一般一家800人员工的中小企业至少会有4、50台左右的网络设备需要网络管理员进行管理。而有可能其中某一二台关键设备会开放外网远程管理访问。为了安全考虑,当我们的网络管理员因工作变动或进行定期密码更换时,如果网络设备全是采用本地用户和密码访问时,那这样每一台设备都将需要更换密码。如果是一个大型企业将存在更多网络设备,同时又有多个网管时,大家都用同一个本地用户去管理,将会出现很多不必要的麻烦和混乱。而统一认证、授权、审核记录将很好的解决这些问题,每个网管将都有自己的账号,更改一个账号密码,便可远程管理所有设备。OK,说到这,下面把交换机的配置命令写出来
hostname ****
clock timezone CN 8
service password-encryption
service timestamps log datetime localtime
username username password ********
enable secret *******
ip domain-name neosw.int
ip name-server 192.168.x.y
ip name-server 192.168.x.xy
aaa new-model
!
aaa authentication login default group tacacs+ local line
aaa authentication enable default enable
aaa authentication ppp default local
aaa authorization exec default group tacacs+ none
aaa authorization commands 15 default group tacacs+ none
aaa authorization network default group tacacs+ local
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
aaa accounting network default start-stop group tacacs+
tacacs-server host 192.168.x.102
tacacs-server host 192.168.x.103
tacacs-server key *******
snmp-server community Cxxxx ro
ntp server 192.168.x.254
ntp server 192.168.x.240
line vty 0 4
privilege level 15
login local
上面即交换机配置,而我们的tacacs+,采用Cisco ACS5.4软件,配置两台进行主次同步(网络上有很多相关资料)