所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
HWTACACS配置命令

HWTACACS配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

display hwtacacs-server accounting-stop-packet

命令功能

display hwtacacs-server accounting-stop-packet命令用来查看HWTACACS服务器发送的计费结束报文的信息。

命令格式

display hwtacacs-server accounting-stop-packet { all | number | ip ip-address }

参数说明

参数

参数说明

取值

all

查看所有计费结束报文的信息。

-

number

查看从指定编号开始的计费结束报文的信息。

整数形式,取值范围是1~65535。

ip ip-address

查看指定IP地址的HWTACACS服务器发送的计费结束报文的信息。

点分十进制形式。

视图

所有视图

缺省级别

3:管理级

使用指南

进行HWTACACS故障处理时,可以使用本命令来查看HWTACACS服务器发送的计费结束报文的信息。

使用实例

# 查看所有计费结束报文的信息。

<HUAWEI> display hwtacacs-server accounting-stop-packet all
-------------------------------------------------------------
NO. SendTime      IP Address                         Template
1   10            192.168.1.110                      tac
-------------------------------------------------------------
Whole accounting stop packet to resend:1
表13-36  display hwtacacs-server accounting-stop-packet命令显示信息说明

项目

描述

NO.

计费结束报文的编号。

SendTime

计费结束报文发送的次数。

IP Address

HWTACACS服务器的IP地址。

Template

HWTACACS服务器模板的名称。

Whole accounting stop packet to resend 设备发送的所有计费停止报文的个数。

display hwtacacs-server template

命令功能

display hwtacacs-server template命令用来查看HWTACACS服务器模板的配置信息。

命令格式

display hwtacacs-server template [ template-name ]

参数说明

参数

参数说明

取值

template-name

查看指定HWTACACS服务器模板的配置信息。

必须是已存在的HWTACACS服务器模板名称。

视图

所有视图

缺省级别

3:管理级

使用指南

本命令可以查看HWTACACS服务器模板的配置信息,用来检查HWTACACS服务器模板的配置是否正确,还可以帮助管理员定位故障。

使用实例

# 查看名称为template0的HWTACACS服务器模板的配置信息。

<HUAWEI> display hwtacacs-server template template0
  ---------------------------------------------------------------------------
  HWTACACS-server template name   : template0
  Primary-authentication-server   : 10.7.66.66:49 Vrf:- Status:UP
  Primary-authorization-server    : 10.7.66.66:49 Vrf:- Status:UP
  Primary-accounting-server       : 10.7.66.66:49 Vrf:- Status:UP
  Secondary-authentication-server : 10.7.66.67:49 Vrf:- Status:UP
  Secondary-authorization-server  : 10.7.66.67:49 Vrf:- Status:UP
  Secondary-accounting-server     : 10.7.66.67:49 Vrf:- Status:UP
  Third-authentication-server     : -:0 Vrf:- Status:-
  Third-authorization-server      : -:0 Vrf:- Status:-
  Third-accounting-server         : -:0 Vrf:- Status:-
  Current-authentication-server   : 10.7.66.66:49 Vrf:- Status:UP
  Current-authorization-server    : 10.7.66.66:49 Vrf:- Status:UP
  Current-accounting-server       : 10.7.66.66:49 Vrf:- Status:UP
  Source-IP-address               : -
  Source-LoopBack                 : -
  Shared-key                      : ****************
  Quiet-interval(min)             : 5
  Response-timeout-Interval(sec)  : 5
  Domain-included                 : Original
  Traffic-unit                    : B
  ---------------------------------------------------------------------------

display hwtacacs-server template verbose

命令功能

display hwtacacs-server template verbose命令用来查看HWTACACS认证、计费、授权的统计信息。

命令格式

display hwtacacs-server template template-name verbose

参数说明

参数

参数说明

取值

template-name

查看指定HWTACACS服务器模板的配置信息。

必须是已存在的HWTACACS服务器模板名称。

视图

所有视图

缺省级别

3:管理级

使用指南

应用场景

通过查看HWTACACS认证、计费、授权的统计信息,有助于管理员了解各模块间的交互,便于问题定位或者故障处理。

执行命令reset hwtacacs-server statistics { all | accounting | authentication | authorization },可以清除HWTACACS认证、计费、授权的统计信息。

