radius-server shared-key henancnc [与服务器交互的KEY,必须与server端一致] radius-server class-as-car
[这条命令和QOS有关,ME60会将服务器端返回的CLASS属性当中的值解释为对已通过认证用户的CAR值,从而达到对用户限速的目的。对用户的速度限制是在RADIUS上定义的。]
radius-server source interface LoopBack0 undo radius-server user-name domain-included
[该命令定义用户认证的时候,向RADIUS发送用户名的时候不带域名]
基本RADIUS定义完毕后,我们需要定义一个authentication-scheme,这项配置用来定义用户域中的用户使用何种认证方式来认证。缺省情况下,authentication-scheme的认证方式为RADIUS。authentication-scheme的配置在AAA视图下进行。 AAA
authentication-scheme radius
[定义一个名称为RADIUS的authentication-scheme。由于缺省采用RADIUS认证,所以不用再配置额外命令]
定义完RADIUS-server group以及authentication-scheme以后,我们在用户域中对二者进行引用,范例如下:
domain dial
authentication-scheme radius
[该域用名称为RADIUS的SCHEME来进行认证]
accounting-scheme radius service-type hsi
[将该域的模式配置成HIS模式,PPPOE的域都要配置成该模式] radius-server group dial [指定使用的RADIUS服务器组]
对于用户的认证,如果用户上送的用户名携带域名,则不管用户从哪个端口上线,设备都会把该用户放到相应的域中进行认证;如果用户上送的用户名不携带域名,则将该用户放到端口下配置的缺省域中去完成认证。
在设备中,除了对拨号用户进行认证的DIAL域之外,还有另外几个域,简述如下: 1、网管域,主要用于对下挂网络设备进行管理使用,将下挂网络设备均作为2层静态IP用户进行管理。配置范例如下:
domain wangguan
authentication-scheme default0 accounting-scheme default0 ip-pool wangguan
[认证和计费均为default 0,表示不认证,不计费]
2、CNC域,主要用作用户下载宽带拨号程序使用,除了下载页面,该域中的用户不允许方问起他地址。配置范例如下: domain cnc
authentication-scheme local accounting-scheme default0 user-group help ip-pool help
3、IPTV域,该域用作IPTV用户访问相关服务器使用,该域中的用户不得访问其他地址。配置范例如下: domain iptv.ha
authentication-scheme radius accounting-scheme radius ip-pool iptv
2.4.3 RADIUS状态查看
状态查看在用户模式或者系统模式下进行。 ★ 服务器状态查看
Accounting-server : IP:221.13.223.140 Port:1646 Weight[0] [UP] Vpn: - share-key: henancnc Protocol-version : radius Shared-secret-key : henancnc Retransmission : 3 Timeout-interval(s) : 5 Acct-Stop-Packet Resend : NO Acct-Stop-Packet Resend-Times : 0 --------------------------------------------------------- Total 1,1 printed ★ 查看用户状态信息 1、查看所有用户概况
default0 : 0 :0 default1 : 0 :0 default_admin : 0 :0 static : 0 :0 dial : 969 :969 test : 0 :0 wangguan : 10 :10 cnc : 0 :0 iptv.ha : 0 :0 test-1 : 0 :0 ----------------------------------------------------------------------------- The used userid table are : 196 3032 3049 11324 11327 11358 33152 48343
49311 49328 52252 53841 53999 54350 54974 55235
55276 55393 55692 56633 56862 57130 57839 57949
2、查看单个用户详细信息
该命令需要利用到上一个命令输出的USER-ID
User access type : PPPoE Service-type : HSI User authentication type : PPP authentication Normal-server-group : dial Two-level-acct-server-group : - Physical-acct-server-group : - Authen method : RADIUS Current authen method : RADIUS Authen result : Success Action flag : Idle Authen state : Authed Author state : Idle Accounting method : RADIUS User access time : 2008/06/07 11:07:21 Accounting start time : 2008/06/07 11:07:21 Accounting state : Accounting EAP user : No MD5 end : No User MSIDSN name : - Idle-cut-data (time,rate) : 0 minute, 60 Kbyte/minute VPN instance : -- GRE group : - UserGroup : - QOS-profile-name : 2m Multicast-profile : - UpPriority : 0 DownPriority : 0 Policy-route-nexthop : - Up CAR enable : Yes Up committed information rate : 2098 (Kbps)