标签:aaa

配置AAA命令之其他命令

aaa local authentication attempts

配置login登录用户尝试登录失败次数

aaa local authentication attempts max-attempts

参数说明

参数

描述

max-attempts

最大尝试失败次数,取值范围1~2147483647。

缺省配置

 

缺省值为 3 次

命令模式

 

全局配置模式。

使用指导

 

该命令配置Login登录用户尝试登录失败次数

配置举例

 

下面的示例:

Ruijie# configure terminal

Ruijie(config)# aaa local authentication attempts 6

相关命令

命令

描述

Show running-config

显示交换机当前配置

Show aaa lockout

显示当前login的锁定配置参数

平台说明

 

命令历史

版本号

说明

1.6.2 aaa local authentication lockout-time

配置login登录用户尝试超过配置登录失败次数,被锁定的时间长度

aaa local authentication lockout-time lockout-time

参数说明

参数

描述

lockout-time

锁定时间(单位:小时),取值范围1~2147483647

缺省配置

 

缺省值为 15 小时

命令模式

 

全局配置模式。

使用指导

 

配置login登录用户尝试超过配置登录失败次数,被锁定的时间长度

配置举例

 

下面的示例:

Ruijie# configure terminal

Ruijie(config)# aaa local authentication lockout-time 5

相关命令

命令

描述

Show running-config

显示交换机当前配置

Show aaa lockout

显示当前login的锁定配置参数

平台说明

 

命令历史

版本号

说明

1.6.3 aaa new-model

要使用RGOS的AAA安全服务功能,请执行全局配置命令aaa new-model使能AAA。该命令的no形式关闭AAA安全服务。

aaa new-model

no aaa new-model

参数说明

参数

描述

缺省配置

 

关闭AAA安全服务

命令模式

 

全局配置模式。

使用指导

 

该命令是AAA的使能命令,如果您要使用AAA安全服务,就必须使用aaa new-model使能AAA安全服务。如果没有启用AAA,则所有AAA命令将是不可配置的。

配置举例

 

下面的示例使能AAA安全服务。

Ruijie(config)# aaa new-model

相关命令

命令

描述

aaa authentication

定义用户认证方法列表

aaa authorization

定义用户授权方法列表

aaa accounting

定义用户记帐方法列表

平台说明

 

命令历史

版本号

说明

1.6.4 clear aaa local user lockout

清除被锁定的用户列表

clear aaa local user lockout {all | user-name <word>}

参数说明

参数

描述

<word>

用户ID

缺省配置

   

命令模式

 

特权模式。

使用指导

 

清除被锁定的用户列表,可以全部清楚也可以指定用户清除

配置举例

 

下面的示例:

Ruijie# clear aaa local user lockout all

相关命令

------中间广告---------

命令

描述

show running-config

显示交换机当前配置

show aaa lockout

显示当前login的锁定配置参数

平台说明

 

命令历史

版本号

说明

1.6.5 debug aaa

打开AAA服务调试开关。该命令的no形式关闭调试开关。

debug aaa event

no debug aaa event

参数说明

参数

描述

缺省配置

 

命令模式

 

特权EXEC配置模式。

使用指导

 

配置举例

 

相关命令

命令

描述

平台说明

 

命令历史

版本号

说明

1.6.6 show aaa method-list

显示AAA所有的方法列表。

show aaa method-list

参数说明

参数

描述

缺省配置

 

命令模式

 

特权模式。

使用指导

 

该命令显示AAA所有的方法列表。

配置举例

 

下面的示例显示AAA方法列表。

Ruijie# show aaa method-list

Authentication method-list

aaa authentication login default group radius

aaa authentication ppp default group radius

aaa authentication dot1x default group radius

aaa authentication dot1x san-f local group angel group rain none

aaa authentication enable default group radius

Accounting method-list

aaa accounting network default start-stop group radius

Authorization method-list

aaa authorizating network default group radius

相关命令

命令

描述

aaa authentication

定义用户认证方法列表

aaa authorization

定义用户授权方法列表

aaa accounting

定义用户记帐方法列表

平台说明

 

命令历史

版本号

说明

1.6.7 show aaa user lockout

显示当前被锁定的用户列表。

show aaa user lockout {all | user-name <word>}

参数说明

参数

描述

<word>

用户ID

缺省配置

 

命令模式

 

特权模式。

使用指导

 

显示当前被锁定的用户列表,以及还有多久就要被解除锁定。

配置举例

 

下面的示例:

Ruijie# show aaa user lockout all

相关命令

命令

描述

show running-config

显示交换机当前配置

show aaa lockout

显示当前login的锁定配置参数

平台说明

 

命令历史

版本号

说明

配置AAA命令之服务器组相关命令

aaa group server

进入AAA服务器组配置模式。该命令的no形式删除服务器组。

aaa group server {radius | tacacs+} name

no aaa group server {radius | tacacs+} name

参数说明

参数

描述

name

服务器组的取名,目前不能为关键字“radius”,“tacacs+”,因为这是RADIUS和TACACS+默认的服务器组名称。

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

该命令配置AAA服务器组, 目前支持RADIUS和TACACS+服务器组。

配置举例

 

下面示例。

Ruijie(config)# aaa group server radius ss

Ruijie(config-gs-radius)# end

Ruijie# show aaa group

Group Name: ss

Group Type: radius

Referred: 1

Server List:

相关命令

命令

描述

show aaa group

显示aaa服务器组

平台说明

 