注意事项

HWTACACS服务器模板下,必须已配置认证服务器的IP地址、授权服务器的IP地址或者计费服务器的IP地址,才能查询到相应的统计信息。

使用实例

# 在HWTACACS服务器模板“test1”下,查看HWTACACS的认证、计费、授权的统计信息。

[HUAWEI] display hwtacacs-server template test1 verbose
---[HWTACACS template test1 primary authentication]---                                                                              
HWTACACS server open number: 1670281960                                                                                             
HWTACACS server close number: 508333868                                                                                             
HWTACACS authen client access request packet number: 0                                                                              
HWTACACS authen client access response packet number: 0                                                                             
HWTACACS authen client unknown type number: 0                                                                                       
HWTACACS authen client timeout number: 0                                                                                            
HWTACACS authen client packet dropped number: 0                                                                                     
HWTACACS authen client access request change password number: 0                                                                     
HWTACACS authen client access request login number: 0                                                                               
HWTACACS authen client access request send authentication number: 0                                                                 
HWTACACS authen client access request send password number: 0                                                                       
HWTACACS authen client access connect abort number: 0                                                                               
HWTACACS authen client access connect packet number: 0                                                                              
HWTACACS authen client access response error number: 0                                                                              
HWTACACS authen client access response failure number: 0                                                                            
HWTACACS authen client access response follow number: 0                                                                             
HWTACACS authen client access response getdata number: 0                                                                            
HWTACACS authen client access response getpassword number: 0                                                                        
HWTACACS authen client access response getuser number: 0                                                                            
HWTACACS authen client access response pass number: 0                                                                               
HWTACACS authen client access response restart number: 0                                                                            
HWTACACS authen client malformed access response number: 0                                                                          
HWTACACS authen client round trip time(s): 0                                                                                        
---[HWTACACS template test1 primary authorization]---                                                                               
HWTACACS server open number: 1670281960                                                                                             
HWTACACS server close number: 508333868                                                                                             
HWTACACS author client request packet number: 0                                                                                     
HWTACACS author client response packet number: 0                                                                                    
HWTACACS author client timeout number: 0                                                                                            
HWTACACS author client packet dropped number: 0                                                                                     
HWTACACS author client unknown type number: 0                                                                                       
HWTACACS author client request EXEC number: 0                                                                                       
HWTACACS author client request PPP number: 0                                                                                        
HWTACACS author client request VPDN number: 0                                                                                       
HWTACACS author client response error number: 0                                                                                     
HWTACACS author client response EXEC number: 0                                                                                      
HWTACACS author client response PPP number: 0                                                                                       
HWTACACS author client response VPDN number: 0                                                                                      
HWTACACS author client round trip time(s): 0                                                                                        
---[HWTACACS template test1 primary accounting]---                                                                                  
HWTACACS server open number: 1670281960                                                                                             
HWTACACS server close number: 508333868                                                                                             
HWTACACS account client request packet number: 0                                                                                    
HWTACACS account client response packet number: 0                                                                                   
HWTACACS account client unknown type number: 0                                                                                      
HWTACACS account client timeout number: 0                                                                                           
HWTACACS account client packet dropped number: 0                                                                                    
HWTACACS account client request command level number: 0                                                                             
HWTACACS account client request connection number: 0                                                                                
HWTACACS account client request EXEC number: 0                                                                                      
HWTACACS account client request network number: 0                                                                                   
HWTACACS account client request system event number: 0                                                                              
HWTACACS account client request update number: 0                                                                                    
HWTACACS account client response error number: 0                                                                                    
HWTACACS account client round trip time(s): 0
表13-37  display hwtacacs-server template verbose命令显示信息说明

项目

描述

HWTACACS template test1 primary authentication

HWTACACS服务器模板test1主认证服务器的相关统计信息。如果配置了第二备用(secondary)和第三备用(third)认证服务器,相关统计信息也会显示。显示信息包括:

