01-AAA命令
本章节下载: 01-AAA命令 (458.00 KB)
1.1.9 authentication lan-access
1.1.14 authorization lan-access
1.1.16 authorization-attribute user-profile
1.1.25 self-service-url enable
1.2.2 authorization-attribute(Local user view/user group view)
1.2.6 expiration-date(Local user view)
1.2.8 group-attribute allow-guest
1.2.14 validity-date(Local user view)
1.3.3 data-flow-format (RADIUS scheme view)
1.3.5 display radius statistics
1.3.6 display stop-accounting-buffer (for RADIUS)
1.3.7 key (RADIUS scheme view)
1.3.8 nas-ip (RADIUS scheme view)
1.3.9 primary accounting (RADIUS scheme view)
1.3.10 primary authentication (RADIUS scheme view)
1.3.17 reset radius statistics
1.3.18 reset stop-accounting-buffer (for RADIUS)
1.3.20 retry realtime-accounting
1.3.21 retry stop-accounting (RADIUS scheme view)
1.3.22 secondary accounting (RADIUS scheme view)
1.3.23 secondary authentication (RADIUS scheme view)
1.3.28 stop-accounting-buffer enable (RADIUS scheme view)
1.3.29 timer quiet (RADIUS scheme view)
1.3.30 timer realtime-accounting (RADIUS scheme view)
1.3.31 timer response-timeout (RADIUS scheme view)
1.3.32 user-name-format (RADIUS scheme view)
1.4.1 data-flow-format (HWTACACS scheme view)
1.4.3 display stop-accounting-buffer (for HWTACACS)
1.4.6 key (HWTACACS scheme view)
1.4.7 nas-ip (HWTACACS scheme view)
1.4.8 primary accounting (HWTACACS scheme view)
1.4.9 primary authentication (HWTACACS scheme view)
1.4.11 reset hwtacacs statistics
1.4.12 reset stop-accounting-buffer (for HWTACACS)
1.4.13 retry stop-accounting (HWTACACS scheme view)
1.4.14 secondary accounting (HWTACACS scheme view)
1.4.15 secondary authentication (HWTACACS scheme view)
1.4.16 secondary authorization
1.4.17 stop-accounting-buffer enable (HWTACACS scheme view)
1.4.18 timer quiet (HWTACACS scheme view)
1.4.19 timer realtime-accounting (HWTACACS scheme view)
【命令】
aaa nas-id profile profile-name
undo aaa nas-id profile profile-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
profile-name:Profile名称,为1~16个字符的字符串,不区分大小写。该Profile用于保存NAS-ID与VLAN的绑定关系。
【描述】
aaa nas-id profile命令用来创建NAS-ID Profile并进入NAS-ID-Profile视图。undo aaa nas-id profile命令用来删除一个指定的NAS-ID Profile。
相关配置可参考命令nas-id bind vlan。
【举例】
# 创建一个名字为aaa的NAS-ID Profile。
<Sysname> system-view
[Sysname] aaa nas-id profile aaa
[Sysname-nas-id-prof-aaa]
【命令】
access-limit enable max-user-number
undo access-limit enable
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
max-user-number:表示当前ISP域可容纳接入用户数的最大值,取值范围为1~2147483646。
【描述】
access-limit enable命令用来限制当前ISP域可容纳接入用户数。当接入此域的用户数超过当前ISP域可容纳的最大用户数后,新接入的用户将被拒绝。undo access-limit enable命令用来恢复缺省情况。
缺省情况下,不限制当前ISP域可容纳的接入用户数。
需要注意的是,由于系统资源有限,如果当前ISP域下接入的用户过多,接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。
相关配置可参考命令display domain。
【举例】
# 指定ISP域test最多可容纳500个接入用户。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] access-limit enable 500
【命令】
accounting command hwtacacs-scheme hwtacacs-scheme-name
undo accounting command
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting command命令用来配置命令行计费方法。undo accounting command命令用来恢复缺省情况。
缺省情况下,命令行计费采用当前ISP域的缺省计费方法。
需要注意的是:
· 当前ISP域所引用的HWTACACS方案必须是已配置的。
· 命令行计费支持的远程AAA方案目前仅为HWTACACS方案。
相关配置可参考命令accounting default和hwtacacs scheme。
【举例】
# 在ISP域test下,配置使用HWTACACS计费方案hwtac进行命令行计费。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting command hwtacacs-scheme hwtac
【命令】
accounting default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting default
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting default命令用来为当前ISP域配置缺省的计费方法。undo accounting default命令用来恢复缺省情况。
缺省情况下,当前ISP域的缺省计费方法为local。
需要注意的是:
· 当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
· 当前ISP域的缺省计费方法对于该域中未指定具体计费方法的所有接入用户都起作用,但是如果某类型的用户不支持指定的计费方法,则该计费方法对于这类用户不能生效。
· 本地计费只是为了支持本地用户的连接数管理,没有实际的计费相关的统计功能。
相关配置可参考命令local-user、hwtacacs scheme和radius scheme。
【举例】
# 在ISP域test下,配置缺省计费方法为使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting default radius-scheme rd local
accounting lan-access { local | none | radius-scheme radius-scheme-name [ local | none] }
undo accounting lan-access
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting lan-access命令用来为lan-access用户配置计费方法。undo accounting lan-access命令用来恢复缺省情况。
缺省情况下,lan-access用户采用当前ISP域的缺省计费方法。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令local-user、accounting default和radius scheme。
【举例】
# 在ISP域test下,为lan-access用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access local
# 在ISP域test下,配置lan-access用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting lan-access radius-scheme rd local
【命令】
accounting login { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }
undo accounting login
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
hwtacacs-scheme hwtacacs-scheme-name:指定HWTACACS方案。其中,hwtacacs-scheme-name表示HWTACACS方案名,为1~32个字符的字符串,不区分大小写。
local:本地计费。
none:不计费。
radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串,不区分大小写。
【描述】
accounting login命令用来为login用户配置计费方法。undo accounting login命令用来恢复缺省情况。
缺省情况下,login用户采用当前ISP域的缺省计费方法。
需要注意的是:
· 当前ISP域所引用的RADIUS或HWTACACS方案必须是已配置的。
· FTP类型的login用户不支持计费流程。
相关配置可参考命令local-user、accounting default、hwtacacs scheme和radius scheme。
【举例】
# 在ISP域test下,为login用户配置计费方法为local。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login local
# 在ISP域test下,配置login用户使用RADIUS方案rd进行计费,并且使用local作为备份计费方法。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting login radius-scheme rd local
【命令】
accounting optional
undo accounting optional
【视图】
ISP域视图
【缺省级别】
2:系统级
【参数】
无
【描述】
accounting optional命令用来打开计费可选开关。undo accounting optional命令用来关闭计费可选开关。
缺省情况下,计费可选开关处于关闭状态。
需要注意的是:
· 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了本命令,则用户可以继续使用网络资源,且系统不再为其发送实时计费更新报文,否则用户连接将被切断。该命令适用于不是特别关心计费结果的情况下。
· 计费可选开关打开的情况下,本地用户视图下的access-limit命令配置的本地用户的连接数限制功能不生效。
【举例】
# 打开ISP域test的计费可选开关。
<Sysname> system-view
[Sysname] domain test
[Sysname-isp-test] accounting optional
支持