cisco AAA配置

ACS访问原理ACS主要是应用于运行Cisco IOS软件的思科网络设备，当然，ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。

这其中包括：•Cisco Catalyst交换机（运行Cisco Catalyst操作系统[CatOS]）•Cisco PIX防火墙（还有ASA/FWSM ）•Cisco VPN 3000系列集中器不运行Cisco IOS软件的思科设备（如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器）可能也支持启用特权、TACACS＋（验证、授权和记帐[AAA]）命令授权或以上两者。

运行Cisco IOS软件的思科设备提供了两种网络设备管理解决方案：•启用权利(Enable priviledges)•AAA命令授权Cisco IOS软件有16个特权级别，即0到15（其他思科设备可能支持数目更少的特权级别；例如，Cisco VPN 3000集中器支持两个级别）。

在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。

为改变缺省特权级别，您必须运行启用命令，提供用户的启用口令和请求的新特权级别。

如果口令正确，即可授予新特权级别。

请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。

这些等级缺省是有命令集的，比如说等级1只有一些基本的show命令等，而等级15是全部命令的集合。

其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。

缺省级别：特权级别说明0 包括disable, enable, exit, help和logout命令1 包括router>提示值时的所有用户级命令15 包括router#提示值时的所有启用级命令可修改这些级别并定义新级别：enable password level 10 pswd10privilege exec level 10 clear lineprivilege exec level 10 debug ppp chapprivilege exec level 10 debug ppp errorprivilege exec level 10 debug ppp negotiation每个设备上都有静态本地口令与特权级别相关联，这样有一个重要的内在缺陷：每个用户的启用口令必须在用户需访问的每个设备上进行配置。

如何在Cisco设备上来配置AAA的认证?实验设备:cisco 3640路由器1台，PC一台，Console线缆一根，交叉线一根实验拓扑：实验过程：第一步：通过console线缆，使用超级终端或者SecureCRT登录路由器，完成基本配置，同时将交叉线连接到路由器E1/0,t在PC的接口上配置IP为192.168.10.1，掩码255.255.255.0 Router>enableRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#no ip domain-lookupRouter(config)#line console 0Router(config-line)#no exec-tRouter(config-line)#logg syn3640(config)#host R3640R3640(config)#int e1/0R3640(config-if)#ip add 192.168.10.3 255.255.255.0R3640(config-if)#no shR3640(config-if)#end*Mar 1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by consoleR3640#ping 192.168*Mar 1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up *Mar 1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to upR3640#ping 192.168.10.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:.Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms第二步：启用AAA，并配置登录验证为localR3640#conf tEnter configuration commands, one per line. End with CNTL/Z.R3640(config)#aaa ?new-model Enable NEW access control commands and functions.(Disables OLDcommands.)R3640(config)#aaa new-model全局启用AAA功能R3640(config)#aaa authentication login ?当用户登录时启用AAA认证功能，并且定义认证时调用的名字是默认的”default”,还是自己随便定义1个WORD Named authentication list.default The default authentication list.R3640(config)#aaa authentication login default ?指定用哪种认证方式 enable Use enable password for authentication. 使用特权密码group Use Server-group 使用Radius或者Tacacs+协议krb5 Use Kerberos 5 authentication. 使用Kerberoskrb5-telnet Allow logins only if already authenticated via Kerberos VTelnet.line Use line password for authentication. 使用线路认证方式 local Use local username authentication.使用本地认证方式，需配置用户名和密码local-case Use case-sensitive local username authentication.none NO authentication. 不做认证配置当用户登录设备时，使用aaa本地登录认证方式，认证调用的名字为default,认证方式为localR3640(config)#aaa authentication login default local配置本地登录时，使用的用户名和密码。

