所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
RADIUS配置命令

RADIUS配置命令

authentication-type

命令功能

authentication-type命令用来将当前认证方案下RADIUS认证时所使用的认证类型配置为微软挑战握手认证协议MSCHAPv1(Microsoft Challenge Handshake Authentication Protocol version 1)认证。

undo authentication-type命令用来恢复缺省配置。

缺省情况下,当前认证方案下RADIUS认证时所使用的认证类型为PAP。

命令格式

authentication-type radius mschapv1

undo authentication-type radius mschapv1

参数说明

参数 参数说明 取值
radius

指定RADIUS认证模式。

-

mschapv1 指定认证类型为MSCHAPv1

-

视图

认证方案视图

缺省级别

3:管理级

使用指南

应用场景

MSCHAPv1是一种加密认证协议,主要用于远端客户端访问远端服务器。其原理是:远端服务器发送一个包含会话ID和任意challenge字符串的challenge消息给远端客户端,远端客户端必须返回一个响应消息才能认证成功,响应消息内容包括用户名、接收的challenge字符串的MD4(Message Digest 4)哈希值、会话ID、使用单向MD4(Message Digest 4)哈希算法加密的密码。这种认证类型可以保证用户密码不在网络中明文传输。

执行authentication-type命令可以将当前认证方案下RADIUS认证时所使用的认证类型配置为MSCHAPv1。

注意事项

MSCHAPV1认证使用了不安全的加密算法(MD4,DES),存在安全风险。

使用实例

# 配置当前认证方案下RADIUS认证时所使用的认证类型配置为MSCHAPv1。

<HUAWEI> system-view
[~HUAWEI] aaa
[~HUAWEI-aaa] authentication-scheme scheme1
[*HUAWEI-aaa-authen-scheme1] authentication-type radius mschapv1

display radius attribute

命令功能

display radius attribute命令用来查看设备支持的RADIUS属性。

命令格式

display radius attribute [ name attribute-name | type { huawei | standard | microsoft } attribute-id ]

参数说明

参数

参数说明

取值

name attribute-name

显示指定名称的RADIUS属性。

字符串形式,长度为1~64

type { huawei | standard | microsoft } attribute-id
显示指定类型的RADIUS属性。其中:
  • huawei attribute-id表示华为属性。
    说明:
    RADIUS协议具有良好的可扩展性,协议(RFC2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。RADIUS扩展属性中包含各个设备厂商的厂商代号Vendor-ID,华为公司的Vendor-ID是2011。
  • standard attribute-id表示标准属性。
  • microsoft attribute-id表示微软属性。
attribute-id是整数形式,取值范围是1~2048。

视图

所有视图

缺省级别

3:管理级

使用指南

在设备与RADIUS服务器对接前,可使用本命令查询设备支持哪些RADIUS属性。如果查询结果显示设备与RADIUS服务器支持的RADIUS属性不一致,可执行radius attribute disable配置RADIUS属性禁用。

使用实例

# 查看设备支持的RADIUS属性。

<HUAWEI> display radius attribute
  Codes: Auth(Authentication), Acct(Accounting)
         Req(Request), Accp(Accept), Rej(Reject)
         Resp(Response), COA(Change-of-Authorization)
         0(Can not be existed in this packet)
         1(Can be existed in this packet)
------------------------------------------------------------------------------
Attribute                        Service   Auth Auth Auth Acct Acct COA COA
Name(Type)                       Type      Req  Accp Rej  Req  Resp Req Ack
------------------------------------------------------------------------------
User-Name(1)                     All       1    1    0    1    0    1    1
User-Password(2)                 All       1    0    0    0    0    0    0
CHAP-Password(3)                 All       1    0    0    0    0    0    0
NAS-IP-Address(4)                All       1    0    0    1    0    1    1
NAS-Port(5)                      All       1    0    0    1    0    1    1
Service-Type(6)                  All       1    1    0    1    0    0    0
......
说明:

以上显示信息仅仅是举例,属性类型以设备显示为准。

表16-24  display radius attribute命令输出信息描述

项目

描述

Attribute Name(Type)

属性名称和类型。

Service Type

属性协议类型。

Auth Req

认证请求报文。

Auth Accp

认证接收报文。

Auth Rej

认证拒绝报文。

Acct Req

计费请求报文。

Acct Resp

计费回应报文。

COA Req

COA请求报文。

COA Ack

COA回应报文。

# 查看编号为2的RADIUS标准属性信息。

<HUAWEI> display radius attribute type standard 2
 Radius Attribute Type        : 2
 Radius Attribute Name        : User-Password
 Radius Attribute Description :  This Attribute indicates the password of the user to be authenticated. Only valid for the PAP authen
tication.
 Supported Packets            : Auth Request  
表16-25  display radius attribute type standard standardattribute-id命令输出信息描述

项目

描述

Radius Attribute Type

RADIUS属性类型。

Radius Attribute Name

RADIUS属性名称。

Radius Attribute Description

RADIUS属性描述。

Supported Packets

支持该属性的报文。

display radius attribute packet-count

命令功能

display radius attribute packet-count命令用来查看RADIUS报文中各属性出现的次数统计。

命令格式

display radius attribute packet-count

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

使用此命令可以查看RADIUS报文中出现各种RADIUS属性的次数,有助于定位现网RADIUS认证/计费相关问题。

目前支持查看以下报文的统计计数。
  • 认证请求(AuthReq)
  • 认证接受(AuthAccp)
  • 认证拒绝(AuthRej)
  • 计费请求(AcctReq)
  • 计费回应(AcctResp)
  • COA请求(COAReq)
  • COA回应(COAAck)
说明:

~符号表示报文中出现了本不该出现的属性,例如NAS-Port属性不应该出现在认证接受报文中,但实际却在认证接受报文中出现了NAS-Port属性。

使用实例

# 查看RADIUS报文中各RADIUS属性的次数统计。

<HUAWEI> display radius attribute packet-count
-------------------------------------------------------------------------------------------------  
AttributeName(Type)                     ServiceType  AuthReq     AuthAccp    AuthRej     AcctReq 
                                        AcctResp     COAReq      COAAck         
-------------------------------------------------------------------------------------------------  
Unknown-Attribute                       ALL           0           0           0           0       
                                         0            ~0          ~0            
                                                                                
User-Name(1)                            ALL           0           0           ~0          0       
                                         ~0           0           ~0            
                                                                                
User-Password(2)                        ALL           0           ~0          ~0          ~0      
                                         ~0           ~0          ~0            
                                                                                
CHAP-Password(3)                        ALL           0           ~0          ~0          ~0      
                                         ~0           ~0          ~0            
                                                                                
NAS-IP-Address(4)                       ALL           0           ~0          ~0          0      
                                         ~0           ~0          ~0            
                                                                                
Service-Type(6)                         ALL           0           0           ~0          ~0     
                                         ~0           0           ~0            
......
说明:

以上显示信息仅仅是举例,属性类型以设备显示为准。

表16-26  display radius attribute packet-count命令输出信息描述

项目

描述

AttributeName(Type)

属性名(类型)

ServiceType

服务类型

AuthReq

认证请求报文

AuthAccp

认证接受报文

AuthRej

认证拒绝报文

AcctReq

计费请求报文

AcctResp

计费响应报文

COAReq

COA请求报文

COAAck

COA回应报文

display radius current-status

命令功能

display radius current-status命令用来查看当前RADIUS的状态信息。

命令格式

display radius current-status [ group group-name ]

参数说明

参数 参数说明 取值
group group-name RADIUS服务器组的名称。 必须为已存在的RADIUS服务器组。

视图

所有视图

缺省级别

3:管理级

使用指南

执行display radius current-status命令,可以查看所有RADIUS客户端当前的状态,包括客户端标识符和客户端所有未应答的报文。

服务器未应答报文的个数可以帮助管理员确认该RADIUS服务器组中有新用户发送请求。

使用实例

# 查看RADIUS服务器名称为huawei的当前状态。

<HUAWEI> display radius current-status group huawei
 Info: * means current server.                                                                                                      
----------------------------------------------------------------------------------------------------------------------------------- 
 Type       Address                                       Port      State     Pending Request    VPN                                
----------------------------------------------------------------------------------------------------------------------------------- 
 Auth       1.1.1.1                                       1         Up        0                  -                                  
 Auth       1.1.1.2                                       1         Up        0                  -                                  
----------------------------------------------------------------------------------------------------------------------------------- 
表16-27  display radius current-status group group-name命令输出信息描述

项目

描述

Type RADIUS服务器的类型。
Address RADIUS服务器的IP地址。
Port RADIUS服务器的端口号。
State RADIUS服务器的状态,包括以下几种状态:
  • Up
  • Down
  • Probe
  • Stale
Pending Request 服务器未应答报文的个数。
VPN 绑定的VPN名称。

# 查看RADIUS client的当前状态。

<HUAWEI> display radius current-status
-------------------------------------------------------------------------------------------------
RADIUS client                             :   Disabled                          
RADIUS COA server                         :   Disabled                          
Client identifier                         :   HUAWEI0    
Total authentication pending request      :   1024     
Total accounting pending request          :   0
Dead count                                :   10
Dead interval                             :   5
Dead time                                 :   3 
-------------------------------------------------------------------------------------------------
表16-28  display radius current-status命令输出信息描述

项目

描述

RADIUS client RADIUS客户端的状态,包括以下两种状态:
  • Enabled
  • Disabled
RADIUS COA server RADIUS授权服务器的状态,包括以下两种状态:
  • Enabled
  • Disabled
Client identifier 客户端的标识符。
Total authentication pending request RADIUS客户端所有的未应答认证报文个数。
Total accounting pending request RADIUS客户端所有的未应答计费报文个数。
Dead count 判定RADIUS服务器异常的连续无响应次数。
Dead interval 从第一个没有响应报文到Dead count个数的没有响应报文之间的时间间隔。单位是秒。
Dead time 恢复RADIUS服务器状态的等待时间。单位是分钟。

display radius server authorization configuration

命令功能

display radius server authorization configuration命令用来查看RADIUS授权服务器的配置信息。

命令格式

display radius server authorization configuration

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

使用radius server authorization命令配置授权服务器后,可以通过本命令查看授权服务器的配置是否正确。

使用实例

# 查看RADIUS授权服务器的配置信息。

<HUAWEI> display radius server authorization configuration
----------------------------------------------------------------------------------------------------------------------------------- 
IP Address                                  vpn-instance                    shared key       Ack reserved interval                  
----------------------------------------------------------------------------------------------------------------------------------- 
10.2.3.4                                     -                               **************** 0                                      
----------------------------------------------------------------------------------------------------------------------------------- 
1 Radius authorization server(s) in total 
表16-29  display radius server authorization configuration命令输出信息描述

