学海无涯 走一路学一路

一、 组网需求
创建自定义的AAA服务器组，用于提供AAA服务。

二、组网图

三、 配置要点
● 配置AAA服务器。
● 创建AAA自定义服务器组。
● 在自定义服务器组中添加服务器组成员。

四、 配置步骤
(1) 添加AAA服务器（此处以RADIUS服务器举例）。
Device> enable
Device# configure terminal
Device(config)# radius-server host 10.1.1.1
Device(config)# radius-server host 10.1.1.2
Device(config)# radius-server host 10.1.1.3
Device(config)# radius-server host 10.1.1.4

(2) 配置全局RADIUS服务器通信密钥。
Device(config)# radius-server key radiuskey

(3) 创建服务器组group1，并为其添加成员。
Device(config)# aaa group server radius group1
Device(config-gs-radius)# server 10.1.1.1
Device(config-gs-radius)# server 10.1.1.2
Device(config-gs-radius)#exit

(4) 创建服务器组group2，并为其添加成员。
Device(config)#aaa group server radius group2
Device(config-gs-radius)#server 10.1.1.3
Device(config-gs-radius)#server 10.1.1.4
Device (config-gs-radius)#exit

五、验证配置结果
# 在设备上通过show aaa group命令查看配置效果。
Device# show aaa group

六、配置文件
!
radius-server host 10.1.1.1
radius-server host 10.1.1.2
radius-server host 10.1.1.3
radius-server host 10.1.1.4
radius-server key radiuskey
!
aaa group server radius group1
server 10.1.1.1
server 10.1.1.2
!
aaa group server radius group2
server 10.1.1.3
server 10.1.1.4
!

七、常见错误
对于使用非默认认证、记账端口的RADIUS服务器，在使用命令server添加服务器时要同时指定认证端口或记账
端口。

 

一、 组网需求
授予认证用户可用的网络服务，例如流量、带宽、超时等。

二、组网图

三、 配置要点
● 开启AAA安全服务。
●配置Network授权方法列表。
●将Network授权方法列表应用到特定的接口线路（如果配置default方法，则无需该步骤）。

四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

# 配置Network授权default方法列表。
Device(config)# aaa authorization network default group radius non

五、验证配置结果
# 在设备上，通过show aaa method-list命令查看配置效果。
Device# show aaa method-list

六、配置文件
！
aaa new-model
！
aaa authorization network default group radius none
！

一、 组网需求
为Login用户配置命令授权，在用户通过终端登录设备后，仅允许使用授权范围内的命令。

二、组网图

三、 配置要点
● 在设备上开启AAA安全服务。
● 在设备上配置TACACS+服务器的IP地址和共享密钥。
●在设备上配置Login认证方法列表和命令授权方法列表。
● 在TACACS+服务器配置认证用户及授权命令范围。
●在特定线路上应用认证方法和授权方法。

四、 配置步骤
(1) 在TACACS+服务器上添加Login用户，配置授权命令范围，配置为设备提供AAA服务。（配置略。关于
TACACS+服务器的配置，请参见对应服务器的使用手册）。

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置TACACS+服务器的IP地址和共享秘钥（此处设IP地址为10.110.1.2，共享密钥为sharekey）。
Device(config)# tacacs-server host 10.110.1.2 key sharekey

(4) 配置Login认证方法列表login-method，优先使用TACACS+服务器认证，其次使用本地认证。
Device(config)# aaa authentication login login-method group tacacs+ local

(5) 在本地用户数据库中添加账号host1，并配置账号权限。
Device(config)# username host1 privilege 15 password password1

(6) 为15级命令配置命令授权方法列表command-method，优先使用TACACS+服务器授权，其次使用本地授
权。
Device(config)# aaa authorization commands 15 command group tacacs+ local

(7) 将认证方法列表和授权方法列表应用到终端线路上。
Device(config)# line vty 0 35
Device(config-line)# login authentication login-method
Device(config-line)# authorization exec command-method

五、常见错误
● TACACS+服务器和设备配置的共享密钥不一致。
●TACACS+服务器上命令授权配置错误。

 