  • HWTACACS server open number:HWTACACS服务器Socket连接建立次数
  • HWTACACS server close number:HWTACACS服务器Socket断开建立次数
  • HWTACACS authen client access request packet number:HWTACACS客户端认证请求报文数量
  • HWTACACS authen client access response packet number:HWTACACS客户端认证回应报文数量
  • HWTACACS authen client unknown type number:HWTACACS客户端认证未知类型消息数量
  • HWTACACS authen client timeout number:HWTACACS客户端认证超时次数
  • HWTACACS authen client packet dropped number:HWTACACS客户端认证报文丢弃次数
  • HWTACACS authen client access request change password number:HWTACACS客户端修改密码请求次数
  • HWTACACS authen client access request login number:HWTACACS客户端登录请求次数
  • HWTACACS authen client access request send authentication number:HWTACACS客户端发送认证请求次数
  • HWTACACS authen client access request send password number:HWTACACS客户端发送密码次数
  • HWTACACS authen client access connect abort number:HWTACACS客户端发送终止报文数量
  • HWTACACS authen client access connect packet number:HWTACACS客户端发送持续报文数量
  • HWTACACS authen client access response error number:HWTACACS客户端收到错误报文数量
  • HWTACACS authen client access response failure number:HWTACACS客户端收到认证失败报文数量
  • HWTACACS authen client access response follow number:HWTACACS客户端收到服务器要求重新认证的报文数量
  • HWTACACS authen client access response getdata number:HWTACACS客户端收到服务器请求用户信息的报文数量
  • HWTACACS authen client access response getpassword number:HWTACACS客户端收到服务器请求用户密码的报文数量
  • HWTACACS authen client access response getuser number:HWTACACS客户端收到服务器请求用户名的报文数量
  • HWTACACS authen client access response pass number:HWTACACS客户端收到认证成功的报文数量
  • HWTACACS authen client access response restart number:HWTACACS客户端收到服务器要求重新发送认证开始报文的数量
  • HWTACACS authen client malformed access response number:HWTACACS客户端收到非法回应报文的数量
  • HWTACACS authen client round trip time(s):HWTACACS服务器上次认证回应时间
HWTACACS template test1 primary authorization

HWTACACS服务器模板test1主授权服务器的相关统计信息。如果配置了第二备用(secondary)和第三备用(third)授权服务器,相关统计信息也会显示。显示信息包括:

  • HWTACACS server open number:HWTACACS服务器Socket连接建立次数
  • HWTACACS server close number:HWTACACS服务器Socket断开建立次数
  • HWTACACS author client request packet number:HWTACACS客户端授权请求报文数量
  • HWTACACS author client response packet number:HWTACACS客户端授权回应报文数量
  • HWTACACS author client timeout number:HWTACACS客户端授权超时次数
  • HWTACACS author client packet dropped number:HWTACACS客户端授权报文丢弃次数
  • HWTACACS author client unknown type number:HWTACACS客户端未知授权报文数量
  • HWTACACS author client request EXEC number:HWTACACS客户端授权EXEC用户请求报文数量
  • HWTACACS author client request PPP number:HWTACACS客户端授权PPP用户请求报文数量
  • HWTACACS author client request VPDN number:HWTACACS客户端授权VPDN用户请求报文数量
  • HWTACACS author client response error number:HWTACACS客户端收到错误授权回应报文数量
  • HWTACACS author client response EXEC number:HWTACACS客户端收到授权EXEC用户回应报文数量
  • HWTACACS author client response PPP number:HWTACACS客户端收到授权PPP用户回应报文数量
  • HWTACACS author client response VPDN number:HWTACACS客户端收到授权VPDN用户回应报文数量
  • HWTACACS author client round trip time(s):HWTACACS服务器上次授权回应时间
HWTACACS template test1 primary accounting

HWTACACS服务器模板test1主计费服务器的相关统计信息。如果配置了第二备用(secondary)和第三备用(third)计费服务器,相关统计信息也会显示。显示信息包括:

  • HWTACACS server open number:HWTACACS服务器Socket连接建立次数
  • HWTACACS server close number:HWTACACS服务器Socket断开建立次数
  • HWTACACS account client request packet number:HWTACACS客户端计费请求报文数量
  • HWTACACS account client response packet number:HWTACACS客户端计费回应报文数量
  • HWTACACS account client unknown type number:HWTACACS客户端计费未知类型报文数量
  • HWTACACS account client timeout number:HWTACACS客户端计费超时次数
  • HWTACACS account client packet dropped number:HWTACACS客户端计费报文丢弃次数
  • HWTACACS account client request command level number:HWTACACS客户端计费请求命令行等级报文数量
  • HWTACACS account client request connection number:HWTACACS客户端计费请求连接次数
  • HWTACACS account client request EXEC number:HWTACACS客户端计费请求EXEC报文数量
  • HWTACACS account client request network number:HWTACACS客户端计费请求Network报文数量
  • HWTACACS account client request system event number:HWTACACS客户端计费请求系统事件报文数量
  • HWTACACS account client request update number:HWTACACS客户端计费请求更新报文数量
  • HWTACACS account client response error number:HWTACACS客户端计费请求错误报文数量
  • HWTACACS account client round trip time(s):HWTACACS服务器上次计费报文回应时间

hwtacacs enable

命令功能

hwtacacs enable命令用来使能HWTACACS功能。

undo hwtacacs enable命令用来去使能HWTACACS功能。

缺省情况下,HWTACACS功能处于使能状态。

命令格式

hwtacacs enable

undo hwtacacs enable

参数说明

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

当用户需要使用HWTACACS认证、授权或计费时,需要使用hwtacacs enable命令开启HWTACACS功能。

注意事项

执行命令undo hwtacacs enable关闭HWTACACS功能时,如果有用户正在进行HWTACACS认证或授权,或在线的用户使用HWTACACS计费,该命令执行不成功。

