所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
AAA配置命令

AAA配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

aaa

命令功能

aaa命令用来进入AAA视图。

命令格式

aaa

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

执行aaa命令后,用户能够从系统视图进入到AAA视图,从而进行有关用户接入方面的安全配置,例如:创建用户、设定用户级别、配置认证方案、配置授权方案、配置域等。

使用实例

# 进入AAA视图。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa]

aaa abnormal-offline-record

命令功能

aaa abnormal-offline-record命令用来使能记录用户异常下线信息的功能。

undo aaa abnormal-offline-record命令用来去使能记录用户异常下线信息的功能。

缺省情况下,已使能记录用户异常下线信息的功能。

命令格式

aaa abnormal-offline-record

undo aaa abnormal-offline-record

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

当管理员需要协助分析、定位用户异常下线时,可以执行命令aaa abnormal-offline-record,对用户异常下线信息进行记录。

在执行undo aaa abnormal-offline-record命令后,到重新执行aaa abnormal-offline-record命令之前,这段时间内不记录用户异常下线信息。

使用实例

# 使能记录用户异常下线信息功能。

<HUAWEI> system-view
[HUAWEI] aaa abnormal-offline-record

# 去使能记录用户异常下线信息功能。

<HUAWEI> system-view
[HUAWEI] undo aaa abnormal-offline-record

aaa offline-record

命令功能

aaa offline-record命令用来使能记录用户正常下线信息的功能。

undo aaa offline-record命令用来去使能记录用户正常下线信息的功能。

缺省情况下,已使能记录用户正常下线信息的功能。

命令格式

aaa offline-record

undo aaa offline-record

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

当管理员需要协助分析、定位用户上线失败故障时,可以执行该命令,对用户下线进行记录。

在执行undo aaa offline-record命令后,到重新执行aaa offline-record命令之前,这段时间内不记录用户下线信息。

使用实例

# 使能记录用户正常下线信息功能。

<HUAWEI> system-view
[HUAWEI] aaa offline-record

# 去使能记录用户正常下线信息功能。

<HUAWEI> system-view
[HUAWEI] undo aaa offline-record

aaa online-fail-record

命令功能

aaa online-fail-record命令用来使能记录用户上线失败信息的功能。

undo aaa online-fail-record命令用来去使能记录用户上线失败信息的功能。

缺省情况下,已使能记录用户上线失败信息的功能。

命令格式

aaa online-fail-record

undo aaa online-fail-record

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

当管理员需要获取用户上线失败记录,以对恶意用户进行初步排查时,可以使用aaa online-fail-record命令使能用户上线失败记录功能。

在执行undo aaa online-fail-record命令后,到重新执行aaa online-fail-record命令之前,这段时间内不记录用户上线失败信息。

使用实例

# 使能记录用户上线失败信息功能。

<HUAWEI> system-view
[HUAWEI] aaa online-fail-record

# 去使能记录用户上线失败信息功能。

<HUAWEI> system-view
[HUAWEI] undo aaa online-fail-record

aaa-authen-bypass

命令功能

aaa-authen-bypass命令用来配置认证旁路时间。

undo aaa-authen-bypass命令用来取消配置认证旁路时间。

缺省情况下,未配置认证旁路时间。

命令格式

aaa-authen-bypass enable time time-value

undo aaa-authen-bypass enable

参数说明

参数

参数说明

取值

enable

使能远端认证旁路功能。

-

time time-value

指定认证旁路时间。

整数形式,单位为分钟,取值范围为1~1440。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

应用于对认证响应速度有要求的场景。在用户域下配置了多种认证方式的情况下(比如RADIUS+本地认证方式),使能认证旁路功能并配置认证旁路时间,用户认证时,如果RADIUS服务器无响应,用户会跳转到本地认证同时开启认证旁路定时器。之后,在配置的认证旁路时间内,同一个域的其他用户进行认证时,直接使用本地认证方式,这样就节省了等待RADIUS服务器响应的时间,提高了认证响应速度。

注意事项

用户域下只配置了一种认证方式,认证旁路定时器开启后,在认证旁路时间内,同一个域的其他用户认证时直接按照认证失败处理。

使用实例

# 配置认证旁路时间为3分钟。

<HUAWEI> system-view
[HUAWEI] aaa-authen-bypass enable time 3

aaa-author-bypass

命令功能

aaa-author-bypass命令用来启用授权旁路功能并配置授权旁路时间。

undo aaa-author-bypass命令用来关闭授权旁路功能。

缺省情况下,未启用授权旁路功能。

命令格式

aaa-author-bypass enable time time-value

undo aaa-author-bypass enable

参数说明

参数

参数说明

取值

enable

使能授权旁路功能。

-

time time-value

指定授权旁路时间。

整数形式,单位为分钟,取值范围为1~1440。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

应用于对授权响应速度有要求的场景。在用户域下配置了多种授权方式的情况下(比如HWTACACS+本地授权方式),使能授权旁路功能并配置授权旁路时间,给用户授权时,如果HWTACACS服务器无响应,用户会跳转到本地授权同时开启授权旁路定时器。之后,在配置的授权旁路时间内,给同一个域的其他用户授权时,直接使用本地授权方式,这样就节省了等待HWTACACS服务器响应的时间,提高了授权响应速度。

注意事项

用户域下只配置了一种授权方式,授权旁路定时器开启后,在授权旁路时间内,给同一个域的其他用户授权时直接按照授权失败处理。

使用实例

# 配置授权旁路时间为3分钟。

<HUAWEI> system-view
[HUAWEI] aaa-author-bypass enable time 3

aaa-author-cmd-bypass

命令功能

aaa-author-cmd-bypass命令用来启用命令行授权旁路功能并配置命令行授权旁路时间。

undo aaa-author-cmd-bypass命令用来关闭命令行授权旁路功能。

缺省情况下,未启用命令行授权旁路功能。

命令格式

aaa-author-cmd-bypass enable time time-value

undo aaa-author-cmd-bypass enable

参数说明

参数

参数说明

取值

enable

使能远端命令行授权旁路功能。

-

time time-value

指定命令行授权旁路时间。

整数形式,取值范围是1~1440,单位为分钟。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

应用于对命令行授权响应速度有要求的场景。在用户域下配置了多种命令行授权方式的情况下(比如HWTACACS+本地授权方式),使能命令行授权旁路功能并配置授权旁路时间,给用户进行命令行授权时,如果HWTACACS服务器无响应,用户会跳转到本地授权同时开启命令行授权旁路定时器。之后,在配置的命令行授权旁路时间内,给同一个域的其他用户进行命令行授权时,直接使用本地授权方式,这样就节省了等待HWTACACS服务器响应的时间,提高了命令行授权的响应速度。

注意事项

用户域下只配置了一种命令行授权方式,授权旁路定时器开启后,在授权旁路时间内,给同一个域的其他用户进行命令行授权时直接按照授权失败处理。

使用实例

# 配置命令行授权旁路时间为3分钟。

<HUAWEI> system-view
[HUAWEI] aaa-author-cmd-bypass enable time 3

aaa-author session-timeout invalid-value enable

命令功能

aaa-author session-timeout invalid-value enable命令用来配置当Radius服务器下发的Session-Timeout属性值为0时,设备不会对用户进行下线或重认证。

undo aaa-author session-timeout invalid-value enable命令用来恢复缺省配置。

缺省情况下,当Radius服务器下发的Session-Timeout属性值为0时,该属性不生效。

命令格式

aaa-author session-timeout invalid-value enable

undo aaa-author session-timeout invalid-value enable

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

当Radius服务器下发的Session-Timeout属性值为0时:

  • 如果未配置命令aaa-author session-timeout invalid-value enable,服务器下发的Session-Timeout属性不生效,用户的下线或者重认证周期由设备的配置决定。

  • 如果配置了命令aaa-author session-timeout invalid-value enable,服务器下发的Session-Timeout属性生效,设备不会对用户进行下线或重认证。

用户的下线或者重认证周期在设备上通过命令dot1x timer reauthenticate-period reauthenticate-period-value或命令mac-authen timer reauthenticate-period reauthenticate-period-value设置。

使用实例

# 配置当Radius服务器下发的Session-Timeout为0时,设备不会对用户进行下线或重认证。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] aaa-author session-timeout invalid-value enable

aaa-quiet administrator except-list

命令功能

aaa-quiet administrator except-list命令用来配置在用户账号锁定期间,允许该用户使用指定的IP地址访问网络。

undo aaa-quiet administrator except-list命令用来恢复缺省值。

缺省情况下,用户在账号锁定期间不能访问网络。

命令格式

aaa-quiet administrator except-list { ipv4-address | ipv6-address } &<1-32>

undo aaa-quiet administrator except-list

参数说明

参数

参数说明

取值

ipv4-address

指定IPv4地址,用户在账号锁定期间可以使用该IPv4地址访问网络。

点分十进制格式,必须是合法的单播地址。

ipv6-address

指定IPv6地址,用户在账号锁定期间可以使用该IPv6地址访问网络。

总长度为128位,通常分为8组,每组为4个十六进制数的形式。格式为X:X:X:X:X:X:X:X。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

AAA视图下,通过命令local-aaa-user wrong-password或命令remote-aaa-user authen-fail配置了AAA本地认证用户或AAA远端认证用户的账号锁定功能之后,用户连续输入密码错误并达到了限制次数后该账号将被锁定,在锁定期间内用户不能访问网络。为方便维护管理,可以通过配置命令aaa-quiet administrator except-list,在用户账号锁定期间,允许该用户使用指定的IP地址访问网络。

注意事项

  • 该功能仅对管理员用户生效。
  • 最多支持配置64个IPv4和IPv6地址。

使用实例

# 配置在用户账号锁定期间,允许该用户使用指定的IP地址10.1.1.1访问网络。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] aaa-quiet administrator except-list 10.1.1.1

access-limit user-name max-num

命令功能

access-limit user-name max-num命令用来配置同一个用户名最多可以接入的用户数量。

undo access-limit user-name max-num命令用来恢复缺省配置。

缺省情况下,设备对同一个用户名可以接入的用户数量不做限制,由设备支持的最大接入用户数决定。

命令格式

access-limit user-name max-num number

undo access-limit user-name max-num

参数说明

参数 参数说明 取值
number 同一个用户名最多可以接入的用户数量。 整数形式,取值由设备支持的最大接入用户数决定。

视图

业务方案视图

缺省级别

3:管理级

使用指南

缺省情况下,设备不限制同一个用户名可以接入的用户数。如果需要限制该用户名接入的用户数,可以通过命令access-limit user-name max-num配置。例如,在家庭上网场景中,家庭上网的所有终端用户采用共享带宽的方式,并且为了方便维护,服务器会下发相同用户名替代终端用户输入的用户名。此时,为了保证各个终端用户的上网体验,需要根据用户名限制用户接入数量。

对于RADIUS认证的用户,根据用户名限制用户接入数量对应的属性为HW-UserName-Access-Limit(26-18)。

说明:

仅认证成功的用户支持限制同一个用户名可以接入的用户数,预连接用户不支持。

使用实例

# 在业务方案“s1”下,配置同一个用户名最多可以接入15个用户。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme s1
[HUAWEI-aaa-service-s1] access-limit user-name max-num 15

accounting interim-fail

命令功能

accounting interim-fail命令用来配置允许的实时计费请求最大无响应次数,以及实时计费失败后采取的策略。

undo accounting interim-fail命令用来恢复缺省配置。

缺省情况下,允许的实时计费请求最大无响应次数为3次,实时计费失败后允许用户在线。

命令格式

accounting interim-fail [ max-times times ] { offline | online }

undo accounting interim-fail

参数说明

参数

参数说明

取值

max-times times

指定允许实时计费请求最大无响应次数。当实时计费请求最大无响应次数达到此最大值时,如果下一次计费请求仍然没有响应,设备认为计费失败,对付费用户采用实时计费失败策略。

整数形式,取值范围是1~255。缺省值是3。

offline

指定实时计费失败后采取的策略为offline,即如果实时计费失败,使用户下线。

-

online

指定实时计费失败后采取的策略为online,即如果实时计费失败,允许用户在线。

-

视图

计费方案视图

缺省级别

3:管理级

使用指南

应用场景

实时计费功能生效之后,设备将向计费服务器发送实时计费请求。正常情况下,计费服务器将返回响应报文。但是由于网络抖动的影响,可能造成设备没有收到响应报文,造成短暂的计费失败。为了避免这种因网络抖动造成的短暂计费失败,可以执行accounting interim-fail命令配置允许的实时计费请求最大无响应次数,只有连续几次的实时计费请求都没有响应才会确认为实时计费失败。

可以选择在达到最大无响应次数后对付费用户执行的实时计费失败策略:

  • online:为了避免因网络故障导致的实时计费失败对付费用户造成影响,可以执行online参数,允许付费用户继续在线。
  • offline:只要实时计费失败就停止为付费用户提供服务,可以执行offline参数,强制用户下线。

前置条件

在执行accounting interim-fail命令前,需要执行accounting realtime命令配置计费方案启用实时计费功能。

注意事项

执行accounting interim-fail命令后,允许的实时计费请求最大无响应次数不会对在线用户立即生效,直到用户再次上线的时候才会生效。

使用实例

# 配置计费方案scheme1的实时计费失败策略为:当实时计费请求无响应次数超过5次时,拒绝为付费用户提供上线服务。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] accounting-scheme scheme1
[HUAWEI-aaa-accounting-scheme1] accounting realtime 3
[HUAWEI-aaa-accounting-scheme1] accounting interim-fail max-times 5 offline

accounting realtime

命令功能

accounting realtime命令用来使能实时计费功能,并设置实时计费时间间隔。

undo accounting realtime命令用来去使能实时计费功能。

缺省情况下,设备按时长计费,未使能实时计费功能。

命令格式

accounting realtime interval

undo accounting realtime

参数说明

参数

参数说明

取值

interval

指定实时计费的时间间隔。

整数形式,取值范围是0~65535,单位是分钟。0表示不使能实时计费。缺省值是0。

视图

计费方案视图

缺省级别

3:管理级

使用指南

应用场景

在按时长计费的情况下,如果付费用户异常下线,计费服务器可能无法收到计费终止报文而继续对该用户计费,这对付费用户是不合理的。在设备上配置实时计费可以解决这种问题。配置实时计费后,设备向计费服务器定时发送实时计费报文,计费服务器收到实时计费报文后才进行计费。如果设备检测到付费用户下线,则停止发送实时计费报文,计费服务器终止计费,从而减小了计费误差。

注意事项

  • 当同时采用accounting realtime命令和Acct-Interim-Interval属性下发配置计费时间间隔时,若Acct-Interim-Interval属性下发范围为60~3932100,则Acct-Interim-Interval属性下发配置的优先级更高;否则以命令accounting realtime配置的计费时间间隔为准。

  • 如果计费方案已经在域上应用,执行accounting realtime命令后,实时计费功能不会对在线用户立即生效,而是等到用户再次上线时才会生效。

  • interval配置为0时,如果客户端变更IP地址,设备依旧会向RADIUS服务器发送一次实时计费报文,通过实时计费报文将变更后的IP地址信息发送给RADIUS服务器。
  • 实时计费间隔的取值对设备和计费服务器的性能有一定的相关性要求:实时计费间隔取值越小,对设备和计费服务器的性能要求越高。建议当用户量比较大(大于1000)时,尽量把该间隔的值设置得大一些。以下是实时计费间隔与用户量之间的推荐比例关系。

    表13-1  实时计费间隔与用户量之间的推荐比例关系

    用户数

    实时计费间隔(分钟)

    1~99

    3

    100~499

    6

    500~999

    12

    ≥1000

    ≥15

使用实例

# 对名为scheme1的计费方案启用实时计费,并配置计费间隔为6分钟。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] accounting-scheme scheme1
[HUAWEI-aaa-accounting-scheme1] accounting realtime 6

accounting start-fail

命令功能

accounting start-fail命令用来配置开始计费失败策略。

undo accounting start-fail命令用来恢复开始计费失败策略为缺省配置。

缺省情况下,如果开始计费失败,用户将不能上线,即采用offline方式。

命令格式

accounting start-fail { offline | online }

undo accounting start-fail

参数说明

参数

参数说明

取值

offline

指定开始计费失败策略为:如果开始计费失败,拒绝用户上线。

-

online

指定开始计费失败策略为:如果开始计费失败,允许用户上线。

-

视图

计费方案视图

缺省级别

3:管理级

使用指南

应用场景

应用了计费方案之后,如果有用户上线,设备将向计费服务器发送开始计费请求。正常情况下,计费服务器响应设备的请求。由于网络故障的影响,可能造成设备没有收到计费服务器的响应而造成计费失败。计费失败后,需要执行相应的策略:

  • online:为了避免因网络故障导致的计费失败对用户造成影响,可以执行online参数,允许用户上线。
  • offline:只要计费失败就停止为用户提供服务,可以执行offline参数,拒绝用户上线。

注意事项

该命令只在执行accounting-mode命令配置计费模式为HWTACACS或RADIUS模式时才生效。

使用实例

# 配置计费方案scheme1的开始计费失败策略为:当开始计费失败时,允许用户上线。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] accounting-scheme scheme1
[HUAWEI-aaa-accounting-scheme1] accounting start-fail online

accounting-mode

命令功能

accounting-mode命令用来配置当前计费方案使用的计费模式。

undo accounting-mode命令用来恢复当前计费方案使用的计费模式为缺省配置。

缺省情况下,不计费,即计费模式为none

命令格式

accounting-mode { hwtacacs | none | radius }

undo accounting-mode

参数说明

参数

参数说明

取值

hwtacacs

指定计费模式为HWTACACS模式,即使用HWTACACS服务器计费。

-

none

指定计费模式为不计费。

-

radius

指定计费模式为RADIUS模式,即使用RADIUS服务器计费。

-

视图

计费方案视图

缺省级别

3:管理级

使用指南

应用场景

企业或运营商为了保证正常的运营收入,需要对上网的用户进行计费。

用户上线时,经过认证和授权,计费开始;用户下线时,计费结束。客户端将计费报文上送给计费服务器,其中计费报文中记录了用户在线的时间。

如果需要对用户进行计费,则配置计费模式为RADIUS或HWTACACS。通常配置计费模式与认证模式一致,即都采用RADIUS模式或都采用HWTACACS模式。如果不需要对用户进行计费,则配置计费模式为none。

注意事项

设备不支持本地计费功能,当通过authentication-mode(认证方案视图)命令配置的认证方案中包含本地认证时,需要通过accounting-mode none命令配置计费策略为不计费或通过accounting start-fail命令配置开始计费失败策略。

后续任务

在计费方案中配置完计费模式,需要在domain(AAA视图)域中引用该计费方案,针对域中的用户计费才能生效。

使用实例

# 配置名为scheme1的计费方案采用RADIUS计费模式。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] accounting-scheme scheme1
[HUAWEI-aaa-accounting-scheme1] accounting-mode radius

accounting-scheme(AAA域视图)

命令功能

accounting-scheme命令用来设置域的计费方案。

undo accounting-scheme命令用来恢复域的计费方案为“default”。

缺省情况下,域使用名为“default”的计费方案。“default”计费方案的策略为:计费模式为不计费,关闭实时计费开关。

命令格式

accounting-scheme accounting-scheme-name

undo accounting-scheme

参数说明

参数

参数说明

取值

accounting-scheme-name

指定计费方案名称。

必须为已存在的计费方案名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对某个域的用户进行计费,需要创建计费方案并完成计费方案中的相关配置,如计费模式、开始计费失败策略等,然后使用accounting-scheme命令在域下应用此计费方案。

前置条件

设置域的计费方案之前,需要通过accounting-scheme(AAA视图)命令创建计费方案并完成计费方案中的相关配置,如计费模式、开始计费失败策略等。

使用实例

# 设置isp1域使用名为account1的计费方案。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] accounting-scheme account1
[HUAWEI-aaa-accounting-account1] quit
[HUAWEI-aaa] domain isp1
[HUAWEI-aaa-domain-isp1] accounting-scheme account1

# 恢复isp2域的计费方案为系统缺省的default计费方案。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain isp2
[HUAWEI-aaa-domain-isp2] undo accounting-scheme

accounting-scheme(AAA视图)

命令功能

accounting-scheme命令用来创建一个计费方案,并进入计费方案视图。

undo accounting-scheme命令用来删除一个计费方案。

缺省情况下,系统中有一个名称为“default”的计费方案。用户可以修改“default”计费方案,但是不能删除。“default”计费方案的策略为:计费模式为不计费,关闭实时计费开关。

命令格式

accounting-scheme accounting-scheme-name

undo accounting-scheme accounting-scheme-name

参数说明

参数

参数说明

取值

accounting-scheme-name

指定计费方案名称。

字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对某个域的用户进行计费,需要创建计费方案并完成计费方案中的相关配置,如计费模式、开始计费失败策略等,然后使用accounting-scheme命令在域下应用此计费方案。

后续任务

创建计费方案后,用户可以在计费方案视图下进行以下配置:
  • 执行命令accounting interim-fail,配置允许的实时计费请求最大无响应次数,以及实时计费失败后采取的策略。
  • 执行命令accounting realtime,配置当前计费方案启用实时计费及设置实时计费间隔。
  • 执行命令accounting start-fail,配置开始计费失败策略。
  • 执行命令accounting-mode,配置当前计费方案使用的计费模式。

配置计费方案后,在AAA域视图下执行命令accounting-scheme(AAA域视图)应用计费方案。

注意事项

如果配置的计费方案在设备上不存在,则使用accounting-scheme命令后创建一个新的计费方案并进入计费方案视图。如果配置的计费方案已经在设备上存在,使用accounting-scheme命令后将直接进入计费方案视图。

如果需要删除已经在域下应用的计费方案,需要先执行undo accounting-scheme(AAA域视图)命令取消在域下的计费方案应用。

使用实例

# 增加一个新的计费方案,名为scheme1。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] accounting-scheme scheme1
[HUAWEI-aaa-accounting-scheme1] 

# 进入缺省计费方案视图。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] accounting-scheme default
[HUAWEI-aaa-accounting-default] 

admin-user privilege level

命令功能

admin-user privilege level命令用来指定用户可以作为管理员登录设备,并配置登录时的用户级别。

undo admin-user privilege level命令用来指定当前用户不能作为管理员登录设备,并删除该用户级别。

缺省情况下,未配置用户级别。

命令格式

admin-user privilege level level

undo admin-user privilege level

参数说明

参数

参数说明

取值

level

指定用户级别。

取值越大,级别越高。不同级别的用户登录后,只能使用等于或低于自己级别的命令。

整数形式,取值范围是0~15。

视图

业务方案视图

缺省级别

3:管理级

使用指南

应用场景

设备提供对命令行的分级管理,即对所有命令行设置一定的操作级别,只有用户的优先级等于或者大于命令行的优先级时,用户才能使用该命令。通过admin-user privilege level命令设置用户的级别,控制用户可以使用的命令行。

缺省情况下,命令级别分为0~3级:
  • 级别0即参观级,包括网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(例如Telnet)等。该级别命令不允许进行配置文件保存的操作。
  • 级别1即监控级,用于系统维护,包括display命令。该级别命令不允许进行配置文件保存的操作。
  • 级别2即配置级,可以使用业务配置命令,包括路由、各个网络层次的命令,向用户提供直接网络服务。
  • 级别3即管理级,用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP、配置文件切换命令、备板控制命令、用户管理命令、命令级别设置命令;用于业务故障诊断的debugging命令。

如果用户想要实现权限的精细管理,则可以将命令级别扩展到0~15级。用户可以使用命令command-privilege level调整命令行的级别。用户也可以使用命令command-privilege level rearrange批量提升命令级别。

如果用户的认证方式为不认证,管理员用户级别为在VTY模式下使用user privilege命令配置的用户级别。

如果用户的认证方式为本地认证,管理员用户级别可以采用以下三种方式配置,优先级由上到下依次降低:

  1. 使用local-user privilege level命令配置的本地用户级别。
  2. 使用admin-user privilege level命令在业务方案下配置的管理员用户级别。
  3. 使用user privilege命令在VTY模式下配置的用户级别。

