比来在搭建公司的ACS,总结了一些经验写在这里。附件1是网上传布斗劲多的一份ACS、aaa以及搜罗PIX的设置装备摆设声名,很具体,熟悉aaa的伴侣可以直接看看附件1。附件2是cisco对aaa的官方声名,供参考。以下介绍ACS+aaa架构下aaa的设置装备摆设模板。 aaa的设置装备摆设可以年夜致分以下几个部门:
6 m# C& [! f3 M1 E1.设置装备摆设ACS(tacacs或radius)处事器
9 E; M5 M* I0 R tacacs-server host x.x.x.x" r3 G, Z0 Y2 R$ P6 ~" A( ]1 R
tacacs-server host x.x.x.x7 \' x" X' m6 h3 f/ |
tacacs-server key *****
/ I/ D+ P% t, ]0 n2.设置装备摆设设备local后门用户 % B5 E; h; `1 R* ~; y; b
username testuser password *****
1 `& c: @0 o A1 }" F, ]9 E 之所以设置装备摆设后门用户,是考虑到在ACS异常的时辰仍能telnet到设备。: k8 L) N% R8 q# d& N# J8 \9 N
3.启用aaa
/ x" J/ j" g" d% }+ i; { aaa new-model) r, l, z. z" r- k7 ~
4.认证并应用到线路
6 @+ ?. W1 i- S3 b3 S aaa authentication login login-list group tacacs+ local- Z3 |& t: x2 @+ P% [
line vty 0 15
3 I" G( b# b6 r" o6 ] login authentication login-list* I- O2 f. W3 x6 \
这里的login-list界说了访谒节制的列表,即首先使用tacacs+认证,如不美观认证失踪败则使用local后门用户认证。后面的将认证应用到vty、设置装备摆设accounting均挪用这个login-list。
+ u9 e4 Y3 m' X# n4 w, M- a$ {5.授权 - |$ G/ L9 N; o8 U( Q7 L
aaa authorization exec default local if-authenticated
' P" s, V1 E9 [ u; h 授权的设置装备摆设分歧的需求差异会很年夜,我小我不建议太复杂的授权,具体诠释看看附件吧。
; T3 u1 K2 z% r5 f. h! r( i; ^" H$ G L9 t# n
aaa accounting exec login-list start-stop group tacacs+) J# d* l% _' r
aaa accounting commands 1 login-list start-stop group tacacs+
, J+ a& ~' A5 |' q/ Z$ C( R aaa accounting commands 15 login-list start-stop group tacacs+
@) Z+ M: }: P y' H aaa accounting network login-list start-stop group tacacs+
5 p1 r9 h+ u/ u# ~( e: Y ACS+aaa的模式可以很好的打点收集设备的访谒节制,只可惜ACS不是免费的软件,不外也自己搭建Tacacs处事器。 |
发表于 2012-8-3 20:03:30