项目

描述

IP Address

RADIUS授权服务器的IP地址。

vpn-instance

绑定的VPN实例。

shared key

RADIUS授权服务器的共享密钥。

Ack reserved interval

RADIUS授权回应报文的保留时长。

display radius server configuration

命令功能

display radius server configuration命令用来查看RADIUS服务器的配置信息。

命令格式

display radius server configuration [ group group-name ]

参数说明

参数

参数说明

取值

group group-name

指定RADIUS服务器的名称。

如果不指定此参数则显示所有RADIUS服务器的配置信息。

必须是已存在的RADIUS服务器名称。

视图

所有视图

缺省级别

3:管理级

使用指南

完成配置RADIUS服务器后或进行RADIUS故障处理的时候,可以执行该命令查看RADIUS服务器的配置是否正确。

使用实例

# 查看RADIUS服务器的配置信息。

<HUAWEI> display radius server configuration group huawei
-----------------------------------------------------------------------------
Server group name                   :  huawei
Protocol version                    :  standard
Shared secret key                   :  ****************
Timeout interval(in second)         :  5
Primary authentication server       :  10.164.155.13-1812:-:-:-
Primary accounting server           :  10.10.10.5-1000:-:-:-
Secondary authentication server     :  10.10.10.7-1000:-:-:-
Secondary accounting server         :  10.10.10.6-1000:-:-:-
Retransmission                      :  3
Domain included                     :  YES
Mode                                :  Pri-secondary
Source interface                    :  LoopBack1   
NAS-IP-Address                      :  1.2.3.4   
-----------------------------------------------------------------------------
表16-30  display radius server configuration group命令显示说明。

项目

描述

Server group name

RADIUS服务器名称。

Protocol version

RADIUS协议版本。

Shared secret key

共享密钥。

Timeout interval(in second)

超时重传时间。

Primary authentication server

主认证服务器。

Primary accounting server

主计费服务器。

Secondary authentication server

备份认证服务器。

Secondary accounting server

备份计费服务器。

Retransmission

重传次数。

Domain included

用户名是否包含域名。以下两种显示方式:
  • Yes
  • No

Mode

服务器模式。服务器有以下两种模式:
  • Pri-secondary
  • Load-balance

Source interface

设备发送RADIUS报文使用的源接口。

该参数通过命令radius server source interface配置。

NAS-IP-Address

设备发送RADIUS报文使用的NAS-IP-Address。

该参数通过命令radius server nas-ip-address配置。

mode load-balance

命令功能

mode load-balance命令用来将RADIUS服务器模式由主备模式切换成负载分担模式。

undo mode load-balance命令用来将RADIUS服务器模式恢复为缺省配置。

缺省情况下,RADIUS服务器模式为主备模式。

命令格式

mode load-balance

undo mode load-balance

参数说明

视图

RADIUS服务器视图

缺省级别

3:管理级

使用指南

可以通过执行display radius server configuration命令,查看服务器的模式信息。

使用实例

# 配置RADIUS服务器htipl的服务器模式为负载分担模式。

<HUAWEI> system-view
[~HUAWEI] radius server group htipl
[*HUAWEI-radius-htipl] mode load-balance

radius enable

命令功能

radius enable命令用来启动RADIUS协议功能。

undo radius enable命令用来关闭RADIUS协议功能。

缺省情况下,系统未开启RADIUS协议功能。

命令格式

radius enable

undo radius enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

执行命令radius enable开启RADIUS协议功能,RADIUS客户端向服务器发送认证请求。

执行命令undo radius enable关闭RADIUS协议功能,RADIUS客户端终止向服务器发送认证请求。如果有用户正在进行RADIUS认证,该命令执行不成功。

使用实例

# 启动RADIUS协议功能。

<HUAWEI> system-view
[~HUAWEI] radius enable

radius attribute disable

命令功能

radius attribute disable命令用来禁用RADIUS属性。

undo radius attribute disable命令用来删除配置。

缺省情况下,所有RADIUS属性均未被禁用。

命令格式

radius attribute disable attribute-name { receive | send } *

radius attribute disable attribute-name { access-accept | access-request | account [ start ] } *

radius attribute disable attribute-name { bin string | integer integer | ip ip-address | string string } receive

undo radius attribute disable [ attribute-name [ { bin string | integer integer | ip ip-address | string string } receive ] ]

参数说明

参数

参数说明

取值

attribute-name

指定RADIUS属性名称。

字符串形式,长度为1~64

receive

禁用接收报文中的RADIUS属性。

-

send

禁用发送报文中的RADIUS属性。

-

access-accept

禁用认证接受报文中的RADIUS属性。

-
access-request

禁用认证请求报文中的RADIUS属性。

-
account

禁用计费报文中的RADIUS属性。

-
start

禁用计费开始报文中的RADIUS属性。

-
bin string

指定二进制数据。

只有当设备接收到的RADIUS报文中的某属性的属性值与该指定值相同时,设备才对属性进行禁用,并不是完全禁用某属性。

二进制数据,取值范围是1~254。
integer integer

指定整型数据。

只有当设备接收到的RADIUS报文中的某属性的属性值与该指定值相同时,设备才对属性进行禁用,并不是完全禁用某属性。

整数形式,取值范围是0~4294967295。
ip ip-address

指定IP地址。

只有当设备接收到的RADIUS报文中的某属性的属性值与该指定值相同时,设备才对属性进行禁用,并不是完全禁用某属性。

点分十进制格式。
string string

指定字符串。

只有当设备接收到的RADIUS报文中的某属性的属性值与该指定值相同时,设备才对属性进行禁用,并不是完全禁用某属性。

字符串形式,取值范围是1~254。

视图

RADIUS服务器视图

缺省级别

3:管理级

使用指南

应用场景

通常情况下,一个RADIUS服务器会同时与多台网络设备对接,这些网络设备可能是同一个厂商的,也可能是不同厂商的。有些厂商的设备可能需要RADIUS服务器下发某个属性以支持特定的特性,但另外的厂商设备可能不支持这个属性,会造成解析失败。

