20-AAA-RADIUS-HWTACACS-EAD命令

来源：华佗小知识

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS协议配置命令...................................................................1-1

1.1 AAA配置命令.....................................................................................................................1-1

1.1.1 access-limit..............................................................................................................1-1 1.1.2 attribute...................................................................................................................1-2 1.1.3 accounting...............................................................................................................1-3 1.1.4 accounting optional.................................................................................................1-4 1.1.5 authentication..........................................................................................................1-4 1.1.6 authorization............................................................................................................1-6 1.1.7 cut connection.........................................................................................................1-6 1.1.8 display connection...................................................................................................1-8 1.1.9 display domain......................................................................................................1-10 1.1.10 display local-user................................................................................................1-11 1.1.11 domain.................................................................................................................1-13 1.1.12 idle-cut.................................................................................................................1-13 1.1.13 level.....................................................................................................................1-14 1.1.14 local-user.............................................................................................................1-15 1.1.15 local-user password-display-mode......................................................................1-16 1.1.16 messenger...........................................................................................................1-17 1.1.17 name...................................................................................................................1-18 1.1.18 password.............................................................................................................1-18 1.1.19 radius-scheme.....................................................................................................1-19 1.1.20 scheme................................................................................................................1-20 1.1.21 self-service-url.....................................................................................................1-21 1.1.22 service-type.........................................................................................................1-22 1.1.23 state.....................................................................................................................1-23 1.1.24 vlan-assignment-mode........................................................................................1-24 1.2 RADIUS协议配置命令......................................................................................................1-26

1.2.1 accounting optional...............................................................................................1-26 1.2.2 accounting-on enable............................................................................................1-27 1.2.3 data-flow-format....................................................................................................1-28 1.2.4 display local-server statistics.................................................................................1-29 1.2.5 display radius scheme...........................................................................................1-30 1.2.6 display radius statistics.........................................................................................1-32 1.2.7 display stop-accounting-buffer..............................................................................1-33 1.2.8 key.........................................................................................................................1-34 1.2.9 local-server............................................................................................................1-35 1.2.10 local-server nas-ip...............................................................................................1-36 1.2.11 nas-ip...................................................................................................................1-37 1.2.12 primary accounting..............................................................................................1-38 1.2.13 primary authentication.........................................................................................1-39

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

1.2.14 radius client.........................................................................................................1-40 1.2.15 radius nas-ip........................................................................................................1-40 1.2.16 radius scheme.....................................................................................................1-41 1.2.17 radius trap...........................................................................................................1-42 1.2.18 reset radius statistics...........................................................................................1-43 1.2.19 reset stop-accounting-buffer...............................................................................1-44 1.2.20 retry.....................................................................................................................1-45 1.2.21 retry realtime-accounting.....................................................................................1-45 1.2.22 retry stop-accounting...........................................................................................1-47 1.2.23 secondary accounting.........................................................................................1-47 1.2.24 secondary authentication....................................................................................1-48 1.2.25 server-type..........................................................................................................1-49 1.2.26 state.....................................................................................................................1-50 1.2.27 stop-accounting-buffer enable.............................................................................1-51 1.2.28 timer....................................................................................................................1-52 1.2.29 timer quiet............................................................................................................1-53 1.2.30 timer realtime-accounting....................................................................................1-53 1.2.31 timer response-timeout.......................................................................................1-54 1.2.32 user-name-format................................................................................................1-55 1.3 HWTACACS协议配置命令...............................................................................................1-57

1.3.1 data-flow-format....................................................................................................1-57 1.3.2 display hwtacacs...................................................................................................1-58 1.3.3 display stop-accounting-buffer..............................................................................1-59 1.3.4 hwtacacs nas-ip.....................................................................................................1-60 1.3.5 hwtacacs scheme..................................................................................................1-60 1.3.6 key.........................................................................................................................1-61 1.3.7 nas-ip.....................................................................................................................1-62 1.3.8 primary accounting................................................................................................1-63 1.3.9 primary authentication...........................................................................................1-63 1.3.10 primary authorization...........................................................................................1- 1.3.11 reset hwtacacs statistics.....................................................................................1-65 1.3.12 reset stop-accounting-buffer...............................................................................1-66 1.3.13 retry stop-accounting...........................................................................................1-66 1.3.14 secondary accounting.........................................................................................1-67 1.3.15 secondary authentication....................................................................................1-68 1.3.16 secondary authorization......................................................................................1-69 1.3.17 timer quiet............................................................................................................1-70 1.3.18 timer realtime-accounting....................................................................................1-70 1.3.19 timer response-timeout.......................................................................................1-71 1.3.20 user-name-format................................................................................................1-72

第2章 EAD配置命令..............................................................................................................2-1

2.1 EAD配置命令.....................................................................................................................2-1

2.1.1 security-policy-server..............................................................................................2-1

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

第1章 AAA-RADIUS-HWTACACS协议配置命令

1.1 AAA配置命令

1.1.1 access-limit

【命令】

access-limit { disable | enable max-user-number } undo access-limit

【视图】

ISP域视图

【参数】

disable：表示不当前ISP域可容纳的接入用户数。

enable max-user-number：表示当前ISP域可容纳用户数的最大值，max-user-number的取值范围为1～2072。

【描述】

access-limit命令用来指定当前ISP域可容纳用户数的最大值。 undo access-limit命令用来恢复缺省设置。缺省情况下，不当前ISP域可容纳的用户数。

由于接入用户之间会发生资源的争用，因此适当地配置可接入用户数可以使属于当前ISP域的用户获得可靠的性能保障。

【举例】

# 指定ISP域“aabbc.net”最多可容纳500个接入用户。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain aabbc.net New Domain added.

[H3C-isp-aabbcc.net] access-limit enable 500

1-1

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.1.2 attribute

【命令】

attribute { ip ip-address | mac mac-address | idle-cut second | access-limit max-user-number | vlan vlan-id | location { nas-ip ip-address port port-number | port port-number } }*

undo attribute { ip | mac | idle-cut | access-limit | vlan | location }*

【视图】

本地用户视图

【参数】

ip ip-address：指定用户的IP地址。

mac mac-address：指定用户的MAC地址。其中，mac-address为H-H-H格式。 idle-cut second：允许本地用户启用闲置切断功能。second为设定的闲置切断时间，取值范围60～7200，单位为秒。

access-limit max-user-number：指定可以用当前用户名接入设备的最大用户数。max-user-number取值范围为1～1024。

vlan vlan-id：设置用户的VLAN属性，即设置用户所属于的VLAN，vlan-id为整数，取值范围1～4094。

location：设置用户的端口绑定属性。

nas-ip ip-address：用户远端端口绑定时接入服务器的IP地址，ip-address为IP地址，为点分十进制格式。缺省为127.0.0.1，表示为本机。当指定用户绑定的是远程端口，则该用户必须指定nas-ip参数，若用户绑定的是本地端口，则不需要指定nas-ip参数。

port port-number：设置用户绑定的端口，port-number输入为“设备号/槽号/端口号”样式，其中设备号取值范围为1～8；槽号取值范围为0～15，如绑定的端口没有槽号，对应项输入0即可；端口号取值范围为1～255。

【描述】

attribute命令用来设置服务类型为lan-access用户的一些属性值。 undo attribute命令用来取消对用户属性值的设置。相关配置可参考命令display local-user。

【举例】

# 设置用户user1的IP地址为10.110.50.1。

system-view

1-2

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

System View: return to User View with Ctrl+Z. [H3C] local-user user1 New local user added.

