本地用户

1. 配置限制和指导

配置绑定接口属性时要考虑绑定接口类型是否合理，如果绑定的接口与实际的接口类型不一致或用户未携带该绑定属性则会导致认证失败。

开启设备管理类全局密码管理功能（通过命令password-control enable）后，设备上将不显示配置的本地用户密码，也不会将该密码保存在当前配置中。如果关闭了设备管理类全局密码管理功能，已配置的密码将恢复在当前配置中。当前配置可通过display  current-configuration命令查看。

授权属性和密码控制属性均可以在本地用户视图和用户组视图下配置，各视图下的配置优先级顺序从高到底依次为：本地用户视图-->用户组视图。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       添加设备管理类本地用户，并进入设备管理类本地用户视图。

local-user user-name class manage

(3)       设置本地用户的密码。

（非FIPS模式）

password [ { hash | simple } string  ]

可以不为本地用户设置密码。为提高用户账户的安全性，建议设置本地用户密码。

（FIPS模式）

password

必须且只能通过交互式方式设置明文密码，否则用户的本地认证不能成功。

(4)       设置本地用户可以使用的服务类型。

（非FIPS模式）

service-type { ftp | { http | https | ssh | telnet | terminal } * }

（FIPS模式）

service-type { https | ssh | terminal } *

缺省情况下，本地用户不能使用任何服务类型。

(5)       （可选）设置本地用户的状态。

state { active | block }

缺省情况下，本地用户处于活动状态，即允许该用户请求网络服务。

(6)       （可选）设置使用当前本地用户名接入设备的最大用户数。

access-limit  max-user-number

缺省情况下，不限制使用当前本地用户名接入的用户数。

由于FTP/SFTP/SCP用户不支持计费，因此FTP/SFTP/SCP用户不受此属性限制。

(7)       （可选）设置本地用户的绑定属性。

bind-attribute location interface  interface-type  interface-number

缺省情况下，未设置本地用户的绑定属性。

(8)       （可选）设置本地用户的授权属性。

authorization-attribute { idle-cut minutes | user-role  role-name  | work-directory directory-name } *

缺省情况下：

¡   授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录，但无访问权限。

¡   在缺省MDC中由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator；在非缺省MDC中由用户角色为mdc-admin或者level-15，的用户创建的本地用户被授权用户角色mdc-operator。

(9)       （可选）设置设备管理类本地用户的密码管理属性。请至少选择其中一项进行配置。

¡   设置密码老化时间。

password-control aging aging-time

¡   设置密码最小长度。

password-control length length

¡   设置密码组合策略。

password-control composition type-number type-number [ type-length type-length ]

¡   设置密码的复杂度检查策略。

password-control complexity { same-character | user-name  } check

¡   设置用户登录尝试次数以及登录尝试失败后的行为。

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

缺省情况下，采用本地用户所属用户组的密码管理策略。

(10)    （可选）设置本地用户所属的用户组。

group group-name

缺省情况下，本地用户属于用户组system。

1.1.2  配置网络接入类本地用户属性

1. 配置限制和指导

开启网络接入类全局密码管理功能（通过命令password-control enable  network-class）后，设备上将不显示配置的本地用户密码，也不会将该密码保存在当前配置中。如果关闭了网络接入类全局密码管理功能，已配置的密码将恢复在当前配置中。当前配置可通过display  current-configuration命令查看。

授权属性和密码控制属性均可以在本地用户视图和用户组视图下配置，各视图下的配置优先级顺序从高到底依次为：本地用户视图-->用户组视图。

在绑定接口属性时要考虑绑定接口类型是否合理。对于不同接入类型的用户，请按照如下方式进行绑定接口属性的配置：

·               802.1X用户：配置绑定的接口为开启802.1X的二层以太网接口、二层聚合接口。

·               MAC地址认证用户：配置绑定的接口为开启MAC地址认证的二层以太网接口、二层聚合接口。

·               Web认证用户：配置绑定的接口为开启Web认证的二层以太网接口。

·               Portal用户：若使能Portal的接口为VLAN接口，且没有通过portal roaming enable命令配置Portal用户漫游功能，则配置绑定的接口为用户实际接入的二层以太网接口；其它情况下，配置绑定的接口均为使能Portal的接口。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       添加网络接入类本地用户，并进入网络接入类本地用户视图。

