AAA认证配置

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进行读取分析，从而实现对用户使用网络资源的情况进行记账、统计、跟踪。

?说明

部分产品的AAA仅提供认证功能。所有涉及产品规格的问题，可以通过向福建星网锐捷网络有限公司市场人员或技术支援人员咨询得到。

尽管AAA是最主要的访问控制方法，锐捷产品同时也提供了在AAA范围之外的简单控制访问，如本地用

户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样，AAA提供更高级别的安全保护。 使用AAA有以下优点：

? 灵活性和可控制性强 ? 可扩充性 ? 标准化认证 ? 多个备用系统

44.1.1 AAA基本原理

AAA可以对单个用户（线路）或单个服务器动态配置身份认证、授权以及记账类型。通过创建方法列表来

定义身份认证、记账、授权类型，然后将这些方法列表应用于特定的服务或接口。

44.1.2 方法列表

由于对用户进行认证、授权和记账可以使用不同的安全方法，您需要使用方法列表定义一个使用不同方法

对用户进行认证、授权和记账的前后顺序。方法列表可以定义一个或多个安全协议，这样可以确保在第一个方法失败时，有备用系统可用。锐捷产品使用方法列表中列出的第一个方法时，如果该方法无应答，则选择方法列表中的下一个方法。这个过程一直持续下去，直到与列出的某种安全方法成功地实现通信或用完方法列表。如果用完方法列表而还没有成功实现通信，则该安全功能宣告失败。

?注意 只有在前一种方法没有应答的情况下，锐捷产品才会尝试下一种方法。例如在身 份认证过程中，某种方法拒绝了用户访问，则身份认证过程结束，不再尝试其他的身份认证方法。

图 11. 典型的AAA网络配置图

上图说明了一个典型的AAA网络配置，它包含两台安全服务器：R1和R2是RADIUS服务

器。 假设系统管理员已定义了一个方法列表，在这个列表中，R1首先被用来获取身份信息，然

后是R2，最后是访问服务器上的本地用户名数据库。如果一个远程PC用户试图拨号进入网络，网络访问服务器首先向R1查询身份认证信息，假如用户通过了R1的身份认证，R1将向网络访问服务器发出一个ACCEPT应答，这样用户即获准访问网络。如果R1返回的是REJECT应答，则拒绝用户访问网络，断开连接。如果R1无应答，网络访问服务器就将它看作TIMEOUT，并向R2查询身份认证信息。这个过程会一直在余下的指定方法中持续下去，直到用户通过身份认证、被拒绝或对话被中止。如果所有的方法返回TIMEOUT，则认证失败，连接将被断开。

REJECT应答不同于TIMEOUT应答。REJECT意味着用户不符合可用身份认证数据库中包含的标准，从而未能通过身份认证，访问请求被拒绝。TIMEOUT则意味着

安全服务器对身份认证查询未作应答，当检测到一个TIMEOUT时，AAA选择身份认证方法列表中定义的下一个身份认证方法将继续进行身份认证过程。

?注意

?说明

在本文中，与AAA安全服务器相关的认证、授权和记账配置，均以RADIUS为例，而与TACACS+有关的内容请另外参考“配置TACACS+”。

44.2 AAA配置基本步骤

首先您必须决定要采用哪种安全解决方案，而且需要评估特定网络中的潜在安全风险，并选

择适当的手段来阻止未经授权的访问。我们建议，在可能的情况下，尽量使用AAA确保网络安全。 44.2.1 AAA配置过程概述

如果理解了AAA运作的基本过程，配置AAA就相对简单了。在锐捷网络设备上配置AAA

地步骤如下：

? 启用AAA，使用全局配置层命令aaa new-model。

? 如果决定使用安全服务器，请配置安全协议的参数，如RADIUS。 ? 定义身份认证方法列表，使用aaa authentication命令。 ? 如有需要，可将该方法列表应用于特定的接口或线路。

