AAA管理
仅如下款型支持HACA:
S1720-10GF-2P、S1720-10GF-PWR-2P、S1720-28GFR-4P、S1720-28GFR-PWR-4P、S1720-52GFR-4P、S1720-52GFR-PWR-4P、S1730S-H、S5720-EI、S5720-HI、S5720I-SI、S5720-LI、S5735-L、S5735S-L、S5735S-L-M、S5720S-LI、S5720S-SI、S5720-SI、S5735-S、S5735S-S、S5735-S-I、S5730-HI、S5730-SI、S5730S-EI、S5731-H、S5731-H-K、S5731S-H、S5732-H、S5732-H-K、S5731-S、S5731S-S、S6730-S、S6730S-S、S6720-EI、S6720-HI、S6720S-EI、S6720S-LI、S6720-LI、S6730-H、S6730-H-K、S6730S-H、S6720S-SI和S6720-SI
数据模型
AAA管理对应配置模型文件名为huawei-user-management.yang、huawei-aaa.yang、huawei-aaa-hwtacacs.yang和huawei-aaa-radius.yang。
节点 |
说明 |
取值范围 |
备注 |
|---|---|---|---|
/huawei-user-management/user-management/local-user/user-name |
本地用户的用户名。 |
字符串形式,不区分大小写,长度范围是1~64,不支持空格、星号、双引号和问号。 |
NA |
/huawei-user-management/user-management/local-user/password |
本地用户的密码。 |
字符串形式,区分大小写,字符串中不能包含 “?”和空格。 |
NA |
/huawei-user-management/user-management/local-user/privilege-level |
本地用户的级别。 |
整数形式,取值范围是0~15,取值越大,用户的级别越高。 |
NA |
/huawei-user-management/user-management/local-user/service-type |
本地用户的接入类型。 |
取值包括:
|
NA |
/huawei-user-management/user-management/local-user/ftp-directory |
FTP用户可访问的目录。 |
字符串形式,不支持空格,区分大小写,长度范围是1~64。 |
NA |
/huawei-user-management/user-management/local-user/http-directory |
HTTP用户可访问的目录。 |
字符串形式,不支持空格,区分大小写,长度范围是1~64。 |
NA |
/huawei-user-management:user-management/local-user/expire-date |
本地账号过期时间。 |
整数形式,取值范围是2000年1月1日~2099年12月31日。 |
NA |
/huawei-user-management:user-management/local-user/time-range |
本地账号的接入时间段。 |
字符串形式,区分大小写,必须以英文字母开头,长度范围是1~32。 |
NA |
/huawei-user-management:user-management/local-user/device-type-group/device-type |
允许本地用户接入网络的终端类型。 |
字符串形式,不支持空格,不区分大小写,长度范围是1~31。 |
仅S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H支持该功能。 |
/huawei-user-management:user-management/local-user/user-type |
本地用户为网管用户。 |
枚举类型,取值为net-manager。 |
NA |
/huawei-user-management/user-management/local-user/access-limit |
用户名可建立的最大连接数目。 |
整数形式,取值范围是1~4294967295。 |
NA |
/huawei-user-management/user-management/local-user/idle-time |
用户界面的超时时间。 |
整数形式,取值范围是0~2147519,单位是秒。 |
NA |
/huawei-user-management/user-management/local-user/state |
本地用户的状态。 |
枚举类型,取值包括:
|
NA |
/huawei-user-management:user-management/administrator-password-police |
本地管理员的密码策略。节点包括:
|
|
NA |
/huawei-user-management:user-management/user-password-police |
本地接入用户的密码策略。节点包括:
|
|
NA |
/huawei-user-management:user-management/wrong-password-police |
本地账号锁定功能。节点包括:
|
|
NA |
/huawei-user-management:user-management/password-option/complexity-check |
是否使能本地账号密码复杂度检查功能。 |
布尔型,取值包括:
|
NA |
节点 |
说明 |
取值范围 |
备注 |
|---|---|---|---|
huawei-aaa:aaa/global/user-queue |
用户队列调度是否为单个用户模式。 |
布尔型,取值包括:
缺省值是true。 |
NA |
/huawei-aaa:aaa/authentication-scheme/name |
认证方案的名称。 |
字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。 |
NA |
/huawei-aaa:aaa/authentication-scheme/authentication-mode |
认证方案使用的认证模式。 |
取值包括:
|
NA |
/huawei-aaa:aaa/authentication-scheme/no-response-accounting |
用户在服务器认证无响应转入本地认证后,设备是否继续发送计费报文。 |
布尔型,取值包括:
缺省值是false。 |
NA |
/huawei-aaa:aaa/authorization-scheme/name |
授权方案的名称。 |
字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。 |
NA |
/huawei-aaa:aaa/authorization-scheme/authorization-mode |
授权方案使用的授权模式。 |
取值包括:
|
NA |
/huawei-aaa:aaa/authorization-scheme/authorization-cmd/authorization-cmd-item |
配置指定级别的管理员只能执行HWTACACS服务器授权的命令行。节点包括:
|
|
NA |
/huawei-aaa:aaa/accounting-scheme/name |
计费方案的名称。 |
字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。 |
NA |
/huawei-aaa:aaa/accounting-scheme/accounting-mode |
计费方案使用的计费模式。 |
取值包括:
|
NA |
/huawei-aaa:aaa/accounting-scheme/start-accounting-fail/fail-policy |
开始计费失败策略。 |
枚举类型,取值包括:
|
NA |
/huawei-aaa:aaa/accounting-scheme/realtime-accounting/realtime-interval |
实时计费时间间隔。 |
整数形式,取值范围是0~65535,单位是分钟。0表示不使能实时计费。缺省值是0。 |
NA |
/huawei-aaa:aaa/accounting-scheme/realtime-accounting/realtime-fail/fail-max-times |
实时计费请求最大无响应次数。 |
整数形式,取值范围是1~255。缺省值是3。 |
NA |
/huawei-aaa:aaa/accounting-scheme/realtime-accounting/realtime-fail/fail-policy |
实时计费失败后采取的策略。 |
枚举类型,取值包括:
|
NA |
/huawei-aaa:aaa/service-scheme/name |
业务方案的名称。 |
字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。 |
NA |
/huawei-aaa:aaa/service-scheme/admin-user-privilege-level |
用户作为管理员登录设备时的用户级别。 |
整数形式,取值范围是0~15。 |
NA |
/huawei-aaa:aaa/service-scheme/voice-vlan-enable |
是否使能业务方案中的Voice VLAN功能。 |
布尔型,取值包括:
|
NA |
/huawei-aaa:aaa/service-scheme/vlan |
业务方案中配置用户VLAN。 |
整数形式,取值范围是1~4094。 |
NA |
/huawei-aaa:aaa/service-scheme/acl |
业务方案中绑定ACL编号。 |
整数形式,取值范围是3000~3999。 |
NA |
/huawei-aaa:aaa/service-scheme/acl-ipv6 |
业务方案中绑定IPv6 ACL编号。 |
整数形式,取值范围是3000~3999。 |
仅S1730S-H、S5735-L、S5735S-L、S5735S-L-M、S5735-S、S5735-S-I、S5735S-S、S5720-HI、S5720-EI、S6720-EI和S6720S-EI支持该节点。 |
/huawei-aaa:aaa/service-scheme/qos-profile |
业务方案中绑定QoS模板。 |
字符串形式,区分大小写,长度范围是1~32,不支持空格,不能仅配置为“-”或“--”,且不能包含字符 “/” “\” “:” “*” “?” “"” “<” “>” “|” “@” “'” “%”。 |
仅S5720-EI、S5720-HI、S5730-HI、S5731-H-K、S5731-H、S5731S-H、S5731-S、S5731S-S、S6720-HI、S5732-H-K、S5732-H、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S、S6720-EI和S6720S-EI支持该节点。 |
/huawei-aaa:aaa/service-scheme/ucl-group |
业务方案下绑定UCL组。 |
已存在的UCL组名称。 |
NA |
/huawei-aaa:aaa/service-scheme/idle-cut-function/idle-time |
闲置切断时间。 |
整数形式,取值范围是1~1440,单位是分钟。 |
NA |
/huawei-aaa:aaa/service-scheme/idle-cut-function/idle-flow/flow-value |
闲置切断流量阈值。 |
整数形式,取值范围是0~4294967295,单位为Kbyte。 |
NA |
/huawei-aaa:aaa/service-scheme/idle-cut-function/idle-flow/flow-direction |
闲置切断功能对用户流量生效的方向。 |
枚举类型,取值包括:
|
NA |
/huawei-aaa:aaa/service-scheme/priority |
业务方案下配置用户的优先级。 |
整数形式,取值包括0和1。取值越大优先级越高。 |
仅S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H支持该节点,且仅对无线用户生效。 |
/huawei-aaa:aaa/service-scheme/redirect-acl/acl |
业务方案下配置重定向IPv4 ACL。节点包括:
|
|
NA |
/huawei-aaa:aaa/service-scheme/redirect-acl-ipv6/acl |
业务方案下配置重定向IPv6 ACL。节点包括:
|
|
NA |
/huawei-aaa:aaa/aaa-domain |
认证域名。 |
字符串形式,不区分大小写,长度范围是1~64,不支持空格,不能仅配置为“-”或“--”,且不能包含字符“*” “?” “"”。 |
NA |
/huawei-aaa:aaa/aaa-domain/authentication-scheme |
域下绑定的认证方案名称。 |
必须是已存在的认证方案名称。 |
NA |
/huawei-aaa:aaa/aaa-domain/authorization-scheme |
域下绑定的授权方案名称。 |
必须是已存在的授权方案名称。 |
NA |
/huawei-aaa:aaa/aaa-domain/accounting-scheme |
域下绑定的计费方案名称。 |
必须是已存在的计费方案名称。 |
NA |
/huawei-aaa:aaa/aaa-domain/service-scheme |
域下绑定的业务方案名称。 |
必须是已存在的业务方案名称。 |
NA |
/huawei-aaa:aaa/huawei-aaa:aaa-domain/huawei-aaa-radius:radius-server/huawei-aaa-radius:radius-server |
域下绑定的RADIUS服务器模板名称。 |
必须是已存在的RADIUS服务器模板名称。 |
NA |
/huawei-aaa:aaa/huawei-aaa:aaa-domain/huawei-aaa-hwtacacs:hwtacacs-server/huawei-aaa-hwtacacs:hwtacacs-server |
域下绑定的HWTACACS服务器模板名称。 |
必须是已存在的HWTACACS服务器模板名称。 |
NA |
/huawei-aaa:aaa/aaa-domain/statistics-enable |
是否使能域下用户的流量统计功能。 |
布尔型,取值包括:
|
NA |
/huawei-aaa:aaa/aaa-domain/dual-stack-separate |
是否使能域下用户的IPv4流量和IPv6流量分别统计或限速的功能。 |
布尔型,取值包括:
|
仅S5720-EI、S6720-EI、S6720S-EI、S5720-HI、S5730-HI、S6720-HI、S5731-H、S5731-H-K、S5731S-H、S5731-S、S5731S-S、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H、S6730-S、S6730S-S支持该命令。 |
/huawei-aaa:aaa/remote-user-policy |
使能AAA远端认证失败后账号锁定功能。节点包括:
|
|
NA |
/huawei-aaa:aaa/global/authentication-bypass |
配置认证旁路功能。节点包括:
|
|
NA |
/huawei-aaa:aaa/global/authorization-bypass |
配置授权旁路功能。节点包括:
|
|
NA |
/huawei-aaa:aaa/global/authorization-cmd-bypass |
配置命令行授权旁路功能。节点包括:
|
|
NA |
/huawei-aaa:aaa/global/authorization-info-check/fail-policy |
设备检查授权信息失败后是否允许用户上线。 |
缺省情况下,设备检查授权信息失败后,允许用户上线。 |
NA |
/huawei-aaa:aaa/test-aaa |
测试服务器连通性。节点包括:
|
|
- |
节点 |
说明 |
取值范围 |
备注 |
|---|---|---|---|
/huawei-aaa-radius:radius/radius-server/name |
RADIUS服务器模板名称。 |
字符串形式,区分大小写,长度范围是1~32。字符包括大写字母、小写字母、数字、点号“.”、下划线“_”和中划线“-”。不能配置为“-”或“--”。 |
NA |
/huawei-aaa-radius:radius/radius-server/authentication-server |
RADIUS认证服务器。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/accounting-server |
RADIUS计费服务器。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/authentication-server/shared-key |
RADIUS认证服务器的共享密钥。 |
字符串形式,不支持空格、单引号和问号,区分大小写。可以是长度为1~128位的明文类型,也可以是长度为48、68、88、108、128、148、168或188位的密文类型。 |
NA |
/huawei-aaa-radius:radius/radius-server/accounting-server/shared-key |
RADIUS计费服务器的共享密钥。 |
字符串形式,不支持空格、单引号和问号,区分大小写。可以是长度为1~128位的明文类型,也可以是长度为48、68、88、108、128、148、168或188位的密文类型。 |
RADIUS计费服务器的共享密钥必须与RADIUS认证服务器的共享密钥保持一致。 |
/huawei-aaa-radius:radius/dynamic-authorization-server |
RADIUS授权服务器。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/translate-attribute/enable |
是否启动RADIUS属性转换功能。 |
布尔型。取值包括:
|
NA |
/huawei-aaa-radius:radius/radius-server/translate-attribute/translate-normal |