CISCO交换机配置AAA、802.1X以及VACL（转）一启用AAA、禁用Telnet 以及启用ssh1.启用aaa身份验证，以进行SSH访问：Switch# conf tSwitch(config)# aaa new-model2.配置主机名Switch(config)# hostname sw13.配置本地用户名口令，以便在带外服务器不可用时能够访问交换机sw1(config)# username cisco password cisco4.配置SSHsw1(config)# ipdomain-name sw1(config)# crypto key generate rsa5.配置交换机，使得只能通过SSH以带内方式访问交换机sw1(config)# line vty 0 15sw1(config-line)# transport input sshsw1(config-line)# exitsw1(config)# exit二配置vty的aaa身份验证方式，首先使用radius 服务器，如果服务器不可用，使用本地用户名口令数据库sw1(config)# aaa authentication login TEST group radius linesw1(config)# line vty 0 15sw1(config-line)# login authentication TESTsw1(config-line)# exit三在接口上配置802.1x1.为radius身份验证启用802.1xsw1(config)# aaa authentication dot1x default group radius2.全局启用802.1xsw1(config)#dot1x system-auth-control3.在接口上配置802.1xsw1(config)# int range fa0/2 - 10sw1(config-if-range)# swtichport access vlan 10sw1(config-if-range)# dot1x port-control auto四配置vacl以丢弃所有通过tcp端口8889进入的桢1.配置一个acl，以判断数据包是否通过tcp端口8889进入：sw1(config)# access-list 100 permit tcp any any eq 88892.配置vlan访问映射表：sw1(config)# vlan access-map DROP_WORM 100sw1(config-access-map)# match ip address 100sw1(config-access-map)# action dropsw1(config-access-map)# exit3.将vlan访问表应用于合适的vlansw1(config)#vlan filter DROP_WORM vlan 10-20802.1x工程笔记在某网络测试时，工作笔记。

思科网络设备3A认证的开启及命名3A认证的配制方法一．3A认证概述在Cisco设备中，许多接口，许多地方，为了安全，都需要开启认证服务，比如我们通常配置的console下的密码，进入Privileged EXEC模式的enable密码，VTY线路下的密码，以及其它二层接口的认证密码等等。

这些密码配置在哪里，那里就开启了相应的认证服务。

并且这些认证服务方式是单一的，也没有备份认证方式，更重要的是，这些密码只能读取本地，却不可以通过读取远程服务器的认证方式来给自己提供认证服务。

要想将一个接口的认证方式调用到另外一个接口，或者让某接口使用远程服务器的认证方式，那就需要AAA中的认证来实现。

AAA中的认证可以给设备提供更多的认证方式，AAA认证就相当于一个装有认证方式的容器一样，里面可以有多个认证方式，当这个容器被安装在某个接口，那么这个接口也就拥有了容器中所有的认证方式。

而几乎所有的认证方式都可以被放入这个容器中，包含远程服务器的认证方式。

二．常见的3A认证配置方法（1）tacacs服务器和密码的宣告通常我们使用在全局模式下宣告tacacs服务器及密码的方式进行3A认证的配置，配置命令如图1所示。

图1 全局下tacacs服务器及密码的宣告方法在宣告tacacs服务器时，为了3A认证的冗余性，我们可以在全局模式下同时宣告多个tacacs服务器地址。

配置了多个tacacs服务器地址后，在进行3A认证时，设备会根据tacacs服务器配置的先后顺序逐一进行认证，直到找到一台可用的tacacs服务器，3A认证成功为止。

如图2。

图2 配置多个tacacs服务器这种宣告方式有一个缺陷，虽然我们可以同时宣告多个tacacs服务器，但是却只能宣告一个密码，也就是说用来进行冗余处理的tacacs服务器都必须要配置一样的认证密码，这样不利于网络设备的安全管理。

为了解决这一问题，我们可以将tacacs服务器与密码同时进行宣告，如图3.图3 tacacs服务器与密码同时宣告这种宣告方式解决了全局模式下只能宣告一个密码的问题，并且这种方式同样也可以同时宣告多条，和传统的宣告方式一样，这种新的宣告方式也会根据先后顺序进行逐条的调用。

AAA配置实例+注解cisco上配置AAA，AAA是指用使用Authentication、Authorization、Accounting三种功能对要管理交换机的用户做控制。

Authentication(认证)：对用户的身份进行认证，决定是否允许此用户访问网络设备。

Authorization（授权）:针对用户的不同身份，分配不同的权限，限制每个用户的操作Accounting（计费）：对每个用户的操作进行审计和计费我们一般使用TACACS+、RADIUS协议来做cisco设备的AAA。

