AAA协议配置(迈普)

合集下载

AAA配置教案

AAA认证配置、广域网链路引入：通过讲述路由器配置的安全性，为何需要对路由器进行安全认证，限制远程用户的非法连接与授权等，实现网络安全管理。

新授：一、AAA认证配置AAA系统的简称：认证(Authentication)：验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

AAA-----身份验证(Authentication)、授权(Authorization)和统计(Accounting)Cisco开发的一个提供网络安全的系统。

奏见authentication。

authorization和accounting 常用的AAA协议是Radius另外还有HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。

HWTACACS是华为对TACACS进行了扩展的协议HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。

该协议与RADIUS协议类似，主要是通过“客户端－服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于：l RADIUS基于UDP协议，而HWTACACS基于TCP协议。

l RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。

l RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。

认证方案与认证模式AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。

组合认证模式是有先后顺序的。

例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。

迈普路由器基本配置与维护

显示路由表
? sh ip route
? Codes: C - connected, S - static, R - RIP, O - OSPF, OE-OSPF External, M - Management
?
D - Redirect, E - IRMP, EX - IRMP external, o - SNSP, B - BGP
允许本端
172.168.0.0/24这个网段的地址到任意地址
? interface gigaethernet0
进入相应端口
? ip address 116.52.163.178 255.255.255.248 配置IP地址
? ip nat outside
应用NAT为出方向
? exit

? interface gigaethernet2
? ip dhcp pool 外网
配置DHCP地址池
? network 172.168.0.0 255.255.252.0 配置地址范围
? dns-server 222.172.200.68 61.166.150.123 配置DNS
? default-router 172.168.0.254
? Internet 上大约99.99%的路由器上都存在一条缺省路由!
? 缺省路由并不一定都是手工配置的静态路由，有时也可以由动态路由协议产生。
OSPF路由协议介绍 OSPF协议的一些基本概念
?Router ID
一个32bit 的无符号整数，是一台路由器的唯一标识，在整个自治系统内唯一。
?协议号
? ip address 172.168.0.254 255.255.252.0

AAA配置指导

• 用户角色切换认证：在不退出当前登录、不断开当前连接的前提下，用户将当前的用户角色切换为其它用户角色时，只有通过服务器的认证，该切换操作才被允许。关于用户角色切换的详细介绍请参考“基础配置指导”中的“RBAC”。
1.2 AAA配置思路及配置任务简介
在作为 AAA 客户端的接入设备（实现 NAS 功能的网络设备）上，AAA 的基本配置思路如下： (1) 配置 AAA 方案：根据不同的组网环境，配置相应的 AAA 方案。本地认证：由 NAS 自身对用户进行认证、授权和计费。需要配置本地用户，即 local user 的相关属性，包括手动添加用户的用户名和密码等。 (2) 配置实现 AAA 的方法：在用户所属的 ISP 域中分别指定实现认证、授权、计费的方法。 • 认证方法：可选择不认证（none）、本地认证（local）； • 授权方法：可选择不授权（none）、本地授权； • 计费方法：可选择不计费（none）、本地计费（local）。图1-3 AAA 基本配置思路流程图
的方法
配置ISP域的AAA认证方法
1-3
说明四者至少选其一可选三者至少选其一
详细配置 1.3.1 1.4.2 1.4.3
配置任务配置ISP域的AAA授权方法配置ISP域的AAA计费方法
限制同时在线的最大用户连接数
可选
说明
详细配置 1.4.4 1.4.5 1.5
1.3 配置AAA方案
1.3.1 配置本地用户
当用户想要通过 NAS 获得访问其它网络的权利或取得某些网络资源的权利时，首先需要通过 AAA 认证，而 NAS 就起到了验证用户的作用。NAS 负责把用户的认证、授权、计费信息透传给服务器。服务器根据自身的配置对用户的身份进行判断并返回相应的认证、授权、计费结果。NAS 根据服务器返回的结果，决定是否允许用户访问外部网络、获取网络资源。当然，用户也可以只使用 AAA 提供的一种或两种安全服务。例如，公司仅仅想让员工在访问某些特定资源时进行身份认证，那么网络管理员只要配置认证服务器就可以了。但是若希望对员工使用网络的情况进行记录，那么还需要配置计费服务器。目前，设备支持动态口令认证机制。