如果用户的认证方式为远端认证,管理员用户级别可以采用以下三种方式配置,优先级由上到下依次降低:

  1. 认证通过后,服务器下发到设备中的用户级别。
  2. 使用admin-user privilege level命令在业务方案下配置的管理员用户级别。
  3. 使用user privilege命令在VTY模式下配置的用户级别。

如果对用户同时配置了远端认证和本地认证,且配置顺序是先远端认证再本地认证,管理员用户级别可以采用以下四种方式配置,优先级由上到下依次降低:

  1. 认证通过后,服务器下发到设备中的用户级别。
  2. 使用local-user privilege level命令配置的本地用户级别。

    说明:

    本地用户级别只在远端认证服务器没有响应时启用。如果配置了本地用户级别,远端服务器认证响应通过后但是没有下发用户级别,此时本地用户的级别不会生效。

  3. 使用admin-user privilege level命令在业务方案下配置的用户级别。
  4. 使用user privilege命令在VTY模式下配置的用户级别。

设备支持动态刷新域下的配置。在域下应用业务方案后,如果需要修改用户级别,可以直接在业务方案中修改用户级别,不需要解除域和业务方案的绑定。但是如果需要删除该业务方案,需要先执行undo service-scheme(AAA域视图)解除域和业务方案的绑定。

后续任务

如果需要查看业务方案中配置的用户级别,可以执行display service-scheme命令。

使用实例

# 配置用户可以作为管理员登录设备,管理员级别为15。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme svcscheme1
[HUAWEI-aaa-service-svcscheme1] admin-user privilege level 15

assignment

命令功能

assignment命令用来配置VLAN pool中的VLAN分配算法。

undo assignment命令用来恢复VLAN pool中的VLAN分配算法为缺省值。

缺省情况下,VLAN pool中的VLAN分配算法为hash

命令格式

assignment { even | hash }

undo assignment

参数说明

参数 参数说明 取值
even

指定VLAN分配算法为顺序分配。

-

hash

指定VLAN分配算法为哈希分配。

-

视图

VLAN pool视图

缺省级别

2:配置级

使用指南

应用场景

  • VLAN分配算法为even时,VLAN pool根据用户的上线顺序为用户分配VLAN,VLAN pool尽量保证所有VLAN分配给用户的IP地址数目相近。但同一个用户如果多次上线,每次获取的地址通常都不相同。
  • VLAN分配算法为hash时,VLAN pool根据用户的MAC地址进行哈希运算后的结果为用户分配VLAN,只要VLAN pool里面的VLAN不发生变化,通常用户都会获取到固定的VLAN,用户重新上线时也会被优先分配到之前使用过的IP地址。

注意事项

VLAN分配算法为even时,当DHCP服务器上配置的IP地址老化时间较长,在老化时间到达前,如果一个用户多次重新上线,则每次上线时都会分配到一个不同的IP地址,导致一个用户占用了多个IP地址,造成IP地址的浪费,同时IP地址的频繁更换也会影响用户体验。

配置影响

配置完成后,会影响后续用户接入时的VLAN分配算法,但对已经接入认证成功的用户无影响。

使用实例

# 配置名称为“test”的VLAN pool的VLAN分配算法为even

<HUAWEI> system-view
[HUAWEI] vlan pool test
[HUAWEI-vlan-pool-test] assignment even

authentication-mode(认证方案视图)

命令功能

authentication-mode命令用来配置当前认证方案使用的认证模式。

undo authentication-mode命令用来恢复当前认证方案使用的认证模式为缺省认证模式。

缺省情况下,认证模式为本地认证,并且本地用户名不区分大小写

命令格式

authentication-mode { hwtacacs | [ local | local-case ] | radius } * [ none ]

authentication-mode none

undo authentication-mode

参数说明

参数 参数说明 取值
hwtacacs 指定认证模式为HWTACACS认证。如果需要使用HWTACACS方式进行认证,则必须配置HWTACACS服务器模板中的认证服务器。 -
local 指定认证模式为本地认证,并且本地用户名不区分大小写 -
local-case 指定认证模式为本地认证,并且本地用户名区分大小写。 -
radius 指定认证模式为RADIUS认证。如果需要使用RADIUS方式进行认证,则必须配置RADIUS服务器模板中的认证服务器。 -
none 指定认证模式为不进行认证,即直接让用户通过认证。 -

视图

认证方案视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对用户进行认证,则必须配置认证方案中的认证模式。

如果在一个认证方案中采用多种认证模式,将按照配置的顺序进行认证。

  • 当配置的认证方式是先本地认证后远端认证时

    如果登录的账号在本地没有创建,但是在远端服务器上存在,认证模式将由本地认证转入远端认证。

    如果登录的账号在本地和远端服务器都已创建,本地认证时由于密码错误导致的认证失败,将不再转入远端认证。

  • 当配置的认证方式是先远端认证后本地认证时

    如果登录的账号在远端服务器上没有创建,但是在本地存在。经过远端认证时,将被认为认证失败,不再转入本地认证。

    只有在远端服务器Down或者无响应时,才会转入本地认证。

在一个认证方案中使用多种认证模式,可以避免单一认证模式无响应而造成的认证失败。例如:
  • 配置为authentication-mode radius local时,当RADIUS认证服务器连接失败的时候,设备无法完成RADIUS认证,将跳转到本地认证模式,根据本地的用户信息进行认证。

  • 配置为authentication-mode local radius时,如果用户输入的用户名在设备上存在,但输入的密码与设备上配置的密码不一致时,该用户认证失败;当该用户的用户名在设备上不存在时,将跳转到RADIUS认证模式,根据对应的RADIUS服务器上的用户信息进行认证。

说明:
  • 如果设备配置了RADIUS认证和None认证两种方式,如果RADIUS认证回应认证拒绝报文,则用户无法跳转到None认证方式,用户无法登录。
  • 如果使用authentication-mode命令配置认证方式为不认证,并且使用authentication-mode(用户界面视图)命令在用户界面视图下配置了设备管理用户的认证方式为AAA,那么设备不允许该用户界面视图下的管理用户登录设备。

注意事项

如果使用authentication-mode命令配置认证方式为不认证,则当用户上线时,用户输入任意的用户名和密码后都会认证成功。因此,为保护设备或网络安全,建议开启认证方式,保证用户经过认证后才可以访问设备或网络。

使用实例

# 配置名称为scheme1的认证方案采用RADIUS认证模式。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme scheme1
[HUAWEI-aaa-authen-scheme1] authentication-mode radius

authentication-scheme(AAA域视图)

命令功能

authentication-scheme命令用来配置域的认证方案。

undo authentication-scheme命令用来将域的认证方案恢复为缺省配置。

缺省情况下,“default”域使用名为“radius”的认证方案,“default_admin”域使用名为“default”的认证方案,其他域使用名为“radius”的认证方案。

命令格式

authentication-scheme scheme-name

undo authentication-scheme

参数说明

参数 参数说明 取值
scheme-name 指定认证方案名称。 必须为已存在的认证方案名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对某个域的用户进行认证,需要使用本命令设置当前域的认证方案。

前置条件

设置域的认证方案之前,需要创建认证方案并完成认证方案中的相关配置,如认证模式、用户提升级别时的认证模式等。

使用实例

# 配置当前域domain1采用名称为scheme1的认证方案。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain domain1
[HUAWEI-aaa-domain-domain1] authentication-scheme scheme1

authentication-scheme(AAA视图)

命令功能

authentication-scheme命令用来创建认证方案,并进入认证方案视图。

undo authentication-scheme命令用来删除认证方案。

缺省存在的认证方案“default”,不能被删除,只能被修改。“default”认证方案的策略为:

  • 认证模式采用本地认证;
  • 认证失败则强制用户下线。
缺省情况下,系统中还有一个名称为“radius”的认证方案。用户可以修改“radius”认证方案,但是不能删除。“radius”认证方案的策略为:
  • 认证模式采用本地认证;
  • 认证失败则强制用户下线。

命令格式

authentication-scheme scheme-name

undo authentication-scheme scheme-name

参数说明

参数 参数说明 取值
scheme-name 认证方案的名称。

字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对用户进行认证,需要先使用authentication-scheme命令创建认证方案。创建认证方案是配置其它认证步骤的前提。

后续任务

创建认证方案后,用户可以在认证方案视图下执行命令authentication-mode(认证方案视图),配置当前认证方案使用的认证模式。

配置认证方案后,在域视图下执行命令authentication-scheme(AAA域视图)应用认证方案。

注意事项

如果配置的认证方案在设备上不存在,则使用authentication-scheme命令创建一个新的认证方案并进入认证方案视图。如果配置的认证方案已经在设备上存在,使用authentication-scheme命令后将直接进入认证方案视图。

如果需要删除已经在域下应用的认证方案,需要先执行undo authentication-scheme(AAA域视图)命令取消在域下的认证方案应用。

使用实例

# 创建名称为newscheme的认证方案。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme newscheme
[HUAWEI-aaa-authen-newscheme]

# 进入缺省的default认证方案视图。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme default
[HUAWEI-aaa-authen-default]

authentication-type radius chap access-type admin

命令功能

authentication-type radius chap access-type admin命令用来配置管理员用户在RADIUS认证时使用CHAP认证方式替换PAP认证。

undo authentication-type radius chap access-type admin命令用来恢复管理员用户RADIUS认证时使用PAP认证方式。

缺省情况下,管理员用户RADIUS认证时使用PAP认证方式。

命令格式

authentication-type radius chap access-type admin [ ftp | ssh | telnet | terminal | http ] *

undo authentication-type radius chap access-type admin

参数说明

参数

参数说明

取值

ftp

指定管理员用户以FTP方式接入设备,在RADIUS认证时使用CHAP认证方式替换PAP认证。

-

ssh

指定管理员用户以SSH方式接入设备,在RADIUS认证时使用CHAP认证方式替换PAP认证。

-

telnet

指定管理员用户以Telnet方式接入设备,在RADIUS认证时使用CHAP认证方式替换PAP认证。

-

terminal

指定管理员用户以Terminal方式接入设备,在RADIUS认证时使用CHAP认证方式替换PAP认证。

-

http

指定管理员用户以WEB网管方式接入设备,在RADIUS认证时使用CHAP认证方式替换PAP认证。

-

视图

认证方案视图

缺省级别

3:管理级

使用指南

CHAP是一种密文认证协议,在认证过程中,NAS设备把用户名和加密后的密码,以及一个16字节随机码传给RADIUS服务器。RADIUS服务器根据用户名查找数据库得到密码,然后根据收到的16字节的随机码对密码进行加密,将其结果与传来的密码作比较,如果相同表明验证通过,如果不相同表明验证失败。另外如果验证成功,RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问(Challenge)。与PAP认证方式相比,CHAP认证方式保密性较好,更为安全可靠。

配置命令authentication-type radius chap access-type admin时,若不指定任何参数,表示对ftpsshtelnetterminalhttp这五种方式接入设备的管理员用户都生效。

当设备与支持CHAP认证方式的RADIUS服务器对接时,需要配置该功能。

使用实例

# 配置采用FTP方式接入设备的管理员用户在RADIUS认证时使用CHAP认证方式替换PAP认证。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme scheme1
[HUAWEI-aaa-authen-scheme1] authentication-type radius chap access-type admin ftp

authorization-cmd

命令功能

authorization-cmd命令用来配置指定级别的管理员只能执行HWTACACS服务器授权的命令行。

undo authorization-cmd命令用来取消指定级别的管理员只能执行HWTACACS服务器授权的命令行的限制。

缺省情况下,没有对任何级别的管理员启用按命令行授权功能,即任何级别的管理员登录设备后,只能执行等于或低于自己级别的命令行。

命令格式

authorization-cmd privilege-level hwtacacs [ local ] [ none ]

undo authorization-cmd privilege-level

参数说明

参数 参数说明 取值
privilege-level 指定管理员的级别。 整数形式,取值范围是0~15。
hwtacacs 指定按命令行授权模式为HWTACACS模式。 -
local 指定按命令行授权模式为本地模式。 -
none

当HWTACACS服务器没有授权响应时,对用户命令行授权成功。

-

视图

授权方案视图

缺省级别

3:管理级

使用指南

应用场景

通常情况下,某级别用户经过授权后,可以执行该级别及该级别以下的命令集。为了加强对用户权限的限制,实现权限的最小化控制,可以配置按命令行授权。配置按命令行授权后,用户输入的每一条命令都需要进行授权,授权通过后才可以执行,否则不能执行该命令。按命令行授权功能生效后,该级别用户执行命令时,每条命令都需要经过HWTACACS服务器授权。

注意事项

推荐配置本地授权方式作为HWTACACS授权模式的备份,这样当HWTACACS服务器出现问题导致授权无响应时,命令行授权将转入本地授权模式。

执行命令authorization-cmd后,按命令行授权功能不会立即生效。只有当配置有按命令行授权功能的授权方案在管理员视图中正确应用之后,按命令行授权功能才会生效。

按命令行授权功能的授权方案在管理员视图上应用后,如果执行undo authorization-cmd命令,将导致该管理员无法执行除quit外的任何命令。此时管理员需要重新登录。

使用实例

# 为级别为2的管理员配置按命令行授权功能。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authorization-scheme scheme1
[HUAWEI-aaa-author-scheme1] authorization-cmd 2 hwtacacs

authorization-info check-fail policy

命令功能

authorization-info check-fail policy命令用来配置设备检查授权信息失败后是否允许用户上线。

undo authorization-info check-fail policy命令用来恢复授权信息失败后用户是否上线为缺省值。

缺省情况下,设备检查授权信息失败后,允许用户上线。

命令格式

authorization-info check-fail policy { online | offline }

undo authorization-info check-fail policy

参数说明

参数

参数说明

取值

online

指定设备检查授权信息失败后的策略为online,即如果设备检查授权信息失败,允许用户上线。

-

offline

指定设备检查授权信息失败后的策略为offline,即如果设备检查授权信息失败,拒绝用户上线。

-

视图

系统视图

缺省级别

2:配置级

使用指南

设备支持通过RADIUS服务器为用户动态授权下发ACL、UCL组、用户组和VLAN,如果设备上没有配置这些动态授权信息对应的ACL、UCL组、用户组和VLAN,则设备检查授权信息时会检查失败。

如果管理员希望用户在授权失败后仍能上线,则可以通过命令authorization-info check-fail policy配置允许用户上线,此时RADIUS服务器下发的授权信息不生效。

使用实例

# 配置设备检查授权信息失败后允许用户上线。

<HUAWEI> system-view
[HUAWEI] authorization-info check-fail policy online

authorization-mode

命令功能

authorization-mode命令用来配置当前授权方案中的授权模式。

undo authorization-mode命令用来恢复当前授权方案使用的授权模式为缺省授权模式。

缺省情况下,授权模式为本地授权,并且本地用户名不区分大小写

命令格式

authorization-mode { hwtacacs | if-authenticated | [ local | local-case ] } * [ none ]

authorization-mode none

undo authorization-mode

参数说明

参数 参数说明 取值
hwtacacs 授权模式为HWTACACS授权。 -
if-authenticated

授权模式为if-authenticated授权。如果用户通过验证,则用户授权通过,否则授权不通过。

在RADIUS认证方式下,配置if-authenticated授权不生效。

-
local 授权模式为本地授权,并且本地用户名不区分大小写 -
local-case 授权模式为本地授权,并且本地用户名区分大小写。 -
none 指定授权模式为无需授权。 -

视图

授权方案视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对用户进行授权,则必须配置授权方案中的授权模式。

在一个授权方案中使用多种授权模式,可以避免单一授权模式无响应而造成的授权失败。例如:

如果执行authorization-mode hwtacacs local命令,当HWTACACS授权服务器连接失败的时候,设备无法完成HWTACACS授权,将跳转到本地授权模式,根据本地的用户信息进行授权。

注意事项

如果在一个授权方案中使用多种授权模式,if-authenticatednone必须作为最后一种授权模式。

另外,如果在一个授权方案中使用多种授权模式,则授权模式的执行顺序为配置的先后顺序。只有在当前授权模式没有响应的情况下,设备才会采用下一种授权模式。

使用实例

# 配置名称为scheme1的授权方案采用HWTACACS授权模式。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authorization-scheme scheme1
[HUAWEI-aaa-author-scheme1] authorization-mode hwtacacs

authorization-modify mode

命令功能

authorization-modify mode命令用来配置授权服务器下发的用户授权信息的生效模式。

undo authorization-modify mode命令用来恢复授权服务器下发的用户授权信息的生效模式。

缺省情况下,授权服务器下发的用户授权信息的生效模式为覆盖模式,即新下发的用户授权信息将会覆盖前次下发的所有的用户授权信息。

命令格式

authorization-modify mode { modify | overlay }

undo authorization-modify mode

参数说明

参数

参数说明

取值

modify

指定授权服务器下发的用户授权信息的生效模式为修改模式。

-

overlay

指定授权服务器下发的用户授权信息的生效模式为覆盖模式。

-

视图

AAA视图

缺省级别

3:管理级

使用指南

授权服务器可向设备单独或同时下发ACL规则、动态VLAN等用户授权信息。

使用命令authorization-modify mode可配置授权服务器下发的用户授权信息的生效模式,其中:
  • modify:修改模式,新下发的授权信息仅按类别覆盖原有的授权信息。
  • overlay:覆盖模式,新下发的授权信息覆盖原先所有类别的授权信息。
例如,已通过授权服务器向用户下发了ACL 3001,现管理员需要向用户下发新的授权信息:
  • 当采用modify模式时,如果新下发的授权信息为ACL 3002,则用户的授权信息为ACL 3002;如果新下发的授权信息为VLAN 100,则用户的授权信息为ACL 3001 + VLAN 100。
  • 当采用overlay模式时,无论新下发的授权为ACL 3002或是VLAN 100,用户的信息均为新下发的ACL或VLAN。

本命令仅对RADIUS服务器下发的授权信息生效。

对于本命令的修改模式,当设备上为用户授权了用户组或业务方案并通过服务器修改了其中已配置的某一属性,之后,如果再次需要修改其中已配置的其他属性时,那么服务器的授权信息必须包含之前已修改的属性,否则已修改的属性将会变回用户组或业务方案中的原有属性值。以修改用户组中的属性为例说明如下:
  1. 设备上为用户授权配置了VLAN以及ACL属性的用户组。
  2. 如果需要修改VLAN属性,则通过RADIUS服务器为用户授权新VLAN属性。
  3. 之后如果需要修改ACL属性,此时必须通过RADIUS服务器再次授权VLAN属性以及新ACL属性,否则用户所属VLAN将变为用户组下的原VLAN属性。
说明:
对于用户重认证:
  • 如果RADIUS CoA授权时下发了属性Session-Timeout,原来的重认证定时器会被删除,启用属性Session-Timeout携带的定时器。
  • 如果RADIUS CoA授权时没有下发属性Session-Timeout:
    • 当采用modify模式时,原来的重认证定时器不会被删除,用户授权过程中定时器会被暂停,授权完成后定时器继续有效。
    • 当采用overlay模式时:
      • 如果原来使用的是本地配置的重认证定时器,原来的重认证定时器不会被删除,用户授权过程中定时器会被暂停,授权完成后定时器继续有效;
      • 如果原来使用的是服务器下发的定时器,则删除原来的定时器,根据设备是否配置了本地重认证定时器决定是否重认证。

使用实例

# 配置授权服务器下发的用户授权信息的生效模式为modify

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authorization-modify mode modify

authorization-scheme(AAA域视图)

命令功能

authorization-scheme命令用来配置域的授权方案。

undo authorization-scheme命令用来取消域的授权方案。

缺省情况下,域下没有绑定授权方案。

命令格式

authorization-scheme authorization-scheme-name

undo authorization-scheme

参数说明

参数

参数说明

取值

authorization-scheme-name

指定授权方案的名称。

必须为已存在的授权方案名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

因为在RADIUS协议中认证与授权是绑定在一起的,因此如果认证模式为RADIUS认证,则不能再单独配置授权。但是在HWTACACS协议中,认证与授权是分离的,如果认证模式为HWTACACS,还可以配置授权。此外如果采用本地认证模式或不认证,也可以再配置授权。

如果需要对某个域的用户进行授权,需要使用authorization-scheme(AAA域视图)命令设置当前域的授权方案。

前置条件

设置域的授权方案之前,需要创建授权方案并完成授权方案中的相关配置,如授权模式、是否按命令行授权。

使用实例

# 配置名为isp1的域使用名为author1的授权方案。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authorization-scheme author1
[HUAWEI-aaa-author-author1] quit
[HUAWEI-aaa] domain isp1
[HUAWEI-aaa-domain-isp1] authorization-scheme author1

authorization-scheme(AAA视图)

命令功能

authorization-scheme命令用来创建一个授权方案,并进入授权方案视图或直接进入一个已存在的授权方案视图。

undo authorization-scheme命令用来删除一个授权方案。

缺省情况下,系统中有一个名称为“default”的授权方案。用户可以修改“default”授权方案,但是不能删除。“default”授权方案的策略为:授权模式采用本地授权,不启用按命令行授权。

命令格式

authorization-scheme authorization-scheme-name

undo authorization-scheme authorization-scheme-name

参数说明

参数

参数说明

取值

authorization-scheme-name

指定授权方案的名称。

字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

在RADIUS协议中认证与授权是绑定在一起的,如果认证模式为RADIUS认证,则不能再单独配置授权。但是在HWTACACS协议中,认证与授权是分离的,如果认证模式为HWTACACS,还可以配置授权。此外如果采用本地认证模式或不认证,也可以再配置授权。只有使用authorization-scheme创建授权方案之后,才能进行授权的其他相关配置,如配置授权模式、是否按命令行授权。

后续任务

创建授权方案后,用户可以在授权方案视图下进行以下配置:

配置授权方案后,在域视图下执行命令authorization-scheme(AAA域视图)应用授权方案。

注意事项

  • 如果配置的授权方案在设备上不存在,则使用authorization-scheme(AAA视图)命令后创建一个新的授权方案并进入授权方案视图。
  • 如果配置的授权方案已经在设备上存在,使用authorization-scheme(AAA视图)命令后将直接进入授权方案视图。

如果需要删除已经在域下应用的授权方案,需要先执行命令undo authorization-scheme(AAA域视图)取消域下的授权方案应用。

使用实例

# 创建名为scheme0的授权方案。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authorization-scheme scheme0
[HUAWEI-aaa-author-scheme0]

# 进入缺省授权方案视图。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] authorization-scheme default
[HUAWEI-aaa-author-default]

cmd recording-scheme

命令功能

cmd recording-scheme命令用来配置记录方案的记录策略,记录用户在设备上执行过的命令。

undo cmd recording-scheme命令用来删除记录策略,不记录用户在设备上执行过的命令。

缺省情况下,不记录用户在设备上执行过的命令。

命令格式

cmd recording-scheme recording-scheme-name

undo cmd recording-scheme

参数说明

参数

参数说明

取值

recording-scheme-name

指定记录方案名称。

必须是已存在的记录方案名称。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

管理员用户在对设备进行配置时,可能由于错误的操作引起网络故障。配置记录用户执行过的命令后,可以在服务器上查看到执行命令的记录信息,从而定位网络故障。

前置条件

执行cmd recording-scheme前,需要先执行recording-scheme命令创建记录方案并执行recording-mode hwtacacs命令配置与记录方案相关联的HWTACACS服务器模板。

使用实例

# 指定记录方案scheme0的记录策略为记录用户在设备上执行过的命令。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template hw1
[HUAWEI-hwtacacs-hw1] quit
[HUAWEI] aaa
[HUAWEI-aaa] recording-scheme scheme0
[HUAWEI-aaa-recording-scheme0] recording-mode hwtacacs hw1
[HUAWEI-aaa-recording-scheme0] quit
[HUAWEI-aaa] cmd recording-scheme scheme0

cut access-user

命令功能

cut access-user命令用来断开一个或多个在线接入用户的连接,即强制在线用户下线。

命令格式

cut access-user { domain domain-name | interface interface-type interface-number [ vlan vlan-id [ qinq qinq-vlan-id ] ] | ip-address ip-address [ vpn-instance vpn-instance-name ] | mac-address mac-address | service-scheme service-scheme-name | access-slot slot-id | user-id begin-number [ end-number ] | username user-name }

cut access-user ssid ssid-name

cut access-user access-type { admin [ ftp | ssh | telnet | terminal | web ] | ppp } [ username user-name ]

