所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
RADIUS配置命令

RADIUS配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

accounting-copy radius-server

命令功能

accounting-copy radius-server命令用来开启RADIUS计费报文抄送功能并配置二级计费RADIUS服务器模板。

undo accounting-copy radius-server命令用来关闭RADIUS计费报文抄送功能。

缺省情况下,未开启RADIUS计费报文抄送功能。

命令格式

accounting-copy radius-server template-name

undo accounting-copy radius-server

参数说明

参数

参数说明

取值

template-name

指定RADIUS服务器模板的名称。

必须是已存在的RADIUS服务器模板名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

网络中已有RADIUS服务器,对用户进行认证、授权和计费,用户的上下线等信息通过计费报文上送给该服务器。现在用户希望部署另一台独立的RADIUS计费服务器(称为二级计费RADIUS服务器),通过获取用户的上下线等信息来分析用户行为,管理用户上网,但是现在设备并不会将计费报文发送给二级计费RADIUS服务器。此时,可以在设备上配置RADIUS计费报文抄送功能,配置该功能之后,设备会将用户上下线等信息通过计费报文发送给二级计费RADIUS服务器,用作第三方用户行为分析。

前提条件

已执行命令radius-server template创建RADIUS服务器模板。

注意事项

  • 用户需保证配置的二级计费RADIUS服务器的IP地址与一级计费RADIUS服务器的IP地址不相同(包括主/备用RADIUS计费服务器)。

  • 域下配置的二级计费RADIUS服务器模板与域下用于认证和计费的RADIUS服务器模板不能相同,相同则无法配置系统会报错。

使用实例

配置域huawei下,使用的RADIUS认证和计费服务器的IP地址为10.1.1.1、端口号分别为1813和1814,所属的RADIUS服务器模板为t1;使用的二级计费RADIUS服务器的IP地址为10.1.1.2、端口号为1814,所属的RADIUS服务器模板为t2。

<HUAWEI> system-view
[HUAWEI] radius-server template t1
[HUAWEI-radius-t1] radius-server authentication 10.1.1.1 1813
[HUAWEI-radius-t1] radius-server accounting 10.1.1.1 1814
[HUAWEI-radius-t1] quit
[HUAWEI] radius-server template t2
[HUAWEI-radius-t2] radius-server accounting 10.1.1.2 1814
[HUAWEI-radius-t2] quit
[HUAWEI] aaa
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] radius-server t1
[HUAWEI-aaa-domain-huawei] accounting-copy radius-server t2

called-station-id mac-format

命令功能

called-station-id mac-format命令用来设置RADIUS报文中called-station-id(Type 30)属性字段中MAC地址的封装格式。

undo called-station-id mac-format命令用来将RADIUS报文中called-station-id(Type 30)属性字段中MAC地址封装格式恢复为缺省情况。

缺省情况下,called-station-id属性字段中MAC地址的格式为XX-XX-XX-XX-XX-XX,大写形式。

命令格式

called-station-id mac-format { dot-split | hyphen-split } [ mode1 | mode2 ] [ lowercase | uppercase ]

called-station-id mac-format unformatted [ lowercase | uppercase ]

undo called-station-id mac-format

参数说明

参数 参数说明 取值
dot-split 指定封装的called-station-id字段中用圆点('.')作为MAC地址连接符。 -
hyphen-split 指定封装的called-station-id字段中用横线('-')作为MAC地址连接符。 -
unformatted 指定封装的called-station-id字段中MAC地址不使用连字符。 -
mode1 指定封装的called-station-id字段中MAC地址的格式是XXXX-XXXX-XXXX或XXXX.XXXX.XXXX。 -
mode2 指定封装的called-station-id字段中MAC地址的格式是XX-XX-XX-XX-XX-XX或XX.XX.XX.XX.XX.XX。 -
lowercase 指定封装的called-station-id字段中MAC地址使用小写形式。 -
uppercase 指定封装的called-station-id字段中MAC地址使用大写形式。 -

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

Called-station-id(Type 30)属性表示AP设备的MAC地址和SSID。从设备出去的RADIUS报文的called-station-id(Type 30)属性字段中MAC地址的封装格式默认为XX-XX-XX-XX-XX-XX,如果RADIUS服务器不支持此默认的MAC地址格式,可以通过called-station-id mac-format命令修改RADIUS报文中called-station-id字段中MAC地址的封装格式。

使用实例

# 设置RADIUS报文中called-station-id属性字段中用圆点作为MAC地址连接符,MAC地址的格式为XX.XX.XX.XX.XX.XX,大写形式。

<HUAWEI> system-view
[HUAWEI] radius-server template huawei
[HUAWEI-radius-huawei] called-station-id mac-format dot-split mode2 uppercase

called-station-id wlan-user-format

命令功能

called-station-id wlan-user-format命令用来设置RADIUS报文中Called-station-id (30)属性封装的内容。

undo called-station-id wlan-user-format命令用来恢复为缺省情况。

缺省情况下,Called-station-id (30)属性封装的内容为AP的MAC地址和SSID,AP的MAC地址和SSID之间用“:”隔开,格式为ap-mac:ssid。

命令格式

called-station-id wlan-user-format { ap-mac | ac-mac | ac-ip | ap-name | ap-group-name | vlanid | ap-location } [ include-ssid [ delimiter delimiter ] ]

undo called-station-id wlan-user-format

参数说明

参数 参数说明 取值
ap-mac 指定Called-station-id (30)属性封装的内容为AP的MAC地址。 -
ac-mac 指定Called-station-id (30)属性封装的内容为AC的MAC地址。 -
ac-ip 指定Called-station-id (30)属性封装的内容为AC的IP地址。 -
ap-name 指定Called-station-id (30)属性封装的内容为AP的名称。 -
ap-group-name 指定Called-station-id (30)属性封装的内容为AP所属的AP组名称。 -
vlanid 指定Called-station-id (30)属性封装的内容为用户上线的外层VLAN。 -
ap-location 指定Called-station-id (30)属性封装的内容为AP布放的位置信息。 -
include-ssid

指定Called-station-id (30)属性封装的内容包含SSID。

若不指定该参数,则不封装SSID。

-
delimiter delimiter 指定Called-station-id (30)属性封装的内容包含SSID时,SSID前的分隔符。 枚举类型,只能是1位,取值包括:“\”,“/”,“:”,“<”,“>”,“|”,“@”,“'”,“%”,“*”,“+”,“-”,“&”,“!”,“#”,“^”,“~”,缺省值是“:”。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

Called-station-id (30)属性表示NAS设备的号码信息,对于无线用户,缺省情况下该属性封装的内容为AP的MAC地址和SSID,格式为ap-mac:ssid。根据RADIUS服务器支持的情况不同,可以通过命令called-station-id wlan-user-format修改该属性的封装内容。

其中,AP的MAC地址和AC的MAC地址格式,可以通过命令called-station-id mac-format设置。

使用实例

# 设置RADIUS报文中Called-station-id (30)属性封装的内容是AC的MAC地址、不封装SSID。

<HUAWEI> system-view
[HUAWEI] radius-server template huawei
[HUAWEI-radius-huawei] called-station-id wlan-user-format ac-mac

calling-station-id mac-format

命令功能

calling-station-id mac-format命令用来设置RADIUS报文中calling-station-id(Type 31)属性字段中MAC地址的封装格式。

undo calling-station-id mac-format命令用来将上述MAC地址封装格式恢复为缺省情况。

缺省情况下,calling-station-id属性字段中MAC地址的格式为xxxx-xxxx-xxxx,小写形式。

命令格式

calling-station-id mac-format { dot-split | hyphen-split | colon-split } [ mode1 | mode2 ] [ lowercase | uppercase ]

calling-station-id mac-format unformatted [ lowercase | uppercase ]

calling-station-id mac-format bin

undo calling-station-id mac-format

参数说明

参数 参数说明 取值
dot-split 指定封装的calling-station-id字段中用圆点(.)作为MAC地址连接符。 -
hyphen-split 指定封装的calling-station-id字段中用横线(-)作为MAC地址连接符。 -
colon-split 指定封装的calling-station-id字段中用冒号(:)作为MAC地址连接符。 -
unformatted 指定封装的calling-station-id字段中MAC地址不使用连字符。 -
mode1 指定封装的calling-station-id字段中MAC地址的格式是XXXX-XXXX-XXXX或XXXX.XXXX.XXXX或XXXX:XXXX:XXXX -
mode2 指定封装的calling-station-id字段中MAC地址的格式是XX-XX-XX-XX-XX-XX或XX.XX.XX.XX.XX.XX或XX:XX:XX:XX:XX:XX -
lowercase 指定封装的calling-station-id字段中MAC地址使用小写形式。 -
uppercase 指定封装的calling-station-id字段中MAC地址使用大写形式。 -
bin 指定封装的calling-station-id字段中MAC地址使用二进制形式。 -

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

从设备出去的RADIUS报文的calling-station-id(Type 31)属性字段中MAC地址的封装格式默认为xxxx-xxxx-xxxx,如果RADIUS服务器不支持此默认的MAC地址格式,可以通过使用calling-station-id mac-format命令修改RADIUS报文中calling-station-id字段中MAC地址的封装格式。

使用实例

# 设置RADIUS报文中calling-station-id属性字段中用圆点作为MAC地址连接符,MAC地址的格式为XX.XX.XX.XX.XX.XX,大写形式。

<HUAWEI> system-view
[HUAWEI] radius-server template huawei
[HUAWEI-radius-huawei] calling-station-id mac-format dot-split mode2 uppercase

display radius-attribute

命令功能

display radius-attribute命令用来查看设备支持的RADIUS属性。

命令格式

display radius-attribute [ name attribute-name | type { attribute-number1 | huawei attribute-number2 | microsoft attribute-number3 | dslforum attribute-number4 } ]

参数说明

参数

参数说明

取值

name attribute-name

显示指定名称的RADIUS属性。

字符串形式,长度为1~64,可自动匹配属性字典中的属性名进行联想。

type { attribute-number1 | huawei attribute-number2 | microsoft attribute-number3 | dslforum attribute-number4 }

显示指定类型的RADIUS属性。其中:
  • attribute-number1表示标准属性。
  • huawei attribute-number2表示华为属性。
  • microsoft attribute-number3表示微软属性。
  • dslforum attribute-number4表示DSL(Digital Subscriber Line)Forum属性。

attribute-number1attribute-number2attribute-number3attribute-number4都是整数形式,取值范围均为1~2048。

视图

所有视图

缺省级别

1:监控级

使用指南

在设备与RADIUS服务器对接前,可使用本命令查询设备支持哪些RADIUS属性。如果查询结果显示设备与RADIUS服务器支持的RADIUS属性不一致,可执行radius-attribute disable配置RADIUS属性禁用或执行radius-attribute translate配置RADIUS属性转换操作。

使用实例

# 查看设备支持的RADIUS属性。

<HUAWEI> display radius-attribute
  Codes: Auth(Authentication), Acct(Accounting)
         Req(Request), Accp(Accept), Rej(Reject)
         Resp(Response), COA(Change-of-Authorization)
         0(Can not exist in this packet)
         1(Can exist in this packet)
--------------------------------------------------------------------------------
Attribute                       Service    Auth Auth Auth Acct Acct COA COA
Name(Type)                       Type      Req  Accp Rej  Req  Resp Req Ack
--------------------------------------------------------------------------------
User-Name(1)                     All       1    0    0    1    0    1    1
User-Password(2)                 All       1    0    0    0    0    0    0
CHAP-Password(3)                 All       1    0    0    0    0    0    0
NAS-IP-Address(4)                All       1    0    0    1    0    1    1
NAS-Port(5)                      All       1    0    0    1    0    1    1
Service-Type(6)                  All       1    1    0    0    0    0    0
......
说明:

以上显示信息仅仅是举例,属性类型以设备显示为准。

表13-23  display radius-attribute命令输出信息描述

项目

描述

0(Can not exist in this packet) 0表示报文中不支持该属性。
1(Can exist in this packet) 1表示报文中支持该属性。

Attribute Name(Type)

属性名称和类型。

Service Type

属性协议类型。

Auth Req

认证请求报文。

Auth Accp

认证接受报文。

Auth Rej

认证拒绝报文。

Acct Req

计费请求报文。

Acct Resp

计费回应报文。

COA Req

COA请求报文。

COA Ack

COA回应报文。

# 查看编号为2的RADIUS标准属性信息。

<HUAWEI> display radius-attribute type 2
 Radius Attribute Type        : 2
 Radius Attribute Name        : User-Password
 Radius Attribute Description : This Attribute indicates the password of the user to be authenticated. Only valid for the PAP authentication.
 Supported Packets            : Auth Request  
表13-24  display radius-attribute type命令输出信息描述

项目

描述

Radius Attribute Type

RADIUS属性类型。

Radius Attribute Name

RADIUS属性名称。

Radius Attribute Description

RADIUS属性描述。

Supported Packets

支持该属性的报文。

display radius-attribute check

命令功能

display radius-attribute check命令用来查看RADIUS认证成功报文内必须检查的属性。

命令格式

display radius-attribute [ template template-name ] check

参数说明

参数

参数说明

取值

template template-name

显示指定RADIUS服务器模板的RADIUS属性检查的配置信息。

必须是已存在的RADIUS服务器模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

通过执行该命令,可以查看执行命令radius-attribute check配置的RADIUS认证成功报文内必须检查的属性。

使用实例

# 查看RADIUS认证成功报文内必须检查的属性。

<HUAWEI> display radius-attribute check
Server-template-name: test1                                                     
--------------------------------------------------                              
check-attr                                                                      
--------------------------------------------------                              
Framed-Protocol                                                                 
-------------------------------------------------- 
表13-25  display radius-attribute check命令显示信息说明

项目

描述

Server-template-name

RADIUS服务器模板名称。

check-attr

RADIUS认证成功报文内必须检查的属性名。

Framed-Protocol

用户Frame类型业务的封装协议。

display radius-attribute disable

命令功能

display radius-attribute disable命令用来查看禁用的RADIUS属性。

命令格式

display radius-attribute [ template template-name ] disable

参数说明

参数

参数说明

取值

template template-name

显示指定RADIUS服务器模板中禁用的RADIUS属性。

如果不指定此参数则显示所有RADIUS服务器模板中配置禁用的RADIUS属性。

必须是已存在的RADIUS服务器模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

display radius-attribute disable命令用来查看通过radius-attribute disable命令禁用的RADIUS属性。

如果需要使能某些属性,在RADIUS服务器模板视图下执行undo radius-attribute disable命令。

使用实例

# 查看设备当前禁用的RADIUS属性。

<HUAWEI> display radius-attribute disable
Packet-Type: Type of the RADIUS packets to be modified. 1 indicates valid; 0 ind
icates invalid. Bit 1 to bit 4 indicate the authentication request, authenticati
on accept, accounting request, and accounting response packets.                 
                                                                                
Server-template-name: d                                                         
--------------------------------------------------------------------------------
Source-Vendor-ID Source-Sub-ID Dest-Vendor-ID Dest-Sub-ID  Direct    Packet-Type
--------------------------------------------------------------------------------
0                7             0              0            send       0 0 0 0   
--------------------------------------------------------------------------------
表13-26  display radius-attribute disable命令显示信息说明

项目

描述

Server-template-name

认证服务器模板名称。

Source-Vendor-ID

源属性的厂商ID。

Source-Sub-ID

源属性的子属性编号。

Dest-Vendor-ID

目的属性的厂商ID。

Dest-Sub-ID

目的属性的子属性编号。

Direct

属性转换方向:
  • receive:对设备接收的报文进行RADIUS属性转换。
  • send:对设备发送的报文进行RADIUS属性转换。

Packet-Type

需要进行转换的RADIUS报文类型:
  • 0:对该类型报文不进行RADIUS属性转换。
  • 1:对该类型报文进行RADIUS属性转换。

display radius-attribute translate

命令功能

display radius-attribute translate命令用来查看RADIUS属性转换的配置信息。

命令格式

display radius-attribute [ template template-name ] translate

参数说明

参数

参数说明

取值

template template-name

显示指定RADIUS服务器模板的RADIUS属性转换的配置信息。template-name是通过radius-server template命令创建的RADIUS服务器模板。

若不指定该参数,则显示所有RADIUS属性转换的配置信息。

必须是已存在的RADIUS服务器模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

执行命令radius-attribute translate配置RADIUS属性转换后,执行命令display radius-attribute translate检查配置是否正确。

使用实例

# 查看RADIUS属性转换的配置信息。

<HUAWEI> display radius-attribute translate
Packet-Type: Type of the RADIUS packets to be modified. 1 indicates valid; 0 indicates invalid. Bit 1 to bit 4 indicate the authentication request, authentication accept, accounting request, and accounting response packets.   

