网络安全接入技术

第3章网络安全接入技术华为3Com网络学院第六学期ISSUE1.0课程目标掌握AAA原理与基本配置掌握RADIUS协议原理与基本配置掌握HWTACACS协议原理与基本配置学会分析处理基本的AAA、RADIUS、

HWTACACS故障问题

学习完本课程，您应该能够：2课程内容

第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析

3AAA概述验证（Authentication）授权（Authorization）计费（Accounting）AAA服务器本地实现AAA使用服务器实现AAA4AAA的认证功能AAA服务器本地认证远端认证5AAA的授权功能RADIUS服务器本地授权远端授权6AAA的计费功能远端计费RADIUS服务器/TACACS服务器7课程内容

第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析

8RADIUS概述RADIUS（RemoteAuthenticationDial-inUserService）是当前流行的安全服务器协议。实现AAA（授权Authorization、验证Authentication和计费Accounting）功能。RADIUS使用UDP作为传输协议，具有良好的实时性，同时也支持重传机制和备用服务器机制，从而有较好的可靠性。9RADIUS服务器组成RADIUS服务器usersclientsDictionary10RADIUS服务器实现AAA流程用户上网验证请求验证授权通过计费开始请求计费开始应答计费结束请求计费结束应答授权并允许用户上网用户下网RADIUS服务器11RADIUS结构及基本原理RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议。用户server/client服务器NAS路由器或NAS上运行的AAA程序对用户来讲为服务器端，对RADIUS服务器来讲是作为客户端，当用户上网时，路由器决定对用户采用哪种验证方法。下面介绍两种用户与路由器之间（本地验证、远端验证）的验证方法CHAP和PAP。 12本地认证－PAP本地（NAS）验证——PAP方式：PAP（PasswordAuthenticationProtocol）是密码验证协议的简称，是认证协议的一种。用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。

我查......我验……UsernamePassword用户NAS（PPP）（RadiusClient）验证结果13本地认证－CHAP（1）本地（NAS）验证——CHAP方式：CHAP（ChallengeHandshakeAuthenticationProtocol）是查询握手验证协议的简称，是我们使用的另一种认证协议。SecretPassword=MD5（ChapID+Password+challenge）

我查......我算……我验……用户NAS（PPP）（RadiusClient）验证结果CHAPID、Username、SecretpasswordChallenge、主机名、CHAPID14本地认证－CHAP（2）SecretPassword=MD5（ChapID+Password+challenge）当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个ID号，本地服务器的hostname）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个SecretPassword传给NAS。NAS根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与SecretPassword作比较，如果相同表明验证通过，如果不相同表明验证失败。15远端认证－PAP远端（Radius）验证——PAP方式：Secretpassword=PasswordXORMD5（Challenge＋Key）(Challenge就是Radius报文中的Authenticator)

我查......我算……我验……用户NAS（PPP）（RadiusClient）验证结果ChallengeUsername、Secret、Password验证结果Username、PasswordKeyKeyRadiusServer16远端认证－CHAP远端（Radius）验证——CHAP方式：Secretpassword=MD5（ChapID+Password+challenge）

我查......我算……我验……用户NAS（PPP）（RadiusClient）验证结果、授权CHAPID、Username、SecretpasswordUsername、Secret、Password、Challenge、CHAPID验证结果、授权RadiusServerChallenge、主机名、CHAPID17Radius协议在协议栈中的位置Radius是一种流行的AAA协议，同时其采用的是UDP协议传输模式，AAA协议在协议栈中位置如下：Radius协议18Radius协议包结构

Attributes:属性19Radius协议包各个域解释各个域的解释：1、Code：包类型；1字节；指示RADIUS包的类型。

2、Identifier：包标识；1字节；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。3、Length：包长度；2字节；整个包的长度。4、Authenticator：验证字；16字节；用于对包进行签名。20Radius协议包：code域

