R1(config)#aaa authentication login acs local--------利用路由器本身進行對用戶的身份驗證
R1(config)#aaa authorization exec acs local----------------授權用戶可以使用特權級別命令
R1(config)#username cisco password cisco------在路由器本地添加用戶名和密碼來對遠程提供身份驗證的條件。
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
authorization exec acs------把授權應用在VTY接口上
login authentication acs-----把驗證應用在VTY接口上。
line vty 5 15
authorization exec acs
login authentication acs
路由器本身不提供統計功能。
R1#sho ru
Mar 24 13:51:27.031: %SYS-5-CONFIG_I: Configured from console by console
R1#sho run
hostname R1
aaa new-model----全局開啓AAA功能
aaa authentication login acs group tacacs+------------------------------驗證用戶是否可以登錄設備
aaa authorization exec acs group tacacs+ ------------------------------授權用戶可以使用特權命令
aaa authorization commands 0 acs group tacacs+ ------------授權用戶可以使用0級命令
aaa authorization commands 1 acs group tacacs+ ------------授權用戶可以使用1級命令
aaa authorization commands 15 acs group tacacs+ ----------授權用戶可以使用15級命令
aaa accounting exec default start-stop group tacacs+---------------記錄用戶幾點來的幾點走的。
aaa accounting commands 0 default start-stop group tacacs+--------記錄用戶的0級命令
aaa accounting commands 1 default start-stop group tacacs+--------記錄用戶的1級命令
aaa accounting commands 15 default start-stop group tacacs+-------記錄用戶的15級命令
interface Ethernet1/0
ip address 172.16.102.35 255.255.255.0
no shutdown
tacacs-server host 172.16.102.22 key cisco----------------指定誰是ACS服務器,把ACS服務器地址添上。
tacacs-server directed-request
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
authorization commands 0 acs---------把前面的定製的授權級別應用在VTY接口上。
authorization commands 1 acs
authorization commands 15 acs
authorization exec acs-------------把授權特權命令應用到VTY 上
login authentication acs-------------把驗證應用在VTY上。
line vty 5 15
authorization commands 0 acs
authorization commands 1 acs
authorization commands 15 acs
authorization exec acs
login authentication acs
