分类： 网络

一、 组网需求
创建自定义的AAA服务器组，用于提供AAA服务。

二、组网图

三、 配置要点
● 配置AAA服务器。
● 创建AAA自定义服务器组。
● 在自定义服务器组中添加服务器组成员。

四、 配置步骤
(1) 添加AAA服务器（此处以RADIUS服务器举例）。
Device> enable
Device# configure terminal
Device(config)# radius-server host 10.1.1.1
Device(config)# radius-server host 10.1.1.2
Device(config)# radius-server host 10.1.1.3
Device(config)# radius-server host 10.1.1.4

(2) 配置全局RADIUS服务器通信密钥。
Device(config)# radius-server key radiuskey

(3) 创建服务器组group1，并为其添加成员。
Device(config)# aaa group server radius group1
Device(config-gs-radius)# server 10.1.1.1
Device(config-gs-radius)# server 10.1.1.2
Device(config-gs-radius)#exit

(4) 创建服务器组group2，并为其添加成员。
Device(config)#aaa group server radius group2
Device(config-gs-radius)#server 10.1.1.3
Device(config-gs-radius)#server 10.1.1.4
Device (config-gs-radius)#exit

五、验证配置结果
# 在设备上通过show aaa group命令查看配置效果。
Device# show aaa group

六、配置文件
!
radius-server host 10.1.1.1
radius-server host 10.1.1.2
radius-server host 10.1.1.3
radius-server host 10.1.1.4
radius-server key radiuskey
!
aaa group server radius group1
server 10.1.1.1
server 10.1.1.2
!
aaa group server radius group2
server 10.1.1.3
server 10.1.1.4
!

七、常见错误
对于使用非默认认证、记账端口的RADIUS服务器，在使用命令server添加服务器时要同时指定认证端口或记账
端口。

 

一、 组网需求
授予认证用户可用的网络服务，例如流量、带宽、超时等。

二、组网图

三、 配置要点
● 开启AAA安全服务。
●配置Network授权方法列表。
●将Network授权方法列表应用到特定的接口线路（如果配置default方法，则无需该步骤）。

四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

# 配置Network授权default方法列表。
Device(config)# aaa authorization network default group radius non

五、验证配置结果
# 在设备上，通过show aaa method-list命令查看配置效果。
Device# show aaa method-list

六、配置文件
！
aaa new-model
！
aaa authorization network default group radius none
！

一、 组网需求
为Login用户配置命令授权，在用户通过终端登录设备后，仅允许使用授权范围内的命令。

二、组网图

三、 配置要点
● 在设备上开启AAA安全服务。
● 在设备上配置TACACS+服务器的IP地址和共享密钥。
●在设备上配置Login认证方法列表和命令授权方法列表。
● 在TACACS+服务器配置认证用户及授权命令范围。
●在特定线路上应用认证方法和授权方法。

四、 配置步骤
(1) 在TACACS+服务器上添加Login用户，配置授权命令范围，配置为设备提供AAA服务。（配置略。关于
TACACS+服务器的配置，请参见对应服务器的使用手册）。

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置TACACS+服务器的IP地址和共享秘钥（此处设IP地址为10.110.1.2，共享密钥为sharekey）。
Device(config)# tacacs-server host 10.110.1.2 key sharekey

(4) 配置Login认证方法列表login-method，优先使用TACACS+服务器认证，其次使用本地认证。
Device(config)# aaa authentication login login-method group tacacs+ local

(5) 在本地用户数据库中添加账号host1，并配置账号权限。
Device(config)# username host1 privilege 15 password password1

(6) 为15级命令配置命令授权方法列表command-method，优先使用TACACS+服务器授权，其次使用本地授
权。
Device(config)# aaa authorization commands 15 command group tacacs+ local

(7) 将认证方法列表和授权方法列表应用到终端线路上。
Device(config)# line vty 0 35
Device(config-line)# login authentication login-method
Device(config-line)# authorization exec command-method

五、常见错误
● TACACS+服务器和设备配置的共享密钥不一致。
●TACACS+服务器上命令授权配置错误。

 

一、 组网需求
用户可以拥有0~15权限等级的执行权限，配置Enable认证要求用户在使用enable命令将权限切换至更高级别时进
行身份认证。如下图，Device上配置本地认证和Enable密码认证两种方式，优先使用本地认证，若本地认证方
式失效，则使用Enable密码认证。