1）Code：包的类型包类型占1个字节，定义如下：1Access-Request——请求认证过程2Access-Accept——认证响应过程3Access-Reject——认证拒绝过程4Accounting-Request——请求计费过程5Accounting-Response——计费响应过程21Radius协议包：Identifier域

2）Identifier：包标识包标识，用以匹配请求包和响应包。该字段的取值范围为0～255；协议规定：1、在任何时间，发给同一个RADIUS服务器的不同包的Identifier域不能相同，如果出现相同的情况，RADIUS将认为后一个包是前一个包的拷贝而不对其进行处理。2、Radius针对某个请求包的响应包应与该请求包在Identifier上相匹配（相同）。22Radius协议包：Length域

3）Length：包长度

整个包长度,包括Code，Identifier，Length，Authenticator，Attributes域的长度。23Radius协议包：Authenticator域4）Authenticator：验证字该验证字分为两种：1、请求验证字——RequestAuthenticator用在请求报文中，必须为全局唯一的随机值。2、响应验证字——ResponseAuthenticator用在响应报文中，用于鉴别响应报文的合法性。

响应验证字＝MD5(Code+ID+Length+请求验证字+Attributes+Key)24Radius协议包：Authenticator域5）Attributes：属性

010a62656e6c6164656eAttribute(1)属性长度为10字节benladen25Radius协议属性1.User-Name该属性指定了要进行认证的用户名26Radius协议属性2.User-Password该属性指定了要认证的用户的口令，用户口令加密后存放在该属性中27Radius协议属性3.NAS-IP-Address该属性指明了发起认证请求的设备的IP地址28Radius协议属性4.Vendor-Specific该属性用于携带各厂商自己扩展的属性29Radius协议属性5.Session-Timeout该属性指明允许用户使用的最大时长30Radius协议属性6.Acct-Status-Type该属性指明计费报文的类型该属性出现在计费报文中不同的取值标志出不同的意义1---表示计费开始报文2---表示计费结束报文3---表示计费更新报文7---表示Accounting-On报文31Radius协议属性（一）属性值属性名称 意义1 User-Name 用户名2User-Password 用户密码3Chap-Password Chap认证方式中的用户密码4Nas-IP-Address Nas的ip地址5Nas-Port 用户接入端口号6 Service-Type 服务类型7 Framed-Protocol协议类型8Framed-IP-Address为用户提供的IP地址9 Framed-IP-NetMask地址掩码10Framed-Routing为路由器用户设置的路由方式11Filter-Id过滤表的名称12Framed-MTU 为用户配置的最大传输单元认证报文的常用属性（1）：32Radius协议属性（二）属性值属性名称意义13 Framed-Compression该连接使用压缩协议14 Login-IP-Host对login用户提供的可连接主机的ip地址15 Login-Service对login用户可提供的服务16Login-TCP-PortTCP服务端口18 Reply-Message认证服务器返回用户的信息24 State 认证服务器发送challenge包时传送的需在接下来的认证报文中回应的字符串（与Acess-Challenge相关的属性）Class 认证通过时认证服务器返回的字符串信息，要求在该用户的计费报文中送给计费服务器认证报文的常用属性（2）：33Radius协议属性（三）属性值属性名称意义26Vendor-Specific可扩展属性

Session-Timeout在认证通过报文或Challenge报文中，通知

NAS该用户可用的会话时长（时长预付费）28 Idle-Timeout允许用户空闲在线的最大时长32NAS-Identifier标识NAS的字符串

Proxy-StateNAS通过代理服务器转发认证报文时服务器添加在报文中的属性60Chap-Challenge 可以代替认证字字段传送challenge的属性61 Nas-Port-Type 接入端口的类型62 Port-Limit 服务器限制NAS为用户开放的端口数认证报文的常用属性（3）：34Radius协议属性（四）属性值属性名称 意义40 Acct-Status-Type计费请求报文的类型41 Acct-Delay-TimeRadius客户端发送计费报文耗费的时间42 Acct-Input-Octets输入字节数43Acct-Output-Octets输出字节数