Server-template-name: rds                                                       
--------------------------------------------------------------------------------
Source-Vendor-ID Source-Sub-ID Dest-Vendor-ID Dest-Sub-ID  Direct    Packet-Type
--------------------------------------------------------------------------------
0                6             0              40           receive    0 0 0 0   
--------------------------------------------------------------------------------
Server-template-name: eee                                                       
--------------------------------------------------------------------------------
Source-Vendor-ID Source-Sub-ID Dest-Vendor-ID Dest-Sub-ID  Direct    Packet-Type
--------------------------------------------------------------------------------
234567           123           2011           20           --         0 1 0 1   
--------------------------------------------------------------------------------
表13-27  display radius-attribute translate命令显示信息说明

项目

描述

Server-template-name

认证服务器模板名称。

Source-Vendor-ID

源属性的厂商ID。

Source-Sub-ID

源属性的子属性编号。

Dest-Vendor-ID

目的属性的厂商ID。

Dest-Sub-ID

目的属性的子属性编号。

Direct

属性转换方向:
  • receive:对设备接收的报文进行RADIUS属性转换。
  • send:对设备发送的报文进行RADIUS属性转换。

Packet-Type

需要进行转换的RADIUS报文类型:
  • 0:对该类型报文不进行RADIUS属性转换。
  • 1:对该类型报文进行RADIUS属性转换。

display radius-server accounting-stop-packet

命令功能

display radius-server accounting-stop-packet命令用来查看RADIUS服务器的计费停止报文信息。

命令格式

display radius-server accounting-stop-packet { all | ip { ip-address | ipv6-address } }

参数说明

参数

参数说明

取值

all

查看所有计费停止报文。

-

ip ip-address

查看包含指定IP地址的计费停止报文。

ip-address为点分十进制形式。

ip ipv6-address

查看包含指定IPv6地址的计费停止报文。

32位16进制数,格式为X:X:X:X:X:X:X:X。

视图

所有视图

缺省级别

3:管理级

使用指南

在查看配置信息或进行RADIUS故障处理的时候,可以使用本命令来查看RADIUS服务器的计费停止报文情况。

使用实例

# 查看包含IP地址为10.138.104.32的计费停止报文。

<HUAWEI> display radius-server accounting-stop-packet ip 10.138.104.32
 ------------------------------------------------------------------------------ 
 Time Stamp  Resend Times  Session Time  Username                               
 ------------------------------------------------------------------------------ 
 1980409     6             22            g@rds                                  
 ------------------------------------------------------------------------------ 
 Total: 1, printed: 1
表13-28  display radius-server accounting-stop-packet显示信息说明

项目

描述

Time Stamp

计费结束报文加入缓冲队列的时间。

Resend Times

计费结束报文已重传次数。

Session Time

会话时间,单位为秒。

Username

用户名称。

display radius-server authorization configuration

命令功能

display radius-server authorization configuration命令用来查看RADIUS授权服务器的配置信息。

命令格式

display radius-server authorization configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

通过本命令查看RADIUS授权服务器的配置是否正确。

使用实例

# 查看RADIUS授权服务器的配置信息。

<HUAWEI> display radius-server authorization configuration
 ------------------------------------------------------------------------------
 Attribute decode same as template    :  N
 Attribute encode same as template    :  Y
 User information match type          :  all
 Calling-station-id decode MAC-format :  xx-xx-xx-xx-xx-xx
 Port                                 :  3799
 Bounce port disable                  :  Y                                      
 Down port disable                    :  N 
 ------------------------------------------------------------------------------
 ------------------------------------------------------------------------------
 IP-Address      Shared-key               Group                         Protect
 ------------------------------------------------------------------------------
 10.10.1.114     ****************         -                                  Y
 vpn-instance : -
 ------------------------------------------------------------------------------
 1 RADIUS authorization server(s) in total
表13-29  display radius-server authorization configuration命令输出信息描述

项目

描述

Attribute decode same as template

设备是否根据RADIUS服务器模板下的配置解析RADIUS动态授权报文中的属性。

通过radius-server authorization attribute-decode-sameastemplate命令配置。

Attribute encode same as template

设备是否根据RADIUS服务器模板下的配置封装CoA回应报文或DM回应报文中的属性。

通过radius-server authorization attribute-encode-sameastemplate命令配置。

User information match type

设备对收到的CoA请求报文或DM请求报文中的RADIUS属性与设备上的用户信息进行匹配检查的方式,包括:
  • all:所有的属性与设备上的用户信息进行匹配检查。
  • any:其中一个属性与设备上的用户信息进行匹配检查。

通过radius-server authorization match-type命令配置。

Calling-station-id decode MAC-format

全局下配置的设备对CoA回应报文或DM回应报文里Calling-Station-Id属性字段的MAC地址解析格式。

通过radius-server authorization calling-station-id decode-mac-format命令配置。

Port

RADIUS授权服务器的端口号。

通过radius-server authorization port命令配置。

Bounce port disable

端口闪断是否关闭。

通过radius-server authorization hw-ext-specific command bounce-port disable命令配置。

Down port disable

端口Down功能是否关闭。

通过radius-server authorization hw-ext-specific command down-port disable命令配置。

IP-Address

RADIUS授权服务器的IP地址。

通过radius-server authorization命令配置。

Shared-key

RADIUS授权服务器的共享密钥。

通过radius-server authorization命令配置。

Group

RADIUS授权服务器对应的RADIUS服务器模板。

通过radius-server authorization命令配置。

Protect

是否使能安全增强功能。

通过radius-server authorization命令配置。

vpn-instance

绑定的VPN实例。

通过radius-server authorization命令配置。

display radius-server configuration

命令功能

display radius-server configuration命令用来查看RADIUS服务器模板的配置信息。

命令格式

display radius-server configuration [ template template-name ]

参数说明

参数

参数说明

取值

template template-name

指定RADIUS服务器模板的名称。

如果不指定此参数则显示所有RADIUS服务器模板的配置信息。

必须是已存在的RADIUS服务器模板名称。

视图

所有视图

缺省级别

1:监控级

使用指南

RADIUS服务器模板配置完成后或进行RADIUS故障处理的时候,可以执行该命令查看RADIUS服务器模板的配置是否正确。

使用实例

# 查看名称为shiva的RADIUS服务器模板的配置信息。

<HUAWEI> display radius-server configuration template shiva
  ------------------------------------------------------------------------------
  Server-template-name          :  shiva
  Protocol-version              :  standard
  Traffic-unit                  :  B
  Shared-secret-key             :  %^%#O09i(W[^YT4g#Z37Nct9$IK#TH(-B6-1|<;q|D)"%^%#
  Group-filter                  :  class
  Timeout-interval(in second)   :  5
  Retransmission                :  2
  EndPacketSendTime             :  0
  Dead time(in minute)          :  5
  Domain-included               :  YES
  NAS-IP-Address                :  -
  Calling-station-id MAC-format :  xxxx-xxxx-xxxx
  Called-station-id MAC-format  :  XX.XX.XX.XX.XX.XX
  NAS-Port-ID format            :  New 
  Service-type                  :  - 
  WLAN Called-station-id format :  ap-mac:ssid
  NAS-IPv6-Address              :  ::
  Server algorithm              :  master-backup 
  Detect-interval(in second)    :  60 
  Detect up-server(in second)   :  0
  Detect timeout(in second)     :  3
  Testuser-username             :  huawei
  Testuser-ciperpwd             :  %^%#.5*EDl^j_WXg[#Z>plj8;k|8.s*ju<_F~g9k`0*9%^%#
  Chargeable-user-identity      :  Not Support
  CUI Not reject                :  No
  Authentication Server 1       :  10.7.66.66     Port:1812  Weight:80  [up]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  Authentication Server 2       :  10.7.66.67     Port:1812  Weight:80  [up]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  Accounting Server     1       :  10.7.66.66     Port:1813  Weight:80  [up]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  Accounting Server     2       :  10.7.66.67     Port:1813  Weight:80  [up]
                                   Vrf:- LoopBack:NULL Vlanif:NULL
                                   Source IP: ::
  ------------------------------------------------------------------------------ 
表13-30  display radius-server configuration template template-name命令显示信息说明

项目

描述

Server-template-name

RADIUS服务器模板的名称。通过radius-server template命令配置。

Protocol-version

RADIUS协议的版本:
  • standard
  • huawei
  • iphotel
  • portal

Traffic-unit

RADIUS服务器模板的流量单位:

  • B:字节
  • KB:千字节
  • MB:兆(Mega)字节
  • GB:吉(Giga)字节

通过radius-server traffic-unit命令配置。

Shared-secret-key

RADIUS服务器模板的共享密钥。通过radius-server shared-key配置。

Group-filter

用户组过滤字段,目前仅支持使用class字段作为组过滤字段。

Timeout-interval(in second)

RADIUS应答超时时间。通过radius-server retransmit timeout dead-time命令配置。

Retransmission

RADIUS重传次数。通过radius-server retransmit timeout dead-time命令配置。

EndPacketSendTime

RADIUS计费停止报文重传次数。通过radius-server accounting-stop-packet resend命令配置。

Dead time(in minute)

RADIUS主用服务器恢复激活状态的时间。通过radius-server retransmit timeout dead-time命令配置。

Domain-included

RADIUS用户名格式,指定用户名是否包含域名。

  • YES:表示用户名包含域名。
  • NO:表示用户名不包含域名。
  • Original:用户原始输入的用户名,设备不对其进行修改。

通过radius-server user-name domain-included命令配置。

NAS-IP-Address

RADIUS报文中NAS-IP-Address属性值。

Calling-station-id MAC-format

RADIUS报文calling-station-id属性MAC地址的封装格式。

Called-station-id MAC-format

RADIUS报文called-station-id属性MAC地址的封装格式。通过called-station-id mac-format命令配置。

NAS-Port-ID format

RADIUS服务器NAS端口ID的形式。

  • New:指定采用新的NAS端口ID形式。
  • New client-option82:指定NAS端口ID是Option82选项中的Circuit ID子选项的内容,形式与子选项格式保持一致。
  • Old:指定采用旧的NAS端口ID形式。
  • vendor 9:指定采用CISCO厂商的NAS端口ID形式。

通过radius-server nas-port-id-format命令配置。

Service-type

服务类型。

WLAN Called-station-id format

RADIUS报文中called-station-id (30)属性封装的内容。

通过called-station-id wlan-user-format命令配置。

NAS-IPv6-Address

RADIUS报文中NAS-IPv6-Address属性值。

Server algorithm

RADIUS服务器的运算法则。

  • master-backup:表示RADIUS服务器的运算法则为基于报文的主备运算法则。
  • master-backup based-user:表示RADIUS服务器的运算法则为基于单个用户的主备运算法则。
  • loading-share:表示RADIUS服务器的运算法则为基于报文的负载均衡运算法则。
  • loading-share based-user:表示RADIUS服务器的运算法则为基于单个用户的负载均衡运算法则。

通过radius-server algorithm命令配置。

Detect-interval(in second)

对Down状态的RADIUS服务器的自动探测周期。通过radius-server detect-server命令配置。

Detect up-server(in second) 对Up状态的RADIUS服务器的自动探测周期。通过radius-server detect-server up-server interval命令配置。
Detect timeout(in second) RADIUS服务器自动探测报文的超时等待时间。通过radius-server detect-server timeout命令配置。
Chargeable-user-identity

设备是否支持CUI属性。取值包括:

  • Not Support:设备不支持CUI属性。
  • Support:设备支持CUI属性。

通过radius-server support chargeable-user-identity命令配置。

CUI Not reject

设备是否不处理CUI属性。取值包括:

  • No:设备处理CUI属性。
  • Yes:设备不处理CUI属性。

通过radius-server support chargeable-user-identity命令配置。

Testuser-username RADIUS服务器自动探测用户名。通过radius-server testuser命令配置。
Testuser-ciperpwd RADIUS服务器自动探测用户密码。通过radius-server testuser命令配置。

Authentication Server 1

RADIUS主用认证服务器的IP地址、端口号、权重值、状态、VPN实例、源接口以及源IP地址。通过radius-server authentication命令配置。

Authentication Server 2

RADIUS备用认证服务器的IP地址、端口号、权重值、状态、VPN实例、源接口以及源IP地址。通过radius-server authentication命令配置。

Accounting Server 1

RADIUS主用计费服务器的IP地址、端口号、权重值、状态、VPN实例、源接口以及源IP地址。通过radius-server accounting命令配置。

Accounting Server 2

RADIUS备用计费服务器的IP地址、端口号、权重值、状态、VPN实例、源接口以及源IP地址。通过radius-server accounting命令配置。

display radius-server dead-interval dead-count detect-cycle

命令功能

display radius-server dead-interval dead-count detect-cycle命令用来查看RADIUS服务器的检测周期、每个检测周期连续无响应的最大次数和检测周期循环次数的配置信息。

命令格式

display radius-server { dead-interval | dead-count | detect-cycle }

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

通过命令radius-server dead-interval dead-count detect-cycle完成RADIUS服务器的检测周期、每个检测周期连续无响应的最大次数和检测周期循环次数的配置后,可以执行命令display radius-server { dead-interval | dead-count | detect-cycle }查看RADIUS服务器的检测周期、每个检测周期连续无响应的最大次数和检测周期循环次数的配置信息。

使用实例

# 查看RADIUS服务器检测周期的配置信息。

<HUAWEI> display radius-server dead-interval
Radius server state detected internal is 5.

# 查看每个检测周期RADIUS服务器连续无响应最大次数的配置信息。

<HUAWEI> display radius-server dead-count
Radius server state detected count is 2. 
# 查看RADIUS服务器检测周期循环次数的配置信息。
<HUAWEI> display radius-server detect-cycle
Radius server down detect cycle is 2. 
表13-31  display radius-server { dead-interval | dead-count | detect-cycle }命令显示信息说明

项目

描述

Radius server state detected internal is

当前RADIUS服务器的检测周期。

Radius server state detected count is

当前RADIUS服务器的连续无响应最大次数。

Radius server down detect cycle is 当前RADIUS服务器检测周期的循环次数。

display radius-server item

命令功能

display radius-server item命令用来查看RADIUS Server的配置信息。

命令格式

display radius-server item { ip-address { ipv4-address | ipv6-address } { accounting | authentication } | template template-name }

参数说明

参数

参数说明

取值

ip-address { ipv4-address | ipv6-address }

RADIUS Server的IP地址。

ipv4-address:点分十进制形式。

ipv6-address:32位16进制形式。

accounting

RADIUS Server类型为计费服务器。

-

authentication

RADIUS Server类型为认证服务器。

-

template template-name

RADIUS Server的RADIUS模板名称。

必须是已存在的RADIUS模板名称。

视图

所有视图

缺省级别

3:管理级

使用指南

该命令用于查看RADIUS Server的配置信息。

使用实例

# 查看RADIUS Server的rds模板的配置信息。

<HUAWEI> display radius-server item template rds
 ------------------------------------------------------------------------------ 
  STState    = STState-up 
  STChgTime  = -
  Type       = auth-server                                                      
  State      = state-up                                                         
  AlarmFlag  = false                                                            
  STUseNum   = 1 
  IPAddress  = 192.168.30.1 
  AlarmTimer = 0xffffffff 
  Head       = 1057 
  Tail       = 1311
  ProbeID    = 255
  Type       = acct-server 
  State      = state-up 
  AlarmFlag  = false 
  STUseNum   = 1                                                                
  IPAddress  = 192.168.30.1                                                     
  AlarmTimer = 0xffffffff                                                       
  Head       = 1057                                                             
  Tail       = 1311                                                             
  ProbeID    = 255                                                              
 ------------------------------------------------------------------------------ 
表13-32  display radius-server item命令输出信息描述

项目

描述

STState RADIUS服务器模板状态:
  • STState-up:UP状态。
  • STState-down:DOWN状态。
STChgTime RADIUS服务器模板状态变化的时间。

