H3C 华为 01-AAA命令详解

01-AAA命令

目 录

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile 1.1.2 access-limit

1.1.3 access-limit enable 1.1.4 accounting default 1.1.5 accounting login 1.1.6 accounting optional 1.1.7 authentication default 1.1.8 authentication login 1.1.9 authorization command 1.1.10 authorization default 1.1.11 authorization login 1.1.12 authorization-attribute

1.1.13 authorization-attribute user-profile 1.1.14 bind-attribute 1.1.15 cut connection 1.1.16 display connection 1.1.17 display domain 1.1.18 display local-user 1.1.19 display user-group 1.1.20 domain

1.1.21 domain default enable 1.1.22 expiration-date 1.1.23 group

1.1.24 idle-cut enable 1.1.25 local-user

1.1.26 local-user password-display-mode 1.1.27 nas-id bind vlan 1.1.28 password

1.1.29 self-service-url enable 1.1.30 service-type 1.1.31 state

1.1.32 user-group

2 RADIUS配置命令

2.1 RADIUS配置命令

2.1.1 accounting-on enable

2.1.2 accounting-on enable interval 2.1.3 accounting-on enable send 2.1.4 attribute 25 car

2.1.5 data-flow-format (RADIUS scheme view)

2.1.6 display radius scheme 2.1.7 display radius statistics

2.1.8 display stop-accounting-buffer 2.1.9 key (RADIUS scheme view) 2.1.10 nas-ip (RADIUS scheme view)

2.1.11 primary accounting (RADIUS scheme view) 2.1.12 primary authentication (RADIUS scheme view) 2.1.13 radius client 2.1.14 radius nas-ip 2.1.15 radius scheme 2.1.16 radius trap

2.1.17 reset radius statistics

2.1.18 reset stop-accounting-buffer 2.1.19 retry

2.1.20 retry realtime-accounting

2.1.21 retry stop-accounting (RADIUS scheme view) 2.1.22 secondary accounting (RADIUS scheme view) 2.1.23 secondary authentication (RADIUS scheme view) 2.1.24 security-policy-server 2.1.25 server-type 2.1.26 state

2.1.27 stop-accounting-buffer enable (RADIUS scheme view) 2.1.28 timer quiet (RADIUS scheme view)

2.1.29 timer realtime-accounting (RADIUS scheme view) 2.1.30 timer response-timeout (RADIUS scheme view) 2.1.31 user-name-format (RADIUS scheme view)

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile

【命令】

aaa nas-id profile profile-name undo aaa nas-id profile profile-name 【视图】

系统视图 【缺省级别】

2：系统级 【参数】

profile-name：保存NAS-ID与VLAN绑定关系的Profile名称，为1～16个字符的字符串，不区分大小写。 【描述】

aaa nas-id profile命令用来创建一个NAS-ID Profile或者进入一个已创建的NAS-ID-Profile视图。undo aaa nas-id profile命令用来删除一个指定的NAS-ID Profile。

相关配置可参考命令nas-id bind vlan。 【举例】

# 创建一个名字为aaa的NAS-ID Profile。

system-view

[Sysname] aaa nas-id profile aaa [Sysname-nas-id-prof-aaa]

1.1.2 access-limit

【命令】

access-limit max-user-number undo access-limit 【视图】

本地用户视图 【缺省级别】

3：管理级

【参数】

max-user-number：表示使用当前用户名接入设备的最大用户数，取值范围为1～1024。 【描述】

access-limit命令用来设置当前用户名可容纳的最大接入用户数。undo access-limit命令用来取消对当前用户名的接入用户数限制。 缺省情况下，不限制当前本地用户名可容纳的接入用户数。

需要注意的是，本地用户的access-limit命令只在配置了本地计费方案的情况下生效。

相关配置可参考命令display local-user。 【举例】

# 允许同时以用户名abc在线的用户数为5。

system-view [Sysname] local-user abc

[Sysname-luser-abc] access-limit 5

1.1.3 access-limit enable

【命令】

access-limit enable max-user-number undo access-limit enable 【视图】

ISP域视图 【缺省级别】

2：系统级 【参数】

max-user-number：表示当前ISP域可容纳接入用户数的最大值，取值范围为1-2147483646。 【描述】

access-limit enable命令用来限制当前ISP域可容纳接入用户数。undo access-limit enable命令用来恢复缺省情况。 缺省情况下，不限制当前ISP域可容纳的接入用户数。

需要注意的是，由于接入用户之间会发生资源的争用，因此适当地配置该值可以使属于当前ISP域的用户获得可靠的性能保障。对当前ISP域下所能接入的用户数进行限制后，当接入此域的用户数超过当前ISP域可容纳的最大用户数后，新接入的用户将被拒绝。

【举例】

# 指定ISP域test最多可容纳500个接入用户。

system-view [Sysname] domain test

[Sysname-isp-test] access-limit enable 500

1.1.4 accounting default

【命令】

accounting default { local | none | radius-scheme radius-scheme-name [ local ] }

undo accounting default 【视图】

ISP域视图 【缺省级别】

2：系统级 【参数】

local：本地计费。 none：不计费。

radius-scheme radius-scheme-name：指定

RADIUS

方案。其中，

radius-scheme-name表示RADIUS方案名，为1～32个字符的字符串。 【描述】

accounting default命令用来为所有类型的用户配置缺省的计费方案。undo accounting default命令用来恢复缺省情况。 缺省情况下，所有类型的用户采用local计费方案。 需要注意的是：

? ?

当前ISP域所引用的RADIUS方案必须是已配置的。

本命令所配置的计费方案不区分用户类型，即对所有类型的用户都起作用。此本地计费只是为了支持本地用户的连接数管理，没有实际的统计功能。本地的

配置的优先级低于具体接入方式的配置。

?

接入数管理只对本地计费有效，对本地认证和授权没有作用。

相关配置可参考命令authentication default、authorization default和radius scheme。 【举例】

# 在系统缺省的ISP域system下，为所有类型的用户配置计费方案为local。

system-view

[Sysname] domain system

[Sysname-isp-system] auccounting default local