H3C華為01-AAA命令詳解.doc_第1頁
H3C華為01-AAA命令詳解.doc_第2頁
H3C華為01-AAA命令詳解.doc_第3頁
H3C華為01-AAA命令詳解.doc_第4頁
H3C華為01-AAA命令詳解.doc_第5頁
已閱讀5頁,還剩56頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

01-AAA命令目 錄1 AAA配置命令. 1-11.1 AAA配置命令. 1-11.1.1 aaa nas-id profile. 1-11.1.2 access-limit 1-11.1.3 access-limit enable. 1-21.1.4 accounting default 1-31.1.5 accounting login. 1-41.1.6 accounting optional 1-41.1.7 authentication default 1-51.1.8 authentication login. 1-61.1.9 authorization command. 1-71.1.10 authorization default 1-81.1.11 authorization login. 1-91.1.12 authorization-attribute. 1-91.1.13 authorization-attribute user-profile. 1-111.1.14 bind-attribute. 1-121.1.15 cut connection. 1-131.1.16 display connection. 1-131.1.17 display domain. 1-141.1.18 display local-user 1-161.1.19 display user-group. 1-181.1.20 domain. 1-191.1.21 domain default enable. 1-191.1.22 expiration-date. 1-201.1.23 group. 1-211.1.24 idle-cut enable. 1-211.1.25 local-user 1-221.1.26 local-user password-display-mode. 1-231.1.27 nas-id bind vlan. 1-231.1.28 password. 1-241.1.29 self-service-url enable. 1-251.1.30 service-type. 1-261.1.31 state. 1-271.1.32 user-group. 1-272 RADIUS配置命令. 2-12.1 RADIUS配置命令. 2-12.1.1 accounting-on enable. 2-12.1.2 accounting-on enable interval 2-12.1.3 accounting-on enable send. 2-22.1.4 attribute 25 car 2-32.1.5 data-flow-format (RADIUS scheme view) 2-32.1.6 display radius scheme. 2-42.1.7 display radius statistics. 2-62.1.8 display stop-accounting-buffer 2-92.1.9 key (RADIUS scheme view) 2-102.1.10 nas-ip (RADIUS scheme view) 2-112.1.11 primary accounting (RADIUS scheme view) 2-122.1.12 primary authentication (RADIUS scheme view) 2-132.1.13 radius client 2-132.1.14 radius nas-ip. 2-142.1.15 radius scheme. 2-152.1.16 radius trap. 2-162.1.17 reset radius statistics. 2-162.1.18 reset stop-accounting-buffer 2-172.1.19 retry. 2-182.1.20 retry realtime-accounting. 2-192.1.21 retry stop-accounting (RADIUS scheme view) 2-202.1.22 secondary accounting (RADIUS scheme view) 2-202.1.23 secondary authentication (RADIUS scheme view) 2-212.1.24 security-policy-server 2-222.1.25 server-type. 2-232.1.26 state. 2-232.1.27 stop-accounting-buffer enable (RADIUS scheme view) 2-242.1.28 timer quiet (RADIUS scheme view) 2-252.1.29 timer realtime-accounting (RADIUS scheme view) 2-262.1.30 timer response-timeout (RADIUS scheme view) 2-272.1.31 user-name-format (RADIUS scheme view) 2-281 AAA配置命令1.1 AAA配置命令1.1.1 aaa nas-id profile【命令】aaa nas-id profile profile-nameundo aaa nas-id profile profile-name【視圖】系統(tǒng)視圖【缺省級別】2:系統(tǒng)級【參數(shù)】profile-name:保存NAS-ID與VLAN綁定關(guān)系的Profile名稱,為116個(gè)字符的字符串,不區(qū)分大小寫?!