?注意 在应用特定方法列表时，如果没有明确指定使用命名的方法列表，则使用默认的 身份认证方法列表进行身份认证。

因此，如果不准备使用默认的身份认证方法列表，则需要指定特定的方法列表。

对于本章中使用的命令的完整描述，请参见安全配置命令参考中的相关章节。 44.2.2 启用AAA

要使用AAA安全特性，必须首先启用AAA。 要启用AAA，在全局配置模式下执行以下命令： Step 1

aaa new-model 命令 启用AAA 作用 44.2.3 停用AAA

要停用AAA，在全局配置模式下执行以下命令： Step 1

no aaa new-model 命令 停用AAA 作用 44.2.4 后续的配置过程

启用AAA以后，便可以配置与安全方案相关的其他部分，下表说明了可能要完成的配置任

务以及相关内容所在的章节。 AAA访问控制安全解决方案方法

配置任务 配置RADIUS安全协议参数 配置本地登录(Login)身份认证 定义认证方法列表 将方法列表应用于特定的接口或线路 启用RADIUS授权 启用RADIUS记账 2 3 4 5 6 7 步骤 所在章节 配置RADIUS 配置认证 配置认证 配置认证 配置授权 配置记账 如果使用AAA实现身份认证，请参考“配置认证”中的相关部分。

44.3 配置认证

身份认证是在允许用户使用网络资源以前对其进行识别，在大多数情况下，身份认证是通过

AAA安全特性来实现的。我们建议，在可能的情况下，最好使用AAA来实现身份认证。 44.3.1 定义AAA认证方法列表

要配置AAA身份认证，首先得定义一个身份认证方法的命名列表，然后各个应用使用已定

义列表进行认证。方法列表定义了身份认证的类型和执行顺序。对于已定义的身份认证方法，必须有特定的应用才会被执行。默认方法列表是唯一的例外。所有应用在未进行配置时使用默认方法列表。

方法列表仅是定义将要被依次查询的、并用于认证用户身份的一系列安全方法。方法列表使您能够指定一个或多个用于身份认证的安全协议，这样确保在第一种方法失败的情况下，可以使用身份认证备份系统。我司产品使用第一种方法认证用户的身份，如果该方法无应答，将选择方法列表中的下一种方法。这个过程一直持续下去，直到与列出的某种身份认证方法成功地实现通信或用完方法列表。如果用完方法列表而还没有成功实现通信，则身份认证宣告失败。

?注意 只有在前一种方法没有应答的情况下，锐捷产品才会尝试下一种方法。如果在身 份认证过程中，某种方法拒绝了用户访问，则身份认证过程结束，不再尝试其他的身份认证方法。

44.3.2 方法列表举例

在典型AAA网络配置图中，它包含2个服务器：R1和R2是RADIUS服务器。假设系统管

理员已选定一个安全解决方案，NAS认证采用一个身份认证方法对Telnet连接进行身份认证：首先使用R1对用户进行认证，如果无应答，则使用R2进行认证；如果R1、R2都没有应答，则身份认证由访问服务器的本地数据库完成，要配置以上身份认证列表，执行以下命令： Step 1 Step 2

aaa authentication login default group radius local configure terminal 命令 进入全局配置模式 配置一个默认身份认证方法列表，其中“default”是方法列表的名称。这个方法列表中包含的协议，按照它们将被查询的顺序排列在名称之后。为所有应用的默认方法列表。 作用 如果系统管理员希望该方法列表仅应用于一个特定的Login连接，必须创建一个命名方法列

表，然后将它应用于特定的连接。下面的例子说明了如何将身份认证方法列表仅应用于线路2： Step 1 Step 2 Step 3 Step 4 Step 5

configure terminal aaa new-model aaa authentication login test group radius local line vty 2 login authentication test 命令 进入全局配置模式 打开AAA开关 在全局配置模式下，定义了一个名为“test”的方法列表。 进入线路2配置层 在line配置模式下，将名为“test”方法列表应用于线路。 作用 当远程PC用户试图Telnet访问网络设备(NAS)，NAS首先向R1查询身份认证信息，假如

用户通过了R1的身份认证，R1将向NAS发出一个ACCEPT应答，这样用户即获准访问网络。如果R1返回的是REJECT应答，则拒绝用户访问网络，断开连接。如果R1无应答，NAS就将它看作TIMEOUT，并向R2查询身份认证信息。这个过程会一直在余下的指定方法中持续下去，直到用户通过身份认证、被拒绝或对话被中止。如果所有的服务器(R1、R2)返回TIMEOUT，则认证由NAS本地数据库完成。

