H3C 华为 01AAA命令详解精编版.docx
《H3C 华为 01AAA命令详解精编版.docx》由会员分享,可在线阅读,更多相关《H3C 华为 01AAA命令详解精编版.docx(84页珍藏版)》请在冰点文库上搜索。
H3C华为01AAA命令详解精编版
01-AAA命令
目 录
1AAA配置命令
1.1 AAA配置命令
1.1.1 aaanas-idprofile
【命令】
aaanas-idprofileprofile-name
undoaaanas-idprofileprofile-name
【视图】
系统视图
【缺省级别】
2:
系统级
【参数】
profile-name:
保存NAS-ID与VLAN绑定关系的Profile名称,为1~16个字符的字符串,不区分大小写。
【描述】
aaanas-idprofile命令用来创建一个NAS-IDProfile或者进入一个已创建的NAS-ID-Profile视图。
undoaaanas-idprofile命令用来删除一个指定的NAS-IDProfile。
相关配置可参考命令nas-idbindvlan。
【举例】
#创建一个名字为aaa的NAS-IDProfile。
system-view
[Sysname]aaanas-idprofileaaa
[Sysname-nas-id-prof-aaa]
1.1.2 access-limit
【命令】
access-limitmax-user-number
undoaccess-limit
【视图】
本地用户视图
【缺省级别】
3:
管理级
【参数】
max-user-number:
表示使用当前用户名接入设备的最大用户数,取值范围为1~1024。
【描述】
access-limit命令用来设置当前用户名可容纳的最大接入用户数。
undoaccess-limit命令用来取消对当前用户名的接入用户数限制。
缺省情况下,不限制当前本地用户名可容纳的接入用户数。
需要注意的是,本地用户的access-limit命令只在配置了本地计费方案的情况下生效。
相关配置可参考命令displaylocal-user。
【举例】
#允许同时以用户名abc在线的用户数为5。
system-view
[Sysname]local-userabc
[Sysname-luser-abc]access-limit5
1.1.3 access-limitenable
【命令】
access-limitenablemax-user-number
undoaccess-limitenable
【视图】
ISP域视图
【缺省级别】
2:
系统级
【参数】
max-user-number:
表示当前ISP域可容纳接入用户数的最大值,取值范围为1-2147483646。
【描述】
access-limitenable命令用来限制当前ISP域可容纳接入用户数。
undoaccess-limitenable命令用来恢复缺省情况。
缺省情况下,不限制当前ISP域可容纳的接入用户数。
需要注意的是,由于接入用户之间会发生资源的争用,因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。
对当前ISP域下所能接入的用户数进行限制后,当接入此域的用户数超过当前ISP域可容纳的最大用户数后,新接入的用户将被拒绝。
【举例】
#指定ISP域test最多可容纳500个接入用户。
system-view
[Sysname]domaintest
[Sysname-isp-test]access-limitenable500
1.1.4 accountingdefault
【命令】
accountingdefault{local|none|radius-schemeradius-scheme-name[local]}
undoaccountingdefault
【视图】
ISP域视图
【缺省级别】
2:
系统级
【参数】
local:
本地计费。
none:
不计费。
radius-schemeradius-scheme-name:
指定RADIUS方案。
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accountingdefault命令用来为所有类型的用户配置缺省的计费方案。
undoaccountingdefault命令用来恢复缺省情况。
缺省情况下,所有类型的用户采用local计费方案。
需要注意的是:
● 当前ISP域所引用的RADIUS方案必须是已配置的。
● 本命令所配置的计费方案不区分用户类型,即对所有类型的用户都起作用。
此配置的优先级低于具体接入方式的配置。
● 本地计费只是为了支持本地用户的连接数管理,没有实际的统计功能。
本地的接入数管理只对本地计费有效,对本地认证和授权没有作用。
相关配置可参考命令authenticationdefault、authorizationdefault和radiusscheme。
【举例】
#在系统缺省的ISP域system下,为所有类型的用户配置计费方案为local。
system-view
[Sysname]domainsystem
[Sysname-isp-system]auccountingdefaultlocal
#在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。
system-view
[Sysname]domaintest
[Sysname-isp-test]accountingdefaultradius-schemerdlocal
1.1.5 accountinglogin
【命令】
accountinglogin{local|none|radius-schemeradius-scheme-name[local]}
undoaccountinglogin
【视图】
ISP域视图
【缺省级别】
2:
系统级
【参数】
local:
本地计费。
实现了本地用户连接数的统计和限制,并没有实际的费用统计功能。
none:
不计费。
radius-schemeradius-scheme-name:
指定RADIUS方案。
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
accountinglogin命令用来为login用户配置计费方案。
undoaccountinglogin命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的计费方案。
需要注意的是:
● 当前ISP域所引用的RADIUS方案必须是已配置的。
● login接入方式中的FTP服务不支持计费流程。
相关配置可参考命令accountingdefault和radiusscheme。
【举例】
#在系统缺省的ISP域system下,为login用户配置计费方案为local。
system-view
[Sysname]domainsystem
[Sysname-isp-system]accountingloginlocal
#在ISP域test下,为login用户配置方案名为rd的RADIUS计费方案,并且local作为备份计费方案。
