月度归档: 2024 年 10 月

锐捷网管交换机 RADIUS 认证、授权、记账配置举例

一、 组网需求
Login用户通过RADIUS服务器实现认证、授权和记账。

二、组网图
组网图

三、 配置要点
● 在RADIUS server上配置设备信息、添加Login用户等。
● 在设备上开启AAA安全服务。
● 在设备上配置RADIUS服务器信息。
● 配置RADIUS的认证方法列表、授权方法列表、记账方法列表。
● 在特定线路上应用RADIUS认证、授权、记账方法。

四、 配置步骤
(1) 在RADIUS服务器上配置设备信息、添加Login用户。

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置RADIUS服务器(此处RADIUS服务器地址为192.168.1.3,共享密钥为sharekey)。
Device(config)# radius-server host 192.168.1.3 key sharekey

(4) 配置认证、授权和记账方法列表。
Device(config)# aaa authentication login radius-method group radius
Device(config)# aaa authorization exec radius-method group radius
Device(config)# aaa accounting exec radius-method start-stop group radius

(5) 在线路上应用认证、授权和记账方法。
Device(config)# line vty 0 4
Device(config-line)# login authentication radius-method
Device(config-line)# authorization exec radius-method
Device(config-line)# accounting exec radius-method

 

五、验证配置结果
# 用户输入正确的用户名密码后,能够成功登录设备。

# 登录设备后,用户只拥有服务器授予的权限级别,仅能运行该权限级别下的命令。
# 用户退出登录后,在RAIDUS上能够查看到该用户的记账信息。

六、配置文件
!
aaa new-model
!
aaa accounting exec radius-method start-stop group radius
aaa authorization exec radius-method group radius
aaa authentication login radius-method group radius
!
radius-server host 192.168.1.3 key 7 $10$275$g8oXDDIPVeA=$
!
line console 0
line vty 0 4
accounting exec radius-method
authorization exec radius-method
login authentication radius-method
!
七、常见错误
● 设备配置的共享密钥与RADIUS服务器使用的共享密钥不一致。

 

锐捷网管交换机AAA认证配置—–L基于域名的 AAA 服务配置举例

一、 组网需求
创建一个域并为该域指定安全方法列表后,属于该域的用户使用该域的安全方法进行认证、授权、记账。

二、组网图

三、 配置要点
● 使用RADIUS认证和记账,需要提前配置RADIUS服务器。
● 开启AAA安全服务。
● 配置AAA安全方法列表。
● 开启基于域名的AAA服务。
● 创建域。
● 在指定域中关联AAA方法列表。
● 配置域属性。

四、 配置步骤
(1) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(2) 配置AAA服务器(此处以RADIUS服务器为例)。
Device(config)# radius-server host 192.168.1.2 key radiuskey

(3) 配置AAA安全方法列表。
Device(config)# aaa authentication dot1x default group radius
Device(config)# aaa accounting network list3 start-stop group radius

(4) 开启基于域名的AAA服务。
Hostname(config)# aaa domain enable

(5) 创建域并配置域属性。
Device(config)# aaa domain domain.com
Device(config-aaa-domain)# authentication dot1x default
Device(config-aaa-domain)# accounting network list3
Device(config-aaa-domain)# username-format without-domain

 

五、验证配置结果
在设备上使用show aaa domain命令查看域配置。
Device# show aaa domain domain.com

六、配置文件
!
aaa new-model
aaa domain enable
!
aaa domain domain.com
authentication dot1x default
accounting network list3
username-format without-domain
!
aaa accounting network list3 start-stop group radius
aaa authentication dot1x default group radius
!
radius-server host 192.168.1.2 key radiuskey
!

七、常见错误
● 使用本地方法提供AAA安全服务时,未在本地数据库中配置用户信息。
● 使用远程服务器组方法提供AAA安全服务时,未配置RADIUS/TACACS+服务器,未在服务器上配置用户信
息。

 

锐捷网管交换机AAA认证配置—–LAAA 服务器组配置举例

一、 组网需求
创建自定义的AAA服务器组,用于提供AAA服务。

二、组网图

三、 配置要点
● 配置AAA服务器。
● 创建AAA自定义服务器组。
● 在自定义服务器组中添加服务器组成员。

四、 配置步骤
(1) 添加AAA服务器(此处以RADIUS服务器举例)。
Device> enable
Device# configure terminal
Device(config)# radius-server host 10.1.1.1
Device(config)# radius-server host 10.1.1.2
Device(config)# radius-server host 10.1.1.3
Device(config)# radius-server host 10.1.1.4

(2) 配置全局RADIUS服务器通信密钥。
Device(config)# radius-server key radiuskey

(3) 创建服务器组group1,并为其添加成员。
Device(config)# aaa group server radius group1
Device(config-gs-radius)# server 10.1.1.1
Device(config-gs-radius)# server 10.1.1.2
Device(config-gs-radius)#exit

(4) 创建服务器组group2,并为其添加成员。
Device(config)#aaa group server radius group2
Device(config-gs-radius)#server 10.1.1.3
Device(config-gs-radius)#server 10.1.1.4
Device (config-gs-radius)#exit

五、验证配置结果
# 在设备上通过show aaa group命令查看配置效果。
Device# show aaa group

六、配置文件
!
radius-server host 10.1.1.1
radius-server host 10.1.1.2
radius-server host 10.1.1.3
radius-server host 10.1.1.4
radius-server key radiuskey
!
aaa group server radius group1
server 10.1.1.1
server 10.1.1.2
!
aaa group server radius group2
server 10.1.1.3
server 10.1.1.4
!

