1、配置文件:version 12.1!hostname Router!aaa new-modelaaa authentication login myaaa group local!配置授权aaa authorization exec myauth group local!配置认证!username user10 privilege 10 password 0 user10!给用户分配级别!!privilege exec level 10 ping!给命令分配级别privilege exec level 10 show frame-relayprivilege exec level 10 traceroute!line con 0transport input noneline aux 0line vty 0 4authorization exec myauth!选择TELNET的授权方式login authentication myaaa!选择TELNET的认证方式!no scheduler allocateend
2、实验结果:用户user10登录后级别是10,可以执行PING,SHOW FRAME-RELAY,TRACEROUTE命令。更高级别的用户才可执行其它的命令。另外通过仔细趺谄菇明配置privilege命令,可以进一步细分命令权限。如:可以SHOW FRAME-RELAY不可以SHOW X25。aaa的配制命令随IOS版本不同略有差异,在12.0.5以上的版本,用aaa authentication login myaaa group tacacs+ local命令,在12.0.5以下的版本用aaa authentication login myaaa tacacs+ local可以用PRIVILEGE命令调整命令级别。不过容易出错。在测试过程中,发现如果将一条命令调级,其相应的子命令也自动调整到相映的级别。如:调整show ip route的级别后,show ip ,show的级别也自动调整,很容易出错。另外,可能是IOS BUG的原因,一些PRIVILEGE命令虽然起作用了,但在show run时却没有显示出来。测试说明,用local的方法,可以实现用户级的命令权限的设定,优点是不用配置复杂的TACACS+服务器,成本低。缺点是需要在每一台设备上单独配置,工作量大,不易集中管理,而且在某些版本的IOS中有BUG,容易出错。
3、用TACSCS+进行验证和授权version 12.1!hostname Router!aaa new-modelaaa authentication login myaaa group tacacs+aaa authorization exec myauth group tacacs+!!line con 0transport input noneline aux 0line vty 0 4authorization exec myauthlogin authentication myaaa!no scheduler allocateend
4、实验结果:通过TACACS+可以非常灵活地对AAA进行设定,完成复杂的策略。除了在local实现功能外,还可以快速的对大量用户进行用户级或组一级的设置和管理。提供报表功能,时间策略等。TACACS+设置很容易掌握,WEB控制界面很友好。缺点是需要购买ACS服务器