目录
第1章 AAA配置简介 3
第2章 AAA基本配置命令 4
第3章 AAA相关命令描述 6
第4章 AAA配置示例 20
第5章 AAA的检测与调试 22
AAA配置简介
本章主要描述如何在路由器上进行AAA的配置。AAA是认证、授权和统计(Authentication, Authorization and Accounting)的简称。它是运行于网络访问服务器(NAS)上的客户端程序。它提供了一个用来对认证、授权和统计这三种安全功能进行配置的一致性框架。
本章主要内容:
●配置AAA相关命令描述
●AAA配置示例
●AAA调试
AAA基本配置命令
| 命令 | 描述 | 配置模式 |
| aaa new-model | *启动AAA | config |
| aaa authentication banner | *配置AAA认证时显示的标题 | config |
| aaa authentication fail-message | *配置AAA认证失败时打印的信息 | config |
| aaa authentication username-prompt | 配置AAA认证时用户名提示符 | config |
| aaa authentication password-prompt | 配置AAA认证时密码提示符 | config |
| aaa authentication login | *配置AAA登陆认证 | config |
| aaa authentication enable | *配置进入模式认证 | config |
| aaa authentication ppp | *配置PPP协商认证 | config |
| aaa authentication xauth | 配置XAUTH协商认证 | config |
| aaa authorization | *配置AAA授权 | config |
| aaa authorization config-commands | 配置启用AAA命令授权 | config |
| aaa authorization commands | 配置AAA命令授权 | config |
| aaa authorization console | 配置AAA console口授权 | config |
| aaa accounting | *配置AAA计费(统计) | config |
| aaa accounting commands | 配置AAA命令统计 | config |
| aaa accounting suppress null-username | 配置AAA是否统计用户名为空的用户 | config |
| aaa accounting update | 配置AAA计费是否发送临时更新报文 | config |
| tacacs-server host | *配置TACACS服务器地址 | config |
| tacacs-server key | 配置TACACS服务的密钥 | config |
| tacacs-server timeout | 配置TACACS通信时的超时时间 | config |
| aaa group server | 配置服务器组 | config |
| server | 配置服务器组成员 | config-sg-tacacs config-sg-radius |
| server-private | 配置服务器组私有成员 | config-sg-tacacs config-sg-radius |
| ip vrf forwarding | 配置服务器组VRF属性 | config-sg-tacacs config-sg-radius |
| radius-server host | *配置RADIUS服务器地址 | config |
| radius-server dead-time | 配置RADIUS服务器在操作失败之后的沉默时间 | config |
| radius-server key | *配置RADIUS服务密钥 | config |
| radius-server timeout | 配置RADIUS服务器超时时间 | config |
| radius-server retransmit | 配置RADIUS服务器重传次数 | config |
| ip {tacacs|radius} source-interface | 配置TACACS和RADIUS的NAS服务器使用的源地址 | config |
1.命令描述前带“*”符号的表示该命令有配置实例详细说明。
2.配置模式指可以执行该配置命令的模式,如:config、config-if-××(接口名)、config-××(协议名称)等。
AAA相关命令描述
aaa new-model
在路由器上启动AAA功能。本命令的no形式用来关闭AAA。
aaa new-model
no aaa new-model
【缺省情况】不启动AAA。
【命令模式】全局配置模式。
注:
执行了此命令后AAA的其他配置命令才可见。
aaa authentication banner
修改当用户登录到路由器上时显示的欢迎信息。本命令的no形式恢复缺省欢迎信息。
aaa authentication banner banner