配置RADIUS标准属性转换。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/translate-attribute/translate-extend |
对RADIUS扩展属性进行转换(将其他厂家的设备默认不支持的属性转换为设备支持的属性)。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/translate-attribute/translate-extend-vendor |
对RADIUS扩展属性进行转换(将设备支持的属性转换为其他厂家的设备默认不支持的属性)。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/disable-attribute |
禁用RADIUS属性。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/options/user-name/format |
设备向RADIUS服务器发送的报文中用户名的格式。 |
枚举类型,取值包括:
|
NA |
/huawei-aaa-radius:radius/radius-server/options/traffic-unit |
RADIUS流量单位。 |
枚举值,取值包括:
|
NA |
/huawei-aaa-radius:radius/radius-server/options/dead-time |
服务器恢复激活状态的时间。 |
整数形式,单位为分钟,取值范围是1~65535。 |
NA |
/huawei-aaa-radius:radius/radius-server/options/timeout-timer |
RADIUS请求报文的超时时间。 |
整数形式,取值范围是1~10,单位是秒。 |
NA |
/huawei-aaa-radius:radius/radius-server/options/retransmit-time |
RADIUS请求报文的超时重传次数。 |
整数形式,取值范围是1~5。 |
NA |
/huawei-aaa-radius:radius/radius-server/options/account-stop-packet-resend-times |
允许重发计费停止报文。 |
整数形式,取值范围是0~300,缺省值是3。 |
NA |
/huawei-aaa-radius:radius/radius-server/service-type |
重认证方式。 |
枚举类型,取值为with-authenonly-reauthen。 |
NA |
/huawei-aaa-radius:radius/radius-server/message-authenticator |
携带Message-Authenticator属性的报文类型。 |
枚举类型,取值为access-request。 |
NA |
/huawei-aaa-radius:radius/radius-server/hw-dhcp-option-format |
华为扩展属性HW-DHCP-Option的格式。 |
枚举类型,取值为new或old。 |
NA |
/huawei-aaa-radius:radius/radius-server/mac-format-called-station-id |
RADIUS报文中called-station-id属性字段中MAC地址的封装格式。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/mac-format-calling-station-id |
设置RADIUS报文中calling-station-id属性字段中MAC地址的封装格式。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/dynamic-authorization-option/decode-mac-format-calling-station-id |
配置设备解析RADIUS动态授权报文里的calling-station-id属性字段中MAC地址的格式。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/dynamic-authorization-option/decode-attribute-sameastemplate |
是否使能依据全局下的配置解析RADIUS动态授权报文的属性。 |
布尔型,取值包括:
缺省值为true。 |
NA |
/huawei-aaa-radius:radius/session-manage-function/client/any/any-enable |
是否使能会话管理功能。 |
布尔型,取值包括:
缺省值为false。 |
NA |
/huawei-aaa-radius:radius/session-manage-function/client/ip/client-item |
会话管理服务器。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/hw-ap-info-format |
配置华为扩展属性HW-AP-Information中携带AP设备的IP地址。 |
取值为include-ap-ip。 |
仅S5720-HI、S5730-HI、S6720-HI、S5731-H-K、S5731-H、S5731S-H、S5732-H、S5732-H-K、S6730-H、S6730-H-K、S6730S-H支持该节点。 |
/huawei-aaa-radius:radius/radius-server/check-attribute/attribute-name |
对接收的RADIUS认证成功报文内的指定属性进行检查。 |
字符串形式,长度范围是1~64。 |
NA |
/huawei-aaa-radius:radius/radius-server/nas-ip-address |
设备发送RADIUS报文使用的NAS-IP-Address属性值。 |
点分十进制格式,必须是合法的单播地址。 |
NA |
/huawei-aaa-radius:radius/radius-server/nas-ipv6-address |
设备发送RADIUS报文使用的NAS-IPv6-Address属性值。 |
32位16进制数,格式为X:X:X:X:X:X:X:X。 |
NA |
/huawei-aaa-radius:radius/radius-server/server-detect-function |
RADIUS服务器自动探测功能。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/shared-key |
RADIUS模板下配置RADIUS服务器的共享密钥。 |
字符串形式,不支持空格、单引号和问号,区分大小写。可以是长度为1~128位的明文类型,也可以是长度为48、68、88、108、128、148、168或188位的密文类型。 |
若同时在RADIUS认证、计费服务器以及模板下配置了共享密钥,则RADIUS认证、计费服务器中配置的共享密钥优先级较高;若RADIUS认证、计费服务器中未配置共享密钥,则采用模板下配置的共享密钥。 |
/huawei-aaa-radius:radius/server-shared-key/server-item |
全局下配置RADIUS服务器的共享密钥。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/server-algorithm |
RADIUS服务器的运算法则。 |
枚举类型,取值包括:
|
NA |
/huawei-aaa-radius:radius/global/options |
RADIUS服务器存活检测。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/format-attribute/nas-port-format |
NAS-Port属性封装的格式。节点包括:
|
|
NA |
/huawei-aaa-radius:radius/radius-server/format-attribute/nas-identifier-format |
NAS-Identifier属性封装的内容。 |
枚举类型,取值包括hostname和vlan-id。 |
NA |
/huawei-aaa-radius:radius/radius-server/format-attribute/nas-port-id-format |
NAS-Port-Id属性封装的格式。 |
枚举类型,取值包括vm、new和old。 |
仅S5720-EI支持vm。 |
节点 |
说明 |
|---|---|
/huawei-aaa-haca:aca |
表示请求操作(创建、修改)的对象为HACA服务器模板,仅用于容纳子节点,自身无数据含义,为根节点。 |
/huawei-aaa-haca:aca/haca-server |
HACA服务器模板的名称。 字符串形式,长度范围是1~32,区分大小写。名称中只能包含大写字母(A到Z)、小写字母(a到z)、数字(0到9)、点号(.)、下划线(_)、中划线(-)以及上述字符的组合。不能仅配置为“-”或“--”。 |
/huawei-aaa-haca:aca/haca-server/enable |
使能HACA功能。 |
/huawei-aaa-haca:aca/haca-server/server/server-ip |
HACA服务器的IP地址。 点分十进制格式。必须是有效的单播地址。 |
/huawei-aaa-haca:aca/haca-server/server/port |
HACA服务器的端口号。 整数形式,取值范围是1~65535。缺省端口号是49。 |
/huawei-aaa-haca:aca/haca-server/pki-domain |
PKI域的名称。 必须是已存在的PKI域的名称。 |
/huawei-aaa-haca:aca/haca-server/heart-beat |
心跳报文发送周期。 整数形式,取值范围是1~1440,单位为分钟。 |
/huawei-aaa-haca:aca/haca-server/detection-function/reconnect-interval |
HACA服务器的重连时间间隔。 整数形式,取值范围是1~255,单位为分钟。 |
/huawei-aaa-haca:aca/haca-server/timeout |
HACA应答超时时间。 整数形式,取值范围是1~300,单位是秒。 |
/huawei-aaa:aaa/huawei-aaa:aaa-domain/huawei-aaa-haca:haca-server/huawei-aaa-haca:haca-server |
指定域的HACA服务器模板名称。 该HACA服务器模板名称必须为已存在的HACA服务器模板名称。 |
配置本地用户
本章节主要介绍通过merge方法配置本地用户。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-user-management/user-management/local-user |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
本地用户的用户名 |
Example@123 | 配置本地用户的用户名为Example@123。 |
本地用户的密码 |
Example@123 |
配置本地用户密码为Example@123。 |
本地用户的级别 |
15 | 配置本地用户的级别为15。 |
本地用户的接入类型 |
ftp | 配置本地用户的接入类型为FTP。 |
本地FTP用户可访问的目录 |
flash: | 配置本地FTP用户可访问的目录为flash:。 |
用户可建立的最大连接数目 |
4294967295 | 用户可建立的最大连接数目为4294967295。 |
用户界面的超时时间 |
110 | 用户界面的超时时间为110秒。 |
本地用户的状态 |
active | 用户状态为激活态。 |
本地用户名的过期日期 |
2019-09-21T16:10:21.52Z | 本地用户名于2019-09-21T16:10:21.52Z过期。 |
本地用户名允许接入的时间段 |
time1 | 本地用户名在time1时间段允许接入。 |
本地用户名允许接入的终端类型 |
ipphone | 本地用户名允许接入的终端类型为ipphone。 |
请求示例
<rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-user-management:user-management xmlns:hw-user-management="urn:huawei:params:xml:ns:yang:huawei-user-management">
<hw-user-management:local-user>
<hw-user-management:user-name>Example@123</hw-user-management:user-name>
<hw-user-management:privilege-level>15</hw-user-management:privilege-level>
<hw-user-management:service-type>ftp</hw-user-management:service-type>
<hw-user-management:password>Example@123</hw-user-management:password>
<hw-user-management:ftp-directory>flash:</hw-user-management:ftp-directory>
<hw-user-management:access-limit>4294967295</hw-user-management:access-limit>
<hw-user-management:idle-time>110</hw-user-management:idle-time>
<hw-user-management:state>active</hw-user-management:state>
<hw-user-management:expire-date>2019-09-21T16:10:21.52Z</hw-user-management:expire-date>
<hw-user-management:time-range>time1</hw-user-management:time-range>
<hw-user-management:device-type-group>
<hw-user-management:device-type>ipphone</hw-user-management:device-type>
</hw-user-management:device-type-group>
</hw-user-management:local-user>
</hw-user-management:user-management>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message> The password length must range from 8 to 128</error-message> <error-info>Error on node /huawei-user-management:user-management/local-user[user-name="Example@123"]/password</error-info> </rpc-error> </rpc-reply>
配置本地用户密码安全性
本章节主要介绍通过merge方法配置本地用户密码安全性。
操作 |
XPATH |
|---|---|
edit-config:merge |
|
数据需求
项目 |
数据 |
描述 |
|---|---|---|
本地管理员用户的密码策略 |
|
使能本地管理员用户的密码策略功能,并配置密码过期时间为90天、过期前5天提醒密码过期,使能初始密码修改提醒功能,配置每个用户密码历史记录的最大条数为5条。 |
本地接入用户密码策略 |
|
使能本地接入用户密码策略,并配置每个用户密码历史记录的最大条数为5条。 |
| 本地账号锁定功能 |
|
使能本地账号锁定功能,并配置用户重试时间间隔为5分钟、连续输入错误密码的限制次数为3次、帐号锁定时间为10分钟。 |
| 是否使能密码复杂度检查功能 | true | 使能密码复杂度检查功能。 |
请求示例
<rpc message-id="123" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-user-management:user-management xmlns:hw-user-management="urn:huawei:params:xml:ns:yang:huawei-user-management">
<hw-user-management:administrator-password-police>
<hw-user-management:enable>true</hw-user-management:enable>
<hw-user-management:expire-day>90</hw-user-management:expire-day>
<hw-user-management:alert-expire-day>5</hw-user-management:alert-expire-day>
<hw-user-management:alert-original>true</hw-user-management:alert-original>
<hw-user-management:history-record-number>5</hw-user-management:history-record-number>
</hw-user-management:administrator-password-police>
<hw-user-management:user-password-police>
<hw-user-management:enable>true</hw-user-management:enable>
<hw-user-management:history-record-number>5</hw-user-management:history-record-number>
</hw-user-management:user-password-police>
<hw-user-management:wrong-password-police>
<hw-user-management:retry-interval>5</hw-user-management:retry-interval>
<hw-user-management:retry-times>3</hw-user-management:retry-times>
