所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
HWTACACS配置命令

HWTACACS配置命令

display hwtacacs current-status

命令功能

display hwtacacs current-status命令用来查看HWTACACS的状态信息。

命令格式

display hwtacacs current-status [ template template-name ]

参数说明

参数 参数说明 取值
template template-name HWTACACS服务器模板的名称。 必须是已存在的HWTACACS服务器模板名称。

视图

所有视图

缺省级别

3:管理级

使用指南

执行display hwtacacs current-status [ template template-name ]可以查看服务器的当前状态信息。

使用实例

# 显示名称为huawei的服务器模板的状态信息。

<HUAWEI> display hwtacacs current-status template huawei
Info: * means current server.
--------------------------------------------------------------------------------------
 Server type       IP address/Server Host Name     Port  Pending request    VPN       
-----------------------------------------------------------
*Authentication   authen_host                       23    0                 vpn1     
*Authorization    author_host                      123    0                 vpn1     
*Accounting       acct_host                         10    0                 vpn1     
 Authentication   10.2.2.2                          32    0                 vpn1     
 Authentication   10.3.3.3                          33    0                 vpn1     
 Authorization    10.1.1.1                          12    0                 vpn1     
 Authorization    author_host_sec                  233    0                 vpn1     
 Accounting       acct_host_sec                     11    0                 vpn1     
-------------------------------------------------------------------------------------
表16-31  display hwtacacs current-status template template-name命令输出信息描述

项目

描述

Server type HWTACACS服务器的类型。
IP address/Server Host Name HWTACACS服务器的IP地址或主机名
Port HWTACACS服务器的端口号。
Pending request 服务器未应答报文个数。
VPN 绑定的VPN。

# 显示HWTACACS客户端的当前状态。

<HUAWEI> display hwtacacs current-status
----------------------------------------
 HWTACACS service status      : Enabled 
 Total templates configured   : 1       
 Total servers configured     : 3       
----------------------------------------
表16-32  display hwtacacs current-status命令输出信息描述

项目

描述

HWTACACS service status HWTACACS服务器状态。有如下两种:
  • Enabled
  • Disabled
Total templates configured 配置的服务器模板总数。
Total servers configured 配置的服务器总数。

display hwtacacs server template

命令功能

display hwtacacs server template命令用来查看HWTACACS服务器模板的配置信息。

命令格式

display hwtacacs server template [ template-name [ verbose ] | template-name [ { authentication | authorization | accounting | common } [ { ip-address | ipv6-address | host host-name } [ vpn-instance vpn-instance-name ] ] [ statistics ] ] ]

参数说明

参数 参数说明 取值
template-name 显示指定HWTACACS服务器模板的配置信息。 必须是已存在的HWTACACS服务器模板。
verbose

显示详细的HWTACACS服务器模板的配置信息。

如果不指定该参数,则查看所有HWTACACS服务器模板的配置信息。

-
authentication 指定服务器的类型为认证。 -
authorization 指定服务器的类型为授权。 -
accounting 指定服务器的类型为计费。 -
common 指定服务器的类型为公共。 -
ip-address 指定服务器的IP地址。地址类型必须是单播。 点分十进制形式。
vpn-instance vpn-instance-name 指定VPN实例名。 必须是已存在的VPN实例。
ipv6-address 指定服务器的IPv6地址。 总长度为128位,通常分为8组,每组为4个十六进制数的形式。格式为X:X:X:X:X:X:X:X。
host host-name

指定服务器的主机名。

字符串类型,不允许有空格,区分大小写,长度范围是1~255。取值是字母、数字、英文句号“.”、中划线“-”或下划线“_”的组合。至少包含一个字母或数字。

statistics 显示HWTACACS服务器的流量统计信息。 -

视图

所有视图

缺省级别

3:管理级

使用指南

本命令可以查看HWTACACS服务器模板的配置信息,用来检查HWTACACS服务器模板的配置结果是否正确,还可以帮助管理员定位故障。

使用实例

# 查看所有HWTACACS服务器模板的配置信息。

<HUAWEI> display hwtacacs server template
--------------------------------------------------------------------------------
Template name                          : ht
Template ID                            : 0
Primary authentication server          : 10.1.1.1-49:-
Primary authorization server           : 10.1.1.1-49:-
Primary accounting server              : 10.1.1.1-49:-
Primary common server                  : 0.0.0.0-0:-
Current authentication server          : 10.1.1.2-49:-
Current authorization server           : 10.1.1.2-49:-
Current accounting server              : 10.1.1.2-49:-
Source IP address                      : 0.0.0.0
Shared key                             : ****************
Quiet interval (min)                   : 5
Response timeout interval (sec)        : 5
Domain included                        : Yes
Secondary authentication server count  : 1
Secondary authorization server count   : 1
Secondary accounting server count      : 1
Secondary common server count          : 0
--------------------------------------------------------------------------------
表16-33  display hwtacacs server template命令输出信息描述

