Cisco 3560配置了AAA认证，在配置Con口登录时，无法直接用login命令，提示命令不完整，什么原因？

如果你不需要对命令进行认证，把相关command的配置删除就行。如下面这类。

aaa authorization commands 1 default group tacacs+ if-authenticated

如果你的确需要，那你看看你服务器配置，是否对字符“login”进行了配置，如果的确无法判断，可以在服务器端，开启认证服务程序的debug模式，跟踪整个认证过程。

acs或者linux的tacacs，都有相应的模式。

你好！

实现起来估计比较难，如果在6509交换机上配置了aaa认证，一般情况下采用tacacs+服务器。

而在交换机的命令一般采用以下模式（猜测，大多数情况是这样的）

aaa authentication login default group tacacs none

注意后面的none参数，这时你必须攻击tacacs服务器，使其down掉，如何该交换机会采用下一个认证参数，大多数用户都后面都采用none，这时就不需要密码就可以进入。呵呵祝你好运

PIX是CISCO公司开发的防火墙系列设备，主要起到策略过滤，隔离内外网，根据用户实际需求设置DMZ（停火区）。它和一般硬件防火墙一样具有转发数据包速度快，可设定的规则种类多，配置灵活的特点。不同版本的PIX可以提供不同的防护配置方案，为你量身打造一个安全，便捷的网络环境，使您企业安全上网无后顾之忧，避免“火光之灾”

