所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
策略联动配置命令

策略联动配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

as access controller ip-address

命令功能

as access controller ip-address命令用来在接入设备上指定控制设备的IP地址。

undo as access controller ip-address命令用来在接入设备上删除已指定的控制设备的IP地址。

缺省情况下,接入设备上未指定控制设备的IP地址。

命令格式

as access controller ip-address ip-address

undo as access controller ip-address

参数说明

参数

参数说明

取值

ip-address

指定控制设备的IP地址。

点分十进制格式。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

部署策略联动方案时,接入设备与控制设备之间通过CAPWAP通道建立连接。当接入设备使用DHCP服务器动态获取IP地址时,与其建立CAPWAP通道的控制设备的IP地址,是通过Option43选项动态告知给接入设备的。当静态配置接入设备的IP地址时,与其建立CAPWAP通道的控制设备的IP地址,需要通过命令as access controller ip-address ip-address指定。

注意事项

本命令仅在接入设备上支持。

使用实例

# 指定控制设备的IP地址。
<HUAWEI> system-view
[HUAWEI] as access controller ip-address 10.1.1.1

as access interface

命令功能

as access interface命令用来在接入设备上指定建立CAPWAP隧道的源接口。

undo as access interface命令用来在接入设备上删除建立CAPWAP隧道的源接口。

缺省情况下,接入设备上未指定建立CAPWAP隧道的源接口。

命令格式

as access interface vlanif vlan-id

undo as access interface

参数说明

参数

参数说明

取值

vlanif vlan-id

指定建立CAPWAP隧道的源接口。

整数形式,取值范围是1~4094。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

部署策略联动方案时,CAPWAP隧道用于在控制设备和接入设备之间建立连接和完成控制设备和接入设备之间的用户关联、消息通信、用户授权策略下发、用户同步等处理过程。在接入设备上,通过命令as access interface vlanif vlan-id,指定建立CAPWAP隧道的源接口。

注意事项

本命令仅在接入设备上支持。

策略联动中,CAPWAP隧道的管理VLAN用于接入设备上线,除基本配置外,不建议在管理VLAN及其对应的VLANIF下配置其他业务,以免造成接入设备无法正常上线。

使用实例

# 指定建立CAPWAP隧道的源接口。

<HUAWEI> system-view
[HUAWEI] vlan batch 10
[HUAWEI] interface vlanif 10
[HUAWEI-Vlanif10] quit
[HUAWEI] as access interface vlanif 10

authentication access-point

命令功能

authentication access-point命令用来在接入设备的接口下使能远程接入控制功能。

undo authentication access-point命令用来在接入设备的接口下去使能远程接入控制功能。

缺省情况下,接入设备的接口下未使能远程接入控制功能。

命令格式

authentication access-point [ open ]

undo authentication access-point [ open ]

参数说明

参数

参数说明

取值

open

关闭接入点的权限控制功能。

-

视图

Ethernet接口视图、MultiGE接口视图、40GE接口视图、GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

部署策略联动方案时,在接入设备上配置接口作为接入点,使能远程接入控制功能。

如果用户希望权限控制功能放在控制设备上、接入设备不做权限控制,可以在接入设备上关闭接入点的权限控制功能(指定open参数)。例如,现网存在单MAC多IP地址的终端时,需要在控制设备上配置通过IP地址标记静态用户的功能,但是由于接入设备无法生成多个与之对应的表项,因此接入设备上不能进行权限控制,此时可以在接入设备上关闭接入点的权限控制功能。

注意事项

本命令仅在接入设备上支持。

SVF采用独立配置模式时,Eth-Trunk接口不支持配置本命令。

说明:

在执行命令authentication access-pointundo authentication access-point时,需要确保接口下未使能认证类型,否则需要先将认证类型去使能。

执行命令authentication access-point open时,还需同时执行命令authentication access-point,否则authentication access-point open命令功能不生效。