Type

RADIUS服务器的类型:
  • auth-server:认证服务器。
  • acct-server:计费服务器。

State

RADIUS服务器的状态:
  • state-up:UP状态。
  • state-down:DOWN状态。
  • state-probe:探测状态。

AlarmFlag

告警标志:

  • true:已经发送过状态变化告警。
  • false:未发送过状态变化告警。

STUseNum

绑定的RADIUS服务器模板编号。

IPAddress

RADIUS服务器的IP地址。

AlarmTimer

告警定时器ID。

Head

分配RADIUS报文ID的头指针。

Tail

分配RADIUS报文ID的尾指针。

ProbeID

探测报文ID。

display radius-server max-unresponsive-interval

命令功能

display radius-server max-unresponsive-interval命令用来查看RADIUS服务器无响应的最大时间间隔的配置信息。

命令格式

display radius-server max-unresponsive-interval

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

通过命令radius-server max-unresponsive-interval完成RADIUS服务器无响应的最大时间间隔的配置后,可以执行命令display radius-server max-unresponsive-interval查看RADIUS服务器无响应的最大时间间隔的配置信息。

使用实例

# 查看RADIUS服务器无响应的最大时间间隔的配置信息。

<HUAWEI> display radius-server max-unresponsive-interval
Radius server max non-response interval(in seconds) is 400.
表13-33  display radius-server max-unresponsive-interval命令显示信息说明

项目

描述

Radius server max non-response interval(in seconds) is

当前RADIUS服务器无响应的最大时间间隔。

display radius-server session-manage configuration

命令功能

display radius-server session-manage configuration命令用来查看RADIUS服务器会话管理功能的配置信息。

命令格式

display radius-server session-manage configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用命令radius-server session-manage使能RADIUS服务器会话管理功能后,可以通过本命令查看RADIUS会话管理服务器的配置信息是否正确。

使用实例

# 查看RADIUS服务器会话管理功能的配置信息。

<HUAWEI> display radius-server session-manage configuration
 ------------------------------------------------------------------------------ 
 Session Manage Enable : True    Session Manage AnyServer : False               
 ------------------------------------------------------------------------------ 
 IP Address      VPN Instance                     Shared-key                    
 ------------------------------------------------------------------------------ 
 10.1.1.1        -                                ****************              
 ------------------------------------------------------------------------------ 
 1 Radius session manage server(s) in total                                     
表13-34  display radius-server session-manage configuration命令显示信息说明

项目

描述

Session Manage Enable

会话管理功能是否使能:
  • True:已使能。
  • False:未使能。

该参数可以通过命令radius-server session-manage配置。

Session Manage AnyServer

是否配置了任意RADIUS会话管理服务器:
  • True:已配置。
  • False:未配置。

IP Address

RADIUS会话管理服务器的IP地址。

VPN Instance

RADIUS会话管理服务器绑定的VPN实例名称。

Shared-key

RADIUS会话管理服务器的共享密钥。

Radius session manage server(s) in total

RADIUS会话管理服务器的个数。

display snmp-agent trap feature-name radius all

命令功能

display snmp-agent trap feature-name radius all命令用来查看RDS模块的所有告警开关的信息。

命令格式

display snmp-agent trap feature-name radius all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

在打开RDS模块的告警开关后,执行该命令可以查看RDS模块所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name radius命令打开RDS模块告警开关。

前置条件

已经使能网元的SNMP功能。

使用实例

# 查看RDS模块的所有告警开关信息。

<HUAWEI>display snmp-agent trap feature-name radius all
------------------------------------------------------------------------------                                                      
Feature name: radius                                                                                                                
Trap number : 4                                                                                                                     
------------------------------------------------------------------------------                                                      
Trap name                       Default switch status   Current switch status                                                       
hwRadiusAuthServerUp            off                     off                                                                         
hwRadiusAuthServerDown          off                     off                                                                         
hwRadiusAcctServerUp            off                     off                                                                         
hwRadiusAcctServerDown          off                     off
表13-35  display snmp-agent trap feature-name radius all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,RDS模块的告警包括:

  • hwRadiusAuthServerUp:当设备探测到RADIUS认证服务器通讯恢复时发送华为私有Trap消息。

  • hwRadiusAuthServerDown:当设备探测到RADIUS认证服务器通讯中断时发送华为私有Trap消息。

  • hwRadiusAcctServerUp:当设备探测到RADIUS计费服务器通讯恢复时发送华为私有Trap消息。

  • hwRadiusAcctServerDown:当设备探测到RADIUS计费服务器通讯中断时发送华为私有Trap消息。

Default switch status

告警开关缺省状态:
  • on:表示缺省情况下告警处于打开状态。

  • off:表示缺省情况下告警处于关闭状态。

Current switch status

告警的状态:

  • on:表示告警处于打开状态。

  • off:表示告警处于关闭状态。

radius-attribute check

命令功能

radius-attribute check命令用来对接收的RADIUS认证成功报文内的指定属性进行检查。

undo radius-attribute check命令用来取消设备对接收的RADIUS认证成功报文内的指定属性进行检查。

缺省情况下,不对接收的RADIUS认证成功报文内的指定属性进行检查。

命令格式

radius-attribute check attribute-name

undo radius-attribute check [ attribute-name ]

参数说明

参数

参数说明

取值

attribute-name

RADIUS属性名称。指定该参数则根据属性名称进行检查。

字符串形式,长度范围是1~64,可自动匹配属性字典中的属性名进行联想。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

通过执行该命令,设备检查接收的RADIUS Access-Accept(认证成功)报文中是否携带该属性,携带有该属性则按认证成功处理,未携带则按认证失败处理,丢弃该报文。例如:radius-attribute check filter-id表示RADIUS服务器Access-Accept报文中必须携带Filter-id字段,否则按认证失败处理。

注意事项

  • 执行undo命令时,选择参数表示取消对RADIUS认证成功报文内的指定属性的检查,不选择参数表示对RADIUS认证成功报文内所有属性都不做检查。
  • RADIUS属性名称可以通过执行命令display radius-attribute来查看。

使用实例

# 检查RADIUS下发给设备的Access-Accept报文是否携带framed-protocol属性。

<HUAWEI> system-view
[HUAWEI] radius-server template test1
[HUAWEI-radius-test1] radius-attribute check framed-protocol

radius-attribute disable

命令功能

radius-attribute disable命令用来禁用RADIUS属性。

undo radius-attribute disable命令用来删除禁用RADIUS属性的配置。

缺省情况下,所有RADIUS属性均未被禁用。

命令格式

radius-attribute disable attribute-name { receive | send } *

undo radius-attribute disable [ attribute-name ]

参数说明

参数

参数说明

取值

attribute-name

指定RADIUS属性名称。

字符串形式,长度为1~64,可自动匹配属性字典中的属性名进行联想。

receive

禁用接收报文中的RADIUS属性。

-

send

禁用发送报文中的RADIUS属性。

-

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

通常情况下,一个RADIUS服务器会同时与多台网络设备对接,这些网络设备可能是同一个厂商的,也可能是不同厂商的。有些厂商的设备可能需要RADIUS服务器下发某个属性以支持特定的特性,但另外的厂商设备可能不支持这个属性,会造成解析失败。

另一方面,设备可能会与不同厂商的RADIUS服务器对接,有些RADIUS服务器希望设备发送某些属性,而另外一些RADIUS服务器不能处理该属性,收到该属性后可能会造成处理错误。

设备提供RADIUS属性禁用功能,可配置设备在接收RADIUS报文时忽略解析某些不兼容属性,以免造成解析失败;也可配置设备在发送RADIUS报文时禁止发送某些属性,设备发送报文时就不会封装这些禁用的属性。

前提条件

执行本命令之前,需确保已使用命令radius-server attribute translate使能设备的RADIUS属性转换功能。

注意事项

在禁用某些RADIUS属性前,可以执行display radius-attribute查看设备支持的RADIUS属性。

使用实例

# 禁用发送的报文中的Frame-Route属性。

<HUAWEI> system-view
[HUAWEI] radius-server template test1
[HUAWEI-radius-test1] radius-server attribute translate
[HUAWEI-radius-test1] radius-attribute disable framed-route send

radius-attribute nas-ip

命令功能

radius-attribute nas-ip命令用来配置NAS发送RADIUS报文使用的NAS-IP-Address属性。

undo radius-attribute nas-ip命令用来删除配置的NAS-IP-Address属性。

缺省情况下,使用NAS的源IP作为NAS-IP-Address属性的值。

命令格式

radius-attribute nas-ip { ip-address | ap-info }

undo radius-attribute nas-ip [ ap-info ]

参数说明

参数

参数说明

取值

ip-address

指定设备发送RADIUS报文使用的NAS-IP-Address属性值。无线场景下,当设备作为AC时,表示指定设备发送RADIUS报文使用的NAS-IP-Address属性值是AC的IP地址。

点分十进制格式,必须是合法的单播地址。

ap-info

无线场景下,当设备作为AC时,表示指定设备发送RADIUS报文使用的NAS-IP-Address属性值是AP的IP地址。

-

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

RADIUS服务器通过不同的IP地址来标识不同的NAS,NAS通过发送的RADIUS报文的NAS-IP-Address属性值来唯一的标识自己。RADIUS支持在RADIUS模板下执行radius-attribute nas-ip命令,配置RADIUS报文的NAS-IP-Address属性。

无线场景下,设备作为AC,当设备对接的RADIUS服务器要求NAS-IP-Address属性值为AP的IP地址时,需要通过命令radius-attribute nas-ip ap-info配置。

前置条件

执行radius-attribute nas-ip命令前,需要保证RADIUS服务器模板已经创建。创建RADIUS服务器模板的命令是radius-server template

注意事项

如果IP地址不合法,则不允许配置并输出提示信息。

使用实例

# 配置RADIUS报文的NAS-IP-Address属性值。

<HUAWEI> system-view
[HUAWEI] radius-server template temp1
[HUAWEI-radius-temp1] radius-attribute nas-ip 10.3.3.3

radius-attribute nas-ipv6

命令功能

radius-attribute nas-ipv6命令用来配置NAS发送RADIUS报文使用的NAS-IPv6-Address属性。

undo radius-attribute nas-ipv6命令用来删除配置的NAS-IPv6-Address属性。

缺省情况下,未配置NAS-IPv6-Address属性。

命令格式

radius-attribute nas-ipv6 ipv6-address

undo radius-attribute nas-ipv6

参数说明

参数

参数说明

取值

ipv6-address

RADIUS报文的NAS-IPv6-Address属性。

32位16进制数,格式为X:X:X:X:X:X:X:X。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

RADIUS服务器通过不同的IP地址来标识不同的NAS,RADIUS支持在RADIUS模板下执行radius-attribute nas-ipv6命令,配置RADIUS报文的NAS-IPv6-Address属性。

前置条件

执行radius-attribute nas-ipv6命令前,需要保证RADIUS服务器模板已经创建。创建RADIUS服务器模板的命令是radius-server template

注意事项

如果IP地址不合法,则不允许配置并输出提示信息。

使用实例

# 配置RADIUS报文的NAS-IPv6-Address属性值。

<HUAWEI> system-view
[HUAWEI] radius-server template temp1
[HUAWEI-radius-temp1] radius-attribute nas-ipv6 FC00::7

radius-attribute service-type with-authenonly-reauthen

命令功能

radius-attribute service-type with-authenonly-reauthen命令用来配置重认证方式为只重认证不重授权。

undo radius-attribute service-type with-authenonly-reauthen命令用来恢复重认证方式为重认证和重授权。

缺省情况下,重认证方式为重认证和重授权。

命令格式

radius-attribute service-type with-authenonly-reauthen

undo radius-attribute service-type with-authenonly-reauthen

参数说明

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

用户需要重认证时,认证成功后,设备会同时给所有在线用户下发授权信息。如果设备上存在大量在线用户且配置大量授权信息,设备便不能及时下发这些授权信息,导致用户授权失败而下线。在RADIUS服务器模板视图下,执行命令radius-attribute service-type with-authenonly-reauthen后,重认证时设备只对用户重新认证,不重新下发授权信息,避免用户授权失败而下线。

注意事项

配置命令radius-attribute service-type with-authenonly-reauthen后,即使用户授权信息发生改变,用户重认证成功后还是使用原来的授权信息。

当RADIUS服务器的Service-Type属性为Authenticate Only时,该功能才可以生效。

使用实例

# 配置重认证方式为只重认证不重授权。

<HUAWEI> system-view
[HUAWEI] radius-server template test
[HUAWEI-radius-test] radius-attribute service-type with-authenonly-reauthen

radius-attribute set

命令功能

radius-attribute set命令用来更改RADIUS属性的属性值。

undo radius-attribute set命令用来恢复RADIUS属性为缺省值。

缺省情况下,RADIUS属性的属性值不会被修改。

命令格式

radius-attribute set attribute-name attribute-value [ auth-type mac | user-type ipsession ]

undo radius-attribute set attribute-name

参数说明

参数

参数说明

取值

attribute-name

指定需要更改属性值的属性名称。

字符串形式,长度为1~64,可自动匹配属性字典中的属性名进行联想。

attribute-value

指定更改属性的属性值。

attribute-value以设备显示为准。

auth-type mac

指定用户认证类型为MAC认证。仅RADIUS属性Service-Type支持配置该参数。

-
user-type ipsession

指定用户类型为IP Session用户。仅RADIUS属性Service-Type支持配置该参数。

-

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

目前,不同厂商的RADIUS服务器支持的同一属性的属性值可能有所不同。为了实现与不同的RADIUS服务器对接,设备支持通过命令radius-attribute set更改RADIUS属性的属性值。

假设设备缺省认为含有RADIUS属性Service-Type值为2的认证请求为普通用户的认证请求,但其他厂商的RADIUS服务器认为接收到含有属性Service-Type值为1的认证请求才是普通用户的认证请求。此时可以通过命令radius-attribute set service-type 1更改设备的Service-Type属性值,以确保设备与RADIUS服务器成功对接。

注意事项

  • 只有支持从设备发往RADIUS服务器的认证或计费请求报文中包含的属性能够通过命令radius-attribute set进行设置,仅支持从RADIUS服务器发往设备的属性不能通过该命令进行设置。

    通过命令display radius-attribute查询设备支持的RADIUS属性时,输出信息中参数Auth ReqAcct Req显示为1的表示支持从设备发往RADIUS服务器的属性。

    在支持从设备发往RADIUS服务器的属性中,还有以下属性不能通过该命令进行设置:User-Password、Agent-Circuit-Id、Agent-Remote-Id、NAS-IP-Address、NAS-IPv6-Address、CHAP-Password、CHAP-Challenge、EAP-Message、Framed-Interface-Id、Framed-IPv6-Prefix和Message-Authenticator。

  • 通过radius-attribute set命令设置的属性值必须与原先属性值的类型一致。

  • 命令radius-attribute set service-type attribute-value { auth-type mac | user-type ipsession }的配置优先级高于命令radius-attribute set service-type attribute-value

  • 对于属性HW-Output-Committed-Information-Rate,取值修改为0时表示发送的报文中不携带该属性。

使用实例

# 创建模板temp1,并将属性Service-Type的属性值修改为1。

<HUAWEI> system-view
[HUAWEI] radius-server template temp1
[HUAWEI-radius-temp1] radius-attribute set service-type 1

radius-attribute translate

命令功能

radius-attribute translate命令用来配置RADIUS属性转换功能。

undo radius-attribute translate命令用来取消RADIUS属性转换功能。

缺省情况下,没有转换任何RADIUS属性。

命令格式

radius-attribute translate src-attribute-name dest-attribute-name { receive | send | access-accept | access-request | account-request | account-response } *

radius-attribute translate extend vendor-specific src-vendor-id src-sub-id dest-attribute-name { access-accept | account-response } *

radius-attribute translate extend src-attribute-name vendor-specific dest-vendor-id dest-sub-id { access-request | account-request } *

undo radius-attribute translate [ src-attribute-name ]

undo radius-attribute translate extend src-attribute-name

undo radius-attribute translate extend vendor-specific src-vendor-id src-sub-id

参数说明

参数

参数说明

取值

src-attribute-name

指定转换的源属性名称。

字符串形式,长度为1~64,可自动匹配属性字典中的属性名进行联想。

dest-attribute-name

指定转换的目的属性名称。

字符串形式,长度为1~64,可自动匹配属性字典中的属性名进行联想。

receive

指定对接收的报文进行RADIUS属性转换。

-

send

指定对发送的报文进行RADIUS属性转换。

-

access-request

指定对认证请求报文进行RADIUS属性转换。

-

account-request

指定对计费请求报文进行RADIUS属性转换。

-

access-accept

指定对认证接受报文进行RADIUS属性转换。

-

account-response

指定对计费响应报文进行RADIUS属性转换。

-

extend

指定对RADIUS扩展属性进行转换。

-

vendor-specific src-vendor-id src-sub-id
指定转换的源扩展属性。
  • src-vendor-id表示需要进行转换的RADIUS扩展属性的厂商ID。
  • src-sub-id表示需要进行转换的RADIUS属性的子属性编号。
  • src-vendor-id是整数形式,取值范围是1~4294967295。
  • src-sub-id是整数形式,取值范围是1~255。
vendor-specific dest-vendor-id dest-sub-id
指定转换的目的扩展属性。
  • dest-vendor-id表示转换后的RADIUS扩展属性的厂商ID。
  • dest-sub-id表示转换后的RADIUS扩展属性的子属性编号。
  • dest-vendor-id是整数形式,取值范围是1~4294967295。