项目

描述

Template name

HWTACACS服务器的模板名称

Template ID

HWTACACS服务器的模板ID

Primary authentication server

主认证服务器

Primary authorization server

主授权服务器

Primary accounting server

主计费服务器

Primary common server

主公共服务器

Current authentication server

当前认证服务器

Current authorization server

当前授权服务器

Current accounting server

当前计费服务器

Source IP address

HWTACACS服务器的源IP地址

Shared key

HWTACACS服务器的共享密钥

Quiet interval (min)

HWTACACS主服务器恢复激活状态的时间

Response timeout interval (sec)

HWTACACS服务器应答超时时间

Domain included

HWTACACS服务器的用户名格式是否带域名,有以下两种情况:
  • Yes
  • No

Secondary authentication server count

备份认证服务器个数

Secondary authorization server count

备份授权服务器个数

Secondary accounting server count

备份计费服务器个数

Secondary common server count

备份公共服务器个数

# 显示认证服务器模板ht的配置信息。

<HUAWEI> display hwtacacs server template ht authentication
----------------------------------------------------------------------------
Template Name      : ht                                                         
Template ID        : 1                                                          
Server Type        : Authentication                                             
Server IP Address  : 10.1.1.1                                                
Server Id          : 0                                                          
Server Port        : 49                                                         
Shared Key         : -                                                          
Mux Mode           : Disable                                                    
VPN-Instance       : -                                                          
Server Status      : Active                                                     
Is Primary Server  : YES                                                        
Is Current Server  : YES                                                        
----------------------------------------------------------------------------
# 显示公共服务器模板t1的配置信息。
<HUAWEI> display hwtacacs server template t1 common
-------------------------------------------------
 Template Name      :  t1
 Template ID        :  0
 Server Type        :  Common
 Server IP Address  :  10.1.1.1
 Server Id          :  255
 Server Port        :  49
 Shared Key         :
 Mux Mode           :  Disable
 VPN-Instance       :
 Server Status      :  Active
 Is Primary Server  :  NO
 Is Current Server  :  NO
-------------------------------------------------
表16-34  display hwtacacs server template template-name { authentication | common } 命令输出信息详细描述

项目

描述

Template Name

HWTACACS服务器模板名称

Template ID

HWTACACS服务器模板ID

Server Type

服务器的类型,有以几种:
  • Authentication
  • Authorization
  • Accounting
  • Common

Server IP Address

HWTACACS服务器源IP地址

Server Id

HWTACACS服务器ID

Server Port

HWTACACS服务器端口号

Shared Key

HWTACACS服务器的共享密钥

Mux Mode

是否使能多服务器模式。有以下两种情况:
  • Enable
  • Disable

VPN-Instance

VPN实例名称

Server Status

HWTACACS服务器的状态,有以下两种情况:
  • Active
  • Down

Is Primary Server

该服务器是否是主服务器。有以下两种情况:
  • Yes
  • No

Is Current Server

该服务器是否是当前服务器。有以下两种情况:
  • Yes
  • No

# 显示认证服务器模板ht的流量统计信息。

<HUAWEI> display hwtacacs server template ht authentication statistics
------------------------------------------------------------------
 TemplateID                     : 1                                             
 Server IP Address              : 10.1.1.1                                   
 VPN-Instance                   : -                                             
 Server Type                    : Authentication                                
 Authen Server Open Request No  : 0                                             
 Authen Server Close Request No : 0                                             
 Authentication Request No      : 0                                             
 Authentication Response No     : 0                                             
------------------------------------------------------------------
表16-35  display hwtacacs server template template-name authentication statistics命令输出信息描述

