AAA認(rèn)證功能介紹參考模板

1、OLTAAA認(rèn)證功能介紹VESION 1.02011年7月7日1 / 24AAA認(rèn)證功能介紹1一、相關(guān)知識點介紹31.1. AAA簡介31.1.1. 認(rèn)證功能31.1.2. 授權(quán)功能31.1.3. 計費功能31.2. ISP Domain簡介41.3. Radius協(xié)議簡介41.3.1. RADIUS 服務(wù)的3個部分41.3.2. RADIUS 的基本消息交互流程41.4. TACACS+協(xié)議簡介51.5. RADIUS和TACACS+實現(xiàn)的區(qū)別71.5.1.RADIUS使用UDP而TACACS+使用TCP71.5.2.加密方式7二、OLT上的AAA功能特點8三、AAA認(rèn)證命令行配置83.1.

2、 AAA配置83.2. 配置ISP域93.3. 配置RADIUS協(xié)議103.4. 配置TACACS+協(xié)議11四、AAA認(rèn)證server簡介124.1. 安裝環(huán)境介紹：124.2. 安裝和簡要配置12五、配置案例135.1. Telnet用戶通過RADIUS服務(wù)器認(rèn)證的應(yīng)用配置135.2. Telnet用戶通過TACACS+服務(wù)器認(rèn)證的應(yīng)用配置155.3. Telnet用戶通過雙服務(wù)器實現(xiàn)主備冗余的radius認(rèn)證17一、 相關(guān)知識點介紹1.1. AAA簡介 AAA 是Authentication，Authorization and Accounting（認(rèn)證、授權(quán)和計費）的簡稱，它提供了一個對

3、認(rèn)證、授權(quán)和計費這三種安全功能進(jìn)行配置的一致性框架，實際上是對網(wǎng)絡(luò)安全的一種管理。這里的網(wǎng)絡(luò)安全主要是指訪問控制，包括： 哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器； 具有訪問權(quán)的用戶可以得到哪些服務(wù)； 如何對正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行計費。針對以上問題，AAA 必須提供認(rèn)證功能、授權(quán)功能和計費功能。1.1.1. 認(rèn)證功能AAA 支持以下認(rèn)證方式： 不認(rèn)證：對用戶非常信任，不對其進(jìn)行合法檢查。一般情況下不采用這種方式。 本地認(rèn)證：將用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在設(shè)備上。本地認(rèn)證的優(yōu)點是速度快，可以降低運營成本；缺點是存儲信息量受設(shè)備硬件條件限制。 遠(yuǎn)端認(rèn)證：支持通過 RADIUS 協(xié)議

4、或TACACS+ 協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證，設(shè)備作為客戶端，與RADIUS 服務(wù)器或TACACS+ 服務(wù)器通信。對于RADIUS 協(xié)議，可以采用標(biāo)準(zhǔn)或擴(kuò)展的RADIUS 協(xié)議。1.1.2. 授權(quán)功能AAA 支持以下授權(quán)方式： 直接授權(quán)：對用戶非常信任，直接授權(quán)通過。 本地授權(quán)：根據(jù)設(shè)備上為本地用戶帳號配置的相關(guān)屬性進(jìn)行授權(quán)。 RADIUS 認(rèn)證成功后授權(quán)：RADIUS 協(xié)議的認(rèn)證和授權(quán)是綁定在一起的，不能單獨使用RADIUS 進(jìn)行授權(quán)。 TACACS+ 授權(quán)：由TACACS+ 服務(wù)器對用戶進(jìn)行授權(quán)。1.1.3. 計費功能AAA 支持以下計費方式： 不計費：不對用戶計費。 遠(yuǎn)端計費：支持通過 RADIU

5、S 服務(wù)器或TACACS+ 服務(wù)器進(jìn)行遠(yuǎn)端計費。AAA 一般采用客戶端/服務(wù)器結(jié)構(gòu)：客戶端運行于被管理的資源側(cè)，服務(wù)器上集中存放用戶信息。因此，AAA 框架具有良好的可擴(kuò)展性，并且容易實現(xiàn)用戶信息的集中管理。1.2. ISP Domain簡介ISP 域即ISP 用戶群，一個ISP 域是由屬于同一個ISP 的用戶構(gòu)成的用戶群。在“useridisp-name”形式的用戶名中，“”后的“isp-name”即為ISP 域的域名。接入設(shè)備將“userid”作為用于身份認(rèn)證的用戶名，將“isp-name”作為域名。在多 ISP 的應(yīng)用環(huán)境中，同一個接入設(shè)備接入的有可能是不同ISP 的用戶。由于各ISP

