务器缺省情况下, 未配置从认证服务器需要注意的是 : 主认证服务器和从认证服务器的 IP 地址不能相同, 否则将提示配置不成功需保证设备上的 HWTACACS 服务端口与 HWTACACS 服务器上的端口设置一致如果重复执行此命令, 新的配置将覆盖原来的配置只有当没有活跃的用于发送认证报文的 TCP 连接使用该认证服务器时, 才允许删除该服务器相关配置可参考命令 display hwtacacs hwtacacs scheme # 配置从 HWTACACS 认证服务器的 IP 地址为 10.163.155.13, 使用 TCP 端口 49 提供 HWTACACS 认证服务 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] secondary authentication 10.163.155.13 49 1.4.16 secondary authorization secondary authorization ip-address [ port-number ] undo secondary authorization HWTACACS 方案视图缺省级别 2: 系统级参数 ip-address: 从 HWTACACS 授权服务器的 IP 地址, 必须是合法的单播地址 port-number: 从 HWTACACS 授权服务器的端口号, 缺省为 49, 取值范围为 1~65535 描述 1-74

举例 secondary authorization 命令用来配置从 HWTACACS 授权服务器 undo secondary authorization 命令用来删除配置的从 HWTACACS 授权服务器缺省情况下, 未配置从授权服务器需要注意的是 : 主授权服务器和从授权服务器的 IP 地址不能相同, 否则将提示配置不成功需保证设备上的 HWTACACS 服务端口与 HWTACACS 服务器上的端口设置一致如果重复执行此命令, 新的配置将覆盖原来的配置只有当没有活跃的用于发送授权报文的 TCP 连接使用该授权服务器, 才允许删除该服务器相关配置可参考命令 display hwtacacs hwtacacs scheme # 配置从 HWTACACS 授权服务器的 IP 地址为 10.163.155.13, 使用 TCP 端口 49 提供 HWTACACS 授权服务 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] secondary authorization 10.163.155.13 49 1.4.17 stop-accounting-buffer enable (HWTACACS scheme view) stop-accounting-buffer enable undo stop-accounting-buffer enable HWTACACS 方案视图缺省级别参数 2: 系统级无描述举例 stop-accounting-buffer enable 命令用来允许在设备上缓存没有得到响应的停止计费请求报文 undo stop-accounting-buffer enable 命令用来禁止在设备上缓存没有得到响应的停止计费请求报文缺省情况下, 允许设备缓存没有得到响应的停止计费请求报文由于停止计费请求报文涉及到话单结算并最终影响收费多少, 对用户和 ISP 都有比较重要的影响, 因此设备应该尽最大努力把它发送给 HWTACACS 计费服务器所以, 如果 HWTACACS 计费服务器对设备发出的停止计费请求报文没有响应, 设备应将其缓存在本机上, 然后发送直到 HWTACACS 计费服务器产生响应, 或者在发送的次数达到指定的次数限制后将其丢弃相关配置可参考命令 reset stop-accounting-buffer hwtacacs scheme 和 display stop-accounting-buffer # 指示对于 HWTACACS 方案 hwt1 中的服务器, 设备能够缓存没有得到响应的停止计费请求报文 1-75

[Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] stop-accounting-buffer enable 1.4.18 timer quiet (HWTACACS scheme view) timer quiet minutes undo timer quiet HWTACACS 方案视图缺省级别参数描述举例 2: 系统级 minutes: 恢复激活状态的时间, 取值范围为 1~255, 单位为分钟 timer quiet 命令用来设置主服务器恢复激活状态的时间 undo timer quiet 命令用来恢复缺省情况缺省情况下, 主服务器恢复激活状态的时间为 5 分钟相关配置可参考命令 display hwtacacs # 设置主服务器恢复激活状态的时间为 10 分钟 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] timer quiet 10 1.4.19 timer realtime-accounting (HWTACACS scheme view) timer realtime-accounting minutes undo timer realtime-accounting HWTACACS 方案视图缺省级别参数描述 2: 系统级 minutes: 实时计费的时间间隔, 取值范围为 0~60, 单位为分钟, 非零取值必须为 3 的倍数 0 表示设备不向 HWTACACS 服务器发送在线用户的计费信息 timer realtime-accounting 命令用来设置实时计费的时间间隔 undo timer realtime-accounting 命令用来恢复缺省情况缺省情况下, 实时计费的时间间隔为 12 分钟需要注意的是 : 1-76

为了对用户实施实时计费, 有必要设置实时计费的时间间隔在设置了该属性以后, 每隔设定的时间, 设备会向 HWTACACS 服务器发送一次在线用户的计费信息实时计费间隔的取值对设备和 HWTACACS 服务器的性能有一定的相关性要求, 取值越小, 对设备和 HWTACACS 服务器的性能要求越高建议当用户量比较大 (ƒ1000) 时, 尽量把该间隔的值设置得大一些以下是实时计费间隔与用户量之间的推荐比例关系 : 表 1-9 实时计费间隔与用户量之间的推荐比例关系用户数实时计费间隔 ( 分钟 ) 1~99 3 100~499 6 500~999 12 ƒ1000 ƒ15 举例 # 将 HWTACACS 方案 hwt1 的实时计费的时间间隔设置为 51 分钟 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] timer realtime-accounting 51 1.4.20 timer response-timeout (HWTACACS scheme view) timer response-timeout seconds undo timer response-timeout HWTACACS 方案视图缺省级别参数描述举例 2: 系统级 seconds: 服务器响应超时时间, 取值范围为 1~300, 单位为秒 timer response-timeout 命令用来设置 HWTACACS 服务器响应超时时间 undo timer response-timeout 命令用来恢复缺省情况缺省情况下,HWTACACS 服务器响应超时时间为 5 秒需要注意的是, 由于 HWTACACS 是基于 TCP 实现的, 因此, 服务器响应超时或 TCP 超时都可能导致与 HWTACACS 服务器的连接断开相关配置可参考命令 display hwtacacs # 配置 TACACS 服务器响应超时时间为 30 秒 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] timer response-timeout 30 1-77

1.4.21 user-name-format (HWTACACS scheme view) user-name-format { keep-original with-domain without-domain } HWTACACS 方案视图缺省级别参数描述举例 2: 系统级 keep-original: 发送给 HWTACACS 服务器的用户名与用户输入的保持一致 with-domain: 发送给 HWTACACS 服务器的用户名带 ISP 域名 without-domain: 发送给 HWTACACS 服务器的用户名不带 ISP 域名 user-name-format 命令用来设置发送给 HWTACACS 服务器的用户名格式缺省情况下,HWTACACS 方案默认发送给 HWTACACS 服务器的用户名携带有 ISP 域名需要注意的是 : 接入用户通常以 userid@isp-name 的格式命名, @ 后面的部分为 ISP 域名, 设备就是通过该域名来决定将用户归于哪个 ISP 域的但是, 有些较早期的 HWTACACS 服务器不能接受携带有 ISP 域名的用户名, 在这种情况下, 有必要将用户名中携带的域名去除后再传送给 HWTACACS 服务器因此, 设备提供此命令以指定发送给 HWTACACS 服务器的用户名是否携带有 ISP 域名如果指定某个 HWTACACS 方案不允许用户名中携带有 ISP 域名, 那么请不要在两个乃至两个以上的 ISP 域中同时设置使用该 HWTACACS 方案否则, 会出现虽然实际用户不同 ( 在不同的 ISP 域中 ), 但 HWTACACS 服务器认为用户相同 ( 因为传送到它的用户名相同 ) 的错误无线用户漫游时, 建议配置参数 keep-original, 否则可能引起认证失败相关配置可参考命令 hwtacacs scheme # 指定发送给 HWTACACS 方案 hwt1 的用户不带 ISP 域名 [Sysname] hwtacacs scheme hwt1 [Sysname-hwtacacs-hwt1] user-name-format without-domain 1-78

目录 1 802.1X 配置命令... 1-1 1.1 802.1X 配置命令... 1-1 1.1.1 display dot1x... 1-1 1.1.2 dot1x... 1-4 1.1.3 dot1x authentication-method... 1-5 1.1.4 dot1x auth-fail vlan... 1-6 1.1.5 dot1x guest-vlan... 1-7 1.1.6 dot1x handshake... 1-8 1.1.7 dot1x handshake secure... 1-9 1.1.8 dot1x mandatory-domain... 1-9 1.1.9 dot1x max-user... 1-10 1.1.10 dot1x multicast-trigger... 1-11 1.1.11 dot1x port-control... 1-12 1.1.12 dot1x port-method... 1-13 1.1.13 dot1x quiet-period... 1-14 1.1.14 dot1x re-authenticate... 1-14 1.1.15 dot1x retry... 1-15 1.1.16 dot1x timer... 1-16 1.1.17 dot1x unicast-trigger... 1-17 1.1.18 reset dot1x statistics... 1-18 2 802.1X 支持 EAD 快速部署命令... 2-1 2.1 802.1X 支持 EAD 快速部署命令... 2-1 2.1.1 dot1x free-ip... 2-1 2.1.2 dot1x timer ead-timeout... 2-1 2.1.3 dot1x url... 2-2 i

1 802.1X 配置命令 1.1 802.1X 配置命令 1.1.1 display dot1x display dot1x [ sessions statistics ] [ interface interface-list ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 sessions: 显示 802.1X 的会话连接信息 statistics: 显示 802.1X 的相关统计信息 interface interface-list: 以太网端口列表, 表示多个以太网端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中, interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display dot1x 命令用来显示 802.1X 的相关信息, 包括会话连接信息相关统计信息或配置信息等需要注意的是, 如果不指定参数 sessions 或者 statistics, 则显示 802.1X 的所有信息, 包括会话连接信息相关统计信息和配置信息等相关配置可参考命令 reset dot1x statistics dot1x dot1x retry dot1x max-user dot1x port-control dot1x port-method 和 dot1x timer 举例 # 显示 802.1X 的所有信息 <Sysname> display dot1x Equipment 802.1X protocol is enabled CHAP authentication is enabled EAD quick deploy is enabled 1-1

Configuration: Transmit Period 30 s, Handshake Period 15 s Quiet Period 60 s, Quiet Period Timer is disabled Supp Timeout 30 s, Server Timeout 100 s Reauth Period 3600 s The maximal retransmitting times 3 EAD quick deploy configuration: EAD timeout: 30m The maximum 802.1X user resource number is 1024 per slot Total current used 802.1X resource number is 1 GigabitEthernet1/0/1 is link-up 802.1X protocol is enabled Handshake is disabled Handshake secure is disabled 802.1X unicast-trigger is enabled Periodic reauthentication is disabled The port is an authenticator Authenticate Mode is Auto Port Control Type is Mac-based 802.1X Multicast-trigger is enabled Mandatory authentication domain: NOT configured Guest VLAN: 4 Auth-fail VLAN: NOT configured Max number of on-line users is 256 EAPOL Packet: Tx 1087, Rx 986 Sent EAP Request/Identity Packets : 943 EAP Request/Challenge Packets: 60 EAP Success Packets: 29, Fail Packets: 55 Received EAPOL Start Packets : 60 EAPOL LogOff Packets: 24 EAP Response/Identity Packets : 724 EAP Response/Challenge Packets: 54 Error Packets: 0 1. Authenticated user : MAC address: 0015-e9a6-7cfe Controlled User(s) amount to 1 表 1-1 display dot1x 命令显示信息描述表字段 Equipment 802.1X protocol is enabled CHAP authentication is enabled EAD quick deploy is enabled Transmit Period Handshake Period Reauth Period 描述全局的 802.1X 特性已经开启是否使能 CHAP 认证 EAD 快速部署功能使能状态发送间隔定时器的时长设备向客户端发送握手报文的时间间隔周期性重认证的时间间隔 1-2

字段描述 Quiet Period Quiet Period Timer is disabled Supp Timeout Server Timeout The maximal retransmitting times EAD quick deploy configuration URL Free IP EAD timeout The maximum 802.1X user resource number per slot Total current used 802.1X resource number GigabitEthernet1/0/1 is link-up 静默定时器的时长静默定时器的开启状态客户端认证超时定时器的时长认证服务器超时定时器的时长设备向接入用户发送认证请求报文的最大次数 EAD 快速部署功能的具体配置用户 IE 访问重定向的 URL 用户可访问的免认证网段 ACL 老化定时器超时时间每板最大支持的接入用户数当前在线接入用户数端口 GigabitEthernet1/0/1 的链路状态 802.1X protocol is disabled 该端口是否使能 802.1X 协议 Handshake is disabled Handshake secure is disabled 握手功能的使能状态安全握手功能的使能状态 802.1X unicast-trigger is disabled 802.1X 单播触发功能的使能状态 Periodic reauthentication is disabled The port is an authenticator Authenticate Mode is Auto Port Control Type is Mac-based 周期性重认证功能的使能状态该端口担当设备端作用端口接入控制的模式为 auto 端口接入控制方式为 mac-based, 即基于 MAC 地址对接入用户进行认证 802.1X Multicast-trigger is enabled 802.1X 组播触发功能的使能状态 Mandatory authentication domain Guest VLAN Auth-fail VLAN Max number of on-line users EAPOL Packet Sent EAP Request/Identity Packets EAP Request/Challenge Packets EAP Success Packets Fail Packets Received EAPOL Start Packets EAPOL LogOff Packets 端口接入用户的强制认证域端口配置的 Guest VLAN, 未配置则显示 NOT configured 端口配置的 Auth Fail VLAN, 未配置则显示 NOT configured 本端口最多可容纳的接入用户数 EAPOL 报文数目 :Tx 表示发送的报文数目 ;Rx 表示接受的报文数目发送的 EAP Request/Identity 报文数发送的 EAP Request/Challenge 报文数发送的 EAP Success 报文数发送的 EAP Failure 报文数接收的 EAPOL Start 报文数接收的 EAPOL LogOff 报文数 1-3

字段 EAP Response/Identity Packets EAP Response/Challenge Packets Error Packets Authenticated user Controlled User(s) amount 描述接收的 EAP Response/Identity 报文数接收的 EAP Response/Challenge 报文数接收的错误报文数认证通过的用户该端口受控用户数目 1.1.2 dot1x 在系统视图下 : dot1x [ interface interface-list ] undo dot1x [ interface interface-list ] 在二层以太网端口视图下 : dot1x undo dot1x 系统视图 / 二层以太网端口视图缺省级别 2: 系统级参数 interface interface-list: 端口列表, 表示多个端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中,interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号描述 dot1x 命令用来开启指定端口上或全局的 802.1X 特性 undo dot1x 命令用来关闭指定端口上或全局的 802.1X 特性缺省情况下, 所有端口及全局的 802.1X 特性都处于关闭状态需要注意的是 : 在系统视图下, 如果不指定参数 interface interface-list, 则表示开启全局的 802.1X 特性 ; 如果指定参数 interface interface-list, 则表示开启指定端口的 802.1X 特性在二层以太网端口视图下, 不能指定参数 interface interface-list, 只能打开当前端口的 802.1X 特性 802.1X 特性启动前后, 均可以使用配置命令来配置全局或端口的 802.1X 特性参数如果在开启全局 802.1X 特性前没有配置全局或端口的其它 802.1X 特性参数, 则这些参数在运行时均为缺省值只有同时开启全局和端口的 802.1X 特性后,802.1X 的配置才能在端口上生效相关配置可参考命令 display dot1x 1-4

举例 # 开启以太网端口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/5 到 GigabitEthernet1/0/7 上的 802.1X 特性 [Sysname] dot1x interface gigabitethernet 1/0/1 gigabitethernet 1/0/5 to gigabitethernet 1/0/7 或者 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] dot1x [Sysname-GigabitEthernet1/0/1] quit [Sysname] interface gigabitethernet 1/0/5 [Sysname-GigabitEthernet1/0/5] dot1x [Sysname-GigabitEthernet1/0/5] quit [Sysname] interface gigabitethernet 1/0/6 [Sysname-GigabitEthernet1/0/6] dot1x [Sysname-GigabitEthernet1/0/6] quit [Sysname] interface gigabitethernet 1/0/7 [Sysname-GigabitEthernet1/0/7] dot1x # 开启全局的 802.1X 特性 [Sysname] dot1x 1.1.3 dot1x authentication-method dot1x authentication-method { chap eap pap } undo dot1x authentication-method 系统视图缺省级别参数描述 2: 系统级 chap: 采用 CHAP 认证方式 eap: 采用 EAP 认证方式 pap: 采用 PAP 认证方式 dot1x authentication-method 命令用来设置 802.1X 用户的认证方式 undo dot1x authentication-method 命令用来恢复 802.1X 用户的缺省认证方式缺省情况下,802.1X 用户认证方法为 CHAP 认证 (1) PAP/CHAP 认证方式 : 设备将收到的客户端 EAP 报文中的用户认证信息重新封装在标准的 RADIUS 报文报文中, 然后采用 PAP 或 CHAP 认证方式与 RADIUS 服务器完成认证交互该认证方式的优点是, 现有的 RADIUS 服务器基本均可支持 PAP 和 CHAP 认证, 无需升级服务器, 但设备处理较为复杂, 且不能支持除 MD5-Challenge 之外的其它 EAP 认证方法 1-5

PAP(Password Authentication Protocol, 密码验证协议 ) 通过用户名和口令来对用户进行验证, 其特点是在网络上以明文方式传送用户名和口令, 仅适用于对网络安全要求相对较低的环境目前, 仅 H3C inode 802.1X 客户端支持此认证方式 CHAP(Challenge Handshake Authentication Protocol, 质询握手验证协议 ) 采用客户端与服务器端交互挑战信息的方式来验证用户身份, 其特点是只在网络上传送用户名, 不以明文方式传输口令与 PAP 相比,CHAP 认证保密性较好, 更为安全可靠 (2) EAP 认证 : 设备将收到的客户端 EAP 报文直接封装到 RADIUS 报文的属性字段中, 发送给 RADIUS 服务器完成认证该认证方式的优点是, 设备处理简单, 且可支持多种类型的 EAP 认证方法, 例如 MD5-Challenge EAP-TLS PEAP 等, 但要求服务器端支持相应的认证方法需要注意的是 : 本地认证支持 PAP 和 CHAP 采用 RADIUS 认证方法时,PAP CHAP EAP 认证功能的最终实现, 需要 RADIUS 服务器支持相应的 PAP CHAP EAP 认证相关配置可参考命令 display dot1x 举例 # 设置设备对 802.1X 用户采用 PAP 认证 [Sysname] dot1x authentication-method pap 1.1.4 dot1x auth-fail vlan dot1x auth-fail vlan authfail-vlan-id undo dot1x auth-fail vlan 二层以太网端视图缺省级别 2: 系统级参数 authfail-vlan-id: 端口上指定的 Auth-Fail VLAN ID, 取值范围为 1~4094 该 VLAN 必须已经创建描述 dot1x auth-fail vlan 命令用来配置指定端口的 Auth-Fail VLAN, 即认证失败的用户被授权访问的 VLAN undo dot1x auth-fail vlan 命令用来恢复缺省情况缺省情况下, 端口没有配置 Auth-Fail VLAN 需要注意的是 : 在接入控制方式为 portbased 的端口上配置的 Auth-Fail VLAN, 只有 802.1X 组播触发功能开启的情况下才生效 Auth-Fail VLAN 生效后, 若将端口的接入控制方式由 portbased 修改为 macbased, 则端口会离开 Auth-Fail VLAN 在接入控制方式为 macbased 的端口上配置的 Auth-Fail VLAN, 只有 MAC VLAN 功能开启的情况下才生效 Auth-Fail VLAN 生效后, 若将端口的接入控制方式由 macbased 修改为 1-6

portbased, 则已建立的 Auth-Fail VLAN 表项会被删除 Auth-Fail VLAN 表项中记录了加入 Auth-Fail VLAN 的 MAC 地址与端口上使能的 MAC VLAN, 可以通过 display mac-vlan 查看禁止直接删除已被配置为 Auth-Fail VLAN 的 VLAN, 若要删除该 VLAN, 请先通过命令 undo dot1x auth-fail vlan 取消 802.1X 的 Auth-Fail VLAN 配置相关配置可参考命令 dot1x 和 dot1x port-method 举例 # 在端口 GigabitEthernet1/0/1 上配置 Auth-Fail VLAN 为 3 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] dot1x auth-fail vlan 3 1.1.5 dot1x guest-vlan 在系统视图下 : dot1x guest-vlan guest-vlan-id [ interface interface-list ] undo dot1x guest-vlan [ interface interface-list ] 在二层以太网端口视图下 : dot1x guest-vlan guest-vlan-id undo dot1x guest-vlan 系统视图 / 二层以太网端口视图缺省级别 2: 系统级参数 guest-vlan-id: 端口上指定的 Guest VLAN ID, 取值范围为 1~4094 该 VLAN 必须已经创建 interface interface-list: 端口列表, 表示多个端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中,interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号描述 dot1x guest-vlan 命令用来配置指定端口的 Guest VLAN undo dot1x guest-vlan 命令用来取消指定端口的 Guest VLAN 缺省情况下, 端口没有配置 Guest VLAN 需要注意的是 : 在系统视图下, 如果不指定参数 interface-list, 则表示配置所有二层以太网端口的 Guest VLAN; 如果指定参数 interface-list, 则表示配置指定端口的 Guest VLAN 只有开启 802.1X 特性的情况下,Guest VLAN 才能生效在接入控制方式为 portbased 的端口上配置的 Guest VLAN, 只有 802.1X 组播触发功能开启的情况下才生效 Guest VLAN 生效后, 若将端口的接入控制方式由 portbased 修改为 macbased, 则端口会离开 Guest VLAN 1-7

在接入控制方式为 macbased 的端口上配置的 Guest VLAN, 只有 MAC VLAN 功能开启的情况下才生效 Guest VLAN 生效后, 若将端口的接入控制方式由 macbased 修改为 portbased, 则已建立的 Guest VLAN 表项会被删除 Guest VLAN 表项中记录了加入 Guest VLAN 的 MAC 地址与端口上使能的 MAC VLAN, 可以通过 display mac-vlan 查看禁止删除已被配置为 Guest VLAN 的 VLAN, 若要删除该 VLAN, 请先通过命令 undo dot1x guest-vlan 取消 802.1X 的 Guest VLAN 配置相关配置可参考命令 dot1x dot1x port-method dot1x multicast-trigger 和二层技术 - 以太网交换命令参考 /VLAN 配置命令中的 mac-vlan enable display mac-vlan 举例 # 配置端口 GigabitEthernet1/0/1 的 Guest VLAN 为已经创建的 VLAN 999 [Sysname] dot1x guest-vlan 999 interface gigabitethernet 1/0/1 # 配置端口 GigabitEthernet1/0/2~GigabitEthernet1/0/5 的 Guest VLAN 为已经创建的 VLAN 10 [Sysname] dot1x guest-vlan 10 interface gigabitethernet 1/0/2 to gigabitethernet 1/0/5 # 配置所有端口的 Guest VLAN 为已经创建的 VLAN 7 [Sysname] dot1x guest-vlan 7 # 配置端口 GigabitEthernet1/0/7 的 Guest VLAN 为已经创建的 VLAN 3 [Sysname] interface gigabitethernet 1/0/7 [Sysname-GigabitEthernet1/0/7] dot1x guest-vlan 3 1.1.6 dot1x handshake dot1x handshake undo dot1x handshake 二层以太网端口视图缺省级别 2: 系统级参数无描述 dot1x handshake 命令用于开启在线用户握手功能, 通过设备端定期向客户端发送握手报文来探测用户是否在线 undo dot1x handshake 命令用于关闭在线用户握手功能缺省情况下, 在线用户握手功能处于开启状态需要注意的是 : 建议在线用户握手功能与 inode 客户端配合使用, 以保证该功能可以正常运行举例 # 开启在线用户握手功能 [Sysname] interface gigabitethernet 1/0/4 [Sysname-GigabitEthernet1/0/4] dot1x handshake 1-8

1.1.7 dot1x handshake secure dot1x handshake secure undo dot1x handshake secure 二层以太网端口视图缺省级别 2: 系统级参数无描述 dot1x handshake secure 命令用于开启在线用户握手安全功能 undo dot1x handshake secure 命令用于关闭在线用户握手安全功能缺省情况下, 在线用户握手安全功能处于关闭状态需要注意的是 : 在线用户握手安全功能的实现依赖于在线用户握手功能为使在线用户握手安全功能生效, 请保证在线用户握手功能处于开启状态建议在线用户握手安全功能与 inode 客户端以及 imc 服务器配合使用, 以保证该功能可以正常运行相关配置请参见命令 dot1x handshake 举例 # 开启在线用户握手安全功能 [Sysname] interface gigabitethernet 1/0/4 [Sysname-GigabitEthernet1/0/4] dot1x handshake secure 1.1.8 dot1x mandatory-domain dot1x mandatory-domain domain-name undo dot1x mandatory-domain 二层以太网端口视图缺省级别 2: 系统级参数 domain-name:isp 认证域名, 为 1~24 个字符的字符串, 不分区大小写描述 1-9

dot1x mandatory-domain 命令用来配置端口上 802.1X 用户的强制认证域 undo dot1x mandatory-domain 命令用来删除该端口上 802.1X 用户的认证域缺省情况下, 未定义强制认证域需要注意的是 : 从指定端口上接入的 802.1X 用户将按照如下先后顺序选择认证域 : 端口上配置的强制 ISP 域 --> 用户名中指定的 ISP 域 --> 系统缺省的 ISP 域端口上配置的强制认证域必须已经存在端口上配置了强制认证域之后, 使用不携带任何参数的 display connection 命令显示该端口下的用户连接信息时, 所显示的用户域名为用户登录时使用的认证域名但是, 若要通过 display connection domain isp-name 命令显示该类用户或者通过 cut connection domain isp-name 命令切断该类用户连接时, 必须指定强制认证域名关于命令 display connection 的介绍请参见安全命令参考中的 AAA 配置命令相关配置可参考命令 display dot1x 举例 # 在端口 GigabitEthernet1/0/1 上配置 802.1X 用户使用强制认证域 my-domain [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] dot1x mandatory-domain my-domain # 802.1X 用户 usera 通过认证后, 通过命令 display connection 可查看端口 GigabitEthernet1/0/1 上的用户连接信息, 该命令的具体介绍请参见安全命令参考中的 AAA 配置命令 [Sysname-GigabitEthernet1/0/1] display connection interface gigabitethernet 1/0/1 Index=68,Username=usera@my-domian MAC=0015-e9a6-7cfe IP=3.3.3.3 IPv6=N/A Total 1 connection(s) matched. 1.1.9 dot1x max-user 在系统视图下 : dot1x max-user user-number [ interface interface-list ] undo dot1x max-user [ interface interface-list ] 在二层以太网端口视图下 : dot1x max-user user-number undo dot1x max-user 系统视图 / 二层以太网端口视图缺省级别 2: 系统级参数 user-number: 端口同时可容纳接入用户数量的最大值, 取值范围为 1~256 1-10

interface interface-list: 以太网端口列表, 表示多个以太网端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中, interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号描述 dot1x max-user 命令用来设置 802.1X 在指定端口上可容纳接入用户数量的最大值 undo dot1x max-user 命令用来恢复该值的缺省值缺省情况下, 端口上可容纳接入用户数量的最大值为 256 需要注意的是 : 在系统视图下执行该命令可以作用于参数 interface-list 所指定的端口, 如果不指定任何端口则将作用于所有端口在以太网端口视图下执行该命令时, 不能指定参数 interface-list, 只能作用于当前端口相关配置可参考命令 display dot1x 举例 # 设置端口 GigabitEthernet1/0/1 最多可容纳 32 个接入用户 [Sysname] dot1x max-user 32 interface gigabitethernet 1/0/1 或者 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] dot1x max-user 32 # 配置端口 GigabitEthernet1/0/2~GigabitEthernet1/0/5 中的每个端口上最多可容纳 32 个接入用户 [Sysname] dot1x max-user 32 interface gigabitethernet 1/0/2 to gigabitethernet 1/0/5 1.1.10 dot1x multicast-trigger dot1x multicast-trigger undo dot1x multicast-trigger 二层以太网端口视图缺省级别 2: 系统级参数无描述 dot1x multicast-trigger 命令用来使能 802.1X 的组播触发功能, 即周期性地向客户端发送组播触发报文 undo dot1x multicast-trigger 命令用来关闭 802.1X 的组播触发功能缺省情况下,802.1X 的组播触发功能处于开启状态相关配置可参考命令 display dot1x 1-11

举例 # 在端口 GigabitEthernet1/0/1 上开启 802.1X 的组播触发功能 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] dot1x multicast-trigger 1.1.11 dot1x port-control 在系统视图下 : dot1x port-control { authorized-force auto unauthorized-force } [ interface interface-list ] undo dot1x port-control [ interface interface-list ] 在二层以太网端口视图下 : dot1x port-control { authorized-force auto unauthorized-force } undo dot1x port-control 系统视图 / 二层以太网端口视图缺省级别 2: 系统级参数 authorized-force: 强制授权模式指示端口始终处于授权状态, 允许用户不经认证授权即可访问网络资源 auto: 自动识别模式指示端口初始状态为非授权状态, 仅允许 EAPOL 报文收发, 不允许用户访问网络资源 ; 如果认证通过, 则端口切换到授权状态, 允许用户访问网络资源这也是最常见的情况 unauthorized-force: 强制非授权模式指示端口始终处于非授权状态, 不允许用户访问网络资源 interface interface-list: 以太网端口列表, 表示多个以太网端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中, interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号描述 dot1x port-control 命令用来设置 802.1X 在指定端口上进行接入控制的模式 undo dot1x port-control 命令用来恢复缺省的接入控制模式缺省情况下, 接入控制模式为 auto 需要注意的是 : 在系统视图下执行该命令时, 若指定了参数 interface-list, 则作用于参数 interface-list 所指定的端口 ; 若不指定任何端口, 则作用于当前系统中的所有端口在二层以太网端口视图下执行该命令时, 不能指定参数 interface-list, 只能作用于当前端口相关配置可参考命令 display dot1x 举例 1-12

# 指定端口 GigabitEthernet1/0/1 处于强制非授权状态 [Sysname] dot1x port-control unauthorized-force interface gigabitethernet 1/0/1 或者 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] dot1x port-control unauthorized-force # 指定端口 GigabitEthernet1/0/2~GigabitEthernet1/0/5 均处于强制非授权状态 [Sysname] dot1x port-control unauthorized-force interface gigabitethernet 1/0/2 to gigabitethernet 1/0/5 1.1.12 dot1x port-method 在系统视图下 : dot1x port-method { macbased portbased } [ interface interface-list ] undo dot1x port-method [ interface interface-list ] 在二层以太网端口视图下 : dot1x port-method { macbased portbased } undo dot1x port-method 系统视图 / 二层以太网端口视图缺省级别参数描述 2: 系统级 macbased: 表示基于 MAC 地址对接入用户进行认证, 即该端口下的所有接入用户均需要单独认证, 当某个用户下线时, 也只有该用户无法使用网络 portbased: 表示基于端口对接入用户进行认证, 即只要该端口下的第一个用户认证成功后, 其他接入用户无须认证就可使用网络资源, 但是当第一个用户下线后, 其他用户也会被拒绝使用网络 interface interface-list: 以太网端口列表, 表示多个以太网端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中, interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号 dot1x port-method 命令用来设置 802.1X 在指定端口上进行接入控制的方式 undo dot1x port-method 命令用来恢复缺省的接入控制方式缺省情况下, 接入控制方式为 macbased 需要注意的是 : 在系统视图下执行该命令时, 若指定了参数 interface-list, 则作用于 interface-list 参数所指定的端口 ; 若不指定任何端口, 则作用于当前系统中的所有端口在以太网端口视图下执行该命令时, 不能指定参数 interface-list, 只能作用于当前端口 1-13

举例相关配置可参考命令 display dot1x # 在端口 GigabitEthernet1/0/1 上配置对接入用户进行基于端口的 802.1X 认证 [Sysname] dot1x port-method portbased interface gigabitethernet 1/0/1 或者 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] dot1x port-method portbased # 配置端口 GigabitEthernet1/0/2~GigabitEthernet1/0/5 上对接入用户进行基于端口的 802.1X 认证 [Sysname] dot1x port-method portbased interface gigabitethernet 1/0/2 to gigabitethernet 1/0/5 1.1.13 dot1x quiet-period dot1x quiet-period undo dot1x quiet-period 系统视图缺省级别参数 2: 系统级无描述举例 dot1x quiet-period 命令用来开启静默定时器功能 undo dot1x quiet-period 命令用来关闭静默定时器功能缺省情况下, 静默定时器功能处于关闭状态当 802.1X 用户认证失败以后, 设备需要静默一段时间 ( 该时间由静默定时器设置 ) 在静默期间, 设备对该用户不进行 802.1X 认证的相关处理相关配置可参考命令 display dot1x 和 dot1x timer # 开启静默定时器 [Sysname] dot1x quiet-period 1.1.14 dot1x re-authenticate dot1x re-authenticate undo dot1x re-authenticate 1-14

二层以太网端口视图缺省级别 2: 系统级参数无描述 dot1x re-authenticate 命令用来开启周期性重认证功能 undo dot1x re-authenticate 命令用来关闭周期性重认证功能缺省情况下, 周期性重认证功能处于关闭状态端口启动了 802.1X 的周期性重认证功能后, 设备会根据周期性重认证定时器 (dot1x timer reauth-period) 设定的时间间隔定期启动对该端口在线 802.1X 用户的认证, 以检测用户连接状态的变化, 更新服务器下发的授权属性 ( 例如 ACL VLAN QoS Profile) 相关配置可参考命令 dot1x timer reauth-period 举例 # 在端口 GigabitEthernet1/0/1 上开启 802.1X 重认证功能, 并配置周期性重认证时间间隔为 1800 秒 [Sysname] dot1x timer reauth-period 1800 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] dot1x re-authenticate 1.1.15 dot1x retry dot1x retry max-retry-value undo dot1x retry 系统视图缺省级别 2: 系统级参数 max-retry-value: 向接入用户发送认证请求报文的最大次数, 取值范围为 1~10 描述 dot1x retry 命令用来设置设备向接入用户发送认证请求报文的最大次数 undo dot1x retry 命令用来将该最大发送次数恢复为缺省情况缺省情况下, 向接入用户发送认证请求报文的最大次数为 2 需要注意的是 : 此命令参数 max-retry-value 取值为 1 时表示只允许向用户发送一次认证请求报文, 如果没有收到响应, 不再重复发送 ; 取值为 2 时表示在首次向用户发送请求又没有收到响应后将重复发送 1 次 ; 依次类推 1-15