44Acct-Session-Id计费会话标识45 Acct-Authentic在计费包中标识用户认证通过的方式46 Acct-Session-Time用户在线时长47Acct-Input-Packets输入包数48 Acct-Output-Packets 输出包数49Acct-Terminate-Case用户下线原因

50 Acct-Multi_Session-Id 相关计费会话标识51 Acct-Link-Count生成计费记录时多连接会话的会话个数认证报文的常用属性（4）：35RADIUS协议总结

特点描述UDP由于传输控制协议（TCP）的开销大，客户和服务器之间的通信使用用户数据协议（UDP）。通常，用户等待输入用户名和口令提示UDP目的端口RADIUS使用两个端口集，RFC定义之前常用端口为1645和1646。RFC2138定义的端口为1812和1813属性属性用于在NAS和客户端之间交换信息模型客户/服务器模型，数据交换单向传输加密方法采用MD5进行口令加密，用户名不加密。在客户发往服务器的访问请求分组中，RADIUS只加密口令，其他部分以明文方式传输。第三方可以捕获这些相关的信息，如用户名、授权服务和记账信息多协议支持只支持IP协议，不支持AppleTalk，NetBIOS，IPX36Radius+简介标准Radius协议的不足之处Radius＋1.1协议支持的特性不能处理和保证用户对于服务质量的动态需求——带宽动态下发支持动态改变服务质量——动态带宽下发不支持服务器主动下发控制报文支持服务器主动激活端口；支持服务器主动中断连接；Radius＋与标准Radius共性：1）Radius+协议与Radius一样，通过UDP通讯；2）采用重传确认机制以确保接收；3）安全性：A）密码加密：使用客户端与服务器端的共享密钥通过MD5算法对用户口令进行加密，使得口令和密钥不会在网上明文传送；B）包签名：有16字节的验证字用于对报文进行签名，以确定收到的报文为合法报文。37课程内容

第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析38

HWTACACS概述HWTACACS安全协议是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过Server-Client模式与TACACS服务器通信来实现多种用户的AAA功能。用于PPP和VPDN接入用户及login用户的认证、授权和计费。39HWTACACS协议和RADIUS协议区别HWTACACS协议RADIUS协议使用TCP，网络传输更可靠。使用UDP。除了标准的HWTACACS报文头，对报文主体全部进行加密。只是对验证报文中的密码字段进行加密。认证和授权分离，例如，可以用一个TACACS服务器进行认证，另外一个TACACS服务器进行授权。认证和授权一起处理。适于进行安全控制。适于进行计费。支持对路由器上的配置命令进行授权使用。不支持。40

HWTACACS组网应用拨号用户终端用户HWTACACS客户端TACACS服务器TACACS服务器Internet41HWTACACS服务器实现AAA流程用户登录认证开始报文认证回应报文，请求用户名用户输入用户名认证回应报文，向用户请求密码计费结束请求计费结束应答向用户申请用户名HWTACACS客户端HWTACACS服务器用户认证持续报文，向服务器发送用户名向用户请求密码用户输入密码认证持续报文，向服务器发送密码计费开始报文认证回应报文，认证通过授权请求报文授权回应报文，授权通过计费开始回应报文，用户下线用户成功登录42课程内容

第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析43AAA基本配置创建ISP域并配置相关属性创建ISP域配置用户使用的AAA方案配置ISP域的状态配置可接入用户数量的最大值配置计费可选开关定义本地地址池并为PPP用户分配IP地址创建本地用户并配置相关属性（仅用于本地认证）