AAA 配置介绍

分区 SNRS 的第 2 页
R 2(config)#aaa a uthorization c onfig-commands （conf t后面的命令默认不受aaa命令授权的影响，敲上这条以后开始影响。）
Per user command authorization 标示基于用户的命令授权。第一组permit or deny 是指未匹配的ios命令，比如show 第二组 permit or deny 是指框里未罗列的命令比如privilege 当前配置表示，除了show命令其他命令deny，show 后面除了privilege 其他deny。配置时间审计 R2(config)#aaa accounting exec vty start -stop group tacacs+ （定义一条时间审计策略叫做vty） R2(config)#line vty 0 4 R2(config-line)#accounting exec vty（在vty调用时间审计策略）配置命令审计 R2(config)#aaa accounting commands 0 vty start -stop group tacacs+ R2(config)#aaa accounting commands 1 vty start -stop group tacacs+ R2(config)#aaa accounting commands 15 vty start-stop group tacacs+ R2(config)#aaa accounting commands 5 vty start -stop group tacacs+ （定义0,1,5,15级命令审计） R2(config)#line vty 0 4 R2(config-line)#accounting commands 0 vty R2(config-line)#accounting commands 1 vty R2(config-line)#accounting commands 15 vty R2(config-line)#accounting commands 5 vty （调用0,1,5,15命令审计策略。）

AAA认证和授权的配置

Page 8
AAA配置
主机A G0/0/0 10.1.1.1/24 RTA
[RTA-aaa]local-user huawei@huawei password cipher huawei [RTA-aaa]local-user huawei@huawei service-type telnet [RTA-aaa]local-user huawei@huawei privilege level 0
Page 7
AAA配置
主机A G0/0/0 10.1.1.1/24 RTA
[RTA]aaa [RTA-aaa]authentication-scheme auth1 [RTA-aaa-authen-auth1]authentication-mode local [RTA-aaa-authen-auth1]quit [RTA-aaa]authorization-scheme auth2 [RTA-aaa-author-auth2]authorization-mode local [RTA-aaa-author-auth2]quit [RTA-aaa]domain huawei [RTA-aaa-domain-huawei]authentication-scheme auth1 [RTA-aaa-domain-huawei]authorization-scheme auth2 [RTA-aaa-domain-huawei]quit
[RTA]user-interface vty 0 4
[RTA-ui-vty0-4]authentication-mode aaa
Page 9
配置验证
[RTA]display domain name huawei Domain-name Domain-state Authentication-scheme-name Accounting-scheme-name Authorization-scheme-name Service-scheme-name RADIUS-server-template HWTACACS-server-template : huawei : Active : auth1 : default : auth2 : : : -