no aaa authentication banner
| 语法 | 描述 |
| banner | 登录到路由器上时显示的欢迎信息。欢迎信息头尾用相同的字符作为头尾表示符。如:希望输出的欢迎信息显示为“welcome”,则输入的banner为“^welcome^”。“^”即是首尾标示符。 |
【命令模式】全局配置模式。
aaa authentication fail-message
修改当用户登录失败时的提示信息。本命令的no形式恢复缺省提示信息。
aaa authentication fail-message fail-message
no aaa authentication fail-message
| 语法 | 描述 |
| fail-message | 用户登录失败时的提示信息。提示信息头尾用相同的字符作为头尾表示符。如:希望输出的失败信息显示为“fail”,则输入的banner为“^fail^”。“^”即是首尾标示符。 |
【命令模式】全局配置模式。
aaa authentication username-prompt
修改提示用户输入用户名时显示的文本。本命令的no形式恢复缺省显示文本。
aaa authentication username-prompt username-prompt
no aaa authentication username-prompt
| 语法 | 描述 |
| username-prompt | 提示用户输入用户名时显示的文本。 |
【命令模式】全局配置模式。
aaa authentication password-prompt
修改提示用户输入口令时显示的文本。本命令的no形式恢复缺省显示文本。
aaa authentication password-prompt password-prompt
no aaa authentication password-prompt
| 语法 | 描述 |
| password-prompt | 提示用户输入口令时显示的文本。 |
【命令模式】全局配置模式。
aaa authentication login
配置登录身份认证方法列表。本命令的no形式删除方法列表。
aaa authentication login {default | list-name} method1[method2…]
no aaa authentication login {default | list-name}
| 语法 | 描述 |
| default | 定义缺省方法列表 |
| list-name | 方法列表名 |
| method | 认证方法 none:不进行身份认证,直接通过 enable:使用有效口令进行身份认证(全局enable口令) local:使用本地用户数据库进行身份认证 line:使用线路口令进行身份认证 radius:使用RADIUS进行身份认证 tacacs:使用TACACS进行身份认证 WORD:使用TACACS或RADIUS服务器组进行认证,WORD为服务器组名称 最多可以配置4种方法 |
【命令模式】全局配置模式。
注:
使用时可与login authentication 命令相配合,使方法列表用于某线路的登录+身份认证。
缺省方法列表自动应用于所有接口及线路(明确定义了所要引用的方法列表的接口或线路除外)。
aaa authentication enable
配置进入模式身份认证方法列表。本命令的no形式删除方法列表。
aaa authentication enable default method1[method2…]
no aaa authentication enable default
| 语法 | 描述 |
| default | 定义缺省方法列表 |
| method | 认证方法 none:不进行身份认证,直接通过 enable:使用有效口令进行身份认证(用户enable口令或全局enable口令) line:使用线路口令进行身份认证 radius:使用RADIUS进行身份认证 tacacs:使用TACACS进行身份认证 WORD:使用TACACS或RADIUS服务器组进行认证,WORD为服务器组名称 |
【命令模式】全局配置模式。
注:
使用radius认证方法时以“$enab15$”用户(需要在radius服务器上设置用户名$enab15$)的密码作为验证密码。
aaa authentication ppp
配置PPP身份认证方法列表。本命令的no形式删除方法列表。
aaa authentication ppp list-name method1[method2…]
no aaa authentication ppp list-name
| 语法 | 描述 |
| list-name | 方法列表名 |
| method | 认证方法 none:不进行身份认证,直接通过 local:使用本地用户数据库进行身份认证 radius:使用RADIUS进行身份认证 tacacs:使用TACACS进行身份认证 WORD:使用TACACS或RADIUS服务器组进行认证,WORD为服务器组名称 |
【命令模式】全局配置模式。
使用时需与ppp authentication 命令相配合,使方法列表用于某接口的PPP验证。
aaa authentication xauth
配置扩展认证(XAUTH)认证方法列表。本命令的no形式删除方法列表。