项目

描述

Template ID

HWTACACS服务器模板ID

Server IP Address

HWTACACS服务器源IP地址

VPN-Instance

VPN实例名称

Server Type

服务器的类型,有以几种:
  • Authentication
  • Authorization
  • Accounting
  • Common

Authen Server Open Request No

认证服务器打开的请求报文数

Authen Server Close Request No

认证服务器关闭的请求报文数

Authentication Request No

认证请求报文个数

Authentication Response No

认证响应报文个数

# 显示ht服务器模板的详细统计信息。

<HUAWEI> display hwtacacs server template ht verbose
---------------------------------------------------------------------
 Authentication Server Open Count         : 1
 Authentication Server Close Count        : 1
 Authentication Request Packet Count      : 1
 Authentication Response Packet Count     : 1
 Authentication Passed Count              : 1
 Authentication Failed Count              : 0
 Authentication Response Error Count      : 0
 Authentication Response Follow Count     : 0
 Authentication Response Getdata Count    : 0
 Authentication Response Getpassword Count: 0
 Authentication Response Getuser Count    : 0 
 Authentication Send Continue Count       : 0 
 Authentication Send Abort Count          : 0 
 Authentication Response Restart Count    : 0
 Authentication Malformed Response Count  : 0
 Authorization Server Open Count          : 0
 Authorization Server Close Count         : 0
 Authorization Request Packet Count       : 0
 Authorization Response Packet Count      : 0
 Authorization Malformed Response Count   : 0
 Accounting Server Open Count             : 0
 Accounting Server Close Count            : 0
 Accounting Request Packet Count          : 0
 Accounting Response Packet Count         : 0
 Accounting Response Pass Count           : 0
 Accounting Response Follow Count         : 0
 Accounting Response Error Count          : 0
 Accounting Start Packet Count            : 0
 Accounting Stop Packet Count             : 0
 Accounting Malformed Response Count      : 0  
---------------------------------------------------------------------
表16-36  display hwtacacs server template template-name verbose 命令输出信息描述

项目

描述

Authentication Server Open Count

打开的认证服务器个数

Authentication Server Close Count

关闭的认证服务器个数

Authentication Request Packet Count

认证请求报文个数

Authentication Response Packet Count

认证响应报文个数

Authentication Passed Count

认证通过报文数

Authentication Failed Count

认证失败报文数

Authentication Response Error Count

认证响应错误报文数

Authentication Response Follow Count

认证响应后续报文数

Authentication Response Getdata Count

认证响应中Getdata的个数

Authentication Response Getpassword Count

认证响应中Getpassword的个数

Authentication Response Getuser Count

认证响应中Getuser的个数

Authentication Send Continue Count

认证持续报文数

Authentication Send Abort Count

认证丢弃报文数

Authentication Response Restart Count

认证响应中Restart的个数

Authentication Malformed Response Count

认证响应中畸形报文个数

Authorization Server Open Count

打开的授权服务器个数

Authorization Server Close Count

关闭的授权服务器个数

Authorization Request Packet Count

授权请求报文个数

Authorization Response Packet Count

授权响应报文个数

Authorization Malformed Response Count

授权响应中畸形报文个数

Accounting Server Open Count

打开的计费服务器个数

Accounting Server Close Count

关闭的计费服务器个数

Accounting Request Packet Count

计费请求报文个数

Accounting Response Packet Count

计费响应报文个数

Accounting Response Pass Count

计费通过报文个数

Accounting Response Follow Count

计费响应后续报文数

Accounting Response Error Count

计费响应错误报文数

Accounting Start Packet Count

计费开始报文个数

Accounting Stop Packet Count

计费结束报文个数

Accounting Malformed Response Count

计费响应中畸形报文个数

hwtacacs enable

命令功能

hwtacacs enable命令用来使能HWTACACS功能。

undo hwtacacs enable命令用来去使能HWTACACS功能。

缺省情况下,未使能HWTACACS功能。

命令格式

hwtacacs enable

undo hwtacacs enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当用户希望对HWTACACS协议进行配置时,需要使用hwtacacs enable命令开启HWTACACS协议功能。

注意事项

执行命令undo hwtacacs enable关闭HWTACACS协议功能时,如果有用户正在进行HWTACACS认证或授权,或在线的用户使用HWTACACS计费,该命令执行不成功。

使用实例

# 关闭HWTACACS功能。

<HUAWEI> system-view
[~HUAWEI] undo hwtacacs enable

hwtacacs server

命令功能

hwtacacs server命令用来配置域的HWTACACS服务器模板。

undo hwtacacs server命令用来删除域的HWTACACS服务器模板。

缺省情况下,没有配置域的HWTACACS服务器模板。

命令格式

hwtacacs server template-name

undo hwtacacs server

参数说明

参数

参数说明

取值

template-name

指定HWTACACS服务器模板名称。

必须是已存在的HWTACACS服务器模板名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对某个域的用户进行HWTACACS认证、授权、计费,需要配置域的HWTACACS服务器模板。配置域的HWTACACS服务器模板后,模板下的配置才能生效。

前置条件

配置域的HWTACACS服务器模板前,必须已经通过hwtacacs server template命令创建HWTACACS服务器模板。

使用实例

# 设置域tacacs1使用HWTACACS服务器模板template1。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template template1
[*HUAWEI-hwtacacs-huawei] quit
[*HUAWEI] aaa
[*HUAWEI-aaa] domain tacacs1
[*HUAWEI-aaa-domain-tacacs1] hwtacacs server template1

hwtacacs server accounting

命令功能

hwtacacs server accounting命令用来配置HWTACACS计费服务器。

undo hwtacacs server accounting命令用来删除HWTACACS计费服务器的配置。

缺省情况下,未配置HWTACACS计费服务器。

命令格式

hwtacacs server accounting ip-address [ port ] [ { vpn-instance vpn-instance-name | public-net } | shared-key { key-string | cipher cipher-string } | mux-mode ] * [ secondary ]