system-view
[Sysname]domaintest
[Sysname-isp-test]accountingloginradius-schemerdlocal
1.1.6 accountingoptional
【命令】
accountingoptional
undoaccountingoptional
【视图】
ISP域视图
【缺省级别】
2:
系统级
【参数】
无
【描述】
accountingoptional命令用来打开计费可选开关。
undoaccountingoptional命令用来关闭计费可选开关。
缺省情况下,计费可选处于关闭状态。
需要注意的是:
● 对上线用户计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若配置了本命令,则用户可以继续使用网络资源,且系统不再为其发送实时计费更新报文,否则用户连接将被切断。
该命令适用于只认证但不关心计费的情况。
● 计费可选开关打开的情况下,本地用户视图下的access-limit命令配置的本地用户的连接数限制功能不生效。
【举例】
#打开ISP域test的计费可选开关。
system-view
[Sysname]domaintest
[Sysname-isp-test]accountingoptional
1.1.7 authenticationdefault
【命令】
authenticationdefault{local|none|radius-schemeradius-scheme-name[local]}
undoauthenticationdefault
【视图】
ISP域视图
【缺省级别】
2:
系统级
【参数】
local:
本地认证。
none:
不进行认证。
radius-schemeradius-scheme-name:
指定RADIUS方案。
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authenticationdefault命令用来为所有类型的用户配置缺省的认证方案。
undoauthenticationdefault命令用来为恢复缺省情况。
缺省情况下,所有类型的用户采用local认证。
需要注意的是:
● 当前ISP域所引用的RADIUS方案必须是已配置的。
● 本命令配置的认证方案不区分用户类型,即对所有类型的用户都起作用。
此配置的优先级低于具体接入方式的配置。
相关配置可参考命令authorizationdefault、accountingdefault和radiusscheme。
【举例】
#在系统缺省的ISP域system下,为所有类型的用户配置认证方案为local。
system-view
[Sysname]domainsystem
[Sysname-isp-system]authenticationdefaultlocal
#在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。
system-view
[Sysname]domaintest
[Sysname-isp-test]authenticationdefaultradius-schemerdlocal
1.1.8 authenticationlogin
【命令】
authenticationlogin{local|none|radius-schemeradius-scheme-name[local]}
undoauthenticationlogin
【视图】
ISP域视图
【缺省级别】
2:
系统级
【参数】
local:
本地认证。
none:
不进行认证。
radius-schemeradius-scheme-name:
指定RADIUS方案。
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authenticationlogin命令用来为login用户配置认证方案。
undoauthenticationlogin命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的认证方案。
需要注意的是,当前ISP域所引用的RADIUS方案必须是已配置的。
相关配置可参考命令authenticationdefault和radiusscheme。
【举例】
#在系统缺省的ISP域system下,为login用户配置认证方案为local。
system-view
[Sysname]domainsystem
[Sysname-isp-system]authenticationloginlocal
#在ISP域test下,为login用户配置方案名为rd的RADIUS认证方案,并且local作为备份认证方案。
system-view
[Sysname]domaintest
[Sysname-isp-test]authenticationloginradius-schemerdlocal
1.1.9 authorizationcommand
【命令】
authorizationcommand{local|none}
undoauthorizationcommand
【视图】
ISP域视图
【缺省级别】
2:
系统级
【参数】
local:
本地授权。
none:
直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
【描述】
authorizationcommand命令用来为命令行用户配置授权方案。
undoauthorizationcommand命令用来恢复缺省情况。
缺省情况下,命令行用户采用缺省的授权方案。
需要注意的是,对于本地授权,本地用户必须存在,而且当前要授权的命令行的级别不能大于本地用户的级别,否则本地授权失败。
相关配置可参考命令authorizationdefault。
【举例】
#在系统缺省的ISP域system下,为命令行用户配置授权方案为local。
system-view
[Sysname]domainsystem
[Sysname-isp-system]authorizationcommandlocal
1.1.10 authorizationdefault
【命令】
authorizationdefault{local|none|radius-schemeradius-scheme-name[local]}
undoauthorizationdefault
【视图】
ISP域视图
【缺省级别】
2:
系统级
【参数】
local:
本地授权。
none:
直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-schemeradius-scheme-name:
指定RADIUS方案。
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorizationdefault命令用来为所有类型的用户配置缺省的授权方案。
undoauthorizationdefault命令用来恢复缺省情况。
缺省情况下,所有类型的用户采用local授权方案。
