1.关联RADIUS服务器
Cisco(config)#aaa new-model //全局启用aaa功能
Cisco(config-radius-server)#address ipv4 10.1.1.100 auth-port 1812 acct-port 1813 //配置radius服务器的地址、认证和审计端口
Cisco(config-radius-server)#key abc123
Cisco(config)#aaa server radius dynamic-author
Cisco(config-locsvr-da-radius)#client 10.1.1.10 server-key abc123
2.创建radius服务器组,将radius服务器加入组中
Cisco(config)#aaa group server radius s1-radius
Cisco(config-sg-radius)#server name s1
3.向radius服务器发送相关属性参数,防止aaa异常,以及802.1X异常
Cisco(config)#radius-server vsa send authentication
Cisco(config)#radius-server vsa send accounting
Cisco(config)#radius-server attribute 6 on-for-login-auth
Cisco(config)#radius-server attribute 8 include-in-access-req
Cisco(config)#radius-server attribute 25 access-request include
4.应用aaa-认证
(1)给console和enable留后门,不受aaa认证控制
Cisco(config)#aaa authentication login nos1 line none //认证时先使用line下密码认证,没配置线下认证就不认证
Cisco(config)#aaa authentication enable default enable none //enable密码,优先使用配置的enable密码,如果没有密码,就不认证
Cisco(config)#line console 0
Cisco(config-line)#login authentication nos1 //在line口调用
(2)在vty口下的服务启用认证(Telnet、ssh)
Cisco(config)#aaa authentication login s1 group s1-group local-case //登录认证优先使用服务器组中的aaa服务器组身份认证,如果aaa服务器无响应就使用local本地用户数据库认证
5.应用认证-授权
(1)基于用户权限等级的授权
Cisco(config)#aaa authorization exec s1 group s1-group local
Cisco(config)#aaa authorization config-commands //开启命令行授权
6.做完认证和授权先ping与s1的连通性
Cisco#ping 10.1.1.10
7.测试与aaa服务器能否正常认证和授权
Cisco#test aaa group s1-group a1 abc123 legacy //传统方式
Cisco#test aaa group s1-group a1 abc123 new-code //新方式
8.在接口启用aaa
Cisco(config)#line vty 0 4
Cisco(config-line)#login authentication s1
Cisco(config-line)#authorization exec s1
Cisco(config-line)#transport input all