创建本地用户并配置相关属性（仅用于本地认证）44创建ISP域并配置相关属性创建ISP域

操作命令创建ISP域或进入指定ISP域视图domain{isp-name|default

{disable|enableisp-name}}

删除指定的ISP域undodomainisp-name

45创建ISP域并配置相关属性配置用户使用AAA方案

操作命令配置域使用的AAA方案scheme{radius-scheme

radius-scheme-name[local]|hwtacacs-scheme

hwtacacs-scheme-name[local]|local|none}恢复域使用的缺省的AAA方案undoscheme{radius-scheme|hwtacacs-scheme|none}46创建ISP域并配置相关属性操作命令配置域使用的认证方案authentication{radius-schemeradius-scheme-name[local]|hwtacacs-schemehwtacacs-scheme-name[local]|local|none}恢复域缺省的认证方案undoauthentication配置域使用的授权方案authorization{hwtacacs-schemehwtacacs-scheme-name|none}恢复域缺省的授权方案undoauthorization配置域使用的计费方案accounting{radius-schemeradius-scheme-name|hwtacacs-schemehwtacacs-scheme-name|none}删除域使用的计费方案undoaccounting47创建ISP域并配置相关属性配置ISP域的状态

操作命令设置ISP域的状态state{active|block}48创建ISP域并配置相关属性配置可接入用户数量的最大值

操作命令指定可接入用户数的最大值access-limit{disable|enablemax-user-number}恢复可接入用户数到缺省设置undoaccess-limit

49创建ISP域并配置相关属性配置计费可选开关

操作命令打开计费可选开关accountingoptional

关闭计费可选开关undoaccountingoptional

50创建ISP域并配置相关属性定义地址池并为PPP用户分配IP地址

操作命令定义为PPP用户分配IP地址的地址池ippoolpool-numberlow-ip-address[high-ip-address]

删除指定的地址池undoippoolpool-number

51创建本地用户并配置相关属性创建本地用户 操作命令添加本地用户local-useruser-name

删除本地用户或本地用户的服务类型undolocal-useruser-name[service-type]删除所有本地用户或指定类型的本地用户undolocal-userall[service-type{ftp|ppp|ssh|telnet|terminal}]52创建本地用户并配置相关属性设置本地用户属性 操作命令设置所有本地用户密码的显示方式local-userpassword-display-mode{cipher-force|auto}取消已设置的本地用户密码的显示方式undolocal-userpassword-display-mode

删除所有本地用户或指定类型的本地用户undolocal-userall[service-type{ftp|ppp|ssh|telnet|terminal}]53创建本地用户并配置相关属性设置本地用户属性(续) 操作命令设置用户的密码password{simple|cipher}

password

取消用户的密码设置undopassword

设置用户的状态state{active|block}取消用户的状态undostate{active|block}设置用户可以使用的服务类型service-type{telnet|ssh|terminal}*[level

level]取消用户可以使用的服务undoservice-type{telnet|ssh|terminal}54创建本地用户并配置相关属性设置本地用户属性(续) 操作命令设置用户的优先级level

level

恢复缺省的优先级undolevel

授权用户可以使用DVPN服务service-typedvpn

取消用户可以使用DVPN服务undoservice-typedvpn

授权FTP用户可以访问的目录service-typeftp[ftp-directory

directory]恢复对FTP用户授权的缺省目录undoservice-typeftp[ftp-directory]55创建本地用户并配置相关属性设置本地用户属性(续) 操作命令设置PPP用户的回呼及主叫号码属性service-typeppp[callback-nocheck|callback-numbercallback-number|call-numbercall-number[:subcall-number]]恢复PPP用户回呼及主叫号码属性的缺省设置undoservice-typeppp[callback-nocheck|callback-number|call-number]56AAA基本配置AAA协议的显示与调试 操作命令显示所有或指定ISP域的配置信息displaydomain[isp-name]显示用户连接的相关信息displayconnection[domainisp-name|ipip-address|macmac-address|radius-schemeradius-scheme-name|ucibindexucib-index|user-nameuser-name]

显示本地用户的相关信息displaylocal-user[domain

isp-name|service-type{pad|telnet|ssh|terminal|ftp|ppp}

|state{active|block}|user-name

user-name]57课程内容

第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析58RADIUS基本配置RADIUS协议的配置包括：创建RADIUS方案设置RADIUS认证/授权服务器设置RADIUS计费服务器及相关属性设置RADIUS报文的共享密钥设置RADIUS请求报文的最大传送次数设置支持的RADIUS服务器的类型设置RADIUS服务器的状态设置发送给RADIUS服务器的用户名格式设置发送给RADIUS服务器的数据流的单位配置NAS发送RADIUS报文使用的源地址配置RADIUS服务器的定时器使能RADIUS服务器状态变为down时发送trap报文的功能

