【命令模式】
线路配置模式。
【使用指南】
默认的命令授权方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认命令授权方法列表,将取代默认的方法列表。如果试图应用未定义的方法列表,则会给出一个警告提示信息,该线路上的命令授权将不会生效,直至定义了该命令授权方法列表才会生效。
【举例】
下面的示例配置一个名为cmd的命令授权列表,针对15级命令进行授权,使用TACACS+作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:
Ruijie(config)# aaa authorization commands 15 cmd group tacacs+ none
Ruijie(config)# line vty 0 4
Ruijie(config-line)# authorization commands 15 cmd
【相关命令】
命令 aaa new-model aaa authorization commands
说明 使能AAA安全服务 定义AAA命令授权方法列表 46.2.7 authorization exec
要将Exec授权列表应用在指定终端线路上,执行线路配置模式命令 authorization exec。该命令的no形式取消线路上Exec授权功能。 authorization exec {default | list-name} no authorization exec
【参数说明】
default :使用该参数,应用Exec授权的默认方法。 list-name :应用一个已定义的Exec授权的方法列表。
【缺省情况】
未配置AAA Exec授权功能。
【命令模式】
线路配置模式。
【使用指南】
默认的Exec授权方法列表一旦配置,将自动应用到所有终端上。在线路上应用非默认Exec授权方法列表,将取代默认的方法列表。如果试图应
用未定义的方法列表,则会给出一个警告提示信息,该线路上的Exec授权将不会生效,直至定义了该Exec授权方法列表才会生效。
【举例】
下面的示例配置一个名为exec-1的Exec授权列表,使用RADIUS作为安全服务器,如果服务器没有响应将采用none方法。配置后应用到VTY 0 – 4线路上:
Ruijie(config)# aaa authorization exec exec-1 group radius none
Ruijie(config)# line vty 0 4
Ruijie(config-line)# authorization exec exec-1
【相关命令】
命令 aaa new-model aaa authorization commands
说明 使能AAA安全服务 定义AAA Exec授权方法列表 46.3 记账相关命令
网络设备目前支持使用RADIUS进行网络记账,包括以下相关命令: ? aaa accounting commands ? aaa accounting exec ? aaa accounting network ? aaa accounting update
? aaa accounting update periodic ? accounting commands ? accounting exec
46.3.1 aaa accounting commands
出于管理用户活动,需要对登录到NAS上的用户所执行的命令活动进行记账,请执行全局配置命令aaa accounting commands。该命令的no形式取消命令记账功能。
aaa accounting commands level {default | list-name} start-stop method1 [method2...]
no aaa accounting commands level {default | list-name}
【参数说明】
level :要进行记账的命令级别,范围0~15,决定哪个级别的命令执行时,需要记录信息。
default :使用该参数,则后面定义的方法列表作为命令记账的默认方法。
list-name :定义一个命令记账的方法列表,可以是任何字符串。 method :必须下表所列关键字之一,一个方法列表最多有4个方法:
关键字 none group 【缺省情况】
关闭记账功能
【命令模式】
全局配置模式。
【使用指南】
网络设备只有在用户通过了登录认证后,才会启用命令记账功能,如果用户登录时未进行认证或认证采用的方法为none,则不会进行命令记账。启用记账功能后,在用户每次执行指定级别的命令后,将所执行的命令信息,发送给安全服务器。
配置了命令记账方法后,必须将其应用在需要进行命令记账的终端线路上,否则将不生效。
【举例】
下面的示例使用TACACS+对用户执行的命令请求进行记账,要求记账的命令级别为15级:
Ruijie(config)# aaa accounting commands 15 default start-stop group tacacs+
【相关命令】
命令 aaa new-model aaa authentication accounting commands
说明 使能AAA安全服务 定义AAA身份认证 在终端线路上应用命令记账 不进行记账 使用服务器组进行记账,目前支持TACACS+服务器组 描述 46.3.2 aaa accounting exec
出于管理用户活动,需要对用户登录NAS的访问活动进行记账,请执行全局配置命令aaa accounting exec。该命令的no形式取消Exec记账功能。
aaa accounting exec {default | list-name} start-stop method1 [method2...]
no aaa accounting exec {default | list-name}
【参数说明】
default :使用该参数,则后面定义的方法列表作为Exec记账的默认方法。
list-name :定义一个Exec记账的方法列表,可以是任何字符串。 method :必须下表所列关键字之一,一个方法列表最多有4个方法:
关键字 none group 【缺省情况】
关闭记账功能
【命令模式】
全局配置模式。
【使用指南】
网络设备只有在用户通过了登录认证后,才会启用Exec记账功能,如果用户登录时未进行认证或认证采用的方法为none,则不会进行Exec记账。
启用记账功能后,在用户登录到NAS的CLI界面时候,发送记账开始(Start)信息给安全服务器,在用户退出登录的时候,发送记账结束(Stop)信息给安全服务器。如果一个用户在登录时没有发出Start信息,在退出登录时也不会发出Stop信息。
配置了Exec记账方法后,必须将其应用在需要进行命令记账的终端线路上,否则将不生效。
【举例】
下面的示例使用RADIUS对用户登录NAS的活动进行记账,并在开始和结束时发送记账报文:
Ruijie(config)# aaa accounting exec default start-stop group radius
【相关命令】
命令 aaa new-model aaa authentication accounting commands
说明 使能AAA安全服务 定义AAA身份认证 在终端线路上应用Exec记账 不进行记账 使用服务器组进行记账,目前支持RADIUS和TACACS+服务器组 描述 46.3.3 aaa accounting network
出于网络费用的统计或管理用户活动,需要对用户的访问活动进行记账,请执行全局配置命令aaa accounting network。该命令的no形式取消网络记账功能。
aaa accounting network {default | list-name} start-stop group radius no aaa accounting network {default | list-name}
【参数说明】
network :对网络相关的服务请求进行记账,包括DOT1X,PPP等。 resource : 对资源相关进行记账。 list-name :记账方法列表名。
start-stop :在用户访问活动开始和结束时均发送记账报文,开始记账报文无论是否成功启用记账,都允许用户开始进行网络访问。 group :使用服务器组记账
radius :使用RADIUS服务器组进行记账
【缺省情况】
关闭记账功能
【命令模式】
全局配置模式。
【使用指南】
网络设备通过给安全服务器发送记录属性对来用户活动进行记账。使用关键字start-stop,制定用户记账选项。
【举例】
下面的示例使用RADIUS对用户的网络服务请求进行记账,并在开始和结束时发送记账报文:
Ruijie(config)# aaa accounting network default start-stop group radius
【相关命令】
命令 aaa new-model aaa authorization network aaa authentication username
说明 使能AAA安全服务 定义AAA网络授权 定义AAA身份认证 定义本地用户数据库 46.3.4 aaa accounting update