Cisco 路由器支持集中的AAA(验证/授权/记帐)功能,但是需要部署一台Cisco ACS(访问控制服务器),如果网络设备数量不多,就可以利用Cisco路由器的本地验证和授权的功能来实现验证和授权,而且不需要部署Cisco ACS.以下是一个实现对路由器r1的telnet访问的本地验证和授权的例子:. @% M/ n- y! ~. J# S
- |8 O# E! z7 s7 T: U; A
一、#username aaa password cisco //为telnet用户设置一个帐号和口令(aaa用户的级别为1最低级别3 T9 J* `, S$ e0 k& w
3 Q& P2 H* |4 f3 w0 i+ n0 x 二、enable secret level 2 CISCO //设置一个级别为2的特权口令(缺省为15,具有所有权限)# y8 _; O1 S' `% R$ m, D
; B. y" M0 y# d8 _9 d
三、为级别是2的特权用户授权(只允许执行router和network命令)
: J( u- {1 L" u S, m1 x 3 s6 k1 J" O. m9 ?$ P2 f: d
privilege exec level 2 configure terminal //允许执行特权命令configure terminal% N3 ?! i0 [5 }5 z2 Y
% z1 |! @: J$ ?' h) {
privilege configure level 2 router //允许执行全局命令: router
6 M5 Z6 q9 L! I: [ 2 u2 d r1 n4 `; P4 t
privilege router level 2 network //允许执行路由进程命令: network
6 Y8 Q1 @' D! v/ V9 }2 | 5 u$ Z! R8 e1 F' [
四、指定对路由器进行telnet访问的验证方法(使用本地用户数据库验证)3 _" }* D6 \% l5 V( ^7 x
: ?$ _; g4 v n$ ^& w$ v7 H! F
line vty 0 4+ ?2 j" \4 r( @ G# I+ o
) F. S! U1 s c. V9 Z) [" A login local5 r5 p+ _/ u1 g& M- m7 e* S; I
; n: A0 ]2 f( j8 w7 T
五、结果:/ L2 \: O1 B4 F( E. G
* {+ G! S8 v+ M# c: l 当对路由器进行telnet访问时,首先会提示输入username和password,这时用户aaa是用户模式(1级用户),只能执行很少的命令集(用户模式命令集)。" v* _+ A& C. ]! k: Q' O1 h' g
5 B; O' ^ s8 ~) _4 S7 p 使用enbale 2命令并且输入正确的口令后,可以有权限执行config t,router和network命令,但是其他命令不能执行,本地验证和授权成功。 |