[H3C-luser-user1] attribute ip 10.110.50.1

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.1.3 accounting

【命令】

accounting { none | radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name } undo accounting

【视图】

ISP域视图

【参数】

none：不进行用户计费。

radius-scheme radius-scheme-name：RADIUS方案名，为不超过32个字符的字符串。

hwtacacs-scheme hwtacacs-scheme-name：HWTACACS方案名，为不超过32个字符的字符串。

【描述】

accounting命令用来配置当前ISP域使用的计费方案。undo accounting命令用来删除ISP域使用的计费方案。缺省情况下，没有配置分离的计费方案。

accounting命令为当前ISP域指定引用的RADIUS或HWTACACS方案时，所引用的RADIUS或HWTACACS方案必须是已经设置好的。

在域视图下，如果配置了accounting命令，则采用该命令中引用的计费方案进行计费；否则使用scheme命令中引用的方案进行计费。

相关配置可参考命令scheme，radius scheme，hwtacacs scheme。

【举例】

# 指定当前ISP域aabbcc.net引用的RADIUS计费方案为radius。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain aabbcc.net New Domain added.

[H3C-isp-aabbcc.net] accounting radius-scheme radius

1-3

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.1.4 accounting optional

【命令】

accounting optional undo accounting optional

【视图】

ISP域视图

【参数】

无

【描述】

accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。系统缺省为关闭计费可选开关。需要注意：

在对上线用户计费时，如果发现没有可用的RADIUS计费服务器，或者与RADIUS计费服务器通信失败时，若配置了accounting optional命令，则用户可以继续使用网络资源，否则用户将被切断。accounting optional命令经常被用于只认证不计费的情况。

【举例】

# 打开ISP域名为aabbcc.net的用户计费可选开关。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain aabbcc.net New Domain added.

[H3C-isp-aabbcc.net] accounting optional

1.1.5 authentication

【命令】

authentication { radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none } undo authentication

【视图】

ISP域视图

1-4

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【参数】

radius-scheme radius-scheme-name：指定认证使用的RADIUS方案。 hwtacacs-scheme hwtacacs-scheme-name：HWTACACS方案名，为不超过32个字符的字符串。

local：指定认证使用本地认证方案。 none：不认证。

【描述】

authentication命令用来配置当前ISP域使用的认证方案。undo authentication命令用来恢复域缺省的认证方案。缺省情况下，没有配置分离的认证方案。

当使用authentication命令为当前ISP域指定引用的RADIUS方案时，所引用的RADIUS方案必须是已经设置好的。

如果配置了authentication radius-scheme radius-scheme-name local，则local为RADIUS服务器没有正常响应后的备选认证方案。即当RADIUS服务器有效时，不使用本地认证；当RADIUS服务器无效时，使用本地认证。

如果配置了authentication hwtacacs-scheme hwtacacs-scheme-name local，则local为TACACS服务器没有正常响应后的备选认证方案。即当TACACS服务器有效时，不使用本地认证；当TACACS服务器无效时，使用本地认证。

如果local作为第一方案，那么只能采用本地认证。none与local的使用情况相同。

在域视图下，如果配置了authentication命令，则采用该命令中引用的认证方案进行认证；

否则使用scheme命令中引用的方案进行认证。

相关配置可参考命令scheme，radius scheme，hwtacacs scheme。

【举例】

# 指定当前ISP域aabbcc.net引用的RADIUS认证方案为radius 。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain aabbcc.net New Domain added.

[H3C-isp-aabbcc.net] authentication radius-scheme radius

# 设置ISP域aabbcc引用的RADIUS认证方案为rd，并采用local作为备选认证方案。

system-view

System View: return to User View with Ctrl+Z.

1-5

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

[H3C] domain aabbcc New Domain added.

第1章 AAA-RADIUS-HWTACACS

协议配置命令

[H3C-isp-aabbcc] authentication radius-scheme rd local

1.1.6 authorization

【命令】

authorization { none | hwtacacs-scheme hwtacacs-scheme-name } undo authorization

【视图】

ISP域视图

【参数】

none：不使用授权方案。

hwtacacs-scheme hwtacacs-scheme-name：HWTACACS方案名，为不超过32个字符的字符串。

【描述】

authorization命令用来配置当前ISP域使用的授权方案。undo authorization命令用来恢复域缺省的授权方案。

缺省情况下，没有配置分离的授权方案。

相关配置可参考命令scheme，radius scheme，hwtacacs scheme。

【举例】

# 设置ISP域aabbcc.net不需要授权也可以提供服务。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain aabbcc.net New Domain added.

[H3C-isp-aabbcc.net] authorization none

1.1.7 cut connection

【命令】

cut connection { all | access-type { dot1x | mac-authentication } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name }

1-6

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【视图】

系统视图

【参数】

all：切断所有用户连接。

access-type { dot1x | mac-authentication }：根据接入方式切断用户连接，dot1x指定切断所有802.1x用户连接，mac-authentication指定切断所有MAC认证用户连接。

domain isp-name：切断ISP域下的全部用户连接。其中，isp-name为ISP域名，为不超过24个字符的字符串。指定的ISP域必须已经存在。

interface interface-type interface-number：切断某个端口的所有用户连接。interface-type为端口类型，interface-number为端口编号。 ip ip-address：切断IP地址为ip-address的所有用户连接。

mac mac-address：切断MAC地址为mac-address的用户连接。其中，mac-address为H-H-H格式。

radius-scheme radius-scheme-name：切断使用名称为radius-scheme-name的RADIUS方案的所有用户连接。radius-scheme-name为不超过32个字符的字符串。 vlan vlan-id：切断VLAN ID为vlan-id的所有用户连接。其中，vlan-id的取值范围为1～4094。

ucibindex ucib-index：切断某个连接索引号为ucib-index的用户连接，取值范围为0～2071。

user-name user-name：切断某个用户名为user-name的用户连接。其中，user-name为用户名，为不超过80个字符的字符串，字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符，并且“@”出现的次数不能多于1次，纯用户名（“@”以前部分，即用户标识）不能超过55个字符，域名（“@”以后的部分）不能超过24个字符。

【描述】

cut connection命令用来强制切断某个或某类用户的连接。对于Telnet、FTP类型用户，无法切断连接。相关配置可参考命令display connection。

【举例】

# 切断域名为“aabbcc.net”的ISP域下的所有连接。

system-view

System View: return to User View with Ctrl+Z.

1-7

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

[H3C] cut connection domain aabbcc.net

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.1.8 display connection

【命令】

display connection [ access-type { dot1x | mac-authentication } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | radius-scheme radius-scheme-name | hwtacacs-scheme hwtacacs-scheme-name | vlan vlan-id | ucibindex ucib-index | user-name user-name ]

【视图】

任意视图

【参数】

access-type { dot1x | mac-authentication }：根据接入方式显示用户连接，dot1x指定显示所有802.1x用户连接，mac-authentication指定显示所有mac认证用户连接。

domain isp-name：显示某个ISP域下的全部用户连接。其中，isp-name为ISP域名，为不超过24个字符的字符串。指定的ISP域必须已经存在。

interface interface-type interface-number：显示某个接口的所有用户连接。 ip ip-address：显示某个IP地址为ip-address的所有用户连接。

mac mac-address：显示某个MAC地址为mac-address的用户连接。其中，mac-address为十六进制格式（即形如H-H-H的样式）。

radius-scheme radius-scheme-name：显示使用名称为radius-scheme-name的RADIUS方案的所有用户连接。radius-scheme-name为不超过32个字符的字符串。 hwtacacs-scheme

hwtacacs-scheme-name：显示使用名称为

的

HWTACACS

方案的所有用户连接。

hwtacacs-scheme-name

hwtacacs-scheme-name为不超过32个字符的字符串。

vlan vlan-id：显示ID为vlan-id的所有用户连接。其中，vlan-id的取值范围为1～4094。

ucibindex ucib-index：显示某个连接索引号为ucib-index的用户连接。其中，ucib-index的取值范围为0～2071。

user-name user-name：显示某个用户名为user-name的用户连接。其中，user-name为用户名，为不超过80个字符的字符串，格式为“纯用户名@域名”，其中纯用户名最大长度为55个字符，域名最大长度为24个字符。

1-8

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【描述】

display connection命令用来显示所有或指定的用户连接的相关信息。不指定任何参数的情况下，系统显示所有用户连接的相关信息。对于ftp类型用户，无法显示用户连接的相关信息。相关配置可参考命令cut connection。

【举例】

# 显示所有用户连接的相关信息。

display connection

------------------unit 1------------------------ On Unit 1: Total 0 connections matched, 0 listed.

