H3C 华为 01AAA命令详解Word文档格式.docx

H3C 华为 01AAA命令详解Word文档格式.docx

《H3C 华为 01AAA命令详解Word文档格式.docx》由会员分享，可在线阅读，更多相关《H3C 华为 01AAA命令详解Word文档格式.docx（86页珍藏版）》请在冰豆网上搜索。

1.1.19displayuser-group.1-18

1.1.20domain.1-19

1.1.21domaindefaultenable.1-19

1.1.22expiration-date.1-20

1.1.23group.1-21

1.1.24idle-cutenable.1-21

1.1.25local-user1-22

1.1.26local-userpassword-display-mode.1-23

1.1.27nas-idbindvlan.1-23

1.1.28password.1-24

1.1.29self-service-urlenable.1-25

1.1.30service-type.1-26

1.1.31state.1-27

1.1.32user-group.1-27

2RADIUS配置命令...2-1

2.1RADIUS配置命令..2-1

2.1.1accounting-onenable.2-1

2.1.2accounting-onenableinterval2-1

2.1.3accounting-onenablesend.2-2

2.1.4attribute25car2-3

2.1.5data-flow-format（RADIUSschemeview）2-3

2.1.6displayradiusscheme.2-4

2.1.7displayradiusstatistics.2-6

2.1.8displaystop-accounting-buffer2-9

2.1.9key（RADIUSschemeview）2-10

2.1.10nas-ip（RADIUSschemeview）2-11

2.1.11primaryaccounting（RADIUSschemeview）2-12

2.1.12primaryauthentication（RADIUSschemeview）2-13

2.1.13radiusclient2-13

2.1.14radiusnas-ip.2-14

2.1.15radiusscheme.2-15

2.1.16radiustrap.2-16

2.1.17resetradiusstatistics.2-16

2.1.18resetstop-accounting-buffer2-17

2.1.19retry.2-18

2.1.20retryrealtime-accounting.2-19

2.1.21retrystop-accounting（RADIUSschemeview）2-20

2.1.22secondaryaccounting（RADIUSschemeview）2-20

2.1.23secondaryauthentication（RADIUSschemeview）2-21

2.1.24security-policy-server2-22

2.1.25server-type.2-23

2.1.26state.2-23

2.1.27stop-accounting-bufferenable（RADIUSschemeview）2-24

2.1.28timerquiet（RADIUSschemeview）2-25

2.1.29timerrealtime-accounting（RADIUSschemeview）2-26

2.1.30timerresponse-timeout（RADIUSschemeview）2-27

2.1.31user-name-format（RADIUSschemeview）2-28

1AAA配置命令

1.1 

AAA配置命令

1.1.1 

aaanas-idprofile

【命令】

aaanas-idprofileprofile-name

undoaaanas-idprofileprofile-name

【视图】

系统视图

【缺省级别】

2：

系统级

【参数】

profile-name：

保存NAS-ID与VLAN绑定关系的Profile名称，为1～16个字符的字符串，不区分大小写。

【描述】

aaanas-idprofile命令用来创建一个NAS-IDProfile或者进入一个已创建的NAS-ID-Profile视图。

undoaaanas-idprofile命令用来删除一个指定的NAS-IDProfile。

相关配置可参考命令nas-idbindvlan。

【举例】

#创建一个名字为aaa的NAS-IDProfile。

<

Sysname>

system-view

[Sysname]aaanas-idprofileaaa

[Sysname-nas-id-prof-aaa]

