ACS实验重点笔记专业资料.docVIP

? 一 、认证 1、拓扑图为： ? 2、SW配置命令： aaa new-model tacacs-server host 0 tacacs-server key cisco （可选） aaa authentication login loginlist group tacacs+ line vty 0 4 login authentication loginlist 3、SW show running-config配置 sw#sh running-configBuilding configuration... Current configuration : 1006 bytes!version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname sw!boot-start-markerboot-end-marker!!aaa new-model!!aaa authentication login loginlist group tacacs+!aaa session-id commonmemory-size iomem 5no ip routing!! no ip cefno ip domain lookup!interface FastEthernet0/0 ip address  no ip route-cache duplex auto speed auto!interface FastEthernet2/0 ip address  no ip route-cache duplex auto speed auto!interface FastEthernet3/0 ip address  no ip route-cache duplex auto speed auto!ip http serverno ip http secure-server! tacacs-server host 0tacacs-server directed-requesttacacs-server key cisco!control-plane!line con 0 exec-timeout 0 0 logging synchronousline aux 0line vty 0 4 login authentication loginlist!!end 4、radius配置 选中 ? 右边 Add Entry选项 ?? ?? 5、在0 PC上测试 telnet 成功。 ? 使用test aaa group tacacs+ wolf wolf new-code 测试不成功原因： 中默认server选项要修改 ? 命令中wolf是在user group中建立。 ? 二、授权 1、sw中命令配置： aaa authorization exec shouquan group tacacs+ local line vty 0 4 authorization exec shouquan 2、ACS中配置： user setup中建立两个用户cisco1和cisco2，分别属于group1和group2. ? group setup中shell值分别设置为15 和 1 ? 测试连接正常： sw# test aaa group tacacs+ cisco2 cisco2 new-code User successfully authenticated 在用户机上分别用cisco1和cisco2账号telnet ? ? 结论：当权限为1用户登录需要输入enable密码，用密码登录特权模式后提升为15级如cisco2；cisco1权限为15，不用输入enable直接进入特权模式。? 设置15等级group1用户cisco1不能用show running-config命令： aaa authorization commands 15 commands15 group tacacs+ line vty 0 4 authorization commands 15 commands15 ? 测试结果：cisco1用户： ? ? 审计： 基于时间审计，会统计所用用户进出时间。 aaa accounting exec shenji start-stop group tacacs+ 基于命令审计，会统