AAA认证配置

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进行读取分析，从而实现对用户使用网络资源的情况进行记账、统计、跟踪。

?说明

部分产品的AAA仅提供认证功能。所有涉及产品规格的问题，可以通过向福建星网锐捷网络有限公司市场人员或技术支援人员咨询得到。

尽管AAA是最主要的访问控制方法，锐捷产品同时也提供了在AAA范围之外的简单控制访问，如本地用

户名身份认证、线路密码身份认证等。不同之处在于它们提供对网络保护程度不一样，AAA提供更高级别的安全保护。 使用AAA有以下优点：

? 灵活性和可控制性强 ? 可扩充性 ? 标准化认证 ? 多个备用系统

44.1.1 AAA基本原理

AAA可以对单个用户（线路）或单个服务器动态配置身份认证、授权以及记账类型。通过创建方法列表来

定义身份认证、记账、授权类型，然后将这些方法列表应用于特定的服务或接口。

44.1.2 方法列表

由于对用户进行认证、授权和记账可以使用不同的安全方法，您需要使用方法列表定义一个使用不同方法

对用户进行认证、授权和记账的前后顺序。方法列表可以定义一个或多个安全协议，这样可以确保在第一个方法失败时，有备用系统可用。锐捷产品使用方法列表中列出的第一个方法时，如果该方法无应答，则选择方法列表中的下一个方法。这个过程一直持续下去，直到与列出的某种安全方法成功地实现通信或用完方法列表。如果用完方法列表而还没有成功实现通信，则该安全功能宣告失败。

?注意 只有在前一种方法没有应答的情况下，锐捷产品才会尝试下一种方法。例如在身 份认证过程中，某种方法拒绝了用户访问，则身份认证过程结束，不再尝试其他的身份认证方法。

图 11. 典型的AAA网络配置图

上图说明了一个典型的AAA网络配置，它包含两台安全服务器：R1和R2是RADIUS服务

器。 假设系统管理员已定义了一个方法列表，在这个列表中，R1首先被用来获取身份信息，然

后是R2，最后是访问服务器上的本地用户名数据库。如果一个远程PC用户试图拨号进入网络，网络访问服务器首先向R1查询身份认证信息，假如用户通过了R1的身份认证，R1将向网络访问服务器发出一个ACCEPT应答，这样用户即获准访问网络。如果R1返回的是REJECT应答，则拒绝用户访问网络，断开连接。如果R1无应答，网络访问服务器就将它看作TIMEOUT，并向R2查询身份认证信息。这个过程会一直在余下的指定方法中持续下去，直到用户通过身份认证、被拒绝或对话被中止。如果所有的方法返回TIMEOUT，则认证失败，连接将被断开。

REJECT应答不同于TIMEOUT应答。REJECT意味着用户不符合可用身份认证数据库中包含的标准，从而未能通过身份认证，访问请求被拒绝。TIMEOUT则意味着

安全服务器对身份认证查询未作应答，当检测到一个TIMEOUT时，AAA选择身份认证方法列表中定义的下一个身份认证方法将继续进行身份认证过程。

?注意

?说明

在本文中，与AAA安全服务器相关的认证、授权和记账配置，均以RADIUS为例，而与TACACS+有关的内容请另外参考“配置TACACS+”。

44.2 AAA配置基本步骤

首先您必须决定要采用哪种安全解决方案，而且需要评估特定网络中的潜在安全风险，并选

择适当的手段来阻止未经授权的访问。我们建议，在可能的情况下，尽量使用AAA确保网络安全。 44.2.1 AAA配置过程概述

如果理解了AAA运作的基本过程，配置AAA就相对简单了。在锐捷网络设备上配置AAA

地步骤如下：

? 启用AAA，使用全局配置层命令aaa new-model。

? 如果决定使用安全服务器，请配置安全协议的参数，如RADIUS。 ? 定义身份认证方法列表，使用aaa authentication命令。 ? 如有需要，可将该方法列表应用于特定的接口或线路。

?注意 在应用特定方法列表时，如果没有明确指定使用命名的方法列表，则使用默认的 身份认证方法列表进行身份认证。

因此，如果不准备使用默认的身份认证方法列表，则需要指定特定的方法列表。

对于本章中使用的命令的完整描述，请参见安全配置命令参考中的相关章节。 44.2.2 启用AAA

要使用AAA安全特性，必须首先启用AAA。 要启用AAA，在全局配置模式下执行以下命令： Step 1

aaa new-model 命令 启用AAA 作用 44.2.3 停用AAA

要停用AAA，在全局配置模式下执行以下命令： Step 1

no aaa new-model 命令 停用AAA 作用 44.2.4 后续的配置过程

启用AAA以后，便可以配置与安全方案相关的其他部分，下表说明了可能要完成的配置任

务以及相关内容所在的章节。 AAA访问控制安全解决方案方法

配置任务 配置RADIUS安全协议参数 配置本地登录(Login)身份认证 定义认证方法列表 将方法列表应用于特定的接口或线路 启用RADIUS授权 启用RADIUS记账 2 3 4 5 6 7 步骤 所在章节 配置RADIUS 配置认证 配置认证 配置认证 配置授权 配置记账 如果使用AAA实现身份认证，请参考“配置认证”中的相关部分。