  • dest-sub-id是整数形式,取值范围是1~255。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

目前,不同厂家的RADIUS服务器所支持的属性集不一样,而且可能对某些属性的定义不一样。设备提供RADIUS属性转换功能来解决上述问题。启动了RADIUS属性转换功能后,设备在发送和接收RADIUS报文时,可以对属性进行转换,以便于和不同的RADIUS服务器进行对接。

RADIUS属性转换功能经常用于以下两种情况:

  • 同一属性不同格式间实施属性转换

    这是最常见的一种应用方式。其作用主要是为了兼容不同用户对某一RADIUS属性的不同格式要求。

  • 不同属性间实施属性转换

    这种属性转换方式主要是为了兼容不同厂商RADIUS属性实现的不同。

    例如,设备通过私有属性Exec-Privilege (26-29)下发管理员用户的优先级,但其他某个厂商设备通过属性Login-service(15)下发管理员用户的优先级。在公用一台RADIUS服务器的情况下,用户希望设备也能通过Login-service(15)下发管理员用户优先级。这种情况在设备上配置RADIUS属性转换,源属性为Login-service(15),目的属性为Exec-Privilege (26-29),当设备收到RADIUS认证回应报文解析到属性Login-service时,会自动当成Exec-Privilege属性来处理。

前置条件

只有使用了radius-server attribute translate命令启动RADIUS属性转换功能后,radius-attribute translate命令才能生效。

在配置RADIUS属性转换功能前,可以执行display radius-attribute查看设备支持的RADIUS属性。

注意事项

  • 对于发送方向,如果把属性A转换成属性B,那么设备在发送报文时,封装的属性类型是B,但属性内容是按照属性A的内容与格式封装的。

  • 对于接收方向,如果把属性A转换成属性B,那么设备在收到包含属性A的报文时,会把它按照属性B来解析,即配置了属性转换后,相当于收到的不是属性A,而是属性B。

  • 三种RADIUS属性转换方式的使用范围如下:
    • 如果只是在设备默认已支持的RADIUS属性之间进行转换,可以通过命令radius-attribute translate配置。
    • 如果需要将其他厂家的设备默认不支持的属性转换为设备支持的属性,需要通过命令radius-attribute translate extend vendor-specific配置。
    • 如果需要将设备支持的属性转换为其他厂家的设备默认不支持的属性,需要通过命令radius-attribute translate extend配置。
  • RADIUS属性由Type、Length、Value三元组组成。其他厂家RADIUS属性(src-sub-iddest-sub-id)的Type字段长度为1个字节时,设备才支持对其进行转换。
  • 源RADIUS属性和目的RADIUS属性的类型一致时,设备才支持对其进行转换。例如:RADIUS属性NAS-Identifier和NAS-Port-Id的类型都是string,两者支持转换;RADIUS属性NAS-Identifier和NAS-Port的类型分别是string和integer,两者不支持转换。

使用实例

# 将NAS-Identifier属性在发送报文中转换为NAS-Port-Id属性。

<HUAWEI> system-view
[HUAWEI] radius-server template temp1
[HUAWEI-radius-temp1] radius-server attribute translate
[HUAWEI-radius-temp1] radius-attribute translate nas-identifier nas-port-id send

# 将认证接受和计费响应报文中的思科(厂商ID为9)的2号属性转换为华为155号扩展属性HW-URL-Flag。

<HUAWEI> system-view
[HUAWEI] radius-server template temp1
[HUAWEI-radius-temp1] radius-server attribute translate
[HUAWEI-radius-temp1] radius-attribute translate extend Vendor-Specific 9 2 HW-URL-Flag access-accept account-response

# 将认证请求和计费请求报文中的华为153号扩展属性HW-Access-Type转换为思科的11号属性。

<HUAWEI> system-view
[HUAWEI] radius-server template temp1
[HUAWEI-radius-temp1] radius-server attribute translate
[HUAWEI-radius-temp1] radius-attribute translate extend HW-Access-Type vendor-specific 9 11 access-request account-request

radius-reject local

命令功能

radius-reject local命令用来配置管理员用户在RADIUS认证拒绝后转入本地认证。

undo radius-reject local命令取消管理员用户在RADIUS认证拒绝后转入本地认证的配置。

缺省情况下,未配置管理员用户在RADIUS认证拒绝后转入本地认证。

命令格式

radius-reject local

undo radius-reject local

参数说明

视图

认证方案视图

缺省级别

3:管理级

使用指南

应用场景

缺省情况下,在RADIUS认证拒绝后(即RADIUS服务器回应Access-Reject报文),认证流程结束,用户认证失败。在某些特殊场景下,如果希望管理员用户在RADIUS认证拒绝后能够通过本地认证上线时,可以配置radius-reject local命令。

注意事项

  • 该功能仅对管理员用户生效。
  • 实现该功能认证模式必须为RADIUS+本地认证。

使用实例

# 配置管理员用户在RADIUS认证拒绝后转入本地认证。

<HUAWEI> system-view
[HUAWEI] aaa
[HUAWEI] authentication-scheme authen1
[HUAWEI-aaa-authen-authen1] authentication-mode radius local
[HUAWEI-aaa-authen-authen1] radius-reject local

radius-server(AAA域视图)

命令功能

radius-server命令用来配置域的RADIUS服务器模板。

undo radius-server命令用来删除域的RADIUS服务器模板。

缺省情况下,用户创建域下绑定了名为“default”的RADIUS服务器模板,默认“default”域下绑定了名为“default”的RADIUS服务器模板,默认“default_admin”域下没有绑定RADIUS服务器模板。

命令格式

radius-server template-name

undo radius-server

参数说明

参数

参数说明

取值

template-name

指定RADIUS服务器模板名称。

必须是已存在的RADIUS服务器模板名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对某个域的用户进行RADIUS认证和计费,需要配置域的RADIUS服务器模板。配置域的RADIUS服务器模板后,模板下的配置才能生效。

前置条件

配置域的RADIUS服务器模板前,必须已经通过radius-server template命令创建该RADIUS服务器模板。

使用实例

# 配置域radius1使用名为template1的RADIUS服务器模板。

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] quit
[HUAWEI] aaa
[HUAWEI-aaa] domain radius1
[HUAWEI-aaa-domain-radius1] radius-server template1

radius-server accounting

命令功能

radius-server accounting命令用来配置RADIUS计费服务器。

undo radius-server accounting命令用来删除RADIUS计费服务器的相关配置。

缺省情况下,未配置RADIUS计费服务器。

命令格式

radius-server accounting ipv4-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address | vlanif interface-number } | weight weight-value ] *

radius-server accounting ipv6-address port [ source { loopback interface-number | ip-address ipv6-address | vlanif interface-number } | weight weight-value ] *

undo radius-server accounting [ ipv4-address [ port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address | vlanif interface-number } | weight ] * ] ]

undo radius-server accounting [ ipv6-address [ port [ source { loopback interface-number | ip-address ipv6-address | vlanif interface-number } | weight ] ] ]

参数说明

参数

参数说明

取值

ipv4-address

指定RADIUS计费服务器的IPv4地址。

点分十进制格式。必须是合法的单播地址。

ipv6-address

指定RADIUS计费服务器的IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

port

指定服务器的端口号。

整数形式,取值范围是1~65535。

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

必须是已存在的VPN实例名称。

source loopback interface-number

指定Loopback接口的编号。

必须是已存在的Loopback接口。

source ip-address ipv4-address

指定IPv4地址作为向RADIUS计费服务器发送RADIUS报文时使用的源IPv4地址。

如果配置了此参数,请确保RADIUS服务器上指定的客户端IPv4地址与此参数保持一致。

如果没有配置此参数,则使用出接口的IPv4地址作为向RADIUS计费服务器发送RADIUS报文时使用的源IPv4地址。

点分十进制格式,必须是合法的单播地址。

source ip-address ipv6-address

指定IPv6地址作为向RADIUS计费服务器发送RADIUS报文时使用的源IPv6地址。

如果没有配置此参数,则使用出接口的IPv6地址作为向RADIUS计费服务器发送RADIUS报文时使用的源IPv6地址。

该地址不能为VRRP6备份组的虚拟IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

source vlanif interface-number

指定VLANIF接口的IP地址作为源IP地址。其中,interface-number表示VLANIF接口编号。

必须是已存在的VLANIF接口。

weight weight-value

指定计费服务器的权重值。

当配置了多个服务器时,设备优先通过权重值大的服务器进行计费。当权重值相等时,设备则优先通过先配置的服务器进行计费。

整数形式,取值范围是0~100。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

为了对用户进行计费,需要配置RADIUS计费服务器。设备通过RADIUS协议与RADIUS计费服务器进行通信并获取计费信息,然后使用该计费信息对用户进行计费。只有配置了RADIUS服务器模板中计费服务器的地址和端口号后,设备才可以将计费报文发送给计费服务器。

注意事项

主用计费服务器和备用计费服务器的IP地址不能相同,否则将提示配置不成功。

对于设备标记为Down状态的RADIUS服务器,除了权重值weight,修改RADIUS服务器的其他配置参数会导致设备标记的服务器状态由Down变为Up。

使用实例

# 配置RADIUS主用计费服务器。

<HUAWEI> system-view
[HUAWEI] radius-server template group1
[HUAWEI-radius-group1] radius-server accounting 10.163.155.12 1813

# 配置备用RADIUS计费服务器。

<HUAWEI> system-view
[HUAWEI] radius-server template group1
[HUAWEI-radius-group1] radius-server accounting 10.163.155.15 1813 weight 50

radius-server accounting-stop-packet resend

命令功能

radius-server accounting-stop-packet resend命令用来配置允许重发计费停止报文,以及可重发的计费停止报文个数。

undo radius-server accounting-stop-packet resend命令用来取消配置允许重发计费停止报文。

缺省情况下,允许重发计费停止报文,且计费停止报文的重发次数为3。

命令格式

radius-server accounting-stop-packet resend [ resend-times ]

undo radius-server accounting-stop-packet resend

参数说明

参数

参数说明

取值

resend-times

指定重发的计费停止报文个数。

取值范围是0~300。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

本命令用于停止计费报文在RADIUS服务器不可达而暂时无法发送成功的情况下,设备缓存停止计费报文,并以一定的间隔定时发送,直到达到发送的次数或发送成功。

使用实例

# 配置允许重发计费停止报文,可重发的计费停止报文个数为50。

<HUAWEI> system-view
[HUAWEI] radius-server template test1
[HUAWEI-radius-test1] radius-server accounting-stop-packet resend 50

radius-server algorithm

命令功能

radius-server algorithm命令用来配置RADIUS服务器的运算法则。

undo radius-server algorithm命令用来恢复RADIUS服务器的运算法则为缺省配置。

缺省情况下,RADIUS服务器采用主备运算法则。

命令格式

radius-server algorithm { loading-share | master-backup } [ based-user ]

undo radius-server algorithm

参数说明

参数

参数说明

取值

loading-share

指定RADIUS服务器的运算法则为负载均衡运算法则。

-

master-backup

指定RADIUS服务器的运算法则为主备运算法则。

-

based-user

指定RADIUS服务器的运算法则为基于单个用户的运算法则。

如不指定该参数,则表示RADIUS服务器的运算法则为基于报文的运算法则。

-

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

当场景中存在两台及两台以上的RADIUS服务器时,则可以通过此命令配置RADIUS服务器的运算法则。
  • 若选择主备算法,则根据配置RADIUS认证服务器或计费服务器时配置的权重参数weight决定主备,weight值较大者为主,如果weight值相同,则先配置的服务器为主服务器。
  • 若选择负载均衡算法,在发送报文时设备会根据用户配置的服务器权重来合理分配报文发送的服务器,例如配置RADIUS服务器A的权重为80,RADIUS服务器B的权重为80,RADIUS服务器C的权重为40,则设备向RADIUS服务器A发送报文的概率为80/(80+80+40)=40%,设备向RADIUS服务器B发送报文的概率80/(80+80+40)=40%,设备向RADIUS服务器C发送报文的概率为40/(80+80+40)=20%。

如果配置为基于单个用户的运算法则,认证阶段会保存认证服务器的信息,如果认证服务器同时也是计费服务器,则计费阶段优先向该服务器发送计费请求;如果配置为基于报文的运算法则,认证阶段不会保存认证服务器的信息,在计费阶段会重新选择计费服务器,可能存在同一个用户的认证和计费不在同一个服务器上的问题。

注意事项

在同一RADIUS服务器模板视图下多次执行radius-server algorithm命令,新配置覆盖旧配置。

使用实例

# 配置RADIUS服务器使用负载均衡运算法则。

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] radius-server algorithm loading-share

radius-server attribute message-authenticator access-request

命令功能

radius-server attribute message-authenticator access-request命令用来配置设备发送RADIUS认证报文时,携带Message-Authenticator属性。

undo radius-server attribute message-authenticator access-request命令用来取消配置的Message-Authenticator属性。

缺省情况下,RADIUS认证报文未携带Message-Authenticator属性。

命令格式

radius-server attribute message-authenticator access-request

undo radius-server attribute message-authenticator access-request

参数说明

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

Message-Authenticator属性用于对认证报文进行识别和校验,防止非法报文欺骗。

说明:
  • 此命令行用于RADIUS协议支持PAP或CHAP认证方式时使用。
  • RADIUS协议支持EAP认证方式时,默认携带Message-Authenticator属性,不需要通过此命令进行配置。

使用实例

# 配置RADIUS认证报文携带Message-Authenticator属性。

<HUAWEI> system-view
[HUAWEI] radius-server template test1
[HUAWEI-radius-test1] radius-server attribute message-authenticator access-request

radius-server attribute translate

命令功能

radius-server attribute translate命令用来启动RADIUS属性转换功能。

undo radius-server attribute translate命令用来关闭RADIUS属性转换功能。

缺省情况下,未启动RADIUS属性转换功能。

命令格式

radius-server attribute translate

undo radius-server attribute translate

参数说明

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

目前,不同厂家的RADIUS服务器所支持的属性集不一样,而且可能对某些属性的定义不一样。设备提供RADIUS属性转换功能来适应上述情况。启动了RADIUS属性转换功能后,设备在发送和接收RADIUS报文时,可以对属性进行不同的转换,以便于和不同的服务器进行对接。

后续任务

启动RADIUS属性转换功能后,还需要进行如下配置,才能使属性转换功能生效:

使用实例

# 启动RADIUS属性转换功能。

<HUAWEI> system-view
[HUAWEI] radius-server template test1
[HUAWEI-radius-test1] radius-server attribute translate

radius-server authentication

命令功能

radius-server authentication命令用来配置RADIUS认证服务器。

undo radius-server authentication命令用来删除RADIUS认证服务器。

缺省情况下,未配置RADIUS认证服务器。

命令格式

radius-server authentication ipv4-address port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address | vlanif interface-number } | weight weight-value ] *

radius-server authentication ipv6-address port [ source { loopback interface-number | ip-address ipv6-address | vlanif interface-number } | weight weight-value ] *

undo radius-server authentication [ ipv4-address [ port [ vpn-instance vpn-instance-name | source { loopback interface-number | ip-address ipv4-address | vlanif interface-number } | weight ] * ] ]

undo radius-server authentication [ ipv6-address [ port [ source { loopback interface-number | ip-address ipv6-address | vlanif interface-number } | weight ] ] ]