二、组网图

三、 配置要点
● 在设备上开启AAA安全服务。
● 配置本地用户数据库和Enable密码。
● 配置Enable认证方法列表。

注：只能定义一个Enable认证方法列表，因此Enable认证不需要定义方法列表的名称。配置完默认方法列表后，
Enable认证功能自动启用。

四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

# 在本地用户数据库中添加账号host1，配置账号权限等级为15。
Device(config)# username host1 privilege 15 password password1

# 配置Enable 15级的密码为enpassword1。
Device(config)# enable secret level 15 enpassword1

# 配置Enable认证方法列表，优先使用本地认证，其次使用Enable密码认证。
Device(config)# aaa authentication enable default local enable

五、验证配置结果
# 使用账号host1登录设备，查看其用户权限等级为15。

# 将权限等级切换为等级4，此过程不需要输入密码进行认证。
Device# enable 4
Device# show privilege
Current privilege level is 4

# 将权限等级切换为等级15，此时需要身份认证。由于本地认证方法优先生效，因此使用host1的密码password1
进行认证，可以成功将用户权限等级切换为15。
Device# enable 15
Password:password1
Device# show privilege
Current privilege level is 15

 

六、配置文件
!
username host1 privilege 15 password password1
!
aaa new-model
!
aaa authentication enable default local enable
!
enable secret 5 $1$7b8Y$v6u11F23p9y3vwp6
!
end

 

一、 组网需求
若需要对登录设备的用户进行权限控制，可以使用Login本地认证结合Exec本地授权实现。该方法只需在设备的
本地用户数据库中配置账号及其权限等信息，不必借助认证服务器即可实现用户权限控制

二、组网图

三、 配置要点
●在设备上开启AAA安全服务。
●在设备的本地用户数据库中添加账号。
●创建认证方法列表和授权方法列表。
●在特定线路上应用认证方法和授权方法。

四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

# 在本地用户数据库中添加账号host1和host2，并配置账号权限。
Device(config)# username host1 privilege 15 password password1
Device(config)# username host2 privilege 4 password password2

# 创建Login认证方法列表login-method，认证方法为本地认证；创建Exec授权方法列表exec-method，授权方法
为本地授权。
Device(config)# aaa authentication login login-method local
Device(config)# aaa authorization exec exec-method local

# 将认证方法列表和授权方法列表应用到终端线路上。
Device(config)# line vty 0 35
Device(config-line)# login authentication login-method
Device(config-line)# authorization exec exec-method

五、验证配置结果
# 在Device上使用show aaa method-list命令查看配置的方法列表。
Device# show aaa method-list

# 使用客户端软件（PuTTY、Xshell等）Telnet登录到设备上，不同的用户拥有不同的账户权限。

●使用账号host1能登录设备，查看其用户权限等级为15。

●使用账号host2能登录设备，查看其用户权限等级为4。

六、配置文件
!
username host1 privilege 15 password password1
username host2 privilege 4 password password2
!
aaa new-model
!
aaa authorization exec exec-method local
aaa authentication login login-method local
!
line vty 0 35
authorization exec exec-method
login authentication login-method
!
end

七、常见错误
●未在特定线路应用认证方法列表和授权方法列表。
● 未在本地用户数据库中配置账号信息。

故障现象
客户端从 DHCP 服务器动态获得的 IP 地址与其他主机 IP 地址冲突。

故障分析
可能是网络上有主机私自配置了 IP 地址，导致冲突。

故障处理
(1) 禁用客户端的网卡或断开其网线，从另外一台主机执行 ping 操作，检查网络中是否已经存在该 IP 地址的主机。
(2) 如果能够收到 ping 操作的响应消息，则说明该 IP 地址已由用户静态配置。在 DHCP 服务器上执行 dhcp server forbidden-ip 命令，禁止该 IP 地址参与动态地址分配。
(3) 重新启用客户端的网卡或连接好其网线，在客户端释放并重新获取 IP 地址。
在 Windows 环境中使用 ipconfig /release 命令释放 IP 地址，之后使用 ipconfig /renew 重新获取 IP 地址。

一、 组网需求
DHCP 客户端 Switch B 从 DHCP 服务器 Switch A 获取 IP 地址和 PXE 引导服务器地址信息：
• IP 地址所在网段为 10.1.1.0/24；
• 匹配硬件地址 aabb-aabb-0000，硬件地址掩码 ffff-ffff-0000 的客户端的 PXE 引导服务器地址为 2.3.4.5 和 3.3.3.3，其他客户端的 PXE 引导服务器地址为 1.2.3.4 和 2.2.2.2。DHCP 服务器需要通过自定义 DHCP 选项的方式配置 Option 43 的内容，从而实现为客户端分配PXE 引导服务器地址。

Option 43 地址列表的格式分别如下图

PXE 服务器地址列表的格式分别如下图

DHCP 服务器上地址池中配置的 Option 43 选项内容为 80 0B 00 00 02 01 02 03 04 02 02 02 02，其中 80为子选项类型（Sub-option type），0B 为子选项长度（Sub-option length），00 00 为 PXE 服务器类型（PXE server type），02 为服务器数目（Server number），01 02 03 04 02 02 02 02 为服务器
的 IP 地址 1.2.3.4 和 2.2.2.2。

