Cisco系列之CCNP Lab Exercise(AAA)-51CTO.COM

【实验拓扑】

【配置AAA服务器】

加管理员帐号，点“Administration Control”按钮，在添加管理员帐号

配置cisco secure acs HTML interface，点interface configuration。在选择所需的服务，对这次实验，选shell （exec）即可。

Network configuration

配置用户信息，点“User Setup”，设置用户密码，选中shell（exec），设置Privilege Level

【路由器上的配置】

1、 enable AAA：

Router(config)#aaa new-model

2、Configuring TACACS+ and RADIUS clients：

对TACACS＋：

Router(config)#tacacs-server host ip-address

Router(config)#tacacs-server key word

对RADIUS：

Router(config)#radius-server host ip-address

Router(config)#radius-server key word

3、Configuring AAA authentication：

Router(config)#aaa authentication type {default|list-name} method1 […[method4]]

type分为：login、enable、ppp、local-override、arap、nasi、password-prompt和username-prompt，其中常用的为前面四个。

enable：决定用户是否可以访问特权级命令级。

ppp：在运行PPP的串行口上指定认证。

local-override：用于某些特殊用户（如系统管理员）快速登录，先使用本地数据库，如果失败再使用后面的认证方式。

List type分两种，一种是default，一种是命名list。用来指代后面的认证方式列表method1 […[method4]]

不同的type对应不同的Method，后面的认证方式只有当前面的认证方式返回了一个出错信息时使用（最多四种Method），而不是在前面的认证失败时使用。一般分为以下几种：

enable	使用enable口令进行认证
krb5	使用Kerberos 5进行认证
line	使用线路口进行认证
local	使用本地用户数据库进行认证
none	不认证
group radius	使用RADIUS进行认证
group tacacs+	使用TACACS＋进行认证
krb5-telnet	当用Telnet连接路由器时，使用Kerberos 5 Telnet认证协议
if-neede	如果用户已在TTY上进行了认证，就不再进行认证（用于enable type）

4、Configuring AAA authorization：

Router(config)#aaa authorization type {default|list-name} method1 […[method2]]

type分为：

【编辑推荐】