REJECT应答不同于TIMEOUT应答。REJECT意味着用户不符合可用的身份认证数据库中包含的标准，从而未能通过身份认证，访问请求被拒绝。TIMEOUT则意味

着安全服务器对身份认证查询未作应答，当验证TIMEOUT时，AAA选择认证方法列表中定义的下一个认证方法继续进行认证过程。

?注意 44.3.3 认证类型

我司产品目前支持以下认证类型：

? Login（登录）认证 ? Enable认证 ? PPP认证

? DOT1X（IEEE802.1x）认证 ? Web认证

其中Login认证针对的是用户终端登录到NAS上的命令行界面（CLI），在登录时进行身份

认证；Enable认证针对的是用户终端登录到NAS上的CLI界面以后，提升CLI执行权限时进行认证；PPP认证针对PPP拨号用户进行身份认证；DOT1X认证针对IEEE802.1x接入用户进行身份认证。Web认证时针对内置ePortal的情况下进行身份认证。 44.3.4 配置AAA身份认证的通用步骤

要配置AAA身份认证，都必须执行以下任务：

? 使用aaa new-model 全局配置命令启用AAA。

? 如果要使用安全服务器，必须配置安全协议参数，如RADIUS和TACACS+。具体

的配置请参见“配置RADIUS和“配置TACACS+”。

? 使用aaa authentication 命令定义身份认证方法列表。 ? 如果可能，将方法列表应用于某个特定的接口或线路。

?注意 我司产品DOT1X认证目前不支持TACACS+。

44.3.5 配置AAA Login认证

本节将具体介绍如何配置锐捷产品所支持的AAA Login（登录）身份认证方法：

?注意

只有在全局配置模式下执行aaa new-model 命令启用AAA，AAA安全特性才能进

行配置使用（下同）。关于更详细的内容，请参见“AAA概述”。

在很多情况下，用户需要通过Telnet访问网络访问服务器(NAS)，一旦建立了这种连接，就

可以远程配置NAS，为了防止网络未经授权的访问，要对用户进行身份认证。 AAA安全服务使网络设备对各种基于线路的Login（登录）身份认证变得容易。不论您要决

定使用哪种Login认证方法，只要使用aaa authentication login命令定义一个或多个身份认证方法列表，并应用于您需要进行Login认证的特定线路就可以了。 要配置AAA Login认证，在全局配置模式下执行以下命令： Step 1

configure 命令 terminal 作用 Step 2 Step 3 Step 4 Step 5

aaa new-model aaa authentication login {default | list-name} method1 [method2...] line vty line-num login authentication {default | list-name} 启用AAA。 定义一个认证方法列表，如果需要定义多个方法列表，重复执行该命令。 进入您需要应用AAA身份认证的线路。 将方法列表应用线路。 关键字list-name用来命名创建身份认证方法列表，可以是任何字符串；关键字method指

的是认证实际算法。仅当前面的方法返回ERROR（无应答），才使用后面的其他认证方法；如果前面的方法返回FAIL(失败)，则不使用其他认证方法。为了使认证最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个认证方法。 例如，在下例中，即使RADIUS服务器超时(TIMEOUT)，仍然能够通过身份认证：aaa

authentication login default group radius none

由于关键字none使得拨号的任何用户在安全服务器没有应答情况下都能通过身份认证，所以仅将它作为备用的身份认证方法。我们建议：一般情况下，不要使用none身份认证，在特殊情况下，如所有可能的拨号用户都是可信任的，而且

用户的工作不允许有由于系统故障造成的耽搁，可以在安全服务器无应答的情况下，将none作为最后一种可选的身份认证方法，建议在none认证方法前加上本地身份认证方法。

关键字 local none group radius group tacacs+ 描述 使用本地用户名数据库进行身份认证 不进行身份认证 使用RADIUS服务器组进行身份认证 使用TACACS+服务器组进行身份认证