local-user user-name class network

(3)       （可选）设置本地用户的密码。

password { cipher | simple } string

(4)       （可选）设置本地用户的描述信息。

description text

缺省情况下，未配置本地用户的描述信息。

(5)       设置本地用户可以使用的服务类型。

service-type { lan-access | portal }

缺省情况下，本地用户不能使用任何服务类型。

(6)       （可选）设置本地用户的状态。

state { active | block }

缺省情况下，本地用户处于活动状态，即允许该用户请求网络服务。

(7)       （可选）设置使用当前本地用户名接入设备的最大用户数。

access-limit  max-user-number

缺省情况下，不限制使用当前本地用户名接入的用户数。

(8)       （可选）设置本地用户的绑定属性。

bind-attribute { ip ip-address | location interface  interface-type  interface-number | mac mac-address | vlan vlan-id } *

缺省情况下，未设置本地用户的任何绑定属性。

(9)       （可选）设置本地用户的授权属性。

authorization-attribute { acl acl-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | session-timeout  minutes | vlan vlan-id }

缺省情况下，本地用户无授权属性。

(10)    （可选）设置网络接入类本地用户的密码管理属性。请至少选择其中一项进行配置。

¡   设置密码最小长度。

password-control length length

¡   设置密码组合策略。

password-control composition type-number type-number [ type-length type-length ]

¡   设置密码的复杂度检查策略。

password-control complexity { same-character | user-name  } check

缺省情况下，采用本地用户所属用户组的密码管理策略。

(11)    （可选）设置本地用户所属的用户组。

group group-name

缺省情况下，本地用户属于用户组system。

(12)    （可选）设置本地用户的有效期。

validity-datetime { from  start-date  start-time  to expiration-date  expiration-time | from  start-date  start-time | to expiration-date  expiration-time }

缺省情况下，未限制本地用户的有效期，该用户始终有效。

1. 功能简介

为了简化本地用户的配置，增强本地用户的可管理性，引入了用户组的概念。用户组是一个本地用户属性的集合，某些需要集中管理的属性可在用户组中统一配置和管理，用户组内的所有本地用户都可以继承这些属性。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       创建用户组，并进入用户组视图。

user-group  group-name

缺省情况下，存在一个用户组，名称为system。

(3)       设置用户组的授权属性。

authorization-attribute { acl acl-number | idle-cut minutes | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | session-timeout  minutes | vlan vlan-id | work-directory directory-name } *

缺省情况下，未设置用户组的授权属性。

(4)       （可选）设置用户组的密码管理属性。请至少选择其中一项进行配置。

¡   设置密码老化时间。

password-control aging aging-time

¡   设置密码最小长度。

password-control length length

¡   设置密码组合策略。

password-control composition type-number type-number [ type-length type-length ]

¡   设置密码的复杂度检查策略。

password-control complexity { same-character | user-name  } check

¡   设置用户登录尝试次数以及登录尝试失败后的行为。

password-control login-attempt login-times [ exceed { lock | lock-time time | unlock } ]

缺省情况下，采用全局密码管理策略。

方案

1. 配置限制和指导

系统最多支持配置16个RADIUS方案。一个RADIUS方案可以同时被多个ISP域引用。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       创建RADIUS方案，并进入RADIUS方案视图。

radius  scheme radius-scheme-name

1.2.2   配置RADIUS认证服务器

1. 功能简介

由于RADIUS服务器的授权信息是随认证应答报文发送给RADIUS客户端的，RADIUS的认证和授权功能由同一台服务器实现，因此RADIUS认证服务器相当于RADIUS认证/授权服务器。通过在RADIUS方案中配置RADIUS认证服务器，指定设备对用户进行RADIUS认证时与哪些服务器进行通信。

一个RADIUS方案中最多允许配置一个主认证服务器和16个从认证服务器。缺省情况下，当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

开启服务器负载分担功能后，设备会根据各服务器的权重以及服务器承载的用户负荷，按比例进行用户负荷分配并选择要交互的服务器。

2. 配置限制和指导

建议在不需要备份的情况下，只配置主RADIUS认证服务器即可。

在实际组网环境中，可以指定一台服务器既作为某个RADIUS方案的主认证服务器，又作为另一个RADIUS方案的从认证服务器。

在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同，并且各从认证服务器的VPN、主机名、IP地址、端口号也不能完全相同。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入RADIUS方案视图。

radius  scheme radius-scheme-name

(3)       配置主RADIUS认证服务器。

primary  authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value  ] *

缺省情况下，未配置主RADIUS认证服务器。

仅在RADIUS服务器负载分担功能处于开启状态下，参数weight才能生效。

(4)       （可选）配置从RADIUS认证服务器。

secondary  authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name | weight weight-value  ] *