RADIUS是标准的协议，很多厂商都支持。

TACACS+是cisco私有的协议，私有意味只有cisco可以使用，TACACS+增加了一些额外的功能。

当用户的身份被认证服务器确认后，用户在能管理交换机或者才能访问网络；在访问设备的时候，我们可以针对这个用户授权，限制用户的行为；最后我们将记录用在设备的进行的操作。

在认证的时候，有一下这些方法：1.在交换机本地进行用户名和密码的设定，也就是在用户登录交换机的收，交换机会对比自己的本地数据库，查看要登录的用户所使用的用户名和密码的正确性。

2.使用一台或多台（组）外部RADIUS服务器认证3.使用一台或多台（组）外部TACACS+服务器认证用一个配置实例，说明交换机上操作username root secret cisco#在交换机本地设置一个用户，用户名是root，密码是cisco。

aaa new-model#在交换机上激活AAAaaa authentication login default group tacacs+local#设置一个登录交换机是认证的顺序，先到tacacs+服务器认证，如果tacacs+服务器出现了故障，不能使用tacacs+认证，我们可以使用交换机的本地数据库认证，也就是用户名root密码ciscoaaa authorization exec default group tacacs+if-authenticated#如果用户通过了认证，那么用户就能获得服务器的允许，运行交换机的EXEC对话aaa authorization commands15default group tacacs+local#在任何权限在使用交换机命令式都要得到tacacs+服务器许可，如果tacacs+出现故障，则要通过本地数据库许可aaa accounting exec default start-stop group tacacs+#记录用户进去EXEC对话的认证信息、用户的地址和对话的开始时间持续时间，记录的过程是从开始到结束aaa accounting commands1default start-stop group tacacs+ aaa accounting commands15default start-stop group tacacs+!tacacs-server host192.168.1.1#定义tacacs服务器地址是192.168.1.1tacacs-server key cisco#定义交换机和tacacs服务器之间通信中使用的key为ciscoline vty04login authentication defaultauthorization exec defaultaccounting exec default最近在搭建公司的ACS，总结了一些经验写在这里。

Username backuser secret gmcc123aaa new-modelaaa authentication login default noneaaa authentication login vty-authen group tacacs+ localaaa authorization config-commandsaaa authorization commands 0 default noneaaa authorization commands 0 vty-author group tacacs+ noneaaa authorization commands 1 default noneaaa authorization commands 1 vty-author group tacacs+ noneaaa authorization commands 15 default noneaaa authorization commands 15 vty-author group tacacs+ noneaaa accounting commands 0 default start-stop group tacacs+aaa accounting commands 1 default start-stop group tacacs+aaa accounting commands 15 default start-stop group tacacs+aaa accounting system default start-stop group tacacs+aaa accounting connection default start-stop group tacacs+ //设备外部连接利用tacacs进行日志记录aaa accounting exec default start-stop group tacacs+ //EXEC模式设备管理利用tacacs进行日志记录aaa group server tacacs+ vty-authen// tacacs+ server-group配置，，要加组名。