不同设备支持的接口类型不同,请以实际设备为准。

使用实例

# 在接口GE0/0/1下配置接口作为接入点。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] authentication access-point

authentication access-point max-user

命令功能

authentication access-point max-user命令用来在接入设备的接口上配置允许接入用户的最大数目。

undo authentication access-point max-user命令用来恢复缺省配置。

缺省情况下,接入设备的接口上没有限制允许接入用户的最大数目。

命令格式

authentication access-point max-user max-user-number

undo authentication access-point max-user

参数说明

参数值

参数说明

取值

max-user-number

指定接入设备的接口上允许接入用户的最大数目。

整数形式,取值范围是

  • S5320EI、S6320EI、S5720EI、S6720EI和S6720S-EI:1~512
  • 其他款型:1~256

视图

Ethernet接口视图、MultiGE接口视图、40GE接口视图、GE接口视图、XGE接口视图、端口组视图、Eth-Trunk接口视图

缺省级别

2:配置级

使用指南

应用场景

当管理员需要对某接入接口允许接入的最大用户数进行限制时,可通过该命令进行配置。

注意事项

该命令仅在接入设备上支持。

该命令仅对新上线用户生效。

不同设备支持的接口类型不同,请以实际设备为准。

使用实例

# 在接口GE0/0/1下配置允许接入用户的最大数目为100。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] authentication access-point max-user 100

authentication associate alarm-restrain enable

命令功能

authentication associate alarm-restrain enable命令用来打开关联用户接入限制的告警抑制功能。

undo authentication associate alarm-restrain enable命令用来关闭告警抑制功能。

缺省情况下,已打开关联用户接入限制的告警抑制功能。

命令格式

authentication associate alarm-restrain enable

undo authentication associate alarm-restrain enable

参数说明

视图

系统视图

缺省级别

1:监控级

使用指南

应用场景

关联用户由于受到接口配置的规格限制或者关联用户规格限制而导致接入失败时会发送告警。

为避免设备短时间内产生大量重复的告警,浪费设备资源,影响系统性能,可打开关联用户接入限制的告警抑制功能。这可使设备产生并记录某一告警信息后,在抑制周期内(请参见命令authentication associate alarm-restrain period)不会产生相同类型的告警。

注意事项

该命令仅在接入设备上支持。

使用实例

# 打开关联用户接入限制的告警抑制功能。

<HUAWEI> system-view
[HUAWEI] authentication associate alarm-restrain enable

authentication associate alarm-restrain period

命令功能

authentication associate alarm-restrain period命令用来配置关联用户接入限制的告警抑制周期。

undo authentication associate alarm-restrain period命令用来恢复缺省值。

缺省情况下,关联用户接入限制的告警抑制周期为300秒。

命令格式

authentication associate alarm-restrain period period-value

undo authentication associate alarm-restrain period

参数说明

参数

参数说明

取值

period-value

指定关联用户接入限制的告警抑制周期。

整数类型,取值范围为60~604800,单位为秒。

视图

系统视图

缺省级别

1:监控级

使用指南

应用场景

通过命令authentication associate alarm-restrain enable打开关联用户接入限制的告警抑制功能后,可使用命令authentication associate alarm-restrain period配置告警抑制周期。之后,在抑制周期内,设备不会产生相同类型的告警。

注意事项

该命令仅在接入设备上支持。

使用实例

# 配置关联用户接入限制的告警抑制周期为600s。

<HUAWEI> system-view
[HUAWEI] authentication associate alarm-restrain period 600

authentication control-point

命令功能

authentication control-point命令用来配置接口作为控制点。

undo authentication control-point命令用来恢复缺省配置。

缺省情况下,未配置接口作为控制点。

命令格式

authentication control-point [ open ]

undo authentication control-point

参数说明

参数

参数说明

取值

open

打开控制点的转发功能。

-

视图

VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

部署策略联动时,在控制设备上配置接口作为控制点。配置open参数时,控制点直接转发用户流量。不配置open参数时,控制点通过NAC认证对用户流量进行转发权限管理。

注意事项

  • 本命令仅在控制设备上支持。

  • 当NAC认证接口为VLANIF接口时,要求VLANIF接口以及其对应的物理接口都要配置为控制点;但是,对应的物理接口下不能再配置NAC认证。VLANIF接口不支持配置参数open