aaa authentication xauth {default | list-name} method1[method2…]
no aaa authentication xauth {default | list-name}
| 语法 | 描述 |
| list-name | 方法列表名 |
| default | 定义缺省方法列表 |
| method | 认证方法 none:不进行身份认证,直接通过 local:使用本地用户数据库进行身份认证 radius:使用RADIUS进行身份认证 tacacs:使用TACACS进行身份认证 WORD:使用TACACS或RADIUS服务器组进行认证,WORD为服务器组名称 |
【命令模式】全局配置模式。
使用时需与IKE ID别名配置命令相配合,详细信息请参考IPSec VPN配置章节。
注:MP7500E、MP8800、MP8600系列路由器不支持该功能
aaa authorization
用户的访问权限。本命令的no形式不访问权限。
aaa authorization {exec | network} {default | list-name} method1[method2…]
no aaa authorization {exec | network} {default | list-name}
| 语法 | 描述 |
| exec | 配置EXEC授权命令方法列表 |
| network | 配置关于网络服务的授权方法列表 |
| default | 定义缺省方法列表 |
| list-name | 方法列表名 |
| method | 授权方法 if-authenticated :如果通过身份认证,则允许用户访问请求的功能 local : 使用本地数据库进行授权 none :不执行授权操作,直接授予相应权限 radius :向RADIUS服务器请求授权信息 tacacs : 向TACACS服务器请求授权信息 WORD:使用TACACS或RADIUS服务器组进行认证,WORD为服务器组名称 |
【命令模式】全局配置模式。
注:
当配置了EXEC授权命令方法列表,用户运行EXEC时,NAS会进行授权以决定用户是否有权执行EXEC外壳程序;若授权失败,则用户不能执行EXEC。
aaa authorization config-commands
用户操作Shell命令的权限。本命令的no形式不访问权限。
aaa authorization config-commands
no aaa authorization config-commands
aaa authorization console
用户从console口进入系统的权限。本命令的no形式不console口。
aaa authorization console
no aaa authorization console
aaa authorization commands cmd-lvl {default | list-name} method1[method2…]
no aaa authorization commands cmd-lvl {default | list-name}
| 语法 | 描述 |
| config-commands | 配置AAA允许命令授权 |
| cmd-lvl | 需要授权的命令等级,范围<0-15> |
| default | 定义缺省方法列表 |
| list-name | 方法列表名 |
| method | 授权方法 if-authenticated :如果通过身份认证,则允许用户访问请求的功能 local : 使用本地数据库进行授权 none : 不执行授权操作,直接授予相应权限 radius :向RADIUS服务器请求授权信息 tacacs : 向TACACS服务器请求授权信息 WORD:使用TACACS或RADIUS服务器组进行认证,WORD为服务器组名称 |
【命令模式】全局配置模式。
aaa accounting
配置AAA统计方法列表。本命令的no形式取消统计方法列表。
aaa accounting {connection | exec | network | system} {default | list-name} {none | start-stop | stop-only | wait-start} [broadcast] method1[method2…]
no aaa accounting {connection | exec | network} {default | list-name}
| 语法 | 描述 |
| connection | 配置当用户通过telnet或rlogin登录到别的路由器上时的统计命令。 |
| exec | 配置启动EXEC会话时的统计命令。 |
| network | 配置所有与网络相关的服务请求的统计命令。 |
| system | 系统事件统计,比如在系统启动或者重启时将统计发送给服务器 |
| default | 定义缺省方法列表。 |
| list-name | 方法列表名。 |
| none | 不进行统计。 |
| start-stop | 在进程开始时发出开始统计通知,在进程结束时发出结束统计通知。开始统计记录在后台发送。不论服务器是否收到开始统计通知,所有请求的用户进程都将开始执行。 |