------------------unit 2------------------------ Index=40 , Username=user1@domain1 MAC=000f-3d80-4ce5 , IP=0.0.0.0

On Unit 2: Total 1 connections matched, 1 listed.

------------------unit 3------------------------ On Unit 3:Total 0 connections matched, 0 listed.

Total 1 connections matched, 1 listed.

# 显示连接索引号为0的相关信息。

[H3C] display connection ucibindex 0 Index=0 , Username=user1@system MAC=000f-3d80-4ce5 , IP=192.168.0.3

Access=8021X ,Auth=CHAP ,Port=Ether ,Port NO=0x10003001 Initial VLAN=1, Authorization VLAN=1 ACL Group=Disable CAR=Disable Priority=Disable

Start=2000-04-03 02:51:53 ,Current=2000-04-03 02:52:22 ,Online=00h00m29s On Unit 1:Total 1 connections matched, 1 listed. Total 1 connections matched, 1 listed.

其中Port NO=0x10003001的表示内容如表格所示(以二进制的位数描述)。

表1-1 Port NO信息描述

31-28 UNIT ID

槽号

27-24

23-20 子槽号

19-12 端口号

11-0(bit) VLAN-ID

1-9

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.1.9 display domain

【命令】

display domain [ isp-name ]

【视图】

任意视图

【参数】

isp-name：ISP域名。为不超过24个字符的字符串。所指定的ISP域必须已经存在。

【描述】

display domain命令用来显示指定ISP域的配置信息。缺省情况下，显示系统中所有ISP域的配置信息。

相关配置可参考命令access-limit，domain，scheme，state。

【举例】

# 显示系统中所有ISP域的配置信息。

display domain 0 Domain = system State = Active Scheme = LOCAL

Access-limit = Disable

Vlan-assignment-mode = Integer Domain User Template: Idle-cut = Disable Self-service = Disable Messenger Time = Disable

Default Domain Name: system Total 1 domain(s).1 listed.

表1-2 display domain显示信息描述表

字段

Domain State Scheme Access-Limit

Vlan-assignment-mode

域名状态 AAA方案

接入用户连接数 Vlan下发模式

描述

1-10

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

字段

Domain User Template Idle-Cut Self-service Messenger Time

第1章 AAA-RADIUS-HWTACACS

协议配置命令

描述

域用户模板闲置切断开关自助服务信使时间服务

1.1.10 display local-user

【命令】

display local-user [ domain isp-name | idle-cut { disable | enable } | vlan vlan-id | service-type { ftp | lan-access | ssh | telnet | terminal } | state { active | block } | user-name user-name ]

【视图】

任意视图

【参数】

domain isp-name：显示属于某个ISP域的全部本地用户。其中，isp-name为ISP域名，为不超过24个字符的字符串。指定的ISP域必须已经存在。

idle-cut { disable | enable }：显示禁止或者允许启用闲置切断功能的本地用户。其中，disable表示禁止用户启用闲置切断功能；enable表示允许用户启用闲置切断功能。

vlan vlan-id：根据用户所属的vlan显示本地用户。vlan-id取值范围为1～4094。 service-type：根据用户类型显示本地用户。其中，ftp指定为FTP用户；lan-access指定用户为lan-access类型（主要指以太网接入用户，比如802.1x用户）；ssh为SSH用户；telnet为Telnet用户；terminal为从Console口登录的终端用户。 state { active | block }：显示处于某种状态的本地用户。其中，active表示系统允许用户请求网络服务；block表示系统不允许用户请求网络服务。

user-name user-name：显示用户名为user-name的本地用户。其中，user-name为用户名，为不超过80个字符的字符串，字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符，并且“@”出现的次数不能多于1次，纯用户名（“@”以前部分，即用户标识）不能超过55个字符，域名（“@”以后的部分）不能超过24个字符。

【描述】

display local-user命令用来显示所有或指定的本地用户的相关信息。

1-11

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

相关配置可参考命令local-user。

【举例】

# 显示所有本地用户的相关信息。

display local-user

The contents of local user user1:

State: Active ServiceType Mask: None Idle-cut: Disable

Access-limit: Disable Current AccessNum: 0 Bind location: Disable Vlan ID: Disable IP address: Disable MAC address: Disable

Total 1 local user(s) Matched, 1 listed.

ServiceType Mask Meaning: C--Terminal F--FTP L--LanAccess S--SSH T—Telnet

对上述显示信息的各项解释如表1-3所示。

表1-3 display local-user显示信息描述表字段

State

状态

服务类型标志： T表示Telnet服务类型 S表示SSH服务类型

ServiceType Mask

C表示终端服务类型 LM表示lan-access服务类型 F表示FTP服务类型 None表示未设置服务类型

Idle-Cut Access-Limit Current AccessNum Bind location Vlan ID IP address MAC address

闲置切断开关接入用户连接数当前接入用户数是否与端口捆绑用户所属的VLAN 用户的IP地址用户的MAC地址

描述

1-12

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.1.11 domain

【命令】

domain { isp-name | default { disable | enable isp-name } } undo domain isp-name

【视图】

系统视图

【参数】

isp-name：ISP域名。为不超过24个字符的字符串，且不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符。

default：配置缺省的ISP域。系统缺省的ISP域为system；用户可以使用该命令手工配置缺省域，缺省的ISP域有且只有一个。 disable：禁止配置的缺省ISP域。 enable：使能配置的缺省ISP域。

【描述】

domain命令用来创建一个ISP域，或者进入已创建ISP域的视图。 undo domain命令用来删除指定的ISP域。

缺省情况下，系统中使用的域为“system”，通过display domain命令可以查看缺省域system的设置。

使用domain命令时，如果指定的ISP域不存在，系统将会创建一个新的ISP域，所有的ISP域在创建后即处于active状态。手工配置缺省域时，该域必须已经存在。相关配置可参考命令access-limit，scheme，state，display domain。

【举例】

# 创建一个新的ISP域“aabbcc.net”。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain aabbcc.net New Domain added. [H3C-isp-aabbcc.net]

1.1.12 idle-cut

【命令】

idle-cut { disable | enable minute flow }

1-13

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【视图】

ISP域视图

【参数】

disable：表示禁止用户启用闲置切断功能。 enable：表示允许用户启用闲置切断功能。

minute：允许的最大空闲时间，单位为分钟，取值范围为1～120。 flow：设置的最小数据流量，单位为字节，取值范围为1～10240000。

【描述】

idle-cut命令用来设置当前ISP域下的闲置切断功能。缺省情况下，用户闲置切断功能处于关闭状态。相关配置可参考命令domain。

【举例】

# 允许当前ISP域“aabbcc.net”下的用户启用用户模板中的闲置切断属性（即允许用户使用闲置切断功能），最大空闲时间为50分钟，设置的最小数据流为500字节。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain aabbcc.net New Domain added.