另一方面,设备可能会与不同厂商的RADIUS服务器对接,有些RADIUS服务器希望设备发送某些属性,而另外一些RADIUS服务器不能处理该属性,收到该属性后可能会造成处理错误。

设备提供RADIUS属性禁用功能,可配置设备在接收RADIUS报文时忽略解析某些不兼容属性,以免造成解析失败;也可配置设备在发送RADIUS报文时禁止发送某些属性,设备发送报文时就不会封装这些禁用的属性。

前提条件

执行本命令之前,需确保已使用命令radius server attribute translate使能设备的RADIUS属性转换功能。

注意事项

在禁用某些RADIUS属性前,可以执行display radius attribute查看设备支持的RADIUS属性。

使用实例

# 禁用发送的报文中的Frame-Route属性。

<HUAWEI> system-view
[~HUAWEI] radius server group test1
[*HUAWEI-radius-test1] radius server attribute translate
[*HUAWEI-radius-test1] radius attribute disable framed-route send

radius server group(AAA域视图)

命令功能

radius server group命令用来配置域的RADIUS服务器

undo radius server group命令用来删除域的RADIUS服务器

缺省情况下,没有配置域的RADIUS服务器

命令格式

radius server group group-name

undo radius server group

参数说明

参数

参数说明

取值

group-name

指定RADIUS服务器名称。

必须是已存在的RADIUS服务器名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对某个域的用户进行RADIUS认证和计费,需要配置域的RADIUS服务器。配置域的RADIUS服务器后,下的配置才能生效。

前置条件

配置域的RADIUS服务器前,必须已经通过radius server group命令创建该RADIUS服务器

使用实例

# 配置域radius1使用名为template1的RADIUS服务器

<HUAWEI> system-view
[~HUAWEI] radius server group template1
[*HUAWEI-radius-template1] quit
[*HUAWEI] aaa
[*HUAWEI-aaa] domain radius1
[*HUAWEI-aaa-domain-radius1] radius server group template1

radius server accounting

命令功能

radius server accounting命令用来配置RADIUS计费服务器。

undo radius server accounting命令用来删除RADIUS计费服务器的相关配置。

缺省情况下,未配置RADIUS计费服务器。

命令格式

radius server accounting ip-address port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] * [ secondary ]

radius server accounting hostname hostname port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] * [ secondary ]

radius server accounting ipv6-address port [ shared-key key-string | shared-key-cipher cipher-string ] [ secondary ]

radius server accounting retransmit retransmit-number timeout timeout-value

undo radius server accounting [ ip-address port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } ] * secondary ]

undo radius server accounting [ hostname hostname port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } ] * secondary ]

undo radius server accounting [ ipv6-address port secondary ]

undo radius server accounting retransmit timeout

参数说明

参数 参数说明 取值
ip-address

指定服务器的IPv4地址。

点分十进制形式,必须是合法的单播地址。

hostname hostname

指定服务器的主机名。

字符串类型,不允许有空格,区分大小写,长度范围是1~255。取值是字母、数字、英文句号“.”、中划线“-”或下划线“_”的组合。至少包含一个字母或数字。

ipv6-address

指定服务器的IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

port

指定服务器的端口号。

整数形式,取值范围是1~65535。

vpn-instance vpn-instance-name

指定VPN实例名。

必须是已存在的VPN实例。

source interface-type interface-number

指定源接口的类型及编号。

必须是已配置IP地址的接口。

source ip-address ip-address

指定服务器的源IP地址。

点分十进制格式,必须是合法的单播地址。

shared-key key-string

指定明文形式的共享密钥。

字符串类型,不允许有空格,区分大小写,长度为1~128。当输入的字符串两端使用双引号时,可在字符串中输入空格。

shared-key-cipher cipher-string

指定明文或密文形式的共享密钥串。

字符串类型,不允许有空格,区分大小写,可以输入长度为1~128个字符的明文,也可以输入长度为24或32~268个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。

secondary

如果配置此参数,表示指定的是备用RADIUS计费服务器。如果不配置此参数,则表示指定的是主用RADIUS计费服务器。

-

retransmit retransmit-number

指定计费请求报文重传次数。

整数形式,取值范围是1~5。

timeout timeout-value

指定计费请求报文超时时间。

整数形式,取值范围是3~25,单位是秒。

视图

RADIUS服务器视图

缺省级别

3:管理级

使用指南

应用场景

为了对用户进行计费,需要配置RADIUS计费服务器。设备通过RADIUS协议与RADIUS计费服务器进行通信并获取计费信息,然后使用该计费信息对用户进行计费。只有执行radius server accounting命令配置了RADIUS服务器中计费服务器的地址和端口号后,设备才可以将计费报文发送给计费服务器。