命令

Aaa允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户

Aaa-server指定一个AAA服务器

Access-group将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口

Access-list创建一个访问列表

Alias管理双向NAT中的重叠地址

Arp改变或查看ARP缓存，设置超时值

Auth-prompt改变AAA的提示文本

Ca配置PIX防火墙和CA的交互

Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使用

Conduit为向内连接添加、删除或显示通过防火墙的管道

Configure清除或融合当前配置与软盘或闪存中的配置。进入配置模式或查看当前配置

Cryptodynamic-map创建、查看或删除一个动态加密映射项。

Cryptoipsec创建、查看或删除与加密相关的全局值

Cryptomap创建、查看或删除一个动态加密映射项，也用来删除一个加密映射集

Debug通过PIX防火墙调试信息包或ICMP轨迹。

Disable退出特权模式并返回到非特权模式

Domain_name改变IPSec域名

Enable启动特权模式

Enablepassword设置特权模式的口令

Exit退出访问模式

Failover改变或查看到可选failover特性的访问

Filter允许或禁止向外的URL或HTML对像过滤

Fixupprotocol改变、允许、禁止或列出一个PIX防火墙应用的特性

Flashfs清除闪存或显示闪存扇区大小

Floodguard允许或禁止洪泛（FLOOD）保护以防止洪泛攻击

Help显示帮助信息

Global从一个全局地址池中创建或删除项

Hostname改变PIX防火墙命令行提示中的主机名

Interface标示网络接口的速度和双工属性

Ip为本地池和网络接口标示地址

Ipsec配置IPSEC策略

Isakmp协商IPSEC策略联系并允许IPSEC安全通信

Kill终止一个TELNET会话

Logging允许或禁止系统日志和SNMP记录

Mtu为一个接口指定MTU（最大流量单元）

Name/names关联一个名称和一个IP地址

Nameif命名接口并分配安全等级

Nat联系一个网络和一个全局IP地址池

Outbound/apply创建一个访问列表用于控制因特网

Pager使能或禁止屏幕分页

Passwd为TELNET和PIX管理者访问防火墙控制台配置口令

Perfmon浏览性能信息

Ping决定在PIX防火墙上其他的IP地址是否可见

Quit退出配置或特权模式

Reload重新启动或重新加载配置

Rip改变RIP设置

Route为指定的接口输入一条静态或缺省的路由

Service复位向内连接

Session访问一个嵌入式的ACCESSPRO路由器控制台

Show查看命令信息

Showblocks/clearblocks显示系统缓冲区利用情况

Showchecksum显示配置校验和

Showconn列出所有的活跃连接

Showhistory显示前面输入的行

Showinterface显示接口配置

Showmemory显示系统内存的使用情况

Showprocesses显示进程

Showtech-support查看帮助技术支持分析员诊断问题的信息

Showtraffic显示接口的发送和接收活动

Showuauth未知（我没搞过，嘿嘿）

Showversion浏览PIX防火墙操作信息

Showxlate查看地址转换信息

Snmp-server提供SNMP事件信息

Static将局部地址映射为全局地址

Sysopt改变PIX防火墙系统项

Terminal改变控制台终端设置

Timeout设置空闲时间的最大值

Uauth(clearandshow)将一个用户的所有授权高速缓存删除

url-cache缓存响应URL过滤对WebSENSE服务器的请求

url-server为使用folter命令指派一个运行WebSENSE的服务器

virtual访问PIX防火墙虚拟服务器

who显示PIX防火墙上的活跃的TELNET管理会话

write存储、查看或删除当前的配置

xlate(clearandshow)查看或清除转换槽信息

　　Cisco

ACS支持Windows

Active

Directory,

Novell

NDS等目录服务器，下面以Cisco

ACS与Windows

2000

的Active

Directory集成为例，介绍一下配置步骤：

　　

　　1．

配置Cisco

5350，和其他Router成为

ACS的AAA

Client

　　

　　Network

Configuration----输入5350

ip

address;

Key:

Cisco;

Authenticate

Using

:

Tacacs+(Cisco

IOS)

　　

　　2

配置用户名/口令数据库

　　

　　Exterternal

User

Databases-----〉Unknown

User

Policy--->Check

the

following

external

user

database--->Select

Windows

NT/2000---->Sumit

　　

　　External

User

Database----〉database

configuration

----->

windows

NT/2000

----->

Dial

permission

,check

grant

dialin

permission--->

sumit

　　

　　3．配置ACS

group

mapping,

以配置授权

　　

　　由于使用Windows

Active

directory的用户名作为认证，因此配置此用户的授权由ACS的组完成，然后将此group与Windows

Active

directory的组映射。

　　

　　External

User

Database----〉database

configuration-----

windows

2000-----〉configure-----〉add

config

domain-list

,local----->sumit

　　

　　External

User

Database----〉database

group

mapping-----〉windows

nt/2000---domain

,local-

　　

　　Add

mapping----Windows

users

group,

Cisco

acs

group

group1-----

sumit

　　

　　4．Cisco

5350和Router的配置

　　

　　对于Router,配置ACS认证，授权。

　　

　　配置一个本地的用户名/口令，防止在ACS认证失败后，使用此用户名/口令。

　　Router#username

localusr

pass

usrpass

　　Router#config

terminal

　　

　　配置ACS认证

　　Router(config)#aaa

new-model

　　Router(config)#aaa

authentication

login

vty-login

group

tacacs

local

　　

　　配置ACS授权

　　Router(config)#aaa

authorization

exec

exec-vty

group

tacacs

　　

　　指定ACS

Server地址

　　Router(config)#tacacs

host

acsipaddress

key

Cisco

　　

　　应用到VTY上

　　Router(config)#

line

vty

0

4

　　Router(config-line)#login

authentication

vty-login

　　Router(config-line)#authorization

exec

exec-vty

　　

　　对于Cisco

5350

访问服务器，除了上述步骤外，还需增加如下步骤　　　Router#aaa

authentication

ppp

default

group

tacacs

local

需要。

防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种***业务，如L2TP ***、GRE *** 、IPSec ***和SSL ***等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。

支持丰富的攻击防范功能。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针对SYN Flood、UDP Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。

最新支持SOP 1:N完全虚拟化。可在H3C SecPath F1000-AK1X5设备上划分多个逻辑的虚拟防火墙，基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致，并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。

支持安全区域管理。可基于接口、VLAN划分安全区域。

支持包过滤。通过在安全区域间使用标准或扩展访问控制规则，借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外，还可以按照时间段进行过滤。

支持基于应用、用户的访问控制，将应用与用户作为安全策略的基本元素，并结合深度防御实现下一代的访问控制功能。

支持应用层状态包过滤（ASPF）功能。通过检查应用层协议信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃。