使用实例

# 关闭HWTACACS功能。

<HUAWEI> system-view
[HUAWEI] undo hwtacacs enable

hwtacacs-server

命令功能

hwtacacs-server命令用来配置域的HWTACACS服务器模板。

undo hwtacacs-server命令用来删除域的HWTACACS服务器模板。

缺省情况下,没有配置域的HWTACACS服务器模板。

命令格式

hwtacacs-server template-name

undo hwtacacs-server

参数说明

参数

参数说明

取值

template-name

指定HWTACACS服务器模板名称。

必须是已存在的HWTACACS服务器模板名称。

视图

AAA域视图

缺省级别

3:管理级

使用指南

应用场景

如果需要对某个域的用户进行HWTACACS认证、授权、计费,需要配置域的HWTACACS服务器模板。配置域的HWTACACS服务器模板后,模板下的配置才能生效。

前置条件

配置域的HWTACACS服务器模板前,必须已经通过hwtacacs-server template命令创建HWTACACS服务器模板。

使用实例

# 设置域tacacs1使用HWTACACS服务器模板tacacs1。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template tacacs1
[HUAWEI-hwtacacs-tacacs1] quit
[HUAWEI] aaa
[HUAWEI-aaa] domain tacacs1
[HUAWEI-aaa-domain-tacacs1] hwtacacs-server tacacs1

hwtacacs-server accounting

命令功能

hwtacacs-server accounting命令用来配置HWTACACS计费服务器。

undo hwtacacs-server accounting命令用来删除HWTACACS计费服务器的配置。

缺省情况下,未配置HWTACACS计费服务器。

命令格式

hwtacacs-server accounting ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ] [ secondary | third ]

undo hwtacacs-server accounting [ secondary | third ]

参数说明

参数

参数说明

取值

ip-address

指定HWTACACS计费服务器的IP地址。

点分十进制格式。必须是有效的单播地址。

port

指定HWTACACS计费服务器的端口号。

整数形式,取值范围是1~65535。缺省端口号是49。

public-net

指定在公网中连接HWTACACS计费服务器。

-

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

必须是已存在的VPN实例名称。

secondary

指定第二个HWTACACS计费服务器为备用服务器。如果不配置secondarythird参数,则表示指定的是主用HWTACACS计费服务器。

-

third

指定第三个HWTACACS计费服务器为备用服务器。如果不配置secondarythird参数,则表示指定的是主用HWTACACS计费服务器。

-

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

由于设备不支持本地计费,所以需要计费服务器来完成计费。配置HWTACACS服务器模板中的计费服务器后,设备才可以将计费报文发送给计费服务器。

注意事项

  • 只有当设备没有与指定的服务器建立TCP连接时,才允许修改该配置。

  • 主用服务器和备用服务器的IP地址不能相同,否则将提示配置不成功。

  • 同一个HWTACACS服务器模板内,如果多次执行此命令类型相同(例如都是主用)的服务器时,新的配置将覆盖原来的配置。

使用实例

# 配置主用HWTACACS计费服务器。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template test1
[HUAWEI-hwtacacs-test1] hwtacacs-server accounting 10.163.155.12 52

hwtacacs-server accounting-stop-packet resend

命令功能

hwtacacs-server accounting-stop-packet resend命令用来配置是否允许重发计费停止报文,以及可重发的计费停止报文个数。

缺省情况下,已使能计费停止报文重发功能,可重发的报文个数为100。

命令格式

hwtacacs-server accounting-stop-packet resend { disable | enable number }

参数说明

参数

参数说明

取值

disable

禁止重发计费停止报文。

-

enable number

使能重发计费停止报文,并指定重发个数。

整数形式,取值范围是1~300。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

用户下线后,设备将向HWTACACS计费服务器发送停止计费报文。服务器收到报文后,停止对该用户计费。如果网络临时故障造成计费服务器没有收到计费停止报文,那么在用户下线后服务器继续对该用户进行计费,这对用户来讲是不合理的。为了避免网络临时故障造成计费服务器没有收到计费停止报文,可以配置设备多次发送计费停止报文。