6、用戶的用戶屬性（例如用戶名及密碼構(gòu)成、服務(wù)類型/權(quán)限等）有可能各不相同，因此有必要通過設(shè)置ISP 域的方法把它們區(qū)別開。在 ISP 域視圖下，可以為每個ISP 域配置包括使用的AAA 策略（使用的RADIUS方案等）在內(nèi)的一整套單獨的ISP 域?qū)傩浴?.3. Radius協(xié)議簡介 RADIUS（Remote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號用戶服務(wù)）是一種分布式的、客戶端/服務(wù)器結(jié)構(gòu)的信息交互協(xié)議，能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問的干擾，常被應(yīng)用在既要求較高安全性、又要求維持遠(yuǎn)程用戶訪問的各種網(wǎng)絡(luò)環(huán)境中。 1.3.1. RADIUS 服務(wù)的3個部分

7、協(xié)議：RFC 2865 和RFC 2866 基于UDP/IP 層定義了RADIUS 幀格式及其消息傳輸機(jī)制，并定義了1812 作為認(rèn)證端口，1813 作為計費端口。 服務(wù)器：RADIUS 服務(wù)器運行在中心計算機(jī)或工作站上，包含了相關(guān)的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問信息。 客戶端：位于撥號訪問服務(wù)器設(shè)備側(cè)，可以遍布整個網(wǎng)絡(luò)。1.3.2. RADIUS 的基本消息交互流程RADIUS 客戶端（交換機(jī)）和RADIUS 服務(wù)器之間通過共享密鑰來認(rèn)證交互的消息，增強(qiáng)了安全性。RADIUS 協(xié)議合并了認(rèn)證和授權(quán)過程，即響應(yīng)報文中攜帶了授權(quán)信息。用戶、交換機(jī)、RADIUS 服務(wù)器之間的交互流程如下圖所示。1.4.

8、TACACS+協(xié)議簡介在計算機(jī)網(wǎng)絡(luò)中，TACACS+ (Terminal Access Controller Access-Control System Plus)是一種為路由器、網(wǎng)絡(luò)訪問服務(wù)器和其他互聯(lián)計算設(shè)備通過一個或多個集中的服務(wù)器提供訪問控制的協(xié)議。TACACS+提供了獨立的認(rèn)證、授權(quán)和記賬服務(wù)。盡管RADIUS在用戶配置文件中集成了認(rèn)證和授權(quán)，TACACS+分離了這兩種操作，另外的不同在于TACACS+使用傳輸控制協(xié)議 (TCP)而RADIUS使用用戶報文協(xié)議(UDP).多數(shù)管理員建議使用TACACS+，因為TCP被認(rèn)為是更可靠的協(xié)議。TACACS+協(xié)議的擴(kuò)展為最

9、初的協(xié)議規(guī)范提供了更多的認(rèn)證請求類型和更多的響應(yīng)代碼。TACACS+ 使用TCP端口49，包括三種獨立的協(xié)議，如果需要，能夠在獨立的服務(wù)器上實現(xiàn)。TACACS+服務(wù)器的典型部署場景如下圖： TACACS+認(rèn)證因為是基于tcp的認(rèn)證，其報文交互性要求實時，其具體過程如下圖所示。1.5. RADIUS和TACACS+實現(xiàn)的區(qū)別1.5.1.RADIUS使用UDP而TACACS+使用TCPTCP提供比UDP更多的高級特性，TCP是面向連接的可靠傳輸服務(wù)，但UDP只提供最優(yōu)的傳輸，因而RADIUS需要額外的代碼來實現(xiàn)例如重傳、超時等機(jī)制，所有這些在TCP中已是固有的特性。1.5.2.加密方式RADIUS

