一般一家800人員工的中小企業至少會有4、50臺左右的網絡設備需要網絡管理員進行管理。而有可能其中某一二臺關鍵設備會開放外網遠程管理訪問。爲了安全考慮,當我們的網絡管理員因工作變動或進行定期密碼更換時,如果網絡設備全是採用本地用戶和密碼訪問時,那這樣每一臺設備都將需要更換密碼。如果是一個大型企業將存在更多網絡設備,同時又有多個網管時,大家都用同一個本地用戶去管理,將會出現很多不必要的麻煩和混亂。而統一認證、授權、審覈記錄將很好的解決這些問題,每個網管將都有自己的賬號,更改一個賬號密碼,便可遠程管理所有設備。OK,說到這,下面把交換機的配置命令寫出來
hostname ****
clock timezone CN 8
service password-encryption
service timestamps log datetime localtime
username username password ********
enable secret *******
ip domain-name neosw.int
ip name-server 192.168.x.y
ip name-server 192.168.x.xy
aaa new-model
!
aaa authentication login default group tacacs+ local line
aaa authentication enable default enable
aaa authentication ppp default local
aaa authorization exec default group tacacs+ none
aaa authorization commands 15 default group tacacs+ none
aaa authorization network default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
tacacs-server host 192.168.x.102
tacacs-server host 192.168.x.103
tacacs-server key *******
snmp-server community Cxxxx ro
ntp server 192.168.x.254
ntp server 192.168.x.240
line vty 0 4
privilege level 15
login local
上面即交換機配置,而我們的tacacs+,採用Cisco ACS5.4軟件,配置兩臺進行主次同步(網絡上有很多相關資料)