30选5玩法|福彩30选5开奖结果321|
 

标签:aaa

配置AAA命令之其他命令

aaa local authentication attempts

配置login登录用户尝试登录失败?#38382;?/p>

aaa local authentication attempts max-attempts

?#38382;?#35828;明

?#38382;?/b>

描述

max-attempts

最大尝试失败?#38382;?#21462;值范围1~2147483647。

缺省配置

 

缺省值为 3 次

命令模式

 

全局配置模式。

使用指导

 

该命令配置Login登录用户尝试登录失败?#38382;?/p>

配置举例

 

下面的示例:

Ruijie# configure terminal

Ruijie(config)# aaa local authentication attempts 6

相关命令

命令

描述

Show running-config

显示交换机当前配置

Show aaa lockout

显示当前login的锁定配置?#38382;?/p>

平台说明

 

命令历史

版本号

说明

1.6.2 aaa local authentication lockout-time

配置login登录用户尝试超过配置登录失败?#38382;?#34987;锁定的时间长度

aaa local authentication lockout-time lockout-time

?#38382;?#35828;明

?#38382;?/b>

描述

lockout-time

锁定时间(单位:小时),取值范围1~2147483647

缺省配置

 

缺省值为 15 小时

命令模式

 

全局配置模式。

使用指导

 

配置login登录用户尝试超过配置登录失败?#38382;?#34987;锁定的时间长度

配置举例

 

下面的示例:

Ruijie# configure terminal

Ruijie(config)# aaa local authentication lockout-time 5

相关命令

命令

描述

Show running-config

显示交换机当前配置

Show aaa lockout

显示当前login的锁定配置?#38382;?/p>

平台说明

 

命令历史

版本号

说明

1.6.3 aaa new-model

要使用RGOS的AAA安全服务功能,请执行全局配置命令aaa new-model使能AAA。该命令的no?#38382;?#20851;闭AAA安全服务。

aaa new-model

no aaa new-model

?#38382;?#35828;明

?#38382;?/b>

描述

缺省配置

 

关闭AAA安全服务

命令模式

 

全局配置模式。

使用指导

 

该命令是AAA的使能命令,如果您要使用AAA安全服务,就必须使用aaa new-model使能AAA安全服务。如果没有启用AAA,则所有AAA命令将是不可配置的。

配置举例

 

下面的示例使能AAA安全服务。

Ruijie(config)# aaa new-model

相关命令

命令

描述

aaa authentication

定义用户?#29616;?#26041;法列表

aaa authorization

定义用户授权方法列表

aaa accounting

定义用户记?#21490;?#27861;列表

平台说明

 

命令历史

版本号

说明

1.6.4 clear aaa local user lockout

清除被锁定的用户列表

clear aaa local user lockout {all | user-name <word>}

?#38382;?#35828;明

?#38382;?/b>

描述

<word>

用户ID

缺省配置

   

命令模式

 

特权模式。

使用指导

 

清除被锁定的用户列表,可以全部清楚也可以指定用户清除

配置举例

 

下面的示例:

Ruijie# clear aaa local user lockout all

相关命令

------中间广告---------

命令

描述

show running-config

显示交换机当前配置

show aaa lockout

显示当前login的锁定配置?#38382;?/p>

平台说明

 

命令历史

版本号

说明

1.6.5 debug aaa

打开AAA服务调试开关。该命令的no?#38382;?#20851;闭调试开关。

debug aaa event

no debug aaa event

?#38382;?#35828;明

?#38382;?/b>

描述

缺省配置

 

命令模式

 

特权EXEC配置模式。

使用指导

 

配置举例

 

相关命令

命令

描述

平台说明

 

命令历史

版本号

说明

1.6.6 show aaa method-list

显示AAA所有的方法列表。

show aaa method-list

?#38382;?#35828;明

?#38382;?/b>

描述

缺省配置

 

命令模式

 

特权模式。

使用指导

 

该命令显示AAA所有的方法列表。

配置举例

 

下面的示例显示AAA方法列表。

Ruijie# show aaa method-list

Authentication method-list

aaa authentication login default group radius

aaa authentication ppp default group radius

aaa authentication dot1x default group radius

aaa authentication dot1x san-f local group angel group rain none

aaa authentication enable default group radius

Accounting method-list

aaa accounting network default start-stop group radius

Authorization method-list

aaa authorizating network default group radius

相关命令

命令

描述

aaa authentication

定义用户?#29616;?#26041;法列表

aaa authorization

定义用户授权方法列表

aaa accounting

定义用户记?#21490;?#27861;列表

平台说明

 

命令历史

版本号

说明

1.6.7 show aaa user lockout

显示当前被锁定的用户列表。

show aaa user lockout {all | user-name <word>}

?#38382;?#35828;明

?#38382;?/b>

描述

<word>

用户ID

缺省配置

 

命令模式

 

特权模式。

使用指导

 

显示当前被锁定的用户列表,以及还有多久就要被解除锁定。

配置举例

 

下面的示例:

Ruijie# show aaa user lockout all

相关命令

命令

描述

show running-config

显示交换机当前配置

show aaa lockout

显示当前login的锁定配置?#38382;?/p>

平台说明

 

命令历史

版本号

说明

配置AAA命令之服务器组相关命令

aaa group server

进入AAA服务器组配置模式。该命令的no?#38382;?#21024;除服务器组。

aaa group server {radius | tacacs+} name

no aaa group server {radius | tacacs+} name

?#38382;?#35828;明

?#38382;?/b>

描述

name

服务器组的取名,目?#23433;?#33021;为关键字“radius”,“tacacs+”,因为这是RADIUS和TACACS+默认的服务器组名称。

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

该命令配置AAA服务器组, 目前支持RADIUS和TACACS+服务器组。

配置举例

 

下面示例。

Ruijie(config)# aaa group server radius ss

Ruijie(config-gs-radius)# end

Ruijie# show aaa group

Group Name: ss

Group Type: radius

Referred: 1

Server List:

相关命令

命令

描述

show aaa group

显示aaa服务器组

平台说明

 

命令历史

版本号

说明

1.5.2 ip vrf forwarding

为AAA服务器组选择vrf,no?#38382;?#21024;除。

ip vrf forwarding vrf_name

no ip vrf forwarding

?#38382;?#35828;明

?#38382;?/b>

描述

vrf_name

vrf名字

缺省配置

 