10、僅對密碼本身進(jìn)行加密，對報文的其他部分并未加密是明文傳輸?shù)?。這些信息可能通過第三方軟件捕獲。TACACS+對整個數(shù)據(jù)包進(jìn)行加密，僅留下TACACS+的數(shù)據(jù)包頭，在數(shù)據(jù)包頭中有一個標(biāo)識位表示該數(shù)據(jù)包是加密的還是未加密的，未加密的數(shù)據(jù)包做調(diào)試用，而一般應(yīng)用中的則是加密的，因而TACACS+對整個數(shù)據(jù)包加密保證了客戶端與服務(wù)器之間通信的安全性。二、 OLT上的AAA功能特點OLT上的AAA認(rèn)證功能設(shè)計也是按照AAA框架配置、域相關(guān)配置、radius服務(wù)器相關(guān)配置、tacacs+服務(wù)器相關(guān)配置4個模塊設(shè)計相關(guān)的功能、命令集。OLT開發(fā)AAA認(rèn)證的主要目的是實現(xiàn)OLT登錄用戶的集中管理，集中部署，避免在

11、每臺OLT上添加/刪除用戶帶來麻煩。對此，OLT上的AAA認(rèn)證功能和理論上的AAA認(rèn)證以及OLT本地認(rèn)證功能的差別進(jìn)行了簡單整理，主要如下：序號OLT本地認(rèn)證我們OLT上的AAA認(rèn)證實現(xiàn)的功能理論上的AAA認(rèn)證實現(xiàn)的功能1NO部分支持利用radius認(rèn)證實現(xiàn)網(wǎng)絡(luò)管理員對OLT登錄操作的集中管理哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器2NO部分支持不同域沒有區(qū)分服務(wù)等級的作用具有訪問權(quán)的用戶可以得到哪些服務(wù)3NONO如何對正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行計費4啟用遠(yuǎn)端認(rèn)證后，本地認(rèn)證配置的用戶名/密碼將失效OLT超級管理員用戶不受AAA認(rèn)證約束5config login-authentication enable

12、依然生效只要通過AAA認(rèn)證的都是管理員權(quán)限，不再細(xì)分三、 AAA認(rèn)證命令行配置3.1. AAA配置命令說明GFA6900(config)#config login-auth aaa_authGFA6900(config)#config login-auth local配置AAA認(rèn)證為本地認(rèn)證或者遠(yuǎn)端認(rèn)證；缺省為本地認(rèn)證，本地認(rèn)證時本地用戶名/密碼配置有效；GFA6900(config)#config aaa-authentication enableGFA6900(config)#config aaa-authentication disable配置AAA認(rèn)證啟用或者禁用；缺省是禁用；GFA6

13、900(config)#config login-aaa time <1-600>配置AAA認(rèn)證時client端提交用戶名密碼后等待時間；缺省時間是30秒；3.2. 配置ISP域ISP域即ISP用戶群，一個ISP域?qū)儆谕粋€ISP的用戶構(gòu)成。在“user_nameisp_name”形式的用戶名中，“”后的“isp_name”即為ISP域的域名，接入設(shè)備將“user_name”作為用戶身份認(rèn)證的用戶名，將“isp_name”作為域名。命令說明GFA6900(config)#create isp-domain <domain>GFA6900(config)#delete i

14、sp-domain <domain>創(chuàng)建/刪除一個ISP域；Default域不能被刪除；域名規(guī)則：首字符只能為大小寫字母，domain不能包含除“a-z”,“A-Z”,“0-9”,“_”,“.”以外的字符，domain的長度不能超過20個字節(jié)；GFA6900(config)#show isp-domain <domain>GFA6900(config)#show isp-domain查看當(dāng)前存在的ISP域；OLT上同時最多可以包含5個ISP域（包含缺省的default域）GFA6900(config)#config isp-domain default username

15、 completeGFA6900(config)#config isp-domain default username incomplete配置用戶輸入時是否要輸入帶域名的用戶名；缺省是complete，要輸入的；不帶域名的用戶名系統(tǒng)認(rèn)為是default域的用戶；GFA6900(config)#config isp-domain default aaa-protocol radiusGFA6900(config)#config isp-domain default aaa-protocol tacacs配置在default域中使用radius協(xié)議或者使用tacacs協(xié)議；在所有域中缺省使用ra