本命令设置后将作用于所有端口相关配置可参考命令 display dot1x 举例 # 配置设备最多向接入用户发送 9 次认证请求报文 [Sysname] dot1x retry 9 1.1.16 dot1x timer dot1x timer { handshake-period handshake-period-value quiet-period quiet-period-value reauth-period reauth-period-value server-timeout server-timeout-value supp-timeout supp-timeout-value tx-period tx-period-value } undo dot1x timer { handshake-period quiet-period reauth-period server-timeout supp-timeout tx-period } 系统视图缺省级别 2: 系统级参数 handshake-period-value: 握手定时器的值, 取值范围为 5~1024, 单位为秒 quiet-period-value: 静默定时器的值, 取值范围为 10~120, 单位为秒 reauth-period-value: 周期性重认证定时器的值, 取值范围为 60~7200, 单位为秒 server-timeout-value: 认证服务器超时定时器的值, 取值范围为 100~300, 单位为秒 supp-timeout-value: 客户端认证超时定时器的值, 取值范围为 1~120, 单位为秒 tx-period-value: 用户名请求超时定时器的值, 取值范围为 10~120, 单位为秒描述 dot1x timer 命令用来配置 802.1X 的各项定时器参数 undo dot1x timer 命令用来将指定的定时器恢复为缺省情况缺省情况下, 握手定时器的值为 15 秒, 静默定时器的值为 60 秒, 周期性重认证定时器的值为 3600 秒, 认证服务器超时定时器的值为 100 秒, 客户端认证超时定时器的值为 30 秒, 用户名请求超时定时器的值为 30 秒 802.1X 认证过程受以下定时器的控制 : 握手定时器 (handshake-period): 此定时器是在用户认证成功后启动的, 设备端以此间隔为周期发送握手请求报文, 以定期检测用户的在线情况如果配置发送次数为 N, 则当设备端连续 N 次没有收到客户端的响应报文, 就认为用户已经下线静默定时器 (quiet-period): 对用户认证失败以后, 设备端需要静默一段时间 ( 该时间由静默定时器设置 ), 在静默期间, 设备端不处理该用户的认证功能周期性重认证定时器 (reauth-period): 端口下开启了周期性重认证功能 ( 通过命令 dot1x re-authenticate) 后, 设备端以此间隔为周期对端口上的在线用户发起重认证对于已在线的 802.1X 用户, 要等当前重认证周期结束并且认证通过后才会按新配置的周期进行后续的重认证 1-16

认证服务器超时定时器 (server-timeout): 当设备端向认证服务器发送了 RADIUS Access-Request 请求报文后, 设备端启动 server-timeout 定时器, 若在该定时器设置的时长内, 设备端没有收到认证服务器的响应, 设备端将重发认证请求报文客户端认证超时定时器 (supp-timeout): 当设备端向客户端发送了 EAP-Request/MD5 Challenge 请求报文后, 设备端启动此定时器, 若在该定时器设置的时长内, 设备端没有收到客户端的响应, 设备端将重发该报文用户名请求超时定时器 (tx-period): 当设备端向客户端发送 EAP-Request/Identity 请求报文后, 设备端启动该定时器, 若在该定时器设置的时长内, 设备端没有收到客户端的响应, 则设备端将重发认证请求报文另外, 为了兼容不主动发送 EAPOL-Start 连接请求报文的客户端, 设备会定期组播 EAP-Request/Identity 请求报文来检测客户端 tx-period 定义了该组播报文的发送时间间隔需要注意的是, 一般情况下, 用户无需修改定时器的值, 除非在一些特殊或恶劣的网络环境下, 可以使用该命令调节交互进程修改后的定时器值, 可立即生效相关配置可参考命令 display dot1x 举例 # 设置认证服务器的超时定时器时长为 150 秒 [Sysname] dot1x timer server-timeout 150 1.1.17 dot1x unicast-trigger dot1x unicast-trigger undo dot1x unicast-trigger 二层以太网端口视图缺省级别 2: 系统级参数无描述 dot1x unicast-trigger 命令用来开启端口上的 802.1X 的单播触发功能 undo dot1x unicast-trigger 命令用来关闭 802.1X 的单播触发功能缺省情况下,802.1X 的单播触发功能处于关闭状态本功能开启后, 当端口收到源 MAC 未知的报文时, 主动向该 MAC 地址发送单播认证报文来触发认证若设备端在设置的客户端认证超时时间内 ( 该时间由 dot1x timer tx-period 设置 ) 没有收到客户端的响应, 则重发该报文 ( 重发次数由 dot1x retry 设置 ) 相关配置可参考命令 display dot1x dot1x timer tx-period 和 dot1x retry 举例 # 在端口 GigabitEthernet1/0/1 上开启 802.1X 的单播触发功能 [Sysname] interface gigabitethernet 1/0/1 1-17

[Sysname-GigabitEthernet1/0/1] dot1x unicast-trigger 1.1.18 reset dot1x statistics reset dot1x statistics [ interface interface-list ] 用户视图缺省级别 2: 系统级参数 interface interface-list: 以太网端口列表, 表示多个以太网端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中, interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号描述 reset dot1x statistics 命令用来清除 802.1X 的统计信息需要注意的是 : 如果不指定端口类型和端口号, 则清除设备上的全局及所有端口的 802.1X 统计信息 ; 如果指定端口类型和端口号, 则清除指定端口上的 802.1X 统计信息相关配置可参考命令 display dot1x 举例 # 清除以太网端口 GigabitEthernet1/0/1 上的 802.1X 统计信息 <Sysname> reset dot1x statistics interface gigabitethernet 1/0/1 1-18

2 802.1X 支持 EAD 快速部署命令 2.1 802.1X 支持 EAD 快速部署命令 2.1.1 dot1x free-ip dot1x free-ip ip-address { mask-address mask-length } undo dot1x free-ip { ip-address { mask mask-length } all } 系统视图缺省级别 2: 系统级参数 ip-address: 免认证网段 IP 地址 mask: 免认证网段 IP 地址的掩码 mask-length: 免认证网段 IP 地址的掩码长度 all: 所有免认证网段描述 dot1x free-ip 命令用来配置 Free IP, 即用户在 802.1X 认证成功之前可访问的免认证网段 undo dot1x free-ip 命令用来删除配置的 Free IP 缺省情况下, 未定义 Free IP 需要注意的是 : Free IP 功能与全局使能 MAC 认证端口安全功能及二层 Portal 功能互斥 ; Free IP 功能只在端口接入控制的模式为 auto 的情况下生效 ; 相关配置可参考安全命令参考中 802.1X 配置命令中的命令 display dot1x 举例 # 配置终端用户在 802.1X 认证之前可访问的免认证网段为 192.168.0.0/24 [Sysname] dot1x free-ip 192.168.0.0 24 2.1.2 dot1x timer ead-timeout dot1x timer ead-timeout ead-timeout-value undo dot1x timer ead-timeout 系统视图缺省级别 2-1

2: 系统级参数 ead-timeout-value:ead 规则的老化超时时间, 取值范围为 1~1440, 单位为分钟描述 dot1x timer ead-timeout 命令用来配置 EAD 规则的老化超时时间 undo dot1x timer ead-timeout 命令用来恢复缺省配置缺省情况下,EAD 规则的老化超时时间为 30 分钟相关配置可参考安全命令参考中 802.1X 配置命令中的命令 display dot1x 举例 # 配置 EAD 规则的老化超时时间为 5 分钟 [Sysname] dot1x timer ead-timeout 5 2.1.3 dot1x url dot1x url url-string undo dot1x url 系统视图缺省级别 2: 系统级参数 url-string: 重定向 URL 地址, 为 1~64 个字符的字符串, 区分大小写, 格式为 http://string 描述 dot1x url 命令用来配置用户 HTTP 访问的重定向 URL, 即用户在 802.1X 认证成功之前, 如果使用浏览器访问非 Free IP 网段的其它网络, 设备会将用户访问的 URL 重定向到已配置的 HTTP 访问的重定向地址 undo dot1x url 命令用来删除用户 HTTP 访问的重定向 URL 缺省情况下, 未定义重定向 URL 需要注意的是 : 重定向的 URL 和 Free IP 必须在同一个网段内, 否则无法访问指定的重定向 URL; 用户 HTTP 访问的重定向 URL 可多次配置, 但仅最后配置的一条有效相关配置可参考安全命令参考中 802.1X 配置命令中的命令 display dot1x 和 dot1x free-ip 举例 # 配置用户 HTTP 访问的重定向 URL 为 http://192.168.0.1 [Sysname] dot1x url http://192.168.0.1 2-2

目录 1 MAC 地址认证配置命令... 1-1 1.1 MAC 地址认证配置命令...1-1 1.1.1 display mac-authentication... 1-1 1.1.2 mac-authentication... 1-3 1.1.3 mac-authentication domain... 1-4 1.1.4 mac-authentication guest-vlan... 1-5 1.1.5 mac-authentication max-user... 1-5 1.1.6 mac-authentication timer... 1-6 1.1.7 mac-authentication user-name-format... 1-7 1.1.8 reset mac-authentication statistics... 1-8 i

1 MAC 地址认证配置命令 1.1 MAC 地址认证配置命令 1.1.1 display mac-authentication display mac-authentication [ interface interface-list ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 2: 系统级参数 interface interface-list: 端口列表, 表示多个端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中,interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display mac-authentication 命令用来显示 MAC 地址认证的相关信息, 主要包括全局及端口的配置信息认证报文统计信息以及认证用户信息需要注意的是 : 如果指定参数 interface interface-list, 则显示全局及指定端口上的 MAC 地址认证信息如果不指定任何参数, 则显示全局及所有端口上的 MAC 地址认证信息举例 # 显示 MAC 地址认证信息 <Sysname> display mac-authentication MAC address authentication is enabled. User name format is MAC address in lowercase, like xxxxxxxxxxxx Fixed username:mac Fixed password:not configured Offline detect period is 300s Quiet period is 60s. Server response timeout value is 100s 1-1

the max allowed user number is 1024 per slot Current user number amounts to 0 Current domain: not configured, use default domain Silent Mac User info: MAC Addr From Port Port Index GigabitEthernet1/0/1 is link-up MAC address authentication is enabled Authenticate success: 0, failed: 0 Max number of on-line users is 256 Current online user number is 0 MAC Addr Authenticate state Auth Index ( 略 ) 表 1-1 display mac-authentication 命令显示信息描述表字段 MAC address authentication is enabled MAC 地址认证特性已经开启描述本字段用于显示 MAC 地址认证使用的用户名格式, 有以下两种情况 : User name format is MAC address in lowercase, like xxxxxxxxxxxx 若采用 MAC 地址形式, 则显示具体的用户名格式以及是否带连字符字母是否大小写, 例如本例中 User name format is MAC address in lowercase, like xxxxxxxxxxxx, 它表示用户名格式为不带连字符的 MAC 地址, 其中字母为小写若采用固定用户名格式, 则显示 User name format is fixed account 固定用户名 Fixed username: Fixed password: Offline detect period Quiet period Server response timeout value The max allowed user number Current user number amounts Current domain: not configured, use default domain Silent Mac User info GigabitEthernet1/0/1 is link-up MAC address authentication is enabled Authenticate success: 0, failed: 0 采用 MAC 地址格式时, 该值显示为 mac, 无实际意义, 仅表示采用 MAC 地址作为用户名和密码采用固定用户名格式时, 该值为配置的用户名 ( 缺省为 mac) 固定用户名的密码采用 MAC 地址格式时, 该值显示为 not configured 采用固定用户名格式时, 该值为配置的用户密码下线检测定时器的时间间隔静默定时器的时间间隔服务器连接超时定时器的值设备每板最大支持的 MAC 地址认证用户数当前用户数当前认证域没有配置, 使用缺省域静默用户信息端口 GigabitEthernet1/0/1 链路处于 UP 状态端口 GigabitEthernet1/0/1MAC 地址认证特性已开启端口上 MAC 地址认证的统计信息, 包括认证通过和认证失败的数目 1-2

字段 Max number of on-line users Current online user number MAC Addr 描述端口最多可容纳的接入用户数如果端口没有开启 MAC 地址认证, 则显示 0 端口当前的接入用户数 MAC 地址端口接入用户的状态, 共有四种 : Authenticate state AuthIndex CONNECTING: 正在连接 SUCCESS: 认证通过 FAILURE: 认证失败 LOGOFF: 已下线认证体索引号 1.1.2 mac-authentication 在系统视图下 : mac-authentication [ interface interface-list ] undo mac-authentication [ interface interface-list ] 在二层以太网端口视图下 : mac-authentication undo mac-authentication 系统视图 / 二层以太网端口视图缺省级别 2: 系统级参数 interface interface-list: 以太网端口列表, 表示多个以太网端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中, interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号描述 mac-authentication 命令用来开启指定端口上或全局的 MAC 地址认证特性 undo mac-authentication 命令用来关闭指定端口上或全局的 MAC 地址认证特性缺省情况下, 所有端口及全局的 MAC 地址认证特性都处于关闭状态需要注意的是 : 在系统视图下使用该命令时, 如果不输入可选项 interface interface-list, 则表示开启全局的 MAC 地址认证特性 ; 如果指定了 interface interface-list, 则表示开启指定端口的 MAC 地址认证特性只有全局和端口的 MAC 地址认证特性均开启后,MAC 地址认证配置才能在端口上生效举例 1-3

# 开启全局的 MAC 地址认证特性 [Sysname] mac-authentication Mac-auth is enabled globally. # 开启以太网端口 GigabitEthernet1/0/1 上的 MAC 地址认证特性 [Sysname] mac-authentication interface gigabitethernet 1/0/1 Mac-auth is enabled on port GigabitEthernet1/0/1. 或者 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] mac-authentication Mac-auth is enabled on port GigabitEthernet1/0/1. 1.1.3 mac-authentication domain mac-authentication domain domain-name undo mac-authentication domain 系统视图 / 二层以太网端口视图缺省级别 2: 系统级参数 domain-name:isp 域名, 为 1~24 个字符的字符串, 不区分大小写, 且不能包括 / : *? < > 以及 @ 等特殊字符描述 mac-authentication domain 命令用来指定 MAC 地址认证用户使用的认证域 undo mac-authentication domain 命令用来恢复缺省情况缺省情况下, 未指定 MAC 地址认证用户使用的认证域, 使用系统缺省的认证域缺省认证域的介绍请参见安全命令参考 /AAA 配置命令中的命令 domain default enable 需要注意的是 : 系统视图下指定的认证域对所有使能了 MAC 地址认证的端口生效以太网端口视图下指定的认证域仅对本端口有效不同的端口可以指定不同的认证域端口上接入的 MAC 地址认证用户将按照如下先后顺序选择认证域 : 端口上指定的认证域 --> 系统视图下指定的认证域 --> 系统缺省的认证域相关配置可参见命令 display mac-authentication 举例 # 在系统视图下指定 MAC 地址认证用户使用的认证域为 domain1 [Sysname] mac-authentication domain domain1 # 指定端口 GigabitEthernet1/0/1 上接入的 MAC 地址认证用户使用的认证域为 aabbcc [Sysname] interface gigabitethernet 1/0/1 1-4

[Sysname-GigabitEthernet1/0/1] mac-authentication domain aabbcc 1.1.4 mac-authentication guest-vlan mac-authentication guest-vlan guest-vlan-id undo mac-authentication guest-vlan 二层以太网端口视图缺省级别 2: 系统级参数 guest-vlan-id: 端口上指定的 Guest VLAN ID, 取值范围为 1~4094 该 VLAN 必须已经创建描述 mac-authentication guest-vlan 命令用来配置 MAC 地址认证的 Guest VLAN 如果配置生效, 则所有经由该端口认证失败的用户, 将被加入到指定的 Guest VLAN undo mac-authentication guest-vlan 命令用来取消 MAC 地址认证的 Guest VLAN 配置缺省情况下, 没有配置 MAC 地址认证的 Guest VLAN 需要注意的是 : 只有开启 MAC 认证特性的情况下,Guest VLAN 才能生效只有使能端口的 MAC VLAN 功能的情况下,Guest VLAN 才生效禁止删除已被配置为 Guest VLAN 的 VLAN, 若要删除该 VLAN, 请先使用命令 undo mac-authentication guest-vlan 取消 MAC 地址认证的 Guest VLAN 配置相关配置可参考命令 mac-authentication 和二层技术 - 以太网交换命令参考 /VLAN 配置中的命令 mac-vlan enable 举例 # 配置以太网端口 GigabitEthernet1/0/1 的 MAC 地址认证的 Guest VLAN 为已经创建的 VLAN 5 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] mac-authentication guest-vlan 5 1.1.5 mac-authentication max-user mac-authentication max-user user-number undo mac-authentication max-user 以太网端口视图缺省级别 2: 系统级参数 1-5

user-number: 端口同时可容纳接入用户数量的最大值, 取值范围为 1~256 描述 mac-authentication max-user 命令用来配置端口同时可容纳接入的 MAC 地址认证用户数量的最大值 undo mac-authentication max-user 命令用来恢复该值的缺省值缺省情况下, 端口同时可容纳接入用户数量的最大值为 256 举例 # 设置端口 GigabitEthernet1/0/1 最多同时可容纳 32 个 MAC 地址认证用户接入 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] mac-authentication max-user 32 1.1.6 mac-authentication timer mac-authentication timer { offline-detect offline-detect-value quiet quiet-value server-timeout server-timeout-value } undo mac-authentication timer { offline-detect quiet server-timeout } 系统视图缺省级别 2: 系统级参数 offline-detect offline-detect-value: 表示下线检测定时器其中,offline-detect-value 表示下线检测定时器的值, 取值范围 60~65535, 单位为秒 quiet quiet-value: 表示静默定时器其中 quiet-value 表示静默定时器的值, 取值范围 1~3600, 单位为秒 server-timeout server-timeout-value: 表示服务器超时定时器其中,server-timeout-value 表示服务器超时定时器的值, 取值范围为 100~300, 单位为秒描述 mac-authentication timer 命令用来配置 MAC 地址认证定时器 undo mac-authentication timer 命令用来将指定的定时器恢复为缺省情况缺省情况下, 下线定时器的值为 300 秒, 静默定时器的值为 60 秒, 服务器的超时定时器的值为 100 秒 MAC 地址认证过程受以下定时器的控制 : 下线检测定时器 (offline-detect): 用来设置用户空闲超时的时间间隔如果在两个时间间隔之内, 没有来自用户的流量通过, 设备将切断用户的连接, 同时通知 RADIUS 服务器, 停止对该用户的计费静默定时器 (quiet): 用来设置用户认证失败以后, 设备需要等待的时间间隔在静默期间, 设备不对来自该用户的报文进行认证处理, 直接丢弃静默期后, 如果设备再次收到该用户的报文, 则依然可以对其进行认证处理 1-6

服务器超时定时器 (server-timeout): 用来设置设备同 RADIUS 服务器的连接超时时间在用户的认证过程中, 如果服务器超时定时器超时, 设备将在相应的端口上禁止此用户访问网络相关配置可参考命令 display mac-authentication 举例 # 设置服务器超时定时器时长为 150 秒 [Sysname] mac-authentication timer server-timeout 150 1.1.7 mac-authentication user-name-format mac-authentication user-name-format { fixed [ account name ] [ password { cipher simple } password ] mac-address [ { with-hyphen without-hyphen } [ lowercase uppercase ] ] } undo mac-authentication user-name-format 系统视图缺省级别 2: 系统级参数 fixed: 表示采用固定用户名格式 account name: 指定发送给 RADIUS 服务器进行认证或者在本地进行认证的用户名其中 name 为用户名, 为 1~55 个字符的字符串, 不区分大小写, 缺省为 mac password { cipher simple } password: 指定固定用户名的密码其中,cipher 表示密文显示密码,simple 表示明文显示密码,password 表示用户密码无缺省值密文显示的情况下, 可输入 1~63 个字符的明文字符串密码, 也可输入长度为 24 或 88 个字符的密文字符串密码 ; 明文显示的情况下, 只能输入 1~63 个字符的明文字符串 mac-address: 表示使用用户的 MAC 地址做为用户名和密码 with-hyphen: 带连字符 - 的 MAC 地址格式, 例如 xx-xx-xx-xx-xx-xx without-hyphen: 不带连字符 - 的 MAC 地址格式, 例如 xxxxxxxxxxxx lowercase:mac 地址中的字母为小写 uppercase:mac 地址中的字母为大写描述 mac-authentication user-name-format 命令用来配置 MAC 地址认证的用户名格式 undo mac-authentication user-name-format 命令用来恢复缺省情况缺省情况下, 使用用户的 MAC 地址做用户名和密码, 其中字母为小写 MAC 地址不带连字符 - 需要注意的是 : 若指定用户的 MAC 地址为用户名, 则用户密码也为用户的源 MAC 地址 1-7

在 cipher 方式下, 长度小于等于 16 的明文密码会被加密为长度是 24 的密文, 长度大于 16 且小于等于 63 的明文密码会被加密为长度是 88 的密文当用户输入长度为 24 的密码时, 如果密码能够被系统解密, 则按密文密码处理 ; 若不能被解密, 则按明文密码处理相关配置可参考命令 display mac-authentication 举例 # 配置 MAC 认证的用户名为 abc, 密码是明文显示的 xyz [Sysname] mac-authentication user-name-format fixed account abc password simple xyz [Sysname] display this # mac-authentication user-name-format fixed account abc password simple xyz # # 配置 MAC 认证的用户名为 abc, 密码是密文显示的 xyz [Sysname] mac-authentication user-name-format fixed account abc password cipher xyz [Sysname] display this # mac-authentication user-name-format fixed account abc password cipher 5Q4$,*^18 N'Q=^Q`MAF4<1!! # # 配置 MAC 认证的用户名为 abc, 密码是密文显示的 5Q4$,*^18N'Q=^Q`MAF4<1!! [Sysname] mac-authentication user-name-format fixed account abc password cipher 5Q4$,*^18 N'Q=^Q`MAF4<1!! # 配置用户的 MAC 地址为用户名和密码, 使用带连字符 - 的 MAC 地址格式, 其中字母大写 [Sysname] mac-authentication user-name-format mac-address with-hyphen uppercase 1.1.8 reset mac-authentication statistics reset mac-authentication statistics [ interface interface-list ] 用户视图缺省级别 2: 系统级参数 interface interface-list: 端口列表, 表示多个端口, 表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中,interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号描述 reset mac-authentication statistics 命令用来清除 MAC 认证的统计信息需要注意的是 : 1-8

如果不指定端口类型和端口号, 则清除设备上的全局及所有端口的 MAC 认证统计信息 ; 如果指定端口类型和端口号, 则清除指定端口上的 MAC 认证统计信息相关配置可参考命令 display mac-authentication 举例 # 清除以太网端口 GigabitEthernet1/0/1 上的 MAC 认证统计信息 <Sysname> reset mac-authentication statistics interface gigabitethernet 1/0/1 1-9

目录 1 Portal 配置命令... 1-1 1.1 Portal 配置命令... 1-1 1.1.1 display portal free-rule... 1-1 1.1.2 display portal interface... 1-2 1.1.3 display portal local-server... 1-3 1.1.4 display portal tcp-cheat statistics... 1-4 1.1.5 display portal user... 1-5 1.1.6 portal auth-fail vlan... 1-7 1.1.7 portal delete-user... 1-8 1.1.8 portal domain... 1-8 1.1.9 portal free-rule... 1-9 1.1.10 portal local-server... 1-10 1.1.11 portal local-server enable... 1-11 1.1.12 portal local-server ip... 1-12 1.1.13 portal max-user... 1-12 1.1.14 portal move-mode auto... 1-13 1.1.15 portal offline-detect interval... 1-14 1.1.16 portal redirect-url... 1-14 1.1.17 portal server banner... 1-15 1.1.18 portal web-proxy port... 1-16 1.1.19 reset portal tcp-cheat statistics... 1-16 i

1 Portal 配置命令 1.1 Portal 配置命令 1.1.1 display portal free-rule display portal free-rule [ rule-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 rule-number: 免认证规则编号, 取值范围为 0~255 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display portal free-rule 命令用来显示 Portal 的免认证规则信息需要注意的是, 若不指定参数 rule-number, 则显示所有的免认证规则信息相关配置可参考命令 portal free-rule 举例 # 显示编号为 1 的免认证规则 <Sysname> display portal free-rule 1 Rule-Number 1: Source: IP : 2.2.2.0 Mask : 255.255.255.0 MAC : 0000-0000-0000 Interface : any Vlan : 0 Destination: 1-1

IP : 0.0.0.0 Mask : 0.0.0.0 表 1-1 display portal free-rule 命令显示信息描述表字段描述 Rule-Number Source IP Mask MAC Interface Vlan Destination IP Mask 免认证规则的编号免认证规则的源信息免认证规则的源 IP 地址免认证规则的源 IP 地址子网掩码免认证规则的源 MAC 地址免认证规则的源端口免认证规则的源 VLAN 免认证规则的目的信息免认证规则的目的 IP 地址免认证规则的目的 IP 地址子网掩码 1.1.2 display portal interface display portal interface interface-type interface-number [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 interface-type interface-number: 端口类型和端口编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display portal interface 命令用来显示指定端口的 Portal 配置信息举例 1-2

# 显示以太网端口 GigabitEthernet1/0/1 的 Portal 配置信息 <Sysname> display portal interface gigabitethernet1/0/1 Interface portal configuration: GigabitEthernet1/0/1: Portal running Portal server: local-server Authentication type: Direct Authentication domain: aaa Authentication network: 表 1-2 display portal interface 命令显示信息描述表字段 Interface portal configuration 端口上 Portal 的配置信息描述端口上 Portal 认证的状态 GigabitEthernet1/0/1 Portal server Authentication type Authentication domain Authentication network disabled:portal 认证未使能 enabled:portal 认证已使能, 但未生效 running:portal 认证已生效端口引用的 Portal 服务器端口上配置的认证方式端口上的强制认证域 Portal 认证网段信息 1.1.3 display portal local-server display portal local-server [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 1-3

display portal local-server 用来显示本地 Portal 服务器的配置信息, 包括支持的协议类型引用的 SSL 服务器端策略相关配置可参考命令 portal local-server 和 portal local-server bind 举例 # 显示本地 Portal 服务器的配置 <Sysname> display portal local-server Protocol: HTTP Local-server IP: 10.1.1.1 Server policy: 表 1-3 display portal local-server 命令显示信息描述表字段描述 Protocol Local-server IP Server policy 本地 Portal 服务器支持的协议类型, 包括 HTTP 和 HTTPS 本地 Portal 服务器的 IP 地址指定 HTTPS 服务关联的 SSL 服务器策略, 如果配置的是 HTTP 协议方式, 则此字段为空 1.1.4 display portal tcp-cheat statistics display portal tcp-cheat statistics [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display portal tcp-cheat statistics 命令用来显示 TCP 仿冒统计信息举例 # 显示所有 TCP 仿冒统计信息 <Sysname> display portal tcp-cheat statistics 1-4

TCP Cheat Statistic: Total Opens: 0 Resets Connections: 0 Current Opens: 0 Packets Received: 0 Packets Sent: 0 Packets Retransmitted: 0 Packets Dropped: 0 HTTP Packets Sent: 0 Connection State: SYN_RECVD: 0 ESTABLISHED: 0 CLOSE_WAIT: 0 LAST_ACK: 0 FIN_WAIT_1: 0 FIN_WAIT_2: 0 CLOSING: 0 表 1-4 display portal tcp-cheat statistics 命令显示信息描述表字段描述 TCP Cheat Statistic Total Opens Resets Connections Current Opens Packets Received Packets Sent Packets Retransmitted Packets Dropped HTTP Packets Sent Connection State ESTABLISHED CLOSE_WAIT LAST_ACK FIN_WAIT_1 FIN_WAIT_2 CLOSING TCP 仿冒统计信息打开的连接总数通过 RST 报文重置的连接数当前正在打开的连接数收到的报文数发送的报文数重传的报文数丢弃的报文数发送的 HTTP 报文数连接状态处于 established 状态的连接数处于 close wait 状态的连接数处于 last ack 状态的连接数处于 fin wait 1 状态的连接数处于 fin wait 2 状态的连接数处于 closing 状态的连接数 1.1.5 display portal user 1-5

display portal user { all interface interface-type interface-number } [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 all: 显示所有 Portal 用户的信息 interface interface-type interface-number: 显示指定端口上的 Portal 用户信息 interface-type interface-number 为端口类型和端口编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display portal user 命令用来显示 Portal 用户的信息举例 # 显示所有 Portal 用户的信息 <Sysname> display portal user all Index:2 State:ONLINE SubState:INVALID ACL:NONE Work-mode:Stand-alone MAC IP Vlan Interface --------------------------------------------------------------------- 000d-88f8-0eab 2.2.2.2 1 GigabitEthernet1/0/1 Total 1 user(s) matched, 1 listed. 表 1-5 display portal user 命令显示信息描述表字段描述 Index State SubState ACL Portal 用户的索引 Portal 用户的当前状态 Portal 用户的当前子状态 Portal 用户的授权 ACL 1-6

字段描述 Portal 用户的工作模式, 有如下三种 : Work-mode MAC IP Vlan Interface Total 1 user(s) matched, 1 listed 协同工作主用户 :Primary 协同工作备用户 :Secondary 单独工作用户 :Stand-alone Portal 用户的 MAC 地址 Portal 用户的 IP 地址 Portal 用户所在的 VLAN Portal 用户所在的端口总计有 1 个 Portal 用户 1.1.6 portal auth-fail vlan portal auth-fail vlan authfail-vlan-id undo portal auth-fail vlan 二层以太网端口视图缺省级别 2: 系统级参数 authfail-vlan-id:auth-fail VLAN ID Portal 用户认证失败后, 将被加入此 VLAN 描述 portal auth-fail vlan 命令用来配置指定端口的 Portal 认证的 Auth-Fail VLAN undo portal auth-fail vlan 命令用来恢复缺省配置缺省情况下, 端口没有配置 Portal 认证的 Auth-Fail VLAN 需要注意的是 : 本命令指定的 VLAN 必须已经存在为使该配置生效, 必须使能端口上的 MAC VLAN 功能不同的端口可以配置不同的 Portal 认证的 Auth-Fail VLAN, 但一个端口最多只能配置一个 Portal 认证的 Auth-Fail VLAN 举例 # 配置 Portal 用户认证失败后加入的 Auth-Fail VLAN 为 VLAN 5 [Sysname] vlan 5 [Sysname-vlan5] quit 1-7

[Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] port link-type hybrid [Sysname-GigabitEthernet1/0/1] mac-vlan enable [Sysname-GigabitEthernet1/0/1] portal auth-fail vlan 5 1.1.7 portal delete-user portal delete-user { ip-address all interface interface-type interface-number } 系统视图缺省级别 2: 系统级参数 ip-address: 用户的 IP 地址 all: 所有用户 interface interface-type interface-number: 该端口下的所有用户 interface-type interface-number 为端口类型和端口编号描述 portal delete-user 命令用来强制接入设备上的用户下线相关配置可参考命令 display portal user 举例 # 强制 IP 地址为 1.1.1.1 的用户下线 [Sysname] portal delete-user 1.1.1.1 1.1.8 portal domain portal domain domain-name undo portal domain 二层以太网端口视图缺省级别 2: 系统级参数 domain-name:isp 认证域名, 为 1~24 个字符的字符串, 不分区大小写, 且必须是已经存在的域名 1-8

描述 portal domain 命令用来指定 Portal 用户使用的认证域, 使得所有从该端口上接入的 Portal 用户强制使用该认证域 undo portal domain 命令用来恢复缺省情况缺省情况下, 未指定 Portal 用户使用的认证域相关配置可参考命令 display portal interface 举例 # 指定从端口 GigabitEthernet1/0/1 上接入的 Portal 用户使用认证域 my-domain [Sysname] interface gigabitethernet1/0/1 [Sysname GigabitEthernet1/0/1] portal domain my-domain 1.1.9 portal free-rule portal free-rule rule-number { destination { any ip { ip-address mask { mask-length netmask } any } } } * undo portal free-rule { rule-number all } 系统视图缺省级别 2: 系统级参数 rule-number: 免认证规则编号, 取值范围为 0~255 any: 表示不对前面的参数做限制 ip ip-address: 免认证规则的 IP 地址 mask { mask-length netmask }: 免认证规则的 IP 地址掩码其中,mask-length 为子网掩码长度, 取值范围为 0~32;netmask 为子网掩码, 点分十进制格式 mac mac-address: 免认证规则的源 MAC 地址, 为 H-H-H 的形式 all: 所有免认证规则描述 portal free-rule 命令用来配置 Portal 的免认证规则, 指定源过滤条件或目的过滤条件 undo portal free-rule 命令用来删除免认证规则需要注意的是 : 相同内容的免认证规则不能重复配置, 否则提示免认证规则已存在或重复无论端口上是否使能 Portal 认证, 只能添加或者删除免认证规则, 不能修改对于二层 Portal 认证, 只能配置从任意源地址到任意或指定目的地址的免认证规则配置了这种类型的免认证规则后, 用户不需要通过 Portal 认证即可访问指定目的网段或地址的网络资源, 且用户访问这些资源的 HTTP 请求不会被重定向到 Portal 认证页面上 1-9