[H3C-isp-aabbcc.net] idle-cut enable 50 500

1.1.13 level

【命令】

level level undo level

【视图】

本地用户视图

【参数】

level：指定用户的优先级，其取值范围为0～3整数，缺省值为0。

【描述】

level命令用来设置用户的优先级。用户的优先级与命令级别相对应，详细说明请参见“命令行接口”中的command-privilege level命令描述部分。

1-14

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

undo level命令用来恢复用户缺省的优先级。需要注意：

如果配置的认证方式为不认证或采用password认证，则用户登录到系统后所能访问的命令级别由用户界面的优先级确定。

如果配置的认证方式需要用户名和口令，则用户登录系统后所能访问的命令级别由用户的优先级确定。对于SSH用户，使用RSA公钥认证时，其所能使用的命令以用户界面上设置的级别为准。

相关配置可参考命令local-user。

【举例】

# 设置用户user1级别为3。

system-view

System View: return to User View with Ctrl+Z. [H3C] local-user user1 New local user added. [H3C-luser-user1] level 3

1.1.14 local-user

【命令】

local-user user-name

undo local-user { user-name | all [ service-type { ftp | lan-access | ssh | telnet | terminal } ] }

【视图】

系统视图

【参数】

user-name：本地用户名，为不超过80个字符的字符串。该字符串中不能包括“/”、“:”、“*”、“?”、“<”以及“>”等字符，并且“@”出现的次数不能多于1次；纯用户名（“@”以前部分，即用户标识）不能超过55个字符，域名（“@”以后的部分）不能超过24个字符。 all：所有的用户。

service-type：指定用户的类型。其中，ftp指定FTP用户；lan-access指定用户为lan-access类型（主要指以太网接入用户，比如802.1x用户）；ssh为SSH用户；telnet为Telnet用户；terminal为从Console口登录的终端用户。

1-15

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【描述】

local-user命令用来添加本地用户并进入本地用户视图。 undo local-user命令用来删除指定的本地用户。缺省情况下，系统中无本地用户。

相关配置可参考命令display local-user，service-type。

【举例】

# 添加名称为user1的本地用户

system-view

System View: return to User View with Ctrl+Z. [H3C] local-user user1 New local user added. [H3C-luser-user1]

1.1.15 local-user password-display-mode

【命令】

local-user password-display-mode { cipher-force | auto } undo local-user password-display-mode

【视图】

系统视图

【参数】

cipher-force：强制cipher方式，即所有本地用户的密码显示方式必须采用密文方式。

auto：自动方式，即本地用户的密码显示方式可以由用户自己通过password命令来设置。

【描述】

local-user password-display-mode命令用来设置所有本地用户密码的显示方式。undo local-user password-display-mode命令用来恢复缺省的本地用户的密码显示方式。

缺省情况下，所有接入用户的密码显示方式为auto。

当采用cipher-force方式后，即使用户通过password命令指定密码显示方式为明文显示（即simple方式）后，密码仍然会显示为密文。相关配置可参考命令display local-user，password。

1-16

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【举例】

# 强制所有本地用户采用密码密文方式显示。

system-view

System View: return to User View with Ctrl+Z. [H3C] local-user password-display-mode cipher-force

1.1.16 messenger

【命令】

messenger time { enable limit interval | disable } undo messenger time

【视图】

ISP域视图

【参数】

limit：设置交换机在用户剩余多长上网时间时，开始向客户端发送提醒消息。单位为分钟，取值范围为1～60。

interval：发送提醒消息的间隔。单位为分钟，取值范围为5～60，必须为5的倍数。

【描述】

messenger time enable命令用来开启信使提醒功能并配置其相关参数；messenger time disable命令用来关闭信使提醒功能。undo messenger time命令用来恢复信使提醒功能为缺省情况。缺省情况下，交换机关闭信使提醒功能。

信使提醒功能指在用户使用网络的过程中，客户端以信息提醒对话框形式，提醒用户剩余的上网时间，使用户可以提前安排自己的工作。信使提醒功能的实现如下：

在交换机上用如下命令配置上网剩余时间（limit）及发送提醒消息的间隔（interval）；

z z

每隔这个时间间隔，交换机将用户上网剩余时间通知到客户端；客户端即以对话框的形式，提醒用户上网时间。

【举例】

# 在ISP域system中设置：当用户剩余30分钟上网时间的时候开始发送提醒消息，每隔5分钟发送一次。

system-view

1-17

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

System View: return to User View with Ctrl+Z. [H3C] domain system

[H3C-isp-system] messenger time enable 30 5

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.1.17 name

【命令】

name string undo name

【视图】

VLAN视图

【参数】

string：为下发的VLAN指定名称，为不超过32个字符的字符串。

【描述】

name用来配置下发VLAN的名称。undo name用来删除该下发VLAN的名称。缺省情况下，下发VLAN的名称为该VLAN的VLAN ID，如“VLAN 0001”。此命令用来配合动态VLAN下发功能使用。动态VLAN下发的相关介绍请参见命令vlan-assignment-mode。

相关配置可参考命令vlan-assignment-mode。

【举例】

# 为VLAN 100设置名称为test。

system-view

System View: return to User View with Ctrl+Z. [H3C] vlan 100

[H3C-vlan100] name test

1.1.18 password

【命令】

password { simple | cipher } password undo password

【视图】

本地用户视图

1-18

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【参数】

simple：表示密码为明文。 cipher：表示密码为密文。 password：表示设置的密码，

z z

对于simple方式，password必须是明文密码。

对于cipher方式，password可以是密文密码也可以是明文密码，结果视输入而定。

明文密码可以是长度小于等于63的连续字符串，如：aabbcc。密文口令的长度为88位。

【描述】

password命令用来设置本地用户的密码。 undo password命令用来取消本地用户的密码。

需要注意的是，当采用local-user password-display-mode cipher-force命令后，即使用户通过password命令指定密码显示方式为明文显示（即simple方式）后，密码也会显示为密文。

相关配置可参考命令display local-user。

【举例】

# 设置用户user1的密码采用明文方式，密码为20030422。

system-view

System View: return to User View with Ctrl+Z. [H3C] local-user user1 New local user added.

[H3C-luser-user1] password simple 20030422

1.1.19 radius-scheme

【命令】

radius-scheme radius-scheme-name

【视图】

ISP域视图

【参数】

radius-scheme-name：引用的RADIUS方案名，为不超过32个字符的字符串。

1-19

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【描述】

radius-scheme命令用来指定当前ISP域引用的RADIUS方案。

缺省情况下，当一个ISP域被创建以后，其引用的AAA方案为本地认证（local），不使用RADIUS方案。

radius-scheme命令为当前ISP域指定引用的RADIUS方案。所指定引用的RADIUS方案必须是已经设置好的。此功能也可以通过scheme命令指定所引用的RADIUS方案实现。

相关配置可参考命令radius scheme，scheme，display radius scheme。

【举例】

# 指定当前ISP域“H3C163.net”引用的RADIUS方案为“extended”。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain H3C163.net New Domain added.

[H3C-isp-H3C163.net] radius-scheme extended

1.1.20 scheme

【命令】

scheme { local | none | radius-scheme radius-scheme-name [ local ] | hwtacacs-scheme hwtacacs-scheme-name [ local ] } undo scheme [ none | radius-scheme | hwtacacs-scheme ]

【视图】

ISP域视图

【参数】

radius-scheme-name：RADIUS方案名，为不超过32个字符的字符串。 hwtacacs-scheme-name：HWTACACS方案名，为不超过32个字符的字符串。 local：本地认证。 none：不进行认证。

【描述】

scheme命令用来配置当前ISP域使用的AAA方案。 undo scheme命令用来恢复域使用的缺省AAA方案。系统缺省使用的AAA方案为local。需要注意以下几点：

1-20

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

scheme命令为当前ISP域指定引用的RADIUS方案。所指定引用的RADIUS方案必须是已经设置好的。

如果scheme命令配置了radius-scheme radius-scheme-name local参数，则local为RADIUS服务器没有正常响应后的备选认证方案，即当RADIUS服务器有效时，不使用本地认证；当RADIUS服务器无效时，使用本地认证。

如果scheme命令配置了hwtacacs-scheme hwtacacs-scheme-name local参数，则local为TACACS服务器没有正常响应后的备选认证方案，即当TACACS服务器有效时，不使用本地认证；当TACACS服务器无效时，使用本地认证。

如果local或者none作为第一方案，那么只能采用本地认证或者不进行认证，不能再同时采用RADIUS方案。

radius-scheme命令和scheme命令均可以为ISP域指定所引用的RADIUS方案，二者作用相同，系统以最后一次的配置为准。

相关配置可参考命令radius scheme。

【举例】

# 设置ISP域“aabbcc.net”引用的scheme 为radius-scheme radius1，并采用local作为备选认证方案。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain aabbcc.net New Domain added.