参数说明

参数

参数说明

取值

domain domain-name

指定根据域名切断会话。

必须为已经存在的域。
interface interface-type interface-number
指定根据接口切断会话。
  • interface-type:接口类型。
  • interface-number:接口编号。

-

vlan vlan-id [ qinq qinq-vlan-id ]

指定根据VLAN切断会话。

  • vlan-id:VLAN ID。如果是QinQ VLAN,表示内层VLAN ID。
  • qinq-vlan-id:表示外层VLAN ID。

vlan-idqinq-vlan-id:整数形式,取值范围是1~4094。

ip-address ip-address

指定根据IP地址切断会话。

点分十进制格式。

vpn-instance vpn-instance-name

指定IP地址所属的VPN实例。

必须是已存在的VPN实例名称。

mac-address mac-address

指定根据MAC地址切断会话。

格式为H-H-H,其中H为4位的十六进制数。

service-scheme service-scheme-name 断开指定业务方案的接入用户。 必须为已经存在的业务方案。

access-slot slot-id

指定根据接口板切断会话。

说明:

根据接口板切断会话功能,仅适用于通过该接口板上物理接口上线的用户;通过Eth-Trunk接口上线的用户该参数功能不生效。

接口板槽位号,取值范围根据设备的型号确定。

ssid ssid-name

指定根据服务集中的服务组合识别码切断会话。

已存在的SSID名。

说明:
SSID仅在NAC统一模式下支持。

user-id begin-number [ end-number ]

指定根据用户索引切断会话。

必须为已存在的用户索引。
username user-name

指定根据用户名切断会话。

必须为已经存在的用户名。

access-type

显示指定认证方式的用户信息。

-

admin [ ftp | ssh | telnet | terminal | web ]

显示指定认证方式的管理员用户信息。

  • ftp:FTP用户。
  • ssh:SSH用户。
  • telnet:Telnet用户。
  • terminal:Terminal用户。
  • web:Web用户。

-

ppp

显示PPP认证的在线用户信息。

-

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

用户在进行某些配置(如AAA)时要求设备上没有在线用户,使用cut access-user命令切断用户连接。

注意事项

执行cut access-user命令会中断用户的业务。

当用户名的字符串中间有空格,即形如a b时,可以使用display access-user username "a b"查看在线用户。

当用户名的字符串同时有空格和""时,无法通过用户名对在线用户进行查看。此时可以使用display access-user | include username的方式,查看在线用户的user-id,然后使用display access-user user-id user-id查看该用户。或使用cut access-user user-id user-id强制该用户下线。

使用实例

# 切断IP地址为10.1.1.1的用户的会话连接。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] cut access-user ip-address 10.1.1.1

cut access-user work-group

命令功能

cut access-user work-group命令用来按照WLAN工作组切断在线用户。

说明:

该命令仅在NAC统一模式下支持。

命令格式

cut access-user work-group { work-group-id | default }

参数说明

参数

参数说明

取值

work-group-id

指定WLAN工作组切断用户。

整数形式,取值范围是1~4。

default

切断默认WLAN工作组用户。

-

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

当用户在进行某些配置(如AAA)时要求设备上没有在线用户,本命令用于在设备上按照WLAN工作组切断已经存在的用户连接。

注意事项

执行本命令会切断用户的业务。

使用实例

# 切断WLAN工作组1的在线用户。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] cut access-user work-group 1

dhcp-server group(业务方案视图)

命令功能

dhcp-server group命令用来设置业务方案下使用的DHCP服务器组。

undo dhcp-server group命令用来取消业务方案使用的DHCP服务器组。

缺省情况下,业务方案下没有设置DHCP服务器组。

命令格式

dhcp-server group group-name

undo dhcp-server group

参数说明

参数 参数说明 取值
group-name 指定DHCP服务器组名。

字符串形式,区分大小写,不支持空格。长度范围是1~32。

要设置的DHCP服务器组必须已经存在,配置命令是dhcp server group

视图

业务方案视图

缺省级别

3:管理级

使用指南

当域下绑定业务方案时,该业务方案视图下的配置将在域下生效。

使用实例

# 设置业务方案svcscheme1使用DHCP服务器组group1。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme svcscheme1
[HUAWEI-aaa-service-svcscheme1] dhcp-server group group1

display aaa

命令功能

display aaa命令用来查看用户正常下线、异常下线、上线失败记录信息。

命令格式

display aaa { offline-record | abnormal-offline-record | online-fail-record } { all | reverse-order | domain domain-name | interface interface-type interface-number [ vlan vlan-id [ qinq qinq-vlan-id ] ] | ip-address ip-address [ vpn-instance vpn-instance-name ] | mac-address mac-address | access-slot slot-number | time start-time end-time [ date start-date end-date ] | username user-name [ time start-time end-time [ date start-date end-date ] ] } [ brief ]

参数说明

参数

参数说明

取值

offline-record

查看用户正常下线记录信息。

-

abnormal-offline-record

查看用户异常下线记录信息。

-

online-fail-record

查看用户上线失败记录信息。

-

all

显示所有记录信息。

-

reverse-order

反序显示记录信息。

-

domain domain-name

指定域名。

字符串型,不支持空格,不能使用星号“*”、问号“?”、引号“"”。不区分大小写,长度范围是1~64。

interface interface-type interface-number

指定接口类型和接口编号。

-

vlan vlan-id

指定接口所属内层VLAN。

整数形式,取值范围是1~4094。

qinq qinq-vlan-id

指定接口所属外层VLAN。

整数形式,取值范围是1~4094。

ip-address ip-address

指定IP地址。

点分十进制格式。

vpn-instance vpn-instance-name

指定VPN实例。

必须是已存在的VPN实例名称。

mac-address mac-address

指定MAC地址。

格式为H-H-H,其中H为4位的十六进制数。

access-slot slot-number

指定接口板槽位号。

整数形式,取值范围根据设备的型号确定。

username user-name

查看指定用户名的记录信息。

必须是已存在的用户名。

time start-time end-time

按时间范围查看记录信息。

HH:MM:SS格式,HH表示小时、MM表示分钟、SS表示秒。

date start-date end-date

按日期查看记录信息。

YYYY/MM/DD格式,YYYY表示年份、MM表示月份、DD表示日。

brief

显示简要记录信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过执行该命令查看用户正常下线、异常下线、上线失败记录信息,也可以基于域名、接口、IP地址、VPN实例、MAC地址、插槽号来查看下线记录及上线失败记录信息。

注意事项

目前,username仅支持显示为英文字母、数字或特殊字符的组合,不支持显示为中文等其他语言。

username中包含特殊字符和中文等其他语言时,显示时将这些字符都转换成“.”,如果有连续3个以上的这些字符,则都显示为3个“.”。其中,这里的特殊字符是指ASCII码值小于32(空格)或大于126(~)的字符。

username长度超过20个字符时,从第20个开始的字符都转换成“.”,且只显示22个字符。

使用实例

# 查看rds域的用户正常下线信息。
<HUAWEI> display aaa offline-record domain rds
 -------------------------------------------------------------------
  User name             : test@rds
  Domain name           : rds
  User MAC              : 0021-9746-b67c
  User access type      : 802.1x
  User access interface : GigabitEthernet11/0/2
  Qinq vlan/User vlan   : 0/1
  User IP address       : 192.168.2.2
  User IPV6 address     : -
  User ID               : 19
  User login time       : 2008/10/01 04:49:39
  User offline time     : 2008/10/01 04:59:43
  User offline reason   : EAPOL user request
  User name to server   : test@rds 
  AP ID                 : 0
  Radio ID              : 0
  AP MAC                : b001-0000-ac01
  SSID                  : ssid1
  -------------------------------------------------------------------
  Are you sure to display some information?(y/n)[y]:
表13-2  display aaa offline-record domain命令输出信息描述

项目

描述

User name

用户名。

Domain name

用户的域。

User MAC

用户的MAC地址。

User access type

用户的接入类型。
  • “802.1x”表示接入类型为802.1X的用户。
  • “PPPoE”表示接入类型为PPPoE的用户。
  • “API”表示接入类型为API用户。
  • “FTP”表示接入类型为FTP的用户。
  • “Telnet”表示接入类型为Telnet的用户。
  • “Terminal”表示接入类型为Terminal的用户。
  • “SSH”表示接入类型为SSH的用户。
  • “x25-pad”表示接入类型为x25-pad的用户。
  • “HTTP”表示接入类型为HTTP的用户。
  • “Web”表示接入类型为Web的用户。
  • “Bind”表示接入类型为IP Session用户。
相关命令请参考local-user service-type

User access interface

用户接入的接口。

Qinq vlan/User vlan

用户所属VLAN。
  • 如果是QinQVLAN,则“QinQvlan”表示外层VLAN ID,“Uservlan”表示内层VLAN ID。
  • 如果是普通VLAN,“Uservlan”表示用户所属VLAN ID,“QinQvlan”取0。

User IP address

用户的IP地址。

User IPV6 address

用户的IPv6地址。

User ID

用户ID。

User login time

用户上线时间。

User offline time

用户下线时间。

User offline reason

用户上线失败或下线原因。常见原因包括:
  • “EAPOL user request”表示802.1X用户主动下线。
  • “PPP user request”表示PPP用户主动下线。
  • “Web user request”表示Web用户主动下线。
  • “AAA cut command”表示命令行删除用户。
  • “Session time out”表示会话超时。
  • “Idle cut”表示闲置切断。
  • “PPP authentication fail”表示PPP认证失败。
  • “STA disassociation”表示STA去关联。
  • “console reset or disable port”表示管理接口Down。
  • “Interface net down”表示接口Down。
  • “AS detect fail”表示策略联动场景下,接入设备AS探测失败。
  • “AS smooth fail”表示策略联动场景下,接入设备AS平滑失败。
  • “AS configuration changed on interface”表示策略联动场景下,接入设备AS端口配置改变,导致用户下线。
  • “No authentication server configured”表示没有配置认证服务器。
  • “No radius-server template bound”表示没有绑定RADIUS服务器模板。
  • “No tacacs-server template bound”表示没有绑定TACACS服务器模板。
  • “No accounting server configured”表示没有配置计费服务器。
  • “Accounting server no response”表示计费服务器无响应。
  • “EAPOL client restart associate”表示802.1X客户端重新发起关联。
  • “Users with low priorities go offline”表示用户由于优先级低被强制下线。
  • “Resources are insufficient”表示设备资源不足。
  • “Local Authentication user block”表示本地用户已锁定。
  • “Roaming is prohibited”表示禁止用户漫游。

User name to server

设备发送到服务器的用户名。

AP ID

无线用户关联的AP对应的ID。

Radio ID

无线用户关联的射频。

AP MAC

无线用户关联的AP对应的MAC地址。

SSID

无线用户关联的SSID。

display aaa configuration

命令功能

display aaa configuration命令用来查看AAA的概要信息,如域、认证方案、授权方案、计费方案的使用情况。

命令格式

display aaa configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

AAA的相关配置都受到严格的规格限制,因此在进行AAA的配置前,需要先执行命令display aaa configuration查看设备上是否还有足够的资源。

使用实例

# 查看AAA的概要信息。

<HUAWEI> display aaa configuration
                                                                                
  Domain Name Delimiter            : @                                          
  Domainname parse direction       : Left to right                              
  Domainname location              : After-delimiter                            
  Administrator user default domain: default_admin                              
  Normal user default domain       : default                                    
  Domain                           : total: 128     used: 4                     
  Authentication-scheme            : total: 129     used: 1                     
  Accounting-scheme                : total: 128     used: 1                     
  Authorization-scheme             : total: 128     used: 1                     
  Service-scheme                   : total: 128     used: 2                     
  Recording-scheme                 : total: 64      used: 0                     
  Local-user                       : total: 1000    used: 8                       
  Local-user block retry-interval  : 5 Min(s)
  Local-user block retry-time      : 3
  Local-user block time            : 5 Min(s)
  Remote-user block retry-interval : 30 Min(s)
  Remote-user block retry-time     : 30
  Remote-user block time           : 30 Min(s)
表13-3  display aaa configuration命令输出信息描述

项目

描述

Domain Name Delimiter

域名分隔符,可以是 \ / : < > | @ ' % 中的某一个。缺省是@。

通过domain-name-delimiter命令配置。

Domain

域的数目。
  • total:可以创建的域总数。
  • used:已经创建的域数目。

Domainname parse direction

域名的解析方向。

  • Left to right:从左到右解析。
  • Right to left:从右到左解析。

通过domainname-parse-direction命令配置。

Domainname location

域名的位置。

  • After-delimiter:域名在分隔符后。
  • Before-delimiter:域名在分隔符前。

通过domain-location命令配置。

Administrator user default domain

管理用户默认域。

Normal user default domain

普通用户默认域。

Authentication-scheme

认证方案数目。
  • total:可以创建的认证方案总数。
  • used:已经创建的认证方案数目。

Accounting-scheme

计费方案数目。
  • total:可以创建的计费方案总数。
  • used:已经创建的计费方案数目。

Authorization-scheme

授权方案数目。
  • total:可以创建的授权方案总数。
  • used:已经创建的授权方案数目。

Service-scheme

业务方案数目。
  • total:可以创建的业务方案总数。
  • used:已经创建的业务方案数目。

Recording-scheme

记录方案数目。
  • total:可以创建的记录方案总数。
  • used:已经创建的记录方案数目。

Local-user

本地用户数目。
  • total:可以创建的本地用户总数。
  • used:已经创建的本地用户数目。

Local-user block retry-interval

本地账号用户的重试时间间隔。

通过local-aaa-user wrong-password命令配置。

Local-user block retry-time

本地账号连续认证失败的限制次数。

通过local-aaa-user wrong-password命令配置。

Local-user block time

本地账号的锁定时间。

通过local-aaa-user wrong-password命令配置。

Remote-user block retry-interval

远端认证用户的重试时间间隔。

通过remote-aaa-user authen-fail命令配置。

Remote-user block retry-time

远端认证用户连续认证失败的限制次数。

通过remote-aaa-user authen-fail命令配置。

Remote-user block time

远端认证用户的锁定时间。

通过remote-aaa-user authen-fail命令配置。

Session timeout invalid enable
  • Yes:当Radius服务器下发的Session-Timeout为0时,设备不对用户进行下线或重认证。
  • No:当Radius服务器下发的Session-Timeout为0时,设备对用户进行下线或重认证。

通过aaa-author session-timeout invalid-value enable命令配置。

display aaa statistics offline-reason

命令功能

display aaa statistics offline-reason命令用来查看用户下线原因。

命令格式

display aaa statistics offline-reason

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

在检查AAA的配置时,可执行此命令获取用户的下线原因,可以根据这些信息进行问题定位。

使用实例

# 查看用户下线原因。

<HUAWEI> display aaa statistics offline-reason
19  User request to offline       :2 
87  AAA cut command               :1       
表13-4  display aaa statistics offline-reason命令输出信息描述

项目

描述

19/87

用户下线原因编码。

User request to offline

用户主动下线。

2/1

用户下线次数。

AAA cut command

通过cut access-user命令使用户下线。

display aaa-quiet administrator except-list

命令功能

display aaa-quiet administrator except-list命令用来查看在用户账号锁定期间,允许该用户访问网络使用的IP地址。

命令格式

display aaa-quiet administrator except-list

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

通过命令aaa-quiet administrator except-list,配置在用户账号锁定期间,允许该用户使用指定的IP地址访问网络后,可以使用该命令查询相关的IP地址配置信息。

使用实例

# 查看在用户账号锁定期间,允许该用户访问网络使用的IP地址。

<HUAWEI> display aaa-quiet administrator except-list
 -------------------------------------------------------------------------------
 Admin silent whitelist
 -------------------------------------------------------------------------------
 10.2.2.1
 10.2.2.2
 -------------------------------------------------------------------------------
 Total: 2, printed: 2
表13-5  display aaa-quiet administrator except-list命令输出信息描述

项目

描述

Admin silent whitelist

白名单内配置的IP地址。

display access-user(所有视图)

命令功能

display access-user命令用来查看在线用户(包括接入用户和管理员用户)的信息。

命令格式

display access-user [ domain domain-name | interface interface-type interface-number [ vlan vlan-id [ qinq qinq-vlan-id ] ] | ip-address ip-address [ vpn-instance vpn-instance-name ] | ipv6-address ipv6-address | access-slot slot-id ] [ detail ]

display access-user username user-name [ detail ]

display access-user ssid ssid-name

display access-user [ mac-address mac-address | service-scheme service-scheme-name | user-id user-id ]

display access-user statistics

display access-user access-type { admin [ ftp | ssh | telnet | terminal | web ] | ppp } [ username user-name ]

参数说明

参数

参数说明

取值

domain domain-name

指定根据域名查看用户信息。

必须是已存在的域名。

interface interface-type interface-number

指定根据接口查看用户信息。
  • interface-type:接口类型。
  • interface-number:接口编号。

-

vlan vlan-id [ qinq qinq-vlan-id ]

指定根据VLAN查看用户信息。

  • vlan-id:VLAN ID。如果是QinQ VLAN,表示内层VLAN ID。
  • qinq-vlan-id:表示外层VLAN ID。

授权ISP VLAN场景中,只有指定vlan-id为ISP VLAN ID时,才能查看到用户信息。

vlan-idqinq-vlan-id:整数形式,取值范围是1~4094。

ip-address ip-address

指定根据IP地址查看用户信息。

说明:

当用户类型为NAC用户和静态用户时,则显示详细用户信息;其他类型用户则显示简要用户信息。

点分十进制格式。

vpn-instance vpn-instance-name

指定IP地址所属的VPN实例。

必须是已存在的VPN实例名称。

ipv6-address ipv6-address

指定根据IPv6地址查看用户信息。

总长度为128位,通常分为8组,每组为4个16进制数的形式,格式为X:X:X:X:X:X:X:X。

mac-address mac-address

指定根据MAC地址查看用户信息。

格式为H-H-H。其中H为4位的十六进制数。

service-scheme service-scheme-name 根据业务方案查看用户。 必须为已经存在的业务方案。

access-slot slot-id

指定根据接口板查看用户信息。

接口板槽位号,取值范围根据设备的型号确定。

ssid ssid-name

指定服务集中的服务组合识别码。

已存在的SSID名。

说明:

SSID仅在NAC统一模式下支持。

username user-name

指定根据用户名查看用户信息。

已存在的用户名。

statistics

指定查看设备上用户的统计信息:
  • Historical wireless user statistics:指定查看设备上历史的无线用户的统计信息。
  • Current online user statistics:指定查看设备上当前在线的所有用户的统计信息。

仅在NAC统一模式下支持statistics关键字。

user-id user-id

指定根据用户索引查看用户信息。如果指定该参数,则显示用户的详细信息。

必须是设备上已存在的用户索引。

detail

指定查看详细信息。

-

access-type

显示指定认证方式的用户信息。

-

admin [ ftp | ssh | telnet | terminal | web ]

显示指定认证方式的管理员用户信息。

  • ftp:FTP用户。
  • ssh:SSH用户。
  • telnet:Telnet用户。
  • terminal:Terminal用户。
  • web:Web用户。

-

ppp

显示PPP认证的在线用户信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

本命令用于管理员在设备上查看已经存在的用户连接。

注意事项

当用户名的字符串中间有空格,即形如a b时,可以使用display access-user username "a b"查看在线用户。

当用户名的字符串同时有空格和""时,无法通过用户名对在线用户进行查看。此时可以使用display access-user | include username的方式,查看在线用户的user-id,然后使用display access-user user-id user-id查看该用户。或使用cut access-user user-id user-id强制该用户下线。

根据用户IP地址查看VPN用户表项时,需配置vpn-instance vpn-instance-name指定IP地址所属的VPN实例。

如果指定user-id进行查询,则显示指定用户的详细信息。其他情况下显示在线用户的简要信息,包括用户索引、用户名、IP地址和MAC地址。

目前,username仅支持显示为英文字母、数字或特殊字符的组合,不支持显示为中文等其他语言。

username中包含特殊字符和中文等其他语言时,显示时将这些字符都转换成“.”,如果有连续3个以上的这些字符,则都显示为3个“.”。其中,这里的特殊字符是指ASCII码值小于32(空格)或大于126(~)的字符。

username长度超过20个字符时,从第20个开始的字符都转换成“.”,且只显示22个字符。

当使用关键字interface时,将显示接口下的有线用户的在线连接信息。

当根据指定接口、MAC地址或VLAN查看用户信息时,设备仅支持查看802.1X、MAC或Portal认证用户的信息

接口板加入WLAN工作组后,当用户通过AP从该接口板上线时,设备无法通过display access-user access-slot slot-id查看上线用户的信息。

使用实例

# 查看设备上的用户连接。

<HUAWEI> display access-user
  ----------------------------------------------------------------------------------------------- 
  UserID Username                       IP address                   MAC            Status
  -----------------------------------------------------------------------------------------------
  1      normal@local                   -                         001b-21c4-3b56    Success
  62     005500000001                   192.168.1.121             0055-0000-0001    Open 
  32675  fztest                         -                         4611-97a4-0000    Success
  16019  b002404                        192.168.1.2               0000-c055-0102    Success
  -----------------------------------------------------------------------------------------------
 Total: 4, printed: 4
说明:

执行该命令时,如果通过includeexclude参数筛选查看信息,显示的Total和printed仍为所有总数目信息。

# 查看用户索引为1的用户信息。

<HUAWEI> display access-user user-id 1
Basic:                                                                          
  User ID                         : 1                                      
  User name                       : normal                                      
  Domain-name                     : rds                                         
  User MAC                        : 3039-26e0-e5a6                              
  User IP address                 : 10.124.1.253
  User vpn-instance               : -   
  User IPv6 address               : -       
  User access Interface           : GigabitEthernet1/0/1                                
  User vlan event                 : Success                                     
  QinQVlan/UserVlan               : 0/20                                       
  User vlan source                : user request          
  User access time                : 2014/03/31 15:38:55                         
  User accounting session ID      : esap_lm000000000001245****8016032            
  Option82 information            : -                                           
    CircuitID information         : 2.200
    RemoteID information          : 707b-e8e9-f767
  Option60 information            : huawei
  User access type                : MAC 
  Redirect ACL ID(Effective)      : 3001  
  User Privilege                  : 15  
  Terminal Device Type            : Data Terminal
  Dynamic ACL number(Effective)   : 3100
  Dynamic group index(Effective)  : 10
  Dynamic group name(Effective)   : group10
  Session Timeout                 : 1800(s) (local), Remaining: 1740(s)
  Termination Action              : RE-AUTHENTICATION
                                                                                
AAA:                                                                            
  User authentication type        : MAC authentication                       
  Current authentication method   : RADIUS                                      
  Current authorization method    : -                                           
  Current accounting method       : RADIUS      

# 查看用户索引为62的用户信息。

<HUAWEI> display access-user user-id 62
Basic:                                                
  User ID                         : 62                    
  User name                       : 005500000001          
  Domain-name                     : -                     
  User MAC                        : 0055-0000-0001        
  User IP address                 : 192.168.1.121  
  User vpn-instance               : -   
  User IPv6 address               : -       
  User access Interface           : Wlan-Dbss3:152           
  User vlan event                 : Open                  
  QinQVlan/UserVlan               : 0/125                        
  User vlan source                : user request          
  User access time                : 2015/07/10 11:27:12           
  User accounting session ID      : esap_lm000000000001245****8016032
  Option82 information            : -                       
  User access type                : None              
  Redirect ACL ID(Effective)      : 3001  
  User Privilege                  : 15  
  AP ID                           : 152               
  AP name                         : ap-152            
  Radio ID                        : 0                 
  AP MAC                          : 0000-0000-0002        
  SSID                            : 57-open             
  Online time                     : 23(s)                
                                                      