hwtacacs server accounting ipv6-address [ port ] [ shared-key { key-string | cipher cipher-string } | mux-mode | vpn-instance vpn-instance-name ] * [ secondary ]

hwtacacs server accounting host host-name [ port ] [ shared-key { key-string | cipher cipher-string } | mux-mode | { vpn-instance vpn-instance-name | public-net } ] * [ secondary ]

undo hwtacacs server accounting [ ip-address [ port ] [ { vpn-instance vpn-instance-name | public-net } | mux-mode ] * [ secondary ] ]

undo hwtacacs server accounting [ ipv6-address [ port ] [ mux-mode | vpn-instance vpn-instance-name ] [ secondary ] ]

undo hwtacacs server accounting [ ipv6-address [ port ] mux-mode vpn-instance vpn-instance-name [ secondary ] ]

undo hwtacacs server accounting [ ipv6-address [ port ] vpn-instance vpn-instance-name mux-mode secondary ]

undo hwtacacs server accounting host host-name [ port ] [ mux-mode | { vpn-instance vpn-instance-name | public-net } ] * [ secondary ]

参数说明

参数 参数说明 取值
ip-address

指定服务器的IP地址。

点分十进制格式。必须是有效的单播地址。
ipv6-address 指定服务器的IPv6地址。 总长度为128位,通常分为8组,每组为4个16进制数的形式,格式为X:X:X:X:X:X:X:X。
port

指定服务器的端口号。

整数形式,取值范围是1~65535。缺省值是49。
vpn-instance vpn-instance-name

指定VPN实例名。

如果指定参数vpn-instance,则表示服务器被映射到一个VPN实例。

必须为已存在的VPN实例。
public-net 在公网中连接HWTACACS计费服务器。 -
shared-key key-string

指定共享密钥。

字符串类型,不允许空格,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。
shared-key cipher cipher-string

指定共享密钥为密文格式。

字符串类型,不允许空格,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。
mux-mode

指定服务器工作在复用模式。

-
host host-name

指定服务器的主机名。

字符串类型,不允许有空格,区分大小写,长度范围是1~255。取值是字母、数字、英文句号“.”、中划线“-”或下划线“_”的组合。至少包含一个字母或数字。

secondary

指定备份服务器。

  • 如果不指定参数secondary,则表示配置主HWTACACS计费服务器的IP地址。

  • 如果指定参数secondary,则表示配置备HWTACACS计费服务器的IP地址。

-

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

由于设备不支持本地计费,所以需要计费服务器来完成计费。只有配置HWTACACS服务器模板中计费服务器的地址后,设备才可以将计费报文发送给计费服务器。

注意事项

主用计费服务器和备用计费服务器的IP地址不能相同,否则设备将提示配置不成功。

使用实例

# 配置HWTACACS计费服务器。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template test1
[*HUAWEI-hwtacacs-test1] hwtacacs server accounting 10.163.155.12 49

hwtacacs server authentication

命令功能

hwtacacs server authentication命令用来配置HWTACACS认证服务器。

undo hwtacacs server authentication命令用来删除HWTACACS认证服务器的配置。

缺省情况下,未配置HWTACACS认证服务器。

命令格式

hwtacacs server authentication ip-address [ port ] [ { vpn-instance vpn-instance-name | public-net } | shared-key { key-string | cipher cipher-string } | mux-mode ] * [ secondary ]

hwtacacs server authentication ipv6-address [ port ] [ shared-key { key-string | cipher cipher-string } | mux-mode | vpn-instance vpn-instance-name ] * [ secondary ]

hwtacacs server authentication host host-name [ port ] [ shared-key { key-string | cipher cipher-string } | mux-mode | { vpn-instance vpn-instance-name | public-net } ] * [ secondary ]

undo hwtacacs server authentication [ ip-address [ port ] [ { vpn-instance vpn-instance-name | public-net } | mux-mode ] * [ secondary ] ]

undo hwtacacs server authentication [ ipv6-address [ port ] [ mux-mode | vpn-instance vpn-instance-name ] * [ secondary ] ]

undo hwtacacs server authentication host host-name [ port ] [ mux-mode | { vpn-instance vpn-instance-name | public-net } ] * [ secondary ]

参数说明

参数 参数说明 取值
ip-address 指定服务器的IP地址。 点分十进制格式。必须是有效的单播地址。
ipv6-address 指定服务器的IPv6地址。 总长度为128位,通常分为8组,每组为4个16进制数的形式,格式为X:X:X:X:X:X:X:X。
port 指定服务器的端口号。 整数形式,取值范围是1~65535。缺省值是49。
vpn-instance vpn-instance-name

指定VPN实例名。

必须为已存在的VPN实例。

public-net 指定在公网中连接HWTACACS认证服务器。 -
shared-key

指定共享密钥。

-
key-string

以明文形式指定共享密钥。

字符串类型,不允许空格,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。
cipher cipher-string 指定密文共享密钥。 字符串类型,不允许空格,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。
mux-mode 指定使能HWTACACS服务器模板的多服务器模式。 -
host host-name

