Cisco 路由器支持集中的AAA(验证/授权/记帐)功能,但是需要部署一台Cisco ACS(访问控制服务器),如果网络设备数量不多,就可以利用Cisco路由器的本地验证和授权的功能来实现验证和授权,而且不需要部署Cisco ACS.以下是一个实现对路由器r1的telnet访问的本地验证和授权的例子:
/ |+ x, w& e5 C, m: ]
2 u$ j9 {. A2 h- | N, G, H 一、#username aaa password cisco //为telnet用户设置一个帐号和口令(aaa用户的级别为1最低级别
/ p B; e7 g8 g
, G$ ?8 u# j* q' v8 k 二、enable secret level 2 CISCO //设置一个级别为2的特权口令(缺省为15,具有所有权限)
6 E* d' Z( ^2 m! y% X- G : @/ e, ~5 l6 H2 ~6 e' W+ `* ?
三、为级别是2的特权用户授权(只允许执行router和network命令)4 ~3 ?, p* m( l+ V
; t4 {# @7 L, p( b; t Y( J* X privilege exec level 2 configure terminal //允许执行特权命令configure terminal" P- R5 g" ^2 k
" r" a2 j4 Y3 t5 z& H privilege configure level 2 router //允许执行全局命令: router$ b/ S( x3 F. H$ R* Z( O
4 c9 u- c7 \: }; X* ~) q. n4 F
privilege router level 2 network //允许执行路由进程命令: network
' D3 g" Y. D: N* y. s $ U l5 i% z W
四、指定对路由器进行telnet访问的验证方法(使用本地用户数据库验证)
: S5 r6 `# u: U6 F. S8 V+ U
2 ?( i' @2 B: H* I) C, U9 W line vty 0 4! A& }1 D! @0 x1 b9 W9 u9 u* i
$ n1 E6 o& s; }
login local
9 ~' v; i+ y1 l
8 Z Q H' B9 h0 i4 h- r" o 五、结果:: G: u6 q7 `+ l7 v4 |( n% U4 }
; W' ]) C4 w5 Y' v" Z$ q 当对路由器进行telnet访问时,首先会提示输入username和password,这时用户aaa是用户模式(1级用户),只能执行很少的命令集(用户模式命令集)。( v1 D, U) K5 A% ?2 U; s
. m+ S( N, Q- k4 Y5 j+ a/ P
使用enbale 2命令并且输入正确的口令后,可以有权限执行config t,router和network命令,但是其他命令不能执行,本地验证和授权成功。 |