命令模式

 

服务器组配置模式。

使用指导

 

为指定服务器组选择vrf。

配置举例

 

下面示例。

Ruijie(config)# aaa group server radius ss

Ruijie(config-gs-radius)# server 192.168.4.12

Ruijie(config-gs-radius)# server 192.168.4.13

Ruijie(config-gs-radius)# ip vrf forwarding vrf_name

Ruijie(config-gs-radius)# end

相关命令

命令

描述

aaa group server

配置aaa服务器组

show aaa group

显示aaa服务器组

平台说明

 

命令历史

版本号

说明

1.5.3 server

添加AAA服务器组的服务器,no?#38382;?#21024;除。

server ip-addr [authen-port port1] [ acct-port port2]

no server ip-addr [authen-port port1] [acct-port port2]

?#38382;?#35828;明

?#38382;?/b>

描述

ip-addr

服务器ip地址

port1

服务器?#29616;?#31471;口(仅RADIUS服务器组支持)

port2

服务器记账端口(仅RADIUS服务器组支持)

缺省配置

 

无服务器配置

命令模式

 

服务器组配置模式。

使用指导

 

往指定服务器中添加服务器,不指定端口时使用默?#29616;怠?/p>

配置举例

 

下面示例。

Ruijie(config)# aaa group server radius ss

Ruijie(config-gs-radius)# server 192.168.4.12

acct-port 5 authen-port 6

Ruijie(config-gs-radius)# end

Ruijie# show aaa group

Group Name: ss

Group Type: radius

Referred: 2

Server List:

IP Address: 192.168.4.12

Authentication Port: 6

Accounting Port: 5

Referred: 1

相关命令

命令

描述

aaa group server

配置aaa服务器组

show aaa group

显示aaa服务器组

平台说明

 

命令历史

版本号

说明

1.5.4 show aaa group

显示AAA配置的所有服务器组。

show aaa group

?#38382;?#35828;明

?#38382;?/b>

描述

缺省配置

 

命令模式

 

特权模式。

使用指导

 

该命令显示AAA所有已配制的服务器组。

配置举例

 

下面示例。

Ruijie# show aaa group

Group Name: ss

Group Type: radius

Referred: 2

Server List:

IP Address: 192.168.217.64

Authentication Port: 1812

Accounting Port: 1813

Referred: 1

相关命令

命令

描述

aaa group server

配置AAA服务器组

平台说明

 

命令历史

版本号

说明

配置AAA命令之基于域名的相关命令

aaa domain

进入域配置模式,配置域的属性。该命令的no?#38382;?#21462;消该命令。

aaa domain {default | domain-name}

no aaa domain {default | domain-name}

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#36827;行缺省域的配置

domain-name

指定域的名称

缺省配置

 

没有配置任何域。

命令模式

 

全局配置模式。

使用指导

 

指定基于域名的AAA服务配置。default为缺省域配置,也就是如果用户没?#34892;?#24102;域信息,网络设备所使用的方法列表。domain-name为指定域名配置,如果用户携带该域名,则指定使用这个域所关联的方法列表。目前系统支持最多配置32个域。

配置举例

 

下面的示例演示设置域名配置:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)#

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.2 aaa domain enable

基于域名的AAA服务总开关,默认情况下为关闭状态。当打开该开关的时候,优先使用基于域名的AAA服务配置。该命令的no?#38382;?#20851;闭该开关。

aaa domain enable

no aaa domain enable

?#38382;?#35828;明

?#38382;?/b>

描述

缺省配置

 

基于域名的AAA服务开关关闭。

命令模式

 

全局配置模式。

使用指导

 

进行基于域名的AAA服务配置,需要打开这个配置开关。

配置举例

 

打开基于域名的AAA服务开关:

Ruijie(config)# aaa domain enable

相关命令

命令

描述

aaa new-model

打开AAA安全服务

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.3 access-limit

设置域的用户数量限制,只对IEEE802.1x用户?#34892;В?#35813;命令的no?#38382;?#21462;消命令。

access-limit num

no access-limit

?#38382;?#35828;明

?#38382;?/b>

描述

num

域用户的数量限制,只限制IEEE802.1x用户

缺省配置

 

缺省情况下不限制用户数量。

命令模式

 

域配置模式。

使用指导

 

使用该命令对域的用户数量进行限制。

配置举例

 

下面的示例演示设置域名为ruijie.com的域的用户数量为20:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# access-limit 20

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.4 accounting network

在域配置模式下配置Network记账列表,该命令的no?#38382;?#21462;消命令。

accounting network {default | list-name}

no accounting network

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#25351;定使用缺省配置方法列表

list-name

指定方法列表名称

缺省配置

 

在没有指定方法列表时,如果有用户发起请求,网络设备会尝试给该用户指定default方法列表。

命令模式

 

域配置模式。

使用指导

 

为域指定使用的Network记账方法列表。

配置举例

 

下面的示例演示设置域指定Network记账方法列表:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# accounting network default

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.5 authentication dot1x

在域配置模式下配置IEEE802.1x?#29616;?#21015;表,该命令的no?#38382;?#21462;消命令。

authentication dot1x {default | list-name}

no authentication dot1x

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#25351;定使用缺省配置方法列表

list-name

指定方法列表名称

缺省配置

 

在没有指定方法列表时,如果有用户发起请求,网络设备会尝试给该用户指定default方法列表。

命令模式

 

域配置模式。

使用指导

 

为域指定一个IEEE802.1x?#29616;?#26041;法列表。

配置举例

 

下面的示例演示设置域指定IEEE802.1x?#29616;?#26041;法列表:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# authentication dot1x default

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.6 authorization network

在域配置模式下配置Network授权列表,该命令的no?#38382;?#21462;消命令。

authorization network {default | list-name}

no authorization network

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#25351;定使用缺省配置方法列表

list-name

指定方法列表名称

缺省配置

 

在没有指定方法列表时,如果有用户发起请求,网络设备会尝试给该用户指定default方法列表。

命令模式

 

域配置模式。

使用指导

 

为域指定授权方法列表。

配置举例

 