指定服务器的主机名。

字符串类型,不允许有空格,区分大小写,长度范围是1~255。取值是字母、数字、英文句号“.”、中划线“-”或下划线“_”的组合。至少包含一个字母或数字。

secondary 指定备份服务器,如果不使用此参数,则表示主服务器。 -

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

如果需要使用HWTACACS方式进行认证,则必须配置HWTACACS服务器模板中的认证服务器。只有配置HWTACACS服务器模板中认证服务器的地址后,设备才可以将认证报文发送给认证服务器。

如果同时配置了主用认证服务器和备用认证服务器,则当满足以下条件之一时,设备会向备用认证服务器发送认证请求报文。
  • 设备向主服务器发送的请求报文发送失败;
  • 主服务器没有返回认证响应报文;
  • 主服务器要求重新认证;
  • 主服务器收到的认证请求报文错误。

管理用户使用HWTACACS认证时,建议在HWTACACS服务器上配置用户锁定机制,如果没有配置用户锁定机制,存在被暴力破解的安全风险。

注意事项

只有当没有与指定的认证服务器建立TCP连接时,才允许修改该配置。

主用认证服务器和备用认证服务器的IP地址不能相同,否则设备将提示配置不成功。

使用实例

# 配置HWTACACS认证服务器,服务器的IP地址是10.163.155.13。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template test1
[*HUAWEI-hwtacacs-test1] hwtacacs server authentication 10.163.155.13

hwtacacs server authorization

命令功能

hwtacacs server authorization命令用来配置HWTACACS授权服务器。

undo hwtacacs server authorization命令用来删除HWTACACS授权服务器的配置。

缺省情况下,未配置HWTACACS授权服务器。

命令格式

hwtacacs server authorization ip-address [ port ] [ { vpn-instance vpn-instance-name | public-net } | shared-key { key-string | cipher cipher-string } | mux-mode ] * [ secondary ]

hwtacacs server authorization ipv6-address [ port ] [ shared-key { key-string | cipher cipher-string } | mux-mode | vpn-instance vpn-instance-name ] * [ secondary ]

hwtacacs server authorization host host-name [ port ] [ shared-key { key-string | cipher cipher-string } | mux-mode | { vpn-instance vpn-instance-name | public-net } ] * [ secondary ]

undo hwtacacs server authorization [ ip-address [ port ] [ { vpn-instance vpn-instance-name | public-net } | mux-mode ] * [ secondary ] ]

undo hwtacacs server authorization [ ipv6-address [ port ] [ mux-mode | vpn-instance vpn-instance-name ] * [ secondary ] ]

undo hwtacacs server authorization host host-name [ port ] [ mux-mode | { vpn-instance vpn-instance-name | public-net } ] * [ secondary ]

参数说明

参数 参数说明 取值
ip-address

服务器的IP地址。

点分十进制格式。必须是有效的单播地址。

ipv6-address 指定服务器的IPv6地址。 总长度为128位,通常分为8组,每组为4个16进制数的形式,格式为X:X:X:X:X:X:X:X。
port

服务器的端口号。

整数形式,取值范围是1~65535。缺省值是49。

vpn-instance vpn-instance-name

VPN实例名。

必须为已存在的VPN实例。

public-net 在公网中连接HWTACACS授权服务器。 -
shared-key

指定共享密钥。

-
key-string

以明文形式指定共享密钥。

字符串类型,不允许空格,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。
cipher cipher-string

指定共享密钥为密文格式。

字符串类型,不允许空格,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。
mux-mode

配置HWTACACS授权服务器处于多服务器状态。

-

host host-name

指定服务器的主机名。

字符串类型,不允许有空格,区分大小写,长度范围是1~255。取值是字母、数字、英文句号“.”、中划线“-”或下划线“_”的组合。至少包含一个字母或数字。

secondary

指定备份服务器,如果不使用此参数,则表示主服务器。

-

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

如果需要使用HWTACACS方式进行授权,则必须配置HWTACACS服务器模板中的授权服务器。只有配置HWTACACS服务器模板中授权服务器的地址后,设备才可以将授权报文发送给授权服务器。

注意事项

只有当没有与指定的授权服务器建立TCP连接时,才允许修改该配置。

主用授权服务器和备用授权服务器的IP地址不能相同,否则设备将提示配置不成功。

使用实例

# 配置授权服务器的IP地址,IP地址为10.163.155.13。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template test1
[*HUAWEI-hwtacacs-test1] hwtacacs server authorization 10.163.155.13

hwtacacs server(HWTACACS服务器模板视图)