AAA:                                                  
  User authentication type        : None             
  Current authentication method   : None              
  Current authorization method    : Local            
  Current accounting method       : None 

# 查看用户索引为32675的用户信息。

<HUAWEI> display access-user user-id 32675
Basic:                                                                          
  User ID                         : 32675                                       
  User name                       : fztest                                      
  Domain-name                     : fz                                          
  User MAC                        : 4611-97a4-0000                              
  User IP address                 : - 
  User IPv6 address               : -       
  User access Interface           : Eth-Trunk1                                  
  User vlan event                 : Success                                     
  QinQVlan/UserVlan               : 0/18                                        
  User vlan source                : user request          
  User access time                : 2015/02/11 21:51:58                         
  User accounting session ID      : esap_lm000000000001245****8016032           
  Option82 information            : -                                           
  User access type                : 802.1x                                      
  Redirect ACL ID(Effective)      : 3001  
  User Privilege                  : 15  
  AS ID                           : 1                                           
  AS name                         : test                                 
  AS IP                           : 192.168.1.11                                
  AS MAC                          : 0012-0016-4578                              
  AS Interface                    : GigabitEthernet1/0/1
  Terminal Device Type            : Data Terminal                               
                                                                                
AAA:                                                                            
  User authentication type        : 802.1x authentication                       
  Current authentication method   : RADIUS                                      
  Current authorization method    : -                                           
  Current accounting method       : RADIUS  

# 查看用户索引为16019的用户信息。

<HUAWEI> display access-user user-id 16019
Basic:
  User ID                         : 16019
  User name                       : b002404
  Domain-name                     : abc
  User MAC                        : 0000-c055-0102
  User IP address                 : 192.168.1.2
  User vpn-instance               : -       
  User IPv6 address               : FC00:3::5689:98FF:FE01:583D                 
  User IPv6 link local address    : FE80::5689:98FF:FE01:583D                   
  User access Interface           : GigabitEthernet1/0/1
  User vlan event                 : Success
  QinQVlan/UserVlan               : 20/21
  User vlan source                : user request          
  User access time                : 2016/08/16 18:32:16
  User accounting session ID      : esap_lm000000000001245****8016032
  Option82 information            : -
  User PIR(Kbps)                  : 5000 
  User flow mapping name          : zt                                          
  User flow queue name            : zt      
  User access type                : MAC
  Redirect ACL ID(Effective)      : 3001  
  Terminal Device Type            : Data Terminal
  User inbound data flow(Packet)  : -
  User inbound data flow(Byte)    : -
  User outbound data flow(Packet) : -
  User outbound data flow(Byte)   : -
  DAA Inbound data flow(Packet/Byte)
    Tariff level 1                : -/-
  DAA Outbound data flow(Packet/Byte)
    Tariff level 1                : -/-
  User Lease                      : 600(s)                                      
  ISP   VLAN                      : 1000                                        
  ISP Interface                   : GigabitEthernet6/1/17      

AAA:
  User authentication type        : MAC authentication
  Current authentication method   : RADIUS
  Current authorization method    : -
  Current accounting method       : None
说明:
Eth-Trunk中包含不支持某功能的单板时,相应项目后会增加显示:The Eth-Trunk contains a card that does not support this function。
表13-6  display access-user命令显示信息说明

项目

描述

Basic

用户的基本信息。

UserID、User ID

用户索引。

Username、User name

用户名。

Domain-name

用户的域。

MAC、User MAC

用户的MAC地址。

IP address、User IP address

用户的IP地址。

User vpn-instance

用户所属的VPN实例。

User IPv6 address

用户的IPv6地址。

User IPv6 link local address

链路本地IPv6地址。

User access Interface

用户接入的接口。

Status、User vlan event

用户获取vlan的状态。

  • Open:对有线用户是认证失败后使能open功能上线;对无线用户是没有认证
  • Success:认证成功
  • Pre-authen:预认证
  • Client-no-resp:客户端无响应
  • Fail-authorized:认证失败以后授权
  • Web-server-down:WEB服务器down
  • Aaa-server-down:AAA服务器down

QinQVlan/UserVlan

用户所属VLAN。
  • 如果是QinQVLAN,则“QinQVlan”表示外层VLAN ID,“UserVlan”表示内层VLAN ID。
  • 如果是普通VLAN,“UserVlan”表示用户所属VLAN ID,“QinQVlan”取0。

User vlan source

用户VLAN的来源。

  • server vlan:远端服务器下发的VLAN。
  • user group vlan:用户组下绑定的VLAN。
  • service scheme vlan:业务方案下配置的VLAN。
  • local event vlan:本地配置的其他授权(本地配置的访客、逃生)VLAN。
  • user request:用户请求(认证请求)中携带的VLAN。

User access time

用户接入的时间。

如果配置了时区且处于夏令时,时间显示格式为YYYY-MM-DD HH:MM:SS UTC±HH:MM DST。

User accounting session ID

用户计费会话ID。

Option82 information

Option82信息。

CircuitID information

电路ID信息。

RemoteID information

远端ID信息。

Option60 information

Option60信息。

User PIR(Kbps)

峰值信息速率,单位:Kbps。

User flow mapping name

用户流映射模板名称。

User flow queue name

用户流队列模板名称。

User access type

用户的接入类型。“IPoE”为IP Session用户。相关命令请参考local-user service-type

Redirect ACL ID(Effective)

用户重定向ACL编号:
  • Effective:已生效。
  • Ineffective:未生效,可能原因是设备上没有配置ACL。

User Privilege

用户的级别。

Terminal Device Type

终端接入类型。

Dynamic ACL number(Effective)

ACL编号:
  • Effective:已生效。
  • Ineffective:未生效,可能原因是RADIUS动态授权失败、设备上ACL不存在或者有线用户未获取到IP地址。
说明:

只有通过RADIUS服务器动态下发ACL时才会有该回显信息。

Dynamic group index(Effective)

UCL组索引。该项只在NAC统一模式下可见。

Dynamic group name(Effective)

UCL组名称。该项只在NAC统一模式下可见。

Session Timeout

会话超时时间

  • xx(s) (local):表示本地配置的MAC或802.1X用户的重认证周期。
  • xx(s) (server):表示RADIUS服务器下发的Session-Timeout(27)属性,该属性的含义是为用户提供服务的剩余时间。
Remaining

剩余的会话时间。

Termination Action

会话超时以后的动作。
  • RE-AUTHENTICATION:重认证
  • OFFLINE:下线

AP ID

用户接入的AP的ID。

AP name

用户接入的AP的名称。

Radio ID

用户接入的射频的ID。

AP MAC

用户接入AP的MAC地址。

SSID

用户接入的SSID。

Online time

用户在线时间。

AAA

用户的AAA信息。

User authentication type

用户的认证类型,根据用户的接入类型不同而不同。

Current authentication method

当前的认证模式。

Current authorization method

当前的授权模式。

Current accounting method

当前的计费模式。

AS ID

策略联动接入设备ID。

AS name

策略联动接入设备名称。

AS IP

策略联动接入设备的IP地址。

AS MAC

策略联动接入设备的MAC地址。

AS Interface

策略联动接入设备的接口。

User inbound data flow(Packet)

用户上行数据流量(报文个数)。

User inbound data flow(Byte)

用户上行数据流量(字节数)。

User outbound data flow(Packet)

用户下行数据流量(报文个数)。

User outbound data flow(Byte)

用户下行数据流量(字节数)。

DAA Inbound data flow(Packet/Byte)(The Eth-Trunk contains a card that does not support this function)

DAA上行流量(报文个数/字节数)(Eth-trunk包含不支持该功能的单板)

Tariff level 1

费率级别。

DAA Outbound data flow(Packet/Byte)

DAA下行流量(报文个数/字节数)。

User Lease

用户租期。

ISP VLAN

授权的出接口VLAN。

ISP Interface

授权的出接口。

display access-user work-group

命令功能

display access-user work-group命令用来按照WLAN工作组查看在线用户信息。

说明:
该命令仅在NAC统一模式下支持。

命令格式

display access-user work-group { work-group-id | default }

参数说明

参数

参数说明

取值

work-group-id

查看指定WLAN工作组用户信息。

整数形式,取值范围是1~4。

default

查看默认WLAN工作组用户信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

本命令用于在设备上按照WLAN工作组查看已经存在的用户连接。

使用实例

# 查看WLAN工作组1的在线用户信息。

<HUAWEI> display access-user work-group 1
 ------------------------------------------------------------------------------ 
 UserID Username                IP address       MAC            Status          
 ------------------------------------------------------------------------------ 
 16016  abcabc                  10.10.10.20      3039-26e0-e5a6 Open            
 ------------------------------------------------------------------------------ 
 Total: 1, printed: 1 
表13-7  display access-user work-group命令输出信息描述

项目

描述

UserID

用户索引。

Username

用户名。

IP address

用户的IP地址。

MAC

用户的MAC地址。

Status

用户的认证状态。
  • Open:不需要认证的用户。
  • Success:需要认证且认证成功的用户。

display access-user user-name-table statistics

命令功能

display access-user user-name-table statistics命令用来查看根据用户名进行接入控制的用户统计信息。

命令格式

display access-user user-name-table statistics { all | username username }

参数说明

参数

参数说明

取值

all

查看所有用户统计信息。

-

username username

查看指定用户名的用户统计信息。

已存在的用户名。

视图

所有视图

缺省级别

1:监控级

使用指南

通过命令access-limit user-name max-num配置根据用户名限制用户接入数量的功能后,可以通过该命令查看相关统计信息,包括最大接入用户数量、已接入用户的IP地址和MAC地址等。

说明:

该命令不统计预链接用户的信息。

使用实例

# 查看根据用户名进行接入控制的所有用户的统计信息。

<HUAWEI> display access-user user-name-table statistics all
--------------------------------------------------------------------------------
 Username                Current num       Access limit max num                 
--------------------------------------------------------------------------------
 test@hw                 8                 8                                    
--------------------------------------------------------------------------------
 Total: 1, printed: 1 

# 查看用户“test@hw”根据用户名进行接入控制的详细统计信息。

<HUAWEI> display access-user user-name-table statistics username test@hw
                                                                                
Basic Info:                                                                     
 User name                   : test@hw                                          
 Current num                 : 8                                                
 Access limit max num        : 8                                                
Detail Info:                                                                    
--------------------------------------------------------------------------------
 UserID       Username                IP address       MAC                      
--------------------------------------------------------------------------------
 16016        test@hw                 192.168.8.139    a4dc-bef1-0794           
                                                                                
 16017        test@hw                 192.168.8.140    a4dc-bef1-0795           
                                                                                
 16018        test@hw                 192.168.8.141    a4dc-bef1-0796           
                                                                                
 16019        test@hw                 192.168.8.142    a4dc-bef1-0797           
                                                                                
 16020        test@hw                 192.168.8.143    a4dc-bef1-0798           
                                                                                
 16021        test@hw                 192.168.8.144    a4dc-bef1-0799           
                                                                                
 16022        test@hw                 192.168.8.145    a4dc-bef1-079a           
                                                                                
 16023        test@hw                 192.168.8.146    a4dc-bef1-079b           
                                                                                
--------------------------------------------------------------------------------
 Total: 8, printed: 8 
表13-8  display access-user user-name-table statistics命令输出信息描述

项目

描述

Basic Info 基本信息。
User name或Username 用户名。
Current num 当前已经接入的用户数。
Access limit max num 最多可以接入的用户数。
Detail Info 详细信息。
UserID 用户ID。
IP address 用户IP地址。
MAC 用户MAC地址。
Total: m, printed: n 总表项数量m,打印的表项数量n

display accounting-scheme

命令功能

display accounting-scheme命令用来查看计费方案的配置情况,如计费方案名称、计费模式。

命令格式

display accounting-scheme [ accounting-scheme-name ]

参数说明

参数

参数说明

取值

accounting-scheme-name

指定查看的计费方案名称。

必须为已存在的计费方案名称。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

完成计费方案的相关配置后,可以执行display accounting-scheme查看计费方案的配置信息来确认计费方案配置是否正确。

在域下应用某个计费方案前,建议执行display accounting-scheme查看计费方案的详细信息来判断该计费方案是否满足要求。

注意事项

如果指定了计费方案的名称,则显示详细的计费方案配置信息;否则只显示摘要信息。

使用实例

# 查看所有计费方案的摘要信息。

<HUAWEI> display accounting-scheme
  -------------------------------------------------------------------
  Accounting-scheme-name              Accounting-method
  -------------------------------------------------------------------
  default                             None
  radius-1                            RADIUS
  tacas-1                             HWTACACS
  -------------------------------------------------------------------
  Total of accounting-scheme: 3 

# 查看系统缺省的计费方案的详细配置信息。

<HUAWEI> display accounting-scheme default

  Accounting-scheme-name                : default
  Accounting-method                     : None
  Realtime-accounting-switch            : Disabled
  Realtime-accounting-interval(min)     : -
  Start-accounting-fail-policy          : Offline
  Realtime-accounting-fail-policy       : Online
  Realtime-accounting-failure-retries   : 3 
表13-9  display accounting-scheme命令显示信息说明

项目

描述

Accounting-scheme-name

计费方案的名称。通过accounting-scheme(AAA视图)命令创建。

Accounting-method

此计费方案配置的计费模式。计费模式如下:

  • HWTACACS:HWTACACS服务器计费。
  • None:不计费。
  • RADIUS:RADIUS服务器计费。

通过accounting-mode命令配置。

Realtime-accounting-switch

是否启用实时计费功能。实时计费开关有两种状态:

  • Disabled:关闭,不进行实时计费。
  • Enabled:打开,进行实时计费。

通过accounting realtime命令配置。

Realtime-accounting-interval(min)

实时计费间隔。通过accounting realtime命令配置。

Start-accounting-fail-policy

开始计费失败后对用户采取的策略:
  • Offline:使用户下线。
  • Online:保持用户在线。

通过accounting start-fail命令配置。

Realtime-accounting-fail-policy

实时计费失败后对用户采取的策略:
  • Offline:使用户下线。
  • Online:保持用户在线。

通过accounting interim-fail命令配置。

Realtime-accounting-failure-retries

确认为实时计费失败前系统尝试实时计费的次数。

通过accounting interim-fail命令配置。

display authentication-scheme

命令功能

display authentication-scheme命令用来查看认证方案的配置信息。

命令格式

display authentication-scheme [ authentication-scheme-name ]

参数说明

参数

参数说明

取值

authentication-scheme-name

指定查看的认证方案名称。

必须为已存在的认证方案名称。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

完成认证方案的相关配置后,可以执行display authentication-scheme查看认证方案的配置信息来确认认证方案配置是否正确。

注意事项

如果在认证方案视图下执行此命令,或者指定了认证方案的名称,则将显示详细的认证方案配置信息;否则只显示摘要信息。

使用实例

# 查看所有认证方案的摘要信息。

<HUAWEI> display authentication-scheme
  -------------------------------------------------------------------
  Authentication-scheme-name          Authentication-method
  -------------------------------------------------------------------
  default                             Local
  radius                              RADIUS
  -------------------------------------------------------------------
  Total of authentication scheme: 2

# 查看配置名为default的认证方案的详细配置信息。

<HUAWEI> display authentication-scheme default
                                                                                
  Authentication-scheme-name          : default                                 
  Authentication-method               : Local  
  Radius authentication-type of admin : PAP(all) 
  Location after radius reject        : None
表13-10  display authentication-scheme命令显示信息说明

项目

描述

Authentication-scheme-name

认证方案的名称。通过authentication-scheme(AAA视图)命令配置。

Authentication-method

认证方案的认证模式。通过authentication-mode命令配置。

Radius authentication-type of admin

管理员用户通过RADIUS认证时采用CHAP认证的接入类型。取值包括:
  • PAP(all):所有接入类型的管理员用户通过RADIUS认证时都采用PAP认证。
  • CHAP(ftp) PAP (other):FTP用户(显示配置的接入类型)通过RADIUS认证时都采用CHAP认证,其他接入类型的管理员用户采用PAP认证。

通过authentication-type radius chap access-type admin命令配置。

Location after radius reject

RADIUS认证拒绝后,转入的下一种认证方式。取值包括:
  • None:未配置下一种认证方式,认证结束。
  • Local:转入本地认证。

通过radius-reject local命令配置。

display authorization-scheme

命令功能

display authorization-scheme命令用来查看授权方案的配置信息。

命令格式

display authorization-scheme [ authorization-scheme-name ]

参数说明

参数

参数说明

取值

authorization-scheme-name

指定查看的授权方案名称。

必须为已存在的授权方案名称。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

完成授权方案的相关配置后,可以执行display authorization-scheme查看授权方案的配置信息来确认授权方案配置是否正确。

在域下应用某个授权方案前,建议执行display authorization-scheme查看授权方案的详细信息来判断该授权方案是否满足要求。

注意事项

如果指定了授权方案的名称,则显示详细的授权方案配置信息;否则只显示摘要信息。

使用实例

# 查看授权方案的摘要信息。

<HUAWEI> display authorization-scheme
  -------------------------------------------------------------------
  Authorization-scheme-name          Authorization-method
  -------------------------------------------------------------------
  default                             Local
  scheme0                             Local
  -------------------------------------------------------------------
   Total of authorization-scheme: 2

# 查看名为scheme0的授权方案的详细配置信息。

<HUAWEI> display authorization-scheme scheme0
---------------------------------------------------------------------------
 Authorization-scheme-name   : scheme0
 Authorization-method        : Local
 Authorization-cmd level  0   : Disabled
 Authorization-cmd level  1   : Disabled 
 Authorization-cmd level  2   : Disabled
 Authorization-cmd level  3   : Disabled
 Authorization-cmd level  4   : Disabled
 Authorization-cmd level  5   : Disabled
 Authorization-cmd level  6   : Disabled
 Authorization-cmd level  7   : Disabled
 Authorization-cmd level  8   : Disabled
 Authorization-cmd level  9   : Disabled
 Authorization-cmd level 10   : Disabled
 Authorization-cmd level 11   : Disabled
 Authorization-cmd level 12   : Disabled
 Authorization-cmd level 13   : Disabled
 Authorization-cmd level 14   : Disabled
 Authorization-cmd level 15   : Disabled
 Authorization-cmd no-response-policy    : Online
---------------------------------------------------------------------------
表13-11  display authorization-scheme命令显示信息说明

项目

描述

Authorization-scheme-name

授权方案的名称。通过authorization-scheme(AAA视图)命令配置。

Authorization-method

授权方案配置的授权模式。通过authorization-mode命令配置。

Authorization-cmd level

该级别用户是否使能了按命令行授权功能。
  • Disabled:没有使能按命令行授权功能。
  • Enabled:使能了按命令行授权功能。

通过authorization-cmd命令配置。

Authorization-cmd no-response-policy

按命令行授权失败时的策略:允许用户上线。

display domain

命令功能

display domain命令用来查看域的配置信息。

命令格式

display domain [ name domain-name ]

参数说明

参数

参数说明

取值

name domain-name

指定查看的域名。

如果不指定域名,则显示所有域的摘要信息。

必须为已存在的域名。

视图

所有视图

缺省级别

1:监控级

使用指南

通过命令domain创建域并完成域下的配置后可以执行该命令查看域的配置信息,检查配置是否正确。

使用实例

# 查看当前所有存在的域的配置信息。

<HUAWEI> display domain
  -------------------------------------------------------------------------
  index    DomainName
  -------------------------------------------------------------------------
  0        default
  1        default_admin
  -------------------------------------------------------------------------
  Total: 2
表13-12  display domain命令输出信息描述

项目

描述

index

域的索引。

通过domain(AAA视图)命令配置。

DomainName

域的名称。

通过domain(AAA视图)命令配置。

# 查看default域的配置信息。

<HUAWEI> display domain name default

  Domain-name                     : default
  Domain-index                    : 0
  Domain-state                    : Active
  Authentication-scheme-name      : default
  Accounting-scheme-name          : default
  Authorization-scheme-name       : -
  Service-scheme-name             : -
  RADIUS-server-template          : -
  Accounting-copy-RADIUS-template : -
  HWTACACS-server-template        : -
  User-group                      : -
  Push-url-address                : -
  Flow-statistic                  : -
  Tariff-level                    : -
表13-13  display domain name default命令输出信息描述

项目

描述

Domain-name

域的名称。

通过domain(AAA视图)命令配置。

Domain-index

域的索引。

通过domain(AAA视图)命令配置。

Domain-state

域的状态,其中:
  • Active表示激活状态。
  • Block表示阻塞状态。

通过state(AAA域视图)命令配置。

Authentication-scheme-name

域使用的认证方案名称。

通过authentication-scheme(AAA域视图)命令配置。

Accounting-scheme-name

域使用的计费方案名称。

通过accounting-scheme(AAA域视图)命令配置。

Authorization-scheme-name

域使用的授权方案名称。

通过authorization-scheme(AAA域视图)命令配置。

Service-scheme-name

域使用的业务方案名称。

通过service-scheme(AAA域视图)命令配置。

RADIUS-server-template

域使用的RADIUS服务器模板名称。

通过radius-server(AAA域视图)命令配置。

Accounting-copy-RADIUS-template

域使用的二级计费RADIUS服务器模板。

通过accounting-copy radius-server命令配置。

HWTACACS-server-template

域使用的HWTACACS服务器模板名称。

通过hwtacacs-server命令配置。

User-group

域使用的用户组授权。

通过user-group(AAA域视图)命令配置。

Push-url-address

域使用的强推URL。

通过force-push命令配置。

Flow-statistic

域用户的流量统计功能是否使能:
  • enable:使能。
  • -:未使能。

通过statistic enable(AAA域视图)命令配置。

Tariff-level

费率级别。

通过tariff-level命令配置。

display local-user

命令功能

display local-user命令用来查看本地用户的属性信息。

命令格式

display local-user [ domain domain-name | state { active | block } | username user-name ] *

参数说明

参数

参数说明

取值

domain domain-name

查看指定域下的本地用户属性。

必须是已存在的域名。

state { active | block }
根据状态查看本地用户属性。
  • active:激活态。
  • block:阻塞态。

-

username user-name

查看指定用户名的本地用户属性。

必须是已存在的用户名。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

配置本地用户后,可以执行该命令查看本地用户的配置信息,根据输出的信息,可以帮助诊断和排除与本地用户有关的故障。

注意事项

如果不指定可选参数,表示查看所有本地用户的概要信息;如果指定可选参数,则根据指定条件查看本地用户的详细信息。

低级别的用户无法查看高级别用户的信息。

使用实例

# 查看所有本地用户的概要信息。

<HUAWEI> display local-user
  ----------------------------------------------------------------------------
  User-name                      State  AuthMask  AdminLevel
  ----------------------------------------------------------------------------
  user-a                         A      A         0
  user-c                         A      A         0
  ----------------------------------------------------------------------------
  Total 2 user(s) 
# 查看本地用户user-a的详细信息。
<HUAWEI> display local-user username user-a
  The contents of local user(s):
  Password             : ****************
  State                : active
  Service-type-mask    : A
  Privilege level      : -
  Ftp-directory        : -
  HTTP-directory       : -       
  Access-limit         : Yes
  Access-limit-max     : 4294967295
  Accessed-num         : 0
  Idle-timeout         : -
  User-group           : -
  Original-password    : No
  Password-set-time    : 2019-12-01 18:42:57+01:00 DST
  Password-expired     : No 
  Password-expire-time : - 
  Account-expire-time  : -   
说明:

登录失败未被锁定的本地用户会显示剩余可以尝试登录的次数Retry-time-left,修改初始密码失败的本地用户会显示剩余可以尝试登录的次数Change password retry-count-left。当连续登录失败或者修改初始密码失败的次数达到命令local-aaa-user wrong-password配置的次数限制,用户会被锁定。