命令历史

版本号

说明

1.5.2 ip vrf forwarding

为AAA服务器组选择vrf,no形式删除。

ip vrf forwarding vrf_name

no ip vrf forwarding

参数说明

参数

描述

vrf_name

vrf名字

缺省配置

 

命令模式

 

服务器组配置模式。

使用指导

 

为指定服务器组选择vrf。

配置举例

 

下面示例。

Ruijie(config)# aaa group server radius ss

Ruijie(config-gs-radius)# server 192.168.4.12

Ruijie(config-gs-radius)# server 192.168.4.13

Ruijie(config-gs-radius)# ip vrf forwarding vrf_name

Ruijie(config-gs-radius)# end

相关命令

命令

描述

aaa group server

配置aaa服务器组

show aaa group

显示aaa服务器组

平台说明

 

命令历史

版本号

说明

1.5.3 server

添加AAA服务器组的服务器,no形式删除。

server ip-addr [authen-port port1] [ acct-port port2]

no server ip-addr [authen-port port1] [acct-port port2]

参数说明

参数

描述

ip-addr

服务器ip地址

port1

服务器认证端口(仅RADIUS服务器组支持)

port2

服务器记账端口(仅RADIUS服务器组支持)

缺省配置

 

无服务器配置

命令模式

 

服务器组配置模式。

使用指导

 

往指定服务器中添加服务器,不指定端口时使用默认值。

配置举例

 

下面示例。

Ruijie(config)# aaa group server radius ss

Ruijie(config-gs-radius)# server 192.168.4.12

acct-port 5 authen-port 6

Ruijie(config-gs-radius)# end

Ruijie# show aaa group

Group Name: ss

Group Type: radius

Referred: 2

Server List:

IP Address: 192.168.4.12

Authentication Port: 6

Accounting Port: 5

Referred: 1

相关命令

命令

描述

aaa group server

配置aaa服务器组

show aaa group

显示aaa服务器组

平台说明

 

命令历史

版本号

说明

1.5.4 show aaa group

显示AAA配置的所有服务器组。

show aaa group

参数说明

参数

描述

缺省配置

 

命令模式

 

特权模式。

使用指导

 

该命令显示AAA所有已配制的服务器组。

配置举例

 

下面示例。

Ruijie# show aaa group

Group Name: ss

Group Type: radius

Referred: 2

Server List:

IP Address: 192.168.217.64

Authentication Port: 1812

Accounting Port: 1813

Referred: 1

相关命令

命令

描述

aaa group server

配置AAA服务器组

平台说明

 

命令历史

版本号

说明

配置AAA命令之基于域名的相关命令

aaa domain

进入域配置模式,配置域的属性。该命令的no形式取消该命令。

aaa domain {default | domain-name}

no aaa domain {default | domain-name}

参数说明

参数

描述

default

使用该参数,进行缺省域的配置

domain-name

指定域的名称

缺省配置

 

没有配置任何域。

命令模式

 

全局配置模式。

使用指导

 

指定基于域名的AAA服务配置。default为缺省域配置,也就是如果用户没有携带域信息,网络设备所使用的方法列表。domain-name为指定域名配置,如果用户携带该域名,则指定使用这个域所关联的方法列表。目前系统支持最多配置32个域。

配置举例

 

下面的示例演示设置域名配置:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)#

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.2 aaa domain enable

基于域名的AAA服务总开关,默认情况下为关闭状态。当打开该开关的时候,优先使用基于域名的AAA服务配置。该命令的no形式关闭该开关。

aaa domain enable

no aaa domain enable

参数说明

参数

描述

缺省配置

 

基于域名的AAA服务开关关闭。

命令模式

 

全局配置模式。

使用指导

 

进行基于域名的AAA服务配置,需要打开这个配置开关。

配置举例

 

打开基于域名的AAA服务开关:

Ruijie(config)# aaa domain enable

相关命令

命令

描述

aaa new-model

打开AAA安全服务

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.3 access-limit

设置域的用户数量限制,只对IEEE802.1x用户有效;该命令的no形式取消命令。

access-limit num

no access-limit

参数说明

参数

描述

num

域用户的数量限制,只限制IEEE802.1x用户

缺省配置

 

缺省情况下不限制用户数量。

命令模式

 

域配置模式。

使用指导

 

使用该命令对域的用户数量进行限制。

配置举例

 

下面的示例演示设置域名为ruijie.com的域的用户数量为20:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# access-limit 20

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.4 accounting network

在域配置模式下配置Network记账列表,该命令的no形式取消命令。

accounting network {default | list-name}

no accounting network

参数说明

参数

描述

default

使用该参数,指定使用缺省配置方法列表

list-name

指定方法列表名称

缺省配置

 

在没有指定方法列表时,如果有用户发起请求,网络设备会尝试给该用户指定default方法列表。

命令模式

 

域配置模式。

使用指导

 

为域指定使用的Network记账方法列表。

配置举例

 

下面的示例演示设置域指定Network记账方法列表:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# accounting network default

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.5 authentication dot1x

在域配置模式下配置IEEE802.1x认证列表,该命令的no形式取消命令。

authentication dot1x {default | list-name}

no authentication dot1x

参数说明

参数

描述

default

使用该参数,指定使用缺省配置方法列表

list-name

指定方法列表名称

缺省配置

 

在没有指定方法列表时,如果有用户发起请求,网络设备会尝试给该用户指定default方法列表。

命令模式

 

域配置模式。

使用指导

 

为域指定一个IEEE802.1x认证方法列表。

配置举例

 