<hw-user-management:block-time>10</hw-user-management:block-time>
</hw-user-management:wrong-password-police>
<hw-user-management:password-option>
<hw-user-management:complexity-check>true</hw-user-management:complexity-check>
</hw-user-management:password-option>
</hw-user-management:user-management>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123">
<rpc-error>
<error-type>application</error-type>
<error-tag>operation-failed</error-tag>
<error-severity>error</error-severity>
<error-path>/huawei-user-management:user-management/administrator-password-police/expire-day</error-path>
<error-message>parse rpc config error.(Value "1000" does not satisfy the constraint "0..999" (range, length, or pattern).).</error-message>
</rpc-error>
</rpc-reply>
配置AAA方案
本章节主要介绍通过merge方法配置AAA方案。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa:aaa |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
认证方案的名称 |
authen1 |
配置认证方案的名称为authen1。 |
认证方案使用的认证模式 |
hwtacacs | 配置认证方案使用的认证模式为HWTACACS。 |
授权方案的名称 |
author1 | 配置授权方案的名称为author1。 |
授权方案使用的授权模式 |
hwtacacs | 配置授权方案使用的授权模式为HWTACACS。 |
| 配置HWTACACS服务器命令行授权 | 授权级别:15,授权备份模式:local | 为级别为15的管理员配置HWTACACS服务器命令行授权功能,并且当HWTACACS服务器授权无响应时,命令行授权将转入本地授权模式。 |
| 计费方案的名称 | acct1 | 配置计费方案的名称为acct1。 |
| 计费方案使用的计费模式 | hwtacacs | 配置计费方案使用的计费模式为HWTACACS。 |
| 开始计费失败策略 | online | 配置开始计费失败策略为online,即如果开始计费失败,允许用户上线。 |
| 实时计费时间间隔 | 15 | 配置实时计费时间间隔为15分钟。 |
| 实时计费请求最大无响应次数 | 5 | 配置实时计费请求最大无响应次数为5次。 |
| 实时计费失败后采取的策略 | offline | 配置实时计费失败后采取的策略为offline,即如果实时计费失败,使用户下线。 |
| 认证旁路功能是否使能 | true | 使能认证旁路功能,并配置认证旁路时间为13分钟。 |
| 认证旁路时间 | 13 |
请求示例
<rpc message-id="123" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa:aaa xmlns:hw-aaa="urn:huawei:params:xml:ns:yang:huawei-aaa">
<hw-aaa:authentication-scheme>
<hw-aaa:name>authen1</hw-aaa:name>
<hw-aaa:vsys>ads</hw-aaa:vsys>
<hw-aaa:authentication-mode>hwtacacs</hw-aaa:authentication-mode>
</hw-aaa:authentication-scheme>
<hw-aaa:authorization-scheme>
<hw-aaa:name>author1</hw-aaa:name>
<hw-aaa:vsys>ads</hw-aaa:vsys>
<hw-aaa:authorization-mode>hwtacacs</hw-aaa:authorization-mode>
<hw-aaa:authorization-cmd>
<hw-aaa:authorization-cmd-item>
<hw-aaa:privilege-level>15</hw-aaa:privilege-level>
<hw-aaa:authorization-cmd-mode>local</hw-aaa:authorization-cmd-mode>
</hw-aaa:authorization-cmd-item>
</hw-aaa:authorization-cmd>
</hw-aaa:authorization-scheme>
<hw-aaa:accounting-scheme>
<hw-aaa:name>acct1</hw-aaa:name>
<hw-aaa:vsys>ads</hw-aaa:vsys>
<hw-aaa:accounting-mode>hwtacacs</hw-aaa:accounting-mode>
<hw-aaa:start-accounting-fail>
<hw-aaa:fail-policy>online</hw-aaa:fail-policy>
</hw-aaa:start-accounting-fail>
<hw-aaa:realtime-accounting>
<hw-aaa:realtime-interval>15</hw-aaa:realtime-interval>
<hw-aaa:realtime-fail>
<hw-aaa:fail-policy>offline</hw-aaa:fail-policy>
<hw-aaa:fail-max-times>5</hw-aaa:fail-max-times>
</hw-aaa:realtime-fail>
</hw-aaa:realtime-accounting>
</hw-aaa:accounting-scheme>
<hw-aaa:global>
<hw-aaa:authentication-bypass>
<hw-aaa:bypass-enable>true</hw-aaa:bypass-enable>
<hw-aaa:bypass-time>13</hw-aaa:bypass-time>
</hw-aaa:authentication-bypass>
</hw-aaa:global>
</hw-aaa:aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>invalid authen scheme name</error-message> <error-info>Error on node /huawei-aaa:aaa/authentication-scheme[name="authen1authen1authen1authen1authen1",vsys="ads"]/name</error-info> </rpc-error> </rpc-reply>
配置业务方案
创建业务方案
本章节主要介绍通过merge方法创建业务方案。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa:aaa/service-scheme |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
业务方案的名称 |
lsw_serv |
配置业务方案的名称为lsw_serv。 |
用户作为管理员登录设备时的用户级别 |
2 |
配置用户作为管理员登录设备时的用户级别为2。 |
业务方案中使能Voice VLAN功能 |
true |
在业务方案中使能Voice VLAN功能。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<aaa xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa">
<service-scheme xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<name>lsw_serv</name>
<vsys>vsys</vsys>
<admin-user-privilege-level>2</admin-user-privilege-level>
<voice-vlan-enable>true</voice-vlan-enable>
</service-scheme>
</aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <rpc-error> <error-app-tag>1</error-app-tag> <error-message>Service process failed.</error-message> <error-info>Error on node /huawei-aaa:aaa/service-scheme[name="lsw_servlsw_servlsw_servlsw_servlsw_serv",vsys="vsys"]/name</error-info> </rpc-error> </rpc-reply>
业务方案中配置用户VLAN
本章节主要介绍通过rpc方法在业务方案中配置用户VLAN。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa:aaa/service-scheme |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
业务方案中配置的用户VLAN ID |
121 |
在业务方案中配置的用户VLAN ID为121。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<vlans xmlns="urn:huawei:params:xml:ns:yang:huawei-vlan">
<vlan xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<id>121</id>
</vlan>
</vlans>
<aaa xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa">
<service-scheme xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<name>lsw_serv</name>
<vsys>public</vsys>
<vlan>121</vlan>
</service-scheme>
</aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <rpc-error> <error-app-tag>1</error-app-tag> <error-message>Service process failed.</error-message> <error-info>Error on node /huawei-aaa:aaa/service-scheme[name="lsw_serv",vsys="public"]/vlan</error-info> </rpc-error> </rpc-reply>
业务方案中绑定ACL
本章节主要介绍通过rpc方法在业务方案中绑定ACL。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa:aaa/service-scheme |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 业务方案中绑定的ACL编号 | 3101 | 在业务方案中绑定的ACL编号为3101。 |
请求示例
在业务方案中绑定ACL编号之前,需要先创建ACL编号。目前仅支持通过命令acl创建ACL。
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<aaa xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa">
<service-scheme xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<name>lsw_serv</name>
<vsys>public</vsys>
<acl>3101</acl>
</service-scheme>
</aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>Unrecognized information.</error-message> <error-info>Error on node /huawei-aaa:aaa/service-scheme[name="lsw_serv",vsys="public"]/acl[.="3101"]</error-info> </rpc-error> </rpc-reply>
业务方案中绑定QoS模板
本章节主要介绍通过rpc方法在业务方案中绑定QoS模板。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa:aaa/service-scheme |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
业务方案中绑定的QoS模板名 |
lsw_qos |
业务方案中绑定的QoS模板名为lsw_qos。 |
请求示例
在业务方案中绑定的QoS模板之前,需要先创建QoS模板名。目前仅支持通过命令qos-profile创建QoS模板名。
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<aaa xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa">
<service-scheme xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<name>lsw_serv</name>
<vsys>public</vsys>
<qos-profile>lsw_qos</qos-profile>
</service-scheme>
</aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message> Config failed, QOS profile is not configured.</error-message> <error-info>Error on node /huawei-aaa:aaa/service-scheme[name="lsw_serv",vsys="public"]/qos-profile</error-info> </rpc-error> </rpc-reply>
业务方案下绑定UCL组
本章节主要介绍通过rpc方法在业务方案下绑定UCL组。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa:aaa/service-scheme |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 业务方案下绑定的UCL组名 | lsw_ucl | 业务方案下绑定的UCL组名为lsw_ucl。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<nac-access xmlns="urn:huawei:params:xml:ns:yang:huawei-nac">
<ucl-group xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<index>31</index>
<name>lsw_ucl</name>
<ip>
<ip>10.1.1.1</ip>
<prefix-length>24</prefix-length>
</ip>
</ucl-group>
</nac-access>
<aaa xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa">
<service-scheme xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<name>lsw_serv</name>
<vsys>public</vsys>
<ucl-group>lsw_ucl</ucl-group>
</service-scheme>
</aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message> The ucl-group is not exist.</error-message> <error-info>Error on node /huawei-aaa:aaa/service-scheme[name="lsw_serv",vsys="public"]/ucl-group</error-info> </rpc-error> </rpc-reply>
业务方案中配置DNS、WINS、DHCP服务器的相关信息
本章节主要介绍通过merge方法在业务方案中配置DNS、WINS、DHCP服务器的相关信息。
操作 |
XPATH |
|---|---|
edit-config:merge |
|
数据需求
项目 |
数据 |
描述 |
|---|---|---|
DNS主备服务器的IP地址 |
|
在业务方案s1中配置DNS主服务器的IP地址为10.1.1.1、备服务器的IP地址为10.1.1.2。 |
WINS主备服务器的IP地址 |
|
在业务方案s1中配置WINS主服务器的IP地址为10.2.1.1、备服务器的IP地址为10.2.1.2。 |
DHCP服务器组名称以及IP地址池名称 |
|
在业务方案s1中配置DHCP服务器组的名称为group1、可使用的IP地址池名称为pool1。 |
请求示例
<rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa:aaa xmlns:hw-aaa="urn:huawei:params:xml:ns:yang:huawei-aaa">