缺省情况下，未配置从RADIUS认证服务器。

仅在RADIUS服务器负载分担功能处于开启状态下，参数weight才能生效。

1.2.3   配置RADIUS计费服务器

1. 功能简介

通过在RADIUS方案中配置RADIUS计费服务器，指定设备对用户进行RADIUS计费时与哪些服务器进行通信。

一个RADIUS方案中最多允许配置一个主计费服务器和16个从计费服务器。缺省情况下，当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。开启服务器负载分担功能后，设备会根据各服务器的权重以及服务器承载的用户负荷，按比例进行用户负荷分配并选择要交互的服务器。

2. 配置限制和指导

建议在不需要备份的情况下，只配置主RADIUS计费服务器即可。

在实际组网环境中，可以指定一台服务器既作为某个RADIUS方案的主计费服务器，又作为另一个RADIUS方案的从计费服务器。

在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同，并且各从计费服务器的VPN、主机名、IP地址、端口号也不能完全相同。

目前RADIUS不支持对FTP/SFTP/SCP用户进行计费。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入RADIUS方案视图。

radius  scheme radius-scheme-name

(3)       配置主RADIUS计费服务器。

primary  accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple  } string | vpn-instance vpn-instance-name | weight weight-value  ] *

缺省情况下，未配置主RADIUS计费服务器。

仅在RADIUS服务器负载分担功能处于开启状态下，参数weight才能生效。

(4)       （可选）配置从RADIUS计费服务器。

secondary  accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name | weight weight-value  ] *

缺省情况下，未配置从RADIUS计费服务器。

仅在RADIUS服务器负载分担功能处于开启状态下，参数weight才能生效。

1.2.4   配置RADIUS报文的共享密钥

1. 功能简介

RADIUS客户端与RADIUS服务器使用MD5算法并在共享密钥的参与下生成验证字，接受方根据收到报文中的验证字来判断对方报文的合法性。只有在共享密钥一致的情况下，彼此才能接收对方发来的报文并作出响应。

由于设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥，因此，本配置中指定的RADIUS报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。

2. 配置限制和指导

必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入RADIUS方案视图。

radius  scheme radius-scheme-name

(3)       配置RADIUS报文的共享密钥。

key { accounting | authentication } { cipher | simple } string

缺省情况下，未配置RADIUS报文的共享密钥。

1.2.5  配置RADIUS方案所属的VPN

1. 功能简介

该配置用于为RADIUS方案下的所有RADIUS服务器统一指定所属的VPN。RADIUS服务器所属的VPN也可以在配置RADIUS服务器的时候单独指定，且被优先使用。未单独指定所属VPN的服务器，则属于所在RADIUS方案所属的VPN。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入RADIUS方案视图。

radius  scheme radius-scheme-name

(3)       配置RADIUS方案所属的VPN。

vpn-instance  vpn-instance-name

缺省情况下，RADIUS方案属于公网。

报文使用的源IP地址

1. 功能简介

RADIUS服务器上通过IP地址来标识接入设备，并根据收到的RADIUS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证或计费请求。若RADIUS服务器收到的RADIUS认证或计费报文的源地址在所管理的接入设备IP地址范围内，则会进行后续的认证或计费处理，否则直接丢弃该报文。

设备发送RADIUS报文时，根据以下顺序查找使用的源IP地址：

(1)       当前所使用的RADIUS方案中配置的发送RADIUS报文使用的源IP地址。

(2)       根据当前使用的服务器所属的VPN查找系统视图下通过radius nas-ip命令配置的私网源地址，对于公网服务器则直接查找该命令配置的公网源地址。

(3)       通过路由查找到的发送RADIUS报文的出接口地址。

2. 配置限制和指导

发送RADIUS报文使用的源IP地址在系统视图和RADIUS方案视图下均可配置，系统视图下的配置将对所有RADIUS方案生效，RADIUS方案视图下的配置仅对本方案有效，并且具有高于前者的优先级。

为保证认证和计费报文可被服务器正常接收并处理，接入设备上发送RADIUS报文使用的源IP地址必须与RADIUS服务器上指定的接入设备的IP地址保持一致。

通常，该地址为接入设备上与RADIUS服务器路由可达的接口IP地址，为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送RADIUS报文使用的源IP地址。但在一些特殊的组网环境中，例如在接入设备使用VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）进行双机热备应用时，可以将该地址指定为VRRP上行链路所在备份组的虚拟IP地址。