下面的示例演示设置域指定IEEE802.1x认证方法列表:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# authentication dot1x default

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.6 authorization network

在域配置模式下配置Network授权列表,该命令的no形式取消命令。

authorization network {default | list-name}

no authorization network

参数说明

参数

描述

default

使用该参数,指定使用缺省配置方法列表

list-name

指定方法列表名称

缺省配置

 

在没有指定方法列表时,如果有用户发起请求,网络设备会尝试给该用户指定default方法列表。

命令模式

 

域配置模式。

使用指导

 

为域指定授权方法列表。

配置举例

 

下面的示例演示设置域指定授权方法列表:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# authorization network default

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.7 state

设置域是否有效,该命令的no形式恢复成默认配置。

state {block | active}

no state

参数说明

参数

描述

block

配置的域有效

active

配置的域无效

缺省配置

 

缺省情况下为域有效。

命令模式

 

域配置模式。

使用指导

 

指定配置的域是否有效。

配置举例

 

下面的示例演示设置域无效。

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# state block

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.8 show aaa domain

显示当前所有配置域信息。

show aaa domain [default | domain-name]

参数说明

参数

描述

default

使用该参数,指定显示默认的域信息

domain-name

显示指定域名的域信息

缺省配置

 

命令模式

 

特权模式。

使用指导

 

如果不指定域名,则显示所有的域信息。

配置举例

 

下面的示例显示指定域名为domain.com的域信息。

Ruijie# show aaa domain domain.com

=============Domain domain.com=============

State: Active

Username format: Without-domain

Access limit: No limit

802.1X Access statistic: 0

Selected method list:

authentication dot1x default

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

平台说明

 

命令历史

版本号

说明

1.4.9 username-format

在域配置模式下配置NAS与服务器交互时用户名中是否携带域信息,该命令的no恢复成默认配置。

username-format {without-domain | with-domain}

no username-format

参数说明

参数

描述

without-domain

剥离域信息

with-domain

不剥离域信息

缺省配置

 

缺省情况下不剥离域信息。

命令模式

 

域配置模式。

使用指导

 

在域配置模式下,配置NAS针对指定域与服务器交互时,用户名中是否携带域信息。

配置举例

 

下面的示例演示设置剥离域信息:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# username-domain without-domain

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

配置AAA命令之审计相关命令

参数说明

参数

描述

level

要进行记账的命令级别,范围0~15,决定哪个级别的命令执行时,需要记录信息。

default

使用该参数,则后面定义的方法列表作为命令记账的默认方法。

list-name

定义一个命令记账的方法列表,可以是任何字符串。

method

必须“nonegroup”所列关键字之一,一个方法列表最多有4个方法:

none

不进行记账

group

使用服务器组进行记账,目前支持TACACS+服务器组

缺省配置

 

关闭记帐功能

命令模式

 

全局配置模式。

使用指导

 

RGOS只有在用户通过了登录认证后,才会启用命令记账功能,如果用户登录时未进行认证或认证采用的方法为none,则不会进行命令记账。启用记账功能后,在用户每次执行指定级别的命令后,将所执行的命令信息,发送给安全服务器。

配置了命令记账方法后,必须将其应用在需要进行命令记账的终端线路上,否则将不生效。

配置举例

 

下面的示例使用TACACS+对用户执行的命令请求进行记帐,要求记账的命令级别为15级:

Ruijie(config)# aaa accounting commands 15 default start-stop group tacacs+

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authentication

定义AAA身份认证

accounting commands

在终端线路上应用命令记账

平台说明

 

命令历史

版本号

说明

1.3.2 aaa accounting exec

出于管理用户活动,需要对用户登录NAS的访问活动进行记帐,请执行全局配置命令aaa accounting exec。该命令的no形式取消Exec记帐功能。

aaa accounting exec {default | list-name} start-stop method1 [method2…]

no aaa accounting exec {default | list-name}

参数说明

参数

描述

default

使用该参数,则后面定义的方法列表作为Exec记账的默认方法。

list-name

定义一个Exec记账的方法列表,可以是任何字符串。

method

必须“nonegroup”所列关键字之一,一个方法列表最多有4个方法

none

不进行记账

group

使用服务器组进行记账,目前支持RADIUS和TACACS+服务器组

缺省配置

 

关闭记帐功能

命令模式

 

全局配置模式。

使用指导

 

RGOS只有在用户通过了登录认证后,才会启用Exec记账功能,如果用户登录时未进行认证或认证采用的方法为none,则不会进行Exec记账。

启用记账功能后,在用户登录到NAS的CLI界面时候,发送记账开始(Start)信息给安全服务器,在用户退出登录的时候,发送记账结束(Stop)信息给安全服务器。如果一个用户在登录时没有发出Start信息,在退出登录时也不会发出Stop信息。

配置了Exec记账方法后,必须将其应用在需要进行命令记账的终端线路上,否则将不生效。

配置举例

 

下面的示例使用RADIUS对用户登录NAS的活动进行记帐,并在开始和结束时发送记帐报文:

Ruijie(config)# aaa accounting exec default start-stop group radius

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authentication

定义AAA身份认证

accounting commands

在终端线路上应用Exec记账

平台说明

 