参数说明

参数

参数说明

取值

ipv4-address

指定RADIUS认证服务器的IPv4地址。

点分十进制格式,必须是合法的单播地址。

ipv6-address

指定RADIUS认证服务器的IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

port

指定RADIUS认证服务器的端口号。

整数形式,取值范围是1~65535。

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

必须是已存在的VPN实例名称。

source loopback interface-number

指定Loopback接口的IP地址作为源IP地址。其中,interface-number表示Loopback接口编号。

必须是已存在的Loopback接口。

source ip-address ipv4-address

指定IPv4地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IPv4地址。

如果配置了此参数,请确保RADIUS服务器上指定的客户端IPv4地址与此参数保持一致。

如果没有配置此参数,则使用出接口的IPv4地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IPv4地址。

点分十进制格式,必须是合法的单播地址。

source ip-address ipv6-address

指定IPv6地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IPv6地址。

如果没有配置此参数,则使用出接口的IPv6地址作为向RADIUS认证服务器发送RADIUS报文时使用的源IPv6地址。

该地址不能为VRRP6备份组的虚拟IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

source vlanif interface-number

指定VLANIF接口的IP地址作为源IP地址。其中,interface-number表示 VLANIF接口编号。

必须是已存在的VLANIF接口。

weight weight-value

指定RADIUS认证服务器的权重值。

当配置了多个服务器时,设备优先通过权重值大的服务器进行认证。当权重值相等时,设备则优先通过先配置的服务器进行认证。

整数形式,取值范围是0~100,缺省值为80。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

如果需要使用RADIUS方式进行认证,则必须配置RADIUS服务器模板中的认证服务器。设备通过RADIUS协议与RADIUS认证服务器进行通信并获取认证信息,然后使用该认证信息对用户进行认证。只有配置RADIUS服务器模板中认证服务器的地址和端口号后,设备才可以将认证报文发送给认证服务器。

如果已执行radius-server algorithm master-backup命令配置RADIUS的运算法则为主备运算法则且同时配置了主用认证服务器和备用认证服务器,则当满足以下条件之一时,设备会向备用认证服务器发送认证请求报文。
  • 主服务器没有发送认证响应报文;
  • 设备重新发送认证请求报文的次数达到最大次数。

802.1x认证方式设置为EAP认证时,设备和RADIUS服务器之间存在多次交互。第一次交互时设备会询问主用RADIUS服务器,当主用RADIUS服务器无响应,重传报文次数达到最大时,设备会向备用RADIUS服务器发送请求报文。如果备用RADIUS服务器响应设备请求,则在接下来的交互过程中,设备会直接向备用RADIUS服务器发送请求报文。这样可避免每次交互都先询问主用RADIUS服务器再询问备用RADIUS服务器导致认证时间过长,最终导致客户端长时间无响应而关闭用户认证。

说明:

对于设备标记为Down状态的RADIUS服务器,除了权重值weight,修改RADIUS服务器的其他配置参数会导致设备标记的服务器状态由Down变为Up。

使用实例

# 配置主用RADIUS认证服务器的IP地址为10.163.155.13,端口号为1812。

<HUAWEI> system-view
[HUAWEI] radius-server template group1
[HUAWEI-radius-group1] radius-server authentication 10.163.155.13 1812

# 配置备用RADIUS认证服务器的IP地址为10.163.155.15,端口号为1812,权重为50。

<HUAWEI> system-view
[HUAWEI] radius-server template group1
[HUAWEI-radius-group1] radius-server authentication 10.163.155.15 1812 weight 50

radius-server authorization

命令功能

radius-server authorization命令用来配置RADIUS授权服务器。

undo radius-server authorization命令用来删除已配置的RADIUS授权服务器。

缺省情况下,未配置RADIUS授权服务器。

命令格式

radius-server authorization ip-address [ vpn-instance vpn-instance-name ] { server-group group-name shared-key cipher key-string | shared-key cipher key-string [ server-group group-name ] } [ protect enable ]

undo radius-server authorization { all | ip-address [ vpn-instance vpn-instance-name ] }

参数说明

参数

参数说明

取值

ip-address

指定授权服务器的IP地址。

点分十进制格式,必须是单播地址。

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

必须是已存在的VPN实例名称。

server-group group-name

指定RADIUS授权服务器对应的RADIUS服务器模板名称。

字符串形式,长度范围是1~32。字符包括英文字母、数字0~9、点号“.”、短线“-”和下划线“_”。不能配置为“-”或“--”。

shared-key cipher key-string

指定RADIUS共享密钥。

字符串形式,不支持空格和问号,区分大小写。key-string可以是长度范围是1~128的明文形式,也可以是48、68、88、108、128、148、168或188位的密文形式。

protect enable

使能安全增强功能。

-

all

指定删除所有的RADIUS授权服务器。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了更好的实现对用户权限的控制,RADIUS协议支持通过独立的RADIUS授权服务器对已在线的用户进行授权。RADIUS的授权方法包括CoA(Change of Authorization)和DM(Disconnect Messages)两种:
  • CoA:用户认证成功后,管理员可以通过RADIUS授权服务器来修改在线用户的权限。例如,通过CoA为用户下发VLAN,可以保证某一部门的员工无论从哪个设备端口接入网络,均属于同一个VLAN。
  • DM:管理员可以通过RADIUS授权服务器主动强迫在线用户下线。

只有通过本命令配置了RADIUS授权服务器的IP地址、共享密钥等参数后,设备才能正常接受服务器发送过来的授权请求信息并根据此信息对用户进行授权。完成授权后,设备通过授权回应报文将授权结果反馈给服务器。

指定参数protect enable,使能安全增强功能之后:
  • 当CoA或DM请求报文中携带Message-Authenticator属性时,设备会对Message-Authenticator属性进行校验,如果校验失败,则丢弃请求报文,不进行响应;如果校验成功,则在CoA或DM回应报文(ACK或NAK)中携带Message-Authenticator属性。
  • 当CoA或DM请求报文中不携带Message-Authenticator属性时,设备不进行校验,CoA或DM回应报文(ACK或NAK)中也不会携带Message-Authenticator属性。
说明:
当CoA或DM请求报文中携带Message-Authenticator属性时,如果配置了命令radius-attribute disable message-authenticator receive,设备不会对其进行校验,并且回应报文中也不会携带Message-Authenticator属性;如果配置了命令radius-attribute disable message-authenticator send,即使设备校验成功,回应报文中也不会携带Message-Authenticator属性。

注意事项

为提高安全性,建议共享密钥至少包含小写字母、大写字母、数字、特殊字符这四种形式中的三种,同时密钥长度不小于16个字符。

使用实例

# 配置RADIUS授权服务器。

<HUAWEI> system-view
[HUAWEI] radius-server authorization 10.1.1.116 shared-key cipher Huawei@2012

radius-server authorization attribute-decode-sameastemplate

命令功能

radius-server authorization attribute-decode-sameastemplate命令用来配置设备根据RADIUS服务器模板下的配置解析RADIUS动态授权报文的属性。

undo radius-server authorization attribute-decode-sameastemplate命令用来将设备解析RADIUS授权报文的属性的方式恢复为缺省方式。

缺省情况下,设备根据全局下的配置解析RADIUS动态授权报文的属性。

命令格式

radius-server authorization attribute-decode-sameastemplate

undo radius-server authorization attribute-decode-sameastemplate

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

设备解析RADIUS动态授权报文的属性时,会解析报文的Calling-Station-Id属性字段中MAC地址,而MAC地址的解析格式默认根据系统视图下命令的radius-server authorization calling-station-id decode-mac-format配置。当设备与多个RADIUS服务器对接时,不同RADIUS服务器发送的动态授权报文里的Calling-Station-Id属性字段中MAC地址的格式可能不一致,这种情况下按照一种统一的解析方式会造成属性解析不成功,导致与有些RADIUS服务器对接失败。此时可以执行命令radius-server authorization attribute-decode-sameastemplate,根据每个RADIUS服务器模板下配置的Calling-Station-Id属性封装方式来解析RADIUS动态授权报文中的属性,使得设备可以与多个RADIUS服务器对接成功。

前置条件

该功能用于配置Calling-Station-Id属性的解析方式与RADIUS服务器模板下配置的封装方式保持一致。所以,使用该功能前,需要执行以下步骤
  1. 在RADIUS服务器模板视图下,执行命令calling-station-id mac-format,配置的Calling-Station-Id属性字段中MAC地址的封装方式。
  2. 在系统视图下,执行命令radius-server authorization,配置授权服务器使用的RADIUS服务器模板server-group
说明:
如果不指定授权服务器使用的RADIUS服务器模板,设备就无法实现该功能。Calling-Station-Id属性的解析方式采用系统视图下命令radius-server authorization calling-station-id decode-mac-format的配置。

注意事项

RADIUS服务器模板下的配置优先级高于全局下的配置优先级。

使用实例

# 配置RADIUS授权服务器根据RADIUS模板下的配置解析属性。

<HUAWEI> system-view
[HUAWEI] radius-server authorization attribute-decode-sameastemplate

radius-server authorization attribute-encode-sameastemplate

命令功能

radius-server authorization attribute-encode-sameastemplate命令用来配置设备根据RADIUS服务器模板下的配置封装COA回应报文或DM回应报文中的属性。

undo radius-server authorization attribute-encode-sameastemplate命令用来恢复缺省配置。

缺省情况下,未配置设备根据RADIUS服务器模板下的配置封装COA回应报文或DM回应报文中的属性。

命令格式

radius-server authorization attribute-encode-sameastemplate

undo radius-server authorization attribute-encode-sameastemplate

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

某些厂商的RADIUS服务器设置了属性匹配检查功能,只有当收到的COA回应报文或DM回应报文里的属性封装格式与在RADIUS回应报文中获取的属性封装格式一致时,检查才能通过,设备才能与其对接成功,完成动态授权或离线操作。由于RADIUS回应报文中获取的属性格式按照RADIUS服务器模板下的配置进行封装。为了保证COA回应报文或DM回应报文里的属性格式与服务器在RADIUS报文中获取的格式一致,可以通过命令radius-server authorization attribute-encode-sameastemplate,配置COA回应报文或DM回应报文中的属性也按照RADIUS服务器模板下的配置来封装,使得设备与其对接成功。

COA回应报文或DM回应报文里需要设置的封装格式的属性包括:Calling-Station-Id(31)、NAS-IP-Address(4)和User-Name(1)。

注意事项

  • 该功能用于配置COA回应报文或DM回应报文里的Calling-Station-Id(31)、NAS-IP-Address(4)和User-Name(1)属性的封装方式与RADIUS服务器模板下配置的保持一致。所以,使用该功能前,需要执行以下步骤:
    1. 在RADIUS服务器模板视图下,配置各属性的封装方式:
    2. 在系统视图下,执行命令radius-server authorization,配置授权服务器使用的RADIUS服务器模板server-group
  • 配置该功能后,NAS-IP-Address(4)属性中NAS IP地址的取值优先级如下:RADIUS服务器模板下配置的NAS IP>计费服务器配置的Source IP>认证服务器配置的Source IP>请求报文目的IP地址。
  • 如果未配置命令radius-server authorization attribute-encode-sameastemplate或者授权服务器没有绑定RADIUS服务器模板或者RADIUS服务器模板下没有属性格式的相关配置,COA回应报文或DM回应报文里的格式如下:
    • Calling-Station-Id(31)属性中MAC地址:MAC地址使用默认格式“XXXXXXXXXXXX”封装
    • NAS-IP-Address(4)属性中NAS IP地址:请求报文的目的IP地址。
    • User-Name(1)属性中的用户名:请求报文中的用户名。

使用实例

# 配置RADIUS授权服务器根据RADIUS模板下的配置解析属性。

<HUAWEI> system-view
[HUAWEI] radius-server authorization attribute-encode-sameastemplate

radius-server authorization calling-station-id decode-mac-format

命令功能

radius-server authorization calling-station-id decode-mac-format命令用来配置设备解析RADIUS动态授权报文里的calling-station-id(Type 31)属性字段中MAC地址的格式。

undo radius-server authorization calling-station-id decode-mac-format命令用来将上述MAC地址的解析格式恢复为缺省情况。

缺省情况下,设备解析RADIUS动态授权报文里的calling-station-id属性字段中MAC地址的格式为xxxxxxxxxxxx,小写形式。

命令格式

radius-server authorization calling-station-id decode-mac-format { bin | ascii { unformatted | { dot-split | hyphen-split } [ common | compress ] } }

undo radius-server authorization calling-station-id decode-mac-format

参数说明

参数 参数说明 取值
bin 指定calling-station-id字段中MAC地址的解析格式为二进制格式。 -
ascii 指定calling-station-id字段中MAC地址的解析格式为ASCII格式。 -
unformatted 指定calling-station-id字段中MAC地址不使用连字符。 -
dot-split 指定calling-station-id字段中用圆点('.')作为MAC地址连接符。 -
hyphen-split 指定calling-station-id字段中用横线('-')作为MAC地址连接符。 -
common 指定封装的calling-station-id字段中MAC地址的格式是xx-xx-xx-xx-xx-xx或xx.xx.xx.xx.xx.xx。 -
compress 指定封装的calling-station-id字段中MAC地址的格式是xxxx-xxxx-xxxx或xxxx.xxxx.xxxx。 -

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

设备解析RADIUS动态授权报文里的calling-station-id属性字段中MAC地址的格式默认为xxxxxxxxxxxx。如果RADIUS服务器发送的动态授权报文里的calling-station-id属性字段中MAC地址格式不是设备默认的MAC地址格式,则可以执行命令radius-server authorization calling-station-id decode-mac-format修改解析RADIUS动态授权报文里的calling-station-id字段中MAC地址的格式。

当设备与多个RADIUS服务器对接时,多个RADIUS服务器发送动态授权报文里的calling-station-id属性字段中MAC地址的格式不一致,此时可以执行命令radius-server authorization attribute-decode-sameastemplate根据RADIUS服务器模板下的配置解析RADIUS动态授权报文的属性,使得设备可以与多个RADIUS服务器对接成功。

注意事项

RADIUS服务器模板下的配置优先级高于全局下的配置优先级。

使用实例

# 配置设备解析RADIUS动态授权报文里的calling-station-id属性字段中MAC地址的格式为二进制格式。

<HUAWEI> system-view
[HUAWEI] radius-server authorization calling-station-id decode-mac-format bin

radius-server authorization hw-ext-specific command bounce-port disable

命令功能

radius-server authorization hw-ext-specific command bounce-port disable命令用来忽略CoA动态授权报文中闪断端口的授权属性。

undo radius-server authorization hw-ext-specific command bounce-port disable命令用来恢复缺省设置。

缺省情况下,设备支持CoA动态授权报文中闪断端口的授权属性。

命令格式

radius-server authorization hw-ext-specific command bounce-port disable

undo radius-server authorization hw-ext-specific command bounce-port disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

CoA动态授权报文中携带的RADIUS属性HW-Ext-Specific(26-238)的user-command字段取值包括:
  • 1:表示对用户进行重认证。
  • 2:表示闪断被授权用户所在的端口。
  • 3:表示关闭被授权用户所在的端口。

服务器授权VLAN后,终端所属的VLAN会更改,但是,终端不会主动触发通过DHCP重新申请IP地址,必须由用户在终端界面执行相应的操作手动触发。对于哑终端(例如打印机),不支持界面操作,可以通过闪断认证端口,触发认证端口下的终端重新申请IP地址。配置闪断认证端口功能,需要在设备上执行命令undo radius-server authorization hw-ext-specific command bounce-port disable;在服务器上配置RADIUS属性HW-Ext-Specific(26-238)的取值为“user-command=2”。

该属性下发后,认证端口会Down,12秒后再恢复Up。由于设备支持防闪断功能(命令行为link-down offline delay),默认端口Down后用户延时10秒下线;为确保用户能够下线,防闪断的时间不能大于12秒、并且不能配置为端口Down后用户不下线。

注意事项

RADIUS服务器动态授权下发RADIUS属性HW-Ext-Specific(26-238)的user-command字段取值为2或3时,需要注意以下几点:
  • 需保证认证端口下仅有一个用户或者认证端口与用户直连,否则端口闪断或者关闭会影响端口下的其他用户。
  • 仅物理接口支持,Eth-trunk接口不支持。
  • 不支持策略联动场景。