迈普路由配置常用命令

迈普配置常用命令视图模式介绍：普通视图router>特权视图router# /在普通模式下输入enable全局视图router(config)# /在特权模式下输入config t接口视图router(config-if)# /在全局模式下输入int 接口名称例如int s0或int e0路由协议视图router（config-route）# /在全局模式下输入router 动态路由协议名称1、基本配置：router>enable /进入特权模式router#conf t /进入全局配置模式router(config)# hostname xxx /设置设备名称就好像给我们的计算机起个名字router(config)#enable password /设置特权口令router(config)#no ip domain lookup /不允许路由器缺省使用DNS解析命令router(config)# Service password-encrypt /对所有在路由器上输入的口令进行暗文加密router(config)#line vty 0 4 /进入设置telnet服务模式router(config-line)#password xxx /设置telnet的密码router(config-line)#login /使能可以登陆router(config)#line con 0 /进入控制口的服务模式router(config-line)#password xxx /要设置console的密码router(config-line)#login /使能可以登陆2、接口配置：router(config)#int s0 /进入接口配置模式serial 0 端口配置（如果是模块化的路由器前面加上槽位编号，例如serial0/0 代表这个路由器的0槽位上的第一个接口）router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码router(config-if)#enca hdlc/ppp 捆绑链路协议hdlc 或者ppp 思科缺省串口封装的链路层协议是HDLC所以在show run配置的时候接口上的配置没有，如果要封装为别的链路层协议例如PPP/FR/X25就是看到接口下的enca ppp或者enca frrouter(config)#int loopback /建立环回口(逻辑接口)模拟不同的本机网段router(config-if)#ip add xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx /添加ip 地址和掩码给环回口在物理接口上配置了ip地址后用no shut启用这个物理接口反之可以用shutdown管理性的关闭接口3、路由配置：(1)静态路由router(config)#ip route xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx 下一条或自己的接口router(config)#ip route 0.0.0.0 0.0.0.0 s 0 添加缺省路由(2)动态路由rip协议router(config)#router rip /启动rip协议router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段router(config-router)#version 2 转换为rip 2版本router(config-router)#no auto-summary /关闭自动汇总功能，rip V2才有作用router(config-router)# passive-int 接口名/启动本路由器的那个接口为被动接口router(config-router)# nei xxx.xxx.xxx.xxx /广播转单播报文，指定邻居的接ip,igrp协议-----内部网关路由协议（IGRP：Interior Gateway Routing Protocol）router(config)#router igrp xxx /启动igrp协议router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段router(config-router)#variance xxx /调整倍数因子，使用不等价的负载均衡eigrp---Enhanced Interior Gateway Routing Protocol(增强网关内部路由线路协议)router(config)#router eigrp xxx /启动协议router(config-router)#network xxx.xxx.xxx.xxx /宣告自己的网段router(config-router)#variance xxx /调整倍数因子，使用不等价的负载均衡router(config-router)#no auto-summary /关闭自动汇总功能ospf协议----开放最短路径协议(OSPF)协议router(config)#router ospf xxx /启动协议启动一个OSPF协议进程router(config-router)#network xxx.xxx.xxx.xxx area xxx /宣告自己的接口或网段在ospf的区域中,可以把不同接口宣告在不同区域中router(config-router)#router-id xxx.xxx.xxx.xxx /配置路由的idrouter(config-router)#area xxx stub /配置xxx区域为末梢区域,加入这个区域的路由器全部要配置这个条命令router(config-router)#area xxx stub no-summary /配置xxx区域为完全末梢区域,只在ABR上配置router(config-router)#area xxx nssa /配置xxx区域为非纯末梢区域,加入这个区域的路由器全部要配置这个条命令router(config-router)#area xxx nssa no-summary /配置xxx区域为完全非纯末梢区域,只在ABR上配置,并发布缺省路由信息进入这个区域内的路由器4、保存当前修改/运行的配置：router#write /将RAM中的当前配置存储到NVRAM中，下次路由器启动就是执行保存的配置router#Copy running-config startup-config /命令与write效果一样5、一般的常用命令router(config-if)#exitrouter(config)#router(config-router)#exitrouter(config)#router(config-line)#exitrouter(config)#router(config)#exitrouter#exit命令/从接口、协议、line等视图模式下退回到全局配置模式，或从全局配置模式退回到特权模式router(config-if)#endrouter(config-router)#endrouter(config-line)#endrouter#end命令/从任何视图直接回到特权模式router#Logout /退出当前路由器登陆模式相对与windows的注销router#reload /重新启动路由器（热启动）冷启动就是关闭路由器再打开电源开关特权模式下：router#show ip route /查看当前的路由表router#clear ip route * /清楚当前的路由表router#show ip protocol /查看当前路由器运行的动态路由协议情况router#show ip int brief /查看当前的路由器的接口ip地址启用情况router#show running-config /查看当前运行配置router#show startup-config /查看启动配置router#debug ip pack /打开ip报文的调试router#terminal monitor /输出到终端上显示调试信息router#show ip eigrp neighbors /查看eigrp协议的邻居表router#show ip eigrp top //查看eigrp协议的拓朴表router#show ip eigrp interface /查看当前路由器运行eigrp协议的接口情况router#show ip ospf neighbor /查看当前路由器的ospf协议的邻居表router#show ip ospf interface /查看当前路由器运行ospf协议的接口情况router#clear ip ospf process /清楚当前路由器ospf协议的进程router#Show interfaces /显示设置在路由器和访问服务器上所有接口的统计信息. 显示路由器上配置的所有接口的状态router#Show interfaces serial /显示关于一个串口的信息router#Show ip interface /列出一个接口的IP信息和状态的小结, 列出接口的状态和全局参数。

