特别注意安装acs服务器的时候,千万要记得安装java程序,否则ACS服务器配置不了

ACS+aaa架构下aaa的配置模板。aaa的配置可以大致分以下几个部分:1.配置ACS(tacacs或radius)服务器tacacs-server host x.x.x.x
tacacs-server host x.x.x.x
tacacs-server key *****

2.配置设备local后门用户username testuser password *****之所以配置后门用户,是考虑到在ACS异常的时候仍能telnet到设备。

3.启用aaa


aaa new-model

4.认证并应用到线路
aaa authentication login login-list group tacacs+ localline vty 0 15
       login authentication login-list这里的login-list定义了访问控制的列表,即首先使用tacacs+认证,如果认证失败则使用local后门用户认证。后面的将认证应用到vty、配置accounting均调用这个login-list。


5.授权
aaa authorization exec default local if-authenticated授权的配置不同的需求差异会很大,我个人不建议太复杂的授权,详细解释看看附件吧。

6.记账
aaa accounting exec login-list start-stop group tacacs+
aaa accounting commands 1 login-list start-stop group tacacs+
aaa accounting commands 15 login-list start-stop group tacacs+
aaa accounting network login-list start-stop group tacacs+ACS+aaa的模式可以很好的管理网络设备的访问控制,只可惜ACS不是免费的软件,不过也自己搭建Tacacs服务器