命令功能

hwtacacs server命令用来在HWTACACS服务器模板视图下配置HWTACACS公共服务器。

undo hwtacacs server命令用来在HWTACACS服务器模板视图下删除配置的公共服务器。

缺省情况下,没有配置HWTACACS公共服务器。

命令格式

hwtacacs server ip-address [ port ] [ { vpn-instance vpn-instance-name | public-net } | shared-key { key-string | cipher cipher-string } | mux-mode ] * [ secondary ]

hwtacacs server ipv6-address [ port ] [ shared-key { key-string | cipher cipher-string } | mux-mode | vpn-instance vpn-instance-name ] * [ secondary ]

hwtacacs server host host-name [ port ] [ shared-key { key-string | cipher cipher-string } | mux-mode | { vpn-instance vpn-instance-name | public-net } ] * [ secondary ]

undo hwtacacs server [ ip-address [ port ] [ [ vpn-instance vpn-instance-name | public-net ] | mux-mode ] * [ secondary ] ]

undo hwtacacs server [ ipv6-address [ port ] [ { mux-mode | vpn-instance vpn-instance-name } * ] [ secondary ] ]

undo hwtacacs server host host-name [ port ] [ mux-mode | [ vpn-instance vpn-instance-name | public-net ] ] * [ secondary ]

参数说明

参数 参数说明 取值
ip-address 指定服务器的IP地址。 点分十进制格式。必须是合法的单播地址。
ipv6-address 指定服务器的IPv6地址。 总长度为128位,通常分为8组,每组为4个16进制数的形式,格式为X:X:X:X:X:X:X:X。
port 指定服务器的端口号。 整数形式,取值范围是1~65535。缺省值是49。
vpn-instance vpn-instance-name 指定VPN实例名。

必须为已存在的VPN实例。

public-net 指定在公网中连接HWTACACS认证服务器。 -
shared-key 指定共享密钥。 -
key-string 指定明文形式的共享密钥。 字符串类型,不允许空格,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。
cipher cipher-string 指定密文形式的共享密钥。 字符串类型,不允许空格,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。当输入的字符串两端使用双引号时,可在字符串中输入空格。
mux-mode

指定HWTACACS服务器模板为复用模式。

不选择mux-mode时,每当一个会话完成后,HWTACACS服务器和本地AAA之间的通道会立即关闭,直到再收到会话请求时才打开。而当配置了mux-mode时,如果两个会话的时间间隔小于设定值,HWTACACS服务器和本地AAA之间的通道会保持开启。当会话数较多且密集时,可选择mux-mode,以提高文件传输效率。

-
host host-name

指定服务器的主机名。

字符串类型,不允许有空格,区分大小写,长度范围是1~255。取值是字母、数字、英文句号“.”、中划线“-”或下划线“_”的组合。至少包含一个字母或数字。

secondary 指定备份服务器。如果不配置此参数,则表示主用服务器。 -

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

当用户配置HWTACACS的计费、授权和认证服务器时,需要分别单独配置服务器IP地址和VPN实例等信息。而当计费、授权和认证服务器使用同一IP地址、同一VPN实例时,也需要进行3次配置,操作复杂。为了简化操作,可配置公共服务器功能。

注意事项

公共服务器的优先级高于分别配置的认证、计费和授权服务器。当配置公共服务器为主用服务器时,其他类型的服务器(指认证、计费、授权服务器)的配置不生效。

主用公共服务器和备用公共服务器的IP地址必须不同,否则配置失败。

使用实例

# 在HWTACACS服务器模板temp1中创建一个IP地址为10.0.0.1的公共服务器。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template temp1
[*HUAWEI-hwtacacs-temp1] hwtacacs server 10.0.0.1

hwtacacs server shared-key

命令功能

hwtacacs server shared-key命令用来配置HWTACACS服务器共享密钥。

undo hwtacacs server shared-key命令用来删除HWTACACS服务器共享密钥。

缺省情况下,没有配置HWTACACS服务器共享密钥。

命令格式

hwtacacs server shared-key { cipher cipher-string | key-string }

undo hwtacacs server shared-key

参数说明

参数

参数说明

取值

cipher cipher-string

指定密文共享密钥。

字符串类型,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。

说明:
字符不包括“?”和空格。但是,当输入的密码两端使用双引号时,可在密码中间输入空格。
key-string

指定明文共享密钥。

明文形式配置的共享密钥将以密文共享密钥存储。

字符串类型,不允许空格,区分大小写,可以输入1~255个字符的明文,也可以输入20~432个字符的密文。
说明:
字符不包括“?”和空格。但是,当输入的密码两端使用双引号时,可在密码中间输入空格。

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

密钥用于加密用户口令及生成回应认证符。

设备和HWTACACS服务器在发送认证报文时,对口令等重要信息使用MD5加密,确保认证信息在网络中传输的安全性。为了确保认证双方身份的合法性,要求设备上的密钥与HWTACACS服务器的密钥相同,即共享密钥。

