-
技术服务热
实施前准备:
-
挂线:
以
15
级权限
telnet/SSH
上要配置的设备,配置:
line
vty 0 15
exec-timeout 0 0 <
/p>
然后保持
telnet/SSH
会话不退
出。等待配置完成且测试通过后,再配置
exec-timeout 10
0(
或者改成期望值,默认
是
10 0
)
。这样做的目的是避免因为意外或者操作问题将用户自己锁在路由器外。
配置步骤
(
以下若无具体说明,均为全局模式配置,命令行红色字体为自定义值
)
:
1
、开启
aaa
:
aaa
new-model
2
、配置
tac
acs+
服务器:
tacacs-
server host
192.168.1.200
key
I0$$pAs$$w0rd
3
、配置
ACS
,配置
< br>client
和
user
:
-
登录
ACS<
/p>
:
浏览器输入:
192.168.1.200:2002
,其中
192.16
8.1.200
为
ACS
的
IP
地址。
--client
配置:
在左边点击进入
network
config
视图:
点击下图的
Add
Entry
:
会弹出以下界面,
hostname
填写设备名称
(
也可以自定义
)
,<
/p>
IP
地址填写网络设备的
IP
,
key
要和路由器上配置的
key
相同,使用
tacacs+(cisco ios)
,然后点击
submit+apply
。如下图:
技术服务热
--user
配置:
点击左边
,会进入
user
setup
界面,如下图:
输入要建立的
username
,点击
add/edit
:
在
user
编辑界面,在
user setup
界面输入密码,选择属于的
组,然后点击最下方的
submit
即可。
技术服务热
作为例子,这里配置了
4
个用户:
username
cisco1
cisco7
cisco10
cisco15
password
cisco1
cisco7
cisco10
cisco15
group
ACS
预定义组
1
ACS
预定义组
7
ACS
预定义组
10
ACS
预定义组
15
privilege
1
7
10
15
4
、测试路由器和
< br>ACS
连通性:
特权模式:
test aaa group tacacs
cisco7 cisco7 new-
code
,如果通过会有以下输出:
注意
:如果不能通过,请确认两端是否能通信
< br>(ping)
,两端的密码是否相同
(
< br>比如路由器端的密码是否多了空格,
空格也被认为是密码
string)
。
5
、定义
aaa method-
list
,名字为
ios-
manage
:
aaa new-
model
aaa authentication
login
ios-manage
group
tacacs local
//
定
义登录的认证方法为
tacacs+
,当
ACS
不可达时使用本
地验证
aaa authorization exec
ios-
manage
group tacacs local //
当通过登录认证后,授权登录用户能访问
cli
界面。
aaa authorization command
1
ios-manage
group tacacs
//
对
1<
/p>
级命令通过
tacacs+
服务器授权。
aaa authorization command
7
ios-manage
group tacacs
none
aaa authorization command
10
ios-manage
group
tacacs none
aaa authorization command 15
ios-manage
group tacacs none
注意:第二方法
local
,是线下保护,当
ACS
不可达后,仍然可以使用本地账户验证登陆。
本地账户设置:
aaa new-
model
username XXXX password XXXX
//
建议
设置本地账户与
ACS
管理账户一致,
输入账户后
ACS
不可达则自动转
换为
本地验证。
6
、在路由器上重新定义命令级别。