[H3C-isp-aabbcc.net] scheme radius-scheme raduis1 local

1.1.21 self-service-url

【命令】

self-service-url { disable | enable url-string } undo self-service-url

【视图】

ISP域视图

【参数】

url-string：自助服务器修改用户密码页面的URL，为字符串形式，长度为1～个字符。字符串中不能包括 “?”字符，如自助服务器的URL中包括“?”，则在命令行输入该URL时，需要将“?”转换为“|”。

1-21

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【描述】

self-service-url enable命令用来启动自助服务器定位功能；self-service-url disable命令用来关闭自助服务器定位功能。 undo self-service-url命令用来恢复缺省情况。缺省情况下，设备关闭自助服务器定位功能。需要注意以下几点：

此命令需要与支持自助服务的RADIUS服务器配合使用，如CAMS。自助服务即用户可以对自己的帐号或卡号进行管理和控制。安装自助服务软件的服务器即自助服务器。

如果在设备上配置了此命令，用户可以通过如下操作定位到自助服务器：用户在802.1x客户端软件上选择“更改用户密码”；客户端软件打开用户缺省的浏览器（IE或者NetScape等），定位到指定的自助服务器更改用户密码的URL页面；用户可以在该页面上修改自己的密码。

只有用户通过认证后才能进行在客户端软件上选择“更改用户密码”选项，否则该选项为灰色，不可用。

【举例】

# 在系统缺省的ISP域system下，配置自助服务器修改用户密码页面的URL为http://10.153..94/selfservice/modPasswd1x.jsp|userName。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain system

[H3C-isp-system] self-service-url enable http://10.153..94/selfservice/modPasswd1x.jsp|userName

1.1.22 service-type

【命令】

service-type { ftp | lan-access | { telnet | ssh | terminal }* [ level level ] } undo service-type { ftp | lan-access | { telnet | ssh | terminal }* }

【视图】

本地用户视图

【参数】

ftp：指定用户为ftp类型。

1-22

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

lan-access：指定用户为lan-access类型（主要指以太网接入用户，比如802.1x用户）。

telnet：指定用户可以使用Telnet服务。 ssh：指定用户可以使用SSH服务。

terminal：指定用户可以使用terminal服务（即从Console口登录）。

level level：指定Telnet、terminal或者SSH用户的级别。level为整数，取值范围0～3。缺省为0。

【描述】

service-type命令用来设置用户可以使用的服务类型。 undo service-type命令用来删除用户可以使用的服务类型。缺省情况下，系统不对用户授权任何服务。

【举例】

# 指定用户user1可以使用Telnet服务。

system-view

System View: return to User View with Ctrl+Z. [H3C] local-user user1 New local user added.

[H3C-luser-user1] service-type telnet

1.1.23 state

【命令】

state { active | block }

【视图】

ISP域视图/本地用户视图

【参数】

active：指定当前ISP域（ISP域视图）/当前本地用户（本地用户视图）处于活动状态，即系统允许当前ISP域下的用户（ISP域视图）/当前本地用户（本地用户视图）请求网络服务。

block：指定当前ISP域（ISP域视图）/当前本地用户（本地用户视图）处于“挂起”状态，即系统不允许当前ISP域下的用户（ISP域视图）/当前本地用户（本地用户视图）请求网络服务。

【描述】

state命令用来设置当前ISP域/当前本地用户的状态。

1-23

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

缺省情况下，当一个ISP域被创建以后，其状态为active（ISP域视图）。当一个本地用户被创建以后，其状态为active（本地用户视图）。

当指示某个ISP域处于block状态时，不允许该域下的用户请求网络服务，但是不影响已经在线的用户。本地用户视图下同理。相关配置可参考命令domain。

【举例】

# 设置当前ISP域“aabbcc.net”处于“挂起”状态，其下的接入用户不能再请求网络服务。

system-view

System View: return to User View with Ctrl+Z. [H3C] domain aabbcc.net New Domain added.

[H3C-isp-aabbcc.net] state block

# 设置用户user1处于“挂起”状态。

system-view

System View: return to User View with Ctrl+Z. [H3C] local-user user1 [H3C-user-user1] state block

1.1.24 vlan-assignment-mode

【命令】

vlan-assignment-mode { integer | string }

【视图】

ISP域视图

【参数】

integer：配置VLAN下发模式为整型。 string：配置VLAN下发模式为字符串型。

【描述】

vlan-assignment-mode命令用来配置VLAN下发模式（整型或者字符串型）。缺省情况下，VLAN下发模式为integer，即交换机支持RADIUS认证服务器下发整型的VLAN ID。

动态VLAN下发是指以太网交换机根据RADIUS服务器下发的属性值，将已经通过身份认证的用户所在端口加入到不同的VLAN中，从而对用户所能访问的网络资源进行控制。

1-24

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

在实际应用中，为了与Guest VLAN配合使用，一般将端口控制方式设置为基于端口的方式。

目前交换机支持RADIUS认证服务器下发整型和字符串型的VLAN ID：

整型：交换机根据RADIUS认证服务器下发的整型ID将端口加入相应VLAN中，如果该VLAN不存在，则首先创建VLAN，而后将端口加入到新创建的VLAN中。

字符串型：交换机根据RADIUS认证服务器下发的字符串型ID，与交换机上已存在VLAN的名称进行比对，如果找到匹配项，则将该端口加入相应VLAN中，否则VLAN下发失败，用户无法通过认证。

交换机支持两种模式的动态VLAN下发的是为了适应认证服务器而设置的。不同的认证服务器下发方式不同，建议用户根据所使用的服务器动态VLAN下发的格式来对设备进行配置。

这里列出几种常用的服务器的下发模式：

表1-4 常用的RADIUS服务器的下发模式

服务器类型

CAMS ACS FreeRADIUS

Shiva Access Manager Steel-Belted Radius Administrator

动态VLAN下发方式

整型（最新版本根据属性值确定下发的是整型还是字符串型）字符串型

根据属性值确定（100就是整型，“100”就是字符串型）字符串型字符串型

󰀉 说明：

对于字符串型VLAN下发模式，交换机在处理过程中遵循整型优先的原则：如果RADIUS服务器下发的VLAN名称是全数字的字符串，如字符串“1024”，并且转换成整型的数值在合法的VLAN范围之内，则交换机会将全数字型的字符串转换为整型处理，将认证端口加入转换后的整型数值VLAN中，即该端口会被加入到VLAN 1024中。

相关配置可参考命令nas-ip。

【举例】

# 配置设备发送RADIUS报文使用的源地址为129.10.10.1。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius nas-ip 129.10.10.1

1.2.16 radius scheme

【命令】

radius scheme radius-scheme-name undo radius scheme radius-scheme-name

【视图】

系统视图

【参数】

radius-scheme-name：RADIUS方案名，为不超过32个字符的字符串。

1-41

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【描述】

radius scheme命令用来创建RADIUS方案并进入其视图。 undo radius scheme命令用来删除指定的RADIUS方案。

缺省情况下，系统中已创建了一个名为“system”的RADIUS方案。需要注意以下几点：

对于名为“system”的RADIUS方案，其各项属性均为缺省值。可以用display radius scheme命令来查看缺省RADIUS方案“system”的设置。

RADIUS协议的配置是以RADIUS方案为单位进行的。每个RADIUS方案至少要指明RADIUS认证/授权/计费服务器的IP地址、UDP端口号以及RADIUS客户端与之交互所需的一些参数。在进行其它RADIUS协议配置之前，必须先创建RADIUS方案并进入其视图。

z z

一个RADIUS方案可以同时被多个ISP域引用。

undo radius scheme命令虽然可以用来删除指定的RADIUS方案，但是不能删除缺省的RADIUS方案。当有使用RADIUS方案的用户在线时，不允许删除该方案。