支持验证、授权和计帐（AAA）服务。包括：基于RADIUS/HW TACACS+、CHAP、PAP等的认证。

支持静态和动态黑名单。

支持NAT和NAT多实例。

支持***功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并实现与智能终端对接。

支持丰富的路由协议。支持静态路由、策略路由，以及RIP、OSPF等动态路由协议。

支持安全日志。

支持流量监控统计、管理。

灵活可扩展的一体化DPI深度安全

与基础安全防护高度集成的一体化安全业务处理平台。

全面的应用层流量识别与管理：通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制。

高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率。

实时的病毒防护：采用流引擎查毒技术，可以迅速、准确查杀网络流量中的病毒等恶意代码。

迅捷的URL分类过滤：提供基础的URL黑白名单过滤同时，可以配置URL分类过滤服务器在线查询。

全面、及时的安全特征库。通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新。H3C公司是中国国家信息安全漏洞库（CNNVD）一级技术支撑单位和国家信息安全漏洞共享平台（CNVD）技术组成员。

1对于交换机，最好console不要配置认证，万一出现问题（如人为设置错误等），你console无法进去，最好配置个本地用户。

2配置tacacs就可以了。没必要配置radius(radius还不能对命令进行鉴权)，tacacs，完全可以对用户、等级（exec）、命令（command）进行授权。

给个配置给你参考（华为），我这配置，对于console口是没有去aaa服务器的。

domain mydepart

scheme hwtacacs-scheme mydepart local

vlan-assignment-mode integer

access-limit disable

state active

idle-cut disable

self-service-url disable

hwtacacs scheme mydepart

primary authentication 19216812

secondary authentication 19216813

primary authorization 19216812

secondary authorization 19216813

primary accounting 19216812

secondary accounting 19216813

key authentication mykey

key authorization mykey

key accounting mykey

user-name-format without-domain

local-user myuser

#

super password level 3 cipher sdfsdfgsdfs

#

hwtacacs nas-ip 19216811

user-interface vty 0 4

acl 2000 inbound

authentication-mode scheme command-authorization

user privilege level 3

idle-timeout 5 0

protocol inbound telnet

user-interface con 0

authentication-mode password

set authentication password cipher sdfsdfsdfwer

idle-timeout 5 0

　有网友问我cisco 路由器如何查看aaa用户我去网上搜索了相关资料，给大家奉上，希望大家喜欢。

　 CISCO路由器AAA介绍及相关路由配置

　CISCO AAA www2ctocom

　3A概念：认证authentication 授权authorization 记帐 accounting

　cisco为路由器和交换机提供多种3A服务的 方法 ：

　1 自包含AAA 路由器/NAS自身包含AAA服务 NAS(网络访问服务器)

　2 CISCO SECURE ACS 路由器/NAS上的AAA服务与外部CISCO SECURE ACS系统联系

　3 CISCO SECURE ACS SOLUTION ENGINE 路由器/NAS上的AAA服务与外部CISCO SECURE ACS SOLUTION

　ENGINE系统联系

　4 第三方ACS 路由器/NAS上的AAA服务与外部CISCO认可的第三方ACS系统联系 radius tacacs+

　cisco secure acs系列是供安全访问网络的一种全面而灵活的平台。他主要负责以下一个方面的安全

　通过CISCO NAS和路由器拨号

　管理员进行路由器和交换机的控制台及VTY端口访问

　CISCO PIX防火墙访问 www2ctocom

　3000系列集线器(仅用于RADIUS)