| stop-only | 仅仅在请求的用户进程结束时发送结束统计通知。 |
| wait-start | 向统计服务器发送开始统计通知和结束统计通知。但直到开始统计通知得到确认时才启动请求的用户服务。 |
| broadcast | 当存在多个TACACS或者RADIUS服务器的时候,将统计信息发送给每个服务器 |
| method | 统计方法。 radius: 向RADIUS服务器发出统计信息 tacacs: 向TACACS服务器发出统计信息 WORD:使用TACACS或RADIUS服务器组进行认证,WORD为服务器组名称 |
【命令模式】全局配置模式。
注:
为尽可能少地执行统计工作,可以使用关键字stop-only,仅仅在请求的用户进程结束时发送一条停止记录统计通知。
要了解更详细的统计信息,可以使用关键字start-stop,这样NAS使用RADIUS或TACACS在请求的进程开始时发出统计通知,在结束时发出终止通知。
要对统计获得更大的控制权,可以使用wait-start,它确保只有RADIUS或TACACS服务器收到开始通知后,用户的进程请求才会获得批准。
system统计仅支持tacacs服务器,radius服务器不支持。
aaa accounting commands
配置AAA统计方法列表。本命令的no形式取消统计方法列表。
aaa accounting commands cmd-lvl {default | list-name} {none | start-stop} [broadcast] method1[method2…]
no aaa accounting commands cmd-lvl {default | list-name}
| 语法 | 描述 |
| commands | 当用户执行命令时,对执行的命令进行统计 |
| cmd-lvl | 需要统计的命令等级,范围<0-15> |
| broadcast | 当存在多个TACACS或者RADIUS服务器的时候,将统计信息发送给每个服务器 |
| default | 定义缺省方法列表。 |
| list-name | 方法列表名。 |
| none | 不进行统计。 |
| start-stop | 在进程开始时发出开始统计通知,在进程结束时发出结束统计通知。开始统计记录在后台发送。不论服务器是否收到开始统计通知,所有请求的用户进程都将开始执行。 |
| method | 统计方法。 tacacs: 向TACACS服务器发出统计信息 WORD:使用TACACS或RADIUS服务器组进行认证,WORD为服务器组名称 |
【命令模式】全局配置模式。
aaa accounting suppress null-username
禁止为用户名为空的用户生成统计记录。本命令的no形式允许为用户名为空的用户生成统计记录。
aaa accounting suppress null-username
no aaa accounting suppress null-username
【缺省情况】缺省允许为用户名为空的用户生成统计记录。
【命令模式】全局配置模式。
aaa accounting update
向服务器发送临时统计记录。本命令的no形式取消发送临时统计记录。
aaa accounting update {newinfo | periodic number}
no aaa accounting update
| 语法 | 描述 |
| newinfo | 每当有新的统计信息时向服务器发送临时统计记录。 |
| periodic | 周期性的发出临时统计记录。 |
| number | 间隔周期。 |
【命令模式】全局配置模式。
tacacs-server host
配置Tacacs服务器。本命令的no形式删除Tacacs服务器。
tacacs-server host address [port port] [timeout timeout] [priority priority] [key key]
no tacacs-server host address
| 语法 | 描述 |
| address | Tacacs服务器的地址。 |
| key | 路由器和Tacacs服务器通信所使用的密钥。 |
| port | 对Tacacs后台程序进行连接时使用的TCP端口号。 |
| timeout | 设置等待Tacacs服务器应答的时间间隔定时器。 |
| priority | 配置的TACACS服务器的优先级 |
【命令模式】全局配置模式。
注:
在路由器和Tacacs服务器上配置的密钥必须一致,空格也计算在密钥中。
可以配置多个tacacs服务器,系统将根据配置的先后顺序选择服务器进行认证,当一个服务器失效后,系统会自动选择下一个服务器,直到最后一个服务器为止。
tacacs-server key
配置Tacacs加密密钥。本命令的no形式删除Tacacs加密密钥。
tacacs-server key key
no tacacs-server key
| 语法 | 描述 |
| key | 路由器和Tacacs服务器通信所使用的密钥。 |
【命令模式】全局配置模式。
tacacs-server timeout
配置等待Tacacs服务器应答的时间间隔定时器。本命令的no形式恢复缺省值。