相关配置可参考命令key，retry realtime-accounting，scheme，timer realtime-accounting，stop-accounting-buffer enable， retry stop-accounting，server-type，state，user-name-format， retry ， display radius scheme，display radius statistics。

【举例】

# 创建名为“radius1”的RADIUS方案并进入其视图。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme [H3C-radius-radius1]

1.2.17 radius trap

【命令】

radius trap { authentication-server-down | accounting-server-down } undo radius trap { authentication-server-down | accounting-server-down }

【视图】

系统视图

1-42

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【参数】

无

【描述】

radius trap命令用来使能当RADIUS 服务器状态变为Down时，系统发送Trap的功能。undo radius trap用来关闭此功能。缺省情况下，此功能关闭。

该配置对所有的RADIUS方案都生效。 󰀉 说明：

在设备向RADIUS服务器发送报文而未收到响应的次数超过配置的重试次数后，设备就认为相应的服务器状态变为Down。

【举例】

# 使能当RADIUS 认证服务器状态变为Down时，系统发送Trap。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius trap authentication-server-down

1.2.18 reset radius statistics

【命令】

reset radius statistics

【视图】

用户视图

【参数】

无

【描述】

reset radius statistics命令用来清除RADIUS协议的统计信息。相关配置请参考命令display radius scheme。

【举例】

# 清除RADIUS协议的统计信息。

reset radius statistics

1-43

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.2.19 reset stop-accounting-buffer

【命令】

reset stop-accounting-buffer { radius-scheme radius-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }

【视图】

用户视图

【参数】

radius-scheme radius-scheme-name：根据RADIUS方案名删除暂存的停止计费请求报文。其中，radius-scheme-name为RADIUS方案名，为不超过32个字符的字符串。

session-id session-id：根据会话ID删除暂存的停止计费请求报文。其中，session-id为会话ID，为不超过50个字符的字符串。

time-range start-time stop-time：根据停止计费请求时刻删除暂存的停止计费请求报文。其中，start-time为请求时间段的起始时间；stop-time为请求时间段的结束时间，格式为hh:mm:ss-mm/dd/yyyy（时:分:秒-月/日/年）或hh:mm:ss-yyyy/mm/dd（时:分:秒-年/月/日）。

user-name user-name：根据用户名删除暂存的停止计费请求报文。其中，user-name为用户名，为不超过80个字符的字符串。

【描述】

reset stop-accounting-buffer命令用来删除那些缓存的、没有得到响应的停止计费请求报文。

相关配置可参考命令stop-accounting-buffer enable, retry stop-accounting，display stop-accounting-buffer。

【举例】

# 删除用户“user0001@aabbcc.net”缓存在系统中的停止计费请求报文。

reset stop-accounting-buffer user-name user0001@aabbcc.net

# 删除从2002年8月31日0点0分0秒到2002年8月31日23点59分59秒期间内系统缓存的停止计费请求报文。

reset stop-accounting-buffer time-range 00:00:00-08/31/2002 23:59:59-08/31/2002

1-44

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.2.20 retry

【命令】

retry retry-times undo retry

【视图】

RADIUS方案视图

【参数】

retry-times：最大传送次数，取值范围为1～20。缺省情况下，RADIUS请求报文的最大传送次数为3次。

【描述】

retry命令用来设置RADIUS请求报文的最大传送次数。

undo retry命令用来将RADIUS请求报文的最大传送次数恢复为缺省值。需要注意以下几点：

由于RADIUS协议采用UDP报文来承载数据，因此其通信过程是不可靠的。如果RADIUS服务器在应答超时定时器规定的时长内没有响应设备，则设备有必要向RADIUS服务器重传RADIUS请求报文。如果累计的传送次数超过最大传送次数而RADIUS服务器仍旧没有响应，则设备将认为本次认证失败。

根据网络状况合理的设置重发次数可以提高系统的响应速度。

相关配置可参考命令radius scheme。

【举例】

# 设置在RADIUS方案“radius1”下，RADIUS请求报文的最大传送次数为5次。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] retry 5

1.2.21 retry realtime-accounting

【命令】

retry realtime-accounting retry-times undo retry realtime-accounting

1-45

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【视图】

RADIUS方案视图

【参数】

retry-times：允许实时计费失败的最大次数，取值范围为1～255。

【描述】

retry realtime-accounting命令用来设置允许实时计费失败的最大次数，。undo retry realtime-accounting命令用来恢复允许实时计费失败的最大次数为缺省值。缺省情况下，最多允许5次实时计费失败。需要注意以下几点：

RADIUS服务器通常通过连接超时定时器来判断用户是否在线。如果RADIUS服务器长时间收不到设备传来的实时计费报文，它会认为线路或设备故障并停止对用户记帐。为了配合RADIUS服务器的这种特性，有必要在不可预见的故障条件下在设备端尽量与RADIUS服务器同步切断用户连接。设备提供对连续实时计费请求无响应次数的设置——在设备向RADIUS服务器发出的实时计费请求没有得到响应的次数超过所设定的限度时，设备将切断用户连接。

一次计费可以包括多次（RADIUS方案视图下的retry命令设置）实时计费请求报文的发送，均无响应才认为该次计费失败。假设RADIUS服务器的应答超时时长（timer response-timeout命令设置）为3秒，超时重传次数（retry命令设置）为3，设备的实时计费间隔（timer realtime-accounting命令设置）为12分钟，设备允许实时计费失败的最大次数为5次（retry realtime-accounting命令设置），则其含义为：设备每隔12分钟发起一次计费请求，如果3秒钟得不到回应就重新发起一次请求，如果3次发送都没有得到回应就认为该次实时记费失败，然后每隔12分钟再发送一次，5次均失败以后，设备将切断用户连接。

相关配置可参考命令radius scheme，timer realtime-accounting。

【举例】

# 设置RADIUS方案“radius1”最多允许10次实时计费请求无响应。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] retry realtime-accounting 10

1-46

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.2.22 retry stop-accounting

【命令】

retry stop-accounting retry-times undo retry stop-accounting

【视图】

RADIUS方案视图

【参数】

retry-times：缓存的停止计费请求报文的最大重发次数，取值范围为10～65535。缺省情况下，其取值为500。

【描述】

retry stop-accounting命令用来指示当出现未得到响应的停止计费请求时，将该报文存入设备缓存后，停止计费请求报文的最大重发次数。

undo retry stop-accounting命令用来恢复停止计费请求报文的最大重发次数为缺省值。

由于停止计费请求报文涉及到话单结算，并最终影响收费多少，对用户和ISP都有比较重要的影响，因此设备应该尽最大努力把它发送给RADIUS计费服务器。所以，如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应，设备应将其缓存在本机上，然后重新发送直到RADIUS计费服务器产生响应，或者在重新发送的次数达到指定的次数后将其丢弃。

相关配置可参考命令reset stop-accounting-buffer，radius scheme ，display stop-accounting-buffer。

【举例】

# 指示对于RADIUS方案“radius1”中的服务器，设备系统最多可以将缓存的停止计费请求报文重发1000次。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] retry stop-accounting 1000

1.2.23 secondary accounting

【命令】

secondary accounting ip-address [ port-number ]

1-47

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

undo secondary accounting

【视图】

RADIUS方案视图

【参数】

ip-address：IP地址，为点分十进制格式。缺省情况下，从计费服务器的IP地址为0.0.0.0。

port-number：UDP端口号。取值范围为1～65535。缺省情况下，计费服务的UDP端口号为1813。

【描述】

secondary accounting命令用来设置从RADIUS计费服务器的IP地址和端口号。undo secondary accounting命令用来将从RADIUS计费服务器的IP地址和端口号恢复为缺省值。

相关配置可参考命令key，radius scheme，state。

【举例】

# 设置RADIUS方案“radius1”的从计费服务器的IP地址为10.110.1.1、使用UDP端口1813提供RADIUS计费服务。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] secondary accounting 10.110.1.1 1813

1.2.24 secondary authentication

【命令】

secondary authentication ip-address [ port-number ] undo secondary authentication