44.3 配置认证

身份认证是在允许用户使用网络资源以前对其进行识别，在大多数情况下，身份认证是通过

AAA安全特性来实现的。我们建议，在可能的情况下，最好使用AAA来实现身份认证。 44.3.1 定义AAA认证方法列表

要配置AAA身份认证，首先得定义一个身份认证方法的命名列表，然后各个应用使用已定

义列表进行认证。方法列表定义了身份认证的类型和执行顺序。对于已定义的身份认证方法，必须有特定的应用才会被执行。默认方法列表是唯一的例外。所有应用在未进行配置时使用默认方法列表。

方法列表仅是定义将要被依次查询的、并用于认证用户身份的一系列安全方法。方法列表使您能够指定一个或多个用于身份认证的安全协议，这样确保在第一种方法失败的情况下，可以使用身份认证备份系统。我司产品使用第一种方法认证用户的身份，如果该方法无应答，将选择方法列表中的下一种方法。这个过程一直持续下去，直到与列出的某种身份认证方法成功地实现通信或用完方法列表。如果用完方法列表而还没有成功实现通信，则身份认证宣告失败。

?注意 只有在前一种方法没有应答的情况下，锐捷产品才会尝试下一种方法。如果在身 份认证过程中，某种方法拒绝了用户访问，则身份认证过程结束，不再尝试其他的身份认证方法。

44.3.2 方法列表举例

在典型AAA网络配置图中，它包含2个服务器：R1和R2是RADIUS服务器。假设系统管

理员已选定一个安全解决方案，NAS认证采用一个身份认证方法对Telnet连接进行身份认证：首先使用R1对用户进行认证，如果无应答，则使用R2进行认证；如果R1、R2都没有应答，则身份认证由访问服务器的本地数据库完成，要配置以上身份认证列表，执行以下命令： Step 1 Step 2

aaa authentication login default group radius local configure terminal 命令 进入全局配置模式 配置一个默认身份认证方法列表，其中“default”是方法列表的名称。这个方法列表中包含的协议，按照它们将被查询的顺序排列在名称之后。为所有应用的默认方法列表。 作用 如果系统管理员希望该方法列表仅应用于一个特定的Login连接，必须创建一个命名方法列

表，然后将它应用于特定的连接。下面的例子说明了如何将身份认证方法列表仅应用于线路2： Step 1 Step 2 Step 3 Step 4 Step 5

configure terminal aaa new-model aaa authentication login test group radius local line vty 2 login authentication test 命令 进入全局配置模式 打开AAA开关 在全局配置模式下，定义了一个名为“test”的方法列表。 进入线路2配置层 在line配置模式下，将名为“test”方法列表应用于线路。 作用 当远程PC用户试图Telnet访问网络设备(NAS)，NAS首先向R1查询身份认证信息，假如

用户通过了R1的身份认证，R1将向NAS发出一个ACCEPT应答，这样用户即获准访问网络。如果R1返回的是REJECT应答，则拒绝用户访问网络，断开连接。如果R1无应答，NAS就将它看作TIMEOUT，并向R2查询身份认证信息。这个过程会一直在余下的指定方法中持续下去，直到用户通过身份认证、被拒绝或对话被中止。如果所有的服务器(R1、R2)返回TIMEOUT，则认证由NAS本地数据库完成。

REJECT应答不同于TIMEOUT应答。REJECT意味着用户不符合可用的身份认证数据库中包含的标准，从而未能通过身份认证，访问请求被拒绝。TIMEOUT则意味

着安全服务器对身份认证查询未作应答，当验证TIMEOUT时，AAA选择认证方法列表中定义的下一个认证方法继续进行认证过程。

?注意 44.3.3 认证类型

我司产品目前支持以下认证类型：

? Login（登录）认证 ? Enable认证 ? PPP认证

? DOT1X（IEEE802.1x）认证 ? Web认证

其中Login认证针对的是用户终端登录到NAS上的命令行界面（CLI），在登录时进行身份

认证；Enable认证针对的是用户终端登录到NAS上的CLI界面以后，提升CLI执行权限时进行认证；PPP认证针对PPP拨号用户进行身份认证；DOT1X认证针对IEEE802.1x接入用户进行身份认证。Web认证时针对内置ePortal的情况下进行身份认证。 44.3.4 配置AAA身份认证的通用步骤

要配置AAA身份认证，都必须执行以下任务：

? 使用aaa new-model 全局配置命令启用AAA。

? 如果要使用安全服务器，必须配置安全协议参数，如RADIUS和TACACS+。具体

的配置请参见“配置RADIUS和“配置TACACS+”。

? 使用aaa authentication 命令定义身份认证方法列表。 ? 如果可能，将方法列表应用于某个特定的接口或线路。

?注意 我司产品DOT1X认证目前不支持TACACS+。

44.3.5 配置AAA Login认证

本节将具体介绍如何配置锐捷产品所支持的AAA Login（登录）身份认证方法：

?注意

只有在全局配置模式下执行aaa new-model 命令启用AAA，AAA安全特性才能进

行配置使用（下同）。关于更详细的内容，请参见“AAA概述”。

在很多情况下，用户需要通过Telnet访问网络访问服务器(NAS)，一旦建立了这种连接，就

可以远程配置NAS，为了防止网络未经授权的访问，要对用户进行身份认证。 AAA安全服务使网络设备对各种基于线路的Login（登录）身份认证变得容易。不论您要决

定使用哪种Login认证方法，只要使用aaa authentication login命令定义一个或多个身份认证方法列表，并应用于您需要进行Login认证的特定线路就可以了。 要配置AAA Login认证，在全局配置模式下执行以下命令： Step 1