16、dius協(xié)議；GFA6900(config)#config isp-domain default authentication mode independentGFA6900(config)#config isp-domain default authentication mode primary-backup配置在default域中認(rèn)證模式是independent或者primary-backup；Independent：只有第一個服務(wù)器有效；Primary-backup：主備模式認(rèn)證，當(dāng)?shù)匾粋€primary的服務(wù)器不響應(yīng)時會向backup的服務(wù)器發(fā)起請求；默認(rèn)是independent方式的認(rèn)

17、證；GFA6900(config)#config isp-domain default authentication add-server id 0GFA6900(config)#config isp-domain default authentication delete-server id 0將配置好的radius server 0在default域中啟用；從default域中刪除radisu server 0；添加server時先添加id小的，刪除server時先刪除id大的；GFA6900(config)#config isp-domain default tacc-authentic

18、ation add-server id 0GFA6900(config)#config isp-domain default tacc-authentication delete-server id 0將配置好的tacacs+ server 0在default域中啟用；從default域中刪除tacacs+ server 0；添加server時先添加id小的，刪除server時先刪除id大的；GFA6900(config)#config isp-domain default authentication config-server id 0 type primaryGFA6900(config

19、)#config isp-domain default tacc-authenticate config-server-id 0 type primary手工設(shè)置在default域中id為0的服務(wù)器為主服務(wù)器；缺省情況下被添加的第一個server為主服務(wù)器；3.3. 配置RADIUS協(xié)議命令說明GFA6900(config)#radius authentication enableGFA6900(config)#radius authentication disable啟用/禁用radius協(xié)議；默認(rèn)是禁用；這里的設(shè)置是全局生效，影響所有的域；GFA6900(config)#radius au

20、thentication add-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130 udp-port 1234Server id ：添加服務(wù)器的編號，范圍是04，先從小的id開始用；Server-ip：指定radius server的ip地址；Client-ip：OLT的ip地址；Udp-port：radius server使用的認(rèn)證端口號，默認(rèn)是1812；GFA6900(config)#radius authentication delete-server id 0刪除id為0的radius server服務(wù)器；刪除時應(yīng)該

21、按照id從大到小的順序來；GFA6900(config)#radius authentication server-switch enableGFA6900(config)#radius authentication server-switch disable配置radius server切換開關(guān)打開/關(guān)閉；默認(rèn)是關(guān)閉；Radius server切換開關(guān)也是全局生效，配置后會影響所有域；GFA6900(config)#radius authentication config-server id 0 status active配置id為0的radius server的狀態(tài)是active的；缺省情

22、況下新加的服務(wù)器都是active的；本命令主要是在特定情況下人工干預(yù)狀態(tài)使用；GFA6900(config)#radius authentication config-server id 0 shared-secret greenway配置和id為0的radius server通信時的共享密鑰是greenway1；缺省的共享密鑰是greenway；Client和server正常通行的前提是共享密鑰必須一致！GFA6900(config)#radius authentication config-server id 0 max-retransmit-count 5GFA6900(config)#

23、radius authentication config-server id 0 retransmit-interval 5配置radius協(xié)議的重傳間隔/重傳次數(shù)分別是5；缺省配置時重傳間隔/次數(shù)都是3；3.4. 配置TACACS+協(xié)議命令說明GFA6900(config)#tacc authentication enableGFA6900(config)#tacc authentication disable啟用/禁用tacacs+協(xié)議；默認(rèn)是禁用；這里的設(shè)置是全局生效，影響所有的域；GFA6900(config)#tacc authentication add-server id 0 s

24、erver-ip 192.168.2.244 client-ip 192.168.2.130 share-key greenway1Server id ：添加服務(wù)器的編號，范圍是04，先從小的id開始用；Server-ip：指定tacacs+ server的ip地址；Client-ip：OLT的ip地址；Share-key：共享密鑰缺省是greenway，OLT和tacacs+ server端配置一致；認(rèn)證端口：默認(rèn)的tacacs+ server認(rèn)證端口使用tcp 49；GFA6900(config)#tacc authentication delete-server id 0刪除id為0的t