配置超时重传次数和超时时间后,设备向RADIUS服务器发出计费请求报文后,如果在规定的时间内未得到RADIUS服务器发回的应答,需要设备重传计费请求报文。重传次数超出超时重传次数后,设备认为该服务器已不可用。

注意事项

主用计费服务器和备用计费服务器的IP地址和端口号不能相同,否则将提示配置不成功。

只有当该RADIUS服务器组没有用户使用时,才能改变此配置。

使用实例

# 配置RADIUS主用计费服务器。

<HUAWEI> system-view
[~HUAWEI] radius server group group1
[*HUAWEI-radius-group1] radius server accounting 10.163.155.12 1813

radius server attribute translate

命令功能

radius server attribute translate命令用来启动RADIUS属性转换功能。

undo radius server attribute translate命令用来关闭RADIUS属性转换功能。

缺省情况下,未启动RADIUS属性转换功能。

命令格式

radius server attribute translate

undo radius server attribute translate

参数说明

视图

RADIUS服务器视图

缺省级别

3:管理级

使用指南

目前,不同厂家的RADIUS服务器所支持的属性集不一样,而且可能对某些属性的定义不一样。设备提供RADIUS属性转换功能来适应上述情况。启动了RADIUS属性转换功能后,设备在发送和接收RADIUS报文时,可以对属性进行不同的转换,以便于和不同的服务器进行对接。

使用实例

# 启动RADIUS属性转换功能。

<HUAWEI> system-view
[~HUAWEI] radius server group test1
[*HUAWEI-radius-test1] radius server attribute translate

radius server authentication

命令功能

radius server authentication命令用来配置RADIUS认证服务器。

undo radius server authentication命令用来删除RADIUS认证服务器。

缺省情况下,未配置RADIUS认证服务器。

命令格式

radius server authentication ip-address port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] * [ secondary ]

radius server authentication hostname hostname port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } | { shared-key key-string | shared-key-cipher cipher-string } ] * [ secondary ]

radius server authentication ipv6-address port [ shared-key key-string | shared-key-cipher cipher-string ] [ secondary ]

radius server authentication retransmit retransmit-number timeout timeout-value

undo radius server authentication [ ip-address port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } ] * secondary ]

undo radius server authentication [ hostname hostname port [ vpn-instance vpn-instance-name | source { interface-type interface-number | ip-address ip-address } ] * secondary ]

undo radius server authentication [ ipv6-address port secondary ]

undo radius server authentication retransmit timeout

参数说明

参数 参数说明 取值
ip-address

指定服务器的IPv4地址。

点分十进制形式,必须是合法的单播地址。

hostname hostname

指定服务器的主机名。

字符串类型,不允许有空格,区分大小写,长度范围是1~255。取值是字母、数字、英文句号“.”、中划线“-”或下划线“_”的组合。至少包含一个字母或数字。

ipv6-address

指定服务器的IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

port

指定服务器的端口号。

整数形式,取值范围是1~65535。

vpn-instance vpn-instance-name

指定vpn实例名。

必须是已存在的VPN实例。

source interface-type interface-number

指定源接口的类型及编号。

必须是已配置IP地址的接口。

source ip-address ip-address

指定服务器的源IP地址。

点分十进制格式,必须是合法的单播地址。

shared-key key-string

指定明文形式的共享密钥。

字符串类型,不允许有空格,区分大小写,长度为1~128。当输入的字符串两端使用双引号时,可在字符串中输入空格。

shared-key-cipher cipher-string

指定明文或密文形式的共享密钥串。

字符串类型,不允许有空格,区分大小写,可以输入长度为1~128个字符的明文,也可以输入长度为24或32~268个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。

secondary

如果配置此参数,表示指定的是备用RADIUS认证服务器。如果不配置此参数,则表示指定的是主用RADIUS认证服务器。

-

retransmit retransmit-number

指定认证请求报文重传次数。

整数形式,取值范围是1~5。

timeout timeout-value

指定认证请求报文超时时间。

整数形式,取值范围是3~25,单位是秒。

视图

RADIUS服务器视图

缺省级别

3:管理级

使用指南

应用场景

如果需要使用RADIUS方式进行认证,则必须配置RADIUS服务器中的认证服务器。设备通过RADIUS协议与RADIUS认证服务器进行通信并获取认证信息,然后使用该认证信息对用户进行认证。只有配置RADIUS服务器中认证服务器的地址和端口号后,设备才可以将认证报文发送给认证服务器。

配置超时重传次数和超时时间后,设备向RADIUS服务器发出认证请求报文后,如果在规定的时间内未得到RADIUS服务器发回的应答,需要设备重传认证请求报文。重传次数超出超时重传次数后,设备认为该服务器已不可用。

说明:
  • 系统中一个RADIUS服务器组最多配置32个服务器。一个主认证服务器、一个主计费服务器和30个备份服务器。
  • 主认证服务器在任何模式下都生效,但是在负载分担模式下,不再是唯一生效。