tacacs-server timeout timeout
no tacacs-server timeout
| 语法 | 描述 |
| timeout | 设置等待Tacacs服务器应答的时间间隔定时器。 |
【命令模式】全局配置模式。
aaa group server
配置服务器组。no命令删除服务器组。
aaa group server {tacacs | radius} grp-name
no aaa group server {tacacs | radius} grp-name
| 语法 | 描述 |
| grp-name | 服务器组名称 |
【命令模式】全局配置模式。
当前可配置TACACS和RADIUS两种服务器组。
注:
在配置服务器组名的时候,组名应尽可能有明确的含义,并且应该避免使用可能造成混淆的关键字。比如:tac、rad、loc等,它们在配置方法列表时可能和tacacs、radius、local这些固有关键字引起混淆。
server(TACACS)
配置TACACS服务器组成员,no命令删除。
server ip-address
no server ip-address
| 语法 | 描述 |
| ip-address | Tacacs服务器地址。该地址必须是已经通过tacacs-server配置了的地址,否则不能生效。 |
【命令模式】服务器组配置模式。
server(RADIUS)
配置RADIUS服务器组成员,no命令删除。
server ip-address [auth-port port] [acct-port port]
no server ip-address [auth-port port] [acct-port port]
| 语法 | 描述 |
| ip-address | Radius服务器地址。该地址必须是已经通过radius-server配置了的地址,否则不能生效。 |
| auth-port | Radius服务器的认证端口 |
| acct-port | Radius服务器的计费端口 |
【命令模式】服务器组配置模式。
server-private(TACACS)
配置TACACS服务器组私有成员,no命令删除。
server-private ip-address [key key] [port port] [timeout timeout]
no server-private ip-address
| 语法 | 描述 |
| ip-address | Tacacs服务器地址。该地址不必是tacacs-server配置了的地址。可以单独配置,与tacacs-server无关。 |
| key | 路由器和Tacacs服务器通信所使用的密钥。 |
| port | 对Tacacs后台程序进行连接时使用的TCP端口号。 |
| timeout | 设置等待Tacacs服务器应答的时间间隔定时器。 |
【命令模式】服务器组配置模式。
注:
私有服务器完全于全局配置的服务器,所以可以和全局配置的服务器重叠。
server-private(RADIUS)
配置RADIUS服务器组成员,no命令删除。
server-private ip-address [acc-port acc-port] [auth-port auth-port] [priority priority] [key key]
no server-private ip-address [auth-port port] [acct-port port]
| 语法 | 描述 |
| ip-address | Radius服务器地址。该地址不必是radius-server配置了的地址。可以单独配置,与radius-server无关。 |
| auth-port | Radius服务器的认证端口 |
| acct-port | Radius服务器的计费端口 |
| priority | 配置的RADIUS服务器优先级 |
| key | RADIUS服务器密钥 |
【命令模式】服务器组配置模式。
注:
私有服务器完全于全局配置的服务器,所以可以和全局配置的服务器重叠。
ip vrf forwarding
配置服务器组的VRF属性
ip vrf forwarding vrf-name
no ip vrf forwarding
| 语法 | 描述 |
| vrf-name | 配置的VRF名称 |
【命令模式】服务器组配置模式。
radius-server host
配置RADIUS服务器。本命令的no形式删除RADIUS服务器。
radius-server host address [acc-port acc-port] [auth-port auth-port] [priority priority] [key key]
no radius-server host address
| 语法 | 描述 |
| address | RADIUS服务器的地址。 |
| acc-port | 为认证请求指定UDP的目的端口。 |
| auth-port | 为统计请求指定UDP的目的端口。 |
| priority | 配置的RADIUS服务器优先级 |
| key | RADIUS服务器密钥 |
【命令模式】全局配置模式。
注:
在路由器和RADIUS服务器上配置的密钥必须一致,空格也计算在密钥中。
