2022年配置AAA命令 .pdf

配置 AAA 命令http:/ 配置 AAA 命令身份认证相关命令aaa authentication aaa authentication 要使用AAA 进行用户认证，请执行全局配置命令aaa authentication配置用户认证的方法列表。该命令的no 形式删除用户认证的方法列表。aaa authentication dot1x|enable|ppp|login default|list-name method1 method2.no aaa authentication dot1x|enable|ppp|login default|list-name 【参数说明】default：使用该参数，则后面定义身份方法列表作为用户认证的默认方法。list-name：定义一个登录身份认证的方法列表，可以是任何字符串。dot1x：Dot1x 用户enable：Enable 用户ppp：PPP 用户login：Login 用户method：必须为表1 所列关键字之一，一个方法列表最多有4 个方法。表 1 AAA 用户身份认证方法关键字描述local 使用本地用户名数据库进行身份认证none 不进行身份认证group 使 用 服 务 器 组 进 行 身 份 认 证，目 前 支 持RADIUS服务器组【缺省情况】名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 13 页 -配置 AAA 命令http:/ 如果没有配置默认的default 方法列表，等同于配置方法aaa authentication dot1x|enable|ppp|login default group radius【命令模式】全局配置模式。【使用指南】如果设备启用AAA 安全服务，用户就必须使用AAA 进行认证协商。您必须使用aaa authentication配置默认的或可选的方法列表用于用户认证。只有前面的方法没有反应，才能使用后面的方法进行身份认证。【举例】下面的示例定义一个名为RDS_D1X的 AAA 身份认证方法列表。该认证方法列表先使用RADIUS 安全服务器进行身份认证，如果RADIUS 安全服务器没有反应，则使用本地用户数据库进行身份认证。Ruijie(config)#aaa authentication dot1x rds_d1x group radius local【相关命令】命令说明aaa new-model 使用 AAA 安全服务dot1x authentication 在 DOT1x 接口上关联特定方法列表ppp authentication PPP 关联特定方法列表login authentication Login 关联特定方法列表username 定义本地用户数据库授权相关命令RGNOS 目前支持对网络协议进行授权，包括以下相关命令：aaa authorization network aaa authorization network 要使用AAA 对访问网络用户的服务请求（包括PPP、SLIP 等协议）进行授权，执行全局配置命令aaa authorization network。该命令的no形式关闭AAA 的授权功能。名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 13 页 -配置 AAA 命令http:/ aaa authorization network default|list-name method1 method2.no aaa authorization network default|list-name 【参数说明】method1：必须下表所列关键字之一：关键字描述local 使用本地用户名数据库进行网络授权none 不进行网络授权group 使 用 服 务 器 组 进 行 身 份 认 证，目 前 支 持RADIUS服务器组【缺省情况】关闭 AAA 授权功能。【命令模式】全局配置模式。【使用指南】RGNOS 支持对所有网络有关的服务请求如PPP、SLIP 等协议进行授权。如果配置了授权，则对所有的认证用户或接口自动进行授权。可以指定三种不同的授权方法，与身份认证一样，只有当前的授权方法没有反应，才能继续使用后面的方法进行授权，如果当前授权方法失败，则不再使用其他后继的授权方法。RADIUS服务器是通过返回一系列的属性对来完成对认证用户的授权。所以 RADIUS 授权是建立在RADIUS 认证的基础上的，只有RADIUS 认证通过了才有可能获取RADIUS 授权。【举例】下面的示例使用RADIUS 服务器对网络服务进行授权：Ruijie(config)#aaa authorization network default radius【相关命令】命令说明aaa new-model 使能 AAA 安全服务aaa accounting 定义 AAA 记帐aaa authentication 定义 AAA 身份认证username 定义本地用户数据库名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 13 页 -配置 AAA 命令http:/ 记帐相关命令RGNOS 目前支持使用RADIUS 进行网络记帐，包括以下相关命令：aaa accounting network aaa accounting update aaa accounting update periodic show aaa method-list debug aaa aaa accounting network 出于网络费用的统计或管理用户活动，需要对用户的访问活动进行记帐，请执行全局配置命令aaa accounting network。该命令的no 形式取消记帐功能。aaa accounting network default|list-name start-stop group radius no aaa accounting network default|list-name 【参数说明】network：对网络相关的服务请求进行记帐，包括DOT1X，PPP 等。resource：对资源相关进行记帐。