源接口配置和源IP地址配置不能同时存在，后配置的生效。

3. 为所有RADIUS方案配置发送RADIUS报文使用的源IP地址

(1)       进入系统视图。

system-view

(2)       设置设备发送RADIUS报文使用的源IP地址。

radius nas-ip  { interface interface-type  interface-number  | { ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

缺省情况下，未指定发送RADIUS报文使用的源IP地址，设备将使用到达RADIUS服务器的路由出接口的主IPv4地址或IPv6地址作为发送RADIUS报文的源IP地址。

4. 为指定RADIUS方案配置发送RADIUS报文使用的源IP地址

(1)       进入系统视图。

system-view

(2)       进入RADIUS方案视图。

radius  scheme radius-scheme-name

(3)       设置设备发送RADIUS报文使用的源IP地址。

nas-ip  { ipv4-address | interface interface-type  interface-number  | ipv6 ipv6-address }

缺省情况下，未指定设备发送RADIUS报文使用的源IP地址，使用系统视图下由命令radius nas-ip指定的源IP地址。

方案

1. 配置限制和指导

系统最多支持配置16个HWTACACS方案。一个HWTACACS方案可以同时被多个ISP域引用。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       创建HWTACACS方案，并进入HWTACACS方案视图。

hwtacacs  scheme hwtacacs-scheme-name

1.3.2  配置HWTACACS认证服务器

1. 功能简介

通过在HWTACACS方案中配置HWTACACS认证服务器，指定设备对用户进行HWTACACS认证时与哪个服务器进行通信。

一个HWTACACS方案中最多允许配置一个主认证服务器和16个从认证服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

2. 配置限制和指导

建议在不需要备份的情况下，只配置主HWTACACS认证服务器即可。

在实际组网环境中，可以指定一台服务器既作为某个HWTACACS方案的主认证服务器，又作为另一个HWTACACS方案的从认证服务器。

在同一个方案中指定的主认证服务器和从认证服务器的VPN、主机名、IP地址、端口号不能完全相同，并且各从认证服务器的VPN、主机名、IP地址、端口号也不能完全相同。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入HWTACACS方案视图。

hwtacacs  scheme hwtacacs-scheme-name

(3)       配置主HWTACACS认证服务器。

primary  authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance  vpn-instance-name ] *

缺省情况下，未配置主HWTACACS认证服务器。

(4)       （可选）配置从HWTACACS认证服务器。

secondary  authentication { host-name | ipv4-address | ipv6 ipv6-address } [ port-number |  key  { cipher | simple } string | single-connection | vpn-instance  vpn-instance-name  ] *

缺省情况下，未配置从HWTACACS认证服务器。

1.3.3  配置HWTACACS授权服务器

1. 功能简介

通过在HWTACACS方案中配置HWTACACS授权服务器，指定设备对用户进行HWTACACS授权时与哪个服务器进行通信。

一个HWTACACS方案中最多允许配置一个主授权服务器和16个从授权服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

2. 配置限制和指导

建议在不需要备份的情况下，只配置主HWTACACS授权服务器即可。

在实际组网环境中，可以指定一台服务器既作为某个HWTACACS方案的主授权服务器，又作为另一个HWTACACS方案的从授权服务器。

在同一个方案中指定的主授权服务器和从授权服务器的VPN、主机名、IP地址、端口号不能完全相同，并且各从授权服务器的VPN、主机名、IP地址、端口号也不能完全相同。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入HWTACACS方案视图。

hwtacacs  scheme hwtacacs-scheme-name

(3)       配置主HWTACACS授权服务器。

primary  authorization { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

缺省情况下，未配置主HWTACACS授权服务器。

(4)       （可选）配置从HWTACACS授权服务器。

secondary  authorization { host-name  | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

缺省情况下，未配置从HWTACACS授权服务器。

1.3.4  配置HWTACACS计费服务器

1. 功能简介

通过在HWTACACS方案中配置HWTACACS计费服务器，指定设备对用户进行HWTACACS计费时与哪个服务器进行通信。

一个HWTACACS方案中最多允许配置一个主计费服务器和16个从计费服务器。当主服务器不可达时，设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。