二、组网图

三、配置步骤
(1) 配置各接口的 IP 地址（略）

(2) 配置 DHCP 服务
# 开启 DHCP 服务。
<SwitchA> system-view
[SwitchA] dhcp enable

# 创建 DHCP 用户类 ss，设置匹配规则编号 1，匹配硬件地址 aabb-aabb-0000，硬件地址掩码为ffff-ffff-0000。
[SwitchA] dhcp class ss
[SwitchA-dhcp-class-ss] if-match rule 1 hardware-address aabb-aabb-0000 mask ffff-ffff-0000
[SwitchA-dhcp-class-ss] quit

# 创建 DHCP 选项组 1，配置选项信息。
[SwitchA] dhcp option-group 1
[SwitchA-dhcp-option-group-1] option 43 hex 800B0000020203040503030303

# 配置 VLAN 接口 2 工作在 DHCP 服务器模式。
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] dhcp select server
[SwitchA-Vlan-interface2] quit

# 配置 DHCP 地址池 0。
[SwitchA] dhcp server ip-pool 0
[SwitchA-dhcp-pool-0] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-0] option 43 hex 800B0000020102030402020202
[SwitchA-dhcp-pool-0] class ss option-group 1
[SwitchA-dhcp-pool-0] quit

四、验证配置
配置完成后，Switch B 可以从 DHCP 服务器 Switch A 获取到 10.1.1.0/24 网段的 IP 地址和 PXE 引导服务器地址。通过 display dhcp server ip-in-use 命令可以查看 DHCP 服务器为客户端分配的IP 地址。
[SwitchA] display dhcp server ip-in-use

一、 组网需求
• 作为 DHCP 服务器的 Switch A 为局域网中的客户端动态分配 IP 地址。
• DHCP 服务器地址池中有两个网段的地址：10.1.1.0/24 和 10.1.2.0/24。当 10.1.1.0/24 网段没有空闲地址后，DHCP 服务器继续从 10.1.2.0/24 网段中选择 IP 地址分配给客户端。
• Switch A 为网段 10.1.1.0/24 内的客户端分配的网关地址为 10.1.1.254/24；为网段 10.1.2.0/24内的客户端分配的网关地址为 10.1.2.254/24。

二、组网图

三、配置步骤
# 开启 DHCP 服务。
<SwitchA> system-view
[SwitchA] dhcp enable

# 配置 VLAN 接口 10 的主从 IP 地址，并配置该接口工作在 DHCP 服务器模式。
[SwitchA] interface vlan-interface 10
[SwitchA-Vlan-interface10] ip address 10.1.1.1 24
[SwitchA-Vlan-interface10] ip address 10.1.2.1 24 sub
[SwitchA-Vlan-interface10] dhcp select server
[SwitchA-Vlan-interface10] quit

# 创建 DHCP 地址池 aa，配置主网段地址范围和从网段地址范围，配置网关地址。
[SwitchA] dhcp server ip-pool aa
[SwitchA-dhcp-pool-aa] network 10.1.1.0 mask 255.255.255.0
[SwitchA-dhcp-pool-aa] gateway-list 10.1.1.254
[SwitchA-dhcp-pool-aa] network 10.1.2.0 mask 255.255.255.0 secondary
[SwitchA-dhcp-pool-aa-secondary] gateway-list 10.1.2.254
[SwitchA-dhcp-pool-aa-secondary] quit
[SwitchA-dhcp-pool-aa] quit

四、验证配置
配置完成后，当 DHCP 服务器地址池主网段中没有空闲地址分配给客户端时，服务器会从该地址池中的从网段获取地址分配给客户端 IP 地址和网络配置参数。通过 display dhcp server ip-in-use命令可以查看 DHCP 服务器已分配的主从网段 IP 地址。（此处只截取部分显示信息）
[SwitchA] display dhcp server ip-in-use

一、 组网需求
Switch B 作为 DHCP 服务器只为局域网中匹配硬件地址 aabb-aabb-0000，硬件地址掩码为ffff-ffff-0000 的 DHCP 客户端动态分配网段为 10.1.1.0/24 的 IP 地址。

二、组网图

三、配置步骤
(1) 配置 DHCP server 和 DHCP relay agent 各个接口的 IP 地址（略）

(2) 配置 DHCP 服务
# 开启 DHCP 服务
<SwitchB> system-view
[SwitchB] dhcp enable

# 配置 VLAN 接口 2 工作在 DHCP 服务器模式
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] dhcp select server
[SwitchB-Vlan-interface2] quit