CISCO交换机AAA配置一、RADIUS相关配置【必要命令】全局模式switch(config)# aaa new-model注：启用AAA认证switch(config)# aaa authentication dot1x default group radius local注：启用AAA通过RADIUS服务器做认证switch(config)# aaa authorization network default group radius local注：启用AAA通过RADIUS服务器做授权switch(config)# dot1x system-auth-control注：开启全局dot1x控制switch(config)# dot1x guest-vlan supplicant注：允许dot1x验证失败后加入guestvlanswitch(config)# radius-server host 10.134.1.207 auth-port 1812 acct-port 1813 key 123456注：指定NPS服务器的ip地址、认证和授权端口、以及通信密码switch(config)# radius-server vsa send authentication注：允许交换机识别和使用IETF规定的VSA值，用于接受NPS 分配vlanswitch(config)# ip radius source-interface vlan 2注：当交换机有多个IP时，只允许该vlan段的IP作为发送给RADIUS服务器的IP地址端口模式switch(config)# interface FastEthernet0/10注：进入端口模式（批量端口配置命令：interface range FastEthernet0/1 - 48）switch(config-if)# switchport mode access注：端口配置dot1x前必须设置为access模式switch(config-if)# mab（IOS 12.2之前的版本命令：dot1x mac-auth-bypass）注：当dot1x验证超时后会以mac为用户名密码发起验证switch(config-if)# dot1x pae authenticator注：设置交换机的pae模式switch(config-if)# authentication port-control auto（IOS 12.2之前的版本命令：dot1x port-control auto）注：设置dot1x端口控制方式，auto为验证授权switch(config-if)# authentication event no-response action authorize vlan 3（IOS 12.2之前的版本命令：dot1x guest-vlan 3）注：NPS验证失败时放置的vlan【可选命令】全局模式switch(config)# radius-server retransmit 2注：交换机向RADIUS服务器发送报文的重传次数switch(config)# radius-server timeout 2注：交换机向RADIUS服务器发送报文的超时时间端口模式switch(config-if)# dot1x timeout tx-period 2注：交换机向dot1x端口定期多长时间发报文switch(config-if)# dot1x timeout supp-timeout 2注：交换机向客户端发送报文，客户端未回应，多长时间后重发switch(config-if)# dot1x timeout server-timeout 2注：交换机向RADIUS服务器发送报文，服务器未回应，多长时间后重发二、其他【必要命令】SNMP设置switch(config)# snmp-server community skylark RW注：用于管理交换机，接收交换机相关信息DHCP中继代理（在网关交换机上配置）switch(config)# interface vlan 2注：进入vlan接口switch(config-if)# ip helper-address 10.134.1.207注：设置DHCP地址，使不同vlan的客户端可以获取IP地址【可选命令】DHCP SNOOPINGswitch(config)# ip dhcp snooping注：开启全局DHCP SNOOPYING功能switch(config)# ip dhcp snooping vlan 2注：指定DHCP SNOOPYING范围switch(config)# interface g0/1注：进入接口（配置级联端口和连接DHCP服务器的端口为信任端口）switch(config-if)# ip dhcp snooping trust注：设置该端口为信任端口，默认其它未设置端口则为不信任端口，丢弃不信任的DHCP报文IP SOURCE GUARDswitch(config)# interface vlan 2注：进入vlan接口switch(config-if)# ip verify source port-security注：动态绑定DHCP-SNOOPING表项，过滤掉其它数据(无port-security则只绑定ip，有port-security则是绑定ip+mac)相关命令show ip dhcp snooping bindingSTP生成树Switch(config-if)# spanning-tree portfast注：生成树的端口快速转发，更加快速从DHCP获取IP地址端口错误检测switch(config)# errdisable recovery cause all注：防止交换机端口因异常被关闭，恢复其正常状态switch(config)# errdisable recovery interval 30注：设置交换机端口故障关闭时间，过后关闭的端口自动打开。

cisco AAA认证服务器及设备配置AAA代表Authentication、Authorization、Accounting，意为认证、授权、记帐，其主要目的是管理哪些用户可以访问服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记帐。

1、认证：验证用户是否可以获得访问权限——“你是谁？”2、授权：授权用户可以使用哪些资源——“你能干什么？”3、记帐：记录用户使用网络资源的情况——“你干了些什么？”好的，简单的了解理论知识后，接下来我们还是以实验的方式来进行讲解：为网络提供AAA服务的，主要有TACACS+和RADIUS协议，我们主要介绍是TACACS+协议，因为它运行在TCP协议基础之上，更适合大型网络，特别是融合型网络一、实验拓扑介绍该实验主要完成R1路由通过ACS服务器实现AAA认证，包括验证、授权和记帐，同时还包括PPP验证和计时通过cisco ACS实验二、安装cisco ACS1、硬软件要求硬件：Pentium IV 处理器， 1.8 GHz 或者更高操作系统：Windows 2000 ServerWindows 2000 Advanced Server (Service Pack 4)Windows Server 2003， Enterprise Edition or StandardEdition (Service Pack 1)内存：最小1GB虚拟内存：最小1GB硬盘空间：最小1GB可用空间，实际大小根据日志文件的增长，复制和备份的需求而定。