59RADIUS基本配置创建RADIUs方案 操作命令创建RADIUS方案并进入其视图radiusscheme

radius-scheme-name

删除RADIUS方案undoradiusscheme

radius-scheme-name

60RADIUS基本配置配置RADIUS授权/认证服务器 操作命令设置主RADIUS认证/授权服务器的IP地址和端口号primaryauthenticaiton

ip-address[port-number]将主RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值undoprimary

authentication设置从RADIUS认证/授权服务器的IP地址和端口号secondary

authentication

ip-address[port-number]将从RADIUS认证/授权服务器的IP地址和端口号恢复为缺省值undosecondary

authentication

61RADIUS基本配置配置RADIUS计费服务器 操作命令设置主RADIUS计费服务器的IP地址和端口号primaryaccountig

ip-address[port-number]将主RADIUS计费服务器的IP地址和端口号恢复为缺省值undoprimaryaccounting

设置从RADIUS计费服务器的IP地址和端口号secondary

accounting

ip-address[port-number]将从RADIUS计费服务器的IP地址和端口号恢复为缺省值undosecondary

accounting

62RADIUS基本配置使能停止计费报文缓存及重传功能 操作命令使能停止计费报文缓存功能stop-accounting-bufferenable

关闭停止计费报文缓存功能undostop-accounting-bufferenable

使能停止计费报文重传功能，并配置停止计费报文可以传送的最大次数retrystop-accountingretry-times

恢复停止计费报文最大传送次数为缺省值undoretrystop-accounting

63RADIUS基本配置设置允许实时计费请求无响应的最大次数 操作命令设置允许实时计费请求无响应的最大次数retryrealtime-accountingretry-times

恢复允许实时计费请求无响应的最大次数为缺省值undoretryrealtime-accounting

64RADIUS基本配置设置RADIUS报文的共享密钥 操作命令设置RADIUS认证/授权报文的共享密钥key

authentication

string

恢复RADIUS认证/授权报文共享密钥为缺省undokey

authentication

设置RADIUS计费报文的共享密钥key

accounting

string

恢复RADIUS计费报文共享密钥为缺省undokeyaccounting

65RADIUS基本配置设置RADIUS请求报文的最大传送次数 操作命令设置RADIUS请求报文的最大传送次数retry

retry-times

将RADIUS请求报文的最大传送次数恢复为缺省值undoretry

缺省情况下，RADIUS请求报文的最大传送次数为3次。66RADIUS基本配置设备重启用户再认证功能配置过程 配置步骤命令说明进入系统视图system-view-进入RADIUS方案视图radiusschemeradius-scheme-name-启动设备重启用户再认证功能accounting-onenable[sendtimes][intervalinterval]缺省情况下：设备重启用户再认证功能处于关闭状态；发送Accounting-On报文的最大次数（times）为15次、时间间隔（interval）为3秒67RADIUS基本配置设置支持的RADIUS服务器的类型 操作命令设置支持何种类型的RADIUS服务器server-type{huawei|standard}恢复RADIUS服务器类型为缺省设置undoserver-type

68RADIUS基本配置设置RADIUS服务器的状态 操作命令设置主RADIUS认证/授权服务器的状态state

primary

authentication{block|active}设置主RADIUS计费服务器的状态state

primary

accounting{block|active}设置从RADIUS认证/授权服务器的状态state

secondary

authentication{block|active}设置从RADIUS计费服务器的状态state

secondaryaccounting{block|active}69RADIUS基本配置设置发送给RADIUS服务器的用户名格式 操作命令设置发送给RADIUS服务器的用户名格式user-name-format{with-domain|without-domain}70RADIUS基本配置设置发送给RADIUS服务器的数据流单位 操作命令设置发送给RADIUS服务器的数据流的单位data-flow-formatdata{byte|giga-byte|kilo-byte|mega-byte}packet{giga-packet|kilo-packet|mega-packet|one-packet}恢复发送到RADIUS服务器的数据流的单位为缺省设置undodata-flow-format