相关配置可参考命令 display portal free-rule 举例 # 配置 Portal 免认证规则, 符合目的 IP 地址为 10.10.10.1/24 的报文不会触发 Portal 认证 [Sysname] portal free-rule 15 destination ip 10.10.10.1 1.1.10 portal local-server portal local-server { http https server-policy policy-name } undo portal local-server { http https } 系统视图缺省级别 2: 系统级参数 http: 指定本地 Portal 服务器使用 HTTP 协议和客户端交互认证信息 https: 指定本地 Portal 服务器使用 HTTPS 协议和客户端交互认证信息 server-policy policy-name: 指定 HTTPS 服务关联的 SSL 服务器端策略其中,policy-name 表示 SSL 服务器端策略名, 为 1~16 个字符的字符串, 不区分大小写描述 portal local-server 命令用来配置本地 Portal 服务器支持的协议类型, 并同时加载缺省认证页面文件 undo portal local-server 命令用来取消本地 Portal 服务器支持的协议类型缺省情况下, 本地 Portal 服务器不支持任何协议类型需要注意的是 : 执行本命令时, 本地 Portal 服务器将同时加载已保存在根目录的缺省认证页面文件, 因此, 为保证自定义的缺省认证页面生效, 请首先完成对它的编辑及保存工作, 否则使用系统默认的缺省认证页面若指定 HTTP 协议, 则 HTTP 报文的重定向地址格式为 :http:// 设备 IP/portal/logon.htm, 客户端通过 HTTP 协议与 Portal 服务器交互认证信息若指定 HTTPS 协议, 则 HTTP 报文的重定向地址格式为 :https:// 设备 IP/portal/logon.htm, 客户端通过 HTTPS 协议与 Portal 服务器交互认证信息已经被 HTTPS 服务关联的 SSL 服务器端策略不能使用 undo ssl server-policy 删除本设备上所有与 HTTPS 服务相关联的 SSL 服务器端策略必须相同若设备上有本地 Portal 用户在线, 则不能取消支持的协议类型或修改支持的协议类型, 也不能修改关联的 SSL 服务器端策略更改 HTTPS 服务关联的 SSL 服务器端策略时, 必须先使用 undo portal local-server https 命令取消配置的 HTTPS 协议, 然后再重新指定 SSL 服务器策略 1-10

相关配置可参考命令 display portal local-server 和安全命令参考 /SSL 配置命令中的 ssl server-policy 举例 # 配置本地 Portal 服务器支持 HTTP 协议方式 [Sysname] portal local-server http # 配置本地 Portal 服务器支持 HTTPS 协议方式, 并引用已经配置的 SSL 服务器端策略 policy1 [Sysname] portal local-server https server-policy policy1 # 更改 SSL 服务器端策略为 policy2 [Sysname] undo portal local-server https [Sysname] portal local-server https server-policy policy2 1.1.11 portal local-server enable portal local-server enable undo portal 二层以太网端口视图缺省级别 2: 系统级参数无描述 portal local-server enable 命令用来在端口上使能二层 Portal 认证 undo portal 命令用来恢复缺省配置缺省情况下, 未使能二层 Portal 认证需要注意的是 : 为使二层端口上的 Portal 认证功能正常运行, 不建议端口上同时使能端口安全 802.1X 的 Guest VLAN 或 802.1X 的 EAD 快速部署功能关于端口安全 802.1X 的相关介绍, 请参考安全配置指导中的端口安全配置和 802.1X 配置使能该功能前, 必须先指定本地 Portal 服务器的监听 IP 地址相关配置请参考命令 portal local-server ip 举例 # 在端口 GigabitEthernet1/0/1 上使能二层 Portal 认证 [Sysname] interface gigabitethernet 1/0/1 1-11

[Sysname-GigabitEthernet1/0/1] portal local-server enable 1.1.12 portal local-server ip portal local-server ip ip-address undo portal local-server ip 系统视图缺省级别 2: 系统级参数 ip-address: 本地 Portal 服务器的监听 IP 地址该地址为接入设备上一个与 Portal 客户端路由可达的三层接口 IP 地址 ( 通常为 Loopback 接口 IP) 描述 portal local-server ip 命令用来指定二层 Portal 认证的本地 Portal 服务器监听 IP 地址对于 Portal 用户输入任意 URL 地址进行的 Web 访问请求, 设备都将其重定向到该监听地址的认证页面上 undo portal local-server ip 命令用来恢复缺省配置缺省情况下, 没有指定本地 Portal 服务器的监听 IP 地址需要注意的是, 配置的监听 IP 地址推荐使用 LoopBack 接口地址, 利用 LoopBack 接口状态稳定的优点, 避免因为接口故障导致用户无法打开认证页面的问题另外, 由于发送到 LoopBack 接口的报文不会被转发到网络中, 当请求上线的用户数目较大时, 可减轻对系统性能的影响举例 # 配置二层 Portal 认证的本地 Portal 服务器监听 IP 地址为 1.1.1.1 [Sysname] interface loopback 1 [Sysname-LoopBack1] ip address 1.1.1.1 32 [Sysname-LoopBack1] quit [Sysname] portal local-server ip 1.1.1.1 1.1.13 portal max-user portal max-user max-number undo portal max-user 系统视图缺省级别 2: 系统级 1-12

参数 max-number: 允许同时在线的最大 Portal 用户数, 取值范围为 1~512 描述 portal max-user 命令用来配置 Portal 最大用户数 undo portal max-user 命令用来恢复缺省情况缺省情况下,Portal 最大用户数为 512 需要注意的是, 如果配置的 Portal 最大用户数小于当前已经在线的 Portal 用户数, 则该命令可以执行成功, 且在线 Portal 用户不受影响, 但系统将不允许新的 Portal 用户接入举例 # 配置 Portal 最大用户数为 100 [Sysname] portal max-user 100 1.1.14 portal move-mode auto portal move-mode auto undo portal move-mode 系统视图缺省级别 2: 系统级参数无描述 portal move-mode auto 命令用来开启 Portal 用户认证端口的自动迁移功能已认证用户离开原认证端口到达新的认证端口后, 如果端口的 VLAN 相同, 则用户不需要重新认证, 就可以继续访问网络 ; 若端口的 VLAN 不同, 则该用户将在原端口上下线, 在新的端口上重新认证后上线 undo portal move-mode 用来恢复缺省情况缺省情况下,Portal 用户认证端口的自动迁移功能处于关闭状态认证成功的用户从同一设备上的当前认证端口离开并迁移到其它认证端口上接入时, 由于原端口上仍然保留该用户的认证信息, 从而无法在新端口上认证上线需要注意的是, 在开启了本功能的情况下, 若用户认证端口迁移后原端口状态变为 down, 则用户也会下线, 所以本功能仅能在用户和设备之间存在 Hub 二层交换机或 AP 的组网环境下生效举例 # 开启 Portal 用户认证端口的自动迁移功能 [Sysname] portal move-mode auto 1-13

1.1.15 portal offline-detect interval portal offline-detect interval offline-detect-interval undo portal offline-detect interval 二层以太网端口视图缺省级别 2: 系统级参数 offline-detect-value: 用户在线检测时间间隔, 取值范围为 60~65535 描述 portal offline-detect interval 命令用来配置二层 Portal 用户的在线检测时间间隔设备会以此为间隔定期检测此端口上所有在线用户的 MAC 地址表项是否被流量命中过, 若检测到某用户的 MAC 没有被命中过或者该用户的 MAC 地址表项已经老化, 则认为一次检测失败, 若连续两次检测失败, 设备将强制该用户下线 undo portal offline-detect interval 命令用来恢复缺省情况缺省情况下, 二层 Portal 用户在线检测时间间隔为 300 秒需要注意的是, 由于设备进行检测时若发现用户 MAC 地址表项已经老化, 则会认为检测失败, 因此, 为避免这种无效检测, 建议配置的检测时间间隔小于等于用户 MAC 地址表项的老化时间举例 # 配置设备检测 GigabitEthernet 1/0/1 端口上二层 Portal 用户在线状态的时间间隔为 3600 秒 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] portal offline-detect interval 3600 1.1.16 portal redirect-url portal redirect-url url-string [ wait-time period ] undo portal redirect-url 系统视图缺省级别 2: 系统级参数 url-string:portal 用户认证成功后, 认证页面的自动跳转目的网站地址, 为 1~127 个字符的字符串, 必须是以 http:// 或者 https:// 开头的完整的 URL 路径 1-14

period:portal 用户认证成功后认证页面等待进行跳转的时间间隔, 取值范围为 1~90, 单位为秒, 缺省值为 5 描述 portal redirect-url 命令用来指定 Portal 用户认证成功后认证页面的自动跳转目的网站地址 undo portal redirect-url 命令用来恢复缺省情况缺省情况下, 对于本地 Portal 认证, 用户认证成功后认证页面不会进行跳转需要注意的是 : wait-time 参数只对本地 Portal 认证有效若二层 Portal 认证用户认证成功后要被授权 VLAN, 则用户上线后可能需要更新自己的 IP 地址, 本命令中指定的网站页面跳转等待时间间隔应该大于用户更新 IP 地址的时间, 否则用户可能会因为 IP 地址还没有完成更新而无法打开指定的跳转网站页面举例 # 指定 Portal 用户认证成功后, 认证页面在 3 秒后自动跳转为 http://www.testpt.cn 网站页面 [Sysname] portal redirect-url http://www.testpt.cn wait-time 3 1.1.17 portal server banner portal server banner banner-string undo portal server banner 系统视图缺省级别 2: 系统级参数 banner-string: 用户定制的 Web 页面欢迎信息, 为 1~50 个字符的字符串, 区分大小写, 不允许为 < & 字符串中可包括连续多个连续空格, 浏览器将会识别为一个空格描述 portal server banner 命令用来配置本地 Portal 服务器提供的缺省 Web 页面欢迎信息 undo portal server banner 命令用来恢复缺省配置缺省情况下, 无 Web 页面欢迎信息需要注意的是, 配置的 Web 页面欢迎信息仅对缺省的认证页面有效, 对于用户定制的认证页面无效举例 # 配置本地 Portal 服务器提供的 Web 页面欢迎信息为 :Welcome to Portal Authentication [Sysname] portal server banner Welcome to Portal Authentication 1-15

1.1.18 portal web-proxy port portal web-proxy port port-number undo portal web-proxy port { port-number all } 系统视图缺省级别 2: 系统级参数 port-number:web 代理服务器的 TCP 端口号, 取值范围为 1~65535 all: 指定所有 Web 代理服务器的 TCP 端口号描述 portal web-proxy port 命令用来添加允许触发 Portal 认证的 Web 代理服务器端口 undo portal web-proxy port 命令用来删除指定或所有的 Web 代理服务器端口缺省情况下, 不存在允许触发 Portal 认证的非 80 的 Web 代理服务器端口, 设备只对目的端口为 80 的 HTTP 请求进行重定向需要注意的是 : 通过多次执行本命令, 最多可以添加 4 个 Web 代理服务器端口如果用户浏览器使用的 Web 代理服务器端口是 80, 则不需要进行本配置如果用户浏览器采用 WPAD 方式自动配置 Web 代理, 则不仅需要网络管理员在设备上添加 Web 代理服务器端口, 还需要配置免认证规则, 允许目的 IP 为 WPAD 主机 IP 地址的用户报文免认证对于二层 Portal 认证, 不仅需要网络管理员在设备上添加指定的 Web 代理服务器端口, 还需要用户在浏览器上将设备的本地 Portal 服务器监听 IP 地址配置为 Web 代理服务器的例外地址, 避免 Portal 用户发送给本地 Portal 服务器的 HTTP 报文被发送到 Web 代理服务器上, 从而影响正常的 Portal 认证举例 # 某组网环境中, 有些 Portal 客户端浏览器使用 Web 代理服务器上网, 端口号为 8080 为了允许这样的 Portal 用户认证上网, 网络管理员需要在 Portal 接入设备上添加允许触发 Portal 认证的 Web 代理服务器端口号 8080 [Sysname] portal web-proxy port 8080 1.1.19 reset portal tcp-cheat statistics reset portal tcp-cheat statistics 1-16

用户视图缺省级别 1: 监控级参数无描述 reset portal tcp-cheat statistics 命令用来清除 TCP 仿冒统计信息举例 # 清除 TCP 仿冒统计信息 <Sysname> reset portal tcp-cheat statistics 1-17

目录 1 端口安全配置命令... 1-1 1.1 端口安全配置命令...1-1 1.1.1 display port-security... 1-1 1.1.2 display port-security mac-address block... 1-3 1.1.3 display port-security mac-address security... 1-5 1.1.4 port-security authorization ignore... 1-7 1.1.5 port-security enable... 1-8 1.1.6 port-security intrusion-mode... 1-9 1.1.7 port-security mac-address security... 1-9 1.1.8 port-security max-mac-count... 1-11 1.1.9 port-security ntk-mode... 1-11 1.1.10 port-security oui... 1-12 1.1.11 port-security port-mode... 1-13 1.1.12 port-security timer disableport... 1-15 1.1.13 port-security trap... 1-15 i

1 端口安全配置命令 1.1 端口安全配置命令 1.1.1 display port-security display port-security [ interface interface-list ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 2: 系统级参数 interface interface-list: 以太网端口列表, 表示多个以太网端口表示方式为 interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10> 其中, interface-type 为端口类型,interface-number 为端口号 &<1-10> 表示前面的参数最多可以输入 10 次起始端口类型必须和终止端口类型一致, 并且终止端口号必须大于起始端口号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display port-security 命令用来显示端口安全的配置信息运行情况和统计信息需要注意的是, 如果不指定参数 interface interface-list, 则显示所有端口的端口安全信息相关配置可参考命令 port-security enable port-security port-mode port-security ntk-mode port-security intrusion-mode port-security max-mac-count port-security mac-address security port-security authorization ignore port-security oui 和 port-security trap 举例 # 显示所有端口的端口安全状态 <Sysname> display port-security Equipment port-security is enabled AddressLearn trap is enabled 1-1

Intrusion trap is enabled Dot1x logon trap is enabled Dot1x logoff trap is enabled Dot1x logfailure trap is enabled RALM logon trap is enabled RALM logoff trap is enabled RALM logfailure trap is enabled Disableport Timeout: 20s OUI value: Index is 1, OUI value is 000d1a Index is 2, OUI value is 003c12 GigabitEthernet1/0/1 is link-down Port mode is userloginwithoui NeedToKnow mode is NeedToKnowOnly Intrusion Portection mode is DisablePort Max MAC address number is 50 Stored MAC address number is 0 Authorization is ignored GigabitEthernet1/0/2 is link-down Port mode is norestriction NeedToKnow mode is disabled Intrusion mode is NoAction Max MAC address number is not configured Stored MAC address number is 0 Authorization is permitted 表 1-1 display port-security 命令显示信息描述表字段描述 Equipment port-security AddressLearn trap Intrusion trap Dot1x logon trap Dot1x logoff trap Dot1x logfailure RALM logon trap RALM logoff trap 端口安全的开启状态端口学习告警的开启状态若为 enabled, 则表示端口学习到新 MAC 地址时发出告警信息入侵检测告警的开启状态若为 enabled, 则表示端口发现非法报文时发出告警信息 802.1X 认证成功告警的开启状态若为 enabled, 则表示 802.1X 用户认证成功时发出告警信息 802. 1x 认证用户下线告警的开启状态若为 enabled, 则表示 802.1X 用户下线时发出告警信息 802. 1x 认证失败告警的开启状态若为 enabled, 则表示 802.1X 用户认证失败时发出告警信息 MAC 地址认证成功告警的开启状态若为 enabled, 则表示 MAC 地址认证成功时发出告警信息 MAC 地址认证用户下线告警的开启状态若为 enabled, 则表示 MAC 地址认证用户下线时发出告警信息 1-2

字段 RALM logfailure trap Disableport Timeout OUI value Index Port mode 描述 MAC 地址认证失败告警的开启状态若为 enabled, 则表示 MAC 地址认证用户认证失败时发出告警信息收到非法报文的端口暂时被关闭的时间, 单位为秒允许通过认证的用户的 24 位 OUI 值 OUI 的索引端口安全模式, 包括以下几种 : norestrictions autolearn macaddresswithradius macaddresselseuserloginsecure macaddresselseuserloginsecureext secure userlogin userloginsecure userloginsecureext macaddressoruserloginsecure macaddressoruserloginsecureext userloginwithoui Need To Know 模式, 包括以下三种 : NeedToKnow mode NeedToKnowOnly: 表示仅允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文通过 NeedToKnowWithBroadcast: 允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文或广播地址的报文通过 NeedToKnowWithMulticast: 允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文, 广播地址或组播地址的报文通过入侵检测特性模式, 包括以下四种 : Intrusion mode Max MAC address number Stored MAC address number Authorization BlockMacAddress: 表示将非法报文的源 MAC 地址加入阻塞 MAC 地址列表中 DisablePort: 表示将收到非法报文的端口永久关闭 DisablePortTemporarily: 表示将收到非法报文的端口暂时关闭一段时间 NoAction: 表示不进行入侵检测处理端口下允许学习的安全 MAC 地址的最大数目端口下保存的安全 MAC 地址数目服务器的授权信息是否被忽略的情况 permitted: 表示当前端口应用 RADIUS 服务器下发的授权信息 ignored: 表示当前端口不应用 RADIUS 服务器下发的授权信息 1.1.2 display port-security mac-address block display port-security mac-address block [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ { begin exclude include } regular-expression ] 1-3

任意视图缺省级别 2: 系统级参数 interface interface-type interface-number : 显示指定端口的阻塞 MAC 地址信息其中, interface-type interface-number 表示端口类型和端口编号 vlan vlan-id: 显示指定 VLAN 的阻塞 MAC 地址信息其中,vlan-id 表示 VLAN 编号, 取值范围为 1~4094 count: 统计符合条件的阻塞 MAC 地址个数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display port-security mac-address block 命令用来显示阻塞 MAC 地址信息需要注意的是, 如果不指定任何参数, 则显示所有阻塞 MAC 地址的信息相关配置可参考命令 port-security intrusion-mode 举例 # 显示所有阻塞 MAC 地址 <Sysname> display port-security mac-address block MAC ADDR From Port VLAN ID 000f-3d80-0d2d GigabitEthernet1/0/1 30 --- On slot 1, 1 mac address(es) found --- --- 1 mac address(es) found --- # 显示所有阻塞 MAC 地址计数 <Sysname> display port-security mac-address block count --- On slot 1, 1 mac address(es) found --- --- 1 mac address(es) found --- # 显示指定 VLAN 中的阻塞 MAC 地址 <Sysname> display port-security mac-address block vlan 30 MAC ADDR From Port VLAN ID 000f-3d80-0d2d GigabitEthernet1/0/1 30 1-4

--- On slot 1, 1 mac address(es) found --- --- 1 mac address(es) found --- # 显示指定端口下的阻塞 MAC 地址 <Sysname> display port-security mac-address block interface gigabitethernet1/0/1 MAC ADDR From Port VLAN ID 000f-3d80-0d2d GigabitEthernet1/0/1 30 --- On slot 1, 1 mac address(es) found --- --- 1 mac address(es) found --- # 显示指定端口下的在指定 VLAN 中的阻塞 MAC 地址 <Sysname> display port-security mac-address block interface gigabitethernet 1/0/1 vlan 30 MAC ADDR From Port VLAN ID 000f-3d80-0d2d GigabitEthernet1/0/1 30 --- On slot 1, 1 mac address(es) found --- --- 1 mac address(es) found --- 表 1-2 display port-security mac-address block 命令显示信息描述表字段描述 MAC ADDR From Port VLAN ID 阻塞 MAC 地址阻塞 MAC 地址所在端口端口所属 VLAN 1 mac address(es) found 当前阻塞 MAC 地址数目 1.1.3 display port-security mac-address security display port-security mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ] [ count ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 2: 系统级参数 interface interface-type interface-number : 显示指定端口的安全 MAC 地址信息其中, interface-type interface-number 表示端口类型和端口编号 1-5

vlan vlan-id: 显示指定 VLAN 的安全 MAC 地址信息其中,vlan-id 表示 VLAN 编号, 取值范围为 1~4094 count: 统计符合条件的安全 MAC 地址个数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display port-security mac-address security 命令用来显示安全 MAC 地址信息当端口工作于 autolearn 模式时, 端口上通过自动学习或者静态配置的安全 MAC 地址可通过该命令查看需要注意的是, 如果不指定任何参数, 则显示所有安全 MAC 地址的信息相关配置可参考命令 port-security mac-address security 举例 # 显示所有安全 MAC 地址 <Sysname> display port-security mac-address security MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 0002-0002-0002 1 Security GigabitEthernet1/0/1 NOAGED 000d-88f8-0577 1 Security GigabitEthernet1/0/1 NOAGED --- 2 MAC address(es) found --- # 显示所有安全 MAC 地址计数 <Sysname> display port-security mac-address security count MAC ADDR NUM IS 1 # 显示指定 VLAN 中的安全 MAC 地址 <Sysname> display port-security mac-address security vlan 1 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 0002-0002-0002 1 Security GigabitEthernet1/0/1 NOAGED 000d-88f8-0577 1 Security GigabitEthernet1/0/1 NOAGED --- 2 MAC address(es) found --- # 显示指定端口下的安全 MAC 地址 <Sysname> display port-security mac-address security interface gigabitethernet1/0/1 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000d-88f8-0577 1 Security GigabitEthernet1/0/1 NOAGED --- 1 MAC address(es) found --- # 显示指定端口下的在指定 VLAN 中的安全 MAC 地址 <Sysname> display port-security mac-address security interface gigabitethernet 1/0/1 vlan 1-6

1 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000d-88f8-0577 1 Security GigabitEthernet1/0/1 NOAGED --- 1 MAC address(es) found --- 表 1-3 display port-security mac-address security 命令显示信息描述表字段描述 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 安全 MAC 地址端口所属 VLAN 添加的 MAC 地址类型 Security: 表示该项是安全 MAC 地址安全 MAC 地址所在端口安全 MAC 地址的存活时间 NOAGED: 表示该安全 MAC 地址不会被老化 2 mac address(es) found 当前保存的安全 MAC 地址数目 1.1.4 port-security authorization ignore port-security authorization ignore undo port-security authorization ignore 二层以太网端口视图缺省级别 2: 系统级参数无描述 port-security authorization ignore 命令用来配置端口不应用 RADIUS 服务器下发的授权信息 undo port-security authorization ignore 命令用来恢复缺省情况缺省情况下, 端口应用 RADIUS 服务器下发的授权信息当用户通过 RADIUS 认证后,RADIUS 服务器会根据用户帐号配置的相关属性进行授权, 比如动态下发 VLAN 等相关配置可参考命令 display port-security 举例 # 配置端口 GigabitEthernet1/0/1 不应用 RADIUS 服务器下发的授权信息 1-7

[Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] port-security authorization ignore 1.1.5 port-security enable port-security enable undo port-security enable 系统视图缺省级别 2: 系统级参数无描述 port-security enable 命令用来使能端口安全功能 undo port-security enable 命令用来关闭端口安全功能缺省情况下, 端口安全功能处于关闭状态需要注意的是 : (1) 如果已全局开启了 802.1X 或 MAC 地址认证功能, 则无法使能端口安全功能 (2) 端口安全功能使能后, 端口的如下配置会被自动恢复为 ( 括弧内的 ) 缺省情况, 且以下配置不能再进行手动配置, 只能随端口安全模式的改变由系统配置 : 802.1X 认证 ( 关闭 ) 端口接入控制方式(macbased) 端口接入控制模式(auto); MAC 地址认证 ( 关闭 ) (3) 端口安全功能关闭时, 端口的如下配置会被自动恢复为 ( 括弧内的 ) 缺省情况 : 端口安全模式 (norestrictions); 802.1X 认证 ( 关闭 ) 端口接入控制方式(macbased) 端口接入控制模式(auto); MAC 地址认证 ( 关闭 ) (4) 端口上有用户在线的情况下, 端口安全功能无法关闭相关配置可参考命令 display port-security 安全命令参考 /802.1X 中的命令 dot1x dot1x port-method 和 dot1x port-control 以及安全命令参考 /MAC 地址认证中的命令 mac-authentication 举例 # 使能端口安全功能 [Sysname] port-security enable 1-8

1.1.6 port-security intrusion-mode port-security intrusion-mode { blockmac disableport disableport-temporarily } undo port-security intrusion-mode 二层以太网端口视图缺省级别 2: 系统级参数 blockmac: 表示将非法报文的源 MAC 地址加入阻塞 MAC 地址列表中, 源 MAC 地址为阻塞 MAC 地址的报文将被丢弃, 实现在端口上过滤非法流量的作用此 MAC 地址在被阻塞 3 分钟 ( 系统默认, 不可配 ) 后恢复正常阻塞 MAC 地址列表可以通过 display port-security mac-address block 命令查看 disableport: 表示将收到非法报文的端口永久关闭 disableport-temporarily: 表示将收到非法报文的端口暂时关闭一段时间关闭时长可通过 port-security timer disableport 命令配置描述 port-security intrusion-mode 命令用来配置入侵检测特性, 对接收非法报文的端口采取相应的安全策略 undo port-security intrusion-mode 命令用来恢复缺省情况缺省情况下, 不进行入侵检测处理需要注意的是, 可以通过执行 undo shutdown 命令将断开的端口连接恢复相关配置可参考命令 display port-security display port-security mac-address block 和 port-security timer disableport 举例 # 配置端口 GigabitEthernet1/0/1 的入侵检测特性被触发后, 将非法报文的源 MAC 地址置为阻塞 MAC [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] port-security intrusion-mode blockmac 1.1.7 port-security mac-address security 在二层以太网端口视图下 : port-security mac-address security mac-address vlan vlan-id 在系统视图下 : port-security mac-address security mac-address interface interface-type interface-number vlan vlan-id 1-9

undo port-security mac-address security [ [ mac-address [ interface interface-type interface-number ] ] vlan vlan-id ] 二层以太网端口视图 / 系统视图缺省级别参数描述举例 2: 系统级 mac-address: 安全 MAC 地址, 格式为 H-H-H interface interface-type interface-number: 指定添加安全 MAC 地址的端口其中,interface-type interface-number 表示端口类型和端口编号 vlan vlan-id: 指定安全 MAC 地址所属的 VLAN 其中,vlan-id 表示 VLAN 编号, 取值范围为 1~ 4094 port-security mac-address security 命令用来添加安全 MAC 地址 undo port-security mac-address security 命令用来删除匹配的安全 MAC 地址缺省情况下, 未配置安全 MAC 地址需要注意的是 : 安全 MAC 地址的端口必须属于安全 MAC 地址所属的 VLAN 此命令只有在端口安全功能打开 ( 使用命令 port-security enable) 且指定端口的端口安全模式为 autolearn( 使用命令 port-security port-mode autolearn) 的时候才能配置成功删除安全 MAC 地址的命令只能在系统视图下执行相关配置可参考命令 display port-security # 启动端口安全功能, 配置端口 GigabitEthernet1/0/1 的安全模式为 autolearn, 并在系统视图下为该端口添加一条安全 MAC 地址 :0001-0001-0002, 该安全 MAC 地址属于 VLAN 10 [Sysname] port-security enable [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100 [Sysname-GigabitEthernet1/0/1] port-security port-mode autolearn [Sysname-GigabitEthernet1/0/1] quit [Sysname] port-security mac-address security 0001-0001-0002 interface gigabitethernet 1/0/1 vlan 10 # 启动端口安全功能, 配置端口 GigabitEthernet1/0/1 的安全模式为 autolearn, 并在端口视图下为该端口添加一条安全 MAC 地址 :0001-0002-0003, 该安全 MAC 地址属于 VLAN 4 [Sysname] port-security enable [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100 1-10

[Sysname-GigabitEthernet1/0/1] port-security port-mode autolearn [Sysname-GigabitEthernet1/0/1] port-security mac-address security 0001-0002-0003 vlan 4 1.1.8 port-security max-mac-count port-security max-mac-count count-value undo port-security max-mac-count 二层以太网端口视图缺省级别 2: 系统级参数 count-value: 端口允许的最大安全 MAC 地址数, 取值范围为 1~1024 描述 port-security max-mac-count 命令用来设置端口允许转发的最大安全 MAC 地址数 undo port-security max-mac-count 命令用来恢复缺省情况缺省情况下, 最大安全 MAC 地址数不受限制需要注意的是 : 当端口工作于 autolearn 模式时, 无法更改端口允许的最大安全 MAC 地址数端口允许的最大安全 MAC 地址数仅包括端口上学习到的以及手工配置的安全 MAC 地址数目端口允许的最大安全 MAC 地址数不能小于当前端口下已保存的 MAC 地址数相关配置可参考命令 display port-security 举例 # 配置端口 GigabitEthernet1/0/1 允许的最大安全 MAC 地址数为 100 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] port-security max-mac-count 100 1.1.9 port-security ntk-mode port-security ntk-mode { ntk-withbroadcasts ntk-withmulticasts ntkonly } undo port-security ntk-mode 二层以太网端口视图缺省级别 2: 系统级 1-11

参数 ntk-withbroadcasts: 允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文或广播地址的报文通过 ntk-withmulticasts: 允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文, 广播地址或组播地址的报文通过 ntkonly: 仅允许目的 MAC 地址为已通过认证的 MAC 地址的单播报文通过描述 port-security ntk-mode 命令用来配置端口 Need To Know 特性 undo port-security ntk-mode 命令用来恢复缺省配置缺省情况下, 端口没有配置 Need To Know 特性, 即所有报文都可成功发送需要注意的是 :Need To Know 特性通过检测从端口发出的数据帧的目的 MAC 地址, 保证数据帧只能被发送到已经通过认证的设备上, 从而防止非法设备窃听网络数据相关配置可参考命令 display port-security 举例 # 配置端口 GigabitEthernet1/0/1 的 Need To Know 特性为 ntk-withmulticasts, 即仅发送目的地址为已通过认证的 MAC 地址的单播报文, 广播地址或组播地址的报文通过 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] port-security ntk-mode ntk-withmulticasts 1.1.10 port-security oui port-security oui oui-value index index-value undo port-security oui index index-value 系统视图缺省级别 2: 系统级参数 oui-value:oui 值, 输入格式为 H-H-H 的 48 位 MAC 地址系统会自动取输入的前 24 位做为 OUI 值, 忽略后 24 位 index-value: 标识此 OUI 的索引值, 取值范围为 1~16 描述 port-security oui 命令用来配置用户认证的 OUI 值, 在端口安全模式为 userloginwithoui 时使用 undo port-security oui 命令用来删除指定索引的 OUI 值缺省情况下, 没有设置用户认证的 OUI 值 1-12

OUI 指的是 MAC 地址的前 24 位 ( 二进制 ), 是 IEEE 为不同设备供应商分配的一个全球唯一的标识符因此, 当需要允许某些特殊设备的 ( 有线接入 ) 报文总是可以通过认证或仅允许这些设备的 ( 无线接入 ) 报文可以进行认证的情况下, 就可以通过本命令来指定这些设备的 OUI 值, 例如, 某公司仅允许 A 厂商的 IP 电话在企业网中使用, 则该值就为 A 厂商设备的 OUI 需要注意的是, 本命令设置的 OUI 值, 只在端口安全模式为 userloginwithoui 时生效相关配置可参考命令 display port-security 举例 # 配置 OUI 值为 000d2a, 索引为 4 [Sysname] port-security oui 000d-2a10-0033 index 4 1.1.11 port-security port-mode port-security port-mode { autolearn mac-authentication mac-else-userlogin-secure mac-else-userlogin-secure-ext secure userlogin userlogin-secure userlogin-secure-ext userlogin-secure-or-mac userlogin-secure-or-mac-ext userlogin-withoui } undo port-security port-mode 二层以太网端口视图缺省级别参数 2: 系统级表 1-4 安全模式的参数解释表参数安全模式说明端口可通过手工配置或自动学习 MAC 地址这些新的 MAC 地址被称为安全 MAC, 并被添加到安全 MAC 地址表中 autolearn mac-authentication mac-else-userloginsecure autolearn macaddresswithradius macaddresselseuserlo ginsecure 当端口下的安全 MAC 地址数超过端口允许学习的最大安全 MAC 地址数后, 端口模式会自动转变为 secure 模式之后, 该端口停止添加新的安全 MAC, 只有源 MAC 地址为安全 MAC 地址手工配置的 MAC 地址的报文, 才能通过该端口对接入用户采用 MAC 地址认证此模式下, 端口允许多个用户接入端口同时处于 macaddresswithradius 模式和 userloginsecure 模式, 但 MAC 地址认证优先级大于 802.1X 认证 ; 非 802.1X 报文直接进行 MAC 地址认证 802.1X 报文先进行 MAC 地址认证, 如果 MAC 地址认证失败再进行 802.1X 认证 1-13

参数安全模式说明 mac-else-userloginsecure-ext secure userlogin userlogin-secure userlogin-secure-ex t userlogin-secure-or -mac userlogin-secure-or -mac-ext userlogin-withoui macaddresselseuserlo ginsecureext secure userlogin userloginsecure userloginsecureext macaddressoruserlogi nsecure macaddressoruserlogi nsecureext userloginwithoui 与 macaddresselseuserloginsecure 类似, 但允许端口下有多个 802.1X 和 MAC 地址认证用户禁止端口学习 MAC 地址, 只有源 MAC 地址为端口上的安全 MAC 地址手工配置的 MAC 地址的报文, 才能通过该端口对接入用户采用基于端口的 802.1X 认证此模式下, 端口下的第一个 802.1X 用户认证成功后, 其它用户无须认证就可接入对接入用户采用基于 MAC 地址的 802.1X 认证此模式下, 端口最多只允许一个 802.1X 认证用户接入对接入用户采用基于 MAC 的 802.1X 认证, 且允许端口下有多个 802.1X 用户端口同时处于 userloginsecure 模式和 macaddresswithradius 模式在用户接入方式为有线的情况下, 非 802.1X 报文直接进行 MAC 地址认证,802.1X 报文直接进行 802.1X 认证与 macaddressoruserloginsecure 类似, 但允许端口下有多个 802.1X 和 MAC 地址认证用户与 userloginsecure 模式类似, 但端口上除了允许一个 802.1X 认证用户接入之外, 还额外允许一个特殊用户接入, 该用户报文的源 MAC 的 OUI 与设备上配置的 OUI 值相符在用户接入方式为有线的情况下,802.1X 报文进行 802.1X 认证, 非 802.1X 报文直接进行 OUI 匹配,802.1X 认证成功和 OUI 匹配成功的报文都允许通过端口描述 port-security port-mode 命令用来配置端口安全模式 undo port-security port-mode 命令用来恢复缺省情况缺省情况下, 端口处于 norestrictions 模式, 此时该端口下端口安全特性不生效需要注意的是 : 端口安全模式与端口下的 802.1X 认证使能端口接入控制方式端口接入控制模式以及端口下的 MAC 地址认证使能配置互斥当端口安全已经使能且当前端口安全模式不是 norestrictions 时, 若要改变端口安全模式, 必须首先执行 undo port-security port-mode 命令恢复端口安全模式为 norestrictions 模式配置端口安全 autolearn 模式时, 首先需要通过命令 port-security max-mac-count 设置端口允许的最大安全 MAC 地址数端口上有用户在线的情况下, 端口安全模式无法改变相关配置可参考命令 display port-security 举例 # 使能端口安全功能, 并配置端口 GigabitEthernet1/0/1 的端口安全模式为 secure 1-14