注意事项

  • 配置disable,计费停止报文只发送一次,即使失败了也不会重发。
  • 配置enable number,如果计费停止报文发送后,如果设备未收到HWTACACS服务器的回应或者收到回应失败,会重新发送计费停止报文,number是重发的个数。

使用实例

# 使能计费停止报文重发功能,每次可重发50个报文。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server accounting-stop-packet resend enable 50

hwtacacs-server authentication

命令功能

hwtacacs-server authentication命令用来配置HWTACACS认证服务器。

undo hwtacacs-server authentication命令用来删除HWTACACS认证服务器的配置。

缺省情况下,未配置HWTACACS认证服务器。

命令格式

hwtacacs-server authentication ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ] [ secondary | third ]

undo hwtacacs-server authentication [ secondary | third ]

参数说明

参数

参数说明

取值

ip-address

指定HWTACACS认证服务器的IP地址。

点分十进制格式。必须是有效的单播地址。

port

指定HWTACACS认证服务器的端口号。

整数形式,取值范围是1~65535。缺省端口号是49。

public-net

指定在公网中连接HWTACACS认证服务器。

-

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

必须是已存在的VPN实例名称。

secondary

指定第二个HWTACACS认证服务器为备用服务器。如果不配置secondarythird参数,则表示指定的是主用HWTACACS认证服务器。

-

third

指定第三个HWTACACS认证服务器为备用服务器。如果不配置secondarythird参数,则表示指定的是主用HWTACACS认证服务器。

-

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

如果用户需要使用HWTACACS方式进行认证,则必须配置HWTACACS认证服务器。如果同时配置了主用认证服务器和备用认证服务器,则当满足以下条件之一时,设备会向备用认证服务器发送认证请求报文。

  • 设备向主用认证服务器发送的请求报文发送失败;
  • 设备没有收到主用认证服务器返回的认证响应报文;
  • 主用认证服务器要求重新认证;
  • 主用认证服务器认为收到的认证请求报文错误。

注意事项

  • 只有当设备没有与指定的服务器建立TCP连接时,才允许修改该配置。

  • 主用服务器和备用服务器的IP地址不能相同,否则将提示配置不成功。

  • 同一个HWTACACS服务器模板内,如果多次执行此命令类型相同(例如都是主用)的服务器时,新的配置将覆盖原来的配置。

使用实例

# 配置HWTACACS主用认证服务器。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template test1
[HUAWEI-hwtacacs-test1] hwtacacs-server authentication 10.163.155.12 49

hwtacacs-server authorization

命令功能

hwtacacs-server authorization命令用来配置HWTACACS授权服务器。

undo hwtacacs-server authorization命令用来删除HWTACACS授权服务器的配置。

缺省情况下,未配置HWTACACS授权服务器。

命令格式

hwtacacs-server authorization ip-address [ port ] [ public-net | vpn-instance vpn-instance-name ] [ secondary | third ]

undo hwtacacs-server authorization [ secondary | third ]

参数说明

参数

参数说明

取值

ip-address

指定HWTACACS授权服务器的IP地址。

点分十进制格式。必须是有效的单播地址。

port

指定HWTACACS授权服务器的端口号。

整数形式,取值范围是1~65535。缺省端口号是49。

public-net

指定在公网中连接HWTACACS授权服务器。

-

vpn-instance vpn-instance-name

指定绑定的VPN实例名称。

必须是已存在的VPN实例名称。

secondary

指定第二个HWTACACS授权服务器为备用服务器。如果不配置secondarythird参数,则表示指定的是主用HWTACACS授权服务器。

-

third

指定第三个HWTACACS授权服务器为备用服务器。如果不配置secondarythird参数,则表示指定的是主用HWTACACS授权服务器。

-

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

如果用户需要使用HWTACACS方式进行授权,则必须配置HWTACACS授权服务器。

注意事项

  • 只有当设备没有与指定的服务器建立TCP连接时,才允许修改该配置。

  • 主用服务器和备用服务器的IP地址不能相同,否则将提示配置不成功。

  • 同一个HWTACACS服务器模板内,如果多次执行此命令类型相同(例如都是主用)的服务器时,新的配置将覆盖原来的配置。

使用实例

# 配置HWTACACS主用授权服务器。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template test1
[HUAWEI-hwtacacs-test1] hwtacacs-server authorization 10.163.155.12 49