注意事项

为提高安全性,建议共享密钥至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密钥长度不小于6个字符。

只有当该HWTACACS服务器模板没有用户使用时,才能改变此配置。

使用实例

# 配置HWTACACS服务器共享密钥为Huawei@1234,以密文形式显示。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template template1
[*HUAWEI-hwtacacs-template1] hwtacacs server shared-key cipher Huawei@1234

hwtacacs server source-ip

命令功能

hwtacacs server source-ip命令用来设置设备向HWTACACS服务器发送HWTACACS报文的源IP地址。

undo hwtacacs server source-ip命令用来将设备向HWTACACS服务器发送HWTACACS报文的源IP地址恢复为缺省值。

缺省情况下,未配置HWTACACS报文的源IP地址,此时设备使用实际出接口的IP地址作为HWTACACS报文的源IP地址。

命令格式

hwtacacs server source-ip ip-address

undo hwtacacs server source-ip

参数说明

参数

参数说明

取值

ip-address

指定IP地址。

点分十进制形式,必须是合法的单播地址。

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

指定HWTACACS源IP地址后,设备使用该HWTACACS服务器模板与服务器通信时,报文的源IP地址为指定的IP地址。

使用实例

# 配置HWTACACS源IP地址为10.1.1.1。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template template1
[*HUAWEI-hwtacacs-template1] hwtacacs server source-ip 10.1.1.1

hwtacacs server template

命令功能

hwtacacs server template命令用来创建HWTACACS服务器模板,并进入HWTACACS服务器模板视图。

undo hwtacacs server template命令用来删除HWTACACS服务器模板。

缺省情况下,设备上没有HWTACACS服务器模板。

命令格式

hwtacacs server template template-name

undo hwtacacs server template template-name

参数说明

参数

参数说明

取值

template-name

指定HWTACACS服务器模板名称。

字符串形式,不只支持空格,长度范围是1~32。字符包括大写字母A~Z、小写字母a~z、数字0~9、点号“.”、短线“-”和下划线“_”。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

创建HWTACACS服务器模板是配置HWTACACS认证、授权、计费的必选配置步骤。只有创建HWTACACS服务器模板后,才能进行HWTACACS的其他配置,如认证服务器、授权服务器、计费服务器、共享密钥等。

后续任务

创建HWTACACS服务器模板后,在模板视图下配置认证服务器、计费服务器、共享密钥等,然后在域视图下执行hwtacacs server命令应用HWTACACS服务器模板。

注意事项

设备最多支持配置128个HWTACACS服务器模板。

只有当模板没有被用户使用时,才能修改模板内容。

使用undo hwtacacs server template命令删除模板时,如果此模板有用户正在使用,则设备将提示删除失败。

使用实例

# 创建名称为template1的HWTACACS服务器模板并进入HWTACACS服务器模板视图。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template template1
[*HUAWEI-hwtacacs-template1] 

hwtacacs server timer quiet

命令功能

hwtacacs server timer quiet命令用来配置主用服务器恢复激活状态的静默时间。

undo hwtacacs server timer quiet命令用来恢复主用服务器恢复激活状态的静默时间缺省值。

缺省情况下,主用服务器恢复激活状态前需要等待5分钟。

命令格式

hwtacacs server timer quiet interval

undo hwtacacs server timer quiet

参数说明

参数

参数说明

取值

interval

指定主用服务器恢复激活状态的时间。

整数形式,取值范围是1~255,单位是分钟。

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

如果主用服务器不可用,设备会自动切换至备用服务器,向备用服务器发送报文。到达主用服务器恢复激活状态的时间后,设备尝试与主用服务器建立连接:

  • 如果主用服务器仍不可用,则设备继续向备用服务器发送报文,直到下一次恢复激活状态的时间再次尝试与主用服务器建立连接,如此循环。
  • 如果主用服务器可用,则设备切换到主用服务器,向主用服务器发送报文。

通过设置主用服务器恢复激活状态的静默时间,既保证能够主用服务器尽快恢复激活状态,又减少了服务器切换时的探测次数。

推荐使用本命令的缺省值。

注意事项

用户通过本命令改变主用服务器恢复激活状态的时间时,设备不检查当前是否有用户在使用HWTACACS服务器模板。

使用实例

# 设置主用服务器恢复激活状态的时间为3分钟。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template template1
[*HUAWEI-hwtacacs-template1] hwtacacs server timer quiet 3

hwtacacs server timer response-timeout

命令功能

hwtacacs server timer response-timeout命令用来配置HWTACACS应答超时时间。

undo hwtacacs server timer response-timeout命令用来将HWTACACS应答超时时间恢复为缺省值。

缺省情况下,HWTACACS应答超时时间为5秒。

命令格式

hwtacacs server timer response-timeout interval

undo hwtacacs server timer response-timeout

参数说明

参数

参数说明

取值

interval

指定HWTACACS应答超时时间。

整数形式,取值范围是1~300,单位是秒。

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

配置超时时间后,设备向HWTACACS服务器发出请求报文后,如果在规定的时间内未得到HWTACACS服务器发回的应答:
  • 如果只配置了一个HWTACACS服务器,需要设备向此服务器重传请求报文。
  • 如果配置了主备HWTACACS服务器,需要设备向备用服务器重传请求报文。
这样就提高了HWTACACS认证、授权、计费过程的可靠性。