[Sysname] port-security enable [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] port-security port-mode secure # 将端口 GigabitEthernet1/0/1 的端口安全模式改变为 userlogin [Sysname-GigabitEthernet1/0/1] undo port-security port-mode [Sysname-GigabitEthernet1/0/1] port-security port-mode userlogin 1.1.12 port-security timer disableport port-security timer disableport time-value undo port-security timer disableport 系统视图缺省级别 2: 系统级参数 time-value: 端口静默时间, 取值范围为 20~300, 单位为秒描述 port-security timer disableport 命令用来配置系统暂时关闭端口连接的时间 undo port-security timer disableport 命令用来恢复缺省情况缺省情况下, 系统暂时关闭端口连接的时间为 20 秒当 port-security intrusion-mode 设置为 disableport-temporarily 模式时, 系统暂时关闭端口连接的时间由该命令配置相关配置可参考命令 display port-security 举例 # 配置端口 GigabitEthernet1/0/1 的入侵检测特性被触发后, 收到非法报文的端口暂时关闭 30 秒 [Sysname] port-security timer disableport 30 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] port-security intrusion-mode disableport-temporarily 1.1.13 port-security trap port-security trap { addresslearned dot1xlogfailure dot1xlogoff dot1xlogon intrusion ralmlogfailure ralmlogoff ralmlogon } undo port-security trap { addresslearned dot1xlogfailure dot1xlogoff dot1xlogon intrusion ralmlogfailure ralmlogoff ralmlogon } 1-15

系统视图缺省级别 2: 系统级参数 addresslearned: 端口学习告警在端口学习到新 MAC 地址时发出告警信息 dot1xlogfailure:802.1x 认证失败告警 dot1xlogon:802.1x 认证成功告警 dot1xlogoff:802.1x 认证用户下线告警 intrusion: 发现非法报文告警 ralmlogfailure:mac 地址认证失败告警 ralmlogoff:mac 地址认证用户下线告警 ralmlogon:mac 地址认证成功告警 RALM(RADIUS Authenticated Login using MAC-address) 是指基于 MAC 地址的 RADIUS 认证描述 port-security trap 命令用来打开指定告警信息的发送开关 undo port-security trap 命令用来关闭指定告警信息的发送开关缺省情况下, 所有告警信息的发送开关处于关闭状态告警信息的发送过程使用了设备的 Trap 特性 Trap 特性是指当端口有特定的数据包 ( 由非法入侵, 用户不正常上下线等原因引起 ) 传送时, 设备将会发送 Trap 信息, 便于用户对这些特殊的行为进行监控相关配置可参考命令 display port-security 举例 # 打开端口学习告警信息开关 [Sysname] port-security trap addresslearned 1-16

目录 1 User Profile 配置命令... 1-1 1.1 User Profile 配置命令...1-1 1.1.1 display user-profile... 1-1 1.1.2 user-profile... 1-2 1.1.3 user-profile enable... 1-2 i

1 User Profile 配置命令 1.1 User Profile 配置命令 1.1.1 display user-profile display user-profile [ { begin exclude include } regular-expression ] 任意视图缺省级别 2: 系统级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display user-profile 命令用来显示当前已创建的全部 User Profile 的信息举例 # 显示全部 User Profile 的状态信息 <Sysname> display user-profile Status User profile disabled a123 enabled b123 ----Total user profiles: 2------- ----Enabled user profiles: 1------- 表 1-1 display user-profile 命令显示信息描述表字段描述 Status 当前 User Profile 的状态 (enabled 表示已经激活,disabled 表示未激活 ) User profile Total user profiles User Profile 的名称当前已创建的 User Profile 总数 1-1

字段描述 Enabled user profiles 处于激活状态的 User Profile 总数 1.1.2 user-profile user-profile profile-name undo user-profile profile-name 系统视图缺省级别 2: 系统级参数 profile-name: 表示 User Profile 的名称, 为 1~31 个字符的字符串, 只能包含英文字母 [a-z,a-z] 数字下划线, 且必须以英文字母开始, 区分大小写 User Profile 的名称必须全局唯一描述 user-profile 命令用来创建 User Profile 并进入相应的 user-profile 视图, 如果指定的 User Profile 已经存在, 则直接进入相应的 user-profile 视图, 不需要再创建 User Profile undo user-profile 命令用来删除已存在的并处于未激活状态的 User Profile 缺省情况下, 设备上不存在 User Profile 需要注意的是, 如果 User Profile 处于激活状态, 则不能删除该 User Profile 相关配置可参考命令 user-profile enable 举例 # 创建名称为 a123 的 User Profile [Sysname] user-profile a123 [Sysname-user-profile-a123] # 进入 User Profile a123 的命令视图 [Sysname] user-profile a123 [Sysname-user-profile-a123] 1.1.3 user-profile enable user-profile profile-name enable undo user-profile profile-name enable 1-2

系统视图缺省级别 2: 系统级参数 profile-name: 表示 User Profile 的名称, 为 1~31 个字符的字符串, 只能包含英文字母 (a~z 或 A~Z) 数字下划线, 且必须以英文字母开始, 区分大小写描述 user-profile enable 命令用来激活已创建的 User Profile undo user-profile enable 命令用来禁用指定的 User Profile 缺省情况下, 创建的 User Profile 处于未激活 ( 禁用 ) 状态需要注意的是 : 使用该命令时, 指定的 User Profile 必须已经创建成功, 否则, 该命令执行失败激活的 User Profile 才能被用户使用, 但其中的配置内容不允许修改, 禁用后才可以被修改或删除禁用 User Profile 将导致正在使用该 User Profile 的用户被强制下线举例 # 激活名称为 a123 的 User Profile [Sysname] user-profile a123 enable 1-3

目录 1 Password Control 配置命令... 1-1 1.1 Password Control 配置命令... 1-1 1.1.1 display password-control... 1-1 1.1.2 display password-control blacklist... 1-2 1.1.3 password... 1-3 1.1.4 password-control aging... 1-4 1.1.5 password-control alert-before-expire... 1-4 1.1.6 password-control authentication-timeout... 1-5 1.1.7 password-control complexity... 1-5 1.1.8 password-control composition... 1-6 1.1.9 password-control { aging composition history length } enable... 1-7 1.1.10 password-control enable... 1-8 1.1.11 password-control expired-user-login... 1-8 1.1.12 password-control history... 1-9 1.1.13 password-control length... 1-9 1.1.14 password-control login idle-time... 1-10 1.1.15 password-control login-attempt... 1-11 1.1.16 password-control password update interval... 1-12 1.1.17 password-control super aging... 1-12 1.1.18 password-control super composition... 1-13 1.1.19 password-control super length... 1-13 1.1.20 reset password-control blacklist... 1-14 1.1.21 reset password-control history-record... 1-14 i

1 Password Control 配置命令 1.1 Password Control 配置命令 1.1.1 display password-control display password-control [ super ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 2: 系统级参数 super: 显示 super 密码的管理信息如果不指定该参数, 将显示全局密码管理的信息 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display password-control 命令用来显示密码管理的配置信息举例 # 显示全局密码管理信息 <Sysname> display password-control Global password control configurations: Password control: Disabled Password aging: Enabled (90 days) Password length: Enabled (10 characters) Password composition: Enabled (1 types, 1 characters per type) Password history: Enabled (max history records:4) Early notice on password expiration: 7 days User authentication timeout: 60 seconds Maximum failed login attempts: 3 times Login attempt-failed action: Lock for 1 minutes Minimum password update time: 24 hours User account idle-time: 90 days Login with aged password: 3 times in 30 days Password complexity: Disabled (username checking) Disabled (repeated characters checking) # 显示 super 密码管理信息 <Sysname> display password-control super Super password control configurations: Password aging: Enabled (90 days) 1-1

Password length: Enabled (10 characters) Password composition: Enabled (1 types, 1 characters per type) 表 1-1 display password-control 命令显示信息描述表字段描述 Password control Password aging Password length Password composition Password history Early notice on password expiration User authentication timeout Maximum failed login attempts Login attempt-failed action Minimum password update time User account idle-time Login with aged password Password complexity 密码管理功能密码老化功能最小密码长度功能组合密码功能密码历史功能密码老化提醒功能认证超时功能登录失败尝试次数功能登录失败尝试次数达到设定次数后的锁定行为功能密码更新的最小时间间隔用户帐号闲置时间密码过期后允许用户登录功能密码复杂度检查功能, 可检查内容包括 : 是否包含用户名或者颠倒的用户名 ; 是否包含三个或以上相同字符 1.1.2 display password-control blacklist display password-control blacklist [ user-name name ip ipv4-address ipv6 ipv6-address ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 2: 系统级参数 user-name name: 显示黑名单中指定用户名的用户信息其中,name 表示用户名, 为 1~80 个字符的字符串 ipv4-address: 显示黑名单中指定 IPv4 地址的用户信息 ipv6-address: 显示黑名单中指定 IPv6 地址的用户信息 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 1-2

display password-control blacklist 命令用来显示用户认证失败后, 被加入黑名单中的用户信息如果不指定任何参数, 则显示黑名单中的所有用户信息举例 # 显示用户尝试失败后, 被加入黑名单中的用户信息 <Sysname> display password-control blacklist Username: test IP: 192.168.44.1 Login failed times: 1 Lock flag: unlock Total 1 blacklist item(s) matched. 1 listed. 表 1-2 display password-control blacklist 命令显示信息描述表字段描述 Username IP Login failed times 用户名登录 IP 地址登录失败的次数该用户是否被锁定 Lock flag unlock: 表示未锁定, 允许用户再次尝试登录 lock: 表示锁定, 暂时或永久禁止用户尝试登录 ( 具体由 password-control login-attempt 命令的配置情况决定 ) 1.1.3 password password undo password 本地用户视图缺省级别 2: 系统级参数无描述 password 命令用来以交互式方式设置本地用户密码,undo password 命令用来删除本地用户密码需要注意的是 : 密码可以包含的字符为 :[A ~ Z] [a ~ z] [0 ~ 9] 以及 32 个特殊字符 ( 空格 ~`!@#$%^&*()_+-={} []\: ; <>,./) 以交互式方式设置本地用户密码时, 密码必须符合密码管理的相关配置例如, 当密码的最小长度限制为 8 个字符时, 输入的密码就必须大于或等于 8 个字符举例 # 以交互式方式设置本地用户密码 [Sysname] local-user test [Sysname-luser-test] password 1-3

Password:********** Confirm :********** Updating user(s) information, please wait... 1.1.4 password-control aging password-control aging aging-time undo password-control aging 系统视图 / 用户组 / 本地用户视图缺省级别 2: 系统级参数 aging-time: 密码的老化时间, 取值范围为 1~365, 单位为天描述 password-control aging 命令用来配置密码的老化时间 undo password-control aging 命令用来恢复缺省情况缺省情况下, 全局的密码老化时间为 90 天 ; 用户组的密码老化时间为全局配置的密码老化时间 ; 本地用户的密码老化时间为所属用户组的密码老化时间, 若用户组未配置该值, 则采用全局配置值需要注意的是 : 系统视图下配置具有全局性, 对所有用户组有效, 用户组视图下的配置对用户组内所有本地用户有效, 本地用户视图下的配置只对当前本地用户有效本地用户密码老化时间生效的优先级顺序由高到底依次为本地用户视图用户组视图全局视图即, 系统优先采用本地用户视图下的配置, 若本地用户视图下未配置, 则采用用户组视图下的配置, 若用户组视图下也未配置, 则采用全局视图下的配置相关配置可参考命令 display password-control 和安全命令参考 /AAA 配置命令中的命令 local-user user-group 举例 # 配置全局的密码老化时间为 80 天 [Sysname] password-control aging 80 # 配置用户组 test 的密码老化时间为 90 天 [Sysname] user-group test [Sysname-ugroup-test] password-control aging 90 [Sysname-ugroup-test] quit # 配置本地用户 abc 的密码老化时间为 100 天 [Sysname] local-user abc [Sysname-luser-abc] password-control aging 100 1.1.5 password-control alert-before-expire password-control alert-before-expire alert-time undo password-control alert-before-expire 1-4

系统视图缺省级别 2: 系统级参数 alert-time: 密码过期前的提醒时间, 取值范围为 1~30, 单位为天描述 password-control alert-before-expire 命令用来配置密码过期前的提醒时间 undo password-control alert-before-expire 命令用来恢复缺省情况缺省情况下, 密码过期前的提醒时间为 7 天, 表示在密码过期之前 7 天提醒用户密码即将老化举例 # 设定密码过期前的提醒时间为 10 天 [Sysname] password-control alert-before-expire 10 1.1.6 password-control authentication-timeout password-control authentication-timeout authentication-timeout undo password-control authentication-timeout 系统视图缺省级别 2: 系统级参数 authentication-timeout: 用户认证的超时时间, 取值范围为 30~120, 单位为秒描述 password-control authentication-timeout 命令用来配置用户认证的超时时间 undo password-control authentication-timeout 命令用来恢复缺省情况缺省情况下, 用户认证的超时时间为 60 秒举例 # 设定用户认证的超时时间为 40 秒 [Sysname] password-control authentication-timeout 40 1.1.7 password-control complexity password-control complexity { same-character user-name } check undo password-control complexity { same-character user-name } check 系统视图缺省级别 2: 系统级 1-5

参数 same-character: 指定检查密码中是否包含连续三个或以上相同的字符 user-name: 指定检查密码中是否包含用户名或者颠倒的用户名描述 password-control complexity 命令用来配置用户密码的复杂度检查策略 undo password-control complexity check 命令用来取消指定的密码复杂度检查策略缺省情况下, 不对用户密码进行复杂度检查, 允许密码中包含用户名或者颠倒的用户名, 也允许包含连续三个或以上的相同字符相关配置可参考命令 display password-control 举例 # 配置密码复杂度检测策略, 具体要求为 : 检查配置的密码中是否包含用户名或者颠倒的用户名, 若密码不符合复杂度策略, 则密码设置不成功 [Sysname] password-control complexity user-name check 1.1.8 password-control composition password-control composition type-number type-number [ type-length type-length ] undo password-control composition 系统视图 / 用户组 / 本地用户视图缺省级别 2: 系统级参数 type-number type-number: 密码元素的最少组合类型其中,type-number 表示组合类型的个数, 取值范围为 1~4 type-length type-length: 密码中至少要包含每种元素的个数其中,type-length 表示元素个数, 取值范围为 1~63 描述 password-control composition 命令用来配置用户密码的组合策略 undo password-control composition 命令用来恢复缺省情况缺省情况下, 全局的密码元素的最少组合类型为 1 种, 至少要包含每种元素的个数为 1 个 ; 用户组的密码组合策略为全局配置的密码组合策略 ; 本地用户的密码组合策略为所属用户组的密码组合策略, 若用户组未配置该值, 则采用全局配置值需要注意的是 : 系统视图下配置具有全局性, 对所有用户组有效, 用户组视图下的配置对用户组内所有本地用户有效, 本地用户视图下的配置只对当前本地用户有效本地用户密码组合策略生效的优先级顺序由高到底依次为本地用户视图用户组视图全局视图即, 系统优先采用本地用户视图下的配置, 若本地用户视图下未配置, 则采用用户组视图下的配置, 若用户组视图下也未配置, 则采用全局视图下的配置相关配置可参考命令 display password-control 和安全命令参考 /AAA 配置命令中的命令 local-user user-group 1-6

举例 # 配置全局的密码元素的最少组合类型为 3 种, 至少要包含每种元素的个数为 5 个 [Sysname] password-control composition type-number 3 type-length 5 # 配置用户组 test 的密码元素的最少组合类型为 3 种, 至少要包含每种元素的个数为 5 个 [Sysname] user-group test [Sysname-ugroup-test] password-control composition type-number 3 type-length 5 [Sysname-ugroup-test] quit # 配置本地用户 abc 的密码元素的最少组合类型为 3 种, 至少要包含每种元素的个数为 5 个 [Sysname] local-user abc [Sysname-luser-abc] password-control composition type-number 3 type-length 5 1.1.9 password-control { aging composition history length } enable password-control { aging composition history length } enable undo password-control { aging composition history length } enable 系统视图缺省级别 2: 系统级参数 aging: 使能密码老化管理功能 composition: 使能密码的组合检测管理功能 history: 使能密码历史记录管理功能 length: 使能密码最小长度管理功能描述 password-control { aging composition history length } enable 命令用来使能指定的密码管理的相关功能 undo password-control { aging composition history length } enable 命令用来关闭指定的密码管理的相关功能缺省情况下, 各密码管理功能均处于使能状态需要注意的是 : 要使相关的密码管理功能生效, 必须保证全局密码管理功能处于使能状态如果没有使能指定的密码管理功能, 则它对应的密码管理策略配置将不起作用例如, 若密码最小长度管理功能处于未使能状态, 则 password-control length 命令配置的具体长度限制就不生效如果执行命令 undo password-control history enable, 在此之前的历史记录依然保存, 命令执行之后将不再记录历史密码相关配置可参考命令 password-control enable 和 display password-control 举例 # 使能全局密码管理功能 [Sysname] password-control enable # 使能密码组合检测管理功能 [Sysname] password-control composition enable 1-7

# 使能密码老化功能 [Sysname] password-control aging enable # 使能密码最小长度功能 [Sysname] password-control length enable # 使能密码历史记录功能 [Sysname] password-control history enable 1.1.10 password-control enable password-control enable undo password-control enable 系统视图缺省级别 2: 系统级参数无描述 password-control enable 命令用来使能全局密码管理功能 undo password-control enable 命令用来关闭全局密码管理功能缺省情况下, 全局的密码管理能处于未使能状态只有在使能了全局密码管理功能的情况下, 其它相关的密码管理功能才能生效相关配置可参考命令 display password-control 举例 # 使能全局密码管理功能 [Sysname] password-control enable 1.1.11 password-control expired-user-login password-control expired-user-login delay delay times times undo password-control expired-user-login 系统视图缺省级别 2: 系统级参数 delay: 密码过期后允许用户登录的时长, 取值范围为 1~90, 单位为天 times: 密码过期后允许用户登录的最大次数, 取值范围为 0~10 0 表示密码过期后不允许用户登录描述 1-8

password-control expired-user-login 命令用来配置密码过期后允许登录的时间和次数 undo password-control expired-user-login 命令用来恢复缺省情况缺省情况下, 密码过期后允许登录的时间为 30 天, 允许登录的次数为 3 次, 表示如果密码过期, 那么系统还允许用户在 30 天内登录 3 次相关配置可参考命令 display password-control 举例 # 设定允许用户在密码过期之后的 60 天内登录 5 次 [Sysname] password-control expired-user-login delay 60 times 5 1.1.12 password-control history password-control history max-record-num undo password-control history 系统视图缺省级别 2: 系统级参数 max-record-num: 每个用户密码历史记录的最大条数, 取值范围为 2~15 描述 password-control history 命令用来配置每个用户密码历史记录的最大条数 undo password-control history 命令用来恢复缺省情况缺省情况下, 每个用户密码历史记录的最大条数为 4 条举例 # 设定每个用户密码历史记录的最大条数为 10 条 [Sysname] password-control history 10 1.1.13 password-control length password-control length length undo password-control length 系统视图 / 用户组 / 本地用户视图缺省级别 2: 系统级参数 length: 密码的最小长度, 取值范围为 4~32 描述 1-9

password-control length 命令用来配置密码的最小长度 undo password-control length 命令用来恢复缺省情况缺省情况下, 全局的密码最小长度为 10 个字符, 本地用户的密码最小长度为全局配置用户组的密码最小长度为全局配置的密码最小长度 ; 本地用户的密码最小长度为所属用户组的密码最小长度, 若用户组未配置该值, 则采用全局配置值需要注意的是 : 系统视图下配置具有全局性, 对所有用户组有效, 用户组视图下的配置对用户组内所有本地用户有效, 本地用户视图下的配置只对当前本地用户有效本地用户密码最小长度生效的优先级顺序由高到底依次为本地用户视图用户组视图全局视图即, 系统优先采用本地用户视图下的配置, 若本地用户视图下未配置, 则采用用户组视图下的配置, 若用户组视图下也未配置, 则采用全局视图下的配置相关配置可参考命令 display password-control 和安全命令参考 /AAA 配置命令中的命令 local-user user-group 举例 # 配置全局的密码最小长度为 9 个字符 [Sysname] password-control length 9 # 配置用户组 test 的密码最小长度为 9 个字符 [Sysname] user-group test [Sysname-ugroup-test] password-control length 9 [Sysname-ugroup-test] quit # 配置本地用户 abc 的密码最小长度为 9 个字符 [Sysname] local-user abc [Sysname-luser-abc] password-control length 9 1.1.14 password-control login idle-time password-control login idle-time idle-time undo password-control login idle-time 系统视图缺省级别 2: 系统级参数 idle-time: 用户帐号的闲置时间, 取值范围为 0~365, 单位为天 0 表示对用户帐号闲置时间无限制描述 password-control login idle-time 命令用来配置用户帐号的闲置时间 undo password-control login idle-time 命令用来恢复缺省情况缺省情况下, 用户帐号的闲置时间为 90 天, 表示如果用户自最后一次成功登录后, 在 90 天内再未成功登录过设备, 那么该用户帐号将会失效相关配置可参考命令 display password-control 举例 1-10

# 设定用户帐号的闲置时间为 30 天, 表示自最后一次成功登录后, 若用户在 30 天内再未成功登录过设备, 那么将该用户帐号将会失效 [Sysname] password-control login idle-time 30 1.1.15 password-control login-attempt password-control login-attempt login-times [ exceed { lock lock-time time unlock } ] undo password-control login-attempt 系统视图缺省级别 2: 系统级参数 login-times: 用户登录尝试次数, 取值范围为 2~10 exceed: 用户登录尝试失败后的行为 lock: 表示永久禁止该用户登录 lock-time time: 表示禁止该用户一段时间后, 再允许该用户重新登录其中,time 为禁止该用户的时间, 取值范围为 1~360, 单位为分钟 unlock: 表示不禁止该用户, 允许其继续登录描述 password-control login-attempt 命令用来配置用户登录尝试次数以及登录尝试失败后的行为 undo password-control 命令用来恢复缺省情况缺省情况下, 用户登录尝试次数为 3 次 ; 如果用户登录失败, 则 1 分钟后再允许该用户重新登录需要注意的是 : 对于被永久禁止登录的用户, 只有管理员把该用户从黑名单中删除后, 该用户才能重新登录对于被禁止一段时间内登录的用户, 当配置的禁止时间超时或者管理员将其从黑名单中删除, 该用户才可以重新登录对于不禁止登录的用户, 只要用户登录成功或者黑名单的老化时间 ( 系统规定为 1 分钟 ) 超时后, 该用户就会从黑名单中被删除相关配置可参考命令 display password-control display password-control blacklist 和 reset password-control blacklist 举例 # 管理员设定用户登录尝试次数为 4 次, 并且永久禁止该用户登录 [Sysname] password-control login-attempt 4 exceed lock 之后, 若有用户连续尝试认证的失败累加次数达到 4 次, 管理员可通过命令查看到被加入黑名单中的用户锁定状态由之前的 unlock 切换为 lock, 且该用户无法再次成功登录 [Sysname] display password-control blacklist Username: test IP: 192.168.44.1 Login failed times: 4 Lock flag: lock Total 1 blacklist item(s) matched. # 管理员设定用户登录尝试次数为 2 次, 并且禁止该用户 3 分钟后, 再允许该用户重新登录 1-11

[Sysname] password-control login-attempt 2 exceed lock-time 3 之后, 若有用户连续尝试认证的失败累加次数达到 2 次, 管理员可通过命令查看到被加入黑名单中的用户锁定状态由之前的 unlock 切换为 lock [Sysname] display password-control blacklist Username: test IP: 192.168.44.1 Login failed times: 2 Lock flag: lock Total 1 blacklist item(s) matched. 用户被禁止登录 3 分钟后, 将被从黑名单中删除, 且可以重新登录 1.1.16 password-control password update interval password-control password update interval interval undo password-control password update interval 系统视图缺省级别 2: 系统级参数 interval: 密码更新的最小时间间隔, 取值范围为 0~168, 单位为小时 0 表示对密码更新的时间间隔无限制描述 password-control password update interval 命令用来配置密码更新的最小时间间隔 undo password-control password update interval 命令用来恢复缺省情况缺省情况下, 密码更新的最小时间间隔为 24 小时需要注意的是, 有两种情况下的密码更新并不受该功能的约束 : 用户首次登录设备时系统要求用户修改密码 ; 密码老化后系统要求用户修改密码相关配置可参考命令 display password-control 举例 # 设定密码更新的最小时间间隔为 36 小时 [Sysname] password-control password update interval 36 1.1.17 password-control super aging password-control super aging aging-time undo password-control super aging 系统视图缺省级别 2: 系统级参数 1-12

aging-time:super 密码的老化时间, 取值范围为 1~365, 单位为天描述 password-control super aging 命令用来配置 super 密码的老化时间 undo password-control super aging 命令用来恢复缺省情况缺省情况下, 密码的老化时间为 90 天需要注意的是, 对于 super 密码的各管理参数来说, 系统优先采用为 super 密码的单独配置 ; 当没有为 super 密码进行单独配置时, 采用全局配置相关配置请参考命令 password-control aging 举例 # 设定 super 密码的老化时间为 10 天 [Sysname] password-control super aging 10 1.1.18 password-control super composition password-control super composition type-number type-number [ type-length type-length ] undo password-control super composition 系统视图缺省级别 2: 系统级参数 type-number type-number:super 密码的最少组合类型其中,type-number 表示组合类型, 取值范围为 1~4 type-length type-length:super 密码中每种类型的最少字符个数其中,type-length 表示字符个数, 取值范围为 1~16 描述 password-control super composition 命令用来配置 super 密码的组合策略 undo password-control super composition 命令用来恢复缺省情况缺省情况下, 组合密码的最少组合类型为 1 种, 组合密码中每种类型的最少字符个数为 1 个需要注意的是, 对于 super 密码的各管理参数来说, 系统优先采用为 super 密码的单独配置 ; 当没有为 super 密码进行单独配置时, 采用全局配置相关配置请参考命令 password-control composition 举例 # 配置 super 密码的最少组合类型为 3 种, 每种类型的最少字符个数为 5 个 [Sysname] password-control super composition type-number 3 type-length 5 1.1.19 password-control super length password-control super length length undo password-control super length 1-13

系统视图缺省级别 2: 系统级参数 length:super 密码的最小字符长度, 取值范围为 4~16 描述 password-control super length 命令用来配置 super 密码的最小长度 undo password-control super length 命令用来恢复缺省情况缺省情况下, 密码的最小长度为 10 个字符需要注意的是, 对于 super 密码的各管理参数来说, 系统优先采用为 super 密码的单独配置 ; 当没有为 super 密码进行单独配置时, 采用全局配置相关配置请参考命令 password-control length 举例 # 设定 super 密码的最小长度为 10 个字符 [Sysname] password-control super length 10 1.1.20 reset password-control blacklist reset password-control blacklist [ user-name name ] 用户视图缺省级别 3: 管理级参数 user-name name: 删除黑名单中指定的用户其中,name 表示用户名, 为 1~80 个字符的字符串, 区分大小写描述 reset password-control blacklist 命令用来清除黑名单中的用户相关配置请参考命令 display password-control blacklist 举例 # 清除黑名单中的用户 test <Sysname> reset password-control blacklist user-name test Are you sure to delete the specified user in blacklist? [Y/N]: 1.1.21 reset password-control history-record reset password-control history-record [ user-name name super [ level level ] ] 用户视图 1-14

缺省级别 3: 管理级参数 user-name name: 删除指定用户名的密码历史记录其中,name 表示用户名, 为 1~80 个字符的字符串, 区分大小写 super: 删除 super 密码的历史记录 level level: 指定用户级别其中,level 表示用户级别, 取值范围为 1~3 描述 reset password-control history-record 命令用来清除用户的密码历史记录需要注意的是 : 如果不指定任何参数, 将删除所有本地用户的密码历史记录如果不指定参数 level, 将删除所有 super 密码的历史记录举例 # 清除所有本地用户的密码历史记录当用户输入 Y, 系统删除所有本地用户的密码历史记录 <Sysname> reset password-control history-record Are you sure to delete all local user's history records? [Y/N]: 1-15

目录 1 HABP 配置命令... 1-1 1.1 HABP 配置命令... 1-1 1.1.1 display habp... 1-1 1.1.2 display habp table... 1-2 1.1.3 display habp traffic... 1-2 1.1.4 habp client vlan... 1-3 1.1.5 habp enable... 1-4 1.1.6 habp server vlan... 1-4 1.1.7 habp timer... 1-5 i

1 HABP 配置命令 1.1 HABP 配置命令 1.1.1 display habp display habp [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display habp 命令用来显示 HABP 功能的配置信息和状态需要注意的是, 若设备的 HABP 功能处于未使能状态, 则该命令仅显示 HABP 功能处于未运行状态, 并不显示 HABP 的配置信息举例 # 显示 HABP 功能的配置信息和状态 <Sysname> display habp Global HABP information: HABP Mode: Server Sending HABP request packets every 20 seconds Bypass VLAN: 2 表 1-1 display habp 命令显示信息描述表字段描述 HABP Mode Sending HABP request packets every 20 seconds Bypass VLAN 当前设备的 HABP 功能的工作模式, 可以为 Server 或者 Client HABP server 正在以 20 秒为间隔发送 HABP 请求报文说明在指定的 VLAN 内发送 HABP 报文 1-1

1.1.2 display habp table display habp table [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display habp table 命令用来显示 HABP 的 MAC 地址表信息需要注意的是, 该命令仅用于在 HABP server 上查看 HABP server 收集到的 MAC 地址表项举例 # 在 HABP server 上显示 HABP 的 MAC 地址表信息 <Sysname> display habp table MAC Holdtime Receive Port 001f-3c00-0030 53 GigabitEthernet1/0/1 表 1-2 display habp table 命令显示信息描述表字段描述 MAC Holdtime Receive Port HABP 的 MAC 地址表项中的 MAC 地址 MAC 地址表项的保持时间, 单位为秒, 初始值为发送 HABP 请求报文的时间间隔的 3 倍在此时间内, 如果该表项没有被刷新过, 该表项将被老化学习到该 MAC 地址表项的端口 1.1.3 display habp traffic display habp traffic [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 1-2

: 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display habp traffic 命令用来显示 HABP 报文的统计信息举例 # 显示 HABP 报文的统计信息 <Sysname> display habp traffic HABP counters : Packets output: 0, Input: 0 ID error: 0, Type error: 0, Version error: 0 Sent failed: 0 表 1-3 display habp traffic 命令显示信息描述表字段描述 Packets output Input ID error Type error Version error Sent failed 发送的 HABP 报文数接收的 HABP 报文数 ID 错误的报文数类型错误的报文数版本错误的报文数发送失败的报文数 1.1.4 habp client vlan habp client vlan vlan-id undo habp client 系统视图缺省级别 2: 系统级参数 vlan-id: 传播 HABP 报文的 VLAN 的 ID, 取值范围 1~4094 描述 habp client vlan 命令用来设置 HABP client 所属的 VLAN, 即指定 HABP 报文在指定的 VLAN 内传播 undo hapb client 命令用来恢复缺省情况缺省情况下,HABP client 所属的 VLAN 为 VLAN 1 1-3

举例 # 设置 HABP client 所属的 VLAN 为 VLAN 2, 即指定 HABP 报文在 VLAN 2 内传播 [Sysname] habp client vlan 2 1.1.5 habp enable habp enable undo habp enable 系统视图缺省级别 2: 系统级参数无描述 habp enable 命令用来使能设备的 HABP 功能 undo hapb enable 命令用来禁止设备的 HABP 功能缺省情况下, 设备的 HABP 功能处于使能状态举例 # 使能设备的 HABP 功能 [Sysname] habp enable 1.1.6 habp server vlan habp server vlan vlan-id undo habp server 系统视图缺省级别 2: 系统级参数 vlan-id: 传播 HABP 报文的 VLAN 的 ID, 取值范围 1~4094 描述 habp server vlan 命令用来设置 HABP 功能的模式为 Server 模式, 同时指定 HABP 报文在指定的 VLAN 内传播 undo hapb server 命令用来恢复 HABP 功能为缺省模式缺省情况下,HABP 功能工作在 Client 模式下 1-4

需要注意的是, 在一个集群中, 当使能了 802.1X 或 MAC 地址认证功能的成员设备还下挂有其它成员设备时, 必须在该成员设备上开启 HABP server 功能, 否则管理设备将无法对其下挂的成员设备进行管理关于集群功能的具体介绍请参见网络管理和监控配置指导中的集群管理配置举例 # 在设备上设置 HABP 功能的模式为 Server 模式, 同时指定 HABP 报文在指定的 VLAN 2 内传播 [Sysname] habp server vlan 2 1.1.7 habp timer habp timer interval undo habp timer 系统视图缺省级别 2: 系统级参数 interval: 发送 HABP 请求报文的时间间隔, 取值范围为 5~600, 单位为秒描述 habp timer 命令用来设置发送 HABP 请求报文的时间间隔 undo habp timer 命令用来将发送 HABP 请求报文的时间间隔恢复为缺省情况缺省情况下, 发送 HABP 请求报文的时间间隔为 20 秒本配置只需要在 HABP 功能工作模式为 Server 的设备上进行配置举例 # 设置发送 HABP 请求报文的时间间隔为 50 秒 [Sysname] habp timer 50 1-5

目录 1 公钥管理配置命令... 1-1 1.1 公钥管理配置命令...1-1 1.1.1 display public-key local public... 1-1 1.1.2 display public-key peer... 1-2 1.1.3 peer-public-key end... 1-4 1.1.4 public-key-code begin... 1-4 1.1.5 public-key-code end... 1-5 1.1.6 public-key local create... 1-6 1.1.7 public-key local destroy... 1-7 1.1.8 public-key local export dsa... 1-7 1.1.9 public-key local export rsa... 1-9 1.1.10 public-key peer... 1-10 1.1.11 public-key peer import sshkey... 1-10 i