hwtacacs-server shared-key

命令功能

hwtacacs-server shared-key命令用来配置HWTACACS服务器的共享密钥。

undo hwtacacs-server shared-key命令用来取消上述配置。

缺省情况下,没有配置HWTACACS服务器的共享密钥。

命令格式

hwtacacs-server shared-key cipher key-string

undo hwtacacs-server shared-key

参数说明

参数 参数说明 取值
cipher 指定以密文形式显示共享密钥。 -
key-string 指定共享密钥。

字符串形式,区分大小写,字符串中不能包含“?”和空格。配置密钥时携带或不携带cipher关键字,均按照密文形式处理。key-string可以是长度是1~255位的明文类型,也可以是长度是20~392位的密文类型。

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

密钥用于加密用户口令及生成回应认证符。

设备和HWTACACS服务器在发送认证报文时,对口令等重要信息使用MD5加密,确保认证信息在网络中传输的安全性。为了确保认证双方身份的合法性,要求设备上的密钥与HWTACACS服务器的密钥相同,即共享密钥。

注意事项

为提高安全性,建议共享密钥至少包含小写字母、大写字母、数字、特殊字符这四种形式中的两种,同时密钥长度不小于6个字符。

只有当该HWTACACS服务器模板没有用户使用时,才能改变此配置。

使用实例

# 配置HWTACACS服务器的共享密钥为Admin@123

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template test1
[HUAWEI-hwtacacs-test1] hwtacacs-server shared-key cipher Admin@123

hwtacacs-server source-ip

命令功能

hwtacacs-server source-ip命令用来配置设备与HWTACACS服务器通信的源IP地址。

undo hwtacacs-server source-ip命令用来取消上述配置。

缺省情况下,设备使用实际出接口的IP地址作为HWTACACS报文的源IP地址。

命令格式

hwtacacs-server source-ip ip-address

hwtacacs-server source-ip source-loopback interface-number

undo hwtacacs-server source-ip

参数说明

参数 参数说明 取值
ip-address 指定设备与HWTACACS服务器通信的源IP地址。 点分十进制格式,必须是合法的单播地址。
source-loopback interface-number

指定LoopBack接口的IP地址作为设备与HWTACACS服务器通信的源IP地址。

必须是已存在的LoopBack接口。

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

通过hwtacacs-server source-ip命令可以指定设备发送的所有HWTACACS报文使用同样的源IP地址。这样,HWTACACS服务器就只需使用一个IP地址与设备通信。

使用实例

# 配置设备与HWTACACS服务器通信的源IP地址为10.1.1.1。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template test1
[HUAWEI-hwtacacs-test1] hwtacacs-server source-ip 10.1.1.1

hwtacacs-server template

命令功能

hwtacacs-server template命令用来创建HWTACACS服务器模板,并进入HWTACACS服务器模板视图。

undo hwtacacs-server template命令用来删除HWTACACS服务器模板。

缺省情况下,设备上没有HWTACACS服务器模板。

命令格式

hwtacacs-server template template-name

undo hwtacacs-server template template-name

参数说明

参数

参数说明

取值

template-name

指定HWTACACS服务器模板名称。

字符串形式,长度范围是1~32,区分大小写。名称中只能包含英文字母、数字(0到9)、点号(.)、下划线(_)、中划线(-)以及上述字符的组合。不能配置为“-”或“--”。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

只有创建HWTACACS服务器模板后,才能进行HWTACACS的其他配置,如认证服务器、授权服务器、计费服务器、共享密钥等。

后续任务

创建HWTACACS服务器模板后,在模板视图下配置认证服务器、计费服务器、共享密钥等,然后在域视图下执行hwtacacs-server(AAA域视图)命令应用HWTACACS服务器模板。

注意事项

只有当模板没有被用户使用时,才能修改模板内容或者删除模板。

使用实例

# 创建名称为template1的HWTACACS服务器模板并进入HWTACACS服务器模板视图。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template template1
[HUAWEI-hwtacacs-template1] 

hwtacacs-server timer quiet

命令功能

hwtacacs-server timer quiet命令用来配置主用服务器恢复激活状态前的静默时间。

undo hwtacacs-server timer quiet命令用来恢复主用服务器恢复激活状态前静默时间的缺省值。

缺省情况下,主用服务器恢复激活状态前需要等待5分钟。

命令格式

hwtacacs-server timer quiet interval

undo hwtacacs-server timer quiet

参数说明

参数

参数说明

取值

interval

指定主用服务器恢复激活状态前的静默时间。

整数形式,取值范围是0~255,单位是分钟。

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

如果主用服务器不可用,设备会自动切换至备用服务器,向备用服务器发送报文。静默时间到期后,设备尝试与主用服务器建立连接:

  • 如果主用服务器仍不可用,则设备继续向备用服务器发送报文,直到下一次恢复激活状态的时间再次尝试与主用服务器建立连接,如此循环。
  • 如果主用服务器可用,则设备切换至主用服务器,向主用服务器发送报文。

通过设置主用服务器恢复激活状态的静默时间,既保证能够主用服务器尽快恢复激活状态,又减少了服务器切换时的探测次数。

推荐使用本命令的缺省值。

注意事项

当配置主用服务器恢复激活状态的静默时间为0时,如果主用服务器不可用,设备会自动切换至备用服务器,向备用服务器发送报文。此时,如果主用服务器故障状态恢复,设备不会尝试与主用服务器恢复连接,而是直到备用服务器故障后,才会重新切换到原来的主用服务器。

用户通过本命令改变主用服务器恢复激活状态的时间时,设备不检查当前是否有用户在使用HWTACACS服务器模板。

使用实例

# 设置主用服务器恢复激活状态的时间为3分钟。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template template1
[HUAWEI-hwtacacs-template1] hwtacacs-server timer quiet 3

hwtacacs-server timer response-timeout

命令功能

hwtacacs-server timer response-timeout命令用来配置HWTACACS应答超时时间。

undo hwtacacs-server timer response-timeout命令用来恢复HWTACACS应答超时时间为缺省值。

缺省情况下,HWTACACS应答超时时间为5秒。

命令格式

hwtacacs-server timer response-timeout interval

undo hwtacacs-server timer response-timeout

参数说明

参数

参数说明

取值

interval

指定HWTACACS应答超时时间。

整数形式,取值范围是1~300,单位是秒。

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

设备向HWTACACS服务器发出请求报文后,如果在应答超时时间内未得到HWTACACS服务器发回的应答:
  • 如果只配置了一个HWTACACS服务器,设备不再向此服务器重传请求报文。
  • 如果配置了主备HWTACACS服务器,TCP连接未中断,则在超时时间后设备向备用服务器重传请求报文;若在超时时间内TCP连接发生中断,则设备会立刻向备服务器重传请求报文。
这样就提高了HWTACACS认证、授权、计费过程的可靠性。

推荐使用本命令的缺省配置。

注意事项

只有当该HWTACACS服务器模板没有用户使用时,才能改变此配置。

使用实例

# 设置HWTACACS应答超时时间为30秒。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template test1
[HUAWEI-hwtacacs-test1] hwtacacs-server timer response-timeout 30

hwtacacs-server traffic-unit

命令功能

hwtacacs-server traffic-unit命令用来配置HWTACACS流量单位。

undo hwtacacs-server traffic-unit命令用来恢复HWTACACS流量单位为缺省配置。

缺省情况下,设备使用字节(byte)作为流量单位。

命令格式

hwtacacs-server traffic-unit { byte | kbyte | mbyte | gbyte }

undo hwtacacs-server traffic-unit

参数说明

参数

参数说明

取值

byte

指定流量单位为字节。

-

kbyte

指定流量单位为千字节。

-

mbyte

指定流量单位为兆(Mega)字节。

-

gbyte

指定流量单位为吉(Giga)字节。

-

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

不同的HWTACACS服务器使用的流量单位可能不同,因此需要在设备上针对每一个HWTACACS服务器组设置流量单位,和其他HWTACACS服务器保持一致。

注意事项

只有当该HWTACACS服务器模板没有用户使用时,才能改变此配置。

使用实例

# 配置HWTACACS流量单位为千字节。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template template1
[HUAWEI-hwtacacs-template1] hwtacacs-server traffic-unit kbyte

hwtacacs-server user-name domain-included

命令功能

hwtacacs-server user-name domain-included命令用来配置设备向HWTACACS服务器发送的报文中用户名包含域名。

hwtacacs-server user-name original命令用来配置设备向HWTACACS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。

undo hwtacacs-server user-name domain-included命令用来配置设备向HWTACACS服务器发送的报文中用户名不包含域名。