可以配置多个RADIUS服务器,系统将根据配置的先后顺序选择服务器进行认证,当一个服务器失效后,系统会自动选择下一个服务器,直到最后一个服务器为止。
radius-server dead-time
配置dead-time。本命令的no形式将dead-time设置为0。
radius-server dead-time dead-time
no radius-server dead-time
| 语法 | 描述 |
| dead-time | RADIUS服务器被事务请求跳过的时间长度。 |
【命令模式】全局配置模式。
使用本命令,系统把那些对认证请求不作出响应的RADIUS服务器标记为不可用,在dead-time这段时间内不再向这些服务器发送请求。
radius-server key
配置RADIUS加密密钥。本命令的no形式删除RADIUS加密密钥。
radius-server key key
no radius-server key
| 语法 | 描述 |
| key | RADIUS服务器密钥 |
【命令模式】全局配置模式。
radius-server timeout
配置等待RADIUS服务器应答的时间间隔定时器。本命令的no形式恢复缺省值。
radius-server timeout timeout
no radius-server timeout
| 语法 | 描述 |
| timeout | 设置等待Radius服务器应答的时间间隔定时器。 |
【命令模式】全局配置模式。
radius-server retransmit
配置向RADIUS服务器重新传输的最大次数。本命令的no形式恢复缺省值。
radius-server retransmit retries
no radius-server timeout
| 语法 | 描述 |
| retries | 重新传输的最大次数。 |
【命令模式】全局配置模式。
ip {tacacs|radius} source-interface
配置路由器和TACACS或RADIUS服务器进行报文交互的时候使用指定的接口地址做为自己的源地址。本命令的no形式恢复缺省值。
ip {tacacs | radius} source-interface interface-name [vrf vrf-name]
no ip {tacacs | radius} source-interface [vrf]
| 语法 | 描述 |
| interface-name | 接口名 |
| vrf | 为特定VRF配置指定源接口(配合服务器组使用) |
【命令模式】全局配置模式。
AAA配置示例
图解:
在如上的环境中,用户设备和网络访问服务器(NAS)间封装PPP协议,login authentication 使用缺省方法列表。
NAS的相关配置如下:
| 命令 | 描述 |
| NAS#configure terminal | 进入配置模式 |
| NAS (config)# aaa new-model | 启动AAA认证 |
| NAS (config)# aaa authentication banner ^ Welcome ^ | 配置用户登录时的欢迎词 |
| NAS (config)# aaa authentication fail-message ^ Sorry, Don’t come in ^ | 配置用户登录失败时的提示信息 |
| NAS (config)# aaa authentication login default radius tacacs none | 通过AAA认证对console,telnet或rlogin用户进行身份认证,采用的认证方法依次为radius tacacs none.(可选择一个或一个以上的认证方法) |
| NAS (config)# aaa authentication enable default radius enable | 通过AAA认证对console,telnet或rlogin用户进入模式的认证方法依次为radius enable。 |
| NAS (config)# aaa authentication ppp list radius tacacs local | 配置ppp认证,与接口s1/0 上的ppp authentication 命令相配合使用,list为认证方法列表名称。认证方法依次为 radius tacacs local。 |
| NAS (config)# aaa authorization exec default radius | 配置exec授权,只有radius服务器上已经存在的用户才有权执行EXEC外壳程序;若授权失败,则用户不能执行EXEC。 |
| NAS (config)# aaa accounting exec default stop-only radius | 启动exec会话的统计命令,在请求的用户进程结束时发送一条停止记录统计通知给radius服务器。 |
| NAS (config)# aaa accounting connection default stop-only radius | 启动connection统计命令,当NAS通过telnet或rlogin登录到别的路由器上时进行统计。 |