configure 命令 terminal 作用 Step 2 Step 3 Step 4 Step 5

aaa new-model aaa authentication login {default | list-name} method1 [method2...] line vty line-num login authentication {default | list-name} 启用AAA。 定义一个认证方法列表，如果需要定义多个方法列表，重复执行该命令。 进入您需要应用AAA身份认证的线路。 将方法列表应用线路。 关键字list-name用来命名创建身份认证方法列表，可以是任何字符串；关键字method指

的是认证实际算法。仅当前面的方法返回ERROR（无应答），才使用后面的其他认证方法；如果前面的方法返回FAIL(失败)，则不使用其他认证方法。为了使认证最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个认证方法。 例如，在下例中，即使RADIUS服务器超时(TIMEOUT)，仍然能够通过身份认证：aaa

authentication login default group radius none

由于关键字none使得拨号的任何用户在安全服务器没有应答情况下都能通过身份认证，所以仅将它作为备用的身份认证方法。我们建议：一般情况下，不要使用none身份认证，在特殊情况下，如所有可能的拨号用户都是可信任的，而且

用户的工作不允许有由于系统故障造成的耽搁，可以在安全服务器无应答的情况下，将none作为最后一种可选的身份认证方法，建议在none认证方法前加上本地身份认证方法。

关键字 local none group radius group tacacs+ 描述 使用本地用户名数据库进行身份认证 不进行身份认证 使用RADIUS服务器组进行身份认证 使用TACACS+服务器组进行身份认证

?注意 Step 1 Step 2 Step 3 Step 4

上表列出了锐捷产品支持的AAA Login认证方法。

44.3.5.1使用本地数据库进行Login认证

要配置使用本地数据库进行Login认证时，首先需要配置本地数据库，锐捷产品支持基于本

地数据库的身份认证，建立用户名身份认证，请在全局配置模式下，根据具体需求执行以下命令： Step 1 Step 2 Step 3 Step 4

configure terminal username name [password password] end show running-config 命令 进入全局配置模式 建立本地用户，设置口令 退出到特权模式 确认配置 作用 定义本地Login认证方法列表并应用认证方法列表，可使用以下命令： Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10

configure terminal aaa new-model aaa authentication login {default | list-name} local end show aaa method-list configure terminal line vty line-num login authentication {default | list-name} end show running-config 命令 进入全局配置模式 打开AAA开关 定义使用本地认证方法 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 作用 44.3.5.2使用RADIUS进行Login认证

要配置用RADIUS服务器进行Login认证，首先要配置RADIUS服务器。配置RADIUS服

务器，请在全局配置模式下，根据具体需求执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5

configure terminal aaa new-model radius-server hostip-address [auth-portport] [acct-port port] end show radius server 命令 进入全局配置模式 打开AAA开关 配置RADIUS服务器 退出到特权模式 显示RADIUS服务器 作用 配置好RADIUS服务器后，在配置RADIUS进行身份认证以前，请确保与RADIUS安全服

务器之间已经成功进行了通信，有关RADIUS服务器配置的信息，请参见“配置RADIUS”。 现在就可以配置基于RADIUS服务器的方法列表了，在全局配置模式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model aaa authentication login {default | list-name} group radius 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS认证方法 作用 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10

end show aaa method-list configure terminal line vtyline-num login authentication {default | list-name} end show running-config 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 44.3.6 配置AAA Enable认证

本节将具体介绍如何配置锐捷产品所支持的AAA Enable认证方法：

在很多情况下，用户需要通过Telnet等方法访问网络访问服务器(NAS)，在进行了身份认证

以后，就可以进入命令行界面（CLI），此时会被赋予一个初始的执行CLI命令的权限（0~15级）。不同的级别，可以执行的命令是不同的，可以使用showprivilege命令查看当前的级别。关于更详细的内容，请参见“使用命令行界面”。 如果登录到命令行界面后，由于初始权限过低，不能执行某些命令，则可以使用enable命

令来提升权限。为了防止网络未经授权的访问，在提升权限的时候，需要进行身份认证，即Enable认证。 要配置AAA Enable认证，在全局配置模式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model aaa authentication enable default method1 [method2...] 命令 进入全局配置模式 启用AAA。 定义一个Enable认证方法列表，可以指定采用的认证方法，例如RADIUS。 作用 Enable认证方法列表全局只能定义一个，因此不需要定义方法列表的名称；关键字method

指的是认证实际方法。仅当前面的方法返回ERROR（无应答），才使用后面的其他身份方法；如果前面的方法返回FAIL(失败)，则不使用其他认证方法。为了使认证最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个认证方法。 Enable认证方法配置以后立即自动生效。此后，在特权模式下执行enable命令的时候，如

