当开启了思科路由或者交换机上的AAA认证,打算配置telnet接入使用外部的radius服务器认证,如果使用了default group,那么即便是不配置console和vty这两个地方,默认就被配置了成远程的radius服务器了。如下面这样
aaa new-model
aaa authentication login default group radius local
radius-server host 172.26.1.11 auth-port 1645 acct-port 1646 key cisco
line con 0
line vty 0 4
这时候如果只想在telnet上启用认证,不想在consle接口上启用,因为如果网络出问题,很可能接不上radius服务器,这时候将无法认证,导致不能进入管理界面,当然有些方法去解决这个问题,必然建立本地账号,然后在default group radius后面加上local就可以在连接radius失败以后使用本地账号认证,但是毕竟还要等第一次的radius服务器连接超时才会进入第二个认证方式---本地认证,特别是在网络出问题的时候,这个等待就变成了漫长的等待了,所以要避免这样的情况发生。
要避免,需要不使用default group,建立另外一个认证方式。
如:
aaa authentication login shenxu group radius local
定义一个名字为shenxu的认证组
删除
aaa authentication login default group radius local
默认组
这时候,因为不在使用default group的原因,console和telnet都没有认证方式了,变成空白,只有加载的地方才会起作用。
line vty 0 4
 login authentication shenxu
在vty里面调用定义的shenxu认证组,这样console就不会提示输入用户名和密码了,直接进入。
 
但是如果有些要求必须要启用默认组default group 的时候,怎么办,比如启用端口web认证的时候。这时候
aaa authentication login default group radius local
就是前提,可以反其道行之,建立一个名为no-console的非认证组
aaa authentication login no-console none
然后在console里面调用就可以
line con 0
 login authentication no-console
这样console里面就不采用默认配置,使用定义的不认证的方式。