為了學習 Cisco 交換機 Tacacs + 遠程登陸驗證功能, 搭建以下測試環境

目的:

學習 AAA 驗證模式, 設置成以下登陸方式

1) Console 口不需要驗證

2) vty 0?本地驗證

3)?vty 1? 5???遠程驗證

實現步驟:

一、安裝 Windows Server 2003 sp2

過程省略

二、安裝 Java 環境

jre-7u40-windows-i586.exe

三、安裝/配置 Cicso ACS 4.0

1) 下載并安裝?CiscoSecure ACS 4.0 (步驟略)

2) 配置 AAA Client

點擊

? 按鈕 進入 AAA Client 管理界面

點擊 Add Entry 按鈕添加 AAA Clients

填入交換機 IP 地址和 key? (配置交換機時還會用到)后， 點擊Submit + Apply 按鈕

3)配置賬號

點擊

?按鈕進入用戶管理畫面

輸入? User 點擊 Add/Edit 按鈕

輸入? Real Name 和 Password (test) 點擊 Submit 按鈕

四、配置交換機

1) 建立本地賬號

Switch(config)#user cisco password cisco

2) 配置 aaa server 和 key

Switch(config)#aaa new-model

Switch(config)#tacacs-server host 192.168.101.100

Switch(config)#tacacs-server key cisco

3) 配置驗證方案 noverify:不驗證 local 本地驗證 server 遠程驗證

Switch(config)#aaa authentication login noverify none

Switch(config)#aaa authentication login local local

Switch(config)#aaa authentication login server group tacacs+

其中 noverify/local/server 只是一個名稱，可能隨便改

none 表示不驗證, local:表示本地驗證, group tacacs+ 表示 ACS 驗證

4) 分套方案到對應的接口

Switch(config)#line con 0

Switch(config-line)#login authentication noverify

Switch(config-line)#line vty 0

Switch(config-line)#login authentication local

Switch(config-line)#line vty 1 5

Switch(config-line)#login authentication server

Switch(config-line)#end

Switch#wr

Building configuration...

[OK]

五、驗證

1) 終端機主控臺登入不驗證

2) vty 0 登入時本地驗證 (之前已建好賬號 cisco)

3) vty 1 登入時通過 ACS4.0 驗證 (之前已建好賬號 test)

筆記：

1)?在 Network Configuration 界面中, AAA Clients 中配置交機的IP地址，且 key 值要和交換機中的 key 值保持一致。

2) 實際情況下，以下命令可以讓 tacacs 驗證失敗后再進行本地驗證 (估計是為了避免服務器出現故障時無法驗證吧)

Switch(config)#aaa authentication login server group tacacs+ local

3) tacacs + 驗證功能在虛擬機(vmware station 10.0)環境下測試失敗, 所以本文采用實體機

4) 常用的驗證除了 login 外還有 enable?(即當開啟特權模式時進行驗證,防止交換機配置被更改), 配置方法相同

5) windows 對應的 java 環境安裝程序版本不一樣, 從 jre-8 開始取消了安全配置中的中安全級別，只有高，和非常高.

遠程登陸 acs 4.0 主控臺時，需要在 java 控制臺中添加信任列表才可以正常訪問

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的tacacs java客户端_思科交换机 ACS4.0 Tacacs+ 登陆验证的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。