# 查看登录失败的本地用户user1的信息。
<HUAWEI> display local-user username user1                                                                                               
  The contents of local user(s):                                                                                                    
  Password             : ****************                                                                                           
  State                : active                                                                                                     
  Service-type-mask    : T                                                                                                          
  Privilege level      : 0                                                                                                          
  Ftp-directory        : -                                                                                                          
  HTTP-directory       : -                                                                                                          
  Access-limit         : -                                                                                                          
  Accessed-num         : 0                                                                                                          
  Idle-timeout         : -                                                                                                          
  Retry-interval       : 4 Min(s)                                                                                                   
  Retry-time-left      : 1                                                                                                          
  Original-password    : Yes                                                                                                        
  Password-set-time    : 2019-01-27 13:26:55+08:00                                                                                  
  Password-expired     : No                                                                                                         
  Password-expire-time : -                                                                                                          
  Account-expire-time  : -
# 查看修改初始密码失败的本地用户user1的信息。
<HUAWEI> display local-user username user1
  The contents of local user(s):                                                                                                    
  Password             : ****************                                                                                           
  State                : active                                                                                                     
  Service-type-mask    : T                                                                                                          
  Privilege level      : 0                                                                                                          
  Ftp-directory        : -                                                                                                          
  HTTP-directory       : -                                                                                                          
  Access-limit         : -                                                                                                          
  Accessed-num         : 1                                                                                                          
  Idle-timeout         : -                                                                                                          
  Change password retry-interval  : 4 Min(s)                                                                                        
  Change password retry-count-left: 3                                                                                               
  Original-password    : Yes                                                                                                        
  Password-set-time    : 2019-01-27 13:26:55+08:00                                                                                  
  Password-expired     : No                                                                                                         
  Password-expire-time : -                                                                                                          
  Account-expire-time  : -
# 查看处于锁定状态的本地用户信息。
<HUAWEI> display local-user state block
  ----------------------------------------------------------------------------                                                      
  User-name                      State  AuthMask  AdminLevel  BlockTime                                                             
  ----------------------------------------------------------------------------                                                      
  test2                          B      T         0           2018-04-10 01:55:11-00:00                                             
  ---------------------------------------------------------------------------- 
# 查看处于锁定状态的本地用户test2的信息。
<HUAWEI> display local-user state block username test2
  The contents of local user(s):                                                                                                    
  Password             : ****************                                                                                           
  State                : block                                                                                                      
  Service-type-mask    : T                                                                                                          
  Privilege level      : 0                                                                                                          
  Ftp-directory        : -                                                                                                          
  HTTP-directory       : -                                                                                                          
  Access-limit         : -                                                                                                          
  Accessed-num         : 0                                                                                                          
  Idle-timeout         : -                                                                                                          
  Block-time-left      : 8 Min(s)                                                                                                   
  Original-password    : Yes                                                                                                        
  Password-set-time    : 2019-01-27 13:26:55+08:00                                                                                  
  Password-expired     : No                                                                                                         
  Password-expire-time : -                                                                                                          
  Account-expire-time  : -
表13-14  display local-user命令输出信息描述

项目

描述

User-name

本地用户的用户名。

通过local-user命令配置。

State

本地用户的状态:

  • A:Active
  • B:Block

通过local-user命令配置。

AuthMask

本地用户的接入类型,包括如下几种类型:

  • T:Telnet用户。
  • M:终端用户,通常指Console用户。
  • S:SSH用户。
  • F:FTP用户。
  • W:WEB用户。
  • B:IP Session用户。
  • X:802.1X用户。
  • A:All,表示用户可以使用所有接入类型。
  • H:HTTP用户。
  • D:X25-PAD用户。
  • P:PPP用户。
  • 组合类型:例如MH,表示用户既可以是终端用户,也可以是HTTP用户。

通过local-user service-type命令配置。

AdminLevel

本地用户的级别。

通过local-user命令配置。

Password

本地用户的密码。

通过local-user命令配置。

Service-type-mask

本地用户的服务类型,和AuthMask的类型一致。

通过local-user service-type命令配置。

Privilege level

本地用户的级别。

通过local-user命令配置。

Ftp-directory

本地用户的FTP目录。

通过local-user命令配置。

HTTP-directory

本地用户的HTTP目录。

通过local-user命令配置。

Access-limit

是否配置了本地用户的连接限制数。

通过local-user命令配置。

Access-limit-max

本地用户的连接限制数。

通过local-user命令配置。

Accessed-num

本地用户已建立的连接数。

Idle-timeout

本地用户的闲置切断时间。

通过local-user命令配置。

User-group

本地用户绑定的用户组授权。

仅在传统模式下显示该参数。

通过local-user命令配置。

Original-password

本地用户的密码是否是初始密码:
  • Yes
  • No

通过password alert original命令配置。

Password-set-time

本地用户的密码创建时间,该时间格式为本地时间附带夏令时时区

Password-expired

本地用户的密码是否过期:
  • Yes
  • No

Password-expire-time

本地用户的密码过期时间,该时间格式为本地时间附带夏令时时区

通过password expire命令配置。

Account-expire-time

本地用户的账号过期时间,该时间格式为本地时间附带夏令时时区。

通过local-user expire-date命令配置。

BlockTime 本地用户被锁定(由于连续输入错误密码导致本地用户被锁定)的剩余时间。
Retry-interval

本地用户被锁定前,可以尝试登录的重试时间间隔。

通过local-aaa-user wrong-password命令配置。

Retry-time-left

本地用户被锁定前,剩余可尝试登录的次数。

通过local-aaa-user wrong-password命令配置。

Change password retry-interval

本地用户被锁定前,可以尝试修改初始密码的重试时间间隔。

通过local-aaa-user wrong-password命令配置。

Change password retry-count-left

本地用户被锁定前,剩余可尝试修改初始密码的次数。

通过local-aaa-user wrong-password命令配置。

相关主题

display local-user expire-time

命令功能

display local-user expire-time命令用来查看本地用户的过期时间。

命令格式

display local-user expire-time

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

通过本命令的输出信息,可以帮助诊断和排除与本地用户密码有关的故障。

使用实例

# 查看本地用户的过期时间。

<HUAWEI> display local-user expire-time
 -------------------------------------------------------------------------------    
 Username                Password-expire       Account-expire            Expired
 -------------------------------------------------------------------------------
 zsh                     2014-12-01 21:25:44    -                        NO
 mm001                   2014-12-01 21:29:58    -                        NO
 -------------------------------------------------------------------------------
 Total: 2, printed: 2  
表13-15  display local-user expire-time命令输出信息描述

项目

描述

Username

本地用户的用户名。

通过local-user命令配置。

Password-expire

密码过期时间。

通过password expire命令配置。

Account-expire

账号过期时间。

通过local-user expire-date命令配置。

Expired

本地用户是否已经过期:
  • YES
  • NO
说明:

由于显示值可能与实际值存在一分钟以内的误差,所以可能出现当前密码已经过期,但仍然显示为NO的情形。

当本地用户的账号或密码过期时,表示本地用户已经过期。

display local-aaa-user password policy

命令功能

display local-aaa-user password policy命令用来查看本地用户的密码策略信息。

命令格式

display local-aaa-user password policy { access-user | administrator }

参数说明

参数 参数说明 取值
access-user 显示本地接入用户的密码策略信息。 -
administrator 显示本地管理员的密码策略信息。 -

视图

所有视图

缺省级别

3:管理级

使用指南

完成本地用户的密码策略信息的相关配置后,可以执行命令display local-aaa-user password policy查看本地用户的密码策略信息并确认配置是否正确。

使用实例

# 查看本地接入用户的密码策略信息。

<HUAWEI> display local-aaa-user password policy access-user
  Password control                 : Enable 
  Password history                 : Enable (history records:5) 
表13-16  display local-aaa-user password policy access-user命令输出信息描述

项目

描述

Password control

密码控制功能的开启状态:
  • Enable:开启
  • Disable:关闭

该参数可以通过命令local-aaa-user password policy access-user配置。

Password history

密码历史记录功能的开启状态和每个用户密码的历史记录的最大条数。

该参数可以通过命令password history record number配置。

# 查看本地管理员的密码策略信息。

<HUAWEI> display local-aaa-user password policy administrator
  Password control                 : Enable                                     
  Password expiration              : Enable (180 days)                          
  Password history                 : Enable (history records:5)                 
  Password alert before expiration : 30 days                                    
  Password alert original          : Enable 
表13-17  display local-aaa-user password policy administrator命令输出信息描述

项目

描述

Password control

密码控制功能的开启状态:
  • Enable:开启
  • Disable:关闭

该参数可以通过命令local-aaa-user password policy administrator配置。

Password expiration

密码过期功能的开启状态和密码过期时间。

该参数可以通过命令password expire配置。

Password history

密码历史记录功能的开启状态和每个用户密码的历史记录的最大条数。

该参数可以通过命令password history record number配置。

Password alert before expiration

密码过期前的提醒时间。

该参数可以通过命令password alert before-expire配置。

Password alert original

初始密码修改提醒功能的开启状态:
  • Enable:开启
  • Disable:关闭

该参数可以通过命令password alert original配置。

display recording-scheme

命令功能

display recording-scheme命令用来查看记录方案的配置信息。

命令格式

display recording-scheme [ recording-scheme-name ]

参数说明

参数

参数说明

取值

recording-scheme-name

指定查看的记录方案的名称。

必须是已存在的记录方案名称。

视图

所有视图

缺省级别

1:监控级

使用指南

完成记录方案的相关配置后,可以执行命令display recording-scheme查看记录方案的配置信息来确认记录方案配置是否正确。

使用实例

# 查看名为scheme0的记录方案配置情况。

<HUAWEI> display recording-scheme scheme0
-----------------------------------------------------------------
 Recording-scheme-name           : scheme0
 HWTACACS-template-name          : tacas-1
---------------------------------------------------------------- 
表13-18  display recording-scheme命令显示信息说明

项目

描述

Recording-scheme-name

记录方案的配置名。通过recording-scheme命令配置。

HWTACACS-template-name

记录方案关联的HWTACACS服务器模板的名称。通过recording-mode hwtacacs命令配置。

display remote-user authen-fail

命令功能

display remote-user authen-fail命令用来查看认证失败的AAA远端认证账号的信息。

命令格式

display remote-user authen-fail [ blocked | username username ]

参数说明

参数

参数说明

取值

blocked

显示所有已被锁定的AAA远端认证账号。

-

username username

显示指定的认证失败的AAA远端认证账号的详细信息。

如果不指定username参数,表示显示所有认证失败的AAA远端认证账号的基本信息。

字符串形式,不支持空格,不区分大小写,长度范围是1~253。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

使能AAA远端认证失败后账号锁定功能后,设备会记录所有认证失败的账号,包括:
  • 连续认证失败后已被锁定的账号(例如:用户连续输入同一错误账号达到了限制次数,或用户输入了正确的账号但连续输入错误密码达到了限制次数);
  • 连续认证失败但未被锁定的账号(例如:用户输入的账号或密码错误但尚未达到限制次数)。

前置条件

已通过remote-aaa-user authen-fail使能了AAA远端认证失败后账号锁定功能。

注意事项

设备不支持对记录的认证失败的账号进行备份。如果已在设备上配置了主备策略,则当设备进行主备倒换时,通过display remote-user authen-fail命令查看到的用户表项会被全部清除。

使用实例

# 查看所有认证失败的AAA远端认证账号。

<HUAWEI> display remote-user authen-fail
  Interval: Retry Interval(Mins)                                                                                                    
  TimeLeft: Retry Time Left                                                                                                         
  BlockDuration: Block Duration(Mins)                                                                                               
  -------------------------------------------------------------------------------------------                                       
  Username                   Interval  TimeLeft  BlockDuration                                                                      
  -------------------------------------------------------------------------------------------                                       
  www@test                   0         0         65414                                                                              
  -------------------------------------------------------------------------------------------                                       
  Total 1, 1 printed

# 查看所有被锁定的AAA远端认证账号。

<HUAWEI> display remote-user authen-fail blocked
  Interval: Retry Interval(Mins)                                                                                                    
  TimeLeft: Retry Time Left                                                                                                         
  BlockDuration: Block Duration(Mins)                                                                                               
  -------------------------------------------------------------------------------------------                                       
  Username                   Interval  TimeLeft  BlockDuration  BlockTime                                                           
  -------------------------------------------------------------------------------------------                                       
  www@test                   0         0         65414          2018-04-23 17:22:09+08:00                                           
  -------------------------------------------------------------------------------------------                                       
  Total 1, 1 printed

# 查看认证失败的AAA远端认证账号“test”的详细信息。

<HUAWEI> display remote-user authen-fail username test
  The contents of the user:
  Retry-interval    : 0 Min(s)
  Retry-time-left   : 0
  Block-time-left   : 4 Min(s)
  User-state        : Block
表13-19  display remote-user authen-fail命令输出信息描述

项目

描述

Username

用户名。

Interval: RetryInterval(Mins)

用户的重试时间间隔,单位是分钟。

通过remote-aaa-user authen-fail命令配置。

Retry-interval

用户的重试时间间隔。

通过remote-aaa-user authen-fail命令配置。

TimeLeft: Retry Time Left

用户连续认证失败的剩余限制次数。

通过remote-aaa-user authen-fail命令配置。

Retry-time-left

用户连续认证失败的剩余限制次数。

通过remote-aaa-user authen-fail命令配置。

BlockDuration: Block Duration(Mins)

用户帐号的锁定时间,单位是分钟。

通过remote-aaa-user authen-fail命令配置。

BlockTime

用户帐号的锁定时刻。

Block-time-left

用户帐号的剩余锁定时间。

User-state

用户的状态:
  • Block:该用户处于锁定状态。
  • Active:该用户处于活跃状态。

display service-scheme

命令功能

display service-scheme命令用来查看业务方案配置信息。

命令格式

display service-scheme [ name name ]

参数说明

参数

参数说明

取值

name name

指定业务方案名称。

必须是已存在的业务方案名称。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

完成业务方案的相关配置后,可以执行命令display service-scheme查看业务方案的配置信息来确认业务方案配置是否正确。

在域下应用某个业务方案前,建议执行命令display service-scheme查看业务方案的详细信息来判断该业务方案是否满足要求。

注意事项

如果在业务方案视图下执行此命令,或者指定了业务方案的名称,则将显示详细的业务方案配置信息;否则只显示摘要信息。

使用实例

# 查看所有业务方案信息。

<HUAWEI> display service-scheme
  -------------------------------------------------------------------
  service-scheme-name                    scheme-index
  -------------------------------------------------------------------
  svcscheme1                               0
  svcscheme2                               1
  -------------------------------------------------------------------
  Total of service scheme: 2

# 查看名为svcscheme1的业务方案配置信息。

<HUAWEI> display service-scheme name svcscheme1
                                                                                
  service-scheme-name           : svcscheme1                                     
  service-scheme-primary-dns    : -                                              
  service-scheme-secondary-dns  : -                                              
  service-scheme-adminlevel     : 15
  service-scheme-dhcpgroup      : -   
  service-scheme-ippool         : -
  service-scheme-primary-wins   : -                                              
  service-scheme-secondary-wins : -
  service-scheme-uclgroup-ID    : 10
  service-scheme-uclgroup-name  : u1
  service-scheme-acl-id         : 3001
  service-scheme-redirect-acl-id: 3001 
  service-scheme-vlan           : 10
  service-scheme-priority       : 0
  service-scheme-voicevlan      : enable
  access-limit-username-maxnum  : 10
  service-scheme-qosprofile     : -                                                                                                 
  service-scheme-idlecut-time   : 10                                                                                                
  service-scheme-idlecut-flow   : 20                                                                                                
  service-scheme-idlecut-direct : Inbound and Outbound
表13-20  display service-scheme命令输出信息描述

项目

描述

service-scheme-name

业务方案名称。

通过service-scheme(AAA视图)命令配置。

scheme-index

业务方案索引。

service-scheme-primary-dns

主用DNS服务器地址。

通过dns(业务方案视图)命令配置。

service-scheme-secondary-dns

备用DNS服务器地址。

通过dns(业务方案视图)命令配置。

service-scheme-adminlevel

管理员用户级别。

通过admin-user privilege level命令配置。

service-scheme-dhcpgroup

DHCP服务器组。

通过dhcp-server group(业务方案视图)命令配置。

service-scheme-ippool

业务方案下的IP地址池。

通过ip-pool(业务方案视图)命令配置。

service-scheme-primary-wins

主用wins服务器地址。

通过wins(业务方案视图)命令配置。

service-scheme-secondary-wins

备用wins服务器地址。

通过wins(业务方案视图)命令配置。

service-scheme-uclgroup-ID

绑定的UCL组的索引。

通过ucl-group(业务方案视图)命令配置。

service-scheme-uclgroup-name

绑定的UCL组的名称。

通过ucl-group(业务方案视图)命令配置。

service-scheme-acl-id

绑定的ACL编号。

通过acl-id(业务方案视图)命令配置。

service-scheme-redirect-acl-id

业务方案下的重定向ACL编号。

通过redirect-acl命令配置。

service-scheme-vlan

用户的VLAN ID。

通过user-vlan(业务方案视图)命令配置。

service-scheme-priority

业务方案下用户的优先级。

通过priority(业务方案视图)命令配置。

service-scheme-voicevlan

是否使能了Voice VLAN功能。

通过voice-vlan(业务方案视图)命令配置。

access-limit-username-maxnum

同一个用户名最多可以接入的用户数量。

通过access-limit user-name max-num命令配置。

service-scheme-qosprofile

绑定的QoS模板名称。

通过qos-profile(业务方案视图)命令配置。

service-scheme-idlecut-time

闲置切断时间,单位是分钟。

通过idle-cut(业务方案视图)命令配置。

service-scheme-idlecut-flow

闲置切断的流量阈值,单位是kbyte。

通过idle-cut(业务方案视图)命令配置。

service-scheme-idlecut-direct

闲置切断的对流量生效的方向。取值包括:
  • Inbound:表示闲置切断对上行流量生效。
  • Outbound:表示闲置切断对下行流量生效。
  • Inbound and Outbound:表示闲置切断对上行流量和下行流量都生效。

通过idle-cut(业务方案视图)命令配置。

display vlan pool

命令功能

display vlan pool命令用来查看VLAN pool的配置信息。

命令格式

display vlan pool { name pool-name | all [ verbose ] }

参数说明

参数 参数说明 取值
name pool-name 查看指定VLAN pool的配置信息。 必须是已存在的VLAN pool。
all [ verbose ] 查看所有VLAN pool的配置信息。如果指定verbose参数,会显示VLAN pool中的VLAN列表。 -

视图

所有视图

缺省级别

1:监控级

使用指南

通过执行本命令,能够了解VLAN pool的配置信息,便于管理和维护VLAN pool。

使用实例

# 查看所有VLAN pool的简要配置信息。

<HUAWEI> display vlan pool all
--------------------------------------------------------------------------------                                                    
Name                            Assignment                      VLAN total                                                          
--------------------------------------------------------------------------------                                                    
name                            hash                            0                                                                   
test                            hash                            128                                                                 
marketing                       hash                            2                                                                   
--------------------------------------------------------------------------------                                                    
Total: 3                                                                                                                            
表13-21  display vlan pool all命令输出信息描述
项目 描述
Name VLAN pool的名称。该参数可以通过命令vlan pool配置。
Assignment VLAN pool中的VLAN分配算法:
  • even:指定VLAN分配算法为顺序分配。
  • hash:指定VLAN分配算法为哈希分配。
该参数可以通过命令assignment配置。
VLAN total VLAN pool中的VLAN数目。
Total VLAN pool的总数。

# 查看名称为“marketing”的VLAN pool的配置信息。

<HUAWEI> display vlan pool name marketing
--------------------------------------------------------------------------------                                                    
Name           : marketing                                                                                                          
Total          : 2                                                                                                                  
Assignment     : hash                                                                                                               
VLAN ID        : 10 20                                                                                                              
--------------------------------------------------------------------------------                                                    
表13-22  display vlan pool name pool-name命令输出信息描述
项目 描述
Name VLAN pool的名称。该参数可以通过命令vlan pool配置。
Total VLAN pool中的VLAN数目。
Assignment VLAN pool中的VLAN分配算法:
  • even:VLAN分配算法为顺序分配。
  • hash:VLAN分配算法为哈希分配。
该参数可以通过命令assignment配置。
VLAN ID VLAN pool中的VLAN列表。该参数可以通过命令vlan(VLAN pool视图)配置。

dns(业务方案视图)

命令功能

dns命令用来配置业务方案使用的主/备DNS服务器。

undo dns命令用来删除业务方案下的主/备DNS服务器。

缺省情况下,业务方案没有配置主/备DNS服务器。

命令格式

dns ip-address [ secondary ]

undo dns [ ip-address ]

参数说明

参数 参数说明 取值
ip-address

DNS服务器的IP地址。

点分十进制格式。
secondary

表示设置的是备用DNS服务器。

-

视图

业务方案视图

缺省级别

3:管理级

使用指南

如果本地地址池、DHCP服务器或者RADIUS服务器在给用户分配IP地址时,未指定DNS服务器,则采用业务方案视图下配置的DNS服务器。

使用实例

# 配置业务方案svcscheme1的主DNS服务器地址为10.10.10.1。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme svcscheme1
[HUAWEI-aaa-service-svcscheme1] dns 10.10.10.1

# 配置业务方案svcscheme1的备DNS服务器地址为10.10.20.1。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme svcscheme1
[HUAWEI-aaa-service-svcscheme1] dns 10.10.20.1 secondary

domain(AAA视图)

命令功能

domain命令用来创建域,并进入域视图。

undo domain命令用来删除域。

缺省情况下,设备上存在名为“default”和“default_admin”两个域。可以修改这两个域下的配置,但是不能删除这两个域。

命令格式

domain domain-name [ domain-index domain-index ]

undo domain domain-name

参数说明

参数 参数说明 取值
domain-name 指定域名。 字符串形式,不区分大小写,长度范围是1~64,不支持空格,不能仅配置为“-”或“--”,且不能包含字符“*” “?” “"”。
domain-index domain-index 指定域的索引。

整数形式,取值范围是0~127

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

设备对用户的管理可以通过域来实现,域是用户管理的最小单位,通常可以是某个ISP的名字或ISP的某种业务名字,域下可以实现缺省授权属性配置、RADIUS模板配置、认证和计费方案的配置等。

域在创建时处于激活状态。在创建域时,如果同名的域已经存在,将直接进入该域视图。

当属于该域的用户在线时,不能使用undo domain命令删除该域。

前置条件

所有用户的认证、授权、计费都是在域视图下引用认证方案、授权方案、计费方案来实现的,因此在配置域之前,需要先在AAA视图下分别配置相应的认证方案、授权方案、计费方案。

注意事项

  • “default”域为全局默认普通域,用于接入用户,如NAC。缺省情况下处于激活状态,默认绑定认证方案“radius”和计费方案“default”,未绑定授权方案。
  • “default_admin”域为全局默认管理域,用于Login用户,即管理员用户,如HTTPS、SSH、Telnet、WEB网管等。缺省情况下处于激活状态,默认绑定认证方案“default”和计费方案“default”,未绑定授权方案。

使用实例

# 创建名称为domain1的域,并进入域视图。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain domain1
[HUAWEI-aaa-domain-domain1]
相关主题

domain(系统视图)

命令功能

domain命令用来配置全局默认域。

undo domain命令用来恢复全局默认域为缺省配置。

缺省情况下,全局默认域有两个:全局默认普通域“default”,作为接入用户的全局默认域;全局默认管理域“default_admin”,作为管理员用户的全局默认域。

