一般一家800人员工的中小企业至少会有4、50台左右的网络设备需要网络管理员进行管理。而有可能其中某一二台关键设备会开放外网远程管理访问。为了安全考虑,当我们的网络管理员因工作变动或进行定期密码更换时,如果网络设备全是采用本地用户和密码访问时,那这样每一台设备都将需要更换密码。如果是一个大型企业将存在更多网络设备,同时又有多个网管时,大家都用同一个本地用户去管理,将会出现很多不必要的麻烦和混乱。而统一认证、授权、审核记录将很好的解决这些问题,每个网管将都有自己的账号,更改一个账号密码,便可远程管理所有设备。OK,说到这,下面把交换机的配置命令写出来

hostname  ****

clock timezone CN 8

service password-encryption

service timestamps log datetime localtime

username username password  ********

enable secret *******


ip domain-name neosw.int

ip name-server 192.168.x.y

ip name-server 192.168.x.xy


aaa new-model

!

aaa authentication login default group tacacs+ local line

aaa authentication enable default enable

aaa authentication ppp default local

aaa authorization exec default group tacacs+ none 

aaa authorization commands 15 default group tacacs+ none 

aaa authorization network default group tacacs+ local 

aaa accounting exec default start-stop group tacacs+

aaa accounting commands 15 default start-stop group tacacs+

aaa accounting network default start-stop group tacacs+


tacacs-server host 192.168.x.102

tacacs-server host 192.168.x.103

tacacs-server key *******


snmp-server community Cxxxx ro

ntp server 192.168.x.254

ntp server 192.168.x.240


line vty 0 4 

privilege level 15

login local


上面即交换机配置,而我们的tacacs+,采用Cisco ACS5.4软件,配置两台进行主次同步(网络上有很多相关资料)