浏览器：Microsoft Internet Explorer 6 或者更高版本JAVA运行环境：Sun JRE 1.4.2_04 或更高版本网络要求：在CISCO IOS 设备上为了全面的支持TACACS+ 和 RADIUS，AAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。

非CISCO IOS 设备上必须用TACACS+，RADIUS或者两者一起配置。

在思科路由器上配置AAA认证在思科路由器上配置AAA认证⼀、实验拓扑⼆、地址表三、AAA配置过程1.在R1配置本地⽤户名并为console配置本地AAA认证和VTY连接认证R1(config)#username admin1 password admin1R1(config)# aaa new-modelR1(config)#aaa authentication login default localR1(config)#line console 0R1(config-line)#login authentication default验证⽤户EXEC登⼊使⽤本地数据库------VTY连接认证R1(config)# aaa authentication login telnet-login localR1(config)# line vty 0 4R1(config-line)# login authentication telnet-login验证Telnet配置。

让PC-Aping通R12.在R2进⾏有关TACACS+服务器的详细配置R2(config)#username admin2 password admin2R2(config)#tacacs-server host 192.168.2.2R2(config)#tacacs-server key admin2R2(config)#aaa new-modelR2(config)#aaa authentication login default group tacacs+ localR2(config)#line console 0R2(config-line)#login authentication defaultTACACS+服务器配置⽤AAA TACACS+服务器验证⽤户EXEC的登⼊3.在R3⽤RADIUS配置基于服务器的AAA认证R3(config)#username admin3 password admin3R3(config)#tacacs-server host 192.168.3.2R3(config)#tacacs-server key admin3R3(config)#aaa new-modelR3(config)#aaa authentication login default group radius local R3(config)#line console 0R3(config-line)#login authentication defaultRADIUS服务器配置四、⽹络测试1.PC-A ping PC-B2.PC-A ping PC-C3.PC-C ping PC-B。

CISCO交换机配置AAA、802.1X以及VACL（转）一启用AAA、禁用Telnet 以及启用ssh1.启用aaa身份验证，以进行SSH访问：Switch# conf tSwitch(config)# aaa new-model2.配置主机名Switch(config)# hostname sw13.配置本地用户名口令，以便在带外服务器不可用时能够访问交换机sw1(config)# username cisco password cisco4.配置SSHsw1(config)# ipdomain-name sw1(config)# crypto key generate rsa5.配置交换机，使得只能通过SSH以带内方式访问交换机sw1(config)# line vty 0 15sw1(config-line)# transport input sshsw1(config-line)# exitsw1(config)# exit二配置vty的aaa身份验证方式，首先使用radius 服务器，如果服务器不可用，使用本地用户名口令数据库sw1(config)# aaa authentication login TEST group radius linesw1(config)# line vty 0 15sw1(config-line)# login authentication TESTsw1(config-line)# exit三在接口上配置802.1x1.为radius身份验证启用802.1xsw1(config)# aaa authentication dot1x default group radius2.全局启用802.1xsw1(config)#dot1x system-auth-control3.在接口上配置802.1xsw1(config)# int range fa0/2 - 10sw1(config-if-range)# swtichport access vlan 10sw1(config-if-range)# dot1x port-control auto四配置vacl以丢弃所有通过tcp端口8889进入的桢1.配置一个acl，以判断数据包是否通过tcp端口8889进入：sw1(config)# access-list 100 permit tcp any any eq 88892.配置vlan访问映射表：sw1(config)# vlan access-map DROP_WORM 100sw1(config-access-map)# match ip address 100sw1(config-access-map)# action dropsw1(config-access-map)# exit3.将vlan访问表应用于合适的vlansw1(config)#vlan filter DROP_WORM vlan 10-20802.1x工程笔记在某网络测试时，工作笔记。