命令格式

全局默认普通域:

domain domain-name

undo domain

全局默认管理域:

domain domain-name admin

undo domain admin

参数说明

参数

参数说明

取值

domain-name

指定全局默认域的域名。

必须是已存在的域名。

admin

表示配置指定的域为管理域。

如果不指定此参数,则表示配置全局默认普通域。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

配置了全局默认域后,当无法确认接入用户所属的域时,将采用配置的全局默认域来管理用户。

前提条件

配置某个域为全局默认域之前,必须先创建该域。

使用实例

# 创建域abc,并指定其为全局默认普通域。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain abc
[HUAWEI-aaa-domain-abc] quit
[HUAWEI-aaa] quit
[HUAWEI] domain abc

domain-location

命令功能

domain-location命令用来配置域名的位置。

undo domain-location命令用来恢复域名位置的默认值。

缺省情况下,AAA视图下的域名在分隔符后,认证模板视图下未配置域名的位置

命令格式

domain-location { after-delimiter | before-delimiter }

undo domain-location

参数说明

参数

参数说明

取值

after-delimiter

指定域名在分隔符后。

-

before-delimiter

指定域名在分隔符前。

-

视图

AAA视图、认证模板视图

缺省级别

3:管理级(AAA视图)

2:配置级(认证模板视图)

使用指南

应用场景

用户名通常采用“纯用户名@域名”格式,@后面的部分为域名。如果配置了before-delimiter参数后,则@前面的部分为域名,@后面的部分为纯用户名。

在没有用户在线的情况下才能配置该命令。

注意事项

在AAA视图下执行该命令,表示配置全局的域名位置。

该命令在认证模板下使用时,必须将认证模板绑定到VAP模板下,命令功能才能生效。

在AAA视图下执行此命令,则对所有接入用户都生效;在认证模板下执行此命令,则仅对该认证模板下接入的用户生效。

使用实例

# 配置域名在分隔符前。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain-location before-delimiter

domain-name-delimiter

命令功能

domain-name-delimiter命令用来配置域名分隔符。

undo domain-name-delimiter命令用来恢复域名分隔符为缺省配置。

缺省情况下,AAA视图下的域名分隔符为@,认证模板视图下未配置域名分隔符

命令格式

domain-name-delimiter delimiter

undo domain-name-delimiter

参数说明

参数 参数说明 取值
delimiter 指定域名分隔的符号,只能是1位。 只能是 \ / : < > | @ ' % 中的某一个。

视图

AAA视图、认证模板视图

缺省级别

3:管理级(AAA视图)

2:配置级(认证模板视图)

使用指南

应用场景

由于不同的AAA服务器可能使用不同的符号作为域名分隔符,为了保证AAA服务器获取正确的用户名和域名,需要在设备上设置和服务器相同的分隔符。

例如,如果定义配置域名分隔符%,则dom1域的user1用户名表达为user1%dom1或dom1%user1。

注意事项

在执行本命令前必须保证不存在本地用户。

在AAA视图下执行该命令,表示配置全局域名分隔符。

该命令在认证模板下使用时,必须将认证模板绑定到VAP模板下,命令功能才能生效。

在AAA视图下执行此命令,则对所有接入用户都生效;在认证模板下执行此命令,则仅对该认证模板下接入的用户生效。

使用实例

# 配置AAA视图下域名分隔符为“/”。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain-name-delimiter /

domainname-parse-direction

命令功能

domainname-parse-direction命令用来配置域名解析方向。

undo domainname-parse-direction命令用来恢复域名解析方向为缺省设置。

缺省情况下,AAA视图下的域名解析方向为从左向右,认证模板视图下未配置域名解析方向

命令格式

domainname-parse-direction { left-to-right | right-to-left }

undo domainname-parse-direction

参数说明

参数

参数说明

取值

left-to-right

指定域名解析方向为从左向右。

-

right-to-left

指定域名解析方向为从右向左。

-

视图

AAA视图、认证模板视图

缺省级别

3:管理级(AAA视图)

2:配置级(认证模板视图)

使用指南

应用场景

在目前AAA的实现中,所有用户都属于某个域,NAS对用户的管理是基于域的。当用户登录时,NAS首先对用户输入的用户名进行解析,只有用户名和域名都正确时认证才会成功。因此在配置AAA方案时,应执行命令domainname-parse-direction { left-to-right | right-to-left }配置域名的解析方向。

例如,用户名为username@dom1@dom2。
  • 如果domain-location命令中指定域名在分隔符后:
    • 采用从左向右解析,则用户名为username,域名为dom1@dom2;
    • 若采用从右向左解析,则用户名为username@dom1,域名为dom2。
  • 如果domain-location命令中指定域名在分隔符前:
    • 采用从左向右解析,则用户名为dom1@dom2,域名为username;
    • 若采用从右向左解析,则用户名为dom2,域名为username@dom1。

注意事项

在AAA视图下执行该命令,表示配置全局域名解析方向。

该命令在认证模板下使用时,必须将认证模板绑定到VAP模板下,命令功能才能生效。

在AAA视图下执行此命令,则对所有接入用户都生效;在认证模板下执行此命令,则仅对该认证模板下接入的用户生效。

使用实例

# 配置AAA视图下域名解析方向为从右向左。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domainname-parse-direction right-to-left

idle-cut(业务方案视图)

命令功能

idle-cut命令用来使能域用户的闲置切断功能并配置对应的闲置切断参数。

undo idle-cut命令用来去使能域用户的闲置切断功能。

缺省情况下,域用户的闲置切断功能处于未使能状态。

命令格式

idle-cut idle-time flow-value [ inbound | outbound ]

undo idle-cut

参数说明

参数 参数说明 取值
idle-time 指定闲置切断时间,即允许空闲用户在线的时间。 整数形式,取值范围是1~1440,单位是分钟。
flow-value 指定闲置切断流量阈值,当用户在一段时间内的总流量小于该值时,即认为用户处于闲置状态。 整数形式,取值范围是0~4294967295,单位为kbyte。
inbound

指定闲置切断功能只对用户的上行流量生效。

-
outbound

指定闲置切断功能只对用户的下行流量生效。

说明:

如果inboundoutbound参数均未指定,表示闲置切断功能对用户的上下行流量都生效。

-

视图

业务方案视图

缺省级别

3:管理级

使用指南

应用场景

用户正常上线后,如果长时间没有或仅有很少的访问流量,则表示用户当前没有访问网络却占用了一定的带宽,这样会降低其他正在访问网络资源的用户的速率。此时,可以通过本命令将闲置切断时间内流量低于阈值的用户连接自动断开,减少资源的浪费,提升其他用户的上网体验。

注意事项

  • 业务方案视图下的idle-cut命令,仅能够对普通用户(无线用户)进行闲置切断。如果需要对管理用户进行闲置切断,本地认证时,请在AAA视图下执行命令local-user idle-timeout,RADIUS服务器认证时,请使用RADIUS属性28(Idle-Timeout)。

  • 当同时存在业务方案视图下的闲置切断和远端RADIUS服务器下发的RADIUS属性28(Idle-Timeout)时,RADIUS属性28的优先级较高。RADIUS属性28可以与该命令配置的流量和方向配合使用。

使用实例

# 使能域的闲置切断功能并配置闲置切断时间是1分钟,闲置切断阈值是10kbyte。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme huawei 
[HUAWEI-aaa-service-huawei] idle-cut 1 10

ip-pool(业务方案视图)

命令功能

ip-pool命令用来设置业务方案下的IP地址池或者移动业务方案下已配置的地址池的位置。

undo ip-pool命令用来删除业务方案下的地址池。如果没有指定参数,则删除业务方案的所有地址池。

缺省情况下,业务方案没有设置任何地址池。

命令格式

ip-pool pool-name [ move-to new-position ]

undo ip-pool [ pool-name ]

参数说明

参数 参数说明 取值

pool-name

指定地址池名。 字符串形式,长度为1~64,可由以下字符组成:英文字母、数字(“0”~“9”)、点号(“.”)、短线(“-”)和下划线(“_”)。
move-to new-position 指定移动业务方案下已配置的地址池的位置信息。 该参数取值范围与域下已配置的地址池数相关(比如域下已配置10个地址池,则该参数取值范围为1~10),最大取值范围为1~256。

视图

业务方案视图

缺省级别

3:管理级

使用指南

应用场景

本命令对业务方案下用户使用的IP地址范围进行限制。本命令只是为业务方案引用已经配置好的地址池,真正配置一个地址池需要在系统视图下用ip pool(系统视图)命令进行配置。

前置任务

已通过命令ip pool(系统视图)创建了全局地址池并通过命令network(IP地址池视图)指定了地址池包含的地址范围。

使用实例

# 设置业务方案svcscheme1的地址池为pool1。

<HUAWEI> system-view
[HUAWEI] ip pool pool1
[HUAWEI-ip-pool-pool1] network 192.168.100.0 mask 24
[HUAWEI-ip-pool-pool1] quit
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme svcscheme1
[HUAWEI-aaa-service-svcscheme1] ip-pool pool1

# 移动业务方案svcscheme1的地址池ippool1的位置。

<HUAWEI> system-view
[HUAWEI] ip pool ippool1
[HUAWEI-ip-pool-ippool1] network 192.168.100.0 mask 24
[HUAWEI-ip-pool-ippool1] quit
[HUAWEI] ip pool ippool2
[HUAWEI-ip-pool-ippool2] network 192.168.200.0 mask 24
[HUAWEI-ip-pool-ippool2] quit
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme svcscheme1
[HUAWEI-aaa-service-svcscheme1] ip-pool ippool1
[HUAWEI-aaa-service-svcscheme1] ip-pool ippool2
[HUAWEI-aaa-service-svcscheme1] ip-pool ippool1 move-to 2

local-aaa-user wrong-password

命令功能

local-aaa-user wrong-password命令用来使能本地帐号锁定功能并配置用户的重试时间间隔、连续输入错误密码的限制次数及帐号锁定时间。

undo local-aaa-user wrong-password命令用来去使能本地帐号锁定功能。

缺省情况下,本地帐号锁定功能处于使能状态,用户的重试时间间隔为5分钟、连续输入错误密码的限制次数为3次,帐号锁定时间为5分钟。

命令格式

local-aaa-user wrong-password retry-interval retry-interval retry-time retry-time block-time block-time

undo local-aaa-user wrong-password

参数说明

参数

参数说明

取值

retry-interval retry-interval

指定本地帐号用户的重试时间间隔。

整数形式,取值范围为5~65535,单位为分钟。

retry-time retry-time

指定本地帐号连续输入错误密码的限制次数。

整数形式,取值范围为3~65535。

block-time block-time

指定本地帐号锁定时间。

实际情况下,锁定时间存在1分钟误差。

整数形式,取值范围为5~65535,单位为分钟。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

本命令适用于以下两种场景:
  • 为了保证本地用户的密码安全,可以使能本地帐号锁定功能。在重试时间间隔内,如果该用户连续输入错误密码并达到了限制次数,该帐号将被锁定,在锁定时间内禁止用户进行认证。
  • 为了确保密码不被恶意用户暴力破解,可以使能本地帐号锁定功能。在重试时间间隔内,如果用户修改密码时输入错误的原密码次数达到了限制次数,该帐号将被锁定,在锁定时间内禁止用户修改密码。

后续任务

在重试间隔内达到了失败次数限制,用户被锁定后,可以通过命令local-user user-name state active解锁用户。

注意事项

认证失败次数仅针对密码错误,其它本地认证错误不计入计数。

使用实例

# 使能本地帐号锁定功能,配置用户的重试时间间隔为5分钟、连续输入错误密码的限制次数为3次及帐号锁定时间为5分钟。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user wrong-password retry-interval 5 retry-time 3 block-time 5

local-user

命令功能

local-user命令用来创建本地用户,并配置本地用户的各项参数。

undo local-user命令用来删除本地用户。

缺省情况下,系统中存在一个名称为“admin”的本地用户,该用户的密码为“admin@huawei.com”,采用不可逆算法加密,用户级别为15级,服务类型为http和terminal

命令格式

local-user user-name { password { cipher | irreversible-cipher } password | access-limit max-number | ftp-directory directory | idle-timeout minutes [ seconds ] | privilege level level | state { block | active } | user-group group-name } *

local-user user-name http-directory directory

undo local-user user-name [ access-limit | ftp-directory | http-directory | idle-timeout | privilege level | user-group ]

参数说明

参数

参数说明

取值

user-name

指定本地用户的用户名。

如果用户名中带域名分隔符,如@,则认为@前面的部分是纯用户名,后面部分是域名。如果没有@,则整个字符串为用户名,域为默认域。

字符串形式,长度范围是1~64,不支持空格、星号、双引号和问号。
说明:

本地认证或授权时,通过命令authentication-mode { local | local-case }或命令authorization-mode { local | local-case },配置用户名是否区分大小写。当选择参数local时,用户名不区分大小写;当选择参数local-case时,用户名区分大小写。

配置用户名区分大小写时,请注意以下几点:

  • 仅用户名区分大小写,域名不区分大小写。
  • 出于用户安全考虑,不能配置只有大小写差异无其他字符差异的多个本地用户。例如,配置了ABC之后,不能再配置Abc、abc等。
  • 设备由V200R011C10及之前版本升级到新版本时,老版本配置文件中的本地用户名全部按照小写处理;由手工或者第三方工具生成的配置文件,对于仅有大小写差异的本地用户名,按照统一用户进行配置恢复,用户名取排序在前的一个。

password { cipher | irreversible-cipher } password

指定本地用户登录密码。其中,
  • cipher表示对用户口令采用可逆算法进行了加密,非法用户可以通过对应的解密算法解密密文后得到明文,安全性较低。
  • irreversible-cipher表示对用户密码采用不可逆算法进行了加密,使非法用户无法通过解密算法特殊处理后得到明文,为用户提供更好的安全保障。

如果配置某用户采用不可逆加密算法加密本地用户登录密码,则设备不支持该用户通过CHAP方式认证。

注意:

如果是创建新用户,建议在创建用户的同时设置密码。当用户输入密码时,直接以明文形式输入存在安全风险,建议用户使用命令local-user password以交互式方式输入。

字符串形式,区分大小写,字符串中不能包含 “?”和空格。

  • 如果选择cipher参数,则password可以是长度范围是8~128位的明文类型,也可以是长度为48、68、88、108、128、148、168、188位的密文类型。
  • 如果选择irreversible-cipher参数,则password可以是长度范围是8~128位的明文类型,也可以是68位的密文类型。

为了防止密码过于简单导致的安全隐患,用户输入的明文必须包括大写字母、小写字母、数字和特殊字符中至少两种,且不能与用户名或用户名的倒写相同。

access-limit max-number

指定用户名可建立的最大连接数目。

如果未指定该参数,则用户名可建立的最大连接数目默认为4294967295。

整数形式,取值范围是1~4294967295。

实际接入连接数由命令配置的max-number值以及不同款型设备允许接入的不同用户类型二者最大值中的较小值确定。

ftp-directory directory

指定FTP用户可访问的目录。

如果未指定该参数,本地用户的FTP目录为空,设备会检查是否通过命令set default ftp-directory配置了FTP用户的缺省工作目录。如果没有可用的FTP工作目录,则FTP用户无法登录设备。

说明:
请确保配置的FTP目录是绝对路径,否则配置不生效。

字符串形式,不支持空格,区分大小写,长度范围是1~64。

http-directory directory

指定HTTP用户可访问的目录。

如果未指定该参数,本地用户的HTTP目录为空。

字符串形式,不支持空格,区分大小写,长度范围是1~64。

idle-timeout minutes [ seconds ]

指定用户界面的超时时间。其中:

  • minutes为用户界面断连的超时时间的分钟数。
  • seconds为用户界面断连的超时时间的秒数。

如果未指定该参数,则采用用户界面视图下通过命令idle-timeout配置的超时时间。

设置minutes [ seconds ]为0 0,即关闭闲置切断功能。

注意:

设置用户连接的超时时间为0或者过长会导致终端一直处于登录状态,存在安全风险,建议用户执行命令lock锁定当前连接。

整数形式,minutes的取值范围是0~35791,单位是分钟;seconds的取值范围是0~59,单位是秒。

privilege level level

指定本地用户的级别。不同级别的用户登录后,只能使用等于或低于自己级别的命令。

说明:

如果未指定该参数,本地用户的级别为0级。

API用户的权限不受该参数控制,无需配置该参数。

整数形式,取值范围是0~15,取值越大,用户的级别越高。

state { active | block }

指定本地用户的状态。其中:

  • active为激活态,设备将接收该用户的认证请求并做进一步处理,同时允许用户进行修改自身密码的操作。
  • block为阻塞态,设备将拒绝该用户的认证请求,也不允许用户修改自己的密码。

若某用户已经与设备建立连接,此时设置该用户状态为阻塞态,不会对已经建立的连接产生影响,但设备会拒绝该用户以后的接入认证请求。

如果未指定该参数,本地用户的状态为激活态。

-

user-group group-name

指定用户组名称。

说明:

仅NAC传统模式的交换机支持该节点。

字符串形式,长度范围是1~64,区分大小写,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为了方便管理员用户对设备进行维护,在设备上创建本地用户,并配置密码、级别、FTP目录等。

前置条件

配置本地用户加入指定用户组时,该用户组必须已由user-group命令创建。

注意事项

  • 为充分保证设备安全,请用户定期修改密码。
  • 登录方式为Telnet和FTP时存在安全风险,建议使用STelnet和SFTP,此时,用户的接入类型配置为SSH。

    缺省情况下,HTTP采用随机生成的自签名证书支持HTTPS。由于自签名证书存在安全风险,因此建议用户替换为官方授信的数字证书。

  • 本地管理用户登录设备后,可以创建、修改或删除同级别或低级别的其他本地用户的属性(例如密码、级别、最大接入数和有效期等)。

    更改本地账号的权限(密码、FTP目录、闲置超时时间和状态)后,已经在线的用户权限不会被更改,新上线的用户则以新的权限为准。

    通过本地授权上线的本地管理员用户,修改其级别后,该用户会下线。在没有配置授权模板的情况下,通过本地认证上线的本地管理员用户,修改其级别后,该用户也会下线。

  • 本地用户在线时,无法删除。可以等用户不在线时,或在AAA视图下执行cut access-user username user-name命令切断该用户连接后,再删除该用户。
  • 用户名配置中可能会因域名分隔符的配置而导致用户名功能无法生效。
  • 一个用户组可被多个本地用户引用,但一个本地用户只能属于一个用户组。若本地用户与域下同时都配置了用户组,只有本地用户配置的用户组生效。被本地用户或在线用户引用的用户组不能删除。

  • 业务方案视图下的idle-cut命令,仅能够对普通用户(无线用户)进行闲置切断。如果需要对管理用户进行闲置切断,本地认证时,请在AAA视图下执行命令local-user idle-timeout,RADIUS服务器认证时,请使用RADIUS属性28(Idle-Timeout)。

使用实例

# 创建一个本地用户,用户名为user1,域名为vipdomain,用户口令是admin@12345并指定以密文形式显示用户口令,指定用户名可建立的连接数目为100,闲置超时时间为10分钟。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user user1@vipdomain password irreversible-cipher admin@12345 access-limit 100 idle-timeout 10
相关主题

local-user change-password

命令功能

local-user change-password命令用来使本地用户修改自己的密码。

命令格式

local-user change-password

参数说明

视图

用户视图

缺省级别

0:参观级

使用指南

应用场景

为了保证低级别管理用户的密码安全,管理用户认证通过后,可以在用户视图下通过此命令来修改自己的登录密码。

注意事项

  • 本地用户修改自己的密码时,必须先输入旧密码。

  • 本地认证通过的用户才可以执行该命令修改自己的密码。本地用户成功修改自己的密码后,下次登录需要输入新密码才可以认证通过。
  • 该命令本身是修改本地用户密码,不直接保存配置,但会以local-user password命令的形式保存修改结果。若系统等待超过30秒后,用户还未输入旧密码或新密码、确认密码时,密码修改将中断。用户输入Ctrl+C取消本次密码修改时,密码修改将中断。
  • 本地用户修改自己的密码时,为了防止密码过于简单导致的安全隐患,用户修改密码时,密码长度范围必须是8~128,必须包括大写字母、小写字母、数字和特殊字符中至少两种,且不能与用户名或用户名的倒写相同。
  • 为充分保证设备安全,请用户定期修改密码。

使用实例

# 本地认证通过的用户修改自己的密码。

<HUAWEI> local-user change-password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, including lowercase letters, uppercase letters, numer
als and special characters. 
Please enter old password: 
Please enter new password: 
Please confirm new password: 
Info: The password is changed successfully.

local-user device-type

命令功能

local-user device-type命令用来配置允许用户接入网络的终端类型。

undo local-user device-type命令用来取消配置的允许用户接入网络的终端类型。

缺省情况下,未配置允许用户接入网络的设备类型。

命令格式

local-user user-name device-type device-type &<1-8>

undo local-user user-name device-type

参数说明

参数 参数说明 取值
user-name 指定本地用户名称。

查询与修改时可以使用通配符“*”,例如*@isp、user@*、*@*。

字符串形式,长度范围是1~64,不支持空格、星号、双引号和问号。
说明:

本地认证或授权时,通过命令authentication-mode { local | local-case }或命令authorization-mode { local | local-case },配置用户名是否区分大小写。当选择参数local时,用户名不区分大小写;当选择参数local-case时,用户名区分大小写。

配置用户名区分大小写时,请注意以下几点:

  • 仅用户名区分大小写,域名不区分大小写。
  • 出于用户安全考虑,不能配置只有大小写差异无其他字符差异的多个本地用户。例如,配置了ABC之后,不能再配置Abc、abc等。
  • 设备由V200R011C10及之前版本升级到新版本时,老版本配置文件中的本地用户名全部按照小写处理;由手工或者第三方工具生成的配置文件,对于仅有大小写差异的本地用户名,按照统一用户进行配置恢复,用户名取排序在前的一个。
device-type 指定终端类型。

字符串形式,不支持空格,不区分大小写,长度范围是1~31。

视图

AAA视图

缺省级别

3:管理级

使用指南

当采用本地方式进行认证和授权时,在用户认证过程中,设备首先判断用户的终端类型是否包含在local-user device-type命令配置的允许用户接入网络的终端类型中,只有此终端允许接入,设备才会继续对该终端进行用户名和密码的认证。

使用实例

# 配置本地用户“hello”允许接入的终端类型为iphone。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user hello device-type iphone

local-user expire-date

命令功能

local-user expire-date命令用来配置本地账号的有效期。

undo local-user expire-date命令用来恢复本地账号的有效期为缺省值。

缺省情况下,本地账号永久有效。

命令格式

local-user user-name expire-date expire-date

undo local-user user-name expire-date

参数说明

参数 参数说明 取值
user-name

指定本地帐号。

字符串形式,长度范围是1~64,不支持空格、星号、双引号和问号。
说明:

本地认证或授权时,通过命令authentication-mode { local | local-case }或命令authorization-mode { local | local-case },配置用户名是否区分大小写。当选择参数local时,用户名不区分大小写;当选择参数local-case时,用户名区分大小写。

配置用户名区分大小写时,请注意以下几点:

  • 仅用户名区分大小写,域名不区分大小写。
  • 出于用户安全考虑,不能配置只有大小写差异无其他字符差异的多个本地用户。例如,配置了ABC之后,不能再配置Abc、abc等。
  • 设备由V200R011C10及之前版本升级到新版本时,老版本配置文件中的本地用户名全部按照小写处理;由手工或者第三方工具生成的配置文件,对于仅有大小写差异的本地用户名,按照统一用户进行配置恢复,用户名取排序在前的一个。
expire-date

指定本地账号的过期日期。

整数形式,取值范围是2000年1月1日~2099年12月31日。格式为YYYY/MM/DD。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

创建本地账号后,缺省情况下该账号将一直生效。使用命令local-user expire-date可配置本地账号的有效期,当到达有效期后该账号将会失效。这将有利于增强网络的安全性。

注意事项

  • 如果配置本地账号的有效期为2013年10月1日,则在10月1日的0时开始该账号就已经失效。

  • 该功能仅对配置成功后新上线的用户生效。

使用实例

# 配置名称为“hello@163.net”的本地账号有效期为2013年10月1日。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user hello@163.net expire-date 2013/10/1
相关主题

local-user password

命令功能

local-user password命令用来配置本地账号的登录口令。

缺省情况下,本地账号的登录密码为空。

命令格式

local-user user-name password

说明:

本命令为交互式命令,在输入local-user user-name password后,直接按回车键即可根据提示信息设置密码。输入的密码为字符串形式,区分大小写,长度范围是8~128