命令历史

版本号

说明

1.3.3 aaa accounting network

出于网络费用的统计或管理用户活动,需要对用户的访问活动进行记帐,请执行全局配置命令aaa accounting network。该命令的no形式取消网络记帐功能。

aaa accounting network {default | list-name} start-stop method1 [method2…]

no aaa accounting network {default | list-name}

参数说明

参数

描述

default

使用该参数,则后面定义的方法列表作为Network记账的默认方法。

list-name

记帐方法列表名。

start-stop

在用户访问活动开始和结束时均发送记帐报文,开始记帐报文无论是否成功启用记帐,都允许用户开始进行网络访问。

method

必须下表所列关键字之一,一个方法列表最多有4个方法

none

不进行记帐

group

使用服务器组进行记账,目前支持RADIUS和TACACS+服务器组

缺省配置

 

关闭记帐功能

命令模式

 

全局配置模式。

使用指导

 

RGOS通过给安全服务器发送记录属性对来用户活动进行记帐。使用关键字start-stop,制定用户记帐选项。

配置举例

 

下面的示例使用RADIUS对用户的网络服务请求进行记帐,并在开始和结束时发送记帐报文:

Ruijie(config)# aaa accounting network default start-stop group radius

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization network

定义AAA网络授权

aaa authentication

定义AAA身份认证

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.3.4 aaa accounting update

要启用记帐更新功能,请执行全局配置命令aaa accounting update命令,该命令用于使能全局记帐更新。使用该命令的no选项关闭记帐更新功能。

aaa accounting update

no aaa accounting update

参数说明

参数

描述

缺省配置

 

记帐更新功能缺省关闭。

命令模式

 

全局配置模式。

使用指导

 

如果没有启用AAA安全服务,则不能使用记帐更新。如果已经启用AAA安全服务,则该命令用设置记帐间隔。

配置举例

 

下面的示例演示设置记帐更新使能。

Ruijie(config)# aaa new-model

Ruijie(config)#

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa accounting network

定义网络记帐的方法列表

平台说明

 

命令历史

版本号

说明

1.3.5 aaa accounting update periodic

已经启用记帐更新功能,请执行全局配置命令aaa accounting update periodic命令,该命令用于设置记帐更新间隔。使用该命令的no选项配置默认的记帐更新间隔。

aaa accounting update periodic interval

no aaa accounting update periodic

参数说明

参数

描述

interval

记帐更新间隔,以分钟为单位,最小为1分钟。

缺省配置

 

5 minutes。

命令模式

 

全局配置模式。

使用指导

 

如果没有启用AAA安全服务,则不能使用记帐更新。如果已经启用AAA安全服务,则该命令用设置记帐间隔。

配置举例

 

下面的示例演示设置每隔1分钟记帐更新。

Ruijie(config)# aaa new-model

Ruijie(config)# aaa accounting update

Ruijie(config)# aaa accounting update periodic 1

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa accounting network

定义网络记帐的方法列表

平台说明

 

命令历史

版本号

说明

1.3.6 accounting commands

要将命令记账列表应用在指定终端线路上,执行线路配置模式命令accounting commands。该命令的no形式取消线路上命令记账功能。

accounting commands level {default | list-name}

no accounting commands level

参数说明

参数

描述

level

要进行记账的命令级别,范围0~15,决定哪个级别的命令需要进行记账。

default

使用该参数,应用命令记账的默认方法。

list-name

应用一个已定义的命令记账的方法列表。

缺省配置

 

关闭记帐功能

命令模式

 

线路配置模式。

使用指导

 

默认的命令记账方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认命令记账方法列表,将取代默认的方法列表。如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的命令记账将不会生效,直至定义了该命令记账方法列表才会生效。

配置举例

 

下面的示例配置一个名为cmd的命令记账列表,针对15级命令进行记账,使用TACACS+作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:

Ruijie(config)# aaa accounting commands 15 cmd group tacacs+ none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# accounting commands 15 cmd

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa accounting commands

定义AAA命令记账方法列表

平台说明

 

命令历史

版本号

说明

1.3.7 accounting exec

要将Exec记账列表应用在指定终端线路上,执行线路配置模式命令accounting exec。该命令的no形式取消线路上Exec记账功能。

accounting exec {default | list-name}

no accounting exec

参数说明

参数

描述

default

使用该参数,应用Exec记账的默认方法。

list-name

应用一个已定义的Exec记账的方法列表。

缺省配置

 

关闭记帐功能

命令模式

 

线路配置模式。

使用指导

 

默认的Exec记账方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认Exec记账方法列表,将取代默认的方法列表。如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的Exec记账将不会生效,直至定义了该Exec记账方法列表才会生效。

配置举例

 

下面的示例配置一个名为exec-1的Exec记账列表,使用RADIUS作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:

Ruijie(config)# aaa accounting exec exec-1 group radius none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# accounting exec exec-1

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa accounting commands

定义AAA Exec记账方法列表

平台说明

 

命令历史

版本号

说明

配置AAA命令之授权相关命令

aaa authorization commands

对于已登录到NAS的CLI界面上的用户,要使用要AAA命令授权功能对用户执行的命令进行授权,允许或禁止某个用户执行具体的命令。请执行全局配置命令aaa authorization commands。该命令的no形式关闭AAA命令授权功能。

aaa authorization commands level {default | list-name} method1 [method2…]

no aaa authorization commands level {default | list-name}

参数说明

参数

描述

level

要进行授权的命令级别,范围0~15,决定哪个级别的命令需要授权通过后才能执行。

default

使用该参数,则后面定义的方法列表作为命令授权的默认方法

list-name

定义一个命令授权的方法列表,可以是任何字符串。

method

必须是“none、group”所列关键字之一,一个方法列表最多有4个方法

none

不进行授权

group

使用服务器组进行授权,目前支持TACACS+服务器组

缺省配置

 