久枋觥縜aa nas-id profile命令用來創(chuàng)建一個(gè)NAS-ID Profile或者進(jìn)入一個(gè)已創(chuàng)建的NAS-ID-Profile視圖。undo aaa nas-id profile命令用來刪除一個(gè)指定的NAS-ID Profile。相關(guān)配置可參考命令nas-id bind vlan?!九e例】# 創(chuàng)建一個(gè)名字為aaa的NAS-ID Profile。 system-viewSysname aaa nas-id profile aaaSysname-nas-id-prof-aaa1.1.2 access-limit【命令】access-limit max-user-numberundo access-limit【視圖】本地用戶視圖【缺省級別】3:管理級【參數(shù)】max-user-number:表示使用當(dāng)前用戶名接入設(shè)備的最大用戶數(shù),取值范圍為11024?!久枋觥縜ccess-limit命令用來設(shè)置當(dāng)前用戶名可容納的最大接入用戶數(shù)。undo access-limit命令用來取消對當(dāng)前用戶名的接入用戶數(shù)限制。缺省情況下,不限制當(dāng)前本地用戶名可容納的接入用戶數(shù)。需要注意的是,本地用戶的access-limit命令只在配置了本地計(jì)費(fèi)方案的情況下生效。相關(guān)配置可參考命令display local-user。【舉例】# 允許同時(shí)以用戶名abc在線的用戶數(shù)為5。 system-viewSysname local-user abcSysname-luser-abc access-limit 51.1.3 access-limit enable【命令】access-limit enable max-user-numberundo access-limit enable【視圖】ISP域視圖【缺省級別】2:系統(tǒng)級【參數(shù)】max-user-number:表示當(dāng)前ISP域可容納接入用戶數(shù)的最大值,取值范圍為1-2147483646?!久枋觥縜ccess-limit enable命令用來限制當(dāng)前ISP域可容納接入用戶數(shù)。undo access-limit enable命令用來恢復(fù)缺省情況。缺省情況下,不限制當(dāng)前ISP域可容納的接入用戶數(shù)。需要注意的是,由于接入用戶之間會發(fā)生資源的爭用,因此適當(dāng)?shù)嘏渲迷撝悼梢允箤儆诋?dāng)前ISP域的用戶獲得可靠的性能保障。對當(dāng)前ISP域下所能接入的用戶數(shù)進(jìn)行限制后,當(dāng)接入此域的用戶數(shù)超過當(dāng)前ISP域可容納的最大用戶數(shù)后,新接入的用戶將被拒絕。【舉例】# 指定ISP域test最多可容納500個(gè)接入用戶。 system-viewSysname domain testSysname-isp-test access-limit enable 5001.1.4 accounting default【命令】accounting default local | none | radius-scheme radius-scheme-name local undo accounting default【視圖】ISP域視圖【缺省級別】2:系統(tǒng)級【參數(shù)】local:本地計(jì)費(fèi)。none:不計(jì)費(fèi)。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為132個(gè)字符的字符串?!久枋觥縜ccounting default命令用來為所有類型的用戶配置缺省的計(jì)費(fèi)方案。undo accounting default命令用來恢復(fù)缺省情況。缺省情況下,所有類型的用戶采用local計(jì)費(fèi)方案。需要注意的是:l 當(dāng)前ISP域所引用的RADIUS方案必須是已配置的。l 本命令所配置的計(jì)費(fèi)方案不區(qū)分用戶類型,即對所有類型的用戶都起作用。此配置的優(yōu)先級低于具體接入方式的配置。l 本地計(jì)費(fèi)只是為了支持本地用戶的連接數(shù)管理,沒有實(shí)際的統(tǒng)計(jì)功能。本地的接入數(shù)管理只對本地計(jì)費(fèi)有效,對本地認(rèn)證和授權(quán)沒有作用。相關(guān)配置可參考命令authentication default、authorization default和radius scheme。【舉例】# 在系統(tǒng)缺省的ISP域system下,為所有類型的用戶配置計(jì)費(fèi)方案為local。 system-viewSysname domain systemSysname-isp-system auccounting default local# 在ISP域test下,為所有類型的用戶配置方案名為rd的RADIUS計(jì)費(fèi)方案,并且local作為備份計(jì)費(fèi)方案。 system-viewSysname domain testSysname-isp-test accounting default radius-scheme rd local1.1.5 accounting login【命令】accounting login local | none | radius-scheme radius-scheme-name local undo accounting login【視圖】ISP域視圖【缺省級別】2:系統(tǒng)級【參數(shù)】local:本地計(jì)費(fèi)。