【视图】

RADIUS方案视图

【参数】

ip-address：IP地址，为点分十进制格式。缺省情况下，从认证/授权服务器的IP地址为0.0.0.0。

port-number：UDP端口号。取值范围为1～65535。缺省情况下，从认证/授权服务的UDP端口号为1812。

1-48

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【描述】

secondary authentication命令用来设置从RADIUS认证/授权服务器的IP地址和端口号。

undo secondary authentication命令用来将从RADIUS认证/授权的IP地址和端口号恢复为缺省值。

相关配置可参考命令key，radius scheme，state。

【举例】

# 设置RADIUS方案“radius1”的从认证/授权服务器的IP地址为10.110.1.2，使用UDP端口1812提供RADIUS认证/授权服务。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] secondary authentication 10.110.1.2 1812

1.2.25 server-type

【命令】

server-type { extended | standard } undo server-type

【视图】

RADIUS方案视图

【参数】

extended：指定extended的RADIUS服务器（一般为CAMS），即要求RADIUS客户端（设备系统）和RADIUS服务器按照私有RADIUS协议的规程和报文格式进行交互。

standard：指定Standard类型的RADIUS服务器，即要求RADIUS客户端（设备系统）和RADIUS服务器按照标准RADIUS协议（RFC 2865/2866或更新）的规程和报文格式进行交互。

【描述】

server-type命令用来指定设备系统支持的RADIUS服务器类型。

undo server-type命令用来恢复设备系统支持的RADIUS服务器类型为缺省设置。相关配置可参考命令radius scheme。

1-49

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【举例】

# 将RADIUS方案“radius1”的RADIUS服务器类型设置为extended。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] server-type extended

1.2.26 state

【命令】

state { primary | secondary } { accounting | authentication } { block | active }

【视图】

RADIUS方案视图

【参数】

primary：设置主RADIUS服务器的状态。 secondary：设置从RADIUS服务器的状态。 accounting：设置RADIUS计费服务器的状态。 authentication：设置RADIUS认证/授权服务器的状态。 block：RADIUS服务器的状态为block，即处于宕机状态。 active：RADIUS服务器的状态为active，即处于正常工作状态。

【描述】

state命令用来设置RADIUS服务器的状态。

缺省情况下，所有RADIUS方案中各RADIUS服务器的状态均为block。系统缺省创建的system方案的主RADIUS服务器的状态为active，从RADIUS服务器的状态为block。需要注意以下几点：

对于某个RADIUS方案中的主、从服务器（无论是认证/授权服务器还是计费服务器），当主服务器因故障而导致其与设备的通信中断时，设备会主动地与从服务器交互报文。

当主服务器变为block的状态超过timer quiet命令设定的时间后，当有RADIUS请求时，设备会尝试与主服务器通信，如果主服务器恢复正常，设备会立即恢复与其通信，而不继续与从服务器通信。同时，主服务器的状态恢复为active，从服务器的状态不变。

1-50

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

当主服务器与从服务器的状态都为active或block时，交换机将只把报文发送到主服务器上。

相关配置可参考命令radius scheme，primary authentication，secondary authentication，primary accounting，secondary accounting。

【举例】

# 将RADIUS方案“radius1”的从认证服务器的状态设置为active。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] state secondary authenticaiton active

1.2.27 stop-accounting-buffer enable

【命令】

stop-accounting-buffer enable undo stop-accounting-buffer enable

【视图】

RADIUS方案视图

【参数】

无

【描述】

stop-accounting-buffer enable命令用来允许在设备上缓存没有得到响应的停止计费请求报文。

undo stop-accounting-buffer enable命令用来禁止在设备上缓存没有得到响应的停止计费请求报文。

缺省情况下，允许设备缓存没有得到响应的停止计费请求报文。

由于停止计费请求报文涉及到话单结算、并最终影响收费多少，对用户和ISP都有比较重要的影响，因此设备应该尽最大努力把它发送给RADIUS计费服务器，如果RADIUS计费服务器对设备发出的停止计费请求报文没有响应，设备应将其缓存在本机上，然后重新发送直到RADIUS计费服务器产生响应，或者在重新发送的次数达到指定的次数后将其丢弃。

相关配置可参考命令reset stop-accounting-buffer，radius scheme ，display stop-accounting-buffer。

1-51

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【举例】

# 指示对于RADIUS方案“radius1”中的服务器，设备能够缓存没有得到响应的停止计费请求报文。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] stop-accounting-buffer enable

1.2.28 timer

【命令】

timer seconds undo timer

【视图】

RADIUS方案视图

【参数】

seconds：RADIUS服务器响应超时定时器，单位为秒，取值范围为1～10。

【描述】

timer命令用来设置RADIUS服务器响应超时定时器。

undo timer命令用来将RADIUS服务器响应超时定时器恢复为缺省值。缺省情况下，RADIUS服务器响应超时定时器为3秒。需要注意以下几点：

如果在RADIUS请求报文（认证/授权请求或计费请求）传送出去一段时间后，设备还没有得到RADIUS服务器的响应，则有必要重传RADIUS请求报文，以保证用户确实能够得到RADIUS服务，这段时间被称为RADIUS服务器响应超时时长，设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器，timer命令就是用来设置这个定时器长度的。

z z

根据网络状况，合理地设置这个定时器的时长，有利于提高系统性能。 timer命令与timer response-timeout命令的作用相同。

相关配置可参考命令radius scheme，retry。

【举例】

# 将RADIUS方案“radius1”的响应超时定时器设置为5秒。

1-52

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] timer 5

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.2.29 timer quiet

【命令】

timer quiet minutes undo timer quiet

【视图】

RADIUS方案视图

【参数】

minutes：取值范围为1～255，单位为分钟。缺省情况下，主服务器恢复激活状态前需要等待5分钟。

【描述】

timer quiet 命令用来设置主服务器恢复激活状态的时间。 undo timer quiet 命令用来恢复缺省配置。相关配置可参考命令display radius scheme。

【举例】

# 设置主服务器恢复激活状态的时间为10分钟。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] timer quiet 10

1.2.30 timer realtime-accounting

【命令】

timer realtime-accounting minutes undo timer realtime-accounting

【视图】

RADIUS方案视图

1-53

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【参数】

minutes：实时计费的时间间隔，单位为分钟，取值范围为3～60，且必须为3的倍数。缺省情况下，实时计费的时间间隔为12分钟。

【描述】

timer realtime-accounting命令用来设置实时计费的时间间隔。

undo timer realtime-accounting命令用来将实时计费的时间间隔恢复为缺省值。需要注意以下几点：

为了对用户实施实时计费，有必要设置实时计费的时间间隔。在设置了该属性以后，每隔设定的时间，设备会向RADIUS服务器发送一次在线用户的计费信息。

实时计费间隔的取值对设备和RADIUS服务器的性能有一定的相关性要求——取值越小，对设备和RADIUS服务器的性能要求越高。建议当用户量比较大（ú1000）时，尽量把该间隔的值设置得大一些。表1-6是实时计费间隔与用户量之间的推荐比例关系。

表1-6 实时计费间隔与用户量之间的推荐比例关系用户数

实时计费间隔（分钟）

3 6 12 ú15

1～99 100～499 500～999 ú1000

相关配置可参考命令retry realtime-accounting，radius scheme。

【举例】

# 将RADIUS方案“radius1”的实时计费的时间间隔设置为51分钟。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] timer realtime-accounting 51