七、常见错误
对于使用非默认认证、记账端口的RADIUS服务器,在使用命令server添加服务器时要同时指定认证端口或记账
端口。

 

锐捷网管交换机AAA认证配置—–LNetwork 授权配置举例

一、 组网需求
授予认证用户可用的网络服务,例如流量、带宽、超时等。

二、组网图

三、 配置要点
● 开启AAA安全服务。
●配置Network授权方法列表。
●将Network授权方法列表应用到特定的接口线路(如果配置default方法,则无需该步骤)。

四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

# 配置Network授权default方法列表。
Device(config)# aaa authorization network default group radius non

五、验证配置结果
# 在设备上,通过show aaa method-list命令查看配置效果。
Device# show aaa method-list

六、配置文件

aaa new-model

aaa authorization network default group radius none

锐捷网管交换机AAA认证配置—–L命令授权配置举例

一、 组网需求
为Login用户配置命令授权,在用户通过终端登录设备后,仅允许使用授权范围内的命令。

二、组网图

三、 配置要点
● 在设备上开启AAA安全服务。
● 在设备上配置TACACS+服务器的IP地址和共享密钥。
●在设备上配置Login认证方法列表和命令授权方法列表。
● 在TACACS+服务器配置认证用户及授权命令范围。
●在特定线路上应用认证方法和授权方法。

四、 配置步骤
(1) 在TACACS+服务器上添加Login用户,配置授权命令范围,配置为设备提供AAA服务。(配置略。关于
TACACS+服务器的配置,请参见对应服务器的使用手册)。

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置TACACS+服务器的IP地址和共享秘钥(此处设IP地址为10.110.1.2,共享密钥为sharekey)。
Device(config)# tacacs-server host 10.110.1.2 key sharekey

(4) 配置Login认证方法列表login-method,优先使用TACACS+服务器认证,其次使用本地认证。
Device(config)# aaa authentication login login-method group tacacs+ local

(5) 在本地用户数据库中添加账号host1,并配置账号权限。
Device(config)# username host1 privilege 15 password password1

(6) 为15级命令配置命令授权方法列表command-method,优先使用TACACS+服务器授权,其次使用本地授
权。
Device(config)# aaa authorization commands 15 command group tacacs+ local

(7) 将认证方法列表和授权方法列表应用到终端线路上。
Device(config)# line vty 0 35
Device(config-line)# login authentication login-method
Device(config-line)# authorization exec command-method

五、常见错误
● TACACS+服务器和设备配置的共享密钥不一致。
●TACACS+服务器上命令授权配置错误。

 

锐捷网管交换机AAA认证配置—–LEnable 认证配置举例

一、 组网需求
用户可以拥有0~15权限等级的执行权限,配置Enable认证要求用户在使用enable命令将权限切换至更高级别时进
行身份认证。如下图,Device上配置本地认证和Enable密码认证两种方式,优先使用本地认证,若本地认证方
式失效,则使用Enable密码认证。

二、组网图

三、 配置要点
● 在设备上开启AAA安全服务。
● 配置本地用户数据库和Enable密码。
● 配置Enable认证方法列表。

注:只能定义一个Enable认证方法列表,因此Enable认证不需要定义方法列表的名称。配置完默认方法列表后,
Enable认证功能自动启用。

四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

# 在本地用户数据库中添加账号host1,配置账号权限等级为15。
Device(config)# username host1 privilege 15 password password1

# 配置Enable 15级的密码为enpassword1。
Device(config)# enable secret level 15 enpassword1

# 配置Enable认证方法列表,优先使用本地认证,其次使用Enable密码认证。
Device(config)# aaa authentication enable default local enable

五、验证配置结果
# 使用账号host1登录设备,查看其用户权限等级为15。

# 将权限等级切换为等级4,此过程不需要输入密码进行认证。
Device# enable 4
Device# show privilege
Current privilege level is 4

# 将权限等级切换为等级15,此时需要身份认证。由于本地认证方法优先生效,因此使用host1的密码password1
进行认证,可以成功将用户权限等级切换为15。
Device# enable 15
Password:password1
Device# show privilege
Current privilege level is 15

 

六、配置文件
!
username host1 privilege 15 password password1
!
aaa new-model
!
aaa authentication enable default local enable
!
enable secret 5 $1$7b8Y$v6u11F23p9y3vwp6
!
end

 

锐捷网管交换机AAA认证配置—–Login本地认证和 Exec本地授权配置举例

一、 组网需求
若需要对登录设备的用户进行权限控制,可以使用Login本地认证结合Exec本地授权实现。该方法只需在设备的
本地用户数据库中配置账号及其权限等信息,不必借助认证服务器即可实现用户权限控制