<hw-aaa:service-scheme xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<hw-aaa:name>s1</hw-aaa:name>
<hw-aaa:vsys>sys</hw-aaa:vsys>
<hw-aaa:dns>
<hw-aaa:primary-ip-address>10.1.1.1</hw-aaa:primary-ip-address>
<hw-aaa:secondary-ip-address>10.1.1.2</hw-aaa:secondary-ip-address>
</hw-aaa:dns>
<hw-aaa:wins> <hw-aaa:primary-ip-address>10.2.1.1</hw-aaa:primary-ip-address> <hw-aaa:secondary-ip-address>10.2.1.2</hw-aaa:secondary-ip-address> </hw-aaa:wins>
<hw-aaa:ip-pool>pool1</hw-aaa:ip-pool> <hw-aaa:dhcp-group>group1</hw-aaa:dhcp-group>
</hw-aaa:service-scheme>
</hw-aaa:aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置失败响应示例
业务方案中配置重定向ACL
本章节主要介绍通过merge方法在业务方案中配置重定向ACL。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa:aaa/service-scheme/redirect-acl |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 重定向ACL编号 | 3000 说明:
请确保ACL编号已经创建。 |
在业务方案s1中配置重定向ACL编号为3000。 |
请求示例
<rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa:aaa xmlns:hw-aaa="urn:huawei:params:xml:ns:yang:huawei-aaa">
<hw-aaa:service-scheme xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<hw-aaa:name>s1</hw-aaa:name>
<hw-aaa:vsys>sys</hw-aaa:vsys>
<hw-aaa:redirect-acl>
<hw-aaa:acl-id>3000</hw-aaa:acl-id>
</hw-aaa:redirect-acl>
</hw-aaa:service-scheme>
</hw-aaa:aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置失败响应示例
业务方案中配置用户的优先级
本章节主要介绍通过rpc方法在业务方案中配置用户的优先级。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa:aaa/service-scheme/priority |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
用户的优先级 |
1 |
用户为VIP用户,优先级配置为1。 |
请求示例
<rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa:aaa xmlns:hw-aaa="urn:huawei:params:xml:ns:yang:huawei-aaa">
<hw-aaa:service-scheme>
<hw-aaa:name>test1</hw-aaa:name>
<hw-aaa:vsys>pub</hw-aaa:vsys>
<hw-aaa:priority xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">1</hw-aaa:priority>
</hw-aaa:service-scheme>
</hw-aaa:aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <rpc-error> <error-app-tag>1</error-app-tag><error-message>Service process failed.</error-message> <error-info>Error on node /huawei-aaa:aaa/service-scheme[name="lsw_serv",vsys="public"]/priority</error-info> </rpc-error> </rpc-reply>
配置RADIUS服务器
创建RADIUS服务器模板
本章节主要介绍通过rpc方法创建RADIUS服务器模板。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| RADIUS服务器模板的名称 | rds | RADIUS服务器模板的名称为rds。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="b0bc2528-ebf8-494e-bedc-ca47ba18d578">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<radius xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<radius-server xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<name>rds</name>
<vsys>public</vsys>
</radius-server>
</radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="b0bc2528-ebf8-494e-bedc-ca47ba18d578"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="b0bc2528-ebf8-494e-bedc-ca47ba18d578"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>Invalid radius-server template name</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="rdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrdsrds",vsys="public"]/name</error-info> </rpc-error> </rpc-reply>
配置RADIUS认证服务器
本章节主要介绍通过rpc方法配置RADIUS认证服务器。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| RADIUS认证服务器的IPv4地址 | 10.1.1.1 | RADIUS认证服务器的IPv4地址为10.1.1.1。 |
| RADIUS认证服务器的端口号 | 1816 | RADIUS认证服务器的端口号为1816。 |
| RADIUS认证服务器的权重值。 | 100 | RADIUS认证服务器的权重值为100。 |
| RADIUS认证服务器的共享密钥 | Example@123 | RADIUS认证服务器的共享密钥为Example@123。 |
请求示例
<rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa-radius:radius xmlns:hw-aaa-radius="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<hw-aaa-radius:radius-server>
<hw-aaa-radius:name>rds</hw-aaa-radius:name>
<hw-aaa-radius:vsys>public</hw-aaa-radius:vsys>
<hw-aaa-radius:authentication-server>
<hw-aaa-radius:server-ip-address>10.1.1.1</hw-aaa-radius:server-ip-address>
<hw-aaa-radius:port>1816</hw-aaa-radius:port>
<hw-aaa-radius:shared-key>Example@123</hw-aaa-radius:shared-key>
<hw-aaa-radius:weight>100</hw-aaa-radius:weight>
</hw-aaa-radius:authentication-server>
</hw-aaa-radius:radius-server>
</hw-aaa-radius:radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message> The vpn-instance does not exist or is invalid.</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="rds",vsys="public"]/authentication-server[server-ip-address="10.1.1.1"]</error-info> </rpc-error> </rpc-reply>
配置RADIUS计费服务器
本章节主要介绍通过rpc方法配置RADIUS计费服务器。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| RADIUS计费服务器的IPv4地址 | 10.1.1.1 | RADIUS计费服务器的IPv4地址为10.1.1.1。 |
| RADIUS计费服务器的端口号 | 1817 | RADIUS计费服务器的端口号为1817。 |
| RADIUS计费服务器的权重值 | 100 | RADIUS计费服务器的权重值为100。 |
| RADIUS计费服务器的共享密钥 | Example@123 | RADIUS计费服务器的共享密钥为Example@123。 |
请求示例
<rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa-radius:radius xmlns:hw-aaa-radius="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<hw-aaa-radius:radius-server>
<hw-aaa-radius:name>rds</hw-aaa-radius:name>
<hw-aaa-radius:vsys>public</hw-aaa-radius:vsys>
<hw-aaa-radius:accounting-server>
<hw-aaa-radius:server-ip-address>10.1.1.1</hw-aaa-radius:server-ip-address>
<hw-aaa-radius:port>1817</hw-aaa-radius:port>
<hw-aaa-radius:shared-key>Example@123</hw-aaa-radius:shared-key>
<hw-aaa-radius:weight>100</hw-aaa-radius:weight>
</hw-aaa-radius:accounting-server>
</hw-aaa-radius:radius-server>
</hw-aaa-radius:radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message> The vpn-instance does not exist or is invalid.</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="rds",vsys="public"]/accounting-server[server-ip-address="10.1.1.1"]</error-info> </rpc-error> </rpc-reply>
配置RADIUS授权服务器
本章节主要介绍通过rpc方法配置RADIUS授权服务器。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/dynamic-authorization-server |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| RADIUS授权服务器的IP地址 | 10.1.1.1 | RADIUS授权服务器的IP地址为10.1.1.1。 |
| RADIUS授权服务器的共享密钥 | Example@123 | RADIUS授权服务器的共享密钥为Example@123。 |
| RADIUS授权回应报文的保留时长 | 10 | RADIUS授权回应报文的保留时长为10秒。 |
| RADIUS授权服务器对应的RADIUS服务器模板名称 | rds | RADIUS授权服务器对应的RADIUS服务器模板名称为rds。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="cf1228d1-c9bc-4e95-9578-4e7d0cd90e25">
<edit-config>
<target>
<running/>
</target>
<config>
<radius xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<radius-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<name>rds</name>
<vsys>public</vsys>
</radius-server>
<dynamic-authorization-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<server-ip-address>10.1.1.1</server-ip-address>
<vsys>public</vsys>
<shared-key>Example@123</shared-key>
<ack-reserved-interval>10</ack-reserved-interval>
<server-group>rds</server-group>
</dynamic-authorization-server>
</radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="cf1228d1-c9bc-4e95-9578-4e7d0cd90e25"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="cf1228d1-c9bc-4e95-9578-4e7d0cd90e25"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message> The server template does not exist.</error-message> <error-info>Error on node /huawei-aaa-radius:radius/dynamic-authorization-server[server-ip-address="10.1.1.1",vsys="public"]</error-info> </rpc-error> </rpc-reply>
配置RADIUS属性转换功能
本章节主要介绍通过rpc方法配置RADIUS属性转换功能。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server/translate-attribute |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 启动RADIUS属性转换功能 | true | 启动RADIUS属性转换功能。 |
| 配置RADIUS属性转换的源属性名称 | nas-identifier | 配置RADIUS属性转换的源属性名称为nas-identifier。 |
| 配置RADIUS属性转换的目的属性名称 | nas-port-id | 配置RADIUS属性转换的目的属性名称为nas-port-id。 |
| 进行RADIUS属性转换的报文类型 | send | 对发送的报文进行RADIUS属性转换。 |
| 配置RADIUS扩展属性转换的源属性名称 | HW-URL-Flag | 配置RADIUS扩展属性转换的源属性名称为HW-URL-Flag。 |
| 转换后的RADIUS扩展属性的厂商ID | 9 | 配置转换后的RADIUS扩展属性的厂商ID为9。 |
| 转换后的RADIUS扩展属性的子属性编号 | 2 | 配置转换后的RADIUS扩展属性的子属性编号为2。 |
| 进行RADIUS扩展属性转换的报文类型(将其他厂家的设备默认不支持的属性转换为设备支持的属性) | access-request | 指定对认证请求报文进行RADIUS属性转换。 |
| 进行转换的RADIUS扩展属性的厂商ID | 9 | 配置进行转换的RADIUS扩展属性的厂商ID为9。 |
| 进行转换的RADIUS属性的子属性编号 | 11 | 配置进行转换的RADIUS属性的子属性编号为11。 |
| 转换的目的属性名称 | HW-Access-Type | 配置转换的目的属性名称为HW-Access-Type。 |
| 进行RADIUS扩展属性转换的报文类型(将设备支持的属性转换为其他厂家的设备默认不支持的属性) | access-accept | 指定对认证接受报文进行RADIUS属性转换。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<radius xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<radius-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<name>test12345</name>
<vsys>public</vsys>
<translate-attribute xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<enable>true</enable>