2. 配置限制和指导

建议在不需要备份的情况下，只配置主HWTACACS计费服务器即可。

在实际组网环境中，可以指定一台服务器既作为某个HWTACACS方案的主计费服务器，又作为另一个HWTACACS方案的从计费服务器。

在同一个方案中指定的主计费服务器和从计费服务器的VPN、主机名、IP地址、端口号不能完全相同，并且各从计费服务器的VPN、主机名、IP地址、端口号也不能完全相同。

目前HWTACACS不支持对FTP/SFTP/SCP用户进行计费。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入HWTACACS方案视图。

hwtacacs  scheme hwtacacs-scheme-name

(3)       配置主HWTACACS计费服务器。

primary  accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key  { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

缺省情况下，未配置主HWTACACS计费服务器。

(4)       （可选）配置从HWTACACS计费服务器。

secondary  accounting { host-name | ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | single-connection | vpn-instance vpn-instance-name ] *

缺省情况下，未配置从HWTACACS计费服务器。

1.3.5  配置HWTACACS报文的共享密钥

1. 功能简介

HWTACACS客户端与HWTACACS服务器使用MD5算法并在共享密钥的参与下加密HWTACACS报文。只有在密钥一致的情况下，彼此才能接收对方发来的报文并作出响应。

由于设备优先采用配置HWTACACS认证/授权/计费服务器时指定的报文共享密钥，因此，本配置中指定的HWTACACS报文共享密钥仅在配置HWTACACS认证/授权/计费服务器时未指定相应密钥的情况下使用。

2. 配置限制和指导

必须保证设备上设置的共享密钥与HWTACACS服务器上的完全一致。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入HWTACACS方案视图。

hwtacacs  scheme hwtacacs-scheme-name

(3)       配置HWTACACS认证、授权、计费报文的共享密钥。

key  { accounting | authentication | authorization } { cipher | simple } string

缺省情况下，未设置HWTACACS报文的共享密钥。

1.3.6  配置HWTACACS方案所属的VPN

1. 功能简介

该配置用于指定HWTACACS方案所属的VPN，即为HWTACACS方案下的所有HWTACACS服务器统一指定所属的VPN。HWTACACS服务器所属的VPN也可以在配置HWTACACS服务器的时候单独指定，且被优先使用。未单独指定所属VPN的服务器，则属于所在HWTACACS方案所属的VPN。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入HWTACACS方案视图。

hwtacacs  scheme hwtacacs-scheme-name

(3)       配置HWTACACS方案所属的VPN。

vpn-instance  vpn-instance-name

缺省情况下，HWTACACS方案属于公网。

报文使用的源IP地址

1. 功能简介

HWTACACS服务器上通过IP地址来标识接入设备，并根据收到的HWTACACS报文的源IP地址是否与服务器所管理的接入设备的IP地址匹配，来决定是否处理来自该接入设备的认证、授权或计费请求。若HWTACACS服务器收到的HWTACACS认证或计费报文的源地址在所管理的接入设备IP地址范围内，则会进行后续的认证或计费处理，否则直接丢弃该报文。

设备发送HWTACACS报文时，根据以下顺序查找使用的源IP地址：

(1)       当前所使用的HWTACACS方案中配置的发送HWTACACS报文使用的源IP地址。

(2)       根据当前使用的服务器所属的VPN查找系统视图下通过hwtacacs nas-ip命令配置的私网源地址，对于公网服务器则直接查找该命令配置的公网源地址。

(3)       通过路由查找到的发送HWTACACS报文的出接口地址。

2. 配置限制和指导

发送给HWTACACS报文使用的源IP地址在系统视图和HWTACACS方案视图下均可以进行配置，系统视图下的配置将对所有HWTACACS方案生效，HWTACACS方案视图下的配置仅对本方案有效，并且具有高于前者的优先级。

为保证认证、授权和计费报文可被服务器正常接收并处理，接入设备上发送HWTACACS报文使用的源IP地址必须与HWTACACS服务器上指定的接入设备的IP地址保持一致。

通常，该地址为接入设备上与HWTACACS服务器路由可达的接口IP地址，为避免物理接口故障时从服务器返回的报文不可达，推荐使用Loopback接口地址为发送HWTACACS报文使用的源IP地址。但在一些特殊的组网环境中，例如在接入设备使用VRRP进行双机热备应用时，可以将该地址指定为VRRP上行链路所在备份组的虚拟IP地址。