實(shí)現(xiàn)了本地用戶連接數(shù)的統(tǒng)計(jì)和限制,并沒有實(shí)際的費(fèi)用統(tǒng)計(jì)功能。none:不計(jì)費(fèi)。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為132個(gè)字符的字符串?!久枋觥縜ccounting login命令用來為login用戶配置計(jì)費(fèi)方案。undo accounting login命令用來恢復(fù)缺省情況。缺省情況下,login用戶采用缺省的計(jì)費(fèi)方案。需要注意的是:l 當(dāng)前ISP域所引用的RADIUS方案必須是已配置的。l login接入方式中的FTP服務(wù)不支持計(jì)費(fèi)流程。相關(guān)配置可參考命令accounting default和radius scheme?!九e例】# 在系統(tǒng)缺省的ISP域system下,為login用戶配置計(jì)費(fèi)方案為local。 system-viewSysname domain systemSysname-isp-system accounting login local# 在ISP域test下,為login用戶配置方案名為rd的RADIUS計(jì)費(fèi)方案,并且local作為備份計(jì)費(fèi)方案。 system-viewSysname domain testSysname-isp-test accounting login radius-scheme rd local1.1.6 accounting optional【命令】accounting optionalundo accounting optional【視圖】ISP域視圖【缺省級別】2:系統(tǒng)級【參數(shù)】無【描述】accounting optional命令用來打開計(jì)費(fèi)可選開關(guān)。undo accounting optional命令用來關(guān)閉計(jì)費(fèi)可選開關(guān)。缺省情況下,計(jì)費(fèi)可選處于關(guān)閉狀態(tài)。需要注意的是:l 對上線用戶計(jì)費(fèi)時(shí),如果發(fā)現(xiàn)沒有可用的計(jì)費(fèi)服務(wù)器或與計(jì)費(fèi)服務(wù)器通信失敗時(shí),若配置了本命令,則用戶可以繼續(xù)使用網(wǎng)絡(luò)資源,且系統(tǒng)不再為其發(fā)送實(shí)時(shí)計(jì)費(fèi)更新報(bào)文,否則用戶連接將被切斷。該命令適用于只認(rèn)證但不關(guān)心計(jì)費(fèi)的情況。l 計(jì)費(fèi)可選開關(guān)打開的情況下,本地用戶視圖下的access-limit命令配置的本地用戶的連接數(shù)限制功能不生效。【舉例】# 打開ISP域test的計(jì)費(fèi)可選開關(guān)。 system-viewSysname domain testSysname-isp-test accounting optional1.1.7 authentication default【命令】authentication default local | none | radius-scheme radius-scheme-name local undo authentication default【視圖】ISP域視圖【缺省級別】2:系統(tǒng)級【參數(shù)】local:本地認(rèn)證。none:不進(jìn)行認(rèn)證。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為132個(gè)字符的字符串。【描述】authentication default命令用來為所有類型的用戶配置缺省的認(rèn)證方案。undo authentication default命令用來為恢復(fù)缺省情況。缺省情況下,所有類型的用戶采用local認(rèn)證。需要注意的是:l 當(dāng)前ISP域所引用的RADIUS方案必須是已配置的。l 本命令配置的認(rèn)證方案不區(qū)分用戶類型,即對所有類型的用戶都起作用。此配置的優(yōu)先級低于具體接入方式的配置。相關(guān)配置可參考命令authorization default、accounting default和radius scheme。【舉例】# 在系統(tǒng)缺省的ISP域system下,為所有類型的用戶配置認(rèn)證方案為local。 system-viewSysname domain systemSysname-isp-system authentication default local# 在ISP域test下,為所有類型的用戶配置方案名為rd的RADIUS認(rèn)證方案,并且local作為備份認(rèn)證方案。 system-viewSysname domain testSysname-isp-test authentication default radius-scheme rd local1.1.8 authentication login【命令】authentication login local | none | radius-scheme radius-scheme-name local undo authentication login【視圖】ISP域視圖【缺省級別】2:系統(tǒng)級【參數(shù)】local:本地認(rèn)證。none:不進(jìn)行認(rèn)證。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為132個(gè)字符的字符串?!久枋觥縜uthentication login命令用來為login用戶配置認(rèn)證方案。undo authentication login命令用來恢復(fù)缺省情況。