果要切换的级别比当前级别要高，则会提示进行认证。如果要切换的级别小于或等于当前级别，则直接切换，不需要进行认证。

如果进入CLI界面的时候经过了Login身份认证（none方法除外），将记录当前使用的用户名。此时，进行Enable认证的时候，将不再提示输入用户名，直接使用与Login认证相同的用户名进行认证，注意输入的口令要与之匹配。 如果进入CLI界面的时候没有进行Login认证，或在Login认证的时候使用了none方法，将不会记录用户名信息。此时，如果进行Enable认证，将会要求重新输入用户名。这个用户名信息不会被记录，每次进行Enable认证都要重新输入。

?注意

一些认证方法，在认证时可以绑定安全级别。这样，在认证过程中，除了根据安全协议返回

的成功或失败的应答外，还需要检查绑定的安全级别。如果服务协议能绑定安全级别，则需要在认证时校验绑定的级别。如果绑定的级别大于或等于要切换的目的级别，则Enable认证成功，并切换到目的级别；而如果绑定的级别小于要切换的目的级别，则Enable认证失败，提示失败信息，维持当前的级别不变。如果服务协议不能绑定安全级别，则不校验绑定的级别，就可以切换到目的级别。

(可选)表示需读者留心关注的重要信息，用“注意栏”的形式提醒读者认真对待此部分内容，严格遵照其中的要求操作或使用。若读者忽略此内容，可能会因误 操作而导致不良后果或无法成功操作。如产品限制信息，包括芯片差异导致的功能缺陷、功能之间的互斥信息、实现上的缺陷等等都需用“注意栏”的形式来描述。

?注意 目前能够绑定安全级别的认证方法只有RADIUS和本地认证，因此只对这两种方法进行检

查，如果采用其他认证方法则不进行检查。

44.3.6.1使用本地数据库进行Enable认证

使用本地数据库进行Enable认证时，可以在设置本地用户时，为用户设置权限级别。如果

没有设置，则默认的用户级别为1级。要配置使用本地数据库进行Enable身份认证时，首先需要配置本地数据库，并为用户设置权限级别，请在全局配置模式下，根据具体需求执行以下命令： Step 1 Step 2 Step 3 Step 4

configure terminal usernamename [password password] username name [privilege level] end 命令 进入全局配置模式 建立本地用户，设置口令 为用户设置权限级别（可选） 退出到特权模式 作用

44.4.2 授权的准备工作

在配置AAA授权以前，必须完成下述任务：

? 启用AAA服务。关于如何启用AAA服务，请参见“AAA概述”。

? （可选）配置AAA认证。授权一般是在用户通过认证之后进行，但在某些情况下，

没有经过认证也可以单独授权。关于AAA认证的信息，请参见“配置认证”。

? （可选）配置安全协议参数。如果需要使用安全协议进行授权，需要配置安全协

议参数。锐捷产品Network授权支持RADIUS和TACACS+协议，Exec授权支持RADIUS

和TACACS+协议，关于RADIUS协议的信息，请参见“配置RADIUS”，关于TACACS+协议的信息，请参见“配置TACACS+”。

? （可选）如果需要使用本地授权，则需要使用username命令定义用户权限。

44.4.3 配置授权列表

要启用AAA授权，请在全局配置模式下执行以下命令： Step 1 Step 2 Step 3 Step 4

configure terminal aaa new-model aaa authorization exec {default | list-name} method1 [method2|…] aaa authorization network{default | list-name} method1 [method2|…] 命令 进入全局配置模式 打开AAA开关 定义AAA Exec授权方法 定义AAA Network授权方法 作用 44.4.4 配置AAA Exec授权

锐捷产品支持针对登录到网络访问服务器（NAS）的用户终端，授予其执行命令的权限，即

Exec授权。体现为用户登录到NAS的CLI界面时（例如通过Telnet），具备的级别（成功登录后，可以使用show privilege命令查看）。 不论您要决定使用哪种Exec授权方法，只要使用aaa authorization exec命令定义一个或

多个Exec授权方法列表，并应用于您需要进行Exec授权的特定线路就可以了。 要配置AAA Exec授权，在全局配置模式下执行以下命令： Step 1 Step 2 Step 3 Step 4

configure terminal aaa new-model aaa authorization exec {default | list-name} method1 [method2...] line vty line-num 命令 进入全局配置模式 启用AAA。 定义一个授权方法列表，如果需要定义多个方法列表，重复执行该命令。 进入您需要应用AAA Exec授权的线路。 作用 Step 5

authorization exec {default | list-name} 将方法列表应用线路。 关键字list-name用来命名创建授权方法列表，可以是任何字符串；关键字method指的是

授权实际算法。仅当前面的方法返回ERROR（无应答），才使用后面的其他方法；如果前面的方法返回FAIL(失败)，则不使用其他授权方法。为了使授权最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个授权方法。 例如，在下例中，即使RADIUS服务器超时(TIMEOUT)，仍然能够通过Exec授权：aaa

authorization exec default group radius none Step 1 Step 2 Step 3 Step 4

local none group radius group tacacs+ 命令 作用 使用本地用户名数据库进行Exec授权 不进行Exec授权 使用RADIUS服务器组进行Exec授权 使用TACACS+服务器组进行Exec授权 上表列出了锐捷产品支持的AAA Exec授权方法。