1.2.31 timer response-timeout

【命令】

timer response-timeout seconds

1-54

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

undo timer response-timeout

【视图】

RADIUS方案视图

【参数】

seconds：RADIUS服务器应答超时时间，单位为秒，取值范围为1～10。

【描述】

timer response-timeout命令用来设置RADIUS服务器应答超时时间。

undo timer response-timeout命令用来将RADIUS服务器应答超时时间恢复为缺省值。

缺省情况下，RADIUS服务器应答超时时间为3秒。需要注意以下几点：

如果在RADIUS请求报文（认证/授权请求或计费请求）传送出去一段时间后，设备还没有得到RADIUS服务器的响应，则有必要重传RADIUS请求报文，以保证用户确实能够得到RADIUS服务，这段时间被称为RADIUS服务器响应超时时长，设备系统中用于控制这个时长的定时器就被称为RADIUS服务器响应超时定时器。timer response-timeout命令就是用来设置这个定时器时长的。

z z

根据网络状况，合理地设置这个定时器的时长，有利于提高系统性能。本命令与timer命令的作用相同。

相关配置可参考命令radius scheme，retry。

【举例】

# 将RADIUS方案“radius1”的应答超时时间设置为5秒。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] timer response-timeout 5

1.2.32 user-name-format

【命令】

user-name-format { with-domain | without-domain }

1-55

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

【视图】

RADIUS方案视图

【参数】

with-domain：指定发送给RADIUS服务器的用户名带域名。 without-domain：指定发送给RADIUS服务器的用户名不带域名。

【描述】

user-name-format命令用来设置发送给RADIUS服务器的用户名格式。缺省情况下，RADIUS方案发送给RADIUS服务器的用户名携带有ISP域名。系统缺省创建的“system”方案的用户名不带域名。需要注意以下几点：

接入用户通常以“userid@isp-name”的格式命名，“@”后面的部分为ISP域名，设备就是通过该域名来决定将用户归于哪个ISP域的。但是，有些较早期的RADIUS服务器不能接受携带有ISP域名的用户名，在这种情况下，有必要将用户名中携带的域名去除后再传送给RADIUS服务器。因此，设备提供此命令以指定发送给RADIUS服务器的用户名是否携带有ISP域名。

如果指定某个RADIUS方案不允许用户名中携带有ISP域名，那么请不要在两个乃至两个以上的ISP域中同时设置使用该RADIUS方案。否则，会出现虽然实际用户不同（在不同的ISP域中），但RADIUS服务器认为用户相同（因为传送到它的用户名相同）的错误。

相关配置可参考命令radius scheme。

【举例】

# 指定发送给RADIUS方案“radius1”中RADIUS服务器的用户名不得携带域名。

system-view

System View: return to User View with Ctrl+Z. [H3C] radius scheme radius1 New Radius scheme

[H3C-radius-radius1] user-name-format without-domain

1-56

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.3 HWTACACS协议配置命令

1.3.1 data-flow-format

【命令】

data-flow-format data { byte | giga-byte | kilo-byte | mega-byte }

data-flow-format packet { giga-packet | kilo-packet | mega-packet | one-packet }

undo data-flow-format { data | packet }

【视图】

HWTACACS方案视图

【参数】

data：设置数据的单位。 byte：数据单位为字节。

giga-byte：数据单位为千兆字节。 kilo-byte：数据单位为千字节。 mega-byte：数据单位为兆字节。 packet：设置数据包的单位。

giga-packet：数据包的单位为“giga-packet”。 kilo-packet：数据包的单位为“kilo-packet”。 mega-packet：数据包的单位为“mega -packet”。 one-packet：数据包的单位为“one -packet”。

【描述】

data-flow-format命令用来配置发送到TACACS服务器的数据流的单位。undo data-flow-format命令用来恢复发送到TACACS服务器的数据流的单位为缺省设置。

缺省情况下，数据的单位为byte，数据包的单位为one-packet。相关配置可参考命令display hwtacacs。

【举例】

# 设置发往TACACS服务器的数据流的单位为kilo-byte，数据包的单位为kilo-packet。

system-view

1-57

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

System View: return to User View with Ctrl+Z. [H3C] hwtacacs scheme hwt1

第1章 AAA-RADIUS-HWTACACS

协议配置命令

[H3C- hwtacacs-hwt1] data-flow-format data kilo-byte [H3C- hwtacacs-hwt1] data-flow-format packet kilo-packet

1.3.2 display hwtacacs

【命令】

display hwtacacs [ hwtacacs-scheme-name [ statistics ] ]

【视图】

任意视图

【参数】

hwtacacs-scheme-name：HWTACACS方案名，字符串形式，长度为1～32，不区分大小写。此项如果为空，则显示所有HWTACACS方案的配置信息。 statistics：显示HWTACACS服务器的详细统计信息。

【描述】

display hwtacacs命令用来查看所有或指定HWTACACS方案的配置信息或统计信息。

相关配置请参考命令hwtacacs scheme。

【举例】

# 查看HWTACACS方案gy的配置情况。

display hwtacacs gy

-------------------------------------------------------------------- HWTACACS-server template name : gy

Primary-authentication-server : 172.31.1.11:49 Primary-authorization-server : 172.31.1.11:49 Primary-accounting-server : 172.31.1.11:49 Secondary-authentication-server : 0.0.0.0:0 Secondary-authorization-server : 0.0.0.0:0 Secondary-accounting-server : 0.0.0.0:0 Current-authentication-server : 172.31.1.11:49 Current-authorization-server : 172.31.1.11:49 Current-accounting-server : 172.31.1.11:49 Source-IP-address : 0.0.0.0 key authentication : 790131 key authorization : 790131 key accounting : 790131

1-58

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

Quiet-interval(min) : 5 Response-timeout-Interval(sec) : 5 Domain-included : No Traffic-unit : B

第1章 AAA-RADIUS-HWTACACS

协议配置命令

Packet traffic-unit : one-packet

1.3.3 display stop-accounting-buffer

【命令】

display stop-accounting-buffer { hwtacacs-scheme hwtacacs-scheme-name | session-id session-id | time-range start-time stop-time | user-name user-name }

【视图】

任意视图

【参数】

hwtacacs-scheme hwtacacs-scheme-name：根据HWTACACS方案名显示暂存的停止计费请求报文。其中，hwtacacs-scheme-name为HWTACACS方案名，为不超过32个字符的字符串。

session-id session-id：根据会话ID显示暂存的停止计费请求报文。其中，session-id为会话ID，为不超过50个字符的字符串。

time-range start-time stop-time：根据停止计费请求时刻显示暂存的停止计费请求报文。其中，start-time为请求时间段的起始时间；stop-time为请求时间段的结束时间，格式为hh:mm:ss- mm/dd/yyyy（时:分:秒-月/日/年）或hh:mm:ss-yyyy/mm/dd（时:分:秒-年/月/日）。如果使用本参数，则停止计费请求时刻在start-time到stop-time范围内的、暂存的停止计费请求报文都会被显示。

user-name user-name：根据用户名显示暂存的停止计费请求报文。其中，user-name为纯用户名，为不超过80个字符的字符串。

【描述】

display stop-accounting-buffer命令用来显示缓存在设备上的停止计费请求报文。

相关配置可参考命令reset stop-accounting-buffer，stop-accounting-buffer enable，retry stop-accounting。

【举例】

# 显示为HWTACACS方案“hwt1”缓存的停止计费请求报文。

display stop-accounting-buffer hwtacacs-scheme hwt1

1-59

H3C S5600系列以太网交换机命令手册-Release 1510 AAA-RADIUS-HWTACACS-EAD

第1章 AAA-RADIUS-HWTACACS

协议配置命令

1.3.4 hwtacacs nas-ip

【命令】

hwtacacs nas-ip ip-address undo hwtacacs nas-ip

【视图】

系统视图

【参数】

ip-address：指定的源IP地址，应该为本机的地址，禁止配置全0地址、D类地址、环回地址。

【描述】

hwtacacs nas-ip命令用来指定设备发送hwtacacs报文使用的源地址。undo hwtacacs nas-ip命令用来恢复缺省状态。

缺省情况下，不指定源地址，即以发送报文的接口地址作为源地址。需要注意以下几点：

指定发送hwtacacs报文使用的源地址，可以避免物理接口故障时从服务器返回的报文不可达。一般推荐使用loopback接口地址。

本命令只能指定一个源地址，新配置的源地址会覆盖原有的源地址。