  • 在执行命令authentication control-point [ open ]或undo authentication control-point时,需要确保接口下未使能认证类型,否则需要先将认证类型去使能。

  • 如下接口作为控制点时,仅支持直接转发用户流量,即仅支持配置命令authentication control-point open
    • 非X系列单板上的接口
    • 包含非X系列单板接口的Eth-Trunk接口

使用实例

# 在接口GE1/0/1下配置接口作为控制点。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1] authentication control-point

authentication open ucl-policy enable

命令功能

authentication open ucl-policy enable命令用来配置已执行authentication control-point open命令的控制点在转发用户流量之前,基于用户ACL对用户流量进行过滤。

undo authentication open ucl-policy enable命令用来恢复已执行authentication control-point open命令的控制点直接转发用户流量。

缺省情况下,已执行authentication control-point open命令的控制点直接转发用户流量。

说明:

X系列单板支持该命令。

命令格式

authentication open ucl-policy enable

undo authentication open ucl-policy enable

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

该命令适用于以下场景:

对于通过未配置认证的接入设备的接口上线的有线用户的流量、NAC认证成功但并未对其授权UCL组的用户的流量或直接转发模式下无线用户的流量,控制点会直接转发。此时如果控制点需要基于用户ACL对上述用户流量进行过滤,可以执行命令authentication open ucl-policy enable

前置任务

控制设备上已执行traffic-filter inbound acl { acl-number | name acl-name }命令配置基于用户ACL对报文进行过滤的功能。

注意事项

该命令仅支持在控制设备上配置。

使用实例

# 配置已执行authentication control-point open命令的控制点GE1/0/1在转发用户流量之前,基于用户ACL对用户流量进行过滤。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1] authentication control-point open
[HUAWEI-GigabitEthernet1/0/1] authentication open ucl-policy enable

authentication speed-limit

命令功能

authentication speed-limit命令用来配置接入设备发送用户关联和去关联请求消息的速率限制。

undo authentication speed-limit命令用来恢复接入设备发送用户关联和去关联请求消息的速率为缺省值。

缺省情况下,在30秒内,接入设备发送用户关联和去关联请求消息的最大个数为60个。

命令格式

authentication speed-limit max-num max-num-value interval interval-value

undo authentication speed-limit

参数说明

参数值

参数说明

取值范围

max-num max-num-value 指定接入设备发送关联和去关联请求消息的最大个数。 整数形式,取值范围是1~65535。缺省值为60。
interval interval-value 指定接入设备发送关联和去关联请求消息的时间段。 整数形式,取值范围是1~65535,单位为秒。缺省值为30秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

控制设备能够接入多个接入设备,如果不控制接入设备发送关联和去关联请求的最大速率,这会对控制设备造成很大的负担。配置本命令,可以调整用户关联和去关联请求的最大速率。

注意事项

本命令仅在接入设备上支持。

SVF模式下无法在AS设备配置命令行,当用户上线速率较高时,由于速率限制功能,可能出现用户上线失败的情况。此时,需要在UC设备通过SVF直配配置(参见direct-command)该命令下发到AS设备,调整速率限制参数,且需要使用V200R013C00及之后版本的AS设备。

使用实例

# 配置接入设备在10秒内发送关联和去关联请求的最大个数为100个。

<HUAWEI> system-view
[HUAWEI] authentication speed-limit max-num 100 interval 10

control-down offline delay(接入设备)

命令功能

control-down offline delay命令用来设置控制通道故障时接入设备上的用户下线延时的时间。

undo control-down offline delay命令用来恢复控制通道故障时接入设备上的用户下线延时的时间为缺省值。

缺省情况下,控制通道故障时接入设备上的用户立即下线。

命令格式

control-down offline delay { delay-value | unlimited }

undo control-down offline delay

参数说明

参数值

参数说明

取值范围

delay-value 指定控制通道故障时用户下线延时的时间。 整数形式,取值范围是1~60,单位为秒。缺省值为0秒,即控制通道故障时用户立即下线。
unlimited 指定控制通道故障时用户下线延时的时间为无限,即控制通道故障用户不下线。