下面的示例演示设置域指定授权方法列表:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# authorization network default

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.7 state

设置域是否?#34892;В?#35813;命令的no?#38382;交指?#25104;默认配置。

state {block | active}

no state

?#38382;?#35828;明

?#38382;?/b>

描述

block

配置的域?#34892;?/p>

active

配置的域无效

缺省配置

 

缺省情况下为域?#34892;А?/p>

命令模式

 

域配置模式。

使用指导

 

指定配置的域是否?#34892;А?/p>

配置举例

 

下面的示例演示设置域无效。

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# state block

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

1.4.8 show aaa domain

显示当前所有配置域信息。

show aaa domain [default | domain-name]

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#25351;定显示默认的域信息

domain-name

显?#23616;?#23450;域名的域信息

缺省配置

 

命令模式

 

特权模式。

使用指导

 

如果不指定域名,则显示所有的域信息。

配置举例

 

下面的示例显?#23616;?#23450;域名为domain.com的域信息。

Ruijie# show aaa domain domain.com

=============Domain domain.com=============

State: Active

Username format: Without-domain

Access limit: No limit

802.1X Access statistic: 0

Selected method list:

authentication dot1x default

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

平台说明

 

命令历史

版本号

说明

1.4.9 username-format

在域配置模式下配置NAS与服务器交互时用户名中是否携带域信息,该命令的no?#25351;?#25104;默认配置。

username-format {without-domain | with-domain}

no username-format

?#38382;?#35828;明

?#38382;?/b>

描述

without-domain

剥离域信息

with-domain

不剥离域信息

缺省配置

 

缺省情况下不剥离域信息。

命令模式

 

域配置模式。

使用指导

 

在域配置模式下,配置NAS针对指定域与服务器交互时,用户名中是否携带域信息。

配置举例

 

下面的示例演示设置剥离域信息:

Ruijie(config)# aaa domain ruijie.com

Ruijie(config-aaa-domain)# username-domain without-domain

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa domain enable

打开基于域名的AAA服务开关

show aaa domain

显示域配置

平台说明

 

命令历史

版本号

说明

配置AAA命令之审计相关命令

?#38382;?#35828;明

?#38382;?/b>

描述

level

要进行记?#35828;?#21629;令级别,范围0~15,决定哪个级别的命令执行时,需要记录信息。

default

使用该?#38382;?#21017;后面定义的方法列表作为命令记?#35828;?#40664;认方法。

list-name

定义一个命令记?#35828;?#26041;法列表,可以是任何字符串。

method

必须“nonegroup”所列关键字之一,一个方法列表最多有4个方法:

none

不进行记账

group

使用服务器组进行记账,目前支持TACACS+服务器组

缺省配置

 

关闭记?#20351;?#33021;

命令模式

 

全局配置模式。

使用指导

 

RGOS只有在用户通过了登录?#29616;?#21518;,才会启用命令记账功能,如果用户登录时未进行?#29616;?#25110;?#29616;?#37319;用的方法为none,则?#25442;?#36827;行命令记账。启用记账功能后,在用户每次执行指定级别的命令后,将所执行的命令信息,发送给安全服务器。

配置了命令记账方法后,必须将其应用在需要进行命令记?#35828;?#32456;端线路上,否则将不生效。

配置举例

 

下面的示例使用TACACS+对用户执行的命令请求进行记帐,要求记?#35828;?#21629;令级别为15级:

Ruijie(config)# aaa accounting commands 15 default start-stop group tacacs+

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authentication

定义AAA身份?#29616;?/p>

accounting commands

在终端线路上应用命令记账

平台说明

 

命令历史

版本号

说明

1.3.2 aaa accounting exec

出于管理用户活动,需要对用户登录NAS的访问活动进行记帐,请执行全局配置命令aaa accounting exec。该命令的no?#38382;?#21462;消Exec记?#20351;?#33021;。

aaa accounting exec {default | list-name} start-stop method1 [method2…]

no aaa accounting exec {default | list-name}

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#21017;后面定义的方法列表作为Exec记?#35828;?#40664;认方法。

list-name

定义一个Exec记?#35828;?#26041;法列表,可以是任何字符串。

method

必须“nonegroup”所列关键字之一,一个方法列表最多有4个方法

none

不进行记账

group

使用服务器组进行记账,目前支持RADIUS和TACACS+服务器组

缺省配置

 

关闭记?#20351;?#33021;

命令模式

 

全局配置模式。

使用指导

 

RGOS只有在用户通过了登录?#29616;?#21518;,才会启用Exec记账功能,如果用户登录时未进行?#29616;?#25110;?#29616;?#37319;用的方法为none,则?#25442;?#36827;行Exec记账。

启用记账功能后,在用户登录到NAS的CLI界面时候,发送记账开始(Start)信息给安全服务器,在用户退出登录的时候,发送记账结束(Stop)信息给安全服务器。如果一个用户在登录时没有发出Start信息,在退出登录时也?#25442;?#21457;出Stop信息。

配置了Exec记账方法后,必须将其应用在需要进行命令记?#35828;?#32456;端线路上,否则将不生效。

配置举例

 

下面的示例使用RADIUS对用户登录NAS的活动进行记帐,并在开始和结束时发送记?#26102;?#25991;:

Ruijie(config)# aaa accounting exec default start-stop group radius

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authentication

定义AAA身份?#29616;?/p>

accounting commands

在终端线路上应用Exec记账

平台说明

 

命令历史

版本号

说明

1.3.3 aaa accounting network

出于网络费用的统计或管理用户活动,需要对用户的访问活动进行记帐,请执行全局配置命令aaa accounting network。该命令的no?#38382;?#21462;消网络记?#20351;?#33021;。

aaa accounting network {default | list-name} start-stop method1 [method2…]

no aaa accounting network {default | list-name}

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#21017;后面定义的方法列表作为Network记?#35828;?#40664;认方法。

list-name

记?#21490;?#27861;列表名。

start-stop

在用户访问活动开始和结束?#26412;?#21457;送记?#26102;?#25991;,开?#25216;欽时?#25991;无论是否成功启用记帐,都允许用户开始进行网络访问。

method

必须下表所列关键字之一,一个方法列表最多有4个方法

none

不进行记帐

group

使用服务器组进行记账,目前支持RADIUS和TACACS+服务器组

缺省配置

 