<translate-normal xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<source-attribute-name>nas-identifier</source-attribute-name>
<destination-attribute-name>nas-port-id</destination-attribute-name>
<packet-type>send</packet-type>
</translate-normal>
<translate-extend xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<source-attribute-name>HW-URL-Flag</source-attribute-name>
<destination-vendor-id>9</destination-vendor-id>
<destination-sub-vendor-id>2</destination-sub-vendor-id>
<packet-type>access-request</packet-type>
</translate-extend>
<translate-extend-vendor xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<source-vendor-id>9</source-vendor-id>
<source-sub-vendor-id>11</source-sub-vendor-id>
<destination-attribute-name>HW-Access-Type</destination-attribute-name>
<packet-type>access-accept</packet-type>
</translate-extend-vendor>
</translate-attribute>
</radius-server>
</radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>Wrong parameter.</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="test12345",vsys="public"]/translate-attribute/translate-normal[source-attribute-name="nas-identifier1"]</error-info> </rpc-error> </rpc-reply>
禁用RADIUS属性
本章节主要介绍通过rpc方法禁用RADIUS属性。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server/disable-attribute |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 禁用的RADIUS属性名称 | HW-Exec-Privilege | 禁用的RADIUS属性名称为HW-Exec-Privilege。 |
| 禁用RADIUS属性的报文类型 | receive | 禁用接收报文中的RADIUS属性。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="cf1228d1-c9bc-4e95-9578-4e7d0cd90e25">
<edit-config>
<target>
<running/>
</target>
<config>
<radius xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<radius-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<name>rds</name>
<vsys>public</vsys>
<disable-attribute xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<attribute-name>HW-Exec-Privilege</attribute-name>
<option>receive</option>
</disable-attribute>
</radius-server>
</radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="cf1228d1-c9bc-4e95-9578-4e7d0cd90e25"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="cf1228d1-c9bc-4e95-9578-4e7d0cd90e25"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>Process radius-attribute return error</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="rds",vsys="public"]/disable-attribute[attribute-name="HW-Exec-Privilege1"]</error-info> </rpc-error> </rpc-reply>
配置设备向RADIUS服务器发送的报文中的用户名格式
本章节主要介绍通过rpc方法配置设备向RADIUS服务器发送的报文中的用户名格式。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server/options/user-name/format |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改 | original | 设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改。 |
请求示例
<rpc message-id="123" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa-radius:radius xmlns:hw-aaa-radius="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<hw-aaa-radius:radius-server>
<hw-aaa-radius:name>rds</hw-aaa-radius:name>
<hw-aaa-radius:vsys>public</hw-aaa-radius:vsys>
<hw-aaa-radius:options>
<hw-aaa-radius:user-name>
<hw-aaa-radius:format>original</hw-aaa-radius:format>
</hw-aaa-radius:user-name>
</hw-aaa-radius:options>
</hw-aaa-radius:radius-server>
</hw-aaa-radius:radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <rpc-error> <error-type>application</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity> <error-message>parse rpc config error.</error-message> </rpc-error> </rpc-reply>
配置RADIUS流量单位、超时重传次数和超时时间以及恢复激活状态的时间
本章节主要介绍通过rpc方法配置RADIUS流量单位、超时重传次数和超时时间以及恢复激活状态的时间。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server/options |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| RADIUS流量单位 | byte | 配置RADIUS流量单位为字节。 |
| 服务器恢复激活状态的时间 | 3 | 配置RADIUS服务器恢复激活状态的时间为3分钟。 |
| RADIUS请求报文的超时时间 | 3 | 配置RADIUS请求报文的超时时间为3秒。 |
| RADIUS请求报文的超时重传次数 | 2 | 配置RADIUS请求报文的超时重传次数为2次。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<radius xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<radius-server xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<vsys>public</vsys>
<name>test12345</name>
<options xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<traffic-unit>byte</traffic-unit>
<dead-time>3</dead-time>
<timeout-timer>3</timeout-timer>
<retransmit-time>2</retransmit-time>
</options>
</radius-server>
</radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <rpc-error> <error-type>application</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity> <error-message>parse rpc config error.</error-message> </rpc-error> </rpc-reply>
配置RADIUS报文属性字段中MAC地址的格式
本章节主要介绍通过rpc方法配置RADIUS报文属性字段中MAC地址的格式。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server/mac-format-called-station-id或/huawei-aaa-radius:radius/radius-server/mac-format-calling-station-id |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
封装的called-station-id字段中MAC地址连接符 |
dot-split |
封装的called-station-id字段中用圆点(.)作为MAC地址连接符。 |
封装的called-station-id字段中MAC地址连接符 |
hyphen-split |
封装的hyphen-split字段中用横线(-)作为MAC地址连接符。 |
封装的called-station-id字段中MAC地址的格式 |
mode1 |
封装的called-station-id字段中MAC地址的格式是XXXX-XXXX-XXXX或XXXX.XXXX.XXXX。 |
封装的called-station-id字段中MAC地址使用形式 |
lowercase |
封装的called-station-id字段中MAC地址使用小写形式。 |
封装的calling-station-id字段中MAC地址连接符 |
dot-split |
封装的calling-station-id字段中用圆点(.)作为MAC地址连接符。 |
封装的calling-station-id字段中MAC地址的格式 |
mode1 |
封装的calling-station-id字段中MAC地址的格式是XXXX-XXXX-XXXX或XXXX.XXXX.XXXX。 |
封装的calling-station-id字段中MAC地址使用形式 |
lowercase |
封装的calling-station-id字段中MAC地址使用小写形式。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<radius xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<radius-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<name>test12345</name>
<vsys>public</vsys>
<mac-format-called-station-id>
<mac-address-format>dot-split</mac-address-format>
<mode>mode1</mode>
<letter>lowercase</letter>
</mac-format-called-station-id>
<mac-format-calling-station-id>
<mac-address-format>dot-split</mac-address-format>
<mode>mode1</mode>
<letter>lowercase</letter>
</mac-format-calling-station-id>
</radius-server>
</radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>Incomplete information.</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="rds",vsys="public"]/mac-format-called-station-id</error-info> </rpc-error> </rpc-reply>
配置设备解析RADIUS动态授权报文里MAC地址的格式
本章节主要介绍通过rpc方法配置设备解析RADIUS动态授权报文里MAC地址的格式。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/dynamic-authorization-option |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| calling-station-id字段中MAC地址连接符 | dot-split | calling-station-id字段中用圆点(.)作为MAC地址连接符。 |
| 封装的calling-station-id字段中MAC地址的格式 | compress | 封装的calling-station-id字段中MAC地址的格式是xxxx-xxxx-xxxx或xxxx.xxxx.xxxx。 |
| 是否根据RADIUS服务器模板下的配置解析RADIUS动态授权报文中的属性 | true | 根据RADIUS服务器模板下的配置解析RADIUS动态授权报文中的属性 |
请求示例
<rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa-radius:radius xmlns:hw-aaa-radius="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<hw-aaa-radius:dynamic-authorization-option>
<hw-aaa-radius:decode-mac-format-calling-station-id>
<hw-aaa-radius:mac-address-format>dot-split</hw-aaa-radius:mac-address-format>
<hw-aaa-radius:mode>compress</hw-aaa-radius:mode>
</hw-aaa-radius:decode-mac-format-calling-station-id>
<hw-aaa-radius:decode-attribute-sameastemplate>true</hw-aaa-radius:decode-attribute-sameastemplate>
</hw-aaa-radius:dynamic-authorization-option>
</hw-aaa-radius:radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>Invalid mac-address-format</error-message> <error-info>Error on node /huawei-aaa-radius:radius/dynamic-authorization-option/decode-mac-format-calling-station-id</error-info> </rpc-error> </rpc-reply>
配置华为扩展属性
本章节主要介绍通过rpc方法配置华为扩展属性。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server/hw-ap-info-format |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 配置华为扩展属性HW-AP-Information中携带AP设备的IP地址 | include-ap-ip | 配置华为扩展属性HW-AP-Information中携带AP设备的IP地址。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<radius xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<radius-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<name>test12345</name>
<vsys>public</vsys>
<hw-ap-info-format>include-ap-ip</hw-ap-info-format>
</radius-server>
</radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <rpc-error> <error-type>application</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity> <error-message>parse rpc config error.</error-message> </rpc-error> </rpc-reply>
对接收的RADIUS认证成功报文内的指定属性进行检查