缺省情況下,login用戶采用缺省的認(rèn)證方案。需要注意的是,當(dāng)前ISP域所引用的RADIUS方案必須是已配置的。相關(guān)配置可參考命令authentication default和radius scheme?!九e例】# 在系統(tǒng)缺省的ISP域system下,為login用戶配置認(rèn)證方案為local。 system-viewSysname domain systemSysname-isp-system authentication login local# 在ISP域test下,為login用戶配置方案名為rd的RADIUS認(rèn)證方案,并且local作為備份認(rèn)證方案。 system-viewSysname domain testSysname-isp-test authentication login radius-scheme rd local1.1.9 authorization command【命令】authorization command local | none undo authorization command【視圖】ISP域視圖【缺省級別】2:系統(tǒng)級【參數(shù)】local:本地授權(quán)。none:直接授權(quán),即對用戶非常信任,直接授權(quán)通過,此時(shí)用戶的權(quán)限為系統(tǒng)的默認(rèn)權(quán)限?!久枋觥縜uthorization command命令用來為命令行用戶配置授權(quán)方案。undo authorization command命令用來恢復(fù)缺省情況。缺省情況下,命令行用戶采用缺省的授權(quán)方案。需要注意的是,對于本地授權(quán),本地用戶必須存在,而且當(dāng)前要授權(quán)的命令行的級別不能大于本地用戶的級別,否則本地授權(quán)失敗。相關(guān)配置可參考命令authorization default?!九e例】# 在系統(tǒng)缺省的ISP域system下,為命令行用戶配置授權(quán)方案為local。 system-viewSysname domain systemSysname-isp-system authorization command local1.1.10 authorization default【命令】authorization default local | none | radius-scheme radius-scheme-name local undo authorization default【視圖】ISP域視圖【缺省級別】2:系統(tǒng)級【參數(shù)】local:本地授權(quán)。none:直接授權(quán),即對用戶非常信任,直接授權(quán)通過,此時(shí)用戶的權(quán)限為系統(tǒng)的默認(rèn)權(quán)限。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為132個(gè)字符的字符串?!久枋觥縜uthorization default命令用來為所有類型的用戶配置缺省的授權(quán)方案。undo authorization default命令用來恢復(fù)缺省情況。缺省情況下,所有類型的用戶采用local授權(quán)方案。需要注意的是:l 當(dāng)前ISP域所引用的RADIUS方案必須是已配置的。l authorization default命令配置的授權(quán)方案不區(qū)分用戶類型,即對所有類型的用戶都起作用。此配置的優(yōu)先級低于具體接入方式的配置。l RADIUS授權(quán)是特殊的流程,只是在認(rèn)證和授權(quán)的RADIUS方案相同的條件下,RADIUS授權(quán)起作用,否則授權(quán)失敗。對于所有RADIUS授權(quán)失敗的情況,授權(quán)失敗返回給NAS的原因?yàn)閟erver沒有響應(yīng)。相關(guān)配置可參考命令authentication default、accounting default和radius scheme。【舉例】# 在系統(tǒng)缺省的ISP域system下,為所有類型的用戶配置授權(quán)方案為local。 system-viewSysname domain systemSysname-isp-system authorization default local# 在ISP域test下,為所有類型的用戶配置方案名為rd的RADIUS授權(quán)方案,并且local作為備份授權(quán)方案。 system-viewSysname domain testSysname-isp-test authorization default radius-scheme rd local1.1.11 authorization login【命令】authorization login local | none | radius-scheme radius-scheme-name local undo authorization login【視圖】ISP域視圖【缺省級別】2:系統(tǒng)級【參數(shù)】local:本地授權(quán)。none:直接授權(quán),即對用戶非常信任,直接授權(quán)通過,此時(shí)用戶的權(quán)限為系統(tǒng)的默認(rèn)權(quán)限。radius-scheme radius-scheme-name:指定RADIUS方案。其中,radius-scheme-name表示RADIUS方案名,為132個(gè)字符的字符串?!久枋觥縜uthorization login命令用來為login用戶配置授權(quán)方案。undo authorization login命令用來恢復(fù)缺省情況。