关闭记?#20351;?#33021;

命令模式

 

全局配置模式。

使用指导

 

RGOS通过给安全服务器发送记录属性对来用户活动进行记?#30465;?#20351;用关键字start-stop,制定用户记帐选项。

配置举例

 

下面的示例使用RADIUS对用户的网络服务请求进行记帐,并在开始和结束时发送记?#26102;?#25991;:

Ruijie(config)# aaa accounting network default start-stop group radius

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization network

定义AAA网络授权

aaa authentication

定义AAA身份?#29616;?/p>

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.3.4 aaa accounting update

要启用记帐更新功能,请执行全局配置命令aaa accounting update命令,该命令用于使能全局记帐更新。使用该命令的no选项关闭记帐更新功能。

aaa accounting update

no aaa accounting update

?#38382;?#35828;明

?#38382;?/b>

描述

缺省配置

 

记帐更新功能缺省关闭。

命令模式

 

全局配置模式。

使用指导

 

如果没有启用AAA安全服务,则不能使用记帐更新。如果已经启用AAA安全服务,则该命令用设置记帐间隔。

配置举例

 

下面的示例演示设置记帐更新使能。

Ruijie(config)# aaa new-model

Ruijie(config)#

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa accounting network

定义网络记帐的方法列表

平台说明

 

命令历史

版本号

说明

1.3.5 aaa accounting update periodic

已经启用记帐更新功能,请执行全局配置命令aaa accounting update periodic命令,该命令用于设置记帐更?#24405;?#38548;。使用该命令的no选项配置默认的记帐更?#24405;?#38548;。

aaa accounting update periodic interval

no aaa accounting update periodic

?#38382;?#35828;明

?#38382;?/b>

描述

interval

记帐更?#24405;?#38548;,以分钟为单位,最小为1分钟。

缺省配置

 

5 minutes。

命令模式

 

全局配置模式。

使用指导

 

如果没有启用AAA安全服务,则不能使用记帐更新。如果已经启用AAA安全服务,则该命令用设置记帐间隔。

配置举例

 

下面的示例演示设置每隔1分钟记帐更新。

Ruijie(config)# aaa new-model

Ruijie(config)# aaa accounting update

Ruijie(config)# aaa accounting update periodic 1

相关命令

命令

描述

aaa new-model

打开AAA安全服务

aaa accounting network

定义网络记帐的方法列表

平台说明

 

命令历史

版本号

说明

1.3.6 accounting commands

要将命令记账列表应用在指定终端线路上,执行线路配置模式命令accounting commands。该命令的no?#38382;?#21462;消线路上命令记账功能。

accounting commands level {default | list-name}

no accounting commands level

?#38382;?#35828;明

?#38382;?/b>

描述

level

要进行记?#35828;?#21629;令级别,范围0~15,决定哪个级别的命令需要进行记账。

default

使用该?#38382;?#24212;用命令记?#35828;?#40664;认方法。

list-name

应用一个已定义的命令记?#35828;?#26041;法列表。

缺省配置

 

关闭记?#20351;?#33021;

命令模式

 

线路配置模式。

使用指导

 

默认的命令记账方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认命令记账方法列表,将取代默认的方法列表。如果试?#21152;?#29992;未定义的方法列表,则会给出一个警告提示信息,该线路上的命令记账将?#25442;?#29983;效,直至定义了该命令记账方法列表才会生效。

配置举例

 

下面的示例配置一个名为cmd的命令记账列表,针对15级命令进行记账,使用TACACS+作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:

Ruijie(config)# aaa accounting commands 15 cmd group tacacs+ none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# accounting commands 15 cmd

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa accounting commands

定义AAA命令记账方法列表

平台说明

 

命令历史

版本号

说明

1.3.7 accounting exec

要将Exec记账列表应用在指定终端线路上,执行线路配置模式命令accounting exec。该命令的no?#38382;?#21462;消线路上Exec记账功能。

accounting exec {default | list-name}

no accounting exec

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#24212;用Exec记?#35828;?#40664;认方法。

list-name

应用一个已定义的Exec记?#35828;?#26041;法列表。

缺省配置

 

关闭记?#20351;?#33021;

命令模式

 

线路配置模式。

使用指导

 

默认的Exec记账方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认Exec记账方法列表,将取代默认的方法列表。如果试?#21152;?#29992;未定义的方法列表,则会给出一个警告提示信息,该线路上的Exec记账将?#25442;?#29983;效,直至定义了该Exec记账方法列表才会生效。

配置举例

 

下面的示例配置一个名为exec-1的Exec记账列表,使用RADIUS作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:

Ruijie(config)# aaa accounting exec exec-1 group radius none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# accounting exec exec-1

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa accounting commands

定义AAA Exec记账方法列表

平台说明

 

命令历史

版本号

说明

配置AAA命令之授权相关命令

aaa authorization commands

对于已登录到NAS的CLI界面上的用户,要使用要AAA命令授权功能对用户执行的命令进行授权,允许或禁止某个用户执行具体的命令。请执行全局配置命令aaa authorization commands。该命令的no?#38382;?#20851;闭AAA命令授权功能。

aaa authorization commands level {default | list-name} method1 [method2…]

no aaa authorization commands level {default | list-name}

?#38382;?#35828;明

?#38382;?/b>

描述

level

要进行授权的命令级别,范围0~15,决定哪个级别的命令需要授权通过后才能执?#23567;?/p>

default

使用该?#38382;?#21017;后面定义的方法列表作为命令授权的默认方法

list-name

定义一个命令授权的方法列表,可以是任何字符串。

method

必须是“none、group”所列关键字之一,一个方法列表最多有4个方法

none

不进行授权

group

使用服务器组进行授权,目前支持TACACS+服务器组

缺省配置

 

关闭AAA命令授权功能。

命令模式

 

全局配置模式。

使用指导

 

RGOS支持对用户可执行的命令进行授权,当用户输入并试图执行某条命令时,AAA将该命令发送到安全服务器上,如果安全服务器允许执行该命令,则该命令被执行,否则该命令不执行,并会给出执行命令被拒绝的提示。