使用实例

# 配置忽略CoA动态授权报文中闪断端口的授权属性。

<HUAWEI> system-view
[HUAWEI] radius-server authorization hw-ext-specific command bounce-port disable

radius-server authorization hw-ext-specific command down-port disable

命令功能

radius-server authorization hw-ext-specific command down-port disable命令用来忽略CoA动态授权报文中关闭端口的授权属性。

undo radius-server authorization hw-ext-specific command down-port disable命令用来恢复缺省设置。

缺省情况下,设备支持CoA动态授权报文中关闭端口的授权属性。

命令格式

radius-server authorization hw-ext-specific command down-port disable

undo radius-server authorization hw-ext-specific command down-port disable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

CoA动态授权报文中携带的RADIUS属性HW-Ext-Specific(26-238)的user-command字段取值包括:
  • 1:表示对用户进行重认证。
  • 2:表示闪断被授权用户所在的端口。
  • 3:表示关闭被授权用户所在的端口。

对于RADIUS服务器动态授权下发user-command=3的场景,主要作用是使用户下线、阻断用户的网络访问权限。该属性下发后,最明显的影响是被授权用户所在的端口会被关闭,如果希望恢复打开该端口,必须由管理员登录到设备进行手工的操作。如果管理员希望忽略关闭端口的授权属性,可以配置命令radius-server authorization hw-ext-specific command down-port disable

注意事项

RADIUS服务器动态授权下发RADIUS属性HW-Ext-Specific(26-238)的user-command字段取值为2或3时,需要注意以下几点:
  • 需保证认证端口下仅有一个用户或者认证端口与用户直连,否则端口闪断或者关闭会影响端口下的其他用户。
  • 仅物理接口支持,Eth-trunk接口不支持。
  • 不支持策略联动场景。

使用实例

# 配置忽略CoA动态授权报文中关闭端口的授权属性。

<HUAWEI> system-view
[HUAWEI] radius-server authorization hw-ext-specific command down-port disable

radius-server authorization match-type

命令功能

radius-server authorization match-type命令用来配置设备对收到的COA请求报文或DM请求报文中的RADIUS属性与设备上的用户信息进行匹配检查的方式。

undo radius-server authorization match-type命令用来恢复缺省配置。

缺省情况下,设备以any方式对收到的COA请求报文或DM请求报文中的RADIUS属性与设备上的用户信息进行匹配检查,即仅选取请求报文中的一个属性与设备上的用户信息进行匹配检查。

命令格式

radius-server authorization match-type { any | all }

undo radius-server authorization match-type

参数说明

参数

参数说明

取值

any

指定其中一个属性与设备上的用户信息进行匹配检查。

-

all

指定所有的属性与设备上的用户信息匹配进行检查。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

COA请求报文或DM请求报文中的RADIUS属性与设备上的用户信息匹配来识别用户的方式有两种:
  • any方式:其中一个属性与设备上的用户信息进行匹配检查。识别用户所用的RADIUS属性优先级为:Acct-Session-ID(4)>Calling-Station-Id(31)>Framed-IP-Address(8)属性。按照优先级在请求报文中查找属性,优先找到哪个属性就用哪个属性与设备上的用户信息进行匹配,匹配成功时,设备回应ACK报文,否则回应NAK报文。
  • all方式:所有的属性与设备上的用户信息进行匹配检查。识别用户所用的RADIUS属性包括:Acct-Session-ID(4)、Calling-Station-Id(31)、Framed-IP-Address(8)和User-Name(1)。请求报文中以上属性都要与设备上的用户信息进行匹配,全部匹配成功时,设备回应ACK报文,否则回应NAK报文。

注意事项

RADIUS模板下通过命令radius-attribute translate配置了RADIUS属性转换功能时,会导致匹配失败。

使用实例

# 配置设备对收到的COA请求报文或DM请求报文中所有的RADIUS属性与设备上的用户信息进行匹配检查。

<HUAWEI> system-view
[HUAWEI] radius-server authorization match-type all

radius-server authorization port

命令功能

radius-server authorization port命令用来配置RADIUS授权服务器的端口号。

undo radius-server authorization Port命令用来恢复缺省配置。

缺省情况下,RADIUS授权服务器的端口号为3799。

命令格式

radius-server authorization port port-id

undo radius-server authorization port

参数说明

参数

参数说明

取值

port-id

指定授权服务器的端口号。

整数形式,取值范围是1024~55535,缺省值时3799。

视图

系统视图

缺省级别

3:管理级

使用指南

使用命令radius-server authorization port port-id配置设备向授权服务器发送报文时使用的目的端口号。之后,设备在接收到授权服务器发送的CoA或DM请求报文时,即以配置的端口号作为目的端口号将回应报文发往授权服务器。

使用实例

# 配置RADIUS授权服务器的端口号为3700。

<HUAWEI> system-view
[HUAWEI] radius-server authorization port 3700

radius-server dead-detect-condition by-server-ip

命令功能

radius-server dead-detect-condition by-server-ip命令用来配置根据RADIUS服务器IP地址对RADIUS服务器进行存活检测。

undo radius-server dead-detect-condition by-server-ip命令用来恢复缺省配置。

缺省情况下,只对RADIUS认证服务器进行存活检测。

命令格式

radius-server dead-detect-condition by-server-ip

undo radius-server dead-detect-condition by-server-ip

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

目前,RADIUS服务器探测机制是对Down的RADIUS服务器周期性发认证请求报文,如果服务器有响应,则设备将RADIUS认证服务器的状态置为Up。从RADIUS服务器探测机制可以看出,设备不会对Down的RADIUS计费服务器进行存活检测,直到服务器恢复激活状态的时间超期时,设备才将RADIUS计费服务器的状态设置为Up。

为了使得设备能够及时感知Down的RADIUS计费服务器的状态,可以执行命令radius-server dead-detect-condition by-server-ip,根据RADIUS服务器IP地址对RADIUS服务器进行存活检测,使得RADIUS计费服务器与认证服务器状态联动。

注意事项

配置命令radius-server dead-detect-condition by-server-ip后,还需要执行radius-server testuser命令配置自动探测用户进行探测。

目前,检测RADIUS认证服务器和计费服务器状态是否Down时,设备发送的认证和计费请求报文的次数是分开统计。配置命令radius-server dead-detect-condition by-server-ip后,相同的VPN实例下,对于相同的IP地址认证服务器和计费服务器,设备发送的认证和计费请求报文的次数是累加统计的。同时,相同的VPN实例下,同IP地址的RADIUS认证服务器的状态会同步更新。

使用实例

# 配置根据RADIUS服务器IP地址对RADIUS服务器进行存活检测。

<HUAWEI> system-view
[HUAWEI] radius-server dead-detect-condition by-server-ip

radius-server dead-interval dead-count detect-cycle

命令功能

radius-server dead-interval dead-count detect-cycle命令用来配置RADIUS服务器的探测周期、每个探测周期连续无响应的最大次数和探测周期循环次数

undo radius-server dead-interval dead-count detect-cycle命令用来恢复为缺省值。

缺省情况下,RADIUS服务器的探测周期为5秒,每个探测周期连续无响应的最大次数为2次,探测周期循环2次

命令格式

radius-server { dead-interval dead-interval | dead-count dead-count | detect-cycle detect-cycle }

undo radius-server { dead-interval | dead-count | detect-cycle }

参数说明

参数

参数说明

取值

dead-interval

指定RADIUS服务器的探测周期。

整数形式,单位为秒,取值范围是1~300。

dead-count

指定每个探测周期RADIUS服务器连续无响应的最大次数。

整数形式,取值范围是1~65535。

detect-cycle

指定探测周期的循环次数。

整数形式,取值范围是1~5。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

系统启动后,RADIUS服务器状态探测定时器开始运行。RADIUS服务器的状态设备默认标记为Up。当设备发送RADIUS请求报文到RADIUS服务器时,如果满足将RADIUS服务器的状态标记为Down的条件,则将RADIUS服务器的状态标记为Down;如果不满足,RADIUS服务器的状态仍为Up。

从第一个向RADIUS服务器发送RADIUS认证请求报文开始计算,如果设备一直没有收到RADIUS服务器的回应报文,并且在一个探测周期内满足条件:未收到回应报文的次数(n)大于或等于连续无响应的最大次数(dead-count),则记录一次通讯中断。在持续没有收到RADIUS服务器回应报文的情况下,探测周期循环几次,就在第几次记录通讯中断时将RADIUS服务器标记为Down。

注意事项

  • 如果设备刚上报过RADIUS服务器Up告警,后续的RADIUS服务器Down告警会在Up告警的10秒后才会发出,即使配置的探测周期较短,探测RADIUS服务器Down的时间小于10秒(比如dead-interval设置为4秒,探测服务器Down的时间为8秒),设备也不会在10秒内发出告警,这样可防止告警过于频繁。

使用实例

# 配置RADIUS服务器探测周期为10秒,每个探测周期连续无响应的次数为2,探测周期循环2次

<HUAWEI> system-view
[HUAWEI] radius-server dead-interval 10
[HUAWEI] radius-server dead-count 2
[HUAWEI] radius-server detect-cycle 2

radius-server detect-server interval

命令功能

radius-server detect-server interval命令用来配置对Down状态的RADIUS服务器的自动探测周期。

undo radius-server detect-server interval命令用来恢复缺省值。

缺省情况下,RADIUS自动探测周期为60秒。

命令格式

radius-server detect-server interval interval

undo radius-server detect-serve interval

参数说明

参数

参数说明

取值

interval

Down状态的RADIUS服务器自动探测周期。

整数形式,取值范围是5~3600,单位为秒。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

通过命令radius-server testuser开启自动探测功能后,可以通过命令radius-server detect-server interval调整对Down状态的RADIUS服务器的自动探测周期。

使用实例

# 在RADIUS服务器模板acs下,配置对Down状态的RADIUS服务器的自动探测周期为100秒。

<HUAWEI> system-view
[HUAWEI] radius-server template acs
[HUAWEI-radius-acs] radius-server detect-server interval 100

radius-server detect-server timeout

命令功能

radius-server detect-server timeout命令用来配置RADIUS探测报文的超时等待时间。

undo radius-server detect-server timeout命令用来恢复缺省值。

缺省情况下,RADIUS探测报文的超时等待时间为3秒。

命令格式

radius-server detect-server timeout timeout

undo radius-server detect-server timeout

参数说明

参数

参数说明

取值

timeout

RADIUS探测报文的超时等待时间。

整数形式,取值范围是1~10,单位是秒。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

通过命令radius-server testuser开启自动探测功能后,当设备向RADIUS服务器发送探测报文时,在超时等待时间内,如果收到RADIUS服务器的响应报文,设备会将RADIUS服务器的状态置为Up;反之,则将RADIUS服务器的状态标记为Down。用户可以根据RADIUS服务器实际的响应速度,通过命令radius-server detect-server timeout,调节探测报文的超时等待时间。

注意事项

建议配置的RADIUS探测报文的超时等待时间小于自动探测周期,以避免设备还没有来的及处理RADIUS服务器的响应报文就再次发送探测报文。如果实际配置的RADIUS探测报文的超时等待时间大于自动探测周期,则取其中的较小的值作为超时等待时间。即:

使用实例

# 在RADIUS服务器模板acs下,配置RADIUS探测报文的超时等待时间为5秒。

<HUAWEI> system-view
[HUAWEI] radius-server template acs
[HUAWEI-radius-acs] radius-server detect-server timeout 5

radius-server detect-server up-server interval

命令功能

radius-server detect-server up-server interval命令用来开启对Up状态的RADIUS服务器的自动探测功能并配置自动探测周期。

undo radius-server detect-server up-server interval命令用来恢复缺省配置。

缺省情况下,设备不对Up状态的RADIUS服务器进行自动探测。

命令格式

radius-server detect-server up-server interval interval

undo radius-server detect-server up-server interval

参数说明

参数

参数说明

取值

interval

对Up状态的RADIUS服务器的自动探测周期。

整数形式,取值范围是0或者2~3600,单位为秒。其中,取值为0表示不对Up状态的RADIUS服务器进行自动探测。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

通过命令radius-server testuser开启自动探测功能后,设备默认仅对Down状态的RADIUS服务器进行自动探测。如果用户希望对Up状态的服务器进行自动探测,需要通过命令radius-server detect-server up-server interval开启对Up状态的RADIUS服务器的自动探测功能并配置自动探测周期。

注意事项

在大型企业网络中,不建议开启对Up状态的RADIUS服务器进行自动探测的功能。这是由于如果多个NAS设备均开启该功能,RADIUS服务器在处理用户认证请求报文的同时还会收到大量周期性的探测报文,会降低RADIUS服务器的处理性能。

使用实例

# 在RADIUS服务器模板acs下,开启对Up状态RADIUS服务器的自动探测功能并配置自动探测周期为100秒。

<HUAWEI> system-view
[HUAWEI] radius-server template acs
[HUAWEI-radius-acs] radius-server detect-server up-server interval 100

radius-server format-attribute

命令功能

radius-server format-attribute命令用来配置NAS(Network Access Server)-Port属性的格式。

undo radius-server format-attribute命令用来删除配置的属性格式。

缺省情况下,NAS-Port属性采用new的格式。

命令格式

radius-server format-attribute nas-port nas-port-sting

undo radius-server format-attribute nas-port

参数说明

参数

参数说明

取值

nas-port nas-port-sting

指定NAS-Port属性的格式。
  • 使用关键字s、t、p、o、i分别表示slot,subslot,port,out-vlan(qinqvlan)/vpi,vlan(user-vlan)/vci。增加两个关键字n、z以便填充用。n表示填1,z表示填0。
  • s、t、p、o、i关键字后面必须是数值,并且数值范围为1~32。且s、t、p、o、i中的每个关键字只能出现一次。
  • s、t、p、o、i、z、n后面若是紧跟数字则第一个数字只能是1~9不能是0。
  • n、z可以出现在任何位置并且可出现多次,n、z后面跟数字,n12表示该位置填12位1,z12表示该位置填充12位0。
  • 字符串配置的位数加起来必须为32位。
  • 必须以s、t、p、o、i、z、n开头,以数字结尾。
  • VLAN不存在时填0还是填1可以在o/i关键字前添加n、z说明,也就是说n、z后面可以跟数字或者o/i,数值范围为1~32。
  • 编码时,首先判断接口类型,然后再根据类型封装。如果没有o/i关键字则对应的qinqvlan/uservlan不封装。如果有o/i关键字,但是实际没有外层vlan则默认以0填充,若没有vlan则内外层默认均填0。如果o/i前面有n关键字则没有外层/内层vlan时以1填充。

字符串格式,长度范围是1~32。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

NAS端口形式影响所携带的用户的物理端口信息,提供给RADIUS服务器进行各种业务处理,如用户名和端口绑定等。该属性是华为公司内部扩展的属性,用于华为公司设备之间的互通和业务配合。

如果radius-server nas-port-format配置的是new(默认是new),设备检查radius-server format-attribute nas-port的配置是否存在,若存在,则按radius-server format-attribute nas-port配置的格式来组装NAS-PORT属性;若不存在,则按原new定义的固定格式组装。如果radius-server nas-port-format配置的是old,无论radius-server format-attribute nas-port的配置是否存在,均按old定义的格式组装。

使用实例

# 配置NAS-Port属性格式为s2t2p6no10ni12,即slot占2位,subslot占2位,port占6位,外层VLAN占10位,如果没有外层VLAN则这10位以1填充,内层VLAN占12位,如果没有内层VLAN则这12位以1填充,总共32位。

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] radius-server format-attribute nas-port s2t2p6no10ni12

radius-server hw-ap-info-format include-ap-ip

命令功能

radius-server hw-ap-info-format include-ap-ip命令用来配置华为扩展属性HW-AP-Information中携带AP设备的IP地址。

undo radius-server hw-ap-info-format命令用来恢复缺省配置。

缺省情况下,华为扩展属性HW-AP-Information中不携带AP设备的IP地址。

命令格式

radius-server hw-ap-info-format include-ap-ip

undo radius-server hw-ap-info-format

参数说明

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

RADIUS协议具有良好的扩展性,设备厂商可以对协议中定义的26号属性进行扩展,以实现标准RADIUS没有定义的功能。华为公司定义26号属性的141号子属性HW-AP-Information来表示AP信息,包括AP的MAC地址和IP地址。设备通过在认证请求或计费请求报文中携带该属性,以便RADIUS服务器通过AP设备的MAC地址和IP地址作为过滤条件选择下发的策略模板。