参数说明

参数 参数说明 取值
user-name

指定本地帐号名称。

字符串形式,长度范围是1~64,不支持空格、星号、双引号和问号。
说明:

本地认证或授权时,通过命令authentication-mode { local | local-case }或命令authorization-mode { local | local-case },配置用户名是否区分大小写。当选择参数local时,用户名不区分大小写;当选择参数local-case时,用户名区分大小写。

配置用户名区分大小写时,请注意以下几点:

  • 仅用户名区分大小写,域名不区分大小写。
  • 出于用户安全考虑,不能配置只有大小写差异无其他字符差异的多个本地用户。例如,配置了ABC之后,不能再配置Abc、abc等。
  • 设备由V200R011C10及之前版本升级到新版本时,老版本配置文件中的本地用户名全部按照小写处理;由手工或者第三方工具生成的配置文件,对于仅有大小写差异的本地用户名,按照统一用户进行配置恢复,用户名取排序在前的一个。

视图

AAA视图

缺省级别

3:管理级

使用指南

如果创建本地用户时没有配置密码,则密码为空,此时本地用户无法登录设备。

配置本地用户登录密码时,为了防止密码过于简单导致的安全隐患,用户输入的密码必须包括大写字母、小写字母、数字和特殊字符中至少两种,且不能与用户名或用户名的倒写相同。

使用实例

# 配置名称为“hello@163.net”的本地账号的登录密码为abc@#123456。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user hello@163.net password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, i
ncluding lowercase letters, uppercase letters, numerals and special characters. 
Please enter password:              //输入密码abc@#123456                          
Please confirm password:              //输入确认密码abc@#123456                    
Info: Add a new user.
相关主题

local-aaa-user password policy access-user

命令功能

local-aaa-user password policy access-user命令用来使能本地接入用户的密码策略功能并进入本地接入用户密码策略视图。

undo local-aaa-user password policy access-user命令用来去使能本地接入用户的密码策略功能。

缺省情况下,本地接入用户的密码策略功能处于未使能状态。

命令格式

local-aaa-user password policy access-user

undo local-aaa-user password policy access-user

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

通过local-user创建本地用户时,已经对密码的最小长度和复杂度进行了控制。此后,如果需要进一步提升密码的安全性,可以通过执行本命令,为本地接入用户定制密码安全策略,要求用户修改后密码不能与设备保存的用户历史密码相同。

使用实例

# 使能本地接入用户的密码策略功能并进入本地接入用户密码策略视图。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user password policy access-user
[HUAWEI-aaa-lupp-acc]

local-aaa-user password policy administrator

命令功能

local-aaa-user password policy administrator命令用来使能本地管理员的密码策略功能并进入本地管理员密码策略视图。

undo local-aaa-user password policy administrator命令用来去使能本地管理员的密码策略功能。

缺省情况下,本地管理员的密码策略功能处于未使能状态。

命令格式

local-aaa-user password policy administrator

undo local-aaa-user password policy administrator

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

通过local-user创建本地用户时,已经对密码的最小长度和复杂度进行了控制。此后,如果需要进一步提升密码的安全性,可以通过执行本命令,为本地管理员定制密码安全策略,在以下几个方面进行密码增强:

注意事项

使用undo local-aaa-user password policy administrator时,会导致管理员密码策略失效,存在安全风险。

V200R010C00及之后版本,设备空配置启动时,会自动进行如下配置并写入配置文件:
  • 执行local-aaa-user password policy administrator命令使能本地管理员的密码策略功能。
  • 执行password expire 0命令配置本地管理员的密码不过期。
  • 执行password history record number 0命令配置设备不检查修改后的本地管理员的密码与历史记录是否相同。

使用实例

# 使能本地管理员的密码策略功能并进入本地管理员密码策略视图。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user password policy administrator
[HUAWEI-aaa-lupp-admin]

local-user service-type

命令功能

local-user service-type命令用来配置本地用户的接入类型。

undo local-user service-type命令用来将本地用户的接入类型恢复为缺省配置。

缺省情况下,本地用户关闭所有的接入类型。

命令格式

local-user user-name service-type { 8021x | api | bind | ftp | http | ppp | ssh | telnet | terminal | web | x25-pad } *

undo local-user user-name service-type

参数说明

参数

参数说明

取值

user-name

指定用户名。

如果用户名中带域名分隔符,如@,则认为@前面的部分是纯用户名,后面部分是域名。如果没有@,则整个字符串为用户名,域为默认域。

字符串形式,长度范围是1~64,不支持空格、星号、双引号和问号。
说明:

本地认证或授权时,通过命令authentication-mode { local | local-case }或命令authorization-mode { local | local-case },配置用户名是否区分大小写。当选择参数local时,用户名不区分大小写;当选择参数local-case时,用户名区分大小写。

配置用户名区分大小写时,请注意以下几点:

  • 仅用户名区分大小写,域名不区分大小写。
  • 出于用户安全考虑,不能配置只有大小写差异无其他字符差异的多个本地用户。例如,配置了ABC之后,不能再配置Abc、abc等。
  • 设备由V200R011C10及之前版本升级到新版本时,老版本配置文件中的本地用户名全部按照小写处理;由手工或者第三方工具生成的配置文件,对于仅有大小写差异的本地用户名,按照统一用户进行配置恢复,用户名取排序在前的一个。

8021x

指定用户类型为802.1X用户。

-

api

指定用户类型为API用户,通常用于NETCONF接入的用户。

说明:

用户类型为API用户时,用户名不能配置为root。

-

bind

指定用户类型为IP Session用户。

-

ftp

指定用户类型为FTP用户。

-

http

指定用户类型为HTTP用户,通常用于WEB网管登录。

-

ppp

指定用户类型为PPP用户。

-

ssh

指定用户类型为SSH用户。

-

telnet

指定用户类型为Telnet用户,通常指网络管理员。

-

terminal

指定用户类型为终端用户,通常指Console口用户。

-

web

指定认证类型为Portal认证用户。

-

x25-pad

指定用户类型为X25-PAD用户。

-

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

系统提供对用户的接入类型管理,即对所有用户配置一定的接入类型,只有用户的接入方式与系统为该用户配置的接入类型匹配,用户才能登录。

本地用户的接入类型分为以下两类:
  • 管理类:包括api、ftp、http、ssh、telnet、x25-pad和terminal。
  • 普通类:包括8021x、bind、ppp和web。

注意事项

  • MAC认证用户采用AAA本地认证时,不会匹配和检查本地用户的接入类型,但必须配置任意一种接入类型,否则会导致MAC用户认证不成功。

  • 登录方式为Telnet和FTP时存在安全风险,建议使用STelnet和SFTP,此时,用户的接入类型配置为SSH。

    缺省情况下,HTTP采用随机生成的自签名证书支持HTTPS。由于自签名证书存在安全风险,因此建议用户替换为官方授信的数字证书。

  • 配置本地用户的接入类型前,如果用户已经存在,若密码使用的是不可逆加密算法,只允许配置管理类的接入类型;若使用的是可逆加密算法,允许配置普通类或者管理类的接入类型,不允许配置普通类与管理类的混合类接入类型,并且当配置为管理类的接入类型时,加密算法自动转换成不可逆加密算法。
  • 普通类与管理类的接入类型不能混合配置。

    API接入类型不能与其他接入类型混合配置。

    如果用户已经创建并且密码使用的是不可逆加密算法,则接入类型只允许配置为管理类。

    如果用户已经创建并且密码使用的是可逆加密算法,则接入类型可以配置为管理类和普通类。并且当接入类型配置为管理类时,加密算法自动转换成不可逆加密算法。

使用实例

# 设置本地用户user1@vipdomain的接入类型为SSH。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user user1@vipdomain service-type ssh

local-user time-range

命令功能

local-user time-range命令用来配置本地账号的接入时间段。

undo local-user time-range命令用来删除本地账号的接入时间段。

缺省情况下,未配置本地账号的接入时间段,即任意时间都允许接入。

命令格式

local-user user-name time-range time-name

undo local-user user-name time-range

参数说明

参数 参数说明 取值
user-name

指定本地帐号。

字符串形式,长度范围是1~64,不支持空格、星号、双引号和问号。
说明:

本地认证或授权时,通过命令authentication-mode { local | local-case }或命令authorization-mode { local | local-case },配置用户名是否区分大小写。当选择参数local时,用户名不区分大小写;当选择参数local-case时,用户名区分大小写。

配置用户名区分大小写时,请注意以下几点:

  • 仅用户名区分大小写,域名不区分大小写。
  • 出于用户安全考虑,不能配置只有大小写差异无其他字符差异的多个本地用户。例如,配置了ABC之后,不能再配置Abc、abc等。
  • 设备由V200R011C10及之前版本升级到新版本时,老版本配置文件中的本地用户名全部按照小写处理;由手工或者第三方工具生成的配置文件,对于仅有大小写差异的本地用户名,按照统一用户进行配置恢复,用户名取排序在前的一个。
time-name

指定本地账号的接入时间段。其中,time-name表示本地账号接入的时间段名称。

字符串形式,区分大小写,必须以英文字母开头,长度范围是1~32。但为避免混淆,时间段的名字不可以使用英文单词all。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

创建本地账号后,缺省情况下该账号将一直生效。使用命令local-user time-range可配置本地账号的接入时间段,配置完成后,该账号只有在接入时间段允许的时间内才生效。这使管理员可以对用户访问网络资源的时间进行控制。

前提条件

已通过time-range命令配置了时间段。

注意事项

local-user time-rangelocal-user expire-date命令互为覆盖式命令,如果在AAA视图下多次配置这两条命令,则新配置将覆盖已有配置。

修改本地账号的接入时间段后,已经在线的用户的接入时间段保持不变,新上线的用户则以新的接入时间段为准。

使用实例

# 配置名称为“hello@163.net”的本地账号的接入时间段为周一到周五每天9:00到18:00。

<HUAWEI> system-view
[HUAWEI] time-range huawei 9:00 to 18:00 working-day
[HUAWEI] aaa
[HUAWEI-aaa] local-user hello@163.net time-range huawei
相关主题

local-user user-type netmanager

命令功能

local-user user-type netmanager用来指定本地用户为网管用户。

undo local-user user-type netmanager用来取消本地用户为网管用户。

缺省情况下,设备未指定本地用户为网管用户。

命令格式

local-user user-name user-type netmanager

undo local-user user-name user-type netmanager

参数说明

参数 参数说明 取值
user-name

指定用户名。

字符串形式,长度范围是1~64,不支持空格、星号、双引号和问号。
说明:

本地认证或授权时,通过命令authentication-mode { local | local-case }或命令authorization-mode { local | local-case },配置用户名是否区分大小写。当选择参数local时,用户名不区分大小写;当选择参数local-case时,用户名区分大小写。

配置用户名区分大小写时,请注意以下几点:

  • 仅用户名区分大小写,域名不区分大小写。
  • 出于用户安全考虑,不能配置只有大小写差异无其他字符差异的多个本地用户。例如,配置了ABC之后,不能再配置Abc、abc等。
  • 设备由V200R011C10及之前版本升级到新版本时,老版本配置文件中的本地用户名全部按照小写处理;由手工或者第三方工具生成的配置文件,对于仅有大小写差异的本地用户名,按照统一用户进行配置恢复,用户名取排序在前的一个。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

当登录设备的VTY用户为网管用户时,需要执行该命令来指定用户类型。如果当前VTY用户达到最大用户数时,网管用户可以通过网管预留编号VTY 16~VTY 20来登录,并且需要AAA本地认证通过后才可登录成功。

前置条件

先执行命令local-user创建本地用户。该用户必须通过AAA本地认证。

使用实例

# 指定本地用户user1@vipdomain为网管用户。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user user1@vipdomain password cipher Huawei@1234
[HUAWEI-aaa] local-user user1@vipdomain user-type netmanager

outbound recording-scheme

命令功能

outbound recording-scheme命令用来配置记录方案的记录策略,记录连接信息。

undo outbound recording-scheme命令用来删除该记录策略,不记录连接信息。

缺省情况下,不记录连接信息。

命令格式

outbound recording-scheme recording-scheme-name

undo outbound recording-scheme

参数说明

参数

参数说明

取值

recording-scheme-name

指定记录方案名称。

必须是已存在的记录方案名称。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

由于错误的网络连接,可能导致网络故障,如形成环路。在服务器上记录连接信息,可以帮助管理员用户监控设备。当网络出现故障时,可以根据服务器上的记录信息进行故障定位。

前置条件

执行outbound recording-scheme命令前需要已经在AAA视图下使用recording-scheme命令创建记录方案,并在记录方案视图下使用recording-mode hwtacacs命令关联HWTACACS服务器模板。

使用实例

# 指定记录方案scheme的记录策略为记录连接信息。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template hw1
[HUAWEI-hwtacacs-hw1] quit
[HUAWEI] aaa
[HUAWEI-aaa] recording-scheme scheme
[HUAWEI-aaa-recording-scheme] recording-mode hwtacacs hw1
[HUAWEI-aaa-recording-scheme] quit
[HUAWEI-aaa] outbound recording-scheme scheme

password alert before-expire

命令功能

password alert before-expire命令用来配置密码过期前的提醒时间。

undo password alert before-expire命令用来恢复密码过期前的提醒时间为缺省值。

缺省情况下,密码过期前的提醒时间为30天。

命令格式

password alert before-expire day

undo password alert before-expire

参数说明

参数 参数说明 取值
day

指定密码过期前的提醒时间。

如果密码过期前的提醒时间为0,表示设备不会进行密码过期提醒。

整数形式,取值范围是0~999,单位是天。缺省值为30天。

视图

本地管理员密码策略视图

缺省级别

3:管理级

使用指南

当用户登录设备时,设备会判断该用户的密码距离过期的时间是否在通过本命令设置的提醒时间范围内。如果在提醒时间范围内,设备会提示该密码还有多久过期,并询问用户是否修改密码,以便提醒用户及时修改:
  • 如果用户选择修改,则记录新的密码以及修改密码的时间。
  • 如果用户选择不修改或者修改失败,则在密码未过期的情况下仍可以正常登录。

使用实例

# 配置密码过期前的提醒时间为90天。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user password policy administrator
[HUAWEI-aaa-lupp-admin] password alert before-expire 90

password alert original

命令功能

password alert original命令用来使能初始密码修改提醒功能。

undo password alert original命令用来去使能初始密码修改提醒功能。

缺省情况下,初始密码修改提醒功能处于使能状态。

命令格式

password alert original

undo password alert original

参数说明

视图

本地管理员密码策略视图

缺省级别

3:管理级

使用指南

应用场景

出于安全考虑,可以通过本命令使能初始密码修改提醒功能。此后,在用户登录设备时:
  • 如果用户的登录密码为初始密码,设备输出相应的提示信息询问用户是否修改初始密码,并根据用户的选择进行不同的处理:
    • 如果用户选择修改(Y),则用户需要按照先后顺序输入旧密码、新密码、确认新密码。只有旧密码正确,新密码和确认新密码输入一致并符合要求(密码长度、复杂度等)时,密码才能修改成功。之后,用户可以正常登录设备。
    • 如果用户选择不修改(N)或者修改失败,当初始密码为缺省密码时,不允许用户登录;否则,允许用户登录。
  • 如果用户的登录密码不是初始密码,设备不会输出相应的提示信息,用户直接登录设备。

使用undo password alert original时,会导致初始密码修改提醒功能失效,存在安全风险。

说明:

初始密码包含设备的缺省密码、本地用户首次创建设置的密码以及非本账户修改自己的密码(例如:B用户修改了A用户的密码,A用户使用修改后的密码登录设备时,设备会输出相应的提示信息)。

注意事项

该功能仅对Telnet用户和HTTP用户生效。

使用实例

# 使能初始密码修改提醒功能。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user password policy administrator
[HUAWEI-aaa-lupp-admin] password alert original

password expire

命令功能

password expire命令用来配置密码过期时间。

undo password expire命令用来恢复密码过期时间为缺省值。

缺省情况下,密码过期时间为90天。

命令格式

password expire day

undo password expire

参数说明

参数 参数说明 取值
day

指定密码过期时间。

如果本地用户的密码过期时间为0,表示密码长期有效。

整数形式,取值范围是0~999,单位是天。缺省值为90天。

视图

本地管理员密码策略视图

缺省级别

3:管理级

使用指南

应用场景

为提升用户密码的安全性,管理员可使用本命令配置本地用户密码的过期时间,当超过过期时间后该密码将会失效。

此后,如果有用户继续通过此密码登录设备,设备会在用户登录成功后提示用户密码已过期、是否修改密码,并根据用户的选择进行不同的处理:
  • 如果用户选择修改(Y),则用户需要按照先后顺序输入旧密码、新密码、确认新密码。只有旧密码正确,新密码和确认新密码输入一致并符合要求(密码长度、复杂度等)时,密码才能修改成功。之后,用户可以正常登录设备。
  • 如果用户选择不修改(N)或者修改失败,则不允许该用户登录设备。

注意事项

修改系统时间会直接影响用户密码的过期状态。

配置本命令后,设备每隔1分钟检查密码是否过期,因此可能存在一定的误差,但是误差在1分钟以内。

V200R010C00及之后版本,设备空配置启动时,会自动进行如下配置并写入配置文件:
  • 执行local-aaa-user password policy administrator命令使能本地管理员的密码策略功能。
  • 执行password expire 0命令配置本地管理员的密码不过期。
  • 执行password history record number 0命令配置设备不检查修改后的本地管理员的密码与历史记录是否相同。

使用实例

# 配置密码过期时间为120天。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user password policy administrator
[HUAWEI-aaa-lupp-admin] password expire 120

password history record number

命令功能

password history record number命令用来配置每个用户密码的历史记录的最大条数。

undo password history record number命令用来恢复每个用户密码的历史记录的最大条数为缺省值。

缺省情况下,每个用户密码的历史记录的最大条数是5条。

命令格式

password history record number number

undo password history record number

参数说明

参数 参数说明 取值
number

指定每个用户密码的历史记录的最大条数。

如果密码历史记录条数为0,设备不会检查用户修改后的密码是否与历史记录相同。

整数形式,取值范围是0~12。缺省值为5条。

视图

本地管理员密码策略视图、本地接入用户密码策略视图

缺省级别

3:管理级

使用指南

应用场景

为提升用户密码的安全性,修改密码时不建议使用以前使用过的密码。因此,可以通过本命令配置设备上可以记录的每个用户密码的历史记录的最大条数。当用户修改密码时,如果新设置的密码以前使用过,且在设备当前保存的用户密码历史记录中,系统将给出错误信息,提示用户密码更改失败。

注意事项

当设备记录某用户的历史密码条数已达到最大值后,该用户的后续新密码历史记录将覆盖最老的一条密码历史记录。

密码历史记录功能关闭后,系统将不再记录历史密码,但之前已经存在的密码历史记录依然保存。

V200R010C00及之后版本,设备空配置启动时,会自动进行如下配置并写入配置文件:
  • 执行local-aaa-user password policy administrator命令使能本地管理员的密码策略功能。
  • 执行password expire 0命令配置本地管理员的密码不过期。
  • 执行password history record number 0命令配置设备不检查修改后的本地管理员的密码与历史记录是否相同。

使用实例

# 配置每个本地管理员密码的历史记录的最大条数为10条。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user password policy administrator
[HUAWEI-aaa-lupp-admin] password history record number 10
# 配置每个本地接入用户密码的历史记录的最大条数为10条。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-aaa-user password policy access-user
[HUAWEI-aaa-lupp-acc] password history record number 10

policy-route(业务方案视图)

命令功能

policy-route命令用来配置业务方案下用户的策略路由功能。

undo policy-route命令用来取消业务方案下用户的策略路由功能。

缺省情况下,业务方案下没有配置策略路由功能。

命令格式

policy-route next-hop-ip-address [ vlan-id ]

undo policy-route

参数说明

参数 参数说明 取值
next-hop-ip-address 指定策略路由的下一跳IP地址。 点分十进制格式。
vlan-id 指定源路由的VLAN ID。 整数形式,取值范围是1~4094。

视图

业务方案视图

缺省级别

3:管理级

使用指南

策略路由是指根据用户所属的域中所指定的地址来决定其转发出口的功能,而不是像通常的路由转发中是根据报文的目的地址来决定其转发出口。

使用实例

# 设置业务方案js下用户的策略路由的下一跳IP地址为10.1.1.1。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme js
[HUAWEI-aaa-service-js] policy-route 10.1.1.1

permit-domain

命令功能

permit-domain命令用来配置WLAN用户的允许域。

undo permit-domain命令用来删除WLAN用户的允许域。

缺省情况下,没有配置WLAN用户的允许域。

命令格式

permit-domain name domain-name &<1-4>

undo permit-domain { name domain-name | all }

参数说明

参数

参数说明

取值

name domain-name

指定WLAN用户允许域的域名。

必须是已存在的域名。

all

指定删除所有WLAN用户的允许域。

-

视图

认证模板视图

缺省级别

2:配置级

使用指南

应用场景

用户在认证模板下面配置了用户允许域后,只有允许域内的用户才能通过认证、授权和计费。

前置条件

执行命令domain,创建WLAN用户的允许域。

注意事项

该命令功能仅适用于无线接入用户。

该命令在认证模板下使用时,必须将认证模板绑定到VAP模板下,命令功能才能生效。

该命令仅在NAC统一模式下可见。

使用实例

# 配置认证模板john下的WLAN用户允许域,域名为dom。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain dom   
[HUAWEI-aaa-domain-dom] quit 
[HUAWEI-aaa] quit 
[HUAWEI] authentication-profile name john
[HUAWEI-authen-profile-john] permit-domain name dom

priority(业务方案视图)

命令功能

priority命令用来在业务方案下配置用户的优先级。

undo priority命令用来恢复缺省配置。

缺省情况下,用户的优先级为0。

命令格式

priority priority-value

undo priority

参数说明

参数 参数说明 取值
priority-value

用户的优先级。

整数形式,取值范围是0~1。取值越大优先级越高。

视图

业务方案视图

缺省级别

3:管理级

使用指南

应用场景

在人员密集的园区办公场景,如果大量普通用户接入AP设备、AP设备的用户数量达到最大限制后,后来的VIP用户无法上线。此时可以通过业务方案授权,为VIP用户授权高优先级,保证VIP用户的接入成功率。当AP设备的用户数量达到最大限制时,用户认证后先判断其优先级,如果是高优先级用户,设备会将低优先级用户强制下线,允许高优先级用户上线;如果是低优先级用户,则不允许上线。

注意事项

该功能仅对无线用户生效。

使用实例

# 在业务方案s1配置用户的优先级为1。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme s1
[HUAWEI-aaa-service-s1] priority 1

recording-mode hwtacacs

命令功能

recording-mode hwtacacs命令用来配置与记录方案相关联的HWTACACS服务器模板。

undo recording-mode命令用来取消与记录方案相关联的HWTACACS服务器模板。

缺省情况下,记录方案不与HWTACACS服务器模板相关联。

命令格式

recording-mode hwtacacs template-name

undo recording-mode

参数说明

参数

参数说明

取值

template-name

指定HWTACACS服务器模板的名称。

必须是已存在的HWTACACS服务器模板名称。

视图

记录方案视图

缺省级别

3:管理级

使用指南

应用场景

设备需要将记录信息,如执行过的命令、连接信息、系统级事件,发送到指定的HWTACACS计费服务器。因此需要在记录方案中关联HWTACACS服务器模板。

前提条件

已通过命令hwtacacs-server template创建了HWTACACS服务器模板。

使用实例

# 指定配置名为scheme0的记录方案与名称为tacacs1的HWTACACS服务器模板相关联。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template tacacs1
[HUAWEI-hwtacacs-tacacs1] quit
[HUAWEI] aaa
[HUAWEI-aaa] recording-scheme scheme0
[HUAWEI-aaa-recording-scheme0] recording-mode hwtacacs tacacs1

recording-scheme

命令功能

recording-scheme命令用来创建一个记录方案,并进入记录方案视图。

undo recording-scheme命令用来删除一个记录方案。

缺省情况下,设备中没有记录方案。

命令格式

recording-scheme recording-scheme-name

undo recording-scheme recording-scheme-name

参数说明

参数

参数说明

取值

recording-scheme-name

指定记录方案名称。

字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

记录方案生效后,可以在记录服务器上查看到记录信息,如执行的命令、连接信息、系统级事件等。在发生网络故障时,可以通过这些信息来定位故障。因为配置记录需要关联HWTACACS服务器,一般在使用HWTACACS方式进行认证、授权时才会配置记录。