Exec授权通常结合Login认证一起使用，并可以在同一个线路上同时使用Login认证和Exec授权。但是要注意，由于授权和认证可以采用不同的方法和不同的

服务器，因此对于相同的用户，认证和授权可能有不同的结果。用户登录时，如果Exec授权失败，即使已经通过了Login认证，也不能进入到CLI界面。

?注意 44.4.4.1使用本地数据库进行Exec授权

要配置使用本地数据库进行Exec授权时，首先需要配置本地数据库。可以在设置本地用户

时，为用户设置权限级别。如果没有设置，则默认的用户级别为1级。请在全局配置模式下，根据具体需求执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5

configure terminal username name [password password] username name [privilege level] end show running-config 命令 进入全局配置模式 建立本地用户，设置口令 为用户设置权限级别（可选） 退出到特权模式 确认配置 作用 定义本地Exec授权方法列表并应用授权方法列表，可使用以下命令： Step 1

configure terminal 命令 进入全局配置模式 作用 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10

aaa new-model aaa authorization exec {default | list-name} local end show aaa method-list configure terminal line vty line-num authorization exec {default | list-name} end show running-config 打开AAA开关 定义使用本地认证方法 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 44.4.4.2使用RADIUS进行Exec授权

要配置用RADIUS服务器进行Exec授权，首先要配置RADIUS服务器，有关RADIUS服

务器配置的信息，请参见“配置RADIUS”。 配置好RADIUS服务器后，就可以配置基于RADIUS服务器的方法列表了，在全局配置模

式下执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10

configure terminal aaa new-model aaa authorization exec {default | list-name} group radius end show aaa method-list configure terminal line vtyline-num authorization exec {default | list-name} end show running-config 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS认证方法 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 作用 44.4.4.3配置Exec授权示例

下例演示如何进行Exec授权。我们设置VTY线路 0~4上的用户登录时采用Login认证，

并且进行Exec授权。其中Login认证采用本地认证，Exec授权先采用RADIUS、如

果没有响应可以采用本地授权。远程RADIUS服务器地址为192.168.217.64，共享密钥为test；本地用户名为ruijie，口令为ruijie，绑定级别是6级。如下：

Ruijie# configure terminal Ruijie(config)# aaa new-model

Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test

Ruijie(config)# username ruijie password ruijie Ruijie(config)# username ruijie privilege 6

Ruijie(config)# aaa authentication login mlist1 local Ruijie(config)# aaa authorization exec mlist2 group radius local Ruijie(config)# line vty 0 4

Ruijie(config-line)# login authentication mlist1 Ruijie(config-line)# authorization exec mlist2 Ruijie(config)# end

Ruijie# show running-config aaa new-model !

aaa authorization exec mlist2 group radius local aaa authentication login mlist1 local !

username ruijie password ruijie username ruijie privilege 6 !

radius-server host 192.168.217.64 radius-server key 7 093b100133 !

line con 0 line vty 0 4

authorization exec mlist2 login authentication mlist1 ! End

44.4.5 配置AAA Network授权

我司产品支持对包括PPP、SLIP等网络连接进行Network（网络）授权，这些网络连接通

过Network授权，可以获得诸如流量、带宽、超时等服务配置。Network授权支持通过RADIUS和TACACS+协议进行，服务器下发的授权信息封装在RADIUS或TACACS+属性里，针对不同的网络连接应用，服务器下发的授权信息可能不相同。

?注意

目前该配置不支持802.1X的AAA 授权，802.1X通过另外的命令完成，具体参见“802.1X配置”。

要配置AAA Network授权，在全局配置模式下执行以下命令： Step 1 Step 2

configure terminal aaa new-model 命令 进入全局配置模式 启用AAA。 作用 Step 3

aaa authorization network {default | list-name} method1 [method2...] 定义一个授权方法列表，如果需要定义多个方法列表，重复执行该命令。 关键字list-name用来命名创建授权方法列表，可以是任何字符串；关键字method指的是

授权实际算法。仅当前面的方法返回ERROR（无应答），才使用后面的其他授权方法；如果前面的方法返回FAIL(失败)，则不使用其他授权方法。为了使授权最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个授权方法。

44.4.5.1使用RADIUS进行Network授权

要配置用RADIUS服务器进行Network授权，首先要配置RADIUS服务器，有关RADIUS

服务器配置的信息，请参见“配置RADIUS”。 配置好RADIUS服务器后，就可以配置基于RADIUS服务器的方法列表了，在全局配置模

式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model aaa authorization network {default | list-name} group radius 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS授权方法。 作用 44.4.5.2配置Network授权示例

下例演示如何进行网络授权。

Ruijie# configure terminal Ruijie(config)# aaa new-model

Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test Ruijie(config)# aaa authorization network test group radius none Ruijie(config)# end

Ruijie# show running-config aaa new-model !

aaa authorization network test group radius none !

radius-server host 192.168.217.64 radius-server key 7 093b100133 !

