AAA的实验注意点:
(1) 系统必须安装java虚拟机,否则在Cisco Secure ACS软件中有的网页打不开.
(2) 在SF的实验室环境下,PC机的默认IP是 : 192.168.1.10 255.255.255.0
为PC机添加一个辅助IP : 172.16.10.10 255.255.255.0
辅助IP当成AAA服务器的IP,AAA服务器不需要网关.
这样PC机就有2个IP地址,默认IP地址能telnet到机架上,而辅助IP可以用来做AAA实验.
(3) Client(路由器)上配置: int e0
ip add 172.16.10.1 255.255.255.0
no shut
tacacs-server host 172.16.10.10 (指向服务器IP)
tacacs-server key spoto
开启AAA认证 : aaa new-model 配置 : aaa authentication login default group tacacs+ local none
aaa authentication enable default group tacacs+ enable
//如果没有设置密码认证,AAA服务器默认用系统认证口令,若也没设置系统口令,则 telnet 172.16.10.1 后,不管输入权限是15或者权限是0的用户名和密码 ,进到用 户模式后都进不去特权模式.故此密码认证最好需要设置.
aaa accounting exec default start-stop group tacacs+
aaa authentication login no_pass none
enable secret 5 $1$LGe2$aEHxrUgHa5K/ovvBV1dHl0
(4) 创建列表 : aaa authenticaiton login no_pass(自己输入的字符串) none
应用 : li co 0
login authe no_pass
这样从console口登录就不需要密码认证.
小结:刚开始做的时候把client端的IP设置成192.168.1.111 即和终端2511的IP是一样的,导致登陆2511 后提示 : password required,but not set -.-! 后来头点重新恢复了2511 的配置 总算可以 登进去了,看来以后不能乱设置Ip了.
|