原创－学习cisco AAA简单易懂教程（一）AAA学习笔记一、简介AAA是Authentication(认证)Authorization授权 Account记帐的简称；它们不是必须的也不是要同时一起使用的；他们可以使用路由器设备本地数据库，也可以使用外部数据库（ACS）；首先我们要认证，即通过密码验证；我们就算没有设置其实也用到了认证，就是登陆路由器要输入的密码，这个叫enable，我们在配置了，username abc password aaa 使用这个帐号的话，叫local;这二种是本地的数据库，如果要用到认证服务器，如tacacs+ radius 就属于group 服务器组方式了，这时你必须要在tacacs+ radius中选一个，同时还最多可选三个其它的认证方式；当然如果你对你的服务器和网络环境有信心的话可以不选。

二、配置教程一、使用它们都是三个步骤1、建立帐户数据库（本地或认证服务器）；2、定义列表；3、应用到接口和链路；二、首先我们要启用AAA功能aaa new-model三、一般来说第二步定义一个本地数据库防止配置失误造成无法登陆Username abc password aaa四、定义认证配置认证相当于在问你是谁，你要回答我是哪个；但不可能不停的在问就算不烦嗓子也疼啊，只有在进门时我会问下你是谁，开保险柜时我在问下你是谁，或者是检查指纹测试瞳孔什么的等等；所以我们要对动作进行认证定义。

aaa authentication行为列表名认证方法1、行为主要有以下三种：aaa authentication login ――――――当有一个登陆行为时进行认证；aaa authenticati on ppp ――――――对基于PPP协议的一些网络应用进行认证；aaa authentication enable ――――――对使用enable命令进入特权模式时进行认证；2、列表名是自己定义的，这样我们可以把各种认证方式互相组合保存成一个个列表，用的时候方便，修改起来也方便，我改了一个列表里的认证方式那么所有使用这个列表的地方都改了，不需要去一个个地方去改了。

下面为完整配置命令（蓝色字体为配置的相关参数，在路由器配置的过程中，某些为自由命名，某些为固定参数，建议不修改；红色字体实施现场的网络参数，应根据现场网络做出相应的改变）CISCO设备相关模式解释：> 用户EXEL模式# 特权模式（输入enable，回车）(config)# 全局配置模式（输入configure terminal）(config-int）# 接口配置模式（输入interface ）例子：>enable#configure terminal（config）#interface fastethernet 0/0（config-int）#进入特权模式后configure terminal #进入配置模式aaa new-model #开启AAA认证模式aaa authentication ppp default group radius #默认认证配置aaa authentication ppp vpdn group radius #参数认证配置aaa authorization network default group radius #授权配置aaa accounting update periodic 1 #1分钟计费更新aaa accounting network default start-stop group radius #开始、结束计费aaa pod server auth-type any server-key wingo #剔除用户aaa session-id common #设置会话ID 注意：配置aaa new-model了以后，再次远程登录路由器时是要要求输入用户名密码的，因此，在输入之前，请先配置远程登录路由器的用户名、密码；具体命令：>enable#conf t(可简写)（config）#username xxx password xxxvpdn enable #启动VPDN vpdn-group wingo-l2tp #设置VPDN组accept-dialin #允许接入protocol l2tp #配置l2tp协议virtual-template 2 #创建虚拟模版2 exitno l2tp tunnel authentication #关闭l2tp隧道认证exitvpdn-group wingo-pptp#设置VPDN组accept-dialin #允许接入protocol pptp #配置pptp协议virtual-template 1 #创建虚拟模版1 exitexitinterface Virtual-Template1 #进入模版1接口模式ip unnumbered fastethernet0/0 #借用内网端口peer default ip address pool wingo-pptp-pool#指向pptp地址池ppp authentication chap ms-chap #配置认证方式exitinterface Virtual-Template2 #进入模版2接口模式ip unnumbered fastethernet0/0 #借用内网端口peer default ip address pool wingo-l2tp-pool #指向l2tp地址池ppp authentication chap ms-chap #配置认证方式exitip local pool wingo-pptp-pool 192.168.1.211 192.168.1.230#配置pptp地址池ip local pool wingo-l2tp-pool 192.168.1.231 192.168.1.240#配置l2tp地址池radius-server attribute list wingoattribute #配置radius服务器属性attribute 4,6,8,11,25,30-32,44,55,69,77,188,218 #配置相关属性值exitradius-server attribute 31 mac format ietf #配置拨入ID属性值为mac地址radius-server host 192.168.1.65 auth-port 1812 acct-port 1813#指向服务器radius-server key wingo #与服务器间协商的钥匙radius-server accounting system host-config #发送系统的计费记录到radius服务器radius-server vsa send cisco-nas-port #发送cisco属性端口到radius服务器（专用）radius-server vsa send accounting #发送计费要求到radius服务器radius-server vsa send authentication #发送认证要求到radius服务器修改好红色部分参数以后直接在特权模式下直接粘贴以下配置即可conf taaa new-modelaaa authentication ppp default group radiusaaa authentication ppp vpdn group radiusaaa authorization network default group radiusaaa accounting update periodic 1aaa accounting network default start-stop group radiusaaa pod server auth-type any server-key wingoaaa session-id commonvpdn enablevpdn-group wingo-l2tpaccept-dialinprotocol l2tpvirtual-template 2exitno l2tp tunnel authenticationexitvpdn-group wingo-pptpaccept-dialinprotocol pptpvirtual-template 1exitexitinterface Virtual-Template1ip unnumbered fastethernet0/0peer default ip address pool wingo-pptp-poolppp authentication chap ms-chapexitinterface Virtual-Template2ip unnumbered fastethernet0/0peer default ip address pool wingo-l2tp-poolppp authentication chap ms-chapexitip local pool wingo-pptp-pool 192.168.1.211 192.168.1.230ip local pool wingo-l2tp-pool 192.168.1.231 192.168.1.240 radius-server attribute list wingoattributeattribute 4,6,8,11,25,30-32,44,55,69,77,188,218exitradius-server attribute 31 mac format ietfradius-server host 192.168.1.65 auth-port 1812 acct-port 1813 radius-server key wingoradius-server accounting system host-configradius-server vsa send cisco-nas-portradius-server vsa send accountingradius-server vsa send authentication。