list-name：记帐方法列表名。start-stop：在用户访问活动开始和结束时均发送记帐报文，开始记帐报文无论是否成功启用记帐，都允许用户开始进行网络访问。group：使用服务器组记帐radius：使用 RADIUS 服务器组进行记帐【缺省情况】关闭记帐功能【命令模式】全局配置模式。【使用指南】RGNOS通过给安全服务器发送记录属性对来用户活动进行记帐。使用关键字 start-stop，制定用户记帐选项。【举例】名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 13 页 -配置 AAA 命令http:/ 下面的示例使用RADIUS对用户的网络服务请求进行记帐，并在开始和结束时发送记帐报文：Ruijie(config)#aaa accounting network start-stop group radius【相关命令】命令说明aaa new-model 使能 AAA 安全服务aaa authorization network 定义 AAA 网络授权aaa authentication 定义 AAA 身份认证username 定义本地用户数据库aaa accounting update 要启用记帐更新功能，请执行全局配置命令aaa accounting update命令，该命令用于使能全局记帐更新。使用该命令的no 选项关闭记帐更新功能。aaa accounting update no aaa accounting update【参数说明】无参数【缺省情况】记帐更新功能缺省关闭。【命令模式】全局配置模式。【使用指南】如果没有启用AAA 安全服务，则不能使用记帐更新。如果已经启用AAA安全服务，则该命令用设置记帐间隔。【举例】下面的示例演示设置记帐更新使能。Ruijie(config)#aaa new-model Ruijie(config)#【相关命令】名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页，共 13 页 -配置 AAA 命令http:/ 命令说明aaa new-model 打开 AAA 安全服务aaa accounting network 定义网络记帐的方法列表aaa accounting update periodic 已经启用记帐更新功能，请执行全局配置命令aaa accounting update periodic命令，该命令用于设置记帐更新间隔。使用该命令的no 选项配置默认的记帐更新间隔。aaa accounting update periodicinterval no aaa accounting update periodic【参数说明】interval：记帐更新间隔，以分钟为单位，最小为1 分钟。【缺省情况】5 minutes。【命令模式】全局配置模式。【使用指南】如果没有启用AAA 安全服务，则不能使用记帐更新。如果已经启用AAA安全服务，则该命令用设置记帐间隔。【举例】下面的示例演示设置每隔1 分钟记帐更新。Ruijie(config)#aaa new-model Ruijie(config)#aaa accounting updateRuijie(config)#aaa accounting update periodic 1【相关命令】命令说明aaa new-model 打开 AAA 安全服务aaa accounting network 定义网络记帐的方法列表名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 13 页 -配置 AAA 命令http:/ show aaa method-list 要查看当前所有用户方法列表，请执行特权EXEC命令show aaa methold-list。show aaa method-list【参数说明】没有关键字和参数。【命令模式】特权 EXEC 配置模式。【举例】Ruijie#show aaa method-list AAA 服务器组命令show aaa group aaa group server server ip-addr authen-port port1 acct-port port2 ip vrf forwarding show aaa group 显示 AAA 配置的所有服务器组。show aaa group【参数说明】该命令没有参数或关键字。【缺省情况】无【命令模式】特权模式。【使用指南】该命令显示AAA 所有已配制的服务器组。【举例】名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 13 页 -配置 AAA 命令http:/ 下面示例。Ruijie#show aaa group Group Name:ss Group Type:radius Referred:2 Server List:IP Address:192.168.217.64 Authentication Port:1812 Accounting Port:1813 Referred:1 Ruijie#【相关命令】命令说明aaa group server 配置 AAA 服务器组aaa group server 进入 AAA 服务器组配置模式。该命令的no 形式删除服务器组。aaa group server radiusname no aaa group server radiusname【参数说明】name：服务器组的取名，目前不能为关键字”radius”，”tacacs+”【命令模式】全局配置模式。【使用指南】该命令配置AAA 服务器组，目前支持Radius 服务器组。【举例】下面示例。Ruijie(config)#aaa group server radius ss Ruijie(config-gs-radius)#endRuijie#show aaa group Group Name:ss Group Type:radius Referred:1 Server List:Ruijie#名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 13 页 -配置 AAA 命令http:/【相关命令】命令说明show aaa group 显示 aaa 服务器组server ip-addr authen-port port1 acct-port port2 添加 AAA 服务器组的服务器，no 形式删除。