4.1 用戶登錄集中鑒權

　　提問 使用集中的鑒權方式對用戶登錄設備進行控制

　　回答

　　Router1#configure terminal

　　Enter configuration commands,one per line.End with CNTL/Z.

　　Router1(config)#aaa new-model

　　Router1(config)#aaa authentication login default group tacacs+

　　Router1(config)#aaa authentication enable default group tacacs+

　　Router1(config)#tacacs-server host 172.25.1.1

　　Router1(config)#tacacs-server key COOKBOOK

　　Router1(config)#end

　　Router1#

　　注釋 部署集中化鑒權就不需要在每臺設備上配置用戶名密碼了，改密碼也變得簡單了

　　4.2 限制特定命令的執行權限

　　提問 對設備可執行命令權限進行基于用戶的授權

　　回答

　　Router1#configure terminal

　　Enter configuration commands,one per line.End with CNTL/Z.

　　Router1(config)#aaa new-model

　　Router1(config)#aaa authorization exec default group tacacs+

　　Router1(config)#aaa authorization commands 15 default group tacacs+

　　Router1(config)#tacacs-server host 172.25.1.1

　　Router1(config)#tacacs-server key neoshi

　　Router1(config)#end

　　Router1#

　　注釋 無

　　4.3 TACACS+服務器無法訪問

　　提問 防止出現TACACS+服務器故障導致所有用戶都不能登錄

　　回答

　　Router1#configure terminal

　　Enter configuration commands,one per line.End with CNTL/Z.

　　Router1(config)#aaa new-model

　　Router1(config)#aaa authentication login default group tacacs+ enable

　　Router1(config)#aaa authentication enable default group tacacs+ enable

　　Router1(config)#aaa authorization commands 15 default group tacacs+ if-authenticated

　　Router1(config)#tacacs-server host 172.25.1.1

　　Router1(config)#tacacs-server key COOKBOOK

　　Router1(config)#end

　　Router1#

　　注釋 在認證服務器出現故障的情況下使用enable密碼作為備份，同時建議使用if-authenticated參數在你配置授權的時候

　　4.4 在特定端口禁用TACACS+鑒權

　　提問 為了方便禁止在控制口使用TACACS+鑒權

　　回答

　　Router1#configure terminal

　　Enter configuration commands,one per line.End with CNTL/Z.

　　Router1(config)#aaa new-model

　　Router1(config)#aaa authentication login default group tacacs+ local

　　Router1(config)#aaa authentication login NEOSHI line

　　Router1(config)#line con 0

　　Router1(config-line)#login authentication NEOSHI

　　Router1(config-line)#end

　　Router1#

　　注釋

　　4.5 記錄用戶行為

　　提問 記錄用戶輸入的配置命令和時間

　　回答

　　Router1#configure terminal

　　Enter configuration commands,one per line.End with CNTL/Z.

　　Router1(config)#aaa new-model

　　Router1(config)#aaa accounting commands 1 default stop-only group tacacs+

　　Router1(config)#aaa accounting commands 15 default stop-only group tacacs+

　　Router1(config)#end

　　Router1#

　　注釋 下面是一條日志記錄，很詳盡吧

　　Fri Jan 3 11:08:47 2006 toronto ijbrown tty66 172.25.1.1 stop task_id=512

　　start_time=1041610127 timezone=EST service=shell priv-lvl=15 cmd=configure

　　4.6 記錄系統事件

　　提問 記錄系統事件

　　回答

　　Router1#configure terminal

　　Enter configuration commands,one per line.End with CNTL/Z.

　　Router1(config)#aaa new-model

　　Router1(config)#aaa accounting exec default start-stop group tacacs+

　　Router1(config)#aaa accounting exec connection default start-stop group tacacs+

　　Router1(config)#aaa accounting system default stop-only group tacacs+

　　Router1(config)#end

　　Router1#

　　注釋 除了可以記錄用戶輸入命令以外還提供了exec(用戶開始和中止exec回話的事件記錄)，connection(用戶發起外部連接的時間，地址，數據包 多少等信息記錄比如telnet ssh等)和system(系統重啟，禁用AAA等系統信息)等三種系統事件的記錄

　　4.7 設置TACACS+消息的源地址

　　提問 發送TACACS+消息時只使用特定的源地址

　　回答

　　Router1#configure terminal

　　Enter configuration commands,one per line.End with CNTL/Z.

　　Router1(config)#ip tacacs source-interface Loopback0

　　Router1(config)#end

　　Router1#

　　注釋 所有本設備的記錄都來自于同一地址方便對日志進行匯總和統計

　　<!--[if !supportLists]-->4.8. <!--[endif]-->TACACS+服務器配置文件樣本

　　注釋 可以使用思科免費的TACACS+服務器也可以使用商業的服務器，配置方式略