关闭AAA命令授权功能。

命令模式

 

全局配置模式。

使用指导

 

RGOS支持对用户可执行的命令进行授权,当用户输入并试图执行某条命令时,AAA将该命令发送到安全服务器上,如果安全服务器允许执行该命令,则该命令被执行,否则该命令不执行,并会给出执行命令被拒绝的提示。

配置命令授权的时候需要指定命令的级别,这个级别是命令的默认级别(例如,某命令对于14级以上用户可见,则该命令的默认级别就是14级的)。

配置了命令授权方法后,必须将其应用在需要进行命令授权的终端线路上,否则将不生效。

配置举例

 

下面的示例使用TACACS+服务器对15级命令进行授权:

Ruijie(config)# aaa authorization commands 15 default group tacacs+

相关命令

命令

描述

aaa new-model

使能AAA安全服务

authorization commands

在终端线路上应用命令授权

平台说明

 

命令历史

版本号

说明

1.2.2 aaa authorization config-commands

要使用AAA对配置模式(包括全局配置模式及其子模式)下的命令进行授权,执行全局配置命令aaa authorization config-commands。该命令的no形式关闭AAA对配置模式下的命令的授权功能。

aaa authorization config-commands

no aaa authorization config-commands

参数说明

参数

描述

缺省配置

 

默认不对配置模式下命令的进行授权。

命令模式

 

全局配置模式。

使用指导

 

如果只对非配置模式(如特权模式)下的命令进行授权,可以使用该命令的no模式关闭配置模式的授权功能,则配置模式及其子模式下的命令不需要进行命令授权就可以执行。

配置举例

 

下面的示例打开对配置模式下命令的授权功能:

Ruijie(config)# aaa authorization config-commands

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization commands

定义AAA命令授权

平台说明

 

命令历史

版本号

说明

1.2.3 aaa authorization console

要使用AAA对通过控制台登录的用户,所执行的命令进行授权,执行全局配置命令aaa authorization console。该命令的no形式关闭AAA对对通过控制台登录的用户所执行命令的授权功能。

aaa authorization console

no aaa authorization console

参数说明

参数

描述

缺省配置

 

默认不对控制台用户执行的命令进行授权。

命令模式

 

全局配置模式。

使用指导

 

RGOS支持区分通过控制台登录和其他终端登录的用户,可以设置控制台登录的用户,是否需要进行命令授权。如果关闭了控制台的命令授权功能,则已经应用到控制台线路的命令授权方法列表将不生效。

配置举例

 

下面的示例配置控制台登录用户的命令授权功能:

Ruijie(config)# aaa authorization console

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization commands

定义AAA命令授权

authorization commands

在终端线路上应用命令授权

平台说明

 

命令历史

版本号

说明

1.2.4 aaa authorization exec

要使用AAA对登录到NAS的CLI界面的用户进行Exec授权,赋予其权限级别,执行全局配置命令aaa authorization exec。该命令的no形式关闭AAA Exec的授权功能。

aaa authorization exec {default | list-name} method1 [method2…]

no aaa authorization exec {default | list-name}

参数说明

参数

描述

default

使用该参数,则后面定义的方法列表作为Exec授权的默认方法。

list-name

定义一个Exec授权的方法列表,可以是任何字符串。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行授权

none

不进行授权

group

使用服务器组进行授权,目前支持RADIUS和TACACS+服务器组

缺省配置

 

关闭AAA Exec授权功能。

命令模式

 

全局配置模式。

使用指导

 

RGOS支持对登录到NAS的CLI界面的用户进行授权,赋予其CLI权限级别(0~15级)。目前是对于通过了Login认证的用户,才进行Exec授权。如果Exec授权失败,则无法进入CLI界面。

配置了Exec授权方法后,必须将其应用在需要进行Exec授权的终端线路上,否则将不生效。

配置举例

 

下面的示例使用RADIUS服务器进行Exec授权:

Ruijie(config)# aaa authorization exec default group radius

相关命令

命令

描述

aaa new-model

使能AAA安全服务

authorization exec

在终端线路上应用授权

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.2.5 aaa authorization network

要使用AAA对访问网络用户的服务请求(包括PPP、SLIP等协议)进行授权,执行全局配置命令aaa authorization network。该命令的no形式关闭AAA的授权功能。

aaa authorization network {default | list-name} method1 [method2…]

no aaa authorization network {default | list-name}

参数说明

参数

描述

default

:使用该参数,则后面定义的方法列表作为Network授权的默认方法。

method

必须是“none、group”所列关键字之一,一个方法列表最多有4个方法

none

不进行网络授权

group

使用服务器组进行授权,目前支持RADIUS和TACACS+服务器组

缺省配置

 

关闭AAA Network授权功能。

命令模式

 

全局配置模式。

使用指导

 

RGOS支持对所有网络有关的服务请求如PPP、SLIP等协议进行授权。如果配置了授权,则对所有的认证用户或接口自动进行授权。

可以指定三种不同的授权方法,与身份认证一样,只有当前的授权方法没有响应,才能继续使用后面的方法进行授权,如果当前授权方法失败,则不再使用其他后继的授权方法。

RADIUS或TACACS+服务器是通过返回一系列的属性对来完成对认证用户的授权。所以网络授权是建立在认证的基础上的,只有认证通过了才有可能获取网络授权。

配置举例

 

下面的示例使用RADIUS服务器对网络服务进行授权:

Ruijie(config)# aaa authorization network default group radius

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa accounting

定义AAA记帐

aaa authentication

定义AAA身份认证

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.2.6 authorization commands

要将命令授权列表应用在指定终端线路上,执行线路配置模式命令 authorization commands。该命令的no形式取消线路上命令授权功能。

authorization commands level {default | list-name}

no authorization commands level

参数说明

参数

描述

level

要进行授权的命令级别,范围0~15,决定哪个级别的命令需要授权通过后才能执行。

default

使用该参数,应用命令授权的默认方法。

list-name

应用一个已定义的命令授权的方法列表。

缺省配置

 

未配置AAA命令授权功能。

命令模式

 

线路配置模式。

使用指导

 

默认的命令授权方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认命令授权方法列表,将取代默认的方法列表。如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的命令授权将不会生效,直至定义了该命令授权方法列表才会生效。

配置举例

 

下面的示例配置一个名为cmd的命令授权列表,针对15级命令进行授权,使用TACACS+作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:

Ruijie(config)# aaa authorization commands 15 cmd group tacacs+ none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# authorization commands 15 cmd

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization commands

定义AAA命令授权方法列表

平台说明

 

命令历史

版本号

说明

1.2.7 authorization exec

要将Exec授权列表应用在指定终端线路上,执行线路配置模式命令 authorization exec。该命令的no形式取消线路上Exec授权功能。

authorization exec {default | list-name}

no authorization exec

参数说明

参数

描述

default

使用该参数,应用Exec授权的默认方法。

list-name

应用一个已定义的Exec授权的方法列表。

缺省配置

 

未配置AAA Exec授权功能。

命令模式

 

线路配置模式。

使用指导

 

默认的Exec授权方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认Exec授权方法列表,将取代默认的方法列表。如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的Exec授权将不会生效,直至定义了该Exec授权方法列表才会生效。

配置举例

 

下面的示例配置一个名为exec-1的Exec授权列表,使用RADIUS作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:

Ruijie(config)# aaa authorization exec exec-1 group radius none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# authorization exec exec-1

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization commands

定义AAA Exec授权方法列表

平台说明

 

命令历史

版本号

说明

配置AAA命令之认证相关命令

aaa authentication dot1x

要使用AAA进行802.1X用户认证,请执行全局配置命令aaa authentication dot1x 配置802.1X用户认证的方法列表。该命令的no 形式删除802.1X用户认证的方法列表。

aaa authentication dot1x {default | list-name} method1 [method2…]

no aaa authentication dot1x {default | list-name}

参数说明

参数

描述

default

使用该参数,则后面定义的方法列表作为802.1X用户认证的默认方法。

list-name

定义一个802.1X用户认证的方法列表,可以是任何字符串。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行认证

none

不进行认证

group

使用服务器组进行认证,目前支持RADIUS服务器组

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

如果设备启用AAA 802.1X安全服务,用户就必须使用AAA进行802.1X用户认证协商。您必须使用aaa authentication dot1x命令配置默认的或可选的方法列表用于802.1X用户认证。

只有前面的方法没有响应,才能使用后面的方法进行认证。

配置举例

 

下面的示例定义一个名为rds_d1x的AAA 802.1X用户认证方法列表。该认证方法列表先使用RADIUS安全服务器进行认证,如果在一定时限内没有收到RADIUS安全服务器的应答,则使用本地用户数据库进行认证。

Ruijie(config)# aaa authentication dot1x rds_d1x group radius local

相关命令

命令

描述

aaa new-model

使用AAA安全服务

dot1x authentication

在802.1X协议上关联特定方法列表

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.1.2 aaa authentication enable

要使用AAA进行Enable认证,请执行全局配置命令aaa authentication enable配置Enable认证的方法列表。该命令的no 形式删除认证的方法列表。

aaa authentication enable default method1 [method2…]

no aaa authentication enable default

参数说明

参数

描述

default

使用该参数,则后面定义的方法列表作为Enable认证的默认方法。Enable认证是基于全局的认证,目前只支持设置默认的认证方法列表。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行认证

none

不进行认证

group

使用服务器组进行认证,目前支持RADIUS和TACACS+服务器组

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

如果设备启用AAA Enable认证服务,用户就必须使用AAA进行Enable认证协商。您必须使用aaa authentication enable命令配置默认的方法列表用于Enable认证。

只有前面的方法没有响应,才能使用后面的方法进行身份认证。

Enable认证方法列表配置以后,Enable认证功能自动生效。

配置举例

 

下面的示例定义AAA Enable身份认证方法列表。该认证方法列表先使用RADIUS安全服务器进行身份认证,如果在一定时限内没有收到RADIUS安全服务器的应答,则使用本地用户数据库进行身份认证。

Ruijie(config)# aaa authentication enable default group radius local

相关命令

命令

描述

aaa new-model

使用AAA安全服务

enable

切换用户级别

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.1.3 aaa authentication login

要使用AAA进行Login(登录)认证,请执行全局配置命令aaa authentication login配置Login认证的方法列表。该命令的no 形式删除认证的方法列表。

aaa authentication login {default | list-name} method1 [method2…]

no aaa authentication login {default | list-name}

参数说明

参数

描述

default

使用该参数,则后面定义的方法列表作为Login认证的默认方法。

list-name

定义一个Login认证的方法列表,可以是任何字符串。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行身份认证

none

不进行身份认证

group

使用服务器组进行身份认证,目前支持RADIUS和TACACS+服务器组

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

如果设备启用AAA登录认证安全服务,用户就必须使用AAA进行Login认证协商。您必须使用aaa authentication login命令配置默认的或可选的方法列表用于Login认证。