配置命令授权的时候需要指定命令的级别,这个级别是命令的默认级别(例如,某命令对于14级以上用户可见,则该命令的默认级别就是14级?#27169;?/p>

配置了命令授权方法后,必须将其应用在需要进行命令授权的终端线路上,否则将不生效。

配置举例

 

下面的示例使用TACACS+服务器对15级命令进行授权:

Ruijie(config)# aaa authorization commands 15 default group tacacs+

相关命令

命令

描述

aaa new-model

使能AAA安全服务

authorization commands

在终端线路上应用命令授权

平台说明

 

命令历史

版本号

说明

1.2.2 aaa authorization config-commands

要使用AAA对配置模式(包括全局配置模式及其子模式)下的命令进行授权,执行全局配置命令aaa authorization config-commands。该命令的no?#38382;?#20851;闭AAA对配置模式下的命令的授权功能。

aaa authorization config-commands

no aaa authorization config-commands

?#38382;?#35828;明

?#38382;?/b>

描述

缺省配置

 

默认不对配置模式下命令的进行授权。

命令模式

 

全局配置模式。

使用指导

 

如果只对非配置模式(如特权模式)下的命令进行授权,可以使用该命令的no模式关闭配置模式的授权功能,则配置模式及其子模式下的命令不需要进行命令授权就可以执?#23567;?/p>

配置举例

 

下面的示例打开对配置模式下命令的授权功能:

Ruijie(config)# aaa authorization config-commands

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization commands

定义AAA命令授权

平台说明

 

命令历史

版本号

说明

1.2.3 aaa authorization console

要使用AAA对通过控制台登录的用户,所执行的命令进行授权,执行全局配置命令aaa authorization console。该命令的no?#38382;?#20851;闭AAA对对通过控制台登录的用户所执行命令的授权功能。

aaa authorization console

no aaa authorization console

?#38382;?#35828;明

?#38382;?/b>

描述

缺省配置

 

默认不对控制台用户执行的命令进行授权。

命令模式

 

全局配置模式。

使用指导

 

RGOS支持区分通过控制台登录和其他终端登录的用户,可以设置控制台登录的用户,是否需要进行命令授权。如果关闭了控制台的命令授权功能,则已经应用到控制台线路的命令授权方法列表将不生效。

配置举例

 

下面的示例配置控制台登录用户的命令授权功能:

Ruijie(config)# aaa authorization console

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization commands

定义AAA命令授权

authorization commands

在终端线路上应用命令授权

平台说明

 

命令历史

版本号

说明

1.2.4 aaa authorization exec

要使用AAA对登录到NAS的CLI界面的用户进行Exec授权,赋予其权限级别,执行全局配置命令aaa authorization exec。该命令的no?#38382;?#20851;闭AAA Exec的授权功能。

aaa authorization exec {default | list-name} method1 [method2…]

no aaa authorization exec {default | list-name}

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#21017;后面定义的方法列表作为Exec授权的默认方法。

list-name

定义一个Exec授权的方法列表,可以是任何字符串。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行授权

none

不进行授权

group

使用服务器组进行授权,目前支持RADIUS和TACACS+服务器组

缺省配置

 

关闭AAA Exec授权功能。

命令模式

 

全局配置模式。

使用指导

 

RGOS支持对登录到NAS的CLI界面的用户进行授权,赋予其CLI权限级别(0~15级)。目前是对于通过了Login?#29616;?#30340;用户,才进行Exec授权。如果Exec授权失败,则无法进入CLI界面。

配置了Exec授权方法后,必须将其应用在需要进行Exec授权的终端线路上,否则将不生效。

配置举例

 

下面的示例使用RADIUS服务器进行Exec授权:

Ruijie(config)# aaa authorization exec default group radius

相关命令

命令

描述

aaa new-model

使能AAA安全服务

authorization exec

在终端线路上应用授权

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.2.5 aaa authorization network

要使用AAA对访问网络用户的服务请求(包括PPP、SLIP等协议)进行授权,执行全局配置命令aaa authorization network。该命令的no?#38382;?#20851;闭AAA的授权功能。

aaa authorization network {default | list-name} method1 [method2…]

no aaa authorization network {default | list-name}

?#38382;?#35828;明

?#38382;?/b>

描述

default

:使用该?#38382;?#21017;后面定义的方法列表作为Network授权的默认方法。

method

必须是“none、group”所列关键字之一,一个方法列表最多有4个方法

none

不进行网络授权

group

使用服务器组进行授权,目前支持RADIUS和TACACS+服务器组

缺省配置

 

关闭AAA Network授权功能。

命令模式

 

全局配置模式。

使用指导

 

RGOS支持?#36816;?#26377;网络有关的服务请求如PPP、SLIP等协议进行授权。如果配置了授权,则?#36816;?#26377;的?#29616;?#29992;户或接口自动进行授权。

可以指定三种不同的授权方法,与身份?#29616;?#19968;样,只有当前的授权方法没有响应,才能继续使用后面的方法进行授权,如果当前授权方法失败,则不再使用其他后继的授权方法。

RADIUS或TACACS+服务器是通过返回一系列的属性对来完成对?#29616;?#29992;户的授权。所以网络授权是建立在?#29616;?#30340;基础?#31995;模?#21482;有?#29616;?#36890;过了才有可能获取网络授权。

配置举例

 

下面的示例使用RADIUS服务器对网络服务进行授权:

Ruijie(config)# aaa authorization network default group radius

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa accounting

定义AAA记帐

aaa authentication

定义AAA身份?#29616;?/p>

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.2.6 authorization commands

要将命令授权列表应用在指定终端线路上,执行线路配置模式命令 authorization commands。该命令的no?#38382;?#21462;消线路上命令授权功能。

authorization commands level {default | list-name}

no authorization commands level

?#38382;?#35828;明

?#38382;?/b>

描述

level

要进行授权的命令级别,范围0~15,决定哪个级别的命令需要授权通过后才能执?#23567;?/p>

default

使用该?#38382;?#24212;用命令授权的默认方法。

list-name

应用一个已定义的命令授权的方法列表。

缺省配置

 

未配置AAA命令授权功能。

命令模式

 

线路配置模式。

使用指导

 