一、 组网需求
用户可以拥有0~15权限等级的执行权限，配置Enable认证要求用户在使用enable命令将权限切换至更高级别时进
行身份认证。如下图，Device上配置本地认证和Enable密码认证两种方式，优先使用本地认证，若本地认证方
式失效，则使用Enable密码认证。

二、组网图

三、 配置要点
● 在设备上开启AAA安全服务。
● 配置本地用户数据库和Enable密码。
● 配置Enable认证方法列表。

注：只能定义一个Enable认证方法列表，因此Enable认证不需要定义方法列表的名称。配置完默认方法列表后，
Enable认证功能自动启用。

四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

# 在本地用户数据库中添加账号host1，配置账号权限等级为15。
Device(config)# username host1 privilege 15 password password1

# 配置Enable 15级的密码为enpassword1。
Device(config)# enable secret level 15 enpassword1

# 配置Enable认证方法列表，优先使用本地认证，其次使用Enable密码认证。
Device(config)# aaa authentication enable default local enable

五、验证配置结果
# 使用账号host1登录设备，查看其用户权限等级为15。

# 将权限等级切换为等级4，此过程不需要输入密码进行认证。
Device# enable 4
Device# show privilege
Current privilege level is 4

# 将权限等级切换为等级15，此时需要身份认证。由于本地认证方法优先生效，因此使用host1的密码password1
进行认证，可以成功将用户权限等级切换为15。
Device# enable 15
Password:password1
Device# show privilege
Current privilege level is 15

 

六、配置文件
!
username host1 privilege 15 password password1
!
aaa new-model
!
aaa authentication enable default local enable
!
enable secret 5 $1$7b8Y$v6u11F23p9y3vwp6
!
end

 

一、 组网需求
若需要对登录设备的用户进行权限控制，可以使用Login本地认证结合Exec本地授权实现。该方法只需在设备的
本地用户数据库中配置账号及其权限等信息，不必借助认证服务器即可实现用户权限控制

二、组网图

三、 配置要点
●在设备上开启AAA安全服务。
●在设备的本地用户数据库中添加账号。
●创建认证方法列表和授权方法列表。
●在特定线路上应用认证方法和授权方法。

四、 配置步骤
# 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

# 在本地用户数据库中添加账号host1和host2，并配置账号权限。
Device(config)# username host1 privilege 15 password password1
Device(config)# username host2 privilege 4 password password2

# 创建Login认证方法列表login-method，认证方法为本地认证；创建Exec授权方法列表exec-method，授权方法
为本地授权。
Device(config)# aaa authentication login login-method local
Device(config)# aaa authorization exec exec-method local

# 将认证方法列表和授权方法列表应用到终端线路上。
Device(config)# line vty 0 35
Device(config-line)# login authentication login-method
Device(config-line)# authorization exec exec-method

五、验证配置结果
# 在Device上使用show aaa method-list命令查看配置的方法列表。
Device# show aaa method-list

# 使用客户端软件（PuTTY、Xshell等）Telnet登录到设备上，不同的用户拥有不同的账户权限。

●使用账号host1能登录设备，查看其用户权限等级为15。

●使用账号host2能登录设备，查看其用户权限等级为4。

六、配置文件
!
username host1 privilege 15 password password1
username host2 privilege 4 password password2
!
aaa new-model
!
aaa authorization exec exec-method local
aaa authentication login login-method local
!
line vty 0 35
authorization exec exec-method
login authentication login-method
!
end

七、常见错误
●未在特定线路应用认证方法列表和授权方法列表。
● 未在本地用户数据库中配置账号信息。

操作步骤：
【子系统】：选择要配置的子系统编号；
【日常计划】：勾选启用定时布撤防计划；
【强制布防】：勾选启用布防定时时间到屏蔽故障防区；
【复制到】：将当前配置复制到其他子系统。

配置计划模板在日常布撤防计划界面，单击模板下拉框，进入模板选择界面，可在左侧列表中直接选择一个布撤防计划模板，也可编辑一个新的布撤防计划模板。

（1）在左侧列表中选择一个需要编辑的模板，单击“编辑”，可修改模板名称，并在右侧界面绘制布防时间段。
（2）在界面上方选择布防时间段的类型（外出布防、留守布防、即时布防），在时间条上拖动鼠标绘制布防时间段。
（3）编辑时间段编辑时间段长度

