通過ACS做AAA管控網絡設備

 

    當你的公司網絡管理員不是你一個人時,當你的老闆及其他兄弟需要查看網絡設備時,你想知道是誰什麼時間訪問了網絡設備並做了什麼動作.通過ACS做AAA的管控是一個很好的解決辦法,以下是Cisco交換機的配置實例:

aaa new-model

--啓用AAA--

aaa authentication login default group tacacs+ local

--同過tacacs+作認證--

aaa authentication login console line enable

-- console line認證--

aaa authorization exec default group tacacs+ local

-- 通過tacacs+授權--

aaa accounting exec default start-stop group tacacs+

-- 記賬方式start-stop --

aaa accounting commands 15 default start-stop group tacacs+

-- 記賬方式的訪問Level爲15，你可以定義 --

username cisco secret cisco

-- 建立一個本地用戶，防止ACS無效時可以登錄設備 --

tacacs-server host 192.168.0.3 key cisco

-- ACS tacacs-server IP及共享密鑰--

tacacs-server host 192.168.0.4 key cisco

-- Backup ACS tacacs-server IP及共享密鑰--

 

line con 0

login authentication console

-- console登錄也需要認證--

  

如果你想與公司的AD統一帳號，請參照《AD與ACS結合做802.1x認證》，每個帳號訪問交換機的Level級別是通過ACS配置定義的，ACS的相關配置下回介紹.