-

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

为了避免设备控制通道闪断导致用户直接下线,可以通过本命令配置设备控制通道在发生故障时,接入设备的用户延时下线。如果在配置的延时时间结束之后,通道故障仍未恢复正常,则用户下线,否则用户保持在线。

注意事项

本命令仅在接入设备上支持。

建议用户在控制设备和接入设备上的用户下线延时时间配置一致。

使用实例

# 配置控制通道发生故障后,接入设备上的用户下线延时的时间为10秒。

<HUAWEI> system-view
[HUAWEI] control-down offline delay 10

control-down offline delay(控制设备)

命令功能

control-down offline delay命令用来设置控制通道故障时控制设备上的用户下线延时的时间。

undo control-down offline delay命令用来恢复控制通道故障时控制设备上的用户下线延时的时间为缺省值。

缺省情况下,控制通道故障时控制设备上的用户立即下线。

命令格式

control-down offline delay { delay-value | unlimited }

undo control-down offline delay

参数说明

参数值

参数说明

取值范围

delay-value 指定控制通道故障时用户下线延时的时间。 整数形式,取值范围是1~60,单位为秒。缺省值为0秒,即控制通道故障时用户立即下线。
unlimited 指定控制通道故障时用户下线延时的时间为无限,即控制通道故障用户不下线。

-

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

为了避免设备控制通道闪断导致用户直接下线,可以通过本命令配置设备控制通道在发生故障时,控制设备的用户延时下线。如果在配置的延时时间结束之后,通道故障仍未恢复UP,则用户下线,否则用户保持在线。

注意事项

本命令仅在控制设备上支持。

建议用户在接入设备和控制设备上的用户下线延时时间配置一致。

如果配置控制通道故障用户不下线,需同时在认证模板下配置命令link-down offline delay unlimited

使用实例

# 配置控制通道发生故障后,控制设备接口GE1/0/1上的用户下线延时的时间为10秒。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1] control-down offline delay 10

display access-user as-name

命令功能

display access-user as-name命令用来查看指定接入设备的在线用户信息。

命令格式

display access-user as-name as-name

参数说明

参数值

参数说明

取值范围

as-name 指定接入设备的名称。 已存在的接入设备名称。

视图

所有视图

缺省级别

1:监控级

使用指南

本命令用于管理员在控制设备上查看已在线的接入用户信息。

接入设备的实际名称可能与其在控制设备上的显示(通过命令display as all查看)不一致,这是由于接入设备上线的过程中,其名称会进行以下转换处理:
  • 如果接入设备采用系统默认名称,则控制设备上,接入设备的名称转换为“系统默认名称-接入设备的MAC地址”。
  • 如果接入设备的名称中包含空格或双引号,则控制设备上,接入设备名称中的空格转换为短横杠、双引号转换为单引号。

使用实例

# 查看名称为“test_as”的接入设备的用户信息。

<HUAWEI> display access-user as-name test_as 
------------------------------------------------------------------------------ 
 UserID Username                IP address       MAC            Status          
 ------------------------------------------------------------------------------ 
 16019  fdsa@none               192.168.6.5      00e0-4c88-143f Success        
 ------------------------------------------------------------------------------ 
 Total: 1, printed: 1 
说明:

目前,username仅支持显示为英文字母、数字或特殊字符的组合,不支持显示为中文等其他语言。

username中包含特殊字符和中文等其他语言时,显示时将这些字符都转换成“.”,如果有连续3个以上的这些字符,则都显示为3个“.”。其中,这里的特殊字符是指ASCII码值小于32(空格)或大于126(~)的字符。

表13-112  display access-user as-name命令输出信息描述

项目

描述

UserID 用户上线后,设备自动为其分配的ID。
Username 用户名。
IP address 用户IP地址。
MAC 用户MAC地址。
Status 用户状态。

display associate-user

命令功能

display associate-user命令用来查看设备上的关联用户。

命令格式

display associate-user

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

本命令用于用户管理员在接入设备或控制设备上查看关联用户。

注意事项

用户认证成功后或者加入预连接后,控制设备中将不再有关联用户,可以通过display access-user(所有视图)查询用户信息。

使用实例

# 查看控制设备上的关联用户。

<HUAWEI> display associate-user
 ------------------------------------------------------------------             
 UserID IP address       MAC            SA MAC                                  
 ------------------------------------------------------------------             
 27     192.168.12.1     00e0-4c88-143f dcba-6543-e00a                          
 ------------------------------------------------------------------             
 Total: 1, printed: 1       
表13-113  display associate-user命令输出信息描述