将鼠标放置于绘制的时间段上，出现手型图标时，可单击时间段进行左右拖动，也可将鼠标放置于绘制时间段两侧，单击后拉动时间段更改布防时间。

复制时间段
若需复制时间段到其他日期，可选中时间段，单击，将当前时间段复制到选中的日期上。

一、以下型号门口机接门磁：

DS-KV6113-P1  ———————————————————-AI1，GND

DS-KV6113-P ————————————————————AI1，GND     

DS-KV8233-M、DS-KV8133-M —————————————AI1，GND     

DS-KV8113-M、DS-KV8213-M、DS-KV8413-M ——————–AI1，GND     

DS-KV8102、DS-KV8202、DS-KV8402—————-ALARM_2,ALARM_GND

DS-KD9503-A、DS-KD9613-A、DS-KD9603-A
2.1.1版本之前默认接A13.GND
2.1.1版本开始默认接A11,GND

DS-KD9403-A、DS-KD9633-A——————————————AI1，GND

接线端子示意图

二、其他型号门口机接门磁

配置方法：4200客户端设备管理—选择门口机进入远程配置—对讲—I/O输入输出，选择对应的IO输入号，输入用途设置为门状态，点击“保存”。

3.X版本客户端界面：

1、 读卡器与门口机接线：把读卡器的 485+（黄色线）和 485-（蓝色线），分别接到别墅门口机的 485+和 485-上。

2、对读卡器进行拨码，把8位拨码的第一位拨上去上，代表RS485地址为 1。（实际读卡器单独把第二位拨上去也能通讯）

3、接完线后，同时重启别墅门口机和读卡器。

4、进行刷卡测试，在读卡器上刷卡，别墅门口机会有对应提示。代表别墅门口机和读卡器通讯成功。
——如已授权卡片，在读卡器上刷卡响一声，别墅门口机会提示门已打开。
——如非授权卡片，在读卡器上刷卡响一声，别墅门口机会提示“嘟嘟”两声。

5、密码开门功能：
若是门口机呼叫室内机成功，可以在室内机上设置开门密码。在读卡器上输入#+房间号+开门密码+#进行开门

1、读卡器与门口机接线：把读卡器的485+（黄色线）和485-（蓝色线），分别接到

2、 读卡器拨码：将8位拨码的第一位拨上去上，代表RS485地址为1。拨好后同时重启门口机与读卡器。

3、将门口机添加到4200设备管理中，远程配置-系统-RS485，如图配置，码率为19200，工作模式为读卡器，点击保存。

4、进行刷卡测试，在读卡器上刷卡，门口机会有对应提示。代表门口机和读卡器通讯成功。
——如已授权卡片，在读卡器上刷卡响一声，门口机会提示门已打开。
——如非授权卡片，在读卡器上刷卡响一声，门口机会提示“嘟嘟”两声。

5、 密码开门功能：若是门口机呼叫室内机成功，可以在室内机上设置开门密码。在读卡器上输入#+房间号+开门密码+#进行开门

1、读卡器与门口机接线：把读卡器的485+（黄色线）和485-（蓝色线），分别接到单元门口机的485+和485-上。

2、 读卡器拨码：将8位拨码的第一位拨上去上，代表RS485地址为1。拨好后同时重启门口机与读卡器。

3、 网页设置：通过门口机IP登录设备网页端，配置-门禁设置-RS485 工作模式为读卡器，点击保存。

4、进行刷卡测试，在读卡器上刷卡，门口机会有对应提示。代表门口机和读卡器通讯成功。
——如已授权卡片，在读卡器上刷卡响一声，门口机会提示门已打开。
——如非授权卡片，在读卡器上刷卡响一声，门口机会提示“嘟嘟”两声。

5、 密码开门功能：若是门口机呼叫室内机成功，可以在室内机上设置开门密码。在读卡器上输入#+房间号+开门密码+#进行开门