- 配置用户通过Telnet登录设备的身份认证(AAA本地认证):采用AAA本地认证方式实现用户通过Telnet登录设备的身份认证,设备上需要开启Telnet服务,将用户界面(以VTY用户界面为例)的验证方式设为aaa,同时在AAA视图下创建本地用户,配置该用户的接入方式和用户级别
[HUAWEI]telnet server enable //开启Telnet服务
[HUAWEI]user-interface maximum-vty 15 //配置VTY用户界面的登录用户最大数目为15
[HUAWEI]user-interface vty 0 14 //进入0~14的VTY用户界面视图
[HUAWEI-ui-vty0-14]authentication-mode aaa //配置VTY用户界面的验证方式为aaa
[HUAWEI-ui-vty0-14]protocol inbound telnet //配置VTY用户界面支持的协议为Telnet
[HUAWEI]aaa
[HUAWEI-aaa]local-user user1 password irreversible-cipher Huawei@1234
[HUAWEI-aaa]local-user user1 service-type telnet
[HUAWEI-aaa]local-user user1 privilege level 15 - 配置用户级别
(1)在AAA视图下配置单个用户的用户级别。
[HUAWEI] aaa
[HUAWEI-aaa] local-user user1 privilege level 15 //配置用户user1的用户级别为15
(2)在业务方案视图下配置某个域下所有用户的用户级别。
[HUAWEI] aaa
[HUAWEI-aaa]service-scheme sch1
[HUAWEI-aaa-service-sch1]admin-user privilege level 15 //配置某个域下所有用户的用户级别为15
(3)在用户界面视图下配置从指定用户界面登录的用户的用户级别(以VTY用户界面为例)。缺省情况下,Console口用户界面下用户的级别是15,而VTY用户界面下用户的级别是0。
[HUAWEI] user-interface maximum-vty 15
[HUAWEI] user-interface vty 0 14
[HUAWEI-ui-vty0-14]user privilege level 15 //配置VTY 0~VTY 14用户界面下用户级别为15 - 配置全局默认域
[HUAWEI] aaa
[HUAWEI-aaa] domain huawei
[HUAWEI] domain huawei - 配置实时计费
在设备上通过命令行进行配置:在用户使用的AAA计费方案视图下执行accounting realtime interval命令开启实时计费功能,并设置实时计费时间间隔。
通过RADIUS服务器对认证成功的用户下发RADIUS标准属性Acct-Interim-Interval开启实时计费功能,并设置实时计费时间间隔
上述两种方法选择任一即可开启实时计费功能。同时配置时,若Acct-Interim-Interval属性指定的时间间隔属于60~3932100,则Acct-Interim-Interval属性指定的时间间隔生效;否则accounting realtime命令指定的时间间隔生效。
关闭实时计费:
设备上执行accounting realtime 0命令或undo accounting realtime命令关闭实时计费功能。
RADIUS服务器未对认证成功的用户下发RADIUS标准属性Acct-Interim-Interval
如果RADIUS服务器已对认证成功的用户下发RADIUS标准属性Acct-Interim-Interval,则必须在相应的RADIUS服务器模板下执行radius-attribute disable Acct-Interim-Interval receive send命令禁用RADIUS标准属性Acct-Interim-Interval - 删除本地用户
[HUAWEI] aaa
[HUAWEI-aaa] undo local-user mike - 配置用户连接的超时时间
(1)管理用户
在用户界面视图下执行idle-timeout minutes [ seconds ]命令配置管理用户连接的超时时间:
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] idle-timeout 10
(仅适用于管理用户的认证方式为AAA本地认证)在AAA视图下执local-user user-name idle-timeout minutes [ seconds ]命令配置管理用户连接的超时时间:
[HUAWEI] aaa
[HUAWEI-aaa] local-user user1@vipdomain idle-timeout 10
(仅适用于管理用户的认证方式为RADIUS认证)通过RADIUS服务器为认证成功的用户授权RADIUS属性28(Idle-Timeout),指定管理用户连接的超时时间
注:上述三种方法,方法2和方法3的优先级比方法1高。如果方法1和方法2同时配置,方法2生效;如果方法1和方法3同时配置,方法3生效。
(2)普通接入用户
在设备业务方案视图下执行idle-cut idle-time flow-value命令,将在超时时间内流量低于指定的流量阈值的用户连接自动断开:
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme huawei
[HUAWEI-aaa-service-huawei] idle-cut 1 10
通过RADIUS服务器为认证成功的用户授权RADIUS属性28(Idle-Timeout),指定普通接入用户连接的超时时间
注:上述两种方法同时配置时,后者生效。