AAA配置实例+注解

cisco上配置AAA，AAA是指用使用Authentication、Authorization、Accounting三种功能对要管理交换机的用户做控制。

Authentication(认证)：对用户的身份进行认证，决定是否允许此用户访问网络设备。Authorization（授权）:针对用户的不同身份，分配不同的权限，限制每个用户的操作Accounting（计费）：对每个用户的操作进行审计和计费

我们一般使用TACACS+、RADIUS协议来做cisco设备的AAA。RADIUS是标准的协议，很多厂商都支持。TACACS+是cisco私有的协议，私有意味只有cisco可以使用，TACACS+增加了一些额外的功能。

当用户的身份被认证服务器确认后，用户在能管理交换机或者才能访问网络；在访问设备的时候，我们可以针对这个用户授权，限制用户的行为；最后我们将记录用在设备的进行的操作。

在认证的时候，有一下这些方法：

1.在交换机本地进行用户名和密码的设定，也就是在用户登录交换机的收，交换机会对比自己的本地数据库，查看要登录的用户所使用的用户名和密码的正确性。

2.使用一台或多台（组）外部RADIUS服务器认证

3.使用一台或多台（组）外部TACACS+服务器认证

用一个配置实例，说明交换机上操作

username root secret cisco#在交换机本地设置一个用户，用户名是root，密码是cisco。

aaa new-model#在交换机上激活AAA

aaa authentication login default group tacacs+local#设置一个登录交换机是认证的顺序，先到tacacs+服务器认证，如果tacacs+服务器出现了故障，不能使用tacacs+认证，我们可以使用交换机的本地数据库认证，也就是用户名root密码cisco

aaa authorization exec default group tacacs+if-authenticated#如果用户通过了认证，那么用户就能获得服务器的允许，运行交换机的EXEC对话

aaa authorization commands15default group tacacs+local#在任何权限在使用交换机命令式都要得到tacacs+服务器许可，如果tacacs+出现故障，则要通过本地数据库许可

aaa accounting exec default start-stop group tacacs+#记录用户进去EXEC对话的认证信息、用户的地址和对话的开始时间持续时间，记录的过程是从开始到结束

aaa accounting commands1default start-stop group tacacs+

aaa accounting commands15default start-stop group tacacs+

!

tacacs-server host192.168.1.1#定义tacacs服务器地址是192.168.1.1

tacacs-server key cisco#定义交换机和tacacs服务器之间通信中使用的key为cisco

line vty04

login authentication default

authorization exec default

accounting exec default

最近在搭建公司的ACS，总结了一些经验写在这里。附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明，很详细，熟悉aaa的朋友可以直接看看附件1。附件2是cisco 对aaa的官方说明，供参考。以下介绍ACS+aaa架构下aaa的配置模板。

最近在搭建公司的ACS，总结了一些经验写在这里。附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明，很详细，熟悉aaa的朋友可以直接看看附件1。附件2是cisco对aaa的官方说明，供参考。以下介绍ACS+aaa架构下aaa的配置模板。

aaa的配置可以大致分以下几个部分：

1.配置ACS(tacacs或radius)服务器

tacacs-server host x.x.x.x

tacacs-server host x.x.x.x

tacacs-server key*****

2.配置设备local后门用户

username testuser password*****

之所以配置后门用户，是考虑到在ACS异常的时候仍能telnet到设备。

3.启用aaa

aaa new-model

4.认证并应用到线路

aaa authentication login login-list group tacacs+local

line vty015

login authentication login-list

这里的login-list定义了访问控制的列表，即首先使用tacacs+认证，如果认证失败则使用local后门用户认证。后面的将认证应用到vty、配置accounting均调用这个login-list。

5.授权

aaa authorization exec default local if-authenticated

授权的配置不同的需求差异会很大，我个人不建议太复杂的授权，详细解释看看附件吧。

6.记账

aaa accounting exec login-list start-stop group tacacs+

aaa accounting commands1login-list start-stop group tacacs+

aaa accounting commands15login-list start-stop group tacacs+

aaa accounting network login-list start-stop group tacacs+

ACS+aaa的模式可以很好的管理网络设备的访问控制，只可惜ACS不是免费的软件，不过也自己搭建Tacacs服务器。

原文出自【比特网】，转载请保留原文链接：/307/11213807.shtml

R1(config)#aaa new-model

R1(config)#tacacs-server host192.168.2.10key client_key

R1#test aaa group tacacs+test1test1legacy //测试

Attempting authentication test to server-group tacacs+using tacacs+

User was successfully authenticated.

R1(config)#aaa authentication login default group tacacs+

R1(config)#aaa authorization exec default group tacacs+

R1(config)#aaa authorization commands1default group tacacs+ //对级别1的用户进行授权

R1(config)#aaa authorization commands15default group tacacs+