?注意 Step 1 Step 2 Step 3 Step 4

上表列出了锐捷产品支持的AAA Login认证方法。

44.3.5.1使用本地数据库进行Login认证

要配置使用本地数据库进行Login认证时，首先需要配置本地数据库，锐捷产品支持基于本

地数据库的身份认证，建立用户名身份认证，请在全局配置模式下，根据具体需求执行以下命令： Step 1 Step 2 Step 3 Step 4

configure terminal username name [password password] end show running-config 命令 进入全局配置模式 建立本地用户，设置口令 退出到特权模式 确认配置 作用 定义本地Login认证方法列表并应用认证方法列表，可使用以下命令： Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10

configure terminal aaa new-model aaa authentication login {default | list-name} local end show aaa method-list configure terminal line vty line-num login authentication {default | list-name} end show running-config 命令 进入全局配置模式 打开AAA开关 定义使用本地认证方法 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 作用 44.3.5.2使用RADIUS进行Login认证

要配置用RADIUS服务器进行Login认证，首先要配置RADIUS服务器。配置RADIUS服

务器，请在全局配置模式下，根据具体需求执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5

configure terminal aaa new-model radius-server hostip-address [auth-portport] [acct-port port] end show radius server 命令 进入全局配置模式 打开AAA开关 配置RADIUS服务器 退出到特权模式 显示RADIUS服务器 作用 配置好RADIUS服务器后，在配置RADIUS进行身份认证以前，请确保与RADIUS安全服

务器之间已经成功进行了通信，有关RADIUS服务器配置的信息，请参见“配置RADIUS”。 现在就可以配置基于RADIUS服务器的方法列表了，在全局配置模式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model aaa authentication login {default | list-name} group radius 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS认证方法 作用 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10

end show aaa method-list configure terminal line vtyline-num login authentication {default | list-name} end show running-config 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 44.3.6 配置AAA Enable认证

本节将具体介绍如何配置锐捷产品所支持的AAA Enable认证方法：

在很多情况下，用户需要通过Telnet等方法访问网络访问服务器(NAS)，在进行了身份认证

以后，就可以进入命令行界面（CLI），此时会被赋予一个初始的执行CLI命令的权限（0~15级）。不同的级别，可以执行的命令是不同的，可以使用showprivilege命令查看当前的级别。关于更详细的内容，请参见“使用命令行界面”。 如果登录到命令行界面后，由于初始权限过低，不能执行某些命令，则可以使用enable命

令来提升权限。为了防止网络未经授权的访问，在提升权限的时候，需要进行身份认证，即Enable认证。 要配置AAA Enable认证，在全局配置模式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model aaa authentication enable default method1 [method2...] 命令 进入全局配置模式 启用AAA。 定义一个Enable认证方法列表，可以指定采用的认证方法，例如RADIUS。 作用 Enable认证方法列表全局只能定义一个，因此不需要定义方法列表的名称；关键字method

指的是认证实际方法。仅当前面的方法返回ERROR（无应答），才使用后面的其他身份方法；如果前面的方法返回FAIL(失败)，则不使用其他认证方法。为了使认证最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个认证方法。 Enable认证方法配置以后立即自动生效。此后，在特权模式下执行enable命令的时候，如

果要切换的级别比当前级别要高，则会提示进行认证。如果要切换的级别小于或等于当前级别，则直接切换，不需要进行认证。

如果进入CLI界面的时候经过了Login身份认证（none方法除外），将记录当前使用的用户名。此时，进行Enable认证的时候，将不再提示输入用户名，直接使用与Login认证相同的用户名进行认证，注意输入的口令要与之匹配。 如果进入CLI界面的时候没有进行Login认证，或在Login认证的时候使用了none方法，将不会记录用户名信息。此时，如果进行Enable认证，将会要求重新输入用户名。这个用户名信息不会被记录，每次进行Enable认证都要重新输入。

?注意

一些认证方法，在认证时可以绑定安全级别。这样，在认证过程中，除了根据安全协议返回

的成功或失败的应答外，还需要检查绑定的安全级别。如果服务协议能绑定安全级别，则需要在认证时校验绑定的级别。如果绑定的级别大于或等于要切换的目的级别，则Enable认证成功，并切换到目的级别；而如果绑定的级别小于要切换的目的级别，则Enable认证失败，提示失败信息，维持当前的级别不变。如果服务协议不能绑定安全级别，则不校验绑定的级别，就可以切换到目的级别。

(可选)表示需读者留心关注的重要信息，用“注意栏”的形式提醒读者认真对待此部分内容，严格遵照其中的要求操作或使用。若读者忽略此内容，可能会因误 操作而导致不良后果或无法成功操作。如产品限制信息，包括芯片差异导致的功能缺陷、功能之间的互斥信息、实现上的缺陷等等都需用“注意栏”的形式来描述。