默认的命令授权方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认命令授权方法列表,将取代默认的方法列表。如果试?#21152;?#29992;未定义的方法列表,则会给出一个警告提示信息,该线路上的命令授权将?#25442;?#29983;效,直至定义了该命令授权方法列表才会生效。

配置举例

 

下面的示例配置一个名为cmd的命令授权列表,针对15级命令进行授权,使用TACACS+作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:

Ruijie(config)# aaa authorization commands 15 cmd group tacacs+ none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# authorization commands 15 cmd

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization commands

定义AAA命令授权方法列表

平台说明

 

命令历史

版本号

说明

1.2.7 authorization exec

要将Exec授权列表应用在指定终端线路上,执行线路配置模式命令 authorization exec。该命令的no?#38382;?#21462;消线路上Exec授权功能。

authorization exec {default | list-name}

no authorization exec

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#24212;用Exec授权的默认方法。

list-name

应用一个已定义的Exec授权的方法列表。

缺省配置

 

未配置AAA Exec授权功能。

命令模式

 

线路配置模式。

使用指导

 

默认的Exec授权方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认Exec授权方法列表,将取代默认的方法列表。如果试?#21152;?#29992;未定义的方法列表,则会给出一个警告提示信息,该线路上的Exec授权将?#25442;?#29983;效,直至定义了该Exec授权方法列表才会生效。

配置举例

 

下面的示例配置一个名为exec-1的Exec授权列表,使用RADIUS作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:

Ruijie(config)# aaa authorization exec exec-1 group radius none

Ruijie(config)# line vty 0 4

Ruijie(config-line)# authorization exec exec-1

相关命令

命令

描述

aaa new-model

使能AAA安全服务

aaa authorization commands

定义AAA Exec授权方法列表

平台说明

 

命令历史

版本号

说明

配置AAA命令之?#29616;?#30456;关命令

aaa authentication dot1x

要使用AAA进行802.1X用户?#29616;ぃ?#35831;执行全局配置命令aaa authentication dot1x 配置802.1X用户?#29616;?#30340;方法列表。该命令的no ?#38382;?#21024;除802.1X用户?#29616;?#30340;方法列表。

aaa authentication dot1x {default | list-name} method1 [method2…]

no aaa authentication dot1x {default | list-name}

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#21017;后面定义的方法列表作为802.1X用户?#29616;?#30340;默认方法。

list-name

定义一个802.1X用户?#29616;?#30340;方法列表,可以是任何字符串。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行?#29616;?/p>

none

不进行?#29616;?/p>

group

使用服务器组进行?#29616;ぃ?#30446;前支持RADIUS服务器组

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

如果设备启用AAA 802.1X安全服务,用户就必须使用AAA进行802.1X用户?#29616;?#21327;商。您必须使用aaa authentication dot1x命令配置默认的或可选的方法列表用于802.1X用户?#29616;ぁ?/p>

只有前面的方法没有响应,才能使用后面的方法进行?#29616;ぁ?/p>

配置举例

 

下面的示例定义一个名为rds_d1x的AAA 802.1X用户?#29616;?#26041;法列表。该?#29616;?#26041;法列表先使用RADIUS安全服务器进行?#29616;ぃ?#22914;果在一定时限内没有收到RADIUS安全服务器的应答,则使用本地用户数据库进行?#29616;ぁ?/p>

Ruijie(config)# aaa authentication dot1x rds_d1x group radius local

相关命令

命令

描述

aaa new-model

使用AAA安全服务

dot1x authentication

在802.1X协议上关联特定方法列表

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.1.2 aaa authentication enable

要使用AAA进行Enable?#29616;ぃ?#35831;执行全局配置命令aaa authentication enable配置Enable?#29616;?#30340;方法列表。该命令的no ?#38382;?#21024;除?#29616;?#30340;方法列表。

aaa authentication enable default method1 [method2…]

no aaa authentication enable default

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#21017;后面定义的方法列表作为Enable?#29616;?#30340;默认方法。Enable?#29616;?#26159;基于全?#20540;娜现ぃ?#30446;前只支持设置默认的?#29616;?#26041;法列表。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行?#29616;?/p>

none

不进行?#29616;?/p>

group

使用服务器组进行?#29616;ぃ?#30446;前支持RADIUS和TACACS+服务器组

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

如果设备启用AAA Enable?#29616;?#26381;务,用户就必须使用AAA进行Enable?#29616;?#21327;商。您必须使用aaa authentication enable命令配置默认的方法列表用于Enable?#29616;ぁ?/p>

只有前面的方法没有响应,才能使用后面的方法进行身份?#29616;ぁ?/p>

Enable?#29616;?#26041;法列表配置以后,Enable?#29616;?#21151;能自动生效。

配置举例

 

下面的示例定义AAA Enable身份?#29616;?#26041;法列表。该?#29616;?#26041;法列表先使用RADIUS安全服务器进行身份?#29616;ぃ?#22914;果在一定时限内没有收到RADIUS安全服务器的应答,则使用本地用户数据库进行身份?#29616;ぁ?/p>

Ruijie(config)# aaa authentication enable default group radius local

相关命令

命令

描述

aaa new-model

使用AAA安全服务

enable

切换用户级别

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.1.3 aaa authentication login

要使用AAA进行Login(登录)?#29616;ぃ?#35831;执行全局配置命令aaa authentication login配置Login?#29616;?#30340;方法列表。该命令的no ?#38382;?#21024;除?#29616;?#30340;方法列表。

aaa authentication login {default | list-name} method1 [method2…]

no aaa authentication login {default | list-name}

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#21017;后面定义的方法列表作为Login?#29616;?#30340;默认方法。

list-name

定义一个Login?#29616;?#30340;方法列表,可以是任何字符串。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行身份?#29616;?/p>

none

不进行身份?#29616;?/p>

group

使用服务器组进行身份?#29616;ぃ?#30446;前支持RADIUS和TACACS+服务器组

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

如果设备启用AAA登录?#29616;?#23433;全服务,用户就必须使用AAA进行Login?#29616;?#21327;商。您必须使用aaa authentication login命令配置默认的或可选的方法列表用于Login?#29616;ぁ?/p>

