Cisco 设备配置 AAA
目录
Authentication Authorize Accounting
两种认证协议
- RADIUS: UDP
Authentication/Authorization 端口: 1645 (早期)1812
Accoungting : 1646(早期) 1813
- tacacs+: 思科私有 ,TCP, 端口49,加密整个包,头部不加密
配置过程:
启用aaa
线下保护
设置server,在client上添加server
测试
启用AAA
aaa new-model
aaa authentication login mine line none
# 建立策略mine,策略为先使用线下(line)密码,如果线下没有密码就不认证。
# 目的:保证AUX和console始终可用 (必需在接口下调用)
line con 0
exec-timeout 0 0
privilege level 15
password halo2
logging synchronous
login authentication mine
# 登陆时候,用mine策略认证,用线下密码halo2认证,如果线下没密码,则不认证.
# 或
line console 0
password cisco
login
# 之后再启用aaa new-model,这样各线路还是用各线路的密码
client 上添加 server:
tacacs-server host 10.1.1.1 key cisco
添加地址10.1.1.1 的 server,认证密钥 cisco(将来server 设置时需要用)
测试:
test aaa group tacacs+ cisco cisco new-code
# 用户名 cisco 密码 cisco ,编码 new-code
aaa authentication login default group tacacs+
#default 会自动将tacacs+策略运用到所有接口,包括AUX,console..有名字的策略优于default
aaa authentication login nameX group tacacs+ local
# 命名策略.需要调用,当aaa失败时,切换到本地认证
aaa authentication login nameX group tacacs+ local non
# 如果aaa失败,本地失败,则不认证
# 建立一个 login 策略,名称为 nameX,后面为策略
line vty 0 5
login authentication nameX