使用recording-scheme命令创建记录方案是配置记录的必选步骤。

后续任务

创建记录方案后,需要在记录方案视图下执行命令recording-mode hwtacacs关联服务器模板。

创建记录方案并完成关联服务器模板后,还需要根据需要在AAA视图下完成以下配置:

注意事项

如果配置的记录方案在设备上不存在,则使用recording-scheme命令后创建一个新的记录方案并进入记录方案视图。如果配置的记录方案已经在设备上存在,使用recording-scheme命令后将直接进入记录方案视图。

如果需要删除记录方案,请确保没有通过命令cmd recording-schemeoutbound recording-schemesystem recording-scheme引用了该记录方案。

使用实例

# 创建名为scheme0的记录方案。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] recording-scheme scheme0
[HUAWEI-aaa-recording-scheme0]

redirect-acl

命令功能

redirect-acl命令用来在业务方案下配置重定向ACL。

undo redirect-acl命令用来在业务方案下删除已配置的重定向ACL。

缺省情况下,业务方案中没有配置重定向ACL。

命令格式

redirect-acl { acl-number | name acl-name }

undo redirect-acl

参数说明

参数 参数说明 取值
acl-number

指定重定向ACL编号。

取值范围是3000~3999(有线用户)或3000~3031(无线用户),且必须是已存在的ACL编号。

name acl-name

指定重定向的ACL名称。

必须是已存在的ACL名称,且长度范围是1~64

视图

业务方案视图

缺省级别

3:管理级

使用指南

应用场景

在某些认证场景下,用户认证通过后,管理员希望对匹配了ACL permit规则的HTTP、HTTPS用户流量进行重定向,在重定向后的认证界面用户再次认证。

注意事项

配置本命令前,推荐先执行命令acl(系统视图)acl name创建ACL。

若在执行本命令前、后都没有创建ACL,则会导致下发重定向ACL失败。

如果要对HTTPS流量进行重定向,需要执行命令portal https-redirect enable,配置HTTPS重定向功能。

使用实例

# 在业务方案svcscheme1下配置重定向ACL为3001。

<HUAWEI> system-view
[HUAWEI] acl 3001
[HUAWEI-acl-adv-3001] quit
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme svcscheme1
[HUAWEI-aaa-service-svcscheme1] redirect-acl 3001

remote-aaa-user authen-fail

命令功能

remote-aaa-user authen-fail命令用来使能AAA远端认证失败后账号锁定功能,配置AAA远端认证失败后用户的重试时间间隔、连续认证失败的限制次数及账号锁定时间。

undo remote-aaa-user authen-fail命令用来去使能AAA远端认证失败后账号锁定功能。

缺省情况下,AAA远端认证失败后账号锁定功能处于使能状态,AAA远端认证失败后用户的重试时间间隔为5分钟,连续认证失败的限制次数为30次,账号锁定时间为5分钟。

命令格式

remote-aaa-user authen-fail retry-interval retry-interval retry-time retry-time block-time block-time

undo remote-aaa-user authen-fail

参数说明

参数

参数说明

取值

retry-interval retry-interval

指定AAA远端认证失败后用户的重试时间间隔。

整数形式,取值范围为5~65535,单位为分钟。

retry-time retry-time

指定用户连续认证失败的限制次数。

整数形式,取值范围为3~65535。

block-time block-time

指定用户帐号的锁定时间。

整数形式,取值范围为5~65535,单位为分钟。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

为了保证AAA远端认证用户的安全,可以使能AAA远端认证失败后账号锁定功能。在重试时间间隔内,如果该用户连续输入账号或密码错误并达到了限制次数,该账号将被锁定,经过锁定时间后账号才会自动解锁。

注意事项

  • 该命令只对AAA远端认证生效,对本地认证不生效。

  • 主备场景下,主备倒换之后,原来被锁定的账号会自动解锁。

  • 执行命令undo remote-aaa-user authen-fail,去使能AAA远端认证失败后账号锁定功能后,原来被锁定的账号会自动解锁。

使用实例

# 使能AAA远端认证失败后账号锁定功能,配置AAA远端认证失败后用户的重试时间间隔为5分钟、连续认证失败的限制次数为3次及账号锁定时间为5分钟。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] remote-aaa-user authen-fail retry-interval 5 retry-time 3 block-time 5
# 去使能AAA远端认证失败后账号锁定功能。
<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] undo remote-aaa-user authen-fail
Info: All blocked users will unblock. Continue?[Y/N] y

remote-user authen-fail unblock

命令功能

remote-user authen-fail unblock命令用来将认证失败的远端认证账号解锁。

命令格式

remote-user authen-fail unblock { all | username username }

参数说明

参数

参数说明

取值

all

指定解锁所有的AAA远端认证失败账号。

-

username username

指定解锁某一特定认证失败的AAA远端认证账号。

字符串形式,不支持空格,不区分大小写,长度范围是1~253。

视图

AAA视图

缺省级别

3:管理级

使用指南

解锁认证失败的远端认证账号适用于以下场景:
  • 对于连续输入账号或密码错误但尚未达到限制次数的用户,可以通过remote-user authen-fail unblock命令解锁该用户,从而清除设备上对应的错误记录。
  • 对于已被锁定的账号,如果该用户为误锁或需要紧急开通,可以通过remote-user authen-fail unblock命令解锁该用户。

使用实例

# 将认证失败的远端认证账号“test”解锁。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] remote-user authen-fail unblock username test

reset aaa

命令功能

reset aaa命令用来清除用户异常下线、用户下线、上线失败的记录信息。

命令格式

reset aaa { abnormal-offline-record | offline-record | online-fail-record }

参数说明

参数 参数说明 取值
abnormal-offline-record 清除用户异常下线记录。

-

offline-record 清除用户下线记录。

-

online-fail-record 清除用户上线失败记录。

-

视图

系统视图

缺省级别

3:管理级

使用指南

通过执行该命令清除用户异常下线、用户下线、上线失败的记录信息,清除记录信息后记录信息功能为使能状态。

使用实例

# 清除用户下线记录。

<HUAWEI> system-view
[HUAWEI] reset aaa offline-record

reset aaa statistics offline-reason

命令功能

reset aaa statistics offline-reason命令用来清除用户下线原因统计信息。

命令格式

reset aaa statistics offline-reason

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

通过执行该命令清除用户下线原因统计信息。

使用实例

# 清除用户下线原因统计信息。

<HUAWEI> reset aaa statistics offline-reason

reset access-user statistics

命令功能

reset access-user statistics命令用于清除接入用户认证相关统计信息。

说明:

该命令仅在NAC统一模式下支持。

命令格式

reset access-user statistics

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

当诊断和定位接入用户认证相关的故障时,需要专门统计一段时间内的用户上下线信息。因此必须在统计开始前执行reset access-user statistics命令清除原有的历史统计信息,然后使用display access-user statistics命令查看新的统计信息。

使用实例

# 清除接入用户认证相关统计信息。

<HUAWEI> reset access-user statistics

reset local-user password history record

命令功能

reset local-user password history record命令用来清除本地用户的密码历史记录。

命令格式

reset local-user [ user-name ] password history record

参数说明

参数 参数说明 取值
user-name

清除指定用户名的密码历史记录。

如果不指定该参数,将清除所有本地用户的密码历史记录。

必须是已存在的本地用户。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

如果管理员希望重新记录本地用户的历史密码,可以通过本命令清除本地用户的密码历史记录。

注意事项

执行该命令后,系统将清空设备中的密码历史记录,且已清除的密码历史记录不能被恢复。这可能带来一定的安全风险,请谨慎操作。

使用实例

# 清除所有本地用户的密码历史记录。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] reset local-user password history record

security-name enable

命令功能

security-name enable命令用来使能安全字符串功能。

undo security-name enable命令用来去使能安全字符串功能。

缺省情况下,已使能安全字符串功能。

命令格式

security-name enable

undo security-name enable

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

某些特殊客户端会在用户名后面增加安全字符串*securitystring组成username@domain*securitystring格式的用户名,其中*是安全字符串分隔符。为了让AAA服务器能够识别此类用户名,需要在设备上通过命令security-name enable使能安全字符串功能。之后,当设备将用户名发送给AAA服务器时,设备将特殊客户端后面增加的安全字符串*securitystring去掉,使用用户名username@domain去认证。

另外,设备识别的安全字符串分隔符可以通过命令security-name-delimiter修改。

使用实例

# 使能安全字符串功能。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] security-name enable

security-name-delimiter

命令功能

security-name-delimiter命令用来配置安全字符串分隔符。

undo security-name-delimiter命令用来恢复安全字符串分隔符为缺省值。

缺省情况下,AAA视图下的安全字符串分隔符为*,认证模板视图下未配置安全字符串分隔符

说明:

此命令仅用于802.1X用户。对于802.1X用户的认证方式为CHAP或PAP方式时,设备会剥离安全字符,但是不会封装HW-SecurityStr属性;对于802.1X用户的认证方式为EAP方式时,设备会剥离安全字符,并将安全字符封装成HW-SecurityStr属性。

命令格式

security-name-delimiter delimiter

undo security-name-delimiter

参数说明

参数

参数说明

取值

delimiter

指定安全字符串分隔符。

枚举类型,只能是1位,取值范围:“\”,“/”,“:”,“<”,“>”,“|”,“@”,“'”,“%”,“*”。

视图

AAA视图、认证模板视图

缺省级别

3:管理级(AAA视图)

2:配置级(认证模板视图)

使用指南

应用场景

某些特殊客户端会在用户名后面增加安全字符串*securitystring组成username@domain*securitystring格式的用户名,其中*是安全字符串分隔符。为了让AAA服务器能够识别此类用户名,需要在设备上配置安全字符串分隔符,这样当设备将用户名发送给AAA服务器时,设备将特殊客户端后面增加的安全字符串*securitystring去掉,使用用户名username@domain去认证。

注意事项

在AAA视图下执行此命令,则对所有接入用户都生效;在认证模板下执行此命令,则仅对该认证模板下接入的用户生效

安全字符串分隔符不能与域名分隔符相同。

在AAA视图下执行该命令,表示配置全局安全字符串分隔符。

该命令在认证模板下使用时,必须将认证模板绑定到VAP模板下,命令功能才能生效。

使用实例

# 配置AAA视图下的安全字符串分隔符为/。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] security-name-delimiter /

service-scheme(AAA域视图)

命令功能

service-scheme命令用来在域下绑定一个业务方案。

undo service-scheme命令用来解除域和业务方案的绑定关系。

缺省情况下,域下没有绑定任何业务方案。

命令格式

service-scheme service-scheme-name

undo service-scheme

参数说明

参数

参数说明

取值

service-scheme-name

指定业务方案名称。

必须是已存在的业务方案名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

只有在域下应用业务方案,业务方案中的授权配置才能生效。

前置条件

设置域的业务方案之前,需要创建业务方案并完成业务方案中的相关配置。

使用实例

# 配置域huawei采用名为srvscheme1的业务方案。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme srvscheme1
[HUAWEI-aaa-service-srvscheme1] quit
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] service-scheme srvscheme1

service-scheme(AAA视图)

命令功能

service-scheme命令用来创建一个业务方案,并进入业务方案视图。

undo service-scheme命令用来删除一个业务方案。

缺省情况下,设备中没有配置业务方案。

命令格式

service-scheme service-scheme-name

undo service-scheme service-scheme-name

参数说明

参数

参数说明

取值

service-scheme-name

指定业务方案的名称。

字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

业务方案用于为用户分配DNS服务器、地址池等授权资源。

后续任务

配置业务方案后,在域视图下执行service-scheme(AAA域视图)命令应用业务方案。

注意事项

NAC传统模式下不支持授权业务方案。

如果配置的业务方案在设备上不存在,则使用service-scheme(AAA视图)命令后创建一个新的业务方案并进入业务方案视图。如果配置的业务方案已经在设备上存在,使用service-scheme(AAA视图)命令后将直接进入业务方案视图。

如果需要删除已经在域下应用的业务方案或修改已经在域下应用的业务方案中的相关配置,需要先执行undo service-scheme(AAA域视图)命令取消业务方案应用。

使用实例

# 创建名为srvscheme1的业务方案。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme srvscheme1
[HUAWEI-aaa-service-srvscheme1]

state(AAA域视图)

命令功能

state命令用来配置域的状态。

undo state命令用来恢复域的状态为缺省值。

缺省情况下,域创建后处于激活状态。

命令格式

state { active | block [ time-range time-name &<1-4> ] }

undo state [ block time-range [ time-name &<1-4> ] ]

参数说明

参数

参数说明

取值

active

指定域为激活态。

-

block

指定域为阻塞态。

-

time-range time-name

指定域为阻塞态的时间段。

其中,time-name表示域为阻塞状态的时间段名称。如果不指定时间段,表示任何时间都为阻塞态。

字符串形式,区分大小写,必须以英文字母开头,长度范围是1~32。但为避免混淆,时间段的名字不可以使用英文单词all。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

管理员在配置某些业务时,为了避免配置过程中出现异常,不希望有新的用户接入。通过配置域为阻塞态,禁止新用户接入。完成配置后,再配置域为激活态。

前提条件

请确保已通过命令time-range配置了时间段。

注意事项

通过命令state block配置已有用户接入的域为阻塞态,不影响已接入的用户。

通过命令state block time-range配置已有用户接入的域为阻塞态,在时间段内域的状态由active变为block时,可能会导致之前上线的用户下线。

使用实例

# 设置配置名为vipdomain的域为阻塞态。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain vipdomain
[HUAWEI-aaa-domain-vipdomain] state block

# 设置配置名为vipdomain的域为阻塞态的时间段名称为tim。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain vipdomain
[HUAWEI-aaa-domain-vipdomain] state block time-range tim
Warning: This operation may cause online users to go offline. Continue? [Y/N]Y

statistic enable(AAA域视图)

命令功能

statistic enable命令用来使能域用户的流量统计功能。

undo statistic enable命令用来去使能域用户的流量统计功能。

缺省情况下,域用户的流量统计功能处于去使能状态。

命令格式

statistic enable

undo statistic enable

参数说明

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

当需要通过流量计费方式对用户进行计费时,可使用本命令使能域的流量统计功能。此后,设备会对域下用户的流量信息进行统计,如果配置了计费服务器,设备还会将统计到的用户流量信息通过计费报文发送给服务器,使服务器可以通过流量计费方式对用户进行计费。

后续任务

可以通过命令display access-user(所有视图)查看指定用户的流量统计信息。

注意事项

与命令statistic enable(QoS模板视图)不同的是,QoS模板下的流量统计功能统计的是域下用户的DAA业务流量,统计后的信息为每个费率级别对应的字节数;本命令统计的是域下用户的非DAA业务流量,设备会同时将这两种流量统计信息都发送给计费服务器,便于服务器灵活选择计费方案。

使用实例

# 使能域用户的流量统计功能。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] statistic enable
相关主题

system recording-scheme

命令功能

system recording-scheme命令用来配置记录方案的记录策略,记录设备的系统级事件。

undo system recording-scheme命令用来删除记录策略,即不进行相应的记录。

缺省情况下,不记录系统级事件。

命令格式

system recording-scheme recording-scheme-name

undo system recording-scheme

参数说明

参数

参数说明

取值

recording-scheme-name

指定记录方案名称。

必须是已存在的记录方案名称。

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

在服务器上记录系统级事件,可以帮助管理员用户监控设备。当网络出现故障时,可以根据服务器上的记录信息进行故障定位。

前置条件

执行system recording-scheme命令前需要已经在AAA视图下使用recording-scheme命令创建记录方案,并在记录方案视图下使用recording-mode hwtacacs命令关联HWTACACS服务器模板。

注意事项

目前设备只支持对reboot命令导致的事件进行记录。

使用实例

# 指定记录方案scheme的记录策略为记录系统级事件。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template hw1
[HUAWEI-hwtacacs-hw1] quit
[HUAWEI] aaa
[HUAWEI-aaa] recording-scheme scheme
[HUAWEI-aaa-recording-scheme] recording-mode hwtacacs hw1
[HUAWEI-aaa-recording-scheme] quit
[HUAWEI-aaa] system recording-scheme scheme

user-group(AAA域视图)

命令功能

user-group命令用来对域下的用户下发用户组授权。

undo user-group命令用来取消对域下的用户下发用户组授权。

缺省情况下,未配置对域下的用户下发用户组授权。

说明:

该命令仅在NAC传统模式下支持。

命令格式

user-group group-name

undo user-group

参数说明

参数 参数说明 取值
group-name 指定用户组名称。 必须是已存在的用户组名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

在AAA域下配置user-group,可以对域下的用户下发用户组授权。

注意事项

  • 本命令配置时引用的用户组必须已由user-group命令创建。

  • 当用户组被本命令在域下配置引用后,不能直接删除。

  • 不支持RADIUS下发的华为82号私有属性与域下用户组授权同时使用。

  • 通过本命令对用户下发的授权信息优先级低于通过命令portal free-rule rule-id source ip ip-address mask { mask-length | ip-mask } [ mac mac-address ] [ interface interface-type interface-number ] destination user-group group-name对用户下发的授权信息。

使用实例

# 配置域test下引用用户组group1。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] domain test
[HUAWEI-aaa-domain-test] user-group group1

user-password complexity-check

命令功能

user-password complexity-check命令用来使能对密码进行复杂度检查功能。

undo user-password complexity-check命令用来关闭对密码进行复杂度检查功能。

缺省情况下,设备对密码进行复杂度检查。

命令格式

user-password complexity-check

undo user-password complexity-check

参数说明

视图

AAA视图

缺省级别

3:管理级

使用指南

应用场景

通过命令local-user创建本地用户时,用户输入密码时需要通过设备的密码复杂度检查才能设置成功。

注意事项

为充分保证设备安全,请用户不要关闭密码复杂度检查功能,并定期修改密码。

使用实例

# 关闭设备对密码进行复杂度检查功能。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] undo user-password complexity-check
相关主题

vlan pool

命令功能

vlan pool命令用来创建VLAN pool并进入VLAN pool视图,如果VLAN pool已存在,直接进入该VLAN pool视图。

undo vlan pool命令用来删除指定VLAN pool。

缺省情况下,设备上没有VLAN pool。

命令格式

vlan pool pool-name

undo vlan pool pool-name

参数说明

参数 参数说明 取值
pool-name 指定VLAN pool的名称。 字符串类型,可输入的字符串长度为1~31个字符。不能包含“?”和空格,双引号不能出现在字符串的首尾。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

VLAN pool是多个VLAN的合集,其目的是简化网络部署。管理员将一个部门用户的VLAN规划为一个VLAN pool,用户接入认证成功之后,认证服务器为用户授权VLAN pool。设备根据VLAN pool的VLAN分配算法从VLAN pool中为用户分配VLAN,从而无需计算每个部门的用户数即可对多个部门进行VLAN规划。

在WLAN无线网络环境中,由于无线用户接入方式和接入位置较为灵活,经常会出现用户在某个地点(例如办公区入口或体育场馆入口)集中接入到同一个无线网络中,然后漫游到其它AP覆盖的无线网络环境下。如果每个SSID中只有一个业务VLAN为无线用户提供无线网络服务,很容易产生接入用户数多的区域IP地址资源不足、而其它区域IP地址资源浪费的现象。通过将VLAN pool配置为无线用户的业务VLAN,实现一个SSID能够同时支持多个业务VLAN。新接入的用户会被动态地分配到VLAN pool中的各个VLAN中,减少了单个VLAN下的用户数,缩小了广播域;同时每个VLAN尽量均匀地分配IP地址,减少了IP地址的浪费。

后续任务

  1. 执行命令vlan(VLAN pool视图)将VLAN加入到VLAN pool中。
  2. 对于有线用户,在RADIUS服务器上配置为通过认证的用户授权标准RADIUS属性Tunnel-Private-Group-ID,让用户加入指定的VLAN pool。
  3. 对于无线用户,执行vap-profile profile-name wlan wlan-id radio { radio-id | all } service-vlan vlan-pool pool-name命令配置VLAN pool作为指定VAP模板下无线用户的业务VLAN。

注意事项

  • 配置VLAN pool为无线用户的业务VLAN后,该VLAN pool不能再作为RADIUS服务器授权给用户的VLAN pool。
  • 配置VLAN pool为无线用户的业务VLAN后,则不允许删除VLAN pool里面的VLAN,如果需要删除VLAN,先取消VLAN pool作为业务VLAN。
  • 如果VLAN或其所属的VLAN pool已经被配置为WLAN网络的业务VLAN,则不能再将该VLAN配置成Super-VLAN。同样的,如果VLAN已经被配置为Super-VLAN,也不能再将该VLAN或该VLAN所属的VLAN pool配置成WLAN网络的业务VLAN。另外,当一个VLAN pool被配置为WLAN网络的业务VLAN后,也不能再将Super-VLAN加入此VLAN pool中。

  • 在配置双栈地址池的情况下,如果VLAN pool已经给用户分配了IPv4地址或IPv6地址,则认为用户获取地址成功,VLAN pool不会再重新分配一个新的VLAN给用户。

使用实例

# 创建名称为“test”的VLAN pool并进入VLAN pool视图。

<HUAWEI> system-view
[HUAWEI] vlan pool test
[HUAWEI-vlan-pool-test]

vlan(VLAN pool视图)

命令功能

vlan命令用来将指定VLAN添加到VLAN pool中。

undo vlan命令用来将指定VLAN从VLAN pool中删除。

缺省情况下,VLAN pool下没有VLAN。

命令格式

vlan { start-vlan [ to end-vlan ] } &<1-10>

undo vlan { { start-vlan [ to end-vlan ] } &<1-10> | all }

参数说明

参数 参数说明 取值
start-vlan [ to end-vlan ]

指定VLAN ID范围。

start-vlanend-vlan共同确定VLAN的范围,start-vlan必须小于end-vlan

整数形式,取值范围是1~4094。

视图

VLAN pool视图

缺省级别

2:配置级

使用指南

应用场景

VLAN pool是多个VLAN的合集,其目的是简化网络部署,执行该命令将指定VLAN添加到VLAN pool中。

注意事项

  • 每个VLAN pool下最多支持加入128个VLAN。
  • 删除VLAN会影响到已使用此VLAN上线的用户,导致该用户业务中断,请谨慎删除。
  • 没有创建的VLAN也能够加入到VLAN pool中,请注意将VLAN加入VLAN pool后,必须创建该VLAN,否则该VLAN不生效。

使用实例

# 将VLAN 9、12、13和14添加到名称为“test”的VLAN pool中。

<HUAWEI> system-view
[HUAWEI] vlan pool test
[HUAWEI-vlan-pool-test] vlan 9 12 to 14

wins(业务方案视图)

命令功能

wins命令用来配置业务模板下的主/备wins服务器地址。

undo wins命令用来取消配置的主/备wins服务器地址。

缺省情况下,业务方案下没有配置主/备wins服务器地址。

命令格式

wins ip-address [ secondary ]

undo wins [ ip-address ]

参数说明

参数 参数说明 取值
ip-address 指定业务模板下配置的wins服务器地址。 格式为点分十进制格式。
secondary 配置备份wins服务器地址。 -

视图

业务方案视图

缺省级别

3:管理级

使用指南

AAA支持在AAA业务模板下绑定wins服务器地址。PPPoE服务器应用域后,可以将wins服务器地址推送给PPPoE客户端。

使用实例

# 设置业务方案svcscheme1下wins服务器地址。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme svcscheme1
[HUAWEI-aaa-service-svcscheme1] wins 10.1.1.1
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10042

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页