Link

Cisco 设备配置 AAA

目录

  1. 两种认证协议
  2. 配置过程:

Authentication Authorize Accounting

两种认证协议

  • RADIUS: UDP

Authentication/Authorization 端口: 1645 (早期)1812

Accoungting : 1646(早期) 1813

  • tacacs+: 思科私有 ,TCP, 端口49,加密整个包,头部不加密

配置过程:

  • 启用aaa

  • 线下保护

  • 设置server,在client上添加server

  • 测试

启用AAA

aaa new-model
aaa authentication login mine line none
# 建立策略mine,策略为先使用线下(line)密码,如果线下没有密码就不认证。
# 目的:保证AUX和console始终可用 (必需在接口下调用)

line con 0
exec-timeout 0 0
privilege level 15
password halo2
logging synchronous
login authentication mine

# 登陆时候,用mine策略认证,用线下密码halo2认证,如果线下没密码,则不认证.

# 或
line console 0
password cisco
login
# 之后再启用aaa new-model,这样各线路还是用各线路的密码

client 上添加 server:

tacacs-server host 10.1.1.1 key cisco
添加地址10.1.1.1 的 server,认证密钥 cisco(将来server 设置时需要用)

测试:

test aaa group tacacs+ cisco cisco new-code
# 用户名 cisco 密码 cisco ,编码 new-code

aaa authentication login default group tacacs+
#default 会自动将tacacs+策略运用到所有接口,包括AUX,console..有名字的策略优于default

aaa authentication login nameX group tacacs+ local
# 命名策略.需要调用,当aaa失败时,切换到本地认证
aaa authentication login nameX group tacacs+ local non
# 如果aaa失败,本地失败,则不认证
# 建立一个 login 策略,名称为 nameX,后面为策略

line vty 0 5
login authentication nameX