1 公钥管理配置命令 1.1 公钥管理配置命令 1.1.1 display public-key local public display public-key local { dsa rsa } public [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 dsa: 显示 DSA 本地密钥对中的公钥部分 rsa: 显示 RSA 本地密钥对中的公钥部分 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display public-key local public 命令用来显示本地密钥对中的公钥部分相关配置可参考命令 public-key local create 举例 # 显示 RSA 本地密钥对中的公钥部分 <Sysname> display public-key local rsa public ===================================================== Time of Key pair created: 19:59:16 2007/10/25 Key name: HOST_KEY Key type: RSA Encryption Key ===================================================== Key code: 30819F300D06092A864886F70D010101050003818D0030818902818100BC4C392A97734A633BA0F1DB01F8 4EB51228EC86ADE1DBA597E0D9066FDC4F04776CEA3610D2578341F5D049143656F1287502C06D39D39F28 F0F5CBA630DA8CD1C16ECE8A7A65282F2407E8757E7937DCCDB5DB620CD1F471401B7117139702348444A2 D8900497A87B8D5F13D61C4DEFA3D14A7DC07624791FC1D226F62DF3020301 0001 ===================================================== 1-1

Time of Key pair created: 19:59:17 2007/10/25 Key name: SERVER_KEY Key type: RSA Encryption Key ===================================================== Key code: 307C300D06092A864886F70D0101010500036B003068026100C51AF7CA926962284A4654B2AACC7B2AE12B 2B1EABFAC1CDA97E42C3C10D7A70D1012BF23ADE5AC4E7AAB132CFB6453B27E054BFAA0A85E113FBDE751E E0ECEF659529E857CF8C211E2A03FD8F10C5BEC162B2989ABB5D299D1E4E27A13C7DD10203010001 # 显示 DSA 本地密钥对中的公钥部分 <Sysname> display public-key local dsa public ===================================================== Time of Key pair created: 20:00:16 2007/10/25 Key name: HOST_KEY Key type: DSA Encryption Key ===================================================== Key code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表 1-1 display public-key local public 命令显示信息描述表字段描述 Time of Key pair created 本地密钥对产生时间和日期密钥名称, 取值包括 : Key name Key type Key code HOST_KEY: 主机公钥 SERVER_KEY: 服务器公钥只有密钥类型为 RSA 时, 才会存在 SERVER_KEY 密钥类型, 取值包括 : RSA Encryption Key: 密钥类型为 RSA DSA Encryption Key: 密钥类型为 DSA 密钥数据 1.1.2 display public-key peer display public-key peer [ brief name publickey-name ] [ { begin exclude include } regular-expression ] 1-2

任意视图缺省级别参数描述举例 1: 监控级 brief: 显示所有远端主机公钥的简明信息 name publickey-name: 显示指定远端主机公钥的详细信息,publickey-name 为远端主机公钥的名称, 为 1~64 个字符的字符串, 区分大小写 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 display public-key peer 命令用来显示保存在本地的远端主机的公钥信息如果没有指定任何参数, 则显示所有保存在本地的远端主机公钥的详细信息可以通过 public-key peer 命令或 public-key peer import sshkey 命令将远端主机的公钥配置到本地相关配置可参考命令 public-key peer 和 public-key peer import sshkey # 显示密钥名称为 idrsa 的远端主机公钥的详细信息 <Sysname> display public-key peer name idrsa ===================================== Key Name : idrsa Key Type : RSA Key Module: 1024 ===================================== Key Code: 30819D300D06092A864886F70D010101050003818B00308187028181009C46A8710216CEC0C01C7CE136BA 76C79AA6040E79F9E305E453998C7ADE8276069410803D5974F708496947AB39B3F39C5CE56C95B6AB7442 D56393BF241F99A639DD02D9E29B1F5C1FD05CC1C44FBD6CFFB58BE6F035FAA2C596B27D1231D159846B7C B9A7757C5800FADA9FD72F65672F4A549EE99F63095E11BD37789955020123 表 1-2 display public-key peer name 命令显示信息描述表字段描述 Key Name Key Type Key Module Key Code 密钥名称密钥类型, 取值包括 RSA DSA 密钥模数的长度, 单位为 bit 密钥数据 # 显示保存在本地的所有远端主机公钥的简明信息 <Sysname> display public-key peer brief 1-3

Type Module Name --------------------------- RSA 1024 idrsa DSA 1024 10.1.1.1 表 1-3 display public-key peer brief 命令显示信息描述表字段描述 Type Module Name 密钥类型, 取值包括 RSA DSA 密钥模数的长度, 单位为 bit 远端主机公钥的名称 1.1.3 peer-public-key end peer-public-key end 公钥视图缺省级别 2: 系统级参数无描述 peer-public-key end 命令用来从公钥视图退回到系统视图相关配置可参考命令 public-key peer 举例 # 退出公钥视图 [Sysname] public-key peer key1 [Sysname-pkey-public-key] peer-public-key end [Sysname] 1.1.4 public-key-code begin public-key-code begin 公钥视图缺省级别 2: 系统级参数无 1-4

描述举例 public-key-code begin 命令用来进入公钥编辑视图进入公钥编辑视图后, 可以开始输入密钥数据在输入密钥数据时, 字符之间可以有空格, 也可以按回车键继续输入数据需要注意的是 : 输入的密钥数据必须满足一定的格式要求通过 display public-key local public 命令显示的公钥可以作为输入的密钥数据对于 RSA 密钥对, 输入服务器密钥对中的公钥或主机密钥对中的公钥, 公钥编辑都可以成功但是, 在 SSH 应用中, 输入的密钥数据只能是主机密钥对中的公钥, 否则会导致身份验证失败 SSH 的详细介绍, 请参见安全配置指导中的 SSH2.0 配置相关配置可参考命令 public-key peer 和 public-key-code end # 进入公钥编辑视图, 输入密钥 [Sysname] public-key peer key1 [Sysname-pkey-public-key] public-key-code begin [Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC8 014F82515F6335A0A [Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D1643 135877E13B1C531B4 [Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B 80EB5F52698FCF3D6 [Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1D DE675AC30CB020301 [Sysname-pkey-key-code]0001 1.1.5 public-key-code end public-key-code end 公钥编辑视图缺省级别参数 2: 系统级无描述 public-key-code end 命令用来从公钥编辑视图退回到公钥视图, 并保存用户输入的公钥执行此命令后, 结束公钥的编辑过程, 系统自动保存配置的公钥在存储之前, 会进行密钥合法性的检测 : 如果用户配置的公钥字符串不满足格式要求, 那么将会显示相关提示信息, 用户配置的密钥将被丢弃, 本次配置失败 ; 如果用户配置的公钥字符串合法, 则保存该公钥 1-5

举例相关配置可参考命令 public-key peer 和 public-key-code begin # 退出公钥编辑视图, 并保存用户配置的公钥 [Sysname] public-key peer key1 [Sysname-pkey-public-key] public-key-code begin [Sysname-pkey-key-code]30819F300D06092A864886F70D010101050003818D0030818902818100C0EC8 014F82515F6335A0A [Sysname-pkey-key-code]EF8F999C01EC94E5760A079BD73E4F4D97F3500EDB308C29481B77E719D1643 135877E13B1C531B4 [Sysname-pkey-key-code]FF1877A5E2E7B1FA4710DB0744F66F6600EEFE166F1B854E2371D5B952ADF6B 80EB5F52698FCF3D6 [Sysname-pkey-key-code]1F0C2EAAD9813ECB16C5C7DC09812D4EE3E9A0B074276FFD4AF2050BD4A9B1D DE675AC30CB020301 [Sysname-pkey-key-code]0001 [Sysname-pkey-key-code] public-key-code end [Sysname-pkey-public-key] 1.1.6 public-key local create public-key local create { dsa rsa } 系统视图缺省级别参数描述举例 2: 系统级 dsa: 本地密钥对类型为 DSA rsa: 本地密钥对类型为 RSA public-key local create 用来生成本地密钥对需要注意的是 : 执行该命令后, 当本地密钥对类型为 DSA 或 RSA 时, 会提示输入密钥模数的长度密钥模数的最小长度为 512 比特, 最大长度为 2048 比特, 缺省长度为 1024 比特如果已存在相应类型的密钥对, 则需要用户确认是否进行修改执行此命令后, 生成的密钥对将保存在设备中, 设备重启后不会丢失相关配置可参考命令 public-key local destroy 和 display public-key local public # 生成 RSA 本地密钥对 [Sysname] public-key local create rsa The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. 1-6

Press CTRL+C to abort. Input the bits of the modulus[default = 1024]: Generating Keys... ++++++ ++++++ ++++++++ ++++++++ # 生成 DSA 本地密钥对 [Sysname] public-key local create dsa The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to abort. Input the bits of the modulus[default = 1024]: Generating Keys... * * 1.1.7 public-key local destroy public-key local destroy { dsa rsa } 系统视图缺省级别 2: 系统级参数 dsa: 本地密钥对类型为 DSA rsa: 本地密钥对类型为 RSA 描述 public-key local destroy 命令用来销毁本地密钥对相关配置可参考命令 public-key local create 举例 # 销毁 RSA 本地密钥对 [Sysname] public-key local destroy rsa Warning: Confirm to destroy these keys? [Y/N]:y # 销毁 DSA 本地密钥对 [Sysname] public-key local destroy dsa Warning: Confirm to destroy these keys? [Y/N] :y 1.1.8 public-key local export dsa 1-7

public-key local export dsa { openssh ssh2 } [ filename ] 系统视图缺省级别参数描述举例 2: 系统级 openssh: 主机公钥格式为 OpenSSH ssh2: 主机公钥格式为 SSH2.0 filename: 指定导出公钥存储的文件名文件名的详细介绍, 请参见基础配置指导中的文件系统管理配置 public-key local export dsa 命令用来根据指定格式在屏幕上显示本地 DSA 主机公钥或导出本地 DSA 主机公钥到指定文件如果不指定文件名, 则只在屏幕上显示本地 DSA 公钥 ; 如果指定了文件名, 则将本地 DSA 公钥导出到指定文件并保存, 不在屏幕上显示本地 DSA 公钥 SSH2 和 OpenSSH 是两种不同类型的公钥格式, 根据不同的应用需求显示主机公钥或生成不同格式的公钥文件相关配置可参考命令 public-key local create 和 public-key local destroy # 以 OpenSSH 格式导出 DSA 主机公钥, 文件名为 key.pub [Sysname] public-key local export dsa openssh key.pub # 以 SSH2.0 格式在屏幕上显示 DSA 主机公钥 [Sysname] public-key local export dsa ssh2 ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "dsa-key-20070625" AAAAB3NzaC1kc3MAAACBANdXJixFhMRMIR8YvZbl8GHE8KQj9/5ra4WzTO9yzhSg06UiL+CM7OZb5sJlhUiJ3B 7b0T7IsnTan3W6Jsy5h3I2Anh+kiuoRCHyLDyJy5sG/WD+AZQd3Xf+axKJPadu68HRKNl/BnjXcitTQchQbzWC FLFqL6xLNolQOHgRx9ozAAAAFQDHcyGMc37I7pk7Ty3tMPSO2s6RXwAAAIEAgiaQCeFOxHS68pMuadOx8YUXrZ WUGEzN/OrpbsTV75MTPoS0cJPFKyDNNdAkkrOVnsZJliW8T6UILiLFs3ThbdABMs5xsCAhcJGscXthI5HHbB+y 6IMXwb2BcdQey4PiEMA8ybMugQVhwhYhxz1tqsAo9LFYXaf0JRlxjMmwnu8AAACBANVcLNEKdDt6xcatpRjxsS rhxfvidrjxw59qznkhl87gsbgp4ccup3kmcrzuqpz1qntfgozolzhng1ygxpp7q2k/uruuhn0bjfbkolo2/ryg qdjiqb4fqwmrkwjuauygqqy+mge6dmhn0vg4gakx9mqxdibjzbzrx0bvxmdnkr22 ---- END SSH2 PUBLIC KEY ---- # 以 OpenSSH 格式显示 DSA 主机公钥 [Sysname] public-key local export dsa openssh ssh-dss AAAAB3NzaC1kc3MAAACBANdXJixFhMRMIR8YvZbl8GHE8KQj9/5ra4WzTO9yzhSg06UiL+CM7OZb5sJlhUiJ3B 7b0T7IsnTan3W6Jsy5h3I2Anh+kiuoRCHyLDyJy5sG/WD+AZQd3Xf+axKJPadu68HRKNl/BnjXcitTQchQbzWC FLFqL6xLNolQOHgRx9ozAAAAFQDHcyGMc37I7pk7Ty3tMPSO2s6RXwAAAIEAgiaQCeFOxHS68pMuadOx8YUXrZ WUGEzN/OrpbsTV75MTPoS0cJPFKyDNNdAkkrOVnsZJliW8T6UILiLFs3ThbdABMs5xsCAhcJGscXthI5HHbB+y 6IMXwb2BcdQey4PiEMA8ybMugQVhwhYhxz1tqsAo9LFYXaf0JRlxjMmwnu8AAACBANVcLNEKdDt6xcatpRjxsS rhxfvidrjxw59qznkhl87gsbgp4ccup3kmcrzuqpz1qntfgozolzhng1ygxpp7q2k/uruuhn0bjfbkolo2/ryg qdjiqb4fqwmrkwjuauygqqy+mge6dmhn0vg4gakx9mqxdibjzbzrx0bvxmdnkr22 dsa-key 1-8

1.1.9 public-key local export rsa public-key local export rsa { openssh ssh1 ssh2 } [ filename ] 系统视图缺省级别参数描述举例 2: 系统级 openssh: 主机公钥格式为 OpenSSH ssh1: 主机公钥格式为 SSH1.5 ssh2: 主机公钥格式为 SSH2.0 filename: 指定导出公钥存储的文件名文件名的详细介绍, 请参见基础配置指导中的文件系统管理配置 public-key local export rsa 命令用来根据指定格式在屏幕上显示本地 RSA 主机公钥或导出本地 RSA 主机公钥到指定文件当不指定文件名时, 则在屏幕上显示本地 RSA 公钥 ; 如果指定了文件名则将本地 RSA 公钥导出到指定文件并保存 SSH1 SSH2 和 OpenSSH 是三种不同类型的公钥格式, 根据不同的应用需求显示主机公钥或生成不同格式的公钥文件相关配置可参考命令 public-key local create 和 public-key local destroy # 以 OpenSSH 格式导出 RSA 主机公钥, 文件名为 key.pub [Sysname] public-key local export rsa openssh key.pub # 以 SSH2.0 格式在屏幕上显示 RSA 主机公钥 [Sysname] public-key local export rsa ssh2 ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "rsa-key-20070625" AAAAB3NzaC1yc2EAAAADAQABAAAAgQDAo0dVYR1S5f30eLKGNKuqb5HU3M0TTSaGlER2GmcRI2sgSegbo1x6ut 5NIc5+jJxuRCU4+gMc76iS8d+2d50FqIweEkHHkSG/ddgXt/iAZ6cY81bdu/CKxGiQlkUpbw4vSv+X5KeE7j+o 0MpOpzh3W768/+u1riz+1LcwVTs51Q== ---- END SSH2 PUBLIC KEY ---- # 以 OpenSSH 格式显示 RSA 主机公钥 [Sysname] public-key local export rsa openssh ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDAo0dVYR1S5f30eLKGNKuqb5HU3M0TTSaGlER2GmcRI2sgSegbo1x6ut 5NIc5+jJxuRCU4+gMc76iS8d+2d50FqIweEkHHkSG/ddgXt/iAZ6cY81bdu/CKxGiQlkUpbw4vSv+X5KeE7j+o 0MpOpzh3W768/+u1riz+1LcwVTs51Q== rsa-key 1-9

1.1.10 public-key peer public-key peer keyname undo public-key peer keyname 系统视图缺省级别 2: 系统级参数 keyname: 远端主机公钥的名称, 为 1~64 个字符的字符串, 区分大小写描述 public-key peer 命令用来创建远端主机公钥, 并进入公钥视图 undo public-key peer 命令用来删除远端主机公钥通过手工配置方式创建远端主机公钥时, 用户需要事先获取并记录远端主机十六进制形式的公钥, 并执行以下操作 : (1) 执行本命令和 public-key-code begin 命令进入公钥编辑视图 (2) 在公钥编辑视图, 手工输入远端主机的公钥 (3) 执行 public-key-code end 命令, 自动保存输入的远端主机公钥, 并退回到公钥视图 (4) 执行 peer-public-key end 命令, 从公钥视图退回到系统视图相关配置可参考命令 public-key-code begin public-key-code end peer-public-key end 和 display public-key peer 举例 # 创建远端主机公钥 key1, 并进入公钥视图 [Sysname] public-key peer key1 [Sysname-pkey-public-key] 1.1.11 public-key peer import sshkey public-key peer keyname import sshkey filename undo public-key peer keyname 系统视图缺省级别 2: 系统级参数 keyname: 公钥名, 为 1~64 个字符的字符串, 区分大小写 filename: 指定导入公钥数据的文件名文件名的详细介绍, 请参见基础配置指导中的文件系统管理配置 1-10

描述 public-key peer import sshkey 命令用来配置从公钥文件中导入远端主机的公钥 undo public-key peer 命令用来删除远端主机公钥的配置执行本命令后, 系统会自动对指定的公钥文件 ( 支持自动识别的公钥格式 SSH1 SSH2 OpenSSH) 进行格式转换 ( 转换为 PKCS 标准编码形式 ), 并实现远端主机公钥的配置这种方式需要远端主机事先通过 FTP/TFTP 方式, 将公钥文件上传到本地设备相关配置可参考命令 display public-key peer 举例 # 配置从公钥文件 key.pub 中导入远端主机的公钥, 公钥名称为 key2 [Sysname] public-key peer key2 import sshkey key.pub 1-11

目录 1 PKI 配置命令... 1-1 1.1 PKI 配置命令... 1-1 1.1.1 attribute... 1-1 1.1.2 ca identifier... 1-2 1.1.3 certificate request entity... 1-2 1.1.4 certificate request from... 1-3 1.1.5 certificate request mode... 1-3 1.1.6 certificate request polling... 1-4 1.1.7 certificate request url... 1-5 1.1.8 common-name... 1-5 1.1.9 country... 1-6 1.1.10 crl check... 1-6 1.1.11 crl update-period... 1-7 1.1.12 crl url... 1-7 1.1.13 display pki certificate... 1-8 1.1.14 display pki certificate access-control-policy... 1-10 1.1.15 display pki certificate attribute-group... 1-11 1.1.16 display pki crl domain... 1-12 1.1.17 fqdn... 1-13 1.1.18 ip (PKI Entity view)... 1-14 1.1.19 ldap-server... 1-14 1.1.20 locality... 1-15 1.1.21 organization... 1-15 1.1.22 organization-unit... 1-16 1.1.23 pki certificate access-control-policy... 1-16 1.1.24 pki certificate attribute-group... 1-17 1.1.25 pki delete-certificate... 1-17 1.1.26 pki domain... 1-18 1.1.27 pki entity... 1-18 1.1.28 pki import-certificate... 1-19 1.1.29 pki request-certificate domain... 1-19 1.1.30 pki retrieval-certificate... 1-20 1.1.31 pki retrieval-crl domain... 1-21 1.1.32 pki validate-certificate... 1-21 1.1.33 root-certificate fingerprint... 1-22 i

1.1.34 rule (PKI Cert access control policy view)... 1-22 1.1.35 state... 1-23 ii

1 PKI 配置命令 1.1 PKI 配置命令 1.1.1 attribute attribute id { alt-subject-name { fqdn ip } { issuer-name subject-name } { dn fqdn ip } } { ctn equ nctn nequ} attribute-value undo attribute { id all } 证书属性组视图缺省级别 2: 系统级参数 id: 证书属性规则序号, 取值范围为 1~16 alt-subject-name: 表示证书备用主题名 fqdn: 指定实体的 FQDN ip: 指定实体的 IP 地址 issuer-name: 表示证书颁发者名 subject-name: 表示证书主题名 dn: 指定实体的 DN ctn: 表示包含操作 equ: 表示相等操作 nctn: 表示不包含操作 nequ: 表示不等操作 attribute-value: 表示证书属性值, 为 1~128 个字符的字符串, 不区分大小写 all: 表示所有证书属性规则描述 attribute 命令用来配置证书颁发者名证书主题名以及备用主题名的属性规则 undo attribute 命令用来删除一个或者所有证书的属性规则缺省情况下, 对证书的颁发者名主题名以及备用主题名没有限制需要注意的是, 证书备用主题名属性不会以域名的方式出现, 所以在证书备用主题名属性的规则配置中没有出现 dn 举例 # 创建一个证书属性规则该规则定义, 主题名的 DN 包含字符串 abc [Sysname] pki certificate attribute-group mygroup [Sysname-pki-cert-attribute-group-mygroup] attribute 1 subject-name dn ctn abc 1-1

# 创建一个证书属性规则该规则定义, 颁发者名称中的 FQDN 不等于字符串 abc [Sysname-pki-cert-attribute-group-mygroup] attribute 2 issuer-name fqdn nequ abc # 创建一个证书属性规则该规则定义, 主题备用名称中的 IP 地址不等于 10.0.0.1 [Sysname-pki-cert-attribute-group-mygroup] attribute 3 alt-subject-name ip nequ 10.0.0.1 1.1.2 ca identifier ca identifier name undo ca identifier PKI 域视图缺省级别 2: 系统级参数 name: 设备信任的 CA 的名称, 为 1~63 个字符的字符串, 不区分大小写描述 ca identifier 命令用来指定设备信任的 CA 的名称 undo ca identifier 命令用来删除设备信任的 CA 缺省情况下, 未指定设备信任的 CA 该设备证书的申请获取废除及查询均通过该 CA 执行举例 # 指定设备信任的 CA 的名称为 new-ca [Sysname] pki domain 1 [Sysname-pki-domain-1] ca identifier new-ca 1.1.3 certificate request entity certificate request entity entity-name undo certificate request entity PKI 域视图缺省级别 2: 系统级参数 entity-name: 申请证书的实体所用名称, 为 1~15 个字符的字符串, 不区分大小写描述 certificate request entity 命令用来指定申请证书的实体名称 undo certificate request entity 命令用来取消申请证书所用的实体名称 1-2

缺省情况下, 未指定设备申请证书所使用的实体名称相关配置可参考命令 pki entity 举例 # 指定设备申请证书时使用实体 entity1 [Sysname] pki domain 1 [Sysname-pki-domain-1] certificate request entity entity1 1.1.4 certificate request from certificate request from { ca ra } undo certificate request from PKI 域视图缺省级别 2: 系统级参数 ca: 表示实体从 CA 注册申请证书 ra: 表示实体从 RA 注册申请证书描述 certificate request from 命令用来为实体配置证书申请的注册受理机构 undo certificate request from 命令用来取消指定的证书申请注册受理机构缺省情况下, 未指定证书申请的注册受理机构举例 # 指定实体从 CA 注册申请证书 [Sysname] pki domain 1 [Sysname-pki-domain-1] certificate request from ca 1.1.5 certificate request mode certificate request mode { auto [ key-length key-length password { cipher simple } password ] * manual } undo certificate request mode PKI 域视图缺省级别 2: 系统级参数 1-3

auto: 表示用自动方式申请证书 key-length: 指定 RSA 密钥长度, 取值范围为 512~2048, 单位为 bit, 缺省值为 1024bit cipher: 表示密码为密文显示 simple: 表示密码为明文显示 password: 指定吊销证书时使用的密码, 为 1~31 个字符的字符串, 区分大小写 manual: 表示用手工方式申请证书描述 certificate request mode 命令用来配置证书申请方式 undo certificate request mode 命令用来恢复缺省情况缺省情况下, 证书申请为手工方式如果是自动方式, 则在本地没有自己的证书时自动向注册机构进行申请, 但不会在证书快要过期时以及证书过期之后自动申请新的证书如果为手工方式, 则需要手工完成各项证书申请工作相关配置可参考命令 pki request-certificate 举例 # 指定证书申请为自动方式 [Sysname] pki domain 1 [Sysname-pki-domain-1] certificate request mode auto 1.1.6 certificate request polling certificate request polling { count count interval minutes } undo certificate request polling { count interval } PKI 域视图缺省级别 2: 系统级参数 count count: 表示证书申请状态的查询次数 count 表示查询次数, 取值范围为 1~100 interval minutes: 表示证书申请状态的查询周期 minutes 表示查询周期, 取值范围为 5~168, 单位为分钟描述 certificate request polling 命令用来配置证书申请状态的查询周期和次数 undo certificate request polling 命令用来恢复缺省情况缺省情况下, 证书申请状态的查询周期为 20 分钟每一个周期查询 50 次实体在发送证书申请后, 如果 CA 采用手工验证申请, 证书的发布会需要很长时间实体需要定期发送状态查询, 以便在证书签发后能及时获取到证书相关配置可参考命令 display pki certificate 举例 # 指定状态查询周期为 15 分钟每一个周期查询 40 次 1-4

[Sysname] pki domain 1 [Sysname-pki-domain-1] certificate request polling interval 15 [Sysname-pki-domain-1] certificate request polling count 40 1.1.7 certificate request url certificate request url url-string undo certificate request url PKI 域视图缺省级别参数描述举例 2: 系统级 url-string: 表示证书申请的注册机构服务器的 URL, 为 1~127 个字符的字符串, 不区分大小写内容包括服务器位置及 CA 的 CGI 命令接口脚本位置, 格式为 http://server_location/ca_script_location 其中,server_location 目前仅支持 IP 地址的表示方式, 不支持域名解析,ca_script_location 是 CA 在服务器主机上的应用程序脚本的路径 certificate request url 命令用来配置设备通过 SCEP 进行证书申请的注册机构服务器的 URL undo certificate request url 命令用来删除证书申请服务器的 URL 缺省情况下, 未指定注册服务器的 URL # 指定注册服务器的 URL [Sysname] pki domain 1 [Sysname-pki-domain-1] certificate request url http://169.254.0.100/certsrv/mscep/mscep.dll 1.1.8 common-name common-name name undo common-name PKI 实体视图缺省级别参数描述 2: 系统级 name: 实体的通用名称, 为 1~31 个字符的字符串, 不区分大小写, 不能包含逗号 1-5

common-name 命令用来配置实体的通用名, 比如用户名称 undo common-name 命令用来删除实体的通用名缺省情况下, 未指定实体通用名举例 # 配置实体的通用名为 test [Sysname] pki entity 1 [Sysname-pki-entity-1] common-name test 1.1.9 country country country-code-str undo country PKI 实体视图缺省级别 2: 系统级参数 country-code-str: 两字符国家代码, 不区分大小写描述 country 命令用来指定实体所属的国家代码, 代码用标准的两字符代码, 例如中国为 CN undo country 命令用来删除实体所属的国家代码缺省情况下, 未指定实体所属国家代码举例 # 配置实体所属的国家代码为 CN [Sysname] pki entity 1 [Sysname-pki-entity-1] country CN 1.1.10 crl check crl check { disable enable } PKI 域视图缺省级别 2: 系统级参数 disable: 禁止 CRL 检查 enable: 使能 CRL 检查 1-6

描述 crl check 命令用来使能或者禁止 CRL 检查缺省情况下,CRL 检查处于开启状态 CRL 是由 CA 签发的文件, 其中包含所有被 CA 废除的证书列表, 表明某些证书已被废除废除有可能发生在证书有效期结束之前 CRL 检查的目的是查看实体的证书是否被 CA 废除, 若检查结果表明实体证书已被废除, 那么该证书就不再被其它实体信任举例 # 禁止 CRL 检查 [Sysname] pki domain 1 [Sysname-pki-domain-1] crl check disable 1.1.11 crl update-period crl update-period hours undo crl update-period PKI 域视图缺省级别 2: 系统级参数 hours: 指定更新周期, 取值范围为 1~720, 单位为小时描述 crl update-period 命令用来指定 CRL 的更新周期 undo crl update-period 命令用来恢复缺省情况缺省情况下,CRL 的更新周期由 CRL 文件中的下次更新域决定 CRL 的更新周期是指使用证书的 PKI 实体从 CRL 存储服务器下载 CRL 的时间间隔举例 # 指定 CRL 的更新周期为 20 小时 [Sysname] pki domain 1 [Sysname-pki-domain-1] crl update-period 20 1.1.12 crl url crl url url-string undo crl url PKI 域视图缺省级别 1-7

2: 系统级参数 url-string: 表示 CRL 的发布点 URL, 为 1~127 个字符的字符串, 不区分大小写格式为 ldap://server_location, 或 http://server_location, 其中,server_location 目前仅支持 IP 地址的表示方式, 不支持域名解析描述 crl url 命令用来设置 CRL 发布点的 URL undo crl url 命令用来删除该 URL 缺省情况下, 未指定 CRL 发布点的 URL 需要注意的是, 未配置 CRL 发布点的 URL 时, 通过 SCEP 协议获取 CRL, 该操作在获取 CA 证书和本地证书之后进行举例 # 指定 CRL 发布点的 URL [Sysname] pki domain 1 [Sysname-pki-domain-1] crl url ldap://169.254.0.30 1.1.13 display pki certificate display pki certificate { { ca local } domain domain-name request-status } [ { begin exclude include } regular-expression ] 任意视图缺省级别 2: 系统级参数 ca: 显示 CA 的证书 local: 显示本地的证书 domain-name: 指定证书所在的 PKI 域, 为 1~15 个字符的字符串 request-status: 显示证书申请后的状态 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display pki certificate 命令用来显示证书的内容或申请状态相关配置可参考命令 pki retrieval-certificate pki domain 和 certificate request polling 举例 1-8

# 显示本地证书 <Sysname> display pki certificate local domain 1 Certificate: Data: Version: 3 (0x2) Serial Number: 10B7D4E3 00010000 0086 Signature Algorithm: md5withrsaencryption Issuer: emailaddress=myca@aabbcc.net C=CN ST=Country A L=City X O=abc OU=bjs CN=new-ca Validity Not Before: Jan 13 08:57:21 2004 GMT Not After : Jan 20 09:07:21 2005 GMT Subject: C=CN ST=Country B L=City Y CN=pki test Subject Public Key Info: Public Key Algorithm: rsaencryption RSA Public Key: (512 bit) Modulus (512 bit): 00D41D1F Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Subject Alternative Name: DNS:hyf.xxyyzz.net X509v3 CRL Distribution Points: URI:http://1.1.1.1:447/myca.crl Signature Algorithm: md5withrsaencryption A3A5A447 4D08387D 表 1-1 display pki certificate 命令显示信息描述表字段描述 Version Serial Number Signature Algorithm Issuer Validity Subject 证书版本号证书序列号签名算法证书颁发者证书有效期证书申请实体 1-9

字段描述 Subject Public Key Info X509v3 extensions X509v3 CRL Distribution Points 申请实体公钥信息 X509 版本 3 格式证书扩展属性 X509 版本 3 格式 CRL 发布点 1.1.14 display pki certificate access-control-policy display pki certificate access-control-policy { policy-name all } [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 policy-name: 指定证书属性访问控制策略名, 为 1~16 个字符的字符串 all: 所有证书属性访问控制策略 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display pki certificate access-control-policy 命令用来显示证书属性访问控制策略信息举例 # 显示证书属性访问控制策略 mypolicy 的信息 <Sysname> display pki certificate access-control-policy mypolicy access-control-policy name: mypolicy rule 1 deny mygroup1 rule 2 permit mygroup2 表 1-2 display pki certificate access-control-policy 命令显示信息描述表字段描述 access-control-policy rule number 证书属性的访问控制策略名控制规则编号 1-10

1.1.15 display pki certificate attribute-group display pki certificate attribute-group { group-name all } [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 group-name: 指定证书属性组名, 为 1~16 个字符的字符串 all: 所有证书属性组 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display pki certificate attribute-group 命令用来显示证书属性组的信息举例 # 显示证书属性组 mygroup 的信息 <Sysname> display pki certificate attribute-group mygroup attribute group name: mygroup attribute 1 subject-name dn ctn abc attribute 2 issuer-name fqdn nctn app 表 1-3 display pki certificate attribute-group 命令显示信息描述表字段描述 attribute group name attribute number subject-name dn ctn abc issuer-name fqdn nctn app 证书属性组名称属性规则编号证书主题名实体的 DN 表示包含操作属性规则 1 的证书属性值证书颁发者名实体的 FQDN 表示不包含操作属性规则 2 的证书属性值 1-11

1.1.16 display pki crl domain display pki crl domain domain-name [ { begin exclude include } regular-expression ] 任意视图缺省级别 2: 系统级参数 domain-name: 指定证书所在的 PKI 域, 为 1~15 个字符的字符串 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display pki crl domain 命令用来显示存储在本地的 CRL 相关配置可参考命令 pki retrieval-crl 和 pki domain 举例 # 显示 CRL <Sysname> display pki crl domain 1 Certificate Revocation List (CRL): Version 2 (0x1) Signature Algorithm: sha1withrsaencryption Issuer: C=CN O=abc OU=soft CN=A Test Root Last Update: Jan 5 08:44:19 2004 GMT Next Update: Jan 5 21:42:13 2004 GMT CRL extensions: X509v3 Authority Key Identifier: keyid:0f71448e E075CAB8 ADDB3A12 0B747387 45D612EC Revoked Certificates: Serial Number: 05a234448E Revocation Date: Sep 6 12:33:22 2004 GMT CRL entry extensions: Serial Number: 05a278445E Revocation Date: Sep 7 12:33:22 2004 GMT CRL entry extensions: 1-12

表 1-4 display pki crl domain 显示信息描述表字段描述 Version Signature Algorithm Issuer Last Update Next Update CRL extensions X509v3 Authority Key Identifier keyid Revoked Certificates Serial Number Revocation Date CRL 版本号 CRL 采用的签名算法颁发该 CRL 的 CA 上次更新时间下次更新时间 CRL 扩展属性发布该无效证书的 CA 的标识符, 证书版本为 X509v3 公钥标识符一个 CA 可能有多个密钥对, 该字段用于标识该 CRL 的签名使用哪个密钥对撤销的证书撤销证书的序列号撤销日期 1.1.17 fqdn fqdn name-str undo fqdn PKI 实体视图缺省级别 2: 系统级参数 name-str: 实体的 FQDN, 为 1~127 个字符的字符串, 不区分大小写描述 fqdn 命令用来配置实体的 FQDN undo fqdn 命令用来删除实体的 FQDN 缺省情况下, 未指定实体 FQDN FQDN 是实体在网络中的唯一标识, 由一个主机名和域名组成, 可被解析为 IP 地址举例 # 配置实体的 FQDN 为 pki.domain-name.com [Sysname] pki entity 1 [Sysname-pki-entity-1] fqdn pki.domain-name.com 1-13

