HWTACACS协议可以兼容TACACS+协议，S系列交换机作为接入设备可以与TACACS+服务器对接实现AAA功能。

HWTACACS协议与TACACS+协议定义的报文结构和报文类型一致。两种协议的主要区别在于授权和计费报文中携带的属性含义或类型不完全一致。例如，华为S系列交换机对接TACACS+服务器对Telnet用户认证时，基本的认证功能、授权用户级别功能、命令行授权功能等都能正常实现，如有其它额外需求，可分别查询HWTACACS属性信息和TACACS+属性信息，两者都支持时，需求就能正常实现。HWTACACS属性信息如表1-1所示，TACACS+属性信息请参考思科网站的文档“TACACS Attribute-Value Pairs”。

属性名

属性说明

acl

授权的ACL ID。

addr

用户的IP地址。

autocmd

用户登录到设备后自动执行的命令。

bytes_in

设备接收到的流量。其中，K、M、G分别表示流量单位KByte，MByte，GByte，如果没有，则单位是Byte。

bytes_out

设备发送的流量。其中，K、M、G分别表示流量单位KByte，MByte，GByte，如果没有，则单位是Byte。

callback-line

回呼号码，即服务器传递过来可以显示给用户的信息，例如移动电话号码等。

cmd

在shell上执行的命令行，最大长度为251字符。命令行记录时封装的是完整的命令行，命令行授权时封装的是命令行的第一个关键字。

cmd-arg

命令行授权请求时，请求授权的命令行参数。最后一个命令行参数后需要再封装一个cmd-arg=结尾。

disc_cause

disc_cause_ext

dnaverage

下行平均速率，单位是bit/s。

dnpeak

下行峰值速率，单位是bit/s。

dns-servers

主DNS服务器的IP地址。

elapsed_time

用户的在线时长，单位是秒。

ftpdir

FTP用户的初始目录。

gw-password

隧道密码，字符串类型，长度范围是1～248。如果所包含的属性值超出了允许的设置范围则仅取前248个字符。

idletime

空闲切断时间，即服务器会自动切断空闲切断时间内没有进行任何操作的用户。

l2tp-hello-interval

L2TP Hello报文的间隔时间，目前设备尚不支持该属性。

l2tp-hidden-avp

L2TP的隐藏属性值对AVP（Attribute Value Pair），目前设备尚不支持该属性。

l2tp-nosession-timeout

L2TP无会话时切断时间，即无会话时，L2TP隧道将会该时间间隔后被拆除。目前设备尚不支持该属性。

l2tp-group-num

L2TP组号，只有下发了该属性，其他的L2TP属性才能生效，如果没有下发该属性，其他L2TP属性都会被忽略。

l2tp-tos-reflect

L2TP的TOS的值，目前设备尚不支持该属性。

l2tp-tunnel-authen

是否进行L2TP的隧道认证。0表示不进行隧道认证，1表示进行隧道认证。

l2tp-udp-checksum

L2TP的UDP包的检验和。

nocallback-verify

回呼之后不需要验证。

nohangup

设备是否自动切断用户的连接，取值为true或者false。该属性依附于autocmd属性，在配置了autocmd参数后，用户执行完autocmd的命令后是否将用户切断。true表示不切断，false表示切断。

paks_in

设备接收到的包数，单位是个。

paks_out

设备发送的包数，单位是个。

priv-lvl

用户的级别。

protocol

task_id

任务ID，对于同一任务，其开始和结束记录的task_id必须相同。

timezone

当地时区。

tunnel-id

建立隧道时的隧道本端用户名，字符串形式，长度范围是1～29。如果所包含的属性值超出了允许的设置范围则仅取前29个字符。

tunnel-type

将要建立的隧道类型。

service

业务类型，标识当前计费或授权的业务。

source-ip

隧道本端IP的地址。

upaverage

上行平均速率，单位是bit/s。

uppeak

上行峰值速率，单位是bit/s。