aaa认证配置命令

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

44

AAA配置

访问控制是用来控制哪些人可以访问网络服务器以及用户在网络上可以访问哪些服务的。身份认证、授权

和记账（AAA）是进行访问控制的一种主要的安全机制。

44.1 AAA基本原理

AAA是Authentication Authorization and Accounting（认证、授权和记账）的简称，它提供了对认证、授

权和记账功能进行配置的一致性框架，锐捷网络设备产品支持使用AAA。 AAA以模块方式提供以下服务：

? 认证：验证用户是否可获得访问权，可选择使用RADIUS协议、TACACS+协议或Local

（本地）等。身份认证是在允许用户访问网络和网络服务之前对其身份进行识别

的一种方法。

? 授权：授权用户可使用哪些服务。AAA授权通过定义一系列的属性对来实现，这

些属性对描述了用户被授权执行的操作。这些属性对可以存放在网络设备上，也可以远程存放在安全服务器上。

? 记账：记录用户使用网络资源的情况。当AAA记账被启用时，网络设备便开始以

统计记录的方式向安全服务器发送用户使用网络资源的情况。每个记账记录都是以属性对的方式组成，并存放在安全服务器上，这些记录可以通过专门软件进

show vlan 查看vlan状态

show running-config 查看当前配置状态

由于交换机版本不同，有的修改密码命令不成功，两种不同的命令是： 一种交换机命令是： creat user admin

set login-pass 000 set admin-pass ok (设置全局模式密码，如果密码为空，web页不能进入全局配置模式） 另一种交换机命令是：creat user admin

loginpass 000 adminpass ok 清除配置文件running.cfg zte(cfg)#conf tffs

zte(cfg-tffs)#lsr （查看配置文件running.cfg） KERNEL 2,090,884 bytes

RUNNING.CFG 121,198 bytes 1,710,080 by

show vlan 查看vlan状态

show running-config 查看当前配置状态

由于交换机版本不同，有的修改密码命令不成功，两种不同的命令是： 一种交换机命令是： creat user admin

set login-pass 000 set admin-pass ok (设置全局模式密码，如果密码为空，web页不能进入全局配置模式） 另一种交换机命令是：creat user admin

loginpass 000 adminpass ok 清除配置文件running.cfg zte(cfg)#conf tffs

zte(cfg-tffs)#lsr （查看配置文件running.cfg） KERNEL 2,090,884 bytes

RUNNING.CFG 121,198 bytes 1,710,080 by

Web认证配置

21.1 理解Web认证

21.1.1 Web认证概述

Web认证是一种基于端口对用户访问网络的权限进行控制的认证方法，这种认证方式不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行接入认证。 未认证用户上网时，接入设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在Web认证服务器进行认证，只有认证通过后才可以使用互联网资源。 如果用户试图通过HTTP 访问其他外网，将被强制访问Web认证网站，从而开始Web认证过程，这种方式称作强制认证。 Web认证可以为用户提供方便的管理功能，门户网站可以开展广告、社区服务、个性化的业务等。

21.1.2 Web认证基本概念

Web认证的基本概念主要有HTTP拦截、HTTP重定向。

21.1.2.1HTTP拦截

HTTP拦截指接入设备将原本需要转发的HTTP报文拦截下来，不进行转发。这些HTTP报文是连接在接入设备的端口下的用户所发出的，但目的并不是接入设备本身。例如，某用户通过IE浏览器上网，接入设备本应该将这些HTTP请求报文转发到网关的，但如果启动HTTP拦截，这些报文可以不被转发。 HTTP拦截之后，

Cisco路由配置命令

交换机命令总结

交换机口令设置：

switch>enable 进入特权模式

switch#config terminal 进入全局配置模式

switch(config)#hostname <hostname> 设置交换机的主机名

switch(config)#enable secret xxx 设置特权加密口令

switch(config)#enable password xxa 设置特权非密口令

使用Telnet远程式管理

switch(config)#interface vlan 1 进入vlan 1

switch(config-if)#ip address <IP> <mask> 设置IP地址

switch(config-if)#ip default-gateway <IP> 设置默认网关

switch(config)#line vty 0 4 进入虚拟终端

switch(config-line)#login 允许登录

switch(config-line)#password xx 设置登录口令

switch#exit

01-AAA命令

目 录

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile 1.1.2 access-limit

1.1.3 access-limit enable 1.1.4 accounting default 1.1.5 accounting login 1.1.6 accounting optional 1.1.7 authentication default 1.1.8 authentication login 1.1.9 authorization command 1.1.10 authorization default 1.1.11 authorization login 1.1.12 authorization-attribute

1.1.13 authorization-attribute user-profile 1.1.14 bind-attribute 1.1.15 cut connection 1.1.16 display connection 1.1.17 display domain 1.1.18 display local-user 1.1.19 display u

01-AAA命令

目 录

1 AAA配置命令

1.1 AAA配置命令

1.1.1 aaa nas-id profile 1.1.2 access-limit

1.1.3 access-limit enable 1.1.4 accounting default 1.1.5 accounting login 1.1.6 accounting optional 1.1.7 authentication default 1.1.8 authentication login 1.1.9 authorization command 1.1.10 authorization default 1.1.11 authorization login 1.1.12 authorization-attribute

1.1.13 authorization-attribute user-profile 1.1.14 bind-attribute 1.1.15 cut connection 1.1.16 display connection 1.1.17 display domain 1.1.18 display local-user 1.1.19 display u