?注意 目前能够绑定安全级别的认证方法只有RADIUS和本地认证，因此只对这两种方法进行检

查，如果采用其他认证方法则不进行检查。

44.3.6.1使用本地数据库进行Enable认证

使用本地数据库进行Enable认证时，可以在设置本地用户时，为用户设置权限级别。如果

没有设置，则默认的用户级别为1级。要配置使用本地数据库进行Enable身份认证时，首先需要配置本地数据库，并为用户设置权限级别，请在全局配置模式下，根据具体需求执行以下命令： Step 1 Step 2 Step 3 Step 4

configure terminal usernamename [password password] username name [privilege level] end 命令 进入全局配置模式 建立本地用户，设置口令 为用户设置权限级别（可选） 退出到特权模式 作用

Step 5

show running-config 确认配置 定义本地Enable认证方法列表，可使用以下命令： Step 1 Step 2 Step 3 Step 4 Step 5 Step 6

configure terminal aaa new-model aaa authentication enable default local end show aaa method-list show running-config 命令 进入全局配置模式 打开AAA开关 定义使用本地认证方法 退出到特权模式 确认配置的方法列表 确认配置 作用 44.3.6.2使用RADIUS进行Enable认证

标准的RADIUS服务器可以通过Service-Type属性（标准属性号为6）绑定权限，可以指

定1级或15级权限；锐捷扩展的RADIUS服务器（例如SAM）可以设置设备管理员的级别（私有属性号为42），可以指定0~15级权限。有关RADIUS服务器配置的信息，请参见“配置RADIUS”中的“指定RADIUS私有属性类型”章节。 要配置用RADIUS认证服务器进行Enable认证，首先要配置RADIUS服务器，然后再配置

基于RADIUS服务器的Enable方法列表。在全局配置模式下执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5 Step 6

configure terminal aaa new-model aaa authentication enable default group radius end show aaa method-list show running-config 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS认证方法 退出到特权模式 确认配置的方法列表 确认配置 作用 44.3.7 配置PPP用户使用AAA认证

PPP协议是提供在点到点链路上承载网络层数据包的一种链路层协议。在很多情况下，用

户需要通过异步或ISDN拨号访问NAS（网络访问服务器），一旦建立了这种连接，将启动PPP协商，为了防止网络未经授权的访问，PPP在协商过程中要对拨号用户进行身份认证。 本节将具体介绍如何配置我司产品所支持的AAA PPP认证方法，要配置AAA PPP认证，

在全局配置模式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model aaa authentication ppp {default | list-name}method1 [method2...] interfaceinterface-type interface-number ppp authentication {chap | pap} {default | list-name} 命令 进入全局配置模式 启用AAA。 定义一个PPP认证方法列表，可以指定采用的认证方法，目前支持RADIUS和TACACS+远程认证，以及使用本地数据库进行认证。 进入需要应用AAA身份认证的异步或ISDN接口。 将身份认证方法列表应用于异步或ISDN接口。 作用 Step 4 Step 5

PPP协议更具体的配置方式参见“PPP、MP协议配置”中相关章节。 44.3.8 配置802.1x用户使用AAA认证

IEEE802.1x（Port-Based Network Access Control）是一个基于端口的网络存取控制标准，

为LAN提供点对点式的安全接入，提供一种对连接到局域网设备的用户进行认证的手段。 本节将具体介绍如何配置我司产品所支持的802.1x认证方法，要配置802.1x认证，在全局

配置模式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model 命令 进入全局配置模式 启用AAA。 作用 定义一个IEEE802.1x认证方法列表，可以指定aaa authentication dot1x {default | list-name} 采用的认证方法，目前支持RADIUS远程认证，method1 [method2...] 以及使用本地数据库进行认证。 dot1x authentication list-name 802.1x应用认证方法列表。 Step 4

IEEE802.1x协议更具体的配置方式参见“802.1x配置”中相关章节。 44.3.9 配置web认证使用AAA

Web认证提供一种对连接到局域网设备的用户进行认证的手段。

本节将具体介绍如何配置我司产品所支持的web认证方法，要配置web认证，在全局配置

模式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model 命令 进入全局配置模式 启用AAA。 作用 定义一个web认证方法列表，可以指定采用的aaa authentication web {default | list-name} 认证方法，目前支持RADIUS远程认证，以及使method1 [method2...] 用本地数据库进行认证。 Web认证更具体的配置方式参见“web认证配置”中相关章节。 44.3.10 配置web认证账号共享