25、acacs+ server服務(wù)器；刪除時應(yīng)該按照id從大到小的順序來；GFA6900(config)#tacc authentication server-switch enableGFA6900(config)#tacc authentication server-switch disable配置tacacs+ server切換開關(guān)打開/關(guān)閉；默認(rèn)是關(guān)閉；Tacacs+ server切換開關(guān)也是全局生效，配置后會影響所有域；GFA6900(config)#tacc authentication config-server id 0 status activeGFA6900(config)#t

26、acc authentication config-server id 0 status inactive配置id為0的radius server的狀態(tài)是active的；缺省情況下新加的服務(wù)器都是active的；本命令主要是在特定情況下人工干預(yù)狀態(tài)使用；GFA6900(config)#tacc authentication config-server id 0 share-key greenway1配置和id為0的tacacs+ server通信時的共享密鑰是greenway1；缺省的共享密鑰是greenway；Client和server正常通行的前提是共享密鑰必須一致！GFA6900(con

27、fig)#config tacc re-transmit period 5GFA6900(config)#config tacc re-transmit max-num 5配置tacacs+協(xié)議的重傳間隔/重傳次數(shù)分別是5；缺省配置時重傳間隔/次數(shù)都是3；四、 AAA認(rèn)證server簡介AAA認(rèn)證server也有多種軟件，這里只推薦一種適合在現(xiàn)網(wǎng)部署的服務(wù)器軟件-Cisco Secure ACS v4.2，該軟件的功能比較強(qiáng)大、穩(wěn)定，我們只需簡單配置就能滿足我們使用的需求。4.1. 安裝環(huán)境介紹：Windows 2003 server sp1版本（部分windows 2000server版也可

28、以，推薦2003）1G以上內(nèi)存1.8 GHz或更高CPUNTFS文件系統(tǒng)已經(jīng)安裝Java虛擬接-1_5_0-windows-i586.exe更多注意事項請參考文檔安裝手冊，這里只列舉了特別需要注意的項目。4.2. 安裝和簡要配置 ACS的安裝步驟只需要在具備以上環(huán)境的工作站上一路點“next”直至安裝完畢，所以詳細(xì)的步驟這里不再介紹。 ACS安裝完成后會在桌面上自動生成一個“ACS admin”的管理頁面，單擊該管理頁面進(jìn)行ACS的配置。 注：這一步驟中如果ACS的管理頁面無法打開，請在IEà屬性>安全 菜單里將這個頁面設(shè)置為受信任的站點即可； ACS頁面打開后的菜單如下圖，標(biāo)

29、紅的部分是必須要做初始配置的3個選項卡，我們只做普通的認(rèn)證服務(wù)器來用的話，這三個菜單里的配置就夠，不涉及其他菜單配置。User Setup：在該菜單里完成用戶名/密碼的添加、修改；Network Configuration：在該菜單里完成客戶端的設(shè)置，共享密鑰的設(shè)置；Adminstration Control：在該菜單里設(shè)置ACS server的超級管理員，用于遠(yuǎn)程登錄，添加、修改server上的各個配置信息； 這里對ACS的各個子菜單不做詳細(xì)介紹，單進(jìn)去后看各個菜單的提示設(shè)置就可以的。 對于ACS詳細(xì)的安裝、配置專門有一個文檔，講的很詳細(xì)，有興趣請參看“ACS安裝&配置手冊.doc”

30、，已經(jīng)放到共享服務(wù)器上。五、 配置案例以下提供3個分別通過radius和tacacs+實現(xiàn)的具體配置案例，5.1. Telnet用戶通過RADIUS服務(wù)器認(rèn)證的應(yīng)用配置該案例是按照在default域中實現(xiàn)radius認(rèn)證的配置。步驟命令說明步驟1GFA6900(config)#config login-authentication enable配置AAA認(rèn)證使能步驟2GFA6900(config)#config login-auth aaa_auth配置AAA認(rèn)證模式是遠(yuǎn)端認(rèn)證模式步驟3GFA6900(config)#radius authentication enable配置radius認(rèn)證

31、功能使能步驟4GFA6900(config)#radius authentication add-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130配置radius server 、radius client ip地址；本步驟中忽略配置udp port即使用1812默認(rèn)端口，要確保server端使用該端口；步驟5GFA6900(config)#radius authentication config-server id 0 shared-secret greenway1配置client和server通信時的共享密鑰；Serve