迈普MyPower S4300千兆汇聚路由交换机配置手册V2.0_命令手册_01_基本管理命令

目录第1章交换机基本配置命令 (1)1.1 基本配置命令 (1)1.1.1 authentication line login (1)1.1.2 boot img (1)1.1.3 boot startup-config (2)1.1.4 clock set (2)1.1.5 config (3)1.1.6 debug ssh-server (3)1.1.7 enable (3)1.1.8 enable password (4)1.1.9 exec-timeout (4)1.1.10 exit (5)1.1.11 help (5)1.1.12 hostname (5)1.1.13 ip host (5)1.1.14 ipv6 host (6)1.1.15 ip http server (6)1.1.16 language (6)1.1.17 login (7)1.1.18 password (7)1.1.19 reload (7)1.1.20 service password-encryption (8)1.1.21 service terminal-length (8)1.1.22 set default (8)1.1.23 setup (9)1.1.24 show clock (9)1.1.25 show temperature (9)1.1.26 show tech-support (10)1.1.27 show version (10)1.1.28 username (10)1.1.29 web language (11)1.1.30 write (11)1.2 远程管理 (11)1.2.1 authentication line login (11)1.2.2 authentication securityip (12)1.2.3 authentication securityipv6 (12)1.2.4 terminal length (13)1.2.5 terminal monitor (13)1.2.6 telnet (13)1.2.7 telnet-server enable (14)1.2.8 telnet-server max-connection (14)1.2.9 ssh-server authentication-retries (15)1.2.10 ssh-server enable (15)1.2.11 ssh-server host-key create rsa (15)1.2.12 ssh-server max-connection (16)1.2.13 ssh-server timeout (16)1.2.14 ssh-user (16)1.2.15 show ssh-server (17)1.2.16 show ssh-user (17)1.2.17 show telnet login (17)1.3 配置交换机的IP地址 (18)1.3.1 interface vlan (18)1.3.2 interface ethernet 0 (18)1.3.3 ip address (18)1.3.4 ipv6 address (19)1.3.5 ip bootp-client enable (19)1.3.6 ip dhcp-client enable (19)1.4 SNMP命令 (20)1.4.1 debug snmp mib (20)1.4.2 debug snmp kernel (20)1.4.3 rmon enable (21)1.4.4 show snmp (21)1.4.5 show snmp engineid (22)1.4.6 show snmp group (23)1.4.7 show snmp mib (23)1.4.8 show snmp status (23)1.4.9 show snmp user (24)1.4.10 show snmp view (24)1.4.11 snmp-server community (25)1.4.12 snmp-server enable (25)1.4.13 snmp-server enable traps (26)1.4.14 snmp-server engineid (26)1.4.15 snmp-server group (27)1.4.16 snmp-server host (27)1.4.17 snmp-server securityip (28)1.4.18 snmp-server securityip (28)1.4.19 snmp-server view (29)1.4.20 snmp-server user (29)1.5 交换机升级命令 (30)1.5.1 copy（FTP） (30)1.5.2 copy（TFTP） (31)1.5.3 dir (32)1.5.4 ftp-server enable (33)1.5.5 ftp-server timeout (33)1.5.6 ip ftp (33)1.5.7 show ftp (34)1.5.8 show tftp (34)1.5.9 tftp-server enable (35)1.5.10 tftp-server retransmission-number (35)1.5.11 tftp-server transmission-timeout (35)第2章集群配置命令 (36)2.1 clear cluster nodes (36)2.2 cluster auto-add (36)2.3 cluster commander (36)2.4 cluster ip-pool (37)2.5 cluster keepalive interval (37)2.6 cluster keepalive loss-count (38)2.7 cluster member (39)2.8 cluster member auto-to-user (39)2.9 cluster reset member (40)2.10 cluster run (40)2.11 cluster update member (41)2.12 debug cluster (41)2.13 debug cluster packets (42)2.14 show cluster (42)2.15 show cluster members (44)2.16 show cluster candidates (45)2.17 show cluster topology (45)2.18 rcommand commander (47)2.19 rcommand member (48)第1章交换机基本配置命令1.1 基本配置命令1.1.1 authentication line login命令：authentication line {console | vty | web} login {local | radius | tacacs}no authentication line {console | vty | web} login功能：配置VTY（即指Telnet和ssh登录方式）、Web和Console方式对登录用户的验证方式和验证选择优先级；该命令的no命令恢复缺省验证方式。

