当你的公司网络管理员不是你一个人时 , 当你的老板及其 兄弟需要查看网络设备时 , 你想知道是谁什么时间访问了网络设备并做了什么动作 . 通过 ACS AAA 的管控是一个很好的解决办法 , 以下是 Cisco 交换机的配置实例 :
aaa new-model
-- 启用 AAA--
aaa authentication login default group tacacs+ local
-- 同过 tacacs+ 作认证 --
aaa authentication login console line enable
-- console line 认证 --
aaa authorization exec default group tacacs+ local
-- 通过 tacacs+ 授权 --
aaa accounting exec default start-stop group tacacs+
-- 记账方式start-stop --
aaa accounting commands 15 default start-stop group tacacs+
-- 记账方式的访问 Level 15 ,你可以定义 --
username cisco secret cisco
-- 建立一个本地用户,防止 ACS 无效时可以登录设备 --
tacacs-server host 192.168.0.3 key cisco
-- ACS tacacs-server IP 及共享密钥 --
tacacs-server host 192.168.0.4 key cisco
-- Backup ACS tacacs-server IP 及共享密钥 --
 
line con 0
login authentication console
-- console 登录也需要认证 --