管理用户使用RADIUS认证时,建议在RADIUS服务器上配置用户锁定机制,如果没有配置用户锁定机制,存在被暴力破解的安全风险。

注意事项

主用RADIUS认证服务器和备用RADIUS认证服务器的IP地址和端口号不能相同,否则设备将提示配置不成功。

只有当该RADIUS组没有用户使用时,才能改变此配置。

使用实例

# 配置RADIUS主用RADIUS认证服务器的IP地址为10.163.155.13,端口号为1812。

<HUAWEI> system-view
[~HUAWEI] radius server group group1
[*HUAWEI-radius-group1] radius server authentication 10.163.155.13 1812

radius server authorization

命令功能

radius server authorization命令用来配置RADIUS授权服务器。

undo radius server authorization命令用来删除已配置的RADIUS授权服务器。

缺省情况下,未配置RADIUS授权服务器。

命令格式

radius server authorization ip-address [ vpn-instance vpn-instance-name ] { shared-key key-string | shared-key-cipher cipher-string } [ ack-reserved-interval interval ]

radius server authorization ipv6-address { shared-key key-string | shared-key-cipher cipher-string } [ ack-reserved-interval interval ]

undo radius server authorization ip-address [ vpn-instance vpn-instance-name ]

undo radius server authorization ipv6-address

参数说明

参数

参数说明

取值

ip-address

指定服务器的IPv4地址。

点分十进制形式,必须是合法的单播地址。

ipv6-address

指定服务器的IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

必须是已存在的VPN实例。

ack-reserved-interval interval

指定授权回应报文的保留时长。

整数形式,取值范围为0~300,单位是秒。缺省值是0秒。

shared-key key-string

指定明文形式的共享密钥。

字符串类型,不允许有空格,区分大小写,长度为1~128。当输入的字符串两端使用双引号时,可在字符串中输入空格。

shared-key-cipher cipher-string

指定明文或密文形式的共享密钥串。

字符串类型,不允许有空格,区分大小写,可以输入长度为1~128个字符的明文,也可以输入长度为24或32~268个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了更好的实现对用户权限的控制,RADIUS协议支持通过独立的RADIUS授权服务器对已在线的用户进行授权。RADIUS的授权方法包括CoA(Change of Authorization)和DM(Disconnect Messages)两种:
  • CoA:用户认证成功后,管理员可以通过RADIUS授权服务器来修改在线用户的权限。例如,通过CoA为用户下发VLAN,可以保证某一部门的员工无论从哪个设备端口接入网络,均属于同一个VLAN。
  • DM:管理员可以通过RADIUS授权服务器主动强迫在线用户下线。

只有通过本命令配置了RADIUS授权服务器的IP地址、共享密钥等参数后,设备才能正常接受服务器发送过来的授权请求信息并根据此信息对用户进行授权。完成授权后,设备通过授权回应报文将授权结果反馈给服务器。

注意事项

只有通过命令radius enable使能RADIUS协议功能,配置的RADIUS授权服务器才能生效。

如果要保留RADIUS授权回应报文以用于回应RADIUS授权服务器的重传报文,在配置RADIUS授权服务器的时候需要配置授权回应报文保留时长。取消授权回应报文保留功能只需重新执行该命令并将时长参数设置为0即可。

当大量操作用户在RADIUS授权服务器上同时使用DM方法使用户下线或者使用CoA方法修改用户权限时将可能导致设备大量内存被占用。

使用实例

# 配置RADIUS授权服务器。

<HUAWEI> system-view
[~HUAWEI] radius server authorization 10.1.1.116 shared-key-cipher Huawei@huawei2015

radius server

命令功能

radius server命令用来配置RADIUS服务器Up/Down状态的时间间隔。

undo radius server命令用来恢复缺省配置。

缺省情况下,dead-count是10,dead-interval是5秒,dead-time是3分钟。即判定RADIUS服务器异常的连续无响应次数为10次,从第一个没有响应报文到dead-count个数的没有响应报文之间的时间间隔为5秒,恢复RADIUS服务器状态的等待时间为3分钟。

命令格式

radius server { dead-count dead-count [ fail-rate fail-rate-value ] | dead-interval dead-interval | dead-time dead-time [ recover-count invalid ] } *

undo radius server { dead-count | dead-interval | dead-time | fail-rate | recover-count } *

参数说明

参数 参数说明 取值
dead-count dead-count 指定判定RADIUS服务器异常的连续无响应次数。 整数形式,取值范围是3~65535。
fail-rate fail-rate-value

超时报文丢包率,即超时报文数/发出去的报文总数。

整数形式,取值范围是1~100。缺省值是100。

dead-interval dead-interval 指定从第一个没有响应报文到dead-count个数的没有响应报文之间的时间间隔。 整数形式,取值范围是0~60。单位是秒。
dead-time dead-time 指定恢复RADIUS服务器状态的等待时间。 整数形式,取值范围是1~65535。单位是分钟。
recover-count invalid

配置后服务器状态恢复为Up时忽略是否收到报文,只等待Up定时器超时后再恢复为Up。缺省不配置此参数。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了避免由于服务器故障或设备与服务器之间的链路中断导致的用户认证失败或超时问题,可以执行本命令配置RADIUS服务器Up/Down状态的时间间隔。当设备向RADIUS服务器连续发送若干次(通过本命令设置)RADIUS报文均收不到RADIUS服务器的响应报文,且从第一个没有响应报文到dead-count个数的没有响应报文之间的时间间隔大于dead-interval时,设备判定该RADIUS服务器工作异常并将该RADIUS服务器的状态置为Down,同时开始尝试与其他服务器通信。

当设备将RADIUS的状态置为Down后,等待若干时间(dead-time),设备会重新将RADIUS服务器的状态置为Up,并尝试和该服务器重新建立连接。如果连接失败,继续将该服务器的状态置为Down。