只有前面的方法没有响应,才能使用后面的方法进行身份认证。

设置了Login认证方法后,必须将其应用在需要进行Login认证的终端线路上,否则将不生效。

配置举例

 

下面的示例定义一个名为list-1的AAA Login认证方法列表。该认证方法列表先使用RADIUS安全服务器进行认证,如果在一定时限内没有收到RADIUS安全服务器的应答,则使用本地用户数据库进行认证。

Ruijie(config)# aaa authentication login list-1 group radius local

相关命令

命令

描述

aaa new-model

使用AAA安全服务

username

定义本地用户数据库

login authentication

在终端线路上应用Login认证

平台说明

 

命令历史

版本号

说明

1.1.4 aaa authentication ppp

要使用AAA进行PPP用户认证,请执行全局配置命令aaa authentication ppp配置PPP用户认证的方法列表。该命令的no 形式删除认证的方法列表。

aaa authentication ppp {default | list-name} method1 [method2…]

no aaa authentication ppp {default | list-name}

参数说明

参数

描述

default

使用该参数,则后面定义的方法列表作为PPP用户认证的默认方法。

list-name

定义一个PPP用户认证的方法列表,可以是任何字符串。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行认证

none

不进行身份认证

group

使用服务器组进行认证,目前支持RADIUS和TACACS+服务器组

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

如果设备启用AAA PPP安全服务,用户就必须使用AAA进行PPP用户认证协商。您必须使用aaa authentication ppp命令配置默认的或可选的方法列表用于PPP用户认证。

只有前面的方法没有响应,才能使用后面的方法进行认证。

配置举例

 

下面的示例定义一个名为rds_ppp的AAA PPP认证方法列表。该认证方法列表先使用RADIUS安全服务器进行认证,如果在一定时限内没有收到RADIUS安全服务器的应答,,则使用本地用户数据库进行认证。

Ruijie(config)# aaa authentication ppp rds_ppp group radius local

相关命令

命令

描述

aaa new-model

使用AAA安全服务

ppp authentication

PPP协议关联特定方法列表

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.1.5 login authentication

要在指定的终端线路上应用Login(登录)认证功能,请在线路配置模式下执行login authentication命令应用Login认证的方法列表。该命令的no 形式删除认证的方法列表在该线路上的应用。

login authentication {default | list-name}

no login authentication

参数说明

参数

描述

default

使用该参数,应用Login认证的默认方法列表。

list-name

应用一个已定义的Login认证的方法列表。

缺省配置

 

命令模式

 

线路配置模式。

使用指导

 

默认的Login认证方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认Login认证方法列表,将取代默认的方法列表。如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的Login认证将不会生效,直至定义了该Login认证方法列表才会生效。

配置举例

 

下面的示例定义一个名为list-1的AAA Login认证方法列表。该认证方法列表使用本地用户数据库进行认证。然后将该方法应用在VTY 0 – 4上。

Ruijie(config)# aaa authentication login list-1 local

Ruijie(config)# line vty 0 4

Ruijie(config-line)# login authentication list-1

相关命令

命令

描述

aaa new-model

使用AAA安全服务

username

定义本地用户数据库

login authentication

配置Login认证方法列表

平台说明

 

命令历史

版本号

说明

AAA之authorization

AAA authorization enable you to limit the services to a user.
named method list (命名方法列表)for a authorization.
method lists for authorization define the way authorization will be performed
and sequence in which these method will be perform.
method lists are specific to the authorization type(认证类型) requested:
auth-proxy->应用指定的安全策略,基于每用户。
commands ->应用到exec模式命令给user执行,commands 授权attempts authorization for all  exec mode command,including 全局,associated with a specific privilege level.
exec–>应用到与用户terminal session联系的属性。
network->应用到network connection,包括ppp,slip,或arap连接。
reverse access–>应用到反向telnet会话。
当你要生成一个named method list 你是在定义详细的authorization list给指定的授权类型:
tacacs+ ,用塔克斯给其授权。
if-authenticated–>如果user验证通过了,那么它即被授权了。
none–>无需授权。
local–>用定义了的username授权。
radius–>radius给其授权。
1. aaa authorization {auth-proxy | network |exec | command level |reverse-access |
configuration | ip moblie} {default|list-name} [method1[method2…]
//建立一个授权method list给一个paticular授权type and enable 授权。
line [aux|console|tty|vty] 线号 [ending线号]

int 接口代号
//进入你想应用授权method list的line或接口。
2.authorization {arap | command level |exec|reverse-access} {default|list-name}

ppp authorization {default|list-name}
应用authorization list 到line或接口。
关授权:
config)#no aaa authorization config-commands
给反向telnet授权:
aaa authorization reverse-access method1 [method2…]