1.1.18 ip (PKI Entity view) ip ip-address undo ip PKI 实体视图缺省级别 2: 系统级参数 ip-address: 实体的 IP 地址描述 ip 命令用来配置实体的 IP 地址 undo ip 命令用来删除实体的 IP 地址缺省情况下, 未指定实体 IP 地址举例 # 配置实体的 IP 地址为 11.0.0.1 [Sysname] pki entity 1 [Sysname-pki-entity-1] ip 11.0.0.1 1.1.19 ldap-server ldap-server ip ip-address [ port port-number ] [ version version-number ] undo ldap-server PKI 域视图缺省级别 2: 系统级参数 ip-address:ldap 服务器的 IP 地址, 为点分十进制格式 port-number:ldap 服务器的端口号, 取值范围为 1~65535, 缺省值为 389 version-number:ldap 版本号, 取值范围为 2~3, 缺省值为 2 描述 ldap-server 命令用来配置 LDAP 服务器 undo ldap-server 命令用来删除指定的 LDAP 服务器缺省情况下, 未指定 LDAP 服务器举例 # 指定 LDAP 服务器的位置 [Sysname] pki domain 1 1-14

[Sysname-pki-domain-1] ldap-server ip 169.254.0.30 1.1.20 locality locality locality-name undo locality PKI 实体视图缺省级别 2: 系统级参数 locality-name: 地理区域的名称, 为 1~31 个字符的字符串, 不区分大小写, 不能包含逗号描述 locality 命令用来配置实体所在的地理区域名称, 比如城市名称 undo locality 命令用来删除实体所在的地理区域的名称缺省情况下, 未指定实体所在地理区域举例 # 配置实体所在地理区域名称为 city [Sysname] pki entity 1 [Sysname-pki-entity-1] locality city 1.1.21 organization organization org-name undo organization PKI 实体视图缺省级别 2: 系统级参数 org-name: 组织名称, 为 1~31 个字符的字符串, 不区分大小写, 不能包含逗号描述 organization 命令用来配置实体所属组织的名称 undo organization 命令用来删除实体所属组织的名称缺省情况下, 未指定实体所属组织举例 # 配置实体所属组织名称为 test-lab 1-15

[Sysname] pki entity 1 [Sysname-pki-entity-1] organization test-lab 1.1.22 organization-unit organization-unit org-unit-name undo organization-unit PKI 实体视图缺省级别 2: 系统级参数 org-unit-name: 组织部门的名称, 为 1~31 个字符的字符串, 不区分大小写, 不能包含逗号使用该参数在同一个单位内区分不同的部门描述 organization-unit 命令用来指定实体所属的组织部门的名称 undo organization-unit 命令用来删除实体所属的组织部门的名称缺省情况下, 未指定实体所属部门举例 # 配置实体所属组织部门名称为 group1 [Sysname] pki entity 1 [Sysname-pki-entity-1] organization-unit group1 1.1.23 pki certificate access-control-policy pki certificate access-control-policy policy-name undo pki certificate access-control-policy { policy-name all } 系统视图缺省级别 2: 系统级参数 policy-name: 表示证书属性的访问控制策略名称, 为 1~16 个字符的字符串, 不区分大小写, 不能是 a al 和 all all: 表示所有证书属性的访问控制策略描述 1-16

pki certificate access-control-policy 命令用来创建证书属性访问控制策略, 并进入证书属性访问控制策略视图 undo pki certificate access-control-policy 命令用来删除一个或者所有证书属性访问控制策略缺省情况下, 不存在证书属性访问控制策略举例 # 配置一个名称为 mypolicy 的访问控制策略, 并进入证书属性访问控制策略视图 [Sysname] pki certificate access-control-policy mypolicy [Sysname-pki-cert-acp-mypolicy] 1.1.24 pki certificate attribute-group pki certificate attribute-group group-name undo pki certificate attribute-group { group-name all } 系统视图缺省级别 2: 系统级参数 group-name: 证书属性组名称, 为 1~16 个字符的字符串, 不区分大小写, 不能是 a al 和 all all: 表示所有属性组描述 pki certificate attribute-group 命令用来创建证书属性组并进入证书属性组视图 undo pki certificate attribute-group 命令用来删除一个或者所有证书属性组缺省情况下, 不存在证书属性组举例 # 创建一个名为 mygroup 的证书属性组, 并进入证书属性组视图 [Sysname] pki certificate attribute-group mygroup [Sysname-pki-cert-attribute-group-mygroup] 1.1.25 pki delete-certificate pki delete-certificate { ca local } domain domain-name 系统视图缺省级别 2: 系统级参数 1-17

ca: 表示删除存储在本地的 CA 证书 local: 表示删除存储在本地的本地证书 domain-name: 指定待删除证书所在的 PKI 域, 为 1~15 个字符的字符串描述 pki delete-certificate 命令用来删除本地存储的指定 PKI 域的证书举例 # 删除 PKI 域 cer 中的本地证书 [Sysname] pki delete-certificate local domain cer 1.1.26 pki domain pki domain domain-name undo pki domain domain-name 系统视图缺省级别 2: 系统级参数 domain-name: 指定一个 PKI 域名, 为 1~15 个字符的字符串, 不区分大小写描述 pki domain 命令用来创建 PKI 域, 并进入 PKI 域视图如果指定的 PKI 域已存在, 则直接进入其视图 undo pki domain 命令用来删除指定的 PKI 域缺省情况下, 不存在 PKI 域举例 # 创建 PKI 域并进入其视图 [Sysname] pki domain 1 [Sysname-pki-domain-1] 1.1.27 pki entity pki entity entity-name undo pki entity entity-name 系统视图缺省级别 2: 系统级参数 1-18

entity-name: 实体名, 为 1~15 个字符的字符串, 不区分大小写描述 pki entity 命令用来配置实体名称, 并进入该实体视图 undo pki entity 命令用来删除此实体的名称及其实体命名空间下的所有配置缺省情况下, 无实体存在在 PKI 实体视图下可配置实体的各种属性值 entity-name 只是用来方便被其它命令引用, 不用于证书的相关字段举例 # 配置实体名称为 en, 并进入该实体视图 [Sysname] pki entity en [Sysname-pki-entity-en] 1.1.28 pki import-certificate pki import-certificate { ca local } domain domain-name { der p12 pem } [ filename filename ] 系统视图缺省级别 2: 系统级参数 ca: 表示 CA 证书 local: 表示本地证书 domain-name: 证书所在的 PKI 域, 为 1~15 个字符的字符串 der: 指定证书文件格式为 DER 编码 p12: 指定证书文件格式为 P12 编码 pem: 指定证书文件格式为 PEM 编码 filename filename: 证书的文件名, 为 1~127 个字符的字符串, 不区分大小写缺省的文件名就是导入后生成的文件名, 即 domain-name_ca.cer 或者 domain-name_local.cer 描述 pki import-certificate 命令用来将已有的 CA 证书或本地证书导入到本地保存相关配置可参考命令 pki domain 举例 # 导入 PKI 域 cer 中的 CA 证书, 证书文件格式为 PEM 编码 [Sysname] pki import-certificate ca domain cer pem 1.1.29 pki request-certificate domain 1-19

pki request-certificate domain domain-name [ password ] [ pkcs10 [ filename filename ] ] 系统视图缺省级别 2: 系统级参数 domain-name: 包含证书申请中 CA 或 RA 等信息的 PKI 域名, 为 1~15 个字符的字符串 password: 在证书撤销时需要提供的密码, 为 1~31 个字符的字符串, 区分大小写 pkcs10: 在终端上显示出 BASE64 编码的 PKCS#10 证书申请信息, 该信息可用于带外方式 ( 如电话磁盘电子邮件等 ) 的证书请求 filename filename: 将 PKCS#10 证书申请信息保存到本地的文件中其中,filename 表示保存证书申请信息的文件名, 为 1~127 个字符的字符串, 不区分大小写描述 pki request-certificate domain 命令用来通过 SCEP 协议向 CA 申请本地证书当 SCEP 出现异常无法正常通信时, 可以通过执行指定参数 pkcs10 的本命令打印出本地的证书申请信息 (BASE64 格式 ), 或者通过执行指定 pkcs10 filename filename 参数的本命令将证书申请信息直接保存到本地的指定文件中, 然后通过带外方式将这些本地证书申请信息发送给 CA 进行证书申请相关配置可参考命令 pki domain 举例 # 手工申请证书, 并在终端上显示 PKCS#10 证书请求 [Sysname] pki request-certificate domain 1 pkcs10 -----BEGIN CERTIFICATE REQUEST----- MIIBTDCBtgIBADANMQswCQYDVQQDEwJqajCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gykcgyeaw5drj8ofs9tha4ezkdcqpby8pvh1kumamppsjmx8sgg52nftbrdtntt5 ALx3LJijB3d/ndKpcHT/DfbJVDCn5gdw32tBZyCkEwMHZN3ol2z7Nvdu5TED6iN8 4m+hfp1QWoV6lty3o9pxAXuQl8peUDcfN6WV3LBXYyl1WCtkLkECAwEAAaAAMA0G CSqGSIb3DQEBBAUAA4GBAA8E7BaIdmT6NVCZgv/I/1tqZH3TS4e4H9Qo5NiCKiEw R8owVmA0XVtGMbyqBNcDTG0f5NbHrXZQT5+MbFJOnm5K/mn1ro5TJKMTKV46PlCZ JUjsugaY02GBY0BVcylpC9iIXLuXNIqjh1MBIqVsa1lQOHS7YMvnop6hXAQlkM4c -----END CERTIFICATE REQUEST----- 1.1.30 pki retrieval-certificate pki retrieval-certificate { ca local } domain domain-name 系统视图缺省级别 2: 系统级参数 1-20

ca: 表示下载 CA 证书 local: 表示下载本地证书 domain-name: 包含证书申请中 CA 或 RA 等信息的域名描述 pki retrieval-certificate 命令用来从证书发布服务器上在线获取证书并下载至本地相关配置可参考命令 pki domain 举例 # 从证书发布服务器上下载 CA 证书 [Sysname] pki retrieval-certificate ca domain 1 1.1.31 pki retrieval-crl domain pki retrieval-crl domain domain-name 系统视图缺省级别 2: 系统级参数 domain-name: 包含证书申请中 CA 或 RA 等信息的域名, 为 1~15 个字符的字符串描述 pki retrieval-crl domain 命令用来从 CRL 发布服务器上获取最新的 CRL 下载 CRL 的目的是验证当前证书的合法性相关配置请参考命令 pki domain 举例 # 从 CRL 发布服务器上获取 CRL [Sysname] pki retrieval-crl domain 1 1.1.32 pki validate-certificate pki validate-certificate { ca local } domain domain-name 系统视图缺省级别 2: 系统级参数 ca: 表示验证 CA 证书 1-21

描述举例 local: 表示验证本地证书 domain-name: 指明待验证证书所在的域, 为 1~15 个字符的字符串 pki validate-certificate 命令用来检查证书的有效性证书验证的核心就是检查 CA 在证书上的签名, 并确定证书仍在有效期内, 而且未被废除相关配置可参考命令 pki domain # 检查本地证书的有效性 [Sysname] pki validate-certificate local domain 1 1.1.33 root-certificate fingerprint root-certificate fingerprint { md5 sha1 } string undo root-certificate fingerprint PKI 域视图缺省级别参数描述举例 2: 系统级 md5: 使用 MD5 指纹 sha1: 使用 SHA1 指纹 string: 指定所使用的指纹当选择 MD5 指纹时,string 必须为 32 个字符, 并且以 16 进制的形式输入 ; 当选择 SHA1 指纹时,string 必须为 40 个字符, 并且以 16 进制的形式输入 root-certificate fingerprint 命令用来配置验证 CA 根证书时所使用的指纹 undo root-certificate fingerprint 命令用来取消配置的指纹缺省情况下, 未指定验证 CA 根证书时使用的指纹 # 配置验证 CA 根证书时使用的 MD5 指纹 [Sysname] pki domain 1 [Sysname-pki-domain-1] root-certificate fingerprint md5 12EF53FA355CD23E12EF53FA355CD23E # 配置验证 CA 根证书时使用的 SHA1 指纹 [Sysname-pki-domain-1] root-certificate fingerprint sha1 D1526110AAD7527FB093ED7FC037B0B3CDDDAD93 1.1.34 rule (PKI Cert access control policy view) 1-22

rule [ id ] { deny permit } group-name undo rule { id all } 证书属性的访问控制策略视图缺省级别 2: 系统级参数 id: 证书属性访问控制规则编号, 取值范围为 1~16, 缺省值为 1~16 中未被使用的最小的编号 deny: 当证书的属性与属性组里定义的属性匹配时, 认为该证书无效, 访问控制策略检测不通过 permit: 当证书的属性与属性组里定义的属性匹配时, 认为该证书有效, 访问控制策略检测通过 group-name: 规则所关联的证书属性组名称, 为 1~16 个字符的字符串, 不区分大小写, 不能是 a al 和 all all: 所有控制规则描述 rule 命令用来创建证书属性的访问控制规则 undo rule 命令用来删除指定或者所有访问控制规则缺省情况下, 不存在证书属性的访问控制规则需要注意的是, 规则所关联的证书属性组必须已经存在举例 # 创建一个访问控制规则, 该规则表示, 当证书与 mygroup 证书属性组匹配时, 认为该证书有效, 访问控制策略检测通过 [Sysname] pki certificate access-control-policy mypolicy [Sysname-pki-cert-acp-mypolicy] rule 1 permit mygroup 1.1.35 state state state-name undo state PKI 实体视图缺省级别 2: 系统级参数 state-name: 州或省的名称, 为 1~31 个字符的字符串, 不区分大小写, 不能包含逗号描述 state 命令用来配置实体所属的州或省的名称 undo state 命令用来删除所属的州或省的名称缺省情况下, 未指定实体所在州或省举例 1-23

# 配置实体所在省为 country [Sysname] pki entity 1 [Sysname-pki-entity-1] state country 1-24

目录 1 SSH2.0 配置命令... 1-1 1.1 SSH2.0 服务器端配置命令... 1-1 1.1.1 display ssh server... 1-1 1.1.2 display ssh user-information... 1-2 1.1.3 ssh server authentication-retries... 1-3 1.1.4 ssh server authentication-timeout... 1-4 1.1.5 ssh server compatible-ssh1x enable... 1-5 1.1.6 ssh server enable... 1-5 1.1.7 ssh server rekey-interval... 1-6 1.1.8 ssh user... 1-6 1.2 SSH2.0 客户端配置命令... 1-8 1.2.1 display ssh client source... 1-8 1.2.2 display ssh server-info... 1-8 1.2.3 ssh client authentication server... 1-9 1.2.4 ssh client first-time enable... 1-10 1.2.5 ssh client ipv6 source... 1-10 1.2.6 ssh client source... 1-11 1.2.7 ssh2... 1-12 1.2.8 ssh2 ipv6... 1-13 2 SFTP 配置命令... 2-1 2.1 SFTP 服务器端配置命令... 2-1 2.1.1 sftp server enable... 2-1 2.1.2 sftp server idle-timeout... 2-1 2.2 SFTP 客户端配置命令...2-2 2.2.1 bye... 2-2 2.2.2 cd... 2-2 2.2.3 cdup... 2-3 2.2.4 delete... 2-3 2.2.5 dir... 2-4 2.2.6 display sftp client source... 2-4 2.2.7 exit... 2-5 2.2.8 get... 2-6 2.2.9 help... 2-6 2.2.10 ls... 2-7 2.2.11 mkdir... 2-7 i

2.2.12 put... 2-8 2.2.13 pwd... 2-8 2.2.14 quit... 2-9 2.2.15 remove... 2-9 2.2.16 rename... 2-10 2.2.17 rmdir... 2-10 2.2.18 sftp... 2-10 2.2.19 sftp client ipv6 source... 2-12 2.2.20 sftp client source... 2-12 2.2.21 sftp ipv6... 2-13 ii

1 SSH2.0 配置命令 1.1 SSH2.0 服务器端配置命令 1.1.1 display ssh server display ssh server { session status } [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 session: 显示 SSH 服务器的会话信息 status: 显示 SSH 服务器的状态信息 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display ssh server 命令用来在 SSH 服务器端显示该服务器的状态信息或会话信息相关配置可参考命令 ssh server authentication-retries ssh server rekey-interval ssh server authentication-timeout ssh server enable 和 ssh server compatible-ssh1x enable 该命令也可在 SFTP 服务器端使用举例 # 在 SSH 服务器端显示该服务器的状态信息 <Sysname> display ssh server status SSH server: Disable SSH version : 1.99 SSH authentication-timeout : 60 second(s) SSH server key generating interval : 0 hour(s) SSH authentication retries : 3 time(s) SFTP server: Disable SFTP server Idle-Timeout: 10 minute(s) 1-1

表 1-1 display ssh server status 命令显示信息描述表字段描述 SSH server SSH version SSH authentication-timeout SSH server key generating interval SSH authentication retries SFTP server SFTP server Idle-Timeout SSH 服务器功能的状态 SSH 协议版本 SSH 服务器兼容 SSH1 时, 协议版本为 1.99;SSH 服务器不兼容 SSH1 时, 协议版本为 2.0 认证超时时间服务器密钥对更新时间认证尝试的最大次数 SFTP 服务器功能的状态 SFTP 用户连接的空闲超时时间 # 在 SSH 服务器端显示该服务器的会话信息 <Sysname> display ssh server session Conn Ver Encry State Retry SerType Username VTY 0 2.0 DES Established 0 SFTP client001 表 1-2 display ssh server session 显示信息描述表字段描述 Conn Ver Encry State Retry SerType Username 用户登录使用的 VTY 界面的编号 SSH 服务器的协议版本 SSH 使用的加密算法会话状态, 包括 : Init: 初始化状态 Ver-exchange: 版本协商 Keys-exchange: 密钥交换 Auth-request: 用户认证 Serv-request: 服务请求 Established: 连接已经建立 Disconnected: 断开连接认证失败的次数服务类型, 包括 SFTP 和 Stelnet 两种类型客户端登录服务器时采用的用户名 1.1.2 display ssh user-information display ssh user-information [ username ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 1-2

1: 监控级参数 username: 显示指定 SSH 用户的信息 username 表示 SSH 用户名, 为 1~80 个字符的字符串 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display ssh user-information 命令用来在 SSH 服务器端显示 SSH 用户的信息需要注意的是 : 本命令仅用来显示 SSH 服务器端通过 ssh user 命令配置的 SSH 用户信息如果没有指定参数 username, 则显示所有 SSH 用户的信息相关配置可参考命令 ssh user 该命令也可在 SFTP 服务器端使用举例 # 显示所有 SSH 用户的信息 <Sysname> display ssh user-information Total ssh users : 2 Username Authentication-type User-public-key-name Service-type yemx password null stelnet sftp test publickey pubkey sftp 表 1-3 display ssh user-information 显示信息描述表字段描述 Total ssh users Username Authentication-type User-public-key-name Service-type SSH 用户的总数用户名认证类型, 如果认证类型为 password, 则用户公钥名称显示为 null 用户公钥名称服务类型 1.1.3 ssh server authentication-retries ssh server authentication-retries times 1-3

undo ssh server authentication-retries 系统视图缺省级别 3: 管理级参数 times: 指定认证尝试的最大次数, 取值范围为 1~5 描述 ssh server authentication-retries 命令用来设置 SSH 连接认证尝试的最大次数 undo ssh server authentication-retries 命令用来恢复缺省情况缺省情况下,SSH 连接认证尝试的最大次数为 3 次需要注意的是 : 本配置对新登录的用户生效 SSH 客户端通过 publickey 和 password 两种方式进行认证尝试的次数总和, 不能超过 ssh server authentication-retries 命令配置的 SSH 连接认证尝试的最大次数 SSH 用户的认证方式为 password-publickey 时, 由于 SSH2.0 用户需要同时通过 password 和 publickey 认证, 因此配置的 SSH 连接认证尝试最大次数必须大于等于 2 相关配置可参考命令 display ssh server 举例 # 指定登录认证尝试的最大次数为 4 次 [Sysname] ssh server authentication-retries 4 1.1.4 ssh server authentication-timeout ssh server authentication-timeout time-out-value undo ssh server authentication-timeout 系统视图缺省级别 3: 管理级参数 time-out-value: 认证超时时间, 取值范围为 1~120, 单位为秒描述 ssh server authentication-timeout 命令用来在 SSH 服务器端设置 SSH 用户的认证超时时间 undo ssh server authentication-timeout 命令用来恢复缺省情况缺省情况下,SSH 用户的认证超时时间为 60 秒相关配置可参考命令 display ssh server 举例 1-4

# 设置 SSH 用户认证超时时间为 10 秒 [Sysname] ssh server authentication-timeout 10 1.1.5 ssh server compatible-ssh1x enable ssh server compatible-ssh1x enable undo ssh server compatible-ssh1x 系统视图缺省级别 3: 管理级参数无描述 ssh server compatible-ssh1x enable 命令用来设置 SSH 服务器兼容 SSH1 版本的客户端 undo ssh server compatible-ssh1x 命令用来设置 SSH 服务器不兼容 SSH1 版本的客户端缺省情况下,SSH 服务器兼容 SSH1 版本的客户端该配置对新登录的用户生效相关配置可参考命令 display ssh server 举例 # 配置服务器兼容 SSH1 版本的客户端 [Sysname] ssh server compatible-ssh1x enable 1.1.6 ssh server enable ssh server enable undo ssh server enable 系统视图缺省级别 3: 管理级参数无描述 ssh server enable 命令用来使能 SSH 服务器功能 undo ssh server enable 命令用来关闭 SSH 服务器功能缺省情况下,SSH 服务器功能处于关闭状态 1-5

举例 # 使能 SSH 服务器功能 [Sysname] ssh server enable 1.1.7 ssh server rekey-interval ssh server rekey-interval hours undo ssh server rekey-interval 系统视图缺省级别 3: 管理级参数 hours: 服务器密钥的更新周期, 取值范围为 1~24, 单位为小时描述 ssh server rekey-interval 命令用来设置 RSA 服务器密钥的更新时间 undo ssh server rekey-interval 命令用来恢复缺省情况缺省情况下,RSA 服务器密钥的更新时间为 0, 表示系统不更新 RSA 服务器密钥相关配置可参考命令 display ssh server 此命令仅对 SSH 客户端版本为 SSH1 的用户有效系统不会定期更新 DSA 密钥对举例 # 设置每 3 小时更新一次 RSA 服务器密钥 [Sysname] ssh server rekey-interval 3 1.1.8 ssh user ssh user username service-type stelnet authentication-type { password { any password-publickey publickey } assign publickey keyname } ssh user username service-type { all sftp } authentication-type { password { any password-publickey publickey } assign publickey keyname work-directory directory-name } undo ssh user username 系统视图 1-6

缺省级别参数描述举例 3: 管理级 username:ssh 用户名, 为 1~80 个字符的字符串, 区分大小写 service-type:ssh 用户的服务类型包括 : all: 包括 stelnet 和 sftp 两种服务类型 sftp: 服务类型为安全的文件传输 stelnet: 服务类型为安全的 Telnet authentication-type:ssh 用户的认证方式包括 : password: 强制指定该用户的认证方式为 password any: 不指定用户的认证方式, 用户既可以采用 password 认证, 也可以采用 publickey 认证 password-publickey: 指定客户端版本为 SSH2 的用户认证方式为必须同时进行 password 和 publickey 两种认证 ; 客户端版本为 SSH1 的用户认证方式为只要进行其中一种认证即可 publickey: 强制指定该用户的认证方式为 publickey assign publickey keyname: 为 SSH 用户分配一个已经存在的公钥 keyname 表示已经配置的客户端公钥名, 为 1~64 个字符的字符串 work-directory directory-name: 为 SFTP 用户设置工作目录 directory-name 表示 SFTP 用户的工作目录, 为 1~135 个字符的字符串 ssh user 命令用来创建 SSH 用户, 并指定 SSH 用户的服务类型和认证方式 undo ssh user 命令用来删除 SSH 用户需要注意的是 : 对于使用 publickey 认证方式的用户, 必须在设备上配置相应的用户及其公钥对于使用 password 认证方式的用户, 用户的账号信息可以配置在设备或者远程认证服务器 ( 如 RADIUS 认证服务器 ) 上使用该命令为用户分配公钥时, 如果此用户已经被分配了公钥, 则以最后一次分配的公钥为准新配置的认证方式和用户公钥, 对于已经登录的 SSH 用户不会生效, 只在 SSH 用户下次登录时生效如果为 SFTP 用户指定了公钥, 则必须同时为该用户设置工作目录 SFTP 用户登录时使用的工作目录与用户使用的认证方式有关只采用 publickey 认证方式的用户, 使用的工作目录为通过 ssh user 命令为该用户设置的工作目录 ; 只采用 password 认证方式的用户, 使用的工作目录为通过 AAA 授权的工作目录 ; 同时采用 publickey 和 password 两种认证方式的用户, 使用的工作目录为通过 ssh user 命令为该用户设置的工作目录相关配置可参考命令 display ssh user-information # 创建 SSH 用户 user1, 配置 user1 的服务类型为 sftp, 认证方式为 publickey, 并指定用户公钥为 key1,sftp 服务器工作目录为 flash: [Sysname] ssh user user1 service-type sftp authentication-type publickey assign publickey key1 work-directory flash: 1-7

1.2 SSH2.0 客户端配置命令 1.2.1 display ssh client source display ssh client source [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display ssh client source 命令用来显示当前为 SSH 客户端设置的源 IP 地址或者源接口如果没有为 SSH 客户端指定源地址和源接口, 则提示尚未指定相关配置可参考命令 ssh client source 举例 # 显示 SSH 客户端的源 IP 地址或者源接口 <Sysname> display ssh client source The source IP address you specified is 192.168.0.1 1.2.2 display ssh server-info display ssh server-info [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写 1-8

描述 display ssh server-info 命令用来在 SSH 客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系 SSH 客户端需要认证服务器时, 以本地保存的服务器端的主机公钥对连接的服务器进行认证如果认证不成功, 可以通过 display ssh server-info 命令查看服务器是否与正确的公钥对应相关配置可参考命令 ssh client authentication server 该命令也可在 SFTP 客户端使用举例 # 显示客户端保存的服务器端的主机公钥和服务器的对应关系 <Sysname> display ssh server-info Server Name(IP) Server public key name 192.168.0.1 abc_key01 192.168.0.2 abc_key02 表 1-4 display ssh server-info 显示信息描述表字段描述 Server Name(IP) Server public key name 服务器名称或者 IP 地址服务器端的主机公钥名称 1.2.3 ssh client authentication server ssh client authentication server server assign publickey keyname undo ssh client authentication server server assign publickey 系统视图缺省级别 2: 系统级参数 server: 服务器的 IP 地址或名称, 为 1~80 个字符的字符串 assign publickey keyname: 指定服务器端的主机公钥 keyname 表示主机公钥名称, 为 1~64 个字符的字符串描述 ssh client authentication server 命令用来在客户端上指定要连接的服务器端的主机公钥名称, 以便客户端判断认证连接的服务器是否为可信赖的服务器 undo ssh client authentication server 命令用来取消在客户端上指定要连接的服务器端的主机公钥 1-9

缺省情况下, 客户端不指定要连接的服务器端的主机公钥名称, 而是在客户端登录服务器的时候使用登录服务器时所用的 IP 地址或主机名作其对应的公钥名称如果客户端不支持首次认证, 客户端将拒绝访问未经认证的服务器此时, 需要在客户端配置服务器端的公钥, 并指定该公钥与服务器端的对应关系, 以便在客户端对连接的服务器端进行认证时, 能够根据该对应关系使用正确的公钥对服务器端进行认证需要注意的是, 指定的服务器端的主机公钥必须已经存在相关配置可参考命令 ssh client first-time enable 举例 # 服务器的 IP 地址为 192.168.0.1, 在客户端指定该服务器的公钥名称为 key1 [Sysname] ssh client authentication server 192.168.0.1 assign publickey key1 1.2.4 ssh client first-time enable ssh client first-time enable undo ssh client first-time 系统视图缺省级别 2: 系统级参数无描述 ssh client first-time enable 命令用来设置 SSH 客户端对访问的 SSH 服务器进行首次认证 undo ssh client first-time 命令用来取消 SSH 客户端对访问的 SSH 服务器进行首次认证缺省情况下, 客户端进行首次认证所谓首次认证, 是指当 SSH 客户端首次访问服务器, 而客户端没有配置服务器端的公钥时, 用户可以选择继续访问该服务器, 并在客户端保存该主机公钥 ; 当用户下次访问该服务器时, 就以保存的主机公钥来认证该服务器如果不支持首次认证, 则当客户端没有配置服务器端的公钥时, 客户端将被拒绝访问该服务器用户必须事先通过其它途径将要访问的服务器端的主机公钥配置在本地, 同时指定要连接的服务器端的主机公钥名称, 以便客户端认证连接的服务器是否为可信赖的服务器需要注意的是, 由于服务器端可能会定期更新密钥对, 为保证服务器认证成功, 客户端需要及时获取最新的服务器主机公钥举例 # 设置 SSH 客户端对访问的 SSH 服务器进行首次认证 [Sysname] ssh client first-time enable 1.2.5 ssh client ipv6 source 1-10

ssh client ipv6 source { ipv6 ipv6-address interface interface-type interface-number } undo ssh client ipv6 source 系统视图缺省级别 3: 管理级参数 ipv6 ipv6-address: 源 IPv6 地址 interface interface-type interface-number: 源接口类型与源接口编号描述 ssh client ipv6 source 命令用来为 SSH 客户端指定源 IPv6 地址或源接口 undo ssh client ipv6 source 命令用来清除指定的源 IPv6 地址或源接口缺省情况下, 客户端用设备路由指定的接口地址访问 SSH 服务器相关配置可参考命令 display ssh client source 举例 # 指定 SSH 客户端的源 IPv6 地址为 2:2::2:2 [Sysname] ssh client ipv6 source ipv6 2:2::2:2 1.2.6 ssh client source ssh client source { ip ip-address interface interface-type interface-number } undo ssh client source 系统视图缺省级别 3: 管理级参数 ip ip-address: 源 IPv4 地址 interface interface-type interface-number: 源接口类型与源接口编号描述 ssh client source 命令用来为 SSH 客户端指定源 IPv4 地址或源接口 undo ssh client source 命令用来清除指定的源 IPv4 地址或源接口缺省情况下, 客户端用设备路由指定的接口地址访问 SSH 服务器相关配置可参考命令 display ssh client source 举例 # 指定 SSH 客户端的源 IPv4 地址为 192.168.0.1 [Sysname] ssh client source ip 192.168.0.1 1-11

1.2.7 ssh2 ssh2 server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * 用户视图缺省级别 0: 访问级参数 server: 服务器 IPv4 地址或主机名称, 为 1~20 个字符的字符串, 不区分大小写 port-number: 服务器端口号, 取值范围为 0~65535, 缺省值为 22 identity-key:publickey 认证采用的公钥算法, 缺省算法为 dsa dsa: 公钥算法为 DSA rsa: 公钥算法为 RSA prefer-ctos-cipher: 客户端到服务器端的首选加密算法, 缺省算法为 aes128 3des:3des-cbc 加密算法 aes128:aes128-cbc 加密算法 des:des-cbc 加密算法 prefer-ctos-hmac: 客户端到服务器端的首选 HMAC 算法, 缺省算法为 sha1-96 md5:hmac 算法 hmac-md5 md5-96:hmac 算法 hmac-md5-96 sha1:hmac 算法 hmac-sha1 sha1-96:hmac 算法 hmac-sha1-96 prefer-kex: 密钥交换首选算法, 缺省算法为 dh-group-exchange dh-group-exchange: 密钥交换算法 diffie-hellman-group-exchange-sha1 dh-group1: 密钥交换算法 diffie-hellman-group1-sha1 dh-group14: 密钥交换算法 diffie-hellman-group14-sha1 prefer-stoc-cipher: 服务器端到客户端的首选加密算法, 缺省算法为 aes128 prefer-stoc-hmac: 服务器端到客户端的首选 HMAC 算法, 缺省算法为 sha1-96 描述 ssh2 命令用来建立 SSH 客户端和 IPv4 服务器端的连接, 并指定公钥算法客户端和服务器的首选加密算法首选 HMAC 算法和首选密钥交换算法需要注意的是, 当服务器端指定客户端的认证方式为 publickey 认证时, 客户端需要读取本地的私钥进行验证由于 publickey 认证可以采用 RSA 和 DSA 两种加密算法, 所以需要用 identity-key 关键字指定采用的加密算法, 才能得到正确的本地私钥数据缺省情况下, 加密算法为 DSA 举例 # 登录地址为 10.214.50.51 的远程 SSH2 服务器, 采用的算法为 : 1-12

首选密钥交换算法为 dh-group1; 服务器到客户端的首选加密算法为 aes128; 客户端到服务器的首选 HMAC 算法为 md5; 服务器到客户端的 HMAC 算法为 sha1-96 <Sysname> ssh2 10.214.50.51 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96 1.2.8 ssh2 ipv6 ssh2 ipv6 server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * 用户视图缺省级别参数描述 0: 访问级 server: 服务器的 IPv6 地址或主机名称, 为 1~46 个字符的字符串, 不区分大小写 port-number: 服务器的端口号, 取值范围为 0~65535, 缺省值为 22 identity-key:publickey 认证采用的公钥算法, 缺省算法为 dsa dsa: 公钥算法为 DSA rsa: 公钥算法为 RSA prefer-ctos-cipher: 客户端到服务器端的首选加密算法, 缺省算法为 aes128 3des:3des-cbc 加密算法 aes128:aes128-cbc 加密算法 des:des-cbc 加密算法 prefer-ctos-hmac: 客户端到服务器端的首选 HMAC 算法, 缺省算法为 sha1-96 md5:hmac 算法 hmac-md5 md5-96:hmac 算法 hmac-md5-96 sha1:hmac 算法 hmac-sha1 sha1-96:hmac 算法 hmac-sha1-96 prefer-kex: 密钥交换首选算法, 缺省算法为 dh-group-exchange dh-group-exchange: 密钥交换算法 diffie-hellman-group-exchange-sha1 dh-group1: 密钥交换算法 diffie-hellman-group1-sha1 dh-group14: 密钥交换算法 diffie-hellman-group14-sha1 prefer-stoc-cipher: 服务器端到客户端的首选加密算法, 缺省算法为 aes128 prefer-stoc-hmac: 服务器端到客户端的首选 HMAC 算法, 缺省算法为 sha1-96 1-13