注意事项

建议根据配置的从服务器数量合理设置RADIUS服务器Up/Down状态的时间间隔。如果服务器恢复Up状态时间设置的过短,就会出现设备反复尝试与状态为Up但实际不可达的服务器通信而导致的认证或计费频繁失败的问题。

使用实例

# 配置判定RADIUS服务器异常的连续无响应次数为22次,从第一个没有响应报文到dead-count个数的没有响应报文之间的时间间隔为44秒,恢复RADIUS服务器状态的等待时间为3分钟。

<HUAWEI> system-view
[~HUAWEI] radius server dead-count 22 dead-interval 44 dead-time 3
# 在10秒内,连续20次没有收到RADIUS服务器的响应报文,或者超时报文数目(可以不连续)达到20个时超时的报文比率已经达到50%,将RADIUS服务器的状态设置为Down。经过30分钟后,将RADIUS的状态自动恢复为Up,期间收到服务器回应的报文服务器状态也不恢复为Up。
<HUAWEI> system-view
[~HUAWEI] radius server dead-count 20 fail-rate 50 dead-time 30 recover-count invalid dead-interval 10

radius server nas-ip-address

命令功能

radius server nas-ip-address命令用来配置RADIUS服务器组的NAS(Network Access Server)-IP-Address。

undo radius server nas-ip-address命令用来删除指定的RADIUS服务器组的NAS-IP-Address。

缺省情况下,未配置RADIUS服务器组的NAS-IP-Address,即以发送报文的接口的IP地址作为NAS-IP-Address。

命令格式

radius server nas-ip-address ip-address

undo radius server nas-ip-address

参数说明

参数

参数说明

取值

ip-address

指定RADIUS服务器组的NAS-IP-Address。

点分十进制形式,必须是合法的单播地址。

视图

RADIUS服务器组视图

缺省级别

3:管理级

使用指南

RADIUS服务器根据收到的RADIUS报文的NAS-IP-Address属性是否与服务器所管理的接入设备的IP地址匹配,来决定是否处理来自该接入设备的认证和计费请求。因此,为保证认证和计费报文可被服务器正常接收并处理,接入设备上发送的RADIUS报文的NAS-IP-Address属性必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

缺省情况下,使用发送RADIUS报文的接口的IP地址作为NAS-IP-Address。为避免由于接口下IP地址更改导致设备发送的认证和计费报文无法被服务器正常接收和处理,可以通过本命令配置RADIUS服务器组的NAS-IP-Address。

使用实例

# 配置RADIUS服务器组的NAS-IP-Address是10.1.1.1。

<HUAWEI> system-view
[~HUAWEI] radius server group huawei
[*HUAWEI-radius-huawei] radius server nas-ip-address 10.1.1.1

radius server retransmit timeout

命令功能

radius server retransmit timeout命令用来设置RADIUS请求报文的超时重传次数和超时时间。

undo radius server retransmit timeout命令用来恢复RADIUS请求报文的超时重传次数和超时时间为缺省配置。

缺省情况下,RADIUS请求报文的超时重传次数为3,超时时间是5秒。

命令格式

radius server { retransmit retry-times | timeout time-value } *

undo radius server { retransmit | timeout } *

参数说明

参数

参数说明

取值

retransmit retry-times

指定超时重传次数。

整数形式,取值范围是1~5。

timeout time-value

指定超时时间。

整数形式,取值范围是325,单位是秒。

视图

RADIUS服务器视图

缺省级别

3:管理级

使用指南

应用场景

配置超时重传次数和超时时间后,设备向RADIUS服务器发出请求报文后,如果在规定的时间内未得到RADIUS服务器发回的应答,需要设备重传请求报文。重传次数超出超时重传次数后,设备认为该服务器已不可用。

通过radius server retransmit timeout配置超时重传次数和超时时间可以提高RADIUS认证过程的可靠性。

推荐使用本命令的缺省配置。

注意事项

只有当该RADIUS服务器没有用户使用时,才能改变此配置。

RADIUS服务器请求报文的重传时间(即超时重传次数乘以超时时间)要比Portal服务器请求报文的重传时间设置短一些。

使用实例

# 配置RADIUS超时重传次数为4,重传超时时间为8秒。

<HUAWEI> system-view
[~HUAWEI] radius server group test1
[*HUAWEI-radius-test1] radius server retransmit 4 timeout 8

radius server shared-key

命令功能

radius server shared-key命令用来配置RADIUS服务器的共享密钥。

undo radius server shared-key命令用来删除RADIUS服务器的共享密钥。

缺省情况下,未配置RADIUS服务器的共享密钥。

命令格式

radius server { shared-key key-string | shared-key-cipher cipher-string }

undo radius server shared-key

参数说明

参数

参数说明

取值

shared-key key-string 指定明文共享密钥。

字符串类型,不允许有空格,区分大小写,长度为1~128。当输入的字符串两端使用双引号时,可在字符串中输入空格。

shared-key-cipher cipher-string 指定密文共享密钥。

字符串类型,不允许有空格,区分大小写,可以输入长度为1~128个字符的明文,也可以输入长度为24或32~268个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。

如果升级前版本支持设置长度为32的密文密码,则升级时会自动兼容。

视图

RADIUS服务器视图

缺省级别

3:管理级

使用指南

密钥用于加密用户口令及生成回应认证符。

设备和RADIUS服务器在发送认证报文时,对口令等重要信息使用MD5加密,确保认证信息在网络中传输的安全性。为了确保认证双方身份的合法性,要求设备上的密钥与RADIUS服务器的密钥相同。