缺省情况下,设备向HWTACACS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。

命令格式

hwtacacs-server user-name domain-included

hwtacacs-server user-name original

undo hwtacacs-server user-name domain-included

参数说明

视图

HWTACACS服务器模板视图

缺省级别

3:管理级

使用指南

应用场景

用户名通常采用“纯用户名@域名”格式,@后面的部分为域名。这里@表示域名分隔符。

如果HWTACACS服务器不接受带域名的用户名,可以执行undo hwtacacs-server user-name domain-included命令配置将用户名的域名去掉,再发送给HWTACACS服务器。

注意事项

只有当该HWTACACS服务器模板没有用户使用时,才能改变此配置。

如果配置了设备向HWTACACS服务器发送的报文中的用户名包含域名,请确保用户名长度(纯用户名+域名分隔符+域名之和)小于等于64位,否则设备无法在HWTACACS报文中携带该用户名,导致认证失败。

使用实例

# 配置设备向HWTACACS服务器发送的报文中的用户名包含域名。

<HUAWEI> system-view
[HUAWEI] hwtacacs-server template template1
[HUAWEI-hwtacacs-template1] hwtacacs-server user-name domain-included

hwtacacs-user change-password hwtacacs-server

命令功能

hwtacacs-user change-password hwtacacs-server命令用来在设备上修改用户在HWTACACS服务器上保存的用户密码。

命令格式

hwtacacs-user change-password hwtacacs-server template-name

参数说明

参数

参数说明

取值

template-name

HWTACACS模板名称。

必须是已存在的HWTACACS模板。

视图

用户视图

缺省级别

0:参观级

使用指南

应用场景

如果用户需要修改保存在HWTACACS服务器上的用户密码时,可以在设备上直接配置修改,不需要使用HWTACACS服务器进行配置修改。

注意事项

  • 登录设备的用户必须是经过HWTACACS认证的用户,且服务器模板必须已经存在。

  • 只有在HWTACACS服务器上保存的用户名和密码没有过期的情况下,才允许用户主动使用该命令修改密码;对于密码已经过期的用户,登录设备时,HWTACACS服务器将返回认证不成功,不允许用户主动更改密码。

  • 系统等待超过30秒,用户未输入用户名或新密码、确认密码时,密码修改将中断。

  • 用户可以输入Ctrl+C取消本次密码修改。

  • 经过AAA认证的HWTACACS用户可以使用该命令修改未过期的密码,修改其他HWTACACS用户密码时要求使用该命令的用户有系统级权限。

使用实例

# 经过HWTACACS认证的用户主动修改用户密码。

<HUAWEI> hwtacacs-user change-password hwtacacs-server huawei
Username:cj@huawei
Old Password:
New Password:
Re-enter New password:
Info: The password has been changed successfully.

reset hwtacacs-server accounting-stop-packet

命令功能

reset hwtacacs-server accounting-stop-packet命令用来清除计费结束报文的统计信息。

命令格式

reset hwtacacs-server accounting-stop-packet { all | ip ip-address }

参数说明

参数

参数说明

取值

all

清除所有计费结束报文的统计信息。

-

ip ip-address

清除指定IP地址的HWTACACS服务器发送的计费结束报文的统计信息。

点分十进制格式。

视图

用户视图

缺省级别

3:管理级

使用指南

清除统计信息后,以前的统计信息将无法恢复。

使用实例

# 清除所有计费结束报文的统计信息。

<HUAWEI> reset hwtacacs-server accounting-stop-packet all

reset hwtacacs-server statistics

命令功能

reset hwtacacs-server statistics命令用来清除HWTACACS认证、计费、授权的统计信息。

命令格式

reset hwtacacs-server statistics { all | accounting | authentication | authorization }

参数说明

参数

参数说明

取值

all

清除所有统计信息。

-

accounting

清除所有HWTACACS的计费统计信息。

-

authentication

清除所有HWTACACS的认证统计信息。

-

authorization

清除所有HWTACACS的授权统计信息。

-

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

如果需要统计在某一时间内HWTACACS认证、计费、授权的统计信息,必须在开始统计前清除原有的统计信息,然后再使用display hwtacacs-server template template-name verbose命令查看HWTACACS认证、计费、授权的统计信息。

注意事项

执行reset hwtacacs-server statistics命令会清除HWTACACS认证、计费、授权的统计信息,这些统计信息将无法恢复。执行该命令前,请确认是否要清除HWTACACS认证、计费、授权的统计信息。

使用实例

# 清除所有统计信息。

<HUAWEI> reset hwtacacs-server statistics all
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10005

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页