| NAS (config)# aaa accounting network list stop-only radius | 启动PPP服务请求的统计命令,名称为list。(因为用户设备与NAS间封装的是PPP协议) |
| NAS (config)# radius-server host 192.168.0.1 | 配置radius服务器的地址 |
| NAS (config)# radius-server key maipu | 配置radius服务器的密码,此密码需与radius服务器上的密码配置相同。 |
| NAS (config)# tacacs-server host 192.168.0.2 key mp | 配置tacacs服务器的地址和密码,此密码需与tacacs服务器上的密码配置相同。 |
| NAS (config)#interface s1/0 | 进入接口模式 |
| NAS(config-if-serial1/0)#ppp accounting list | 在接口上启动PPP认证统计。名称为list,与aaa accounting network其后的名称相同。 |
| NAS(config-if-serial1/0)#ppp authentication list | 在接口上启动PPP认证。名称为list,与aaa authentication ppp其后的名称相同。 |
在如上的配置中,用户设备和网络访问服务器(NAS)间封装PPP协议,login authentication 使用自命名的方法列表,且将此方法列表用在线路(line)上。NAS的配置及其他相关配置如下:
| 命令 | 描述 |
| NAS#conifgure terminal | 进入配置模式 |
| NAS (config)# aaa new-model | 启动AAA认证。 |
| NAS (config)# aaa authentication login aa radius tacacs none | 通过AAA认证对telnet或rlogin上来的用户进行身份认证采用的认证方法依次为radius tacacs none,且采用自定义的方法列表, 名称为aa。 |
| NAS(config)#line vty 0 0 | 只允许一台用户设备认证通过,若允许多台设备认证通过则line vty 0 15 . |
| NAS(config-line)#login authentication aa | 使用认证方法aa进行认证。 |
在通过配置的方法列表对用户进行认证的过程中,只有在前一种方法没有应答的情况下,路由器才会尝试下一种方法。如果身份认证在这个周期的某一点上失败,即安全服务器或本地用户名数据库以拒绝该用户访问的方式进行了应答,则身份认认证过程结束,不再尝试其它的身份认证方法。
AAA的检测与调试
show aaa
显示AAA相关信息。
show aaa [configure | module | server | session | source-address | attrmem]
| 语法 | 描述 |
| configure | 显示AAA配置信息 |
| module | 显示AAA的功能模块,以及该模块操作AAA之后得到的结果。这些模块包括有: Shell:用户界面模块 PPP:点到点模块 commands:命令授权、统计模块 system:系统事件模块等。 |
| server | 显示AAA使用的服务器信息,包括Tacacs和Radius |
| session | AAA计费会话ID,记录了AAA正在计费的会话以及该会话的相关信息。 |
| source-address | 显示当前AAA使用的源地址 |
show accounting
显示AAA统计信息。
show accounting
【命令模式】用户模式。
debug aaa authentication
打开AAA认证调试信息开关。本命令的no形式关闭AAA认证调试开关。
debug aaa authentication
no debug aaa authentication
【命令模式】用户模式。
debug aaa authorization
打开AAA授权调试信息开关。本命令的no形式关闭AAA授权调试开关。
debug aaa authorization
no debug aaa authorization
【命令模式】用户模式。
debug aaa accounting
打开AAA统计调试信息开关。本命令的no形式关闭AAA统计调试开关。
debug aaa accounting
no debug aaa accounting
【命令模式】用户模式。
debug aaa all
打开AAA所有调试信息开关。本命令的no形式关闭AAA所有调试开关。
debug aaa all
no debug aaa all
【命令模式】用户模式。
debug tacacs
打开TACACS调试信息开关。本命令的no形式关闭TACACS调试开关。
debug tacacs
no debug tacacs
【命令模式】用户模式。
debug radius
打开RADIUS调试信息开关。本命令的no形式关闭RADIUS调试开关。
debug radius [in-plain]
no debug radius
| 语法 | 描述 |
| in-plain | 以明文形式显示RADIUS报文信息。 |