本章节主要介绍通过rpc方法对接收的RADIUS认证成功报文内的指定属性进行检查。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-radius:radius/radius-server/check-attribute/attribute-name |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| RADIUS属性名称 | framed-protocol | 对接收的RADIUS认证成功报文内的framed-protocol属性进行检查。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<radius xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<radius-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<name>test12345</name>
<vsys>public</vsys>
<check-attribute xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<attribute-name>framed-protocol</attribute-name>
</check-attribute>
</radius-server>
</radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message> Failed to find the attribute.</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="test12345",vsys="public"]/check-attribute[attribute-name="abc"]/attribute-name</error-info> </rpc-error> </rpc-reply>
配置NAS相关属性
本章节主要介绍通过rpc方法配置NAS相关属性。
操作 |
XPATH |
|---|---|
edit-config:create |
|
数据需求
项目 |
数据 |
描述 |
|---|---|---|
设备发送RADIUS报文使用的NAS-IP-Address属性值 |
10.3.3.3 |
设备发送RADIUS报文使用的NAS-IP-Address属性值为10.3.3.3。 |
设备发送RADIUS报文使用的NAS-IPv6-Address属性值 |
FC00::7 |
设备发送RADIUS报文使用的NAS-IPv6-Address属性值为FC00::7。 |
NAS-Port属性封装的格式 |
new、s2t2p6no10ni12 |
配置NAS-Port属性封装的格式为新格式new,并且自定义为二进制格式2t2p6no10ni12。 |
NAS-Identifier属性封装的内容 |
hostname |
配置NAS-Identifier属性封装的内容为主机名。 |
NAS-Port-Id属性封装的格式 |
new |
配置NAS-Port-Id属性封装的格式为新格式new。 |
请求示例
<rpc message-id="123" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa-radius:radius xmlns:hw-aaa-radius="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<hw-aaa-radius:radius-server>
<hw-aaa-radius:name>t1</hw-aaa-radius:name>
<hw-aaa-radius:vsys>public</hw-aaa-radius:vsys>
<hw-aaa-radius:nas-ip-address>10.3.3.3</hw-aaa-radius:nas-ip-address>
<hw-aaa-radius:nas-ipv6-address>FC00::7</hw-aaa-radius:nas-ipv6-address>
<hw-aaa-radius:format-attribute>
<hw-aaa-raidus:nas-port-format>
<hw-aaa-radius:self-designed-format>s2t2p6no10ni12</hw-aaa-radius:self-designed-format>
<hw-aaa-radius:format>new</hw-aaa-radius:format>
</hw-aaa-raidus:nas-port-format>
<hw-aaa-radius:nas-identifier-format>hostname</hw-aaa-radius:nas-identifier-format>
<hw-aaa-radius:nas-port-id-format>new</hw-aaa-radius:nas-port-id-format>
</hw-aaa-radius:format-attribute>
</hw-aaa-radius:radius-server>
</hw-aaa-radius:radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>Wrong parameter.</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="test12345",vsys="public"]/nas-ip-address</error-info> </rpc-error> </rpc-reply>
配置RADIUS自动探测功能
本章节主要介绍通过merge方法配置RADIUS自动探测功能。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa-radius:radius/radius-server/server-detect-function /huawei-aaa-radius:radius/global/options/dead-detect-condition |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 探测用户名 | testusername | 探测用户名为testusername。 |
| 探测用户密码 | Example@123 | 探测用户密码为Example@123。 |
| 自动探测周期 | 100 | 自动探测周期为100秒。 |
| 对RADIUS服务器进行探测的方式 | by-server-ip | 根据RADIUS服务器IP地址对RADIUS服务器进行探测 |
请求示例
<rpc message-id="123" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa-radius:radius xmlns:hw-aaa-radius="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<hw-aaa-radius:radius-server>
<hw-aaa-radius:name>t1</hw-aaa-radius:name>
<hw-aaa-radius:vsys>public</hw-aaa-radius:vsys>
<hw-aaa-radius:server-detect-function>
<hw-aaa-radius:server-detect-enable>true</hw-aaa-radius:server-detect-enable>
<hw-aaa-radius:test-user-name>testusername</hw-aaa-radius:test-user-name>
<hw-aaa-radius:test-user-password>Example@123</hw-aaa-radius:test-user-password>
<hw-aaa-radius:interval>100</hw-aaa-radius:interval>
</hw-aaa-radius:server-detect-function>
</hw-aaa-radius:radius-server>
<hw-aaa-radius:global>
<hw-aaa-radius:options>
<hw-aaa-radius:dead-detect-condition>by-server-ip</hw-aaa-radius:dead-detect-condition>
</hw-aaa-radius:options>
</hw-aaa-radius:global>
</hw-aaa-radius:radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message> Invalid character in the template shared-key.</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="rds",vsys="public"]/server-detect-function/server-detect-enable</error-info> </rpc-error> </rpc-reply>
配置RADIUS服务器的共享密钥及运算法则
本章节主要介绍通过merge方法配置RADIUS服务器的共享密钥及运算法则。
操作 |
XPATH |
|---|---|
edit-config:merge |
|
数据需求
项目 |
数据 |
描述 |
|---|---|---|
在RADIUS模板下配置RADIUS服务器的共享密钥 |
Example@123 |
在RADIUS模板下配置RADIUS服务器的共享密钥为Example@123。 |
在RADIUS模板下配置RADIUS服务器的运算法则 |
loading-share |
在RADIUS模板下配置RADIUS服务器的运算法则为负载均衡运算法则。 |
全局下配置RADIUS服务器的共享密钥 |
IP地址:10.1.1.1 共享密钥:Example@1234 |
全局下配置IP地址为10.1.1.1的RADIUS服务器的共享密钥为Example@1234。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="cf1228d1-c9bc-4e95-9578-4e7d0cd90e25">
<edit-config>
<target>
<running/>
</target>
<config>
<radius xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<radius-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="merge">
<name>rds</name>
<vsys>public</vsys>
<authentication-server>
<server-ip-address>10.1.1.1</server-ip-address>
<port>1816</port>
</authentication-server>
<shared-key>Example@123</shared-key>
<server-algorithm>load-sharing</server-algorithm>
</radius-server>
<server-shared-key>
<server-item>
<ip-address>10.1.1.1</ip-address>
<shared-key>Example@1234</shared-key>
</server-item>
</server-shared-key>
</radius>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="cf1228d1-c9bc-4e95-9578-4e7d0cd90e25"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="cf1228d1-c9bc-4e95-9578-4e7d0cd90e25"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>Invalid radius-server shared key</error-message> <error-info>Error on node /huawei-aaa-radius:radius/radius-server[name="rds",vsys="public"]/shared-key</error-info> </rpc-error> </rpc-reply>
配置HWTACACS服务器模板
本章节介绍HWTACACS服务器模板的配置模型,以及配置的XML报文示例。
数据模型
HWTACACS服务器模板的配置模型文件名为huawei-aaa-hwtacacs.yang。
节点 |
说明 |
取值范围 |
备注 |
|---|---|---|---|
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/name |
HWTACACS服务器模板名称。 |
字符串形式,长度范围是1~32,不区分大小写。名称中只能包含英文字母、数字(0到9)、点号(.)、下划线(_)、中划线(-)以及上述字符的组合。不能配置为“-”或“--”。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/vsys |
vsys名称。 |
字符串形式,长度范围是1~31。 |
该节点对交换机无意义。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authentication-server/server-ip-address |
主用HWTACACS认证服务器的IP地址。 |
点分十进制格式,必须是合法的单播地址。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authentication-server/port |
主用HWTACACS认证服务器的端口号。 |
整数形式,取值范围是1~65535。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authentication-server/vpn-instance |
主用HWTACACS认证服务器所属的VPN实例。 |
必须为已存在的VPN实例。如何创建VPN实例,请参见IP VPN管理。 |
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authentication-server/public-net同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authentication-server/public-net |
是否连接公网中的主用HWTACACS认证服务器。 |
布尔型,取值如下:
|
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authentication-server/vpn-instance同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authentication-server/server-ip-address |
备用HWTACACS认证服务器的IP地址。 |
点分十进制格式,必须是合法的单播地址。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authentication-server/port |
备用HWTACACS认证服务器的端口号。 |
整数形式,取值范围是1~65535。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authentication-server/vpn-instance |
备用HWTACACS认证服务器所属的VPN实例。 |
必须为已存在的VPN实例。如何创建VPN实例,请参见IP VPN管理。 |
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authentication-server/public-net同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authentication-server/public-net |
是否连接公网中的备用HWTACACS认证服务器。 |
布尔型,取值如下:
|
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authentication-server/vpn-instance同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authorization-server/server-ip-address |
主用HWTACACS授权服务器的IP地址。 |
点分十进制格式,必须是合法的单播地址。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authorization-server/port |
主用HWTACACS授权服务器的端口号。 |
整数形式,取值范围是1~65535。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authorization-server/vpn-instance |
主用HWTACACS授权服务器所属的VPN实例。 |
必须为已存在的VPN实例。如何创建VPN实例,请参见IP VPN管理。 |
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authorization-server/public-net同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authorization-server/public-net |
是否连接公网中的主用HWTACACS授权服务器。 |
布尔型,取值如下:
|
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authorization-server/vpn-instance同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authorization-server/server-ip-address |
备用HWTACACS授权服务器的IP地址。 |
点分十进制格式,必须是合法的单播地址。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authorization-server/port |
