思科ACS（Access Control Server）作为经典的网络接入控制与身份管理平台，其命令行界面（CLI）为管理员提供了高效、灵活的配置与管理方式，通过CLI，用户可绕过图形界面的限制，直接执行批量操作、自动化脚本及复杂策略部署，尤其适用于大规模网络环境或需要精细化管理场景，以下从CLI登录基础、核心功能配置、高级操作技巧及注意事项等方面展开详细说明。

CLI登录与基础操作

思科ACS CLI通常通过SSH或Console口接入，首次登录需使用默认管理员账号（如默认用户名“admin”，密码“admin”），首次登录后建议立即修改密码并启用AAA认证，登录后，命令行提示符格式为acsXX#（XX为设备标识），进入配置模式需输入configure terminal，提示符变为acsXX(config)#。

基础操作中，show系列命令用于查看系统状态，如show version显示软件版本与设备信息，show running-config查看当前配置，show log server查看日志服务器状态；debug命令用于故障排查，如debug aaa authentication开启认证调试，但需注意调试信息可能影响性能，完成后需用undebug all关闭；save config用于保存配置,避免重启后丢失。

核心功能配置命令

用户与组管理

用户是ACS的最小管理单元，组则用于批量分配权限，创建用户需指定用户名、密码、所属组及认证协议，

config terminal  
username admin1 password P@ssw0rd123 group administrators  
username user1 password User!456 group guests  

组管理通过group命令实现，可设置访问权限、会话策略等，如：

group administrators  
  shell: admin  
  access-type: shell  
group guests  
  shell: read-only  
  access-type: none  

网络设备与AAA客户端配置

ACS需管理网络设备（如交换机、路由器）的AAA客户端，定义设备IP、共享密钥及认证协议：

aaa client 192.168.1.10 key CiscoSecret123 protocol radius  
aaa client 192.168.1.20 key SwitchKey456 protocol tacacs+  

共享密钥需与网络设备配置一致，确保通信安全。

认证与授权策略

认证策略决定用户身份验证方式，授权策略决定用户访问权限，通过policy命令创建策略，

policy authentication wired  
  condition: user-group == "administrators"  
  result: accept  
policy authorization admin-access  
  condition: protocol == "shell"  
  result: permit command "show" "configure"  

策略支持多条件组合（如时间、设备类型），通过condition与result实现精细化控制。

RADIUS/TACACS+服务器配置

ACS作为RADIUS/TACACS+服务器，需监听指定端口并设置客户端接入：

radius-server port 1812 default  
radius-server key RadiusKey789  
tacacs-server port 49  
tacacs-server key TacacsKey101  

客户端接入时，需在aaa client中定义设备IP与密钥，确保双向认证。

高级操作与批量管理

批量导入用户与策略

通过CLI结合脚本（如Python、Expect）可实现批量操作，使用文本文件批量创建用户，格式为“username,password,group”，通过循环命令导入：

configure terminal  
while read line; do  
  username=$(echo $line | cut -d',' -f1)  
  password=$(echo $line | cut -d',' -f2)  
  group=$(echo $line | cut -d',' -f3)  
  username $username password $password group $group  
done < user_list.txt  

日志与审计配置

ACS可记录用户操作日志，需配置日志服务器与级别：

log server 192.168.1.100 facility local7  
log level informational  
log buffer size 10240  

通过show log buffer查看实时日志，show log server status检查日志服务器连接状态。

高级故障排查

当用户认证失败时，可通过以下命令定位问题：

• debug aaa authentication detail：详细输出认证流程，包括用户名、密码验证、策略匹配过程；
• show aaa statistics：查看AAA统计信息，如成功/失败次数、超时计数；
• debug radius packet：抓取RADIUS协议包，分析客户端与ACS的通信内容。

注意事项

1. 权限控制：CLI操作权限较高，建议为不同管理员分配不同用户组（如操作组、审计组），避免越权操作；
2. 配置备份：定期通过copy running-config tftp:备份配置，或结合脚本实现自动化备份；
3. 版本兼容性：不同ACS版本命令略有差异，需参考对应版本的《Command Reference》文档；
4. 安全加固：禁用Telnet，强制使用SSH；修改默认端口；定期更新ACS软件版本。

相关问答FAQs

Q1: 忘记ACS CLI登录密码如何恢复？
A1: 若忘记管理员密码，可通过Console口进入设备，重启时按住特定键（如Ctrl+Break）进入ROM Monitor模式，执行confreg 0x2142重置配置寄存器（跳过启动配置），重启后进入enable模式，修改密码后执行confreg 0x2102恢复默认配置，最后保存配置，注意：此操作会丢失未保存的配置，建议提前备份。

Q2: ACS CLI如何批量导出用户列表？
A2: 使用show users命令可查看当前用户列表，但无法直接导出，可通过以下方法实现批量导出：

• 方法1：在CLI中执行show users | include "username"过滤用户名，结合脚本（如Expect）捕获输出并保存为文本文件；
• 方法2：通过ACS的TFTP服务器功能，在配置模式下执行export users tftp://192.168.1.100/user_list.txt，导出用户数据文件（需提前配置TFTP服务器）。