迈普交换机配置

迈普交换机配置迈普交换机配置1、配置举例2、配置交换机名称为“Switch_1”。

语法描述Switch>enable 进入到Enable模式Switch#configure terminal 进入到全局配置模式Switch(config)#hostname Switch_1 配置交换机名称3、设置enable密码（config t 模式下）：enable password [0 | 7 ] string 设置enable密码，string为所要配置的密码4、创建VLAN：vlan [vlan-num]语法描述vlan-num 打开VLAN命令，并进入到VLAN配置模式，值的范围为1~40945、添加VLAN描述:description string string为所增加描述的内容6、在VLAN下添加端口：port port-list untag| tag 配置端口为打标模式或不打标模式7、在端口下绑定PVID号（也就是端口的默认VLAN号）：pvid pvid-num 在端口配置模式下配置（port下）8、启用全局的igmpsnoop：igmpsnoop enable9、在端口下禁用广播风暴抑制功能：storm-control disable10、交换机三网合一配置Switch#show run //查看配置vlan 1 //删除vlan 1中的端口description defaultport 0/0-0/7untaggedvlan 20description VLAN 20 /创建上网VLAN 20port 0/0 tagged /tagged为打标也就是trunkport 0/1 untagged /untagged为非打标也就是accessport 0/1 pvid 20 /设置端口1的PVID为20vlan 2103description VLAN2103 /创建电话VLAN 2103port 0/0 tagged /tagged为打标也就是trunkport 0/2 untagged /untagged为非打标也就是accessport 0/2 pvid 2103 /设置端口2的PVID为2103vlan 2104description VLAN2104 /创建IPTV VLAN 2104port 0/0 tagged /tagged为打标也就是trunkport 0/3-0/6 untagged /untagged为非打标也就是accessport 0/3-0/6 pvid 2104 /设置端口3-6的PVID为2104exit /退出igmpsnoop enable /开启IGMP组播功能Spanning-tree disable /关闭生成树协议port 0/0storm-control disable /广播风暴控制抑制功能关闭exit /退出wr /保存11、端口环路配置迈普交换机环路检测功能需要在端口下配置：keepalive ，举例说明比如您要在0/1端口下开启端口环路检测功能的话port0/1keepalive 100 //其中100为时间，单位是秒，此命令的意思是每100秒检测一次端口环路12、清空配置迈普交换机清空配置的命令为：在特权模式下也就是#后输入filesystem 回车，然后 dir 可以看到显示出来的文件有个叫startup的，这个文件就是存储配置的文件，把这个文件删除就可以清空配置，使用命令delete startup 将startup文件删除，然后再关电重新启动交换机即可。

