a我考网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 112|回复: 0

[综合] 思科辅导:CiscoACS+AAA配置模板

[复制链接]
发表于 2012-8-3 20:03:30 | 显示全部楼层 |阅读模式
比来在搭建公司的ACS,总结了一些经验写在这里。附件1是网上传布斗劲多的一份ACS、aaa以及搜罗PIX的设置装备摆设声名,很具体,熟悉aaa的伴侣可以直接看看附件1。附件2是cisco对aaa的官方声名,供参考。以下介绍ACS+aaa架构下aaa的设置装备摆设模板。   aaa的设置装备摆设可以年夜致分以下几个部门:
" C, y" F/ a* g* F$ X1.设置装备摆设ACS(tacacs或radius)处事器 ' e1 z  ^$ T4 i" ?# z
  tacacs-server host x.x.x.x
8 W3 ^( b4 `8 C3 S3 ~/ ]  tacacs-server host x.x.x.x
) }9 C/ P' K% |, T1 o3 M  tacacs-server key *****
# \$ U' t( c# P% o2.设置装备摆设设备local后门用户 5 B: z$ z7 i) i4 B6 X9 v6 d
  username testuser password *****
& `' T5 _, p3 D1 t9 u! N) w  之所以设置装备摆设后门用户,是考虑到在ACS异常的时辰仍能telnet到设备。. m8 s) d4 Y# [- l+ F3 p8 [
3.启用aaa 9 \; N; n4 Q& f6 g% L7 O' r
  aaa new-model
- j* N# s9 m- m1 d% l7 P6 z4.认证并应用到线路 2 c/ t5 H# s. P2 V4 c
  aaa authentication login login-list group tacacs+ local/ D8 r- j3 `  o7 c. t
  line vty 0 15
1 a  F6 u4 I5 V$ l8 r, L  login authentication login-list
) N( `, x& t) F: z. u  这里的login-list界说了访谒节制的列表,即首先使用tacacs+认证,如不美观认证失踪败则使用local后门用户认证。后面的将认证应用到vty、设置装备摆设accounting均挪用这个login-list。& [) d. R+ ~7 A0 I3 b, f, R
5.授权 + t5 I$ B& U: g: b- i
  aaa authorization exec default local if-authenticated
7 A7 h& ]& u  ?3 W6 f( g& b  授权的设置装备摆设分歧的需求差异会很年夜,我小我不建议太复杂的授权,具体诠释看看附件吧。. E2 n, ?; [2 z7 Q& Z- @
( j( B. O7 f3 u& Y7 `, s$ B% N
  aaa accounting exec login-list start-stop group tacacs+6 j- r" J1 H7 n: N7 P
  aaa accounting commands 1 login-list start-stop group tacacs+% t$ b( Y2 W4 N: G
  aaa accounting commands 15 login-list start-stop group tacacs+& s6 H5 W" n4 q+ d& E' }; l
  aaa accounting network login-list start-stop group tacacs+
& R; M" h/ C, g; u  ACS+aaa的模式可以很好的打点收集设备的访谒节制,只可惜ACS不是免费的软件,不外也自己搭建Tacacs处事器。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Woexam.Com ( 湘ICP备18023104号 )

GMT+8, 2024-5-15 03:57 , Processed in 0.133320 second(s), 21 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表