二、组网图

三、 配置要点
●在设备上开启AAA安全服务。
●在设备的本地用户数据库中添加账号。
●创建认证方法列表和授权方法列表。
●在特定线路上应用认证方法和授权方法。

四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

# 在本地用户数据库中添加账号host1和host2,并配置账号权限。
Device(config)# username host1 privilege 15 password password1
Device(config)# username host2 privilege 4 password password2

# 创建Login认证方法列表login-method,认证方法为本地认证;创建Exec授权方法列表exec-method,授权方法
为本地授权。
Device(config)# aaa authentication login login-method local
Device(config)# aaa authorization exec exec-method local

# 将认证方法列表和授权方法列表应用到终端线路上。
Device(config)# line vty 0 35
Device(config-line)# login authentication login-method
Device(config-line)# authorization exec exec-method

五、验证配置结果
# 在Device上使用show aaa method-list命令查看配置的方法列表。
Device# show aaa method-list

# 使用客户端软件(PuTTY、Xshell等)Telnet登录到设备上,不同的用户拥有不同的账户权限。

●使用账号host1能登录设备,查看其用户权限等级为15。

●使用账号host2能登录设备,查看其用户权限等级为4。

六、配置文件
!
username host1 privilege 15 password password1
username host2 privilege 4 password password2
!
aaa new-model
!
aaa authorization exec exec-method local
aaa authentication login login-method local
!
line vty 0 35
authorization exec exec-method
login authentication login-method
!
end

七、常见错误
●未在特定线路应用认证方法列表和授权方法列表。
● 未在本地用户数据库中配置账号信息。

海康威视报警主机搭配4200日常布撤防计划配置

操作步骤:
【子系统】:选择要配置的子系统编号;
【日常计划】:勾选启用定时布撤防计划;
【强制布防】:勾选启用布防定时时间到屏蔽故障防区;
【复制到】:将当前配置复制到其他子系统。

配置计划模板在日常布撤防计划界面,单击模板下拉框,进入模板选择界面,可在左侧列表中直接选择一个布撤防计划模板,也可编辑一个新的布撤防计划模板。

(1)在左侧列表中选择一个需要编辑的模板,单击“编辑”,可修改模板名称,并在右侧界面绘制布防时间段。
(2)在界面上方选择布防时间段的类型(外出布防、留守布防、即时布防),在时间条上拖动鼠标绘制布防时间段。
(3)编辑时间段编辑时间段长度

将鼠标放置于绘制的时间段上,出现手型图标时,可单击时间段进行左右拖动,也可将鼠标放置于绘制时间段两侧,单击后拉动时间段更改布防时间。

复制时间段
若需复制时间段到其他日期,可选中时间段,单击,将当前时间段复制到选中的日期上。

海康威视门口机接门磁

一、以下型号门口机接门磁:

DS-KV6113-P1  ———————————————————-AI1,GND

DS-KV6113-P ————————————————————AI1,GND     

DS-KV8233-M、DS-KV8133-M —————————————AI1,GND     

DS-KV8113-M、DS-KV8213-M、DS-KV8413-M ——————–AI1,GND     

DS-KV8102、DS-KV8202、DS-KV8402—————-ALARM_2,ALARM_GND

DS-KD9503-A、DS-KD9613-A、DS-KD9603-A
2.1.1版本之前默认接A13.GND
2.1.1版本开始默认接A11,GND

DS-KD9403-A、DS-KD9633-A——————————————AI1,GND

接线端子示意图

二、其他型号门口机接门磁

配置方法:4200客户端设备管理—选择门口机进入远程配置—对讲—I/O输入输出,选择对应的IO输入号,输入用途设置为门状态,点击“保存”。

3.X版本客户端界面:

海康威视DS-KV6113-P1、DS-KV8213、DS-KV8233、DS-KV6113-P、DS-KV8413、DS-KV9203、DS-KV8113、DS-KV8133、DS-KV8123、DS-KV8223、别墅门口机外接读卡器

1、 读卡器与门口机接线:把读卡器的 485+(黄色线)和 485-(蓝色线),分别接到别墅门口机的 485+和 485-上。

2、对读卡器进行拨码,把8位拨码的第一位拨上去上,代表RS485地址为 1。(实际读卡器单独把第二位拨上去也能通讯)

3、接完线后,同时重启别墅门口机和读卡器。

4、进行刷卡测试,在读卡器上刷卡,别墅门口机会有对应提示。代表别墅门口机和读卡器通讯成功。
——如已授权卡片,在读卡器上刷卡响一声,别墅门口机会提示门已打开。
——如非授权卡片,在读卡器上刷卡响一声,别墅门口机会提示“嘟嘟”两声。

5、密码开门功能:
若是门口机呼叫室内机成功,可以在室内机上设置开门密码。在读卡器上输入#+房间号+开门密码+#进行开门

退出移动版
ICP备案号:晋ICP备18007549号-1
站长微信:15534641008