迈普交换机基本配置

迈普交换机配置1、迈普设备配置基本命令用户名密码为：admin adminSwitch>enable //进入普通用户模式-只能看看Switch#config terminal //进入全局配置模式Switch(config)#vlan 70 //新建vlan 70Switch(config-If-Vlan70)#name guanli //将vlan70命名为guanli Switch(config-If-Vlan70)#ip address 172.17.202.21255.255.255.0//配置交换机管理地址Switch(config-If-Vlan70)#no shutdownSwitch(config-If-Vlan70)#exitSwitch(config)#ip route-static 0.0.0.0 0.0.0.0 172.17.202.1//配置交换机路由Switch(Config)#vlan 338，440 //新建vlan338，440Switch(config)#int ethernet 0/0/1 //进入端口Switch(Config- Ethernet- 0/0/1)#no shutdown //打开端口Switch(Config- Ethernet- 0/0/1)#switchport mode access//将端口定义为access口Switch(Config- Ethernet- 0/0/1)#switchport access vlan 388//将vlan338加入该端口Switch(Config- Ethernet- 0/0/1)#exit //退出Switch(Config)# int ethernet 0/0/12-19;int ethernet 0/0/20 //进入端口组Switch(Config-Port-Range)#switchport mode access //将端口组定义为access口Switch(Config-Port-Range)#switchport access vlan 440//将vlan440加入该端口组Switch(Config-Port-Range)#exit //退出Switch(Config)# int ethernet 0/0/21 //进入端口Switch(Config- Ethernet-0/0/21)# switchport mode trunk//将端口定义为trunk口Switch(Config- Ethernet-0/0/21)#switchport trunk aaowed vlan70;338;440 //该端口允许Vlan70,338,440通过Switch(Config- Ethernet-0/0/21)exit //退出0/0/21 端口Switch(Config)# exit //退出.Switch#write //保存2、迈普设备故障处理基本命令1）查看交换机端口状态2）查看交换机端口描述3）查询mac地址4）修改交换机配置打开端口no shutdown关闭端口no shutdown迈普路由器配置与维护enable 普通用户模式只能看看特权用户模式：filesystem 文件系统模式configure 全局配置模式---- interface 接口配置模式router*** 路由配置模式ipsccess-list 访问列表配置模式voice-port 语音口配置模式dial-peer 拨号端口配置模式系统配置。

迈普交换机基本配置

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

copyright2011迈普通信技术股份有限公司，保留所有权利 2 目录第1章 AAA配置简介 ...................................................................................................................... 3 第2章 AAA基本配置命令 .............................................................................................................. 4 第3章 AAA相关命令描述 .............................................................................................................. 6 第4章 AAA配置示例 .................................................................................................................... 20 第5章 AAA的检测与调试 ............................................................................................................ 22 AAA配置手册

copyright2011迈普通信技术股份有限公司，保留所有权利 3 第1章 AAA配置简介本章主要描述如何在路由器上进行AAA的配置。AAA是认证、授权和统计（Authentication, Authorization and Accounting）的简称。它是运行于网络访问服务器（NAS）上的客户端程序。它提供了一个用来对认证、授权和统计这三种安全功能进行配置的一致性框架。本章主要内容：  配置AAA相关命令描述  AAA配置示例  AAA调试 AAA配置手册

copyright2011迈普通信技术股份有限公司，保留所有权利 4 第2章 AAA基本配置命令命令描述配置模式 aaa new-model *启动AAA config aaa authentication banner *配置AAA认证时显示的标题 config aaa authentication fail-message *配置AAA认证失败时打印的信息 config aaa authentication username-prompt 配置AAA认证时用户名提示符 config aaa authentication password-prompt 配置AAA认证时密码提示符 config aaa authentication login *配置AAA登陆认证 config aaa authentication enable *配置进入特权模式认证 config aaa authentication ppp *配置PPP协商认证 config aaa authentication xauth 配置XAUTH协商认证 config aaa authorization *配置AAA授权 config aaa authorization config-commands 配置启用AAA命令授权 config aaa authorization commands 配置AAA命令授权 config aaa authorization console 配置AAA console口授权 config aaa accounting *配置AAA计费（统计） config aaa accounting commands 配置AAA命令统计 config aaa accounting suppress null-username 配置AAA是否统计用户名为空的用户 config