# 创建 DHCP 用户类 ss，设置匹配规则编号 1，匹配硬件地址为 aabb-aabb-0000，硬件地址掩码为 ffff-ffff-0000
[SwitchB] dhcp class ss
[SwitchB-dhcp-class-ss] if-match rule 1 hardware-address aabb-aabb-0000 mask ffff-ffff-0000
[SwitchB-dhcp-class-ss] quit

# 创建 DHCP 地址池 aa，配置可分配的地址范围为 10.1.1.0/24，开启用户类白名单功能，配置白名单中包括的用户类为 ss
[SwitchB] dhcp server ip-pool aa
[SwitchB-dhcp-pool-aa] network 10.1.1.0 mask 255.255.255.0
[SwitchB-dhcp-pool-aa] verify class
[SwitchB-dhcp-pool-aa] valid class ss
[SwitchB-dhcp-pool-aa] quit

四、验证配置
配置完成后，匹配地址 aabb-aabb-0000，掩码 ffff-ffff-0000 的客户端可以从 DHCP 服务器 Switch B申请到地址范围为 10.1.1.0/24 网段的 IP 地址。通过 display dhcp server ip-in-use 命令可以查看DHCP 服务器分配的 IP 地址。
[SwitchA] display dhcp server ip-in-use

一、 组网需求
• Switch A 作为 DHCP 中继转发 DHCP 报文。在 Switch A 上配置 DHCP 中继支持 Option 82功能，使得 Switch A 能够为 DHCP 客户端发送的请求报文添加 Option 82。
• Switch B 作为 DHCP 服务器为客户端分配 IP 地址和其他网络配置参数。如果 Switch B 接收到的请求报文中带有 Option 82，则为该客户端分配地址范围 10.10.1.2 到 10.10.1.10 内的 IP地址。如果 Router B 接收到的请求报文匹配硬件地址 aabb-aabb-aab0，硬件地址掩码为ffff-ffff-fff0，则为该客户端分配地址围 10.10.1.11 到 10.10.1.26 内的 IP 地址。
• Switch B 为 10.10.1.0/24 网段内的客户端分配的 DNS 服务器地址为 10.10.1.20/24，网关的地址为 10.10.1.254/24。

二、组网图

三、配置步骤
(1) 配置 DHCP server 和 DHCP relay agent 各个接口的 IP 地址（略）

(2) 配置 DHCP 服务
# 开启 DHCP 服务，且配置 DHCP 服务器处理 Option 82 信息。
<SwitchB> system-view
[SwitchB] dhcp enable
[SwitchB] dhcp server relay information enable

# 配置 VLAN 接口 10 工作在 DHCP 服务器模式。
[SwitchB] interface vlan-interface 10
[SwitchB-Vlan-interface10] dhcp select server
[SwitchB-Vlan-interface10] quit

# 创建 DHCP 用户类 tt，设置匹配规则编号为 1，匹配请求报文中带有 Option 82 的客户端。
[SwitchB] dhcp class tt
[SwitchB-dhcp-class-tt] if-match rule 1 option 82
[SwitchB-dhcp-class-tt] quit

# 创建 DHCP 用户类 ss，设置匹配规则编号 1，匹配硬件地址 aabb-aabb-aab0，硬件地址掩码ffff-ffff-fff0 的请求报文。
[SwitchB] dhcp class ss
[SwitchB-dhcp-class-ss] if-match rule 1 hardware-address aabb-aabb-aab0 mask ffff-ffff-fff0
[SwitchB-dhcp-class-ss] quit

# 创建 DHCP 地址池 aa，配置地址范围和用户类 tt 的地址范围，配置网关和 DNS 服务器的地址。
[SwitchB] dhcp server ip-pool aa
[SwitchB-dhcp-pool-aa] network 10.10.1.0 mask 255.255.255.0
[SwitchB-dhcp-pool-aa] address range 10.10.1.2 10.10.1.100
[SwitchB-dhcp-pool-aa] class tt range 10.10.1.2 10.10.1.10
[SwitchB-dhcp-pool-aa] class ss range 10.10.1.11 10.10.1.26
[SwitchB-dhcp-pool-aa] gateway-list 10.10.1.254
[SwitchB-dhcp-pool-aa] dns-list 10.10.1.20
[SwitchB-dhcp-pool-aa] quit

四、验证配置
配置完成后，10.10.1.0/24 网段的客户端通过用户类分配方式可以从 DHCP 服务器 Switch B 申请到相应地址范围的 IP 地址和网络配置参数。通过 display dhcp server ip-in-use 命令可以查看DHCP 服务器为它分配的 IP 地址。
[SwitchA] display dhcp server ip-in-use