需要注意的是:
● 当前ISP域所引用的RADIUS方案必须是已配置的。
● authorizationdefault命令配置的授权方案不区分用户类型,即对所有类型的用户都起作用。
此配置的优先级低于具体接入方式的配置。
● RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。
对于所有RADIUS授权失败的情况,授权失败返回给NAS的原因为server没有响应。
相关配置可参考命令authenticationdefault、accountingdefault和radiusscheme。
【举例】
#在系统缺省的ISP域system下,为所有类型的用户配置授权方案为local。
system-view
[Sysname]domainsystem
[Sysname-isp-system]authorizationdefaultlocal
#在ISP域test下,为所有类型的用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。
system-view
[Sysname]domaintest
[Sysname-isp-test]authorizationdefaultradius-schemerdlocal
1.1.11 authorizationlogin
【命令】
authorizationlogin{local|none|radius-schemeradius-scheme-name[local]}
undoauthorizationlogin
【视图】
ISP域视图
【缺省级别】
2:
系统级
【参数】
local:
本地授权。
none:
直接授权,即对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
radius-schemeradius-scheme-name:
指定RADIUS方案。
其中,radius-scheme-name表示RADIUS方案名,为1~32个字符的字符串。
【描述】
authorizationlogin命令用来为login用户配置授权方案。
undoauthorizationlogin命令用来恢复缺省情况。
缺省情况下,login用户采用缺省的授权方案。
需要注意的是:
● 当前ISP域所引用的RADIUS方案必须是已配置的。
● RADIUS授权是特殊的流程,只是在认证和授权的RADIUS方案相同的条件下,RADIUS授权起作用,否则授权失败。
相关配置可参考命令authorizationdefault和radiusscheme。
【举例】
#在系统缺省的ISP域system下,为login用户配置授权方案为local。
system-view
[Sysname]domainsystem
[Sysname-isp-system]authorizationloginlocal
#在ISP域test下,为login用户配置方案名为rd的RADIUS授权方案,并且local作为备份授权方案。
system-view
[Sysname]domaintest
[Sysname-isp-test]authorizationloginradius-schemerdlocal
1.1.12 authorization-attribute
【命令】
authorization-attribute{aclacl-number|callback-numbercallback-number|idle-cutminute|levellevel|user-profileprofile-name|vlanvlan-id|work-directorydirectory-name}*
undoauthorization-attribute{acl|callback-number|idle-cut|level|user-profile|vlan|work-directory}*
【视图】
本地用户视图/用户组视图
【缺省级别】
3:
管理级
【参数】
aclacl-number:
指定本地用户的授权ACL。
其中,acl-number为授权ACL的编号,取值范围为2000~5999。
callback-numbercallback-number:
指定本地用户的授权PPP回呼号码。
其中,callback-number为1~64个字符的字符串,区分大小写。
idle-cutminute:
启用本地用户的闲置切断功能。
其中,minute为设定的闲置切断时间,取值范围为1~120,单位为分钟。
如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
levellevel:
指定本地用户的级别,取值范围为0~3。
其中0为访问级、1为监控级、2为系统级、3为管理级,数值越小,用户的级别越低。
缺省值为0。
user-profileprofile-name:
指定本地用户的授权UserProfile。
其中,profile-name表示用户配置文件的名称,为1~32个字符的字符串,只能包含英文字母、数字、下划线,且必须以英文字母开始,区分大小写。
vlanvlan-id:
指定本地用户的授权VLAN。
其中,vlan-id为VLAN编号,取值范围为1~4094。
work-directorydirectory-name:
授权FTP/SFTP用户可以访问的目录。
其中,directory-name表示FTP/SFTP用户可以访问的目录,为1~135个字符的字符串,不区分大小写,且该目录必须已经存在。
【描述】
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undoauthorization-attribute命令用来删除配置的授权属性。
缺省情况下,未设置任何授权属性。
需要注意的是:
● 可配置的授权属性都有其明确的使用环境和用途,而且本地用户授权属性的下发并不区分用户的服务类型,即会对所有类型的接入用户都下发已配置的授权属性,因此配置下发的授权属性时要考虑该类型的用户是否需要某些属性。
例如,PPP接入用户不需要下发授权目录,因此就不要设置PPP用户的work-directory属性。
● 用户组的授权属性对于组内的所有本地用户生效。
● 若本地用户与所属的用户组都配置了授权属性,则本地用户的配置生效。
● 如果配置登录用户界面的验证方式(authentication-mode)为不认证(none)或采用密码认证(password),则用户登录到系统后所能访问的命令级别由用户界面的级别确定。
关于配置登录用户界面的验证方式的具体内容请参见“系统分册/用户界面命令”中的命令authentication-mode;如果配置的认证方式需要用户名和口令,则用户登录系统后所能访问的命令级别由用户的级别确定。
对于SSH用户,使用RSA公钥认证时,其所能使用的命令以用户界面上设置的级别为准。
● 如果通过文件系统命令删除指定的FTP/SFTP用户可以访问的目录,则FTP/SFTP用户将不能访问此目录;
● 如果在当前指定的FTP/SFTP用户可以访问的目录中携带备板槽位信息,则主备切换后FT