设备登陆认证、命令授权、命令记账配置案例（对接锐捷或思科设备）

羊村你喜哥 · 发表于 2025-3-27 21:41:39

本帖最后由羊村你喜哥于 2025-3-27 21:44 编辑

设备登陆认证、命令授权、命令记账配置案例（对接锐捷或思科设备）

案例一：AAA登陆认证

一、Bestscout配置

1、添加认证策略

选择【策略管理】——【认证策略】——【添加】，设置策略，确定提交。

策略名称：机房设备管理。

用户认证模式：本地用户认证。

静态密码：开启。

动态密码：关闭。

2、添加设备分组

【策略管理】——【设备管理】——【添加】，设置分组名称，确认提交。

分组名称：机房设备管理。

3、添加设备

【策略管理】——【设备管理】——【机房设备管理】——【添加】，设置设备信息，确认提交。

设备类型：路由器。

设备品牌：锐捷。

前端登陆控制：防止爆破登陆锁NAS设备。

设备名称：Ruijie-Test。

认证策略：机房设备管理。

地址类型：单一IP地址。

设备IP地址：10.103.36.121。使用路由器与AAA通信的IP地址。

NAS标识：空。

共享密钥：ruijie。

4、添加根架构

【用户管理】——【组织架构】——【添加根架构】，设置架构名称，确认提交。

组织架构名称或备注：机房用户。

5、添加用户

【用户管理】——【组织架构】——【机房用户】，添加账号，确认提交。

用户账号：test001。

用户密码：test001。

二、锐捷路由器配置

interface GigabitEthernet 0/0

ip address 10.103.36.121 255.255.0.0

aaa new-model

aaa authentication login TEST group tacacs+

aaa accounting exec TEST start-stop group tacacs+

tacacs-server host 172.29.17.57 key ruijie

line vty 0 35

accounting exec TEST

login authentication TEST

三、测试效果

1、Telnet登陆路由器

2、Bestscout上查看登陆日志

案例二：AAA命令授权和审计

一、Bestscout配置（在案例一的基础上新增以下配置）

1、添加授权命令组

【Tacacs+】——【授权命令配置】——【添加】，设置命令组，确认提交。

选择未匹配的命令——允许，则未在命令列表中的配置命令均允许执行；拒绝，则则未在命令列表中的配置命令均不允许执行。

【Tacacs+】——【授权命令配置】，点击授权命令组【机房禁止命令】，添加命令列表。

2、关联命令组

【策略管理】——【认证策略】，点击【机房设备管理】——【命令策略】——【添加】，设置命令策略，确定提交。

一、路由器配置

aaa new-model

aaa accounting update

aaa accounting exec TEST start-stop group tacacs+

aaa accounting commands 0 TEST start-stop group tacacs+

aaa accounting commands 1 TEST start-stop group tacacs+

aaa accounting commands 2 TEST start-stop group tacacs+

aaa accounting commands 3 TEST start-stop group tacacs+

aaa accounting commands 4 TEST start-stop group tacacs+

aaa accounting commands 5 TEST start-stop group tacacs+

aaa accounting commands 6 TEST start-stop group tacacs+

aaa accounting commands 7 TEST start-stop group tacacs+

aaa accounting commands 8 TEST start-stop group tacacs+

aaa accounting commands 9 TEST start-stop group tacacs+

aaa accounting commands 10 TEST start-stop group tacacs+

aaa accounting commands 11 TEST start-stop group tacacs+

aaa accounting commands 12 TEST start-stop group tacacs+

aaa accounting commands 13 TEST start-stop group tacacs+

aaa accounting commands 14 TEST start-stop group tacacs+

aaa accounting commands 15 TEST start-stop group tacacs+

aaa authorization config-commands

aaa authorization commands 0 TEST group tacacs+

aaa authorization commands 1 TEST group tacacs+

aaa authorization commands 2 TEST group tacacs+

aaa authorization commands 3 TEST group tacacs+

aaa authorization commands 4 TEST group tacacs+

aaa authorization commands 5 TEST group tacacs+

aaa authorization commands 6 TEST group tacacs+

aaa authorization commands 7 TEST group tacacs+

aaa authorization commands 8 TEST group tacacs+

aaa authorization commands 9 TEST group tacacs+

aaa authorization commands 10 TEST group tacacs+

aaa authorization commands 11 TEST group tacacs+

aaa authorization commands 12 TEST group tacacs+

aaa authorization commands 13 TEST group tacacs+

aaa authorization commands 14 TEST group tacacs+

aaa authorization commands 15 TEST group tacacs+

aaa authentication login TEST group tacacs+

tacacs-server host 172.29.17.57 key ruijie

line vty 0 35

accounting exec TEST

accounting commands 0 TEST

accounting commands 1 TEST

accounting commands 2 TEST

accounting commands 3 TEST

accounting commands 4 TEST

accounting commands 5 TEST

accounting commands 6 TEST

accounting commands 7 TEST

accounting commands 8 TEST

accounting commands 9 TEST

accounting commands 10 TEST

accounting commands 11 TEST

accounting commands 12 TEST

accounting commands 13 TEST

accounting commands 14 TEST

accounting commands 15 TEST

authorization commands 0 TEST

authorization commands 1 TEST

authorization commands 2 TEST

authorization commands 3 TEST

authorization commands 4 TEST

authorization commands 5 TEST

authorization commands 6 TEST

authorization commands 7 TEST

authorization commands 8 TEST

authorization commands 9 TEST

authorization commands 10 TEST

authorization commands 11 TEST

authorization commands 12 TEST

authorization commands 13 TEST

authorization commands 14 TEST

authorization commands 15 TEST

login authentication TEST

三、测试效果

1、路由器上执行AAA禁止的命令，授权失败。

2、路由器上执行命令，AAA均能查到记录。

lingroger · 发表于 2025-3-29 09:57:45

好帖，值得推荐，加油

pcyft · 发表于 2025-4-3 12:59:17

好用,值得推荐

		自动登录	找回密码
密码			注册获取授权

设备登陆认证、命令授权、命令记账配置案例（对接锐捷或思科设备）

本帖子中包含更多资源