1.1.2 

access-limit

access-limitmax-user-number

undoaccess-limit

本地用户视图

3：

管理级

max-user-number：

表示使用当前用户名接入设备的最大用户数，取值范围为1～1024。

access-limit命令用来设置当前用户名可容纳的最大接入用户数。

undoaccess-limit命令用来取消对当前用户名的接入用户数限制。

缺省情况下，不限制当前本地用户名可容纳的接入用户数。

需要注意的是，本地用户的access-limit命令只在配置了本地计费方案的情况下生效。

相关配置可参考命令displaylocal-user。

#允许同时以用户名abc在线的用户数为5。

[Sysname]local-userabc

[Sysname-luser-abc]access-limit5

1.1.3 

access-limitenable

access-limitenablemax-user-number

undoaccess-limitenable

ISP域视图

表示当前ISP域可容纳接入用户数的最大值，取值范围为1-2147483646。

access-limitenable命令用来限制当前ISP域可容纳接入用户数。

undoaccess-limitenable命令用来恢复缺省情况。

缺省情况下，不限制当前ISP域可容纳的接入用户数。

需要注意的是，由于接入用户之间会发生资源的争用，因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。

对当前ISP域下所能接入的用户数进行限制后，当接入此域的用户数超过当前ISP域可容纳的最大用户数后，新接入的用户将被拒绝。

#指定ISP域test最多可容纳500个接入用户。

[Sysname]domaintest

[Sysname-isp-test]access-limitenable500

1.1.4 

accountingdefault

accountingdefault{local|none|radius-schemeradius-scheme-name[local]}

undoaccountingdefault

local：

本地计费。

none：

不计费。

radius-schemeradius-scheme-name：

指定RADIUS方案。

其中，radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串。

accountingdefault命令用来为所有类型的用户配置缺省的计费方案。

undoaccountingdefault命令用来恢复缺省情况。

缺省情况下，所有类型的用户采用local计费方案。

需要注意的是：

● 

当前ISP域所引用的RADIUS方案必须是已配置的。

本命令所配置的计费方案不区分用户类型，即对所有类型的用户都起作用。

此配置的优先级低于具体接入方式的配置。

本地计费只是为了支持本地用户的连接数管理，没有实际的统计功能。

本地的接入数管理只对本地计费有效，对本地认证和授权没有作用。

相关配置可参考命令authenticationdefault、authorizationdefault和radiusscheme。

#在系统缺省的ISP域system下，为所有类型的用户配置计费方案为local。

[Sysname]domainsystem

[Sysname-isp-system]auccountingdefaultlocal

#在ISP域test下，为所有类型的用户配置方案名为rd的RADIUS计费方案，并且local作为备份计费方案。

[Sysname-isp-test]accountingdefaultradius-schemerdlocal

1.1.5 

accountinglogin

accountinglogin{local|none|radius-schemeradius-scheme-name[local]}

undoaccountinglogin

实现了本地用户连接数的统计和限制，并没有实际的费用统计功能。

accountinglogin命令用来为login用户配置计费方案。

undoaccountinglogin命令用来恢复缺省情况。

缺省情况下，login用户采用缺省的计费方案。

login接入方式中的FTP服务不支持计费流程。

相关配置可参考命令accountingdefault和radiusscheme。

#在系统缺省的ISP域system下，为login用户配置计费方案为local。

[Sysname-isp-system]accountingloginlocal

#在ISP域test下，为login用户配置方案名为rd的RADIUS计费方案，并且local作为备份计费方案。

[Sysname-isp-test]accountingloginradius-schemerdlocal

1.1.6 

accountingoptional

accountingoptional

undoaccountingoptional

无

accountingoptional命令用来打开计费可选开关。

undoaccountingoptional命令用来关闭计费可选开关。

缺省情况下，计费可选处于关闭状态。

对上线用户计费时，如果发现没有可用的计费服务器或与计费服务器通信失败时，若配置了本命令，则用户可以继续使用网络资源，且系统不再为其发送实时计费更新报文，否则用户连接将被切断。

该命令适用于只认证但不关心计费的情况。

计费可选开关打开的情况下，本地用户视图下的access-limit命令配置的本地用户的连接数限制功能不生效。

#打开ISP域test的计费可选开关。

[Sysname-isp-test]accountingoptional

1.1.7 

authenticationdefault

authenticationdefault{local|none|radius-schemeradius-scheme-name[local]}

undoauthenticationdefault

本地认证。

不进行认证。

authenticationdefault命令用来为所有类型的用户配置缺省的认证方案。

undoauthenticationdefault命令用来为恢复缺省情况。

缺省情况下，所有类型的用户采用local认证。

本命令配置的认证方案不区分用户类型，即对所有类型的用户都起作用。

相关配置可参考命令authorizationdefault、accountingdefault和radiusscheme。

#在系统缺省的ISP域system下，为所有类型的用户配置认证方案为local。

[Sysname-isp-system]authenticationdefaultlocal

#在ISP域test下，为所有类型的用户配置方案名为rd的RADIUS认证方案，并且local作为备份认证方案。

[Sysname-isp-test]authenticationdefaultradius-schemerdlocal

1.1.8 

authenticationlogin

authenticationlogin{local|none|radius-schemeradius-scheme-name[local]}

undoauthenticationlogin

authenticationlogin命令用来为login用户配置认证方案。

undoauthenticationlogin命令用来恢复缺省情况。

缺省情况下，login用户采用缺省的认证方案。

需要注意的是，当前ISP域所引用的RADIUS方案必须是已配置的。

相关配置可参考命令authenticationdefault和radiusscheme。

#在系统缺省的ISP域system下，为login用户配置认证方案为local。

[Sysname-isp-system]authenticationloginlocal

#在ISP域test下，为login用户配置方案名为rd的RADIUS认证方案，并且local作为备份认证方案。

[Sysname-isp-test]authenticationloginradius-schemerdlocal

1.1.9 

authorizationcommand

authorizationcommand{local|none}

undoauthorizationcommand

本地授权。

直接授权，即对用户非常信任，直接授权通过，此时用户的权限为系统的默认权限。

authorizationcommand命令用来为命令行用户配置授权方案。

undoauthorizationcommand命令用来恢复缺省情况。

缺省情况下，命令行用户采用缺省的授权方案。

需要注意的是，对于本地授权，本地用户必须存在，而且当前要授权的命令行的级别不能大于本地用户的级别，否则本地授权失败。

相关配置可参考命令authorizationdefault。

#在系统缺省的ISP域system下，为命令行用户配置授权方案为local。

[Sysname-isp-system]authorizationcommandlocal

1.1.10 

authorizationdefault

authorizationdefault{local|none|radius-schemeradius-scheme-name[local]}

undoauthorizationdefault

authorizationdefault命令用来为所有类型的用户配置缺省的授权方案。

undoauthorizationdefault命令用来恢复缺省情况。

缺省情况下，所有类型的用户采用local授权方案。

authorizationdefault命令配置的授权方案不区分用户类型，即对所有类型的用户都起作用。

RADIUS授权是特殊的流程，只是在认证和授权的RADIUS方案相同的条件下，RADIUS授权起作用，否则授权失败。

对于所有RADIUS授权失败的情况，授权失败返回给NAS的原因为server没有响应。

相关配置可参考命令authenticationdefault、accountingdefault和radiusscheme。

#在系统缺省的ISP域system下，为所有类型的用户配置授权方案为local。

[Sysname-isp-system]authorizationdefaultlocal

#在ISP域test下，为所有类型的用户配置方案名为rd的RADIUS授权方案，并且local作为备份授权方案。

[Sysname-isp-test]authorizationdefaultradius-schemerdlocal

1.1.11 

authorizationlogin

authorizationlogin{local|none|radius-schemeradius-scheme-name[local]}

undoauthorizationlogin

authorizationlogin命令用来为login用户配置授权方案。

undoauthoriza