默认情况下，一个账号在同一个时间只允许一个IP使用，但是可以设置允许多个IP共享同

一个账号，关闭账号共享的情况下，后登陆的账号有效。 要打开账号共享功能，请按照如下步骤： Step 1 Step 2 Step 3

命令 Ruijie# configure terminal Ruijie(config)# aaa local user allow public account Ruijie(config)# show web-auth local-portal 作用 进入全局配置模式。 允许账号共享，默认关闭 查看Web认证配置信息和统计信息。 配置举例(设置允许账号共享)：

Ruijie# configure terminal

Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)# aaa local user allow public account Ruijie(config)# show web-auth local-portal

44.3.11 配置认证示例

下面示例演示如何配置网络设备，使用“RADIUS+本地身份”进行认证。

Ruijie(config)# aaa new-model

Ruijie(config)# usernameRuijiepasswordstarnet

Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test

Ruijie(config)# aaa authentication logintest group radius local Ruijie(config)# aaa authentication webportal group radius local Ruijie(config)# web-auth authentication portal

Ruijie(config)# line vty0

Ruijie(config-line)# login authentication test

Ruijie(config-line)# end Ruijie# show running-config !

aaa new-model ! !

aaa authentication login test group radius local aaa authentication web portal group radius local aaa local user allow public account

username Ruijie password 0 starnet !

radius-server host 192.168.217.64 radius-server key 7 093b100133 !

web-auth authenticationportal ！

line con 0 line vty 0

login authentication test line vty 1 4 ! !

上面例子中，访问服务器和web认证都使用RADIUS服务器（IP为192.168.217.64）对用

户进行认证，如果RADIUS服务器没有应答，则使用本地数据库进行身份认证。 44.3.12 终端服务应用下认证示例

在终端服务的应用环境下，终端接到设备的异步串口上，再通过IP网络连接到网络中心服

务器进行业务作业。但是，如果打开了AAA功能，则所有的线路都需要进行登录（Login）认证，那么终端需要先通过了设备的登录认证，才能连接到服务器，这样对终端服务的业务产生了影响。我们可以通过配置将两种线路分开，既让使用终端服务的线路不进行登录认证，直接连接服务器；同时连接到本设备的线路又可以使用登录认证来保证设备的安全。即：设置一个终端服务专用的登录认证列表，但认证方法为none；然后将这个登录认证列表应用在打开终端服务的线路上（其他可以连接到本地的线路不变）；这样该终端就不需要进行本地的登录认证了。配置步骤如下：

Ruijie(config)# aaa new-model

Ruijie(config)# usernameRuijiepasswordstarnet

Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test

Ruijie(config)# aaa authentication logintest group radius local Ruijie(config)# aaa authentication loginterms none Ruijie(config)# line tty1 4

Ruijie(config-line)# login authentication terms Ruijie(config-line)# exit Ruijie(config)# line tty5 16

Ruijie(config-line)# login authentication test Ruijie(config-line)# exit Ruijie(config)# line vty0 4

Ruijie(config-line)# login authentication test Ruijie(config-line)# end

Ruijie# show running-config !

aaa new-model ! !

aaa authentication login test group radius local aaa authentication login terms none username Ruijie password 0 starnet !

radius-server host 192.168.217.64 radius-server key 7 093b100133 !

line con 0 line aux 0 line tty 1 4

login authentication terms line tty 5 16

login authentication test line vty 0 4

login authentication test ! !