44.5 配置记账

AAA记账功能够跟踪用户使用的服务和网络资源。启用记账功能以后，网络访问服务器或

设备实时地以属性对的方式将用户访问网络的情况发送给安全服务器。您可以使用一些分析软件对这些数据进行分析，实现对用户的活动进行计费、审计以及跟踪等功能。 44.5.1 记账类型

锐捷产品目前支持以下记账类型：

? Exec记账

? Command（命令）记账 ? Network（网络）记账

其中Exec记账针对的是用户终端登录到NAS上的命令行界面（CLI），在登入和登出时分别进行记账；命令记账针对的是用户终端登录到NAS上的CLI界面以后，记录其具体执行的命令；而网络记账针对的与网络连接上的用户会话有关的信息。

?说明 命令记账功能目前仅TACACS+协议支持，具体内容请参考“配置TACACS+”。

44.5.2 记账的准备工作

在配置AAA记账以前，必须完成以下任务：

? 启用AAA安全服务。关于如何启用AAA的信息，请参见“AAA概述”。 ? 定义安全协议参数。进行记账，需要配置安全协议参数。锐捷产品Network记账

支持RADIUS和TACACS+安全协议；Exec记账支持RADIUS和TACACS+协议；Command记账仅支持TACACS+协议。关于 RADIUS协议的信息，请参见“配置RADIUS”，关于TACACS+协议的信息，请参见“配置TACACS+”。

? （可选）配置AAA认证。某些记账需要在用户通过认证之后才进行（例如Exec

记账），其他情况下，没有经过认证也可以进行记账。关于AAA认证的信息，请参见“配置认证”。

44.5.3 配置AAA Exec记账

Exec记账对于已登录到NAS的用户终端，可以记录其进入和退出CLI界面的信息。在用户终端登录并进入到NAS的CLI界面时，会向安全服务器发送一个记账开始（Start）信息，在退出CLI界面时，会向服务器发送一个记账结束（Stop）信息。

只有登录到NAS的用户终端通过了Login认证，才会进行Exec记账。如果没有设置Login认证，或者认证时候采用了none方法，则不会进行Exec记账。针对同

一个用户终端的登录，登入时如果没有进行过Start记账，登出时也就不会进行Stop记账。

?注意 要配置AAA Exec记账，在全局配置模式下执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5

configure terminal aaa new-model aaa accounting exec {default | list-name} start-stop method1 [method2...] line vtyline-num accounting exec {default | list-name} 命令 进入全局配置模式 启用AAA。 定义一个记账方法列表，如果需要定义多个方法列表，重复执行该命令。 进入您需要应用AAA Exec记账的线路。 将方法列表应用线路。 作用 关键字list-name用来命名创建记账方法列表，可以是任何字符串；关键字method指的是

记账实际算法。仅当前面的方法返回ERROR（无应答），才使用后面的其他记账方法；如果前面的方法返回FAIL(失败)，则不使用其他记账方法。为了使记账最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个记账方法。

?说明

使用关键字start-stop，网络访问服务器在用户开始和结束访问网络服务时都给安全服务器发送记账信息。

44.5.3.1使用RADIUS进行Exec记账

要配置用RADIUS服务器进行Exec记账，首先要配置RADIUS服务器，有关RADIUS服

务器配置的信息，请参见“配置RADIUS”。 配置好RADIUS服务器后，就可以配置基于RADIUS服务器的方法列表了，在全局配置模

式下执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 Step 8 Step 9 Step10

configure terminal aaa new-model aaa accounting exec {default | list-name} start-stop group radius end show aaa method-list configure terminal line vty line-num accounting exec {default | list-name} end show running-config 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS记账方法。 退出到特权模式 确认配置的方法列表 进入全局配置模式 进入线路配置模式 应用方法列表 退出到特权模式 确认配置 作用 44.5.3.2配置Exec记账示例

下例演示如何进行Exec记账。我们设置VTY线路 0~4上的用户登录时采用Login认证，

并且进行Exec记账。其中Login认证采用本地认证，Exec记账采用RADIUS。远程RADIUS服务器地址为192.168.217.64，共享密钥为test。本地用户名为ruijie，口令为ruijie。如下：

Ruijie# config

Ruijie(config)# aaa new-model

Ruijie(config)# radius-server host192.168.217.64 Ruijie(config)# radius-server key test

Ruijie(config)# username ruijie passwordruijie Ruijie(config)# aaa authentication loginauthlocal

Ruijie(config)# aaa accounting execacctstart-stop group radius Ruijie(config)# line vty0 4

Ruijie(config-line)# login authenticationauth Ruijie(config-line)# accounting execacct Ruijie(config)# end

Ruijie# show running-config !

aaa new-model !

aaa accounting exec acct start-stop group radius aaa authentication login auth local !

username ruijie password ruijie !

radius-server host 192.168.217.64 radius-server key 7 093b100133 !

line con 0 line vty 0 4

accounting exec acct

login authentication auth ! end

44.5.4 配置AAA Network记账

Network（网络）记账提供了关于用户会话的记账信息，包括报文的个数及字节数、IP地址、

用户名等。Network记账目前只支持RADIUS协议。

?说明

RADIUS记账信息的格式随不同的RADIUS安全服务器而变化。记账记录中的内容可能会由于锐捷产品版本的不同而有些变化。

要配置AAA Network记账，在全局配置模式下执行以下命令： Step 1

configure terminal 命令 进入全局配置模式 作用 Step 2 Step 3

aaa new-model aaa accounting network {default | list-name} start-stop method1 [method2...] 启用AAA。 定义一个记账方法列表，如果需要定义多个方法列表，重复执行该命令。 关键字list-name用来命名创建记账方法列表，可以是任何字符串；关键字method指的是