项目

描述

UserID 用户关联后,设备自动为其分配的ID。
IP address 用户IP地址。
MAC 用户MAC地址。
SA MAC 接入设备MAC地址。

# 查看接入设备上的关联用户。

<HUAWEI> display associate-user
 -------------------------------------------------------------------------------
 UserID IP address       MAC            Status        Trigger type              
 -------------------------------------------------------------------------------
 27     192.168.12.1     00e0-4c88-143f Associated    Arp                       
 -------------------------------------------------------------------------------             
 Total: 1, printed: 1       
表13-114  display associate-user命令输出信息描述

项目

描述

UserID 用户关联后,设备自动为其分配的ID。
IP address 用户IP地址。
MAC 用户MAC地址。
Status
用户状态:
  • Up:表示接入设备收到控制设备的认证成功通知,并已打开用户的数据转发权限。
  • Associated:表示接入设备收到控制设备的关联成功回应,等待控制设备的认证成功通知。
  • Idle:表示接入设备发现用户已接入,定时发送关联请求或等待控制设备的关联回应。
  • Deleting:表示用户已加入下线队列,正等待下线。
Trigger type
触发类型:
  • Arp:表示通过ARP报文触发建立的关联表。
  • Dot1x:表示通过Dot1x报文触发建立的关联表。
  • Http:表示通过HTTP报文触发建立的关联表。
  • DHCP:表示通过DHCP报文触发建立的关联表。

display associate-user statistics

命令功能

display associate-user statistics命令用来查看接口上的关联用户计数。

命令格式

display associate-user statistics [ interface interface-type interface-number ]

参数说明

参数

参数说明

取值

interface interface-type interface-number
查看指定接口的关联用户计数。其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过该命令,管理员可以查看基于接口的关联用户计数。

注意事项

该命令仅在接入设备上支持。

使用实例

# 查看接口上的关联用户计数。

<HUAWEI> display associate-user statistics
-------------------------------------------------------------------------------
Interface                    number
-------------------------------------------------------------------------------
GigabitEthernet0/0/1         3
TotalNumber                  3
-------------------------------------------------------------------------------
    Total 1
表13-115  display associate-user statistics命令输出信息描述

项目

描述

Interface

作为接入点的接口。

number

指定接入点关联用户的数目。

TotalNumber

所有接入点关联用户的数目。

Total: m

关联表项的总数目m

display authentication associate

命令功能

display authentication associate命令用来查看关联用户的全局配置信息。

命令格式

display authentication associate

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过该命令,管理员可以查看关联用户的全局配置信息,包括关联用户接入限制告警抑制开关的状态和告警抑制周期。

注意事项

该命令仅在接入设备上支持。

使用实例

# 查看关联用户的全局配置信息。

<HUAWEI> display authentication associate
 authentication associate alarm-restrain: Enable
 authentication associate alarm-restrain period: 300
表13-116  display authentication associate命令输出信息描述

项目

描述

authentication associate alarm-restrain

关联用户接入限制告警抑制开关的状态。包括:
  • Enable:告警抑制功能已打开。
  • Disable:告警抑制功能已关闭。

相关命令请查看authentication associate alarm-restrain enable

authentication associate alarm-restrain period

关联用户接入限制的告警抑制周期。

相关命令请查看authentication associate alarm-restrain period

display authentication associate alarm-restrain-table

命令功能

display authentication associate alarm-restrain-table命令用来查看关联用户接入限制的告警抑制表信息。

命令格式

display authentication associate alarm-restrain-table { all | interface interface-type interface-number }

参数说明

参数

参数说明

取值

all

查看所有接口的告警抑制表信息。

-

interface interface-type interface-number
查看指定接口的告警抑制表信息。其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过命令authentication associate alarm-restrain enable打开关联用户接入限制的告警抑制功能后,管理员可以使用该命令查询告警抑制表信息。