AAA协议配置手册目录第1章AAA配置简介 (3)第2章AAA基本配置命令 (4)第3章AAA相关命令描述 (6)第4章AAA配置示例 (20)第5章AAA的检测与调试 (22)第1章AAA配置简介本章主要描述如何在路由器上进行AAA的配置。

AAA是认证、授权和统计（Authentication, Authorization and Accounting）的简称。

它是运行于网络访问服务器（NAS）上的客户端程序。

它提供了一个用来对认证、授权和统计这三种安全功能进行配置的一致性框架。

本章主要内容：●配置AAA相关命令描述●AAA配置示例●AAA调试第2章AAA基本配置命令1.命令描述前带“*”符号的表示该命令有配置实例详细说明。

2.配置模式指可以执行该配置命令的模式，如：config、config-if-××（接口名）、config-××（协议名称）等。

第3章AAA相关命令描述⏹aaa new-model在路由器上启动AAA功能。

本命令的no形式用来关闭AAA。

aaa new-modelno aaa new-model【缺省情况】不启动AAA。

【命令模式】全局配置模式。

注：执行了此命令后AAA的其他配置命令才可见。

⏹aaa authentication banner修改当用户登录到路由器上时显示的欢迎信息。

本命令的no形式恢复缺省欢迎信息。

aaa authentication banner bannerno aaa authentication banner语法描述banner 登录到路由器上时显示的欢迎信息。

