Step 5
show running-config 确认配置 定义本地Enable认证方法列表,可使用以下命令: Step 1 Step 2 Step 3 Step 4 Step 5 Step 6
configure terminal aaa new-model aaa authentication enable default local end show aaa method-list show running-config 命令 进入全局配置模式 打开AAA开关 定义使用本地认证方法 退出到特权模式 确认配置的方法列表 确认配置 作用 44.3.6.2使用RADIUS进行Enable认证
标准的RADIUS服务器可以通过Service-Type属性(标准属性号为6)绑定权限,可以指
定1级或15级权限;锐捷扩展的RADIUS服务器(例如SAM)可以设置设备管理员的级别(私有属性号为42),可以指定0~15级权限。有关RADIUS服务器配置的信息,请参见“配置RADIUS”中的“指定RADIUS私有属性类型”章节。 要配置用RADIUS认证服务器进行Enable认证,首先要配置RADIUS服务器,然后再配置
基于RADIUS服务器的Enable方法列表。在全局配置模式下执行以下命令: Step 1 Step 2 Step 3 Step 4 Step 5 Step 6
configure terminal aaa new-model aaa authentication enable default group radius end show aaa method-list show running-config 命令 进入全局配置模式 打开AAA开关 定义使用RADIUS认证方法 退出到特权模式 确认配置的方法列表 确认配置 作用 44.3.7 配置PPP用户使用AAA认证
PPP协议是提供在点到点链路上承载网络层数据包的一种链路层协议。在很多情况下,用
户需要通过异步或ISDN拨号访问NAS(网络访问服务器),一旦建立了这种连接,将启动PPP协商,为了防止网络未经授权的访问,PPP在协商过程中要对拨号用户进行身份认证。 本节将具体介绍如何配置我司产品所支持的AAA PPP认证方法,要配置AAA PPP认证,
在全局配置模式下执行以下命令: Step 1 Step 2 Step 3
configure terminal aaa new-model aaa authentication ppp {default | list-name}method1 [method2...] interfaceinterface-type interface-number ppp authentication {chap | pap} {default | list-name} 命令 进入全局配置模式 启用AAA。 定义一个PPP认证方法列表,可以指定采用的认证方法,目前支持RADIUS和TACACS+远程认证,以及使用本地数据库进行认证。 进入需要应用AAA身份认证的异步或ISDN接口。 将身份认证方法列表应用于异步或ISDN接口。 作用 Step 4 Step 5
PPP协议更具体的配置方式参见“PPP、MP协议配置”中相关章节。 44.3.8 配置802.1x用户使用AAA认证
IEEE802.1x(Port-Based Network Access Control)是一个基于端口的网络存取控制标准,
为LAN提供点对点式的安全接入,提供一种对连接到局域网设备的用户进行认证的手段。 本节将具体介绍如何配置我司产品所支持的802.1x认证方法,要配置802.1x认证,在全局
配置模式下执行以下命令: Step 1 Step 2 Step 3
configure terminal aaa new-model 命令 进入全局配置模式 启用AAA。 作用 定义一个IEEE802.1x认证方法列表,可以指定aaa authentication dot1x {default | list-name} 采用的认证方法,目前支持RADIUS远程认证,method1 [method2...] 以及使用本地数据库进行认证。 dot1x authentication list-name 802.1x应用认证方法列表。 Step 4
IEEE802.1x协议更具体的配置方式参见“802.1x配置”中相关章节。 44.3.9 配置web认证使用AAA
Web认证提供一种对连接到局域网设备的用户进行认证的手段。
本节将具体介绍如何配置我司产品所支持的web认证方法,要配置web认证,在全局配置
模式下执行以下命令: Step 1 Step 2 Step 3
configure terminal aaa new-model 命令 进入全局配置模式 启用AAA。 作用 定义一个web认证方法列表,可以指定采用的aaa authentication web {default | list-name} 认证方法,目前支持RADIUS远程认证,以及使method1 [method2...] 用本地数据库进行认证。 Web认证更具体的配置方式参见“web认证配置”中相关章节。 44.3.10 配置web认证账号共享
默认情况下,一个账号在同一个时间只允许一个IP使用,但是可以设置允许多个IP共享同
一个账号,关闭账号共享的情况下,后登陆的账号有效。 要打开账号共享功能,请按照如下步骤: Step 1 Step 2 Step 3
命令 Ruijie# configure terminal Ruijie(config)# aaa local user allow public account Ruijie(config)# show web-auth local-portal 作用 进入全局配置模式。 允许账号共享,默认关闭 查看Web认证配置信息和统计信息。 配置举例(设置允许账号共享):
Ruijie# configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Ruijie(config)# aaa local user allow public account Ruijie(config)# show web-auth local-portal
44.3.11 配置认证示例
下面示例演示如何配置网络设备,使用“RADIUS+本地身份”进行认证。
Ruijie(config)# aaa new-model
Ruijie(config)# usernameRuijiepasswordstarnet
Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test
Ruijie(config)# aaa authentication logintest group radius local Ruijie(config)# aaa authentication webportal group radius local Ruijie(config)# web-auth authentication portal
Ruijie(config)# line vty0
Ruijie(config-line)# login authentication test
Ruijie(config-line)# end Ruijie# show running-config !