32、r端要保證和client配置一直才能驗證成功；步驟6GFA6900(config)#config isp-domain default authentication add-server id 0在default域中啟用server id 0的配置項；步驟7GFA6900(config)#config isp-domain default aaa-protocol radius在default域中啟用radius認(rèn)證步驟8GFA6900(config)#show radiusRADIUS AUTH: Enable查看radisu相關(guān)配置ID STATE SERVER-IP SERVER-POR

33、T CLIENT-IP SECRET- - - - - -0 ACTIVE 192.168.2.244 1812 192.168.2.130 greenway1ID RETRANSMIT-INTERVAL MAX-RETRANSMIT-COUNT- - -0 3 3GFA6900(config)#步驟9GFA6900(config)#show isp-domain default=Domain Id : 0 AAA Protocol : RADIUSDomain Name : default Authenticate Mode : independentRadius Authenticatio

34、n: Enabled User Name : completeTacc+ Authentication: DisabledRadius Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT CLIENT-IP SECRET- - - - - - -0 PRIMARY ACTIVE 192.168.2.244 1812 192.168.2.130 greenway1TACACS+ Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT SECRET-GFA6900(config)#查看defau

35、t域相關(guān)配置5.2. Telnet用戶通過TACACS+服務(wù)器認(rèn)證的應(yīng)用配置該案例是按照在default域中實現(xiàn)tacacs+認(rèn)證的配置。步驟命令說明步驟1GFA6900(config)#config login-authentication enable配置AAA認(rèn)證使能步驟2GFA6900(config)#config login-auth aaa_auth配置AAA認(rèn)證模式是遠(yuǎn)端認(rèn)證模式步驟3GFA6900(config)#tacc authentication enable配置tacacs+認(rèn)證功能使能步驟4GFA6900(config)#tacc authentication add

36、-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130配置tacacs+ server 、tacacs+ client ip地址；步驟5GFA6900(config)#tacc authentication config-server id 0 shared-secret greenway1配置client和server通信時的共享密鑰；Server端要保證和client配置一直才能驗證成功；步驟6GFA6900(config)#config isp-domain default tacc-authentication add-

37、server id 0在default域中啟用server id 0的配置項；步驟7GFA6900(config)#config isp-domain default aaa-protocol tacacs在default域中啟用tacacs+認(rèn)證步驟8GFA6900(config)#show tacc= TACC authentication enabled- id server-status server-ip client-ip tcp-port share-key- 0 Active 192.168.2.244 192.168.2.130 49 greenway1-查看tacacs+相

38、關(guān)配置TACC re-transmit configuration= max retransmit number: 3 retransmit period: 3(seconds)-GFA6900(config)#步驟9GFA6900(config)# show isp-domain default=Domain Id : 0 AAA Protocol : tacacsDomain Name : default Authenticate Mode : independentRadius Authentication: disabled User Name : completeTacc+ Auth

39、entication: EnabledRadius Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT CLIENT-IP SECRET- - - - - - -TACACS+ Auth Server Info:ID TYPE STATE SERVER-IP SERVER-PORT SECRET-0 PRIMARY ACTIVE 192.168.2.244 49 greenway1GFA6900(config)#查看defaut域相關(guān)配置5.3. Telnet用戶通過雙服務(wù)器實現(xiàn)主備冗余的radius認(rèn)證該案例是按照在default域中實現(xiàn)

40、主備冗余的radius認(rèn)證。步驟命令說明步驟1GFA6900(config)#config login-authentication enable配置AAA認(rèn)證使能步驟2GFA6900(config)#config login-auth aaa_auth配置AAA認(rèn)證模式是遠(yuǎn)端認(rèn)證模式步驟3GFA6900(config)#radius authentication enable配置radius認(rèn)證功能使能步驟4GFA6900(config)#radius authentication add-server id 0 server-ip 192.168.2.244 client-ip 192.168.2.130GFA6900(config)#radius authentication add-server id 1 server-ip 192.168.2.99 client-ip 192.168.2.130配置tacacs+ server 、tacacs+ client ip地址；步驟5GFA6900(config)#radius authentication config-server id 0 shared-secret greenway1GFA6900(config)#radius a