举例 ssh2 ipv6 命令用来建立 SSH 客户端和 IPv6 服务器端的连接, 并指定公钥算法客户端和服务器的首选加密算法首选 HMAC 算法和首选密钥交换算法需要注意的是, 当服务器端指定客户端的认证方式为 publickey 认证时, 客户端需要读取本地的私钥进行验证由于 publickey 认证可以采用 RSA 和 DSA 两种加密算法, 所以需要用 identity-key 关键字指定采用的加密算法, 才能得到正确的本地私钥数据缺省情况下, 加密算法为 DSA # 登录地址为 2000::1 的远程 SSH2 服务器, 具体加密算法配置如下 : 首选密钥交换算法为 dh-group1; 服务器到客户端的首选加密算法为 aes128; 客户端到服务器的首选 HMAC 算法为 md5; 服务器到客户端的 HMAC 算法为 sha1-96 <Sysname> ssh2 ipv6 2000::1 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96 1-14

2 SFTP 配置命令 2.1 SFTP 服务器端配置命令 2.1.1 sftp server enable sftp server enable undo sftp server enable 系统视图缺省级别 3: 管理级参数无描述 sftp server enable 命令用来启动 SFTP 服务器 undo sftp server enable 命令用来关闭 SFTP 服务器缺省情况下,SFTP 服务器处于关闭状态相关配置可参考命令 display ssh server 举例 # 启动 SFTP 服务器 [Sysname] sftp server enable 2.1.2 sftp server idle-timeout sftp server idle-timeout time-out-value undo sftp server idle-timeout 系统视图缺省级别 3: 管理级参数 time-out-value: 超时时间, 取值范围为 1~35791, 单位为分钟描述 sftp server idle-timeout 命令用来在 SFTP 服务器端设置 SFTP 用户连接的空闲超时时间 undo sftp server idle-timeout 命令用来恢复缺省情况 2-1

缺省情况下,SFTP 用户连接的空闲超时时间为 10 分钟相关配置可参考命令 display ssh server 举例 # 设置 SFTP 用户连接的空闲超时时间为 500 分钟 [Sysname] sftp server idle-timeout 500 2.2 SFTP 客户端配置命令 2.2.1 bye bye SFTP 客户端视图缺省级别 3: 管理级参数无描述 bye 命令用来终止与远程 SFTP 服务器的连接, 并退回到用户视图该命令功能与 exit,quit 相同举例 # 终止与远程 SFTP 服务器的连接 sftp-client> bye Bye Connection closed. <Sysname> 2.2.2 cd cd [ remote-path ] SFTP 客户端视图缺省级别 3: 管理级参数 remote-path: 服务器上的路径名描述 cd 命令用来改变远程 SFTP 服务器上的工作路径 2-2

如果没有指定 remote-path, 则显示当前工作路径命令 cd.. 用来返回到上一级目录命令 cd / 用来返回到系统的根目录举例 # 改变工作路径到 new1 sftp-client> cd new1 Current Directory is: /new1 2.2.3 cdup cdup SFTP 客户端视图缺省级别 3: 管理级参数无描述 cdup 命令用来返回到上一级目录举例 # 从当前工作目录 /new1 返回到上一级目录 sftp-client> cdup Current Directory is: / 2.2.4 delete delete remote-file&<1-10> SFTP 客户端视图缺省级别 3: 管理级参数 remote-file&<1-10>: 服务器上的文件名 &<1-10> 表示最多可以输入 10 个文件名, 每个文件名之间用空格分隔 2-3

描述 delete 命令用来删除 SFTP 服务器上指定的文件该命令和 remove 功能相同举例 # 删除服务器上的文件 temp.c sftp-client> delete temp.c The following files will be deleted: /temp.c Are you sure to delete it? [Y/N]:y This operation may take a long time.please wait... File successfully Removed 2.2.5 dir dir [ -a -l ] [ remote-path ] SFTP 客户端视图缺省级别 3: 管理级参数 -a: 显示指定目录下文件及文件夹的名称 -l: 以列表的形式显示指定目录下文件及文件夹的详细信息 remote-path: 查询的目录名描述 dir 命令用来显示指定目录下文件及文件夹的信息如果没有指定 -a 和 -l 参数, 则以列表的形式显示指定目录下文件及文件夹的详细信息如果没有指定 remote-path, 则显示当前工作目录下文件及文件夹的信息该命令功能与 ls 相同举例 # 以列表的形式显示当前工作目录下文件及文件夹的详细信息 sftp-client> dir -rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg -rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2 -rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1 -rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1 drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1 drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2 -rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2 2.2.6 display sftp client source 2-4

display sftp client source [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display sftp client source 命令用来显示当前为 SFTP 客户端设置的源 IP 地址或者源接口如果没有为 SFTP 客户端指定源地址和源接口, 则提示尚未指定相关配置可参考命令 sftp client source 举例 # 显示 SFTP 客户端的源 IP 地址 <Sysname> display sftp client source The source IP address you specified is 192.168.0.1 2.2.7 exit exit SFTP 客户端视图缺省级别 3: 管理级参数无描述 exit 命令用来终止与远程 SFTP 服务器的连接, 并退回到用户视图该命令功能与 bye,quit 相同举例 # 终止与远程 SFTP 服务器的连接 sftp-client> exit Bye Connection closed. <Sysname> 2-5

2.2.8 get get remote-file [ local-file ] SFTP 客户端视图缺省级别 3: 管理级参数 remote-file: 远程 SFTP 服务器上的文件名 local-file: 本地文件名描述 get 命令用来从远程服务器上下载文件并存储在本地如果没有指定本地文件名, 则认为本地文件与远程 SFTP 服务器上的文件同名举例 # 下载 temp1.c 文件, 并以 temp.c 文件名保存 sftp-client> get temp1.c temp.c Remote file:/temp1.c ---> Local file: temp.c Downloading file successfully ended 2.2.9 help help [ all command-name ] SFTP 客户端视图缺省级别 3: 管理级参数 all: 显示所有命令的名字 command-name: 命令名描述 help 命令用来显示 SFTP 客户端命令的帮助信息如果没有指定参数, 系统将显示所有命令的名字举例 # 查看命令 get 的帮助信息 sftp-client> help get get remote-path [local-path] Download file.default local-path is the same as remote-path 2-6

2.2.10 ls ls [ -a -l ] [ remote-path ] SFTP 客户端视图缺省级别 3: 管理级参数 -a: 显示指定目录下文件及文件夹的名称 -l: 以列表的形式显示指定目录下文件及文件夹的详细信息 remote-path: 查询的目录名描述 ls 命令用来显示指定目录下文件及文件夹的信息如果没有指定 -a 和 -l 参数, 则以列表的形式显示指定目录下文件及文件夹的详细信息如果没有指定 remote-path, 则显示当前工作目录下文件及文件夹的信息该命令功能与 dir 相同举例 # 以列表的形式显示当前工作目录下文件及文件夹的详细信息 sftp-client> ls -rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg -rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2 -rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1 -rwxrwxrwx 1 noone nogroup 225 Sep 28 08:28 pub1 drwxrwxrwx 1 noone nogroup 0 Sep 28 08:24 new1 drwxrwxrwx 1 noone nogroup 0 Sep 28 08:18 new2 -rwxrwxrwx 1 noone nogroup 225 Sep 28 08:30 pub2 2.2.11 mkdir mkdir remote-path SFTP 客户端视图缺省级别 3: 管理级参数 remote-path: 远程 SFTP 服务器上的目录名描述 mkdir 命令用来在远程 SFTP 服务器上创建新的目录举例 2-7

# 在远程 SFTP 服务器上建立目录 test sftp-client> mkdir test New directory created 2.2.12 put put local-file [ remote-file ] SFTP 客户端视图缺省级别 3: 管理级参数 local-file: 本地的文件名 remote-file: 远程 SFTP 服务器上的文件名描述 put 命令用来将本地的文件上传到远程 SFTP 服务器如果没有指定远程服务器上的文件名, 则认为服务器上的文件与本地文件同名举例 # 将本地 temp.c 文件上传到远程 SFTP 服务器, 并以 temp1.c 文件名保存 sftp-client> put temp.c temp1.c Local file:temp.c ---> Remote file: /temp1.c Uploading file successfully ended 2.2.13 pwd pwd SFTP 客户端视图缺省级别 3: 管理级参数无描述 pwd 命令用来显示远程 SFTP 服务器上的当前工作目录举例 # 显示远程 SFTP 服务器上的当前工作目录 sftp-client> pwd / 2-8

2.2.14 quit quit SFTP 客户端视图缺省级别 3: 管理级参数无描述 quit 命令用来终止与远程 SFTP 服务器的连接, 并退回到用户视图该命令功能与 bye,exit 相同举例 # 终止与远程 SFTP 服务器的连接 sftp-client> quit Bye Connection closed. <Sysname> 2.2.15 remove remove remote-file&<1-10> SFTP 客户端视图缺省级别 3: 管理级参数 remote-file&<1-10>: 服务器上的文件名 &<1-10> 表示最多可以输入 10 个文件名, 每个文件名之间用空格分隔描述 remove 命令用来删除 SFTP 服务器上指定的文件该命令和 delete 功能相同举例 # 删除服务器上的文件 temp.c sftp-client> remove temp.c The following files will be deleted: /temp.c Are you sure to delete it? [Y/N]:y This operation may take a long time.please wait... 2-9

File successfully Removed 2.2.16 rename rename oldname newname SFTP 客户端视图缺省级别 3: 管理级参数 oldname: 原文件名或者目录名 newname: 新文件名或者目录名描述 rename 命令用来改变 SFTP 服务器上指定的文件或者目录的名字举例 # 将 SFTP 服务器上的文件 temp1.c 改名为 temp2.c sftp-client> rename temp1.c temp2.c File successfully renamed 2.2.17 rmdir rmdir remote-path&<1-10> SFTP 客户端视图缺省级别 3: 管理级参数 remote-path&<1-10>: 远程 SFTP 服务器上的目录名 &<1-10> 表示最多可以输入 10 个目录名, 每个文件名之间用空格分隔描述 rmdir 命令用来删除 SFTP 服务器上指定的目录举例 # 删除 SFTP 服务器上当前工作目录下的 temp1 目录 2.2.18 sftp sftp-client> rmdir temp1 Directory successfully removed 2-10

sftp server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * 用户视图缺省级别 3: 管理级参数 server: 服务器 IPv4 地址或主机名称, 为 1~20 个字符的字符串, 不区分大小写 port-number: 服务器端口号, 取值范围为 0~65535, 缺省值为 22 identity-key:publickey 认证采用的公钥算法, 缺省算法为 dsa dsa: 公钥算法为 DSA rsa: 公钥算法为 RSA prefer-ctos-cipher: 客户端到服务器端的首选加密算法, 缺省算法为 aes128 3des:3des-cbc 加密算法 aes128:aes128-cbc 加密算法 des:des-cbc 加密算法 prefer-ctos-hmac: 客户端到服务器端的首选 HMAC 算法, 缺省算法为 sha1-96 md5:hmac 算法 hmac-md5 md5-96:hmac 算法 hmac-md5-96 sha1:hmac 算法 hmac-sha1 sha1-96:hmac 算法 hmac-sha1-96 prefer-kex: 密钥交换首选算法, 缺省算法为 dh-group-exchange dh-group-exchange: 密钥交换算法 diffie-hellman-group-exchange-sha1 dh-group1: 密钥交换算法 diffie-hellman-group1-sha1 dh-group14: 密钥交换算法 diffie-hellman-group14-sha1 prefer-stoc-cipher: 服务器端到客户端的首选加密算法, 缺省算法为 aes128 prefer-stoc-hmac: 服务器端到客户端的首选 HMAC 算法, 缺省算法为 sha1-96 描述 sftp 命令用来与远程 IPv4 SFTP 服务器建立连接, 并进入 SFTP 客户端视图需要注意的是, 当服务器端指定客户端的认证方式为 publickey 认证时, 客户端需要读取本地的私钥进行验证由于 publickey 认证可以采用 RSA 和 DSA 两种加密算法, 所以需要用 identity-key 关键字指定采用的加密算法, 才能得到正确的本地私钥数据缺省情况下, 加密算法为 DSA 举例 # 连接 IP 地址为 10.1.1.2 的 SFTP 服务器, 采用的算法为 : 首选密钥交换算法为 dh-group1; 服务器到客户端的首选加密算法为 aes128; 客户端到服务器的首选 HMAC 算法为 md5; 服务器到客户端的 HMAC 算法为 sha1-96 2-11

<Sysname> sftp 10.1.1.2 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96 Input Username: 2.2.19 sftp client ipv6 source sftp client ipv6 source { ipv6 ipv6-address interface interface-type interface-number } undo sftp client ipv6 source 系统视图缺省级别参数描述举例 3: 管理级 ipv6 ipv6-address: 源 IPv6 地址 interface interface-type interface-number: 源接口类型与源接口编号 sftp client ipv6 source 命令用来为 SFTP 客户端指定源 IPv6 地址或源接口 undo sftp client ipv6 source 命令用来取消指定的源 IPv6 地址或源接口缺省情况下, 客户端用设备路由指定的接口地址访问 SFTP 服务器相关配置可参考命令 display sftp client source # 指定 SFTP 客户端的源 IPv6 地址为 2:2::2:2 [Sysname] sftp client ipv6 source ipv6 2:2::2:2 2.2.20 sftp client source sftp client source { ip ip-address interface interface-type interface-number } undo sftp client source 系统视图缺省级别参数描述 3: 管理级 ip ip-address: 源 IPv4 地址 interface interface-type interface-number: 源接口类型与源接口编号 sftp client source 命令用来为 SFTP 客户端指定源 IPv4 地址或源接口 undo sftp client source 命令用来取消指定的源 IPv4 地址或源接口 2-12

缺省情况下, 客户端用设备路由指定的接口地址访问 SFTP 服务器相关配置可参考命令 display sftp client source 举例 # 指定 SFTP 客户端的源 IP 地址为 192.168.0.1 [Sysname] sftp client source ip 192.168.0.1 2.2.21 sftp ipv6 sftp ipv6 server [ port-number ] [ identity-key { dsa rsa } prefer-ctos-cipher { 3des aes128 des } prefer-ctos-hmac { md5 md5-96 sha1 sha1-96 } prefer-kex { dh-group-exchange dh-group1 dh-group14 } prefer-stoc-cipher { 3des aes128 des } prefer-stoc-hmac { md5 md5-96 sha1 sha1-96 } ] * 用户视图缺省级别 3: 管理级参数 server: 服务器的 IPv6 地址或主机名称, 为 1~46 个字符的字符串, 不区分大小写 port-number: 服务器的端口号, 取值范围为 0~65535, 缺省值为 22 identity-key:publickey 认证采用的公钥算法, 缺省算法为 dsa dsa: 公钥算法为 DSA rsa: 公钥算法为 RSA prefer-ctos-cipher: 客户端到服务器端的首选加密算法, 缺省算法为 aes128 3des:3des-cbc 加密算法 aes128:aes128-cbc 加密算法 des:des-cbc 加密算法 prefer-ctos-hmac: 客户端到服务器端的首选 HMAC 算法, 缺省算法为 sha1-96 md5:hmac 算法 hmac-md5 md5-96:hmac 算法 hmac-md5-96 sha1:hmac 算法 hmac-sha1 sha1-96:hmac 算法 hmac-sha1-96 prefer-kex: 密钥交换首选算法, 缺省算法为 dh-group-exchange dh-group-exchange: 密钥交换算法 diffie-hellman-group-exchange-sha1 dh-group1: 密钥交换算法 diffie-hellman-group1-sha1 dh-group14: 密钥交换算法 diffie-hellman-group14-sha1 prefer-stoc-cipher: 服务器端到客户端的首选加密算法, 缺省算法为 aes128 prefer-stoc-hmac: 服务器端到客户端的首选 HMAC 算法, 缺省算法为 sha1-96 描述 sftp ipv6 命令用来与远程 IPv6 SFTP 服务器建立连接, 并进入 SFTP 客户端视图 2-13

举例需要注意的是, 当服务器端指定客户端的认证方式为 publickey 认证时, 客户端需要读取本地的私钥进行验证由于 publickey 认证可以采用 RSA 和 DSA 两种加密算法, 所以需要用 identity-key 关键字指定采用的加密算法, 才能得到正确的本地私钥数据缺省情况下, 加密算法为 DSA # 连接 IPv6 地址为 2:5::8:9 的 SFTP 服务器, 采用的加密算法为 : 首选密钥交换算法为 dh-group1; 服务器到客户端的首选加密算法为 aes128; 客户端到服务器的首选 HMAC 算法为 md5; 服务器到客户端的 HMAC 算法为 sha1-96 <Sysname> sftp ipv6 2:5::8:9 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96 Input Username: 2-14

目录 1 SSL 配置命令... 1-1 1.1 SSL 配置命令...1-1 1.1.1 ciphersuite... 1-1 1.1.2 client-verify enable... 1-2 1.1.3 close-mode wait... 1-2 1.1.4 display ssl client-policy... 1-3 1.1.5 display ssl server-policy... 1-4 1.1.6 handshake timeout... 1-5 1.1.7 pki-domain... 1-6 1.1.8 prefer-cipher... 1-6 1.1.9 server-verify enable... 1-7 1.1.10 session... 1-8 1.1.11 ssl client-policy... 1-8 1.1.12 ssl server-policy... 1-9 1.1.13 version... 1-9 i

1 SSL 配置命令 1.1 SSL 配置命令 1.1.1 ciphersuite ciphersuite [ rsa_3des_ede_cbc_sha rsa_aes_128_cbc_sha rsa_aes_256_cbc_sha rsa_des_cbc_sha rsa_rc4_128_md5 rsa_rc4_128_sha ] * SSL 服务器端策略视图缺省级别 2: 系统级参数 rsa_3des_ede_cbc_sha: 密钥交换算法采用 RSA 数据加密算法采用 3DES_EDE_CBC MAC 算法采用 SHA rsa_aes_128_cbc_sha: 密钥交换算法采用 RSA 数据加密算法采用 128 位 AES_CBC MAC 算法采用 SHA rsa_aes_256_cbc_sha: 密钥交换算法采用 RSA 数据加密算法采用 256 位 AES_CBC MAC 算法采用 SHA rsa_des_cbc_sha: 密钥交换算法采用 RSA 数据加密算法采用 DES_CBC MAC 算法采用 SHA rsa_rc4_128_md5: 密钥交换算法采用 RSA 数据加密算法采用 128 位的 RC4 MAC 算法采用 MD5 rsa_rc4_128_sha: 密钥交换算法采用 RSA 数据加密算法采用 128 位的 RC4 MAC 算法采用 SHA 描述 ciphersuite 命令用来配置 SSL 服务器端策略支持的加密套件缺省情况下,SSL 服务器端策略支持所有的加密套件需要注意的是 : 如果不指定任何参数, 则 SSL 服务器端策略支持上述所有加密套件如果多次执行本命令, 则新的配置覆盖原有配置相关配置可参考命令 display ssl server-policy 举例 # 指定 SSL 服务器端策略支持的加密套件为 rsa_rc4_128_md5 和 rsa_rc4_128_sha [Sysname] ssl server-policy policy1 [Sysname-ssl-server-policy-policy1] ciphersuite rsa_rc4_128_md5 rsa_rc4_128_sha 1-1

1.1.2 client-verify enable client-verify enable undo client-verify enable SSL 服务器端策略视图缺省级别 2: 系统级参数无描述 client-verify enable 命令用来使能基于证书的 SSL 客户端身份验证, 即在 SSL 握手过程中, 服务器端需要对客户端进行基于证书的身份验证 undo client-verify enable 命令用来恢复缺省情况缺省情况下, 不需要进行基于证书的 SSL 客户端身份验证相关配置可参考命令 display ssl server-policy 举例 # 配置握手过程中, 服务器端需要对客户端进行基于证书的身份验证 [Sysname] ssl server-policy policy1 [Sysname-ssl-server-policy-policy1] client-verify enable 1.1.3 close-mode wait close-mode wait undo close-mode wait SSL 服务器端策略视图缺省级别 2: 系统级参数无描述 close-mode wait 命令用来配置 SSL 连接的关闭模式为 wait 模式, 即发送 close-notify 警告消息给客户端后, 等待客户端的 close-notify 警告消息, 在接收到客户端的 close-notify 警告消息后才能关闭连接 undo close-mode wait 命令用来恢复缺省情况缺省情况下, 服务器发送 close-notify 警告消息给客户端, 不等待客户端的 close-notify 警告消息, 直接关闭连接相关配置可参考命令 display ssl server-policy 1-2

举例 # 设定 SSL 连接的关闭模式为 wait 模式 [Sysname] ssl server-policy policy1 [Sysname-ssl-server-policy-policy1] close-mode wait 1.1.4 display ssl client-policy display ssl client-policy { policy-name all } [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 policy-name: 显示指定的 SSL 客户端策略的信息, 为 1~16 个字符的字符串, 不区分大小写 all: 显示所有 SSL 客户端策略的信息 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display ssl client-policy 命令用来显示 SSL 客户端策略的信息举例 # 显示名为 policy1 的 SSL 客户端策略信息 <Sysname> display ssl client-policy policy1 SSL Client Policy: policy1 SSL Version: SSL 3.0 PKI Domain: 1 Prefer Ciphersuite: RSA_RC4_128_SHA Server-verify: enabled 表 1-1 display ssl client-policy 命令显示信息描述表字段描述 SSL Client Policy SSL 客户端策略名 SSL Version SSL 客户端策略使用的协议版本号, 取值包括 SSL 3.0 和 TLS 1.0 PKI Domain Prefer Ciphersuite SSL 客户端策略使用的 PKI 域 SSL 客户端策略的首选加密套件 1-3

字段描述 Server-verify SSL 客户端策略的服务器验证模式, 取值包括 : disabled: 不需要对服务器端进行身份验证 enabled: 需要对服务器端进行身份验证 1.1.5 display ssl server-policy display ssl server-policy { policy-name all } [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 policy-name: 显示指定的 SSL 服务器端策略的信息, 为 1~16 个字符的字符串, 不区分大小写 all: 显示所有 SSL 服务器端策略的信息 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display ssl server-policy 命令用来显示 SSL 服务器端策略的信息举例 # 显示名为 policy1 的 SSL 服务器端策略的信息 <Sysname> display ssl server-policy policy1 SSL Server Policy: policy1 PKI Domain: domain1 Ciphersuite: RSA_RC4_128_MD5 RSA_RC4_128_SHA RSA_DES_CBC_SHA RSA_3DES_EDE_CBC_SHA RSA_AES_128_CBC_SHA RSA_AES_256_CBC_SHA Handshake Timeout: 3600 Close-mode: wait disabled Session Timeout: 3600 Session Cachesize: 500 Client-verify: disabled 1-4

表 1-2 display ssl server-policy 命令显示信息描述表字段描述 SSL Server Policy PKI Domain Ciphersuite Handshake Timeout SSL 服务器端策略名 SSL 服务器端策略使用的 PKI 域 SSL 服务器端策略支持的加密套件 SSL 服务器端策略的握手连接保持时间, 单位为秒 SSL 服务器端策略的关闭模式, 取值包括 : Close-mode Session Timeout Session Cachesize Client-verify wait disabled:ssl 连接的关闭模式为非 wait 模式, 即服务器发送 close-notify 警告消息给客户端, 不等待客户端的 close-notify 警告消息, 直接关闭连接 wait enabled:ssl 连接的关闭模式为 wait 模式, 即发送 close-notify 警告消息给客户端后, 等待客户端的 close-notify 警告消息, 在接收到客户端的 close-notify 警告消息后才能关闭连接 SSL 服务器端策略会话缓存的超时时间, 单位为秒 SSL 服务器端策略可以缓存的最大会话数目 SSL 服务器端策略的客户端验证模式, 取值包括 : disabled: 不需要对客户端进行身份验证 enabled: 需要对客户端进行身份验证 1.1.6 handshake timeout handshake timeout time undo handshake timeout SSL 服务器端策略视图缺省级别 2: 系统级参数 time: 握手连接的保持时间, 取值范围为 180~7200, 单位为秒描述 handshake timeout 命令用来配置 SSL 服务器端策略的握手连接保持时间 undo handshake timeout 命令用来恢复缺省情况缺省情况下,SSL 服务器端策略的握手连接保持时间为 3600 秒如果 SSL 服务器在握手连接保持时间内没有收到 SSL 客户端的报文, 则 SSL 服务器将终止当前的 SSL 握手过程相关配置可参考命令 display ssl server-policy 举例 # 配置 SSL 服务器端策略的握手连接保持时间为 3000 秒 1-5

[Sysname] ssl server-policy policy1 [Sysname-ssl-server-policy-policy1] handshake timeout 3000 1.1.7 pki-domain pki-domain domain-name undo pki-domain SSL 服务器端策略视图 /SSL 客户端策略视图缺省级别 2: 系统级参数 domain-name:pki 域的域名, 为 1~15 个字符的字符串, 不区分大小写描述 pki-domain 命令用来配置 SSL 服务器端策略或 SSL 客户端策略所使用的 PKI 域 undo pki-domain 命令恢复缺省情况缺省情况下, 没有配置 SSL 服务器端策略和 SSL 客户端策略所使用 PKI 域相关配置可参考命令 display ssl server-policy 和 display ssl client-policy 举例 # 配置 SSL 服务器端策略所使用的 PKI 域为 server-domain [Sysname] ssl server-policy policy1 [Sysname-ssl-server-policy-policy1] pki-domain server-domain # 配置 SSL 客户端策略所使用的 PKI 域为 client-domain [Sysname] ssl client-policy policy1 [Sysname-ssl-client-policy-policy1] pki-domain client-domain 1.1.8 prefer-cipher prefer-cipher { rsa_3des_ede_cbc_sha rsa_aes_128_cbc_sha rsa_aes_256_cbc_sha rsa_des_cbc_sha rsa_rc4_128_md5 rsa_rc4_128_sha } undo prefer-cipher SSL 客户端策略视图缺省级别 2: 系统级参数 1-6

rsa_3des_ede_cbc_sha: 密钥交换算法采用 RSA 数据加密算法采用 3DES_EDE_CBC 算法 MAC 算法采用 SHA rsa_aes_128_cbc_sha: 密钥交换算法采用 RSA 数据加密算法采用 128 位 AES_CBC 算法 MAC 算法采用 SHA rsa_aes_256_cbc_sha: 密钥交换算法采用 RSA 数据加密算法采用 256 位 AES_CBC 算法 MAC 算法采用 SHA rsa_des_cbc_sha: 密钥交换算法采用 RSA 数据加密算法采用 DES_CBC 算法 MAC 算法采用 SHA rsa_rc4_128_md5: 密钥交换算法采用 RSA 数据加密算法采用 128 位的 RC4 算法 MAC 算法采用 MD5 rsa_rc4_128_sha: 密钥交换算法采用 RSA 数据加密算法采用 128 位的 RC4 算法 MAC 算法采用 SHA 描述 prefer-cipher 命令用来配置 SSL 客户端策略的首选加密套件 undo prefer-cipher 命令用来恢复缺省情况缺省情况下,SSL 客户端策略的首选加密套件为 rsa_rc4_128_md5 相关配置可参考命令 display ssl client-policy 举例 # 配置 SSL 客户端策略的首选加密套件为 rsa_aes_128_cbc_sha [Sysname] ssl client-policy policy1 [Sysname-ssl-client-policy-policy1] prefer-cipher rsa_aes_128_cbc_sha 1.1.9 server-verify enable server-verify enable undo server-verify enable SSL 客户端策略视图缺省级别 2: 系统级参数无描述 server-verify enable 命令用来使能基于证书的 SSL 服务器身份验证, 即在 SSL 握手过程中, 客户端需要对服务器端进行基于证书的身份验证 undo server-verify enable 命令用来关闭基于证书的 SSL 服务器身份验证功能, 默认 SSL 服务器身份合法缺省情况下, 需要进行基于证书的 SSL 服务器身份验证相关配置可参考命令 display ssl client-policy 举例 1-7

# 配置握手过程中, 客户端需要对服务器端进行基于证书的身份验证 [Sysname] ssl client-policy policy1 [Sysname-ssl-client-policy-policy1] server-verify enable 1.1.10 session session { cachesize size timeout time } * undo session { cachesize timeout } * SSL 服务器端策略视图缺省级别 2: 系统级参数 cachesize size: 缓存的最大会话数目,size 取值范围为 100~1000 timeout time: 会话缓存的超时时间,time 取值范围为 1800~72000, 单位为秒描述 session 命令用来配置缓存的最大会话数目和会话缓存的超时时间 undo session 命令用来恢复缓存的最大会话数目或会话缓存超时时间为缺省情况缺省情况下, 缓存的最大会话数目为 500 个, 会话缓存的超时时间为 3600 秒通过 SSL 握手协议协商会话参数并建立会话的过程比较复杂为了简化 SSL 握手过程,SSL 允许重用已经协商过的会话参数建立会话为此,SSL 服务器上需要保存已有的会话信息保存的会话信息的数目和保存时间具有一定的限制 : 如果缓存的会话数目达到最大值,SSL 将拒绝缓存新的会话 ; 会话保存的时间超过设定的时间后,SSL 将删除该会话的信息相关配置可参考命令 display ssl server-policy 举例 # 配置会话缓存的超时时间为 4000 秒, 缓存的最大会话数目为 600 个 [Sysname] ssl server-policy policy1 [Sysname-ssl-server-policy-policy1] session timeout 4000 cachesize 600 1.1.11 ssl client-policy ssl client-policy policy-name undo ssl client-policy { policy-name all } 系统视图缺省级别 2: 系统级 1-8

参数 policy-name:ssl 客户端策略名, 为 1~16 个字符的字符串, 不区分大小写, 该字符串不能是 a, al 和 all all: 所有 SSL 客户端策略描述 ssl client-policy 命令用来创建 SSL 客户端策略, 并进入 SSL 客户端策略视图 undo ssl client-policy 命令用来删除已创建的 SSL 客户端策略相关配置可参考命令 display ssl client-policy 举例 # 创建名为 policy1 的 SSL 客户端策略, 并进入该 SSL 客户端策略视图 [Sysname] ssl client-policy policy1 [Sysname-ssl-client-policy-policy1] 1.1.12 ssl server-policy ssl server-policy policy-name undo ssl server-policy { policy-name all } 系统视图缺省级别 2: 系统级参数 policy-name:ssl 服务器端策略名, 为 1~16 个字符的字符串, 不区分大小写, 该字符串不能是 a, al 和 all all: 所有的 SSL 服务器端策略描述 ssl server-policy 命令用来创建 SSL 服务器端策略, 并进入 SSL 服务器端策略视图 undo ssl server-policy 命令用来删除已创建的 SSL 服务器端策略需要注意的是,SSL 服务器端策略与应用层协议关联后, 无法删除该策略相关配置可参考命令 display ssl server-policy 举例 # 创建名为 policy1 的 SSL 服务器端策略, 并进入该 SSL 服务器端策略视图 [Sysname] ssl server-policy policy1 [Sysname-ssl-server-policy-policy1] 1.1.13 version version { ssl3.0 tls1.0 } 1-9

undo version SSL 客户端策略视图缺省级别 2: 系统级参数 ssl3.0: 版本号为 SSL 3.0 tls1.0: 版本号为 TLS 1.0 描述 version 命令用来配置 SSL 客户端策略使用的 SSL 协议版本 undo version 命令恢复缺省情况缺省情况下,SSL 客户端策略使用的 SSL 协议版本号为 TLS 1.0 相关配置可参考命令 display ssl client-policy 举例 # 配置 SSL 客户端策略使用的 SSL 协议版本号为 SSL 3.0 [Sysname] ssl client-policy policy1 [Sysname-ssl-client-policy-policy1] version ssl3.0 1-10

目录 1 TCP 攻击防御配置命令... 1-1 1.1 TCP 攻击防御配置命令... 1-1 1.1.1 display tcp status... 1-1 1.1.2 tcp anti-naptha enable... 1-1 1.1.3 tcp state... 1-2 1.1.4 tcp syn-cookie enable... 1-3 1.1.5 tcp timer check-state... 1-3 i

1 TCP 攻击防御配置命令 1.1 TCP 攻击防御配置命令 1.1.1 display tcp status display tcp status [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display tcp status 命令用来显示所有 TCP 连接的状态, 使用户随时监控 TCP 连接举例 # 显示所有 TCP 连接状态 <Sysname> display tcp status *: TCP MD5 Connection TCPCB Local Add:port Foreign Add:port State 03e37dc4 0.0.0.0:4001 0.0.0.0:0 Listening 04217174 100.0.0.204:23 100.0.0.253:65508 Established 表 1-1 display tcp status 命令显示信息描述表字段 *: TCP MD5 Connection TCPCB Local Add:port Foreign Add:port State 描述如果某个连接前有星号标识, 则表示该 TCP 连接是采用 MD5 加密算法认证的连接 TCP 控制块本端 IP 地址及端口号对端 IP 地址及端口号 TCP 连接的状态 1.1.2 tcp anti-naptha enable tcp anti-naptha enable 1-1

undo tcp anti-naptha enable 系统视图缺省级别 2: 系统级参数无描述 tcp anti-naptha enable 命令用来使能防止 Naptha 攻击功能 undo tcp anti-naptha enable 命令用来关闭防止 Naptha 攻击功能缺省情况下, 防止 Naptha 攻击功能处于关闭状态需要注意的是, 关闭防止 Naptha 攻击功能后,tcp state 命令和 tcp timer check-state 命令的配置都会被删除举例 # 使能防止 Naptha 攻击功能 [Sysname] tcp anti-naptha enable 1.1.3 tcp state tcp state { closing established fin-wait-1 fin-wait-2 last-ack syn-received } connection-number number undo tcp state { closing established fin-wait-1 fin-wait-2 last-ack syn-received } connection-number 系统视图缺省级别 2: 系统级参数 closing:tcp 连接的 CLOSING 状态 established:tcp 连接的 ESTABLISHED 状态 fin-wait-1:tcp 连接的 FIN_WAIT_1 状态 fin-wait-2:tcp 连接的 FIN_WAIT_2 状态 last-ack:tcp 连接的 LAST_ACK 状态 syn-received:tcp 连接的 SYN_RECEIVED 状态 connection-number number: 处于某个状态的最大 TCP 连接数 number 的取值范围为 0~500 描述 tcp state 命令用来配置某一状态下的最大 TCP 连接数, 连接数目超过最大连接数后, 将加速该状态下 TCP 连接的老化 undo tcp state 命令用来恢复缺省情况缺省情况下, 六种状态下的最大 TCP 连接数均为 5 需要注意的是, 1-2