aaa new-model ! !
aaa authentication login test group radius local aaa authentication web portal group radius local aaa local user allow public account
username Ruijie password 0 starnet !
radius-server host 192.168.217.64 radius-server key 7 093b100133 !
web-auth authenticationportal !
line con 0 line vty 0
login authentication test line vty 1 4 ! !
上面例子中,访问服务器和web认证都使用RADIUS服务器(IP为192.168.217.64)对用
户进行认证,如果RADIUS服务器没有应答,则使用本地数据库进行身份认证。 44.3.12 终端服务应用下认证示例
在终端服务的应用环境下,终端接到设备的异步串口上,再通过IP网络连接到网络中心服
务器进行业务作业。但是,如果打开了AAA功能,则所有的线路都需要进行登录(Login)认证,那么终端需要先通过了设备的登录认证,才能连接到服务器,这样对终端服务的业务产生了影响。我们可以通过配置将两种线路分开,既让使用终端服务的线路不进行登录认证,直接连接服务器;同时连接到本设备的线路又可以使用登录认证来保证设备的安全。即:设置一个终端服务专用的登录认证列表,但认证方法为none;然后将这个登录认证列表应用在打开终端服务的线路上(其他可以连接到本地的线路不变);这样该终端就不需要进行本地的登录认证了。配置步骤如下:
Ruijie(config)# aaa new-model
Ruijie(config)# usernameRuijiepasswordstarnet
Ruijie(config)# radius-server host 192.168.217.64 Ruijie(config)# radius-server key test
Ruijie(config)# aaa authentication logintest group radius local Ruijie(config)# aaa authentication loginterms none Ruijie(config)# line tty1 4
Ruijie(config-line)# login authentication terms Ruijie(config-line)# exit Ruijie(config)# line tty5 16
Ruijie(config-line)# login authentication test Ruijie(config-line)# exit Ruijie(config)# line vty0 4
Ruijie(config-line)# login authentication test Ruijie(config-line)# end
Ruijie# show running-config !
aaa new-model ! !
aaa authentication login test group radius local aaa authentication login terms none username Ruijie password 0 starnet !
radius-server host 192.168.217.64 radius-server key 7 093b100133 !
line con 0 line aux 0 line tty 1 4
login authentication terms line tty 5 16
login authentication test line vty 0 4
login authentication test ! !
上面例子中,访问服务器使用RADIUS服务器(IP为192.168.217.64)对登录的用户进行
认证,如果RADIUS服务器没有应答,则使用本地数据库进行身份认证。我们使用tty 1-4作为终端服务使用的线路,不需要登录认证,而其他tty和vty线路需要进行登录认证。
44.4 配置授权
AAA授权使管理员能够对用户可使用的服务或权限进行控制。启用AAA授权服务以后,网
络设备通过本地或服务器中的用户配置文件信息对用户的会话进行配置。完成授权以后,该用户只能使用配置文件中允许的服务或只具备许可的权限。 44.4.1 授权类型
锐捷产品目前支持以下AAA授权类型:
? Exec授权
? Command(命令)授权 ? Network(网络)授权
其中Exec授权针对的是用户终端登录到NAS上的CLI界面时,授予用户终端的权限级别
(分为0~15级);命令授权针对的是用户终端登录到NAS上的CLI界面以后,针对具体命令的执行授权;而网络授权针对的是授予网络连接上的用户会话可使用的服务。
?说明 命令授权功能目前仅TACACS+协议支持,具体内容请参考“配置TACACS+”。