(1) 系統(tǒng)必須安裝java虛擬機,否則在Cisco Secure ACS軟件中有的網(wǎng)頁打不開.

(2) 在SF的實驗室環(huán)境下,PC機的默認IP是 : 192.168.1.10 255.255.255.0
為PC機添加一個輔助IP : 172.16.10.10 255.255.255.0

輔助IP當成AAA服務器的IP,AAA服務器不需要網(wǎng)關(guān).

這樣PC機就有2個IP地址,默認IP地址能telnet到機架上,而輔助IP可以用來做AAA實驗.

(3) Client(路由器)上配置: int e0
ip add 172.16.10.1 255.255.255.0
no shut
tacacs-server host 172.16.10.10 (指向服務器IP)
tacacs-server key spoto
開啟AAA認證 : aaa new-model
配置 : aaa authentication login default group tacacs+ local none
aaa authentication enable default group tacacs+ enable
//如果沒有設置密碼認證,AAA服務器默認用系統(tǒng)認證口令,若也沒設置系統(tǒng)口令,則 telnet 172.16.10.1 后,不管輸入權(quán)限是15或者權(quán)限是0的用戶名和密碼 ,進到用 戶模式后都進不去特權(quán)模式.故此密碼認證需要設置.
aaa accounting exec default start-stop group tacacs+
aaa authentication login no_pass none
enable secret 5 $1$LGe2$aEHxrUgHa5K/ovvBV1dHl0

(4) 創(chuàng)建列表 : aaa authenticaiton login no_pass(自己輸入的字符串) none
應用 : li co 0
login authe no_pass

這樣從console口登錄就不需要密碼認證.

(5) Cisco Secure ACS配置中的注意點:
<1> 進入 Interface Configuration 配置添加TACACS+的高級屬性.
<2> 進入 User Setup 配置添加用戶并設置權(quán)限.
<3> 進入 Group Setup 查看用戶分組情況.
<4> 進入 Netword Configuration 查看AAA客服端和AAA服務器的配置情況.

(6) 測試: 在PC機上-->cmd-->telnet 172.16.10.1(路由器)
username:abc(權(quán)限設置為15) 或者 xyz(權(quán)限設置為0)
password:ccna ccna

r1>en r1>en
password:ccna password:
r1# % Error in authentication.
r1>

分析:權(quán)限為0的用戶無法登錄到路由器的特權(quán)模式下.

(7) 在Cisco Secure ACS上點擊Reports and Activity 查看TACACS+ Accounting 信息.
注:必須有 r1(config)#aaa accounting exec default start-stop group tacacs+
才會有統(tǒng)計信息.

小結(jié)：剛開始做的時候把client端的IP設置成192.168.1.111 即和終端2511的IP是一樣的，導致登陸2511