只有前面的方法没有响应,才能使用后面的方法进行身份?#29616;ぁ?/p>

设置了Login?#29616;?#26041;法后,必须将其应用在需要进行Login?#29616;?#30340;终端线路上,否则将不生效。

配置举例

 

下面的示例定义一个名为list-1的AAA Login?#29616;?#26041;法列表。该?#29616;?#26041;法列表先使用RADIUS安全服务器进行?#29616;ぃ?#22914;果在一定时限内没有收到RADIUS安全服务器的应答,则使用本地用户数据库进行?#29616;ぁ?/p>

Ruijie(config)# aaa authentication login list-1 group radius local

相关命令

命令

描述

aaa new-model

使用AAA安全服务

username

定义本地用户数据库

login authentication

在终端线路上应用Login?#29616;?/p>

平台说明

 

命令历史

版本号

说明

1.1.4 aaa authentication ppp

要使用AAA进行PPP用户?#29616;ぃ?#35831;执行全局配置命令aaa authentication ppp配置PPP用户?#29616;?#30340;方法列表。该命令的no ?#38382;?#21024;除?#29616;?#30340;方法列表。

aaa authentication ppp {default | list-name} method1 [method2…]

no aaa authentication ppp {default | list-name}

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#21017;后面定义的方法列表作为PPP用户?#29616;?#30340;默认方法。

list-name

定义一个PPP用户?#29616;?#30340;方法列表,可以是任何字符串。

method

必须是“local、none、group”所列关键字之一,一个方法列表最多有4个方法

local

使用本地用户名数据库进行?#29616;?/p>

none

不进行身份?#29616;?/p>

group

使用服务器组进行?#29616;ぃ?#30446;前支持RADIUS和TACACS+服务器组

缺省配置

 

命令模式

 

全局配置模式。

使用指导

 

如果设备启用AAA PPP安全服务,用户就必须使用AAA进行PPP用户?#29616;?#21327;商。您必须使用aaa authentication ppp命令配置默认的或可选的方法列表用于PPP用户?#29616;ぁ?/p>

只有前面的方法没有响应,才能使用后面的方法进行?#29616;ぁ?/p>

配置举例

 

下面的示例定义一个名为rds_ppp的AAA PPP?#29616;?#26041;法列表。该?#29616;?#26041;法列表先使用RADIUS安全服务器进行?#29616;ぃ?#22914;果在一定时限内没有收到RADIUS安全服务器的应答,,则使用本地用户数据库进行?#29616;ぁ?/p>

Ruijie(config)# aaa authentication ppp rds_ppp group radius local

相关命令

命令

描述

aaa new-model

使用AAA安全服务

ppp authentication

PPP协议关联特定方法列表

username

定义本地用户数据库

平台说明

 

命令历史

版本号

说明

1.1.5 login authentication

要在指定的终端线路上应用Login(登录)?#29616;?#21151;能,请在线路配置模式下执行login authentication命令应用Login?#29616;?#30340;方法列表。该命令的no ?#38382;?#21024;除?#29616;?#30340;方法列表在该线路上的应用。

login authentication {default | list-name}

no login authentication

?#38382;?#35828;明

?#38382;?/b>

描述

default

使用该?#38382;?#24212;用Login?#29616;?#30340;默认方法列表。

list-name

应用一个已定义的Login?#29616;?#30340;方法列表。

缺省配置

 

命令模式

 

线路配置模式。

使用指导

 

默认的Login?#29616;?#26041;法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认Login?#29616;?#26041;法列表,将取代默认的方法列表。如果试?#21152;?#29992;未定义的方法列表,则会给出一个警告提示信息,该线路上的Login?#29616;?#23558;?#25442;?#29983;效,直至定义了该Login?#29616;?#26041;法列表才会生效。

配置举例

 

下面的示例定义一个名为list-1的AAA Login?#29616;?#26041;法列表。该?#29616;?#26041;法列表使用本地用户数据库进行?#29616;ぁ?#28982;后将该方法应用在VTY 0 – 4上。

Ruijie(config)# aaa authentication login list-1 local

Ruijie(config)# line vty 0 4

Ruijie(config-line)# login authentication list-1

相关命令

命令

描述

aaa new-model

使用AAA安全服务

username

定义本地用户数据库

login authentication

配置Login?#29616;?#26041;法列表

平台说明

 

命令历史

版本号

说明

AAA之authorization

AAA authorization enable you to limit the services to a user.
named method list (命名方法列表)for a authorization.
method lists for authorization define the way authorization will be performed
and sequence in which these method will be perform.
method lists are specific to the authorization type(?#29616;?#31867;型) requested:
auth-proxy->应用指定的安全策略,基于每用户。
commands ->应用到exec模式命令给user执行,commands 授权attempts authorization for all  exec mode command,including 全局,associated with a specific privilege level.
exec–>应用到与用户terminal session联?#26723;?#23646;性。
network->应用到network connection,包括ppp,slip,或arap连接。
reverse access–>应用到反向telnet会话。
当你要生成一个named method list 你是在定义详细的authorization list给指定的授权类型:
tacacs+ ,用塔克斯给其授权。
if-authenticated–>如果user验证通过了,那么它即被授权了。
none–>无需授权。
local–>用定义?#35828;膗sername授权。
radius–>radius给其授权。
1. aaa authorization {auth-proxy | network |exec | command level |reverse-access |
configuration | ip moblie} {default|list-name} [method1[method2…]
//建立一个授权method list给一个paticular授权type and enable 授权。
line [aux|console|tty|vty] 线号 [ending线号]

int 接口代号
//进入你想应用授权method list的line或接口。
2.authorization {arap | command level |exec|reverse-access} {default|list-name}

ppp authorization {default|list-name}
应用authorization list 到line或接口。
关授权:
config)#no aaa authorization config-commands
给反向telnet授权:
aaa authorization reverse-access method1 [method2…]