serverip-addr authen-portport1 acct-portport2 no serverip-addr authen-portport1 acct-portport2 【参数说明】ip-addr：服务器ip 地址port1：服务器认证端口port2：服务器记账端口【缺省情况】无服务器配置【命令模式】服务器组配置模式。【使用指南】往指定服务器中添加服务器，不指定端口时使用默认值。【举例】下面示例。Ruijie(config)#aaa group server radius ss Ruijie(config-gs-radius)#server192.168.4.12 acct-port 5 authen-port 6 Ruijie(config-gs-radius)#end Ruijie#show aaa group Group Name:ss Group Type:radius Referred:2 Server List:IP Address:192.168.4.12 Authentication Port:6 Accounting Port:5 Referred:1 Ruijie#名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 13 页 -配置 AAA 命令http:/【相关命令】命令说明aaa group server 配置 aaa 服务器组show aaa group 显示 aaa 服务器组ip vrf forwarding为 AAA 服务器组选择vrf，no 形式删除。ip vrf forwardingvrf_name no ip vrf forwarding【参数说明】vrf_name：vrf 名字【缺省情况】无【命令模式】服务器组配置模式。【使用指南】为指定服务器组选择vrf。【举例】下面示例。Ruijie(config)#aaa group server radius ssRuijie(config-gs-radius)#server 192.168.4.12Ruijie(config-gs-radius)#server192.168.4.13 Ruijie(config-gs-radius)#ip vrf forwardingvrf_name Ruijie(config-gs-radius)#end Ruijie#【相关命令】命令说明aaa group server 配置 aaa 服务器组show aaa group 显示 aaa 服务器组名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 13 页 -配置 AAA 命令http:/ AAA 其他命令aaa new-model debug aaa show aaa method-list aaa new-model 要使用RGNOS的 AAA安全服务功能，请执行全局配置命令aaa new-model使能 AAA。该命令的no 形式关闭AAA 安全服务。aaa new-model no aaa new-model【参数说明】该命令没有参数或关键字。【缺省情况】关闭 AAA 安全服务【命令模式】全局配置模式。【使用指南】该命令是AAA 的使能命令，如果您要使用AAA 安全服务，就必须使用aaa new-model使能 AAA 安全服务。如果没有启用AAA，则所有AAA命令将是不可配置的。【举例】下面的示例使能AAA 安全服务。Ruijie(config)#aaa new-model【相关命令】命令说明aaa authentication 定义用户认证方法列表debug aaa 打开 AAA 服务调试开关。该命令的no 形式关闭调试开关。名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 13 页 -配置 AAA 命令http:/ debug aaa no debug aaa【参数说明】无参数或关键字。【命令模式】特权 EXEC 配置模式。show aaa method-list 显示 AAA 所有的方法列表。show aaa method-list【参数说明】该命令没有参数或关键字。【缺省情况】无【命令模式】特权模式。【使用指南】该命令显示AAA 所有的方法列表。【举例】下面的示例显示AAA 方法列表。Ruijie#show aaa method-list Authentication method-list aaa authentication login default group radius aaa authentication ppp default group radius aaa authentication dot1x default group radius aaa authentication dot1x san-f local group angel group rain none aaa authentication enable default group radius Accounting method-list aaa accounting network default start-stop group radius Authorization method-list aaa authorizating network default group radius Ruijie#【相关命令】名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 13 页 -配置 AAA 命令http:/ 命令说明aaa authentication 定义用户认证方法列表aaa authorization 定义用户授权方法列表aaa accounting 定义用户记帐方法列表名师资料总结-精品资料欢迎下载-名师精心整理-第 13 页，共 13 页 -