说明:

设置密钥可以提高设备与RADIUS服务器通信的安全性。

使用实例

# 配置RADIUS服务器的共享密钥为Huawei@huawei2015,以密文形式显示。

<HUAWEI> system-view
[~HUAWEI] radius server group template1
[*HUAWEI-radius-template1] radius server shared-key-cipher Huawei@huawei2015

radius server source interface

命令功能

radius server source interface命令用来配置设备发送RADIUS报文使用的源接口。

undo radius server source命令用来删除设备发送RADIUS报文使用的源接口。

缺省情况下,未配置设备发送RADIUS报文使用的源接口。

命令格式

radius server source interface interface-type interface-number

undo radius server source

参数说明

参数

参数说明

取值

interface-type interface-number

指定设备发送RADIUS报文使用的源接口,其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

必须为已配置IP地址的接口。

视图

RADIUS服务器组视图

缺省级别

3:管理级

使用指南

应用场景

为避免物理接口故障时从服务器返回的报文不可达,可以通过本命令配置Loopback接口作为设备发送RADIUS报文使用的源接口。

通过本命令配置设备发送RADIUS报文使用的源接口后,设备通过该接口向服务器发送RADIUS报文,同时采用该接口IP地址作为发送RADIUS报文的源地址。

前提条件

接口下已配置了IP地址。

注意事项

当RADIUS服务器在VPN内,当设备向RADIUS服务器发送报文时,源IP地址优先选本命令配置的源接口的IP地址,如果没有配置源接口,按VPN和目的IP查路由,找路由可达的出接口IP作为源IP,如果没找到相应路由,则取VPN内的任意一个接口IP作为源IP地址。

本命令为覆盖式命令,即在同一RADIUS服务器组视图下多次配置设备发送RADIUS报文使用的源接口后,按最后一次配置生效。

使用实例

# 配置设备发送RADIUS报文使用LoobBack1接口作为源接口。

<HUAWEI> system-view
[~HUAWEI] interface loopback 1
[*HUAWEI-LoopBack1] ip address 192.168.2.10 32
[*HUAWEI-LoopBack1] commit
[~HUAWEI-LoopBack1] quit
[~HUAWEI] radius server group huawei
[*HUAWEI-radius-huawei] radius server source interface loopback 1

radius server group

命令功能

radius server group命令用来创建RADIUS服务器组,并进入RADIUS服务器组视图。

undo radius server group命令用来删除一个RADIUS服务器组。

缺省情况下,设备上没有RADIUS服务器

命令格式

radius server group group-name

undo radius server group group-name

参数说明

参数

参数说明

取值

group-name

指定RADIUS服务器的名称。

字符串形式,不支持空格,长度范围是1~32。字符包括大写字母A~Z、小写字母a~z、数字0~9、点号“.”、短线“-”和下划线“_”。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

创建RADIUS服务器是配置RADIUS认证、计费的必选命令。只有创建RADIUS服务器后,才能进行RADIUS的其他配置,如认证服务器、计费服务器、共享密钥等。

后续任务

创建RADIUS服务器后,在RADIUS服务器视图下配置认证服务器、计费服务器、共享密钥等,然后在域视图下执行radius server group(AAA域视图)命令应用RADIUS服务器

注意事项

在设备上最多可以配置128个RADIUS服务器

使用实例

# 创建配置名为template1的RADIUS服务器并进入相应的RADIUS服务器视图。

<HUAWEI> system-view
[~HUAWEI] radius server group template1
[*HUAWEI-radius-template1] 

radius server user-name

命令功能

radius server user-name domain-excluded命令用来配置设备向RADIUS服务器发送的报文中的用户名包含域名。

radius server user-name original命令用来配置设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。

undo radius server user-name domain-excluded命令用来配置设备向RADIUS服务器发送的报文中的用户名包含域名。

缺省情况下,设备向RADIUS服务器发送的报文中的用户名包含域名。

命令格式

radius server user-name domain-excluded

radius server user-name original

undo radius server user-name domain-excluded

参数说明

视图

RADIUS服务器组视图

缺省级别

3:管理级

使用指南

应用场景

用户名通常采用“纯用户名@域名”格式,@后面的部分为域名。这里@表示域名分隔符,域名分隔符也可以是 \ / : < > | ' % 中的一种。

如果RADIUS服务器不接受带域名的用户名,可以执行radius server user-name domain-excluded命令配置将用户名的域名去掉,再发送给RADIUS服务器。

注意事项

只有当该RADIUS服务器没有用户使用时,才能改变此配置。

使用实例

# 设置用户名格式中不包含域名。

<HUAWEI> system-view
[~HUAWEI] radius server group template1
[*HUAWEI-radius-template1] radius server user-name domain-excluded

reset radius attribute packet-count

命令功能

reset radius attribute packet-count命令用来清除RADIUS报文中属性出现次数的统计信息。

命令格式

reset radius attribute packet-count

参数说明

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

当需要通过命令display radius attribute packet-count精确查看当前时间段RADIUS报文中属性出现次数的统计信息时,可使用本命令清除在此时间段前所有RADIUS报文中属性出现次数的统计信息。

注意事项

执行本命令前,请确保已通过命令radius enable开启了RADIUS协议。

使用实例

# 清除RADIUS报文中属性出现次数的统计信息。

<HUAWEI> reset radius attribute packet-count
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:17765

下载量:414

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页