aaa accounting update 配置AAA计费是否发送临时更新报文 config tacacs-server host *配置TACACS服务器地址 config tacacs-server key 配置TACACS服务的密钥 config tacacs-server timeout 配置TACACS通信时的超时时间 config aaa group server 配置服务器组 config server 配置服务器组成员 config-sg-tacacs config-sg-radius server-private 配置服务器组私有成员 config-sg-tacacs config-sg-radius ip vrf forwarding 配置服务器组VRF属性 config-sg-tacacs config-sg-radius AAA配置手册 copyright2011迈普通信技术股份有限公司，保留所有权利 5 radius-server host *配置RADIUS服务器地址 config radius-server dead-time 配置RADIUS服务器在操作失败之后的沉默时间 config

radius-server key *配置RADIUS服务密钥 config radius-server timeout 配置RADIUS服务器超时时间 config radius-server retransmit 配置RADIUS服务器重传次数 config ip {tacacs|radius} source-interface 配置TACACS和RADIUS的NAS服务器使用的源地址 config

 注： 1. 命令描述前带“*”符号的表示该命令有配置实例详细说明。

2. 配置模式指可以执行该配置命令的模式，如：config、config-if-××（接口名）、config-××（协议名称）等。 AAA配置手册

 aaa authentication banner 修改当用户登录到路由器上时显示的欢迎信息。本命令的no形式恢复缺省欢迎信息。 aaa authentication banner banner no aaa authentication banner 语法描述 banner 登录到路由器上时显示的欢迎信息。欢迎信息头尾用相同的字符作为头尾表示符。如：希望输出的欢迎信息显示为“welcome”，则输入的banner为“^welcome^”。“^”

即是首尾标示符。

【缺省情况】缺省欢迎信息为“User Access Verification”。【命令模式】全局配置模式。

 aaa authentication fail-message 修改当用户登录失败时的提示信息。本命令的no形式恢复缺省提示信息。 aaa authentication fail-message fail-message no aaa authentication fail-message 语法描述 fail-message 用户登录失败时的提示信息。提示信息头尾用相同的字符作为头尾表示符。如：希望输出的失败信息显示为“fail”，则输入的banner为“^fail^”。“^”即是首尾 AAA配置手册 copyright2011迈普通信技术股份有限公司，保留所有权利 7 标示符。【缺省情况】缺省提示信息为“Access denied!”。【命令模式】全局配置模式。

 aaa authentication username-prompt 修改提示用户输入用户名时显示的文本。本命令的no形式恢复缺省显示文本。 aaa authentication username-prompt username-prompt no aaa authentication username-prompt 语法描述 username-prompt 提示用户输入用户名时显示的文本。【缺省情况】缺省显示文本为“login:”。

【命令模式】全局配置模式。

 aaa authentication password-prompt 修改提示用户输入口令时显示的文本。本命令的no形式恢复缺省显示文本。 aaa authentication password-prompt password-prompt no aaa authentication password-prompt 语法描述 password-prompt 提示用户输入口令时显示的文本。【缺省情况】缺省显示文本为“password:”。

【命令模式】全局配置模式。

 aaa authentication login 配置登录身份认证方法列表。本命令的no形式删除方法列表。 aaa authentication login {default | list-name} method1[method2…] no aaa authentication login {default | list-name} 语法描述 default 定义缺省方法列表 list-name 方法列表名 method 认证方法 none：不进行身份认证，直接通过 enable：使用有效口令进行身份认证(全局enable口令) local：使用本地用户数据库进行身份认证