71RADIUS基本配置配置NAS发送RADIUS报文使用的源地址 操作命令配置NAS发送RADIUS报文使用的源地址(RADIUS视图)nas-ipip-address

取消NAS发送RADIUS报文使用的源地址(RADIUS视图)undonas-ip

配置NAS发送RADIUS报文使用的源地址(系统视图)radiusnas-ipip-address

取消NAS发送RADIUS报文使用的源地址(系统视图)undoradiusnas-ip

72RADIUS基本配置配置RADIUS服务器应答超时定时器 操作命令设置RADIUS服务器应答超时定时器timerresponse-timeoutseconds

将RADIUS服务器应答超时定时器恢复为缺省值undotimerresponse-timeout

73RADIUS基本配置配置RADIUS服务器的主服务器恢复激活状态时间 操作命令配置恢复激活时间timerquietminutes

恢复缺省配置undotimerquiet

74RADIUS基本配置配置RADIUS服务器实时计费时间操作命令设置实时计费间隔timerrealtime-accounting

minutes

将实时计费间隔恢复为缺省值undotimerrealtime-accounting

75实时计费时间间隔与用户量之间的推荐比例关系 用户数实时计费间隔（分钟）1~993100~4996500~999121000

15RADIUS基本配置-定时器基本配置76RADIUS基本配置使能RADIUS服务器状态变为down时发送trap报文的功能 操作命令使能RADIUS服务器状态变为down时发送trap报文的功能radiustrap{authentication-server-down|accounting-server-down}关闭RADIUS服务器状态变为down时发送trap报文的功能undoradiustrap{authentication-server-down|accounting-server-down}

77RADIUS基本配置配置本地RADIUS认证服务器 操作命令配置本地RADIUS认证服务器local-servernas-ipip-addresskeypassword取消本地RADIUS认证服务器的配置undolocal-servernas-ipip-address78RADIUS基本配置RADIUS协议的显示与调试操作命令显示所有或指定RADIUS方案的配置信息或统计信息displayradius[radius-server-name|statistics]显示RADIUS报文的统计信息displayradiusstatistics

显示缓存的没有得到响应的停止计费请求报文displaystop-accounting-buffer{radius-scheme

radius-server-name|session-id

session-id|time-range

start-time

stop-time|user-name

user-name}79RADIUS基本配置RADIUS协议的显示与调试(续) 操作命令打开RADIUS报文调试开关debuggingradiuspacket

关闭RADIUS报文调试开关undodebuggingradiuspacket

删除那些缓存的、没有得到响应的停止计费请求报文resetstop-accounting-buffer{radius-scheme

radius-server-name|session-id

session-id|time-range

start-time

stop-time|user-name

user-name}清除RADIUS服务器的统计信息resetradiusstatistics

80课程内容

第一节：AAA介绍第二节：RADIUS协议介绍第三节：HWTACACS协议介绍第四节：AAA基本配置第五节：RADIUS基本配置第六节：HWTACACS基本配置第七节：配置举例及故障分析81HWTACACS基本配置HWTACACS的配置包括：创建HWTACACS方案配置TACACS认证服务器配置TACACS授权服务器配置TACACS计费功能配置TACACS服务器的密钥配置TACACS服务器的用户名格式配置TACACS服务器的流量单位配置NAS发送HWTACACS报文使用的源地址配置TACACS服务器的定时器