缺省情況下,login用戶采用缺省的授權(quán)方案。需要注意的是:l 當(dāng)前ISP域所引用的RADIUS方案必須是已配置的。l RADIUS授權(quán)是特殊的流程,只是在認(rèn)證和授權(quán)的RADIUS方案相同的條件下,RADIUS授權(quán)起作用,否則授權(quán)失敗。相關(guān)配置可參考命令authorization default和radius scheme?!九e例】# 在系統(tǒng)缺省的ISP域system下,為login用戶配置授權(quán)方案為local。 system-viewSysname domain systemSysname-isp-system authorization login local# 在ISP域test下,為login用戶配置方案名為rd的RADIUS授權(quán)方案,并且local作為備份授權(quán)方案。 system-viewSysname domain testSysname-isp-test authorization login radius-scheme rd local1.1.12 authorization-attribute【命令】authorization-attribute acl acl-number | callback-number callback-number | idle-cut minute | level level | user-profile profile-name | vlan vlan-id | work-directory directory-name *undo authorization-attribute acl | callback-number | idle-cut | level | user-profile | vlan | work-directory *【視圖】本地用戶視圖/用戶組視圖【缺省級別】3:管理級【參數(shù)】acl acl-number:指定本地用戶的授權(quán)ACL。其中,acl-number為授權(quán)ACL的編號,取值范圍為20005999。callback-number callback-number:指定本地用戶的授權(quán)PPP回呼號碼。其中,callback-number為164個(gè)字符的字符串,區(qū)分大小寫。idle-cut minute:啟用本地用戶的閑置切斷功能。其中,minute為設(shè)定的閑置切斷時(shí)間,取值范圍為1120,單位為分鐘。如果用戶在線后連續(xù)閑置的時(shí)長超過該值,設(shè)備會強(qiáng)制該用戶下線。level level:指定本地用戶的級別,取值范圍為03。其中0為訪問級、1為監(jiān)控級、2為系統(tǒng)級、3為管理級,數(shù)值越小,用戶的級別越低。缺省值為0。user-profile profile-name:指定本地用戶的授權(quán)User Profile。其中,profile-name表示用戶配置文件的名稱,為132個(gè)字符的字符串,只能包含英文字母、數(shù)字、下劃線,且必須以英文字母開始,區(qū)分大小寫。vlan vlan-id:指定本地用戶的授權(quán)VLAN。其中,vlan-id為VLAN編號,取值范圍為14094。work-directory directory-name:授權(quán)FTP/SFTP用戶可以訪問的目錄。其中,directory-name表示FTP/SFTP用戶可以訪問的目錄,為1135個(gè)字符的字符串,不區(qū)分大小寫,且該目錄必須已經(jīng)存在?!久枋觥縜uthorization-attribute命令用來設(shè)置本地用戶或用戶組的授權(quán)屬性,該屬性在本地用戶認(rèn)證通過之后,由設(shè)備下發(fā)給用戶。undo authorization-attribute命令用來刪除配置的授權(quán)屬性。缺省情況下,未設(shè)置任何授權(quán)屬性。需要注意的是:l 可配置的授權(quán)屬性都有其明確的使用環(huán)境和用途,而且本地用戶授權(quán)屬性的下發(fā)并不區(qū)分用戶的服務(wù)類型,即會對所有類型的接入用戶都下發(fā)已配置的授權(quán)屬性,因此配置下發(fā)的授權(quán)屬性時(shí)要考慮該類型的用戶是否需要某些屬性。例如,PPP接入用戶不需要下發(fā)授權(quán)目錄,因此就不要設(shè)置PPP用戶的work-directory屬性。l 用戶組的授權(quán)屬性對于組內(nèi)的所有本地用戶生效。l 若本地用戶與所屬的用戶組都配置了授權(quán)屬性,則本地用戶的配置生效。l 如果配置登錄用戶界面的驗(yàn)證方式(authentication-mode)為不認(rèn)證(none)或采用密碼認(rèn)證(password),則用戶登錄到系統(tǒng)后所能訪問的命令級別由用戶界面的級別確定。關(guān)于配置登錄用戶界面的驗(yàn)證方式的具體內(nèi)容請參見“系統(tǒng)分冊/用戶界面命令”中的命令authentication-mode;如果配置的認(rèn)證方式需要用戶名和口令,則用戶登錄系統(tǒng)后所能訪問的命令級別由用戶的級別確定。對于SSH用戶,使用RSA公鑰認(rèn)證時(shí),其所能使用的命令以用戶界面上設(shè)置的級別為準(zhǔn)。l 如果通過文件系統(tǒng)命令刪除指定的FTP/SFTP用戶可以訪問的目錄,則FTP/SFTP用戶將不能訪問此目錄;l 如果在當(dāng)前指定的FTP/SFTP用戶可以訪問的目錄中攜帶備板槽位信息,則主備切換后FTP/SFTP用戶將不能正常登錄,建議用戶在指定工作目錄時(shí)不要攜帶槽位信息?!九e例】# 配置用戶組abc的授權(quán)VLAN為VLAN 3。 