源接口配置和源IP地址配置不能同时存在，后配置的生效。

3. 为所有HWTACACS方案配置发送HWTACACS报文使用的源IP地址

(1)       进入系统视图。

system-view

(2)       设置设备发送HWTACACS报文使用的源IP地址。

hwtacacs  nas-ip {  interface  interface-type  interface-number  | { ipv4-address  | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] }

缺省情况下，未指定发送HWTACACS报文使用的源IP地址，设备将使用到达HWTACACS服务器的路由出接口的主IPv4地址或IPv6地址作为发送RADIUS报文的源IP地址。

4. 为指定HWTACACS方案配置发送HWTACACS报文使用的源IP地址

(1)       进入系统视图。

system-view

(2)       进入HWTACACS方案视图。

hwtacacs  scheme hwtacacs-scheme-name

(3)       设置设备发送HWTACACS报文使用的源IP地址。

nas-ip { ipv4-address |  interface interface-type  interface-number  | ipv6 ipv6-address }

缺省情况下，未指定设备发送HWTACACS报文使用的源IP地址，使用系统视图下由命令hwtacacs nas-ip指定的源IP地址。

服务器

(1)       进入系统视图。

system-view

(2)       创建LDAP服务器，并进入LDAP服务器视图。

ldap  server server-name

1.4.2   配置LDAP服务器IP地址

1. 配置限制和指导

LDAP服务器视图下仅能同时存在一个IPv4地址类型的LDAP服务器或一个IPv6地址类型的LDAP服务器。多次配置，后配置的生效。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入LDAP服务器视图。

ldap  server server-name

(3)       配置LDAP服务器IP地址。

{ ip  ipv4-address | ipv6  ipv6-address } [ port port-number ] [ vpn-instance vpn-instance-name ]

缺省情况下，未配置LDAP服务器IP地址。

1. 功能简介

配置LDAP认证过程中绑定服务器所使用的用户DN和用户密码，该用户具有管理员权限。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入LDAP服务器视图。

ldap  server server-name

(3)       配置具有管理员权限的用户DN。

login-dn dn-string

缺省情况下，未配置具有管理员权限的用户DN。

配置的管理员权限的用户DN必须与LDAP服务器上管理员的DN一致。

(4)       配置具有管理员权限的用户密码。

login-password { ciper | simple } string

缺省情况下，未配置具有管理权限的用户密码。

1.4.4   配置LDAP用户属性参数

1. 功能简介

要对用户进行身份认证，就需要以用户DN及密码为参数与LDAP服务器进行绑定，因此需要首先从LDAP服务器获取用户DN。LDAP提供了一套DN查询机制，在与LDAP服务器建立连接的基础上，按照一定的查询策略向服务器发送查询请求。该查询策略由设备上指定的LDAP用户属性定义，具体包括以下几项：

·               用户DN查询的起始节点（search-base-dn）

·               用户DN查询的范围（search-scope）

·               用户名称属性（user-name-attribute）

·               用户名称格式（user-name-format）

·               用户对象类型（user-object-class）

2. 配置限制和指导

LDAP服务器上的目录结构可能具有很深的层次，如果从根目录进行用户DN的查找，耗费的时间将会较长，因此必须配置用户查找的起始点DN，以提高查找效率。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入LDAP服务器视图。

ldap  server server-name

(3)       配置用户查询的起始DN。

search-base-dn base-dn

缺省情况下，未指定用户查询的起始DN。

(4)       （可选）配置用户查询的范围。

search-scope { all-level | single-level }

缺省情况下，用户查询的范围为all-level。

(5)       （可选）配置用户查询的用户名属性。

user-parameters user-name-attribute { name-attribute | cn | uid }

缺省情况下，用户查询的用户名属性为cn。

(6)       （可选）配置用户查询的用户名格式。

user-parameters user-name-format { with-domain | without-domain }

缺省情况下，用户查询的用户名格式为without-domain。

(7)       （可选）配置用户查询的自定义用户对象类型。

user-parameters user-object-class object-class-name

缺省情况下，未指定自定义用户对象类型，根据使用的LDAP服务器的类型使用各服务器缺省的用户对象类型。

方案

1. 配置限制和指导

系统最多支持配置16个LDAP方案。一个LDAP方案可以同时被多个ISP域引用。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       创建LDAP方案，并进入LDAP方案视图。