上面例子中，访问服务器使用RADIUS服务器（IP为192.168.217.64）对登录的用户进行

认证，如果RADIUS服务器没有应答，则使用本地数据库进行身份认证。我们使用tty 1-4作为终端服务使用的线路，不需要登录认证，而其他tty和vty线路需要进行登录认证。

44.4 配置授权

AAA授权使管理员能够对用户可使用的服务或权限进行控制。启用AAA授权服务以后，网

络设备通过本地或服务器中的用户配置文件信息对用户的会话进行配置。完成授权以后，该用户只能使用配置文件中允许的服务或只具备许可的权限。 44.4.1 授权类型

锐捷产品目前支持以下AAA授权类型：

? Exec授权

? Command（命令）授权 ? Network（网络）授权

其中Exec授权针对的是用户终端登录到NAS上的CLI界面时，授予用户终端的权限级别

（分为0~15级）；命令授权针对的是用户终端登录到NAS上的CLI界面以后，针对具体命令的执行授权；而网络授权针对的是授予网络连接上的用户会话可使用的服务。

?说明 命令授权功能目前仅TACACS+协议支持，具体内容请参考“配置TACACS+”。

44.4.2 授权的准备工作

在配置AAA授权以前，必须完成下述任务：

? 启用AAA服务。关于如何启用AAA服务，请参见“AAA概述”。

? （可选）配置AAA认证。授权一般是在用户通过认证之后进行，但在某些情况下，

没有经过认证也可以单独授权。关于AAA认证的信息，请参见“配置认证”。

? （可选）配置安全协议参数。如果需要使用安全协议进行授权，需要配置安全协

议参数。锐捷产品Network授权支持RADIUS和TACACS+协议，Exec授权支持RADIUS

和TACACS+协议，关于RADIUS协议的信息，请参见“配置RADIUS”，关于TACACS+协议的信息，请参见“配置TACACS+”。

? （可选）如果需要使用本地授权，则需要使用username命令定义用户权限。

44.4.3 配置授权列表

要启用AAA授权，请在全局配置模式下执行以下命令： Step 1 Step 2 Step 3 Step 4

configure terminal aaa new-model aaa authorization exec {default | list-name} method1 [method2|…] aaa authorization network{default | list-name} method1 [method2|…] 命令 进入全局配置模式 打开AAA开关 定义AAA Exec授权方法 定义AAA Network授权方法 作用 44.4.4 配置AAA Exec授权

锐捷产品支持针对登录到网络访问服务器（NAS）的用户终端，授予其执行命令的权限，即

Exec授权。体现为用户登录到NAS的CLI界面时（例如通过Telnet），具备的级别（成功登录后，可以使用show privilege命令查看）。 不论您要决定使用哪种Exec授权方法，只要使用aaa authorization exec命令定义一个或

多个Exec授权方法列表，并应用于您需要进行Exec授权的特定线路就可以了。 要配置AAA Exec授权，在全局配置模式下执行以下命令： Step 1 Step 2 Step 3 Step 4

configure terminal aaa new-model aaa authorization exec {default | list-name} method1 [method2...] line vty line-num 命令 进入全局配置模式 启用AAA。 定义一个授权方法列表，如果需要定义多个方法列表，重复执行该命令。 进入您需要应用AAA Exec授权的线路。 作用 Step 5

authorization exec {default | list-name} 将方法列表应用线路。 关键字list-name用来命名创建授权方法列表，可以是任何字符串；关键字method指的是

授权实际算法。仅当前面的方法返回ERROR（无应答），才使用后面的其他方法；如果前面的方法返回FAIL(失败)，则不使用其他授权方法。为了使授权最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个授权方法。 例如，在下例中，即使RADIUS服务器超时(TIMEOUT)，仍然能够通过Exec授权：aaa

authorization exec default group radius none Step 1 Step 2 Step 3 Step 4

local none group radius group tacacs+ 命令 作用 使用本地用户名数据库进行Exec授权 不进行Exec授权 使用RADIUS服务器组进行Exec授权 使用TACACS+服务器组进行Exec授权 上表列出了锐捷产品支持的AAA Exec授权方法。

Exec授权通常结合Login认证一起使用，并可以在同一个线路上同时使用Login认证和Exec授权。但是要注意，由于授权和认证可以采用不同的方法和不同的

服务器，因此对于相同的用户，认证和授权可能有不同的结果。用户登录时，如果Exec授权失败，即使已经通过了Login认证，也不能进入到CLI界面。

?注意 44.4.4.1使用本地数据库进行Exec授权

要配置使用本地数据库进行Exec授权时，首先需要配置本地数据库。可以在设置本地用户

时，为用户设置权限级别。如果没有设置，则默认的用户级别为1级。请在全局配置模式下，根据具体需求执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5

configure terminal username name [password password] username name [privilege level] end show running-config 命令 进入全局配置模式 建立本地用户，设置口令 为用户设置权限级别（可选） 退出到特权模式 确认配置 作用 定义本地Exec授权方法列表并应用授权方法列表，可使用以下命令： Step 1

configure terminal 命令 进入全局配置模式 作用 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10

aaa new-model aaa authorization exec {default | list-name} local end show aaa method-list configure terminal line vty line-num authorization exec {default | list-name} end show running-config 打开AAA开关 定义使用本地认证方法 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 44.4.4.2使用RADIUS进行Exec授权