82HWTACACS基本配置创建HWTACACS方案 操作命令创建HWTACACS方案，并进入HWTACACS视图hwtacacsscheme

hwtacacs-scheme-name

删除HWTACACS方案undohwtacacsschemehwtacacs-scheme-name

83HWTACACS认证服务器基本配置配置HWTACACS认证服务器 操作命令配置TACACS主认证服务器primaryauthentication

ip-address[port]删除TACACS主认证服务器undoprimaryauthentication

配置TACACS从认证服务器secondaryauthentication

ip-address[port]删除TACACS从认证服务器undosecondaryauthentication

84HWTACACS授权服务器基本配置配置HWTACACS授权服务器 操作命令配置TACACS主授权服务器primaryauthorizationip-address[port]删除TACACS主授权服务器undoprimaryauthorization

配置TACACS从授权服务器secondaryauthorizationip-address[port]删除TACACS从授权服务器undosecondaryauthorization

85HWTACACS计费服务器基本配置配置HWTACACS计费服务器 操作命令配置TACACS主计费服务器primaryaccounting

ip-address[port]删除配置的TACACS主计费服务器undoprimaryaccounting

配置TACACS从计费服务器secondaryaccounting

ip-address[port]删除配置的TACACS从计费服务器undosecondaryaccounting

86HWTACACS计费服务器基本配置使能停止计费报文的重传功能 操作命令使能停止计费报文重传，并配置传送的最大次数retrystop-accountingretry-times

关闭停止计费报文重传功能undoretrystop-accounting

87HWTACACS基本配置配置NAS发送HWTACACS报文使用的源地址 操作命令配置NAS发送HWTACACS报文使用的源地址(HWTACACS视图)nas-ipip-address

取消NAS发送HWTACACS报文使用的源地址HWTACACS视图)undonas-ip

配置NAS发送HWTACACS报文使用的源地址(系统视图)hwtacacsnas-ipip-address

取消NAS发送HWTACACS报文使用的源地址(系统视图)undohwtacacsnas-ip

88HWTACACS基本配置配置HWTACACS服务器密钥 操作命令配置TACACS计费、授权及认证服务器的密钥key{accounting|authorization|authentication}string

删除配置undokey{accounting|authorization|authentication}89HWTACACS基本配置配置HWTACACS服务器的用户名格式 操作命令配置用户名带域名user-name-format

with-domain

配置用户名不带域名user-name-format

without-domain

90HWTACACS基本配置配置HWTACACS服务器的流量单位 操作命令配置TACACS服务器的流量单位data-flow-formatdata[byte|giga-byte|kilo-byte|mega-byte]

data-flow-formatpacket[giga-packet|kilo-packet|mega-packet|one-packet]恢复发送到TACACS服务器的数据流的单位为缺省设置undodata-flow-format{data|packet}91HWTACACS服务器定时器基本配置配置HWTACACS服务器的应答超时时间 操作命令配置应答超时时间timerresponse-timeoutseconds

恢复缺省配置undotimerresponse-timeout

缺省情况下，应答超时时间为5秒。92HWTACACS服务器定时器基本配置配置HWTACACS服务器的主服务器恢复激活状态时间 操作命令配置恢复激活时间timerquietminutes

恢复缺省配置undotimerquiet

93HWTACACS服务器定时器基本配置配置实时计费时间间隔 操作命令设置实时计费间隔timerrealtime-accounting

minutes

将实时计费间隔恢复为缺省值undotimerrealtime-accounting

94HWTACACS服务器定时器基本配置实时计费时间间隔与用户量之间的推荐比例关系 用户数实时计费间隔（分钟）1~993100~4996500~999121000

1595HWTACACS基本配置配置在线用户主动修改当前密码 操作命令配置在线用户主动修改当前密码hwtacacschange-passwordself96HWTACACS基本配置HWTACACS协议的显示与调试 操作命令显示所有或指定HWTACACS方案的配置信息displayhwtacacs[hwtacacs-server-name[statistics]]显示缓存的没有得到响应的停止计费请求报文displaystop-accounting-bufferhwtacacs-schemehwtacacs-scheme-name

打开HWTACACS协议调试开关debugginghwtacacs{all|error|event|message|receive-packet|send-packet}97HWTACACS基本配置HWTACACS协议的显示与调试(续) 操作命令关闭HWTACACS协议调试开关undodebugginghwta