system-viewSysname user-group abcSysname-ugroup-abc authorization-attribute vlan 31.1.13 authorization-attribute user-profile【命令】authorization-attribute user-profile profile-nameundo authorization-attribute user-profile【視圖】ISP域視圖【缺省級別】3:管理級【參數(shù)】profile-name:指定的User Profile名稱,為131個(gè)字符的字符串,區(qū)分大小寫。User Profile的相關(guān)配置請參考“系統(tǒng)分冊”中的“User Profile命令”?!久枋觥縜uthorization-attribute user-profile命令用于配置當(dāng)前ISP域的缺省授權(quán)User Porfile。undo authorization-attribute user-profile命令用于恢復(fù)缺省情況。缺省情況下,當(dāng)前ISP域無缺省授權(quán)User Porfile。如果當(dāng)前ISP域的用戶認(rèn)證成功,但認(rèn)證服務(wù)器(包括本地認(rèn)證下的接入設(shè)備)對未對該ISP域下發(fā)授權(quán)User Porfile,則系統(tǒng)使用本配置指定的User Porfile作為當(dāng)前ISP域的授權(quán)User Porfile。需要注意的是,重復(fù)配置本命令,會覆蓋原有的配置?!九e例】# 配置test域下的缺省授權(quán)User Profile為profile1。 system-viewSysname domain testSysname-isp-test authorization-attribute user-profile profile11.1.14 bind-attribute【命令】bind-attribute call-number call-number : subcall-number | ip ip-address | location port slot-number subslot-number port-number | mac mac-address | vlan vlan-id *undo bind-attribute call-number | ip | location | mac | vlan *【視圖】本地用戶視圖【缺省級別】3:管理級【參數(shù)】call-number call-number:指定ISDN用戶認(rèn)證的主叫號碼。其中call-number為164個(gè)字符的字符串。subcall-number:指定子主叫號碼。如果配置了子主叫號碼,則主叫號碼與子主叫號碼的總長度不能大于62個(gè)字符。ip ip-address:指定用戶的IP地址。location:設(shè)置用戶的端口綁定屬性。port slot-number subslot-number port-number:指定用戶綁定的端口。其中slot-number為槽號,取值范圍為01024。subslot-number為子槽號,取值范圍為015。port-number為端口號,取值范圍0255。綁定的端口只針對端口號,不區(qū)分端口類型。mac mac-address:指定用戶的MAC地址。其中,mac-address為H-H-H格式。vlan vlan-id:設(shè)置用戶所屬于的VLAN。其中,vlan-id為VLAN編號,取值范圍為14094。【描述】bind-attribute命令用來設(shè)置用戶的綁定屬性。undo bind-attribute命令用來刪除配置的用戶綁定屬性。缺省情況下,未設(shè)置用戶的任何綁定屬性。需要注意的是:l 配置的綁定屬性是本地用戶進(jìn)行認(rèn)證時(shí)需要檢測的項(xiàng)目,如果用戶的實(shí)際屬性與配置的綁定屬性不符,則檢測不通過,認(rèn)證失敗。而且,由于認(rèn)證檢測時(shí)不區(qū)分用戶的接入服務(wù)類型,即會對所有類型的用戶都進(jìn)行已配置綁定屬性的認(rèn)證檢測,因此在配置綁定屬性時(shí)要考慮某類型的用戶是否需要綁定某些屬性。l 本地用戶的bind-attribute ip命令只適用于支持IP地址上傳功能的認(rèn)證,如802.1X認(rèn)證;對于不支持IP地址上傳功能的認(rèn)證,如果配置了該命令,會導(dǎo)致本地認(rèn)證失敗,如MAC地址認(rèn)證。l 本地用戶的bind-attribute mac命令只適用于lan-access類型的用戶,如802.1X認(rèn)證;對于其它類型用戶(如FTP或Telnet)的認(rèn)證,如果配置了該命令,會導(dǎo)致本地認(rèn)證失敗?!九e例】# 配置本地用戶abc的綁定IP為。 system-viewSysname local-user abcSysname-luser-abc bind-attribute ip 1.1.15 cut connection【命令】cut connection all | domain isp-name | ucibindex ucib-index | user-name user-name 【視圖】系統(tǒng)視圖【缺省級別】2:系統(tǒng)級【參數(shù)】all:切斷所有用戶連接。domain isp-name:指定ISP域。其中,isp-name為ISP域名,為124個(gè)字符的字符串。ucibindex ucib-index:指定連接索引號,取值范圍為04294967295。user-name user-name:指定用戶名。其中,user-name表示用戶名,為180個(gè)字符的字符串,區(qū)分大小寫。輸入的用戶名必須帶域名,否則系統(tǒng)默認(rèn)其帶缺省域名?!