aaa 认证配置命令 要想把 AAA 配得稳稳当当,先把思路理顺。别总想着从最启动的 RADIUS 说起,那是给别人看的,自己干活得看本地配置。本地认证实际上就是你手边那台路由器要么换机自己的“身份证”,比对文件里的指纹,匹配上了就能进。
要是本地文件里有 PAM 那个,那就更好办,密码直接存上去就行。
不过别急着写命令,先问自己:我要的是哪位能用?要是只授权给网管,那本地配个包含用户和权限的文本文件就充足了,不需求像 RADIUS 那样去拨号服务器要授权码。 命令行里得小心点,不同厂商的写法别看都有个 A,但具体参数还是得看说明书。Cisco 的 router(config) 里,先拉通 RADIUS 服务器,没错,这一步得先做,不然后面配本地认证全盘皆输。命令是 `aaa authentication login local recursive radius`。
这里有个逻辑要理清楚,`recursive` 这个参数是关键,它意味着当本地文件里没找到匹配的用户时,路由器会再去问问 RADIUS 服务器要授权码,这样整个流程就闭环了。
要是不加 `recursive`,那本地没配上的用户就只能白跑一趟,这在实际网络里挺坑人的。
比如你配了 `username admin password 123 local`,但忘了配 `username admin password 123 radius`,这时候用户 `admin` 登录,本地查不到,直接回绝,用户体验极差。
故此,测试完本地配置后,记得顺便把 `recursive` 加上去,保证万无一失。 到了配置区域,还得注意一下全局参数。命令是 `aaa accounting netflow v9 local`,这个主要是为了把认证和计费连起来。记得检查权限系数,比如 `authentication context 1`,这拍板了每次认证消耗多少流量,值设小了好办被踢下线,值设大了又浪费资源。
还有那个 `logging` 局部,`authentication account logging 3` 这行,告诉设备认证黄了时开启日志,撇脱赶明儿查故障。日志级别用数字,0 不记录,1-5 记录不同内容,别把级别设忒高,不然满屏报错反而影响维护。 再说说本地文件这块,别一上来就搞复杂。先确保目录里有,用 `config text` 要么 `config file` 命令,把用户字典和权限列表拖进去。
这里有个小陷阱,权限属性默认是本地生效,要是要远程服务器也能用,记得把 `authentication local` 改成 `authentication local recursive` 要么 `authentication local recursive radius`,这样授权管住就松了。
不过要是只信任本地,要么本地文件看着乱,干脆直接删了本地文件,拉上 RADIUS 服务器,让服务器自动做认证。
这样维护起来好办,改个用户名要么权限等级,服务器端顺便改,不用到处找配置。 实际干活的时候,别盲目堆参数。先加一个测试账号,比如 `testuser testpass local`,看看登录通不通。
不通就盯着日志看,是不是 RADIUS 服务器没连上?
是不是权限路径错了?要是是本地没配到用户,就赶紧配上去,配完记得加 `recursive radius` 这一句。配好了再对应实际的业务需求,比如设备 A 只能用本地,设备 B 务必得授权码,那就得写多个用户对象,要么分不同的组去配。别指望一个命令搞定所有场景,不同的场景可能需求不同的逻辑判断。 最终别忘了测试。把账号插进去,敲一下 telnet 要么 SSH,登录进去看看。配置没生效?那就检查全局参数是否对,RADIUS 服务器 IP 端口对没对。有些设备默认端口是 1812,有些是 1813,别配错端口,认证就废了。
还有那个 `context` 值,别随意设,先试个默认的,确认能进再说。
要是连本地认证都搞不定,那再寻思要不要换种认证方式,比如改用 Kerberos、TACACS+ 要么纯 RADIUS 模式。 总结一下,AAA 配置的核心就是本地和本地的递归联动,别忘了 `recursive` 这个关键字,别光配本地忘了远程授权,也别光配远程忘了本地兜底。文件配置要好办直观,日志配置要灵活分级,最终务必全链路通联。配置完别急着关,留个测试账号,确保能进、能用、可管,这才是真本事。