记账实际算法。仅当前面的方法返回ERROR（无应答），才使用后面的其他记账方法；如果前面的方法返回FAIL(失败)，则不使用其他记账方法。为了使记账最后能成功返回，即使所有指定方法都没有应答，可以在命令行中将none指定为最后一个记账方法。

44.5.4.1使用RADIUS进行Network记账

要配置用RADIUS服务器进行Network记账，首先要配置RADIUS服务器，有关RADIUS

服务器配置的信息，请参见“配置RADIUS”。 配置好RADIUS服务器后，就可以配置基于RADIUS服务器的方法列表了，在全局配置模

式下执行以下命令： Step 1 Step 2 Step 3

configure terminal aaa new-model aaa accounting network {default | list-name} start-stop group radius 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS记账方法。 作用 44.5.4.2配置Network记账示例

以下是使用RADIUS进行Network记账的一个例子：

Ruijie# config

Ruijie(config)# aaa new-model

Ruijie(config)# radius-server host192.168.217.64 Ruijie(config)# radius-server key test

Ruijie(config)# aaa accounting networkacctstart-stop group radius

Ruijie(config)# end

Ruijie# show running-config !

aaa new-model !

aaa accounting network acct start-stop group radius !

username Ruijie password 0 starnet username Ruijie privilege 6 !

radius-server host 192.168.217.64 radius-server key 7 093b100133

44.6 监视AAA用户

要查看当前登录用户的信息，请在特权用户模式下执行命令： Step 1

命令 show aaa user { id | all } 作用 查看当前AAA用户信息 44.7 配置支持VRF的AAA组

Virtual Private Networks (VPNs)为用户提供了一种安全的方式在ISP骨干网上共享带宽。

一个VPN即是共享路由的站点集。用户站点通过一到多个接口链接到服务提供商网络，VPN路由表也叫VPN routing/forwarding (VRF) table，AAA可以为每个自定义服务器组指定VRF。 要配置AAA组的VRF，请在全局配置模式下执行以下命令： Step 1 Step 2 Step 3 Step 4 Step 5

configure terminal aaa new-model aaa group server radius gs_name ip vrf forwarding vrf_name end 命令 进入全局配置模式 打开AAA开关 配置RADIUS服务器组 进入服务器组配置模式 为组选择vrf 作用 ?说明 需要产品支持vrf功能。

44.8 配置Login的用户认证失败锁定

Login登录交换机，为了防止Login用户破解密码，提供配置命令用于限制用户尝试密码的

失败次数；超过尝试失败次数，用户被锁定多长时间不能登录。 要配置Login登录参量，请在全局配置模式下执行以下命令： Step 1 Step 2

configure terminal aaa new-model 命令 进入全局配置模式 打开AAA开关 作用

Step 3 Step 4 Step 5 Step 6 Step 7

aaa local authentication attempts <1-2147483647> aaa local authentication lockout-time <1-2147483647> show aaa user lockout {all | user-name } clear aaa local user lockout {all | user-name} end 配置login登录，用户尝试失败次数 配置login登录，用户尝试超过配置的失败次数，被锁定的时间长度（小时） 显示当前被锁定的用户列表 清除被锁定的用户列表 ?说明 默认情况下，Login尝试失败次数为3次，被锁定的时间限制为15小时。

44.9 配置基于域名的AAA服务

基于域名的AAA服务的配置相关内容，本节包含如下内容： ? 概述

? 基于域名的AAA服务配置任务

? 配置基于域名的AAA服务配置注意事项

?注意

目前基于域名的AAA服务，仅被应用于IEEE802.1x认证服务，IEEE802.1x协议更具体的配置方式参见“802.1x配置”中相关章节。

44.9.1 概述

在多域环境下，同一台NAS（Network Access Switch）可为不同域中的用户提供AAA服务，各域中用户的属性（例如用户名及密码、服务类型、权限等）有可能各不相同，因此有必要通过设置域的方法把它们区分开，并为每个域单独配置包括AAA服务方法列表（例如使用的RADIUS）在内的属性集。

本产品支持以下几种的形式的用户名 1. userid@domain-name 2. domain-name\%userid 3. userid.domain-name 4. userid

?说明 对于第4种不带domain-name的形式的用户名（即以上第4种：userid），认为其域名称为default，即为默认的域名。

设备基于域名的AAA服务基本原理如下：

? 解析用户携带的域名称

? 根据域名称查找用户所配置的域

? 根据设备上域配置信息查找相应的AAA服务的方法列表名 ? 根据方法列表名在系统中查找对应的方法列表 ? 使用该方法列表提供AAA服务

以下是典型的多个域环境拓扑图：

?说明 上述任何一个步骤失败，用户将无法使用申请的AAA服务。

图2 典型多个域网络图

44.9.2 基于域名的AAA服务配置

按如下顺序配置基于域名的AAA服务： 1. 启用AAA服务

2. 定义AAA服务的方法列表 3. 启用基于域名的AAA服务 4. 创建域 5. 配置域属性集 6. 查看域配置

?说明 系统最多支持配置32个域。

44.9.2.1启用AAA

Step 1 Step 2

configure terminal aaa new-model 具体命令说明请参见“启用AAA”章节。

命令 进入全局配置模式 打开AAA开关 作用 44.9.2.2定义AAA服务的方法列表

Step 1 Step 2 Step 3 Step 4

configure terminal aaa authentication dot1x {default | list-name} method1 [method2...] aaa accounting network {default | list-name} start-stop method1 [method2...] aaa authorization network {default | list-name} method1 [method2...] 命令 进入全局配置模式 定义一个IEEE802.1x认证方法列表 定义一个Network记账方法列表 定义一个Network授权方法列表 作用 具体说明请参见“配置认证”，“配置记账”和“配置授权”相关章节。