cisco AAA服务器配置和充备配置

No Comments CISCO , ,

AAA代表AuthenticationAuthorizationAccounting,意为认证、授权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记帐。
1
认证:验证用户是否可以获得访问权限——“你是谁?
2
授权:授权用户可以使用哪些资源——“你能干什么?
3
记帐:记录用户使用网络资源的情况——“你干了些什么?
好的,简单的了解理论知识后,接下来我们还是以实验的方式来进行讲解:
为网络提供AAA服务的,主要有TACACS+RADIUS协议,我们主要介绍是TACACS+协议,因为它运行在TCP协议基础之上,更适合大型网络,特别是融合型网络
一、 实验拓扑介绍
clip_image001
该实验主要完成R1路由通过ACS服务器实现AAA认证,包括验证、授权和记帐,同时还包括PPP验证和计时通过cisco ACS实验
二、 安装cisco ACS
1
硬软件要求
硬件:Pentium IV 处理器, 1.8 GHz 或者更高
操作系统:Windows 2000 Server
Windows 2000 Advanced Server (Service Pack 4)
Windows Server 2003
Enterprise Edition or Standard
Edition (Service Pack 1)
内存:最小1GB
虚拟内存:最小1GB
硬盘空间:最小1GB可用空间,实际大小根据日志文件的增长,复制和备份的需求而定。
浏览器:Microsoft Internet Explorer 6 或者更高版本
JAVA
运行环境:Sun JRE 1.4.2_04 或更高版本
网络要求:
CISCO IOS 设备上为了全面的支持TACACS+ RADIUSAAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。
CISCO IOS 设备上必须用TACACS+RADIUS或者两者一起配置。
运行ACS的主机必须能ping通所有的AAA客户端。
2
安装方法(我们用的版本是4.0版本)
打开ACS安装程序文件夹,选中setup 双击。进入安装向导,根据提示进行安装,基本为默认设置
3
安装完成后的访问
在运行ACS的主机上,通过桌面上的ACS Admin 网页图标,可以访问ACSweb格式的管理台。也可以通过网页浏览器输入地址:http://127.0.0.1:2002 来访问ACS
注:
l Windows Xp不支持cisco ACS,在此笔者是在虚机中的windows2003sever下安装的
l ACS安装完成后,一定要安装JAVA平台,否则该ACS将不能正常使用,笔者在此安装的是jre-6u12-windows-i586-p-s.exe,版本为JRE 版本 1.6.0_12 Java HotSpot(TM)
三、 ACS的配置
1
设置ACS管理员帐号
Step 1>
点击ACS界面左边的Administration control 按钮 ,然后点击Administrator control界面中的Add Administrator
clip_image002
Step 2>
点击Add administrator 后出现此账户的诸多选项,逐一填写后点击Submit
clip_image003
Step3>
设置了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置
如:http://10.10.10.110:2002
2
ACS网络设置(添加Tacacs+客户端
Step1>
点击ACS界面的Network Configuration按钮 ,出现网络配置界面,然后点击Add Entry,
clip_image004
Step2>
添加Tacacs+客户端(ACS中必须指定Tacacs+客户端的名字、IP地址、key
clip_image005
3
Tacacs+设置
Step1>
点击ACS界面左边Interface configuration 按钮 ,选择TACACS+ (Cisco IOS)
clip_image006
Step2>
根据个人具体应用,在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中,则在用户组/用户属性中将不会出现tacacs+相关项目)
clip_image007
clip_image008
4
设备端tacacs+服务器的指定
cisco设备端用以下命令指定ACS tacacs+服务器
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
5
添加用户组
Step1>
ACS界面左边点击Group Setup
clip_image009
Step2>
在下拉列表中选取某个组,给这个组重命名,接着选择Edit setting进入组的属性配置
Step3>
在组的enable option 中的Max privilege for any AAA Client设置组的级别
6
添加用户
Step1>
ACS界面的左边点击user setup 按钮
clip_image010
Step2>
user方框中填写用户名,然后点击ADD/Edit
Step3>
在出现的用户属性中逐一填写
clip_image011
Step4>
选择用户属于哪个用户组
clip_image012
Step5>
选择用户属于的级别(可以定义单个用户级别,也可以和所属的用户组级别一样)
clip_image013
Step6>
设置用户的enable 密码
clip_image014
好的,到这里基本配置就算是配完了,接下来我们来演示一下AAA功能的实现
四、 ACS功能设置
1
ACS认证
a)
在设备端定义tacacs+服务器地址以及key
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
b)
ACS端定义设备的IP地址(参考ACS基本配置)
c)
ACS上面建立用户名和用户组
d)
在设备端配置AAA认证
R1(config)# enable secret 123 ‘
定义enable密码
R1(config)# username abc password 456 ‘
定义本地数据库
R1(config)# aaa new-model     ‘
启用AAA认证
R1(config)# aaa authentication login default group tacacs+ local ‘
设置登陆验证默认为采用先ACS服务器再本地验证(当ACS服务器不可达才用本地数据库验证)
R1(config)# aaa authentication enable default group tacacs+ enable ‘
设置enable进入特权模式默认为采用先ACS服务器再本地enable设置的密码
R1(config)# line vty 0 4
R1(config)# login authentication default ‘
设置telnet登陆采用前面定义的default
e)
验证
l telnet登陆:telnet 10.10.10.100,输入ACS服务器的用户名和密码,登陆成功,用本地数据库用户名和密码登陆失败(因为根据前面设置,R1首先会去ACS服务器进行验证,当ACS服务器不可达时,才会用本地数据库验证)
clip_image015
我们可以试着断开ACS与路由的连接,然后再进行登陆,这时则必须用本地数据库验证,也就是用户名为abc 密码为456
l enable进入特权测试
clip_image016
此时输入特权模式密码为ACS服务器上的密码,而非本地路由的enable密码
2
ACS授权
ACS
中可以通过设置用户组/用户的级别privilege来实现不同用户登录设备后可用的命令的不同,也可以通过使用ACS的命令授权来实现不同用户登录设备的可用命令条目,以下介绍ACS的命令授权
Step1>
ACS的界面左边的share profile components按钮
clip_image017
Step2>
点击shell command authorization sets
clip_image018