备用HWTACACS授权服务器的端口号。 |
整数形式,取值范围是1~65535。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authorization-server/vpn-instance |
备用HWTACACS授权服务器所属的VPN实例。 |
必须为已存在的VPN实例。如何创建VPN实例,请参见IP VPN管理。 |
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authorization-server/public-net同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authorization-server/public-net |
是否连接公网中的备用HWTACACS授权服务器。 |
布尔型,取值如下:
|
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authorization-server/vpn-instance同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-accounting-server/server-ip-address |
主用HWTACACS计费服务器的IP地址。 |
点分十进制格式,必须是合法的单播地址。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-accounting-server/port |
主用HWTACACS计费服务器的端口号。 |
整数形式,取值范围是1~65535。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-accounting-server/vpn-instance |
主用HWTACACS计费服务器所属的VPN实例。 |
必须为已存在的VPN实例。如何创建VPN实例,请参见IP VPN管理。 |
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-accounting-server/public-net同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-accounting-server/public-net |
是否连接公网中的主用HWTACACS计费服务器。 |
布尔型,取值如下:
|
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-accounting-server/vpn-instance同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-accounting-server/server-ip-address |
备用HWTACACS计费服务器的IP地址。 |
点分十进制格式,必须是合法的单播地址。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-accounting-server/port |
备用HWTACACS计费服务器的端口号。 |
整数形式,取值范围是1~65535。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-accounting-server/vpn-instance |
备用HWTACACS计费服务器所属的VPN实例。 |
必须为已存在的VPN实例。如何创建VPN实例,请参见IP VPN管理。 |
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-accounting-server/public-net同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-accounting-server/public-net |
是否连接公网中的备用HWTACACS计费服务器。 |
布尔型,取值如下:
|
该节点不能与/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-accounting-server/vpn-instance同时下发。 |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/source-ip-address |
交换机与HWTACACS服务器通信时使用的源IPv4地址。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/source-ipv6-address |
交换机与HWTACACS服务器通信时使用的源IPv6地址。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/shared-key |
交换机与HWTACACS服务器使用的共享密钥。 |
字符串形式,区分大小写,长度范围是1~255,字符串中不能包含“?”和空格。 |
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/options/user-name/domain-include |
交换机向HWTACACS服务器发送的报文中用户名是否包含域名。 |
布尔型,取值如下:
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authentication-server-ipv6 |
IPv6地址的HWTACACS主用认证服务器。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authentication-server-ipv6 |
第二个IPv6地址的HWTACACS认证服务器作为备用服务器。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/third-authentication-server-ipv6 |
第三个IPv6地址的HWTACACS认证服务器作为备用服务器。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-authorization-server-ipv6 |
IPv6地址的HWTACACS主用授权服务器。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-authorization-server-ipv6 |
第二个IPv6地址的HWTACACS授权服务器作为备用服务器。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/third-authorization-server-ipv6 |
第三个IPv6地址的HWTACACS授权服务器作为备用服务器。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/primary-accounting-server-ipv6 |
IPv6地址的HWTACACS主用计费服务器。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/secondary-accounting-server-ipv6 |
第二个IPv6地址的HWTACACS计费服务器作为备用服务器。节点包括:
|
|
NA |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server/third-accounting-server-ipv6 |
第三个IPv6地址的HWTACACS计费服务器作为备用服务器。节点包括:
|
|
NA |
创建并配置HWTACACS服务器模板
本章节主要介绍通过edit-config:create方法创建并配置HWTACACS服务器模板。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
VPN实例名称 |
vpn1 |
创建名称为vpn1的VPN实例。 |
HWTACACS服务器模板名称 |
test |
创建名称为test的HWTACACS服务器模板。 |
vsys名称 |
public |
Vsys名称为public。 |
主用HWTACACS认证、授权和计费服务器 |
IP地址:10.1.1.1 |
主用HWTACACS认证、授权和计费服务器的IP地址为10.1.1.1。 |
端口号:1000 |
主用HWTACACS认证、授权和计费服务器的端口号为1000。 |
|
备用HWTACACS认证、授权和计费服务器 |
IP地址:10.2.2.2 |
备用HWTACACS认证、授权和计费服务器的IP地址为10.2.2.2。 |
端口号:1001 |
备用HWTACACS认证、授权和计费服务器的端口号为1001。 |
|
所属的VPN实例:vpn1 |
备用HWTACACS认证、授权和计费服务器所属的VPN实例为vpn1。 |
|
交换机与HWTACACS服务器通信时使用的源IP地址 |
192.168.10.1 |
交换机与HWTACACS服务器通信的源IP地址为192.168.10.1。 |
交换机与HWTACACS服务器使用的共享密钥 |
Example@123 |
HWTACACS服务器的共享密钥为Example@123。 |
交换机向HWTACACS服务器发送的报文中用户名是否包含域名 |
false |
交换机向HWTACACS服务器发送的报文中用户名不包含域名。 |
请求示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc message-id="1" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-l3vpn:vpn-instances xmlns:hw-l3vpn="urn:huawei:params:xml:ns:yang:huawei-l3vpn">
<hw-l3vpn:vpn-instance>
<hw-l3vpn:vpn-instance-name>vpn1</hw-l3vpn:vpn-instance-name>
</hw-l3vpn:vpn-instance>
</hw-l3vpn:vpn-instances>
<hw-aaa-hwtacacs:hwtacacs xmlns:hw-aaa-hwtacacs="urn:huawei:params:xml:ns:yang:huawei-aaa-hwtacacs">
<hw-aaa-hwtacacs:hwtacacs-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="create">
<hw-aaa-hwtacacs:name>test</hw-aaa-hwtacacs:name>
<hw-aaa-hwtacacs:vsys>public</hw-aaa-hwtacacs:vsys>
<hw-aaa-hwtacacs:primary-authentication-server>
<hw-aaa-hwtacacs:server-ip-address>10.1.1.1</hw-aaa-hwtacacs:server-ip-address>
<hw-aaa-hwtacacs:port>1000</hw-aaa-hwtacacs:port>
</hw-aaa-hwtacacs:primary-authentication-server>
<hw-aaa-hwtacacs:secondary-authentication-server>
<hw-aaa-hwtacacs:server-ip-address>10.2.2.2</hw-aaa-hwtacacs:server-ip-address>
<hw-aaa-hwtacacs:port>1001</hw-aaa-hwtacacs:port>
<hw-aaa-hwtacacs:vpn-instance>vpn1</hw-aaa-hwtacacs:vpn-instance>
</hw-aaa-hwtacacs:secondary-authentication-server>
<hw-aaa-hwtacacs:primary-authorization-server>
<hw-aaa-hwtacacs:server-ip-address>10.1.1.1</hw-aaa-hwtacacs:server-ip-address>
<hw-aaa-hwtacacs:port>1000</hw-aaa-hwtacacs:port>
</hw-aaa-hwtacacs:primary-authorization-server>
<hw-aaa-hwtacacs:secondary-authorization-server>
<hw-aaa-hwtacacs:server-ip-address>10.2.2.2</hw-aaa-hwtacacs:server-ip-address>
<hw-aaa-hwtacacs:port>1001</hw-aaa-hwtacacs:port>
<hw-aaa-hwtacacs:vpn-instance>vpn1</hw-aaa-hwtacacs:vpn-instance>
</hw-aaa-hwtacacs:secondary-authorization-server>
<hw-aaa-hwtacacs:primary-accounting-server>
<hw-aaa-hwtacacs:server-ip-address>10.1.1.1</hw-aaa-hwtacacs:server-ip-address>
<hw-aaa-hwtacacs:port>1000</hw-aaa-hwtacacs:port>
</hw-aaa-hwtacacs:primary-accounting-server>
<hw-aaa-hwtacacs:secondary-accounting-server>
<hw-aaa-hwtacacs:server-ip-address>10.2.2.2</hw-aaa-hwtacacs:server-ip-address>
<hw-aaa-hwtacacs:port>1001</hw-aaa-hwtacacs:port>
<hw-aaa-hwtacacs:vpn-instance>vpn1</hw-aaa-hwtacacs:vpn-instance>
</hw-aaa-hwtacacs:secondary-accounting-server>
<hw-aaa-hwtacacs:ip-address>192.168.10.1</hw-aaa-hwtacacs:ip-address>
<hw-aaa-hwtacacs:shared-key>Example@123</hw-aaa-hwtacacs:shared-key>
<hw-aaa-hwtacacs:options>
<hw-aaa-hwtacacs:user-name>
<hw-aaa-hwtacacs:domain-include>false</hw-aaa-hwtacacs:domain-include>
</hw-aaa-hwtacacs:user-name>
</hw-aaa-hwtacacs:options>
</hw-aaa-hwtacacs:hwtacacs-server>
</hw-aaa-hwtacacs:hwtacacs>
</config>
</edit-config>
</rpc>
响应示例
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1">
<rpc-error>
<error-app-tag>-1</error-app-tag>
<error-message> The VPN instance does not exist.</error-message>
<error-info>Error on node /huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server[name="test",vsys="public"]/primary-accounting-server</error-info>
</rpc-error>
</rpc-reply>
删除HWTACACS服务器模板
本章节主要介绍通过edit-config:delete方法删除HWTACACS服务器模板。
操作 |
XPATH |
|---|---|
edit-config:delete |
/huawei-aaa-hwtacacs:hwtacacs/hwtacacs-server |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| HWTACACS服务器模板名称 | test | 删除名称为test、vsys名称为public的HWTACACS服务器模板。 |
| vsys名称 | public |
请求示例
<?xml version='1.0' encoding='UTF-8'?>
<rpc message-id="2" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa-hwtacacs:hwtacacs xmlns:hw-aaa-hwtacacs="urn:huawei:params:xml:ns:yang:huawei-aaa-hwtacacs">
<hw-aaa-hwtacacs:hwtacacs-server xmlns:xc="urn:ietf:params:xml:ns:netconf:base:1.0" xc:operation="delete">
<hw-aaa-hwtacacs:name>test</hw-aaa-hwtacacs:name>
<hw-aaa-hwtacacs:vsys>public</hw-aaa-hwtacacs:vsys>
</hw-aaa-hwtacacs:hwtacacs-server>
</hw-aaa-hwtacacs:hwtacacs>
</config>
</edit-config>
</rpc>
响应示例
<?xml version='1.0' encoding='UTF-8'?> <rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="2"> <ok/> </rpc-reply>
<?xml version='1.0' encoding='UTF-8'?>
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="2">
<rpc-error>
<error-type>application</error-type>
<error-tag>data-missing</error-tag>
<error-severity>error</error-severity>
<error-path/>
