(1) 系統(tǒng)必須安裝java虛擬機(jī),否則在Cisco Secure ACS軟件中有的網(wǎng)頁(yè)打不開(kāi).

(2) 在SF的實(shí)驗(yàn)室環(huán)境下,PC機(jī)的默認(rèn)IP是 : 192.168.1.10 255.255.255.0
為PC機(jī)添加一個(gè)輔助IP : 172.16.10.10 255.255.255.0

輔助IP當(dāng)成AAA服務(wù)器的IP,AAA服務(wù)器不需要網(wǎng)關(guān).

這樣PC機(jī)就有2個(gè)IP地址,默認(rèn)IP地址能telnet到機(jī)架上,而輔助IP可以用來(lái)做AAA實(shí)驗(yàn).

(3) Client(路由器)上配置: int e0
ip add 172.16.10.1 255.255.255.0
no shut
tacacs-server host 172.16.10.10 (指向服務(wù)器IP)
tacacs-server key spoto
開(kāi)啟AAA認(rèn)證 : aaa new-model
配置 : aaa authentication login default group tacacs+ local none
aaa authentication enable default group tacacs+ enable
//如果沒(méi)有設(shè)置密碼認(rèn)證,AAA服務(wù)器默認(rèn)用系統(tǒng)認(rèn)證口令,若也沒(méi)設(shè)置系統(tǒng)口令,則 telnet 172.16.10.1 后,不管輸入權(quán)限是15或者權(quán)限是0的用戶(hù)名和密碼 ,進(jìn)到用 戶(hù)模式后都進(jìn)不去特權(quán)模式.故此密碼認(rèn)證需要設(shè)置.
aaa accounting exec default start-stop group tacacs+
aaa authentication login no_pass none
enable secret 5 $1$LGe2$aEHxrUgHa5K/ovvBV1dHl0

(4) 創(chuàng)建列表 : aaa authenticaiton login no_pass(自己輸入的字符串) none
應(yīng)用 : li co 0
login authe no_pass

這樣從console口登錄就不需要密碼認(rèn)證.

(5) Cisco Secure ACS配置中的注意點(diǎn):
<1> 進(jìn)入 Interface Configuration 配置添加TACACS+的高級(jí)屬性.
<2> 進(jìn)入 User Setup 配置添加用戶(hù)并設(shè)置權(quán)限.
<3> 進(jìn)入 Group Setup 查看用戶(hù)分組情況.
<4> 進(jìn)入 Netword Configuration 查看AAA客服端和AAA服務(wù)器的配置情況.

(6) 測(cè)試: 在PC機(jī)上-->cmd-->telnet 172.16.10.1(路由器)
username:abc(權(quán)限設(shè)置為15) 或者 xyz(權(quán)限設(shè)置為0)
password:ccna ccna

r1>en r1>en
password:ccna password:
r1# % Error in authentication.
r1>

分析:權(quán)限為0的用戶(hù)無(wú)法登錄到路由器的特權(quán)模式下.

(7) 在Cisco Secure ACS上點(diǎn)擊Reports and Activity 查看TACACS+ Accounting 信息.
注:必須有 r1(config)#aaa accounting exec default start-stop group tacacs+
才會(huì)有統(tǒng)計(jì)信息.

小結(jié)：剛開(kāi)始做的時(shí)候把client端的IP設(shè)置成192.168.1.111 即和終端2511的IP是一樣的，導(dǎo)致登陸2511