a我考网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 115|回复: 0

[综合] 思科辅导:CiscoACS+AAA配置模板

[复制链接]
发表于 2012-8-3 20:03:30 | 显示全部楼层 |阅读模式
比来在搭建公司的ACS,总结了一些经验写在这里。附件1是网上传布斗劲多的一份ACS、aaa以及搜罗PIX的设置装备摆设声名,很具体,熟悉aaa的伴侣可以直接看看附件1。附件2是cisco对aaa的官方声名,供参考。以下介绍ACS+aaa架构下aaa的设置装备摆设模板。   aaa的设置装备摆设可以年夜致分以下几个部门:
6 m# C& [! f3 M1 E1.设置装备摆设ACS(tacacs或radius)处事器
9 E; M5 M* I0 R  tacacs-server host x.x.x.x" r3 G, Z0 Y2 R$ P6 ~" A( ]1 R
  tacacs-server host x.x.x.x7 \' x" X' m6 h3 f/ |
  tacacs-server key *****
/ I/ D+ P% t, ]0 n2.设置装备摆设设备local后门用户 % B5 E; h; `1 R* ~; y; b
  username testuser password *****
1 `& c: @0 o  A1 }" F, ]9 E  之所以设置装备摆设后门用户,是考虑到在ACS异常的时辰仍能telnet到设备。: k8 L) N% R8 q# d& N# J8 \9 N
3.启用aaa
/ x" J/ j" g" d% }+ i; {  aaa new-model) r, l, z. z" r- k7 ~
4.认证并应用到线路
6 @+ ?. W1 i- S3 b3 S  aaa authentication login login-list group tacacs+ local- Z3 |& t: x2 @+ P% [
  line vty 0 15
3 I" G( b# b6 r" o6 ]  login authentication login-list* I- O2 f. W3 x6 \
  这里的login-list界说了访谒节制的列表,即首先使用tacacs+认证,如不美观认证失踪败则使用local后门用户认证。后面的将认证应用到vty、设置装备摆设accounting均挪用这个login-list。
+ u9 e4 Y3 m' X# n4 w, M- a$ {5.授权 - |$ G/ L9 N; o8 U( Q7 L
  aaa authorization exec default local if-authenticated
' P" s, V1 E9 [  u; h  授权的设置装备摆设分歧的需求差异会很年夜,我小我不建议太复杂的授权,具体诠释看看附件吧。
; T3 u1 K2 z% r5 f. h! r( i; ^" H$ G  L9 t# n
  aaa accounting exec login-list start-stop group tacacs+) J# d* l% _' r
  aaa accounting commands 1 login-list start-stop group tacacs+
, J+ a& ~' A5 |' q/ Z$ C( R  aaa accounting commands 15 login-list start-stop group tacacs+
  @) Z+ M: }: P  y' H  aaa accounting network login-list start-stop group tacacs+
5 p1 r9 h+ u/ u# ~( e: Y  ACS+aaa的模式可以很好的打点收集设备的访谒节制,只可惜ACS不是免费的软件,不外也自己搭建Tacacs处事器。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Woexam.Com ( 湘ICP备18023104号 )

GMT+8, 2024-5-29 03:20 , Processed in 0.489935 second(s), 21 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表