属性HW-AP-Information中携带AP设备的IP地址时,其封装格式为“AP-MAC AP-IP”。

使用实例

# 配置华为扩展属性HW-AP-Information中携带AP的IP地址。

<HUAWEI> system-view
[HUAWEI] radius-server template huawei
[HUAWEI-radius-huawei] radius-server hw-ap-info-format include-ap-ip

radius-server hw-dhcp-option-format

命令功能

radius-server hw-dhcp-option-format命令用来配置华为扩展属性HW-DHCP-Option的格式。

undo radius-server hw-dhcp-option-format命令用来恢复缺省配置。

缺省情况下,华为扩展属性HW-DHCP-Option的格式为old。

命令格式

radius-server hw-dhcp-option-format { new | old }

undo radius-server hw-dhcp-option-format

参数说明

参数

参数说明

取值

new

指定华为扩展属性HW-DHCP-Option的格式为new。

-

old

指定华为扩展属性HW-DHCP-Option的格式为old。

-

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

RADIUS协议具有良好的扩展性,设备厂商可以对协议中定义的26号属性进行扩展,以实现标准RADIUS没有定义的功能。华为公司定义26号属性的158号子属性HW-DHCP-Option来表示DHCP Option信息,采用TLV(Type、Length、Value)方式进行封装。设备通过在认证请求或计费请求报文中携带该属性,可以将用户的DHCP Option信息发送给RADIUS服务器。

为了便于和不同RADIUS服务器的对接,设备支持配置newold两种不同格式的HW-DHCP-Option:
  • new:采用TLV方式封装该属性时,TLV中的Type字段的长度为1字节。适用于与大多数RADIUS服务器的对接。
  • old:采用TLV方式封装该属性时,TLV中的Type字段的长度为2字节。适用于与特殊RADIUS服务器的对接,例如华为公司的RADIUS服务器。

使用实例

# 配置华为扩展属性HW-DHCP-Option的格式为new。

<HUAWEI> system-view
[HUAWEI] radius-server template huawei
[HUAWEI-radius-huawei] radius-server hw-dhcp-option-format new

radius-server max-unresponsive-interval

命令功能

radius-server max-unresponsive-interval命令用来配置RADIUS服务器无响应的最大时间间隔。

undo radius-server max-unresponsive-interval命令用来恢复缺省值。

缺省情况下,RADIUS服务器无响应的最大时间间隔是300秒。

命令格式

radius-server max-unresponsive-interval interval

undo radius-server max-unresponsive-interval

参数说明

参数

参数说明

取值

interval

RADIUS服务器无响应的最大时间间隔。

整数形式,取值范围是10~7200,单位是秒。

视图

系统视图

缺省级别

3:管理级

使用指南

在用户接入频率较低,设备收到用户认证请求报文较少的情况下,定时探测无法通过认证请求报文及时探测出RADIUS服务器的状态。此时,可以通过将长时间无响应的RADIUS服务器置Down的机制,确保用户进入逃生授权。

通过命令radius-server max-unresponsive-interval interval可以配置RADIUS服务器无响应的最大时间间隔。设备向RADIUS服务器发送RADIUS认证请求报文后,在配置的最大无响应时长内一直没有收到RADIUS响应报文,则将RADIUS服务器的状态标记为Down。

使用实例

# 配置RADIUS服务器无响应的最大时间间隔为100秒。

<HUAWEI> system-view
[HUAWEI] radius-server max-unresponsive-interval 100

radius-server nas-identifier-format

命令功能

radius-server nas-identifier-format命令用来配置NAS-Identifier属性封装的形式。

undo radius-server nas-identifier-format命令用来恢复NAS-Identifier属性封装的形式为缺省值。

缺省情况下,NAS-Identifier属性封装的形式为用户的主机名。

命令格式

radius-server nas-identifier-format { hostname | vlan-id | ap-info }

undo radius-server nas-identifier-format

参数说明

参数

参数说明

取值

hostname

指定NAS-Identifier属性封装的形式为用户的主机名。

-

vlan-id

指定NAS-Identifier属性封装的形式为用户的VLAN ID。

-

ap-info

指定NAS-Identifier属性封装的形式为AP的MAC地址。

-

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

RADIUS服务器可以通过不同的NAS-Identifier属性来标识不同的NAS,NAS通过发送的RADIUS报文的NAS-Identifier属性值来唯一的标识自己。

无线场景下,设备作为AC,当设备对接的RADIUS服务器要求NAS-Identifier属性值为AP的MAC地址时,需要通过命令radius-server nas-identifier-format ap-info配置。

使用实例

# 配置NAS-Identifier属性封装的形式为vlan-id

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] radius-server nas-identifier-format vlan-id

radius-server nas-port-format

命令功能

radius-server nas-port-format命令用来配置NAS(Network Access Server)端口的形式。

undo radius-server nas-port-format命令用来恢复NAS端口的形式为缺省值。

缺省情况下,采用新的NAS端口形式。

命令格式

radius-server nas-port-format { new | old }

undo radius-server nas-port-format

参数说明

参数

参数说明

取值

new

指定采用新的NAS端口形式。端口形式为槽位号(8位)+子槽位号(4位)+端口号(8位)+VLAN ID(12位)。

-

old

指定采用旧的NAS端口形式。端口形式为槽位号(12位)+端口号(8位)+VLAN ID(12位)。

-

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

NAS端口形式影响所携带的用户的物理端口信息,提供给RADIUS服务器进行各种业务处理,如用户名和端口绑定等。该属性是华为公司内部扩展的属性,用于华为公司设备之间的互通和业务配合。

注意事项

NAS端口两种形式的区别主要在于以太接入用户的物理端口:
  • 选择new时,端口形式为槽位号(8位)+子槽位号(4位)+端口号(8位)+VLAN ID(12位)
  • 选择old时,端口形式为槽位号(12位)+端口号(8位)+VLAN ID(12位)

对于ADSL接入用户的物理端口,不受此命令的影响,端口形式是:槽位号(4位)+子槽位号(2位)+端口号(2位)+VPI(8位)+VCI(16位)。

使用实例

# 配置NAS端口形式为new

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] radius-server nas-port-format new

radius-server nas-port-id-format

命令功能

radius-server nas-port-id-format命令用来配置NAS端口ID的形式。

undo radius-server nas-port-id-format命令用来恢复NAS端口ID的形式为缺省值。

缺省情况下,采用新的NAS端口ID形式。

命令格式

radius-server nas-port-id-format { new [ client-option82 ] | old | vendor vendor-id }

undo radius-server nas-port-id-format

参数说明

参数

参数说明

取值

new

指定采用新的NAS端口ID形式。

-

client-option82

指定NAS端口ID形式是Option82选项的内容。

-

old

指定采用旧的NAS端口ID形式。

-

vendor vendor-id

指定采用厂商自定义的NAS端口ID形式。

整数形式,当前仅支持取值为9,即仅支持CISCO厂商的NAS端口ID形式。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

NAS端口ID与NAS端口形式都属于华为公司内部扩展的属性,用于华为公司设备之间的互通和业务配合。

注意事项

选择new参数:
  • 对于以太接入用户,NAS端口ID形式为:“slot=XX;subslot=XX;port=XXX;VLAN ID=XXXX”,其中,Slot取值范围是0~15,Subslot取值范围是0~15,Port取值范围是0~255,VLAN ID取值范围是1~4094。
  • 对于ADSL接入用户:NAS端口ID形式为“slot=XX;subslot=X;port=X;VPI=XXX;VCI=XXXXX”,其中,Slot取值范围是0~15,Subslot取值范围是0~9,Port取值范围是0~9,VPI取值范围是0~255,VCI取值范围是0~65535。
选择new client-option82参数:当PPPoE或DHCP用户上线时,如果报文中包含Option82选项,设备会将Option82选项中的Circuit ID子选项的内容封装到RADIUS报文的属性NAS-Port-Id(87)中,通过RADIUS报文上送到RADIUS服务器,实现用户账号与接入位置进行绑定,避免出现账号共用的问题。此时,RADIUS属性NAS-Port-Id(87)的格式与Option82选项中的Circuit ID子选项格式一致,Circuit ID子选项格式配置命令请参见命令dhcp option82 format或命令pppoe intermediate-agent information format
说明:
  • 如果PPPoE或DHCP报文中不包含Option82选项,RADIUS属性NAS-Port-Id(87)的格式为new
  • 选择new client-option82参数时,设备会取Option82选项中的Circuit ID子选项的前128字节的内容封装到RADIUS报文的属性NAS-Port-Id(87)中,如果前128字节中有0,则仅截取第一个0前面的字符。如果Circuit ID的第一个字符为0或者没有Circuit ID的值,RADIUS属性NAS-Port-Id(87)的格式为new
选择old参数:
  • 对于以太接入用户,NAS端口ID形式为:端口号(两个字符)+子槽号(两个字节)+卡号(三个字节)+VLAN ID(9个字符)
  • 对于ADSL接入用户,NAS端口ID形式为:端口号(两个字符)+子槽号(两个字节)+卡号(三个字节)+VPI(8个字符)+VCI(16个字符),字节数不够的,在前面补零。

使用实例

# 配置NAS端口ID形式为new

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] radius-server nas-port-id-format new

radius-server retransmit timeout dead-time

命令功能

radius-server retransmit timeout dead-time命令用来设置RADIUS认证请求报文的超时重传次数、超时时间和服务器恢复激活状态的时间。

undo radius-server retransmit timeout dead-time命令用来恢复RADIUS认证请求报文的超时重传次数、超时时间和服务器恢复激活状态的时间为缺省配置。

缺省情况下,RADIUS认证请求报文的超时重传次数为3,超时时间是5秒,服务器恢复激活状态的时间是5分钟。

命令格式

radius-server { retransmit retry-times | timeout time-value | dead-time dead-time } *

undo radius-server { retransmit [ retry-times ] | timeout [ time-value ] | dead-time [ dead-time ] } *

参数说明

参数

参数说明

取值

retransmit retry-times

指定超时重传次数。这里的报文超时重传次数是指报文的发送次数。

整数形式,取值范围是1~5。

timeout time-value

指定超时时间。

整数形式,取值范围是1~10,单位是秒。

dead-time dead-time

服务器恢复激活状态的时间。

整数形式,取值范围是1~65535,单位为分钟。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

设备发送用户的RADIUS认证请求报文到服务器时具有超时重传机制,整体重传时间取决于重传间隔、重传次数、RADIUS服务器的状态以及RADIUS服务器模板中配置的服务器个数。

通过命令radius-server retransmit retry-times和命令radius-server timeout time-value配置重传次数和重传间隔时间。设备发送认证请求报文到RADIUS服务器,如果在重传间隔时间内,设备未收到RADIUS服务器发回的应答报文,会再次发送认证请求报文。

通过命令radius-server dead-time dead-time配置RADIUS服务器Down状态可持续的时长。设备将RADIUS服务器的状态标记为Down,等待设置的dead-time时间后,设备会重新将服务器的状态标记为强制Up。如果有新用户需要通过RADIUS认证方式进行认证,在没有可用的RADIUS服务器的情况下,设备尝试和强制Up的服务器重新建立连接。强制Up的目的在于给状态为Down的服务器一些机会,使其不会一直处于空闲状态。
说明:

在开启自动探测功能的情况下,设备会立即向强制Up状态的RADIUS服务器发送探测报文,在超时等待时间内,如果收到RADIUS服务器的报文,设备会将RADIUS服务器的状态标记为Up;如果没有收到,则将RADIUS服务器的状态标记为Down。如果没有开启自动探测功能,设备只能在收到用户认证请求报文后,才会触发RADIUS服务器状态更新。

通过执行本命令可以提高RADIUS认证过程的可靠性。

注意事项

  • RADIUS认证请求报文的重传时间(即超时重传次数乘以超时时间)要比Portal服务器请求报文的重传时间设置短一些。
  • 如果RADIUS服务器模板下配置了8个以上认证服务器的IP地址,则建议将超时重传次数和超时时间调小。

使用实例

# 配置RADIUS认证请求报文的超时重传次数为3,重传超时时间为2秒,服务器恢复激活状态的时间为10分钟

<HUAWEI> system-view
[HUAWEI] radius-server template test1
[HUAWEI-radius-test1] radius-server retransmit 3 timeout 2 dead-time 10

radius-server session-manage

命令功能

radius-server session-manage命令用来使能RADIUS服务器的会话管理功能。

undo radius-server session-manage命令用来去使能RADIUS服务器的会话管理功能。

缺省情况下,RADIUS服务器未使能会话管理功能。

命令格式

radius-server session-manage { ip-address [ vpn-instance vpn-instance-name ] shared-key cipher share-key | any }

undo radius-server session-manage [ ip-address [ vpn-instance vpn-instance-name ] | all ]

参数说明

参数

参数说明

取值

ip-address

指定RADIUS会话管理服务器的IP地址。

点分十进制格式。

vpn-instance vpn-instance-name

指定RADIUS会话管理服务器绑定的VPN实例名称。

必须是已存在的VPN实例名称。

shared-key cipher share-key

指定RADIUS会话管理服务器的共享密钥。

字符串形式,不支持空格和问号,区分大小写。share-key可以是长度为1~128位的明文形式,也可以是长度为48、68、88、108、128、148、168或者188位的密文形式。

any

不指定具体的RADIUS会话管理服务器。

-

all

指定删除所有RADIUS会话管理服务器。

-

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

为了提高设备的安全性,通过执行本命令使能RADIUS服务器的会话管理功能,设备对收到的Session-manage协议报文进行源IP、共享密钥检查,对于与配置的IP地址以及共享密钥相匹配的报文进行接收处理,若不匹配,则丢弃。

注意事项

  • 该命令从V200R010C00版本开始支持。设备由V200R010C00之前版本升级到V200R010C00及其之后版本时,默认配置命令radius-server session-manage any
  • 配置RADIUS会话管理服务器为any时存在安全风险,推荐配置指定RADIUS会话管理服务器的IP地址以及RADIUS共享密钥。

使用实例

# 使能RADIUS服务器的会话管理功能并配置RADIUS会话管理服务器的IP地址为10.1.1.1、共享密钥为Huawei@2012。

<HUAWEI> system-view
[HUAWEI] radius-server session-manage 10.1.1.1 shared-key cipher Huawei@2012

radius-server shared-key(RADIUS服务器模板视图)

命令功能

radius-server shared-key命令用来配置RADIUS服务器的共享密钥。

undo radius-server shared-key命令用来删除RADIUS服务器的共享密钥。

缺省情况下,系统没有配置RADIUS服务器的共享密钥。

命令格式

radius-server shared-key cipher key-string

undo radius-server shared-key

参数说明

参数

参数说明

取值

cipher

以密文形式显示共享密钥。

-

key-string

指定RADIUS共享密钥。

字符串形式,不支持空格、单引号和问号,区分大小写。key-string可以是长度为1~128位的明文形式,也可以是长度为48、68、88、108、128、148、168或188位的密文形式。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

密钥用于加密用户口令及生成回应认证符。

设备和RADIUS服务器在发送认证报文时,对口令等重要信息使用MD5加密,确保认证信息在网络中传输的安全性。为了确保认证双方身份的合法性,要求设备上的密钥与RADIUS服务器的密钥相同。

注意事项

V200R010C00SPC300之前版本的设备,缺省情况下,RADIUS共享密钥为huawei,查看配置时不显示。

V200R010C00SPC300及后续版本设备,缺省情况下,无RADIUS共享密钥。

V200R010C00SPC300之前版本的设备,如果未修改缺省的RADIUS共享密钥,升级到V200R010C00SPC300及后续版本时,会自动执行命令radius-server shared-key huawei配置其RADIUS共享密钥为huawei

使用实例

# 配置RADIUS服务器的共享密钥为Huawei@2012,以密文形式显示。

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] radius-server shared-key cipher Huawei@2012

radius-server shared-key(系统视图)

命令功能

radius-server shared-key命令用来配置RADIUS服务器的共享密钥。

undo radius-server shared-key命令用来删除RADIUS服务器的共享密钥。

缺省情况下,全局下没有配置RADIUS服务器的共享密钥。

命令格式

radius-server ip-address { ipv4-address | ipv6-address } shared-key cipher key-string

undo radius-server ip-address { ipv4-address | ipv6-address } shared-key

参数说明

参数

参数说明

取值

ip-address { ipv4-address | ipv6-address } shared-key

指定RADIUS服务器的IPv4或IPv6地址。

  • ipv4-address:点分十进制格式。

  • ipv6-address:32位16进制数,格式为X:X:X:X:X:X:X:X。

cipher key-string

指定密文形式的共享密钥。

字符串形式,不支持空格、单引号和问号,区分大小写。key-string可以是长度为1~128位的明文形式,也可以是长度为48、68、88、108、128、148、168或188位的密文密码。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

