最近在搭建公司的ACS,总结了一些经验写在这里。附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明,很详细,熟悉aaa的朋友可以直接看看附件1。附件2是cisco对aaa的官方说明,供参考。以下介绍ACS+aaa架构下aaa的配置模板。 aaa的配置可以大致分以下几个部分: c* O/ G3 F+ }, r
1.配置ACS(tacacs或radius)服务器
) {5 U4 ^' ?0 E& c% N7 W tacacs-server host x.x.x.x+ }# ?9 b# M- ^9 q" v/ u- Z: }
tacacs-server host x.x.x.x
. X3 ]! b, Q* ^, Q3 U" J) M tacacs-server key *****
& j f* [0 ^3 ^ 2.配置设备local后门用户, h- ^/ n1 p/ u; n; W7 J( n6 K8 |
username testuser password *****% ^" `3 K. w A' o4 z* I! e. H
之所以配置后门用户,是考虑到在ACS异常的时候仍能telnet到设备。7 S* _) b* w/ W j, o* l# d
3.启用aaa
; _- [. i0 `% r) L aaa new-model
& V: q: H1 R+ U 4.认证并应用到线路9 A& _, A! E* y' j. \! o5 r1 B
aaa authentication login login-list group tacacs+ local
) e3 X+ M8 z0 C$ G2 X# n/ S line vty 0 15
% ~ M# H3 M1 ~! U: M1 t* \ login authentication login-list
& s" c% Y6 v3 w9 v3 Z u 这里的login-list定义了访问控制的列表,即首先使用tacacs+认证,如果认证失败则使用local后门用户认证。后面的将认证应用到vty、配置accounting均调用这个login-list。: n/ Z5 p9 Y: i0 N
5.授权
, d, x) ?; S7 W1 n5 M8 O5 N! l aaa authorization exec default local if-authenticated
/ W; K! L& ?2 U% ~& Y: `: I 授权的配置不同的需求差异会很大,我个人不建议太复杂的授权,详细解释看看附件吧。考试大-全国最大教育类网站(www.Examda。com)
) b5 F( Y m L7 n 6.记账
$ h' T* X+ O1 V% u* l4 T aaa accounting exec login-list start-stop group tacacs++ h' v/ a) _8 t3 T# L
aaa accounting commands 1 login-list start-stop group tacacs+3 T+ N, \" R3 e8 ]3 X
aaa accounting commands 15 login-list start-stop group tacacs++ k* U; s2 f: x: ^* e3 ^; N- n
aaa accounting network login-list start-stop group tacacs+) q( d2 O$ }; {: K/ x
ACS+aaa的模式可以很好的管理网络设备的访问控制,只可惜ACS不是免费的软件,不过也自己搭建Tacacs服务器。 |