　使用CISCO LEAP 和 PEAP的无线局域网支持

　交换机的无线8021X认证

　边界路由器AAA配置过程

　1 在vty,异步，aux和tty端口对特权EXEC和配置模式进行安全访问

　config t

　enable password

　service password-encryption

　enable secret

　2 在边界路由器上，用aaa new-model命令启用AAA。

　config t

　aaa new-model

　username password

　aaa authentication login default local

　注意点，在配置aaa new-model命令的时候，一定要提供一种本地登入方式，防止由于管理性会话失效而引发

　路由器锁定。

　3 配置AAA认证列表

　aaa authentication login 定义用户视图登入到路由器时需要使用哪个认证步骤。

　aaa authentication ppp 对于使用PPP的串行接口上的用户会话，定义了要使用的认证步骤。

　aaa authentication enable default 定义了有人试图通过enable命令进去特权EXEC模式时，应该采用的

　认证步骤

　在访问服务器上全局启用了AAA之后，还需要定义认证方法列表，并将其应用到链路和接口。这些认证方法

　列表指出了服务(PPP,ARAP,NASI,LOGIN) 和认证方法(本地，TACACS+，RADIUS,login 或enable)，这里

　建议将本地认证作为最后一种方法。

　定义认证方法列表

　1规定服务(PPP,ARAP,NASI)或登录认证

　2标识一个列表名称或采用缺省

　3规定认证方法，并规定其中一种不可用时，路由器如何反应

　4将其应用到一下链路或接口之一

　链路--tty,vty,console,aux和async链路，或者供登入的控制台端口已经供ARA的异步链路 www2ctocom

　接口--同步，异步以及为PPPSLIPNASI或ARAP而配置的虚拟接口

　5在全局配置模式下使用aaa authentication命令，以启用AAA认证过程。

　1 aaa authentication login命令

　config t

　aaa authentication login default enable

　aaa authentication login console-in local

　aaa authentication login tty-in line

　console-in和 tty-in是管理员创建的简单的方法列表名称。

　aaa authentication login {default | list-name} method1 [method2~~~]

　default 用户登入时，使用此变量后面列出的认证方法，作为缺省的方法列表

　list-name 当用户登录时，用来命名认证方法列表的字符串

　method:

　(enable) 使用enable口令来认证

　(krb5) 用kerberos 5来认证

　(krb5-telnet) 当借助telnet连接路由器时，使用kerberos 5 telnet认证协议

　(line) 用链路口令来认证

　(local) 用本地用户名数据库来认证

　(none) 不用认证

　(group- radius) 使用包含所有RADIUS服务器的一个列表来认证

　(group tacacs+) 使用包含所有TACACS+服务器的一个列表来认证

　(group group-name) 用RADIUS或TACACS+服务器的一个子集来认证 这些服务器定义在aaa group

　server radius或aaa group server tacacs+命令中

　2 aaa authentication ppp命令

　aaa authentication ppp (default |list-name) method1 [method2~~~]

　default 用户登入时，使用此变量后面列出的认证方法，作为缺省的方法列表

　list-name 当用户登录时，用来命名认证方法列表的字符串

　method:

　(if-needed 如果用户在TTY链路上认证了，就不需要再认证

　(krb5 用kerberos 5来认证

　(local 用本地用户名数据库来认证

　(local-case

　(none 不用认证

　(group group-name 用RADIUS或TACACS+服务器的一个子集来认证 这些服务器定义在aaa group

　server radius或aaa group server tacacs+命令中

　3 aaa authentication enable default命令

　aaa authentication enable default method1 [method2~~~]

　method:

　enable 使用enable口令来认证

　line 用链路口令来认证

　none 不用认证

　group radius 使用包含所有RADIUS服务器的一个列表来认证

　group tacacs+ 使用包含所有TACACS+服务器的一个列表来认证

　group group-name 用RADIUS或TACACS+服务器的一个子集来认证 这些服务器定义在aaa group

　server radius或aaa group server tacacs+命令中

　4 对链路和接口应用认证命令

　config t

　aaa new-model 启用AAA

　aaa authentication login default enable 将enable口令作为缺省的登入方式

　aaa authentication login console-in group tacacs+ local 无论何时使用名为console-in的列

　表，都使用TACACS+认证，如果TACACS+认证失败，己用本地用户名和口令

　aaa authentication login dial-in group tacacs+ 无论何时使用名为dial-in的列表，都

　使用TACACS+认证

　username password 建立一个本地用户名和口令，最可能与console-in登录方法列

　表一起使用

　line console 0 进入链路控制台配置模式

　login authentication console-in 使用console-in列表作为控制台端口0的登录认证

　line s3/0

　ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登录认证

　4 配置供用户通过认证之后的AAA授权

　aaa authorization 命令

　aaa authorization {network|exec|commands level|reverse-access|configuration} {default

　|list-name} method1 [method2~~~]

　network 为所有网络相关的服务请求进行授权，包括SLIP,PPP,PPP NCP和ARA

　exec 使用授权，以确定是否用户可以运行一个EXEC shell

　commands 为所有处于规定的特权级别的命令使用授权

　level 规定应该被授权的命令级别，有效值 0-15

　reverse-access 为反向访问连接使用授权，例如反向Telnet

　configuration 从AAA服务器上下载配置

　default 使用此变量后列出的认证方法，作为缺省方法列表供认证

　listname 用来命令认证方法列表的字符串

　method 规定以下关键字的至少一种

　group 用radius或tacacs+服务器的一个子集来认证，这些服务器定义在aaa group server radius

　或aaa group server tacacs+命令中

　if-authenticated 如果用户为认证，允许用户访问请求的功能;