密钥用于加密用户口令及生成回应认证符。

设备和RADIUS服务器在发送认证报文时,对口令等重要信息使用MD5加密,确保认证信息在网络中传输的安全性。为了确保认证双方身份的合法性,要求设备上的密钥与RADIUS服务器的密钥相同。

RADIUS服务器模板下可以执行命令radius-server shared-key(RADIUS服务器模板视图)配置RADIUS服务器的密钥,但是该模板下的所有RADIUS服务器的密钥都相同,无法区分不同RADIUS服务器的密钥。如果需要区分不同RADIUS服务器的密钥,则可以在全局下执行命令radius-server shared-key,配置不同RADIUS服务器的密钥。

注意事项

为提高安全性,建议密钥至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密钥长度不小6个字符。

RADIUS服务器模板和全局下都配置RADIUS服务器的密钥时,全局下配置的RADIUS服务器密钥优先生效。

使用实例

# 配置RADIUS服务器的共享密钥为Huawei@2012

<HUAWEI> system-view
[HUAWEI] radius-server ip-address 10.1.1.1 shared-key cipher Huawei@2012

radius-server support chargeable-user-identity

命令功能

radius-server support chargeable-user-identity命令用来配置设备支持CUI属性。

undo radius-server support chargeable-user-identity命令用来恢复缺省配置。

缺省情况下,设备不支持CUI属性。

命令格式

radius-server support chargeable-user-identity [ not-reject ]

undo radius-server support chargeable-user-identity

参数说明

参数

参数说明

取值

not-reject

指定设备不处理CUI属性。

-

视图

RADIUS服务器模板视图

缺省级别

2:配置级

使用指南

在运营商网络漫游计费场景中,同一用户在不同网络环境下注册的用户名可能不同,因此用户名无法作为计费的唯一标识。此时,可以通过RFC定义的RADIUS CUI(Chargeable-User-Identity)属性来解决该问题,RADIUS认证服务器能为用户提供唯一的CUI属性值,作为用户的计费标识。

缺省情况下,设备发送的RADIUS Access-Request报文中不携带CUI属性。如果RADIUS服务器回应的Access-Accept报文中存在CUI属性,则设备保存CUI属性,不做其他处理,并在后继的计费请求报文(包括Accounting-Request(Start)、Accounting-Request(Interim-update)和Accounting-Request(Stop))中原样携带。

配置命令radius-server support chargeable-user-identity [ not-reject ]后,设备在发送的RADIUS Access-Request报文中携带CUI属性,取值为Null。
  • 如果RADIUS服务器回应的Access-Accept报文中存在CUI属性,则设备保存CUI属性,并在后继的计费请求报文(包括Accounting-Request(Start)、Accounting-Request(Interim-update)和Accounting-Request(Stop))中原样携带;在用户后续的重认证、认证覆盖、漫游等触发的Access-Request报文中携带之前下发的CUI属性。
  • 如果RADIUS服务器回应的Access-Accept报文中没有携带CUI属性或CUI属性取值为Null:
    • 如果没有指定参数not-reject,则用户认证失败;
    • 如果指定了参数not-reject,则设备忽略CUI属性,用户认证成功。

使用实例

# 配置设备支持CUI属性。

<HUAWEI> system-view
[HUAWEI] radius-server template test1
[HUAWEI-radius-test1] radius-server support chargeable-user-identity

radius-server template

命令功能

radius-server template命令用来创建RADIUS服务器模板,并进入RADIUS服务器模板视图。

undo radius-server template命令用来删除一个RADIUS服务器模板。

缺省情况下,设备上存在一个名为“default”的RADIUS服务器模板,只能修改,不能删除。

命令格式

radius-server template template-name

undo radius-server template template-name

参数说明

参数

参数说明

取值

template-name

指定RADIUS服务器模板的名称。

字符串形式,区分大小写,长度范围是1~32。字符包括英文字母、数字0~9、点号“.”、下划线“_”和中划线“-”。不能配置为“-”或“--”。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

创建RADIUS服务器模板是配置RADIUS认证、计费的必选命令。只有创建RADIUS服务器模板后,才能进行RADIUS的其他配置,如认证服务器、计费服务器、共享密钥等。

后续任务

创建RADIUS服务器模板后,在RADIUS服务器模板视图下配置认证服务器、计费服务器、共享密钥等,然后在AAA域视图下执行radius-server(AAA域视图)命令应用RADIUS服务器模板。

使用实例

# 创建配置名为template1的RADIUS服务器模板并进入相应的RADIUS服务器模板视图。

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] 

radius-server testuser

命令功能

radius-server testuser命令用来开启自动探测功能并配置自动探测账号。

undo radius-server testuser命令用来恢复缺省配置。

缺省情况下,没有开启自动探测功能。

命令格式

radius-server testuser username user-name password cipher password

undo radius-server testuser

参数说明

参数

参数说明

取值

username user-name

探测用户名。

字符串形式,区分大小写,长度范围是1~253。当用户名含空格时,必须用双引号""括起来,例如"user for test"。

password cipher password

探测用户密码。

字符串形式,不支持空格和问号,区分大小写,长度范围是1~128。若为密文形式用户口令,长度是48、68、88、108、128、148、168或188。

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

RADIUS服务器的状态被标记为Down后,通过自动探测功能可以检测RADIUS服务器的可达性。

开启自动状态探测功能只需在设备的RADIUS服务器模板视图下配置自动探测用户名和密码,在RADIUS服务器上不需要配置此自动探测账号。认证无需成功,设备能收到认证失败响应报文就能证明RADIUS服务器是正常工作的,就会将RADIUS服务器的状态标记为Up;不能收到响应报文就能证明RADIUS服务器不可用,就会将RADIUS服务器的状态标记为Down。

按照RADIUS服务器状态的差异,自动探测可以分为以下三种情况:
  • Down状态:缺省情况下,设备仅对状态为Down的RADIUS服务器进行自动探测。RADIUS服务器的状态被标记为Down后,在自动探测周期过后,会向RADIUS服务器发送探测报文。在探测报文的超时等待时间内,如果设备收到了RADIUS服务器的报文,会将RADIUS服务器的状态标记为Up;如果没有收到,则保持RADIUS服务器的状态为Down。

  • Up状态:设备也支持通过命令行开启对状态为Up的RADIUS服务器进行自动探测。自动探测周期过后,设备向RADIUS服务器发送探测报文,如果在满足将RADIUS服务器的状态标记为Down的条件,则将RADIUS服务器的状态标记为Down。

    说明:

    在大型企业网络中,不建议开启对Up状态的RADIUS服务器进行自动探测的功能。这是由于如果多个NAS设备均开启该功能,RADIUS服务器在处理用户认证请求报文的同时还会收到大量周期性的探测报文,会导致RADIUS服务器的处理性能降低。

  • Force-up状态:设备将RADIUS服务器的状态标记为Force-up后,在开启自动探测功能的情况下,会立即发送探测报文,在超时等待时间内,如果收到RADIUS服务器的报文,设备会将RADIUS服务器的状态标记为Up;反之,则将RADIUS服务器的状态标记为Down。

探测报文的超时等待时间通过命令radius-server detect-server timeout配置。

使用实例

# 在RADIUS模板acs下创建自动探测账号,用户名为test,密码为Huawei@2012。

<HUAWEI> system-view
[HUAWEI] radius-server template acs
[HUAWEI-radius-acs] radius-server testuser username test password cipher Huawei@2012

radius-server traffic-unit

命令功能

radius-server traffic-unit命令用来配置RADIUS流量单位。

undo radius-server traffic-unit命令用来恢复RADIUS流量单位为缺省值。

缺省情况下,设备以(byte)作为RADIUS流量单位。

命令格式

radius-server traffic-unit { byte | kbyte | mbyte | gbyte }

undo radius-server traffic-unit

参数说明

参数

参数说明

取值

byte

指定流量单位为字节。

-

kbyte

指定流量单位为千字节。

-

mbyte

指定流量单位为兆(Mega)字节。

-

gbyte

指定流量单位为吉(Giga)字节。

-

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

不同的RADIUS服务器使用的流量单位可能不同,因此需要在设备上针对每一个RADIUS服务器组设置流量单位,和RADIUS服务器保持一致。

使用实例

# 使用千字节作为RADIUS流量单位。

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] radius-server traffic-unit kbyte

radius-server user-name domain-included

命令功能

radius-server user-name domain-included命令用来配置设备向RADIUS服务器发送的报文中的用户名包含域名。

radius-server user-name original命令用来配置设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。

undo radius-server user-name domain-included命令用来配置设备向RADIUS服务器发送的报文中的用户名不包含域名。

undo radius-server user-name domain-included except-eap命令用来配置设备向RADIUS服务器发送的报文中的用户名不包含域名(除EAP认证外的其他认证方式)。

缺省情况下,设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。

命令格式

radius-server user-name domain-included

radius-server user-name original

undo radius-server user-name domain-included

undo radius-server user-name domain-included except-eap

参数说明

视图

RADIUS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

用户名通常采用“纯用户名@域名”格式,@后面的部分为域名。这里@表示域名分隔符,域名分隔符也可以是 \ / : < > | ' % 中的一种

如果RADIUS服务器不接受带域名的用户名,可以执行undo radius-server user-name domain-included命令配置将用户名的域名去掉,再发送给RADIUS服务器。

注意事项

如果配置了设备向RADIUS服务器发送的报文中的用户名包含域名,请确保用户名长度(纯用户名+域名分隔符+域名之和)小于等于253位,否则设备无法在RADIUS报文中携带该用户名,导致认证失败。

使用实例

# 设置用户名格式中不包含域名。

<HUAWEI> system-view
[HUAWEI] radius-server template template1
[HUAWEI-radius-template1] undo radius-server user-name domain-included

reset radius-server accounting-stop-packet

命令功能

reset radius-server accounting-stop-packet命令用来清除RADIUS计费停止报文剩余的缓存信息。

命令格式

reset radius-server accounting-stop-packet { all | ip { ipv4-address | ipv6-address } }

参数说明

参数

参数说明

取值

all

清除所有RADIUS计费停止报文剩余的缓存信息。

-

ip ipv4-address

清除含指定IPv4地址的RADIUS计费停止报文剩余的缓存信息。

ipv4-address为点分十进制格式。

ip ipv6-address

清除含指定IPv6地址的RADIUS计费停止报文剩余的缓存信息。

32位16进制数,格式为X:X:X:X:X:X:X:X。

视图

用户视图

缺省级别

3:管理级

使用指南

使用该命令,可用来删除RADIUS计费停止报文剩余的缓存。同时,清除剩余的缓存,以前的信息将无法恢复。

使用实例

# 清除所有RADIUS计费停止报文剩余的缓存信息。

<HUAWEI> reset radius-server accounting-stop-packet all

snmp-agent trap enable feature-name radius

命令功能

snmp-agent trap enable feature-name radius命令用来打开RDS模块的告警开关。

undo snmp-agent trap enable feature-name radius命令用来关闭RDS模块的告警开关。

缺省情况下,RDS模块的告警开关处于关闭状态。

命令格式

snmp-agent trap enable feature-name radius [ trap-name { hwradiusacctserverdown | hwradiusacctserverup | hwradiusauthserverdown | hwradiusauthserverup } ]

undo snmp-agent trap enable feature-name radius [ trap-name { hwradiusacctserverdown | hwradiusacctserverup | hwradiusauthserverdown | hwradiusauthserverup } ]

参数说明

参数

参数说明

取值

trap-name

RDS模块的指定类型事件的告警开关。

-

hwradiusacctserverdown

使能当设备探测到RADIUS计费服务器通讯中断时发送华为私有Trap消息。

-

hwradiusacctserverup

使能当设备探测到RADIUS计费服务器通讯恢复时发送华为私有Trap消息。

-

hwradiusauthserverdown

使能当设备探测到RADIUS认证服务器通讯中断时发送华为私有Trap消息。

-

hwradiusauthserverup

使能当设备探测到RADIUS认证服务器通讯恢复时发送华为私有Trap消息。

-

视图

系统视图

缺省级别

3:管理级

使用指南

打开告警开关之后,设备在运行过程中才能产生告警,并通过SNMP将产生的告警上送给网管;否则设备不会产生告警,SNMP模块也不会将告警上送给网管。

可以根据需要选择trap-name,只打开某个或某几个事件的告警开关。

使用实例

# 打开RDS模块的hwradiusacctserverdown告警。

<HUAWEI> system-view
[HUAWEI] snmp-agent trap enable feature-name radius trap-name hwradiusacctserverdown

test-aaa

命令功能

test-aaa命令用来测试设备与认证服务器或计费服务器的连通性,认证服务器或计费服务器是否可以正常对用户进行认证或计费

命令格式

test-aaa user-name user-password radius-template template-name [ chap | pap | accounting [ start | realtime | stop ] ]

test-aaa user-name user-password hwtacacs-template template-name [ accounting [ start | realtime | stop ] ]

参数说明

参数

参数说明

取值

user-name

指定用户名。

字符串形式,不区分大小写,长度范围是1~253。当用户名含空格时,必须用双引号""括起来。

user-password

指定用户密码。

字符串形式,区分大小写,长度范围是1~128。

radius-template template-name

指定RADIUS服务器模板名称。

RADIUS服务器模板必须已经存在。

chap

指定认证方式为CHAP认证。NAS设备把用户名和加密后的密码,以及一个16字节随机码传给RADIUS服务器。RADIUS服务器根据用户名查找数据库得到密码,然后根据收到的16字节的随机码对密码进行加密,将其结果与传来的密码作比较,如果相同表明验证通过,如果不相同表明验证失败。另外如果验证成功,RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问(Challenge)。

-

pap

指定认证方式为PAP认证。NAS设备把用户名和加密后的密码放到验证请求包的相应属性中传递给RADIUS服务器。根据RADIUS服务器的返回结果来决定是否允许用户上线。

-

accounting

指定计费。默认发送的计费报文是开始计费报文。

-

start

指定发送的报文是开始计费报文。

-

realtime

指定发送的报文是实时计费报文。

-

stop

指定发送的报文是停止计费报文。

-

hwtacacs-template template-name

指定HWTACACS服务器模板名称。

HWTACACS服务器模板必须已经存在。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

如果某个用户无法通过认证或计费,可以在设备上执行test-aaa命令定位故障:

  • 如果测试结果表明该用户可以通过服务器认证或计费,则证明故障出现在接入认证或计费
  • 如果测试结果表明该用户无法通过服务器认证或计费,则证明故障出现在服务器认证或计费

前置条件

执行此命令前,认证服务器模板或计费服务器模板必须已经创建完成,并且在该模板下配置认证服务器或计费服务器。此外,要求已经完成认证服务器或计费服务器上的配置。

后续任务

如果test-aaa命令的测试结果表明用户无法通过服务器认证或计费,则需要检查服务器模板和服务器上的配置是否正确、网络连通性是否正常。

注意事项

chappap是两种认证方式:
  • PAP(Password Authentication Protocol ):NAS(Network Access Service)设备把用户名和加密后的密码放到验证请求包的相应属性中传递给RADIUS服务器。根据RADIUS服务器的返回结果来决定是否允许用户上线。
  • CHAP(Challenge Handshake Authentication Protocol):NAS把用户名和密码、以及一个16字节随机码传给RADIUS服务器。RADIUS服务器根据用户名查找数据库,得到和用户端进行加密所用的一样的密码,然后将收到的16字节的随机码进行加密,将其结果与传来的密码作比较,如果相同表明验证通过,如果不相同表明验证失败。另外如果验证成功,RADIUS服务器同样可以生成一个16字节的随机码对用户进行询问(Challenge)。

执行此命令前,不需要完成完整的AAA认证或计费配置,只要完成创建服务器模板并配置认证服务器或计费服务器即可。

使用实例

# 测试用户user1是否能够通过huawei模板的CHAP认证。

<HUAWEI> test-aaa user1 userkey radius-template huawei chap
Info: The server template does not exist.
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10397

下载量:200

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页