注意事项

该命令仅在接入设备上支持。

使用实例

# 查看所有接口上的告警抑制表信息。

<HUAWEI> display authentication associate alarm-restrain-table all
-------------------------------------------------------------------------------
Interface                    alarm time
-------------------------------------------------------------------------------
GigabitEthernet0/0/1         --
-------------------------------------------------------------------------------
    Total 1
表13-117  display authentication associate alarm-restrain-table all命令输出信息描述

项目

描述

Interface

作为接入点的接口。

alarm time

告警时间。

Total: m

告警抑制表项的总数目m

local-authorize

命令功能

local-authorize命令用来指定下发到控制设备的用户授权信息。

undo local-authorize命令用来恢复下发到控制设备的用户授权信息为缺省值。

缺省情况下,所有用户授权信息均能下发到控制设备。

命令格式

local-authorize { none | { acl | car | priority | ucl-group | vlan } * }

undo local-authorize

参数说明

参数值

参数说明

取值范围

acl 指定下发ACL授权信息。

-

car 指定下发CAR授权信息。

-

priority 指定下发优先级授权信息。

-

ucl-group 指定下发UCL组授权信息。
说明:

在授权ACL或UCL组时,为了保证授权信息在控制设备能够正常生效,则需要在控制设备上配置相应的ACL或UCL组。

-

vlan 指定下发VLAN授权信息。

-

none 指定不下发任何授权信息。

-

视图

业务方案视图

缺省级别

3:管理级

使用指南

应用场景

若想在控制设备上执行指定的用户访问权限,则可通过本命令配置指定用户授权信息下发到设备本地,默认所有授权信息下发到本地。

注意事项

本命令仅在控制设备上支持。

本命令对用户的所有授权类型均生效,比如本地授权、远端授权以及RADIUS动态授权。

策略联动授权VLAN时,需要能够下发VLAN授权信息。此时,需配置命令local-authorize vlan或不配置local-authorize命令,即采用缺省情况,所有用户授权信息均能下发到控制设备。

使用实例

# 配置只下发UCL组授权信息到控制设备上。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme huawei
[HUAWEI-aaa-service-huawei] local-authorize ucl-group
相关主题

remote-authorize

命令功能

remote-authorize命令用来指定下发到接入设备的用户授权信息。

undo remote-authorize命令用来恢复下发到接入设备的用户授权信息为缺省值。

缺省情况下,所有用户授权信息均不能下发到接入设备。

命令格式

remote-authorize { acl | car | ucl-group } *

undo remote-authorize

参数说明

参数值

参数说明

取值范围

acl 指定下发ACL授权信息。

-

car 指定下发CAR授权信息。

-

ucl-group 指定下发UCL组授权信息。
说明:

在授权ACL或UCL组时,为了保证授权信息在接入设备能够正常生效,则需要在接入设备上配置相应的ACL或UCL组。

-

视图

业务方案视图

缺省级别

3:管理级

使用指南

应用场景

若想在接入设备上执行指定的用户访问权限,则可通过本命令配置指定用户授权信息下发到接入设备,默认没有授权信息下发到接入设备。

注意事项

本命令仅在控制设备上支持。

本命令对用户的所有授权信息均生效,比如本地授权、远端授权以及RADIUS动态授权中的授权信息。

SVF集中配置模式下,接入设备不支持授权ACL和UCL组。

使用实例

# 配置只下发ACL授权信息到接入设备上。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme huawei
[HUAWEI-aaa-service-huawei] remote-authorize acl
相关主题

user-detect

命令功能

user-detect命令用来在接入设备上使能用户在线探测的功能。

undo user-detect命令用来在接入设备上去使能用户在线探测的功能。

缺省情况下,接入设备上用户在线探测的功能使能,且用户在线探测周期为15秒,报文重传次数为3次。

命令格式

user-detect { interval interval-value | retry retry-value } *

undo user-detect

参数说明

参数值

参数说明

取值范围

interval interval-value 指定用户在线探测的周期。 整数形式,取值范围是1~65535,单位为秒。缺省值为15秒。
retry retry-value 指定用户在线探测报文的重传次数。 整数形式,取值范围是1~255。缺省值为3次。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果由于断电、网络异常断开等缘故造成用户下线,此时接入设备与控制设备上可能仍保存有该用户信息,这将对控制设备造成较大的负担。另一方面,由于设备允许接入的用户数是有限的,若用户异常下线而设备上仍保存有用户信息,则可能导致其他用户不能接入网络。