要配置用RADIUS服务器进行Exec授权，首先要配置RADIUS服务器，有关RADIUS服

务器配置的信息，请参见“配置RADIUS”。 配置好RADIUS服务器后，就可以配置基于RADIUS服务器的方法列表了，在全局配置模

式下执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10

configure terminal aaa new-model aaa authorization exec {default | list-name} group radius end show aaa method-list configure terminal line vtyline-num authorization exec {default | list-name} end show running-config 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS认证方法 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 作用 44.4.4.3配置Exec授权示例

下例演示如何进行Exec授权。我们设置VTY线路 0~4上的用户登录时采用Login认证，

并且进行Exec授权。其中Login认证采用本地认证，Exec授权先采用RADIUS、如

果没有响应可以采用本地授权。远程RADIUS服务器地址为192.168.217.64，共享密钥为test；本地用户名为ruijie，口令为ruijie，绑定级别是6级。如下：

Ruijie# configure terminal Ruijie(config)# aaa new-model

Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test

Ruijie(config)# username ruijie password ruijie Ruijie(config)# username ruijie privilege 6

Ruijie(config)# aaa authentication login mlist1 local Ruijie(config)# aaa authorization exec mlist2 group radius local Ruijie(config)# line vty 0 4

Ruijie(config-line)# login authentication mlist1 Ruijie(config-line)# authorization exec mlist2 Ruijie(config)# end

Ruijie# show running-config aaa new-model !

aaa authorization exec mlist2 group radius local aaa authentication login mlist1 local !

username ruijie password ruijie username ruijie privilege 6 !

radius-server host 192.168.217.64 radius-server key 7 093b100133 !

line con 0 line vty 0 4

authorization exec mlist2 login authentication mlist1 ! End

44.4.5 配置AAA Network授权

我司产品支持对包括PPP、SLIP等网络连接进行Network（网络）授权，这些网络连接通

过Network授权，可以获得诸如流量、带宽、超时等服务配置。Network授权支持通过RADIUS和TACACS+协议进行，服务器下发的授权信息封装在RADIUS或TACACS+属性里，针对不同的网络连接应用，服务器下发的授权信息可能不相同。

?注意

目前该配置不支持802.1X的AAA 授权，802.1X通过另外的命令完成，具体参见“802.1X配置”。

要配置AAA Network授权，在全局配置模式下执行以下命令： Step 1 Step 2

configure terminal aaa new-model 命令 进入全局配置模式 启用AAA。 作用 Step 3

aaa authorization network {default | list-name} method1 [method2...] 定义一个授权方法列表，如果需要定义多个方法列表，重复执行该命令。 关键字list-name用来命名创建授权方法列表，可以是任何字符串；关键字method指的是

授权实际算法。仅当前面的方法返回ERROR（无应答），才使用后面的其他授权方法；如果前面的方法返回FAIL(失败)，则不使用其他授权方法。为了使授权最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个授权方法。

44.4.5.1使用RADIUS进行Network授权

要配置用RADIUS服务器进行Network授权，首先要配置RADIUS服务器，有关RADIUS

服务器配置的信息，请参见“配置RADIUS”。 配置好RADIUS服务器后，就可以配置基于RADIUS服务器的方法列表了，在全局配置模

式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model aaa authorization network {default | list-name} group radius 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS授权方法。 作用 44.4.5.2配置Network授权示例

下例演示如何进行网络授权。

Ruijie# configure terminal Ruijie(config)# aaa new-model

Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test Ruijie(config)# aaa authorization network test group radius none Ruijie(config)# end

Ruijie# show running-config aaa new-model !

aaa authorization network test group radius none !

radius-server host 192.168.217.64 radius-server key 7 093b100133 !

44.5 配置记账

本文来源：https://www.bwwdw.com/article/q443.html