cisco AAA服务器配置和充备配置

No Comments CISCO , ,

AAA代表AuthenticationAuthorizationAccounting,意为?#29616;ぁ?#25480;权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络?#35797;?#30340;用户进行记?#30465;?/strong>
1
?#29616;ぃ?#39564;证用户是否可以获得访问权限——“你是谁?
2
授权:授权用户可以使用哪些?#35797;?/strong>——“你能干什么?
3
记帐:记录用户使用网络?#35797;吹那?#20917;——“你干了些什么?
好?#27169;?#31616;单的了解理论知识后,接下来我们?#25925;?#20197;实验的方式来进行讲解:
为网络提供AAA服务?#27169;?#20027;要有TACACS+RADIUS协议,我们主要介绍是TACACS+协议,因为它运行在TCP协议基础之上,更适合大型网络,特别是融合型网络
一、 实验拓扑介绍
clip_image001
该实验主要完成R1路由通过ACS服务器实现AAA?#29616;ぃ?#21253;括验证、授权和记帐,同?#34987;?#21253;括PPP验证和计时通过cisco ACS实验
二、 安装cisco ACS
1
硬软件要求
?#24067;?/strong>Pentium IV 处理器, 1.8 GHz 或者更高
操作系统:Windows 2000 Server
Windows 2000 Advanced Server (Service Pack 4)
Windows Server 2003
Enterprise Edition or Standard
Edition (Service Pack 1)
内存:最小1GB
虚拟内存:最小1GB
?#25165;?#31354;间:最小1GB可用空间,?#23548;?#22823;小根据日志文件的增长,复制和备份的需求而定。
浏览器:Microsoft Internet Explorer 6 或者更高版本
JAVA
运行环境:Sun JRE 1.4.2_04 或更高版本
网络要求:
CISCO IOS 设备上为了全面的支持TACACS+ RADIUSAAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。
CISCO IOS 设备上必须用TACACS+RADIUS或者两者一起配置。
运行ACS的主机必须能ping通所有的AAA客户端。
2
安装方法(我们用的版本是4.0版本)
打开ACS安装程序文件夹,选中setup 双击。进入安装向导,根据提示进行安装,基本为默认设置
3
安装完成后的访问
在运行ACS的主机上,通过桌面上的ACS Admin 网页图标,可以访问ACSweb格式的管理台。也可以通过网?#20805;?#35272;器输入地址:http://127.0.0.1:2002 来访问ACS
注:
l Windows Xp不支持cisco ACS,在此?#25910;?#26159;在虚机中的windows2003sever下安装的
l ACS安装完成后,一定要安装JAVA平台,否则该ACS将不能正常使用,?#25910;?#22312;此安装的是jre-6u12-windows-i586-p-s.exe,版本为JRE 版本 1.6.0_12 Java HotSpot(TM)
三、 ACS的配置
1
设置ACS管理?#38381;?#21495;
Step 1>
点击ACS界面左边的Administration control 按钮 ,然后点击Administrator control界面中的Add Administrator
clip_image002
Step 2>
点击Add administrator 后出现此账户的诸多选项,逐一填写后点击Submit
clip_image003
Step3>
设置了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置
如:http://10.10.10.110:2002
2
ACS网络设置(添加Tacacs+客户端
Step1>
点击ACS界面的Network Configuration按钮 ,出现网络配置界面,然后点击Add Entry,
clip_image004
Step2>
添加Tacacs+客户端(ACS中必须指定Tacacs+客户?#35828;?#21517;字、IP地址、key
clip_image005
3
Tacacs+设置
Step1>
点击ACS界面左边Interface configuration 按钮 ,选择TACACS+ (Cisco IOS)
clip_image006
Step2>
根据个人具体应用,在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中,则在用户组/用户属性中将?#25442;?#20986;现tacacs+相关项目)
clip_image007
clip_image008
4
设备端tacacs+服务器的指定
cisco设备端用以下命令指定ACS tacacs+服务器
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
5
添加用户组
Step1>
ACS界面左边点击Group Setup
clip_image009
Step2>
在下拉列表中选取某个组,给这个组重命名,接着选择Edit setting进入组的属性配置
Step3>
在组的enable option 中的Max privilege for any AAA Client设置组的级别
6
添加用户
Step1>
ACS界面的左边点击user setup 按钮
clip_image010
Step2>
user方框中填写用户名,然后点击ADD/Edit
Step3>
在出现的用户属性中逐一填写
clip_image011
Step4>
选择用户属于哪个用户组
clip_image012
Step5>
选择用户属于的级别(可以定义单个用户级别,也可以和所属的用户组级别一样)
clip_image013
Step6>
设置用户的enable 密码
clip_image014
好?#27169;?#21040;这里基本配置就算是配完了,接下来我们来演示一下AAA功能的实现
四、 ACS功能设置
1
ACS?#29616;?/strong>
a)
在设备端定义tacacs+服务器地址以及key
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
b)
ACS端定义设备的IP地址(参考ACS基本配置)
c)
ACS上面建立用户名和用户组
d)
在设备端配置AAA?#29616;?/strong>
R1(config)# enable secret 123 ‘
定义enable密码
R1(config)# username abc password 456 ‘
定义本地数据库
R1(config)# aaa new-model???? ‘
启用AAA?#29616;?/strong>
R1(config)# aaa authentication login default group tacacs+ local ‘
设置登陆验证默认为采用先ACS服务器再本地验证(当ACS服务器不可达才用本地数据库验证)
R1(config)# aaa authentication enable default group tacacs+ enable ‘
设置enable进入特权模式默认为采用先ACS服务器再本地enable设置的密码
R1(config)# line vty 0 4
R1(config)# login authentication default ‘
设置telnet登陆采用前面定义的default
e)
验证
l telnet登陆:telnet 10.10.10.100,输入ACS服务器的用户名和密码,登陆成功,用本地数据库用户名和密码登陆失败(因为根据前面设置,R1首先会去ACS服务器进行验证,当ACS服务器不可达时,才会用本地数据库验证)
clip_image015
我们可以试着断开ACS与路由的连接,然后再进行登陆,这时则必须用本地数据库验证,也就是用户名为abc 密码为456
l enable进入特权测试
clip_image016
此时输入特权模式密码为ACS服务器上的密码,而非本地路由的enable密码
2
ACS授权
ACS
中可以通过设置用户组/用户的级别privilege来实现不同用户登录设备后可用的命令的不同,也可以通过使用ACS的命令授权来实现不同用户登录设备的可用命令条目,以下介绍ACS的命令授权
Step1>
ACS的界面左边的share profile components按钮
clip_image017
Step2>
点击shell command authorization sets
clip_image018

30选5玩法