Cisco 设备配置 AAA

两种认证协议

RADIUS: UDP

Authentication/Authorization 端口： 1645 (早期)1812

Accoungting ： 1646（早期） 1813

tacacs+: 思科私有，TCP，端口49，加密整个包，头部不加密

配置过程：

启用aaa
线下保护
设置server，在client上添加server
测试

启用AAA

aaa new-model
aaa authentication login mine line none
# 建立策略mine，策略为先使用线下（line）密码，如果线下没有密码就不认证。
# 目的：保证AUX和console始终可用 （必需在接口下调用）

line con 0
exec-timeout 0 0
privilege level 15
password halo2
logging synchronous
login authentication mine

# 登陆时候,用mine策略认证,用线下密码halo2认证,如果线下没密码,则不认证.

# 或
line console 0
password cisco
login
# 之后再启用aaa new-model，这样各线路还是用各线路的密码

client 上添加 server：

tacacs-server host 10.1.1.1 key cisco
添加地址10.1.1.1 的 server,认证密钥 cisco(将来server 设置时需要用)

测试：

test aaa group tacacs+ cisco cisco new-code
# 用户名 cisco 密码 cisco ,编码 new-code

aaa authentication login default group tacacs+
#default 会自动将tacacs+策略运用到所有接口,包括AUX,console..有名字的策略优于default

aaa authentication login nameX group tacacs+ local
# 命名策略.需要调用,当aaa失败时,切换到本地认证
aaa authentication login nameX group tacacs+ local non
# 如果aaa失败,本地失败，则不认证
# 建立一个 login 策略，名称为 nameX，后面为策略

line vty 0 5
login authentication nameX

Cisco 设备配置 AAA

目录

两种认证协议

配置过程：