<error-message>edit operation failed.</error-message>
</rpc-error>
</rpc-reply>
配置HACA服务器
配置HACA服务器模板
本章节主要介绍通过merge方法配置HACA服务器模板的报文举例。同时,配置HACA服务器模板也可以使用create方法。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa-haca:aca |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
HACA服务器模板的名称 |
hacaserver1 |
配置名称为hacaserver1的HACA服务器模板,使能HACA功能,并配置HACA服务器的IP地址为10.1.1.1,HACA服务器的端口号为1111,PKI域的名称为default,心跳报文发送周期为200分钟,HACA服务器的重连时间间隔为200分钟,HACA应答超时时间为200秒。 |
使能HACA功能 |
true |
|
HACA服务器的IP地址 |
10.1.1.1 |
|
HACA服务器的端口号 |
1111 |
|
PKI域的名称 |
default |
|
心跳报文发送周期 |
200 |
|
HACA服务器的重连时间间隔 |
200 |
|
HACA应答超时时间 |
200 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<aca xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-haca">
<haca-server xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<name>hacaserver1</name>
<vsys>public</vsys>
<enable>true</enable>
<server>
<server-ip>10.1.1.1</server-ip>
<port>1111</port>
</server>
<pki-domain>default</pki-domain>
<heart-beat>200</heart-beat>
<detection-function>
<reconnect-interval>200</reconnect-interval>
</detection-function>
<timeout>200</timeout>
</haca-server>
</aca>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <ok/> </rpc-reply>
配置允许重发计费停止报文
本章节主要介绍通过merge方法配置允许重发计费停止报文的报文举例。同时,配置允许重发计费停止报文也可以使用create方法。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa-haca:aca/haca-server/accounting-stop-packet-resend-times |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
重发的计费停止报文个数 |
10 |
重发的计费停止报文个数为10个。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <edit-config> <target> <running/> </target> <error-option>rollback-on-error</error-option> <config> <aca xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-haca"> <haca-server xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="create"> <name>haca_server</name> <vsys>public</vsys> <accounting-stop-packet-resend-times>55</accounting-stop-packet-resend-times> </haca-server> </aca> </config> </edit-config> </rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="1"> <ok/> </rpc-reply>
配置域
在域下应用AAA方案
本章节主要介绍通过merge方法在域下应用AAA方案。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa:aaa/aaa-domain |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
域名 |
domain1 | 创建名称为domain1的域。 |
域下绑定的认证方案名称 |
authen1 | 在域下绑定名称为authen1的认证方案。 |
域下绑定的计费方案名称 |
acc1 | 在域下绑定名称为acc1的计费方案。 |
域下绑定的业务方案名称 |
ser1 | 在域下绑定名称为ser1的业务方案。 |
| 使能域用户的流量统计功能 | true | 使能域用户的流量统计功能。 |
请求示例
<rpc message-id="10" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa:aaa xmlns:hw-aaa="urn:huawei:params:xml:ns:yang:huawei-aaa">
<hw-aaa:authentication-scheme>
<hw-aaa:name>authen1</hw-aaa:name>
<hw-aaa:vsys>public</hw-aaa:vsys>
<hw-aaa:authentication-mode>radius</hw-aaa:authentication-mode>
</hw-aaa:authentication-scheme>
<hw-aaa:accounting-scheme>
<hw-aaa:name>acc1</hw-aaa:name>
<hw-aaa:vsys>public</hw-aaa:vsys>
<hw-aaa:accounting-mode>radius</hw-aaa:accounting-mode>
</hw-aaa:accounting-scheme>
<hw-aaa:service-scheme>
<hw-aaa:name>ser1</hw-aaa:name>
<hw-aaa:vsys>public</hw-aaa:vsys>
</hw-aaa:service-scheme>
<hw-aaa:aaa-domain>
<hw-aaa:name>domain1</hw-aaa:name>
<hw-aaa:vsys>ads</hw-aaa:vsys>
<hw-aaa:authentication-scheme>authen1</hw-aaa:authentication-scheme>
<hw-aaa:accounting-scheme>acc1</hw-aaa:accounting-scheme>
<hw-aaa:service-scheme>ser1</hw-aaa:service-scheme>
<hw-aaa:statistics-enable>true</hw-aaa:statistics-enable>
</hw-aaa:aaa-domain>
</hw-aaa:aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="10"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="10"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>config/undo scheme failed</error-message> <error-info>Error on node /huawei-aaa:aaa/aaa-domain[name="domain1",vsys="ads"]/authentication-scheme</error-info> </rpc-error> </rpc-reply>
在域下应用RADIUS服务器模板
本章节主要介绍通过merge方法在域下应用RADIUS服务器模板。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa:aaa/huawei-aaa:aaa-domain/huawei-aaa-radius:radius-server/huawei-aaa-radius:radius-server |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
域名 |
domain1 | 创建名称为domain1的域。 |
域下绑定的RADIUS服务器模板名称 |
rds | 在域下绑定的RADIUS服务器模板名称为rds。 |
请求示例
<rpc message-id="10" xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<edit-config>
<target>
<running/>
</target>
<config>
<hw-aaa-radius:radius xmlns:hw-aaa-radius="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<hw-aaa-radius:radius-server>
<hw-aaa-radius:name>rds</hw-aaa-radius:name>
<hw-aaa-radius:vsys>public</hw-aaa-radius:vsys>
<hw-aaa-radius:authentication-server>
<hw-aaa-radius:server-ip-address>10.1.1.1</hw-aaa-radius:server-ip-address>
<hw-aaa-radius:port>1816</hw-aaa-radius:port>
<hw-aaa-radius:shared-key>Example@123</hw-aaa-radius:shared-key>
<hw-aaa-radius:weight>100</hw-aaa-radius:weight>
</hw-aaa-radius:authentication-server>
<hw-aaa-radius:accounting-server>
<hw-aaa-radius:server-ip-address>10.1.1.1</hw-aaa-radius:server-ip-address>
<hw-aaa-radius:port>1817</hw-aaa-radius:port>
<hw-aaa-radius:shared-key>Example@123</hw-aaa-radius:shared-key>
<hw-aaa-radius:weight>100</hw-aaa-radius:weight>
</hw-aaa-radius:accounting-server>
</hw-aaa-radius:radius-server>
</hw-aaa-radius:radius>
<hw-aaa:aaa xmlns:hw-aaa="urn:huawei:params:xml:ns:yang:huawei-aaa">
<hw-aaa:aaa-domain>
<hw-aaa:name>domain1</hw-aaa:name>
<hw-aaa:vsys>public</hw-aaa:vsys>
<hw-aaa-radius:radius-server xmlns:hw-aaa-radius="urn:huawei:params:xml:ns:yang:huawei-aaa-radius">
<hw-aaa-radius:radius-server>rds</hw-aaa-radius:radius-server>
</hw-aaa-radius:radius-server>
</hw-aaa:aaa-domain>
</hw-aaa:aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="10"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="10"> <rpc-error> <error-app-tag>-1</error-app-tag> <error-message>config/undo scheme failed</error-message> <error-info>Error on node /huawei-aaa:aaa/aaa-domain[name="domain1",vsys="ads"]/authentication-scheme</error-info> </rpc-error> </rpc-reply>
在域下应用HWTACACS服务器模板
本章节主要介绍通过merge方法在域下应用HWTACACS服务器模板。
操作 |
XPATH |
|---|---|
edit-config:merge |
/huawei-aaa:aaa/huawei-aaa:aaa-domain/huawei-aaa-hwtacacs:hwtacacs-server/huawei-aaa-hwtacacs:hwtacacs-server |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
域名 |
domain1 | 创建名称为domain1的域。 |
域下绑定的HWTACACS服务器模板名称 |
tac1 说明:
请确保该模板在设备上已经创建。 |
在域下绑定的HWTACACS服务器模板名称为tac1。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <edit-config> <target> <running/> </target> <error-option>rollback-on-error</error-option> <config> <aaa xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa"> <aaa-domain xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" > <name>domain1</name> <vsys>public</vsys> <hwtacacs-server xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa-hwtacacs"> <hwtacacs-server ns0:operation="merge">tac1</hwtacacs-server> </hwtacacs-server> </aaa-domain> </aaa> </config> </edit-config> </rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="123">
<rpc-error>
<error-app-tag>-1</error-app-tag>
<error-message>config hwtacacs server failed</error-message>
<error-info>Error on node /huawei-aaa:aaa/aaa-domain[name="domain2",vsys="public"]/huawei-aaa-hwtacacs:hwtacacs-server/hwtacacs-server</error-info>
</rpc-error>
</rpc-reply>
配置域用户的闲置切断功能
本章节主要介绍通过rpc方法配置域用户的闲置切断功能。
操作 |
XPATH |
|---|---|
edit-config:create |
/huawei-aaa:aaa/service-scheme/idle-cut-function |
数据需求
项目 |
数据 |
描述 |
|---|---|---|
| 闲置切断时间 | 12 | 配置闲置切断时间为12分钟。 |
| 闲置切断流量阈值 | 22 | 配置闲置切断流量阈值为22kbyte。 |
| 闲置切断功能对用户流量生效的方向 | inbound | 配置闲置切断功能对用户流量生效的方向为inbound,即闲置切断功能只对用户的上行流量生效。 |
请求示例
<rpc xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8">
<edit-config>
<target>
<running/>
</target>
<error-option>rollback-on-error</error-option>
<config>
<aaa xmlns="urn:huawei:params:xml:ns:yang:huawei-aaa">
<service-scheme xmlns:ns0="urn:ietf:params:xml:ns:netconf:base:1.0" ns0:operation="merge">
<name>lsw_serv</name>
<vsys>public</vsys>
<idle-cut-function>
<idle-time>12</idle-time>
<idle-flow>
<flow-value>22</flow-value>
<flow-direction>inbound</flow-direction>
</idle-flow>
</idle-cut-function>
</service-scheme>
</aaa>
</config>
</edit-config>
</rpc>
响应示例
配置成功响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <ok/> </rpc-reply>
配置失败响应示例
<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="43a8e485-35d2-499e-895c-e2d2d5f555a8"> <rpc-error> <error-type>application</error-type> <error-tag>operation-failed</error-tag> <error-severity>error</error-severity> <error-message>parse rpc config error.</error-message> </rpc-error> </rpc-reply>