配置本命令前, 需要先使能防止 Naptha 攻击功能, 否则会提示错误 ; 可以分别配置六种状态下的最大连接数 ; 如果某一状态下的最大连接数为 0, 则表示不会加速该状态下 TCP 连接的老化相关配置可参考命令 tcp anti-naptha enable 举例 # 配置 ESTABLISHED 状态下的最大 TCP 连接数为 100 [Sysname] tcp anti-naptha enable [Sysname] tcp state established connection-number 100 1.1.4 tcp syn-cookie enable tcp syn-cookie enable undo tcp syn-cookie enable 系统视图缺省级别 2: 系统级参数无描述 tcp syn-cookie enable 命令用来使能 SYN Cookie 功能, 防止设备受到 SYN Flood 攻击 undo tcp syn-cookie enble 命令用来关闭 SYN Cookie 功能缺省情况下,SYN Cookie 功能处于使能状态举例 # 使能 SYN Cookie 功能 [Sysname] tcp syn-cookie enable 1.1.5 tcp timer check-state tcp timer check-state time-value undo tcp timer check-state 系统视图缺省级别 2: 系统级参数 time-value:tcp 连接状态的轮询检测时间间隔, 取值范围为 1~60, 单位为秒描述 1-3

tcp timer check-state 命令用来配置 TCP 连接状态的轮询检测时间间隔 undo tcp timer check-state 命令用来恢复缺省情况缺省情况下,TCP 连接状态的轮询检测时间间隔为 30 秒设备周期性地检测处于六种状态的 TCP 连接数, 如果检测到某个状态的 TCP 连接数目超过设定的最大连接数时, 则加速该状态下 TCP 连接的老化需要注意的是, 配置本命令前, 需要先使能防止 Naptha 攻击功能, 否则会提示错误相关配置可参考命令 tcp anti-naptha enable 举例 # 配置 TCP 连接状态的轮询检测时间间隔为 40 秒 [Sysname] tcp anti-naptha enable [Sysname] tcp timer check-state 40 1-4

目录 1 IP Source Guard 配置命令... 1-1 1.1 IP Source Guard 配置命令... 1-1 1.1.1 display ip check source... 1-1 1.1.2 display user-bind... 1-2 1.1.3 ip check source... 1-4 1.1.4 user-bind... 1-4 i

1 IP Source Guard 配置命令 1.1 IP Source Guard 配置命令 1.1.1 display ip check source display ip check source [ ipv6 ] [ interface interface-type interface-number ip-address ip-address mac-address mac-address ] [ slot slot-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 ipv6: 显示 IPv6 动态绑定表项如果不指定该参数, 则表示显示 IPv4 动态绑定表项 interface interface-type interface-number: 显示指定端口的动态绑定表项其中 interface-type interface-number 表示绑定的端口类型和端口编号 ip-address ip-address: 显示指定 IP 地址的动态绑定表项其中 ip-address 表示绑定的 IP 地址 mac-address mac-address: 显示指定 MAC 地址的动态绑定表项其中 mac-address 表示绑定的 MAC 地址, 格式为 H-H-H slot slot-number: 显示指定成员设备的动态绑定表项 slot-number 表示 IRF 中设备的成员编号, 取值范围请以设备的实际情况为准, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display ip check source 命令用来显示动态绑定表项信息需要注意的是 : 如果不指定任何参数, 则显示所有端口的 IPv4 动态绑定表项如果既不指定端口号, 也不指定成员设备编号, 则显示所有端口的动态绑定表项, 对于全局口 ( 例如 VLAN 接口 ) 上生成的动态绑定表项, 则仅显示当前 IRF 系统中 Master 设备的表项相关配置可参考命令 ip check source 举例 1-1

# 显示所有 IPv4 动态绑定表项 <Sysname> display ip check source Total entries found: 5 MAC Address IP Address VLAN Interface Type 040a-0000-4000 10.1.0.9 2 GE1/0/1 DHCP-SNP 040a-0000-3000 10.1.0.8 2 GE1/0/1 DHCP-SNP 040a-0000-2000 10.1.0.7 2 GE1/0/1 DHCP-SNP 040a-0000-1000 10.1.0.6 N/A GE1/0/2 DHCP-RLY 040a-0000-0000 N/A N/A GE1/0/2 DHCP-RLY # 显示所有 IPv6 动态绑定表项 <Sysname> display ip check source ipv6 Total entries found: 2 MAC Address IP Address VLAN Interface Type 040a-0000-0001 2001::1 2 GE1/0/1 DHCPv6-SNP 040a-0000-0002 2001::2 6 GE1/0/2 ND-SNP 表 1-1 display ip check source 命令显示信息描述表字段描述 Total entries found: 查询到的绑定条目总数 MAC Address 动态绑定表项的 MAC 地址 (N/A 表示该表项不绑定 MAC 地址 ) IP Address 动态绑定表项的 IP 地址 (N/A 表示该表项不绑定 IP 地址 ) VLAN 动态绑定表项所属的 VLAN(N/A 表示该表项中没有 VLAN 信息 ) Interface 动态绑定表项所属的接口动态绑定表项的类型 Type DHCP-SNP:DHCP Snooping 表项 DHCP-RLY:DHCP Relay 表项 DHCPv6-SNP:DHCPv6 Snooping 表项 ND-SNP:ND Snooping 表项 IP Source Guard 通过获取以上各类型的表项生成动态绑定表项 1.1.2 display user-bind display user-bind [ ipv6 ] [ interface interface-type interface-number ip-address ip-address mac-address mac-address ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 ipv6: 显示 IPv6 静态绑定表项如果不指定该参数, 则显示 IPv4 静态绑定表项 interface interface-type interface-number: 显示指定端口的静态绑定表项其中 interface-type interface-number 表示绑定的端口类型和端口编号 1-2

ip-address ip-address: 显示指定 IP 地址的静态绑定表项其中 ip-address 表示绑定的 IP 地址 mac-address mac-address: 显示指定 MAC 地址的静态绑定表项其中 mac-address 表示绑定的 MAC 地址, 格式为 H-H-H : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 配置 begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display user-bind 命令用来显示静态绑定表项信息需要注意的是, 如果不指定任何参数, 则显示所有端口的 IPv4 静态绑定表项相关配置可参考命令 user-bind 举例 # 显示所有 IPv4 静态绑定表项 <Sysname> display user-bind Total entries found: 4 MAC Address IP Address VLAN Interface Type N/A 1.1.1.1 N/A GE1/0/1 Static 0001-0001-0001 2.2.2.2 200 GE1/0/1 Static 0003-0003-0003 N/A N/A GE1/0/1 Static 0004-0004-0004 4.4.4.4 N/A GE1/0/1 Static # 显示所有 IPv6 静态绑定表项 <Sysname> display user-bind ipv6 Total entries found: 3 MAC Address IP Address VLAN Interface Type 0001-0001-0011 2002::1 200 GE1/0/1 Static_IPv6 N/A 2002::2 200 GE1/0/1 Static_IPv6 0002-0002-0022 N/A 200 GE1/0/1 Static_IPv6 表 1-2 display user-bind 命令显示信息描述表字段描述 Total entries found: 查询到的绑定条目总数 MAC Address 静态绑定表项的 MAC 地址 (N/A 表示没有配置 MAC 地址 ) IP Address 静态绑定表项的 IP 地址 (N/A 表示没有配置 IP 地址 ) VLAN Interface Type 静态绑定表项的 VLAN(N/A 表示没有配置 VLAN) 静态绑定表项的接口绑定表项的类型 Static:IPv4 静态绑定表项 Static_IPv6:IPv6 静态绑定表项 1-3

1.1.3 ip check source ip check source [ ipv6 ] { ip-address ip-address mac-address mac-address } undo ip check source [ ipv6 ] 二层以太网端口视图 /VLAN 接口视图缺省级别 2: 系统级参数 ipv6: 表示通过动态获取的绑定表项过滤 IPv6 报文如果不指定该参数, 则表示通过动态获取的绑定表项过滤 IPv4 报文 ip-address: 表示绑定源 IP 地址 ip-address mac-address: 表示绑定源 IP 地址和 MAC 地址 mac-address: 表示绑定源 MAC 地址描述 ip check source 命令用来配置动态绑定功能 undo ip check source 命令用来恢复缺省情况缺省情况下, 端口的动态绑定功能处于关闭状态需要注意的是 : 端口如果加入聚合组, 则不能配置端口的动态绑定功能 IPv6 动态绑定功能只能在二层以太网端口视图下配置相关配置可参考命令 display ip check source 举例 # 在二层以太网端口 GigabitEthernet1/0/1 上配置对报文的源 IP 和 MAC 地址的 IPv4 动态绑定功能, 获取端口上动态生成的 DHCP Snooping 表项对端口转发的报文进行过滤 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] ip check source ip-address mac-address # 在 Vlan-interface100 上配置对报文的源 IP 和 MAC 地址的 IPv4 动态绑定功能, 获取端口上动态生成的 DHCP Relay 表项对端口转发的报文进行过滤 [Sysname] interface vlan-interface 100 [Sysname-Vlan-interface100] ip check source ip-address mac-address # 在二层以太网端口 GigabitEthernet1/0/1 上配置对报文的源 IP 和 MAC 地址的 IPv6 动态绑定功能, 获取端口上动态生成的 DHCPv6 Snooping 和 ND Snooping 表项, 并对端口转发的报文进行过滤 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] ip check source ipv6 ip-address mac-address 1.1.4 user-bind 1-4

user-bind [ ipv6 ] { ip-address ip-address ip-address ip-address mac-address mac-address mac-address mac-address } [ vlan vlan-id ] undo user-bind [ ipv6 ] { ip-address ip-address ip-address ip-address mac-address mac-address mac-address mac-address } [ vlan vlan-id ] 二层以太网端口视图缺省级别参数描述举例 2: 系统级 ipv6: 表示 IPv6 静态绑定表项如果不指定该参数, 则表示 IPv4 静态绑定表项 ip-address ip-address: 指定静态绑定表项的 IP 地址其中 ip-address 表示绑定的 IP 地址, 对于 ipv4 地址, 必须为 A B C 三类地址之一, 不能为 127.x.x.x 和 0.0.0.0 对于 IPv6 地址, 不能为全 0 地址组播地址环回地址 mac-address mac-address: 指定静态绑定表项的 MAC 地址其中 mac-address 表示绑定的 MAC 地址, 格式为 H-H-H, 取值不能为全 0 全 F( 广播 MAC) 和组播 MAC vlan vlan-id: 指定静态绑定表项的 VLAN 其中 vlan-id 表示绑定的 VLAN ID, 取值范围为 1~4094 user-bind 命令用来配置静态绑定表项 undo user-bind 命令用来删除当前端口配置的静态绑定表项缺省情况下, 端口上无静态绑定表项需要注意的是 : 一个表项不能在同一个端口上重复绑定, 但可以在不同端口上绑定端口如果加入聚合组, 则不能配置静态绑定表项相关配置可参考命令 display user-bind # 在端口 GigabitEthernet1/0/1 上配置一条 IPv4 静态绑定表项 ( 绑定 IP+MAC) [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0001-0001 # 在端口 GigabitEthernet1/0/1 上配置一条 IPv6 静态绑定表项 ( 绑定 IP+MAC) [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] user-bind ipv6 ip-address 2001::1 mac-address 0002-0002-0002 1-5

目录 1 ARP 攻击防御配置命令... 1-1 1.1 ARP 报文限速配置命令... 1-1 1.1.1 arp rate-limit... 1-1 1.2 源 MAC 地址固定的 ARP 攻击检测配置命令... 1-1 1.2.1 arp anti-attack source-mac... 1-1 1.2.2 arp anti-attack source-mac aging-time... 1-2 1.2.3 arp anti-attack source-mac exclude-mac... 1-2 1.2.4 arp anti-attack source-mac threshold... 1-3 1.2.5 display arp anti-attack source-mac... 1-3 1.3 ARP 报文源 MAC 地址一致性检查配置命令... 1-4 1.3.1 arp anti-attack valid-check enable... 1-4 1.4 ARP 主动确认配置命令... 1-5 1.4.1 arp anti-attack active-ack enable... 1-5 1.5 ARP Detection 配置命令... 1-5 1.5.1 arp detection enable... 1-5 1.5.2 arp detection trust... 1-6 1.5.3 arp detection validate... 1-6 1.5.4 arp restricted-forwarding enable... 1-7 1.5.5 display arp detection... 1-8 1.5.6 display arp detection statistics... 1-8 1.5.7 reset arp detection statistics... 1-9 1.6 ARP 网关保护配置命令... 1-10 1.6.1 arp filter source... 1-10 1.7 ARP 过滤保护配置命令... 1-10 1.7.1 arp filter binding... 1-10 i

1 ARP 攻击防御配置命令 1.1 ARP 报文限速配置命令 1.1.1 arp rate-limit arp rate-limit { disable rate pps drop } undo arp rate-limit 二层以太网端口视图 / 二层聚合接口视图缺省级别 2: 系统级参数 disable: 不进行限速 rate pps:arp 限速速率, 单位为包每秒 (pps), 取值范围为 5~100 drop: 丢弃超出限速部分的报文描述 arp rate-limit 命令用来开启 ARP 报文限速功能, 可以配置端口 ARP 报文限速速率, 配置对超速 ARP 报文的处理, 或者配置取消 ARP 报文限速 undo arp rate-limit 命令用来恢复缺省情况缺省情况下,ARP 报文限速功能处于关闭状态举例 # 配置二层以太网端口 GigabitEthernet1/0/1 端口 ARP 报文限速为 50pps, 超过限速部分的报文丢弃 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] arp rate-limit rate 50 drop 1.2 源 MAC 地址固定的 ARP 攻击检测配置命令 1.2.1 arp anti-attack source-mac arp anti-attack source-mac { filter monitor } undo arp anti-attack source-mac [ filter monitor ] 系统视图缺省级别 2: 系统级参数 filter: 检测到攻击后, 打印 Log 信息, 同时对该源 MAC 地址对应的 ARP 报文进行过滤 1-1

monitor: 检测到攻击后, 只打印 Log 信息, 不对该源 MAC 地址对应的 ARP 报文进行过滤描述 arp anti-attack source-mac 命令用来使能源 MAC 地址固定的 ARP 攻击检测功能, 并选择检查模式 undo arp anti-attack source-mac 命令用来恢复缺省情况缺省情况下, 源 MAC 地址固定的 ARP 攻击检测功能处于关闭状态使能源 MAC 地址固定的 ARP 攻击检测之后, 该特性会对上送 CPU 的 ARP 报文按照源 MAC 地址和 VLAN 进行统计当在一定时间 (5 秒 ) 内收到某固定源 MAC 地址的 ARP 报文超过设定的阈值, 不同模式的处理方式存在差异 : 在 filter 模式下会打印 Log 信息并对该源 MAC 地址对应的 ARP 报文进行过滤 ; 在 monitor 模式下只打印 Log 信息, 不过滤 ARP 报文需要注意的是, 如果 undo 命令中没有指定检查模式, 则关闭任意检查模式的源 MAC 地址固定的 ARP 攻击检测功能举例 # 使能源 MAC 地址固定的 ARP 攻击检测功能, 并选择 filter 检查模式 [Sysname] arp anti-attack source-mac filter 1.2.2 arp anti-attack source-mac aging-time arp anti-attack source-mac aging-time time undo arp anti-attack source-mac aging-time 系统视图缺省级别 2: 系统级参数 time: 源 MAC 地址固定的 ARP 攻击检测表项的老化时间, 取值范围为 60~6000, 单位为秒描述 arp anti-attack source-mac aging-time 命令用来配置源 MAC 地址固定的 ARP 攻击检测表项的老化时间 undo arp anti-attack source-mac aging-time 命令用来恢复缺省情况缺省情况下, 源 MAC 地址固定的 ARP 攻击检测表项的老化时间为 300 秒, 即 5 分钟举例 # 配置源 MAC 地址固定的 ARP 攻击检测表项的老化时间为 60 秒 [Sysname] arp anti-attack source-mac aging-time 60 1.2.3 arp anti-attack source-mac exclude-mac arp anti-attack source-mac exclude-mac mac-address&<1-10> undo arp anti-attack source-mac exclude-mac [ mac-address&<1-10> ] 系统视图缺省级别 1-2

2: 系统级参数 mac-address&<1-10>:mac 地址列表其中,mac-address 表示配置的保护 MAC 地址, 格式为 H-H-H &<1-10> 表示每次最多可以配置的保护 MAC 地址个数描述 arp anti-attack source-mac exclude-mac 命令用来配置保护 MAC 地址当配置了保护 MAC 地址之后, 即使该 ARP 报文中的 MAC 地址存在攻击也不会被检测过滤 undo arp anti-attack source-mac exclude-mac 命令用来取消配置的保护 MAC 地址缺省情况下, 没有配置任何保护 MAC 地址需要注意的是, 如果 undo 命令中没有指定 MAC 地址, 则取消所有配置的保护 MAC 地址举例 # 配置源 MAC 地址固定的 ARP 攻击检查的保护 MAC 地址为 2-2-2 [Sysname] arp anti-attack source-mac exclude-mac 2-2-2 1.2.4 arp anti-attack source-mac threshold arp anti-attack source-mac threshold threshold-value undo arp anti-attack source-mac threshold 系统视图缺省级别 2: 系统级参数 threshold-value: 固定时间内源 MAC 地址固定的 ARP 报文攻击检测的阈值, 单位为报文个数, 取值范围为 10~100 描述 arp anti-attack source-mac threshold 命令用来配置源 MAC 地址固定的 ARP 报文攻击检测阈值, 当在固定的时间 (5 秒 ) 内收到源 MAC 地址固定的 ARP 报文超过该阈值则认为存在攻击 undo arp anti-attack source-mac threshold 命令用来恢复缺省情况缺省情况下, 源 MAC 固定 ARP 报文攻击检测阈值为 50 举例 # 配置源 MAC 地址固定的 ARP 报文攻击检测阈值为 30 个 [Sysname] arp anti-attack source-mac threshold 30 1.2.5 display arp anti-attack source-mac display arp anti-attack source-mac { slot slot-number interface interface-type interface-number } [ { begin exclude include } regular-expression ] 任意视图 1-3

缺省级别 1: 监控级参数 interface interface-type interface-number: 显示指定接口检测到的源 MAC 地址固定的 ARP 攻击检测表项 slot slot-number: 显示 IRF 系统中指定设备上检测到的源 MAC 地址固定的 ARP 攻击检测表项 slot-number 表示 IRF 中设备的成员编号, 取值范围取决于当前 IRF 中的成员数量和编号情况, 可使用 display irf 命令查看如果未形成 IRF, 则 slot-number 为当前设备编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display arp anti-attack source-mac 命令用来显示检测到的源 MAC 地址固定的 ARP 攻击检测表项举例 # 显示检测到的源 MAC 地址固定的 ARP 攻击检测表项 <Sysname> display arp anti-attack source-mac slot 1 Source-MAC VLAN ID Interface Aging-time 23f3-1122-3344 4094 GE1/0/1 10 23f3-1122-3355 4094 GE1/0/2 30 23f3-1122-33ff 4094 GE1/0/3 25 23f3-1122-33ad 4094 GE1/0/4 30 23f3-1122-33ce 4094 GE1/0/5 2 表 1-1 display arp anti-attack source-mac 命令显示信息描述表字段描述 Source-MAC VLAN ID Interface Aging-time 检测到攻击的源 MAC 地址检测到攻击的 VLAN ID 攻击来源的接口索引 ARP 防攻击策略表项老化剩余时间 1.3 ARP 报文源 MAC 地址一致性检查配置命令 1.3.1 arp anti-attack valid-check enable arp anti-attack valid-check enable undo arp anti-attack valid-check enable 系统视图 1-4

缺省级别 2: 系统级参数无描述 arp anti-attack valid-check enable 命令用来在网关设备上使能 ARP 报文源 MAC 地址一致性检查功能网关使能此功能时, 会对接收的 ARP 报文进行检查, 如果以太网数据帧首部中的源 MAC 地址和 ARP 报文中的源 MAC 地址不同, 则丢弃该报文 undo arp anti-attack valid-check enable 命令用来恢复缺省情况缺省情况下,ARP 报文源 MAC 地址一致性检查功能处于关闭状态举例 # 使能 ARP 报文源 MAC 地址一致性检查功能 [Sysname] arp anti-attack valid-check enable 1.4 ARP 主动确认配置命令 1.4.1 arp anti-attack active-ack enable arp anti-attack active-ack enable undo arp anti-attack active-ack enable 系统视图缺省级别 2: 系统级参数无描述 arp anti-attack active-ack enable 命令用来使能 ARP 主动确认功能 undo arp anti-attack active-ack enable 命令用来恢复缺省情况缺省情况下,ARP 主动确认功能处于关闭状态 ARP 的主动确认功能主要应用于网关设备上, 防止攻击者仿冒用户欺骗网关设备举例 # 使能 ARP 主动确认功能 [Sysname] arp anti-attack active-ack enable 1.5 ARP Detection 配置命令 1.5.1 arp detection enable arp detection enable 1-5

undo arp detection enable VLAN 视图缺省级别 2: 系统级参数无描述 arp detection enable 命令用来使能 ARP Detection 功能, 即对 ARP 报文进行用户合法性检查 undo arp detection enable 命令用来恢复缺省情况缺省情况下,ARP Detection 功能处于关闭状态举例 # 使能 ARP Detection 功能 [Sysname] vlan 1 [Sysname-Vlan1] arp detection enable 1.5.2 arp detection trust arp detection trust undo arp detection trust 二层以太网端口视图 / 二层聚合接口视图缺省级别 2: 系统级参数无描述 arp detection trust 命令用来配置端口为 ARP 信任端口 undo arp detection trust 命令用来恢复缺省情况缺省情况下, 端口为 ARP 非信任端口举例 # 配置二层以太网端口 GigabitEthernet1/0/1 为 ARP 信任端口 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] arp detection trust 1.5.3 arp detection validate arp detection validate { dst-mac ip src-mac } * undo arp detection validate [ dst-mac ip src-mac ] * 1-6

系统视图缺省级别 2: 系统级参数 dst-mac: 检查 ARP 应答报文中的目的 MAC 地址, 是否为全 0 或者全 1, 是否和以太网报文头中的目的 MAC 地址一致全 0 全 1 不一致的报文都是无效的, 无效的报文需要被丢弃 ip: 检查 ARP 报文源 IP 和目的 IP 地址, 全 0 全 1 或者组播 IP 地址都是不合法的, 需要丢弃对于 ARP 应答报文, 源 IP 和目的 IP 地址都进行检查 ; 对于 ARP 请求报文, 只检查源 IP 地址 src-mac: 检查 ARP 报文中的源 MAC 地址和以太网报文头中的源 MAC 地址是否一致, 一致认为有效, 否则丢弃描述 arp detection validate 命令用来使能对 ARP 报文的目的或源 MAC 地址 IP 地址的有效性检查使能有效性检查时可以指定某一种检查方式也可以配置成多种检查方式的组合 undo arp detection validate 命令用来关闭对 ARP 报文的有效性检查关闭时可以指定关闭某一种或多种检查, 在不指定检查方式时, 表示关闭所有有效性检查缺省情况下,ARP 报文有效性检查功能处于关闭状态举例 # 使能对 ARP 报文的 MAC 地址和 IP 地址的有效性检查 [Sysname] arp detection validate dst-mac src-mac ip 1.5.4 arp restricted-forwarding enable arp restricted-forwarding enable undo arp restricted-forwarding enable VLAN 视图缺省级别 2: 系统级参数无描述 arp restricted-forwarding enable 命令用来使能 ARP 报文强制转发功能 undo arp restricted-forwarding enable 命令用来关闭 ARP 报文强制转发功能缺省情况下,ARP 报文强制转发功能处于关闭状态举例 # 使能 VLAN 1 的 ARP 报文强制转发功能 [Sysname] vlan 1 [Sysname-vlan1] arp restricted-forwarding enable 1-7

1.5.5 display arp detection display arp detection [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display arp detection 命令用来显示使能了 ARP Detection 功能的 VLAN 相关配置可参考 arp detection enable 举例 # 显示所有使能了 ARP Detection 功能的 VLAN <Sysname> display arp detection ARP detection is enabled in the following VLANs: 1, 2, 4-5 表 1-2 display arp detection 命令显示信息描述表字段 ARP detection is enabled in the following VLANs 描述使能了 ARP Detection 功能的 VLAN 1.5.6 display arp detection statistics display arp detection statistics [ interface interface-type interface-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 interface interface-type interface-number : 显示指定接口的统计信息 interface-type interface-number 用来指定接口类型和编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI 1-8

begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display arp detection statistics 命令用来显示 ARP Detection 功能报文检查的丢弃计数的统计信息按端口显示用户合法性检查, 报文有效性检查和 ARP 报文上送限速的统计情况, 只显示丢弃的情况不指定端口时, 显示所有端口的统计信息举例 # 显示 ARP Detection 功能报文检查的丢弃计数的统计信息 <Sysname> display arp detection statistics State: U-Untrusted T-Trusted ARP packets dropped by ARP inspect checking: Interface(State) IP Src-MAC Dst-MAC Inspect GE1/0/1(U) 40 0 0 78 GE1/0/2(U) 0 0 0 0 GE1/0/3(T) 0 0 0 0 GE1/0/4(U) 0 0 30 0 表 1-3 display arp detection statistics 命令显示信息描述表字段 Interface(State) IP Src-MAC Dst-MAC Inspect 描述 ARP 报文入接口,State 表示该接口的信任状态 ARP 报文源和目的 IP 地址检查不通过丢弃的报文计数 ARP 报文源 MAC 地址检查不通过丢弃的报文计数 ARP 报文目的 MAC 地址检查不通过丢弃的报文计数 ARP 报文结合用户合法性检查不通过丢弃的报文计数 1.5.7 reset arp detection statistics reset arp detection statistics [ interface interface-type interface-number ] 用户视图缺省级别 2: 系统级参数 interface interface-type interface-number: 表示清除指定接口下的统计信息 interface-type interface-number 用来指定接口类型和编号描述 reset arp detection statistics 命令用来清除 ARP Detection 的统计信息不指定接口时, 清除所有的 ARP Detection 统计信息举例 # 清除所有的 ARP Detection 统计信息 1-9

<Sysname> reset arp detection statistics 1.6 ARP 网关保护配置命令 1.6.1 arp filter source arp filter source ip-address undo arp filter source ip-address 二层以太网端口视图 / 二层聚合接口视图缺省级别 2: 系统级参数 ip-address: 被保护的网关 IP 地址描述 arp filter source 命令用来开启 ARP 网关保护功能, 配置被保护的网关 IP 地址 undo arp filter source 命令用来删除已配置的被保护网关 IP 地址缺省情况下,ARP 网关保护功能处于关闭状态需要注意的是 : 每个端口最多支持配置 8 个被保护的网关 IP 地址不能在同一端口下同时配置命令 arp filter source 和 arp filter binding 举例 # 在 GigabitEthernet1/0/1 下开启 ARP 网关保护功能, 被保护的网关 IP 地址为 1.1.1.1 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] arp filter source 1.1.1.1 1.7 ARP 过滤保护配置命令 1.7.1 arp filter binding arp filter binding ip-address mac-address undo arp filter binding ip-address 二层以太网端口视图 / 二层聚合接口视图缺省级别 2: 系统级参数 ip-address: 允许通过的 ARP 报文的源 IP 地址 mac-address: 允许通过的 ARP 报文的源 MAC 地址描述 1-10

arp filter binding 命令用来开启 ARP 过滤保护功能, 限制只有特定源 IP 地址和源 MAC 地址的 ARP 报文才允许通过 undo arp filter binding 命令用来删除已配置的被允许通过的 ARP 报文的源 IP 地址和源 MAC 地址缺省情况下,ARP 过滤保护功能处于关闭状态需要注意的是 : 每个端口最多支持配置 8 组允许通过的 ARP 报文的源 IP 地址和源 MAC 地址不能在同一端口下同时配置命令 arp filter source 和 arp filter binding 举例 # 在 GigabitEthernet1/0/1 下开启 ARP 过滤保护功能, 允许源 IP 地址为 1.1.1.1 源 MAC 地址为 2-2-2 的 ARP 报文通过 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] arp filter binding 1.1.1.1 2-2-2 1-11

目录 1 ND 攻击防御配置命令... 1-1 1.1 ND 协议报文源 MAC 地址一致性检查配置命令... 1-1 1.1.1 ipv6 nd mac-check enable... 1-1 1.2 ND Detection 配置命令... 1-1 1.2.1 display ipv6 nd detection... 1-1 1.2.2 display ipv6 nd detection statistics... 1-2 1.2.3 ipv6 nd detection enable... 1-3 1.2.4 ipv6 nd detection trust... 1-3 1.2.5 reset ipv6 nd detection statistics... 1-4 i

1 ND 攻击防御配置命令 1.1 ND 协议报文源 MAC 地址一致性检查配置命令 1.1.1 ipv6 nd mac-check enable ipv6 nd mac-check enable undo ipv6 nd mac-check enable 系统视图缺省级别 2: 系统级参数无描述 ipv6 nd mac-check enable 命令用来在网关设备上使能 ND 协议报文源 MAC 地址一致性检查功能在网关使能此功能后, 会对接收的 ND 协议报文进行检查, 如果 ND 协议报文中的源 MAC 地址和源链路层选项地址中的 MAC 地址不同, 则丢弃该报文 undo ipv6 nd mac-check enable 命令用来关闭 ND 协议报文源 MAC 地址一致性检查功能缺省情况下,ND 协议报文源 MAC 地址一致性检查功能处于关闭状态举例 # 使能 ND 协议报文源 MAC 地址一致性检查功能 [Sysname] ipv6 nd mac-check enable 1.2 ND Detection 配置命令 1.2.1 display ipv6 nd detection display ipv6 nd detection [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 1-1

regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display ipv6 nd detection 命令用来显示 ND Detection 的配置信息相关配置可参考命令 ipv6 nd detection enable 和 ipv6 nd detection trust 举例 # 显示 ND Detection 配置信息 <Sysname> display ipv6 nd detection ND detection is enabled on the following VLANs: 1, 2, 4-5 ND detection trust is configured on the following interfaces: GigabitEthernet 1/0/1 GigabitEthernet 1/0/2 表 1-1 display ipv6 nd detection 命令显示信息描述表字段 ND detection is enabled on the following VLANs ND detection trust is configured on the following interfaces 描述使能了 ND Detection 功能的 VLAN ND 信任端口列表 1.2.2 display ipv6 nd detection statistics display ipv6 nd detection statistics [ interface interface-type interface-number ] [ { begin exclude include } regular-expression ] 任意视图缺省级别 1: 监控级参数 interface interface-type interface-number : 显示指定接口的统计信息 interface-type interface-number 用来指定接口类型和编号 : 使用正则表达式对显示信息进行过滤有关正则表达式的详细介绍, 请参见基础配置指导中的 CLI begin: 从包含指定正则表达式的行开始显示 exclude: 只显示不包含指定正则表达式的行 include: 只显示包含指定正则表达式的行 regular-expression: 表示正则表达式, 为 1~256 个字符的字符串, 区分大小写描述 display ipv6 nd detection statistics 命令用来显示 ND Detection 进行用户合法性检查时丢弃报文的统计信息需要注意的是 : 指定接口时, 只显示该接口丢弃报文的统计信息 ; 不指定接口时, 显示所有接口丢弃报文的统计信息举例 1-2

# 显示 ND Detection 进行用户合法性检查时丢弃报文的统计信息 <Sysname> display ipv6 nd detection statistics ND packets dropped by ND detection: Interface Packets Dropped GE1/0/1 78 GE1/0/2 0 GE1/0/3 0 GE1/0/4 0 表 1-2 display ipv6 nd detection statistics 命令显示信息描述表字段描述 Interface Packets Dropped ND 报文入接口由于用户合法性检查不通过而丢弃的 ND 报文数目 1.2.3 ipv6 nd detection enable ipv6 nd detection enable undo ipv6 nd detection enable VLAN 视图缺省级别 2: 系统级参数无描述 ipv6 nd detection enable 命令用来使能 ND Detection 功能, 即对 ND 报文进行用户合法性检查 undo ipv6 nd detection enable 命令用来关闭 ND Detection 功能缺省情况下,ND Detection 功能处于关闭状态举例 # 使能 VLAN 10 的 ND Detection 功能 [Sysname] vlan 10 [Sysname-vlan10] ipv6 nd detection enable 1.2.4 ipv6 nd detection trust ipv6 nd detection trust undo ipv6 nd detection trust 二层以太网端口视图 / 二层聚合接口视图缺省级别 1-3

2: 系统级参数无描述 ipv6 nd detection trust 命令用来配置端口为 ND 信任端口 undo ipv6 nd detection trust 命令用来配置端口为 ND 非信任端口缺省情况下, 端口为 ND 非信任端口举例 # 配置二层以太网端口 GigabitEthernet 1/0/1 为 ND 信任端口 [Sysname] interface gigabitethernet 1/0/1 [Sysname-GigabitEthernet1/0/1] ipv6 nd detection trust # 配置二层聚合接口 Bridge-Aggregation1 为 ND 信任端口 [Sysname] interface bridge-aggregation 1 [Sysname-Bridge-Aggregation1] ipv6 nd detection trust 1.2.5 reset ipv6 nd detection statistics reset ipv6 nd detection statistics [ interface interface-type interface-number ] 用户视图缺省级别 2: 系统级参数 interface interface-type interface-number : 表示清除指定接口的统计信息 interface-type interface-number 用来指定接口类型和编号描述 reset ipv6 nd detection statistics 命令用来清除 ND Detection 的统计信息不指定接口时, 清除所有的 ND Detection 统计信息举例 # 清除所有的 ND Detection 统计信息 <Sysname> reset ipv6 nd detection statistics 1-4

目 录（目录名）

目录（目录名）