44.9.2.3打开基于域名的AAA服务开关

Step 1 Step 2

configure terminal aaa domain enable 命令 进入全局配置模式 打开基于域名的AAA服务开关 作用 44.9.2.4创建域

基于用户名查找匹配的域名时，遵循如下规则：

1、 支持使用单个?. ? 、?\\? 、?@ ?字符区分用户名与域名。

2、 单个 ?@?字符后跟随的字符串为“域名”。用户名中存在多个?@?字符时，取最后1

个?@?字符后跟随的字符串为域名。如用户名为a@b@c@d时，取a@b@c为用户名，d为域。 3、 单个 ? \\?字符之前的字符串为“域名”。用户名中存在多个?\\?字符时，取第一个?\\?字符

之前的字符串为域名。如用户名为a\\b\\c\\d时，取b\\c\\d为用户名，a为域名。

4、 单个 ?.? 字符后跟随的字符串为“域名”，用户名中存在多个?.?字符时，根据预先的

配置，取最后1个?.?字符后跟随的字符串为域名。如用户名为a.b.c.d时，取a.b.c为用户名，d为域名。 5、 若用户名中同时存在?. ? ?\\? ?@ ?三种字符，匹配域名时，将先进行?@?字符规则判

断，再进行?\\?字符规则判断，最后采用?.?的判断规则。

Step 1 Step 2

命令 configure terminal aaa domaindomain-name 进入全局配置模式 作用 创建域名为domain-name的域，并进入域配置模式

?说明 基于域名的AAA服务支持最长64个字符的域名，不区分大小写。

44.9.2.5配置域属性集

在域配置模式下，为已存在的域，选择关联AAA服务的方法列表：

Step 1 Step 2 Step 3

配置域状态：

Step 1

配置是否在用户名中携带域名信息：

Step 1

配置域支持的最大用户数目：

命令 username-format {without-domain | with-domain} 作用 在域配置模式下，配置NAS与服务器交互时域中用户名是否携带域名信息 命令 authentication dot1x {default | list-name} accounting network {default | list-name} authorization network {default | list-name} 作用 在域配置模式下，选择认证方法列表 在域配置模式下，选择记账方法列表 在域配置模式下，选择授权方法列表 命令 state {block | active} 作用 在域配置模式下，配置域的状态 Step 1

access-limit num 命令 作用 在域配置模式下，配置该域能够容纳的最大用户数目，默认情况不限制用户的数目（只对802.1x用户生效）

1. 在域配置模式下，选择AAA服务方法列表时，这些方法列表是在进入域配

置模式前已经定义；否则在域配置模式下，允许选择AAA方法列表名，但提示配置不存在；

?说明 2. 缺省域（default）：在基于域名的AAA服务开关打开情况下，如果用户没有

携带域信息，则使用缺省域。如果用户携带的域在系统中没有配置，则判定

为非法用户，不提供AAA服务；

3. 域配置模式下，没有选择方法列表的情况下，系统默认分配缺省方法列表；

44.9.2.6查看域配置

配置完成基于域名的AAA服务后，通过以下命令可以查看相应的配置：

Step 1

44.9.3 配置基于域名的AAA服务配置注意事项

配置基于域名的AAA服务需要注意以下几个方面：

1. 基于域名的AAA服务开关打开的情况下，使用域中选择的方法列表。开关关闭的

情况下，按照接入协议（例如802.1x等）选定的方法列表进行AAA服务。例如开关关闭情况下，802.1X中以命令dot1xauthenticationauthen-list-name，dot1x accountingacct-list-name中的authen-list-name及acct-list-name为认证和记账方法列表名提供AAA服务。 2. 基于域名的AAA服务开关打开时，默认情况下没有配置缺省域，需要手动配置完

成。缺省域的名称为“default”，若配置缺省域后，用户不携带域信息时，使用缺省域进行提供AAA服务。若缺省域没有配置，则不携带域信息的用户不能使用AAA服务。 3. 如果认证用户携带有域信息，而域没有在设备上配置，不能为该用户提供AAA服

务。 4. 域选择的AAA服务方法列表名称必须和AAA服务所定义的方法列表名称必须一

致。若不一致，不能够为该域中的用户提供合适的AAA服务。 5. 用户所携带的域名称与设备上所配置的域名的匹配采用最准确匹配。例如：设备

上配置了domain.com和domain.com.cn两个域，一个用户的请求信息携带为

命令 show aaa domain [domain-name] 作用 显示当前基于域名的AAA服务域信息

本文来源：https://www.bwwdw.com/article/spir.html