　krb5-instance 使用被kerberos instance map命令定义的实例;

　local 用本地用户名数据库来授权

　none 不用授权

　例子：

　enable secret level 1 为级别1的用户建立一个enable secret口令

　enable secret level 15 为级别15的用户建立一个enable secret口令

　aaa new-model 启用AAA

　aaa authentication login default enable 将enable口令作为缺省的登入方式

　aaa authentication login console-in group tacacs+ local 无论何时使用名为console-in的列

　表，都使用TACACS+认证，如果TACACS+认证失败，己用本地用户名和口令

　aaa authentication login dial-in group tacacs+ 无论何时使用名为dial-in的列表，都使用

　TACACS+认证

　username password 建立一个本地用户名和口令，最可能与console-in登录方法列

　表一起使用

　aaa authorization commands 1 alpha local 用本地用户名数据库来为所有级别1命令的使用进行

　授权 www2ctocom

　aaa authorization commands 15 bravo if-authenticated group tacplus local 如果用户已经认

　证了，让其运行级别15的命令，如果还未认证，在允许其访问级别15的命令之前，必须基于tacplus组中的

　TACACS+服务器来认证

　aaa authorization network charlie local none 使用本地数据库来对所有网络服务的使用授权，

　如果本地服务器不可用，此命令执行并不授权，用户能使用所有的网络服务

　aaa authorization exec delta if-authenticated group tacplus 如果用户已经认证，让其运行

　EXEC过程，如果没有认证，在允许EXEC之前，必须基于tacplus组中的TACACS+服务器来认证

　privilege exec level 1 ping 为级别1的用户启用PING

　line console 0

　login authentication console-in 使用console-in列表作为控制台端口0的登录认证

　line s3/0

　ppp authentication chap dial-in 使用dial-in列表作接口S3/0 的PPP CHAP的登录认证

　5 配置规定如何写记帐记录的AAA记帐

　aaa accounting [auth-proxy |system |network |exec |connection |commands level]{default

　|list-name} [vrf vrf-name] [start-stop|stop-only|none][broadcast][method][method2]

　auth-proxy 提供有关所有认证代理用户事件的信息

　system 为所有非用户相关的系统级事件执行记帐

　network 为所有网络相关的服务请求运行记帐

　exec 为EXEC shell会话运行记帐。

　connection 提供所有有关源子NAS的外出连接的信息

　commands 为所有处于特定特权级别的命令运行记帐，有效的特权级别取值0-15

　default 使用本参数之后列出的记帐方式

　list-name 用来命令记帐方式列表的字符串

　vrf vrf-name 规定一个VRF配置

　start-stop 在一个过程的开端，发送一个开始记帐通知，在过程结束时，发送一个停止记帐通知

　。

　stop-only 在被请求用户工程结束时发送一个停止记帐通知

　none 禁止此链路或接口上的记帐服务

　broadcast 启用发送记帐记录到多个3A服务器，同时向每个组中第一台服务器发送记帐记

　录 www2ctocom

　method 规定一下关键子中的至少一个

　group radius 用所有RADIUS服务器列表作为记帐

　group tacacs+ 用所有列出的TACACS+服务器来记帐

　group group-name 用RADIUS或TACACS+服务器的一个子集作为记帐

　在路由器上启用下列命令以启用几张

　aaa accounting system wait-start local 用记帐方法审计系统事件

　aaa accounting network stop-only local 当网络服务中断，发送停止记录通知

　aaa accounting exec start-stop local 当EXEC过程开始时，发送一个开始记录通知，结束时，发

　送停止记录

　aaa accounting commands 15 wait-start local 在任何级别15的命令开始之前，发送一个开始记录通

　知，并等待确认，当命令中止时，发送一个停止记录通知。

　6 校验配置

　debug aaa authentication 显示有关认证功能的调试信息

　debug aaa authorization 显示有关授权功能的调试信息

　debug aaa accounting 显示有关记帐功能的调试信息

　以上内容来源互联网，希望对大家有所帮助。