欢迎信息头尾用相同的字符作为头尾表示符。

如：希望输出的欢迎信息显示为“welcome”，则输入的banner为“^welcome^”。

“^”即是首尾标示符。

【缺省情况】缺省欢迎信息为“User Access Verification”。

【命令模式】全局配置模式。

第一步：IOS设备线下保护策略任务：保障console不受影响（1、网络问题2、配置问题），始终可以登陆启用AAAAAA(config)# aaa new-model配置线下保护策略AAA(config)# aaa authentication login noacs line none命令解释：login（登陆）认证策略策略为先使用线下密码认证（line），如果没有线下密码就不认证策略名叫做noacs调用线下保护策略AAA(config)# line console 0AAA(config-line)# login authentication noacs第二步：定义AAA SERVER传统定义AAA服务器命令（推荐）AAA(config)# tacacs-server host 192.168.1.241 key ciscoAAA(config)# radius-server host 192.168.1.241 key cisco新定义AAA服务器命令aaa group server radius R.Groupserver-private 192.168.1.241 key ciscoaaa group server tacacs+ T.Groupserver-private 192.168.1.241 key cisco第三步：ACS定义AAA客户端“network configuration”-->“add entry”，定义AAA clients：填入route的IP和配置的文档“hostname”可以随便，只有本地意义：点击“submit+apply”确认：第四步：ACS定义AAA用户点击“user setep”→“user”，填入要创建的用户名，然后点击“add/edit”：输入密码：然后点击“submit”：第五步：测试AAA用户测试AAA服务器AAA# test aaa group tacacs+ cisco cisco new-codesending passwordusersuccessfilly authenticated测试成功表示前期准备正确：里边的cisco cisco代表用户名和密码。

Cisco路由器支持的AAA计费-电脑资料Cisco路由器支持的AAA计费第一步：基本接口的配置Router(config)#host Rack244R1Rack244R1(config)#int e0/0Rack244R1(config-if)#ip add 12.0.0.1 255.255.255.0Rack244R1(config-if)#no shRack244R1(config-if)#int e1/0Rack244R1(config-if)#ip add 172.16.18.11 255.255.0.0Rack244R1(config-if)#no shRouter(config)#host Rack244R2Rack244R2(config)#int e0/0Rack244R2(config-if)#ip add 12.0.0.2 255.255.255.0cRack244R2(config-if)#no sh第二步：配置R1的AAA计费Rack244R1#conf tRack244R1(config)#aaa authentication login default group tacacs+Rack244R1(config)#aaa accounting exec telnet start-stop group tacacs+Rack244R1(config)#aaa accounting commands 15 telnet-cmd start-stop group tacacs+Rack244R1(config)#tacacs-server host 172.16.18.203 key ciscoRack244R1(config)#li vty 0 4Rack244R1(config-line)#accounting exec telnetRack244R1(config-line)#accounting exec telnetRack244R1(config-line)#accounting commands 15 telnet-cmdRack244R1(config-line)#第三步：从R2上telnet R1Rack244R1#telnet 12.0.0.1Trying 12.0.0.1 ... OpenUsername: ciscoPassword:Rack244R1>ciscoTranslating "cisco"Translating "cisco"% Unknown command or computer name, or unable to find computer addressRack244R1>enPassword:Rack244R1#conf t第四步:输入一些命令以便产生计费信息Rack244R1(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2Rack244R1(config)#router ripRack244R1(config-router)#ver 2Rack244R1(config-router)#net 12.0.0.0Rack244R1(config-router)#exitRack244R1(config)#router ospf 94Rack244R1(config-router)#net 0.0.0.0 0.0.0.0 a 0Rack244R1(config-router)#exitRack244R1(config)#第五步：可以看到已经产生计费信息了.。

ＣＩＳＣＯ A S A 设置ASA5510# write erase 清除ASA配置兩點注意事項1. 不要再下wr或者copy running-config startup-config2. 先要show version將下面的Information備份下來Running Activation Key: 0x0000000 0x00000000 0x00000000 0x00000000 0x843cd8aehostname ASA5510domain-name default.domain.invalidenable password XXVfCWsIr6DY92H0 encrypted 設定enable passwordnamesdns-guard!interface Ethernet0/0nameif outside 給接口命名security-level 0 設置安全等級ip address xxx.xxx.xxx.xxx 255.255.255.248 設定IP address and Subnet Mask 別忘了下no shutdown !interface Ethernet0/1nameif insidesecurity-level 100ip address 10.6.1.1 255.255.255.0!interface Ethernet0/2shutdownno nameifno security-levelno ip address!interface Ethernet0/3shutdownno nameifno security-levelno ip address!interface Management0/0shutdown 管理接口，nameif management 通常情況我是將他SHUTDOWN的security-level 100ip address 192.168.1.1 255.255.255.0management-only!passwd 2KFQnbNIdI.2KYOU encrypted 設置telnet密碼boot system disk0:/asa722-k8.bin 設置開機引導的IOS文件不知道用什麽文件引導的话，可以先show flash查看一下,選擇最新的就可以了。