久枋觥縞ut connection命令用來強(qiáng)制切斷指定AAA用戶的連接。相關(guān)配置可參考命令display connection和service-type?!九e例】# 切斷ISP域test下的所有用戶連接。 system-viewSysname cut connection domain test1.1.16 display connection【命令】display connection domain isp-name | ucibindex ucib-index | user-name user-name 【視圖】任意視圖【缺省級別】1:監(jiān)控級【參數(shù)】domain isp-name:顯示指定ISP域下的全部用戶連接。其中,isp-name表示ISP域名,為124個(gè)字符的字符串,不區(qū)分大小寫。ucibindex ucib-index:顯示指定連接索引的所有用戶連接。其中,ucib-index表示連接索引號,取值范圍請為04294967295。user-name user-name:顯示指定用戶名的用戶連接。其中,user-name表示用戶名,為180個(gè)字符的字符串,區(qū)分大小寫。輸入的用戶名必須帶域名,否則系統(tǒng)默認(rèn)其帶缺省域名?!久枋觥縟isplay connection命令用來顯示所有或指定的AAA用戶連接的相關(guān)信息。需要注意的是:l 不指定任何參數(shù)的情況下,系統(tǒng)顯示所有AAA用戶連接的概要信息。l 指定參數(shù)ucibindex的情況下,顯示詳細(xì)的用戶連接信息,指定其它參數(shù)則顯示概要信息。l 對于FTP類型用戶,無法顯示AAA用戶連接的相關(guān)信息。相關(guān)配置可參考命令cut connection?!九e例】# 顯示所有AAA用戶連接的相關(guān)信息。 display connectionIndex=1 ,Username=telnetsystemIP=Total 1 connection(s) matched.表1-1 display connection命令顯示信息描述表字段描述Index索引號Username當(dāng)前連接的用戶名,格式為usernamedomainIP該用戶IP地址Total 1 connection(s) matched.總計(jì)1個(gè)AAA用戶連接1.1.17 display domain【命令】display domain isp-name 【視圖】任意視圖【缺省級別】1:監(jiān)控級【參數(shù)】isp-name:指定ISP域名,為124個(gè)字符的字符串?!久枋觥縟isplay domain命令用來顯示指定ISP域的配置信息。如果不指定ISP域,則顯示系統(tǒng)中所有ISP域的配置信息。相關(guān)配置可參考命令access-limit enable、domain和state?!九e例】# 顯示系統(tǒng)中所有ISP域的配置信息。 display domain0 Domain : system State : Active Access-limit : Disabled Accounting method : Required Default authentication scheme : local Default authorization scheme : local Default accounting scheme : local Domain User Template: Idle-cut : Disabled Self-service : Disabled Authorization attributes :1 Domain : test State : Active Access-limit : Disabled Accounting method : Required Default authentication scheme : local Default authorization scheme : local Default accounting scheme : local Domain User Template: Idle-cut : Disabled Self-service : Disabled Authorization attributes :Default Domain Name: systemTotal 2 domain(s).表1-2 display domain命令顯示信息描述表字段描述Domain域名State狀態(tài)(Active:激活、Block:阻塞)Access-limit接入限制數(shù)(Disabled:未使能)Accounting method計(jì)費(fèi)方法(Required:必選、Optional:可選)Default authentication scheme缺省的認(rèn)證方案Default authorization scheme缺省的授權(quán)方案Default accounting scheme缺省的計(jì)費(fèi)方案Domain User Template域用戶模板Idle-cut閑置切斷功能(Disabled:未使能、Enabled:使能)Self-service自助服務(wù)功能(Disabled:未使能)Authorization attributes授權(quán)屬性Default Domain Name缺省ISP域名Total 2 domain(s).總計(jì)2個(gè)ISP域1.1.18 display local-user【命令】display local-user service-type ftp | ssh | telnet | terminal | s

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論