ldap scheme  ldap-scheme-name

1.4.6  指定LDAP认证服务器

(1)       进入系统视图。

system-view

(2)       进入LDAP方案视图。

ldap  scheme ldap-scheme-name

(3)       指定LDAP认证服务器。

authentication-server server-name

缺省情况下，未指定LDAP认证服务器。

域

(1)       进入系统视图。

system-view

(2)       创建ISP域并进入其视图。

domain isp-name

缺省情况下，存在一个的ISP域，名称为system。

域

(1)       进入系统视图。

system-view

(2)       配置缺省的ISP域。

domain  default enable  isp-name

缺省情况下，系统缺省的ISP域为system。

域的属性

域的用户授权属性

1. 授权属性介绍

ISP域下可配置如下授权属性：

·               ACL：用户被授权访问匹配指定ACL的网络资源。

·               CAR：用户流量将受到指定的监管动作控制。

·               闲置切断：若用户在指定的闲置检测时间内产生的流量小于指定的数据流量，则会被强制下线。

·               可点播的最大节目数：用户可以同时点播的最大节目数。

·               IPv4地址池：用户可以从指定的地址池中分配得到一个IPv4地址。

·               IPv6地址池：用户可以从指定的地址池中分配得到一个IPv6地址。

·               重定向URL：用户认证成功后，首次访问网络时将被推送此URL提供的Web页面。

·               用户组：用户将继承该用户组中的所有属性。

用户认证成功之后，优先采用服务器下发的属性值（闲置切断属性除外），其次采用ISP域下配置的属性值。

若ISP域下配置了闲置切断授权属性值，则优先采用ISP域下的配置，其次采用服务器下发的闲置切断属性值。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入ISP域视图。

domain isp-name

(3)       设置当前ISP域下的用户授权属性。

authorization-attribute {  acl acl-number | car inbound cir committed-information-rate [ pir peak-information-rate ] outbound cir committed-information-rate [ pir peak-information-rate ] | idle-cut minutes [ flow ] [ traffic { both | inbound | outbound } ] | igmp  max-access-number max-access-number | ip-pool ipv4-pool-name | ipv6-pool ipv6-pool-name | mld max-access-number max-access-number | url url-string | user-group user-group-name |   }

缺省情况下，当前ISP域下的用户闲置切断功能处于关闭状态，IPv4用户可以同时点播的最大节目数为4，IPv6用户可以同时点播的最大节目数为4，无其它授权属性。

域中配置实现AAA的方法

域的AAA认证方法

1. 配置限制和指导

配置ISP域的AAA认证方法时，需要注意的是：

·               当选择了RADIUS协议的认证方案以及非RADIUS协议的授权方案时，AAA只接受RADIUS服务器的认证结果，RADIUS授权的信息虽然在认证成功回应的报文中携带，但在认证回应的处理流程中不会被处理。

·               当使用HWTACACS方案进行用户角色切换认证时，系统使用用户输入的用户角色切换用户名进行角色切换认证；当使用RADIUS方案进行用户角色切换认证时，系统使用RADIUS服务器上配置的“$enabn$”形式的用户名进行用户角色切换认证，其中n为用户希望切换到的用户角色level-n中的n。

·               FIPS模式下不支持none认证方法。

2. 配置准备

配置前的准备工作：

·               确定要配置的接入方式或者服务类型。AAA可以对不同的接入方式和服务类型配置不同的认证方案。

·               确定是否为所有的接入方式或服务类型配置缺省的认证方法，缺省的认证方法对所有接入用户都起作用，但其优先级低于为具体接入方式或服务类型配置的认证方法。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入ISP域视图。

domain isp-name

(3)       （可选）为当前ISP域配置缺省的认证方法。

authentication  default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，当前ISP域的缺省认证方法为local。

(4)       为指定类型的用户或服务配置认证方法。

¡   为lan-access用户配置认证方法。

authentication  lan-access {  ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，lan-access用户采用缺省的认证方法。

¡   为login用户配置认证方法。

authentication  login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，login用户采用缺省的认证方法。

¡   为Portal用户配置认证方法。

authentication  portal { ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，Portal用户采用缺省的认证方法。

¡   配置用户角色切换认证方法。

authentication  super {  hwtacacs-scheme hwtacacs-scheme-name | radius-scheme radius-scheme-name } *