配置用户在线探测周期后,如果用户在探测周期内没有回应,则接入设备认为该用户已下线。之后接入设备与控制设备将会及时清除其上保存的该用户信息,以保证用户资源的有效利用。

注意事项

本命令仅在接入设备上支持。

建议在接入设备上不要关闭该功能。

该功能仅对新上线用户生效。

使用实例

# 在系统视图下使能用户在线探测功能,并配置探测周期为10秒、探测报文重传次数为5次。

<HUAWEI> system-view
[HUAWEI] user-detect interval 10 retry 5

user-sync(接入设备)

命令功能

user-sync命令用来在接入设备上使能用户同步功能。

undo user-sync命令用来在接入设备上去使能用户同步功能。

缺省情况下,接入设备上用户同步功能处于使能状态,用户同步周期为60秒。

命令格式

user-sync interval interval-value

undo user-sync

参数说明

参数值

参数说明

取值范围

interval interval-value 指定用户同步周期。 整数形式,取值范围是60~3600,单位为秒。缺省值为60秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用户可能由于在线探测被接入设备下线或者下线请求消息发送失败等原因,导致控制设备和接入设备上的用户不同步,所以在控制通道可用期间,控制设备和接入设备需要定时进行在线用户同步。

用户同步周期超时后,接入设备向控制设备发送携带了所有在线用户MAC的同步消息。在控制设备收到该同步消息后,如果发现有用户不在线,则回应相应用户的同步失败消息。接入设备根据同步失败消息将对应的用户强制下线。

注意事项

本命令仅在接入设备上支持。

为使同步功能正常,接入设备和控制设备需要同时打开用户同步功能,且接入设备上配置的用户同步间隔要小于等于控制设备上配置的用户同步间隔,避免用户被同步误下线。

接入设备的用户同步功能依赖于控制通道是否可用,控制通道故障时会导致接入设备上的用户同步功能异常。

使用实例

# 配置用户同步周期为100秒。

<HUAWEI> system-view
[HUAWEI] user-sync interval 100

user-sync(控制设备)

命令功能

user-sync命令用来在控制设备上使能用户同步功能。

undo user-sync命令用来在控制设备上去使能用户同步功能。

缺省情况下,在控制设备上用户同步功能处于使能状态,用户同步周期为60秒,最大次数为10次。

命令格式

user-sync { interval interval-value | retry retry-value } *

undo user-sync

参数说明

参数值

参数说明

取值范围

interval interval-value 指定用户同步周期。 整数形式,取值范围是60~3600,单位为秒。缺省值为60秒。
retry retry-value 指定用户同步的最大次数。 整数形式,取值范围是5~300。缺省值为10次。

视图

VLANIF接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

用户可能由于在线探测被接入设备下线或者下线请求消息发送失败等原因,导致控制设备和接入设备上的用户不同步,所以在控制通道可用期间,控制设备和接入设备需要定时进行在线用户同步。

用户同步周期超时后,用户同步失败次数加1,如果用户同步失败次数达到最大次数时,该用户则被强制下线。如果通过接入设备发送的同步消息发现该用户在线,则会将用户同步失败次数清零。

注意事项

本命令仅在控制设备上支持。

为使同步功能正常,接入设备和控制设备需要同时打开用户同步功能,且接入设备上配置的用户同步间隔要小于等于控制设备上配置的用户同步间隔,避免用户被同步误下线。

使用实例

# 配置控制设备接口GE1/0/1上的用户同步周期为100秒,最大次数为15次。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet1/0/1
[HUAWEI-GigabitEthernet1/0/1] user-sync interval 100 retry 15
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:9977

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页