华为设备常见AAA操作

1. 配置用户通过Telnet登录设备的身份认证&＃xff08;AAA本地认证&＃xff09;&＃xff1a;采用AAA本地认证方式实现用户通过Telnet登录设备的身份认证&＃xff0c;设备上需要开启Telnet服务&＃xff0c;将用户界面&＃xff08;以VTY用户界面为例&＃xff09;的验证方式设为aaa&＃xff0c;同时在AAA视图下创建本地用户&＃xff0c;配置该用户的接入方式和用户级别
   [HUAWEI]telnet server enable //开启Telnet服务
   [HUAWEI]user-interface maximum-vty 15 //配置VTY用户界面的登录用户最大数目为15
   [HUAWEI]user-interface vty 0 14 //进入0&＃xff5e;14的VTY用户界面视图
   [HUAWEI-ui-vty0-14]authentication-mode aaa //配置VTY用户界面的验证方式为aaa
   [HUAWEI-ui-vty0-14]protocol inbound telnet //配置VTY用户界面支持的协议为Telnet
   [HUAWEI]aaa
   [HUAWEI-aaa]local-user user1 password irreversible-cipher Huawei&＃64;1234
   [HUAWEI-aaa]local-user user1 service-type telnet
   [HUAWEI-aaa]local-user user1 privilege level 15
2. 配置用户级别
   &＃xff08;1&＃xff09;在AAA视图下配置单个用户的用户级别。
   [HUAWEI] aaa
   [HUAWEI-aaa] local-user user1 privilege level 15 //配置用户user1的用户级别为15
   &＃xff08;2&＃xff09;在业务方案视图下配置某个域下所有用户的用户级别。
   [HUAWEI] aaa
   [HUAWEI-aaa]service-scheme sch1
   [HUAWEI-aaa-service-sch1]admin-user privilege level 15 //配置某个域下所有用户的用户级别为15
   &＃xff08;3&＃xff09;在用户界面视图下配置从指定用户界面登录的用户的用户级别&＃xff08;以VTY用户界面为例&＃xff09;。缺省情况下&＃xff0c;Console口用户界面下用户的级别是15&＃xff0c;而VTY用户界面下用户的级别是0。
   [HUAWEI] user-interface maximum-vty 15
   [HUAWEI] user-interface vty 0 14
   [HUAWEI-ui-vty0-14]user privilege level 15 //配置VTY 0&＃xff5e;VTY 14用户界面下用户级别为15
3. 配置全局默认域
   [HUAWEI] aaa
   [HUAWEI-aaa] domain huawei
   [HUAWEI] domain huawei
4. 配置实时计费
   在设备上通过命令行进行配置&＃xff1a;在用户使用的AAA计费方案视图下执行accounting realtime interval命令开启实时计费功能&＃xff0c;并设置实时计费时间间隔。
   通过RADIUS服务器对认证成功的用户下发RADIUS标准属性Acct-Interim-Interval开启实时计费功能&＃xff0c;并设置实时计费时间间隔
   上述两种方法选择任一即可开启实时计费功能。同时配置时&＃xff0c;若Acct-Interim-Interval属性指定的时间间隔属于60&＃xff5e;3932100&＃xff0c;则Acct-Interim-Interval属性指定的时间间隔生效&＃xff1b;否则accounting realtime命令指定的时间间隔生效。
   关闭实时计费:
   设备上执行accounting realtime 0命令或undo accounting realtime命令关闭实时计费功能。
   RADIUS服务器未对认证成功的用户下发RADIUS标准属性Acct-Interim-Interval
   如果RADIUS服务器已对认证成功的用户下发RADIUS标准属性Acct-Interim-Interval&＃xff0c;则必须在相应的RADIUS服务器模板下执行radius-attribute disable Acct-Interim-Interval receive send命令禁用RADIUS标准属性Acct-Interim-Interval
5. 删除本地用户
   [HUAWEI] aaa
   [HUAWEI-aaa] undo local-user mike
6. 配置用户连接的超时时间
   &＃xff08;1&＃xff09;管理用户
   在用户界面视图下执行idle-timeout minutes [ seconds ]命令配置管理用户连接的超时时间&＃xff1a;

[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] idle-timeout 10
&＃xff08;仅适用于管理用户的认证方式为AAA本地认证&＃xff09;在AAA视图下执local-user user-name idle-timeout minutes [ seconds ]命令配置管理用户连接的超时时间&＃xff1a;
[HUAWEI] aaa
[HUAWEI-aaa] local-user user1&＃64;vipdomain idle-timeout 10
&＃xff08;仅适用于管理用户的认证方式为RADIUS认证&＃xff09;通过RADIUS服务器为认证成功的用户授权RADIUS属性28&＃xff08;Idle-Timeout&＃xff09;&＃xff0c;指定管理用户连接的超时时间
注&＃xff1a;上述三种方法&＃xff0c;方法2和方法3的优先级比方法1高。如果方法1和方法2同时配置&＃xff0c;方法2生效&＃xff1b;如果方法1和方法3同时配置&＃xff0c;方法3生效。
&＃xff08;2&＃xff09;普通接入用户
在设备业务方案视图下执行idle-cut idle-time flow-value命令&＃xff0c;将在超时时间内流量低于指定的流量阈值的用户连接自动断开&＃xff1a;
[HUAWEI] aaa
[HUAWEI-aaa] service-scheme huawei
[HUAWEI-aaa-service-huawei] idle-cut 1 10
通过RADIUS服务器为认证成功的用户授权RADIUS属性28&＃xff08;Idle-Timeout&＃xff09;&＃xff0c;指定普通接入用户连接的超时时间
注&＃xff1a;上述两种方法同时配置时&＃xff0c;后者生效。