缺省情况下，用户角色切换认证采用缺省的认证方法。

1.7.2   配置ISP域的AAA授权方法

1. 配置限制和指导

配置ISP域的AAA授权方法时，需要注意的是：

·               目前设备暂不支持使用LDAP进行授权。

·               在一个ISP域中，只有RADIUS授权方法和RADIUS认证方法引用了相同的RADIUS方案，RADIUS授权才能生效。若RADIUS授权未生效或者RADIUS授权失败，则用户认证会失败。

·               FIPS模式下不支持none授权方法。

2. 配置准备

配置前的准备工作：

·               确定要配置的接入方式或者服务类型，AAA可以按照不同的接入方式和服务类型进行AAA授权的配置。

·               确定是否为所有的接入方式或服务类型配置缺省的授权方法，缺省的授权方法对所有接入用户都起作用，但其优先级低于为具体接入方式或服务类型配置的授权方法。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入ISP域视图。

domain isp-name

(3)       （可选）为当前ISP域配置缺省的授权方法。

authorization  default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，当前ISP域的缺省授权方法为local。

(4)       为指定类型的用户或服务配置授权方法。

¡   配置命令行授权方法。

authorization  command { hwtacacs-scheme hwtacacs-scheme-name [ local ] [ none ] | local [ none ] | none }

缺省情况下，命令行授权采用缺省的授权方法。

¡   为lan-access用户配置授权方法。

authorization  lan-access { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，lan-access用户采用缺省的授权方法。

¡   为login用户配置授权方法。

authorization  login {  hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，login用户采用缺省的授权方法。

¡   为Portal用户配置授权方法。

authorization  portal { local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，Portal用户采用缺省的授权方法。1.7.3   配置ISP域的AAA计费方法

1. 配置限制和指导

配置ISP域的AAA认证方法时，需要注意的是：

·               不支持对FTP类型login用户进行计费。

·               本地计费仅用于配合本地用户视图下的access-limit命令来实现对本地用户连接数的限制功能。

·               FIPS模式下不支持none计费方法。

2. 配置准备

配置前的准备工作：

·               确定要配置的接入方式或者服务类型，AAA可以按照不同的接入方式和服务类型进行AAA计费的配置。

·               确定是否为所有的接入方式或服务类型配置缺省的计费方法，缺省的计费方法对所有接入用户都起作用，但其优先级低于为具体接入方式或服务类型配置的计费方法。

3. 配置步骤

(1)       进入系统视图。

system-view

(2)       进入ISP域视图。

domain isp-name

(3)       （可选）为当前ISP域配置缺省的计费方法。

accounting  default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，当前ISP域的缺省计费方法为local。

(4)       为指定类型的用户配置计费方法。

¡   配置命令行计费方法。

accounting  command hwtacacs-scheme hwtacacs-scheme-name

缺省情况下，命令行计费采用缺省的计费方法。

¡   为lan-access用户配置计费方法。

accounting  lan-access { broadcast  radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local  [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，lan-access用户采用缺省的计费方法。

¡   为login用户配置计费方法。

accounting  login { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，login用户采用缺省的计费方法。

¡   为Portal用户配置授权方法。

accounting  portal { broadcast  radius-scheme radius-scheme-name1 radius-scheme radius-scheme-name2 [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ local ] [ none ] }

缺省情况下，Portal用户采用缺省的计费方法。

(5)       （可选）配置扩展计费策略。

¡   配置用户计费开始失败策略。

accounting  start-fail { offline  | online }

缺省情况下，如果用户计费开始失败，则允许用户保持在线状态。

¡   配置用户计费更新失败策略。

accounting  update-fail { [ max-times times ] offline | online }

缺省情况下，如果用户计费更新失败，允许用户保持在线状态。

¡   配置用户计费配额（流量或时长）耗尽策略。

accounting  quota-out { offline  | online }

缺省情况下，用户的计费配额耗尽后将被强制下线。

¡   配置双协议栈用户的计费方式。

accounting  dual-stack { merge | separate }

缺省情况下，双协议栈用户的计费方式为统一计费。

1. 功能简介

通过配置同时在线的最大用户连接数，可以限制采用指定登录方式（FTP、SSH、Telnet等）同时接入设备的在线用户数。

该配置对于通过任何一种认证方式（none、password或者scheme）接入设备的用户都生效。

2. 配置步骤

(1)       进入系统视图。

system-view

(2)       配置同时在线的最大用户连接数。

（非FIPS模式）

aaa  session-limit { ftp | http | https  | ssh | telnet } max-sessions

（FIPS模式）

aaa  session-limit { https | ssh } max-sessions

缺省情况下，最大用户连接数为32。