推荐使用本命令的缺省配置。

注意事项

只有当该HWTACACS服务器模板没有用户使用时,才能改变此配置。

使用实例

# 设置HWTACACS应答超时时间为30秒。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template test1
[*HUAWEI-hwtacacs-test1] hwtacacs server timer response-timeout 30

hwtacacs server user-name domain-excluded

命令功能

hwtacacs server user-name domain-excluded命令用来配置设备向HWTACACS服务器发送的报文中用户名包含域名。

undo hwtacacs server user-name domain-excluded命令用来配置设备向HWTACACS服务器发送的报文中用户名包含域名。

缺省情况下,设备向HWTACACS服务器发送的报文中的用户名包含域名。

命令格式

hwtacacs server user-name domain-excluded

undo hwtacacs server user-name domain-excluded

参数说明

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

用户名通常采用“纯用户名@域名”格式,@后面的部分为域名。这里@表示域名分隔符,域名分隔符也可以是 \ / : < > | ' % 中的一种。

如果HWTACACS服务器不接受带域名的用户名,可以执行hwtacacs server user-name domain-excluded命令配置将用户名的域名去掉,再发送给HWTACACS服务器。

注意事项

只有当该HWTACACS服务器模板没有用户使用时,才能改变此配置。

使用实例

# 配置设备向HWTACACS服务器发送的报文中的用户名格式,指定用户名包含域名。

<HUAWEI> system-view
[~HUAWEI] hwtacacs server template template1
[*HUAWEI-hwtacacs-template1] undo hwtacacs server user-name domain-excluded

hwtacacs-user change-password hwtacacs server

命令功能

hwtacacs-user change-password hwtacacs server命令用来在设备上修改用户在HWTACACS服务器上保存的用户密码。

命令格式

hwtacacs-user change-password hwtacacs server template-name

参数说明

参数

参数说明

取值

template-name

HWTACACS模板名称。

必须是已存在的HWTACACS模板。

视图

用户视图

缺省级别

0:参观级

使用指南

应用场景

如果用户需要修改保存在HWTACACS服务器上的用户密码时,可以在设备上直接配置修改,不需要使用HWTACACS服务器进行配置修改。

注意事项

  • 登录设备的用户必须是经过HWTACACS认证的用户,且服务器模板必须已经存在。

  • 只有在HWTACACS服务器上保存的用户名和密码没有过期的情况下,才允许用户主动使用该命令修改密码;对于密码已经过期的用户,登录设备时,HWTACACS服务器将返回认证不成功,不允许用户主动更改密码。

  • 系统等待超过30秒,用户未输入用户名或新密码、确认密码时,密码修改将中断。

  • 用户可以输入Ctrl+C取消本次密码修改。

  • 经过AAA认证的HWTACACS用户可以使用该命令修改未过期的密码,修改其他HWTACACS用户密码时要求使用该命令的用户有系统级权限。

使用实例

# 经过HWTACACS认证的用户主动修改用户密码。

<HUAWEI> hwtacacs-user change-password hwtacacs server huawei
Info: EXEC is in an interactive process, please wait...
Username:cj@huawei
Old Password:
New Password:
Re-enter New password:
Info: The password has been changed successfully.

reset hwtacacs server statistics

命令功能

reset hwtacacs server statistics命令用来清除HWTACACS认证、计费、授权的统计信息。

命令格式

reset hwtacacs server statistics { accounting | all | authentication | authorization | common }

参数说明

参数

参数说明

取值

accounting

清除所有HWTACACS的计费统计信息。

-

all

清除所有统计信息。

-

authentication

清除所有HWTACACS的认证统计信息。

-

authorization

清除所有HWTACACS的授权统计信息。

-

common 清除所有HWTACACS公共服务器的统计信息。 -

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

如果需要统计在某一时间内HWTACACS认证、计费、授权的统计信息,必须在开始统计前清除原有的统计信息,然后再使用display hwtacacs server template template-name verbose命令查看HWTACACS认证、计费、授权的统计信息。

注意事项

执行reset hwtacacs server statistics命令会清除HWTACACS认证、计费、授权的统计信息,这些统计信息将无法恢复。执行该命令前,请确认是否要清除HWTACACS认证、计费、授权的统计信息。

使用实例

# 清除所有统计信息。

<HUAWEI> reset hwtacacs server statistics all
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:20414

下载量:434

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页